ملخص

  • أكدت Okta أن مهاجمًا استخدم حساب خدمة مخترقًا لنظام الدعم للوصول إلى الملفات المرتبطة بـ 134 عميلًا وأعاد تشغيل أجزاء من الجلسات لاختطاف خمس جلسات عملاء؛ وأظهرت مراجعة لاحقة بشكل منفصل أن المهاجم قام بتنزيل تقرير يحتوي على أسماء وعناوين البريد الإلكتروني لجميع مستخدمي نظام دعم Okta المتأثر.
  • كان الدافع المباشر هو بيانات اعتماد مسروقة، لكن المساءلة العملية تمتد إلى الضوابط التي جعلت بيانات الاعتماد مفيدة: وصول مميز للدعم، وأدوات تشخيص غير منقاة، وتفسير غير كامل للسجلات، وجلسات إدارية قابلة للنقل، وتصعيد متأخر عبر العملاء، وعملية إشعار تعتمد على العملاء لمساعدة مزود الهوية على اكتشاف اختراقه الخاص.

أهم التفاصيل في اختراق نظام دعم Okta لعام 2023 ليست أن مكتب المساعدة تم اختراقه. بل أن مكتب المساعدة كان قريبًا بما يكفي من عمليات الهوية المميزة بحيث يمكن لملف استكشاف أخطاء المتصفح أن يعمل كبيانات اعتماد حاملة لجلسة مدير العميل.

قالت Okta إن خدمة الإنتاج الخاصة بها ظلت عاملة ولم يتم اختراقها. هذا الحدود مهمة. لم يكن هذا دليلاً على أن المهاجم كسر منصة المصادقة الأساسية، أو زور رموز Okta حسب الرغبة، أو قرأ مستأجر كل عميل. لكن الحدود ليست مخرجًا للمساءلة. لم يقم العملاء بتحميل لقطات شاشة خاملة إلى أداة تذاكر غير مرتبطة. لقد قاموا بتحميل سجلات متصفح تم إنشاؤها أثناء تفاعل المسؤولين مع لوحة تحكم الهوية. بعض تلك السجلات احتوت على أجزاء من الجلسات الحية. عندما تم الوصول إلى مستودع الدعم، تمكن المهاجم من الانتقال من بيئة دعم يديرها المورد إلى مستأجري Okta التي يديرها العميل دون إعادة حفل المصادقة الذي أنشأ الجلسات في الأصل.

هذا التسلسل يجعل الحادث اختبارًا مفيدًا للاعتماد على السحابة. سطح الأمان لمزود الهوية أوسع من خدمة تسجيل الدخول المذكورة في العقد أو مخطط البنية. ويشمل بوابة الحالة، والهوية المستخدمة لإدارة تلك البوابة، والأدلة التشخيصية التي يطلب الدعم من العملاء جمعها، والنظام الثالث الذي يخزنها، والسجلات المتاحة عندما يطلق العميل إنذارًا، والأشخاص والقنوات التي تتلقى ذلك الإنذار، والآليات التي يمكن للمزود من خلالها إلغاء الجلسات المكشوفة عبر مستأجري العميل.

كما يجعل الحادث اختبارًا لاقتصاديات الاتصال بالإساءة. وصف ثلاثة عملاء علنًا اكتشافهم للنشاط قبل أن يكمل Okta تشخيصه عبر العملاء. أمضى المدافعون عنهم وقتًا في إعادة بناء الأحداث، واستبعاد نقاط النهاية الخاصة بهم، والتصعيد عبر الدعم، وتوفير المؤشرات. أنشأ هذا العمل معلومات قيمة لكل عميل آخر. كان المزود هو الطرف الوحيد القادر على ربط التقارير عبر نظام الدعم، لكن أول ربط مفيد استغرق وقتًا واعتمد على عنوان IP قدمه أحد العملاء. كانت تكلفة إنتاج التحذير موزعة؛ كانت القدرة على التصرف بناءً عليه مركزة.

حالتان من التعرض، ليس رقمًا واحدًا يتوسع

غالبًا ما تختصر التقارير العامة الحادثة في ادعاء أن Okta قالت أولاً إن 1% من العملاء تأثروا ثم اعترفت لاحقًا بأن جميع العملاء تأثروا. هذا الاختصار يحجب مجموعتي بيانات مختلفتين ونوعين مختلفين من المخاطر.

في 20 أكتوبر، قالت Okta فيإشعارها العام الأوليإن جهة تهديد استخدمت بيانات اعتماد مسروقة للوصول إلى نظام إدارة حالات الدعم وعرض الملفات التي حملها بعض العملاء. وحذرت من أن ملفات HTTP Archive، أو HAR، يمكن أن تحتوي على ملفات تعريف الارتباط ورموز الجلسة التي تسمح بانتحال الشخصية. وقال الإشعار إن العملاء المتأثرين تم إخطارهم، وأن نظام الدعم منفصل عن خدمة Okta الإنتاجية، وأن نظام إدارة حالات Auth0/CIC لم يتأثر.

في 3 نوفمبر، قامت Okta فيتقرير السبب الجذري والعلاجبتحديد تعرض الوصول إلى الملفات. من 28 سبتمبر إلى 17 أكتوبر، حصل المهاجم على وصول غير مصرح به إلى الملفات المرتبطة بـ 134 عميلًا من عملاء Okta، أي أقل من 1% من عملائها. بعضها كانت ملفات HAR تحتوي على رموز جلسة. قالت Okta إن المهاجم استخدم تلك الرموز لاختطاف جلسات شرعية لخمسة عملاء. ثلاثة من الخمسة نشروا لاحقًا رواياتهم الخاصة: 1Password وBeyondTrust وCloudflare.

في 29 نوفمبر، بعد إعادة إنشاء التقارير التي قام المهاجم بتشغيلها، كشفت Okta عن تعرض ثانٍ فيإشعار الحادثة المحدث. قام المهاجم بتنزيل تقرير يحتوي على أسماء وعناوين البريد الإلكتروني لجميع مستخدمي نظام دعم العملاء المتأثر. غطت الفئة السكانية المتأثرة عملاء Workforce Identity Cloud وCustomer Identity Solution، باستثناء العملاء في بيئات FedRAMP High وDepartment of Defense Impact Level 4 الذين استخدموا نظام دعم منفصل. تم استبعاد نظام دعم حالات Auth0/CIC مرة أخرى. بالنسبة لـ 99.6% من المستخدمين في التقرير، قالت Okta إن معلومات الاتصال الوحيدة المسجلة كانت الاسم الكامل وعنوان البريد الإلكتروني. كان لقالب التقرير حقول أخرى، لكن معظمها كان فارغًا؛ قالت Okta إنه لم يحتوي على بيانات اعتماد المستخدم أو بيانات شخصية حساسة.

تدعم هذه الحقائق أربعة تصريحات دقيقة:

  1. تم الوصول إلى الملفات المرتبطة بـ 134 عميلًا.
  2. تم استخدام أجزاء من الجلسات من بعض الملفات التي تم الوصول إليها لاختطاف خمس جلسات عملاء.
  3. تم تنزيل تقرير أوسع لمستخدمي الدعم يحتوي على أسماء وعناوين بريد إلكتروني.
  4. إدخال التقرير لا يعني أنه تم الوصول إلى مستأجر الشخص أو جلسة المسؤول الخاصة به.

