Λευκή Βίβλος ασφαλείας Obsidian: Zero Trust in a SaaS World

Μια λευκή βίβλος Health-ISAC Navigator από την HITE PAPER:

Η σημασία για τους οργανισμούς υγειονομικής περίθαλψης να επεκτείνουν τις αρχές της μηδενικής εμπιστοσύνης σε κρίσιμες για τις επιχειρήσεις εφαρμογές

Έκδοση pdf:

Προβολή PDF

Έκδοση κειμένου:

Οι Αρχές της Μηδενικής Εμπιστοσύνης

Το πλαίσιο ασφάλειας μηδενικής εμπιστοσύνης βασίζεται στη θεμελιώδη ιδέα ότι η έμμεση εμπιστοσύνη των χρηστών και των συσκευών στο περιβάλλον αυξάνει τον κίνδυνο πιθανού συμβιβασμού. Εξαλείφοντας αυτήν την έμμεση εμπιστοσύνη και απαιτώντας αυστηρή αναγνώριση και έλεγχο ταυτότητας σε όλο το δίκτυο, οι ομάδες ασφαλείας που χρησιμοποιούν μηδενική εμπιστοσύνη ελπίζουν να περιορίσουν σοβαρά τις ευκαιρίες για κάθε εισβολέα που θέλει να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα.

Οι πρώτες συζητήσεις γύρω από τη μηδενική εμπιστοσύνη αμφισβήτησαν την αποτελεσματικότητα των παραδοσιακών μέτρων περιμετρικής ασφάλειας, υποστηρίζοντας ότι ένας εισβολέας που τα παρακάμπτει θα είχε απεριόριστη πρόσβαση στο εταιρικό δίκτυο και προτείνοντας αντ 'αυτού ότι κάθε αίτημα για πρόσβαση θα πρέπει να καταγράφεται και να επαληθεύεται. Έκτοτε, η μηδενική εμπιστοσύνη έχει εξελιχθεί από την περιμετρική ασφάλεια του δικτύου σε ένα μοντέλο με πιο επίκεντρο την ταυτότητα ως απάντηση στο ολοένα και πιο κινητό εργατικό δυναμικό και την υιοθέτηση υπηρεσιών cloud.

Ο κλάδος της υγειονομικής περίθαλψης έχει υποστεί επίσης μετασχηματισμό από τις περιμέτρους δικτύου εσωτερικού σε πιο αποκεντρωμένα συστήματα μετακινούμενων υπαλλήλων και εργολάβων, ιατρικών συσκευών συνδεδεμένων στο διαδίκτυο και εφαρμογών cloud. Καθώς οι εισβολείς στοχεύουν οργανισμούς υγειονομικής περίθαλψης με μεγαλύτερη συχνότητα, πολλοί ηγέτες ασφάλειας στρέφονται σε ένα μοντέλο μηδενικής εμπιστοσύνης για να προστατεύσουν καλύτερα το περιβάλλον τους. Με τις εφαρμογές που περιέχουν πιο ευαίσθητα δεδομένα από ποτέ, η εφαρμογή αυτού του πλαισίου μηδενικής εμπιστοσύνης στο SaaS μπορεί να ελαχιστοποιήσει σημαντικά τον κίνδυνο και τον αντίκτυπο ενός πιθανού συμβιβασμού, αλλά η εφαρμογή του απαιτεί βαθιά κατανόηση και συνεχή επαλήθευση κάθε τμήματος εφαρμογών SaaS που είναι κρίσιμες για τις επιχειρήσεις.

Φέρνοντας το Zero Trust στο SaaS

Η μηδενική εμπιστοσύνη φέρνει σημαντικά πλεονεκτήματα ασφάλειας σε μια επιχείρηση, καθώς η αποφυγή της σιωπηρής εμπιστοσύνης ελαχιστοποιεί την πιθανότητα, τον αντίκτυπο και τον χρόνο εντοπισμού μιας παραβίασης. Το μοντέλο ασφάλειας μηδενικής εμπιστοσύνης απαιτεί από έναν οργανισμό «ποτέ μην εμπιστεύεται, πάντα επαληθεύει» τον τρόπο σύνδεσης, πρόσβασης και χρήσης της εταιρικής τεχνολογίας πληροφοριών. Σύμφωνα με το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST 800-207), η μηδενική εμπιστοσύνη απαιτεί την εφαρμογή τριών βασικών αρχών:

• Συνεχής επαλήθευση πρόσβασης για κάθε στοιχείο
• Περιορισμός του αντίκτυπου μιας πιθανής παραβίασης
• Συλλογή δεδομένων συμπεριφοράς για τη διευκόλυνση της ταχύτερης απόκρισης σε περιστατικά

