Únase a nuestros boletines diarios y semanales para obtener las últimas actualizaciones y contenido exclusivo sobre la cobertura de IA líder en la industria. Más información
2025 debe ser el año en que los proveedores de identidades se esfuercen por mejorar todos los aspectos de la calidad y la seguridad del software program, incluido el equipo rojo, mientras hacen que sus aplicaciones sean más transparentes y sean objetivos en cuanto a resultados más allá de los estándares.
antrópico, AbiertoAI y otras empresas líderes en IA han adoptado equipo rojo a un nuevo nivel, revolucionando para mejor sus procesos de lanzamiento. Proveedores de identidad, incluidos Oktadeben seguir su ejemplo y hacer lo mismo.
Si bien Okta es uno de los primeros proveedores de gestión de identidades en registrarse CISA Seguro por diseño promesa, todavía están luchando por lograr la autenticación correcta. Aviso reciente de Okta les dijo a los clientes que los nombres de usuario de 52 caracteres podrían combinarse con claves de caché almacenadas, evitando la necesidad de proporcionar una contraseña para iniciar sesión. Okta recomienda que los clientes que cumplan las condiciones previas investiguen su registro del sistema de Okta en busca de autenticaciones inesperadas de nombres de usuario mayores a 52 caracteres entre el periodo del 23 de julio de 2024 al 30 de octubre de 2024.
Okta señala su el mejor récord de su clase para la adopción de autenticación multifactor (MFA) entre usuarios y administradores de Workforce Id Cloud. Esto es algo que está en juego para proteger a los clientes hoy y es un hecho para competir en este mercado.
Nube de Google anunciado autenticación multifactor obligatoria (MFA) para todos los usuarios de aquí a 2025. microsoft También ha hecho que se requiera MFA para Azure a partir de octubre de este año. “A partir de principios de 2025, comenzará la aplicación gradual de MFA al iniciar sesión en Azure CLI, Azure PowerShell, la aplicación móvil de Azure y las herramientas de infraestructura como código (IaC)”, según un publicación de weblog reciente.
Okta está obteniendo resultados con Safe by Design de CISA
Es digno de elogio que tantos proveedores de gestión de identidades hayan firmado el compromiso CISA Safe by Design. Okta firmó en mayo de este año, comprometiéndose con los objetivos de la iniciativa. siete objetivos de seguridad. Si bien Okta continúa avanzando, los desafíos persisten.
Buscar estándares mientras se intenta lanzar nuevas aplicaciones y componentes de plataforma es un desafío. Aún más problemático es mantener una serie diversa y en rápido movimiento de DevOps, ingeniería de software program, management de calidad, equipos rojos, gestión de productos y especialistas en advertising and marketing, todos coordinados y enfocados en el lanzamiento.
- No ser lo suficientemente exigente en lo que respecta al MFA: Okta ha informado aumentos significativos en el uso de MFA, con el 91% de los administradores y el 66% de los usuarios usando MFA a partir de enero de 2024. Mientras tanto, cada vez más empresas hacen que la MFA sea obligatoria sin depender de un estándar para ello. Las políticas obligatorias de MFA de Google y Microsoft resaltan la brecha entre las medidas voluntarias de Okta y el nuevo estándar de seguridad de la industria.
- La gestión de vulnerabilidades debe mejorar, comenzando con un compromiso sólido con el equipo rojo. El programa de recompensas por errores y la política de divulgación de vulnerabilidades de Okta son, en su mayor parte, transparentes. El desafío al que se enfrentan es que su enfoque de gestión de vulnerabilidades sigue siendo reactivo y se basa principalmente en informes externos. Okta también necesita invertir más en equipos rojos para simular ataques del mundo actual e identificar vulnerabilidades de manera preventiva. Sin un equipo rojo, Okta corre el riesgo de dejar vectores de ataque específicos sin detectar, lo que podría limitar su capacidad para abordar las amenazas emergentes de manera temprana.
