Wat de mislukkingen van Okta zeggen over de toekomst van identiteitsbeveiliging in 2025

2025 moet het jaar zijn dat identiteitsproviders zich volledig inzetten voor het verbeteren van elk aspect van de softwarekwaliteit en -beveiliging, inclusief red teaming, terwijl ze hun apps transparanter maken en objectief worden over resultaten die verder gaan dan de standaarden.

Anthropic, OpenAI en andere toonaangevende AI-bedrijven hebben red teaming naar een nieuw niveau getild, waardoor hun releaseprocessen ten goede zijn gerevolutioneerd. Identiteitsproviders, inclusief Okémoeten hun voorbeeld volgen en hetzelfde doen.

Terwijl Okta een van de eerste leveranciers van identiteitsbeheer is waarvoor hij zich heeft aangemeld CISA’s Veilig door ontwerp belofte, ze hebben nog steeds moeite om de authenticatie goed te krijgen. Okta’s recente advies vertelde klanten dat gebruikersnamen van 52 tekens kunnen worden gecombineerd met opgeslagen cachesleutels, waardoor de noodzaak om een ​​wachtwoord op te geven om in te loggen wordt omzeild. Okta raadt aan dat klanten die aan de voorwaarden voldoen, hun Okta-systeemlogboek onderzoeken op onverwachte authenticaties van gebruikersnamen groter dan 52 tekens tussen de periode van 23 juli 2024 tot 30 oktober 2024.

Okta wijst naar zijn beste record in zijn klasse voor de adoptie van multi-factor authenticatie (MFA) onder zowel gebruikers als beheerders van Workforce Identity Cloud. Dat zijn tafelinzetten om klanten vandaag de dag te beschermen en een gegeven om op deze markt te kunnen concurreren.

Google Cloud aangekondigd verplichte meerfactorauthenticatie (MFA) voor alle gebruikers in 2025. Microsoft heeft vanaf oktober van dit jaar ook MFA vereist voor Azure. “Vanaf begin 2025 zal de geleidelijke handhaving van MFA bij aanmelding voor Azure CLI, Azure PowerShell, de mobiele Azure-app en Infrastructure as Code (IaC)-tools beginnen”, aldus een recente blogpost.

Okta boekt resultaten met Secure by Design van CISA

Het is prijzenswaardig dat zoveel leveranciers van identiteitsbeheer de CISA Secure by Design Pledge hebben ondertekend. Okta tekende in mei van dit jaar en engageerde zich daarmee voor het initiatief zeven veiligheidsdoelen. Hoewel Okta vooruitgang blijft boeken, blijven er uitdagingen bestaan.

Het nastreven van normen bij het leveren van nieuwe apps en platformcomponenten is een uitdaging. Nog problematischer is het om een ​​diverse, snel evoluerende reeks DevOps, software-engineering, QA, rode teams, productmanagement en marketeers allemaal gecoördineerd en gefocust te houden op de lancering.

1. Niet veeleisend genoeg zijn als het om MFA gaat: Okta heeft een aanzienlijke toename van het MFA-gebruik gerapporteerd, waarbij 91% van de beheerders en 66% van de gebruikers MFA gebruikt januari 2024. Ondertussen stellen steeds meer bedrijven MFB verplicht, zonder daarvoor op een standaard te vertrouwen. Het verplichte MFA-beleid van Google en Microsoft benadrukt de kloof tussen de vrijwillige maatregelen van Okta en de nieuwe beveiligingsstandaard in de branche.

• Kwetsbaarheidsbeheer moet worden verbeterd, te beginnen met een solide inzet voor red-teaming. Okta’s bugbountyprogramma en beleid voor het openbaar maken van kwetsbaarheden zijn voor het grootste deel transparant. De uitdaging waarmee ze worden geconfronteerd, is dat hun benadering van kwetsbaarheidsbeheer reactief blijft en zich voornamelijk baseert op externe rapporten. Okta moet ook meer investeren in red teaming om aanvallen uit de echte wereld te simuleren en kwetsbaarheden preventief te identificeren. Zonder red teaming loopt Okta het risico specifieke aanvalsvectoren onopgemerkt te laten, waardoor het vermogen om opkomende bedreigingen vroegtijdig aan te pakken mogelijk wordt beperkt.

