从身份厂商OKTA黑客攻击事件，企业应该注意几大安全问题

被全球数千家企业使用的认证技术方案公司Okta表示，它正在调查一个潜在的漏洞消息。披露这一消息时，黑客组织 Lapsus$ 在其 Telegram 频道上发布了自称是 Okta内部系统的截图，其中一张似乎显示了 Okta 的 Slack 频道，另一张是 Cloudflare 界面。

Okta 是一家拥有超过15,000名客户的身份认证服务，周二表示，攻击者在1月份可以访问支持工程师的笔记本电脑五天。但据该公司称，该服务本身并未遭到破坏。

01.OKTA的事件发生回顾

Okta 泄密事件的主要原因：内部员工终端缺乏安全性

今年1月21日，Okta 安全团队成员收到警报，称一个新的多因素验验证已从新位置添加到了 Sitel Group 员工帐户。

经调查发现，有人使用远程桌面协议闯入了 Sitel 一名工程师的计算机。由于这名工程师对系统的访问权限有限，他无权创建或删除用户，也无权下载客户数据库，其对客户数据的访问也非常有限，因此对 Okta 客户造成的影响比较小。

就在事件过后刚刚半年的时间 Okta 再次出现严重的安全事故事件

研究人员指出，对 Okta 来说，密码之所以会以明文形式存在，是因为其缺少可靠的标准协议进行哈希同步。Authomize 还提到，Okta 方面已经承诺由产品团队认真研究密码泄露风险。

Verizon 2022年数据泄露调查报告发现，有82%的泄露事件涉及凭证被盗和网络钓鱼等元素。更令人担忧的是，应用程序管理员往往并未被视为高权限身份。

而这两次攻击事件发起者 Lapsus$ 是一个黑客组织，它声称对影响 NVIDIA、三星、微软和育碧的一些高调黑客入侵事件负责，在某些情况下甚至窃取了数百GB的机密数据。自去年 12 月以来窃取了几位知名企业受害者的数据。

02.对于企业应该如何保证企业数据的安全问题？

基于两次安全事件的问题主要来源于工程师终端遭遇入侵，导致 Okta 造成重大影响，对于终端的设备的安全，以及受信任的端点管控尤为关键和重要。企业也应该多方面对员工终端进行安全性的持续评估。

加强实施 MFA(Multi-Factor Authentication，多因子验证，简称“MFA”)——MFA缺口是攻击者的一条关键攻击途径。企业应设置 MFA 选项，并尽可能限制短信和电子邮件，比如使用 Authenticator 或 FIDO 令牌。
需要运行良好且受信任的端点——企业应持续评估设备安全性，通过配置安全设备，确保访问 SaaS 平台的设备符合安全策略。
加强和监控企业的云安全态势——企业起码应为用户设置有条件的访问，要求其采用 MFA ，并阻止高风险用户登录。

通过 Okta 的两次安全事件，对于企业在选择身份管理的产品上也应该注意。厂商的产品逻辑以及涉及密码数据的相关处理问题，如在传输和存储的过程中是否进行加密，厂商是否保存用户的未加密的数据等等。

而 XAuth 作为国内的云原生的身份服务提供商，在对于用户数据方面，保持着严谨的态度。

03.XAuth 是如何帮助企业解决身份管理问题

相信通过 Okta 这两次的安全事件给企业带来了更多的警醒，企业应该如何通过身份管理解决数据安全的问题。

XAuth 是作为国内云原生的身份服务提供商，支持多租户以及用户的数据隔离，对于任何密码数据 XAuth 采用全程加密传输存储的方式，且此加密为单向加密不可逆，不保存任何用户的明文数据。并且对于有特殊要求的客户可进行私有化部署，让用户的数据自己掌握。

我们在功能上支持广泛的单点登录 SSO 协议，如 SAML 、OIDC、CAS 等。除此之外 XAuth 还对不支持单点登录的 SaaS 应用在应用市场中进行适配，目前XAuth GWA 已经支持包含数千个各个行业的 SaaS 类应用。

我们集成了多种企业身份源的支持，可接入钉钉、企业微信、Active Directory 进行组织架构人员信息的同步，以及向应用进行人员信息的同步和用户生命周期的统一管理。

对于 LDAP 相关设备的支持与管理，支持各种类型的设备或服务使用标准的 LDAP 方法调用进行查询和身份验证。无需传统 LDAP 实施的常规设置、维护工作。由此，XAuth 具备了连接“人”与“设备”的能力，支持客户端通过 XAuth LDAP 进行认证和同步账号。

在安全方面 XAuth 支持通过策略引擎来部署多种用户场景，增加用户的安全性，自适应 MFA 多因素，解决企业应用安全访问的问题。