从身份厂商OKTA黑客攻击事件,企业应该注意几大安全问题

于 2022-07-27 14:46:49 发布
阅读量1.2k 收藏
点赞数
文章标签: paas
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39884933/article/details/126014566
版权
Okta遭受黑客组织Lapsus$的攻击,暴露了内部系统,但服务本身未受破坏。攻击源于终端安全漏洞。企业应关注终端安全,实施多因素认证(MFA),加强云安全态势,并选择安全的身份管理产品。OneAuth作为云原生身份服务提供商,提供全程加密传输存储、数据隔离和私有化部署,支持多种身份验证协议和企业身份源集成,强化用户安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

被全球数千家企业使用的认证技术方案公司Okta表示,它正在调查一个潜在的漏洞消息。披露这一消息时,黑客组织 Lapsus$ 在其 Telegram 频道上发布了自称是 Okta内部系统的截图,其中一张似乎显示了 Okta 的 Slack 频道,另一张是 Cloudflare 界面。

acb1d8e54d91e55e21513ce10b94ded9.jpeg

Okta 是一家拥有超过15,000名客户的身份认证服务,周二表示,攻击者在1月份可以访问支持工程师的笔记本电脑五天。但据该公司称,该服务本身并未遭到破坏。


01.OKTA的事件发生回顾

46177768ec03d33d9cb39cc0b5eb345b.jpeg

Okta 泄密事件的主要原因:内部员工终端缺乏安全性

今年1月21日,Okta 安全团队成员收到警报,称一个新的多因素验验证已从新位置添加到了 Sitel Group 员工帐户。

经调查发现,有人使用远程桌面协议闯入了 Sitel 一名工程师的计算机。由于这名工程师对系统的访问权限有限,他无权创建或删除用户,也无权下载客户数据库,其对客户数据的访问也非常有限,因此对 Okta 客户造成的影响比较小。

就在事件过后刚刚半年的时间 Okta 再次出现严重的安全事故事件

研究人员指出,对 Okta 来说,密码之所以会以明文形式存在,是因为其缺少可靠的标准协议进行哈希同步。Authomize 还提到,Okta 方面已经承诺由产品团队认真研究密码泄露风险。

  1. 通过跨域身份管理(SCIM)提取明文密码,应用管理员可以提取其它高权限账号的密码;

  2. 通过未加密通道(HTTP)传输密码和敏感数据,SCIM服务器与Okta之间的所有流量可被嗅探;

  3. Hub & Spoke 架构下,子组织管理员可以仿冒主组织超级管理员账号,获取超管权限;

  4. 用户可修改姓名,身份可变导致日志欺骗。

Verizon 2022年数据泄露调查报告发现,有82%的泄露事件涉及凭证被盗和网络钓鱼等元素。更令人担忧的是,应用程序管理员往往并未被视为高权限身份。


而这两次攻击事件发起者 Lapsus$ 是一个黑客组织,它声称对影响 NVIDIA、三星、微软和育碧的一些高调黑客入侵事件负责,在某些情况下甚至窃取了数百GB的机密数据。自去年 12 月以来窃取了几位知名企业受害者的数据。


02.对于企业应该如何保证企业数据的安全问题?

基于两次安全事件的问题主要来源于工程师终端遭遇入侵,导致 Okta 造成重大影响,对于终端的设备的安全,以及受信任的端点管控尤为关键和重要。企业也应该多方面对员工终端进行安全性的持续评估。

  • 加强实施 MFA(Multi-Factor Authentication,多因子验证,简称“MFA”)——MFA缺口是攻击者的一条关键攻击途径。企业应设置 MFA 选项,并尽可能限制短信和电子邮件,比如使用 Authenticator 或 FIDO 令牌。

  • 需要运行良好且受信任的端点——企业应持续评估设备安全性,通过配置安全设备,确保访问 SaaS 平台的设备符合安全策略。

  • 加强和监控企业的云安全态势——企业起码应为用户设置有条件的访问,要求其采用 MFA ,并阻止高风险用户登录。

通过 Okta 的两次安全事件,对于企业在选择身份管理的产品上也应该注意。厂商的产品逻辑以及涉及密码数据的相关处理问题,如在传输和存储的过程中是否进行加密,厂商是否保存用户的未加密的数据等等。

