Nu het werk afneemt door de typische eindejaarsvertraging, is dit een goed moment om de gebruikersrollen en -rechten te herzien, iedereen te verwijderen die geen toegang zou moeten hebben, en onnodige machtigingen in te korten. Naast het besparen van onnodige licentiekosten, verbetert een schone gebruikersinventaris de veiligheid van uw SaaS-applicaties aanzienlijk. Van het verminderen van risico’s tot het beschermen tegen gegevenslekken: hier leest u hoe u het nieuwe jaar kunt beginnen met een schone gebruikerslijst.
Hoe offboarded-gebruikers Nog steeds Krijg toegang tot uw apps
Wanneer werknemers een bedrijf verlaten, veroorzaken ze in hun kielzog een reeks wijzigingen in de back-endsystemen. Ten eerste worden ze verwijderd uit de identiteitsprovider (IdP) van het bedrijf, waardoor een geautomatiseerde workflow wordt gestart die hun e-mail deactiveert en de toegang tot alle interne systemen verwijdert. Wanneer bedrijven een SSO (single sign-on) gebruiken, verliezen deze voormalige werknemers de toegang tot alle online eigendommen – inclusief SaaS-applicaties – waarvoor SSO nodig is om in te loggen.
Dat betekent echter niet dat voormalige werknemers volledig zijn uitgesloten van alle SaaS-applicaties. Bedrijven moeten gebruikers handmatig deactiveren of verwijderen uit hun SaaS-applicaties voor alle apps die niet zijn verbonden met de SSO, evenals voor elke gebruiker die lokale toegang heeft tot een app die is verbonden met de SSO. Dit probleem is vooral acuut bij gebruikers met hoge privileges. Veel apps vereisen dat ze lokale toegang hebben in het geval dat de SSO offline gaat.
Elke externe gebruiker met toegang tot zakelijke SaaS-apps behoudt de mogelijkheid om in te loggen en de applicatie te gebruiken. Dat betekent dat ze gegevens kunnen downloaden, wijzigingen kunnen aanbrengen, bestanden kunnen verwijderen of zelfs hun inloggegevens kunnen delen met concurrenten.
Download deze Offboarding-gids voor stapsgewijze instructies voor het offboarden van medewerkers uit uw SaaS-stack
Zorg ervoor dat u de juiste machtigingen heeft
Het te veel toestaan van een gebruiker vergroot het aanvalsoppervlak onnodig en introduceert onnodig een hoger risiconiveau voor de applicatie. Het zijn de machtigingen van de gebruiker die het toegangsniveau bepalen dat elke medewerker binnen een applicatie heeft. Als een gebruikersaccount gecompromitteerd zou worden, zou de bedreigingsacteur een gelijk toegangsniveau hebben als de gebruiker die gecompromitteerd was.
Een teamleider heeft waarschijnlijk beheerdersrechten nodig om nieuwe gebruikers toe te voegen, projecten te openen en anderszins het gebruik van de applicatie te controleren. Werknemers die de applicatie gebruiken, hebben mogelijk lees-/schrijfrechten nodig om hun rol te vervullen, terwijl ondersteunend personeel mogelijk alleen leesrechten nodig heeft of de mogelijkheid om rapporten te downloaden.
Nu het jaar ten einde loopt, is het een goed moment om de gebruikersrechten te herzien en ervoor te zorgen dat deze op één lijn liggen met hun rol. Bedrijven moeten het beginsel van de minste privileges (POLP) implementeren om ervoor te zorgen dat werknemers het juiste toegangsniveau hebben om hun werk te doen. Voor apps die groepsfunctionaliteit bevatten, wijst u soortgelijke gebruikers toe aan groepen met vooraf ingestelde machtigingen om machtigingensets te standaardiseren. Voor andere apps is het de moeite waard om de gebruikersrechten te controleren en de toegang in te korten tot alleen die functionaliteiten die nodig zijn.
Elimineer slapende accounts
Slapende accounts, dit zijn accounts die ongebruikt zijn, vallen doorgaans in een van de drie categorieën.
- Beheerdersaccounts – gebruikt om de applicatie in eerste instantie in te stellen, vaak door meerdere gebruikers. Deze slapende accounts hebben ruime rechten.
