Što Oktini neuspjesi govore o budućnosti sigurnosti identiteta 2025

2025. trebala bi biti godina u kojoj će pružatelji usluga identiteta uložiti sve u poboljšanje svakog aspekta kvalitete i sigurnosti softvera, uključujući crveno udruživanje dok svoje aplikacije čine transparentnijima i dobivaju objektivne rezultate izvan standarda.

Anthropic, OpenAI i druge vodeće AI tvrtke podigle su red teaming na novu razinu, revolucionizirajući svoje procese izdavanja na bolje. Pružatelji identiteta, uključujući Oktatrebaju slijediti njihovo vodstvo i učiniti isto.

Dok je Okta jedan od prvih dobavljača za upravljanje identitetom koji se prijavio CISA-a Dizajnirano sigurno obećanje, još uvijek se bore da isprave autentifikaciju. Oktino nedavno savjetovanje rekla je korisnicima da se korisnička imena od 52 znaka mogu kombinirati s pohranjenim ključevima predmemorije, zaobilazeći potrebu davanja lozinke za prijavu. Okta preporučuje da korisnici koji ispunjavaju preduvjete trebaju istražiti svoj Okta System Log radi neočekivane provjere autentičnosti s korisničkih imena većih od 52 znakova u razdoblju od 23. srpnja 2024. do 30. listopada 2024.

Okta pokazuje na svoje najbolji rekord u klasi za usvajanje višefaktorske provjere autentičnosti (MFA) među korisnicima i administratorima Workforce Identity Clouda. To su tablični ulozi za zaštitu kupaca danas i dano natjecanje na ovom tržištu.

Google Cloud najavio obavezna provjera autentičnosti s više faktora (MFA) za sve korisnike do 2025. Microsoft također je učinio MFA obaveznim za Azure počevši od listopada ove godine. “Početkom 2025. započet će postupna provedba za MFA pri prijavi za alate Azure CLI, Azure PowerShell, Azure mobile app i Infrastructure as Code (IaC),” prema nedavni post na blogu.

Okta postiže rezultate uz CISA-in Secure by Design

Pohvalno je što je toliko dobavljača upravljanja identitetom potpisalo CISA Secure by Design Pledge. Okta je potpisao u svibnju ove godine, obvezujući se na inicijativu sedam sigurnosnih ciljeva. Dok Okta nastavlja napredovati, izazovi i dalje postoje.

Slijediti standarde dok pokušavate isporučiti nove aplikacije i komponente platforme je izazovno. Još je problematičnije održavati raznoliku, brzu seriju DevOps, softverskog inženjeringa, QA-a, crvenih timova, upravljanja proizvodima i marketinških stručnjaka koordiniranih i usredotočenih na lansiranje.

1. Nedovoljno zahtjevan kada je u pitanju MFA: Okta je izvijestila o značajnom povećanju korištenja MFA, s 91% administratora i 66% korisnika koji koriste MFA od siječnja 2024. U međuvremenu, sve više tvrtki MFA čini obveznim bez oslanjanja na standard za to. Googleova i Microsoftova obvezna MFA pravila naglašavaju jaz između Oktinih dobrovoljnih mjera i novog sigurnosnog standarda u industriji.

• Upravljanje ranjivostima treba poboljšati, počevši od čvrste predanosti crvenom timu. Oktin bug bounty program i politika otkrivanja ranjivosti većinom su transparentni. Izazov s kojim se suočavaju jest taj da je njihov pristup upravljanju ranjivostima i dalje reaktivan, oslanjajući se prvenstveno na vanjska izvješća. Okta također mora uložiti više u crveno timovanje kako bi simulirala napade u stvarnom svijetu i preventivno identificirala ranjivosti. Bez crvenog udruživanja, Okta riskira da specifične vektore napada ostavi neotkrivenima, što potencijalno ograničava njezinu sposobnost ranog rješavanja prijetnji u nastajanju.

