Критерии успеха для стратегии привилегированного доступаSuccess criteria for privileged access strategy

В этом документе описываются критерии успеха стратегии привилегированного доступа.This document describes the success criteria for a privileged access strategy. В этом разделе описаны стратегические перспективы успеха для стратегии привилегированного доступа.This section describes strategic perspectives of success for a privileged access strategy. Сведения о том, как присвоить эту стратегию, см. в статье Быстрый модернизацииный план (пандус).For a roadmap on how to adopt this strategy, see the rapid modernization plan (RaMP). Рекомендации по реализации см. в статье развертывание с привилегированным доступом .For implementation guidance, see privileged access deployment

Реализация комплексной стратегии с применением подходов без доверия создает «запечатывание» элементов управления доступом для привилегированного доступа, что делает его устойчивым для злоумышленников.Implementing a holistic strategy using Zero Trust approaches creates a "seal" of sorts over the access control for privileged access that makes it resistant to attackers. Эта стратегия достигается за счет ограничения путей к привилегированному доступу только для нескольких выбранных, а затем тесной защиты и мониторинга этих разрешенных путей.This strategy is accomplished by limiting pathways to privileged access only a select few, and then closely protecting and monitoring those authorized pathways.

Цель конечного состояния с ограниченными путями входа для злоумышленников

Успешная стратегия должна решить, что злоумышленники могут использовать для перехвата рабочих процессов привилегированного доступа, включая четыре отдельных инициативы:A successful strategy must address the all points attackers can use to intercept privileged access workflows including four distinct initiatives:

  • Элементы рабочего процесса привилегированного доступа рабочего процесса привилегированного доступа, включая базовые устройства, операционные системы, приложения и удостоверения.Privileged Access workflow elements of the privileged access workflow including underlying devices, operating systems, applications, and identities
  • Системы удостоверений , в которых размещаются привилегированные учетные записи и группы, а также другие артефакты, которые являются привилегиями для учетных записейIdentity systems hosting the privileged accounts and the groups, and other artifacts that confer privilege on the accounts
  • Рабочий процесс доступа пользователей и пути повышения прав, которые могут привести к привилегированному доступуUser access workflow and authorized elevation paths that can lead to privileged access
  • Интерфейсы приложений , для которых применяется политика доступа с нулевым доверием, а Управление доступом на основе РОЛЕЙ (RBAC) настроено для предоставления привилегий.Application interfaces where zero trust access policy is enforced and role-based access control (RBAC) is configured to grant privileges

Примечание

Полная стратегия безопасности также включает в себя защиту ресурсов, которая выходит за пределы области управления доступом, например резервное копирование данных и защита от атак на самом приложении, базовой операционной системы и оборудования, учетных записей служб, используемых приложением или службой, а также для неактивных или транзитных данных.A complete security strategy also includes asset protections that are beyond the scope of access control, such as data backups and protections against attacks on the application itself, the underlying operating system and hardware, on service accounts used by the application or service, and on data while at rest or in transit. Дополнительные сведения о модернизации стратегии безопасности для облака см. в статье Определение стратегии безопасности.For more information on modernizing a security strategy for cloud, see the article Define a security strategy.

Атака состоит из злоумышленников, использующих автоматизацию и сценарии для атаки Организации, состоит из людей, процессов, которые они следуют, и технологии, которую они используют.An attack consists of human attackers leveraging automation and scripts to attack an organization is composed of humans, the processes they follow, and the technology they use. Из-за сложности обеих атак и защитных злоумышленников стратегия должна быть в нескольких аспектах для защиты от всех людей, процессов и технологий, которые могут случайно быть непреднамеренно обработаны.Because of this complexity of both attackers and defenders, the strategy must be multi-faceted to guard against all the people, process, and technology ways that the security assurances could inadvertently be undermined.

Для обеспечения устойчивого долгосрочного успеха необходимо выполнить следующие условия.Ensuring sustainable long-term success requires meeting the following criteria:

Приоритизация руслессRuthless prioritization

Приоритизация руслесс — это практика принятия наиболее эффективных действий с самым быстрым временем, даже если эти усилия не соответствуют существующим планам, восприятию и привычкам.Ruthless prioritization is the practice of taking the most effective actions with the fastest time to value first, even if those efforts don't fit pre-existing plans, perceptions, and habits. Эта стратегия размещает набор шагов, которые были получены в Фиери Crucible многих основных инцидентов кибербезопасности.This strategy lays out the set of steps that have been learned in the fiery crucible of many major cybersecurity incidents. Сведения из этих инцидентов формируют действия, которые мы можем решить организациям, чтобы убедиться в том, что эти пожаров не происходят снова.The learnings from these incidents form the steps we help organizations take to ensure that these crises don't happen again.

