Privilegierter Zugriff: StrategiePrivileged access: Strategy

Microsoft empfiehlt die Übernahme dieser privilegierten Zugriffs Strategie, um die Risiken Ihrer Organisation durch hohe Auswirkungen und Angriffe mit hoher Wahrscheinlichkeit auf den privilegierten Zugriff schnell zu verringern.Microsoft recommends adopting this privileged access strategy to rapidly lower the risks to your organization from high impact and high likelihood attacks on privileged access.

Privilegierter Zugriff sollte die höchste Sicherheits Priorität in jeder Organisation sein.Privileged access should be the top security priority at every organization. Jede Gefährdung dieser Benutzer hat eine hohe Wahrscheinlichkeit, dass Sie erhebliche negative Auswirkungen auf die Organisation hat.Any compromise of these users has a high likelihood of significant negative impact to the organization. Berechtigte Benutzer haben Zugriff auf unternehmenskritische Ressourcen in einer Organisation und verursachen fast immer wesentliche Auswirkungen, wenn Angreifer Ihre Konten kompromittieren.Privileged users have access to business critical assets in an organization, nearly always causing major impact when attackers compromise their accounts.

Diese Strategie basiert auf den Prinzipien der expliziten Validierung, der geringsten Rechte und der Annahme von Sicherheitsverletzungen.This strategy is built on Zero Trust principles of explicit validation, least privilege, and assumption of breach. Microsoft hat Implementierungsanleitungen bereitgestellt, die Ihnen helfen, Schutz basierend auf dieser Strategie schnell bereitzustellen.Microsoft has provided implementation guidance to help you rapidly deploy protections based on this strategy

Wichtig

Es gibt keine technische technische Lösung, mit der das Risiko für den privilegierten Zugriff in einer solchen Weise minimiert wird. Sie müssen mehrere Technologien in eine ganzheitliche Lösung einblenden, die gegen mehrere Angreifer-Einstiegspunkte schützt.There is no single "silver bullet" technical solution that will magically mitigate privileged access risk, you must blend multiple technologies together into a holistic solution that protects against multiple attacker entry points. Organisationen müssen die richtigen Tools für jeden Teil des Auftrags mitbringen.Organizations must bring the right tools for each part of the job.

Warum ist privilegierter Zugriff wichtig?Why is privileged access important?

Die Sicherheit des privilegierten Zugriffs ist äußerst wichtig, da Sie für alle anderen Sicherheits Zusicherungen von Bedeutung ist. ein Angreifer, der die Kontrolle über Ihre privilegierten Konten hat, kann alle anderen Sicherheits Zusicherungen untergraben.Security of privileged access is critically important because it is foundational to all other security assurances, an attacker in control of your privileged accounts can undermine all other security assurances. Aus Sicht des Risikos ist der Verlust des privilegierten Zugriffs ein Ereignis mit hoher Auswirkung, bei dem eine hohe Wahrscheinlichkeit aufgetreten ist, dass es zu einem alarmierenden Preis in den Branchen wächst.From a risk perspective, loss of privileged access is a high impact event with a high likelihood of happening that is growing at an alarming rate across industries.

Diese Angriffstechniken wurden anfänglich bei gezielten Angriffen zum Diebstahl von Daten verwendet, die zu vielen hohen Profil Verletzungen bei vertrauten Marken (und vielen nicht gemeldeten Vorfällen) geführt haben.These attack techniques were initially used in targeted data theft attacks that resulted in many high profile breaches at familliar brands (and many unreported incidents). Vor kurzem wurden diese Techniken von Ransomware-Angreifern übernommen, sodass ein Explosions artiges Wachstum von hochgradig rentablen Menschen mit Ransomware durchgeführt werden kann, die den Geschäftsbetrieb in der Branche absichtlich stören.More recently these techniques have been adopted by ransomware attackers, fueling an explosive growth of highly profitable human operated ransomware attacks that intentionally disrupt business operations across industry.

Wichtig

Die von Menschen betriebene Ransomware unterscheidet sich von den Angriffen der einzelnen Computer ransowmare auf eine einzelne Arbeitsstation oder ein Gerät.Human operated ransomware is different from commodity single computer ransowmare attacks that target a single workstation or device.

