上周,美国领先的云单点登录 (SSO) 服务之一OneLogin遭受了重大漏洞,损害了美国客户数据。好消息是,OneLogin能够在数小时内识别出折衷方案,并通过关闭造成服务故障的流氓实例来做出响应。然而,强调这些攻击可以发生和生效的迅速性,这仍然是足够的时间,小偷可能会盗取客户数据,更不祥的是,他们访问云服务的登录凭据,甚至他们的加密密钥,用于解密这些云服务中的数据。
尽管违规事件对服务提供商和受影响的公司来说是痛苦的,但它们还提供了一个教学时刻,可以帮助告知未来的行为和防御。在OneLogin的情况下,由于攻击与一个服务相交,该服务本质上管理了可以通过ApI进行conpd的云中中心位置的密码,因此在许多现代挑战的联系上有很多教训,包括云,ApI,消费者密码,特权管理员身份,事件通知,违约缓解和违约响应法规。
将王国的密钥集中在云中的固有风险
在过去的七年里,云彻底改变了企业使用it服务的方式。它提供按需灵活性、无启动上限和易用性。然而,它有自己的一系列风险。云SSO服务象征着云的便利性和风险。首先,使用内部凭证管理系统访问云服务非常具有挑战性。存在防火墙问题,连接器更新问题和操作复杂性。从云中运行云SSO服务在许多技术和业务层面上都有意义。但是,它当然会通过将所有证书放在一个中心位置来创建一个单点失败,该位置对于坏演员来说是一个有吸引力的蜜罐。这意味着SSO提供商及其客户都需要采取额外的预防措施。
管理登录服务的管理登录
对于服务提供商而言,可以围绕服务构建的最简单,最关键的安全性是防止服务的潜在管理劫持。这显然是导致OneLogin失败的原因; 攻击者能够窃取管理凭据,然后将其用于提供流氓服务,然后访问provisioning/admin api以将客户凭据复制到流氓实例。碰巧的是,存在技术来限制被盗管理凭据的风险并保护api。pIM或特权身份管理工具为管理帐户提供一次性密码保险库,这些帐户在被盗时会限制其访问和实用程序。同样,ApI安全产品可以提供更强的访问保护,并检测管理ApI周围的异常活动,并在会话被证明具有破坏性之前关闭会话。
拆分密钥,加强身份验证
对于客户来说,如果他们的服务提供商受到损害,他们也可以采取一些行动。最简单的是将加密密钥管理与访问凭据分开。隔离和分离职责始终是一种良好的安全策略。更强的身份验证也是如此。现在,许多服务不仅基于您知道的东西 (例如密码) 提供身份验证,还基于您拥有或携带的东西 (例如手机或指纹)。后者很难妥协,因为仅拥有密码不足以访问客户端帐户。在当今时代,随着手机和生物识别认证的普及,没有任何借口不坚持向您的服务提供商提供更强大的认证。
违约后
现在,尽管OneLogin事件为服务提供商及其客户提供了许多有关如何防止或限制类似攻击的后果的经验教训,但它也讲述了应对违规行为需要采取的措施的故事。
对于服务提供商来说,当然最关心的是检测违规行为并限制任何损害。良好的审计/安全信息和事件管理 (SIEM) 工具可以在这里提供帮助,特别是如果它们提供异常检测来检测奇怪的活动。但是,随之而来的是可以说是最困难和最昂贵的步骤: 了解谁受到了影响,并做出适当的通知和回应。
快速违规响应
如今,美国48个州和大多数外国都制定了有关违规响应的法律,要求在规定的时间段内提供特定类型的通知。对于服务提供商 (和受影响的公司) 来说,这一点变得困难的是,他们很少按居住权跟踪客户,几乎从来没有该人或组织的数据清单,这样他们就可以正确地审计谁被泄露了,什么数据被获取了。为了解决这个问题,隐私管理空间中存在新的工具,这些工具可以按州或国家映射每个客户的数据,并使法律响应更容易,同时还可以帮助服务提供商审核采取的措施。
对于受影响的公司,也有类似的需求来了解受损服务提供商的损害范围。记录通过哪些服务访问哪些敏感数据可以确保受影响的下游用户可以被充分预先警告,以便在损害蔓延之前采取适当的措施。
OneLogin的教训
有一种说法是,没有学到的东西,不应该经历任何不好的经历。OneLogin发生的事情对服务提供商和受影响的公司来说都是痛苦的。然而,对于受影响的公司来说,与其逃避使用云服务,还有许多可以学习的方法来限制未来的影响和影响。对于服务提供商,将保护伞扩展到管理帐户和api也有类似的经验教训。OneLogin展示了一组凭据如何甚至可以破坏安全服务; 因此,建议始终采取额外措施来保护您最重要的资产。