Identity Threat Protection da Okta: resultados reais e boas práticas

A Okta realiza dezenas de bilhões de autenticações de sucesso todos os meses e, ao mesmo tempo, bloqueia bilhões de solicitações mal-intencionadas. Com o Identity Threat Protection (ITP), ela agora expande essa proteção além da autenticação inicial para ajudar a proteger todo o ciclo de vida da identidade. As detecções do ITP são mais inteligentes porque são continuamente aprimoradas pelos insights de todo o ecossistema da Okta. Para demonstrar a profundidade e o impacto do ITP, vamos abordar três tópicos principais neste blog:

• Por que escolher o ITP e como ele funciona.
• Mostrar estatísticas do mundo real e os benefícios obtidos por clientes que já o adotaram. 
• Recomendações de especialistas para aproveitar melhor o ITP.

Por que a proteção de identidade não pode parar no login

A Okta é um dos principais provedores de identidade e, por isso, está em uma posição única para identificar as Táticas, Técnicas e Procedimentos (TTPs) emergentes usados em ataques baseados em identidade. Os invasores usam uma variedade de TTPs que dependem do uso de credenciais comprometidas, infraestrutura de phishing sofisticada, tokens de identidade roubados e outros métodos. 

O uso de autenticadores resistentes a phishing protege a autenticação e impede o roubo de tokens de sessão no login. No entanto, não protege contra cenários em que os tokens são roubados após a autenticação. Sessões ativas podem ser roubadas a qualquer momento, mesmo quando não estão sendo usadas pelos usuários. À medida que os adversários aprimoram suas TTPs, as próprias identidades dos usuários também podem ser comprometidas. O ITP aborda essas lacunas de segurança introduzindo os seguintes recursos:

• Avaliar o risco da sessão: avalia continuamente as ações realizadas durante uma sessão de usuário ativa, verificando a conformidade com as políticas de acesso e verificando se está sendo usada pelo proprietário da conta correto.
• Avaliar o risco do usuário: avalia continuamente as atividades associadas a um usuário (mesmo quando o usuário não tem uma sessão ativa) para ajudar a garantir que a identidade dele não seja comprometida.
• Configurar respostas automatizadas: fornece a capacidade para administradores de TI e segurança configurarem respostas automatizadas para mitigar ameaças detectadas.

Risco da sessão: proteção em tempo real contra o sequestro de sessão

O conceito de risco da sessão introduzido como parte do ITP permite o monitoramento contínuo do nível de risco vinculado à sessão ativa de um usuário. O risco oscila durante o curso de uma sessão. Por exemplo, considere a linha do tempo de Taylor abaixo.

8h30 (T1): início da sessão

Taylor começa o dia no escritório e faz login em sua conta de trabalho usando um autenticador resistente a phishing, como o Okta FastPass. O ITP determina que o risco da sessão é BAIXO, pois ela está fazendo login de uma rede conhecida, com um dispositivo conhecido, e está utilizando um autenticador resistente a phishing conhecido.

10h45 (T2): mudança de local no meio da sessão

Taylor, que iniciou sua sessão em seu escritório, vai para o local de um cliente para continuar o trabalho. O ITP detecta a mudança de local durante uma sessão ativa, reavalia as políticas de acesso e solicita a MFA. Taylor responde ao prompt de autenticação e continua seu trabalho.

12h15 (T3): detecção e resposta a comprometimento de sessão

Um invasor engana Taylor para que ela baixe malware em seu dispositivo por meio de um e-mail de phishing. O invasor rouba seu cookie de sessão e tenta usá-lo na própria infraestrutura para se passar por Taylor. O ITP detecta que a sessão foi comprometida e executa imediatamente um Universal Logout, revogando assim a sessão e inutilizando o cookie de sessão roubado. Enquanto isso, Taylor se autentica novamente com perfeição, estabelece uma nova sessão e continua seu trabalho.

Como pode ser visto, a Okta impediu que o adversário abusasse do token de sessão roubado, ao mesmo tempo em que proporcionava uma experiência simples e transparente ao usuário final. Todos esses resultados foram orquestrados pelo ITP da Okta, que ajuda a garantir que as sessões de usuário ativas estejam em conformidade com as políticas de acesso da organização durante todo o ciclo de vida da sessão.

Como o risco da sessão é avaliado?

