Сътрудничеството е в основата на приложенията SaaS. Тази дума или някаква нейна форма се появява в първите две заглавия на началната страница на Google Workspace. Тя може да бъде открита шест пъти на началната страница на Microsoft 365, три пъти на Box и веднъж на Workday. Посетете почти всеки сайт за SaaS и има вероятност „сътрудничество“ да се появи като част от ключовото предимство на приложението.
Тъй като се намират в облака, съдържанието на приложенията може да се споделя незабавно, което прави работата с други хора по-лесна от всякога.
Тази възможност за споделяне обаче има две страни. От другата страна често са чувствителни връзки, които се намират на публично достъпни уебсайтове и могат да бъдат лесно достъпни. Излагането на риск, причинено от изтекли документи, може да причини огромни вреди – от конкуренти, които се опитват да съберат корпоративни тайни, до информатори, които споделят вътрешна информация с репортери или законодатели. Колкото и неразделна част от сътрудничеството да е SaaS, споделянето на връзки създава високорискова ситуация и реални нарушения, които могат да бъдат намалени чрез правилните процеси.
По същество има два начина за споделяне на файлове и документи от приложение SaaS, въпреки че терминологията, използвана от M365, Salesforce, Google Workspace и Box, е малко по-различна. Собственикът на файла може да направи ресурса достъпен за определени потребители или да го направи достъпен за „всеки с връзка“.
Споделянето на файла с конкретни потребители може да бъде тромаво и да отнеме много време. Тъй като файлът се предава на различни заинтересовани страни, собственикът на файла трябва да добавя всеки потребител, когато той се нуждае от него. Когато работите с външен доставчик, това изисква координация с доставчика, за да се разбере кой ще работи с файла. Имейл адресът на всеки потребител трябва да бъде добавен поотделно и ако някой е пропуснат, собственикът на файла трябва да се върне в настройките за споделяне и да го добави.
Споделянето на файл с всеки, който има връзката, е много по-лесно. Собственикът на документа може да копира връзката, да я изпрати на доставчика и да не мисли повече за управлението на документите. Освен това често хората изискват достъп от личен акаунт (например от електронната си поща в gmail) вместо от имейл акаунт, който се контролира от фирмата. Това може да се дължи на факта, че понякога външните доставчици имат само частен домейн, а може и да са влезли в частния си акаунт и така случайно да поискат достъп до него.
Въпреки това, колкото и изкушаващо да е свободното споделяне на връзката, това подготвя документа за изтичане. Не може да се контролира какво се случва с файла, след като връзката е споделена, а потребителите могат да получат достъп до файла от всеки акаунт. Степента на риска, че файлът може да изтече, се увеличава експоненциално.
Училищните служители в Ню Йорк научиха по трудния начин за опасностите от споделянето на връзки. През 2021 г. училищните служители потвърдиха изтичане на данни, което съдържаше чувствителна информация за над 3000 ученици и 100 членове на персонала в системата на държавните училища в Ню Йорк. Данните са били изложени на риск, когато ученик е получил достъп до Google Drive.
Тази история дойде след пробив в Microsoft Sharepoint, по време на който ученик, който си е писал домашна работа, се е натъкнал на проектодокумент, в който се обсъжда кога училищата ще бъдат отворени отново по време на COVID-19. Писмото включвало подробности за правилата за провеждане на тестове, правилата за карантина и друга информация, която училищната система не била готова да публикува. Тези данни са били изложени на риск поради незащитени настройки за споделяне на документи.
Не само училищните служители трябва да внимават със споделените си връзки. През 2021 г. подразделение на въоръжените сили поиска от войниците да попълнят формуляр в Google, свързан с ваксините им COVID-19. Всеки войник е въвел името си и идентификационния си номер и е отговорил на въпроси, свързани с коронавируса.
Авторът на формуляра в Google обаче позволил на респондентите да прегледат резултатите. Всеки, който имал връзка, имал достъп до имената и идентификационните номера на войниците. Данните бяха подредени хронологично, което улесняваше групирането на конкретни войници по тяхното подразделение. Тези данни бяха достъпни за всеки, който разполага с браузър и връзка.
След като е било предупредено, военното подразделение е премахнало формуляра, но не може да се знае докъде са изтекли данните.
Според TechCrunch през 2019 г. изследователи по сигурността са установили, че десетки компании са изнесли чувствителни корпоративни данни и данни на клиенти, които са били записани в Box. Като използвали скрипт за сканиране на акаунти в Box, изследователите открили над 90 компании – включително Box – с данни, които били видими за всеки, който има връзка.
Компаниите, сред които са Amadeus, Apple, Edelman и Herbalife, са разкрили имена на клиенти и информация за контакт, предложения за проекти, имена на донори, информация за пациенти и др. Тази информация можеше лесно да бъде защитена, ако компаниите бяха използвали контрола на достъпа, наличен в платформата.
Данните, съдържащи се в приложенията SaaS, се съхраняват в облака, но не е необходимо да бъдат изложени на всеки, който има връзка към тях. Организациите, които се грижат за сигурността, трябва да следват тези насоки, за да гарантират, че данните им остават защитени.
Споделяйте файлове с определени потребители – Изискването потребителите да влязат в системата, преди да получат достъп до данните, драстично намалява вероятността данните да попаднат в неподходящи ръце
Добавяйте дати на изтичане на срока на валидност на споделените връзки – Повечето документи и файлове се споделят и в крайна сметка се забравят, което поставя компаниите в ситуация, в която те дори не знаят, че са изложени на риск. Чрез добавяне на дата на изтичане на срока на валидност на връзката, този пропуск няма да се отрази и навреди на компанията.
Защита с парола на всички връзки – Добавете допълнително ниво на сигурност на данните, като изисквате защита с парола на всички файлове, насочени към външни лица.
Създаване на опис на ресурсите – Изгответе списък на всички корпоративни ресурси на едно място, който включва настройките за споделяне на всеки файл, предоставяйки на екипите по сигурността единен поглед, който им позволява да оценят риска и излагането на риск.
Всяка незащитена връзка има потенциал да изложи на риск данните. Като лице, споделящо връзката, е невъзможно да знаете хигиената на устройството на получателя, дали той ще сподели връзката с други лица или дори дали предоставя на други лица достъп до своя имейл акаунт. Защитата на връзките е един от основните налични начини за защита, за да се ограничи този риск.
Друг подход за защита от прекомерно споделяне на връзки е автоматизираният метод, чрез използване на решение за SSPM. SSPM, като Adaptive Shield, помага на организациите да се предпазят от загуба на данни, като идентифицира кои ресурси се споделят публично и са изложени на риск. То може също така да идентифицира ресурси, които се споделят без срок на годност или са настроени така, че да позволяват на гостите да споделят елемента. След като екипът по сигурността е наясно с повърхността на атака, той може да коригира и защити връзката, както е необходимо.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.