Melindungi terhadap phishing persetujuan

Produktivitas tidak lagi terbatas pada jaringan privat, dan pekerjaan bergeser secara dramatis ke layanan cloud. Sementara aplikasi cloud memungkinkan karyawan untuk menjadi produktif dari jarak jauh, penyerang juga dapat menggunakan serangan berbasis aplikasi untuk mendapatkan akses ke data organisasi yang berharga. Anda mungkin terbiasa dengan serangan yang berfokus pada pengguna, seperti pengelabuan email atau penyusupan kredensial. Pengelabuan persetujuan adalah ancaman vektor lain yang harus diwaspadai.

Artikel ini menjelajahi apa itu pengelabuan persetujuan, apa yang dilakukan Microsoft untuk melindungi organisasi, dan langkah-langkah apa yang dapat diambil organisasi agar tetap aman.

Apa itu phishing persetujuan?

Serangan pengelabuan persetujuan menipu pengguna untuk memberikan izin ke aplikasi cloud yang berbahaya. Aplikasi berbahaya ini kemudian dapat memperoleh akses ke layanan dan data cloud pengguna yang sah. Tidak seperti penyusupan informasi, pelaku ancaman yang melakukan pengelabuan persetujuan menargetkan pengguna yang dapat memberikan akses ke data pribadi atau organisasi mereka secara langsung. Layar persetujuan menampilkan semua izin yang diterima aplikasi. Karena penyedia yang sah (seperti platform identitas Microsoft) menghosting aplikasi, pengguna yang tidak menduga menerima persyaratan. Tindakan ini memberikan aplikasi berbahaya izin yang diminta ke data. Gambar berikut ini menunjukkan contoh aplikasi OAuth yang meminta akses ke berbagai macam izin.

Mengurangi serangan pengelabuan persetujuan

Administrator, pengguna, atau peneliti keamanan Microsoft mungkin menandai aplikasi OAuth yang tampaknya berperilaku mencurigakan. Microsoft meninjau aplikasi yang ditandai untuk menentukan apakah aplikasi tersebut melanggar ketentuan layanan. Jika pelanggaran dikonfirmasi, ID Microsoft Entra menonaktifkan aplikasi dan mencegah penggunaan lebih lanjut di semua layanan Microsoft.

Saat MICROSOFT Entra ID menonaktifkan aplikasi OAuth, tindakan berikut terjadi:

• Aplikasi berbahaya dan perwakilan layanan terkait ditempatkan ke dalam status dinonaktifkan sepenuhnya. Setiap permintaan token baru atau permintaan untuk token refresh akan ditolak, tetapi token akses yang ada masih akan berlaku sampai token kedaluwarsa.
• Aplikasi ini ditampilkan DisabledDueToViolationOfServicesAgreement pada disabledByMicrosoftStatus properti pada jenis sumber daya aplikasi dan perwakilan layanan terkait di Microsoft Graph. Untuk mencegahnya diinstansiasi di organisasi Anda lagi di masa mendatang, Anda tidak dapat menghapus objek ini.
• Email dikirim ke Administrator Peran Istimewa saat pengguna di organisasi menyetujui aplikasi sebelum dinonaktifkan. Email menentukan tindakan yang diambil, dan langkah-langkah yang direkomendasikan yang dapat mereka lakukan untuk menyelidiki dan meningkatkan postur keamanan mereka.

Respons dan remediasi yang disarankan

Jika aplikasi yang dinonaktifkan Microsoft berdampak pada organisasi, organisasi harus mengambil langkah-langkah berikut untuk menjaga lingkungan tetap aman:

1. Selidiki aktivitas aplikasi untuk aplikasi yang dinonaktifkan, termasuk:
   • Izin yang didelegasikan atau izin aplikasi yang diminta oleh aplikasi.
   • Log audit Microsoft Entra terhadap aktivitas oleh aplikasi dan aktivitas masuk untuk pengguna yang berwenang menggunakan aplikasi.
2. Tinjau dan gunakan panduan untuk mempertahankan terhadap pemberian persetujuan terlarang. Panduan ini mencakup izin audit dan persetujuan untuk aplikasi yang dinonaktifkan dan mencurigakan yang ditemukan saat peninjauan.
3. Terapkan praktik terbaik untuk pengerasan terhadap phishing persetujuan, yang dijelaskan di bagian berikut.