• Poboljšanja zapisivanja i praćenja moraju biti ubrzana. Okta unapređuje mogućnosti bilježenja i praćenja radi bolje sigurnosne vidljivosti, ali od listopada 2024. mnoga su poboljšanja ostala nedovršena. Kritične značajke kao što su praćenje sesije u stvarnom vremenu i robusni alati za reviziju još uvijek su u razvoju, što sprječava Okta-inu sposobnost da pruži sveobuhvatno otkrivanje upada u stvarnom vremenu na svojoj platformi. Te su sposobnosti ključne za pružanje trenutnih uvida i odgovora korisnicima na potencijalne sigurnosne incidente.

Sigurnosni pogrešni koraci Okte pokazuju potrebu za robusnijim upravljanjem ranjivostima

Dok je svaki pružatelj usluga upravljanja identitetom imao svoj dio napada, upada i proboja s kojima se morao nositi, zanimljivo je vidjeti kako ih Okta koristi kao pogonsko sredstvo da se ponovno izmisli koristeći CISA-in okvir Secure by Design.

Oktini pogrešni koraci daju snažan argument za proširenje njihovih inicijativa za upravljanje ranjivostima, uzimajući lekcije crvenog udruživanja naučene od Anthropica, OpenAI-ja i drugih pružatelja AI-a i primjenjujući ih na upravljanje identitetom.

Nedavni incidenti koje je Okta doživjela uključuju:

• Ožujak 2021. – upad u kameru Verkade: Napadači su dobili pristup preko 150.000 sigurnosnih kamera, otkrivajući značajne sigurnosne propuste u mreži.
• Siječanj 2022. – Grupni kompromis LAPSUS$: Grupa kibernetičkog kriminala LAPSUS$ iskoristila je pristup trećih strana za probijanje Oktinog okruženja.
• Prosinac 2022. – Krađa izvornog koda: Napadači su ukrali Oktin izvorni kod, ukazujući na interne nedostatke u kontrolama pristupa i praksi sigurnosti koda. Ova povreda ukazala je na potrebu za strožim internim kontrolama i mehanizmima nadzora za zaštitu intelektualnog vlasništva.
• Listopad 2023. – Povreda korisničke podrške: Napadači su dobili neovlašteni pristup korisničkim podacima približno 134 korisnika putem Oktinih kanala podrške, a tvrtka ih je priznala 20. listopada, počevši s ukradenim vjerodajnicama koristi za dobivanje pristupa svom sustavu upravljanja podrškom. Odatle su napadači dobili pristup datotekama HTTP arhive (.HAR) koje sadrže aktivne kolačiće sesije i počeli provaljivati ​​Oktine klijente, pokušavajući prodrijeti u njihove mreže i izvući podatke.
• Listopad 2024. – Premosnica provjere autentičnosti korisničkog imena: Sigurnosna greška omogućila je neovlašteni pristup zaobilaženjem provjere autentičnosti temeljene na korisničkom imenu. Premosnica je istaknula slabosti u testiranju proizvoda, budući da se ranjivost mogla identificirati i sanirati temeljitijim testiranjem i praksama crvenog tima.

Strategije crvenog udruživanja za sigurnost identiteta za budućnost

Okta i drugi pružatelji usluga upravljanja identitetom moraju razmotriti kako mogu poboljšati red teaming neovisno o bilo kojem standardu. Softverskoj tvrtki za poduzeća ne bi trebao biti potreban standard za briljiranje u crvenom udruživanju, upravljanju ranjivostima ili integraciji sigurnosti kroz životni ciklus razvoja sustava (SDLC).

Okta i drugi dobavljači upravljanja identitetom mogu poboljšati svoje sigurnosno stanje preuzimanjem lekcija crvenog udruživanja naučenih od Anthropica i OpenAI-ja u nastavku i jačanjem svog sigurnosnog položaja u procesu:

Namjerno stvarajte kontinuiraniju suradnju čovjeka i stroja kada je u pitanju testiranje: Anthropicov spoj ljudske stručnosti s crvenim timom vođenim umjetnom inteligencijom otkriva skrivene rizike. Simuliranjem različitih scenarija napada u stvarnom vremenu, Okta može proaktivno identificirati i riješiti ranjivosti ranije u životnom ciklusu proizvoda.

