Identity Threat Protection com IA da Okta

…agora geralmente disponível

Uma questão de Segurança de Identidade

No mundo atual, cada vez mais baseado em nuvem, a identidade é a primeira (e em muitos casos, a única) impressão digital persistente que permite o acesso de um usuário aos ativos da organização. Como o plano de controle, a identidade abrange toda a pilha de tecnologia de TI da empresa e cruza os planos de dados ou acesso de dispositivo, rede e aplicativo. Portanto, não é de admirar que a identidade seja um alvo atraente e comum para ataques e comprometimentos.

De acordo com o OWASP Top 10, o “Broken Access Control” (Controle de Acesso Quebrado) foi o principal risco de segurança para aplicações web, com 94% das aplicações testadas apresentando alguma forma de controles de acesso quebrados. O vetor de ataque aqui evoluiu ao longo do tempo, com o roubo e a reprodução de tokens se tornando uma ameaça cada vez mais comum, especialmente implementada por atores de Ameaças Persistentes Avançadas (APT). Organizações com controles de verificação de acesso mais sofisticados precisam estar atentas a essa ameaça. Algumas das Táticas, Técnicas e Procedimentos (TTPs) de ataque mais importantes do MITRE para estabelecer acesso inicial, persistência, executar movimento lateral ou escalonamento de privilégios em ambientes modernos envolvem o comprometimento da Identidade (engenharia social, força bruta de credenciais, etc.) ou o direcionamento à Identidade (phishing, Business Email Compromise (BEC)). Os invasores raramente empregam um único método para atingir seus objetivos.

Atores de ameaças mostram crescente proficiência e disposição para lançar ataques de vários estágios, apoiados por meio de reconhecimento sistemático, que alavancam técnicas de reconhecimento de terreno e ferramentas sofisticadas (uma próspera indústria caseira de SaaS moderno agora alimentada por IA). Os riscos são altos — a Segurança de Identidade tem um impacto material nos resultados financeiros e no valor duradouro para os acionistas. No ano passado, a Comissão de Valores Mobiliários dos EUA (SEC) adotou a Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure rule that requires publicly traded companies to disclose material cybersecurity incidents and their cybersecurity risk management, strategy, and governance mechanisms to safeguard investors and markets.

A missão da Okta de habilitar com segurança que todos usem qualquer tecnologia nunca foi tão relevante. No Okta Secure Identity Commitment lançado no início deste ano, reconhecemos publicamente nossa responsabilidade de impulsionar todos os casos de uso de identidade em uma estrutura segura que protege essas identidades. Acreditamos que a Proteção contra Ameaças à Identidade com Okta AI é uma arma importante no arsenal defensivo que atende a muitas das necessidades de segurança de todo o nosso espectro de clientes, com foco principal na proteção contínua. Estamos animados em anunciar que a Proteção contra Ameaças à Identidade com Okta AI já está disponível para o público geral. Este é um momento seminal, com muitas novidades para o setor. Continue lendo para saber mais.

Segurança de Identidade sob a perspectiva do ITDR: A Necessidade de Proteção contra Ameaças de Identidade com Okta AI

A Detecção e Resposta a Ameaças de Identidade (ITDR) é frequentemente considerada a vanguarda na Segurança de Identidade. Cunhado pela primeira vez em 2022, Gartner define ITDR como uma “disciplina”, uma operação de segurança de TI que as organizações financiam para se protegerem do cenário crescente de ataques a identidades. Os objetivos do ITDR são amplamente compreendidos como:

• Monitoramento e análise contínuos da atividade do usuário em uma organização
• Detecção de atividade anômala representando comportamento de ataque
• Disponibilidade de medidas de resposta apropriadas para alcançar a correção que protege a Identidade e os dados
• Permitir a investigação de ameaças, apoiando a Resposta a Incidentes para determinar o escopo, a contenção e a remoção de ameaças e agentes de ameaças detectados

De acordo com um recente comunicado de imprensa da Gartner, até 2026, 90% de todas as organizações empresariais terão algum produto incorporado unificando sua abordagem para atingir as metas do ITDR.

Embora os objetivos do ITDR sejam bastante universais, a atividade que sustenta esses objetivos evoluiu junto com o cenário de TI e segurança em constante mudança. Até agora, a segurança de identidade tem se concentrado em proteger a cerimônia de autenticação.

Com a garantia criptográfica do Okta Verify FastPass, a segurança na autenticação pode ser considerada um problema tecnologicamente resolvido.

O comportamento do invasor parece validar essa premissa: um recente estudo de nossa equipe de Ciência de Dados indicou que a adoção do Okta Verify FastPass se correlacionou diretamente com um risco reduzido de identidades comprometidas.

No entanto, os invasores seguem os princípios do mínimo esforço.

