Вече сме твърде добре запознати с вездесъщия бутон „Влез в Google“, който срещаме навсякъде в интернет. За повечето от нас той се е превърнал в „лесен бутон“ за управление на многобройните акаунти, които сме създали. Зад този бутон се крие грант OAuth – токенизиран механизъм за предоставяне на достъп на всеки инструмент на трета страна до информация, съхранявана в нашия акаунт в Google.
Макар че това значително улеснява дигиталния ни живот, за екипите по сигурността е огромно главоболие да наблюдават и разплитат мащабни инциденти. Първо, откъде знаете, че услугата на третата страна трябва да бъде надеждна? Не е лесно да се отговори на този въпрос.
Откъде знаете, че служителите ви правят добър избор, когато щракат по тези екрани? Изобщо не е лесно!
Добра практика е да се установи рутинна процедура за програмен преглед на нови и съществуващи грантове за OAuth, за да се уловят рискови дейности или прекалено разрешаващи обхвати.
Ето пет ключови прозрения за рисковете, свързани с OAuth, които трябва да оцените, когато проучвате грант за OAuth, и къде можете да намерите необходимата информация.
1. Обхват и разрешения на OAuth
Обхватът на безвъзмездните средства OAuth може да предостави ясни показатели за потенциалния риск, който дадено безвъзмездно средство може да представлява за вашата организация. Определени обхвати могат да предоставят на заплахите важен достъп до вашата среда, поради което е особено важно да се разследват и наблюдават грантове с разрешаващи обхвати.
Например руският престъпен конгломерат Midnight Blizzard е злоупотребил с грантове OAuth на Microsoft, за да получи пълен достъп до пощенските кутии Office 365 Exchange Online на служители на Microsoft.
За да откриете обхватите, свързани с конкретно приложение, можете да получите достъп до екрана за съгласие OAuth на всяко приложение, за да прегледате поисканите от него обхвати, или можете да проверите логовете за достъп до API за използването на обхвати.
Като отправна точка за разбиране на това дали някои обхвати могат да бъдат причина за безпокойство или да предоставят достъп, който може да бъде използван, можете да ги съпоставите със списъци на обхватите, които Google счита за чувствителни или ограничени. Имайте предвид, че макар да можете да ограничите достъпа до грантове с тези обхвати в панела за администриране, Google не определя лесно кои приложения попадат в тази категория извън тези списъци.
Освен това се появяват нови решения за сигурност на SaaS, които могат да улеснят този процес, като откриват непрекъснато всички приложения и грантове OAuth и разкриват потенциални рискове.
Регистрационните данни, като идентификатор на клиента, URL адрес на отговора, име на издателя и имейл адрес на издателя, могат да ви помогнат да откриете признаци, че дадено приложение е потенциално злонамерено или дори просто лошо конфигурирано. Например приложение, публикувано с личен имейл адрес или група в Google, може да представлява риск за сигурността на вашата организация, дори ако иначе приложението изглежда легитимно.
Регистрационните данни могат също така да разкрият индикатори, че създателят на приложението се опитва да маскира злонамерено приложение като надеждно, например като използва „лееееки думи“, за да накара URL адреса да изглежда като познато легитимно приложение на пръв поглед.
За да оцените напълно регистрационната информация на дадено приложение, трябва да потърсите няколко източника. Например можете да извършите WHOIS проверка на URL адреса на отговора, да съпоставите имейл домейните на издателя с официалните фирмени домейни и да използвате източници като Have I Been Pwned, за да определите дали имейл адресът може да е бил компрометиран.
Не забравяйте да вземете предвид възрастта, репутацията и индикаторите за заплаха на домейна, които могат да предоставят доказателства за предишни злоупотреби или да разкрият, че домейнът е създаден наскоро.
Някои показатели за репутацията могат да ви помогнат да определите дали доставчикът на приложения е легитимен. Например Google или Microsoft разполагат с методи за проверка на самоличността на издателите на приложения. Въпреки че това може да послужи като индикатор за доверие, важно е да се вземат предвид и други фактори, като се има предвид, че при предишни атаки заплахите са се възползвали от проверените статуси.
За допълнителен контекст трябва да оцените и програмата за сигурност на доставчика на приложения.
За да намерите тази информация сами, започнете с проверка дали приложението е включено в официални пазари като Google Workspace Marketplace или Microsoft Azure Marketplace. Тези списъци също така ще ви покажат дали дадено приложение е било проверено от издателя на приложението. След това разгледайте страницата за сигурност на доставчика, сертификатите за сигурност, програмата за сигурност и историята на нарушенията за допълнителен контекст.
Популярността може да предостави друг потенциален индикатор за доверие. Ако дадено приложение има милиони потребители или дори само съществуваща опора във вашата компания, това може да ви помогне да подсилите доверието си в приложението.
За да оцените популярността на дадено приложение, можете да проверите сайтовете за ревюта за информация за приемането му извън вашата организация. Можете също така да проверите данните за използването в собствената си организация, като проверите таблата за управление на облачни услуги, като Google Admin Console и Microsoft Azure AD.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.