Geprivilegieerde toegang: Strategie

  • Artikel
  • 10 minuten om te lezen

Microsoft raadt aan deze strategie voor geprivilegieerde toegang aan te nemen om de risico's voor uw organisatie snel te verlagen door aanvallen met een hoge impact en een hoge kans op bevoorrechte toegang.

Bevoorrechte toegang moet de hoogste beveiligingsprioriteit voor elke organisatie zijn. Elk compromis van deze gebruikers heeft een grote kans op significante negatieve gevolgen voor de organisatie. Bevoorrechte gebruikers hebben toegang tot bedrijfskritische assets in een organisatie, wat bijna altijd grote gevolgen heeft wanneer aanvallers hun accounts compromitteerden.

Deze strategie is gebaseerd op Zero Trust-principes van expliciete validatie, minste bevoegdheden en aanname van inbreuk. Microsoft heeft implementatie-richtlijnen gegeven om u te helpen bij het snel implementeren van beveiligingen op basis van deze strategie

Belangrijk

Er is geen enkele technische oplossing voor 'silver bullet' die het risico op bevoorrechte toegang op magische wijze beperkt, u moet meerdere technologieën combineren tot een geïntegreerde oplossing die beschermt tegen meerdere toegangspunten voor aanvallers. Organisaties moeten de juiste hulpmiddelen voor elk onderdeel van de taak meenemen.

Waarom is bevoorrechte toegang belangrijk?

Beveiliging van geprivilegieerde toegang is van essentieel belang omdat deze van essentieel belang is voor alle andere beveiligingsgaranties. Een aanvaller die de controle over uw bevoorrechte accounts heeft, kan alle andere beveiligingsgaranties ondermijnen. Vanuit een risico-perspectief is het verlies van bevoorrechte toegang een gebeurtenis met een grote impact, met een grote kans op een steeds groter wordende kans in alle bedrijfstakken.

Deze aanvalstechnieken werden in eerste instantie gebruikt bij gerichte gegevensdiefstal-aanvallen die hebben geleid tot veel bekende merken (en veel niet-gemelde incidenten). Meer recent zijn deze technieken door ransomware-aanvallers overgenomen, waardoor een explosieve groei van zeer winstgevende door mensen beheerde ransomware-aanvallen wordt veroorzaakt die opzettelijk zakelijke activiteiten in de hele industrie verstoren.

Belangrijk

Door mensen beheerde ransomware verschilt van runsowmare-aanvallen op basis van een enkele computer die zich richten op één werkstation of apparaat.

In deze afbeelding wordt beschreven hoe deze aanval op basis van afpersing steeds groter wordt en hoe waarschijnlijk dit is met behulp van geprivilegieerde toegang:

TIJDELIJKE AANDUIDING

  • Grote zakelijke impact
    • Het is moeilijk om de mogelijke gevolgen voor het bedrijf en de schade van een verlies aan geprivilegieerde toegang te overdrijven. Aanvallers met een bevoorrechte toegang hebben effectief volledige controle over alle ondernemingsactiva en -resources, waardoor ze vertrouwelijke gegevens kunnen openbaar maken, alle bedrijfsprocessen kunnen stoppen of bedrijfsprocessen en machines kunnen onderverdelen om eigendommen te beschadigen, mensen pijn te doen of erger. In elke branche is een enorme impact van het bedrijf te zien geweest met:
      • Gerichte gegevensdiefstal : aanvallers gebruiken bevoorrechte toegang tot en stelen gevoelige intellectuele eigendom voor eigen gebruik of om deze te verkopen/over te dragen aan uw concurrenten of buitenlandse overheden
      • Door mensen beheerde ransomware (HumOR) - aanvallers gebruiken bevoorrechte toegang om alle gegevens en systemen in de onderneming te stelen en/of te versleutelen, waardoor vaak alle bedrijfsactiviteiten worden gestopt. Vervolgens wordt de doelorganisatie afgeperst door geld te vragen om de gegevens niet openbaar te maken en/of de sleutels op te geven om deze te ontgrendelen.
  • Grote kans op voorkomen
    • De prevalentie van bevoorrechte toegangsaanvallen is toegenomen sinds de komst van moderne referentiesdiefstal-aanvallen, beginnend met de hashtechnieken. Deze technieken zijn voor het eerst populair geworden bij criminelen vanaf de release van 2008 van het aanvalshulpmiddel 'Pass-the-Hash Toolkit' en zijn uitgegroeid tot een suite met betrouwbare aanvalstechnieken (meestal gebaseerd op de Mimikatz-toolkit). Met deze bewapening en automatisering van technieken konden de aanvallen (en de daaropvolgende impact) snel toenemen, alleen beperkt door de kwetsbaarheid van de doelorganisatie voor de aanvallen en de verdienmodellen van de aanvaller.
      • Vóór de komst van door de mens beheerde ransomware (HumOR) waren deze aanvallen overwegend, maar vaak ongezien of verkeerd begrepen vanwege:
        • Limieten voor het genereren van inkomsten van aanvallers: alleen groepen en personen die weten hoe ze inkomsten kunnen genereren met gevoelige intellectuele eigendom van doelorganisaties, kunnen profiteren van deze aanvallen.
        • Stille impact: organisaties hebben deze aanvallen vaak gemist omdat ze geen detectiehulpmiddelen hadden en ook moeilijk de resulterende zakelijke impact konden zien en schatten (bijvoorbeeld hoe hun concurrenten hun gestolen intellectuele eigendom gebruikten en hoe dat invloed had op prijzen en markten, soms jaren later). Bovendien hebben organisaties die de aanvallen hebben gezien, vaak hun mond gezwegen om hun reputatie te beschermen.
      • Zowel de beperkingen voor het genereren van inkomsten met stille gevolgen als de beperkingen voor het genereren van inkomsten van aanvallers op deze aanvallen nemen af door de komst van door mensen beheerde ransomware, die steeds groter wordt in volume, impact en bewustzijn, omdat het beide is:
        • Luid en storend- voor bedrijfsprocessen tot betaling van afpersingseisen.
        • Universeel toepasselijk: elke organisatie in elke branche is financieel gemotiveerd om ononderbroken door te gaan met activiteiten.

Om deze redenen moet bevoorrechte toegang de hoogste beveiligingsprioriteit zijn voor elke organisatie.

Uw strategie voor geprivilegieerde toegang opbouwen

De strategie voor geprivilegieerde toegang is een reis die moet bestaan uit snelle overwinningen en incrementele voortgang. Elke stap in uw strategie voor bevoorrechte toegang moet u dichter bij het 'sluiten' van permanente en flexibele aanvallers van bevoorrechte toegang, die net als water zijn dat probeert binnen te sluisen in uw omgeving via elke beschikbare zwakheid.

Deze richtlijnen zijn bedoeld voor alle ondernemingsorganisaties, ongeacht waar u zich al in de reis hebt.

Geïntegreerde praktische strategie

Voor het beperken van risico's van bevoorrechte toegang is een doordachte, alomvattende en prioriteitscombinatie van risicobeperking voor meerdere technologieën vereist.

Voor het maken van deze strategie moet worden herkend dat aanvallers op water lijken, omdat ze talloze opties hebben die ze kunnen gebruiken (waarvan sommige in eerste instantie onbelangrijk kunnen lijken), aanvallers flexibel zijn in welke aanvallers ze gebruiken en ze nemen over het algemeen het pad van de minste weerstand om hun doelstellingen te bereiken.

Aanvallers lijken op water en kunnen in eerste instantie onbelangrijk lijken, maar overlopen in de tijd

De paden die aanvallers in de praktijk prioriteit geven, zijn een combinatie van:

  • Bestaande technieken (vaak geautomatiseerd in aanvalshulpmiddelen)
  • Nieuwe technieken die gemakkelijker te gebruiken zijn

Vanwege de diversiteit aan technologie die hierbij betrokken is, is voor deze strategie een volledige strategie vereist die meerdere technologieën combineert en de Zero Trust-principes volgt.

Belangrijk

U moet een strategie volgen die meerdere technologieën bevat om u tegen deze aanvallen te beschermen. Het implementeren van een PIM/PAM-oplossing (prvileged identity management/ privileged access management) is niet voldoende. Zie Bevoorrechte toegangsbemiddelaars voor meer informatie.

  • De aanvallers zijn doelgericht en technologie-agnostisch, met elk type aanval dat werkt.
  • De access control backbone die u wilt beschermen, is geïntegreerd in de meeste of alle systemen in de bedrijfsomgeving.