Se a barreira de segurança na cerimônia de autenticação for muito alta, os invasores tentarão comprometer outras facetas da superfície empresarial. Em um mundo onde comprometer identidades na autenticação se torna um desafio criptográfico cada vez mais difícil, as cerimônias pós-autenticação se tornam uma área mais atraente para focar o ataque. Dados recentes indicam que o roubo, a manipulação e a reprodução de tokens se tornaram áreas de exploração cada vez mais interessantes. A Spycloud compartilhou recentemente que conseguiu recapturar 1,87 bilhão de registros de malware de cookies de sessão vinculados a funcionários da Fortune 1000 em 2022. (O número total de registros de cookies de sessão recapturados foi de quase 22 bilhões.) A natureza do roubo de token como um ataque TTP requer o comprometimento de outra superfície de ameaça (SO, dispositivo, navegador, etc.) para pivotar para a superfície de ameaça de identidade para comprometimento. Esta é uma metáfora para a natureza da segurança e o padrão de ataque mais amplo que se desenvolve hoje: Pivotar de superfícies de ameaças menos seguras em um mundo baseado na nuvem.

Um cliente pode fazer tudo certo e implantar as formas mais fortes de autenticação, mas a identidade será tão forte quanto a superfície de ameaça de interseção mais fraca entre rede, dispositivo, sistema operacional, navegador e aplicativo. É essa necessidade que o Identity Threat Protection busca atender. É uma necessidade duradoura: Acreditamos que, à medida que o mundo evolui rapidamente em direção a novos planos de interação homem-máquina e modalidades de produtividade, troca financeira e consumo de informações, as identidades sempre precisarão de proteção contínua, por exemplo: em rampas de acesso, bem como na interseção dessas potenciais superfícies de ameaça. O foco duradouro do Identity Threat Protection será, portanto:

• Para encontrar e proteger os clientes onde eles estão, independentemente de seu estágio de maturidade
• Para oferecer ferramentas para triagem de sua postura de segurança como parte das operações de segurança (de identidade).
• Para evoluir com as últimas inovações tecnológicas e padrões de ataque, usando as mais recentes tecnologias e insights para proteger os clientes em todos os níveis da curva de maturidade

Embora o ITDR possa sempre permanecer uma disciplina, o Identity Threat Protection com Okta AI tenta unificar essa disciplina com um arsenal de ferramentas de detecção e resposta para clientes com todas as posturas de segurança.

Mantendo o foco de longo prazo em perspectiva, a Proteção contra Ameaças de Identidade em GA tenta oferecer soluções para os seguintes problemas hoje:

• Dissolver a visão fragmentada da Segurança de Identidade em várias superfícies de ameaças
• Melhore o controle e a visibilidade sobre o acesso pós-autenticação
• Habilitar respostas manuais e descentralizadas a ameaças de identidade a partir de sinais de risco holísticos
• Equilibre o atrito e a produtividade do usuário com a segurança

Vamos ver como o produto alcança esses objetivos.

O que é o Identity Threat Protection com Okta AI?

O Identity Threat Protection é uma plataforma ITDR que permite proteção contínua para todos os seus usuários. Ele consegue isso por meio de

• Aproveitando um mecanismo de risco poderoso, que usa técnicas de IA/machine learning (ML), voltado para fornecer detecções para todo o espectro de TTPs de ataque de Identidade
• Integrando perfeitamente o mecanismo de risco para funcionar com o restante de seu stack de segurança, alimentando as integrações mais profundas e ricas em um poderoso conjunto de detecção, refletindo o risco de Identidade de todo o ecossistema de fornecedores de segurança
• Aprofundar a história da avaliação de políticas para garantir que o acesso seja avaliado continuamente e esteja sempre atualizado com as variáveis ambientais que regem o acesso em todos os pontos no tempo
• Permitindo ações líderes de classe para reagir a ameaças em linha e em tempo real
• Oferecendo uma estrutura abrangente de relatórios e eventos que permite coletar um panorama geral da postura de risco/ameaça de Identidade e se aprofundar para realizar investigações de ameaças quando necessário.

Seis áreas de funcionalidades descrevem a amplitude da Proteção contra Ameaças de Identidade:

• Avaliação Contínua de Risco
• Shared Signals (Framework) Pipeline
• Avaliação Contínua de Políticas
• Resposta de Risco de Precisão
• Visibilidade e Insights
• Pipeline de Feedback

Vamos dar uma olhada nessas áreas de recursos para entender melhor a funcionalidade e o valor.

Avaliação Contínua de Risco

O risco na Okta é definido como a probabilidade de comprometimento. É classificado em um nível de risco triplo: baixo, médio ou alto. Na autenticação multifator adaptativa (MFA), o risco é calculado no ponto de autenticação. Isso é comumente conhecido como risco de login.

