Identity Threat Protection with Okta AI

…maintenant disponible en version générale

Une question de sécurité de l'identité

Dans un monde de plus en plus axé cloud, l’identité est la première et, dans de nombreux cas, la seule empreinte numérique persistante permettant à un utilisateur d’accéder aux ressources d’une entreprise. En tant que plan de contrôle, l'identité s'étend à travers toute la pile technologique de l'entreprise et croise les plans de données ou d'accès des appareils, du réseau et des applications. Il n'est donc pas étonnant que l'identité soit une cible attrayante et courante pour les attaques et les compromissions.

Selon le OWASP Top 10, le « Broken contrôle des accès » était le principal risque de sécurité pour les applications web, avec 94 % des applications testées présentant une forme de Broken contrôle des accès. Le vecteur d'attaque a évolué au fil du temps, le vol et la relecture de tokens devenant un vecteur de menace de plus en plus courant, en particulier déployé par des acteurs de Menaces Persistantes Avancées (APT). Les organisations dotées de contrôles de vérification d'accès plus sophistiqués doivent se méfier de cette menace. Certaines des principales tactiques, techniques et procédures (TTP) d'attaque du MITRE pour établir un accès initial, une persistance, exécuter un mouvement latéral ou une élévation des privilèges dans les environnements modernes impliquent soit la compromission de l'identité (social engineering, attaque par force brute sur les informations d'identification, etc.), soit le ciblage de l'identité (phishing, compromission de l'e-mail professionnel (BEC)). Les attaquants utilisent rarement une seule méthode pour atteindre leurs objectifs.

Les acteurs malveillants font preuve d'une compétence et d'une volonté croissantes de lancer des attaques en plusieurs étapes, soutenues par une reconnaissance systématique, qui exploitent les techniques de reconnaissance du terrain et des outils sophistiqués (une industrie artisanale prospère de SaaS modernes désormais alimentée par l'IA). Les enjeux sont importants : la sécurité de l'identité a un impact significatif sur les résultats nets et la valeur durable pour les actionnaires. L'année dernière, la U.S. Securities and Exchange Commission (SEC) a adopté la règle Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure qui exige des sociétés cotées en bourse qu'elles divulguent les incidents de cybersécurité importants et leurs mécanismes de gestion des risques de cybersécurité, leur stratégie et leur gouvernance afin de protéger les investisseurs et les marchés.

La mission d'Okta, qui consiste à permettre à chacun d'utiliser n'importe quelle technologie en toute sécurité, n'a jamais été aussi pertinente. Dans l'Okta Secure Identity Commitment publié au début de l'année, nous avons publiquement reconnu notre responsabilité de prendre en charge tous les cas d’usage d’identité dans un framework sécurisé qui protège ces identités. Nous pensons que l'Identity Threat Protection avec Okta AI est une arme importante dans l'arsenal défensif qui répond à de nombreux besoins de sécurité de l'ensemble de nos clients, avec un accent principal sur la protection continue. Nous sommes heureux d'annoncer que la protection contre les menaces liées à l'identité avec Okta AI est désormais disponible pour le grand public. C'est un moment décisif, avec de nombreuses premières pour l'industrie. Continuez à lire pour en savoir plus.

La sécurité de l'identité à travers le prisme de l'ITDR : La nécessité d'une Identity Threat Protection avec Okta AI

La détection et la réponse aux menaces liées à l'identité (ITDR) sont souvent considérées comme l'avant-garde de la sécurité de l'identité. Inventée pour la première fois en 2022, Gartner définit l'ITDR comme une « discipline », une opération de sécurité informatique que les organisations financent pour se prémunir contre le paysage croissant des attaques contre les identités. Les objectifs de l'ITDR sont généralement compris comme suit :

• Surveillance et analyse continues de l'activité des utilisateurs dans une organisation
• Détection d'activités anormales représentant un comportement d'attaque.
• Disponibilité de mesures de réponse appropriées pour réaliser une correction qui sécurise l'identité et les données
• Permettre l'investigation des menaces en soutenant la résolution des incidents afin de déterminer le périmètre des données requises, le confinement et l'expulsion des menaces et des cybercriminels détectés

Selon un récent communiqué de presse de Gartner, d’ici 2026, 90 % des entreprises auront un produit embarqué unifiant leur approche pour atteindre les objectifs de l’ITDR.

Bien que les objectifs de l'ITDR soient assez universels, l'activité qui sous-tend ces objectifs a évolué avec le paysage informatique et de sécurité en constante évolution. Jusqu'à présent, la sécurité des identités s'est concentrée sur la protection de la cérémonie d'authentification.

Grâce à l'assurance cryptographique d'Okta Verify FastPass, la sécurité lors de l'authentification peut être considérée comme un problème technologiquement résolu.

Le comportement des attaquants semble valider cette prémisse : une étude récente de notre équipe de science des données a indiqué que l'adoption d'Okta Verify FastPass était directement corrélée à une réduction du risque de compromission des identités.

Cependant, les attaquants suivent les principes du moindre effort.

