Нещодавнє порушення безпеки OAuth Salesloft–Drift ілюструє новий головний біль для кіберстраховиків: приховані ризики, що ховаються в ланцюгах поставок SaaS. Атака, що тривала з 8 по 18 серпня, вразила приблизно 700 організацій.
Використовуючи довірені інтеграції, зловмисники обійшли багатофакторну автентифікацію (MFA), перетворивши токени OAuth – цифрові ключі, які дозволяють програмам отримувати доступ до облікових записів без паролів – з конектора Drift–Salesforce на необмежений доступ.
Це дало їм доступ до конфіденційних даних клієнтів, хмарних облікових даних та інших критично важливих активів. Що робить цей інцидент особливо тривожним, так це те, що ризик виходить з повсякденних бізнес-операцій, за даними KYND.
Самі з'єднання, на які організації покладаються для оптимізації робочих процесів, можуть також служити невидимими бекдорами, поширюючи вплив на кілька компаній.
Початкові звіти передбачали, що під загрозою перебувають лише екземпляри Salesforce, інтегровані з Salesloft Drift, але зараз вважається, що будь-яка платформа, що використовує Drift, потенційно може бути скомпрометована.
Для кіберстраховиків це порушення підкреслює зростаючу складність та глибину ризику ланцюга поставок.
Традиційні оцінки ризиків постачальників не оснащені для виявлення ризику N-го ступеня. Маппінг ланцюгів поставок за межами сторонніх постачальників практично неможливий без автоматизованих інструментів, а ручні процеси неминуче пропускають активи через фрагментовану видимість вище за течією.
Це означає, що андеррайтери можуть приймати рішення щодо страхового покриття без повної картини прихованих залежностей глибоко в екосистемах клієнтів.
Системний ризик постачальників посилюється глибокими, взаємопов'язаними ланцюгами поставок та прагненням до уніфікованих робочих процесів в організаціях.
Постачальники прагнуть безперешкодно інтегруватися з якомога більшою кількістю систем, але кожне підключення збільшує ймовірність кросплатформного компрометування, створюючи каскадні ризики для кількох клієнтів.
Під час кібератаки зловмисники також отримали ключі AWS та токени Snowflake. Крадіжка облікових даних, подібна до цієї, може перерости у порушення хмарних систем, перебої в обслуговуванні та атаки програм-вимагачів.
Для страховиків це створює кілька векторів втрат: витрати на реагування на порушення, судово-медичні розслідування, регуляторний контроль, договірні суперечки, репутаційну шкоду та переривання бізнесу.
Цей інцидент підкреслює важливий урок: інтеграції SaaS та доступ третіх сторін тепер повинні розглядатися як основні ризики портфеля.
Страховики вже відстежують цикли оновлення та безпеку кінцевих точок, але їм також потрібна прозорість того, як страхувальники керують інтеграціями постачальників та безпекою як точками системного впливу.
Якщо їх не контролювати, ці ризики непомітно накопичуються, поки не вплинуть на всі страхові портфелі.
