Wat is Account Takeover Fraud (ATO) in SaaS? 

Account Takeover (ATO) in SaaS beschrijft de toegang tot een gebruikersaccount door een externe partij, met methoden zoals inloggegevens, phishing, sessieactiviteit of OAuth-gerelateerde paden.

ATO kan moeilijk te detecteren zijn omdat de activiteit vergelijkbaar kan lijken met gewone gebruikersaanmeldingen, wat het moeilijker maakt om het te onderscheiden van legitieme toegang dan sommige op malware gebaseerde aanvallen.

Account Takeover (ATO) in SaaS heeft betrekking op toegang over verbonden systemen en gedeelde identiteiten.

Een enkele identiteit kan gekoppeld zijn aan e-mail, CRM, cloudopslag en andere gekoppelde applicaties.

Aanvallers geven de voorkeur aan geldige inloggegevens omdat deze hen in staat stellen traditionele perimeteerbeveiliging te omzeilen en op te gaan in normale gebruikersactiviteit, waardoor detectie moeilijker wordt.

Phishingtechnieken, inclusief 'adversary-in-the-middle'-methoden waarbij MFA betrokken is, vertegenwoordigen een van de factoren die worden waargenomen in relatie tot ATO-gebeurtenissen in SaaS-omgevingen.

De effecten van Accountovername (ATO) voor SaaS-bedrijven kunnen in verschillende gebieden worden onderverdeeld. Deze omvatten:

• beveiligingsgerelateerde scenario's zoals gegevenstoegang en transactiemonitoring, wat laterale beweging naar verbonden systemen kan inhouden.
• inspanningen voor incidentrespons en compliance-overwegingen.
• veranderingen in reputatie, verschuivingen in klantbehoud, en kunnen zelfs optreden met MFA, vooral wanneer admin- of supportaccounts betrokken zijn, wat resulteert in overwegingen op tenantniveau. 

Veelvoorkomende methoden zijn:

• credential stuffing
• password spraying
• Phishing
• adversary-in-the-middle phishing
• OAuth consent phishing
• sessiekaping
• wijzigingen van mobiele providers (SIM-swapping)
• malware/informatiedieven
• social engineering

Modern phishing kan sessietoken-targeting omvatten en authenticatiestromen omzeilen die multi-factor authenticatie (MFA) gebruiken.

ATO-doelwitten: 

• Onderwijs
• detailhandel/e-commerce
• Telecom
• financiële diensten
• Gezondheidszorg

Deze sectoren zijn doelwit vanwege de waardevolle gegevens die ze bezitten, het grote aantal gebruikersaccounts en hun afhankelijkheid van toegang op afstand en samenwerkingstools.

SaaS-leveranciers kunnen ATO detecteren en voorkomen door een gelaagde aanpak te gebruiken met preventie, detectie en respons. Belangrijke componenten zijn:

• phishingbestendige MFA
• gedragsanalyse
• apparaat-fingerprinting
• anomaliedetectie
• sessiebescherming
• botbeperking
• logging en waarschuwingen

Er zijn meerdere manieren waarop ATO-oplossingen kunnen integreren met SaaS-diensten, zoals via SSO en MFA, API's, SDK's, en identiteitsproviderconnectoren. 

Integreer daarnaast met SIEM's en SOAR-diensten om incidentafhandeling te beheren en maak gebruik van dynamische risicoscoring om toegangsverzoeken te evalueren.

Het is ook noodzakelijk om OAuth-tokens en serviceaccounts te beveiligen, terwijl ervoor wordt gezorgd dat er geen latentie optreedt voor legitieme gebruikers. 

Het beschermen van uw SaaS-accounts omvat een paar stappen.

1. Ten eerste, gebruik sterke, unieke wachtwoorden voor elk account, en overweeg een wachtwoordmanager te gebruiken om deze te genereren en op te slaan.
2. Schakel vervolgens multi-factor authentication (MFA) met phishing-resistente methoden of passkeys waar mogelijk.
3. Let op inlogwaarschuwingen, controleer onverwachte MFA-prompts en controleer OAuth app toestemmingsschermen voordat u toestemmingen goedkeurt.
4. Tot slot, meld ongebruikelijke accountactiviteit aan uw SaaS-provider zodra deze wordt opgemerkt.

Huidige ATO-preventiemethoden omvatten verschillende benaderingen, elk met specifieke afwegingen.

Traditionele multi-factor authenticatie (MFA) kan worden gebruikt naast technieken zoals AiTM-phishing, MFA-uitputting, SIM-swapping en token-diefstal.

Statische, op regels gebaseerde systemen herkennen mogelijk niet elk inlogpatroon en kunnen verschillende beoordelingsuitkomsten opleveren.