而 OneAuth 作为国内的云原生的身份服务提供商,在对于用户数据方面,保持着严谨的态度。

  • 用户登录 OneAuth 的密码是不可逆的单向加密

  • OneAuth 对所有的数据传输都

  • OneAuth 不保存任何用户的明文密码数据

  • GWA 相关应用的数据,在用户浏览器端加密后保存在 OneAuth 的服务器上。



03.OneAuth 是如何帮助企业解决身份管理问题

相信通过 Okta 这两次的安全事件给企业带来了更多的警醒,企业应该如何通过身份管理解决数据安全的问题。

OneAuth 是作为国内云原生的身份服务提供商,支持多租户以及用户的数据隔离,对于任何密码数据 OneAuth 采用全程加密传输存储的方式,且此加密为单向加密不可逆,不保存任何用户的明文数据。并且对于有特殊要求的客户可进行私有化部署,让用户的数据自己掌握。

我们在功能上支持广泛的单点登录 SSO 协议,如 SAML 、OIDC、CAS 等。除此之外 OneAuth 还对不支持单点登录的 SaaS 应用在应用市场中进行适配,目前OneAuth GWA 已经支持包含数千个各个行业的 SaaS 类应用。

我们集成了多种企业身份源的支持,可接入钉钉、企业微信、Active Directory 进行组织架构人员信息的同步,以及向应用进行人员信息的同步和用户生命周期的统一管理。

对于 LDAP 相关设备的支持与管理,支持各种类型的设备或服务使用标准的 LDAP 方法调用进行查询和身份验证。无需传统 LDAP 实施的常规设置、维护工作。由此,OneAuth 具备了连接“人”与“设备”的能力,支持客户端通过 OneAuth LDAP 进行认证和同步账号。

