Ce este Frauda de preluare a contului (ATO) în SaaS? 

Preiarea Contului (ATO) în SaaS descrie accesul la un cont de utilizator de către o parte externă, prin metode care pot include credențiale, phishing, activitatea sesiunii sau căi legate de OAuth.

ATO poate fi dificil de detectat deoarece activitatea poate semăna cu autentificările obișnuite ale utilizatorilor, ceea ce face mai dificilă separarea de accesul legitim decât în cazul unor atacuri bazate pe malware.

Preiarea Contului (ATO) în SaaS se referă la accesul între sistemele conectate și identitățile partajate.

O singură identitate poate fi asociată cu e-mailul, CRM-ul, stocarea în cloud și alte aplicații conectate.

Atacatorii preferă credențialele valide deoarece le permit să ocolească apărările perimetrale tradiționale și să se integreze în activitatea normală a utilizatorilor, îngreunând detectarea.

Tehnicile de phishing, inclusiv metodele de tip 'adversar în mijloc' care implică MFA, reprezintă unul dintre factorii observați în legătură cu evenimentele ATO în mediile SaaS.

Efectele preluării contului (ATO) pentru companiile SaaS pot fi grupate în mai multe domenii. Acestea includ:

• scenarii legate de securitate, cum ar fi accesul la date și monitorizarea tranzacțiilor, care pot implica mișcări laterale în sisteme conectate.
• eforturile de răspuns la incidente și aspectele de conformitate.
• modificări ale reputației, schimbări în retenția clienților, și pot apărea chiar și cu MFA implementat, în special atunci când sunt implicate conturi de administrator sau de suport, rezultând considerații la nivel de chiriaș. 

Metode comune includ:

• credential stuffing
• password spraying
• Phishing
• phishing de tip adversary-in-the-middle
• phishing de consimțământ OAuth
• deturnare de sesiune
• modificări ale operatorului de telefonie mobilă (SIM swapping)
• malware/infostealere
• inginerie socială

Phishingul modern poate implica țintirea token-urilor de sesiune și poate ocoli fluxurile de autentificare care utilizează autentificarea multi-factor (MFA).

Ținte ATO: 

• Educație
• retail/e-commerce
• Telecomunicații
• servicii financiare
• Sănătate

Aceste industrii sunt vizate datorită datelor valoroase pe care le dețin, numărului mare de conturi de utilizatori și dependenței lor de instrumentele de acces la distanță și colaborare.

Furnizorii SaaS pot detecta și preveni atacurile ATO utilizând o abordare stratificată, care include prevenție, detectare și răspuns. Componentele cheie includ:

• MFA rezistent la phishing
• Analize comportamentale
• amprentarea dispozitivului
• Detectarea anomaliilor
• Protecția sesiunilor
• Combaterea roboților
• Înregistrare și alertare

Există mai multe modalități prin care soluțiile ATO se pot integra cu serviciile SaaS, cum ar fi prin SSO și MFA, API-uri, SDK-uri, și conectori de furnizori de identitate. 

În plus, integrați-vă cu serviciile SIEM și SOAR pentru a gestiona răspunsurile la incidente și a utiliza scorarea dinamică a riscurilor pentru a evalua cererile de acces.

Este, de asemenea, necesar să se securizeze tokenurile OAuth și conturile de serviciu, asigurându-se că nu există latență pentru utilizatorii legitimi. 

Protejarea conturilor dvs. SaaS implică câțiva pași.

1. În primul rând, utilizați parole puternice, unice pentru fiecare cont și luați în considerare utilizarea unui manager de parole pentru a le genera și stoca.
2. Apoi, activați autentificarea multi-factor (MFA) cu metode rezistente la phishing sau passkey-uri, când este posibil.
3. Fiți atenți la alertele de conectare, revizuiți solicitările MFA neașteptate și verificați ecranele de consimțământ ale aplicațiilor OAuth înainte de a aproba permisiunile.
4. În cele din urmă, raportează orice activitate neobișnuită a contului furnizorului tău SaaS de îndată ce este observată.

Metodele actuale de prevenire ATO includ mai multe abordări diferite, fiecare cu compromisuri specifice.

Autentificarea multi-factor tradițională (MFA) poate fi utilizată alături de tehnici precum AiTM phishing, oboseala MFA, SIM swapping și furtul de token-uri.

Sistemele statice bazate pe reguli s-ar putea să nu identifice fiecare model de conectare și pot produce rezultate variate ale revizuirii.