OAuth saldırıları artıyor. Aralık ayında, Microsoft Tehdit İstihbaratı ekibi, tehdit aktörlerinin bir bulut sunucusunu ele geçirmek ve kripto para birimi madenciliği yapmak için OAuth uygulamalarını kötüye kullandığını, iş e-postasının ele geçirilmesinin ardından kalıcılık sağladığını ve hedef kuruluşun kaynaklarını ve alan adını kullanarak spam etkinliği başlattığını gözlemledi.
OAuth nedir?
İnternetteki kaynaklara güvenli ve yetkilendirilmiş erişimi kolaylaştıran, yaygın olarak benimsenen bir standart olan OAuth (Açık Yetkilendirme), üçüncü taraf uygulamalar için kullanıcı kimlik doğrulaması ve yetkilendirme zorluklarını gidermek üzere tasarlanmıştır. OAuth, kullanıcıların kimlik bilgilerini paylaşmadan başka bir uygulamaya kendi kaynaklarına (kişisel veriler, çevrimiçi hesaplar ve SaaS ortamlarındaki diğer hassas öğeler gibi) sınırlı erişim izni vermesine olanak tanır.
OAuth, SaaS uygulamaları arasında kesintisiz ve güvenli bağlantıların sağlanmasında çok önemlidir. Kullanıcılar, üçüncü taraf bir SaaS uygulamasını hesaplarına bağlamaya çalıştığında (örneğin, bir üretkenlik aracını bir bulut depolama hizmetine bağlamak), OAuth, aracı kimlik doğrulama mekanizmasıdır. Kullanıcı, SaaS sağlayıcısının kimlik doğrulama sunucusuna yönlendirilir ve burada oturum açar ve üçüncü taraf uygulamanın belirli verilere erişmesine izin verir. Üçüncü taraf uygulaması daha sonra, güvenlik ve gizliliğini korurken, tanımlanan kapsam dahilinde kullanıcının verileriyle etkileşimde bulunmak için kullanabileceği bir erişim belirteci alır. Bu merkezi olmayan ve token tabanlı yaklaşım, SaaS uygulamalarının birbirine bağlı ortamında güvenliği ve kullanıcı kontrolünü artırır.
OAuth entegrasyonları iş akışlarını iyileştirmek, işlevsellik eklemek ve orijinal uygulamanın kullanılabilirliğini geliştirmek için kullanılır. Ancak tehdit aktörleri tarafından konuşlandırıldıklarında çok tehlikelidirler ve tespit edilmeleri zordur. Yakın zamanda Microsoft tarafından gözlemlendiği ve Adaptive Shield araştırmacıları tarafından bu yılın başında belirtildiği üzere, tehdit aktörleri ilk bakışta güvenilir görünen ancak gereksiz ve yüksek riskli izin talepleri içeren bir uygulama oluşturabilir. Kullanıcılar uygulamayı kendi uygulamalarına bağladıktan sonra, söz konusu uygulama, izin kümesi dahilinde her şeyi yapma özgürlüğüne sahip olur.
OAuth saldırılarını başarılı bir şekilde önlemek için SaaS yığınında üç alanın güvenliğinin sağlanması gerekir.
SaaS’ı OAuth saldırılarına karşı koruma
OAuth saldırıları, güçlü erişim kontrolleri uygulamanın, kullanıcı hesaplarının güvenliğini sağlamanın ve olağandışı veya şüpheli etkinlikleri izlemenin önemini vurgulamaktadır.
1. Güçlü erişim kontrolleri uygulayın
SaaS güvenliği erişim kontrolüyle başlar. Bu, kimin ve nelerin kullanıcı hesabı oluşturabileceğini sınırlar.
OAuth entegrasyonları özünde, tanımlanmış bir izin kümesiyle kullanıcı adına verilere erişebilen bulut uygulamalarıdır. Örneğin bir Microsoft 365 kullanıcısı Word’e bir MailMerge uygulaması yüklediğinde, aslında uygulama için bir hizmet sorumlusu oluşturmuş ve ona okuma/yazma erişimi, dosyaları kaydetme ve silme yeteneğinin yanı sıra kapsamlı bir izin seti vermiştir. adres-mektup birleştirmeyi kolaylaştırmak için birden fazla belgeye erişme yeteneği.
Kuruluşun OAuth uygulamaları için bir uygulama kontrol süreci uygulaması ve yukarıdaki örnekte olduğu gibi uygulamanın onaylanıp onaylanmadığını belirlemesi gerekiyor. Tehdit aktörlerinin bu yöntemi kötüye kullandığını ve işleyicilerinin Microsoft 365, Google Workspace, Salesforce, Slack ve daha fazlasına girmek için verilen izinleri kullanabileceği, verileri ve dosyaları indirip kalıcılığı korumak için SaaS kötü amaçlı yazılımlarını kullanabileceği kötü amaçlı bir uygulamayı tanıttığını sık sık görüyoruz.
Yetkisiz OAuth entegrasyonlarını önlemek için uygulanabilecek çeşitli erişim kontrolleri vardır. Her uygulamada bu seçeneklerin tümü bulunmasa da OAuth saldırılarını önlemek için çoğu uygulamanın bu yapılandırmalardan en az birine sahip olması gerekir.