Хотя специалисты по безопасности всегда пытаются оптимизировать знакомые существующие элементы управления, такие как сетевая безопасность и брандмауэры для новых атак, этот путь постоянно приводит к сбою.While it's always tempting for security professionals to try to optimize familiar existing controls like network security and firewalls for newer attacks, this path consistently leads to failure. Группа по обнаружению и реагированию корпорации Майкрософт (DART) отвечала на атаки привилегированного доступа почти в десять лет и постоянно видит, что эти классические подходы к безопасности не могут обнаружить или предотвратить эти атаки.Microsoft's Detection and Response Team (DART) has been responding to privileged access attacks for nearly a decade and consistently sees these classic security approaches fail to detect or stop these attacks. Хотя Сетевая безопасность обеспечивает необходимые и важные основные санации безопасности, крайне важно разорвать эти привычки и сосредоточиться на предотвращении проблем, препятствующих атакам в реальном мире.While network security provides necessary and important basic security hygiene, it's critical to break out of these habits and focus on mitigations that will deter or block real world attacks.

Руслессли расстановка приоритетов элементов управления безопасностью, рекомендуемых в этой стратегии, даже если она требует наличия существующих допущений и заставляет пользователей изучать новые навыки.Ruthlessly prioritize the security controls recommended in this strategy, even if it challenges existing assumptions and forces people to learn new skills.

Балансировка безопасности и производительностиBalance security and productivity

Как и в случае со всеми элементами стратегии безопасности, привилегированный доступ должен обеспечить соблюдение целей обеспечения производительности и безопасности.As with all elements of security strategy, privileged access should ensure that both productivity and security goals are met.

Балансировка безопасности позволяет избежать экстремальных прав, которые создают риск для Организации.Balancing security avoids the extremes that create risk for the organization by:

  • Предотвращение чрезмерной безопасности, в результате которой пользователи выходят за пределы защищенных политик, путей и систем.Avoiding overly strict security that causes users to go outside the secure policies, pathways, and systems.
  • Предотвращение ненадежной безопасности, которая негативно нарушает производительность, позволяя злоумышленников легко повредить организацию.Avoiding weak security that harms productivity by allowing adversaries to easily compromise the organization.

Дополнительные сведения о стратегии безопасности см. в статье Определение стратегии безопасности.For more information about security strategy, see the article Defining a security strategy.

Чтобы сократить негативное воздействие на бизнес от средств управления безопасностью, следует расставить приоритеты для невидимых элементов управления безопасностью, улучшающих рабочие процессы пользователей или не мешая им изменять рабочие процессы пользователей.To minimize negative business impact from security controls, you should prioritize invisible security controls that improve user workflows, or at least don't impede or change user workflows. Хотя ролям с учетом безопасности могут потребоваться видимые меры безопасности, которые изменяют ежедневные рабочие процессы для предоставления гарантий безопасности, эта реализация должна быть продуманной, чтобы ограничить влияние и степень удобства использования.While security sensitive roles may need visible security measures that change their daily workflows to provide security assurances, this implementation should be done thoughtfully to limit the usability impact and scope as much as possible.

Эта стратегия соответствует этим рекомендациям, определяя три профиля (подробно см. Далее в статье о том, что это простые пользователи и профили).This strategy follows this guidance by defining three profiles (detailed later in Keep it Simple - Personas and Profiles)

Производительность и безопасность, повышающие уровень привилегий

Надежные партнерства в ОрганизацииStrong partnerships within the organization

Для успешного создания партнерства в Организации необходимо обеспечить безопасность.Security must work to build partnerships within the organization to be successful. В дополнение к простоты ирисыу, что «ни одна из нас не так эффективна, — это функция поддержки для защиты ресурсов другого пользователя.In addition to the timeless truth that "none of us is as smart as all of us," the nature of security is to be a support function to protect someone else's resources. Безопасность не учитывает ресурсы, которые они защищают (рентабельность, бесперебойная работа, производительность и т. д.). безопасность — это функция поддержки, которая предоставляет экспертные советы и службы для защиты интеллектуальной собственности и бизнес-функций, важных для Организации.Security isn't accountable for the resources they help protect (profitability, uptime, performance, etc.), security is a support function that provides expert advice and services to help protect the intellectual property and business functionality that is important to the organization.