- Es necesario acelerar las mejoras en el registro y la supervisión. Okta está mejorando las capacidades de registro y monitoreo para una mejor visibilidad de la seguridad, pero a octubre de 2024, muchas mejoras siguen incompletas. Aún se están desarrollando funciones críticas como el seguimiento de sesiones en tiempo actual y herramientas de auditoría sólidas, lo que dificulta la capacidad de Okta para proporcionar una detección de intrusiones integral y en tiempo actual en toda su plataforma. Estas capacidades son fundamentales para ofrecer a los clientes información y respuestas inmediatas ante posibles incidentes de seguridad.
Los errores de seguridad de Okta muestran la necesidad de una gestión de vulnerabilidades más sólida
Si bien cada proveedor de gestión de identidades ha tenido que lidiar con su parte de ataques, intrusiones y violaciones, es interesante ver cómo Okta los está utilizando como flamable para reinventarse utilizando el marco Safe by Design de CISA.
Los errores de Okta constituyen un argumento sólido para ampliar sus iniciativas de gestión de vulnerabilidades, tomando las lecciones de equipos rojos aprendidas de Anthropic, OpenAI y otros proveedores de IA y aplicándolas a la gestión de identidades.
Los incidentes recientes que Okta ha experimentado incluyen:
- Marzo de 2021: Infracción de la cámara Verkada: Los atacantes obtuvieron acceso a más de 150.000 cámaras de seguridad, exponiendo importantes vulnerabilidades de seguridad de la crimson.
- Enero de 2022 – Compromiso del grupo LAPSUS$: El grupo cibercriminal LAPSUS$ aprovechó el acceso de terceros para violar el entorno de Okta.
- Diciembre de 2022: robo de código fuente: Los atacantes robaron el código fuente de Okta, lo que apunta a lagunas internas en los controles de acceso y las prácticas de seguridad del código. Esta violación puso de relieve la necesidad de controles internos y mecanismos de seguimiento más estrictos para salvaguardar la propiedad intelectual.
- Octubre de 2023: incumplimiento de la atención al cliente: Los atacantes obtuvieron acceso no autorizado a datos de clientes de aproximadamente 134 clientes a través de los canales de soporte de Okta y fue reconocido por la empresa el 20 de octubre, comenzando con credenciales robadas utilizado para obtener acceso a su sistema de gestión de soporte. Desde allí, los atacantes obtuvieron acceso a archivos HTTP Archive (.HAR) que contienen cookies de sesión activas y comenzaron a violar a los clientes de Okta, intentando penetrar sus redes y exfiltrar datos.
- Octubre de 2024: omisión de autenticación de nombre de usuario: Una falla de seguridad permitió el acceso no autorizado al evadir la autenticación basada en nombre de usuario. La omisión puso de relieve las debilidades en las pruebas de productos, ya que la vulnerabilidad podría haberse identificado y remediado mediante pruebas más exhaustivas y prácticas de formación de equipos rojos.
Estrategias de Pink Teaming para una seguridad de identidad preparada para el futuro
Okta y otros proveedores de gestión de identidades deben considerar cómo pueden mejorar el equipo rojo independientemente de cualquier estándar. Una empresa de software program empresarial no debería necesitar un estándar para sobresalir en equipos rojos, gestión de vulnerabilidades o integración de la seguridad en sus ciclos de vida de desarrollo de sistemas (SDLC).
Okta y otros proveedores de gestión de identidades pueden mejorar su postura de seguridad tomando las lecciones de equipo rojo aprendidas de Anthropic y OpenAI a continuación y fortaleciendo su postura de seguridad en el proceso:
Cree deliberadamente una colaboración más continua entre humanos y máquinas cuando se trata de pruebas: La combinación de Anthropic de experiencia humana con equipos rojos impulsados por IA descubre riesgos ocultos. Al simular diversos escenarios de ataque en tiempo actual, Okta puede identificar y abordar de manera proactiva las vulnerabilidades en una etapa más temprana del ciclo de vida del producto.
