Se há algo que todas as grandes plataformas SaaS compartilham, é o foco em simplificar a vida de seus usuários finais. Remover o atrito para os usuários de maneira segura é a missão dos provedores de logon único (SSO).
Com o SSO no comando, os usuários não precisam se lembrar de senhas separadas para cada aplicativo ou ocultar as cópias digitais das credenciais à vista de todos.
O SSO também libera a largura de banda de TI de lidar com solicitações recorrentes de redefinição de senha, melhorando a produtividade de todos em sua organização. No entanto, também existe um nível de risco que vem com o recurso SSO.
Riscos envolvidos no SSO
Embora o SSO facilite muito a facilidade de acesso, ele também traz algum risco iminente. O SSO é um bom habilitador de eficiência, mas não a solução de segurança final com suas próprias falhas que permitem o bypass.
Há uma classe específica de vulnerabilidade que especialistas detectaram em vários serviços SSO. Descobriram que a vulnerabilidade afetou especificamente as implementações de SAML (Security Assertion Markup Language).
“A falha pode permitir que um invasor modifique as respostas SAML geradas por um provedor de identidade e, assim, obtenha acesso não autorizado a contas de usuário arbitrárias ou aumente os privilégios dentro de um aplicativo”, descreve os especialistas.
Alguns pesquisadores de segurança em 2019 também os perigos associados às vulnerabilidades de SSO no mecanismo de autenticação da Microsoft. As vulnerabilidades permitem que atores mal-intencionados executem uma negação de serviço ou se façam passar por outro usuário para explorar seus privilégios de usuário. A Microsoft corrigiu a vulnerabilidade na autenticação SSO em julho do mesmo ano.
Há também o aumento preocupante de ataques de controle de conta (ATO) em que o mau ator é capaz de contornar o SSO. De acordo com a gigante de classificação de crédito Experian (que conhece ataques de fraude prejudiciais), 57% das organizações afirmam ter sido vítimas de ATOs ao longo de 2020.
SSO, MFA, IAM!
Por design, o SSO não oferece 100% de proteção. Além disso, muitas organizações permitirão a autenticação multifator (MFA) e, no entanto, ainda há casos em que todas essas medidas preventivas podem falhar. Aqui está um cenário comum:
Superadministradores – os usuários mais poderosos na postura de segurança SaaS – costumam ignorar os parâmetros SSO e IAM sem problemas. Essa capacidade pode ser contornada por vários motivos, decorrentes do esforço para facilitar o acesso e a conveniência ou necessidade. Em uma situação de interrupção do IdP, para certas plataformas SaaS, os superadministradores se autenticam diretamente na plataforma para garantir a conectividade. Em qualquer caso, existem protocolos legados que permitem que os administradores contornem seu uso obrigatório.
Proteção contra falhas de SSO
As ferramentas SSO por si só não são suficientes para proteger contra entradas não autorizadas no estado de SaaS de uma organização. Existem certas etapas que você pode seguir para evitar os riscos apresentados pelo SSO.
Execute uma auditoria e identifique usuários e plataformas que podem ignorar o SSO e implantar MFA específico do aplicativo para garantir políticas de senha configuradas adequadas para os usuários.
Identifique os protocolos de autenticação herdados que não oferecem suporte a MFA e que estão em uso, como IMAP e POP3 para clientes de e-mail.
Em seguida, reduza o número de usuários que usam esses protocolos e crie um segundo fator, como um conjunto específico de dispositivos que podem usar esses protocolos legados.
Revise os indicadores exclusivos de comprometimento, como regras de encaminhamento configuradas em aplicativos de e-mail, ações em massa, etc. Esses indicadores podem ser diferentes entre as plataformas SaaS e, portanto, requerem conhecimento íntimo de cada plataforma.
REFERÊNCIAS:
https://thehackernews.com/2021/05/is-single-sign-on-enough-to-secure-your.html
https://techbeacon.com/security/single-sign-still-open-attack-inside-look