Identity Threat Protection con Okta AI

... ahora disponible de forma general

Una cuestión de seguridad de la identidad

En el mundo actual, cada vez más basado en la nube, la Identidad es la primera, y en muchos casos, la única huella persistente que permite el acceso de un usuario a los activos de la organización. Como plano de control, la Identidad se extiende a través de la pila tecnológica de TI empresarial e intersecta los planos de datos o acceso del dispositivo, la red y la aplicación. No es de extrañar que la Identidad sea un objetivo atractivo y común para ataques y vulneraciones.

Según el OWASP Top 10, “Control de acceso deficiente” fue el principal riesgo de seguridad para las aplicaciones web, con un 94% de las aplicaciones probadas con alguna forma de controles de acceso deficientes. El vector de ataque aquí ha evolucionado con el tiempo, y el robo y la reproducción de tokens se han convertido en un vector de amenaza cada vez más común, especialmente desplegado por actores de Amenaza Persistente Avanzada (APT). Las organizaciones con controles de verificación de acceso más sofisticados deben tener cuidado con esta amenaza. Algunas de las Tácticas, Técnicas y Procedimientos (TTPs) de ataque principales de MITRE para establecer el acceso inicial, la persistencia, la ejecución del movimiento lateral o la escalada de privilegios en entornos modernos implican el compromiso de la Identidad (ingeniería social, fuerza bruta de credenciales, etc.) o la orientación a la Identidad (phishing, compromiso de correo electrónico empresarial (BEC)). Los atacantes rara vez emplean un solo método para lograr sus objetivos.

Los actores de amenazas muestran una creciente habilidad y disposición para lanzar ataques de múltiples etapas, respaldados por un reconocimiento sistemático, que aprovechan las técnicas de reconocimiento del terreno y herramientas sofisticadas (una próspera industria artesanal de SaaS moderno ahora impulsada por la IA). Lo que está en juego es alto: la seguridad de la identidad tiene un impacto material en los resultados finales y en el valor duradero para los accionistas. El año pasado, la Comisión de Bolsa y Valores de EE. UU. (SEC) adoptó la regla de Gestión de Riesgos de Ciberseguridad, Estrategia, Gobernanza y Divulgación de Incidentes que requiere que las empresas que cotizan en bolsa revelen los incidentes materiales de ciberseguridad y sus mecanismos de gestión de riesgos, estrategia y gobernanza de ciberseguridad para salvaguardar a los inversores y los mercados.

La misión de Okta de habilitar de forma segura a todos para que usen cualquier tecnología nunca ha sido más relevante. En el Compromiso de Identidad Segura de Okta publicado a principios de este año, reconocimos públicamente nuestra responsabilidad de impulsar cada caso de uso de Identidad en un marco seguro que proteja estas identidades. Creemos que la Protección contra Amenazas a la Identidad con Okta AI es un arma importante en la armería defensiva que satisface muchas de las necesidades de seguridad de todo nuestro espectro de clientes, con un enfoque principal en la protección continua. Nos complace anunciar que la Protección contra Amenazas a la Identidad con Okta AI ya está disponible de forma general. Este es un momento trascendental, con muchas novedades para la industria. Sigue leyendo para obtener más información.

Seguridad de la identidad a través de la lente de ITDR: la necesidad de protección contra amenazas de identidad con Okta AI

La detección y respuesta a amenazas de identidad (ITDR) a menudo se considera la vanguardia en la seguridad de la identidad. Acuñado por primera vez en 2022, Gartner define ITDR como una “disciplina”, una operación de seguridad de TI que las organizaciones financian para protegerse del panorama cada vez mayor de ataques a identidades. Los objetivos de ITDR se entienden ampliamente como:

• Monitoreo y an alisis continuo de la actividad del usuario en una organizaci n
• Detección de actividad anómala que representa un comportamiento de ataque
• Disponibilidad de medidas de respuesta apropiadas para lograr una remediación que asegure la identidad y los datos
• Habilite la investigación de amenazas que respalda la respuesta a incidentes para determinar el alcance, la contención y la expulsión de las amenazas detectadas y los actores de amenazas

Según un reciente comunicado de prensa de Gartner, para 2026, el 90% de todas las organizaciones empresariales tendrán algún producto integrado que unifique su enfoque para lograr los objetivos de ITDR.

Si bien los objetivos de ITDR son bastante universales, la actividad que sustenta estos objetivos ha evolucionado junto con el panorama de TI y seguridad en constante cambio. Hasta ahora, Identity Security se ha centrado en salvaguardar la ceremonia de autenticaci n.

Con la garantía criptográfica de Okta Verify FastPass, la seguridad en la autenticación puede considerarse un problema tecnológicamente resuelto.

El comportamiento del atacante parece validar esta premisa: un estudio reciente de nuestro equipo de ciencia de datos indicó que la adopción de Okta Verify FastPass se correlacionó directamente con un riesgo reducido de identidades comprometidas.

