Năm 2025 phải là năm mà các nhà cung cấp danh tính nỗ lực hết sức để cải thiện mọi khía cạnh về chất lượng và bảo mật phần mềm, bao gồm cả việc lập nhóm đỏ, đồng thời làm cho ứng dụng của họ trở nên minh bạch hơn và đạt được kết quả khách quan hơn các tiêu chuẩn.
#Okta #BảoMậtDanhTính #2025 #CISA #MFA #LỗHổngBảoMật #ĐộiĐỏ #DevOps #Anthropic #OpenAI #SDLC #GhiNhậtKý #GiámSát #LAPSUS$ #ViPhạm #TàiNguyênNguồn #NgườiDùng #Microsoft #Google #AzureCLI #AzurePowerShell #IaC #GPT4o #ThửNghiệm #XácThực #ThiếtKế #CISA #TươngLai #VBHàngNgày Nguồn: https://venturebeat.com/security/what-oktas-failures-say-about-the-future-of-identity-security-in-2025/
Tham gia các bản tin hàng ngày và hàng tuần của chúng tôi để có những cập nhật mới nhất và nội dung độc quyền về phạm vi phủ sóng AI hàng đầu trong ngành. Tìm hiểu thêm
Năm 2025 phải là năm mà các nhà cung cấp danh tính nỗ lực hết sức để cải thiện mọi khía cạnh về chất lượng và bảo mật phần mềm, bao gồm cả việc lập nhóm đỏ, đồng thời làm cho ứng dụng của họ trở nên minh bạch hơn và đạt được kết quả khách quan hơn các tiêu chuẩn.
nhân loại, OpenAI và các công ty AI hàng đầu khác đã thực hiện đội đỏ lên một tầm cao mới, cách mạng hóa quy trình phát hành của họ theo hướng tốt hơn. Nhà cung cấp danh tính, bao gồm Oktacần phải làm theo sự dẫn dắt của họ và làm tương tự.
Mặc dù Okta là một trong những nhà cung cấp quản lý danh tính đầu tiên đăng ký của CISA Bảo mật theo thiết kế cam kết, họ vẫn đang gặp khó khăn để có được sự xác thực đúng đắn. Lời khuyên gần đây của Okta đã thông báo với khách hàng rằng tên người dùng gồm 52 ký tự có thể được kết hợp với các khóa bộ đệm được lưu trữ, bỏ qua nhu cầu cung cấp mật khẩu để đăng nhập. Okta khuyến nghị những khách hàng đáp ứng các điều kiện trước nên điều tra Nhật ký hệ thống Okta của họ để tìm những xác thực không mong muốn từ tên người dùng lớn hơn 52 ký tự trong khoảng thời gian từ ngày 23 tháng 7 năm 2024 đến ngày 30 tháng 10 năm 2024.
Okta chỉ vào nó kỷ lục tốt nhất trong lớp để áp dụng xác thực đa yếu tố (MFA) giữa cả người dùng và quản trị viên của Đám mây nhận dạng lực lượng lao động. Đó là điều cần đặt ra để bảo vệ khách hàng ngày nay và là điều kiện để cạnh tranh trên thị trường này.
Đám mây của Google công bố xác thực đa yếu tố bắt buộc (MFA) cho tất cả người dùng vào năm 2025. Microsoft cũng đã yêu cầu MFA cho Azure bắt đầu từ tháng 10 năm nay. “Bắt đầu từ đầu năm 2025, việc thực thi dần dần MFA khi đăng nhập cho Azure CLI, Azure PowerShell, ứng dụng di động Azure và các công cụ Cơ sở hạ tầng dưới dạng mã (IaC) sẽ bắt đầu,” theo một báo cáo. bài đăng blog gần đây.
Okta đang nhận được kết quả với Bảo mật theo thiết kế của CISA
Thật đáng khen ngợi khi rất nhiều nhà cung cấp dịch vụ quản lý danh tính đã ký Cam kết CISA Secure by Design. Okta đã ký vào tháng 5 năm nay, cam kết thực hiện sáng kiến này bảy mục tiêu an ninh. Trong khi Okta tiếp tục đạt được tiến bộ thì những thách thức vẫn tồn tại.
