Wing Security’nin Katmanlı SaaS kimlik savunması içine bir bakış

   Nisan 16, 2025  Posted in TheHackerNews


Wing Security'nin Katmanlı SaaS Kimlik Savunması

Giriş: Giriş yapabildiğiniz zaman neden girin?

SaaS uygulamaları, üretkenliği ve operasyonel verimliliği güçlendiren modern organizasyonların belkemiğidir. Ancak her yeni uygulama, uygulama entegrasyonları ve birden fazla kullanıcı aracılığıyla kritik güvenlik riskleri getirerek tehdit aktörleri için kolay erişim noktaları oluşturur. Sonuç olarak, SaaS ihlalleri arttı ve Mayıs 2024 XM siber raporuna göre, kimlik ve kimlik bilgisi yanlış yapılandırmaları güvenlik maruziyetlerinin% 80’ine neden oldu.

Bir uzlaşmanın ince işaretleri gürültüde kaybolur ve daha sonra çok aşamalı saldırılar sessiz çözümler nedeniyle tespit edilmez. Entra kimliğinde bir hesap devralma, ardından GitHub’daki artış, Slack’ten veri açığa çıkmasını düşünün. Her biri tek başına bakıldığında ilgisiz görünüyor, ancak olayların bağlantılı bir zaman çizelgesinde tehlikeli bir ihlal.

Wing Security’nin SaaS platformu, duruş yönetimini gerçek zamanlı kimlik tehdidi tespiti ve yanıtıyla birleştiren çok katmanlı bir çözümdür. Bu, kuruluşların SaaS ekosistemlerinin gerçek bir kimlik haritasını almalarını, tehditleri hızla tespit etmelerini ve yanıtlamalarını ve gelecekteki saldırıları önlemelerini sağlar.

SaaS görünürlüğüne ve kapsamına başlamak

Bilmediğin şeyi koruyamazsınız. Mevcut çözümlerin (IAM, PAM, IAM, vb.) Çoğu SaaS uygulamalarını kapsamaz veya SaaS tehditlerini tespit etmek için gereken derinlikten yoksundur. Bu yüzden ilk adım, Gölge’nin üstesinden gelmek ve tüm uygulamalar, hesaplar ve güvenlik ekiplerinin hiçbir fikri olmayan tüm gizli üçüncü taraf entegrasyonlar da dahil olmak üzere kuruluşun yığınına tam görünürlük elde etmektir.

Wing’in keşif yaklaşımı, ajan veya vekil olmadan müdahaleci değildir. API’lerden büyük IDP’lere (OKTA, Google Workspace ve Azure AD gibi) ve iş açısından kritik SaaS uygulamalarına (Microsoft 365 ve Salesforce’dan Slack, GitHub, vb.) Bağlıdır.

Kanat keşfeder:

  • İnsan (kullanıcılar) ve insan olmayan (hizmet hesapları, API anahtarları, vb.) Kimlikler.
  • Uygulamaya bağlantı ve üçüncü taraf entegrasyonları ve izin kapsamları.
  • AI ile çalışan uygulamalar ve veri kullanımı.
  • MFA statüsü, farklı SaaS uygulamalarındaki yöneticiler (eski yöneticiler dahil)

Sadece görünürlük yeterli değildir. SaaS uygulamalarında kimlik davranışını anlamak, gerçek tehditleri zamanında tespit etmek ve yanıtlamak için anahtardır. Wing’in kimlik merkezli tehdit algılama katmanı devreye giriyor.

Kanadı eylemde görmek ister misiniz? Güvenlik uzmanlarımızdan biriyle demo isteyin.

SaaS kimlik tehdidi tespiti Dağınık kütüklerden net bir saldırı hikayesine kadar

Kanat, saldırganların nasıl düşündüğünü temsil etmek için kimlik olaylarını ve IOC’leri haritalar. Daha sonra, uzun ve dağınık SaaS günlüklerini tek bir açık saldırı hikayesine dönüştürmek için onları MITER ATT & CK teknikleri ile ilişkilendirir – araştırmaları basitleştirmek, uyarı yorgunluğunu azaltmak ve medyan süreyi çözünürlüğe hızlandırmak (MTTR).

