去年 Toyota 遭受了數據洩露,因為意外暴露了允許訪問公共 GitHub 存儲庫中的客戶數據的憑據。
如果組織將重點放在可訪問的憑據上,則可以避免這種類型的洩露在 SaaS 應用程序中公開。我們採訪了 SaaS 安全平台 DoControl 的產品總監 Corey O’Connor,了解他為何認為身份安全需要不僅僅是保護密鑰。
BN:組織如何更加關注在 SaaS 應用程序中公開的憑據?
CO:特權憑證的使用在幾乎所有網絡攻擊中都很常見.這很好理解。但是,保護有權訪問它們的憑據和身份是一項持續的挑戰,尤其是在當今數字化轉型計劃和雲之旅的現實中。人類和非人類訪問公司數據的威脅成為一個大規模的挑戰。您有更多的系統和應用程序可以通過許多不同的身份訪問,包括內部和外部身份,以及非人類身份,即應用程序到應用程序的集成。數據的生成和交換量非常大。這增加了組織的攻擊面和數據洩露的可能性。如果不能有效導航,安全性將成為一個障礙,會給企業帶來不必要的技術債務。
有許多例子介紹了機器或非人類身份來幫助實現業務(即服務帳戶或軟件機器人與機器人過程自動化技術)。組織需要更加關注非人類用戶訪問。這些身份及其相關憑據經常被安全團隊忽視,並且可能成為攻擊者獲得初始立足點的有吸引力的目標。例如,OAuth 協議為一個應用程序連接到另一個應用程序提供了一種便捷的方式,但是當這種訪問受到損害時,它可以提供對其連接的應用程序內敏感數據的未授權訪問。涉及 OAuth 令牌和其他非人類身份憑證的基於供應鏈的攻擊風險正變得司空見慣。
BN:為什麼我們看到與特權憑證和 SaaS 相關的內部疏忽風險上升應用程序?
CO:增長與最初幫助塑造混合和遠程工作環境新常態的因素有關。為了支持業務,混合了不同的設備和應用程序供用戶完成工作。您在個人設備上安裝了與工作相關的應用程序,反之亦然。然後,您可以訪問文件並將其共享到私人電子郵件帳戶。在大流行初期,採用新的軟件即服務 (SaaS) 和其他雲技術來支持業務的人數激增。 CIO 們希望推動業務發展,而不是放慢速度。重大的 SaaS 應用程序和數據蔓延是負面結果之一。
從人類用戶的角度來看,在典型的 SaaS 環境中存在數據管理和過度暴露問題——具有數百個不同的應用程序,數千個內部和外部用戶,以及數以萬計的文件。人為錯誤仍然非常普遍,對每個組織都構成挑戰。需要檢測蓄意惡意或純粹疏忽的內部風險行為,需要提醒正確的角色,並需要應用適當的響應(即與他們的私人電子郵件帳戶共享客戶列表的離職員工)。
從非人類用戶的角度來看,SaaS 資產中已批准和未批准的應用程序都有所增加。其中一些應用程序通常具有高風險權限範圍的特權,它們可能未經發布者驗證(即通過供應商市場),而且許多應用程序未經 IT/安全團隊內部批准。同樣的方法需要應用於非人為訪問,您可以在其中識別惡意行為,例如表明基於供應鏈的攻擊的活動。檢測與應用程序相關的高風險活動,例如過多的寫入 API 調用、執行大量更新或應用程序服務器具有已知的惡意 IP 地址。應通知 IT/安全團隊並採取適當的措施來刪除 OAuth 令牌、暫停應用程序等。其中許多步驟需要自動化,以保持業務連續性和強大的安全態勢。
BN:隨著越來越多的組織採用雲優先戰略,他們如何才能最好地確保這些“王國的鑰匙”不被錯誤處理?
CO:知道誰有權訪問什麼是什麼這里至關重要。同樣,這既適用於人類用戶,也適用於機器身份。創建用戶、應用程序、資產、域、組等的完整清單——並通過通信跟踪、映射和關係圖了解業務環境是必不可少的。業務環境對於不拖慢業務速度至關重要,安全團隊需要能夠了解什麼是正常做法,什麼是給業務帶來重大風險的事件。否則,您最終會出現大量誤報,使安全團隊遠離識別和響應事件和威脅。對人類和非人類用戶實施最小特權原則是為追求雲優先戰略的組織提供強大安全態勢的一種方式。
BN:組織如何擺脫安全的心態是事後才想到的,尤其是當用戶繼續共享憑據而使數據容易落入壞人之手時?
CO:需要對特權憑據進行更嚴格的控制,無論是對人還是人和非人類用戶。例如,開發人員和管理員通過 Slack 共享 pem 文件、AWS 密鑰和其他憑證是很常見的。通過 Slack 渠道無限期公開這些憑據顯然是有問題的。需要以一種從安全角度來看有意義的方式來平衡支持業務。隨著業務的增長和擴展,這可能是一個挑戰,這就是自動化發揮關鍵作用的原因。安全需要成為業務推動因素。
BN:您可以提供哪些建議來降低風險並調整安全態勢以確保密鑰不會被錯誤處理?
CO:專注於三件具體的事情:發現、監控和修復。
發現所有連接到核心 SaaS 堆棧的 SaaS 應用程序。確定整個 SaaS 應用程序資產的不合規問題,以確保有效執行安全策略。公開完整的 SaaS 到 SaaS 應用程序映射和第一方、第二方和第三方應用程序的綜合清單(即安裝的用戶、驅動器訪問、驅動器範圍的權限等)。深入了解 SaaS 資產中暴露的風險最高的 SaaS 平台、應用程序和用戶。通過與業務用戶一起審查應用程序,啟用影子 IT 以監視和控制 SaaS 環境。為每個應用程序分配一個風險指數,以啟用對 SaaS 資產的評估和評估。創建預批准政策和工作流程,要求最終用戶提供業務理由以載入新應用程序。隔離可疑的應用程序,減少過多的權限,並撤銷或刪除應用程序或訪問權限。這樣用戶就可以在不引入不必要風險的情況下提高工作效率。在某些情況下需要自動進行補救。例如在 SaaS 應用程序堆棧中強制實施安全策略,以防止未經批准或高風險的應用程序使用,並補救這些應用程序可能暴露的潛在風險(即無效令牌、廣泛或未使用的權限、列出與未列出的應用程序等)。實施自動化安全工作流將減少與應用程序到應用程序互連相關的風險暴露(即自動暫停或刪除潛在的惡意應用程序)。
圖片來源: Alexander Supertramp/Shutterstock