Цепочка атак в SaaS: как защитить данные
Традиционная модель кибербезопасности, основанная на защите периметра сети, устаревает с распространением облачных SaaS-сервисов. Вместо атак на сетевую инфраструктуру злоумышленники теперь фокусируются на компрометации идентификационных данных, ставших новым периметром безопасности.
Как изменилась цепочка атак
Классическая модель Cyber Kill Chain, разработанная для локальных сетей, теперь адаптируется под реалии облачных сервисов:
- Разведка: вместо сканирования портов злоумышленники исследуют используемые SaaS-приложения и методы аутентификации (SAML-анализ, поиск tenant-доменов)
- Первоначальный доступ: фишинг смещается в сторону перехвата MFA-токенов, OAuth-приложений и атак через мессенджеры
- Сохраняемость: создание скрытых учетных записей, OAuth-приложений и общих ссылок в облачных хранилищах
Новые векторы атак
Среди современных методов выделяются:
- OAuth consent phishing — манипулирование пользователями для предоставления прав сторонним приложениям
- SAMLjacking — подмена легитимного процесса аутентификации
- Создание ‘теневых’ рабочих процессов и API-доступов в облачных сервисах
Главная проблема для специалистов по безопасности — SaaS-сервисы предоставляют злоумышленникам значительно больше возможностей для скрытого доступа и сохранения присутствия в системе даже после сброса учетных данных.
Эволюция киберугроз требует пересмотра традиционных подходов к защите, с акцентом на мониторинг идентификационных данных и активности в облачных сервисах.