Η μηδενική εμπιστοσύνη στις εφαρμογές σας SaaS σημαίνει ότι εφαρμόζετε αυτές τις ίδιες αρχές κατά το σχεδιασμό στοιχείων ελέγχου. Δεν αρκεί να βασίζεστε απλώς σε single sign-on (SSO) και έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA). Αυτές οι λύσεις παρέχουν αρχική επαλήθευση της πρόσβασης των χρηστών, αλλά δεν επαληθεύουν κάθε στοιχείο του περιβάλλοντος SaaS. Η μηδενική εμπιστοσύνη για το SaaS απαιτεί βαθύτερη κατανόηση κάθε εφαρμογής, χωρίς να βασίζεται μόνο στον πάροχο ταυτότητας.

Το Διασυνδεδεμένο Περιβάλλον SaaS Επειδή η μηδενική εμπιστοσύνη απαιτεί συνεχή επαλήθευση κάθε στοιχείου, δεν αρκεί απλώς η επικύρωση της σύνδεσης μεταξύ ενός πελάτη και της εφαρμογής—υπάρχουν και άλλες πηγές κινδύνου στο περιβάλλον SaaS που απαιτούν παρακολούθηση. Μια προσέγγιση μηδενικής εμπιστοσύνης στην ασφάλεια SaaS ξεκινά με μια ολοκληρωμένη κατανόηση των τριών βασικών στοιχείων της αρχιτεκτονικής μιας εφαρμογής: τη σύνδεση πελάτη, την ίδια την εφαρμογή και άλλες υπηρεσίες που συνδέονται με την εφαρμογή.

Το Διασυνδεδεμένο Περιβάλλον SaaS

Επειδή η μηδενική αξιοπιστία απαιτεί συνεχή επαλήθευση κάθε στοιχείου, δεν αρκεί απλώς η επικύρωση της σύνδεσης μεταξύ ενός πελάτη και της εφαρμογής—υπάρχουν άλλες πηγές κινδύνου στο περιβάλλον SaaS που απαιτούν παρακολούθηση. Μια προσέγγιση μηδενικής εμπιστοσύνης στην ασφάλεια SaaS ξεκινά με μια ολοκληρωμένη κατανόηση των τριών βασικών στοιχείων της αρχιτεκτονικής μιας εφαρμογής: τη σύνδεση πελάτη, την ίδια την εφαρμογή και άλλες υπηρεσίες που συνδέονται με την εφαρμογή.

Η σύνδεση πελάτη

Η κατανόηση του ελέγχου ταυτότητας, των προνομίων και των ενεργειών των χρηστών εντός και σε όλες τις κρίσιμες για τις επιχειρήσεις εφαρμογές είναι απολύτως απαραίτητη για να καθοριστεί το εύρος του κινδύνου κάθε χρήστη. Αυτά τα δεδομένα πρέπει να συγκεντρώνονται συνεχώς και να κανονικοποιούνται σε μια ενιαία, εύκολα κατανοητή μορφή, προκειμένου να είναι εύκολα προσβάσιμα για την ομάδα ασφαλείας σας. Αυτό επεκτείνει την αρχή του «ποτέ μην εμπιστεύεστε, πάντα επαληθεύστε» πέρα ​​από τους παρόχους ταυτότητας και στις ίδιες τις εφαρμογές SaaS.

Η εφαρμογή

Οι εφαρμογές Enterprise SaaS είναι εγγενώς μοναδικά και πολύπλοκα συστήματα με τις δικές τους δομικές ευπάθειες και ζητήματα ειδικά για κάθε περιβάλλον χρήστη. Η συνεχής παρακολούθηση της θέσης ασφαλείας της εφαρμογής είναι ένα σημαντικό μέρος της μηδενικής εμπιστοσύνης—αυτό περιλαμβάνει τόσο τις διαμορφώσεις εφαρμογών όσο και τα προνόμια που παρέχονται στους χρήστες. Η διαχείριση στάσης ασφαλείας SaaS (SSPM) δεν σημαίνει μόνο γνώση της κατάστασης των στοιχείων ελέγχου και των αδειών, αλλά και παρακολούθηση των δραστηριοτήτων που σχετίζονται με το καθένα.

