Okta Hardening
Katalog
Osoby
Z perspektywy atakującego jest to bardzo interesujące, ponieważ będziesz mógł zobaczyć wszystkich zarejestrowanych użytkowników, ich adresy email, grupy, do których należą, profile oraz nawet urządzenia (telefony komórkowe wraz z ich systemami operacyjnymi).
Podczas przeglądu whitebox sprawdź, czy nie ma kilku "Oczekujących działań użytkownika" i "Resetów hasła".
Grupy
To tutaj znajdziesz wszystkie utworzone grupy w Okta. Interesujące jest zrozumienie różnych grup (zestaw uprawnień), które mogą być przyznane użytkownikom. Można zobaczyć osoby zawarte w grupach oraz aplikacje przypisane do każdej grupy.
Oczywiście, każda grupa o nazwie admin jest interesująca, zwłaszcza grupa Global Administrators, sprawdź członków, aby dowiedzieć się, kto ma największe uprawnienia.
Podczas przeglądu whitebox nie powinno być więcej niż 5 globalnych administratorów (lepiej, jeśli jest ich tylko 2 lub 3).
Urządzenia
Znajdziesz tutaj listę wszystkich urządzeń wszystkich użytkowników. Możesz również sprawdzić, czy są aktywnie zarządzane czy nie.
Edytor profilu
Tutaj można zobaczyć, jakie kluczowe informacje, takie jak imiona, nazwiska, adresy email, nazwy użytkowników... są udostępniane między Okta a innymi aplikacjami. Jest to interesujące, ponieważ jeśli użytkownik może modyfikować w Okta pole (takie jak jego imię lub email), które jest następnie używane przez zewnętrzną aplikację do identyfikacji użytkownika, wewnętrzny użytkownik może próbować przejąć inne konta.
Co więcej, w profilu Użytkownik (domyślny)
z Okta można zobaczyć, jakie pola ma każdy użytkownik i które z nich są możliwe do zapisania przez użytkowników. Jeśli nie widzisz panelu administratora, przejdź do aktualizacji informacji o swoim profilu, a zobaczysz, które pola możesz zaktualizować (zauważ, że do zaktualizowania adresu email będziesz musiał go zweryfikować).
Integracje katalogów
Katalogi pozwalają importować osoby z istniejących źródeł. Przypuszczam, że tutaj zobaczysz osoby zaimportowane z innych katalogów.
Nie widziałem tego, ale przypuszczam, że jest to interesujące, aby dowiedzieć się, z jakich innych katalogów Okta korzysta do importowania użytkowników, więc jeśli skompromitujesz ten katalog, możesz ustawić wartości atrybutów w użytkownikach utworzonych w Okta i może skompromitować środowisko Okta.
Źródła profilu
Źródło profilu to aplikacja, która działa jako źródło prawdy dla atrybutów profilu użytkownika. Użytkownik może być źródłem tylko jednej aplikacji lub katalogu w danym czasie.
Nie widziałem tego, więc wszelkie informacje dotyczące bezpieczeństwa i hakowania dotyczące tej opcji są mile widziane.
Dostosowania
Marki
Sprawdź w zakładce Domeny tej sekcji adresy email używane do wysyłania wiadomości e-mail i niestandardową domenę wewnątrz Okta firmy (którą prawdopodobnie już znasz).
Co więcej, w zakładce Ustawienia, jeśli jesteś administratorem, możesz "Użyj niestandardowej strony wylogowania" i ustawić niestandardowy adres URL.
SMS
Nic interesującego tutaj.
Panel użytkownika końcowego
Możesz tutaj znaleźć skonfigurowane aplikacje, ale szczegóły tych aplikacji zobaczymy później w innej sekcji.
Inne
Interesujące ustawienie, ale nic super interesującego z punktu widzenia bezpieczeństwa.
Aplikacje
Aplikacje
Tutaj znajdziesz wszystkie skonfigurowane aplikacje i ich szczegóły: Kto ma do nich dostęp, jak są skonfigurowane (SAML, OPenID), URL do logowania, mapowania między Okta a aplikacją...