Безопасность всегда должна работать как партнер для поддержки целей бизнеса и миссии.Security should always work as a partner in support of business and mission objectives. Хотя безопасность не должна шайся от предоставления прямых советов, таких как рекомендация по принятию высокого риска, безопасность также должна быть обработана с точки зрения бизнес-риска относительно других рисков и возможностей, управляемых владельцами ресурсов.While security should not shy away from giving direct advice like recommending against accepting a high risk, security should also always frame that advice in terms of the business risk relative to other risks and opportunities managed by the resource owners.

Хотя некоторые части безопасности могут быть запланированы и успешно выполнены в основном в рамках Организации безопасности, многие из них, например защита привилегированного доступа, нуждаются в тесном взаимодействии с ИТ и бизнес-организациями, чтобы понять, какие роли следует защищать, а также помочь в обновлении и повторном проектировании рабочих процессов, чтобы обеспечить их безопасность и позволить пользователям выполнять свои задания.While some parts of security can be planned and executed successfully mostly within security organization, many like securing privileged access require working closely with IT and business organizations to understand which roles to protect, and help update and redesign workflows to ensure they are both secure and allow people to do their jobs. Дополнительные сведения об этой идее см. в разделе преобразования, директивы и ожидания в руководстве по стратегии безопасности.For more information on this idea, see the section Transformations, mindsets, and expectations in the security strategy guidance article.

Злоумышленники возвращают инвестицииDisrupt attacker return on investment

Ведите фокус на прагматизме, гарантируя, что меры безопасности, скорее всего, приводят к попадению выгодного преимущества злоумышленника, повышая затраты и трения, которые злоумышленник может успешно атаковать.Maintain focus on pragmatism by ensuring that defensive measures are likely to meaningfully disrupt the attacker value proposition of attacking you, increasing cost and friction on the attacker's ability to successfully attack you. Оценка того, как защитная мера повлияет на атакующий злоумышленник, предоставляет как работоспособное напоминание о перспективе атак, так и структурированный механизм для сравнения эффективности различных вариантов устранения рисков.Evaluating how defensive measures would impact the adversary's cost of attack provides both a healthy reminder to focus on the attackers perspective as well as a structured mechanism to compare the effectiveness of different mitigation options.

Ваша цель заключается в том, чтобы повысить стоимость злоумышленников и свести к минимуму уровень инвестиций в систему безопасности.Your goal should be to increase the attackers cost while minimizing your own security investment level:

Повышение затрат на атаку с минимальными затратами на защиту

Злоумышленники возвращают инвестиции, повышая затраты на атаки через элементы сеанса привилегированного доступа.Disrupt attacker return on investment (ROI) by increasing their cost of attack across the elements of the privileged access session. Эта концепция более подробно описана в статье критерии успеха для стратегии привилегированного доступа.This concept is described in more detail in the article Success criteria for privileged access strategy.

Важно!

Стратегия привилегированного доступа должна быть всеобъемлющей и обеспечивать глубокую защиту, но следует избегать расходов в провал, когда защитники просто обращаются к тем же (привычным) элементам управления типа (как правило, сетевые брандмауэры и фильтры), где они добавляют значимые значения безопасности.A privileged access strategy should be comprehensive and provide defense in depth, but must avoid the Expense in depth fallacy where defenders simply pile on more same (familiar) type controls (often network firewalls/filters) past the point where they add any meaningful security value.

Дополнительные сведения об РЕНТАБЕЛЬности злоумышленника см. в кратком видеоролике и подробном обсуждении взлома злоумышленника.For more information on attacker ROI, see the short video and in-depth discussion Disrupting attacker return on investment.

Принцип чистоты источникаClean source principle

Этот принцип заключается в том, что уровни надежности всех зависимых объектов системы безопасности и защищаемого объекта должны совпадать.The clean source principle requires all security dependencies to be as trustworthy as the object being secured.

Принцип чистоты источника

Любой субъект под управлением объекта зависит от уровня безопасности этого объекта.Any subject in control of an object is a security dependency of that object. Если злоумышленник может управлять каким-либо элементом управления целевого объекта, он может управлять этим целевым объектом.If an adversary can control anything in control of a target object, they can control that target object. Из-за этой угрозы необходимо убедиться, что гарантии для всех зависимостей безопасности находятся на уровне безопасности или выше требуемого объекта.Because of this threat, you must ensure that the assurances for all security dependencies are at or above the desired security level of the object itself. Этот принцип применяется ко многим типам отношений управления:This principle applies across many types of control relationships:

Если злоумышленник контролирует любую часть целевого объекта, он управляет целевым объектом.

