Pada hari Jumat, Okta – perusahaan autentikasi sekaligus korban Lapsus$ – mengakui bahwa pihaknya “melakukan kesalahan” dalam menangani serangan Lapsus$ yang baru saja terungkap.
Kesalahan: mempercayai bahwa penyedia layanan telah memberi tahu Okta segala yang perlu diketahui tentang pengambilalihan akun (ATO) yang “tidak berhasil” di salah satu penyedia layanannya dan bahwa penyerang tidak akan mencapai tentakel mereka kembali untuk menyeret Okta atau pelanggannya .
Salah-o, ternyata: Sekitar seminggu yang lalu, Lapsus$ membual tentang mendapatkan akses “pengguna super/admin” ke sistem internal Okta, dengan gembira memposting bukti dan mengolok-olok Okta atas penolakannya bahwa serangan 20 Januari telah berhasil.
Okta kemudian menemukan bahwa serangan itu telah mempengaruhi 2,5 persen, atau 366, dari pelanggannya.
Dalam FAQ yang diterbitkan pada hari Jumat, Okta menawarkan garis waktu lengkap dari insiden tersebut, yang dimulai pada 20 Januari ketika perusahaan mengetahui bahwa “a faktor baru telah ditambahkan ke akun Okta teknisi dukungan pelanggan Sitel.”
Apa yang Terjadi di Situs
Target serangan 20 Januari adalah Sykes Enterprises, yang diakuisisi Sitel pada September 2021. Okta menyebut perusahaan itu sebagai Sitel – pihak ketiga vendor yang membantu Okta dalam hal dukungan pelanggan – dalam pembaruan dan FAQ.
Aktor ancaman gagal dalam upayanya untuk menambahkan faktor baru – kata sandi – ke salah satu akun Okta teknisi dukungan pelanggan Site. Okta Security telah menerima peringatan bahwa faktor baru ditambahkan ke akun Okta karyawan Situs dari lokasi baru dan bahwa target tidak menerima tantangan otentikasi multifaktor (MFA), yang menurut Okta memblokir akses penyusup ke akun Okta.
Meskipun demikian, “karena sangat berhati-hati”, keesokan harinya – 21 Januari – Okta menyetel ulang akun dan memberi tahu Sitel. Pada hari yang sama, Okta Security berbagi indikator kompromi (IOC) dengan Sitel, yang memberi tahu Okta bahwa pihaknya telah mendapatkan dukungan dari luar dari “perusahaan forensik terkemuka”.
Menurut laporan lengkap yang ditugaskan oleh Sitel, pelaku ancaman memiliki akses ke sistem untuk jendela lima hari, dari 16-21 Januari: tanggal yang mencadangkan tangkapan layar yang diposting Lapsus$ pada 21 Maret.
Selama jendela lima hari di mana ia memiliki akses ke Situs, satu-satunya tindakan penyerang adalah mencoba kata sandi reset.
Garis waktu peretasan Okta. Sumber: Okta.
Bagaimana Okta Mengacau
Sejauh mengapa Okta tidak memberi tahu pelanggan ketika mengetahui serangan ATO pada bulan Januari, Okta mengakui pada hari Jumat bahwa “kami membuat kesalahan.”
“Sitel adalah penyedia layanan kami yang pada akhirnya menjadi tanggung jawab kami,” itu diakui dalam FAQ hari Jumat.
Anda tidak dapat mengetahui apa yang tidak Anda ketahui, meskipun: “Pada bulan Januari, kami tidak mengetahui sejauh mana masalah Site – hanya saja kami mendeteksi dan mencegah upaya pengambilalihan akun dan bahwa Sitel telah mempertahankan firma forensik pihak ketiga untuk selidiki,” kata Okta. “Saat itu, kami tidak menyadari bahwa ada risiko bagi Okta dan pelanggan kami. Kita harus memiliki informasi yang lebih aktif dan dipaksakan dari Sitel.”
Coulda, seharusnya, dikatakan: “Mengingat bukti yang telah kami kumpulkan dalam minggu lalu, jelas bahwa kami akan membuat keputusan yang berbeda jika kami telah memiliki semua fakta yang kita miliki hari ini.”
