3月下旬,微软、Okta、HubSpot三大科技公司相继报告数据泄露事件。前两起事件均由DEV-0537(也称为LAPSUS$)实施,该犯罪集团使用简单的攻击技术,但经过反复试验。这些攻击的一个启示是,SaaS平台的设备安全非常重要。当攻击者通过特权帐户从受感染的设备访问SaaS应用软件时,即使是最安全的SaaS平台也会受到攻击。企业需要充分利用将设备安全态势与SaaS安全相结合的解决方案,以实现全面的端到端保护。此外,恶意行为者不断提炼和改进他们的攻击方法,迫使企业不断关注SaaS安全并确定优先级。仅靠强密码和SSO解决方案是不够的。企业需要采取更多的安全措施,例如强大的MFA、IP地址允许列表、阻止不必要的访问等,以确保企业网络的安全。SaaS安全态势管理(SSPM)等自动化解决方案可以帮助安全团队处理这些问题。以下是根据公开披露的信息对这三起泄密事件进行回顾,并为企业推荐避免受到此类攻击影响的最佳做法。微软数据泄露:MFA存在漏洞3月22日,微软安全团队披露了DEV-0537攻击它的信息。源代码被盗并发布,据称是由于微软的帐户被盗。微软没有透露泄漏是如何发生的,但确实提醒用户,犯罪团伙LAPSUS$从电信、知名软件开发商、呼叫中心等行业招募员工共享登录信息。Microsoft提出以下建议来保护用户免受攻击。加强MFA(Multi-FactorAuthentication,多因素认证,简称“MFA”)的实施——MFA缺口是攻击者的关键攻击路径。企业应设置MFA选项并尽可能限制短信和电子邮件,例如使用Authenticator或FIDO令牌。需要运行良好且可信的端点——企业应持续评估设备安全并配置安全设备,以确保访问SaaS平台的设备符合安全策略。为VPN配置现代身份验证选项-VPN身份验证应利用OAuth或SAML等现代身份验证选项来确保安全。加强和监控您组织的云安全状况——至少,组织应该为用户设置条件访问,要求MFA,并防止高风险用户登录。为SitelGroup提供客户支持服务。1月21日,Okta安全团队成员收到警报,新的多因素身份验证已从新位置添加到SitelGroup员工帐户。一项调查显示,有人使用远程桌面协议侵入了Sitel一名工程师的计算机。由于该工程师对系统的访问权限有限,没有创建或删除用户的权限,也没有下载客户数据库的权限,对客户数据的访问权限非常有限,所以对Okta客户的影响比较小.虽然此次事件造成的损失有限,但也给世人上了三堂重要的安全课。从设备到SaaS的安全——在防止违规方面,保护您的SaaS环境是不够的。保护特权用户使用的设备至关重要。组织应审查高特权用户列表,并确保他们的设备安全可靠。实施MFA—单点登录(简称SSO)是不够的。重视SaaS安全的企业也必须加入MFA安全措施。这个事件就是例证,MFA新的多因素身份验证的加入让Okta安全团队发现了这个事件。事件监控-检查MFA更改、密码重置、可疑登录和更多事件对于确保SaaS安全至关重要,应每天进行。在此次安全事件中,安全人员在发现事件监控日志异常变化后,发现了Okta漏洞。HubSpot漏洞:员工信息泄露2022年3月21日,HubSpot报告了3月18日发生的漏洞。恶意行为者窃取了用于支持客户的HubSpot员工的帐户信息,然后访问了HubSpot的多个特权帐户并导出了联系人数据.之前关于该事件的信息很少被披露,这使得防御这些类型的攻击具有挑战性。但是HubSpot中的一个关键配置——HubSpot帐户设置中的“HubSpot员工访问”控件(如图1所示)可以提供帮助。客户应始终禁用此设置,即使他们需要特定帮助,并在完成服务呼叫后立即将其关闭。如果类似的设置出现在其他SaaS应用程序中,也应该禁用它们。此外,员工访问通常记录在审计日志中,应定期检查。参考链接:https://thehackernews.com/2022/04/into-breach-breaking-down-3-saas-app.html。
