3月下旬，微軟、Okta和HubSpot三大科技公司相繼報(bào)告發(fā)生了數(shù)據(jù)泄密事件。前兩起事件均出自DEV-0537(又叫LAPSUS$)之手，這個(gè)犯罪團(tuán)伙利用的攻擊技術(shù)并不復(fù)雜卻屢試不爽。

這些攻擊事件給人的一個(gè)啟示是，SaaS平臺(tái)的設(shè)備安全很重要。當(dāng)攻擊者通過(guò)特權(quán)賬戶從受攻擊的設(shè)備訪問(wèn)SaaS應(yīng)用軟件時(shí)，再安全的SaaS平臺(tái)也會(huì)受到攻擊。企業(yè)需要充分利用將設(shè)備安全態(tài)勢(shì)與SaaS安全相結(jié)合的解決方案，以實(shí)現(xiàn)全面的端到端保護(hù)。

此外，惡意分子不斷完善和改進(jìn)攻擊方法，迫使企業(yè)不斷留意SaaS安全，并確定優(yōu)先級(jí)。僅靠強(qiáng)密碼和SSO解決方案遠(yuǎn)遠(yuǎn)不夠，企業(yè)需要采取更多的安全措施，比如強(qiáng)MFA、IP地址允許列表以及阻止不必要的訪問(wèn)等，以確保企業(yè)網(wǎng)絡(luò)安全。

SaaS安全態(tài)勢(shì)管理(SSPM)等自動(dòng)化解決方案可以幫助安全團(tuán)隊(duì)?wèi)?yīng)對(duì)這些問(wèn)題。以下是根據(jù)公開(kāi)披露的信息對(duì)這三起泄密事件的復(fù)盤(pán)，并建議企業(yè)采取最佳實(shí)踐，以免受到此類(lèi)攻擊事件的影響。

微軟數(shù)據(jù)泄密事件：MFA有缺口

3月22日，微軟安全團(tuán)隊(duì)披露了DEV-0537對(duì)其發(fā)動(dòng)攻擊的信息。據(jù)稱是由于微軟的一個(gè)帳戶被盜，導(dǎo)致源代碼失竊和發(fā)布。微軟并未透露該起泄密事件是如何發(fā)生的，但確實(shí)提醒用戶犯罪團(tuán)伙L(fēng)APSUS$大肆招募電信、知名軟件開(kāi)發(fā)商、呼叫中心及其他行業(yè)的員工來(lái)分享登錄信息。

微軟提出以下建議，以保護(hù)用戶免受攻擊。

• 加強(qiáng)實(shí)施MFA(Multi-Factor Authentication，多因子驗(yàn)證，簡(jiǎn)稱“MFA”)——MFA缺口是攻擊者的一條關(guān)鍵攻擊途徑。企業(yè)應(yīng)設(shè)置MFA選項(xiàng)，并盡可能限制短信和電子郵件，比如使用Authenticator或FIDO令牌。
• 需要運(yùn)行良好且受信任的端點(diǎn)——企業(yè)應(yīng)持續(xù)評(píng)估設(shè)備安全性，通過(guò)配置安全設(shè)備，確保訪問(wèn)SaaS平臺(tái)的設(shè)備符合安全策略。
• 為VPN配置現(xiàn)代身份驗(yàn)證選項(xiàng)——VPN身份驗(yàn)證應(yīng)充分利用現(xiàn)代身份驗(yàn)證選項(xiàng)，如OAuth或SAML來(lái)確保安全。
• 加強(qiáng)和監(jiān)控企業(yè)的云安全態(tài)勢(shì)——企業(yè)起碼應(yīng)為用戶設(shè)置有條件的訪問(wèn)，要求其采用MFA，并阻止高風(fēng)險(xiǎn)用戶登錄。

Okta泄密事件：特權(quán)用戶缺乏設(shè)備安全性

Okta將其部分支持客戶的服務(wù)分包給了Sitel Group。1月21日，Okta安全團(tuán)隊(duì)成員收到警報(bào)，稱一個(gè)新的多因子驗(yàn)證已從新位置添加到了Sitel Group員工帳戶。

經(jīng)調(diào)查發(fā)現(xiàn)，有人使用遠(yuǎn)程桌面協(xié)議闖入了Sitel一名工程師的計(jì)算機(jī)。由于這名工程師對(duì)系統(tǒng)的訪問(wèn)權(quán)限有限，他無(wú)權(quán)創(chuàng)建或刪除用戶，也無(wú)權(quán)下載客戶數(shù)據(jù)庫(kù)，其對(duì)客戶數(shù)據(jù)的訪問(wèn)也非常有限，因此對(duì)Okta客戶造成的影響比較小。

盡管該起事件造成的破壞有限，但也給世人三個(gè)重要的安全教訓(xùn)。

• 確保從設(shè)備到SaaS的安全性——說(shuō)到防范泄密事件，為SaaS環(huán)境確保安全還不夠。確保高權(quán)限用戶使用的設(shè)備安全至關(guān)重要。企業(yè)應(yīng)審查高權(quán)限用戶名單，并確保其設(shè)備安全可靠。
• 實(shí)施MFA——單點(diǎn)登錄(Single Sign-On，簡(jiǎn)稱“SSO”)還遠(yuǎn)遠(yuǎn)不夠，重視SaaS安全的企業(yè)還必須添加MFA安全措施。此次事件就印證了這一點(diǎn)，MFA新的多因子驗(yàn)證的添加讓Okta安全團(tuán)隊(duì)得以發(fā)現(xiàn)這起事件。
• 事件監(jiān)控——檢查MFA更改、密碼重置、可疑登錄及更多事件對(duì)于確保SaaS安全至關(guān)重要，應(yīng)每天執(zhí)行此類(lèi)操作。在這起安全事件中，安全人員在事件監(jiān)控日志中發(fā)現(xiàn)異常變化后才發(fā)現(xiàn)了Okta漏洞。

HubSpot泄密事件：?jiǎn)T工信息被泄露

2022年3月21日，HubSpot報(bào)告了發(fā)生在3月18日的泄密事件。惡意分子竊取了HubSpot一名員工用于支持客戶的帳戶信息，進(jìn)而訪問(wèn)了HubSpot的多個(gè)權(quán)限帳戶，并導(dǎo)出聯(lián)系人數(shù)據(jù)。

此前對(duì)有關(guān)事件的信息披露很少，因此對(duì)這類(lèi)攻擊的防范頗具挑戰(zhàn)性。不過(guò)HubSpot中的一項(xiàng)關(guān)鍵配置——HubSpot帳戶設(shè)置中的“HubSpot Employee Access”控制(如圖1所示)可以為其提供幫助。

客戶應(yīng)始終禁用該設(shè)置，即便是他們需要特定幫助，也應(yīng)該在完成服務(wù)呼叫后立即將其關(guān)閉。如果類(lèi)似的設(shè)置出現(xiàn)在其他SaaS應(yīng)用軟件中，同樣應(yīng)予以禁用。此外，員工訪問(wèn)通常記錄在審核日志(Audit Logs)中，應(yīng)定期檢查該日志。

參考鏈接：

??https://thehackernews.com/2022/04/into-breach-breaking-down-3-saas-app.html。??