SaaS

Wie SSPM die Grenzen für CASBs der nächsten Generation erweitert

, München, Palo Alto Networks | Autor: Herbert Wieler

Wie SSPM die Grenzen für CASBs der nächsten Generation erweitert

Palo Alto Networks erläutert die Entwicklung von SaaS Security Posture Management

Die Verbreitung von SaaS in Unternehmen hat in den letzten Jahren rasante Ausmaße angenommen. Dieser Trend hat zwar die Produktivität der Benutzer und die Flexibilität des Unternehmens erheblich gesteigert, gleichzeitig aber auch neue Möglichkeiten für Datenschutzverletzungen und Gefährdungen eröffnet. Der „Schlüsselfertig“-Aspekt von SaaS ist für Unternehmen verlockend, aber er kann letztlich trügerisch sein, wenn Sicherheitsrisiken eingeführt werden, die den Nutzern nicht bewusst sind.

SSPM (SaaS Security Posture Management) wird zu einem grundlegenden Instrument zum Schutz der Sicherheit von SaaS-Anwendungen

Palo Alto Networks sieht daher im SaaS Security Posture Management eine zunehmend wichtige Enzwicklung um die Sicherheitsrisiken in SaaS-dominierten Umgebungen einzudämmen:

Ein großes Unternehmen verwendet in der Regel 100 oder mehr zugelassene SaaS-Anwendungen. Jede dieser Anwendungen verfügt über eigene Einstellungen, Funktionen, Versionen und Updates. Selbst wenn jede sanktionierte Anwendung zu einem bestimmten Zeitpunkt ordnungsgemäß konfiguriert ist, können Angreifer immer noch nach Sicherheitslücken suchen, die durch eine neue Funktion oder eine von einem Anwendungsadministrator vorgenommene Konfigurationsänderung entstehen. Wenn dann noch eine neue SaaS-Anwendung ohne vorherige Genehmigung und Kontrolle zum bestehenden Portfolio sanktionierter Anwendungen hinzugefügt wird, müssen sich die Sicherheitsteams mit einer ganzen Reihe neuer blinder Flecken in der Sicherheit auseinandersetzen. Alles in allem ist jede SaaS-Anwendung – unabhängig vom Grad der Nutzung und des Schutzes – immer noch anfällig für Sicherheitslücken.

Fehlkonfigurationen sind eine der Hauptursachen für SaaS-Schwachstellen

Gartner hat vorausgesagt, dass mehr als 99 Prozent der Sicherheitsverletzungen in der Cloud auf vermeidbare Fehlkonfigurationen oder Fehler der Endbenutzer zurückzuführen sind. Heute werden SaaS-Fehlkonfigurationen schnell zu einer der Hauptursachen für Datenschutzverletzungen bei SaaS-Anwendungen. Zunächst gilt es zu klären, warum herkömmliche CASBs (Cloud Access Security Brokers) bei diesem Problem versagt haben.

Herkömmliche CASBs sind so konzipiert, dass sie sensible Daten zunächst mit einer Data Loss Prevention (DLP)-Einheit schützen. Das Problem bei diesem „Schutz der Daten zuerst“-Ansatz ist, dass der Großteil der SaaS-Angriffsfläche übersprungen wird – die Angriffsfläche, die die Sicherheit und Integrität der SaaS-Anwendung selbst darstellt. Sich auf den Schutz der Daten zu konzentrieren und dabei die Sicherheit der Anwendung selbst zu vernachlässigen, ist, als würde man auf einem rissigen Fundament bauen. Die Anwendung selbst sollte zuerst vor Schwachstellen geschützt werden, damit sie zuverlässig alle Sicherheitsgarantien, einschließlich der Datensicherheit, bieten kann.

