O melhor do Oktane está chegando em São Paulo no dia 18 de novembro Registre-se agora!
Teste Gratuito Fale conosco

Okta Identity Security Posture Management e Workflows: Detecção e correção automatizadas de contas locais

Sobre o autor

Lior Tamir

Senior Manager, Product Management

Lior Tamir is the Product Management and Design Team Lead for Okta Identity Security Posture Management. He comes from an extensive background in cybersecurity, having led the Identity Security product from incubation to successful acquisition by Okta, and previously addressed SOC challenges in incident detection, investigation, and response at Microsoft.

14 outubro 2024 Tempo de leitura: ~

Topics

Identity Security Posture Management

Índice

Em um blog anterior sobre o Okta Identity Security Posture Management, discutimos os desafios e as possíveis soluções que as empresas enfrentam ao lidar com o gerenciamento e a segurança de contas locais. Hoje, analisaremos um exemplo de solução para equipes de segurança, independentemente do aplicativo que cria usuários locais.

O que explicaremos é baseado em um processo de duas etapas:

  1. O Okta Identity Security Posture Management detecta contas locais, correlaciona seus riscos e prioriza a correção daqueles que são mais importantes.
  2. Okta Workflows permite a autorremediação com modelos e conectores pré-construídos flexíveis.

A priorização é fundamental

As equipes de segurança são soterradas por milhares de alertas de várias ferramentas todos os dias. As equipes de TI correm o risco de serem inundadas por tickets abertos por configurações incorretas orientadas pela segurança que precisam corrigir.

Os alertas variam no impacto, na praticidade e no risco de atrito comercial envolvido em sua correção. Muitas vezes, as equipes de segurança precisam recorrer a processos manuais que significam responder tarde demais e permitir que os invasores entrem antes que o risco seja eliminado. 

Além disso, a falta de conhecimento e permissões necessárias para investigar e corrigir problemas em aplicativos downstream reduz ainda mais a produtividade e resulta em tempo e recursos desperdiçados. É por isso que, de todos os problemas detectados, as equipes de segurança precisam ser capacitadas para priorizar de forma eficaz, abordando primeiro as vulnerabilidades mais críticas e acionáveis.

Exemplo prático

Vamos pegar um exemplo comum da vida real chamado "admin local não utilizado do Entra ID, sem multi-factor, senha antiga". De todas as contas locais, contas de usuário privilegiadas não utilizadas sem autenticação multi-factor (MFA) e senhas antigas são as mais acionáveis, apresentam riscos maiores e são as mais propensas a tornar sua organização vulnerável. 

Por quê? Vamos analisá-los com mais detalhes.

  • Mais acionável: contas não utilizadas podem ser desativadas com impacto mínimo nas operações de negócios.
  • Maior risco: Contas privilegiadas com permissões de administrador podem causar danos significativos e são altamente suscetíveis à exploração.
  • Mais vulneráveis: Contas sem MFA e com senhas antigas apresentam caminhos de ataque claros para agentes de ameaças.

Como remediar é bastante direto, com duas alternativas disponíveis. 

  1. Concentre-se no usuário arriscado e reduza o risco desativando imediatamente a conta local, removendo as permissões privilegiadas e redefinindo a senha.  
  2. Adote uma abordagem mais sistêmica criando uma campanha de revisão de acesso (para considerar se o acesso deve ser concedido novamente) ou substitua a conta local por uma conta de usuário federada da Okta e aplique o MFA.

Agora, vamos ver como essa abordagem pode ser implementada usando a plataforma Okta em um estudo de caso fictício.

Passo a passo: Detecção e correção automática com Okta Identity Security Posture Management e Workflows

Estudo de caso fictício: ACME Corp

Ali, uma funcionária da ACME Corp, criou uma conta local no Microsoft Entra ID com a função de administrador de aplicativos. Após a transição para uma nova função há três meses, sua conta foi deixada sem uso e vulnerável:

  1. Single sign-on não aplicado: A conta de Ali permitia o login com nome de usuário e senha em vez de utilizar métodos sem senha como o FastPass.
  2. Falta de políticas de segurança centralizadas: Nenhuma MFA foi exigida para a conta dela.
  3. Credenciais obsoletas: A senha não era atualizada há meses.
  4. Acesso privilegiado: As permissões de administrador de Ali permitiram que ela criasse aplicativos com acesso a dados confidenciais do usuário.

Este contexto está longe de ser o ideal do ponto de vista da postura de segurança de identidade.

A perspectiva do atacante

Um possível invasor poderia explorar a conta local de Ali, aproveitando suas permissões de administrador para criar aplicativos maliciosos, acessar dados confidenciais ou comprometer outras contas de usuário, colocando em risco significativo a segurança organizacional.

Fortalecendo a postura de segurança de identidade da ACME

A equipe de segurança da ACME implanta o Okta Identity Security Posture Management. A integração com o Microsoft Entra ID permite atualizações contínuas do inventário de identidade, incluindo a conta de usuário local de Ali (ali.lesch@acme.onmicrosoft.com). A equipe também configurou o Okta Identity Security Posture Management e a plataforma principal da Okta para se conectar via Workflows usando webhooks.

A solução correlaciona o acesso, as permissões e a postura de segurança de Ali, confirmando:

  • Esta conta é local e pertence a Ali.
  • A conta não está em uso.
  • O MFA (autenticação multifator) não está configurado.
  • A senha está desatualizada e aparece em listas de senhas vazadas.
  • A conta possui privilégios de administrador.

Após a detecção, um alerta intitulado "Administrador não utilizado, sem MFA, senha antiga" é acionado.

  • Um event hook rotulado como "Remediação de usuários locais" ativa um fluxo de trabalho automatizado: o fluxo de trabalho desativa automaticamente a conta local de Ali no Entra ID. 
  • O problema é subsequentemente resolvido, mitigando riscos potenciais.

Este exemplo simples demonstra a capacidade do Okta Identity Security Posture Management de identificar usuários de alto risco e priorizar a correção. Ele também exibe o aspecto acionável da solução e sua profunda integração com a plataforma Okta. Observe que a correção automatizada não se limita aos aplicativos Okta. Nossos clientes podem se integrar com suas próprias soluções usando webhooks.

Visão geral: Compromisso de Identidade Segura da Okta

Usando o Okta Identity Security Posture Management para detectar e correlacionar riscos combinados com o Okta Workflows para correção automatizada, as equipes de segurança podem reduzir os riscos de forma eficaz e imediata.

O Okta Identity Security Posture Management faz parte do Okta Secure Identity Commitment — O plano de longo prazo da Okta para liderar a luta contra ataques de identidade. Estamos armando os clientes com os produtos e serviços de que precisam para proteger a identidade no cenário de ameaças em constante mudança de hoje.

Estamos aqui para ajudar, então entre em contato com seu Gerente de Produto para ver como o Okta Identity Security Posture Management pode impactar sua capacidade de gerenciar sua postura de segurança de identidade e reduzir o risco de ser violado.

Sobre o autor

Lior Tamir

Senior Manager, Product Management

Lior Tamir is the Product Management and Design Team Lead for Okta Identity Security Posture Management. He comes from an extensive background in cybersecurity, having led the Identity Security product from incubation to successful acquisition by Okta, and previously addressed SOC challenges in incident detection, investigation, and response at Microsoft.

Continue sua jornada de identidade

Inicie o teste gratuito hoje mesmo ou entre em contato com nossa equipe para falar sobre suas necessidades exclusivas.

Começar
Falar com a Okta