Netskope debuta como Líder en el Cuadrante Mágico™ de Gartner® para Single-Vendor Secure Access Service Edge Obtenga el informe

cerrar
cerrar
  • Por qué Netskope chevron

    Cambiar la forma en que las redes y la seguridad trabajan juntas.

  • Nuestros clientes chevron

    Netskope atiende a más de 3.400 clientes en todo el mundo, incluidos más de 30 de las 100 empresas más importantes de Fortune

  • Nuestros Partners chevron

    Nos asociamos con líderes en seguridad para ayudarlo a asegurar su viaje a la nube.

Un Líder en SSE.
Y ahora Líder en SASE Single-Vendor.

Descubre por qué Netskope debutó como Líder en el Cuadrante Mágico de Gartner® 2024 para Secure Access Service Edge (SASE) de Proveedor Único.

Obtenga el informe
Visionarios del cliente en primer plano

Read how innovative customers are successfully navigating today’s changing networking & security landscape through the Netskope One platform.

Obtenga el eBook
Visionarios del cliente en primer plano
La estrategia de venta centrada en el partner de Netskope permite a nuestros canales maximizar su expansión y rentabilidad y, al mismo tiempo, transformar la seguridad de su empresa.

Más información sobre los socios de Netskope
Group of diverse young professionals smiling
Tu red del mañana

Planifique su camino hacia una red más rápida, más segura y más resistente diseñada para las aplicaciones y los usuarios a los que da soporte.

Obtenga el whitepaper
Tu red del mañana
Presentamos la Netskope One Plataforma

Netskope One es una Plataforma nativa en la nube que ofrece servicios convergentes de seguridad y redes para hacer posible su transformación SASE y de confianza cero.

Más información sobre Netskope One
Abstracto con iluminación azul
Adopte una arquitectura de borde de servicio de acceso seguro (SASE)

Netskope NewEdge es la nube privada de seguridad más grande y de mayor rendimiento del mundo y ofrece a los clientes una cobertura de servicio, un rendimiento y una resiliencia incomparables.

Más información sobre NewEdge
NewEdge
Netskope Cloud Exchange

Cloud Exchange (CE) de Netskope ofrece a sus clientes herramientas de integración eficaces para que saquen partido a su inversión en estrategias de seguridad.

Más información sobre Cloud Exchange
Vídeo de Netskope
  • Servicio de seguridad Productos Edge chevron

    Protéjase contra las amenazas avanzadas y en la nube y salvaguarde los datos en todos los vectores.

  • Borderless SD-WAN chevron

    Proporcione con confianza un acceso seguro y de alto rendimiento a cada usuario remoto, dispositivo, sitio y nube.

  • Secure Access Service Edge chevron

    Netskope One SASE proporciona una solución SASE nativa en la nube, totalmente convergente y de un único proveedor.

La plataforma del futuro es Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) y Private Access for ZTNA integrados de forma nativa en una única solución para ayudar a todas las empresas en su camino hacia el Servicio de acceso seguro Arquitectura perimetral (SASE).

Todos los productos
Vídeo de Netskope
Next Gen SASE Branch es híbrida: conectada, segura y automatizada

Netskope Next Gen SASE Branch converge Context-Aware SASE Fabric, Zero-Trust Hybrid Security y SkopeAI-Powered Cloud Orchestrator en una oferta de nube unificada, marcando el comienzo de una experiencia de sucursal completamente modernizada para la empresa sin fronteras.

Obtenga más información sobre Next Gen SASE Branch
Personas en la oficina de espacios abiertos.
Diseño de una arquitectura SASE para Dummies

Obtenga un ejemplar gratuito del único manual que necesitará sobre diseño de una arquitectura SASE.

Obtenga el eBook
Cambie a los servicios de seguridad en la nube líderes del mercado con una latencia mínima y una alta fiabilidad.

Más información sobre NewEdge
Lighted highway through mountainside switchbacks
Habilite de forma segura el uso de aplicaciones de IA generativa con control de acceso a aplicaciones, capacitación de usuarios en tiempo real y la mejor protección de datos de su clase.

Descubra cómo aseguramos el uso generativo de IA
Habilite de forma segura ChatGPT y IA generativa
Soluciones de confianza cero para implementaciones de SSE y SASE

Más información sobre Confianza Cero
Boat driving through open sea
Netskope logra la alta autorización FedRAMP

Elija Netskope GovCloud para acelerar la transformación de su agencia.

