Prisijunkite prie mūsų kasdienių ir savaitinių naujienlaiškių, kad gautumėte naujausių naujienų ir išskirtinio turinio apie pramonėje pirmaujančią AI aprėptį. Sužinokite daugiau
2025 m. turi būti metai, kai tapatybės teikėjai stengsis tobulinti visus programinės įrangos kokybės ir saugos aspektus, įskaitant raudonųjų komandų sudarymą, tuo pačiu paversdami savo programas skaidresnėmis ir siekdami objektyvių rezultatų, viršijančių standartus.
Anthropic, OpenAI ir kitos pirmaujančios AI įmonės perkėlė raudonųjų komandų kūrimą į naują lygmenį, pakeisdamos jų išleidimo procesus į geresnę pusę. Tapatybės teikėjai, įskaitant „Okta“, turi sekti jų pavyzdžiu ir daryti tą patį.
Nors „Okta“ yra vienas iš pirmųjų tapatybės valdymo tiekėjų, prisiregistravusių gauti CISA „Secure by Design“ įsipareigojimą, jie vis dar stengiasi tinkamai autentifikuoti. Naujausiame „Okta“ patarime klientams buvo nurodyta, kad 52 simbolių naudotojų vardus galima derinti su saugomais talpyklos raktais, apeinant būtinybę prisijungti prie slaptažodžio. „Okta“ rekomenduoja klientams, atitinkantiems išankstines sąlygas, ištirti savo „Okta“ sistemos žurnalą dėl netikėtų naudotojų vardų autentifikavimo. daugiau nei 52 simboliai nuo 2024 m. liepos 23 d. iki 2024 m. spalio 30 d.
„Okta“ atkreipia dėmesį į savo geriausią savo klasėje daugiafaktorinio autentifikavimo (MFA) įrašą tarp „Workforce Identity Cloud“ vartotojų ir administratorių. Tai yra lentelė, skirta apsaugoti klientus šiandien ir konkuruoti šioje rinkoje.
„Google Cloud“ paskelbė apie privalomą kelių veiksnių autentifikavimą (MFA) visiems vartotojams iki 2025 m. „Microsoft“ taip pat nustatė, kad MFA reikalinga „Azure“ nuo šių metų spalio mėn. „Nuo 2025 m. pradžios bus pradėtas laipsniškas MFA vykdymas prisijungiant prie „Azure CLI“, „Azure PowerShell“, „Azure“ mobiliosios programos ir „Infrastructure as Code“ (IaC) įrankių“, – teigiama naujausiame tinklaraščio įraše.
„Okta“ pasiekia rezultatų su CISA „Secure by Design“.
Pagirtina, kad tiek daug tapatybės valdymo pardavėjų pasirašė CISA Secure by Design Pledge. „Okta“ pasirašė šių metų gegužę, įsipareigodama įgyvendinti septynis iniciatyvos saugumo tikslus. Nors „Okta“ ir toliau daro pažangą, iššūkių išlieka.
Siekti standartų bandant pristatyti naujas programas ir platformos komponentus yra sudėtinga. Vis dar sudėtingiau yra išlaikyti įvairias, greitai besikeičiančias „DevOps“, programinės įrangos inžinerijos, kokybės užtikrinimo, raudonųjų komandų, produktų valdymo ir rinkodaros specialistų serijas, kurios būtų koordinuojamos ir sutelktos į paleidimą.
- Nepakankamai reiklus, kai kalbama apie URM: „Okta“ pranešė apie reikšmingą MFA naudojimo padidėjimą – 2024 m. sausio mėn. 91 % administratorių ir 66 % vartotojų naudojo MFA. Tuo tarpu daugiau įmonių daro MFP privalomą, nepasitikėdami jos standartais. „Google“ ir „Microsoft“ privaloma MFA politika pabrėžia atotrūkį tarp „Okta“ savanoriškų priemonių ir naujojo pramonės saugumo standarto.
- Pažeidžiamumo valdymas turi būti tobulinamas, pradedant tvirtu įsipareigojimu sujungti komandą. „Okta“ klaidų programa ir pažeidžiamumo atskleidimo politika dažniausiai yra skaidri. Iššūkis, su kuriuo jie susiduria, yra tas, kad jų požiūris į pažeidžiamumo valdymą ir toliau yra reaktyvus, pirmiausia pasikliaujant išorinėmis ataskaitomis. „Okta“ taip pat turi daugiau investuoti į raudonųjų komandų sudarymą, kad galėtų imituoti realaus pasaulio atakas ir prevenciškai nustatyti pažeidžiamumą. Be raudonųjų komandų „Okta“ rizikuoja palikti nepastebėtus konkrečius atakos vektorius, o tai gali apriboti jos galimybes anksti spręsti kylančias grėsmes.
