2025 debe ser el año en que los proveedores de identidad se esfuercen por mejorar todos los aspectos de la calidad y la seguridad del software, incluido el trabajo en equipo, al tiempo que hacen que sus aplicaciones sean más transparentes y se vuelven objetivos sobre los resultados más allá de los estándares.
Anthropic , OpenAI y otras empresas líderes de inteligencia artificial han llevado el trabajo en equipo a un nuevo nivel, revolucionando sus procesos de lanzamiento para mejor. Los proveedores de identidad, incluido Okta , deben seguir su ejemplo y hacer lo mismo.
Si bien Okta es uno de los primeros proveedores de gestión de identidades en suscribirse al compromiso Secure by Design de CISA , aún tienen dificultades para lograr una autenticación correcta. El aviso reciente de Okta les dijo a los clientes que los nombres de usuario de 52 caracteres podrían combinarse con claves de caché almacenadas, evitando la necesidad de proporcionar una contraseña para iniciar sesión. Okta recomienda que los clientes que cumplan con las condiciones previas investiguen su registro del sistema de Okta para detectar autenticaciones inesperadas de nombres de usuario de más de 52 caracteres entre el 23 de julio de 2024 y el 30 de octubre de 2024.
Okta destaca su récord de adopción de autenticación multifactor (MFA) entre usuarios y administradores de Workforce Identity Cloud, lo que es fundamental para proteger a los clientes hoy en día y un hecho para competir en este mercado.
Google Cloud anunció la autenticación multifactor (MFA) obligatoria para todos los usuarios a partir de 2025. Microsoft también ha hecho que la MFA sea obligatoria para Azure a partir de octubre de este año. “A principios de 2025, comenzará la aplicación gradual de la MFA en el inicio de sesión para Azure CLI, Azure PowerShell, la aplicación móvil de Azure y las herramientas de infraestructura como código (IaC)”, según una publicación reciente del blog .
Okta está obteniendo resultados con Secure by Design de CISA
Es loable que tantos proveedores de gestión de identidades hayan firmado el Compromiso de Seguridad por Diseño de CISA. Okta firmó en mayo de este año, comprometiéndose con los siete objetivos de seguridad de la iniciativa . Si bien Okta sigue avanzando, persisten los desafíos.
Seguir estándares mientras se intenta lanzar nuevas aplicaciones y componentes de la plataforma es un desafío. Más problemático aún es mantener una serie diversa y dinámica de DevOps, ingeniería de software, control de calidad, equipos rojos, gestión de productos y vendedores, todos coordinados y concentrados en el lanzamiento.
- No ser lo suficientemente exigentes en lo que respecta a la MFA : Okta ha informado de aumentos significativos en el uso de la MFA, con un 91 % de los administradores y un 66 % de los usuarios que utilizan la MFA a partir de enero de 2024. Mientras tanto, cada vez más empresas están haciendo que la MFA sea obligatoria sin depender de un estándar para ello. Las políticas de MFA obligatorias de Google y Microsoft ponen de relieve la brecha entre las medidas voluntarias de Okta y el nuevo estándar de seguridad de la industria.
- La gestión de vulnerabilidades debe mejorar, empezando por un compromiso sólido con el trabajo en equipo. El programa de recompensas por errores y la política de divulgación de vulnerabilidades de Okta son, en su mayor parte, transparentes. El desafío al que se enfrentan es que su enfoque de la gestión de vulnerabilidades sigue siendo reactivo y se basa principalmente en informes externos. Okta también necesita invertir más en el trabajo en equipo para simular ataques del mundo real e identificar vulnerabilidades de manera preventiva. Sin el trabajo en equipo, Okta corre el riesgo de dejar vectores de ataque específicos sin detectar, lo que podría limitar su capacidad para abordar las amenazas emergentes de manera temprana.
- Las mejoras de registro y monitoreo deben acelerarse. Okta está mejorando las capacidades de registro y monitoreo para una mejor visibilidad de seguridad, pero a partir de octubre de 2024, muchas mejoras siguen sin completarse. Las funciones críticas como el seguimiento de sesiones en tiempo real y las herramientas de auditoría sólidas aún están en desarrollo, lo que dificulta la capacidad de Okta de brindar detección de intrusiones integral y en tiempo real en toda su plataforma. Estas capacidades son fundamentales para ofrecer a los clientes información y respuestas inmediatas a posibles incidentes de seguridad.
Los errores de seguridad de Okta muestran la necesidad de una gestión de vulnerabilidades más sólida
Si bien cada proveedor de gestión de identidad ha tenido que lidiar con su cuota de ataques, intrusiones y violaciones, es interesante ver cómo Okta los usa como combustible para reinventarse utilizando el marco Secure by Design de CISA.
Los errores de Okta son un sólido argumento a favor de ampliar sus iniciativas de gestión de vulnerabilidades, tomando las lecciones de trabajo en equipo aprendidas de Anthropic, OpenAI y otros proveedores de IA y aplicándolas a la gestión de identidades.
Los incidentes recientes que Okta ha experimentado incluyen:
- Marzo de 2021: violación de la cámara de Verkada : los atacantes obtuvieron acceso a más de 150 000 cámaras de seguridad, lo que expuso importantes vulnerabilidades de seguridad de la red.
- Enero de 2022: Compromiso del grupo LAPSUS$ : el grupo cibercriminal LAPSUS$ explotó el acceso de terceros para violar el entorno de Okta.
- Diciembre de 2022: Robo de código fuente : los atacantes robaron el código fuente de Okta y señalaron brechas internas en los controles de acceso y las prácticas de seguridad del código. Esta brecha puso de relieve la necesidad de contar con controles internos y mecanismos de supervisión más estrictos para salvaguardar la propiedad intelectual.
