Hoe u bedreigingen voor kunt blijven

Cyberbeveiliging
SaaS Kill Chain

De moderne ‘kill chain’ ontgaat ondernemingen omdat ze de infrastructuur van het moderne bedrijfsleven niet beschermen: SaaS.

SaaS blijft de adoptie van software dominerenen het is goed voor het grootste deel van de publieke clouduitgaven. Maar zowel ondernemingen als MKB’s hebben hun beveiligingsprogramma’s niet herzien of beveiligingstools die zijn gebouwd voor SaaS niet overgenomen.

Beveiligingsteams blijven op locatie pinnen in de SaaS-beveiligingslekken steken

De volwassen beveiligingscontroles waar CISO’s en hun teams op vertrouwden in het tijdperk van on-prem dominantie zijn verdwenen. Firewalls beschermen nu een kleine perimeter, de zichtbaarheid is beperkt en zelfs als SaaS-leveranciers logs aanbieden, hebben beveiligingsteams zelfgemaakte middleware nodig om ze te verwerken en in hun SIEM te pushen.

SaaS-leveranciers hebben weliswaar goed gedefinieerde beveiligingsbereiken voor hun producten, maar hun klanten moeten SaaS-compliance en data governance, identiteits- en toegangsbeheer (IAM) en applicatiecontroles beheren — de gebieden waar de meeste incidenten plaatsvinden. Hoewel dit SaaS-gedeelde verantwoordelijkheidsmodel universeel is onder SaaS-apps, hebben geen twee SaaS-apps identieke beveiligingsinstellingen.

Uit onderzoek van AppOmni blijkt dat gemiddeld één SaaS-instantie 256 SaaS-naar-SaaS-verbindingenwaarvan er vele niet meer in gebruik zijn, maar nog steeds overmatige machtigingen hebben voor kernbedrijfsapps zoals onder meer Salesforce, Okta en GitHub.

Door de veelheid aan verschillende SaaS-beveiligingsinstellingen en de voortdurende updates die deze wijzigen, kunnen beveiligingsteams deze verbindingen niet effectief monitoren. Het aantal toegangspunten vermenigvuldigt zich exponentieel wanneer werknemers SaaS-naar-SaaS-verbindingen (ook wel “derde partij” of “machine” genoemd) inschakelen. Machine-identiteiten kunnen API-sleutels, geheimen, sessies, digitale certificaten, cloudtoegangssleutels en andere referenties gebruiken om machines met elkaar te laten communiceren.

Naarmate het aanvalsoppervlak buiten de netwerkperimeter migreerde, deed de kill chain dat ook – de manier waarop dreigingsactoren de verschillende fasen van hun aanvallen orkestreren.

Bekijk AppOmni’s SaaS-bedreigingsbriefing en -analyse

SaaS is het nieuwe cybersecurity-slagveld. Bekijk hoe de beveiligingsexperts van AppOmni praktijkvoorbeelden van de moderne SaaS-kill chain en veelvoorkomende TTP’s analyseren — en u laten zien hoe u de kans op succes van threat actoren kunt verkleinen.

De moderne SaaS-kill-keten omvat meestal:

  1. Het compromitteren van een identiteit in de IdP via een succesvolle phishing-campagne, het kopen van gestolen inloggegevens op het dark web, het invoeren van inloggegevens, het opvullen van inloggegevens, het misbruik maken van verkeerd geconfigureerde SaaS-tenants of soortgelijke methoden.
  2. Het uitvoeren van een verkenningsfase na authenticatie. Deze stap doet denken aan aanvallers die inbreken in de bedrijfsnetwerken van weleer. Maar nu doorzoeken ze documentopslagplaatsen, broncodeopslagplaatsen, wachtwoordkluizen, Slack, Teams en soortgelijke omgevingen om geprivilegieerde escalatie-ingangspunten te vinden.
  3. Hun bevindingen gebruiken om lateraal over te stappen naar andere SaaS-tenants, PaaS of IaaS, en soms naar de bedrijfsinfrastructuur, waar ze ook de gegevens kunnen vinden die het meest waardevol zijn voor de doelorganisatie.
  4. Het versleutelen van de kroonjuwelen of het bezorgen van de losgeldbrief, en proberen zo detectie te ontwijken.

