De SaaS-dreigingsvoorspellingen voor 2024 uitpakken

Begin 2024 bracht Wing Security zijn State of SaaS Security-rapport uit, dat verrassende inzichten biedt in opkomende bedreigingen en best practices in het SaaS-domein. Nu, halverwege het jaar, zijn verschillende SaaS-dreigingsvoorspellingen uit het rapport al accuraat gebleken. Gelukkig hebben SaaS Security Posture Management (SSPM)-oplossingen prioriteit gegeven aan mitigatiemogelijkheden om veel van deze problemen aan te pakken, zodat beveiligingsteams over de nodige tools beschikken om deze uitdagingen het hoofd te bieden.

In dit artikel zullen we onze voorspellingen van eerder dit jaar herzien, praktijkvoorbeelden van deze bedreigingen in actie laten zien en praktische tips en best practices bieden om u te helpen dergelijke incidenten in de toekomst te voorkomen.

Het is ook de moeite waard om de algemene trend te noteren van een toenemende frequentie van inbreuken in het huidige dynamische SaaS-landschap, waardoor organisaties tijdige bedreigingswaarschuwingen eisen als een essentiële mogelijkheid. Regelgeving in de sector met naderende nalevingsdeadlines vereist soortgelijke tijdgevoelige rapportage van inbreuken. Deze marktveranderingen betekenen dat gemakkelijke, snelle en nauwkeurige informatie over bedreigingen vooral essentieel zijn geworden voor alle organisaties die SaaS gebruiken, naast het begrijpen van de specifieke soorten bedreigingen die hieronder worden beschreven.

Bedreigingsvoorspelling 1: Schaduw-AI

Het verborgen gebruik van AI door een communicatieplatform

In mei 2024 kreeg een groot communicatieplatform te maken met tegenslag omdat het gebruikersgegevens uit berichten en bestanden gebruikte om machine learning-modellen te trainen voor zoekopdrachten en aanbevelingen. Deze praktijk leidde tot aanzienlijke zorgen over de gegevensbeveiliging van organisaties, omdat zij zich zorgen maakten over de mogelijke blootstelling aan en misbruik van hun gevoelige informatie. Gebruikers hadden het gevoel dat ze niet goed waren geïnformeerd over deze praktijk en dat de opt-outprocedure lastig was. Om deze zorgen weg te nemen, heeft het platform zijn beleid inzake gegevensgebruik verduidelijkt en het afmelden eenvoudiger gemaakt.

Waarom dit ertoe doet

Dit gebrek aan effectieve transparantie rond het gebruik van AI in SaaS-applicaties is zorgwekkend. Met meer dan 8.500 apps die generatieve AI-mogelijkheden hebben ingebed en zes van de tien beste AI-apps die gebruikersgegevens gebruiken voor training, is het potentieel voor ‘Shadow AI’ – ongeoorloofd AI-gebruik – overal aanwezig.

SaaS-diensten kunnen tegenwoordig gemakkelijk in organisaties worden geïntegreerd en de algemene voorwaarden worden vaak over het hoofd gezien. Dit gedrag opent de deur voor duizenden SaaS-apps om toegang te krijgen tot een goudmijn aan gevoelige, particuliere bedrijfsinformatie en mogelijk AI-modellen daarop te trainen. De recente controverse over het gebruik van klantgegevens voor machinaal leren laat zien hoe reëel deze dreiging is.

Schaduw-AI bestrijden met geautomatiseerde SSPM

Organisaties moeten verschillende stappen ondernemen om hun beveiliging tegen potentiële AI-bedreigingen te verbeteren. Ten eerste: herwin de controle over het AI-gebruik door alle gebruikte AI en AI-aangedreven SaaS-applicaties bloot te leggen en te begrijpen. Ten tweede is het van cruciaal belang om app-imitatie te identificeren door te monitoren op de introductie van risicovolle of kwaadaardige SaaS, inclusief AI-apps die legitieme versies nabootsen. Ten slotte kan AI-herstel worden geautomatiseerd door gebruik te maken van tools die geautomatiseerde herstelworkflows bieden om geïdentificeerde bedreigingen snel aan te pakken.

Bedreigingsvoorspelling 2: toeleveringsketen

Bedreigingsactoren richten zich op een populair cloudopslagbedrijf

Er is een recent datalek bij een cloudgebaseerde dienst aan het licht gekomen. Het werd ontdekt op 24 april 2024 en onthuld op 1 mei. De inbreuk betrof ongeoorloofde toegang tot klantgegevens en authenticatiegegevens. Er wordt vermoed dat een serviceaccount dat wordt gebruikt voor het uitvoeren van applicaties en geautomatiseerde services binnen de backend-omgeving is gecompromitteerd, wat heeft geleid tot het blootleggen van klantinformatie zoals e-mails, gebruikersnamen, telefoonnummers, gehashte wachtwoorden en gegevens die essentieel zijn voor de integratie van derden zoals API-sleutels en OAuth-tokens.

