Mit <kes>+ lesen

Wie das NIST Cybersecurity-Framework SaaS-Konformität unterstützt

Eine große Herausforderung für Sicherheitsverantwortliche von SaaS-Anwendungen besteht darin, dass jede Anwendung unterschiedliche Einstellungen hat. Das macht es schwer, eine einheitliche Richtlinie zu entwickeln, die zum Beispiel den NIST-Compliance-Standards entspricht. Trotzdem gibt es einige universelle Konfigurationen, die fast auf jede SaaS-Anwendung angewendet werden können, um deren Sicherheit zu verbessern. Dieser Artikel stellt diese Konfigurationen vor, erklärt ihre Bedeutung und wie sie einzurichten sind.

Das Cybersecurity-Rahmenwerk des US National Institute of Standards and Technology (NIST) ist eine der wichtigsten Richtlinien weltweit, wenn es darum geht, Netzwerke zu sichern. Es ist auf beliebige Applikationen anwendbar, darunter auch auf SaaS.

Mit Admins beginnen

Die rollenbasierte Zugriffskontrolle (Role Based Access Control – kurz RBAC) ist entscheidend, um die NIST-Richtlinien einzuhalten und sollte für jede SaaS-Anwendung verwendet werden. In einer solchen Anwendung gibt es zwei Arten von Berechtigungen: funktionale und Datenzugriffsberechtigungen. Funktionale Berechtigungen umfassen das Erstellen von Konten und die Navigation innerhalb der Anwendung, während Datenzugriffsberechtigungen regeln, welche Benutzer auf Daten zugreifen und sie ändern können. Das Administratorkonto ist besonders sensibel, da es uneingeschränkten Zugriff auf beide Arten von Berechtigungen hat.

Das Eindringen in ein Administratorkonto ist für Bedrohungsakteure äußerst lohnenswert, da sie dadurch Zugang zu allen Funktionen erhalten. Unternehmen müssen daher alles tun, um die Kontrolle über diese Konten zu behalten, indem sie entsprechende Konfigurationen und bewährte Verfahren implementieren.

Begrenzte Redundanz einführen

Es ist wichtig, dass für jede Anwendung mindestens zwei Administratoren zur Verfügung stehen. Durch diese Redundanz wird es für einen einzelnen Administrator schwieriger, gegen die Interessen des Unternehmens zu handeln, da die Administratoren sich gegenseitig auf verdächtige Aktivitäten überwachen können.

Allerdings erhöht jeder zusätzliche Administrator die potenzielle Angriffsfläche für die Anwendung. Unternehmen müssen daher ein Gleichgewicht finden: Einerseits sollte eine ausreichende Anzahl von Administratoren vorhanden sein, um die Anwendung angemessen zu betreuen, andererseits muss die Gefährdung begrenzt werden. Eine automatisierte Überprüfung der Anzahl der Administratoren sollte Warnungen auslösen, wenn die Anzahl außerhalb des bevorzugten Bereichs liegt.

Externe Admins eliminieren

Externe Administratoren stellen eine zusätzliche Sicherheitslücke für die SaaS-Anwendung dar. Da sie außerhalb des Unternehmens tätig sind, haben das interne Sicherheitsteam keine Kontrolle über ihre Passwortrichtlinien oder Authentifizierungswerkzeuge.

Wenn ein Bedrohungsakteur versucht, sich einzuloggen und auf „Passwort vergessen“ klickt, gibt es keine Garantie dafür, dass das E-Mail-Konto des externen Administrators sicher ist. Dieses Fehlen von Überwachung für externe Benutzer kann zu einem schwerwiegenden Sicherheitsvorfall führen. Aus diesem Grund empfiehlt das NIST, externe Administratoren zu vermeiden. Je nach Anwendung sollten Sie entweder externe Administratoren daran hindern, Administratorrechte zu erhalten, oder externe Benutzer mit solchen Rechten identifizieren und ihre Rechte einschränken.

