Después de cuatro años en Okta, el CSO David Bradbury ha asumido quizás el papel más importante en el proveedor de gestión de acceso e identidad.
Bradbury dijo que Okta ha implementado un conjunto de controles de seguridad que, en retrospectiva, ya deberían haber sido parte de los productos y operaciones internas de TI de la empresa.
“Okta no se ha mantenido al día con los cambios en el entorno de amenazas que nos rodea y creo que seremos criticados por muchas cosas sobre la rapidez con la que reaccionamos a la seguridad”, dijo Bradberry. “La discusión ya no es sobre dónde encaja la seguridad, sino dónde encaja todo lo demás”.
La disculpa de la compañía y el cambio de dirección en materia de seguridad se convirtieron en una máxima prioridad después de una serie de ataques cibernéticos que dañaron la reputación en los últimos años y planes previos para mejorar la seguridad fracasaron.
Este es un momento decisivo para la asediada empresa.
Bradbury anticipó el lunes más de 10 mejoras de seguridad que Okta anunciará a finales de esta semana. Esto es parte de un esfuerzo de toda la empresa que comenzó a raíz de un ciberataque en septiembre que comprometió a todos los clientes del sistema de atención al cliente de la empresa.
David Bradbury, director de operaciones de Okta
Proporcionado por Okta
La compañía compartió con Cybersecurity Dive su compromiso a largo plazo en cuatro pilares para fortalecer las defensas internas y la seguridad basada en identidad para sus 18.800 clientes empresariales.
Okta invertirá 50 millones de dólares en un fondo para fortalecer la infraestructura empresarial durante los próximos cinco años, incorporar principios de diseño de seguridad en todos los productos, promover mejores prácticas y abordar los desafíos externos de ciberseguridad. Se lo prometí.
angustia creciente
En 2022, Okta sufrió un ataque de phishing y una violación de datos que resultó en el robo de su código fuente de GitHub. El verano pasado, una serie de ataques afectaron entornos de clientes de alto perfil, y los ataques de proveedores externos expusieron la información de salud de aproximadamente 5000 empleados actuales y anteriores de Okta.
Luego vino el ataque al portal de soporte de Okta en septiembre. BeyondTrust, Cloudflare y 1Password se han presentado como víctimas posteriores de este ataque. Las estimaciones iniciales de Okta concluyeron que sólo el 1% de los clientes de su sistema de atención al cliente se vieron afectados.
Sin embargo, a finales de noviembre, Okta concluyó que todos los clientes de atención al cliente se vieron afectados por el ataque.
Cybersecurity Dive habló con los líderes de seguridad de Cloudflare y BeyondTrust antes de que Okta determinara el alcance total del daño causado por el ataque al sistema de soporte. En ese momento, la relación entre las dos empresas era tensa debido a la intrusión y su impacto en la organización, pero la confianza en Okta seguía intacta.
Okta es un “proveedor de identidad en el que confían algunas de las organizaciones más importantes del mundo” y dice que se toma este problema en serio “asegurándose de que este tipo de violación no vuelva a ocurrir”, dijo Grant Burzikas, CSO de Cloudflare, a Cybersecurity Dive a finales de octubre.
Este incidente a gran escala fue un punto de quiebre para Okta y su status quo, exponiendo los peligros de un enfoque desequilibrado y, en última instancia, ineficaz de la ciberseguridad.
“Cuando trabajas en una empresa como Okta, siempre hay un conflicto de personalidad: ¿somos una empresa de seguridad o una empresa de identidad? ¿Qué viene primero?”, dijo Bradberry.
Una violación total del portal de soporte de Okta pone fin a esa pregunta. La dirección de Okta determinó que el cambio era esencial y detuvo el desarrollo del producto durante 90 días a partir de principios de noviembre y elevó la seguridad a su máxima prioridad.
“El enfoque interno es reconocer que existe una brecha, una disparidad, entre la seguridad de nuestros propios sistemas y lo que hay a su alrededor. Necesitamos elevar el listón”, dijo Bradbury.
“Tenemos que ser una de las pocas empresas del mundo donde no hay disparidad entre los sistemas”, afirma Bradbury. “Ya sea un sistema de pedido de clips o un servicio de producción, todos los sistemas son tratados con el mismo perfil de amenaza”.
