Ce que disent les échecs d’Okta sur l’avenir de la sécurité des identités en 2025

2025 doit être l’année où les fournisseurs d’identité s’efforcent d’améliorer tous les aspects de la qualité et de la sécurité des logiciels, y compris l’équipe rouge, tout en rendant leurs applications plus transparentes et en obtenant des résultats objectifs au-delà des normes.

Anthropique, OpenAI et d’autres grandes sociétés d’IA ont pris équipe rouge à un nouveau niveau, révolutionnant leurs processus de publication pour le mieux. Fournisseurs d’identité, y compris Oktadoivent suivre leur exemple et faire de même.

Bien qu’Okta soit l’un des premiers fournisseurs de gestion des identités à s’inscrire CISA Sécurisé dès la conception engagement, ils ont toujours du mal à obtenir une authentification correcte. Avis récent d’Okta a informé les clients que les noms d’utilisateur de 52 caractères pouvaient être combinés avec des clés de cache stockées, évitant ainsi la nécessité de fournir un mot de passe pour se connecter. Okta recommande aux clients remplissant les conditions préalables d’examiner leur journal système Okta pour détecter les authentifications inattendues provenant de noms d’utilisateur supérieurs à 52. caractères entre la période du 23 juillet 2024 au 30 octobre 2024.

Okta souligne son meilleur dossier de sa catégorie pour l’adoption de l’authentification multifacteur (MFA) parmi les utilisateurs et les administrateurs de Workforce Identity Cloud. C’est un enjeu de table pour protéger les clients aujourd’hui et une évidence pour être compétitif sur ce marché.

Google Cloud annoncé authentification multifacteur obligatoire (MFA) pour tous les utilisateurs d’ici 2025. Microsoft a également rendu MFA obligatoire pour Azure à partir d’octobre de cette année. « À partir du début de 2025, l’application progressive de la MFA lors de la connexion à Azure CLI, Azure PowerShell, l’application mobile Azure et les outils Infrastructure as Code (IaC) commencera », selon un rapport. article de blog récent.

Okta obtient des résultats avec Secure by Design de CISA

Il est louable qu’autant de fournisseurs de gestion des identités aient signé le CISA Secure by Design Pledge. Okta a signé en mai de cette année, s’engageant à soutenir l’initiative sept objectifs de sécurité. Même si Okta continue de progresser, des défis persistent.

Il est difficile de respecter les normes tout en tentant de proposer de nouvelles applications et de nouveaux composants de plate-forme. Plus problématique encore est de maintenir une série diversifiée et en évolution rapide de DevOps, d’ingénierie logicielle, d’assurance qualité, d’équipes rouges, de gestion de produits et de marketing, tous coordonnés et concentrés sur le lancement.

1. Ne pas être assez exigeant en matière de MFA: Okta a signalé une augmentation significative de l’utilisation de MFA, avec 91 % des administrateurs et 66 % des utilisateurs utilisant MFA en date du janvier 2024. Pendant ce temps, de plus en plus d’entreprises rendent l’AMF obligatoire sans s’appuyer sur une norme pour cela. Les politiques MFA obligatoires de Google et de Microsoft mettent en évidence l’écart entre les mesures volontaires d’Okta et la nouvelle norme de sécurité du secteur.

• La gestion des vulnérabilités doit être améliorée, en commençant par un engagement solide en faveur du red-teaming. Le programme de bug bounty et la politique de divulgation des vulnérabilités d’Okta sont, pour la plupart, transparents. Le défi auquel ils sont confrontés est que leur approche de la gestion des vulnérabilités continue d’être réactive, s’appuyant principalement sur des rapports externes. Okta doit également investir davantage dans le red teaming pour simuler des attaques réelles et identifier les vulnérabilités de manière préventive. Sans équipe rouge, Okta risque de laisser des vecteurs d’attaque spécifiques non détectés, ce qui pourrait limiter sa capacité à répondre rapidement aux menaces émergentes.