Posvetite se izvrsnosti u prilagodljivom testiranju identiteta: OpenAI-jevo korištenje sofisticiranih metoda provjere identiteta kao što su glasovna autentifikacija i multimodalna unakrsna provjera valjanosti za otkrivanje deepfake-a mogla bi potaknuti Oktu da usvoji slične mehanizme testiranja. Dodavanje prilagodljive metodologije testiranja identiteta također bi moglo pomoći Okti da se obrani od sve naprednijih prijetnji lažiranja identiteta.

Davanje prioriteta specifičnim domenama za crveno timiranje čini testiranje još fokusiranijim: Anthropicovo ciljano testiranje u specijaliziranim područjima pokazuje vrijednost crvenog udruživanja specifičnog za domenu. Okta bi mogla imati koristi od dodjele posvećenih timova visokorizičnim područjima, kao što su integracije trećih strana i korisnička podrška, gdje nijansirane sigurnosne rupe inače mogu ostati neotkrivene.

Potrebno je više automatiziranih simulacija napada platforme za upravljanje identitetom za testiranje stresa. OpenAI-jev GPT-4o model koristi automatizirane kontradiktorne napade za nastavakobično testirati njegovu obranu pod pritiskom. Okta bi mogla implementirati slične automatizirane scenarije, omogućujući brzo otkrivanje i odgovor na nove ranjivosti, posebno u svom IPSIE okviru.

Posvetite se većoj integraciji obavještajnih podataka o prijetnjama u stvarnom vremenu: Anthropicova razmjena znanja u stvarnom vremenu unutar crvenih timova jača njihovu sposobnost reagiranja. Okta može ugraditi povratne informacije obavještajnih podataka u stvarnom vremenu u svoje red-teaming procese, osiguravajući da novi podaci o prijetnjama odmah informiraju obranu i ubrzavaju odgovor na nove rizike.

Zašto će 2025. biti izazov za sigurnost identiteta kao nikada prije

Protivnici su neumoljivi u svojim naporima da dodaju novo, automatizirano oružje svojim arsenalima, a svaka tvrtka se bori da održi korak.

Budući da su identiteti primarna meta većine kršenja, pružatelji usluga upravljanja identitetom moraju se izravno suočiti s izazovima i pojačati sigurnost u svim aspektima svojih proizvoda. To treba uključiti integraciju sigurnosti u njihov SDLC i pomaganje DevOps timovima da se upoznaju sa sigurnošću kako to ne bi bila naknadna misao koja se žurno provlači neposredno prije izdavanja.

CISA-ina inicijativa Secure by Design neprocjenjiva je za svakog pružatelja usluga kibernetičke sigurnosti, a to je posebno slučaj za dobavljače upravljanja identitetom. Oktina iskustva sa Secure by Design pomogla su im pronaći nedostatke u upravljanju ranjivostima, zapisivanju i nadzoru. Ali Okta tu ne bi trebao stati. Moraju uložiti sve u obnovljeni, intenzivniji fokus na crveno udruživanje, uzimajući lekcije naučene iz Anthropica i OpenAI-ja.

Poboljšanje točnosti, latencije i kvalitete podataka putem crvenog udruživanja gorivo je koje svaka softverska tvrtka treba za stvaranje kulture stalnog poboljšanja. CISA-in Secure by Design samo je početna točka, a ne odredište. Dobavljači upravljanja identitetom koji ulaze u 2025. trebaju vidjeti standarde onakvima kakvi jesu: vrijedne okvire za usmjeravanje kontinuiranog poboljšanja. Imati iskusnu, čvrstu funkciju crvenog tima koja može uhvatiti pogreške prije nego što se pošalju i simulirati agresivne napade sve vještijih i dobro financiranih protivnika jedno je od najmoćnijih oružja u arsenalu pružatelja usluga upravljanja identitetom. Crveno timsko udruživanje ključno je za ostanak konkurentan dok imate priliku boriti se da ostanete ravnopravni s protivnicima.

Bilješka pisca: Posebna zahvala Taryn Plumb na njezinoj suradnji i doprinosu prikupljanju uvida i podataka.