SaaS-приложения стали неотъемлемой частью работы большинства компаний, но вместе с удобством они приносят риски безопасности. По данным отчёта XM Cyber за май 2024 года, 80% всех угроз связаны с ошибками в управлении идентичностями и учетными данными. Проблема усугубляется тем, что следы атак часто остаются незамеченными, а фрагментарные средства защиты не позволяют увидеть полную картину. Пример: захват аккаунта в Entra ID, повышение привилегий в GitHub и кража данных из Slack могут выглядеть как разрозненные инциденты, но на самом деле это этапы одной сложной атаки.
Wing Security разработала платформу с многоуровневой защитой идентичностей в SaaS, которая объединяет управление политиками безопасности и обнаружение угроз в режиме реального времени. Такой подход позволяет создать полную карту идентичностей, быстро реагировать на инциденты и предотвращать повторные атаки.
Первая задача — получить прозрачность во всей SaaS-инфраструктуре. Обычные решения вроде IAM и PAM не видят все приложения SaaS и не дают нужной глубины анализа. Wing Security устраняет проблему «теневого IT», обнаруживая все приложения, учётные записи, а также скрытые сторонние интеграции. Для этого используются API-подключения к основным провайдерам идентичности — Okta, Google Workspace, Azure AD — и к ключевым SaaS-сервисам: Microsoft 365, Salesforce, Slack, GitHub. Платформа выявляет как человеческие, так и сервисные учётные записи, API-ключи, связи между приложениями, интеграции сторонних сервисов, зоны доступа, использование AI-приложений и статус многофакторной аутентификации.
Следующий этап — обнаружение угроз, связанных с идентичностями. Wing анализирует события и индикаторы компрометации, моделируя поведение злоумышленника и сопоставляя его с техникой MITRE ATT&CK. Это позволяет быстро построить цепочку атаки на основе логов, облегчить расследование и снизить нагрузку на сотрудников SOC. Каждый инцидент обогащается данными об IP-адресах, геолокации, использовании VPN или Tor, что помогает аналитикам быстро понять, по какому сценарию действует злоумышленник.
Пример реальной атаки выглядит следующим образом. Сначала происходит попытка «password spray» — массовый перебор паролей для разных пользователей в Entra ID, что позволяет избежать блокировки. Затем злоумышленник использует один и тот же user agent для разведки по нескольким аккаунтам. После успешного входа он назначает себе административные права в Entra ID и получает доступ к OAuth-интеграциям, например, в GitHub. На завершающем этапе происходит скачивание приватных репозиториев, которые могут содержать исходный код, API-ключи и документацию.
Хронология такой атаки включает все обнаруженные события: какой аккаунт был скомпрометирован, каким способом, через какое приложение, с какого устройства и из какого региона. Это помогает службе безопасности видеть всю последовательность действий, сопоставлять их с тактиками MITRE ATT&CK (например, активное сканирование, использование валидных учётных записей, изменение прав) и связывать отдельные аномалии в единую картину.
Для оценки риска используется специальный коэффициент уверенности в компрометации, который учитывает тип инцидента (например, password spray или всплеск активности), количество срабатываний, а также стадию атаки по MITRE ATT&CK (первичный доступ, эксфильтрация данных и т. д.). В приоритетной очереди дашборда угрозы с наивысшим риском выводятся наверх, чтобы команда реагирования не теряла время на ложные тревоги.
Структурированный трекинг инцидентов позволяет командам SecOps не упускать ни одной угрозы: менять статус расследования, помечать критичные события для интеграции с SIEM или SOAR, обновлять данные по мере работы специалистов SOC и IR.
Для изоляции и устранения угроз используются индивидуальные сценарии реагирования, включая конкретные рекомендации для каждого типа инцидента и приложения. В документации приводятся примеры настройки политик (например, в Okta) и лучшие практики, чтобы устранить не только последствия, но и корень проблемы. После ликвидации угрозы проводится проверка уязвимостей: наличие аккаунтов без MFA, бессрочных токенов администратора и других рисков по CISA SCuBA.
