Geprivilegieerde toegang: Accounts

  • Artikel
  • 5 minuten om te lezen

Accountbeveiliging is een essentieel onderdeel van het beveiligen van geprivilegieerde toegang. End to end Zero Trust security for sessions requires strongly establish that the account being used in the session is actually under the control of the human owner and not an attacker impersonating them.

Sterke accountbeveiliging begint met veilige inrichting en volledig levenscyclusbeheer tot en met onteigening, en elke sessie moet sterke garanties bieden dat het account momenteel niet wordt gecompromitteerd op basis van alle beschikbare gegevens, waaronder historische gedragspatronen, beschikbare bedreigingsinformatie en gebruik in de huidige sessie.

Accountbeveiliging

In deze richtlijn worden drie beveiligingsniveaus voor accountbeveiliging definieert die u kunt gebruiken voor activa met verschillende gevoeligheidsniveaus:

Accounts van einde tot einde beveiligen

Met deze niveaus worden duidelijke en implementeerbare beveiligingsprofielen gemaakt die geschikt zijn voor elk gevoeligheidsniveau waar u rollen aan kunt toewijzen en snel kunt opschalen. Al deze accountbeveiligingsniveaus zijn ontworpen om de productiviteit voor personen te behouden of te verbeteren door onderbreking van gebruikers- en beheerderswerkstromen te beperken of te voorkomen.

Accountbeveiliging plannen

In deze richtlijn worden de technische besturingselementen beschreven die nodig zijn om aan elk niveau te voldoen. Implementatie-richtlijnen staan in de roadmap voor geprivilegieerde toegang.

Besturingselementen voor accountbeveiliging

Voor het verkrijgen van beveiliging voor de interfaces is een combinatie van technische besturingselementen vereist die zowel de accounts beveiligen als signalen geven die moeten worden gebruikt in een zero trust-beleidsbeslissing (zie Interfaces beveiligen voor beleidsconfiguratieverwijzing).

De besturingselementen die in deze profielen worden gebruikt, zijn:

  • Meervoudige verificatie- die diverse bronnen van bewijs levert dat de (ontworpen om zo eenvoudig mogelijk te zijn voor gebruikers, maar moeilijk na te bootsen voor een tegenstrever).
  • Accountrisico - Bedreigings- en afwijkingscontrole - met behulp van UEBA en Threat Intelligence om risicovolle scenario's te identificeren
  • Aangepaste monitoring: voor gevoeligere accounts kunt u door het expliciet definiëren van toegestaan/geaccepteerd gedrag/patronen vroegtijdige detectie van afwijkende activiteiten mogelijk maken. Dit besturingselement is niet geschikt voor algemene accounts in ondernemingen, omdat deze accounts flexibiliteit nodig hebben voor hun rollen.

De combinatie van besturingselementen stelt u ook in staat om zowel de beveiliging als de bruikbaarheid te verbeteren, bijvoorbeeld een gebruiker die binnen het normale patroon blijft (dag na dag hetzelfde apparaat op dezelfde locatie gebruiken) hoeft niet telkens weer om externe MFA te worden gevraagd wanneer ze zich verifiëren.

Elke accountlaag en kostenvoordeel vergelijken

Beveiligingsaccounts voor ondernemingen

De beveiligingsbesturingselementen voor ondernemingsaccounts zijn ontworpen om een veilige basislijn voor alle gebruikers te maken en een veilige basis te bieden voor gespecialiseerde en bevoorrechte beveiliging:

  • Krachtige meervoudige verificatie (MFA) afdwingen: zorg ervoor dat de gebruiker wordt geverifieerd met sterke MFA die wordt geleverd door een door het bedrijf beheerd identiteitssysteem (in het onderstaande diagram). Zie Azure security best practice 6voor meer informatie over meervoudige verificatie.

    Opmerking

    Hoewel uw organisatie er mogelijk voor kiest om een bestaande, zwakkere vorm van MFA te gebruiken tijdens een overgangsperiode, ontduiken aanvallers in toenemende mate de zwakkere MFA-beveiligingen, dus alle nieuwe investeringen in MFA moeten in de sterkste formulieren staan.

  • Account-/sessierisico afdwingen: zorg ervoor dat het account niet kan worden geverifieerd, tenzij het laag (of gemiddeld?) risiconiveau. Zie Interfacebeveiligingsniveaus voor meer informatie over beveiliging van voorwaardelijke bedrijfsaccounts.

