Cộng tác nằm ở bản chất của các ứng dụng SaaS. Từ này hoặc một dạng nào đó của từ này xuất hiện ở hai tiêu đề hàng đầu trên trang chủ của Google Workspace. Nó có thể được tìm thấy sáu lần trên trang chủ của Microsoft 365, ba lần trên Box và một lần trên Workday. Truy cập gần như bất kỳ trang web SaaS nào và tỷ lệ cược là ‘sự cộng tác' sẽ xuất hiện như một phần điểm bán hàng chính của ứng dụng.
Bằng cách ngồi trên đám mây, nội dung trong các ứng dụng có thể được chia sẻ ngay lập tức, khiến việc làm việc với những người khác trở nên dễ dàng hơn bao giờ hết.
Tuy nhiên, khả năng chia sẻ đó là một đồng xu hai mặt. Mặt khác, thường là các liên kết nhạy cảm nằm trên các trang web công khai có thể dễ dàng truy cập. Sự lộ diện do các tài liệu bị rò rỉ có thể gây ra tác hại to lớn, từ việc các đối thủ cạnh tranh cố gắng thu thập bí mật của công ty cho đến những người tố cáo chia sẻ thông tin nội bộ với các phóng viên hoặc nhà lập pháp. Cộng tác không thể thiếu đối với SaaS, việc chia sẻ liên kết tạo ra tình huống có rủi ro cao và các vi phạm trong đời thực, có thể được giảm thiểu thông qua các quy trình phù hợp.
Tìm hiểu cách bạn có thể giúp bạn có được khả năng hiển thị trên toàn bộ ngăn xếp SaaS của mình.
Chia sẻ tệp và tài liệu
Về cơ bản, có hai cách để chia sẻ tệp và tài liệu từ ứng dụng SaaS, mặc dù thuật ngữ được M365, Salesforce, Google Workspace và Box sử dụng hơi khác một chút. Chủ sở hữu tệp có thể cung cấp tài nguyên cho những người dùng cụ thể hoặc cung cấp tài nguyên cho “bất kỳ ai có liên kết”.
Việc chia sẻ tệp với những người dùng cụ thể có thể rất phức tạp và tốn thời gian. Khi tệp được chuyển cho các bên liên quan khác nhau, chủ sở hữu tệp cần thêm mọi người dùng khi họ cần. Khi làm việc với nhà cung cấp bên ngoài, điều đó yêu cầu sự phối hợp với người liên hệ của nhà cung cấp để hiểu ai sẽ làm việc với tệp. Mỗi địa chỉ email của người dùng cần được thêm riêng lẻ và nếu ai đó bị bỏ sót, chủ sở hữu tệp cần quay lại cài đặt chia sẻ và thêm họ.
Chia sẻ tệp với bất kỳ ai có liên kết sẽ đỡ rườm rà hơn nhiều. Chủ sở hữu tài liệu có thể sao chép liên kết, gửi cho nhà cung cấp và không phải suy nghĩ về việc quản lý tài liệu nữa. Ngoài ra, mọi người thường yêu cầu quyền truy cập từ tài khoản cá nhân (ví dụ: email gmail của họ) thay vì tài khoản email do doanh nghiệp giám sát. Điều này có thể là do đôi khi các nhà cung cấp bên ngoài chỉ có một miền riêng hoặc có thể họ cũng đăng nhập vào tài khoản riêng của mình nên vô tình yêu cầu quyền truy cập vào tài khoản đó.
Tuy nhiên, việc chia sẻ liên kết một cách tự do rất hấp dẫn, nhưng làm như vậy sẽ khiến tài liệu bị rò rỉ. Không có quyền kiểm soát điều gì xảy ra với tệp sau khi liên kết được chia sẻ và người dùng có thể truy cập tệp từ bất kỳ tài khoản nào. Mức độ rủi ro mà tệp có thể bị rò rỉ tăng theo cấp số nhân.
Google Drive, Microsoft Sharepoint và Học sinh NYC
Các quan chức trường học ở thành phố New York đã học được sự nguy hiểm của việc chia sẻ liên kết một cách khó khăn. Vào năm 2021, các quan chức của trường đã xác nhận một vụ rò rỉ dữ liệu chứa thông tin nhạy cảm của hơn 3.000 học sinh và 100 nhân viên trong hệ thống trường công lập NYC. Dữ liệu bị lộ khi một sinh viên có quyền truy cập vào Google Drive.
Câu chuyện đó xuất hiện sau một vụ vi phạm Microsoft Sharepoint, trong đó một học sinh đang làm bài tập về nhà tình cờ nhìn thấy một tài liệu nháp thảo luận về thời điểm các trường học sẽ mở cửa trở lại trong đại dịch COVID-19. Bức thư bao gồm các chi tiết về chính sách kiểm tra, chính sách kiểm dịch và các thông tin khác mà hệ thống trường học chưa sẵn sàng công bố. Dữ liệu này đã bị lộ do cài đặt chia sẻ tài liệu không an toàn.
