Privilegierter Zugriff: Strategie

Microsoft empfiehlt, diese Strategie für privilegierten Zugriff zu verwenden, um die Risiken für Ihre Organisation aufgrund von Angriffen mit hoher Auswirkung und hoher Wahrscheinlichkeit auf privilegierten Zugriff schnell zu verringern.

Privilegierter Zugriff sollte in jeder Organisation oberste Sicherheitspriorität sein. Jede Kompromittierung dieser Benutzer hat eine hohe Wahrscheinlichkeit erheblicher negativer Auswirkungen auf die Organisation. Privilegierte Benutzer haben Zugriff auf unternehmenskritische Ressourcen in einer Organisation, was fast immer große Auswirkungen hat, wenn Angreifer ihre Konten kompromittieren.

Diese Strategie basiert auf Zero Trust Prinzipien der expliziten Überprüfung, der geringsten Rechte und der Annahme von Verstößen. Microsoft hat Implementierungsleitlinien bereitgestellt, die Ihnen bei der schnellen Bereitstellung von Schutzmaßnahmen basierend auf dieser Strategie helfen.

Wichtig

Es gibt keine einzelne technische Lösung mit "Silver Bullet", die das Risiko des privilegierten Zugriffs magisch mindert. Sie müssen mehrere Technologien in einer ganzheitlichen Lösung kombinieren, die vor mehreren Einstiegspunkten von Angreifern schützt. Organisationen müssen die richtigen Tools für jeden Teil des Auftrags mitbringen.

Warum ist privilegierter Zugriff wichtig?

Die Sicherheit des privilegierten Zugriffs ist von entscheidender Bedeutung, da sie für alle anderen Sicherheitsgarantien grundlegend ist, kann ein Angreifer, der die Kontrolle über Ihre privilegierten Konten hat, alle anderen Sicherheitsgarantien untergraben. Aus Risikosicht ist der Verlust des privilegierten Zugriffs ein Ereignis mit hohen Auswirkungen mit einer hohen Wahrscheinlichkeit, dass in allen Branchen alarmierend wächst.

Diese Angriffstechniken wurden zunächst bei gezielten Angriffen auf Datendiebstahl verwendet, die zu vielen Angriffen auf bekannte Marken (und vielen nicht gemeldeten Vorfällen) führten. In jüngerer Zeit wurden diese Techniken von Ransomware-Angreifern eingeführt und schüren ein explosives Wachstum hoch profitabler, von Menschen betriebener Ransomware-Angriffe, die den Geschäftsbetrieb in der gesamten Branche absichtlich stören.

Wichtig

Von Menschen betriebene Ransomware unterscheidet sich von commodity Single Computer Ransomware-Angriffen, die auf eine einzelne Arbeitsstation oder ein Gerät abzielen.

In dieser Grafik wird beschrieben, wie dieser erpresserbasierte Angriff mithilfe von privilegiertem Zugriff immer mehr Auswirkungen und Wahrscheinlichkeiten hat:

PLACEHOLDER

  • Hohe Geschäftliche Auswirkungen
    • Es ist schwierig, die potenziellen geschäftlichen Auswirkungen und Schäden eines Verlusts an privilegiertem Zugriff zu überschätzen. Angreifer mit privilegiertem Zugriff haben effektiv die volle Kontrolle über alle Unternehmensressourcen und -ressourcen, sodass sie vertrauliche Daten offenlegen, alle Geschäftsprozesse beenden oder Geschäftsprozesse und Computer unterbinden können, um Eigentum zu beschädigen, Menschen zu verletzen oder schlimmer. Massive geschäftliche Auswirkungen wurden in jeder Branche mit gesehen:
      • Gezielter Datendiebstahl – Angreifer nutzen privilegierten Zugriff, um auf vertrauliches geistiges Eigentum zuzugreifen und es zu stehlen, um es selbst zu nutzen oder um es an Ihre Konkurrenten oder ausländische Regierungen zu verkaufen/zu übertragen.
      • Von Menschen betriebene Ransomware (HumOR) - Angreifer verwenden privilegierten Zugriff, um alle Daten und Systeme im Unternehmen zu stehlen und/oder zu verschlüsseln, was häufig alle Geschäftsvorgänge beendet. Sie erpressen dann die Zielorganisation, indem sie Geld verlangen, um die Daten nicht offenzulegen und/oder die Schlüssel zum Entsperren bereitzustellen.
  • Hohe Eintrittswahrscheinlichkeit
    • Die Verbreitung von Angriffen mit privilegiertem Zugriff ist seit dem Aufkommen moderner Angriffe auf den Diebstahl von Anmeldeinformationen gewachsen, beginnend mit dem Bestehen der Hash-Techniken. Diese Techniken sind bei Kriminellen seit der Veröffentlichung des Angriffstools "Pass-the-Hash Toolkit" von 2008 an beliebt und haben sich zu einer Reihe zuverlässiger Angriffstechniken entwickelt (hauptsächlich basierend auf dem Mimikatz Toolkit). Diese Bewaffnung und Automatisierung von Techniken ermöglichte es den Angriffen (und deren nachfolgenden Auswirkungen), schnell zu wachsen, nur begrenzt durch die Anfälligkeit der Zielorganisation gegenüber den Angriffen und die Monetarisierungs-/Anreizmodelle des Angreifers.
      • Vor dem Aufkommen von von Menschen betriebener Ransomware (HumOR) waren diese Angriffe weit verbreitet, aber oft nicht angezeigt oder missverstanden wegen:
        • Einschränkungen bei der Monetarisierung von Angreifern – Nur Gruppen und Einzelpersonen, die wussten, wie vertrauliches geistiges Eigentum von Zielorganisationen monetarisiert werden kann, konnten von diesen Angriffen profitieren.
        • Automatische Auswirkungen - Organisationen haben diese Angriffe oft verpasst, weil sie keine Erkennungstools hatten und auch die resultierenden geschäftlichen Auswirkungen kaum sehen und einschätzen konnten (z. B. wie ihre Konkurrenten ihr gestohlenes geistiges Eigentum nutzten und wie sich dies auf Preise und Märkte auswirkte, manchmal Jahre später). Darüber hinaus schwiegen Organisationen, die die Angriffe gesehen haben, oft über sie, um ihren Ruf zu schützen.
      • Sowohl die unbeaufsichtigten Auswirkungen als auch die Einschränkungen der Monetarisierung von Angreifern bei diesen Angriffen werden mit dem Aufkommen von von Menschen betriebener Ransomware aufgelöst, die an Volumen, Auswirkungen und Bewusstsein wächst, weil es beides ist:
        • Laut und störend - zu Geschäftsprozessen zur Zahlung von Erpressungsforderungen.
        • Universell anwendbar - Jede Organisation in jeder Branche ist finanziell motiviert, den Betrieb ununterbrochen fortzusetzen.

Aus diesen Gründen sollte der privilegierte Zugriff in jeder Organisation oberste Sicherheitspriorität sein.

Erstellen Ihrer Strategie für privilegierten Zugriff

Die Strategie für privilegierten Zugriff ist eine Reise, die aus schnellen Gewinnen und inkrementellen Fortschritten bestehen muss. Jeder Schritt in Ihrer Strategie für privilegierten Zugriff muss Sie näher bringen, um persistente und flexible Angreifer vor privilegiertem Zugriff zu "versiegeln", die wie Wasser versuchen, durch jede verfügbare Schwäche in Ihre Umgebung einzudringen.

Diese Anleitung ist für alle Unternehmensorganisationen konzipiert, unabhängig davon, wo Sie sich bereits auf dem Weg befinden.

Ganzheitliche Praxisstrategie

Die Verringerung des Risikos durch privilegierten Zugriff erfordert eine durchdachte, ganzheitliche und priorisierte Kombination von Risikominderungen, die sich über mehrere Technologien erstreckt.

Um diese Strategie zu entwickeln, muss erkannt werden, dass Angreifer wie Wasser sind, da sie zahlreiche Optionen haben, die sie ausnutzen können (von denen einige auf den ersten Blick unbedeutend erscheinen können), Angreifer sind flexibel, in welchen fällen sie sie verwenden, und sie nehmen im Allgemeinen den Weg des geringsten Widerstands, um ihre Ziele zu erreichen.

Attackers are like water and can appear insignificant at first but, flood over time

Die Pfade, die Angreifer in der tatsächlichen Praxis priorisieren, sind eine Kombination aus:

  • Etablierte Techniken (oft automatisiert in Angriffstools)
  • Neue Techniken, die leichter ausgenutzt werden können

Aufgrund der unterschiedlichen Technologie erfordert diese Strategie eine vollständige Strategie, die mehrere Technologien kombiniert und Zero Trust Prinzipien folgt.

Wichtig

Sie müssen eine Strategie einführen, die mehrere Technologien umfasst, um gegen diese Angriffe zu schützen. Die einfache Implementierung einer prvileged Identity Management/Privileged Access Management (PIM/PAM)-Lösung ist nicht ausreichend. Weitere Informationen finden Sie unter Privileged Access Intermediaries.

  • Die Angreifer sind zielorientiert und technologieunabhängig und verwenden jede Art von Angriff, die funktioniert.
  • Das Zugriffssteuerungs-Backbone, das Sie verteidigen, ist in die meisten oder alle Systeme in der Unternehmensumgebung integriert.

