DoControl最近發(fā)布的報(bào)告顯示，當(dāng)今企業(yè)中存在大量無(wú)法管理的數(shù)據(jù)導(dǎo)致外部和內(nèi)部威脅數(shù)量不斷增加，尤其是大量SaaS數(shù)據(jù)暴露。所有SaaS資產(chǎn)中，有40%無(wú)人管理，作為公共數(shù)據(jù)可供內(nèi)部和外部訪問(wèn)。

SaaS數(shù)據(jù)暴露使公司面臨風(fēng)險(xiǎn)

據(jù)Gartner稱，從2019年到2022年，全球SaaS收入將增長(zhǎng)近38%，超過(guò)1400億美元。盡管基于云的應(yīng)用程序極大地提高了整個(gè)企業(yè)的效率和生產(chǎn)力，但CIO和CISO往往低估了一個(gè)重大威脅——SaaS提供商未經(jīng)檢查和不受管理的數(shù)據(jù)訪問(wèn)。

隨著SaaS應(yīng)用程序的日益普及，這種威脅呈指數(shù)級(jí)增長(zhǎng)，使企業(yè)面臨更大的數(shù)據(jù)泄露風(fēng)險(xiǎn)。作為基準(zhǔn)，人員規(guī)模平均1,000人的公司在SaaS應(yīng)用程序中存儲(chǔ)50萬(wàn)到1000萬(wàn)個(gè)資產(chǎn)。允許公開(kāi)共享的公司資產(chǎn)多達(dá)20萬(wàn)項(xiàng)。

內(nèi)部威脅

• 在報(bào)告調(diào)查的公司中，平均每個(gè)企業(yè)有400個(gè)加密密鑰被內(nèi)部共享給任何獲得鏈接的人;
• 20%的SaaS資產(chǎn)通過(guò)鏈接在內(nèi)部共享，使許多員工接觸到他們無(wú)權(quán)使用的數(shù)據(jù)點(diǎn);
• 8%的員工將公司資產(chǎn)與他們的個(gè)人賬戶共享，使許多前員工暴露在持續(xù)的公司數(shù)據(jù)中;

外部威脅

• 平均有1,000~15,000名外部合作者(供應(yīng)商、承包商、客戶、合作伙伴、潛在客戶、媒體、分析師等)可以訪問(wèn)公司數(shù)據(jù);
• 200~3,000家外部(特別是第三方)公司可以訪問(wèn)公司資產(chǎn);
• 18%的SaaS應(yīng)用程序資產(chǎn)在外部共享，即使刪除用戶后仍保持在外部共享。

報(bào)告指出：“過(guò)去一年，疫情迫使許多企業(yè)與更多第三方合作，并調(diào)整其現(xiàn)有員工隊(duì)伍以支持遠(yuǎn)程協(xié)作。迄今為止，安全從業(yè)者專注于以安全的方式啟用SaaS訪問(wèn)，現(xiàn)在是他們優(yōu)先考慮內(nèi)部和外部數(shù)據(jù)訪問(wèn)相關(guān)性的時(shí)候了。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文