• Les améliorations en matière de journalisation et de surveillance doivent être accélérées. Okta améliore les capacités de journalisation et de surveillance pour une meilleure visibilité sur la sécurité, mais en octobre 2024, de nombreuses améliorations restent incomplètes. Des fonctionnalités critiques telles que le suivi des sessions en temps réel et des outils d’audit robustes sont encore en cours de développement, ce qui entrave la capacité d’Okta à fournir une détection complète des intrusions en temps réel sur sa plateforme. Ces fonctionnalités sont essentielles pour offrir aux clients des informations et des réponses immédiates aux incidents de sécurité potentiels.

Les faux pas d’Okta en matière de sécurité montrent la nécessité d’une gestion plus robuste des vulnérabilités

Alors que chaque fournisseur de gestion d’identité a dû faire face à son lot d’attaques, d’intrusions et de violations, il est intéressant de voir comment Okta les utilise comme carburant pour se réinventer à l’aide du cadre Secure by Design de CISA.

Les faux pas d’Okta justifient fortement l’expansion de ses initiatives de gestion des vulnérabilités, en prenant les leçons de l’équipe rouge tirées d’Anthropic, d’OpenAI et d’autres fournisseurs d’IA et en les appliquant à la gestion des identités.

Les incidents récents auxquels Okta a été confronté incluent :

• Mars 2021 – Violation de la caméra Verkada: Les attaquants ont eu accès à plus de 150 000 caméras de sécurité, exposant ainsi d’importantes vulnérabilités de sécurité du réseau.
• Janvier 2022 – Compromis du groupe LAPSUS$: Le groupe cybercriminel LAPSUS$ a exploité l’accès de tiers pour pirater l’environnement d’Okta.
• Décembre 2022 – Vol de code source: Les attaquants ont volé le code source d’Okta, soulignant des lacunes internes dans les contrôles d’accès et les pratiques de sécurité du code. Cette violation a mis en évidence la nécessité de contrôles internes et de mécanismes de surveillance plus stricts pour protéger la propriété intellectuelle.
• Octobre 2023 – Violation du support client: Les attaquants ont obtenu un accès non autorisé aux données client d’environ 134 clients via les canaux de support d’Okta et a été reconnu par l’entreprise le 20 octobre, en commençant par des informations d’identification volées utilisé pour accéder à son système de gestion du support. À partir de là, les attaquants ont accédé aux fichiers HTTP Archive (.HAR) contenant des cookies de session actifs et ont commencé à pirater les clients d’Okta, en tentant de pénétrer leurs réseaux et d’exfiltrer des données.
• Octobre 2024 – Contournement de l’authentification du nom d’utilisateur: Une faille de sécurité autorisait un accès non autorisé en contournant l’authentification basée sur le nom d’utilisateur. Le contournement a mis en évidence des faiblesses dans les tests de produits, car la vulnérabilité aurait pu être identifiée et corrigée grâce à des tests plus approfondis et à des pratiques d’équipe rouge.

Stratégies d’équipe rouge pour une sécurité des identités pérenne

Okta et d’autres fournisseurs de gestion des identités doivent réfléchir à la manière dont ils peuvent améliorer le red teaming indépendamment de toute norme. Un éditeur de logiciels d’entreprise ne devrait pas avoir besoin d’une norme pour exceller dans le red teaming, la gestion des vulnérabilités ou l’intégration de la sécurité tout au long de ses cycles de vie de développement système (SDLC).

Okta et d’autres fournisseurs de gestion des identités peuvent améliorer leur posture de sécurité en tirant les leçons de l’équipe rouge tirées d’Anthropic et d’OpenAI ci-dessous et en renforçant ainsi leur posture de sécurité :

Créez délibérément une collaboration homme-machine plus continue en matière de tests : Le mélange d’expertise humaine et d’équipe rouge pilotée par l’IA d’Anthropic révèle les risques cachés. En simulant divers scénarios d’attaque en temps réel, Okta peut identifier et corriger de manière proactive les vulnérabilités plus tôt dans le cycle de vie du produit.

