現代の仕事は1つのアプリの中で完結するものではない。メール、ファイル、チャット、そしてそれらの間でデータをやり取りするコネクターの網の目の中で生きているのだ。だからこそ、Salesloft/Drift事件はGoogle Workspaceチームにとって大きな衝撃となったのだ。誰もグーグルをハッキングしたわけではない。攻撃者は信頼できる統合に乗り、まさに彼らが欲しかったもの、データを手に入れたのだ。
8月上旬、漏洩したOAuthトークンを使ってSalesforceの記録を略奪したのと同じ脅威者が、盗んだDrift Emailトークンを使って、Driftと明確に統合された少数のGoogle Workspaceメールボックスにもアクセスした。
8月9日、Googleはその活動を確認し、トークンを失効させ、統合を無効にした。これは、権限委譲されたアクセスがいかに通常のガードレールを横取りするかを端的に示すものであった。
アプリグラフが攻撃対象になるとき
過去数年間、アイデンティティを強化し、MFAを強化し、レガシー・プロトコルを削除してきたのであれば、これは不公平に感じるかもしれない。これだけやっても、完全に正当なスコープを持つサードパーティのトークンに負けてしまうのだ。
不快な真実は、攻撃対象が今やアプリグラフ(SaaSを結合するOAuthグラントとAPIパーミッションの格子)であるということだ。
セキュリティの話は、もはやログインプロンプトが実行されたかどうかということではありません。セキュリティの話は、ログインプロンプトが実行されたかどうかということではなくなり、ログインした後に統合が何を許可されているかということなのだ。
Salesloft/Driftで顧客が実際に感じたこと
私たちは、情報公開後数日間、顧客と話をしました。その雰囲気はパニックではなく、慎重な評価でした。当社の脅威調査チームは、一連の検知を構築し、侵害に関連するIOCをスキャンしました。チームはDriftが接続されている場所をマッピングし、アクセスを刈り込み、キーをローテーションした。
マテリアルを導入したことで、攻撃者の滞留時間はほとんど関係なくなりました。マテリアルのアカウント・テイクオーバー・レジリエンスによって、機密性の高いメールボックスのデータは静止状態で保護されるため、トークンによってメールボックスにアクセスすることはできても、最も機密性の高いデータへのアクセスには、やはり人間が一歩踏み出す必要がありました。
つまり、誰かが最終的に有効なアクセスを取得することを受け入れ、ターゲットがデフォルトで読み取り可能でないことを確認するのだ。
これは一過性のものではない
Salesloft/Driftは、より広範なパターンに当てはまります。最近のSalesforceへの侵入の背後にいるのは、エンドポイント上のシェルを追いかけているのではなく、トークンと正当なアクセスを追いかけ、それがもたらす隠れ蓑を利用しているのです。
有効なトークンを使い、大量のクエリーを実行し、データを持ち帰るというシンプルでスケーラブルな手口だ。同じ頃、攻撃者がクラウドの秘密を見つけるためにエクスポートされたデータを漁り、再びピボットするのを見た。
昨年のSnowflakeの波は、ロゴを変えて同じストーリーを伝えていた。クレデンシャルとトークンは産業規模のデータ窃盗となり、その後、メールやファイルから秘密を探し、キーをローテーションし、トークンをリセットし、アプリアクセスのベースラインを再設定するという同じ後始末が続いた。
このような攻撃はすぐになくなるものではなく、異なるプラットフォームに影響を与えるだろうが、同じような教訓を与えてくれる。クラウド・オフィスの境界のセキュリティ確保に注力するだけではもはや不十分である。クラウド・ワークスペース内のメール、ファイル、アカウントに侵入する方法はあまりにも多すぎる。私たちのアプローチは、クラウドオフィス環境全体にわたる強固な検知・対応機能を含むように進化しなければならない。
a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.
