按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

SaaS資安挑戰:透過NIST網路安全框架實現SaaS管理策略

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2024-03-22
  • 點閱次數:1547
SaaS

在數位時代,軟體即服務(Software as a Service,簡稱SaaS)已成為現代生活中不可或缺的一部分。SaaS不需用戶進行軟體安裝、配置及管理,只需透過網路直接存取應用程式,便可輕鬆使用各種功能,如電子郵件、線上文件處理及社交媒體管理工具等。這種線上存取的便利性,使得SaaS應用程式成為了人們日常工作和生活的必備工具,根據最新數據顯示,全球SaaS市場正在快速增長,預計在未來幾年內將繼續擴大。

然而,隨著SaaS的普及,資安風險也隨之增加,如未經適當保護的敏感資訊可能有遭受未授權存取的風險,或駭客可以通過各種手段竊取並盜用用戶帳號,進而獲取個人或企業敏感資料,使得個人隱私與企業機密受到威脅。為了降低這些風險,可參考美國國家標準暨技術研究院(NIST)的網路安全框架來制定相關配置策略,然而每個SaaS應用程式都有不同的設置,因此制定符合NIST標準的統一配置策略相當困難,但仍能透過一些通用於每個SaaS應用程式的設置來提升安全性。

基於角色的存取控制(RBAC

在SaaS應用程式中,基於角色的存取控制(RBAC)是符合NIST標準的關鍵,RBAC允許根據職責來設定使用者的存取權限,從而限制使用者對系統內部資源的存取權限,在SaaS應用程式中有兩種類型的權限,包括功能存取權限(Functional access)與資料存取權限(Data access permissions)。管理員帳號對這兩種類型的權限都有完整的存取權限,因此,對管理者帳號的控制至關重要,可參考的配置包含:
1. 設置至少兩名管理者:同時避免過多管理者帶來的攻擊面擴大,並於管理者數量超出預期範圍時觸發警示。

2. 刪除外部管理者:外部管理者為 SaaS 應用程式帶來額外的不確定性與風險。因為他們位於組織之外,組織無法控制他們所使用的密碼政策或身分驗證工具。舉例來說,若攻擊者點擊“忘記密碼”試圖登入應用程式,則無法確定攻擊者是否可以入侵外部管理者的電子郵件帳號,而缺乏對外部管理者的監督,可能導致 SaaS 應用程式遭到入侵,根據不同的應用程式,可選擇阻止外部使用者獲得管理者權限,或識別具有管理者權限的外部使用者以刪除這些權限。
3. 要求管理者使用多因子認證:NIST管理規範中,建議所有管理者帳號都應該採用多因子認證(MFA)來存取應用程式,例如一次性密碼(OTP)。MFA要求使用者在進行身份驗證時提供至少兩種形式的身份證明,攻擊者若要入侵則需要破解至少兩個身份驗證系統,增加了入侵的難度並降低帳號遭利用的風險。

 

監控資源的存取權限

除了角色存取控制之外,NIST建議監控每個資源的存取權限,並適時調整權限設置,以防止未經授權的資料存取,NIST框架有關監視資源的相關配置如下:

  1. 停止公開分享資料:為了減少資料外洩的風險,管理者應停用公用URL的分享(“知道連結的任何人”),某些應用程式允許使用者撤銷已建立的URL的存取權限,若應用程式有提供這項功能,建議開啟此設定。
  2. 設定「邀請」到期日以避免舊「邀請」被利用:許多應用程式允許授權使用者「邀請」外部使用者存取該應用程式,但大多數未設定「邀請」”到期日”,這可能讓剛剛入侵外部使用者電子信箱的攻擊者,可以透過多年前的「邀請」存取應用程式,將「邀請」設定自動到期日,則可以防止此類舊「邀請」被利用的風險。

 

密碼保護策略

強健的密碼政策也是保護SaaS應用程式安全性的重要措施,密碼是防止未經授權存取的第一道防線,因此,NIST建議建立並執行強大且管理良好的密碼政策:

  1. 防止密碼潑灑攻擊(Password Spray):在密碼潑灑攻擊中,攻擊者輸入使用者帳號與常用密碼,希望藉此猜出帳密組合以存取該應用程式。要防止密碼潑灑攻擊,建議使用多因子認證(MFA),而對於不強制要求使用多因子認證(MFA)的應用程式,組織可禁止使用某些詞彙作為密碼,包括像是password1、12345、使用者的名稱、公司產品、合作夥伴及其他業務等詞彙
  2. 設定密碼複雜度要求:大多數 SaaS 應用程式允許組織自訂密碼複雜度,可根據組織的政策更新應用程式中的密碼要求,以提高密碼的安全性,若組織沒有相關密碼政策,可以考慮遵循 NIST 建議
    • 不要強制更改密碼,因為使用者傾向於選擇易於記住的密碼。
    • 使用長密碼而不是複雜密碼,數字、特殊字元及大小寫字母的組合通常遵循如下格式:Password1!,這些密碼易遭到暴力破解攻擊,而像 MyFavoriteDessertIsPecanPie 這樣的長密碼很容易記住,但有 27 個字符,很難被暴力破解。
    • 將密碼嘗試次數限制為不超過 10 次。
    • 使用禁用詞彙列表篩選密碼,以避免使用已發布的密碼或其他易猜測的詞彙。

SaaS提供企業組織許多的方便性,然而其安全配置也非常重要,錯誤的配置設置可能導致系統的安全漏洞,使得系統容易受到攻擊。因此,組織應該定期檢查SaaS應用程式的配置,並確保符合安全規範,從而減少錯誤配置設置所帶來的潛在風險。

相關連結

  1. SaaS Compliance through the NIST Cybersecurity Framework
回頁首