Letztes Jahr Toyota erlitt eine Datenpanne, weil versehentlich ein Zugangsdatensatz preisgegeben wurde, der den Zugriff auf Kundendaten in einem öffentlichen GitHub-Repository ermöglichte.
Diese Art von Datenschutzverletzung könnte vermieden werden, wenn sich Unternehmen auf Zugangsdaten konzentrieren würden innerhalb von SaaS-Anwendungen verfügbar gemacht. Wir haben mit Corey O’Connor, Director of Product bei der SaaS-Sicherheitsplattform DoControl, darüber gesprochen, warum er glaubt, dass Identitätssicherheit erforderlich ist um über den Schutz der Schlüssel hinauszugehen.
BN: Wie können Unternehmen ihren Fokus auf Anmeldeinformationen erhöhen, die in SaaS-Anwendungen offengelegt werden?
CO: Die Verwendung privilegierter Zugangsdaten ist bei fast jedem Cyberangriff üblich. Das ist gut verständlich. Es ist jedoch eine ständige Herausforderung, die Anmeldeinformationen und Identitäten zu sichern, die Zugriff darauf haben, insbesondere in der heutigen Realität der Initiativen zur digitalen Transformation und dem Weg in die Cloud. Die Bedrohung durch menschlichen und nichtmenschlichen Zugriff auf Unternehmensdaten wird zu einer großen Herausforderung. Sie haben mehr Systeme und Anwendungen, auf die von einer Reihe unterschiedlicher Identitäten zugegriffen wird, sowohl intern als auch extern, sowie nicht-menschlich, d. h. Integrationen von Anwendung zu Anwendung. Daten werden in beträchtlichem Umfang generiert und ausgetauscht. Dies erhöht die Angriffsfläche eines Unternehmens und die Wahrscheinlichkeit einer Datenexfiltration. Sicherheit wird zu einem Blocker, der dem Unternehmen unnötige technische Schulden aufbürdet, wenn es nicht effektiv navigiert wird.
Es gibt zahlreiche Beispiele, in denen maschinelle oder nicht-menschliche Identitäten eingeführt werden, um das Geschäft zu unterstützen (z. B. Dienstkonten oder Software-Bots mit Robotic Process Automation-Technologien). Organisationen müssen ihren Fokus verstärkt auf den Zugriff nichtmenschlicher Benutzer richten. Diese Identitäten und die zugehörigen Anmeldeinformationen werden vom Sicherheitsteam oft übersehen und können ein attraktives Ziel für Angreifer sein, um einen ersten Fuß zu fassen. Beispielsweise bietet das OAuth-Protokoll eine bequeme Möglichkeit für eine Anwendung, sich mit einer anderen zu verbinden, aber wenn dieser Zugriff kompromittiert wird, kann es unbefugten Zugriff auf vertrauliche Daten innerhalb der Anwendung ermöglichen, mit der es verbunden ist. Das Risiko lieferkettenbasierter Angriffe mit OAuth-Token und anderen nichtmenschlichen Identitätsnachweisen wird alltäglich.
BN: Warum haben wir einen Anstieg des fahrlässigen Insider-Risikos im Zusammenhang mit privilegierten Anmeldeinformationen und SaaS festgestellt? Anwendungen?
CO: Der Aufwärtstrend hängt mit dem zusammen, was ursprünglich dazu beigetragen hat, die neue Normalität mit hybriden und Remote-Arbeitsumgebungen zu formen. Um das Geschäft zu unterstützen, wurden verschiedene Geräte und Anwendungen miteinander vermischt, damit die Benutzer ihre Arbeit erledigen konnten. Sie haben arbeitsbezogene Anwendungen auf privaten Geräten installiert und umgekehrt. Sie haben dann Dateien, auf die zugegriffen und die für private E-Mail-Konten freigegeben werden. In den frühen Tagen der Pandemie gab es einen Anstieg bei der Einführung neuer Software as a Service (SaaS) und anderer Cloud-Technologien zur Unterstützung des Geschäfts. CIOs wollten das Geschäft fördern und nicht bremsen. Eine erhebliche SaaS-Anwendungs-und Datenwucherung war eines der negativen Ergebnisse.
