Het beschermen van gegevens en het monitoren van gebruikersgedrag was vroeger relatief eenvoudig toen iedereen achter de bedrijfsfirewall zat. In de nieuwe wereld van cloudcomputing en hybride arbeidskrachten moeten enkele basispraktijken en aannames echter opnieuw worden bekeken. Zo hebben meer mensen nu toegang nodig tot gevoelige bedrijfsgegevens terwijl ze thuis, op openbare computers en via hun mobiele apparaten werken.
Dat is waar Security Service Edge (SSE) een voordeel is. Het combineert zero-trust netwerktoegang (ZTNA), hulpprogramma’s voor het voorkomen van gegevensverlies en externe browserisolatie (RBI) om geavanceerde bescherming tegen bedreigingen en volledige controle over gegevens mogelijk te maken, ongeacht hoe gebruikers deze openen en beheren.
“Denk aan de analogie van het beveiligen van uw huis”, zegt Thayga Vasudevan, Vice President Product Management voor Skyhigh Security. “De voordeur op slot doen helpt niet als de ramen en achterdeuren open staan. Daarom is een alomvattende, databewuste aanpak noodzakelijk in een omgeving zonder perimeter. Een holistische oplossing vermindert de complexiteit en komt de klant ten goede doordat hij zijn beleid slechts één keer hoeft te definiëren. ”
Doe de voordeur op slot
Gegevens in SaaS-applicaties (Software-as-a-Service) kunnen bijvoorbeeld niet worden beschermd door het virtuele privénetwerk van het bedrijf als gebruikers zich buiten de firewall bevinden, dus de toegang moet worden geregeld op gebruikersaccountniveau.
ZTNA gaat ervan uit dat niets en niemand te vertrouwen is en past beleidsgestuurd identiteits- en toegangsbeheer toe om ervoor te zorgen dat gebruikers alleen toegang hebben tot de applicaties en services waarvoor ze geautoriseerd zijn.
Gebruikers authenticeren zich bij een cloud access service broker (CASB), die op de hoogte is van alle SaaS-services die in de hele organisatie worden gebruikt, zowel geautoriseerd als ongeautoriseerd. Beveiligingsbeheerders kunnen toegang op gebruikersniveau toestaan of blokkeren en gegevensstromen van en naar SaaS-applicaties bewaken om afwijkingen op te sporen. Indien correct geconfigureerd, verbetert ZTNA de gebruikerservaring door de noodzaak om afzonderlijk in te loggen op elke SaaS-toepassing te elimineren.
Beveilig de ramen
Het monitoren van alle SaaS-applicaties die in gebruik zijn, helpt ook het probleem van cloud-to-cloud exfiltratie te voorkomen, of de overdracht van gegevens die het bedrijfsnetwerk nooit raken.
Neem de native deelfunctionaliteit in Google Documenten. Hiermee kunnen mensen gegevens doorgeven aan andere gebruikers buiten het bedrijf. Of een persoon kan een document openen met een ongeautoriseerde cloudgebaseerde PDF-lezer die vanuit de Play Store is gestart. In beide gevallen raken de gegevens nooit het bedrijfsnetwerk.
Bescherming van Skyhigh Security dekt deze onvoorziene situatie door een directe out-of-band verbinding tot stand te brengen met andere cloudservices om het beleid in realtime af te dwingen met uitgebreide gegevens-, gebruikers- en apparaatdekking.
“Het detecteert applicaties die niet zichtbaar zijn voor beheerders en stelt je in staat om beleid te maken op basis van risico’s, zoals het verbieden van delen of downloaden”, zegt Vasudevan.
Maar hoe zit het met de directeur die in Singapore reist en toegang nodig heeft tot een interne SharePoint-server vanaf een onbeveiligde computer in een hotellobby? Dat is waar remote browser isolation (RBI) om de hoek komt kijken, zegt Vasudevan.
Zodra een gebruiker zich bij de SharePoint-server verifieert, onderschept RBI gegevensstromen en isoleert deze in een beveiligde ruimte. Schermafbeeldingen worden als pixels aan gebruikers doorgegeven, zodat ze de informatie kunnen zien die ze nodig hebben, maar geen toegang hebben tot de daadwerkelijke gegevens.
“Ze kunnen de assets nog steeds bekijken, maar er wordt niets gedownload en ze kunnen geen screenshots maken”, zegt Vasudevan.
RBI kan worden geconfigureerd met een breed scala aan opties die het onmogelijk maken voor kwaadaardige code, bijlagen, zero-day malware en ransomware om op eindpunten te draaien.
Bar de uitgangen
In de analogie van de huisbeveiliging zijn er bij de achterdeur meestal helemaal geen aanvallers. Volgens een rapport van McAfee is een verkeerde configuratie van de cloud een probleem dat 90% van de organisaties treft. Er treden problemen op wanneer gebruikers de beschikbare opties niet begrijpen bij het instellen van cloudservices, zoals opslag- of applicatiemachtigingen.
“Je hebt praktisch een Ph.D. om sommige cloudbeheerconsoles te begrijpen”, zegt Vasudevan. Een beheerder kan bijvoorbeeld een switch laten staan die anonieme link-sharing van OneDrive-bestanden mogelijk maakt zonder een vervaldatum op te geven. Stel je de mogelijke gevolgen voor wanneer “een nieuwe medewerker langskomt die geen idee heeft van de context en een product-roadmap in een gedeelde map laat vallen”, zegt hij.
Een verkeerde configuratie is verantwoordelijk geweest voor enkele grote en gênante recente gegevensblootstellingen waarbij informatie openbaar werd achtergelaten op openbare bestandsshares. Cloud Security Posture Management (CSPM)-tools kunnen misconfiguraties en compliancerisico’s identificeren om deze kwetsbaarheid te minimaliseren.
De combinatie van ZTNA, hulpprogramma’s voor het voorkomen van gegevensverlies zoals CSPM en RBI creëert een 360-gradenbeeld van het beveiligingsprofiel van een organisatie dat bijna elke potentiële kwetsbaarheid dekt, zowel van binnen als van buiten.
Hoewel geen enkele bescherming absoluut is, is een geïntegreerd on-premises en cloudbeveiligingsplatform de beste oplossing voor een wereld met externe toegang.
Verbeter de beveiliging voor uw externe personeel. Voor meer informatie bezoek www.skyhighsecurity.com.
