How to Stay Ahead of Threat Actors – OfficialSarkar

आधुनिक किल चेन उद्यमों से दूर जा रही है, क्योंकि वे आधुनिक व्यवसाय के बुनियादी ढांचे की सुरक्षा नहीं कर रहे हैं: सास.

सॉफ्टवेयर अपनाने में SaaS का दबदबा जारी हैऔर यह सार्वजनिक क्लाउड खर्च का सबसे बड़ा हिस्सा है। लेकिन उद्यमों और SMBs ने समान रूप से अपने सुरक्षा कार्यक्रमों को संशोधित नहीं किया है या SaaS के लिए बनाए गए सुरक्षा टूलिंग को नहीं अपनाया है।

सुरक्षा टीमें SaaS सुरक्षा छेदों में ऑन-प्रिमाइसेस खूंटों को ठूंसती रहती हैं

ऑन-प्रिमाइस प्रभुत्व के युग में CISO और उनकी टीमें जिस परिपक्व सुरक्षा नियंत्रण पर निर्भर थीं, वह अब गायब हो गया है। फ़ायरवॉल अब एक छोटी परिधि की सुरक्षा करते हैं, दृश्यता सीमित है, और भले ही SaaS विक्रेता लॉग प्रदान करते हों, सुरक्षा टीमों को उन्हें पचाने और अपने SIEM में डालने के लिए घरेलू मिडलवेयर की आवश्यकता होती है।

SaaS विक्रेताओं के पास अपने उत्पादों के लिए अच्छी तरह से परिभाषित सुरक्षा क्षेत्र होते हैं, लेकिन उनके ग्राहकों को SaaS अनुपालन और डेटा शासन, पहचान और पहुँच प्रबंधन (IAM), और एप्लिकेशन नियंत्रण का प्रबंधन करना चाहिए – वे क्षेत्र जहाँ सबसे अधिक घटनाएँ होती हैं। जबकि यह SaaS साझा जिम्मेदारी मॉडल SaaS ऐप्स के बीच सार्वभौमिक है, किसी भी दो SaaS एप्लिकेशन में समान सुरक्षा सेटिंग नहीं होती हैं।

चित्र 1. SaaS सुरक्षा चिंताओं के संदर्भ में, एप्लिकेशन प्रदाता सभी भौतिक अवसंरचना के साथ-साथ नेटवर्क, OS और एप्लिकेशन के लिए जिम्मेदार है। ग्राहक डेटा सुरक्षा और पहचान प्रबंधन के लिए जिम्मेदार है। SaaS साझा जिम्मेदारी मॉडल के लिए SaaS ग्राहकों को उन घटकों का स्वामित्व ग्रहण करना आवश्यक है जिन पर खतरा पैदा करने वाले सबसे अधिक बार हमला करते हैं। चित्रण AppOmni के सौजन्य से।

AppOmni शोध रिपोर्ट बताती है कि औसतन, SaaS का एक एकल उदाहरण 256 SaaS-टू-SaaS कनेक्शनजिनमें से कई अब उपयोग में नहीं हैं, लेकिन अभी भी सेल्सफोर्स, ओक्टा और गिटहब जैसे मुख्य व्यावसायिक ऐप्स में अत्यधिक अनुमतियाँ हैं।

विभिन्न SaaS सुरक्षा सेटिंग्स और उन्हें बदलने वाले निरंतर अपडेट की भीड़ के बीच, सुरक्षा दल इन कनेक्शनों की प्रभावी रूप से निगरानी नहीं कर सकते हैं। जब कर्मचारी SaaS-to-SaaS (जिसे “थर्ड पार्टी” या “मशीन” भी कहा जाता है) कनेक्शन सक्षम करते हैं, तो प्रवेश बिंदुओं की संख्या कई गुना बढ़ जाती है। मशीन पहचान API कुंजियों, रहस्यों, सत्रों, डिजिटल प्रमाणपत्रों, क्लाउड एक्सेस कुंजियों और अन्य क्रेडेंशियल्स का उपयोग करके मशीनों को एक दूसरे के साथ संवाद करने में सक्षम बना सकती है।

जैसे-जैसे हमले की सतह नेटवर्क परिधि से बाहर चली गई, वैसे-वैसे मारक श्रृंखला भी बाहर चली गई — जिस तरह से ख़तरा पैदा करने वाले लोग अपने हमलों के विभिन्न चरणों को संचालित करते हैं।

आधुनिक SaaS किल चेन में आमतौर पर निम्नलिखित शामिल होते हैं:

