2025年需要身份提供商全面致力于提升軟件質(zhì)量和安全的各個(gè)方面，包括進(jìn)行紅隊(duì)演練，同時(shí)提高應(yīng)用的透明度，并客觀看待超出標(biāo)準(zhǔn)的結(jié)果。

Anthropic、OpenAI和其他領(lǐng)先的AI公司已將紅隊(duì)演練提升至新高度，徹底革新了其發(fā)布流程，使之變得更好，包括Okta在內(nèi)的身份提供商需要效仿他們的做法。

雖然Okta是首批簽署CISA“設(shè)計(jì)即安全”(Secure by Design)承諾的身份管理供應(yīng)商之一，但他們?cè)谏矸蒡?yàn)證方面仍面臨挑戰(zhàn)。Okta近期發(fā)布的一份公告告知客戶，52個(gè)字符的用戶名可能與存儲(chǔ)的緩存密鑰結(jié)合使用，從而無需提供密碼即可登錄。Okta建議滿足前提條件的客戶應(yīng)檢查其Okta系統(tǒng)日志，以發(fā)現(xiàn)在2024年7月23日至2024年10月30日期間，是否存在來自超過52個(gè)字符的用戶名的意外身份驗(yàn)證。

Okta指出，其在Workforce Identity Cloud的用戶和管理員中采用多因素身份驗(yàn)證(MFA)方面取得了行業(yè)領(lǐng)先的成績(jī)。這是如今保護(hù)客戶的必要條件，也是在此市場(chǎng)中競(jìng)爭(zhēng)的基礎(chǔ)。

谷歌云宣布，到2025年，將對(duì)所有用戶強(qiáng)制實(shí)施多因素身份驗(yàn)證(MFA)。微軟也已要求從今年10月起，Azure用戶必須使用MFA?！皬?025年初開始，將開始對(duì)Azure CLI、Azure PowerShell、Azure移動(dòng)應(yīng)用和基礎(chǔ)設(shè)施即代碼(IaC)工具的登錄進(jìn)行MFA的逐步強(qiáng)制執(zhí)行，”根據(jù)最近的一篇博客文章所述。

Okta通過CISA的“設(shè)計(jì)即安全”取得成效

值得稱贊的是，眾多身份管理供應(yīng)商已簽署CISA“設(shè)計(jì)即安全”承諾。Okta于今年5月簽署，并承諾踐行該倡議的七項(xiàng)安全目標(biāo)。雖然Okta持續(xù)取得進(jìn)展，但挑戰(zhàn)依然存在。

在嘗試推出新應(yīng)用和平臺(tái)組件的同時(shí)追求標(biāo)準(zhǔn)頗具挑戰(zhàn)。更棘手的是，如何讓多元化且快速變動(dòng)的DevOps、軟件工程、質(zhì)量保證、紅隊(duì)、產(chǎn)品管理和營銷團(tuán)隊(duì)保持協(xié)調(diào)，并專注于產(chǎn)品發(fā)布。

在MFA方面要求不夠嚴(yán)格：Okta報(bào)告稱，MFA的使用率顯著增加，截至2024年1月，已有91%的管理員和66%的用戶使用MFA。與此同時(shí)，越來越多的公司正在不依賴標(biāo)準(zhǔn)的情況下強(qiáng)制實(shí)施MFA。谷歌和微軟的強(qiáng)制MFA政策凸顯了Okta自愿措施與行業(yè)新安全標(biāo)準(zhǔn)之間的差距。

? 漏洞管理需要改進(jìn)，首先要堅(jiān)定承諾進(jìn)行紅隊(duì)演練。Okta的漏洞懸賞計(jì)劃和漏洞披露政策在大多數(shù)情況下是透明的。但他們面臨的挑戰(zhàn)是，其漏洞管理方法仍然是被動(dòng)的，主要依賴外部報(bào)告。Okta還需要在紅隊(duì)演練上投入更多，以模擬真實(shí)世界的攻擊并預(yù)先識(shí)別漏洞。不進(jìn)行紅隊(duì)演練，Okta就有可能遺漏特定的攻擊途徑，從而可能限制其及早應(yīng)對(duì)新興威脅的能力。