W zakładce Logowanie
jest również pole o nazwie Ujawnienie hasła
, które pozwoliłoby użytkownikowi ujawnić swoje hasło, sprawdzając ustawienia aplikacji. Aby sprawdzić ustawienia aplikacji z panelu użytkownika, kliknij 3 kropki:
I możesz zobaczyć więcej szczegółów o aplikacji (np. funkcję ujawniania hasła, jeśli jest włączona):
Zarządzanie tożsamością
Certyfikaty dostępu
Użyj Certyfikatów dostępu, aby tworzyć kampanie audytowe w celu okresowego przeglądu dostępu użytkowników do zasobów i automatycznego zatwierdzania lub wycofywania dostępu, gdy jest to wymagane.
Nie widziałem tego używanego, ale przypuszczam, że z punktu widzenia obronnego jest to fajna funkcja.
Bezpieczeństwo
Ogólne
Emaile z powiadomieniami o bezpieczeństwie: Wszystkie powinny być włączone.
Integracja CAPTCHA: Zaleca się ustawienie przynajmniej niewidocznego reCaptcha
Bezpieczeństwo organizacji: Wszystko może być włączone, a emaile aktywacyjne nie powinny być długotrwałe (7 dni jest ok)
Zapobieganie wyliczaniu użytkowników: Oba powinny być włączone
Zauważ, że Zapobieganie wyliczaniu użytkowników nie działa, jeśli któreś z poniższych warunków jest dozwolone (Zobacz Zarządzanie użytkownikami dla więcej informacji):
Rejestracja samodzielna
Przepływy JIT z uwierzytelnianiem email
Ustawienia Okta ThreatInsight: Rejestruj i egzekwuj bezpieczeństwo na podstawie poziomu zagrożenia
HealthInsight
Tutaj można znaleźć poprawnie i niebezpiecznie skonfigurowane ustawienia.
Autentykatory
Tutaj znajdziesz wszystkie metody uwierzytelniania, których użytkownik mógłby użyć: Hasło, telefon, email, kod, WebAuthn... Klikając w autentykator hasła, możesz zobaczyć politykę hasła. Sprawdź, czy jest silna.
W zakładce Rejestracja można zobaczyć, które są wymagane, a które opcjonalne:
Zaleca się wyłączenie Telefonu. Najmocniejsze są prawdopodobnie kombinacje hasła, emaila i WebAuthn.
Polityki uwierzytelniania
Każda aplikacja ma politykę uwierzytelniania. Polityka uwierzytelniania sprawdza, czy użytkownicy, którzy próbują się zalogować do aplikacji, spełniają określone warunki, i nakłada wymagania dotyczące czynników na podstawie tych warunków.
Tutaj można znaleźć wymagania dostępu do każdej aplikacji. Zaleca się żądanie przynajmniej hasła i innego sposobu dla każdej aplikacji. Ale jeśli jako atakujący znajdziesz coś słabszego, możesz być w stanie je zaatakować.
Globalna polityka sesji
Tutaj znajdziesz polityki sesji przypisane do różnych grup. Na przykład:
Zaleca się żądanie MFA, ograniczenie czasu trwania sesji do kilku godzin, nie przechowywanie ciasteczek sesji w rozszerzeniach przeglądarki oraz ograniczenie lokalizacji i dostawcy tożsamości (jeśli to możliwe). Na przykład, jeśli każdy użytkownik powinien logować się z określonego kraju, można zezwolić tylko na tę lokalizację.
Dostawcy Tożsamości
Dostawcy tożsamości (IdPs) to usługi, które zarządzają kontami użytkowników. Dodanie IdPs w Okta umożliwia końcowym użytkownikom samodzielne rejestracje w twoich niestandardowych aplikacjach, logując się najpierw za pomocą konta społecznościowego lub karty inteligentnej.
Na stronie Dostawców Tożsamości możesz dodać logowanie społecznościowe (IdPs) i skonfigurować Okta jako dostawcę usług (SP), dodając przychodzący SAML. Po dodaniu IdPs, możesz skonfigurować reguły routingu, aby kierować użytkowników do IdP na podstawie kontekstu, takiego jak lokalizacja użytkownika, urządzenie lub domena e-mail.
