2025 年必须是身份提供商全力提升软件质量和安全性的年份，包括红队测试，同时使他们的应用程序更加透明，并对超出标准的结果进行客观评估。
Anthropic、OpenAI 和其他领先的人工智能公司将红队测试提升到了一个新水平，彻底改革了他们的发布流程。身份提供商，包括 Okta，需要效仿他们的做法。
虽然 Okta 是首批签署 CISA“安全设计” 承诺的身份管理供应商之一，但他们在身份验证方面仍然面临挑战。Okta 最近的通知告知客户，52 个字符的用户名可以与存储的缓存密钥结合，从而绕过登录时提供密码的需要。Okta 建议符合前提条件的客户检查他们的 Okta 系统日志，以查找 2024 年 7 月 23 日至 2024 年 10 月 30 日期间来自超过 52 个字符的用户名的意外身份验证。
Okta 指出，其在工作身份云的多因素身份验证（MFA）采用方面的表现堪称一流。这是保护客户的基本要求，也是竞争这一市场的必要条件。
谷歌云宣布到 2025 年所有用户都必须使用多因素身份验证（MFA）。微软也已要求从今年 10 月开始，Azure 必须使用 MFA。“根据最近的一篇博客文章，从 2025 年初开始，将逐步强制在 Azure CLI、Azure PowerShell、Azure 移动应用程序和基础设施即代码（IaC）工具的登录时使用 MFA。”
<h2>Okta 在 CISA 的安全设计中取得了成效</h2>
许多身份管理供应商签署 CISA 安全设计承诺是值得称赞的。Okta 在今年 5 月签署了该承诺，承诺实现该倡议的七个安全目标。尽管 Okta 在不断取得进展，但挑战依然存在。
在尝试发布新应用程序和平台组件的同时追求标准是具有挑战性的。更棘手的是，保持多样化、快速发展的 DevOps、软件工程、质量保证、红队、产品管理和市场营销团队的协调与专注于发布。
<ol>
<li>在多因素身份验证方面要求不够严格：Okta 报告称，MFA 的使用显著增加，截至 2024 年 1 月，91% 的管理员和 66% 的用户使用 MFA。与此同时，越来越多的公司在不依赖标准的情况下强制要求 MFA。谷歌和微软的强制 MFA 政策突显了 Okta 自愿措施与行业新安全标准之间的差距。</li>
</ol>
<ul>
<li>漏洞管理需要改进，从对红队的坚定承诺开始。 Okta 的漏洞赏金计划和漏洞披露政策在大多数情况下是透明的。他们面临的挑战是，漏洞管理的方式仍然是反应性的，主要依赖外部报告。Okta 还需要在红队测试上投入更多，以模拟现实世界的攻击并预先识别漏洞。如果没有红队测试，Okta 可能会遗漏特定的攻击向量，从而限制其早期应对新兴威胁的能力。</li>
</ul>
<ul>
<li>日志记录和监控的增强需要加快推进。 Okta 正在增强日志记录和监控能力，以提高安全可见性，但截至 2024 年 10 月，许多改进仍未完成。实时会话跟踪和强大的审计工具等关键功能仍在开发中，这妨碍了 Okta 在其平台上提供全面的实时入侵检测。这些能力对于为客户提供对潜在安全事件的即时洞察和响应至关重要。</li>
</ul>
<h2>Okta 的安全失误显示出更强大漏洞管理的必要性</h2>
虽然每个身份管理提供商都经历过攻击、入侵和泄露，但有趣的是，Okta 如何利用这些事件作为燃料，利用 CISA 的安全设计框架进行自我重塑。
Okta 的失误强烈表明需要扩大其漏洞管理举措，借鉴 Anthropic、OpenAI 和其他人工智能提供商的红队经验，并将其应用于身份管理。
Okta 最近经历的事件包括：
<ul>
<li>2021 年 3 月 – Verkada 摄像头泄露：攻击者获得了超过 150,000 个安全摄像头的访问权限，暴露了重大网络安全漏洞。</li>
<li>2022 年 1 月 – LAPSUS$集团入侵：LAPSUS$网络犯罪集团利用第三方访问入侵了 Okta 的环境。</li>
<li>2022 年 12 月 – 源代码盗窃：攻击者盗取了 Okta 的源代码，指出内部访问控制和代码安全实践的缺陷。这次泄露突显了加强内部控制和监控机制以保护知识产权的必要性。</li>
