Efter att ShinyHunters hackerkollektiv utnyttjade "alltför tillåtande" Salesforce-gästanvändarkonfigurationer för att få åtkomst till data från upp till 400 organisationer, hur kan företag stärka motståndskraften?
Av Kate O'Flaherty
I mars utfärdade Salesforce en varning till kunderna att ShinyHunters hackingkollektiv utnyttjade felkonfigurationer på offentliga Experience Cloud-webbplatser för att komma åt känslig data och hålla företag som gisslan.
Angriparna tydligen beväpnade en modifierad version av ett verktyg med öppen källkod. AuraInspector, ursprungligen utvecklad av Mandiant, för att utföra massskanning och hitta konfigurationsluckor för att attackera upp till 400 organisationer.
Som en del av Salesforce Aura-ramverket för att identifiera säkerhetsfelkonfigurationer på Experience Cloud-webbplatser skapade angriparna en version av verktyget "som kan gå utöver identifiering för att faktiskt extrahera data", varnade Salesforce i en rådgivande.
”Detta är den moderna angriparstrategin”, säger Dean Garvey-North, teknisk chef på Microlise. ”Använd legitima verktyg, rikta in dig på konfigurationssvagheter snarare än plattformssårbarheter och arbeta i internetskala.”
Med tanke på att motståndare utnyttjade kunder med "alltför tillåtande gästanvändarinställningar" var Salesforce inte skyldig till incidenten – åtminstone inte ur ett juridiskt perspektiv. Incidenten är ett utmärkt exempel på hur molnkonfiguration, identitetsexponering och modeller för delat ansvar skapar nya och ofta missförstådda riskområden.
Hur kan organisationer minska exponeringen och stärka motståndskraften i molndrivna miljöer där risken ofta ligger i gapet mellan plattformens kapacitet och kundkonfigurationen?
Felkonfigurationer
Som Salesforce-incidenten visar fortsätter felkonfigurationer, särskilt kring gäståtkomst och identitetsbehörigheter, att vara en ständig källa till dataexponering.
Felkonfigurationer kvarstår eftersom organisationer ofta prioriterar användbarhet och snabb digital distribution framför säkerhet. Detta ger oavsiktligt oautentiserade externa användare "breda, interna databehörigheter" snarare än att strikt upprätthålla en "Minsta privilegium"-åtkomstmodell, säger Dray Agha, chef för säkerhetsverksamheten på Huntress.
Användbarhet och säkerhet är "konfronterade genom design", och konfigurationsbeslut som fattas vid implementeringstillfället omprövas sällan, säger Garvey-North från Microlise. "Salesforce Experience Cloud-portaler använder en dedikerad gästanvändarprofil som tillåter oautentiserade besökare att se offentliga sidor eller skicka in formulär utan att logga in. När den profilen är felkonfigurerad med alltför många behörigheter blir data som inte är avsedda att vara offentliga direkt sökbara, utan att inloggning krävs."
Problemet är strukturellt, säger Garvey-North. ”Plattformar levereras med tillåtande standardinställningar för att minska friktionen för nya kunder. Implementeringsteam optimerar för att få saker att fungera. Säkerhetsgranskningar sker vid olika tidpunkter.”
Men molnkonfiguration är inte statisk: ”Varje ny portal, integration eller funktionslansering är en potentiell ny exponeringsyta”, påpekar Garvey-North. ”Utan kontinuerlig konfigurationsövervakning litar du i princip på att ingenting har skiftat sedan din senaste granskning.”
Vem ska skylla?
Salesforce är ett exempel på hur funktioner utformade för användbarhet, såsom publika portaler, API:er och gäståtkomst, introducerar nya och ofta underskattade säkerhetsrisker.
Dessa funktioner förändrar ofta traditionella säkerhetsantaganden, säger Dana Simberkoff, chef för risk, integritet och informationssäkerhet på AvePoint. ”Användbarhetsdriven design flyttar ofta risken, i tysthet, från plattformen till kunden.”
Det kan då vara utmanande att avgöra var ansvaret ligger mellan molnleverantörer och kunder – särskilt när incidenter härrör från konfigurationsproblem snarare än sårbarheter i centrala plattformar.
Angriparna sa att en "Salesforce-begränsning" möjliggjorde incidenten. Ändå har Salesforce själva varit tydliga: Detta är inte en plattformssårbarhet, utan ett problem med hur kunder har konfigurerat gästanvändarbehörigheter, säger Garvey-North.
Molnleverantörer säkra plattformen, men kunderna är ansvariga för hur den konfigureras – inklusive identitet, behörigheter och dataexponering. ”Det är där de flesta organisationer brister”, säger Stew Parkin, global CTO för Assured Data Protection. ”De förlitar sig slutligen på tidsmässiga granskningar i miljöer som ständigt förändras.”
Modellen för delat ansvar är ”väl etablerad i teorin och ständigt missförstådd i praktiken”, tillägger Garvey-North från Microlise. ”Molnleverantörer säkrar infrastrukturen och plattformen. Kunderna är ansvariga för vad de lägger på den, hur de konfigurerar åtkomst och hur de styr den över tid. Gapet, och där de flesta intrången nu finns, ligger i konfigurationslagret.”
Automatisering som möjliggör attacker
Samtidigt växer angriparnas kapacitet och använder automatisering och legitima verktyg för att identifiera och utnyttja svagheter i hundratals organisationer samtidigt. Mandiants tekniska chef bekräftade Shiny Hunters använde AuraInspector för att automatisera sårbarhetsskanningar i stor skala i Salesforce-miljöer.