- Octubre de 2023: violación de la seguridad de la atención al cliente : los atacantes obtuvieron acceso no autorizado a los datos de aproximadamente 134 clientes a través de los canales de soporte de Okta y la empresa lo reconoció el 20 de octubre , comenzando con credenciales robadas que se usaron para obtener acceso a su sistema de gestión de soporte. A partir de ahí, los atacantes obtuvieron acceso a archivos HTTP Archive (.HAR) que contienen cookies de sesión activas y comenzaron a violar la seguridad de los clientes de Okta, intentando penetrar en sus redes y exfiltrar datos.
- Octubre de 2024: omisión de autenticación por nombre de usuario : una falla de seguridad permitió el acceso no autorizado al omitir la autenticación basada en nombre de usuario. La omisión puso de relieve las debilidades en las pruebas del producto, ya que la vulnerabilidad podría haberse identificado y solucionado mediante pruebas más exhaustivas y prácticas de equipos rojos.
Estrategias de trabajo en equipo para garantizar la seguridad de la identidad en el futuro
Okta y otros proveedores de gestión de identidades deben considerar cómo pueden mejorar la gestión de equipos rojos independientemente de cualquier estándar. Una empresa de software empresarial no debería necesitar un estándar para destacarse en la gestión de equipos rojos, la gestión de vulnerabilidades o la integración de la seguridad en todos sus ciclos de vida de desarrollo de sistemas (SDLC).
Okta y otros proveedores de gestión de identidad pueden mejorar su postura de seguridad tomando las lecciones de trabajo en equipo aprendidas de Anthropic y OpenAI a continuación y fortaleciendo su postura de seguridad en el proceso:
Crear deliberadamente una colaboración más continua entre humanos y máquinas en lo que respecta a las pruebas: la combinación de experiencia humana con equipos de trabajo impulsados por IA de Anthropic revela riesgos ocultos. Al simular diversos escenarios de ataque en tiempo real, Okta puede identificar y abordar de manera proactiva las vulnerabilidades en una etapa más temprana del ciclo de vida del producto.
Comprométete a destacar en las pruebas de identidad adaptativas: el uso que hace OpenAI de sofisticados métodos de verificación de identidad, como la autenticación por voz y la validación cruzada multimodal para detectar deepfakes, podría inspirar a Okta a adoptar mecanismos de prueba similares. Añadir una metodología de pruebas de identidad adaptativa también podría ayudar a Okta a defenderse de amenazas de suplantación de identidad cada vez más avanzadas.
La priorización de dominios específicos para el trabajo en equipo permite que las pruebas estén más enfocadas : las pruebas dirigidas de Anthropic en áreas especializadas demuestran el valor del trabajo en equipo específico para cada dominio. Okta podría beneficiarse de la asignación de equipos dedicados a áreas de alto riesgo, como integraciones de terceros y atención al cliente, donde de otro modo podrían pasar desapercibidas brechas de seguridad sutiles.
Se necesitan más simulaciones de ataques automatizados para poner a prueba las plataformas de gestión de identidades. El modelo GPT-4o de OpenAI utiliza ataques adversarios automatizados para poner a prueba continuamente sus defensas. Okta podría implementar escenarios automatizados similares, lo que permitiría una detección y respuesta rápidas a nuevas vulnerabilidades, especialmente en su marco IPSIE.
Comprométase con una mayor integración de inteligencia sobre amenazas en tiempo real : el intercambio de conocimientos en tiempo real de Anthropic dentro de los equipos rojos fortalece su capacidad de respuesta. Okta puede incorporar ciclos de retroalimentación de inteligencia en tiempo real en sus procesos de trabajo en equipo, lo que garantiza que los datos de amenazas en evolución informen de inmediato a las defensas y aceleren la respuesta a los riesgos emergentes.
Por qué el año 2025 supondrá un desafío para la seguridad de la identidad como nunca antes
Los adversarios son implacables en sus esfuerzos por añadir nuevas armas automatizadas a sus arsenales, y todas las empresas luchan por mantener el ritmo.
Dado que las identidades son el objetivo principal de la mayoría de las infracciones, los proveedores de gestión de identidades deben afrontar los desafíos de frente y reforzar la seguridad en todos los aspectos de sus productos. Esto debe incluir la integración de la seguridad en su ciclo de vida de desarrollo de software (SDLC) y ayudar a los equipos de DevOps a familiarizarse con la seguridad para que no sea una idea de último momento que se implementa a las apuradas justo antes del lanzamiento.
La iniciativa Secure by Design de CISA es invaluable para todos los proveedores de ciberseguridad, y especialmente para los proveedores de gestión de identidades. Las experiencias de Okta con Secure by Design los ayudaron a encontrar brechas en la gestión, registro y monitoreo de vulnerabilidades. Pero Okta no debería detenerse allí. Deben apostar por un enfoque renovado y más intenso en el trabajo en equipo, aprovechando las lecciones aprendidas de Anthropic y OpenAI.
Mejorar la precisión, la latencia y la calidad de los datos mediante el trabajo en equipo es el combustible que cualquier empresa de software necesita para crear una cultura de mejora continua. Secure by Design de CISA es solo el punto de partida, no el destino. Los proveedores de gestión de identidades que se dirigen a 2025 deben ver los estándares como lo que son: marcos valiosos para guiar la mejora continua. Tener una función de equipo rojo experimentada y sólida que pueda detectar errores antes de que se envíen y simular ataques agresivos de adversarios cada vez más capacitados y mejor financiados es una de las armas más potentes en el arsenal de un proveedor de gestión de identidades. El trabajo en equipo rojo es fundamental para mantenerse competitivo y tener la oportunidad de luchar por mantenerse a la par con los adversarios.
Fuente:
Why ROAI — return on AI — depends on the power of process intelligence