Bei Okta Showcase präsentieren wir unsere neuesten Innovationen für KI-Sicherheit. Registrieren
Jetzt testen Kontakt

Verbesserungen der Customer Identity Cloud zur Verhinderung von Kontoübernahmen

Über den Autor/die Autorin

Salman Ladha

Senior Product Marketing Manager

Salman is Senior Product Marketing Manager at Okta, focused on communicating the value of Customer Identity as part of the digital experience. In a career that spans Auth0 (now Okta Customer Identity Cloud), Vidyard and Unbounce, Salman has helped emerging and enterprise companies improve customer acquisition, retention, and loyalty using SaaS marketing technologies in their go-to-market strategies. Outside Okta, he enjoys reading, working out, and catching the latest Marvel movie.

26 Mai 2024 Lesezeit: ~

Topics

Security, AI

Inhalt

Zusammenfassung der Funktionen, die im Rahmen des Okta Secure Identity Commitment eingeführt wurden, um unsere Infrastruktur, unsere Kunden und die Kunden unserer Kunden zu schützen

Identity wird angegriffen – von Ransomware-Gruppen, staatlichen Akteuren, böswilligen Insidern und anderen Cyberkriminellen – und hat sich in den letzten Jahren zum wichtigsten Sicherheitseingangspunkt für alle Mitarbeiter- und Verbraucheranwendungen entwickelt.

Folglich ist keine Sicherheitsstrategie oder -haltung vollständig ohne umfassende Schutzmaßnahmen gegen Identity-Bedrohungen.

Als führendes unabhängiges Identity-Unternehmen nimmt Okta diese Verantwortung ernst. Im Februar 2024 haben wir das Okta Secure Identity Commitment gestartet, um:

  • Marktführende sichere Identity-Produkte und -Dienstleistungen anzubieten
  • Wir sichern die Infrastruktur unseres eigenen Unternehmens ab
  • Wir führen bei unseren Kunden Best Practices ein, die optimalen Schutz gewährleisten
  • Wir bringen unsere Branche aktiv voran – für besseren Schutz vor Identity-basierten Angriffen

In diesem Beitrag möchten wir Ihnen einen Einblick in die Arbeit geben, die unsere Produkt-, Engineering-, Sicherheits- und Business Technology-Teams geleistet haben, um die Okta Customer Identity Cloud zu verbessern – insbesondere um Folgendes zu sichern:

  • Unsere Infrastruktur
  • Unsere Kunden
  • Die Kunden unserer Kunden

Sicherung unserer Infrastruktur

Wir sind uns bewusst, dass die Business Continuity direkten Einfluss auf die Sicherheit unserer Kunden und, was noch wichtiger ist, auf ihre Fähigkeit hat, Geschäfte zu tätigen und ihre Benutzer zu bedienen.

Im Allgemeinen halten wir unsere internen Mitarbeiter, Prozesse und Technologien an die gleichen strengen Sicherheitsstandards wie unsere Kunden-Produkte – und betonen einen ganzheitlichen, von innen nach außen gerichteten Ansatz für Sicherheit.

Darüber hinaus beschleunigen wir unsere Investitionen, um unsere zusätzlichen (d. h. produktionsnahen) und Unternehmenssysteme weiter zu härten. Eine umfassende Liste der öffentlich bekannt gegebenen Investitionen und Aktivitäten finden Sie in dem Okta Secure Identity Commitment Whitepaper.

Sicherung unserer Kunden

Administratorkonten sind aufgrund der mit diesen Rollen verbundenen erhöhten Berechtigungen routinemäßig Ziel von gehackten Account (ATO)-Angriffen.

Um den Schutz vor ATO-Versuchen zu gewährleisten, die auf privilegierte Rollen abzielen, haben wir mehrere neue Funktionen eingeführt.

MFA für alle Auth0 Dashboard-Administratoren erforderlich machen

Multi-Faktor-Authentifizierung (MFA) mit starken sekundären Faktoren ist eine bewährte Methode, um die Abwehr gegen ATO-Versuche erheblich zu stärken, unabhängig davon, ob diese Versuche bekannte (d. h. gestohlene) Anmeldedaten oder Brute-Force-Techniken verwenden.

Bisher war MFA eine optionale Anforderung für Auth0-Administratoren, um zu vermeiden, dass Organisationen, die sich mit dem Betrieb ohne diese Schutzebene wohlfühlen, zusätzliche Authentifizierungsreibung auferlegt wird. Als Reaktion auf die sich entwickelnde Bedrohungslandschaft ist MFA nun für alle Administratoren mit einer benutzername-/passwortbasierten Anmeldung oder einer Social Login von Drittanbietern obligatorisch.