Ini pasti penyebab utama yang menyakitkan: Harga saham Okta telah turun hampir 15 persen pada hari Jumat. Seperti yang dilaporkan Wall Street Journal, itu adalah reaksi umum setelah serangan cyber besar, seperti yang terjadi di SolarWinds, Mimecast, dan Mandiant, yang semuanya mengalami penurunan saham setelah mereka melaporkan insiden mereka sendiri.
Berita utama WSJ mengatakan semuanya: “Perusahaan manajemen identitas memiliki posisi pasar yang kuat, tetapi dampak bisnis dari peretasan baru-baru ini tidak akan jelas untuk sementara waktu,” harian bisnis mengatakan pada hari Jumat, memprediksi bahwa ” Okta Menghadapi Jalan Panjang Kembali.”
Potensi Tingkat Kompromi
Dalam FAQ hari Jumat, Okta mengatakan bahwa, sebagaimana dirinci dalam blognya, perusahaan telah mengidentifikasi dan menghubungi 366 pelanggan yang berpotensi terpengaruh. Layanan Okta sendiri tidak dilanggar, katanya: “Tidak ada dampak bagi pelanggan Auth0 atau AtSpoke, dan tidak ada dampak bagi pelanggan HIPAA dan FedRAMP.”
Dengan demikian, pelanggan tidak perlu mengatur ulang kata sandi, Okta berkata: “Kami yakin dengan kesimpulan kami bahwa layanan Okta belum dilanggar dan tidak ada tindakan korektif yang perlu diambil oleh pelanggan kami.
“Kami yakin dengan kesimpulan ini karena Sitel (dan oleh karena itu pelaku ancaman yang hanya memiliki akses itu) Situs) tidak dapat membuat atau menghapus pengguna, atau mengunduh basis data pelanggan.”
Kekurangan akses itu memang disengaja, Okta menjelaskan. “Dalam menilai tingkat potensi kompromi, penting untuk diingat bahwa berdasarkan desain, teknisi dukungan Sitel memiliki akses terbatas. Mereka tidak dapat membuat atau menghapus pengguna, atau mengunduh database pelanggan. Insinyur dukungan dapat memfasilitasi pengaturan ulang kata sandi dan faktor otentikasi multi-faktor untuk pengguna, tetapi tidak dapat memilih kata sandi tersebut. Dengan kata lain, seseorang dengan tingkat akses ini dapat berulang kali memicu pengaturan ulang kata sandi untuk pengguna, tetapi tidak akan dapat masuk ke layanan tersebut.”
Selain serangannya terhadap Okta, geng Lapsus$ yang dewasa sebelum waktunya – sekelompok pemeras data berpotensi ditipiskan oleh polisi London setelah menangkap tujuh tersangka anggota minggu lalu – juga memposting beberapa kode sumber Microsoft dan data tentang proyek dan sistem internal sekitar waktu yang sama saat membagikan tangkapan layar Okta.
Berapa Banyak Yang Harus Kita Salahkan Okta?
Ahli keamanan tidak melompat untuk menyalahkan Okta atas “kesalahan” yang diakuinya. Pemikiran: Di sana tetapi karena kasih karunia Tuhan pergilah kami.
Bagaimanapun, ATO adalah hal yang umum. Bagaimana seharusnya sebuah organisasi mengetahui mana yang dianggap layak untuk diperiksa dengan cermat, dan kapan mereka harus menindaklanjuti dengan menyelam lebih dalam untuk memastikan upaya itu tidak berhasil?
Sounil Yu, kepala petugas keamanan informasi di JupiterOne – penyedia manajemen aset dunia maya dan teknologi tata kelola – mengatakan kepada Threatpost pada hari Senin bahwa intrusi ini (atau, lebih tepatnya, upaya penyusupan, tergantung kasusnya) terjadi secara teratur, tetapi “sebagian besar” adalah dipukul mundur sebelum mereka memiliki dampak serius atau menyebabkan insiden lebih lanjut.
“Sangat mudah di belakang untuk memahami keparahan sebenarnya dari sebuah insiden, tetapi sulit di saat ini,” katanya melalui email.
Chris Morgan, analis intelijen ancaman siber senior di perusahaan perlindungan risiko digital Digital Shadows, menjelaskan bahwa ATO “sangat umum” karena kombinasi efektivitas dan ketersediaan alat cracking brute-force dan kemampuan aktor ancaman untuk menjual akun curian di penjahat dunia maya forum.