Wenn Sie erwarten, dass Sie diese Bedrohungen nur mit Netzwerksteuerelementen oder einer einzigen Lösung mit privilegiertem Zugriff erkennen oder verhindern können, sind Sie anfällig für viele andere Arten von Angriffen.

Strategische Annahme – Cloud ist eine Quelle der Sicherheit

Diese Strategie verwendet Clouddienste aus mehreren Gründen als primäre Quelle für Sicherheits- und Verwaltungsfunktionen anstelle von lokalen Isolationstechniken:

  • Cloud bietet bessere Funktionen – Die leistungsstärksten Sicherheits- und Verwaltungsfunktionen, die heute verfügbar sind, stammen von Clouddiensten, einschließlich ausgefeilter Tools, nativer Integration und massiver Mengen an Sicherheitsintelligenz wie den mehr als 8 Billionen Sicherheitssignalen, die Microsoft täglich für unsere Sicherheitstools verwendet.
  • Die Cloud ist einfacher und schneller – Die Einführung von Clouddiensten erfordert nur wenig bis gar keine Infrastruktur für die Implementierung und Skalierung, sodass sich Ihre Teams auf ihre Sicherheitsmission konzentrieren können, anstatt sich auf die Technologieintegration zu konzentrieren.
  • Die Cloud erfordert weniger Wartung . Die Cloud wird auch von Lieferantenorganisationen mit Teams, die diesem einzigen Zweck für Tausende von Kundenorganisationen gewidmet sind, verwaltet, verwaltet und geschützt, was die Zeit und den Aufwand für Ihr Team reduziert, um die Funktionen streng zu verwalten.
  • Die Cloud verbessert sich ständig – Features und Funktionen in Clouddiensten werden ständig aktualisiert, ohne dass Ihre Organisation fortlaufend investieren muss.

Die empfohlene Strategie von Microsoft besteht darin, inkrementell ein "Closed Loop"-System für privilegierten Zugriff zu erstellen, das sicherstellt, dass nur vertrauenswürdige "saubere" Geräte, Konten und zwischengeschaltete Systeme für privilegierten Zugriff auf vertrauliche Unternehmenssysteme verwendet werden können.

Ähnlich wie das Abdichten von etwas Komplexem im realen Leben wie ein Boot, müssen Sie diese Strategie mit einem absichtlichen Ergebnis entwerfen, Standards sorgfältig einrichten und befolgen und die Ergebnisse kontinuierlich überwachen und überwachen, damit Sie alle Lecks beheben. Sie würden nicht nur Nagelbretter in einer Bootsform zusammenstellen und auf magische Weise ein wasserdichtes Boot erwarten. Sie würden sich zuerst auf das Erstellen und Abdichten wichtiger Elemente wie den Rumpf und kritische Komponenten wie den Motor und den Lenkmechanismus konzentrieren (während Sie Denkmöglichkeiten für Die Leute übrig lassen), dann später Komfortelemente wie Radios, Sitze und ähnliches abdichten. Sie würden es auch im Laufe der Zeit beibehalten, da selbst das perfekteste System später ein Leck entstehen könnte, also müssen Sie mit der vorbeugenden Wartung schritthalten, auf Lecks überwachen und sie beheben, um es vor dem Untergang zu bewahren.

Das Sichern des privilegierten Zugriffs hat zwei einfache Ziele

  1. Beschränken Sie die Möglichkeit, privilegierte Aktionen auszuführen, streng auf einige autorisierte Pfade.
  2. Schützen und überwachen Sie diese Pfade genau

Es gibt zwei Arten von Pfaden für den Zugriff auf die Systeme, den Benutzerzugriff (zur Verwendung der Funktion) und den privilegierten Zugriff (zum Verwalten der Funktion oder zum Zugreifen auf eine sensible Funktion).

Two pathways to systems user and privileged access

  • Benutzerzugriff – Der hellere blaue Pfad unten im Diagramm zeigt ein Standardbenutzerkonto, das allgemeine Produktivitätsaufgaben wie E-Mail, Zusammenarbeit, Webbrowsen und Die Verwendung von Branchenanwendungen oder Websites ausführt. Dieser Pfad umfasst ein Konto, das sich bei einem Gerät oder einer Arbeitsstation anmeldet, manchmal einen Vermittler wie eine Remotezugriffslösung durchläuft und mit Unternehmenssystemen interagiert.
  • Privilegierter Zugriff – der dunklere blaue Pfad oben im Diagramm zeigt privilegierten Zugriff, bei dem privilegierte Konten wie IT-Administratoren oder andere vertrauliche Konten auf geschäftskritische Systeme und Daten zugreifen oder Verwaltungsaufgaben auf Unternehmenssystemen ausführen. Während die technischen Komponenten in der Natur ähnlich sein können, ist der Schaden, den ein Angreifer mit privilegiertem Zugriff verursachen kann, viel höher.

