Resumen de las funciones introducidas en el marco del Compromiso de Okta con la Seguridad de la Identidad para salvaguardar nuestra infraestructura, nuestros clientes y los clientes de nuestros clientes.
La identidad está bajo ataque: por grupos de ransomware, actores estatales, personas internas maliciosas y otros ciberdelincuentes; y, en los últimos años, se ha convertido en el principal punto de entrada de seguridad empresarial para todas las aplicaciones de la fuerza laboral y de los consumidores.
Por consiguiente, ninguna estrategia o postura de seguridad está completa sin salvaguardias integrales contra las amenazas a la Identidad.
Como empresa de identidad independiente líder, Okta se toma esta responsabilidad muy en serio. En febrero de 2024, lanzamos el Okta Secure Identity Commitment para:
- Proporcionar productos y servicios de identidad seguros líderes en el mercado
- Fortalecer nuestra infraestructura corporativa
- Promover las mejores prácticas de los clientes para ayudar a asegurar que estén mejor protegidos
- Elevar nuestra industria para que esté más protegida contra los ataques de identidad
En esta publicación, queremos tomarnos un momento para compartir parte del trabajo que nuestros equipos de Producto, Ingeniería, Seguridad y Tecnología Empresarial han estado haciendo para mejorar la Okta Customer Identity Cloud, en particular, para asegurar:
- Nuestra infraestructura
- Nuestros clientes
- Los clientes de nuestros clientes
Asegurando nuestra infraestructura
Reconocemos que nuestra continuidad comercial impacta directamente la seguridad de nuestros clientes y, más fundamentalmente, su capacidad para realizar negocios y servir a sus usuarios.
En términos generales, aplicamos a todo nuestro personal interno, procesos y tecnología los mismos estándares de seguridad rigurosos que a nuestros productos orientados al cliente, enfatizando un enfoque de seguridad holístico de adentro hacia afuera.
Además, estamos acelerando nuestras inversiones para fortalecer aún más nuestros sistemas auxiliares (es decir, adyacentes a la producción) y corporativos. Puede encontrar una lista completa de las inversiones y actividades divulgadas públicamente en el libro blanco Compromiso de identidad segura de Okta.
Asegurando a nuestros clientes
Las cuentas administrativas son blanco habitual de ataques de toma de control de cuentas (ATO), debido a los privilegios elevados asociados con estos roles.
Para ayudar a proteger contra los intentos de ATO dirigidos a roles con privilegios, hemos introducido varias funciones nuevas.
Requerir MFA para todos los administradores del panel de Auth0
La Autenticación Multifactor (MFA) con factores secundarios fuertes es una forma comprobada de fortalecer sustancialmente las defensas contra los intentos de ATO, ya sea que esos intentos utilicen credenciales conocidas (es decir, robadas) o técnicas de fuerza bruta.
Anteriormente, la Autenticación Multifactor (MFA) era un requisito opcional para los administradores de Auth0, para evitar imponer una fricción de autenticación incremental para las organizaciones que se sienten cómodas operando sin esta capa de defensa. Sin embargo, en respuesta al panorama de amenazas en evolución, la MFA ahora es obligatoria para todos los administradores con un inicio de sesión basado en nombre de usuario/contraseña o un inicio de sesión social de terceros.
Elevando el control de seguridad y el soporte de gobernanza con Auth0 Teams
Auth0 Teams es una plataforma para simplificar la administración de sus tenants y miembros de tenants, a la vez que permite una visibilidad más clara del panel de Auth0. Profundizando un poco más, Auth0 Teams proporciona:
- Visibilidad de los tenants con detalles relevantes (región, tipo de tenant, etc.)
- Visibilidad y control de los miembros del tenant (quién tiene acceso a qué tenant con qué rol)
- Capacidad de aplicar el inicio de sesión único (SSO) con tu propio proveedor de identidad para el acceso de todos los miembros del equipo e inquilinos a Auth0
- Capacidad de restringir la creación de inquilinos en un Equipo determinado.
- Capacidad para administrar los detalles de suscripción y facturación (para suscripciones de autoservicio)
Con Auth0 Teams ubicado sobre la membresía de la cuenta de tenant, es el único punto de visibilidad y control para que un usuario cree, lea, actualice y elimine cualquier detalle dentro de la membresía de la cuenta de tenant.
Enlace ASN en el portal de administración de CIC
En respuesta a formas más seguras de autenticación, los adversarios están apuntando a las cookies de sesión como una forma alternativa de obtener acceso a aplicaciones y entornos protegidos.
Normalmente extraídas de navegadores a través de infostealers y otro malware, o a través de ataques de intermediario, las cookies de sesión son como boletos dorados que permiten a los ciberdelincuentes suplantar a usuarios legítimos sin generar alertas. Si un atacante roba una cookie de sesión y la inyecta en su navegador, a menudo puede acceder a la misma sesión que el usuario legítimo durante el tiempo que la sesión permanezca activa.
Si bien el secuestro de sesión se puede escalar un poco, es más probable que el enfoque se utilice como parte de un ataque dirigido contra usuarios particulares (por ejemplo, administradores) en organizaciones de alto valor.
Para ayudar a prevenir el secuestro de sesiones establecidas, Okta revocará automáticamente una sesión de Okta Admin Console si el ASN (Número de Sistema Autónomo) observado durante una solicitud de API o web difiere del ASN registrado cuando se estableció la sesión.
