De onzichtbare toegangspoort tot SaaS-datalekken

Shadow apps, een segment van Shadow IT, zijn SaaS-applicaties die zijn aangeschaft zonder medeweten van het beveiligingsteam. Hoewel deze applicaties legitiem kunnen zijn, opereren ze binnen de blinde vlekken van het beveiligingsteam van het bedrijf en stellen ze het bedrijf bloot aan aanvallers.

Shadow-apps kunnen software-instances bevatten die het bedrijf al gebruikt. Een ontwikkelteam kan bijvoorbeeld hun eigen instance van GitHub onboarden om hun werk gescheiden te houden van andere ontwikkelaars. Ze kunnen de aankoop rechtvaardigen door op te merken dat GitHub een goedgekeurde applicatie is, omdat het al door andere teams wordt gebruikt. Omdat de nieuwe instance echter buiten het zicht van het beveiligingsteam wordt gebruikt, ontbreekt het aan governance. Het kan gevoelige bedrijfsgegevens opslaan en essentiële beschermingen zoals MFA ingeschakeld, SSO afgedwongen of het kan lijden onder zwakke toegangscontroles. Deze verkeerde configuraties kunnen gemakkelijk leiden tot risico’s zoals gestolen broncode en andere problemen.

Soorten schaduw-apps

Shadow-apps kunnen worden gecategoriseerd op basis van hun interactie met de systemen van de organisatie. Twee veelvoorkomende typen zijn Island Shadow Apps en Integrated Shadow Apps.

Zelfstandige schaduw-apps

Standalone shadow apps zijn applicaties die niet geïntegreerd zijn met het IT-ecosysteem van het bedrijf. Ze werken als een eiland, geïsoleerd van andere bedrijfssystemen, en dienen vaak een specifiek doel, zoals taakbeheer, bestandsopslag of communicatie. Zonder inzicht in hun gebruik kunnen bedrijfsgegevens verkeerd worden behandeld, wat kan leiden tot het potentiële verlies van gevoelige informatie, omdat gegevens gefragmenteerd zijn over verschillende niet-goedgekeurde platforms.

Geïntegreerde schaduw-apps

Geïntegreerde schaduw-apps zijn veel gevaarlijker, omdat ze verbinding maken met of interacteren met de goedgekeurde systemen van de organisatie via API’s of andere integratiepunten. Deze apps kunnen automatisch gegevens synchroniseren met andere software, informatie uitwisselen met goedgekeurde applicaties of toegang delen over platforms. Als gevolg van deze integraties kunnen dreigingsactoren het hele SaaS-ecosysteem in gevaar brengen, waarbij de schaduw-apps fungeren als een gateway om toegang te krijgen tot de geïntegreerde systemen.

Hoe schaduwapps de SaaS-beveiliging beïnvloeden

Kwetsbaarheden in de gegevensbeveiliging

Een van de belangrijkste risico’s van schaduwapps is dat ze mogelijk niet voldoen aan de beveiligingsprotocollen van de organisatie. Werknemers die niet-goedgekeurde apps gebruiken, kunnen gevoelige gegevens opslaan, delen of verwerken zonder de juiste encryptie of andere beschermende maatregelen. Dit gebrek aan zichtbaarheid en controle kan leiden tot datalekken, inbreuken of ongeautoriseerde toegang.

Compliance- en regelgevingsrisico’s

Veel branches worden geregeerd door strikte regelgevingskaders (bijv. AVG, HIPAA). Wanneer werknemers schaduwapps gebruiken die niet zijn gecontroleerd of goedgekeurd door de IT- of complianceteams van de organisatie, kan de organisatie onbewust deze regelgeving overtreden. Dit kan leiden tot forse boetes, juridische stappen en reputatieschade.

Groter aanvalsoppervlak

Shadow-apps vergroten het aanvalsoppervlak van de organisatie en bieden cybercriminelen meer toegangspunten. Deze apps hebben mogelijk hun toegangscontroles niet verstevigd, waardoor hackers ze kunnen misbruiken en toegang kunnen krijgen tot bedrijfsnetwerken.

