文章來源 / Okta Official Blog
身分是現代安全策略的基礎,基於身分的攻擊呈上升趨勢,大多數資料外洩都是由憑證被盜造成的。Okta 擁有超過18,000名客戶和每月執行數十億次身分驗證的身分平台,處於基於身分的攻擊的最前線。
光是過去一個月裡,Okta 就透過即時將惡意流量與合法流量分開的管道中攔截了約 23.8 億個惡意請求,佔 Okta 員工身分雲(Okta Workforce Identity Cloud)所有登入嘗試中的 20% 以上。
在本文章中,我們將描述該管道中各層的詳細資訊,特別關注基於AI的組件。我們也將描述客戶如何使用這些功能來保護其用戶免受各種類型基於身分的攻擊。
縱深防禦 (Defense in depth)
我們需要多層深度防禦策略來防範基於身分的攻擊,原因如下:
許多基於身分的攻擊非常複雜,單一防禦層可能無法提供足夠的訊息來區分惡意和合法的請求。隨著請求在系統中進行,我們會逐步了解其合法性。
自動化攻擊檢測總會出現誤報(合法請求被標記為惡意)和漏報(惡意請求被標記為合法),企業對誤報和漏報的容忍程度各不相同,我們需要管道中添加層級,企業可以透過自主配置來優化以降低誤報或漏報的機率。
基於身分的攻擊有多種類型-密碼噴灑(password spray)、暴力破解(brute force)、網路釣魚(phishing)、連線劫持(session hijacking)等,單一檢測和執行策略無法應對所有攻擊,我們需要在管道中添加層級,專門處理不同類型的攻擊。
此堆疊中每一層檢測有兩個主要面向。
品質:可以透過結合誤報率和漏報率來決定。當我們嘗試對兩者進行最佳化時,我們會根據下面描述的標準優先考慮其中一個,這些標準因層而異。
補救方案:如果封鎖是唯一的補救選項(相對於多重身分驗證 MFA ),那麼減少誤報至關重要。
豁免配置:如果管理員無法手動停用檢測,那麼減少誤報至關重要。
延遲:在不影響合法用戶響應時間的情況下,運行所有檢測至關重要。
讓我們看看該管道中所有層級的詳細資訊,這些層級會按照它們在登入請求路徑中調用的順序進行描述。請注意,這些層級順序以及支援的功能將來可能會發生變化。
Okta edge
這是請求的入口點和第一道防線。這層有許多控制措施來偵測和防範 DDoS 攻擊。為了防範大規模基於憑證的攻擊,我們構建了一個管道來識別邊緣所有租戶都被封鎖的惡意 IP。Okta 客戶無法配置 Okta edge支援的功能的任何部分。
Blocklist zones
客戶可以通過創建黑名單,阻止特定的IP、定位、IP服務類別和自治系統編號(ASN)組合,與這些區域匹配的請求將被阻止訪問任何Okta Workforce Identity Cloud端點。
許多基於憑證的攻擊涉及透過匿名網路代理服務路由的請求。我們建議客戶啟用最近發布的自助搶先體驗功能,該功能創建一個預設區域來阻止所有匿名的網路代理。如果客戶想要為某些 IP 服務類別添加豁免權,他們可以使用另一個最近發布的自助搶先體驗功能,該功能導入了對增強動態網路區域的支援。
過去一個月內,Okta 根據區域配置阻止了約 3.18 億個惡意網路請求。Okta 依賴多個外部供應商來解析與IP 關聯的位置、IP服務類別和ASN。
我們繼續通過關注以下兩個方面來擴展區域:
品質:為了減少因過時資料來源而導致的誤報和漏報,我們建立了數據管道(Data pipeline),以便在外部資料來源可用後24小時內刷新。
延遲:我們解析每個網路請求的IP元數據,為了應對這種規模,我們不斷改進,以在解析所有外部供應商的原數據時保持低延遲率(p95小於50毫秒)。
威脅洞察(ThreatInsight)
ThreatInsight 是 Okta 的原生 AI 驅動功能,用於偵測和防禦基於憑證的大型攻擊,由兩個主要組件—檢測管道和執行管道。
檢測管道(Detection Pipeline)
我們建立了串流和批次數據管道來偵測涉及大規模基於身分的攻擊,例如:密碼噴灑、憑證填充(Credential Stuffing)和暴力破解的惡意 IP,我們同時檢測跨租用戶和特定用戶的惡意IP。
