What Okta’s failures say about the future of identity security in 2025

2025 年必須是身份提供商全力提升軟件質量和安全性的年份，包括紅隊測試，同時使他們的應用程序更加透明，並對超出標準的結果進行客觀評估。

Anthropic、OpenAI 和其他領先的人工智能公司將紅隊測試提升到了一個新水平，徹底改革了他們的發佈流程。身份提供商，包括 Okta，需要效仿他們的做法。

雖然 Okta 是首批簽署 CISA“安全設計” 承諾的身份管理供應商之一，但他們在身份驗證方面仍然面臨挑戰。Okta 最近的通知告知客户，52 個字符的用户名可以與存儲的緩存密鑰結合，從而繞過登錄時提供密碼的需要。Okta 建議符合前提條件的客户檢查他們的 Okta 系統日誌，以查找 2024 年 7 月 23 日至 2024 年 10 月 30 日期間來自超過 52 個字符的用户名的意外身份驗證。

Okta 指出，其在工作身份雲的多因素身份驗證（MFA）採用方面的表現堪稱一流。這是保護客户的基本要求，也是競爭這一市場的必要條件。

谷歌雲宣佈到 2025 年所有用户都必須使用多因素身份驗證（MFA）。微軟也已要求從今年 10 月開始，Azure 必須使用 MFA。“根據最近的一篇博客文章，從 2025 年初開始，將逐步強制在 Azure CLI、Azure PowerShell、Azure 移動應用程序和基礎設施即代碼（IaC）工具的登錄時使用 MFA。”

Okta 在 CISA 的安全設計中取得了成效

許多身份管理供應商簽署 CISA 安全設計承諾是值得稱讚的。Okta 在今年 5 月簽署了該承諾，承諾實現該倡議的七個安全目標。儘管 Okta 在不斷取得進展，但挑戰依然存在。

在嘗試發佈新應用程序和平台組件的同時追求標準是具有挑戰性的。更棘手的是，保持多樣化、快速發展的 DevOps、軟件工程、質量保證、紅隊、產品管理和市場營銷團隊的協調與專注於發佈。

1. 在多因素身份驗證方面要求不夠嚴格：Okta 報告稱，MFA 的使用顯著增加，截至 2024 年 1 月，91% 的管理員和 66% 的用户使用 MFA。與此同時，越來越多的公司在不依賴標準的情況下強制要求 MFA。谷歌和微軟的強制 MFA 政策突顯了 Okta 自願措施與行業新安全標準之間的差距。

• 漏洞管理需要改進，從對紅隊的堅定承諾開始。 Okta 的漏洞賞金計劃和漏洞披露政策在大多數情況下是透明的。他們面臨的挑戰是，漏洞管理的方式仍然是反應性的，主要依賴外部報告。Okta 還需要在紅隊測試上投入更多，以模擬現實世界的攻擊並預先識別漏洞。如果沒有紅隊測試，Okta 可能會遺漏特定的攻擊向量，從而限制其早期應對新興威脅的能力。

• 日誌記錄和監控的增強需要加快推進。 Okta 正在增強日誌記錄和監控能力，以提高安全可見性，但截至 2024 年 10 月，許多改進仍未完成。實時會話跟蹤和強大的審計工具等關鍵功能仍在開發中，這妨礙了 Okta 在其平台上提供全面的實時入侵檢測。這些能力對於為客户提供對潛在安全事件的即時洞察和響應至關重要。