Wenn eine SaaS-Anwendung aufgrund einer durch eine Fehlkonfiguration verursachten Schwachstelle beeinträchtigt wird, wirkt sich dies negativ auf die Gesamtsicherheit aus, so dass die Daten der Anwendung dem Risiko einer Verletzung ausgesetzt sind. Um dieses Problem zu lösen, hat sich das SaaS Security Posture Management (SSPM) schnell zu einem grundlegenden Instrument zum Schutz der Sicherheitslage von SaaS-Anwendungen entwickelt.

Was sind einige der wichtigsten SaaS-Herausforderungen, die SSPM für die SaaS-Sicherheit in Unternehmen so wichtigmachen?

Erste Herausforderung: Die sichere Konfiguration von Tausenden von Einstellungen für Hunderte von genehmigten SaaS-Anwendungen ist keine leichte Aufgabe.

Sicherheitsteams haben bereits damit zu kämpfen, mit der ständig steigenden Nutzung von genehmigten SaaS-Anwendungen im Unternehmen Schritt zu halten. Dabei müssen sie auch sicherstellen, dass jede SaaS-Anwendung sicher konfiguriert ist. Um dies zu erreichen, müssen die Sicherheitsteams die Grundlagen verstehen. Erstens gibt es zu viele Anwendungen und jede Anwendung hat Dutzende bis Hunderte von Einstellungen, die sich auf die Sicherheit auswirken. Zweitens müssen alle Einstellungen jeder Anwendung verstanden und korrekt eingestellt werden, damit sie mit den Branchen- und Unternehmensrichtlinien übereinstimmen. Drittens müssen die Sicherheitsteams die Risiken verstehen, die selbst dann bestehen, wenn eine Einstellung versehentlich falsch konfiguriert wurde.

Eine beliebte Videokonferenz-App ist dafür ein gutes Beispiel. Die Anwendung scheint recht einfach zu sein, verfügt aber in Wirklichkeit über mehr als 50 Einstellungen, die sich auf die Sicherheit auswirken können – von Passwortanforderungen für Meetings bis hin zu Einstellungen für die Freigabe von Aufzeichnungen. All diese Einstellungen müssen von verschiedenen Abschnitten der Verwaltungskonsole aus verstanden werden und erstrecken sich über mehrere verschiedene Dokumentationen.

Zweite Herausforderung: Die Behebung von Sicherheitsfehlkonfigurationen in SaaS ist schwierig – sie zu beheben ist noch schwieriger.

SaaS-Anwendungen werden in der Regel nicht nur von einem, sondern von vielen Beteiligten im gesamten Unternehmen genutzt und betrieben. Während sich diese Teams darauf konzentrieren, das Unternehmen zu unterstützen und die Zusammenarbeit zu verbessern, sind sich nicht alle von ihnen über die Sicherheitsauswirkungen der zahlreichen Einstellungen der Anwendung im Klaren, insbesondere, wenn Änderungen an der Anwendung ohne das Wissen der anderen vorgenommen werden. Darüber hinaus können die Beteiligten leicht neue SaaS einführen und zum De-facto-Eigentümer werden, obwohl sie möglicherweise nicht über das Fachwissen verfügen, um eine sichere Bereitstellung zu gewährleisten.

Letztendlich führt die mangelnde Koordination zwischen den Beteiligten aus verschiedenen Geschäftsbereichen, der IT, den Infosec- und GRC-Teams zu einer sogenannten Konfigurationsabweichung.

Das Ergebnis ist ein ineffizienter, zeitaufwändiger und langfristig nicht skalierbarer Sanierungsansatz, da immer mehr SaaS-Anwendungen für die Unternehmensnutzung zugelassen werden. Wenn Sicherheitsadministratoren keinen Einblick in die Änderungen an den Sicherheitseinstellungen einer SaaS-Anwendung haben, ist die Identifizierung von Fehlkonfigurationen mit der Suche nach einer Nadel im Heuhaufen vergleichbar, und sie können die Sicherheit der Anwendung nicht gewährleisten. Sie müssen dann manuelle Anwendungsbewertungen durchführen, um nach der Möglichkeit einer Fehlkonfiguration zu suchen. Wie nicht anders zu erwarten, ist der Audit-Prozess langsam und mühsam und bietet nur punktuelle Einblicke, wenn Hunderte von sanktionierten Anwendungen betroffen sind.

