Ayrıcalıklı erişim: Strateji
Microsoft, ayrıcalığı olan erişimde yüksek etki ve yüksek olasılıklı saldırılardan organizasyon açısından riskleri hızlı bir şekilde azaltmak için bu ayrıcalıklı erişim stratejisini benimsemeyi önermektedir.
Ayrıcalıklı erişim, her kuruluşta en yüksek güvenlik önceliğe sahip olmalıdır. Bu kullanıcıların güvenliğinden ödün vermenin kuruluş üzerinde büyük bir olumsuz etki olasılığı vardır. Ayrıcalıklı kullanıcılar kuruluşta iş açısından kritik varlıklara erişime sahip olur ve bir saldırganların hesaplarını tehlikeye atsa neredeyse her zaman büyük etkiye neden olur.
Bu strateji, açık doğrulama, en az ayrıcalık ve ihlal varsayımı ile ilgili Sıfır Güven ilkeleri temel alır. Microsoft, bu stratejiye dayalı korumaları hızlı bir şekilde dağıtmanıza yardımcı olacak uygulama kılavuzu sağladı
Önemli
Ayrıcalıklı erişim riskini mükemmel bir şekilde azaltacak tek bir "gümüş madde işareti" teknik çözümü yoktur; birden çok teknolojiyle birlikte, birden çok saldırgan giriş noktalarına karşı koruyan, holist bir çözümle karıştırmalısınız. Kuruluşların, işin her bölümü için doğru araçları getirmesi gerekir.
Ayrıcalıklı erişim neden önemlidir?
Ayrıcalıklı erişimin güvenliği son derece önemlidir çünkü diğer tüm güvenlik güvenceleri için temel öneme sahip olduğundan, ayrıcalıklı hesaplarınızı kontrol altında bulunduran bir saldırgan diğer tüm güvenlik güvencelerini altına alır. Risk açısından bakıldığında, ayrıcalıklı erişim kaybı, endüstriler genelinde alarm oranının arttığı bir durum olasılığı yüksek olan yüksek etki olayıdır.
Bu saldırı teknikleri ilk olarak, tanıdık markalarda (ve birçok tanınmayan olayda) çok sayıda yüksek profil ihlaline neden olan hedefli veri hırsızlığı saldırılarında kullanılmaktadır. Bu teknikler daha yakın zamanda fidye yazılımı saldırganları tarafından benimsenerek, sektör genelindeki iş işlemlerini bilerek kesintiye neden olan, yüksek derecede karlı insan tarafından çalıştırılan fidye yazılımı saldırılarının pat patlar.
Önemli
İnsan tarafından işletilen fidye yazılımı, tek bir iş istasyonu veya cihazı hedef alan tek bir bilgisayar ransowmare saldırılarından farklıdır.
Bu grafikte, bu extortion tabanlı saldırının etkisini nasıl artır olduğu ve ayrıcalıklı erişimi kullanma olasılığı açıklandı:
- İşletmeyi çok etkili
- İşletmenin olası etkisini ve ayrıcalıklı erişim kaybına karşı zarar vermenin aşırı etkili olduğunu ifade etmek zordur. Ayrıcalıklı erişime sahip olan saldırgan, tüm kurumsal varlıklar ve kaynaklar üzerinde tam denetime sahip olur ve onlara gizli verileri açıklama, tüm iş işlemlerini durdurma ya da iş süreçleriyle makinelerini mülkiyete zarar verme, insanlara zarar verme veya daha da kötüsü şekilde tersine çevirebilme olanağı verir.
Muazzam bir işletme etkisi her sektör genelinde şu şekilde görülür:
- Hedefli veri hırsızlığı - saldırganlar, kendi kullanımları için gizli fikri mülkiyete erişmek ve çalmak ya da rakip veya yabancı devletlere satış/aktarım yapmak için ayrıcalıklı erişim kullanır
- İnsan tarafından işletilen fidye yazılımı (HumOR) - saldırganlar, kuruluşta yer alan tüm verileri ve sistemleri çalmak ve/veya şifrelemek için ayrıcalıklı erişim kullanırlar ve çoğunlukla tüm iş işlemlerini durduruyorlar. Ardından, verilerin açıklanmasını talep etmek için para talep etmek ve/veya kilidi açmak için anahtar sağlamak için hedef kuruluşu edelerler.