  • Waarschuwingen bewaken en erop reageren: beveiligingsbewerkingen moeten accountbeveiligingswaarschuwingen integreren en voldoende training krijgen over de werking van deze protocollen en systemen om ervoor te zorgen dat ze snel kunnen begrijpen wat een waarschuwing betekent en dienovereenkomstig reageren.

Het volgende diagram bevat een vergelijking met verschillende vormen van MFA- en wachtwoordloze verificatie. Elke optie in het beste vak wordt beschouwd als zowel hoge beveiliging als hoge bruikbaarheid. Elk heeft verschillende hardwarevereisten, zodat u mogelijk wilt combineren en overeenkomen welke van toepassing zijn op verschillende rollen of personen. Alle Microsoft-oplossingen zonder wachtwoord worden door Voorwaardelijke toegang herkend als meervoudige verificatie omdat ze een combinatie vereisen van iets wat u hebt met biometrische gegevens, iets wat u weet of beide.

Vergelijking van verificatiemethoden goed, beter, beste

Opmerking

Zie het blogbericht It's Time to Hang Upon Telefoon Transports for Authentication voor meer informatie over waarom verificatie via sms en andere telefoons is beperkt.

Gespecialiseerde accounts

Gespecialiseerde accounts zijn een hoger beveiligingsniveau dat geschikt is voor gevoelige gebruikers. Vanwege de hogere bedrijfseffecten garanderen gespecialiseerde accounts extra controle en prioriteit tijdens beveiligingswaarschuwingen, incidentonderzoeken en bedreigingsjachten.

Gespecialiseerde beveiliging bouwt voort op de sterke MFA in bedrijfsbeveiliging door de meest gevoelige accounts te identificeren en ervoor te zorgen dat waarschuwingen en reactieprocessen prioriteit krijgen:

  1. Gevoelige accounts identificeren: zie gespecialiseerde richtlijnen voor beveiligingsniveau voor het identificeren van deze accounts.
  2. Gespecialiseerde accounts taggen: zorg ervoor dat elk gevoelig account is gemarkeerd
    1. Microsoft Sentinel Watchlists configureren om deze gevoelige accounts te identificeren
    2. Prioriteitsaccountbeveiliging configureren in Microsoft Defender voor Office 365 en speciale en bevoorrechte accounts aanwijzen als prioriteitsaccounts -
  3. Beveiligingsbewerkingen bijwerken- om ervoor te zorgen dat deze waarschuwingen de hoogste prioriteit krijgen
  4. Governance instellen: beheerproces bijwerken of maken om ervoor te zorgen dat
    1. Alle nieuwe rollen die moeten worden geëvalueerd voor gespecialiseerde of geprivilegieerde classificaties terwijl ze worden gemaakt of gewijzigd
    2. Alle nieuwe accounts worden gelabeld terwijl ze worden gemaakt
    3. Continue of periodieke controles buiten de band om ervoor te zorgen dat rollen en accounts niet zijn gemist door normale beheerprocessen.

Bevoorrechte accounts

Geprivilegieerde accounts hebben het hoogste beveiligingsniveau omdat ze een aanzienlijke of materiële potentiële impact hebben op de activiteiten van de organisatie als ze worden gecompromitteerd.

Bevoorrechte accounts bevatten altijd IT-beheerders met toegang tot de meeste of alle bedrijfssystemen, inclusief de meeste of alle bedrijfskritische systemen. Andere accounts met een hoge zakelijke impact kunnen ook dit extra beschermingsniveau rechtvaardigen. Zie het artikel Bevoorrechte beveiliging voor meer informatie over welke rollen en accounts moeten worden beveiligd op welk niveau.

Naast gespecialiseerde beveiliging verhoogt de beveiliging van een geprivilegieerd account beide:

  • Preventie: voeg besturingselementen toe om het gebruik van deze accounts te beperken tot de aangewezen apparaten, werkstations en tussenpersoon.
  • Reactie: houd deze accounts nauwlettend in de gaten voor afwijkende activiteiten en onderzoek en herstel het risico snel.

Bevoorrechte accountbeveiliging configureren

Volg de richtlijnen in het plan voor snelle beveiliging om zowel de beveiliging van uw geprivilegieerde accounts te verhogen als om de kosten voor het beheren te verlagen.

Volgende stappen