Privilegierad åtkomst: Strategi
Microsoft rekommenderar att du inför den här behörighetsstrategin för att snabbt minska riskerna för organisationen från hög effekt och hög sannolikhetsattacker på privilegierad åtkomst.
Behörighet ska vara högsta säkerhetsprioritet i varje organisation. Alla kompromettanter av dessa användare har stora sannolikheter att påverka organisationen avsevärt negativt. Privilegierade användare har åtkomst till verksamhetskritiska tillgångar i en organisation, vilket nästan alltid orsakar större påverkan när attackerare komprometterar sina konton.
Den här strategi bygger på noll förtroendeprinciper för explicit validering, minsta behörighet och antagandet om intrång. Microsoft har tillhandahållit implementeringsvägledning som hjälper dig att snabbt distribuera skydd baserat på den här strategi
Viktigt
Det finns ingen teknisk lösning med "silver bullet" som på ett magiska sätt minimerar behörighetsåtkomstrisken, du måste blanda ihop flera tekniker till en lösning som skyddar mot flera attackersinmatningspunkter. Organisationer måste använda rätt verktyg för varje del av jobbet.
Varför är privilegierad åtkomst viktig?
Säkerheten för behörig åtkomst är viktigt eftersom den är grund för alla andra säkerhetsgranskningar, och en attackerare som har kontroll över dina behöriga konton kan underminera alla andra säkerhetsgranskningar. Ur ett riskperspektiv är förlust av privilegierad åtkomst en hög påverkanshändelse med en hög sannolikhet för att inträffa som ökar i en alarmerande takt i branscher.
De här attacktekniker användes först i riktade datastöldattacker som resulterade i många högprofilbrott hos välbekanta varumärken (och många orapporterade incidenter). Mer nyligen har de här teknikerna använts av utpressningstrojaner, och på så sätt blivit en bensintillväxt av mycket lönsamma mänskliga utpressningstrojaner som avsiktligt stör affärsåtgärder inom hela branschen.
Viktigt
Human operated ransomware is different from commodity single computer ransowmare attacks that target a single arbetsstation or device.
I den här bilden beskrivs hur den här extortionsbaserade attacken växer i påverkan och sannolikhet när behörighet används:
- Stor inverkan på företaget
- Det är svårt att överrelig än potentiella affärseffekter och skador på en förlust till privilegierad åtkomst. Attackerare med privilegierad åtkomst har full kontroll över alla företagstillgångar och resurser, vilket ger dem möjlighet att avslöja konfidentiella data, stoppa alla affärsprocesser eller underkonvertering av affärsprocesser och maskiner för att skada egendom, skada personer eller i värsta fall.
Enorm inverkan på företaget har visats i alla branscher med:
- Riktad datastöld – attackerare använder privilegierad åtkomst för att komma åt och stjäla känslig immateriell egendom för eget bruk eller för att sälja/överföra till dina konkurrenter eller utländska myndigheter
- HumOR (Human-operated ransomware) – attacker använder privilegierad åtkomst för att stjäla och/eller kryptera alla data och system i företaget, vilket ofta stoppar alla affärsåtgärder. De utser sedan målorganisationen genom att utnyttja pengar för att inte avslöja data och/eller tillhandahålla nycklar för att låsa upp dem.
- Det är svårt att överrelig än potentiella affärseffekter och skador på en förlust till privilegierad åtkomst. Attackerare med privilegierad åtkomst har full kontroll över alla företagstillgångar och resurser, vilket ger dem möjlighet att avslöja konfidentiella data, stoppa alla affärsprocesser eller underkonvertering av affärsprocesser och maskiner för att skada egendom, skada personer eller i värsta fall.