Das Vollzugriffsverwaltungssystem umfasst auch Identitätssysteme und autorisierte Höhenpfade.

Two pathways plus identity systems and elevation paths

  • Identitätssysteme – Stellen Sie Identitätsverzeichnisse bereit, die die Konten und administrativen Gruppen hosten, Synchronisierungs- und Verbundfunktionen sowie andere Identitätsunterstützungsfunktionen für Standardbenutzer und privilegierte Benutzer.
  • Autorisierte Rechteerweiterungspfade – bieten Standardbenutzern die Möglichkeit, mit privilegierten Workflows zu interagieren, z. B. Manager oder Peers, die Anforderungen für Administratorrechte an einem sensiblen System über einen Just-in-Time-Prozess (JIT) in einem Privileged Access Management/Privileged Identity-Verwaltungssystem genehmigen.

Diese Komponenten umfassen zusammen die Angriffsfläche mit privilegiertem Zugriff, auf die ein Angreifer abzielen kann, um erhöhten Zugriff auf Ihr Unternehmen zu erhalten:

Attack surface unprotected

Hinweis

Bei lokalen und Infrastruktur-as-a-Service-Systemen (IaaS), die auf einem vom Kunden verwalteten Betriebssystem gehostet werden, nimmt die Angriffsfläche mit Verwaltungs- und Sicherheitsagenten, Dienstkonten und potenziellen Konfigurationsproblemen erheblich zu.

Zum Erstellen einer nachhaltigen und verwaltbaren Strategie für privilegierten Zugriff müssen alle nicht autorisierten Vektoren geschlossen werden, um das virtuelle Äquivalent einer Ansteuerungskonsole zu erstellen, die physisch an ein sicheres System angeschlossen ist, das die einzige Möglichkeit darstellt, darauf zuzugreifen.

Diese Strategie erfordert eine Kombination aus:

  • Zero Trust Zugriffskontrolle, die in dieser Anleitung beschrieben wird, einschließlich des Plans für eine schnelle Modernisierung (RAMP)
  • Schutz von Ressourcen zum Schutz vor direkten Asset-Angriffen durch Anwendung guter Sicherheitshygienepraktiken auf diese Systeme. Der Ressourcenschutz für Ressourcen (außerhalb von Zugriffssteuerungskomponenten) liegt außerhalb dieses Leitfadens, umfasst jedoch in der Regel die schnelle Anwendung von Sicherheitsupdates/Patches, das Konfigurieren von Betriebssystemen mithilfe von Sicherheitsgrundwerten des Herstellers/der Branche, den Schutz ruher und während der Übertragung sowie die Integration bewährter Sicherheitsmethoden in Entwicklungsprozesse/DevOps Prozesse.

Reduce the attack surface

Strategische Initiativen auf dem Weg

Die Umsetzung dieser Strategie erfordert vier ergänzende Initiativen, die jeweils klare Ergebnisse und Erfolgskriterien aufweisen.

  1. End-to-End-Sitzungssicherheit – Explizite Zero Trust Überprüfung für privilegierte Sitzungen, Benutzersitzungen und autorisierte Rechteerweiterungspfade einrichten.
    1. Erfolgskriterien: Jede Sitzung überprüft, ob alle Benutzerkonten und Geräte auf einer ausreichenden Ebene vertrauenswürdig sind, bevor der Zugriff zugelassen wird.
  2. Schützen von & Monitoridentitätssystemen, einschließlich Verzeichnissen, Identitätsverwaltung, Administratorkonten, Zustimmungserteilungen und mehr
    1. Erfolgskriterien: Jedes dieser Systeme wird auf einer Ebene geschützt, die für die potenziellen geschäftlichen Auswirkungen von darin gehosteten Konten geeignet ist.
  3. Minimieren der lateralen Traversierung zum Schutz vor lateraler Traversierung mit lokalen Kontokennwörtern, Dienstkontokennwörtern oder anderen geheimen Schlüsseln
    1. Erfolgskriterien: Die Kompromittierung eines einzelnen Geräts führt nicht sofort zur Kontrolle vieler oder aller anderen Geräte in der Umgebung.
  4. Schnelle Bedrohungsreaktion zum Einschränken des Zugriffs und der Zeit des Angreifers in der Umgebung
    1. Erfolgskriterien: Prozesse zur Reaktion auf Vorfälle hindern Angreifer daran, zuverlässig einen mehrstufigen Angriff in der Umgebung durchzuführen, der zu einem Verlust des privilegierten Zugriffs führen würde. (gemessen durch verringerung der mittleren Zeit zur Behebung (MTTR) von Vorfällen mit privilegiertem Zugriff auf nahe Null und Verringern der MTTR aller Vorfälle auf ein paar Minuten, sodass Angreifer keine Zeit haben, privilegierten Zugriff zu erreichen)

Nächste Schritte