BeyondTrust ve Cloudflare’deki güvenlik liderleri Ekim ayından emin olmaya devam ediyor Okta ortamlarının ihlalleri Tehdit aktörü sistemlerine veya müşterilerine herhangi bir zarar vermeden önce kontrol altına alındı. Ancak yöneticilerin bu saldırılar sırasında ne gözlemlediğine ilişkin endişeler ve yanıtlanmamış birçok soru hâlâ sürüyor.
BeyondTrust ve Cloudflare’in Okta destek personeline gönderdiği tarayıcı günlük dosyaları, bir tehdit aktörünün Okta destek sistemi yöneticisi hesabından ele geçirdiği oturum belirteçlerini içeriyordu. Tehdit aktörü bu oturumları, kimlik doğrulaması yapılmadan müşterilerin idari hesaplarına erişmek için kullandı; bu, şirketlerde alarm zillerini çalan yüksek önem dereceli olaylardı.
BeyondTrust, Cloudflare ve 1Password herhangi bir tehdit aktörünün zararını tespit edip engellese de, saldırıların diğer, daha az güvenlik odaklı işletmelere nasıl yansıyabileceği konusunda endişeler devam ediyor. Okta geçen ay 18.400’den fazla ticari müşterisinin olduğunu söyledi.
BeyondTrust’un şirket içi Okta yönetici hesabına erişmeye çalışan bir saldırganı keşfetmesi ile Okta’nın ihlalin kaynağı olduğunu açıklaması arasındaki neredeyse üç haftalık fark endişe kaynağı olmaya devam ediyor.
Okta ortamlarındaki ihlaller arasındaki zaman çizelgesi, destek sisteminin haftalarca tehlikeye girmiş olabileceğini gösteriyor. 1Password 29 Eylül’de bir olay tespit etti Cloudflare’de ise 18 Ekim’e kadar benzer bir olay yaşanmadı.
BeyondTrust CTO’su Marc Maiffret, “Gelip bize bilmedikleri bir şeyler olup bittiğine dair bir sorun olduğunu söylemezlerse çok endişelendim” dedi. “Onlar onaylayana kadar, temel nedeni anlamaya çalışan bir deli gibi hissettim kendimi.”
Okta, 20 Ekim’de bir tehdit aktörünün çalıntı kimlik bilgileriyle bir destek sistemi yöneticisi hesabına eriştiğini kamuoyuna doğruladı. Kimlik ve erişim yönetimi sağlayıcısı, tehdit aktörünün ilk kez nasıl veya ne zaman erişim kazandığını, kaç müşterinin etkilendiğini veya saldırının kapsamını henüz açıklamadı. verilen zarar.
Birinden farklı olarak müşteri ortamlarının önceki ihlali Temmuz ayı sonlarında Okta, saldırıyı Menkul Kıymetler ve Borsa Komisyonu’na henüz resmi olarak açıklamadı. Şirket, çok sayıda yorum talebine yanıt vermedi.
Aşağı yöndeki mağdur endişeleniyor
BeyondTrust ve Cloudflare, gözlemlediklerine ve sistemlerini daha fazla tehlikeye karşı nasıl savunduklarına ilişkin ayrıntıları paylaştı; çünkü etkilenen diğer kuruluşlar aynı düzeyde güvenlik uzmanlığına sahip olmayabilir. Varsayılan kontroller bir kuruluşu bu tür saldırılara karşı uyarmaz.
Cloudflare CSO’su Grant Bourzikas, Cybersecurity Dive’a yaptığı açıklamada, Cloudflare için bu uyarının ilk olarak 18 Ekim’de Doğu saatiyle sabah 4’te geldiğini söyledi.
Bourzikas’a göre, kuruluşların tedarik zincirlerini ve üçüncü taraf risklerini değerlendirmeleri kritik önem taşıyor çünkü bu, aşağı yöndeki saldırılar için çok büyük bir yol.
Bourzikas, “Bu konuyu organizasyon için en yüksek risk olarak sıraladım – erişim” dedi.
