3月下旬,三家大型技术企业微软、Okta和HubSpot(HubSpot)连续暴露数据。 前两次袭击是由DEV-0537(又称LAPSUS$)引发的,DEV-0537(又称LAPSUS$)是一个犯罪小组,不精通使用攻击战术,但经常试图这样做。
这些攻击的发现之一是:SaaS平台设备的安全至关重要。当攻击者利用特许账户从受攻击的设备中调阅SaaS申请时,他们不得使用。一个更安全的SaaS平台也将成为目标。公司必须充分利用将设备安全态势与SaaS安全相结合的解决办法。建立完整的端对端安全。
此外,恶意分子不断完善和改进其攻击战略。这是一家公司第一次被迫监督SaaS的安全。并确定优先级。有强大的密码 和SSO解决方案是不够的。企业需要采取更多的安全措施。例如,一个强有力的外交部外务省、一个允许的知识产权地址清单,以及禁止无谓的准入。保护公司网络的安全
自动解决方案,如SaaS安全态势管理(SPM),可协助安全小组处理这些关切,下面根据公开公布的信息以及企业防止受类似攻击伤害的最佳做法,分析三个泄漏情况。
微软数据破损:外交部外务省缺陷
3月22日,微软保安队透露了DEV-0537黑客的详情据说微软的一个账户被盗。它导致源代码的盗窃和分配。Microsoft没有披露泄漏的来源。另一方面,有人提醒用户犯罪组织LAPSUS美元,广泛招聘了电信、知名软件开发商、联络点和其他行业人员,以交换登录信息。
为了保护用户免受威胁,微软公司建议以下建议。
这是政府第一次尝试执行外交部外务省,但失败了。多因子验证,“MFA”——外交部的缺口是攻击者攻击的关键攻击矢量。公司应配置外交部的备选办法。此外,尽可能尽量减少短信和电子邮件。例如,您可以使用验证人或FIDO奖牌。
需要一个运作良好、可信赖的终点 -- -- 本组织应定期检查设备的安全情况,核实在SaaS平台上访问的设备是否通过部署安全设备符合安全计划。
为VPN设置当代认证选项--为保障安全,VPN认证应充分利用现代认证方法,如OAuth或SAML。
改善和监测公司的云层安全态势--至少,该组织应当为使用者设定有条件的使用权,迫使他们使用外交部外交部,并禁止高风险用户登录。
Okta漏漏:特权用户的设备缺乏安全性
Okta将其部分客户支助服务分包给Sitel Group。 1月21日,Okta安保小组成员得到警告,Sitel Group雇员账户从一个新地点增加了新的多要素验证。
经调查发现,使用远程桌面协议访问Sitel的工程师电脑。工程师不得进入该系统,因为他进入该系统受到限制。他无权增加或删除用户。我无权下载客户数据库它还极难获得客户数据。因此,对Okta客户的影响微乎其微。
尽管这一悲剧造成了非常轻微的伤害,但它确实给全球带来了三个重要的安全教训。
在防止泄漏方面,确保SaaS环境从设备到SaaS的安全是不够的,还必须确保高端用户所使用的设备的安全,企业应审查其高端用户名单,并确保其设备的安全和可靠性。
MFA - 单信号( 单点登录)"SSO"是不足的。重视 " 叙利亚安全 " 的企业也必须执行外交部的安全措施。这一事件为这项索赔提供了后盾。Okta的安保小组发现了这个问题,因为纳入了新的外交部外务省多要素验证。
事件监测 -- -- 每日检查外交部的修改、密码替换、可疑登录和其他事件对确保SaaS安全至关重要,在这次安全事件中,安全雇员在发现事件监测日志发生意外变化后才发现Okta违规事件。
HUBSpot的雇员信息已经曝光。
2022年3月18日,HUBSpot披露了一个泄漏情况。 恶意组成部分从一个HUBSpot工作人员那里获取了账户细节,为客户服务,然后进入HUBSpot的各种权利账户并输出联系数据。
在此之前,关于该事件的信息很少公开。因此,很难防范这种攻击。但是,一个关键的哈布斯布特配置,即哈布斯布特账户设置中的“HubSpot雇员准入”控制(如图1所示),也许能够帮助他们。
图1
客户应始终停止配置。即使他们需要专门援助,服务电话一打完就应关闭。如果其他SaaS应用程序出现类似配置,可以创建一个新的配置。同样应予以禁用。此外,审计日志(审计日志)经常用于记录工作人员访问情况。应定期检查该日志。
参考链接:
https://thehackernews.com/2022/04/into-breach-breaking-down-3-saas-app.html