2025年需要身份提供商全面致力于提升软件质量和安全的各个方面,包括进行红队演练,同时提高应用的透明度,并客观看待超出标准的结果。
Anthropic、OpenAI和其他领先的AI公司已将红队演练提升至新高度,彻底革新了其发布流程,使之变得更好,包括Okta在内的身份提供商需要效仿他们的做法。
虽然Okta是首批签署CISA“设计即安全”(Secure by Design)承诺的身份管理供应商之一,但他们在身份验证方面仍面临挑战。Okta近期发布的一份公告告知客户,52个字符的用户名可能与存储的缓存密钥结合使用,从而无需提供密码即可登录。Okta建议满足前提条件的客户应检查其Okta系统日志,以发现在2024年7月23日至2024年10月30日期间,是否存在来自超过52个字符的用户名的意外身份验证。
Okta指出,其在Workforce Identity Cloud的用户和管理员中采用多因素身份验证(MFA)方面取得了行业领先的成绩。这是如今保护客户的必要条件,也是在此市场中竞争的基础。
谷歌云宣布,到2025年,将对所有用户强制实施多因素身份验证(MFA)。微软也已要求从今年10月起,Azure用户必须使用MFA。“从2025年初开始,将开始对Azure CLI、Azure PowerShell、Azure移动应用和基础设施即代码(IaC)工具的登录进行MFA的逐步强制执行,”根据最近的一篇博客文章所述。
Okta通过CISA的“设计即安全”取得成效
值得称赞的是,众多身份管理供应商已签署CISA“设计即安全”承诺。Okta于今年5月签署,并承诺践行该倡议的七项安全目标。虽然Okta持续取得进展,但挑战依然存在。
在尝试推出新应用和平台组件的同时追求标准颇具挑战。更棘手的是,如何让多元化且快速变动的DevOps、软件工程、质量保证、红队、产品管理和营销团队保持协调,并专注于产品发布。
在MFA方面要求不够严格:Okta报告称,MFA的使用率显著增加,截至2024年1月,已有91%的管理员和66%的用户使用MFA。与此同时,越来越多的公司正在不依赖标准的情况下强制实施MFA。谷歌和微软的强制MFA政策凸显了Okta自愿措施与行业新安全标准之间的差距。
• 漏洞管理需要改进,首先要坚定承诺进行红队演练。Okta的漏洞悬赏计划和漏洞披露政策在大多数情况下是透明的。但他们面临的挑战是,其漏洞管理方法仍然是被动的,主要依赖外部报告。Okta还需要在红队演练上投入更多,以模拟真实世界的攻击并预先识别漏洞。不进行红队演练,Okta就有可能遗漏特定的攻击途径,从而可能限制其及早应对新兴威胁的能力。
• 日志记录和监控的增强需要加速。Okta正在增强日志记录和监控功能,以提高安全可见性,但截至2024年10月,许多改进仍未完成。实时会话跟踪和强大的审计工具等关键功能仍在开发中,这阻碍了Okta在其平台上提供全面、实时的入侵检测能力。这些功能对于为客户提供针对潜在安全事件的即时见解和响应至关重要。
Okta的安全失误表明需要更强大的漏洞管理
虽然每个身份管理供应商都曾遭遇过攻击、入侵和泄露事件,但Okta如何利用这些事件,借助CISA的“设计即安全”框架进行自我重塑,这一点颇有趣味。
Okta的失误充分说明了其需要扩大漏洞管理举措,借鉴Anthropic、OpenAI和其他AI供应商在红队演练方面的经验,并将其应用于身份管理。
Okta近期遭遇的事件包括:
• 2021年3月——Verkada摄像头泄露事件:攻击者访问了超过150,000个安全摄像头,暴露了重大的网络安全漏洞。
• 2022年1月——LAPSUS团伙入侵事件:LAPSUS网络犯罪团伙利用第三方访问权限入侵了Okta的环境。
