從微軟、Okta和HubSpot的3起泄密事件,看SaaS平臺安全防護(hù)

aqniu
當(dāng)攻擊者通過特權(quán)賬戶從受攻擊的設(shè)備訪問SaaS應(yīng)用軟件時,再安全的SaaS平臺也會受到攻擊。企業(yè)需要充分利用將設(shè)備安全態(tài)勢與SaaS安全相結(jié)合的解決方案,以實現(xiàn)全面的端到端保護(hù)。

本文來自安全牛(www.aqniu.com),作者aqniu。

1.png

3月下旬,微軟、Okta和HubSpot三大科技公司相繼報告發(fā)生了數(shù)據(jù)泄密事件。前兩起事件均出自DEV-0537(又叫LAPSUS$)之手,這個犯罪團(tuán)伙利用的攻擊技術(shù)并不復(fù)雜卻屢試不爽。

這些攻擊事件給人的一個啟示是,SaaS平臺的設(shè)備安全很重要。當(dāng)攻擊者通過特權(quán)賬戶從受攻擊的設(shè)備訪問SaaS應(yīng)用軟件時,再安全的SaaS平臺也會受到攻擊。企業(yè)需要充分利用將設(shè)備安全態(tài)勢與SaaS安全相結(jié)合的解決方案,以實現(xiàn)全面的端到端保護(hù)。

此外,惡意分子不斷完善和改進(jìn)攻擊方法,迫使企業(yè)不斷留意SaaS安全,并確定優(yōu)先級。僅靠強密碼和SSO解決方案遠(yuǎn)遠(yuǎn)不夠,企業(yè)需要采取更多的安全措施,比如強MFA、IP地址允許列表以及阻止不必要的訪問等,以確保企業(yè)網(wǎng)絡(luò)安全。

SaaS安全態(tài)勢管理(SSPM)等自動化解決方案可以幫助安全團(tuán)隊?wèi)?yīng)對這些問題。以下是根據(jù)公開披露的信息對這三起泄密事件的復(fù)盤,并建議企業(yè)采取最佳實踐,以免受到此類攻擊事件的影響。

微軟數(shù)據(jù)泄密事件:MFA有缺口

3月22日,微軟安全團(tuán)隊披露了DEV-0537對其發(fā)動攻擊的信息。據(jù)稱是由于微軟的一個帳戶被盜,導(dǎo)致源代碼失竊和發(fā)布。微軟并未透露該起泄密事件是如何發(fā)生的,但確實提醒用戶犯罪團(tuán)伙L(fēng)APSUS$大肆招募電信、知名軟件開發(fā)商、呼叫中心及其他行業(yè)的員工來分享登錄信息。

微軟提出以下建議,以保護(hù)用戶免受攻擊。

•加強實施MFA(Multi-Factor Authentication,多因子驗證,簡稱“MFA”)——MFA缺口是攻擊者的一條關(guān)鍵攻擊途徑。企業(yè)應(yīng)設(shè)置MFA選項,并盡可能限制短信和電子郵件,比如使用Authenticator或FIDO令牌。

•需要運行良好且受信任的端點——企業(yè)應(yīng)持續(xù)評估設(shè)備安全性,通過配置安全設(shè)備,確保訪問SaaS平臺的設(shè)備符合安全策略。

•為VPN配置現(xiàn)代身份驗證選項——VPN身份驗證應(yīng)充分利用現(xiàn)代身份驗證選項,如OAuth或SAML來確保安全。

•加強和監(jiān)控企業(yè)的云安全態(tài)勢——企業(yè)起碼應(yīng)為用戶設(shè)置有條件的訪問,要求其采用MFA,并阻止高風(fēng)險用戶登錄。

Okta泄密事件:特權(quán)用戶缺乏設(shè)備安全性

Okta將其部分支持客戶的服務(wù)分包給了Sitel Group。1月21日,Okta安全團(tuán)隊成員收到警報,稱一個新的多因子驗證已從新位置添加到了Sitel Group員工帳戶。

經(jīng)調(diào)查發(fā)現(xiàn),有人使用遠(yuǎn)程桌面協(xié)議闖入了Sitel一名工程師的計算機。由于這名工程師對系統(tǒng)的訪問權(quán)限有限,他無權(quán)創(chuàng)建或刪除用戶,也無權(quán)下載客戶數(shù)據(jù)庫,其對客戶數(shù)據(jù)的訪問也非常有限,因此對Okta客戶造成的影響比較小。

盡管該起事件造成的破壞有限,但也給世人三個重要的安全教訓(xùn)。

•確保從設(shè)備到SaaS的安全性——說到防范泄密事件,為SaaS環(huán)境確保安全還不夠。確保高權(quán)限用戶使用的設(shè)備安全至關(guān)重要。企業(yè)應(yīng)審查高權(quán)限用戶名單,并確保其設(shè)備安全可靠。

•實施MFA——單點登錄(Single Sign-On,簡稱“SSO”)還遠(yuǎn)遠(yuǎn)不夠,重視SaaS安全的企業(yè)還必須添加MFA安全措施。此次事件就印證了這一點,MFA新的多因子驗證的添加讓Okta安全團(tuán)隊得以發(fā)現(xiàn)這起事件。

•事件監(jiān)控——檢查MFA更改、密碼重置、可疑登錄及更多事件對于確保SaaS安全至關(guān)重要,應(yīng)每天執(zhí)行此類操作。在這起安全事件中,安全人員在事件監(jiān)控日志中發(fā)現(xiàn)異常變化后才發(fā)現(xiàn)了Okta漏洞。

HubSpot泄密事件:員工信息被泄露

2022年3月21日,HubSpot報告了發(fā)生在3月18日的泄密事件。惡意分子竊取了HubSpot一名員工用于支持客戶的帳戶信息,進(jìn)而訪問了HubSpot的多個權(quán)限帳戶,并導(dǎo)出聯(lián)系人數(shù)據(jù)。

此前對有關(guān)事件的信息披露很少,因此對這類攻擊的防范頗具挑戰(zhàn)性。不過HubSpot中的一項關(guān)鍵配置——HubSpot帳戶設(shè)置中的“HubSpot Employee Access”控制(如圖1所示)可以為其提供幫助。

2.png

圖一

客戶應(yīng)始終禁用該設(shè)置,即便是他們需要特定幫助,也應(yīng)該在完成服務(wù)呼叫后立即將其關(guān)閉。如果類似的設(shè)置出現(xiàn)在其他SaaS應(yīng)用軟件中,同樣應(yīng)予以禁用。此外,員工訪問通常記錄在審核日志(Audit Logs)中,應(yīng)定期檢查該日志。

參考鏈接:

https://thehackernews.com/2022/04/into-breach-breaking-down-3-saas-app.html

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門