Carding
Professional
- Messages
- 2,871
- Reaction score
- 2,371
- Points
- 113
Службы безопасности знакомы с угрозами, исходящими от сторонних приложений, которые сотрудники добавляют для повышения своей производительности. Эти приложения изначально предназначены для предоставления пользователям функциональных возможностей путем подключения к приложению-концентратору, такому как Salesforce, Google Workspace или Microsoft 365. Проблемы безопасности сосредоточены на областях разрешений, которые предоставляются сторонним приложениям, и возможности того, что субъект угрозы может захватить основные приложения и злоупотреблять этими разрешениями.
Нет никаких реальных опасений, что приложение само по себе начнет удалять файлы или обмениваться данными. Таким образом, решения SaaS для управления состоянием безопасности (SSPM) способны идентифицировать интегрированные сторонние приложения и предоставлять их области разрешений. Затем команда безопасности проводит оценку рисков, сопоставляя преимущества, которые предлагает приложение, с областями его разрешений, прежде чем принять решение о сохранении или разделении приложений.
Однако участники угрозы изменили правила игры с появлением вредоносных приложений. Эти приложения ничего ценного не добавляют к приложению-концентратору. Они предназначены для подключения к приложению SaaS и выполнения несанкционированных действий с содержащимися в нем данными. Когда эти приложения подключаются к основному стеку SaaS, они запрашивают определенные области и разрешения. Затем эти разрешения позволяют приложению читать, обновлять, создавать и удалять содержимое.
Вредоносные приложения могут быть новыми для мира SaaS, но это то, что мы уже видели в мобильных устройствах. Злоумышленники могли бы создать, например, простое приложение-фонарик, которое можно было бы загрузить через App Store. После загрузки эти минималистичные приложения запрашивали абсурдные наборы разрешений, а затем осуществляли минирование телефона данными.
В других случаях опечатка или небольшая ошибка в названии бренда могут привести сотрудника на сайт вредоносного приложения. Отсюда, как отмечает Элиана Ви в этом эпизоде SaaS Security on Tap, всего за несколько кликов приложение подключается к основному приложению SaaS с достаточными разрешениями для выполнения вредоносных действий.
www.youtube.com
Другие субъекты угроз могут публиковать вредоносные приложения в магазинах приложений, таких как Salesforce AppExchange. Эти приложения могут предоставлять функциональные возможности, но глубоко внутри скрыты вредоносные действия, ожидающие выполнения.
Как и в мире мобильных устройств, зачастую вредоносные приложения выполняют обещанную функциональность. Однако они в состоянии нанести удар по мере необходимости.
Это означает получение информации о каждом стороннем приложении, подключенном к вашим приложениям-концентраторам, их разрешениях и контекстной информации, описывающей, что делает приложение. Кроме того, параметры безопасности ваших приложений-концентраторов должны быть настроены таким образом, чтобы предотвращать вредоносные атаки или ограничивать наносимый ими ущерб. Эти настройки включают требование одобрения администратора для подключения приложений, ограничение доступа сторонних приложений и разрешение интеграции только тех приложений, которые поставляются из одобренного App Market для приложения hub.
Модуль SSPM, такой как Adaptive Shield, с возможностью обнаружения приложений interconnectivity, подключенный к вашему полному стеку SaaS, будет обнаруживать вредоносное приложение. При правильном SSPM вы можете убедиться, что ваших конфигураций достаточно для предотвращения захвата вредоносными приложениями ваших приложений-концентраторов. Оно также может вызывать оповещения, когда набор разрешений приложения слишком велик, или использовать искусственный интеллект для выявления аномалий или других уникальных идентификаторов профиля, указывающих на вредоносность приложения, что позволяет вашей службе безопасности обеспечивать безопасность ваших приложений-концентраторов.
Нет никаких реальных опасений, что приложение само по себе начнет удалять файлы или обмениваться данными. Таким образом, решения SaaS для управления состоянием безопасности (SSPM) способны идентифицировать интегрированные сторонние приложения и предоставлять их области разрешений. Затем команда безопасности проводит оценку рисков, сопоставляя преимущества, которые предлагает приложение, с областями его разрешений, прежде чем принять решение о сохранении или разделении приложений.
Однако участники угрозы изменили правила игры с появлением вредоносных приложений. Эти приложения ничего ценного не добавляют к приложению-концентратору. Они предназначены для подключения к приложению SaaS и выполнения несанкционированных действий с содержащимися в нем данными. Когда эти приложения подключаются к основному стеку SaaS, они запрашивают определенные области и разрешения. Затем эти разрешения позволяют приложению читать, обновлять, создавать и удалять содержимое.
Вредоносные приложения могут быть новыми для мира SaaS, но это то, что мы уже видели в мобильных устройствах. Злоумышленники могли бы создать, например, простое приложение-фонарик, которое можно было бы загрузить через App Store. После загрузки эти минималистичные приложения запрашивали абсурдные наборы разрешений, а затем осуществляли минирование телефона данными.
Подключение
Субъекты угроз используют сложные фишинговые атаки для подключения вредоносных приложений к основным приложениям SaaS. В некоторых случаях сотрудников приводят на сайт, выглядящий законно, где у них есть возможность подключить приложение к их SaaS.В других случаях опечатка или небольшая ошибка в названии бренда могут привести сотрудника на сайт вредоносного приложения. Отсюда, как отмечает Элиана Ви в этом эпизоде SaaS Security on Tap, всего за несколько кликов приложение подключается к основному приложению SaaS с достаточными разрешениями для выполнения вредоносных действий.
SaaS-to-SaaS Access — 3rd-Party Apps are Taking Over
SaaS-to-SaaS (third-party) app installations are growing nonstop. When an employee needs an additional app to increase their efficiency or productivity, they...
www.youtube.com
Другие субъекты угроз могут публиковать вредоносные приложения в магазинах приложений, таких как Salesforce AppExchange. Эти приложения могут предоставлять функциональные возможности, но глубоко внутри скрыты вредоносные действия, ожидающие выполнения.
Как и в мире мобильных устройств, зачастую вредоносные приложения выполняют обещанную функциональность. Однако они в состоянии нанести удар по мере необходимости.
Опасности вредоносных приложений
Вредоносные приложения представляют ряд опасностей. В крайнем случае, они могут шифровать данные и организовывать атаки SaaS-программ-вымогателей.- Утечки данных – вредоносные сторонние приложения могут получить доступ к конфиденциальным записям сотрудников или клиентов, хранящимся в приложении SaaS. После получения доступа вредоносное приложение может извлекать данные и публиковать их в Интернете или удерживать с целью получения выкупа.
- Компрометация системы – вредоносные приложения могут использовать предоставленные им разрешения для изменения настроек в основном приложении SaaS или добавления новых пользователей с высокими привилегиями. Затем эти пользователи могут получить доступ к приложению SaaS по своему желанию и запускать будущие атаки, красть данные или нарушать работу.
- Нарушение конфиденциальности – вредоносное приложение может украсть конфиденциальные данные или коммерческие секреты. Затем эти данные могут быть опубликованы в Интернете, что приведет к значительным финансовым потерям, ущербу репутации и потенциальным обременительным государственным штрафам.
- Нарушения соответствия требованиям – получая доступ к данным в приложении SaaS, вредоносное приложение может подвергнуть организацию риску несоблюдения требований. Это может повлиять на отношения с партнерами, клиентами и регулирующими органами и потенциально привести к финансовым санкциям.
- Проблемы с производительностью – вредоносные приложения могут влиять на производительность системы, изменяя конфигурации доступа пользователей, отключая функции и вызывая проблемы с задержкой и замедлением работы.
Защита ваших основных приложений
Защита данных, хранящихся в приложении SaaS, должна быть одним из главных приоритетов службы безопасности. Для этого им требуются возможности обнаружения угроз SaaS, которые могут идентифицировать вредоносные приложения до того, как они повредят данные SaaS.Это означает получение информации о каждом стороннем приложении, подключенном к вашим приложениям-концентраторам, их разрешениях и контекстной информации, описывающей, что делает приложение. Кроме того, параметры безопасности ваших приложений-концентраторов должны быть настроены таким образом, чтобы предотвращать вредоносные атаки или ограничивать наносимый ими ущерб. Эти настройки включают требование одобрения администратора для подключения приложений, ограничение доступа сторонних приложений и разрешение интеграции только тех приложений, которые поставляются из одобренного App Market для приложения hub.
Модуль SSPM, такой как Adaptive Shield, с возможностью обнаружения приложений interconnectivity, подключенный к вашему полному стеку SaaS, будет обнаруживать вредоносное приложение. При правильном SSPM вы можете убедиться, что ваших конфигураций достаточно для предотвращения захвата вредоносными приложениями ваших приложений-концентраторов. Оно также может вызывать оповещения, когда набор разрешений приложения слишком велик, или использовать искусственный интеллект для выявления аномалий или других уникальных идентификаторов профиля, указывающих на вредоносность приложения, что позволяет вашей службе безопасности обеспечивать безопасность ваших приложений-концентраторов.
