Okta Hardening
Diretório
Pessoas
Do ponto de vista de um atacante, isso é super interessante, pois você poderá ver todos os usuários registrados, seus endereços de e-mail, os grupos dos quais fazem parte, perfis e até mesmo dispositivos (celulares juntamente com seus sistemas operacionais).
Para uma revisão de caixa branca, verifique se não há vários "Pending user action" e "Password reset".
Grupos
Aqui é onde você encontra todos os grupos criados no Okta. É interessante entender os diferentes grupos (conjunto de permissões) que podem ser concedidos aos usuários. É possível ver as pessoas incluídas nos grupos e os aplicativos atribuídos a cada grupo.
Obviamente, qualquer grupo com o nome de admin é interessante, especialmente o grupo Global Administrators, verifique os membros para saber quem são os membros mais privilegiados.
De uma revisão de caixa branca, não deve haver mais de 5 administradores globais (melhor se houver apenas 2 ou 3).
Dispositivos
Encontre aqui uma lista de todos os dispositivos de todos os usuários. Você também pode ver se está sendo gerenciado ativamente ou não.
Editor de Perfil
Aqui é possível observar como informações-chave como nomes, sobrenomes, e-mails, nomes de usuários... são compartilhados entre o Okta e outros aplicativos. Isso é interessante porque se um usuário puder modificar no Okta um campo (como seu nome ou e-mail) que é então usado por um aplicativo externo para identificar o usuário, um insider poderia tentar assumir outras contas.
Além disso, no perfil Usuário (padrão)
do Okta, você pode ver quais campos cada usuário possui e quais são graváveis pelos usuários. Se você não consegue ver o painel de administração, basta ir para atualizar suas informações de perfil e você verá quais campos você pode atualizar (observe que para atualizar um endereço de e-mail você precisará verificá-lo).
Integrações de Diretório
Os diretórios permitem importar pessoas de fontes existentes. Acho que aqui você verá os usuários importados de outros diretórios.
Não vi, mas acredito que seja interessante descobrir outros diretórios que o Okta está usando para importar usuários para que, se você comprometer esse diretório, possa definir alguns valores de atributos nos usuários criados no Okta e talvez comprometer o ambiente do Okta.
Fontes de Perfil
Uma fonte de perfil é um aplicativo que atua como fonte de verdade para os atributos do perfil do usuário. Um usuário só pode ser originado por um único aplicativo ou diretório por vez.
Não vi, então qualquer informação sobre segurança e hacking relacionada a essa opção é apreciada.
Personalizações
Marcas
Verifique na guia Domínios desta seção os endereços de e-mail usados para enviar e-mails e o domínio personalizado dentro do Okta da empresa (que você provavelmente já conhece).
Além disso, na guia Configuração, se você for administrador, pode "Usar uma página de logout personalizada" e definir uma URL personalizada.
SMS
Nada interessante aqui.
Painel do Usuário Final
Você pode encontrar aqui aplicativos configurados, mas veremos os detalhes deles mais tarde em uma seção diferente.
Outros
Configuração interessante, mas nada super interessante do ponto de vista da segurança.
Aplicativos
Aplicativos
Aqui você pode encontrar todos os aplicativos configurados e seus detalhes: Quem tem acesso a eles, como está configurado (SAML, OPenID), URL para login, os mapeamentos entre o Okta e o aplicativo...
Na guia Login
também há um campo chamado Revelar senha
que permitiria a um usuário revelar sua senha ao verificar as configurações do aplicativo. Para verificar as configurações de um aplicativo no Painel do Usuário, clique nos 3 pontos:
E você poderia ver mais detalhes sobre o aplicativo (como o recurso de revelação de senha, se estiver ativado):
Governança de Identidade
Certificações de Acesso
Use as Certificações de Acesso para criar campanhas de auditoria para revisar periodicamente o acesso dos seus usuários aos recursos e aprovar ou revogar o acesso automaticamente quando necessário.
Não vi isso sendo usado, mas acredito que do ponto de vista defensivo seja um recurso interessante.
Segurança
Geral
E-mails de notificação de segurança: Todos devem estar habilitados.
Integração CAPTCHA: É recomendável definir pelo menos o reCaptcha invisível
Segurança da Organização: Tudo pode ser habilitado e os e-mails de ativação não devem durar muito tempo (7 dias está ok)
Prevenção de enumeração de usuários: Ambos devem estar habilitados
Observe que a Prevenção de Enumeração de Usuários não tem efeito se uma das seguintes condições forem permitidas (Consulte Gerenciamento de Usuários para mais informações):
Registro de Autoatendimento
Fluxos JIT com autenticação por e-mail
Configurações do Okta ThreatInsight: Registrar e impor segurança com base no nível de ameaça
HealthInsight
Aqui é possível encontrar configurações corretas e perigosas configuradas.
Autenticadores
Aqui você pode encontrar todos os métodos de autenticação que um usuário poderia usar: Senha, telefone, e-mail, código, WebAuthn... Clicando no autenticador de Senha, você pode ver a política de senha. Verifique se é forte.