الاكتشاف اللاحق وسع نطاق تعرض بيانات الاتصال، وليس العدد المؤكد لعمليات اختطاف الجلسات. كما غير معنى إشعار أكتوبر. قال إشعار Okta الأولي إن العميل الذي لم يتم الاتصال به من خلال رسالة أخرى ليس له تأثير على بيئته أو تذاكر الدعم الخاصة به. عند قراءته بشكل ضيق كبيان حول ملفات الدعم التي تم الوصول إليها ونشاط المستأجر، يمكن أن يظل ذلك متسقًا مع نتيجة 134 عميلًا. عند قراءته بشكل واسع كبيان حول أي تعرض للبيانات في نظام الدعم، فقد تجاوزه إعادة بناء تقرير نوفمبر. يجب أن يحدد الاتصال الجيد بالحادثة الوحدة: مؤسسة العميل، مستخدم الدعم، ملف الدعم، الجلسة الحية، المستأجر المستهدف، أو الاختراق النهائي المؤكد.

قدمت Okta تحديث نوفمبر كمعرض فينموذج 8-K المقدم إلى هيئة الأوراق المالية والبورصات الأمريكية. هذا يجعل الإفصاح جزءًا من سجل المستثمرين العام للشركة. لا يحول حساب الشركة إلى نتيجة من هيئة الأوراق المالية، ونص النموذج 8-K نفسه على أن المعلومات تم تقديمها بدلاً من اعتبارها مقدمة لأغراض معينة من المسؤولية. الفرق مهم لأن السرد الواقعي العام الأكثر تفصيلاً لا يزال يأتي من Okta والعملاء المتأثرين، وليس من قضاء منظم منشور.

القطعة الأثرية للدعم التي يمكنها انتحال شخصية مسؤول

ملف HAR مفيد لأنه غني. يسجل طلبات واستجابات المتصفح والتوقيت وعناوين URL والرؤوس وتفاصيل الحمولة، واعتمادًا على كيفية تصديره وتنقيته، ملفات تعريف الارتباط أو مواد التفويض. يسمح هذا الثراء لمهندس الدعم برؤية ما حدث في متصفح العميل دون إعادة إنتاج البيئة الدقيقة. كما ينشئ نسخة مدمجة من البيانات التي كانت موزعة سابقًا عبر جلسة حية.

يصفدليل إنشاء HAR الخاص بـ Oktaالتنسيق كطريقة لتكرار أخطاء المستخدم النهائي أو المسؤول ويحذر المستخدمين من إزالة أو إخفاء المعلومات السرية والشخصية قبل إرسال الملف. يجعلتوثيق Chrome DevTools الحاليالخطر واضحًا بشكل غير عادي: يستثني تصديره الافتراضي المنقى رؤوسCookieوSet-CookieوAuthorization، بينما يجب تمكين التصدير بالبيانات الحساسة بشكل منفصل. لا ينبغي إسقاط سلوك المتصفح الحالي هذا إلى الوراء كدليل على الواجهة الدقيقة التي رآها العميل في سبتمبر 2023. ومع ذلك، فإنه يوضح أنه يمكن نقل تنقية HAR من تحذير في مقالة دعم إلى السلوك الافتراضي لأداة الجمع.

القطعة الأثرية ذات الصلة في حادثة Okta لم تكن بالضرورة معلمةsessionTokenلمرة واحدة الموصوفة في بعض تدفقات تسجيل الدخول Okta. المصطلحات حول الرموز سهلة الخلط. يشرحدليل Okta للمطورين لملفات تعريف الارتباط للجلسةأنه يمكن تبادل رمز جلسة لمرة واحدة لإنشاء ملف تعريف ارتباط جلسة HTTP، وبعد ذلك يوفر ملف تعريف الارتباط الوصول إلى مؤسسة Okta والتطبيقات عبر طلبات المتصفح. وصفت حسابات العملاء ملفات تعريف الارتباط المسروقة أو رموز المصادقة المرتبطة بجلسات المسؤول النشطة. النقطة التشغيلية هي أن المهاجم حصل على سر ما بعد المصادقة قبلته الخدمة كدليل على جلسة موجودة.

يصفOWASP Session Management Cheat Sheetلماذا هذا خطير جدًا: بعد المصادقة، يكون معرف الجلسة مؤقتًا مكافئًا لأقوى طريقة مستخدمة لمصادقة المستخدم. يمكن أن يجعل مفتاح FIDO2 من الصعب جدًا إجراء تسجيل دخول جديد للتصيد، لكن جلسة حاملة قابلة للنقل قد تسمح للمهاجم بالوصول بعد هذا الفحص. هذا لا يجعل المصادقة المقاومة للتصيد عديمة الفائدة. يعني أن قوة المصادقة وقوة الجلسة هما سؤالان تحكم منفصلان.

تنصإرشادات تنفيذ إدارة الجلسة من NISTبالمثل على أن اختطاف الجلسة يمكن أن يكون ضارًا مثل فشل المصادقة وتؤكد على أسرار الجلسة المحمية وأعمار محددة وإعادة المصادقة. في هذه الحادثة، عبر السجل التشخيصي حدود الثقة بينما بقيت الجلسة الممثلة بالبيانات داخله صالحة. فعل تحميل ملف HAR لم يجعل تلقائيًا كل سر مضمن غير قابل للاستخدام. قامت Okta لاحقًا بإلغاء رموز الجلسة المكشوفة، لكن الإلغاء كان استجابة بعد تحديد الملفات ذات الصلة.

مبدأ التصميم الأكثر أمانًا ليس مجرد "عدم استخدام HAR أبدًا". تحتاج فرق الدعم أحيانًا إلى سياق الطلب الدقيق. المبدأ هو التعامل مع التقاط التشخيص من مسؤول مصادق عليه كمواد بيانات اعتماد من الإنشاء إلى الحذف. وهذا يعني الجمع باستخدام حساب أقل امتيازًا حيثما أمكن، والتنقية المحلية التلقائية، والتحديد الصريح لأي حقول محتفظ بها لأنها ضرورية للتشخيص، والتشفير وقيود الوصول أثناء النقل والتخزين، وفترة احتفاظ قصيرة، وتسجيل الوصول الذي يغطي كل واجهة، والإلغاء أو إعادة المصادقة عند قبول التقاط حساس. لا ينبغي أن يكون تحميل الدعم هو اللحظة التي تصبح فيها جلسة إدارية حية محمولة.

العملاء كانوا أول المستشعرات الموزعة

حسابات العملاء العامة هي أكثر من مجرد حكايات مؤكدة. إنها تكشف عن الضوابط التي عملت عندما لم يكن تتبع الدعم للمورد قد أنتج بعد استنتاجًا عبر العملاء.

1Password: حدث إداري غير متوقع

يقول جدول Okta الزمني إن 1Password أبلغ عن نشاط مشبوه في 29 سبتمبر وأن الشركتين تلتقان بشكل متكرر حتى 2 أكتوبر. وصفتقرير حادثة 1Password المعاصرنشاطًا إداريًا غير متوقع في بيئة Okta الخاصة به وأضاف لاحقًا أن المجموعة الأولى من سجلات الوصول إلى الملفات من Okta لم تظهر وصولًا غير مصرح به إلى ملف HAR ذي الصلة. بعد تأكيد Okta لاختراق نظام الدعم، أظهرت سجلات إضافية أن حساب خدمة مخترقًا وصل إليه. وفقًا لملحق 1Password، كان الملف موجودًا تحت معرفين كائنين متميزين في نظام بائع الدعم، بينما غطى التحليل الأول واحدًا فقط.

