Logo Akuity SOC
Akuity SOC
CYBERSECURITY
Sicherheit und MFA

Middleware- und API-Sicherheit: Blockieren Sie nicht authentifizierte Korrekturen

5 min de lecture Akuity SOC · Delphisoft Deutschland

Die Absicherung der Weboberfläche (Frontend) eines SOAR reicht nicht aus. Erfahren Sie, wie die Next.js-Middleware von Akuity API-Anfragen ohne MFA-AAL2-Sitzungen blockiert.

Im modernen Webanwendungsdesign tritt einer der kritischsten Fehler auf, wenn Entwickler Benutzerfreundlichkeit (die Benutzeroberfläche) und Sicherheit (das Backend) verwechseln. Im Bereich der Cybersicherheit und insbesondere für eine SOAR-Plattform, die in der Lage ist, Maschinen zu isolieren oder E-Mails zu löschen, kann diese Verwirrung fatal sein.

Es reicht absolut nicht aus, die Schaltfläche „Maschine isolieren“ in der Weboberfläche auszublenden, wenn der Benutzer seine doppelte Authentifizierung (MFA) nicht validiert hat. Ein kompetenter Angreifer wird Ihre GUI völlig ignorieren. Entdecken Sie, warum „clientseitige“ Sicherheit eine Illusion ist und wie die Middleware-Architektur von Akuity SOC einen undurchdringlichen Schutz für Ihre API-Anfragen garantiert.

Die Illusion der clientseitigen Sicherheit (Frontend)

Viele SaaS-Anwendungen handhaben die Authentifizierung auf diese Weise: Der Benutzer meldet sich an und der JavaScript-Code des Browsers prüft, ob er das MFA-Kontrollkästchen bestanden hat. Wenn ja, wird die Schnittstelle angezeigt. Wenn nicht, wird auf eine Fehlerseite weitergeleitet.

Dies wird als „clientseitige“ Sicherheit bezeichnet. Das Problem besteht darin, dass der Angreifer den Client kontrolliert.

Wenn er das SOC-Analyst-Passwort hat, kann ein Angreifer:

  1. Deaktivieren Sie JavaScript in Ihrem Browser, um Weiterleitungen zu umgehen.
  2. Öffnen Sie die Entwicklungstools (DevTools) und rufen Sie das grundlegende AAL1-Sitzungstoken ab.
  3. Verwenden Sie ein Tool zum Abfangen von Anfragen wieRülpsen-SuiteOderBriefträger.
  4. Fälschen Sie direkt eine HTTP-AnfragePOST /api/remediate/isolate_deviceindem es sein Basis-Token anhängt und so die Webschnittstelle vollständig umgeht.

Wenn der Backend-Server die Sicherheitsstufe des Tokens nicht streng prüft, wird er der Anfrage Folge leisten. Der Hacker hat gerade einen zerstörerischen Befehl auf Ihrer Computerausrüstung ausgeführt, ohne jemals die MFA validiert zu haben.

Der Middleware Shield: Abfangen im Handumdrehen

Damit ein SOC-Orchestrator SOC 2-zertifiziert ist und die Prinzipien einer Zero-Trust-Architektur erfüllt, muss jeder API-Endpunkt (Server Actions) an der Legitimität des Aufrufers zweifeln.

Anstatt die MFA-Überprüfung in jede Funktion zu programmieren (was das Risiko einer menschlichen Aufsicht seitens eines Entwicklers erhöht), wird die Plattformarchitektur verwendetAkuity SOCnutzt eine zentrale Softwarekomponente: dieMiddleware Next.js.

Die Middleware fungiert als Inbound-Bouncer, der an der Vordertür des Servers platziert wird. Es fängt alle HTTP-Anfragen ab (sei es vom legitimen Webbrowser oder einem Hacking-Tool wie Postman).Vordass sie die Geschäftslogik der Anwendung nicht erreichen.

