In de snel evoluerende SaaS-omgeving van vandaag ligt de focus op menselijke gebruikers. Dit is een van de meest gecompromitteerde gebieden in het SaaS-beveiligingsbeheer en vereist een strikt beheer van gebruikersrollen en -machtigingen, monitoring van bevoorrechte gebruikers, hun activiteitsniveau (inactief, actief, hyperactief), hun type (intern/extern), of ze nu actief zijn of niet. toetreders, verhuizers of vertrekkers, en meer.
Het is niet verrassend dat de veiligheidsinspanningen vooral op de mens gericht waren. Configuratieopties omvatten tools zoals MFA en SSO voor menselijke authenticatie. Op rollen gebaseerde toegangscontrole (RBAC) beperkt het toegangsniveau; Richtlijnen voor wachtwoordcomplexiteit voorkomen dat onbevoegde mensen toegang krijgen tot de applicatie.
Toch is er in de wereld van SaaS geen tekort aan toegang voor niet-menselijke actoren, of met andere woorden, verbonden apps van derden.
Serviceaccounts, OAuth-autorisaties en API-sleutels zijn slechts enkele van de niet-menselijke identiteiten waarvoor SaaS-toegang vereist is. Wanneer bekeken door de lens van de applicatie, zijn niet-menselijke accounts vergelijkbaar met menselijke accounts. Ze moeten worden geverifieerd, een reeks machtigingen krijgen en worden gecontroleerd. Omdat ze echter niet-menselijk zijn, wordt er aanzienlijk minder aandacht besteed aan het waarborgen van de veiligheid.
Voorbeelden van niet-menselijke toegang
Integraties zijn waarschijnlijk de gemakkelijkste manier om niet-menselijke toegang tot een SaaS-app te begrijpen. Calendly is een app die het heen en weer e-mailen bij het maken van afspraken elimineert door de beschikbaarheid van een gebruiker weer te geven. Het integreert met de agenda van een gebruiker, leest de agenda om de beschikbaarheid te bepalen en voegt automatisch afspraken toe. Bij integratie met Google Workspace via een OAuth-autorisatie vraagt het om bereiken waarmee het onder andere Google Agenda’s kan bekijken, bewerken, delen en verwijderen. De integratie wordt geïnitieerd door een mens, maar Calendly is niet-menselijk.
Andere niet-menselijke accounts omvatten het delen van gegevens tussen twee of meer applicaties. SwiftPOS is een point-of-sale (POS)-applicatie en -apparaat voor bars, restaurants en winkels. Gegevens die door het POS worden vastgelegd, worden overgebracht naar een business intelligence-platform, zoals Microsoft Power BI, waar ze worden verwerkt en geanalyseerd. De gegevens worden via een niet-menselijk account van SwiftPOS naar Power BI overgedragen.
De uitdaging van het beveiligen van niet-menselijke accounts
Het beheren en beveiligen van niet-menselijke accounts is niet zo eenvoudig als het klinkt. Om te beginnen heeft elke app zijn eigen aanpak voor het beheren van dit soort gebruikersaccounts. Sommige applicaties verbreken bijvoorbeeld een OAuth-integratie wanneer de gebruiker die deze heeft geautoriseerd, wordt uitgeschreven uit de app, terwijl andere de verbinding behouden.
SaaS-applicaties hanteren ook verschillende benaderingen voor het beheer van deze accounts. Sommige nemen niet-menselijke accounts op in hun gebruikersinventaris, terwijl andere de gegevens in een ander gedeelte van de applicatie opslaan en weergeven, waardoor ze gemakkelijk over het hoofd worden gezien.
Menselijke accounts kunnen worden geverifieerd via MFA of SSO. Niet-menselijke accounts worden daarentegen eenmalig geverifieerd en vergeten, tenzij er een probleem is met de integratie. Ook mensen hebben typische gedragspatronen, zoals het inloggen op applicaties tijdens werkuren. Niet-menselijke accounts hebben vaak toegang tot apps tijdens de daluren om het netwerkverkeer en de druk te verminderen. Wanneer een mens om 3 uur ’s nachts inlogt op zijn SaaS, kan dit een onderzoek in gang zetten; Als er om drie uur ’s nachts een niet-mens op het netwerk verschijnt, gaat het gewoon door.
In een poging om niet-menselijk accountbeheer te vereenvoudigen, gebruiken veel organisaties dezelfde API-sleutel voor alle integraties. Om dit te vergemakkelijken, kennen ze brede machtigingensets toe aan de API-sleutel om aan alle potentiële behoeften van de organisatie te voldoen. Andere keren gebruikt een ontwikkelaar zijn eigen API-sleutel met hoge toestemming om toegang te verlenen tot het niet-menselijke account, waardoor deze toegang krijgt tot alles binnen de applicatie. Deze API-sleutels functioneren als passen voor volledige toegang die worden gebruikt door meerdere integraties, waardoor ze ongelooflijk moeilijk te controleren zijn.
Meld u aan voor het komende webinar van THN: Reality Check: Identiteitsbeveiliging voor menselijke en niet-menselijke identiteiten
Het risico dat niet-menselijke accounts worden toegevoegd aan de SaaS-stack
Niet-menselijke accounts worden grotendeels niet gecontroleerd en hebben een breed toestemmingsbereik. Dit maakt ze een aantrekkelijk doelwit voor dreigingsactoren. Door een van deze accounts te compromitteren, kunnen bedreigingsactoren onopgemerkt de applicatie binnendringen, wat kan leiden tot inbreuken, ongeoorloofde wijzigingen of verstoringen van de dienstverlening.
Stappen ondernemen om niet-menselijke accounts te beveiligen
Met behulp van een SaaS Security Posture Management (SSPM)-platform in combinatie met Identity Threat Detection & Response (ITDR)-oplossingen kunnen organisaties hun niet-menselijke accounts effectief beheren en detecteren wanneer deze zich abnormaal gedragen.
Niet-menselijke accounts vereisen dezelfde zichtbaarheid van beveiligingsteams als menselijke accounts en moeten in dezelfde gebruikersinventaris worden beheerd als hun menselijke tegenhangers. Door identiteitsbeheer te verenigen, is het veel eenvoudiger om toegang en machtigingen te bekijken en accounts bij te werken, ongeacht wie de eigenaar is. Het zorgt ook voor een uniforme aanpak van accountbeheer. Organisatorisch beleid, zoals het verbieden van het delen van accounts, moet over de hele linie worden toegepast. Niet-menselijke accounts moeten worden beperkt tot specifieke IP-adressen die vooraf zijn goedgekeurd op een acceptatielijst, en mogen geen toegang krijgen via de standaard inlogschermen (UI-aanmelding). Bovendien moeten machtigingen worden afgestemd op hun specifieke behoeften als apps, en mogen ze niet breed zijn of overeenkomen met hun menselijke tegenhangers.
ITDR speelt ook een belangrijke rol. Niet-menselijke accounts hebben op alle uren van de nacht toegang tot SaaS-apps, maar zijn doorgaans redelijk consistent in hun interacties. ITDR kan afwijkingen in het gedrag detecteren, of het nu gaat om wijzigingen in de planning, het type gegevens dat aan de applicatie wordt toegevoegd of de activiteiten die worden uitgevoerd door het niet-menselijke account.
De zichtbaarheid die SSPM biedt in accounts en ITDR in niet-menselijk identiteitsgedrag is essentieel bij het beheersen van risico’s en het identificeren van bedreigingen. Dit is een essentiële activiteit voor het onderhouden van veilige SaaS-applicaties.
Lees meer over bescherming tegen niet-menselijke identiteiten
