软件即服务公司DoControl发布的一份调查报告发现,所有SaaS数据中有40%存在重大的内部和外部威胁。该报告详细介绍了SaaS供应商未检查和命名的数据访问重大威胁,以及这些威胁是如何被忽视的。本次调查的对象是一家平均规模为1000人的企业,50万到1000万的数据存储资产存储在SaaS应用中。可以公开共享的企业可能有多达200,000项资产公开共享。研究表明,内部威胁是一个主要问题,平均有400个加密密钥在内部与接收链接的任何人共享。有五分之一的SaaS资产通过内部共享连接暴露,很多员工甚至可以获取到他们没有权限使用的数据。大约8%的人通过个人账户对外共享公司资产,让许多前员工可以继续使用公司数据。在外部威胁方面,研究发现有1,000-15,000名外部合作者(包括供应商、承包商、客户、合作伙伴、潜在客户、媒体和分析师)可以访问公司数据。200-3000家外部公司,尤其是第三方公司,可以访问受访企业的资产。而且,有18%的SaaS应用已经对外分享,即使在删除用户后,依然保持公开分享的状态。DoControl的联合创始人兼首席执行官AdamGavish解释说:“过去一年迫使许多组织与外部各方合作,并调整现有员工队伍以支持远程协作。安全从业者一直专注于以安全的方式访问SaaS,现在是他们优先考虑内部数据和外部数据访问关联的时候了。”Gavish指出,不受管理的数据访问会带来重大风险,并增加数据泄露的可能性。”虽然SaaS应用旨在促进协作,但在这种攻击面不断扩大的情况下,安全团队必须密切关注大规模持续数据访问。”
