Когда в прошлом месяце специалисты по безопасности опубликовали предупреждения о проблемах Salesloft Drift, две известные компании в сфере кибербезопасности столкнулись с одной и той же угрозой, но их истории в итоге развивались по-разному.
Okta и Zscaler, крупнейшие игроки на рынке управления идентификацией, оказались в числе более 700 клиентов Drift, пострадавших от одной из самых масштабных атак на цепочки поставок в этом году. Спустя неделю после того, как специалисты по безопасности Google предупредили об инциденте, направленном на масштабную кражу данных клиентов Salesforce , обе компании начали оценивать масштабы ущерба.
Опыт этих компаний был совершенно разным. Меры безопасности Okta предотвратили долгосрочный ущерб, а вот Zscaler повезло меньше: ей пришлось столкнуться с несанкционированным доступом как к клиентским, так и к внутренним данным компании. Один и тот же источник угрозы. Те же сроки. Противоположные результаты.
Расхождение в инцидентах и мерах реагирования даёт редкую возможность понять, как работает стратегия кибербезопасности на практике. CyberScoop поговорил с руководителями служб безопасности обеих компаний, чтобы узнать, как атака была отражена теми, кто оказался непосредственно в её центре, и какие выводы можно сделать, чтобы укрепить защиту как их компаний, так и других компаний в будущем.
Эти токены позволяли группировке получать доступ к данным с отдельных платформ, интегрированных с Drift, чат-агентом на основе искусственного интеллекта, используемым в основном отделами продаж, и красть их. Google заявила, что «широкомасштабная кампания по краже данных» произошла в течение 10 дней в середине августа. Почти 40 компаний, включая более 20 поставщиков решений для кибербезопасности , публично заявили о том, что стали жертвами серии атак.
Zscaler получила первое предупреждение безопасности от Salesforce через неделю после кражи данных. В нём поставщику безопасности сообщалось, что неавторизованные IP-адреса используют API для его токена Drift OAuth. Zscaler немедленно отозвала токен, «хотя к тому моменту это уже не имело значения», — заявил Сэм Карри, директор по информационной безопасности компании.
Ущерб уже был нанесен. Были раскрыты данные большого числа клиентов Zscaler, включая имена, адреса электронной почты, должности, номера телефонов, сведения о местоположении, лицензионную и коммерческую информацию о продуктах Zscaler, а также текстовые материалы некоторых обращений в службу поддержки.
Этот контроль заблокировал атаку и обеспечил безопасность интеграции Okta с Drift. Однако многие компании не используют этот подход, поскольку настройка ограничений IP-адресов для вызовов API — это ручной и зачастую трудоемкий процесс, требующий участия и поддержки со стороны каждого поставщика в цепочке поставок.
«Если мы сможем сосредоточиться на этих проблемах, мы сможем найти решения, которые позволят вам вводить ограничения в отношении интеллектуальной собственности всего за несколько кликов, а не за несколько дней и недель непрерывного тестирования, расследования и обнаружения», — сказал Брэдбери.
Расследование Okta выявило, по-видимому, автоматизированную кампанию угроз. «Они не были постоянными», — сказал Брэдбери. «На данный момент у нас есть гипотеза о том, что существовал один значимый скрипт, который был разработан, чтобы атаковать все эти системы одновременно и получить всю эту информацию в ходе серии событий».
Взлом Zscaler был особенно разочаровывающим, учитывая время: компания уже прекратила использование Drift в июле, решение, совершенно не связанное с безопасностью, и принятое до того, как появились какие-либо признаки атакующей кампании.
«Токен OAuth, который использовался в [Drift], всё ещё был активен», — сказал Карри. «Он должен был быть выведен из эксплуатации к концу августа», — добавил он, назвав это решение преднамеренной задержкой, чтобы убедиться, что токен полностью отключён и больше не используется.
