In der letzten Märzwoche haben drei große Technologieunternehmen – Microsoft, Okta und HubSpot – wichtige Wissenslücken gemeldet. DEV-0537, auch LAPSUS$ genannt, führte die ersten beiden aus. Diese äußerst subtile Gruppe nutzt hochmoderne Angriffsvektoren mit schönem Erfolg. In der Zwischenzeit wurde die Gruppe hinter der HubSpot-Verletzung nicht bekannt gegeben. Dieses Weblog bewertet die drei Verstöße hauptsächlich auf der Grundlage öffentlich bekannt gegebener Daten und empfiehlt die besten Praktiken, um die Gefahr solcher Angriffe auf Ihre Gruppe zu mindern.
HubSpot – Worker-Eintrag
Am 21. März 2022, HubSpot hat den Verstoß gemeldet Dies geschah am 18. März. Böswillige Akteure kompromittierten ein HubSpot-Arbeiterkonto, das der Arbeiter für Käuferhilfe verwendete. Dies gab böswilligen Akteuren die Möglichkeit, Kontaktinformationen unter Verwendung des Eintrags des Mitarbeiters in eine Reihe von HubSpot-Konten einzugeben und zu exportieren.
Mit wenigen Daten zu diesem Verstoß ist es schwierig, sich gegen einen Angriff zu verteidigen, aber eine Schlüsselkonfiguration in HubSpot kann hilfreich sein. Das ist die „HubSpot Worker Entry“-Verwaltung (siehe unten) in der Kontoeinstellung von HubSpot. Interessenten sollten diese Einstellung immer deaktivieren, es sei denn, sie benötigen besondere Hilfe, und schalten Sie sie dann sofort aus, nachdem Sie den Dienstnamen eingegeben haben.
Dieselbe Einstellung erscheint in verschiedenen SaaS-Zwecken und sollte dort ebenso effektiv deaktiviert werden. Der Eintrag von Arbeitern wird normalerweise in Überwachungsprotokollen aufgezeichnet, die regelmäßig überprüft werden sollten.
Erfahren Sie, wie ein SSPM Ihr Unternehmen vor SaaS-Fehlkonfigurationen schützen kann
Okta – Mangelnde Gerätesicherheit für privilegierte Personen
Okta vergibt einen Teil seiner Käuferhilfe an die Sitel Group. Am 21. Januar erhielt ein Mitglied der Okta-Sicherheitsgruppe eine Benachrichtigung, {dass ein} neues MFA-Problem von einem brandneuen Standort zu einem Mitarbeiterkonto der Sitel-Gruppe hinzugefügt wurde.
Eine Untersuchung ergab, dass der PC eines Sitel-Supporttechnikers über ein Remote-Desktop-Protokoll kompromittiert wurde. Diese identifizierte Schwachstelle wird oft deaktiviert, außer wenn es besonders erwünscht ist – was den Ermittlern von Okta geholfen hat, den Zeitrahmen für den Angriff auf ein Zeitfenster von fünf Tagen zwischen dem 16. und 21. Januar 2022 zu verkürzen.
Aufgrund der eingeschränkten Zugangshilfe für Ingenieure zu ihrem System waren die Auswirkungen auf Okta-Interessenten minimal. Help Engineers haben keine Berechtigung zum Erstellen oder Löschen von Kunden oder zum Abrufen von Käuferdatenbanken. Ihr Zugang zum Käuferwissen ist ebenso effektiv eingeschränkt.
Am 22. März hat DEV-0537, besser bekannt als LAPSUS$, Online-Screenshots geteilt. Als Antwort Okta eine Erklärung veröffentlicht sagen: „Es gibt keine Korrekturmaßnahmen, die unsere potenziellen Kunden ergreifen müssen.“ Am nächsten Tag das Unternehmen teilte Details seiner Untersuchung mitdie einen ausführlichen Antwortzeitplan enthielt.
Während dieser Verstoß auf die von ihm verursachte Verletzung beschränkt war, weist er drei notwendige Sicherheitsklassen auf.
- Sicherheit von Gadget bis SaaS – Die Sicherung einer SaaS-Umgebung reicht im Falle der Abwehr eines Angriffs nicht aus. Die Sicherung der von äußerst privilegierten Kunden genutzten Einheiten ist von größter Bedeutung. Organisationen sollten ihre Liste von hochprivilegierten Kunden überprüfen und sicherstellen, dass ihre Einheiten sicher sind. Dies könnte die Verletzung eines Angriffs durch den Angriffsvektor, mit dem Okta konfrontiert war, einschränken.
- MFA – Es war die Hinzufügung von MFA, die es Okta Safety ermöglichte, die Lücke zu finden. SSO geht nicht weit genug, und Organisationen, die die SaaS-Sicherheit kritisch sehen, sollten zusätzlich MFA-Sicherheitsmaßnahmen einführen.
