Dorothy es una herramienta que los equipos de seguridad pueden usar para probar sus capacidades de monitoreo y detección para su entorno Okta. Dorothy tiene varios módulos para simular acciones que un atacante podría realizar mientras opera en un entorno Okta y acciones que los equipos de seguridad deberían poder revisar. Los módulos se asignan a las tácticas correspondientes de MITRE ATT & CK®, tales como: B. Persistencia, defensa, evitación y detección.
Obtenga más información sobre Dorothy y cómo comenzar con esto en esta publicación o presentación de blog.
Pon a prueba tu visibilidad y detección de Okta con Dorothy y Elastic Security
Pocos equipos de seguridad pueden demostrar de manera confiable que las funciones de registro y alerta funcionan como se espera cuando las partes interesadas de su empresa se acercan. Las organizaciones están cada vez más distribuidas y dependen de las ofertas de la nube para casos de uso como la gestión de identidades y accesos, la productividad del usuario y el almacenamiento de archivos. Mientras tanto, los adversarios han ampliado sus capacidades operativas en entornos de nube. Es fundamental que los equipos de seguridad puedan monitorear estos sistemas en busca de abusos a fin de proteger los datos de su organización contra ataques.
Dorothy es una herramienta gratuita y abierta que los equipos de seguridad pueden usar para probar sus capacidades de visibilidad, monitoreo y detección para entornos de inicio de sesión único (SSO) de Okta. Mostraremos cómo se puede usar Dorothy para realizar pruebas y cómo se puede usar Elastic Security para apuntar a comportamientos relevantes y sospechosos usando nuestras reglas de detección gratuitas y abiertas.
¿Qué es Okta SSO?
Para aquellos que no están familiarizados, Okta SSO es una solución de administración de identidad basada en la nube que permite a los usuarios autenticarse con una sola cuenta de usuario en una variedad de sistemas y aplicaciones dentro de su organización. Informe a los usuarios finales que solo necesitan recordar uno El nombre de usuario y la contraseña en lugar de diez o más reducen el riesgo de desarrollar una higiene deficiente de las contraseñas y permiten que los administradores del sistema apliquen políticas de contraseñas más estrictas. Además, las políticas para la autenticación multifactor (MFA) se pueden configurar en Okta, lo que aumenta la barrera de entrada para los atacantes. Muchos atacantes simplemente buscan un objetivo más fácil cuando descubren que MFA se está aplicando en la red o cuenta de usuario de su objetivo.
Si bien las soluciones SSO pueden proporcionar una experiencia de usuario cómoda y reducir el riesgo de ciberseguridad para una empresa, estos sistemas centralizados proporcionan una especie de llave maestra para muchos sistemas y aplicaciones y, a menudo, son un objetivo atractivo para los atacantes. Es importante que los equipos de seguridad comprendan cómo se ve el comportamiento normal en su entorno Okta para que puedan identificar más fácilmente la actividad sospechosa.
Conoce a Dorothy
Dorothy tiene más de 25 módulos para simular acciones que un atacante podría tomar mientras opera en un entorno Okta y comportamientos que los equipos de seguridad deben monitorear, detectar y conocer. Todos los módulos están asignados a las tácticas relevantes de MITRE ATT & CK®, como B. Persistencia, defensa, evasión, descubrimiento e impacto.
Diseñado para ayudar a los defensores a probar su visibilidad y controles de seguridad, Dorothy no proporciona módulos para obtener el primer acceso o escalar permisos en un entorno Okta. Se requiere un token de API Okta válido asociado con un usuario con uno o más roles de administrador asignados para realizar acciones con Dorothy.
Una interfaz de shell fácil de usar con ayuda relacionada con el contexto está disponible para navegar entre menús y módulos, que guía al usuario a través de escenarios de intrusión simulados. Las características adicionales incluyen perfiles de configuración para administrar conexiones a entornos de Okta individuales y registro detallado con la opción de indexar eventos en Elasticsearch para proporcionar una pista de auditoría de las acciones tomadas con Dorothy.
Realización de acciones en un entorno Okta con Dorothy
En esta sección le mostramos cómo ejecutar algunos de los módulos de Dorothy en un entorno Okta. La Figura 2 a continuación muestra el flujo de trabajo típico para un usuario de Elastic Security. Después de esta demostración, debería estar familiarizado con ir al repositorio GitHub de Dorothy y seguir los pasos de «Introducción» en la wiki del proyecto.
¿Quién soy?
Pongámonos en la piel de un atacante y consideremos qué acción podría tomar mientras opera en un entorno Okta. Como atacante de primera parada, primero tendré preguntas sobre el usuario para el que tengo un token de API. Simulemos este ataque de Dorothys whoami
Comando para mostrar el ID de inicio de sesión del usuario asociado, cuándo inició sesión por última vez y cuándo se cambió su contraseña por última vez.
Ahora que comprendemos mejor la cuenta de usuario que controlamos, enumeremos los módulos de Dorothy y miremos el menú Ayuda antes de dar el siguiente paso.
descubrimiento
Dorothy tiene varios módulos de Discovery que podemos usar para simular el conocimiento que un atacante podría obtener sobre un entorno Okta. Los oponentes a menudo pasan tiempo aprendiendo detalles de un entorno después de obtener acceso por primera vez, detalles que son esenciales para la orientación antes de planificar sus próximos pasos.
Intentemos aprender sobre el entorno Okta recopilando la siguiente información:
- Usuarios: una lista de nombres, ID de inicio de sesión, direcciones de correo electrónico, preguntas de recuperación de contraseña y el estado de cada usuario es útil para elegir qué cuentas tomar el control, cambiar o mantener intactas para evitar la detección.