Việc theo đuổi các tiêu chuẩn trong khi cố gắng cung cấp các ứng dụng và thành phần nền tảng mới là một thách thức. Vấn đề hơn nữa vẫn là việc duy trì một loạt DevOps, công nghệ phần mềm, QA, đội đỏ, quản lý sản phẩm và nhà tiếp thị đa dạng, phát triển nhanh, tất cả đều phối hợp và tập trung vào việc ra mắt.
- Không đủ yêu cầu khi nói đến MFA: Okta đã báo cáo mức độ sử dụng MFA đã tăng đáng kể, với 91% quản trị viên và 66% người dùng sử dụng MFA tính đến thời điểm hiện tại. Tháng 1 năm 2024. Trong khi đó, ngày càng có nhiều công ty bắt buộc thực hiện MFA mà không cần dựa vào tiêu chuẩn nào cho nó. Các chính sách MFA bắt buộc của Google và Microsoft nêu bật khoảng cách giữa các biện pháp tự nguyện của Okta và tiêu chuẩn bảo mật mới của ngành.
- Quản lý lỗ hổng bảo mật cần được cải thiện, bắt đầu bằng cam kết chắc chắn về đội đỏ. Phần lớn, chương trình tiền thưởng lỗi và chính sách tiết lộ lỗ hổng bảo mật của Okta đều minh bạch. Thách thức mà họ phải đối mặt là cách tiếp cận quản lý lỗ hổng bảo mật của họ tiếp tục mang tính phản ứng, chủ yếu dựa vào các báo cáo bên ngoài. Okta cũng cần đầu tư nhiều hơn vào đội đỏ để mô phỏng các cuộc tấn công trong thế giới thực và xác định trước các lỗ hổng. Nếu không có nhóm đỏ, Okta có nguy cơ khiến các vectơ tấn công cụ thể không bị phát hiện, có khả năng hạn chế khả năng giải quyết sớm các mối đe dọa mới nổi.
- Các cải tiến về ghi nhật ký và giám sát cần phải được thực hiện nhanh chóng. Okta đang tăng cường khả năng ghi nhật ký và giám sát để có khả năng hiển thị bảo mật tốt hơn, nhưng tính đến tháng 10 năm 2024, nhiều cải tiến vẫn chưa hoàn thiện. Các tính năng quan trọng như theo dõi phiên theo thời gian thực và các công cụ kiểm tra mạnh mẽ vẫn đang được phát triển, điều này cản trở khả năng của Okta trong việc cung cấp khả năng phát hiện xâm nhập toàn diện, theo thời gian thực trên nền tảng của nó. Những khả năng này rất quan trọng trong việc cung cấp cho khách hàng thông tin chi tiết và phản hồi ngay lập tức đối với các sự cố bảo mật tiềm ẩn.
Những sai lầm về bảo mật của Okta cho thấy sự cần thiết phải quản lý lỗ hổng mạnh mẽ hơn
Mặc dù mọi nhà cung cấp quản lý danh tính đều phải đối phó với các cuộc tấn công, xâm nhập và vi phạm, nhưng thật thú vị khi xem Okta đang sử dụng chúng làm nhiên liệu để tái phát minh bằng cách sử dụng khung Bảo mật theo Thiết kế của CISA.
Những bước đi sai lầm của Okta tạo cơ sở vững chắc cho việc mở rộng các sáng kiến quản lý lỗ hổng bảo mật của họ, áp dụng các bài học về nhóm đỏ từ Anthropic, OpenAI và các nhà cung cấp AI khác và áp dụng chúng vào quản lý danh tính.
Những sự cố gần đây mà Okta đã trải qua bao gồm:
- Tháng 3 năm 2021 – Vi phạm camera Verkada: Những kẻ tấn công đã giành được quyền truy cập vào hơn 150.000 camera an ninh, làm lộ ra các lỗ hổng bảo mật mạng nghiêm trọng.
