wordy
tech
Why Public Links Expose Your SaaS Attack Surface
The Hacker News
Words in contents
  • collaboration
    n. 협력
    Collaboration among team members is crucial for project success.
    팀 구성원 간의 협력은 프로젝트의 성공에 중요하다.
  • dispersed
    adj. 분산된
    The employees are dispersed across different cities.
    직원들은 다른 도시에 분산되어 있다.
  • mechanisms
    n. 메커니즘, 방법
    The company has implemented various security mechanisms to protect its data.
    회사는 데이터를 보호하기 위해 다양한 보안 메커니즘을 도입했다.
  • continuity
    n. 지속성, 연속성
    The recent power outage disrupted the company's operations, affecting business continuity.
    최근의 정전으로 인해 회사의 운영이 중단되어, 사업의 연속성에 영향을 미쳤다.
  • phishing
    n. 피싱 (사이버 공격 기술)
    He fell victim to a phishing attack and lost access to his online banking account.
    그는 피싱 공격에 당해 온라인 뱅킹 계정에 접속이 불가능해졌다.
  • agendas
    n. 안건, 일정
    The meeting agenda included a discussion on the new project proposal.
    회의 안건에는 새로운 프로젝트 제안에 대한 토론이 포함되어 있었다.
  • service providers
    n. 서비스 공급자
    The company works with various service providers to outsource certain tasks.
    회사는 특정 업무를 외부 서비스 공급자에게 위탁하기 위해 다양한 공급자들과 협력한다.
  • cede
    v. 양도하다
    By sharing the password, she ceded control of her social media account to her friend.
    암호를 공유함으로써, 그녀는 자신의 소셜 미디어 계정의 통제 권한을 친구에게 양도했다.
  • remediation
    n. 문제 해결, 개선
    The company implemented several remediation measures to prevent similar incidents in the future.
    그 회사는 미래에 유사한 사건을 방지하기 위해 여러 가지 문제 해결 조치를 도입했다.
  • capabilities
    n. 능력, 기능
    The new software update introduced advanced capabilities for data analysis.
    새로운 소프트웨어 업데이트는 데이터 분석을 위한 고급 기능을 도입했다.
  • flag
    v. 강조하다, 표시하다
    The software flagged the suspicious email as potential spam.
    그 소프트웨어는 의심스러운 이메일을 잠재적인 스팸으로 표시했다.
  • resources
    n. 자원, 자료
    We need to allocate more resources to the project in order to meet the deadline.
    우리는 마감 기한을 맞추기 위해 프로젝트에 더 많은 자원을 할당해야 합니다.
Contents
Why Public Links Expose Your SaaS Attack Surface

n. 협력Collaboration is a powerful selling point for SaaS applications. Microsoft, Github, Miro, and others promote the collaborative nature of their software applications that allows users to do more.

Links to files, repositories, and boards can be shared with anyone, anywhere. This encourages teamwork that helps create stronger campaigns and projects by encouraging n. 협력collaboration among employees adj. 분산된dispersed across regions and departments.

At the same time, the openness of data SaaS platforms can be problematic. A 2023 survey by the Cloud Security Alliance and Adaptive Shield found that 58% of security incidents over the last two years involved data leakage. Clearly, sharing is good, but data sharing must be put in check. Most SaaS applications have mechanisms to control sharing. These tools are quite effective in ensuring that company resources aren't open for display on the public web. This article will look at three common data leakage scenarios and recommend best practices for safe sharing.

Turning Proprietary Code Public

GitHub repositories have a long history of leaking data. These data leaks are usually caused by user error, where the developer accidentally exposes private repositories or an admin changes permissions to facilitate n. 협력collaboration.

GitHub leaks have impacted major brands, including X (formerly Twitter) whose proprietary code for its platform and internal tools leak onto the internet. GitHub leaks often expose sensitive secrets, including OAuth tokens, API keys, usernames and passwords, encryption keys, and security certificates.

When proprietary code and company secrets leak, it can put business n. 지속성, 연속성continuity at risk. Securing code within GitHub repositories should be a top priority.

Surprising Risks of Publicly Accessible Calendars

On the surface, publicly shared calendars might not seem to be much of a security risk. Calendars aren't known for sensitive data. In reality, they contain a treasure trove of information that organizations would not want falling into the hands of cybercriminals.

