🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Cada ferramenta de IA, automação de fluxo de trabalho e aplicativo de produtividade que seus funcionários conectados ao Google ou Microsoft este ano deixaram algo para trás: um token OAuth persistente sem data de validade, sem limpeza automática e, na maioria das organizações, ninguém o observa. Seus controles de perímetro não veem isso. Seu MFA não impede isso. E quando um invasor consegue uma, ele não precisa de uma senha.
As concessões OAuth não expiram quando os funcionários saem. Eles não são redefinidos quando as senhas são alteradas. E na maioria das organizações ninguém os observa.
O modelo fazia sentido quando alguns aplicativos aprovados por TI precisavam de acesso ao calendário. Isso não se sustenta quando cada funcionário conecta de forma independente ferramentas de IA, automações de fluxo de trabalho e aplicativos de produtividade diretamente em seu ambiente Google ou Microsoft – cada um recebendo um token persistente e com escopo definido, sem expiração automática e sem visibilidade centralizada.
Isso não é uma configuração incorreta. É assim que o OAuth foi projetado para funcionar. A lacuna é que a maioria dos programas de segurança não foi criada para dar conta disso em grande escala.
Os CISOs sabem que isso é um problema. A maioria não está resolvendo.
Uma nova pesquisa da Material Security quantifica a lacuna entre a conscientização e a ação. 80% dos líderes de segurança consideram que as concessões OAuth não gerenciadas são um risco crítico ou significativo. A maioria diz isso há anos.
Mas a consciência não se traduz diretamente em capacidade. Uma parcela substancial das organizações (45%) não está fazendo nada para monitorar as concessões OAuth em grande escala. Muitos dos demais (33%) estão executando processos manuais – rastreando concessões em planilhas, revisando permissões ad hoc, contando com funcionários para sinalizar comportamentos incomuns em aplicativos.
As planilhas não são um recurso de resposta a ameaças. Eles são um registro de quanta exposição uma organização não sabe que tem.
Não é um risco teórico
O argumento para a visibilidade do OAuth muitas vezes é apresentado como funcionários canalizando informações confidenciais para ferramentas de terceiros sem visibilidade de TI. Esse é um problema real, mas é o menor. A questão mais urgente é que as concessões OAuth são um vetor de ataque ativo. O incidente do Drift torna isso concreto.
Drift, uma plataforma de engajamento de vendas adquirida pela Salesloft, manteve integrações OAuth com instâncias do Salesforce em centenas de organizações de clientes. Um ator de ameaça rastreado pela Unidade 42 de Palo Alto como UNC6395 obteve tokens de atualização OAuth válidos – provavelmente por meio de campanhas de phishing anteriores – e os usou para acessar ambientes Salesforce pertencentes a mais de 700 organizações.
A estrutura do ataque é um aviso: os tokens eram legítimos, a integração era legítima. Do ponto de vista de qualquer controle perimetral, não havia nada de errado. A MFA foi totalmente ignorada porque o invasor não estava fazendo login – eles estavam apresentando um token que o Drift já tinha permissão para usar. Uma vez lá dentro, o UNC6395 exportou dados sistematicamente e os vasculhou em busca de credenciais: chaves de acesso AWS, tokens Snowflake, senhas.
Cloudflare, PagerDuty e dezenas de outros foram afetados. O escopo completo ainda está sendo avaliado.
O incidente do Drift não foi um ataque de um aplicativo suspeito e desconhecido. Foi um ataque através de alguém confiável. A lição não é que as organizações devam restringir as integrações do OAuth; é que confiar em um aplicativo no momento da instalação não significa que ele permaneça confiável e que as concessões do OAuth precisam de monitoramento ativo e contínuo, em vez de aceitação passiva.
Como realmente deve ser o monitoramento
A geração atual de ferramentas de segurança OAuth aborda o risco do OAuth no ponto de instalação. Eles verificam se o escopo de permissão solicitado é excessivo. Eles podem sinalizar aplicativos de fornecedores com má reputação. Isso é útil – mas não é suficiente. Para o cenário Drift, um aplicativo legítimo cujas credenciais foram posteriormente roubadas e transformadas em armas – ele não captura nada.
Para começar, os níveis de confiança do fornecedor e os escopos dos aplicativos são importantes, mas contam apenas parte da história. Monitorar o comportamento real do aplicativo – as chamadas de API que ele faz, as ações que ele executa – é fundamental para entender o que o aplicativo está realmente fazendo, e não apenas o que ele poderia fazer. E mesmo assim, sem visibilidade profunda das contas às quais o aplicativo está vinculado, você ainda estará operando meio cego. Um aplicativo arriscado vinculado à conta de um estagiário é uma coisa – o mesmo aplicativo usado por um VIP com acesso a inúmeros e-mails, arquivos e sistemas confidenciais é algo completamente diferente.
O ataque Drift não envolveu um aplicativo suspeito solicitando permissões incomuns na instalação. Envolvia um aplicativo legítimo cujas credenciais foram posteriormente comprometidas e transformadas em armas. Uma ferramenta que apenas avalia a subvenção no momento da criação não teria visto nada de errado. O risco se materializou mais tarde – quando o token foi roubado e usado por um ator totalmente diferente.
