روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ نشت اطلاعات مهم هنوز هم پرکاربردترین تکنیک مهاجمین محسوب می‌شود. در سال 2023 متخصصین Kaspersky Digital Footprint Intelligence در دارک‌نت بیش از 3100 آگهی پیدا کردند که دسترسی به منابع سازمانی را ارائه می‌دادند- برخی‌شان حتی متعلق به شرکت‌های فورچون 500[1] بودند. شرکت‌ها برای اینکه به طور مؤثری ریسک‌های مربوطه را مدیریت کرده، تعداد اکانت‌های آسیب‌پذیر را کاهش داده و تلاش برای دسترسی غیرقانونی را سریع‌تر شناسایی و بلاک کنند در حال اتخاذ سیستم‌های مدیریت هویت هستند. با این حال پروسه مدیریت مؤثر هویت تا وقتی سیستم‌های سازمانی از احراز هویت یکپارچه پشتیبانی نکنند میسر نمی‌شود. سیستم‌های داخلی برای احراز منسجم به کاتالوگ متمرکز مانند اکتیو دایرکتوری وابسته هستند و این درحالیست که سیستم‌های خارجی SaaS از طریق پلت‌فرم SSO که می‌تواند به صورت خارجی قرار گرفته باشد یا در زیرساخت شرکت میزبانی شده باشد (مانند ADFS) هویت سازمانی را مدیریت می‌کنند. پلت‌فرم SSO[2] قرار است امنیت سازمانی را ارتقا بخشد اما لازمه‌اش این است که فروشندگان کلود از تیم امنیت اطلاعات حمایت کنند.

برای کارمندان فرآیند ورود به سیستم را به همان اندازه کاربرپسند می‌کند. برای Sign in کردن در سیستم خارجی مانند Salesforce یا Concur کارمند روند احراز استاندارد را که شامل وارد کردن پسورد و ارسال عامل احراز می‌شود تکمیل می‌کند: پسورد یکبار مصرف، توکن یو‌اس‌بی یا چیز دیگر بسته به خط‌مشی شرکت. هیچ لاگین یا پسورد دیگری نیاز نیست. افزون بر این، بعد از sign in در یکی از سیستم‌ها به صورت پیش‌فرض در بقیه احراز خواهید شد. این پروسه به صورت نظری امن است زیرا تیم‌های امنیت اطلاعات و آی‌تی روی اکانت‌ها، خط‌مشی پسوردها، متودهای MFA و لاگ‌ها کنترل کامل دارند اما در دنیای واقعی استاندارد امنیت پیاده‌سازی‌شده توسط سیستم‌های خارجیِ حامی SSO شاید آنقدرها امتحانشان را پس نداده باشند.

معایب SSO

وقتی کاربر به سیستم SaaS، سرور سیستم ورود می‌کند، دستگاه کلاینت کاربر و SSO همچنان که این پلت‌فرم کاربر را اعتبارسنجی کرده و SaaS و دستگاه مجهز به توکن‌های احرازِ تأییدگرِ مجوزهای کاربر را صادر می‌کند، تحت فرآیند مشترکی قرار خواهند گرفت. این توکن دامنه خصوصیاتی از پلت‌فرم بدست می‌آورد که بر امنیت تأثیر دارند. اینها ممکن است شامل موارد زیر شود:

•         انقضای رمز (و سشن) که نیاز به احراز هویت مجدد کاربر دارد
•         ارجاع به یک مرورگر خاص یا دستگاه تلفن همراه
•         آدرس‌های IP خاص یا محدودیت‌های محدوده IP، که مواردی مانند محدودیت‌های جغرافیایی را فعال می‌کنند
•         شرایط اضافی برای انقضای سشن، مانند بستن مرورگر یا خروج از سیستم عامل SSO

چالش اصلی این است که برخی از ارائه‌دهندگان کلود این محدودیت‌ها را اشتباه تفسیر می‌کنند یا حتی نادیده می‌گیرند، بنابراین مدل امنیتی ساخته شده توسط تیم infosec را تضعیف می‌کنند. علاوه بر این، برخی از پلتفرم‌های SaaS دارای کنترل‌های اعتبار رمز ناکافی هستند که فضایی برای جعل باقی می‌گذارد.