Her tespit bağlam için tehdit istihbaratı ile zenginleştirilmiştir: IP itibarı (coğrafi konum ve gizlilik), VPN/TOR kullanımı ve daha fazlası. Bu nedenle, analistler günlerce ham günlükleri kazmak yerine, saldırganın oyun kitabını birkaç dakika içinde anlayabilirler.

Bilgisayar korsanlarının kimlikleri nasıl kullanmaya çalıştığına dair gerçek bir örnek:

  • Adım 1 – Parola Sprey Girişim: Entra kimliği ortamında birden fazla kullanıcı hesabını hedefleyen bir şifre sprey saldırısı. Saldırgan, kilitleme mekanizmalarını tetiklemeden bir veya daha fazla kullanıcı hesabını tehlikeye atmak için kimlik bilgisi tabanlı saldırılar kullanarak giriş yapmaya çalıştı.
  • Adım 2 – Çapraz hesap kullanıcı aracısı çakışması: Aynı kullanıcı aracısından (UA) birden fazla hesaptaki giriş denemeleri, saldırganın keşif aşamasında kimlik bilgilerini ölçekte sistematik olarak test ettiğini doğruladı.
  • Adım 3 – Başarılı giriş sonrası giriş: Saldırgan başarıyla bir hesaba giriş yaptı. Bu giriş, keşif aşamasında kullanılan aynı kullanıcı aracısıyla eşleşti, bu da kimlik bilgilerinin önceki şifre püskürtme etkinliği yoluyla tehlikeye atıldığını gösterdi.
  • Adım 4 – Rol ataması yoluyla ayrıcalık artışı: Saldırgan, entrad kimliğinde idari rolleri atayarak uzlaşmış hesabın ayrıcalıklarını artırdı. Bu, GitHub gibi OAuth bağlantılı üçüncü taraf hizmetlerine erişim de dahil olmak üzere saldırgana daha geniş bir görünürlük ve kontrol verdi.
  • Adım 5 – GitHub’dan veri açığa çıkması: Yüksek ayrıcalıklarla saldırgan, Intra ID hesabının iç depolara sızmak için bağlantılı GitHub erişiminden yararlandı. Etkinlik günlükleri, kaynak kodu, API anahtarları veya dahili belgeler içerebilecek projeler de dahil olmak üzere özel depoların indirildiğini göstermektedir. Saldırgan bu dayanağı doğrudan GitHub’dan hassas fikri mülkiyeti yaymak için kullandı.

Saldırı Yolu Zaman Çizelgesi

Tehdit Zaman Çizelgesi (Ref. Resim #2), tüm SaaS tespitlerini bağlamla sunduğu için tek başına günlüklerden daha kullanışlıdır. Her tespit, etkilenen kimlik, tetikleyici ve nerede ve ne zaman meydana geldiği (APP, zaman damgası, coğrafi konum) hakkında ayrıntılı bir bağlam vardır.

Saldırı Yolu Zaman Çizelgesi Güvenlik Operasyonları Ekiplerine Yardımcı Oluyor:

  • İlgili tespitlerin kronolojik bir görünümüyle saldırının nasıl ortaya çıktığını görselleştirin.
  • Her bir algılamayı aktif tarama, geçerli hesaplar, hesap manipülasyonu vb.
  • Uyarıyı bağlam ve IOC’ler, IP’ler, kullanıcı aracıları, coğrafi konum, VPN/TOR ve kanıtlarla zenginleştirin.
  • Anomalileri rutin aktivite ile bağlayın (örneğin, başarılı bir kaba kuvvetten sonra izin değişir).

Tehditlere öncelik ver

Tüm güvenlik tehditleri eşit yaratılmaz. Her tehdide, bir tehdidin başarılı bir ihlalle sonuçlanma olasılığını ölçen bir ihlal güven puanı verilir. Bu metrik aşağıdakiler gibi faktörlere göre hesaplanır:

  • Tespit türü (yani şifre spreyi, etkinlikte artış vb.)
  • Tehdit başına tespit sayısı (yani bir kimliğin 4 tespiti vardır)
  • Saldırının MITER ATT & CK’ya dayalı taktiği (yani, başlangıç ​​erişim, eksfiltrasyon, vb.)

