Okta Hardening
Direktorijum
Ljudi
Iz perspektive napadača, ovo je veoma interesantno jer ćete moći da vidite sve registrovane korisnike, njihove email adrese, grupe kojima pripadaju, profile pa čak i uređaje (mobilne telefone zajedno sa njihovim OS-ovima).
Za pregled iz belog okvira proverite da li postoji više "Nepotpunih korisničkih radnji" i "Resetovanja lozinke".
Grupe
Ovde možete pronaći sve kreirane grupe u Okta. Interesantno je razumeti različite grupe (skup dozvola) koje se mogu dodeliti korisnicima. Moguće je videti ljude uključene u grupe i aplikacije dodeljene svakoj grupi.
Naravno, svaka grupa sa imenom admin je interesantna, posebno grupa Globalni administratori, proverite članove da biste saznali ko su najprivilegovaniji članovi.
Iz belog okvira, ne bi trebalo da postoji više od 5 globalnih administratora (bolje je ako postoji samo 2 ili 3).
Uređaji
Ovde pronađite listu svih uređaja svih korisnika. Takođe možete videti da li se uređaj aktivno upravlja ili ne.
Editor profila
Ovde je moguće posmatrati kako se ključne informacije poput imena, prezimena, email adresa, korisničkih imena... dele između Okta i drugih aplikacija. Ovo je interesantno jer ako korisnik može da izmeni u Okta polje (kao što je njegovo ime ili email) koje se zatim koristi od strane spoljne aplikacije da identifikuje korisnika, unutrašnji napadač bi mogao da pokuša da preuzme druge naloge.
Osim toga, u profilu Korisnik (podrazumevano)
iz Okta možete videti koja polja svaki korisnik ima i koja su polja koja korisnici mogu da menjaju. Ako ne možete videti admin panel, jednostavno idite na ažuriranje informacija o svom profilu i videćete koja polja možete ažurirati (imajte na umu da za ažuriranje email adrese morate je verifikovati).
Integracije direktorijuma
Direktorijumi vam omogućavaju da uvezete ljude iz postojećih izvora. Pretpostavljam da ćete ovde videti korisnike uvezene iz drugih direktorijuma.
Nisam video, ali pretpostavljam da je interesantno saznati druge direktorijume koje Okta koristi za uvoz korisnika tako da ako kompromitujete taj direktorijum možete postaviti vrednosti atributa kod korisnika kreiranih u Okta i možda kompromitovati Okta okruženje.
Izvori profila
Izvor profila je aplikacija koja deluje kao izvor istine za atribute korisničkog profila. Korisnik može biti povezan samo sa jednom aplikacijom ili direktorijumom u isto vreme.
Nisam video, pa je svaka informacija o bezbednosti i hakovanju u vezi sa ovom opcijom dobrodošla.
Prilagođavanja
Brendovi
Proverite u odeljku Domenske tabele ove sekcije email adrese koje se koriste za slanje emailova i prilagođenu domenu unutar Okta kompanije (koju verovatno već znate).
Osim toga, u Podešavanju tabu, ako ste admin, možete "Koristiti prilagođenu stranicu odjavljivanja" i postaviti prilagođeni URL.
SMS
Nema ničeg interesantnog ovde.
Korisnički panel
Ovde možete pronaći konfigurisane aplikacije, ali ćemo detalje o njima videti kasnije u drugom odeljku.
Ostalo
Interesantno podešavanje, ali ništa posebno interesantno sa aspekta bezbednosti.
Aplikacije
Aplikacije
Ovde možete pronaći sve konfigurisane aplikacije i njihove detalje: Ko ima pristup njima, kako je konfigurisano (SAML, OPenID), URL za prijavljivanje, mapiranje između Okta i aplikacije...
U Prijavi se
tabu postoji i polje nazvano Otkrij lozinku
koje bi omogućilo korisniku da otkrije svoju lozinku prilikom provere postavki aplikacije. Da biste proverili postavke aplikacije iz korisničkog panela, kliknite na 3 tačke:
I možete videti još neke detalje o aplikaciji (kao što je funkcija otkrivanja lozinke, ako je omogućena):
Upravljanje identitetom
Sertifikati pristupa
Koristite Sertifikate pristupa da biste kreirali kampanje za proveru pristupa vaših korisnika resursima periodično i automatski odobravali ili oduzimali pristup kada je potrebno.
Nisam video da se koristi, ali pretpostavljam da je sa defanzivnog aspekta lepa funkcija.
Bezbednost
Opšte
Emailovi obaveštenja o bezbednosti: Sve bi trebalo da bude omogućeno.
Integracija CAPTCHA-e: Preporučuje se postavljanje bar nevidljive reCaptcha-e
Bezbednost organizacije: Sve može biti omogućeno i aktivacioni emailovi ne bi trebalo da traju dugo (7 dana je ok)
Prevencija numeracije korisnika: Obe bi trebalo da budu omogućene
Imajte na umu da Prevencija numeracije korisnika neće imati efekta ako su dozvoljeni bilo koji od sledećih uslova (Pogledajte Upravljanje korisnicima za više informacija):
Registracija samoposluživanja
JIT tokovi sa email autentifikacijom
Okta ThreatInsight podešavanja: Prijavite i sprovodite bezbednost na osnovu nivoa pretnje
HealthInsight
Ovde je moguće pronaći ispravno i opasno konfigurisana podešavanja.
Autentifikatori
Ovde možete pronaći sve metode autentifikacije koje korisnik može koristiti: Lozinka, telefon, email, kod, WebAuthn... Klikom na autentifikator lozinke možete videti polisu lozinke. Proverite da li je jaka.