In dieser Grafik wird beschrieben, wie sich dieser Erpressungs basierte Angriff in Auswirkung und Wahrscheinlichkeit mit privilegiertem Zugriff vergrößert:This graphic describes how this extortion based attack is growing in impact and likelihood using privileged access:

Platzhalter

  • Hohe geschäftliche AuswirkungHigh business impact
    • Es ist schwierig, die potenziellen geschäftlichen Auswirkungen und Schäden bei einem Verlust des privilegierten Zugriffs zu überschreiten.It is difficult to overstate the potential business impact and damage of a loss to privileged access. Angreifer mit privilegiertem Zugriff verfügen effektiv über vollständige Kontrolle über alle Unternehmensressourcen und-Ressourcen, sodass Sie vertrauliche Daten offenlegen, alle Geschäftsprozesse abbrechen oder Geschäftsprozesse und Computer unterteilen können, um die Eigenschaft zu beschädigen, Personen zu beschädigen oder zu beschädigen.Attacker's with privileged access effectively have full control of all enterprise assets and resources, giving them the ability to disclose any confidential data, stop all business processes, or subvert business processes and machines to damage property, hurt people, or worse. In jeder Branche wurden massive geschäftliche Auswirkungen mit folgenden Aktionen erkannt:Massive business impact has been seen across every industry with:
      • Gezielter Datendiebstahl : Angreifer nutzen den privilegierten Zugriff für den Zugriff auf vertrauliche Eigentumsrechte und stehlen Sie für Ihre eigene Verwendung oder zum verkaufen/übertragen an Ihre Wettbewerber oder ausländischen Behörden.Targeted data theft - attackers use privileged access to access and steal sensitive intellectual property for their own use it or to sell/transfer to your competitors or foreign governments
      • Menschen betriebene Ransomware (HumOR) : Angreifer nutzen den privilegierten Zugriff, um alle Daten und Systeme im Unternehmen zu stehlen und/oder zu verschlüsseln. Dies hält häufig alle Geschäftsvorgänge an.Human-operated ransomware (HumOR) - attackers use privileged access to steal and/or encrypt all data and systems in the enterprise, often stopping all business operations. Die Zielorganisation wird dann durch die Kosten der Zielorganisation und/oder die Bereitstellung der Schlüssel zum Entsperren der Daten nicht offengelegt.They then extort the target organization by demanding money to not disclose the data and/or providing the keys to unlock it.
  • Hohe Wahrscheinlichkeit des AuftretensHigh likelihood of occurrence
    • Die Verbreitung privilegierter Zugriffs Angriffe hat sich seit der Einführung von modernen Angriffen zum Diebstahl von Anmelde Informationen, beginnend mit Pass-the-Hash-Techniken, vergrößert.The prevalence of privileged access attacks has grown since the advent of modern credential theft attacks starting with pass the hash techniques. Diese Techniken haben sich zunächst mit der Beliebtheit von kriminellen mit der 2008-Version des Angriffs Tools "Pass-the-Hash Toolkit" und einer Reihe zuverlässiger Angriffstechniken (größtenteils auf dem mimikatz Toolkit) entwickelt.These techniques first jumped in popularity with criminals starting with the 2008 release of the attack tool "Pass-the-Hash Toolkit" and have grown into a suite of reliable attack techniques (mostly based on the Mimikatz toolkit). Durch diese Bewaffnung und Automatisierung von Techniken konnten die Angriffe (und ihre nachfolgenden Auswirkungen) schnell ansteigen. Dies beschränkt sich lediglich auf das Sicherheitsrisiko der Zielorganisation auf die Angriffe und die Monetarisierung/Incentive-Modelle des Angreifers.This weaponization and automation of techniques allowed the attacks (and their subsequent impact) to grow at a rapid rate, limited only by the target organization's vulnerability to the attacks and the attacker's monetization/incentive models.
      • Vor der Einführung der Menschen betriebenen Ransomware (HumOR) waren diese Angriffe weit verbreitet, aber häufig aufgrund von folgenden:Prior to the advent of human-operated ransomware (HumOR), these attacks were prevalent but often unseen or misunderstood because of:
        • Einschränkungen bei der Angreifer-Monetarisierung : nur Gruppen und Einzelpersonen, die sich mit der Monetarisierung des sensiblen geistigen Eigentums aus den Ziel Organisationen auskannten, können diese Angriffe nutzen.Attacker monetization limits - Only groups and individuals who knew how to monetize sensitive intellectual property from target organizations could profit from these attacks.
        • Nacht eilig : Organisationen haben diese Angriffe oft übersehen, weil Sie nicht über Erkennungs Tools verfügten und auch eine harte Zeit zum erkennen und schätzen der resultierenden geschäftlichen Auswirkungen hatten (z. b., wie Ihre Wettbewerber ihr gestohlenes geistiges Eigentum nutzten und wie sich diese auf die Preise und Märkte ausgewirkt hat, manchmal Jahre später).Silent impact - Organizations often missed these attacks because they didn't have detection tools, and also had a hard time seeing and estimating the resulting business impact (for example, how their competitors were using their stolen intellectual property and how that affected prices and markets, sometimes years later). Unternehmen, die die Angriffe gesehen haben, haben sich darüber hinaus häufig damit verbracht, ihre Reputation zu schützen.Additionally, organizations who saw the attacks often stayed silent about them to protect their reputations.
      • Die Einschränkungen für die automatische Auswirkung und die Angreifer-Monetarisierung dieser Angriffe werden mit der Einführung von Menschen betrieben, die sich in Bezug auf Volumen, Auswirkung und Bewusstsein befinden.Both the silent impact and attacker monetization limitations on these attacks are disintegrating with the advent of human operated ransomware, which is growing in volume, impact, and awareness because it is both:
        • Laute und Störungs freie Geschäftsprozesse zur Zahlung von Erpressungs Anforderungen.Loud and disruptive - to business processes to payment of extortion demands.
        • Universell anwendbar : jede Organisation in jeder Branche ist finanziell motiviert, den Betrieb ununterbrochen fortzusetzen.Universally applicable - Every organization in every industry is financially motivated to continue operations uninterrupted.

