No início de 2024, a Wing Safety lançou seu relatório State of SaaS Safety, oferecendo insights surpreendentes sobre ameaças emergentes e melhores práticas no domínio SaaS. Agora, na metade do ano, várias previsões de ameaças de SaaS do relatório já se mostraram precisas. Felizmente, as soluções SaaS Safety Posture Administration (SSPM) priorizaram recursos de mitigação para resolver muitos desses problemas, garantindo que as equipes de segurança tenham as ferramentas necessárias para enfrentar esses desafios de frente.
Neste artigo, revisitaremos as nossas previsões do início do ano, apresentaremos exemplos reais destas ameaças em ação e ofereceremos dicas práticas e melhores práticas para ajudá-lo a prevenir tais incidentes no futuro.
Também vale a pena observar a tendência geral de uma frequência crescente de violações no cenário dinâmico de SaaS atual, levando as organizações a exigirem alertas de ameaças oportunos como uma capacidade important. As regulamentações do setor com prazos de conformidade próximos exigem relatórios de violações urgentes semelhantes. Essas mudanças de mercado significam que recursos de inteligência de ameaças fáceis, rápidos e precisos se tornaram especialmente essenciais para todas as organizações que utilizam SaaS, além de compreender os tipos específicos de ameaças detalhados abaixo.
Previsão de ameaças 1: Shadow AI
O uso oculto de IA em uma plataforma de comunicação
Em maio de 2024, uma importante plataforma de comunicação enfrentou reações adversas por usar dados de usuários de mensagens e arquivos para treinar modelos de aprendizado de máquina para pesquisas e recomendações. Esta prática levantou preocupações significativas de segurança de dados para as organizações, uma vez que estavam preocupadas com a potencial exposição e utilização indevida das suas informações sensíveis. Os usuários sentiram que não foram devidamente informados sobre esta prática e o processo de opt-out foi inconveniente. Para responder a estas preocupações, a plataforma clarificou as suas políticas de utilização de dados e facilitou a exclusão.
Por que isso é importante
Esta falta de transparência efetiva em torno do uso da IA em aplicações SaaS é preocupante. Com mais de 8.500 aplicativos com recursos de IA generativos incorporados e seis dos dez principais aplicativos de IA que aproveitam os dados do usuário para treinamento, o potencial para “Shadow AI” – uso não autorizado de IA – está em toda parte.
Atualmente, os serviços SaaS são facilmente integrados às organizações e os termos e condições são frequentemente ignorados. Esse comportamento abre a porta para que milhares de aplicativos SaaS acessem uma mina de ouro de informações confidenciais e privadas da empresa e potencialmente treinem modelos de IA nelas. A recente controvérsia sobre a utilização de dados de clientes para aprendizagem automática mostra quão actual é esta ameaça.
Combatendo a Shadow AI com SSPM automatizado
As organizações devem tomar várias medidas para melhorar a sua segurança contra potenciais ameaças de IA. Primeiro, recupere o controle sobre o uso de IA, descobrindo e compreendendo todos os aplicativos SaaS baseados em IA e em uso. Em segundo lugar, é basic identificar a representação de aplicativos monitorando a introdução de SaaS arriscados ou maliciosos, incluindo aplicativos de IA que imitam versões legítimas. Por fim, a remediação de IA pode ser automatizada utilizando ferramentas que oferecem fluxos de trabalho de remediação automatizados para resolver rapidamente quaisquer ameaças identificadas.
Previsão de ameaças 2: cadeia de suprimentos
Atores de ameaças têm como alvo uma empresa widespread de armazenamento em nuvem
Uma recente violação de dados em um serviço baseado em nuvem foi revelada. Foi descoberto em 24 de abril de 2024 e divulgado em 1º de maio. A violação envolveu acesso não autorizado às credenciais do cliente e dados de autenticação. Suspeita-se que uma conta de serviço usada para execução de aplicativos e serviços automatizados no ambiente de back-end tenha sido comprometida, levando à exposição de informações do cliente, como e-mails, nomes de usuário, números de telefone, senhas com hash, bem como dados essenciais para integração de terceiros. como chaves de API e tokens OAuth.
