ทำความเข้าใจความเสี่ยง ‘SaaS Attack Surface’
รหัสผ่านที่อ่อนแอ มีความเสี่ยงเป็นพิเศษสำหรับแอปพลิเคชัน SaaS
KEY
POINTS
พนักงานไม่ตระหนักถึงความเสี่ยงเมื่อติดตั้งแอป SaaS ของบริษัทอื่น ทำให้การเข้าถึง SaaS-to-SaaS กลายเป็นเวกเตอร์การโจมตีที่มีผลกระทบร้ายแรง เพราะการอนุญาตให้เข้าถึงอาจให้สิทธิ์ในการแก้ไขหรือลบไฟล์ของบริษัท ส่งอีเมลในนามของผู้ใช้ สร้างไฟล์ใหม่ หรือจัดการข้อมูลในลักษณะที่ก่อให้เกิดภัยคุกคามร้ายแรงต่อความปลอดภัยขององค์กร
เมื่อแอป SaaS ของบริษัทอื่นถูกบุกรุก ข้อมูลสำคัญอาจถูกขโมยเพื่อเข้าสู่แอปหลักและดำเนินการโจมตีในแบบต่างๆ รวมถึงแรนซัมแวร์และฟิชชิง นอกจากนี้ เมื่อพนักงานเชื่อมต่อแอป SaaS ส่วนตัว อย่าง Dropbox กับบัญชีองค์กร
เช่น Office 365 จะไม่ควบคุมบัญชี Dropbox ส่วนตัวของพนักงานซึ่งทำให้เกิด SaaS attack surface กว้างขึ้นอีกสำหรับแนวทางในการจัดการ SaaS แบบองค์รวม
การทำความเข้าใจรูปแบบการโจมตี SaaS ถือเป็นสิ่งสำคัญสำหรับองค์กรในการระบุ ประเมิน และลดความเสี่ยงอย่างมีประสิทธิภาพ เพราะการโจมตีแบบ SaaS ทำให้องค์กรต่างๆ พบกับข้อมูลรั่วไหล การละเมิด และการหยุดชะงักอื่นๆ ที่อาจเกิดขึ้นต่อการดำเนินธุรกิจ
SSPM (SaaS Security Posture Management) จึงเกิดขึ้นเพื่อช่วยให้องค์กรต่างๆ สามารถประเมินความเสี่ยงด้านความปลอดภัยได้อย่างต่อเนื่อง และจัดการมาตรการรักษาความปลอดภัยของแอป SaaS
นอกจากนี้ SSPM ยังช่วยให้สามารถวัดมาตรการรักษาความปลอดภัยสำหรับทุกแอปเพื่อให้มองเห็นได้อย่างเจาะลึกถึงความเสี่ยงที่อาจทำลายความปลอดภัยของ SaaS และด้วยเหตุนี้จึงทำให้สามารถป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างเหมาะสมครับ
ปัจจุบัน มีสัดส่วนการให้บริการ cloud-based ที่เพิ่มสูงอย่างต่อเนื่อง ทำให้เหล่าบรรดาแฮกเกอร์เข้าโจมตี attack vectors มากขึ้น
โดยเฉพาะอย่างยิ่งในแอปพลิเคชันซอฟต์แวร์ในรูปแบบ SaaS (Software-as-a-Service) ซึ่งผู้ที่ดูแลรับผิดชอบหลักจะเป็นผู้บริหารฝ่ายรักษาความปลอดภัย (CISO) และทีมรักษาความปลอดภัยในการจัดการ
เนื่องจากเจ้าของแอป SaaS ส่วนใหญ่ไม่ได้อยู่ในฝ่ายไอที การโจมตี SaaS Attack Surface จึงเป็นการเปิดกว้างให้อาชญากรไซเบอร์ใช้ประโยชน์จากช่องว่างด้านความปลอดภัย
จากการสำรวจพบว่าในปี 2023 จำนวนแอป SaaS โดยเฉลี่ยอยู่ที่ 371 แอปต่อองค์กรและอัตราการละเมิดข้อมูลกำลังทำลายสถิติใหม่ในสหรัฐฯ รายงานว่าปี 2023 เป็นปีที่เลวร้ายที่สุดเป็นประวัติการณ์ สำหรับเวกเตอร์หลักๆ ของการโจมตี SaaS attack surface ประกอบไปด้วย
Weak Password: รหัสผ่านที่อ่อนแอ มีความเสี่ยงเป็นพิเศษสำหรับแอปพลิเคชัน SaaS เพราะสิ่งที่อยู่ระหว่างแฮกเกอร์และแอปพลิเคชันคือรหัสผ่านรหัสผ่านที่ไม่ดียังรวมถึงการใช้รหัสผ่านเดียวกันซ้ำในแอปต่างๆ
โดยเฉพาะองค์กรที่ไม่เข้าสู่ระบบโดยการยืนยันตัวตนแบบหลายปัจจัย (MFA) หรือไม่ได้รวมแอปเข้ากับการลงชื่อเข้าใช้งานแบบครั้งเดียว (single sign-on SSO) เพราะโดยทั่วไปแล้ว องค์กรจะแชร์รหัสผ่านเพื่อประหยัดค่าลิขสิทธิ์ จึงข้ามการยืนยันตัวตน MFA
อย่างกรณีการโจมตีล่าสุดโดย กลุ่มแฮกเกอร์ Midnight Blizzard ในรัสเซียที่โจมตี Microsoft Office 365 โดยใช้ประโยชน์จากการรักษาความปลอดภัยด้วยรหัสผ่านที่อ่อนแอของ testing account เก่า
Enabled – By Default: การเปิดใช้งาน – ตามค่าเริ่มต้น แอป SaaS แต่ละตัวมาพร้อมกับการกำหนดค่าและการตั้งค่านับร้อยรายการ ซึ่งหากไม่มีการรักษาความปลอดภัยอย่างเหมาะสมก็จะกลายเป็นพื้นที่การโจมตีหลักทำให้เกิดการละเมิดข้อมูล ขโมยและแรนซัมแวร์ อย่างการโจมตีแบบฟิชชิงด้วยมัลแวร์ DarkGate
ล่าสุดบน Microsoft Teams นักวิจัยตั้งข้อสังเกตว่าการโจมตีเวกเตอร์เป็นการตั้งค่าเริ่มต้นใน Microsoft Teams ที่ช่วยให้ผู้ใช้ภายนอกสามารถส่งข้อความถึงผู้เช่ารายอื่นได้
สิทธิ์ของแอดมินที่ดูแลระบบซึ่งมีความละเอียดอ่อนสูงสำหรับแอป SaaS มีผลต่อการขยายขอบเขตการโจมตีภายในแอปได้อย่างมากในกรณีที่มีการกำหนดค่าผิดพลาดหรือมีการละเมิดข้อมูล เพื่อลดความเสี่ยงของการโจมตี SaaS attack surface องค์กรควรบังคับใช้หลักการของสิทธิพิเศษน้อยที่สุด (PoLP)
เพื่อให้แน่ใจว่าผู้ใช้สามารถเข้าถึงทรัพยากรที่จำเป็นสำหรับการปฏิบัติงานและหลีกเลี่ยงการขยายขอบเขตการโจมตีที่สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่จำเป็น ดังนั้นจำนวนแอดมินที่มีสิทธิ์ขึ้นอยู่กับขนาดขององค์กรแต่ควรมีอย่างน้อย 2 คนเสมอเพื่อให้แน่ใจว่าไม่มีการละเมิดสิทธิ์ของแอป