El crecimiento del software como servicio (SaaS) sigue liderando la adopción de herramientas de software y representa la mayor parte del gasto en la nube pública. Sin embargo, tanto las empresas como las PYMES no han actualizado sus programas de seguridad ni han adoptado herramientas de seguridad diseñadas para SaaS.
Los equipos de seguridad están luchando por abordar las vulnerabilidades de seguridad en SaaS con soluciones locales que ya no ofrecen el mismo control que tenían en el pasado. Los firewalls ahora protegen un perímetro más pequeño, la visibilidad es limitada y, aunque los proveedores de SaaS ofrecen registros, los equipos de seguridad necesitan middleware personalizado para procesarlos y enviarlos a su SIEM.
En el ámbito de la seguridad de SaaS, los clientes tienen la responsabilidad de cumplir con la gobernanza de datos, IAM y controles de aplicaciones. Según la investigación de AppOmni, un solo ejemplo de SaaS tiene en promedio 256 conexiones de SaaS a SaaS, muchas de las cuales ya no se utilizan pero siguen teniendo permisos excesivos en aplicaciones empresariales fundamentales como Salesforce, Okta y GitHub, entre otras.
Las diversas fases de los ataques de SaaS modernos suelen involucrar comprometer una identidad en el proveedor de identidad (IdP), llevar a cabo una fase de reconocimiento posterior a la autenticación, moverse lateralmente en otros SaaS, PaaS o IaaS, y cifrar o entregar una nota de rescate.
En una reunión de inteligencia de amenazas de AppOmni, se detalló la cadena de ataque de los grupos de amenazas Scattered Spider/Starfraud en un ataque exitoso a un objetivo no revelado en septiembre de 2023.
Vía The Hacker News