Okta’da geçirdiği dört yılın ardından CSO David Bradbury, kendisini kimlik ve erişim yönetimi sağlayıcısında tartışmasız en önemli rolde buldu.
Bradbury’ye göre Okta, geçmişe bakıldığında zaten ürünlerinin ve dahili BT operasyonlarının bir parçası olması gereken bir dizi güvenlik kontrolünü uygulamaya koyuyor.
“Okta etrafımızdaki değişen tehdit ortamına ayak uyduramıyor. Bradbury, güvenliğe karşı gösterdiğimiz tepkiyi birçok açıdan eleştirebileceğinizi düşünüyorum” dedi. “Konuşma artık güvenliğin nereye uyacağı değil, diğer her şeyin nereye uyacağı ile ilgili.”
Şirketin kusuru ve güvenlik konusundaki yeniden yönelimi, son birkaç yıldaki itibara zarar veren bir dizi siber saldırı ve güvenliği iyileştirmeye yönelik önceki bir planın işe yaramamasının ardından en büyük önceliği haline geldi.
Bu, kuşatılmış şirket için belirleyici bir an.
Bradbury Pazartesi günü, Okta’nın bu haftanın sonlarında duyuracağı bir düzineden fazla güvenlik geliştirmesinin önizlemesini yaptı; bu, tüm müşteri destek sistemi müşterilerini açığa çıkaran Eylül ayındaki bir siber saldırının katalize ettiği şirket çapındaki bir çabanın parçası.
Okta CSO’su David Bradbury
Okta’nın izniyle
Şirket, iç savunmasını ve 18.800 kurumsal müşterisinin kimlik tabanlı güvenliğini iyileştirmeye yönelik dört temele yayılan uzun vadeli taahhüdünü Cybersecurity Dive ile paylaştı.
Okta, önümüzdeki beş yıl içinde kurumsal altyapısını güçlendirmeyi, tasarım gereği güvenlik ilkelerini ürünlerine dahil etmeyi, en iyi uygulamaları desteklemeyi ve şirket dışındaki siber güvenlik sorunlarına çözüm bulmak için bir fona 50 milyon dolar yatırım yapmayı taahhüt etti.
Montaj sorunları
2022’de Okta bir kimlik avı saldırısına uğradı, bir ihlal yaşandı ve GitHub kaynak kodu çalındı. Geçen yıl, yaz boyunca bir dizi saldırı yüksek profilli müşteri ortamlarını hedef aldı ve üçüncü taraf satıcı saldırısı, yaklaşık 5.000 mevcut ve eski Okta çalışanına ilişkin sağlık bilgilerini açığa çıkardı.
Ardından Eylül ayında Okta’nın destek portalına yapılan saldırı geldi. BeyondTrust, Cloudflare ve 1Password, bu saldırının kurbanları olduklarını açıkladılar. Okta’nın ilk tahminleri, müşteri destek sistemi müşterilerinin yalnızca %1’inin etkilendiği sonucuna vardı.
Ancak Kasım ayının sonunda Okta, tüm müşteri destek müşterilerinin saldırıdan etkilendiği sonucuna vardı.
Siber Güvenlik Dalışı, Okta, destek sistemi saldırısının neden olduğu hasarın tam boyutunu belirlemeden önce Cloudflare ve BeyondTrust’taki güvenlik liderleriyle konuştu. İzinsiz giriş ve bunun kuruluşlar üzerindeki etkisi o dönemde ilişkilerini gerginleştirse de Okta’ya olan güven geri dönülemez şekilde kırılmadı.
Cloudflare CSO’su Grant Bourzikas, Cybersecurity Dive’a geç saatlerde yaptığı açıklamada, Okta’nın “dünyadaki en kritik kuruluşlardan bazıları için güvenilir bir kimlik sağlayıcısı” olduğunu ve “bu şekilde daha fazla ihlal olmamasını” sağlayarak bunu ciddiye aldığını göstermesi gerektiğini söyledi. Ekim.
Geniş çaplı olay, Okta ve onun statükosu için bir kırılma noktasıydı ve siber güvenliğe yönelik dengesiz ve sonuçta etkisiz bir yaklaşımın tuzaklarını ortaya çıkardı.
“Okta gibi bir yerde çalışmanın bir yönü de her zaman şu kişilik çatışmasının olmasıdır: Biz bir güvenlik şirketi miyiz, yoksa bir kimlik şirketi miyiz? Hangisi önce gelir?” Bradbury dedi.
Okta’nın destek portalının kapsamlı ihlali bu soruyu ortadan kaldırdı. Okta’nın yönetim ekibi bir değişikliğin zorunlu olduğuna karar verdi; liderlik, ürün geliştirmeyi Kasım başından itibaren 90 gün süreyle duraklattı ve güvenliği 1 numaralı önceliğe yükseltti.
“Dahili odak noktamız, kendi sistemimizin güvenliği ile etrafımızdaki şeylerin güvenliği arasında bir boşluk ve eşitsizlik olduğunun farkındayız. Bu çıtayı yükseltmemiz gerekiyor” dedi Bradbury.
