O que as falhas da Okta revelam sobre o futuro da segurança de identidade em 2025

Sure, here is the content rewritten in Portuguese while retaining the HTML tags:

<div>
    <div id="boilerplate_2682874" class="post-boilerplate boilerplate-before"><!-- wp:paragraph -->
        <p><em>Participe das nossas newsletters diárias e semanais para as últimas atualizações e conteúdo exclusivo sobre a cobertura de IA líder do setor. Saiba mais</em></p>
        <!-- /wp:paragraph -->

        <!-- wp:separator {"opacity":"css","className":"is-style-wide"} -->
        <hr class="wp-block-separator has-css-opacity is-style-wide"/>
        <!-- /wp:separator -->
    </div>
    <p>2025 precisa ser o ano em que os provedores de identidade se comprometam a melhorar todos os aspectos da qualidade e segurança do software, incluindo a equipe de red team, ao mesmo tempo em que tornam seus aplicativos mais transparentes e objetivos em relação aos resultados além dos padrões.</p>

    <p> A Anthropic, a OpenAI e outras empresas líderes de IA elevaram o red teaming a um novo patamar, revolucionando seus processos de lançamento para melhor. Os provedores de identidade, incluindo <a target="_blank" href="https://www.okta.com/" target="_blank" rel="noreferrer noopener">Okta</a>, precisam seguir seu exemplo e fazer o mesmo.</p>

    <p>Embora a Okta seja um dos primeiros fornecedores de gestão de identidade a assinar a <a target="_blank" href="https://www.cisa.gov/" target="_blank" rel="noreferrer noopener">promessa</a> <a target="_blank" href="https://www.cisa.gov/securebydesign" target="_blank" rel="noreferrer noopener">Secure by Design</a> da CISA, eles ainda estão lutando para acertar a autenticação. O <a target="_blank" href="https://trust.okta.com/security-advisories/okta-ad-ldap-delegated-authentication-username/" target="_blank" rel="noreferrer noopener">recent advisory</a> da Okta informou aos clientes que nomes de usuário de 52 caracteres poderiam ser combinados com chaves de cache armazenadas, contornando a necessidade de fornecer uma senha para fazer login. A Okta recomenda que clientes atendendo aos pré-requisitos investiguem seus logs do sistema Okta em busca de autenticações inesperadas de nomes de usuário maiores que 52 caracteres entre 23 de julho de 2024 a 30 de outubro de 2024.</p>

    <p>A Okta aponta para seu <a target="_blank" href="https://www.itnews.com.au/news/mfa-took-off-in-the-covid-era-okta-says-596916" target="_blank" rel="noreferrer noopener">excelente histórico</a> na adoção da autenticação multifatorial (MFA) entre usuários e administradores da Workforce Identity Cloud. Isso é fundamental para proteger os clientes hoje e uma exigência para competir neste mercado.</p>

    <p><a target="_blank" href="https://cloud.google.com/" target="_blank" rel="noreferrer noopener">O Google Cloud</a> anunciou a <a target="_blank" href="https://azure.microsoft.com/en-us/blog/announcing-mandatory-multi-factor-authentication-for-azure-sign-in/" target="_blank" rel="noreferrer noopener">autenticação multifatorial (MFA) obrigatória</a> para todos os usuários até 2025. A <a target="_blank" href="https://azure.microsoft.com/en-us/blog/announcing-mandatory-multi-factor-authentication-for-azure-sign-in/" target="_blank" rel="noreferrer noopener">Microsoft</a> também tornou a MFA obrigatória para o Azure a partir de outubro deste ano. “A partir do início de 2025, forçaremos gradualmente a MFA ao fazer login para ferramentas como Azure CLI, Azure PowerShell, aplicativo mobile do Azure e Infrastructure as Code (IaC)”, segundo um <a target="_blank" href="https://azure.microsoft.com/en-us/blog/announcing-mandatory-multi-factor-authentication-for-azure-sign-in/">post de blog recente</a>.</p>