Com o Identity Threat Protection, a Okta apresenta o conceito de risco de sessão. O mecanismo de risco da Okta avalia cada solicitação pós-autenticação. Ele verifica se há alterações no IP (zona) e no contexto do dispositivo. O Okta Verify FastPass permite a coleta de sinal do dispositivo quando uma solicitação é enviada para a Okta e periodicamente depois também. Se a alteração ou regressão ao estado de segurança fornecido no login for descoberta em um dispositivo, o risco e o comportamento serão recalculados para alcançar a simultaneidade com este contexto.

Aqui, devemos observar que, mesmo antes de introduzirmos o Identity Threat Protection, o Okta Verify dependia da coleta de sinais nativos e da integração com duas das principais ofertas de proteção de dispositivos do setor. O Okta Verify pode ingerir pontuações de risco do CrowdStrike e sinais da Central de Segurança do Windows para aumentar a postura do dispositivo disponível para a política. O CrowdStrike fornece segurança de endpoint e inteligência contra ameaças, integrando-se ao Okta para detectar e responder a ameaças direcionadas a endpoints. 

Essa integração ajuda a proteger os dispositivos contra malware, ransomware e outras ameaças avançadas, aproveitando a inteligência contra ameaças em tempo real e os recursos de resposta automatizada. A Central de Segurança do Windows oferece proteção contra vírus e ameaças, proteção de conta, proteção de firewall e rede, controle de aplicativos e navegador, desempenho e integridade do dispositivo e muito mais para dispositivos Windows. Com o Identity Threat Protection, isso agora é disponibilizado para a reavaliação da política de autenticação. (Analisamos mais detalhadamente a reavaliação de políticas na seção: “Avaliação Contínua de Políticas com Resposta de Risco de Precisão.”

Para reduzir imprecisões nas asserções de risco e permitir que o mecanismo de risco evolua mais rápido que o invasor, o Identity Threat Protection emprega heurísticas avançadas e ML com patente pendente para impedir o comprometimento da sessão. Variáveis ambientais (IP/dispositivo) são avaliadas em relação ao bom comportamento conhecido e a solicitação é avaliada quanto a evidências de indicadores de comprometimento (IOC).

O risco de sessão não só ajuda a identificar o comportamento de sequestro de sessão, mas também o comportamento indesejado que ocorre na organização e que não era evidente até o momento, mas agora pode ajudar a resolver inconsistências de política e garantia, acionando a correção e uma melhor postura e resultados de segurança.

Há um argumento a ser feito para padrões de ataque que têm um raio de explosão além do escopo de uma sessão de acesso Okta. Por exemplo, tentar persistência ou forçar o acesso ao Okta ou a um aplicativo tem ramificações que vão além de uma sessão no tempo. Para delimitar e remediar tais ataques, a Okta introduziu o risco de entidade. Como o usuário é a primeira entidade para a qual oferecemos suporte à avaliação de risco, isso também é às vezes denominado risco de usuário de entidade. Na GA, o Identity Threat Protection oferece suporte às seguintes detecções de risco de usuário de entidade com curadoria nativa:

• Ação Crítica da Entidade do IP de Ameaça Alta: para detectar as tentativas de um invasor de obter persistência
• Acesso Suspeito ao Aplicativo: para detectar a tentativa de um invasor de coletar cookies de sessão do aplicativo
• Ataque de Força Bruta Suspeito: para detectar ataques de força bruta de MFA para obter acesso forte baseado em autenticação à organização
• Okta Threat Intelligence: para detectar atividades sofisticadas de agentes de ameaças ou o uso de infraestrutura de phishing para orquestrar ataques

A Proteção contra Ameaças à Identidade também oferece suporte ao crowdsourcing da atividade do invasor, com opções para um administrador ou um usuário final relatar o risco e o comportamento de acesso desconhecido ao sistema. 

Mas o escopo do produto não termina aí. O Risco de Entidade também escopa o reflexo de um ataque em outras superfícies de ameaça (ou seja: dispositivo, rede, aplicativo) no que se refere à identidade.

O objetivo do Risco de Entidade é, portanto, não apenas detectar ataques além do escopo de uma sessão de acesso, mas também garantir que as organizações que usam os melhores provedores de segurança não sofram com seus produtos de segurança operando em silos que resultam de definições míopes e unidimensionais de ameaças.

O Risco de Entidade como conceito também se diferencia do Risco de Sessão por escopo e por ser mais dinâmico e multidimensional. Assim, serve como um reflexo mais próximo da verdadeira probabilidade de comprometimento no que se refere ao usuário.

A multidimensionalidade do Risco da Entidade visa impedir que agentes de ameaças sofisticados se movam lateralmente (pivotando) das superfícies de ameaças à vontade. Esse valor é entregue por meio do Shared Signals Pipeline. 

