Ataques à identidade são a principal ameaça a combater no contexto SaaS

Creating Secure Authentication Processes and Providing Digital Access to the Right People
Cristina De Luca -

Setembro 02, 2024

Nos últimos meses vimos o ecossistema do crime cibernético se inclinar para ataques de roubo e preenchimento de credenciais, com um mercado em expansão de credenciais violadas que alimenta e é alimentado por um pipeline contínuo de violações de dados, dando aos invasores muitas vítimas primárias, secundárias e de terceiros para extorquir, muitas vezes visando um único aplicativo SaaS. A violação da Snowflake, considerada uma das maiores da história, é um exemplo revelador disso que, sem dúvida, será visto como um momento decisivo. Utilizando malware para roubar credenciais de funcionários de diversas empresas, os atacantes conseguiram ter acess a contas sem autenticação multifator (MFA). E não para aí.

  • 80% dos ataques atuais envolvem identidade e credenciais comprometidas (CrowdStrike).
  • só em 2023, houve aumento de 10 vezes nos ataques de identidade, com uma média de 4.000 ataques por segundo (Microsoft). 
  • 79% dos comprometimentos de aplicativos da Web foram resultado de credenciais violadas (Verizon). 
  • um milhão de novos registros de infostealers são distribuídos todos os meses, sendo que 3 a 5% contêm credenciais corporativas (Flare).
  • 147.000 ataques de repetição de token foram detectados pela Microsoft em 2023, um aumento de 111% em relação ao ano anterior (Microsoft).

Atualmente, a grande maioria das vulnerabilidades de identidade existe no contexto de aplicativos SaaS. Os motivos para isso são claros: as equipes de segurança têm menos supervisão e controle central sobre os aplicativos SaaS do que estão acostumadas, esses aplicativos existem em grande número por empresa e as identidades usadas para acessar esses aplicativos são… complicadas, para dizer o mínimo. Portanto, proteger centenas de aplicativos, com milhares de identidades associadas, não é tarefa fácil. 

O comprometimento de um usuário padrão em um aplicativo de baixo risco pode rapidamente se transformar em um comprometimento mais amplo, permitindo que os invasores passem para os aplicativos de alto risco com a funcionalidade ou os dados que desejam. Os atacantes podem (e tentarão) atingir seus objetivos em etapas (assumir o controle de uma conta, fazer backdoor em um aplicativo, espalhar-se para outros aplicativos, exfiltrar dados…) usando várias técnicas, muitas vezes em conjunto. A meta é sempre progredir até o final da cadeia de ataque para atingir quaisquer que sejam seus objetivos: roubo e extorsão de dados, abuso da funcionalidade no aplicativo (por exemplo, para emitir pagamentos fraudulentos) etc.

Compreender as técnicas de ataque é fundamental, portanto, para impedir que proesperem. Aqui estão todas as técnicas conhecidas que podem comprometer uma empresa sem tocar no endpoint, segundo a Push Security. 

Técnicas de acesso inicial 

A maioria das técnicas que ganharam destaque está predominantemente na fase de acesso inicial, incluindo logins fantasmas, phishing AitM, roubo de cookies de sessão, ataques de downgrade de MFA e abuso de acesso de convidados, todos eles métodos de controle de contas, complementando os clássicos, como o preenchimento de credenciais. 

O ataque de identidade inicial projetado para obter o controle da conta é a parte mais importante da cadeia de ataques de SaaS. O fato de os atacantes estarem concentrados em encontrar novas formas de comprometer as identidades ilustra o valor, mas também a fragilidade dos controles de identidade com os quais a maioria das organizações conta (o que também pode ser um dos motivos pelos quais os atacantes estão concentrados nisso). 

Quer estejamos falando de proteções antiphishing, políticas de acesso condicional ou MFA, os invasores estão continuamente encontrando novas maneiras de contorná-las. Basta ver o que as recentes violações de alto perfil nos mostram sobre como pode ser lucrativo para os invasores encontrarem maneiras de assumir o controle das identidades da força de trabalho para acessar aplicativos de negócios baseados na Web, sendo que os recentes ataques Snowflake são o elefante na sala. Se tudo o que um invasor realmente precisa fazer para causar danos é fazer login em um aplicativo e abusar de seus recursos e funções legítimos, realmente não há margem para erros – você precisa sempre interromper com êxito o ataque inicial à identidade. 

Você não pode confiar nos seus controles de endpoint e de rede para capturá-los mais tarde, como costumava fazer. Da mesma forma, é improvável que sua solução CASB ou DLP possa impedir que um aplicativo legítimo, usando recursos legítimos, como fluxos de trabalho baseados em API, envie dados para uma infraestrutura controlada por invasores. Esse é um caso clássico em que os invasores só precisam vencer uma vez. E, no momento, é um jogo de números que eles estão ganhando o suficiente para que continuem voltando para mais.

Encadeamento de técnicas

Outra possibilidade é a criação de  cadeias de ataque combinando criativamente técnicas em diferentes estágios do ciclo de vida do ataque, uma vez que um nível de acesso inicial tenha sido obtido.

Por exemplo, ao combinar duas das nossas novas técnicas favoritas de ataque de SaaS, poisoned tenants e SAMLjacking, é possível criar uma cadeia de ataque simples, mas eficaz.

Poisoned tenants envolvem um adversário que registra um locatário para um aplicativo SaaS que ele controla e engana os usuários-alvo para que se juntem a ele, geralmente usando a funcionalidade de convite integrada. O objetivo final é fazer com que alguns usuários-alvo usem ativamente um locatário que você (o adversário) controla.

Já SAMLjacking é quando um invasor usa as definições de configuração de SAML SSO para um tenant de SaaS que ele controla a fim de redirecionar os usuários para um link mal-intencionado de sua escolha durante o processo de autenticação. O pode ser altamente eficaz para ataques de phishing, pois o URL original será uma URL legítima de SaaS. 

É possível combinar essas técnicas de modo que um poisoned tenant não precisa ser um alvo grande para ser útil e um ataque de SAMLjacking não precisasse necessariamente fazer phishing. O ataque pode ser bem-sucedido apenas com um alvo acessando seus próprios favoritos ou abas abertas de um aplicativo que ele já usa. 

A melhor maneira de se defender contra esses tipos de ataques é ter visibilidade de toda a superfície de ataque de identidade e, em seguida, concentrar-se no fortalecimento da segurança.