今年4月,在微軟Office 365 SAML 2.0中發(fā)現(xiàn)一個漏洞,該漏洞或可使攻擊者繞過該平臺的身份驗證,最終導致對用戶賬戶的潛在未經(jīng)授權(quán)的訪問。這里的根本原因是未能正確驗證SAML(安全聲明標記語言)對象——用戶通過身份驗證過程時所提供的聲明。雖然這個問題的風險很高,但該問題已較為快速地被修復(在7小時內(nèi)),微軟已發(fā)布更新修復這個問題。
這也許并不是非常值得注意的問題或重大事件,因為它很快被修復了,大多數(shù)企業(yè)甚至沒有注意到這個問題。然而,我們?nèi)匀挥斜匾獊碛懻撨@個Office 365 SAML漏洞:因為它可讓企業(yè)從云計算客戶的角度了解他們所使用的服務(wù)提供商以及他們?nèi)绾螌︻愃剖录鞒鲰憫?yīng)。具體來說,這樣的事件為企業(yè)提供了很好的學習機會,讓他們更好地了解自己的安全狀態(tài)以及確定應(yīng)該如何改進。企業(yè)可從多個方面分析這樣的事件,并利用他們所吸取的教訓來為未來可能不那么快被修復的問題做好準備。
風險決策取決于需要了解運作情況
企業(yè)應(yīng)該從Office 365 SAML漏洞學習的第一個教訓與企業(yè)對他們部署云服務(wù)的了解程度(例如產(chǎn)品的架構(gòu))有關(guān)。這可能聽起來不像是火箭科學,但請記住,云模式讓企業(yè)很容易或忽視這一點。云計算非常有價值,部分因為它讓企業(yè)遠距離獲取底層維護、支持和技術(shù)基礎(chǔ)。例如,在SaaS的情況下,從客戶的角度來看,7層(應(yīng)用層)以下大多數(shù)堆棧通常是黑盒子。因此,對于應(yīng)用在技術(shù)水平如何運作可以被忽略。在很少的情況下,企業(yè)會在不了解架構(gòu)的情況下發(fā)布舊版客戶端/服務(wù)器或web應(yīng)用,但他們更有可能在云計算的情況下這樣做。
在本文談?wù)摰那闆r中,問題出在Office 365身份驗證過程生成的SAML聲明。那么,大多數(shù)依靠SAML的云服務(wù)客戶對這些身份聯(lián)合機制如何運作的了解程度如何?通常并不是很多,因為他們并不需要這樣做才能使用云服務(wù)。然而,如果企業(yè)想要應(yīng)對Office 365 SMAL這樣的事件,則需要足夠了解該服務(wù)以做出明智的決策。
例如,企業(yè)可能需要確定,在特定問題得到解決之前,是否會影響他們對云服務(wù)的使用--這個問題是否足夠嚴重需要采取行動或者無法使用服務(wù)是否帶來影響。在較小型或不太精通技術(shù)的提供商(例如,無法迅速修復問題的提供商)的情況下,如果沒有快速修復,企業(yè)可能要評估輔助對策。而當企業(yè)不了解云服務(wù)的運作方式,他們將更加難以做出決策。
這并不意味著企業(yè)應(yīng)該讓其員工花費全部時間去詳細了解他們部署的每個服務(wù)如何運作。相反地,企業(yè)可將可靠架構(gòu)信息源記錄在容易訪問的地方。例如,如果企業(yè)保持著其部署的云服務(wù)的清單,則應(yīng)該同時記錄該服務(wù)架構(gòu)文檔信息的鏈接。這可確保可迅速獲取這些信息,而不需要匆忙花費數(shù)小時去檢索。事實上,企業(yè)應(yīng)該要求以及審查這些信息,作為服務(wù)提供商整合或?qū)彶榈囊徊糠帧14孢@些記錄可在出現(xiàn)問題時節(jié)省時間;更不用提當服務(wù)提供商受到漏洞事件的影響時。
評估通知過程
從微軟Office 365 SAML吸取的第二個教訓與安全團隊如何獲知和了解這種情況有關(guān)。企業(yè)需要認識到,每個服務(wù)提供商可能有不同的方法來通知其客戶有關(guān)漏洞的消息。他們可能會發(fā)送維護或安全警報電子郵件,可能會在狀態(tài)頁面或用戶論壇發(fā)布警報,還有些提供商可能會聯(lián)系內(nèi)部人員或者內(nèi)部聯(lián)系人。企業(yè)是否知道在哪里查看?內(nèi)部聯(lián)系人是否合適?這些內(nèi)部聯(lián)系人是否知道該怎么辦?如果這些問題的答案是否定的或者不確定,那說明企業(yè)還有很多工作要做。
同樣重要的是,了解服務(wù)提供商其警報流程是否針對漏洞或安全事件。同時,這也需要記錄在應(yīng)用清單中--這可能是在部署新服務(wù)提供商的過程中已經(jīng)收集的信息。如果企業(yè)還沒有收集這種信息,這應(yīng)該考慮提前做一些考察工作。企業(yè)無法對不知道的事情做出反應(yīng)--除非企業(yè)有某種方式確保其可及時得到通知以及測試這些通知流程,否則企業(yè)可能沒有完全的可視性。
對于企業(yè)而言,云服務(wù)提供商受到Office 365 SAML等漏洞的影響,這絕不是什么好消息,但這有時候可能給企業(yè)帶來寶貴的學習機會。
京公網(wǎng)安備 11010502049343號