Más información sobre Netskope GovCloud
Netskope GovCloud
  • Recursos chevron

    Obtenga más información sobre cómo Netskope puede ayudarle a proteger su viaje hacia la nube.

  • Blog chevron

    Descubra cómo Netskope permite la transformación de la seguridad y las redes a través del borde de servicio de seguridad (SSE)

  • Eventos y Talleres chevron

    Manténgase a la vanguardia de las últimas tendencias de seguridad y conéctese con sus pares.

  • Seguridad definida chevron

    Todo lo que necesitas saber en nuestra enciclopedia de ciberseguridad.

Podcast Security Visionaries

La convergencia de los roles de CIO y CISO
Únase al presentador Max Havey en el último episodio de Security Visionaries mientras se sienta con la invitada Jadee Hanson, CISO de Vanta.

Reproducir el pódcast
La convergencia de los roles de CIO y CISO
Últimos blogs

Lea cómo Netskope puede hacer posible el viaje hacia la Confianza Cero y SASE a través de las capacidades del borde de servicio de seguridad (SSE).

Lea el blog
Sunrise and cloudy sky
SASE Week 2023: ¡Su viaje SASE comienza ahora!

Sesiones de repetición de la cuarta SASE Week.

Explorar sesiones
SASE Week 2023
¿Qué es SASE?

Infórmese sobre la futura convergencia de las herramientas de red y seguridad en el modelo de negocio actual de la nube.

Conozca el SASE
  • Empresa chevron

    Le ayudamos a mantenerse a la vanguardia de los desafíos de seguridad de la nube, los datos y la red.

  • Liderazgo chevron

    Nuestro equipo de liderazgo está firmemente comprometido a hacer todo lo necesario para que nuestros clientes tengan éxito.

  • Soluciones para clientes chevron

    Le apoyamos en cada paso del camino, garantizando su éxito con Netskope.

  • Formación y certificación chevron

    La formación de Netskope le ayudará a convertirse en un experto en seguridad en la nube.

Apoyar la sostenibilidad a través de la seguridad de los datos

Netskope se enorgullece de participar en Vision 2045: una iniciativa destinada a crear conciencia sobre el papel de la industria privada en la sostenibilidad.

Descubra más
Apoyando la sustentabilidad a través de la seguridad de los datos
Pensadores, constructores, soñadores, innovadores. Juntos, ofrecemos soluciones de seguridad en la nube de vanguardia para ayudar a nuestros clientes a proteger sus datos y usuarios.

Conozca a nuestro equipo
Group of hikers scaling a snowy mountain
El talentoso y experimentado equipo de servicios profesionales de Netskope proporciona un enfoque prescriptivo para su exitosa implementación.

Más información sobre servicios profesionales
Servicios profesionales de Netskope
Asegure su viaje de transformación digital y aproveche al máximo sus aplicaciones en la nube, web y privadas con la capacitación de Netskope.

Infórmese sobre Capacitaciones y Certificaciones
Group of young professionals working

Defensa frente a ataques basados en aplicaciones OAuth en el SaaS corporativo

Feb 13 2024
By Dev CK

El fenomenal crecimiento en la adopción del software como servicio (SaaS) ha llevado a empresas de todos los tamaños a trasladar sus datos críticos a aplicaciones basadas en SaaS. Y como los atacantes tienden a seguir los datos para provocar una violación de seguridad, su nueva área de interés es el SaaS corporativo. El reciente ataque Midnight Blizzard por parte de actores de estados nación refuerza claramente el hecho de que esta tendencia no ha hecho más que empezar.

Un aspecto interesante de este ataque, así como de otros ataques recientes a SaaS, es que los atacantes aprovecharon una combinación de vectores de ataque tradicionales, como controles de postura deficientes en torno a la autenticación, y nuevos vectores de ataque, como aplicaciones basadas en OAuth. Vale la pena mencionar que este vector de ataque también ha sido aprovechado recientemente por los actores oportunistas de amenazas para automatizar tanto los ataques de compromiso de correo electrónico empresarial (BEC) como los ataques de phishing, así como para enviar spam y desplegar máquinas virtuales (VM) para la minería de criptomonedas.Esto subraya el hecho de que los ataques a aplicaciones SaaS no son exclusivos de grupos patrocinados por estados.  

