Bevoegde toegang: strategie

Microsoft raadt aan om deze strategie voor bevoegde toegang te gebruiken om de risico's voor uw organisatie snel te verlagen tegen aanvallen met hoge impact en een hoge kans op bevoegde toegang.

Bevoegde toegang moet de hoogste beveiligingsprioriteit bij elke organisatie zijn. Inbreuken op deze gebruikers hebben een grote kans op aanzienlijke negatieve gevolgen voor de organisatie. Bevoegde gebruikers hebben toegang tot bedrijfskritieke assets in een organisatie, wat vrijwel altijd grote gevolgen heeft wanneer aanvallers inbreuk maken op hun accounts.

Deze strategie is gebaseerd op Zero Trust principes van expliciete validatie, minimale bevoegdheden en veronderstellingen van schending. Microsoft heeft implementatierichtlijnen gegeven om u te helpen snel beveiligingen te implementeren op basis van deze strategie

Belangrijk

Er is geen enkele technische oplossing met 'zilveren opsommingstekens' die het risico op bevoegde toegang op magische wijze beperkt. U moet meerdere technologieën samenvoegen tot een holistische oplossing die beschermt tegen meerdere toegangspunten van aanvallers. Organisaties moeten de juiste hulpprogramma's voor elk onderdeel van de taak gebruiken.

Waarom is bevoegde toegang belangrijk?

Beveiliging van bevoegde toegang is van cruciaal belang omdat het de basis vormt voor alle andere beveiligingsgaranties, kan een aanvaller die controle heeft over uw bevoegde accounts alle andere beveiligingsgaranties ondermijnen. Vanuit het oogpunt van risico's is het verlies van bevoegde toegang een gebeurtenis met een grote impact met een hoge kans op gebeurtenissen die in verschillende branches met een alarmerend tempo toenemen.

Deze aanvalstechnieken werden in eerste instantie gebruikt bij gerichte aanvallen op gegevensdiefstal die leidden tot veel inbreuken op hoog profiel bij bekende merken (en veel niet-gerapporteerde incidenten). Meer recent zijn deze technieken overgenomen door ransomware-aanvallers, die een explosieve groei van zeer winstgevende door mensen uitgevoerde ransomware-aanvallen stimuleren die opzettelijk zakelijke activiteiten in de hele industrie verstoren.

Belangrijk

Door de mens uitgevoerde ransomware is anders dan standaard ransomware-aanvallen op één computer die gericht zijn op één werkstation of apparaat.

In deze afbeelding wordt beschreven hoe deze aanval op basis van afpersing toeneemt in impact en waarschijnlijkheid met behulp van bevoegde toegang:

PLACEHOLDER

  • Hoge bedrijfsimpact
    • Het is moeilijk om de mogelijke bedrijfsimpact en schade van een verlies aan bevoegde toegang te overschatten. Aanvallers met bevoegde toegang hebben effectief volledige controle over alle bedrijfsactiva en -resources, waardoor ze vertrouwelijke gegevens kunnen vrijgeven, alle bedrijfsprocessen kunnen stoppen of bedrijfsprocessen en machines kunnen ondermijnen om eigendom te beschadigen, mensen pijn te doen of erger. Grote bedrijfsimpact is gezien in elke branche met:
      • Gerichte gegevensdiefstal : aanvallers gebruiken bevoegde toegang om gevoelige intellectuele eigendom te openen en te stelen voor hun eigen gebruik of om deze te verkopen/overdragen aan uw concurrenten of buitenlandse overheden
      • Door mensen uitgevoerde ransomware (HumOR): aanvallers gebruiken bevoegde toegang om alle gegevens en systemen in de onderneming te stelen en/of te versleutelen, waarbij vaak alle bedrijfsactiviteiten worden gestopt. Vervolgens afpersen ze de doelorganisatie door geld te eisen om de gegevens niet openbaar te maken en/of de sleutels te verstrekken om deze te ontgrendelen.
  • Hoge kans op optreden
    • De prevalentie van aanvallen met bevoegde toegang is toegenomen sinds de opkomst van moderne aanvallen tegen referentiediefstal die beginnen met pass-the-hash-technieken. Deze technieken zijn voor het eerst populair geworden bij criminelen vanaf de release van 2008 van het aanvalsprogramma "Pass-the-Hash Toolkit" en zijn uitgegroeid tot een reeks betrouwbare aanvalstechnieken (voornamelijk gebaseerd op de Mimikatz toolkit). Deze wapening en automatisering van technieken stelden de aanvallen (en de daaropvolgende impact) in staat om snel te groeien, alleen beperkt door het beveiligingsprobleem van de doelorganisatie voor de aanvallen en de modellen voor geld verdienen/stimuleren van de aanvaller.
      • Vóór de komst van door de mens uitgevoerde ransomware (HumOR), waren deze aanvallen overheersend, maar vaak ongezien of verkeerd begrepen vanwege:
        • Limieten voor het verdienen van aanvallers : alleen groepen en personen die wisten hoe ze geld konden verdienen met gevoelig intellectueel eigendom van doelorganisaties, konden profiteren van deze aanvallen.
        • Stille impact : organisaties hebben deze aanvallen vaak gemist omdat ze geen detectieprogramma's hadden en ook moeite hadden met het bekijken en schatten van de resulterende bedrijfsimpact (bijvoorbeeld hoe hun concurrenten hun gestolen intellectuele eigendom gebruikten en hoe dat invloed had op de prijzen en markten, soms jaren later). Daarnaast bleven organisaties die de aanvallen zagen vaak stil over hen om hun reputatie te beschermen.
      • Zowel de stille impact als de beperkingen voor het genereren van inkomsten van aanvallers op deze aanvallen zijn desintegreren met de komst van door mensen uitgevoerde ransomware, die groeit in volume, impact en bewustzijn, omdat het beide is:
        • Luid en verstorend - voor bedrijfsprocessen voor de betaling van afpersingsvereisten.
        • Universeel van toepassing - Elke organisatie in elke branche is financieel gemotiveerd om ononderbroken door te gaan.

Om deze redenen moet bevoegde toegang de hoogste beveiligingsprioriteit bij elke organisatie zijn.

Uw strategie voor bevoegde toegang ontwikkelen

Strategie voor bevoegde toegang is een traject dat moet bestaan uit snelle overwinningen en incrementele vooruitgang. Elke stap in uw strategie voor bevoegde toegang moet u dichter bij het 'afdichten' van permanente en flexibele aanvallers van bevoegde toegang, die zijn als water proberen te zien in uw omgeving door een beschikbare zwakte.

Deze richtlijnen zijn ontworpen voor alle bedrijfsorganisaties, ongeacht waar u zich al in het traject bevindt.

Holistische praktische strategie

Voor het verminderen van risico's van bevoegde toegang is een doordachte, holistische en geprioreerde combinatie van risicobeperkingen van meerdere technologieën vereist.

Het bouwen van deze strategie vereist herkenning dat aanvallers als water zijn omdat ze talloze opties hebben die ze kunnen gebruiken (waarvan sommige in het begin onbelangrijk kunnen lijken), aanvallers flexibel zijn in welke ze gebruiken en ze nemen over het algemeen het pad van de minste weerstand om hun doelstellingen te bereiken.

Attackers are like water and can appear insignificant at first but, flood over time

De paden die aanvallers in de praktijk prioriteren, zijn een combinatie van:

  • Gevestigde technieken (vaak geautomatiseerd in aanvalshulpprogramma's)
  • Nieuwe technieken die gemakkelijker te gebruiken zijn

Vanwege de diversiteit aan technologie vereist deze strategie een volledige strategie die meerdere technologieën combineert en Zero Trust principes volgt.

Belangrijk

U moet een strategie kiezen die meerdere technologieën bevat om u te beschermen tegen deze aanvallen. Het eenvoudig implementeren van een aanbevolen oplossing voor identiteitsbeheer/privileged access management (PIM/PAM) is niet voldoende. Zie Privileged Access Intermediars voor meer informatie.

  • De aanvallers zijn doelgericht en technologie-georiënteerd, met behulp van elk type aanval dat werkt.
  • De backbone voor toegangsbeheer die u verdedigt, is geïntegreerd in de meeste of alle systemen in de bedrijfsomgeving.

Als u verwacht dat u deze bedreigingen kunt detecteren of voorkomen met alleen netwerkbesturingselementen of één oplossing voor bevoegde toegang, blijft u kwetsbaar voor veel andere soorten aanvallen.