Sin embargo, los atacantes siguen los principios del mínimo esfuerzo.

Si la vara de la seguridad en la ceremonia de autenticación es demasiado alta, los atacantes buscarán comprometer otras facetas de la superficie empresarial. En un mundo donde comprometer las identidades en la autenticación se convierte en un desafío criptográfico cada vez más difícil, las ceremonias posteriores a la autenticación se convierten en un área más atractiva para enfocar el ataque. Datos recientes indican que el robo, la manipulación y la repetición de tokens se han convertido en áreas de explotación cada vez más interesantes. Spycloud compartió recientemente que habían logrado recapturar 1.87 mil millones de registros de malware de cookies de sesión vinculados a empleados de Fortune 1000 en 2022. (El número total de registros de cookies de sesión recapturados fue de casi 22 mil millones). La naturaleza del robo de tokens como un TTP de ataque requiere el compromiso de otra superficie de amenaza (SO, dispositivo, navegador, etc.) para pivotar a la superficie de amenaza de identidad para el compromiso. Esta es una metáfora de la naturaleza de la seguridad y el patrón de ataque más amplio que se desarrolla hoy: Pivotar desde superficies de amenaza menos seguras en un mundo basado en la nube.

Un cliente puede hacer todo bien e implementar las formas más sólidas de autenticación; sin embargo, la identidad solo será tan sólida como la superficie de amenaza de intersección más débil entre la red, el dispositivo, el sistema operativo, el navegador y la aplicación. Es esta necesidad la que Identity Threat Protection busca satisfacer. Es una necesidad constante: Creemos que, a medida que el mundo evoluciona rápidamente hacia nuevos planos de interacción hombre-máquina y modalidades de productividad, intercambio financiero y consumo de información, las identidades siempre necesitarán protección continua, por ejemplo: en las rampas de acceso, así como en la intersección de estas posibles superficies de amenaza. El enfoque perdurable de la Protección contra Amenazas a la Identidad, por lo tanto, será:

• Para conocer y proteger a los clientes donde se encuentren, independientemente de su etapa de madurez
• Para ofrecer herramientas para clasificar su postura de seguridad como parte de las operaciones de seguridad (de identidad)
• Evolucionar con las últimas innovaciones tecnológicas y patrones de ataque mediante el uso de las últimas tecnologías e información para proteger a los clientes en todos los niveles de la curva de madurez

Si bien ITDR siempre puede seguir siendo una disciplina, Identity Threat Protection with Okta AI intenta unificar esa disciplina con un arsenal de herramientas de detección y respuesta para clientes con cualquier postura de seguridad.

Manteniendo la perspectiva del enfoque a largo plazo anterior, Identity Threat Protection en GA intenta ofrecer soluciones a los siguientes problemas hoy:

• Disuelve la visión fragmentada de Identity Security en múltiples superficies de amenazas
• Mejorar el control y la visibilidad sobre el acceso posterior a la autenticación
• Habilitar respuestas manuales descentralizadas a amenazas de identidad a partir de señales de riesgo holísticas
• Equilibra la fricción y la productividad del usuario con la seguridad

Veamos cómo el producto logra estos objetivos.

¿Qué es Identity Threat Protection con Okta AI?

Identity Threat Protection es una plataforma ITDR que permite la protección continua para todos sus usuarios. Lo logra al

• Aprovechar un potente motor de riesgo, que utiliza técnicas de IA/aprendizaje automático (ML), orientado a ofrecer detecciones para todo el espectro de TTP de ataque de Identity
• Integrar a la perfección el motor de riesgo para que funcione con el resto de su pila de seguridad, alimentando las integraciones más profundas y ricas en un potente conjunto de detección, reflejando el riesgo de identidad de todo el ecosistema de proveedores de seguridad
• Profundizar la historia de la evaluación de políticas para garantizar que el acceso se evalúe continuamente y que siempre esté actualizado con las variables ambientales que rigen el acceso en cada momento.
• Habilitar acciones líderes en su clase para reaccionar a las amenazas en línea y en tiempo real
• Ofrecer un marco integral de informes y eventos que le permite recopilar una instantánea de alto nivel de la postura de riesgo/amenaza de la Identidad y profundizar para realizar investigaciones de amenazas cuando sea necesario.

Seis áreas de características describen la amplitud de Identity Threat Protection:

• Evaluación continua de riesgos
• Canalización de señales compartidas (Framework)
• Evaluación continua de políticas
• Respuesta de riesgo de precisión
• Observabilidad e información
• Canalización de retroalimentación

Echemos un vistazo a estas áreas de funciones para comprender mejor la funcionalidad y el valor.

Evaluación continua de riesgos

El riesgo en Okta se define como la probabilidad de compromiso. Se clasifica en un nivel de riesgo triestado: bajo, medio o alto. En la autenticación multifactor adaptable (MFA), el riesgo se calcula en el momento de la autenticación. Esto se conoce comúnmente como riesgo de inicio de sesión.

