Desde la perspectiva del usuario, OAuth funciona como magia. Con solo unas pocas pulsaciones de teclas, puede pasar rápidamente por el proceso de creación de la cuenta y obtener acceso inmediato a cualquier nueva aplicación o integración que esté buscando. Desafortunadamente, pocos usuarios entienden las implicaciones de los permisos que otorgan cuando crean una nueva concesión de OAuth, lo que facilita que los actores maliciosos manipulen a los empleados para que les den acceso no deseado a los entornos corporativos. en uno de los ejemplos de alto perfillos ataques de Pawn Storm contra la Convención Nacional Demócrata y otros aprovecharon OAuth para apuntar a las víctimas a través de la ingeniería social.
Los equipos de seguridad y TI harían bien en establecer la práctica de revisar las concesiones de OAuth nuevas y existentes mediante programación para detectar actividades riesgosas o alcances demasiado permisivos. Y hay nuevas soluciones para seguridad SaaS surgiendo que puede hacer este proceso más fácil.
Echemos un vistazo a algunas de las mejores prácticas para priorizar e investigar las subvenciones de su organización.
¿Cuándo debe investigar una concesión de OAuth?
Las organizaciones abordan las revisiones de concesión de OAuth de diferentes maneras. Algunos optan por revisar las nuevas concesiones de OAuth en tiempo real, iniciando una revisión cada vez que un usuario se registra para una nueva aplicación o conecta una integración. Una práctica aún mejor sería adaptar su configuración de Google o Microsoft para requerir aprobación administrativa para cualquier nueva concesión. antes los empleados pueden comenzar a usarlo, dando tiempo a su equipo para investigar y detectar cualquier cosa sospechosa.
Si bien la revisión de las nuevas concesiones de OAuth puede ayudarlo a detectar problemas desde el principio, la supervisión no debe terminar una vez que se implementa una concesión de OAuth. Es importante mantener la higiene de la seguridad de OAuth revisando las concesiones de forma continua para detectar actividades de alto riesgo o cambios drásticos. Mensual o trimestralmente, los equipos de seguridad y TI deben auditar las concesiones de OAuth existentes, comprobar si hay cambios y eliminar las concesiones que no se han utilizado.
Adapte sus investigaciones evaluando los alcances de OAuth.
La autenticación OAuth funciona mediante la asignación de tokens de acceso a aplicaciones de terceros que pueden actuar como un proxy para el consentimiento de un usuario, y el alcance de los permisos otorgados puede variar ampliamente. Puede priorizar sus investigaciones de OAuth considerando el alcance del acceso que proporciona cada concesión.
Dado que los diferentes ámbitos conllevan diferentes niveles de riesgo para su organización, puede variar los estándares de sus investigaciones en función de los permisos otorgados. Concéntrese más en las concesiones con alcances que tienen más probabilidades de dar acceso a información crítica, como información de identificación personal (PII) o propiedad intelectual, o concesiones que pueden realizar cambios en una aplicación.
Y, es posible que desee buscar herramientas que puedan armar un inventario de todas las concesiones de OAuth para usted, junto con alcances y Puntuaciones de riesgo de OAuth para facilitar este proceso.
Evalúe a los proveedores de OAuth y su reputación.
Evalúe si el proveedor responsable de emitir la concesión de OAuth es confiable o no. Por ejemplo, puede revisar la página de seguridad del proveedor, ver sus certificaciones de seguridad y asegurarse de que su programa de seguridad siga las mejores prácticas.
Ciertas señales de reputación pueden ayudarlo a comprender el nivel de confianza que otras organizaciones han depositado en la subvención. Por ejemplo, Microsoft y Google tienen sistemas para verificar la identidad de los editores de aplicaciones, lo que puede brindarle más confianza en la concesión. Sin embargo, los atacantes han logrado explotar los estados de editores verificados en ataques recientespor lo que los profesionales deben considerarlos una señal útil en lugar de una evaluación definitiva de la confiabilidad de una aplicación.
La popularidad de una aplicación en particular y de una subvención en particular puede proporcionar otro indicador de confianza. Si la subvención no es nueva para su organización, puede considerar su popularidad dentro de su propia fuerza laboral observando cuántos de sus propios empleados la están utilizando y con qué frecuencia. Incluso puede extender esto a la popularidad o la cantidad de instalaciones fuera de su organización en el caso de que la aplicación OAuth esté presente en el mercado de Google.
Compruebe los dominios de concesión de OAuth.
Antes de que pueda confiar en la reputación de una marca, debe asegurarse de que las concesiones enumeradas realmente pertenezcan al proveedor que está tratando de verificar. Verificar los dominios de una concesión puede ayudarlo a determinar si un proveedor realmente respalda esa concesión de OAuth en particular, o si la concesión fue creada por alguien que intenta aprovechar la reputación de una marca legítima.
