SaaS应用程序虽然在整个业务领域的技术堆栈中都是至关重要的存在,但由于未被发现的数据渗漏(data exfiltration),它同时也使各种规模的组织都暴露于重大安全威胁之下。
近日,Docontrol发布了《2023年Q1 SaaS安全威胁场景报告》,详细阐明了各种规模组织面临的SaaS威胁现状,以帮助组织更好地应对此类威胁。
自从公共云取代私有云和内部部署成为托管基础设施和应用程序的主要环境以来,SaaS市场一直在稳步增长。根据Statista的数据显示,saas市场从2021年的1463.3亿美元增长到2022年的约1671.1亿美元,增长超过12%。预计到2023年,这一数字将再增长14%,达到1952.1亿美元。
各行各业都在加深对SaaS解决方案的依赖。不幸的是,这意味着组织的SaaS安全风险也在进一步加剧。正如这份报告所表明的那样,在中小型企业的SaaS环境中,大量的活动正在发生,而并并所有的活动都对营收有贡献。恶意行为者发现SaaS环境中充斥着数据泄露机会和访问企业网络的入口。
为了阻止试图使用SaaS应用程序作为窃取知识产权或其他有价值数据的手段,IT组织需要应用特定于上下文的SaaS访问策略,并在企业技术栈中的所有员工和所有应用程序中监控SaaS使用情况。
但是随着越来越多的SaaS解决方案被采用,以及SaaS应用程序中驻留的资产数量呈爆炸式增长,以手动方式逐个应用程序管理应用程序几乎不可能设置策略和监控活动。
更糟糕的是,IT组织还需要深入了解第三和第四方(企业外部),他们被授予访问公司内部创建的SaaS资产的权限。正如我们将看到的,SaaS资产的外部共享会在保护企业所需的时间和资源上产生倍增效应。
在预算被削减的经济环境下,人员减员和专业知识的缺乏加剧了SaaS监控和管理的挑战,在没有正确工具集的情况下,安全和IT团队很难建立和维护充分的SaaS数据访问控制。
在我们的研究中,每个中型公司(平均员工数是365人)的员工平均有4057个资产存储在他们的SaaS应用程序中。大公司(平均员工数为3097人)平均每位员工持有1773个SaaS资产。
从表面上看,这个问题在中型企业可能比在大型企业更严重。然而,事实远非如此,当我们进行数学计算并观察总体量时,这一点就变得很明显了。在我们的研究中,中等规模的公司平均有近150万资产存储在SaaS应用程序中。大公司在SaaS应用程序中平均拥有大约550万资产。
通过跟踪在SaaS应用程序中执行的700多个事件类型,结果发现事件类型可能包括许多熟悉的操作,例如创建新资产、编辑、复制、重命名、移动、删除等等。
“事件类型”中还包括共享,这是本报告的主要关注点。允许员工、承包商和其他外部实体之间访问包含知识产权或其他敏感数据的资产是组织的一个主要脆弱性来源。
在接受调查的中型公司中,我们每周跟踪大约294,000个SaaS事件,每周涉及略多于2,645个资产。在大公司中,我们平均每周跟踪2,775,000个SaaS活动,涉及近55,750个SaaS资产。
面对所有这些SaaS资产,想要手动监控所有SaaS事件几乎是不可能的。此外,安全专业人员的数量也明显不足,他们无法应对相互竞争的优先事项;安全自动化是解决该问题唯一可行的方法。
内部威胁
关于为公司工作的员工(和承包商),有一个不可避免的悖论。它们既是公司最大的资产,也是最大的脆弱性来源之一。
雇员和承包商都可能是内部威胁。内部威胁来自那些获得授权并合法访问公司资产的用户,但他们故意或意外地滥用了这种访问权限。雇员和承包商对公司构成风险,因为他们最有机会接触雇主的知识产权。他们通常知道一个组织的敏感数据的位置,并且通常具有较高的访问级别。
当员工采取以下三种行为之一时,就会发生内部威胁:
1.公开共享资产;
2.共享个人电子邮件的SaaS资产访问权限;
3.向流行的SaaS协作应用程序共享加密密钥;
无论是无意还是故意,内部人士都可以窃取机密客户信息和知识产权,他们还可以让公司遭受财务勒索。
从数据上来说,很少有员工既对雇主怀有恶意,又愿意故意做出破坏性的行为。然而,“罕见”意味着这种情况偶尔发生,而一旦发生,损害可能是深远的。
(1)公开分享
公开共享允许任何拥有特定资产链接的人访问该资产和其中的数据。当员工需要向外部利益相关者提供文件的访问权限,而不确切地知道哪些利益相关者需要访问权限时,公开共享通常是一种方便的行为。
数据显示,超过一半的大公司和四分之三的中型公司拥有公开共享的资产。在所有允许公开共享的公司中,0.6%的SaaS资产是公开共享的。
(2)分享至个人邮箱
员工分享信息到他们的个人电子邮件存在严重的安全隐患。绝大多数中型和大型公司都在努力应对这种风险。今年,在任何一家公司中,向个人电子邮件中分享信息的员工比例都很小,但意义重大——在中型和大型公司中分别为2.2%和1.4%。