Οι ενσωματώσεις

Όταν οι χρήστες και οι διαχειριστές του SaaS ενσωματώνουν εφαρμογές τρίτων σε βασικές εφαρμογές για να επεκτείνουν τις λειτουργίες, να αυτοματοποιήσουν τις ροές εργασίας και να ενεργοποιήσουν την επικοινωνία μεταξύ πλατφορμών, παρέχουν μόνιμη πρόσβαση και δικαιώματα στη σύνδεση. Αυτό μπορεί να δημιουργήσει σοβαρό κίνδυνο για την ασφάλεια εάν αφεθεί ανεξέλεγκτο. Ακόμη και οι ελεγμένες εφαρμογές τρίτων μπορούν να παραβιαστούν, παρέχοντας μια κερκόπορτα στην βασική υπηρεσία. Η συνεχής παρακολούθηση και η ανίχνευση απειλών για ενσωματώσεις είναι ένα κρίσιμο κομμάτι μηδενικής εμπιστοσύνης για το SaaS.

Παραμένοντας μπροστά από τις απειλές

Οι πελάτες, οι ενσωματώσεις και οι εφαρμογές στο περιβάλλον SaaS σας εισάγουν όλα κάποιο βαθμό κινδύνου και, εάν αφεθούν ανεξέλεγκτα, μπορούν να γίνουν πιθανά σημεία εισόδου παραβίασης. Οι οργανισμοί που δεν παρακολουθούν συνεχώς αυτές τις συνδέσεις μέσα στο περιβάλλον SaaS είναι ουσιαστικά τυφλοί σε απειλές και κενά στάσης εντός των βασικών εφαρμογών τους, αφήνοντας ελλιπείς τις αρχιτεκτονικές μηδενικής εμπιστοσύνης.

Η πρόκληση για τους οργανισμούς υγειονομικής περίθαλψης είναι ιδιαίτερα σημαντική καθώς οι επιτιθέμενοι αναζητούν ευκαιρίες για να συντρίψουν τις ομάδες ασφαλείας. Το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS) ανέφερε αύξηση 50% στις παραβιάσεις της ασφάλειας στον κυβερνοχώρο της υγειονομικής περίθαλψης το πρώτο εξάμηνο του 2020, αναστατώνοντας τους οργανισμούς υγειονομικής περίθαλψης που απασχολούνται με την αναδυόμενη πανδημία COVID-19.

Οι ολοένα και πιο εξελιγμένοι εισβολείς μπορούν να χρησιμοποιήσουν μια ποικιλία τεχνικών για να παρακάμψουν τους παρόχους ταυτότητας και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε περιβάλλοντα SaaS, συμπεριλαμβανομένης της πειρατείας περιόδων σύνδεσης και της κατάχρησης OAuth.

Παραβίαση συνεδρίας

Για τη βελτίωση της εμπειρίας του χρήστη, οι εφαρμογές SaaS παρέχουν ένα διακριτικό περιόδου λειτουργίας που είναι αποθηκευμένο στο πρόγραμμα περιήγησης που προσδιορίζει τον χρήστη και επιτρέπει την πρόσβαση χωρίς να απαιτείται σύνδεση σε κάθε επίσκεψη. Αυτά τα διακριτικά είναι σχεδόν αδύνατο να μαντέψουν, προστατεύονται με SSL μέσω του δικτύου και κρυπτογραφούνται όταν αποθηκεύονται στο τελικό σημείο. Μόλις ένας χρήστης αποκτήσει ένα διακριτικό, μπορεί να επανεξετάσει την εφαρμογή για μια περίοδο πολλών ημερών χωρίς να χρειάζεται επανέλεγχος ταυτότητας. Στην περίπτωση ενός παρόχου ταυτότητας (IDP) όπως το Okta, το Duo ή το Microsoft Azure AD, τους επιτρέπει να ελέγχουν την ταυτότητα στις εξουσιοδοτημένες εφαρμογές τους, δημιουργώντας νέα διακριτικά για συγκεκριμένες εφαρμογές και διευκολύνοντας την πρόσβαση χωρίς τριβές σε όλες τις υπηρεσίες.

Δυστυχώς, η ευκολία που παρέχουν τα μακροχρόνια κουπόνια συνεδρίας έχει δημιουργήσει ένα άνοιγμα για την εκμετάλλευση των εισβολέων. Αντί να επιχειρήσουν να υποκλέψουν ονόματα χρήστη και κωδικούς πρόσβασης, οι εισβολείς προσπαθούν να εδραιώσουν την επιμονή στο SaaS IDP μέσω κακόβουλου λογισμικού ή επίθεσης man-in-the-middle. Οι εισβολείς περιμένουν να γίνει επιτυχής έλεγχος ταυτότητας μιας συσκευής με το MFA πριν αναχαιτίσουν το διακριτικό περιόδου λειτουργίας κατά τη μεταφορά. Στη συνέχεια, μπορούν να συνδεθούν στο IDP ως χρήστης με πλήρη έλεγχο ταυτότητας, κάτι που επιτρέπει στους εισβολείς να συνδέονται με κάθε εφαρμογή στην οποία ο χρήστης έχει πρόσβαση. Αυτή η τεχνική μπορεί να δώσει στους εισβολείς έως και 30 ημέρες πλήρους πρόσβασης χωρίς ποτέ έλεγχο ταυτότητας.

