في 19 أكتوبر، أبلغت شركة Okta عملائها بحادث يتعلق بالأمن السيبراني يتضمن الوصول غير المصرح به إلى نظام دعم العملاء الخاص بها. وبعد الانتهاء من تحليل السبب الجذري ومعالجته، تأكدت شركة إدارة الهوية والوصول من ذلك 134 من عملائها تأثروا.
وكانت BeyondTrust و1Password وCloudflare من بين الشركات المتأثرة. حددت كل من هذه الشركات الاختراقات في أنظمتها المتعلقة باختراق Okta. كيف تمكن ممثل التهديد من اختراق Okta، وما الذي يجب أن يفكر فيه مدراء تكنولوجيا المعلومات مع استمرار مخاطر الطرف الثالث في كونها تحديًا لا مفر منه في النظم البيئية المترابطة لمؤسساتهم؟
اكتشاف الانتهاك والرد عليه
وأكدت شركة “أوكتا” أن أحد عناصر التهديد تمكن من الوصول إلى الملفات الموجودة في نظام دعم العملاء الخاص بها في الفترة من 28 سبتمبر إلى 27 أكتوبر، وفقًا لبيانات الشركة. ملخص تنفيذي من الحادث. حدد مدير كلمات المرور 1Password نشاطًا مشبوهًا على مثيل Okta الخاص به في 29 سبتمبر، وفقًا لشركة مدونة. أبلغت شركة إدارة الهوية والوصول BeyondTrust عن هجوم على حساب مسؤول Okta داخلي في 2 أكتوبر، وفقًا لتقرير واسع النطاق. مدونة بشأن حادث الأمن السيبراني. في 18 أكتوبر، قامت شركة الخدمات السحابية Cloudflare بتتبع الهجمات على نظامها وصولًا إلى Okta، وفقًا لما ذكرته مدونة.
مارك ميفريت، الرئيس التنفيذي للتكنولوجيا في بيوند تراستيقول InformationWeek أن شركته أمضت أسبوعين في محاولة تصعيد المشكلة مع Okta. “لقد حاولنا بسرعة العمل مع Okta، حيث تحولنا من فريق الدعم الخاص بهم إلى محاولة التحدث إلى فريق الأمن وتصعيد الأمور وأصبح ذلك نوعًا من المسعى الذي يستغرق أسبوعين”.
أفادت كل من BeyondTrust و1Password وCloudflare أن الاختراق لم يؤثر على بياناتهم أو عملائهم.
قررت Okta أن التعرض مرتبط بموظف قام بتسجيل الدخول إلى ملف شخصي شخصي في Google في Chrome على جهاز كمبيوتر محمول للشركة. تم حفظ اسم المستخدم وكلمة المرور لحساب الخدمة في حساب Google الشخصي للموظف. من المحتمل أن يكون هذا الحساب الشخصي قد تعرض للاختراق، مما سمح بكشف بيانات اعتماد حساب الخدمة، وفقًا للملخص التنفيذي لشركة Okta.
“لقد أبلغنا جميع العملاء بالنتائج التي توصلنا إليها وأكملنا المعالجات لحماية جميع عملائنا”، وفقًا لبيان أرسل عبر البريد الإلكتروني من Okta.
تتضمن جهود المعالجة التي تبذلها الشركة تعطيل حساب الخدمة المخترق والمراقبة المحسنة لنظام دعم العملاء الخاص بها. بالإضافة إلى ذلك، أصدرت “ربط رمز الجلسة استنادًا إلى موقع الشبكة كتعزيز للمنتج لمكافحة تهديد سرقة رمز الجلسة ضد مسؤولي Okta”، وفقًا للتقرير التنفيذي.
اتخذت Okta أيضًا خطوات لمنع موظفيها من تسجيل الدخول إلى ملفات تعريف Google الشخصية على Chrome عند استخدام أجهزة الكمبيوتر المحمولة الخاصة بالشركة.
الاستجابة لمخاطر الطرف الثالث المستمرة
وهذه ليست المرة الأولى التي يتم فيها اختراق Okta. في عام 2022، قامت مجموعة ابتزاز Lapsus$ اخترق الشركة. هذا العام، الجهات الفاعلة التهديد اقتحم أوكتا لتنفيذ الهجوم الأخير ضد منتجعات MGM وقيصر. وتم الكشف عن البيانات الشخصية وبيانات الرعاية الصحية لموظفي Okta عبر خرق بائع الطرف الثالث.
ومن المرجح أن تتكرر مثل هذه الانتهاكات مرة أخرى، ويتعين على قادة الأمن السيبراني أن يأخذوا في الاعتبار ما يعنيه ذلك بالنسبة لمؤسساتهم.
تعتبر مخاطر الطرف الثالث متأصلة في العمليات الحديثة لمعظم المؤسسات. “من المحتمل أن يكون لدى أي مؤسسة حديثة اليوم عشرات من الموردين والمزودين الأساسيين الذين قد يشكلون خطرًا أمنيًا كبيرًا إذا تم اختراقهم [to] يقول بواز جيلبورد، كبير مسؤولي الأمن في شركة السحابة: “المنظمة”. أكاماي.
يتمتع مقدمو الخدمات مثل Okta بجاذبية خاصة لأنهم يقدمون للجهات الفاعلة في مجال التهديد مفاتيح اختراق العديد من المنظمات ومتابعة مجموعة واسعة من الأهداف الشائنة.