Si Okta es el punto de entrada para un ataque, la responsabilidad de la defensa no se comparte con el cliente (lo que, según Bradbury, es una obviedad), sino que recae en Okta. “Mi equipo de defensa cibernética es dueño de esto. Es dueño de esto en todo lo que hacen”, dijo Bradbury.
Centrarse en la seguridad de forma predeterminada
Después de que Okta lanzó su segundo plan de acción de seguridad en 18 meses, Bradbury y su equipo de seguridad identificaron los vectores de ataque a los que Okta o sus clientes estaban expuestos y utilizaron esos vectores para mejorar el futuro. Lo hemos asignado a la funcionalidad que necesita para prevenir el phishing, las redes sociales ingeniería y ataques de robo de tokens.
“Una de las primeras cosas que hicimos después de este incidente fue restringir las cookies de sesión de inicio de sesión a la red a la que está conectado el usuario”, dijo Bradbury.
Okta ha aplicado vinculación de IP a sus productos, consola de administración y acceso privilegiado. Esta es una función que cancela automáticamente las sesiones cuando cambia la dirección IP. También estamos introduciendo requisitos de autenticación multifactor para todas las funciones de administrador de Okta y acciones protegidas dentro de la consola de administración.
Como parte de estos cambios, Okta está incorporando principios de seguridad por diseño en su pila de tecnología interna y externa, pero no todas las funciones nuevas son seguras de forma predeterminada. Algunos son opcionales o requieren que los clientes implementen y configuren adecuadamente los ajustes para brindar protección adicional.
Bradbury reconoció que este enfoque creaba riesgos para los clientes individuales y para Okta como marca, pero a medida que se introduzcan más funciones en el modo de acceso temprano, la compañía continuará implementando los controles que cree que serán más beneficiosos. activado de forma predeterminada.
“No creemos que tengamos el equilibrio adecuado en ese sentido. Históricamente, los clientes siempre han creado sus propias pilas a su manera y han utilizado los productos Okta de la forma que les parece adecuada. sido preferido”, dijo Bradbury.
“Nuestra posición actual es que creemos que los clientes no deberían pedirnos consejo sobre cómo proteger sus plataformas; debemos continuar habilitando estas funciones para nuestros clientes de vez en cuando”.
Recuperar la confianza de una reputación dañada
El resurgimiento de la seguridad de Okta implica algo más que cambios en funciones y tecnología. Esta vez, la compañía revisó sus valores e hizo de la seguridad su única prioridad, dijo Bradbury, después de que los intensos esfuerzos anteriores para mejorar la seguridad no tuvieran mucho éxito.
“Tradicionalmente, la seguridad no ha sido un valor en Okta”, dijo Bradberry, y agregó que este cambio en los valores de la empresa crea un efecto en cascada en toda la cultura organizacional.
“Siento que esta vez las cosas son diferentes. Admito que la velocidad no era la adecuada, pero mis prioridades tampoco eran las adecuadas”, dijo Bradbury.
La reputación de Okta ahora se ha visto gravemente dañada, con más de 400 de su equipo de ingeniería de 1000 personas trabajando a tiempo completo en seguridad y el equipo de seguridad de la compañía de más de 200 empleados intensificando sus esfuerzos.
La compañía aún no ha informado ganancias trimestrales desde que salió a bolsa en 2017, pero está previsto que informe sus resultados del cuarto trimestre de 2024 el miércoles.
“Okta ha pasado 10 años construyendo su marca y la hemos visto empañada por varios incidentes en los últimos años, y no creo que se haya recuperado todavía”, dijo Bradbury. “Aún nos queda un largo camino por recorrer para reconstruir la confianza”.
Se necesitará más que tiempo y palabras para borrar este daño a la reputación y recuperar la confianza de los clientes.
“Necesitamos un historial de cero violaciones. Eso genera confianza”, dijo Bradberry. “Nuestra hoja de resultados debería estar limpia. Debería ser cero durante los próximos años”.
Fuente: https://www.cybersecuritydive.com/news/okta-security-revival/708636/