Bradbury, “Dünya çapında sistemler arasında bu eşitsizliği yaşamayan bir avuç şirketten biri olmamız gerekecek” dedi. “İster ataş sipariş sistemi, ister prodüksiyon hizmeti olsun, her sisteme aynı tehdit profili uygulanıyor.”
Okta bir saldırı için izinsiz giriş noktası olduğunda, savunma sorumluluğu müşteriyle paylaşılmaz – Bradbury’ye göre bu kolay bir yanıttır – iş Okta’ya düşer. “Siber savunma ekibim bunun sahibi. Yaptıkları her şeyde buna sahipler” dedi Bradbury.
Varsayılan olarak güvenli hale getirmek için geçiş yapın
Okta, 18 ay içinde ikinci güvenlik eylem planını başlattıktan sonra Bradbury ve güvenlik ekibi, kendisinin veya müşterilerinin kurbanı olduğu saldırı yollarını belirledi ve bu vektörleri gelecekteki kimlik avı, sosyal mühendislik veya jeton hırsızlığı saldırılarını önlemek için gereken özelliklerle eşleştirdi. .
Bradbury, “Bu olaydan sonra yaptığımız ilk şeylerden biri, oturum açma oturumu çerezinizi bulunduğunuz ağla sınırlamaktı” dedi.
Okta, ürünlerine, yönetici konsoluna ve ayrıcalıklı erişime IP bağlama uyguladı; bu özellik, bir IP adresi değişikliği meydana geldiğinde oturumları otomatik olarak iptal eder. Ayrıca tüm Okta yönetici rolleri ve yönetici konsolundaki korumalı eylemler için çok faktörlü kimlik doğrulama gereksinimleri de uyguluyor.
Bu değişikliklerin bir parçası olarak Okta, tasarım gereği güvenli ilkelerini dahili ve harici teknoloji yığınlarına dahil ediyor, ancak yeni özelliklerin tümü varsayılan olarak güvenli değil; bazıları isteğe bağlı veya müşterilerin savunmalarını güçlendirmek için ayarları uygulamasını ve uygun şekilde yapılandırmasını gerektiriyor. .
Bradbury, bu yaklaşımın bireysel müşteriler ve bir marka olarak Okta için risk yarattığını kabul etti, ancak erken erişim modunda daha fazla özellik kullanıma sunuldukça şirket, en faydalı olduğu düşünülen kontrolleri varsayılan olarak açmayı planlıyor.
“Burada doğru dengeye sahip olduğumuzu düşünmüyoruz. Bradbury, “Tarihsel tercih her zaman, müşterilerin kendi yöntemleriyle kendi yığınlarını oluşturmalarına ve Okta ürününü uygun gördükleri şekilde kullanmalarına olanak tanıyan seçim özgürlüğü olmuştur” dedi.
“Şu andaki konumumuz, müşterilerin platformlarını nasıl güvence altına alacakları konusunda bizden tavsiye istememeleri gerektiğini düşünüyoruz. İlerledikçe bu özellikleri onlar için açmalıyız.”
Zedelenmiş bir itibarın güvenini yeniden inşa etmek
Okta’nın güvenliğinin yeniden canlandırılması, özelliklerin ve teknoloji değişikliklerinin ötesine uzanıyor. Bradbury, güvenliği artırmaya yönelik önceki ortak çabanın yeterince hızlı gitmemesinin ardından bu sefer şirketin güvenliği tek öncelik haline getirecek şekilde değerlerini elden geçirdiğini söyledi.
Bradbury, “Tarihsel olarak güvenlik hiçbir zaman Okta’nın bir değeri olmadı” dedi ve şirket değerlerine bu değişikliğin eklenmesi, kuruluşun kültürü genelinde kademeli bir etki yarattı.
Bradbury, “Bunun bu sefer farklı olduğunu hissediyorum ve hızı tam olarak doğru şekilde alamadığımızı kabul ettik, ancak aynı zamanda önceliği de doğru alamadık” dedi.
Okta’nın itibarı ciddi şekilde zedelenmiş durumdayken, 1.000 kişilik mühendislik ekibinin 400’den fazlası güvenlikle ilgili faaliyetler üzerinde tam zamanlı olarak çalışıyor ve 200’den fazla çalışandan oluşan güvenlik ekibinin çabalarını destekliyor.
2017 yılında halka açıldığından bu yana henüz üç aylık kâr açıklamayan şirket, 2024 mali yılının dördüncü çeyreği kazançları Çarşamba günü.
Bradbury, “Okta on yıldan fazla bir süre boyunca bir marka yarattı ve son birkaç yılda bu markanın bazı olaylarla lekelenmesini izledi ve henüz toparlandığımızı düşünmüyorum” dedi. “Bu güveni yeniden inşa etmek için hâlâ kat etmemiz gereken önemli bir yolculuk var.”
Bu itibar hasarını sarsmak ve müşterilerinin güvenini yeniden kazanmak, zaman ve sözden daha fazlasını alacaktır.
“Sıfır ihlal geçmişine ihtiyacımız var. Güveni oluşturan şey budur” dedi Bradbury. “Bizim için skor tablosunun temiz bir sayfa olması gerekiyor. Önümüzdeki birkaç yıl için sıfır olması gerekiyor.”