一、概述
在本次2022 RSAC会议中,来自Varonis公司的Matt Radolec分享了议题《Pain in the Apps — Three Attack Scenarios Attackers Are Using to PWN SaaS》,主要介绍了三种针对SaaS平台的攻击场景,详细地说明了每个阶段攻击者的攻击手法以及对应的检测思路,希望让用户意识到,SaaS平台在带来便捷的同时,也存在一定的风险,尤其是用户存储在SaaS上的重要数据。
接下来,将介绍该议题的研究背景和三种攻击场景,最后解读其技术思路亮点以及防御策略。
本文涉及到的技术仅供教学、研究使用,禁止用于非法用途。
二、研究背景
Varonis[1]是一家数据安全公司,为金融服务、医疗保健、能源、制造业和科技公司提供可操作的数据治理解决方案。它于2005年成立,总部位于美国纽约,目前已拥有1800名左右的员工。Varonis为何在2005年便开始从事数据安全领域的业务?官网给出了这样一个事件:2003年,一家大型石油和天然气公司遭遇了一起安全事件。他们花费数百万美元捕捉海底的高分辨率图像,将其存储在自己的文件服务器上,但是后来服务器上的图像数据却意外消失。相关安全专家在经过一系列调查之后,仍无法确定该数据是被意外删除或被窃取,甚至没有发现任何操作记录来缩小嫌疑人的范围。从这起事件中,专家意识到了保护数据的重要性,看到了数据安全领域的机会。
Varonis认为,协作让数据变得比以前更重要、更有价值,如果数据不能分享,就不能实现其价值。而如今,SaaS平台的出现让协作变得更加便捷,企业无需购买软硬件、建设机房,只需购买SaaS服务,即可在任意地方使用信息系统。随着国内外企业的数字化转型,越来越多的企业开始上云,加速了SaaS行业的增长,图1展示了各种各样的SaaS平台:
图1 部分SaaS平台(源自议题PPT)
但问题是,SaaS平台的安全性如何?企业在使用时是否会出现前文提到的数据丢失事件?根据Varonis 2021 SaaS Risk Report[2]显示,44%的SaaS平台存在特权配置错误的风险,75%的企业外部承包商在离开企业后仍保持账户活跃,15%的企业员工在使用SaaS平台时将业务数据转移至个人云账户,诸多数据表明,企业在使用SaaS平台时存在较多风险,因此确保SaaS的安全也变得尤为重要。
三、攻击技术介绍
Varonis拥有自己的安全实验室,下面将介绍实验室在研究SaaS平台安全时发现的以窃取数据为目的的三种攻击场景,在了解每个攻击场景之后,也带领大家从分析其技术亮点。
该场景以SSO平台okta为例,介绍了攻击者通过钓鱼邮件获取用户的okta登录cookie,将cookie注入本地浏览器以登录okta平台,然后从okta横向移动至Google Workspace和Box等SaaS平台,利用SaaS平台的信息共享机制,将敏感数据下载至本地或者对外公开分享,最终达到窃取数据的目的,整个攻击流如图2所示:
图2 场景一攻击流
分析场景一中的技术亮点:
在通过钓鱼邮件获得初始访问点okta平台之后,如何横向移动至Google Workspace、Box平台?主要利用的是应用的授权机制,在okta管理界面内,每个应用在授权okta时会指派一个账户,在work界面进入应用时,会直接进入该账户的工作空间,如图3、图4所示:
图3 应用管理界面(源自议题视频)
图4 okta work界面(源自议题视频)
该场景介绍了攻击者通过钓鱼邮件获取受害者登录Github平台的cookie,在本地浏览器利用cookie登录Github平台,下载账户私有仓库的代码,从代码中寻找到slack平台的凭证,从而横向移动至slack平台,然后在slack平台的频道中发送自定义的恶意salesforce应用程序,诱使用户安装,一旦成功安装,便可以控制用户的salesforce账户,从salesforce中寻找敏感数据下载至本地,其攻击流程如图5所示:
图5 场景二攻击流
分析场景二的技术亮点:
该攻击流主要是将初始攻击对象转移至Github代码仓库,从Github仓库中寻找跟业务相关的敏感凭证,如slack平台的凭证,一旦登录到这样的业务平台,便可以根据频道中的员[1] [2] 工通讯信息[3] 进行针对性的诱导攻击,提升攻击成功率,虽攻击流较为曲折,但技术难度中等。
该场景介绍了攻击者通过钓鱼邮件控制企业员工个人机之后,利用工具窃取个人机上的浏览器cookie和凭证,然后将个人机设置为代理转发攻击者的流量,防止出现直接连接平台受到MFA或访问控制限制的情况,最后利用cookie和凭证登录对应SaaS平台,窃取用户数据,其攻击流程如图6所示:
图6 场景三攻击流
分析场景三的技术亮点:
该攻击流主要是利用员工的个人机作为跳板,让其代理攻击者的流量。一般来说,员工在公司环境内长期办公时,个人机的机器以及IP信息以及被SaaS平台记录并列为正常用户,攻击者即使获取到SaaS平台的cookie等登录凭证,直接访问SaaS平台也有可能因为异常IP信息或新设备受到MFA(多因素身份验证)验证或其他访问限制,但通过员工个人机的中转,可以避免该情况的发生。
四、绿盟解读
观察三种攻击场景的流程,可以发现攻击都是由钓鱼邮件起始的,攻击的最终目的也都是用户数据,由此可见培养企业员工安全意识的重要性,也说明了SaaS平台存在的一些风险:MFA绕过和权限配置问题。MFA本身是用来防止身份盗用和网络攻击的,但一些SaaS平台本身在实现机制方面存在一定的缺陷,导致攻击者可以利用漏洞进行绕过(Varonis 的安全实验室在此前公开了针对Box等SaaS平台的认证绕过技术[3][4]),或者直接使用钓鱼邮件获取cookie绕过登录流程,因此MFA绕过这个问题仍需更严格的认证方案来解决。
那么除了针对钓鱼邮件提高员工的安全意识,是否还有其他方法保护SaaS平台的安全、保护用户的数据安全?站在防御的角度去分析这三种攻击场景涉及的攻击手法,总结出以下手段保护SaaS平台的安全:
– SaaS平台应检测用户登录IP及IP对应的地理位置,判断是否异常、是否和威胁情报IP相关联
– SaaS平台应记录用户的数据下载行为,包括用户下载时间、下载次数、下载时登录IP等
– SaaS平台应对上传的文件内容进行限制、检测,以防勒索软件、木马等恶意文件通过SaaS平台传播
– 企业应监控个人机上的软件安装,防止恶意软件的运行
– 时刻核查SaaS平台的权限配置、访问控制配置是否满足安全标准,避免重要数据如代码、商业文件等公开导致泄露
对许多企业来说,数据最为宝贵但也极其脆弱。在如今SaaS平台被广泛应用的场景下,如何在发展业务的过程中保护好数据安全,是企业需要重视的关键问题。
参考文献
参考文献
[1] https://www.varonis.com/company
[2] https://info.varonis.com/saasrisk
[3] https://www.varonis.com/blog/box-mfa-bypass-totp
[4] https://www.varonis.com/blog/box-mfa-bypass-sms
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新研究院负责运营,绿盟科技创新研究院是绿盟科技的前沿技术研究部门,包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我
原文始发于微信公众号(绿盟科技研究通讯):RSAC解读:面向数据的SaaS攻击案例