Wing Security объединяет возможности управления безопасностью SaaS (SSPM) и обнаружения угроз по идентичностям (ITDR), что позволяет сокращать время реагирования, видеть контекст атаки и предупреждать инциденты на ранних стадиях.
Изображение носит иллюстративный характер
Wing Security разработала платформу с многоуровневой защитой идентичностей в SaaS, которая объединяет управление политиками безопасности и обнаружение угроз в режиме реального времени. Такой подход позволяет создать полную карту идентичностей, быстро реагировать на инциденты и предотвращать повторные атаки.
Первая задача — получить прозрачность во всей SaaS-инфраструктуре. Обычные решения вроде IAM и PAM не видят все приложения SaaS и не дают нужной глубины анализа. Wing Security устраняет проблему «теневого IT», обнаруживая все приложения, учётные записи, а также скрытые сторонние интеграции. Для этого используются API-подключения к основным провайдерам идентичности — Okta, Google Workspace, Azure AD — и к ключевым SaaS-сервисам: Microsoft 365, Salesforce, Slack, GitHub. Платформа выявляет как человеческие, так и сервисные учётные записи, API-ключи, связи между приложениями, интеграции сторонних сервисов, зоны доступа, использование AI-приложений и статус многофакторной аутентификации.
Следующий этап — обнаружение угроз, связанных с идентичностями. Wing анализирует события и индикаторы компрометации, моделируя поведение злоумышленника и сопоставляя его с техникой MITRE ATT&CK. Это позволяет быстро построить цепочку атаки на основе логов, облегчить расследование и снизить нагрузку на сотрудников SOC. Каждый инцидент обогащается данными об IP-адресах, геолокации, использовании VPN или Tor, что помогает аналитикам быстро понять, по какому сценарию действует злоумышленник.
Пример реальной атаки выглядит следующим образом. Сначала происходит попытка «password spray» — массовый перебор паролей для разных пользователей в Entra ID, что позволяет избежать блокировки. Затем злоумышленник использует один и тот же user agent для разведки по нескольким аккаунтам. После успешного входа он назначает себе административные права в Entra ID и получает доступ к OAuth-интеграциям, например, в GitHub. На завершающем этапе происходит скачивание приватных репозиториев, которые могут содержать исходный код, API-ключи и документацию.
Хронология такой атаки включает все обнаруженные события: какой аккаунт был скомпрометирован, каким способом, через какое приложение, с какого устройства и из какого региона. Это помогает службе безопасности видеть всю последовательность действий, сопоставлять их с тактиками MITRE ATT&CK (например, активное сканирование, использование валидных учётных записей, изменение прав) и связывать отдельные аномалии в единую картину.
Для оценки риска используется специальный коэффициент уверенности в компрометации, который учитывает тип инцидента (например, password spray или всплеск активности), количество срабатываний, а также стадию атаки по MITRE ATT&CK (первичный доступ, эксфильтрация данных и т. д.). В приоритетной очереди дашборда угрозы с наивысшим риском выводятся наверх, чтобы команда реагирования не теряла время на ложные тревоги.
Структурированный трекинг инцидентов позволяет командам SecOps не упускать ни одной угрозы: менять статус расследования, помечать критичные события для интеграции с SIEM или SOAR, обновлять данные по мере работы специалистов SOC и IR.
Для изоляции и устранения угроз используются индивидуальные сценарии реагирования, включая конкретные рекомендации для каждого типа инцидента и приложения. В документации приводятся примеры настройки политик (например, в Okta) и лучшие практики, чтобы устранить не только последствия, но и корень проблемы. После ликвидации угрозы проводится проверка уязвимостей: наличие аккаунтов без MFA, бессрочных токенов администратора и других рисков по CISA SCuBA.
Wing Security объединяет возможности управления безопасностью SaaS (SSPM) и обнаружения угроз по идентичностям (ITDR), что позволяет сокращать время реагирования, видеть контекст атаки и предупреждать инциденты на ранних стадиях.