Recapitulando os recursos introduzidos sob o Compromisso de Identidade Segura da Okta para proteger nossa infraestrutura, nossos clientes e os clientes de nossos clientes
A identidade está sob ataque — por grupos de ransomware, agentes de estados-nação, insiders maliciosos e outros criminosos cibernéticos — e, nos últimos anos, emergiu como o principal ponto de entrada de segurança empresarial para todos os aplicativos de força de trabalho e consumidor.
Consequentemente, nenhuma estratégia ou postura de segurança está completa sem proteções abrangentes contra ameaças de identidade.
Como uma empresa de Identidade independente líder, a Okta leva essa responsabilidade a sério. Em fevereiro de 2024, lançamos o Compromisso de Identidade Segura da Okta para:
- Fornecer produtos e serviços de Identidade seguros e líderes de mercado
- Infraestrutura corporativa reforçada
- Defenda as melhores práticas do cliente para ajudar a garantir que eles estejam melhor protegidos
- Elevar nosso setor para que esteja mais protegido contra ataques de identidade
Nesta publicação, queremos dedicar um momento para compartilhar parte do trabalho que nossas equipes de Produto, Engenharia, Segurança e Tecnologia Empresarial têm feito para aprimorar o Okta Customer Identity Cloud, em particular, para proteger:
- Nossa infraestrutura
- Nossos clientes
- Os clientes dos nossos clientes
Protegendo nossa infraestrutura
Reconhecemos que nossa continuidade de negócios impacta diretamente a segurança de nossos clientes e, mais fundamentalmente, sua capacidade de conduzir negócios e atender seus usuários.
De modo geral, mantemos todas as nossas pessoas, processos e tecnologia internas com os mesmos padrões de segurança rigorosos que nossos produtos voltados para o cliente, enfatizando uma abordagem holística de segurança de dentro para fora.
Além disso, estamos acelerando nossos investimentos para fortalecer ainda mais nossos sistemas auxiliares (ou seja, adjacentes à produção) e corporativos. Você pode encontrar uma lista abrangente de investimentos e atividades divulgadas publicamente no whitepaper Compromisso de Identidade Segura da Okta.
Protegendo nossos clientes
As contas administrativas são rotineiramente alvo de ataques de tomada de conta (account takeover, ATO), devido aos privilégios elevados associados a essas funções.
Para ajudar a proteger contra tentativas de ATO (Account Takeover, Apropriação de Conta) direcionadas a funções privilegiadas, apresentamos vários recursos novos.
Exigir MFA para todos os administradores do Auth0 Dashboard
A autenticação multifator (MFA) com fatores secundários fortes é uma forma comprovada de fortalecer substancialmente as defesas contra tentativas de ATO, quer essas tentativas usem credenciais conhecidas (ou seja, roubadas) ou técnicas de força bruta.
Anteriormente, o MFA (Autenticação Multifator) era um requisito opcional para os administradores do Auth0, para evitar impor atrito de autenticação incremental para organizações que se sentiam confortáveis em operar sem essa camada de defesa. No entanto, em resposta ao cenário de ameaças em evolução, o MFA agora é obrigatório para todos os administradores com um login baseado em nome de usuário/senha ou login social de terceiros.
Elevando o suporte de controle e governança de segurança com o Auth0 Teams
Auth0 Teams é uma plataforma para simplificar o gerenciamento de seus tenants e membros do tenant, permitindo uma visibilidade mais clara no painel do Auth0. Analisando um pouco mais profundamente, o Auth0 Teams fornece:
- Visibilidade dos tenants com detalhes relevantes (região, tipo de tenant, etc.)
- Visibilidade e controle dos membros do tenant (quem tem acesso a qual tenant com qual função)
- Capacidade de impor o Single Sign-On (SSO) com seu próprio provedor de identidade para o acesso de todos os membros da equipe e do locatário ao Auth0
- Capacidade de restringir a criação de tenants em um determinado Team
- Capacidade de gerenciar detalhes de assinatura e faturamento (para assinaturas de autoatendimento)
Com o Auth0 Teams no topo da associação de conta de locatário, é o ponto único de visibilidade e controle para um usuário criar, ler, atualizar e excluir quaisquer detalhes dentro da associação de conta de locatário.
Vinculação ASN no portal de administração do CIC
Em resposta a formas mais seguras de autenticação, os adversários estão visando os cookies de sessão como uma forma alternativa de obter acesso a aplicativos e ambientes protegidos.
Normalmente extraídos de navegadores por meio de ladrões de informações e outros malwares, ou por meio de ataques man-in-the-middle, os cookies de sessão são como bilhetes dourados que permitem que os cibercriminosos se passem por usuários legítimos sem levantar alertas. Se um invasor roubar um cookie de sessão e injetá-lo em seu navegador, ele poderá acessar a mesma sessão que o usuário legítimo enquanto a sessão permanecer ativa.
Embora o sequestro de sessão possa ser dimensionado um pouco, é mais provável que a abordagem seja usada como parte de um ataque direcionado contra usuários específicos (por exemplo, administradores) em organizações de alto valor.
Para ajudar a evitar o sequestro de sessões estabelecidas, a Okta revogará automaticamente uma sessão do Okta Admin Console se o ASN (Número do Sistema Autônomo) observado durante uma solicitação de API ou da web for diferente do ASN registrado quando a sessão foi estabelecida.
