軟件即服務(wù)公司DoControl發(fā)布的一份調(diào)查報(bào)告發(fā)現(xiàn)，所有SaaS數(shù)據(jù)訪問(wèn)中有40%是未受管理的，這會(huì)造成重大的內(nèi)部威脅和外部威脅。

該報(bào)告詳細(xì)介紹了未經(jīng)SaaS廠商檢查和命名的數(shù)據(jù)訪問(wèn)所存在的重大威脅，以及這些威脅被忽略的現(xiàn)狀。

[[420958]]

這項(xiàng)調(diào)查的對(duì)象是平均規(guī)模在1000人的企業(yè)，SaaS應(yīng)用中保存了50萬(wàn)到1000萬(wàn)條數(shù)據(jù)存儲(chǔ)資產(chǎn)中。可以公開(kāi)共享的企業(yè)可能有多達(dá)20萬(wàn)項(xiàng)資產(chǎn)被公開(kāi)共享了。

研究顯示，內(nèi)部威脅是一個(gè)重大問(wèn)題，平均有400個(gè)加密密鑰通過(guò)內(nèi)部共享的方式發(fā)給了任何收到鏈接的人。有1/5的SaaS資產(chǎn)通過(guò)內(nèi)部共享連接被公開(kāi)，很多員工甚至可以獲取他們沒(méi)有權(quán)限使用的數(shù)據(jù)。大約有8%的通過(guò)他們的個(gè)人賬號(hào)對(duì)外分享了公司資產(chǎn)，讓很多前員工也可以持續(xù)使用公司的數(shù)據(jù)。

而在外部威脅方面，研究發(fā)現(xiàn)有1000-15000個(gè)外部合作者(包括供應(yīng)商、承包商、客戶、合作伙伴、潛在客戶、媒體和分析師)可以訪問(wèn)企業(yè)數(shù)據(jù)。200-3000家外部公司，特別是第三方公司，可以訪問(wèn)受訪企業(yè)的資產(chǎn)。而且，有18%的SaaS應(yīng)用對(duì)外進(jìn)行了分享，即使在刪除用戶后仍然保持公開(kāi)分享的狀態(tài)。

DoControl公司聯(lián)合創(chuàng)始人、首席執(zhí)行官Adam Gavish解釋說(shuō)：“過(guò)去一年迫使很多企業(yè)組織與外部方合作并調(diào)整現(xiàn)有員工以支持遠(yuǎn)程協(xié)作。安全從業(yè)人員專注于以安全的方式訪問(wèn)SaaS，現(xiàn)在是他們優(yōu)先考慮內(nèi)部數(shù)據(jù)和外部數(shù)據(jù)訪問(wèn)關(guān)聯(lián)性的時(shí)候了。”

Gavish指出，未受管理的數(shù)據(jù)訪問(wèn)會(huì)帶來(lái)重大風(fēng)險(xiǎn)并增加數(shù)據(jù)泄露的可能性，“雖然SaaS應(yīng)用旨在促進(jìn)協(xié)作，但在這個(gè)不斷增長(zhǎng)的攻擊面中，安全團(tuán)隊(duì)必須謹(jǐn)慎關(guān)注大規(guī)模持續(xù)數(shù)據(jù)訪問(wèn)”。