機密ファイル・セキュリティの隠れた傾向
機密ファイルが1100%増加したデータ:電子メールとドライブのセキュリティに関する洞察。
Material Securityの電子メールとクラウドデータの分析により、機密情報の保存、共有、保護方法に関する驚くべきトレンドが明らかになりました。
最新の」クラウド・ワークスペース・レジリエンスに実際に必要なもの
では、このような現実の中で、Google Workspaceの弾力的なセキュリティとはどのようなものだろうか。それは、重点を移すことから始まります。インバウンドの脅威を防止することに変わりはないが、防止だけにビジネスを賭けるのはやめる。封じ込めとレジリエンスのために設計するのである。
実際には、Workspace を重要なインフラ(独自のシグナル、障害モード、爆発半径を持つ独自の環境) として扱い、統合、アイデンティティ、コンテンツの 3 つのレイヤーで保護することを意味する。
統合については、可視化と制御が重要である。Gmail、Drive、Calendar、Admin APIにアクセスできるすべてのサードパーティアプリをインベントリ化する。不要なものは削除する。残すもののスコープを厳しくする。あたかも新しい管理者アカウントであるかのように、リスクの高い新しい補助金を監視する。
Driftのようなインシデントが発生したら、まず一括取り消しとローテーションを行い、次に調査を行う。ログの完璧な証拠を待っていたら、すでに手遅れだ。8月9日に対するプラットフォームの対応は迅速だった。
アイデンティティについては、チェック・ザ・ボックスのMFAを超える。フィッシングに耐性のある認証方式は、今や当たり前のものとなっている。IMAPやPOPのようなレガシーなプロトコルや、長期間のアクセスを意味するアプリ固有のパスワードは廃止しなければならない。同意フィッシングやトークン・リプレイは今後も続くだろう。
アイデンティティの強化は必要だが、それだけでは十分ではない。潜在的に不審なアカウントの行動を検出する能力は、単に異常なログインを検出するだけでなく、データアクセスのパターン、電子メールのルール、ファイル共有の行動など、環境内の行動を監視する必要があります。
攻撃者は絶えず回避テクニックを進化させ、その痕跡を隠すことに長けているため、こうした行動をリアルタイムで検知し、対応できるようにすることが重要です。
決定的なレイヤーはコンテンツです。もし統合されたり盗まれたりしたセッションが、エグゼクティブのメールボックス内のすべてを読むことができれば、あとは学問的なことだ。しかし、メッセージ・レベルMFAはそのスクリプトを反転させる。機密性の高いスレッド、法的なアーカイブ、規制されたメールは、その場で人間が意図と正当性を証明するまでロックされたままだ。このたった一つの設計上の選択が、盗まれたトークンを大惨事から迷惑なものへと変える。また、その間に機密を漏らすことなく、取り消し、ローテーション、クリーンアップといった残りの対応に時間を割くことができる。
しかし、このようなコントロールは、チームがプレッシャーのもとで行使できる場合にのみ意味を持つ。つまり、Workspaceネイティブの遠隔測定からリアルタイムに行動するプレイブックを自動化することだ。
つまり、侵害されたベンダーに関連付けられたアプリのトークンを取り消したり、不審な動作をするアカウントを一時停止したり、新しいインジケータに一致するメールを隔離したり、危険なドライブの共有を取り消したり、機密とマークされたものを開くためにステップアップを要求したりすることができます。
マテリアル・セキュリティの適合性
Materialは、まさにGoogle Workspaceのこのような運用実態のために構築されました。私たちは、メールとクラウドオフィスのセキュリティに対する最新のアプローチで設立されました。有効なトークンが手元にある場合でも、Workspaceを悪用されにくくします。
メッセージレベルのMFA、ジャストインタイムアクセス、リスクの高いドライブ共有の摩擦のないコントロールにより、最も重要なコンテンツを保護します。
Gmail、Drive、Admin APIからのノイズの多いシグナルを正規化し、チームが迅速に実行できるアクションに変換します。そして、OAuthガバナンスを第一級のサーフェスとして扱います。どのアプリが危険なスコープを持っているかを確認し、古くなったものを自動で取り消し、次のベンダーがトークンの問題を公開したときに幅広く対応することができます。
教訓
統合が悪用されることを想定すること。トークンが漏れることを想定すること。独創的な攻撃者がデータへの最短経路を見つけることを想定する。そして、これらの仮定がヘッドラインにつながらないように設計すること。
SalesloftとDriftのエピソードは、我々が読む最後のサプライチェーンやトークンの話には程遠いだろう。1ヵ月後には、異なるアプリ、異なる範囲、異なるロゴのセットになっているかもしれない。
しかし、共通しているのは、ターゲットを直接保護し、どこかの誰かが最終的に玄関を通過する方法を話すことを受け入れるとき、防御は最強であるということだ。そのような世界を想定して構築すれば、盗まれたトークンは侵入ではなく、スピードバンプとなる。
マテリアル・セキュリティのアプローチの詳細と、目的別に構築されたクラウド・ワークスペース・セキュリティの実例をご覧ください。
主催・執筆:マテリアル・セキュリティ
Comments