Aşırı ayrıcalıklı yönetici rollerinden uzun zamandır unutulmuş satıcı jetonlarına kadar, bu saldırganlar güven ve erişim çatlaklarından geçiyor. İşte beş perakende ihlali nasıl ortaya çıktı ve hakkında açıkladıkları …
Son aylarda, Adidas, North Face, Dior, Victoria’s Secret, Cartier, Marks & Spencer ve Co –p gibi büyük perakendeciler ihlal edildi. Bu saldırılar sofistike kötü amaçlı yazılım veya sıfır gün istismarları değildi. Kimlik güdümlü, aşırı ayrı erişim ve işlenmemiş hizmet hesaplarından yararlanıyorlardı ve insan katmanını sosyal mühendislik gibi taktiklerle kullandılar.
Saldırganların içeri girmeleri gerekmiyordu. Giriş yaptılar. Genellikle gerçek kimlik bilgileri ve meşru oturumlar kullanarak fark edilmeden SaaS uygulamalarından geçtiler.
Ve çoğu perakendeci tüm teknik detayları paylaşmasa da, kalıplar açık ve tekrar ediyor.
İşte perakende yapılan son beş yüksek profilli ihlalin bir dökümü:
1. Adidas: Üçüncü Taraf Trust’tan yararlanma
Adidas, üçüncü taraf bir müşteri hizmeti sağlayıcısına yapılan saldırının neden olduğu bir veri ihlalini doğruladı. Şirket, adlar, e -posta adresleri ve sipariş detayları dahil olmak üzere müşteri verilerinin maruz kaldığını söyledi. Kötü amaçlı yazılım yok. Yanlarında ihlal yok. Sadece güvendikleri bir satıcının patlama yarıçapı.
Bu saldırılar SaaS kimliklerinde nasıl ortaya çıkıyor:
Satıcılara verilen SaaS jetonları ve servis hesapları genellikle MFA gerektirmez, süresi dolmaz ve radarın altında uçmaz. Erişim artık ihtiyaç duyulmadıktan ancak asla iptal edilmediğinde, T1195.002 gibi taktiklerle eşleşen tedarik zinciri uzlaşmaları için mükemmel olan sessiz giriş noktaları haline gelirler ve saldırganlara alarmlar çıkarmadan bir yol verir.
Güvenlik Takeaway:
Sadece kullanıcılarınızı güvence altına almıyorsunuz. Satıcıların geride bıraktığı erişimi de güvence altına alıyorsunuz. SaaS entegrasyonları gerçek sözleşmelerden daha uzun süredir devam ediyor ve saldırganlar tam olarak nereye bakacaklarını biliyorlar.
2. Kuzey Yüzü: Şifre Yeniden Kullanımdan İstismara İhtiyat
North Face, tehdit aktörlerinin müşteri hesaplarına erişmek için sızdırılmış kimlik bilgilerini (kullanıcı adları ve şifreler) kullandıkları bir kimlik bilgisi doldurma saldırısını (MITER T1110.004) doğruladı. Kötü amaçlı yazılım yok, kimlik avı yok, sadece zayıf kimlik hijyeni ve MFA yok. İçeri girdikten sonra, temel kimlik kontrollerinde büyük bir boşluk açığa çıkararak kişisel verileri ortaya çıkarırlar.
Bu saldırılar SaaS kimliklerinde nasıl ortaya çıkıyor:
MFA olmayan SaaS girişleri hala her yerde. Saldırganlar geçerli kimlik bilgileri aldıktan sonra, hesaplara doğrudan ve sessizce erişebilirler, uç nokta korumalarını tetiklemeye gerek yoktur veya uyarıları artırabilirler.
Güvenlik Takeaway:
Kimlik bilgisi doldurma yeni bir şey değildir. 2020’den beri North Face için dördüncü kimlik temelli ihlaldi. Her biri, MFA olmadan parolanın yeniden kullanıldığının geniş açık bir kapı olduğunu hatırlatıyor. Ve birçok kuruluş çalışanlar, hizmet hesapları ve ayrıcalıklı roller için MFA’yı uygularken, çoğu zaman korumasız hale gelirler. Saldırganlar bunu biliyor ve boşlukların bulunduğu yere gidiyorlar.
Daha derine inmek ister misin? İndir SaaS Kimlik Güvenlik Rehberi‘ SaaS yığınınız boyunca insan veya insan olmayan her kimliği proaktif olarak nasıl güvence altına alacağınızı öğrenmek için.
3. M & S & Co-Op: Borç Verilen Güven tarafından ihlal edildi
İngiltere perakendecileri Marks & Spencer ve kooperatif, kimlik temelli saldırılarla bilinen tehdit grubu dağılmış örümcek tarafından hedeflendiği bildirildi. Raporlara göre, çalışanları taklit etmek ve masaların şifreleri ve MFA’yı sıfırlamasına yardımcı olmak için SIM Swapping ve Sosyal Mühendislik kullandılar, hepsi kötü amaçlı yazılım veya kimlik avı olmadan MFA’yı etkili bir şekilde atladılar.
