Okta en de Lapsus$-inbreuk: 5 grote vragen

Heb je een sessie op de Data Summit gemist? Bekijk hier on-demand.

We hebben zeker meer details over de Lapsus$-inbreuk door een externe Okta-ondersteuningsprovider dan gisteren op dit moment. Maar er blijven nog enkele grote onbeantwoorde vragen over.

David Bradbury, CSO bij de prominente leverancier van identiteits- en toegangsbeheer, heeft de afgelopen 24 uur nog twee updates uitgebracht en een webinarpresentatie gegeven. Microsoft heeft ook zijn eigen bevindingen over de Lapsus$-hackergroep vrijgegeven, met enkele aanwijzingen over de tactieken en motieven van de dreigingsactor.

Maar er blijven nog veel vragen over, onder meer over de timing voor de onthulling van het incident; de eerste paar dagen van de toegang van de hackergroep; de potentiële impact op klanten; de “ontploffingsstraal” van de aanval; en de motieven van de Lapsus$-hackergroep.

Ik heb details over deze vijf vragen hieronder verzameld, nadat ik vandaag contact heb gehad met een Forrester-analist en een aantal leidinggevenden van beveiligingsleveranciers die de situatie op de voet hebben gevolgd.

Okta had geen antwoord op deze vragen en zei dat haar openbare verklaringen over de Lapsus$-inbreuk zijn opgenomen in haar blogposts.

Op dinsdag erkende Okta dat Lapsus$ – een groep die ook Microsoft, Nvidia en Samsung heeft gehackt – in januari toegang had gekregen tot het account van een klantenservicemedewerker, die voor een externe provider werkte.

“De Okta-service is niet geschonden en blijft volledig operationeel”, zei Bradbury in een van de berichten.

Okta heeft de geschonden externe provider geïdentificeerd als Sitel, die Okta contractarbeiders levert voor klantenondersteuning. Sitel zei in zijn eigen verklaring dat de inbreuk beperkt was tot “delen van het Sykes-netwerk” – verwijzend naar Sykes Enterprises, dat vorig jaar door Sitel werd overgenomen.

Wat volgt zijn details over vijf van de grootste resterende vragen over Okta en de Lapsus$-inbreuk.

1. Waarom heeft Okta het incident niet eerder bekendgemaakt?

Het eigenlijke antwoord is natuurlijk dat Okta niets hoefde te onthullen (hoewel dat misschien niet veel langer het geval zal zijn, als de Amerikaanse Securities and Exchange Commission voorgestelde regels voor openbaarmaking van cyberincidenten goedkeurt).

Maar dat betekent niet dat Okta niet had kunnen onthullen dat er iets was gebeurd, zegt Andras Cser, vice-president en hoofdanalist voor beveiliging en risicobeheer bij Forrester.

Okta’s tijdlijn van gebeurtenissen laat zien dat het bedrijf op 20 januari een waarschuwing met betrekking tot het cyberincident heeft onderzocht. (De waarschuwing werd ingegeven door een nieuwe factor die werd toegevoegd aan het Okta-account van een Sitel-medewerker op een nieuwe locatie.) Okta escaleerde het diezelfde dag naar een beveiligingsincident en de volgende dag meldde Sitel dat het “een toonaangevend forensisch firma” om een ​​volledig onderzoek naar het incident te doen.

Okta maakte echter pas dinsdag iets bekend over het incident, nadat Lapsus$ screenshots op Telegram plaatste als bewijs van de inbreuk.

“De moraal van het verhaal is dat als je een probleem hebt… [of this magnitude]wil je dit misschien gewoon bekendmaken als het vers is – en niet twee maanden wachten’, zei Cser.

Voor Okta, “dat [delay in disclosure] daarom is dit slecht, toch?” hij zei. “Het is niet omdat ze zijn geschonden – dat gebeurt. Het feit is dat ze geen enkele vorm van onthulling hebben gedaan.”

En hoewel bedrijven in deze positie niet altijd wettelijk verplicht zijn om iets bekend te maken, “kiezen veel bedrijven ervoor om dit te doen”, zei Cser.

Waar het op neerkomt, is dat “als je een beveiligingsincident hebt, het misschien de moeite waard is om het aan het publiek bekend te maken en het af te handelen. Want anders kan zoiets gebeuren’, zei hij.

Bradbury heeft gezegd dat hij “zeer teleurgesteld” was over hoe lang het duurde voordat Okta een rapport over het incident ontving, maar hij heeft niet aangegeven dat hij vindt dat Okta het incident eerder had moeten onthullen. Het dichtst dat hij kwam was om te zeggen dat nadat Okta een samenvattend rapport over de aanval op 17 maart had ontvangen, “we sneller hadden moeten handelen om de implicaties ervan te begrijpen.”

Cser zei dat veel van het verzet over Okta’s gebrek aan openbaarmaking voortkomt uit het feit dat het bedrijf een prominente leverancier is in de cyberbeveiligingsindustrie, en dus aan een hogere standaard wordt gehouden dan sommige andere bedrijven zouden kunnen zijn. De aandelenkoers van Okta daalde vandaag met 10,8%, of $ 17,88 per aandeel.