檢測管線還包括啟發法(Heuristics)和機器學習模型(ML),用於標記受到基於大型憑證的攻擊的用戶,這些模型在攻擊開始後幾分鐘內即可偵測到用戶層級登入失敗的異常情況,根據這些模型的輸出,我們透過 System Log通知客戶,並為受到攻擊的用戶更積極地自動標記惡意 IP,這些模型幫助 Okta每月通知數百名受到攻擊的用戶
執行管道(Enforcement pipeline)
我們建立了一個低延遲的執行管道,並按照以下順序執行這兩個動作:
封鎖或Log來自惡意IP的請求。客戶可以選擇在ThreatInsight中配置為Log模式或封鎖模式。
基於請求的多個屬性標記可疑請求。我們運行多種啟發式算法和機器學習模型,根據請求的IP、位置、用戶代理等屬性來標記可疑請求。這些模型輸出分數和威脅級別,用於確定應計入用戶的速率限制計數器或針對可疑請求隔離的速率限制計數器。
在速率限制和標記可疑請求之前執行 ThreatInsight 檢查有助於減少合法使用者因大型憑證攻擊而遇到速率限制違規的機率。
在過去的一個月裡,ThreatInsight 阻止了超過 10,000個用戶中 150多個端點相關約 20.8億個請求和 340萬個IP。在一些高流量攻擊期間,ThreatInsight每小時阻擋了超過20萬個IP,每分鐘超過10萬個請求,在涉及多個 Okta 用戶的攻擊中發現了超過 31,000 個 IP。
我們建議將 ThreatInsight 轉換為封鎖模式,以保護您的用戶免受大規模基於憑證的攻擊。
我們透過關注以下兩個面向繼續擴展 ThreatInsight:
品質:為了減少誤報和漏報,我們不斷改進資料管道和偵測,以便在可疑活動發生後幾秒鐘內識別出惡意 IP,並在檢測後幾分鐘內使這些 IP可供執行。
延遲:我們對存取Okta Workforce Identity Clou的每個網路請求執行ThreatInsight 檢查,甚至在速率限制檢查啟動之前就這樣做。許多增強用於 ML模型評分,以確保 ThreatInsight 評估的p95延遲低於50毫秒。
速率限制(Rate Limiting)
Okta平台在用戶層級執行速率限制,這包括Okta 託管速率限制和客戶可配置速率限制,這一層不直接處理檢測和阻擋基於身分的攻擊,此層與基於身分的攻擊相關的元件是支援為合法和惡意請求維護不同的速率限制計數器。
政策評估(Policy evaluation)
我們在策略評估層擁有請求的完整上下文,使用者和設備等。
區域(Zones)
客戶可以根據IP、地理位置、IP 服務類別和ASN 的各種組合來設定IP、動態和增強型動態網路區域,並將這些區域應用於各種類型的策略,例如:全域會話策略、身分驗證策略等,當區域未列入封鎖清單並在政策中進行設定時,它們不會對每個網域強制執行,僅針對在限定於該策略範圍內的請求進行執行。
行為偵測(Behavior detection)
行為偵測分析使用者行為模式以偵測異常使用者活動。 Okta支援針對使用者範圍的多種類型的異常行為偵測,例如:新IP、新國家、新地理位置、新裝置、瞬移速度。
客戶可以透過將這些行為組合到全域會話和身分驗證策略來定義對用戶來說有風險的行為。對於某些租戶來說,從用戶在過去 10 次嘗試中從未登入過的國家/地區進行的任何登入都可能是可疑的;對於其他租戶來說,從用戶在過去 100 次嘗試中從未登入過的裝置和 IP 進行的任何登入都可能是可疑的。行為偵測提供了規則引擎,使客戶能夠自定義這些異常,以便優化針對誤報或漏報率。
為了支援行為偵測,我們建立了一個數據管道,根據使用者的歷史活動建立使用者檔案。
風險評估(Risk scoring)
風險評估結合來自管道多層的訊號來確定與登入嘗試相關的風險等級。風險評估消除了配置行為、區域和其他條件的複雜性。客戶可以簡單地在策略中配置風險等級並設定MFA等操作。 Okta透過結合各種情境(位置、設備、威脅、行為等)來確定有風險的內容。
風險引擎(Risk Engine)匯總上下文中的風險,以確定網域請求的風險等級:
ThreatInsight 評估 — 根據 ThreatInsight 評估,此要求有多糟糕?
