未托管的 SaaS 数据将带来供应链风险

Saas，Software as a ServiceSaas平台是运营saas软件的平台SaaS提供商为企业搭建信息化所需要的所有网络基础设施及软件硬件运作平台，并负责所有前期的实施后期的维护等一系列服务，企业无需购买软硬件建设机房招聘IT人员，即可通过互联网使用信息系统SaaS 是一种软件布局模型，其应用专为网络交付而设计，便于用户通过互联网托管部署及接入

当对软件服务化 (SaaS) 数据的访问不受管理时，内部和外部威胁的可能性都会增加

这就是DoControl Inc. 的一份新报告如此令人不安的原因在评估平均拥有 1,000 名员工的公司和拥有 500,000 至 1000 万资产的数据存储之后，这家 SaaS 公司发现所有 SaaS 数据访问中有 40% 未受管理这意味着多达 200,000 项资产可能会被公开共享

我们应该立即为该行业敲响警钟随着企业将他们的数据转移到云端，随着内部人员合作伙伴和供应链的其他部分可以访问这些数据，这些数据的潜在暴露量会增加几个数量级，Cyberhaven 首席执行官 Howard Ting 说企业必须开始让他们的 SaaS 供应商承担责任，并有可审计的方式来准确了解谁可以访问他们的数据以及如何保护数据

DoControl 研究人员指出，在拥有千人规模的公司里，平均有400个加密密钥在内部共享给任何拥有链接的人，其中 20% 的 SaaS 资产通过链接在内部共享，使许多员工暴露于他们无权查看的数据点

即使在几乎完全远程工作一年多之后，公司似乎也没有让员工意识到将个人资产和专业资产分开的重要性8% 的员工将他们的公司账户资产与个人账户共享，暴露公司持续向员工提供数据，DoControl 表示

内部威胁并不是唯一的风险该报告发现，组织的 SaaS 访问实践也使他们容易受到外部力量的影响：他们允许 1,000 到 15,000 名外部合作者访问公司数据报告发现，有 200 到 3,000 家外部（特别是第三方）公司可以访问公司资产

如果这还不够成问题，请考虑18% 的 SaaS 应用程序资产在外部共享，并且即使在删除用户后仍保持在外部共享

JupiterOne 首席信息安全官兼研究主管 Sounil Yu 表示：未托管的 SaaS 使用意味着敏感的企业数据可能会扩散到从未设想过容纳此类数据的位置 此外，SaaS 应用程序通常与其他 SaaS 应用程序集成如果这些集成也没有得到管理，那么组织就有可能通过多个 SaaS 渠道授予对其公司数据过度宽松和持续访问的风险

当然，SaaS 应用程序是用于协作的，预计它们会扩大公司的攻击面但正如 DoControl 首席执行官兼联合创始人 Adam Gavish 指出的那样，组织在管理访问方面的做法必须转变为保护数据资产迄今为止，安全从业者一直专注于以安全的方式启用 SaaS 访问，但现在是优先考虑内部和外部数据访问的相关性的时候了，Gavish 在一份声明中说无法管理的数据访问会给任何组织带来重大风险，并增加数据泄露的可能性

AppOmni 工程副总裁 Tim Bach 指出，SaaS 在过去十年中已成为企业的首选技术解决方案，现在在日常业务运营中变得越来越重要， Salesforce 等应用程序表示， ServiceNowWorkdayMicrosoft365GSuiteBox 和 Slack 的重要性日益增加，支持组织内每条业务线的重要活动但众所周知，SaaS 多云环境难以保护Symmetry Systems 的联合创始人兼首席执行官 Mohit Tiwari 解释说：有生产数据存储（SQLNoSQL缓存队列）分析数据等包含敏感数据并与互联网对话 而且每个数据存储都暴露了一组不同的旋钮加密访问控制等很难设置和保持同步

巴赫说，让应用程序几乎对用户不可见的无处不在和便利性创造了一个悖论根据几乎所有客观标准数据的敏感性对业务运营的重要性对数据完整性的需求等这些应用程序及其包含的数据都是关键 IT 基础设施堆栈的一部分但他们很少受到负责管理和保护关键企业 IT 的管理员的关注

他说，SaaS 通常不会受到与 IaaS裸机和 IT 基础设施堆栈的其他元素相同级别的尽职调查

因此，组织容易受到泄露和破坏的影响，这些泄露和破坏可能会损害敏感信息的完整性破坏运营并损害声誉和市场价值，巴赫说作为安全从业者，我们需要将 SaaS 视为关键基础设施，并相应地进行投资以保护它

为了应对这些挑战，组织首先需要了解正在使用的 SaaS 应用程序，Yu 说此外，组织应明确审查 SaaS 应用程序的权限范围并批准它们，然后才允许它们通过其身份提供商进行身份验证

此外，Yu 说，组织需要关注那些在使用 SSO 之外访问的 SaaS 应用程序

公司似乎需要听取 Tiwari 的建议，从根本上重新思考如何监控他们的敏感数据在哪里如何保护它以及如何使用它

推荐阅读：

• 英国：组织在实施零信任架构时面临的挑战
• 漏洞管理面临三个核心问题
• 数据的需求与数据供应链挑战齐头并进
• 美国电信运营商T-Mobile就数据泄露一事展开调查
• 提升网络弹性和应对政府信息安全挑战
• 数据蔓延：云数据挑战
• 巴西宣布成立国家数据保护委员会

注：本文由E安全编译报道

    关注 E安全