Desde los roles de los administradores desfavorecidos hasta los tokens de proveedores olvidados hace mucho tiempo, estos atacantes han pasado por las grietas de la confianza y el acceso. Así es como se desarrollaron las cinco violaciones minoristas y lo que revelaron …
En los últimos meses, se han violado los principales minoristas como Adidas, North Face, Dior, Secrets of Victoria, Cartier, Marks & Spencer y COPP. Estos ataques no fueron malware sofisticado o exploits de día cero. Utilizaron acceso de identidad, sin privilegios, cuentas de servicio no supervisadas y utilizaron la capa humana a través de tácticas como la ingeniería social.
El atacante no tuvo que entrar. Se han iniciado sesión. A menudo movían aplicaciones SaaS sin darse cuenta, usando credenciales reales y sesiones legítimas.
Y aunque la mayoría de los minoristas no compartían todos los detalles técnicos, los patrones son claros y repetitivos.
Este es un desglose de cinco infracciones famosas recientes en el comercio minorista.
1. Adidas: abuso de confianza de terceros
Adidas ha identificado una violación de datos causadas por ataques a proveedores de servicio al cliente de terceros. La compañía dijo que los datos del cliente se han hecho públicos, incluido su nombre, dirección de correo electrónico y detalles del pedido. No hay malware. No hay violaciones de su parte. Solo el radio de explosión del proveedor en el que confiaban.
Cómo se desarrollan estos ataques en la identidad de SaaS:
Las tokens SaaAs y las cuentas de servicio, condenadas a proveedores, a menudo no requieren un MFA, no caducan y vuelan bajo el radar. Cuando el acceso ya no es necesario, pero se da de baja, se convierte en un punto de entrada silencioso y es el más adecuado para comprometer las cadenas de suministro mapeadas tácticas como T1195.002, dando a los atacantes una manera sin causar alarmas.
Takeout de seguridad:
No se trata solo de proteger a los usuarios. También nos aseguramos de que los proveedores tengan acceso a ello. La integración de SaaS se ha quedado más tiempo que el contrato real, y los atacantes saben exactamente dónde mirar.
2. La cara norte: desde la reutilización de la contraseña hasta los privilegios de abuso
North Face ha visto un ataque de embalaje de credenciales (Mitre T1110.004) en el que los actores de amenaza acceden a las cuentas de los clientes utilizando credenciales filtradas (nombre de usuario y contraseña). No hay malware, phishing, higiene de identidad débil o MFA. Una vez dentro, ampliaron sus datos personales y revelaron una gran brecha en el control básico de identidad.
Cómo se desarrollan estos ataques en la identidad de SaaS:
Los inicios de sesión de SaaS sin MFA todavía están en todas partes. Una vez que un atacante tiene credenciales válidas, él o ella tiene acceso a la cuenta directa y silenciosamente. No es necesario activar la protección del punto final o aumentar las alertas.
Takeout de seguridad:
Los rellenos de calificación no son nuevos. Esta fue la cuarta violación basada en la calificación en North Face desde 2020. Cada uno nos recuerda que reutilizar contraseñas sin MFA es una puerta abierta. Y aunque muchas organizaciones implementan MFA para empleados, cuentas de servicio y roles privilegiados, a menudo no están garantizadas. Los atacantes lo saben y van donde hay una brecha.
¿Quieres profundizar? Descargue la Guía de seguridad de identidad SaaS para aprender a proteger activamente todas las identidades humanas o no humanas en la pila SaaS.
3. M & S & Co-OP: Violado por Tomawed Trust
Según los informes, los minoristas británicos Marks & Spencer y las cooperativas fueron atacados por las arañas dispersas de amenazas conocidas por sus ataques basados en la identidad. Los informes dicen que utilizaron el intercambio de SIM y la ingeniería social para hacerse pasar por los empleados, y lo engañaron, restableciendo sus contraseñas y MFA, evitando efectivamente los MFA sin malware o phishing.