- İşletmenin olası etkisini ve ayrıcalıklı erişim kaybına karşı zarar vermenin aşırı etkili olduğunu ifade etmek zordur. Ayrıcalıklı erişime sahip olan saldırgan, tüm kurumsal varlıklar ve kaynaklar üzerinde tam denetime sahip olur ve onlara gizli verileri açıklama, tüm iş işlemlerini durdurma ya da iş süreçleriyle makinelerini mülkiyete zarar verme, insanlara zarar verme veya daha da kötüsü şekilde tersine çevirebilme olanağı verir.
Muazzam bir işletme etkisi her sektör genelinde şu şekilde görülür:
- Tekrar olasılığı yüksek
- Karma tekniklerle başlayan modern kimlik bilgileri hırsızlığı saldırılarının ortaya çıktısı bu yana ayrıcalıklı erişim saldırılarının yaygınlığı artmaktadır. Bu teknikler önce saldırı aracının "Pass-the-Hash Araç Seti" ile başlayan suçlular tarafından popülerliğini atladı ve güvenilir saldırı teknikleri paketine (çoğunlukla Mimikatz araç seti temel alınarak) yetişiyor. Tekniklerin bu fazlalık ve otomasyonu, saldırıların (ve sonraki etkilerinin) hızlı bir oranda büyümelerine olanak sağlar ve ancak hedef kuruluşun saldırılar ve saldırgan para kazanma/teşvik modelleriyle sınırlı kalmalı.
- İnsan tarafından işletilen fidye yazılımlarının (HumOR) ortaya atılma öncesinde bu saldırılar yaygın olarak yaygındı, ancak çoğunlukla aşağıdakiler nedeniyle görülmez veya yanlış anlaşılmıştı:
- Saldırgan para kazanma sınırları - Yalnızca hedef kuruluşlardan para kazanmak için para kazanmayı bilen gruplar ve bireyler bu saldırılardan kazançlı olabilir.
- Sessiz etki - Kuruluşlar genellikle bu saldırıyı atlar çünkü algılama araçlarına sahip değildir ve bunun sonucunda elde edilen ticari etkiyi görmek ve tahmin etmekte zorlandılar (örneğin, rakiplerinin çalınmış fikri mülkiyetini nasıl kullanıyordu ve bu durumda fiyatları ve pazarları nasıl etkile ilgili olduğunu, bazen yıllar sonra). Buna ek olarak, saldırıları gören kuruluşlar, itibarını korumak için çoğunlukla onlardan sessize alır.
- Bu saldırılar üzerindeki hem sessiz etki hem de saldırgan paradan para kazanma sınırlamaları, hacmi, etkiyi ve farkındalığı giderek büyüyen, insan tarafından işletilen fidye yazılımlarının ortaya kaldırılmasıyla çözülüyor, çünkü ikisi de:
- Yüksek sesle ve kesintili- extortion taleplerinin ödeme işlemlerine kadar iş süreçleri.
- Evrensel olarak uygulanabilir - Her sektördeki her kuruluş, çalışmaya kesintisiz devam etmek için finansal motivasyondur.
- İnsan tarafından işletilen fidye yazılımlarının (HumOR) ortaya atılma öncesinde bu saldırılar yaygın olarak yaygındı, ancak çoğunlukla aşağıdakiler nedeniyle görülmez veya yanlış anlaşılmıştı:
- Karma tekniklerle başlayan modern kimlik bilgileri hırsızlığı saldırılarının ortaya çıktısı bu yana ayrıcalıklı erişim saldırılarının yaygınlığı artmaktadır. Bu teknikler önce saldırı aracının "Pass-the-Hash Araç Seti" ile başlayan suçlular tarafından popülerliğini atladı ve güvenilir saldırı teknikleri paketine (çoğunlukla Mimikatz araç seti temel alınarak) yetişiyor. Tekniklerin bu fazlalık ve otomasyonu, saldırıların (ve sonraki etkilerinin) hızlı bir oranda büyümelerine olanak sağlar ve ancak hedef kuruluşun saldırılar ve saldırgan para kazanma/teşvik modelleriyle sınırlı kalmalı.
