Proteção contra Ameaças de Identidade com Okta AI 

Proteção em tempo real e inline que acompanha o ritmo do seu negócio

O complexo cenário de ameaças de Identidade atual exige práticas de segurança otimizadas e uma estratégia de defesa em profundidade multicamadas e em evolução para identificar e mitigar ameaças cibernéticas. A estratégia de segurança abrangente da Okta aborda essas ameaças em vários níveis, inclusive na borda, usando zonas de lista de bloqueio, configurando o ThreatInsight, limitação de taxa automatizada, políticas de login da Okta e autenticação de fator forte. 

Mas e o risco pós-autenticação? Essa fase crítica do ciclo de vida da identidade é tradicionalmente um ponto cego para as soluções de segurança. Apresentamos o novo produto Workforce Identity da Okta: — Identity Threat Protection com Okta AI. Exploraremos como o Identity Threat Protection atende à necessidade de segurança contínua além da autenticação inicial.

Vamos explorar a plataforma dentro do contexto da MediaXMedia, uma empresa de SaaS de nível empresarial que usa o Okta Workforce Identity para proteger sua força de trabalho. Vivenciaremos essa jornada pelas lentes de dois funcionários da MediaXMedia. Primeiro, examinaremos a experiência do usuário final por meio das percepções de Tina Smith, uma engenheira de vendas. Então, passaremos para a experiência administrativa da perspectiva de Jim Frost, um líder da equipe SecOps. 

A perspectiva do usuário final

Primeiro, vamos explorar a jornada diária de um usuário final. Tina Smith é uma engenheira de vendas da MediaXMedia. Tina é uma engenheira de vendas apaixonada que adora ajudar os clientes a entender e usar os produtos da MediaXMedia, que resolvem problemas da vida real e impactam visivelmente os negócios dos clientes. Veja como o Identity Threat Protection fornece segurança robusta ao longo do dia de Tina sem impedir sua produtividade.

Manhã: Autenticação adaptativa em ação

8h00: Tina faz login no painel da Okta em casa usando um fator de autenticação resistente a phishing.

10h00: Ela chega para sua primeira visita ao escritório de um cliente em potencial na cidade.

10h05: Tina tenta acessar um novo aplicativo através do painel da Okta.

• O ITP detecta uma alteração no contexto de sua sessão existente e solicita a autenticação inline de step-up.

A vantagem da Proteção contra Ameaças de Identidade 

• Avaliação contínua de risco: alteração de IP detectada no meio da sessão.
• Resposta de risco precisa: autenticação step-up acionada para maior segurança.
• Experiência do usuário: Tina, ciente dos protocolos de segurança da MediaXMedia, conclui rapidamente a verificação adicional.

Tarde: Em movimento

3 p.m.: Tina boards a flight to Chicago for another client meeting.

15h30: Usando o Wi-Fi a bordo, ela acessa seu e-mail de trabalho e o Slack via Okta FastPass em seu dispositivo móvel sem autenticação adicional.

15h45: Ao tentar abrir o Salesforce, Tina encontra outro prompt de autenticação step-up devido a uma mudança no contexto.

The Identity Threat Protection advantage 

• Avaliação contínua de risco: Novo contexto de rede identificado.
• Precision risk response ensures appropriate security measures without disrupting Tina’s workflow.

Uma ameaça inesperada 

16h30: Tina verifica seu e-mail pessoal em seu dispositivo BYOD, inscrito na solução MDM da MediaXMedia.

16h35: Animada com um show, Tina clica sem saber em um link em um e-mail de phishing, comprometendo seu dispositivo.

16h36: As ações de Tina disparam um alerta de segurança.

A vantagem da Proteção contra Ameaças à Identidade:

• A solu\[invalid character]o de endpoint detecta a amea\[invalid character]a grave e sinaliza a Prote\[invalid character]o contra Amea\[invalid character]as de Identidade.
• O Universal Logout é executado em todos os dispositivos de Tina e aplicativos suportados.
• Tina está desconectada do Okta, Google Workspace e Slack em seu laptop e dispositivo móvel.

