2023年Q1 SaaS安全威脅場景報告

SaaS應用程序雖然在整個業務領域的技術堆棧中都是至關重要的存在，但由于未被發現的數據滲漏（data exfiltration），它同時也使各種規模的組織都暴露于重大安全威脅之下。

近日，Docontrol發布了《2023年Q1 SaaS安全威脅場景報告》，詳細闡明了各種規模組織面臨的SaaS威脅現狀，以幫助組織更好地應對此類威脅。

SaaS采用和依賴現狀

自從公共云取代私有云和內部部署成為托管基礎設施和應用程序的主要環境以來，SaaS市場一直在穩步增長。根據Statista的數據顯示，saas市場從2021年的1463.3億美元增長到2022年的約1671.1億美元，增長超過12%。預計到2023年，這一數字將再增長14%，達到1952.1億美元。

各行各業都在加深對SaaS解決方案的依賴。不幸的是，這意味著組織的SaaS安全風險也在進一步加劇。正如這份報告所表明的那樣，在中小型企業的SaaS環境中，大量的活動正在發生，而并并所有的活動都對營收有貢獻。惡意行為者發現SaaS環境中充斥著數據泄露機會和訪問企業網絡的入口。

為了阻止試圖使用SaaS應用程序作為竊取知識產權或其他有價值數據的手段，IT組織需要應用特定于上下文的SaaS訪問策略，并在企業技術棧中的所有員工和所有應用程序中監控SaaS使用情況。

但是隨著越來越多的SaaS解決方案被采用，以及SaaS應用程序中駐留的資產數量呈爆炸式增長，以手動方式逐個應用程序管理應用程序幾乎不可能設置策略和監控活動。

更糟糕的是，IT組織還需要深入了解第三和第四方（企業外部），他們被授予訪問公司內部創建的SaaS資產的權限。正如我們將看到的，SaaS資產的外部共享會在保護企業所需的時間和資源上產生倍增效應。

在預算被削減的經濟環境下，人員減員和專業知識的缺乏加劇了SaaS監控和管理的挑戰，在沒有正確工具集的情況下，安全和IT團隊很難建立和維護充分的SaaS數據訪問控制。

SaaS曝光現狀

每個公司的員工和資產

在我們的研究中，每個中型公司（平均員工數是365人）的員工平均有4057個資產存儲在他們的SaaS應用程序中。大公司（平均員工數為3097人）平均每位員工持有1773個SaaS資產。

從表面上看，這個問題在中型企業可能比在大型企業更嚴重。然而，事實遠非如此，當我們進行數學計算并觀察總體量時，這一點就變得很明顯了。在我們的研究中，中等規模的公司平均有近150萬資產存儲在SaaS應用程序中。大公司在SaaS應用程序中平均擁有大約550萬資產。

SaaS事件類型

通過跟蹤在SaaS應用程序中執行的700多個事件類型，結果發現事件類型可能包括許多熟悉的操作，例如創建新資產、編輯、復制、重命名、移動、刪除等等。

“事件類型”中還包括共享，這是本報告的主要關注點。允許員工、承包商和其他外部實體之間訪問包含知識產權或其他敏感數據的資產是組織的一個主要脆弱性來源。

每周saas活動的平均數量

在接受調查的中型公司中，我們每周跟蹤大約294,000個SaaS事件，每周涉及略多于2,645個資產。在大公司中，我們平均每周跟蹤2,775,000個SaaS活動，涉及近55,750個SaaS資產。

面對所有這些SaaS資產，想要手動監控所有SaaS事件幾乎是不可能的。此外，安全專業人員的數量也明顯不足，他們無法應對相互競爭的優先事項；安全自動化是解決該問題唯一可行的方法。

SaaS威脅類型

內部威脅

關于為公司工作的員工（和承包商），有一個不可避免的悖論。它們既是公司最大的資產，也是最大的脆弱性來源之一。

雇員和承包商都可能是內部威脅。內部威脅來自那些獲得授權并合法訪問公司資產的用戶，但他們故意或意外地濫用了這種訪問權限。雇員和承包商對公司構成風險，因為他們最有機會接觸雇主的知識產權。他們通常知道一個組織的敏感數據的位置，并且通常具有較高的訪問級別。

當員工采取以下三種行為之一時，就會發生內部威脅：

1.公開共享資產；

2.共享個人電子郵件的SaaS資產訪問權限；

3.向流行的SaaS協作應用程序共享加密密鑰；

無論是無意還是故意，內部人士都可以竊取機密客戶信息和知識產權，他們還可以讓公司遭受財務勒索。

從數據上來說，很少有員工既對雇主懷有惡意，又愿意故意做出破壞性的行為。然而，“罕見”意味著這種情況偶爾發生，而一旦發生，損害可能是深遠的。

（1）公開分享

公開共享允許任何擁有特定資產鏈接的人訪問該資產和其中的數據。當員工需要向外部利益相關者提供文件的訪問權限，而不確切地知道哪些利益相關者需要訪問權限時，公開共享通常是一種方便的行為。

數據顯示，超過一半的大公司和四分之三的中型公司擁有公開共享的資產。在所有允許公開共享的公司中，0.6%的SaaS資產是公開共享的。

（2）分享至個人郵箱

員工分享信息到他們的個人電子郵件存在嚴重的安全隱患。絕大多數中型和大型公司都在努力應對這種風險。今年，在任何一家公司中，向個人電子郵件中分享信息的員工比例都很小，但意義重大——在中型和大型公司中分別為2.2%和1.4%。