- Registravimo ir stebėjimo patobulinimai turi būti spartinami. „Okta“ tobulina registravimo ir stebėjimo galimybes, kad būtų geriau matomas saugumas, tačiau 2024 m. spalio mėn. daugelis patobulinimų tebėra nebaigti. Svarbios funkcijos, tokios kaip sesijų stebėjimas realiuoju laiku ir patikimi audito įrankiai, vis dar kuriami, o tai trukdo „Okta“ užtikrinti visapusišką įsibrovimų aptikimą realiuoju laiku visoje savo platformoje. Šios galimybės yra labai svarbios, kad klientams būtų suteikta tiesioginė įžvalga ir atsakymai į galimus saugumo incidentus.
„Okta“ saugumo klaidos rodo, kad reikia patikimesnio pažeidžiamumo valdymo
Nors kiekvienas tapatybės valdymo paslaugų teikėjas turėjo savo dalį atakų, įsibrovimų ir pažeidimų, įdomu pamatyti, kaip „Okta“ juos naudoja kaip kurą, kad iš naujo išrastų save, naudodama CISA „Secure by Design“ sistemą.
„Okta“ klaidos yra rimtas pagrindas išplėsti pažeidžiamumo valdymo iniciatyvas, pasinaudoti „Anthropic“, „OpenAI“ ir kitų dirbtinio intelekto paslaugų teikėjų pamokomis ir pritaikyti jas tapatybės valdymui.
Pastarieji incidentai, kuriuos Okta patyrė:
- 2021 m. kovo mėn. – „Verkada“ fotoaparato pažeidimas: Užpuolikai gavo prieigą prie daugiau nei 150 000 apsaugos kamerų, atskleisdamos didelius tinklo saugumo spragas.
- 2022 m. sausio mėn. – LAPSUS$ grupės kompromisas: LAPSUS$ kibernetinių nusikaltėlių grupė pasinaudojo trečiųjų šalių prieiga, kad pažeistų Okta aplinką.
- 2022 m. gruodžio mėn. – šaltinio kodo vagystė: Užpuolikai pavogė „Okta“ šaltinio kodą, nurodydami vidines prieigos kontrolės ir kodo saugumo praktikos spragas. Šis pažeidimas parodė, kad reikia griežtesnės vidaus kontrolės ir stebėjimo mechanizmų, siekiant apsaugoti intelektinę nuosavybę.
- 2023 m. spalio mėn. – klientų aptarnavimo pažeidimas: „Okta“ palaikymo kanalais užpuolikai gavo neteisėtą prieigą prie maždaug 134 klientų klientų duomenų, o įmonė juos pripažino spalio 20 d., pradedant pavogtais kredencialais, naudojamais prieigai prie jos palaikymo valdymo sistemos. Iš ten užpuolikai gavo prieigą prie HTTP archyvo (.HAR) failų, kuriuose yra aktyvių seansų slapukų, ir pradėjo laužyti „Okta“ klientus, bandydami įsiskverbti į jų tinklus ir išfiltruoti duomenis.
- 2024 m. spalio mėn. – naudotojo vardo autentifikavimo apėjimas: saugos trūkumas leido neteisėtai pasiekti, apeinant vartotojo vardu pagrįstą autentifikavimą. Apėjimas išryškino produktų testavimo trūkumus, nes pažeidžiamumą buvo galima nustatyti ir pašalinti atliekant išsamesnius bandymus ir sujungus komandą.
Raudonosios komandos strategijos, skirtos ateities tapatybės saugumui
„Okta“ ir kiti tapatybės valdymo paslaugų teikėjai turi apsvarstyti, kaip jie galėtų pagerinti „raudonųjų“ komandų sudarymą nepriklausomai nuo standartų. Įmonės programinės įrangos įmonei neturėtų prireikti standarto, kad ji galėtų tobulėti kaip raudona komanda, pažeidžiamumo valdymas ar saugos integravimas per visą sistemos kūrimo gyvavimo ciklą (SDLC).
„Okta“ ir kiti tapatybės valdymo pardavėjai gali pagerinti savo saugumą, pasinaudodami toliau pateiktomis „Anthropic“ ir „OpenAI“ pamokomis ir stiprindami savo saugumo poziciją:
Sąmoningai kurkite nuolatinį žmogaus ir mašinos bendradarbiavimą atliekant bandymus: „Anthropic“ žmogiškųjų žinių ir DI vadovaujamos raudonosios komandos derinys atskleidžia paslėptas rizikas. Realiuoju laiku modeliuodama įvairius atakų scenarijus, „Okta“ gali aktyviai nustatyti ir pašalinti spragas anksčiau produkto gyvavimo ciklo metu.
