Yossi Rachman Direktor für Sicherheitsforschung

Die jüngste Zunahme raffinierter Cyberangriffe macht die Schwachstellen von Online-Plattformen und Identitätsmanagementsystemen deutlich. Um dem erhöhten Risiko zu begegnen, hat Semperis kürzlich Purple Knightsein Open-Source- und Community-basiertes Tool zur Bewertung von Schwachstellen auf die Identitätsmanagement-Plattform Okta erweitert. Dieser strategische Schritt zielt darauf ab, die Sicherheit der Identitätsmanagement-Infrastruktur von Unternehmen zu erhöhen und eine nahtlose Benutzererfahrung ohne Sicherheitslücken zu gewährleisten.

Die Bedeutung von Purple Knightfür die Integration von AD, Entra ID und Okta Indikatoren

Eines der Markenzeichen von Purple Knight ist die Fähigkeit, Fehlkonfigurationen und Schwachstellen in Active Directory- und Entra ID-Umgebungen (ehemals Azure Active Directory) aufzuspüren - diese Fähigkeit deckt nun auch Okta ab. Aufgrund von Anfragen von Benutzern hat Semperis im August die Unterstützung für Okta hinzugefügt: Diese Erweiterung kam zur rechten Zeit angesichts der jüngsten Cybersecurity-Angriffe, bei denen Bedrohungsakteure die Privilegien für bestimmte Konten erhöhten und diesen hochprivilegierten Zugang dazu nutzten, den Schutz der Zwei-Faktor-Authentifizierung (2FA) zu deaktivieren und so Möglichkeiten für einen unbefugten Zugriff zu schaffen. Einer der Vorteile eines eigenen Bedrohungsforschungsteams bei Semperis ist, dass wir aufkommenden Bedrohungen immer einen Schritt voraus sind, indem wir Indikatoren entwickeln, um bekannte Schwachstellen zu erkennen, und wir können oft schnell Indikatoren für neue Schwachstellen entwickeln.

Was die jüngsten Angriffe auf Okta betrifft, so sind zwei der Purple Knight Sicherheitsindikatoren für Okta, die wir im August veröffentlicht haben - "EinemBenutzer wurde eine neue Super-Admin-Berechtigung erteilt" und "Benutzer ohne Multi-Faktor-Authentifizierung (MFA)" - von entscheidender Bedeutung für die Erkennung der gemeldeten bösartigen Aktionen, die auf Okta abzielen. (Diese Indikatoren sind in Abbildung 1 hervorgehoben.)

Einem Benutzer wurde die neue Berechtigung Super Admin erteilt

Der Indikator "Neue Super-Admin-Berechtigung wurde einem Benutzer gewährt" dient dazu, festzustellen, ob einem Benutzer in den letzten 7 Tagen "Super-Admin"-Berechtigungen in Okta gewährt wurden. Diese Bestimmung fördert eine rechtzeitige Erkennung von potenziell nicht autorisierten Erhöhungen der Zugriffsrechte und erleichtert eine sofortige Reaktion zur Sicherung der Umgebung.

Benutzer ohne Multi-Faktor-Authentifizierung (MFA)

Der Indikator "Benutzer ohne Multi-Faktor-Authentifizierung (MFA)" überprüft alle Benutzer und zeigt diejenigen an, die derzeit keine MFA-Registrierung haben. Dieser Indikator ist ein wichtiges Hilfsmittel, um schnell Konten zu identifizieren, die aufgrund einer deaktivierten 2FA anfälliger für Angriffe sind, und schnelle Maßnahmen zu ergreifen, um diese Konten zu stärken, bevor sie zu einem Ziel werden.

Screenshot der Indikatoren des Purple Knight Sicherheitsbewertungstools
Abbildung 1: Teilweise Liste der Sicherheitsindikatoren von Purple Knightfür Okta: Die hervorgehobenen Indikatoren ermöglichen die Identifizierung der Aktionen der Bedrohungsakteure im Rahmen des Angriffs auf Okta SuperAdmin

So führen Sie die Okta-Sicherheitsindikatoren aus: Eine Schritt-für-Schritt-Anleitung 

In diesem Abschnitt werden wir uns mit den Besonderheiten der Ausführung der beiden Okta-Indikatoren mit Purple Knight befassen. Ich gebe Ihnen detaillierte Anweisungen mit entsprechenden Screenshots, damit Sie eine umfassende Anleitung zur effektiven Nutzung dieser Indikatoren erhalten. 

