ملخص

  • اختراق مفتاح AWS لـ OneLogin عام 2017 أصبح اختبارًا لمساءلة مزود الهوية لأن تصريحات OneLogin المعاصرة أفادت بوجود وصول غير مصرح به في منطقة بيانات الولايات المتحدة، ثم وصفت المهاجم باستخدام مفاتيح AWS للوصول إلى API AWS، وأوصت العملاء باتخاذ خطوات معالجة واسعة النطاق تشمل المفاتيح والشهادات والرموز والأسرار وكلمات المرور.
  • من كان لديه السيطرة الفعلية على تخزين مفاتيح AWS وتشفير بيانات العملاء وعزل مزود الهوية وإلغاء الرموز وتوجيه المعالجة للعملاء وتوقيت الإفصاح وإثبات أن اختراق SSO لم يترك تعرضًا دائمًا للحسابات؟
  • قضية المساءلة هي أن مزود الهوية يركز مخاطر وصول العملاء، لذا يصبح اختراق المفتاح السحابي اختبارًا للحوكمة للتجزئة والتشفير ودليل إصلاح العملاء.
  • العملاء المؤسسيون والموظفون والمسؤولون ومزودو SaaS اللاحقون وفرق الأمن والمدققون والجهات التنظيمية بحاجة إلى أدلة على إمكانية إعادة تعيين سلسلة الثقة في الهوية والتحقق منها بدلاً من مجرد الإعلان عن استعادتها.
  • تتعامل هذه المقالة مع التقارير المعاصرة التي نقلت إشعار أمان OneLogin وتوجيه العملاء كدليل لسجل الحادثة عام 2017، ومواد OneLogin وOne Identity كدليل على سياق المنتج والإقامة الإقليمية، ومواد AWS والمعايير كمفردات تحكم، وتحليل الطرف الثالث فقط كدعم لدروس الاستجابة للحوادث والمفاتيح السحابية.

لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة

تنتمي OneLogin إلى ملف المخاطر والمساءلة لأن الخدمة لم تكن تطبيقًا عاديًا يحمل مجموعة بيانات ضيقة واحدة. لقد كانت مزود هوية. استخدمتها المؤسسات للتوسط في الوصول إلى العديد من التطبيقات الأخرى، وإصدار تأكيدات SAML، ودعم تدفقات OAuth وOpenID Connect، وأتمتة التزويد وإلغاء التزويد، ومركزية سياسة المصادقة. عندما يتعرض مزود هوية لحادثة مفتاح بنية تحتية، يكون سؤال الضرر أكبر من مجرد ما إذا كانت قاعدة بيانات واحدة قد لمست. السؤال العملي يصبح ما إذا كان يمكن إعادة تعيين سلسلة الثقة التي يستخدمها العملاء للوصول إلى الخدمات السحابية الأخرى قبل أن يتمكن المهاجم من تحويل التعرض من جانب المزود إلى وصول دائم في الجهات اللاحقة.

يبدأ السجل العام بإفصاح OneLogin في 31 مايو 2017 كما ورد في Krebs on Security علىhttps://krebsonsecurity.com/2017/06/onelogin-breach-exposed-ability-to-decrypt-data/وSecurityWeek علىhttps://www.securityweek.com/onelogin-shares-more-details-breach-customer-impact/. نقلت تلك الحسابات عن OneLogin قولها إنها اكتشفت وصولاً غير مصرح به إلى بيانات OneLogin في منطقة بيانات الولايات المتحدة، وأوقفت الوصول، وأبلغت السلطات، وعملت مع شركة أمن مستقلة. تحديث لاحق من OneLogin نقل في نفس السجل العام قال إن المهاجم حصل على مفاتيح AWS، واستخدمها للوصول إلى API AWS من مزود وسيط في الولايات المتحدة، وأنشأ مثيلات للاستطلاع، ووصل إلى جداول قاعدة بيانات تحتوي على معلومات عن المستخدمين والتطبيقات وأنواع المفاتيح. كما قال السجل إن OneLogin لم تستطع استبعاد احتمالية حصول المهاجم على القدرة على فك تشفير البيانات.

هذا المزيج جعل القضية اختبارًا للمساءلة. مفاتيح AWS ليست مجرد كلمات مرور. في بيئة البنية التحتية كخدمة يمكنها إنشاء مثيلات، وقراءة البيانات الوصفية، والتنقل عبر الخدمات، والوصول إلى قواعد البيانات حسب الأذونات. نموذج المسؤولية المشتركة لـ AWS علىhttps://aws.amazon.com/compliance/shared-responsibility-model/يوضح الحدود: AWS يؤمن البنية التحتية السحابية الأساسية، بينما يظل العميل المستخدم لـ AWS مسؤولاً عن الهوية والوصول وتكوين البيانات وضوابط التطبيق. في هذه الحالة، كانت OneLogin هي عميل AWS، وكان عملاء OneLogin المؤسسيون أطرافًا معتمدة. لذلك عبرت سلسلة المساءلة ثلاثة مستويات: مزود السحابة، ومزود الهوية، ومستأجر العميل.

السؤال عملي: من كان لديه السيطرة الفعلية على تخزين مفاتيح AWS وتشفير بيانات العملاء وعزل مزود الهوية وإلغاء الرموز وتوجيه المعالجة للعملاء وتوقيت الإفصاح وإثبات أن اختراق SSO لم يترك تعرضًا دائمًا للحسابات؟ لا يمكن أن تتوقف الإجابة عند "تدوير المفاتيح". التدوير ضروري، لكنه جزء واحد فقط من إصلاح الهوية. يحتاج العملاء إلى معرفة أي كائنات الثقة تأثرت، وأيها يحتمل تأثرها، وأيها يجب استبداله فورًا، وأيها يمكن مراقبته، وأي دليل يظهر الإغلاق.

وضع منتج OneLogin الحالي علىhttps://www.onelogin.com/يؤكد على إدارة الهوية المركزية للقوى العاملة والعملاء والشركاء، وآلاف تكاملات التطبيقات، والمصادقة التكيفية، وإدارة دورة الحياة الآلية. هذا الوضع يشرح مخاطر حادثة 2017. المزود الذي يمركز الوصول يقلل التجزئة عندما يعمل. عندما يتم اختراق مستوى التحكم الخاص به، يمكنه أيضًا تركيز عدم اليقين. يجب أن يُظهر ملف الإصلاح الخاضع للمساءلة أن المركزية لا تصبح نصف قطر انفجار غير محدود.

يجب أن يتذكر اختراق OneLogin لعام 2017 كحالة نصف قطر انفجار مزود هوية، وليس فقط حالة مفتاح AWS. المفتاح المسروق أو المكشوف كان المسار الموصوف في السجل العام. الاختبار الحقيقي كان ما إذا كان بإمكان المزود والعملاء إعادة تعيين السلطة التي جعلت آلاف عمليات تسجيل الدخول اللاحقة ممكنة. تبدأ المساءلة عندما يتم توثيق إعادة التعيين، وتسمية المجهول، وتغيير البنية التحتية بحيث يكون لاختراق المفتاح التالي من جانب المزود نصف قطر انفجار أصغر وأوضح وأسرع احتواءً.