Aus diesen Gründen sollte privilegierter Zugriff die höchste Sicherheits Priorität in jeder Organisation sein.For these reasons, privileged access should be the top security priority at every organization.

Aufbauen Ihrer Strategie für den privilegierten ZugriffBuilding your privileged access strategy

Die Strategie für den privilegierten Zugriff ist eine Journey, die aus schnellen und inkrementellen Fortschritten bestehen muss.Privileged access strategy is a journey that must be composed of quick wins and incremental progress. Jeder Schritt in der Strategie für den privilegierten Zugriff muss Ihnen das "Versiegeln" von permanenten und flexiblen Angreifern von privilegiertem Zugriff, die wie Wasser versuchen, in Ihrer Umgebung durch eine beliebige verfügbare Schwachstelle zu bringen, näher bringen.Each step in your privileged access strategy must take you closer to "seal" out persistent and flexible attackers from privileged access, who are like water trying to seep into your environment through any available weakness.

Diese Anleitung ist für alle Unternehmensorganisationen konzipiert, unabhängig davon, wo Sie sich bereits in der Reise befinden.This guidance is designed for all enterprise organizations regardless of where you already are in the journey.

Ganzheitliche praktische StrategieHolistic practical strategy

Um das Risiko des privilegierten Zugriffs zu reduzieren, ist eine durchdachte, ganzheitliche und priorisierte Kombination von Risiko Minderungen erforderlich, die mehrere Technologien umfassen.Reducing risk from privileged access requires a thoughtful, holistic, and prioritized combination of risk mitigations spanning multiple technologies.

Um diese Strategie zu erstellen, ist es erforderlich, dass Angreifer der Wasser Form ähneln, da Sie über zahlreiche Optionen verfügen, die Sie ausnutzen können (von denen einige möglicherweise unbedeutend erscheinen). Angreifer sind flexibel, in welchen Sie verwendet werden, und Sie nehmen im Allgemeinen den Weg des geringsten Widerstands, um Ihre Ziele zu erreichenBuilding this strategy requires recognition that attackers are like water as they have numerous options they can exploit (some of which can appear insignificant at first), attackers are flexible in which ones they use, and they generally take the path of least resistance to achieving their objectives.

