去年，您的员工将 47 个应用程序连接到了 Google。您能说出其中一个吗？

12 年 2026 月 XNUMX 日 | 博客

即使员工离职、密码更改或应用程序出现故障，OAuth 令牌也不会过期。您的安全程序需要意识到这种风险，并尽快移除不必要的或已弃用的授权。

想象一下你手里有一把备用钥匙。六个月前，你把它交给承包商来修理暖通空调系统。现在活儿干完了，承包商也走了。但钥匙还能用，你也没要回来。这差不多就是你公司里有人用 OAuth 将第三方应用连接到 Google Workspace 或 Microsoft 365 时发生的情况。数字密钥由你的员工创建，永不过期，而且在大多数组织里，没人会跟踪、审核或在不再需要时删除它们！

OAuth的正是这套系统支撑着你的团队每天点击的“连接 Google”和“允许访问”按钮。它允许应用读取你的日历、代表你发送电子邮件或从你的云存储中提取数据，所有这些都无需共享你的真实密码。这听起来很棒。但问题在于，它创建的访问令牌会在你忘记该应用很久之后仍然有效。员工离职时，它不会被注销；有人更改密码时，它也不会重置。你的多重身份验证也无法阻止已经持有有效令牌的攻击者。

许多机构并不知道这个问题，而着手解决的机构更是寥寥无几。

从研究材料安全调查发现，80% 的安全主管认为未经管理的 OAuth 授权构成严重或重大风险。多年来，这一比例一直居高不下。然而，提高安全意识可能并非主要问题，关键在于如何缓解这种威胁。 is.

45% 许多组织并未采取任何措施来大规模监控 OAuth 授权。

33% 依赖人工跟踪，例如电子表格和临时审查

一份列出哪些应用拥有访问权限的电子表格，并不等同于了解这些应用如何使用这些访问权限。前者是一份列表，后者关乎安全。目前，大多数团队只有这份列表。

已经发生的真实袭击

2024 年和 2025 年，一个名为 UNC6395 的威胁行为者（由 Palo Alto Unit 42 追踪）利用从销售互动平台 Drift 窃取的 OAuth 刷新令牌，访问了 700 多家企业的 Salesforce 环境。Drift 与这些 Salesforce 账户之间建立了合法的 OAuth 连接。攻击者很可能是通过早期的网络钓鱼攻击获取了这些令牌，并以此为跳板，轻松入侵了系统。

是什么让这次攻击如此有效
一切看起来都很正常。令牌有效。应用程序也受信任。登录从未发生，因为攻击者根本没有登录。他们提供的令牌是 Drift 已经获得使用权限的现有令牌。由于没有输入密码，多因素身份验证 (MFA) 也未发挥作用。攻击者进入系统后，使用 UNC6395 提取数据并搜索 AWS 密钥、Snowflake 令牌和密码等凭证。Cloudflare、PagerDuty 和其他数十家服务商都受到了牵连。

这并非意味着 Drift 是一款糟糕的应用。而是说，即使是安装时看似可信的应用，如果其凭证被盗，日后也可能构成风险。您的安全工具需要持续监控已连接应用的运行情况，而不仅仅是它们在安装当天请求的权限。

为什么大多数安全工具都忽略了这一点

大多数 OAuth 安全工具会在应用连接时立即执行操作。它们会检查请求的权限是否过多，并标记来自未知供应商的应用。这确实很有用，你也应该这样做。但这还不够。

一款知名度高、信誉良好的应用，如果权限合理，很容易通过这些检查。但如果该应用的凭证在六个月后被盗，安装时的审核就无济于事了。风险出现在事后。

好的 OAuth 监控究竟包含哪些内容？

观察应用程序在一段时间内的行为，而不仅仅是设置时的行为。 数据访问量的突然激增、异常时间段的查询，或者对应用通常会忽略的数据类型的请求，这些都值得标记。静态权限审查无法发现这些模式。
了解哪些账户已关联。 与高管邮箱中存放的大量敏感合同关联的令牌，比与新员工账户关联的同一令牌风险要大得多。您的监控需要考虑关联账户实际可以访问的内容。
以合适的速度做出反应。 如果一款应用明显带有恶意，且没有已知的供应商，并且从一开始就表现出异常行为，则需要立即采取行动。而一个可信的集成应用如果出现轻微异常，则应先进行人工审核。您的响应流程需要区分这两种情况。

OAuth 是为更简单的时代而设计的。

OAuth 设计之初，其典型应用场景是少数经 IT 部门批准的应用获得对共享日历的有限访问权限。这种情况尚可管理。而如今，每位员工都会独立地将 AI 工具、笔记应用、自动化平台和效率插件连接到自己的工作账户。每次连接都会生成一个令牌。这些令牌都不会自动过期。大多数组织甚至不知道自己有多少个令牌。

随着人工智能工具在工作场所逐渐普及，您环境中的 OAuth 连接数量也会随之增长。完全禁止员工使用人工智能工具并不现实，而且即便如此也无法阻止 Drift 攻击，因为该攻击最初就是通过受信任且已获批准的集成发起的。

你现在可以做什么

首先，列出所有已连接到您的 Google Workspace 或 Microsoft 365 环境的 OAuth 应用。这两个平台都允许管理员自行完成此操作，无需任何第三方工具。查找您不认识的应用、连接到已离职用户帐户的应用，以及拥有“读取所有邮件”或“访问所有文件”等非常广泛权限的应用。这些应用是您需要优先审查和撤销的。

从那时起，养成每季度审查 OAuth 授权的习惯。一旦完成初始清理工作，后续审查所需时间比您想象的要少，而且可以防止授权列表再次失控。员工离职时，除了重置密码和停用帐户之外，还要将撤销 OAuth 授权加入到离职清单中。

您的 CyberHoot 行动步骤
本周，登录您的 Google 管理控制台或 Microsoft Entra 门户，查看已连接的第三方应用列表。数一数，您可能会惊讶地发现数量不少。找出其中五个您最不熟悉的应用，并检查它们的访问权限。撤销任何不合适的应用。这一简单的操作就能显著提升您组织的安全级别。行动起来！