在安全方面 OneAuth 支持通过策略引擎来部署多种用户场景,增加用户的安全性,自适应 MFA 多因素,解决企业应用安全访问的问题。



OneAuth
关注
博客
OneAuth 2022.11.23版本更新内容
11-25 558
通 OpenLDAP 协议可读取 OneAuth 中的用户组以及其中的成员。通过自定义Scope 和 Claims 进行 API 和数据的详细访问授权。在部分情况下,当策略和规则引用了位置和网络时无法正确命中策略和规则的问题。适应了更多 Web 网站的通过 GWA 身份认证方法的登录。同步飞书:OneAuth 可以同步飞书中的组织架构和用户。支持通过自定义属性和映射,获取北森中用户的自定义属性。
博客
如何基于钉钉通讯录生成LDAP服务
11-14 1714
如何通过钉钉目录 生成 LDAP服务,让企业运维LDAP更简单
博客
JumpServer 如何配置LDAP服务
11-14 1618
基于云的LDAP服务,快速配置JumpServer LDAP认证
博客
员工如何通过自助方式重置AD密码
11-14 1752
员工忘记AD密码,无法自助重置,通过OneAuth的 AD Agent 能够帮助企业轻松管理AD账号问题。
博客
IDaaS身份管理之属性映射和表达式
11-08 416
IDaaS身份体系建设可以高效管理用户,通过提供身份智能快发现和修正用户权限,避免遗漏。通过身份管理,能够增加企业对于
博客
用酒店门卡思路来深度理解OAuth2.0的工作原理
08-25 486
OAuth 2.0访问令牌和酒店房卡有什么共同点?酒店房卡与OAuth2.0 访问令牌是很相似的。 首先我们来用酒店的7个场景来更好的理解这个问题。01用酒店的7个场景类比这个问题 01前台验证即可获得房卡(验证身份获取Token)在酒店前台办理入住手续,出示您的身份证,您会得到一张房卡,您可以使用它进入您的酒店房间。在 OAuth 中,应用程序将用户发送到他们进行身份验证的 OAuth 服务器(类似于在前台出示身份证),然后 OAuth2.0 服务器将向应用程序发出访问令牌(Token)。02任何可以
博客
使用网络位置限制,保护公司数据安全
08-25 425
IP 限制策略通常是一组组合,例如定义的 IP 范围或单个 IP 地址和时间,因此 IP 限制解决方案允许管理员或组织所有者将单个用户限制为一个或多个预定义的 IP 地址。因此,启用 IP 限制可确保您的重要数据无法在不安全的公共场所或通过未注册的 IP 地址访问。通常,当用户尝试登录/访问其帐户时,IP 限制解决方案会根据允许列表评估登录请求的 IP 地址。如果您不知道您的 IP 地址,您可以通过百度键入“ IP ”来检查您的 IP 地址。动态 IP – 用户每次连接到网络时,IP 地址可能会有所不同。
博客
对于零信任 企业应该知道这22问
08-24 336
在产业数字化升级与业务上云的趋势下,传统企业保护边界逐渐被瓦解,企业被攻击面大幅增加,零信任这一网络安全的理念受到更多的关注,国内外围绕零信任展开大量的研究和实践。企业该如何部署零信任,OneAuth身份引擎云管理安全围绕零信任基于自身应用实践,梳理了22个常见的问题,帮助用户快速理解。Q1大家都在讨论零信任,零信任到底是什么?答:本质上,零信任既不是技术也不是产品,而是一种安全理念,“持续验证,永不信任”是其基本观点。零信任假定网络边界内外的任何访问主体(人/设备/应用),在未经过验证前都不予信任,需要
博客
云原生架构需遵循七个原则
08-23 946
作为一种架构模式,云原生架构通过若干原则来对应用架构进行核心控制。这些原则可以帮助技术主管和架构师在进行技术选型时更加高效、准确,下面将展开具体介绍。服务化原则在软件开发过程中,当代码数量与开发团队规模都扩张到一定程度后,就需要重构应用,通过模块化与组件化的手段分离关注点,降低应用的复杂度,提升软件的开发效率,降低维护成本。随着业务的不断发展,单体应用能够承载的容量将逐渐到达上限,即使通过应用改造来突破垂直扩展(Scale Up)的瓶颈,并将其转化为支撑水平扩展(Scale Out)的能力,在全局并发访问的
博客
使用spring security 实现CAS单点登录
08-22 1382
每次验证时,CAS Server 会根据 TGT签发一个ST,并把ST拼接在service参数中,同时将相应的TGC设置到用户的cookie中(域为CAS Server),并返回302 状态码,指示浏览器重定向到 service,例如 http://cas.client.com/me?在单点登录系统中,需要定义一个独立的认证中心,只有认证中心才能接受用户的用户名密码等安全信息,而其他系统并不提供登录入口,只接受认证中心的间接授权,间接授权通过令牌实现。,只需要登录一次就可以进入多个系统,而不需要重新登录。
博客
东半球最佳的身份引擎服务,诚邀探索
08-12 246
当然,每个组织都不会突然放弃其现有⽹络并将所有东⻄推到云中,但是,新的解决⽅案必须支持混合的场景,通过整合本地⽹路连接到云的场景,逐渐的转变。OneAuth 致力于为未来的云身份管理打造极致体验的产品,接受您对产品的任何挑战,对于采纳的建议,我们将提供精美的礼品一份。在认证环节,OneAuth 提供了非常灵活的策略配置,管理员可以根据能够想到的任意安全考量去设计用户的登录和获取权限的流程。连接消费者,建⽴⾯向消费者的统⼀设计语⾔的登录体验,以及建⽴企业级的⽤户中⼼。配置访问的策略以确定是授予还是拒绝访问。.
博客
如何完成繁杂的身份治理
08-12 559