Por ejemplo, si la URL de respuesta de la subvención es calendly3.com, debe asegurarse de que sea realmente un dominio de Calendly y no una copia malintencionada. Debe investigar si el nombre de la concesión coincide con la URL y si Google ha aprobado el dominio.
Investigue el correo electrónico del editor.
Puede obtener información adicional sobre la legitimidad de una concesión consultando el correo electrónico del editor, que es la dirección de correo electrónico utilizada para registrar el ID de cliente utilizado por el token de OAuth.
A veces, un editor de subvenciones de OAuth utilizará una dirección de correo electrónico personal de un proveedor de correo gratuito como Gmail, lo que puede indicar cierto riesgo. Si ese es el caso, puede investigar la reputación de ese correo electrónico para comprender la probabilidad de que se haya utilizado con fines maliciosos. Por ejemplo, asegúrese de que no haya credenciales comprometidas que puedan permitir que un mal actor se haga cargo de la cuenta de correo electrónico. Microsoft advirtió recientemente sobre los actores de amenazas que explotan las cuentas robadas de Exchange Online para propagar spam usando aplicaciones OAuth maliciosas. Los actores obtuvieron acceso inicial a las cuentas robadas mediante ataques de relleno de credenciales, lo que significa que las credenciales comprometidas habrían sido un indicador temprano de riesgo.
Evalúe cómo el proveedor accede a su entorno.
Vigilar cómo un proveedor accede a su entorno puede ayudarlo a marcar cambios repentinos e identificar actividades sospechosas. Por ejemplo, supongamos que permite que una concesión de OAuth acceda al correo electrónico de su organización. Durante tres meses, acceden llamando a las API de Google Workspace desde Amazon AWS. De repente, recibe una llamada API de alto riesgo desde una infraestructura completamente diferente (nodo de salida TOR, red proxy, VPS, etc.). Tal vez el proveedor se vio comprometido o tal vez se robaron las credenciales de la aplicación. Si está monitoreando la actividad relacionada con la forma en que estos proveedores acceden a su entorno, este tipo de cambio puede indicar un problema potencial.
La capacidad de su organización para monitorear esta actividad puede depender del nivel de servicio que pague. Por ejemplo, Google requiere una licencia especial para acceder a un flujo de actividad que revela qué API se llaman dentro de su entorno, así como cuándo y cómo se accede a ellas. Si no paga por el flujo de actividad y ocurre un incidente, es posible que esté ciego.
Microsoft, por otro lado, cambió recientemente su postura sobre el acceso a los registros al optar por hacer que los registros en la nube estén disponibles para todos los usuarios en lugar de solo para los titulares de licencias premium. El cambio siguió presión de CISA y otros después de que se piratearan las cuentas de correo electrónico del gobierno en varias agencias, que no se habrían podido detectar sin el registro premium disponible para al menos una de las partes afectadas.
Supervise la postura de seguridad de sus proveedores de OAuth.
Como parte de su monitoreo continuo, esté atento a los ataques de cadena de suministro de alto perfil que pueden haber afectado a sus proveedores de OAuth. Si un proveedor en la cadena de suministro de su proveedor experimenta una violación de datos, ¿podría comprometer su propia postura de seguridad?
Del mismo modo, considere el efecto de las principales vulnerabilidades en los proveedores en los que confía. Cuando una vulnerabilidad ampliamente explotada como las que se encuentran en Apache Log4j se vuelve pública, evalúe si alguno de los proveedores con acceso OAuth a su entorno podría verse afectado. Del mismo modo, debe prestar atención a las vulnerabilidades dentro de las mismas concesiones de OAuth, como el Configuración incorrecta de Microsoft “nOAuth” que pueden permitir que los malos actores se hagan cargo de las cuentas afectadas. Si cree que sus proveedores pueden verse afectados, puede optar por tomar una acción como revocar esas concesiones hasta que sepa que la vulnerabilidad se ha resuelto.
Investigue y revoque concesiones de OAuth de alto riesgo con Nudge Security.
Nudge Security es un Plataforma de gestión SaaS para el gobierno y la seguridad de TI modernos. Proporciona una visibilidad completa de todos los activos de SaaS y de la nube creados por cualquier miembro de su organización, incluidas las concesiones de OAuth. La plataforma proporciona un inventario de cada concesión de OAuth de aplicación a aplicación que se haya creado en su organización, junto con información de riesgo de OAuth como el tipo de concesión, la antigüedad, la cantidad de ámbitos, quién concedió acceso y una puntuación de riesgo de OAuth general. Con esta visibilidad, los usuarios pueden realizar fácilmente revisiones de OAuth, evaluar riesgos e incluso revocar concesiones de OAuth con solo dos clics. Pruébalo gratis.
Nota: Este artículo fue escrito y contribuido de manera experta por Jaime Blasco, CTO y cofundador de Nudge Security.