Na guia Inscrição você pode ver quais são os obrigatórios ou opcionais:
É recomendável desativar o Telefone. Os mais fortes provavelmente são uma combinação de senha, e-mail e WebAuthn.
Políticas de Autenticação
Cada aplicativo tem uma política de autenticação. A política de autenticação verifica se os usuários que tentam entrar no aplicativo atendem a condições específicas e impõe requisitos de fator com base nessas condições.
Aqui você pode encontrar os requisitos para acessar cada aplicativo. É recomendável solicitar pelo menos senha e outro método para cada aplicativo. Mas se como atacante você encontrar algo mais fraco, talvez consiga atacá-lo.
Política de Sessão Global
Aqui você pode encontrar as políticas de sessão atribuídas a diferentes grupos. Por exemplo:
É recomendado solicitar MFA, limitar o tempo de vida da sessão para algumas horas, não persistir cookies de sessão em extensões de navegador e limitar a localização e o Provedor de Identidade (se isso for possível). Por exemplo, se todo usuário deve fazer login a partir de um país, você poderia permitir apenas essa localização.
Provedores de Identidade
Os Provedores de Identidade (IdPs) são serviços que gerenciam contas de usuário. Adicionar IdPs no Okta permite que seus usuários finais se registrem em suas aplicações personalizadas autenticando primeiro com uma conta social ou um cartão inteligente.
Na página de Provedores de Identidade, você pode adicionar logins sociais (IdPs) e configurar o Okta como um provedor de serviços (SP) adicionando SAML de entrada. Após adicionar IdPs, você pode configurar regras de roteamento para direcionar usuários para um IdP com base no contexto, como a localização do usuário, dispositivo ou domínio de e-mail.
Se algum provedor de identidade estiver configurado do ponto de vista de atacantes e defensores, verifique essa configuração e se a fonte é realmente confiável, pois um atacante que comprometer isso também poderá obter acesso ao ambiente do Okta.
Autenticação Delegada
A autenticação delegada permite que os usuários façam login no Okta inserindo credenciais para o Active Directory (AD) ou servidor LDAP de sua organização.
Novamente, verifique isso, pois um atacante que comprometer o AD de uma organização poderá conseguir acessar o Okta graças a essa configuração.
Rede
Uma zona de rede é um limite configurável que você pode usar para conceder ou restringir acesso a computadores e dispositivos em sua organização com base no endereço IP que está solicitando acesso. Você pode definir uma zona de rede especificando um ou mais endereços IP individuais, intervalos de endereços IP ou localizações geográficas.
Após definir uma ou mais zonas de rede, você pode usá-las em Políticas de Sessão Global, políticas de autenticação, notificações VPN e regras de roteamento.
Do ponto de vista de atacantes, é interessante saber quais IPs são permitidos (e verificar se algum IP é mais privilegiado que outros). Do ponto de vista de atacantes, se os usuários devem acessar de um endereço IP ou região específicos, verifique se esse recurso está sendo usado corretamente.
Integrações de Dispositivos
Gerenciamento de Endpoints: O gerenciamento de endpoints é uma condição que pode ser aplicada em uma política de autenticação para garantir que dispositivos gerenciados tenham acesso a uma aplicação.
Ainda não vi isso sendo usado. A FAZER
Serviços de Notificação: Ainda não vi isso sendo usado. A FAZER
API
Você pode criar tokens de API do Okta nesta página e ver aqueles que foram criados, seus privilégios, tempo de expiração e URLs de Origem. Observe que os tokens de API são gerados com as permissões do usuário que criou o token e são válidos apenas se o usuário que os criou estiver ativo.
Os Origens Confiáveis concedem acesso a sites que você controla e confia para acessar sua organização Okta por meio da API do Okta.
Não deve haver muitos tokens de API, pois se houver, um atacante poderia tentar acessá-los e usá-los.
Fluxo de Trabalho
Automações
As automações permitem que você crie ações automatizadas que são executadas com base em um conjunto de condições de gatilho que ocorrem durante o ciclo de vida dos usuários finais.
Por exemplo, uma condição poderia ser "Inatividade do usuário no Okta" ou "Expiração da senha do usuário no Okta" e a ação poderia ser "Enviar e-mail para o usuário" ou "Alterar o estado do ciclo de vida do usuário no Okta".
Relatórios
Relatórios
Baixe logs. Eles são enviados para o endereço de e-mail da conta atual.
Log do Sistema
Aqui você pode encontrar os logs das ações realizadas pelos usuários com muitos detalhes, como login no Okta ou em aplicações por meio do Okta.
Monitoramento de Importação
Isso pode importar logs de outras plataformas acessadas com o Okta.
Limites de Taxa
Verifique os limites de taxa da API atingidos.
Configurações
Conta
Aqui você pode encontrar informações genéricas sobre o ambiente do Okta, como o nome da empresa, endereço, contato de faturamento por e-mail, contato técnico por e-mail e também quem deve receber atualizações do Okta e que tipo de atualizações do Okta.
Downloads
Aqui você pode baixar agentes do Okta para sincronizar o Okta com outras tecnologias.
Última actualización