Okta Hardening
Directory
People
Dal punto di vista di un attaccante, questo è molto interessante poiché sarai in grado di vedere tutti gli utenti registrati, i loro indirizzi email, i gruppi di cui fanno parte, i profili e persino i dispositivi (mobili insieme ai loro OS).
Per una revisione whitebox, controlla che non ci siano diversi "Pending user action" e "Password reset".
Groups
Qui trovi tutti i gruppi creati in Okta. È interessante capire i diversi gruppi (insiemi di permessi) che potrebbero essere concessi agli utenti. È possibile vedere le persone incluse nei gruppi e le app assegnate a ciascun gruppo.
Ovviamente, qualsiasi gruppo con il nome di admin è interessante, specialmente il gruppo Global Administrators, controlla i membri per sapere chi sono i membri più privilegiati.
Da una revisione whitebox, non dovrebbero esserci più di 5 global admins (meglio se ce ne sono solo 2 o 3).
Devices
Trova qui un elenco di tutti i dispositivi di tutti gli utenti. Puoi anche vedere se è gestito attivamente o meno.
Profile Editor
Qui è possibile osservare come informazioni chiave come nomi, cognomi, email, nomi utente... sono condivise tra Okta e altre applicazioni. Questo è interessante perché se un utente può modificare in Okta un campo (come il suo nome o email) che poi viene utilizzato da un'applicazione esterna per identificare l'utente, un insider potrebbe tentare di prendere il controllo di altri account.
Inoltre, nel profilo User (default) di Okta puoi vedere quali campi ogni utente ha e quali sono scrivibili dagli utenti. Se non puoi vedere il pannello di amministrazione, vai semplicemente a aggiornare il tuo profilo e vedrai quali campi puoi aggiornare (nota che per aggiornare un indirizzo email dovrai verificarlo).
Directory Integrations
Le directory ti permettono di importare persone da fonti esistenti. Immagino che qui vedrai gli utenti importati da altre directory.
Non l'ho visto, ma immagino che sia interessante scoprire altre directory che Okta sta usando per importare utenti così se comprometti quella directory potresti impostare alcuni valori di attributi negli utenti creati in Okta e forse compromettere l'ambiente Okta.
Profile Sources
Una fonte di profilo è un'applicazione che funge da fonte di verità per gli attributi del profilo utente. Un utente può essere originato solo da una singola applicazione o directory alla volta.
Non l'ho visto, quindi qualsiasi informazione sulla sicurezza e hacking riguardo questa opzione è apprezzata.
Customizations
Brands
Controlla nella scheda Domains di questa sezione gli indirizzi email utilizzati per inviare email e il dominio personalizzato all'interno di Okta dell'azienda (che probabilmente già conosci).
Inoltre, nella scheda Setting, se sei amministratore, puoi "Usare una pagina di disconnessione personalizzata" e impostare un URL personalizzato.
SMS
Niente di interessante qui.
End-User Dashboard
Qui puoi trovare le applicazioni configurate, ma vedremo i dettagli di queste più avanti in una sezione diversa.
Other
Impostazione interessante, ma niente di super interessante dal punto di vista della sicurezza.
Applications
Applications
Qui puoi trovare tutte le applicazioni configurate e i loro dettagli: Chi ha accesso a loro, come è configurato (SAML, OpenID), URL per il login, le mappature tra Okta e l'applicazione...
Nella scheda Sign On c'è anche un campo chiamato Password reveal che permetterebbe a un utente di rivelare la sua password quando controlla le impostazioni dell'applicazione. Per controllare le impostazioni di un'applicazione dal Pannello Utente, clicca sui 3 puntini:
E potresti vedere alcuni dettagli aggiuntivi sull'app (come la funzione di rivelazione della password, se è abilitata):
Identity Governance
Access Certifications
Usa Access Certifications per creare campagne di audit per rivedere periodicamente l'accesso dei tuoi utenti alle risorse e approvare o revocare l'accesso automaticamente quando richiesto.
Non l'ho visto usato, ma immagino che dal punto di vista difensivo sia una bella funzionalità.
Security
General
Email di notifica di sicurezza: Tutte dovrebbero essere abilitate.
Integrazione CAPTCHA: È consigliato impostare almeno il reCaptcha invisibile
Sicurezza dell'organizzazione: Tutto può essere abilitato e le email di attivazione non dovrebbero durare a lungo (7 giorni va bene)
Prevenzione dell'enumerazione degli utenti: Entrambi dovrebbero essere abilitati
Nota che la Prevenzione dell'Enumerazione degli Utenti non ha effetto se una delle seguenti condizioni è consentita (Vedi Gestione utenti per maggiori informazioni):
Registrazione Self-Service
Flussi JIT con autenticazione email
Impostazioni Okta ThreatInsight: Registra e applica la sicurezza in base al livello di minaccia
HealthInsight
Qui è possibile trovare configurazioni corrette e pericolose.
Authenticators
Qui puoi trovare tutti i metodi di autenticazione che un utente potrebbe usare: Password, telefono, email, codice, WebAuthn... Cliccando sull'autenticatore Password puoi vedere la politica delle password. Controlla che sia forte.