Por que isso é importante
As verificações periódicas da cadeia de fornecimento de SaaS simplesmente não são suficientes. Os funcionários podem adicionar novos serviços e fornecedores de maneira fácil e rápida ao ambiente SaaS de sua organização, tornando a cadeia de suprimentos mais complexa. Com centenas de aplicações SaaS interconectadas, uma vulnerabilidade em uma delas pode afetar toda a cadeia de suprimentos. Essa violação ressalta a necessidade de detecção e resposta rápidas. Regulamentações como a NY-DFS agora obrigam os CISOs a relatar incidentes em suas cadeias de fornecimento dentro de 72 horas.
Combatendo vulnerabilidades na cadeia de suprimentos com SSPM automatizado
Em 2024, os CISOs e as suas equipas deverão ter acesso a alertas rápidos de inteligência sobre ameaças. Isso garante que eles estejam bem informados sobre incidentes de segurança em sua cadeia de fornecimento de SaaS, permitindo respostas rápidas para minimizar possíveis danos. Medidas preventivas como a gestão eficaz de riscos de terceiros (TPRM) são cruciais para avaliar os riscos associados a cada aplicação. À medida que as ameaças à segurança SaaS continuam, incluindo as conhecidas e emergentes, o gerenciamento eficaz de riscos requer a priorização do monitoramento de ameaças e a utilização de uma solução segura de gerenciamento de postura de segurança SaaS (SSPM).
Previsão de ameaças 3: acesso a credenciais
Ataque cibernético a um importante provedor de saúde
Em fevereiro de 2024, um importante prestador de serviços de saúde foi vítima de um ataque cibernético no qual os investigadores acreditam que os invasores usaram credenciais de login roubadas para acessar um servidor. Uma conclusão importante é que a combinação de autenticação multifator (MFA) ausente e acompanhada por um token roubado permitiu acesso não autorizado.
Por que isso é importante
Na segurança SaaS, o abuso de credenciais comprometidas não é uma tendência nova. De acordo com um relatório recente, uma média surpreendente de 4.000 ataques a senhas bloqueadas ocorreram por segundo no ano passado. Apesar do surgimento de métodos de ataque mais sofisticados, os agentes de ameaças muitas vezes exploram a simplicidade e a eficácia do uso de informações de login roubadas. A implementação de controles de acesso rigorosos, revisões regulares e auditorias são essenciais para detectar e resolver vulnerabilidades. Isto garante que apenas indivíduos autorizados tenham acesso às informações relevantes, minimizando o risco de acesso não autorizado.
Combatendo ataques de credenciais com SSPM automatizado
Para combater ataques de credenciais, as organizações precisam de uma abordagem multifacetada. As equipes de segurança devem monitorar o vazamento de senhas na darkish net para identificar e responder rapidamente às credenciais comprometidas. Então, a implementação da autenticação multifator (MFA) resistente a phishing adicionará uma camada robusta de segurança que impede o acesso não autorizado, mesmo se as senhas forem roubadas. Além disso, as equipes de segurança devem procurar continuamente atividades anormais nos sistemas para detectar e solucionar possíveis violações antes que causem danos significativos.
Previsão de ameaças 4: Ignorando MFA
Nova ferramenta PaaS ignora MFA para Gmail e Microsoft 365
Surgiu uma nova ferramenta de phishing como serviço (PaaS) chamada “Tycoon 2FA”, que simplifica os ataques de phishing em contas do Gmail e do Microsoft 365, ignorando a autenticação multifator (MFA). Em meados de fevereiro de 2024, uma nova versão do Tycoon 2FA foi lançada, utilizando a técnica AiTM (Adversary within the Center) para contornar o MFA. Essa exploração envolve o servidor do invasor que hospeda uma página da Net de phishing, intercepta as entradas da vítima e as retransmite ao serviço legítimo para solicitar a solicitação de MFA. A página de phishing Tycoon 2FA então retransmite as entradas do usuário para a API legítima de autenticação da Microsoft, redirecionando o usuário para um URL legítimo com uma página da net “não encontrada”.