Um ein Beispiel zu nennen: Wenn eine Person für eine Anwendungsbewertung eine Woche benötigt, würde es bei 200 Anwendungen 200 Wochen dauern, um eine vollständige Bewertung aller Anwendungen vorzunehmen. Selbst wenn vier Personen jeden Tag eine Anwendungsbewertung durchführen würden, würde dies ein ganzes Jahr dauern. Bis dieses Team alle Anwendungen durchgesehen hat, muss es diesen Zyklus noch einmal wiederholen, da diese Audits nur eine punktuelle Bewertung darstellen. Wenn sich etwas ändert, würde InfoSec das erst im nächsten Überprüfungszyklus herausfinden. Es erübrigt sich zu sagen, dass es heute keine effiziente Lösung gibt, die den SaaS-Bewertungsprozess über mehrere Anwendungen hinweg automatisiert und gleichzeitig die Prüfung kontinuierlich überwacht.

Dritte Herausforderung: Die Sicherung von SaaS unterscheidet sich von der Sicherung herkömmlicher Software.

Das SaaS-Modell hat viele Vorteile gegenüber herkömmlicher Software, denn es bietet sofortige globale Verfügbarkeit und automatische Updates auf die neuesten und besten Funktionen. Doch genau diese Eigenschaften machen sie auch zu einer Herausforderung für die Sicherheit. Während herkömmliche Software im Rechenzentrum bereitgestellt wird, sind SaaS-Anwendungen direkt über das Internet zugänglich, was die Gefahr von Fehlkonfigurationen deutlich erhöht.

Es gibt ein gutes Beispiel, bei dem eine beliebte Anwendung zur Problemverfolgung den Benutzern die Option bot, ihre Dashboards mit „allen“ zu teilen, was fälschlicherweise als „alle im Unternehmen“ interpretiert wurde, während es in Wirklichkeit „alle im Internet“ waren.

Upgrades für herkömmliche Software werden direkt vom IT-Team überwacht und durchgeführt. SaaS-Anwendungen hingegen aktualisieren sich dynamisch selbst, um neue Funktionen und Merkmale hinzuzufügen. Die häufigen Aktualisierungen verbessern die Funktionalität der Anwendung, beeinträchtigen aber auch ihre Sicherheit. Wenn eine SaaS-Anwendung angepasst wird, bieten ihre Einstellungen außerdem nicht mehr das erforderliche Sicherheitsniveau, was zu Konflikten mit den Compliance- und Sicherheitsrichtlinien des Unternehmens führt. Und es ist nicht nur so, dass Anpassungen zu Sicherheitslücken führen – oft sind auch die Standardeinstellungen nicht gut genug. IT-Teams in Unternehmen sollten sich an die Kerndevise von „Zero Trust“ halten und niemals davon ausgehen, dass die SaaS-Anwendung standardmäßig sicher ist.

SSPM-Ansatz als nächste Stufe

Nach Meinung von Palo Alto Networks geht es bei zeitgemäßem SSPM darum, über die Einhaltung von Vorschriften hinauszugehen und alle Einstellungen zu untersuchen, die sich auf die Sicherheitslage der Anwendung auswirken. Dieser Sicherheitsansatz bietet einen vollständigen Überblick über alle Einstellungen, die sich auf die Sicherheit der Anwendung auswirken, ermöglicht eine Behebung mit nur einem Klick und verhindert das Abdriften. Darüber hinaus sollte sich SSPM nicht auf eine Handvoll Anwendungen beschränken, denn alle können ein Risiko für das Unternehmen darstellen. Deshalb schützt beispielsweise Palo Alto Networks bereits über 40 Anwendungen und plant, bis Jahresende über 100 zu schützen.