API 토큰이 있는 사용자

Okta 설명서(클래식 엔진/ID 엔진)에서는 API 토큰, 즉 "SSWS 토큰"을 Okta API 요청을 위해 특정 사용자가 생성한 인증 자격 증명이라고 정의합니다. 이러한 토큰으로 수행한 작업은 소유자를 대신한 것입니다. API 토큰은 암호로 취급하고 비밀번호처럼 보안을 유지해야 합니다. 이러한 토큰은 생성한 사용자의 권한을 상속합니다. 즉, 사용자의 권한이 변경되면 토큰의 권한도 그에 따라 변경됩니다. 슈퍼 관리자, 조직 관리자, 그룹 관리자, 그룹 멤버 자격 관리자 및 읽기 전용 관리자가 토큰을 생성할 수 있습니다.

사용자가 생성한 API 토큰은 대부분 정상이며 작업을 자동화하는 데 사용됩니다. 하지만 공격자는 이 방식을 악용해 관리자 대신 악성 토큰을 만들어 지속적인 액세스를 유지할 수 있습니다.

방법론 및 목표:

• 이 IoE는 Okta API용 API 토큰에만 집중합니다. 현재 위협 환경에 기반해 다른 토큰 유형은 악용될 가능성이 덜하기 때문입니다.
• 이러한 토큰은 여전히 유효하며 언제든 악용될 수 있기 때문에 이 IoE는 "유휴" 상태인 토큰을 보고합니다.

이 위험 노출 지표는 API 토큰이 정상인지 여부를 판별할 수 없습니다. 토큰의 소유자에게 문의하여 적법성을 수동으로 검토해야 합니다. 인식되지 않은 토큰은 공격자가 지속성 용도로 생성했을 수 있으므로 모두

철회합니다. 심각하게 의심되는 경우, 포렌식 분석을 실시하는 것이 좋습니다.

또한 불필요한 정상 API 토큰을 철회하여 공격 표면을 줄이고 악용 가능성을 완화하는 방안도 고려할 수 있습니다.

이름: API 토큰이 있는 사용자

코드명: USER-WITH-API-TOKEN

심각도: Low

유형: Okta Indicator of Exposure