单点登录（SSO）凭据被网络安全专业人士认为是“王国之钥”。员工使用这些凭据登录一次就可以访问许多应用程序，可以说，SSO凭据是企业组织最不希望被窃取或在暗网上出售的东西。

如果恶意行为者获得了组织的SSO凭据，他们就可以像受信任的内部人员一样访问组织的系统和数据，包括工资表、合同、知识产权等。简而言之，恶意行为者可以通过获取组织的SSO凭据对其造成重大损害。

不幸的是，即便是世界上最大、最关键的组织也难以保护这些关键资产。安全评级提供商BitSight在暗网上搜索与上市公司相关的关键SSO凭据时，发现在2022年，25%的标普（S&P）500指数公司以及美国最具价值的TOP 20上市公司中，有一半的组织至少有一个SSO凭据在暗网上出售。这些受影响的组织及其全球客户群可能都会面临风险。

下面我们将回顾重要调查结果，以及组织应该如何保护自身安全？

什么是SSO？它为什么受欢迎？

使用SSO，用户只需一次登录即可访问所有相互信任的应用程序。用户向认证服务器发送认证请求，认证服务器就会给用户返回一个成功的令牌token，用户携带该token就能去访问其他相互信任的应用程序。否则，系统会提示用户登录SSO以获得访问权限。最终，用户只需登录一次，即可自由导航到应用程序，而无需输入其他凭据。

许多组织都在使用SSO。它如此流行的原因主要包括：

更少的凭据意味着更少的网络钓鱼目标；

更少的登录时间意味着员工花费更多的时间处理业务关键型任务；

更少的凭据意味着更少的密码重置请求，从而降低IT成本。

尽管网络安全专业人士强烈建议使用SSO，但不正确的实施、误用或SSO凭证被盗都会带来严重的安全威胁。

凭据被盗后果严重

网络攻击者可以通过窃取组织的凭据或其第三方供应商的凭据来危害组织。他们甚至可以利用暗网直接购买这些关键凭据。根据《2022年Verizon数据泄露调查报告》显示，在所有网络攻击事件中，近50%是由凭据被盗导致的。凭据被盗的比例较2017年增长了近30%，已经成为最常见的攻击向量。

2022年，这些趋势仍在继续：

在针对主要SSO供应商Okta的攻击中，攻击者使用Okta供应商提供的泄露凭据来破坏Okta。Okta立即终止了与供应商的关系。

一次大规模网络钓鱼攻击破坏了来自136家公司的近10000个登录凭据和5000多个多因素身份验证（MFA）代码。Twilio的内部系统遭到破坏，包括Okta在内的163名客户的数据被泄露。

很明显，攻击者正在无情地利用窃取的凭据来破坏组织。毫无疑问，没有比SSO凭据更重要的凭据了，因为它为用户提供了唯一、广泛的访问权限。

鉴于SSO凭据的重要性，那么组织是否有效地保护了这些资产呢？结果并不然！BitSight分析了3000家上市公司的安全状况，以了解世界上最有价值、资源最丰富的公司是如何保护其关键SSO凭据的。结果发现，在25%的标普500指数和TOP 20最具价值的美国上市公司中，有一半组织的SSO凭据正在暗网上出售。这些受影响的公司价值高达11万亿美元，大致相当于德国、印度、英国和法国的经济体总和。

暗网上销售的SSO凭据数量激增

BitSight自2022年1月开始的研究发现，暗网上出售的上市公司SSO凭据数量正在稳步增长。仅在6月和7月，就有高达1500多份新的SSO凭据公开出售。

如此多的凭据会造成什么影响？SSO凭据很容易被窃取，并且很难保护，这使得后续威胁变得岌岌可危。BitSight联合创始人兼首席技术官Stephen Boyer表示：“从组织中窃取凭据相对来说是极其容易的，许多组织甚至都不知道SSO凭据失窃可能会带来的严重威胁。这些调查结果应能提高人们的认识，促使组织迅速采取行动，更好地了解这些威胁。”

受影响的组织数量不断增加

除了大量凭据被盗并在暗网上出售外，BitSight还观察到，在暗网中出售SSO凭据所涉的上市公司数量也在稳步增加。这些凭据可用于访问组织的敏感信息和操作，可能会对组织及其客户群产生重大影响。