Engagez-vous à exceller dans les tests d’identité adaptatifs : L’utilisation par OpenAI de méthodes sophistiquées de vérification d’identité telles que l’authentification vocale et la validation croisée multimodale pour détecter les deepfakes pourrait inciter Okta à adopter des mécanismes de test similaires. L’ajout d’une méthodologie adaptative de test d’identité pourrait également aider Okta à se défendre contre des menaces d’usurpation d’identité de plus en plus avancées.

La priorisation de domaines spécifiques pour l’équipe rouge permet de mieux cibler les tests: Les tests ciblés d’Anthropic dans des domaines spécialisés démontrent la valeur de l’équipe rouge spécifique à un domaine. Okta pourrait bénéficier de l’affectation d’équipes dédiées à des domaines à haut risque, tels que les intégrations tierces et le support client, où des failles de sécurité nuancées pourraient autrement passer inaperçues.

Des simulations d’attaques plus automatisées sont nécessaires pour tester les plateformes de gestion des identités. Le modèle GPT-4o d’OpenAI utilise des attaques contradictoires automatisées pour continuerTestez généralement ses défenses sous pression. Okta pourrait mettre en œuvre des scénarios automatisés similaires, permettant une détection et une réponse rapides aux nouvelles vulnérabilités, notamment dans son cadre IPSIE.

S’engager à intégrer davantage de renseignements sur les menaces en temps réel: Le partage de connaissances en temps réel d’Anthropic au sein des équipes rouges renforce leur réactivité. Okta peut intégrer des boucles de retour d’information en temps réel dans ses processus d’équipe rouge, garantissant ainsi que l’évolution des données sur les menaces informe immédiatement les défenses et accélère la réponse aux risques émergents.

Pourquoi 2025 mettra à l’épreuve la sécurité des identités comme jamais auparavant

Les adversaires s’efforcent sans relâche d’ajouter de nouvelles armes automatisées à leurs arsenaux, et chaque entreprise a du mal à suivre le rythme.

Les identités étant la principale cible de la majorité des violations, les fournisseurs de gestion des identités doivent relever les défis de front et renforcer la sécurité dans tous les aspects de leurs produits. Cela doit inclure l’intégration de la sécurité dans leur SDLC et aider les équipes DevOps à se familiariser avec la sécurité afin que ce ne soit pas une réflexion secondaire précipitée juste avant la publication.

L’initiative Secure by Design de CISA est inestimable pour chaque fournisseur de cybersécurité, et c’est particulièrement le cas pour les fournisseurs de gestion des identités. Les expériences d’Okta avec Secure by Design l’ont aidé à trouver des lacunes en matière de gestion, de journalisation et de surveillance des vulnérabilités. Mais Okta ne devrait pas s’arrêter là. Ils doivent se concentrer de manière renouvelée et plus intense sur le red teaming, en tirant les leçons apprises d’Anthropic et d’OpenAI.

Améliorer la précision, la latence et la qualité des données grâce à l’équipe rouge est le carburant dont tout éditeur de logiciels a besoin pour créer une culture d’amélioration continue. Le programme Secure by Design de CISA n’est que le point de départ, pas la destination. À l’horizon 2025, les fournisseurs de gestion des identités doivent considérer les normes telles qu’elles sont : des cadres précieux pour guider l’amélioration continue. Disposer d’une équipe rouge expérimentée et solide, capable de détecter les erreurs avant qu’elles ne soient transmises et de simuler des attaques agressives de la part d’adversaires de plus en plus compétents et bien financés, constitue l’une des armes les plus puissantes de l’arsenal d’un fournisseur de gestion d’identité. L’équipe rouge est essentielle pour rester compétitif tout en ayant une chance de rester à parité avec les adversaires.

Note de l’écrivain : Un merci spécial à Taryn Plumb pour sa collaboration et ses contributions à la collecte d’informations et de données.