- Uygulamalara bağlanmasına izin verilen veya bağlanması yasaklanan bir İzin Verilenler Listesi ve onay süreci uygulamaları oluşturun
- Yüksek riskli kapsamlar isteyen herhangi bir üçüncü taraf uygulamasının onay almadan entegrasyonunu önleyin
- OAuth entegrasyonlarının günlüklerini tutun ve inceleyin
- Mümkün olduğunda herhangi bir üçüncü taraf entegrasyonu için yönetici onayı isteyin
2. Kullanıcı hesapları için kimlik güvenliğini güçlendirin
Kimlik çevredir ve güvenliği sağlanmayan SaaS kullanıcıları, tehdit aktörleri tarafından çeşitli şekillerde istismar edilebilir. Başarılı bir kimlik avı veya parola sprey saldırısının ardından tehdit aktörleri, kurbanlarıyla aynı izin ayarına sahip bir uygulamaya kolayca erişebilir.
İçeri girdikten sonra kötü amaçlı uygulamalarını hızlı bir şekilde hub uygulamasına bağlayabilir ve ona yüksek ayrıcalıklar verebilirler. Hub uygulamasına erişimi kaybetseler bile, kötü amaçlı uygulamaları orijinal izin kümesine bağlı olmaya devam edecektir.
Kötü niyetli bir tehdit grubu olan Storm-0324, Microsoft Teams’i bu şekilde istismar etti. Tehdit aktörü grubu, Teams’in gevşek güvenlik ayarlarından yararlanarak harici kullanıcı olarak bir Teams mesajı gönderebildi, kimlik avı saldırıları gerçekleştirirken çalışanların kimliğine büründü, kötü amaçlı yazılım başlatabildi ve gönderilen mesajların içeriğini iz bırakmadan değiştirebildi.
Güvenlik ekipleri kullanıcı güvenliğini iki ayrı mercekten görmelidir. Birincisi uygulamalara erişme şeklidir. Uygulamalar, çok faktörlü kimlik doğrulama (MFA) ve tek oturum açma (SSO) gerektirecek şekilde yapılandırılmalıdır. Şifre politikaları önde gelen standartların önerilerine uygun olmalı ve uygulamalara yerel erişim tüm kullanıcılar için devre dışı bırakılmalıdır.
İkincisi, güvenlik ekiplerinin küresel ve kullanıcı yapılandırmalarını güçlendirerek SaaS saldırı yüzeyini küçültmesi gerekiyor. Yukarıdaki örnekte kuruluşlar, harici kullanıcıların mesaj göndermesini engelleyebilirdi.
Üçüncü mercek kullanıcıyı uygulamaya girdikten sonra takip eder. Davranış ve eylemlerdeki anormallikler açısından kullanıcı etkinliğinin izlenmesi, hesabın bir tehdit aktörü tarafından ele geçirilmesi veya kullanıcının şirketin çıkarlarına aykırı hareket etmesi ve tehdit oluşturması durumunda uyarıların yükseltilmesine yardımcı olabilir. Kimlik tehdidi tespiti ve müdahalesi (ITDR) olarak adlandırılan bu mercek, tehditlerin hasara yol açmadan tespit edilmesi açısından önemlidir.
Hem kullanıcıların uygulamaya erişme şekli hem de uygulama içindeki davranışları açısından kullanıcı hesaplarının güvenliğini sağlamak, OAuth saldırılarının uygulama içinde satın alınmasını önlemenin önemli bir parçasıdır.
3. Üçüncü taraf uygulama etkinliğini izleyin
Güvenlik ekipleri, SaaS yığınına bağlı tüm üçüncü taraf uygulamaları izlemeli ve yönetmeli ve OAuth entegrasyonu sırasında talep edilen kapsamlara ilişkin tam görünürlüğe sahip olmalıdır. Yalnızca kayıtlı ve kimliği doğrulanmış istemcilere erişim izni verildiğinden emin olmak için OAuth istemcilerini istemci kimlikleri ve sırları aracılığıyla doğrulamaları gerekir. Temel hazırlığı kaldırılan bir kullanıcı tarafından yüklenen uygulamalar gibi, uykuda olan uygulamaların da bağlantısı kesilmelidir.
Ayrıca güvenlik ekiplerinin uygulama etkinliğini incelemesi gerekir. Otomatik araçlar, günlükleri taramalı ve OAuth ile entegre bir uygulama şüpheli davrandığında rapor etmelidir. Örneğin, alışılmadık erişim düzenleri veya coğrafi anormallikler gösteren uygulamalar şüpheli olarak değerlendirilmelidir. API çağrılarındaki ani artışlar, verilere yeni bir konumdan erişim, yeni erişim belirteçleri için sık sık talepte bulunulması ve uygulama izinlerinde tekrarlanan değişiklikler de kötü amaçlı bir uygulamaya işaret eden işaretlerdir.
Güvenlik ekipleri, OAuth uygulamalarının beklendiği gibi davranıp davranmadığını görmek için günlüklerini düzenli olarak incelemeli ve şüpheli veya hareketsiz uygulamaları kaldırmalıdır.
Tehdit aktörleri SaaS’ınızı istiyor
SaaS uygulamaları tüm kurumsal verilerin yaklaşık %70’ini içerir. Saldırılarından para kazanmak isteyen tehdit aktörleri için oldukça cazip bir hedeftirler. OAuth uygulamaları güvenlik ekipleri tarafından kolayca gözden kaçırılıyor ve siber suçluların saldırılarını gerçekleştirmeleri için gereken erişime izin veriliyor.
Gerçek OAuth güvenliği için kuruluşların OAuth izinlerini düzenli olarak denetlemesi, gözden geçirmesi ve kullanıcılarını uygulamalardan gelen kimlik avı saldırılarının tehlikeleri konusunda eğitmesi gerekir. OAuth izlemenin otomatikleştirilmesi, sağlıklı bir SaaS ekosistemi için de çok önemlidir.