自從美國NIST於2016年發布網路安全框架(CSF) 1.1版以來,軟體即服務(SaaS)生態系統在這六年間已經爆炸性成長。回溯到2016-2017年,當1.1版本推出時,SaaS在軟體市場僅佔有一小部分。
現今疫情引發的遠距工作模式使得SaaS已成為企業採購和使用軟體的主要方式。而NIST最新發布的CSF2.0版本似乎也將SaaS安全性納入考量。
相關文章:NIST發布網路安全框架2.0版 著眼資安治理
在2.0版本中,NIST的觀點與SaaS安全需求不謀而合。新增的「治理(Govern)」面向點出 SaaS相關的多元性、錯誤配置管理、外部使用者、風險管理和安全態勢等問題。
SaaS安全需要結合兩種類型的監控:透過SaaS安全態勢管理(SSPM)平臺來防範以及記錄監控和異常偵測來檢測威脅。而CSF2.0版本將敦促組織同時確保預防和偵測這兩項。
對照SaaS入侵事件與NIST規範
Proofpoint的雲端安全應變小組近期發現一起針對Microsoft Azure環境的持續網路攻擊活動,以竊取雲端帳號。這些攻擊已危害數百個使用者帳號,包括一些高階主管。一旦取得這些帳號的存取權限,駭客就能存取機密企業資訊、允許款項轉帳到自己帳戶,以及存取關鍵系統做為未來攻擊的跳板。
另一起近期SaaS入侵事件中,駭客入侵了一家美國電信業者的人力資源軟體,導致逾63,000名員工的資料外洩。這起入侵的其一因素是該公司的SaaS人力資源權限結構的複雜性。人力資源系統通常有複雜的安全群組、網域、組織和角色等混合方式賦予權限,管理者很少能真正掌握每個使用者的完整權限。
專家表示,如果有遵循NIST的標準,這類入侵事件應可避免。持續發生的Microsoft Azure攻擊初始手法是釣魚攻擊,讓駭客取得存取應用程式的權限,但只要要求使用多因子身分驗證 (MFA),應當能阻絕駭客的存取。且偵測功能將應用程式內的異常狀況通知安全團隊。
NIST將異常情況、入侵跡象和其他可疑事件列為「不良事件分析(Adverse Event Analysis)」,要求安全團隊進行分析,並建議從多個來源整合資訊。
有效的SaaS威脅偵測將會掃描整個SaaS堆疊的記錄檔。當攻擊者使用受害者的憑證登入SaaS應用程式時,會留下充分的資訊線索讓身分威脅偵測與應變(ITDR)工具判斷為異常。
例如,如果使用不同的作業系統、瀏覽器版本或位置登入,部署中的威脅偵測工具應該能偵測出這個異常並將之視為入侵跡證(IoC)。如果出現多個IoC,就應該觸發警報,進而暫時停用該帳號的存取權。
套用NIST標準也可以保護受害的電信業者。「防護」功能著重於限制僅有授權使用者可存取,因此組織必須對每個員工授予的存取權有清楚掌握。當駭客取得該電信公司人力資源系統的存取權後,可能會因受侵入的帳號權限管理不佳而取得更大權限範圍。
SSPM和ITDR實現SaaS安全
幾乎在每個關鍵領域, SSPM和ITDR實現SaaS安全性都可與NIST標準一致。新增的「治理」面向著重於監控,包括監督、溝通和了解網路安全角色。
這些功能都是任何現代SSPM不可或缺的關鍵組成部分。
「識別(Identify )」功能專注於了解目前對資產和使用者的網路安全風險,可透過健全的資產和使用者清冊來涵蓋。「識別」還包括從中央位置管理使用者、識別所有非人力帳號及其權限,以及監控每個資源的權限。
「防護(Protect )」功能要求組織設定管理實務、產生記錄資料並管理存取權。實務上,這意味著驗證使用者和服務、根據最少權限原則透過角色為基礎的存取控制來控制存取權,以及限制外部使用者的存取權。
監控存取應用程式的裝置,以及偵測整合的第三方應用程式,對此功能至關重要。
「偵測( Detect)」、「應變(Respond)」和「復原(Recover)」等功能則著重於威脅偵測,除了掃描記錄尋找異常外,還包括監控、發現事件時採取行動,以及帳號遭入侵後恢復SaaS應用程式的正常運作。
使用具備ITDR功能的SSPM平台來保護SaaS應用程式,是確保SaaS安全防護、並與最新NIST架構建議保持一致的最有效方式。
本文轉載自bleepingcomputer。