企业SaaS应用中的几大数据寻访风险

发布时间：2022-06-09 15:43 所属栏目：53 来源：互联网

导读：软件即服务(SaaS)应用可以给企业数字化发展带来很多便利，能够帮助用户实现更具性价比的实时工作协同，提升业务效率。但是，当企业频繁通过SaaS应用进行日常文件和业务数据交换时，如果缺少精细化的安全访问控制措施，将会让企业面临严重的数据泄漏风险。以

　　软件即服务(SaaS)应用可以给企业数字化发展带来很多便利，能够帮助用户实现更具性价比的实时工作协同，提升业务效率。但是，当企业频繁通过SaaS应用进行日常文件和业务数据交换时，如果缺少精细化的安全访问控制措施，将会让企业面临严重的数据泄漏风险。以下梳理汇总了企业在使用SaaS系统时，经常会发生的十种数据安全风险：

　　1、SaaS应用的访问权限缺乏时效性管理
　　存储在SaaS应用程序中的文件的访问权限时效性通常是无限期的，例如，当第三方供应商和企业内部员工之间凭借SaaS应用程序通过共享链接来访问、下载敏感文档或数据文件后，除非手动对共享链接进行权限更改，否则这些链接将无限期处于“活跃状态”。

　　而多数情况下，当双方的共享协作需求满足后，企业内部员工一般也不会去追溯、删除第三方供应商的访问权限，这意味着即使外部人员没有访问需求后，存储在SaaS应用程序中的信息访问权限却仍然存在。这不仅是一种不良的商业行为，还增大了恶意人员泄露敏感数据的可能性。

　　2、企业员工个人身份信息过度曝光
　　很多企业内部曝光在公共软件平台、共享文件夹或提供潜在客户服务系统中的员工个人信息长期处于公开状态，允许所有具有高级访问权限的人员无限期的查看、下载甚至使用。

　　传统的数据防泄漏(DLP)解决方案中的PII(个人身份信息)扫描工具对存储在SaaS应用程序中的数据并不适用，安全人员只能通过手动的方式，发现和删除这些共享的PII，但绝大多数安全团队通常无暇顾及。

　　3、对SaaS数据共享缺少监管
　　SaaS协作应用程序通常具有与第三方应用共享数据的功能(如电子邮件的多方转发、传递)，这导致企业内部任何有权访问敏感数据的人，都可以方便地将数据存储到个人SaaS应用账户中，以供自己更方便的使用，这样就会造成监管措施的失效，进而造成数据泄露。更糟糕的是，像电子邮件这样的SaaS化应用多数均为未启用多因素身份验证等安全措施，这会进一步增加敏感数据的泄露风险。

（编辑：ASP站长网）