Okta e a violação do Lapsus$: 5 grandes questões

Certamente temos mais detalhes sobre a violação do Lapsus$ de um provedor de suporte Okta de terceiros do que ontem. Mas algumas grandes questões sem resposta ainda permanecem.

David Bradbury, CSO do proeminente fornecedor de gerenciamento de identidade e acesso, lançou mais duas atualizações nas últimas 24 horas e fez uma apresentação de webinar na quarta-feira (embora tenha reiterado amplamente os pontos feitos no weblog). A Microsoft também lançou seu próprio descobertas no grupo de hackers Lapsus$, dando algumas pistas sobre as táticas e motivos do agente da ameaça.

Mas permanecem questões sobre o momento da divulgação do incidente; os primeiros dias de acesso do grupo de hackers; o impacto potencial sobre os clientes; o “raio de explosão” do ataque; e os motivos do grupo hacker Lapsus$.

Compilei detalhes sobre essas cinco perguntas abaixo, depois de me conectar hoje com um analista da Forrester e vários executivos de fornecedores de segurança que acompanharam a situação de perto.

Também entrei em contato com a Okta para ver se eles podem ter alguma resposta a essas perguntas, mas até agora não recebi uma hoje. (Para minhas perguntas anteriores desse tipo, Okta me encaminhou para as postagens do weblog da empresa sobre a violação do Lapsus$.)

Na terça-feira, Okta reconhecido aquele Lapsus$ — um grupo que também hackeou Microsoft, Nvidia e Samsung — acessaram a conta de um suporte ao cliente engenheiroque trabalhava para um provedor terceirizado, em janeiro.

“O serviço Okta não foi violado e permanece totalmente operacional”, disse Bradbury em uma das postagens.

A Okta identificou o provedor terceirizado violado como Sitel, que fornece à Okta trabalhadores contratados para suporte ao cliente. A Sitel, em seu próprio comunicado, disse que a violação estava contida em “partes da rede Sykes” – referindo-se à Sykes Enterprises, que foi adquirida pela Sitel no ano passado.

O que se segue são detalhes sobre cinco das maiores questões restantes sobre Okta e o Lapsus$ violação.

1. Por que Okta não divulgou o incidente antes?

A resposta actual, é claro, é que Okta não teve que divulgar nada (embora isso possa não ser o caso por muito mais pace, se a Comissão de Valores Mobiliários dos EUA adotar regras propostas para divulgação de incidentes cibernéticos).

Mas isso não significa que Okta não podia divulgaram que algo havia acontecido, diz Andras Cser, vice-presidente e important analista de segurança e gerenciamento de risco da Forrester.

Okta’s Linha do pace de eventos mostra que em 20 de janeiro, a empresa investigou um alerta relacionado ao incidente cibernético. (O alerta foi solicitado por um novo fator sendo adicionado à conta Okta de um funcionário da Sitel em um novo native.) Okta o escalou para um incidente de segurança no mesmo dia e, no dia seguinte, a Sitel informou que manteve “um líder forense empresa” para fazer uma investigação completa do incidente.

Okta, no entanto, não divulgou nada sobre o incidente até que Lapsus$ postou capturas de tela no Telegram como evidência da violação nesta semana.

“An ethical da história é que se você tem um problema [of this magnitude]você pode querer apenas divulgar isso quando for recente – e não esperar dois meses”, disse Cser.

Para Okta, “que [delay in disclosure] é por isso que isso é ruim, certo?” ele disse. “Não é porque eles foram violados – isso acontece. O fato é que eles não fizeram nenhum tipo de divulgação.”

E embora as empresas nessa posição nem sempre sejam legalmente obrigadas a divulgar qualquer coisa, “muitas empresas realmente optam por fazê-lo”, disse Cser.

A conclusão é que “se você tiver um incidente de segurança, talvez valha a pena divulgá-lo ao público e acabar com isso. Porque senão, algo assim pode acontecer”, disse.

Bradbury disse estar “muito desapontado” com o pace que Okta levou para receber um relatório sobre o incidente, mas não indicou que acredita que Okta deveria ter divulgado o incidente mais cedo. O mais próximo que ele chegou foi dizer que depois que Okta recebeu um relatório resumido sobre o ataque em 17 de março, “devíamos ter movido mais rapidamente entender suas implicações”.