Pipeline do Shared Signals Framework

Aqui, vamos um passo além. No paradigma de Risco de Sessão e mudança de contexto de IP/dispositivo, o mecanismo de detecção de risco se estende apenas até o ponto em que o usuário interage com Okta (seja diretamente com a autenticação, token ou outro endpoint da Okta ou indiretamente, com o Okta Verify) dentro do escopo de uma sessão. Mas, com os atuais padrões de ataque de ameaças persistentes avançadas e a natureza dos ataques de vários estágios, precisávamos detectar consistentemente ataques além do escopo da sessão, com detecções de Risco de Entidade. As detecções de Risco de Entidade, alimentadas por uma combinação de detecções nativas e uma integração de Pipeline do Shared Signals Framework (SSF) com fornecedores de segurança que protegem outras superfícies de ameaças, podem eliminar ataques baseados em Identidade originados de superfícies de ameaças não relacionadas à Identidade.

Hoje, um ambiente SSO típico está repleto de tokens de longa duração e cookies de sessão. Portanto, as interações com o provedor de identidade podem ser raras. 

A ideia por trás do Pipeline SSF) foi baseada no princípio de que os produtos de segurança que protegem qualquer superfície de ameaça devem ser capazes de fazer determinações de risco holísticas com base em indicadores de comprometimento vistos em todas as superfícies de ameaça que se cruzam.

O objetivo, portanto, era alavancar os Indicadores de Comprometimento (IoCs) e o risco desenvolvido em outras superfícies de ameaça que se cruzam com a identidade para oferecer um risco holístico na entidade (usuário). A parceria de segurança que evoluiu foi uma de iguais entre os provedores de eventos de segurança e a Okta, com cada participante se beneficiando do ecossistema assim criado. Cada provedor de eventos de segurança, incluindo a Okta, pode instanciar um par de transmissor e receptor SSF e trocar sinais com base em um padrão aberto ratificado pelo grupo de trabalho Shared Signals da Open IDentity Foundation, chamadoContinuous Access Evaluation profile.

O CAEP opera dentro de um modelo pub-sub restrito que permite a publicação contínua de eventos (de risco/IOC) à medida que ocorrem, alinhando-se assim com os objetivos de uma proteção verdadeiramente “contínua”.

Hoje, a Okta oferece integrações usando o SSF-CAEP que permite o compartilhamento de inteligência de sinais com provedores de eventos de segurança que são nomes importantes em suas áreas de atuação. Estes incluem Cloudflare, Jamf, Palo Alto Networks, Rubrik, SGNL, Zimperium e Zscaler. Tivemos o cuidado de garantir que esses parceiros cubram um bom equilíbrio de superfícies de ameaças (XDR, CASB/ZTNA/SASE, UEM, etc.).

Heróis usam um CAEP!

O Identity Threat Protection é tanto um produto quanto uma experiência em capitalismo saudável. É a prova de que as empresas de segurança podem se unir com sucesso e construir um produto que beneficie os clientes, para que o todo seja maior que a soma das partes individuais. De fato, embora a Jamf tenha sido a primeira parceira a anunciar a integração como transmissora CAEP com o Okta como receptor CAEP, a ideia ganhou impulso suficiente para que o Apple Business Manager também anunciasse o suporte para este ecossistema. Okta é o primeiro parceiro transmissor CAEP a anunciar suporte para troca de contexto de segurança de identidade com o Apple Business Manager via CAEP-SSF. Muitos dos parceiros transmissores CAEP da Okta também expressaram interesse em consumir nossos sinais de receptor CAEP. Clientes com grandes pegadas de identidade também expressaram interesse em integrar sinais de inteligência selecionados internamente ao SSF para que o Risco da Entidade em sua organização locada pelo Okta se beneficie desta integração. Agradecemos esses desenvolvimentos. Um mundo interconectado e de primeira linha, alimentado por uma pilha de segurança heterogênea, permite um cenário muito mais seguro, e estamos felizes em desempenhar nosso humilde papel nele.

A construção de uma plataforma Shared Signals Framework liberou uma sinergia incrível. A melhor parte é que os clientes agora têm uma resposta poderosa à atividade de ameaças sofisticadas com custo de integração mínimo. 

Sinais e Eventos Compartilhados, com o CAEP no Identity Threat Protection com Okta AI, desencadeou centenas de detecções em todas as superfícies de ameaças corporativas aproveitadas para proteger identidades em diversos ecossistemas de TI, permitindo a proteção para uma variedade de casos de uso. É tão poderoso pensar que isso é apenas o começo.

Aqui estão alguns desses casos de uso.

Apple Business Manager

Gerenciamento e Conformidade de Dispositivos: O Apple Business Manager se integra ao Okta para gerenciar dispositivos Apple em toda a organização. Isso ajuda a aplicar políticas de segurança, gerenciar configurações de dispositivos e garantir a conformidade com os padrões organizacionais.