- Anlassüberwachung – Die Okta-Verletzung wurde gefunden, als das Sicherheitspersonal eine plötzliche Änderung im Ereignisüberwachungsprotokoll bemerkte. Die Überprüfung von Fällen, die an MFA-Änderungen, Passwortzurücksetzungen, verdächtige Anmeldungen und mehr erinnern, ist für die SaaS-Sicherheit von entscheidender Bedeutung und sollte täglich durchgeführt werden.
Sehen Cloudflares Untersuchung des Okta-Kompromisses vom Januar 2022 beispielsweise einer Reaktion auf einen solchen Verstoß.
Microsoft – MFA für alle privilegierten Kunden
Am 22. März, Microsoft Safety geteilte Informationen unter Bezugnahme auf einen Angriff, den es durch die Hände von DEV-0537 erlitten hat. Bei Microsoft wurde ein einzelnes Konto kompromittiert, was dazu führte, dass Liefercode gestohlen und offengelegt wurde.
Microsoft versicherte seinen Kunden, dass der LAPSUS$-Angriff keine ihrer Daten kompromittiert habe, und sagte außerdem, dass aufgrund des gestohlenen Codes keine Bedrohung für ihre Waren bestehe.
Microsoft teilte nicht besonders mit, wie der Verstoß durchgeführt wurde, obwohl es die Leser darauf aufmerksam machte, dass LAPSUS$ aktiv Mitarbeiter bei Telekommunikationsunternehmen, den wichtigsten Softwareherstellern, Namenseinrichtungen und verschiedenen Branchen rekrutiert, um Anmeldeinformationen auszutauschen.
Das Unternehmen lieferte auch diese Strategien zur Sicherung von Plattformen gegen diese Angriffe.
- Stärkung der MFA-Implementierung – MFA-Lücken sind ein wichtiger Angriffsvektor. Unternehmen sollten MFA-Optionen verlangen und SMS und E-Mail so weit wie möglich einschränken, ähnlich wie bei Authenticator- oder FIDO-Token.
- Erfordern Sie gesunde und vertrauenswürdige Endpunkte – Unternehmen sollten die Sicherheit von Geräten ständig überprüfen. Stellen Sie sicher, dass die Einheiten, die auf SaaS-Plattformen zugreifen, sich an ihre Sicherheitsversicherungsrichtlinien anpassen, indem sie sichere Gadget-Konfigurationen mit einer niedrigen Schwachstellen-Bedrohungsbewertung implementieren.
- Nutzen Sie trendige Authentifizierungsoptionen für VPNs – Die VPN-Authentifizierung sollte trendige Authentifizierungsoptionen nutzen, die an OAuth oder SAML erinnern.
- Stärken und überwachen Sie Ihre Cloud-Sicherheitshaltung – Organisationen sollten zumindest bedingten Zugang für Kunden und Sitzungsbedrohungskonfigurationen festlegen, MFA verlangen und übermäßige Bedrohungsanmeldungen blockieren.
Eine vollständige Checkliste der Vorschläge von Microsoft finden Sie unter diese Notiz.
Ultimative Ideen
Die Sicherung von SaaS-Plattformen ist ein ernstes Problem, und wie diese Woche zu sehen war, wollen selbst Weltunternehmen ihre Sicherheit auf höchstem Niveau halten. Böswillige Akteure entwickeln und verbessern ihre Angriffsstrategien weiter, was Unternehmen dazu zwingt, aufmerksam zu sein und ihre SaaS-Sicherheit konsequent zu priorisieren.
Robuste Passwörter und SSO-Optionen alleine reichen nun nicht mehr aus. Unternehmen wollen überlegene Sicherheitsmaßnahmen, die an robuste MFA, IP-Genehmigungslisten erinnern und den sinnlosen Zugang von Help Engineers blockieren. Eine automatische Lösung wie SaaS Safety Posture Administration (SSPM) kann Sicherheitsgruppen dabei helfen, diese Punkte im Auge zu behalten.
Die Bedeutung der Gadget-Sicherheit in SaaS ist eine weitere Erkenntnis aus diesen Angriffen. Selbst eine vollständig gesicherte SaaS-Plattform wird kompromittiert, wenn ein privilegierter Verbraucher von einem kompromittierten Gadget aus auf eine SaaS-App zugreift. Nutzen Sie eine Sicherheitslösung, die die Gadget-Sicherheitshaltung mit der SaaS-Sicherheitshaltung für vollständige End-to-End-Sicherheit kombiniert.
Das Problem der Sicherung von SaaS-Optionen ist fortgeschritten und es ist nicht mehr mühsam, es manuell zu erledigen. SSPM-Optionen wie Adaptive Defend können vorhanden sein automatisiertes SaaS-Sicherheitsstatusmanagement mit Konfigurationssteuerung, Endpunktstatusmanagement und Anwendungssteuerung von Drittanbietern.
Achtung – Dieser Text wurde geschrieben und beigesteuert von Hananel Livneh, Senior Product Analyst bei Adaptive Defend.