Into the Breach: afbreken van 3 SaaS-app-cyberaanvallen in 2022

Into the Breach: desglose de 3 ciberataques a aplicaciones SaaS en 2022 Nachrichten

In de laatste week van maart meldden drie grote technologiebedrijven – Microsoft, Okta en HubSpot – significante datalekken. DEV-0537, ook bekend als LAPSUS$, voerde de eerste twee uit. Deze zeer geavanceerde groep maakt met groot succes gebruik van de modernste aanvalsvectoren. Ondertussen werd de groep achter de HubSpot-inbreuk niet bekendgemaakt. Deze blog bespreekt de drie inbreuken op basis van openbaar gemaakte informatie en stelt best practices voor om het risico te minimaliseren dat dergelijke aanvallen op uw organisatie slagen.

HubSpot – Toegang voor werknemers

Op 21 maart 2022, HubSpot meldde de inbreuk dat gebeurde op 18 maart. Kwaadwillenden hebben een HubSpot-werknemersaccount gecompromitteerd dat de werknemer gebruikte voor klantenondersteuning. Hierdoor konden kwaadwillende actoren toegang krijgen tot contactgegevens en deze exporteren met behulp van de toegang van de werknemer tot verschillende HubSpot-accounts.

Met weinig informatie over deze inbreuk is verdedigen tegen een aanval een uitdaging, maar een sleutelconfiguratie binnen HubSpot kan helpen. Dit is het besturingselement “HubSpot Employee Access” (weergegeven in de onderstaande afbeelding) in de accountinstelling van HubSpot. Klanten dienen deze instelling te allen tijde uit te schakelen, tenzij ze specifieke hulp nodig hebben, en vervolgens onmiddellijk weer uit te zetten na het voltooien van het serviceverzoek.

Een vergelijkbare instelling verschijnt in andere SaaS-applicaties en zou daar ook moeten worden uitgeschakeld. De toegang van werknemers wordt doorgaans vastgelegd in auditlogboeken, die regelmatig moeten worden gecontroleerd.

Ontdek hoe een SSPM uw organisatie kan beschermen tegen verkeerde SaaS-configuraties

Okta – Gebrek aan apparaatbeveiliging voor bevoorrechte gebruiker

Okta besteedt een deel van zijn klantenondersteuning uit aan de Sitel Group. Op 21 januari ontving een Okta-beveiligingsteamlid een waarschuwing dat er een nieuwe MFA-factor was toegevoegd aan een Sitel Group-medewerkersaccount vanaf een nieuwe locatie.

Uit een onderzoek bleek dat de computer van een ondersteuningstechnicus van Sitel was gecompromitteerd met behulp van een remote desktop-protocol. Deze bekende kwetsbaarheid wordt normaal gesproken uitgeschakeld, behalve wanneer dit specifiek nodig is – wat de Okta-onderzoekers hielp het tijdsbestek voor de aanval te verkleinen tot een periode van vijf dagen tussen 16 en 21 januari 2022.

Vanwege de beperkte toegang die ondersteuningstechnici tot hun systeem hebben, was de impact op Okta-klanten minimaal. Ondersteuningstechnici hebben geen toegang om gebruikers te maken of te verwijderen of om klantendatabases te downloaden. Hun toegang tot klantgegevens is ook vrij beperkt.

Op 22 maart deelde DEV-0537, beter bekend als LAPSUS$, screenshots online. In reactie daarop, Okta een verklaring vrijgegeven zeggende: “er zijn geen corrigerende maatregelen die onze klanten hoeven te nemen.” De volgende dag het bedrijf deelde details van zijn onderzoekdie een gedetailleerde reactietijdlijn bevatte.

Hoewel deze inbreuk beperkt was in de schade die het veroorzaakte, biedt het drie belangrijke beveiligingslessen.

  1. Beveiliging van apparaat naar SaaS – het beveiligen van een SaaS-omgeving is niet voldoende als het gaat om bescherming tegen een inbreuk. Het beveiligen van de apparaten die worden gebruikt door zeer bevoorrechte gebruikers is van het grootste belang. Organisaties moeten hun lijst van gebruikers met hoge bevoegdheden bekijken en ervoor zorgen dat hun apparaten veilig zijn. Dit kan de schade van een inbreuk via de aanvalsvector waarmee Okta wordt geconfronteerd, beperken.
  2. MFA – Door de toevoeging van MFA kon Okta Security de inbreuk ontdekken. SSO gaat niet ver genoeg en organisaties die SaaS-beveiliging serieus nemen, moeten ook MFA-beveiligingsmaatregelen nemen.
  3. Gebeurtenisbewaking – De inbreuk op Okta werd ontdekt toen beveiligingspersoneel een onverwachte verandering in het logboek voor gebeurtenisbewaking zag. Het beoordelen van gebeurtenissen zoals wijzigingen in MFA, het opnieuw instellen van wachtwoorden, verdachte aanmeldingen en meer, zijn van cruciaal belang voor SaaS-beveiliging en moeten dagelijks worden uitgevoerd.

