7 предотвратимых рисков безопасности приложений

1. Введение#

Крупные корпорации, в том числе Uber, MGM Resorts, CircleCI, Ticketmaster и многие другие компании, столкнулись с нарушениями безопасности в период с сентября 2022 года по май 2024 года после того, как злоумышленники получили несанкционированный доступ к их системам учетных записей пользователей. Атаки нанесли ущерб на сотни миллионов долларов и привели к утечке персональных данных более 600 млн пользователей. Устаревшие на тот момент системы аутентификации могли бы предотвратить эти нарушения безопасности.

В этой истории нет доказательств того, что злоумышленники использовали сложные уязвимости нулевого дня или неизвестные уязвимости для проведения своих атак. Эти случаи показывают, как организации не смогли предотвратить нарушения безопасности. Большинство из них знали об атаках с усталостью от MFA (MFA fatigue), но не смогли защититься от них, и они осознавали уязвимости систем на основе паролей, но продолжали их использовать.

2. Сбои устаревших систем аутентификации#

Слабая или устаревшая аутентификация является распространенной точкой входа для злоумышленников. Большинство нарушений безопасности начинается с того, что злоумышленники получают либо украденные, либо ранее использовавшиеся пароли, хотя организации имеют доступ к устоявшимся системам аутентификации на основе ключей доступа (passkeys), которые обеспечивают защиту от фишинга. Взлом MGM Resorts в 2023 году начался, когда злоумышленники использовали вишинг, чтобы обратиться в службу ИТ-поддержки, что позволило им сбросить учетные данные, а затем внедрить программу-вымогатель и вызвать семидневный простой системы.

Системы безопасности MGM и других организаций использовали пароли вместе с двухфакторной аутентификацией на основе SMS, которая не смогла защитить от атак социальной инженерии и кражи учетных данных. Организации не смогли внедрить лучшие системы аутентификации, потому что, хотя они и понимали угрозы безопасности, их текущие системы и рабочие процессы мешали им вносить изменения.

Ключи доступа, использующие криптографию с открытым ключом и биометрическую идентификацию, значительно снизили бы риск успешного проведения этих атак. Ключи доступа более безопасны, чем пароли, поскольку пользователи не могут сбросить их через удаленный доступ или службу поддержки путем передачи кодов сброса, что защищает от атак социальной инженерии. Безопасность ключей доступа остается уязвимой для определенных методов атак, которые происходят, когда процессы восстановления учетных записей недостаточно защищены, а устройства заражаются вредоносным ПО.

3. Атаки на основе сессий и файлов cookie#

Злоумышленники сосредотачиваются на получении файлов cookie, поскольку это поможет получить доступ к системе и обойти все процедуры аутентификации. Взлом CircleCI в 2022 году подчеркивает это, показывая, как вредоносное ПО (infostealer) на ноутбуке сотрудника может легко украсть активные сессионные файлы cookie. Используя их, злоумышленники затем обошли двухфакторную аутентификацию и получили доступ к производственным системам.

Сессионные файлы cookie служат средством обхода контроля доступа благодаря своим токенам на предъявителя, способствуя утечке конфиденциальных данных. Чтобы предотвратить подобные инциденты, организации могут внедрить технологию Device Bound Session Credentials (DBSC), которая защищает пользователей от кражи сессий путем использования криптографических методов для привязки сессий к конкретным устройствам. Это делает невозможным использование украденных файлов cookie на других компьютерах. Система DBSC обеспечивает эффективную защиту от вредоносного ПО на различных устройствах, но она не может остановить атаки, когда вредоносное ПО заражает первоначально зарегистрированное устройство.

4. Нарушение авторизации#

Когда злоумышленники нарушают контроль доступа в приложении, они могут перемещаться по сети без оглядки на свои права доступа. Риск безопасности из-за уязвимостей авторизации остается высоким, поскольку злоумышленники успешно использовали недостаточный контроль доступа для перемещения между компонентами системы во время многочисленных сетевых взломов.

Для выявления уязвимостей IDOR (Insecure Direct Object Reference) разработчики приложений должны использовать концептуальное моделирование угроз для обнаружения базовых структур управления доступом и внедрить процессы проверки кода для проверки разрешений сервисных учетных записей.

Выбор сложных назначений ролей и управления разрешениями вместо модели наименьших привилегий может оставить организации уязвимыми к проблемам авторизации. Сложное назначение ролей может привести к несанкционированному доступу к конфиденциальной информации и функциям в приложениях, ориентированных на клиентов. Организации без безопасной структуры авторизации не могут защитить свои данные от несанкционированного доступа и операций.

