Neubewertung des Kontexts mit FastPass

Cyber-Angreifer entwickeln sich ständig weiter und entwickeln immer ausgefeiltere Methoden. Phishing- und Social-Engineering-Angriffe nehmen zu, und so schnell Organisationen fortschrittlichere Authentifizierungsverfahren implementieren, passen sich Angreifer an diese an. Eine neue Strategie besteht darin, Sitzungs-Token direkt aus den Webbrowsern der Benutzer zu stehlen, was eine neue Herausforderung im andauernden Kampf um digitale Sicherheit darstellt.

Bei Okta hat es oberste Priorität, Angreifer daran zu hindern, auf sensible Informationen auf den Geräten unserer Benutzer zuzugreifen. Okta FastPass hilft, diese Art von Angriffen durch Kontext-Reevaluierung zu verhindern.

Was ist Kontext-Re-Evaluierung und welche Vorteile bietet sie?

FastPass führt bei jedem Zugriff auf eine neue App im Hintergrund Sicherheitsüberprüfungen durch und verhindert den weiteren Zugriff, wenn Okta feststellt, dass sich die Geräteidentität oder -haltung wesentlich geändert hat, was auf eine kompromittierte Sitzung hindeuten kann. Diese Fähigkeit, Änderungen des Geräte- und Benutzerrisikos zu handhaben, bietet einen enormen Vorteil, da verhindert wird, dass gestohlene Sitzungen auf nachgeschaltete Anwendungen zugreifen können.
 

Wie konfigurieren Sie Okta FastPass mit Kontext-Reevaluierung?

Schritt 1: Okta Verify als Authentifikator hinzuf\[ü]gen.

Schritt 2: Erstellen Sie eine Richtlinie für die Authentifizierungsregistrierung. Stellen Sie im Abschnitt „Zulässige Authentifizierungsfaktoren“ sicher, dass Okta Verify auf „Erforderlich“gesetzt ist.

Schritt 3: Erstellen Sie eine Authentifizierungsrichtlinie und weisen Sie Anwendung(en) zu.

1. Fügen Sie eine Regel für die Authentifizierungsrichtlinie mit den folgenden Einstellungen hinzu.
   1. „Gerätestatus“ ist auf „Registriert“gesetzt.
   2. „Der Benutzer muss sich authentifizieren mit“ ist eingestellt auf „Besitz.“
   3. Das „Phishing-resistent“ Kontrollkästchen ist aktiviert.
   4. Das Kontrollkästchen „Hardware Protected“ ist aktiviert (empfohlen).
   5. Sie können auch die Option „Benutzergruppenmitgliedschaft beinhaltet“ für Testzwecke auf eine bestimmte Gruppe festlegen.
   6. Legen Sie im Abschnitt „Re-authenticate frequency“ „Re-authenticate after“ auf zwei Stunden fest. Dieser Wert kann je nach Geschäftsanforderungen geändert werden.
2. Bearbeiten Sie die Standard- Catch-all Rule und setzen Sie „Access“ auf „Denied“.

Bitte führen Sie die in Schritt 4 aufgeführten Schritte aus, um sicherzustellen, dass Ihre Benutzer nicht ausgesperrt werden. 

3. Fügen Sie Downstream-Anwendung(en) zur Richtlinie hinzu.
   1. Wählen Sie die Registerkarte „Applications“ und klicken Sie dann auf „Add app“.
   2. Klicken Sie für jede App, die Sie zu dieser Richtlinie hinzufügen möchten, auf „Add“.
   3. Klicken Sie auf „Schließen“.

Schritt 4: Überprüfung mit dem Access Testing Tool (empfohlen)

Mit dem Access Testing Tool können Sie Simulationen von realen Benutzeranfragen für den Zugriff auf eine Anwendung durchführen. Das Ergebnis zeigt, ob dem Benutzer der Zugriff auf die App erlaubt würde und welche Regeln und Einstellungen Ihrer Konfiguration übereinstimmen, um die Authentifizierungs- und Registrierungsanforderungen zu erstellen.

1. Gehen Sie in der Admin Console zu „Reports > Access Testing Tool“.
2. Application: Wählen Sie die in Schritt 3 verwendete Anwendung aus.
3. Benutzername: Geben Sie den Benutzernamen eines Benutzers ein, dessen Zugriff Sie testen möchten. Wählen Sie ihn aus der Liste aus, wenn er angezeigt wird.
4. Setzen Sie den Gerätestatus auf „Registriert“.
5. Passen Sie bei Bedarf weitere Optionen an
6. Klicken Sie auf „Test ausführen“
      

Überprüfen Sie die Ergebnisse im Abschnitt „Ergebnisse“ der Seite. Im Abschnitt „Übereinstimmende Richtlinien“ werden alle Richtlinien angezeigt, die den Kriterien entsprechen, wenn der Test erfolgreich war. Wählen Sie bei der Option „Anmelde-Journey“ die Kachel „Authentifizieren“ aus. Diese Option zeigt, welche Richtlinien die Authentifikatoren und Authentifizierungsanforderungen enthielten, die mit den im Simulator konfigurierten Kriterien übereinstimmten. Hier sollte die in Schritt 3 erstellte Authentifizierungsrichtlinie angezeigt werden.

Schritt 5. Fügen Sie zusätzliche Downstream-Anwendungen zur Authentifizierungsrichtlinie hinzu (optional).

Schritt 6: Fügen Sie eine Device Assurance Policy hinzu (empfohlen).

Gerätesicherheitsprüfungen umfassen Sätze von sicherheitsrelevanten Geräteattributen. Durch Hinzufügen von Gerätesicherheitsprüfungen zu Authentifizierungsrichtlinienregeln können Sie Mindestanforderungen für Geräte mit Zugriff auf Systeme und Anwendungen in Ihrer Organisation festlegen.

  Schritt 6.1: Fügen Sie eine Geräte-Sicherheitsrichtlinie hinzu.

   Schritt 6.2: Fügen Sie einer Authentifizierungsrichtlinie eine Gerätesicherheitsgarantie hinzu.

Sehen wir uns nun die Kontextneubewertung in Aktion an.

Wie geht es weiter?

Okta ist bestrebt, FastPass kontinuierlich zu verbessern, damit Organisationen noch mehr Sicherheit erhalten. Wir arbeiten derzeit mit Browseranbietern an einer Standardlösung, um zu verhindern, dass Session-Cookies gestohlen und auf einem anderen Gerät als dem ursprünglichen Gerät verwendet werden, dem sie gewährt wurden.

—

Haben Sie eine Frage zu FastPass oder Device Security? Treten Sie dem Okta Devices and Mobility Community Board bei und starten Sie eine Konversation.

Haben Sie Fragen zu diesem Blog-Post? Kontaktieren Sie uns unter eng_blogs@okta.com.

Entdecken Sie weitere aufschlussreiche Engineering Blogs von Okta, um Ihr Wissen zu erweitern.

Möchten Sie unserem leidenschaftlichen Team von außergewöhnlichen Ingenieuren beitreten? Besuchen Sie unsere Karriereseite.

Erschließen Sie das Potenzial eines modernen und ausgeklügelten Identitätsmanagements für Ihr Unternehmen.

Kontaktieren Sie den Vertrieb für weitere Informationen.