面临风险的王国之钥:加速暴露的单点登录(SSO)凭据

admin 2022年10月29日17:26:46评论29 views字数 2302阅读7分40秒阅读模式
面临风险的王国之钥:加速暴露的单点登录(SSO)凭据

  “王国之钥”的泄露风险



单点登录(SSO)凭据被网络安全专业人士认为是“王国之钥”。员工使用这些凭据登录一次就可以访问许多应用程序,可以说,SSO凭据是企业组织最不希望被窃取或在暗网上出售的东西。


如果恶意行为者获得了组织的SSO凭据,他们就可以像受信任的内部人员一样访问组织的系统和数据,包括工资表、合同、知识产权等。简而言之,恶意行为者可以通过获取组织的SSO凭据对其造成重大损害。


01

什么是SSO?它为什么受欢迎?


使用SSO,用户只需一次登录即可访问所有相互信任的应用程序。用户向认证服务器发送认证请求,认证服务器就会给用户返回一个成功的令牌token,用户携带该token就能去访问其他相互信任的应用程序。否则,系统会提示用户登录SSO以获得访问权限。最终,用户只需登录一次,即可自由导航到应用程序,而无需输入其他凭据。

面临风险的王国之钥:加速暴露的单点登录(SSO)凭据


02

凭据被盗后果严重


网络攻击者可以通过窃取组织的凭据或其第三方供应商的凭据来危害组织。他们甚至可以利用暗网直接购买这些关键凭据。根据《2022年Verizon数据泄露调查报告》显示,在所有网络攻击事件中,近50%是由凭据被盗导致的。凭据被盗的比例较2017年增长了近30%,已经成为最常见的攻击向量。


2022年,这些趋势仍在继续:

在针对主要SSO供应商Okta的攻击中,攻击者使用Okta供应商提供的泄露凭据来破坏Okta。Okta立即终止了与供应商的关系。


一次大规模网络钓鱼攻击破坏了来自136家公司的近10000个登录凭据和5000多个多因素身份验证(MFA)代码。Twilio的内部系统遭到破坏,包括Okta在内的163名客户的数据被泄露。


03

暗网上销售的SSO凭据数量激增


BitSight自2022年1月开始的研究发现,暗网上出售的上市公司SSO凭据数量正在稳步增长。仅在6月和7月,就有高达1500多份新的SSO凭据公开出售。

面临风险的王国之钥:加速暴露的单点登录(SSO)凭据
面临风险的王国之钥:加速暴露的单点登录(SSO)凭据


如此多的凭据会造成什么影响?SSO凭据很容易被窃取,并且很难保护,这使得后续威胁变得岌岌可危。BitSight联合创始人兼首席技术官Stephen Boyer表示:“从组织中窃取凭据相对来说是极其容易的,许多组织甚至都不知道SSO凭据失窃可能会带来的严重威胁。这些调查结果应能提高人们的认识,促使组织迅速采取行动,更好地了解这些威胁。”


04

受影响的组织数量不断增加


除了大量凭据被盗并在暗网上出售外,BitSight还观察到,在暗网中出售SSO凭据所涉的上市公司数量也在稳步增加。这些凭据可用于访问组织的敏感信息和操作,可能会对组织及其客户群产生重大影响。

面临风险的王国之钥:加速暴露的单点登录(SSO)凭据


05

受影响的行业分布


虽然BitSight观察到,来自所有部门和行业的上市公司都受到了SSO凭据泄露的影响,但其中,以技术、制造、零售、金融、能源和商业服务领域的组织受到的影响最大。

面临风险的王国之钥:加速暴露的单点登录(SSO)凭据


如此多公共科技公司的SSO凭据被盗并在暗网销售,这一事实格外值得关注。Boyer警告称,“企业需要意识到其主要IT供应商带来的风险。正如我们反复看到的,不安全的供应商凭据可以为恶意行为者提供大规模瞄准大型客户群所需的访问权限。单一公开的SSO凭据可能会产生深远的影响。”


06

防护建议


安全专家提供了一些关键建议,以帮助组织更好地保护自己免受SSO凭据泄露威胁。


1

超越传统多因素身份验证(MFA)

网络钓鱼是窃取SSO凭据的一种流行方式,即便启用了MFA,这种情况也难以幸免。恶意行为者可能会冒充组织的SSO提供商向员工发送虚假登录页面。一旦员工输入了他们的凭据并提供了他们的MFA代码,攻击者就可以登录帐户,并像受信任的内部人员一样访问数据和应用程序。


2

自适应MFA

自适应MFA较于传统多因素身份验证,能够根据当前安全状况,选择应用不同的MFA方式,在保障安全的同时也兼顾用户体验。自适应MFA提供了更加灵活和智能的验证策略。


3

U2F身份验证

U2F(Universal 2nd Factor)是一种开放式线上身份验证标准,通过使用专门的 USB 或 NFC 设备,来加强并简化双因素身份验证(2FA - Two-Factor Authentication )。该标准最初由Google和Yubico开发,并得到NXP Semiconductors支持,现在由FIDO联盟主理。


4

实施最低权限原则

限制可以访问关键系统的人员,以便使用受损账户的攻击者可以减少伤害。最低权限原则意味着减少普通员工访问应用程序的数量,只允许其访问工作必需的应用程序。


5

管理第三方供应商

攻击者可能会通过破坏第三方供应商来实现破坏组织的目的。了解供应商的安全态势非常重要,以确保他们充分保护自己的组织和您的组织。


建议在建立业务关系之前,分析第三方供应商的网络安全态势。利用持续监控来确定正常情况的基线,并检测第三方网络上的可疑活动。此外,密切检查组织的技术关系。了解组织与SaaS提供商共享的内容。数据有多敏感?谁可以访问它等信息。除了了解所在组织的风险敞口外,管理第三方生态系统产生的风险也至关重要。从单个供应商处盗取凭据可能会导致下游组织也遭到破坏,威胁组织业务关系和数据的机密性。



长风实验室发布、转载的文章中所涉及的技术、思路和工具,仅供以网络安全为目的的学习交流使用,不得用作它途。部分文章来源于网络,如有侵权请联系删除。



END

2022下半年工信部教育考试中心信息技术水平考试网络与信息安全科目开始报名了!权威机构发证、官网查询,纳入《工业和信息化技术技能人才数据库》,下半年仅此一次考试机会,欲报从速!

面临风险的王国之钥:加速暴露的单点登录(SSO)凭据


 推荐 

 阅读 

面临风险的王国之钥:加速暴露的单点登录(SSO)凭据
面临风险的王国之钥:加速暴露的单点登录(SSO)凭据



点赞在看

扫码关注|更多好玩

 长风实验室 · 

面临风险的王国之钥:加速暴露的单点登录(SSO)凭据

原文始发于微信公众号(长风实验室):面临风险的“王国之钥”:加速暴露的单点登录(SSO)凭据

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月29日17:26:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   面临风险的王国之钥:加速暴露的单点登录(SSO)凭据http://cn-sec.com/archives/1364750.html

发表评论

匿名网友 填写信息