Come impedire agli aggressori di compromettere gli ambienti cloud

I tassi di adozione del cloud pubblico sono in aumento da tempo e la pandemia globale ha accelerato la tendenza. Infatti, quasi il 60% delle aziende si aspetta che l’utilizzo della tecnologia cloud superi i piani precedenti a causa di COVID-19. Nell’era dell’accresciuta adozione del cloud pubblico e dell’uso diffuso del cloud Software-as-a-Service (SaaS), i criminali informatici stanno facendo uso di OAuth, un protocollo di delega e autorizzazione delle autorizzazioni, per compromettere gli ambienti cloud. Pertanto, il controllo delle applicazioni con cui gli utenti interagiscono è diventato un imperativo aziendale.

Diamo uno sguardo più da vicino a cos’è OAuth, al ruolo che svolge nel consentire agli utenti di accedere alle risorse attraverso gli ambienti, ai modi in cui gli aggressori stanno abusando di OAuth e cosa possono fare le organizzazioni per proteggere meglio i propri dati cloud.

Capire OAuth

L’autenticazione e l’autorizzazione dell’accesso utente per sistemi dissimili è stata una sfida sin dall’inizio dei sistemi computerizzati. Una risposta a questo problema è stata la nascita delle piattaforme Single Sign-On (SSO), che consentono agli utenti finali di accedere con un solo accesso a una varietà di applicazioni e risorse senza riautenticare. Le applicazioni moderne e l’esplosione dei servizi cloud pubblici e dei dati ospitati nel cloud hanno reso fondamentale consentire agli utenti di condividere le informazioni dai propri account cloud con applicazioni di terze parti.

Rilasciato come standard aperto nel 2010, OAuth fornisce funzionalità SSO agli utenti finali che richiedono l’accesso alle risorse in molti ambienti. OAuth è un protocollo di autorizzazione, il che significa che fornisce il permesso agli utenti di accedere a determinate risorse (invece di convalidare la loro identità). Google e altri fornitori di servizi cloud hanno fortemente supportato OAuth sin dal suo inizio e la sua evoluzione (OAuth 2.0) presenta nuove funzionalità di sicurezza utilizzate dalla maggior parte dei fornitori di servizi cloud oggi.

Come viene utilizzato OAuth oggi?

Ogni volta che un’applicazione di terze parti richiede API incentrate sul sistema per i dispositivi mobili degli utenti, il dispositivo mobile visualizzerà una richiesta di approvazione della richiesta di autorizzazioni (ad esempio utilizzando i dati GPS tramite l’API di sistema sottostante). Sebbene le API possano fungere da guardiani della sicurezza che concedono le autorizzazioni per lo scambio di informazioni, ci sono problemi con questo tipo di approvazione delle autorizzazioni. I permessi API possono essere facilmente revocati nella maggior parte dei siti come Google, Facebook e quelli che sono stati concessi possono essere facilmente dimenticati.

Che relazione c’è con la delega delle autorizzazioni OAuth? Ad esempio, Google utilizza le credenziali OAuth 2.0 per delegare le autorizzazioni alle risorse API. Tutte le applicazioni seguono lo stesso modello di base per accedere a un’API di Google utilizzando OAuth 2.0.

Innanzitutto, i proprietari delle applicazioni ottengono le credenziali OAuth 2.0 dalla console API di Google. Quindi, prima che un’applicazione di terze parti possa accedere ai dati utente privati utilizzando l’API di Google, deve ottenere un token di accesso che conceda l’accesso all’API di Google. Quindi l’ambito di accesso concesso dall’utente e restituito nel token di accesso viene confrontato con gli ambiti richiesti per accedere alle funzionalità e alle funzionalità dell’applicazione. L’applicazione dovrebbe disabilitare funzionalità e capacità che non possono funzionare senza l’accesso all’API correlata. Una volta che il server di autorizzazione di Google fornisce il token, viene inviato all’API di Google come intestazione della richiesta di autorizzazione HTTP. I token di accesso concessi dal server di autorizzazione di Google hanno una durata limitata, ma le applicazioni possono richiedere un token di aggiornamento quando necessario.

