信息化觀察網

本文來自微信公眾號“安全牛”。

軟件即服務（SaaS）應用可以給企業(yè)數(shù)字化發(fā)展帶來很多便利，能夠幫助用戶實現(xiàn)更具性價比的實時工作協(xié)同，提升業(yè)務效率。但是，當企業(yè)頻繁通過SaaS應用進行日常文件和業(yè)務數(shù)據(jù)交換時，如果缺少精細化的安全訪問控制措施，將會讓企業(yè)面臨嚴重的數(shù)據(jù)泄漏風險。以下梳理匯總了企業(yè)在使用SaaS系統(tǒng)時，經常會發(fā)生的十種數(shù)據(jù)安全風險：

1、SaaS應用的訪問權限缺乏時效性管理

存儲在SaaS應用程序中的文件的訪問權限時效性通常是無限期的，例如，當?shù)谌焦毯推髽I(yè)內部員工之間憑借SaaS應用程序通過共享鏈接來訪問、下載敏感文檔或數(shù)據(jù)文件后，除非手動對共享鏈接進行權限更改，否則這些鏈接將無限期處于“活躍狀態(tài)”。

而多數(shù)情況下，當雙方的共享協(xié)作需求滿足后，企業(yè)內部員工一般也不會去追溯、刪除第三方供應商的訪問權限，這意味著即使外部人員沒有訪問需求后，存儲在SaaS應用程序中的信息訪問權限卻仍然存在。這不僅是一種不良的商業(yè)行為，還增大了惡意人員泄露敏感數(shù)據(jù)的可能性。

2、企業(yè)員工個人身份信息過度曝光

很多企業(yè)內部曝光在公共軟件平臺、共享文件夾或提供潛在客戶服務系統(tǒng)中的員工個人信息長期處于公開狀態(tài)，允許所有具有高級訪問權限的人員無限期的查看、下載甚至使用。

傳統(tǒng)的數(shù)據(jù)防泄漏（DLP）解決方案中的PII（個人身份信息）掃描工具對存儲在SaaS應用程序中的數(shù)據(jù)并不適用，安全人員只能通過手動的方式，發(fā)現(xiàn)和刪除這些共享的PII，但絕大多數(shù)安全團隊通常無暇顧及。

3、第四方外部人員的安全風險無法評估

企業(yè)的第三方合作伙伴在訪問了企業(yè)內部的SaaS應用程序中的數(shù)據(jù)后，極有可能將這些數(shù)據(jù)共享給第四方外部人員（例如他們自己的外部供應商），而這些第四方人員可能并未獲得企業(yè)內部的授權，且可能未經過安全風險評估。

實施統(tǒng)一的權限訪問策略以防止在SaaS應用程序之中存在第四方共享人員是一項非常復雜的工作，因此這一附加層面的安全訪問控制通常會被忽略。

4、員工在開放的環(huán)境下過度共享加密信息

技術人員可以通過SaaS通信渠道（例如公共Slack頻道或Microsoft Teams聊天渠道）共享公有云賬戶密鑰等加密代碼，以實現(xiàn)團隊之間的協(xié)同作業(yè)，僅通過各個SaaS應用程序自帶的控制組件是無法阻止這種“過度共享”的行為的，即使企業(yè)內部明令禁止這種行為，開發(fā)團隊之間為了協(xié)作方便也經常“明知故犯”，而且SaaS應用程序通常并不具備直接監(jiān)管這些特權訪問的功能，未經授權的惡意攻擊者一旦獲得這些不合規(guī)共享信息就會有機可乘。

5、多個SaaS應用程序的權限管理難以統(tǒng)一

企業(yè)通常都會使用多個SaaS應用系統(tǒng)，而不同的SaaS應用程序都會有內置的安全控制和功能，來幫助用戶主動管理訪問權限，但每個應用程序控制的深度和粒度差異很大，這使得在大型、云上數(shù)字化企業(yè)中實施精細化的SaaS安全管理策略變得異常困難。

6、對SaaS數(shù)據(jù)共享缺少監(jiān)管

SaaS協(xié)作應用程序通常具有與第三方應用共享數(shù)據(jù)的功能（如電子郵件的多方轉發(fā)、傳遞），這導致企業(yè)內部任何有權訪問敏感數(shù)據(jù)的人，都可以方便地將數(shù)據(jù)存儲到個人SaaS應用賬戶中，以供自己更方便的使用，這樣就會造成監(jiān)管措施的失效，進而造成數(shù)據(jù)泄露。更糟糕的是，像電子郵件這樣的SaaS化應用多數(shù)均為未啟用多因素身份驗證等安全措施，這會進一步增加敏感數(shù)據(jù)的泄露風險。

7、離職員工的惡意使用行為

當企業(yè)內部人員崗位發(fā)生變更時，人事部門應及時向安全團隊同步，以便安全團隊提前預防已離職員工可能對企業(yè)內部帶來的安全威脅，當大多數(shù)情況下，人事部門和安全團隊之間的聯(lián)系并不緊密，這樣就很難獲得跨所有SaaS應用程序用戶活動的集中視圖，不能及時的對已離職員工進行權限的自動化清理和消除，就很難防止因離職員工而導致的數(shù)據(jù)泄露問題，對于大型企業(yè)來說尤甚。

8、安全團隊缺乏對業(yè)務安全需求的了解

安全團隊通常會被SaaS環(huán)境中大量的可疑用戶活動警報淹沒，但很難快速確定哪些報警信息存在實際安全風險。因此安全團隊只能定期手動查詢內部和外部用戶的活動，來了解他們的業(yè)務需求，并相應地調整訪問權限。該流程增加了安全團隊和業(yè)務團隊之間不必要的交互，而且讓安全團隊針對業(yè)務的實際威脅平均修復時間變得更長。

9、員工通過SaaS系統(tǒng)訪問有潛在風險的第三方應用程序

OAuth等第三方應用為SaaS應用程序提供了訪問令牌，這些令牌授權特定賬戶進行信息共享，同時不會暴露用戶的密碼。這些第三方應用程序讓工作更便捷，但也常被攻擊者用于網絡釣魚。攻擊者會創(chuàng)建看似合法的OAuth鏈接（URL），訪問者在訪問這些鏈接時，會收到“是否接受OAuth連接”的提示，通常情況下訪問者并不會仔細查看URL或檢查提示中的詳細信息，就果斷點擊“接受”。此時鏈接就會將訪問者轉到定向的試圖竊取用戶登錄信息的虛假登錄頁面。對普通員工而言，要準確識別出第三方應用連接是否安全并不容易。

10、不安全的內部訪問權限設置與共享

當員工在SaaS應用（例如Google Drive或DropBox）中創(chuàng)建共享文件時，為了方便起見，通常會將查看、編輯或下載權限設置為“所有訪問鏈接的人”。但當員工在開放的內部渠道（如所有員工均可訪問的公共平臺）上共享鏈接時，這些敏感數(shù)據(jù)的訪問點將無限期地處于開放和過度曝光狀態(tài)。如果沒有辦法讓共享鏈接在設定時間內自動關閉，就無法確保鏈接中的共享數(shù)據(jù)不會被未經授權的人員竊取和利用。