特权访问:策略

Microsoft 建议采用此特权访问策略,以快速降低特权访问受到高影响和高可能性攻击对组织造成的风险。

特权访问应是每个组织的最高安全优先级。 这些用户的任何入侵都极有可能对组织产生重大负面影响。 特权用户有权访问组织中的业务关键资产,在攻击者入侵其帐户时几乎总是会造成重大影响。

此策略建立在显式验证、最低特权和违反假设零信任原则之上。 Microsoft 提供了 实施指南 ,帮助你基于此策略快速部署保护

重要

没有单个“银弹”技术解决方案可以神奇地缓解特权访问风险,必须将多个技术混合到一个整体解决方案中,防止多个攻击者进入点。 组织必须为作业的每个部分提供正确的工具。

为什么特权访问很重要?

特权访问的安全性至关重要,因为它是所有其他安全保证的基础,控制特权帐户的攻击者可能会破坏所有其他安全保证。 从风险的角度来看,失去特权访问权限是一个影响很大的事件,发生的可能性很高,而且整个行业的增长速度惊人。

这些攻击技术最初用于目标数据盗窃攻击,导致许多熟悉的品牌 (高调违规,许多未报告的事件) 。 最近,勒索软件攻击者采用了这些技术,推动了高利润的人工操作勒索软件攻击的爆炸性增长,这些攻击故意扰乱了整个行业的业务运营。

重要

人工操作的勒索软件 不同于针对单个工作站或设备的商品单一计算机勒索软件攻击。

此图描述了这种基于敲诈勒索的攻击如何使用特权访问来增加影响和可能性:

PLACEHOLDER

  • 业务影响大
    • 很难夸大特权访问权限丢失的潜在业务影响和损害。 具有特权访问权限的攻击者实际上可以完全控制所有企业资产和资源,使他们能够披露任何机密数据、停止所有业务流程,或颠覆业务流程和计算机以损害财产、伤害他人或更糟。 每个行业都产生了巨大的业务影响,包括:
      • 目标数据盗窃 - 攻击者使用特权访问权限访问和窃取敏感知识产权以供自己使用,或向竞争对手或外国政府出售/传输
      • 人为操作的勒索软件 (HumOR) - 攻击者使用特权访问来窃取和/或加密企业中的所有数据和系统,通常会停止所有业务运营。 然后,他们勒索目标组织,要求资金不披露数据和/或提供密钥来解锁数据。
  • 发生的可能性很高
    • 自新式凭据盗窃攻击出现以来,特权访问攻击的流行程度与 通过哈希技术开始。 这些技术首先在犯罪分子中大受欢迎,从2008年发布攻击工具“传递哈希工具包”开始,并成长为一套可靠的攻击技术, (主要基于 米米卡茨 工具包) 。 这种武器化和技术自动化使攻击 (及其后续影响) 迅速增长,仅受目标组织对攻击的脆弱性和攻击者的盈利/激励模型的限制。
      • 在人为勒索软件 (HumOR) 出现之前,这些攻击很普遍,但往往由于以下原因而看不见或被误解:
        • 攻击者盈利限制 - 只有知道如何从目标组织中将敏感知识产权盈利的团体和个人才能从这些攻击中获利。
        • 无声影响 - 组织经常错过这些攻击,因为他们没有检测工具,也很难看到和估计由此产生的业务影响 (例如,他们的竞争对手如何使用他们被盗的知识产权,以及它如何影响价格和市场,有时几年后) 。 此外,看到攻击的组织往往对它们保持沉默,以保护他们的声誉。
      • 对这些攻击的无提示影响和攻击者盈利限制都与人工操作勒索软件的出现正在瓦解,因为这两者都是:
        • 响亮和破坏性 - 业务流程支付敲诈勒索要求。
        • 普遍适用 - 每个行业的每个组织都有财务动机,可以不间断地继续运营。

出于这些原因,特权访问应是每个组织的最高安全优先级。

构建特权访问策略

特权访问策略是一个旅程,必须由快速获胜和增量进度组成。 特权访问策略中的每个步骤都必须使你更接近于从特权访问中“封杀”持久性和灵活的攻击者,这些攻击者就像水一样,试图通过任何可用的弱点渗入你的环境。

无论你在旅途中所处的位置如何,此指南都是为所有企业组织设计的。

整体实用策略

降低特权访问的风险需要经过深思熟虑、全面且优先的跨多种技术的风险缓解组合。

构建此策略需要认识到,攻击者就像水一样,因为他们有许多可以利用的选项 (其中一些选项在最初) 可能显得微不足道,攻击者可以灵活地使用这些方法,而且他们通常采取最小抵抗力来实现其目标。

Attackers are like water and can appear insignificant at first but, flood over time

攻击者在实际实践中确定优先级的路径是以下因素的组合:

  • 建立的技术通常 (自动化到攻击工具)
  • 更易于利用的新技术

由于涉及的技术多样性,此策略需要一个完整的策略,该策略结合了多种技术,并遵循零信任原则

重要

必须采用包含多种技术的策略来防范这些攻击。 仅仅在 PIM/PAM) 解决方案 (实现特权标识管理/特权访问管理是不够的。 有关详细信息,请参阅 特权访问中介

  • 攻击者以目标为导向,技术不可知,使用任何类型的攻击。
  • 要保护的访问控制主干集成到企业环境中的大多数系统或所有系统中。

期望仅使用网络控件或单个特权访问解决方案检测或防止这些威胁,会使你容易受到许多其他类型的攻击。

战略假设 - 云是安全来源

此策略使用云服务作为安全和管理功能的主要来源,而不是本地隔离技术,原因有以下几个:

