压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

軟件即服務(wù)（SaaS）應(yīng)用可以給企業(yè)數(shù)字化發(fā)展帶來(lái)很多便利，能夠幫助用戶(hù)實(shí)現(xiàn)更具性?xún)r(jià)比的實(shí)時(shí)工作協(xié)同，提升業(yè)務(wù)效率。但是，當(dāng)企業(yè)頻繁通過(guò)SaaS應(yīng)用進(jìn)行日常文件和業(yè)務(wù)數(shù)據(jù)交換時(shí)，如果缺少精細(xì)化的安全訪問(wèn)控制措施，將會(huì)讓企業(yè)面臨嚴(yán)重的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。以下梳理匯總了企業(yè)在使用SaaS系統(tǒng)時(shí)，經(jīng)常會(huì)發(fā)生的十種數(shù)據(jù)安全風(fēng)險(xiǎn)：

1、SaaS應(yīng)用的訪問(wèn)權(quán)限缺乏時(shí)效性管理

存儲(chǔ)在SaaS應(yīng)用程序中的文件的訪問(wèn)權(quán)限時(shí)效性通常是無(wú)限期的，例如，當(dāng)?shù)谌焦?yīng)商和企業(yè)內(nèi)部員工之間憑借SaaS應(yīng)用程序通過(guò)共享鏈接來(lái)訪問(wèn)、下載敏感文檔或數(shù)據(jù)文件后，除非手動(dòng)對(duì)共享鏈接進(jìn)行權(quán)限更改，否則這些鏈接將無(wú)限期處于“活躍狀態(tài)”。

而多數(shù)情況下，當(dāng)雙方的共享協(xié)作需求滿(mǎn)足后，企業(yè)內(nèi)部員工一般也不會(huì)去追溯、刪除第三方供應(yīng)商的訪問(wèn)權(quán)限，這意味著即使外部人員沒(méi)有訪問(wèn)需求后，存儲(chǔ)在SaaS應(yīng)用程序中的信息訪問(wèn)權(quán)限卻仍然存在。這不僅是一種不良的商業(yè)行為，還增大了惡意人員泄露敏感數(shù)據(jù)的可能性。

2、企業(yè)員工個(gè)人身份信息過(guò)度曝光

很多企業(yè)內(nèi)部曝光在公共軟件平臺(tái)、共享文件夾或提供潛在客戶(hù)服務(wù)系統(tǒng)中的員工個(gè)人信息長(zhǎng)期處于公開(kāi)狀態(tài)，允許所有具有高級(jí)訪問(wèn)權(quán)限的人員無(wú)限期的查看、下載甚至使用。

傳統(tǒng)的數(shù)據(jù)防泄漏（DLP）解決方案中的PII（個(gè)人身份信息）掃描工具對(duì)存儲(chǔ)在SaaS應(yīng)用程序中的數(shù)據(jù)并不適用，安全人員只能通過(guò)手動(dòng)的方式，發(fā)現(xiàn)和刪除這些共享的PII，但絕大多數(shù)安全團(tuán)隊(duì)通常無(wú)暇顧及。

3、第四方外部人員的安全風(fēng)險(xiǎn)無(wú)法評(píng)估

企業(yè)的第三方合作伙伴在訪問(wèn)了企業(yè)內(nèi)部的SaaS應(yīng)用程序中的數(shù)據(jù)后，極有可能將這些數(shù)據(jù)共享給第四方外部人員（例如他們自己的外部供應(yīng)商），而這些第四方人員可能并未獲得企業(yè)內(nèi)部的授權(quán)，且可能未經(jīng)過(guò)安全風(fēng)險(xiǎn)評(píng)估。

實(shí)施統(tǒng)一的權(quán)限訪問(wèn)策略以防止在SaaS應(yīng)用程序之中存在第四方共享人員是一項(xiàng)非常復(fù)雜的工作，因此這一附加層面的安全訪問(wèn)控制通常會(huì)被忽略。

4、?員工在開(kāi)放的環(huán)境下過(guò)度共享加密信息

技術(shù)人員可以通過(guò)SaaS通信渠道（例如公共Slack頻道或Microsoft Teams聊天渠道）共享公有云賬戶(hù)密鑰等加密代碼，以實(shí)現(xiàn)團(tuán)隊(duì)之間的協(xié)同作業(yè)，僅通過(guò)各個(gè)SaaS應(yīng)用程序自帶的控制組件是無(wú)法阻止這種“過(guò)度共享”的行為的，即使企業(yè)內(nèi)部明令禁止這種行為，開(kāi)發(fā)團(tuán)隊(duì)之間為了協(xié)作方便也經(jīng)常“明知故犯”，而且SaaS應(yīng)用程序通常并不具備直接監(jiān)管這些特權(quán)訪問(wèn)的功能，未經(jīng)授權(quán)的惡意攻擊者一旦獲得這些不合規(guī)共享信息就會(huì)有機(jī)可乘。

5、多個(gè)SaaS應(yīng)用程序的權(quán)限管理難以統(tǒng)一

企業(yè)通常都會(huì)使用多個(gè)SaaS應(yīng)用系統(tǒng)，而不同的SaaS應(yīng)用程序都會(huì)有內(nèi)置的安全控制和功能，來(lái)幫助用戶(hù)主動(dòng)管理訪問(wèn)權(quán)限，但每個(gè)應(yīng)用程序控制的深度和粒度差異很大，這使得在大型、云上數(shù)字化企業(yè)中實(shí)施精細(xì)化的SaaS安全管理策略變得異常困難。