Cser disse que grande parte da reação à falta de divulgação da Okta decorre do fato de que a empresa é um fornecedor proeminente no setor de segurança cibernética e, portanto, está sendo mantida em um padrão mais alto do que algumas outras empresas. O preço das ações da Okta caiu 10,8%, ou US$ 17,88 por ação, hoje.

Uma divulgação não precisa ser substancial, observou Cser. Pode ser tão simples quanto dizer: “Vimos esse problema, estamos investigando – e assim que soubermos mais, informaremos a todos o que aconteceu”, disse ele.

A pesquisadora de segurança Runa Sandvik disse em Twitter que alguns podem estar “confusos sobre Okta dizendo que o ‘serviço não foi violado’”.

“A declaração é puramente uma sopa de palavras prison”, disse Sandvik. “Fato é que um terceiro foi violado; essa violação afetou a Okta; a não divulgação afetou os clientes da Okta.”

2. O que aconteceu de 16 a 20 de janeiro?

Na postagem authentic do weblog de Bradbury na terça-feira sobre a violação do Lapsus$, ele disse que o agente da ameaça conseguiu acessar o pc do engenheiro de suporte terceirizado por cinco dias em janeiro. Essa janela de cinco dias ocorreu de 16 a 21 de janeiro, disse ele.

Esta informação foi baseada no relatório da empresa forense cibernética, de acordo com Bradbury.

Posteriormente, Bradbury compartilhou o Okta publicar apresentando uma linha do pace de eventos em torno do incidente. A linha do pace começa em 20 de janeiro (às 23h18 UTC), quando Okta recebeu o alerta sobre o novo fator sendo adicionado à conta Okta do funcionário da Sitel.

No entanto, isso deixa vários dias sem explicação, observou Ronen Slavin, cofundador e CTO da empresa de segurança da cadeia de suprimentos de device Cycode. Talvez a linha do pace não comece até 20 de janeiro porque foi quando Okta se envolveu pela primeira vez – mas, independentemente disso, a empresa forense presumivelmente reuniu informações sobre o que aconteceu antes de 20 de janeiro.

Em termos do que aconteceu antes desse ponto, “esperamos aprender mais com Okta”, disse Slavin. “Estamos ansiosos para saber o que ocorreu durante os dias anteriores.”

Okta especificou que “recebeu o relatório de investigação completo” sobre a violação da Sitel na terça-feira.

3. Como os clientes foram impactados?

Na terça-feira, Bradbury disse que tantos quantos 366 os clientes podem ter sido impactados pela violação do Lapsus$ (aproximadamente 2,5% dos 15.000 clientes da Okta).

No webinar desta quarta-feira, o Okta CSO esclareceu que a empresa tem, de fato,
“identificou 366 clientes … cujo locatário Okta foi acessado pelo Sitel durante esse período” de 16 a 21 de janeiro.

Os dados desses clientes “podem ter sido vistos ou manipulados”, disse Bradbury em uma das postagens do weblog, sem oferecer mais detalhes.

As declarações de Okta até agora não explicaram como os clientes foram afetados pela violação, de acordo com o analista de ameaças da Emsisoft, Brett Callow. “O impacto ainda não está claro”, disse Callow em mensagem ao VentureBeat na quarta-feira.

E, embora a Sitel diga que não encontrou evidências de violação de dados dos sistemas dos clientes, “a ausência de evidências não é evidência de ausência”, disse Callow.

No passado, os clientes divulgados pela Okta incluíam JetBlue, Nordstrom, Siemens, Slack e T-Cellular. Em 2017, Okta disse que o Departamento de Justiça dos EUA technology um cliente.

4. Por que Okta está definindo o “raio de explosão” dessa maneira?

Na linguagem de segurança cibernética, o termo “raio de explosão” refere-se ao impacto que um determinado ataque cibernético causou. Okta alegou que o raio de explosão da violação do Lapsus$ foi limitado a uma “pequena porcentagem de clientes”.

“Ao tentar dimensionar o raio de explosão para este incidente, nossa equipe assumiu o pior cenário e examinou todo o acesso realizado por todos os funcionários da Sitel ao aplicativo SuperUser para o período de cinco dias em questão”, disse Bradbury em um weblog. publicar.

Assim, os 366 clientes que podem ter sido impactados pela violação do Lapsus$ representam todos os clientes Okta aos quais a Sitel teve acesso.

