GSS 資安電子報0020期【企業資安指南：Software-as-a-Service(軟體即服務,SaaS)的安全性 】

近年來，SaaS演變成另一種應用程式的交付方式，許多企業已經開始SaaS服務。SaaS不僅節省IT建構及維護的成本，更減少組織調度、整合、軟體客製化等麻煩。雖然業務、行銷、客服、人力資源等組織部門或許會要求訂購主機軟體（Hosted Software），其實，許多CISO已將雲端的安全性列入考量。
對於CISO來說，SaaS與舊有模式大不相同。其最大的轉變在於：軟體廠商並非銷售「軟體」，而是銷售「服務」。銷售管理若健全，第三方軟體的安全性則不亞於內部套裝軟體。Forrester Research提醒各企業：若想了解安全性、隱私權或其他法律結果，可先至雲端了解後，再與廠商交涉。這樣的做法可幫助您評估組織風險管理或廠商的SaaS安全程序等議題。

假設某些企業外部資料不在您的掌控範圍內，要把這些資料轉換至SaaS廠商，勢必得透過網際網路。如果廠商資安有缺口，任何人即可透過漏洞取得公司重要資料。
對許多廠商來說，SaaS好比「黑箱」，客戶或許可接受這種服務，也相信廠商會好好的保護公司資訊，但網際網路有許多資安缺口，某些機密資訊，諸如客戶資料、員工資料、信用卡號等，在廠商並沒有採取防護措施的情況下，有心人士即可在任何時間點輕易取得。
壞消息是，某些廠商即使意識到這層漏洞，卻沒有馬上補救。再者，若客戶沒有這方面的需求，大部份廠商壓根不會想提醒。可是，伺服器端未找到解決方式之前，某些未公開的程式錯誤仍有可能會遭人入侵。
當然還是有廠商試圖提高雲端的安全性。但對於身繫公司資安大任的您來說，廠商的實際安全措施遠比信賴廠商來得重要。

安全核對清單： 與SaaS廠商洽談條件時應注意下列事項

• 檢視廠商過去服務紀錄。您可參考其他客戶相關經驗，該廠商是否在隱私權、可靠度、漏洞防護等方面符合要求。
• 契約內應明定應用程式及基礎建構的安全需求。包括您的公司及第三方能定期審核廠商是否符合要求。
• 訂定一套SLA (Service Level Agreement)。完整的SLA內容須明示系統可信度。良好廠商會盡力使系統成效符合六標準差（Six Sigma Level）的服務品質。
• 廠商若有做修改，務必要求知會的動作。企業資安長有權要求SLA內增加此一條款。
• 強烈要求廠商的軟體開發程序應內含檢視安全碼標準，且符合完整的軟體開發生命週期（SDLC），其詳細內容亦應附註於SLA內。
• 有些細節您不能不知道，例如您的資料多久能修復、對方多久能建好防火牆等。若決定停止服務，務必小心檢視廠商修復資料的制度。
• 資料傳輸時，務必加密，並以授權碼管理。
• 確定使用者並非資安最弱的一環。明確告訴使用者有哪些網頁瀏覽器是用來進入SaaS，且隨時注意更新瀏覽器的安全性。
• 控制網域的使用量，且隨時知道使用者的登入狀況。使用者若不是從貴公司網頁登入，則無法從SaaS伺服器端取得公司資料。
• 隨時保持使用者登入公司的網域所有權，這樣一來，可免去與廠商結束合作關係時，得另外告知客戶新的URL位址。

安全核對清單：
您可對SaaS廠商提問：以下問題可幫您判斷SaaS廠商的資安是否穩固。

1. 有哪些使用者檢視過公司資料？

使用主機端SaaS應用程式時，公司資料會經過工程師、測試者、品管部門或其他人。廠商應有一套保護資訊的方法，避免公司資訊外洩的危機。
Bad answer:
「我們一定會把貴公司資訊安全擺在第一位。但要我們知道誰登入過網站不太可能，我想沒什麼人可以做到。」
Good answer:
「資料庫管理員以及處理人員檢視過您的資料。我們已持續記錄使用者的瀏覽路徑，也要求工程式採共同作業的方式，測試環境下的產品資訊也會加密。當然產品線偶爾會需要資深工程師來解決問題，這種情況下，我們也會要求工程師共同作業。」