Strategische aanname - Cloud is een bron van beveiliging

Deze strategie maakt om verschillende redenen gebruik van cloudservices als de primaire bron van beveiligings- en beheermogelijkheden in plaats van on-premises isolatietechnieken:

  • Cloud heeft betere mogelijkheden : de krachtigste beveiligings- en beheermogelijkheden die momenteel beschikbaar zijn, zijn afkomstig van cloudservices, waaronder geavanceerde hulpprogramma's, systeemeigen integratie en enorme hoeveelheden beveiligingsinformatie, zoals de meer dan 8 biljoen beveiligingssignalen per dag die Microsoft gebruikt voor onze beveiligingshulpprogramma's.
  • Cloud is eenvoudiger en sneller : voor het implementeren en omhoog schalen van cloudservices is weinig tot geen infrastructuur nodig, zodat uw teams zich kunnen richten op hun beveiligingsmissie in plaats van op technologie-integratie.
  • De cloud vereist minder onderhoud . De cloud wordt ook consistent beheerd, onderhouden en beveiligd door leveranciersorganisaties met teams die zijn toegewezen aan dat ene doel voor duizenden klantorganisaties, waardoor uw team minder tijd en moeite hoeft te doen om de mogelijkheden strikt te onderhouden.
  • Cloud blijft verbeteren - Functies en functionaliteit in cloudservices worden voortdurend bijgewerkt zonder dat uw organisatie voortdurend hoeft te investeren.

De aanbevolen strategie van Microsoft is om incrementeel een 'closed loop'-systeem te bouwen voor bevoegde toegang, zodat alleen betrouwbare 'schone' apparaten, accounts en tussenliggende systemen kunnen worden gebruikt voor bevoegde toegang tot bedrijfsgevoelige systemen.

Net als bij het waterdicht maken van iets complexs in het echte leven zoals een boot, moet u deze strategie ontwerpen met een opzettelijk resultaat, standaarden zorgvuldig vaststellen en volgen, en de resultaten voortdurend controleren en controleren, zodat u eventuele lekken herstelt. Je zou niet alleen boards in een bootvorm bij elkaar spijkeren en op magische wijze een waterdichte boot verwachten. U zou zich eerst richten op het bouwen en waterdichten van belangrijke items zoals de romp en kritieke onderdelen zoals de motor en het stuurmechanisme (terwijl u manieren laat voor mensen om binnen te komen), vervolgens later het waterdicht maken van comfortitems zoals radio's, stoelen en dergelijke. U zou het ook in de loop van de tijd onderhouden, omdat zelfs het meest perfecte systeem later een lekkage kan genereren, dus u moet preventief onderhoud bijhouden, controleren op lekken en ze repareren om te voorkomen dat het zinkt.

Privileged Access beveiligen heeft twee eenvoudige doelen

  1. Beperk de mogelijkheid om bevoegde acties uit te voeren strikt tot enkele geautoriseerde paden
  2. Deze paden beschermen en nauwkeurig bewaken

Er zijn twee soorten paden voor toegang tot de systemen, gebruikerstoegang (om de mogelijkheid te gebruiken) en bevoegde toegang (om de mogelijkheid te beheren of toegang te krijgen tot een gevoelige mogelijkheid)

Two pathways to systems user and privileged access

  • Gebruikerstoegang: het lichtere blauwe pad onderaan het diagram toont een standaardgebruikersaccount dat algemene productiviteitstaken uitvoert, zoals e-mail, samenwerking, surfen op internet en het gebruik van Line-Of-Business-toepassingen of websites. Dit pad omvat het aanmelden van een account op een apparaat of werkstations, soms via een intermediair, zoals een oplossing voor externe toegang, en interactie met bedrijfssystemen.
  • Bevoegde toegang: het donkerder blauwe pad bovenaan het diagram toont bevoorrechte toegang, waarbij bevoegde accounts, zoals IT-beheerders of andere gevoelige accounts, toegang hebben tot bedrijfskritieke systemen en gegevens of beheertaken uitvoeren op bedrijfssystemen. Hoewel de technische onderdelen qua aard vergelijkbaar kunnen zijn, is de schade die een kwaadwillende persoon kan berokkenen met bevoegde toegang veel hoger.

Het volledige toegangsbeheersysteem bevat ook identiteitssystemen en geautoriseerde uitbreidingspaden.

Two pathways plus identity systems and elevation paths

  • Identiteitssystemen: bieden identiteitsmappen die als host fungeren voor de accounts en beheergroepen, synchronisatie- en federatiefuncties en andere identiteitsondersteuningsfuncties voor standaard- en bevoegde gebruikers.
  • Geautoriseerde uitbreidingspaden: bieden mogelijkheden voor standaardgebruikers om te communiceren met bevoegde werkstromen, zoals managers of peers die aanvragen voor beheerdersrechten voor een gevoelig systeem goedkeuren via een JIT-proces (Just-In-Time) in een Privileged Access Management-/Privileged Identity-beheersysteem.

Deze onderdelen vormen gezamenlijk het aanvalsoppervlak voor bevoegde toegang dat een kwaadwillende persoon kan richten op het verkrijgen van verhoogde toegang tot uw onderneming:

Attack surface unprotected

Opmerking

Voor on-premises en IaaS-systemen (Infrastructure as a Service) die worden gehost op een door de klant beheerd besturingssysteem, neemt het aanvalsoppervlak aanzienlijk toe met beheer- en beveiligingsagenten, serviceaccounts en mogelijke configuratieproblemen.

Voor het maken van een duurzame en beheerbare strategie voor bevoegde toegang moet u alle niet-geautoriseerde vectoren afsluiten om het virtuele equivalent te maken van een besturingsconsole die fysiek is gekoppeld aan een beveiligd systeem dat de enige manier is om toegang te krijgen.

Voor deze strategie is een combinatie van:

  • Zero Trust toegangsbeheer dat in deze richtlijnen wordt beschreven, met inbegrip van het snelle moderniseringsplan (RAMP)
  • Assetbeveiliging ter bescherming tegen directe assetaanvallen door goede beveiligingshygiëneprocedures toe te passen op deze systemen. Assetbeveiliging voor resources (buiten toegangscontroleonderdelen) valt buiten het bereik van deze richtlijnen, maar omvat doorgaans snelle toepassing van beveiligingsupdates/patches, het configureren van besturingssystemen met behulp van beveiligingsbasislijnen van de fabrikant/industrie, het beveiligen van data-at-rest en in transit, en het integreren van aanbevolen beveiligingsprocedures voor ontwikkelings-/DevOps-processen.

Reduce the attack surface

Strategische initiatieven in het traject

Voor de implementatie van deze strategie zijn vier aanvullende initiatieven vereist die elk duidelijke resultaten en succescriteria hebben

  1. End-to-end sessiebeveiliging: stel expliciete Zero Trust validatie in voor bevoegde sessies, gebruikerssessies en geautoriseerde uitbreidingspaden.
    1. Succescriteria: elke sessie valideert of elke gebruikersaccounts en elk apparaat op voldoende niveau worden vertrouwd voordat toegang wordt toegestaan.
  2. Monitor-identiteitssystemen beveiligen & , waaronder directory's, identiteitsbeheer, beheerdersaccounts, toestemmingssubsidies en meer
    1. Succescriteria: elk van deze systemen wordt beveiligd op een niveau dat geschikt is voor de mogelijke bedrijfsimpact van accounts die erin worden gehost.
  3. Lateral Traversal beperken om te beschermen tegen laterale doorkruising met lokale accountwachtwoorden, serviceaccountwachtwoorden of andere geheimen
    1. Succescriteria: Het in gevaar brengen van één apparaat leidt niet onmiddellijk tot controle over veel of alle andere apparaten in de omgeving
  4. Snelle bedreigingsreactie om indringerstoegang en -tijd in de omgeving te beperken
    1. Succescriteria: Processen voor het reageren op incidenten verhinderen kwaadwillende gebruikers om op betrouwbare wijze een aanval met meerdere fasen in de omgeving uit te voeren, wat zou leiden tot verlies van bevoegde toegang. (zoals gemeten door de gemiddelde tijd te verkorten voor het herstellen (MTTR) van incidenten met bevoorrechte toegang tot bijna nul en de MTTR van alle incidenten tot een paar minuten te verminderen, zodat kwaadwillende personen geen tijd hebben om geprivilegieerde toegang te richten)

Volgende stappen