Anatomía de un ataque OAuth a aplicaciones SaaS

Profundicemos en algunas de las tácticas que los atacantes parecen haber utilizado en este ataque:

  1. Acceso inicial mediante pulverización de contraseñas en cuentas de prueba de inquilinos.
  2. Evasión de la defensa mediante el uso de proxies residenciales distribuidos además de limitar el número de intentos para pasar desapercibidos de los sistemas que vigilan el volumen de estos intentos de evasión de la defensa.
  3. Persistencia mediante la concesión de acceso a las aplicaciones OAuth para mantener el acceso, incluso si perdieran el acceso a la cuenta utilizada durante el acceso inicial.
  4. Escalada de privilegios utilizando la aplicación OAuth para conceder acceso elevado al entorno corporativo de Microsoft.
  5. Movimiento lateral a través del acceso elevado de la aplicación OAuth hacia Exchange Online.

Aunque las tácticas siguen siendo muy similares a las del marco clásico de MITRE, las técnicas utilizadas para perpetrar el ataque han evolucionado lo suficiente como para explotar la nueva superficie de ataque que dejan abierta las aplicaciones OAuth.

Las aplicaciones OAuth son el nuevo punto ciego

Para un usuario final que busca hacer las cosas de la manera más fácil y eficaz, las aplicaciones OAuth son una gran bendición porque permiten a los usuarios interconectar o integrar sus aplicaciones y datos muy fácilmente desde dentro de la aplicación SaaS que están utilizando, simplemente poniendo unos pocos comandos. Digamos, por ejemplo, que estás trabajando en Slack y quieres conectarte a Google Drive para obtener datos específicos. La aplicación OAuth para Slack te permitirá aprobar el acceso a tu Google Drive, a través de un token OAuth y utilizando tus credenciales para recopilar esos datos específicos de tu interés. 

Ya no tendrás que iniciar sesión en Google Drive y que se te solicite la autenticación multifactor (MFA) cuando puedes obtener fácilmente los datos de él directamente desde tu aplicación de mensajería Slack.

De forma similar al ejemplo de Slack y Google Drive comentado anteriormente, las aplicaciones OAuth también te permiten conectar tu calendario, cuenta de gestión de RRHH, plataforma DevOps, cuenta de nóminas y otras cuentas a varias otras aplicaciones SaaS.

Sin embargo, con la belleza viene el peligro y con la facilidad, los riesgos.

La fácil incorporación de aplicaciones OAuth sin comprobaciones de seguridad es uno de esos riesgos. Estas aplicaciones pueden ser aprovisionadas por cualquier usuario final con un solo clic. Ahora, con los miles de aplicaciones OAuth disponibles en los almacenes de aplicaciones públicos, sólo puede imaginarse cómo la facilidad de aprovisionamiento aumenta exponencialmente el riesgo, a menos que los administradores de SaaS establezcan controles más estrictos. 

Otro riesgo proviene de la facilidad con que los usuarios crean aplicaciones OAuth personalizadas/internas utilizando los marcos de trabajo de poco/ningún código que ofrecen la mayoría de las aplicaciones SaaS. Estos marcos de trabajo proporcionan un mecanismo para la ejecución de código y la persistencia por parte de los actores maliciosos, si las cuentas se ven comprometidas de forma similar a lo que se vio en el ataque de Midnight Blizzard. Dado que la mayoría de las organizaciones no tienen ningún proceso de investigación o revisión en torno a las aplicaciones OAuth internas, los riesgos se agravan aún más. También hay que tener en cuenta la falta de visibilidad y control sobre las transacciones de los usuarios y, por consiguiente, la filtración de datos más allá de los perímetros que se controlan. 

Hay algunos riesgos adicionales que deben controlarse cuando se utilizan tokens OAuth en aplicaciones protegidas por autenticación multifactor (MFA). El primero surge porque, como tokens temporales, los tokens OAuth están diseñados para su uso después de la autenticación y, por lo tanto, no requieren una nueva autenticación, lo que permite a los actores maliciosos eludir la MFA una vez que obtienen el acceso inicial. El otro riesgo de los tokens OAuth es que, aunque se basan en un diseño de token temporal, a menudo se pueden refrescar indefinidamente en la mayoría de las implementaciones, lo que da a los actores maliciosos acceso persistente.

