As equipes de segurança estão familiarizadas com as ameaças provenientes de aplicativos de terceiros que os funcionários adicionam para melhorar sua produtividade. Esses aplicativos são inerentemente projetados para fornecer funcionalidade aos usuários conectando-se a um aplicativo “hub”, como Google Workspace ou Microsoft 365. As preocupações de segurança centram-se nos escopos de permissão concedidos aos aplicativos de terceiros e no potencial para um agente de ameaça para assumir o controle dos aplicativos principais e abusar dessas permissões.
Não há nenhuma preocupação real de que o aplicativo, por si só, comece a excluir arquivos ou compartilhar dados. Dessa forma, as soluções SaaS Security Posture Management (SSPM) são capazes de identificar aplicações integradas de terceiros e apresentar seus escopos de permissão. A equipe de segurança faz então uma avaliação de risco, equilibrando os benefícios que o aplicativo oferece com seus escopos de permissão antes de decidir se deseja manter ou desacoplar os aplicativos.
No entanto, os agentes de ameaças mudaram o campo de jogo com a introdução de aplicativos maliciosos. Esses aplicativos não agregam nada de valor ao aplicativo hub. Eles são projetados para se conectar a um aplicativo SaaS e realizar atividades não autorizadas com os dados contidos nele. Quando esses aplicativos se conectam à pilha SaaS principal, eles solicitam determinados escopos e permissões. Essas permissões permitem que o aplicativo leia, atualize, crie e exclua conteúdo.
Aplicativos maliciosos podem ser novos no mundo SaaS, mas é algo que já vimos em dispositivos móveis. Os atores da ameaça criariam um aplicativo de lanterna simples, por exemplo, que poderia ser baixado na app store. Depois de baixados, esses aplicativos minimalistas solicitavam conjuntos de permissões absurdos e, em seguida, exploravam os dados do telefone.
Conectando-se
Os agentes de ameaças estão usando ataques de phishing sofisticados para conectar aplicativos maliciosos a aplicativos SaaS principais. Em alguns casos, os funcionários são direcionados a um site aparentemente legítimo, onde têm a oportunidade de conectar um aplicativo ao seu SaaS.
Outros atores de ameaças são capazes de publicar aplicativos maliciosos em lojas de aplicativos. Esses aplicativos podem fornecer funcionalidade, mas escondidos lá no fundo estão atos maliciosos esperando para serem executados.
Como no mundo móvel, muitas vezes os aplicativos maliciosos executam a funcionalidade prometida. No entanto, eles estão em posição de atacar quando necessário.
Perigos de aplicativos maliciosos
Existem vários perigos representados por aplicativos maliciosos. Em um exemplo extremo, eles podem criptografar dados e realizar um ataque de ransomware SaaS.
- Violações de dados – aplicativos maliciosos de terceiros podem acessar registros confidenciais de funcionários ou clientes armazenados no aplicativo SaaS. Uma vez acessado, o aplicativo malicioso pode exfiltrar dados e publicá-los on-line ou retê-los como resgate.
- Comprometimento do sistema – aplicativos maliciosos podem usar as permissões concedidas a eles para alterar as configurações do aplicativo SaaS principal ou adicionar novos usuários com alto privilégio. Esses usuários podem então acessar o aplicativo SaaS à vontade e lançar ataques futuros, roubar dados ou interromper operações.
- Comprometer a confidencialidade – o aplicativo malicioso pode roubar dados confidenciais ou segredos comerciais. Esses dados podem então ser publicados online, levando a perdas financeiras significativas, danos à reputação e potencial para multas governamentais onerosas.
- Violações de conformidade – ao acessar dados dentro do aplicativo SaaS, o aplicativo malicioso pode colocar uma organização em risco de não conformidade. Isto pode impactar os relacionamentos com parceiros, clientes e reguladores e potencialmente levar a penalidades financeiras.
- Problemas de desempenho – aplicativos maliciosos podem interferir no desempenho do sistema, alterando as configurações de acesso dos usuários, desabilitando recursos e causando problemas de latência e lentidão.
Protegendo seus aplicativos principais
Proteger os dados armazenados no aplicativo SaaS deve ser uma das principais prioridades da equipe de segurança. Para fazer isso, eles exigem recursos de detecção de ameaças SaaS que possam identificar aplicativos maliciosos antes que danifiquem os dados SaaS.
Isso significa obter visibilidade de todos os aplicativos de terceiros conectados aos seus aplicativos hub, suas permissões e informações contextuais que delineiam o que o aplicativo faz. Além disso, as configurações de segurança dos seus aplicativos hub devem ser configuradas para evitar ataques maliciosos ou limitar seus danos. Essas configurações incluem exigir a aprovação do administrador para conectar aplicativos, limitar o acesso que aplicativos de terceiros têm e permitir a integração apenas de aplicativos provenientes de um mercado de aplicativos aprovado para o aplicativo hub.
Um SSPM, com capacidade de detecção de aplicativos de interconectividade, conectado à sua pilha SaaS completa detectará um aplicativo malicioso. Com o SSPM certo, você pode garantir que suas configurações sejam suficientes para evitar que aplicativos maliciosos assumam o controle de seus aplicativos de hub. Ele também pode acionar alertas quando os conjuntos de permissões do aplicativo são muito altos ou usar IA para descobrir anomalias ou outros identificadores de perfil exclusivos que indicam que um aplicativo é malicioso, permitindo que sua equipe de segurança mantenha seus aplicativos de hub seguros.
AUTOR: FELIPE SANTANA
REFERÊNCIAS:
https://cyber.vumetric.com/security-news/2023/09/21/the-rise-of-the-malicious-app/
https://thehackernews.com/2023/09/the-rise-of-malicious-app.html
https://quickprotect.com/2022/05/19/protecting-business-malicious-apps/