我们正面临两个同时针对SaaS应用及其客户的威胁组织： 第一组UNC6040（又称ShinyHunters或Scattered Spider）声称与Snowflake数据泄露事件的行为者存在重叠。他们主要针对Salesforce客户使用凭证攻击和OAuth网络钓鱼活动。一旦获得客户Salesforce组织的访问权限，就会批量窃取数据并索要赎金。根据其过往行为，若未支付赎金，他们将出售或泄露被盗数据。该组织已入侵多家知名机构。

这种情况在好转之前会进一步恶化。UNC6395被传言是国家背景的APT组织。他们最初入侵了Salesloft Drift平台可能还有其他Salesloft产品，并利用对核心平台的访问权限通过Salesloft集成入侵了700多家客户。早期报告称攻击仅限于Salesforce集成，但笔者认为这从来不可信。该活动已扩展至Google Workspace等其他集成。

暴露的安全缺口 这两个威胁组织的技术复杂度存在显著差距。在短短两个月内，攻击方式已从基础网络钓鱼升级为能利用SaaS应用弱点、挖掘集成配置错误并隐藏行踪的对手。值得注意的是，UNC6395正在窃取密钥、令牌和凭证，并利用它们横向移动到其他SaaS应用甚至AWS等基础设施环境。现实是99%的SaaS客户不知道这些密钥存储在应用的哪个位置，使得范围界定和遏制极为困难。

防御措施建议 组织可采取关键步骤进行防御。重要的是，预防或检测这些攻击所需的配置和监控属于客户而非Salesforce或其他SaaS供应商的责任：

• 实施最小权限原则：在SaaS应用中理解并应用最小权限。例如UNC6395能查询数十个Salesforce对象，而Salesloft本无需访问这些对象，这完全是由于集成账户配置不当所致。
• 避免过度授权账户：仅为每个用户和集成配置其特定用途所需的权限，禁止使用共享集成配置文件。
• 基于IP限制访问：对集成实施IP限制，理想情况下对用户账户也实施。若供应商无法提供专用于其集成的固定IP范围，应更换供应商。
• 部署SaaS感知检测：UNC6395更难检测，因为其活动常源自商业云主机（如AWS），且以传播攻击为目的定向窃取密钥和凭证，而非简单批量窃取所有数据。

互动预告 欢迎参与Brian Soby与Bishop Fox首席信息安全官Christie Terrill的现场炉边对话，他们将深入讨论这两起SaaS泄露事件并回答观众提问。[立即观看]

作者简介
Brian Soby是SaaS安全领域领导者AppOmni（https://appomni.com/）的首席技术官兼联合创始人，拥有20余年安全经验。曾担任FreeFly Security合伙人、Salesforce产品安全总监、MITRE首席信息安全工程师及Raytheon网络安全工程师。