未托管的 SaaS 数据将带来供应链风险

Saas，Software as a Service。Saas平台是运营saas软件的平台。SaaS提供商为企业搭建信息化所需要的所有网络基础设施及软件、硬件运作平台，并负责所有前期的实施、后期的维护等一系列服务，企业无需购买软硬件、建设机房、招聘IT人员，即可通过互联网使用信息系统。SaaS 是一种软件布局模型，其应用专为网络交付而设计，便于用户通过互联网托管、部署及接入。

当对软件服务化 (SaaS) 数据的访问不受管理时，内部和外部威胁的可能性都会增加。

这就是DoControl Inc. 的一份新报告如此令人不安的原因。在评估平均拥有 1,000 名员工的公司和拥有 500,000 至 1000 万资产的数据存储之后，这家 SaaS 公司发现所有 SaaS 数据访问中有 40% 未受管理。这意味着多达 200,000 项资产可能会被公开共享。

“我们应该立即为该行业敲响警钟。随着企业将他们的数据转移到云端，随着内部人员、合作伙伴和供应链的其他部分可以访问这些数据，这些数据的潜在暴露量会增加几个数量级，”Cyberhaven 首席执行官 Howard Ting 说。“企业必须开始让他们的 SaaS 供应商承担责任，并有可审计的方式来准确了解谁可以访问他们的数据以及如何保护数据。”

DoControl 研究人员指出，在拥有千人规模的公司里，平均有400个加密密钥在内部共享给任何拥有链接的人，其中 20% 的 SaaS 资产“通过链接在内部共享，使许多员工暴露于他们无权查看的数据点”。

即使在几乎完全远程工作一年多之后，公司似乎也没有让员工意识到将个人资产和专业资产分开的重要性——“8% 的员工将他们的公司账户资产与个人账户共享，暴露公司持续向员工提供数据，”DoControl 表示。

内部威胁并不是唯一的风险。该报告发现，组织的 SaaS 访问实践也使他们容易受到外部力量的影响：他们允许 1,000 到 15,000 名外部合作者访问公司数据。报告发现，“有 200 到 3,000 家外部（特别是第三方）公司可以访问公司资产”。

如果这还不够成问题，请考虑“18% 的 SaaS 应用程序资产在外部共享，并且即使在删除用户后仍保持在外部共享。”

JupiterOne 首席信息安全官兼研究主管 Sounil Yu 表示：“未托管的 SaaS 使用意味着敏感的企业数据可能会扩散到从未设想过容纳此类数据的位置。” 此外，“SaaS 应用程序通常与其他 SaaS 应用程序集成。如果这些集成也没有得到管理，那么组织就有可能通过多个 SaaS 渠道授予对其公司数据过度宽松和持续访问的风险。”

当然，SaaS 应用程序是用于协作的，预计它们会扩大公司的攻击面。但正如 DoControl 首席执行官兼联合创始人 Adam Gavish 指出的那样，组织在管理访问方面的做法必须转变为保护数据资产。“迄今为止，安全从业者一直专注于以安全的方式启用 SaaS 访问，但现在是优先考虑内部和外部数据访问的相关性的时候了，”Gavish 在一份声明中说。“无法管理的数据访问会给任何组织带来重大风险，并增加数据泄露的可能性。”

AppOmni 工程副总裁 Tim Bach 指出，“SaaS 在过去十年中已成为企业的首选技术解决方案，现在在日常业务运营中变得越来越重要，” Salesforce 等应用程序表示， ServiceNow、Workday、Microsoft365、GSuite、Box 和 Slack 的重要性日益增加，支持组织内“每条业务线的重要活动”。

但众所周知，SaaS 多云环境难以保护。Symmetry Systems 的联合创始人兼首席执行官 Mohit Tiwari 解释说：“有生产数据存储（SQL、NoSQL、缓存、队列……）、分析数据等……包含敏感数据并与互联网对话。” “而且每个数据存储都暴露了一组不同的旋钮——加密、访问控制等——很难设置和保持同步。”

巴赫说，让应用程序几乎对用户不可见的无处不在和便利性“创造了一个悖论”。“根据几乎所有客观标准——数据的敏感性、对业务运营的重要性、对数据完整性的需求等——这些应用程序及其包含的数据都是关键 IT 基础设施堆栈的一部分。但他们很少受到负责管理和保护关键企业 IT 的管理员的关注。”

他说，SaaS 通常不会受到“与 IaaS、裸机和 IT 基础设施堆栈的其他元素相同级别的尽职调查”。

因此，组织“容易受到泄露和破坏的影响，这些泄露和破坏可能会损害敏感信息的完整性、破坏运营并损害声誉和市场价值，”巴赫说。“作为安全从业者，我们需要将 SaaS 视为关键基础设施，并相应地进行投资以保护它。”

为了应对这些挑战，“组织首先需要了解正在使用的 SaaS 应用程序，”Yu 说。“此外，组织应明确审查 SaaS 应用程序的权限范围并批准它们，然后才允许它们通过其身份提供商进行身份验证。”

此外，Yu 说，“组织需要关注那些在使用 SSO 之外访问的 SaaS 应用程序。”

公司似乎需要听取 Tiwari 的建议，“从根本上重新思考如何监控他们的敏感数据在哪里、如何保护它以及如何使用它。”