Хотя эта концепция проста в работе, она легко усложняется в реальном мире, так как большинство предприятий выросло на протяжении нескольких десятилетий, и многие тысячи взаимоотношений управления рекурсивно, если они построены друг на друга, переходят друг в друга или оба.While simple in principle, this concept gets complex easily in the real world as most enterprises grew organically over decades and have many thousands of control relationships recursively that build on each other, loop back on each other, or both. Этот веб-узел отношений управления предоставляет множество путей доступа, которые злоумышленник может обнаружить и перемещать во время атаки, часто с помощью автоматизированных средств.This web of control relationships provides many access paths that an attacker can discover and navigate during an attack, often with automated tools.

Рекомендуемая стратегия привилегированного доступа корпорации Майкрософт — это, по сути, план, унтангле наиболее важные части этого релевантной с помощью подхода с нулевым доверием путем явной проверки того, что источник очищен перед предоставлением доступа к назначению.Microsoft's recommended privileged access strategy is effectively a plan to untangle the most important parts of this knot first using a Zero Trust approach, by explicitly validating that the source is clean before allowing access to the destination.

Во всех случаях уровень доверия источника должен быть таким же или выше целевого.In all cases, the trust level of the source must be the same or higher than the destination.

  • Единственным важным исключением из этого принципа является разрешение на использование неуправляемых персональных устройств и устройств-партнеров для корпоративных сценариев.The only notable exception to this principle is allowing the use of unmanaged personal devices and partner devices for enterprise scenarios. Это исключение обеспечивает совместную работу и гибкость предприятия, а также может быть уменьшено до приемлемого уровня для большинства организаций из-за низкого относительного значения корпоративных ресурсов.This exception enables enterprise collaboration and flexibility and can be mitigated to an acceptable level for most organizations because of the low relative value of the enterprise assets. Дополнительные сведения о безопасности BYOD см. в записи блога о том, как политика BYOD может снизить риски безопасности в общедоступном секторе.For more context on BYOD security, see the blog post How a BYOD policy can reduce security risk in the public sector.
  • Это же исключение не может быть расширено до специализированных уровней безопасности и привилегированных, но из-за чувствительности к безопасности этих ресурсов.This same exception cannot be extended to specialized security and privileged security levels however because of the security sensitivity of these assets. Некоторые поставщики PIM и PAM могут полагается на то, что их решения могут снизить риски с устройств на более низких уровнях, но мы респектфулли не согласен с этими утверждениями на основе нашего опыта исследования инцидентов.Some PIM/PAM vendors may advocate that their solutions can mitigate device risk from lower-level devices, but we respectfully disagree with those assertions based on our experience investigating incidents. Владельцы ресурсов в организации могут принять риск использования корпоративных устройств безопасности для доступа к специализированным или привилегированным ресурсам, но корпорация Майкрософт не рекомендует использовать эту конфигурацию.The asset owners in your organization may choose to accept risk of using enterprise security level devices to access specialized or privileged resources, but Microsoft does not recommend this configuration. Дополнительные сведения см. в руководстве по управлению удостоверениями Privileged Access Management/privileged.For more information, see the intermediary guidance for Privileged Access Management / Privileged Identity management.

Стратегия привилегированного доступа реализует этот принцип в основном путем применения политики нулевого доверия с условным доступом на входящих сеансах на интерфейсах и посредниках.The privileged access strategy accomplishes this principle primarily by enforcing Zero Trust policy with Conditional Access on inbound sessions at interfaces and intermediaries. Принцип «чистого источника» начинается с получения нового устройства от изготовителя вычислительной техники, созданного в соответствии со спецификациями безопасности, включая версию операционной системы, конфигурацию базовых показателей безопасности и другие требования, такие как использование автопилота Windows для развертывания.The clean source principle starts with getting a new device from an OEM that is built to your security specifications including operating system version, security baseline configuration, and other requirements such as using Windows Autopilot for deployment.

При необходимости принцип «чистого источника» может быть расширен с помощью строго тщательного анализа каждого компонента в цепочке поставок, включая установочный носитель для операционных систем и приложений.Optionally, the clean source principle can extend into a highly rigorous review of each component in the supply chain including installation media for operating systems and applications. Хотя этот принцип подходит для организаций, у которых есть высокосложные злоумышленники, он должен быть более низким приоритетом, чем другие элементы управления в этом руководстве.While this principle would be appropriate for organizations facing highly sophisticated attackers, it should be a lower priority than the other controls in this guidance.

Дальнейшие действияNext steps