調(diào)查表明近70%經(jīng)過測(cè)試的ServiceNow實(shí)例泄漏數(shù)據(jù)

責(zé)任編輯:cres

作者:John P. Mello Jr.

2022-03-15 13:23:01

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

據(jù)報(bào)道,一家標(biāo)準(zhǔn)普爾500指數(shù)上市公司的SaaS平臺(tái)由于配置錯(cuò)誤而導(dǎo)致數(shù)據(jù)泄露。SaaS安全提供商AppOmni公司在日前發(fā)布的一份調(diào)查報(bào)告中,指出了在將近70%的已經(jīng)通過測(cè)試ServiceNow實(shí)例中發(fā)現(xiàn)配置錯(cuò)誤的消息。

SaaS安全提供商AppOmni公司聲稱,錯(cuò)誤配置是由客戶管理的配置和向來賓用戶過度配置權(quán)限的組合而成的。ServiceNow公司擁有25000多家客戶,其中大多數(shù)客戶擁有50至200名員工,年收入在100萬至1000萬美元之間。
 
AppOmni公司在一份新聞稿中解釋說,由于高級(jí)SaaS功能、靈活性和可擴(kuò)展性不可避免地帶來復(fù)雜性,這些類型的錯(cuò)誤配置在主要SaaS平臺(tái)中很常見。
 
AppOmni公司首席執(zhí)行官Brendan O'Connor說,“這類問題絕不限于ServiceNow公司。我們看到多個(gè)SaaS平臺(tái)上的主要數(shù)據(jù)泄露。在過去的幾周,我們看到多個(gè)SaaS應(yīng)用程序的網(wǎng)絡(luò)攻擊有所增加。”
 
SaaS應(yīng)用程序沒有得到充分的安全審查
 
AppOmni解釋說,錯(cuò)誤配置可能發(fā)生在SaaS平臺(tái)的初始實(shí)施階段、用戶或設(shè)置更改時(shí),或者作為SaaS更新定期節(jié)奏的一部分,這可能會(huì)影響當(dāng)前配置。該公司開發(fā)了免費(fèi)的Web應(yīng)用程序SaaS安全分析器,這將確定ServiceNow實(shí)例是否存在這一錯(cuò)誤配置。
 
O'Connor表示,AppOmni公司一直在與ServiceNow公司合作解決這個(gè)問題。然而,他補(bǔ)充說,“我們強(qiáng)烈建議ServiceNow客戶自己人工檢查這個(gè)問題。一般來說,SaaS應(yīng)用程序沒有得到他們需要的安全審查。大多數(shù)客戶認(rèn)為云計(jì)算提供商會(huì)為他們處理一切。他們不了解責(zé)任共擔(dān)模型,也不了解他們?cè)诒Wo(hù)數(shù)據(jù)以及正確配置和使用SaaS方面的義務(wù)。”
 
激進(jìn)的數(shù)字化轉(zhuǎn)型導(dǎo)致出現(xiàn)安全問題
 
O'Connor將SaaS錯(cuò)誤配置與過去的AWS S3存儲(chǔ)問題進(jìn)行了比較。他說,“這不是云計(jì)算提供商的軟件缺陷。這是一種常見模式,客戶通常會(huì)無意中將SaaS平臺(tái)的內(nèi)部數(shù)據(jù)暴露給外部世界。根據(jù)我們發(fā)布的調(diào)查報(bào)告,在我們分析的高達(dá)70%的案例中,發(fā)現(xiàn)了這種數(shù)據(jù)泄露無需任何身份驗(yàn)證,不需要密碼,也不需要侵入別人的計(jì)算機(jī)。”
 
O'Connor補(bǔ)充說,過去兩年激進(jìn)的數(shù)字化轉(zhuǎn)型導(dǎo)致許多企業(yè)出現(xiàn)安全問題。他說,“新冠疫情迫使越來越多的企業(yè)接受云??計(jì)算技術(shù)。云計(jì)算技術(shù)是安全的,但在很多企業(yè)在急于將業(yè)務(wù)遷移到云平臺(tái)的過程中,忽略了一些安全問題。我認(rèn)為,企業(yè)在進(jìn)行云遷移時(shí)可能沒有時(shí)間在其架構(gòu)中建立適當(dāng)級(jí)別的安全審查。”
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)