Calendars contain meeting invitations with videoconference links and passwords. Keeping that information open to the public could result in unwanted or malicious attendees at your meeting. Calendars also include n. 안건, 일정agendas, presentations, and other sensitive materials.

The information from calendars can also be used in n. 피싱 (사이버 공격 기술)phishing or social engineering attacks. For example, if a threat actor with access to Alice's calendar sees that she has a call with Bob at 3 o'clock, the threat actor can call Bob while posing as Alice's assistant and request that Bob email some sensitive information before the meeting.

Collaborating with External Service ProvidersService Providers

While SaaS apps simplify working with agencies and other n. 서비스 공급자service providers, these n. 협력collaborations often involve members who come into the project for short periods of time. Unless managed, the shared documents and n. 협력collaboration boards give everyone working on the project access to the materials for all time.

Project owners will frequently create one user name for the agency or share key files with anyone who has the link. This simplifies administration and may save money in terms of licenses. However, the project owner has v. 양도하다ceded control over to who can access and work on the materials.

Anyone within the external team not only has access to proprietary project files but they often retain that access after they leave the company if they remember the username and password. When n. 자원, 자료resources are shared with anyone with a link, they can easily forward the link to their personal email account and access the files whenever they want.

SaaS Attack Surface Users retain access to shared Google Docs even after the employee who shared the documents has left the company.

Best Practices for Safe File Sharing

Sharing n. 자원, 자료resources is an important aspect of business operations. SaaS Security firm Adaptive Shield recommends companies follow these best practices whenever sharing files with external users.

  • Always share files with individual users, and require some form of authentication.
  • Never share via "anyone with the link." When possible, the admin should disable this capability.
  • When applications allow, add an expiration date to the shared file.
  • Add an expiration date to file-sharing invitations.
  • Remove share permissions from any public document that is no longer being used.

Additionally, organizations should look for a SaaS security tool that can identify publicly shared n. 자원, 자료resources and v. 강조하다, 표시하다flag them for n. 문제 해결, 개선remediation. This capability will help companies understand the risk they are taking with publicly shared files and direct them toward securing any files at risk.

협업은 SaaS 애플리케이션의 강력한 판매 포인트입니다. Microsoft, Github, Miro 등은 사용자가 더 많은 작업을 수행할 수 있는 소프트웨어 애플리케이션의 협업 특성을 홍보합니다.

파일, 저장소, 보드에 대한 링크를 어디서나 누구와도 공유할 수 있습니다. 이를 통해 여러 지역과 부서에 흩어져 있는 직원들 간의 협업을 장려하여 더 강력한 캠페인과 프로젝트를 만드는 데 도움이 되는 팀워크를 장려합니다.

동시에 데이터 SaaS 플랫폼의 개방성은 문제가 될 수 있습니다. 2023년 클라우드 보안 연합과 어댑티브 쉴드가 실시한 설문조사에 따르면 지난 2년간 발생한 보안 사고의 58%가 데이터 유출과 관련된 것으로 나타났습니다. 공유는 분명 좋은 일이지만, 데이터 공유는 반드시 통제되어야 합니다. 대부분의 SaaS 애플리케이션에는 공유를 제어할 수 있는 메커니즘이 있습니다. 이러한 도구는 회사 리소스가 공개 웹에 공개되지 않도록 하는 데 매우 효과적입니다. 이 문서에서는 세 가지 일반적인 데이터 유출 시나리오를 살펴보고 안전한 공유를 위한 모범 사례를 추천합니다.

독점 코드 공개

GitHub 리포지토리는 데이터 유출의 오랜 역사를 가지고 있습니다. 이러한 데이터 유출은 대개 개발자가 실수로 비공개 리포지토리를 노출하거나 관리자가 협업을 용이하게 하기 위해 권한을 변경하는 등 사용자 실수로 인해 발생합니다.

GitHub 유출은 플랫폼과 내부 도구에 대한 독점 코드가 인터넷에 유출된 X(구 트위터)를 비롯한 주요 브랜드에 영향을 미쳤습니다. GitHub 유출로 인해 OAuth 토큰, API 키, 사용자 이름 및 비밀번호, 암호화 키, 보안 인증서 등 민감한 기밀이 노출되는 경우가 많습니다.

