我们当前面临的两大威胁组织

目前有两个并发的威胁组织正在积极针对SaaS应用程序及其客户发起攻击：

第一组威胁组织UNC6040（也称为ShinyHunters或Scattered Spider）声称与Snowflake数据泄露事件背后的攻击者有关联。他们主要针对Salesforce客户使用凭证攻击和OAuth钓鱼活动。一旦获得客户Salesforce组织的访问权限，他们就会批量窃取数据并要求支付赎金。根据他们过去的行为，如果不支付赎金，他们将出售或泄露被盗数据。该组织已经入侵了几家知名组织。

这个情况在好转之前可能会变得更糟。据传闻，UNC6395是一个国家级APT组织。他们最初入侵了Salesloft Drift平台，可能还包括其他Salesloft产品。然后，他们利用对核心平台的访问权限，通过Salesloft集成入侵了700多个客户。早期报告表明攻击仅限于Salesforce集成，但在我看来这从来就不可信。该活动后来已扩展到Google Workspace和其他集成。

暴露的安全漏洞

这两个威胁组织之间的复杂程度存在显著差距。在短短两个月内，我们已经从基本的钓鱼攻击发展到对手深刻理解SaaS应用程序弱点，能够利用集成错误配置并隐藏其活动。值得注意的是，UNC6395正在收集密钥、令牌和凭证，然后利用它们横向移动到其他SaaS应用程序甚至AWS等基础设施环境中。现实情况是，99%的SaaS客户不知道这些密钥存储在其应用程序中的哪个位置，这使得确定范围和遏制变得极其困难。

防范这些攻击的措施

组织可以采取关键步骤来保护自己。重要的是，预防或检测这些攻击所需的配置和监控属于客户的责任，而不是Salesforce或其他SaaS供应商的责任。

执行最小权限原则 理解并在SaaS应用程序中应用最小权限原则。例如，UNC6395能够查询数十个Salesforce对象，而Salesloft从未需要访问这些对象，这完全是由于集成账户配置不当造成的。

避免过度特权账户 为每个用户和集成仅配置其特定目的所需的访问权限。不要使用共享的集成配置文件。

按IP限制访问 对集成强制执行IP限制，理想情况下也对用户账户执行。如果供应商无法提供专门用于其集成的固定IP范围，请寻找其他供应商。

部署SaaS感知检测 UNC6395更难检测，因为他们的活动通常源自商业云主机（如AWS），并针对特定数据（密钥和凭证）来传播攻击，而不是简单地批量窃取所有内容。

特别活动预告

敬请关注与Brian Soby和Bishop Fox首席信息安全官Christie Terrill进行的互动式现场炉边谈话，他们将讨论这两起SaaS违规事件并回答您的直接问题。[立即观看]