? 日志記錄和監(jiān)控的增強(qiáng)需要加速。Okta正在增強(qiáng)日志記錄和監(jiān)控功能，以提高安全可見性，但截至2024年10月，許多改進(jìn)仍未完成。實(shí)時(shí)會(huì)話跟蹤和強(qiáng)大的審計(jì)工具等關(guān)鍵功能仍在開發(fā)中，這阻礙了Okta在其平臺(tái)上提供全面、實(shí)時(shí)的入侵檢測(cè)能力。這些功能對(duì)于為客戶提供針對(duì)潛在安全事件的即時(shí)見解和響應(yīng)至關(guān)重要。

Okta的安全失誤表明需要更強(qiáng)大的漏洞管理

雖然每個(gè)身份管理供應(yīng)商都曾遭遇過攻擊、入侵和泄露事件，但Okta如何利用這些事件，借助CISA的“設(shè)計(jì)即安全”框架進(jìn)行自我重塑，這一點(diǎn)頗有趣味。

Okta的失誤充分說明了其需要擴(kuò)大漏洞管理舉措，借鑒Anthropic、OpenAI和其他AI供應(yīng)商在紅隊(duì)演練方面的經(jīng)驗(yàn)，并將其應(yīng)用于身份管理。

Okta近期遭遇的事件包括：

? 2021年3月——Verkada攝像頭泄露事件：攻擊者訪問了超過150,000個(gè)安全攝像頭，暴露了重大的網(wǎng)絡(luò)安全漏洞。

? 2022年1月——LAPSUS團(tuán)伙入侵事件：LAPSUS網(wǎng)絡(luò)犯罪團(tuán)伙利用第三方訪問權(quán)限入侵了Okta的環(huán)境。

? 2022年12月——源代碼被盜事件：攻擊者盜取了Okta的源代碼，揭示了訪問控制和代碼安全實(shí)踐中的內(nèi)部漏洞。此次泄露事件凸顯了需要更嚴(yán)格的內(nèi)部控制和監(jiān)測(cè)機(jī)制來保護(hù)知識(shí)產(chǎn)權(quán)。

? 2023年10月——客戶支持泄露事件：攻擊者通過Okta的支持渠道未經(jīng)授權(quán)地訪問了約134名客戶的客戶數(shù)據(jù)，該公司在10月20日確認(rèn)了這一事件，事件起因是攻擊者使用竊取的憑據(jù)訪問了其支持管理系統(tǒng)。隨后，攻擊者獲取了包含活動(dòng)會(huì)話cookie的HTTP歸檔(.HAR)文件，并開始入侵Okta的客戶，試圖滲透他們的網(wǎng)絡(luò)并竊取數(shù)據(jù)。

? 2024年10月——用戶名身份驗(yàn)證繞過事件：一個(gè)安全漏洞允許通過繞過基于用戶名的身份驗(yàn)證來獲得未經(jīng)授權(quán)的訪問權(quán)限。該繞過事件暴露了產(chǎn)品測(cè)試中的薄弱環(huán)節(jié)，因?yàn)橥ㄟ^更徹底的測(cè)試和紅隊(duì)演練實(shí)踐，本可以發(fā)現(xiàn)并修復(fù)這一漏洞。

面向未來身份安全的紅隊(duì)演練策略

Okta和其他身份管理供應(yīng)商需要考慮如何在不依賴任何標(biāo)準(zhǔn)的情況下改進(jìn)紅隊(duì)演練。一家企業(yè)級(jí)軟件公司不應(yīng)需要標(biāo)準(zhǔn)來在紅隊(duì)演練、漏洞管理或跨系統(tǒng)開發(fā)生命周期(SDLC)的安全集成方面表現(xiàn)出色。

Okta和其他身份管理供應(yīng)商可以通過借鑒以下Anthropic和OpenAI的紅隊(duì)演練經(jīng)驗(yàn)，并在此過程中加強(qiáng)其安全態(tài)勢(shì)，來提升其安全水平：

在測(cè)試方面，故意創(chuàng)造更多持續(xù)的人機(jī)協(xié)作：Anthropic將人類專業(yè)知識(shí)與AI驅(qū)動(dòng)的紅隊(duì)演練相結(jié)合，發(fā)現(xiàn)了隱藏的風(fēng)險(xiǎn)。通過實(shí)時(shí)模擬各種攻擊場(chǎng)景，Okta可以在產(chǎn)品生命周期的更早階段主動(dòng)識(shí)別并解決漏洞。

