OKTA’nın şirket içi siber güvenlik ekibi ile takılmak için herhangi bir süreye harcayın ve er ya da geç, meslektaşlarının, klimalı bir Las Vegas Konferans Merkezi’nin içinde otururken ve 26 saat içinde güneş ışığı görmediğinizde gerçeküstü bir his olan neşeli bir “G’Day, Mat” ile selamladıklarını duyacaksınız.
Şu anda San Francisco Home’u çağırmasına rağmen, bu kadar çok Avustralya’nın tek bir yerde bir araya gelmesinden sorumlu adam, 2020’de Symantec’ten kimlik ve erişim yönetimi liderine gelen Okta Baş Güvenlik Görevlisi (STK) David Bradbury, daha önce Avustralya’nın Commonwealth Bank ve Hükümet destekli Ulusal Geniş Bant Ağı (NBN) şirketinde güvenlik rolleri üstlendi.
Gelen herhangi bir iş lideri doğal olarak şirkete kendi pullarını koymaya çalışacak olsa da, Bradbury’nin durumunda, Okta’daki zamanı, OKTA’yı doğrudan siber profesyonellerden bir isimden, büyük bir ulusal haber hikayesi merkezinde bir isimden yükselten bir dizi yüksek profilli olayla-bir dizi yüksek profilli olayla tanımlandı.
Ekim 2023’te, Müşteri Hizmetleri Günlükleri ve Destek Talepleri de dahil olmak üzere verilerin çalınmasına yol açan ve rahatsız müşteriler tarafından eleştirilen şirketin görülmemiş bir şekilde, OKTA’daki tüm yeni geliştirme çalışmalarının, sorunun dikkatini dağıtmadan çalışması için zaman vermek için eşi görülmemiş bir 90 günlük askıya alınmasıydı.
En somut uzun vadeli sonuç, siber iyileştirme için uzun vadeli bir plan olan Okta Güvenli Kimlik Taahhüdü’nin (sic) oluşturulmasıydı. Bu sözün dört temel direği pazar lideri kimlik ürünleri ve hizmetleri sunmaktır; Şampiyon müşteri her şey kimliğinde en iyi uygulama; siber saldırılara karşı daha iyi korunmak için endüstriyi yükseltmek; ve kendi kurumsal altyapısını sertleştirmek.
OKTA’nın 2025 OKtane Konferansı’nda Haftalık Bilgisayar ile oturan Bradbury, OKTA’nın talihsiz deneyiminden sonra kendini yeniden keşfetmek için verdiği taahhütlerin başarısını yansıtıyor. İhlalin gerçekten bir bütün olarak Okta’nın hem şirketi hem de müşterilerine sağladığı hizmetleri duraklatmasına ve düşünmesine neden olduğunu söyledi.
Bradbury, “Tehdit ortamının etrafımızda değiştiği açıktı ve bununla ihtiyacımız olduğu ölçüde değişmedik” diyor.
[The 2023 breach made it] Tehdit ortamının çevremizde değiştiği ve bununla birlikte değişmediğimiz ölçüde değişmedik. David Bradbury, Okta
“Müşterilerimizin çoğu bize güvenlik için güveniyor ve her zaman güvenli, her zaman açık ve neredeyse bir hizmet gibi olmamızı bekliyoruz ve bunun her zaman böyle olduğundan emin olmanın çok zor olduğunu gösterdik.”
Tehdit Intel: Yeni Bir Sınır
Bu zorluğun bir kısmı, güvenliği “yapma” işini kolaylaştıran, aynı zamanda daha geniş tehdit manzarasına odaklanmak ve Okta’nın her şeyden önce müşterilerini koruyabilmesinden emin olmak için özellikler ve ürünlere odaklanmak arasında doğru dengeyi vuruyor.
Firma güvenli kimlik taahhüdünü başlattığında, Bradbury, Tehdit manzarasını artan anlayışına dayanarak, müşterilerinin ihtiyaçlarını nasıl anladığından kaynaklanan güvenlik ürünlerinin ve özelliklerinin oluşturulmasına nasıl öncelik verdiğini yeniden düşünmek için önemli bir değişikliği yansıttığını söylüyor.
OKTA son zamanlarda kendi tehdit zekası ve araştırma yeteneklerini artırdı, hem kendi ürün ve hizmetlerinden kaçan Intel ile çalışarak-bir kimlik uzmanı olarak, teknolojisi elbette bir mesele olarak büyük ölçüde saldırıya uğruyor, bu nedenle bu verilere yaslanmak ve diğer tehdit liderliğindeki siber uzmanlarla çalışmak mantıklı.
