Nedavna kršenja podataka u CircleCI, Okta i LastPass-u naglašavaju zajedničku temu: poslovni SaaS stekovi povezani s ovim vodećim aplikacijama u industriji mogu biti izloženi ozbiljnom riziku od kompromisa.
CircleCI, na primjer, igra integralnu, SaaS-to-SaaS ulogu za razvoj SaaS aplikacija. Slično, desetine hiljada organizacija oslanjaju se na Okta i LastPass sigurnosne uloge za upravljanje SaaS identitetom i pristupom. Poslovne i nišne SaaS aplikacije su efikasno uvele mnoštvo nenadgledanih krajnjih tačaka u organizacije svih veličina.
Iako je potrošnja za SaaS bezbjednost u trendu porasta, ona zaostaje za kategorijama kao što su zaštita infrastrukture Cloud-a i bezbjednost mreže. Prema Statisti, prosječna organizacija zapošljava 100+ SaaS aplikacija, od kojih mnoge nisu odobrene od strane IT-a, stvarajući očigledan jaz u SaaS bezbjednosti.
Zašto korisnici hrle na SaaS aplikacije i često zaobilaze IT u procesu?
Kako su alati za produktivnost za zadatke kao što su automatizacija marketinga, potpisi dokumenata i predviđanje prodaje prešli sa instaliranog softvera na SaaS, tako su se promijenila i ponašanja krajnjih korisnika. Zaposlenici pronalaze SaaS rešenja koja im pomažu da postignu više za manje vremena, posebno uz sve veću decentralizaciju IT funkcije.
Zaposleni će uvijek tražiti načine da povećaju svoju produktivnost pomoću alata po svom izboru. Ovo ponašanje nije ništa novo niti samo po sebi maliciozno, ali predstavlja značajne sigurnosne rizike. U eri instaliranog softvera, organizacije su dodale sigurnost krajnjih tačaka na radne mašine i uređaje kako bi osigurale da njihovi zaposleni ne mogu preuzeti štetan softver ili postati žrtva napada zasnovanih na malicioznom softveru. Ovaj pristup ostaje ključni aspekt ukupne sigurnosti krajnjih tačaka, ali ne odražava evoluciju načina na koji ljudi sada rade: izvan djelokruga korporativnih mreža, a često i na ličnim uređajima.
Umjesto da se obrate odeljenju za bezbjednosti ili IT-u kako bi razumjeli pravila za ugradnju novih SaaS rešenja i suočavanje s vjerovatnoćom birokratije, kašnjenja ili odbijanja njihovih zahtjeva, oni vade kreditnu karticu ili se odluče za 30 dnevnu besplatnu probnu verziju SaaS aplikacija. Radnici rijetko uzimaju u obzir sigurnosne implikacije IT-a u sjeni koje su uveli u ekosistem jer ovlašćuju povezivanje svojih novih aplikacija sa poslovnim SaaS sistemima kao što su Microsoft 365, Salesforce, Workday ili ServiceNow.
Ove veze, zajedno sa naslijeđenim postavkama dozvola korisnika, mogle bi dodirnuti najosjetljivije podatke organizacije, bez mogućnosti praćenja ili kontrole ovog rizika na površini od napada. I to se dešava svaki dan.
Kako SaaS aplikacije nasljeđuju dozvole putem OAuth tokena?
U mnogim organizacijama, SaaS aplikacij, i SaaS-to-SaaS veze, kapitalizuju OAuth pristupne tokene kako na mjestu inicijalne veze tako i tokom njihovog životnog ciklusa. Proces obično slijedi ove korake:
- Korisnik je autentifikovan u poslovnoj SaaS aplikaciji, bilo putem jednostavne provjere autentičnosti ili provjere Zero-Trust autentičnosti. Sada su u SaaS Cloud-u.
- Taj korisnik želi uštediti vrijeme prebacujući se između svog alata za upravljanje projektima i dokumenata, proračunskih tablica i email-a. Shodno tome, oni traže načine da pojednostave svoj rad. Ta pretraga vodi do popularnog SaaS dodatka za upravljanje projektima, možda uz besplatnu probnu verziju, a korisnik odlučuje da ga isproba.
