Een blik in de gelaagde SaaS -identiteitsverdediging van Wing Security

Cyberbeveiliging
Wing Security's Layered SaaS Identity Defense

Intro: Waarom hacken wanneer u kunt inloggen?

SaaS -applicaties zijn de ruggengraat van moderne organisaties, die productiviteit en operationele efficiëntie aandrijven. Maar elke nieuwe app introduceert kritische beveiligingsrisico’s via app -integraties en meerdere gebruikers, waardoor eenvoudige toegangspunten voor bedreigingsactoren worden gecreëerd. Dientengevolge zijn SaaS -inbreuken toegenomen en volgens een cyberrapport van mei 2024 XM veroorzaakten identiteit en geloofsoverschrijdende misfiguraties 80% van de blootstellingen van de beveiliging.

Subtiele tekenen van een compromis gaan verloren in het lawaai, en vervolgens ontvouwden multi-fase aanvallen onopgemerkt door siled oplossingen. Denk aan een accountovername in Entra ID, vervolgens voorrechten escalatie in GitHub, samen met gegevensuitvoer van Slack. Elk lijkt niet gerelateerd wanneer het afzonderlijk wordt bekeken, maar in een verbonden tijdlijn van gebeurtenissen is het een gevaarlijke inbreuk.

Het SaaS-platform van Wing Security is een meerlagige oplossing die houdingsbeheer combineert met realtime detectie en reactie van de identiteit. Dit stelt organisaties in staat om een ​​echte identiteitskaart van hun SaaS -ecosysteem te krijgen, snel te detecteren en te reageren op bedreigingen en toekomstige aanvallen te voorkomen.

Aan de slag met zichtbaarheid en dekking van SaaS

Je kunt niet beschermen wat je niet weet. Het merendeel van de bestaande oplossingen (IAM, PAM, IAM, enz.) Dekken geen SaaS -toepassingen of missen de diepte die nodig is om SaaS -bedreigingen te detecteren. Dit is de reden waarom de eerste stap is om de schaduw IT te overwinnen en volledige zichtbaarheid te krijgen in de stapel van de organisatie, inclusief alle apps, accounts en alle verborgen integraties van derden waarover beveiligingsteams geen idee hebben.

De ontdekkingsbenadering van Wing is niet-opdringerig, zonder agenten of proxy’s. Het maakt eenvoudig verbinding via API’s met grote IDP’s (zoals OKTA, Google Workspace en Azure AD) en met bedrijfskritische SaaS-applicaties (van Microsoft 365 en Salesforce tot Slack, GitHub, enz.).

Wing ontdekt:

  • Menselijke (gebruikers) en niet-menselijke identiteiten (serviceaccounts, API-toetsen, enz.).
  • App-to-app connectiviteit en integraties van derden en hun toestemmingscopes.
  • AI-aangedreven toepassingen en gegevensgebruik.
  • MFA -status, beheerders in de verschillende SaaS -applicaties (inclusief oude beheerders)

Zichtbaarheid alleen is niet genoeg. Inzicht in identiteitsgedrag in SaaS -apps is de sleutel tot het detecteren en reageren op echte bedreigingen in de tijd. Dat is waar Wing’s identiteitsgerichte dreigingsdetectielaag binnenkomt.

Wil je Wing in actie zien? Vraag een demo aan bij een van onze beveiligingsexperts.

SaaS Identity Threat Detectie Van verspreide logboeken tot een duidelijk aanvalsverhaal

Wing kaarten identiteitsgebeurtenissen en IOC’s om weer te geven hoe aanvallers denken. Vervolgens correleert het hen met MITER ATT & CK -technieken om lange en rommelige SaaS te transformeren in één duidelijk aanvalsverhaal – vereenvoudiging van onderzoek, het verminderen van alert vermoeidheid en het versnellen van de mediane tijd tot resolutie (MTTR).

Elke detectie is verrijkt met bedreigingsinformatie voor context: IP -reputatie (geolocatie en privacy), VPN/TOR -gebruik en meer. Dus, in plaats van dagenlang door onbewerkte logboeken te graven, kunnen analisten het speelboek van de aanvaller binnen enkele minuten begrijpen.

Een echt voorbeeld van hoe hackers proberen identiteiten te exploiteren:

  • Stap 1 – Poging wachtwoordspray: Een wachtwoordsprayaanval gericht op meerdere gebruikersaccounts in de Entra ID -omgeving. De aanvaller probeerde in te loggen met behulp van op referentie gebaseerde aanvallen om een ​​of meer gebruikersaccounts in gevaar te brengen zonder lockout-mechanismen te activeren.
  • Stap 2 – Cross -Account User Agent overlappend: Inlogpogingen over meerdere accounts van dezelfde gebruikersagent (UA) bevestigden dat de aanvaller systematisch referenties op schaal testte tijdens de verkenningsfase.
  • Stap 3 – Succesvolle inloggen na de Reconnaissance: De aanvaller is met succes aangemeld bij een account. Deze aanmelding kwam overeen met dezelfde gebruikersagent die tijdens de verkenningsfase werd gebruikt, wat aangeeft dat referenties werden aangetast via de eerdere spuitactiviteit van het wachtwoord.
  • Stap 4 – Escalatie van voorrechten via roltoewijzing: De aanvaller escaleerde de privileges van het gecompromitteerde account door het administratieve rol in ENTRAD ID toe te wijzen. Dit gaf de aanvaller bredere zichtbaarheid en controle, inclusief toegang tot OAuth-verbonden externe services zoals GitHub.
  • Stap 5 – Gegevens -exfiltratie van GitHub: Met verhoogde privileges gebruikte de aanvaller de gekoppelde GitHub -toegang van het Entra ID -account om interne repositories te infiltreren. Activiteitslogboeken geven aan dat private repositories zijn gedownload, inclusief projecten die broncode, API -toetsen of interne documentatie kunnen bevatten. De aanvaller gebruikte deze voet aan de grond om gevoelige intellectuele eigendom rechtstreeks van GitHub te exfiltreren.

