Kimlik bulutu sağlayıcısı Okta, üçüncü taraf bir sözleşme firması aracılığıyla şirketin bazı sistemlerine erişim sağlayan ve ardından Mart ayında uzlaşmayı ortaya çıkaran Lapsus$ gasp grubu tarafından sistemlerinin son zamanlarda ihlal edilmesine ilişkin soruşturmasını tamamladı.
Okta, Salı günü yayınlanan otopsi analizinde, ihlalin yalnızca iki müşteriyi etkilediğini ve bilgisayar korsanlarının Sözleşme firması Sitel’deki tek bir bilgisayarın kontrolünü 25 dakikalık bir süre boyunca sürdürdüğünü söyledi. Analizde, Okta’nın güvenlik şefi David Bradbury, kimlik ve erişim yönetimi firması başlangıçta 366 müşteriyi risk altında olarak değerlendirirken, etkinin çok daha az olduğunu belirtti.
İhlal, Okta’dan bildirim gelmemesi ve şirketin sistemlerine erişimin tek oturum açma (SSO) hizmetlerinin güvenliğini büyük ölçüde zayıflatabileceğine dair endişeler nedeniyle güvenlik camiasında şaşkınlığa neden oldu – Bradbury’nin kabul ettiği bir güven sorunu.
“Uzlaşmanın genel etkisinin, başlangıçta ele aldığımızdan önemli ölçüde daha küçük olduğu belirlenmiş olsa da, bu tür bir uzlaşmanın müşterilerimiz ve Okta’ya olan güvenleri üzerinde sahip olabileceği geniş bedelin farkındayız” dedi ve ekledi: Nihai adli tıp raporu, benzer olayları önlemek ve güvenlik olaylarına yanıt verme yeteneğimizi geliştirmek için tasarlanmış düzeltici eylemlerde bulunma kararlılığımızı azaltmaz.”
Okta, gelecekte saldırıları önlemek için üçüncü taraf yükleniciler için daha katı güvenlik gereksinimleri oluşturmayı ve uyumluluğu onaylamak için süreçlere sahip olmayı planlıyor. Şirket, Sitel ile bağlarını çoktan kesti, ölüm sonrası raporuna göre.
İş zekası firması Forrester Research’ün başkan yardımcısı Merritt Maxim, Okta ihlalinin SolarWinds ve Kaseya gibi önceki uzlaşmalardan alınan derslere ek olarak yazılım tedarik zincirlerine ve üçüncü taraf sağlayıcılara yönelik saldırıların profilini yükselttiğini söylüyor. Üçüncü taraf firmaların ve hizmet sağlayıcıların, müşterilerine hizmetlerinin güvenli olduğundan emin olmak için sürekli olarak önlemler almaları gerektiğini söylüyor.
“Bu, güvenlik kuruluşları için ön planda ve merkezde olması gereken, sağlayıcılar için yalnızca güvenlik anketleri yapmanın ötesine geçmek, gerçek değerlendirmeler yapmak ve üçüncü şahısları denetlemek için gereken bir konudur” diyor. “İhlalleri simüle edin ve olay müdahale planlarınızı test edin ve bunu mükemmel bir şekilde yapmak için satıcılara güvenmek yerine, bir ihlale yanıt olarak ne yapabileceğinizi belirlemelisiniz.”
Kendi Soruşturmanızı Yapın
Okta veya kendi üçüncü taraf sağlayıcısı Sitel gibi bir üçüncü taraf sağlayıcıda bir ihlal meydana geldiğinde, şirketler ya karanlıkta kalıyor ya da kendi soruşturmalarını sürdürmek zorunda kalıyor. Okta, ihlali bilip iki ay boyunca müşterilere haber vermemiş olsun ya da şirket bir yüklenicinin bilgisayarının güvenliğinin ihlal edildiğini anlamamış olsun, Cloudflare güvenlik ekibi üyeleri, işletmelerin bir olayın ayrıntılarını doğrulamaya hazır olması gerekir. Mart blog yazısında tartışıldı.
Lapsus$ grubu tarafından sızdırılan bazı ekran görüntüleri, Cloudflare’ın Okta örneğine erişimleri olabileceğini gösterdiği için Cloudflare kendi sistemlerini doğrulamak zorunda. Bir sağlayıcı ihlal edilir edilmez, şirketlerin, tüm parolaları kontrol etmek ve çok faktörlü kimlik doğrulama değişikliklerini doğrulamak gibi, sistemlerinin bütünlüğünü sağlamak için atılması gereken adımları açıklayan bir taktik kitabına sahip olmaları gerekir. destek grubu tarafından başlatılan etkinlik.
Gelecekteki araştırmaları kolaylaştırmak için Cloudflare’nin güvenlik ekibi, şirketlerin üçüncü taraf hizmetlerinden alınan günlükleri doğrulanabilir bir kopyaya sahip olmak için kendi tesislerinde saklamasını önerdi.
Cloudflare güvenlik şefi Joe Sullivan, “Yıllardır, tüm günlükleri kendimiz almak için bir hizmet sağlayıcı olarak farklı yazılımlarla çalışmak zor oldu” diyor. “Geçmişte birçok kez bir risk olduğunu düşündük ve günlüklere sahip değildik, bu yüzden çok proaktifiz.”
Tek Başarısızlık Noktası Olan Bulut Rife
Olay ayrıca, bulut sağlayıcılarının müşterilerinin güvenlik seviyelerini tipik olarak yükseltirken, çok fazla erişimin az sayıda sağlayıcıda yoğunlaşması nedeniyle bulutun saldırıları çektiğinin altını çiziyor. Sullivan, şirketlerin buluta taşıdıkları herhangi bir altyapının sunduğu riskleri anlamak için her zaman bir tehdit değerlendirmesi yaparak başlamaları gerektiğini söylüyor.
“Olabilecek en kötü şeyin ne olduğuna ve bu riski nasıl azaltacağınıza bakıyorsunuz” diyor. “Bir sistemden taviz verilmesi, bir grup müşteri verisinin açığa çıkmasına veya fikri mülkiyete erişilmesine yol açabiliyorsa, o zaman daha ileri gitmeniz gerekir.”
Forrester Research’ten Maxim, bulut modelinin güvenlik sorumluluğunun paylaşıldığını öne sürerken, şirketlerin kaderlerini kendi ellerine almaları gerektiğini anlamaları gerektiğini söylüyor.
“Satıcının güvenlikle ilgileneceğini ve her şeyi mükemmel bir şekilde yapacağını varsaymayın” diyor. “Doğru oyun kitaplarını ve politikaları hazır bulundurun, böylece bir olay olursa satıcı hazır olsun ya da olmasın harekete geçebilirsiniz.”
Okta, kendi adına, potansiyel güvenlik tehditlerine karşı görünürlüğü en üst düzeye çıkarmak için müşteri destek araçlarına erişen üçüncü taraf cihazlarını bile doğrudan yönetmeyi planlıyor ve destek personelinin görebileceği bilgi miktarını sınırlayacak, dedi Bradbury. şirketin ölüm sonrası analizi. Ek olarak, bir üçüncü taraf sağlayıcı olarak Okta, olayları müşterileriyle nasıl daha iyi iletişim kuracağını gözden geçirmeyi planlıyor.
Okta, bir yorum talebine yanıt vermedi.