Si le niveau de sécurité lors de la cérémonie d'authentification est trop élevé, les attaquants chercheront à compromettre d'autres facettes de la surface de l'entreprise. Dans un monde où la compromission des identités lors de l'authentification devient un défi cryptographique de plus en plus difficile, les cérémonies post-authentification deviennent un domaine d'attaque plus attrayant. Des données récentes indiquent que le vol, la manipulation et la relecture de jetons sont devenus des domaines d'exploitation de plus en plus intéressants. Spycloud a récemment partagé qu'ils avaient réussi à récupérer 1,87 milliard d'enregistrements de malware de cookies de session liés à des employés de Fortune 1000 en 2022. (Le nombre total d'enregistrements de cookies de session récupérés était de près de 22 milliards.) La nature du vol de token en tant que TTP d'attaque nécessite la compromission d'une autre surface d'attaque (système d'exploitation, terminal, navigateur, etc.) pour pivoter vers la surface d'attaque d'identité pour la compromission. C'est une métaphore de la nature de la sécurité et du modèle d'attaque plus large qui se développe aujourd'hui : pivoter à partir de surfaces d'attaque moins sécurisées dans un monde basé sur le cloud.

Un client peut tout faire correctement et déployer les formes d'authentification les plus robustes, mais l'identité ne sera aussi forte que la surface d'attaque la plus faible parmi le réseau, le terminal, le système d'exploitation, le navigateur et l'application. C'est à ce besoin que la protection contre les menaces liées à l'identité cherche à répondre. C'est un besoin permanent : nous pensons que, à mesure que le monde évolue rapidement vers de nouveaux plans d'interaction homme-machine et de nouvelles modalités de productivité, d'échange financier et de consommation d'informations, les identités auront toujours besoin d'une protection continue, par exemple : aux points d'accès, ainsi qu'à l'intersection de ces surfaces d'attaque potentielles. L'objectif durable d'Identity Threat Protection sera donc :

• Répondre aux besoins des clients et les sécuriser là où ils se trouvent, quel que soit leur niveau de maturité
• Offrir des outils pour trier leur posture de sécurité dans le cadre des opérations de sécurité (d'identité)
• Évoluer avec les dernières innovations technologiques et modèles d'attaque en utilisant les dernières technologies et connaissances pour protéger les clients à tous les niveaux de la courbe de maturité

Bien que l'ITDR puisse toujours rester une discipline, Identity Threat Protection avec Okta AI tente d'unifier cette discipline avec un arsenal d'outils de détection et de réponse pour les clients ayant toutes les postures de sécurité.

En gardant à l'esprit cette vision à long terme, Identity Threat Protection en GA tente d'apporter des solutions aux problèmes suivants dès aujourd'hui :

• Dissoudre la vue fragmentée de la sécurité de l'identité sur de multiples surfaces d'attaque
• Améliorer le contrôle et la visibilité de l'accès post-authentification
• Permettre des réponses manuelles et décentralisées aux menaces liées à l'identité à partir de signaux de risque holistiques
• Équilibrez la friction utilisateur et la productivité avec la sécurité.

Voyons comment le produit atteint ces objectifs.

Qu'est-ce qu'Identity Threat Protection avec Okta AI ?

Identity Threat Protection est une plateforme ITDR qui offre une protection continue pour tous vos utilisateurs. Elle y parvient en

• Exploiter un puissant Risk Engine, utilisant des techniques d'IA et de machine learning (ML), conçu pour détecter l'ensemble du spectre des TTP d’attaques d’identité.
• Intégrer de manière transparente le Risk Engine pour qu'il fonctionne avec le reste de votre pile de sécurité, en alimentant les intégrations les plus profondes et les plus riches dans une suite de détection puissante, reflétant le risque d'identité de l'ensemble de l'écosystème des fournisseurs de sécurité
• Approfondir l'histoire de l'évaluation des politiques pour s'assurer que l'accès est évalué en continu et est toujours à jour avec les variables d'environnement régissant l'accès à chaque instant
• Permettre des actions de premier ordre pour réagir aux menaces en ligne et en temps réel
• Offrant un framework complet de reporting et d'événements qui vous permet de rassembler un aperçu de haut niveau de la posture de risque/menace de l'identité et de plonger en profondeur pour effectuer des enquêtes sur les menaces si nécessaire.

Six domaines de fonctionnalités décrivent l'étendue de Identity Threat Protection :

• Évaluation continue des risques
• Pipeline de signaux partagés (Framework)
• Évaluation continue des politiques
• Réponse aux risques de précision
• Observabilité et informations
• Pipeline de retour d’informations

Examinons ces domaines fonctionnels pour mieux comprendre les fonctionnalités et la valeur.

Évaluation continue des risques

Chez Okta, le risque est défini comme la probabilité d'une compromission. Il est classé en trois niveaux de risque : faible, moyen ou élevé. Dans l'authentification multifacteur adaptative (MFA), le risque est calculé au moment de l'authentification. Ceci est communément appelé risque de connexion.