Een echte SaaS-kill-keten doorbreken: Scattered Spider/Starfraud

SaaS-beveiligingsleider AppOmni’s nieuwste webinar over dreigingsinformatie schetste de moordketen van de succesvolle aanval van de Scattered Spider/Starfraud-dreigingsactorengroepen (gelieerd aan ALPHV) op een niet bekendgemaakt doelwit in september 2023:

  • Een gebruiker opende een phishing-e-mail met links naar een vervalste IdP-inlogpagina en logde onbewust in op de nep-IdP-pagina.
  • De groepen kwaadwillende actoren namen onmiddellijk contact op met de gebruiker en overtuigden hem via social engineering om zijn TOTP-token (time-based, one-time password) te verstrekken.
  • Nadat de cybercriminelen de inloggegevens en het TOTP-token van de gebruiker hadden verkregen, misleidden ze het MFA-protocol door het te laten denken dat zij de legitieme gebruiker waren.
  • Terwijl ze zich in de verkenningsmodus bevonden, hadden de bedreigingsactoren toegang tot een geprivilegieerde escalatie, waardoor ze inloggegevens konden verkrijgen voor Amazon S3, vervolgens Azure AD en ten slotte Citrix VDI (virtuele desktopinfrastructuur).
  • Vervolgens implementeerden de kwaadwillende actoren hun eigen kwaadaardige server in de IaaS-omgeving, waarin ze een geprivilegieerde Azure AD-escalatieaanval uitvoerden.
  • De aanvallers versleutelden alle gegevens binnen hun bereik en stuurden een losgeldbriefje mee.

Verspreide Spider/Starfraud heeft deze reeks gebeurtenissen waarschijnlijk gedurende meerdere dagen volbracht. Wanneer SaaS als toegangspunt fungeert, kan een ernstige aanval het bedrijfsnetwerk en de infrastructuur omvatten. Deze SaaS/on-prem-connectiviteit is gebruikelijk op de hedendaagse aanvalsoppervlakken van ondernemingen.

De SaaS-aanvalsactiviteit van bekende en onbekende dreigingsactoren groeit

De meeste SaaS-inbreuken halen niet de krantenkoppen, maar de gevolgen zijn aanzienlijk. IBM meldt dat datalekken bedroegen in 2023 gemiddeld $4,45 miljoen per voorbeeld, wat neerkomt op een stijging van 15% over drie jaar.

Kwaadwillende actoren vertrouwen voortdurend op dezelfde TTP’s en het draaiboek van de Scattered Spider/Starfraud kill chain om ongeautoriseerde toegang te verkrijgen en SaaS-tenants te scannen, waaronder Salesforce en M365, waarbij configuratieproblemen kunnen worden gemanipuleerd om later toegang te verlenen.

Andere aanvallers krijgen initiële toegang door sessiekaping en onmogelijk reizen. Zodra ze de gekaapte sessie naar een andere host hebben overgedragen, gaat het bij hun laterale beweging vaak om communicatieplatforms zoals SharePoint, JIRA, DocuSign en Slack, maar ook om documentopslagplaatsen zoals Confluence. Als ze toegang hebben tot GitHub of andere broncodeopslagplaatsen, zullen bedreigingsactoren die broncode ophalen en analyseren op kwetsbaarheden binnen een doel-app. Ze zullen proberen deze kwetsbaarheden te misbruiken om de gegevens van de doel-app te exfiltreren.

De AppOmni-dreigingsinformatiebriefing meldt ook dat gegevensexfiltratie via het delen van toestemmingen een ernstig SaaS-beveiligingsprobleem blijft. Dit gebeurt bijvoorbeeld in Google Workspace wanneer de ongeautoriseerde gebruiker mappen wijzigt naar een zeer open machtigingsniveau. De aanvaller kan deze delen met een andere externe entiteit via het doorsturen van e-mail, of door de voorwaardelijke regels te wijzigen, zodat aanvallers als BCC-ontvangers in een distributielijst worden opgenomen.

Hoe beschermt u uw SaaS-omgevingen?

