Okta漏洞启示：2025年身份安全展望

身份提供商的红队测试：从 OpenAI 和 Anthropic 学习

2025 年，身份提供商需要全方位提升软件质量和安全，包括红队测试，同时提高应用程序透明度，并超越标准，客观评估结果。

Anthropic、OpenAI 等领先的 AI 公司将红队测试提升到了一个新的水平，彻底改变了他们的发布流程。包括 Okta 在内的身份提供商需要效仿他们的做法。

尽管 Okta 是首批签署 CISA 安全设计承诺的身份管理供应商之一，但他们仍然在身份验证方面面临挑战。Okta 最近的公告指出，52 个字符的用户名可以与存储的缓存密钥结合使用，绕过密码登录要求。Okta 建议满足先决条件的客户调查其 Okta 系统日志，以查找 2024 年 7 月 23 日至 10 月 30 日期间来自超过 52 个字符的用户名发生的意外身份验证。

Okta 指出，他们在 Workforce Identity Cloud 用户和管理员中多因素身份验证 (MFA) 的采用率处于领先地位。这在当今保护客户方面是基本要求，也是在这个市场中竞争的必要条件。

Google Cloud 宣布将在 2025 年之前为所有用户强制实施多因素身份验证 (MFA)。微软也从今年 10 月开始要求 Azure 使用 MFA。“从 2025 年初开始，将逐步强制执行 Azure CLI、Azure PowerShell、Azure 移动应用程序和基础设施即代码 (IaC) 工具的登录 MFA，”微软在最近的一篇博文中写道。

许多身份管理供应商签署 CISA 安全设计承诺值得称赞。Okta 在今年 5 月签署了该承诺，承诺实现该倡议的七个安全目标。虽然 Okta 正在不断取得进展，但挑战依然存在。

在尝试发布新应用程序和平台组件的同时追求标准是一项挑战。更具挑战性的是，要让 DevOps、软件工程、QA、红队、产品管理和营销等不同团队保持协调一致，并专注于发布。

Okta 需要改进的三个关键领域

对 MFA 的要求不够严格：Okta 报告称，截至 2024 年 1 月，91% 的管理员和 66% 的用户使用 MFA。与此同时，越来越多的公司强制实施 MFA，而没有依赖于任何标准。Google 和微软的强制 MFA 政策突出了 Okta 的自愿措施与行业新安全标准之间的差距。
漏洞管理需要改进，从对红队测试的坚定承诺开始：Okta 的漏洞赏金计划和漏洞披露政策在很大程度上是透明的。他们面临的挑战是，他们对漏洞管理的态度仍然是反应式的，主要依赖于外部报告。Okta 还需要更多地投资红队测试，以模拟现实世界的攻击并提前识别漏洞。如果没有红队测试，Okta 可能会错过特定的攻击媒介，从而限制其及早应对新兴威胁的能力。
日志记录和监控增强需要加快步伐：Okta 正在增强日志记录和监控功能，以提高安全可见性，但截至 2024 年 10 月，许多改进尚未完成。实时会话跟踪和强大的审计工具等关键功能仍在开发中，这阻碍了 Okta 在其平台上提供全面的实时入侵检测的能力。这些功能对于为客户提供对潜在安全事件的即时洞察和响应至关重要。