例如身份源中企业微信的员工离职,管理员在企业微信中将员工状态变更,即同步状态到 OneAuth 中该员工则无法登录 OneAuth 继而收回之前授权的应用权限。OneAuth 的映射和表达式起到了非常关键的作用,无需任何代码,即可简便配置,支持复杂场景的账号关联和映射。例如一些企业,由于历史原因,HR 系统和 AD 的邮箱为公司邮箱,但是身份管理平台,需要简化的用户登录名称,登录名为邮箱前缀,而 OA 系统的登录名为用户 ID ,这就造成了各个系统之间的割裂。身份映射统一管理分散的身份。...
博客
企业如何实现安全可靠的云密码管理
08-12 1067
密码在企业应用中充当着身份鉴权的基本角色。云原生的发展国内SaaS类型的应用也日益增多,众多企业开始使用SaaS类的对企业的业务进行管理。如HR SaaS 、CRM、ERP等,对于密码的统一安全管理是众多企业都需要考虑的问题。‍面对众多的员工的应用账号密码应该如何合理有效的进行授权、管理、回收、这可能是众多企业管理员头疼的问题。企业内部存在着一些共享的账号应用,即多人使用同一账号。一般情况下管理员会将明文的账号密码直接分发给员工使用,这可能会造成该应用账号被其他人使用的可能性。当员工离职时,管理员通过修改账
博客
企业应用身份中台,让登录变得更加高效
08-11 407
SaaS的好处是无可争议的,但是在提升便利的同时也带来了新的安全风险。当公司授予用户的访问权限超过完成工作所需的权限,而无法查看或管理多个SaaS和公有云环境中的用户权限时,就容易出现权限越权,影响企业的信息数据泄露等安全隐患。随着近些年的云原生的应用兴起,企业开始对SaaS应用的管理需求日益增高。越来越多的企业开始部署IAM身份管理系统,而对于企业而言自研身份管理类软件成本高、周期长且上线时间慢,而选择一个合适企业身份管理中台,是大多数企业的绝佳选择。OneAuth企业应用身份中台OneAuth 单点登录
博客
北森 x OneAuth,自动化企业员工账号生命周期管理
08-10 710
随着互联网、AI、云计算技术等行业的高速发展,企业信息化建设已成为实现可持续发展和提高企业核心竞争力的重要手段。业务系统的不断增多,员工规模的不断壮大,员工的入职、离职以及权限的开通都需要人工手动来创建,对于大量员工变动的情况下,显然这是一个很重复且的事情,企业往往因为一些业务原因无法及时对离职员工的权限进行收回,易出现企业敏感数据外泄等安全问题。企业应该建设数字化身份生命周期管理,加强对身份管理的重视是当下云时代的有必要注意的问题之一。01.什么是生命周期管理数字化身份生命周期管理是企业内身份伴随其角色进
博客
新一代IAM爆发式增长,混合云时代,企业如何选择云身份管理
08-05 467
根据瞻博网络发布的一项研究报告,未来五年,全球在身份和访问管理( IAM )解决方案上的支出将增长62%,从今年预计的160亿美元增加到2027年的265亿美元。新增的 IAM 市场将主要基于 SaaS 模式(云 IAM ),分析师认为 SaaS 正在迅速成为购买 IAM 解决方案的主要模式——预计到2027年,云IAM将占据 IAM 市场的绝大部分。报告指出:“需要管理的设备和服务比以往任何时候都多,对相关访问权限的要求也不同。”“随着员工在企业中的不同角色迁移,需要跟踪的内容也越来越多,管理身份和访问变
博客
OneAuth云目录,助力企业数字化身份统一管理
08-05 688
一般大型企业内部存在的应用、设备,如堡垒机、防火墙设备、 VPN 网关,无线网络AC控制器等都支持 LDAP 管理功能。建立 LDAP 服务是个相对复杂耗时的过程,企业若想使用 LDAP 服务需要复杂的搭建以及配置,前期部署成本和后期维护成本相对比较高且需要专人维护,对于后期IT运维的要求高且管理维护也颇为复杂。有没有合适解决方案可以既能解决问题又能轻松的使用 LDAP 服务,实现企业现代化建设的数字化身份管理的统一,化繁为简的同时卓越的提升企业管理效率。OneAuth 云目录的特性云目录是&nbs
博客
SSO与密码管理工具的区别:该用哪种?
08-03 273
密码管理器解决方案和单点登录(SSO)有着相同的目的:让用户可以轻松地跨不同的应用程序登录。在这两种技术中,用户只需一次登录即可解锁对多个网站和应用程序的访问。这些相似之处就是为什么人们经常怀疑 SSO 和密码管理器是否是一回事。但事实并非如此。这两种技术都支持多应用程序登录,但方式完全不同。在本文中,我们将更详细地研究这些技术,并帮助您选择最适合您的组织的解决方案。...
博客
OneAuth 7月主题 如果失败,让失败的代价更低
07-28 206
这里是2022年第4期的 OneAuth《身份月报》—— 致力于成为对大家“有用”的 Highlight 看板——每月初通过公众号以及 EDM 邮件等渠道发布。也欢迎大家转发和反馈。对于任何反馈(包括但不限于内容上、形式上)我们不胜感激、并有小惊喜回馈,例如你希望从“身份管理月报”中看到哪些内容;自己推荐的信源、话题、会议等;内容排版或呈现形式上有哪些可以改进的地方等,对与 OneAuth 的期望等等。我们欢迎更多的小
博客
单点登录对企业的价值体现究竟有多少?
07-27 340
在过去的十年中,企业的 IT 管理员一直在应对企业内部各种不同的关键性变革:随着云服务的发展企业使用云应用越来越多;根据 Mary Meeker of Kleiner Perkins 发布的客户数据显示,企业内部跨部门协作使用的云服务应用系统平均达100多个 ,这个数量远远大于本地部署应用系统的数量。但是,这并不意味着本地部署应用系统会很快被完全取代。事实上,60%的 IT 决策者认为涉及关键业务性数据的应用系统都应该采用本地部署的形式。企业的应用系统数目的不断增多,其所带来的威胁也与日俱增。企业为员工在不
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值