Токените за удостоверяване, разбира се, не са истински физически токени. Но когато срокът на валидност на тези цифрови идентификатори не изтича редовно или те не са прикрепени за използване само от определено устройство, за киберпрестъпниците те са на цената на златото.
Токените за автентификация (или “сесийни токени”, както обикновено ги наричат) са важна част от киберсигурността. Те капсулират данни за оторизация за влизане, за да позволят валидиране на приложения и сигурни, автентифицирани влизания в мрежи, приложения за софтуер като услуга (SaaS), изчисления в облак и системи на доставчици на идентичност (IdP) или единно влизане (SSO) за повсеместен достъп до корпоративни системи. Което означава, че всеки, който притежава токен, има златен ключ към корпоративните системи – без да търси предизвикателството на многофакторната автентикация (MFA).
Рискове, свързани с удобството на служителите
Срокът на живот на токена често се използва за постигане на компромис между сигурността и удобството на служителите, като позволява на потребителите да се удостоверят веднъж, за да поддържат постоянен достъп до приложения за определен период от време. Заплахите обаче все по-често се сдобиват с тези токени чрез атаки adversary-in-the-middle (AitM), при които атакуващият се намира по средата между потребителя и легитимните приложения, за да открадне удостоверенията или токените, и чрез атаки pass-the-cookie, при които се използват сесийни бисквитки, съхранявани в браузърите.
Личните устройства също имат кешове на браузъри, но не трябва да преминават през строгите изисквания за сигурност на корпоративните системи. Те са по-лесно компрометирани от заплахи, които могат да прихващат токени директно от слабо защитени лични устройства. Въпреки това личните устройства често имат достъп до корпоративни SaaS приложения, което представлява заплаха за корпоративните системи.
След като заплахата получи токена, тя разполага и с всички права и оторизации, които са предоставени на потребителя. Ако са уловили токена на IdP, те могат да получат достъп до всички възможности за SSO на корпоративните приложения, интегрирани с IdP – без MFA. Ако става въпрос за удостоверение на ниво администратор със съответните привилегии, те могат потенциално да извършат опустошителни действия срещу системите, данните и резервните копия. Колкото по-дълго токенът е активен, толкова повече могат да получат достъп, да откраднат и да нанесат щети. Освен това после те могат да създават нови акаунти, които вече не изискват използването на токена за постоянен достъп до мрежата.
Макар че по-честото изтичане на срока на валидност на токените за сесии няма да спре този вид атаки, то значително ще намали рисковия отпечатък, като съкрати прозореца на възможност за функциониране на токена. За съжаление, често виждаме, че токените не се изчерпват на редовни интервали, а някои доклади за пробиви показват, че срокът на валидност на токените по подразбиране се удължава умишлено.
Атаките с токени в центъра на вниманието
Миналата година в новините се появиха няколко случая на пробив, свързани с прихванати токени за удостоверяване. Два от случаите бяха свързани с компрометирани токени на IdP. Според Okta извършителите са били в техните системи от 28 септември до 17 октомври поради компрометиране на личен акаунт в Gmail. Запазената парола в акаунта в Gmail е била синхронизирана в браузъра Chrome, което е позволило достъп до служебен акаунт, вероятно без прилагане на MFA. След като са влезли в служебния акаунт, хакерите са успели да уловят други токени за сесии на клиенти от HAR файлове, съхранявани в ServiceNow. Нарушението в крайна сметка е засегнало всички потребители на Okta за поддръжка на клиенти.
Забележително е, че на 23 ноември 2023 г. Cloudflare открива заплаха, насочена към нейните системи, използвайки сесийни токени от пробива в Okta. Това показва, че тези сесийни токени не са били изтекли цели 30 до 60 дни след нарушението на Okta – не като рутинен ход на работата и не като реакция на самото нарушение.
През септември 2023 г. Microsoft също влезе в новините, като разкри, че заплахите са получили ключ за подписване на потребителите от срив на Windows. След това са го използвали, за да компрометират акаунти в Exchange и Active Directory, като са използвали неизвестен бъг, който е позволявал на корпоративните системи да приемат токени за сесии, подписани с потребителския ключ за подписване. Това е довело до кражбата на 60 000 имейла на Държавния департамент на САЩ. Възможно е този пробив да не е бил толкова въздействащ, ако токените са били изтекли (или прикрепени).
Какво трябва да правят компаниите?
Основният урок за организациите е, че токените представляват риск – но има начини да се минимизират тези рискове и да се изпълни по-агресивна програма за управление на токени:
- Организациите трябва да удължават срока на валидност на токените за удостоверяване поне на всеки седем дни (като минимум) в географските райони, където предприятието има персонал.
- В регионите без служители токените трябва да изтичат много по-често (на всеки 24 часа или да се блокира изцяло местоположението).
- Не разрешавайте влизането в приложения SaaS от лични устройства. Вие не контролирате сигурността на тези устройства и това оставя твърде много токени извън корпоративния обхват.
- Блокирайте достъпа до лична електронна поща от корпоративни устройства.
- Блокирайте запаметяването на идентификационни данни в браузърите.
- Блокирайте синхронизирането на запаметените идентификационни данни в Gmail, Google Drive и OneDrive.
По-дългите срокове на валидност на токените осигуряват удобство на потребителите, но на висока цена за сигурността. Токените са активна мишена на заплахите, така че искането от потребителите да се удостоверяват отново всяка седмица е малко неудобство, когато се има предвид много високата обща цена на пробива.
Автор: Джон А. Смит, основател и главен служител по сигурността, Conversant Group