In 2023 zijn er behoorlijk wat cyberaanvallen geweest, maar er is één aanvalsvector die prominenter blijkt te zijn dan andere: niet-menselijke toegang. Met elf spraakmakende aanvallen in dertien maanden en een steeds groter wordend, niet-gecontroleerd aanvalsoppervlak vormen niet-menselijke identiteiten de nieuwe perimeter, en is 2023 nog maar het begin.
Waarom niet-menselijke toegang een paradijs voor cybercriminelen is
Mensen zoeken altijd naar de gemakkelijkste manier om te krijgen wat ze willen, en dit geldt ook voor cybercriminaliteit. Bedreigingsactoren zoeken de weg van de minste weerstand, en het lijkt erop dat dit pad in 2023 bestond uit niet-gebruikerstoegangsreferenties (API-sleutels, tokens, serviceaccounts en geheimen).
“50% van de actieve toegangstokens die Salesforce en apps van derden verbinden, worden niet gebruikt. In GitHub en GCP bereiken de cijfers 33%.”
Deze toegangsgegevens die niet van gebruikers zijn, worden gebruikt om apps en bronnen met andere cloudservices te verbinden. Wat hen tot een echte hackersdroom maakt, is dat ze geen beveiligingsmaatregelen hebben zoals gebruikersreferenties (MFA, SSO of ander IAM-beleid). Ze zijn meestal te tolerant, ongecontroleerd en worden nooit ingetrokken. In feite wordt 50% van de actieve toegangstokens die Salesforce en apps van derden verbinden, ongebruikt. In GitHub en GCP bereiken de cijfers 33%.*
Hoe misbruiken cybercriminelen deze niet-menselijke toegangsgegevens? Om de aanvalspaden te begrijpen, moeten we eerst de soorten niet-menselijke toegang en identiteiten begrijpen. Over het algemeen zijn er twee soorten niet-menselijke toegang: extern en intern.
Externe niet-menselijke toegang wordt gecreëerd door medewerkers die tools en diensten van derden verbinden met kernbedrijfs- en technische omgevingen zoals Salesforce, Microsoft365, Slack, GitHub en AWS – om processen te stroomlijnen en de flexibiliteit te vergroten. Deze verbindingen worden tot stand gebracht via API-sleutels, serviceaccounts, OAuth-tokens en webhooks, die eigendom zijn van de app of service van derden (de niet-menselijke identiteit). Met de groeiende trend van bottom-up software-adoptie en freemium-clouddiensten worden veel van deze verbindingen regelmatig tot stand gebracht door verschillende medewerkers, zonder enig beveiligingsbeheer en, erger nog, vanuit niet-gecontroleerde bronnen. Uit onderzoek van Astrix blijkt dat 90% van de apps die zijn verbonden met Google Workspace-omgevingen niet-marktplaats-apps zijn, wat betekent dat ze niet zijn doorgelicht door een officiële app store. In Slack bereiken de cijfers 77%, terwijl ze in Github 50% bereiken.*
“74% van de persoonlijke toegangstokens in GitHub-omgevingen heeft geen vervaldatum.”
Interne, niet-menselijke toegang is vergelijkbaar, maar wordt gemaakt met interne toegangsgegevens, ook wel ‘geheimen’ genoemd. R&D-teams genereren regelmatig geheimen die verschillende bronnen en diensten met elkaar verbinden. Deze geheimen zijn vaak verspreid over meerdere geheime managers (kluizen), zonder enig zicht voor het beveiligingsteam op waar ze zich bevinden, of ze openbaar zijn, waartoe ze toegang verlenen en of ze verkeerd zijn geconfigureerd. In feite heeft 74% van de persoonlijke toegangstokens in GitHub-omgevingen geen vervaldatum. Op dezelfde manier is 59% van de webhooks in GitHub verkeerd geconfigureerd, wat betekent dat ze niet-versleuteld en niet-toegewezen zijn.*
Plan een live demo van Astrix – een leider op het gebied van niet-menselijke identiteitsbeveiliging
De spraakmakende aanvallen van 2023 waarbij niet-menselijke toegang wordt misbruikt
Deze dreiging is allesbehalve theoretisch. In 2023 zijn een aantal grote merken het slachtoffer geworden van misbruik van niet-menselijke toegang, waarbij duizenden klanten zijn getroffen. Bij dergelijke aanvallen maken aanvallers misbruik van blootgestelde of gestolen toegangsgegevens om de meest gevoelige kernsystemen van organisaties binnen te dringen, en in het geval van externe toegang de omgevingen van hun klanten te bereiken (supply chain-aanvallen). Enkele van deze spraakmakende aanvallen zijn onder meer:
- Okta (oktober 2023): Aanvallers gebruikten een gelekt serviceaccount om toegang te krijgen tot Okta’s ondersteuningsbeheersysteem. Hierdoor konden de aanvallers bestanden bekijken die door een aantal Okta-klanten waren geüpload als onderdeel van recente ondersteuningsaanvragen.
