擁有 API 權杖的使用者

LOW

說明

根據 Okta 說明文件 (經典引擎/身分引擎) 之定義,API 權杖 (亦稱「SSWS 權杖」) 是由特定使用者建立的 Okta API 請求驗證憑證。使用這些權杖執行的動作,均代表其所有者。請將 API 權杖視為機密資訊,並像密碼一樣妥善保護。這些權杖會繼承其建立者的權限;如果使用者的權限有所變更,權杖的權限也會隨之變更。超級管理員、組織管理員、群組管理員、群組成員資格管理員和唯讀管理員能夠建立權杖。

大部分由使用者建立的 API 權杖都是正當的,並用於自動執行動作。然而,攻擊者可能冒用管理員身分建立惡意權杖,藉此濫用此原則,維持長期存取權。

方法和目標:

  • 本曝險指標 (IoE) 僅著重於 Okta API 的 API 權杖,因為根據目前的威脅版圖,其他類型權杖遭到濫用的風險相對較低。
  • 本曝險指標 (IoE) 會回報狀態為「閒置」的權杖,因為這些權杖仍為有效狀態,且隨時可能遭到濫用。

解決方案

此曝險指標無法判斷 API 權杖是否正當。您必須聯絡權杖所有者,以手動審查該權杖並驗證其合法性。請

撤銷任何無法識別的權杖,因為攻擊者建立該權杖可能是為了進行潛伏。若有重大疑慮,請考慮執行鑑識分析。

您也可以考慮撤銷不必要的正當 API 權杖,以減少攻擊破綻和濫用可能性。

指標詳細資料

名稱: 擁有 API 權杖的使用者

代碼名稱: USER-WITH-API-TOKEN

嚴重性: Low

類型: Okta Indicator of Exposure

MITRE ATT&CK 資訊: