附錄 99.2
發佈於 https://sec.okta.com/harfiles
十月客户支持安全事件-更新和建議採取的措施
日期:2023 年 11 月 29 日
在Okta於2023年10月披露的影響我們的客户支持管理系統(也稱為Okta幫助中心)的安全事件之後,Okta Security繼續審查我們在11月3日分享的初步分析,重新審視威脅行為者採取的行動。這包括手動重新創建威脅行為者在系統中運行的報告以及威脅行為者下載的文件。
今天,我們正在共享可能影響客户安全的新信息。
我們已經確定威脅行為者運行並下載了一份報告,其中包含所有Okta客户支持系統用户的姓名和電子郵件地址。所有 Okta Workforce 身份雲 (WIC) 和客户身份解決方案 (CIS) 客户都受到影響,但 FedRAMP High 和 DoD IL4 環境中的客户除外(這些環境使用威脅行為者無法訪問的單獨支持系統)。Auth0/CIC 支持案例管理系統也沒有受到此事件的影響。
威脅行為者於世界標準時間 2023 年 9 月 28 日 15:06 發佈了一份報告,其中包含 Okta 客户支持系統中每位用户的以下字段:
| | | | | | | | | | | | | | |
| 創建日期 | 上次登錄 | 全名 | 用户名 | 電子郵件 |
| 公司名 | 用户類型 | 地址 | [的日期]上次更改或重置密碼 | 角色:姓名 |
| 角色:描述 | 電話 | 手機 | 時區 | SAML 聯邦 ID |
報告中的大多數字段都是空白的,報告不包括用户憑據或敏感的個人數據。對於報告中99.6%的用户,記錄的唯一聯繫信息是全名和電子郵件地址。
儘管我們沒有直接的知識或證據表明這些信息正在被積極利用,但威脅行為者有可能利用這些信息通過網絡釣魚或社會工程攻擊來瞄準Okta客户。Okta 客户使用他們在自己的 Okta 組織中使用的相同帳户登錄 Okta 的客户支持系統。客户支持系統的許多用户都是Okta管理員。至關重要的是,這些用户必須註冊多因素身份驗證 (MFA),這不僅可以保護客户支持系統,還可以保護他們對 Okta 管理員控制枱的訪問。
鑑於姓名和電子郵件地址已被下載,我們評估針對這些用户的網絡釣魚和社會工程攻擊的風險增加。儘管94%的Okta客户已經要求其管理員使用MFA,但我們建議所有Okta客户都使用MFA,並考慮使用防網絡釣魚身份驗證器來進一步增強其安全性。請參閲產品文檔,為管理員控制枱(經典版或 OIE)啟用 MFA。
我們是如何發現這個的
在11月3日發佈RCA之後,Okta Security審查了我們對威脅行為者執行的行為的初步分析,包括手動重新創建威脅行為者在客户支持系統中運行的報告。我們發現,威脅行為者下載的一份特定報告的文件大小大於我們在初步調查期間生成的文件。經過進一步分析,我們得出結論,該報告包含所有客户支持系統用户的列表。我們初步分析中的差異源於威脅行為者對報告持未經過濾的看法。我們在11月的審查發現,如果從模板化報告中移除過濾器,則下載的文件會大得多,並且與我們的安全遙測中記錄的文件下載大小更接近。
我們還發現了威脅行為者訪問的其他報告和支持案例,其中包含所有 Okta 認證用户的聯繫信息、一些 Okta 客户身份雲 (CIC) 客户聯繫人以及其他信息。一些Okta員工信息也包含在這些報告中。此聯繫信息不包括用户憑據或敏感的個人數據。
我們正在與第三方數字取證公司合作以驗證我們的調查結果,並將在報告完成後與客户共享報告。
實施推薦的最佳實踐
我們建議所有客户立即採取以下措施來防禦針對其 Okta 管理員的潛在攻擊。
•多因素身份驗證 (MFA):我們強烈建議所有 Okta 客户至少使用 MFA 來保護管理員訪問權限。我們還強烈鼓勵客户使用防網絡釣魚身份驗證器(例如 Okta Verify FastPass、FIDO2 WebAuthn 或 PIV/CAC 智能卡)註冊管理用户,並在訪問所有管理應用程序時強制執行網絡釣魚防禦措施。請參閲產品文檔,為管理員控制枱(經典版或 OIE)啟用 MFA。
•管理員會話綁定:正如安全事件 RCA 中所述,客户可以在 Okta 中啟用搶先體驗功能,如果從具有不同 ASN(自治系統編號)的 IP 地址重複使用會話,則要求管理員重新進行身份驗證。Okta 強烈建議客户啟用此功能以進一步保護管理員會話。
•管理員會話超時:為了符合NIST AAL3準則並提高每位客户的安全狀況,Okta引入了管理員控制枱超時功能,該超時將設置為默認的會話持續時間和15分鐘的空閒時間。客户可以選擇編輯這些設置。預覽版將於 11 月 29 日開始作為搶先體驗功能提供,製作組織將於 12 月 4 日開始提供此功能。該功能將在2024年1月8日之前在所有制作組織中推出。已於 11 月 27 日向所有超級管理員發送了一封有關此變更的電子郵件,該通信的副本可在知識庫文章:管理員會話生命週期/空閒超時安全增強功能中找到。
•網絡釣魚意識:此外,Okta客户應警惕針對員工的網絡釣魚嘗試,尤其要警惕針對其IT幫助臺和相關服務提供商的社交工程嘗試。我們建議 Okta 客户採用我們業界領先的防網絡釣魚方法進行註冊、身份驗證和恢復。有關保護您的組織免受網絡釣魚侵害的更多信息,請參閲 Okta 網絡釣魚抵禦解決方案。我們還強烈建議客户查看其 IT Help Desk 驗證流程,並確保在對特權帳户執行密碼或因子重置等高風險操作之前進行適當的檢查,例如視覺驗證。