Si todas las grandes plataformas SaaS tienen algo en común, es su enfoque en hacer la vida más fácil para sus usuarios finales. La misión de los proveedores de inicio de sesión único (SSO) es eliminar de forma segura la fricción para los usuarios.
Con SSO a la cabeza, los usuarios no tienen que recordar contraseñas separadas para cada aplicación ni ocultar copias digitales de las credenciales de inicio de sesión.
El inicio de sesión único también libera el ancho de banda de TI del manejo de solicitudes repetitivas de restablecimiento de contraseña al tiempo que aumenta la productividad para todos en su organización. Sin embargo, con el inicio de sesión único, también existe un cierto nivel de riesgo.
Cómo protegerse contra errores de inicio de sesión único
Los riesgos reales asociados con SSO
Aunque SSO facilita en gran medida el acceso fácil, también conlleva una cierta cantidad de riesgo inmediato. El inicio de sesión único es una buena manera de aumentar la eficiencia, pero no es la solución de seguridad definitiva con sus propias deficiencias para solucionar.
Hay una clase de vulnerabilidad específica que Adam Roberts de NCC Group ha descubierto en varios servicios de SSO. Descubrió que la vulnerabilidad afectaba específicamente a la implementación del lenguaje de marcado de aserción de seguridad (SAML).
«La falla podría permitir que un atacante modifique las respuestas SAML generadas por un proveedor de identidad, obteniendo acceso no autorizado a cualquier cuenta de usuario o aumentando los permisos dentro de la aplicación», dijo el investigador de seguridad Roberts.
En 2019, los investigadores de seguridad de Micro Focus Fortify demostraron los peligros asociados con las vulnerabilidades de SSO en el mecanismo de autenticación de Microsoft. Las vulnerabilidades permitieron a los malos actores negar el servicio o hacerse pasar por otro usuario para explotar sus privilegios de usuario. Microsoft corrigió una vulnerabilidad en la autenticación SSO en julio de ese año.
También hay un aumento preocupante en los ataques de adquisición (ATO), donde el jugador malvado puede eludir el SSO. Según el gigante de calificación Experian (no conocido por los devastadores ataques fraudulentos), el 57% de las organizaciones afirman haber sido víctimas de la ATO en 2020.
SSO, MFA, IAM, ¡Dios mío!
Según la propuesta de SSO, no ofrece una protección del 100%. Además, muchas organizaciones permitirán la autenticación multifactor (MFA) y, sin embargo, todavía hay casos en los que todas estas precauciones podrían fallar. Aquí hay un escenario común:
Los superadministradores, los usuarios más poderosos en seguridad SaaS, a menudo eluden los parámetros de SSO e IAM sin ningún problema. Esta capacidad se puede pasar por alto por muchas razones que se derivan de la búsqueda de fácil acceso y conveniencia o necesidad. En caso de una interrupción de IdP, para ciertas plataformas SaaS, los superadministradores se autentican directamente en la plataforma para garantizar la conectividad. En cualquier caso, existen protocolos más antiguos que permiten a los administradores eludir su uso obligatorio.
Protección contra fallas de SSO
Las herramientas de inicio de sesión único por sí solas no son suficientes para proteger contra el acceso no autorizado al entorno SaaS de una organización. Hay ciertos pasos que puede seguir para evitar los riesgos que plantea SSO.
- Ejecute una auditoría para identificar usuarios y plataformas que puedan omitir el inicio de sesión único e implementar MFA específicos de la aplicación para garantizar políticas de contraseña configuradas correctamente para los usuarios.
- Identifique los protocolos de autenticación heredados que no admiten MFA y que se utilizan, como IMAP y POP3 para clientes de correo electrónico.
- Luego, reduzca la cantidad de usuarios que usan estos protocolos y luego cree un segundo factor, como un conjunto específico de dispositivos que puedan usar protocolos más antiguos.
- Verifique los indicadores de compensación únicos, como las reglas de reenvío que se configuran en las aplicaciones de correo electrónico, las acciones masivas, etc. Estos indicadores pueden variar entre las plataformas SaaS y, por lo tanto, requieren un conocimiento confidencial de cada plataforma.
Una sólida herramienta SaaS Security Position Management (SSPM), como Adaptive Shield, puede automatizar estos pasos para ayudar a prevenir posibles fugas o ataques.
Además de verificar a cada usuario en su ecosistema SaaS, Adaptive Shield le permite ver las vulnerabilidades de configuración en todos sus activos SaaS, incluido el dominio SSO, a través de cada configuración, función de usuario y permisos de acceso.
Adaptive Shield proporciona a su equipo de seguridad el contexto completo de la infracción y sus riesgos para su organización, y le brinda las instrucciones correctas en cada paso hasta que se resuelva la amenaza.
Cómo aprovechar al máximo la seguridad SaaS.