2025年,随着云计算和SaaS应用的广泛普及,企业对软件即服务的依赖达到了前所未有的高度。然而,正是这种依赖也带来了更复杂、更隐蔽的安全风险。今年,Salesloft与Drift之间SaaS集成的供应链攻击,成为迄今为止影响最深远、规模最大的安全事件之一,波及超过700家企业。这场攻击不仅揭示了传统安全防御体系在面对现代SaaS生态时的脆弱性,也让业界开始重新审视SaaS安全防护策略的必要性和迫切性。 攻击的核心在于SaaS集成带来的安全盲区。Salesloft和Drift作为两款深受企业欢迎的销售自动化和客户沟通工具,通常与Salesforce、Google Workspace等核心业务系统紧密集成。
此次攻击的始作俑者利用了OAuth令牌滥用以及未受监控的SaaS-to-SaaS连接,成功突破传统身份认证与多因素认证的防护,从一个第三方应用轻易横向移动到客户的多个核心系统。这种方法不仅提高了攻击效率,更让攻击规模呈几何倍数扩散,极大地放大了供应链安全风险。 此次事件的攻击者由臭名昭著的黑客集团ShinyHunters与Scattered Spider联合发动,显示出当代网络威胁日益专业化和联合化的趋势。通过冷静提取受害者的OAuth令牌,他们获得了跨业务系统的持续访问权限,避免了传统的密码破解或社工手段,绕开了常规安全防线。与此同时,攻击者还专门搜集API密钥和秘密凭据,作为进一步渗透的"钥匙",使得其攻击链条更加完整和隐蔽。这种跨SaaS应用的复杂攻击方式,彻底暴露了很多企业在多应用、多供应商环境下安全管理的巨大缺口。
从技术角度看,传统SaaS安全措施显然难以应对这种新型攻击。传统IAM解决方案本质上信任OAuth令牌,却缺乏对令牌使用异常行为的深入分析。大多数安全工具只能监测单一应用的安全状态,无法有效识别跨多个云服务连接的异常访问模式。此外,多数企业仍依赖静态安全配置,无法动态感知配置漂移以及权限滥用,导致攻击者得以利用配置漏洞深入网络。此次Salesloft-Drift事件证明,没有实时、全面的SaaS生态视图和集成威胁检测,企业极易成为供应链攻击的牺牲品。 为了应对这一挑战,新兴的动态SaaS安全解决方案成为关键突破口。
以Reco为代表的平台,通过其全面的应用发现功能,能够即时识别组织内隐藏的所有SaaS-to-SaaS连接,包括未授权的影子SaaS与AI代理。该平台的身份与访问治理模块利用人工智能持续监测OAuth令牌使用情况,精准捕捉异常访问与权限滥用,避免被绕过安全机制。Reco的SSPM+模块则针对配置管理中的漂移风险提供自动化检测和合规保障,辅助企业保持坚实的安全姿态。最重要的是,Reco的身份威胁检测响应系统能够跨应用构建攻击链画像,实时识别跨SaaS的攻击行为,为安全团队提供及时预警和应急指导。 此次Salesloft-Drift攻击事件还暴露了企业在秘密管理方面的严重隐患。许多组织在SaaS环境中存储了大量敏感信息,如API密钥、内部凭据等,但缺乏有效的扫描和清理机制。
这些嵌入的秘密成为攻击者打开更多系统的跳板,也使得攻击难以被传统安全工具察觉。Reco推荐持续扫描和清除秘密,以及强化对第三方集成权限的审计和管理,从根源上减少攻击面。 整体来看,Salesloft-Drift供应链攻击不仅是一场针对某两个SaaS供应商的安全事件,更是对全球企业SaaS安全防护体系的一次深刻警示。供应链攻击因其高效倍增效应,威胁远超传统凭据泄露,更考验企业对复杂SaaS生态的动态感知能力和跨平台联动响应能力。未来,企业若想真正关闭不断扩大的SaaS安全差距,必须摒弃单点防护思维,拥抱动态、安全自动化与AI驱动的全面防御体系。 建议所有使用Salesloft、Drift或类似工具的企业首先进行全面的SaaS资产盘点,确保对所有集成和连接有清晰的认知和管理。
其次,立即检查OAuth令牌和相关凭据,发现在异常使用的迹象并及时吊销疑似受损的令牌。同时持续监控跨应用访问模式,结合行为分析发现潜在威胁。不容忽视的还有定期检查与审计第三方服务集成的权限配置,防止因权限过度开放而被攻击者利用。最后,建立及时响应机制和事件日志分析能力,确保任何异常活动都能被快速识别并处置。 随着2025年云原生与AI技术的加速融合,SaaS应用的数量和复杂度还将大幅提升,新的安全挑战不可避免。企业必须前瞻性拥抱动态SaaS安全策略,借助智能平台实现对影子IT、影子AI的管控,并通过持续的风险评估和合规保障,稳步提升整体安全韧性。
Salesloft-Drift事件带来的教训警醒每一家数字化转型企业,唯有主动管理复杂的SaaS生态系统,方能在未来网络攻防中立于不败之地。 。
