As cookies são uma das tecnologias web mais importantes que existe, apesar de serem quase tão antigos como os próprios web browsers. Por vezes, têm má reputação, mas não há como negar que as cookies facilitam muito a nossa vida. Armazenam informações que nos permitem manter a sessão iniciada num sítio e desfrutar de uma experiência produtiva, em vez de termos de nos autenticar e refazer continuamente as mesmas ações.
No entanto, os cookies também representam uma oportunidade para os hackers, que podem roubá-las para realizar uma série de atividades ilícitas. Segundo a Check Point Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de plataformas de segurança cibernética baseadas em IA e fornecidas na cloud, no caso das aplicações SaaS da sua organização, isto pode levar ao roubo ou utilização indevida de dados sensíveis, transações não autorizadas e muito mais.
Neste caso, estamos a falar de session cookies. Embora sejam de curta duração, as session cookies, tal como as geradas por sites bancários, não são particularmente úteis para os atacantes. No entanto, as cookies de duração mais longa são, uma vez que são utilizados para sessões “ativas” que podem persistir durante muitas horas ou dias.
É importante notar que as session cookies são utilizados para autenticar a identidade de um utilizador, o que significa que são gerados após o MFA. Assim, quando o atacante pode “passar a cookie” – ou utilizá-la para uma nova sessão web – pode fazer-se passar por um utilizador legítimo.
Uma ameaça contínua
As session cookies podem ser roubadas de várias formas, tais como aceder a redes Wi-Fi não seguras, ataques de scripting entre sites, phishing, trojans e outro malware e ataques man-in-the-middle.
Para um exemplo do mundo real, considere o malware Racoon Stealer, que é apenas uma das muitas famílias de malware concebidas para roubar cookies. O grupo de piratas informáticos, Lapsus$, terá utilizado o Racoon Stealer para obter acesso não autorizado aos sistemas da empresa de videojogos Electronic Arts, utilizando as session cookie roubadas. Criaram uma conta clone de um funcionário da EA e acabaram por fugir com centenas de GB de dados, incluindo o código-fonte do jogo.
De facto, o roubo de cookies é bastante comum, estimando-se que 22 mil milhões de registos de cookies foram roubados em 2022.
Mas o foco deste post não é como as session cookies SaaS são roubadas ou mesmo como evitá-las. Em vez disso, estamos a olhar através de uma lente de confiança zero. Então, vamos assumir que as session cookies já foram roubadas, o que fazer para mitigar esta ameaça?
Defesa de aplicações SaaS
Atualmente, as aplicações SaaS são fundamentais para a atividade empresarial, sendo que uma organização média utiliza 130 delas. As session cookies para uma aplicação SaaS dariam ao atacante acesso às mesmas informações e permissões que o utilizador legítimo. Isto pode incluir transações de vendas e ficheiros internos. No caso de uma sessão de webmail sequestrada, o atacante poderia aceder a todos os e-mails do utilizador, enviar e-mails que incitassem outros a tomar ações específicas que beneficiassem o atacante, e muito mais.
Felizmente, é possível – e bastante simples – defender-se contra os perigos das session cookies roubados com o Harmony SASE SaaS Protection.
O Harmony SASE atribui um endereço IP único e estático à sua organização, e apenas o tráfego proveniente do seu endereço terá acesso às suas aplicações SaaS. Todo o resto é negado por padrão.
Mesmo que um atacante tenha obtido session cookies ativas que, mais uma vez, contornam o mecanismo MFA, o tráfego seria simplesmente bloqueado pelo servidor SaaS.
Proteção para além dos cookies de sessão
O Harmony SASE dá-lhe a visibilidade e o controlo de que necessita para reduzir os riscos de segurança SaaS.
A fácil disponibilidade do SaaS significa um acesso conveniente para os membros da sua equipa, onde quer que estejam localizados, mas também dá aos atacantes uma ampla oportunidade de procurar as lacunas de segurança. Com 55% dos executivos de segurança a reportarem um incidente de segurança SaaS recente, é evidente que os ataques não estão a desaparecer.
Além de um endereço IP exclusivo, o Harmony SASE também permite alinhar o acesso e as permissões dos utilizadores com as suas funções e responsabilidades. Isto mantém todos “na sua faixa” e evita o acesso não autorizado a aplicações e dados.
O Harmony SASE também fornece visibilidade em tempo real e relatórios fáceis dos utilizadores e dispositivos que se ligam às suas aplicações SaaS. Se alguma vez tiver razões para suspeitar de atividade não autorizada, um utilizador e todos os seus dispositivos podem ser desconectados com um simples clique. Isto também é útil quando um funcionário sai, uma vez que o seu acesso a todas as aplicações SaaS pode ser instantaneamente desativado.