Überprüfung des Anspruchs „AAL2“

So erfolgt die algorithmische Validierung der Akuity Middleware:

  1. Abfangen:Die Middleware fängt die eingehende Anfrage ab, die auf eine geschützte Route verweist (z. B. das Cockpit oder die Ausführung eines KQL-Skripts).
  2. Kryptografisches Mining:Es liest das von Supabase generierte sichere Sitzungscookie (sb-access-token).
  3. JWT-Dekodierung:Es dekodiert das JSON Web Token (JWT), ohne dem Aufrufer zu vertrauen, und überprüft seine kryptografische Signatur.
  4. Die goldene Regel (AAL2):Es wird nach dem Vorhandensein des Versicherungsfelds gesucht. Wenn der Token anzeigt"aal": "aal1"Dies bedeutet, dass der Benutzer nur sein Passwort validiert hat.
  5. Ablehnung:Die Middleware blockiert die Anfrage sofort. Wenn es sich um einen Webbrowser handelt, wird eine erzwungene Umleitung ausgelöst (HTTP 302) zur Seite/login/mfa. Wenn es sich um einen direkten böswilligen API-Aufruf handelt, wird die Anfrage mit einem Statuscode abgelehntHTTP 403 Forbidden.

Demomodus: Eine sichere Simulation zum Testen

Diese architektonische Strenge kann das Testen eines Produkts für neue Benutzer komplex machen. Wie kann man die Plattform während der 14-tägigen kostenlosen Testversion bewerten, wenn man keinen eigenen Google Authenticator verknüpfen möchte?

Akuity beinhaltet einen cleveren „Demo/Sandbox-Modus“. Während einer Simulation generiert das System einen falschen QR-Code. Wenn der Interessent einen zufälligen 6-stelligen Code eingibt, fängt eine bestimmte Serveraktion diesen gefälschten Token ab (der mit beginnt).demo.), fügt den Anspruch quasi ein"aal": "aal2"und einen Keks platzierendemo-mfa-enabled = 'true'. Die Middleware erkennt diese Teststruktur und ermöglicht es dem Interessenten, eine simulierte End-to-End-Behebung zu erleben, ohne jemals die drastischen Regeln zu schwächen, die den Benutzern in der Produktion auferlegt werden.

Fazit: Sichern Sie den Motor, nicht die Karosserie

Bei der Cybersicherheit schützt man eine Bank nicht dadurch, dass man einfach die Türen anstreicht. Sicherheit muss in der Struktur der Anwendung verankert sein. Indem Sie die Kontrolle über die MFA-Berechtigungsausweitung (AAL2) an die unerbittliche Middleware übergeben, beseitigen Sie Schnittstellenschwachstellen (Bypass Frontend) und stellen sicher, dass Ihre Microsoft Graph-Behebungs-APIs vor grundlegendem Identitätsdiebstahl geschützt bleiben.

Entscheiden Sie sich für eine Softwarearchitektur ohne Kompromisse.> Entdecken Sie die Prinzipien vonAkuity SOC API-Sicherheit und MFA-Managementum die Wasserdichtheit Ihrer Betriebsabläufe zu gewährleisten.

Page Solution Associée

Sicherheit des SOC-Betriebs durch MFA (AAL2)

Sperren Sie Ihre SOC-Behebungsmaßnahmen mit einer strikten Zwei-Faktor-Authentifizierung. AAL1 vs. AAL2, Middleware-Blockierung und TOTP-Kompatibilität.

Découvrir la solution complète

Articles du même cluster

AAL1 vs. AAL2 Assurance Standard: Ein Passwort reicht im SOC nicht mehr aus

Der Schutz des Zugriffs Ihres SOC-Teams erfordert absolute Sicherheit. Erfahren Sie den Unterschied zwischen den Versicherungsstandards AAL1 und AAL2 (MFA).

Lire →

SOC-Sicherheit: Warum TOTP gegenüber SMS (MFA) wählen?

Die doppelte Authentifizierung per SMS ist anfällig für SIM-Swapping und Phishing. Finden Sie heraus, warum Ihr SOC TOTP (AAL2)-Anwendungen verwenden sollte.

Lire →