1. एक सफल फ़िशिंग अभियान के माध्यम से IdP में पहचान से समझौता करना, डार्क वेब से चोरी किए गए क्रेडेंशियल्स खरीदना, क्रेडेंशियल स्ट्रिंग्स, क्रेडेंशियल स्टफिंग, गलत तरीके से कॉन्फ़िगर किए गए SaaS टेनेंट का लाभ उठाना, या इसी तरह के तरीकों से।
2. प्रमाणीकरण के बाद टोही चरण का संचालन करना। यह कदम पुराने ज़माने के कॉर्पोरेट नेटवर्क में सेंध लगाने वाले हमलावरों की याद दिलाता है। लेकिन अब वे दस्तावेज़ भंडार, स्रोत कोड भंडार, पासवर्ड वॉल्ट, स्लैक, टीम्स और इसी तरह के वातावरण में विशेषाधिकार प्राप्त एस्केलेशन प्रवेश बिंदुओं को खोजने के लिए छानबीन कर रहे हैं।
3. अपने निष्कर्षों का लाभ उठाते हुए वे अन्य SaaS, PaaS या IaaS, तथा कभी-कभी कॉर्पोरेट अवसंरचना में भी काम करते हैं – जहां भी उन्हें लक्ष्य संगठन के लिए सबसे अधिक मूल्यवान डेटा मिल सकता है।
4. मुकुट के आभूषणों को एन्क्रिप्ट करना या फिर फिरौती का नोट पहुंचाना, तथा पता लगने से बचने का प्रयास करना।

चित्र 2. सफल SaaS किल चेन में आम तौर पर चार व्यापक चरण शामिल होते हैं: प्रारंभिक पहुँच, टोही, पार्श्व गति और दृढ़ता, तथा रैनसमवेयर निष्पादन और सुरक्षा से बचना। चित्रण AppOmni के सौजन्य से।

वास्तविक दुनिया में SaaS किल चेन को तोड़ना: स्कैटर्ड स्पाइडर/स्टारफ्रॉड

SaaS सुरक्षा लीडर AppOmni के नवीनतम ख़तरा खुफिया ब्रीफिंग वेबिनार ने स्कैटर्ड स्पाइडर/स्टारफ़्रॉड ख़तरा अभिनेता समूहों (ALPHV के सहयोगी) के सितंबर 2023 में एक अज्ञात लक्ष्य पर सफल हमले की मारक श्रृंखला को रेखांकित किया:

• एक उपयोगकर्ता ने एक फ़िशिंग ईमेल खोला जिसमें एक नकली IdP लॉगिन पृष्ठ के लिंक थे, और वह अनजाने में उस नकली IdP पृष्ठ पर लॉग इन हो गया।
• धमकी देने वाले समूहों ने तुरंत उस उपयोगकर्ता को फोन किया और सोशल इंजीनियरिंग के माध्यम से उन्हें अपना समय-आधारित, वन-टाइम पासवर्ड (TOTP) टोकन प्रदान करने के लिए राजी कर लिया।
• उपयोगकर्ता के लॉगिन क्रेडेंशियल और TOTP टोकन प्राप्त करने के बाद, धमकी देने वाले लोगों ने MFA प्रोटोकॉल को धोखा देकर यह सोच लिया कि वे ही वैध उपयोगकर्ता हैं।
• टोही मोड में रहते हुए, खतरा पैदा करने वाले लोगों को विशेषाधिकार प्राप्त उन्नयन तक पहुंच प्राप्त थी, जिससे वे अमेज़न एस3, फिर एज़्योर एडी, और अंततः सिट्रिक्स वीडीआई (वर्चुअल डेस्कटॉप इन्फ्रास्ट्रक्चर) में क्रेडेंशियल प्राप्त करने में सक्षम हो गए।
• इसके बाद, धमकी देने वाले लोगों ने IaaS वातावरण में अपना स्वयं का दुर्भावनापूर्ण सर्वर तैनात किया, जिसमें उन्होंने एक विशेषाधिकार प्राप्त Azure AD एस्केलेशन हमला किया।
• हमलावरों ने अपनी पहुंच में मौजूद सभी डेटा को एन्क्रिप्ट कर दिया और फिरौती का नोट भेज दिया।

चित्र 3. स्कैटर्ड स्पाइडर/स्टारफ्रॉड खतरा पैदा करने वाले समूहों द्वारा इस्तेमाल की जाने वाली किल चेन। चित्रण AppOmni के सौजन्य से।

