After the Okta Breach, Diversify Your Sources of Truth

บทเรียนจากเหตุการณ์ข้อมูลรั่วไหลของ Okta

จากเหตุการณ์ที่ Okta ถูกแฮ็กโดยกลุ่ม Lapsus$ ในเดือนมกราคม ทำให้เกิดการตั้งคำถามเป็นจำนวนมากด้านความปลอดภัยของข้อมูลส่วนบุคคล

เนื่องจากบริษัททำธุรกิจเกี่ยวกับการรักษาความปลอดภัย การถูกขโมยข้อมูลของ Okta ทำให้หลายคนตั้งคำถามเกี่ยวกับระบบ Identity manager ซึ่งหลายคนกำลังตั้งคำถามว่าการหวังพึ่งระบบใดระบบหนี่งในการบริหารจัดการข้อมูลส่วนบุคคลอาจจะไม่เหมาะสมอีกต่อไป เนื่องจากหลาย ๆ องค์กรใช้ Okta เป็นเครื่องมือด้านความปลอดภัยในการเข้าถึงข้อมูลประจำตัวเพียงระบบเดียว

Identity providers (IdPs) ช่วยทำให้องค์กรต่างๆ บริหารจัดการ Identity directories, authentication services เช่น การใช้ single sign-on และ multifactor authentication (MFA) และโดยทั่วไปช่วยในการจัดการเกี่ยวกับการเข้า และออกจากงานของพนักงานในองค์กรให้ทำได้ง่ายขึ้น

ในสถานการณ์ปกติจะพบการเข้าถึงระบบผ่านทาง IdP หรือเครื่องมือ Identity governance and administration (IGA) เท่านั้น ซึ่งหาก IdP ถูกโจมตี จะมีมาตรการตรวจสอบความถูกต้องของข้อมูลได้อย่างไร

วิธีที่จะบรรลุเป้าหมายนี้คือการการเฝ้าระวังการเชื่อมต่อกับแอป และบริการทั้งหมดขององค์กรอย่างเข้มงวด ตัวอย่างเช่น การเฝ้าระวังข้อมูลใน AWS อย่างเดียวอาจไม่เพียงพอหาก User ยังมีการใช้ GitHub, Google Docs และบริการระบบคลาวด์อื่น ๆ สำหรับการทำงาน

การตรวจสอบมีความจำเป็นต้องเฝ้าระวังพฤติกรรมทั้งหมดที่เกิดขึ้น ไม่เฉพาะกับข้อมูลที่ใช้ระบุตัวตนเท่านั้น แต่ยังต้องดูจาก Asset ขององค์กรด้วย เช่น local IAM, external users, service principals ที่มีการเข้าถึง Asset ขององค์กร ซึ่งหากมีการตรวจสอบสิทธิ์การเข้าถึงอย่างเข้มงวด จะทำให้สามารถตรวจสอบเหตุการณ์ที่น่าสงสัย และลดความเสี่ยงในการถูกเข้าถึงข้อมูลที่สำคัญได้หากให้สิทธิ์กับผู้ใช้งานเท่าที่มีความจำเป็นเท่านั้น

3 วิธีที่สามารถจำกัดความเสียหาย และทำให้แฮ็กเกอร์ขโมยข้อมูลได้ยากขึ้น

1. ลดการเปิดเผยข้อมูล

  • หลีกเลี่ยงการเปิดช่องทางการเข้าถึงระบบโดยไม่จำเป็น ซึ่งอาจกลายเป็นโหว่ให้ถูกโจมตีได้
  • ตรวจสอบให้แน่ใจว่าผู้ดูแลระบบทุกคนเปิดใช้งาน MFA
  • ยกเลิกสิทธิ์ User ที่ไม่ได้ใช้งาน หากไม่มีการใช้งานเกิน 30 หรือ 60 วัน
  • ตรวจสอบการเข้าถึงระบบเป็นระยะ โดยผู้ดูแลระบบต้องอนุมัติ หรือเพิกถอนสิทธิ์การเข้าถึงสำหรับพนักงาน และบุคคลอื่นๆ โดยตรวจสอบข้อมูลเหล่านี้อยู่เป็นประจำ เพื่อให้แน่ใจว่าทุกคนมีสิทธิ์การเข้าถึงเท่าที่มีความจำเป็นเท่านั้น

2. ตรวจสอบเฝ้าระวังอย่างต่อเนื่อง

  • เมื่อมีการกำหนดสิทธิ์การเข้าถึงได้อย่างเหมาะสมแล้ว ต้องคอยตรวจสอบอยู่เสมอว่าสิทธิ์นั้นจะไม่ถูกเปลี่ยนแปลง
  • ควรมีวิธีการที่สามารถตรวจสอบ และแจ้งเตือนหากมีการละเมิดเกิดขึ้น ตัวอย่างเช่น หากมีการสร้างบัญชีผู้ดูแลระบบใหม่ หรือไม่มีการใช้บัญชีที่ไม่เคยใช้งานเกิน 30 วัน

3. รักษาความปลอดภัยของ Supply Chain

  • ตรวจสอบให้แน่ใจว่าทุกคนที่เกี่ยวข้องกับระบบ หรือ Partner รายอื่นๆ มีการปฏิบัติตามมาตรฐานด้านความปลอดภัยขององค์กร
  • หากการปฏิบัติงานจาก Vendor ที่เป็นบุคคลภายนอกไม่เป็นไปตามมาตรฐานด้านความปลอดภัย ซึ่งอาจส่งผลกระทบต่อลูกค้า จะต้องแจ้งให้ Vendor รับทราบถึงมาตรฐานขององค์กร และบังคับให้พวกเขาปฏิบัติตามให้ได้
  • แม้ว่าเครื่องมือตรวจสอบสิทธิ์ และ IdP จะเป็นขั้นตอนแรกที่สำคัญในการระบุตัวตน และการเข้าถึง Infrastructure แต่องค์กรก็ต้องมีการเฝ้าระวัง เพื่อให้แน่ใจได้ว่าหากเกิดความผิดพลาดจาก Vendor รายเดียวจะไม่ทำให้กระทบกับระบบโดยรวม

ที่มา: www.darkreading.com