2025 precisa ser o ano em que os provedores de identidade se esforçam ao máximo para melhorar todos os aspectos da qualidade e segurança do software, incluindo red teaming, enquanto tornam seus aplicativos mais transparentes e se tornam objetivos sobre os resultados além dos padrões.
Anthropic, OpenAI e outras empresas líderes em IA elevaram o red teaming a um novo nível, revolucionando seus processos de lançamento para melhor. Provedores de identidade, incluindo a Okta, precisam seguir seu exemplo e fazer o mesmo.
Embora a Okta seja um dos primeiros fornecedores de gerenciamento de identidade a assinar o compromisso Secure by Design da CISA, ainda está lutando para acertar a autenticação. Um aviso recente da Okta informou aos clientes que nomes de usuário de 52 caracteres poderiam ser combinados com chaves de cache armazenadas, contornando a necessidade de fornecer uma senha para fazer login. A Okta recomenda que os clientes que atendem às pré-condições investiguem seu Log do Sistema Okta em busca de autenticações inesperadas de nomes de usuário superiores a 52 caracteres no período de 23 de julho de 2024 a 30 de outubro de 2024.
A Okta aponta para seu histórico de excelência na adoção de autenticação multifatorial (MFA) entre usuários e administradores do Workforce Identity Cloud. Isso é fundamental para proteger os clientes hoje e um requisito para competir neste mercado.
O Google Cloud anunciou a autenticação multifatorial obrigatória para todos os usuários até 2025. A Microsoft também tornou o MFA obrigatório para o Azure a partir de outubro deste ano. “A partir do início de 2025, a aplicação gradual do MFA no login para Azure CLI, Azure PowerShell, aplicativo móvel do Azure e ferramentas de Infraestrutura como Código (IaC) começará”, segundo um post recente do blog.
É louvável que tantos fornecedores de gerenciamento de identidade tenham assinado o compromisso Secure by Design da CISA. A Okta assinou em maio deste ano, comprometendo-se com os sete objetivos de segurança da iniciativa. Embora a Okta continue a fazer progressos, persistem desafios.
Buscar padrões enquanto tenta lançar novos aplicativos e componentes de plataforma é desafiador. Mais problemático ainda é manter uma série diversificada e em rápida evolução de DevOps, engenharia de software, QA, equipes de red teaming, gerenciamento de produtos e marketing todos coordenados e focados no lançamento.
Não ser exigente o suficiente quando se trata de MFA: a Okta relatou aumentos significativos no uso de MFA, com 91% dos administradores e 66% dos usuários usando MFA em janeiro de 2024. Enquanto isso, mais empresas estão tornando o MFA obrigatório sem depender de um padrão para isso. As políticas de MFA obrigatórias do Google e da Microsoft destacam a lacuna entre as medidas voluntárias da Okta e o novo padrão de segurança da indústria.
A gestão de vulnerabilidades precisa melhorar, começando com um compromisso sólido com o red teaming. O programa de recompensas por bugs da Okta e a política de divulgação de vulnerabilidades são, na maior parte, transparentes. O desafio que eles enfrentam é que sua abordagem à gestão de vulnerabilidades continua a ser reativa, dependendo principalmente de relatórios externos. A Okta também precisa investir mais em red teaming para simular ataques do mundo real e identificar vulnerabilidades de forma proativa. Sem red teaming, a Okta corre o risco de deixar vetores de ataque específicos não detectados, limitando potencialmente sua capacidade de abordar ameaças emergentes precocemente.
As melhorias em logging e monitoramento precisam ser aceleradas. A Okta está aprimorando as capacidades de logging e monitoramento para melhor visibilidade de segurança, mas em outubro de 2024, muitas melhorias permanecem incompletas. Recursos críticos como rastreamento de sessão em tempo real e ferramentas de auditoria robustas ainda estão em desenvolvimento, o que impede a Okta de fornecer detecção de intrusões abrangente e em tempo real em sua plataforma. Essas capacidades são críticas para oferecer aos clientes insights imediatos e respostas a possíveis incidentes de segurança.
Os erros de segurança da Okta mostram a necessidade de uma gestão de vulnerabilidades mais robusta.
Embora cada provedor de gerenciamento de identidade tenha enfrentado seus ataques, intrusões e violações, é interessante ver como a Okta está usando isso como combustível para se reinventar usando a estrutura Secure by Design da CISA.
Os erros da Okta fazem um forte apelo para expandir suas iniciativas de gestão de vulnerabilidades, levando as lições do red teaming aprendidas com a Anthropic, OpenAI e outros provedores de IA e aplicando-as ao gerenciamento de identidade.
Incidentes recentes que a Okta experimentou incluem:
Março de 2021 – Violação da Câmera Verkada: Os atacantes ganharam acesso a mais de 150.000 câmeras de segurança, expondo vulnerabilidades significativas de segurança de rede.
Janeiro de 2022 – Compromisso do Grupo LAPSUS$: O grupo cibernético LAPSUS$ explorou o acesso a terceiros para violar o ambiente da Okta.
Dezembro de 2022 – Roubo de Código Fonte: Os atacantes roubaram o código fonte da Okta, apontando para lacunas internas nos controles de acesso e nas práticas de segurança do código. Essa violação destacou a necessidade de controles internos e mecanismos de monitoramento mais rigorosos para proteger a propriedade intelectual.