Apa yang Harus Memicu Laporan?
Pertanyaan apakah insiden tertentu cukup material untuk dilaporkan “bisa lebih seni daripada sains,” kata Yu. Tetapi kasus Okta mungkin akan menyebabkan banyak organisasi mempertimbangkan kembali peringkat dan ambang batas yang mereka terapkan untuk insiden semacam itu, ia menduga, “agar kami tidak terlihat lalai dalam memenuhi kewajiban pelaporan kami.”
Mengetahui kapan harus melakukan penyelidikan yang lebih kuat tergantung pada fakta apa yang terungkap selama proses manajemen insiden, bersama dengan risiko yang terkait dengan akun yang ditargetkan, kata Morgan melalui email. “Akun dengan hak istimewa yang signifikan harus diperlakukan dengan prioritas yang lebih tinggi daripada yang [memiliki] fungsionalitas terbatas,” sarannya.
Triase awal serangan ATO bertujuan untuk mengidentifikasi fakta-fakta kunci tentang aktivitas apa yang melibatkan akun tersebut, untuk secara akurat menentukan risiko dan langkah selanjutnya, kata Morgan. “Ini biasanya dilakukan dengan memeriksa log otentikasi dan mengamati aktivitas login dan termasuk melihat apakah akun telah mencoba untuk login ke layanan tambahan, mengubah kata sandi apa pun, atau mengunduh materi eksternal.” dia melanjutkan. “Ini juga mencakup aktivitas yang mungkin berdampak pada risiko keseluruhan, seperti apakah akun tersebut telah mengakses data sensitif atau berusaha membangun kegigihan.”
Tidak Ada ‘Akses Seperti Tuhan’ yang Diperoleh
Ketika pelanggaran Okta pertama kali terungkap, ada kekhawatiran tentang aplikasi “pengguna super” yang digambarkan dalam tangkapan layar Lapsus$. Okta mengklarifikasi pada hari Jumat bahwa ini bukan akun “Admin Super”, seperti yang ditakuti pada awalnya. Sebaliknya, ini adalah aplikasi internal – yang dikenal sebagai SuperUser atau SU – yang digunakan oleh staf pendukung untuk menangani sebagian besar pertanyaan.
“Ini tidak memberikan “akses seperti dewa” kepada semua penggunanya,” Chief Security Officer Okta David Bradbury menjelaskan. “Ini adalah aplikasi yang dibuat dengan mempertimbangkan hak istimewa paling rendah untuk memastikan bahwa teknisi pendukung hanya diberikan akses khusus yang mereka perlukan untuk menjalankan peran mereka.”
Secara khusus, teknisi SuperUser tidak dapat membuat atau menghapus pengguna atau mengunduh basis data pelanggan.
Apa yang SuperUsers dapat lakukan: “Insinyur dukungan memiliki akses ke data terbatas – misalnya, tiket Jira dan daftar pengguna – yang terlihat di tangkapan layar,” jelas Bradbury. “Insinyur dukungan juga dapat memfasilitasi pengaturan ulang kata sandi dan faktor MFA untuk pengguna, tetapi tidak dapat memperoleh kata sandi tersebut.”
Fakta bahwa akun Situs Lapsus$ mengambil alih dilaporkan dibangun dengan prinsip hak istimewa paling rendah “harus telah meminimalkan data dan layanan yang dapat dilihat oleh Lapsus$,” kata Morgan, menanggapi Threatpost yang menanyakan apa yang Okta lakukan dengan benar.
“Okta juga harus dipuji karena seberapa cepat mereka mengidentifikasi dan bekerja untuk mengunci akun yang disusupi,” tambahnya.
Namun, jelas, ketepatan waktu itu tidak mencakup pelaporan forensik dan komunikasi insiden tersebut, seperti yang diakui Okta sendiri.
Pindah ke cloud? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang kuat tentang cara mempertahankan aset Anda dengan eBook GRATIS kami yang dapat diunduh, “Cloud Security: The Forecast for 2022.” Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk keamanan sukses dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.
Tulis komentar
Bagikan artikel ini:
<
ul>iHacksliu
- iKeamanan Web