Onlangs was mede-oprichter en CEO van Okta, Todd McKinnon, in Nederland om met klanten en partners te spreken. In gesprek met Techzine duidt hij de rol die zijn bedrijf inmiddels vervult in de techwereld. “Elke vendor wil de centrale hub zijn van een IT-omgeving.”
Bij een hack zullen velen denken aan het exploiteren van een software-kwetsbaarheid. Echter tonen recente cyberincidenten bij de Snowflake-accounts van Ticketmaster, Santander en Advance Auto Parts dat hackers veelal kunnen inloggen zonder hoeven in te breken. De oorzaak: het uitblijven van tweestapsverificatie (2FA), een misconfiguratie waarbij de IT-vendor geen blaam treft.
Verantwoordelijkheid dragen
Die mindset kan Okta zich niet permitteren. Het bedrijf draagt als identityspecialist de verantwoordelijkheid voor authenticatie bij allerlei IT-diensten, of die zich nu in de cloud of on-prem bevinden. McKinnon, aan het roer bij het bedrijf sinds de oprichting in 2009, herinnert zich een incident waarbij een klant per ongeluk cruciale Okta-configuraties verwijderde. Het incident, dat jaren geleden plaatsvond toen Okta nog een stuk kleiner was, leidde tot onenigheid binnen de identityspeler. “Iemand binnen het team zei destijds ‘dat hadden ze niet moeten doen’. En ik sprak dat tegen, want dat is de verkeerde manier om daar naar te kijken. Het product zou het niet zomaar moeten toestaan om zoiets te doen. Het is nooit de schuld van de klant.”
Het bleek een belangrijke les voor Okta: al langer bestaat er een intern raamwerk dat ‘verkeersdrempels’ voorschrijft bij gevoelige acties. “Hetzelfde zie je grofweg ook gebeuren bij security. Het moet niet mogelijk zijn om iets aan te zetten dat een aanvaller toestaat om zich van domein te verplaatsen.”
Toch vereist dit een cultuuromslag bij organisaties. McKinnon geeft toe dat het nooit alleen om de technologie gaat als je je bedrijf wilt beschermen. “Technologie is nodig, maar niet voldoende.” Zo is transparantie nodig bij vendoren en binnen een organisatie om de schade rondom een compromis zo klein mogelijk te houden. Als er ergens in de supply chain een ongepatchte kwetsbaarheid rondwemelt, raakt dat iedereen. Het enige dat Okta daaraan kan doen, is zelf transparant zijn.
Tip: Okta-hack laat zien hoe kwetsbaar digitale authenticatie is
Interne pilaren
McKinnon haalt aan dat klanten ook willen leren van wat Okta zelf intern doet aan de eigen veiligheid. Het bedrijf omschrijft zichzelf als kritieke infrastructuur, iets dat het feitelijk ook is wanneer identity de kern is van de securitystrategie.
Hij benoemt Okta’s inzet op de lange termijn tegen identity-gebaseerde aanvallen, ook wel de Okta Secure Identity Commitment. Dat omvat vier pilaren. Allereerst het ‘hardenen’ van de eigen IT-infrastructuur, waarbij het dezelfde ‘cyber-threat profiles‘ intern hanteert als bij klanten. Daarnaast moet Okta een bijzonder veilig product zijn, aangezien aanvallers kunnen aannemen dat het aanwezig is binnen de cloudinfrastructuur van een organisatie. McKinnon ziet zijn bedrijf daarom als het nieuwe Azure Active Directory (nu Entra ID). Ten derde draait de Okta-inzet om het helder communiceren met klanten over best practices. Ten slotte hamert Okta op de standaardisering van de industrie, onder meer op het delen van data vanuit verschillende software. Daar komen we later op terug.
Constante trommelslag
Okta blokkeert twee miljard aanvallen per maand. Hoe consistent is die cyberlawine? Neemt het toe op bepaalde momenten? We leven immers in een verkiezingsjaar op onder andere Europees, Brits, Frans en Amerikaans niveau. Merkt men bij Okta iets van een verhoogde activiteit, wellicht vanuit Rusland? Niet echt, stelt McKinnon. “Er is natuurlijk een toename in misinformatie vlak voor verkiezingen. Maar dat moeten we niet verwarren met een opwaartse golf aan cybercrime. Dat is een constante trommelslag. We voeren al geruime tijd een cyberoorlog.”
Die vindt veelal plaats in cloudomgevingen. Okta heeft de opmars van de cloud bijna volledig meegemaakt, maar McKinnon zag de aanloop ervan al in zijn tijd bij Salesforce (2003-2009). McKinnon had al vroeg in de smiezen dat er niet alleen apps, maar ook samenwerking, communicatie, infrastructuur en meer zouden plaatsvinden in de cloud. Hij constateert dat de cloud inmiddels is waar mensen aan denken als je “IT” zegt. Daar vindt de innovatie plaats, het creëren van business value, de ontwikkeling van AI-toepassingen, et cetera. Okta past als SaaS-vendor goed bij die gedachtegang. En omdat de waarde zich veelal in de cloud bevindt, belanden veel klanten volgens McKinnon bij Okta omdat ze het nodig hebben voor hun security. Dat is niet zonder reden: “Acht van de tien datalekken heeft te maken met gestolen credentials.”
McKinnon werkt nauw samen met een aantal grote klanten. Eén daarvan is het Japanse conglomeraat NTT, waarbij Okta “het brein van hun security-infrastructuur” is. Een van de belangrijkste taken van Okta is dan ook dat het andere software samenbrengt. Heterogeniteit is wel belangrijk, want een gelaagde verdediging met meerdere vendoren kan voorkomen dat één exploitatie genoeg is om schade aan te richten.
Wie is de spil?
De stap naar algemene IT-security is vanuit identity snel gemaakt. Echter is Okta vanzelfsprekend één applicatie, één laag van de gehele stack. Het werkt daarom uitvoerig samen met andere partijen als Zscaler, CrowdStrike en Trellix. Via de zogeheten Shared Signals Pipeline wisselt Okta data uit tussen applicaties, zodat bijvoorbeeld de threat intelligence van CrowdStrike een waarschuwing kan afgeven die in Okta tot een blokkade leidt voor een verdacht account.
Ook al is er enthousiasme bij IT-vendoren om data uit te wisselen, sommige partijen willen eigenlijk alles in de stack controleren. Als iedereen roept dat het een eigen single pane of glass heeft, is iedereen de beoogde spil van de IT-infrastructuur, iets dat vanzelfsprekend niet kan. McKinnon denkt dat er ruimte is voor meerdere controlepunten, maar hij stelt hierbij dat elk bedrijf dat een signaal ontvangt, er ook één moet teruggeven. Software van Palo Alto Networks en Zscaler moet evengoed een ‘slimme node’ zijn met data van Okta.
Gezamenlijke coördinatie is een goed iets, maar dat moet behapbaar zijn. We stippen aan dat er inmiddels meer dan 3.600 securitypartijen bestaan. Druist deze veelvuldigheid niet in tegen de boodschap van unificatie waar IT-security momenteel prat op gaat? McKinnon ziet dat anders. “Als we de middleware op orde hebben, of de integratielaag, dan helpt innovatie ons om [de IT-sector] te beschermen tegen continu evoluerende aanvallers en aanvallen.”
Lees ook: Okta voegt identity samen tot één platform: wat is daar het voordeel van?