每个员工都在找寻下一个SaaS应用来让自己的工作更轻松。一张信用卡+一份开支报告，公司里任何人都能在几分钟之内注册一个新的应用。问题在于：员工注册SaaS应用时并不具备相应的知识或者企业内部IT管理员的允许。

Gartner和思科的调查发现，IT员工只知晓公司内在用app的7%。这意味着，任何一家公司里，存在成百上千个不安全的SaaS应用，每一个都是可供黑客用以捞取公司数据的潜在切入点。

随着企业应用市场的扩张，非托管SaaS应用的数量也在持续上涨，让公司企业更难以控制安全及合规风险。考虑到这一点，OneLogin高级主管艾尔·萨金特为我们提供了管理SaaS海啸引入风险的几种方法。

1. 资金导向

IT部门应该与财务部门合作，专门创建一个“SaaS订阅”费用类别，而不是浇灭员工购买应用提升工作效率的热情。这样一来，IT部门就能更清楚有哪些app在用，可以更有效地维护和强化安全。

2. 营造协作氛围

员工总在找寻访问其最爱app的方法，这也是为什么完全限制外部应用对减少影子IT无甚效果的原因。相反，IT部门应向申请使用新生产力或通信应用的员工打开大门，为它们提供单点登录(SSO)门户以实现更快的访问。当员工习惯了使用应用要申请，IT也让应用访问更加简单，IT部门就能对自己应该保护的工具有更深入的理解了。

3. 保证内部安全

一旦IT确定了员工喜欢用的那些app，并将这些app放到SSO门户上，IT部门就需要围绕口令复杂性、定期更换和独特性实施强身份验证，当然，还有多因子身份验证(MFA)。SSO门户应该是更大的身份识别与访问管理(IAM)解决方案的一部分，公司应采用IAM来监测谁在访问何种应用，同时确保每个员工只能访问工作所需的app和信息。

4. 部署用户和实体行为分析

IT部门应将IAM与云访问安全代理(CASB)集成以找寻公司内异常行为，比如同一身份在两个不同国家访问一个app。如此，当CASB检测到此类行为，就能自动采取相应措施，包括要求MFA、终止会话、强制口令重置，或者禁用账户。

5. 跟踪app使用

成百上千的非托管app在用，所以，前雇员在IT部门不知情或不同意的情况下还留有对公司信息的访问权也毫不奇怪。大约10%的前雇员都能都能登录前老板的账户。因此，IT部门应将IAM与安全信息和事件管理器连接，监测非授权用户访问，确保只有授权用户才有对公司app的访问权。

6. 实现人力资源驱动的ID即服务(IDaaS)

更进一步，IT和HR部门应联合开展工作，创建员工离职应用撤销计划，其中就包括有HR驱动的IAM。一旦实现，当HR在人力资源信息中修改雇员状态为“离职”，IAM就会自动拾取这些修改并撤销对应用的访问权。这将会降低账户被遗漏的机会。

7. 应用对app的控制

虽然孤立员工推进SaaS应用是减少影子IT的重要一步，并非每个app都适合交换和访问公司数据。开放授权app尤其是难点，因为它们的无缝用户体验很易于让人采纳。但是其中一些有着广泛的授权范围，比如完全修改用户所有文件的能力——很容易被黑客当做攻击途径。IT应使用CASB来追踪开放授权app的使用，阻止带有过多授权范围的app。

8. 数据优先级划分

就算已采取了必要的措施来管理SaaS海啸，影子IT依然是一个风险因素。确定出公司最敏感的25个数据资产，知道有哪些和应用能访问这些数据集，用IAM和CASB解决方案定期监测它们，找寻异常行为。