分享鏈接前三思:現實世界中的SaaS

協作是SaaS應用程序的本質。這個詞，或者它的某種形式，出現在谷歌工作空間主頁的前兩個標題中。在微軟365的主頁上可以找到6次，在Box上可以找到3次，在Workday上可以找到1次。訪問幾乎所有的SaaS網站，“協作”很可能會成爲應用的關鍵賣點之一。

通過雲計算，應用程序中的內容可以立即共享，使其比以往任何時候都更容易與其他人協作。

然而，這種共享性是一枚兩面硬幣。另一方面，面向公衆的網站上的敏感鏈接往往很容易被訪問。從試圖收集公司機密的競爭對手，到與記者或立法者分享內部信息的舉報人，泄露文件所造成的曝光可能會造成巨大的傷害。儘管協作是SaaS不可或缺的一部分，但共享鏈接會產生高風險情況和現實生活中的違規行爲，可以通過正確的流程來緩解。

共享文件和文檔

雖然Micro365、Salesforce、谷歌Workspace和Box使用的術語略有不同，但從SaaS應用程序中共享文件和文檔基本上有兩種方法。文件所有者可以讓資源對特定用戶可用，也可以讓“任何擁有鏈接的人”可用。

與特定用戶共享文件既麻煩又耗時。當文件傳遞給不同的涉衆時，文件所有者需要根據需要添加每個用戶。當與外部供應商合作時，需要與供應商聯繫人協調，以瞭解誰將使用該文件。每個用戶的電子郵件地址都需要單獨添加，如果有人遺漏了，文件所有者需要回到共享設置並添加他們。

與任何擁有鏈接的人共享文件就不那麼麻煩了。文檔所有者可以複製鏈接，將其發送給供應商，而不必再考慮文檔管理的問題。此外，人們經常從私人帳戶(例如，他們的gmail電子郵件)而不是業務監控的電子郵件帳戶請求訪問。這可能是由於外部供應商有時只有一個私有域，也可能是他們也登錄到自己的私人帳戶，所以他們意外地請求訪問它。

然而，儘管免費分享鏈接很誘人，但這樣做會使文檔被泄露。一旦鏈接被共享，就無法控制文件會發生什麼，用戶可以從任何帳戶訪問該文件。文件被泄露的風險程度呈指數級增長。

谷歌驅動器，微軟Sharepoint和紐約市學童

紐約市的學校官員經歷了慘痛的教訓才認識到共享鏈接的危險。2021年，學校官員證實了一起數據泄露事件，其中包含紐約市公立學校系統3000多名學生和100多名工作人員的敏感信息。當一名學生訪問谷歌驅動器時，數據被曝光。

這篇報道發生在微軟Sharepoint被入侵之後，當時一名學生在做作業時無意中發現了一份討論新冠肺炎期間學校何時開學的文件草案。這封信包括測試政策、隔離政策的細節，以及學校系統尚未準備好公佈的其他信息。由於不安全的文檔共享設置，該數據被暴露。

谷歌武裝部隊的形式

不僅僅是學校官員需要小心他們的共享鏈接。2021年，一個武裝部隊要求士兵填寫一份與COVID-19疫苗有關的谷歌表格。每個士兵都輸入了姓名和身份證號碼，並回答了有關冠狀病毒的問題。

然而，谷歌表格的作者允許受訪者審查結果。任何有這個鏈接的人都可以獲取士兵的姓名和身份證號碼。這些數據是按時間順序列出的，因此很容易按部隊對特定的士兵進行分組。只要有瀏覽器和鏈接，任何人都可以訪問這些數據。

在收到警告後，該軍事單位刪除了該表格，但不可能知道數據泄露的程度。

盒子文件曝光到世界

據TechCrunch報道，2019年，安全研究人員發現數十家公司泄露了保存在Box中的敏感公司和客戶數據。研究人員使用腳本掃描box賬戶，發現包括box在內的90多家公司的數據對任何有鏈接的人都是可見的。

包括Amadeus、蘋果、愛德曼和康寶萊在內的公司暴露了客戶姓名和聯繫信息、項目提案、捐贈者姓名、患者信息等。如果公司使用平臺內可用的訪問控制，這些信息本可以很容易地得到保護。

防止數據泄漏和數據丟失的最佳實踐

SaaS應用程序中包含的數據存在於雲端，但不需要通過鏈接向任何人公開。具有安全意識的組織應該遵循這些指導方針，以確保其數據的安全。

與特定用戶共享文件——要求用戶在訪問數據之前登錄，極大地降低了數據落入壞人之手的可能性

爲共享鏈接添加過期日期——大多數文檔和文件都是共享的，最終被遺忘了，讓公司甚至不知道自己被暴露了。通過在鏈接中添加截止日期，這種疏忽不會回過頭來傷害公司。

密碼保護所有鏈接-通過要求對所有面向外部的文件進行密碼保護，增加額外的數據安全層

創建資源清單——在一個地方列出所有公司資源，包括每個文件的共享設置，爲安全團隊提供一個單一的視圖，使他們能夠評估風險和暴露。

每個未受保護的鏈接都有可能暴露數據。作爲鏈接共享者，不可能知道收件人設備的衛生狀況，他們是否會與他人共享鏈接，甚至他們是否向他人提供訪問他們電子郵件帳戶的權限。保護鏈接是限制這種風險的主要保護方法之一。

防止鏈接過度共享的另一種方法是通過使用SSPM解決方案的自動化方法。像Adaptive Shield這樣的SSPM，通過識別哪些資源正在被公開共享和處於危險之中，幫助組織防止數據丟失。它還可以識別沒有過期日期的共享資源，或者設置爲允許客人共享項目。一旦安全團隊意識到攻擊面，他們就可以根據需要修復和保護鏈接。