Con Identity Threat Protection, Okta introduce el concepto de riesgo de sesión. El motor de riesgo de Okta evalúa cada solicitud posterior a la autenticación. Comprueba si hay cambios en la IP (zona) y en el contexto del dispositivo. Okta Verify FastPass permite la recopilación de la señal del dispositivo cuando se envía una solicitud a Okta y periódicamente a partir de entonces también. Si se descubre un cambio o una regresión en el estado de seguridad proporcionado al iniciar sesión en un dispositivo, el riesgo y el comportamiento se vuelven a calcular para lograr la concurrencia con este contexto.

Aquí, debemos tener en cuenta que, incluso antes de que presentáramos Identity Threat Protection, Okta Verify dependía de la recopilación de señales nativas y la integración con dos de las principales ofertas de protección de dispositivos en la industria. Okta Verify puede incorporar las puntuaciones de riesgo de CrowdStrike y las señales del Centro de seguridad de Windows para aumentar la postura del dispositivo disponible para la política. CrowdStrike proporciona seguridad de endpoints e inteligencia de amenazas, integrándose con Okta para detectar y responder a las amenazas dirigidas a los endpoints. 

Esta integración ayuda a proteger los dispositivos contra malware, ransomware y otras amenazas avanzadas al aprovechar la inteligencia de amenazas en tiempo real y las capacidades de respuesta automatizada. El Centro de seguridad de Windows ofrece protección contra virus y amenazas, protección de cuentas, protección de firewall y red, control de aplicaciones y navegador, rendimiento y estado del dispositivo, y más, para dispositivos Windows. Con Identity Threat Protection, esto ahora está disponible para la reevaluación de la política de autenticación. (Profundizamos más en la reevaluación de políticas en la sección: "Evaluación continua de políticas con respuesta de riesgo de precisión."

Para reducir las imprecisiones en las afirmaciones de riesgo y permitir que el motor de riesgo evolucione más rápido que el atacante, Identity Threat Protection emplea heurísticas avanzadas y aprendizaje automático (ML) pendiente de patente para frustrar el compromiso de la sesión. Las variables ambientales (IP/dispositivo) se evalúan con respecto al buen comportamiento conocido y la solicitud se evalúa en busca de evidencia de indicadores de compromiso (IOC).

El riesgo de sesión no solo ayuda a identificar el comportamiento de secuestro de sesión, sino también el comportamiento no deseado que ocurre en la organización y que no era evidente hasta ahora, pero ahora puede ayudar a resolver las inconsistencias de las políticas y la garantía, lo que desencadena la corrección y una mejor postura y resultados de seguridad.

Se puede argumentar a favor de los patrones de ataque que tienen un radio de explosión más allá del alcance de una sesión de acceso de Okta. Por ejemplo, intentar la persistencia o forzar el acceso a Okta o a una aplicación tiene ramificaciones que van más allá de una sesión en el tiempo. Para delimitar y remediar tales ataques, Okta introdujo el riesgo de entidad. Dado que el usuario es la primera entidad para la que admitimos la evaluación de riesgos, esto también se denomina a veces riesgo de usuario de la entidad. En GA, Identity Threat Protection admite las siguientes detecciones de riesgo de usuario de entidad curadas de forma nativa:

• Acción crítica de la entidad desde una IP de alta amenaza: para detectar los intentos de un atacante de lograr la persistencia
• Acceso sospechoso a la aplicación: para detectar el intento de un atacante de obtener cookies de sesión de la aplicación
• Ataque de fuerza bruta sospechoso: para detectar ataques de fuerza bruta de Autenticación Multifactor (MFA) para obtener un acceso sólido basado en la autenticación a la organización
• Okta Threat Intelligence: para detectar la actividad sofisticada de los actores de amenazas o el uso de infraestructura de phishing para orquestar ataques

Identity Threat Protection también admite la colaboración colectiva de la actividad del atacante con opciones para que un administrador o un usuario final informen sobre el riesgo y el comportamiento de acceso desconocido en el sistema. 

Pero el alcance del producto no termina ahí. El Riesgo de Entidad también abarca la reflexión de un ataque en otras superficies de amenaza (es decir: dispositivo, red, aplicación) en lo que respecta a la identidad.

El objetivo de Entity Risk es, por lo tanto, no solo detectar ataques más allá del alcance de una sesión de acceso, sino también garantizar que las organizaciones que utilizan los mejores proveedores de seguridad no sufran porque sus productos de seguridad operan en silos que resultan de definiciones miopes y unidimensionales de amenaza.

El riesgo de entidad como concepto también se diferencia del riesgo de sesión por alcance y por ser más dinámico y multidimensional. Por lo tanto, sirve como un reflejo más fiel de la verdadera probabilidad de riesgo en lo que respecta al usuario.

La multidimensionalidad de Entity Risk tiene como objetivo impedir que los actores de amenazas sofisticados se muevan lateralmente (pivoteando) desde las superficies de amenaza a voluntad. Este valor se entrega a través de la Shared Signals Pipeline. 

