Privilegierad åtkomst: Strategi

Microsoft rekommenderar att du använder den här strategin för privilegierad åtkomst för att snabbt minska riskerna för din organisation från hög påverkan och attacker med hög sannolikhet på privilegierad åtkomst.

Privilegierad åtkomst bör vara högsta säkerhetsprioritet i alla organisationer. Alla kompromisser med dessa användare har stor risk för betydande negativ inverkan på organisationen. Privilegierade användare har tillgång till affärskritiska tillgångar i en organisation, vilket nästan alltid orsakar stor inverkan när angripare komprometterar sina konton.

Denna strategi bygger på Nolltillit principer om uttrycklig validering, minst privilegier och antagande av brott. Microsoft har tillhandahållit implementeringsvägledning som hjälper dig att snabbt distribuera skydd baserat på denna strategi

Viktigt

Det finns ingen enskild teknisk lösning för "silverkula" som på ett magiskt sätt minimerar risken för privilegierad åtkomst, du måste blanda flera tekniker till en holistisk lösning som skyddar mot flera attackerande startpunkter. Organisationer måste ta med rätt verktyg för varje del av jobbet.

Varför är privilegierad åtkomst viktig?

Säkerheten för privilegierad åtkomst är mycket viktig eftersom den är grundläggande för alla andra säkerhetsgarantier, en angripare som har kontroll över dina privilegierade konton kan undergräva alla andra säkerhetsgarantier. Ur ett riskperspektiv är förlust av privilegierad åtkomst en händelse med hög påverkan med hög sannolikhet att hända som växer i en alarmerande takt i olika branscher.

Dessa attacktekniker användes ursprungligen i riktade datastöldattacker som resulterade i många uppmärksammade överträdelser hos välbekanta varumärken (och många orapporterade incidenter). På senare tid har dessa tekniker antagits av ransomware-angripare, vilket underblåser en explosiv tillväxt av mycket lönsamma utpressningstrojanattacker som avsiktligt stör affärsverksamhet över hela branschen.

Viktigt

Utpressningstrojaner som hanteras av människor skiljer sig från enstaka datortrojanattacker som riktar sig mot en enda arbetsstation eller enhet.

Den här grafiken beskriver hur den här utpressningsbaserade attacken ökar i påverkan och sannolikheten att använda privilegierad åtkomst:

PLACEHOLDER

  • Stor inverkan på verksamheten
    • Det är svårt att överdriva den potentiella affärseffekten och skadan av en förlust av privilegierad åtkomst. Angripare med privilegierad åtkomst har full kontroll över alla företagstillgångar och resurser, vilket ger dem möjlighet att avslöja konfidentiella data, stoppa alla affärsprocesser eller undergräva affärsprocesser och maskiner för att skada egendom, skada människor eller värre. Massiva affärseffekter har setts i alla branscher med:
      • Riktad datastöld – angripare använder privilegierad åtkomst till och stjäl känslig immateriell egendom för eget bruk eller för att sälja/överföra till dina konkurrenter eller utländska regeringar
      • HumOR (Human-operated ransomware) – angripare använder privilegierad åtkomst för att stjäla och/eller kryptera alla data och system i företaget, vilket ofta stoppar alla affärsverksamheter. De utpressar sedan målorganisationen genom att kräva pengar för att inte avslöja data och/ eller tillhandahålla nycklar för att låsa upp den.
  • Hög sannolikhet för förekomst
    • Prevalensen av privilegierade åtkomstattacker har vuxit sedan tillkomsten av moderna stöldattacker för autentiseringsuppgifter som börjar med passera hashteknikerna. Dessa tekniker hoppade först i popularitet med brottslingar som börjar med 2008 releasen av attackverktyget "Pass-the-Hash Toolkit" och har vuxit till en svit av tillförlitliga attacktekniker (mestadels baserat på Mimikatz toolkit). Denna vapenisering och automatisering av tekniker tillät attackerna (och deras efterföljande inverkan) att växa i snabb takt, begränsad endast av målorganisationens sårbarhet för attackerna och angriparens intäktsgenerering / incitamentsmodeller.
      • Före tillkomsten av en människodriven ransomware (HumOR) var dessa attacker vanliga men ofta osynliga eller missförstådda på grund av:
        • Gränser för attackerande intäkter – Endast grupper och individer som visste hur man skulle tjäna pengar på känslig immateriell egendom från målorganisationer kunde dra nytta av dessa attacker.
        • Tyst inverkan – Organisationer missade ofta dessa attacker eftersom de inte hade identifieringsverktyg, och hade också svårt att se och uppskatta den resulterande affärseffekten (till exempel hur deras konkurrenter använde sin stulna immateriella egendom och hur det påverkade priser och marknader, ibland flera år senare). Dessutom höll organisationer som såg attackerna ofta tyst om dem för att skydda sitt rykte.
      • Både den tysta effekten och risken för intäktsbegränsningar för dessa attacker upplöses i och med tillkomsten av en utpressningstrojan som drivs av människor, som växer i volym, påverkan och medvetenhet eftersom det är både:
        • Högt och störande - till affärsprocesser för betalning av utpressningskrav.
        • Universellt tillämpligt - Varje organisation i varje bransch är ekonomiskt motiverad att fortsätta verksamheten utan avbrott.

