Ein kürzlich aufgetretener Sicherheitsvorfall, bei dem Salesloft Drift, ein beliebtes Marketing-Automatisierungstool, kompromittiert wurde, hat eine große Anzahl von Unternehmen betroffen.
Während dieses Ereignisses stahlen und nutzten Angreifer die OAuth-Token erneut, die das Drift-Tool mit Salesforce, Google Workspace und vielen anderen Anwendungen verbinden, was zu einer weitverbreiteten Datenexfiltration führte.
Dieser Vorfall hat viele unserer Technologie-Okta-Community beeinträchtigt. Diese Events werfen natürlich Fragen bei unseren Kunden und Partnern auf: „War Okta betroffen?“ und "Was tut Okta, um unsere Daten zu schützen?"
Wir möchten es ganz klarstellen: Okta war von diesem Vorfall nicht betroffen.
Unser Security-Team hat unsere Systeme gründlich untersucht und bestätigt, dass wir zwar Beweise für Versuche beobachtet haben, mit gestohlenen Token auf unsere Ressourcen zuzugreifen, unsere Abwehrmechanismen jedoch wie vorgesehen funktionierten, um eine Sicherheitsverletzung zu verhindern.
Verteidigung in der Praxis: Die Auswirkungen einer einzelnen Steuerung
Als unser Team von der Salesloft Drift-Kompromittierung erfuhr, haben wir sofort unsere Logs überprüft. Wir haben Versuche entdeckt, ein kompromittiertes Salesloft Drift-Token zu verwenden, um auf eine Okta Salesforce-Instanz zuzugreifen. Diese Versuche schlugen fehl. Als wir diese Versuche später mit den Indikatoren für Kompromittierungen (IOCs) aus dem Google Mandiant Blog-Beitrag verglichen, bestätigten die Daten, dass wir tatsächlich ein Ziel waren.
Die wichtigste Kontrollmaßnahme, die diese Sicherheitsverletzung verhinderte, war unsere Durchsetzung von eingehenden IP-Beschränkungen. Der Angreifer versuchte, ein kompromittiertes Token zu verwenden, um auf unsere Salesforce-Instanz zuzugreifen, aber der Angriff scheiterte, weil die Verbindung von einer nicht autorisierten IP-Adresse ausging. Diese Sicherheitsebene erwies sich als unerlässlich, da sie den unbefugten Versuch an der Haustür blockierte, bevor überhaupt ein Zugang erlangt werden konnte.
Unsere Sicherheitsstrategie besteht darin, diese grundlegende Kontrolle auf alle unsere SaaS-Anwendungen anzuwenden. Unsere Fähigkeit, dies umzusetzen, ist jedoch oft begrenzt, da sie vollständig davon abhängt, ob der SaaS-Anbieter diese Fähigkeit bereitstellt. Leider bieten viele Anbieter in der Cloud-First-Welt diese grundlegende Sicherheitsfunktion nicht an, was eine erhebliche Herausforderung für den Schutz vernetzter Systeme darstellt.
Für eine so kritische Anwendung wie Salesforce, die diesen Support bietet, haben wir erhebliche Anstrengungen unternommen, um diese Einschränkungen sowohl für APIs als auch für Benutzer zu konfigurieren. Diese gezielte Investition, die im Rahmen des Okta Secure Identity Commitment getätigt wurde, umfasste die Maßnahmen, um sicherzustellen, dass alle Okta-Mitarbeiter ein cloudbasiertes VPN mit privaten IP-Exit-Knoten verwenden, um ein vertrauenswürdiges Unternehmensnetzwerk zu schaffen. Dieser grundlegende Schritt stellt sicher, dass wir für unsere wichtigsten Anwendungen, die diesen Support bieten, die notwendige Netzwerksicherheit auf Netzwerkebene durchsetzen können, um uns gegen diese Art von Angriff zu verteidigen.
Über IP-Beschränkungen hinaus: Sicherung von Tokens mit DPoP
Ein weiterer Pfeiler des Okta Secure Identity Commitment war die Schaffung marktführender, sicherer Identitätsprodukte und -dienstleistungen. Als Ergebnis dieses Engagements haben sowohl Auth0 als auch Okta Support für DPoP (Demonstrating Proof of Possession) für Anwendungs-Developer, die unsere Dienste nutzen, bereitgestellt.
Während das IP-Allowlisting die Verwendung eines Tokens durch IP einschränkt, kann DPoP die Verwendung eines Tokens auf einen bestimmten Client beschränken. Dieser Sicherheitsmechanismus bindet ein Access-Token kryptographisch an den spezifischen Client, der es angefordert hat. Einfach ausgedrückt, es ist wie ein Schlüssel, der eindeutig mit seinem Schloss gepaart ist. Selbst wenn ein Angreifer den Schlüssel (das Token) stiehlt, könnte er es nicht verwenden, da es auf seinem eigenen Rechner nicht funktionieren würde (das falsche Schloss). Diese Kontrolle verhindert die Wiederverwendung gestohlener Token, was das zentrale Problem bei diesem Lieferkettenangriff war.
