Durante la última semana de marzo, tres importantes empresas tecnológicas (Microsoft, Okta y HubSpot) informaron importantes filtraciones de datos. DEV-0537, también conocido como LAPSUS$, realizó los dos primeros. Este grupo altamente sofisticado utiliza vectores de ataque de última generación con gran éxito. Mientras tanto, no se reveló el grupo detrás de la violación de HubSpot. Este blog revisará las tres infracciones en función de la información divulgada públicamente y sugerirá las mejores prácticas para minimizar el riesgo de que dichos ataques tengan éxito contra su organización.
HubSpot – Acceso de empleados
El 21 de marzo de 2022, HubSpot informó la infracción lo que sucedió el 18 de marzo. Actores malintencionados comprometieron una cuenta de empleado de HubSpot que el empleado usó para atención al cliente. Esto permitió a los actores maliciosos acceder y exportar datos de contacto utilizando el acceso del empleado a varias cuentas de HubSpot.
Con poca información sobre esta infracción, defenderse de un ataque es un desafío, pero una configuración clave dentro de HubSpot puede ayudar. Este es el control «Acceso de empleados de HubSpot» (que se muestra en la figura a continuación) en la configuración de la cuenta de HubSpot. Los clientes deben desactivar esta configuración en todo momento, a menos que necesiten asistencia específica, y luego desactivarla inmediatamente después de completar la llamada de servicio.
Una configuración similar aparece en otras aplicaciones SaaS y también debe deshabilitarse allí. El acceso de los empleados generalmente se registra en los registros de auditoría, que deben revisarse periódicamente.
Aprenda cómo un SSPM puede ayudar a proteger su organización de configuraciones incorrectas de SaaS
Okta – Falta de seguridad del dispositivo para usuarios privilegiados
Okta subcontrata parte de su atención al cliente a Sitel Group. El 21 de enero, un miembro del equipo de seguridad de Okta recibió una alerta de que se agregó un nuevo factor MFA a una cuenta de empleado de Sitel Group desde una nueva ubicación.
Una investigación reveló que la computadora de un ingeniero de soporte de Sitel se vio comprometida mediante un protocolo de escritorio remoto. Esta vulnerabilidad conocida normalmente está deshabilitada, excepto cuando se necesita específicamente, lo que ayudó a los investigadores de Okta a reducir el período de tiempo para el ataque a una ventana de cinco días entre el 16 y el 21 de enero de 2022.
Debido al acceso limitado que tienen los ingenieros de soporte a su sistema, el impacto en los clientes de Okta fue mínimo. Los ingenieros de soporte no tienen acceso para crear o eliminar usuarios o descargar bases de datos de clientes. Su acceso a los datos de los clientes también es bastante limitado.
El 22 de marzo, DEV-0537, más conocido como LAPSUS$, compartió capturas de pantalla en línea. En respuesta, Okta emitió un comunicado diciendo, «no hay acciones correctivas que nuestros clientes deban tomar». Al día siguiente la empresa compartió detalles de su investigaciónque incluía un cronograma de respuesta detallado.
Si bien esta violación fue limitada en el daño que causó, ofrece tres importantes lecciones de seguridad.
- Seguridad desde el dispositivo hasta SaaS – asegurar un entorno SaaS no es suficiente cuando se trata de proteger contra una infracción. Proteger los dispositivos utilizados por usuarios con privilegios elevados es de suma importancia. Las organizaciones deben revisar su lista de usuarios con privilegios elevados y asegurarse de que sus dispositivos sean seguros. Esto puede limitar el daño de una brecha a través del vector de ataque al que se enfrentó Okta.
- AMF – Fue la adición de MFA lo que permitió a la seguridad de Okta descubrir la brecha. SSO no va lo suficientemente lejos, y las organizaciones que se toman en serio la seguridad de SaaS también deben incluir medidas de seguridad de MFA.