Quando tal condição é atendida — seja um usuário administrador legítimo que mudou de local (por exemplo, fez login em casa e depois se reconectou de uma cafeteria) ou um invasor tenta sequestrar uma sessão —, o usuário administrador legítimo deverá fazer login novamente.
Protegendo os clientes de nossos clientes
Em um contexto business-to-consumer (B2C), um ATO bem-sucedido pode fornecer a um invasor acesso a recursos (por exemplo, pontos de fidelidade), privilégios (por exemplo, capacidade de fazer compras, especialmente de produtos em oferta limitada) e informações demográficas e de identificação pessoal (PII) valiosas.
Em um contexto business-to-business (B2B), um ATO bem-sucedido pode fornecer a um invasor acesso a dados altamente confidenciais, resultando em uma violação com severas penalidades regulatórias e contratuais para a organização visada. Em casos extremos, comprometer uma conta pode levar à interrupção dos negócios.
Infelizmente, a má higiene de segurança, especialmente na forma de senhas simples, comuns ou reutilizadas, significa que muitas contas de usuário são vulneráveis a ataques automatizados baseados em senhas.
Além disso, proteger as identidades dos clientes — e os direitos e privilégios associados — não para na autenticação. Se um invasor roubar um cookie de sessão e injetá-lo em seu navegador, ele poderá acessar a mesma sessão que o usuário legítimo enquanto a sessão permanecer ativa.
Para combater essas ameaças, introduzimos uma série de novos recursos de segurança dentro do Customer Identity Cloud.
Detecção de Bot de Quarta Geração
Detecção de Bots, com a Okta AI, provou ser capaz de filtrar quase 80% dos bots que visam sistemas de autenticação. Importante, essas capacidades defensivas são alcançadas sem introduzir atrito desnecessário ao usuário — ao treinar cuidadosamente e ajustar continuamente a IA no coração da Detecção de Bots, podemos garantir que os usuários humanos raramente sejam apresentados a um CAPTCHA, preservando experiências perfeitas.
Além disso, há evidências consideráveis de que essa eficácia é um impedimento muito forte, pois alguns de nossos maiores clientes viram sua média de 90 dias de tráfego de bots cair quase 90% depois de habilitar esse recurso de Proteção contra ataques. A versão mais recente da Detecção de Bots incorpora dados de terceiros para melhorar ainda mais sua eficácia contra bots.
Chaves de acesso
Tanto as organizações B2B quanto B2C são especialmente sensíveis ao atrito nos fluxos de autenticação do cliente, pois o atrito desnecessário pode afetar adversamente as conversões e a receita.
O Adaptive MFA (autenticação multifator adaptável) e a Step-up Authentication (autenticação de nível superior) ajudaram a equilibrar conveniência e segurança, mas as passkeys já provaram oferecer uma experiência de usuário segura, conveniente e familiar que supera a usabilidade de outras abordagens de muitas maneiras.
Com base nos padrões da FIDO Alliance e do World Wide Web Consortium (W3C), as passkeys substituem as senhas por pares de chaves criptográficas, tornando-as resistentes ao phishing. Eles podem ser acessados (ou seja, usados) da mesma forma que os usuários desbloqueiam seus dispositivos móveis — normalmente por meio de biometria ou inserindo o código de acesso do dispositivo.
Com as chaves de acesso no Okta Customer Identity Cloud, os criadores de aplicativos e as equipes digitais podem reduzir o atrito no login e fortalecer as salvaguardas contra ATOs.
API de gerenciamento de sessão
Passkeys são um passo significativo para eliminar senhas e ajudarão na luta contra a tomada de contas. No entanto, como observado acima, os invasores hoje se concentram mais no sequestro de sessão, uma ameaça independente da segurança de autenticação.
Nossa nova API de Gerenciamento de Sessão capacita empresas e desenvolvedores com maior controle sobre a experiência pós-autenticação para seus usuários finais, fornecendo acesso centralizado à lista e revogação de sessões de usuários em todos os aplicativos. No caso de uma empresa suspeitar que uma sessão foi sequestrada, ela pode revogar preventivamente a sessão — protegendo seus clientes e sua organização.
Mantenha-se informado sobre o Okta Secure Identity Commitment
A Okta está comprometida em ser uma líder do setor na luta contra ataques baseados em identidade e continuaremos a evoluir junto com a tecnologia e o cenário de ameaças.
Para se manter atualizado com os últimos desenvolvimentos e acessar recursos adicionais — incluindo um checklist de segurança de identidade —, visite a página de destino do Okta Secure Identity Commitment.
Estes materiais e quaisquer recomendações neles contidas não constituem aconselhamento jurídico, de privacidade, segurança, conformidade ou negócios. Estes materiais são apenas para fins informativos gerais e podem não refletir os desenvolvimentos de segurança, privacidade e jurídicos mais atuais, nem todas as questões relevantes. Você é responsável por obter aconselhamento jurídico, de segurança, privacidade, conformidade ou negócios de seu próprio advogado ou outro consultor profissional e não deve confiar nas recomendações aqui contidas. A Okta não é responsável por qualquer perda ou dano que possa resultar da sua implementação de quaisquer recomendações nestes materiais. A Okta não oferece representações, garantias ou outras garantias em relação ao conteúdo destes materiais. Informações sobre as garantias contratuais da Okta aos seus clientes podem ser encontradas em okta.com/agreements.
