軟件即服務(wù)公司DoControl發(fā)布的一份調(diào)查報告發(fā)現(xiàn)，所有SaaS數(shù)據(jù)訪問中有40%是未受管理的，這會造成重大的內(nèi)部威脅和外部威脅。

該報告詳細介紹了未經(jīng)SaaS廠商檢查和命名的數(shù)據(jù)訪問所存在的重大威脅，以及這些威脅被忽略的現(xiàn)狀。

[[420958]]

這項調(diào)查的對象是平均規(guī)模在1000人的企業(yè)，SaaS應(yīng)用中保存了50萬到1000萬條數(shù)據(jù)存儲資產(chǎn)中?？梢怨_共享的企業(yè)可能有多達20萬項資產(chǎn)被公開共享了。

研究顯示，內(nèi)部威脅是一個重大問題，平均有400個加密密鑰通過內(nèi)部共享的方式發(fā)給了任何收到鏈接的人。有1/5的SaaS資產(chǎn)通過內(nèi)部共享連接被公開，很多員工甚至可以獲取他們沒有權(quán)限使用的數(shù)據(jù)。大約有8%的通過他們的個人賬號對外分享了公司資產(chǎn)，讓很多前員工也可以持續(xù)使用公司的數(shù)據(jù)。

而在外部威脅方面，研究發(fā)現(xiàn)有1000-15000個外部合作者(包括供應(yīng)商、承包商、客戶、合作伙伴、潛在客戶、媒體和分析師)可以訪問企業(yè)數(shù)據(jù)。200-3000家外部公司，特別是第三方公司，可以訪問受訪企業(yè)的資產(chǎn)。而且，有18%的SaaS應(yīng)用對外進行了分享，即使在刪除用戶后仍然保持公開分享的狀態(tài)。

DoControl公司聯(lián)合創(chuàng)始人、首席執(zhí)行官Adam Gavish解釋說：“過去一年迫使很多企業(yè)組織與外部方合作并調(diào)整現(xiàn)有員工以支持遠程協(xié)作。安全從業(yè)人員專注于以安全的方式訪問SaaS，現(xiàn)在是他們優(yōu)先考慮內(nèi)部數(shù)據(jù)和外部數(shù)據(jù)訪問關(guān)聯(lián)性的時候了。”

Gavish指出，未受管理的數(shù)據(jù)訪問會帶來重大風險并增加數(shù)據(jù)泄露的可能性，“雖然SaaS應(yīng)用旨在促進協(xié)作，但在這個不斷增長的攻擊面中，安全團隊必須謹慎關(guān)注大規(guī)模持續(xù)數(shù)據(jù)訪問”。