«На самом деле я не знаю, как они выпустили токены. Я просто знаю, что это так», — сказал Карри. «Что касается того, как они их хранят, я не знаю, как это сделать внутри компании, за исключением того, что они прошли нашу анкету безопасности и, вероятно, сотни, если не тысячи других анкет» по управлению рисками третьих лиц, добавил он.
Okta также не знает, как группа злоумышленников получила доступ к OAuth-токену Salesloft Drift. Брэдбери отметил, что эта информация должна была поступить от Salesloft.
«Интернет связан с помощью очень хрупких, небольших фрагментов информации — этих токенов, о которых мы постоянно говорим, этих комбинаций букв и цифр в файлах, которые в конечном итоге обеспечивают доступ ко всем приложениям, которые мы используем», — сказал он.
«Эти токены необходимо где-то хранить, и, к сожалению, сейчас существуют механизмы, которые не требуют прямой привязки этих токенов к чему-либо, чтобы предотвратить их повторное использование», — добавил Брэдбери.
Большинство SaaS-приложений реализуют токены и аутентификацию довольно примитивно. «Они делают то, что просто и эффективно, а работает то, что после предоставления доступа вы фактически храните эти токены где-то», — сказал он.
«API становятся новым средством доступа, над которым нам нужно больше контроля, и нам нужно лучше контролировать их коллективно», — сказал Карри. «API расширяют возможности, и вам нужна возможность их мониторинга и превентивного контроля для отслеживания изменений в поведении».
Zscaler усвоил еще один урок нелегким путем — важность ограничения диапазонов IP-адресов для запросов API и более частой ротации токенов.
«Для меня этот тревожный сигнал означает, что API — это новый уровень атаки и контроля, который гораздо более уязвим, чем большинство людей осознают, исходя из простого анализа рисков», — сказал Карри.
«В мире, где всё связано с API, нет мелких поставщиков. Это как, например, если говорить о безопасности границ, то здесь нет мелких и незначительных пунктов въезда», — добавил он. «Все они используют одни и те же транспортные сети».
Брэдбери, который, как и ожидалось, рад, что Okta не пострадала от этой вредоносной кампании, не может не испытывать разочарования, поскольку считает, что существуют более эффективные и безопасные методы защиты от несанкционированного использования токенов. Ключевой проблемы этой атаки на цепочку поставок можно было бы избежать с помощью механизма подтверждения владения (DPoP), который ограничивает использование токенов конкретным клиентом и предотвращает использование украденных токенов, сказал он.
Брэдбери добавил, что как только злоумышленники украдут токены, которые можно использовать повторно без ограничений, всех ждут катастрофические последствия.
«Нам нужно, чтобы больше поставщиков SaaS-решений действительно отдавали приоритет функциям безопасности в своих планах развития, а не только тем функциям, которые приведут к росту числа клиентов и доходов», — сказал он.
Руководители служб безопасности должны сыграть важную роль, требуя от своих поставщиков этих изменений. «Нам давно пора начать использовать наши общие амбиции, чтобы поднять планку безопасности и призвать наших поставщиков к ответственности», — сказал Брэдбери.
Карри придерживается аналогичного дальновидного подхода. «Давайте учиться друг у друга, вместо того чтобы колоть раненых штыками», — сказал он.
«Постфактум, при свете дня, мы все посмотрим на произошедшее», — добавил Карри. «На данный момент меня не интересуют обвинения. Меня интересует более высокая степень безопасности».
Okta и Zscaler, крупнейшие игроки на рынке управления идентификацией, оказались в числе более 700 клиентов Drift, пострадавших от одной из самых масштабных атак на цепочки поставок в этом году. Спустя неделю после того, как специалисты по безопасности Google предупредили об инциденте, направленном на масштабную кражу данных клиентов Salesforce , обе компании начали оценивать масштабы ущерба.
Опыт этих компаний был совершенно разным. Меры безопасности Okta предотвратили долгосрочный ущерб, а вот Zscaler повезло меньше: ей пришлось столкнуться с несанкционированным доступом как к клиентским, так и к внутренним данным компании. Один и тот же источник угрозы. Те же сроки. Противоположные результаты.
