Важные изменения в мире управления идентификацией
2025 год должен стать годом, когда поставщики идентификации сделают акцент на повышении качества программного обеспечения и безопасности. При этом необходимо улучшить прозрачность приложений и объективно оценивать результаты за пределами стандартов.
Такие компании, как Anthropic и OpenAI, уже внедрили ред-тестирование на новый уровень, улучшив свои процессы релиза. Поставщики идентификации, такие как Okta, также должны следовать этому примеру.
Сложности Okta с аутентификацией
Okta, подписавшая соглашение CISA о безопасности, до сих пор испытывает трудности с аутентификацией. В своём недавнем уведомлении компания сообщила о рисках, связанных с именами пользователей длиной 52 символа, которые могут быть объединены с кешированными ключами, обходя необходимость ввода пароля. Так, Okta рекомендует своим клиентам проверить системные журналы на предмет неожиданных аутентификаций.
Производительность многофакторной аутентификации (MFA)
- 91% администраторов Окта используют MFA;
- 66% пользователей также используют MFA;
- Google и Microsoft объявили о необходимости MFA для всех пользователей к 2025 году.
Прогресс Okta в рамках программы CISA
Okta подписала соглашение CISA в мае и стремится достичь семи целей безопасности. Однако остаются проблемы, такие как координация разнообразных команд в разработке новых приложений.
Управление уязвимостями и ред-тестирование
Поскольку управление уязвимостями требует более целенаправленных усилий, Okta должна вложить больше средств в ред-тестирование, чтобы идентифицировать уязвимости заранее.
Инциденты безопасности
История Okta содержит несколько инцидентов, подчеркивающих необходимость более строгого управления уязвимостями:
- Март 2021 – нарушение безопасности камер Verkada;
- Январь 2022 – компрометация группой LAPSUS$;
- Декабрь 2022 – кража исходного кода;
- Октябрь 2023 – утечка данных клиентов через службу поддержки;
- Октябрь 2024 – обход аутентификации по имени пользователя.
Стратегии ред-тестирования для повышения безопасности
Okta и другие поставщики управления идентификацией могут улучшить свою безопасность, взяв на вооружение уроки ред-тестирования от Anthropic и OpenAI:
- Создание совместной работы человека и машины в тестировании;
- Использование адаптивного тестирования идентификации;
- Фокусировка на конкретных областях для ред-тестирования;
- Автоматизированные симуляции атак для тестирования платформ;
- Интеграция реальной информации оThreat- intelligence в процессы ред-тестирования.
Вызовы 2025 года в безопасности идентификации
С каждым годом угрозы кибербезопасности становятся все более изощренными. Поставщики услуг идентификации должны в полной мере решать эти проблемы и усиливать безопасность своих продуктов, что также включает интеграцию безопасности в их жизненные циклы разработки.
Инициатива CISA «Secure by Design» должна стать началом, а не концом. Поставщики идентификации, стремящиеся к улучшению, должны рассматривать стандарты как ценные ориентиры для постоянного совершенствования.
Основываясь на опыте и уроках ред-тестирования от Anthropic и OpenAI, Okta и другие компании должны создать сильные команды, которые смогут выявлять ошибки и защищать своих клиентов от новых угроз.