本文來自微信公眾號“安全牛”。
軟件即服務(wù)(SaaS)應(yīng)用可以給企業(yè)數(shù)字化發(fā)展帶來很多便利,能夠幫助用戶實現(xiàn)更具性價比的實時工作協(xié)同,提升業(yè)務(wù)效率。但是,當(dāng)企業(yè)頻繁通過SaaS應(yīng)用進行日常文件和業(yè)務(wù)數(shù)據(jù)交換時,如果缺少精細化的安全訪問控制措施,將會讓企業(yè)面臨嚴重的數(shù)據(jù)泄漏風(fēng)險。以下梳理匯總了企業(yè)在使用SaaS系統(tǒng)時,經(jīng)常會發(fā)生的十種數(shù)據(jù)安全風(fēng)險:
1、SaaS應(yīng)用的訪問權(quán)限缺乏時效性管理
存儲在SaaS應(yīng)用程序中的文件的訪問權(quán)限時效性通常是無限期的,例如,當(dāng)?shù)谌焦?yīng)商和企業(yè)內(nèi)部員工之間憑借SaaS應(yīng)用程序通過共享鏈接來訪問、下載敏感文檔或數(shù)據(jù)文件后,除非手動對共享鏈接進行權(quán)限更改,否則這些鏈接將無限期處于“活躍狀態(tài)”。
而多數(shù)情況下,當(dāng)雙方的共享協(xié)作需求滿足后,企業(yè)內(nèi)部員工一般也不會去追溯、刪除第三方供應(yīng)商的訪問權(quán)限,這意味著即使外部人員沒有訪問需求后,存儲在SaaS應(yīng)用程序中的信息訪問權(quán)限卻仍然存在。這不僅是一種不良的商業(yè)行為,還增大了惡意人員泄露敏感數(shù)據(jù)的可能性。
2、企業(yè)員工個人身份信息過度曝光
很多企業(yè)內(nèi)部曝光在公共軟件平臺、共享文件夾或提供潛在客戶服務(wù)系統(tǒng)中的員工個人信息長期處于公開狀態(tài),允許所有具有高級訪問權(quán)限的人員無限期的查看、下載甚至使用。
傳統(tǒng)的數(shù)據(jù)防泄漏(DLP)解決方案中的PII(個人身份信息)掃描工具對存儲在SaaS應(yīng)用程序中的數(shù)據(jù)并不適用,安全人員只能通過手動的方式,發(fā)現(xiàn)和刪除這些共享的PII,但絕大多數(shù)安全團隊通常無暇顧及。
3、第四方外部人員的安全風(fēng)險無法評估
企業(yè)的第三方合作伙伴在訪問了企業(yè)內(nèi)部的SaaS應(yīng)用程序中的數(shù)據(jù)后,極有可能將這些數(shù)據(jù)共享給第四方外部人員(例如他們自己的外部供應(yīng)商),而這些第四方人員可能并未獲得企業(yè)內(nèi)部的授權(quán),且可能未經(jīng)過安全風(fēng)險評估。
實施統(tǒng)一的權(quán)限訪問策略以防止在SaaS應(yīng)用程序之中存在第四方共享人員是一項非常復(fù)雜的工作,因此這一附加層面的安全訪問控制通常會被忽略。
4、員工在開放的環(huán)境下過度共享加密信息
技術(shù)人員可以通過SaaS通信渠道(例如公共Slack頻道或Microsoft Teams聊天渠道)共享公有云賬戶密鑰等加密代碼,以實現(xiàn)團隊之間的協(xié)同作業(yè),僅通過各個SaaS應(yīng)用程序自帶的控制組件是無法阻止這種“過度共享”的行為的,即使企業(yè)內(nèi)部明令禁止這種行為,開發(fā)團隊之間為了協(xié)作方便也經(jīng)常“明知故犯”,而且SaaS應(yīng)用程序通常并不具備直接監(jiān)管這些特權(quán)訪問的功能,未經(jīng)授權(quán)的惡意攻擊者一旦獲得這些不合規(guī)共享信息就會有機可乘。
5、多個SaaS應(yīng)用程序的權(quán)限管理難以統(tǒng)一