Für Unternehmen, die externe IT-Dienstleister beauftragen oder sich an MSSPs wenden, sollten diese Personen nicht als externe Administratoren betrachtet werden. Dennoch ist es wichtig, sicherzustellen, dass anderen externen Benutzern keine Administratorrechte gewährt werden.

Bei Admins MFA einfordern

Um den NIST-Standards gerecht zu werden, sollten alle Administratorkonten eine Multi-Faktor-Authentifizierung (MFA) verwenden, zum Beispiel durch die Verwendung eines Einmalpassworts (OTP), um auf die Anwendung zuzugreifen. Bei der MFA müssen die Benutzer mindestens zwei Identitätsnachweise vorlegen, bevor sie authentifiziert werden. Ein Bedrohungsakteur müsste beide Authentifizierungssysteme kompromittieren, was die Schwierigkeit erhöht und das Risiko für das Konto verringert. Für Administratorpositionen ist MFA unerlässlich, und für alle anderen Benutzer wird sie dringend empfohlen.

Datenlecks verhindern

SaaS-Datenlecks sind ein großes Risiko für Unternehmen und ihre Benutzer, da vertrauliche Informationen in Cloud-Anwendungen gefährdet sein können. Obwohl SaaS-Anwendungen als Tools für die Zusammenarbeit beworben werden, können die Konfigurationen, die Benutzer zusammenarbeiten lassen, auch Dateien und Daten gefährden. Das NIST empfiehlt, die Berechtigungen jeder Ressource genau zu überwachen.

Ein öffentlich sichtbarer Kalender kann Mitarbeiter anfällig für sozial motivierte Phishing-Angriffe machen, während gemeinsam genutzte Repositories dazu führen können, dass interner Quellcode öffentlich freigegeben wird. E-Mails, Dateien und Boards enthalten vertrauliche Daten, die nicht für die Öffentlichkeit bestimmt sind. Obwohl diese Konfigurationen in verschiedenen Anwendungen unterschiedlich benannt werden können, verfügt fast jede Anwendung, die Inhalte speichert, über diese Art von Kontrolle.

Öffentliche Freigabe stoppen

Der Unterschied zwischen „Freigabe für alle“ und „Freigabe für einen Benutzer“ ist groß. Bei „Freigabe für alle“ kann jeder mit dem Link auf die Materialien zugreifen. Bei „Freigabe für einen Benutzer“ muss der Benutzer sich jedoch anmelden, um auf das Material zugreifen zu können.

Um die Offenlegung von Inhalten einzuschränken, sollten App-Administratoren die Option „Freigabe über öffentliche URLs“ deaktivieren. Einige Anwendungen erlauben es den Benutzern auch, den Zugriff auf bereits erstellte URLs zu widerrufen. Wenn verfügbar, sollten Unternehmen diese Einstellung aktivieren.

Einladungen auf Ablaufdatum setzen

Viele Anwendungen erlauben autorisierten Benutzern, externe Benutzer in die Anwendung einzuladen. Oft gibt es jedoch kein Ablaufdatum für diese Einladungen. Das bedeutet, dass Einladungen, die vor Jahren verschickt wurden, immer noch gültig sind. Wenn ein externer Benutzerkonto kompromittiert wird, kann dies einem Angreifer Zugang gewähren. Durch die Aktivierung eines automatischen Ablaufdatums für Einladungen kann dieses Risiko eliminiert werden.

Es ist wichtig zu beachten, dass Änderungen in den Einstellungen mancher Anwendungen sofort und auch rückwirkend wirksam werden, während andere erst in der Zukunft greifen.

Stärkere Passwörter zur Pflicht machen

Passwörter sind die erste Verteidigungslinie gegen unerlaubten Zugriff auf Konten und Informationen. Das NIST empfiehlt eine starke Passwortrichtlinie, um sensible Daten, Geschäftsinformationen und Vermögenswerte in der Cloud zu schützen. Die Einzigartigkeit, Komplexität und regelmäßige Aktualisierung von Passwörtern sind dabei wichtig.