توضح هذه التفاصيل مشكلة في نموذج الأدلة. سأل العميل سؤالًا طبيعيًا: من الذي وصل إلى الملف المرفق بهذه الحالة؟ يمكن لنظام الدعم تمثيل نفس الملف الأساسي من خلال أكثر من كائن أو مسار. الاستعلام الذي كان صالحًا من الناحية الفنية لمعرف واحد كان غير مكتمل للسؤال الأمني. لم يكن الخطأ مجرد نقص الأحداث الخام وحدها؛ كان عدم تطابق بين نموذج بيانات النظام ونموذج المحققين للكائن.

قالت 1Password إنه لم يتم الوصول إلى أي بيانات مستخدم أو معلومات حساسة، وأن النشاط كان محصورًا في مثيل Okta الخاص به. وصف تقريره المهاجم وهو يعدل ويعيد تمكين اتصال يتضمن مزود هوية Google الإنتاجي لـ 1Password، ثم فشل في استخدامه للوصول إلى بيئة Google. تظهر هذه الحقائق كلاً من مدى وحد الجلسة الإدارية للهوية المختطفة. يمكن للمهاجم استكشاف تكوين الهوية أو تغييره، لكن الوصول النهائي لا يزال يعتمد على بنية العميل وسرعة الاستجابة والضوابط الأخرى.

BeyondTrust: رفض السياسة، محور API وتصعيد مستمر

يوفرتقرير حادثة BeyondTrustأوضح وصف دقيق بالدقيقة لمسار ملف الدعم. في 2 أكتوبر، بناءً على طلب دعم Okta، قام مسؤول BeyondTrust بإنشاء وتحميل ملف HAR لمشكلة دعم غير أمنية. احتوى الملف على طلب API وملف تعريف ارتباط جلسة. في غضون 30 دقيقة، حاول مهاجم استخدام جلسة المسؤول من عنوان IP في ماليزيا مرتبط بخدمات إخفاء الهوية.

تطلبت سياسة الوصول غير الافتراضية لـ BeyondTrust جهازًا مُدارًا مع Okta Verify لوحدة التحكم الإدارية، لذلك تم رفض الوصول الأولي إلى وحدة التحكم. ثم استخدم المهاجم الجلسة المصادق عليها عبر API Okta، حيث قالت BeyondTrust إن نفس قيود السياسة لم تنطبق، وأنشأ حساب باب خلفي يشبه اسم حساب الخدمة. اكتشفت BeyondTrust النشاط، وعطلت الحساب وألغت الوصول قبل استخدام الباب الخلفي. لم تبلغ عن أي دليل على وصول إضافي إلى أنظمتها أو عملائها.

يمكن رؤية العديد من الضوابط بشكل منفصل هنا. قام FIDO2 بحماية المصادقة الأصلية للمسؤول، لكنه لم يربط الجلسة الناتجة بجهاز المسؤول بنفسه. حظر وضع الجهاز مسار وحدة التحكم التفاعلية، لكنه لم يقيد مسار API بالمثل. اكتشفت اكتشافات السلوك جلسة تظهر بدون تاريخ المصادقة المتوقع، واستخدام وكيل، وتقرير إداري نادر، وإنشاء حساب يبدو مميزًا. ثم قام المستجيبون البشريون بإنهاء الجلسة قبل أن يصبح التصعيد المستمر مفيدًا.

كما أصبحت BeyondTrust مستشعرًا خارجيًا لـ Okta. اتصلت بـ Okta في 2 أكتوبر، وطلبت التصعيد في 3 أكتوبر، واجتمعت مع موظفي الدعم والأمن، وطلبت سجلات أكثر اكتمالاً، وواصلت الجدل بأن الأدلة تشير إلى اختراق داخل مؤسسة دعم Okta. في 13 أكتوبر، قدمت عنوان IP المشبوه الذي قالت Okta لاحقًا إنه مكن البحث الحاسم. كان هذا عملاً استقصائيًا مكلفًا قام به عميل لأن العميل يمكنه رؤية التأثير في مستأجره بينما يمكن Okta رؤية السبب المشترك في بيئة الدعم الخاصة به.

Cloudflare: احتواء سريع، ثم تدوير غير كامل

ذكرتقرير حادثة أكتوبر الأول لـ Cloudflareأنها اكتشفت نشاطًا في 18 أكتوبر يتضمن رمز جلسة إدارية مأخوذ من تذكرة دعم Okta. اخترق المهاجم حسابين لموظفي Cloudflare ضمن منصة Okta. قالت Cloudflare إنها اكتشفت النشاط قبل أكثر من 24 ساعة من إخطار Okta لها واحتوت الحادثة قبل أن يؤسس المهاجم تواجدًا دائمًا أو يصل إلى بيانات العميل أو أنظمة العميل أو شبكة الإنتاج.

اعتمد استجابة Cloudflare على التتبع والتقسيم الخاص بها. أوصت بمراقبة الجلسات بدون مصادقة مقابلة، والمستخدمين الجدد أو المعاد تنشيطهم، وتغييرات الحساب والأذونات، وتغييرات MFA، وتجاوزات السياسة، ووصول مزود سلسلة التوريد. هذه ليست عناصر تحقق عامة في سياق هذه الحادثة. إنها تتوافق مع الفجوة بين جلسة صالحة وإجراء مستخدم صالح. إذا بدأت جلسة في مكان وأعيد تشغيلها في مكان آخر، فقد ترى الخدمة ملف تعريف ارتباط مصرحًا به بينما يرى العميل تسلسلًا مستحيلاً.

ثم حولت Cloudflare القطعة الأثرية للدعم نفسها إلى هدف تحكم.مشروع HAR Sanitizerالخاص بها أزال ملفات تعريف الارتباط والرموز المتعلقة بالجلسة من جانب العميل، وفي بعض حالات استكشاف الأخطاء، يمكنه إزالة توقيع الرمز مع الاحتفاظ بالبنية المفيدة تشخيصيًا. هذا نموذج علاج مهم لأنه يقلل من قيمة الملف قبل أن يدخل في حوزة المورد. لا يتطلب أن يعمل كل مستودع دعم وحساب موظف واستعلام سجل بشكل مثالي لمنع إعادة تشغيل الرمز.

توضح حالة Cloudflare أيضًا أن الاحتواء الأولي السريع ليس نفس القضاء التام. في فبراير 2024، كشفت Cloudflare عنحادثة عيد الشكرمنفصلة استخدم فيها مهاجم رمز وصول واحد وبيانات اعتماد حساب خدمة ثلاثة مأخوذة خلال اختراق أكتوبر لـ Okta. اعترفت Cloudflare بأنها فشلت في تدوير بيانات الاعتماد الأربعة هذه. من 14 نوفمبر، وصل المهاجم إلى بيئة Atlassian المستضافة ذاتيًا، واطلع على الوثائق الداخلية وكمية محدودة من الكود المصدري، وحاول دون نجاح الوصول إلى خادم وحدة تحكم في مركز بيانات ليس في طور الإنتاج بعد. قالت Cloudflare إنه لم تتأثر أي بيانات عميل أو أنظمة عملاء أو تكوين شبكة عالمي.

