Довідник

Люди

З точки зору атакувальника це дуже цікаво, оскільки ви зможете побачити всіх зареєстрованих користувачів, їх email адреси, групи, до яких вони належать, профілі та навіть пристрої (мобільні пристрої разом з їх ОС).

Для білого відгуку перевірте, щоб не було кількох "Очікуючих дій користувача" та "Скидання пароля".

Групи

Тут ви знайдете всі створені групи в Okta. Цікаво зрозуміти різні групи (набір дозволів), які можуть бути надані користувачам. Можливо побачити людей, включених у групи та додані додатки до кожної групи.

Звичайно, будь-яка група з назвою адміністратор цікава, особливо група Глобальні адміністратори, перевірте членів, щоб дізнатися, хто є найпривілейованішими членами.

З точки зору білого відгуку тут не повинно бути більше 5 глобальних адміністраторів (краще, якщо їх всього 2 або 3).

Пристрої

Тут знаходиться список всіх пристроїв всіх користувачів. Ви також можете побачити, чи вони активно керуються, чи ні.

Редактор профілю

Тут можна спостерігати, як ключова інформація, така як імена, прізвища, електронні адреси, імена користувачів... спільно використовується між Okta та іншими додатками. Це цікаво, оскільки якщо користувач може змінити в Okta поле (таке як його ім'я або електронна адреса), яке потім використовується зовнішнім додатком для ідентифікації користувача, внутрішній зловмисник може спробувати захопити інші облікові записи.

Крім того, у профілі Користувач (за замовчуванням) з Okta ви можете побачити, які поля має кожен користувач та які з них можуть бути змінені користувачами. Якщо ви не можете побачити панель адміністратора, просто перейдіть до оновлення інформації вашого профілю і ви побачите, які поля ви можете оновити (зверніть увагу, що для оновлення адреси електронної пошти вам потрібно буде її підтвердити).

Інтеграції каталогів

Каталоги дозволяють імпортувати людей з існуючих джерел. Я думаю, тут ви побачите користувачів, імпортованих з інших каталогів.

Я не бачив цього, але я думаю, що це цікаво дізнатися інші каталоги, які використовує Okta для імпорту користувачів, тому якщо ви компрометуєте цей каталог, ви можете встановити деякі значення атрибутів у користувачів, створених в Okta, і можливо компрометувати середовище Okta.

Джерела профілю

Джерело профілю - це додаток, який діє як джерело правди для атрибутів профілю користувача. Користувач може бути джерелом лише одного додатка або каталогу одночасно.

Я цього не бачив, тому будь-яка інформація про безпеку та хакінг щодо цієї опції вітається.

Налаштування

Бренди

Перевірте в розділі Домени цієї секції електронні адреси, які використовуються для відправлення електронних листів, та користувацький домен всередині Okta компанії (який ви, ймовірно, вже знаєте).

Крім того, в розділі Налаштування, якщо ви є адміністратором, ви можете "Використовувати власну сторінку виходу" та встановити власний URL.

SMS

Тут нічого цікавого.

Інтерфейс кінцевого користувача

Тут ви можете знайти налаштовані додатки, але ми побачимо деталі про них пізніше в іншому розділі.

Інше

Цікаві налаштування, але нічого надзвичайно цікавого з точки зору безпеки.

Додатки

Додатки

Тут ви можете знайти всі налаштовані додатки та їх деталі: Хто має до них доступ, як вони налаштовані (SAML, OPenID), URL для входу, відображення між Okta та додатком...

У вкладці Увійти також є поле під назвою Розкриття пароля, яке дозволить користувачеві розкрити свій пароль при перевірці налаштувань додатка. Щоб перевірити налаштування додатка з Панелі користувача, натисніть 3 крапки:

І ви можете побачити деякі додаткові деталі про додаток (наприклад, функцію розкриття пароля, якщо вона увімкнена):

Управління ідентичністю

Підтвердження доступу

Використовуйте Підтвердження доступу для створення аудиторських кампаній для періодичного перегляду доступу ваших користувачів до ресурсів та автоматичного затвердження або відкликання доступу, коли це потрібно.

Я цього не бачив, але я думаю, що з оборонного погляду це гарна функція.

Безпека

Загальне

• Електронні листи з повідомленнями про безпеку: Все має бути увімкнено.

• Інтеграція CAPTCHA: Рекомендується встановити принаймні невидимий reCaptcha

• Безпека організації: Все може бути увімкнено, а листи активації не повинні тривати довго (7 днів це добре)

• Запобігання переліку користувачів: Обидва мають бути увімкнені

• Зверніть увагу, що Запобігання переліку користувачів не набирає чинності, якщо дозволено будь-які з наступних умов (Див. Управління користувачами для отримання додаткової інформації):

• Реєстрація самообслуговування

• Потоки JIT з аутентифікацією електронною поштою

• Налаштування Okta ThreatInsight: Журнал та забезпечення безпеки на основі рівня загроз

HealthInsight

Тут можна знайти правильно та небезпечно налаштовані налаштування.

Аутентифікатори

Тут ви можете знайти всі методи аутентифікації, які може використовувати користувач: Пароль, телефон, електронна пошта, код, WebAuthn... Клацнувши на аутентифікаторі пароля, ви можете побачити політику пароля. Перевірте, що вона міцна.