Angreifer sind wie Wasser und können zuerst unbedeutend erscheinen, aber die über-/uhrzeitüberflutung.

Die Pfade, die Angreifer in der Praxis priorisieren, sind eine Kombination aus:The paths attackers prioritize in actual practice are a combination of:

  • Bewährte Verfahren (häufig in Angriffs Tools automatisiert)Established techniques (often automated into attack tools)
  • Neue Techniken, die einfacher ausgenutzt werden könnenNew techniques that are easier to exploit

Aufgrund der Vielfalt der beteiligten Technologie erfordert diese Strategie eine vollständige Strategie, die mehrere Technologien kombiniert und den Prinzipien von NULL-VertrauensStellungen folgt.Because of the diversity of technology involved, this strategy requires a complete strategy that combines multiple technologies and follows Zero Trust principles.

Wichtig

Sie müssen eine Strategie anwenden, die mehrere Technologien umfasst, um gegen diese Angriffe zu schützen.You must adopt a strategy that includes multiple technologies to defend against these attacks. Die einfache Implementierung einer Lösung zur Identitätsverwaltung/privilegierten Zugriffs Verwaltung (PIM/PAM) ist nicht ausreichend.Simply implementing a prvileged identity management / privileged access management (PIM/PAM) solution is not sufficient. Weitere Informationen finden Sie unter " privilegierte Zugriffs Vermittler".For more information see, Privileged access Intermediaries.

  • Die Angreifer sind zielorientiert und Technologie unabhängig und verwenden alle Arten von Angriffen, die funktionieren.The attackers are goal-oriented and technology agnostic, using any type of attack that works.
  • Der Zugriffs Steuerungs Backbone, den Sie verteidigen, ist in die meisten oder alle Systeme in der Unternehmensumgebung integriert.The access control backbone you are defending is integrated into most or all systems in the enterprise environment.

Wenn Sie davon ausgehen, dass Sie diese Bedrohungen mit nur Netzwerk Steuerelementen oder einer Lösung mit einem privilegierten Zugriff erkennen oder verhindern können, bleiben Sie für viele andere Arten von Angriffen anfällig.Expecting you can detect or prevent these threats with just network controls or a single privileged access solution will leave you vulnerable to many other types of attacks.

Strategische Annahme: die Cloud ist eine SicherheitsquelleStrategic assumption - Cloud is a source of security

Bei dieser Strategie werden Clouddienste aus verschiedenen Gründen als primäre Quelle für Sicherheits-und Verwaltungsfunktionen anstelle von lokalen Isolations Techniken verwendet:This strategy uses cloud services as the primary source of security and management capabilities rather than on-premises isolation techniques for several reasons:

  • Cloud bietet bessere Funktionen . die leistungsstärksten Sicherheits-und Verwaltungsfunktionen, die heute verfügbar sind, stammen aus Clouddiensten, einschließlich ausgereifte Tools, Native Integration und umfangreicher Sicherheitsfunktionen, wie z. b. die Sicherheitssignale von Microsoft, die von Microsoft für unsere Sicherheitstools verwendet werden.Cloud has better capabilities - The most powerful security and management capabilities available today come from cloud services, including sophisticated tooling, native integration, and massive amounts of security intelligence like the 8+ trillion security signals a day Microsoft uses for our security tools.
  • Die Cloud ist einfacher und schneller . die Einführung von Clouddiensten erfordert nur wenig oder gar keine Infrastruktur für die Implementierung und Skalierung, sodass Ihre Teams sich auf Ihre Sicherheitsziele konzentrieren können und nicht auf die Technologieintegration.Cloud is easier and faster - Adopting cloud services requires little to no infrastructure for implementing and scaling up, enabling your teams to focus on their security mission rather than technology integration.
  • Cloud erfordert weniger Wartungsaufwand , da die Cloud auch von Hersteller Organisationen verwaltet, verwaltet und gesichert wird, die für diesen Zweck für Tausende von Kundenorganisationen vorgesehen sind, und so die Zeit und den Aufwand für das Team zur strengen Aufrechterhaltung der Funktionen verkürzen.Cloud requires less maintenance - The cloud is also managed, maintained, and secured consistently by vendor organizations with teams dedicated to that single purpose for thousands of customer organizations, reducing the time and effort for your team to rigorously maintain capabilities.
  • Cloud-Verb esse rungen: Features und Funktionen in Clouddiensten werden ständig aktualisiert, ohne dass Ihre Organisation fortlaufend investieren muss.Cloud keeps improving - Features and functionality in cloud services are constantly being updated without a need for your organization to invest ongoing.