هذا الحدث اللاحق يغير تحليل المساءلة دون نقل الحادثة بأكملها إلى العميل. كانت Okta تتحكم في نظام الدعم الذي كشفت فيه بيانات الاعتماد. كانت Cloudflare تتحكم في جرد وتدوير الأسرار التي وضعها الملف المكشوف في خطر. بمجرد أن علمت Cloudflare أن قطعة أثرية الدعم الخاصة بها قد أخذت، كانت لديها القدرة العملية على تدوير كل سر في تلك القطعة الأثرية. فقدان أربع بيانات اعتماد من بين آلاف أنشأ مسارًا ثانيًا قابلاً للاستخدام. قبلت Cloudflare علنًا هذا الفشل ووصفت جهدًا أكبر بكثير للتحسين، بما في ذلك تدوير أكثر من 5000 من بيانات اعتماد الإنتاج ومراجعة جنائية موسعة. المساءلة تتبع التحكم في كل مرحلة، وليس ملصقًا واحدًا مرتبطًا بالاختراق الأصلي.

تسلسل الكشف والإخطار

التسلسل مركزي لأن المهاجم احتفظ بالوصول بينما كان العملاء يبلغون بالفعل عن الأعراض.

يقول جدول Okta الزمني الصادر في 3 نوفمبر إن الوصول غير المصرح به للجهة التهديدية استمر من 28 سبتمبر إلى 17 أكتوبر. أبلغت 1Password عن نشاط مشبوه في 29 سبتمبر. بدأت Okta التحقيق في ذلك اليوم لكنها اشتبهت في البداية في وجود برامج ضارة أو تصيد في 1Password. أبلغت BeyondTrust عن نشاط مشبوه في 2 أكتوبر. أبلغ عميل ثالث في 12 أكتوبر. قدمت BeyondTrust عنوان IP المشبوه في 13 أكتوبر. في 16 أكتوبر، استخدمت Okta هذا المؤشر لتحديد حساب خدمة مرتبط بأحداث سجل نظام الدعم غير الملحوظة سابقًا. في 17 أكتوبر، عطلت Okta حساب الخدمة، وأنهت جلساته، وفحصت الملفات التي تم الوصول إليها، وألغت الرموز المضمنة في ملفات HAR التي حددتها.

قالت Okta إن فجوة في السجلات أدت بعد ذلك إلى تعقيد النطاق. في 18 أكتوبر، وجدت أن سجلات نظام الدعم كانت تفتقد الساعات الأخيرة من وصول المهاجم. أعاد استعلام متكرر سجلًا أكثر اكتمالاً. في 19 أكتوبر، وجدت ملفات إضافية تم تنزيلها، وألغت الرموز المضمنة المحددة حديثًا، وحددت Cloudflare كخامس عميل مستهدف، وأخطرة جهات الاتصال الأمنية المسجلة عبر قاعدة عملائها حول ما إذا كانت مؤسساتهم قد تأثرت بالحادثة المعروفة آنذاك. تبع الإشعار العام في 20 أكتوبر. ذهبت معلومات السبب الجذري والعلاج إلى جهات الاتصال الأمنية المسجلة في 2 نوفمبر ونشرت في 3 نوفمبر.

جاء توسيع 29 نوفمبر من تقنية تحقيق مختلفة. أعادت Okta يدويًا إنشاء التقارير التي قام المهاجم بتشغيلها وقارنت أحجام الملفات الناتجة بتتبع التنزيل. كان تقرير القالب الذي تم إنشاؤه باستخدام عوامل التصفية الأولية للمحققين أصغر من التنزيل المسجل. عندما أزالوا عوامل التصفية، كان الناتج أكبر بكثير وأفضل تطابقًا مع التتبع. استنتجت Okta أن المهاجم قد قام بتنزيل القائمة غير المصفاة لمستخدمي نظام الدعم. كانت هذه الطريقة معقولة ومنتجة في النهاية. وصولها المتأخر يظهر أيضًا لماذا يجب أن يجمع تحديد نطاق الحادثة بين سجلات الوصول على مستوى الكائن، ومعلمات التقرير، وحجم الإخراج، ومسار واجهة المستخدم، وسلوك الحساب، وإعادة البناء المستقل من البداية.

يحدد التسلسل الزمني أربعة تأخيرات على الأقل بأسباب مختلفة:

  • تأخير الفرضية: تم إرجاع تقرير العميل الأول في البداية إلى اختراق من جانب العميل.
  • تأخير الارتباط: لم يتم ربط تقارير العملاء المتعددة فورًا في حادثة نظام دعم.
  • تأخير تفسير التتبع: بحث المحققون عن الأحداث المرتبطة بالحالة بينما استخدم المهاجم علامة تبويب الملفات في النظام، مما أدى إلى إنشاء نوع حدث ومعرف سجل مختلفين.
  • تأخير إعادة بناء النطاق: تم استنتاج اتساع تقرير مستخدم الدعم الذي تم تنزيله فقط بعد إعادة إنشاء إخراج غير مصفى ومطابقة حجم الملف.

تسمية الأربعة جميعًا "تأخير إخطار" واحد سيكون غير دقيق. لم تستطع Okta تقديم إشعار كامل قبل أن تفهم الحادثة، لكنها كانت تتحكم في التحقيق وقناة اتصال العملاء. بمجرد أن أشارت تقارير العملاء الموثوقة المنفصلة إلى نفس سير عمل الدعم، كانت تتحكم أيضًا في ما إذا كانت ستصدر تنبيهًا احترازيًا قبل تسوية كل التفاصيل. انتقدت Cloudflare وBeyondTrust بشكل علني السرعة أو حثتا على إجراء أسرع. انتقادهما هو دليل على تجربة العميل، وليس دليلاً على خرق قانوني للواجب.

كان لطريق الإخطار أيضًا نقطة ضعف هيكلية: كان نظام الدعم جزءًا من الحادثة وطريقًا طبيعيًا لتصعيد العميل. العميل الذي يدعي أن الدعم نفسه مخترق لا ينبغي أن يضطر للاعتماد فقط على حالة الدعم العادية للوصول إلى مركز قيادة الحادثة للمزود. يحتاج المزودون إلى قناة أمنية موثقة وخارج النطاق مع سلطة ربط التقارير عبر المستأجرين. يحتاج العملاء إلى جهات اتصال أمنية مسجلة حالية لا تنتهي في صندوق بريد غير مراقب. يحتاج كلا الجانبين إلى لغة شدة تميز بين "مستأجرنا يظهر نشاطًا مشبوهًا" و"بيئة الدعم الخاصة بك قد تكون المصدر المشترك".

المحفز والسبب الجذري والظروف الممكّنة

المحفز المؤكد كان استخدام بيانات اعتماد حساب خدمة مخترق. قالت Okta إن حساب الخدمة كان مخزنًا في نظام الدعم ولديه إذن لعرض وتحديث حالات دعم العملاء. أثناء التحقيق، وجدت Okta أن موظفًا قام بتسجيل الدخول إلى ملف تعريف Google شخصي في Chrome على كمبيوتر محمول مُدار من Okta وأن اسم المستخدم وكلمة المرور لحساب الخدمة تم حفظهما في حساب Google الشخصي للموظف.

وصفت Okta اختراق حساب Google الشخصي للموظف أو الجهاز الشخصي على أنه الطريق الأكثر احتمالاً لكشف بيانات الاعتماد. "الأكثر احتمالاً" ليس نفس الشيء مثل الإثبات الجنائي. السجل العام لا يحدد أي حساب أو جهاز شخصي تم اختراقه، أو كيف تم اختراقه، أو من حصل على بيانات الاعتماد، أو ما إذا كانت الجهة التهديدية المسؤولة عن اختراق نظام الدعم هي نفس الجهة وراء كل استخدام لاحق لبيانات اعتماد العميل المكشوفة. لا يوجد إسناد عام موثوق يذكر اسم مهاجم نظام الدعم.

