Intro: Mengapa meretas kapan Anda bisa masuk?
Aplikasi SaaS adalah tulang punggung organisasi modern, mendorong produktivitas dan efisiensi operasional. Tetapi setiap aplikasi baru memperkenalkan risiko keamanan yang kritis melalui integrasi aplikasi dan banyak pengguna, menciptakan titik akses yang mudah bagi para aktor ancaman. Akibatnya, pelanggaran SaaS telah meningkat, dan menurut laporan Cyber Cyber Mei 2024 Mei, identitas dan kesalahan konfigurasi kredensial menyebabkan 80% paparan keamanan.
Tanda-tanda kompromi yang halus tersesat dalam kebisingan, dan kemudian serangan multi-tahap terungkap tidak terdeteksi karena solusi yang dibungkam. Pikirkan pengambilalihan akun di entra ID, lalu eskalasi hak istimewa di GitHub, bersama dengan exfiltrasi data dari Slack. Masing -masing tampaknya tidak terkait ketika dilihat secara terpisah, tetapi dalam garis waktu peristiwa yang terhubung, ini merupakan pelanggaran yang berbahaya.
Platform SaaS Wing Security adalah solusi multi-lapis yang menggabungkan manajemen postur dengan deteksi dan respons ancaman identitas waktu nyata. Hal ini memungkinkan organisasi untuk mendapatkan peta identitas sejati dari ekosistem SaaS mereka, mendeteksi dan merespons dengan cepat terhadap ancaman, dan mencegah serangan di masa depan.
Memulai dengan visibilitas dan cakupan SaaS
Anda tidak dapat melindungi apa yang tidak Anda ketahui. Mayoritas solusi yang ada (IAM, PAM, IAM, dll.) Tidak mencakup aplikasi SaaS atau tidak memiliki kedalaman yang diperlukan untuk mendeteksi ancaman SaaS. Inilah sebabnya mengapa langkah pertama adalah mengatasi bayangan itu dan mendapatkan visibilitas lengkap ke dalam tumpukan organisasi, termasuk semua aplikasi, akun, dan semua integrasi pihak ketiga tersembunyi yang tidak dimiliki oleh tim keamanan.
Pendekatan penemuan Wing tidak mengganggu, tanpa agen atau proxy. Ini hanya terhubung melalui API ke IDP utama (seperti Okta, Google Workspace, dan Azure AD) dan ke aplikasi SaaS yang sangat penting (dari Microsoft 365 dan Salesforce hingga Slack, Github, dll).
Wing menemukan:
- Human (pengguna) dan non-manusia (akun layanan, kunci API, dll.) Identitas.
- Konektivitas App-to-App dan integrasi pihak ketiga dan lingkup izinnya.
- Aplikasi bertenaga AI dan penggunaan data.
- Status MFA, admin dalam aplikasi SaaS yang berbeda (termasuk admin basi)
Visibilitas saja tidak cukup. Memahami perilaku identitas dalam aplikasi SaaS adalah kunci untuk mendeteksi dan menanggapi ancaman nyata dalam waktu. Di situlah lapisan deteksi ancaman identitas-sentris Wing masuk.
Ingin melihat Wing beraksi? Minta demo dengan salah satu pakar keamanan kami.
Deteksi ancaman identitas SaaS – – Dari batang kayu yang tersebar ke cerita serangan yang jelas
Sayap memetakan peristiwa identitas dan IOC untuk mewakili bagaimana penyerang berpikir. Ini kemudian mengkorelasikannya dengan teknik MITER ATT & CK untuk mengubah log SaaS yang panjang dan berantakan menjadi satu cerita serangan yang jelas – menyeledap investigasi, mengurangi kelelahan peringatan, dan mempercepat waktu rata -rata untuk resolusi (MTTR).
Setiap deteksi diperkaya dengan intelijen ancaman untuk konteks: reputasi IP (geolokasi dan privasi), penggunaan VPN/TOR, dan banyak lagi. Jadi, alih -alih menggali log mentah selama berhari -hari, analis dapat memahami buku pedoman penyerang dalam beberapa menit.
Contoh kehidupan nyata tentang bagaimana peretas mencoba mengeksploitasi identitas:
- Langkah 1 – Upaya semprotan kata sandi: Serangan semprotan kata sandi yang menargetkan beberapa akun pengguna dalam lingkungan ID ENRA. Penyerang berusaha masuk menggunakan serangan berbasis kredensial untuk membahayakan satu atau lebih akun pengguna tanpa memicu mekanisme penguncian.
- Langkah 2 – Agen Pengguna Cross -Account Tumpang tindih: Upaya login di beberapa akun dari agen pengguna yang sama (UA) mengkonfirmasi bahwa penyerang secara sistematis menguji kredensial pada skala selama fase pengintaian.
- Langkah 3 – Sukses Login Pasca -Reknik: Penyerang berhasil masuk ke akun. Login ini cocok dengan agen pengguna yang sama yang digunakan selama fase pengintaian, menunjukkan bahwa kredensial dikompromikan melalui aktivitas penyemprotan kata sandi sebelumnya.
- Langkah 4 – Eskalasi hak istimewa melalui penugasan peran: Penyerang meningkatkan hak istimewa akun yang dikompromikan dengan menetapkan peran administratif TI dalam ID entrad. Ini memberikan visibilitas dan kontrol yang lebih luas kepada penyerang, termasuk akses ke layanan pihak ketiga yang terhubung dengan OAuth seperti GitHub.