• Verbeteringen op het gebied van logboekregistratie en monitoring moeten snel worden doorgevoerd. Okta verbetert de log- en monitoringmogelijkheden voor een beter inzicht in de beveiliging, maar vanaf oktober 2024 blijven veel verbeteringen onvolledig. Kritieke functies zoals het realtime volgen van sessies en robuuste audittools zijn nog in ontwikkeling, wat Okta’s vermogen belemmert om uitgebreide, realtime inbraakdetectie op het hele platform te bieden. Deze mogelijkheden zijn van cruciaal belang om klanten onmiddellijke inzichten en reacties op potentiële beveiligingsincidenten te bieden.

De beveiligingsfouten van Okta tonen de noodzaak aan van een robuuster beheer van kwetsbaarheden

Hoewel elke leverancier van identiteitsbeheer zijn deel van de aanvallen, inbraken en inbreuken heeft moeten verwerken, is het interessant om te zien hoe Okta deze gebruikt als brandstof om zichzelf opnieuw uit te vinden met behulp van CISA’s Secure by Design-framework.

De misstappen van Okta vormen een sterk pleidooi voor het uitbreiden van hun initiatieven op het gebied van kwetsbaarheidsbeheer, door de red teaming-lessen te nemen die zijn geleerd van Anthropic, OpenAI en andere AI-aanbieders en deze toe te passen op identiteitsbeheer.

Recente incidenten die Okta heeft meegemaakt zijn onder meer:

• Maart 2021 – Verkada Camerabreuk: Aanvallers kregen toegang tot meer dan 150.000 beveiligingscamera’s, waardoor aanzienlijke kwetsbaarheden in de netwerkbeveiliging aan het licht kwamen.
• Januari 2022 – LAPSUS$ groepscompromis: De cybercriminele groep LAPSUS$ maakte misbruik van de toegang van derden om de omgeving van Okta te doorbreken.
• December 2022 – Diefstal van broncode: Aanvallers hebben de broncode van Okta gestolen, wat wijst op interne gaten in de toegangscontroles en codebeveiligingspraktijken. Deze inbreuk benadrukte de noodzaak van strengere interne controles en monitoringmechanismen om intellectueel eigendom te beschermen.
• Oktober 2023 – Schending van de klantenondersteuning: Aanvallers kregen via de ondersteuningskanalen van Okta ongeautoriseerde toegang tot klantgegevens van ongeveer 134 klanten en werden door het bedrijf erkend op 20 oktober, te beginnen met gestolen inloggegevens gebruikt om toegang te krijgen tot het ondersteuningsbeheersysteem. Van daaruit kregen aanvallers toegang tot HTTP-archiefbestanden (.HAR) die actieve sessiecookies bevatten en begonnen ze inbreuk te maken op de klanten van Okta, in een poging hun netwerken binnen te dringen en gegevens te exfiltreren.
• Oktober 2024 – Gebruikersnaamauthenticatie omzeilen: Een beveiligingsfout maakte ongeautoriseerde toegang mogelijk door op gebruikersnaam gebaseerde authenticatie te omzeilen. De bypass bracht zwakke punten in het testen van producten aan het licht, aangezien de kwetsbaarheid had kunnen worden geïdentificeerd en verholpen door grondiger testen en red-teaming-praktijken.

Red-teaming-strategieën voor het toekomstbestendig maken van identiteitsbeveiliging

Okta en andere aanbieders van identiteitsbeheer moeten overwegen hoe ze red teaming kunnen verbeteren, ongeacht welke standaard dan ook. Een ondernemingssoftwarebedrijf zou geen standaard nodig moeten hebben om uit te blinken in red teaming, kwetsbaarheidsbeheer of het integreren van beveiliging in de systeemontwikkelingslevenscycli (SDLC’s).

Okta en andere leveranciers van identiteitsbeheer kunnen hun beveiligingspositie verbeteren door de onderstaande Red Teaming-lessen van Anthropic en OpenAI te volgen en daarbij hun beveiligingspositie te versterken:

Creëer bewust een meer continue samenwerking tussen mens en machine als het gaat om testen: Anthropic’s mix van menselijke expertise met AI-gestuurde red teaming brengt verborgen risico’s aan het licht. Door gevarieerde aanvalsscenario’s in realtime te simuleren, kan Okta proactief kwetsbaarheden eerder in de productlevenscyclus identificeren en aanpakken.