Waarom dit ertoe doet

Periodieke controles van de SaaS-supply chain zijn simpelweg niet voldoende. Medewerkers kunnen eenvoudig en snel nieuwe diensten en leveranciers toevoegen aan de SaaS-omgeving van hun organisatie, waardoor de supply chain complexer wordt. Met honderden onderling verbonden SaaS-applicaties kan een kwetsbaarheid in één applicatie de hele supply chain beïnvloeden. Deze inbreuk onderstreept de noodzaak van snelle detectie en reactie. Regelgeving zoals NY-DFS verplicht CISO's nu om incidenten binnen hun toeleveringsketens binnen 72 uur te melden.

Bestrijding van kwetsbaarheden in de toeleveringsketen met geautomatiseerde SSPM

In 2024 moeten CISO's en hun teams toegang hebben tot snelle waarschuwingen over bedreigingsinformatie. Dit zorgt ervoor dat ze goed geïnformeerd zijn over beveiligingsincidenten in hun SaaS-toeleveringsketen, waardoor snelle reacties mogelijk zijn om potentiële schade te minimaliseren. Preventieve maatregelen zoals effectief Third-Party Risk Management (TPRM) zijn cruciaal voor het beoordelen van de risico's die aan elke toepassing zijn verbonden. Terwijl de SaaS-beveiligingsbedreigingen voortduren, zowel bekende als opkomende, vereist effectief risicobeheer prioriteit geven aan het monitoren van bedreigingen en het gebruik van een Secure SaaS Security Posture Management (SSPM)-oplossing.

Bedreigingsvoorspelling 3: Toegang tot inloggegevens

Cyberaanval op een grote zorgaanbieder

In februari 2024 werd een grote zorgaanbieder het slachtoffer van een cyberaanval waarbij onderzoekers denken dat aanvallers gestolen inloggegevens gebruikten om toegang te krijgen tot een server. Een belangrijke conclusie is dat de combinatie van het ontbreken van Multi-Factor Authenticatie (MFA) en het vergezeld gaan van een gestolen token ongeautoriseerde toegang mogelijk maakte.

Waarom dit ertoe doet

In SaaS-beveiliging is het misbruik van gecompromitteerde inloggegevens geen nieuwe trend. Volgens een recent rapport vonden er het afgelopen jaar een verbazingwekkend gemiddelde van 4.000 geblokkeerde wachtwoordaanvallen per seconde plaats. Ondanks de opkomst van meer geavanceerde aanvalsmethoden maken bedreigingsactoren vaak misbruik van de eenvoud en effectiviteit van het gebruik van gestolen inloggegevens. Het implementeren van strenge toegangscontroles, regelmatige beoordelingen en audits zijn essentieel om kwetsbaarheden te detecteren en aan te pakken. Dit zorgt ervoor dat alleen geautoriseerde personen toegang hebben tot relevante informatie, waardoor het risico op ongeautoriseerde toegang tot een minimum wordt beperkt.

Credential-aanvallen bestrijden met geautomatiseerde SSPM

Om credential-aanvallen te bestrijden hebben organisaties een veelzijdige aanpak nodig. Beveiligingsteams moeten controleren op gelekte wachtwoorden op het dark web om snel gecompromitteerde inloggegevens te identificeren en erop te reageren. Vervolgens zal de implementatie van phishing-resistente multi-factor authenticatie (MFA) een robuuste beveiligingslaag toevoegen die ongeautoriseerde toegang voorkomt, zelfs als wachtwoorden worden gestolen. Bovendien moeten beveiligingsteams voortdurend zoeken naar abnormale activiteit binnen systemen om potentiële inbreuken op te sporen en aan te pakken voordat deze aanzienlijke schade aanrichten.

Bedreigingsvoorspelling 4: MFA omzeilen

Nieuwe PaaS-tool omzeilt MFA voor Gmail en Microsoft 365

Er is een nieuwe phishing-as-a-service (PaaS)-tool genaamd “Tycoon 2FA” verschenen, die phishing-aanvallen op Gmail- en Microsoft 365-accounts vereenvoudigt door multi-factor authenticatie (MFA) te omzeilen. Medio februari 2024 werd een nieuwe versie van Tycoon 2FA uitgebracht, waarbij gebruik werd gemaakt van de AiTM-techniek (Adversary in the Middle) om MFA te omzeilen. Deze exploit houdt in dat de server van de aanvaller een phishing-webpagina host, de invoer van het slachtoffer onderschept en deze doorstuurt naar de legitieme dienst om het MFA-verzoek uit te voeren. De Tycoon 2FA-phishingpagina stuurt de gebruikersinvoer vervolgens door naar de legitieme Microsoft-authenticatie-API, waardoor de gebruiker wordt omgeleid naar een legitieme URL met een 'niet gevonden'-webpagina.

