Nieuw onderzoek legt grote SaaS-kwetsbaarheden bloot

Cyberbeveiliging
Major SaaS Vulnerabilities

Omdat veel van de veelbesproken cyberaanvallen uit 2023 betrekking hadden op een of meer SaaS-applicaties, is SaaS een reden tot oprechte zorg geworden in veel discussies in de bestuurskamer. Meer dan ooit, aangezien GenAI-applicaties in feite SaaS-applicaties zijn.

Wing Security (Wing), een SaaS-beveiligingsbedrijf, heeft in het vierde kwartaal van 2023 een analyse uitgevoerd onder 493 SaaS-gebruikende bedrijven. Uit hun onderzoek blijkt hoe bedrijven SaaS tegenwoordig gebruiken, en de grote verscheidenheid aan bedreigingen die uit dat gebruik voortkomen. Deze unieke analyse biedt zeldzame en belangrijke inzichten in de breedte en diepte van SaaS-gerelateerde risico’s, maar biedt ook praktische tips om deze te beperken en ervoor te zorgen dat SaaS op grote schaal kan worden gebruikt zonder de beveiliging in gevaar te brengen.

De TL;DR-versie van SaaS-beveiliging

2023 bracht enkele inmiddels beruchte voorbeelden van kwaadwillende spelers die SaaS gebruikten of zich er rechtstreeks op richtten, waaronder de Noord-Koreaanse groep UNC4899, de 0ktapus-ransomwaregroep en het Russische Midnight Blizzard APT, die zich richtten op bekende organisaties zoals JumpCloud, MGM Resorts en Microsoft (respectievelijk). , en waarschijnlijk nog vele andere die vaak onaangekondigd blijven.

Het eerste inzicht uit dit onderzoek bevestigt het concept dat SaaS de nieuwe supply chain is, en biedt een bijna intuïtief raamwerk voor het belang van het veiligstellen van SaaS-gebruik. Deze applicaties zijn duidelijk een integraal onderdeel van de set tools en leveranciers van de moderne organisatie. Dat gezegd hebbende, zijn de dagen al lang voorbij dat elke derde partij met toegang tot bedrijfsgegevens door de beveiliging of IT-goedkeuring moest gaan. Zelfs in de meest rigoureuze bedrijven, als een ijverige werknemer een snelle en efficiënte oplossing nodig heeft, zullen ze die opzoeken en gebruiken om hun werk sneller en beter gedaan te krijgen. Denk opnieuw aan het wijdverbreide gebruik van GenAI, en het beeld is duidelijk.

Daarom moet elke organisatie die zich zorgen maakt over de veiligheid van haar toeleveringsketen SaaS-beveiligingsmaatregelen nemen. Volgens de MITRE ATT&CK-techniek ‘Trusted Relationships’ (T1199) vindt een supply chain-aanval plaats wanneer een aanvaller zich richt op een leverancier om deze te exploiteren als middel om een ​​breder netwerk van bedrijven te infiltreren. Door gevoelige gegevens aan externe SaaS-leveranciers toe te vertrouwen, stellen organisaties zichzelf bloot aan supply chain-risico’s die verder reiken dan directe veiligheidsproblemen.

Vier veelvoorkomende SaaS-risico’s

Er zijn verschillende redenen en manieren waarop SaaS het doelwit is. Het goede nieuws is dat de meeste risico’s aanzienlijk kunnen worden beperkt als ze worden gemonitord en gecontroleerd. Basis SaaS-beveiligingsmogelijkheden zijn zelfs gratisgeschikt voor organisaties die net beginnen met het ontwikkelen van hun SaaS-beveiligingshouding of deze willen vergelijken met hun huidige oplossing.

1) Schaduw-SaaS

Het eerste probleem met SaaS-gebruik is het feit dat het vaak volledig onopgemerkt blijft: het aantal applicaties dat door organisaties wordt gebruikt, is doorgaans 250% groter dan wat een eenvoudige en vaak gebruikte query van de werkruimte onthult.