स्कैटरेड स्पाइडर/स्टारफ्रॉड ने संभवतः कई दिनों में घटनाओं की यह श्रृंखला पूरी की। जब SaaS प्रवेश बिंदु के रूप में कार्य करता है, तो एक गंभीर हमले में कॉर्पोरेट नेटवर्क और बुनियादी ढाँचा शामिल हो सकता है। यह SaaS/ऑन-प्रिमाइसेस कनेक्टिविटी आज के एंटरप्राइज़ अटैक सतहों में आम है।

ज्ञात और अज्ञात खतरा पैदा करने वाले तत्वों की ओर से SaaS हमले की गतिविधियां बढ़ रही हैं

अधिकांश SaaS उल्लंघन सुर्खियों में नहीं रहते, लेकिन उनके परिणाम महत्वपूर्ण होते हैं। IBM की रिपोर्ट है कि 2023 में डेटा उल्लंघनों का औसत $4.45 मिलियन था प्रति उदाहरण, तीन वर्षों में 15% की वृद्धि दर्शाता है।

खतरा पैदा करने वाले तत्व अनाधिकृत पहुंच प्राप्त करने और SaaS टेनेंट को स्कैन करने के लिए लगातार उन्हीं TTP और स्कैटर्ड स्पाइडर/स्टारफ्रॉड किल चेन की प्लेबुक पर निर्भर रहते हैं, जिनमें Salesforce और M365 शामिल हैं, जहां बाद में पहुंच प्रदान करने के लिए कॉन्फ़िगरेशन समस्याओं में हेरफेर किया जा सकता है।

अन्य हमलावर सत्र अपहरण और असंभव यात्रा के साथ प्रारंभिक पहुँच प्राप्त करते हैं। एक बार जब वे अपहृत सत्र को किसी अन्य होस्ट पर स्थानांतरित कर देते हैं, तो उनके पार्श्व आंदोलन में अक्सर SharePoint, JIRA, DocuSign और Slack जैसे संचार प्लेटफ़ॉर्म, साथ ही Confluence जैसे दस्तावेज़ रिपॉजिटरी शामिल होते हैं। यदि वे GitHub या अन्य स्रोत कोड रिपॉजिटरी तक पहुँच सकते हैं, तो खतरा पैदा करने वाले अभिनेता उस स्रोत कोड को खींच लेंगे और लक्ष्य ऐप के भीतर कमज़ोरियों के लिए उसका विश्लेषण करेंगे। वे लक्ष्य ऐप के डेटा को बाहर निकालने के लिए इन कमज़ोरियों का फायदा उठाने का प्रयास करेंगे।

AppOmni खतरा खुफिया ब्रीफिंग में यह भी बताया गया है कि अनुमति साझाकरण के माध्यम से डेटा एक्सफ़िलट्रेशन एक गंभीर SaaS सुरक्षा चिंता बनी हुई है। उदाहरण के लिए, Google Workspace में ऐसा तब होता है जब अनधिकृत उपयोगकर्ता निर्देशिकाओं को अनुमतियों के बहुत खुले स्तर पर बदल देता है। हमलावर उन्हें ईमेल अग्रेषण के माध्यम से किसी अन्य बाहरी इकाई के साथ साझा कर सकता है, या सशर्त नियमों को बदल सकता है ताकि हमलावरों को वितरण सूची में BCC प्राप्तकर्ताओं के रूप में शामिल किया जा सके।

आप अपने SaaS वातावरण की सुरक्षा कैसे करते हैं?

1. SaaS सिस्टम की स्वच्छता पर ध्यान दें

यह निर्धारित करने के लिए कि आप अपनी कंपनी में किस SaaS की अनुमति देंगे, SaaS सेवन और समीक्षा प्रक्रिया स्थापित करें। इस प्रक्रिया में निम्नलिखित सुरक्षा प्रश्नों के उत्तर की आवश्यकता होनी चाहिए:

• क्या सभी SaaS को SOC 2 टाइप 2 प्रमाणित होना आवश्यक है?
• प्रत्येक टेनेंट के लिए इष्टतम सुरक्षा कॉन्फ़िगरेशन क्या है?
• आपकी कंपनी कॉन्फ़िगरेशन बहाव से कैसे बचेगी?
• आप यह कैसे निर्धारित करेंगे कि स्वचालित SaaS अपडेट के लिए सुरक्षा नियंत्रण सेटिंग्स को संशोधित करने की आवश्यकता होगी या नहीं?