كشف بيانات الاعتماد يشرح كيف بدأ الوصول، لكنه لا يشرح بشكل كامل مدة الحادثة أو تأثيرها. العديد من الظروف الممكّنة حولت بيانات اعتماد واحدة إلى حدث هوية متعدد العملاء:

كان لبيانات الاعتماد غير البشرية القابلة لإعادة الاستخدام وصول واسع للحالات.كان حساب الخدمة يمكنه عرض وتحديث حالات الدعم. السرد العام لا يذكر أن كل وصول يتطلب مصادقة مقاومة للتصيد، أو موافقة في الوقت المناسب، أو سر مرتبط بالجهاز. كان اسم المستخدم وكلمة المرور المسروقين كافيين لإنشاء جلسة نظام دعم عاملة.

ملف تعريف متصفح شخصي يمكنه الاحتفاظ ببيانات اعتماد خدمة العمل.قامت Okta لاحقًا بحظر ملفات تعريف Google الشخصية في Chrome على أجهزة الكمبيوتر المحمولة المُدارة. حقيقة أن هذا كان علاجًا يشير إلى أن التكوين السابق كان يسمح لحدود المزامنة الشخصية بالتقاطع مع جهاز عمل مُدار.

القطع الأثرية الحساسة للعميل دخلت مستودع الدعم.حذرت Okta العملاء من تنقية ملفات HAR، لكن الملفات التي تحتوي على مواد جلسة حية كانت موجودة. التحذير يترك التنفيذ للمسؤول تحت ضغط لحل مشكلة. لم يضمن تدفق الدعم بشكل موثوق إزالة الحقول الخطيرة قبل التحميل.

يمكن للمهاجم إعادة تشغيل سلطة المسؤول من شبكة أخرى.بقيت أجزاء الجلسة صالحة وقابلة للنقل لفترة كافية لاستخدامها. اكتشفت الضوابط في بعض العملاء الانقطاع الجغرافي أو الجهاز أو السلوكي، لكن الجلسة الأساسية لا تزال قادرة على مصادقة نشاط API.

عرض نظام الدعم مسارات تدقيق غير متسقة دلاليًا.فتح ملف من خلال حالة دعم وفتحه من خلال علامة تبويب الملفات أنتج أحداثًا ومعرفات مختلفة. اتبع المحققون المسار المتوقع، بينما استخدم المهاجم مسارًا آخر. سجل الأمان مفيد فقط إذا كان كل مسار إلى نفس الكائن المحمي يمكن ربطه.

كان التصعيد عبر العملاء بطيئًا.تم تقييم أدلة العميل في البداية ضمن حالات منفصلة. كانت Okta تمتلك الرؤية المشتركة اللازمة لتسأل عما إذا كانت أحداث المستأجر غير المرتبطة ظاهريًا تتبع تحميلات HAR الأخيرة إلى نفس منصة الدعم.

لم تعبر أدوات تحديد النطاق فورًا عن إجراءات المهاجم.سجلات مفقودة للساعات الأخيرة وتقرير لم يتم إعادة بناء حجمه غير المصفى في البداية أخر تحقيقًا كاملاً.

لذلك من الأفضل ذكر السبب الجذري كسلسلة تحكم بدلاً من خطأ موظف: عبرت بيانات اعتماد العمل إلى نطاق مزامنة شخصي؛ أعطت بيانات الاعتماد وصولاً دائمًا ومفيدًا إلى مستودع دعم حساس؛ احتفظت القطع الأثرية التي قدمها العميل بسلطة قابلة لإعادة الاستخدام؛ لم تربط المراقبة والتحقيق على الفور جميع مسارات الوصول؛ وسمحت ضوابط الجلسة لأسرار ما بعد المصادقة بالسفر أبعد من المسؤولين الذين أنشأوها. إزالة أي من هذه الشروط كان يمكن أن يقلل النتيجة. إزالة العديد كان سيجعل السرقة الأولية أقل قيمة بكثير.

من كانت لديه القدرة على منع أو اكتشاف أو الحد أو تقصير الضرر

تصبح المساءلة أكثر وضوحًا عندما تعلق بقدرة التحكم.

سيطرت Okta على حساب الخدمة، وسياسة متصفح الموظف، وتكوين نظام الدعم، والوصول الممنوح لبائع الدعم، والاحتفاظ بتحميلات العميل والتعامل معها، والمراقبة من جانب المزود، وربط الحادثة، وإلغاء الرمز عبر المستأجرين، وإخطار العميل. لذلك كانت في أفضل وضع لمنع الوصول الأولي إلى نظام الدعم، واكتشاف الاستخدام غير الطبيعي لحساب الخدمة، وتحديد كل مسار ملف، وإبطال الجلسات المتأثرة، وتحذير قاعدة العملاء بأكملها. حقيقة أن منصة الحالة كانت مستضافة من قبل طرف ثالث لا تلغي دور Okta. Okta هي التي اختارت وكوّنت علاقة الخدمة وكانت الطرف الذي وثق به العملاء في سير عمل التحميل. وصفنموذج 10-K للسنة المالية 2024نظام دعم العملاء على أنه مستضاف من قبل مزود خدمة طرف ثالث وأقر بأن الحادثة أضرت بالسمعة وعلاقات العملاء، وأثرت سلبًا على النتائج المالية، وقد تخلق التزامات إضافية. هذه هي إفصاحات مخاطر الشركة، وليس نتائج كمية لخسارة العميل.

بائع نظام الدعم غير المحدد سيطر على أجزاء من المنتج الأساسي ونموذج الكائن وتسليم السجل. تظهر الأدلة العامة أن مسارات الوصول المختلفة للملفات أنتجت أحداثًا مختلفة وأن السجلات كانت غير مكتملة في البداية، لكنها لا تحدد عقد البائع، أو أي طرف كوّن تلك الميزات، أو ما هي التحذيرات الموجودة، أو ما إذا كان البائع قد انتهك التزامًا محددًا. إسناد نسبة مئوية من اللوم إلى البائع سيتجاوز السجل العام.

سيطر العملاء على مستوى امتياز الحساب المستخدم لالتقاط التشخيص، وما إذا كان سيتم تنقية ملف، وسياسات مستأجر Okta الخاص بهم، والسجلات والاكتشافات المستقلة، وأعمار الجلسات، ومراقبة سلوك المسؤول، والتقسيم النهائي، وتدوير بيانات الاعتماد بعد الإشعار. أظهرت BeyondTrust أن سياسة الجهاز غير الافتراضية وتحليلات السلوك يمكن أن تحد من جلسة معاد تشغيلها. أظهرت Cloudflare أن التقسيم الشبكي يمكن أن يحمي الإنتاج، ثم أظهرت أن جرد الأسرار غير الكامل يمكن أن يترك مسارًا متأخرًا مفتوحًا. أظهرت 1Password قيمة التنبيهات للتقارير الإدارية غير المتوقعة ومراجعة التكوين السريعة.

