Into the Breach: Phá vỡ 3 cuộc tấn công mạng ứng dụng SaaS vào năm 2022

Trong tuần cuối cùng của tháng 3, ba công ty công nghệ lớn – Microsoft, Okta và HubSpot – đã báo cáo các nghiêm trọng. DEV-0537, còn được gọi là LAPSUS $, đã thực hiện hai phần đầu tiên. Nhóm rất phức tạp này sử dụng các vectơ tấn công hiện đại để đạt được thành công lớn. Trong khi đó, nhóm đứng sau vụ vi phạm HubSpot không được tiết lộ. Blog này sẽ xem xét ba vi phạm dựa trên thông tin được tiết lộ công khai và đề xuất các phương pháp hay nhất để giảm thiểu nguy cơ các cuộc tấn công như vậy thành công đối với tổ chức của bạn.

HubSpot – Quyền truy cập của nhân viên

Vào ngày 21 tháng 3 năm 2022, HubSpot đã báo cáo vụ vi phạm xảy ra vào ngày 18 tháng 3. Các kẻ xấu đã xâm nhập tài khoản của nhân viên HubSpot mà nhân viên đó đã sử dụng để hỗ trợ khách hàng. Điều này cho phép các tác nhân độc hại có khả năng truy cập và xuất dữ liệu liên hệ bằng cách sử dụng quyền truy cập của nhân viên vào một số tài khoản HubSpot.

Với ít thông tin liên quan đến vi phạm này, việc bảo vệ chống lại một cuộc tấn công là một thách thức, nhưng một cấu hình chính trong HubSpot có thể giúp ích. Đây là kiểm soát “Quyền truy cập của nhân viên HubSpot” (hiển thị trong hình bên dưới) trong cài đặt tài khoản của HubSpot. Khách hàng nên tắt cài đặt này mọi lúc, trừ khi họ yêu cầu hỗ trợ cụ thể, sau đó tắt ngay sau khi hoàn thành cuộc gọi dịch vụ.

Một cài đặt tương tự xuất hiện trong các ứng dụng SaaS khác và cũng nên được tắt ở đó. Quyền truy cập của nhân viên thường được ghi lại trong Nhật ký kiểm tra, cần được xem xét thường xuyên.

Tìm hiểu cách SSPM có thể giúp bảo vệ tổ chức của bạn khỏi các cấu hình sai SaaS

Okta – Thiếu bảo mật thiết bị cho người dùng đặc quyền

Okta ký hợp đồng phụ một số hỗ trợ khách hàng của mình cho Sitel Group. Vào ngày 21 tháng 1, một thành viên trong nhóm bảo mật của Okta đã nhận được cảnh báo rằng một yếu tố MFA mới đã được thêm vào tài khoản nhân viên của Sitel Group từ một vị trí mới.

Xem tiếp:   Mối đe dọa tiếp tục của các lỗ hổng bảo mật chưa được khắc phục

Một cuộc điều tra cho thấy máy tính của kỹ sư hỗ trợ Sitel đã bị xâm nhập bằng giao thức máy tính từ xa. Lỗ hổng đã biết này thường bị vô hiệu hóa trừ khi cần đặc biệt – điều này đã giúp các nhà điều tra Okta thu hẹp khung thời gian cho cuộc tấn công xuống còn 5 ngày trong khoảng thời gian từ 16-21 tháng 1 năm 2022.

Do các kỹ sư hỗ trợ truy cập có giới hạn đối với hệ thống của họ, tác động đến khách hàng của Okta là rất ít. Các kỹ sư hỗ trợ không có quyền truy cập để tạo hoặc xóa người dùng hoặc tải xuống cơ sở dữ liệu khách hàng. Quyền truy cập của họ vào dữ liệu khách hàng cũng khá hạn chế.

Vào ngày 22 tháng 3, DEV-0537, thường được gọi là LAPSUS $, đã chia sẻ ảnh chụp màn hình trực tuyến. Đáp lại, Okta đưa ra một tuyên bố rằng, “không có hành động sửa chữa nào mà khách hàng của chúng tôi cần thực hiện.” Ngày hôm sau, công ty đã chia sẻ thông tin chi tiết về cuộc điều tra của mình, trong đó có lịch trình phản hồi chi tiết.

Mặc dù vi phạm này bị hạn chế về thiệt hại mà nó gây ra, nhưng nó cung cấp ba bài học bảo mật quan trọng.

Bảo mật từ thiết bị đến SaaS – bảo vệ môi trường SaaS là ​​không đủ khi nói đến việc bảo vệ chống lại vi phạm. Bảo mật các thiết bị được sử dụng bởi những người dùng có đặc quyền cao là điều tối quan trọng. Các tổ chức nên xem xét danh sách người dùng có đặc quyền cao và đảm bảo rằng thiết bị của họ được bảo mật. Điều này có thể hạn chế thiệt hại của một vi phạm thông qua vector tấn công mà Okta phải đối mặt.
MFA – Việc bổ sung MFA đã cho phép an ninh Okta phát hiện ra vi phạm. SSO chưa đi đủ xa và các tổ chức coi trọng cũng phải bao gồm các biện pháp bảo mật MFA.
Giám sát sự kiện – Vi phạm Okta được phát hiện khi nhân viên an ninh nhìn thấy sự thay đổi bất ngờ trong nhật ký giám sát sự kiện. Việc xem xét các sự kiện như thay đổi đối với MFA, đặt lại mật khẩu, thông tin đăng nhập đáng ngờ, v.v., rất quan trọng đối với bảo mật SaaS và phải được thực hiện hàng ngày.