Avec Identity Threat Protection, Okta introduit le concept de risque de session. L'Okta Risk Engine évalue chaque requête post-authentification. Il vérifie les changements d'adresse IP (zone) et le contexte du terminal. Okta Verify FastPass permet la collecte de signaux du terminal lorsqu'une requête est envoyée à Okta et périodiquement par la suite également. Si un changement ou une régression de l'état de sécurité fourni lors de la connexion est découvert dans un terminal, le risque et le comportement sont recalculés pour atteindre la concurrence avec ce contexte.

Ici, nous devons noter que, même avant d'introduire Identity Threat Protection, Okta Verify dépendait de la collecte de signaux natifs et de l'intégration avec deux des meilleures offres de protection des terminaux du secteur. Okta Verify peut intégrer les scores de risque CrowdStrike et les signaux du Security Center Windows pour augmenter la posture du terminal disponible pour la politique. CrowdStrike fournit une sécurité des terminaux et une Threat Intelligence, s'intégrant à Okta pour détecter et répondre aux menaces ciblant les terminaux. 

Cette intégration aide à protéger les terminaux contre les malware, les ransomware et autres menaces avancées en exploitant la Threat Intelligence en temps réel et les capacités de réponse automatisées. Le Security Center Windows offre une protection contre les virus et les menaces, une protection des comptes, un pare-feu et une protection réseau, un contrôle des applications et du navigateur, des performances et un état de santé du terminal, et bien plus encore, pour les terminaux Windows. Avec Identity Threat Protection, ceci est désormais disponible pour la réévaluation de la politique d'authentification. (Nous approfondissons la réévaluation des politiques dans la section : « Évaluation continue des politiques avec réponse de risque de précision. »

Pour réduire les inexactitudes dans les assertions de risque et permettre au Risk Engine d'évoluer plus rapidement que l'attaquant, Identity Threat Protection utilise des heuristiques avancées et un ML en instance de brevet pour contrecarrer la compromission de session. Les variables environnementales (IP/terminal) sont évaluées par rapport à un comportement sain connu et la requête est évaluée pour détecter les indicateurs de compromission (IOC).

Le risque de session permet non seulement d'identifier les comportements de détournement de session, mais aussi les comportements indésirables qui se produisent dans l'organisation et qui n'étaient pas évidents jusqu'à présent, mais qui peuvent désormais aider à résoudre les incohérences en matière de politique et d'assurance, en déclenchant des mesures correctives et en améliorant la posture de sécurité et les résultats en matière de sécurité.

On peut plaider en faveur de modèles d'attaque dont le rayon d'action dépasse le cadre d'une session d'accès Okta. Par exemple, tenter d'obtenir une persistance ou d'accéder de force à Okta ou à une application a des ramifications qui vont au-delà d'une session dans le temps. Pour circonscrire et corriger ces attaques, Okta a introduit le risque d'entité. Étant donné que l'utilisateur est la première entité pour laquelle nous supportons l'évaluation des risques, on parle aussi parfois de risque d'utilisateur d'entité. Lors de la mise à disposition générale, Identity Threat Protection prend en charge les détections de risque d'utilisateur d'entité suivantes, organisées en mode natif :

• Action critique d'une entité provenant d'une adresse IP à haut risque: pour détecter les tentatives d'un attaquant de parvenir à une persistance
• Suspicious App Access: pour détecter la tentative d'un attaquant de collecter les cookies de session de l'application
• Suspicious Brute Force attack: pour détecter les attaques par force brute d'authentification multifacteur afin d'obtenir un accès basé sur l'authentification forte à l'organisation
• Okta Threat Intelligence: pour détecter l'activité de cybercriminel sophistiqués ou l'utilisation d'une infrastructure de phishing pour orchestrer des attaques

Identity Threat Protection prend également en charge l'activité d'attaquant de crowdsourcing avec des options pour un administrateur ou un utilisateur final pour signaler le risque et le comportement d'accès inconnu dans le système. 

Mais la portée du produit ne s'arrête pas là. Entity Risk examine également la répercussion d'une attaque sur d'autres surfaces d'attaque (c'est-à-dire le terminal, le réseau, l'application) en ce qui concerne l'identité.

L'objectif du risque d'entité n'est donc pas seulement de détecter les attaques qui dépassent le cadre d'une session d'accès, mais aussi de s'assurer que les organisations qui utilisent les meilleurs fournisseurs de sécurité ne souffrent pas du fonctionnement en silos de leurs produits de sécurité, qui résulte de définitions myopes et unidimensionnelles de la menace.

Le risque d'entité en tant que concept se différencie également du risque de session par la portée et par le fait d'être plus stable et multidimensionnel. Ainsi, il sert de reflet plus fidèle de la probabilité réelle de compromission en ce qui concerne l'utilisateur.

