Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

„Задната врата“ што напаѓачите ја познаваат — а повеќето безбедносни тимови сè уште не ја затвориле

Објавено: 06.05.2026

Секоја AI алатка, автоматизација на работни процеси и апликација за продуктивност што вашите вработени ја поврзале со Google или Microsoft оваа година оставила нешто зад себе: траен OAuth токен без рок на истекување, без автоматско отстранување и, во повеќето организации, без никаков надзор. Вашите периметарски контроли не го гледаат. Вашата MFA заштита не го запира. И кога напаѓач ќе дојде до него, не му е потребна лозинка.

OAuth дозволите не истекуваат кога вработените ќе ја напуштат компанијата. Не се ресетираат кога лозинките се менуваат. И во повеќето организации, никој не ги следи.

Овој модел имал смисла кога мал број апликации одобрени од IT тимовите имале пристап до календар. Но денес не функционира, кога секој вработен самостојно поврзува AI алатки, автоматизации и апликации за продуктивност директно во својата околина на Google или Microsoft — при што секоја од нив добива траен, ограничен (scoped) токен без автоматски рок на истекување и без централизирана видливост.

Ова не е погрешна конфигурација. Вака е дизајниран OAuth. Проблемот е што повеќето безбедносни програми не се изградени да го земат предвид ова на голем обем.

CISO-ите знаат дека ова е проблем. Но повеќето не го решаваат.

Ново истражување од Material Security го квантифицира јазот меѓу свесноста и акцијата. 80% од безбедносните лидери сметаат дека неконтролираните OAuth дозволи претставуваат критичен или значаен ризик. Повеќето го кажуваат тоа веќе со години.

Но свесноста не се претвора директно во способност. Значителен дел од организациите (45%) не преземаат ништо за да ги следат OAuth дозволите на големо ниво. Многу од останатите (33%) користат рачни процеси — ги следат дозволите во табели, повремено ги прегледуваат пристапите и се потпираат на вработените да пријават необично однесување на апликациите.

Табелите (spreadsheets) не се способност за одговор на закани. Тие се запис за тоа колкава изложеност има една организација, без воопшто да знае дека ја има.


Ова не е теоретски ризик

Аргументот за видливост на OAuth често се претставува како вработени што внесуваат чувствителни податоци во алатки од трети страни без надзор од IT. Тоа е реален проблем, но не е најголемиот. Посериозниот проблем е што OAuth дозволите се активен вектор за напади. Инцидентот со Drift го прави тоа јасно.

Drift, платформа за продажба која е купена од Salesloft, одржувала OAuth интеграции со Salesforce инстанци во стотици организации-клиенти. Напаѓачот, кој Palo Alto Networks Unit 42 го следи како UNC6395, добил валидни OAuth refresh токени — најверојатно преку претходни phishing кампањи — и ги искористил за пристап до Salesforce околини на повеќе од 700 организации.

Структурата на нападот е предупредување: токените биле валидни, интеграцијата била легитимна. Од гледна точка на периметарските контроли, ништо не изгледало сомнително. MFA е целосно заобиколена, бидејќи напаѓачот не се најавувал — тој користел токен за кој Drift веќе имала дозвола. Откако влегле внатре, UNC6395 систематски извлекувале податоци и барале креденцијали: AWS пристапни клучеви, Snowflake токени, лозинки.

Cloudflare, PagerDuty и десетици други биле погодени. Целосниот обем сè уште се проценува.

Инцидентот со Drift не бил напад од сомнителна, непозната апликација. Бил напад преку доверлива апликација. Поентата не е дека организациите треба да ги ограничат OAuth интеграциите — туку дека довербата при инсталација не значи дека апликацијата останува доверлива, и дека OAuth дозволите бараат активно и континуирано следење, а не пасивно прифаќање.

Што навистина значи мониторинг

Сегашната генерација алатки за OAuth безбедност го решава ризикот во моментот на инсталација. Тие проверуваат дали побараните дозволи се преголеми. Можат да означат апликации од сомнителни добавувачи. Тоа е корисно — но не е доволно. Во сценариото со Drift, легитимна апликација чии креденцијали подоцна се украдени и злоупотребени — таквите алатки не откриваат ништо.