Verbesserung der Sicherheitskontrolle und Governance-Support mit Auth0 Teams

Auth0 Teams ist eine Plattform, die die Verwaltung Ihrer Tenants und Tenant-Mitglieder vereinfacht und gleichzeitig eine klarere Sicht in das Auth0-Dashboard ermöglicht. Etwas detaillierter betrachtet bietet Auth0 Teams:

  • Einblick in Tenants mit relevanten Details (Region, Tenant-Typ usw.)
  • Einblick und Kontrolle über Tenant-Mitglieder (wer hat Zugriff auf welchen Tenant mit welcher Rolle)
  • Möglichkeit, Okta Single Sign-On (SSO) mit Ihrem eigenen Identity-Anbieter für den Zugriff aller Team- und Tenant-Mitglieder auf Auth0 zu erzwingen
  • Möglichkeit, die Tenant-Erstellung für ein bestimmtes Team einzuschränken
  • Möglichkeit, Abonnement- und Abrechnungsdetails zu verwalten (für Self-Service-Abonnements)

Da Auth0 Teams die Tenant Account-Mitgliedschaft verwaltet, ist es der zentrale Punkt für Einblick und Kontrolle für einen Benutzer, um Details innerhalb der Tenant Account-Mitgliedschaft zu erstellen, zu lesen, zu aktualisieren und zu löschen.

ASN-Bindung im CIC-Administrator-Portal

Als Reaktion auf sicherere Formen der Authentifizierung zielen Angreifer auf Session-Cookies ab, um auf alternative Weise Zugriff auf geschützte Anwendungen und Umgebungen zu erhalten.

Session-Cookies, die typischerweise über Infostealer und andere Malware oder durch Man-in-the-Middle-Angriffe aus Browsern extrahiert werden, sind wie goldene Tickets, die es Cyberkriminellen ermöglichen, sich als legitime Benutzer auszugeben, ohne Alarme auszulösen. Wenn ein Angreifer einen Session-Cookie stiehlt und ihn in seinen Browser einschleust, kann er oft auf dieselbe Session wie der legitime Benutzer zugreifen, solange die Session aktiv bleibt.

Während Session-Hijacking in gewissem Umfang skaliert werden kann, wird der Ansatz eher als Teil eines gezielten Angriffs gegen bestimmte Benutzer (z. B. Administratoren) in hochwertigen Organisationen eingesetzt.

Um das Hijacking von etablierten Sessions zu verhindern, widerruft Okta automatisch eine Okta Admin-Konsole-Session, wenn sich die ASN (Autonomous System Number), die während einer API- oder webbasierten Anfrage beobachtet wird, von der ASN unterscheidet, die bei der Einrichtung der Session aufgezeichnet wurde.

Wenn eine solche Bedingung erfüllt ist – egal, ob ein legitimer Administrator-Benutzer den Standort gewechselt hat (z. B. sich zu Hause angemeldet und dann von einem Café aus wieder verbunden hat) oder ein Angreifer versucht, eine Session zu hijacken – muss sich der legitime Administrator-Benutzer erneut anmelden.

Sicherung der Kunden unserer Kunden

In einem Business-to-Consumer (B2C)-Kontext kann ein erfolgreicher ATO einem Angreifer Zugriff auf Ressourcen (z. B. Treuepunkte), Berechtigungen (z. B. Möglichkeit, Einkäufe zu tätigen, insbesondere von Produkten in begrenzter Stückzahl) sowie wertvolle demografische und personenbezogene Daten (PII) verschaffen.

In einem Business-to-Business (B2B)-Kontext könnte ein erfolgreicher ATO einem Angreifer Zugriff auf hochsensible Daten verschaffen, was zu einer Sicherheitsverletzung mit schwerwiegenden regulatorischen und vertraglichen Strafen für die Zielorganisation führen könnte. In extremen Fällen könnte die Kompromittierung eines Accounts zu Betriebsunterbrechungen führen.

Leider bedeutet eine schlechte Sicherheitshygiene – insbesondere in Form von einfachen, gebräuchlichen oder wiederverwendeten Passwörtern – dass viele User Accounts anfällig für automatisierte passwortbasierte Angriffe sind.

Darüber hinaus hört die Sicherung von Customer Identities – und den damit verbundenen Rechten und Berechtigungen – nicht bei der Authentifizierung auf. Wenn ein Angreifer einen Session-Cookie stiehlt und ihn in seinen Browser einschleust, kann er oft auf dieselbe Session wie der legitime Benutzer zugreifen, solange die Session aktiv bleibt.

Um diese Bedrohungen zu bekämpfen, haben wir eine Reihe neuer Sicherheitsfunktionen innerhalb der Customer Identity Cloud eingeführt.

Bot Detection der vierten Generation

Bot Detection mit Okta AI hat bewiesen, dass es in der Lage ist, fast 80 % der Bots herauszufiltern, die auf Authentifizierungssysteme abzielen. Wichtig ist, dass diese defensiven Fähigkeiten erreicht werden, ohne unnötige Benutzerreibung zu verursachen – durch sorgfältiges Training und kontinuierliches Optimieren der KI im Herzen von Bot Detection können wir sicherstellen, dass menschlichen Benutzern selten ein CAPTCHA angezeigt wird, wodurch nahtlose Experience erhalten bleiben.