La multi-dimensionnalité d'Entity Risk vise à empêcher les cybercriminels sophistiqués de se déplacer latéralement (en pivotant) hors des surfaces d'attaque à volonté. Cette valeur est fournie via le Shared Signals Pipeline. 

pipeline du framework des Signaux Partagés

Ici, nous allons encore plus loin. Dans le paradigme de changement de contexte de risque de session et d’IP/terminal, le mécanisme de détection des risques ne s’étend que jusqu’à ce que l’utilisateur interagisse avec Okta (soit directement avec l’authentification, le jeton ou un autre terminal Okta, soit indirectement, avec Okta Verify) dans le cadre d’une session. Mais, avec les modèles actuels d'attaques persistantes avancées et la nature des attaques multi-étapes, nous avions besoin de détecter systématiquement les attaques au-delà de la portée de la session, avec les détections de risque d'entité. Les détections de risque d'entité, alimentées par un mélange de détections natives et d'une intégration de pipeline de Shared Signals Framework (SSF) avec des fournisseurs de sécurité protégeant d'autres surfaces d'attaque, peuvent éliminer les attaques basées sur l'identité provenant de surfaces d'attaque croisées et non liées à l'identité.

Aujourd'hui, un environnement d'authentification unique typique est rempli de jetons et de cookies de session de longue durée. Par conséquent, les interactions avec le fournisseur d'identité peuvent être rares et espacées. 

L'idée derrière le pipeline SSF) était basée sur le principe que les produits de sécurité protégeant toute surface d'attaque devraient être en mesure de prendre des décisions holistiques en matière de risque basées sur des indicateurs de compromission observés sur toutes les surfaces d'attaque qui se croisent.

L'objectif était donc d'exploiter les indicateurs de compromission (IoC) et le risque développés sur d'autres surfaces d'attaque intersectant l'identité pour offrir un risque holistique sur l'entité (utilisateur). Le partenariat de sécurité qui a évolué était un partenariat d'égaux entre les fournisseurs d'événements de sécurité et Okta, chaque participant bénéficiant de l'écosystème ainsi créé. Chaque fournisseur d'Événements de sécurité, y compris Okta, peut instancier une paire d'émetteur et de récepteur SSF et échanger des signaux basés sur un standard ouverte ratifiée par le groupe de travail Shared Signals de l'Open IDentity Foundation, appelée Continuous Access Evaluation profile.

CAEP fonctionne dans un modèle pub-sub contraint qui permet la publication continue d'événements (risque/IOC) au fur et à mesure qu'ils se produisent, s'alignant ainsi sur les objectifs d'une « protection continue » véritable.

Aujourd'hui, Okta propose des intégrations utilisant SSF-CAEP qui permettent le partage de renseignements de signal avec les fournisseurs d'événements de sécurité qui sont des noms de premier plan dans leurs domaines de pratique. Il s'agit notamment de Cloudflare, Jamf, Palo Alto Networks, Rubrik, SGNL, Zimperium et Zscaler. Nous avons veillé à ce que ces partenaires couvrent un bon équilibre des surfaces d'attaque (XDR, CASB/ZTNA/SASE, Unified Endpoint Management (UEM), etc.).

Les héros portent un CAEP !

Identity Threat Protection est autant un produit qu'une expérience de capitalisme sain. C'est la preuve que les entreprises de sécurité peuvent s'unir avec succès et créer un produit qui profite aux clients, de sorte que le tout est supérieur à la somme des parties individuelles. En fait, alors que Jamf a été le premier partenaire à annoncer l'intégration en tant qu'émetteur CAEP avec Okta en tant que récepteur CAEP, l'idée a pris suffisamment d'ampleur pour qu'Apple Business Manager annonce également le support de cet écosystème. Okta est le premier partenaire émetteur CAEP à annoncer le support de l'échange de contexte de sécurité d'identité avec Apple Business Manager via CAEP-SSF. De nombreux partenaires émetteurs CAEP d'Okta ont également exprimé leur intérêt à consommer nos signaux de récepteur CAEP. Les clients avec de grandes empreintes d'identité ont également exprimé leur intérêt à l'onboarding de signaux de renseignement sélectionnés en interne à SSF afin que le risque d'entité dans leur organisation gérée par Okta bénéficie de cette intégration. Nous nous félicitons de ces développements. Un monde interconnecté et le meilleur de sa catégorie, alimenté par une pile de sécurité hétérogène, permet un paysage beaucoup plus sûr, et nous sommes heureux d'y jouer notre humble rôle.

La construction d'une plateforme Shared Signals Framework a libéré une synergie incroyable. Le meilleur, c'est que les clients disposent désormais d'une réponse puissante à l'activité de menace sophistiquée avec un coût d'intégration minimal. 

Shared Signals and Événements, avec CAEP dans Identity Threat Protection avec Okta AI, a déclenché des centaines de détections sur toutes les surfaces d'attaque de l'entreprise utilisées pour protéger les identités dans divers écosystèmes informatiques, permettant la protection d'une variété de cas d'utilisation. Il est tellement puissant de penser que ce n'est que le début.

Voici quelques-uns de ces cas d'usage.

Apple Business responsable

Gestion des terminaux et conformité : Apple Business Manager s'intègre à Okta pour gérer les appareils Apple dans une organisation. Cela permet d'appliquer les politiques de sécurité, de gérer les configurations des appareils et de garantir la conformité aux standards organisationnels.