Cloudflare

Security Service Edge (SSE): A plataforma SSE da Cloudflare ajuda as organizações a proteger o acesso, defender-se contra ameaças e proteger dados com princípios de Zero Trust. Ao integrar-se com a Okta, as organizações podem impor controles de acesso baseados em identidade para cada solicitação em aplicativos web, privados e SaaS, garantindo que apenas usuários autorizados possam acessar recursos protegidos.

Jamf

Segurança de Dispositivos Móveis: A Jamf protege dispositivos Mac e móveis, fornecendo detecção e resposta a ameaças como malware, vulnerabilidades conhecidas, aplicativos arriscados, versões vulneráveis do sistema operacional e muito mais. Com Jamf e Okta, apenas dispositivos compatíveis podem acessar os recursos corporativos, evitando acesso não autorizado.

Netskope

Segurança na Nuvem e Proteção de Dados: O Netskope One se integra ao Okta para fornecer insights e controle sobre os principais componentes de uma arquitetura SSE. Ele ajuda a proteger dados confidenciais, monitorando o uso de aplicativos na nuvem e aplicando políticas de proteção de dados. Essa integração aumenta a visibilidade das atividades na nuvem e ajuda a mitigar os riscos associados aos serviços na nuvem para estender o perímetro Zero Trust com as Zonas de Rede da Okta e a rede Netskope NewEdge.

Palo Alto Networks

Segurança de Rede e Nuvem e Detecção de Ameaças: O Cortex XSIAM da Palo Alto Networks se integra ao Okta para fornecer detecção avançada de ameaças e resposta automatizada em toda a rede. Isso ajuda a detectar e responder a ciberameaças sofisticadas, garantindo uma segurança de rede abrangente. Além disso, a solução Cortex ITDR oferece valor adicional com o Okta para identificar recursos avançados de ameaças internas.

Rubrica

Segurança de Dados: A Rubrik Security Cloud, uma plataforma de segurança de dados que oferece resiliência cibernética completa em toda a empresa, nuvem e SaaS, se integra com a Okta para ajudar os clientes a detectar proativamente mudanças nos níveis de risco de acesso a dados confidenciais dos usuários e automatizar a correção.

SGNL

Controle de acesso e governança: a SGNL fornece soluções de controle de acesso que se integram ao Okta para aplicar políticas de acesso granular e regras de governança. Isso ajuda a garantir que apenas usuários autorizados tenham acesso a informações e sistemas confidenciais, reduzindo o risco de acesso não autorizado.

Zimperium

Defesa contra Ameaças Móveis: O Mobile Threat Defense (zIPS) monitora e protege dispositivos móveis contra ameaças avançadas, incluindo malware e ataques de rede. Essa integração garante que os dispositivos móveis que acessam recursos corporativos estejam seguros e em conformidade com as políticas de segurança.

Zscaler

Segurança da Internet, Prevenção contra Ameaças e Movimento Lateral: O Zscaler Deception usa sistemas e dados de isca para fornecer detecção precoce de alta fidelidade de ataques direcionados e ameaças internas. Ele se integra perfeitamente ao Okta, compartilhando sinais de ataque detalhados com o Okta. Essa integração permite controles de acesso adaptativos em tempo real, mitigando efetivamente os riscos de movimento lateral dentro da rede.

Avaliação Contínua de Política com Resposta de Risco de Precisão

A Avaliação Contínua de Risco representa apenas metade do valor da proteção contínua. A Avaliação Contínua de Risco é combinada com a Avaliação Contínua de Política para fornecer o benefício múltiplo da proteção contínua. A política avaliada, portanto, pode acumular benefícios em vários níveis.

• O nível primário é a avaliação contínua da Global Session Policy (GSP). No paradigma de Proteção contra Ameaças de Identidade, os construtos de GSP (regras de política) que determinam a criação de sessões SSO da Okta garantem que as sessões estejam protegidas contra violação de GSP, mesmo após a emissão da sessão. Ele permite restringir a aplicação de ações pós-autenticação, mesmo se os requisitos da Política de Autenticação (em um aplicativo específico) associada à sessão Okta forem atendidos. Ele permite restringir a aplicação de ações pós-autenticação, mesmo se os requisitos da Política de Autenticação (em um aplicativo específico) associada à sessão Okta forem atendidos. Isso oferece aos clientes mais uma camada de defesa, garantindo que as lacunas de política e a má configuração não se tornem um motivo para regressão na postura de segurança e na garantia de autenticação.
• Tanto o GSP quanto a Authentication Policy são avaliados para cada solicitação e durante todo o ciclo de vida do contexto da sessão.
• A Authentication Policy é avaliada não apenas para o aplicativo em uma solicitação, mas para todos os aplicativos vinculados à sessão Okta associada à solicitação.
• Se uma mudança no contexto da sessão for determinada sem uma solicitação em um endpoint da Okta, é porque tal mudança é gerada pela pesquisa contínua do Okta Verify no endpoint. O Okta Verify está monitorando continuamente as mudanças no contexto do dispositivo. Nesta situação, todas as regras de política para todos os aplicativos associados a todas as sessões vinculadas ao ID do dispositivo são avaliadas.
• Política de Risco da Entidade é um novo tipo de política introduzido na estrutura de políticas da Okta. Enquanto o GSP e a Política de Autenticação se concentram na sessão Okta e no aplicativo acessado, respectivamente, a Política de Entidade se concentra na Identidade. A identidade é o assunto. As regras de política configuradas na Política de Entidade são acionadas por eventos, o que significa que são executadas automaticamente assim que o Risco da Entidade é detectado. Isso, juntamente com a profundidade da reavaliação no GSP e na Política de Autenticação, estabelece um novo benchmark para “proteção contínua”.

