U bent hier:
API (OAuth-instellingen inschakelen): Stroom Client Credentials uitschakelen
Deze controle omvat het uitschakelen van de onveilige "Client Credentials"-stromen ten gunste van op certificaten gebaseerde authenticatiemethoden met grote zekerheid, zoals de JWT-bearerstroom of External Client Apps (ECA).
Controlenaam
Verbonden apps: API (OAuth-instellingen inschakelen): Stroom Client Credentials uitschakelen
Aanbevolen configuratie
Schakel de stroom Client Credentials uit.
Overzicht van besturingselementen
Deze controle omvat het uitschakelen van de onveilige "Client Credentials"-stromen ten gunste van op certificaten gebaseerde authenticatiemethoden met grote zekerheid, zoals de JWT-bearerstroom of External Client Apps (ECA).
Beveiligingsrisico indien niet geconfigureerd
Deze stromen vertrouwen vaak op een statische client-ID en een statisch klantgeheim (en soms op gebruikerswachtwoorden) die fungeren als "gedeelde geheimen", die gemakkelijk kunnen worden gecompromitteerd als ze hard zijn gecodeerd in scripts of zichtbaar zijn in configuratiebestanden.
Dreigingsscenario's
Een aanvaller ontdekt een hard-coded klantgeheim in een openbare GitHub-repository of interne documentatie en gebruikt dit om programmatisch te authenticeren als een serviceaccount met hoge privileges, waarbij volledige API-toegang tot de organisatie wordt verkregen.
Geschatte CVSS-scorebereik
Kritiek (9,0–10,0).
Overwegingen bij risico-impact
Het gebruik van onveilige inloggegevens leidt tot aanhoudende, niet-interactieve accountovername, waardoor een tegenstander bulkhoeveelheden gegevens kan exfiltreren of systeemconfiguratie kan wijzigen zonder traditionele MFA-problemen te activeren.
Hoger risico wanneer
Als de stroom Clientgegevens is gekoppeld aan een gebruiker die is toegewezen aan het profiel "Systeembeheerder" of een profiel met de machtiging "Alle gegevens wijzigen".
Laag risico wanneer
Als het bedrijf strikte inlog-IP-bereiken heeft geïmplementeerd voor de integratiegebruiker en realtime API-verzoekbewaking gebruikt om afwijkend verkeer met groot volume te detecteren.
Overwegingen bij bedrijf en integratie
Het uitschakelen van deze stromen vereist het migreren van bestaande middleware (bijvoorbeeld MuleSoft-, Boomi- of aangepaste Python-scripts) om op certificaten gebaseerde JWT-stromen te gebruiken, hetgeen het beheer van X.509-certificaten en het bijwerken van de logica aan de clientzijde inhoudt.
Aanbevolen oplossing
Ga naar de OAuth-instellingen van de verbonden app, schakel het vakje "Stroom voor clientinloggegevens inschakelen" uit en schakel de integratie over om de JWT-bearerstroom te gebruiken met een digitaal certificaat.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert het verwijderen van verouderde, op wachtwoorden gebaseerde inloggegevensstromen als een kritieke stap in het moderniseren van identiteitsbeveiliging en het ontwikkelen van een Zero Trust architectuur voor alle systeem-naar-systeem integraties.