Cloudflare

Security Service Edge (SSE) : La plateforme SSE de Cloudflare aide les organisations à sécuriser l'accès, à se défendre contre les menaces et à protéger les données grâce aux principes de Zero Trust. En s'intégrant à Okta, les organisations peuvent appliquer des contrôles des accès basés sur l'identité pour chaque requête sur le web, les applications privées et les applications SaaS, garantissant que seuls les utilisateurs autorisés peuvent accéder aux ressources protégées.

Jamf

Sécurité des terminaux mobiles : Jamf sécurise les appareils Mac et mobiles, offrant une détection et une réponse aux menaces telles que les logiciels malveillants, les vulnérabilités connues, les applications à risque, les versions de système d'exploitation vulnérables, etc. Avec Jamf et Okta, seuls les terminaux conformes peuvent accéder aux ressources d'entreprise, évitant ainsi les accès non autorisés.

Netskope

Cloud Security and Data Protection : Netskope One s'intègre à Okta pour fournir des informations et un contrôle sur les composants de base d'une architecture SSE. Il permet de protéger les données sensibles en surveillant l'utilisation des applications cloud et en appliquant les politiques de protection des données. Cette intégration améliore la visibilité sur les activités cloud et permet d'atténuer les risques associés aux services cloud afin d'étendre le périmètre Zero Trust avec les Network Zones d'Okta et le réseau Netskope NewEdge.

Palo Alto Networks

Sécurité réseau et cloud et détection des menaces : Cortex XSIAM de Palo Alto Networks s'intègre à Okta pour fournir une détection avancée des menaces et une réponse automatisée sur l'ensemble du réseau. Cela permet de détecter et de répondre aux cybermenaces sophistiquées, garantissant ainsi une sécurité réseau complète. De plus, la solution Cortex ITDR offre une valeur ajoutée avec Okta pour identifier les capacités avancées de menace interne.

Rubrik

Sécurité des données : Rubrik Security Cloud, une plateforme de sécurité des données qui offre une cyberrésilience complète à travers l’entreprise, le cloud et le SaaS, s’intègre à Okta pour aider les clients à détecter de manière proactive les changements dans les niveaux de risque d’accès aux données sensibles des utilisateurs et à automatiser la correction.

SGNL

Contrôle des accès et gouvernance : SGNL fournit des solutions de contrôle des accès qui s'intègrent à Okta pour appliquer des politiques d'accès granulaires et des règles de gouvernance. Cela permet de garantir que seuls les utilisateurs autorisés ont accès aux informations et aux systèmes sensibles, réduisant ainsi le risque d'accès non autorisé.

Zimperium

Mobile Threat Defense : Mobile Threat Defense (zIPS) surveille et protège les terminaux mobiles contre les menaces avancées, y compris les malware et les attaques réseau. Cette intégration garantit que les terminaux mobiles accédant aux ressources d'entreprise sont sécurisés et conformes aux politiques de sécurité.

Zscaler

Sécurité Internet, prévention des menaces et mouvement latéral : Zscaler Deception utilise des systèmes et des données leurres pour fournir une détection précoce de haute fidélité des attaques ciblées et des menaces internes. Il s'intègre de manière transparente à Okta, partageant des signaux d'attaque détaillés avec Okta. Cette intégration permet des contrôles d'accès adaptatifs en temps réel, atténuant efficacement les risques de mouvement latéral au sein du réseau.

Évaluation continue des politiques avec Réponse précise aux risques

L'évaluation continue des risques ne représente que la moitié de la valeur de la protection continue. L'évaluation continue des risques est couplée à l'évaluation continue des politiques pour offrir l'avantage multiple d'une protection continue. La politique évaluée est donc susceptible d'accumuler des avantages à plusieurs niveaux.

• Le niveau principal est l’évaluation continue de la politique de session globale (GSP). Dans le paradigme Identity Threat Protection, les constructions GSP (règles de politique) déterminant la création de sessions Okta d'authentification unique garantissent que les sessions sont protégées contre la violation de GSP, même après leur émission. Il permet de contraindre l'application de l'action post-authentification, même si les exigences de la politique d'authentification (sur une application particulière. associée à la session Okta) ont été satisfaites. Cela offre aux clients une couche de défense supplémentaire, garantissant que les lacunes de politique et les erreurs de configuration ne deviennent pas une raison de régression dans la posture de sécurité et l'assurance de l'authentification.
• La GSP et la politique d'authentification sont évaluées pour chaque demande et pendant toute la durée de vie du contexte de la session.
• La politique d'authentification est évaluée non seulement pour l'application dans une requête, mais également pour toutes les applications liées à la session Okta associée à la requête.
• Si un changement de contexte de session est détecté sans requête à un terminal Okta, c'est parce que ce changement est généré par l'interrogation continue d'Okta Verify sur le terminal. Okta Verify surveille en permanence les changements dans le contexte du terminal. Dans cette situation, toutes les règles de politique pour toutes les applications associées à toutes les sessions liées à l'ID de l'appareil sont évaluées.
• Entity Risk Policy est un nouveau type de politique introduit dans le cadre de politiques de sécurité Okta. Alors que GSP et Authentication Policy se concentrent respectivement sur la session Okta et l'application à laquelle on accède, Entity Policy se concentre sur l'identité. L'identité est le sujet. Les règles de politique configurées dans Entity Policy sont déclenchées par des événements, ce qui signifie qu'elles s'exécutent automatiquement dès que Entity Risk est détecté. Ceci, ainsi que la profondeur de la réévaluation dans GSP et la politique d'authentification, établit une nouvelle référence pour la « protection continue ».