Resolução

17h30: Enquanto Tina pousa em Chicago, a equipe de SecOps já neutralizou a ameaça.

18h00: Segura e de volta online, Tina está pronta para sua próxima reunião.

Reflexões de Tina

Esse foi um dia de trabalho agitado para Tina. Ela é grata à sua equipe de segurança por neutralizar a ameaça de segurança sem interromper seu trabalho. Eles permitiram que ela se concentrasse no que ela faz de melhor: mostrar aos clientes em potencial o poder da plataforma SaaS de sua empresa sem se preocupar com seu dispositivo ou sessões sendo comprometidos. 

A perspectiva do administrador

Com o cenário de segurança em constante evolução, incluindo o aumento da inteligência artificial (IA), ataques de estados-nação e ameaças internas, Jim e sua equipe enfrentam o desafio constante derepelir ataques cada vez mais sofisticados. Para resolver isso, a equipe implementou autenticação sem senha e resistente a phishing em toda a MediaXMedia. Com isso, Jim acredita que alcançou proteção completa das identidades dentro de sua organização. No entanto, ele está ciente de que os invasores estão encontrando cada vez mais novas maneiras de violar as organizações e agora estão visando a pós-autenticação. A equipe de Jim implementou recentemente o Identity Threat Protection. Vamos passar por um dia na vida dele. 

Manhã: Comece o dia com café e observabilidade

8h00: A MediaXMedia utiliza os melhores fornecedores de segurança para proteger diversas superfícies de ameaças. Antes do ITP, Jim e sua equipe tinham que gastar várias horas revisando painéis e logs em suas ferramentas XDR, ZTNA, SOAR, CASB e de rede para determinar se alguma entidade nessas superfícies de ameaças estava em risco. O Identity Threat Protection simplifica este trabalho ao convergir todas as informações relacionadas à identidade nos painéis e relatórios do Okta Identity Threat Protection. O risco de um usuário no Okta é a combinação do risco próprio do Okta e do risco visto em todas as superfícies de ameaças, determinado pelo stack de segurança da MediaXMedia. A equipe de SecOps agora usa o Identity Threat Protection para otimizar a forma como avaliam o risco do usuário.  

• Cálculo de risco automatizado: O Risk Engine calcula o risco em três categorias — login, sessão e entidade — categorizando cada uma como baixa, média ou alta.
• Avaliação contínua: O nível de risco é calculado em tempo real, mesmo que o usuário não esteja interagindo com a Okta. As avaliações de política consomem esse risco e são executadas continuamente para garantir que a representação da postura de segurança do usuário seja sempre mantida ao longo do ciclo de vida do acesso.
• Detecção abrangente: A OktaOs sinais nativos de primeira parte da Okta cobrem todas as táticas, técnicas e procedimentos no plano de Identidade. A Okta contribuiu imensamente para padrões como o Continuous Access Evaluation Protocol, resultando em integrações com os principais fornecedores de segurança do setor para compartilhar sinais de risco de terceiros sobre o Shared Signals Framework (SSF), garantindo cobertura abrangente de táticas, técnicas, procedimentos (TTPs) que se cruzam com o plano de Identidade, como dispositivo, rede, aplicativo e dados. Para aqueles fornecedores de segurança que ainda não estão no SSF, a Okta oferece mecanismos simples de encadeamento de API para integrar o risco com o Identity Threat Protection.

A equipe de Jim observou que certas atividades categorizadas como risco médio ou alto são, na realidade, comportamento padrão para alguns usuários. Por exemplo, como membro da equipe de vendas, funcionários como Tina viajam regularmente para locais específicos, levando a alterações de IP pós-autenticação que são esperadas. Para melhorar a precisão, Jim tem várias alavancas. Sua equipe pode sinalizar falsos positivos identificados pelo mecanismo de IA e fornecer feedback direto ao mecanismo de risco. Além disso, eles podem configurar zonas isentas de IP ou proxies confiáveis para excluir o tráfego proveniente desses IPs de serem considerados para avaliações de ITP. 

