Kimlik yönetimi için Okta’ya güvenen veya kimlik doğrulama yığınının bir parçası olarak Okta’ya sahip şirketler için, bir Okta ihlaliyle ilgili son rapor son derece endişe verici. Okta’nın (Okta CSO’su David Bradbury’ye göre) “nispeten küçük” bir olay olduğuna ve müşterilerin yapması gereken herhangi bir düzeltici önlem olmadığına dair güvencelerine rağmen, Okta kullanan kuruluşlardaki güvenlik ekipleri, olaya müdahale edip etmediklerini doğrulamak için kendi olay müdahale alıştırmalarını yapmalıdır. maruz kalmıştır.
Cloudflare bir blog yazısında, bir Cloudflare çalışanının e-posta adresinin saldırı grubu tarafından bir ihlal iddiasıyla yayınlanan ekran görüntülerinde yer alması nedeniyle, İnternet altyapı şirketinin dahili Güvenlik Olayı Müdahale Ekibinin bir soruşturma başlattığını söyledi. Gönderi, Cloudflare’in araştırmak için gerçekleştirdiği tüm eylemleri ayrıntılarıyla anlatıyor ve nasıl ilerlemeleri gerektiğini belirlemeye çalışan tüm kuruluşlar için yardımcı rehber bu ihlal haberiyle.
Cloudflare CTO’su John Graham-Cumming, Cloudflare’in güvenlik operasyonları mühendislik müdürü Lucas Ferreira ile birlikte, Cloudflare’ın SIRT’si günlükleri kontrol etti ve e-posta adresi ifşa olan çalışanla ilişkili parola değişiklikleri gibi ilgili denetim günlüğü olayı olmadığını tespit etti; ve algılama ve müdahale için bir güvenlik mühendisi olan Daniel Stinson-Diess. Bu çalışanın erişimi geçici olarak askıya alındı.
Blog gönderisine göre Cloudflare, Okta’yı çalışan kimliklerini yönetmek için dahili olarak kullanıyor, ancak müşteriyle ilgili hesaplar için kullanmıyor.
Cloudflare’nin güvenlik mühendisleri, “Okta uzlaşması durumunda, yalnızca bir kullanıcının şifresini değiştirmek yeterli olmaz” dedi. “Saldırganın aynı kullanıcı için yapılandırılmış donanım (FIDO) belirtecini de değiştirmesi gerekecek. Sonuç olarak, ilişkili donanım anahtarlarına dayalı olarak güvenliği ihlal edilmiş hesapları tespit etmek kolay olacaktır.”
Graham-Cumming, SIRT’nin günlüklerini ve Cloudflare’in güvenlik bilgileri ve olay yönetim sistemine alınan Okta günlüklerinin kopyasını “son üç aydaki parola sıfırlamaları da dahil olmak üzere olası şüpheli etkinlikler” için inceledi. 1 Aralık 2021’den bu yana parolasını sıfırlayan veya çok faktörlü kimlik doğrulama yöntemlerini değiştiren her çalışanın parolaları şirket tarafından yeniden sıfırlandı. Blog gönderileri, diğer kuruluşlardaki güvenlik ekiplerinin potansiyel maruziyetlerini doğrulamak için kendi Okta Sistemi günlüklerinde arama yapmak için kullanabilecekleri olay türlerini içerir. SIRT, Google Workplace e-posta günlüklerini de gözden geçirdi.
Graham-Cumming, Okta’ya güvenen güvenlik ekiplerinin şu anda ne yapması gerektiğine ilişkin tavsiyelerinde, “Tüm parola sıfırlamalarının geçerli olduğundan emin olun veya hepsinin şüphe altında olduğunu varsayın ve yeni bir parola sıfırlamayı zorlayın” diye yazdı.