Yossi Rachman Directeur de la recherche en matière de sécurité

L'augmentation récente des cyberattaques sophistiquées met en évidence les vulnérabilités inhérentes aux plateformes en ligne et aux systèmes de gestion de l'identité. Pour faire face à ce risque accru, Semperis a récemment élargi Purple Knightson outil d'évaluation des vulnérabilités à code source ouvert, basé sur la communauté, pour englober la plateforme de gestion des identités Okta. Cette initiative stratégique vise à renforcer la sécurité de l'infrastructure de gestion des identités des organisations et à garantir une expérience utilisateur transparente et sans faille.

L'importance de l'intégration par Purple Knightdes indicateurs AD, Entra ID et Okta

L'une des caractéristiques principales de Purple Knight est sa capacité à repérer les erreurs de configuration et les vulnérabilités en matière de sécurité dans les environnements Active Directory et Entra ID (anciennement Azure Active Directory) - cette capacité couvre désormais également Okta. À la demande des utilisateurs, Semperis a ajouté la prise en charge d'Okta en août : Cette extension s'est avérée opportune à la lumière des récentes attaques de cybersécurité où les acteurs de la menace ont élevé les privilèges de certains comptes et utilisé cet accès hautement privilégié pour désactiver la protection de l'authentification à deux facteurs (2FA), créant ainsi des voies d'accès non autorisées. L'un des avantages d'avoir une équipe interne dédiée à la recherche sur les menaces chez Semperis est que nous pouvons garder une longueur d'avance sur les menaces émergentes en construisant des indicateurs pour détecter les vulnérabilités connues, et nous pouvons souvent développer rapidement des indicateurs pour faire face à de nouvelles vulnérabilités.

En ce qui concerne les récentes attaques contre Okta, deux des indicateurs de sécurité Purple Knight pour Okta que nous avons publiés en août - "Unenouvelle autorisation Super Admin a été accordée à un utilisateur" et "Utilisateurs sans authentification multifactorielle (MFA)" - sont essentiels pour détecter les actions malveillantes signalées ciblant Okta. (Ces indicateurs sont mis en évidence dans la figure 1.)

Une nouvelle autorisation Super Admin a été accordée à un utilisateur

L'indicateur "Unenouvelle autorisation Super Admin a été accordée à un utilisateur" est conçu pour déterminer si un utilisateur s'est vu accorder des autorisations "Super Admin" au sein d'Okta au cours des 7 jours précédents. Cette détermination favorisera la détection rapide de toute élévation potentiellement non autorisée des privilèges d'accès, facilitant ainsi une réponse immédiate pour sécuriser l'environnement.

Utilisateurs sans authentification multifactorielle (MFA)

L'indicateur "Utilisateurs sans authentification multifactorielle (MFA)" vérifie tous les utilisateurs et identifie ceux qui n'ont pas d'enregistrement MFA. Cet indicateur est un outil essentiel pour identifier rapidement les comptes qui sont plus vulnérables aux attaques en raison de la désactivation de l'authentification multifactorielle et pour prendre des mesures rapides afin de renforcer ces comptes avant qu'ils ne deviennent une cible.

Capture d'écran des indicateurs de l'outil d'évaluation de la sécurité Purple Knight
Figure 1 : Liste partielle des indicateurs de sécurité de Purple Knightpour Okta : Les indicateurs surlignés sont ceux qui permettent d'identifier les actions des acteurs de la menace dans le cadre de l'attaque Okta SuperAdmin.

Comment utiliser les indicateurs de sécurité Okta : Un guide étape par étape 

Dans cette section, nous allons nous pencher sur les spécificités de l'exécution des deux indicateurs Okta à l'aide de Purple Knight. Je fournirai des instructions détaillées, ainsi que des captures d'écran pertinentes, afin que vous disposiez d'un guide complet pour utiliser ces indicateurs de manière efficace. 