Zie je wel Cloudflare’s onderzoek naar het Okta-compromis van januari 2022 voor een goed voorbeeld van een reactie op een dergelijke inbreuk.

Ontdek hoe Adaptive Shield eindpunthoudingsbeheer en SaaS-configuratiecontrole biedt

Microsoft – MFA voor alle bevoorrechte gebruikers

Op 22 maart, Microsoft Security gedeelde informatie met betrekking tot een aanval die het heeft ondergaan door toedoen van DEV-0537. Microsoft had één account gecompromitteerd, wat ertoe leidde dat de broncode werd gestolen en gepubliceerd.

Microsoft verzekerde zijn gebruikers dat de LAPSUS$-aanval geen van hun informatie in gevaar bracht, en verklaarde verder dat er geen risico was voor hun producten vanwege de gestolen code.

Microsoft heeft niet specifiek gedeeld hoe de inbreuk werd uitgevoerd, hoewel het de lezers erop wees dat LAPSUS$ actief werknemers rekruteert bij telecom, grote softwareontwikkelaars, callcenters en andere industrieën om referenties te delen.

Het bedrijf bood deze suggesties ook aan om platforms tegen deze aanvallen te beveiligen.

  1. MFB-implementatie versterken – MFA-hiaten zijn een belangrijke aanvalsvector. Organisaties moeten MFA-opties vereisen, waarbij sms en e-mail zoveel mogelijk worden beperkt, zoals met Authenticator- of FIDO-tokens.
  2. Gezonde en vertrouwde eindpunten vereisen – Organisaties moeten de apparaatbeveiliging continu beoordelen. Zorg ervoor dat de apparaten die toegang hebben tot SaaS-platforms voldoen aan hun beveiligingsbeleid door veilige apparaatconfiguraties af te dwingen met een lage kwetsbaarheidsrisicoscore.
  3. Maak gebruik van moderne authenticatie-opties voor VPN’s – VPN-authenticatie moet gebruikmaken van moderne authenticatie-opties zoals OAuth of SAML.
  4. Versterk en bewaak uw cloudbeveiligingshouding – Organisaties moeten minimaal voorwaardelijke toegang instellen voor gebruikers en sessierisicoconfiguraties, MFA vereisen en aanmeldingen met een hoog risico blokkeren.

Zie voor een volledige lijst met aanbevelingen van Microsoft: deze Opmerking.

Laatste gedachten

Het beveiligen van SaaS-platforms is een grote uitdaging, en zoals deze week is gebleken, moeten zelfs internationale ondernemingen hun beveiliging op de voet volgen. Kwaadwillenden blijven zich ontwikkelen en verbeteren hun aanvalsmethoden, wat organisaties dwingt om op hun hoede te zijn en hun SaaS-beveiliging constant te prioriteren.

Sterke wachtwoorden en SSO-oplossingen zijn op zich niet meer voldoende. Bedrijven hebben geavanceerde beveiligingsmaatregelen nodig, zoals sterke MFA, IP-toelatingslijsten en het blokkeren van onnodige toegang tot ondersteuningstechnici. Een geautomatiseerde oplossing zoals SaaS Security Posture Management (SSPM) kan beveiligingsteams helpen deze problemen het hoofd te bieden.

Het belang van apparaatbeveiliging in SaaS is een ander voordeel van deze aanvallen. Zelfs een volledig beveiligd SaaS-platform kan worden gecompromitteerd wanneer een bevoorrechte gebruiker toegang krijgt tot een SaaS-app vanaf een gecompromitteerd apparaat. Maak gebruik van een beveiligingsoplossing die apparaatbeveiliging combineert met SaaS-beveiliging voor volledige, end-to-end bescherming.

De uitdaging om SaaS-oplossingen te beveiligen is complex en meer dan lastig om handmatig te voltooien. SSPM-oplossingen, zoals Adaptive Shield, kunnen bieden: geautomatiseerd SaaS-beveiligingshoudingsbeheer, met configuratiebeheer, eindpuntbeheer en toepassingsbeheer van derden.

Opmerking: dit artikel is geschreven en bijgedragen door Hananel Livneh, Senior Product Analyst bij Adaptive Shield.

David
Rate author
Hackarizona