- Políticas: las políticas de Okta se utilizan para controlar los elementos de seguridad, incluida la complejidad de las contraseñas y los requisitos de MFA, así como los dispositivos que los usuarios pueden utilizar. Este conocimiento será útil cuando decidamos debilitar algunos componentes de la configuración de seguridad del objetivo.
- Zonas: las zonas de red se pueden utilizar para definir perímetros de seguridad para un entorno Okta. De manera similar a las políticas, esta información nos ayuda a comprender cómo está configurado el entorno y a tomar decisiones informadas antes de realizar cambios en la forma en que se permite o bloquea el tráfico.
Después de todo, los llevamos find-admins
Módulo para enumerar los roles de cada usuario de Okta y determinar a qué usuarios se les asigna uno o más roles de administrador.
Otros módulos de descubrimiento que ayudan con la recopilación de información son: find-users-without-mfa
para encontrar usuarios que solo pueden autenticarse con un nombre de usuario y contraseña y find-admin-groups
para identificar los grupos de usuarios a los que se asignan uno o más roles de administrador.
persistencia
Una vez que un atacante ha obtenido acceso a su entorno objetivo, puede buscar formas de desarrollar la persistencia. La persistencia ayuda a un atacante a mantener el acceso en caso de que pierda su control original. Un ejemplo común de cómo un atacante podría perder su acceso es cuando el equipo de seguridad detecta su presencia y desactiva la cuenta de usuario comprometida que el atacante está usando o bloquea sus comunicaciones en el perímetro de la red.
Si uno o más mecanismos de persistencia están en su lugar, el atacante puede continuar su misión si uno de sus caminos está bloqueado o interrumpido. En este ejemplo estamos usando Dorothys create-user
y create-admin-user
Módulos para crear un usuario Okta y asignar al nuevo usuario un rol de administrador. A continuación, crearemos una pregunta de recuperación para otro usuario de Okta para que podamos restablecer la contraseña de ese usuario y tomar el control de su cuenta como otro método de persistencia.
Dorothy tiene otros módulos de persistencia que nos ayudarán a comprender los pasos que podría tomar un atacante, como: reset-factors
para eliminar los factores de autenticación registrados de un usuario y reset-password
para generar un enlace único para restablecer una contraseña de usuario.
Escape de defensa
Los enemigos intentarán utilizar técnicas de evitación defensiva para evitar ser detectados durante su misión. Por ejemplo, un atacante podría intentar desactivar el registro de seguridad para cegar al equipo de seguridad a sus acciones nefastas.
En este punto hemos adquirido conocimiento del entorno y configurado algunas formas de persistencia. Saquemos a Dorothys change-policy-state
y change-zone-state
Módulos para debilitar los controles de seguridad «objetivo».
Otros módulos de Evitación de Defensa pueden habilitar, deshabilitar o modificar otros objetos de Okta, como aplicaciones y reglas de políticas individuales.
Terminaremos nuestro escenario de ataque ficticio aquí, pero si tiene curiosidad sobre qué más puede hacer Dorothy, diríjase al repositorio de GitHub.
Detecte comportamientos sospechosos con Elastic Security
En esta sección, mostraremos cómo el registro del sistema de Okta respalda nuestras reglas de detección gratuitas para monitorear y alertar a los equipos sobre comportamientos sospechosos.
El registro del sistema Okta proporciona una pista de auditoría de las actividades observadas en el entorno de una organización. Esto incluye actividades como iniciar sesión en usuarios o cambiar sus contraseñas, administradores que realizan cambios de configuración y mucho más. Esta fuente de datos es increíblemente útil para el monitoreo de la seguridad, las investigaciones, el cumplimiento y las actividades de respuesta.
Inclusión de registros del sistema Okta con Fleet
Fleet proporciona una interfaz de usuario basada en web en Kibana para agregar y administrar integraciones para servicios y plataformas populares como Okta, AWS, Azure, Google Cloud Platform, Google Workspace y muchos otros. La integración de Okta de Fleet proporciona una manera fácil de capturar y normalizar los eventos de registro del sistema de Okta.
También está disponible un módulo Okta Filebeat para equipos que ya usan Beats.
Detecte comportamientos sospechosos con las reglas de detección gratuitas de Elastic Security
El equipo de Elastic Security Protections investiga las artesanías enemigas para desarrollar detecciones y prevención para plataformas de red, nube y endpoint. Nuestras reglas de detección son gratuitas y se desarrollan en colaboración con la comunidad de seguridad en general.
Nuestras reglas de Okta utilizan los eventos de registro del sistema indexados normalizados en Elastic Common Schema (ECS) y alertan a los equipos de seguridad sobre comportamientos relevantes y sospechosos.
La Figura 8 a continuación muestra una serie de advertencias en Elastic Security después de que Dorothy se usó para simular acciones que un atacante podría tomar mientras opera en un entorno Okta.
¿Qué pasa con esos molestos falsos positivos? Agregar excepciones a las reglas en Elastic Security para filtrar las rutinas y el comportamiento esperado es fácil. Esta función incluye una opción para cerrar todas las alertas que coinciden con la excepción para ahorrarle tiempo.
Mide tu cobertura de nubes con Dorothy
Okta y otras soluciones de administración de identidad a menudo son atacadas por adversarios, pero a menudo, si es que lo hacen, están mal monitoreadas. Diseñamos Dorothy como una herramienta para ayudar a los equipos de seguridad a comprender cómo los atacantes pueden operar en entornos Okta y darles la oportunidad de probar su visibilidad y efectividad con nuestras reglas de detección gratuitas y abiertas.
Para saber cómo empezar con Dorothy, consulte la wiki del proyecto. Si es nuevo en Elastic Security, regístrese hoy para una prueba gratuita en la nube y consulte nuestras reglas de detección gratuitas.