Расхождение в инцидентах и мерах реагирования даёт редкую возможность понять, как работает стратегия кибербезопасности на практике. CyberScoop поговорил с руководителями служб безопасности обеих компаний, чтобы узнать, как атака была отражена теми, кто оказался непосредственно в её центре, и какие выводы можно сделать, чтобы укрепить защиту как их компаний, так и других компаний в будущем.
От предупреждения к инциденту
Salesloft не опубликовала подробный анализ первопричин атаки, но предварительные результаты расследования показали, что группа злоумышленников получила доступ к её аккаунту на GitHub ещё в марте. Группа, отслеживаемая Google как UNC6395, осуществила горизонтальное продвижение и настроила рабочие процессы в среде приложений Salesloft, прежде чем получить доступ к среде Amazon Web Services компании Drift и получить токены OAuth, используемые клиентами Drift.Эти токены позволяли группировке получать доступ к данным с отдельных платформ, интегрированных с Drift, чат-агентом на основе искусственного интеллекта, используемым в основном отделами продаж, и красть их. Google заявила, что «широкомасштабная кампания по краже данных» произошла в течение 10 дней в середине августа. Почти 40 компаний, включая более 20 поставщиков решений для кибербезопасности , публично заявили о том, что стали жертвами серии атак.
Zscaler получила первое предупреждение безопасности от Salesforce через неделю после кражи данных. В нём поставщику безопасности сообщалось, что неавторизованные IP-адреса используют API для его токена Drift OAuth. Zscaler немедленно отозвала токен, «хотя к тому моменту это уже не имело значения», — заявил Сэм Карри, директор по информационной безопасности компании.
Ущерб уже был нанесен. Были раскрыты данные большого числа клиентов Zscaler, включая имена, адреса электронной почты, должности, номера телефонов, сведения о местоположении, лицензионную и коммерческую информацию о продуктах Zscaler, а также текстовые материалы некоторых обращений в службу поддержки.
Ограничения интеллектуальной собственности для защиты
Поскольку Okta использует Drift, компания активно искала признаки взлома, когда эксперты по анализу угроз начали предупреждать о проблемах в сервисе. Компания обнаружила «кратковременную волну попыток» использовать токены Drift из мест за пределами вручную настроенного диапазона IP-адресов, установленного в целях безопасности, сообщил CyberScoop Дэвид Брэдбери, директор по безопасности Okta.Этот контроль заблокировал атаку и обеспечил безопасность интеграции Okta с Drift. Однако многие компании не используют этот подход, поскольку настройка ограничений IP-адресов для вызовов API — это ручной и зачастую трудоемкий процесс, требующий участия и поддержки со стороны каждого поставщика в цепочке поставок.
«Если мы сможем сосредоточиться на этих проблемах, мы сможем найти решения, которые позволят вам вводить ограничения в отношении интеллектуальной собственности всего за несколько кликов, а не за несколько дней и недель непрерывного тестирования, расследования и обнаружения», — сказал Брэдбери.
Расследование Okta выявило, по-видимому, автоматизированную кампанию угроз. «Они не были постоянными», — сказал Брэдбери. «На данный момент у нас есть гипотеза о том, что существовал один значимый скрипт, который был разработан, чтобы атаковать все эти системы одновременно и получить всю эту информацию в ходе серии событий».
Взлом Zscaler был особенно разочаровывающим, учитывая время: компания уже прекратила использование Drift в июле, решение, совершенно не связанное с безопасностью, и принятое до того, как появились какие-либо признаки атакующей кампании.
«Токен OAuth, который использовался в [Drift], всё ещё был активен», — сказал Карри. «Он должен был быть выведен из эксплуатации к концу августа», — добавил он, назвав это решение преднамеренной задержкой, чтобы убедиться, что токен полностью отключён и больше не используется.
