CyberArk 對 2022 年 1 月 Okta 入侵事件的看法

April 28, 2022 CyberArk Blog Team

CyberArk Perspectives on Okta Breach

Okta 是一家身分和存取管理供應商，經證實它在 2022 年 1 月一次有針對性的網路攻擊中其第三方支援工程師之機器遭受入侵。 3 月 22 日，犯罪組織 Lapsus$ 在網上分享了一些截圖，隨後證實了此消息。在此之前，還發生過其他涉及同一威脅者的知名事件。

這一事件發人深省地提醒我們，無一例外，我們都是目標 — 沒有絕招。沒有一家公司、解決方案或技術能夠單槍匹馬地阻止無情的攻擊者的創新手法。作為網路防禦者，我們必須在出現問題時公開快速地溝通，記住安全是一項「團隊運動」，然後以共同的使命和安全第一的心態共同前進。

下面的文章概述了迄今為止對此事件的瞭解，以及如果您的身分供應商（IdP）（無論您使用哪一個）受到損害時要採取的一些實際步驟。

Okta漏洞的簡要回顧

2022 年 1月，攻擊者入侵了 Okta 第三方支援工程師的端點，並獲得了對 Okta 客戶數據的存取許可權。此事很快被發現，但直到 2022 年 3 月 22 日 Lapsus$ 在網上發佈截圖後才公之於眾。Okta 隨後證實了這起數據洩露事件。這可能會對使用 Okta 單一簽入和身分提供者的客戶產生影響。

Lapsus$ 犯罪集團因其高調的目標和非常規的手段而備受矚目。儘管潛在的動機和損害的全部程度尚不清楚，但有兩件事是明確的：身分洩露在這些事件中是關鍵因素，所涉及的主要科技公司並不是唯一的預期目標。在 Okta 的案例中，Lapsus$ 特別傳達了他們實際上是針對 Okta 的客戶。

如果您知道或懷疑您的身分供應商已遭到入侵，應立即採取的 4 個步驟

隨著惡意網路活動的增加，每個組織都迫切需要主動預防攻擊，強化系統併為潛在攻擊做好準備 — 無論它們是直接針對您的組織或是嘗試影響第三方供應商。

身分供應商應被視為第 0 層資產，並因此受到保護。如果組織的身分提供程式遭到入侵，或者您懷疑其已遭到入侵，則應立即採取以下四個步驟來最大程度地減少暴露和影響。

步驟 1：仔細檢查自報告的攻擊日期以來所做的配置更改。簡單的配置變更，即可能切換整個身分驗證流程，導致為攻擊者提供持持續的存取權限。請留意以下具體的入侵指標：

任何新的 MFA 裝置部署或設備更改。
MFA 配置更改：例如，通過破壞身分和用戶密碼以禁用對某些應用程式的 MFA，威脅參與者可以在規避 MFA 的同時獲得對這些應用程式的完全存取許可權。
身分提供程式（IdP）配置更改：如果 URI（SSO 解決方案與 IdP 之間的連接）和相關配置發生更改，則即使更改了使用者的密碼，威脅參與者也可以獲得對應用程式和服務的持續存取。
密碼和 MFA 重置嘗試，特別是對於特權帳戶和管理帳戶。假設所有密碼重置嘗試（無論成功與否）都受到懷疑，並重置所有密碼。
許可權和角色更改以及新用戶的創建。如果您的 IdP 解決方案提供基於風險的存取和基於異常存取的風險評分機制，請評估系統中的所有高風險事件和高風險使用者。這些事件可能是由於 IP、位置、設備或不可能的旅途等異常存取造成的，僅舉幾例。在目標應用程式本身中尋找這些變化很重要，在這些應用程式中創建的能夠直接登錄到目標應用程式的影子管理員更加困難，這些應用程式允許直接登錄到這些目標應用程式。如果您的組織使用身分治理和管理（IGA）平台，這是使用該平台身分驗證的好時機。

步驟2：查找任何無法識別或惡意的應用程式。如果威脅參與者有權存取 SSO 平台，他們嘗試添加惡意應用程式或替換現有應用程式，偽裝成合法應用程式。如果添加了新應用程式，則應啟用治理過程，例如審批過程或通知多個管理員。惡意應用程式在獲得使用者同意後，可能會濫用分配並委派其惡意應用程式存取許可權。例如，惡意應用程式可能會請求存取 Outlook 上的電子郵件閱讀或存取其雲的儲存空間。

步驟 3：實現最小特權，能大幅度減少威脅行動者通過獲取不同應用程式和服務的存取令牌(Access Token)，所導致潛在損害和存取。考慮實施即時存取 (Just-in-Time) 和動態提升功能，以消除常備存取許可權，並檢查基礎的最小特權，例如從端點中刪除本地管理員。這也意味著為存取關鍵應用程式，實施 MFA 策略並符合最高認證保證級別（AAL3）的要求。

步驟 4：限制對來自特定和託管設備的敏感應用程式的存取，以説明限制對這些應用程式的存取，包括在 MFA 之上添加多存取條件，例如 IP 和設備運行狀況，作為兩個示例。還應遵循最小許可權管理做法，例如限制 RDP 及遠端存取至營運服務中心（HelpDesk）和、特權存取管理解決方案（PAM）、供應商特權存取和管理子網的遠端存取。