Aanvalspad Tijdlijn

De tijdlijn van de dreiging (ref. Afbeelding #2) is nuttiger dan alleen logboeken, omdat het alle SaaS -detecties met context presenteert. Elke detectie heeft een gedetailleerde context over de getroffen identiteit, de trigger en waar en wanneer deze plaatsvond (app, tijdstempel, geolocatie).

De tijdlijn van de aanvalspad helpt beveiligingsoperatieteams:

  • Visualiseer hoe de aanval zich ontvouwde met een chronologisch beeld van gerelateerde detecties.
  • Breng elke detectie toe aan MITER ATT & CK -technieken, zoals actief scannen, geldige accounts, accountmanipulatie, enz.
  • Verrijk de waarschuwing met context en IOC’s, IP’s, gebruikersagenten, geolocatie, VPN/TOR, en bewijsmateriaal.
  • Verbind anomalieën met routinematige activiteit (bijvoorbeeld toestemming verandert na een succesvolle brute kracht).

Geef prioriteit aan bedreigingen

Niet alle beveiligingsbedreigingen zijn gelijk gemaakt. Elke dreiging krijgt een inbreukvertrouwenscore toegewezen, waardoor de kans wordt gekwantificeerd dat een bedreiging zal leiden tot een succesvolle inbreuk. Deze metriek wordt berekend op basis van factoren zoals:

  • Het type detecties (dwz wachtwoordspray, piek in activiteit, enz.)
  • Het aantal detecties per dreiging (dwz één identiteit heeft 4 detecties)
  • De tactiek van de aanval op basis van MITER ATT & CK (dwz initiële toegang, exfiltratie, enz.)

SECOPS kan eerst sorteren en zich concentreren op de meest kritische bedreigingen. Een enkele mislukte login van een nieuwe IP kan bijvoorbeeld een lage prioriteit hebben wanneer deze op zichzelf wordt bekeken, maar een succesvolle login gevolgd door gegevensuitvoer zou een hogere betrouwbaarheidsscore krijgen. In het dashboard ziet u een geprioriteerde dreigingswachtrij, met bedreigingen van hoge ernst aan de top die onmiddellijke aandacht verdienen en lagere risico’s verder naar beneden, door alert vermoeidheid door te snijden en echte dreigingsdetectie te bieden.

Wil je Wing in actie zien? Vraag een demo aan bij een van onze beveiligingsexperts.

Volg de dreigingsstatus en voortgang

De trackingstructuur van Wing helpt SECOPS georganiseerd te blijven en bedreigingen te voorkomen dat door de scheuren glijdt. Teams kunnen statussen bijwerken en elke dreiging volgen van creatie tot resolutie.

Hoofdfunctionaliteiten:

  • Vlagbedreigingen voor follow-up voor efficiënte prioritering of voor het bewaken van specifieke gevallen.
  • Vlagingsbedreigingen om een ​​webhook -evenement te activeren, zodat ze in externe systemen zoals SIEM verschijnen of stijgen en niet over het hoofd worden gezien.
  • Update dreigingsstatus op basis van de onderzoeken uitgevoerd door de SOC- en IR -teams.

Snel oplossen met beknopte mitigatiegidsen

Wanneer SECOP’s in een specifieke dreiging storten, krijgen ze een aangepaste mitigatie -playbook met stappen die zijn afgestemd op het specifieke aanvalstype en de SaaS -toepassing. De mitigatiegidsen omvatten:

  • Op maat gemaakte aanbevelingen voor elk detectietype
  • Relevante documentatie (bijv. Hoe het OKTA -beleid te configureren)
  • Best practices voor het aanpakken van de oorzaak en het voorkomen van herhaling (houding)

Preventie: controleren op de oorzaak

Nadat de dreiging is gestopt, moet u zich afvragen wat deze dreiging heeft vergemakkelijkt om te slagen en hoe kunt u ervoor zorgen dat deze niet meer zal gebeuren.

Beveiligingsteams moeten controleren of deze gebeurtenissen gerelateerd zijn aan onderliggende risicofactoren in de SaaS -configuraties van de organisatie, dus ze behandelen niet alleen de symptomen (de actieve inbreuk), maar behandelen de oorzaak.

Dit is mogelijk omdat het platform van Wing gelaagd is, waarbij SaaS Security Posture Management (SSPM) wordt gecombineerd met identiteitsdreigingsdetectiemogelijkheden. Wing bewaakt continu op zoek naar verkeerde configuraties (gebaseerd op het scuba -framework van CISA) en lokaliseert die risicovolle instellingen – zoals accounts zonder MFA of admin -tokens die nooit vervallen.

Wrap-up: het sluiten van de beveiligingslus

Wing Security brengt SaaS Chaos duidelijkheid door een meerlagig beveiligingsplatform dat diepe zichtbaarheid combineert, prioriteit heeft gegeven aan risicobeheer en realtime detectie. Door het combineren van houdingsbeheer (SSPM) en detectie en respons van identiteitsdreiging (ITDR), kunnen organisaties de blootstelling aan risico’s verminderen, reageren op bedreigingen met context en voor SAAS-identiteitsgebaseerde aanvallen blijven.

Boek een demo met vleugel om blinde vlekken te vinden, bedreigingen vroeg te vangen en repareer wat uw bedrijf in gevaar brengt.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Gemini Live’s scherm delen gaat gratis voor alle Android -gebruikers

Notion Mail is de AI-aangedreven inbox waarvan je niet wist dat je het nodig had

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]