Als u verwacht dat u deze bedreigingen kunt detecteren of voorkomen met alleen netwerkbesturingselementen of met één bevoorrechte toegangsoplossing, bent u kwetsbaar voor veel andere typen aanvallen.

Strategische aanname: cloud is een bron van beveiliging

In deze strategie worden cloudservices gebruikt als de primaire bron van beveiligings- en beheermogelijkheden in plaats van on-premises isolatietechnieken om verschillende redenen:

  • Cloud heeft betere mogelijkheden: de krachtigste beveiligings- en beheermogelijkheden die momenteel beschikbaar zijn, zijn afkomstig van cloudservices, zoals geavanceerde hulpprogramma's, native integratie en enorme hoeveelheden beveiligingsinformatie, zoals de meer dan 8 triljoen beveiligingssignalen per dag die Microsoft gebruikt voor onze beveiligingshulpmiddelen.
  • Cloud is eenvoudiger en sneller: het implementeren van cloudservices vereist weinig tot geen infrastructuur voor het implementeren en opschalen, zodat uw teams zich kunnen concentreren op hun beveiligingsmissie in plaats van op technologieintegratie.
  • Cloud vereist minder onderhoud: de cloud wordt ook beheerd, onderhouden en consistent beveiligd door leveranciersorganisaties met teams die zijn toegewezen aan dat ene doel voor duizenden klantenorganisaties, waardoor uw team minder tijd en moeite heeft om de mogelijkheden strikt te behouden.
  • Cloud blijft verbeteren: functies en functionaliteit in cloudservices worden voortdurend bijgewerkt zonder dat uw organisatie voortdurend hoeft te investeren.

De aanbevolen strategie van Microsoft is om stapsgewijs een 'closed loop'-systeem te bouwen voor bevoorrechte toegang die ervoor zorgt dat alleen betrouwbare 'schone' apparaten, accounts en tussenliggende systemen kunnen worden gebruikt voor bevoorrechte toegang tot bedrijfsgevoelige systemen.

Net zoals het waterdicht maken van iets complexs in het echte leven zoals een boot, moet u deze strategie ontwerpen met een opzettelijk resultaat, standaarden zorgvuldig vaststellen en volgen, en de resultaten voortdurend controleren en controleren, zodat u eventuele lekken herstelt. U zou niet alleen borden in een bootvorm aan elkaar nagelen en op magische wijze een waterbestendige boot verwachten. U zou zich eerst richten op het bouwen en waterdicht maken van belangrijke items, zoals de romp en kritieke onderdelen, zoals de motor en het stuurmechanisme (terwijl u manieren hebt om binnen te komen), en later comfortitems zoals radio's, stoelen en iets anders waterdicht te maken. U zou het systeem ook in de tijd onderhouden, omdat zelfs het meest perfecte systeem later een lek kon opdijen, dus u moet preventief onderhoud volgen, controleren op lekken en deze oplossen om te zorgen dat het niet wegzakt.

Het beveiligen van Privileged Access heeft twee eenvoudige doelen

  1. Beperk de mogelijkheid om bevoorrechte acties uit te voeren strikt tot enkele geautoriseerde paden
  2. Deze paden beveiligen en nauwlettend volgen

Er zijn twee soorten paden voor toegang tot de systemen, gebruikerstoegang (om de mogelijkheid te gebruiken) en geprivilegieerde toegang (om de mogelijkheid te beheren of toegang te krijgen tot een gevoelige mogelijkheid)

Twee paden naar gebruikers van systemen en bevoorrechte toegang

  • User Access: het lichtere blauwe pad onderaan het diagram toont een standaardgebruikersaccount dat algemene productiviteitstaken uitvoert, zoals e-mail, samenwerking, surfen op het web en het gebruik van zakelijke toepassingen of websites. Dit pad omvat een account dat zich aanlogt bij een apparaat of werkstations, soms via een tussenpersoon, zoals een oplossing voor externe toegang, en interactie met bedrijfssystemen.
  • Privileged Access: het donkerblauwe pad boven aan het diagram geeft bevoorrechte toegang weer, waarbij bevoorrechte accounts zoals IT-beheerders of andere gevoelige accounts toegang hebben tot bedrijfskritische systemen en gegevens of beheertaken uitvoeren op bedrijfssystemen. Hoewel de technische onderdelen van aard vergelijkbaar kunnen zijn, is de schade die een tegenstref kan toebrengen met bevoorrechte toegang veel hoger.