  • 云具有更好的功能 - 目前最强大的安全和管理功能来自云服务,包括复杂的工具、本机集成和大量的安全智能,如 Microsoft 每天用于安全工具的 8 万亿多亿安全信号。
  • 云更简单、更快 - 采用云服务几乎不需要任何基础结构来实现和扩展,使团队能够专注于其安全任务,而不是技术集成。
  • 云需要更少的维护 - 云也由供应商组织管理、维护和一致地保护,这些组织为成千上万的客户组织专门负责该单一目的,从而缩短了团队严格维护功能的时间和精力。
  • 云不断改进 - 云服务中的功能和功能不断更新,无需组织持续进行投资。

Microsoft 建议的策略是以增量方式构建特权访问的“封闭循环”系统,确保只有值得信赖的 “干净” 设备、帐户和中间系统才能用于对业务敏感系统的特权访问。

就像防水在现实生活中像船一样复杂的东西,你需要设计一个有意的结果,建立和遵循标准仔细,并不断监测和审核结果,以便你修正任何泄漏。 你不会只是钉板一起在船形状和神奇地期待防水船。 首先,你将专注于构建和防水的重要物品,如船体和关键组件,如发动机和转向机制 (,同时为人们留下进入) 的方式,然后防水舒适项目,如收音机,座椅等。 你还会在一段时间内进行维护,因为即使是最完美的系统也会在以后发生泄漏,因此你需要跟上预防性维护,监视泄漏,并修复它们以防止泄漏下沉。

保护 Privileged Access 有两个简单的目标

  1. 将执行特权操作的能力严格限制为几个授权路径
  2. 保护并密切监视这些路径

访问系统有两种类型的途径:用户访问 (使用功能) 和特权访问 (来管理功能或访问敏感功能)

Two pathways to systems user and privileged access

  • 用户访问 - 关系图底部较浅的蓝色路径描绘了执行常规工作效率任务的标准用户帐户,例如电子邮件、协作、Web 浏览以及业务线应用程序或网站的使用。 此路径包括登录到设备或工作站的帐户,有时通过远程访问解决方案等中介,并与企业系统交互。
  • Privileged Access - 关系图顶部较深的蓝色路径描述了特权访问,其中特权帐户(如 IT 管理员或其他敏感帐户)访问业务关键系统和数据,或在企业系统上执行管理任务。 虽然技术组件的性质可能相似,但攻击者通过特权访问可能造成的损害要高得多。

完整访问管理系统还包括标识系统和授权的提升路径。

Two pathways plus identity systems and elevation paths

  • 标识系统 - 为标准用户和特权用户提供托管帐户和管理组、同步和联合身份验证功能以及其他标识支持函数的标识目录。
  • 授权的提升路径 - 为标准用户提供与特权工作流交互的方法,例如经理或对等方通过特权访问管理/特权标识管理系统中恰时 (JIT) 进程批准对敏感系统的管理权限请求。

这些组件共同构成攻击者可能针对的特权访问攻击面,以尝试获取对企业提升的访问权限:

Attack surface unprotected

注意

对于本地和基础结构即服务 (托管在客户托管操作系统上的 IaaS) 系统,攻击面会随着管理和安全代理、服务帐户以及潜在的配置问题而急剧增加。

创建可持续且可管理的特权访问策略需要关闭所有未经授权的向量,以创建实际附加到安全系统(表示访问它的唯一方法)的控制控制台的虚拟等效项。

此策略需要以下组合:

  • 零信任本指南中介绍的访问控制,包括快速现代化计划 (RAMP)
  • 通过将良好的安全卫生做法应用于这些系统来防范直接资产攻击的资产保护。 在访问控制组件之外 (资源的资产保护) 超出了本指南的范围,但通常包括快速应用安全更新/修补程序、使用制造商/行业安全基线配置操作系统、保护静态和传输中的数据,以及将安全最佳做法集成到开发/DevOps 流程。

Reduce the attack surface

旅程中的战略举措

实施此战略需要四个补充性举措,每个计划都有明确的结果和成功标准

  1. 端到端会话安全性 - 为特权会话、用户会话和授权的提升路径建立显式零信任验证。
    1. 成功条件:在允许访问之前,每个会话将验证每个用户帐户和设备是否在足够级别受信任。
  2. 保护 & 监视器标识系统,包括目录、标识管理、管理员帐户、同意授予等
    1. 成功条件:这些系统中的每一个都将受到适合托管帐户的潜在业务影响级别的保护。
  3. 缓解横向遍历,防止使用本地帐户密码、服务帐户密码或其他机密进行横向遍历
    1. 成功条件:损害单个设备不会立即控制环境中的多个或所有其他设备
  4. 用于限制攻击者访问和环境中时间的快速威胁响应
    1. 成功条件:事件响应过程会阻止攻击者可靠地在环境中进行多阶段攻击,导致失去特权访问权限。 (通过减少修正涉及特权访问几乎零的事件 (MTTR) 的平均时间,并将所有事件的 MTTR 减少到几分钟,以便攻击者没有时间以特权访问为目标来衡量)

后续步骤