Търсене
Close this search box.

Рискове, свързани с OAuth: Как да ги идентифицирате, изследвате и ограничавате?

Вече сме твърде добре запознати с вездесъщия бутон „Влез в Google“, който срещаме навсякъде в интернет. За повечето от нас той се е превърнал в „лесен бутон“ за управление на многобройните акаунти, които сме създали. Зад този бутон се крие грант OAuth – токенизиран механизъм за предоставяне на достъп на всеки инструмент на трета страна до информация, съхранявана в нашия акаунт в Google.

Макар че това значително улеснява дигиталния ни живот, за екипите по сигурността е огромно главоболие да наблюдават и разплитат мащабни инциденти. Първо, откъде знаете, че услугата на третата страна трябва да бъде надеждна? Не е лесно да се отговори на този въпрос.

Откъде знаете, че служителите ви правят добър избор, когато щракат по тези екрани? Изобщо не е лесно!

‍Добра практика е да се установи рутинна процедура за програмен преглед на нови и съществуващи грантове за OAuth, за да се уловят рискови дейности или прекалено разрешаващи обхвати.

Ето пет ключови прозрения за рисковете, свързани с OAuth, които трябва да оцените, когато проучвате грант за OAuth, и къде можете да намерите необходимата информация.‍

1. Обхват и разрешения на OAuth
Обхватът на безвъзмездните средства OAuth може да предостави ясни показатели за потенциалния риск, който дадено безвъзмездно средство може да представлява за вашата организация. Определени обхвати могат да предоставят на  заплахите важен достъп до вашата среда, поради което е особено важно да се разследват и наблюдават грантове с разрешаващи обхвати.

Например руският престъпен конгломерат Midnight Blizzard е злоупотребил с грантове OAuth на Microsoft, за да получи пълен достъп до пощенските кутии Office 365 Exchange Online на служители на Microsoft.

За да откриете обхватите, свързани с конкретно приложение, можете да получите достъп до екрана за съгласие OAuth на всяко приложение, за да прегледате поисканите от него обхвати, или можете да проверите логовете за достъп до API за използването на обхвати.

Като отправна точка за разбиране на това дали някои обхвати могат да бъдат причина за безпокойство или да предоставят достъп, който може да бъде използван, можете да ги съпоставите със списъци на обхватите, които Google счита за чувствителни или ограничени. Имайте предвид, че макар да можете да ограничите достъпа до грантове с тези обхвати в панела за администриране, Google не определя лесно кои приложения попадат в тази категория извън тези списъци.

Освен това се появяват нови решения за сигурност на SaaS, които могат да улеснят този процес, като откриват непрекъснато всички приложения и грантове OAuth и разкриват потенциални рискове.

2. Данни за регистрация на приложението

Регистрационните данни, като идентификатор на клиента, URL адрес на отговора, име на издателя и имейл адрес на издателя, могат да ви помогнат да откриете признаци, че дадено приложение е потенциално злонамерено или дори просто лошо конфигурирано. Например приложение, публикувано с личен имейл адрес или група в Google, може да представлява риск за сигурността на вашата организация, дори ако иначе приложението изглежда легитимно.

Регистрационните данни могат също така да разкрият индикатори, че създателят на приложението се опитва да маскира злонамерено приложение като надеждно, например като използва „лееееки думи“, за да накара URL адреса да изглежда като познато легитимно приложение на пръв поглед.

За да оцените напълно регистрационната информация на дадено приложение, трябва да потърсите няколко източника. Например можете да извършите WHOIS проверка на URL адреса на отговора, да съпоставите имейл домейните на издателя с официалните фирмени домейни и да използвате източници като Have I Been Pwned, за да определите дали имейл адресът може да е бил компрометиран.

Не забравяйте да вземете предвид възрастта, репутацията и индикаторите за заплаха на домейна, които могат да предоставят доказателства за предишни злоупотреби или да разкрият, че домейнът е създаден наскоро.

3. Сигнали за доверие на доставчика

Някои показатели за репутацията могат да ви помогнат да определите дали доставчикът на приложения е легитимен. Например Google или Microsoft разполагат с методи за проверка на самоличността на издателите на приложения. Въпреки че това може да послужи като индикатор за доверие, важно е да се вземат предвид и други фактори, като се има предвид, че при предишни атаки  заплахите са се възползвали от проверените статуси.

За допълнителен контекст трябва да оцените и програмата за сигурност на доставчика на приложения.

За да намерите тази информация сами, започнете с проверка дали приложението е включено в официални пазари като Google Workspace Marketplace или Microsoft Azure Marketplace. Тези списъци също така ще ви покажат дали дадено приложение е било проверено от издателя на приложението. След това разгледайте страницата за сигурност на доставчика, сертификатите за сигурност, програмата за сигурност и историята на нарушенията за допълнителен контекст.

4. Популярност на приложението

Популярността може да предостави друг потенциален индикатор за доверие. Ако дадено приложение има милиони потребители или дори само съществуваща опора във вашата компания, това може да ви помогне да подсилите доверието си в приложението.

За да оцените популярността на дадено приложение, можете да проверите сайтовете за ревюта за информация за приемането му извън вашата организация. Можете също така да проверите данните за използването в собствената си организация, като проверите таблата за управление на облачни услуги, като Google Admin Console и Microsoft Azure AD.

 

Източник: По материали от Интернет

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
23/07/2024

Грешки в киберсигурността н...

В днешните забързани организации крайните потребители...
12/07/2024

Избягване на зловреден софт...

Футболната треска на турнирите UEFA EURO...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!