如果所有伟大的SaaS平台都有一个共同点,那就是他们致力于简化最终用户的生活。单点登录(SSO)提供程序的任务是安全地消除用户的摩擦。
借助SSO,用户不必记住每个应用程序的单独密码,也不必隐藏凭证的数字副本。
SSO还可以释放IT带宽,从处理重复的密码重置请求中解放出来,同时提高组织中每个人的工作效率。但是,SSO功能也会带来一定程度的风险。
SSO涉及的现实生活中的风险
尽管SSO在很大程度上简化了访问的便利,但同时也带来了一定数量的迫在眉睫的风险。SSO是提高效率的良好推动者,但不是最终的安全解决方案,它具有允许绕过的自身缺陷。
NCC集团的Adam Roberts在几种SSO服务中检测到一类特殊的漏洞。他发现该漏洞特别影响了安全断言标记语言(SAML)的实现。
“该漏洞可能允许攻击者修改由身份提供商生成的SAML响应,并任意用户账户,从而获得未经授权的访问,或将应用内升级权限”中描述的安全研究员罗伯特。
Micro Focus Fortify的安全研究人员在2019年展示了Microsoft身份验证机制中与SSO漏洞相关的危险。这些漏洞使不良行为者可以拒绝服务或冒充其他用户以利用其用户特权。Microsoft于同年7月修复了SSO身份验证中的漏洞。
不良帐户能够绕过SSO的帐户接管(ATO)攻击也令人不安。信用评级巨头益百利(Experian)(对破坏性欺诈攻击并不陌生)表示,有57%的组织表示,他们在2020年成为ATO的受害者。
SSO,MFA,IAM,我的天哪!
根据设计,SSO不能提供100%的保护。许多组织都将另外启用多因素身份验证(MFA),但是,仍然存在所有这些预防措施都可能失败的情况。这是一个常见的场景:
超级管理员(SaaS安全态势最强大的用户)通常会绕过SSO和IAM参数而不会打h。出于许多原因,可以绕开此功能,这是出于对轻松访问和便捷性或需求的努力而引起的。在IdP中断的情况下,对于某些SaaS平台,超级管理员将直接针对该平台进行身份验证以确保连接性。在任何情况下,都有允许管理员绕过其强制使用的旧协议。
防范SSO失败
单靠SSO工具还不足以防止未经授权进入组织的SaaS资产。您可以采取某些步骤来避免SSO带来的风险。
- 运行审核并确定可以绕过SSO的用户和平台,并部署特定于应用程序的MFA,以确保为用户正确配置了密码策略。
- 识别不支持MFA且正在使用的旧式身份验证协议,例如电子邮件客户端的IMAP和POP3。
- 然后,减少使用这些协议的用户数量,然后创建第二个因素,例如可以使用此类旧协议的一组特定设备。
- 审查危害的唯一指标,例如在电子邮件应用程序中配置的转发规则,批量操作等。此类指标在SaaS平台之间可能有所不同,因此需要对每个平台有深入的了解。
像Adaptive Shield这样的SaaS安全状态管理(SSPM)工具可以使这些步骤自动化,以在一定程度上帮助防止可能的泄漏或攻击。
除了审核SaaS生态系统中的每个用户之外,Adaptive Shield还使您能够通过每个设置,用户角色和访问权限,来查看整个SaaS资产,包括的SSO域中的配置弱点。
Adaptive Shield为您的安全团队提供了整个违规情况及其对组织的风险,并在解决威胁之前的每一步都为您提供了正确的指导。
*编译:Domino
*来自:thehackernews