SSPM如何简化SOC2 SaaS安全态势审核
一位会计和一位安全专家走进一家酒吧;SOC2不是玩笑。
无论你是一家上市公司还是一家私营公司,你都可能在考虑接受服务组织控制(SOC)审计。对于上市公司,这些报告由证券交易委员会(SEC)要求,并由注册会计师(CPA)执行。然而,作为供应商尽职调查流程的一部分,客户经常要求提交SOC2报告。
在三种类型的SOC报告中,SOC2是成功通过监管要求的标准,标志着组织内的高度安全性和弹性—;并基于美国注册会计师协会(AICPA)的认证要求。本报告旨在评估与安全性、可用性、处理完整性、机密性和隐私相关的组织信息系统—;在一段时间内(大约六到十二个月)。
作为SOC2审计的一部分,有必要对公司的SaaS堆栈进行安全检查,以查找错误配置的设置,如检测和监控,以确保信息安全控制的持续有效性,并防止未经授权/不适当地访问物理和数字资产及位置。
如果您正在开始或正在进行SOC2审核,那么SSPM(SaaS安全态势管理)解决方案可以简化流程,缩短成功通过SOC2审核所需的时间,完全覆盖您的SaaS安全态势。
了解如何简化组织的SOC2合规性
AICPA信托服务标准(TSC)是什么?
当外部审计师参与SOC 2审计时,他们需要将您的工作与AICPA TSC的一长串既定要求进行比较。“通用控制”分为五组:
- 安全-包括逻辑和物理访问(CC6)的子控件
- 可利用性-包括系统操作的子控制(CC7)
- 处理完整性:包括系统操作的子控制(CC7)
- 保密性:包括逻辑和物理访问(CC6)的子控件
- 隐私-包括监控活动的子控制(CC4)
在每个公共控件中都有一组子控件,它们将总体标准转化为可执行的任务。
通过SOC 2审核需要花费大量时间、精力和文档。在SOC2审核期间,您不仅需要证明您的控制在审核期间有效,还需要证明您有能力持续监控您的安全。
浏览整个TSC框架对于一篇博客文章来说太长了。然而,通过快速查看逻辑和物理访问(CC6)和系统操作(CC7)的两个控件,您可以了解一些控件的外观,以及如何利用SSPM简化SOC2审核。
获取一个15分钟的演示,演示SSPM如何帮助您的SOC 2 TSC审计
逻辑和物理访问控制
本节规定了防止未经授权或不当访问物理和数字资产及位置所需的控制类型。跨SaaS estate管理用户访问权限、身份验证和授权带来了许多挑战。事实上,当你想保护你的云应用程序时,用户的分布式特性和管理不同的访问策略变得越来越具有挑战性。
根据CC6。1.控制,实体需要:
- 识别、分类和管理信息资产
- 限制&;管理用户访问
- 考虑网络分割
- 注册、授权和记录新基础设施
- 通过对静止数据进行加密来补充安全性
- 保护加密密钥
实例
使用SaaS应用程序的部门通常是购买和实施SaaS应用程序的部门。营销部门可能会实施SaaS解决方案来监控潜在客户,而销售部门则实施CRM。同时,每个应用程序都有自己的一组访问功能和配置。然而,这些SaaS所有者可能没有接受过安全培训,或者无法持续监控应用程序的安全设置,因此安全团队会失去可视性。同时,安全团队可能不像所有者那样了解SaaS的内部工作原理,因此他们可能不了解可能导致安全漏洞的更复杂案例。
SSPM解决方案映射出每个SaaS应用程序的所有用户权限、加密、证书和所有可用安全配置。除了可见性之外,SSPM解决方案还考虑到每个SaaS应用的独特功能和可用性,有助于纠正这些方面的任何错误配置。
抄送。6.2控制,实体需要:
- 根据系统资产所有者或授权保管人的授权创建资产访问凭证
- 当用户不再需要访问时,建立删除凭据访问的过程
- 定期检查是否有不必要的和不合适的个人拥有证书
实例
当用户作为组成员身份的一部分拥有某些权限,但随后被分配了比该组拥有的权限更特权的特定权限时,就会发生权限漂移。随着时间的推移,许多用户会获得额外的权限。这破坏了使用组进行资源调配的想法。
典型的取消配置问题,SSPM解决方案可以发现非活动用户,并帮助组织快速修复,或者至少提醒安全团队该问题。
在CC下。6.3控制,实体需要:
- 建立创建、修改或删除受保护信息和资产访问权限的流程
- 使用基于角色的访问控制(RBAC)
- 定期检查访问角色和访问规则
实例
您可能要管理五个SaaS应用程序中的50000个用户,这意味着安全团队需要管理总共250000个身份。同时,每个SaaS都有不同的方式来定义身份、查看身份和保护身份。更大的风险是,SaaS应用程序并不总是相互集成,这意味着用户可以发现自己在不同的系统中拥有不同的权限。这会导致不必要的特权,从而产生潜在的安全风险。
SSPM解决方案允许查看所有连接的SaaS应用程序的用户权限和敏感权限,突出显示与权限组和配置文件的偏差。
系统操作
本节重点介绍检测和监控,以确保跨系统和网络(包括SaaS应用程序)的信息安全控制的持续有效性。SaaS应用程序的多样性和潜在的错误配置使得满足这些需求具有挑战性。
在CC7中。1.控制,实体需要:
- 定义配置标准
- 监控基础设施和软件是否不符合标准
- 建立变更检测机制,防止员工对关键系统、配置或内容文件进行未经授权的修改
- 建立检测已知或未知成分引入的程序
- 定期进行漏洞扫描,以检测潜在的漏洞或错误配置
期望安全团队在不与所有相关SaaS错误配置的内置知识库进行比较的情况下定义符合SOC2的“配置标准”,并在不使用SSPM解决方案的情况下持续遵守SOC2,这是不现实的。