“Hangi uygulamaya kimin eriştiğine benzersiz bir bakış açısına sahip olduğumuzu düşünmeyi seviyoruz ve [are able] proaktif savunmaya yol açmak için. Güvenlik ürünleri ve güvenlik özellikleri yaratma konusunda şirketi tehdit liderliğine tamamen yönlendirdik. ”
David Bradbury, Okta
Bradbury, “Okta’nın müşteri tabanının bazı sektörlerde gerçekten büyüdüğünü gördük ve ABD federal hükümetinden bankacılık sektörüne ve sağlık hizmetlerine kadar oldukça hedefli dikeyler. Bu müşterileri rutin olarak hedefleyen çok ilginç tehdit grupları görüyoruz” diyor.
“Hangi uygulamaya kimin eriştiği konusunda benzersiz bir perspektife sahip olduğumuzu düşünüyoruz ve Crowdstrike, Mantiant ve diğerlerinde arkadaşlarımızla büyük bir ortaklık kurarak bizi proaktif savunmaya yol açacak gerçekten iyi bir konuma getiriyor” diye ekliyor. “Güvenlik ürünleri ve güvenlik özellikleri yaratma konusunda şirketi tehdit altına almaya tamamen yönlendirdik.”
Yaz boyunca, OKTA’nın Tehdit Intel ekibi, tehdit oyuncusunun Okta kullanıcılarını OKTA’daki FastPass Parolasız Kimlik Doğrulama özelliğini önemli bir gevşek mesaja erişmek için kapatmaya ikna etmeye çalıştığı yeni bir sosyal mühendislik kampanyası belirledi. Tehdit oyuncusu bunun Fastpass’ın hedefin gevşek entegrasyonu ile düzgün çalışmadığı için olduğunu iddia etti. Okta, ürün ekiplerinin teknolojiye dahil ettikleri ve canlı olarak ittiği raporlama özellikleri sayesinde bunu öğrendi.
Bradbury, “Kimlik avına dirençli teknolojiler söz konusu olduğunda, kullanıcı adınızı ve şifrenizi sahte bir siteye koyabilmenizi engellemede gerçekten harikalar, ancak günlüğe kaydedmiyorlar, bu bilgileri hiçbir yere göndermiyorlar, sadece olmasını engelliyorlar” diye açıklıyor.
“Ürünümüzle, aslında kaydediyor, bunu müşteriye gönderiyor ve aynı zamanda zekamızı da uyarıyor, bu yüzden bu kimlik avı olaylarını görüyoruz ve daha sonra zeka çizmeye başlayabilir ve daha fazla kök neden tanımlamaya başlayabiliriz.
“Biz kendimiz kendi ürünlerimizin gücünün kilidini açmaya başlıyoruz ve tehdit aktörlerini bulabiliyor ve kendimizi daha iyi korumak için bunu daha geniş güvenlik topluluğuna geri besleyebiliyoruz.”
Varsayılan olarak siber ve paylaşılan sorumluluk
Tehdit ortamını artan anlayışıyla şamandıra olan Okta, benzer yeni özelliklerin ve güncellemelerin sürekli bir kadansını sürdürüyor ve bu noktada yaklaşık 18 ay boyunca onları ürünlerine bırakıyor.
Daha da önemlisi, Bradbury, neredeyse her durumda, müşterilere bu özelliklerin açık olup olmadığı konusunda bir seçim yapmıyor. Okta bunun sırrı yok. “Müşterilerin bunların ne olduğunu anlamasını beklemeyeceğiz. Onları sizin için açacağız, çünkü bu sizin en iyi çıkarlarınızda” diyor.
İlk bakışta, bu biraz paternalist bir düşünce tarzı gibi görünebilir ve şüphesiz, nihai kullanıcı kuruluşlarında hangi güvenlik özelliklerinin etkinleştirildiği konusunda bir seçeneğe sahip olmayacak birçok güvenlik lideri var-sonuçta ürün için ödeme yapıyorlar.
Ancak Bradbury, Okta’nın burada doğru yolda olduğundan ve argümanının kilo olduğundan emin. Örnek olarak yol güvenliğini alın. Sürücüler hiçbir zaman emniyet kemerleri istemedi – İngilizler 1970’lerde kayış yapmalarını sağlamak için gerekli kamuoyu bilgileri filmlerine ihtiyaç duyuyor – ancak standart olarak temel güvenlik özellikleri olmayan bir araba satın alma fikri bugün düşünülemiyor.
