3 月的最後一周,三大科技公司—微軟、Okta 和 HubSpot— 先後公告資料外洩事件。DEV-0537,也稱為 LAPSUS$是微軟、Okta外洩事件的肇事者。LAPSUS$採用先進的技法得以成功攻擊。目前尚未得知誰是HubSpot的外洩事件的攻擊者。本文由目前公布的公開資料深度檢視這三起外洩攻擊事件,從而了解如何降低此類攻擊風險。
HubSpot - 員工存取權限
2022 年 3 月 21 日,HubSpot 公告3 月 18 日發生的攻擊行為。攻擊者拿到員工的客服身份憑證,藉由該憑證竊取了多個HubSpot 帳戶資訊。
由於有關這次攻擊行動的訊息很少,但可以從HubSpot 組態看出一些端倪,在帳戶設定時允許HubSpot員工的存取權限。使用者應該關閉此項設定。有需求時再行開啟,完成後立即關閉該設定。
須注意的是類似的設定也常見於其他 SaaS APP中。企業組織應該定期檢視員工存取日誌。
Okta - 特權用戶的設備安全
Okta外包部分的客戶服務給 Sitel公司。1 月 21 日,Okta收到警報,發現一名Sitel公司工程師的電腦透過遠端桌面連線遭LAPSUS$攻陷。由於該名工程師的存取權限不高,無法刪除或下載資料庫。這次的攻擊影響範圍非常小。
儘管此漏洞造成的損害有限,但它提供了三個重要的安全教訓。
- 從設備到 SaaS的安全 —
從保護資料的角度來說,僅僅保護SaaS環境是不夠的。特權用戶使用的電腦設備如果沒有確保安全性,資料也可能隨時外洩。
- 多因子身分認證 (MFA) —
採用MFA讓 Okta 安全部門能夠發現資料外洩。重視 SaaS 安全的單位必須採用更高等級的身分認證措施。
- 事件監控—
當資安人員發現不尋常的日誌紀錄時,如MFA因子更改、密碼重置、未知位址登入等,都應立即採取行動。且每天都應該檢視。
Microsoft - 所有特權用戶的多因子身份認證
3 月 22 日,微軟公布一個帳戶遭LAPSUS$盜取,導致原始碼遭竊並被公布。微軟保證此次原始碼遭竊不會讓產品面臨任何風險。
微軟沒有分享此項攻擊的細節,但是這次事件讓大家了解LAPSUS$透由招募電信業、軟體開發商、電訪服務中心或其他產業的員工來獲取憑證,也就是攻擊入口。
事後微軟提供以下安全建議:
- 強化實施MFA —
MFA 漏洞是關鍵的攻擊媒介。企業組織應限制SMS 和電子郵件的身分認證因子,多多使用 Authenticator 或 FIDO Token.
- 建置健康且受信任的端點—
組織應持續評估設備安全性。採用具有低漏洞風險評分的安全設備配置,確保訪問 SaaS 平台的設備符合安全規則。
- 為VPN採用現代身份驗證選項 —
VPN 身份驗證應利用現代身份驗證選項,例如 OAuth 或 SAML。
- 加強和監控雲端安全狀況 —
企業組織為用戶設定存取條件及分散風險組態、採用MFA並阻止高風險登錄。
總結
保護 SaaS 平台是一項重大挑戰。正如這些事件一樣,即使是全球大型企業也需要時時保持其安全性。惡意網路攻擊者不斷發展和改進他們的技法,這迫使組織不斷關注並優先考慮他們的 SaaS 安全。
僅靠強密碼和單一登入(SSO) 已經不夠了。企業組織需要先進的安全措施,例如強大的 MFA、IP 允許列表以及阻止不必要的工程師存取。設備安全的重要性是SaaS攻擊的另一個要點。當特權用戶從受感染的設備存取 SaaS 應用程序時,即使是完全安全的 SaaS 平台也可能遭到破壞。建議組織單位利用將設備安全狀態與 SaaS 安全狀態相結合的安全解決方案,實現全面的端到端保護。
手動保護 SaaS 的挑戰是複雜的,而且完成的難度很大。採用SaaS 安全自動管理的解決方案可以幫助安全團隊提高效率。
本文轉載翻譯自The Hacker News。