Jeśli jakiś dostawca tożsamości jest skonfigurowany z perspektywy atakującego i obrońcy, sprawdź tę konfigurację i czy źródło jest naprawdę godne zaufania, ponieważ atakujący, który go skompromituje, może uzyskać dostęp do środowiska Okta.
Autoryzacja Delegowana
Autoryzacja delegowana pozwala użytkownikom zalogować się do Okta, wprowadzając dane uwierzytelniające do Aktywnego Katalogu (AD) organizacji lub serwera LDAP.
Ponownie sprawdź to, ponieważ atakujący, który skompromituje katalog AD organizacji, może być w stanie przejść do Okta dzięki tej konfiguracji.
Sieć
Strefa sieciowa to konfigurowalna granica, którą można wykorzystać do udzielania lub ograniczania dostępu do komputerów i urządzeń w twojej organizacji na podstawie adresu IP, który żąda dostępu. Możesz zdefiniować strefę sieciową, określając jeden lub więcej indywidualnych adresów IP, zakresy adresów IP lub lokalizacje geograficzne.
Po zdefiniowaniu jednej lub więcej stref sieciowych, możesz używać ich w Globalnych Politykach Sesji, politykach uwierzytelniania, powiadomieniach VPN i regułach routingu.
Z perspektywy atakującego interesujące jest wiedzieć, które adresy IP są dozwolone (i sprawdzić, czy jakieś adresy IP są bardziej uprzywilejowane niż inne). Z perspektywy atakującego, jeśli użytkownicy powinni uzyskiwać dostęp z określonego adresu IP lub regionu, sprawdź, czy ta funkcja jest właściwie używana.
Integracje Urządzeń
Zarządzanie Punktem Końcowym: Zarządzanie punktem końcowym to warunek, który można zastosować w polityce uwierzytelniania, aby zapewnić, że zarządzane urządzenia mają dostęp do aplikacji.
Jeszcze tego nie widziałem. TODO
Usługi powiadomień: Jeszcze tego nie widziałem. TODO
API
Możesz tworzyć tokeny API Okta na tej stronie i zobaczyć te, które zostały utworzone, ich uprawnienia, czas wygaśnięcia i adresy URL pochodzenia. Należy pamiętać, że tokeny API są generowane z uprawnieniami użytkownika, który je utworzył, i są ważne tylko wtedy, gdy użytkownik, który je utworzył, jest aktywny.
Zaufane źródła umożliwiają dostęp do stron internetowych, które kontrolujesz i którym ufasz, aby uzyskać dostęp do twojej organizacji Okta za pośrednictwem interfejsu API Okta.
Nie powinno być zbyt wielu tokenów API, ponieważ atakujący mógłby próbować uzyskać do nich dostęp i ich używać.
Przepływ pracy
Automatyzacje
Automatyzacje pozwalają tworzyć zautomatyzowane akcje, które uruchamiają się na podstawie zestawu warunków wyzwalających, które występują podczas cyklu życia użytkowników.
Na przykład warunkiem może być "Nieaktywność użytkownika w Okta" lub "Wygaśnięcie hasła użytkownika w Okta", a akcją może być "Wysłanie e-maila do użytkownika" lub "Zmiana stanu cyklu życia użytkownika w Okta".
Raporty
Raporty
Pobierz logi. Są wysyłane na adres e-mail bieżącego konta.
Dziennik systemowy
Tutaj znajdziesz logi działań wykonywanych przez użytkowników z wieloma szczegółami, takimi jak logowanie się do Okta lub do aplikacji za pośrednictwem Okta.
Monitorowanie Importu
Można importować logi z innych platform, do których uzyskano dostęp za pomocą Okta.
Limity szybkości
Sprawdź osiągnięte limity szybkości API.
Ustawienia
Konto
Tutaj znajdziesz ogólne informacje o środowisku Okta, takie jak nazwa firmy, adres, kontakt do rozliczeń e-mail, kontakt techniczny e-mail oraz osoby, które powinny otrzymywać aktualizacje Okta i jakiego rodzaju aktualizacje Okta.
Pobrania
Tutaj możesz pobrać agenty Okta do synchronizacji Okta z innymi technologiami.
Last updated