1. 有何方法可避免非客戶檢視公司資料？

一般SaaS伺服器為多人共享，此意味著許多公司重要資訊放在同一架伺服器上。對SaaS來說，設計並實行一套有效的控管制度是一項挑戰。因此廠商應該事先聲明，大量人力需投注在此環節。
Bad answer:
我們的工程師都很厲害，這種情況不可能發生。
Good answer:
「我們設計了一套系統，即使工程師出錯，您的資料仍然很安全。雖然貴公司的資料與其他客戶放在同一架伺服器上，但我們的系統可杜絕客戶間獲取彼此資料的情況。」

1. 可否借閱上一次滲透測試的報告？

一直以來，SaaS廠商會委外滲透測試員，大部分測試員都會提供測試報告。重點是，廠商針對報告內容的解決方式是否適當。
Bad answer:
「我們滲透測試報告通常無法提供給客戶，但我們系統保證會自動修復資安漏洞，所以倒可以提供最新線上修復的紀錄。」
Good answer:
「我們每年委外資安公司進行數次系統測試，您可從最近一次的報告發現一些問題，若您願意，我們也可提供問題的解決方式。」

1. 可否借閱上一次程式碼檢測報告？

程式碼檢測可測出其他程式無法發現的錯誤，如果廠商符合PCI標準，就應做程式碼檢測。
Bad answer:
「我們當然會做程式碼檢測，但目前為止，沒有留下任何檢測紀錄。」
Good answer:
「這份報告請您過目，您可從報告內參考我們內部程式碼標準，當然，我們也能提供報告複本給您。」

1. 是否每位工程師都會接受資安教育訓練？

理論上，和軟體開發程序有關的員工都應接受資安教育訓練。若是連工程師都沒受訓，那麼廠商可糟了。
Bad answer:
「我們工程師連OWASP Top 10都看得懂，當然懂資安。」
Good answer:
「工程師來公司報到當天，我們就會進行一整天的資安教育訓練，本公司資安訓練團隊的專業度，讓工程師永遠能接收最新的資安資訊。」

1. 會不會使用沒寫過的程式碼？如何知道該程式碼是否安全？

廠商應詳細列出所有第三方原始碼供應商、如何確保原始碼的安全性、以及如何修復漏洞等資訊。另外，發現開放源始碼套件(Open Source Library)中的漏洞後，該廠商花了多久時間修補？
Bad answer:
「因為開放源始碼套件的變化時在太快，我們無法確定正在使用哪個檔案庫。」
Good answer:
「我們在契約中明訂供應商應符合安全標準，因此，開放源始碼若沒有經過資安團隊認可，我們不會使用。」

1. 生產線上的軟體品管方式為何？

開發人員是否僅把即將上市的新產品交給營運團隊處理？是否會視程式碼為黑箱？還是他們對上線系統的運作有深入了解呢？
Bad answer:
「我們的營運團隊有一套IDS(Intrusion Detection System)，如果硬體空間不夠，我們會去了解原因」
Good answer:
「針對貴公司的應用程式，我們已建立監視及防護系統。這套系統可仔細檢視程式中安全碼的問題。另外，系統也可量化所有使用者瀏覽紀錄，因此若有不肖份子竊取任何ID或密碼，或企圖獲取貴公司資料等，我們都會注意。」

1. 軟體上市前，會進行何種安全測試？

SaaS也須顧及軟體品質，況且有效的軟體測試對於資安來說很重要；有效的測試除了靠資安人員熟悉破解軟體的方法外，用來測試的自動化工具也需經過千錘百煉。
Bad answer:
「當然，我們都會做單元測試。」
Good answer:
「我們的標準復原測試程序包括針對所有安全特點進行檢測。例如鎖住密碼、重設密碼，Entitlement等。我們同時也在尋找弱點評估工具所發現的資安漏洞。」

Fortify專注於軟體開發安全保證，並符合相關軟體安全標準。Fortify軟體安全研究團隊幫助軟體開發人員介定常見的程式碼錯誤，因此開發人員及業者開發軟體時即了解問題點，避免上市之後仍有錯誤發生。
與Fortify合作能讓您隨時保有最新的資安資訊。Fortify提供所有您所需的工具：包括資安公佈欄、白皮書、Webcasts、影音教材等，讓您深入了解所有分散式軟體服務(Distributed Software Portfolios)下的SaaS資安議題。

Fortify的軟體開發安全保證(Software Security Assurance)保護公司及組織免於現今最大的安全危機：企業的IT系統。Fortify減少重大金融及商譽的損失，亦即時地確保政府或企業滿足相關法案。Fortify的顧客包括政府機構、全球前2000大金融服務業、醫療機構、網路電子商業、電信業、出版業、保險系統整合及資訊科技業。欲了解更多資訊，請上www.fortify.com網站查詢。