Shared Signals Framework Pipeline

Aquí, vamos un paso más allá. En el paradigma de cambio de contexto de riesgo de sesión y de IP/dispositivo, el mecanismo de detección de riesgos se extiende solo hasta que el usuario interactúa con Okta (ya sea directamente con la autenticación, el token u otro endpoint de Okta o indirectamente, con Okta Verify) dentro del alcance de una sesión. Pero, con los patrones de ataque de amenazas persistentes avanzadas actuales y la naturaleza de los ataques de varias etapas, necesitábamos detectar constantemente ataques más allá del alcance de la sesión, con detecciones de Entity Risk. Las detecciones de Riesgo de Entidad, impulsadas por una combinación de detecciones nativas y una integración de Shared Signals Framework (SSF) Pipeline con proveedores de seguridad que protegen otras superficies de amenaza, pueden eliminar los ataques basados en la Identidad provenientes de superficies de amenaza intersecantes que no son de Identidad.

Hoy en día, un entorno de SSO típico está repleto de tokens de larga duración y cookies de sesión. Por lo tanto, las interacciones con el proveedor de identidad pueden ser pocas y distantes entre sí. 

La idea detrás de la canalización SSF) se basó en el principio de que los productos de seguridad que protegen cualquier superficie de amenaza deberían poder tomar determinaciones de riesgo holísticas basadas en indicadores de compromiso observados en todas las superficies de amenaza que se cruzan.

El objetivo, por lo tanto, era aprovechar los Indicadores de Compromiso (IoC) y el riesgo desarrollado en otras superficies de amenazas que se cruzan con la identidad para ofrecer un riesgo holístico en la entidad (usuario). La asociación de seguridad que evolucionó fue una de iguales entre los proveedores de eventos de seguridad y Okta, y cada participante se benefició del ecosistema así creado. Cada proveedor de eventos de seguridad, incluido Okta, puede instanciar un par de transmisor y receptor SSF e intercambiar señales basadas en un estándar abierto ratificado por el grupo de trabajo de Señales Compartidas de Open IDentity Foundation, llamado Continuous Access Evaluation profile.

CAEP opera dentro de un modelo pub-sub restringido que permite la publicación continua de eventos (riesgo/IOC) a medida que ocurren, lo que se alinea con los objetivos de una protección verdaderamente “continua”.

Hoy en día, Okta ofrece integraciones que utilizan SSF-CAEP que permite el intercambio de inteligencia de señales con proveedores de eventos de seguridad que son nombres destacados en sus áreas de práctica. Estos incluyen Cloudflare, Jamf, Palo Alto Networks, Rubrik, SGNL, Zimperium y Zscaler. Nos hemos asegurado de que estos socios cubran un buen equilibrio de superficies de amenaza (XDR, CASB/ZTNA/SASE, UEM, etc.).

¡Los héroes usan CAEP!

Identity Threat Protection es tanto un producto como un experimento de capitalismo saludable. Es la prueba de que las empresas de seguridad pueden unirse con éxito y crear un producto que beneficie a los clientes, de modo que el todo es mayor que la suma de las partes individuales. De hecho, si bien Jamf fue el primer socio en anunciar la integración como transmisor CAEP con Okta como receptor CAEP, la idea ha cobrado suficiente impulso para que Apple Business Manager también anuncie su apoyo a este ecosistema. Okta es el primer socio transmisor de CAEP en anunciar soporte para el intercambio de contexto de seguridad de Identity con Apple Business Manager a través de CAEP-SSF. Muchos de los socios transmisores de CAEP de Okta también han expresado interés en consumir nuestras se ales de receptor CAEP. Los clientes con grandes huellas de Identity también han expresado interés en incorporar señales de inteligencia seleccionadas internamente a SSF para que el Entity Risk en su organización alojada en Okta se beneficie de esta integración. Agradecemos estas novedades. Un mundo interconectado y el mejor en su clase impulsado por una pila de seguridad heterogénea permite un panorama mucho más seguro, y estamos felices de desempeñar nuestro humilde papel en él.

La construcción de una plataforma Shared Signals Framework ha desatado una sinergia increíble. La mejor parte es que los clientes ahora tienen una respuesta poderosa a la actividad de amenazas sofisticada con un costo de integración mínimo. 

Shared Signals and Events, con CAEP en Identity Threat Protection con Okta AI, ha desatado cientos de detecciones en todas las superficies de amenazas empresariales aprovechadas para proteger las identidades en diversos ecosistemas de TI, lo que permite la protección para una variedad de casos de uso. Es tan poderoso pensar que esto es solo el comienzo.

Aquí hay algunos de esos casos de uso.

Apple Business Manager

Gestión y cumplimiento de dispositivos: Apple Business Manager se integra con Okta para administrar dispositivos Apple en toda la organización. Esto ayuda a hacer cumplir las políticas de seguridad, administrar las configuraciones de los dispositivos y garantizar el cumplimiento de los estándares de la organización.

