突破：2022年破解3起SaaS应用程序网络攻击

在3月的最后一周，三家主要科技公司——微软、Okta和HubSpot——报告了重大数据泄露事件。DEV-0537，也称为LAPSUS$，执行了前两项任务。这个高度复杂的团队利用最先进的攻击载体取得了巨大成功。与此同时，HubSpot漏洞背后的组织并未披露。本博客将根据公开披露的信息审查这三个违规行为，并建议最佳做法，以最大限度地降低此类攻击成功针对贵组织的风险。

HubSpot-员工访问

2022年3月21日，HubSpot报告了发生在3月18日的违规行为。恶意参与者侵入了该员工用于客户支持的HubSpot员工帐户。这使得恶意参与者能够通过员工访问多个HubSpot帐户来访问和导出联系人数据。

由于几乎没有关于此漏洞的信息，防御攻击是一项挑战，但HubSpot中的关键配置可以有所帮助。这是HubSpot帐户设置中的“HubSpot员工访问”控件（如下图所示）。客户应始终禁用此设置，除非他们需要特定帮助，然后在完成服务呼叫后立即将其关闭。

其他SaaS应用程序中也会出现类似的设置，因此也应该禁用。员工访问权限通常记录在审计日志中，应定期审查。

了解SSPM如何帮助保护您的组织免受SaaS错误配置的影响

Okta-特权用户缺乏设备安全性

Okta将其部分客户支持分包给Sitel集团。1月21日，Okta安全团队的一名成员收到一个警报，称Sitel Group的一个员工帐户从一个新位置添加了一个新的MFA因子。

一项调查显示，Sitel支持工程师的计算机使用远程桌面协议遭到破坏。这种已知的漏洞通常被禁用，除非特别需要；这有助于Okta调查人员将袭击时间缩短到2022年1月16日至21日之间的五天。

由于支持工程师对其系统的访问有限，对Okta客户的影响微乎其微。支持工程师无权创建或删除用户或下载客户数据库。他们对客户数据的访问也相当有限。

3月22日，DEV-0537（通常称为LAPSUS$）在网上分享了截图。作为回应，Okta发布了一份声明称，“我们的客户不需要采取任何纠正措施。”第二天，该公司分享了调查的细节，其中包括详细的回应时间表。

虽然这一漏洞造成的损害有限，但它提供了三个重要的安全教训。

1. 从设备到SaaS的安全性– 保护SaaS环境不受破坏是不够的。保护高权限用户使用的设备的安全至关重要。组织应该审查他们的高权限用户名单，并确保他们的设备是安全的。这可以通过Okta的攻击向量来限制破口的损坏。
2. 外交部– 正是MFA的加入让Okta security发现了漏洞。SSO还远远不够，认真对待SaaS安全的组织还必须包括MFA安全措施。
3. 事件监视– 当安全人员在事件监控日志中看到意外变化时，Okta漏洞被发现。审查MFA更改、密码重置、可疑登录等事件对SaaS安全至关重要，应该每天进行。

Microsoft-适用于所有特权用户的MFA

3月22日，微软安全部门分享了与它在DEV-0537手中遭受的攻击有关的信息。微软有一个账户被泄露，导致源代码被盗并被发布。

微软向其用户保证，LAPSUS$攻击不会泄露他们的任何信息，并进一步表示，他们的任何产品都不会因为被盗代码而面临风险。

微软没有具体说明违规行为是如何实施的，不过它提醒读者，LAPSUS$积极招募电信、主要软件开发人员、呼叫中心和其他行业的员工，以共享证书。

该公司还提供了这些建议，以保护平台免受这些攻击。

1. 加强MFA的实施MFA间隙是一个关键的攻击向量。组织应该要求MFA选项，尽可能限制短信和电子邮件，例如使用验证器或FIDO令牌。
2. 需要健康可靠的端点-组织应持续评估设备安全性。确保访问SaaS平台的设备符合其安全策略，方法是以较低的漏洞风险分数强制执行安全设备配置。
3. 利用VPN的现代身份验证选项-VPN身份验证应该利用现代身份验证选项，如OAuth或SAML。
4. 加强并监控您的云安全态势-组织至少应该为用户设置条件访问和会话风险配置，要求MFA，并阻止高风险登录。

最后的想法

确保SaaS平台的安全是一项重大挑战，正如本周所见，即使是全球企业也需要掌握其安全性。恶意参与者继续发展和改进他们的攻击方法，这迫使组织保持警惕，并不断优先考虑他们的SaaS安全。

强大的密码和SSO解决方案本身已经不够了。公司需要先进的安全措施，如强大的MFA、IP允许列表，以及阻止不必要的支持工程师访问。像SaaS安全态势管理（SSPM）这样的自动化解决方案可以帮助安全团队掌握这些问题。

SaaS中设备安全的重要性是这些攻击的另一个好处。当特权用户从受损设备访问SaaS应用程序时，即使是完全安全的SaaS平台也可能受损。利用将设备安全态势与SaaS安全态势相结合的安全解决方案，实现全面的端到端保护。

确保SaaS解决方案的安全性是一项复杂的挑战，手工完成这项任务不仅繁重。SSPM解决方案，如Adaptive Shield，可以提供自动化的SaaS安全态势管理，包括配置控制、端点态势管理和第三方应用程序控制。