Okta предупреждает о "беспрецедентных" атаках на клиентов с целью вброса учетных данных

Компания Okta предупреждает о "беспрецедентном" росте числа атак с использованием набивки учетных данных, направленных на ее решения по управлению идентификацией и доступом, причем некоторые учетные записи клиентов были взломаны.

Угрожающие субъекты используют набивку учетных данных для компрометации учетных записей пользователей путем автоматического опробования списков имен пользователей и паролей, обычно приобретаемых у киберпреступников.

В своем сегодняшнем сообщении компания Okta заявила, что атаки, похоже, исходят из той же инфраструктуры, которая использовалась в атаках с перебором и распылением паролей, о которых ранее сообщала Cisco Talos [1, 2].

Во всех атаках, которые наблюдала Okta, запросы проходили через сеть анонимизации TOR и различные прокси-серверы (например, NSOCKS, Luminati и DataImpulse).

Последствия и рекомендации
Okta утверждает, что наблюдаемые атаки были особенно успешны против организаций, работающих на Okta Classic Engine с ThreatInsight, настроенным в режиме только аудита, а не в режиме регистрации и принудительного исполнения.

Аналогично, организации, которые не запрещают доступ с анонимизирующих прокси, также наблюдали более высокий процент успешных атак. По словам Okta, атаки были успешными для небольшого процента клиентов.

Компания предлагает набор действий, которые могут блокировать эти атаки на границе сети:

• включить ThreatInsight в режиме регистрации и принудительного исполнения, чтобы блокировать IP-адреса, известные своей причастностью к набиванию учетных данных, еще до того, как они попытаются пройти аутентификацию.
• запретить доступ с анонимизирующих прокси-серверов, чтобы заблаговременно блокировать запросы, проходящие через сомнительные анонимизирующие службы.

• переход на Okta Identity Engine, который предлагает более надежные функции безопасности, включая CAPTCHA-запросы для рискованных входов и варианты аутентификации без пароля, такие как Okta FastPass.
• Внедрение Dynamic Zones позволяет организациям специально блокировать или разрешать определенные IP-адреса и управлять доступом на основе геолокации и других критериев.

Okta также приводит в своем совете список более общих рекомендаций, которые могут помочь снизить риск захвата учетной записи. Среди них - беспарольная аутентификация, применение многофакторной аутентификации, использование надежных паролей, отказ в запросах за пределами местоположения компании, блокировка IP-адресов с дурной репутацией, мониторинг и реагирование на аномальные входы в систему.

BleepingComputer связался с компанией Okta, чтобы узнать, каков этот процент и как это отразилось на клиентах.