Samenwerking is een krachtig verkoopargument voor SaaS-applicaties. Microsoft, Github, Miro en anderen promoten het collaboratieve karakter van hun softwareapplicaties, waardoor gebruikers meer kunnen doen.
Links naar bestanden, opslagplaatsen en borden kunnen met iedereen en overal worden gedeeld. Dit moedigt teamwerk aan dat helpt bij het creëren van sterkere campagnes en projecten door de samenwerking tussen werknemers verspreid over regio’s en afdelingen aan te moedigen.
Tegelijkertijd kan de openheid van data-SaaS-platforms problematisch zijn. Uit een onderzoek uit 2023 van de Cloud Security Alliance en Adaptive Shield bleek dat bij 58% van de beveiligingsincidenten van de afgelopen twee jaar sprake was van datalekken. Het is duidelijk dat delen goed is, maar het delen van gegevens moet aan banden worden gelegd. De meeste SaaS-applicaties beschikken over mechanismen om het delen te controleren. Deze tools zijn behoorlijk effectief om ervoor te zorgen dat bedrijfsbronnen niet beschikbaar zijn voor weergave op het openbare internet. In dit artikel worden drie veelvoorkomende scenario’s voor gegevenslekken besproken en aanbevolen voor best practices voor veilig delen.
Leer hoe u see de bestanden die publiekelijk worden gedeeld vanuit uw SaaS
Bedrijfscode openbaar maken
GitHub-opslagplaatsen hebben een lange geschiedenis van het lekken van gegevens. Deze datalekken worden meestal veroorzaakt door een gebruikersfout, waarbij de ontwikkelaar per ongeluk privéopslagplaatsen vrijgeeft of een beheerder de machtigingen wijzigt om samenwerking te vergemakkelijken.
GitHub-lekken hebben grote merken getroffen, waaronder X (voorheen Twitter), wiens eigen code voor zijn platform en interne tools op internet lekt. GitHub-lekken onthullen vaak gevoelige geheimen, waaronder OAuth-tokens, API-sleutels, gebruikersnamen en wachtwoorden, encryptiesleutels en beveiligingscertificaten.
Wanneer bedrijfscode en bedrijfsgeheimen lekken, kan de bedrijfscontinuïteit in gevaar komen. Het beveiligen van code binnen GitHub-repository’s zou een topprioriteit moeten zijn.
Verrassende risico’s van publiek toegankelijke kalenders
Oppervlakkig gezien lijken openbaar gedeelde agenda’s misschien niet zo’n groot veiligheidsrisico te vormen. Agenda’s staan niet bekend om hun gevoelige gegevens. In werkelijkheid bevatten ze een schat aan informatie waarvan organisaties niet willen dat deze in handen van cybercriminelen terechtkomt.
Agenda’s bevatten uitnodigingen voor vergaderingen met videoconferentielinks en wachtwoorden. Als u die informatie openbaar houdt, kan dit ertoe leiden dat ongewenste of kwaadwillige deelnemers aan uw vergadering aanwezig zijn. Kalenders omvatten ook agenda’s, presentaties en ander gevoelig materiaal.
De informatie uit agenda’s kan ook worden gebruikt bij phishing- of social engineering-aanvallen. Als een bedreigingsacteur met toegang tot de agenda van Alice bijvoorbeeld ziet dat ze om 3 uur een gesprek heeft met Bob, kan de bedreigingsacteur Bob bellen terwijl hij zich voordoet als de assistent van Alice en verzoeken dat Bob vóór de vergadering wat gevoelige informatie e-mailt.
Samenwerken met externe dienstverleners
Hoewel SaaS-apps de samenwerking met bureaus en andere dienstverleners vereenvoudigen, zijn bij deze samenwerkingen vaak leden betrokken die voor korte tijd bij het project komen. Tenzij beheerd, geven de gedeelde documenten en samenwerkingsborden iedereen die aan het project werkt, te allen tijde toegang tot de materialen.
Projecteigenaren zullen vaak één gebruikersnaam voor het bureau aanmaken of sleutelbestanden delen met iedereen die over de link beschikt. Dit vereenvoudigt de administratie en kan geld besparen op het gebied van licenties. De projecteigenaar heeft echter de controle overgedragen over wie toegang heeft tot de materialen en er aan kan werken.
Iedereen binnen het externe team heeft niet alleen toegang tot eigen projectbestanden, maar behoudt die toegang vaak ook nadat ze het bedrijf hebben verlaten, als ze zich de gebruikersnaam en het wachtwoord herinneren. Wanneer bronnen worden gedeeld met iedereen met een link, kunnen ze de link eenvoudig doorsturen naar hun persoonlijke e-mailaccount en toegang krijgen tot de bestanden wanneer ze maar willen.
Ontdek welke configuraties uw gegevens openbaar maken.
Beste praktijken voor het veilig delen van bestanden
Het delen van middelen is een belangrijk aspect van de bedrijfsvoering. SaaS-beveiligingsbedrijf Adaptive Shield raadt bedrijven aan deze best practices te volgen bij het delen van bestanden met externe gebruikers.
- Deel bestanden altijd met individuele gebruikers en vereist een vorm van authenticatie.
- Deel nooit via ‘iemand met de link’. Indien mogelijk moet de beheerder deze mogelijkheid uitschakelen.
- Wanneer toepassingen dit toestaan, voegt u een vervaldatum toe aan het gedeelde bestand.
- Voeg een vervaldatum toe aan uitnodigingen voor het delen van bestanden.
- Verwijder de deelmachtigingen van elk openbaar document dat niet langer wordt gebruikt.
Bovendien moeten organisaties op zoek gaan naar een SaaS-beveiligingstool die openbaar gedeelde bronnen kan identificeren en deze kan markeren voor herstel. Deze mogelijkheid helpt bedrijven inzicht te krijgen in de risico’s die zij nemen met openbaar gedeelde bestanden en hen te begeleiden bij het beveiligen van bestanden die gevaar lopen.
Ontdek hoe een Inventarisatie van hulpbronnen kan alle publiek toegankelijke bronnen identificeren.
