top of page

Okta Customer Identity Cloud的增強功能,以防止帳號接管

已更新:6月23日

文章來源 / Okta Official Blog


回顧 Okta Secure Identity Commitment 中推出的功能,保護企業的基礎設施、客戶以及客戶的客戶。


身份驗證正受到來自勒索軟體、駭客、內部惡意人員以及其他網路犯罪份子的攻擊。近年來,身份驗證已成為所有員工和消費者登入應用程序的主要資安入口。


因此,如果沒有針對身份威脅的全面防護措施,任何安全策略或態勢都是不完整的。


作為一家領導身份安全管理公司,Okta認真對待這項責任。2024 年2月,我們推出了Okta安全身份承諾:

  • 提供領先市場的安全身份產品和服務

  • 強化企業基礎設施

  • 倡導客戶最佳實踐,協助企業擁有最好的保護

  • 強化產業使其免受身份安全的攻擊


在這篇文章中,我們想花點時間分享我們的產品、工程、安全和業務技術團隊為增強Okta客戶識別雲(Okta Customer Identity Cloud)所做的一些工作,特別是為了確保:

  • 我們的基礎設施

  • 我們的客戶

  • 我們客戶的客戶


保障基礎設施安全

我們意識到業務的連續性會直接影響到客戶的安全性,更根本地影響到客戶拓展業務和服務用戶的能力。

廣泛來說,我們對所有內部人員、流程和技術都遵循和客戶的產品同樣嚴格的安全標準,強調一種從內到外的整體安全方法。

此外,我們正在加速投資,進一步加固我們的附屬系統(即與生產相鄰的系統)和企業系統。您可以在《Okta安全身份承諾》白皮書中找到我們公開的投資和活動的全面列表。


確保客戶的安全

帳號管理由於其角色所關聯的高級特權,常常成為帳號接管(ATO)攻擊的目標。

為了幫助防範針對特權角色的ATO嘗試,我們引入了多項新功能。


要求所有Auth0控制台管理員啟用多因素認證(MFA)

具有強大次級因素的多因子身份驗證 (MFA) ,已被證明是一種有效的方法,可以大幅對抗ATO攻擊,無論攻擊者使用已知(即被盜)的憑證還是暴力破解技術。


先前,對於Auth0管理員來說,多因素認證(MFA)是一個可選的要求,以避免對不需要這層防禦的情況下運行的企業增加額外的認證流量。然而,考慮到威脅環境的不斷演變,現在對於所有使用基於用戶名/密碼登錄或第三方社交登錄的平台來說,MFA已經成為強制性要求。


透過Auth0 Teams提升安全控制和治理支援

Auth0 Teams 是一個平台,旨在簡化您的用戶和用戶之間的管理,同時使您更清楚地了解Auth0控制台。更深入地了解,Auth0 Teams 提供以下功能:


  • 提供對用戶的可見性,包括相關詳細信息(如區域、租戶類型等)。

  • 對成員的可見性和控制,包括誰可以使用什麼角色訪問哪個用戶。

  • 能夠強制實施單一登錄(SSO),讓所有團隊成員和用戶成員透過自己的身份提供者訪問Auth0。

  • 限制在特定團隊上創建用戶的能力。

  • 管理訂閱和計費詳細信息(適用於自助訂閱)。


Auth0 Teams位於用戶帳號資格之上,因此它是用戶創建、讀取、更新和刪除租戶帳號成員身份中的任何詳細資訊的可見性和控制的單點。


在CIC管理員閘道中的ASN綁定

為應對更安全的身份驗證形式,對手正以會話Cookie作為一種替代方式來獲取對受保護應用程序和環境的訪問權。


通常透過信息竊取軟件和其他惡意軟件是從瀏覽器中提取,或透過中間人攻擊來獲取,暫時性cookies (session cookies)及就像黃金門票一樣,允許網路犯罪分子在不發出警報的情況下冒充合法用戶。如果攻擊者竊取了session cookies並注入到其瀏覽器中,那麼只要保持活動狀態,他們通常就可以與合法使用者存取相同資料。