- Tháng 1 năm 2022 – Thỏa hiệp nhóm LAPSUS$: Nhóm tội phạm mạng LAPSUS$ đã khai thác quyền truy cập của bên thứ ba để xâm phạm môi trường của Okta.
- Tháng 12 năm 2022 – Trộm mã nguồn: Những kẻ tấn công đã đánh cắp mã nguồn của Okta, chỉ ra những lỗ hổng nội bộ trong kiểm soát truy cập và thực tiễn bảo mật mã. Vi phạm này nêu bật sự cần thiết phải có cơ chế giám sát và kiểm soát nội bộ nghiêm ngặt hơn để bảo vệ quyền sở hữu trí tuệ.
- Tháng 10 năm 2023 – Vi phạm hỗ trợ khách hàng: Những kẻ tấn công đã có được quyền truy cập trái phép vào dữ liệu khách hàng trong khoảng 134 khách hàng qua kênh hỗ trợ của Okta và được công ty thừa nhận ngày 20 tháng 10, bắt đầu bằng thông tin bị đánh cắp được sử dụng để có quyền truy cập vào hệ thống quản lý hỗ trợ của nó. Từ đó, những kẻ tấn công đã giành được quyền truy cập vào các tệp Lưu trữ HTTP (.HAR) có chứa cookie phiên hoạt động và bắt đầu xâm nhập vào khách hàng của Okta, cố gắng xâm nhập mạng của họ và lấy cắp dữ liệu.
- Tháng 10 năm 2024 – Bỏ qua xác thực tên người dùng: Lỗ hổng bảo mật cho phép truy cập trái phép bằng cách bỏ qua xác thực dựa trên tên người dùng. Việc bỏ qua đã nêu bật những điểm yếu trong quá trình thử nghiệm sản phẩm, vì lỗ hổng này có thể đã được xác định và khắc phục thông qua các hoạt động thử nghiệm kỹ lưỡng hơn và nhóm đỏ.
Chiến lược hợp tác đỏ để bảo mật danh tính trong tương lai
Okta và các nhà cung cấp quản lý danh tính khác cần xem xét cách họ có thể cải thiện nhóm đỏ một cách độc lập với bất kỳ tiêu chuẩn nào. Một công ty phần mềm doanh nghiệp không cần phải có một tiêu chuẩn để vượt trội trong việc hợp tác đỏ, quản lý lỗ hổng hoặc tích hợp bảo mật trong suốt vòng đời phát triển hệ thống (SDLC) của mình.
Okta và các nhà cung cấp quản lý danh tính khác có thể cải thiện tình trạng bảo mật của họ bằng cách thực hiện các bài học về đội đỏ rút ra từ Anthropic và OpenAI bên dưới, đồng thời củng cố tình trạng bảo mật của họ trong quy trình:
Cố tình tạo ra sự cộng tác giữa con người và máy móc liên tục hơn khi tiến hành thử nghiệm: Sự kết hợp giữa kiến thức chuyên môn của con người với đội ngũ đỏ do AI điều khiển của Anthropic đã phát hiện ra những rủi ro tiềm ẩn. Bằng cách mô phỏng các kịch bản tấn công khác nhau trong thời gian thực, Okta có thể chủ động xác định và giải quyết các lỗ hổng sớm hơn trong vòng đời sản phẩm.
Cam kết vượt trội trong thử nghiệm nhận dạng thích ứng: Việc OpenAI sử dụng các phương pháp xác minh danh tính phức tạp như xác thực giọng nói và xác thực chéo đa phương thức để phát hiện các hành vi giả mạo sâu có thể truyền cảm hứng cho Okta áp dụng các cơ chế thử nghiệm tương tự. Việc bổ sung phương pháp kiểm tra danh tính thích ứng cũng có thể giúp Okta tự bảo vệ mình trước các mối đe dọa giả mạo danh tính ngày càng phức tạp.