L'exécution à grande échelle de cette architecture d'évaluation de politique multi-étapes est vraiment époustouflante et unique à Identity Threat Protection et Okta. C'est une véritable première pour l'industrie. Bien que l'ampleur de l'évaluation des politiques soit, en effet, dictée par les événements (risque d'entité, changement d'IP, contexte du terminal, risque de session et comportement) qui déclenchent leur évaluation, elles ne peuvent être aussi efficaces que les actions qui y sont configurées.

Identity Threat Protection offre des options de pointe et extensibles pour les sessions Post auth vers GSP, la réévaluation de la politique d'authentification et l'évaluation de la politique de risque d'entité.

• Pour contrer la menace immédiate du détournement de session, l'authentification multifacteur en ligne ou la vérification est prise en charge comme action corrective pour toutes les défaillances dans la réévaluation des règles GSP et de la politique d'authentification. Cela ne fait qu'appliquer une action déjà configurée par les clients dans leur GSP / Politique d'authentification. L'action dans ces politiques était prévue pour l'émission conditionnelle d'une session Okta ou d'un accès à une application, et dans le cas de la Politique d'authentification, régie par des conditions de session strictes (déclenchées à chaque connexion à une ressource, à des intervalles fixes ou à l'expiration de la session Okta). Avec Identity Threat Protection, elle est désormais appliquée comme une étape de vérification, assurant ainsi la validation de tout changement enregistré pendant la durée de vie de la session.

Okta a été l'un des premiers à annoncer une protection en ligne contre le vol de tokens et va maintenant encore plus loin, où un détournement de session interceptant l'authentification multifacteur, lorsqu'il est déterminé comme abandonné, entraîne la révocation du cookie de session Okta d'authentification unique, forçant ainsi la réauthentification de tout accès dans les scénarios de vol de tokens.

• Dans certains cas, une modification du contexte de la session peut déclencher Continuous politique Evaluation, même sans requête au terminal Okta. Par exemple, lorsque Okta Verify interroge périodiquement les signaux du terminal, Okta peut déterminer un changement de contexte du terminal de manière asynchrone (hors bande) et déclencher une réévaluation de la politique. Dans de tels cas, le déclenchement de l'authentification multifacteur (MFA) n'est pas l'action appropriée car il n'y a pas de demande pour déclencher MFA et aucun widget de connexion sur lequel demander la vérification. Dans de tels cas et d'autres, Identity Threat Protection offre la possibilité unique de déclencher une action appelée « Déconnexion universelle » qui permet de limiter immédiatement l'accès, même hors bande.

La possibilité de prendre des mesures en ligne et en temps réel limitant l'accès via des signaux hors bande est un différenciateur de produit important pour Identity Threat Protection.

• Universal Logout est une fonctionnalité révolutionnaire et une autre première dans l'industrie. Okta pousse l'industrie à travailler vers un monde où la limitation de l'accès est réalisée dans toute sa profondeur. Dans ce monde, aucun artefact orphelin n'est autorisé et la chaîne d'héritage d'autorisation est démantelée honorablement de la même manière qu'elle est établie. L'organisme de normalisation d'Okta a ouvert la voie à un nouveau standard en matière de Révocation globale de tokens.

Il y a environ une dizaine d'années, Okta est devenu le premier fournisseur d'identité cloud du secteur à proposer l'authentification unique ou « Universal Login ». Avec Identity Threat Protection, Okta est le premier à offrir Universal Logout sur tous les terminaux et applications pris en charge.

Une première étape vers l'adoption de ce concept a été d'amener les meilleures applications à adopter la charte Universal Logout. Depuis l'annonce d'Early Access, nous avons considérablement étendu notre couverture, ainsi que le développement du standard. Avec Identity Threat Protection désormais généralement disponible, nous sommes heureux d'annoncer le Universal Logout support pour Box, Dropbox for Business, Microsoft Azure, Microsoft Defender for Cloud, Microsoft Defender for Endpoint, Microsoft Defender for O365, Microsoft Dynamics 365, Microsoft O365, Microsoft Power BI, Microsoft Power Platform et Visual Studio, Microsoft Sentinel, Microsoft SQL Server Mgmt Studio, Google Cloud Platform, Google Workspace, Pagerduty, Salesforce, Slack, Zendesk, Zoom et Surf Security (toutes les applications Microsoft supportent la déconnexion partielle. Elles ne prennent pas encore en charge l'invalidation de l'application. cookies de session. Le support Surf Security sera déployé le 14 août^e 2024.)