Outubro de 2023 – Violação de Suporte ao Cliente: Os atacantes ganharam acesso não autorizado aos dados de clientes de aproximadamente 134 clientes através dos canais de suporte da Okta e foram reconhecidos pela empresa em 20 de outubro, começando com credenciais roubadas usadas para ganhar acesso ao seu sistema de gerenciamento de suporte. A partir daí, os atacantes ganharam acesso a arquivos HTTP Archive (.HAR) que contêm cookies de sessão ativos e começaram a violar os clientes da Okta, tentando penetrar em suas redes e exfiltrar dados.
Outubro de 2024 – Bypass de Autenticação de Nome de Usuário: Uma falha de segurança permitiu o acesso não autorizado contornando a autenticação baseada em nome de usuário. O bypass destacou fraquezas nos testes de produto, uma vez que a vulnerabilidade poderia ter sido identificada e remediada através de testes mais rigorosos e práticas de red teaming.
Estratégias de red teaming para o futuro da segurança de identidade
A Okta e outros provedores de gerenciamento de identidade precisam considerar como podem melhorar o red teaming independentemente de qualquer padrão. Uma empresa de software corporativo não deveria precisar de um padrão para se destacar em red teaming, gestão de vulnerabilidades ou integração de segurança em seus ciclos de desenvolvimento de software (SDLCs).
A Okta e outros fornecedores de gerenciamento de identidade podem melhorar sua postura de segurança adotando as lições do red teaming aprendidas com a Anthropic e OpenAI abaixo e fortalecendo sua postura de segurança no processo:
Criar deliberadamente mais colaboração contínua entre humano e máquina quando se trata de testes: A combinação da expertise humana com o red teaming impulsionado por IA da Anthropic revela riscos ocultos. Ao simular cenários de ataque variados em tempo real, a Okta pode identificar e abordar proativamente vulnerabilidades mais cedo no ciclo de vida do produto.
Comprometer-se a se destacar em testes de identidade adaptativos: O uso de métodos sofisticados de verificação de identidade como autenticação por voz e validação multimodal cruzada da OpenAI para detectar deepfakes poderia inspirar a Okta a adotar mecanismos de teste semelhantes. Adicionar uma metodologia de teste de identidade adaptativa também poderia ajudar a Okta a se defender contra ameaças de falsificação de identidade cada vez mais avançadas.
Priorizar domínios específicos para red teaming mantém os testes mais focados: O teste direcionado da Anthropic em áreas especializadas demonstra o valor do red teaming específico de domínio. A Okta poderia se beneficiar de atribuir equipes dedicadas a áreas de alto risco, como integrações de terceiros e suporte ao cliente, onde lacunas de segurança sutis podem passar despercebidas.
Mais simulações de ataque automatizadas são necessárias para testar a pressão das plataformas de gerenciamento de identidade. O modelo GPT-4o da OpenAI usa ataques automatizados adversariais para pressionar continuamente suas defesas. A Okta poderia implementar cenários automatizados semelhantes, permitindo a detecção e resposta rápida a novas vulnerabilidades, especialmente em seu framework IPSIE.
Comprometer-se com uma integração mais real-time de inteligência de ameaças: O compartilhamento de conhecimento em tempo real dentro das equipes de red teaming da Anthropic fortalece sua capacidade de resposta. A Okta pode integrar loops de feedback de inteligência em tempo real em seus processos de red teaming, garantindo que dados de ameaças em evolução informem imediatamente as defesas e acelerem a resposta a riscos emergentes.
Por que 2025 desafiará a segurança de identidade como nunca antes
Os adversários são implacáveis em seus esforços para adicionar novas armas automatizadas a seus arsenais, e cada empresa está lutando para acompanhar.
Com as identidades sendo o principal alvo da maioria das violações, os provedores de gerenciamento de identidade devem enfrentar os desafios de frente e aumentar a segurança em todos os aspectos de seus produtos. Isso precisa incluir a integração de segurança em seus SDLC e ajudar as equipes de DevOps a se familiarizarem com a segurança para que não seja uma reflexão tardia que é apressada imediatamente antes do lançamento.
A iniciativa Secure by Design da CISA é inestimável para cada provedor de cibersegurança, e isso é especialmente verdadeiro para os fornecedores de gerenciamento de identidade. As experiências da Okta com o Secure by Design ajudaram a identificar lacunas na gestão de vulnerabilidades, logging e monitoramento. Mas a Okta não deve parar por aí. Eles precisam se comprometer com um foco renovado e mais intenso em red teaming, levando as lições aprendidas com a Anthropic e OpenAI.
Melhorar a precisão, latência e qualidade dos dados através do red teaming é o combustível que qualquer empresa de software precisa para criar uma cultura de melhoria contínua. O Secure by Design da CISA é apenas o ponto de partida, não o destino. Os fornecedores de gerenciamento de identidade que vão para 2025 precisam ver os padrões como o que são: estruturas valiosas para orientar a melhoria contínua. Ter uma função de red team experiente e sólida que possa identificar erros antes que sejam lançados e simular ataques agressivos de adversários cada vez mais habilidosos e bem financiados é uma das armas mais poderosas no arsenal de um fornecedor de gerenciamento de identidade. O red teaming é fundamental para permanecer competitivo enquanto se tem uma chance de igualar adversários.