Die empfohlene Strategie von Microsoft ist das inkrementelle Erstellen eines "Closed"-Schleifen Systems für privilegierten Zugriff, das sicherstellt, dass nur vertrauenswürdige " saubere" Geräte, Konten und Vermittler Systeme für privilegierten Zugriff auf Unternehmens sensible Systeme verwendet werden können.Microsoft's recommended strategy is to incrementally build a 'closed loop' system for privileged access that ensures only trustworthy 'clean' devices, accounts, and intermediary systems can be used for privileged access to business sensitive systems.

Ähnlich wie beim Wasserschutz etwas, das sich in einer realen Lebensdauer wie ein Boots Objekt befindet, müssen Sie diese Strategie mit einem absichtlichen Ergebnis entwerfen, Standards sorgfältig einrichten und befolgen und die Ergebnisse kontinuierlich überwachen und überwachen, um etwaige Verluste zu beheben.Much like waterproofing something complex in real life like a boat, you need to design this strategy with an intentional outcome, establish and follow standards carefully, and continually monitor and audit the outcomes so that you remediate any leaks. Sie würden nicht nur einen Nagel in eine Boots Form bilden, sondern auch ein wasserdichtes bootboard erwarten.You wouldn't just nail boards together in a boat shape and magically expect a waterproof boat. Konzentrieren Sie sich zunächst auf das entwickeln und die wasserdichte bedeutender Elemente, wie z. b. die Hülle und wichtige Komponenten wie die Engine und den Steuerungsmechanismus (während Sie den Benutzern die Möglichkeit bieten, sich zu bewegen), und dann auf die Wasserschutz Elemente wie z. b. Radio, Plätze usw.You would focus first on building and waterproofing significant items like the hull and critical components like the engine and steering mechanism (while leaving ways for people to get in), then later waterproofing comfort items like radios, seats, and the like. Sie würden Sie auch im Laufe der Zeit aufbewahren, da auch das perfekte System zu einem späteren Zeitpunkt zu einem Verlust führen könnte. Sie müssen also mit vorbeugenden Wartungsarbeiten arbeiten, auf Verluste überwachen und diese beheben, damit Sie nicht mehr sinkt.You would also maintain it over time as even the most perfect system could spring a leak later, so you need to keep up with preventive maintenance, monitor for leaks, and fix them to keep it from sinking.

Das Sichern des privilegierten Zugriffs hat zwei einfache Ziele.Securing Privileged Access has two simple goals

  1. Beschränken Sie streng die Möglichkeit, privilegierte Aktionen auf einige autorisierte Wege auszuführen.Strictly limit the ability to perform privileged actions to a few authorized pathways
  2. Diese Wege schützen und genau überwachenProtect and closely monitor those pathways

Es gibt zwei Arten von Pfaden für den Zugriff auf die Systeme, den Benutzer Zugriff (zur Verwendung der Funktion) und den privilegierten Zugriff (um die Funktion zu verwalten oder auf eine sensible Funktion zuzugreifen).There are two types of pathways to accessing the systems, user access (to use the capability) and privileged access (to manage the capability or access a sensitive capability)