企業(yè)通常都會使用多個SaaS應(yīng)用系統(tǒng),而不同的SaaS應(yīng)用程序都會有內(nèi)置的安全控制和功能,來幫助用戶主動管理訪問權(quán)限,但每個應(yīng)用程序控制的深度和粒度差異很大,這使得在大型、云上數(shù)字化企業(yè)中實施精細化的SaaS安全管理策略變得異常困難。
6、對SaaS數(shù)據(jù)共享缺少監(jiān)管
SaaS協(xié)作應(yīng)用程序通常具有與第三方應(yīng)用共享數(shù)據(jù)的功能(如電子郵件的多方轉(zhuǎn)發(fā)、傳遞),這導(dǎo)致企業(yè)內(nèi)部任何有權(quán)訪問敏感數(shù)據(jù)的人,都可以方便地將數(shù)據(jù)存儲到個人SaaS應(yīng)用賬戶中,以供自己更方便的使用,這樣就會造成監(jiān)管措施的失效,進而造成數(shù)據(jù)泄露。更糟糕的是,像電子郵件這樣的SaaS化應(yīng)用多數(shù)均為未啟用多因素身份驗證等安全措施,這會進一步增加敏感數(shù)據(jù)的泄露風(fēng)險。
7、離職員工的惡意使用行為
當(dāng)企業(yè)內(nèi)部人員崗位發(fā)生變更時,人事部門應(yīng)及時向安全團隊同步,以便安全團隊提前預(yù)防已離職員工可能對企業(yè)內(nèi)部帶來的安全威脅,當(dāng)大多數(shù)情況下,人事部門和安全團隊之間的聯(lián)系并不緊密,這樣就很難獲得跨所有SaaS應(yīng)用程序用戶活動的集中視圖,不能及時的對已離職員工進行權(quán)限的自動化清理和消除,就很難防止因離職員工而導(dǎo)致的數(shù)據(jù)泄露問題,對于大型企業(yè)來說尤甚。
8、安全團隊缺乏對業(yè)務(wù)安全需求的了解
安全團隊通常會被SaaS環(huán)境中大量的可疑用戶活動警報淹沒,但很難快速確定哪些報警信息存在實際安全風(fēng)險。因此安全團隊只能定期手動查詢內(nèi)部和外部用戶的活動,來了解他們的業(yè)務(wù)需求,并相應(yīng)地調(diào)整訪問權(quán)限。該流程增加了安全團隊和業(yè)務(wù)團隊之間不必要的交互,而且讓安全團隊針對業(yè)務(wù)的實際威脅平均修復(fù)時間變得更長。
9、員工通過SaaS系統(tǒng)訪問有潛在風(fēng)險的第三方應(yīng)用程序
OAuth等第三方應(yīng)用為SaaS應(yīng)用程序提供了訪問令牌,這些令牌授權(quán)特定賬戶進行信息共享,同時不會暴露用戶的密碼。這些第三方應(yīng)用程序讓工作更便捷,但也常被攻擊者用于網(wǎng)絡(luò)釣魚。攻擊者會創(chuàng)建看似合法的OAuth鏈接(URL),訪問者在訪問這些鏈接時,會收到“是否接受OAuth連接”的提示,通常情況下訪問者并不會仔細查看URL或檢查提示中的詳細信息,就果斷點擊“接受”。此時鏈接就會將訪問者轉(zhuǎn)到定向的試圖竊取用戶登錄信息的虛假登錄頁面。對普通員工而言,要準(zhǔn)確識別出第三方應(yīng)用連接是否安全并不容易。
10、不安全的內(nèi)部訪問權(quán)限設(shè)置與共享
當(dāng)員工在SaaS應(yīng)用(例如Google Drive或DropBox)中創(chuàng)建共享文件時,為了方便起見,通常會將查看、編輯或下載權(quán)限設(shè)置為“所有訪問鏈接的人”。但當(dāng)員工在開放的內(nèi)部渠道(如所有員工均可訪問的公共平臺)上共享鏈接時,這些敏感數(shù)據(jù)的訪問點將無限期地處于開放和過度曝光狀態(tài)。如果沒有辦法讓共享鏈接在設(shè)定時間內(nèi)自動關(guān)閉,就無法確保鏈接中的共享數(shù)據(jù)不會被未經(jīng)授權(quán)的人員竊取和利用。