Het volledige toegangsbeheersysteem bevat ook identiteitssystemen en geautoriseerde hoogtepaden.

Twee paden plus identiteitssystemen en hoogtepaden

  • Identiteitssystemen: geef identiteits directories die de accounts en beheergroepen hosten, synchronisatie- en federatiefuncties en andere functies voor identiteitsondersteuning voor standaard- en bevoorrechte gebruikers.
  • Geautoriseerde hoogtepaden: geef standaardgebruikers de middelen om te werken met bevoorrechte werkstromen, zoals managers of collega's die aanvragen voor beheerdersrechten voor een gevoelig systeem goedkeuren via een just-in-time (JIT)-proces in een privileged access management/privileged identity management-systeem.

Deze onderdelen vormen gezamenlijk het bevoorrechte toegangsoppervlak dat een aanvaller kan gebruiken om te proberen verhoogde toegang tot uw onderneming te krijgen:

Onbeveiligde Surface-aanval

Opmerking

Voor on-premises en IaaS-systemen (Infrastructure as a Service) die worden gehost op een door klanten beheerd besturingssysteem, neemt de aanval aanzienlijk toe met beheer- en beveiligingsagenten, serviceaccounts en mogelijke configuratieproblemen.

Als u een duurzame en beheerbare strategie voor bevoorrechte toegang maakt, moet u alle niet-geautoriseerde vectoren sluiten om het virtuele equivalent te maken van een besturingselementconsole die fysiek is gekoppeld aan een beveiligd systeem dat de enige manier vertegenwoordigt om er toegang toe te krijgen.

Voor deze strategie is een combinatie van:

  • Zero Trust access control beschreven in deze richtlijnen, inclusief het rapid modernization plan (RAMP)
  • Bescherming van activa om te beschermen tegen directe activaaanvallen door goede beveiligingshygiënepraktijken toe te passen op deze systemen. Activumbeveiliging voor resources (buiten toegangscontroleonderdelen) valt buiten het bereik van deze richtlijnen, maar omvat meestal snelle toepassing van beveiligingsupdates/patches, het configureren van besturingssystemen met beveiligingslijnlijnen voor fabrikanten/industrie, het beveiligen van gegevens in rust en doorvoer, en het integreren van beveiligings-best practices voor de ontwikkeling / DevOps-processen.

Het oppervlak van de aanval verkleinen

Strategische initiatieven in de reis

Voor het implementeren van deze strategie zijn vier complementaire initiatieven vereist die elk duidelijke resultaten en succescriteria hebben

  1. End-to-end sessiebeveiliging: stel expliciete Zero Trust-validatie in voor bevoorrechte sessies, gebruikerssessies en geautoriseerde hoogtepaden.
    1. Succescriteria: Elke sessie valideert dat elk gebruikersaccount en apparaat op een voldoende niveau wordt vertrouwd voordat u toegang toestaat.
  2. &Controle-identiteitssystemen beveiligen, inclusief directories, identiteitsbeheer, beheerdersaccounts, toestemmingsgelden en meer
    1. Succescriteria: Elk van deze systemen wordt beveiligd op een niveau dat geschikt is voor de potentiële zakelijke impact van accounts die in deze systemen worden gehost.
  3. Laterale traversal beperken om te beschermen tegen laterale traversal met lokale accountwachtwoorden, serviceaccountwachtwoorden of andere geheimen
    1. Succescriteria: het in gevaar brengen van één apparaat leidt niet onmiddellijk tot de besturing van veel of alle andere apparaten in de omgeving
  4. Snelle bedreigingsreactie om de toegang en tijd van de tegenpartij in de omgeving te beperken
    1. Succescriteria: Incidentenreactieprocessen belemmeren het betrouwbaar uitvoeren van een aanval in meerdere fases in de omgeving, waardoor de bevoorrechte toegang verloren gaat. (zoals wordt gemeten door de gemiddelde tijd voor het corrigeren (MTTR) van incidenten met bevoorrechte toegang tot bijna nul te beperken en MTTR van alle incidenten te beperken tot een paar minuten, zodat tegenstanders geen tijd hebben om geprivilegieerde toegang te targeten)

Volgende stappen