Η παράκαμψη του ελέγχου ταυτότητας επιτρέπει ουσιαστικά στους εισβολείς να αναιρούν οποιαδήποτε πτυχή μηδενικής εμπιστοσύνης που υπάρχει σε έναν οργανισμό. Αυτό τους δίνει επίσης τη δυνατότητα να αποφεύγουν την πλειοψηφία των εργαλείων μιας ομάδας ασφαλείας που συχνά επικεντρώνεται στην πηγή και τη φύση μιας σύνδεσης.

Μια περίπλοκη περίπτωση κλοπής διακριτικού μπορεί να είναι δύσκολο να εντοπιστεί με μη αυτόματο τρόπο. Οι ομάδες ασφαλείας πρέπει να είναι εξοπλισμένες με μια λύση που αναλύει και μοντελοποιεί συνεχώς τη δραστηριότητα των χρηστών για τον εντοπισμό δυνητικά ανεπαίσθητων ανωμαλιών που σχετίζονται με την πειρατεία συνεδρίας, προκειμένου να διευκολυνθεί η ταχεία αποκατάσταση. Η διασφάλιση ότι το προσωπικό ασφαλείας έχει σαφή κατανόηση της αλληλεπίδρασης του χρήστη με τον πάροχο ταυτότητας και της δραστηριότητάς του εντός και μεταξύ των εφαρμογών SaaS, επιτρέπει καλύτερη απόκριση και αναφορά περιστατικών.

Κατάχρηση εφαρμογής OAuth

Η διασυνδεσιμότητα των εφαρμογών παρέχει ένα από τα μεγαλύτερα πλεονεκτήματα παραγωγικότητας του SaaS. Οι χρήστες και οι διαχειριστές συχνά ενσωματώνουν υπηρεσίες για να αυξήσουν και να επεκτείνουν τη λειτουργικότητα μιας βασικής εφαρμογής. Οι διαχειριστές εφαρμογών συνήθως συνδέουν υπηρεσίες όπως το Salesforce και το Microsoft 365, ενώ μεμονωμένοι χρήστες συνδέουν τακτικά σουίτες εταιρικής παραγωγικότητας όπως το Google Workspace και το Microsoft 365 με εργαλεία τρίτων, όπως το Grammarly, το Evernote και το Asana. Αυτές οι συνδέσεις γίνονται συνήθως μέσω επιχορήγησης OAuth, η οποία απαιτεί απλώς από τον χρήστη να κάνει κλικ σε έναν σύνδεσμο που εξουσιοδοτεί την πρόσβαση στην εφαρμογή. Μόλις εγκριθούν, οι ενσωματώσεις μπορούν να έχουν πρόσβαση στο περιβάλλον SaaS με δικαιώματα και πρόσβαση σε δεδομένα ισοδύναμα για τον χρήστη.

Παρακαλώ διαβάστε το πλήρες έγγραφο στο παραπάνω Pdf.

• Σχετικοί πόροι και νέα
• Η άνοδος των επιθέσεων CalPhishing στον τομέα της υγείας
• Βέλτιστες πρακτικές για τη διαχείριση ταυτοτήτων και πρόσβασης τρίτων μερών
• Τι πρέπει να γνωρίζουν οι ηγέτες του τομέα της υγειονομικής περίθαλψης για την κυβερνοασφάλεια το 2026-2027
• Τι σημαίνει το Εκτελεστικό Διάταγμα του Τραμπ για την Τεχνητή Νοημοσύνη για τον Τομέα της Υγειονομικής Περίθαλψης
• Έκθεση για το Τοπίο των Απειλών στην Υγειονομική Περίθαλψη και την Κοινωνική Πρόνοια
• Η πρακτορική τεχνητή νοημοσύνη στην υγειονομική περίθαλψη είναι μια επικίνδυνη πρόταση
• Live@eXchange Ημέρα 2 – Αναλυτής Ασφάλειας Ιατρικών Συσκευών Health-ISAC
• Health-ISAC Hacking Healthcare 6-3-2026
• Νέες ευπάθειες που στοχεύουν στον κλάδο της υγειονομικής περίθαλψης
• Μηνιαίο ενημερωτικό δελτίο – Ιούνιος 2026