Enorm inverkan på företaget har visats i alla branscher med:
- Hög sannolikhet för förekomst
- Ariten av privilegierade åtkomstattacker har vuxit sedan nya autentiseringsstölder börjar med hash-tekniker. Dessa tekniker hoppade först i popularitet med brottslingar från och med 2008-versionen av attackverktyget "Pass-the-Hash Toolkit" och har vuxit till en uppsättning tillförlitliga attacktekniker (mest baserat på Mimikatz-verktygen). Genom att använda anpassning och automatisering av tekniker kunde attacker (och deras efterföljande påverkan) växa i snabb takt, och begränsas bara av målorganisationens sårbarhet för attacker och attackerens pengar/uppmuntrande modeller.
- Före nyan av den mänskliga utpressningstrojanen (HumOR) var dessa attacker vanliga men ofta opåståeliga eller missuppfattade på grund av:
- Tjäna pengar på attacker – Endast grupper och personer som visste hur man tjäna pengar på känslig immateriell egendom från målorganisationer skulle kunna tjäna pengar på dessa attacker.
- Tyst påverkan – Organisationer missade ofta dessa attacker eftersom de inte hade några identifieringsverktyg och dessutom hade svårt att se och uppskatta den resulterande affärs effekten (till exempel hur deras konkurrenter använde sin stulna immateriella egendom och hur de påverkade priser och marknader, ibland år senare). Dessutom kunde organisationer som såg attacker ofta tyst om dem för att skydda sina rykte.
- Både det tysta inflytandet och attackerbegränsningarna på dessa attacker är ointegrerat med nya människor som får utpressningstrojaner, som växer i volym, påverkan och information eftersom båda finns:
- Högljudd och störande – till affärsprocesser för betalning av behov av utpressning.
- Universellt tillämpbar – Alla organisationer i varje bransch motiveras att fortsätta med åtgärder utan avbrott.
- Före nyan av den mänskliga utpressningstrojanen (HumOR) var dessa attacker vanliga men ofta opåståeliga eller missuppfattade på grund av:
- Ariten av privilegierade åtkomstattacker har vuxit sedan nya autentiseringsstölder börjar med hash-tekniker. Dessa tekniker hoppade först i popularitet med brottslingar från och med 2008-versionen av attackverktyget "Pass-the-Hash Toolkit" och har vuxit till en uppsättning tillförlitliga attacktekniker (mest baserat på Mimikatz-verktygen). Genom att använda anpassning och automatisering av tekniker kunde attacker (och deras efterföljande påverkan) växa i snabb takt, och begränsas bara av målorganisationens sårbarhet för attacker och attackerens pengar/uppmuntrande modeller.
Därför bör privilegierad åtkomst vara högsta säkerhetsprioritet i varje organisation.
Skapa en strategi för privilegierad åtkomst
Behörighetsstrategin är en resa som måste bestå av snabba vinster och stegvisa framsteg. Varje steg i en behörighetsstrategi måste ta dig närmare de beständiga och flexibla attackerarna från privilegierad åtkomst, som är som ett vatten som försöker komma in i din miljö på grund av en tillgänglig tillgång.
Den här vägledningen är utformad för alla företag oavsett var du redan är på resan.
Praktisk strategi för praktiska lösningar
Att minska risken från privilegierad åtkomst kräver en genomtänkt, holistisk och prioriterad kombination av riskbegränsningar som spänner över flera tekniker.
Att bygga den här metoden kräver ett erkännande att attacker är som vatten eftersom de har många alternativ som de kan utnyttja (en del av dem kan verka ha ingen betydelse först), attacker är flexibla i vilka de använder och de går i allmänhet i den vägen som är minst motans för att uppnå sina mål.
Attackerarna som attackerar prioriterar i praktiken är en kombination av:
- Etablerade tekniker (ofta automatiserade i attackverktyg)
- Nya tekniker som är enklare att utnyttja
På grund av den mångfald av teknik som ingår kräver den här metoden en fullständig strategi som kombinerar flera tekniker och följer Zero Trust-principer.