1. Focus op de hygiëne van SaaS-systemen

Stel een SaaS-intake- en beoordelingsproces in om te bepalen welke SaaS u in uw bedrijf toestaat. Dit proces moet antwoorden op beveiligingsvragen vereisen, zoals:

  • Moet alle SaaS SOC 2 Type 2-gecertificeerd zijn?
  • Wat is de optimale beveiligingsconfiguratie voor elke tenant?
  • Hoe voorkomt uw bedrijf configuratiedrift?
  • Hoe bepaalt u of voor automatische SaaS-updates de beveiligingsinstellingen moeten worden aangepast?

Zorg ervoor dat u Shadow IT SaaS (of niet-goedgekeurde SaaS-apps) en zorg voor een responsprogramma, zodat waarschuwingen niet voor niets worden gegenereerd.

Als u uw SaaS-tenants niet bewaakt en alle logboeken ervan niet op een uniforme manier verzamelt, kunt u nooit verdacht gedrag detecteren en op basis daarvan waarschuwingen ontvangen.

2. Inventariseer en controleer voortdurend machine-accounts/identiteiten

Bedreigingsactoren richten zich op machine-identiteiten vanwege hun geprivilegieerde toegang en lakse authenticatiestandaarden, waarvoor vaak zelden MFA vereist is.

In 2023 hebben cybercriminelen met succes grote CI/CD-tools Travis CI, CircleCI en Heroku aangevallen en gehackt, waarbij ze OAuth-tokens voor alle klanten van deze providers hebben gestolen. De explosieradius wordt in deze situaties aanzienlijk groter.

Omdat de gemiddelde onderneming 256 machine-identiteiten bevat, ontbreekt het vaak aan hygiëne. Velen van hen worden een of twee keer gebruikt en blijven daarna jarenlang stilstaan.

Inventariseer al uw machine-identiteiten en beoordeel deze kritieke risico’s. Zodra u deze heeft verholpen, kunt u beleid opstellen dat het volgende voorschrijft:

  • Welke typen accounts krijgen een machine-identiteit en aan welke vereisten moeten deze leveranciers voldoen om toegang te krijgen?
  • Het tijdsbestek voor hoe lang hun toegang/tokens actief zijn voordat ze worden ingetrokken, vernieuwd of opnieuw toegekend.
  • Hoe u deze accounts controleert op hun gebruik en ervoor zorgt dat ze nog steeds nodig zijn als ze een periode van rust ervaren.

3. Bouw een echte Zero Trust-architectuur op in uw SaaS-domein

Zero Trust-architectuur bouwt voort op het principe van least privilege (PLP) met een “never trust, always verify”-benadering. Hoewel Zero Trust is vastgesteld in traditionele netwerken, wordt het zelden bereikt in SaaS-omgevingen.

De netwerkgerichte aanpak van Zero Trust Network Access (ZTNA) kan geen verkeerde configuraties, machine-integraties of ongewenste gebruikerstoegangsrechten binnen en tot SaaS-platforms detecteren, waardoor duizenden of zelfs miljoenen externe gebruikers toegang hebben tot gegevens.

Zero Trust Posture Management (ZTPM), een opkomende SaaS-beveiligingstool, breidt Zero Trust uit naar uw SaaS-domein. Het overbrugt de SaaS-beveiligingskloof die SASE creëert door:

  • Voorkomen van ongeoorloofde ZTNA-bypass
  • Maakt verfijnde toegangsbeslissingen mogelijk
  • Uw beveiligingsbeleid afdwingen met continue feedbackloops
  • Zero Trust uitbreiden naar machine-integraties en cloudverbindingen

Met SSPM, ZTPM en een SaaS-beveiligingsprogramma Zodra uw team op orde is, krijgt het de zichtbaarheid en intelligentie die het nodig heeft om indringers in de laagrisicofasen van uw kill chain te identificeren en ze te stoppen voordat een inbreuk verwoestend wordt.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

We hebben nieuwe informatie over de nieuwe betaalbare oordopjes van OnePlus

De AI-chatbot van T-Mobile beweert dat de provider zijn belofte voor prijsvaststelling heeft gebroken

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]