Insider-bedreigingen in de SaaS-wereld

Iedereen houdt van de plotwending van een dubbelagent in een spionagefilm, maar het is een ander verhaal als het gaat om het beveiligen van bedrijfsgegevens. Of het nu opzettelijk of onopzettelijk is, insiderbedreigingen zijn een legitieme zorg. Volgens onderzoek van CSA werd 26% van de bedrijven die een SaaS-beveiligingsincident meldden, getroffen door een insider.

De uitdaging voor velen is om die bedreigingen te detecteren voordat ze leiden tot volledige inbreuken. Veel beveiligingsprofessionals gaan ervan uit dat ze niets kunnen doen om zichzelf te beschermen tegen een legitieme beheerde gebruiker die inlogt met geldige inloggegevens via een MFA-methode van het bedrijf. Insiders kunnen inloggen tijdens reguliere kantooruren en kunnen hun toegang eenvoudig rechtvaardigen binnen de applicatie.

De plotwending is ingezet: met de juiste tools op hun plaats kunnen bedrijven kan zichzelf beschermen tegen de vijand van binnenuit (en van buitenaf).

Leer hoe u uw volledige SaaS-stack kunt beveiligen tegen zowel interne als externe bedreigingen

Identiteitsgerichte bedreigingen onderdrukken met ITDR

In SaaS-beveiliging zoekt een Identity Threat Detection & Response (ITDR)-platform naar gedragsaanwijzingen die aangeven dat een app is gecompromitteerd. Elke gebeurtenis in een SaaS-applicatie wordt vastgelegd door de gebeurtenislogboeken van de applicatie. Die logs worden bewaakt en wanneer er iets verdachts plaatsvindt, wordt er een rode vlag gehesen, een zogenaamde Indicator of Compromise (IOC).

Bij externe bedreigingen hebben veel van deze IOC’s betrekking op inlogmethoden en apparaten, evenals op gebruikersgedrag nadat ze toegang hebben gekregen. Bij insider-bedreigingen zijn IOC’s voornamelijk gedragsafwijkingen. Wanneer IOC’s een vooraf bepaalde drempel bereiken, herkent het systeem dat de applicatie wordt bedreigd.

De meeste ITDR-oplossingen richten zich primair op endpoint- en on-prem Active Directory-beveiliging. Ze zijn echter niet ontworpen om SaaS-bedreigingen aan te pakken, waarvoor diepgaande expertise in de applicatie vereist is en die alleen bereikt kunnen worden door verdachte gebeurtenissen uit meerdere bronnen te kruisverwijzen en analyseren.

Voorbeelden van insiderbedreigingen in de wereld van SaaS

  • Gegevensdiefstal of gegevensexfiltratie: Overmatig downloaden of delen van gegevens of links, met name wanneer deze naar persoonlijke e-mailadressen of derden worden verzonden. Dit kan gebeuren nadat een werknemer is ontslagen en denkt dat de informatie nuttig kan zijn in zijn of haar volgende functie, of als de werknemer erg ongelukkig is en kwade bedoelingen heeft. De gestolen gegevens kunnen intellectueel eigendom, klantgegevens of bedrijfseigen bedrijfsprocessen omvatten.
  • Data manipulatie: Het verwijderen of wijzigen van cruciale gegevens binnen de SaaS-applicatie, wat mogelijk kan leiden tot financieel verlies, reputatieschade of operationele verstoring.
  • Misbruik van inloggegevens: Het delen van inloggegevens met ongeautoriseerde gebruikers, opzettelijk of onopzettelijk, waardoor toegang ontstaat tot gevoelige onderdelen van de SaaS-applicatie.
  • Misbruik van privileges: Een bevoorrechte gebruiker maakt misbruik van zijn toegangsrechten om configuraties te wijzigen, beveiligingsmaatregelen te omzeilen of toegang te krijgen tot beperkte gegevens voor persoonlijk gewin of kwaadaardige doeleinden.
  • Risico’s van externe leveranciers: Contractanten of externe leveranciers met legitieme toegang tot de SaaS-applicatie misbruiken hun toegang.
  • Schaduw-apps: Insiders installeren ongeautoriseerde software of plugins binnen de SaaS-omgeving, wat mogelijk kwetsbaarheden of malware introduceert. Dit is onbedoeld, maar wordt nog steeds door een insider geïntroduceerd.

Elk van deze IOC’s op zichzelf duidt niet per se op een insider threat. Er kunnen legitieme operationele redenen zijn die elke actie kunnen rechtvaardigen. Echter, naarmate IOC’s zich ophopen en een vooraf gedefinieerde drempel bereiken, moeten beveiligingsteams de gebruiker onderzoeken om te begrijpen waarom ze deze acties ondernemen.

Bekijk eens hoe ITDR samenwerkt met SSPM

Hoe ITDR en SSPM samenwerken om insiderbedreigingen te voorkomen en detecteren

Het Principle of Least Privilege (PoLP) is een van de belangrijkste benaderingen in de strijd tegen insider threats, aangezien de meeste werknemers doorgaans meer toegang hebben dan nodig is.

SaaS Security Posture Management (SSPM) en ITDR zijn twee onderdelen van een uitgebreid SaaS-beveiligingsprogramma. SSPM richt zich op preventie, terwijl ITDR zich richt op detectie en respons. SSPM wordt gebruikt om een ​​sterke Identity-First Security-strategie af te dwingen, gegevensverlies te voorkomen door share-instellingen op documenten te controleren, schaduwapps te detecteren die door gebruikers worden gebruikt en naleving van standaarden te controleren die zijn ontworpen om insider threats te detecteren. Effectieve ITDR’s stellen beveiligingsteams in staat om gebruikers te controleren die zich bezighouden met verdachte activiteiten, waardoor ze insider threats kunnen stoppen voordat ze aanzienlijke schade kunnen veroorzaken.

Ontvang een demo van 15 minuten en leer meer over ITDR en de verschillende use cases

Opmerking:

Het Hacker Nieuws

Thijs Van der Does