Onder de geanalyseerde bedrijven:

  • 41% van de aanvragen werd door slechts één persoon gebruikt, wat resulteerde in een zeer lange reeks niet-goedgekeurde aanvragen.
  • Eén op de vijf gebruikers gebruikte applicaties die door niemand anders binnen hun organisatie werden gebruikt, waardoor de veiligheid en de middelen onder druk kwamen te staan.
  • 63% van de applicaties voor één gebruiker werd niet eens binnen een periode van drie maanden benaderd, wat de vraag oproept: waarom zouden ze verbonden blijven met bedrijfsgegevens?
  • 96,7% van de organisaties gebruikte ten minste één applicatie waarbij zich het afgelopen jaar een beveiligingsincident had voorgedaan, wat het aanhoudende risico en de noodzaak voor een goede beperking ervan bevestigde.

2) MFA-overbrugging

Het onderzoek van Wing wijst op een trend waarbij gebruikers ervoor kiezen een gebruikersnaam/wachtwoord te gebruiken om toegang te krijgen tot de diensten die ze nodig hebben, waarbij ze de bestaande beveiligingsmaatregelen omzeilen (zie afbeelding 1).

3) Vergeten tokens

Gebruikers verlenen de applicaties die ze nodig hebben tokens; dit is nodig om de SaaS-applicaties hun doel te laten bereiken. Het probleem is dat deze tokens vaak na een paar of slechts één gebruik vergeten worden. Uit het onderzoek van Wing bleek dat er gedurende een periode van drie maanden een grote hoeveelheid ongebruikte tokens aanwezig was, waardoor voor veel klanten een onnodig groot aanvalsoppervlak ontstond (Afbeelding 2).

4) Het nieuwe risico van Shadow AI

Begin 2023 concentreerden beveiligingsteams zich vooral op een select aantal gerenommeerde diensten die toegang bieden tot op AI gebaseerde modellen. Naarmate het jaar vorderde, namen duizenden conventionele SaaS-applicaties echter AI-modellen over. Uit het onderzoek blijkt dat 99,7% van de bedrijven applicaties met geïntegreerde AI-mogelijkheden gebruikte.

Organisaties moesten akkoord gaan met bijgewerkte algemene voorwaarden waardoor deze applicaties hun modellen konden gebruiken en verfijnen met behulp van de meest vertrouwelijke gegevens van de organisatie. Vaak zijn deze herziene voorwaarden onder de radar gebleven, samen met het gebruik van AI zelf.

Er zijn verschillende manieren waarop AI-toepassingen uw gegevens kunnen gebruiken voor hun trainingsmodellen. Dit kan de vorm aannemen van het leren kennen van uw gegevens, het opslaan van uw gegevens en zelfs het handmatig door een mens laten doornemen van uw gegevens om het AI-model te verbeteren. Volgens Vleugel, deze mogelijkheid is vaak configureerbaar en volledig te vermijdenop voorwaarde dat het niet over het hoofd wordt gezien.

SaaS-beveiligingsuitdagingen oplossen in 2024

Het rapport eindigt met een positieve noot, waarin acht manieren worden opgesomd waarop bedrijven de groeiende dreiging van de SaaS-toeleveringsketen kunnen verzachten. Inbegrepen:

  1. Voortdurende ontdekking en beheer van schaduw-IT.
  2. Geef prioriteit aan het herstel van SaaS-misconfiguraties
  3. Optimaliseer de detectie van afwijkingen met vooraf gedefinieerde raamwerken en automatiseer waar mogelijk.
  4. Ontdek en monitor alle AI-gebruikende SaaS-applicaties, en controleer uw SaaS voortdurend op updates in hun algemene voorwaarden met betrekking tot AI-gebruik.

Voor de volledige lijst met bevindingen, tips voor het garanderen van veilig SaaS-gebruik en een SaaS-beveiligingsvoorspelling voor 2024, download hier het volledige rapport.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Privacy-first DuckDuckGo-browser voegt een functie voor wachtwoordsynchronisatie toe

OpenAI ontwikkelt zijn eigen zoekmachine

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]