<li>2023 年 10 月 – 客户支持泄露：攻击者通过 Okta 的支持渠道未经授权访问了约 134 个客户的数据，并于 10 月 20 日被公司确认，最初是通过被盗凭证获得对其支持管理系统的访问权限。随后，攻击者获得了包含活动会话 cookie 的 HTTP 归档（.HAR）文件，并开始入侵 Okta 的客户，试图渗透他们的网络并窃取数据。</li>
<li>2024 年 10 月 – 用户名身份验证绕过：一个安全漏洞允许通过绕过基于用户名的身份验证进行未经授权的访问。该绕过突显了产品测试中的弱点，因为该漏洞本可以通过更彻底的测试和红队实践被识别和修复。</li>
</ul>
<h2>未来身份安全的红队策略</h2>
Okta 和其他身份管理提供商需要考虑如何在不依赖任何标准的情况下改善红队测试。企业软件公司不应该需要标准才能在红队测试、漏洞管理或在其系统开发生命周期（SDLC）中整合安全性方面表现出色。
Okta 和其他身份管理供应商可以通过借鉴以下来自 Anthropic 和 OpenAI 的红队经验教训来改善其安全态势，并在此过程中增强其安全性：
在测试中故意创造更多持续的人机协作： Anthropic 将人类专业知识与 AI 驱动的红队测试相结合，揭示了隐藏的风险。通过实时模拟各种攻击场景，Okta 可以主动识别并在产品生命周期的早期解决漏洞。
致力于在自适应身份测试中表现出色： OpenAI 使用复杂的身份验证方法，如语音认证和多模态交叉验证来检测深度伪造，这可能会激励 Okta 采用类似的测试机制。增加自适应身份测试方法也可以帮助 Okta 防御日益复杂的身份欺诈威胁。
优先考虑特定领域的红队测试使测试更具针对性： Anthropic 在专业领域的针对性测试展示了领域特定红队测试的价值。Okta 可以受益于将专门团队分配到高风险领域，如第三方集成和客户支持，在这些领域中，细微的安全漏洞可能会被忽视。
需要更多自动化攻击模拟来 压力测试身份管理平台。 OpenAI 的 GPT-4o 模型使用自动化对抗攻击不断对其防御进行压力测试。Okta 可以实施类似的自动化场景，使其能够快速检测和响应新漏洞，特别是在其 IPSIE 框架中。
承诺更多实时威胁情报集成： Anthropic 在红队内部的实时知识共享增强了他们的响应能力。Okta 可以将实时情报反馈循环嵌入其红队测试流程中，确保不断变化的威胁数据立即通知防御措施，并加速对新兴风险的响应。
<h2>为什么 2025 年将以前所未有的方式挑战身份安全</h2>
对手在不断努力将新的自动化武器添加到他们的武器库中，每个企业都在努力跟上。
由于身份是大多数泄露事件的主要目标，身份管理提供商必须直面挑战，并在其产品的各个方面加强安全性。这需要将安全性集成到他们的 SDLC 中，并帮助 DevOps 团队熟悉安全性，以便在发布前不会匆忙处理这一后续事项。
CISA 的安全设计（Secure by Design）倡议对每个网络安全提供商都至关重要，尤其是对身份管理供应商而言。Okta 在安全设计方面的经验帮助他们发现了漏洞管理、日志记录和监控中的差距。但 Okta 不应该止步于此。他们需要全力以赴，重新聚焦于红队测试，借鉴 Anthropic 和 OpenAI 的经验教训。
通过红队测试提高数据的准确性、延迟和质量是任何软件公司创造持续改进文化所需的动力。CISA 的安全设计只是起点，而不是终点。进入 2025 年的身份管理供应商需要将标准视为：指导持续改进的有价值框架。拥有一个经验丰富、稳固的红队功能，可以在产品发布前捕捉错误，并模拟来自日益熟练和资金充足的对手的激烈攻击，是身份管理提供商武器库中最强大的武器之一。红队测试是保持竞争力的核心，同时也为与对手保持平衡提供了战斗机会。
作者注：特别感谢 Taryn Plumb 在收集见解和数据方面的合作与贡献。

OKTA

Okta 最近的安全挑战凸显了身份提供商迫切需要提高软件质量和安全性，特别是通过红队测试。尽管签署了 CISA 的 “安全设计” 承诺，Okta 在身份验证方面仍面临问题，包括一个允许绕过密码的漏洞。随着谷歌和微软等竞争对手强制实施多因素身份验证（MFA），Okta 的自愿措施显得不足。公司必须改善其漏洞管理和日志记录能力，以有效应对新出现的威胁。最近的泄露事件强调了身份管理领域需要强大安全实践的必要性

Okta 的失败对 2025 年身份安全未来的影响