Streef ernaar om uit te blinken in adaptieve identiteitstests: OpenAI’s gebruik van geavanceerde methoden voor identiteitsverificatie, zoals stemauthenticatie en multimodale kruisvalidatie voor het detecteren van deepfakes, zou Okta kunnen inspireren soortgelijke testmechanismen in te voeren. Het toevoegen van een adaptieve methodologie voor het testen van identiteiten zou Okta ook kunnen helpen zichzelf te verdedigen tegen steeds geavanceerdere bedreigingen voor identiteitsspoofing.

Door prioriteit te geven aan specifieke domeinen voor red teaming blijft het testen gerichter: De gerichte tests van Anthropic op gespecialiseerde gebieden demonstreren de waarde van domeinspecifieke red teaming. Okta zou baat kunnen hebben bij het toewijzen van speciale teams aan gebieden met een hoog risico, zoals integraties van derden en klantenondersteuning, waar genuanceerde beveiligingslekken anders onopgemerkt zouden kunnen blijven.

Er zijn meer geautomatiseerde aanvalssimulaties nodig platforms voor identiteitsbeheer onder stresstests. Het GPT-4o-model van OpenAI maakt gebruik van geautomatiseerde vijandige aanvallen om door te gaanzijn verdedigingsmechanismen onder druk zetten. Okta zou vergelijkbare geautomatiseerde scenario’s kunnen implementeren, waardoor snelle detectie van en reactie op nieuwe kwetsbaarheden mogelijk wordt, vooral in zijn IPSIE-framework.

Zet in op meer real-time integratie van informatie over bedreigingen: Anthropic’s real-time kennisdeling binnen rode teams versterkt hun reactievermogen. Okta kan real-time feedbackloops van inlichtingen inbedden in zijn red-teaming-processen, waardoor de zich ontwikkelende dreigingsgegevens onmiddellijk de verdediging informeren en de reactie op opkomende risico’s versnellen.

Waarom 2025 de identiteitsveiligheid als nooit tevoren zal uitdagen

Tegenstanders zijn meedogenloos in hun pogingen om nieuwe, geautomatiseerde wapens aan hun arsenaal toe te voegen, en elke onderneming heeft moeite om bij te blijven.

Omdat identiteiten het voornaamste doelwit zijn van de meeste inbreuken, moeten aanbieders van identiteitsbeheer de uitdagingen het hoofd bieden en de beveiliging van elk aspect van hun producten opvoeren. Dat moet onder meer het integreren van beveiliging in hun SDLC omvatten en het helpen van DevOps-teams om vertrouwd te raken met beveiliging, zodat het geen bijzaak is die onmiddellijk voor de release wordt doorgenomen.

Het Secure by Design-initiatief van CISA is van onschatbare waarde voor elke cyberbeveiligingsaanbieder, en dat geldt vooral voor leveranciers van identiteitsbeheer. Okta’s ervaringen met Secure by Design hielpen hen gaten te vinden in het beheer van kwetsbaarheden, logboekregistratie en monitoring. Maar Okta moet daar niet stoppen. Ze moeten zich volledig inzetten voor een hernieuwde, intensere focus op red teaming, waarbij ze de lessen moeten trekken die ze hebben geleerd van Anthropic en OpenAI.

Het verbeteren van de nauwkeurigheid, latentie en kwaliteit van gegevens door middel van red teaming is de brandstof die elk softwarebedrijf nodig heeft om een ​​cultuur van voortdurende verbetering te creëren. Secure by Design van CISA is slechts het startpunt, niet het doel. Leveranciers van identiteitsbeheer die 2025 ingaan, moeten de standaarden zien voor wat ze zijn: waardevolle raamwerken voor het begeleiden van continue verbetering. Het hebben van een ervaren, solide rode teamfunctie die fouten kan onderkennen voordat ze worden verzonden en agressieve aanvallen van steeds bekwamer en goed gefinancierde tegenstanders kan simuleren, is een van de krachtigste wapens in het arsenaal van een identiteitsbeheerprovider. Red teaming is essentieel om competitief te blijven en tegelijkertijd een kans te hebben om op gelijke hoogte te blijven met de tegenstanders.

Opmerking van de schrijver: Speciale dank aan Taryn Plumb voor haar medewerking en bijdragen aan het verzamelen van inzichten en gegevens.