Okta 的安全失誤顯示出更強大漏洞管理的必要性

雖然每個身份管理提供商都經歷過攻擊、入侵和泄露，但有趣的是，Okta 如何利用這些事件作為燃料，利用 CISA 的安全設計框架進行自我重塑。

Okta 的失誤強烈表明需要擴大其漏洞管理舉措，借鑑 Anthropic、OpenAI 和其他人工智能提供商的紅隊經驗，並將其應用於身份管理。

Okta 最近經歷的事件包括：

• 2021 年 3 月 – Verkada 攝像頭泄露：攻擊者獲得了超過 150,000 個安全攝像頭的訪問權限，暴露了重大網絡安全漏洞。
• 2022 年 1 月 – LAPSUS$集團入侵：LAPSUS$網絡犯罪集團利用第三方訪問入侵了 Okta 的環境。
• 2022 年 12 月 – 源代碼盜竊：攻擊者盜取了 Okta 的源代碼，指出內部訪問控制和代碼安全實踐的缺陷。這次泄露突顯了加強內部控制和監控機制以保護知識產權的必要性。
• 2023 年 10 月 – 客户支持泄露：攻擊者通過 Okta 的支持渠道未經授權訪問了約 134 個客户的數據，並於 10 月 20 日被公司確認，最初是通過被盜憑證獲得對其支持管理系統的訪問權限。隨後，攻擊者獲得了包含活動會話 cookie 的 HTTP 歸檔（.HAR）文件，並開始入侵 Okta 的客户，試圖滲透他們的網絡並竊取數據。
• 2024 年 10 月 – 用户名身份驗證繞過：一個安全漏洞允許通過繞過基於用户名的身份驗證進行未經授權的訪問。該繞過突顯了產品測試中的弱點，因為該漏洞本可以通過更徹底的測試和紅隊實踐被識別和修復。

未來身份安全的紅隊策略

Okta 和其他身份管理提供商需要考慮如何在不依賴任何標準的情況下改善紅隊測試。企業軟件公司不應該需要標準才能在紅隊測試、漏洞管理或在其系統開發生命週期（SDLC）中整合安全性方面表現出色。

Okta 和其他身份管理供應商可以通過借鑑以下來自 Anthropic 和 OpenAI 的紅隊經驗教訓來改善其安全態勢，並在此過程中增強其安全性：

在測試中故意創造更多持續的人機協作： Anthropic 將人類專業知識與 AI 驅動的紅隊測試相結合，揭示了隱藏的風險。通過實時模擬各種攻擊場景，Okta 可以主動識別並在產品生命週期的早期解決漏洞。

致力於在自適應身份測試中表現出色： OpenAI 使用複雜的身份驗證方法，如語音認證和多模態交叉驗證來檢測深度偽造，這可能會激勵 Okta 採用類似的測試機制。增加自適應身份測試方法也可以幫助 Okta 防禦日益複雜的身份欺詐威脅。

優先考慮特定領域的紅隊測試使測試更具針對性： Anthropic 在專業領域的針對性測試展示了領域特定紅隊測試的價值。Okta 可以受益於將專門團隊分配到高風險領域，如第三方集成和客户支持，在這些領域中，細微的安全漏洞可能會被忽視。

需要更多自動化攻擊模擬來 壓力測試身份管理平台。 OpenAI 的 GPT-4o 模型使用自動化對抗攻擊不斷對其防禦進行壓力測試。Okta 可以實施類似的自動化場景，使其能夠快速檢測和響應新漏洞，特別是在其 IPSIE 框架中。

承諾更多實時威脅情報集成： Anthropic 在紅隊內部的實時知識共享增強了他們的響應能力。Okta 可以將實時情報反饋循環嵌入其紅隊測試流程中，確保不斷變化的威脅數據立即通知防禦措施，並加速對新興風險的響應。

為什麼 2025 年將以前所未有的方式挑戰身份安全

對手在不斷努力將新的自動化武器添加到他們的武器庫中，每個企業都在努力跟上。

由於身份是大多數泄露事件的主要目標，身份管理提供商必須直面挑戰，並在其產品的各個方面加強安全性。這需要將安全性集成到他們的 SDLC 中，並幫助 DevOps 團隊熟悉安全性，以便在發佈前不會匆忙處理這一後續事項。

CISA 的安全設計（Secure by Design）倡議對每個網絡安全提供商都至關重要，尤其是對身份管理供應商而言。Okta 在安全設計方面的經驗幫助他們發現了漏洞管理、日誌記錄和監控中的差距。但 Okta 不應該止步於此。他們需要全力以赴，重新聚焦於紅隊測試，借鑑 Anthropic 和 OpenAI 的經驗教訓。

通過紅隊測試提高數據的準確性、延遲和質量是任何軟件公司創造持續改進文化所需的動力。CISA 的安全設計只是起點，而不是終點。進入 2025 年的身份管理供應商需要將標準視為：指導持續改進的有價值框架。擁有一個經驗豐富、穩固的紅隊功能，可以在產品發佈前捕捉錯誤，並模擬來自日益熟練和資金充足的對手的激烈攻擊，是身份管理提供商武器庫中最強大的武器之一。紅隊測試是保持競爭力的核心，同時也為與對手保持平衡提供了戰鬥機會。

作者注：特別感謝 Taryn Plumb 在收集見解和數據方面的合作與貢獻。