С ростом проблем безопасности в секторе B2C одна скомпрометированная учетная запись может нанести значительный ущерб множеству учетных записей пользователей. Внедряя управление привилегированным доступом, организации могут предоставлять своим сотрудникам и клиентам только минимально необходимый доступ для выполнения их работы. Кроме того, регулярное концептуальное моделирование угроз и проверка кода могут помочь легко обнаружить риски и уязвимости.

5. Небезопасные интеграции ИИ#

Быстрая интеграция GenAI и LLM в приложения опередила способность традиционных средств контроля обнаруживать эти изменения, что приводит к невидимым рискам безопасности. Взлом Snowflake в 2024 году демонстрирует, как злоумышленники использовали украденные учетные данные в результате атак вредоносного ПО (infostealer) для проникновения в клиентские среды Snowflake, в которых не была внедрена многофакторная аутентификация. Атака затронула более 165 организаций, среди которых Ticketmaster с 560 млн записей клиентов, а также AT&T и Santander Bank.

Организации часто не признают ИИ основной частью ИТ-среды, оставляя ресурсы ИИ, такие как модели, векторизованные хранилища данных и конвейеры ИИ, уязвимыми для неправильной настройки и кибератак. Большинству организаций сложно эффективно отслеживать системы ИИ из-за «теневого ИИ» (shadow AI), когда неавторизованные лица могут осуществлять атаки на основе учетных данных без внутреннего обнаружения.

Если бы организации применяли к своим системам ИИ базовые средства контроля, такие как проверка ввода, изоляция и постоянный мониторинг, как это делается для другой ИТ-инфраструктуры, этих инцидентов безопасности можно было бы избежать. Организации могут автоматизировать выявление и исправление неправильных конфигураций, используя инструменты безопасности ИИ, которые обеспечивают полную инвентаризацию всех ресурсов ИИ.

6. Неправильная конфигурация облака и среды выполнения#

Неправильные конфигурации в облаке, включая открытые корзины хранилищ, чрезмерно разрешающие группы безопасности и уязвимые контейнеры, могут привести к инцидентам безопасности. Взлом ePallet в 2022 году показал, что неправильно настроенная корзина Amazon S3 может раскрыть конфиденциальные данные клиентов других компаний, использующих их инструмент. Злоумышленники использовали два основных вектора для доступа к конфиденциальной информации: незащищенные корзины хранилищ и группы безопасности с неэффективным контролем доступа.

Базовое сканирование на соответствие требованиям (Compliance Scanning) показывает, что эти атаки происходят из двух основных источников: публично доступных хранилищ с пользовательскими данными и открытых портов виртуального управления. Организации могут рассматривать эти неправильные конфигурации как краткосрочные исправления для соблюдения требований, но большинство из них становятся точками проникновения.

Выявление и исправление неправильных конфигураций должно быть непрерывным процессом за счет постоянного управления состоянием безопасности облака (CSPM) или проверок безопасности среды выполнения, что значительно снижает риск использования уязвимостей злоумышленниками. Организации могут использовать автоматизированные инструменты сканирования и мониторинга для поиска неправильных конфигураций, а платформа мониторинга затем может их исправить.

7. Отсутствие безопасности в SDLC#

Уязвимости попадают в производственный процесс, когда функции безопасности должным образом не интегрированы в процесс разработки программного обеспечения. Неправильно настроенное действие GitHub в конвейере CI/CD криптовалютного стартапа незаметно передавало учетные данные AWS, помогая злоумышленникам добыть криптовалюту на 800 долларов США.

SAST/DAST, безопасная проверка кода и сканирование зависимостей могут выявить распространенные уязвимости безопасности. Они могут варьироваться от инъекционных атак до небезопасной десериализации и небезопасных прямых ссылок на объекты (IDOR), но эти проблемы сохраняются, когда безопасности не уделяется должного внимания.

Интеграция безопасности в жизненный цикл разработки программного обеспечения (SDLC) позволяет разработчикам выявлять и устранять уязвимости, что они могут затем реализовать в своих веб-приложениях перед развертыванием в рабочей среде. Предотвращение этих проблем требует от организаций внедрения трех фундаментальных практик безопасности, включая автоматизированное сканирование, управление зависимостями и безопасную проверку кода.

8. Недостаточный мониторинг и процессы исправления#

Организации продолжают сталкиваться с нарушениями безопасности в основном потому, что они не могут распознать предупреждающие индикаторы и не имеют четко определенных процессов реагирования на аномалии в системе. Они должны постоянно отслеживать свои компьютерные системы и устанавливать четкую процедуру реагирования на нарушения безопасности в соответствии с текущими отраслевыми стандартами в свете взлома Uber в 2022 году. Без всестороннего журналирования событий безопасности организациям сложно отслеживать подстановку учетных данных (credential stuffing), попытки доступа с необычных устройств или аномальные транзакции с токенами.