    <h2 class="wp-block-heading" id="h-okta-is-getting-results-with-cisa-s-secure-by-design"><strong>Okta está obtendo resultados com o Secure by Design da CISA </strong></h2>

    <p>É louvável que tantos fornecedores de gestão de identidade tenham assinado a promessa de Secure by Design da CISA. A Okta assinou em maio deste ano, comprometendo-se com os <a target="_blank" href="https://www.cisa.gov/securebydesign/pledge" target="_blank" rel="noreferrer noopener">sete objetivos de segurança</a> da iniciativa. Embora a Okta continue avançando, desafios persistem. </p>

    <p>Buscar padrões enquanto tenta lançar novos aplicativos e componentes de plataforma é desafiador. Mais problemático ainda é manter uma série diversa e ágil de DevOps, engenharia de software, QA, red teams, gestão de produtos e marketing todos coordenados e focados no lançamento. </p>

    <ol>
        <li><strong>Não ser exigente o suficiente em relação à MFA</strong>: A Okta relatou aumentos significativos no uso da MFA, com 91% dos administradores e 66% dos usuários utilizando MFA em <a target="_blank" href="https://sec.okta.com/cisasecurebydesign1" target="_blank" rel="noreferrer noopener">janeiro de 2024</a>. Enquanto isso, mais empresas estão tornando a MFA obrigatória sem depender de um padrão para isso. As políticas de MFA obrigatórias do Google e da Microsoft destacam a lacuna entre as medidas voluntárias da Okta e o novo padrão de segurança da indústria.</li>
    </ol>

    <ul>
        <li><strong>A gestão de vulnerabilidades precisa melhorar, começando com um compromisso sólido com red-teaming.</strong> O programa de recompensa por bugs da Okta e a política de divulgação de vulnerabilidades são, em sua maioria, transparentes. O desafio que enfrentam é que sua abordagem à gestão de vulnerabilidades continua reativa, dependendo principalmente de relatórios externos. A Okta também precisa investir mais em red teaming para simular ataques do mundo real e identificar vulnerabilidades de forma proativa. Sem red teaming, a Okta corre o risco de deixar vectores de ataque específicos indetectados, limitando potencialmente sua capacidade de abordar ameaças emergentes de forma antecipada.</li>
    </ul>

    <ul>
        <li><strong>Melhorias em logging e monitoramento precisam ser aceleradas.</strong> A Okta está aprimorando suas capacidades de logging e monitoramento para melhor visibilidade de segurança, mas até outubro de 2024, muitas melhorias permanecem incompletas. Recursos críticos, como rastreamento de sessão em tempo real e ferramentas robustas de auditoria, ainda estão em desenvolvimento, o que prejudica a capacidade da Okta de fornecer detecção de intrusões abrangente e em tempo real em sua plataforma. Essas capacidades são críticas para oferecer insights imediatos e respostas a potenciais incidentes de segurança.</li>
    </ul>

    <h2 class="wp-block-heading" id="h-okta-s-security-missteps-show-the-need-for-more-robust-vulnerability-management-nbsp-nbsp"><strong>Os erros de segurança da Okta demonstram a necessidade de uma gestão de vulnerabilidades mais robusta </strong></h2>

    <p>Enquanto todos os provedores de gestão de identidade enfrentaram ataques, intrusões e violações de dados, é interessante ver como a Okta está usando esses incidentes como combustível para se reinventar usando a estrutura Secure by Design da CISA.</p>

    <p>Os erros da Okta fazem um forte apelo para expandir suas iniciativas de gestão de vulnerabilidades, aplicando as lições de red teaming aprendidas com a Anthropic, OpenAI e outros provedores de IA à gestão de identidades.</p>