Aus menschlicher Benutzerperspektive haben Sie in einer typischen SaaS-Umgebung ein Datenverwaltungs-und Überbelichtungsproblem – mit Hunderten von verschiedenen Apps, Tausenden von internen und externe Benutzer und Zehntausende von Dateien. Menschliche Fehler sind immer noch so weit verbreitet und stellen jede Organisation vor Herausforderungen. Vorsätzlich böswilliges oder rein fahrlässiges Insider-Risikoverhalten muss erkannt, die richtigen Personen gewarnt und die entsprechende Reaktion eingeleitet werden (z. B. ein ausscheidender Mitarbeiter, der Kundenlisten mit seinem privaten E-Mail-Konto teilt).
Aus Sicht nichtmenschlicher Benutzer haben Sie eine Zunahme sowohl sanktionierter als auch nicht sanktionierter Anwendungen innerhalb des SaaS-Bestands. Einige dieser Anwendungen sind oft mit riskanten Berechtigungsbereichen überprivilegiert, sie wurden möglicherweise nicht vom Herausgeber (d. h. über den Marktplatz des Anbieters) verifiziert, und viele werden nicht intern von IT-/Sicherheitsteams genehmigt. Der gleiche Ansatz muss für den nicht-menschlichen Zugriff angewendet werden, bei dem Sie böswillige Verhaltensweisen identifizieren können, z. B. Aktivitäten, die auf einen Angriff auf die Lieferkette hinweisen. Erkennen Sie anwendungsbezogene Aktivitäten mit hohem Risiko, wie z. B. übermäßige Schreib-API-Aufrufe, die Durchführung einer erheblichen Anzahl von Updates oder der Anwendungsserver hat eine bekannte bösartige IP-Adresse. IT-/Sicherheitsteams sollten benachrichtigt werden und geeignete Maßnahmen ergreifen, um das OAuth-Token zu entfernen, die Anwendung auszusetzen usw. Viele dieser Schritte müssen automatisiert werden, um sowohl die Geschäftskontinuität als auch eine starke Sicherheitslage aufrechtzuerhalten.
BN: Wenn immer mehr Unternehmen Cloud-First-Strategien anwenden, wie können sie am besten sicherstellen, dass diese „Schlüssel zum Königreich“ nicht misshandelt werden?
CO: Wissen, wer Zugriff hat und worauf hier lebenswichtig. Auch dies gilt sowohl für menschliche Benutzer als auch für Maschinenidentitäten. Die Erstellung eines vollständigen Inventars von Benutzern, Anwendungen, Assets, Domänen, Gruppen usw. sowie ein Verständnis des Geschäftskontexts durch Kommunikationsverfolgung, Zuordnung und Beziehungsdiagramme sind unerlässlich. Der Geschäftskontext ist so entscheidend, um das Geschäft nicht zu verlangsamen, und Sicherheitsteams müssen in der Lage sein zu verstehen, was eine normale Vorgehensweise im Vergleich zu Ereignissen ist, die ein erhebliches Risiko für das Unternehmen darstellen. Andernfalls erhalten Sie am Ende eine beträchtliche Anzahl von Fehlalarmen, wodurch Sicherheitsteams weiter davon entfernt sind, Ereignisse und Bedrohungen zu identifizieren und darauf zu reagieren. Die Durchsetzung des Prinzips der geringsten Rechte sowohl für menschliche als auch für nichtmenschliche Benutzer ist eine Möglichkeit, eine starke Sicherheitshaltung für Organisationen zu unterstützen, die eine Cloud-First-Strategie verfolgen.
