إعلان أوكتا الأسبوع الماضي أن تقريرًا سابقًا عن العملاء الذين تعرضوا لاختراق في شهر أكتوبر قد تم الاستهانة به بشكل كبير – مع الكشف عن قاعدة عملائها الضخمة بأكملها، بدلاً من 1٪ التي تم الإبلاغ عنها سابقًا – أرسل موجات صادمة عبر صناعات متعددة وترك قادة أمن تكنولوجيا المعلومات يتدافعون للرد.
باعتبارها واحدة من أفضل منصات حلول إدارة الهوية، تفتخر Okta بعدد كبير من العملاء من الشركات مثل FedEx وZoom وBain & Company وHPE وAlly Financial وغيرها الكثير. وكانت شركة Okta قد أعلنت سابقًا عن تعرض اثنين من عملائها – عمالقة الكازينو Caesars Entertainment وMGM Resorts – للاختراق في هجوم الهندسة الاجتماعية في سبتمبر مما أدى إلى اضطرابات كبيرة في الأعمال.
وفي أواخر أكتوبر، بدأت شركة Okta في إخطار مستخدمها بحدوث اختراق لنظام دعم العملاء الخاص بها. وفي ذلك الوقت، قالت الشركة إن الاختراق كشف 1% فقط من عملائها. لكن في منشور على مدونة الأسبوع الماضي، اعترفت الشركة بأنها لم تلاحظ أي نشاط ضار آخر في مراجعتها الأولية للانتهاك. وقالت الشركة إن المهاجم أجرى استعلامًا آليًا لقاعدة البيانات التي تحتوي على أسماء وعناوين بريد إلكتروني “لجميع مستخدمي نظام دعم عملاء Okta”.
وقالت الشركة إن جميع مستخدمي Okta’s Workforce Identity Cloud (WIC) وحلول هوية العملاء (CIS) تأثروا.
الاختراق يترك العديد من العملاء عرضة للتهديدات النشطة. تمكن ممثل التهديد من الوصول إلى الملفات في الفترة من 28 سبتمبر إلى 17 أكتوبر. وقالت الشركة إن أحد موظفي Okta قام بتسجيل الدخول إلى ملفه الشخصي الشخصي في Google على متصفح الويب Chrome الخاص بالكمبيوتر المحمول الخاص بالشركة.
صرح ميريت مكسيم، نائب الرئيس ومدير الأبحاث في شركة Forrester، لموقع InformationWeek في مقابلة أن شركات إدارة الهوية تمثل هدفًا جذابًا للمتسللين. “يعد أي نظام متعلق بإدارة الهوية والوصول هدفًا مغريًا للغاية للمتسللين، لأن هذه الأنظمة تحتوي على بيانات اعتماد ونوع آخر من المعلومات التي يمكن للمتسللين استخدامها… لذا، لا ينبغي لنا أن نتفاجأ بأن موفري الهوية مثل Okta يتعرضون للهجوم وسيستمرون في ذلك”. لنفعل ذلك.”
نصائح أوكتا للدفاع ضد الهجمات
وقالت Okta في منشورها على مدونتها إن العملاء المعرضين للخطر أصبحوا الآن معرضين لخطر الهجمات بأنفسهم.
“على الرغم من أنه ليس لدينا معرفة مباشرة أو دليل على أن هذه المعلومات يتم استغلالها بشكل نشط، إلا أن هناك احتمال أن يستخدم جهة التهديد هذه المعلومات لاستهداف عملاء Okta عبر هجمات التصيد الاحتيالي أو الهندسة الاجتماعية… نظرًا لأنه تم تنزيل الأسماء وعناوين البريد الإلكتروني، كتب ديفيد برادبري، كبير ضباط الأمن في شركة Okta: “نحن نقيّم أن هناك خطرًا متزايدًا لهجمات التصيد الاحتيالي والهندسة الاجتماعية الموجهة إلى هؤلاء المستخدمين”.
توصي Okta العملاء باتخاذ عدة خطوات فورية للدفاع ضد الهجمات المحتملة من الاختراق، بما في ذلك تأمين وصول المسؤول من خلال المصادقة متعددة العوامل (MFA)، و”ربط جلسة المسؤول” الذي يتطلب من المسؤولين إعادة المصادقة في حالات معينة، وضبط “مهلة جلسة المسؤول” على مدة الجلسة الافتراضية هي 12 ساعة ووقت الخمول 15 دقيقة، والوعي بالتصيد الاحتيالي.
وفي بيان لـ InformationWeek، قال متحدث باسم HPE إن الشركة تواصل التحقيق. “لقد قمنا بالتحقيق في التأثير المحتمل، وفي الوقت الحالي، لم نحدد أي اختراق لأنظمة HPE نتيجة لهذا الانتهاك. نحن نواصل مراقبة التطورات المتعلقة بهذا الحادث وسنتخذ الإجراء المناسب لحماية HPE وعملائنا، إذا لزم الأمر.