Cómo se desarrollan estos ataques en la identidad de SaaS:
Cuando un atacante pasa por alto el MFA, se dirige al rol de SaaS desfavorecido o las cuentas de servicio latentes para moverse lateralmente dentro del sistema de la organización, cosechar datos confidenciales o destruir operaciones en el camino. Sus acciones se combinan con el comportamiento legítimo del usuario (T1078) y usan restos de contraseña impulsados por suplantación de suministros de ayuda (T1556.003) para ganar persistencia y control en silencio sin aumentar las alarmas.
Takeout de seguridad:
Hay una razón por la cual los ataques de identidad primero se están extendiendo. Explotan lo que ya es confiable y a menudo no dejan huella de malware. Para reducir el riesgo, rastrear el comportamiento de identidad SaaS, incluidas las actividades humanas y no humanas, y limite los privilegios de la mesa de ayuda a través de políticas de aislamiento y escalada. La capacitación objetivo del personal de apoyo también puede bloquear la ingeniería social antes de que suceda.
4. Victoria’s Secret: cuando los administradores de SaaS no son revisados
Victoria’s Secret ha retrasado la liberación de ingresos después de que un incidente cibernético interrumpió tanto el comercio electrónico como los sistemas en la tienda. Aunque se revelan pocos detalles, el impacto es consistente con los escenarios que involucran la destrucción interna a través de sistemas SaaS que administran operaciones minoristas como inventario, procesamiento de pedidos y herramientas analíticas.
Cómo se desarrollan estos ataques en la identidad de SaaS:
El riesgo real no es solo una violación de sus credenciales. Es un poder no identificado del papel de los SaaS desfavorecidos. Si se secuestra a un administrador incomprendido o un token viejo (T1078.004), el atacante no necesita malware. Desde la gestión de inventario hasta el procesamiento de pedidos, todo se puede interrumpir dentro del nivel SaaS. No hay puntos finales. Destrucción masiva (T1485).
Takeout de seguridad:
El papel de SaaS es fuerte y a menudo olvidado. Una sola identidad desfavorecida con acceso a aplicaciones comerciales críticas puede causar caos, y se hace importante aplicar controles de acceso estrictos y vigilancia continua a estas identidades impactantes antes de que sea demasiado tarde.
5. Cartier & Dior: el costo oculto de la atención al cliente
Cartier y Dior revelaron que el atacante accedió a la información del cliente a través de CRM o plataformas de terceros utilizadas para las funciones de servicio al cliente. Estos no fueron hacks de infraestructura. Los estaban violando a través de una plataforma para ayudarlos, en lugar de revelarlos.
Cómo se desarrollan estos ataques en la identidad de SaaS:
En muchos casos, las plataformas de atención al cliente se basan en SaaS, con tokens persistentes y claves API que se conectan silenciosamente al sistema interno. Estas identidades no humanas (T1550.003) rara vez giran, y a menudo las convierten en una victoria fácil para los atacantes que escapan de IAM centralizado y se dirigen a los datos de los clientes a escala.
Takeout de seguridad:
Cuando las plataformas SaaS tocan los datos del cliente, es parte de la superficie de ataque. Y si no rastrea cómo se accede a la identidad de su máquina, no protege la línea delantera.
Pensamiento final: su identidad SaaS es invisible. Simplemente no están siendo monitoreados.
La identidad de SaaS es invisible. Simplemente no están siendo monitoreados. Estas violaciones no requirieron hazañas llamativas. Necesitaban confianza fuera de lugar, credenciales reutilizadas, integraciones sin control o cuentas que nadie revisó.
El equipo de seguridad bloqueó los puntos finales y fortaleció los inicios de sesión de SaaS, pero la brecha real se encuentra en sus roles SaaS ocultos, tokens latentes y la mesa de ayuda que se pasa por alto. Si estos todavía están volando bajo el radar, la violación ya está en una ventaja.
Wing Security fue construido para esto.
La plataforma de múltiples capas de Wing protege continuamente las pilas SaaS, descubre puntos ciegos, endurece las configuraciones y detecta las amenazas de identidad SaaS antes de crecer.
Esta es una fuente de verdad que conecta puntos de aplicaciones, identidad y riesgo, por lo que puede detenerla antes de poder superar el ruido y comenzar una violación.
Obtenga una demostración de seguridad del ala para ver lo que está oculto en la capa de identidad SaaS.
Source link