Bourzikas, ihlallerin büyük çoğunluğunun bir ortama erişim veya bir dayanak noktası olmasından kaynaklandığını ve kuruluşların bu riske çok dikkat etmeleri ve doğru kontrolleri kullandıklarından emin olmaları gerektiğini söyledi.
“Korumanız, tespit etmeniz ve yanıt vermeniz önemlidir. Ancak bu senaryoda, yaptığımız kontrollerden bazıları her erişim noktasının ve ortamda yapılan değişikliklerin doğrulanmasıydı, dedi Bourzikas.
BeyondTrust ve Cloudflare, sistemleri üzerindeki etkiyi en aza indirerek katı çok faktörlü kimlik doğrulama talimatları ve tespit araçları da dahil olmak üzere sıfır güven kavramlarına ve diğer varsayılan olmayan kontrollere itibar etti.
“Bu tür şeylerle karşı karşıya olmak çok zor, çünkü tüm bu seviyedeki ayrıntıyı ve nüansı doğru bir şekilde elde etmeniz gerekiyor ve bırakın sahip olabileceğiniz her şeyi bir yana, bahsettiğimiz sadece bu teknoloji alanı.” dedi Maiffret.
Maiffret, Okta ve diğer kimlik altyapısının “basitleştirmeyi vaat ettiği her şey kadar karmaşık” olduğunu söyledi.
Okta’nın aciliyet ve şeffaflık eksikliği
Blog gönderileri serisi BeyondTrust, Bulut parlaması Ve 1Şifre bilgi boşluğunun doldurulmasına yardımcı oldu.
Okta CSO’su David Bradbury’nin konuyla ilgili blog yazısı Okta’nın destek sistemine izinsiz giriş neler olduğuna dair birkaç ayrıntı sundu ve müşterilerin destek personeliyle paylaşmadan önce çerezleri ve oturum belirteçlerini HTTP Arşiv dosyalarından çıkarmaları gerektiğine daha çok odaklandı.
Okta’nın şeffaflık ve aciliyet eksikliği, Bourzikas ve Maiffret’i hâlâ rahatsız eden şey.
“Bir sorun varsa derhal acilen düzeltin ve sorunun ortadan kalkmasını sağlayın. Bunlar onların yapabileceği şeyler” dedi Bourzikas.
Bourzikas, Okta’nın “dünyadaki en kritik kuruluşlardan bazılarının güvenilir bir kimlik sağlayıcısı” olduğunu ve “bu şekilde daha fazla ihlal olmayacağını” garanti ederek bunu ciddiye aldığını göstermesi gerektiğini söyledi.
Bourzikas, Cloudflare’in, müşterilerinin savunmalarının güçlendirilmesini sağlamak için tüm sağlayıcılarında olduğu gibi Okta ile olan ilişkisini değerlendirdiğini söyledi.
Cloudflare, geçen yıl Okta ile bağlantılı birden fazla saldırıdan kaçındığı için bu risklere aşinadır. Okta destek mühendisinin sisteminin ihlali Ocak 2022’de ve sahte Cloudflare Okta giriş sayfasını içeren kimlik avı saldırısı Ağustos 2022’de üç çalışanın aşık olduğu.
Cloudflare ve BeyondTrust’taki güvenlik liderleri Okta’ya olan güvenlerini tamamen kaybetmediler ancak son saldırının ardından gerginlik işaretleri açıkça görülüyor. 1Password soruları yanıtlamayı reddetti ve bunun yerine blog gönderisine geri döndü ve olay raporu.
“Herkes için en önemli şey her zaman şeffaf olmaktır. Bu tür şeylerin gerçekleşmesi berbat bir şey ama ne olduğu konusunda dürüst olmadığınız sürece bundan öğrenemez veya büyüyemezsiniz,” dedi Maiffret.
Maiffret, “Herkes gibi bizim de aynı güvenlik endişelerimiz var” dedi. “Sadece doğru olanı yapın, elinizden geldiğince açık sözlü olmaya çalışın.”