SECOP’lar önce en kritik tehditlere sıralanabilir ve odaklanabilir. Örneğin, yeni bir IP’den tek bir başarısız giriş, kendi başına görüntülendiğinde düşük öncelik olabilir, ancak başarılı bir giriş ve ardından veri açığa çıkması daha yüksek bir güven puanı elde edecektir. Gösterge tablosunda, zirvede, hemen ilgiyi ve daha düşük riskli olanları daha fazla hak eden, uyarı yorgunluğunu kesen ve gerçek tehdit tespiti sağlayan yüksek şiddetli tehditler ile öncelikli bir tehdit kuyruğu görebilirsiniz.

Kanadı eylemde görmek ister misiniz? Güvenlik uzmanlarımızdan biriyle demo isteyin.

Tehdit Durumunu ve İlerlemeyi İzleyin

Wing’in izleme yapısı, Secops’un organize kalmasına yardımcı olur ve çatlaklardan geçerek tehditlerden kaçınır. Takımlar durumları güncelleyebilir ve yaratılıştan çözüme kadar her tehdidi izleyebilir.

Ana işlevler:

  • Verimli önceliklendirme veya belirli vakaları izlemek için takip için bayrak tehditleri.
  • Siem veya Soar gibi harici sistemlerde görünecek ve göz ardı edilemeyecekleri için bir webhook etkinliğini tetiklemek için tehditleri işaretleyin.
  • SOC ve IR ekipleri tarafından yapılan soruşturmalara göre tehdit durumunu güncelleyin.

Kısa azaltma kılavuzlarıyla hızlı bir şekilde çözün

Secops belirli bir tehdide girdiğinde, belirli saldırı türüne ve SaaS uygulamasına göre uyarlanmış adımlarla özelleştirilmiş bir hafifletme oyun kitabı alırlar. Azaltma kılavuzları şunları içerir:

  • Her algılama türü için özel öneriler
  • İlgili belgeler (örn. OKTA politikaları nasıl yapılandırılır)
  • Kök nedenini ele almak ve nüksü önlemek için en iyi uygulamalar (duruş)

Önleme: Kök Nedeni Kontrol Etme

Tehdit durdurulduktan sonra, kendinize başarılı olmak için bu tehdidi neyin kolaylaştırdığını ve bunun tekrar olmayacağından nasıl emin olabileceğinizi sormanız gerekir.

Güvenlik ekipleri, bu olayların kuruluşun SaaS konfigürasyonlarındaki altında yatan risk faktörleriyle ilişkili olup olmadığını kontrol etmelidir, bu nedenle sadece semptomları (aktif ihlal) tedavi etmemektedir, ancak kök nedenini ele alıyorlar.

Bu mümkündür çünkü Wing’in platformu katmanlıdır, SaaS güvenlik duruş yönetimi (SSPM) kimlik tehdidi tespit yetenekleriyle birleştirir. Kanat, yanlış yapılandırmalar için sürekli olarak izler (CISA’nın SCUBA çerçevesine dayanarak), bu riskli ayarları tespit eder – MFA veya Admin belirteçleri gibi asla süresi dolmayan yöneticiler gibi.

Sarma: Güvenlik döngüsünün kapatılması

Kanat güvenliği, derin görünürlük, öncelikli risk yönetimini ve gerçek zamanlı tespiti birleştiren çok katmanlı bir güvenlik platformu aracılığıyla SaaS kaosuna netlik getirir. Duruş yönetimini (SSPM) ve kimlik tehdidi tespit ve yanıtını (ITDR) birleştirerek kuruluşlar riske maruz kalmayı azaltabilir, bağlamla tehditlere yanıt verebilir ve SaaS kimliğe dayalı saldırıların önünde kalabilir.

Kör noktalar bulmak, erken tehditleri yakalamak ve işinizi riske atan şeyi düzeltmek için kanatla bir demo rezervasyonu yapın.

Bu makaleyi ilginç mi buldunuz? Bu makale, değerli ortaklarımızdan birinin katkıda bulunan bir parçasıdır. Bizi takip edin Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link