Teste Gratuito Fale conosco

Nossa jornada de segurança proativa: a adoção do Okta Identity Threat Protection

Sobre o autor

Chris Norris

Vice President of Identity Access Management

Chris Norris is the Vice President of Identity Access Management at Okta, where he leads a team dedicated to advocating for the needs of identity practitioners within the company, positioning Okta as its own premier customer. With nearly three decades of experience in IT, Chris has a robust background in identity and security, having worked with several global-scale organizations.

16 outubro 2025 Tempo de leitura: ~

Tópicos

Gerenciamento da postura de segurança de identidade

Índice

Problema: deterioração da garantia

A deterioração da garantia é um risco de segurança que aumenta ao longo do tempo durante a sessão ativa de um usuário, mesmo após um login seguro e bem-sucedido. Embora sejam eficazes na porta de entrada, os modelos de segurança tradicionais perdem a visibilidade depois que um usuário entra. Um token de sessão válido torna-se um alvo valioso para os invasores assim que é emitido. 

Ameaças sofisticadas, como o sequestro de sessão, podem ignorar completamente a autenticação, impedindo a detecção de atividades mal-intencionadas que ocorrem minutos ou horas após um login legítimo. Mais de 80% de todas as violações de dados estão ligadas a ataques à identidade. Nós sabíamos que não podíamos ignorar essa crescente onda de ameaças pós-autenticação.

Essa compreensão foi o catalisador para a jornada da Okta. Reconhecemos que nosso compromisso com a identidade segura — a base da nossa estratégia de segurança — deveria ir além do prompt de login. Nossa busca foi por uma solução que não apenas aplicasse políticas no ponto de acesso, mas que pudesse manter um nível contínuo de confiança ao longo de cada sessão do usuário. Encontramos essa solução no Okta Identity Threat Protection with Okta AI, um componente fundamental do Compromisso da Okta com a Identidade Segura.

Solução: Identity Threat Protection

O Okta Identity Threat Protection foi a peça que faltava no nosso quebra-cabeça de segurança. Ele unifica os insights sobre risco e avalia continuamente as ameaças (além de responder a elas) em tempo real, durante e após o login. A integração nativa na Okta Identity Cloud nos dá a capacidade única de monitorar o comportamento do usuário no ponto de controle mais crítico: a identidade.

Utilizando os recursos principais do produto, resolvemos com facilidade o problema relacionado à deterioração da garantia. Três recursos foram particularmente críticos para nossa decisão:

  • Avaliação contínua de contexto: esse recurso é baseado no princípio de que a confiança não é estática. Ele avalia continuamente o risco e o contexto do usuário ao longo de uma sessão ativa. Muito além de uma simples verificação no login, o recurso monitora mudanças em zonas de rede, contexto do dispositivo e comportamento do usuário em tempo real, mesmo quando um usuário não está interagindo ativamente com a Okta. Para que isso fosse possível, percebemos que era essencial configurar corretamente as zonas de rede, as políticas de sessão e as políticas de autenticação.
  • Monitoramento de riscos da entidade: o risco da entidade se refere ao nível de risco de um usuário em todos os dispositivos, sessões e aplicativos. A política de risco da entidade monitora alterações no nível de risco do usuário relacionadas a ameaças baseadas em identidade, como sequestro de sessão, ataques de força bruta e tentativas de login de endereços IP de alto risco. Dentro da política de risco da entidade, é possível configurar ações específicas a serem realizadas quando o risco de um usuário mudar para os níveis alto ou médio.
  • Resposta precisa a riscos: configuração do Universal Logout para encerrar uma sessão ativa de usuário em todos os apps compatíveis, em resposta a ameaças baseadas em identidade. Esse recurso garante que a conta de um usuário seja encerrada em caso de ameaças, como sequestro da sessão de um usuário por um agente mal-intencionado, demissão de um funcionário, mudanças no nível de risco de um usuário, perda de dispositivo, uma ameaça interna ou um comprometimento de credenciais.

Em conjunto, esses recursos facilitam a proteção "sempre ativa" que evita ataques sofisticados pós-autenticação nas sessões do usuário, ajudando a cumprir a promessa de um compromisso com a segurança da identidade.

Nossa implantação do Okta Identity Threat Protection foi uma jornada estratégica e dividida em fases, que avançou de forma metódica de um estado de monitoramento e observação para um de aplicação proativa. Essa abordagem gradual permitiu que construíssemos confiança nas capacidades do produto e que adaptássemos as respostas dele ao nosso ambiente específico.

Fase 1: início e configuração básica

Começamos nossa jornada de aprimoramento da segurança preparando o ambiente para a proteção dinâmica oferecida pelo Identity Threat Protection. Isso envolveu uma análise completa das nossas configurações básicas de segurança, incluindo zonas de rede, sessões globais e políticas de autenticação. O objetivo era garantir que esses controles fossem robustos o suficiente para apoiar a coleta de dados em tempo real e as avaliações de políticas exigidas pelo Identity Threat Protection.

Nossa postura de segurança básica incluiu medidas importantes, como a implementação de uma VPN obrigatória para todos os funcionários e a implantação de configurações de dispositivo gerenciado para macOS, Windows, iOS e Android. Também implementamos o Okta FastPass como nosso autenticador primário e resistente a phishing. Com a integração dos sinais de confiança da nossa solução Endpoint Detection and Response, nossos processos de login agora estão mais seguros e são avaliados de forma contínua quanto ao risco.