Aufbau eines robusten SaaS-Ökosystems mit IPSIE
Dieser Vorfall ist eine deutliche Erinnerung daran, dass eine Sicherheitsverletzung in einem Dienst eine Kettenreaktion im heutigen vernetzten SaaS-Ökosystem auslösen kann. Um uns davor zu schützen, müssen wir über die individuelle Sicherung von Anwendungen hinausgehen und sicherstellen, dass sie alle Teil eines einheitlichen Identity-Sicherheitsgewebes sind. Ein solches Geflecht, das auf offenen Standards basiert, ermöglicht es Unternehmen, Identity-basierte Bedrohungen mit der erforderlichen Geschwindigkeit und Skalierung zu erkennen und darauf zu reagieren.
Aus diesem Grund hat Okta vor fast einem Jahr unser Engagement zur Förderung eines neuen Industriestandards namens Interoperability Profile for Secure Identity in the Enterprise (IPSIE) in Zusammenarbeit mit anderen Mitgliedern der OpenID Foundation angekündigt. IPSIE zielt darauf ab, eine Grundlage für Sicherheit und Interoperabilität über SaaS-Anwendungen hinweg zu schaffen.
Zwei der grundlegenden Kontrollen, die Teil des IPSIE-Frameworks sind, sind für den Salesloft-Drift-Vorfall besonders relevant:
Gemeinsame Signale: Dies ermöglicht die Echtzeitkommunikation von Security Events zwischen Anwendungen. Wenn zum Beispiel der Account eines Benutzers in einer Anwendung kompromittiert wird, können diese Informationen sofort mit allen anderen verbundenen Anwendungen geteilt werden, die dann Maßnahmen ergreifen können, um die Daten des Benutzers zu schützen.
Token-Widerruf: Dies bietet eine standardisierte Möglichkeit des Widerrufs des Zugriffs auf Token. Im Fall des Salesloft Drift-Vorfalls hätte ein Token, von dem bekannt war, dass es kompromittiert wurde, sofort in allen integrierten Anwendungen widerrufen werden können, wodurch der Zugriff des Angreifers unterbunden worden wäre.
Dies sind nur einige Beispiele für die vielen Möglichkeiten, wie IPSIE dazu beiträgt, ein sichereres und widerstandsfähigeres SaaS-Ökosystem zu schaffen.
Ein Aufruf zum Handeln für die SaaS-Industrie
Der Salesloft Drift-Vorfall ist ein Weckruf für die gesamte SaaS-Branche. Wir können es uns nicht länger leisten, isoliert zu arbeiten. Wir müssen zusammenarbeiten, um ein gemeinsames Set von Sicherheitsstandards zu etablieren und zu übernehmen.
Die Zukunft der SaaS-Sicherheit ist bereits hier, sie ist nur noch nicht gleichmäßig verteilt.
Wir bitten alle SaaS-Unternehmen, sich uns bei der Unterstützung der IPSIE-Initiative anzuschließen. Indem wir zusammenarbeiten, können wir das gesamte SaaS-Ökosystem für alle sicherer machen.
Was Sie tun können, um Ihr Unternehmen zu schützen.
Dies ist nicht nur ein Problem, das die Anbieter lösen müssen; alle Unternehmen haben eine entscheidende Rolle bei der Erhöhung der Messlatte für das gesamte Ökosystem. So können Sie jetzt handeln:
Fordern Sie IPSIE von Ihren Anbietern. Die Sicherheit der vernetzten SaaS-Landschaft ist eine geteilte Verantwortung. Als Kunde ist Ihre Stimme der mächtigste Treiber des Wandels. Fragen Sie Ihre Anbieter nach ihrer Roadmap zur Einführung offener Standards wie IPSIE. Wenn Anbieter wissen, dass Sicherheit und Interoperabilität entscheidende Kaufkriterien sind, werden sie diese priorisieren. Ihre Nachfrage wird diese Standards von einer guten Idee zu einer branchenweiten Realität machen.
Implementieren Sie ein Identity Security Fabric. Während wir uns für bessere branchenweite Standards einsetzen, ist es unerlässlich, dass Sie Maßnahmen ergreifen, um Ihre eigene digitale Umgebung zu sichern. Die Zeiten, in denen Identität auf einer App-zu-App-Basis behandelt wurde, sind vorbei. Durch die Implementierung eines einheitlichen Identity-Sicherheitsgewebes können Sie Zugriffskontrolle, Bedrohungserkennung und -reaktion sowie Governance über alle Ihre Anwendungen und Identity-Typen hinweg integrieren. Dies bietet eine einzelne, konsistente Ebene der Verteidigung, die es Ihnen ermöglicht, Ihr Unternehmen proaktiv von innen heraus zu schützen.
Um mehr über IPSIE zu erfahren, besuchen Sie bitte die OpenID Foundation Website.
