Nel rapporto State of SaaS Security, condotto da Wing Security, pubblicato all’inizio del 2024, erano stati pubblicati approfondimenti riguardanti le minacce emergenti nel mondo SaaS (Software as a Service). E molte di queste minacce si sono purtroppo manifestate. In questo articolo ne esploreremo cinque, delineando anche alcune strategie per la difesa.
Shadow AI: una minaccia per i dati sensibili
Il mese scorso, una grande piattaforma di comunicazione ha affrontato critiche relative all‘uso di dati privati degli utenti provenienti da messaggi e file per addestrare modelli di machine learning. Questa pratica ha sollevato notevoli preoccupazioni sulla sicurezza dei dati per le organizzazioni, che temevano la potenziale esposizione e l’uso improprio delle loro informazioni sensibili.
Questo è solo uno dei casi più eclatanti, ma il problema è ben più diffuso: i servizi SaaS al giorno d’oggi vengono facilmente adottati nelle organizzazioni e i termini e condizioni sono spesso trascurati. Ciò apre la porta a migliaia di app SaaS per accedere a una miniera d’oro di informazioni sensibili e private delle aziende e potenzialmente addestrare modelli AI su di esse.
Dato che il fenomeno della shadow AI è causato principalmente dalla mancanza di visibilità, consigliamo alle aziende di riconquistare il controllo sull’uso dell’AI scoprendo e comprendendo tutte le applicazioni AI e SaaS alimentate dall’AI in uso. Inoltre, raccomandiamo di monitorare l’introduzione di SaaS rischiosi o dannosi, comprese le app AI che imitano versioni legittime.
Attacchi alle supply chain
Ad aprile, una violazione presso un servizio cloud ha comportato l’accesso non autorizzato a credenziali e dati di autenticazione dei clienti. L’azienda sospetta la compromissione di un account di servizio utilizzato per eseguire applicazioni e servizi automatizzati all’interno dell’ambiente backend, che ha portato all’esposizione di informazioni sui clienti come email, nomi utente, numeri di telefono e password.
Questo avvenimento porta alla luce un altro problema molto diffuso, ossia quello della mancanza di visibilità nella supply chain. Una sola vulnerabilità in un servizio non opportunamente controllato può influenzare tutta la supply chain, portando a conseguenze disastrose. Inoltre, la rapidità d’azione è fondamentale per arginare i danni, quindi i CISO e i team di sicurezza devono essere ben informati su tutti gli incidenti di sicurezza lungo la supply chain.
Misure preventive come una gestione efficace del rischio di terze parti (TPRM) sono cruciali per valutare i rischi associati a ciascuna applicazione. Dato che le minacce alla sicurezza SaaS continuano, comprese quelle familiari ed emergenti, una gestione efficace del rischio dovrebbe prevedere la priorità al monitoraggio delle minacce e l’uso di una soluzione di gestione della postura di sicurezza SaaS (SSPM) sicura.
Accesso alle credenziali
A febbraio 2024, un grande provider sanitario è stato vittima di un attacco informatico in cui si ritiene che gli attaccanti abbiano utilizzato credenziali rubate per accedere a un server. La causa dell’incidente è stata l‘assenza di autenticazione multi-fattore (MFA) combinata all’utilizzo di un token rubato, che ha consentito l’accesso non autorizzato ai sistemi.
Incidenti di questo tipo non sono una novità, e il largo utilizzo di piattaforme SaaS non fa altro che peggiorare questa tendenza. Quindi, nonostante l’aumento di metodi di attacco più sofisticati, gli attori delle minacce spesso sfruttano la semplicità e l’efficacia dell’uso delle informazioni di accesso rubate.
Per combattere gli attacchi alle credenziali, consigliamo di adottare un approccio preventivo. I team di sicurezza dovrebbero monitorare le password trapelate sul dark web per identificare e rispondere rapidamente alle credenziali compromesse. Inoltre, consigliamo di implementare soluzioni di autenticazione multi-fattore (MFA) resistente al phishing per aggiungere un ulteriore livello di sicurezza che previene l’accesso non autorizzato anche se le password vengono rubate.
Come ti aggiro il MFA: Tycoon 2FA
I ricercatori di sicurezza hanno individuato, negli ultimi mesi, un nuovo tipo di malware in grado di aggirare l’autenticazione a più fattori (MFA). Lo strumento, chiamato “Tycoon 2FA” e distribuito secondo il paradigma phishing-as-a-service, semplifica gli attacchi di phishing sugli account Gmail e Microsoft 365.
Anche la scoperta di modi per aggirare la misura di sicurezza non vogliono dire che il MFA sia inutile. Infatti, la sua assenza può essere sfruttata da individui non autorizzati per accedere a dati o risorse sensibili. Implementare MFA in modo efficace rafforza le difese contro l’accesso non autorizzato e gli attacchi SaaS, rendendola la soluzione ottimale contro gli attacchi di stuffing delle credenziali.
Piattaforme solo all’apparenza divise
L’11 maggio 2024, una società fintech ha subito un accesso non autorizzato al suo spazio utente su una piattaforma di repository di codice SaaS di terze parti. L’azienda ha affrontato rapidamente il problema, sottolineando che nessuna informazione sui clienti era memorizzata nel repository. Tuttavia, l’azienda ha in seguito scoperto che una credenziale dal loro spazio utente è stata rubata e utilizzata per accedere al loro ambiente di produzione. Ciò ha permesso agli attaccanti di accedere ai dati dei clienti memorizzati nell’ambiente di produzione.
Questo tipo di attacco è chiamato “cross-domain“, in quanto sfrutta piattaforme differenti per effettuare il movimento laterale all’interno dei sistemi aziendali. I servizi SaaS non sono scompartimenti a tenuta stagna e quindi vanno visti come un ambiente altamente interconnesso.
Per affrontare questa minaccia, consigliamo l’utilizzo di strumenti SSPM, che forniscono una visione olistica della postura di sicurezza di un’organizzazione. Monitorando e proteggendo continuamente il dominio SaaS, le minacce possono essere limitate e contenute. Inoltre, automatizzando il rilevamento e la risposta alle minacce, le organizzazioni possono isolare rapidamente i servizi affetti e mitigare le minacce.
Per ulteriori appprofondimenti, vi invitiamo a consultare il report completo.