• 2022年12月——源代码被盗事件:攻击者盗取了Okta的源代码,揭示了访问控制和代码安全实践中的内部漏洞。此次泄露事件凸显了需要更严格的内部控制和监测机制来保护知识产权。
• 2023年10月——客户支持泄露事件:攻击者通过Okta的支持渠道未经授权地访问了约134名客户的客户数据,该公司在10月20日确认了这一事件,事件起因是攻击者使用窃取的凭据访问了其支持管理系统。随后,攻击者获取了包含活动会话cookie的HTTP归档(.HAR)文件,并开始入侵Okta的客户,试图渗透他们的网络并窃取数据。
• 2024年10月——用户名身份验证绕过事件:一个安全漏洞允许通过绕过基于用户名的身份验证来获得未经授权的访问权限。该绕过事件暴露了产品测试中的薄弱环节,因为通过更彻底的测试和红队演练实践,本可以发现并修复这一漏洞。
面向未来身份安全的红队演练策略
Okta和其他身份管理供应商需要考虑如何在不依赖任何标准的情况下改进红队演练。一家企业级软件公司不应需要标准来在红队演练、漏洞管理或跨系统开发生命周期(SDLC)的安全集成方面表现出色。
Okta和其他身份管理供应商可以通过借鉴以下Anthropic和OpenAI的红队演练经验,并在此过程中加强其安全态势,来提升其安全水平:
在测试方面,故意创造更多持续的人机协作:Anthropic将人类专业知识与AI驱动的红队演练相结合,发现了隐藏的风险。通过实时模拟各种攻击场景,Okta可以在产品生命周期的更早阶段主动识别并解决漏洞。
致力于在自适应身份测试方面取得卓越表现:OpenAI使用复杂的身份验证方法,如语音身份验证和多模态交叉验证来检测深度伪造,这可能会启发Okta采用类似的测试机制。增加自适应身份测试方法也可以帮助Okta抵御日益先进的身份欺骗威胁。
优先考虑特定领域的红队演练,使测试更具针对性:Anthropic在专门领域的针对性测试展示了领域特定红队演练的价值。Okta可以通过向高风险领域(如第三方集成和客户支持)分配专门团队来受益,这些领域的细微安全漏洞可能会在其他情况下被忽视。
需要更多的自动化攻击模拟来对身份管理平台进行压力测试。OpenAI的GPT-4o模型使用自动化的对抗性攻击来持续测试其防御能力。Okta可以实施类似的自动化场景,以便快速检测和响应新漏洞,特别是在其IPSIE框架中。
致力于集成更多实时威胁情报:Anthropic在红队内部实时共享知识,增强了其响应能力。Okta可以将其红队演练流程中嵌入实时情报反馈循环,确保不断发展的威胁数据能够立即为防御提供信息,并加速对新兴风险的响应。
为何2025年将带来前所未有的身份安全挑战
对手在不懈努力地为其武器库增添新的自动化武器,而每家企业都在努力跟上这一步伐。
由于身份是大多数泄露事件的主要目标,身份管理供应商必须直面挑战,并加强其产品各个方面的安全性。这需要将安全融入SDLC,并帮助DevOps团队熟悉安全,使其不再是发布前匆忙进行的后续工作。
CISA的“设计即安全”倡议对每家网络安全供应商来说都极具价值,对身份管理供应商而言更是如此。Okta通过“设计即安全”发现了漏洞管理、日志记录和监控方面的不足。但Okta不应止步于此。他们需要全力以赴,以更加崭新和专注的态度进行红队演练,借鉴Anthropic和OpenAI的经验教训。
通过红队演练提高数据的准确性、延迟性和质量,是任何软件公司创造持续改进文化所需的动力。CISA的“设计即安全”只是起点,而非终点。进入2025年的身份管理供应商需要将标准视为有价值的框架,用以指导持续改进。拥有一支经验丰富、实力雄厚的红队,能够在产品发布前发现并纠正错误,并模拟来自日益熟练且资金充足的对手的激烈攻击,是身份管理供应商武器库中最强大的武器之一。红队演练是保持竞争力的核心,同时也有机会与对手保持势均力敌。