सुनिश्चित करें कि आप Shadow IT SaaS (या अनधिकृत SaaS ऐप्स) और एक प्रतिक्रिया कार्यक्रम है ताकि अलर्ट व्यर्थ न जाएं।

यदि आप अपने SaaS टेनेंट्स की निगरानी नहीं कर रहे हैं और उनसे सभी लॉग्स को किसी एकीकृत विधि से ग्रहण नहीं कर रहे हैं, तो आप कभी भी संदिग्ध व्यवहारों का पता नहीं लगा पाएंगे और उनके आधार पर अलर्ट प्राप्त नहीं कर पाएंगे।

2. मशीन खातों/पहचानों की सूची बनाना और उन पर निरंतर निगरानी रखना

खतरा पैदा करने वाले लोग मशीन पहचान को अपने विशेषाधिकार प्राप्त पहुंच और ढीले प्रमाणीकरण मानकों के लिए निशाना बनाते हैं, जिसके लिए अक्सर MFA की आवश्यकता नहीं होती।

2023 में, खतरे वाले अभिनेताओं ने प्रमुख CI/CD टूल Travis CI, CircleCI और Heroku को सफलतापूर्वक लक्षित किया और उनका उल्लंघन किया, इन सभी प्रदाताओं के ग्राहकों के लिए OAuth टोकन चुराए। इन स्थितियों में विस्फोट का दायरा काफी बढ़ जाता है।

औसत उद्यम में 256 मशीन पहचान होने के कारण, स्वच्छता की अक्सर कमी होती है। उनमें से कई का उपयोग एक या दो बार किया जाता है और फिर वे सालों तक स्थिर रहते हैं।

अपनी सभी मशीन पहचानों की सूची बनाएँ और इन महत्वपूर्ण जोखिमों को प्राथमिकता दें। एक बार जब आप इन्हें कम कर लें, तो ऐसी नीतियाँ बनाएँ जो निर्धारित करें:

• किस प्रकार के खातों को मशीन पहचान प्रदान की जाएगी, तथा पहुंच प्रदान करने के लिए इन विक्रेताओं को कौन सी आवश्यकताएं पूरी करनी होंगी।
• वह समय सीमा जिसके अंतर्गत उनकी पहुंच/टोकन को निरस्त, रिफ्रेश या पुनः प्रदान किए जाने से पहले वे कितने समय तक सक्रिय रहेंगे।
• आप इन खातों के उपयोग पर कैसे नजर रखेंगे और यह कैसे सुनिश्चित करेंगे कि निष्क्रियता की स्थिति में भी उनकी जरूरत बनी रहेगी।

3. अपने SaaS एस्टेट में एक वास्तविक ज़ीरो ट्रस्ट आर्किटेक्चर का निर्माण करें

जीरो ट्रस्ट आर्किटेक्चर “कभी भरोसा न करें, हमेशा सत्यापित करें” दृष्टिकोण के साथ कम से कम विशेषाधिकार (पीएलपी) के सिद्धांत पर आधारित है। जबकि जीरो ट्रस्ट पारंपरिक नेटवर्क में स्थापित किया गया है, यह SaaS वातावरण में शायद ही कभी हासिल किया गया है।

जीरो ट्रस्ट नेटवर्क एक्सेस (ZTNA) का नेटवर्क-केंद्रित दृष्टिकोण SaaS प्लेटफार्मों के भीतर या उन पर गलत कॉन्फ़िगरेशन, मशीन एकीकरण या अवांछित उपयोगकर्ता पहुंच अधिकारों का पता नहीं लगा सकता है, जिससे हजारों या लाखों बाहरी उपयोगकर्ता डेटा तक पहुंच बना सकते हैं।

जीरो ट्रस्ट पोस्चर मैनेजमेंट (ZTPM), एक उभरता हुआ SaaS सुरक्षा उपकरण है, जो आपके SaaS एस्टेट में जीरो ट्रस्ट का विस्तार करता है। यह SASE द्वारा बनाए गए SaaS सुरक्षा अंतर को पाटता है:

• अनधिकृत ZTNA बाईपास को रोकना
• पहुँच सम्बन्धी सुस्पष्ट निर्णय लेने की अनुमति देना
• निरंतर फीडबैक लूप के साथ अपनी सुरक्षा नीतियों को लागू करना
• मशीन एकीकरण और क्लाउड कनेक्शन तक शून्य विश्वास का विस्तार

एसएसपीएम, जेडटीपीएम और ए के साथ SaaS सुरक्षा कार्यक्रम इसके स्थान पर, आपकी टीम को वह दृश्यता और बुद्धिमत्ता प्राप्त होगी जिसकी उसे आपके किल चेन के कम जोखिम वाले चरणों में घुसपैठियों की पहचान करने के लिए आवश्यकता है – और उल्लंघन के विनाशकारी होने से पहले उन्हें रोक लें।