Причина кражи токенов остается загадкой
Salesloft не объяснила, как группа злоумышленников получила доступ к ее учетной записи GitHub, а также как она получила доступ к среде Drift AWS и в конечном итоге получила токены OAuth клиентов.«На самом деле я не знаю, как они выпустили токены. Я просто знаю, что это так», — сказал Карри. «Что касается того, как они их хранят, я не знаю, как это сделать внутри компании, за исключением того, что они прошли нашу анкету безопасности и, вероятно, сотни, если не тысячи других анкет» по управлению рисками третьих лиц, добавил он.
Okta также не знает, как группа злоумышленников получила доступ к OAuth-токену Salesloft Drift. Брэдбери отметил, что эта информация должна была поступить от Salesloft.
«Интернет связан с помощью очень хрупких, небольших фрагментов информации — этих токенов, о которых мы постоянно говорим, этих комбинаций букв и цифр в файлах, которые в конечном итоге обеспечивают доступ ко всем приложениям, которые мы используем», — сказал он.
«Эти токены необходимо где-то хранить, и, к сожалению, сейчас существуют механизмы, которые не требуют прямой привязки этих токенов к чему-либо, чтобы предотвратить их повторное использование», — добавил Брэдбери.
Большинство SaaS-приложений реализуют токены и аутентификацию довольно примитивно. «Они делают то, что просто и эффективно, а работает то, что после предоставления доступа вы фактически храните эти токены где-то», — сказал он.
Уроки коллективной обороны
Хотя их опыт после атак Salesloft Drift был совершенно разным, Брэдбери и Карри разделяли схожие мысли и извлекли много общих уроков из взлома третьих лиц, затронувшего сотни компаний.«API становятся новым средством доступа, над которым нам нужно больше контроля, и нам нужно лучше контролировать их коллективно», — сказал Карри. «API расширяют возможности, и вам нужна возможность их мониторинга и превентивного контроля для отслеживания изменений в поведении».
Zscaler усвоил еще один урок нелегким путем — важность ограничения диапазонов IP-адресов для запросов API и более частой ротации токенов.
«Для меня этот тревожный сигнал означает, что API — это новый уровень атаки и контроля, который гораздо более уязвим, чем большинство людей осознают, исходя из простого анализа рисков», — сказал Карри.
«В мире, где всё связано с API, нет мелких поставщиков. Это как, например, если говорить о безопасности границ, то здесь нет мелких и незначительных пунктов въезда», — добавил он. «Все они используют одни и те же транспортные сети».
Брэдбери, который, как и ожидалось, рад, что Okta не пострадала от этой вредоносной кампании, не может не испытывать разочарования, поскольку считает, что существуют более эффективные и безопасные методы защиты от несанкционированного использования токенов. Ключевой проблемы этой атаки на цепочку поставок можно было бы избежать с помощью механизма подтверждения владения (DPoP), который ограничивает использование токенов конкретным клиентом и предотвращает использование украденных токенов, сказал он.
Брэдбери добавил, что как только злоумышленники украдут токены, которые можно использовать повторно без ограничений, всех ждут катастрофические последствия.
«Нам нужно, чтобы больше поставщиков SaaS-решений действительно отдавали приоритет функциям безопасности в своих планах развития, а не только тем функциям, которые приведут к росту числа клиентов и доходов», — сказал он.
Руководители служб безопасности должны сыграть важную роль, требуя от своих поставщиков этих изменений. «Нам давно пора начать использовать наши общие амбиции, чтобы поднять планку безопасности и призвать наших поставщиков к ответственности», — сказал Брэдбери.
Карри придерживается аналогичного дальновидного подхода. «Давайте учиться друг у друга, вместо того чтобы колоть раненых штыками», — сказал он.
«Постфактум, при свете дня, мы все посмотрим на произошедшее», — добавил Карри. «На данный момент меня не интересуют обвинения. Меня интересует более высокая степень безопасности».