Cuando se cumple tal condición, ya sea que un usuario administrador legítimo haya cambiado de ubicación (por ejemplo, inició sesión en casa y luego se volvió a conectar desde una cafetería) o que un atacante intente secuestrar una sesión, se le pedirá al usuario administrador legítimo que vuelva a iniciar sesión.
Asegurando a los clientes de nuestros clientes
En un contexto de empresa a consumidor (B2C), un ATO exitoso puede proporcionar a un atacante acceso a recursos (por ejemplo, puntos de fidelidad), privilegios (por ejemplo, capacidad de realizar compras, especialmente de productos de suministro limitado) e información demográfica valiosa e información de identificación personal (PII).
En un contexto de empresa a empresa (B2B), un ATO exitoso podría proporcionar a un atacante acceso a datos altamente confidenciales, lo que resultaría en una violación con severas sanciones regulatorias y contractuales para la organización objetivo. En casos extremos, comprometer una cuenta podría provocar la interrupción del negocio.
Desafortunadamente, una higiene de seguridad deficiente, especialmente en forma de contraseñas simples, comunes o reutilizadas, significa que muchas cuentas de usuario son vulnerables a ataques automatizados basados en contraseñas.
Además, asegurar las identidades de los clientes, y los derechos y privilegios asociados, no se detiene en la autenticación. Si un atacante roba una cookie de sesión y la inyecta en su navegador, a menudo puede acceder a la misma sesión que el usuario legítimo durante el tiempo que la sesión permanezca activa.
Para combatir estas amenazas, hemos introducido una serie de nuevas funciones de seguridad dentro de Customer Identity Cloud.
Detección de bots de cuarta generación
La detección de bots, con Okta AI, ha demostrado ser capaz de filtrar casi el 80% de los bots que se dirigen a los sistemas de autenticación. Es importante destacar que estas capacidades defensivas se logran sin introducir fricción innecesaria al usuario: al capacitar cuidadosamente y ajustar continuamente la IA en el corazón de la detección de bots, podemos garantizar que los usuarios humanos rara vez se encuentren con un CAPTCHA, preservando experiencias perfectas.
Además, hay evidencia considerable de que esta eficacia es un elemento disuasorio muy fuerte, ya que algunos de nuestros clientes más grandes vieron que su promedio de tráfico de bots a 90 días se redujo en casi un 90% después de habilitar esta función de Protección contra Ataques. La última versión de Bot Detection incorpora datos de terceros para mejorar aún más su eficacia contra los bots.
Claves de acceso
Tanto las organizaciones B2B como las B2C son especialmente sensibles a la fricción en los flujos de autenticación del cliente, ya que la fricción innecesaria puede afectar negativamente las conversiones y los ingresos.
Adaptive MFA y Step-up Authentication ayudaron a equilibrar la conveniencia y la seguridad, pero las passkeys ya han demostrado ofrecer una experiencia de usuario segura, conveniente y familiar que supera la usabilidad de otros enfoques en muchos sentidos.
Basadas en los estándares de FIDO Alliance y World Wide Web Consortium (W3C), las claves de acceso reemplazan las contraseñas con pares de claves criptográficas, lo que las hace resistentes al phishing. Se puede acceder a ellas (es decir, usarlas) de la misma manera en que los usuarios desbloquean sus dispositivos móviles, generalmente a través de datos biométricos o ingresando el código de acceso del dispositivo.
Con las llaves de acceso (passkeys) en Okta Customer Identity Cloud, los creadores de aplicaciones y los equipos digitales pueden reducir la fricción en el inicio de sesión y fortalecer las protecciones contra los ataques de toma de control de cuentas (ATO).
API de administración de sesiones
Las passkeys son un paso importante hacia la eliminación de las contraseñas y ayudarán en la lucha contra las adquisiciones de cuentas. Sin embargo, como se señaló anteriormente, los atacantes hoy en día se centran más en el secuestro de sesiones, una amenaza independiente de la seguridad de la autenticación.
Nuestra nueva API de administración de sesiones permite a las empresas y a los desarrolladores tener un mayor control sobre la experiencia posterior a la autenticación para sus usuarios finales, ya que proporciona acceso centralizado a la lista y a la revocación de sesiones de usuario en todas las aplicaciones. En caso de que una empresa sospeche que una sesión ha sido secuestrada, puede revocar preventivamente la sesión, protegiendo a sus clientes y a la organización.
Mantente informado sobre el Okta Secure Identity Commitment
Okta tiene el compromiso de ser un líder de la industria en la lucha contra los ataques basados en la identidad y continuaremos evolucionando junto con la tecnología y el panorama de amenazas.
Para mantenerse al día con los últimos desarrollos y acceder a recursos adicionales, incluida una lista de verificación de seguridad de identidad, visite la página de destino del Compromiso de Okta con la identidad segura.
Estos materiales y cualquier recomendación contenida en ellos no constituyen asesoramiento legal, de privacidad, de seguridad, de cumplimiento o empresarial. Estos materiales tienen únicamente fines informativos generales y pueden no reflejar los desarrollos legales, de privacidad y de seguridad más actuales ni todas las cuestiones relevantes. Usted es responsable de obtener asesoramiento legal, de seguridad, de privacidad, de cumplimiento o empresarial de su propio abogado u otro asesor profesional y no debe confiar en las recomendaciones aquí contenidas. Okta no es responsable ante usted por cualquier pérdida o daño que pueda resultar de su implementación de cualquier recomendación en estos materiales. Okta no ofrece representaciones, garantías ni otras garantías con respecto al contenido de estos materiales. La información sobre las garantías contractuales de Okta a sus clientes se puede encontrar en okta.com/agreements.