Waarom dit ertoe doet

Veel organisaties verwaarlozen MFA volledig, waardoor ze kwetsbaar zijn voor mogelijke inbreuken. In ons onderzoek heeft 13% van de organisaties MFA bij geen van hun gebruikers geïmplementeerd. Deze afwezigheid van authenticatiebescherming kan door onbevoegde personen worden misbruikt om toegang te krijgen tot gevoelige gegevens of bronnen. Het implementeren van MFA versterkt op effectieve wijze de verdediging tegen ongeautoriseerde toegang en SaaS-aanvallen, waardoor het de optimale oplossing is tegen aanvallen met het opvullen van inloggegevens.

MFA-bypassing bestrijden met geautomatiseerde SSPM

Geautomatiseerde SSPM-oplossingen verifiëren voortdurend MFA-configuraties en controleren op tekenen van bypass-pogingen. Door deze controles te automatiseren kunnen organisaties ervoor zorgen dat MFA correct wordt geïmplementeerd en effectief functioneert, waardoor geavanceerde aanvallen worden voorkomen die tot doel hebben MFA-beveiligingen te omzeilen. Automatisering zorgt ervoor dat MFA-instellingen altijd up-to-date zijn en correct worden toegepast in de hele organisatie. Het is raadzaam om meerdere identificatieformulieren en inlogprocessen van meerdere stappen te gebruiken, zoals meerdere wachtwoorden en extra verificatiestappen.

Voorspelde bedreiging 5: Onderling verbonden bedreigingen

Ongeautoriseerd toegangsincident

Op 11 mei 2024 kreeg een financieel technologiebedrijf ongeautoriseerde toegang tot zijn gebruikersruimte op een SaaS-coderepositoryplatform van derden. Het bedrijf pakte het probleem snel aan en benadrukte dat er geen klantinformatie in de repository was opgeslagen. Tijdens hun onderzoek ontdekte het bedrijf echter dat een inloggegevens uit hun gebruikersruimte waren gestolen en gebruikt om toegang te krijgen tot hun productieomgeving. Door deze overgang van het SaaS-platform van derden naar de infrastructuur van het bedrijf kon de aanvaller toegang krijgen tot klantgegevens die waren opgeslagen in de productieomgeving.

Waarom dit ertoe doet

De toename van cross-domein aanvallen onderstreept de toenemende verfijning van cyberdreigingen, die zowel on-premise, cloud- als SaaS-omgevingen treffen. Om deze dreiging te begrijpen, moeten we het perspectief in ogenschouw nemen van dreigingsactoren die elke beschikbare kans benutten om toegang te krijgen tot de bezittingen van een slachtoffer, ongeacht het domein. Hoewel deze domeinen doorgaans worden gezien als afzonderlijke aanvalsoppervlakken, zien aanvallers ze als onderling verbonden componenten van één enkel doelwit.

Bestrijding van cross-domein aanvallen met geautomatiseerde SSPM

SSPM-tools bieden een holistisch beeld van de beveiligingspositie van een organisatie. Door het SaaS-domein continu te monitoren en te beschermen, kunnen bedreigingen worden beperkt en ingeperkt. Door de detectie en reactie op bedreigingen te automatiseren, kunnen organisaties bovendien bedreigingen snel isoleren en beperken.

Het belang van snelheid en efficiëntie bij het bestrijden van SaaS-inbreuken

Automatisering in SaaS-beveiliging is onmisbaar voor organisaties die hun beveiligingshouding willen verbeteren en effectief willen omgaan met beveiligingsinbreuken. SSPM-tools stroomlijnen kritieke functies zoals detectie van bedreigingen en respons op incidenten, waardoor beveiligingsteams efficiënter en schaalbaarder kunnen werken.

Door routinetaken te automatiseren kunnen organisaties proactief beveiligingsrisico’s identificeren en beperken, waardoor sneller en effectiever kan worden gereageerd op inbreuken. Het benutten van de kracht van SSPM-automatisering versterkt niet alleen de cyberverdediging, maar bespaart ook waardevolle tijd en middelen, waardoor organisaties evoluerende cyberdreigingen met grotere precisie en snelheid kunnen aanpakken.

Thijs Van der Does