Gebrek aan zichtbaarheid en controle

IT-afdelingen moeten zicht hebben op de apps die binnen de organisatie worden gebruikt om de gegevens van het bedrijf effectief te beheren en beveiligen. Wanneer schaduwapps worden gebruikt, zijn IT-teams mogelijk blind voor potentiële bedreigingen, niet in staat om ongeautoriseerde gegevensoverdrachten te detecteren of zich niet bewust van risico’s die voortvloeien uit verouderde of onveilige applicaties.

Ontdek hoe een SSPM uw SaaS-stack beschermt en schaduwapps detecteert

Hoe schaduw-apps worden ontdekt

SaaS Security Posture Management (SSPM)-tools zijn essentieel voor SaaS-beveiliging. Ze bewaken niet alleen configuraties, gebruikers, apparaten en andere elementen van de SaaS-stack, maar zijn ook essentieel bij het detecteren van alle niet-menselijke identiteiten, inclusief schaduwapplicaties.

SSPM’s detecteren alle SaaS-applicaties die verbinding maken met een andere app (SaaS-naar-SaaS), waardoor beveiligingsteams geïntegreerde schaduw-apps kunnen detecteren. Ze controleren ook aanmeldingen via SSO’s. Wanneer gebruikers zich aanmelden bij een nieuwe app met Google, maken SSPM’s een registratie van die aanmelding. Bestaande apparaatagents die zijn verbonden met uw SSPM zijn een derde manier om te zien welke nieuwe applicaties zijn onboarded.

Bovendien hebben SSPM’s nieuwe methoden voor het detecteren van schaduw-apps. Een innovatieve aanpak integreert SSPM met bestaande e-mailbeveiligingssystemen. Wanneer nieuwe SaaS-applicaties worden geïntroduceerd, genereren ze doorgaans een stortvloed aan welkomstmails, waaronder bevestigingen, uitnodigingen voor webinars en onboardingtips. Sommige SSPM-oplossingen hebben rechtstreeks toegang tot alle e-mails en verzamelen uitgebreide machtigingen, wat opdringerig kan zijn. De geavanceerdere SSPM’s integreren echter met bestaande e-mailbeveiligingssystemen om selectief alleen de benodigde informatie op te halen, waardoor schaduw-apps nauwkeurig kunnen worden gedetecteerd zonder te ver te gaan.

E-mailbeveiligingstools scannen routinematig e-mailverkeer op zoek naar schadelijke links, phishingpogingen, malwarebijlagen en andere e-mailbedreigingen. SSPM’s kunnen gebruikmaken van machtigingen die al zijn verleend aan een e-mailbeveiligingssysteem, waardoor schaduwapps kunnen worden gedetecteerd zonder dat er gevoelige machtigingen hoeven te worden verleend aan nog een externe beveiligingstool.

Een andere methode voor shadow app discovery is het integreren van de SSPM met een browserextensie-beveiligingstool. Deze tools volgen gebruikersgedrag in realtime en kunnen gebruikersgedrag markeren.

Veilige browsers en browserextensies registreren en verzenden waarschuwingen wanneer werknemers omgaan met onbekende of verdachte SaaS-apps. Deze gegevens worden gedeeld met het SSPM-platform, dat ze vergelijkt met de geautoriseerde SaaS-lijst van de organisatie. Als een schaduw-SaaS-app wordt gedetecteerd, activeert de SSPM een waarschuwing. Dit stelt het beveiligingsteam in staat om de schaduw-app op de juiste manier te onboarden en beveiligen of te offboarden.

Terwijl organisaties SaaS-applicaties blijven omarmen voor verbeterde efficiëntie en samenwerking, is de opkomst van schaduw-apps een groeiende zorg. Om deze risico’s te beperken, moeten beveiligingsteams proactieve maatregelen nemen om schaduw-apps te ontdekken en beheren, door hun SSPM te benutten met mogelijkheden voor schaduw-app-detectie.

Vraag een demo aan van de belangrijkste beveiligingsfuncties van Adaptive Shield waarmee organisaties hun volledige SaaS-stack kunnen beveiligen.

Het Hacker Nieuws

Thijs Van der Does