Cloudflare

Security Service Edge (SSE): La plataforma SSE de Cloudflare ayuda a las organizaciones a proteger el acceso, defenderse de las amenazas y proteger los datos con los principios de Zero Trust. Al integrarse con Okta, las organizaciones pueden aplicar controles de acceso basados en Identity para cada solicitud en aplicaciones web, privadas y SaaS, lo que garantiza que solo los usuarios autorizados puedan acceder a los recursos protegidos.

Jamf

Mobile Device Security: Jamf protege los dispositivos Mac y móviles, proporcionando detección de amenazas y respuesta a amenazas como malware, vulnerabilidades conocidas, aplicaciones riesgosas, versiones de sistema operativo vulnerables y más. Con Jamf y Okta, solo los dispositivos compatibles pueden acceder a los recursos corporativos, evitando el acceso no autorizado.

Netskope

Cloud Security and Data Protection: Netskope One se integra con Okta para proporcionar información y control sobre los componentes principales de una arquitectura SSE. Ayuda a proteger los datos confidenciales al supervisar el uso de aplicaciones en la nube y aplicar políticas de protección de datos. Esta integración mejora la visibilidad de las actividades en la nube y ayuda a mitigar los riesgos asociados con los servicios en la nube para extender el perímetro de Zero Trust con las zonas de red de Okta y la red NewEdge de Netskope.

Palo Alto Networks

Seguridad de red y nube y detección de amenazas: Cortex XSIAM de Palo Alto Networks se integra con Okta para proporcionar detección avanzada de amenazas y respuesta automatizada en toda la red. Esto ayuda a detectar y responder a ciberamenazas sofisticadas, lo que garantiza una seguridad integral de la red. Además, la solución Cortex ITDR ofrece valor adicional con Okta para identificar capacidades avanzadas de amenazas internas.

Rubrik

Seguridad de los datos: Rubrik Security Cloud, una plataforma de seguridad de datos que ofrece resiliencia cibernética completa en toda la empresa, la nube y SaaS, se integra con Okta para ayudar a los clientes a detectar de forma proactiva los cambios en los niveles de riesgo de acceso a datos confidenciales de los usuarios y automatizar la corrección.

SGNL

Control de acceso y gobernanza: SGNL proporciona soluciones de control de acceso que se integran con Okta para hacer cumplir las políticas de acceso granular y las reglas de gobernanza. Esto ayuda a garantizar que solo los usuarios autorizados tengan acceso a información y sistemas confidenciales, lo que reduce el riesgo de acceso no autorizado.

Zimperium

Defensa contra amenazas móviles: Mobile Threat Defense (zIPS) monitorea y protege los dispositivos móviles contra amenazas avanzadas, incluido el malware y los ataques de red. Esta integración garantiza que los dispositivos móviles que acceden a los recursos corporativos sean seguros y cumplan con las políticas de seguridad.

Zscaler

Seguridad en Internet, Prevención de Amenazas y Movimiento Lateral: Zscaler Deception utiliza sistemas y datos señuelo para proporcionar una detección temprana de alta fidelidad de ataques dirigidos y amenazas internas. Se integra perfectamente con Okta, compartiendo señales de ataque detalladas con Okta. Esta integración permite controles de acceso adaptativos en tiempo real, mitigando eficazmente los riesgos de movimiento lateral dentro de la red.

Evaluación continua de políticas con respuesta de riesgo de precisión

Continuous Risk Evaluation representa solo la mitad del valor de la protección continua. Continuous Risk Evaluation se combina con Continuous Policy Evaluation para brindar el múltiple beneficio de la protección continua. Por lo tanto, la política evaluada puede acumular beneficios en múltiples niveles.

• El nivel primario es la evaluación continua de la Global Session Policy (GSP). En el paradigma de Identity Threat Protection, las construcciones de GSP (reglas de política) que determinan la creación de sesiones de Okta SSO aseguran que las sesiones estén protegidas de la violación de GSP, incluso después de la emisión de la sesión. Permite restringir la aplicación de acciones después de la autenticación, incluso si se cumplen los requisitos de la Authentication Policy (en una aplicación en particular. asociada con la sesión de Okta). Esto ofrece a los clientes una capa más de defensa, asegurando que las brechas de política y la configuración incorrecta no se conviertan en una razón para la regresión en la postura de seguridad y la garantía de autenticación.
• Tanto el GSP como la política de autenticación se evalúan para cada solicitud y durante toda la vida útil del contexto de la sesión.
• Authentication Policy se evalúa no solo para la aplicación en una solicitud, sino para todas las aplicaciones vinculadas a la sesión de Okta asociada con la solicitud.
• Si se determina un cambio en el contexto de la sesión sin una solicitud en un endpoint de Okta, es porque dicho cambio se genera a partir del sondeo continuo de Okta Verify en el endpoint. Okta Verify supervisa continuamente los cambios en el contexto del dispositivo. En esta situación, todas las reglas de política para todas las aplicaciones asociadas con todas las sesiones vinculadas a la ID del dispositivo se evalúan.
• Política de riesgo de entidad es un nuevo tipo de política introducido dentro del marco de políticas de Okta. Mientras que GSP y la política de autenticación se centran en la sesión de Okta y la aplicación a la que se accede, respectivamente, la política de entidad se centra en la identidad. La identidad es el tema. Las reglas de política configuradas en la política de entidad se activan por eventos, lo que significa que: se ejecutan automáticamente tan pronto como se detecta el riesgo de entidad. Esto, junto con la profundidad de la reevaluación en GSP y la política de autenticación, establece un nuevo punto de referencia para la “protección continua”.

