恶意应用程序的兴起

恶意应用程序的兴起

安全团队熟悉来自第三方应用程序的威胁，员工为提高工作效率而添加这些应用程序。这些应用程序本质上旨在通过连接到“中心”应用程序（如Salesforce，Google Workspace或Microsoft 365）向用户提供功能。安全问题集中在授予第三方应用的权限范围，以及威胁参与者接管核心应用并滥用这些权限的可能性。

没有真正的担心应用程序本身会开始删除文件或共享数据。因此，SaaS 安全态势管理 （SSPM） 解决方案能够识别集成的第三方应用程序并显示其权限范围。然后，安全团队进行风险评估，在决定是保留应用程序还是分离应用程序之前，平衡应用程序提供的好处及其权限范围。

但是，威胁行为者通过引入恶意应用程序改变了竞争环境。这些应用程序不会向中心应用程序添加任何价值。它们旨在连接到 SaaS 应用程序，并使用其中包含的数据执行未经授权的活动。当这些应用连接到核心 SaaS 堆栈时，它们会请求某些范围和权限。然后，这些权限允许应用读取、更新、创建和删除内容。

恶意应用程序对于 SaaS 世界来说可能是新的，但我们已经在移动设备上看到了它。例如，威胁行为者会创建一个简单的手电筒应用程序，该应用程序可以通过应用商店下载。下载后，这些简约的应用程序会要求荒谬的权限集，然后对手机进行数据挖掘。

建立连接

威胁参与者正在使用复杂的网络钓鱼攻击将恶意应用程序连接到核心 SaaS 应用程序。在某些情况下，员工会被引导到一个看起来合法的网站，在那里他们有机会将应用程序连接到他们的 SaaS。

在其他情况下，拼写错误或稍微拼写错误的品牌名称可能会使员工进入恶意应用程序的站点。从那里开始，正如Eliana V在本集SaaS Security on Tap中指出的那样，只需单击几下即可将应用程序连接到具有足够权限来执行恶意操作的核心SaaS应用程序。

其他威胁参与者能够在应用商店中发布恶意应用程序，例如Salesforce AppExchange。这些应用程序可能会提供功能，但隐藏在内心深处的是等待执行的恶意行为。

与在移动世界中一样，恶意应用程序通常会执行它们承诺的功能。但是，他们能够根据需要进行打击。

恶意应用程序的危险

恶意应用程序会带来许多危险。在一个极端的例子中，他们可以加密数据并发动 SaaS 勒索软件攻击。

·       数据泄露 – 恶意第三方应用程序可以访问存储在 SaaS 应用程序上的敏感员工或客户记录。一旦被访问，恶意应用程序就可以泄露数据并在线发布或勒索赎金。

·       系统危害 – 恶意应用可以使用授予它们的权限来更改核心 SaaS 应用程序中的设置，或添加新的高特权用户。然后，这些用户可以随意访问 SaaS 应用程序，并发起未来的攻击、窃取数据或中断操作。

·       泄露机密性 – 恶意应用程序可能会窃取机密数据或商业机密。然后，这些数据可以在线发布，导致重大的经济损失、声誉损害以及可能被处以巨额政府罚款。

·       违规 – 通过访问 SaaS 应用程序中的数据，恶意应用程序可能会使组织面临不合规的风险。这可能会影响与合作伙伴、客户和监管机构的关系，并可能导致经济处罚。

·       性能问题 – 恶意应用可能会通过更改用户的访问配置、禁用功能以及导致延迟和速度减慢问题来干扰系统性能。

保护您的核心应用

保护存储在 SaaS 应用程序中的数据应该是安全团队的首要任务之一。为此，他们需要 SaaS 威胁检测功能，以便在恶意应用程序损坏 SaaS 数据之前识别它们。

这意味着可以了解连接到中心应用的每个第三方应用、其权限以及描述应用功能的上下文信息。此外，应配置中心应用的安全设置，以防止恶意攻击或限制其损害。这些设置包括需要管理员批准才能连接应用、限制第三方应用的访问权限，以及仅允许集成来自中心应用的已批准应用市场的应用。

SSPM（如自适应防护）具有互连应用检测功能，连接到完整的 SaaS 堆栈将检测恶意应用。使用正确的 SSPM，可以确保配置足以防止恶意应用接管中心应用。它还可以在应用权限集过高时使用 AI 发现异常或其他指示应用为恶意的唯一配置文件标识符时触发警报，从而使安全团队能够确保中心应用的安全。

网址：恶意应用程序的兴起 (thehackernews.com)