Praktik terbaik untuk pengerasan terhadap serangan phishing persetujuan

Administrator harus mengendalikan penggunaan aplikasi dengan memberikan wawasan dan kemampuan yang tepat untuk mengontrol bagaimana aplikasi diizinkan dan digunakan di dalam organisasi. Meskipun penyerang tidak pernah berhenti, ada langkah-langkah yang dapat diambil oleh organisasi untuk meningkatkan postur keamanan mereka. Praktik terbaik utama yang harus diikuti meliputi:

• Mendidik organisasi Anda tentang cara kerja izin dan kerangka kerja persetujuan kami:
  • Memahami data dan izin yang diminta aplikasi, dan memahami cara kerja izin dan persetujuan di dalam platform kami.
  • Memastikan bahwa administrator mengetahui cara untuk mengelola dan mengevaluasi permintaan persetujuan.
  • Secara rutin mengaudit aplikasi dan izin yang disetujui di dalam organisasi Anda untuk memastikan aplikasi yang digunakan hanya mengakses data yang diperlukan, dan mematuhi prinsip-prinsip hak istimewa terendah.
• Ketahui cara menemukan dan memblokir taktik phishing persetujuan umum:
  • Memeriksa ejaan dan tata bahasa yang buruk. Jika pesan email atau layar persetujuan aplikasi memiliki kesalahan pengejaan dan tata bahasa, kemungkinan ini adalah aplikasi yang mencurigakan. Dalam hal ini, laporkan langsung pada permintaan persetujuan dengan tautan Laporkan di sini dan Microsoft menyelidiki apakah itu adalah aplikasi berbahaya dan menonaktifkannya, jika dikonfirmasi.
  • Jangan mengandalkan nama aplikasi dan URL domain sebagai sumber keaslian. Penyerang ingin memalsukan nama aplikasi dan domain yang membuatnya terlihat seperti berasal dari layanan atau perusahaan yang sah untuk mendorong persetujuan ke aplikasi yang berbahaya. Sebagai gantinya, validasi sumber URL domain tersebut, dan gunakan aplikasi dari penerbit yang terverifikasi jika memungkinkan.
  • Blokir email pengelabuan persetujuan dengan Microsoft Defender untuk Office 365 dengan melindungi dari kampanye pengelabuan di mana penyerang menyamar sebagai pengguna yang dikenal di dalam organisasi.
  • Konfigurasikan kebijakan Aplikasi Microsoft Defender untuk Cloud untuk membantu mengelola aktivitas aplikasi yang abnormal di dalam organisasi. Misalnya, kebijakan aktivitas, deteksi anomali, dan kebijakan aplikasi OAuth.
  • Menyelidiki dan berburu serangan phishing persetujuan dengan mengikuti panduan tentang perburuan lanjutan dengan Pertahanan Microsoft 365.
• Izinkan akses ke aplikasi tepercaya yang memenuhi kriteria tertentu dan melindungi terhadap aplikasi yang tidak:
  • Konfigurasikan pengaturan persetujuan pengguna untuk memungkinkan pengguna hanya menyetujui aplikasi yang memenuhi kriteria tertentu. Aplikasi tersebut mencakup aplikasi yang dikembangkan oleh organisasi Anda atau dari penerbit terverifikasi dan hanya untuk izin berisiko rendah yang Anda pilih.
  • Gunakan aplikasi yang diverifikasi penerbit. Verifikasi penerbit membantu administrator dan pengguna memahami keaslian pengembang aplikasi melalui proses pemeriksaan yang didukung oleh Microsoft. Bahkan jika aplikasi memang memiliki penerbit terverifikasi, masih penting untuk meninjau permintaan persetujuan untuk memahami dan mengevaluasi permintaan. Misalnya, meninjau izin yang diminta untuk memastikan mereka selaras dengan skenario yang diminta aplikasi untuk mengaktifkannya, detail aplikasi dan penerbit lain pada prompt persetujuan, dan sebagainya.
  • Buat kebijakan tata kelola aplikasi yang proaktif untuk memantau perilaku aplikasi pihak ketiga di platform Microsoft 365 untuk mengatasi perilaku aplikasi mencurigakan yang umum.
  • Dengan Microsoft Security Copilot, Anda dapat menggunakan perintah bahasa alami untuk mendapatkan wawasan dari data Microsoft Entra Anda. Ini membantu Anda mengidentifikasi dan memahami risiko yang terkait dengan aplikasi atau identitas beban kerja. Pelajari selengkapnya tentang cara Menilai risiko aplikasi menggunakan Microsoft Security Copilot di Microsoft Entra.

Langkah berikutnya

• Investigasi pemberian persetujuan aplikasi
• Mengelola akses ke aplikasi
• Membatasi operasi persetujuan pengguna di ID Microsoft Entra
• Investigasi aplikasi yang disusupi dan berbahaya