Nella scheda Enrollment puoi vedere quali sono richiesti o opzionali:
È consigliabile disabilitare il Telefono. I più forti sono probabilmente una combinazione di password, email e WebAuthn.
Authentication policies
Ogni app ha una politica di autenticazione. La politica di autenticazione verifica che gli utenti che tentano di accedere all'app soddisfino condizioni specifiche e impone requisiti di fattore basati su tali condizioni.
Qui puoi trovare i requisiti per accedere a ciascuna applicazione. È consigliato richiedere almeno la password e un altro metodo per ciascuna applicazione. Ma se come attaccante trovi qualcosa di più debole potresti essere in grado di attaccarlo.
Global Session Policy
Qui puoi trovare le politiche di sessione assegnate a diversi gruppi. Per esempio:
È consigliato richiedere MFA, limitare la durata della sessione a qualche ora, non persistere i cookie di sessione tra le estensioni del browser e limitare la posizione e il Fornitore di Identità (se possibile). Per esempio, se ogni utente dovrebbe accedere da un paese potresti consentire solo questa posizione.
Identity Providers
I Fornitori di Identità (IdP) sono servizi che gestiscono account utente. Aggiungere IdP in Okta consente ai tuoi utenti finali di auto-registrarsi con le tue applicazioni personalizzate autenticandosi prima con un account social o una smart card.
Nella pagina dei Fornitori di Identità, puoi aggiungere login social (IdP) e configurare Okta come fornitore di servizi (SP) aggiungendo SAML in entrata. Dopo aver aggiunto IdP, puoi impostare regole di routing per indirizzare gli utenti a un IdP in base al contesto, come la posizione dell'utente, il dispositivo o il dominio email.
Se è configurato un qualsiasi fornitore di identità dal punto di vista di un attaccante e difensore controlla quella configurazione e se la fonte è davvero affidabile poiché un attaccante compromettendola potrebbe anche ottenere accesso all'ambiente Okta.
Delegated Authentication
L'autenticazione delegata consente agli utenti di accedere a Okta inserendo le credenziali per il Active Directory (AD) o LDAP della loro organizzazione.
Ancora una volta, ricontrolla questo, poiché un attaccante compromettendo l'AD di un'organizzazione potrebbe essere in grado di passare a Okta grazie a questa impostazione.
Network
Una zona di rete è un confine configurabile che puoi usare per concedere o limitare l'accesso a computer e dispositivi nella tua organizzazione in base all'indirizzo IP che richiede l'accesso. Puoi definire una zona di rete specificando uno o più indirizzi IP individuali, intervalli di indirizzi IP o posizioni geografiche.
Dopo aver definito una o più zone di rete, puoi usarle nelle Global Session Policies, politiche di autenticazione, notifiche VPN e regole di routing.
Dal punto di vista di un attaccante è interessante sapere quali IP sono consentiti (e controllare se alcuni IP sono più privilegiati di altri). Dal punto di vista di un attaccante, se gli utenti dovrebbero accedere da un indirizzo IP o regione specifica controlla che questa funzione sia usata correttamente.
Device Integrations
Gestione degli endpoint: La gestione degli endpoint è una condizione che può essere applicata in una politica di autenticazione per garantire che i dispositivi gestiti abbiano accesso a un'applicazione.
Non l'ho ancora visto usato. TODO
Servizi di notifica: Non l'ho ancora visto usato. TODO
API
Puoi creare token API Okta in questa pagina e vedere quelli che sono stati creati, i loro privilegi, il tempo di scadenza e gli URL di origine. Nota che un token API viene generato con i permessi dell'utente che ha creato il token ed è valido solo se l'utente che lo ha creato è attivo.
Le Trusted Origins concedono accesso ai siti web che controlli e di cui ti fidi per accedere alla tua organizzazione Okta tramite l'API Okta.
Non dovrebbero esserci molti token API, poiché se ce ne sono un attaccante potrebbe cercare di accedervi e usarli.
Workflow
Automations
Le automazioni ti permettono di creare azioni automatizzate che vengono eseguite in base a un insieme di condizioni di trigger che si verificano durante il ciclo di vita degli utenti finali.
Per esempio, una condizione potrebbe essere "Inattività dell'utente in Okta" o "Scadenza della password dell'utente in Okta" e l'azione potrebbe essere "Invia email all'utente" o "Cambia lo stato del ciclo di vita dell'utente in Okta".
Reports
Reports
Scarica i log. Vengono inviati all'indirizzo email dell'account corrente.
System Log
Qui puoi trovare i log delle azioni eseguite dagli utenti con molti dettagli come il login in Okta o nelle applicazioni tramite Okta.
Import Monitoring
Questo può importare log da altre piattaforme accessibili con Okta.
Rate limits
Controlla i limiti di velocità dell'API raggiunti.
Settings
Account
Qui puoi trovare informazioni generiche sull'ambiente Okta, come il nome dell'azienda, l'indirizzo, contatto email per la fatturazione, contatto email tecnico e anche chi dovrebbe ricevere gli aggiornamenti Okta e quale tipo di aggiornamenti Okta.
Downloads
Qui puoi scaricare agenti Okta per sincronizzare Okta con altre tecnologie.
Last updated