    <p>Incidentes recentes que a Okta vivenciou incluem:</p>

    <ul>
        <li><strong>Março de 2021 – Brecha da Câmera Verkada</strong>: Ataques resultaram no acesso a mais de 150.000 câmeras de segurança, expondo vulnerabilidades significativas na segurança da rede.</li>
        <li><strong>Janeiro de 2022 – Compromisso do Grupo LAPSUS$</strong>: O grupo cibernético LAPSUS$ explorou acessos de terceiros para violar o ambiente da Okta.</li>
        <li><strong>Dezembro de 2022 – Roubo de Código Fonte</strong>: Ataques resultaram no roubo do código fonte da Okta, apontando para lacunas internas nos controles de acesso e práticas de segurança de código. Essa violação destacou a necessidade de controles internos e mecanismos de monitoramento mais rigorosos para proteger a propriedade intelectual.</li>
        <li><strong>Outubro de 2023 – Brecha no Suporte ao Cliente</strong>: Ataques resultaram em acesso não autorizado a dados de aproximadamente 134 clientes por meio dos canais de suporte da Okta, conforme reconhecido pela empresa em <a target="_blank" href="https://sec.okta.com/harfiles" target="_blank" rel="noreferrer noopener">20 de outubro</a>, <a target="_blank" href="https://sec.okta.com/harfiles" target="_blank" rel="noreferrer noopener">começando pelo uso de credenciais roubadas</a> para acessar seu sistema de gestão de suporte. A partir daí, os invasores acessaram arquivos HTTP Archive (.HAR) que continham cookies de sessão ativos e começaram a invadir os clientes da Okta, tentando penetrar em suas redes e exfiltrar dados.</li>
        <li><strong>Outubro de 2024 – Contorno de Autenticação de Nome de Usuário</strong>: Uma falha de segurança permitiu o acesso não autorizado contornando a autenticação baseada em nome de usuário. O contorno destacou fraquezas nos testes de produtos, pois a vulnerabilidade poderia ter sido identificada e remediada por meio de testes mais rigorosos e práticas de red-teaming.</li>
    </ul>

    <h2 class="wp-block-heading" id="h-red-teaming-strategies-for-future-proofing-identity-security"><strong>Estratégias de red-teaming para fortalecer a segurança de identidade</strong></h2>

    <p>A Okta e outros provedores de gestão de identidade precisam considerar como podem melhorar o red teaming independentemente de qualquer padrão. Uma empresa de software empresarial não deveria precisar de um padrão para se destacar em red teaming, gestão de vulnerabilidades ou na integração de segurança em seus ciclos de desenvolvimento de software (SDLCs).</p>

    <p>A Okta e outros fornecedores de identidade podem melhorar sua postura de segurança ao aplicar as lições de red teaming aprendidas com a Anthropic e a OpenAI abaixo e fortalecer sua postura de segurança nesse processo: </p>

    <p><strong>Criar deliberadamente mais colaboração contínua entre humanos e máquinas no que diz respeito a testes: </strong>A combinação da expertise humana com o red teaming impulsionado por IA da Anthropic revela riscos ocultos. Ao simular variados cenários de ataque em tempo real, a Okta pode identificar e abordar vulnerabilidades proativamente mais cedo no ciclo de vida do produto.</p>

    <p><strong>Comprometer-se a se destacar em testes de identidade adaptativos:</strong> O uso de métodos sofisticados de verificação de identidade, como autenticação por voz e validação multimodal cruzada da OpenAI para detectar deepfakes, poderia inspirar a Okta a adotar mecanismos de teste semelhantes. Adicionar uma metodologia de teste de identidade adaptativa também poderia ajudar a Okta a se proteger contra ameaças de spoofing de identidade cada vez mais avançadas.</p>

    <p><strong>Priorizar domínios específicos para red teaming mantém testes mais focados:</strong> Os testes direcionados da Anthropic em áreas especializadas demonstram o valor do red teaming específico de domínio. A Okta poderia se beneficiar ao designar equipes dedicadas a áreas de alto risco, como integrações de terceiros e suporte ao cliente, onde lacunas de segurança mais sutis podem passar despercebidas.</p>