La ejecución a escala de esta arquitectura de evaluación de políticas de múltiples etapas es realmente impresionante y exclusiva de Identity Threat Protection y Okta. Esta es una verdadera primicia para la industria. Si bien la magnitud de la evaluación de políticas está, de hecho, dictada por los eventos (riesgo de entidad, cambio en IP, contexto del dispositivo, riesgo de sesión y comportamiento) que desencadenan su evaluación, solo pueden ser tan efectivas como las acciones configuradas en ellas.

La Protección contra Amenazas a la Identidad ofrece opciones extensibles y líderes en su clase para las sesiones posteriores a la autenticación para GSP y la reevaluación de la política de autenticación y la evaluación de la política de riesgo de la entidad.

• Para contrarrestar la amenaza inmediata del secuestro de sesión, se admite la MFA o verificación en línea como una acción de remediación para todas las fallas en la reevaluación de la regla de GSP y la Política de Autenticación. Esto simplemente refuerza una acción ya configurada por los clientes en su GSP / Política de Autenticación. La acción en estas políticas se diseñó para la emisión condicional de una sesión de Okta o acceso a la aplicación, y en el caso de la Política de Autenticación, se rige por condiciones de sesión estrictas (que se activan en cada inicio de sesión de recursos, períodos de tiempo fijos o al vencimiento de la sesión de Okta). Con Identity Threat Protection, ahora se aplica como un paso de verificación, lo que garantiza la validación de cualquier cambio registrado durante la vida útil de la sesión.

Okta fue uno de los primeros en anunciar la protección en lÍnea contra el robo de tokens, y ahora va un paso más allá, en el que un secuestro de sesión que intercepta MFA, cuando se determina que ha sido abandonado, resulta en la revocación de la cookie de sesión SSO de Okta, lo que obliga a la reautenticación de todo el acceso en escenarios de robo de tokens.

• En ciertos escenarios, un cambio en el contexto de la sesión puede activar Continuous Policy Evaluation, incluso sin una solicitud en el punto final de Okta. Por ejemplo, cuando Okta Verify sondea periódicamente las señales del dispositivo, Okta puede determinar un cambio en el contexto del dispositivo de forma asíncrona (fuera de banda) y activar la reevaluación de la política. En tales casos, activar MFA no es la acción apropiada porque no hay ninguna solicitud para activar MFA y ningún widget de inicio de sesión en el que solicitar la verificación. En tales y otros escenarios, Identity Threat Protection ofrece la capacidad única de activar una acción llamada “Cierre de sesión universal” que ayuda a restringir el acceso de inmediato, incluso si está fuera de banda.

La capacidad de tomar medidas en línea y en tiempo real que restrinjan el acceso a través de señales fuera de banda es un diferenciador de producto importante para la Protección contra Amenazas a la Identidad.

• Universal Logout es una característica innovadora y otra primicia en la industria. Okta está impulsando a la industria a trabajar hacia un mundo donde la restricción del acceso se logre en su máxima profundidad. En este mundo, no se permiten artefactos huérfanos y la cadena de herencia de autorización se desmantela honorablemente de la misma manera que se establece. El organismo de estándares de Okta allanó el camino hacia un nuevo estándar en Global Token Revocation.

Hace aproximadamente una década, Okta se convirtió en el primer proveedor de Identity en la nube de la industria en ofrecer SSO o "Universal Login". Con Identity Threat Protection, Okta es el primero en ofrecer Universal Logout en todos los dispositivos y aplicaciones compatibles.

Un primer paso para adoptar este concepto fue lograr que las principales aplicaciones adoptaran la carta de Cierre de Sesión Universal. Desde el anuncio del Acceso Temprano, hemos ampliado considerablemente nuestra cobertura, junto con el desarrollo del estándar. Con Identity Threat Protection ahora disponible de forma general, nos complace anunciar la compatibilidad con el Cierre de Sesión Universal para Box, Dropbox for Business, Microsoft Azure, Microsoft Defender for Cloud, Microsoft Defender for Endpoint, Microsoft Defender for O365, Microsoft Dynamics 365, Microsoft O365, Microsoft Power BI, Microsoft Power Platform y Visual Studio, Microsoft Sentinel, Microsoft SQL Server Mgmt Studio, Google Cloud Platform, Google Workspace, Pagerduty, Salesforce, Slack, Zendesk, Zoom y Surf Security (Todas las aplicaciones de Microsoft admiten el cierre de sesión parcial. Todavía no admiten la invalidación de las cookies de sesión de la aplicación. La compatibilidad con Surf Security se implementará el 14 de agosto de 2024).

