您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
2022年三大SaaS安全威脅
以下是我們所看到的三大SaaS安全態(tài)勢(shì)挑戰(zhàn)。
—、混亂的錯(cuò)誤配置管理
有一個(gè)好消息和一個(gè)壞消息。好消息是,越來(lái)越多的企業(yè)正在使用諸如GitHub、Microsoft 365、Salesforce、Slack、SuccessFactors、Zoom等SaaS應(yīng)用程序,使員工能夠在最具挑戰(zhàn)性的環(huán)境下,依然保持生產(chǎn)力。而壞消息是,許多公司都難以充分應(yīng)對(duì)不斷變化的應(yīng)用程序安全風(fēng)險(xiǎn)。
這一挑戰(zhàn)源于一個(gè)簡(jiǎn)單的誤判——企業(yè)命令安全團(tuán)隊(duì),要確保每個(gè)應(yīng)用程序的安全配置都被設(shè)置正確。
雖然,這個(gè)選擇看起來(lái)很符合邏輯,但正如“沒(méi)有兩片雪花是相同的”那樣,每一個(gè)應(yīng)用程序的都是獨(dú)特的,其配置也同樣如此。并且,SaaS環(huán)境中包含了數(shù)百個(gè)應(yīng)用程序,這更是加劇了挑戰(zhàn)。所有這些加起來(lái),這個(gè)不切實(shí)際的負(fù)擔(dān),落在了安全團(tuán)隊(duì)的肩上。
在沒(méi)有SaaS安全態(tài)勢(shì)管理(SSPM)解決方案的情況下,這些團(tuán)隊(duì)沒(méi)有超人般的的計(jì)算能力,無(wú)法每天監(jiān)控成百上千的配置和用戶(hù)權(quán)限,來(lái)保護(hù)組織的SaaS 應(yīng)用程序堆棧。
二、用戶(hù)!隨處可見(jiàn)的特權(quán)用戶(hù)
我們只需要考慮沒(méi)有經(jīng)過(guò)安全措施培訓(xùn)的典型雇員,以及他們的訪(fǎng)問(wèn)或特權(quán)會(huì)如何增加敏感數(shù)據(jù)被盜、暴露或泄露的風(fēng)險(xiǎn)。SaaS應(yīng)用程序的部署和采用非常容易。并且由于員工在各地工作,所以非常需要加強(qiáng)對(duì)特權(quán)訪(fǎng)問(wèn)的治理。
這一需求已經(jīng)存在了不少時(shí)間,而工作環(huán)境的變化進(jìn)一步加快了這一進(jìn)程。多年以來(lái),SaaS的應(yīng)用不斷取得進(jìn)展。如今,企業(yè)需要獲得個(gè)人帳戶(hù)、權(quán)限以及跨其SaaS資產(chǎn)特權(quán)活動(dòng)的統(tǒng)一可視性,來(lái)降低過(guò)度特權(quán)用戶(hù)訪(fǎng)問(wèn)帶來(lái)的風(fēng)險(xiǎn),并簡(jiǎn)化用戶(hù)訪(fǎng)問(wèn)應(yīng)用程序的審核。
三、通過(guò)SaaS進(jìn)行勒索的軟件
當(dāng)不法分子打算攻擊你的SaaS應(yīng)用程序時(shí),他們會(huì)使用更基本,更復(fù)雜的方法。正如Kevin Mitnick 在他的“勒索云”視頻中所說(shuō)的那樣, 通過(guò)SaaS應(yīng)用程序攻擊商業(yè)電子郵件帳戶(hù)的傳統(tǒng)路線(xiàn)遵循以下方式:
1. 網(wǎng)絡(luò)不法分子發(fā)送包含OAuth應(yīng)用程序的釣魚(yú)郵件
2. 用戶(hù)點(diǎn)擊該鏈接
3. 用戶(hù)登錄自己的帳戶(hù)
4. 應(yīng)用程序請(qǐng)求用戶(hù)允許訪(fǎng)問(wèn)閱讀電子郵件和其他功能
5. 用戶(hù)點(diǎn)擊“接受”
6. 這會(huì)創(chuàng)建一個(gè)OAuth令牌,直接發(fā)送給網(wǎng)絡(luò)不法分子。
7. OAuth令牌使網(wǎng)絡(luò)不法分子能夠控制基于云的電子郵件或驅(qū)動(dòng)器等。 (取決于所獲取權(quán)限的范圍)
8. 不法分子通過(guò) OAuth來(lái)訪(fǎng)問(wèn)電子郵件或者驅(qū)動(dòng)等,并將其加密。
9. 用戶(hù)再次登錄到他們的郵箱和驅(qū)動(dòng)時(shí),就會(huì)發(fā)現(xiàn)自己的信息已被加密。勒索軟件生效了。
10. 用戶(hù)收到勒索信息:他們的信息已被加密,必須通過(guò)付錢(qián)來(lái)恢復(fù)權(quán)限。
這是一種通過(guò)SaaS來(lái)進(jìn)行攻擊的特定類(lèi)型。然而,通過(guò) OAuth應(yīng)用程序的其他惡意攻擊也可能發(fā)生在企業(yè)環(huán)境中。
最后的想法
2021年,Gartner將該領(lǐng)域命名為“組成Gartner云安全技術(shù)成熟度模型的四項(xiàng)必備技術(shù)”之一。
通過(guò)?SaaS安全態(tài)勢(shì)管理(SSPM)平臺(tái),你能夠防止此類(lèi)攻擊,并且可以自動(dòng)執(zhí)行優(yōu)先級(jí)排序和修復(fù)過(guò)程,以解決任何配置錯(cuò)誤問(wèn)題。
點(diǎn)評(píng):
經(jīng)過(guò)多年來(lái)的發(fā)展,SaaS逐漸被運(yùn)用于各大企業(yè),不但降低了成本,也方便了軟件的維護(hù)。由于SaaS的數(shù)據(jù)和服務(wù)均部署在云端,所以用戶(hù)可以打破空間的限制,隨時(shí)隨地地通過(guò)瀏覽器來(lái)辦公。但這同時(shí)也帶來(lái)了更多的安全隱患。提高效率和便利的同時(shí),我們更要把安全放在首位,否則只會(huì)得不償失。
原文來(lái)源:數(shù)世咨詢(xún)