مصممو المتصفح وأدوات التشخيص يتحكمون في الافتراضيات. التصدير المنقى الذي يستبعد ملفات تعريف الارتباط ورؤوس التفويض يقلل الاعتماد على المستخدمين الذين يتذكرون تحرير JSON يدويًا. يمكن لبوابة الدعم رفض أنماط بيانات الاعتماد المعروفة، أو عرض معاينة على مستوى الحقل، أو وضع التحميلات غير المنقاة في الحجر الصحي، أو قبول تتبع جزئي متعمد. هذه الضوابط غير كاملة لأن الرموز يمكن أن تظهر في رؤوس أو عناوين URL أو أجسام غير عادية، ويمكن أن تزيل التنقية الحقيقة اللازمة لتصحيح الأخطاء. لكن الأداة الآمنة افتراضيًا تغير الاقتصاديات: يجب أن يكون الخيار الاستثنائي هو الاحتفاظ بالسلطة، وليس إزالتها.

العملاء خارج الحادثة كان لديهم أيضًا دور محدود كمستلمين لمعلومات المخاطر. أنشأ تقرير نوفمبر دليلاً للأشخاص الذين من المحتمل أن يديروا Okta. قالت Okta إنه لم يكن لديها دليل مباشر في ذلك الوقت على أن بيانات الاتصال كانت تُستغل بنشاط، لكنها حذرت من زيادة مخاطر التصيد والهندسة الاجتماعية. أصدرت FINRA لاحقًاتنبيهًا للأمن السيبرانييخبر الشركات الأعضاء بتقييم التعرض، ومراجعة استخدام المزود، ومراقبة استهداف موظفي الدعم والمسؤولين. كان التنبيه توجيهًا حول سوء الاستخدام المحتمل النهائي، وليس دليلاً على أن كل مستخدم مدرج قد تم استهدافه.

الاعتماد على مزود الهوية يشمل الاسترداد والدعم

تتبنى المؤسسات مزود هوية سحابي لمركزية سياسة المصادقة، وإدارة دورة الحياة، والوصول إلى العديد من التطبيقات. يمكن أن تحسن المركزية الأمان: يمكن فرض المصادقات القوية بشكل متسق، ويمكن أن ينتشر إنهاء الحساب بسرعة، ويمكن تسجيل أحداث الهوية في مكان واحد. نفس التركيز يغير أيضًا أنماط الفشل. يمكن أن تؤثر جلسة المسؤول على مستوى الهوية على العديد من التطبيقات النهائية، وتصبح الأنظمة التشغيلية للمورد جزءًا من سلسلة الثقة للعميل.

كشف اختراق عام 2023 عن ثلاثة أشكال من الاعتماد.

أولاً، اعتمد العملاء على Okta لصحة الجلسة النشطة. بمجرد أن قبلت Okta القطعة الأثرية المسروقة، لم يستطع مفتاح جهاز العميل إثبات بأثر رجعي أن الشخص الذي قدم ملف تعريف الارتباط لا يزال هو الشخص الذي لمس المفتاح. يمكن للعملاء إضافة سياق من خلال سياسة الجهاز والشبكة، لكن Okta كانت تتحكم في ميزات المنتج مثل ربط الجلسة والإلغاء العالمي.

ثانيًا، اعتمد العملاء على Okta للحصول على أدلة حول مستودع الدعم. يمكن للعميل رؤية إجراء إداري مستحيل ولكن ليس من قام بتنزيل مرفقه من نظام حالات المزود. احتاجت 1Password وBeyondTrust إلى سجلات من Okta لربط حدث المستأجر بملف الدعم. المزود، بدوره، اعتمد على تتبع العميل لاكتشاف أي أحداث دعم كانت ضارة. تم تقسيم الأدلة عبر الحدود التنظيمية.

ثالثًا، اعتمد العملاء على تسلسل الإخطار والعلاج الخاص بـ Okta. فقط Okta يمكنها تحديد جميع العملاء الـ 134 الذين لديهم ملفات تم الوصول إليها، وإلغاء رموز Okta المضمنة ذات الصلة على نطاق واسع، وإعادة بناء تقرير مستخدم الدعم الواسع، وإخبار العملاء غير المتأثرين بما تم فحصه. هذا التركيز يجعل السرعة ذات قيمة لجميع العملاء. يوم يقضيه كل تقرير كمسألة نقطة نهاية معزولة ليس فقط تكلفة للمزود؛ إنه يمدد نافذة عدم اليقين لكل مستأجر قد تكون ملفات دعمه مكشوفة.

لا يوجد بديل بسيط أثناء الحادثة. استبدال مزود الهوية هو مشروع كبير يتضمن تكاملات التطبيقات، وتعيينات المجموعات، وقواعد دورة الحياة، وأدوات المصادقة، وعمليات مكتب المساعدة، وسلوك المستخدم. يمكن أن يخلق تجاوز الفشل متعدد المزودين مشاكله الأمنية والتناسقية الخاصة. الثقل الواقعي ليس استبدال البائع الفوري بل الاعتماد المحدود: تتبع مستقل، سلطة محلية على الوصول إلى التطبيقات عالية المخاطر، جلسات مسؤول قصيرة وسياقية، حسابات طوارئ لا تعتمد على نفس لوحة التحكم، تدوير بيانات اعتماد تم اختباره، والقدرة على تشغيل الخدمات الحرجة بينما يكون مزود الهوية أو قناة الدعم الخاصة به قيد التحقيق.

اقتصاديات قناة التصعيد

الإبلاغ الأمني هو سوق معلومات بحوافز ضعيفة. العميل الذي يرى حدثًا إداريًا شاذًا واحدًا لا يمكنه معرفة في البداية ما إذا كان لديه برامج ضارة في نقطة النهاية، أو مخبر، أو جلسة متصفح مسروقة، أو اختراق مزود، أو إيجابية كاذبة. التحقيق يستهلك وقتًا نادرًا للمستجيب. التصعيد إلى المورد يمكن أن يعني اجتماعات متكررة وطلبات سجلات. فائدة هذا الاستمرار قد تتراكم في الغالب للعملاء الآخرين إذا كشف التقرير عن سبب مشترك.

حساب BeyondTrust هو مثال ملموس. استبعدت أنظمتها الخاصة، وجادلت بأن بيئة الدعم من المحتمل أن تكون مخترقة، وطلبت التصعيد وسجلات أكثر تفصيلاً، وقدمت مؤشر IP. يعزو حساب Okta ذلك المؤشر إلى تحديد أحداث غير ملحوظة سابقًا مرتبطة بحساب الخدمة المخترق. التكلفة الخاصة لعميل واحد أنتجت فائدة اكتشاف على مستوى المزود.

حوافز المزود صعبة أيضًا. إعلان حادثة عبر العملاء مبكرًا جدًا يمكن أن يخلق عمليات تدوير غير ضرورية، وعبء دعم، وضررًا للسمعة. انتظار اليقين يمكن أن يترك المهاجم نشطًا وينقل تكاليف الاكتشاف إلى العملاء. الإجابة ليست الإفصاح العام التلقائي بعد أي تسجيل دخول غريب. إنه نظام تصعيد تدريجي يمكنه إصدار إشعارات سرية احترازية، والحفاظ على عدم اليقين في الصياغة، وذكر الإجراء الذي يجب على العملاء اتخاذه قبل أن يكون الإسناد نهائيًا.