Организациям сложно обнаруживать попытки аутентификации и входа в систему или регистрировать события регистрации пользователей, поскольку собираемая ими информация не содержит достаточных деталей для раннего выявления злоупотреблений правами безопасности.

Системы организации выявляют и управляют аномальными событиями с помощью телеметрии, ориентированной на конфиденциальность, и автоматизированных алгоритмических процедур реагирования. Возможности ИИ по обнаружению и реагированию помогут организациям выявлять связи между событиями безопасности и предотвращать взломы.

9. Заключение#

Самая неприятная часть изучения взломов MGM, Snowflake, Uber и CircleCI заключается в понимании того, что этих инцидентов можно было избежать. Инциденты стали неизбежными, поскольку в современных технологиях не было необходимых возможностей, которые компании, ориентированные на безопасность, уже использовали для своих систем аутентификации.

Все организации, упомянутые в этом отчете, имели возможность внедрить ключи доступа до того, как их системы были взломаны. Хотя ключи доступа были доступной и зрелой технологией в течение 2022–2024 годов, учетные данные сессии, привязанные к устройству (Device Bound Session Credentials, DBSC), не были широко доступны до 2024 года. Система включала в себя множество средств управления облачной безопасностью, таких как принудительное применение MFA, списки разрешенных сетей, IAM с наименьшими привилегиями и мониторинг. Однако для полной защиты этим средствам требовалась ручная настройка.

Службы безопасности некоторых организаций поддерживали эти меры контроля, но они не смогли преодолеть сопротивление изменениям в масштабах всей компании. В результате произошла утечка личных данных более 600 млн человек, были начаты расследования регулирующих органов, а общие убытки превысили сотни миллионов.

Организации провели исследования, которые показывают, что количество атак на основе учетных данных будет расти ускоренными темпами, поэтому организациям необходимо немедленно заняться этой критической угрозой безопасности. Вашей организации необходимо решить, внедрит ли она современные системы аутентификации до или после того, как другие организации используют ваш сбой в безопасности в качестве примера в своих расследованиях взломов.

Инструменты безопасности приложений существуют, и они работают автоматически с помощью простого процесса, не требующего сложной процедуры установки. Окупаемость инвестиций (ROI) измерима. Сообществу по безопасности не хватает чувства срочности, которое позволило бы ему признать модернизацию аутентификации важным средством контроля безопасности. Организации необходимо немедленно принять меры, потому что следующий звонок в службу поддержки, фишинговое электронное письмо или полезная нагрузка infostealer могут перерасти в инцидент с ущербом в сотни миллионов долларов.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Как во время взлома CircleCI удалось обойти двухфакторную аутентификацию?#

Во время взлома CircleCI в 2022 году вредоносное ПО типа infostealer на ноутбуке сотрудника напрямую похитило активные сессионные файлы cookie. Поскольку сессионные файлы cookie действуют как токены на предъявителя, предоставляющие немедленный доступ, злоумышленники использовали их, чтобы полностью обойти двухфакторную аутентификацию и проникнуть в производственные системы.

В чем разница в плане безопасности между DBSC и стандартными сессионными файлами cookie?#

Стандартные сессионные файлы cookie могут быть украдены вредоносным ПО и повторно использованы с любого устройства в обход средств контроля аутентификации. Технология Device Bound Session Credentials (DBSC) использует криптографические методы для привязки сессии к конкретному устройству, на котором она была создана, поэтому украденные файлы cookie нельзя использовать с машин, контролируемых злоумышленником.

Почему нарушение контроля доступа привело к такому масштабному ущербу при взломе Snowflake?#

Взлом Snowflake затронул более 165 клиентских организаций, поскольку в отдельных средах арендаторов отсутствовало принудительное применение MFA. Это означало, что один набор украденных учетных данных мог разблокировать целые хранилища данных клиентов. В результате только этого пробела в контроле произошла утечка 560 миллионов записей клиентов Ticketmaster.

Какой сбой в безопасности SDLC привел к инциденту с майнингом криптовалюты через GitHub Actions?#

Неправильно настроенный рабочий процесс GitHub Actions в конвейере CI/CD криптовалютного стартапа незаметно передавал учетные данные AWS злоумышленникам, которые использовали их для майнинга криптовалюты на сумму 800 долларов США. В статье определены автоматизированное сканирование SAST/DAST, управление зависимостями и безопасная проверка кода как три практики, которые позволили бы выявить эту неправильную настройку до развертывания в рабочей среде.