“سوف يحدث؛ “إنها مجرد طبيعة كونك أحد أفضل مزودي الهويات في هذا المجال،” جيسون ريبهولز، رئيس قسم تكنولوجيا المعلومات في شركة التأمين السيبراني تأمين كورفوسيؤكد. “إذن، كم عدد البائعين الذين يستخدمونها؟ هل تعرف أن؟”
إن إجراء حوار مستمر مع مقدمي الخدمات المهمين يمكن أن يساعد مدراء تكنولوجيا المعلومات وفرقهم في الإجابة على هذا السؤال. من المهم أن نتحدث عن “ما هي بعض آليات الدفاع الخاصة بهم وما هي بعض الطرق التي قد تتفاعل بها تعقيدات أنظمتهم ونقاط الضعف مع أنظمتك الخاصة”، كما يقول جيلبورد.
يمكن أن يساعد حساب نقاط الضعف المحتملة لمقدمي الخدمات المهمين أثناء اختبار القلم والتمارين المكتبية المؤسسات على توسيع خطط الاستجابة للحوادث تحسبًا لانتهاكات الطرف الثالث المستقبلية.
فهم الخطأ البشري
على السطح، فإن الاختراق الذي حدث في أوكتا هو نتيجة لخطأ بشري. “لقد ارتكب هذا الموظف خطأ: تسجيل الدخول إلى حساب Google الشخصي الخاص به، ومن لم يفعل؟” يقول تال سكفيرر، قائد فريق البحث في أستريكس الأمن، شركة أمن الهوية.
إن مزيج الاستخدام الشخصي والاستخدام المؤسسي على الكمبيوتر المحمول الخاص بالشركة ليس جديدًا، ولن يختفي. قد يكون لدى الشركات في بعض الصناعات الخاضعة للتنظيم الصارم قيود مطبقة لحظر هذا الاستخدام الشخصي، ولكن هذا ليس هو القاعدة.
يقول جيلبورد: “سيكون هناك دائمًا مستوى معين من الوصول إلى البيئات التي لا تخضع بالكامل لسيطرة الشركة”.
الخطأ البشري هو أيضا خارج عن سيطرة الشركة. على الرغم من أن تعليم المستخدم يعد أداة قيمة، إلا أنه ليس خط الدفاع الأخير. يقول ريبهولز: “إذا كنت تعتمد على المستخدمين ليكونوا خط الدفاع والأمن الأول والوحيد لديك، فقد خسرت بالفعل”.
السؤال الأكثر أهمية ليس كيفية إيقاف خطأ المستخدم، بل ما نوع استراتيجيات الدفاع المتعمق التي يستخدمها فريق الأمن لمراعاة حتمية ارتكاب البشر للأخطاء؟
وفي حالة حدوث اختراق مثل الذي تعرضت له أوكتا، يؤكد سكفيرر على أهمية تأمين ومراقبة حسابات الخدمة. ويوضح قائلاً: “تعامل مع حسابات الخدمة باعتبارها أكثر خطورة من المستخدم العادي”. ويوصي باتخاذ التدابير اللازمة لتأمين بيانات اعتماد حساب الخدمة، حتى لو ارتكب الأشخاص أخطاء.
“كيف نحاول حماية حسابات الخدمة هذه حتى لا يكون لدى الأشخاص خيار محاولة حفظ ذلك في الحساب الشخصي أو حساب الشركة؟” يسأل ريبولز.
بالإضافة إلى ذلك، يمكن لمراقبة نشاط حساب الخدمة تنبيه المؤسسات إلى السلوك المشبوه.
التعلم من الخرق
يُعد خرق Okta هذا بمثابة تذكير بمخاطر الطرف الثالث والأخطاء البشرية. يدرك مدراء تكنولوجيا المعلومات أن هذه القضايا ملحة وتؤثر على كيفية قيامهم بعملهم، ولكن حوادث الأمن السيبراني المرتبطة بكل منهما لا تزال قائمة. ما هي الدروس التي يمكن أن يتعلمها قادة الأمن لبناء المرونة في مواجهة واقع التهديدات الحالية؟
يشير مايفريت من BeyondTrust إلى أن العديد من الشركات لديها نهج منعزل فيما يتعلق بالأمن. تقوم الفرق المختلفة، التي غالبًا ما تعمل بشكل منعزل، بتشغيل عناصر البنية التحتية المحلية والسحابية وSaaS لبيئة المؤسسة. والمهاجمون حريصون جدًا على الاستفادة من تلك الصوامع، حيث يقومون أولاً بتسوية جزء من البنية التحتية لتكنولوجيا المعلومات ثم التحول إلى جزء آخر.
“لقد تواصلت مع العديد من مسؤولي أمن المعلومات الذين يحاولون في الأساس معرفة أولاً وقبل كل شيء كيف ينبغي عليهم التفكير في الأمر على المستوى التنظيمي. كيف يكسرون هذه الصوامع داخليًا؟ يقول InformationWeek. “إنه ليس منتجًا واحدًا أو شيئًا يمكنك طرحه في مشكلة كهذه. إنها الطريقة التي تضع بها نفسك تنظيمياً [so] أن لديك رؤية مركزية وفهمًا لأمن الهوية؟