Viktigt
Du måste använda en strategi som omfattar flera tekniker för att försvara dig mot dessa attacker. Det räcker inte med att helt enkelt implementera en prvilegerad identitetshantering/hantering av privilegierad åtkomst (PIM/PAM). Mer information finns i Detta är privilegierad åtkomst.
- Attackerarna är målorienterade och agnostic, med vilken typ av attack som helst.
- Det system för åtkomstkontroll som du skyddar är integrerat i de flesta eller alla system i företagsmiljön.
Om du förväntar dig att du kan upptäcka eller förhindra dessa hot med bara nätverkskontroller eller en enda behörighetslösning kommer du att bli sårbar för många andra typer av attacker.
Strategiska antaganden – Molnet är en säkerhetskälla
Den här strategi använder molntjänster som primär källa för säkerhets- och hanteringsfunktioner i stället för tekniker för lokal avgränsning av flera orsaker:
- Molnet har bättre funktioner – De kraftfullaste säkerhets- och hanteringsfunktionerna som finns idag kommer från molntjänster, inklusive avancerade verktyg, inbyggd integrering och stora mängder säkerhetsinformation, som säkerheten är över 8 meter som en dag som Microsoft använder för våra säkerhetsverktyg.
- Molnet är enklare och snabbare – Att införa molntjänster kräver liten eller ingen infrastruktur för att implementera och skala upp, vilket gör att dina grupper kan fokusera på sitt säkerhets uppdrag i stället för teknikintegration.
- Molnet kräver mindre underhåll – Molnet hanteras, underhålls och skyddas på ett konsekvent sätt av leverantörsorganisationer med team dedikerade till samma syfte för tusentals kundorganisationer, vilket minskar tiden och arbetet för ditt team att hantera funktioner noggrant.
- Molnet håller på att förbättras – funktioner i molntjänster uppdateras hela tiden utan att din organisation behöver investera kontinuerligt.
Skapa den rekommenderade strategin
Microsofts rekommenderade strategi är att stegvis bygga ett "stängt loop"-system för privilegierad åtkomst som bara ser till att betrodda "rena" enheter, konton och mellanled kan användas för privilegierad åtkomst till affärskänsliga system.
På samma sätt som att ha en båt som liknar en båt måste du utforma den här strategin med ett avsiktligt resultat, upprätta och följa standarder noggrant och kontinuerligt övervaka och granska resultaten så att du kan åtgärda eventuella läckor. Du skulle inte bara sätta ihop båttavlor i en båtform och förväntar dig på en båt. Du fokuserar först på att skapa och ta viktiga objekt som här och viktiga komponenter som motorn och mekanismen för bostadshus (samtidigt som det är andra sätt att komma igång) och sedan fokusera på att få saker som radio, platser och liknande. Med tiden skulle du dessutom kunna upprätthålla den, eftersom även det mest perfekta systemet skulle kunna vårläcka en läcka senare, så du måste hålla koll på det förebyggande underhållet, övervaka för läckor och åtgärda dem för att förhindra att det repareras.
Att skydda behörig åtkomst har två enkla mål
- Begränsa möjligheten att utföra behörighetsåtgärder till några behöriga gångvägar
- Skydda och övervaka dessa gångvägar
Det finns två typer av gångvägar för åtkomst till system, användaråtkomst (för att använda funktionen) och privilegierad åtkomst (för att hantera funktionen eller komma åt en känslig funktion)
- Användaråtkomst – den ljusare blå sökvägen längst ned i diagrammet visar ett vanligt användarkonto som utför allmänna produktivitetsuppgifter som e-post, samarbete, surfning och användning av affärsprogram eller webbplatser. Den här sökvägen omfattar en kontologgning på en enhet eller arbetsstationer, som ibland passerar genom mellanled som en lösning för fjärråtkomst och interagera med företagssystem.