6、對(duì)SaaS數(shù)據(jù)共享缺少監(jiān)管

SaaS協(xié)作應(yīng)用程序通常具有與第三方應(yīng)用共享數(shù)據(jù)的功能（如電子郵件的多方轉(zhuǎn)發(fā)、傳遞），這導(dǎo)致企業(yè)內(nèi)部任何有權(quán)訪問(wèn)敏感數(shù)據(jù)的人，都可以方便地將數(shù)據(jù)存儲(chǔ)到個(gè)人SaaS應(yīng)用賬戶(hù)中，以供自己更方便的使用，這樣就會(huì)造成監(jiān)管措施的失效，進(jìn)而造成數(shù)據(jù)泄露。更糟糕的是，像電子郵件這樣的SaaS化應(yīng)用多數(shù)均為未啟用多因素身份驗(yàn)證等安全措施，這會(huì)進(jìn)一步增加敏感數(shù)據(jù)的泄露風(fēng)險(xiǎn)。

7、離職員工的惡意使用行為

當(dāng)企業(yè)內(nèi)部人員崗位發(fā)生變更時(shí)，人事部門(mén)應(yīng)及時(shí)向安全團(tuán)隊(duì)同步，以便安全團(tuán)隊(duì)提前預(yù)防已離職員工可能對(duì)企業(yè)內(nèi)部帶來(lái)的安全威脅，當(dāng)大多數(shù)情況下，人事部門(mén)和安全團(tuán)隊(duì)之間的聯(lián)系并不緊密，這樣就很難獲得跨所有SaaS應(yīng)用程序用戶(hù)活動(dòng)的集中視圖，不能及時(shí)的對(duì)已離職員工進(jìn)行權(quán)限的自動(dòng)化清理和消除，就很難防止因離職員工而導(dǎo)致的數(shù)據(jù)泄露問(wèn)題，對(duì)于大型企業(yè)來(lái)說(shuō)尤甚。

8、安全團(tuán)隊(duì)缺乏對(duì)業(yè)務(wù)安全需求的了解

安全團(tuán)隊(duì)通常會(huì)被SaaS環(huán)境中大量的可疑用戶(hù)活動(dòng)警報(bào)淹沒(méi)，但很難快速確定哪些報(bào)警信息存在實(shí)際安全風(fēng)險(xiǎn)。因此安全團(tuán)隊(duì)只能定期手動(dòng)查詢(xún)內(nèi)部和外部用戶(hù)的活動(dòng)，來(lái)了解他們的業(yè)務(wù)需求，并相應(yīng)地調(diào)整訪問(wèn)權(quán)限。該流程增加了安全團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)之間不必要的交互，而且讓安全團(tuán)隊(duì)針對(duì)業(yè)務(wù)的實(shí)際威脅平均修復(fù)時(shí)間變得更長(zhǎng)。

9、員工通過(guò)SaaS系統(tǒng)訪問(wèn)有潛在風(fēng)險(xiǎn)的第三方應(yīng)用程序

OAuth等第三方應(yīng)用為SaaS應(yīng)用程序提供了訪問(wèn)令牌，這些令牌授權(quán)特定賬戶(hù)進(jìn)行信息共享，同時(shí)不會(huì)暴露用戶(hù)的密碼。這些第三方應(yīng)用程序讓工作更便捷，但也常被攻擊者用于網(wǎng)絡(luò)釣魚(yú)。攻擊者會(huì)創(chuàng)建看似合法的OAuth鏈接（URL），訪問(wèn)者在訪問(wèn)這些鏈接時(shí)，會(huì)收到“是否接受OAuth連接”的提示，通常情況下訪問(wèn)者并不會(huì)仔細(xì)查看URL或檢查提示中的詳細(xì)信息，就果斷點(diǎn)擊“接受”。此時(shí)鏈接就會(huì)將訪問(wèn)者轉(zhuǎn)到定向的試圖竊取用戶(hù)登錄信息的虛假登錄頁(yè)面。對(duì)普通員工而言，要準(zhǔn)確識(shí)別出第三方應(yīng)用連接是否安全并不容易。

10、不安全的內(nèi)部訪問(wèn)權(quán)限設(shè)置與共享

當(dāng)員工在SaaS應(yīng)用（例如Google Drive或DropBox）中創(chuàng)建共享文件時(shí)，為了方便起見(jiàn)，通常會(huì)將查看、編輯或下載權(quán)限設(shè)置為“所有訪問(wèn)鏈接的人”。但當(dāng)員工在開(kāi)放的內(nèi)部渠道（如所有員工均可訪問(wèn)的公共平臺(tái)）上共享鏈接時(shí)，這些敏感數(shù)據(jù)的訪問(wèn)點(diǎn)將無(wú)限期地處于開(kāi)放和過(guò)度曝光狀態(tài)。如果沒(méi)有辦法讓共享鏈接在設(shè)定時(shí)間內(nèi)自動(dòng)關(guān)閉，就無(wú)法確保鏈接中的共享數(shù)據(jù)不會(huì)被未經(jīng)授權(quán)的人員竊取和利用。