Anthropic、OpenAI和其他領先的AI公司已將紅隊演練提升至新高度,徹底革新了其發布流程,使之變得更好,包括Okta在內的身份提供商需要效仿他們的做法。
雖然Okta是首批簽署CISA“設計即安全”(Secure by Design)承諾的身份管理供應商之一,但他們在身份驗證方面仍面臨挑戰。Okta近期發布的一份公告告知客戶,52個字符的用戶名可能與存儲的緩存密鑰結合使用,從而無需提供密碼即可登錄。Okta建議滿足前提條件的客戶應檢查其Okta系統日志,以發現在2024年7月23日至2024年10月30日期間,是否存在來自超過52個字符的用戶名的意外身份驗證。
Okta指出,其在Workforce Identity Cloud的用戶和管理員中采用多因素身份驗證(MFA)方面取得了行業領先的成績。這是如今保護客戶的必要條件,也是在此市場中競爭的基礎。
谷歌云宣布,到2025年,將對所有用戶強制實施多因素身份驗證(MFA)。微軟也已要求從今年10月起,Azure用戶必須使用MFA。“從2025年初開始,將開始對Azure CLI、Azure PowerShell、Azure移動應用和基礎設施即代碼(IaC)工具的登錄進行MFA的逐步強制執行,”根據最近的一篇博客文章所述。
Okta通過CISA的“設計即安全”取得成效
值得稱贊的是,眾多身份管理供應商已簽署CISA“設計即安全”承諾。Okta于今年5月簽署,并承諾踐行該倡議的七項安全目標。雖然Okta持續取得進展,但挑戰依然存在。
在嘗試推出新應用和平臺組件的同時追求標準頗具挑戰。更棘手的是,如何讓多元化且快速變動的DevOps、軟件工程、質量保證、紅隊、產品管理和營銷團隊保持協調,并專注于產品發布。
在MFA方面要求不夠嚴格:Okta報告稱,MFA的使用率顯著增加,截至2024年1月,已有91%的管理員和66%的用戶使用MFA。與此同時,越來越多的公司正在不依賴標準的情況下強制實施MFA。谷歌和微軟的強制MFA政策凸顯了Okta自愿措施與行業新安全標準之間的差距。
• 漏洞管理需要改進,首先要堅定承諾進行紅隊演練。Okta的漏洞懸賞計劃和漏洞披露政策在大多數情況下是透明的。但他們面臨的挑戰是,其漏洞管理方法仍然是被動的,主要依賴外部報告。Okta還需要在紅隊演練上投入更多,以模擬真實世界的攻擊并預先識別漏洞。不進行紅隊演練,Okta就有可能遺漏特定的攻擊途徑,從而可能限制其及早應對新興威脅的能力。
• 日志記錄和監控的增強需要加速。Okta正在增強日志記錄和監控功能,以提高安全可見性,但截至2024年10月,許多改進仍未完成。實時會話跟蹤和強大的審計工具等關鍵功能仍在開發中,這阻礙了Okta在其平臺上提供全面、實時的入侵檢測能力。這些功能對于為客戶提供針對潛在安全事件的即時見解和響應至關重要。
Okta的安全失誤表明需要更強大的漏洞管理
雖然每個身份管理供應商都曾遭遇過攻擊、入侵和泄露事件,但Okta如何利用這些事件,借助CISA的“設計即安全”框架進行自我重塑,這一點頗有趣味。
Okta的失誤充分說明了其需要擴大漏洞管理舉措,借鑒Anthropic、OpenAI和其他AI供應商在紅隊演練方面的經驗,并將其應用于身份管理。
Okta近期遭遇的事件包括:
• 2021年3月——Verkada攝像頭泄露事件:攻擊者訪問了超過150,000個安全攝像頭,暴露了重大的網絡安全漏洞。
• 2022年1月——LAPSUS團伙入侵事件:LAPSUS網絡犯罪團伙利用第三方訪問權限入侵了Okta的環境。
• 2022年12月——源代碼被盜事件:攻擊者盜取了Okta的源代碼,揭示了訪問控制和代碼安全實踐中的內部漏洞。此次泄露事件凸顯了需要更嚴格的內部控制和監測機制來保護知識產權。