Bu nedenlerle, ayrıcalıklı erişim her kuruluşta en yüksek güvenlik önceliğe sahip olmalıdır.
Ayrıcalıklı erişim stratejinizi geliştirme
Ayrıcalıklı erişim stratejisi, hızlı kazançlardan ve artımlı ilerlemelerden oluşan bir yolculuktur. Ayrıcalıklı erişim stratejinizin her adımı sizi, kullanılabilen herhangi bir zayıf şey aracılığıyla ortamınıza almaya çalışan su gibi, ayrıcalıklı erişimden gelen kalıcı ve esnek saldırganları "kapatmaya" yaklaştırmalıdır.
Bu kılavuz, yolculuğun hangi noktada olduğunudan bağımsız olarak tüm kurumsal kuruluşlar için tasarlanmıştır.
Holistic pratik strateji
Ayrıcalıklı erişimden riski azaltmak, birden çok teknolojiye yayılan risk risk azaltmaları için düşünceli, holist ve öncelikli bir bileşim gerektirir.
Bu stratejiyi inşa etmek için, saldırganların su gibi yararlanmaları gereken çok sayıda seçeneği olduğunu kabul etmek gerekir (bazıları ilk başta önemsiz görünebilir), saldırganlar hangilerini kullansalar esnektir ve genel olarak amaçlarına ulaşmak için en düşük direncin yolunu alırlar.
Asıl uygulamada, saldırganların önceliklerini belirlemek için yollarda aşağıdakilerin bir bileşimi yer almaktadır:
- Kurulmuş teknikler (genellikle saldırı araçlarına otomatikleştirilmiştir)
- Yararlanmayı kolaylaştıran yeni teknikler
Söz konusu teknolojilerin çeşitliliği nedeniyle, bu strateji birden çok teknolojiyi birleştiren ve Sıfır Güven ilkelerine uygun eksiksiz bir strateji gerektirir.
Önemli
Bu saldırılara karşı savunmak için birden çok teknoloji içeren bir strateji benimsersiniz. Yalnızca gizli bir kimlik yönetimi / ayrıcalıklı erişim yönetimi (PIM/PAM) çözümü uygulamak yeterli olmaz. Daha fazla bilgi için bkz. Ayrıcalıklı erişim Aracıları.
- Saldırganlar hedef odaklıdır ve işe yaraan her tür saldırıyı kullanan teknoloji tanılamayı sağlar.
- Savunmaya yönelik erişim denetimi omurgasını, kurumsal ortamdaki sistemlerin çoğuyla veya tüm sistemleriyle tümleştirilmiştir.
Yalnızca ağ denetimleriyle veya tek bir ayrıcalıklı erişim çözümüyle bu tehditleri algılayabilirsiniz veya önleyebilirsiniz, bu durumda diğer birçok saldırı türüne karşı açık kalırsınız.
Stratejik varsayım - Bulut bir güvenlik kaynağıdır
Bu stratejide, bulut hizmetleri şirket içi yalıtım teknikleri yerine birincil güvenlik ve yönetim özellikleri kaynağı olarak ğer nedenler vardır:
- Bulutta daha iyi özellikler vardır - Şu anda kullanılabilen en güçlü güvenlik ve yönetim özellikleri, gelişmiş araç kullanımı, yerel tümleştirme ve 8+ trif güvenlik işaretleri gibi muazzam miktarlardaki güvenlik zekası, Microsoft'un güvenlik araçlarımız için kullandığı bir günlük güvenlik sinyali gibi bulut hizmetlerinden gelir.
- Bulut daha kolay ve hızlıdır - Bulut hizmetlerinin benimsenmiş olması, ekiplerinin teknoloji tümleştirmesi yerine güvenlik görevlerine odaklanmalarını sağlamak için uygulamaya ve ölçeklendirmeye çok az bir altyapı gerektirir.