- Behörighetsbehörighet – den mörkare blå sökvägen högst upp i diagrammet visar privilegierad åtkomst, där behöriga konton som IT-administratörer eller andra känsliga konton har åtkomst till affärskritiska system och data eller utför administrativa uppgifter i företagssystem. Även om de tekniska komponenterna kan vara likartade till sin natur kan skada som ett adversaryt kan leda till mycket högre behörighet.
I hanteringssystemet för fullständig åtkomst ingår även identitetssystem och auktoriserade sökvägar för höjd.
- Identity Systems – tillhandahåller identitetskataloger som fungerar som värdar för konton och administratörsgrupper, synkroniserings- och federationsfunktioner och andra identitetsstödfunktioner för standardanvändare och privilegierade användare.
- Authorized Elevation Paths – innebär att standardanvändare kan interagera med behöriga arbetsflöden, till exempel chefer eller peers, som ska godkänna förfrågningar om administrativ behörighet till ett känsligt system genom en precis in-time-process (JIT) i ett system för hantering av behörig åtkomst/privilegierad identitet.
De här komponenterna består gemensamt av den behörighetsbehörighetade åtkomstangreppen som ett adversaryt kan ha som mål att försöka få utökad åtkomst till ditt företag:
Obs!
För lokala system och infrastruktur som ett servicesystem (IaaS) på ett kund hanterat operativsystem ökar attackytan avsevärt med ledningen och säkerhetsagenter, tjänstekonton och möjliga konfigurationsproblem.
Om du skapar en pålitlig och hanterbar behörighetsstrategi måste du stänga alla obehöriga vektorer för att skapa den virtuella motsvarigheten till en kontrollkonsol som är fysiskt kopplad till ett säkert system som representerar det enda sättet att komma åt den.
Den här metoden kräver en kombination av:
- En kontroll med noll förtroende som beskrivs i den här vägledningen, inklusive den snabba moderniseringsplanen (RAMP)
- Tillgångsskydd för att skydda mot direkta tillgångsattacker genom att tillämpa metodtips för säkerhet i dessa system. Resursskydd för resurser (utanför åtkomstkontrollkomponenter) omfattas inte av den här vägledningen, men innehåller ofta snabb tillämpning av säkerhetsuppdateringar/korrigeringar, konfiguration av operativsystem med hjälp av baslinjer för tillverkare/branschsäkerhet, skydd av data i vila och överföring samt integrering av metodtips för säkerhet i utveckling/DevOps-processer.
Strategiska initiativ på resan
För att implementera den här metoden krävs fyra kompletterande initiativ som var och en har tydliga resultat och kriterier för framgång
- End-to-end-sessionssäkerhet – Upprätta explicit validering utan förtroende för privilegierade sessioner, användarsessioner och auktoriserade sökvägar.
- Kriterier för framgång: Varje session verifierar att varje användarkonto och enhet är betrodda på en tillräcklig nivå innan åtkomst tillåts.
- Protect & Monitor Identity Systems inklusive kataloger, identitetshantering, administratörskonton, medgivande med mera
- Kriterier för framgång: Var och en av dessa system kommer att skyddas på en nivå som är lämplig för kontons potentiella affärskon effekt.
- MinimeraBlad Traversal för att skydda mot traversal med lösenord för lokala konton, lösenord för tjänstkonto eller andra hemligheter
- Kriterier för framgång: Komprometterande en enskild enhet leder inte omedelbart till kontroll över många eller alla andra enheter i miljön
- Snabb svar på hot för att begränsa åtkomst till och tid i miljön
- Framgångskriterier: Incidentsvarsprocesser hindrade adversaries från att tillförlitligt utföra en flerstegsattack i miljön som skulle resultera i förlust av privilegierad åtkomst. (mäts genom att minska tiden för att åtgärda (MTTR) incidenter som innefattar privilegierad åtkomst till nära noll och minska MTTR för alla händelser till några minuter så att adversaries inte har tid att ha rätt behörighet)