รหัสผ่านที่อ่อนแอ มีความเสี่ยงเป็นพิเศษสำหรับแอปพลิเคชัน SaaS
ปัจจุบัน มีสัดส่วนการให้บริการ cloud-based ที่เพิ่มสูงอย่างต่อเนื่อง ทำให้เหล่าบรรดาแฮกเกอร์เข้าโจมตี attack vectors มากขึ้น
โดยเฉพาะอย่างยิ่งในแอปพลิเคชันซอฟต์แวร์ในรูปแบบ SaaS (Software-as-a-Service) ซึ่งผู้ที่ดูแลรับผิดชอบหลักจะเป็นผู้บริหารฝ่ายรักษาความปลอดภัย (CISO) และทีมรักษาความปลอดภัยในการจัดการ
เนื่องจากเจ้าของแอป SaaS ส่วนใหญ่ไม่ได้อยู่ในฝ่ายไอที การโจมตี SaaS Attack Surface จึงเป็นการเปิดกว้างให้อาชญากรไซเบอร์ใช้ประโยชน์จากช่องว่างด้านความปลอดภัย
จากการสำรวจพบว่าในปี 2023 จำนวนแอป SaaS โดยเฉลี่ยอยู่ที่ 371 แอปต่อองค์กรและอัตราการละเมิดข้อมูลกำลังทำลายสถิติใหม่ในสหรัฐฯ รายงานว่าปี 2023 เป็นปีที่เลวร้ายที่สุดเป็นประวัติการณ์ สำหรับเวกเตอร์หลักๆ ของการโจมตี SaaS attack surface ประกอบไปด้วย
Weak Password: รหัสผ่านที่อ่อนแอ มีความเสี่ยงเป็นพิเศษสำหรับแอปพลิเคชัน SaaS เพราะสิ่งที่อยู่ระหว่างแฮกเกอร์และแอปพลิเคชันคือรหัสผ่านรหัสผ่านที่ไม่ดียังรวมถึงการใช้รหัสผ่านเดียวกันซ้ำในแอปต่างๆ
โดยเฉพาะองค์กรที่ไม่เข้าสู่ระบบโดยการยืนยันตัวตนแบบหลายปัจจัย (MFA) หรือไม่ได้รวมแอปเข้ากับการลงชื่อเข้าใช้งานแบบครั้งเดียว (single sign-on SSO) เพราะโดยทั่วไปแล้ว องค์กรจะแชร์รหัสผ่านเพื่อประหยัดค่าลิขสิทธิ์ จึงข้ามการยืนยันตัวตน MFA
อย่างกรณีการโจมตีล่าสุดโดย กลุ่มแฮกเกอร์ Midnight Blizzard ในรัสเซียที่โจมตี Microsoft Office 365 โดยใช้ประโยชน์จากการรักษาความปลอดภัยด้วยรหัสผ่านที่อ่อนแอของ testing account เก่า
Enabled – By Default: การเปิดใช้งาน – ตามค่าเริ่มต้น แอป SaaS แต่ละตัวมาพร้อมกับการกำหนดค่าและการตั้งค่านับร้อยรายการ ซึ่งหากไม่มีการรักษาความปลอดภัยอย่างเหมาะสมก็จะกลายเป็นพื้นที่การโจมตีหลักทำให้เกิดการละเมิดข้อมูล ขโมยและแรนซัมแวร์ อย่างการโจมตีแบบฟิชชิงด้วยมัลแวร์ DarkGate
ล่าสุดบน Microsoft Teams นักวิจัยตั้งข้อสังเกตว่าการโจมตีเวกเตอร์เป็นการตั้งค่าเริ่มต้นใน Microsoft Teams ที่ช่วยให้ผู้ใช้ภายนอกสามารถส่งข้อความถึงผู้เช่ารายอื่นได้
สิทธิ์ของแอดมินที่ดูแลระบบซึ่งมีความละเอียดอ่อนสูงสำหรับแอป SaaS มีผลต่อการขยายขอบเขตการโจมตีภายในแอปได้อย่างมากในกรณีที่มีการกำหนดค่าผิดพลาดหรือมีการละเมิดข้อมูล เพื่อลดความเสี่ยงของการโจมตี SaaS attack surface องค์กรควรบังคับใช้หลักการของสิทธิพิเศษน้อยที่สุด (PoLP)
เพื่อให้แน่ใจว่าผู้ใช้สามารถเข้าถึงทรัพยากรที่จำเป็นสำหรับการปฏิบัติงานและหลีกเลี่ยงการขยายขอบเขตการโจมตีที่สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่จำเป็น ดังนั้นจำนวนแอดมินที่มีสิทธิ์ขึ้นอยู่กับขนาดขององค์กรแต่ควรมีอย่างน้อย 2 คนเสมอเพื่อให้แน่ใจว่าไม่มีการละเมิดสิทธิ์ของแอป
แหล่งข้อมูล