9h00: Posteriormente, a equipe de SecOps analisa o painel/relatório de detecções de risco de entidade, que permite monitorar detecções de alto risco, suas origens e os acionadores de política adaptáveis correspondentes. Com os recursos precisos de Resposta a Riscos do Okta, a equipe de Jim obtém uma abordagem de segurança matizada e flexível. Esta integração oferece várias vantagens:

• Receba alertas de risco em tempo real diretamente no console de administração da Okta
• Obtenha uma visão holística do panorama de segurança da MediaXMedia
• Iniciar ações de remediação automatizadas com base em políticas predefinidas.

Para ilustrar a eficácia da avaliação contínua de riscos, considere um cenário em que um usuário faz login no Salesforce pela manhã e usa o aplicativo ao longo do dia. Tradicionalmente, se sua sessão fosse comprometida (por exemplo, por meio de roubo de cookies), a ameaça poderia permanecer não detectada até que a solução Endpoint Detection and Response sinalize um possível malware, o que pode levar horas. Esse atraso na detecção representa um desafio significativo, pois as ações corretivas subsequentes — como o término da sessão, os ajustes nos grupos de usuários, os triggers do Okta workflow e os bloqueios de conta — não são tomadas a tempo. 

Sem o Identity Threat Protection, a equipe de segurança de Jim encontraria dificuldades consideráveis, incluindo

• Análise manual demorada de dados de vários sistemas
• Horas gastas identificando potenciais problemas de segurança
• Atrasos na execução de playbooks de correção
• Risco de danos não verificados devido a tempos de resposta atrasados

As equipes de SecOps precisam de Detecção e Resposta de Ameaças de Identidade (ITDR) em tempo real e em linha para enfrentar as ameaças em evolução de forma eficaz. Sem o ITDR em linha, os atrasos na detecção criam vulnerabilidades substanciais, permitindo que agentes mal-intencionados causem danos, tornando as medidas reativas, como encerramento de sessão, bloqueios de contas ou alterações de acesso, ineficazes na prevenção de violações de dados ou comprometimentos de sistemas. Além disso, esses atrasos afetam a produtividade, pois as equipes de segurança gastam um tempo valioso investigando incidentes em vez de se concentrarem nas principais prioridades dos negócios.

Em 2024, as organizações levaram uma média de 194 dias para identificar uma violação de dados e 64 dias para contê-la — no entanto, os invasores geralmente precisam de apenas algumas horas para comprometer totalmente um ambiente. Esse forte contraste ressalta a necessidade urgente de ITDR em tempo real para minimizar a exposição e evitar danos graves.

Em contraste, a avaliação de risco contínuo do Identity Threat Protection oferece estes benefícios:

• A análise automatizada de dados de segurança ocorre em tempo real em toda a organização
• Ameaças potenciais rapidamente identificadas
• Ações de correção orientadas por políticas acionadas instantaneamente ou inline
• Janela de vulnerabilidade significativamente reduzida

Essa metodologia proativa e automatizada permite que a equipe de Jim fique à frente de ameaças potenciais, permitindo que eles se concentrem em lidar com riscos genuínos prontamente, minimizando o impacto de incidentes de segurança nas operações da MediaXMedia.

A equipe de Jim já configurou políticas de Identity Threat Protection personalizadas para lidar com ameaças cibernéticas específicas. Os recursos de resposta de risco de precisão da Okta fornecem à MediaXMedia uma abordagem diferenciada e flexível para responder a essas ameaças. Essas opções incluem:

• Universal Logout: Capacidade de encerrar sessões de aplicativos ativas e revogar a sessão do Identity Provider (IDP) da Okta em todos os dispositivos para aplicativos que oferecem suporte à estrutura do Universal Logout. Você não precisa mais esperar que o acesso ao aplicativo expire. 
• MFA Inline: Para instâncias categorizadas como eventos de risco médio, a equipe pode minimizar interrupções significativas do usuário final simplesmente solicitando autenticação step-up inline.
• Respostas orientadas por workflow: Em eventos de risco elevado, a equipe de Jim usa o Okta Workflows para acionar automaticamente alertas, gerar tickets JIRA e segregar usuários de alto risco em grupos de acesso restrito.