Įsipareigokite tobulėti atliekant adaptacinį tapatybės testavimą: OpenAI naudojant sudėtingus tapatybės tikrinimo metodus, tokius kaip balso autentifikavimas ir daugiarūšis kryžminis patvirtinimas, siekiant aptikti gilius klastojimus, gali paskatinti Oktą taikyti panašius testavimo mechanizmus. Pridėjus adaptyvią tapatybės tikrinimo metodiką, „Okta“ galėtų apsisaugoti nuo vis labiau pažengusių tapatybės klastojimo grėsmių.
Suteikus pirmenybę konkretiems domenams, kad būtų galima sujungti „raudonąją komandą“, testavimas ir toliau bus koncentruotas: „Anthropic“ tiksliniai bandymai specializuotose srityse parodo konkrečiam domenui būdingo raudonojo susivienijimo vertę. „Okta“ galėtų būti naudinga priskirti specialias komandas didelės rizikos sritims, pvz., trečiųjų šalių integracijai ir klientų aptarnavimui, kur niuansų saugos spragos kitu atveju gali likti nepastebėtos.
Tam reikia daugiau automatizuotų atakų modelių tapatybės valdymo platformos nepalankiausiomis sąlygomis. OpenAI GPT-4o modelis naudoja automatines priešiškas atakas, kad tęstųsiišbandykite savo gynybą. „Okta“ galėtų įgyvendinti panašius automatizuotus scenarijus, leidžiančius greitai aptikti naujus pažeidžiamumus ir reaguoti į juos, ypač IPSIE sistemoje.
Įsipareigokite labiau realaus laiko grėsmės žvalgybos integracijai: Anthropic realaus laiko dalijimasis žiniomis raudonosiose komandose sustiprina jų reagavimą. „Okta“ gali integruoti realaus laiko žvalgybos grįžtamojo ryšio kilpas į savo „raudonųjų komandų“ procesus, užtikrindama, kad besivystantys grėsmių duomenys nedelsiant informuotų gynybą ir pagreitintų atsaką į kylančias rizikas.
Kodėl 2025 m. kaip niekada anksčiau bus iššūkis tapatybės saugumui?
Priešai negailestingai stengiasi papildyti savo arsenalą naujais automatizuotais ginklais, o kiekviena įmonė stengiasi neatsilikti.
Kadangi tapatybės yra pagrindinis daugelio pažeidimų taikinys, tapatybės valdymo paslaugų teikėjai turi susidurti su iššūkiais ir sustiprinti visų savo produktų aspektų saugumą. Tai turi apimti saugos integravimą į SDLC ir padėti „DevOps“ komandoms susipažinti su saugumu, kad tai nebūtų likimas, kuris būtų skubotas prieš pat išleidimą.
CISA iniciatyva „Secure by Design“ yra neįkainojama kiekvienam kibernetinio saugumo tiekėjui, ypač tapatybės valdymo paslaugų teikėjams. „Okta“ patirtis naudojant „Secure by Design“ padėjo rasti spragų pažeidžiamumo valdymo, registravimo ir stebėjimo srityse. Tačiau Okta neturėtų sustoti. Jie turi atnaujintą, intensyvesnį dėmesį sutelkti į raudonųjų komandų sudarymą, pasimokydami iš Anthropic ir OpenAI.
Duomenų tikslumo, delsos ir kokybės gerinimas pasitelkus „raudonąją komandą“ yra pagrindas, kurio bet kuriai programinės įrangos įmonei reikia, kad sukurtų nuolatinio tobulėjimo kultūrą. CISA Secure by Design yra tik pradžios taškas, o ne tikslas. Tapatybės valdymo tiekėjai, ketinantys 2025 m., turi matyti standartus, kokie jie yra: vertingas sistemas, skirtas nuolatiniam tobulėjimui. Turėti patyrusią, tvirtą raudonosios komandos funkciją, kuri gali pastebėti klaidas prieš jas išsiunčiant ir imituoti agresyvius vis labiau įgudusių ir gerai finansuojamų priešų atakas, yra vienas iš galingiausių ginklų tapatybės valdymo teikėjo arsenale. Raudonoji komanda yra esminis dalykas norint išlikti konkurencingam ir turėti galimybę kovoti su priešininkais.
Rašytojo pastaba: Ypatingas ačiū Taryn Plumb už bendradarbiavimą ir indėlį renkant įžvalgas ir duomenis.
Source link