Nếu có một điểm chung mà tất cả các nền tảng SaaS tuyệt vời đều có chung thì đó là việc họ tập trung vào việc đơn giản hóa cuộc sống của người dùng cuối. Loại bỏ xung đột cho người dùng một cách an toàn là sứ mệnh của các nhà cung cấp dịch vụ đăng nhập một lần (SSO).
Với SSO đứng đầu, người dùng không phải nhớ mật khẩu riêng biệt cho từng ứng dụng hoặc ẩn các bản sao kỹ thuật số của thông tin xác thực trong tầm nhìn dễ thấy.
SSO cũng giải phóng băng thông của CNTT khỏi việc xử lý các yêu cầu đặt lại mật khẩu định kỳ đồng thời cải thiện năng suất cho mọi người trong tổ chức của bạn. Tuy nhiên, cũng có một mức độ rủi ro đi kèm với khả năng SSO.
Cách bảo vệ khỏi SSO không thành công
Rủi ro trong đời thực liên quan đến SSO
Mặc dù SSO tạo điều kiện dễ dàng tiếp cận ở một mức độ lớn, nhưng nó cũng đi kèm với một số rủi ro sắp xảy ra. SSO là một giải pháp mang lại hiệu quả tốt, nhưng không phải là giải pháp bảo mật cuối cùng với các lỗ hổng riêng của nó cho phép bỏ qua.
Có một lớp lỗ hổng cụ thể mà Adam Roberts từ Nhóm NCC đã phát hiện trong một số dịch vụ SSO. Ông nhận thấy rằng lỗ hổng này đã ảnh hưởng cụ thể đến việc triển khai Ngôn ngữ đánh dấu xác nhận bảo mật (SAML).
“Lỗ hổng có thể cho phép kẻ tấn công sửa đổi các phản hồi SAML do nhà cung cấp danh tính tạo ra và do đó có được quyền truy cập trái phép vào các tài khoản người dùng tùy ý hoặc nâng cao đặc quyền trong một ứng dụng” mô tả nhà nghiên cứu bảo mật Roberts.
Các nhà nghiên cứu bảo mật từ Micro Focus Fortify giới thiệu vào năm 2019 những nguy cơ liên quan đến lỗ hổng SSO trong cơ chế xác thực của Microsoft. Các lỗ hổng cho phép các kẻ xấu thực hiện từ chối dịch vụ hoặc mạo danh người dùng khác để khai thác đặc quyền người dùng của họ. Microsoft đã sửa lỗ hổng trong xác thực SSO vào tháng 7 cùng năm.
Ngoài ra còn có sự gia tăng đáng lo ngại của tấn công chiếm đoạt tài khoản (ATO) nơi mà tác nhân xấu có thể vượt qua SSO. Theo xếp hạng tín dụng khổng lồ Experian (không lạ gì với các cuộc tấn công gian lận gây thiệt hại), 57% tổ chức nói rằng họ đã trở thành nạn nhân của ATO trong suốt năm 2020.
SSO, MFA, IAM, Oh My!
Theo thiết kế, SSO không bảo vệ 100%. Ngoài ra, nhiều tổ chức sẽ kích hoạt xác thực đa yếu tố (MFA), tuy nhiên, vẫn có những trường hợp khi tất cả các biện pháp phòng ngừa này có thể thất bại. Đây là một tình huống phổ biến:
Quản trị viên cấp cao — những người dùng mạnh mẽ nhất trong tư thế bảo mật SaaS – thường sẽ bỏ qua các tham số SSO và IAM mà không gặp bất kỳ trục trặc nào. Khả năng này có thể bị bỏ qua vì nhiều lý do, xuất phát từ nỗ lực truy cập dễ dàng và thuận tiện hoặc nhu cầu. Trong tình huống IdP ngừng hoạt động, đối với một số nền tảng SaaS nhất định, các quản trị viên cấp cao sẽ xác thực trực tiếp với nền tảng đó để đảm bảo kết nối. Trong mọi trường hợp, có những giao thức kế thừa cho phép quản trị viên phá vỡ việc sử dụng bắt buộc của nó.
Bảo vệ chống lại lỗi SSO
Chỉ riêng các công cụ SSO là không đủ để bảo vệ chống lại các hành vi xâm nhập trái phép vào vùng SaaS của tổ chức. Bạn có thể thực hiện một số bước nhất định để tránh những rủi ro do SSO đưa ra.
- Chạy kiểm tra và xác định người dùng và nền tảng có thể bỏ qua SSO và triển khai MFA dành riêng cho ứng dụng để đảm bảo chính sách mật khẩu được định cấu hình phù hợp cho người dùng.
- Xác định các giao thức xác thực kế thừa không hỗ trợ MFA và đang được sử dụng, chẳng hạn như IMAP và POP3 cho ứng dụng email.
- Sau đó, giảm số lượng người dùng sử dụng các giao thức này và sau đó tạo yếu tố thứ hai, chẳng hạn như một bộ thiết bị cụ thể có thể sử dụng các giao thức cũ như vậy.
- Xem xét các chỉ số thỏa hiệp duy nhất, chẳng hạn như các quy tắc chuyển tiếp được định cấu hình trong ứng dụng email, hành động hàng loạt, v.v. Các chỉ số đó có thể khác nhau giữa các nền tảng SaaS và do đó yêu cầu kiến thức sâu sắc về từng nền tảng.
Một mạnh mẽ Công cụ quản lý tư thế bảo mật SaaS (SSPM), như Lá chắn Thích ứng, có thể tự động hóa các bước này để giúp ngăn chặn các vụ rò rỉ hoặc tấn công có thể xảy ra.
Ngoài việc kiểm tra từng người dùng trong hệ sinh thái SaaS của bạn, Adaptive Shield sẽ cho phép bạn xem xét điểm yếu cấu hình trên toàn bộ sản phẩm SaaS của bạn, bao gồm miền SSO, thông qua mọi cài đặt, vai trò người dùng và đặc quyền truy cập.
Adaptive Shield cung cấp cho nhóm bảo mật của bạn toàn cảnh về vi phạm và rủi ro của nó đối với tổ chức của bạn và cung cấp cho bạn các hướng dẫn phù hợp từng bước cho đến khi mối đe dọa được giải quyết.
