压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

國際身份軟件巨頭Okta日前發布了一份安全溯源公告，對9月28日到10月17日的一起入侵事件進行回顧性梳理，期間實施入侵的黑客獲取了134個客戶的敏感文件，并進一步劫持了5個客戶的Okta賬戶管理員訪問權限。

溯源報告強調，有員工出現操作失誤，在工作設備上登錄了個人谷歌賬戶。但是，入侵事件最大的誘因其實是一個配置不當的服務賬戶，Okta對這一點選擇低調處理。

Okta首席安全官David Bradbury發帖表示，威脅行為者發動攻擊獲取了公司部分客戶支持系統的訪問權限，這次攻擊最可能的路徑如下：

威脅行為者先是入侵了一個員工的個人設備或個人谷歌賬戶，由此獲取了一種名為“服務賬戶”的特殊賬戶的用戶名和密碼。服務賬戶負責連接到Okta網絡的支持部分。一旦威脅行為者獲取該賬戶的訪問權限，他們就可以獲得1Password、BeyondTrust、Cloudflare等Okta客戶所持Okta賬戶的管理憑據。?

推卸責任

David Bradbury寫道，“我們對這個賬戶的可疑使用進行調查期間，Okta安全團隊發現一個員工已經在他的公司筆記本電腦上的Chrome瀏覽器登錄個人谷歌賬戶。這一個人賬戶保存了服務賬戶的用戶名和密碼。員工個人谷歌賬戶或個人設備遭到入侵，是這些憑據最可能的被泄露路徑?！?/p>

換而言之，如果員工在已經登錄個人谷歌賬戶的Chrome瀏覽器上登錄工作賬戶，Chrome內置的密碼管理器就會將工作賬戶的憑據保存到個人谷歌帳戶中。然后，威脅行為者通過入侵個人賬戶或設備，獲取了訪問Okta賬戶所需的憑據。

一直以來，像Okta這樣的公司堅決禁止登錄個人賬戶。如果之前有人不太清楚對這個禁令，現在應該明白了。這位員工肯定違反了公司政策。如果他因為這個違規行為被解雇，也不足為奇。

然而，如果誘發入侵事件的只是員工的不端行為，只能說明所有人都犯了錯。其實，責任在于設計被入侵支持系統的安全人員，特別是被入侵服務賬戶的配置方式。

服務賬戶存在于各種操作系統和框架。這種賬戶與人類訪問的標準用戶賬戶不同。服務賬戶主要用于自動化的機器對機器功能，比如每晚在特定時間執行數據備份或殺毒掃描。因此，它們不能像用戶賬戶那樣通過多因素身份驗證進行鎖定。這也解釋了為什么Okta沒有設置多因素身份驗證。然而，入侵事件暴露了一些Okta首席安全官的帖子中沒有得到應有關注的缺陷。

根因分析

David Bradbury說，Okta在2023年9月29日首次發現公司網絡存在潛在可疑活動。當時，1Password主動向Okta報告，其內部Okta實例已經被入侵。起初，懷疑1Password員工設備感染了惡意軟件，導致入侵。

然而，10月2日，另一家客戶BeyondTrust主動報告，告知Okta他們的賬戶也被入侵。Okta直到10月16日才確認了入侵來源。如此遲緩的行動讓威脅行為者得以在兩周多的時間里持續訪問服務賬戶。

David Bradbury寫道：“當用戶打開并查看與支持案例相關聯的文件時，會生成與該文件相關的特定日志事件類型和ID。如果用戶選擇直接導航到客戶支持系統中的“文件”選項卡（就像威脅行為者在這次攻擊中所做的那樣）。它們將生成一個完全不同的日志事件，具有不同的記錄ID。”

“Okta最初將調查重點放在對支持案例的訪問上。隨后，我們評估了與這些案例相關的日志。10月13日，BeyondTrust向Okta安全團隊提供了一個懷疑是威脅行為者的可疑IP地址。基于這一信息，我們確定了與被入侵賬戶相關的更多文件的訪問事件。”

Okta對其網絡的可見性不足是另一個失敗之處。雖然這并不是入侵的誘因，但它放大了入侵的后果。否則，Okta就能更早發現威脅行為者的訪問行為。

寫給Okta安全團隊的備忘錄

首先，Okta應該在簡單的密碼之外制定訪問控制措施，限制哪些對象可以登錄到服務賬戶。其中一種方法對可以連接的IP地址設置限制或條件。另一種方法是定期更換用于對服務賬戶進行身份驗證的訪問令牌。當然，不得允許員工在工作機器上登錄個人賬戶。Okta高級管理人員有責任落實所有相關預防措施。

一些長期在敏感云環境中工作的安全專業人員也紛紛發帖給出建議。

雖然零信任安全方法有時被過度使用，但它的大原則是正確的。假設你的網絡已經被入侵，希望通過設計防止任何不安全事件。企業應該使用分層設計、縱深防御的方法來預防出現單一故障點，比如防止簡單密碼或身份驗證令牌發生泄露。

David Bradbury在帖子中列出了一些糾正步驟，承認存在一些失誤。具體步驟包括：

1. 禁用被入侵的服務賬戶（已完成）。Okta已經在客戶支持系統中禁用了服務賬戶。

2. 禁止使用個人谷歌賬戶與谷歌Chrome瀏覽器（已完成）。Okta已經在Chrome 企業版中選用特定配置選項，防止員工在公司筆記本電腦上使用個人谷歌賬戶登錄Chrome瀏覽器。

3. 加強對客戶支持系統的監控（已完成）。Okta已經為客戶支持系統部署了額外的檢測和監控規則。

4. 根據網絡位置綁定Okta管理員會話令牌（已完成）Okta已經基于網絡位置綁定會話令牌，作為一種產品增強措施，防止對Okta管理員會話令牌遭竊取。只要檢測到網絡變化，Okta管理員將被強制重新進行身份驗證?？蛻艨梢栽贠kta管理員門戶的早期訪問部分啟用這個功能。

Okta能夠做出上述改變并提供事件時間表，這些行為值得贊揚。但是，將入侵的責任歸咎于某個員工失誤，是拿員工當替罪羊，掩蓋了真正的責任所在。最嚴重的失誤是高管犯下的。希望他們能收到這個備忘錄。

參考資料：https://arstechnica.com/information-technology/2023/11/no-okta-senior-management-not-an-errant-employee-caused-you-to-get-hacked/

來源：安全內參