• Si bien la funcionalidad de Universal Logout bajo el capó alimenta la acción de cierre de sesión que se ofrece en "Acciones posteriores a la autenticación", así como en "Política de riesgo de entidad", ofrecemos un alcance inteligente del cierre de sesión y asignamos el radio de explosión de la acción en función del radio de explosión del tipo de riesgo involucrado. Por lo tanto, si bien la Política de riesgo de entidad admite toda la profundidad del Universal Logout, Acciones posteriores a la autenticación garantiza que la acción de cierre de sesión admita la revocación solo de las aplicaciones y la sesión de Okta relevantes que se estén considerando. (Para un tratamiento detallado de esto, consulte Revocaciones de Universal Logout).
• Las acciones en Identity Threat Protection también admiten la extensibilidad en la gestión de incidentes y las operaciones de TI. Identity Threat Protection se integra a la perfección con Workflows para que ahora pueda integrar y automatizar las actividades y los procesos de respuesta de su equipo, y lograr resultados de seguridad mejores y más rápidos. La integración nativa de Workflows implica que puede iniciar un flujo de trabajo desde uno o todos los siguientes activadores.
  • Reaccionar ante los cambios en el contexto de IP o dispositivo, el riesgo de la sesión y/o la evaluación del comportamiento
  • Girar la detección de riesgos de la entidad
  • Integrar de forma nativa los flujos de trabajo como una acción para los resultados de la sesión posterior a la autenticación o en la política de riesgo de la entidad

Para lograr resultados en más de 50 aplicaciones que aprovechan más de 100 acciones, Workflows con Identity Threat Protection ofrece opciones integrales para la promesa de respuesta a amenazas de identidad.

Observabilidad e información con canalización de retroalimentación

Otro aspecto de la respuesta es el soporte de las operaciones diarias de seguridad de TI. Identity Threat Protection combina paneles de informes enriquecidos y widgets de panel de administración que recomiendan la implementación del producto y garantizan que los administradores de seguridad tengan

• La capacidad de mantener instantáneas basadas en datos del riesgo para las identidades en su entorno
• Una vista de la regresión en la postura de seguridad posterior a la autenticación y el rendimiento de seguridad de la configuración de la política durante toda la vida útil del acceso para la base de usuarios
• Datos para impulsar la acción para mitigar el riesgo manualmente o mediante políticas
• Una forma de proporcionar comentarios al sistema para que Identity Threat Protection se adapte mejor al comportamiento de la organización y de los usuarios con el tiempo.

El recorrido del administrador comienza con widgets en el panel que ofrecen una vista panorámica de las violaciones de sesión, el riesgo del usuario de la entidad y el rendimiento de la política.

A partir de ahí, los clientes pueden profundizar en cualquier área de interés en particular a través de tres informes.

• El informe de infracciones de sesión se centra en informar sobre los cambios observados en una sesión de Okta autorizada, según lo informado a través de las solicitudes recibidas en esa sesión y los cambios de contexto detectados por Okta Verify. Aquí, un cliente también puede validar cómo se comporta la respuesta de la política establecida para proteger el entorno frente a estos cambios. Hay información para profundizar en el tipo de riesgo que se desarrolla en torno a ciertos cambios y las acciones de mitigación que se pueden establecer para frustrar la posible actividad maliciosa. Aquí es donde un administrador puede determinar la detección y la respuesta a los ataques, como el secuestro de sesión. Aquí hay un vistazo de cómo se ve esta experiencia.

• A continuación, ofrecemos dos informes sobre el Riesgo de Entidad. El informe de Usuarios en Riesgo ofrece una guía rápida para los usuarios (entidades) de riesgo en la organización. El Informe de Riesgo de Entidad profundiza en
  • Los tipos y la frecuencia del riesgo de entidad detectado
  • Qué reglas de política interceptan estas detecciones de riesgo y cuáles siguen escapando

     

Identity Threat Protection también permite al administrador de Identity profundizar en el riesgo desarrollado. La página Directorio → Personas → Usuario → {Usuario} ahora mostrará una pestaña adicional de "Riesgo" dedicada a cubrir el riesgo acumulado por el usuario. Aquí, un administrador puede

• Observar toda la actividad de riesgo de los últimos siete días asociada con el usuario y los cambios observados en términos de IP/ubicación, contexto del dispositivo y comportamiento.
• Profundizar a través del registro del sistema para obtener datos relevantes en torno a una afirmación para el contexto de la sesión o el riesgo de la entidad detectado.
• Ofrecer comentarios al sistema para que Okta pueda ajustar las afirmaciones de riesgo para que sean más relevantes para la organización con el tiempo.
• Elegir modificar el riesgo del usuario en función de fuentes externas no integradas con Okta (también disponible en API).
• Revocar manualmente el acceso mediante Universal Logout.

