В новом году продолжаем знакомиться с инструментами и приёмами взломщиков, чтобы быть в состоянии противостоять им.
Новый сценарий социальной атаки – это атака с использованием поддельных запросов на интеграцию API / SSO.
Мы уже привыкли, что сторонние приложения могут производить обмен данными с теми облачными информационными системами, с которыми вы работаете. Если вы устанавливали дополнения к облачному офису, устанавливали новое приложение в телефоне или просто начинали созвон то вы уже общались с диалоговыми окнами, спрашивающими, можно ли двум информационным системам обмениваться данными. Мы настолько к ним привыкли, что часто без раздумий даём согласие, чтобы всё работало так, как должно. И этим тоже пользуются преступники.🔍
Типичный сценарий атаки может быть следующим:
1. Вы получаете приглашение от вашего партнёра или коллеги поработать с новым рабочим инструментом. Это может быть плагин, средство для работы с электронной подписью, для обмена данными электронных календарей, системы электронного документооборота или совместной работы над проектом и т.п.
2. Вы кликаете ОК или РАЗРЕШИТЬ в привычном окошке с перечислением необходимых прав.
3. Злоумышленники получают те права, которые вы даёте приложению. Системы безопасности на это не реагируют т.к. авторизованный пользователь сам разрешил внешнему приложению, например читать и перезаписывать данные и т.п.
С помощью этого инструмента атаки злоумышленники получают доступ к тем корпоративным облачным сервисам, которыми вы пользуетесь, и авторизацию которых используете для работы с той или иной предлагаемой интеграцией. В России это облачные бизнес-инфраструктуры Яндекса, ВК, Сбера, Google (и других компаний) или стандартное локальное решение, работающее в пределах периметра организации.
Какие данные страдают? ✏
Под ударом все ресурсы, работа с которыми поручена корпоративному облаку. ОТ понятных файлов, почты, календаря до учёток от других сервисов и внутренних систем и токенов сессий (они позволяют пользователям заходить в систему, даже если вы сменили пароль).
Защита
Бороться с этим типом атаки эксперты предлагают с двух сторон:
1. Пользователи должны быть осведомлены о возможности атаки, реализуемой подобным образом. Научите их, в каких случаях можно давать такие разрешения. Напомните, что злоумышленники часто подделывают адреса и переписку, чтобы втереться к ним в доверие. Любые ссылки и предложения из ненадёжных источников следует игнорировать или блокировать.
2. Администраторам стоит закрыть эти дыры. Разобраться со средствами безопасности в используемом облачном продукте и закрыть для пользователей возможность настраивать интеграции и делиться для этого правами (в пользу централизованных политик). Если этого сделать невозможно (например, облачная платформа не позволяет), то имеет смысл приобрести и настроить SIEM-систему, которая в реальном времени будет отслеживать, информировать вас и пресекать опасные операции, которые проходят мимо чьих-либо глаз.
📞Подобрать и заказать SIEM-систему, а также другие высокотехнологичные средства обеспечения информационной безопасности можно в АРБИС. Свяжитесь с нами для получения полной информации о приобретении отечественных бизнес-решений!
Обращайтесь в АРБИС по телефону в шапке профиля, письмом на электронную почту order_cib@arbis29.ru или через сообщения в нашем ВК-сообществе.
#безопасныйчетверг