- Bulut için daha az bakım gerekir - Bulut aynı zamanda, satıcı kuruluşlar tarafından aynı zamanda tek amaca yönelik ekipleri olan satıcı kuruluşlar tarafından tutarlı bir şekilde yönetilir, korunur ve sabit bir şekilde korunur. Bu da, takımınız için gereken zamanı ve çabayı sıkı bir şekilde korumak için gereken zamanı ve çabayı azalttı.
- Bulut sürekli olarak geliştirmektedir - Bulut hizmetleriyle ilgili özellikler ve işlevler, kuruma sürekli yatırım yapmaya gerek kalmadan sürekli güncelleştirilir.
Önerilen stratejiyi geliştirme
Microsoft'un önerilen stratejisi, iş hassas sistemlerine ayrıcalıklı erişim için yalnızca güvenilir 'temiz' cihazlar, hesaplar ve aracı sistemlerin kullanılabilsini sağlayan bir 'kapalı döngü' sistemi artımlı olarak oluşturmaktır.
Tıpkı bir tekne gibi gerçek yaşamda karmaşık bir şeyi sındır etmeye çok benzer şekilde, bilinçli bir sonuçla bu stratejiyi tasarlamanız, standartları dikkatle kurmanız ve takip etmeniz ve tüm sızıntıları düzeltmek için sonuçları sürekli izlemelisiniz. Bir tekne şeklinin içinde iyelik panolarını bir arada görmeyi ve sizi harika bir tekneye bekliyor olmasını beklemezsiniz. Önce altyapı ve mekanizma gibi önemli öğeleri ve kritik bileşenleri (insanların buraya almak için gereken yollardan ayrılırken) ve daha sonra radyo, koltuk ve benzerleri gibi konfor öğelerini satın almaya odaklanabilirsiniz. Ayrıca, en mükemmel sistem daha sonra bir sızıntı sızdıramaya neden olduğu için zaman içinde bu bakıma devam edebilir, bu nedenle koruma amaçlı bakıma devam edebilir, sızıntıları izlemeli ve tutmasını önlemek için bunları düzeltebilirsiniz.
Privileged Access'in güvenliğini sağlamanın iki basit hedefleri vardır
- Ayrıcalıklı eylemleri birkaç yetkili patikada gerçekleştirme olanağını kesin olarak sınırla
- Bu patikaları koruyun ve yakından izleyin
Sistemlere erişmenin iki yolu vardır, kullanıcı erişimi (özelliği kullanmak için) ve ayrıcalıklı erişim (özelliği yönetmek veya hassas bir özelliğe erişmek için)
- Kullanıcı Erişimi - diyagramın alt kısmında açık mavi yol, e-posta, işbirliği, web'e gözatma ve iş yeri uygulamaları veya web sitelerini kullanma gibi genel üretkenlik görevlerini gerçekleştiren standart bir kullanıcı hesabı gösterir. Bu yol, bir cihaz veya iş istasyonu üzerinde oturum açma, bazen uzaktan erişim çözümü gibi bir aracıdan geçen ve kurumsal sistemlerle etkileşim kurmayı içerir.
- Ayrıcalıklı Erişim - diyagramın en üstünde yer alan koyu mavi yol, ayrıcalıklı erişimi gösterir; burada, IT Yöneticileri veya diğer hassas hesaplar gibi ayrıcalıklı hesaplar iş kritik sistemlerine ve verilere erişebilir veya kurumsal sistemlerde yönetim görevlerini gerçekleştirebilir. Teknik bileşenler doğa olarak benzer olabilir, ancak bir adelenin ayrıcalıklı erişime neden olduğu hasar çok daha yüksektir.
Tam erişim yönetim sistemi kimlik sistemlerini ve yetkili yükseltme yollarını da içerir.
- Kimlik Sistemleri - Hesapları ve yönetim gruplarını, eşitleme ve federasyon özelliklerini ve standart ve ayrıcalıklı kullanıcılar için diğer kimlik desteği işlevlerini barındıran kimlik dizinleri sağlar.
