Распространенные уязвимости безопасности Google Workspace

И как их исправить

Позвольте мне предположить. Вы перешли на Google Workspace, потому что предполагалось, что это упростит работу. Возможно, к вашему удивлению, так и произошло! Победа за Google! Однако, возможно, в последний день работы этот функционал был нарушен тем, что кто-то переслал 3,000 писем от клиентов на свой личный адрес электронной почты. Ой! Это очень неприятно.

Дело в том, что Google Workspace способен обеспечить надежную безопасность. Однако ваш Google Workspace вероятно отсутствует Большинство основных функций безопасности. Разница сводится к примерно 20 минутам настройки. почти никто этого не делаетИтак, давайте это изменим. Хорошая новость в том, что это легко и просто. В остальной части этой статьи описаны наиболее распространенные уязвимости безопасности Google Workspace и способы их устранения.

1. Многофакторная аутентификация включена, но (повсеместно) не применяется.

Многие организации включают многофакторную аутентификацию и считают, что защищены. Однако более тщательный анализ часто выявляет пробелы. Некоторые пользователи исключены из MFA, устаревшие учетные записи остаются активными, или администраторы создают исключения для удобства (помните звонок от топ-менеджера в выходные, у которого пропал телефон – в результате у него не было MFA, и вы его отключили?).

Почему это важно
Наличие одной учетной записи без многофакторной аутентификации может обеспечить доступ к электронной почте, файлам и создать возможности для фишинга со стороны доверенных внутренних пользователей (самый успешный вид фишинговых атак!). Это одна из наиболее распространенных проблем, наблюдаемых в реальных инцидентах.

Как это исправить
Требовать многофакторную аутентификацию для каждого пользователя без исключенийПолностью отключить устаревшую аутентификацию. Ужесточить требования к многофакторной аутентификации для административных учетных записей. Если многофакторная аутентификация где-либо является необязательной, злоумышленники ее обнаружат.

2. Приложениям, использующим OAuth, слишком легко доверяют.

OAuth позволяет пользователям подключать сторонние приложения к Google Workspace. Хотя это удобно, такая возможность сопряжена с рисками. Одним нажатием кнопки «Разрешить» приложение может получить доступ к электронной почте, файлам, контактам и календарям без необходимости ввода пароля или запуска многофакторной аутентификации.

Почему это важно
Вредоносные приложения, использующие протокол OAuth, могут незаметно получать доступ к конфиденциальным данным в течение нескольких месяцев. Именно этот риск застает администраторов врасплох при устранении последствий утечки данных, а не до нее.

Как это исправить
Блокировка сторонних приложений по умолчанию. Одобряйте только известные, заслуживающие доверия и одобренные приложения. Ежеквартально проверяйте права доступа к приложениям и настраивайте оповещения о новых подключенных приложениях.

Если проверка доступа по протоколу OAuth не проводится, Ваша команда может предоставить полный доступ к электронной почте приложениям, которые они использовали всего один раз для мероприятия по сплочению коллектива в 2023 году.

3. Слишком много администраторов обладают привилегиями «режима бога».

Административный доступ в режиме «Бог» (точнее, «Суперадминистратор») обеспечивает широкий и мощный контроль над Google Workspace. Несмотря на это, во многих средах административные привилегии предоставляются слишком большому количеству пользователей. Помните, что каждый дополнительный администратор увеличивает поверхность атаки и делает аудит более трудоемким.

Почему это важно
Если учетная запись администратора взломана, злоумышленник может сбросить пароли, добавить дополнительных суперадминистраторов, отключить средства контроля безопасности и получить доступ ко всем вашим данным. В этот момент сдерживание становится крайне сложным.

Как это исправить
Ограничьте доступ суперадминистраторов небольшим количеством доверенных учетных записей. По возможности используйте административные права доступа на основе ролей. Разделяйте административные учетные записи и учетные записи электронной почты для повседневного использования, а также регулярно просматривайте журналы административной активности. Принцип наименьших привилегий может быть не самым захватывающим, но он чрезвычайно эффективен.

4. Настройки безопасности электронной почты неполные.

Gmail обеспечивает надежную базовую защиту, но злоумышленники постоянно адаптируются. Распространены типичные уязвимости в конфигурации, включая политики DMARC, настроенные только на мониторинг, отсутствие предупреждений от внешних отправителей и обучение пользователей, которое проводится один раз и никогда не закрепляется.

