Dela via


Framgångskriterier för strategi för privilegierad åtkomst

I det här dokumentet beskrivs framgångskriterierna för en strategi för privilegierad åtkomst. I det här avsnittet beskrivs strategiska perspektiv för framgång för en strategi för privilegierad åtkomst. En översikt över hur du antar den här strategin finns i den snabba moderniseringsplanen (RaMP). Vägledning för implementering finns i Privilegierad åtkomstdistribution

Genom att implementera en holistisk strategi med hjälp av Nolltillit metoder skapas en slags "tätning" över åtkomstkontrollen för privilegierad åtkomst som gör den resistent mot angripare. Den här strategin uppnås genom att begränsa vägar till privilegierad åtkomst endast ett fåtal utvalda och sedan noggrant skydda och övervaka dessa auktoriserade vägar.

End state goal with limited entry paths for attackers

En lyckad strategi måste hantera alla punkter som angripare kan använda för att fånga upp arbetsflöden för privilegierad åtkomst, inklusive fyra olika initiativ:

  • Arbetsflödeselement för privilegierad åtkomst i arbetsflödet för privilegierad åtkomst, inklusive underliggande enheter, operativsystem, program och identiteter
  • Identitetssystem som är värdar för de privilegierade kontona och grupperna samt andra artefakter som ger behörighet till kontona
  • Arbetsflöde för användaråtkomst och auktoriserade utökade sökvägar som kan leda till privilegierad åtkomst
  • Programgränssnitt där principen för noll förtroendeåtkomst tillämpas och rollbaserad åtkomstkontroll (RBAC) har konfigurerats för att bevilja behörigheter

Kommentar

En fullständig säkerhetsstrategi omfattar även tillgångsskydd som ligger utanför åtkomstkontrollens omfång, till exempel säkerhetskopiering av data och skydd mot attacker mot själva programmet, det underliggande operativsystemet och maskinvaran, på tjänstkonton som används av programmet eller tjänsten och på data i vila eller under överföring. Mer information om hur du moderniserar en säkerhetsstrategi för molnet finns i Definiera en säkerhetsstrategi.

En attack består av mänskliga angripare som utnyttjar automatisering och skript för att attackera en organisation består av människor, de processer de följer och den teknik de använder. På grund av denna komplexitet hos både angripare och försvarare måste strategin vara mångfasetterad för att skydda sig mot alla människor, processer och tekniska sätt som säkerhetsgarantierna oavsiktligt kan undergrävas på.

För att säkerställa en hållbar långsiktig framgång måste följande kriterier uppfyllas:

Hänsynslös prioritering

Hänsynslös prioritering är praxis att vidta de mest effektiva åtgärderna med den snabbaste tiden att värdera först, även om dessa ansträngningar inte passar befintliga planer, uppfattningar och vanor. Den här strategin beskriver de steg som har lärts i den eldiga degeln av många stora cybersäkerhetsincidenter. Lärdomarna från dessa incidenter utgör de steg som vi hjälper organisationer att vidta för att se till att dessa kriser inte inträffar igen.

Även om det alltid är frestande för säkerhetspersonal att försöka optimera välbekanta befintliga kontroller som nätverkssäkerhet och brandväggar för nyare attacker, leder den här vägen konsekvent till fel. Microsoft Incident Response-teamet) har svarat på privilegierade åtkomstattacker i nästan ett decennium och ser konsekvent att dessa klassiska säkerhetsmetoder inte kan identifiera eller stoppa dessa attacker. Nätverkssäkerhet ger nödvändig och viktig grundläggande säkerhetshygien, men det är viktigt att bryta sig ur dessa vanor och fokusera på åtgärder som avskräcker eller blockerar verkliga attacker.

Prioritera hänsynslöst de säkerhetskontroller som rekommenderas i den här strategin, även om det utmanar befintliga antaganden och tvingar människor att lära sig nya färdigheter.

Balansera säkerhet och produktivitet

Precis som med alla delar av säkerhetsstrategin bör privilegierad åtkomst säkerställa att både produktivitets- och säkerhetsmålen uppfylls.

Genom att balansera säkerheten undviker du de ytterligheter som skapar risker för organisationen genom att:

  • Undvika alltför strikt säkerhet som gör att användarna hamnar utanför de säkra principerna, vägarna och systemen.
  • Att undvika svag säkerhet som skadar produktiviteten genom att tillåta angripare att enkelt kompromettera organisationen.

Mer information om säkerhetsstrategi finns i Definiera en säkerhetsstrategi.

För att minimera negativ affärspåverkan från säkerhetskontroller bör du prioritera osynliga säkerhetskontroller som förbättrar användararbetsflöden, eller åtminstone inte hindrar eller ändrar användararbetsflöden. Även om säkerhetskänsliga roller kan behöva synliga säkerhetsåtgärder som ändrar deras dagliga arbetsflöden för att ge säkerhetsgarantier, bör den här implementeringen göras eftertänksamt för att begränsa användbarhetspåverkan och omfattning så mycket som möjligt.

Den här strategin följer den här vägledningen genom att definiera tre profiler (beskrivs senare i Keep it Simple – Personas and Profiles)

Productivity and security ramped up by privilege levels

Starka partnerskap inom organisationen

Säkerhet måste fungera för att skapa partnerskap inom organisationen för att lyckas. Förutom den tidlösa sanningen att "ingen av oss är lika smart som vi alla" är säkerhetens natur att vara en stödfunktion för att skydda någon annans resurser. Säkerhet är inte ansvarigt för de resurser som de hjälper till att skydda (lönsamhet, drifttid, prestanda osv.), säkerhet är en supportfunktion som ger expertråd och tjänster för att skydda immateriella rättigheter och affärsfunktioner som är viktiga för organisationen.