Zwei Wege zu Systembenutzern und privilegiertem Zugriff

  • Benutzer Zugriff: Der hellere blaue Pfad unten im Diagramm stellt ein Standardbenutzer Konto dar, das allgemeine Produktivitäts Aufgaben ausführt, z. b. e-Mail, Zusammenarbeit, Webbrowser und Verwendung von Branchen Anwendungen oder Websites.User Access - the lighter blue path on the bottom of the diagram depicts a standard user account performing general productivity tasks like email, collaboration, web browsing, and use of line-of-business applications or websites. Dieser Pfad enthält ein Konto, das sich auf einem Gerät oder Arbeitsstationen anmeldet, das manchmal einen Vermittler wie eine Remote Zugriffs Lösung übergibt und mit Unternehmenssystemen interagiert.This path includes an account logging on to a device or workstations, sometimes passing through an intermediary like a remote access solution, and interacting with enterprise systems.
  • Privilegierter Zugriff: der dunklere blaue Pfad am oberen Rand des Diagramms zeigt den privilegierten Zugriff, bei dem privilegierte Konten wie IT-Administratoren oder andere sensible Konten auf geschäftskritische Systeme und Daten zugreifen oder Verwaltungsaufgaben für Unternehmenssysteme ausführen.Privileged Access - the darker blue path on the top of the diagram depicts privileged access, where privileged accounts like IT Administrators or other sensitive accounts access business critical systems and data or perform administrative tasks on enterprise systems. Obwohl die technischen Komponenten möglicherweise ähnlich sind, ist der Schaden, den ein Angreifer mit privilegiertem Zugriff verursachen kann, weitaus höher.While the technical components may be similar in nature, the damage an adversary can inflict with privileged access is much higher.

Das voll Zugriffs Verwaltungssystem umfasst auch Identitätssysteme und autorisierte Pfade für die Rechte Erweiterung.The full access management system also includes identity systems and authorized elevation paths.

Zwei Wege Plus Identitätssysteme und Erweiterungs Pfade

  • Identitätssysteme: Stellen Sie Identitäts Verzeichnisse bereit, in denen die Konten und administrativen Gruppen, Synchronisierungs-und Verbund Funktionen sowie andere Identitäts Unterstützungsfunktionen für Standard-und privilegierte Benutzer gehostet werden.Identity Systems - provide identity directories that host the accounts and administrative groups, synchronization and federation capabilities, and other identity support functions for standard and privileged users.
  • Autorisierte Pfade für die Rechte Erweiterung: Stellen Sie sicher, dass Standardbenutzer mit privilegierten Workflows interagieren, z. b. Vorgesetzten oder Peers, die Anforderungen für Administratorrechte für ein sensibles System über einen Just-in-time (JIT)-Prozess in einem privileged Access Management/privilegierten Identitäts Verwaltungssystem genehmigen.Authorized Elevation Paths - provide means for standard users to interact with privileged workflows, such as managers or peers approving requests for administrative rights to a sensitive system through a just in time (JIT) process in a Privileged Access Management / Privileged Identity management system.

Diese Komponenten bilden zusammen die Angriffsfläche für den privilegierten Zugriff, die ein Angreifer als Ziel haben kann, um den Zugriff auf Ihr Unternehmen zu erhöhen:These components collectively comprise the privileged access attack surface that an adversary may target to attempt gaining elevated access to your enterprise:

Angriffsfläche nicht geschützt

Hinweis

Für lokale IaaS-Systeme (Infrastructure as a Service), die auf einem vom Kunden verwalteten Betriebssystem gehostet werden, erhöht sich die Angriffsfläche mit Verwaltungs-und Sicherheits-Agents, Dienst Konten und potenziellen Konfigurationsproblemen erheblich.For on-premises and infrastructure as a service (IaaS) systems hosted on a customer managed operating system, the attack surface dramatically increases with management and security agents, service accounts, and potential configuration issues.

Zum Erstellen einer nachhaltigen und verwaltbaren privilegierten Zugriffs Strategie müssen alle nicht autorisierten Vektoren geschlossen werden, um das virtuelle Äquivalent einer Steuerelement Konsole zu erstellen, die physisch an ein sicheres System angeschlossen ist, das die einzige Möglichkeit darstellt, darauf zuzugreifen.Creating a sustainable and manageable privileged access strategy requires closing off all unauthorized vectors to create the virtual equivalent of a control console physically attached to a secure system that represents the only way to access it.