يضيف تعرض تقرير الاتصال لشهر نوفمبر طبقة أخرى. دليل الدعم نفسه حدد الأسماء وعناوين البريد الإلكتروني والشركات، وفي بعض السجلات، بيانات وصفية متعلقة بالدور للأشخاص الذين من المحتمل أن يكون لديهم مسؤوليات هوية مميزة. حتى بدون كلمات المرور، يقلل هذا من تكلفة البحث للمهاجم. لم يعد المتصل المقنع بحاجة إلى تخمين من يدير منصة الهوية. حذرت Okta صراحةً من أن العديد من مستخدمي الدعم كانوا مسؤولين وأن نفس الحسابات كانت تستخدم لتسجيل الدخول إلى نظام الدعم ومؤسسة Okta للعميل.

هذا هو المكان الذي تلتقي فيه اقتصاديات الاتصال بالإساءة مع أمان الهوية. القدرة على الاتصال ضرورية: يحتاج المزودون إلى شخص موثوق لإخطاره، ويحتاج العملاء إلى مكان موثوق للإبلاغ عن الإساءة. لكن دليل الاتصال المركز هو أيضًا بيانات استطلاع. يجب تقليله، وتقسيمه، ومراقبته، وحمايته وفقًا لسلطة الأشخاص الذين يحددهم. لا ينبغي أن يعتمد الإخطار على عنوان واحد مكشوف في نفس الحادثة. قد تحتفظ المؤسسة بجهة اتصال أمنية مسجلة، ورسالة بوابة مصادق عليها بشكل منفصل، وقناة طوارئ خارج النطاق، مع قواعد واضحة للتحقق من أن الرسالة تأتي بالفعل من المزود.

تصميم تصعيد فعال للمزود سيجعل خمس قدرات قابلة للملاحظة:

  • طريق أمني مستقل عن التعامل العادي مع الحالات، مع سلطة تجميع التقارير عبر العملاء.
  • إقرار بالاستلام وشدة يخبر المبلغ عما إذا كان القلق قد وصل إلى المستجيبين للحادثة.
  • طلبات أدلة تحافظ على معرفات الكائن، والطوابع الزمنية، ومسار الوصول الكامل بدلاً من عرض الحالة العادي فقط.
  • مستوى إخطار احترازي يمكنه تحديد ما يشتبه فيه، وما تم تأكيده، وما يجب على العملاء الاحتفاظ به أو تدويره.
  • بيان تأثير نهائي يحدد السكان، وكائن البيانات، والثقة وراء كل عدد.

تقلل هذه القدرات التكلفة الخاصة للإبلاغ وتزيد فرصة المزود في العثور على نمط مشترك قبل أن يصبح عميل ثالث الإشارة الحاسمة.

العلاج: ما تغير وما بقي من الصعب التحقق منه

سرد Okta الصادر في 3 نوفمبر أربع خطوات مكتملة. عطلت حساب الخدمة المخترق. استخدمت تكوين Chrome Enterprise لمنع الموظفين من تسجيل الدخول إلى ملفات تعريف Google الشخصية على أجهزة الكمبيوتر المحمولة المُدارة من Okta. أضافت قواعد مراقبة واكتشاف لنظام الدعم. أصدرت ميزة الوصول المبكر التي تربط رموز جلسة المسؤول بموقع الشبكة، وتتطلب إعادة المصادقة بعد تغيير الشبكة المكتشف.

أضاف تحديث 29 نوفمبر ضوابط مواجهة للعميل. أوصت Okta بمصادقات مقاومة للتصيد للمسؤولين، وربط جلسة المسؤول بناءً على تغيير في النظام الذاتي (AS)، وفحوصات زمنية أكثر صرامة لوحدة تحكم Admin. أعلنت عن حد أقصى افتراضي للجلسة مدته 12 ساعة ووقت توقف نشط مدته 15 دقيقة، مع طرح في يناير 2024. كما حثت العملاء على مراجعة التحقق من مكتب المساعدة قبل إعادة تعيين كلمة المرور أو العامل. تعالج هذه الإجراءات مدة إعادة التشغيل وخطر الهندسة الاجتماعية، على الرغم من أن تغيير AS هو إشارة خطر بدلاً من ربط جهاز تشفير. يمكن للمستخدمين المحمولين أو البعيدين الشرعيين تغيير الشبكات، بينما قد يجد المهاجم بنية تحتية في نفس سياق الشبكة.

في 8 فبراير 2024، نشرت Oktaإشعار إغلاق التحقيق. قالت إن Stroz Friedberg أكملت تحقيقًا مستقلاً ولم تجد دليلاً على نشاط ضار يتجاوز استنتاجات Okta السابقة. قالت Okta إنها أبلغت الجهات التنظيمية وإنفاذ القانون، وأعطت تقارير تأثير مخصصة للعملاء المتأثرين، وراجعت أمان مركز المساعدة، وغيرت توفير المسؤولين والاحتفاظ بالبيانات. كما أشارت إلى عدم وجود امتيازات دائمة للمسؤولين، وMFA تصعيدية لإجراءات وحدة تحكم Admin المحمية، وحظر أدوات إخفاء الهوية من خلال المناطق الديناميكية، وربط IP أوسع وقيود منطقة الشبكة للوصول إلى API.

تغطي هذه العلاجات عدة طبقات:

  • ضوابط المحفز: تعطيل الحساب ومنع تسجيل الدخول إلى الملف الشخصي الشخصي.
  • ضوابط الكشف: مراقبة جديدة لنظام الدعم ومراجعة جنائية مستقلة.
  • ضوابط الجلسة: ربط الشبكة، وعمر أقصر، وإعادة مصادقة الإجراءات المحمية.
  • ضوابط الامتياز: تعيين دور إداري محدد زمنيًا.
  • ضوابط التعرض: تغييرات في توفير مركز المساعدة والاحتفاظ.
  • ضوابط العميل: تقارير التأثير، المؤشرات، وإرشادات التكوين.

أقوى التغييرات تقلل من سلطة المهاجم القابلة للاستخدام بعد سرقة السر. الجلسات الأقصر، وإعادة المصادقة للإجراءات الخطيرة، والأدوار المؤقتة، وقيود شبكة API كلها تضيق النافذة. نموذج HAR Sanitizer يذهب أبعد من ذلك بجعل الملف الملتقط خاملًا قبل التحميل. معًا، الوقاية والاحتواء أكثر مصداقية من وعد واحد بأن تخزين الدعم آمن.

يبقى التحقق العام محدودًا. لم تنشر Okta التقرير الجنائي المستقل؛ جعلت التقرير متاحًا للعملاء والشركاء. لا يكشف إشعار الإغلاق عن فترة الاحتفاظ المنقحة لنظام الدعم، أو تصميم مصادقة حساب الخدمة الدقيق، أو عتبات المراقبة، أو ما إذا كانت التحميلات الحساسة يتم فحصها أو تنقيتها تلقائيًا، أو كيفية ربط جميع معرفات كائنات الملفات، أو مدى سرعة وصول تقارير العملاء عالية الثقة إلى فريق الحادثة عبر العملاء. كما لا يوفر نتائج اختبار تظهر أن الملف الذي يتم الوصول إليه من خلال كل واجهة متاحة ينتج مسار تدقيق كامل وفي الوقت المناسب.

هذا لا يعني أن الضوابط كانت غائبة أو غير فعالة. يعني أن القراء الخارجيين يمكنهم تأكيد أن Okta قالت إن الإجراءات تم تنفيذها، بينما لا يمكنهم تقييم تكوين أو متانة كل إجراء بشكل مستقل. سجل مساءلة ناضج سيحول المزيد من هذه الادعاءات إلى أدلة قابلة للاختبار: مقاييس تغطية التدقيق، وجرد حساب الخدمة وسياسة المصادقة، ونطاقات الاحتفاظ بملفات الدعم، وتمارين وقت التصعيد، وتدريبات إلغاء الرمز، واختبارات الفريق الأحمر لمسارات الوصول البديلة للملفات.

