Platnosť tokenov OAuth nevyprší, keď zamestnanci odídu, zmenia sa heslá alebo sa aplikácie stanú neplatnými. Váš bezpečnostný program musí toto riziko pochopiť a čo najskôr odstrániť nepotrebné a opustené oprávnenia.
Predstavte si náhradný kľúč. Pred šiestimi mesiacmi ste ho dali dodávateľovi, aby vám opravil HVAC. Práca je hotová. Dodávateľ odišiel. Ale kľúč stále funguje a vy ste si ho nikdy nepýtali späť. To sa viac-menej stane vždy, keď niekto vo vašej spoločnosti pripojí aplikáciu tretej strany k službe Google Workspace alebo Microsoft 365 pomocou OAuth. Digitálne kľúče vytvárajú vaši zamestnanci. Ich platnosť nevyprší a vo väčšine organizácií ich nikto nesleduje, nekontroluje ani neodstraňuje, keď už nie sú potrebné!
OAuth je systém, ktorý stojí za tlačidlami „Spojiť sa s Googlom“ a „Povoliť prístup“, na ktoré váš tím kliká každý deň. Umožňuje aplikáciám čítať váš kalendár, odosielať e-maily vo vašom mene alebo sťahovať údaje z vášho cloudového úložiska, a to všetko bez zdieľania vášho skutočného hesla. To znie skvele. Háčik je v tom, že prístupový token, ktorý vytvorí, zostáva v aplikácii dlho potom, čo zabudnete, že aplikácia existuje. Nezruší sa, keď zamestnanec odíde. Neresetuje sa, keď si niekto zmení heslo. Vaše viacfaktorové overenie nijako nezastaví útočníka, ktorý už má platný token.
Výskum z Materiálne zabezpečenie zistili, že 80 % bezpečnostných lídrov považuje nespravované granty OAuth za kritické alebo významné riziko. Toto číslo je už roky vysoké. Povedomie však nemusí byť hlavným problémom, zmiernenie tejto hrozby is.
45% organizácií nerobia nič pre monitorovanie grantov OAuth vo veľkom rozsahu
33% spoliehať sa na manuálne sledovanie, ako sú tabuľky a ad hoc kontroly
Tabuľka, ktorá vám hovorí, ktoré aplikácie majú prístup, nie je to isté ako vedieť, čo tieto aplikácie s týmto prístupom robia. Jednou je zoznam. Druhou je zabezpečenie. V súčasnosti má väčšina tímov iba zoznam.
V rokoch 2024 a 2025 útočník známy ako UNC6395 (sledovaný jednotkou Palo Alto Unit 42) použil ukradnuté tokeny OAuth refresh z platformy Drift, ktorá sa zameriava na obchodné aktivity, na prístup do prostredí Salesforce viac ako 700 organizácií. Drift mal legitímne pripojenia OAuth k týmto účtom Salesforce. Útočník sa k týmto tokenom dostal, pravdepodobne prostredníctvom predchádzajúcich phishingových útokov, a vošiel priamo hlavným dverami.
Čo urobilo tento útok takým účinným
Nič nevyzeralo podozrivo. Tokeny boli platné. Aplikácia bola dôveryhodná. Prihlásenie sa vôbec neuskutočnilo, pretože útočník sa vôbec neprihlásil. Predložil existujúci token, na používanie ktorého už Drift dostal povolenie. MFA v tom nemal žiadnu úlohu, pretože nebolo zadané žiadne heslo. Vo vnútri UNC6395 stiahol údaje a vyhľadal v nich prihlasovacie údaje, ako sú kľúče AWS, tokeny Snowflake a heslá. Do útoku boli zapletené aj Cloudflare, PagerDuty a desiatky ďalších.
Ponaučenie nie je, že Drift bola zlá aplikácia. Ponaučenie je, že dôveryhodná aplikácia pri inštalácii sa môže neskôr stať rizikom, ak jej boli odcudzené prihlasovacie údaje. Vaše bezpečnostné nástroje musia sledovať, čo pripojené aplikácie robia v priebehu času, nielen to, aké povolenia si vyžiadali v prvý deň.