Xem tiếp:   Phần mềm gián điệp Chinotto mới nhắm mục tiêu vào những người đào tẩu Bắc Triều Tiên, các nhà hoạt động nhân quyền

Hãy xem cuộc điều tra của Cloudflare về thỏa hiệp Okta vào tháng 1 năm 2022 để biết ví dụ điển hình về phản ứng đối với vi phạm như vậy.

Tìm hiểu cách Adaptive Shield cung cấp khả năng quản lý tư thế điểm cuối và kiểm soát cấu hình SaaS

Microsoft – MFA cho tất cả người dùng đặc quyền

Vào ngày 22 tháng 3, Microsoft Security đã chia sẻ thông tin liên quan đến một cuộc tấn công mà nó phải chịu dưới bàn tay của DEV-0537. Microsoft đã có một tài khoản bị xâm phạm, dẫn đến mã nguồn bị đánh cắp và xuất bản.

Microsoft đảm bảo với người dùng rằng cuộc tấn công LAPSUS $ không xâm phạm bất kỳ thông tin nào của họ và tuyên bố thêm rằng không có rủi ro nào đối với bất kỳ sản phẩm nào của họ do mã bị đánh cắp.

Microsoft không chia sẻ cụ thể cách thức thực hiện vi phạm, mặc dù nó đã cảnh báo độc giả rằng LAPSUS $ tích cực tuyển dụng nhân viên tại các hãng viễn thông, nhà phát triển phần mềm lớn, trung tâm cuộc gọi và các ngành khác để chia sẻ thông tin đăng nhập.

Công ty cũng đưa ra những đề xuất này để đảm bảo nền tảng chống lại các cuộc tấn công này.

Tăng cường triển khai MFA – Khoảng trống MFA là một vector tấn công chính. Các tổ chức nên yêu cầu các tùy chọn MFA, hạn chế SMS và email càng nhiều càng tốt, chẳng hạn như với mã thông báo Authenticator hoặc FIDO.
Yêu cầu điểm cuối lành mạnh và đáng tin cậy – Các tổ chức nên liên tục đánh giá tính bảo mật của thiết bị. Đảm bảo rằng các thiết bị truy cập nền tảng SaaS tuân thủ chính sách bảo mật của chúng bằng cách thực thi các cấu hình thiết bị an toàn với điểm rủi ro dễ bị tổn thương thấp.
Tận dụng các tùy chọn xác thực hiện đại cho VPN – Xác thực VPN nên tận dụng các tùy chọn xác thực hiện đại như hoặc SAML.
Tăng cường và giám sát tình hình bảo mật đám mây của bạn – Tối thiểu, các tổ chức phải đặt quyền truy cập có điều kiện cho người dùng và cấu hình rủi ro phiên, yêu cầu MFA và chặn thông tin đăng nhập rủi ro cao.

Xem tiếp:   Các chuyên gia Công cụ ghi nhật ký chi tiết của Khung DanderSosystemz được sử dụng bởi các hacker nhóm Equation

Để có danh sách đầy đủ các khuyến nghị của Microsoft, hãy xem ghi chú này.

Suy nghĩ cuối cùng

Bảo mật các nền tảng SaaS là ​​một thách thức lớn và như đã thấy trong tuần này, ngay cả các doanh nghiệp toàn cầu cũng cần phải đề cao tính bảo mật của mình. Các tác nhân độc hại tiếp tục phát triển và cải tiến các phương pháp tấn công của chúng, điều này buộc các tổ chức phải đề phòng và liên tục ưu tiên bảo mật SaaS của họ.

Mật khẩu mạnh và các giải pháp SSO không còn đủ nữa. Các công ty cần các biện pháp bảo mật nâng cao, chẳng hạn như MFA mạnh mẽ, danh sách cho phép IP và chặn quyền truy cập không cần thiết của kỹ sư hỗ trợ. Một giải pháp tự động như Quản lý tư thế bảo mật SaaS (SSPM) có thể giúp các nhóm bảo mật luôn cập nhật các vấn đề này.

Tầm quan trọng của bảo mật thiết bị trong SaaS là ​​một điểm khác để tránh những cuộc tấn công này. Ngay cả một nền tảng SaaS được bảo mật hoàn toàn cũng có thể bị xâm phạm khi người dùng có đặc quyền truy cập ứng dụng SaaS từ một thiết bị bị xâm phạm. Tận dụng giải pháp bảo mật kết hợp tư thế bảo mật thiết bị với tư thế bảo mật SaaS để bảo vệ toàn diện, từ đầu đến cuối.

Thách thức của việc bảo mật các giải pháp SaaS là ​​phức tạp và vượt quá gánh nặng để hoàn thành thủ công. Các giải pháp SSPM, như Adaptive Shield, có thể cung cấp khả năng quản lý tư thế bảo mật SaaS tự động, với kiểm soát cấu hình, quản lý tư thế điểm cuối và kiểm soát ứng dụng của bên thứ ba.

Lưu ý – Bài viết này được viết và đóng góp bởi Hananel Livneh, Nhà phân tích sản phẩm cấp cao tại Adaptive Shield.

.

Related Posts

Check Also

Những kẻ tấn công có thể sử dụng tín hiệu điện từ để điều khiển màn hình cảm ứng từ xa

Các nhà nghiên cứu đã chứng minh cái mà họ gọi là “cuộc tấn công …