附录 99.2
发布于 https://sec.okta.com/harfiles
十月客户支持安全事件-更新和建议采取的措施
日期:2023 年 11 月 29 日
在Okta于2023年10月披露的影响我们的客户支持管理系统(也称为Okta帮助中心)的安全事件之后,Okta Security继续审查我们在11月3日分享的初步分析,重新审视威胁行为者采取的行动。这包括手动重新创建威胁行为者在系统中运行的报告以及威胁行为者下载的文件。
今天,我们正在共享可能影响客户安全的新信息。
我们已经确定威胁行为者运行并下载了一份报告,其中包含所有Okta客户支持系统用户的姓名和电子邮件地址。所有 Okta Workforce 身份云 (WIC) 和客户身份解决方案 (CIS) 客户都受到影响,但 FedRAMP High 和 DoD IL4 环境中的客户除外(这些环境使用威胁行为者无法访问的单独支持系统)。Auth0/CIC 支持案例管理系统也没有受到此事件的影响。
威胁行为者于世界标准时间 2023 年 9 月 28 日 15:06 发布了一份报告,其中包含 Okta 客户支持系统中每位用户的以下字段:
| | | | | | | | | | | | | | |
| 创建日期 | 上次登录 | 全名 | 用户名 | 电子邮件 |
| 公司名 | 用户类型 | 地址 | [的日期]上次更改或重置密码 | 角色:姓名 |
| 角色:描述 | 电话 | 手机 | 时区 | SAML 联邦 ID |
报告中的大多数字段都是空白的,报告不包括用户凭据或敏感的个人数据。对于报告中99.6%的用户,记录的唯一联系信息是全名和电子邮件地址。
尽管我们没有直接的知识或证据表明这些信息正在被积极利用,但威胁行为者有可能利用这些信息通过网络钓鱼或社会工程攻击来瞄准Okta客户。Okta 客户使用他们在自己的 Okta 组织中使用的相同帐户登录 Okta 的客户支持系统。客户支持系统的许多用户都是Okta管理员。至关重要的是,这些用户必须注册多因素身份验证 (MFA),这不仅可以保护客户支持系统,还可以保护他们对 Okta 管理员控制台的访问。
鉴于姓名和电子邮件地址已被下载,我们评估针对这些用户的网络钓鱼和社会工程攻击的风险增加。尽管94%的Okta客户已经要求其管理员使用MFA,但我们建议所有Okta客户都使用MFA,并考虑使用防网络钓鱼身份验证器来进一步增强其安全性。请参阅产品文档,为管理员控制台(经典版或 OIE)启用 MFA。
我们是如何发现这个的
在11月3日发布RCA之后,Okta Security审查了我们对威胁行为者执行的行为的初步分析,包括手动重新创建威胁行为者在客户支持系统中运行的报告。我们发现,威胁行为者下载的一份特定报告的文件大小大于我们在初步调查期间生成的文件。经过进一步分析,我们得出结论,该报告包含所有客户支持系统用户的列表。我们初步分析中的差异源于威胁行为者对报告持未经过滤的看法。我们在11月的审查发现,如果从模板化报告中移除过滤器,则下载的文件会大得多,并且与我们的安全遥测中记录的文件下载大小更接近。
我们还发现了威胁行为者访问的其他报告和支持案例,其中包含所有 Okta 认证用户的联系信息、一些 Okta 客户身份云 (CIC) 客户联系人以及其他信息。一些Okta员工信息也包含在这些报告中。此联系信息不包括用户凭据或敏感的个人数据。
我们正在与第三方数字取证公司合作以验证我们的调查结果,并将在报告完成后与客户共享报告。
实施推荐的最佳实践
我们建议所有客户立即采取以下措施来防御针对其 Okta 管理员的潜在攻击。
•多因素身份验证 (MFA):我们强烈建议所有 Okta 客户至少使用 MFA 来保护管理员访问权限。我们还强烈鼓励客户使用防网络钓鱼身份验证器(例如 Okta Verify FastPass、FIDO2 WebAuthn 或 PIV/CAC 智能卡)注册管理用户,并在访问所有管理应用程序时强制执行网络钓鱼防御措施。请参阅产品文档,为管理员控制台(经典版或 OIE)启用 MFA。
•管理员会话绑定:正如安全事件 RCA 中所述,客户可以在 Okta 中启用抢先体验功能,如果从具有不同 ASN(自治系统编号)的 IP 地址重复使用会话,则要求管理员重新进行身份验证。Okta 强烈建议客户启用此功能以进一步保护管理员会话。
•管理员会话超时:为了符合NIST AAL3准则并提高每位客户的安全状况,Okta引入了管理员控制台超时功能,该超时将设置为默认的会话持续时间和15分钟的空闲时间。客户可以选择编辑这些设置。预览版将于 11 月 29 日开始作为抢先体验功能提供,制作组织将于 12 月 4 日开始提供此功能。该功能将在2024年1月8日之前在所有制作组织中推出。已于 11 月 27 日向所有超级管理员发送了一封有关此变更的电子邮件,该通信的副本可在知识库文章:管理员会话生命周期/空闲超时安全增强功能中找到。
•网络钓鱼意识:此外,Okta客户应警惕针对员工的网络钓鱼尝试,尤其要警惕针对其IT帮助台和相关服务提供商的社交工程尝试。我们建议 Okta 客户采用我们业界领先的防网络钓鱼方法进行注册、身份验证和恢复。有关保护您的组织免受网络钓鱼侵害的更多信息,请参阅 Okta 网络钓鱼抵御解决方案。我们还强烈建议客户查看其 IT Help Desk 验证流程,并确保在对特权帐户执行密码或因子重置等高风险操作之前进行适当的检查,例如视觉验证。