”När försvarare tänker på molnrisker tenderar de fortfarande att tänka i termer av enskilda incidenter”, säger Garvey-North.
Men angripare tänker i termer av yta. ”Varje felkonfigurationsmönster som finns i tusentals organisationer är en enda automatiserad kampanj bort från massutnyttjande”, säger Garvey-North.
Samtidigt ökar taktiker som iscensatta läckor och vishing-kampanjer effekterna av den här typen av incidenter.
ShinyHunters satte en offentlig tidsfrist och varnade för att stulna data skulle släppas om inte offren uppfyllde utpressningskraven.
Gruppen bedrev parallella vishetsoperationer, där de utgav sig för att vara IT-personal och dirigerade anställda till webbplatser för insamling av autentiseringsuppgifter för att samla in autentiseringsuppgifter via en enda inloggning. multifaktorautentisering (MFA)-koder. Kombinationen är avsiktlig, säger Garvey-North: ”Stjäl data via felkonfiguration, samla in autentiseringsuppgifter via social ingenjörskonst och utpressa sedan med båda.”
Detta sker i en tid av ökande regulatoriska förväntningar kring dataskydd, åtkomstkontroll och ansvarsskyldighet. Med tanke på att många områden nu har dataskyddslagar och ökningen av grupptalan är förebyggandet av exponering av data nu ofta den viktigaste drivkraften för betalning av utpressningskrav.
”Även om det uppenbarligen inte rekommenderas, är det ofta billigare att betala för att förhindra att informationen släpps än att drabbas av böter och juridiska avgifter som uppstår vid utlämnande”, säger Tony Gee, huvudkonsult inom cybersäkerhet på 3B Data Security.
Överbrygga synlighetsklyftan
Incidenter som Salesforce-attackerna belyser en ihållande utmaning: Organisationer är alltmer beroende av molnplattformar, men säkerhetsansvaret är distribuerat och inte alltid tydligt förstådd.
Företag behöver gå bortom att anta att molnplattformssäkerhet är tillräcklig, mot en mer kontinuerlig, systembaserad strategi för konfigurationshantering, identitetsstyrning och säkring.
Traditionell säkerhet förlitar sig starkt på statiska, punktvisa granskningar som ”helt missar de subtila, kontinuerliga konfigurationsförändringarna och API-exponeringarna som kännetecknar moderna molnrisker”, säger Huntress Agha.
Detta lämnar ”en farlig synlighetslucka där legitima funktioner i hemlighet missbrukas”, varnar han.
Med detta i åtanke finns det några praktiska steg som säkerhets- och efterlevnadschefer bör vidta för att förbättra synligheten och kontrollen över identitets-, åtkomst- och konfigurationsinställningar.
Enligt Agha måste chefer övergå till en säkerhetspolicy som "privat som standard" genom att aktivt granska behörigheter för externa gästprofiler, inaktivera oautentiserad åtkomst till offentliga API-system om det inte är absolut nödvändigt och implementera kontinuerlig övervakning av händelseloggar för att upptäcka onormala datafrågor.
”Var otroligt nyfiken på den infrastruktur som används och anta att leverantören inte har implementerat standardsäkerhet”, råder han. ”Undersök de säkerhetsalternativ som finns tillgängliga i konfigurationen av tredjepartsverktyg.”
En viktig defensiv kontroll är stark leverantörskontroll och kontinuerlig riskhantering med tredje part, säger Gee från 3B Data Security. Han rekommenderar en metod med minsta möjliga privilegier för datadelning, där endast nödvändiga data delas med tredje part.
Microlises Garvey-North råder att ställa leverantörer de frågor som du skulle ställa till din egen infrastruktur: ”Vilka är era säkra standardkonfigurationer, hur upptäcker ni avvikande åtkomst på plattformsnivå och hur ser er informationsprocess ut när något går fel?”
Samtidigt är det grundläggande att ha en robust responsprocess för att begränsa risken för böter och stämningar, säger Gee. ”Att visa stark cybermotståndskraft har setts vara en avgörande faktor för bötesbeloppet. Att inte göra någonting och förlita sig på den snygga tredjepartsmarknadsföringen är inte ett giltigt försvar och leder ofta till högre böter och lättvinnande grupptalan.”
Samtidigt ramverk som t.ex. ISO 27001 hjälp genom att kräva rigorösa, kontinuerliga riskbedömningar och systematiska policyer för åtkomstkontroll. Detta bidrar till att omvandla molnsäkerhet från en "ställ in och glöm"-ruta till en "kontinuerligt styrd process som anpassar komplexa miljöer till motståndskraftiga standarder", säger Agha.
Där ISO 27001 verkligen tillför värde i komplexa digitala miljöer är i att tvinga fram organisatorisk tydlighet: Vem äger varje kontroll, hur acceptabel risk ser ut och hur incidenter eskaleras och lärs av, säger Garvey-North. ”Den styrningsstrukturen blir bindväven mellan er säkerhetstekniska kapacitet och er riskaptit på styrelsenivå. Utan den har ni verktyg utan ansvarsskyldighet.”
Utöka din kunskap
Blogg: Minsta motståndets väg: Varför djupgående försvar är det bästa svaret på molnhot
Podcast: Nätfiske för problem Avsnitt #10: De stora cybersäkerhetsfrågorna som företag står inför