O ITP avalia continuamente o nível de risco de uma sessão Okta (IdP) ativa. Se os atributos da rede ou do dispositivo mudarem durante uma sessão, o ITP determinará que o contexto da sessão foi alterado. Em seguida, ele avalia o risco da sessão executando modelos de aprendizado de máquina e heurísticas direcionadas para determinar um nível de risco de sessão Baixo, Médio ou Alto. 

A mudança no contexto da sessão aciona uma reavaliação da política de sessão global e das políticas de login do app. Ela usa o nível de risco da sessão para determinar se alguma ação precisa ser realizada para aderir às políticas. Se a reavaliação da política resultar em uma NEGAÇÃO ou se o usuário não responder ao desafio de MFA exigido pela política, o ITP tratará isso como uma “falha” e aplicará as ações de mitigação definidas nas configurações de imposição da proteção de sessão.

O resultado

Entre 15 de outubro e 15 de novembro de 2025, um período de 30 dias:

• Alterações no contexto da sessão: o ITP detectou cerca de 6 milhões de alterações no contexto da sessão. 
• Falhas na reavaliação de políticas: do total de reavaliações de políticas acionadas pelas 6 milhões de alterações no contexto da sessão, cerca de 5 mil falhas na reavaliação de políticas foram identificadas pelo ITP como apresentando um alto risco de sessão.
• Sessões Okta corrigidas: os clientes do ITP corrigiram mais de mil sessões Okta (IdP) potencialmente arriscadas de forma imediata por meio de ações automatizadas (solicitando MFA in-line ou revogando a sessão).
• Sessões de apps corrigidas:  os clientes do ITP revogaram mais de 6 mil sessões de apps potencialmente arriscadas usando as ações automatizadas.
• Ações adicionais: os clientes do ITP realizaram a ação adicional de executar um fluxo de trabalho pelo menos 250 vezes.

Isso mostra não apenas a escala de detecções e avaliações de políticas que o ITP impulsiona, mas também como podemos ajudar os clientes a identificar e se defender proativamente contra os eventos de alto risco que são mais importantes, diretamente na camada de identidade.  

Risco do usuário: conecte o risco entre sessões e apps

O conceito de risco do usuário foi introduzido para acompanhar o status de segurança de uma conta de usuário ao longo do tempo. O risco da sessão, como explicado anteriormente, também é um dos fatores que influenciam o risco do usuário.

Como o risco do usuário é avaliado?

O ITP agrega continuamente o risco do usuário usando vários métodos, incluindo, entre outros:

• Inteligência de ameaças e análise: detecções selecionadas pela equipe Okta Threat Intelligence, que sinaliza contas do usuário que interagiram com infraestrutura mal-intencionada conhecida. Os exemplos de atividade detectada incluem interações com IPs associados a plataformas de phishing como serviço que visam aplicativos de negócios populares.
• Detecções in-line: detecta adversários executando ações críticas, como registrar credenciais de IPs mal-intencionados conhecidos, autenticar usando credenciais comprometidas, sequestrar sessões etc.
• Inferências de múltiplos eventos: executa modelos de ML e heurísticas usando os pipelines de dados em lote da Okta para identificar qualquer login bem-sucedido suspeito anterior.
• Sinais relatados por parceiros: ingere eventos do Continuous Access Evaluation Profile (CAEP) de fornecedores parceiros utilizando a Shared Signals Framework (SSF) da OpenID, baseada em padrões.
• Anomalias reportadas pelo usuário final ou administrador: sinais de alta confiança gerados quando usuários finais ou administradores reportam atividades suspeitas diretamente no perfil do usuário.

Depois que as detecções de risco do usuário são coletadas e analisadas, a respectiva política — chamada de "Política de Risco da Entidade" — pode ser configurada para disparar ações downstream de acordo com o nível de risco (baixo, médio ou alto). Isso inclui o Universal Logout para todos os apps conectados ou outras ações por meio do Okta Workflows.

O resultado

Entre 15 de outubro e 15 de novembro de 2025, um período de 30 dias:

• O ITP detectou cerca de 8 mil usuários em alto risco em mais de 200 organizações, conforme mostrado no gráfico abaixo.
• Mais de 6.500 riscos desses usuários foram remediados por meio de ações automatizadas, como realizar Universal Logout ou executar um fluxo de trabalho como parte da Política de Risco da Entidade.
• A detecção do Okta Threat Intelligence sinalizou quase 220 usuários como de alto risco em 46 organizações durante esse período.

