攻击者发现会话 Cookie 不可抗拒

Cookie 是最重要的网络技术之一，尽管它们几乎与网络浏览器本身一样古老。它们有时名声不好，但不可否认的是，cookie 确实让我们的生活变得更加轻松。它们存储的信息使我们能够保持网站登录状态并享受高效的体验，而不必不断地重新验证和重做相同的操作。

然而，cookie 也为攻击者提供了机会，他们可以窃取 cookie 来进行一系列非法活动。对于您组织的 SaaS 应用程序，这可能会导致敏感数据被盗或滥用、未经授权的交易等等。

在本例中，我们讨论的是会话 cookie。虽然会话 cookie（例如银行网站生成的会话 cookie）寿命很短，但对攻击者来说并不是特别有用。然而，持续时间较长的 cookie 是，因为它们用于可以持续数小时或数天的“活动”会话。

请务必注意，会话 cookie 用于验证用户的身份，这意味着它们是在 MFA 后生成的。因此，当攻击者可以“传递 cookie”（或将其用于新的 Web 会话）时，他们就可以冒充合法用户。

持续的威胁

会话 cookie 可以通过多种方式被盗，例如利用不安全的 Wi-Fi 网络、跨站点脚本攻击、网络钓鱼、木马和其他恶意软件以及中间人攻击。

举一个现实世界的例子，考虑一下 Racoon Stealer 恶意软件，它只是众多旨在窃取 cookie 的恶意软件家族之一。据报道，黑客组织 Lapsus$ 使用 Racoon Stealer 通过窃取的会话 cookie 未经授权访问视频游戏公司 Electronic Arts 的系统。他们创建了 EA 现有员工的克隆帐户，并最终携带数百 GB 的数据潜逃，其中包括游戏源代码。

事实上，Cookie 盗窃相当普遍，预计2022 年有 220 亿条 Cookie 记录被盗。

但这篇文章的重点不是 SaaS 会话 cookie 如何被窃取，甚至不是如何防止它。相反，我们正在通过零信任的视角来看待。那么，假设会话 cookie 已经被盗，您会采取什么措施来减轻这种威胁？

捍卫 SaaS 应用程序

SaaS 应用程序对于当今的业务开展至关重要，平均每个组织使用130 个应用程序。SaaS 应用程序的会话 cookie 将使攻击者能够访问与合法用户相同的信息和权限。这可能包括销售交易和内部文件。在被劫持的 Web 邮件会话的情况下，攻击者可以访问所有用户的电子邮件、发送电子邮件提示其他人采取有利于攻击者的特定操作等等。

幸运的是，使用Harmony SASE SaaS Protection防御会话 cookie 被盗的危险是可能的，而且非常简单。

Harmony SASE 为您的组织分配一个唯一的静态 IP 地址，并且仅允许来自您的地址的流量访问您的 SaaS 应用程序。默认情况下，其他一切都会被拒绝。

即使攻击者获得了活动会话 cookie（再次绕过 MFA 机制），流量也只会被 SaaS 服务器阻止。

会话 Cookie 之外的保护

Harmony SASE 为您提供降低 SaaS 安全风险所需的可见性和控制力。

SaaS 的易用性意味着您的团队成员无论身在何处都可以方便地访问，但它也为攻击者提供了充分的机会来探测安全漏洞。55% 的安全主管报告了最近的SaaS 安全事件，很明显，攻击不会消失。

除了唯一的 IP 地址之外，Harmony SASE 还允许您将用户的访问和权限与其角色和职责保持一致。这让每个人都“在自己的车道上”，并防止未经授权的访问应用程序和数据。

Harmony SASE 还提供连接到 SaaS 应用程序的用户和设备的实时可见性和轻松报告。如果您有理由怀疑未经授权的活动，只需单击按钮即可注销用户及其所有设备。当员工离职时，这也很方便，因为他们对所有 SaaS 应用程序的访问可以立即关闭。

原文始发于微信公众号（祺印说信安）：攻击者发现会话 Cookie 不可抗拒