Väčšina bezpečnostných nástrojov OAuth funguje v momente pripojenia aplikácie. Kontrolujú, či sa požadované povolenia zdajú byť nadmerné. Označujú aplikácie od neznámych dodávateľov. To je skutočne užitočné a mali by ste to robiť. Samotné to však nestačí.
Známa a dôveryhodná aplikácia s primeranými povoleniami by týmito kontrolami ľahko prešla. Ak by boli poverenia tejto aplikácie ukradnuté o šesť mesiacov neskôr, vaša kontrola počas inštalácie by nič neodhalila. Riziko prišlo dodatočne.
Keď bol OAuth navrhnutý, typickým prípadom použitia bol malý počet aplikácií schválených IT oddelením, ktoré mali obmedzený prístup k zdieľaným kalendárom. To bola zvládnuteľná situácia. Dnes každý zamestnanec samostatne pripája nástroje umelej inteligencie, aplikácie na písanie poznámok, automatizačné platformy a doplnky produktivity k svojim pracovným účtom. Každé pripojenie vytvára token. Žiaden z týchto tokenov automaticky nevyprší. Väčšina organizácií nevie, koľko ich má.
S tým, ako sa nástroje umelej inteligencie stanú štandardom na pracovisku, počet pripojení OAuth vo vašom prostredí bude rásť. Úplné blokovanie používania nástrojov umelej inteligencie zamestnancami nie je realistické a aj tak by to nezastavilo útok Drift, keďže ten sa začal dôveryhodnou a schválenou integráciou.
Začnite vyhľadaním zoznamu všetkých aplikácií OAuth pripojených k vášmu prostrediu Google Workspace alebo Microsoft 365. Obe platformy umožňujú správcom vykonávať tieto činnosti bez akýchkoľvek nástrojov tretích strán. Hľadajte aplikácie, ktoré nepoznáte, aplikácie pripojené k účtom ľudí, ktorí odišli, a aplikácie s veľmi širokými povoleniami, ako napríklad „čítať všetku poštu“ alebo „prístup ku všetkým súborom“. To sú vaše prvé priority na kontrolu a zrušenie.
Odtiaľ si vytvorte zvyk štvrťročne kontrolovať granty OAuth. Počiatočné vyčistenie vám zaberie menej času, ako si myslíte, a zabráni to tomu, aby sa zoznam opäť vymkol spod kontroly. Keď zamestnanci odídu, zahrňte zrušenie OAuth do kontrolného zoznamu pre odchod zamestnancov spolu s obnovením hesla a deaktiváciou účtu.
Váš krok v CyberHoot
Tento týždeň sa prihláste do konzoly Google Admin Console alebo portálu Microsoft Entra a vyhľadajte si zoznam pripojených aplikácií tretích strán. Spočítajte ich. Pravdepodobne budete prekvapení. Vyberte päť, ktoré vám najmenej poznáme, a skontrolujte, ku čomu majú prístup. Zrušte prístup všetkým, ktoré sem nepatria. Tento jediný krok dnes výrazne zvýši bezpečnosť vašej organizácie. Do toho!
admin.google.com → Users → [User] → Security → Connected Applications
learn.microsoft.com/en-us/entra/identity/enterprise-apps/manage-application-permissions
Objavte a zdieľajte najnovšie trendy, tipy a osvedčené postupy v oblasti kybernetickej bezpečnosti – spolu s novými hrozbami, na ktoré si treba dať pozor.
Teraz máte päť dôležitých dôvodov, prečo začať konverzáciu o bezpečnosti smerovačov so svojimi klientmi z malých firiem...
Čítaj viac
Platnosť tokenov OAuth nevyprší, keď zamestnanci odídu, zmenia sa heslá alebo sa aplikácie stanú nekalými. Váš bezpečnostný program potrebuje...
Čítaj viac
Väčšina útokov nezačína hackerom v mikine, ktorý o 3:00 ráno prelomí kód. Začínajú vaším používateľským menom a...
Čítaj viacZískajte bystrejší pohľad na ľudské riziká s pozitívnym prístupom, ktorý prekonáva tradičné phishingové testovanie.
