Вече сме твърде добре запознати с вездесъщия бутон „Влез в Google“, който срещаме навсякъде в интернет. За повечето от нас той се е превърнал в „лесен бутон“ за управление на многобройните акаунти, които сме създали. Зад този бутон се крие грант OAuth – токенизиран механизъм за предоставяне на достъп на всеки инструмент на трета страна до информация, съхранявана в нашия акаунт в Google.

Макар че това значително улеснява дигиталния ни живот, за екипите по сигурността е огромно главоболие да наблюдават и разплитат мащабни инциденти. Първо, откъде знаете, че услугата на третата страна трябва да бъде надеждна? Не е лесно да се отговори на този въпрос.

Откъде знаете, че служителите ви правят добър избор, когато щракат по тези екрани? Изобщо не е лесно!

‍Добра практика е да се установи рутинна процедура за програмен преглед на нови и съществуващи грантове за OAuth, за да се уловят рискови дейности или прекалено разрешаващи обхвати.

Ето пет ключови прозрения за рисковете, свързани с OAuth, които трябва да оцените, когато проучвате грант за OAuth, и къде можете да намерите необходимата информация.‍

1. Обхват и разрешения на OAuth
Обхватът на безвъзмездните средства OAuth може да предостави ясни показатели за потенциалния риск, който дадено безвъзмездно средство може да представлява за вашата организация. Определени обхвати могат да предоставят на  заплахите важен достъп до вашата среда, поради което е особено важно да се разследват и наблюдават грантове с разрешаващи обхвати.

Например руският престъпен конгломерат Midnight Blizzard е злоупотребил с грантове OAuth на Microsoft, за да получи пълен достъп до пощенските кутии Office 365 Exchange Online на служители на Microsoft.

За да откриете обхватите, свързани с конкретно приложение, можете да получите достъп до екрана за съгласие OAuth на всяко приложение, за да прегледате поисканите от него обхвати, или можете да проверите логовете за достъп до API за използването на обхвати.

Като отправна точка за разбиране на това дали някои обхвати могат да бъдат причина за безпокойство или да предоставят достъп, който може да бъде използван, можете да ги съпоставите със списъци на обхватите, които Google счита за чувствителни или ограничени. Имайте предвид, че макар да можете да ограничите достъпа до грантове с тези обхвати в панела за администриране, Google не определя лесно кои приложения попадат в тази категория извън тези списъци.

Освен това се появяват нови решения за сигурност на SaaS, които могат да улеснят този процес, като откриват непрекъснато всички приложения и грантове OAuth и разкриват потенциални рискове.

2. Данни за регистрация на приложението

Регистрационните данни, като идентификатор на клиента, URL адрес на отговора, име на издателя и имейл адрес на издателя, могат да ви помогнат да откриете признаци, че дадено приложение е потенциално злонамерено или дори просто лошо конфигурирано. Например приложение, публикувано с личен имейл адрес или група в Google, може да представлява риск за сигурността на вашата организация, дори ако иначе приложението изглежда легитимно.

Регистрационните данни могат също така да разкрият индикатори, че създателят на приложението се опитва да маскира злонамерено приложение като надеждно, например като използва „лееееки думи“, за да накара URL адреса да изглежда като познато легитимно приложение на пръв поглед.

За да оцените напълно регистрационната информация на дадено приложение, трябва да потърсите няколко източника. Например можете да извършите WHOIS проверка на URL адреса на отговора, да съпоставите имейл домейните на издателя с официалните фирмени домейни и да използвате източници като Have I Been Pwned, за да определите дали имейл адресът може да е бил компрометиран.

Не забравяйте да вземете предвид възрастта, репутацията и индикаторите за заплаха на домейна, които могат да предоставят доказателства за предишни злоупотреби или да разкрият, че домейнът е създаден наскоро.

3. Сигнали за доверие на доставчика

Някои показатели за репутацията могат да ви помогнат да определите дали доставчикът на приложения е легитимен. Например Google или Microsoft разполагат с методи за проверка на самоличността на издателите на приложения. Въпреки че това може да послужи като индикатор за доверие, важно е да се вземат предвид и други фактори, като се има предвид, че при предишни атаки  заплахите са се възползвали от проверените статуси.

За допълнителен контекст трябва да оцените и програмата за сигурност на доставчика на приложения.

За да намерите тази информация сами, започнете с проверка дали приложението е включено в официални пазари като Google Workspace Marketplace или Microsoft Azure Marketplace. Тези списъци също така ще ви покажат дали дадено приложение е било проверено от издателя на приложението. След това разгледайте страницата за сигурност на доставчика, сертификатите за сигурност, програмата за сигурност и историята на нарушенията за допълнителен контекст.

4. Популярност на приложението

Популярността може да предостави друг потенциален индикатор за доверие. Ако дадено приложение има милиони потребители или дори само съществуваща опора във вашата компания, това може да ви помогне да подсилите доверието си в приложението.

За да оцените популярността на дадено приложение, можете да проверите сайтовете за ревюта за информация за приемането му извън вашата организация. Можете също така да проверите данните за използването в собствената си организация, като проверите таблата за управление на облачни услуги, като Google Admin Console и Microsoft Azure AD.

 

Източник: По материали от Интернет

Подобни публикации

12 февруари 2025

Deepfake, изкуствен интелект, регулации - опред...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на Полиграфическия комбина...
12 февруари 2025

Несправедливата реалност на киберинцидентите

Неотдавна мой чудесен колега се контузи доста тежко по време на зим...
12 февруари 2025

SAP пуска 21 кръпки за сигурност

Производителят на корпоративен софтуер SAP обяви във вторник пускан...
12 февруари 2025

Intel поправи 374 уязвимости през 2024 г.

През календарната 2024 г. Intel е поправила общо 374 уязвимости в с...
11 февруари 2025

Ключови фигури от Phobos и 8Base са арестувани ...

Координирана международна акция на правоприлагащите органи миналата...
11 февруари 2025

Поведенчески анализ в киберсигурността: Кой има...

Тъй като разходите за нарушаване на сигурността на данните продължа...
11 февруари 2025

120 хил. жертви са компрометирани при атака с р...

В Бейнбридж, щата Джорджия, малката болница Memorial Hospital and M...
11 февруари 2025

Lee Enterprises се възстановява от кибератака

Вестникарската компания очаква разследването да отнеме известно вре...
11 февруари 2025

Над 12 000 защитни стени KerioControl са изложе...

Над дванадесет хиляди екземпляра на защитната стена GFI KerioContro...
Бъдете социални
Още по темата
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
02/02/2025

Неврокогнитивно въздействие...

В свят, в който компютърно генерираните...
29/01/2025

#33 Cyber Security Talks Bu...

📣 Deepfake е технология, за която...
Последно добавени
12/02/2025

Deepfake, изкуствен интелек...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на...
12/02/2025

Несправедливата реалност на...

Неотдавна мой чудесен колега се контузи...
12/02/2025

SAP пуска 21 кръпки за сигу...

Производителят на корпоративен софтуер SAP обяви...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!