当前位置: 首页 > 科技观察

企业SaaS应用中的十大数据访问风险

时间:2023-03-13 13:25:14 科技观察

SoftwareasaService(SaaS)应用可以为企业的数字化发展带来很多便利,可以帮助用户实现更具成本效益的实时工作协作,提高业务效率。然而,当企业通过SaaS应用频繁交换日常文件和业务数据时,缺乏精细化的安全访问控制措施将使企业面临严重的数据泄露风险。下面总结了企业在使用SaaS系统时经常出现的十类数据安全风险:1.SaaS应用的访问权限缺乏时效性管理SaaS应用中存储的文件访问权限的时效性通常是不确定的例如,当第三方供应商和内部员工使用SaaS应用程序通过共享链接访问和下载敏感文档或数据文件,除非手动更改共享链接的权限,否则这些链接将无限期地“活跃”。大多数情况下,在满足双方共享协作需求的情况下,企业内部员工一般不会追溯或删除第三方供应商的访问权限,这意味着即使外部人员不有访问需求,他们将存储在SaaS应用程序中的信息的访问权限仍然存在。这不仅是一种不良的商业行为,也增加了恶意方暴露敏感数据的机会。2.个人身份信息的过度暴露企业员工,很多企业内部的公共软件平台、共享文件夹或潜在客户服务系统暴露的员工个人信息长期处于公开状态,所有高级访问权限的人员都可以无限期查看。下载甚至使用传统数据泄露防护(DLP)解决方案中的PII(个人身份信息)扫描工具并不适用SaaS应用程序中存储的数据表。安全人员只能手动发现并删除这些共享的PII。但绝大多数安全团队通常没有时间关心。3.无法评估第四方外部人员的安全风险。企业的第三方合作伙伴在访问企业内部SaaS应用中的数据后,很可能会将数据共享给第三方外部人员(比如自己的外部供应商),而这些第四方-当事方人员可能未在企业内获得授权,也可能未接受安全风险评估。在SaaS应用程序中执行统一的权限访问策略以防止第四方共享者是一项非常复杂的任务,因此通常会忽略这一额外的安全访问控制层。4.员工在开放环境中过度共享加密信息技术人员可以通过SaaS通信渠道(如公共Slack渠道或MicrosoftTeams聊天渠道)共享公有云账号密钥等加密代码,实现团队间的协同工作。这种“过度共享”的行为无法通过每个SaaS应用自带的控制组件来阻止。即使这种行为在企业内部被明确禁止,开发团队也常常为了协作的方便而“明知故犯”,而SaaS应用程序通常没有能力直接监管这些特权访问,未经授权的恶意攻击者可能会获得对不合规共享的访问权限信息。5、多个SaaS应用的权限管理难以统一。企业通常使用多个SaaS应用系统,不同的SaaS应用会内置安全控制和功能,帮助用户主动管理访问权限,但每个应用的控制深度和粒度差异很大,这使得精细化实施变得异常困难基于云的大型数字企业中的SaaS安全管理策略。6、SaaS数据共享缺乏监管SaaS协作应用通常具有与第三方应用共享数据的功能(如邮件的多方转发和投递),导致企业内部敏感数据无权访问.将数据存储在个人SaaS应用账户中是为了更方便自己使用,会导致监管措施失效,造成数据泄露。更糟糕的是,大多数支持SaaS的应用程序(如电子邮件)没有启用多因素身份验证等安全措施,这进一步增加了敏感数据泄露的风险。7、恶意利用离职员工当公司内部员工岗位变动时,人事部门应及时与安全团队同步,让安全团队提前防范离职员工可能给公司带来的安全威胁。在大多数情况下,HR部门和安全团队之间的联系并不紧密,因此很难获得跨所有SaaS应用的用户活动的集中视图,也很难防止因自动清理和淘汰而导致的离职及时对离职员工进行权限管理。员工造成的数据泄露问题,尤其是大型企业。8.安全团队缺乏对业务安全需求的理解。在SaaS环境中,安全团队通常会被大量可疑的用户活动警报搞得不知所措,但很难快速确定哪些警报信息具有实际安全风险。因此,安全团队只能定期手动查询内部和外部用户的活动,以了解他们的业务需求并相应地调整访问权限。此过程增加了安全团队与业务团队之间不必要的交互,并增加了修复业务实际威胁的平均时间。9.员工通过SaaS系统访问存在潜在风险的第三方应用。OAuth等第三方应用程序为SaaS应用程序提供访问令牌。这些令牌授权特定帐户在不泄露用户密码的情况下共享信息。这些第三方应用程序使工作更轻松,但也常被??攻击者用于网络钓鱼。攻击者将创建看似合法的OAuth链接(URL)。当访问者访问这些链接时,他们将收到“接受OAuth连接”的提示。通常,访问者不会仔细查看URL或检查提示。更多信息,果断点击“接受”。然后,该链接将访问者带到一个有针对性的虚假登录页面,该页面试图窃取用户的登录信息。普通员工很难准确识别第三方应用连接是否安全。10、不安全的内部访问权限设置和共享员工在SaaS应用程序(如GoogleDrive或DropBox)中创建共享文件时,为了方便起见,通常将查看、编辑或下载权限设置为“访问链接的所有人”。”。但是,当员工在开放的内部渠道(例如所有员工都可以访问的公共平台)上共享链接时,这些敏感数据的访问点将无限期地保持开放和过度暴露。如果没有办法在设定时间内自动关闭共享链接,则有没有办法保证链接中的共享数据不会被盗取和被未授权人员使用,参考链接https://www.docontrol.io/blog/the-top-10-saas-data-access-risks。