معيار تحكم لحالات دعم الهوية

تقترح الحادثة معيارًا عمليًا يمكن لمقدمي الهوية وعملائهم مشاركته.

اجمع سلطة أقل.أنشئ تتبعات من الحساب الأقل امتيازًا القادر على إعادة إنتاج المشكلة. فضل مستأجر اختبار أو جلسة دعم قصيرة العمر. سجل فقط نافذة الطلب الفاشل. إذا لم تكن ملفات تعريف الارتباط أو رؤوس التفويض أو الأجسام مطلوبة، قم بإزالتها قبل إنشاء الملف أو تصديره.

اجعل التنقية محلية وافتراضية.يجب أن يكون العميل قادرًا على فحص ما سيتم إزالته وما تبقى من قيمة تشخيصية. يجب أن يتطلب التصدير الحساس استثناءً صريحًا، وشرحًا، وخطة انتهاء صلاحية. يجب أن تفحص بوابة الدعم أشكال بيانات الاعتماد الشائعة وترفض أو تحجر التحميل الخطير بدلاً من مجرد عرض تحذير عام.

تعامل مع الملفات الحساسة المقبولة كأسرار نشطة.إذا كان الدعم يحتاج حقًا إلى قطعة أثرية جلسة حية، يجب أن ينشئ سير العمل نافذة معالجة قصيرة، ويقيد الموظفين المسمىين، ويمنع التصفح الجماعي، ويسجل جميع مسارات الوصول، ويطلق الإلغاء عند اكتمال خطوة الحالة. يجب أن يتلقى العميل إيصالًا يحدد الملف، وفئة الحساسية، ووقت الحذف المتوقع، والإجراءات المطلوبة بعد التحميل.

اربط الكائنات، وليس أحداث الواجهة.سواء تم فتح ملف من حالة، أو علامة تبويب ملفات، أو تقرير، أو API، أو أداة مسؤول، يجب أن يحل التتبع إلى نفس الكائن الأساسي والعميل. يجب أن يغطي البحث الأمني القراءات، والمعاينات، والتصدير، والنسخ، وإنشاء التقارير، والوصول إلى البيانات الوصفية. يجب الاحتفاظ بحجم الملف ومعلمات التقرير حتى يتمكن المحقق من إعادة بناء الإخراج.

اكتشف السلطة بدون مصادقة.يشرحدليل سجل النظام Oktaكيف يمكن للعملاء البحث حسب المستخدم وعنوان IP ومعرف الجلسة الخارجي ومراجعة أحداث الجلسة والمصادقة وMFA والاسترداد. الدرس للعميل هو التنبيه عندما تظهر الإجراءات المميزة بدون تسلسل المصادقة المتوقع، من شبكة جديدة، من خلال عميل غير عادي، أو ضد وظيفة إدارية نادرًا ما تستخدم. لا ينبغي لجلسة ناجحة أن تكبح فحص ما تفعله الجلسة.

اربط وأعد فحص الجلسات عالية المخاطر.يمكن لسياق الشبكة والجهاز والسلوك تحديد إعادة التشغيل. يجب أن تتطلب الإجراءات المحمية دليلاً جديدًا. يجب أن تكون أدوار المسؤول مؤقتة حيثما أمكن. لا ينبغي لمسارات API أن تقدم بصمت بديلاً أقل تقييدًا لمسار وحدة التحكم المحظور بسياسة الجهاز.

احصر كل سر في الأدلة التشخيصية.بعد كشف ملف، قم بتدوير ليس فقط ملف تعريف ارتباط Okta الواضح ولكن رموز API، وبيانات اعتماد حساب الخدمة، وأسرار التطبيق النهائي، وعناوين URL التي تحمل بيانات اعتماد. حادثة Cloudflare اللاحقة تظهر أن التدوير شبه الكامل ليس كافيًا عندما يصل السر المفقود إلى نظام تعاون حساس.

احتفظ بمسارات استرداد مستقلة.حافظ على الوصول الاحتياطي، وجهات الاتصال الأمنية للمزود، والسجلات خارج مسار الهوية الأساسي. اختبر كيفية تصرف التطبيقات الحرجة عندما يجب إلغاء جلسات الهوية المركزية على نطاق واسع. الهدف ليس تكرار منصة الهوية بأكملها بل تجنب جعل المزود المخترق المصدر الوحيد للأدلة والاسترداد.

مارس طريق الإبلاغ.يجب أن يعرف العملاء كيفية تسمية اختراق المورد المشتبه به، ويجب على المزودين ممارسة ربط التقارير التي تصل تحت أرقام حالات مختلفة. جهة الاتصال الأمنية هي تحكم فقط إذا كانت مراقبة، ومصادق عليها، ومفوضة للتصعيد.

المساءلة بعد انتهاء الجلسة

لم يتم اختراق خدمة الإنتاج لـ Okta، والسجل العام لا يدعم أي ادعاء بأن كل مستأجر عميل تم الوصول إليه. يجب أن تبقى هذه الحدود بارزة. وكذلك الضرر المؤكد: وصول غير مصرح به لملفات الدعم عبر 134 عميلاً، وخمس جلسات عملاء مختطفة، وتقرير اتصال واسع لمستخدمي الدعم، وتكاليف تحقيق وتدوير العميل النهائي، واختراق لاحق واحد على الأقل استخدم بيانات اعتماد فشل العميل في تدويرها بعد التعرض الأصلي.

محفز الحادثة كان عاديًا مقارنة بالأنظمة التي وصل إليها: بيانات اعتماد خدمة محفوظة من خلال ملف تعريف متصفح شخصي. تشكلت عواقبه من خلال البنية. فتحت بيانات الاعتماد مستودعًا يحتوي على نسخ من قبل العميل للنشاط المصادق عليه. تمثل سجلات المستودع الوصول إلى الملف بشكل مختلف اعتمادًا على مسار التنقل. يمكن إعادة تشغيل الجلسات النشطة بعيدًا عن المسؤولين الذين أنشأوها. رأى العملاء الآثار غير الطبيعية أولاً، بينما كان المزود يمتلك الرؤية الوحيدة القادرة على إثبات السبب المشترك.

هذا هو الاستنتاج المركزي للمساءلة. لا يمكن أن يتوقف ضمان الهوية عند خدمة المصادقة الإنتاجية. يجب أن يمتد إلى كل عملية تشغيلية يمكنها جمع أو حفظ أو إعادة تشغيل أو إلغاء أو شرح سلطة المسؤول. الدعم ليس خارج حدود الهوية عندما يحتوي منتج عمله العادي على أسرار هوية.

ضوابط Okta اللاحقة عالجت أجزاء مهمة من السلسلة، وإفصاحها أصبح في النهاية مفصلًا بشكل غير عادي حول أخطاء التحقيق. أظهرت كتابات العملاء أيضًا أن السياسة المتعددة الطبقات، والتتبع المستقل، والاستجابة السريعة قللت بشكل كبير من التأثير. الدرس ليس أن الهوية السحابية غير جديرة بالثقة بطبيعتها. بل أن الثقة المركزة يجب أن تُقابل بأدلة مركزة، وتصعيد سريع، وضوابط جلسة تظل قوية بعد انتهاء حفل تسجيل الدخول.