В начале 2024 года Wing Security опубликовала свой отчет о состоянии безопасности SaaS, в котором содержится удивительная информация о возникающих угрозах и передовых практиках в области SaaS. Сейчас, в середине года, несколько прогнозов угроз SaaS из отчета уже доказали свою точность. К счастью, решения SaaS для управления состоянием безопасности (SSPM) имеют приоритетные возможности смягчения последствий для решения многих из этих проблем, обеспечивая команды безопасности необходимыми инструментами для непосредственного решения этих проблем.
В этой статье мы вернемся к нашим прогнозам, сделанным ранее в этом году, продемонстрируем реальные примеры этих угроз в действии и предложим практические советы и рекомендации, которые помогут вам предотвратить подобные инциденты в будущем.
Также стоит отметить общую тенденцию увеличения частоты взломов в сегодняшнем динамичном ландшафте SaaS, что вынуждает организации требовать своевременного оповещения об угрозах в качестве жизненно важной возможности. Отраслевые нормативные акты с приближающимися крайними сроками их соблюдения требуют аналогичной своевременной отчетности о нарушениях. Эти рыночные изменения означают, что простые, быстрые и точные возможности анализа угроз стали особенно важны для всех организаций, использующих SaaS, в дополнение к пониманию конкретных типов угроз, подробно описанных ниже.
Услуги SaaS в наши дни легко внедряются в организации, а правила и условия часто игнорируются. Такое поведение открывает двери для тысяч SaaS-приложений, позволяющих получить доступ к сокровищнице конфиденциальной информации частной компании и, возможно, обучать на ней модели искусственного интеллекта. Недавний спор по поводу использования данных клиентов для машинного обучения показывает, насколько реальна эта угроза.
Автоматизируя рутинные задачи, организации могут заблаговременно выявлять и снижать риски безопасности, обеспечивая более быстрое и эффективное реагирование на взломы. Использование возможностей автоматизации SSPM не только укрепляет киберзащиту, но и экономит драгоценное время и ресурсы, позволяя организациям реагировать на возникающие киберугрозы с повышенной точностью и скоростью.
В этой статье мы вернемся к нашим прогнозам, сделанным ранее в этом году, продемонстрируем реальные примеры этих угроз в действии и предложим практические советы и рекомендации, которые помогут вам предотвратить подобные инциденты в будущем.
Также стоит отметить общую тенденцию увеличения частоты взломов в сегодняшнем динамичном ландшафте SaaS, что вынуждает организации требовать своевременного оповещения об угрозах в качестве жизненно важной возможности. Отраслевые нормативные акты с приближающимися крайними сроками их соблюдения требуют аналогичной своевременной отчетности о нарушениях. Эти рыночные изменения означают, что простые, быстрые и точные возможности анализа угроз стали особенно важны для всех организаций, использующих SaaS, в дополнение к пониманию конкретных типов угроз, подробно описанных ниже.
Прогноз угроз 1: теневой искусственный интеллект
Скрытое использование ИИ коммуникационной платформой
В мае 2024 года крупная коммуникационная платформа столкнулась с негативной реакцией из-за использования пользовательских данных из сообщений и файлов для обучения моделей машинного обучения поиску и рекомендациям. Эта практика вызвала серьезные опасения организаций по поводу безопасности данных, поскольку они были обеспокоены потенциальным раскрытием и неправильным использованием их конфиденциальной информации. Пользователи чувствовали, что они не были должным образом проинформированы об этой практике, и процесс отказа был неудобным. Чтобы устранить эти проблемы, платформа уточнила свои политики использования данных и упростила выбор.Почему это важно
Отсутствие эффективной прозрачности в отношении использования искусственного интеллекта в приложениях SaaS вызывает беспокойство. С учетом того, что более 8500 приложений имеют встроенные генеративные возможности искусственного интеллекта, а шесть из десяти лучших приложений для искусственного интеллекта используют данные пользователей для обучения, потенциал "теневого искусственного интеллекта" – несанкционированного использования искусственного интеллекта – существует повсюду.Услуги SaaS в наши дни легко внедряются в организации, а правила и условия часто игнорируются. Такое поведение открывает двери для тысяч SaaS-приложений, позволяющих получить доступ к сокровищнице конфиденциальной информации частной компании и, возможно, обучать на ней модели искусственного интеллекта. Недавний спор по поводу использования данных клиентов для машинного обучения показывает, насколько реальна эта угроза.