Fase 2: aprendizado e planejamento

Com os controles básicos estabelecidos, nosso objetivo principal era observar e aprender — e não impor. Implantamos o Identity Threat Protection no modo somente monitoramento e o configuramos para coletar e analisar sinais das sessões de usuários sem realizar nenhuma ação automatizada. Isso nos permitiu identificar eventos de detecção de risco em nossa organização e compreender os tipos de ameaças que nossos usuários enfrentavam pós-autenticação. Em nosso Registro do Sistema e Painel de Administração, podíamos ver quando um endereço IP era alterado no meio de uma sessão ou quando a postura de segurança do dispositivo de um usuário apresentava regressão.

Fase 3: execução

Depois que tivemos uma compreensão clara das ameaças e nos sentimos confiantes na capacidade do sistema de detectá-las, passamos para a fase de execução. Foi então que tomamos medidas. Para ameaças de alto risco, configuramos a resposta automatizada mais eficiente: o Universal Logout. Identificamos alguns aplicativos-chave de alto risco compatíveis com a estrutura Universal Logout e implantamos a política para esses casos. 

Quando o Identity Threat Protection detectava uma ameaça confirmada, como a reprodução de um cookie de sessão, o sistema encerrava automaticamente todas as sessões do usuário em todos os dispositivos conectados e aplicativos compatíveis. Isso foi revolucionário, pois eliminou a necessidade de uma resposta manual e demorada a uma possível violação de segurança.

Nossa jornada gradual e orientada por dados, desde o monitoramento até a execução, garantiu uma transição suave e maximizou o valor da implementação do Identity Threat Protection. 

O que aprendemos

Com base em nossa experiência, aprendemos algumas lições técnicas e de comunicação importantes sobre a execução do Okta Identity Threat Protection. 

Orientação técnica

  • Funções de administrador do Identity Threat Protection personalizadas: crie uma função administrativa do Identity Threat Protection personalizada e dedicada para sua equipe de defesa cibernética. Isso garante que as permissões específicas necessárias para gerenciar o Identity Threat Protection sejam concedidas sem que seja dado acesso desnecessário a outros recursos administrativos da Okta.
  • Resposta automatizada a eventos de alto risco: configure uma política para impor imediatamente o logout do usuário quando a pontuação de risco de uma entidade mudar para "Alta". Essa etapa é crítica para conter uma ameaça potencial. Registre e investigue eventos de risco médio: quando a pontuação de risco da entidade mudar para "Média", os eventos deverão ser meticulosamente registrados para que sua equipe de segurança possa investigá-los. Embora não exijam bloqueio imediato, eles costumam ser precursores de ataques mais graves.
  • Utilize os relatórios de risco da entidade: o relatório de risco da entidade é uma ferramenta essencial para administradores da Okta e do Identity Threat Protection. A revisão regular desse relatório é essencial para compreender a postura geral de risco da organização e para identificar ameaças emergentes.

Comunicação com as partes interessadas

  • Comunique-se proativamente: a comunicação eficaz com as partes interessadas internas, tanto antes quanto durante a aplicação do Identity Threat Protection, é fundamental. O envio proativo de mensagens evita confusões e garante que os departamentos possam compreender por que certas ações, como os logouts automatizados, estão sendo realizadas.

Impacto: valor empresarial percebido

Com a implantação do Okta Identity Threat Protection, preenchemos a lacuna de segurança deixada pela deterioração da garantia e percebemos um valor de negócios significativo e mensurável. Nossa postura de segurança agora é proativa e contínua, indo além da autenticação inicial.

Complemento perfeito: Identity Security Posture Management e Okta Identity Threat Protection

Estamos sempre trabalhando para aprimorar a infraestrutura de segurança da organização e dos usuários. A base desse esforço é uma estratégia robusta de gerenciamento de identidade e acesso. Acreditamos que a segurança não se resume apenas a reagir a ameaças, mas também a construir proativamente uma defesa robusta. 

É por isso que temos trabalhado na adoção do Identity Security Posture Management da Okta, uma medida que representa um passo significativo em nossa jornada abrangente de segurança. O Okta Identity Security Posture Management trabalha em conjunto com o Okta Identity Threat Protection, uma solução que já utilizamos. 

Embora o Identity Threat Protection tenha sido criado para detectar e responder a ameaças baseadas em identidade em tempo real, o Identity Security Posture Management concentra-se em prevenir as condições que permitem que esses ataques sejam bem-sucedidos.

Verificação avançada da postura de segurança: detecção de phishing FastPass

Para aprimorar nossa defesa proativa contra phishing, estamos planejando uma nova funcionalidade de detecção para o Identity Threat Protection que identifica tentativas de login suspeitas provenientes de endereços IP sinalizados em campanhas de phishing anteriores. A equipe de segurança deverá avaliar e implementar esse recurso para fortalecer nossa postura de segurança de identidade.

Quer replicar o processo da Okta? Consulte nosso guia de configuração para o Identity Threat Protection.

Sobre o autor

Chris Norris

Vice President of Identity Access Management

Chris Norris is the Vice President of Identity Access Management at Okta, where he leads a team dedicated to advocating for the needs of identity practitioners within the company, positioning Okta as its own premier customer. With nearly three decades of experience in IT, Chris has a robust background in identity and security, having worked with several global-scale organizations.

Continue sua jornada de identidade

Inicie o teste gratuito hoje mesmo ou entre em contato com nossa equipe para falar sobre suas necessidades exclusivas.

Começar
Fale conosco