- GitHub Dependabot (september 2023): Hackers hebben GitHub Personal Access Tokens (PAT) gestolen. Deze tokens werden vervolgens gebruikt om ongeautoriseerde commits uit te voeren als Dependabot naar zowel publieke als private GitHub-repository’s.
- Microsoft SAS-sleutel (september 2023): een SAS-token dat werd gepubliceerd door de AI-onderzoekers van Microsoft, verleende feitelijk volledige toegang tot het volledige opslagaccount waarop het was aangemaakt, wat leidde tot een lek van meer dan 38 TB aan uiterst gevoelige informatie. Deze machtigingen waren in de loop van ruim twee jaar (!) beschikbaar voor aanvallers.
- Slack GitHub-opslagplaatsen (januari 2023): Bedreigingsactoren kregen toegang tot de extern gehoste GitHub-opslagplaatsen van Slack via een “beperkt” aantal gestolen Slack-werknemerstokens. Van daaruit konden ze privécodeopslagplaatsen downloaden.
- CircleCI (januari 2023): De computer van een technisch medewerker werd aangetast door malware die hun antivirusoplossing omzeilde. Dankzij de gecompromitteerde machine konden de bedreigingsactoren toegang krijgen tot sessietokens en deze stelen. Gestolen sessietokens geven aanvallers dezelfde toegang als de accounteigenaar, zelfs als de accounts zijn beveiligd met tweefactorauthenticatie.
De impact van GenAI-toegang
“32% van de GenAI-apps die zijn verbonden met Google Workspace-omgevingen hebben zeer brede toegangsrechten (lezen, schrijven, verwijderen).”
Zoals je zou verwachten, verergert de enorme adoptie van GenAI-tools en -diensten het probleem van niet-menselijke toegang. GenAI is in 2023 enorm populair geworden en zal waarschijnlijk alleen maar groeien. Nu ChatGPT de snelst groeiende app in de geschiedenis is geworden en door AI aangedreven apps 1506% meer worden gedownload dan vorig jaar, zorgen de veiligheidsrisico’s van het gebruiken en verbinden van vaak niet-doorgelichte GenAI-apps met zakelijke kernsystemen nu al voor slapeloze nachten voor beveiligingsleiders. De cijfers van Astrix Research vormen nog een bewijs van dit aanvalsoppervlak: 32% van de GenAI-apps die zijn verbonden met Google Workspace-omgevingen hebben zeer brede toegangsrechten (lezen, schrijven, verwijderen).*
De risico’s van GenAI-toegang raken de hele sector aan. In een recent rapport met de titel “Emerging Tech: Top 4 Security Risks of GenAI” legt Gartner de risico’s uit die gepaard gaan met het wijdverbreide gebruik van GenAI-tools en -technologieën. Volgens het rapport “vertegenwoordigt het gebruik van generatieve AI (GenAI), grote taalmodellen (LLM’s) en chatinterfaces, vooral verbonden met oplossingen van derden buiten de firewall van de organisatie, een toename van het aanvalsoppervlak en de veiligheidsbedreigingen voor ondernemingen.”
Beveiliging moet een enabler zijn
Omdat niet-menselijke toegang het directe gevolg is van de adoptie en automatisering van de cloud – beide welkome trends die bijdragen aan groei en efficiëntie – moet de beveiliging dit ondersteunen. Nu veiligheidsleiders er voortdurend naar streven om faciliterend te zijn in plaats van blokkerend, is een aanpak voor het beveiligen van niet-menselijke identiteiten en hun toegangsgegevens niet langer een optie.
Onjuist beveiligde niet-menselijke toegang, zowel extern als intern, vergroot de kans op supply chain-aanvallen, datalekken en schendingen van de naleving enorm. Beveiligingsbeleid, evenals automatische tools om dit af te dwingen, zijn een must voor degenen die dit vluchtige aanvalsoppervlak willen beveiligen en tegelijkertijd het bedrijf in staat willen stellen de vruchten te plukken van automatisering en hyperconnectiviteit.
Plan een live demo van Astrix – een leider op het gebied van niet-menselijke identiteitsbeveiliging
*Volgens Astrix Research-gegevens, verzameld uit bedrijfsomgevingen van organisaties met 1000-10.000 werknemers