Por que isso é importante
Muitas organizações negligenciam totalmente a MFA, deixando-as vulneráveis a possíveis violações. Na nossa pesquisa, 13% das organizações não implementaram MFA em nenhum dos seus utilizadores. Esta ausência de proteção de autenticação pode ser explorada por indivíduos não autorizados para acessar dados ou recursos confidenciais. A implementação do MFA fortalece efetivamente as defesas contra acesso não autorizado e ataques SaaS, tornando-o a solução very best contra ataques de preenchimento de credenciais.
Combatendo o desvio de MFA com SSPM automatizado
As soluções automatizadas de SSPM verificam continuamente as configurações de MFA e monitoram quaisquer sinais de tentativas de bypass. Ao automatizar estas verificações, as organizações podem garantir que a MFA é devidamente implementada e funciona de forma eficaz, evitando assim ataques sofisticados que visam contornar as proteções da MFA. A automação garante que as configurações de MFA estejam sempre atualizadas e aplicadas corretamente em toda a organização. É aconselhável usar vários formulários de identificação e processos de login em várias etapas, como várias senhas e etapas adicionais de verificação.
Ameaça Prevista 5: Ameaças Interconectadas
Incidente de acesso não autorizado
Em 11 de maio de 2024, uma empresa de tecnologia financeira teve acesso não autorizado ao seu espaço de usuário em uma plataforma de repositório de código SaaS de terceiros. A empresa resolveu rapidamente o problema, enfatizando que nenhuma informação do cliente foi armazenada no repositório. No entanto, durante a investigação, a empresa descobriu que uma credencial do espaço do usuário foi roubada e usada para acessar o ambiente de produção. Essa transição da plataforma SaaS de terceiros para a infraestrutura da empresa permitiu ao invasor obter acesso aos dados do cliente armazenados no ambiente de produção.
Por que isso é importante
O aumento dos ataques entre domínios ressalta a crescente sofisticação das ameaças cibernéticas, afetando igualmente ambientes locais, em nuvem e SaaS. Para compreender esta ameaça, precisamos de considerar a perspectiva dos actores da ameaça que exploram qualquer oportunidade disponível para aceder aos activos da vítima, independentemente do domínio. Embora esses domínios sejam normalmente vistos como superfícies de ataque separadas, os invasores os veem como componentes interconectados de um único alvo.
Combatendo ataques entre domínios com SSPM automatizado
As ferramentas SSPM fornecem uma visão holística da postura de segurança de uma organização. Ao monitorar e proteger continuamente o domínio SaaS, as ameaças podem ser limitadas e contidas. Além disso, ao automatizar a detecção e resposta a ameaças, as organizações podem isolar e mitigar ameaças rapidamente.
A importância da velocidade e da eficiência no combate às violações de SaaS
A automação na segurança SaaS é indispensável para organizações que precisam aprimorar sua postura de segurança e lidar de forma eficaz com violações de segurança. As ferramentas SSPM simplificam funções críticas, como detecção de ameaças e resposta a incidentes, permitindo que as equipes de segurança operem com maior eficiência e escalabilidade.
Ao automatizar tarefas rotineiras, as organizações podem identificar e mitigar proativamente os riscos de segurança, garantindo respostas mais rápidas e eficazes às violações. Aproveitar o poder da automação do SSPM não apenas fortalece as defesas cibernéticas, mas também economiza tempo e recursos valiosos, permitindo que as organizações enfrentem as ameaças cibernéticas em evolução com maior precisão e velocidade.
