No se necesitan empleados fraudulentos para sufrir violaciones.
Todo lo que necesita es una prueba gratuita en la que alguien se olvide de cancelar. Un tomador de memo impulsado por IA que se sincroniza silenciosamente con Google Drive. Una cuenta personal de Gmail vinculada a las herramientas críticas de negocios. Es una sombra. Y hoy no se trata solo de aplicaciones no autorizadas, sino también de cuentas inactivas, identidades no administradas, herramientas SaaS demasiado permitidas y acceso huérfano. La mayoría de ellos se deslizan incluso a través de las soluciones de seguridad más maduras.
¿Crees que tu CASB o IDP cubren esto? que no es.
No fueron construidos para atrapar lo que estaba sucediendo dentro de SaaS: aplicaciones creadas directamente en plataformas como OAuth Sprawl, ShadowDmins, Genai Access o Google Workspace o Slack. Shadow Ya no es una cuestión de visibilidad: es una superficie de ataque de pleno derecho.
La seguridad del ala ayuda a los equipos de seguridad a identificar estos riesgos antes de convertirse en incidentes.
Aquí hay cinco ejemplos reales de sombras que pueden hacer que sus datos sangren suavemente.
1. Acceso inactivo que no puedes ver, a su atacante le encanta explotar
Riesgo: los empleados se registran en la herramienta utilizando solo nombre de usuario y contraseña, sin SSO o visibilidad centralizada. Con el tiempo, dejan de usar la aplicación, pero el acceso permanece y, lo que es peor, no se gestiona. Impacto: estas cuentas zombies se convierten en puntos de entrada invisibles para su entorno. No puede realizar MFA al fuera de borde, monitorear el uso o revocar el acceso. Ejemplo: CISA y la Agencia Cibernética Global emitieron una advertencia conjunta de asesoramiento en 2024 de que el grupo ruso patrocinado por el estado APT29 (parte de SVR) puede dirigirse activamente a cuentas inactivas para acceder a los sistemas corporativos y gubernamentales. Estas cuentas a menudo sirven como andamios ideales, ya que no son conscientes, carecen de MFA y son mucho más fáciles de acceder, ya que ya no las usan.
2. Generar AI lee en silencio correos electrónicos, archivos y estrategias
Riesgo: las aplicaciones SaaS con Generator AI generalmente requieren permisos de OAuth extensos con acceso completo a las bandejas de entrada de lectura, archivos, calendarios y chat. Impacto: estas aplicaciones SaaS permiten que terceros con retención de datos desconocida y políticas de capacitación de modelos tengan más acceso del necesario, lo que permite más acceso del necesario. Una vez que se otorga el acceso, no hay forma de monitorear cómo se almacenan los datos, la OMS o el proveedor tienen acceso interno, o qué sucede cuando el acceso es incorrecto, o cuando el acceso es incorrecto. Ejemplo: en 2024, los archivos de entrenamiento LLM internos de Deepseek Exposse incorrectamente que contienen datos confidenciales debido a cubos de almacenamiento mal entendidos, destacando el riesgo de dar a las herramientas de Genai de terceros un acceso amplio sin vigilancia de seguridad de datos.
3. El ex empleado todavía tiene acceso al administrador.
Riesgo: cuando los empleados viajan en nuevas herramientas SaaS (especialmente fuera de IDP), a menudo son los únicos gerentes. Incluso después de que abandonen la empresa, su acceso permanece. Impacto: estas cuentas tienen acceso persistente y privilegiado a herramientas, archivos o entornos corporativos, representan un riesgo interno a largo plazo. Un ejemplo de la vida real: un contratista estableció una aplicación de seguimiento de tiempo y la vinculó al sistema de recursos humanos de la compañía. Unos meses después de que terminó el contrato, todavía tenían acceso administrativo a los registros de empleados.
Vea qué alas se revelan en el entorno SaaS. Hable con un experto en seguridad y obtenga una demostración.
4. Aplicaciones críticas de negocios vinculadas a cuentas personales que no controla
Riesgo: los empleados pueden suscribirse a aplicaciones comerciales como Figma, conceptos e incluso Google Drive utilizando su Gmail personal, ID de Apple u otras cuentas no administradas. Impacto: estas cuentas existen completamente fuera de la visibilidad. Si se comprometen, no puede revocar el acceso o hacer cumplir las políticas de seguridad. Ejemplo: en la violación de atención al cliente de 2023 OKTA, los piratas informáticos usaron mal las cuentas de servicio sin un MFA que tiene acceso al sistema de soporte de Okta. La cuenta era activa, sin supervisión y no vinculada a ninguna persona en particular. Incluso las empresas con sistemas de identidad maduros pueden perder estos puntos ciegos.
5. Sombreros con aplicación y conexión de aplicación a Crown Jewel
Riesgo: los empleados conectan aplicaciones SaaS no autorizadas directamente a plataformas de confianza como Google Workspace, Salesforce y Slack. Las conexiones de aplicaciones de estas aplicaciones a menudo requieren un amplio acceso de API y permanecen activos después de su uso. Impacto: estas integraciones crean vías ocultas a los sistemas críticos. Si está comprometido, permite el movimiento lateral, permitiendo a los atacantes pivotar en la aplicación, eliminar los datos y mantener la persistencia sin desencadenar alertas tradicionales. Ejemplo: el gerente de productos ha conectado herramientas de hoja de ruta con Jira y Google Drive. La integración solicitó un acceso generalizado, pero fue olvidado después de que se terminó el proyecto. Cuando el proveedor se comprometió más tarde, el atacante utilizó una conexión prolongada para extraer archivos de la unidad, pivotar a Jira y acceder a las credenciales internas y las rutas de escalada. Este tipo de movimiento lateral se vio en Midnight Blizzard durante el informe de Microsoft 2024. Allí, los atacantes aprovecharon la aplicación Legacy OAuth con acceso de buzón para hacer detección de evasión y mantener el acceso persistente a los sistemas internos.
¿Qué estás haciendo al respecto?
Shadow No es solo un problema de gobernanza, es una brecha de seguridad real. Y cuanto más tiempo lo note, mayor será el riesgo y más expuesto es el entorno SaaS.
Wing Security utiliza agentes o proxy para descubrir automáticamente aplicaciones SaaS, usuarios e integraciones que asignan identidades, permisos y estado de MFA humanos y no humanos. Una vez que se conoce lo desconocido, el ala ofrece seguridad SaaS de múltiples capas en una plataforma, combinando conceptos erróneos, amenazas de identidad y SaaS en una sola fuente de verdad. Al correlacionar los eventos en las aplicaciones y la identidad, las alas cortan el ruido, priorizan lo que es importante, lo que permite la seguridad proactiva y continua.
Antes de que los piratas informáticos lo hagan, tomen una demostración para controlar su entorno SaaS.
Source link