Comprométase a sobresalir en las pruebas de identidad adaptativas: El uso por parte de OpenAI de métodos sofisticados de verificación de identidad, como la autenticación de voz y la validación cruzada multimodal para detectar deepfakes, podría inspirar a Okta a adoptar mecanismos de prueba similares. Agregar una metodología de prueba de identidad adaptativa también podría ayudar a Okta a defenderse contra amenazas de suplantación de identidad cada vez más avanzadas.
Dar prioridad a dominios específicos para el equipo rojo mantiene las pruebas más enfocadas: Las pruebas específicas de Anthropic en áreas especializadas demuestran el valor de los equipos rojos de dominios específicos. Okta podría beneficiarse de la asignación de equipos dedicados a áreas de alto riesgo, como integraciones de terceros y atención al cliente, donde, de otro modo, las brechas de seguridad matizadas podrían pasar desapercibidas.
Se necesitan más simulaciones de ataques automatizados para Plataformas de gestión de identidades para pruebas de estrés. El modelo GPT-4o de OpenAI utiliza ataques adversarios automatizados para continuarPor lo basic, ponga a prueba sus defensas. Okta podría implementar escenarios automatizados similares, permitiendo una rápida detección y respuesta a nuevas vulnerabilidades, especialmente en su marco IPSIE.
Comprometerse a una mayor integración de la inteligencia sobre amenazas en tiempo actual: El intercambio de conocimientos en tiempo actual de Anthropic dentro de los equipos rojos fortalece su capacidad de respuesta. Okta puede incorporar bucles de retroalimentación de inteligencia en tiempo actual en sus procesos de formación de equipos rojos, garantizando que los datos de amenazas en evolución informen inmediatamente a las defensas y aceleren la respuesta a los riesgos emergentes.
Por qué 2025 desafiará la seguridad de la identidad como nunca antes
Los adversarios son implacables en sus esfuerzos por añadir armas nuevas y automatizadas a sus arsenales, y todas las empresas luchan por mantenerse al día.
Dado que las identidades son el objetivo principal de la mayoría de las infracciones, los proveedores de gestión de identidades deben afrontar los desafíos de frente y reforzar la seguridad en todos los aspectos de sus productos. Eso debe incluir la integración de la seguridad en su SDLC y ayudar a los equipos de DevOps a familiarizarse con la seguridad para que no sea una thought de último momento que se apresure inmediatamente antes del lanzamiento.
La iniciativa Safe by Design de CISA es invaluable para todos los proveedores de ciberseguridad, y ese es especialmente el caso de los proveedores de gestión de identidades. Las experiencias de Okta con Safe by Design les ayudaron a encontrar lagunas en la gestión, el registro y la supervisión de vulnerabilidades. Pero Okta no debería detenerse ahí. Deben apostar por un enfoque renovado y más intenso en los equipos rojos, aprovechando las lecciones aprendidas de Anthropic y OpenAI.
Mejorar la precisión, la latencia y la calidad de los datos a través del crimson teaming es el flamable que cualquier empresa de software program necesita para crear una cultura de mejora continua. Safe by Design de CISA es sólo el punto de partida, no el destino. Los proveedores de gestión de identidades de cara al 2025 necesitan ver los estándares tal como son: marcos valiosos para guiar la mejora continua. Tener una función de equipo rojo sólida y experimentada que pueda detectar errores antes de que se produzcan y simular ataques agresivos de adversarios cada vez más capacitados y bien financiados es una de las armas más potentes en el arsenal de un proveedor de gestión de identidad. El equipo rojo es elementary para seguir siendo competitivo y al mismo tiempo tener la oportunidad de luchar para mantenerse a la par con los adversarios.
Nota del escritor: Un agradecimiento especial a Taryn Plumb por su colaboración y contribuciones para recopilar conocimientos y datos.
