利基微型公司将如何统治商业世界 帮助您的公司避免顶级创业杀手的4种策略 您的商业贷款被拒绝的8个原因 我从指导世界上最好的加速器的初创公司中学到的东西 如何将你的爱好变成有利可图的商业冒险 最大的公司名称更改 (信息图) 如何找到您的电子商务业务利基 初创公司可以从数字化转型中学到的5件事 战时企业家的生活故事 如何确定您的医疗索赔计费服务的最佳市场 大多数初创公司都知道不会犯的明显错误 (但无论如何还是会犯) 如何找到你有利可图的想法 为了增加成功的机会,进入一个你知道的行业 为什么我给我的团队买了100双运动鞋 在迈向企业家之前,您必须回答8个棘手的问题 使用 “事实” 方法来提出正确的想法 30岁前你应该学到的7个商业课程 成功餐饮活动的提示 在为时已晚之前申请商标 管理远程团队的7个技巧 (信息图) 创业投资者在投资前寻找的5件事 成功启动中西部创业的4个技巧 在迈向企业家之前,您必须回答8个棘手的问题 创业投资者在投资前寻找的5件事 3种策略,使您的产品在走出阴影之前达到最佳状态 管理远程团队的7个技巧 (信息图) 3甚至证明荒谬想法的网站都可以成为在线赚钱的人 2使命驱动的企业家分享他们的成功之路 赢得商业和生活的3个关键 如果你不想成为企业家也没关系 对幸福的不懈追求 创业或发展企业时的14种省钱方法 杰西卡·阿尔芭和莎拉·米歇尔·盖拉的重要创业课程 一方: 建立你的单人公司 创业创业的8条财务提示 企业家必须了解有关Cap表管理的12条规则 在线商务教练的隐患 你的商业计划必须回答的6个问题 辞职或被搞砸了之前必须做的7件事 企业家犯的6个最大的创业错误 为您的创业公司寻找创意员工的4种明智方法 帮助您经营多个企业的4个技巧 当你不能辞职时如何创业 这些标志是您成为企业家的正确时机 自制的成功故事是否说服某些大学没有必要? 每个小企业网站应该具备的5个关键要素 你应该创办一家公司而不是创办一家初创公司的4个理由 今天赚100美元的50种方法 2个兄弟如何复兴他们家庭的田纳西州威士忌酒厂 建立了150万美元的演讲厅的人的6个成功秘诀
您的位置:首页 >综讯 >

OneLogin是如何被妥协的,以及我们其他人的教训

2021-09-23 15:11:02 来源:

上周,美国领先的云单点登录 (SSO) 服务之一OneLogin遭受了重大漏洞,损害了美国客户数据。好消息是,OneLogin能够在数小时内识别出折衷方案,并通过关闭造成服务故障的流氓实例来做出响应。然而,强调这些攻击可以发生和生效的迅速性,这仍然是足够的时间,小偷可能会盗取客户数据,更不祥的是,他们访问云服务的登录凭据,甚至他们的加密密钥,用于解密这些云服务中的数据。

尽管违规事件对服务提供商和受影响的公司来说是痛苦的,但它们还提供了一个教学时刻,可以帮助告知未来的行为和防御。在OneLogin的情况下,由于攻击与一个服务相交,该服务本质上管理了可以通过ApI进行conpd的云中中心位置的密码,因此在许多现代挑战的联系上有很多教训,包括云,ApI,消费者密码,特权管理员身份,事件通知,违约缓解和违约响应法规。

将王国的密钥集中在云中的固有风险

在过去的七年里,云彻底改变了企业使用it服务的方式。它提供按需灵活性、无启动上限和易用性。然而,它有自己的一系列风险。云SSO服务象征着云的便利性和风险。首先,使用内部凭证管理系统访问云服务非常具有挑战性。存在防火墙问题,连接器更新问题和操作复杂性。从云中运行云SSO服务在许多技术和业务层面上都有意义。但是,它当然会通过将所有证书放在一个中心位置来创建一个单点失败,该位置对于坏演员来说是一个有吸引力的蜜罐。这意味着SSO提供商及其客户都需要采取额外的预防措施。

管理登录服务的管理登录

对于服务提供商而言,可以围绕服务构建的最简单,最关键的安全性是防止服务的潜在管理劫持。这显然是导致OneLogin失败的原因; 攻击者能够窃取管理凭据,然后将其用于提供流氓服务,然后访问provisioning/admin api以将客户凭据复制到流氓实例。碰巧的是,存在技术来限制被盗管理凭据的风险并保护api。pIM或特权身份管理工具为管理帐户提供一次性密码保险库,这些帐户在被盗时会限制其访问和实用程序。同样,ApI安全产品可以提供更强的访问保护,并检测管理ApI周围的异常活动,并在会话被证明具有破坏性之前关闭会话。

拆分密钥,加强身份验证

对于客户来说,如果他们的服务提供商受到损害,他们也可以采取一些行动。最简单的是将加密密钥管理与访问凭据分开。隔离和分离职责始终是一种良好的安全策略。更强的身份验证也是如此。现在,许多服务不仅基于您知道的东西 (例如密码) 提供身份验证,还基于您拥有或携带的东西 (例如手机或指纹)。后者很难妥协,因为仅拥有密码不足以访问客户端帐户。在当今时代,随着手机和生物识别认证的普及,没有任何借口不坚持向您的服务提供商提供更强大的认证。

违约后

现在,尽管OneLogin事件为服务提供商及其客户提供了许多有关如何防止或限制类似攻击的后果的经验教训,但它也讲述了应对违规行为需要采取的措施的故事。

对于服务提供商来说,当然最关心的是检测违规行为并限制任何损害。良好的审计/安全信息和事件管理 (SIEM) 工具可以在这里提供帮助,特别是如果它们提供异常检测来检测奇怪的活动。但是,随之而来的是可以说是最困难和最昂贵的步骤: 了解谁受到了影响,并做出适当的通知和回应。

快速违规响应

如今,美国48个州和大多数外国都制定了有关违规响应的法律,要求在规定的时间段内提供特定类型的通知。对于服务提供商 (和受影响的公司) 来说,这一点变得困难的是,他们很少按居住权跟踪客户,几乎从来没有该人或组织的数据清单,这样他们就可以正确地审计谁被泄露了,什么数据被获取了。为了解决这个问题,隐私管理空间中存在新的工具,这些工具可以按州或国家映射每个客户的数据,并使法律响应更容易,同时还可以帮助服务提供商审核采取的措施。

对于受影响的公司,也有类似的需求来了解受损服务提供商的损害范围。记录通过哪些服务访问哪些敏感数据可以确保受影响的下游用户可以被充分预先警告,以便在损害蔓延之前采取适当的措施。

OneLogin的教训

有一种说法是,没有学到的东西,不应该经历任何不好的经历。OneLogin发生的事情对服务提供商和受影响的公司来说都是痛苦的。然而,对于受影响的公司来说,与其逃避使用云服务,还有许多可以学习的方法来限制未来的影响和影响。对于服务提供商,将保护伞扩展到管理帐户和api也有类似的经验教训。OneLogin展示了一组凭据如何甚至可以破坏安全服务; 因此,建议始终采取额外措施来保护您最重要的资产。

免责声明:本网站所有信息仅供参考,不做交易和服务的根据,如自行使用本网资料发生偏差,本站概不负责,亦不负任何法律责任。如有侵权行为,请第一时间联系我们修改或删除,多谢。

今日中国财经