（3）在SaaS資產中存儲加密密鑰

在SaaS應用程序中存儲和共享加密文件的風險行為很普遍。當密鑰在SaaS文件存儲和協作應用程序上普遍可用時，加密文件將失去保護。雖然有許多SaaS應用程序可以上傳和存儲加密密鑰，但這種活動主要發生在三個地方：Google Drive/Workspace、Microsoft Teams以及Slack。

內部vs.外部參與者和訪問

許多最廣泛使用的SaaS應用程序都是為促進協作而設計的。當這種合作超出了公司的安全邊界，文件通過SaaS應用程序與外部各方共享時，對公司數據或知識產權的控制可能會變得脆弱。

外部共享是一個復雜的問題。對于允許外部共享的公司，一個問題是，共享資產的數量和通過SaaS應用程序被授予訪問文件的外部域的數量只會隨著時間的推移而增加。公司很少會花時間處理那些已經達到目的，且對創建這些文件的公司不再具有戰略價值的文件的訪問。另一個問題是，外部共享的資產很少是以最小特權的原則共享的。對SaaS文件的過度訪問可能會導致這些文件的意外分發給原始外部合作者之外的人。

允許外部共享而不產生風險是可能的。不幸的是，許多公司要么低估了外部共享SaaS資產所暴露的漏洞，要么不了解員工在公司范圍之外共享潛在敏感資產的程度，要么沒有意識到存在自動檢測和補救風險的解決方案。

以下是我們在研究中對所有公司的調查結果：

• 中型企業在SaaS應用程序中對外共享的資產平均接近224000；
• 大公司在外部共享的SaaS應用程序中有超過491000項資產；
• 如果從所有公司的每位員工的角度來看，我們會發現每位員工共有2246項資產。

第三方到第四方共享 

大多數流行的SaaS應用程序中的默認設置允許對給定文件具有編輯訪問權限的任何人與其他人共享該文件。如果不執行一種機制來限制第三方對與他們共享的資產可以做什么，資產的創建者只能祈禱該文件不會被第三方復制或與第四方更廣泛地共享。

一些第四方共享是合法的。考慮這樣一個案例：一個合作組織或代理機構簽訂了提供服務的合同，依賴于自己的承包商來完成工作。在這種情況下，我們希望看到第三方向第四方共享。然而，由于有數十或數百個第四方組織可以訪問SaaS資產，因此很難將合法的第四方SaaS數據訪問與不符合主要公司利益的實例分開。

以下是我們在2022年前9個月看到的關于第三方到第四方共享的情況：

• 在中型公司中，第四方平均訪問53項SaaS資產，而在大型公司中，該數字飆升至241；
• 在中型公司，Google Drive中由第三方共享給第四方的平均資產為88項，而在大型公司，這一數字為350；
• 2022年5月-12月，共有23,674個工作流執行由第三方參與者與第四方參與者共享資產觸發；

過時的權限

在企業面臨的所有不同的威脅源中，過期的權限可能是IT組織最不關注的。所有的公司都追求靈活性。他們制定戰略計劃，并監測市場狀況，以創造新的需求。作為回應，公司會盡快轉向新的機會。

高效和靈活是成功公司最常被提及的兩個特征。然而，這種對速度和靈活性的追求可能會在項目團隊轉向新項目時播下漏洞的種子，因為他們沒有適當地關閉已經結束的項目，并關閉對已不再是日常工作流程一部分的資源（其中包括SaaS資產）的訪問。惡意行為者可以通過訪問休眠帳戶來獲取數據。

除此之外，還有另一個過時權限挑戰：公司經歷了員工的流失和其他變化。新員工開始工作，老員工與雇主分道揚鑣。及時終止即將離開或已離開公司的員工對saas資產的訪問是必要的。然而，我們經常看到這種情況并未及時兌現。

數據顯示，67%的公司可以使用谷歌Workplace中存儲的超過5年的資產。31%的前雇員都在離職后訪問過雇主存儲在SaaS應用程序中的資產。

數據還指出，大公司擁有訪問權限的前員工（平均20人）往往比中型公司（平均略多于6人）多，但即使只有一名前員工——尤其是心懷不滿的員工——也可能帶來無法估量的災難。公司需要自動化的解決方案，以確保及時消除對舊資產或前員工的持續訪問。

第三方OAuth應用

API及其所支持的應用程序之間的集成可以使工作流程變得高效，并改善員工的工作效率。集成的便利性是不可否認的。然而，第三方應用也可能對公司構成威脅，尤其是在權限配置不當的情況下。

對可能缺乏足夠強大的本地安全控制的應用程序授予不必要的讀/寫訪問權限，可能會打開數據泄露的大門，為基于供應鏈的攻擊奠定基礎。

公司依賴的主要協作應用程序通常支持大量的第三方應用程序集成。不幸的是，這些第三方應用被過度授權的情況并不少見。調查顯示：中型公司第三方應用集成的平均值為：224（Microsoft）、50（Google），而大型公司的這一數字分別為743和81。而被過度授權的平均應用分別為：11（Microsoft）、9（Google）——大中型公司表現一致。