保護特殊權限存取

組織應該將特殊許可權存取設為最高安全性優先順序,因為有重大潛在業務影響 (,而且攻擊者) 危害此層級存取的可能性很高。

特殊許可權存取包括 IT 系統管理員,可控制大部分的企業資產,以及可存取業務關鍵資產的其他使用者。

攻擊者經常在 人為操作勒索軟體攻擊 和目標資料竊取期間,利用特殊許可權存取安全性的弱點。 特殊許可權存取帳戶和工作站對攻擊者而言非常吸引人,因為這些目標可讓他們快速取得企業中商務資產的廣泛存取權,通常會導致快速且顯著的業務影響。

下圖摘要說明建議的特殊許可權存取策略,以建立隔離的虛擬區域,讓這些敏感性帳戶以低風險運作。

An end to end approach is required for meaningful security

保護特殊許可權存取實際上會完全密封未經授權的路徑,並留下一些受保護及密切監視的授權存取路徑。 此圖表會在 特殊許可權存取策略一文中更詳細地討論。

建置此策略需要結合多種技術的整體方法,以使用零信任原則保護及監視這些授權的擴大路徑,包括明確驗證、最低許可權,以及假設外泄。 此策略需要多個互補計畫,以建立整體技術方法、清楚的程式,以及嚴格的作業執行,以在一段時間內建置及維持保證。

開始使用和測量進度

映像 描述 映像 描述
Rapid Modernization Plan RaMP (快速現代化計畫)
- 規劃和實作最具影響力的快速勝出
Best practices checklist 最佳作法
影片和投影片

產業參考

保護特殊許可權存取也受到這些業界標準和最佳做法所解決。

英國國家網路安全中心 (NCSC) 澳大利亞網路安全中心 (ACSC) MITRE ATT & CK

後續步驟

策略、設計和實作資源,可協助您快速保護您環境的特殊許可權存取。

映像 發行項 描述
Strategy doc 策略 特殊許可權存取策略概觀
Success criteria doc 成功準則 策略成功準則
Security levels doc 安全性層級 帳戶、裝置、媒介和介面的安全性層級概觀
Account doc 帳戶 帳戶的安全性層級和控制項指引
Intermediaries doc 媒介 中繼安全性層級和控制項的指導方針
Interfaces doc 介面 介面的安全性層級和控制項指引
Devices doc 裝置 裝置和工作站的安全性層級和控制項指引
Enterprise access model doc 企業存取模型 舊版階層模型 (後續版本的企業存取模型概觀)
Retiring ESAE doc ESAE 淘汰 淘汰舊版系統管理樹系的相關資訊