Por último, uno de los principales factores de riesgo es la falta de experiencia del equipo de administración de SaaS para hacer frente a los problemas de seguridad derivados del uso de aplicaciones OAuth. La mayoría de los administradores de SaaS no son conscientes de los riesgos de las aplicaciones OAuth o no tienen una forma sencilla de examinar la aplicación antes de aprobarla.

Cómo defenderse de los ataques basados en aplicaciones OAuth

Para ayudarle a anticiparse a este tipo de ataques es muy importante educar y colaborar con sus administradores de aplicaciones SaaS, supervisar de cerca la postura de sus aplicaciones SaaS, realizar perfiles de riesgo de las aplicaciones OAuth en tiempo real y cortar todas las puertas y ventanas inseguras e innecesarias que existen en las aplicaciones de Microsoft.

Éstas son las principales técnicas de refuerzo del sistema aplicadas por una buena solución de gestión de la postura de seguridad SaaS (SSPM) que pueden ayudarle a proteger sus aplicaciones SaaS de Microsoft.

Echemos un vistazo a las técnicas en detalle:

  1. Acceso inicial::
    1. Asegúrese de que se le notifica cuando se desactivan las alertas de MFA y de configuración.
    2. Bloquee la autenticación tradicional.
    3. Asegúrese de que las contraseñas se aplican en los dispositivos móviles. 
    4. Imponga la complejidad, rotación y caducidad de las contraseñas.
  2. Evasión de defensas:
    1. Asegúrese de que los registros de auditoría de Microsoft 365 estén habilitados y supervisados para ayudar a los equipos de Office 365 a investigar las actividades en busca de anomalías y para operaciones de seguridad rutinarias o con fines forenses.
    2. Asegúrese de que Microsoft Defender for Cloud Apps proporcione recopiladores de registros de log que recopilen y carguen automáticamente los registros y, a continuación, realicen la detección de anomalías en los datos de registro de logs recopilados.
    3. Habilite la política de archivos adjuntos seguros en la protección avanzada frente a amenazas de modo que amplíe las protecciones contra malware, como el enrutamiento de todos los mensajes y archivos adjuntos sin una firma de malware conocida a un entorno de hipervisor especial. En ese entorno, se realiza un análisis de comportamiento utilizando una variedad de técnicas de aprendizaje automático y análisis para detectar intenciones maliciosas.
    4. Restrinja la sincronización de contenido en sus aplicaciones Microsoft y ponga en la lista blanca el identificador único global (GUID) de su dominio para garantizar que solo los dispositivos unidos al dominio y aprobados puedan sincronizar datos en las aplicaciones y dispositivos de Microsoft para reducir el riesgo de fugas de datos.
    5. Active la protección avanzada frente a amenazas (ATP) para SharePoint, OneDrive y Microsoft Teams para protegerse frente al uso compartido involuntario de archivos maliciosos. Cuando se detecta un archivo infectado, ese archivo se bloquea para que nadie pueda abrirlo, copiarlo, moverlo o compartirlo hasta que el departamento de seguridad de la organización tome medidas adicionales.
    6. Asegúrese de que todos los dispositivos están configurados para cumplir con las políticas de cumplimiento de dispositivos que estén bien concebidas.
  1. Persistencia:
    1. Asegúrese de que los usuarios no puedan instalar complementos de Microsoft Outlook, ya que los atacantes suelen utilizar complementos vulnerables y personalizados para acceder a los datos de las aplicaciones de los usuarios. Aunque permitir que los usuarios se autoinstalen complementos les permite adquirir fácilmente funciones complementarias útiles que se integran con las aplicaciones de Microsoft, esta acción del usuario puede crear riesgos para usted, si no se supervisa con cuidado. Al deshabilitar la capacidad de un usuario para instalar complementos en Microsoft Outlook, se reduce la superficie de amenaza y se mitigan los riesgos.
    2. Asegúrese de que todas las aplicaciones OAuth instaladas tengan una puntuación de riesgo en tiempo real calculada por Netskope que esté por debajo del nivel de gravedad “Alto”.
    3. Asegúrese de que las aplicaciones OAuth no tienen demasiados privilegios para permitir la suplantación de cualquier usuario.
    4. Restringir la creación o registro de nuevas aplicaciones deshabilitando el permiso para hacerlo para todos los usuarios dentro del inquilino.
    5. Educar a los administradores de aplicaciones SaaS sobre los riesgos de las aplicaciones OAuth y proporcionarles una base de datos de fácil referencia para dichas aplicaciones.
  2. Escalada de privilegios:
    1. Para reducir el riesgo de que aplicaciones maliciosas engañen a los usuarios para que les concedan acceso a los datos de su organización, se recomienda permitir el consentimiento del usuario sólo para aplicaciones que hayan sido publicadas por un fabricante desarrollador verificado o dejar que el administrador conceda los permisos.
    2. No permita que los usuarios den su consentimiento a las aplicaciones.
    3. Deshabilite la capacidad de modificar las asignaciones de roles de aplicaciones en aplicaciones OAuth para garantizar que la aplicación no dé a los usuarios o a las aplicaciones SaaS acceso a recursos a los que no deberían tener acceso.
    4. Los administradores limitados son usuarios que tienen más privilegios que los usuarios estándar, pero no tantos como los administradores globales. Aprovechar los roles de administrador limitado para realizar el trabajo administrativo necesario reduce el número de poseedores de roles de administrador global de alto valor y alto impacto que tiene. Asignar a los usuarios roles como administrador de contraseñas o administrador de Exchange Online, en lugar de administrador global, reduce la probabilidad de que una cuenta privilegiada de administrador global sea vulnerada.
    5. Deshabilite la ejecución de secuencias de comandos (scripts) personalizadas para evitar que el contenido se cargue en SharePoint para la posible ejecución de código malicioso, que puede dar lugar a una amplia gama de problemas de seguridad.
  1. Movimiento lateral y filtración de datos:
    1. Asegúrese de que la autenticación básica para Exchange Online está desactivada mientras que la autenticación moderna para Exchange Online está activada.
    2. Bloquee las reglas del lado del cliente que reenvían automáticamente el correo electrónico a dominios externos. El uso de reglas de reenvío del lado del cliente para filtrar datos a destinatarios externos es un vector cada vez más utilizado para la filtración de datos por parte de actores maliciosos.
    3. Asegúrese de que existe una política de firma DKIM (DomainKeys Identified Mail o correo identificado con claves de dominio).
    4. Asegúrese de que existen políticas de filtrado de spam y malware saliente junto con políticas de autenticación fuerte, buzón web y antiphishing.
    5. Asegúrese de que se publican los registros DMARC (Domain-based Message Authentication, Reporting, and Conformance o autenticación, notificación y conformidad de mensajes basados en dominio) para todos los dominios de Exchange Online, ya que funciona con SPF (Sender Policy Framework o marco de la política de remitentes) y DKIM para autenticar a los remitentes de correo y garantizar que los sistemas de correo electrónico de destino confían en los mensajes enviados desde su dominio. 
    6. Asegúrese de que el registro de log de auditoría para el acceso a buzones de correo de no propietarios está activado para ayudar a realizar un seguimiento del inicio de sesión en un buzón de correo, así como de las acciones realizadas mientras el usuario tiene la sesión abierta.