Tìm hiểu cách bạn có thể bảo mật ngăn xếp SaaS của mình bằng cách quản lý ứng dụng, người dùng và thiết bị người dùng.
Google Biểu mẫu trong Lực lượng vũ trang
Không chỉ các quan chức nhà trường cần phải cẩn thận với các liên kết được chia sẻ của họ. Vào năm 2021, một đơn vị lực lượng vũ trang đã yêu cầu các binh sĩ điền vào biểu mẫu Google liên quan đến vắc xin COVID-19 của họ. Mỗi người lính nhập tên và số ID của họ, đồng thời trả lời các câu hỏi liên quan đến coronavirus.
Tuy nhiên, tác giả của Google Form đã cho phép người trả lời xem lại kết quả. Bất kỳ ai có liên kết đều có quyền truy cập vào tên và số ID của những người lính. Dữ liệu được liệt kê theo trình tự thời gian, giúp dễ dàng nhóm các binh sĩ cụ thể theo đơn vị của họ. Bất kỳ ai có trình duyệt và liên kết đều có thể truy cập dữ liệu này.
Sau khi được cảnh báo, đơn vị quân đội đã gỡ bỏ biểu mẫu, nhưng không thể biết dữ liệu bị rò rỉ đến đâu.
Tập tin hộp tiếp xúc với thế giới
Theo TechCrunch, vào năm 2019, các nhà nghiên cứu bảo mật đã phát hiện ra hàng chục công ty đã làm rò rỉ dữ liệu nhạy cảm của công ty và khách hàng được lưu trong Box. Sử dụng tập lệnh để quét các tài khoản hộp, các nhà nghiên cứu đã tìm thấy hơn 90 công ty – bao gồm cả Hộp – với dữ liệu hiển thị cho bất kỳ ai có liên kết.
Các công ty, bao gồm Amadeus, Apple, Edelman và Herbalife, đã tiết lộ tên khách hàng và thông tin liên hệ, đề xuất dự án, tên nhà tài trợ, thông tin bệnh nhân, v.v. Thông tin này có thể dễ dàng được bảo vệ nếu các công ty sử dụng các biện pháp kiểm soát truy cập có sẵn trong nền tảng.
Thực tiễn tốt nhất để ngăn chặn rò rỉ dữ liệu và mất dữ liệu
Dữ liệu chứa trong các ứng dụng SaaS tồn tại trên đám mây nhưng không cần phải hiển thị cho bất kỳ ai có liên kết. Các tổ chức có ý thức bảo mật nên tuân theo các nguyên tắc này để đảm bảo dữ liệu của họ được an toàn.
Chia sẻ tệp với người dùng cụ thể – Yêu cầu người dùng đăng nhập trước khi họ có thể truy cập dữ liệu làm giảm đáng kể khả năng dữ liệu rơi vào tay kẻ xấu
Thêm ngày hết hạn vào các liên kết được chia sẻ – Hầu hết các tài liệu và tệp được chia sẻ và cuối cùng bị lãng quên, đặt các công ty vào tình thế mà họ thậm chí không biết rằng mình đang bị lộ. Bằng cách thêm ngày hết hạn vào liên kết, sự giám sát đó sẽ không quay trở lại gây hại cho công ty.
Mật khẩu bảo vệ tất cả các liên kết – Thêm một lớp bảo mật dữ liệu bổ sung bằng cách yêu cầu bảo vệ bằng mật khẩu trên tất cả các tệp hướng ra bên ngoài
Tạo kho lưu trữ tài nguyên – Liệt kê tất cả các tài nguyên của công ty ở một nơi duy nhất bao gồm cài đặt chia sẻ của từng tệp, cung cấp cho các nhóm bảo mật một chế độ xem duy nhất cho phép họ đánh giá rủi ro và mức độ phơi nhiễm.
Mọi liên kết không được bảo vệ đều có khả năng làm lộ dữ liệu. Là người chia sẻ liên kết, không thể biết tình trạng vệ sinh của thiết bị của người nhận, liệu họ có chia sẻ liên kết với người khác hay thậm chí liệu họ có cấp cho người khác quyền truy cập vào tài khoản email của họ hay không. Bảo mật các liên kết là một trong những cách bảo vệ chính có sẵn để hạn chế rủi ro này.
Một cách tiếp cận khác để bảo vệ chống lại các liên kết được chia sẻ quá mức là phương pháp tự động, thông qua việc sử dụng giải pháp sspm. Một SSPM, chẳng hạn như Lá chắn thích ứng, giúp các tổ chức bảo vệ khỏi mất mát dữ liệu bằng cách xác định tài nguyên nào đang được chia sẻ công khai và có nguy cơ gặp rủi ro. Nó cũng có thể xác định các tài nguyên được chia sẻ mà không có ngày hết hạn hoặc được đặt để cho phép khách chia sẻ mục. Sau khi nhóm bảo mật nhận thức được bề mặt tấn công, họ có thể khắc phục và bảo mật liên kết khi cần.
Nhận bản trình diễn dài 15 phút về cách bạn có thể bảo vệ tổ chức của mình khỏi bị mất dữ liệu.