儘管連線劫持(Session hijacking)可能會有所擴展,但這種方法更有可能作為針對特定用戶(例如管理員)的攻擊,尤其是高價值組織。


為了防止已建立的連線劫持(Session hijacking),Okta將在觀察到API或Web請求期間的ASN (Autonomous System Number)與建立Session記錄的ASN不符合時,將自動撤銷Okta管理員控制台Session。


當出現這種情況時,無論是合法管理員用戶改變位置(例如從家中登錄然後重新連接到咖啡廳),還是攻擊者試圖劫持會話時,合法管理員用戶將需要重新登錄。


保護客戶的客戶

在企業對消費者(B2C)的情況下,成功的ATO可能使攻擊者獲得訪問資源(例如忠誠計畫loyalty point)、特權(例如能夠購買產品,尤其是限量產品),以及有價值的流量統計和私人資訊(personally identifiable information,PII)。


在企業對企業(B2B)的情況下,成功的ATO可能使攻擊者獲得訪問高敏感數據,進而導致對目標企業嚴重的法規和合約罰鍰。在極端情況下可能導致業務中斷。


不幸的是,劣質的網路資案標準(poor security hygiene),特別像是簡易、常見或重複使用的密碼形態,意味許多使用者帳號容易受到自動化基於密碼的攻擊威脅。


此外,保護客戶身份及其相關的權利和特權,並不僅限於身份驗證。如果攻擊者竊取session cookies並將其注入瀏覽器中,那麼只要保持活動狀態,他們通常就可以與合法使用者存取相同session。

為了對抗這些威脅,我們在Customer Identity Cloud中引入了多項新的安全功能。


第四代機器人檢測

事實證明,借助 Okta AI 進行的機器人檢測能夠過濾近 80% 的針對身份驗證系統的機器人。重要的是,這些防禦功能實現不會帶來不必要的用戶流量,透過仔細訓練和不斷調整機器人檢測核心的AI,我們可以確保幾乎不需要用戶進行CAPTCHA驗證,保持無縫的使用體驗。


此外,有大量證據顯示,這種功效具有強大的威懾力,因為一些最大的客戶在啟用這一攻擊防護功能後,發現其 90 天的平均機器流量(bot traffic)下降了近 90%。最新版本的機器人檢測還整合了第三方數據,進一步提高了對抗bot traffic的效能。


Passkeys

無論是B2B還是B2C企業,都特別敏感於客戶身份驗證流程中的流量,因為不必要的流量可能會對轉化率和收入產生不利影響。


自適應多因子認證(Adaptive MFA)和增強型身份驗證(Step-up Authentication)有助於平衡便利性和安全性,但是passkeys已經被證明在許多方面提供了安全、便捷和密切的用戶體驗,超越了其他方法的可用性。


基於FIDO聯盟和世界廣播網聯盟(W3C)的標準,以加密金鑰對取代密碼,使其能夠抵禦網路釣魚攻擊。用戶可以透過生物識別或輸入設備訪問代碼的方式訪問(即使用)passkeys,就像解鎖手機設備一樣。


透過 Okta CIC中的金鑰,應用程式建構者和數位團隊可以減少登入流量並加強針對ATO的防護。


Session management API

Passkeys是消除密碼的重要一步,有助於對抗帳號接管。然而,如上所述,當今的攻擊者更專注於session hijacking,這是一種獨立於身份驗證安全的威脅。


我們的新Session Management API使企業和開發人員能夠在身份驗證後,對體驗進行更大的控制,透過集中訪問用戶跨應用程式的sessions列表和撤銷功能。如果企業懷疑其sessions已被劫持,他們可以預先撤銷,從而保護其客戶和企業。


了解更多關於Okta Secure Identity Commitment

Okta 致力成為對抗基於身份攻擊的產業領導者,隨著技術和威脅事態的演變而不斷發展。若要了解最新消息和更多資訊(包括身份安全檢查表),請造訪 Okta 安全身份承諾。




Comments


bottom of page