Dado que la seguridad es un proceso más que un estado, un sistema debidamente reforzado también debe ir acompañado de un proceso maduro de supervisión, gestión de incidentes y aprobación de privilegios. Para ello, necesita visibilidad en tiempo real de su usuario, la aplicación Oauth y los inventarios de gestión de permisos para recibir alertas sobre cambios notables.

SSPM es un control de seguridad fundamental diseñado para supervisar el cumplimiento de las normativas del sector y minimizar los riesgos basados en la nube. Reduce drásticamente la superficie de ataque a través de múltiples aplicaciones SaaS y proporciona un contexto de riesgo inestimable para una estrategia completa Zero Trust (o de confianza cero) basada en la nube.

Todas estas defensas y otras más forman parte de la solución Netskope SSPM. Tenga en cuenta también que las defensas similares necesarias para las aplicaciones SaaS de otros proveedores también están habilitadas por Netskope SSPM. Estas defensas se pueden encontrar y aplicar fácilmente en forma de reglas de detección listas para usar en Netskope SSPM, clasificadas bajo las diferentes tácticas de MITRE ATT&CK y el subdominio titulado “Aplicaciones de terceros”.

Figura 1: Esta es la categoría específica de las detecciones SSPM de Netskope que ayudan a reforzar la postura en torno a las aplicaciones OAuth.