Essa abordagem de vários níveis permite que a equipe de Jim responda proporcionalmente a diferentes níveis de ameaça. Por exemplo, quando o Identity Threat Protection identifica uma mudança no risco, zona de rede, dispositivo ou comportamento, ele pode iniciar automaticamente ações de mitigação e correção que a equipe de Jim configurou de acordo com os requisitos de segurança da MediaXMedia.

Na prática, isso significa:

• Para alterações de baixo risco: O sistema pode simplesmente registrar o evento para revisão posterior.
• Para eventos de risco médio: Os usuários podem ser solicitados a fornecer autenticação adicional.
• Para situações de alto risco: O sistema pode revogar automaticamente as sessões via Universal Logout ou aproveitando o Workflows, restringir o acesso e alertar a equipe de segurança para investigação imediata.

11h - 16h: Reuniões e outras tarefas relacionadas à segurança

Tarde: Neutralizar ameaças de identidade para usuários MediaXMedia

16h36: Receba uma notificação do Slack de que o dispositivo do usuário “Tina Smith” foi comprometido. Este risco foi transmitido via JamF através do Shared Signals Framework. O Identity Threat Protection definiu automaticamente o nível de risco do usuário como ALTO e a moveu para o grupo de “usuários em quarentena” no Okta, e ela perdeu o acesso a todos os seus aplicativos. 

4:40 p.m.: Remediation workflows triggered automatically by Mobile Device Management system. Once the device is clean, the user is removed from the quarantined group. Her risk in Okta is reset to LOW, restoring her access to necessary applications—automated email sent to Tina explaining what had happened. The threat to Tina’s user identity has been neutralized.

Noite: Siga o sol

17h e adiante: A segurança nunca dorme. A equipe de segurança global distribuída da MediaXMedia assume o controle, garantindo cobertura contínua, assim como o Okta Identity Threat Protection.  

Reflexões de Jim

Normalmente, juntar a investigação de ameaças para a jornada de acesso de um usuário como Tina Smith levaria várias horas para sua equipe. Com o ITP, isso foi detectado e corrigido em minutos. Como eles foram capazes de reagir a tempo, conseguiram evitar comprometimentos adicionais, como movimento lateral, acesso privilegiado e exfiltração de dados.  Sua equipe realmente começa a apreciar o valor entregue com as proteções inline, em tempo real e abrangentes oferecidas pelo Identity Threat Protection, que também se integram bem com seu stack de segurança. Eles adoram o painel do Identity Threat Protection, que se tornou um balcão único para determinar o risco para seus usuários em todas as superfícies de ameaças. 

Identity Threat Protection’s sophisticated machine learning methodologies evaluate session risks in real time. By analyzing extensive data sets, Okta's AI models identify irregular patterns and anticipate potential threats proactively. Through AI-enhanced risk scoring, each session's risk level is continuously assessed by considering user behavior, device context, and network details. 

Este mecanismo de pontuação adaptável permite ajustes rpidos aos protocolos de segurança, reforçando os mecanismos de defesa sem interromper as interações do usuário. A utilização de algoritmos de aprendizado de máquina auxilia na distinção entre atividades normais e suspeitas com maior precisão, priorizando, assim, as ameaças ambientais, minimizando perturbações injustificadas aos usuários legítimos.

Agora que você leu sobre um dia na vida de Jim, nosso SecAdmin, e Tina, nossa usuária final, você pode ver como o Okta Identity Threat Protection with Okta AI aprimora significativamente a postura de segurança da MediaXMedia e, ao mesmo tempo, não impede que os usuários finais acessem com segurança os recursos essenciais.