O que não está claro, no entanto, é por que a Okta escolheu definir o “raio da explosão” dessa maneira.

“Se o incidente foi isolado a um engenheiro de suporte da Sitel, gostaríamos de entender por que o raio da explosão não se limita ao que esse indivíduo acessou”, disse Slavin.

Okta declarou especificamente que seu aplicativo “SuperUser” para engenheiros de suporte não tinha funcionalidade “semelhante a um deus” – não podia acessar todos os usuários – e foi construído com privilégio mínimo como princípio central, observou Slavin. Com base no que se sabe agora, faz sentido que o raio da explosão seja isolado apenas para o que Sitel poderia ter acessado, disse ele.

E, no entanto, privilégio mínimo é um conceito para usuários individuais, não para equipes. “Isso levanta a questão de por que o escopo da Okta [included] tudo o que a equipe pode acessar, em vez de tudo o que o indivíduo acessou”, disse Slavin.

As declarações de Okta de que fez isso com “muita cautela” – e com interesse em transmitir o pior cenário – são “respostas perfeitamente válidas”, disse Slavin. No entanto, “simplesmente esperamos ver mais esclarecimentos à medida que a investigação se desenrola”.

5. O que Lapsus$ estava tentando realizar?

Talvez o mais desconcertante de tudo seja a questão do motivo do agente da ameaça no ataque Okta. Ao contrário dos cibercriminosos focados em violar um sistema para eventualmente solicitar um pagamento de ransomware, por exemplo, as ações tomadas pela Lapsus$ para violar o provedor de serviços da Okta não tinham um ângulo financeiro óbvio.

Se o grupo de hackers estava tentando obter acesso aos clientes da Okta, para monetizar isso no futuro, divulgar publicamente o ataque não faria sentido, disse Stel Valavanis, fundador e CEO da empresa de serviços de segurança OnShore Safety.

Em relação ao objetivo do ataque, “ecu diria que foi uma forma de se firmar em outras organizações. Mas então por que ser tão vocal sobre isso?” disse Valavanis.

Também é digno de nota que Lapsus$ não fez nenhuma exigência – pelo menos não em seu canal Telegram – antes de postar as capturas de tela esta semana.

A coisa mais próxima de uma pista sobre o motivo é a declaração do grupo, no submit do Telegram, de que “para um serviço que fornece sistemas de autenticação para muitas das maiores corporações (e aprovado pela FEDRAMP), acho que essas medidas de segurança são muito ruins”.

Lapsus$ seguiu com outro submit na terça-feira, criticando Okta por várias de suas medidas de segurança.

Cser disse que essas declarações sugerem que, pelo menos no incidente de Okta, Lapsus$ tem como objetivo causar danos à reputação de Okta por algum motivo.

“Pode ser que eles queiram tentar enfraquecer a posição da Okta no mercado e tentar manchar a imagem de sua marca”, disse ele.

Isso, é claro, só leva a outra pergunta: Por quê? E por ordem própria ou de outra pessoa?

A possível resposta a essas perguntas exigiria algumas especulações mais loucas, então não irei lá. Mas o fato de alguns na indústria estarem especulando sobre esse tipo de possibilidade é evidência de que Lapsus$, até agora, está se mostrando muito difícil de ler.

Em sua série de ataques recentes, houve “uma mistura de direcionamento financeiro e alguns hackers de IP”, disse Oliver Pinson-Roxburgh, CEO da empresa de serviços de segurança cibernética Bulletproof. “Não há uma direção ou motivo claro para o grupo.”

Pesquisadores da Microsoft — que confirmado esta semana que esteve entre as vítimas do Lapsus$ — acreditam que o Lapsus$ é “motivado por roubo e destruição”. Em alguns casos, o grupo extorquiu vítimas para impedir a divulgação de dados, mas em outros vazou dados sem fazer nenhuma exigência, disseram os pesquisadores.

Com base nas evidências até agora, há também outra possibilidade, disse Demi Ben-Ari, cofundadora e CTO da empresa terceirizada de gerenciamento de segurança Panorays.

A abordagem do grupo parece significar que, pelo menos em parte, “suas táticas aqui são para diversão”, disse Ben-Ari.

Embora qualquer diversão – em uma série de incidentes que agora impactaram pelo menos quatro potências globais de tecnologia, no período de um mês – tenha sido definitivamente unilateral.