Av dessa anledningar bör privilegierad åtkomst ha högsta säkerhetsprioritet i alla organisationer.

Skapa en strategi för privilegierad åtkomst

En strategi för privilegierad åtkomst är en resa som måste bestå av snabba vinster och stegvisa framsteg. Varje steg i din privilegierade åtkomststrategi måste ta dig närmare att "försegla" fortlöpande och flexibla angripare från privilegierad åtkomst, som är som vatten som försöker släcka in i din miljö genom alla tillgängliga svagheter.

Den här vägledningen är utformad för alla företag oavsett var du redan befinner dig på resan.

Holistisk praktisk strategi

Att minska risken från privilegierad åtkomst kräver en genomtänkt, holistisk och prioriterad kombination av riskreduceringar som spänner över flera tekniker.

Att bygga denna strategi kräver erkännande av att angripare är som vatten eftersom de har många alternativ som de kan utnyttja (av vilka vissa kan verka obetydliga till en början), angripare är flexibla i vilka de använder, och de tar i allmänhet vägen för minst motstånd mot att uppnå sina mål.

Attackers are like water and can appear insignificant at first but, flood over time

De vägar som angripare prioriterar i praktiken är en kombination av:

  • Etablerade tekniker (ofta automatiserade i attackverktyg)
  • Nya tekniker som är enklare att utnyttja

På grund av den tekniska mångfalden kräver denna strategi en fullständig strategi som kombinerar flera tekniker och följer Nolltillit principer.

Viktigt

Du måste anta en strategi som innehåller flera tekniker för att försvara dig mot dessa attacker. Det räcker inte med att implementera en prvilegerad lösning för identitetshantering/privilegierad åtkomsthantering (PIM/PAM). Mer information finns i Privilegierade åtkomstförmedlare.

  • Angriparna är målorienterade och teknikagnostiska och använder alla typer av attacker som fungerar.
  • Den åtkomstkontroll stam du försvarar är integrerad i de flesta eller alla system i företagsmiljön.

Om du förväntar dig att du kan identifiera eller förhindra dessa hot med bara nätverkskontroller eller en enda privilegierad åtkomstlösning blir du sårbar för många andra typer av attacker.

Strategiskt antagande – Molnet är en källa till säkerhet

Den här strategin använder molntjänster som primär källa till säkerhets- och hanteringsfunktioner i stället för lokala isoleringstekniker av flera anledningar:

  • Molnet har bättre funktioner – De mest kraftfulla säkerhets- och hanteringsfunktionerna som är tillgängliga idag kommer från molntjänster, inklusive sofistikerad verktygshantering, intern integration och enorma mängder säkerhetsintelligens som säkerhetssignaler på över 8 biljoner om dagen som Microsoft använder för våra säkerhetsverktyg.
  • Molnet är enklare och snabbare – Det krävs liten eller ingen infrastruktur för att implementera och skala upp molntjänster, vilket gör att dina team kan fokusera på sitt säkerhetsuppdrag i stället för teknikintegrering.
  • Molnet kräver mindre underhåll – Molnet hanteras, underhålls och skyddas konsekvent av leverantörsorganisationer med team som är dedikerade till det enda syftet för tusentals kundorganisationer, vilket minskar tiden och ansträngningen för ditt team att noggrant underhålla funktioner.
  • Molnet förbättras hela tiden – Funktioner i molntjänster uppdateras hela tiden utan att organisationen behöver investera kontinuerligt.

Microsofts rekommenderade strategi är att stegvis bygga ett system med "sluten slinga" för privilegierad åtkomst som säkerställer att endast betrodda "rena" enheter, konton och mellanledssystem kan användas för privilegierad åtkomst till affärskänsliga system.

Precis som tätskikt något komplex i verkliga livet som en båt, måste du utforma denna strategi med ett avsiktligt resultat, upprätta och följa standarder noggrant, och kontinuerligt övervaka och granska resultaten så att du åtgärdar eventuella läckor. Du skulle inte bara spika brädor tillsammans i en båtform och magiskt förvänta dig en vattentät båt. Du skulle först fokusera på att bygga och tätskikt betydande föremål som skrovet och kritiska komponenter som motorn och styrmekanismen (samtidigt som man lämnar sätt för människor att komma in), sedan senare tätskikt komfort objekt som radio, säten och liknande. Du skulle också behålla det över tid eftersom även det mest perfekta systemet kan komma en läcka senare, så du måste hålla dig uppdaterad om förebyggande underhåll, övervaka för läckor och åtgärda dem för att hålla det från att sjunka.

