Kollaboration ist ein wirksamer Verkaufsfaktor für SaaS-Anwendungen. Unternehmen wie Microsoft, Github, Miro und andere bewerben die kollaborative Natur ihrer Softwareanwendungen, die es Benutzern ermöglichen, mehr zu erreichen. Links zu Dateien, Repositories und Boards können mit beliebigen Personen an beliebigen Orten geteilt werden. Dies fördert Teamarbeit, die die Zusammenarbeit zwischen Mitarbeitern in verschiedenen Regionen und Abteilungen fördert und so zu stärkeren Kampagnen und Projekten beiträgt.
Gleichzeitig kann die Offenheit von Data-SaaS-Plattformen problematisch sein. Eine Umfrage von 2023 der Cloud Security Alliance und Adaptive Shield ergab, dass 58% der Sicherheitsvorfälle in den letzten zwei Jahren Datenlecks betrafen. Es ist klar, dass Teilen gut ist, aber Datenaustausch kontrolliert werden muss. Die meisten SaaS-Anwendungen verfügen über Mechanismen zur Kontrolle des Teilens. Diese Tools sind sehr effektiv, um sicherzustellen, dass Unternehmensressourcen nicht öffentlich im Internet angezeigt werden. Dieser Artikel betrachtet drei gängige Szenarien für Datenlecks und empfiehlt bewährte Verfahren für sicheres Teilen.
Erfahren Sie, wie Sie die öffentlich geteilten Dateien in Ihrem SaaS sehen können
Öffentlich Zugänglicher Quellcode
GitHub-Repositories haben eine lange Geschichte von Datenlecks. Diese Datenlecks werden in der Regel durch Benutzerfehler verursacht, bei denen Entwickler versehentlich private Repositories offenlegen oder ein Administrator Berechtigungen ändert, um die Zusammenarbeit zu ermöglichen.
GitHub-Lecks haben große Marken beeinträchtigt, darunter X (ehemals Twitter), bei dem proprietärer Code für ihre Plattform und interne Tools ins Internet gelangt. GitHub-Lecks offenbaren oft sensible Informationen, wie OAuth-Token, API-Schlüssel, Benutzernamen und Passwörter, Verschlüsselungsschlüssel und Sicherheitszertifikate.
Wenn proprietärer Code und Unternehmensgeheimnisse offenbart werden, kann dies die Geschäftskontinuität gefährden. Die Sicherung von Code innerhalb von GitHub-Repositories sollte oberste Priorität haben.
Überraschende Risiken öffentlich zugänglicher Kalender
Auf den ersten Blick scheinen öffentlich geteilte Kalender kein großes Sicherheitsrisiko darzustellen. Kalender sind nicht dafür bekannt, sensiblen Daten zu enthalten. In Wirklichkeit enthalten sie jedoch eine wahre Fülle von Informationen, die Organisationen nicht in die Hände von Cyberkriminellen fallen lassen möchten.
Kalender enthalten Einladungen zu Meetings mit Videokonferenzlinks und Passwörtern. Wenn diese Informationen öffentlich zugänglich sind, kann dies zu unerwünschten oder bösartigen Teilnehmern an Ihren Meetings führen. Kalender enthalten auch Tagesordnungen, Präsentationen und andere sensible Materialien. Die Informationen aus Kalendern können auch für Phishing- oder Social Engineering-Angriffe genutzt werden. Wenn zum Beispiel ein Bedrohungsakteur mit Zugriff auf Alice’s Kalender sieht, dass sie um 3 Uhr einen Anruf mit Bob hat, kann der Bedrohungsakteur Bob anrufen und sich als Alice’s Assistent ausgeben, um Bob zu bitten, einige sensible Informationen vor dem Meeting per E-Mail zu senden.
Zusammenarbeit mit externen Dienstleistern
Obwohl SaaS-Anwendungen die Zusammenarbeit mit Agenturen und anderen Dienstleistern vereinfachen, sind diese Zusammenarbeiten oft von kurzer Dauer. Wenn nicht gemanagt, haben alle Mitglieder, die an dem Projekt beteiligt sind, Zugriff auf die geteilten Dokumente und Collaboration-Boards.
Projektinhaber erstellen häufig einen Benutzernamen für die Agentur oder teilen wichtige Dateien mit allen, die den Link haben. Dies vereinfacht die Verwaltung und spart möglicherweise Lizenzkosten. Der Projektinhaber hat jedoch die Kontrolle darüber abgegeben, wer auf die Materialien zugreifen und daran arbeiten kann.
Alle Mitglieder des externen Teams haben nicht nur Zugriff auf proprietäre Projektdateien, sondern behalten häufig auch nach dem Verlassen des Unternehmens den Zugriff, wenn sie sich an Benutzernamen und Passwörter erinnern. Wenn Ressourcen mit jedem geteilt werden, der den Link hat, können sie diesen einfach an ihre persönliche E-Mail-Adresse weiterleiten und jederzeit auf die Dateien zugreifen.
Bewährte Verfahren für sicheres Dateiteilen
Die gemeinsame Nutzung von Ressourcen ist ein wichtiger Aspekt der Geschäftstätigkeit. Der SaaS-Sicherheitsanbieter Adaptive Shield empfiehlt Unternehmen, diese bewährten Verfahren zu befolgen, wann immer sie Dateien mit externen Benutzern teilen:
Dateien immer nur mit individuellen Benutzern teilen und eine Form der Authentifizierung verlangen.
Nie über „jeden mit dem Link“ teilen. Wenn möglich, sollte der Administrator diese Funktion deaktivieren.
Wenn Anwendungen dies zulassen, ein Ablaufdatum für die geteilte Datei festlegen.
Ein Ablaufdatum für Einladungen zum Dateiteilen festlegen.
Freigabeberechtigungen von öffentlichen Dokumenten entfernen, die nicht mehr verwendet werden.
Zusätzlich sollten Organisationen nach einem SaaS-Sicherheitstool suchen, das öffentlich geteilte Ressourcen identifizieren und zur Behebung markieren kann. Diese Funktion hilft Unternehmen, das Risiko zu verstehen, das sie mit öffentlich geteilten Dateien eingehen, und leitet sie an, gefährdete Dateien zu sichern.
Erfahren Sie, wie ein Ressourcen-Inventar alle öffentlich zugänglichen Ressourcen identifizieren kann.