SaaS Applikationen sind gerade zu Home-Office Zeiten viel im Einsatz. Wie schützt man sich vor Missbrauch und unsicheren Lösungen?
SaaS im Einsatz zu Hause und im Geschäft
SaaS Applikationen sind heutzutage sehr verbreitet und werden auch breit eingesetzt. Während man viele Lösungen vor allem aus dem persönlichen Umfeld kennt (ich denke hier an Dropbox und Apples iCloud), sind sie auch in Unternehmen viel mehr im Einsatz, als man auf den ersten Blick meint. Im Schnitt sind auch bei kleineren Firmen schon über 100 Apps im Einsatz (1), bei Grösseren (über 1000 Mitarbeiter) sind es dann bedeutend mehr, ca. 288 (1). Gerade bei kleineren Firmen sind ungefähr 17 verschiedene SaaS Lösungen im Einsatz pro Mitarbeiter (1).
Es erstaunt auch nicht, dass bei allen Firmengrössen die SaaS Applikationen von vielen verschiedensten Abteilungen eingesetzt werden und somit auch die Bezahlung meistens nicht zentral verwaltet wird. Bei kleineren Firmen sind das im Schnitt 10 verschiedene Abrechnungsinhaber, bei grösseren im Schnitt sogar 98 (1). Dies bedeutet aber auch, dass sehr oft die IT Abteilung diese Applikationen nicht verwaltet oder sogar gar nicht weiss, dass sie eingesetzt werden.
Was macht man nun, wenn die IT Security eine Übersicht haben möchte, welche Apps überhaupt im Einsatz sind? Der erste Impuls liegt sicher dabei, dass man die Proxy Logs anschaut und einen Report zieht. Und wie schränkt man solche SaaS Applikationen ein oder verbietet deren Benutzung ganz? Das kann auch über einen Proxy gemacht werden, ist an und für sich ja nicht anders als, ob man eine Webseite sperren würde.
Jetzt gibt es aber Abteilungen, die einen klaren Business-Need haben um gewisse SaaS Applikationen zu benutzen. Wie kann man sicherstellen, dass der Umgang mit diesen Apps gemäss firmeninternen Policies gestaltet wird?
Zum Beispiel:
- Alle Benutzer der Firma unter einen Firmen-Account zusammenfassen
- Mit einem bestehenden SSO (Single Sign on) integrieren
CASB
Dazu kommen dann meistens CASB Lösungen (Cloud Access Security Broker) zum Einsatz. Diese arbeiten auf zwei Ebenen. Einerseits interagieren sie mit einem bestehenden Proxy, um zu identifizieren, welche SaaS Applikationen überhaupt im Einsatz sind (Discovery) und gruppieren diese (File Sharing, HR, Chat, Sales, etc.). Zusätzlich können CASB mit sehr vielen SaaS Apps per API interagieren und so z.B. alle Firmen-Accounts identifizieren und zusammenfassen. Damit lassen sich Policies erstellen um zu definieren, welche Abteilungen überhaupt auf welche SaaS Apps zugreifen können und welche Art von Daten erlaubt sind (Up- bzw. Download).
Oft haben CASB Lösungen auch DLP (Data Loss Prevention) Funktionen integriert um zu verhindern, dass Kundendaten (oder ähnlich sensitive Daten) in eine SaaS Applikation gelangen. Je nach Lösung kann man z.B. Kreditkartendaten auch automatisch tokenisieren oder den Upload von Mitarbeiterdaten nur in eine HR-SaaS App erlauben.
Durch den Einsatz von Threat Prevention und/oder einer Sandbox werden Daten, die man herunterlädt zuerst gescannt (Schutz gegen Malware) und weiter Mechanismen helfen bei der Erkennung von Phishing und warnen bei unüblichen Verhalten von Accounts. Dies kann hilfreich sein um zu erkennen, ob ein Account von einem Angreifer übernommen wurde (Account Takeover und Compromised Accounts) oder ob jemand intern unüblich viele Daten hin- und herschickt oder auf unübliche Daten zugreift (Insider Threat).
Mann spricht bei CASBs also normalerweise von 4 Funktionalitäten:
- Visibilität (Erkennung von Shadow IT)
- Compliance (DLP und Policies)
- Datensicherheit (Verschlüsselung, Tokenisierung, Identity Protection)
- Threat Protection (gegen Malware und Phishing)
Next steps
In IaaS (Infrastructure as a Service) und PaaS (Plattform as a Service) kann man durch den Einsatz von Continuous Compliance Tools seine Umgebungen kontinuierlich gegen Fehlkonfigurationen scannen und bei fehlenden oder falschen Konfigurationen proaktiv einschreiten.
Dies ist in den meisten Fällen bei SaaS Applikationen nicht oder nur sehr eingeschränkt möglich. Mann kann natürlich definieren, dass nur gewisse Anwender genügend Privilegien haben, um Änderungen an der Konfiguration der SaaS Applikation zu machen, aber es ist oft nicht einfach solche Anpassungen zu monitoren und bei gewissen Veränderungen Alerts zu generieren.
Gerade bei komplexeren SaaS Lösungen wie Office365 (O365), die aus verschiedenen Modulen bestehen (E-Mail, SharePoint, OneDrive, Teams, Skype, etc.) können Fehlkonfigurationen sehr schnell zu Problemen führen. Man sollte z.B. vermeiden, dass schützenswerte Daten über federierte Accounts zu Partnern gelangen oder dass Kundendaten auf OneDrive abgelegt werden.
Wenn man viele Cloud-Lösungen im Einsatz hat, ist es oft der Fall, dass Daten von einer SaaS Applikation in die nächste sowie auch zwischen SaaS und IaaS/PaaS Applikationen verschoben und kopiert werden. Aktuelle Lösungen, die Cloud-Visibilität ermöglichen sind aber meistens nicht in der Lage SaaS und IaaS gleichzeitig abzudecken.
Obwohl viele Cloud-Security Lösungen Multicloud-fähig sind und immer mehr auch hybride Umgebungen unterstützen, verstehen sie unter Multicloud meistens verschiedene IaaS Anbieter (wie AWS, GCP und Azure), aber SaaS Lösungen sind nicht integriert.
Ich hoffe, in der nahen Zukunft Lösungen zu sehen, die Cloud-Security für all die Aspekte von Clouds anbieten, wo immer unsere Daten auch hinfliessen mögen.
- Quelle: Blissfully SaaS Trends Report 2020: https://www.blissfully.com/saas-trends/2020-annual-report/
Borna Cisar
Borna Cisar ist Head of Cloud Security bei AVANTEC. Er interessiert sich vor allem für Container Security, Cloud-Native und SecDevOps. Borna beschäftigt sich gerne mit neuen Produkten, insbesondere von Startups, die noch nicht so bekannt sind.