Darüber hinaus gibt es erhebliche Beweise dafür, dass diese Wirksamkeit eine sehr starke Abschreckung darstellt, da einige unserer größten Kunden nach der Aktivierung dieser Attack Protection -Funktion einen Rückgang ihres 90-Tage-Durchschnitts des Bot-Traffics um fast 90 % verzeichneten. Die neueste Version von Bot Detection enthält Daten von Drittanbietern, um ihre Wirksamkeit gegen Bots weiter zu verbessern.

Passkeys

Sowohl B2B- als auch B2C-Organisationen reagieren besonders empfindlich auf Reibung in Kundenauthentifizierungsabläufen, da unnötige Reibung Conversions und Umsatz negativ beeinflussen kann.

Adaptive MFA und Step-up-Authentifizierung halfen, Komfort und Sicherheit auszugleichen, aber Passkeys haben bereits bewiesen, dass sie eine sichere, komfortable und vertraute User Experience bieten, die die Benutzerfreundlichkeit anderer Ansätze in vielerlei Hinsicht übertrifft.

Basierend auf den Standards der FIDO Alliance und des World Wide Web Consortium (W3C) ersetzen Passkeys Passwörter durch kryptografische Schlüsselpaare, wodurch sie Phishing-resistent werden. Sie können auf die gleiche Weise aufgerufen (d. h. verwendet) werden, wie Benutzer ihre Mobilgeräte entsperren – typischerweise über Biometrie oder durch Eingabe des Geräte-Zugangscodes.

Mit Passkeys in der Okta Customer Identity Cloud können Anwendungsentwickler und digitale Teams die Anmeldung-Reibung reduzieren und die Schutzmaßnahmen gegen ATOs verstärken.

Session-Management-API

Passkeys sind ein bedeutender Schritt zur Abschaffung von Passwörtern und werden im Kampf gegen gehackte Accounts helfen. Wie oben erwähnt, konzentrieren sich Angreifer heute jedoch mehr auf Session-Hijacking, eine Bedrohung, die unabhängig von der Authentifizierungssicherheit ist.

Unsere neue Session Management API gibt Unternehmen und Developern mehr Kontrolle über die Experience nach der Authentifizierung ihrer Endbenutzer, indem sie zentralen Zugriff auf die Auflistung und den Widerruf von Benutzer-Sessions über Anwendungen hinweg ermöglicht. Für den Fall, dass ein Unternehmen den Verdacht hat, dass eine Session gehijackt wurde, kann es die Session präventiv widerrufen – und so seine Kunden und Organisation schützen.

Bleiben Sie über das Okta Secure Identity Commitment informiert

Okta hat sich verpflichtet, eine branchenführende Rolle im Kampf gegen Identity-basierte Angriffe einzunehmen, und wir werden uns zusammen mit der Technologie- und Bedrohungslandschaft weiterentwickeln.

Um über die neuesten Entwicklungen auf dem Laufenden zu bleiben und auf zusätzliche Ressourcen zuzugreifen – einschließlich einer Checkliste für die Identitätssicherheit – besuchen Sie bitte die Okta Secure Identity Commitment Landing-Page.

Diese Materialien und alle darin enthaltenen Empfehlungen sind keine Rechts-, Datenschutz-, Sicherheits-, Einhaltung von Sicherheitsvorschriften- oder Geschäftsberatung. Diese Materialien dienen nur allgemeinen Informationszwecken und spiegeln möglicherweise nicht die aktuellsten Sicherheits-, Datenschutz- und Rechtsentwicklungen oder alle relevanten Themen wider. Sie sind dafür verantwortlich, Rechts-, Sicherheits-, Datenschutz-, Einhaltung von Sicherheitsvorschriften- oder Geschäftsberatung von Ihrem eigenen Anwalt oder einem anderen professionellen Berater einzuholen, und sollten sich nicht auf die hierin enthaltenen Empfehlungen verlassen. Okta haftet Ihnen gegenüber nicht für Verluste oder Schäden, die aus Ihrer Implementierung von Empfehlungen in diesen Materialien entstehen können. Okta übernimmt keine Zusicherungen, Gewährleistungen oder sonstigen Zusicherungen in Bezug auf den Inhalt dieser Materialien. Informationen zu den vertraglichen Zusicherungen von Okta gegenüber seinen Kunden finden Sie unter okta.com/agreements.

Über den Autor/die Autorin

Salman Ladha

Senior Product Marketing Manager

Salman is Senior Product Marketing Manager at Okta, focused on communicating the value of Customer Identity as part of the digital experience. In a career that spans Auth0 (now Okta Customer Identity Cloud), Vidyard and Unbounce, Salman has helped emerging and enterprise companies improve customer acquisition, retention, and loyalty using SaaS marketing technologies in their go-to-market strategies. Outside Okta, he enjoys reading, working out, and catching the latest Marvel movie.

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Jetzt starten
Kontaktieren Sie uns