Клучно е да се разбере дека довербата во добавувачот и опсегот на дозволи се само дел од сликата. Мониторинг на реалното однесување на апликацијата — API повиците што ги прави и акциите што ги извршува — е клучен за да се разбере што навистина прави апликацијата, а не само што може да прави. И без длабока видливост во корисничките сметки поврзани со апликацијата, останувате делумно слепи. Ризична апликација поврзана со сметка на практикант е едно; истата апликација користена од високопозициониран корисник со пристап до огромна количина чувствителни податоци е сосема друга работа.

Нападот со Drift не вклучувал сомнителна апликација со необични дозволи при инсталација. Вклучувал легитимна апликација чии креденцијали подоцна биле компромитирани и злоупотребени. Алатка што само ја проверува состојбата во моментот на создавање не би забележала ништо. Ризикот се појавил подоцна — кога токенот бил украден и користен од друг напаѓач.

Ефективна OAuth безбедност бара:

  • Континуиран бихејвиорален мониторинг, не еднократна проверка. Што навистина прави апликацијата по добивање пристап? Следење на API повиците со текот на времето може да открие аномалии што статичките проверки не ги гледаат — ненадејни скокови во пристап до податоци, необични барања и активности во нетипични часови.
  • Проценка на „blast radius“ (обем на штета). OAuth дозвола поврзана со сметка со пристап до илјадници документи и е-пошта е многу поопасна од истата дозвола на нова, ограничена сметка. Ризикот мора да се мери според реалниот дострел на сметката.
  • Диференциран одговор според ризик. Очигледно злонамерна апликација треба веднаш да се отстрани, без да чека обработка на тикет. Критична интеграција од доверлив добавувач со мали аномалии бара човечка проверка. Системот мора да знае да прави разлика.

Material Security и нивниот OAuth Threat Remediation Agent се базираат на овој поширок модел на ризик. Алатката континуирано ја следи целата OAuth активност во Google Workspace околини — не само новите апликации во моментот на одобрување.

За секоја поврзана апликација, агентот ги проценува три фактори заедно:

  • Анализа на довербата во добавувачот и опсегот на дозволи — стандардната основа на која повеќето алатки застануваат
  • Бихејвиорален мониторинг на реалните API повици што апликацијата ги прави со текот на времето, со откривање на аномалии во однос на очекуваното однесување
  • Проценка на „blast radius“ (обем на потенцијална штета) врз основа на нивоата на пристап и изложеноста на податоци на сметките со кои апликацијата е поврзана

Овие влезни податоци се комбинираат во единствен безбедносен ризик сигнал што ја одразува и веројатноста за проблем и неговото потенцијално влијание. Кога агентот ќе идентификува високо-ризична дозвола, може веднаш да реагира — со поништување на токенот пред да настане штета.

Во ситуации со помала сигурност, но со критични апликации за бизнисот, системот го прикажува наодот на безбедносниот тим со целосен контекст: што е апликацијата, што досега правела, до што има пристап и каков е ризикот.

Организациите самите ги дефинираат праговите: колку ризик активира автоматска реакција и кога е потребно човечко одобрување. Агентот е дизајниран да ги држи безбедносните тимови информирани за одлуките што се важни, а да ги ослободи од оние што не бараат интервенција.

Затворање на „задната врата“

OAuth дозволите се стандарден начин преку кој апликации од трети страни и AI алатки се поврзуваат со корпоративни системи. Тоа нема да се промени. Бројот на такви дозволи ќе продолжи да расте со забрзаната примена на AI. Да им се каже на вработените дека не смеат да користат AI алатки не е реална безбедносна стратегија за повеќето организации — и тоа не би ја решило заканата од апликации што се легитимни при инсталација, но подоцна стануваат злонамерни.

Решението не е помал број OAuth дозволи. Решението е подобра видливост во оние што постојат, континуиран мониторинг на нивното однесување и оперативна способност за доволно брза и паметна реакција — без да се нарушат интеграциите што го одржуваат бизнисот во функција.

За безбедносни тимови што сакаат видливост во тоа што е навистина поврзано со нивната околина — и способност да реагираат кога нешто се менува — контактирајте со Material Security за демо на OAuth Threat Remediation Agent.

Извори:

  • The Hacker News – The Back Door Attackers Know About — and Most Security Teams Still Haven’t Closed The Hacker News