Сътрудничеството е в основата на приложенията SaaS. Тази дума или някаква нейна форма се появява в първите две заглавия на началната страница на Google Workspace. Тя може да бъде открита шест пъти на началната страница на Microsoft 365, три пъти на Box и веднъж на Workday. Посетете почти всеки сайт за SaaS и има вероятност „сътрудничество“ да се появи като част от ключовото предимство на приложението.

Тъй като се намират в облака, съдържанието на приложенията може да се споделя незабавно, което прави работата с други хора по-лесна от всякога.

Тази възможност за споделяне обаче има две страни. От другата страна често са чувствителни връзки, които се намират на публично достъпни уебсайтове и могат да бъдат лесно достъпни. Излагането на риск, причинено от изтекли документи, може да причини огромни вреди – от конкуренти, които се опитват да съберат корпоративни тайни, до информатори, които споделят вътрешна информация с репортери или законодатели. Колкото и неразделна част от сътрудничеството да е SaaS, споделянето на връзки създава високорискова ситуация и реални нарушения, които могат да бъдат намалени чрез правилните процеси.

Споделяне на файлове и документи

По същество има два начина за споделяне на файлове и документи от приложение SaaS, въпреки че терминологията, използвана от M365, Salesforce, Google Workspace и Box, е малко по-различна. Собственикът на файла може да направи ресурса достъпен за определени потребители или да го направи достъпен за „всеки с връзка“.

Споделянето на файла с конкретни потребители може да бъде тромаво и да отнеме много време. Тъй като файлът се предава на различни заинтересовани страни, собственикът на файла трябва да добавя всеки потребител, когато той се нуждае от него. Когато работите с външен доставчик, това изисква координация  с доставчика, за да се разбере кой ще работи с файла. Имейл адресът на всеки потребител трябва да бъде добавен поотделно и ако някой е пропуснат, собственикът на файла трябва да се върне в настройките за споделяне и да го добави.

Споделянето на файл с всеки, който има връзката, е много по-лесно. Собственикът на документа може да копира връзката, да я изпрати на доставчика и да не мисли повече за управлението на документите. Освен това често хората изискват достъп от личен акаунт (например от електронната си поща в gmail) вместо от имейл акаунт, който се контролира от фирмата. Това може да се дължи на факта, че понякога външните доставчици имат само частен домейн, а може и да са влезли в частния си акаунт и така случайно да поискат достъп до него.

Въпреки това, колкото и изкушаващо да е свободното споделяне на връзката, това подготвя документа за изтичане. Не може да се контролира какво се случва с файла, след като връзката е споделена, а потребителите могат да получат достъп до файла от всеки акаунт. Степента на риска, че файлът може да изтече, се увеличава експоненциално.

Google Drive, Microsoft Sharepoint и ученици от Ню Йорк

Училищните служители в Ню Йорк научиха по трудния начин за опасностите от споделянето на връзки. През 2021 г. училищните служители потвърдиха изтичане на данни, което съдържаше чувствителна информация за над 3000 ученици и 100 членове на персонала в системата на държавните училища в Ню Йорк. Данните са били изложени на риск, когато ученик е получил достъп до Google Drive.

Тази история дойде след   пробив в Microsoft Sharepoint, по време на който ученик, който си е писал домашна работа, се е натъкнал на проектодокумент, в който се обсъжда кога училищата ще бъдат отворени отново по време на COVID-19. Писмото включвало подробности за правилата за провеждане на тестове, правилата за карантина и друга информация, която училищната система не била готова да публикува. Тези данни са били изложени на риск поради незащитени настройки за споделяне на документи.

Формуляри на Google във въоръжените сили

Не само училищните служители трябва да внимават със споделените си връзки. През 2021 г. подразделение на въоръжените сили поиска от войниците да попълнят формуляр в Google, свързан с ваксините им COVID-19. Всеки войник е въвел името си и идентификационния си номер и е отговорил на въпроси, свързани с коронавируса.

Авторът на формуляра в Google обаче позволил на респондентите да прегледат резултатите. Всеки, който имал връзка, имал достъп до имената и идентификационните номера на войниците. Данните бяха подредени хронологично, което улесняваше групирането на конкретни войници по тяхното подразделение. Тези данни бяха достъпни за всеки, който разполага с браузър и връзка.

След като е било предупредено, военното подразделение е премахнало формуляра, но не може да се знае докъде са изтекли данните.

Файловете в Box са изложени на света

Според TechCrunch през 2019 г. изследователи по сигурността са установили, че десетки компании са изнесли чувствителни корпоративни данни и данни на клиенти, които са били записани в Box. Като използвали скрипт за сканиране на акаунти в Box, изследователите открили над 90 компании – включително Box – с данни, които били видими за всеки, който има връзка.

Компаниите, сред които са Amadeus, Apple, Edelman и Herbalife, са разкрили имена на клиенти и информация за контакт, предложения за проекти, имена на донори, информация за пациенти и др. Тази информация можеше лесно да бъде защитена, ако компаниите бяха използвали контрола на достъпа, наличен в платформата.

Най-добри практики за предотвратяване на изтичане и загуба на данни

Данните, съдържащи се в приложенията SaaS, се съхраняват в облака, но не е необходимо да бъдат изложени на всеки, който има връзка към тях. Организациите, които се грижат за сигурността, трябва да следват тези насоки, за да гарантират, че данните им остават защитени.

Споделяйте файлове с определени потребители – Изискването потребителите да влязат в системата, преди да получат достъп до данните, драстично намалява вероятността данните да попаднат в неподходящи ръце

Добавяйте дати на изтичане на срока на валидност на споделените връзки – Повечето документи и файлове се споделят и в крайна сметка се забравят, което поставя компаниите в ситуация, в която те дори не знаят, че са изложени на риск. Чрез добавяне на дата на изтичане на срока на валидност на връзката, този пропуск няма да се отрази и  навреди на компанията.

Защита с парола на всички връзки – Добавете допълнително ниво на сигурност на данните, като изисквате защита с парола на всички файлове, насочени към външни лица.

Създаване на опис на ресурсите – Изгответе списък на всички корпоративни ресурси на едно място, който включва настройките за споделяне на всеки файл, предоставяйки на екипите по сигурността единен поглед, който им позволява да оценят риска и излагането на риск.

Всяка незащитена връзка има потенциал да изложи на риск данните. Като лице, споделящо връзката, е невъзможно да знаете хигиената на устройството на получателя, дали той ще сподели връзката с други лица или дори дали предоставя на други лица достъп до своя имейл акаунт. Защитата на връзките е един от основните налични начини за защита, за да се ограничи този риск.

Друг подход за защита от прекомерно споделяне на връзки е автоматизираният метод, чрез използване на решение за SSPM. SSPM, като Adaptive Shield, помага на организациите да се предпазят от загуба на данни, като идентифицира кои ресурси се споделят публично и са изложени на риск. То може също така да идентифицира ресурси, които се споделят без срок на годност или са настроени така, че да позволяват на гостите да споделят елемента. След като екипът по сигурността е наясно с повърхността на атака, той може да коригира и защити връзката, както е необходимо.

Източник: The Hacker News

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
Бъдете социални
Още по темата
12/12/2024

Ключове за разбиране на MDR...

Еволюция на решенията за откриване и...
07/12/2024

Нови насоки на NIST: Преосм...

Националният институт по стандартизация и технологии...
07/12/2024

Злонамерени вътрешни лица

Злонамерени вътрешни лица могат да бъдат...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!