Hoewel on-premise apps traditioneel onzichtbaar waren voor externe aanvallers dankzij perimetergebaseerde firewalls, zijn Software as a Service (bijv. Microsoft 365, Salesforce), Infrastructure as a Service (bijv. AWS, GCP) en andere cloudgebaseerde technologieën niet inherent zo vergrendeld.
In veel gevallen zijn deze applicaties overal bereikbaar, waarbij gegevenstoegang alleen wordt bewaakt door een vorm van authenticatie.
Multi-factor authenticatie (MFA) heeft op grote schaal credential-gebaseerde aanvallen verminderd waarbij een aanvaller erin slaagt in te loggen alsof hij een legitieme gebruiker is. Echter, MFA helpt niet om te beschermen tegen meer gerichte credential-diefstal-aanvallen.
Dit laat de toegankelijkheid van gegevens en bronnen opgeslagen in de (private) cloud volledig over aan de effectiviteit van gebruikersauthenticatiemechanismen, ongeacht het onderliggende apparaat of netwerk.
Bronnen Verhullen voor het Open Internet
De beste manier om een aanval op deze gegevensbronnen te voorkomen is om hun vindbaarheid en toegankelijkheid vanaf het open internet zo veel mogelijk te elimineren.
Dit betekent dat een aanvaller – volledig uitgerust met geldige MFA-inloggegevens van werknemers en zelfs kennis van de systemen die ze willen exploiteren – simpelweg geen toegang zal kunnen krijgen tot die systemen vanaf hun niet-goedgekeurde apparaat.
Voor SaaS-applicaties zal een aanvaller niet kunnen inloggen op de applicatie die ze proberen te bereiken.
Voor IaaS en private cloud zal een aanvaller niet eens bij het inlogscherm komen of zelfs maar een enkel pakket naar de doelservice kunnen sturen, laat staan een reactie terugkrijgen.
Dit wordt bereikt door Toegang voor Vertrouwde Apparaten Inschakelen, gevolgd door Toegang Beperken voor Anonieme Apparaten.
Het netto-effect is eenvoudig: alleen goedgekeurde apparaten kunnen gevoelige applicaties "zien" – voor alle anderen is de app volledig onzichtbaar.
Voordelen van Verhulling
- Voorkomt dat aanvallers apps of infrastructuur ontdekken die verdere aanvalsescalatie en exploitpogingen kunnen uitlokken.
- Voorkomt dat aanvallers die succesvol een credential-diefstal-aanval hebben uitgevoerd toegang kunnen krijgen tot apps en gegevens als de gecompromitteerde gebruiker.
- Maakt uitgebreide zichtbaarheid, rapportage en export (bijvoorbeeld via SIEM) van cloudapplicatie-toegangsactiviteit mogelijk voor elke SaaS- of IaaS-app.
- Vermindert DDoS-aanvallen die de beschikbaarheid van apps kunnen beïnvloeden.