现行 SaaS 交付模式：风险管理噩梦，CISO 评价

广为认可的软件即服务 ( SaaS ) 交付模式存在显著缺陷，并且正“悄然助长网络攻击者的行为”，引入的广泛漏洞可能会破坏全球经济体系的稳定，该观点出自一位知名金融服务公司首席信息安全官 ( CISO )。

在本周致第三方供应商的公开信中，摩根大通 ( JPMorgan Chase ) CISO Patrick Opet 批评软件公司将 SaaS 定为默认、甚至往往唯一的软件交付方式，这使得客户被迫依赖服务提供商，并将风险集中到这些组织身上。

他表示，尽管这种模式在效率和创新上具有优势，但如今已经清楚地表明它“放大了任何薄弱环节的影响……形成了单点故障，可能引发灾难性的系统级后果”。

Opet 写道：“在摩根大通 ( JPMorgan Chase )，我们亲眼目睹了预警信号。在过去三年中，我们的第三方供应商在其环境中经历了多起安全事件。这些发生在我们供应链中的事件迫使我们必须迅速果断地采取行动，包括隔离部分已被攻破的供应商，并投入大量资源进行威胁缓解。”

尽管他并未在过去几年里众多供应链事件中点名指责任何供应商，Opet 仍然感叹问题似乎不但没有改善，反而在恶化，因为软件供应商在多项固有于 SaaS 的问题上屡屡失责，例如未能对存在漏洞的身份验证 Token 进行安全防护，在未经适当同意或透明度不足的情况下自行获得访问客户系统的特权，以及将下游第四方供应商引入其系统中。

他补充说，自动化和人工智能 ( AI ) 进一步加剧了这些问题，而这些漏洞对对手来说都是众所周知的，这一点从中国威胁行为者战术的变化中可以得到印证，他们越来越倾向于针对那些对客户群拥有深度访问权限的组织。

三步计划

在公开信中，Opet 提出了 SaaS 供应商在问题变得不可克服之前应采取的三个核心步骤。

他呼吁业界在设计阶段就将网络安全放在首位，默认内置或启用安全功能；对安全架构进行现代化改造，以优化 SaaS 集成从而有效降低风险；并加强合作，共同遏制威胁者对互联系统的滥用行为。

AcceleTrex 联合创始人兼首席技术官 Mark Townsend 表示，Opet 的公开信反映出客户普遍对 IT 供应商在确保其产品与服务安全方面做得不够感到不满。

Townsend 说：“在追求领先竞争对手的过程中，多年来已经暴露出不少问题。市场上需要找到一种平衡并向外界展示这种平衡。”

“购买 SaaS 实际上就是在购买一个由供应商部署的系统，你需要将数据托付给他们。许多供应商会提供年度渗透测试报告，并展示其与 SOC2 等标准的一致性，但正如作者所指出的，在这一年内，这些应用及其支持的基础设施中会发生很多事情。”

“这些系统的安全性较为不透明，供应商与消费者之间需要有更多关于如何保障数据安全的透明沟通。”

Townsend 补充道：“如果不给供应商留出退路，就不能过于苛刻。这种开放的讨论能激发建设性对话，而我认为这是既必要又重要的。”

Reversec 的 Donato Capitella 和 Nick Jones，分别担任首席咨询师和研究负责人，他们在通过电子邮件向 Computer Weekly 发表评论时表示，Opet 正确地指出了行业在采用 SaaS 时所面临的关键挑战，尤其是风险集中于少数大供应商以及可见性降低，导致客户在主动检测和响应事件时更加困难。

他们向 Computer Weekly 表示：“在实际操作中，SaaS 应用存在两个非常常见且未能提供足够安全措施的问题。其一是将单点登录功能设在需要额外费用或‘企业’价位计划之后，迫使用户在足够的身份安全和成本之间做出妥协。”

“其二是全面且高保真的审计日志记录，这通常也被限制在昂贵的计划或附加组件之中（如果有的话）。这些限制阻碍了组织预防、检测和应对针对其 SaaS 资产的攻击。”

Capitella 和 Jones 补充道：“我们希望 SaaS 供应商能将这封公开信视为一场集结号，努力为消费者提供默认安全、经过强化的体验。”