In die Bresche springen: 3 SaaS-App-Cyber-Angriffe im Jahr 2022 aufgeschlüsselt

  • In der letzten Märzwoche meldeten drei große Tech-Unternehmen – Microsoft, Okta und HubSpot – erhebliche Datenverletzungen. DEV-0537, auch bekannt als LAPSUS$, führte die ersten beiden aus. Diese hochentwickelte Gruppe setzt mit großem Erfolg modernste Angriffsvektoren ein. In der Zwischenzeit wurde die Gruppe, die hinter dem HubSpot-Einbruch steckt, nicht bekannt gegeben. In diesem Blog werden die drei Sicherheitsverletzungen auf der Grundlage öffentlich zugänglicher Informationen untersucht und bewährte Verfahren vorgeschlagen, um das Risiko zu minimieren, dass solche Angriffe gegen Ihr Unternehmen erfolgreich sind.

    HubSpot – Zugang für Mitarbeiter

    Am 21. März 2022 meldete HubSpot die Sicherheitsverletzung, die am 18. März stattfand. Böswillige Akteure kompromittierten ein HubSpot-Mitarbeiterkonto, das der Mitarbeiter für den Kundensupport nutzte. Dadurch konnten böswillige Akteure auf Kontaktdaten zugreifen und diese exportieren, indem sie den Zugriff des Mitarbeiters auf mehrere HubSpot-Konten nutzten.

    Da es nur wenige Informationen über diesen Verstoß gibt, ist es schwierig, sich gegen einen Angriff zu verteidigen, aber eine wichtige Konfiguration in HubSpot kann helfen. Dabei handelt es sich um das Steuerelement „HubSpot Employee Access“ (siehe Abbildung unten) in den HubSpot-Kontoeinstellungen. Kunden sollten diese Einstellung immer deaktivieren, es sei denn, sie benötigen spezifische Unterstützung, und sie dann sofort nach Abschluss des Serviceanrufs wieder deaktivieren.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEg9cZpN0U9wrnRIwNnReFHRFY4esFmwnnRO6ImvNeZ3_bAivJZ-xbbDl-PWni58N26F-Rnc9DuExKnUoxiFUHd3wUqavaHpL6vjrt4bXFhoQM9wGiKv3zK4J1h0WiTvY7W2relksJY7fXnpSu4ik_LQoDTXyrxfFgDYnz_4Lnt7CmMQCSmwoDGYrDE8/s728-e100/hubspot.jpg]

    Eine ähnliche Einstellung findet sich in anderen SaaS-Anwendungen und sollte dort ebenfalls deaktiviert werden. Der Zugriff der Mitarbeiter wird in der Regel in Audit-Protokollen aufgezeichnet, die regelmäßig überprüft werden sollten.

    Erfahren Sie, wie ein SSPM Ihr Unternehmen vor SaaS-Fehlkonfigurationen schützen kann

    Okta – Mangelnde Gerätesicherheit für privilegierte Benutzer

    Okta vergibt einen Teil seines Kundensupports an die Sitel Group. Am 21. Januar erhielt ein Mitglied des Okta-Sicherheitsteams eine Warnung, dass einem Mitarbeiterkonto der Sitel Group von einem neuen Standort aus ein neuer MFA-Faktor hinzugefügt wurde.

    Eine Untersuchung ergab, dass der Computer eines Sitel-Supporttechnikers über ein Remote-Desktop-Protokoll kompromittiert wurde. Diese bekannte Schwachstelle ist normalerweise deaktiviert, es sei denn, sie wird ausdrücklich benötigt – was den Okta-Ermittlern half, den Zeitrahmen für den Angriff auf ein fünftägiges Fenster zwischen dem 16. und 21. Januar 2022 einzugrenzen.

    Aufgrund des eingeschränkten Zugriffs der Support-Techniker auf ihr System waren die Auswirkungen auf Okta-Kunden minimal. Support-Techniker haben keinen Zugang zum Erstellen oder Löschen von Benutzern oder zum Herunterladen von Kundendatenbanken. Auch ihr Zugriff auf Kundendaten ist recht begrenzt.

    Am 22. März wurden Screenshots von DEV-0537, besser bekannt als LAPSUS$, online veröffentlicht. Daraufhin veröffentlichte Okta eine Erklärung, in der es hieß, dass „unsere Kunden keine Korrekturmaßnahmen ergreifen müssen“. Am darauffolgenden Tag teilte das Unternehmen Einzelheiten zu seiner Untersuchung mit, darunter einen detaillierten Zeitplan für die Reaktion.

