ID およびアクセス管理 (IAM) プロバイダーの Okta は、今後 12 か月間でセキュリティへの投資を 2 倍にすることを発表し、市場でのリーダーシップの確立、ベスト プラクティスの提唱という 4 つの主要な取り組みで構成される長期計画であるセキュア ID コミットメントを開始しました。アイデンティティを強化し、アイデンティティ部門を向上させ、独自のインフラストラクチャを強化します。
Okta の製品が一連のサイバー攻撃 (ランサムウェア ギャングによるラスベガスの著名なカジノ運営者に対する 2 件の劇的な大々的侵害や、Okta 製品を使用していた他の IT 企業に対するその他の攻撃を含む) で悪用されてからほぼ 6 か月後、Okta の認識はますます高まっています。顧客がアイデンティティに関するベストプラクティスを採用できるよう支援し、将来的に自社製品が悪用されるのを防ぐために、さらに努力する必要があると述べた。
Okta の EMEA 最高情報セキュリティ責任者である Stephen McDermid 氏は Computer Weekly に対し、「最近の報道記事や業界の傾向を見ると、攻撃者がアイデンティティをターゲットにし、プロバイダーをさらにターゲットにしていることは明らかです」と語った。 「この取り組みは、私たちが最前線でこれらの問題に取り組む必要があることを認識することです。」
Okta の顧客に対する攻撃は、攻撃者が自社従業員の個人 Google アカウントに侵入して認証情報を盗み、その認証情報を使って同社のサポート ケース管理システムに侵入し、顧客データにアクセスしたことに始まりました。 影響を受けたのは、1Password、BeyondTrust、Cloudflareなどです。 この侵害の範囲は当初、非常に限定的であると考えられていましたが、後にヘルプデスクを利用したことのあるすべての Okta 顧客を含むように拡大されました。
問題の重大さを認識した Okta は即座に対応し、ハッチを締め、サイバーポンプに総力を挙げてプロジェクト ベッドロックと名付けた作戦を命じた。この作戦により、Okta は製品のすべての機能開発を 90 日間停止した。
「Okta は市場のリーダーであるため、私たちは常に攻撃にさらされることになります。そのため、脅威アクターによるこれらの新しい手法や戦略に備えておくことが重要です。」
スティーブン・マクダーミッド、オクタ
「90日間、私たちはセキュリティに重点を置くことだけに専念しました。これは信じられないほどの一歩です」とマクダーミッド氏は語った。 「これは社内のセキュリティ チームにとって膨大な作業になりましたが、Okta のエンタープライズ セキュリティを、これらの攻撃から防御するためにあるべき、またそうあるべき真の強力な力に変える機会も与えてくれました。
「Okta は市場のリーダーであるため、常に攻撃にさらされることになり、常に大きな標的になることになります。そのため、脅威アクターによるこれらの新しい手法や戦略に備え、確実に対処することが重要です」私たちのシステムはそれらに対して防御できるということです。」
マクダーミッド氏は、Okta は現在、3 か月前よりもはるかに良い立場にあると述べた。 「私たちは何事も当たり前のことだと思っているわけではありませんが、実際のところ、Project Bedrock のおかげで、途中で進めていたセキュリティへの取り組みの一部を、原因を特定した後に新しい取り組みと並行して迅速に実施できるようになりました。事件。”
現在明らかになっている機能強化には、管理者が 15 分を超えてアイドル状態になった場合のセッション タイムアウトの強制や、管理者がサポート ケースにアクセスする方法の制限などが含まれます。
マクダーミッド氏は、これにより管理者による製品の使用方法にさらなる摩擦が生じ、顧客にとって課題が生じたが、こうした変更の必要性が適切に顧客に伝えられると、ユーザーベースは概して非常に理解を示してくれたと述べた。
これに加えて、Okta は顧客とのより透明性の高い関係を築くために、顧客対応を強化し続けています。 これは、コミュニケーション不足を理由に Okta が批判された 2022 年の前回の事件を受けて、同社の顧客信頼担当副社長ベン・キング氏が導入した方針の発展版である。
「顧客は、当社がコミュニケーションにおいてより積極的な役割を果たすことを望んでいます。彼らは、当社が直面している脅威についてのより深い理解を望んでおり、パートナーシップを望んでいます」とマクダーミッド氏は述べています。
「私は顧客と何百回も電話をかけて、インシデントについて説明し、加えた変更について説明し、詳細について説明し、今後の Okta がどのようなものかを理解してもらい、それらのサービスを提供してきました。私たちはこの問題を真剣に受け止めており、彼ら自身のセキュリティを改善するだけでなく、彼らがそうすることをサポートすることに尽力しているという安心感を持って」とマクダーミッド氏は述べた。
「このような経験をすることは、決して理想的なことではありませんでしたが、お客様との話し合いを通じて、私たちが何をしているのか、どのように対応しているのかを理解していただけたことは確かです。 (一部の)顧客は時間をかけて私たちを怒鳴りつけようとしていますが、大多数の顧客はそのようなことが実際に起こることを理解しています。」