Bu saldırılar SaaS kimliklerinde nasıl ortaya çıkıyor:
Saldırganlar MFA’yı atladıktan sonra, kuruluşun sistemleri içinde yanal olarak hareket etmek, hassas verileri hasat etmek veya yol boyunca operasyonları bozmak için aşırı ayrıcalıklı SaaS rollerini veya hareketsiz hizmet hesaplarını hedeflerler. Eylemleri meşru kullanıcı davranışı (T1078) ile karışır ve yardım masası taklit edilmesi (T1556.003) tarafından yönlendirilen şifre sıfırlamalarıyla, herhangi bir alarm yükseltmeden sessizce kalıcılık ve kontrol kazanırlar.
Güvenlik Takeaway:
Kimlik ilk saldırılarının yayılmasının bir nedeni var. Zaten güvenilir olanlardan yararlanırlar ve genellikle kötü amaçlı yazılım ayak izi bırakmazlar. Riski azaltmak için, hem insan hem de insan olmayan aktivite de dahil olmak üzere SaaS kimlik davranışını izleyin ve yardım masası ayrıcalıklarını izolasyon ve yükseltme politikaları yoluyla sınırlandırın. Destek personeli için hedeflenen eğitim, sosyal mühendisliği gerçekleşmeden önce engelleyebilir.
4. Victoria’nın Sırrı: SaaS yöneticileri kontrol edilmediğinde
Victoria’s Secret, siber bir olay hem e-ticaret hem de mağaza içi sistemleri bozduktan sonra kazanç yayınını geciktirdi. Birkaç ayrıntı açıklanırken, etki envanter, sipariş işleme veya analitik araçları gibi perakende operasyonları yöneten SaaS sistemleri aracılığıyla iç kesintiyi içeren senaryolarla uyumludur.
Bu saldırılar SaaS kimliklerinde nasıl ortaya çıkıyor:
Gerçek risk sadece tehlikeye atılmış kimlik bilgileri değildir. Aşırı ayrıcalıklı SaaS rollerinin kontrolsüz gücü. Yanlış yapılandırılmış bir yönetici veya bayat jeton kaçırıldığında (T1078.004), saldırganların kötü amaçlı yazılımlara ihtiyacı yoktur. Envanter yönetiminden sipariş işlemeye kadar çekirdek işlemleri, SaaS katmanı içinde bozabilirler. Uç nokta yok. Sadece yıkım (T1485) ölçekte.
Güvenlik Takeaway:
SaaS rolleri güçlüdür ve genellikle unutulur. Kritik iş uygulamalarına erişime sahip tek bir aşırı kimlik, kaosu tetikleyebilir, bu da çok geç olmadan bu yüksek etkili kimliklere sıkı erişim kontrolleri ve sürekli izleme uygulamayı çok önemli hale getirir.
5. Cartier & Dior: Müşteri desteğinin gizli maliyeti
Cartier ve Dior, saldırganların CRM veya müşteri hizmetleri işlevleri için kullanılan üçüncü taraf platformlar aracılığıyla müşteri bilgilerine eriştiklerini açıkladılar. Bunlar altyapı hackleri değildi; Müşterilere yardım etmek, onları ortaya çıkarmak için yardımcı olmak amaçlı platformlar aracılığıyla ihlallerdi.
Bu saldırılar SaaS kimliklerinde nasıl ortaya çıkıyor:
Müşteri destek platformları genellikle SaaS tabanlıdır, kalıcı jetonlar ve API anahtarları sessizce dahili sistemlere bağlar. Bu insan olmayan kimlikler (T1550.003) nadiren döner, genellikle merkezi IAM’dan kaçar ve müşteri verilerini ölçekte hedefleyen saldırganlar için kolay kazançlar haline gelir.
Güvenlik Takeaway:
SaaS platformlarınız müşteri verilerine dokunursa, saldırı yüzeyinizin bir parçasıdır. Makine kimliklerinin bunlara nasıl eriştiğini izlemiyorsanız, cephe çizgilerini korumuyorsunuz.
Son düşünce: SaaS kimlikleriniz görünmez değil. Onlar sadece comitoration.
SaaS kimlikleriniz görünmez değildir; Onlar sadece comitoration. Bu ihlallerin süslü istismarlara ihtiyacı yoktu. Sadece yanlış yerleştirilmiş bir güvene, yeniden kullanılan bir kimlik bilgisine, kontrolsüz bir entegrasyona veya kimsenin gözden geçirmediği bir hesaba ihtiyaçları vardı.
Güvenlik ekipleri uç noktaları ve sertleşmiş SaaS girişlerini kilitlerken, gerçek boşluklar bu gizli SaaS rollerinde, uykuda belirtilen jetonlarda ve gözden kaçan yardım masası geçersiz kılıyor. Bunlar hala radarın altında uçuyorsa, ihlalin zaten bir başlangıcı var.
Bunun için kanat güvenliği inşa edildi.
Wing’in çok katmanlı platformu, SaaS yığınınızı sürekli olarak korur, kör noktaları keşfeder, konfigürasyonları sertleştirir ve SaaS kimlik tehditlerini tırmanmadan önce tespit eder.
Noktaları uygulamalar, kimlikler ve riskler arasında birleştiren bir gerçek kaynağıdır, böylece gürültüyü kesebilir ve başlamadan önce ihlalleri durdurabilirsiniz.
SaaS kimlik katmanınızda neyin saklandığını görmek için kanat güvenliği demosu alın.