U tabu Upis možete videti koje su obavezne, a koje opcione:
Preporučljivo je onemogućiti Telefon. Najjači su verovatno kombinacija lozinke, emaila i WebAuthn-a.
Politike autentifikacije
Svaka aplikacija ima politiku autentifikacije. Politika autentifikacije proverava da li korisnici koji pokušavaju da se prijave na aplikaciju ispunjavaju određene uslove i sprovodi zahteve za faktore zasnovane na tim uslovima.
Ovde možete pronaći uslove za pristup svakoj aplikaciji. Preporučljivo je zahtevati bar lozinku i još jedan metod za svaku aplikaciju. Ali ako kao napadač pronađete nešto slabije, možda ćete moći da ga napadnete.
Global Session Policy
Ovde možete pronaći politike sesije dodeljene različitim grupama. Na primer:
Preporučuje se zahtevati MFA, ograničiti vreme trajanja sesije na nekoliko sati, ne čuvati kolačiće sesije preko proširenja pregledača i ograničiti lokaciju i Identity Provider (ako je to moguće). Na primer, ako svaki korisnik treba da se prijavi iz određene zemlje, možete dozvoliti samo tu lokaciju.
Identity Providers
Identity Providers (IdP) su usluge koje upravljaju korisničkim nalozima. Dodavanje IdP u Okta omogućava vašim krajnjim korisnicima da se samoregistruju sa vašim prilagođenim aplikacijama prvo se autentifikovanjem putem društvenog naloga ili pametne kartice.
Na stranici Identity Providers, možete dodati društvene prijave (IdP) i konfigurisati Okta kao pružaoca usluga (SP) dodavanjem dolaznog SAML-a. Nakon što dodate IdP, možete postaviti pravila usmeravanja da usmerite korisnike ka IdP na osnovu konteksta, kao što su lokacija korisnika, uređaj ili domen e-pošte.
Ako je konfigurisan bilo koji pružalac identiteta sa tačke gledišta napadača i branioca, proverite tu konfiguraciju i da li je izvor zaista pouzdan jer napadač koji ga kompromituje može dobiti pristup Okta okruženju.
Delegirana autentikacija
Delegirana autentikacija omogućava korisnicima da se prijave na Okta unošenjem podataka za svoj organizacioni Active Directory (AD) ili LDAP server.
Ponovo proverite ovo, jer napadač koji kompromituje organizacioni AD može biti u mogućnosti da pređe na Okta zahvaljujući ovoj postavci.
Mreža
Mrežna zona je konfigurabilna granica koju možete koristiti da omogućite ili ograničite pristup računarima i uređajima u vašoj organizaciji na osnovu IP adrese koja zahteva pristup. Možete definisati mrežnu zonu navođenjem jedne ili više pojedinačnih IP adresa, opsega IP adresa ili geografskih lokacija.
Nakon što definišete jednu ili više mrežnih zona, možete ih koristiti u globalnim politikama sesije, autentikacionim politikama, obaveštenjima o VPN-u i pravilima usmeravanja.
Sa gledišta napadača, važno je znati koje IP adrese su dozvoljene (i proveriti da li su neke IP adrese privilegovane u odnosu na druge). Sa gledišta napadača, ako korisnici treba da pristupaju sa određene IP adrese ili regiona, proverite da li se ova funkcija koristi na odgovarajući način.
Integracije uređaja
Upravljanje krajnjim tačkama: Upravljanje krajnjim tačkama je uslov koji se može primeniti u autentikacionoj politici kako bi se osiguralo da upravljani uređaji imaju pristup aplikaciji.
Još uvek nisam video da je ovo korišćeno. TODO
Obaveštenja o uslugama: Još uvek nisam video da je ovo korišćeno. TODO
API
Možete kreirati Okta API token-e na ovoj stranici i videti one koji su kreirani, njihove privilegije, vreme isteka i URL-ove porekla. Imajte na umu da su API tokeni generisani sa dozvolama korisnika koji je kreirao token i važe samo ako je korisnik koji ih je kreirao aktivan.
Pouzdani izvori omogućavaju pristup veb lokacijama koje kontrolišete i kojima verujete da pristupaju vašem Okta okruženju putem Okta API-ja.
Ne bi trebalo da bude puno API tokena, jer ako ih ima previše, napadač bi mogao pokušati da im pristupi i koristi ih.
Radni tok
Automatizacija
Automatizacija vam omogućava da kreirate automatizovane akcije koje se pokreću na osnovu skupa uslova okidača koji se dešavaju tokom životnog ciklusa krajnjih korisnika.
Na primer, uslov može biti "Neaktivnost korisnika u Okta" ili "Isticanje lozinke korisnika u Okta", a akcija može biti "Slanje e-pošte korisniku" ili "Promena stanja životnog ciklusa korisnika u Okta".
Izveštaji
Izveštaji
Preuzmite logove. Oni se šalju na e-adresu trenutnog naloga.
Sistemski log
Ovde možete pronaći logove akcija koje su izvršili korisnici sa mnogo detalja poput prijave u Okta ili u aplikacije putem Okta.
Praćenje uvoza
Ovo može uvoziti logove sa drugih platformi pristupljenih putem Okta.
Ograničenja brzine
Proverite ograničenja brzine API-ja dostignuta.
Postavke
Nalog
Ovde možete pronaći opšte informacije o Okta okruženju, kao što su naziv kompanije, adresa, e-adresa za fakturisanje, tehnička kontakt e-adresa i takođe ko bi trebalo da prima ažuriranja Okta i kakva vrsta ažuriranja Okta.
Preuzimanja
Ovde možete preuzeti Okta agente za sinhronizaciju Okta sa drugim tehnologijama.
Last updated