كيف يجب أن يستجيب CISOs بعد الانتهاك
ويقول مكسيم من شركة Forrester إن الشركات بحاجة إلى تعزيز أمنها والبقاء يقظين. ويقول: “إذا لم يكن المستخدمون يستخدمون بالفعل المصادقة الثنائية، فيجب عليهم تنفيذ ذلك على الفور”. “ويمكنهم أيضًا ممارسة الضغط على البائعين – للتأكد من أنهم يكشفون عن هذه الانتهاكات وأنهم يعرفون ما هي التصحيحات أو الإصلاحات الجديدة المتوفرة.”
وفي رسالة بالبريد الإلكتروني إلى InformationWeek، يقول هنري باجداساريان، مؤسس معهد إدارة الهوية، إن الاختلاط بين الاستخدامات التجارية والشخصية على الأجهزة يترك المؤسسات عرضة للتهديدات. نظرًا لأن الاختراق نشأ من أحد موظفي Okta، يقول Bagdasarian إن الشركات بحاجة إلى فحص مواقفها بشأن BYOD (إحضار جهازك الخاص) واستخدام الحسابات الشخصية على أجهزة العمل.
علاوة على ذلك، يحتاج الموظفون إلى تدريب أفضل على أفضل الممارسات لحماية المؤسسات من التهديدات.
“لا ينبغي لبرامج التدريب أن تركز فقط على الامتثال الصارم لسياسات العمل، بل يجب أيضًا التأكيد على أهمية العقلية الأمنية والتفكير النقدي من جانب الموظفين في جميع أنشطة الأعمال للتقييم الذاتي للعواقب والمخاطر المحتملة لتصرفات الموظفين لتقليل التهديد. ويكتب: “التعرض للوصول إلى بيانات الاعتماد وبيانات العمل”.
نظرًا لأن اختراق Octa نشأ من استخدام أحد الموظفين لحساب Google شخصي على متصفح Chrome، يقول مكسيم إن الشركات قد ترغب في التفكير في استخدام متصفحات أكثر أمانًا على مستوى المؤسسات متاحة الآن من جهات خارجية. ويقول: “توجد الآن سوق مخصصة لمتصفحات المؤسسات هذه”. “ربما كنا نظن جميعًا أن العالم لا يحتاج إلى متصفح آخر، ولكن في الواقع، الشركات تفعل ذلك. باستخدام هذا النوع من المتصفحات، تتمتع المؤسسة بالتحكم الكامل في ما يمكن للمستخدم فعله وما لا يمكنه فعله. لا يمكن أن تحدث هذه الحالة التي يقوم فيها المستخدم بخلط حساب Google Chrome الشخصي الخاص به مع المؤسسة باستخدام متصفح المؤسسة.
إعادة بناء الثقة بعد وقوع حادث
تمر Okta بعام صعب مع حدوث اختراقين كبيرين في الأشهر القليلة الماضية فقط. يقول مكسيم إنه بالنسبة للشركات التي تتعرض لهجوم، فإن الصراحة ومشاركة نتائج التحقيق بسرعة يمكن أن يساعد.
يقول مكسيم إن جهود أوكتا لاستعادة الثقة بعد هذا الاختراق الهائل “ستكون صعبة”. لكن بشكل عام، الناس يتسامحون مع الخروقات الأمنية. عندما يكونون أقل تسامحًا، يكون ذلك عندما تكون هناك ردود غير كافية أو غير كاملة على الانتهاكات.
في حالة أوكتا، فإن الحصول على إجابة مختلفة تمامًا لعدد الأشخاص المتأثرين بالانتهاك بعد شهر من التقارير الأولية أمر ضار. لكن الشركات تتسابق أيضًا للإبلاغ عن الحوادث دون أن تكون لديها كل الحقائق، كما يقول مكسيم.
ويقول: “إن الأمر أشبه بضباب الحرب، وقد لا يكون لديك في الواقع كل الإجابات”. “لذا، فإن الشركات في موقف صعب – واجبك في الإفصاح مقابل حقيقة أنك قد لا تكون لديك جميع المعلومات المتاحة. هذا نوع من الواقع المؤسف للعالم السيبراني الذي نعيش فيه، وبالنسبة لشركات مثل أوكتا لإعادة بناء الثقة، فمن المحتمل أن يكون الطريق أطول للقيام بذلك.
ولسوء الحظ بالنسبة لشركة Okta، التي لديها العديد من المنافسين الرئيسيين في مجال إدارة الهوية، فقد يختار العملاء تبديل البائعين خوفًا من الهجمات المستقبلية. يقول مكسيم: “إنه ليس تغييرًا تافهًا، ولكن بالنسبة للشركات التي تشعر أن هذا الانتهاك جعلها تتساءل عما إذا كانت تريد البقاء مع أوكتا، فإن لديها بدائل يمكنها اتباعها”.
