Okta Hardening

Directory

People

З точки зору атакуючого це дуже цікаво, оскільки ви зможете побачити всіх зареєстрованих користувачів, їх електронні адреси, групи, до яких вони належать, профілі та навіть пристрої (мобільні разом з їх ОС).

Для огляду whitebox перевірте, щоб не було кількох "Очікує дії користувача" та "Скидання пароля".

Groups

Тут ви знайдете всі створені групи в Okta. Це цікаво, щоб зрозуміти різні групи (набір дозволів), які можуть бути надані користувачам. Можна побачити людей, включених до груп та додатки, призначені кожній групі.

Звичайно, будь-яка група з назвою admin є цікавою, особливо група Глобальні адміністратори, перевірте членів, щоб дізнатися, хто є найбільш привілейованими членами.

З точки зору огляду whitebox, не повинно бути більше 5 глобальних адміністраторів (краще, якщо їх буде лише 2 або 3).

Devices

Знайдіть тут список усіх пристроїв усіх користувачів. Ви також можете побачити, чи він активно керується чи ні.

Profile Editor

Тут можна спостерігати, як ключова інформація, така як імена, прізвища, електронні адреси, імена користувачів... обмінюється між Okta та іншими додатками. Це цікаво, оскільки, якщо користувач може модифікувати в Okta поле (таке як його ім'я або електронна адреса), яке потім використовується зовнішнім додатком для ідентифікації користувача, зловмисник може спробувати взяти під контроль інші облікові записи.

Більше того, у профілі User (default) з Okta ви можете побачити які поля має кожен користувач і які з них є доступними для запису користувачами. Якщо ви не можете побачити панель адміністратора, просто перейдіть до оновлення інформації про свій профіль і ви побачите, які поля ви можете оновити (зверніть увагу, що для оновлення електронної адреси вам потрібно буде її підтвердити).

Directory Integrations

Довідники дозволяють імпортувати людей з існуючих джерел. Я думаю, тут ви побачите користувачів, імпортованих з інших довідників.

Я цього не бачив, але вважаю, що це цікаво, щоб дізнатися інші довідники, які Okta використовує для імпорту користувачів, тому якщо ви компрометуєте цей довідник, ви могли б встановити деякі значення атрибутів у користувачів, створених в Okta, і можливо, скомпрометувати середовище Okta.

Profile Sources

Джерело профілю - це додаток, який діє як джерело правди для атрибутів профілю користувача. Користувач може бути джерелом лише з одного додатка або довідника одночасно.

Я цього не бачив, тому будь-яка інформація про безпеку та хакерство щодо цієї опції буде вдячно прийнята.

Customizations

Brands

Перевірте на вкладці Domains цього розділу електронні адреси, які використовуються для надсилання електронних листів, та власний домен всередині Okta компанії (який ви, напевно, вже знаєте).

Більше того, на вкладці Setting, якщо ви адміністратор, ви можете "Використовувати власну сторінку виходу" і встановити власне URL.

SMS

Тут нічого цікавого.

End-User Dashboard

Тут ви можете знайти налаштовані додатки, але ми побачимо деталі цих пізніше в іншому розділі.

Other

Цікава настройка, але нічого надто цікавого з точки зору безпеки.

Applications

Applications

Тут ви можете знайти всі налаштовані додатки та їх деталі: Хто має доступ до них, як вони налаштовані (SAML, OpenID), URL для входу, відображення між Okta та додатком...

На вкладці Sign On також є поле під назвою Password reveal, яке дозволяє користувачу показати свій пароль при перевірці налаштувань додатка. Щоб перевірити налаштування додатка з панелі користувача, натисніть на 3 крапки:

І ви зможете побачити деякі деталі про додаток (наприклад, функцію показу пароля, якщо вона увімкнена):

Identity Governance

Access Certifications

Використовуйте сертифікації доступу, щоб створити аудиторські кампанії для періодичного перегляду доступу ваших користувачів до ресурсів та автоматичного затвердження або відкликання доступу, коли це необхідно.

Я цього не бачив, але вважаю, що з точки зору захисту це гарна функція.

Security

General

• Електронні листи про сповіщення безпеки: Усі повинні бути увімкнені.

• Інтеграція CAPTCHA: Рекомендується встановити принаймні невидимий reCaptcha

• Безпека організації: Усе може бути увімкнено, а електронні листи про активацію не повинні затримуватися довго (7 днів - це нормально)

• Запобігання перерахуванню користувачів: Обидва повинні бути увімкнені

• Зверніть увагу, що запобігання перерахуванню користувачів не діє, якщо дозволено будь-яку з наступних умов (Див. Управління користувачами для отримання додаткової інформації):

• Самостійна реєстрація

• JIT потоки з електронною аутентифікацією

• Налаштування Okta ThreatInsight: Логування та забезпечення безпеки на основі рівня загрози

HealthInsight

Тут можна знайти правильно та небезпечні налаштовані налаштування.

Authenticators

Тут ви можете знайти всі методи аутентифікації, які може використовувати користувач: Пароль, телефон, електронна пошта, код, WebAuthn... Натискаючи на аутентифікатор пароля, ви можете побачити політику паролів. Перевірте, щоб вона була сильною.