虽然每个身份管理提供商都经历过攻击、入侵和漏洞，但有趣的是，Okta 如何利用这些经验，使用 CISA 的安全设计框架重塑自身。

Okta 的失误有力地证明了需要扩展其漏洞管理计划，借鉴 Anthropic、OpenAI 等 AI 提供商的红队测试经验，并将其应用于身份管理。

Okta 近期发生的事件

2021 年 3 月 – Verkada 摄像头漏洞：攻击者获得了对超过 150,000 个安全摄像头的访问权限，暴露了重大的网络安全漏洞。
2022 年 1 月 – LAPSUS$ 组织入侵：LAPSUS$ 网络犯罪组织利用第三方访问权限入侵了 Okta 的环境。
2022 年 12 月 – 源代码盗窃：攻击者窃取了 Okta 的源代码，表明其内部访问控制和代码安全实践存在漏洞。这次入侵突出了需要更严格的内部控制和监控机制来保护知识产权。
2023 年 10 月 – 客户支持漏洞：攻击者通过 Okta 的支持渠道获得了对大约 134 个客户数据的未经授权的访问权限，并于 10 月 20 日被公司承认，攻击者使用被盗凭据访问其支持管理系统。从那里，攻击者获得了包含活动会话 cookie 的 HTTP 存档 (.HAR) 文件，并开始入侵 Okta 的客户，试图渗透其网络并窃取数据。
2024 年 10 月 – 用户名身份验证绕过：一个安全漏洞允许攻击者绕过基于用户名的身份验证，从而获得未经授权的访问权限。该漏洞突出了产品测试的弱点，因为可以通过更彻底的测试和红队测试实践识别和修复该漏洞。

Okta 和其他身份管理提供商需要考虑如何独立于任何标准改进红队测试。一家企业软件公司不应该需要一个标准来精通红队测试、漏洞管理或在其整个系统开发生命周期 (SDLC) 中集成安全。

从 OpenAI 和 Anthropic 学习红队测试

Okta 和其他身份管理供应商可以通过借鉴 Anthropic 和 OpenAI 的红队测试经验，并在此过程中加强其安全态势，来提高其安全态势：

在测试中刻意创建更多持续的人机协作：Anthropic 将人类专业知识与 AI 驱动的红队测试相结合，可以发现隐藏的风险。通过实时模拟各种攻击场景，Okta 可以更早地在产品生命周期中主动识别和解决漏洞。
致力于精通自适应身份测试：OpenAI 使用语音身份验证和多模态交叉验证等复杂的身份验证方法来检测深度伪造，这可以启发 Okta 采用类似的测试机制。添加自适应身份测试方法还可以帮助 Okta 防御日益复杂的身份欺骗威胁。
优先考虑红队测试的特定领域，使测试更加集中：Anthropic 在专门领域的针对性测试证明了特定领域红队测试的价值。Okta 可以从为高风险领域（如第三方集成和客户支持）分配专门团队中获益，因为在这些领域，细微的安全漏洞可能会被忽视。
需要更多自动化的攻击模拟来对身份管理平台进行压力测试：OpenAI 的 GPT-4o 模型使用自动化的对抗性攻击来持续压力测试其防御。Okta 可以实施类似的自动化场景，从而能够快速检测和响应新的漏洞，尤其是在其 IPSIE 框架中。
致力于更多实时威胁情报集成：Anthropic 在红队内部的实时知识共享增强了他们的响应能力。Okta 可以将实时情报反馈循环嵌入其红队测试流程中，确保不断变化的威胁数据立即为防御提供信息，并加快对新兴风险的响应。

攻击者不断努力在其武器库中添加新的自动化武器，而每家企业都在努力跟上。

由于身份是大多数漏洞的主要目标，身份管理提供商必须直面挑战，提升其产品各个方面的安全。这需要将安全集成到其 SDLC 中，并帮助 DevOps 团队熟悉安全，使其不再是发布前匆忙完成的“事后诸葛亮”。

CISA 的安全设计倡议对每个网络安全提供商都非常宝贵，这对身份管理供应商来说尤其如此。Okta 在安全设计方面的经验帮助他们发现了漏洞管理、日志记录和监控方面的差距。但 Okta 不应该止步于此。他们需要全方位地重新关注红队测试，借鉴 Anthropic 和 OpenAI 的经验教训。

通过红队测试提高数据的准确性、延迟和质量，是任何软件公司创建持续改进文化的燃料。CISA 的安全设计只是一个起点，而不是终点。进入 2025 年的身份管理供应商需要将标准视为它们本来面目：指导持续改进的宝贵框架。拥有经验丰富的、可靠的红队功能，能够在发布之前发现错误，并模拟来自技术越来越娴熟且资金雄厚的对手的攻击，是身份管理提供商武器库中最强大的武器之一。红队测试是保持竞争力的核心，也是与对手保持同等水平的战斗机会。

作者注：感谢 Taryn Plumb 合作并为收集见解和数据做出的贡献。