A bérelhető felhő alkalmazások (Software-as-a-Service – SaaS) számos kockázatot rejtenek magukban többek között a konfigurációs lehetőségek széles skálája miatt. A hibás konfigurációk „csendes gyilkosok”, amelyek komoly sebezhetőségekhez vezetnek.
A legfőbb kérdés az, hogy melyekre kell először összpontosítaniuk a biztonsági csapatoknak?
A TheHackerNews cikke az 5 fő SaaS konfigurációs hibát mutatja be.
- A HelpDesk adminok túl magas szintű jogosultsága
- Miben rejlik a kockázat? Azáltal, hogy a Help desk team hozzáférhet az érzékeny fiókkezelési funkciókhoz, a támadások elsődleges célpontjává válhat. A támadók például rávehetik a help desket, hogy állítsa alaphelyzetbe az MFA-t, kiemelt jogosultságokkal rendelkező felhasználók számára, akik ezáltal jogosulatlan hozzáférést szerezhetnek akár kritikus rendszerekhez.
- Mi a hatása? A feltört help desk fiókokat jogosulatlanul módosíthatják admin szinten, így a támadók hozzáférhetnek a kritikus adatokhoz és üzleti rendszerekhez.
- Mit lehet tenni? Legyen korlátozva az alapvető felhasználókezelési feladatokra a help desk jogosultság valamint az admin szintű beállítások módosításai.
- Ilyen konfigurációs hibát használtak ki például az MGM Resort-ot ért kibertámadás során 2023 szeptemberében.
2. Az MFA nincs beállítva minden super admin számára
- Miben rejlik a kockázat? Az MFA-val nem rendelkező super admin fiókok szintén kiemelt célpontjai a támadásoknak. Amennyiben a fiók nem rendelkezik MFA- val, a támadók könnyen kihasználhatják a gyenge vagy ellopott hitelesítő adatokat, hogy feltörjék azt.
- Mi a hatása? A támadók teljes irányítást szerezhetnek a szervezet teljes SaaS környezete felett, ami potenciális adatsértéshez vezethet, valamint komoly üzleti és reputációs károkat okozhat.
- Mit lehet tenni? Ki kell kényszeríteni az MFA-t minden aktív super admin fiók számára. A többfaktoros authentikációval nagyobb védelem érhető el.
3. A korábbi hitelesítést nem blokkolja a Conditional Access
- Miben rejlik a kockázat? A régebbi protokollokat, mint például a POP, az IMAP és az SMTP továbbra is gyakran használják Microsoft 365 környezetekben, de ezek még nem támogatják az MFA-t. Ezek az elavult protokollok jelentős sebezhetőséget okoznak, valamint a Conditional Access kikényszerítése nélkül a támadók megkerülhetik a biztonsági intézkedéseket, és behatolhatnak bizalmas rendszerekbe.
- Mi a hatása? Ezek az elavult protokollok sebezhetőbbé teszik a fiókokat a hitelesítő adatokon alapuló támadásoknál, például a brute force vagy az adathalász támadásokkal szemben, ami megkönnyíti a támadók dolgát.
- Mit lehet tenni? Legyen engedélyezve a Conditional Access a régi hitelesítés blokkolásához és a modern, biztonságosabb hitelesítési módszerek érvényesítéséhez.
4. A super adminok száma nincs az ajánlott tartományban
- Miben rejlik a kockázat? A super adminok kezelik a kritikus rendszerbeállításokat, és általában korlátlan hozzáféréssel rendelkeznek a különböző munkaterületekhez. Ha nem optimális a super adminok létszáma (túl sok vagy épp túl kevés) akkor az növeli a rendszerek működésének biztonsági kockázatát.
- Mi a hatása? A kritikus rendszerbeállításokhoz való korlátlan hozzáférésnek végzetes következményei lehetnek, hiszen a biztonsági konfigurációk feletti ellenőrzés elvesztését eredményezheti, ami miatt sérül a rendszer biztonsága.
- Mit lehet tenni? A CISA SCuBA ajánlásainak megfelelően a biztonság és a folytonosság biztosításának érdekében 2 – 4 super admin fiók javasolt, (kivéve a “break-glass” account-okat).
5. Google Groups (Join / View / Post) View beállításai
- Miben rejlik a kockázat? A rosszul konfigurált Google Group beállítások a Google Workspace szolgáltatáson keresztül megosztott bizalmas adatokat felfedhetik az illetéktelen felhasználók számára. Ezzel nő a biztonság kockázata, hiszen egy legitim felhasználó szándékosan vagy akaratlanul is kiszivárogtathatja vagy visszaélhet az információkkal.
- Mi a hatása? A bizalmas információkhoz, például a jogi dokumentumokhoz a szervezet tagjai mellett külső felek is hozzáférhetnek, ami növeli a visszaélés és az adatszivárgás kockázatát.
- Mit lehet tenni? Csak az arra jogosult felhasználók számára legyen látható és hozzáférhető a tartalom.
A valós idejű monitorozás, a megfelelőség nyomon követése és az auditálás biztosítja, hogy a szervezet SaaS környezete biztonságos maradjon és megfelelő legyen.