Schritt 1: Laden Sie Purple Knight v4.0 von der Purple Knight Website (Abbildung 2)

Screenshot der Download-Seite von Purple Knight , dem Tool zur Bewertung der Identitätssicherheit
Abbildung 2: Purple Knight Download-Seite

Schritt 2: Extrahieren und starten Sie die ausführbare Datei Purple Knight . 

Schritt 3: Integrieren Sie Ihre Okta-Umgebung mit Purple Knight. Eine ausführliche Anleitung finden Sie im Purple Knight Benutzerhandbuch unter dem Kapitel "Environment Page". 

Schritt 4: Vergewissern Sie sich unter "Indikatoren", dass die folgenden Indikatoren aktiviert sind, und klicken Sie auf "TESTS LAUFEN", wenn Sie fertig sind:

  1. Einem Benutzer wurde die neue Berechtigung Super Admin erteilt (Abbildung 3)
  2. Benutzer ohne Multi-Faktor-Authentifizierung (MFA ) (Abbildung 4)

Abbildung 3: Purple Knight Indikatorenbildschirm mit aktiviertem Okta New Super Admin Berechtigungstest
Abbildung 3: Purple Knight Indikatoren-Bildschirm mit aktiviertem Okta New Super Admin Berechtigungstest

Screenshot des Bildschirms Purple Knight Okta-Indikatoren mit Benutzern ohne aktivierten MFA-Test
Abbildung 4: Purple Knight Okta-Indikatoren-Bildschirm mit Benutzern ohne aktivierten MFA-Test

Schritt 5: Prüfen Sie die Ergebnisse im Bericht Purple Knight unter dem Kapitel "Additional IOEs Found" und die detaillierten Informationen pro Indikator (Abbildung 5): 

Purple Knight Bericht mit hervorgehobenen Okta-Indikatoren
Abbildung 5: Purple Knight Bericht mit hervorgehobenen Okta-Indikatoren

 

In Abbildung 6 unten sehen Sie die Ergebnisse des Berichts, der zeigt, dass einem Benutzer Super-Admin-Rechte gewährt wurden:

Purple Knight Ergebnisse zeigen: Neuer Super Admin Benutzer hinzugefügt
Abbildung 6: Ergebnisse der Überprüfung "EinemBenutzer wurde eine neue Super-Admin-Berechtigung erteilt".

Abbildung 7 zeigt die Ergebnisse des Purple Knight Berichts, in dem Benutzer hervorgehoben werden, die keine MFA konfiguriert haben:

Purple Knight Okta-Ergebnisse des Scans für Benutzer ohne konfigurierte MFA
Abbildung 7: Purple Knight Okta Ergebnisse des Scans für Benutzer ohne konfigurierte MFA

Purple Knight schützt vor Okta-Angriffen, die auf riskante Berechtigungen abzielen 

Die Integration von Purple Knight mit der Identitätsmanagement-Plattform Okta bietet enorme Vorteile für die Sicherung digitaler Identitäten und die effiziente Verwaltung des Zugriffs. Durch die Nutzung der Sicherheitsindikatoren "Einem Benutzer wurde eine neue Super-Admin-Berechtigung erteilt" und "Benutzer ohne Multi-Faktor-Authentifizierung (MFA)" in Purple Knight können sich Unternehmen zuverlässig gegen die neuesten Versuche des unbefugten Zugriffs und mögliche Verstöße schützen. 

Da Semperis auch weiterhin Innovationen entwickelt und sein umfassendes Fachwissen im Bereich des Identitätsschutzes einsetzt, können Unternehmen, die die Okta-Plattform allein oder in Kombination mit den Microsoft-Identitätsplattformen Active Directory und Entra ID verwenden, mit verbesserten Sicherheitsmaßnahmen rechnen, die die Sicherheit ihrer Identitäten erhöhen. 

Durch die Nutzung von Purple Knight zur Identifizierung und Behebung von Sicherheitsschwachstellen verbessern Unternehmen nicht nur die Sicherheit ihrer Identitätsumgebungen, sondern versichern auch Stakeholdern, Partnern und Kunden die Sicherheit ihrer Daten und schaffen so Vertrauen und Zuverlässigkeit in der digitalen Sphäre. Die Erweiterung von Purple Knight um Okta ist ein entscheidender Schritt in Richtung einer sichereren digitalen Zukunft. Wenn Sie Fragen haben oder sich über die Verwundbarkeit Ihrer Active Directory-, Entra ID- oder Okta-Identitätsplattformen Sorgen machen, wenden Sie sich an unser Team von Sicherheitsexperten, und wir helfen Ihnen gerne weiter.

Verwandte Ressourcen