Een onthulling hoeft niet substantieel te zijn, merkte Cser op. Het kan zo simpel zijn als zeggen: “We hebben dit probleem gezien, we onderzoeken – en zodra we meer weten, laten we iedereen weten wat er is gebeurd”, zei hij.

Beveiligingsonderzoeker Runa Sandvik zei op: Twitter dat sommigen “in de war zijn omdat Okta zegt dat de ‘service niet is geschonden’.”

“De verklaring is puur een juridische woordsoep”, zei Sandvik. “Feit is dat een derde partij is geschonden; die inbreuk trof Okta; het niet bekendmaken ervan had gevolgen voor de klanten van Okta.”

“De moraal van het verhaal is dat als je een probleem hebt… [of this magnitude]wil je dit misschien gewoon bekendmaken als het vers is – en niet twee maanden wachten.”

Andras Cser, hoofdanalist voor beveiliging en risicobeheer, Forrester

2. Wat gebeurde er van 16-20 januari?

In Bradbury’s originele blogpost dinsdag over de Lapsus$-inbreuk, zei hij dat de dreigingsactor in januari vijf dagen toegang had tot de laptop van de externe ondersteuningstechnicus. Deze periode van vijf dagen vond plaats van 16 tot 21 januari, zei hij.

Deze informatie was volgens Bradbury gebaseerd op het rapport van het cyberforensische bedrijf.

Vervolgens deelde Bradbury de Okta-post met een tijdlijn van gebeurtenissen rond het incident. De tijdlijn begint op 20 januari (om 23:18 UTC), toen Okta de waarschuwing ontving over de nieuwe factor die werd toegevoegd aan het Okta-account van de Sitel-medewerker.

Dat laat echter een aantal dagen achter, merkte Ronen Slavin op, medeoprichter en CTO bij Cycode, een beveiligingsbedrijf voor softwaretoeleveringsketens. Misschien begint de tijdlijn pas op 20 januari, want toen raakte Okta er voor het eerst bij betrokken – maar hoe dan ook, het forensische bedrijf heeft vermoedelijk informatie verzameld over wat er vóór 20 januari is gebeurd.

In termen van wat er vóór dat punt gebeurde, “hopen we meer van Okta te leren”, zei Slavin. “We zijn benieuwd wat er de afgelopen dagen is gebeurd.”

Okta specificeerde dat het dinsdag “het volledige onderzoeksrapport” over de inbreuk van Sitel heeft ontvangen.

3. Hoe werden klanten beïnvloed?

Op dinsdag zei Bradbury dat maar liefst 366 klanten mogelijk getroffen zijn door de Lapsus$-inbreuk (ongeveer 2,5% van Okta’s 15.000 klanten).

In het webinar van woensdag verduidelijkte de Okta CSO dat het bedrijf in feite “366 klanten heeft geïdentificeerd … wiens Okta-huurder in die periode van 16-21 januari door Sitel is benaderd”.

De gegevens van deze klanten “kunnen zijn bekeken of er is naar gehandeld”, zei Bradbury in een van de blogposts, zonder verdere details te geven.

De verklaringen van Okta tot nu toe hebben niet uitgelegd hoe klanten zijn getroffen door de inbreuk, aldus Brett Callow, dreigingsanalist van Emsisoft. “De impact is nog niet duidelijk”, zei Callow woensdag in een bericht aan VentureBeat.

En hoewel Sitel zegt dat het geen bewijs heeft gevonden voor een datalek van klantsystemen, is “afwezigheid van bewijs geen bewijs van afwezigheid”, zei Callow.

In het verleden waren onder meer JetBlue, Nordstrom, Siemens, Slack en T-Mobile de door Okta bekendgemaakte klanten. In 2017 zei Okta dat het Amerikaanse ministerie van Justitie een klant was.

4. Waarom definieert Okta de “straalstraal” op deze manier?

In cybersecurity-taal verwijst de term “explosiestraal” naar de impact die een bepaalde cyberaanval heeft gehad. Okta heeft beweerd dat de ontploffingsstraal van de Lapsus $ -inbreuk beperkt was tot een “klein percentage klanten”.

“Bij het proberen om de explosieradius voor dit incident te bepalen, ging ons team uit van het worstcasescenario en onderzocht het alle toegang die door alle Sitel-medewerkers tot de SuperUser-applicatie werd verleend voor de betreffende periode van vijf dagen”, zei Bradbury in een blog. na.

Zo vertegenwoordigen de 366 klanten die mogelijk getroffen zijn door de Lapsus$-inbreuk, alle Okta-klanten waartoe Sitel toegang had gedurende de vijfdaagse periode in januari.

Wat echter niet duidelijk is, is waarom Okta ervoor heeft gekozen om de “straalstraal” op deze manier te definiëren.

“Als het incident werd geïsoleerd door één supporttechnicus bij Sitel, zouden we graag willen begrijpen waarom de explosiestraal niet beperkt is tot wat die persoon heeft gezien”, zei Slavin.