Diese Strategie erfordert eine Kombination aus:This strategy requires a combination of:

  • Keine vertrauenswürdige Zugriffs Steuerung , die in dieser Anleitung beschrieben wird, einschließlich des schnellmodernisierungs Plans (Ramp)Zero Trust access control described throughout this guidance, including the rapid modernization plan (RAMP)
  • Asset Protection zum Schutz vor direkten Ressourcen Angriffen durch Anwenden von bewährten Sicherheitsverfahren auf diese Systeme.Asset protection to protect against direct asset attacks by applying good security hygiene practices to these systems. Der Asset Protection für Ressourcen (über Zugriffs Steuerungskomponenten hinaus) ist nicht im Rahmen dieses Leitfadens enthalten, sondern umfasst in der Regel eine schnelle Anwendung von Sicherheitsupdates/-Patches, die Konfiguration von Betriebssystemen mithilfe von Hersteller-/branchsicherheitsbaselines, den Schutz von ruhenden Daten und die Übertragung sowie die Integration von bewährten Sicherheitsmethoden in Entwicklungs-/devAsset protection for resources (beyond access control components) is out of scope of this guidance, but typically includes rapid application of security updates/patches, configuring operating systems using manufacturer/industry security baselines, protecting data at rest and in transit, and integrating security best practices to development / DevOps processes.

Verringern der Angriffsfläche

Strategische Initiativen in der JourneyStrategic initiatives in the journey

Zum Implementieren dieser Strategie sind vier ergänzende Initiativen erforderlich, die jeweils klare Ergebnisse und Erfolgskriterien aufweisen.Implementing this strategy requires four complementary initiatives that each have clear outcomes and success criteria

  1. End-to-End-Sitzungs Sicherheit: Einrichten der expliziten Überprüfung von Null-Überprüfungen für privilegierte Sitzungen, Benutzersitzungen und autorisierte Pfade zur Rechte Erweiterung.End-to-end Session Security - Establish explicit Zero Trust validation for privileged sessions, user sessions, and authorized elevation paths.
    1. Erfolgskriterien: jede Sitzung überprüft, ob alle Benutzerkonten und Geräte auf einer ausreichenden Ebene vertrauenswürdig sind, bevor der Zugriff gewährt wird.Success Criteria: Each session will validate that each user accounts and device are trusted at a sufficient level before allowing access.
  2. Schützen Sie & Identitätssysteme wie Verzeichnisse, Identitätsverwaltung, Administrator Konten, Zustimmungs Gewährung und mehr.Protect & Monitor Identity Systems including Directories, Identity Management, Admin Accounts, Consent grants, and more
    1. Erfolgskriterien: jedes dieser Systeme wird auf einer Ebene geschützt, die für die potenziellen geschäftlichen Auswirkungen der darin gehosteten Konten geeignet ist.Success Criteria: Each of these systems will be protected at a level appropriate for the potential business impact of accounts hosted in it.
  3. Verringern der lateral Traversale zum Schutz vor lateral Traversale mit lokalen Konto Kennwörtern, Dienst Konto Kennwörtern oder anderen GeheimnissenMitigate Lateral Traversal to protect against lateral traversal with local account passwords, service account passwords, or other secrets
    1. Erfolgskriterien: das kompromittieren eines einzelnen Geräts führt nicht sofort dazu, dass viele oder alle anderen Geräte in der Umgebung gesteuert werden.Success Criteria: Compromising a single device will not immediately lead to control of many or all other devices in the environment
  4. Schnelle Bedrohungs Reaktion, um den Zugriff und die Zeit des Angreifers in der Umgebung einzuschränkenRapid Threat Response to limit adversary access and time in the environment
    1. Erfolgskriterien: Prozesse mit Reaktion auf Vorfälle verhindern, dass Angreifer einen mehrstufigen Angriff in der Umgebung durchführen, der zu einem Verlust des privilegierten Zugriffs führen würde.Success Criteria: Incident response processes impede adversaries from reliably conducting a multi-stage attack in the environment that would result in loss of privileged access. (gemessen durch die Reduzierung der durchschnittlichen Zeit für die Wiederherstellung (MTTR) von Vorfällen, die privilegierten Zugriff auf nahezu null haben, und das Reduzieren von MTTR aller Vorfälle auf einige Minuten, damit Angreifer nicht über Zeit verfügen, privilegierten Zugriff zu erreichen.(as measured by reducing the mean time to remediate (MTTR) of incidents involving privileged access to near zero and reducing MTTR of all incidents to a few minutes so adversaries don't have time to target privileged access)

Nächste SchritteNext steps