چطور نقایص پیاده‌سازی SSO توسط اشرار سایبری اکسپلویت می‌شوند؟

رایج ترین سناریو نوعی سرقت توکن است. این می‌تواند سرقت کوکی‌ها از رایانه کاربر، رهگیری ترافیک، یا گرفتن فایل های HAR  (بایگانی‌های ترافیک) باشد. توکن مشابهی که در دستگاه دیگری و از یک آدرس IP متفاوت استفاده می‌شود، عموماً یک سیگنال به اندازه کافی فوری برای پلتفرم SaaS است که اعتبار مجدد و احتمالاً احراز هویت مجدد را می‌طلبد. با این حال، در دنیای واقعی، عوامل مخرب اغلب با موفقیت از توکن‌های دزدیده شده برای ورود به سیستم از طرف کاربر قانونی استفاده می‌کنند، در حالی که رمزهای عبور، کدهای یکبار مصرف و سایر حفاظت‌های infosec را دور می‌زنند. یکی دیگر از سناریوهای رایج، فیشینگ هدف‌دار است که به وب‌سایت‌های شرکتی جعلی و در صورت نیاز، یک پروکسی معکوس مانند evilginx2 متکی است که رمزهای عبور، کدهای MFA و توکن‌ها را نیز می‌دزدد.

ارتقای امنیت SSO

•         فروشندگان SaaS خود را بررسی کنید. تیم infosec می‌تواند اجرای SSO ارائه‌دهنده SaaS را به لیست سوالاتی که فروشندگان هنگام ارسال پیشنهادات خود باید به آنها پاسخ دهند اضافه کند. به طور خاص، اینها سوالاتی در مورد رعایت محدودیت های مختلف نشانه، اعتبار سنجی، انقضا، و ابطال هستند. مراحل بررسی بیشتر می‌تواند شامل ممیزی کد برنامه، آزمایش یکپارچه‌سازی، تجزیه و تحلیل آسیب‌پذیری و تست نفوذ باشد.
•         اقدامات جبرانی را برنامه‌ریزی کنید. روش‌های مختلفی برای جلوگیری از دستکاری و سرقت توکن وجود دارد. به عنوان مثال، استفاده از EDR در همه رایانه‌ها به طور قابل توجهی خطر آلوده شدن به بدافزار یا هدایت مجدد به یک سایت فیشینگ را کاهش می‌دهد. مدیریت دستگاه‌های تلفن همراه   EMM/UEM)  ) می‌تواند دسترسی تلفن همراه به منابع شرکت را مرتب کند. در موارد خاص، توصیه می‌کنیم دستگاه های مدیریت‌نشده را از خدمات شرکتی منع کنید.
•         تجزیه و تحلیل ترافیک و سیستم‌های مدیریت هویت خود را برای مشاهده درخواست‌ها و پاسخ‌های SSO پیکربندی کنید تا بتوانند درخواست‌های مشکوکی را که از برنامه‌های مشتری غیرمعمول یا کاربران غیرمعمول، در مناطق آدرس IP غیرمنتظره و غیره نشات می‌گیرند، شناسایی کنند. توکن‌هایی که طول عمر بیش از حد طولانی دارند را می‌توان با کنترل ترافیک نیز بررسی کرد.
•         اصرار بر اجرای بهتر SSO.  بسیاری از ارائه دهندگان SaaS SSO را به عنوان یک تسهیلات برای مشتری و دلیلی برای ارائه یک طرح "سازمانی" گرانتر می‌دانند، در حالی که امنیت اطلاعات در جایگاه دوم قرار می گیرد. شما می‌توانید با تیم تدارکات خود شریک شوید تا نفوذ و اشراف بیشتری روی این موضوع داشته باشید. اما همه چیز به آرامی تغییر خواهد کرد. هنگام صحبت با ارائه دهندگان SaaS، هرگز ایده بدی نیست که در مورد برنامه‌های آنها برای ارتقاء ویژگی SSO   -مانند پشتیبانی از محدودیت های توکن ذکر شده در بالا (مسدود کننده جغرافیایی، انقضا، و غیره) یا هرگونه برنامه‌ای برای انتقال به استفاده از موارد جدیدتر، سوال کنید. پروتکل‌های مبادله توکن با استاندارد بهتر - مانند JWT یا CAEP.

[1]فهرستی از ۵۰۰ تا از بزرگ‌ترین شرکت‌های آمریکایی از نظر درآمدزایی می‌باشد. این فهرست هر ساله توسط نشریه فُرچون تهیه و اعلام می‌گردد.

[2] Single sign-on

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.