- Monitoreo de eventos – La brecha de Okta se descubrió cuando el personal de seguridad vio un cambio inesperado en el registro de monitoreo de eventos. La revisión de eventos, como cambios en MFA, restablecimiento de contraseña, inicios de sesión sospechosos y más, es fundamental para la seguridad de SaaS y debe realizarse a diario.
Ver Investigación de Cloudflare sobre el compromiso de Okta de enero de 2022 para un buen ejemplo de una respuesta a tal incumplimiento.
Microsoft – MFA para todos los usuarios privilegiados
El 22 de marzo, Seguridad de Microsoft información compartida relacionado con un ataque que sufrió a manos de DEV-0537. Microsoft tuvo una sola cuenta comprometida, lo que resultó en el robo y publicación del código fuente.
Microsoft aseguró a sus usuarios que el ataque LAPSUS$ no comprometió su información y afirmó además que no había riesgo para ninguno de sus productos debido al código robado.
Microsoft no compartió específicamente cómo se llevó a cabo la violación, aunque alertó a los lectores que LAPSUS$ recluta activamente empleados en telecomunicaciones, importantes desarrolladores de software, centros de atención telefónica y otras industrias para compartir credenciales.
La empresa también ofreció estas sugerencias para asegurar las plataformas contra estos ataques.
- Fortalecer la implementación de MFA – Las brechas de MFA son un vector de ataque clave. Las organizaciones deben requerir opciones de MFA, limitando los SMS y el correo electrónico tanto como sea posible, como con los tokens de Authenticator o FIDO.
- Requerir endpoints saludables y confiables – Las organizaciones deben evaluar continuamente la seguridad de los dispositivos. Asegúrese de que los dispositivos que acceden a las plataformas SaaS cumplan con sus políticas de seguridad mediante la aplicación de configuraciones de dispositivos seguras con una puntuación de riesgo de vulnerabilidad baja.
- Aproveche las opciones de autenticación modernas para las VPN – La autenticación VPN debe aprovechar las opciones de autenticación modernas, como OAuth o SAML.
- Fortalezca y supervise su postura de seguridad en la nube – Las organizaciones deben, como mínimo, establecer acceso condicional para usuarios y configuraciones de riesgo de sesión, requerir MFA y bloquear inicios de sesión de alto riesgo.
Para obtener una lista completa de las recomendaciones de Microsoft, consulte esta Nota.
Pensamientos finales
Asegurar las plataformas SaaS es un desafío importante y, como se vio esta semana, incluso las empresas globales deben mantenerse al tanto de su seguridad. Los actores maliciosos continúan evolucionando y mejorando sus métodos de ataque, lo que obliga a las organizaciones a estar al pendiente y priorizar su seguridad SaaS constantemente.
Las contraseñas seguras y las soluciones SSO ya no son suficientes por sí solas. Las empresas necesitan medidas de seguridad avanzadas, como MFA fuerte, listas de IP permitidas y bloqueo del acceso innecesario de los ingenieros de soporte. Una solución automatizada como SaaS Security Posture Management (SSPM) puede ayudar a los equipos de seguridad a estar al tanto de estos problemas.
La importancia de la seguridad de los dispositivos en SaaS es otra conclusión de estos ataques. Incluso una plataforma SaaS totalmente segura puede verse comprometida cuando un usuario privilegiado accede a una aplicación SaaS desde un dispositivo comprometido. Aproveche una solución de seguridad que combina la postura de seguridad del dispositivo con la postura de seguridad de SaaS para una protección completa de extremo a extremo.
El desafío de asegurar las soluciones SaaS es complejo y más que oneroso para completar manualmente. Las soluciones SSPM, como Adaptive Shield, pueden proporcionar gestión automatizada de la postura de seguridad de SaaS, con control de configuración, gestión de la postura del punto final y control de aplicaciones de terceros.
Nota: Hananel Livneh, analista sénior de productos de Adaptive Shield, escribió y contribuyó con este artículo.