A segurança OAuth eficaz requer:
Monitoramento comportamental contínuo, não
As concessões OAuth não expiram quando os funcionários saem. Eles não são redefinidos quando as senhas são alteradas. E na maioria das organizações ninguém os observa.
O modelo fazia sentido quando alguns aplicativos aprovados por TI precisavam de acesso ao calendário. Isso não se sustenta quando cada funcionário conecta de forma independente ferramentas de IA, automações de fluxo de trabalho e aplicativos de produtividade diretamente em seu ambiente Google ou Microsoft – cada um recebendo um token persistente e com escopo definido, sem expiração automática e sem visibilidade centralizada.
Isso não é uma configuração incorreta. É assim que o OAuth foi projetado para funcionar. A lacuna é que a maioria dos programas de segurança não foi criada para dar conta disso em grande escala.
Os CISOs sabem que isso é um problema. A maioria não está resolvendo.
Uma nova pesquisa da Material Security quantifica a lacuna entre a conscientização e a ação. 80% dos líderes de segurança consideram que as concessões OAuth não gerenciadas são um risco crítico ou significativo. A maioria diz isso há anos.
Mas a consciência não se traduz diretamente em capacidade. Uma parcela substancial das organizações (45%) não está fazendo nada para monitorar as concessões OAuth em grande escala. Muitos dos demais (33%) estão executando processos manuais – rastreando concessões em planilhas, revisando permissões ad hoc, contando com funcionários para sinalizar comportamentos incomuns em aplicativos.
As planilhas não são um recurso de resposta a ameaças. Eles são um registro de quanta exposição uma organização não sabe que tem.
Não é um risco teórico
O argumento para a visibilidade do OAuth muitas vezes é apresentado como funcionários canalizando informações confidenciais para ferramentas de terceiros sem visibilidade de TI. Esse é um problema real, mas é o menor. A questão mais urgente é que as concessões OAuth são um vetor de ataque ativo. O incidente do Drift torna isso concreto.
Drift, uma plataforma de engajamento de vendas adquirida pela Salesloft, manteve integrações OAuth com instâncias do Salesforce em centenas de organizações de clientes. Um ator de ameaça rastreado pela Unidade 42 de Palo Alto como UNC6395 obteve tokens de atualização OAuth válidos – provavelmente por meio de campanhas de phishing anteriores – e os usou para acessar ambientes Salesforce pertencentes a mais de 700 organizações.
A estrutura do ataque é um aviso: os tokens eram legítimos, a integração era legítima. Do ponto de vista de qualquer controle perimetral, não havia nada de errado. A MFA foi totalmente ignorada porque o invasor não estava fazendo login – eles estavam apresentando um token que o Drift já tinha permissão para usar. Uma vez lá dentro, o UNC6395 exportou dados sistematicamente e os vasculhou em busca de credenciais: chaves de acesso AWS, tokens Snowflake, senhas.
Cloudflare, PagerDuty e dezenas de outros foram afetados. O escopo completo ainda está sendo avaliado.
O incidente do Drift não foi um ataque de um aplicativo suspeito e desconhecido. Foi um ataque através de alguém confiável. A lição não é que as organizações devam restringir as integrações do OAuth; é que confiar em um aplicativo no momento da instalação não significa que ele permaneça confiável e que as concessões do OAuth precisam de monitoramento ativo e contínuo, em vez de aceitação passiva.
Como realmente deve ser o monitoramento
A geração atual de ferramentas de segurança OAuth aborda o risco do OAuth no ponto de instalação. Eles verificam se o escopo de permissão solicitado é excessivo. Eles podem sinalizar aplicativos de fornecedores com má reputação. Isso é útil – mas não é suficiente. Para o cenário Drift, um aplicativo legítimo cujas credenciais foram posteriormente roubadas e transformadas em armas – ele não captura nada.
Para começar, os níveis de confiança do fornecedor e os escopos dos aplicativos são importantes, mas contam apenas parte da história. Monitorar o comportamento real do aplicativo – as chamadas de API que ele faz, as ações que ele executa – é fundamental para entender o que o aplicativo está realmente fazendo, e não apenas o que ele poderia fazer. E mesmo assim, sem visibilidade profunda das contas às quais o aplicativo está vinculado, você ainda estará operando meio cego. Um aplicativo arriscado vinculado à conta de um estagiário é uma coisa – o mesmo aplicativo usado por um VIP com acesso a inúmeros e-mails, arquivos e sistemas confidenciais é algo completamente diferente.
O ataque Drift não envolveu um aplicativo suspeito solicitando permissões incomuns na instalação. Envolvia um aplicativo legítimo cujas credenciais foram posteriormente comprometidas e transformadas em armas. Uma ferramenta que apenas avalia a subvenção no momento da criação não teria visto nada de errado. O risco se materializou mais tarde – quando o token foi roubado e usado por um ator totalmente diferente.
A segurança OAuth eficaz requer:
Monitoramento comportamental contínuo, não
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #os #invasores #da #porta #dos #fundos #conhecem #– #e #a #maioria #das #equipes #de #segurança #ainda #não #fechou
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário