Kabocoran kredensial tetep salah sahiji téknik penetrasi anu paling sering dianggo ku panyerang. Taun 2023, para ahli Kaspersky Digital Footprint Intelligence mendakan dina darknet langkung ti 3,100 iklan anu nawiskeun aksés ka sumber daya perusahaan – sababaraha diantarana dipiboga ku perusahaan Fortune 500. Pikeun ngatur résiko anu aya hubunganana sacara langkung efektif, minimalkeun jumlah akun anu rentan, ogé detecting na blocking usaha aksés diidinan leuwih gancang, pausahaan anu ngadopsi sistem manajemen identitas, nu urang bahas di jéntré saméméhna. Nanging, prosés manajemén identitas anu efektif mustahil dugi ka seuseueurna sistem perusahaan ngadukung auténtikasi ngahiji. Sistem internal biasana ngandelkeun katalog terpusat – sapertos Active Directory – pikeun auténtikasi ngahijikeun, sedengkeun sistem SaaS éksternal komunikasi sareng katalog identitas perusahaan liwat platform sign-on (SSO) tunggal, anu tiasa disebarkeun sacara éksternal atanapi di-host dina infrastruktur perusahaan. (sapertos ADFS).

Pikeun pagawé, ieu ngajantenkeun prosés login gampang dianggo. Pikeun asup ka sistem éksternal – sapertos Salesforce atanapi Concur – karyawan ngalengkepan prosedur auténtikasi standar, anu kalebet ngalebetkeun kecap konci sareng ngalebetkeun faktor auténtikasi kadua: kecap akses sakali, token USB, atanapi anu sanés – gumantung kana kawijakan sistem perusahaan. Taya login atawa sandi séjén diperlukeun. Salaku tambahan, pas anjeun asup ka hiji sistem isuk-isuk, anjeun bakal dioténtikasi dina sistem anu sanés sacara standar. Dina tiori, prosésna aman, sabab tim IT sareng infosec gaduh kontrol terpusat pinuh kana akun, kawijakan sandi, metode MFA, sareng log. Tapi dina kahirupan nyata, standar kaamanan anu dikuatkeun ku sistem éksternal anu ngadukung SSO tiasa ngabuktikeun henteu luhur pisan.

SSO bubu

Nalika pangguna asup kana sistem software-as-a-service (SaaS), server sistem, alat klien pangguna, sareng platform SSO ngalangkungan sababaraha sasalaman nalika platform ngesahkeun pangguna sareng ngaluarkeun SaaS sareng alat. kalawan token auténtikasi nu confirms idin pamaké. Token tiasa kéngingkeun rupa-rupa atribut tina platform anu aya hubunganana sareng kaamanan. Ieu bisa ngawengku di handap:

  • Token (sareng sési) béakna, ngabutuhkeun pangguna pikeun dioténtikasi deui
  • Rujukan kana browser atanapi alat sélulér khusus
  • Sababaraha alamat IP atanapi wates rentang IP, anu ngamungkinkeun pikeun hal-hal sapertos larangan geo
  • Kaayaan tambahan pikeun béakna sési, sapertos nutup browser atanapi kaluar tina platform SSO

Tangtangan utama nyaéta sababaraha panyadia awan salah tafsir atanapi bahkan teu malire larangan ieu, ku kituna ngaleuleuskeun modél kaamanan anu diwangun ku tim infosec. Salaku tambahan, sababaraha platform SaaS henteu gaduh kadali validitas token anu nyukupan, nyésakeun rohangan pikeun pemalsuan.

Kumaha kalemahan dina palaksanaan SSO dieksploitasi ku penjahat

Skenario anu paling umum nyaéta maling token. Ieu bisa jadi maok cookies tina komputer pamaké, intercepting lalulintas, atawa retrieving file HAR (arsip lalulintas). Token anu sami anu dianggo dina alat anu béda sareng tina alamat IP anu béda-béda sacara umum mangrupikeun sinyal anu penting pikeun platform SaaS anu peryogi validasi deui sareng kamungkinan auténtikasi deui. Tapi di dunya nyata, penjahat mindeng hasil ngagunakeun tokens dipaling log kana sistem dina ngaran pamaké sah, bari circumventing kecap akses, kode hiji-waktos, sarta panyalindungan infosec lianna.

Skenario umum anu sanésna nyaéta sasaran phishing anu ngandelkeun situs wéb perusahaan palsu sareng, upami diperyogikeun, proxy sabalikna sapertos evilginx2, anu ogé nyolong kecap akses, kode MFA, sareng token.

Ningkatkeun kaamanan SSO

Pariksa ngajual SaaS anjeun. Tim Infosec tiasa nambihan palaksanaan SSO panyadia SaaS kana daptar patarosan anu kedah dijawab ku vendor nalika ngirimkeun usulanna. Sacara khusus, éta mangrupikeun patarosan ngeunaan niténan sababaraha larangan token, validasi, kadaluwarsa, sareng panyabutan. Léngkah pamariksaan salajengna tiasa kalebet audit kode aplikasi, uji integrasi, analisis kerentanan, sareng pentesting.

Rencanana tindakan kompensasi. Aya sababaraha cara pikeun nyegah manipulasi token sareng maling. Contona, ngagunakeun EDR dina sadaya komputer nyata ngurangan résiko kainfeksi malware, atawa dialihkeun ka situs phishing. Manajemén alat sélulér (EMM/UEM) tiasa ngatur aksés mobile kana sumberdaya perusahaan. Dina sababaraha kasus, kami nyarankeun ngalarang alat anu teu diurus tina jasa perusahaan.

Konpigurasikeun analisis lalulintas Anjeun Jeung Sistim manajemén identitas pikeun ningali pamundut sareng réspon SSO, supados tiasa ngaidentipikasi pamundut anu curiga anu asalna tina aplikasi klien anu teu biasa atanapi pangguna anu teu biasa, dina zona alamat IP anu teu kaduga, sareng sajabana. Token anu umurna panjang pisan ogé tiasa diatasi ku kadali lalu lintas.

Keukeuh kana palaksanaan SSO hadé. Seueur panyadia SaaS ningali SSO salaku genah pikeun konsumén, sareng musabab pikeun nawiskeun rencana “perusahaan” anu langkung mahal, bari henteu prioritas kaamanan inpormasi. Anjeun tiasa pasangan sareng tim pengadaan anjeun pikeun kéngingkeun pangaruh ieu, tapi hal-hal bakal robih laun. Nalika ngobrol sareng panyadia SaaS, teu aya salahna pikeun naroskeun ngeunaan rencanana pikeun ningkatkeun fitur SSO – sapertos dukungan pikeun larangan token anu disebatkeun di luhur (geo-blocking, kadaluwarsa, sareng saterasna), atanapi rencana transisi pikeun ngagunakeun token anu langkung énggal. protokol bursa leuwih standar – kayaning JWT atanapi CAEP.


#Palaksanaan #Cloud #SSO #sareng #kumaha #carana #ngirangan #résiko #serangan