У вкладці Реєстрація ви можете побачити, які з них є обов'язковими або необов'язковими:

Рекомендується вимкнути телефон. Найміцнішими, ймовірно, є комбінація пароля, електронної пошти та WebAuthn.

Політики аутентифікації

У кожному додатку є політика аутентифікації. Політика аутентифікації перевіряє, що користувачі, які намагаються увійти в додаток, відповідають певним умовам, і вона забезпечує вимоги факторів на основі цих умов.

Тут ви можете знайти вимоги для доступу до кожного додатка. Рекомендується запитувати принаймні пароль та ще один метод для кожного додатка. Але якщо як зловмисник ви знаходите щось слабше, ви можете здійснити атаку.

Глобальна політика сесій

Тут ви можете знайти політику сесій, призначену для різних груп. Наприклад:

Рекомендується запитувати MFA, обмежувати тривалість сесії на декілька годин, не зберігати куки сесій через розширення браузера та обмежувати місце та постачальника ідентичності (якщо це можливо). Наприклад, якщо кожен користувач повинен увійти з країни, ви можете дозволити лише це місце.

Постачальники ідентичності

Постачальники ідентичності (IdPs) - це служби, які керують обліковими записами користувачів. Додавання IdPs в Okta дозволяє вашим кінцевим користувачам самостійно реєструватися у ваших власних додатках, спочатку аутентифікувавшись за допомогою соціального облікового запису або смарт-карти.

На сторінці Постачальників ідентичності ви можете додати соціальні входи (IdPs) та налаштувати Okta як постачальника послуг (SP), додавши вхідний SAML. Після додавання IdPs ви можете налаштувати правила маршрутизації для направлення користувачів до IdP на основі контексту, такого як місце знаходження користувача, пристрій або домен електронної пошти.

Якщо будь-який постачальник ідентичності налаштований з точки зору атакування та захисника, перевірте цю конфігурацію та якщо джерело дійсно довіряється, оскільки атакуючи, компрометуючи його, можна отримати доступ до середовища Okta.

Делегована аутентифікація

Делегована аутентифікація дозволяє користувачам увійти в Okta, введучи облікові дані для Active Directory (AD) або LDAP свого організаційного сервера.

Знову перевірте це, оскільки атакуючи, компрометуючи організаційний AD, може мати можливість перейти до Okta завдяки цьому налаштуванню.

Мережа

Мережева зона - це налаштована межа, яку ви можете використовувати для надання або обмеження доступу до комп'ютерів та пристроїв у вашій організації на основі IP-адреси, яка запитує доступ. Ви можете визначити мережеву зону, вказавши одну або кілька окремих IP-адрес, діапазони IP-адрес або географічні місця.

Після визначення однієї або декількох мережевих зон ви можете використовувати їх у глобальних політиках сесій, політиках аутентифікації, сповіщеннях VPN та правилах маршрутизації.

З точки зору атакування важливо знати, які ПП дозволені (і перевірити, чи є які-небудь IP-адреси більш привілейованими за інші). З точки зору атакування, якщо користувачам слід отримувати доступ з певної IP-адреси або регіону, перевірте, що ця функція використовується належним чином.

Інтеграції пристроїв

• Управління кінцевими точками: Управління кінцевими точками - це умова, яку можна застосувати в політиці аутентифікації, щоб забезпечити, що керовані пристрої мають доступ до додатка.

• Я ще не бачив, щоб це використовувалося. TODO

• Служби сповіщень: Я ще не бачив, щоб це використовувалося. TODO

API

Ви можете створювати токени API Okta на цій сторінці та переглядати ті, які були створені, їх привілеї, час закінчення та URL-адреси походження. Зверніть увагу, що токени API генеруються з дозволами користувача, який створив токен, і є дійсними лише у разі, якщо користувач, який їх створив, є активним.

Довірені джерела надають доступ до веб-сайтів, які ви контролюєте і довіряєте, для доступу до вашої організації Okta через API Okta.

Не повинно бути багато токенів API, оскільки якщо їх занадто багато, атакуючий може спробувати отримати до них доступ та використовувати їх.

Робочий процес

Автоматизації

Автоматизації дозволяють створювати автоматизовані дії, які виконуються на основі набору умов тригера, які виникають під час життєвого циклу кінцевих користувачів.

Наприклад, умовою може бути "Неактивність користувача в Okta" або "Термін дії пароля користувача в Okta", а дією може бути "Надіслати електронного листа користувачеві" або "Змінити стан життєвого циклу користувача в Okta".

Звіти

Звіти

Завантажте журнали. Вони надсилаються на адресу електронної пошти поточного облікового запису.

Журнал системи

Тут ви можете знайти журнали дій, виконаних користувачами з багатьма деталями, такими як вхід в Okta або в додатки через Okta.

Моніторинг імпорту

Це може імпортувати журнали з інших платформ, до яких зверталися за допомогою Okta.

Обмеження швидкості

Перевірте досягнуті обмеження швидкості API.

Налаштування

Обліковий запис

Тут ви можете знайти загальну інформацію про середовище Okta, таку як назва компанії, адреса, контакт для розрахунків електронною поштою, технічний контакт електронною поштою і також хто повинен отримувати оновлення Okta та якого роду оновлення Okta.

Завантаження

Тут ви можете завантажити агенти Okta для синхронізації Okta з іншими технологіями.