IP 元資料 — 依照外部供應商的原數據的 IP有多糟糕?
IP — 根據使用者的歷史模式,該 IP 對該特定使用者來說有多糟糕?
用戶 — 用戶目前是否受到大規模基於憑證的攻擊?
地理位置-根據使用者的歷史模式,該地理位置對該特定使用者來說有多糟糕?
設備 — 根據用戶的歷史模式,該設備對於該特定用戶來說有多糟
在這一層我們使用機器學習來識別與請求相關的各種上下文中各種特徵的相對權重。這些模型使用用戶的 MFA 存取模式與使用者的各種行為訊號相關的 MFA 的成功、失敗和放棄進行訓練。
作為新推出的Okta Identity Threat Protection的一部分,我們將推出新版本的風險模式。購買 Okta Identity Threat Protection SKU 的客戶可以從風險評估中受益,在登入時執行風險評估,並持續確定與會話相關的風險。風險評估依賴於使用更多功能的更複雜模型,即來自 Okta Verify、異常 ASN、異常 User Agent 等的設備訊號。此外,我們也導入了使用者風險概念作為該產品的一部分,使用者風險擷取與使用者身分相關的狀態風險,並匯總跨Session、裝置以及從多個第三方安全供應商獲得的所有訊號的風險。
在過去的一個月中,Okta對超過30億次登入請求進行了風險評估。我們建議在身分驗證策略中為高風險的登入嘗試配置強大的身分驗證。
透過關注以下兩個面向繼續擴展Risk Engine:
品質:為了減少誤報和漏報,我們不斷改進用於檢測各種背景下的風險的模型以及匯總整體風險的方式。我們還透過擴展數據管道以使用與用戶相關的最新活動來提高準確性。使用者在系統中執行某些操作後一秒鐘內,使用者的個人資料就會使用此資訊進行更新。
延遲:對於自適應 MFA 客戶的 Okta Workforce Identity Cloud 的每次登入嘗試,我們都會執行 Risk Engine檢查,p95 延遲低於 50 毫秒。
重點摘要:
Okta依賴多層縱深防禦策略來檢測和防護各種類型基於身分的攻擊。
Blocklist zones是一項自助服務功能,與以AI驅動的ThreatInsight功能互補。這些功能每個月能夠阻擋數十億次大規模基於憑證的攻擊。我們強烈建議客戶開啟默認的動態網路區域來封鎖匿名網路代理,並將ThreatInsight設置為封鎖模式。
隨著請求在Okta堆疊中的進展,我們生成更多的上下文。行為偵測和風險評分等功能利用這些上下文來檢測更精密的帳號接管攻擊。
風險評分是以AI為驅動的功能,考慮各種上下文來聚合風險。客戶可以使用行為偵測來自定義和定義其用戶的風險。我們強烈建議客戶配置基於風險的策略,對於高風險的登入提示使用多因子驗證(MFA)。
Okta身分威脅保護是一款新發布的產品,將風險引擎的能力提升到新水平,提供對Session和使用者風險的持續評估,利用更先進的信號和機器學習模型。
Comments