Почему это важно
Электронная почта по-прежнему остается основным каналом проникновения для подавляющего большинства атак в компаниях среднего и малого бизнеса. Эта ситуация не изменилась за последние 20 с лишним лет.

Как это исправить
Внедрите SPF, DKIM и DMARC с политикой отклонения. Добавьте понятную, простую, но заслуживающую внимания маркировку для внешних отправителей. Проводите ежемесячные тренинги по информационной безопасности (видео и HootPhish) вместо разовых занятий.

Технологии помогают, но зачастую наиболее эффективной защитой являются подготовленные пользователи. Одна тренировка перед марафоном в год оставляет вашу команду с болью в мышцах, в замешательстве и не в большей безопасности, чем прежде. Ежемесячные тренировки формируют мышечную память, которая предотвращает нажатие кнопки без предварительного осмотра/размышления/проверки.

5. Журналы аудита не отслеживаются активно.

Google Workspace генерирует подробные журналы аудита, но многие организации никогда их не просматривают. Это создает пробел в прозрачности.

Почему это важно
Подозрительная активность часто остается незамеченной, включая входы в систему из невозможных мест, загрузку больших файлов и скрытые правила пересылки входящих сообщений. К тому времени, когда активность обнаруживается, уже нанесен значительный ущерб.

Как это исправить
Включите подробное ведение журнала аудита. Отслеживайте аномалии при входе в систему. Просматривайте изменения в правилах почтовых ящиков и настраивайте оповещения о рискованном поведении.

Если никто не следит за записями, Злоумышленники действуют как грабители, зная, что дом пуст, а хозяева находятся в двухнедельном отпуске. Они никуда не спешат. Они сами себе помогают.

6. Файлы распространяются слишком широко.

Google Workspace упрощает и облегчает обмен файлами. Он запрашивает у пользователей разрешение на предоставление доступа перед отправкой электронных писем внешним лицам, но эти предупреждающие сообщения либо слишком безобидны, либо игнорируются, что приводит к тому, что слишком много конфиденциальных файлов передается внешним лицам без каких-либо последующих действий или контроля.

Почему это важно
Данные могут незаметно покидать организацию, не вызывая срабатывания оповещений. Зачастую это происходит без злого умысла, но последствия остаются теми же.

Как это исправить
Ограничить обмен файлами с внешними ресурсами по умолчанию. Требовать подтверждения для доступа извне. Регулярно проверять общие ссылки и устанавливать сроки их действия для общедоступных ссылок.

Удобство ни в коем случае не должно преобладать над контролем. Оставлять файлы открытыми для «любого, у кого есть ссылка» — это всё равно что положить ключи от дома под коврик у двери и надеяться, что их найдут только нужные люди.

7. Не существует четко определенного руководства по обеспечению безопасности.

Это, пожалуй, самый существенный пробел. Многие организации используют Google Workspace без письменных стандартов безопасности, регулярных проверок доступа или четко определенного распределения ответственности за безопасность.

Без управления конфигурациями безопасности постепенно происходит их деградация. Это простая теория хаоса.

Почему это важно
Настройки безопасности со временем естественным образом изменяются, если никто не отвечает за их поддержание и проверку. Злоумышленники используют это изменение в своих целях.

Как это исправить
Определите базовые стандарты безопасности Google Workspace. Проводите ежеквартальные проверки доступа. Приведите конфигурации в соответствие с признанными стандартами безопасности и назначьте ответственных за их поддержание.

Каждый должен соблюдать правила безопасности, но кто-то должен нести за это ответственность. Злоумышленники ищут те же признаки, что и грабители: отсутствие охранного освещения, наклеек охранной компании, сторожевой собаки. Это характерные признаки дома, за которым никто не наблюдает.

Главный вывод: создайте впечатление, что кто-то всегда дома и наблюдает.

Большинство взломов Google Workspace — это не сложные атаки со стороны государственных структур с использованием новейших уязвимостей нулевого дня. Это простые случаи использования настроек по умолчанию, забытых конфигураций и неоправданного доверия.

Злоумышленники мыслят как грабители. Они не ищут невозможного ограбления. Они ищут дом без предупреждающих знаков, без световых приборов с таймерами и с горами почты у двери.

Устраните эти пробелы. Ваша цель — не совершенство. Ваша цель — выглядеть менее скромным, чем организация по соседству.

---

Дополнительные ресурсы

• Hacker News: Устранение наиболее распространенных пробелов в безопасности Google Workspace

---

Защитите свой бизнес с CyberHoot сегодня!