Säkerhet bör alltid fungera som partner till stöd för affärs- och uppdragsmål. Även om säkerheten inte bör dra sig för att ge direkta råd som att rekommendera att inte acceptera en hög risk, bör säkerheten också alltid rama in den rådgivningen när det gäller affärsrisken i förhållande till andra risker och möjligheter som hanteras av resursägarna.

Vissa delar av säkerheten kan planeras och köras framgångsrikt främst inom säkerhetsorganisationen, men många som att skydda privilegierad åtkomst kräver ett nära samarbete med IT- och företagsorganisationer för att förstå vilka roller som ska skyddas och hjälpa till att uppdatera och omforma arbetsflöden för att säkerställa att de både är säkra och gör det möjligt för människor att utföra sina jobb. Mer information om den här idén finns i avsnittet Transformationer, tankesätt och förväntningar i vägledningsartikeln för säkerhetsstrategi.

Störa angriparens avkastning på investeringen

Håll fokus på pragmatism genom att se till att defensiva åtgärder sannolikt kommer att störa angriparens värdeförslag att attackera dig, vilket ökar kostnaden och friktionen på angriparens förmåga att framgångsrikt attackera dig. Att utvärdera hur defensiva åtgärder skulle påverka angriparens kostnad för angrepp ger både en felfri påminnelse om att fokusera på angriparens perspektiv samt en strukturerad mekanism för att jämföra effektiviteten hos olika alternativ för minskning.

Målet bör vara att öka angriparens kostnad samtidigt som du minimerar din egen säkerhetsinvesteringsnivå:

Increase attack cost with minimal defense cost

Stör angriparens avkastning på investeringen (ROI) genom att öka kostnaden för angrepp över elementen i den privilegierade åtkomstsessionen. Det här konceptet beskrivs mer detaljerat i artikeln Framgångskriterier för en strategi för privilegierad åtkomst.

Viktigt!

En strategi för privilegierad åtkomst bör vara omfattande och ge skydd på djupet, men måste undvika kostnaden på djupet där försvarare bara staplar på mer samma (välbekanta) typkontroller (ofta nätverksbrandväggar/filter) förbi den punkt där de lägger till något meningsfullt säkerhetsvärde.

Mer information om roi-attacker finns i den korta videon och den djupgående diskussionen Störa angriparens avkastning på investeringen.

Rensa källprincip

Den här principen kräver att alla säkerhetsberoenden är lika tillförlitliga som det objekt som skyddas.

Clean source principle

Alla subjekt som kontrolleras av ett objekt är ett säkerhetsberoende till det objektet. Om en angripare kan styra något som styr ett målobjekt kan de styra målobjektet. På grund av det här hotet måste du se till att garantierna för alla säkerhetsberoenden ligger på eller över den önskade säkerhetsnivån för själva objektet. Den här principen gäller för många typer av kontrollrelationer:

If an attacker controls any part of the target they control the target

Även om det är enkelt i princip blir det här konceptet enkelt komplext i den verkliga världen eftersom de flesta företag växte organiskt under årtionden och har många tusentals kontrollrelationer rekursivt som bygger på varandra, loopar tillbaka på varandra eller båda. Det här nätet av kontrollrelationer ger många åtkomstvägar som en angripare kan identifiera och navigera under en attack, ofta med automatiserade verktyg.

Microsofts rekommenderade strategi för privilegierad åtkomst är i själva verket en plan för att reda ut de viktigaste delarna i den här knuten först med hjälp av en Nolltillit metod, genom att uttryckligen verifiera att källan är ren innan du tillåter åtkomst till målet.

I samtliga fall måste källans förtroendenivå vara samma eller högre än målet.

  • Det enda anmärkningsvärda undantaget till den här principen är att tillåta användning av ohanterade personliga enheter och partnerenheter för företagsscenarier. Det här undantaget möjliggör samarbete och flexibilitet för företag och kan minimeras till en acceptabel nivå för de flesta organisationer på grund av det låga relativa värdet för företagstillgångarna. Mer kontext om BYOD-säkerhet finns i blogginlägget How a BYOD policy can reduce security risk in the public sector.
  • Samma undantag kan dock inte utökas till särskilda säkerhetsnivåer och privilegierade säkerhetsnivåer på grund av dessa tillgångars säkerhetskänslighet. Vissa PIM/PAM-leverantörer kan förespråka att deras lösningar kan minska enhetsrisken från enheter på lägre nivå, men vi håller inte alls med om dessa påståenden baserat på vår erfarenhet av att undersöka incidenter. Tillgångsägarna i din organisation kan välja att acceptera risken att använda enheter på företagssäkerhetsnivå för att få åtkomst till specialiserade eller privilegierade resurser, men Microsoft rekommenderar inte den här konfigurationen. Mer information finns i vägledningen för mellanhand för Privileged Access Management/Privileged Identity Management.

Strategin för privilegierad åtkomst åstadkommer den här principen främst genom att framtvinga Nolltillit princip med villkorsstyrd åtkomst vid inkommande sessioner i gränssnitt och mellanhänder. Principen för ren källa börjar med att hämta en ny enhet från en OEM-tillverkare som är byggd enligt dina säkerhetsspecifikationer, inklusive operativsystemversion, konfiguration av säkerhetsbaslinjer och andra krav som att använda Windows Autopilot för distribution.

Om du vill kan principen för ren källa utökas till en strikt granskning av varje komponent i leveranskedjan, inklusive installationsmedia för operativsystem och program. Även om den här principen skulle vara lämplig för organisationer som har mycket avancerade angripare bör den ha lägre prioritet än de andra kontrollerna i den här vägledningen.

Nästa steg