• 2023年10月——客戶支持泄露事件:攻擊者通過Okta的支持渠道未經授權地訪問了約134名客戶的客戶數據,該公司在10月20日確認了這一事件,事件起因是攻擊者使用竊取的憑據訪問了其支持管理系統。隨后,攻擊者獲取了包含活動會話cookie的HTTP歸檔(.HAR)文件,并開始入侵Okta的客戶,試圖滲透他們的網絡并竊取數據。
• 2024年10月——用戶名身份驗證繞過事件:一個安全漏洞允許通過繞過基于用戶名的身份驗證來獲得未經授權的訪問權限。該繞過事件暴露了產品測試中的薄弱環節,因為通過更徹底的測試和紅隊演練實踐,本可以發現并修復這一漏洞。
面向未來身份安全的紅隊演練策略
Okta和其他身份管理供應商需要考慮如何在不依賴任何標準的情況下改進紅隊演練。一家企業級軟件公司不應需要標準來在紅隊演練、漏洞管理或跨系統開發生命周期(SDLC)的安全集成方面表現出色。
Okta和其他身份管理供應商可以通過借鑒以下Anthropic和OpenAI的紅隊演練經驗,并在此過程中加強其安全態勢,來提升其安全水平:
在測試方面,故意創造更多持續的人機協作:Anthropic將人類專業知識與AI驅動的紅隊演練相結合,發現了隱藏的風險。通過實時模擬各種攻擊場景,Okta可以在產品生命周期的更早階段主動識別并解決漏洞。
致力于在自適應身份測試方面取得卓越表現:OpenAI使用復雜的身份驗證方法,如語音身份驗證和多模態交叉驗證來檢測深度偽造,這可能會啟發Okta采用類似的測試機制。增加自適應身份測試方法也可以幫助Okta抵御日益先進的身份欺騙威脅。
優先考慮特定領域的紅隊演練,使測試更具針對性:Anthropic在專門領域的針對性測試展示了領域特定紅隊演練的價值。Okta可以通過向高風險領域(如第三方集成和客戶支持)分配專門團隊來受益,這些領域的細微安全漏洞可能會在其他情況下被忽視。
需要更多的自動化攻擊模擬來對身份管理平臺進行壓力測試。OpenAI的GPT-4o模型使用自動化的對抗性攻擊來持續測試其防御能力。Okta可以實施類似的自動化場景,以便快速檢測和響應新漏洞,特別是在其IPSIE框架中。
致力于集成更多實時威脅情報:Anthropic在紅隊內部實時共享知識,增強了其響應能力。Okta可以將其紅隊演練流程中嵌入實時情報反饋循環,確保不斷發展的威脅數據能夠立即為防御提供信息,并加速對新興風險的響應。
為何2025年將帶來前所未有的身份安全挑戰
對手在不懈努力地為其武器庫增添新的自動化武器,而每家企業都在努力跟上這一步伐。
由于身份是大多數泄露事件的主要目標,身份管理供應商必須直面挑戰,并加強其產品各個方面的安全性。這需要將安全融入SDLC,并幫助DevOps團隊熟悉安全,使其不再是發布前匆忙進行的后續工作。
CISA的“設計即安全”倡議對每家網絡安全供應商來說都極具價值,對身份管理供應商而言更是如此。Okta通過“設計即安全”發現了漏洞管理、日志記錄和監控方面的不足。但Okta不應止步于此。他們需要全力以赴,以更加嶄新和專注的態度進行紅隊演練,借鑒Anthropic和OpenAI的經驗教訓。
通過紅隊演練提高數據的準確性、延遲性和質量,是任何軟件公司創造持續改進文化所需的動力。CISA的“設計即安全”只是起點,而非終點。進入2025年的身份管理供應商需要將標準視為有價值的框架,用以指導持續改進。擁有一支經驗豐富、實力雄厚的紅隊,能夠在產品發布前發現并糾正錯誤,并模擬來自日益熟練且資金充足的對手的激烈攻擊,是身份管理供應商武器庫中最強大的武器之一。紅隊演練是保持競爭力的核心,同時也有機會與對手保持勢均力敵。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號