   

Conclusión

Y ahí lo tienen. Sin embargo, no es un final, porque apenas estamos comenzando. Estamos inmensamente orgullosos de este producto y entusiasmados con el valor único que ofrece. 

Esperamos que el uso de este producto le ayude

• Protéjase contra amenazas comunes a la Identidad, incluidos los ataques posteriores a la autenticación, como la protección contra el secuestro de sesión en línea aprovechando Okta AI.
• Potencie su conjunto de seguridad de primera categoría existente y elimine los silos de seguridad con una seguridad holística a través del riesgo de entidad, impulsada por una red de inteligencia de señales compartidas y respaldada por un marco de estándares abiertos.
• Aproveche la capacidad de revocar el acceso a todas las aplicaciones específicas de inmediato, manualmente o mediante la orquestación de políticas.
• Proteja a su organización de ataques sofisticados de varias etapas que involucran identidades que se extienden por las superficies de amenazas.
• Proteja los mecanismos de inicio de sesión único (SSO) con la aplicación de la garantía de autenticación durante toda la vida útil de la sesión de Okta.
• Asegúrese de que la garantía de acceso a la aplicación requerida por la política al iniciar sesión se aplique continuamente para todas las aplicaciones durante la duración del acceso y no solo para las aplicaciones sujetas a CAEP o la aplicación en una solicitud de SSO. 
• Detecciones de persistencia, escalada de privilegios y movimiento lateral: MFA Brute Force, App Brute Force, Critical Actions by a User/Admin, y más, junto con cientos de detecciones de terceros en cada superficie de amenaza.
• Benefíciese del seguimiento de inteligencia de amenazas impulsado por Okta de la infraestructura de amenazas sofisticadas y sus últimas TTP.
• Encadene el riesgo del usuario de la entidad a través de los proveedores de identidad o elevar manualmente el riesgo de un usuario en función de la inteligencia determinada por sus operaciones de seguridad.
• Aproveche el monitoreo de Okta Verify de los cambios en el contexto del dispositivo del usuario final para que las sesiones de sus usuarios estén protegidas, incluso cuando no interactúen con Okta.
• Finalmente, un marco de política de entidad centrado en el usuario
• Benefíciese de las señales de colaboración colectiva: Actúe cuando un usuario informe: "Esto no fui yo". Ofrezca comentarios a un motor de riesgo avanzado que incorpore sus operaciones de seguridad de TI. afirmaciones de inteligencia sobre el riesgo.
• ITP con Workflows, que permite resultados extensibles de seguridad y orquestación empresarial.
• Utilice los informes y widgets de Rich Observability para obtener una vista rápida.
• Investigue el comportamiento de riesgo directamente desde la página de perfil de un usuario.1

Hablaremos con más detalle sobre cómo se crea este valor. Este blog también da inicio a una serie de blogs. Esté atento a los siguientes blogs que se publicarán en el futuro.

• Usabilidad y seguridad
• ITP y su lugar en el ecosistema de Okta
• Okta en el ecosistema de seguridad
• Autenticación Continua y Riesgo
• Universal Logout
• Shared Signals, mejor juntos
• Flujos de trabajo extensibles para cumplir con sus objetivos de seguridad y comerciales

El lanzamiento de Identity Threat Protection con Okta AI marca un hito importante en la lucha hasta ahora asimétrica contra las ciberamenazas. Lo invitamos hoy a unirse a nosotros en este viaje hacia un futuro empresarial en línea más seguro. Identity Threat Protection es una SKU que ahora está disponible para todos los clientes de Workforce Identity Cloud en la nube pública. Tenga en cuenta: Estamos trabajando para que Identity Threat Protection cumpla con FedRAMP y DoD Impact Level 4 (IL4) para incluir este servicio en nuestras ofertas de Okta for Government Moderate, Okta for Government High y Okta for U.S. Military cloud, pero Identity Threat Protection aún no ha alcanzado los niveles de cumplimiento aplicables ni ha sido auditado para su inclusión en esos entornos regulados.

Identity Threat Protection requiere que ejecute Okta Identity Engine, Universal Directory, Single Sign-On y Adaptive MFA. Identity Threat Protection aprovecha aspectos de Workflows que se cumplen a través de la oferta de flujos de trabajo complementarios disponibles para todos los clientes de Workforce Identity Cloud (aunque es posible que deba comprar licencias adicionales de Workflows según su uso). Este producto se ofrece solo a clientes de personal. Se admitirán organizaciones mixtas. Se admitirán clientes de educación. El precio de lista es de $4 por usuario por mes. Comuníquese con su representante local de Okta para obtener más detalles o para preparar una cotización personalizada para sus necesidades. Para una prueba gratuita, comuníquese con support.

Esperamos ofrecer Identity Threat Protection a su empresa.