На вкладці Enrollment ви можете побачити, які з них є обов'язковими або необов'язковими:

Рекомендується вимкнути телефон. Найсильнішими, ймовірно, є комбінація пароля, електронної пошти та WebAuthn.

Authentication policies

Кожен додаток має політику аутентифікації. Політика аутентифікації перевіряє, що користувачі, які намагаються увійти в додаток, відповідають певним умовам, і вона забезпечує вимоги до факторів на основі цих умов.

Тут ви можете знайти вимоги для доступу до кожного додатку. Рекомендується вимагати принаймні пароль та інший метод для кожного додатку. Але якщо ви, як атакуючий, знайдете щось більш слабке, ви можете спробувати атакувати його.

Global Session Policy

Тут ви можете знайти політики сесій, призначені різним групам. Наприклад:

Рекомендується вимагати MFA, обмежити тривалість сесії на кілька годин, не зберігати куки сесії через розширення браузера та обмежити місцезнаходження та постачальника ідентичності (якщо це можливо). Наприклад, якщо кожен користувач повинен входити з певної країни, ви могли б дозволити лише це місцезнаходження.

Identity Providers

Постачальники ідентичності (IdP) - це служби, які керують обліковими записами користувачів. Додавання IdP в Okta дозволяє вашим кінцевим користувачам самостійно реєструватися з вашими власними додатками, спочатку аутентифікуючись за допомогою соціального облікового запису або смарт-карти.

На сторінці постачальників ідентичності ви можете додати соціальні входи (IdP) та налаштувати Okta як постачальника послуг (SP), додавши вхідний SAML. Після того, як ви додали IdP, ви можете налаштувати правила маршрутизації, щоб направляти користувачів до IdP на основі контексту, такого як місцезнаходження користувача, пристрій або домен електронної пошти.

Якщо будь-який постачальник ідентичності налаштований з точки зору атакуючого та захисника, перевірте цю конфігурацію та чи є джерело дійсно надійним, оскільки атакуючий, що компрометує його, також може отримати доступ до середовища Okta.

Delegated Authentication

Делегована аутентифікація дозволяє користувачам входити в Okta, вводячи облікові дані для Active Directory (AD) або LDAP сервера своєї організації.

Знову ж таки, перевірте це, оскільки атакуючий, що компрометує AD організації, може мати можливість перейти до Okta завдяки цій настройці.

Network

Зона мережі - це налаштовувана межа, яку ви можете використовувати для надання або обмеження доступу до комп'ютерів і пристроїв у вашій організації на основі IP-адреси, яка запитує доступ. Ви можете визначити мережеву зону, вказавши одну або кілька окремих IP-адрес, діапазони IP-адрес або географічні місця.

Після того, як ви визначите одну або кілька мережевих зон, ви можете використовувати їх у глобальних політиках сесій, політиках аутентифікації, сповіщеннях VPN та правилах маршрутизації.

З точки зору атакуючого цікаво знати, які IP дозволені (і перевірити, чи є якісь IP більш привілейованими за інших). З точки зору атакуючого, якщо користувачі повинні отримувати доступ з певної IP-адреси або регіону, перевірте, чи правильно використовується ця функція.

Device Integrations

• Управління кінцевими точками: Управління кінцевими точками - це умова, яка може бути застосована в політиці аутентифікації, щоб забезпечити, що керовані пристрої мають доступ до додатка.

• Я цього ще не бачив. TODO

• Служби сповіщень: Я цього ще не бачив. TODO

API

Ви можете створити токени API Okta на цій сторінці та побачити ті, які були створені, їх привілеї, час закінчення та URL-адреси походження. Зверніть увагу, що токени API генеруються з дозволами користувача, який створив токен, і дійсні лише якщо користувач, який їх створив, є активним.

Довірені джерела надають доступ до веб-сайтів, які ви контролюєте та довіряєте для доступу до вашої організації Okta через API Okta.

Не повинно бути багато токенів API, оскільки, якщо їх багато, атакуючий може спробувати отримати до них доступ і використовувати їх.

Workflow

Automations

Автоматизації дозволяють вам створювати автоматизовані дії, які виконуються на основі набору умов тригера, які виникають під час життєвого циклу кінцевих користувачів.

Наприклад, умовою може бути "Неактивність користувача в Okta" або "Закінчення терміну дії пароля користувача в Okta", а дією може бути "Надіслати електронний лист користувачу" або "Змінити стан життєвого циклу користувача в Okta".

Reports

Reports

Завантажте журнали. Вони надсилаються на електронну адресу поточного облікового запису.

System Log

Тут ви можете знайти журнали дій, виконаних користувачами з великою кількістю деталей, таких як вхід в Okta або в додатки через Okta.

Import Monitoring

Це може імпортувати журнали з інших платформ, доступних через Okta.

Rate limits

Перевірте досягнуті обмеження швидкості API.

Settings

Account

Тут ви можете знайти загальну інформацію про середовище Okta, таку як назва компанії, адреса, електронна адреса для виставлення рахунків, електронна адреса технічного контакту та також хто повинен отримувати оновлення Okta і які види оновлень Okta.

Downloads

Тут ви можете завантажити агенти Okta для синхронізації Okta з іншими технологіями.