    Auch wenn der Schaden durch diese Sicherheitsverletzung begrenzt war, lassen sich daraus drei wichtige Lehren für die Sicherheit ziehen. Sicherheit vom Gerät bis zur SaaS – Die Sicherung einer SaaS-Umgebung reicht nicht aus, um sich vor einem Sicherheitsverstoß zu schützen. Die Absicherung der von hoch privilegierten Benutzern verwendeten Geräte ist von größter Bedeutung. Unternehmen sollten die Liste der Benutzer mit hohen Zugriffsrechten überprüfen und sicherstellen, dass deren Geräte sicher sind. Dies kann den Schaden eines Einbruchs über den Angriffsvektor, dem Okta ausgesetzt war, begrenzen. MFA – Es war die Hinzufügung von MFA, die es der Okta-Sicherheit ermöglichte, den Verstoß zu entdecken. SSO geht nicht weit genug, und Organisationen, die SaaS-Sicherheit ernst nehmen, müssen auch MFA-Sicherheitsmaßnahmen einbeziehen. Ereignisüberwachung – Die Okta-Sicherheitsverletzung wurde entdeckt, als das Sicherheitspersonal eine unerwartete Änderung im Ereignisüberwachungsprotokoll sah. Die Überprüfung von Ereignissen wie Änderungen an der MFA, das Zurücksetzen von Passwörtern, verdächtige Anmeldungen und mehr sind für die SaaS-Sicherheit entscheidend und sollten täglich durchgeführt werden.

    Ein gutes Beispiel für eine Reaktion auf einen solchen Verstoß finden Sie in der Untersuchung von Cloudflare zur Okta-Kompromittierung vom Januar 2022.

    Erfahren Sie, wie Adaptive Shield Endpoint Posture Management und SaaS-Konfigurationskontrolle bietet

    Microsoft – MFA für alle privilegierten Benutzer

    Am 22. März teilte Microsoft Security Informationen über einen Angriff durch DEV-0537. Bei Microsoft wurde ein einzelnes Konto kompromittiert, was dazu führte, dass Quellcode gestohlen und veröffentlicht wurde.

    Microsoft versicherte seinen Nutzern, dass durch den LAPSUS$-Angriff keine ihrer Daten gefährdet wurden und dass der gestohlene Code keine Gefahr für ihre Produkte darstellte.

    Microsoft teilte nicht mit, wie der Angriff durchgeführt wurde, warnte jedoch, dass LAPSUS$ aktiv Mitarbeiter von Telekommunikationsunternehmen, großen Softwareentwicklern, Call-Centern und anderen Branchen rekrutiert, um Anmeldedaten weiterzugeben.

    Das Unternehmen machte auch folgende Vorschläge zur Sicherung von Plattformen gegen diese Angriffe. Verstärkte MFA-Implementierung – MFA-Lücken sind ein wichtiger Angriffsvektor. Unternehmen sollten MFA-Optionen vorschreiben und SMS und E-Mail so weit wie möglich einschränken, z. B. mit Authenticator oder FIDO-Tokens. Gesunde und vertrauenswürdige Endgeräte voraussetzen – Unternehmen sollten die Gerätesicherheit kontinuierlich überprüfen. Stellen Sie sicher, dass die Geräte, die auf SaaS-Plattformen zugreifen, ihre Sicherheitsrichtlinien einhalten, indem Sie sichere Gerätekonfigurationen mit einem niedrigen Schwachstellen-Risiko-Score durchsetzen. Moderne Authentifizierungsoptionen für VPNs nutzen – Die VPN-Authentifizierung sollte moderne Authentifizierungsoptionen wie OAuth oder SAML nutzen. Verstärken und überwachen Sie die Sicherheitslage in der Cloud – Unternehmen sollten zumindest Zugriffskontrollen für Benutzer und Sitzungsrisikokonfigurationen festlegen, MFA verlangen und Anmeldungen mit hohem Risiko blockieren.

    Eine vollständige Liste der Empfehlungen von Microsoft finden Sie in dieser Mitteilung.

    Abschließende Überlegungen

    Die Sicherung von SaaS-Plattformen ist eine große Herausforderung, und wie diese Woche zu sehen war, müssen sogar globale Unternehmen ihre Sicherheit im Auge behalten. Böswillige Akteure entwickeln sich weiter und verbessern ihre Angriffsmethoden, was Unternehmen dazu zwingt, ständig auf der Hut zu sein und ihre SaaS-Sicherheit zu priorisieren.

    Starke Passwörter und SSO-Lösungen allein reichen nicht mehr aus. Unternehmen benötigen fortschrittliche Sicherheitsmaßnahmen wie starke MFA, IP-Zulassungslisten und die Sperrung des Zugriffs unnötiger Supporttechniker. Eine automatisierte Lösung wie SaaS Security Posture Management (SSPM) kann Sicherheitsteams dabei helfen, den Überblick über diese Probleme zu behalten.

    Die Bedeutung der Gerätesicherheit bei SaaS ist eine weitere Erkenntnis aus diesen Angriffen. Selbst eine vollständig gesicherte SaaS-Plattform kann kompromittiert werden, wenn ein privilegierter Benutzer über ein kompromittiertes Gerät auf eine SaaS-Anwendung zugreift. Nutzen Sie eine Sicherheitslösung, die die Gerätesicherheit mit der SaaS-Sicherheit kombiniert, um einen vollständigen End-to-End-Schutz zu gewährleisten.

    Die Sicherung von SaaS-Lösungen ist eine komplexe Aufgabe, die manuell nicht zu bewältigen ist. SSPM-Lösungen wie Adaptive Shield bieten ein automatisiertes SaaS-Sicherheitsmanagement mit Konfigurationskontrolle, Endpoint-Posure-Management und Kontrolle von Drittanbieter-Anwendungen.

    Hinweis – Dieser Artikel wurde von Hananel Livneh, Senior Product Analyst bei Adaptive Shield, verfasst und beigetragen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com