Vale a pena observar que a equipe Okta Threat Intelligence descobriu recentemente o VoidProxy, um phishing como serviço altamente evasivo e sofisticado. A análise detalhada da infraestrutura do VoidProxy está no blog de segurança da Okta. Análises de serviços semelhantes estão disponíveis para os clientes da Okta visualizarem e baixarem em security.okta.com. 

Para elucidar a atividade mal-intencionada dessas infraestruturas, o gráfico abaixo ilustra a atividade originada de um endereço IP vinculado ao VoidProxy durante um período de quatro dias. Isso indica que um invasor utilizando esse IP tentou atacar pelo menos 24 organizações distintas. Todas as tentativas de login do IP foram negadas ou o desafio de MFA foi abandonado. O ITP disparou eventos user.risk.detect para usuários visados no ataque e adicionou os IPs mal-intencionados relevantes a esses eventos.

Para evitar abusos repetidos, os administradores do ITP podem configurar fluxos de trabalho que adicionam automaticamente esses IPs mal-intencionados detectados a uma zona de rede bloqueada usando a Política de Risco da Entidade.

O que vem agora?

Acabamos de lançar três novas detecções de risco do usuário e queremos ouvir o feedback de vocês sobre elas. Vamos nos aprofundar em mais detecções de risco do usuário, o impacto disso na segurança do cliente e como aproveitamos a IA em um blog posterior.

Conforme mencionado anteriormente, as detecções do ITP são mais inteligentes porque analisam os sinais observados em todo o ecossistema da Okta. Nosso ponto de vista global como provedor de identidade central permite que o ITP detecte padrões de ataque e ameaças emergentes em milhares de organizações, que seriam invisíveis para qualquer organização individual. Esses insights são incorporados continuamente às detecções do ITP, permitindo que a Okta proteja de forma proativa todos os clientes. Esse efeito de rede de segurança fornece um nível de inteligência de ameaças em tempo real que soluções de locatário único ou provedores de identidade simplesmente não conseguem igualar.

Recomendações 

Risco da sessão

• A avaliação do risco da sessão é considerada durante as avaliações de políticas somente quando a condição de risco é configurada em suas políticas de acesso. Portanto, recomendamos fortemente que você a configure, caso ainda não tenha feito isso. 
• Configure a Política de Proteção de Sessão no modo “Imposto com Ação” para se proteger contra o sequestro de sessão depois de observar o ITP no modo de monitoramento por alguns dias. 
• Com base nos resultados do seu monitoramento, é possível aproveitar as novas configurações de detecção de proteção de sessão para estabelecer o nível de risco da sessão e as zonas de rede confiáveis. Essa configuração ignora as reavaliações de política apenas para sessões originadas dessas zonas de rede confiáveis e/ou níveis de risco definidos.
• A Okta captura as alterações no contexto da sessão em seus registros do sistema à medida que acontecem. Recomendamos focar nos eventos que resultaram em risco elevado para que você possa enfrentar as ameaças que são mais importantes.

Risco do usuário

• Implemente as ações recomendadas para as detecções de alto risco na Política de Risco da Entidade.
• Utilize a Shared Signals Framework (SSF) para transmitir eventos de CAEP do seu fornecedor de segurança escolhido para a Okta. Essa integração capacita o Risk Engine da Okta a aprimorar a avaliação do risco do usuário.
• Ajude a melhorar as detecções de risco do usuário do ITP na sua organização, fornecendo feedback (por exemplo, falsos positivos) ao Risk Engine.
• Treine os usuários para identificar indicadores de e-mails suspeitos, sites de phishing e técnicas comuns de engenharia social usadas por invasores. Ajude-os a reportar possíveis problemas configurando as Notificações ao Usuário Final e os Relatórios de Atividade Suspeita.

Conclusão

Desde o lançamento da Disponibilidade Geral para o ITP há mais de um ano, os clientes já estão experimentando benefícios tangíveis, incluindo detecção mais precoce de ataques e resposta automatizada mais rápida. Não deixe sua organização exposta. Comece a aproveitar todo o potencial do ITP hoje mesmo implementando as recomendações de risco de sessão e de usuário para ajudar a garantir que seus usuários estejam protegidos de forma contínua. Saiba mais sobre como a Okta implantou o ITP em nossa organização e descubra mais boas práticas.