(3)在SaaS资产中存储加密密钥
在SaaS应用程序中存储和共享加密文件的风险行为很普遍。当密钥在SaaS文件存储和协作应用程序上普遍可用时,加密文件将失去保护。虽然有许多SaaS应用程序可以上传和存储加密密钥,但这种活动主要发生在三个地方:Google Drive/Workspace、Microsoft Teams以及Slack。
许多最广泛使用的SaaS应用程序都是为促进协作而设计的。当这种合作超出了公司的安全边界,文件通过SaaS应用程序与外部各方共享时,对公司数据或知识产权的控制可能会变得脆弱。
外部共享是一个复杂的问题。对于允许外部共享的公司,一个问题是,共享资产的数量和通过SaaS应用程序被授予访问文件的外部域的数量只会随着时间的推移而增加。公司很少会花时间处理那些已经达到目的,且对创建这些文件的公司不再具有战略价值的文件的访问。另一个问题是,外部共享的资产很少是以最小特权的原则共享的。对SaaS文件的过度访问可能会导致这些文件的意外分发给原始外部合作者之外的人。
允许外部共享而不产生风险是可能的。不幸的是,许多公司要么低估了外部共享SaaS资产所暴露的漏洞,要么不了解员工在公司范围之外共享潜在敏感资产的程度,要么没有意识到存在自动检测和补救风险的解决方案。
以下是我们在研究中对所有公司的调查结果:
中型企业在SaaS应用程序中对外共享的资产平均接近224000;
大公司在外部共享的SaaS应用程序中有超过491000项资产;
如果从所有公司的每位员工的角度来看,我们会发现每位员工共有2246项资产。
大多数流行的SaaS应用程序中的默认设置允许对给定文件具有编辑访问权限的任何人与其他人共享该文件。如果不执行一种机制来限制第三方对与他们共享的资产可以做什么,资产的创建者只能祈祷该文件不会被第三方复制或与第四方更广泛地共享。
一些第四方共享是合法的。考虑这样一个案例:一个合作组织或代理机构签订了提供服务的合同,依赖于自己的承包商来完成工作。在这种情况下,我们希望看到第三方向第四方共享。然而,由于有数十或数百个第四方组织可以访问SaaS资产,因此很难将合法的第四方SaaS数据访问与不符合主要公司利益的实例分开。
以下是我们在2022年前9个月看到的关于第三方到第四方共享的情况:
在中型公司中,第四方平均访问53项SaaS资产,而在大型公司中,该数字飙升至241;
在中型公司,Google Drive中由第三方共享给第四方的平均资产为88项,而在大型公司,这一数字为350;
2022年5月-12月,共有23,674个工作流执行由第三方参与者与第四方参与者共享资产触发;
在企业面临的所有不同的威胁源中,过期的权限可能是IT组织最不关注的。所有的公司都追求灵活性。他们制定战略计划,并监测市场状况,以创造新的需求。作为回应,公司会尽快转向新的机会。
高效和灵活是成功公司最常被提及的两个特征。然而,这种对速度和灵活性的追求可能会在项目团队转向新项目时播下漏洞的种子,因为他们没有适当地关闭已经结束的项目,并关闭对已不再是日常工作流程一部分的资源(其中包括SaaS资产)的访问。恶意行为者可以通过访问休眠帐户来获取数据。
除此之外,还有另一个过时权限挑战:公司经历了员工的流失和其他变化。新员工开始工作,老员工与雇主分道扬镳。及时终止即将离开或已离开公司的员工对saas资产的访问是必要的。然而,我们经常看到这种情况并未及时兑现。
数据显示,67%的公司可以使用谷歌Workplace中存储的超过5年的资产。31%的前雇员都在离职后访问过雇主存储在SaaS应用程序中的资产。
数据还指出,大公司拥有访问权限的前员工(平均20人)往往比中型公司(平均略多于6人)多,但即使只有一名前员工——尤其是心怀不满的员工——也可能带来无法估量的灾难。公司需要自动化的解决方案,以确保及时消除对旧资产或前员工的持续访问。
API及其所支持的应用程序之间的集成可以使工作流程变得高效,并改善员工的工作效率。集成的便利性是不可否认的。然而,第三方应用也可能对公司构成威胁,尤其是在权限配置不当的情况下。
对可能缺乏足够强大的本地安全控制的应用程序授予不必要的读/写访问权限,可能会打开数据泄露的大门,为基于供应链的攻击奠定基础。
公司依赖的主要协作应用程序通常支持大量的第三方应用程序集成。不幸的是,这些第三方应用被过度授权的情况并不少见。调查显示:中型公司第三方应用集成的平均值为:224(Microsoft)、50(Google),而大型公司的这一数字分别为743和81。而被过度授权的平均应用分别为:11(Microsoft)、9(Google)——大中型公司表现一致。
报告链接:
https://pages.docontrol.io/datareport2023?submissionGuid=ada30d06-9769-4f91-99d3-08ed5e6597cb