La maggior parte degli utenti è abituata semplicemente a “fare clic su Consenti” sulle richieste di autorizzazioni da applicazioni di terze parti. Pertanto, gli aggressori possono facilmente persuadere gli utenti finali a concedere le autorizzazioni di alto livello richieste dalle applicazioni dannose.

In che modo gli aggressori abusano di OAuth

Sebbene lo standard OAuth stesso includa misure di sicurezza, gli aggressori possono abusarne per scopi dannosi. Alcuni esempi di abuso di OAuth oggi includono:

● Sfruttare OAuth per aiutare le applicazioni dannose a recuperare i dati dell’account. Gli aggressori possono impersonare abilmente applicazioni di terze parti legittime per accedere ai dati dell’account. Ad esempio, un utente malintenzionato potrebbe creare un’app dannosa dall’aspetto legittimo, richiedere token OAuth per accedere ai dati dell’account e quindi utilizzare questo token OAuth per divulgare dati dall’account di un utente. Questi tipi di scenari sottolineano quanto sia fondamentale riconsiderare la tua posizione sull’autorizzazione di installazioni di applicazioni di terze parti in ambienti SaaS cloud come Google Workspace o Microsoft 365.

  • Sfruttare i punti deboli dell’implementazione di OAuth. Alcune applicazioni che sfruttano OAuth non richiedono segreti dell’applicazione e sono suscettibili di perdita e abuso di token di accesso. Gli aggressori possono utilizzare una varietà di metodi per raccogliere i token OAuth, comprese le tecniche di intercettazione, cross-site scripting o ingegneria sociale. Una volta che un utente malintenzionato ha accesso a un token OAuth compromesso, può accedere alle informazioni personali dell’utente finale. Inoltre, possono utilizzare il token OAuth per condurre altre attività dannose come la diffusione di malware per conto dell’utente compromesso o lanciare un attacco ransomware cloud.

Protezione dei dati del cloud

OAuth offre alle applicazioni un modo moderno per accedere ai dati privati contenuti nelle tue applicazioni o negli ambienti del provider di servizi cloud. Detto questo, l’aumento dell’adozione del cloud e il conseguente interesse a compromettere gli ambienti cloud significa che devi anche rafforzare la sicurezza per i tuoi sistemi e dati business-critical in altri modi. Con il rapido passaggio al lavoro distribuito e remoto, questo non è mai stato più vero di quanto lo sia oggi.

Viviamo nel giorno e nell’era in cui le applicazioni ora si estendono in ambienti on-premise, cloud e ibridi. Gli aggressori possono utilizzare un’ampia gamma di tattiche per compromettere gli ambienti cloud e le piattaforme SaaS cloud. In particolare, stanno cercando modi per abusare dell’autorizzazione OAuth per i servizi cloud e spesso utilizzano applicazioni di ingegneria sociale e dannose che si presentano come app innocue per compromettere i tuoi dati, rubare informazioni o persino introdurre ransomware.

Considera l’idea di sfruttare approcci di controllo delle applicazioni basati sull’intelligenza artificiale per monitorare e imporre quali applicazioni di terze parti o estensioni del browser possono integrare nel tuo ambiente SaaS per ottenere la piena visibilità dell’ambito delle autorizzazioni concesse per accedere ai tuoi dati di Google Workspace o Microsoft 365 utilizzando OAuth 2.0. Ciò consentirà di mantenere database di comportamento e analisi della reputazione per migliaia di applicazioni e di identificare quali sono sicure. Per prevenire l’abuso di OAuth da parte di applicazioni dannose, è necessario adottare un approccio proattivo per gestire le applicazioni a cui gli utenti accedono e quali possono e devono integrarsi con il proprio ambiente SaaS cloud.

Come impedire agli aggressori di compromettere gli ambienti cloudultima modifica: 2021-01-18T22:39:36+01:00da darionuke86
Reposta per primo quest’articolo