Що таке Шахрайство із захопленням облікового запису (ATO) у SaaS? 

Злам облікового запису (АТО) у SaaS описує отримання доступу до облікового запису користувача сторонньою особою за допомогою методів, які можуть включати облікові дані, фішинг, активність сеансу або шляхи, пов'язані з OAuth.

АТО може бути важко виявити, оскільки така активність може виглядати подібно до звичайних входів користувачів, що може ускладнити відокремлення від легітимного доступу, ніж деякі атаки на основі шкідливого програмного забезпечення.

Злам облікового запису (АТО) у SaaS стосується доступу між підключеними системами та спільними ідентифікаторами.

Єдина ідентичність може бути пов'язана з електронною поштою, CRM, хмарним сховищем та іншими пов'язаними додатками.

Зловмисники віддають перевагу дійсним обліковим даним, оскільки вони дозволяють їм обійти традиційний периметральний захист та злитися зі звичайною діяльністю користувачів, що ускладнює виявлення.

Фішингові техніки, включаючи методи «зловмисник посередині» із залученням MFA, є одним із факторів, що спостерігаються у зв'язку з подіями ATO у середовищах SaaS.

Наслідки захоплення облікового запису (ATO) для SaaS-компаній можна згрупувати в кілька областей. До них належать:

• сценарії, пов'язані з безпекою, такі як доступ до даних і моніторинг транзакцій, що можуть включати горизонтальне переміщення в підключені системи.
• зусилля з реагування на інциденти та питання відповідності вимогам.
• зміни в репутації, зміни в утриманні клієнтів, і можуть виникати навіть за наявності MFA, особливо коли задіяні облікові записи адміністраторів або підтримки, що призводить до міркувань на рівні клієнта. 

Поширені методи включають:

• перебір облікових даних
• розпилення паролів
• Фішинг
• фішинг типу 'зловмисник посередині'
• фішинг згоди OAuth
• перехоплення сесії
• зміна мобільного оператора (SIM-свопінг)
• шкідливе ПЗ / інфостілери
• соціальна інженерія

Сучасний фішинг може включати використання токенів сесії та може обходити процеси автентифікації, що використовують багатофакторну автентифікацію (MFA).

Цілі ATO: 

• Освіта
• роздрібна торгівля / електронна комерція
• Телекомунікації
• фінансові послуги
• Охорона здоров'я

На ці галузі націлюються через цінні дані, які вони зберігають, велику кількість облікових записів користувачів та їхню залежність від віддаленого доступу й інструментів для співпраці.

SaaS-провайдери можуть виявляти та запобігати ATO, використовуючи багатошаровий підхід із запобіганням, виявленням та реагуванням. Ключові компоненти включають:

• стійка до фішингу MFA
• поведінкова аналітика
• відбиток пристрою
• виявлення аномалій
• захист сеансу
• протидія ботам
• ведення журналів та сповіщення

Існує кілька способів інтеграції рішень ATO з сервісами SaaS, таких як через SSO та MFA, API, SDK, та конекторів постачальників ідентифікаційних даних. 

Крім того, інтегруйтеся з SIEM та SOAR сервісами для управління реагуванням на інциденти та використовуйте динамічну оцінку ризиків для оцінки запитів на доступ.

Також необхідно захищати токени OAuth та службові облікові записи, забезпечуючи відсутність затримок для легітимних користувачів. 

Захист ваших облікових записів SaaS включає кілька кроків.

1. По-перше, використовуйте надійні, унікальні паролі для кожного облікового запису та подумайте про використання менеджера паролів для їх генерації та зберігання.
2. Далі, увімкніть багатофакторна автентифікація (MFA) за допомогою стійких до фішингу методів або ключів доступу, коли це можливо.
3. Звертайте увагу на сповіщення про вхід, перевіряйте неочікувані запити багатофакторної автентифікації та екрани дозволів програм OAuth перед затвердженням прав доступу.
4. Нарешті, повідомляйте про будь-яку незвичайну активність облікового запису своєму SaaS-провайдеру, щойно її буде помічено.

Поточні методи запобігання ATO включають кілька різних підходів, кожен з яких має свої компроміси.

Традиційна багатофакторна автентифікація (MFA) може використовуватися поряд з такими техніками, як фішинг AiTM, виснаження MFA, підміна SIM-карти та викрадення токенів.

Статичні системи, що базуються на правилах, можуть не ідентифікувати кожен шаблон входу та можуть давати різні результати перевірки.