Борьба с теневым ИИ с помощью автоматизированного SSPM
Организациям следует предпринять несколько шагов для повышения своей безопасности от потенциальных угроз ИИ. Во-первых, восстановить контроль над использованием ИИ путем выявления и понимания всех используемых ИИ и SaaS-приложений на базе ИИ. Во-вторых, крайне важно выявлять олицетворение приложений путем мониторинга на предмет внедрения опасных или вредоносных SaaS, включая приложения с искусственным интеллектом, имитирующие законные версии. Наконец, исправление с помощью искусственного интеллекта может быть автоматизировано с помощью инструментов, которые предлагают автоматизированные рабочие процессы исправления для быстрого устранения любых выявленных угроз.Прогноз угроз 2: цепочка поставок
Субъекты угроз нацелены на популярную компанию облачных хранилищ
Обнаружена недавняя утечка данных в облачном сервисе. Она была обнаружена 24 апреля 2024 года и раскрыта 1 мая. Утечка включала несанкционированный доступ к учетным данным клиента и данным аутентификации. Предполагается, что учетная запись службы, используемая для запуска приложений и автоматизированных служб в серверной среде, была скомпрометирована, что привело к раскрытию информации о клиентах, такой как электронные письма, имена пользователей, номера телефонов, хэшированные пароли, а также данные, необходимые для интеграции сторонних производителей, такие как ключи API и токены OAuth.Почему это важно
Периодических проверок цепочки поставок SaaS просто недостаточно. Сотрудники могут легко и быстро добавлять новые сервисы и поставщиков в среду SaaS своей организации, усложняя цепочку поставок. При наличии сотен взаимосвязанных приложений SaaS уязвимость в одном из них может повлиять на всю цепочку поставок. Это нарушение подчеркивает необходимость быстрого обнаружения и реагирования. Такие нормативные акты, как NY-DFS, теперь обязывают CISO сообщать об инцидентах в своих цепочках поставок в течение 72 часов.Борьба с уязвимостями цепочки поставок с помощью автоматизированного SSPM
В 2024 году CISO и их команды должны иметь доступ к оперативным оповещениям об угрозах. Это гарантирует, что они будут хорошо информированы об инцидентах безопасности в своей цепочке поставок SaaS, позволяя быстро реагировать для минимизации потенциального ущерба. Превентивные меры, такие как эффективное управление рисками сторонних производителей (TPRM), имеют решающее значение для оценки рисков, связанных с каждым приложением. Поскольку угрозы безопасности SaaS продолжаются, включая как знакомые, так и новые, эффективное управление рисками требует приоритизации мониторинга угроз и использования надежного решения SaaS Security Position Management (SSPM).Прогноз угроз 3: доступ к учетным данным
Кибератака на крупного поставщика медицинских услуг
В феврале 2024 года крупный поставщик медицинских услуг стал жертвой кибератаки, в ходе которой, как полагают следователи, злоумышленники использовали украденные учетные данные для входа на сервер. Одним из ключевых выводов является то, что отсутствие многофакторной аутентификации (MFA) в сочетании с украденным токеном допускало несанкционированный доступ.Почему это важно
В сфере безопасности SaaS злоупотребление скомпрометированными учетными данными не является новой тенденцией. Согласно недавнему отчету, за последний год в среднем происходило 4000 атак с заблокированными паролями в секунду. Несмотря на появление более сложных методов атак, субъекты угроз часто используют простоту и эффективность использования украденной регистрационной информации. Внедрение строгих мер контроля доступа, регулярные проверки и аудиты необходимы для обнаружения и устранения уязвимостей. Это гарантирует, что только авторизованные лица будут иметь доступ к соответствующей информации, сводя к минимуму риск несанкционированного доступа.Борьба с атаками на учетные данные с помощью автоматического SSPM
Для борьбы с атаками на учетные данные организациям необходим многосторонний подход. Службы безопасности должны отслеживать утечку паролей в темной сети, чтобы быстро идентифицировать скомпрометированные учетные данные и реагировать на них. Затем внедрение многофакторной аутентификации, устойчивой к фишингу (MFA), добавит надежный уровень безопасности, который предотвращает несанкционированный доступ, даже если пароли украдены. Кроме того, группы безопасности должны постоянно искать аномальную активность в системах, чтобы обнаруживать и устранять потенциальные взломы до того, как они нанесут значительный ущерб.Прогноз угроз 4: обход MFA