    <p><strong>Mais simulações automatizadas de ataque são necessárias para</strong><span style="box-sizing: border-box; margin: 0px; padding: 0px;"> <strong>testar a resistência das plataformas de gestão de identidade.</strong> O modelo GPT-4o da OpenAI usa ataques adversariais automatizados para pressionar continuamente suas defesas. A Okta poderia implementar cenários automatizados semelhantes, permitindo a detecção e resposta rápidas a novas vulnerabilidades, especialmente em sua estrutura IPSIE.</span></p>

    <p><strong>Comprometer-se com uma integração de inteligência de ameaças em tempo real</strong>: O compartilhamento de conhecimento em tempo real dentro das equipes de red teaming da Anthropic fortalece sua capacidade de resposta. A Okta pode incorporar ciclos de feedback de inteligência em tempo real em seus processos de red teaming, garantindo que dados sobre ameaças em evolução informem imediatamente as defesas e acelerem a resposta a riscos emergentes.</p>

    <h2 class="wp-block-heading" id="h-why-2025-will-challenge-identity-security-like-never-before"><strong>Por que 2025 desafiaria a segurança de identidade como nunca antes</strong></h2>

    <p>Os adversários são implacáveis em seus esforços para adicionar novas armas automatizadas a seus arsenais, e toda empresa está lutando para acompanhar. </p>

    <p>Com identidades sendo o alvo principal da maioria das violações, os provedores de gestão de identidade devem enfrentar os desafios de frente e elevar a segurança em todos os aspectos de seus produtos. Isso precisa incluir a integração de segurança em seus SDLC e ajudar as equipes de DevOps a se familiarizarem com a segurança, para que não seja um pensamento secundário apressado imediatamente antes do lançamento.</p>

    <p>A iniciativa Secure by Design da CISA é inestimável para todos os provedores de cibersegurança, especialmente para os fornecedores de gestão de identidade. As experiências da Okta com o Secure by Design ajudaram a identificar lacunas na gestão de vulnerabilidades, logging e monitoramento. Mas a Okta não deve parar por aí. Eles precisam se dedicar intensamente a um foco renovado em red teaming, aplicando as lições aprendidas da Anthropic e OpenAI.</p>

    <p>Melhorar a precisão, latência e qualidade dos dados por meio do red teaming é o combustível que qualquer empresa de software precisa para criar uma cultura de melhoria contínua. O Secure by Design da CISA é apenas o ponto de partida, não o destino. Os fornecedores de gestão de identidade que entram em 2025 precisam ver normas pelo que são: estruturas valiosas para guiar a melhoria contínua. Ter uma função de red team experiente e sólida que possa identificar erros antes de serem lançados e simular ataques agressivos de adversários cada vez mais qualificados e bem financiados é uma das armas mais poderosas no arsenal de um provedor de gestão de identidade. O red teaming é fundamental para se manter competitivo enquanto se tem uma chance real de estar em paridade com os adversários.</p>

    <p>Nota do autor: <em>Agradecimentos especiais a Taryn Plumb por sua colaboração e contribuições na coleta de insights e dados.</em></p>
    <div id="boilerplate_2660155" class="post-boilerplate boilerplate-after"><!-- wp:shortcode -->
        <div class="Boilerplate__newsletter-container">
            <div class="Boilerplate__newsletter-main">
                <p><strong>VB Daily</strong></p>
                <p>Mantenha-se informado! Receba as últimas notícias na sua caixa de entrada diariamente</p>

                <p class="Form__newsletter-legal">Ao se inscrever, você concorda com os Termos de Serviço da VentureBeat.</p>
                <p class="Form__success" id="boilerplateNewsletterConfirmation">
                    Obrigado por se inscrever. Confira mais newsletters da VB aqui.
                </p>
                <p class="Form__error">Ocorreu um erro.</p>
            </div>
        </div>

    <!-- /wp:shortcode --></div>            
</div>

Let me know if you need further assistance!

---