SaaS安全公司Adallom發(fā)布了一項(xiàng)報(bào)告，分析指出了云應(yīng)用使用情況相關(guān)的安全問(wèn)題和風(fēng)險(xiǎn)。

Adallom分析了Salesforce、Box、Google Apps和Microsoft Office 365上，在2013年10月到2014年10月之間的超過(guò)一百萬(wàn)個(gè)企業(yè)的SaaS賬戶(hù)。

公司確定了有11%的賬戶(hù)有超過(guò)3個(gè)月的未使用情況。這些被Adallom稱(chēng)作“僵尸”的賬戶(hù)，存在以下兩方面的問(wèn)題：公司為它們支付不必要的話費(fèi)，它們?cè)龃罅斯裘妗Ｗ钗ｋU(xiǎn)的是那些有高級(jí)權(quán)限的“僵尸”帳號(hào)，有可能會(huì)被攻擊者利用而得到有價(jià)值的企業(yè)信息。

不活躍的高權(quán)限賬戶(hù)在許多組織中都存在。Adallom發(fā)現(xiàn)平均每100個(gè)用戶(hù)中有7個(gè)是管理員。這種情況下，SaaS安全公司發(fā)現(xiàn)一個(gè)企業(yè)超過(guò)100個(gè)Salesforce用戶(hù)有管理員權(quán)限。

報(bào)告顯示許多公司無(wú)法保證他們的前雇員的SaaS應(yīng)用認(rèn)證已被撤銷(xiāo)。通過(guò)Adallom了解到，他們監(jiān)測(cè)的公司有80%至少有一個(gè)前雇員的登陸認(rèn)證已失效。

報(bào)告顯示，平均有5%的組織的私有文件是公開(kāi)訪問(wèn)的，實(shí)際情況要比關(guān)注的文件多的多。此外，通過(guò)Adallom提出的管理和安全風(fēng)險(xiǎn)實(shí)踐可發(fā)現(xiàn)有29%的雇員通過(guò)私人郵件賬戶(hù)平均共享了98份工作相關(guān)的文件。

與第三方共享文件是云應(yīng)用的優(yōu)勢(shì)。但是，我們也需要注意其中存在得風(fēng)險(xiǎn)。

“一些SaaS供應(yīng)商安裝了一些本地設(shè)備代理用來(lái)同步用戶(hù)設(shè)備和Web，這通常意味著用戶(hù)不清楚所有被同步到SaaS提供商的數(shù)據(jù)”，報(bào)告中寫(xiě)到。“對(duì)于企業(yè)來(lái)說(shuō)，像Office 365、Box和Google Drive日益增長(zhǎng)的攝取服務(wù)讓非有意共享成為一個(gè)真實(shí)的威脅。對(duì)于管理和安全用途來(lái)說(shuō)，關(guān)鍵是認(rèn)清企業(yè)文件存儲(chǔ)得位置和共享的對(duì)象。”

另一個(gè)問(wèn)題是“孤兒”文件，就是那些沒(méi)有所有者的文件。Adallom發(fā)現(xiàn)6%的文件是孤兒文件，其中70%是公司外部用戶(hù)創(chuàng)建，另外30%是前承包商或已終止的雇員所建。

問(wèn)題是這些文件的擁有者不存在或者是組ID在某個(gè)時(shí)間點(diǎn)被賦給了新建的用戶(hù)或者組，自動(dòng)給了他們?cè)L問(wèn)這些文件得權(quán)限。

“孤兒文件還導(dǎo)致了一個(gè)管理問(wèn)題，因?yàn)樗鼈儧](méi)有一個(gè)清晰的出處和認(rèn)證跟蹤，這意味著它們有可能違反了留存協(xié)議。萬(wàn)一遇到電子發(fā)現(xiàn)查詢(xún)或合規(guī)審計(jì)，孤兒文件會(huì)染上麻煩，尤其是它含有特權(quán)數(shù)據(jù)的時(shí)候”，報(bào)告提到。

云端存儲(chǔ)文件很方便，但是有些組織恰恰看起來(lái)不知道他們的云端數(shù)據(jù)存儲(chǔ)在哪。報(bào)告顯示37%的Adallom客戶(hù)發(fā)現(xiàn)他們?cè)赟alesforce存儲(chǔ)的數(shù)據(jù)比任何其他的SaaS應(yīng)用都多。Salesforce有一個(gè)安全存儲(chǔ)層，但是要正確管理文件，企業(yè)需要集成專(zhuān)用企業(yè)存儲(chǔ)管理解決方案。

“當(dāng)公司采用SaaS以持續(xù)實(shí)現(xiàn)巨大價(jià)值和增加生產(chǎn)率，他們應(yīng)該正確理解和應(yīng)對(duì)固有風(fēng)險(xiǎn)，并采取必要的措施以保護(hù)數(shù)據(jù)和品牌形象”，Adallom聯(lián)合創(chuàng)始人及CEO Assaf Rappaport提醒道。“云數(shù)據(jù)管理和共享賬戶(hù)的安全責(zé)任是最重要的。當(dāng)他們從公司網(wǎng)絡(luò)以外的非托管設(shè)備訪問(wèn)SaaS應(yīng)用時(shí)，像防火墻和移動(dòng)設(shè)備管理這樣得傳統(tǒng)控制方式來(lái)保護(hù)用戶(hù)是不靈的。”

原文出自：http://www.oschina.net/translate/zombie-saas-accounts-put-enterprises-risk-report