Новый инструмент PaaS обходит MFA для Gmail и Microsoft 365
Появился новый инструмент "фишинг как услуга" (PaaS) под названием "Tycoon 2FA", который упрощает фишинговые атаки на учетные записи Gmail и Microsoft 365 в обход многофакторной аутентификации (MFA). В середине февраля 2024 года была выпущена новая версия Tycoon 2FA, использующая метод AiTM (Противник посередине) для обхода MFA. Этот эксплойт включает в себя сервер злоумышленника, на котором размещена фишинговая веб-страница, который перехватывает входные данные жертвы и передает их законному сервису для запроса MFA. Фишинговая страница Tycoon 2FA затем передает данные, введенные пользователем, в законный API аутентификации Microsoft, перенаправляя пользователя на законный URL с веб-страницей "не найдено".Почему это важно
Многие организации полностью пренебрегают MFA, что делает их уязвимыми для потенциальных взломов. Согласно нашему исследованию, 13% организаций не внедрили MFA ни на одном из своих пользователей. Отсутствие защиты от аутентификации может быть использовано неавторизованными лицами для доступа к конфиденциальным данным или ресурсам. Внедрение MFA эффективно усиливает защиту от несанкционированного доступа и SaaS-атак, что делает его оптимальным решением для атак с использованием учетных данных.Борьба с обходом MFA с помощью автоматизированного SSPM
Автоматизированные решения SSPM постоянно проверяют конфигурации MFA и отслеживают любые признаки попыток обхода. Автоматизируя эти проверки, организации могут гарантировать, что MFA внедрен надлежащим образом и эффективно функционирует, тем самым предотвращая сложные атаки, направленные на обход средств защиты MFA. Автоматизация гарантирует, что настройки MFA всегда актуальны и правильно применяются во всей организации. Рекомендуется использовать несколько форм идентификации и многоступенчатые процессы входа в систему, такие как несколько паролей и дополнительные этапы проверки.Прогнозируемая угроза 5: взаимосвязанные угрозы
Инцидент с несанкционированным доступом
11 мая 2024 года финансово-технологическая компания столкнулась с несанкционированным доступом к своему пользовательскому пространству на платформе репозитория кода SaaS сторонних производителей. Компания быстро решила проблему, подчеркнув, что в репозитории не хранилась информация о клиентах. Однако в ходе расследования фирма обнаружила, что учетные данные из их пользовательского пространства были украдены и использованы для доступа к их производственной среде. Этот переход со сторонней платформы SaaS на инфраструктуру компании позволил злоумышленнику получить доступ к клиентским данным, хранящимся в производственной среде.Почему это важно
Рост числа междоменных атак подчеркивает растущую изощренность киберугроз, одинаково влияющих на локальные, облачные и SaaS-среды. Чтобы понять эту угрозу, нам необходимо рассмотреть точку зрения участников угрозы, которые используют любую доступную возможность для доступа к активам жертвы, независимо от домена. Хотя эти домены обычно рассматриваются как отдельные поверхности атаки, злоумышленники рассматривают их как взаимосвязанные компоненты единой цели.Борьба с междоменными атаками с помощью автоматического SSPM
Инструменты SSPM обеспечивают целостное представление о состоянии безопасности организации. Благодаря постоянному мониторингу и защите домена SaaS угрозы могут быть ограничены и локализованы. Кроме того, автоматизируя обнаружение угроз и реагирование на них, организации могут быстро изолировать угрозы и смягчать их последствия.Важность скорости и эффективности в борьбе с нарушениями SaaS
Автоматизация в области безопасности SaaS незаменима для организаций, которым необходимо повысить уровень своей безопасности и эффективно бороться с нарушениями безопасности. Инструменты SSPM оптимизируют критически важные функции, такие как обнаружение угроз и реагирование на инциденты, позволяя группам безопасности работать с большей эффективностью и масштабируемостью.Автоматизируя рутинные задачи, организации могут заблаговременно выявлять и снижать риски безопасности, обеспечивая более быстрое и эффективное реагирование на взломы. Использование возможностей автоматизации SSPM не только укрепляет киберзащиту, но и экономит драгоценное время и ресурсы, позволяя организациям реагировать на возникающие киберугрозы с повышенной точностью и скоростью.
