Kürzlich haben wir einen Blog veröffentlicht, in dem wir die Komplexität der Durchsetzung von Single Sign-On (SSO) in Salesforce und die häufigen Fehlkonfigurationen, auf die wir bei Obsidian Security stoßen, diskutiert haben. Eine auffällige Statistik aus unseren Beobachtungen: 60 % der Obsidian-Kunden haben anfangs einen lokalen Zugang ohne eine für Salesforce konfigurierte Multi-Faktor-Authentifizierung (MFA). Dies ist eine erhebliche Sicherheitslücke, an deren Schließung Obsidian gemeinsam mit seinen Kunden sorgfältig arbeitet.
Die versteckte Schwachstelle
Eine der interessanten Beobachtungen, die wir gemacht haben, ist, dass die Anwendungseigentümer, die Salesforce täglich verwalten, sich dieser Fehlkonfiguration oft nicht bewusst sind. Trotz ihrer umfassenden Kenntnisse der Salesforce-Verwaltung bleibt der lokale Zugriff ohne MFA eine übersehene Schwachstelle. Wenn dies auf Salesforce zutrifft, gibt dies Anlass zur Sorge über den Zustand anderer SaaS-Anwendungen, insbesondere derjenigen, für die keine besonderen Fachkenntnisse oder Kenntnisse vorliegen.
Fokus und Trends der Angreifer
In der Vergangenheit haben sich die Angreifer auf den Bereich der Identitätsanbieter (IdP) konzentriert und Anbieter wie Okta, Microsoft Entra und Ping ins Visier genommen. Diese Konzentration hat mehrere Gründe:
- Maximale Auswirkung: Durch die Kompromittierung eines IdP können sich Angreifer breiten Zugriff auf mehrere Anwendungen verschaffen.
- Effizienz: Es ist effizienter, Fachwissen zu entwickeln, um eine Handvoll IdPs zu knacken, als die verschiedenen lokalen Zugangswege zahlreicher SaaS-Anbieter zu erlernen.
In den letzten 12 Monaten waren fast 100 % der Sicherheitsverletzungen, bei denen Unternehmen unsere Hilfe über CrowdStrike oder andere Partner für die Reaktion auf Vorfälle in Anspruch nahmen, auf IdPs ausgerichtet. Bemerkenswert ist, dass bei 70 % dieser Verstöße die MFA unterlaufen wurde, häufig durch Methoden wie SIM-Austausch. In Fällen, in denen ein lokaler Zugang zur Umgehung des IdP besteht (die erwähnten 60 % der Kunden), stellen wir fest, dass dieser in 95 % der Fälle keine MFA hat.
Im Zuge der jüngsten Diskussionen um Snowflake gewinnt das Thema „Schattenauthentifizierung“ bei Angreifern jedoch zunehmend an Bedeutung. Wir definieren Schattenauthentifizierung als das Vorhandensein und die Verwendung von nicht genehmigten Mitteln zur Authentifizierung eines Benutzers innerhalb einer Anwendung, wie im Fall der oben beschriebenen lokalen Authentifizierung. Obsidian Security hat in den letzten zwei Wochen eine Zunahme von Bruteforce-Angriffen gegen SaaS-Anwendungen über lokale Zugangswege beobachtet, was auf ein wachsendes Bewusstsein für diesen Angriffsvektor hindeutet.
Zukunftserwartungen
Da Angreifer immer auf der Suche nach den einfachsten und effizientesten Wegen sind, gehen wir davon aus, dass in den nächsten 12 Monaten der lokale Zugriff oder die Schattenauthentifizierung ein wichtiger Angriffsweg sein wird. Da Angreifer ihren Schwerpunkt verlagern, müssen Unternehmen diese Wege proaktiv absichern.
Was Sie tun können
- Entdecken Sie SaaS-Anwendungen: Erstellen Sie ein Programm zur Erkennung von SaaS-Anwendungen, insbesondere von solchen, die sensible Daten enthalten oder mit Anwendungen mit sensiblen Daten integriert sind.
- valuieren und sichern: Entscheiden Sie, ob Sie diese Anwendungen eliminieren oder in Ihren IdP integrieren wollen. Wenn sie beibehalten werden, stellen Sie sicher, dass SSO und MFA für die Mehrheit der Benutzer durchgesetzt werden. Dokumentieren Sie die Gründe für alle Konten, die nicht mit den Richtlinien übereinstimmen. Diese risikoreichen Konten müssen zusätzlich überwacht werden.
Wie Obsidian hilft
Obsidian Security bietet robuste Lösungen, um diese Herausforderungen anzugehen:
- Entdeckung: Durch unsere Browser-Erweiterung, das Scannen von E-Mail-Headern und die Integration über OAuth in Ihre SaaS-Kernapplikationen – mit dem Ergebnis, dass wir SaaS-Applikationen frühzeitig in ihrem Lebenszyklus erkennen.
- Überwachung: Mit unserer patentierten Browsererweiterung können wir überwachen, wann Benutzer lokal auf Anwendungen zugreifen – unter Umgehung des IdP.
- Vorbeugung: Durch diese frühzeitige Erkennung können wir potenzielle Angriffswege identifizieren und blockieren, bevor sie ausgenutzt werden können. Sowohl durch die Sperrung des lokalen Zugriffs als auch durch das Hinzufügen einer Schicht von Data Governance und Anwendungshärtung.
Durch die Nutzung der Obsidian-Funktionen können Unternehmen ihre Sicherheitslage verbessern und sich gegen die sich entwickelnden Bedrohungen schützen, die auf lokalen Zugriff und Schattenauthentifizierung abzielen.
Quelle: Obsidian Security-Blog
Ihr Kontakt zu uns:
Pascal Cronauer, Regional Sales Director, Central Europe @Obsidian Security | SaaS Security | SSPM | Threat Mitigation | Integration Risk Mgmt
Marko Kirschner, Technical Enthusiast @Obsidian Security