Okta heeft specifiek verklaard dat hun “SuperUser”-app voor ondersteuningstechnici geen “goddelijke” functionaliteit had – geen toegang had tot alle gebruikers – en gebouwd was met de minste privileges als kernprincipe, merkte Slavin op. Op basis van wat nu bekend is, is het logisch dat de straal van de ontploffing wordt geïsoleerd tot waar Sitel mogelijk toegang toe had, zei hij.

En toch is minste privilege een concept voor individuele gebruikers, niet voor teams. “Dit roept de vraag op waarom Okta’s reikwijdte [included] alles waar het team toegang toe had, in plaats van alles waartoe het individu toegang had’, zei Slavin.

Okta’s verklaringen dat het dit heeft gedaan uit “een overvloed aan voorzichtigheid” – en in een belang om het worstcasescenario over te brengen – zijn “perfect geldige antwoorden”, zei Slavin. “We hopen echter gewoon meer opheldering te zien naarmate het onderzoek vordert.”

5. Wat probeerde Lapsus$ te bereiken?

Misschien wel het meest verbijsterende van alles is de kwestie van het motief van de dreigingsactor in de Okta-aanval. In tegenstelling tot cybercriminelen die zich richtten op het doorbreken van een systeem om uiteindelijk een ransomware-betaling te vragen, hadden de acties die Lapsus$ ondernam om Okta’s serviceprovider te schenden geen duidelijke financiële invalshoek.

Als de hackergroep toegang probeerde te krijgen tot Okta-klanten, om daar later geld mee te verdienen, zou het geen zin hebben om de aanval publiekelijk bekend te maken, zegt Stel Valavanis, oprichter en CEO van het beheerde beveiligingsservicebedrijf OnShore Security.

In termen van het doel van de aanval: ‘Ik zou zeggen dat het een manier was om voet aan de grond te krijgen bij andere organisaties. Maar waarom zou je er dan zo luidruchtig over zijn?” zei Valavanis.

Het is ook opmerkelijk dat Lapsus$ helemaal geen eisen stelde – althans niet op zijn Telegram-kanaal – voordat hij deze week de screenshots plaatste.

Het dichtst bij een aanwijzing over het motief is de verklaring van de groep, in de Telegram-post over Okta, dat “voor een service die authenticatiesystemen aanstuurt voor veel van de grootste bedrijven (en FEDRAMP goedgekeurd) ik denk dat deze beveiligingsmaatregelen behoorlijk slecht zijn.”

Lapsus$ volgde dinsdag nog een bericht op, waarin hij Okta bekritiseerde vanwege een aantal van zijn veiligheidsmaatregelen.

Cser zei dat deze verklaringen suggereren dat Lapsus$, in ieder geval in het Okta-incident, om de een of andere reden heeft gestreefd naar reputatieschade aan Okta.

“Het kan zijn dat ze willen proberen de positie van Okta op de markt te verzwakken en hun merkimago willen aantasten”, zei hij.

Dat leidt natuurlijk alleen maar tot een andere vraag: waarom? En in hun eigen opdracht, of die van iemand anders?

Het mogelijke antwoord op die vragen zou wat meer speculatie vergen, dus daar ga ik niet heen. Maar het feit dat sommigen in de industrie zelfs speculeren over dit soort mogelijkheden, is het bewijs dat Lapsus$ tot nu toe erg moeilijk te lezen is.

Tijdens de reeks recente aanvallen van de groep was er “een mix van financiële targeting en wat hacking van IP”, zegt Oliver Pinson-Roxburgh, CEO van cyberbeveiligingsservicebedrijf Bulletproof. “Er is niet één duidelijke richting of motief voor de groep.”

Onderzoekers bij Microsoft – die deze week hebben bevestigd dat het een van de Lapsus$-slachtoffers is geweest – geloven dat Lapsus$ “gemotiveerd is door diefstal en vernietiging”. De groep heeft in sommige gevallen slachtoffers afgeperst om het vrijgeven van gegevens te voorkomen, maar in andere gevallen heeft de groep gegevens gelekt zonder eisen te stellen, aldus de onderzoekers.

Op basis van het bewijs tot nu toe is er ook een andere mogelijkheid, zegt Demi Ben-Ari, medeoprichter en CTO bij het externe beveiligingsbeheerbedrijf Panorays.

De benadering van de groep lijkt erop te wijzen dat, althans gedeeltelijk, “hun tactieken hier voor de lol zijn”, zei Ben-Ari.

Hoewel elk “plezier” – verbonden met een reeks incidenten die nu in een tijdsbestek van een maand ten minste vier wereldwijde tech-krachtpatsers hebben getroffen – zeker eenzijdig is geweest.

De missie van VentureBeat is om een ​​digitaal stadsplein te zijn voor technische besluitvormers om kennis op te doen over transformatieve bedrijfstechnologie en transacties. Leer meer



This post Okta en de Lapsus$-inbreuk: 5 grote vragen
was original published at “https://venturebeat.com/2022/03/23/okta-and-the-lapsus-breach-5-big-questions/”