- Langkah 5 – Exfiltrasi Data dari GitHub: Dengan hak istimewa yang ditinggikan, penyerang memanfaatkan akses github terkait ENRA ID untuk menyusup ke repositori internal. Log aktivitas menunjukkan bahwa repositori pribadi diunduh, termasuk proyek yang mungkin berisi kode sumber, kunci API, atau dokumentasi internal. Penyerang menggunakan pijakan ini untuk mengeluarkan kekayaan intelektual sensitif yang sensitif langsung dari GitHub.
Timeline Path Attack
Timeline ancaman (Ref. Gambar #2) lebih berguna daripada log saja, karena menyajikan semua deteksi SaaS dengan konteks. Setiap deteksi memiliki konteks terperinci pada identitas yang terpengaruh, pemicu, dan di mana dan kapan itu terjadi (aplikasi, cap waktu, geolokasi).
Timeline Path Attack membantu tim operasi keamanan:
- Visualisasikan bagaimana serangan itu dibuka dengan pandangan kronologis dari deteksi terkait.
- Peta setiap deteksi ke teknik MITER ATT & CK, seperti pemindaian aktif, akun yang valid, manipulasi akun, dll.
- Memperkaya peringatan dengan konteks dan IOC, IP, agen pengguna, geolokasi, VPN/TOR, dan bukti.
- Hubungkan anomali dengan aktivitas rutin (misalnya, perubahan izin setelah brute force yang berhasil).
Memprioritaskan ancaman
Tidak semua ancaman keamanan diciptakan sama. Setiap ancaman diberi skor kepercayaan pelanggaran, mengukur kemungkinan bahwa ancaman akan menghasilkan pelanggaran yang sukses. Metrik ini dihitung berdasarkan faktor -faktor seperti:
- Jenis deteksi (yaitu, semprotan kata sandi, lonjakan aktivitas, dll.)
- Jumlah deteksi per ancaman (yaitu, satu identitas memiliki 4 deteksi)
- Taktik serangan berdasarkan mitra ATT & CK (yaitu, akses awal, exfiltration, dll.)
SecOps dapat mengurutkan dan fokus pada ancaman paling kritis terlebih dahulu. Misalnya, satu login yang gagal dari IP baru mungkin menjadi prioritas rendah ketika dilihat sendiri, tetapi login yang berhasil diikuti oleh exfiltration data akan mendapatkan skor kepercayaan yang lebih tinggi. Di dasbor, Anda dapat melihat antrian ancaman yang diprioritaskan, dengan ancaman tingkat tinggi di bagian atas yang pantas mendapatkan perhatian langsung dan yang berisiko lebih rendah lebih jauh ke bawah, memotong kelelahan peringatan dan memberikan deteksi ancaman nyata.
Ingin melihat Wing beraksi? Minta demo dengan salah satu pakar keamanan kami.
Lacak Status Ancaman & Kemajuan
Struktur pelacakan Wing membantu Secops tetap teratur dan menghindari ancaman yang menyelinap melalui celah. Tim dapat memperbarui status dan melacak setiap ancaman dari penciptaan ke resolusi.
Fungsi utama:
- Ancaman bendera untuk tindak lanjut untuk prioritas yang efisien atau untuk memantau kasus-kasus tertentu.
- Ancaman bendera untuk memicu acara webhook sehingga mereka akan muncul dalam sistem eksternal seperti Siem atau melambung dan tidak diabaikan.
- Perbarui status ancaman berdasarkan penyelidikan yang dilakukan oleh tim SOC dan IR.
Selesaikan dengan cepat dengan panduan mitigasi yang ringkas
Ketika SecOps menelusuri ancaman tertentu, mereka mendapatkan buku pedoman mitigasi yang disesuaikan dengan langkah -langkah yang disesuaikan dengan jenis serangan spesifik dan aplikasi SaaS. Panduan mitigasi meliputi:
- Rekomendasi yang disesuaikan untuk setiap jenis deteksi
- Dokumentasi yang relevan (misalnya, cara mengkonfigurasi kebijakan OKTA)
- Praktik terbaik untuk mengatasi akar penyebab dan mencegah kekambuhan (postur)
Pencegahan: Memeriksa akar penyebabnya
Setelah ancaman dihentikan, Anda perlu bertanya pada diri sendiri apa yang memfasilitasi ancaman ini untuk berhasil dan bagaimana Anda dapat memastikan itu tidak akan terjadi lagi.
Tim keamanan harus memeriksa apakah peristiwa ini terkait dengan faktor risiko yang mendasari dalam konfigurasi SaaS organisasi, sehingga mereka tidak hanya mengobati gejala (pelanggaran aktif) tetapi sedang mengatasi akar penyebabnya.
Ini dimungkinkan karena platform Wing berlapis, menggabungkan SaaS Security Posture Management (SSPM) dengan kemampuan deteksi ancaman identitas. Wing terus -menerus memantau kesalahan konfigurasi (berdasarkan kerangka kerja SCUBA CISA), menunjukkan dengan tepat pengaturan yang berisiko – seperti akun tanpa MFA atau token admin yang tidak pernah kedaluwarsa.
Wrap-Up: Menutup Loop Keamanan
Wing Security membawa kejelasan bagi SaaS Chaos melalui platform keamanan berlapis-lapis yang menggabungkan visibilitas yang mendalam, memprioritaskan manajemen risiko, dan deteksi waktu nyata. Dengan menggabungkan manajemen postur (SSPM) dan deteksi dan respons ancaman identitas (ITDR), organisasi dapat mengurangi paparan risiko, menanggapi ancaman dengan konteks, dan tetap di depan serangan berbasis identitas SaaS.
Pesan demo dengan sayap untuk menemukan bintik -bintik buta, tangkap ancaman lebih awal, dan perbaiki apa yang membuat bisnis Anda berisiko.
