Търсене
Close this search box.

Човешка срещу нечовешка идентичност при SaaS

В днешната бързо развиваща се среда на SaaS фокусът е върху потребителите. Това е една от най-компрометираните области в управлението на сигурността на SaaS и изисква стриктно управление на ролите и разрешенията на потребителите, наблюдение на привилегированите потребители, нивото на тяхната активност (неактивни, активни, хиперактивни), вида им (вътрешни/външни), дали са присъединяващи се, преместващи се или напускащи и др.

Не е изненадващо, че усилията в областта на сигурността са насочени главно към човека. Опциите за конфигуриране включват инструменти като MFA и SSO за удостоверяване на човека. Контролът на достъпа, базиран на роли (RBAC), ограничава нивото на достъп; насоките за сложност на паролите блокират достъпа на неоторизирани хора до приложението.

И все пак в света на SaaS не липсва достъп, предоставен на нечовешки участници, или с други думи, на свързани приложения на трети страни.

Акаунти за услуги, OAuth оторизации и API ключове са само някои от нечовешките идентичности, които изискват достъп до SaaS. Когато се разглеждат през призмата на приложението, нечовешките акаунти са подобни на човешките акаунти. Те трябва да бъдат автентифицирани, да им бъде предоставен набор от разрешения и да бъдат наблюдавани. Тъй като обаче те не са човешки, значително по-малко внимание се отделя на гарантирането на сигурността.

Примери за нечовешки достъп

Интеграциите вероятно са най-лесният начин да се разбере нечовешкият достъп до приложение SaaS. Calendly е приложение, което елиминира обратните имейли за уговаряне на срещи, като показва наличността на потребителя. То се интегрира с календара на потребителя, чете календара, за да определи наличността, и автоматично добавя срещи. Когато се интегрира с Google Workspace чрез оторизация OAuth, то изисква обхвати, които му позволяват да вижда, редактира, споделя и изтрива календари на Google, наред с други обхвати. Интеграцията се инициира от човек, но Calendly не е човек.

Други нечовешки акаунти включват споделяне на данни между две или повече приложения. SwiftPOS е приложение и устройство за точки на продажба (POS) за барове, ресторанти и обекти за търговия на дребно. Данните, уловени от POS, се прехвърлят към платформа за бизнес разузнаване, като Microsoft Power BI, където се обработват и анализират. Данните се прехвърлят от SwiftPOS към Power BI чрез нечовешки акаунт.

Предизвикателство при осигуряването на нечовешки акаунти

Управлението и осигуряването на нечовешки акаунти не е толкова просто, колкото изглежда. Като начало, всяко приложение има свой собствен подход за управление на тези видове потребителски акаунти. Някои приложения, например, прекъсват интеграцията на OAuth, когато потребителят, който я е разрешил, бъде изключен от приложението, докато други поддържат връзката.

Приложенията SaaS също прилагат различни подходи за управление на тези акаунти. Някои включват нечовешките акаунти в своя потребителски списък, докато други съхраняват и показват данните в различен раздел на приложението, което ги прави лесни за пренебрегване.

Човешките акаунти могат да бъдат удостоверявани чрез MFA или SSO. За разлика от тях нечовешките акаунти се удостоверяват еднократно и се забравят, освен ако не възникне проблем с интеграцията. Човешките акаунти имат и типични модели на поведение, като например влизане в приложенията в работно време. Нечовешките акаунти често осъществяват достъп до приложенията извън пиковите часове, за да намалят трафика и натоварването на мрежата. Когато човек влезе в своята SaaS в 3 часа сутринта, това може да предизвика разследване; когато нечовек влезе в мрежата в 3 часа сутринта, това е просто обичайната работа.

В стремежа си да опростят управлението на нечовешки акаунти много организации използват един и същ API ключ за всички интеграции. За да улеснят това, те предоставят широки набори от разрешения на API ключа, за да покрият всички потенциални нужди на организацията. В други случаи разработчикът използва свой собствен API ключ с високи права, за да предостави достъп на нечовешкия акаунт, позволявайки му да има достъп до всичко в приложението. Тези API ключове функционират като пропуски за пълен достъп, използвани от множество интеграции, което ги прави изключително трудни за контролиране.

Рискът, който нечовешките акаунти добавят към стека на SaaS

Нечовешките акаунти в голяма степен не се наблюдават и имат широк обхват на разрешенията. Това ги прави привлекателна цел за заплахи. Компрометирайки някой от тези акаунти,  заплахите могат да влязат незабелязано в приложението, което води до пробиви, неразрешени модификации или прекъсване на услугата.

Предприемане на стъпки за защита на нечовешки акаунти

Използвайки платформа за управление на сигурността (SaaS Security Posture Management – SSPM) в комбинация с решения за откриване и реагиране на заплахи, свързани с идентичността (Identity Threat Detection & Response – ITDR), организациите могат ефективно да управляват своите нечовешки акаунти и да откриват, когато те се държат необичайно.

Нечовешките акаунти се нуждаят от същата видимост от страна на екипите по сигурността като човешките акаунти и трябва да се управляват в същия потребителски списък като човешките си колеги. Чрез унифициране на управлението на идентичността е много по-лесно да се преглеждат достъпът и разрешенията и да се актуализират акаунтите, независимо кой е техният собственик. Това също така гарантира единен подход към управлението на акаунтите. Организационните политики, като например забраната за споделяне на акаунти, трябва да се прилагат повсеместно. Акаунтите, които не са човешки, трябва да бъдат ограничени до определени IP адреси, които са предварително одобрени в списък с разрешения, и не трябва да получават достъп чрез стандартните екрани за вход (вход в потребителския интерфейс). Освен това разрешенията следва да бъдат съобразени с техните специфични нужди като приложения, а не да бъдат широкообхватни или да съответстват на човешките им аналози.

ITDR също играе важна роля. Нечовешките акаунти могат да имат достъп до приложенията SaaS по всяко време на денонощието, но обикновено са доста последователни във взаимодействията си. ITDR може да открие аномалии в поведението, независимо дали става въпрос за промени в графика, вида на данните, които се добавят към приложението, или дейностите, които се извършват от нечовешкия акаунт.

Видимостта, осигурена от SSPM за акаунтите и ITDR за поведението на нечовешките идентичности, е от съществено значение за управлението на рисковете и идентифицирането на заплахите. Това е съществена дейност за поддържане на сигурни SaaS приложения.

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
Бъдете социални
Още по темата
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!