Czym jest oszustwo przejęcia konta (ATO) w SaaS? 

Przejęcie konta (ATO) w SaaS opisuje uzyskanie dostępu do konta użytkownika przez stronę zewnętrzną, przy użyciu metod, które mogą obejmować dane uwierzytelniające, phishing, aktywność sesji lub ścieżki związane z OAuth.

ATO może być trudne do wykrycia, ponieważ aktywność może wyglądać podobnie do zwykłych logowań użytkowników, co może utrudniać odróżnienie go od legalnego dostępu bardziej niż w przypadku niektórych ataków opartych na złośliwym oprogramowaniu.

Przejęcie konta (ATO) w SaaS dotyczy dostępu w ramach połączonych systemów i współdzielonych tożsamości.

Pojedyncza tożsamość może być powiązana z adresem e-mail, systemem CRM, pamięcią masową w chmurze i innymi połączonymi aplikacjami.

Atakujący preferują prawidłowe dane uwierzytelniające, ponieważ pozwalają im one omijać tradycyjne zabezpieczenia perymetryczne i wtapiać się w normalną aktywność użytkowników, co utrudnia wykrycie.

Techniki phishingowe, w tym metody adversary-in-the-middle obejmujące uwierzytelnianie MFA, stanowią jeden z czynników obserwowanych w związku ze zdarzeniami ATO w środowiskach SaaS.

Skutki przejęcia konta (ATO) dla firm SaaS można pogrupować w kilka obszarów. Obejmują one:

• scenariusze związane z bezpieczeństwem, takie jak dostęp do danych i monitorowanie transakcji, które mogą wiązać się z lateralnym przemieszczaniem się do połączonych systemów.
• wysiłki związane z reagowaniem na incydenty oraz kwestie zgodności.
• zmiany w reputacji, zmiany w utrzymaniu klientów i mogą wystąpić nawet przy włączonym MFA, szczególnie gdy w grę wchodzą konta administratora lub wsparcia, co prowadzi do rozważań na poziomie dzierżawcy. 

Powszechne metody to:

• credential stuffing
• password spraying
• Phishing
• phishing typu adversary-in-the-middle
• phishing zgody OAuth
• przejęcie sesji
• zmiany operatora komórkowego (SIM swapping)
• złośliwe oprogramowanie/programy kradnące dane
• inżynieria społeczna

Współczesny phishing może obejmować celowanie w tokeny sesji i omijać procesy uwierzytelniania wykorzystujące uwierzytelnianie wieloskładnikowe (MFA).

Cele ATO: 

• Edukacja
• handel detaliczny/e-commerce
• Telekomunikacja
• usługi finansowe
• Opieka zdrowotna

Te branże są celem ataków ze względu na wartościowe dane, które posiadają, dużą liczbę kont użytkowników oraz ich zależność od narzędzi do zdalnego dostępu i współpracy.

Dostawcy SaaS mogą wykrywać i zapobiegać atakom ATO, stosując podejście warstwowe obejmujące zapobieganie, wykrywanie i reagowanie. Kluczowe elementy to:

• MFA odporne na phishing
• analityka behawioralna
• odcisk cyfrowy urządzenia
• wykrywanie anomalii
• ochrona sesji
• ograniczanie działania botów
• logowanie i powiadamianie

Istnieje wiele sposobów, za pośrednictwem których rozwiązania ATO mogą integrować się z usługami SaaS, np. poprzez SSO i MFA, interfejsów API, SDK,oraz konektory dostawców tożsamości. 

Dodatkowo, należy integrować się z usługami SIEM i SOAR w celu zarządzania reakcjami na incydenty oraz wykorzystywać dynamiczną ocenę ryzyka do oceny żądań dostępu.

Konieczne jest również zabezpieczenie tokenów OAuth i kont usługowych, zapewniając jednocześnie brak opóźnień dla prawowitych użytkowników. 

Zabezpieczenie kont SaaS obejmuje kilka kroków.

1. Po pierwsze, używaj silnych, unikalnych haseł dla każdego konta i rozważ skorzystanie z menedżera haseł do ich generowania i przechowywania.
2. Następnie włącz uwierzytelnianie wieloskładnikowe (MFA) z metodami odpornymi na phishing lub kluczami dostępu, jeśli to możliwe.
3. Zwracaj uwagę na alerty logowania, weryfikuj nieoczekiwane prośby MFA i sprawdzaj ekrany zgody aplikacji OAuth przed zatwierdzeniem uprawnień.
4. Na koniec, zgłaszaj wszelką nietypową aktywność na koncie swojemu dostawcy SaaS, gdy tylko ją zauważysz.

Obecne metody zapobiegania ATO obejmują kilka różnych podejść, każde z określonymi kompromisami.

Tradycyjne uwierzytelnianie wieloskładnikowe (MFA) może być stosowane obok technik takich jak phishing AiTM, zmęczenie MFA, zamiana kart SIM i kradzież tokenów.

Statyczne systemy oparte na regułach mogą nie identyfikować każdego wzorca logowania i mogą prowadzić do zróżnicowanych wyników weryfikacji.