A execução em escala desta arquitetura de avaliação de política multiestágios é verdadeiramente impressionante e exclusiva do Identity Threat Protection e da Okta. Este é um verdadeiro pioneirismo para a indústria. Embora a magnitude da avaliação da política seja, de fato, ditada pelos eventos (risco da entidade, alteração no IP, contexto do dispositivo, risco da sessão e comportamento) que acionam sua avaliação, elas só podem ser tão eficazes quanto as ações configuradas nelas.

O Identity Threat Protection oferece opções extensíveis e líderes de classe para sessões pós-autenticação para GSP e reavaliação da Política de Autenticação e avaliação da Política de Risco de Entidade.

• Para combater a ameaça imediata de sequestro de sessão, o MFA em linha ou a verificação é suportado como uma ação de remediação para todas as falhas na reavaliação da regra de GSP e da Política de Autenticação. Isso apenas impõe uma ação já configurada pelos clientes em sua GSP / Política de Autenticação. A ação nessas políticas foi definida para a emissão condicional de uma sessão Okta ou acesso ao aplicativo e, no caso da Política de Autenticação, governada por condições de sessão estritas (acionadas em cada logon de recurso, períodos de tempo fixos ou após o vencimento da sessão Okta). Com a Proteção contra Ameaças de Identidade, agora é imposta como uma etapa de verificação, garantindo assim a validação de quaisquer alterações registradas durante o tempo de vida da sessão.

A Okta foi uma das primeiras a anunciar a proteção in-line para roubo de token, e agora vai um passo além, onde um sequestro de sessão interceptando o MFA, quando determinado como abandonado, resulta na revogação do cookie de sessão do Okta SSO, forçando assim a reautenticação de todo o acesso em cenários de roubo de token.

• Em certos cenários, uma mudança no contexto da sessão pode acionar Avaliação Contínua de Política, mesmo sem uma solicitação no endpoint Okta. Por exemplo, quando o Okta Verify pesquisa periodicamente por sinais de dispositivo, a Okta pode determinar uma mudança no contexto do dispositivo de forma assíncrona (fora de banda) e acionar a reavaliação da política. Em tais casos, acionar o MFA não é a ação apropriada porque não há solicitação para acionar o MFA e nenhum widget de inscrição no qual solicitar a verificação. Em tais e outros cenários, a Proteção contra Ameaças de Identidade oferece a capacidade única de acionar uma ação chamada “Logout Universal” que ajuda a restringir o acesso imediatamente, mesmo fora de banda.

A capacidade de tomar medidas in-line e em tempo real, restringindo o acesso por meio de sinais out-of-band, é um importante diferencial de produto para o Identity Threat Protection.

• O Universal Logout é um recurso inovador e outro pioneiro no setor. A Okta está impulsionando o setor a trabalhar em direção a um mundo onde a restrição de acesso seja alcançada em sua profundidade máxima. Neste mundo, não são permitidos artefatos órfãos e a cadeia de herança de autorização é desmantelada honrosamente da mesma forma que é estabelecida. O órgão de padrões da Okta abriu caminho para um novo padrão em Global Token Revocation.

Há cerca de uma década, a Okta se tornou o primeiro provedor de Identidade em nuvem do setor a oferecer SSO ou “Universal Login”. Com o Identity Threat Protection, a Okta é a primeira a oferecer Universal Logout em todos os dispositivos e aplicativos suportados.

Um primeiro passo para adotar este conceito foi fazer com que os principais aplicativos adotassem a carta do Logout Universal. Desde o anúncio do Acesso Antecipado, expandimos nossa cobertura consideravelmente, juntamente com o desenvolvimento do padrão. Com a Proteção contra Ameaças de Identidade agora geralmente disponível,  temos o prazer de anunciar o suporte ao Logout Universal para Box, Dropbox for Business, Microsoft Azure, Microsoft Defender for Cloud, Microsoft Defender for Endpoint, Microsoft Defender for O365, Microsoft Dynamics 365, Microsoft O365, Microsoft Power BI, Microsoft Power Platform e Visual Studio, Microsoft Sentinel, Microsoft SQL Server Mgmt Studio, Google Cloud Platform, Google Workspace, Pagerduty, Salesforce, Slack, Zendesk, Zoom e Surf Security (Todos os aplicativos da Microsoft suportam logout parcial. Eles ainda não suportam a invalidação de cookies de sessão de aplicativos. O suporte do Surf Security será lançado em 14 de agosto^th, 2024.)