BN: Wie können Organisationen davon wegkommen die Denkweise der Sicherheit als nachträglicher Gedanke, insbesondere da Benutzer weiterhin Anmeldeinformationen teilen, wodurch Daten dem Risiko ausgesetzt sind, in falsche Hände zu geraten?
CO: Es muss strengere Kontrollen in Bezug auf privilegierte Anmeldeinformationen geben, sowohl für Menschen als auch für Menschen und nichtmenschliche Benutzer. Beispielsweise ist es sehr üblich, dass PEM-Dateien, AWS-Schlüssel und andere Anmeldeinformationen von Entwicklern und Administratoren über Slack geteilt werden. Es ist offensichtlich problematisch, diese Zugangsdaten auf unbestimmte Zeit über den Slack-Kanal verfügbar zu machen. Es muss ein Gleichgewicht zwischen der Unterstützung des Unternehmens auf eine Art und Weise bestehen, die aus Sicherheitssicht sinnvoll ist. Dies kann eine Herausforderung sein, wenn das Unternehmen wächst und skaliert, weshalb die Automatisierung eine entscheidende Rolle spielt. Sicherheit muss ein Geschäftsfaktor sein.
BN: Welchen Rat können Sie geben, um Risiken zu mindern und die Sicherheitslage anzupassen, um sicherzustellen, dass Schlüssel nicht falsch gehandhabt werden?
CO: Konzentrieren Sie sich auf drei spezifische Dinge: Erkennen, Überwachen und Korrigieren.
Entdecken Sie alle verbundenen SaaS-Anwendungen mit dem Kern-SaaS-Stack. Identifizieren Sie Compliance-Probleme für den gesamten Bestand an SaaS-Anwendungen, um sicherzustellen, dass Sicherheitsrichtlinien effektiv durchgesetzt werden. Zeigen Sie eine vollständige SaaS-zu-SaaS-Anwendungszuordnung und ein umfassendes Inventar von Erst-, Zweit-und Drittanbieteranwendungen (d. h. installierte Benutzer, Laufwerkszugriff, laufwerksweite Berechtigungen und mehr) an. Etablieren Sie ein umfassendes Verständnis der riskantesten SaaS-Plattformen, Anwendungen und Benutzer, die innerhalb des SaaS-Bestands exponiert sind. Aktivieren Sie Schatten-IT durch Anwendungsüberprüfungen mit Geschäftsbenutzern, um die SaaS-Umgebung zu überwachen und zu steuern. Weisen Sie jeder Anwendung einen Risikoindex zu, um die Bewertung und Bewertung des SaaS-Bestands zu ermöglichen. Erstellen Sie Vorabgenehmigungsrichtlinien und Workflows, die von Endbenutzern verlangen, dass sie eine geschäftliche Begründung für das Onboarding neuer Anwendungen liefern. Stellen Sie verdächtige Anwendungen unter Quarantäne, reduzieren Sie übermäßig übermäßige Berechtigungen und widerrufen oder entfernen Sie Anwendungen oder Zugriffe. Auf diese Weise können Benutzer produktiv sein, ohne unnötige Risiken einzugehen. Die Behebung muss in bestimmten Fällen automatisiert werden. Beispielsweise die Durchsetzung von Sicherheitsrichtlinien im gesamten SaaS-Anwendungsstapel, die eine nicht genehmigte oder risikoreiche Anwendungsnutzung verhindern und das potenzielle Risiko beseitigen, das diese Anwendungen aussetzen könnten (d. h. ungültige Token, umfangreiche oder ungenutzte Berechtigungen, aufgelistete vs. nicht aufgelistete Apps usw.). Durch die Implementierung automatisierter Sicherheits-Workflows wird das Risiko im Zusammenhang mit der Interkonnektivität von Anwendung zu Anwendung verringert (d. h. potenzielle bösartige Anwendungen automatisch anhalten oder entfernen).
Bildnachweis: Alexander Supertramp/Shutterstock