致力于在自適應(yīng)身份測(cè)試方面取得卓越表現(xiàn)：OpenAI使用復(fù)雜的身份驗(yàn)證方法，如語音身份驗(yàn)證和多模態(tài)交叉驗(yàn)證來檢測(cè)深度偽造，這可能會(huì)啟發(fā)Okta采用類似的測(cè)試機(jī)制。增加自適應(yīng)身份測(cè)試方法也可以幫助Okta抵御日益先進(jìn)的身份欺騙威脅。

優(yōu)先考慮特定領(lǐng)域的紅隊(duì)演練，使測(cè)試更具針對(duì)性：Anthropic在專門領(lǐng)域的針對(duì)性測(cè)試展示了領(lǐng)域特定紅隊(duì)演練的價(jià)值。Okta可以通過向高風(fēng)險(xiǎn)領(lǐng)域(如第三方集成和客戶支持)分配專門團(tuán)隊(duì)來受益，這些領(lǐng)域的細(xì)微安全漏洞可能會(huì)在其他情況下被忽視。

需要更多的自動(dòng)化攻擊模擬來對(duì)身份管理平臺(tái)進(jìn)行壓力測(cè)試。OpenAI的GPT-4o模型使用自動(dòng)化的對(duì)抗性攻擊來持續(xù)測(cè)試其防御能力。Okta可以實(shí)施類似的自動(dòng)化場(chǎng)景，以便快速檢測(cè)和響應(yīng)新漏洞，特別是在其IPSIE框架中。

致力于集成更多實(shí)時(shí)威脅情報(bào)：Anthropic在紅隊(duì)內(nèi)部實(shí)時(shí)共享知識(shí)，增強(qiáng)了其響應(yīng)能力。Okta可以將其紅隊(duì)演練流程中嵌入實(shí)時(shí)情報(bào)反饋循環(huán)，確保不斷發(fā)展的威脅數(shù)據(jù)能夠立即為防御提供信息，并加速對(duì)新興風(fēng)險(xiǎn)的響應(yīng)。

為何2025年將帶來前所未有的身份安全挑戰(zhàn)

對(duì)手在不懈努力地為其武器庫增添新的自動(dòng)化武器，而每家企業(yè)都在努力跟上這一步伐。

由于身份是大多數(shù)泄露事件的主要目標(biāo)，身份管理供應(yīng)商必須直面挑戰(zhàn)，并加強(qiáng)其產(chǎn)品各個(gè)方面的安全性。這需要將安全融入SDLC，并幫助DevOps團(tuán)隊(duì)熟悉安全，使其不再是發(fā)布前匆忙進(jìn)行的后續(xù)工作。

CISA的“設(shè)計(jì)即安全”倡議對(duì)每家網(wǎng)絡(luò)安全供應(yīng)商來說都極具價(jià)值，對(duì)身份管理供應(yīng)商而言更是如此。Okta通過“設(shè)計(jì)即安全”發(fā)現(xiàn)了漏洞管理、日志記錄和監(jiān)控方面的不足。但Okta不應(yīng)止步于此。他們需要全力以赴，以更加嶄新和專注的態(tài)度進(jìn)行紅隊(duì)演練，借鑒Anthropic和OpenAI的經(jīng)驗(yàn)教訓(xùn)。

通過紅隊(duì)演練提高數(shù)據(jù)的準(zhǔn)確性、延遲性和質(zhì)量，是任何軟件公司創(chuàng)造持續(xù)改進(jìn)文化所需的動(dòng)力。CISA的“設(shè)計(jì)即安全”只是起點(diǎn)，而非終點(diǎn)。進(jìn)入2025年的身份管理供應(yīng)商需要將標(biāo)準(zhǔn)視為有價(jià)值的框架，用以指導(dǎo)持續(xù)改進(jìn)。擁有一支經(jīng)驗(yàn)豐富、實(shí)力雄厚的紅隊(duì)，能夠在產(chǎn)品發(fā)布前發(fā)現(xiàn)并糾正錯(cuò)誤，并模擬來自日益熟練且資金充足的對(duì)手的激烈攻擊，是身份管理供應(yīng)商武器庫中最強(qiáng)大的武器之一。紅隊(duì)演練是保持競(jìng)爭(zhēng)力的核心，同時(shí)也有機(jī)會(huì)與對(duì)手保持勢(shì)均力敵。