독점 코드와 회사 기밀이 유출되면 비즈니스 연속성이 위험에 처할 수 있습니다. GitHub 리포지토리 내 코드 보안을 최우선 과제로 삼아야 합니다.

공개적으로 액세스 가능한 캘린더의 놀라운 위험

표면적으로 공개적으로 공유되는 캘린더는 보안상 큰 위험이 없는 것처럼 보일 수 있습니다. 캘린더에는 민감한 데이터가 저장되는 것으로 알려져 있지 않기 때문입니다. 하지만 실제로는 조직이 사이버 범죄자의 손에 넘어가는 것을 원치 않는 정보가 가득 담겨 있습니다.

캘린더에는 화상 회의 링크와 비밀번호가 포함된 회의 초대장이 포함되어 있습니다. 이러한 정보를 공개하면 원치 않거나 악의적인 참석자가 회의에 참석할 수 있습니다. 캘린더에는 안건, 프레젠테이션 및 기타 민감한 자료도 포함됩니다.

캘린더의 정보는 피싱이나 소셜 엔지니어링 공격에 사용될 수도 있습니다. 예를 들어, 앨리스의 캘린더에 액세스할 수 있는 위협 행위자가 앨리스가 3시에 밥과 통화할 예정이라는 것을 알게 되면 앨리스의 비서로 위장하여 밥에게 전화를 걸어 회의 전에 민감한 정보를 이메일로 보내달라고 요청할 수 있습니다.

외부 서비스 제공업체와의 협업

SaaS 앱은 대행사 및 기타 서비스 제공업체와의 협업을 간소화하지만, 이러한 협업에는 단기간 프로젝트에 참여하는 구성원이 참여하는 경우가 많습니다. 관리하지 않는 한, 공유 문서와 협업 보드를 통해 프로젝트에 참여하는 모든 사람이 항상 자료에 액세스할 수 있습니다.

프로젝트 소유자는 대행사에 대해 하나의 사용자 이름을 만들거나 링크가 있는 모든 사람과 주요 파일을 공유하는 경우가 많습니다. 이렇게 하면 관리가 간소화되고 라이선스 비용도 절약할 수 있습니다. 그러나 프로젝트 소유자는 누가 자료에 액세스하고 작업할 수 있는지에 대한 통제권을 양도합니다.

외부 팀원이라면 누구나 독점 프로젝트 파일에 액세스할 수 있을 뿐만 아니라, 사용자 이름과 비밀번호를 기억하고 있다면 퇴사 후에도 해당 액세스 권한을 유지하는 경우가 많습니다. 링크가 있는 리소스를 다른 사람과 공유할 경우, 링크를 개인 이메일 계정으로 쉽게 전달하고 원할 때 언제든지 파일에 액세스할 수 있습니다.

SaaS 공격 표면

문서를 공유한 직원이 퇴사한 후에도 사용자는 공유된 Google 문서에 계속 액세스할 수 있습니다.

안전한 파일 공유를 위한 모범 사례

리소스 공유는 비즈니스 운영의 중요한 측면입니다. SaaS 보안 업체인 어댑티브 쉴드는 기업이 외부 사용자와 파일을 공유할 때마다 다음 모범 사례를 따를 것을 권장합니다.

  • 항상 개별 사용자와 파일을 공유하고, 어떤 형태로든 인증을 요구하세요.
  • "링크가 있는 사람"을 통해 공유하지 마세요. 가능하면 관리자가 이 기능을 비활성화해야 합니다.
  • 애플리케이션에서 허용하는 경우, 공유 파일에 만료일을 추가합니다.
  • 파일 공유 초대에 만료일을 추가합니다.
  • 더 이상 사용되지 않는 공개 문서에서 공유 권한을 제거합니다.

또한, 조직은 공개적으로 공유된 리소스를 식별하고 해결을 위해 플래그를 지정할 수 있는 SaaS 보안 도구를 찾아야 합니다. 이 기능을 통해 기업은 공개적으로 공유된 파일로 인해 발생하는 위험을 파악하고 위험에 처한 파일을 보호할 수 있습니다.

Quiz
  1. Q. What is the meaning of 'collaboration'?
  2. Q. Which word can be used to complete the sentence: The company's software includes ______ algorithms that give them a competitive advantage.
  3. Q. What does the word 'flag' mean?