Stačí jednotné prihlásenie na zabezpečenie vašich aplikácií SaaS?

Ak je jedna vec, ktorú majú všetky skvelé platformy SaaS spoločné, je to ich zameranie na zjednodušenie života ich koncových používateľov. Poslaním poskytovateľov jednotného prihlásenia (SSO) je odstraňovať rozdiely pre používateľov bezpečným spôsobom.

S SSO na čele si používatelia nemusia pamätať samostatné heslá pre každú aplikáciu alebo skrývať digitálne kópie poverení na očiach.

SSO tiež uvoľňuje šírku pásma IT od spracovávania opakujúcich sa žiadostí o obnovenie hesla a zároveň zvyšuje produktivitu pre všetkých vo vašej organizácii. Schopnosť SSO však prináša aj určitú úroveň rizika.

Ako sa chrániť pred zlyhaním SSO

Riziká v reálnom živote spojené s SSO

Zatiaľ čo SSO do značnej miery uľahčuje jednoduchý prístup, prináša so sebou aj určité množstvo bezprostredného rizika. SSO je dobrým prostriedkom na zvýšenie efektivity, ale nie konečným riešením zabezpečenia s vlastnými chybami, ktoré umožňujú obídenie.

Existuje špecifická trieda zraniteľnosti, ktorú Adam Roberts zo skupiny NCC zistil v niekoľkých službách SSO. Zistil, že zraniteľnosť konkrétne ovplyvnila implementácie jazyka SAML (Security Assertion Markup Language).

„Chyba by mohla umožniť útočníkovi upraviť odpovede SAML generované poskytovateľom identity, a tým získať neoprávnený prístup k svojvoľným používateľským účtom alebo zvýšiť privilégiá v rámci aplikácie,“ opísal výskumník bezpečnosti Roberts.

Výskumníci v oblasti bezpečnosti z Micro Focus Fortify v roku 2019 ukázali nebezpečenstvá spojené so zraniteľnosťami SSO v autentifikačnom mechanizme spoločnosti Microsoft. Zraniteľnosti umožnili zlým aktérom vykonať odmietnutie služby alebo sa vydávať za iného používateľa s cieľom využiť svoje používateľské privilégiá. Microsoft v júli toho istého roku opravil zraniteľnosť v autentifikácii SSO.

Je tu tiež znepokojujúci nárast útokov na prevzatie účtu (ATO), kde je zlý aktér schopný obísť SSO. Podľa ratingového gigantu Experian (nie je cudzincom ničivé podvodné útoky) 57 % organizácií tvrdí, že sa v priebehu roka 2020 stali obeťami ATO.

SSO, MFA, IAM, Oh My!

Podľa návrhu SSO neponúka 100% ochranu. Mnohé organizácie navyše umožnia viacfaktorovú autentifikáciu (MFA), no stále existujú prípady, kedy by všetky tieto preventívne opatrenia mohli zlyhať. Tu je bežný scenár:

Super správcovia – najvýkonnejší používatelia v bezpečnostnej pozícii SaaS – často obídu parametre SSO a IAM bez akýchkoľvek problémov. Túto schopnosť možno obísť z mnohých dôvodov, ktoré vyplývajú zo snahy o ľahký prístup a pohodlie alebo potrebu. V prípade výpadku IdP sa pri určitých platformách SaaS supersprávcovia overia priamo voči platforme, aby sa zabezpečila konektivita. V každom prípade existujú staršie protokoly, ktoré umožňujú správcom obísť jeho povinné používanie.

Ochrana pred zlyhaniami SSO

Samotné nástroje SSO nestačia na ochranu pred neoprávneným vstupom do majetku organizácie SaaS. Existujú určité kroky, ktoré môžete podniknúť, aby ste sa vyhli rizikám, ktoré predstavuje SSO.

  • Spustite audit a identifikujte používateľov a platformy, ktoré môžu obísť SSO a nasadiť MFA špecifické pre aplikáciu, aby ste zaistili správne nakonfigurované pravidlá hesiel pre používateľov.
  • Identifikujte staršie overovacie protokoly, ktoré nepodporujú MFA a ktoré sa používajú, ako napríklad IMAP a POP3 pre e-mailových klientov.
  • Potom znížte počet používateľov používajúcich tieto protokoly a potom vytvorte druhý faktor, napríklad špecifickú skupinu zariadení, ktoré môžu používať takéto staršie protokoly.
  • Skontrolujte jedinečné indikátory kompromisu, ako sú pravidlá preposielania, ktoré sú nakonfigurované v e-mailových aplikáciách, hromadné akcie atď. Takéto indikátory sa môžu medzi platformami SaaS líšiť, a preto si vyžadujú dôkladnú znalosť každej platformy.

Robustný nástroj na správu pozície zabezpečenia SaaS (SSPM), ako je napríklad Adaptive Shield, dokáže automatizovať tieto kroky, aby pomohol predchádzať možným únikom alebo útokom.

Okrem preverenia každého používateľa vo vašom ekosystéme SaaS vám Adaptive Shield umožní pozrieť sa na slabú stránku konfigurácie v rámci celého vášho majetku SaaS, vrátane domény SSO, prostredníctvom každého nastavenia, roly používateľa a prístupových práv.

Adaptívny štít poskytuje vášmu bezpečnostnému tímu úplný kontext narušenia a jeho rizika pre vašu organizáciu a poskytuje vám správne pokyny na každom kroku, kým sa hrozba nevyrieši.

Ako vyťažiť maximum zo zabezpečenia SaaS.