• Embora a funcionalidade Logout Universal nos bastidores alimente a ação de logout oferecida em “Ações Pós-Autenticação”, bem como em “Política de Risco de Entidade”, oferecemos escopo inteligente de logout e mapeamos o raio de explosão da ação com base no raio de explosão do tipo de risco envolvido. Assim, enquanto a Política de Risco de Entidade suporta a profundidade total do Logout Universal, as Ações Pós-Autenticação garantem que a ação de logout suporte a revogação apenas dos aplicativos relevantes e da sessão Okta em consideração. (Para um tratamento detalhado disso, consulte revogações de Logout Universal.)
• As ações no Identity Threat Protection também oferecem extensibilidade ao seu gerenciamento de incidentes e operações de TI. O Identity Threat Protection se integra perfeitamente ao Workflows para que agora você possa integrar e automatizar as atividades e processos de resposta de sua equipe e obter resultados de segurança melhores e mais rápidos. A integração nativa do Workflows implica que você pode iniciar um fluxo de trabalho a partir de um ou todos os seguintes gatilhos.
  • Reagir a mudanças no contexto de IP ou dispositivo, risco de sessão e/ou avaliação de comportamento
  • Pivotar na detecção de risco de entidade
  • Integre nativamente os fluxos de trabalho como uma ação para os resultados da sessão pós-autenticação ou na política de risco da entidade

Para alcançar resultados em mais de 50 aplicativos, aproveitando mais de 100 ações, Workflows com Identity Threat Protection oferecem opções abrangentes para a promessa de resposta a ameaças de identidade.

Observabilidade e Insights com Pipeline de Feedback

Outro aspecto da resposta é o suporte às operações diárias de TI e segurança. Identity Threat Protection combina painéis de relatórios avançados e widgets de painel de administração que aconselham a implantação do produto e garantem que os administradores de segurança tenham

• A capacidade de manter snapshots baseados em dados do risco para identidades em seu ambiente,
• Uma visão da regressão na postura de segurança pós-autenticação e do desempenho de segurança da configuração da política ao longo da vida útil do acesso para a base de usuários
• Dados para impulsionar a ação para mitigar o risco manualmente ou via política
• Uma forma de fornecer feedback ao sistema para que o Identity Threat Protection se torne mais sintonizado com o comportamento da organização e dos usuários ao longo do tempo.

A jornada do administrador começa com widgets no painel, oferecendo uma visão geral das violações de sessão, risco do usuário da entidade e desempenho da política.

A partir daí, os clientes podem detalhar qualquer área de interesse específica por meio de três relatórios.

• O Relatório de Violações de Sessão se concentra em relatar as mudanças observadas em uma sessão Okta autorizada, conforme relatado por meio de solicitações recebidas contra essa sessão e alterações de contexto detectadas pelo Okta Verify. Aqui, um cliente também pode validar como a resposta da política estabelecida para proteger o ambiente se comporta em relação a essas mudanças. Há informações para se aprofundar no tipo de risco que se desenvolve em torno de certas mudanças e nas ações de mitigação que podem ser estabelecidas para frustrar atividades maliciosas potenciais. É aqui que um administrador pode determinar a detecção e a resposta a ataques, como o sequestro de sessão. Aqui está uma prévia de como essa experiência se parece.

• Em seguida, oferecemos dois relatórios sobre Risco da Entidade. O relatório Usuários em Risco oferece um guia prático para usuários (entidade) de risco na organização. O Relatório de Risco da Entidade investiga mais a fundo
  • Os tipos e a frequência do risco de entidade detectado
  • Quais regras de política interceptam essas detecções de risco e aquelas que continuam a escape

     

O Identity Threat Protection também permite que o administrador de Identidade detalhe o risco desenvolvido. A página Diretório → Pessoas → Usuário → {User} agora mostrará uma aba adicional de “Risco” dedicada a cobrir o risco acumulado pelo usuário. Aqui, um administrador pode

• Analise toda a atividade arriscada nos últimos sete dias associada ao usuário e as mudanças observadas em termos de IP/localização, contexto do dispositivo e comportamento.
• Detalhar via system log para dados relevantes em torno de uma declaração para contexto de sessão ou risco de entidade detectado.
• Ofereça feedback ao sistema para que a Okta possa ajustar as asserções de risco para que sejam mais relevantes para a organização ao longo do tempo.
• Escolha modificar o risco do usuário com base em fontes externas não integradas ao Okta (também disponível na API).
• Revogar manualmente o acesso usando o Universal Logout.

