2025 年需要成为身份提供者全力改善软件质量和安全各个方面的一年,包括红队,同时使他们的应用程序更加透明,并获得超越标准的结果的客观性。
Anthropic、OpenAI和其他领先的人工智能公司将红队演练提升到了一个新水平,彻底改变了他们的发布流程。包括Okta在内的身份提供商需要效仿他们的做法。
虽然 Okta 是首批签署CISA 安全设计承诺的身份管理供应商之一,但他们仍在努力实现正确的身份验证。Okta最近的公告告诉客户,52 个字符的用户名可以与存储的缓存密钥相结合,从而无需提供密码即可登录。Okta 建议满足先决条件的客户调查他们的 Okta 系统日志,以查找 2024 年 7 月 23 日至 2024 年 10 月 30 日期间用户名超过 52 个字符的意外身份验证。
Okta 指出,在 Workforce Identity Cloud 的用户和管理员中,多因素身份验证 (MFA) 的采用率是同类中最好的 。这是保护当今客户的必要条件,也是在这个市场竞争的必要条件。
Google Cloud宣布,到 2025 年,所有用户都必须采用多因素身份验证 (MFA)。微软也从今年 10 月开始强制 Azure 使用 MFA。据最近的一篇博客文章称:“从 2025 年初开始,将逐步在 Azure CLI、Azure PowerShell、Azure 移动应用和基础设施即代码 (IaC) 工具的登录时强制使用 MFA 。 ”
Okta 借助 CISA 的安全设计取得成果
值得称赞的是,许多身份管理供应商都签署了 CISA 安全设计承诺。Okta 于今年 5 月签署了该承诺,承诺实现该计划的七个安全目标。虽然 Okta 不断取得进展,但挑战依然存在。
在尝试发布新应用和平台组件的同时追求标准是一项挑战。更困难的是让一系列多样化、快速发展的 DevOps、软件工程、QA、红队、产品管理和营销人员保持协调一致并专注于发布。
- 在 MFA 方面要求不够严格:Okta 报告称,MFA 使用量显著增加,截至2024 年 1 月,91% 的管理员和 66% 的用户使用 MFA 。与此同时,越来越多的公司在没有制定标准的情况下强制使用 MFA。谷歌和微软的强制性 MFA 政策凸显了 Okta 的自愿措施与行业新安全标准之间的差距。
- 漏洞管理需要改进,首先要坚定地致力于红队测试。Okta的漏洞赏金计划和漏洞披露政策在很大程度上是透明的。他们面临的挑战是,他们的漏洞管理方法仍然是被动的,主要依赖外部报告。Okta 还需要在红队测试上投入更多,以模拟现实世界的攻击并预先识别漏洞。如果没有红队测试,Okta 可能会让特定的攻击媒介无法被发现,这可能会限制其及早应对新出现的威胁的能力。
- 需要加快日志记录和监控增强功能。Okta正在增强日志记录和监控功能,以提高安全性,但截至 2024 年 10 月,许多改进仍未完成。实时会话跟踪和强大的审计工具等关键功能仍在开发中,这阻碍了 Okta 在其平台上提供全面、实时的入侵检测的能力。这些功能对于为客户提供对潜在安全事件的即时洞察和响应至关重要。
Okta 的安全失误表明需要更强大的漏洞管理
虽然每个身份管理提供商都有各自的攻击、入侵和漏洞需要处理,但有趣的是,Okta 如何利用它们作为动力,利用 CISA 的安全设计框架重塑自我。
Okta 的失误有力地证明了他们应该扩大漏洞管理计划,吸取 Anthropic、OpenAI 和其他 AI 提供商的红队经验教训,并将其应用于身份管理。
Okta 最近经历的事件包括:
- 2021 年 3 月——Verkada 摄像头漏洞:攻击者获得了超过 150,000 个安全摄像头的访问权限,暴露了重大的网络安全漏洞。
- 2022 年 1 月——LAPSUS$ 集团入侵:LAPSUS$ 网络犯罪集团利用第三方访问权限破坏 Okta 的环境。
- 2022 年 12 月——源代码盗窃:攻击者窃取了 Okta 的源代码,指出访问控制和代码安全实践存在内部漏洞。这次入侵事件凸显了需要更严格的内部控制和监控机制来保护知识产权。