• Bien que la fonctionnalité Universal Logout sous le capot alimente l'action de déconnexion proposée dans « Actions post-authentification » ainsi que dans « Politique de risque d'entité », nous offrons un périmètre des données requises intelligent de la déconnexion et associons le rayon d'action de l'action en fonction du rayon d'action du type de risque impliqué. Ainsi, bien que la politique de risque d'entité prenne en charge toute la profondeur d'Universal Logout, les actions post-authentification garantissent que l'action de déconnexion prend en charge la révocation uniquement des applications et de la session Okta concernées. (Pour un traitement détaillé de ce sujet, veuillez consulter Révocations de déconnexion universelle.)
• Les actions dans Identity Threat Protection prennent également en charge l'extensibilité dans votre gestion des incidents et vos opérations informatiques. Identity Threat Protection s'intègre de manière transparente à des workflows afin que vous puissiez désormais intégrer et automatiser les activités et les processus de réponse de votre équipe, et obtenir des résultats de sécurité plus rapides et meilleurs. L'intégration native de Workflows implique que vous pouvez lancer un workflow à partir d'un ou de tous les déclencheurs suivants.
  • Réagir aux changements dans le contexte de l'adresse IP ou du terminal, au risque de session et/ou à l'évaluation du comportement
  • Pivoter à partir de la détection des risques liés aux entités
  • Intégrer nativement les workflows en tant qu'action pour les résultats de session post-authentification ou dans la politique de risque d'entité

Pour obtenir des résultats sur plus de 50 applications exploitant plus de 100 actions, Workflows with Identity Threat Protection offre des options complètes pour tenir la promesse de la réponse aux menaces d'identité.

Observabilité et informations avec pipeline de feedback

Un autre aspect de la réponse est le soutien aux opérations quotidiennes de sécurité informatique. Identity Threat Protection associe de riches tableaux de bord de reporting et des widgets de tableau de bord administrateur qui conseillent le déploiement du produit et garantissent aux administrateurs de sécurité

• La capacité de conserver des instantanés de données du risque pour les identités dans leur environnement,
• Un aperçu de la régression de la posture de sécurité post-authentification et des performances de sécurité de la configuration des politiques tout au long du cycle de vie de l'accès pour la base d'utilisateurs.
• Données pour stimuler l'action afin d'atténuer les risques manuellement ou via une politique
• Un moyen de fournir des commentaires au système afin qu'Identity Threat Protection devienne plus à l'écoute du comportement de l'organisation et des utilisateurs au fil du temps.

Le parcours de l'administrateur commence par des widgets dans le tableau de bord offrant une vue d'ensemble des violations de session, du risque utilisateur d'entité et des performances des politiques.

À partir de là, les clients peuvent explorer un domaine d'intérêt particulier via trois rapports.

• Le rapport sur les violations de session se concentre sur le reporting des modifications constatées dans une session Okta autorisée, telles qu'elles sont signalées via les requêtes reçues par rapport à cette session et les modifications de contexte détectées par Okta Verify. Ici, un client peut également valider la performance de la réponse politique établie pour sécuriser l'environnement face à ces changements. Il existe des informations permettant de faire un Deep Dive dans le type de risque qui se développe autour de certains changements et les actions d'atténuation qui peuvent être mises en place pour contrecarrer les activités malveillantes potentielles. C'est là qu'un administrateur peut déterminer la détection et la réponse aux attaques, telles que le détournement de session. Voici un aperçu de ce à quoi ressemble cette expérience.

• Ensuite, nous proposons deux rapports concernant le risque d'entité. Le rapport Utilisateurs à risque offre un aide-mémoire prêt à l'emploi pour les utilisateurs (entité) à risque dans l'organisation. Le rapport sur le risque d'entité approfondit
  • Les types et la fréquence des risques liés aux entités détectés
  • Quelles règles de politique interceptent ces détections de risque et celles qui continuent de s'échapper

Identity Threat Protection permet également à l'administrateur d'identité d'explorer en détail le risque développé. La page annuaire → People → utilisateur → {User} affichera désormais un onglet supplémentaire « Risk » dédié à la couverture des risques accumulés par l'utilisateur. Ici, un administrateur peut

• Examinez toutes les activités risquées des sept derniers jours associées à l'utilisateur et les changements constatés en termes d'adresse IP/emplacement, de contexte du terminal et de comportement.
• Explorez les données pertinentes du journal système concernant une assertion relative au contexte de session ou au risque d'entité détecté.
• Offrir un feedback au système afin qu'Okta puisse affiner les assertions de risque pour qu'elles soient plus pertinentes pour l'organisation au fil du temps.
• Choisissez de modifier le risque utilisateur en fonction de sources externes non intégrées à Okta (également disponible dans l'API).
• Résillier manuellement l'accès à l'aide de Universal Logout

Conclusion

Et voilà. Ce n'est pas vraiment fini, cependant, car nous ne faisons que commencer. Nous sommes extrêmement fiers de ce produit et enthousiastes quant à la valeur unique qu'il offre. 