Att skydda privilegierad åtkomst har två enkla mål

  1. Begränsa strikt möjligheten att utföra privilegierade åtgärder till några auktoriserade vägar
  2. Skydda och noggrant övervaka dessa vägar

Det finns två typer av vägar för åtkomst till systemen, användaråtkomst (för att använda funktionen) och privilegierad åtkomst (för att hantera funktionen eller åtkomst till en känslig funktion)

Two pathways to systems user and privileged access

  • Användaråtkomst – den ljusare blå sökvägen längst ned i diagrammet visar ett vanligt användarkonto som utför allmänna produktivitetsuppgifter som e-post, samarbete, surfning och användning av verksamhetsspecifika program eller webbplatser. Den här sökvägen omfattar kontologgning på en enhet eller arbetsstationer, som ibland passerar genom en mellanled som en fjärråtkomstlösning och interagerar med företagssystem.
  • Privilegierad åtkomst – den mörkare blå sökvägen längst upp i diagrammet visar privilegierad åtkomst, där privilegierade konton som IT-administratörer eller andra känsliga konton får åtkomst till affärskritiska system och data eller utför administrativa uppgifter på företagssystem. Även om de tekniska komponenterna kan vara lika till sin natur, är den skada en motståndare kan orsaka med privilegierad åtkomst mycket högre.

Det fullständiga åtkomsthanteringssystemet omfattar även identitetssystem och godkända höjningsvägar.

Two pathways plus identity systems and elevation paths

  • Identitetssystem – tillhandahåller identitetskataloger som är värd för konton och administrativa grupper, synkroniserings- och federationsfunktioner och andra identitetsstödsfunktioner för standardanvändare och privilegierade användare.
  • Authorized Elevation Paths – tillhandahåller medel för standardanvändare att interagera med privilegierade arbetsflöden, till exempel chefer eller kollegor som godkänner begäranden om administrativa rättigheter till ett känsligt system genom en jit-process (just in time) i ett system för hantering av privilegierad åtkomst/privilegierad identitet.

Dessa komponenter består tillsammans av den privilegierade åtkomstattackytan som en motståndare kan rikta in sig på för att försöka få förhöjd åtkomst till ditt företag:

Attack surface unprotected

Observera

För lokala system och infrastruktur som servicesystem (IaaS) som finns på ett operativsystem som hanteras av kunder ökar attackytan dramatiskt med hanterings- och säkerhetsagenter, tjänstkonton och potentiella konfigurationsproblem.

För att skapa en hållbar och hanterbar privilegierad åtkomststrategi måste alla obehöriga vektorer stängas för att skapa den virtuella motsvarigheten till en kontrollkonsol som fysiskt är kopplad till ett säkert system som representerar det enda sättet att komma åt den.

Denna strategi kräver en kombination av:

  • Nolltillit åtkomstkontroll som beskrivs i den här vägledningen, inklusive en snabb moderniseringsplan (RAMP)
  • Tillgångsskydd för att skydda mot direkta tillgångsattacker genom att tillämpa god säkerhet hygienpraxis på dessa system. Resursskydd för resurser (utöver åtkomstkontrollkomponenter) omfattas inte av denna vägledning, men omfattar vanligtvis snabb tillämpning av säkerhetsuppdateringar/korrigeringar, konfiguration av operativsystem med hjälp av säkerhetsbaslinjer för tillverkare/bransch, skydd av data i vila och under överföring och integrering av bästa metoder för säkerhet för utveckling/DevOps-processer.

Reduce the attack surface

Strategiska initiativ på resan

Genomförandet av denna strategi kräver fyra kompletterande initiativ som var och en har tydliga resultat och framgångskriterier

  1. Sessionsäkerhet från slutpunkt till slutpunkt – Upprätta explicit Nolltillit validering för privilegierade sessioner, användarsessioner och godkända eskaleringssökvägar.
    1. Framgångsvillkor: Varje session verifierar att varje användarkonto och enhet är betrodda på en tillräcklig nivå innan åtkomst tillåts.
  2. Skydda & övervakning av identitetssystem, inklusive kataloger, identitetshantering, administratörskonton, medgivandebidrag med mera
    1. Framgångskriterier: Var och en av dessa system kommer att skyddas på en nivå som är lämplig för den potentiella affärseffekten av konton som finns i den.
  3. Minimera lateral travers för att skydda mot lateral bläddering med lokala kontolösenord, lösenord för tjänstkonto eller andra hemligheter
    1. Framgångsvillkor: Om du kompromissar med en enda enhet leder det inte omedelbart till kontroll av många eller alla andra enheter i miljön
  4. Snabba hot för att begränsa motståndarens åtkomst och tid i miljön
    1. Framgångskriterier: Incidentsvarsprocesser hindrar motståndare från att på ett tillförlitligt sätt utföra en attack i flera steg i miljön som skulle leda till förlust av privilegierad åtkomst. (mätt genom att minska tiden för att åtgärda (MTTR) av incidenter som innebär privilegierad åtkomst till nära noll och minska MTTR för alla incidenter till några minuter så att motståndare inte har tid att rikta privilegierad åtkomst)

Nästa steg