- 2023 年 10 月 – 客户支持漏洞:攻击者通过 Okta 的支持渠道未经授权访问了大约 134 名客户的客户数据,并于10 月 20 日得到了该公司的承认 , 首先是窃取 用于访问其支持管理系统的凭据。从那里,攻击者获得了包含活动会话 cookie 的 HTTP 存档 (.HAR) 文件的访问权限,并开始入侵 Okta 的客户,试图渗透他们的网络并窃取数据。
- 2024 年 10 月 – 用户名身份验证绕过:一个安全漏洞允许通过绕过基于用户名的身份验证进行未经授权的访问。该绕过凸显了产品测试中的弱点,因为可以通过更彻底的测试和红队实践来识别和修复该漏洞。
红队策略确保未来身份安全
Okta 和其他身份管理提供商需要考虑如何独立于任何标准改进红队。企业软件公司不需要标准就能在红队、漏洞管理或集成其系统开发生命周期 (SDLC) 中的安全性方面表现出色。
Okta 和其他身份管理供应商可以通过吸取 Anthropic 和 OpenAI 的红队经验教训来改善他们的安全态势,并在此过程中加强他们的安全态势:
在测试时刻意创造更持续的人机协作: Anthropic 将人类专业知识与人工智能驱动的红队相结合,揭示了隐藏的风险。通过实时模拟各种攻击场景,Okta 可以在产品生命周期的早期主动识别和解决漏洞。
致力于在自适应身份测试方面取得优异成绩: OpenAI 使用语音认证和多模式交叉验证等复杂的身份验证方法来检测深度伪造,这可能会激励 Okta 采用类似的测试机制。添加自适应身份测试方法还可以帮助 Okta 抵御日益先进的身份欺骗威胁。
优先考虑特定领域的红队测试可以让测试更加集中:Anthropic 在专业领域进行的针对性测试证明了特定领域的红队测试的价值。Okta 可以从将专门的团队分配到高风险领域中受益,例如第三方集成和客户支持,否则这些领域的细微安全漏洞可能无法被发现。
需要更多自动化攻击模拟来对身份管理平台进行压力测试。OpenAI 的 GPT-4o 模型使用自动化对抗攻击来持续对其防御进行压力测试。Okta 可以实现类似的自动化场景,从而能够快速检测和响应新的漏洞,尤其是在其 IPSIE 框架中。
致力于实现更多实时威胁情报集成:Anthropic 在红队内部的实时知识共享增强了他们的响应能力。Okta 可以将实时情报反馈循环嵌入到其红队流程中,确保不断变化的威胁数据立即通知防御部门并加速对新出现的风险的响应。
为什么 2025 年身份安全将面临前所未有的挑战
对手不断努力在其军火库中增加新的自动化武器,每个企业都在努力跟上。
由于身份是大多数违规行为的主要目标,身份管理提供商必须直面挑战,加强其产品各个方面的安全性。这需要包括将安全性集成到其 SDLC 中,并帮助 DevOps 团队熟悉安全性,这样它就不会成为在发布前匆忙完成的事后考虑。
CISA 的 Secure by Design 计划对每个网络安全提供商来说都是无价之宝,对身份管理供应商来说尤其如此。Okta 在 Secure by Design 方面的经验帮助他们找到了漏洞管理、日志记录和监控方面的差距。但 Okta 不应该止步于此。他们需要全力以赴,重新更加专注于红队,吸取 Anthropic 和 OpenAI 的经验教训。
通过红队提高数据的准确性、延迟和质量是任何软件公司创建持续改进文化所需的动力。CISA 的安全设计只是起点,而不是目的地。进入 2025 年的身份管理供应商需要看清标准:指导持续改进的宝贵框架。拥有经验丰富、实力雄厚的红队功能,可以在发布之前发现错误并模拟来自技术越来越熟练、资金越来越充足的对手的激进攻击,是身份管理提供商武器库中最有力的武器之一。红队是保持竞争力的核心,同时有机会与对手保持势均力敌。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/okta-de-shi-bai-dui-2025-nian-shen-fen-an-quan-de-wei-lai