Napadi zasnovani na identitetu su u porastu. Napadači ciljaju identitete koristeći kompromitovane krendcijale, otete metode autentifikacije i iskorištsvanje privilegije. Dok se mnogi alati za otkrivanje prijetnji fokusiraju na cloud-e, endpoints i mrežne prijetnje, zanemaruju jedinstvene rizike koje predstavlja SaaS identitetski ekosistem. Ova slaba tačka izaziva haos u organizacijama koje se u velikoj mjeri oslanjaju na SaaS, bez obzira na njihovu veličinu.
Pitanje je: šta timovi za sigurnost mogu učiniti povodom toga?
Bez brige, jer je tu otkrivanje i odgovor na prijetnje identiteta(Identity Threat Detection and Response – ITDR) da spasi situaciju. Ključno je imati vidljivost i mehanizme odgovora kako bi se napadi zaustavili prije nego što postanu ozbiljni sigurnosni incidenti.
Evo vrhunske postave koju svaki tim treba da zaustavi SaaS prijetnje identiteta.
1. Potpuna pokrivenost: Pokrijte svaki ugao
Kao Kapetanov štit, ova odbrana treba da pokrije svaki ugao. Tradicionalni alati za otkrivanje prijetnji poput XDR i EDR ne pokrivaju SaaS aplikacije, ostavljajući organizacije ranjivima. Pokrivenost ITDR-a treba da uključuje:
- ITDR bi trebalo da se proširi izvan tradicionalne sigurnosti cloud, mreža, IoT i endpoints, uključujući SaaS aplikacije kao što su Microsoft 365, Salesforce, Jira i Github.
- Besprekornu integraciju sa IdP-ovima poput Okta, Azure AD i Google Workspace kako bi se osiguralo da nijedan prijava ne promakne.
- Duboko forenzičko istraživanje događaja i zapisnika radi detaljnog izvještaja i istorijske analize svih incidenata povezanih sa identitetom.
2. Fokus na identitet: Niko ne smije promaći
Poput Spajdermenove mreže koja uhvati neprijatelje prije napada, nijedna sumnjiva aktivnost ne smije proći nezapaženo. Ako su sigurnosni događaji prikazani samo hronološki, abnormalna aktivnost jednog identiteta može ostati neprimećena. ITDR mora detektovati i povezati prijetnje u hronološkom okviru zasnovanom na identitetu.
Šta znači “fokus na identitet” u ITDR-u:
- Možete vidjeti potpunu priču o napadu jednog identiteta u cjelokupnom SaaS okruženju, mapirajući bočna kretanja od infiltracije do eksfiltracije.
- Događaji autentifikacije, promjene privilegija i anomalije u pristupu strukturisani su u lance napada.
- Analitika ponašanja korisnika i entiteta (UEBA) koristi se za identifikaciju odstupanja od normalnih aktivnosti identiteta, čime se izbjegava ručno pretraživanje događaja.
- Kontinuirano praćenje ljudskih i neljudskih identiteta, kao što su servisni nalozi, API ključevi i OAuth tokeni, sa označavanjem abnormalne aktivnosti.
- Otkrivanje neuobičajenih eskalacija privilegija ili pokušaja bočnog kretanja unutar SaaS okruženja radi brze istrage i odgovora.
3. Obavještajna prijetnja: Otkrivanje neotkrivenog
Poput Profesora X-a sa Cerebrom, potpuni ITDR treba da otkrije i ono što je neotkriveno. Inteligencija prijetnji u ITDR-u treba da obuhvati:
- Klasifikaciju bilo koje aktivnosti na mračnom webu radi lakše istrage.
- Geolokaciju IP adresa i privatnost IP-a (VPN-ovi) za dodatni kontekst.
- Obogaćivanje otkrivanja prijetnji indikatorima kompromitacije (IoC) kao što su kompromitovani kredencijale, maliciozne IP adrese i drugi sumnjivi markeri.
- Mapiranje faza napada koristeći okvire kao što je MITRE ATT&CK za prepoznavanje kompromitacije identiteta i bočnih kretanja.
4. Prioritizacija: Fokus na stvarne prijetnje
Umor od upozorenja je stvaran. Kao Daredevil koji filtrira preopterećenje buke, ITDR prioritizacija mora da smanji lažne alarme i istakne ključne rizike. SaaS ITDR prioritizacija treba da obuhvati:
- Dinamičko ocenjivanje rizika u realnom vremenu kako bi se smanjili lažni pozitivni rezultati i istakle najkritičnije prijetnje.
- Kompletan vremenski okvir incidenta koji povezuje događaje identiteta u koherentnu priču o napadu, pretvarajući raštrkane signale u kvalitetna, upotrebljiva upozorenja.
- Jasno kontekstualizovanje upozorenja sa pogođenim identitetima, ugroženim aplikacijama, fazom napada prema MITRE ATT&CK okviru i ključnim detaljima događaja poput neuspjelih prijava i eskalacije privilegija.
5. Integracije: Budite nepobjedivi
Kao što Avengersi kombinuju svoje moći, efektivan SaaS ITDR treba da ima integracije za automatizovane radne tokove, povećavajući efikasnost tima i smanjujući opterećenje. ITDR integracije treba da uključuju:
- SIEM i SOAR za automatizovane radne procese.
- Vodiče za ublažavanje u koracima i politike za svaku aplikaciju i svaku fazu MITRE ATT&CK okvira.
6. Posture management: Iskoristite dinamični duo (bonus savjet!)
Kao dinamični duo Crna Udovica i Hawkeye, sveobuhvatni ITDR se oslanja na SaaS Security Posture Management (SSPM) za minimiziranje površine napada. SSPM treba da obuhvati:
- Duboku vidljivost u sve SaaS aplikacije, uključujući Shadow IT, integracije aplikacija, korisničke dozvole i nivoe pristupa.
- Otkrivanje nepravilnosti i odstupanja od politike, u skladu sa SCuBA okvirom od strane CISA, kako bi se identifikovale nepravilno konfigurisane politike autentifikacije.
- Otkrivanje uspavanih i napuštenih naloga kako bi se identifikovali rizici povezani sa neaktivnim ili neiskorišćenim nalozima.
- Praćenje događaja tokom životnog ciklusa korisnika radi sprečavanja neovlašćenog pristupa.
Sa velikom moći dolazi i velika odgovornost
Ova lista ključnih stavki u potpunosti oprema organizacije za suočavanje sa bilo kojom prijetnjom zasnovanom na identitetu u SaaS okruženju. Ne nose svi heroji plašt… neki jednostavno imaju nezaustavljiv ITDR.
Izvor:The Hacker News