很多初階工程師或資安人員在處理身分驗證時,會認為只要啟用了 MFA(多因素驗證)或定期強制更改密碼,就能有效防止帳號被盜用。然而,在現代的 SaaS 企業環境中,存在一個巨大的安全盲點:OAuth 授權。
OAuth 是一種開放標準的授權協議,它允許使用者在不提供密碼的情況下,讓第三方應用程式(例如 AI 工具、自動化工作流、生產力 App)代表使用者訪問特定的資料(如 Google 日曆、Microsoft 郵件)。簡單來說,當你點擊使用 Google 帳號登入某個 App 並同意其權限時,系統會發給該 App 一個 Token(令牌)。
這個 Token 就是問題所在。
OAuth 令牌的特性與傳統密碼截然不同。首先,許多 Token 是持久性的,沒有明確的過期日期。其次,即使員工更改了密碼,或者該員工已經離職,之前授予第三方 App 的 OAuth 授權通常依然有效。最危險的是,一旦攻擊者拿到了這個 Token,他們可以直接跳過 MFA 驗證進入系統,因為在系統眼中,持有 Token 的 App 已經是被信任的授權對象,不需要再次登入。
目前的資安防禦邏輯大多集中在入口處,例如檢查登入 IP 或要求 MFA。但 OAuth 攻擊是從側門進入,繞過了所有邊界控制。
以 Drift 事件為例,這是一個典型的供應鏈攻擊。攻擊者並非直接攻破客戶的防火牆,而是先透過釣魚攻擊獲取了 Drift 平台的 OAuth Refresh Token(刷新令牌,可用於獲取新的訪問令牌)。由於 Drift 是被許多企業信任的合法整合工具,攻擊者利用這些合法 Token,成功潛入超過 700 家組織的 Salesforce 環境中。
在這次攻擊中,所有的 API 調用看起來都是合法的,因為它們來自一個被信任的 App。攻擊者進入後,便開始系統性地搜尋 AWS 密鑰、Snowflake 令牌等高價值憑證,導致連鎖反應,影響範圍擴大到 Cloudflare 與 PagerDuty 等多家公司。
這告訴我們一個關鍵教訓:對一個 App 的信任不應該是安裝時的一次性判定,而應該是持續性的監控。
目前的許多資安工具僅在安裝階段檢查權限範圍(Scope)是否過大,或者檢查廠商信譽。但如果一個原本合法的 App 在後期被攻破,這種靜態檢查完全失效。要真正解決 OAuth 漏洞,需要從以下三個維度建立監控機制。
第一是行為監控。不能只看 App 申請了什麼權限,而要看它實際做了什麼。例如,一個原本只讀取日曆的 App,突然開始大量導出電子郵件或在深夜進行異常的 API 調用,這就是明顯的攻擊訊號。
第二是爆炸半徑評估(Blast Radius Assessment)。同一個 App 授權給實習生與授權給公司高管,其風險等級完全不同。高管帳號擁有更多敏感文件的讀取權,一旦 Token 洩漏,造成的損害將呈指數級增長。因此,風險評分必須將使用者的權限等級納入考量。
第三是分級響應機制。面對不同風險等級的 App,應採取不同對策。對於來源不明且行為異常的 App,應立即撤銷授權;而對於公司核心業務依賴的重大整合工具,則應觸發人工審核,避免因誤判導致業務中斷。
隨著 AI 工具的普及,員工會自發性地將大量 AI 插件連接到企業工作區。禁止使用 AI 並非長久之計,真正的解決方案在於建立可視化管理,將 OAuth 授權從單純的設定紀錄,轉變為動態的資安監控指標。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。