今年4月,在微軟Office 365 SAML 2.0中發(fā)現(xiàn)一個(gè)漏洞,該漏洞或可使攻擊者繞過(guò)該平臺(tái)的身份驗(yàn)證,最終導(dǎo)致對(duì)用戶賬戶的潛在未經(jīng)授權(quán)的訪問(wèn)。這里的根本原因是未能正確驗(yàn)證SAML(安全聲明標(biāo)記語(yǔ)言)對(duì)象——用戶通過(guò)身份驗(yàn)證過(guò)程時(shí)所提供的聲明。雖然這個(gè)問(wèn)題的風(fēng)險(xiǎn)很高,但該問(wèn)題已較為快速地被修復(fù)(在7小時(shí)內(nèi)),微軟已發(fā)布更新修復(fù)這個(gè)問(wèn)題。
這也許并不是非常值得注意的問(wèn)題或重大事件,因?yàn)樗芸毂恍迯?fù)了,大多數(shù)企業(yè)甚至沒(méi)有注意到這個(gè)問(wèn)題。然而,我們?nèi)匀挥斜匾獊?lái)討論這個(gè)Office 365 SAML漏洞:因?yàn)樗勺屍髽I(yè)從云計(jì)算客戶的角度了解他們所使用的服務(wù)提供商以及他們?nèi)绾螌?duì)類(lèi)似事件作出響應(yīng)。具體來(lái)說(shuō),這樣的事件為企業(yè)提供了很好的學(xué)習(xí)機(jī)會(huì),讓他們更好地了解自己的安全狀態(tài)以及確定應(yīng)該如何改進(jìn)。企業(yè)可從多個(gè)方面分析這樣的事件,并利用他們所吸取的教訓(xùn)來(lái)為未來(lái)可能不那么快被修復(fù)的問(wèn)題做好準(zhǔn)備。
風(fēng)險(xiǎn)決策取決于需要了解運(yùn)作情況
企業(yè)應(yīng)該從Office 365 SAML漏洞學(xué)習(xí)的第一個(gè)教訓(xùn)與企業(yè)對(duì)他們部署云服務(wù)的了解程度(例如產(chǎn)品的架構(gòu))有關(guān)。這可能聽(tīng)起來(lái)不像是火箭科學(xué),但請(qǐng)記住,云模式讓企業(yè)很容易或忽視這一點(diǎn)。云計(jì)算非常有價(jià)值,部分因?yàn)樗屍髽I(yè)遠(yuǎn)距離獲取底層維護(hù)、支持和技術(shù)基礎(chǔ)。例如,在SaaS的情況下,從客戶的角度來(lái)看,7層(應(yīng)用層)以下大多數(shù)堆棧通常是黑盒子。因此,對(duì)于應(yīng)用在技術(shù)水平如何運(yùn)作可以被忽略。在很少的情況下,企業(yè)會(huì)在不了解架構(gòu)的情況下發(fā)布舊版客戶端/服務(wù)器或web應(yīng)用,但他們更有可能在云計(jì)算的情況下這樣做。
在本文談?wù)摰那闆r中,問(wèn)題出在Office 365身份驗(yàn)證過(guò)程生成的SAML聲明。那么,大多數(shù)依靠SAML的云服務(wù)客戶對(duì)這些身份聯(lián)合機(jī)制如何運(yùn)作的了解程度如何?通常并不是很多,因?yàn)樗麄儾⒉恍枰@樣做才能使用云服務(wù)。然而,如果企業(yè)想要應(yīng)對(duì)Office 365 SMAL這樣的事件,則需要足夠了解該服務(wù)以做出明智的決策。
例如,企業(yè)可能需要確定,在特定問(wèn)題得到解決之前,是否會(huì)影響他們對(duì)云服務(wù)的使用--這個(gè)問(wèn)題是否足夠嚴(yán)重需要采取行動(dòng)或者無(wú)法使用服務(wù)是否帶來(lái)影響。在較小型或不太精通技術(shù)的提供商(例如,無(wú)法迅速修復(fù)問(wèn)題的提供商)的情況下,如果沒(méi)有快速修復(fù),企業(yè)可能要評(píng)估輔助對(duì)策。而當(dāng)企業(yè)不了解云服務(wù)的運(yùn)作方式,他們將更加難以做出決策。
這并不意味著企業(yè)應(yīng)該讓其員工花費(fèi)全部時(shí)間去詳細(xì)了解他們部署的每個(gè)服務(wù)如何運(yùn)作。相反地,企業(yè)可將可靠架構(gòu)信息源記錄在容易訪問(wèn)的地方。例如,如果企業(yè)保持著其部署的云服務(wù)的清單,則應(yīng)該同時(shí)記錄該服務(wù)架構(gòu)文檔信息的鏈接。這可確保可迅速獲取這些信息,而不需要匆忙花費(fèi)數(shù)小時(shí)去檢索。事實(shí)上,企業(yè)應(yīng)該要求以及審查這些信息,作為服務(wù)提供商整合或?qū)彶榈囊徊糠?。保存這些記錄可在出現(xiàn)問(wèn)題時(shí)節(jié)省時(shí)間;更不用提當(dāng)服務(wù)提供商受到漏洞事件的影響時(shí)。
評(píng)估通知過(guò)程
從微軟Office 365 SAML吸取的第二個(gè)教訓(xùn)與安全團(tuán)隊(duì)如何獲知和了解這種情況有關(guān)。企業(yè)需要認(rèn)識(shí)到,每個(gè)服務(wù)提供商可能有不同的方法來(lái)通知其客戶有關(guān)漏洞的消息。他們可能會(huì)發(fā)送維護(hù)或安全警報(bào)電子郵件,可能會(huì)在狀態(tài)頁(yè)面或用戶論壇發(fā)布警報(bào),還有些提供商可能會(huì)聯(lián)系內(nèi)部人員或者內(nèi)部聯(lián)系人。企業(yè)是否知道在哪里查看??jī)?nèi)部聯(lián)系人是否合適?這些內(nèi)部聯(lián)系人是否知道該怎么辦?如果這些問(wèn)題的答案是否定的或者不確定,那說(shuō)明企業(yè)還有很多工作要做。
同樣重要的是,了解服務(wù)提供商其警報(bào)流程是否針對(duì)漏洞或安全事件。同時(shí),這也需要記錄在應(yīng)用清單中--這可能是在部署新服務(wù)提供商的過(guò)程中已經(jīng)收集的信息。如果企業(yè)還沒(méi)有收集這種信息,這應(yīng)該考慮提前做一些考察工作。企業(yè)無(wú)法對(duì)不知道的事情做出反應(yīng)--除非企業(yè)有某種方式確保其可及時(shí)得到通知以及測(cè)試這些通知流程,否則企業(yè)可能沒(méi)有完全的可視性。
對(duì)于企業(yè)而言,云服務(wù)提供商受到Office 365 SAML等漏洞的影響,這絕不是什么好消息,但這有時(shí)候可能給企業(yè)帶來(lái)寶貴的學(xué)習(xí)機(jī)會(huì)。