Étape 1 : Téléchargez Purple Knight v4.0 à partir du site Web de la Purple Knight site web (Figure 2)

Capture d'écran de la page de téléchargement de l'outil d'évaluation de la sécurité de l'identité Purple Knight
Figure 2 : Page de téléchargement Purple Knight

Étape 2 : Extraire et lancer l'exécutable Purple Knight . 

Etape 3 : Intégrer votre environnement Okta avec Purple Knight. Les instructions sont détaillées dans le guide de l'utilisateur Purple Knight sous le chapitre "Environment Page". 

Étape 4 : Sous "Indicateurs", assurez-vous que les indicateurs suivants sont cochés et cliquez sur "Exécuter les tests" lorsque vous êtes prêt :

  1. Une nouvelle autorisation Super Admin a été accordée à un utilisateur (Figure 3)
  2. Utilisateurs sans authentification multifactorielle (MFA) (Figure 4)

Figure 3 : écran des indicateurs Purple Knight avec le test de l'autorisation Okta New Super Admin coché
Figure 3 : écran des indicateurs Purple Knight avec le test de l'autorisation Okta New Super Admin coché

Capture d'écran de l'écran des indicateurs Okta Purple Knight avec la case Utilisateurs sans test MFA cochée
Figure 4 : Purple Knight L'écran des indicateurs Okta avec les utilisateurs sans le test MFA coché

Étape 5 : Examiner les résultats dans le rapport Purple Knight , au chapitre "Additional IOEs Found", et les informations détaillées par indicateur (Figure 5) : 

Purple Knight rapport avec indicateurs Okta mis en évidence
Figure 5 : Rapport Purple Knight avec les indicateurs Okta en surbrillance

 

Voir la figure 6 ci-dessous pour les résultats du rapport montrant que des privilèges de super administrateur ont été accordés à un utilisateur :

Purple Knight résultats montrant l'ajout d'un nouvel utilisateur Super Admin
Figure 6 : Résultats de l'analyse "Unenouvelle autorisation de super administrateur a été accordée à un utilisateur".

La figure 7 montre les résultats du rapport Purple Knight mettant en évidence les utilisateurs qui n'ont pas configuré l'AMF :

Purple Knight Résultats de l'analyse d'Okta pour les utilisateurs sans MFA configuré
Figure 7 : Purple Knight Okta résultats de l'analyse pour les utilisateurs sans MFA configuré

Purple Knight protège contre les attaques d'Okta qui ciblent les autorisations à risque 

L'intégration de Purple Knight avec la plateforme de gestion des identités Okta offre d'énormes avantages pour la sécurisation des identités numériques et la gestion efficace des accès. En exploitant les indicateurs de sécurité " Une nouvelle autorisation Super Admin a été accordée à un utilisateur" et "Utilisateurs sans authentification multifactorielle (MFA)" dans Purple Knight, les organisations peuvent se prémunir efficacement contre les dernières tentatives d'accès non autorisé et les violations potentielles. 

Comme Semperis continue d'innover en tirant parti de sa vaste expertise en matière de protection de l'identité, les organisations qui utilisent la plate-forme Okta - seule ou en combinaison avec les plates-formes d'identité Microsoft Active Directory et Entra ID - peuvent s'attendre à des mesures de sécurité améliorées, favorisant une posture de sécurité de l'identité plus sûre. 

En utilisant Purple Knight pour identifier et remédier aux vulnérabilités de sécurité, les entreprises améliorent non seulement la sécurité de leurs environnements d'identité, mais garantissent également aux parties prenantes, aux partenaires et aux clients la sécurité de leurs données, instaurant ainsi la confiance et la fiabilité dans la sphère numérique. L'extension de Purple Knight à Okta est une étape cruciale vers un avenir numérique plus sûr. Si vous avez des questions ou si vous êtes préoccupé par la vulnérabilité de vos plateformes d'identité Active Directory, Entra ID ou Okta, contactez notre équipe d'experts en sécurité et nous serons heureux de vous aider.

Ressources connexes