有趣的是，BitSight的评估结果发现，表现出更强网络安全性能的组织不太可能暴露SSO凭据。相反地，网络安全性能相对薄弱的组织更容易暴露SSO凭据。数据发现，在3000家接受评估的上市公司中，SSO凭据被售暗网的组织平均BitSight评级为672分；而未暴露SSO凭据的组织平均评级为711分。

受影响的行业分布

虽然BitSight观察到，来自所有部门和行业的上市公司都受到了SSO凭据泄露的影响，但其中，以技术、制造、零售、金融、能源和商业服务领域的组织受到的影响最大。

如此多公共科技公司的SSO凭据被盗并在暗网销售，这一事实格外值得关注。Boyer警告称，“企业需要意识到其主要IT供应商带来的风险。正如我们反复看到的，不安全的供应商凭据可以为恶意行为者提供大规模瞄准大型客户群所需的访问权限。单一公开的SSO凭据可能会产生深远的影响。”

防护建议

安全专家提供了一些关键建议，以帮助组织更好地保护自己免受SSO凭据泄露威胁。

超越传统多因素身份验证（MFA）

网络钓鱼是窃取SSO凭据的一种流行方式，即便启用了MFA，这种情况也难以幸免。恶意行为者可能会冒充组织的SSO提供商向员工发送虚假登录页面。一旦员工输入了他们的凭据并提供了他们的MFA代码，攻击者就可以登录帐户，并像受信任的内部人员一样访问数据和应用程序。

如果员工把MFA交给了恶意行为者，那么MFA就没用了。更安全的选项包括：

自适应MFA

自适应MFA较于传统多因素身份验证，能够根据当前安全状况，选择应用不同的MFA方式，在保障安全的同时也兼顾用户体验。自适应MFA提供了更加灵活和智能的验证策略。在用户进行认证流程时，自适应MFA对当前登录的用户生成的多种关键要素：

用户属性：例如用户名、密码、用户身份等用户自身的属性和信息；

位置感知：位置感知分为虚拟位置（IP 地址）和物理位置（国家、地区等）；

请求来源：对当前用户的请求来源进行判断，如：硬件设备信息、用户当前所在的系统等；

生物识别：使用用户的生物信息进行识别，如：指纹信息、人脸识别等；

行为分析：是否来自常用的登录地点、是否多次输入错误密码、用户之前的操作记录等一系列用户行为。

U2F（Universal two-factor）身份验证

U2F（Universal 2nd Factor）是一种开放式线上身份验证标准，通过使用专门的 USB 或 NFC 设备，来加强并简化双因素身份验证（2FA - Two-Factor Authentication ）。该标准最初由Google和Yubico开发，并得到NXP Semiconductors支持，现在由FIDO联盟主理。相较于其他双因素验证方案，U2F 有以下特点:

相较于 OTP （Google Authenticator、Authy、短信验证码 等），U2F操作简单，注册和登录均不需要输入文字/扫描二维码，只需要按一下设备上的按钮。安全性高，私钥明文不会离开设备；

相较于其他基于物理设备的方案（各种 U 盾），U2F无需驱动/浏览器插件。

实施最低权限原则

限制可以访问关键系统的人员，以便使用受损账户的攻击者可以减少伤害。最低权限原则意味着减少普通员工访问应用程序的数量，只允许其访问工作必需的应用程序。

管理来自第三方供应商的风险

攻击者可能会通过破坏第三方供应商来实现破坏组织的目的。了解供应商的安全态势非常重要，以确保他们充分保护自己的组织和您的组织。

建议在建立业务关系之前，分析第三方供应商的网络安全态势。利用持续监控来确定正常情况的基线，并检测第三方网络上的可疑活动。此外，密切检查组织的技术关系。了解组织与SaaS提供商共享的内容。数据有多敏感？谁可以访问它等信息。

除了了解所在组织的风险敞口外，管理第三方生态系统产生的风险也至关重要。从单个供应商处盗取凭据可能会导致下游组织也遭到破坏，威胁组织业务关系和数据的机密性。

原文链接：

https://www.bitsight.com/sites/default/files/2022-09/SSO%20Research%20Blog%20Download.pdf