- Ongebruikte interne accounts – accounts van medewerkers die de applicatie niet langer nodig hebben of gebruiken. De toegang is gebaseerd op de rol van de medewerker.
- Ongebruikte externe accounts – externe gebruikersaccounts die ongebruikt zijn. Deze toegang is gebaseerd op de machtigingen die aan de gebruiker zijn verleend.
Het risico dat inherent is aan deze rekeningen is aanzienlijk. Beheerdersaccounts die door meerdere gebruikers worden gebruikt, hebben doorgaans gemakkelijk te raden gebruikersnamen, gemakkelijk te onthouden wachtwoorden en lokale toegang. Dit is een combinatie die rijp is voor misbruik. Ongebruikte werknemersaccounts kunnen na een phishing-aanval toegang bieden aan bedreigingsactoren, waarbij de werknemer zich niet eens alle applicaties herinnert waartoe hij toegang heeft. Ondertussen hebben beveiligingsteams geen zicht op externe gebruikers en of ze nog steeds bij het project betrokken zijn.
Terwijl bedrijven de feestdagen doormaken, is het aan hen om slapende rekeningen te beoordelen en de nodige maatregelen te nemen om hun risico’s te onderzoeken en te evalueren. Indien aangegeven moeten deze accounts worden uitgeschakeld of geannuleerd.
Preventie van het delen van accounts implementeren
Wanneer teams een gedeelde gebruikersnaam gebruiken om de licentiekosten te verlagen, creëren ze onbewust een extra beveiligingsrisico. Gedeelde accounts zijn bijna onmogelijk volledig te beveiligen. Naarmate medewerkers zich bij het team aansluiten en verlaten, neemt het aantal gebruikers dat de accountgegevens kent toe. Bovendien voorkomt het gebruik van een gedeelde login het gebruik van MFA en SSO, twee cruciale tools die worden gebruikt om SaaS-applicaties te beveiligen.
Gedeelde accounts maken het ook moeilijk om bedreigingen te detecteren die voortkomen uit een account. De gegevens die worden gebruikt om bedreigingen te detecteren, zijn gebaseerd op normaal gebruik. Als een account echter vaak vanaf meerdere locaties wordt benaderd, is het onwaarschijnlijk dat er een waarschuwing wordt geactiveerd als er toegang wordt verkregen door een bedreigingsacteur.
Hoewel het niet eenvoudig is om gedeelde accounts te detecteren, kunnen bedrijven maatregelen treffen om het delen van accounts te voorkomen en te detecteren. Het vereisen van MFA of SSO maakt het bijvoorbeeld moeilijk voor gebruikers om accounts te delen. Beveiligingsteams kunnen ook analyses van gebruikersgedrag beoordelen die het delen van accounts aangeven. Het monitoren van IP-adresaanmeldingen of het nauwkeurig beoordelen van analyses van gebruikersgedrag zijn twee manieren om gedeelde gebruikersnamen te detecteren.
Als u nu de tijd besteedt aan het ontdekken van gedeelde accounts, kunt u SaaS-applicaties het komende jaar en tot ver in de toekomst veiliger houden.
Voor de volledige Offboarding Gids, klik hier.
Automatisering van gebruikersmonitoring en -beheer
Het handmatig beoordelen van applicatieroosters en het vergelijken ervan met de IdP is een vervelende klus. Dat geldt ook voor het controleren van machtigingen, het beoordelen van slapende accounts en het zoeken naar tekenen van het delen van accounts. De introductie van een SaaS Security Posture Management (SSPM)-platform automatiseert het proces.
Met behulp van de gebruikersinventaris van een SSPM, zoals die van Adaptive Shield, kunnen bedrijven snel gebruikersaccounts identificeren die gedurende een bepaalde periode niet zijn geopend, externe gebruikers met hoge machtigingensets vinden en gebruikers detecteren die uit de IdP zijn verwijderd. SSPM’s zijn ook in staat gebruikers aan apparaten te koppelen om de risico’s verder te beperken.
Terwijl u zich voorbereidt op 2024, is de introductie van een SSPM de meest effectieve en efficiënte manier om gebruikers te monitoren en te weten wie toegang heeft tot wat binnen uw SaaS-stack.