- Yetkili Yükseltme Yolları - Standart kullanıcıların, Ayrıcalıklı Erişim Yönetimi / Ayrıcalıklı Kimlik yönetim sisteminde tek bir zamanda (JIT) süreci aracılığıyla hassas bir sisteme yönetim haklarına yönelik istekleri onaylaması gibi ayrıcalıklı iş akışlarıyla etkileşim kurmaları için bir yol sağlar.
Bu bileşenler toplu olarak, bir karşıtın, işletmenize yükseltilmiş erişim elde etmek için hedef olarak belirlenebilir ayrıcalıklı erişim saldırı yüzeyidir:
Not
Müşteri tarafından yönetilen bir işletim sisteminde barındırılan bir hizmet (IaaS) sistemleri olarak şirket içi ve altyapı için saldırı yüzeyi yönetim ve güvenlik aracıları, hizmet hesapları ve olası yapılandırma sorunlarıyla önemli ölçüde artar.
Sürdürülebilir ve yönetilebilir bir erişim stratejisi oluşturmak, bu stratejiye erişmenin tek yolunu temsil eden güvenli bir sisteme fiziksel olarak iliştirilmiş bir denetim konsoluna sanal eşdeğeri oluşturmak için tüm yetkisiz vektörleri kapatmayı gerektirir.
Bu strateji şunların bir bileşimini gerektirir:
- Hızlı modernleştirme planı (RAMP) dahil olmak üzere, bu kılavuz boyunca açıklanan Sıfır Güven erişim denetimi
- Bu sistemlere iyi güvenlik önlemleri uygulamaları uygulayarak doğrudan varlık saldırılarına karşı korumak için varlık koruması. Kaynaklar için varlık koruması (erişim denetim bileşenlerinin ötesinde) bu kılavuzun kapsamı dışındadır, ancak genellikle hızlı güvenlik güncelleştirmeleri/yamalar uygulaması, üretici/endüstri güvenliği taban çizgilerini kullanarak işletim sistemlerini yapılandırma, rest ve geçiş sırasında verileri koruma ve geliştirme / DevOps süreçlerine yönelik en iyi güvenlik uygulamalarını tümleştirme işlemlerini içerir.
Yolculukta stratejik girişimler
Bu stratejinin uygulanması, her biri net sonuçlar ve başarı ölçütlerine sahip dört tamamlayıcı girişim gerektirir
- End-end Session Security - Ayrıcalıklı oturumlar, kullanıcı oturumları ve yetkili yükseltme yolları için açık Sıfır Güven doğrulaması ayarlayın.
- Başarı Ölçütleri: Her oturum, erişime izin vermeden önce her kullanıcı hesabına ve cihaza yeterli düzeyde güvendiğini doğrular.
- Dizinler, Kimlik Yönetimi, Yönetici Hesapları, İzin verilenler ve daha fazlası dahil olmak üzere & Kimlik Sistemlerini koruma
- Başarı Ölçütleri: Bu sistemlerden her biri, barındırılan hesapların iş üzerindeki olası etkisine uygun düzeyde korunur.
- Yerel hesap parolaları, hizmet hesabı parolaları veya diğer gizliliklerle çapraz çapraz geçişe karşı korumak için Çapraz Çapraz'a geçiş
- Başarı Ölçütleri: Tek bir cihazdan ödün verilmek, ortamdaki birçok veya diğer tüm cihazların denetimine hemen neden olmaz
- Ortamdaki sınırlayıcı erişimi ve zamanı sınırlamak için Hızlı Tehdit Yanıtı
- Başarı Ölçütleri: Olay yanıt süreçleri, güvenlik nedeniyle gereken erişim kaybı ile sonuçlanacak çok aşamalı bir saldırının güvenilir bir şekilde gerçekleştirilene kadar gerçekleştirilene kadar gerçekleştirilecek. (0'a yakın bir konumda ayrıcalıklı erişimi olan olayları düzeltmek için (MTTR) ortalama zamanı azaltarak ve tüm olayları MTTR'yi birkaç dakikaya indirerek, bu şekilde yıldönümlerinin ayrıcalıklı erişimi hedeflemeye zamanları olması için zaman tanıyamazsınız)