Ưu tiên các miền cụ thể cho nhóm đỏ giúp việc kiểm tra tập trung hơn: Thử nghiệm có mục tiêu của Anthropic trong các lĩnh vực chuyên biệt thể hiện giá trị của việc lập nhóm đỏ theo từng miền cụ thể. Okta có thể hưởng lợi từ việc chỉ định các nhóm chuyên trách phụ trách các khu vực có rủi ro cao, chẳng hạn như tích hợp của bên thứ ba và hỗ trợ khách hàng, nơi các lỗ hổng bảo mật sắc thái có thể không bị phát hiện.
Cần nhiều mô phỏng tấn công tự động hơn để nền tảng quản lý danh tính kiểm tra căng thẳng. Mô hình GPT-4o của OpenAI sử dụng các cuộc tấn công đối nghịch tự động để tiếp tụcthường xuyên kiểm tra áp lực phòng thủ của nó. Okta có thể triển khai các kịch bản tự động tương tự, cho phép phát hiện và ứng phó nhanh chóng với các lỗ hổng mới, đặc biệt là trong khung IPSIE.
Cam kết tích hợp thông tin về mối đe dọa theo thời gian thực hơn: Việc chia sẻ kiến thức theo thời gian thực của Anthropic trong các đội đỏ giúp tăng cường khả năng phản hồi của họ. Okta có thể nhúng các vòng phản hồi thông minh theo thời gian thực vào các quy trình nhóm đỏ của mình, đảm bảo rằng dữ liệu về mối đe dọa đang phát triển sẽ ngay lập tức thông báo cho các cơ quan phòng thủ và tăng tốc phản ứng với các rủi ro mới nổi.
Tại sao năm 2025 sẽ thách thức bảo mật danh tính hơn bao giờ hết
Đối thủ không ngừng nỗ lực bổ sung vũ khí tự động mới vào kho vũ khí của mình và mọi doanh nghiệp đều đang phải vật lộn để theo kịp.
Với danh tính là mục tiêu chính của phần lớn các vi phạm, các nhà cung cấp quản lý danh tính phải đối mặt trực tiếp với những thách thức và tăng cường bảo mật trên mọi khía cạnh của sản phẩm của họ. Điều đó cần bao gồm việc tích hợp bảo mật vào SDLC của họ và giúp các nhóm DevOps làm quen với bảo mật để không phải là một suy nghĩ vội vàng được thực hiện ngay trước khi phát hành.
Sáng kiến Bảo mật theo thiết kế của CISA là vô giá đối với mọi nhà cung cấp dịch vụ an ninh mạng và điều đó đặc biệt đúng với các nhà cung cấp quản lý danh tính. Trải nghiệm của Okta với Secure by Design đã giúp họ tìm ra những lỗ hổng trong việc quản lý, ghi nhật ký và giám sát lỗ hổng bảo mật. Nhưng Okta không nên dừng lại ở đó. Họ cần nỗ lực hết sức để tập trung đổi mới và mạnh mẽ hơn vào đội đỏ, rút ra những bài học rút ra từ Anthropic và OpenAI.
Cải thiện độ chính xác, độ trễ và chất lượng của dữ liệu thông qua nhóm đỏ là động lực mà bất kỳ công ty phần mềm nào cũng cần để tạo ra văn hóa cải tiến liên tục. Bảo mật theo thiết kế của CISA chỉ là điểm khởi đầu, không phải là đích đến. Các nhà cung cấp giải pháp quản lý danh tính bước sang năm 2025 cần phải xem xét các tiêu chuẩn của họ: các khuôn khổ có giá trị để hướng dẫn cải tiến liên tục. Sở hữu một đội đỏ vững chắc, giàu kinh nghiệm, có thể phát hiện lỗi trước khi thực hiện và mô phỏng các cuộc tấn công hung hãn từ những đối thủ ngày càng có tay nghề cao và được tài trợ tốt là một trong những vũ khí mạnh nhất trong kho vũ khí của nhà cung cấp dịch vụ quản lý danh tính. Đội đỏ là cốt lõi để duy trì tính cạnh tranh trong khi có cơ hội chiến đấu để giữ ngang bằng với đối thủ.
Ghi chú của người viết: Đặc biệt cảm ơn Taryn Plumb vì sự hợp tác và đóng góp của cô trong việc thu thập thông tin chi tiết và dữ liệu.
[ad_2]
