ทำความเข้าใจความเสี่ยง ‘SaaS Attack Surface’

ปัจจุบัน มีสัดส่วนการให้บริการ cloud-based ที่เพิ่มสูงอย่างต่อเนื่อง ทำให้เหล่าบรรดาแฮกเกอร์เข้าโจมตี attack vectors มากขึ้น

โดยเฉพาะอย่างยิ่งในแอปพลิเคชันซอฟต์แวร์ในรูปแบบ SaaS (Software-as-a-Service) ซึ่งผู้ที่ดูแลรับผิดชอบหลักจะเป็นผู้บริหารฝ่ายรักษาความปลอดภัย (CISO) และทีมรักษาความปลอดภัยในการจัดการ

เนื่องจากเจ้าของแอป SaaS ส่วนใหญ่ไม่ได้อยู่ในฝ่ายไอที การโจมตี SaaS Attack Surface จึงเป็นการเปิดกว้างให้อาชญากรไซเบอร์ใช้ประโยชน์จากช่องว่างด้านความปลอดภัย 

จากการสำรวจพบว่าในปี 2023 จำนวนแอป SaaS โดยเฉลี่ยอยู่ที่ 371 แอปต่อองค์กรและอัตราการละเมิดข้อมูลกำลังทำลายสถิติใหม่ในสหรัฐฯ รายงานว่าปี 2023 เป็นปีที่เลวร้ายที่สุดเป็นประวัติการณ์ สำหรับเวกเตอร์หลักๆ ของการโจมตี SaaS attack surface ประกอบไปด้วย

Weak Password: รหัสผ่านที่อ่อนแอ มีความเสี่ยงเป็นพิเศษสำหรับแอปพลิเคชัน SaaS เพราะสิ่งที่อยู่ระหว่างแฮกเกอร์และแอปพลิเคชันคือรหัสผ่านรหัสผ่านที่ไม่ดียังรวมถึงการใช้รหัสผ่านเดียวกันซ้ำในแอปต่างๆ

โดยเฉพาะองค์กรที่ไม่เข้าสู่ระบบโดยการยืนยันตัวตนแบบหลายปัจจัย (MFA) หรือไม่ได้รวมแอปเข้ากับการลงชื่อเข้าใช้งานแบบครั้งเดียว (single sign-on SSO) เพราะโดยทั่วไปแล้ว องค์กรจะแชร์รหัสผ่านเพื่อประหยัดค่าลิขสิทธิ์ จึงข้ามการยืนยันตัวตน MFA

อย่างกรณีการโจมตีล่าสุดโดย กลุ่มแฮกเกอร์ Midnight Blizzard ในรัสเซียที่โจมตี Microsoft Office 365 โดยใช้ประโยชน์จากการรักษาความปลอดภัยด้วยรหัสผ่านที่อ่อนแอของ testing account เก่า

Enabled – By Default: การเปิดใช้งาน – ตามค่าเริ่มต้น แอป SaaS แต่ละตัวมาพร้อมกับการกำหนดค่าและการตั้งค่านับร้อยรายการ ซึ่งหากไม่มีการรักษาความปลอดภัยอย่างเหมาะสมก็จะกลายเป็นพื้นที่การโจมตีหลักทำให้เกิดการละเมิดข้อมูล ขโมยและแรนซัมแวร์ อย่างการโจมตีแบบฟิชชิงด้วยมัลแวร์ DarkGate

ล่าสุดบน Microsoft Teams นักวิจัยตั้งข้อสังเกตว่าการโจมตีเวกเตอร์เป็นการตั้งค่าเริ่มต้นใน Microsoft Teams ที่ช่วยให้ผู้ใช้ภายนอกสามารถส่งข้อความถึงผู้เช่ารายอื่นได้

สิทธิ์ของแอดมินที่ดูแลระบบซึ่งมีความละเอียดอ่อนสูงสำหรับแอป SaaS มีผลต่อการขยายขอบเขตการโจมตีภายในแอปได้อย่างมากในกรณีที่มีการกำหนดค่าผิดพลาดหรือมีการละเมิดข้อมูล เพื่อลดความเสี่ยงของการโจมตี SaaS attack surface องค์กรควรบังคับใช้หลักการของสิทธิพิเศษน้อยที่สุด (PoLP)

เพื่อให้แน่ใจว่าผู้ใช้สามารถเข้าถึงทรัพยากรที่จำเป็นสำหรับการปฏิบัติงานและหลีกเลี่ยงการขยายขอบเขตการโจมตีที่สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่จำเป็น ดังนั้นจำนวนแอดมินที่มีสิทธิ์ขึ้นอยู่กับขนาดขององค์กรแต่ควรมีอย่างน้อย 2 คนเสมอเพื่อให้แน่ใจว่าไม่มีการละเมิดสิทธิ์ของแอป

คำแถลงปฏิเสธความรับผิดชอบ: ลิขสิทธิ์ของบทความนี้เป็นของผู้เขียนต้นฉบับ การเผยแพร่ซ้ำบทความนี้มีวัตถุประสงค์เพื่อเผยแพร่ข้อมูลเท่านั้นและไม่ถือเป็นคำแนะนำในการลงทุน หากมีการละเมิดกรุณาติดต่อเราทันที เราจะทำการแก้ไขหรือลบตามความเหมาะสม ขอบคุณ