Passwörter sind Teil eines umfassenden Sicherheitsansatzes und arbeiten mit anderen Maßnahmen wie Multi-Faktor-Authentifizierung und Verschlüsselung zusammen. Wenn Passwörter kompromittiert werden, können Angreifer die Sicherheit der SaaS-Systeme gefährden. Eine gute Passwortverwaltung stärkt die Widerstandsfähigkeit von SaaS-Systemen und trägt zu einem sichereren digitalen Umfeld für Unternehmen und Benutzer bei.

Passwort-Spray-Angriffe verhindern

Bei einem Spray-Angriff geben Angreifer einen Benutzernamen und häufig verwendete Passwörter ein, in der Hoffnung, dass sie damit Zugriff auf die Anwendung erhalten. Um solche Passwort-Spray-Angriffe zu verhindern, ist es ratsam, die Verwendung von Multi-Faktor-Authentifizierung (MFA) zu fordern. Alternativ können Unternehmen auch die Verwendung bestimmter Wörter oder Zeichenfolgen als Passwörter verbieten. Dazu gehören häufig verwendete Passwörter wie „password1“, „letmein“, „12345“ sowie Namen von lokalen Sportteams und andere gängige Begriffe. Durch das Hinzufügen einer benutzerdefinierten Liste verbotener Wörter in den Einstellungen können Unternehmen das Risiko erfolgreicher Passwort-Spray-Angriffe erheblich reduzieren.

Passwortkomplexität steuern

Die meisten SaaS-Anwendungen erlauben es Unternehmen, die Anforderungen an Passwörter anzupassen. Diese können von einfachen Passwörtern bis hin zu komplexen Passwörtern mit Buchstaben, Zahlen, Symbolen und einer Mindestlänge reichen. Es ist wichtig, die Passwortrichtlinien in der Anwendung zu aktualisieren, um den Sicherheitsstandards Ihres Unternehmens zu entsprechen.

Wenn ein Unternehmen keine spezifischen Passwortrichtlinien hat, kann es sich an den Empfehlungen des NIST orientieren:

  • Ändern Sie Passwörter nicht zu häufig, da dies dazu führen kann, dass Benutzer einfach zu erratende Passwörter wählen.
  • Es ist besser, lange Passwörter zu verwenden als komplexe. Ein langes Passwort wie „MeinLieblingsdessertIstPekannusskuchen“ ist leicht zu merken, aber schwer zu knacken.
  • Begrenzen Sie die Anzahl der Passwortversuche auf maximal 10.
  • Verwenden Sie eine Liste mit verbotenen Wörtern, um leicht zu erratende Passwörter zu vermeiden.

Warum Konfigurationen so wichtig sind

Etwa ein Viertel aller Sicherheitsvorfälle in der Cloud werden durch falsch konfigurierte Einstellungen verursacht. Neben den bereits genannten Einstellungen für Zugriff, Passwörter und Datenlecks gibt es noch viele weitere Konfigurationen, die in der Cloud genutzt werden, wie Schlüsselverwaltung, mobile Sicherheit, betriebliche Ausfallsicherheit, Phishing-Schutz, SPAM-Schutz und mehr. Fehlerhafte Konfigurationen in einem dieser Bereiche können zu Sicherheitsverletzungen führen.

Man könnte denken, dass Bedrohungsakteure keine Zeit damit verschwenden würden, nach solchen Fehlkonfigurationen zu suchen. Doch genau das hat beispielsweise die Gruppe Midnight Blizzard getan, als sie dieses Jahr Microsoft angriff. Wenn solche Fehler selbst bei Microsoft passieren können, wird klar wie wichtig es ist, die Sicherheit der eigenen Anwendungen zu überprüfen.

Diesen Beitrag teilen: