Benutzer mit API-Token

In der Okta-Dokumentation (klassische Engine/Identitäts-Engine) werden API-Token oder „SSWS-Token“ als Authentifizierungsnachweise für Okta-API-Anforderungen definiert, die von bestimmten Benutzern erstellt werden. Aktionen, die mit diesen Token ausgeführt werden, erfolgen im Namen ihres Besitzers. Behandeln Sie API-Token als Geheimnisse und schützen Sie sie wie Passwörter. Diese Token erben die Berechtigungen ihres Erstellers. Wenn sich die Berechtigungen des Benutzers ändern, ändern sich die Berechtigungen des Tokens entsprechend. Superadministratoren, Organisationsadministratoren, Gruppenadministratoren, Administratoren für Gruppenmitgliedschaften und Administratoren mit reinen Leseberechtigungen können Token erstellen.

Die meisten von Benutzern erstellten API-Token sind legitim und werden zur Automatisierung von Aktionen verwendet. Angreifer können dies jedoch missbrauchen, indem sie im Namen eines Administrators bösartige Token erstellen, um dauerhaften Zugriff aufrechtzuerhalten.

Methodik und Ziel:

• Dieser IoE konzentriert sich ausschließlich auf API-Token für die Okta-API, da die Wahrscheinlichkeit, dass andere Token-Typen missbraucht werden, aufgrund der aktuellen Bedrohungslandschaft geringer ist.
• Dieser IoE meldet Token mit dem Status „Inaktiv“, da sie noch gültig sind und jederzeit missbraucht werden können.

Dieser Indicator of Exposure kann nicht bestimmen, ob ein API-Token legitim ist. Sie müssen Token manuell überprüfen, indem Sie ihre Besitzer kontaktieren, um ihre Legitimität zu verifizieren.

Widerrufen Sie alle unbekannten Token, da ein Angreifer sie möglicherweise zu Persistenzzwecken erstellt hat. Wenn Sie ernsthafte Zweifel haben, sollten Sie eine forensische Analyse in Erwägung ziehen.

Sie können auch in Erwägung ziehen, unnötige legitime API-Tokens zu widerrufen, um die Angriffsfläche und das Missbrauchspotenzial zu verringern.

Name: Benutzer mit API-Token

Codename: USER-WITH-API-TOKEN

Schweregrad: Low

Typ: Okta Indicator of Exposure