- Korisnik započinje instalaciju i klikne na “Da” na upit za autorizovanje pristupa za čitanje i pisanje podataka na glavnoj SaaS platformi kao što je uredski paket produktivnosti i podaci povezani s njim. Ne postoje nivoi različitih prava dozvola koje korisnik može izabrati.
- OAuth token kreira kancelarijski paket produktivnosti. Ovaj token omogućava aplikaciji za upravljanje projektima i uredskom paketu produktivnosti da održavaju komunikaciju Cloud-Cloud zasnovanu na API-u bez potrebe da se korisnik redovno prijavljuje i autentifikuje.
Od ovog trenutka nadalje, aplikacija za upravljanje projektima je kontinuisano povezana nakon početne jake autentifikacije. CASB-ovi i SWG-ovi neće otkriti ovu SaaS-to-SaaS povezanost.
Ovi tokeni aplikacije su vrijedni jer aplikaciju za upravljanje projektima čine lako dostupnom za korisnika. Nažalost, oni su jednako, ako ne i više, vrijedni za napadače koji traže lako iskoristivu ulaznu tačku u poslovni SaaS sistem.
Doseg i rizik SaaS aplikacije i SaaS-to-SaaS veze
Ako hakeri mogu uspješno oteti OAuth tokene, mogu dobiti ulazak u CRM-ove, repo kodova i još mnogo toga. Jedna kompromitovana SaaS-to-SaaS veza može pružiti važeći, ovlašteni API pristup u mnoštvo različitih proizvodnih SaaS okruženja i podataka.
Sigurnosni i IT timovi su preopterećeni praćenjem i održavanjem konfiguracijskih postavki i rasta njihovih poslovnih SaaS platformi, a kamoli neovlaštenih SaaS aplikacija. Bez ikakvog sigurnosnog pregleda, SaaS-to-SaaS veze stvaraju potencijalno ranjive krajnje tačke.
Prevalencija ovih SaaS-to-SaaS veza je značajna i IT organizacije je često potcjenjuju. Prema provajderu SaaS sigurnosti AppOmni:
- Prosječna organizacija i kompanija ima više od 42 različite SaaS-to-SaaS aplikacije povezane sa živim SaaS okruženjima unutar kompanije. Gotovo 50% ovih aplikacija su direktno povezivali krajnji korisnici, a ne IT timovi.
- Otprilike polovina od ove 42 povezane aplikacije nije korištena u posljednjih šest mjeseci. Bez obzira da li su aktivne ili neaktivne, povezane SaaS-to-SaaS aplikacije zadržavaju svoja prava pristupa podacima.
- Mnoge od ovih organizacija dostigle su ukupno skoro 900 veza između korisnika i aplikacije.
Kao što ovo istraživanje pokazuje, broj “ovlaštenih” aplikacija u kontaktu s potencijalno osjetljivim podacima nemoguće je procijeniti i pratiti bez odgovarajućih SaaS sigurnosnih alata.
Praktični koraci za nadgledanje i osiguranje SaaS veza
Većini sigurnosnih timova nedostaje odgovarajući alat za uvid u SaaS povezanost i povezane aktivnosti korisnika. SaaS Security Posture Management (SSPM) rešenja rešavaju ove probleme donoseći vidljivost i kontrolu nad SaaS posjedom.
Sigurnosni ili IT stručnjak može, na primjer, koristiti SSPM da otkrije sve što radi u Salesforce-u, zajedno sa SaaS aplikacijama koje su povezane s njim. Isto vrijedi i za brojne druge SaaS aplikacije koje koristi organizacija.
Ova dodatna vidljivost i kontrola u tekućem praćenju SaaS aplikacija i SaaS-to-SaaS veza smanjuje rizik površine napada i omogućava proaktivnu kontrolu sigurnosti. Ako se otkrije ranjivost, tim za sigurnost može poduzeti mjere, kao što je preciziranje nedozvoljenih, nesigurnih i SaaS aplikacija koje imaju prekomjernu dozvolu.
Zahvaljujući mogućnostima kontinuiranog praćenja SSPM rešenja, tim za sigurnost je u mogućnosti da odredi osnovnu liniju SaaS aktivnosti koju će koristiti kao referentni okvir za vrijeme u tački. Iako se potencijal kršenja vezanog za SaaS nikada ne može u potpunosti eliminisati, korištenje SSPM-a značajno smanjuje taj rizik.
Izvor: The Hacker News