Selhání ověřování a zabezpečené komunikace
- Aplikace se často připojují ke kritickým podnikovým datům → to může vést k nezabezpečené komunikaci.
- Připojení k datům na lokálních, SaaS, PaaS nebo cloudových platformách.
- Aplikace využívají vestavěné konektory (snadné připojení).
- Konektory připojení nabízejí různé konfigurace zabezpečení včetně komunikačních protokolů, autentizace a typů credentials.
- V mnoha případech nastavují credentials a konfiguraci byznys uživatelé → to může vést k odchylkám od best practices a firemních zásad ochrany dat.
Jak zranitelnosti předcházet
🔴 Umožněte vytváření připojení pouze vyhrazeným pracovníkům v produkčním prostředí.
🔴 Monitorujte platformy, zda se na nich nevyskytují připojení, která nejsou v souladu s best practices.
🔴 Vzdělávejte byznys uživatele v oblasti rizik nezabezpečené komunikace a informujte je o nutnosti zapojení bezpečnostních týmů při jejich nastavování.
Příklad zneužití zranitelnosti
- Vývojář vytvoří aplikaci, která používá FTP připojení.
- Nezaškrtne políčko, které zapíná šifrování.
- Uživatelé aplikace nemají možnost zjistit, že jejich data jsou přenášena nešifrovaně, protože komunikace mezi aplikací a uživateli je šifrovaná.
- Vývojář použije admin credentials k vytvoření připojení k databázi.
- Aplikace zobrazuje data uživatelů.
- Uživatelé mohou použít připojení s nadměrným oprávněním k zápisu nebo odstranění záznamů z databáze, což původně nebylo zamýšleno.