   

Conclusão

E é isso. Mas está longe de ser o fim, porque estamos apenas começando. Estamos imensamente orgulhosos deste produto e entusiasmados com o valor único que ele oferece. 

Esperamos que o uso deste produto ajude você

• Proteja-se contra ameaças de Identidade comuns, incluindo ataques pós-autenticação, como proteção de sequestro de sessão in-line aproveitando o Okta AI.
• Capacite sua melhor pilha de segurança da categoria existente e dissolva os silos de segurança com segurança holística por meio do risco de entidade, alimentado por uma malha de inteligência de sinal compartilhada e apoiado por uma estrutura de padrões abertos.
• Aproveite a capacidade de revogar o acesso a todos/aplicativos específicos imediatamente, manualmente ou por meio da orquestração de políticas.
• Proteja sua organização contra ataques sofisticados de vários estágios envolvendo identidades que abrangem superfícies de ameaças com 
• proteja os mecanismos de single sign-on (SSO) com a aplicação de garantia de autenticação ao longo da vida útil da sessão Okta.
• Garanta que a garantia de acesso ao aplicativo exigida pela política no login seja aplicada continuamente para todos os aplicativos durante a duração do acesso e não apenas para aplicativos sujeitos a CAEP ou ao aplicativo em uma solicitação de SSO. 
• Detecções para persistência, escalonamento de privilégios e movimentação lateral: MFA Brute Force, App Brute Force, Ações Críticas por um Usuário/Admin e muito mais, juntamente com centenas de detecções de terceiros em todas as superfícies de ameaças.
• Beneficie-se do Inteligência contra Ameaças com tecnologia Okta rastreando infraestrutura de ameaças sofisticadas e seus TTPs mais recentes.
• Encadeie o risco do usuário da entidade entre provedores de identidade ou eleve manualmente o risco de um usuário com base na inteligência determinada por suas operações de segurança.
• Aproveite as alterações de monitoramento do Okta Verify no contexto do dispositivo do usuário final para que as sessões de seus usuários estejam protegidas, mesmo quando não estiverem interagindo com o Okta.
• Finalmente, uma estrutura de política de entidade centrada no usuário
• Beneficie-se de sinais de crowdsourcing: tome uma atitude quando um usuário relatar: "Não fui eu". Ofereça feedback em um mecanismo de risco avançado que incorpora suas decisões de segurança de TI. afirmação de inteligência sobre risco.
• ITP com Workflows, permitindo segurança extensível e resultados de orquestração de negócios.
• Use relatórios e widgets Rich Observability para uma visão geral.
• Investigue comportamentos de risco diretamente na página de perfil de um usuário.

Falaremos com mais detalhes sobre como esse valor é criado. Este blog também inicia uma série de blogs. Fique atento aos seguintes blogs que serão lançados no futuro.

• Usabilidade e segurança
• ITP e seu lugar no ecossistema Okta
• Okta no ecossistema de segurança
• Autenticação Contínua e Risco
• Universal Logout
• Shared Signals, melhor juntos
• Workflows extensíveis para atender às suas metas de segurança e negócios

O lançamento da Proteção contra Ameaças de Identidade com Okta AI marca um marco significativo na luta até então assimétrica contra as ciberameaças. Convidamos você hoje a se juntar a nós nesta jornada em direção a um futuro empresarial online mais seguro. Proteção contra Ameaças de Identidade é uma SKU agora disponível para todos os clientes do Workforce Identity Cloud na nuvem pública. Observação: estamos trabalhando para tornar a Proteção contra Ameaças de Identidade compatível com FedRAMP e DoD Impact Level 4 (IL4) para incluir este serviço em nossas ofertas de nuvem Okta for Government Moderate, Okta for Government High e Okta for U.S. Military, mas a Proteção contra Ameaças de Identidade ainda não atingiu os níveis de conformidade aplicáveis ou foi auditada para inclusão nesses ambientes regulamentados.

O Identity Threat Protection exige que você execute o Okta Identity Engine, Universal Directory, Single Sign-On e Adaptive MFA. O Identity Threat Protection aproveita aspectos dos Workflows que são atendidos por meio da oferta de workflows complementares disponível para todos os clientes do Workforce Identity Cloud (embora você possa precisar adquirir licenças adicionais do Workflows com base no seu uso). Este produto é oferecido apenas a clientes da força de trabalho. Organizações mistas serão suportadas. Clientes da área de educação serão suportados. O preço de tabela é de US$ 4 por usuário por mês. Entre em contato com seu representante local da Okta para obter mais detalhes ou para preparar uma cotação personalizada para suas necessidades. Para um teste gratuito, entre em contato com o support.

Estamos ansiosos para fornecer o Identity Threat Protection para sua empresa.