Müşteriler şimdi Okta’yı satın aldıklarında, sadece siber emniyet kemerleri almıyorlar, aynı zamanda hava yastıkları, kilit önleyici frenler, kör nokta izleme, elektronik denge kontrolü, şerit tutma yardımı-ve arabalarında olduğu gibi, bu konuda bir seçim yapmıyorlar.
Oluşturduğumuz bir güvenlik özelliği bir müşteri için değere sahip olduğunda ve kapsamlı yapılandırma gerektirmediğinde, varsayılan olarak bunu etkinleştiririz
David Bradbury, Okta
Bradbury, bunun Okta’da net bir zihniyet değişikliğine işaret ettiğini söylüyor. “Oluşturduğumuz bir güvenlik özelliği olduğunda ve bir müşteri için değeri olduğunda ve kapsamlı yapılandırma gerektirmediğinde, varsayılan olarak bunu itmemizi sağlıyoruz” diyor.
“Şu anda bir dizi çeyrek için yaptığımız şey bu-bazıları büyük, bazıları küçük, hepsi gördüğümüz tehditlere geri bağladı. Artımlı güvenlik geliştirmeleri ve iyileştirmeleri zorlamaya devam ediyor. Bu tehdit odaklı zihniyet, geçen yıl bir buçuk yıl boyunca nasıl sunduğumuz için kesinlikle temeldir.”
Bradbury sadece müşteriler için güvenlik artışını zorlamakla kalmıyor, aynı zamanda örnek olarak da liderlik ediyor. Son zamanlarda Okta, Salesloft tarafından geliştirilen bir pazarlama hizmetleri platformu olan Drift’e hacklenen tehdit aktörleri tarafından saldırıya uğrayan çok sayıda şirket arasında bulundu. Ağustos 2025’te bir hafta süren bir süre boyunca, bilgisayar korsanları müşterilerin aşağı akış Salesforce örneklerinden veri çalmak için OAuth kimlik bilgilerini kullandılar.
Ancak Okta, mümkün olan her güvenlik özelliğini açtığı için Scot’tan uzaklaştı. Bradbury için bu sorumluluk hakkında ilginç sorular gündeme getiriyor.
“Müşteriler, satıcılara karşı ne kadar güvenlik için olmalıdır? Salesforce, bu olayı durduracak bir sürü güvenlik özelliğini açmalı mı, yoksa bugün olduğu gibi, müşterilerin bir şeyler yapılandırması için güveniyor mu?” diyor. “Çok şanslıydık. İşi yaptık. Yüzlerce şirketin yapmadığı güvenlik özelliklerini açtık ve yüzlerce başka şirket vuruldu.”
Bradbury, diğerleri ortak sorumluluk modeline ayrılmaya devam ederken, şimdi servis sağlayıcıların, satıcıların veya tedarikçilerin – onlara ne yapacağınızı söyledikleri – aslanın siber sorumluluk payını omuzlandırması gerektiği fikrine geldiğini söylüyor.
Bunun zor bir soru olduğunu kabul ediyor. “Müşterileriniz genelinde yeni özelliklerin benimsenmesini sağlamak için, elde etmemiz gereken çok şey olması için zaten zorlanan hepimiz için çok çaba ve odaklanmayı gerektiriyor” diyor.
“Ama gerçekten, önceliklendirmeye geliyor ve ne yazık ki, paylaşılan sorumluluk modeline girdiğimiz şey, bunun bir parçası olarak çok fazla bir beklenti olması, müşterinin büyük miktarda sorumluluk giymesi gerektiğidir – bulutu güvence altına aldığımız ve uygulamaları güvence altına almanız.
“Ancak,” diye devam ediyor, “son birkaç yıldır, bölgenin ortasında, geçiş noktası etrafında çok fazla olay gördük.”
Bradbury şimdi ajite ediyor – ve diğer birçok güvenlik liderinin aynı şekilde hissetmeye başladığını söylüyor – ortak sorumluluk modelinin temelleri yeniden gözden geçirilecek ve çizgiler yeniden çiziliyor.
“İster kar tanesi olayı ister Salesloft Drift olayı olsun, bunlar güvenlik kontrollerinin bulunduğu alanlara örneklerdir, ancak son müşteri tarafından kabul edilmemişlerdir. Yani soru şu ki, satıcı güvenlik topluluğundaki hepimizin onlara yardım etmede ne rolü var mı? Bence bu, bu ortak sorumluluğu gözden geçirme ve revize etmemiz gerekiyor” diyor.