Nous espérons que l'utilisation de ce produit vous aidera

• Protégez-vous contre les menaces d'identité courantes, y compris les attaques post-authentification, telles que la protection contre le détournement de session en ligne grâce à Okta AI.
• Renforcez votre pile de sécurité de premier plan existante et décloisonner la sécurité avec une sécurité holistique via le risque d’entité, alimentée par un maillage d’intelligence de signal partagée et soutenue par un framework de normes ouvertes.
• Tirez parti de la possibilité de résillier immédiatement l'accès à toutes/certaines applications, manuellement ou via l'orchestration des politiques.
• Protégez votre organisation contre les attaques sophistiquées et multi-étapes impliquant des identités qui s'étendent sur plusieurs surfaces d'attaque avec 
• protéger les mécanismes d'authentification unique (Single Sign-On, SSO) avec l'application de l'assurance d'authentification tout au long de la durée de vie de la session Okta.
• Assurez-vous que l'assurance d'accès aux applications requise par la politique lors de la connexion est appliquée en permanence pour toutes les applications pendant toute la durée de l'accès, et pas seulement pour les applications soumises à CAEP ou à l'application dans une requête d'authentification unique. 
• Détections de persistance, d'élévation des privilèges et de mouvement latéral : force brute d'authentification multifacteur, force brute d'application, Actions critiques par un utilisateur/administrateur, et plus encore, couplées à des centaines de détections tierces sur toutes les surfaces d'attaque.
• Bénéficiez du suivi Threat Intelligence propulsé par Okta de l'infrastructure sophistiquée de menace et de ses dernières TTP.
• Chaîne de marguerites risque d'utilisateur d'entité entre les fournisseurs d'identité ou augmenter manuellement le risque d'un utilisateur en fonction des informations déterminées par vos opérations de sécurité.
• Tirez parti de Okta Verify surveillant les modifications dans le contexte du terminal de l'utilisateur final afin que les sessions de vos utilisateurs soient protégées, même lorsqu'ils n'interagissent pas avec Okta.
• Enfin, un cadre de politiques de sécurité d'entité centré sur l'utilisateur.
• Bénéficiez de signaux collaboratifs : agissez lorsqu'un utilisateur signale : « Ce n'était pas moi. » Offrez des commentaires dans un Risk Engine avancé qui intègre votre IT-Sec.Ops.-déterminé assertions de renseignement sur le risque.
• ITP avec Workflows, permettant des résultats évolutifs en matière de sécurité et d'orchestration des workflows.
• Utiliser les rapports et widgets Rich Observability pour une vue d'ensemble.
• Enquêter sur les comportements à risque directement à partir de la page de profil d'un utilisateur.1

Nous parlerons plus en détail de la façon dont cette valeur est créée. Ce blog lance également une série de blogs. Surveillez les blogs suivants qui seront déployés à l'avenir.

• Convivialité et sécurité
• ITP et sa place dans l'écosystème Okta
• Okta dans l'écosystème de sécurité.
• Authentification continue et Risque
• Universal Logout
• Signaux partagés, mieux ensemble
• Workflows extensibles pour atteindre vos objectifs de sécurité et commerciaux

Le lancement d'Identity Threat Protection avec Okta AI marque une étape importante dans la lutte jusqu'à présent asymétrique contre les cybermenaces. Nous vous invitons aujourd'hui à vous joindre à nous dans ce voyage vers un avenir d'entreprise en ligne plus sûr. Identity Threat Protection est une référence (SKU) désormais disponible pour tous les clients de Workforce Identity Cloud dans le cloud public. Remarque : Nous nous efforçons de rendre Identity Threat Protection conforme aux normes FedRAMP et DoD Impact Level 4 (IL4) afin d'inclure ce service dans nos offres cloud Okta for Government Moderate, Okta for Government High et Okta for U.S. Military, mais Identity Threat Protection n'a pas encore atteint les niveaux de conformité applicables ou n'a pas été audité pour être inclus dans ces environnements réglementés.

Identity Threat Protection nécessite que vous exécutiez Okta Identity Engine, Universal Directory, Single Sign-On et Adaptive MFA. Identity Threat Protection exploite des aspects de Workflows qui sont satisfaits grâce à l'offre de workflows complémentaires disponible pour tous les clients Workforce Identity Cloud (bien que vous puissiez avoir besoin d'acheter des licences Workflows supplémentaires en fonction de votre utilisation). Ce produit est offert aux clients de la main-d'œuvre uniquement. Les organisations mixtes seront prises en charge. Les clients du secteur de l'éducation seront pris en charge. Le prix catalogue est de 4 $ par utilisateur et par mois. Veuillez contacter votre représentant Okta local pour obtenir plus de détails ou pour préparer un devis personnalisé à vos besoins. Pour un essai gratuit, veuillez contacter support.

Nous sommes impatients de fournir Identity Threat Protection à votre entreprise.