Accès privilégié : stratégie

Microsoft recommande d’adopter cette stratégie d’accès privilégié pour réduire rapidement les risques pour votre organisation en cas d’attaques à fort impact et à forte probabilité sur l’accès privilégié.

L’accès privilégié doit être la priorité de sécurité supérieure de chaque organisation. Toute compromission de ces utilisateurs a une forte probabilité d’impact négatif significatif pour l’organisation. Les utilisateurs privilégiés ont accès à des ressources critiques pour l’entreprise au sein d’une organisation, ce qui entraîne presque toujours un impact majeur lorsque des attaquants compromettent leurs comptes.

Cette stratégie repose sur Confiance nulle principes de validation explicite, de privilège minimum et d’hypothèse de violation. Microsoft a fourni des conseils d’implémentation pour vous aider à déployer rapidement des protections basées sur cette stratégie

Important

Il n’existe aucune solution technique « silver bullet » unique qui atténuera magiquement les risques d’accès privilégié. Vous devez fusionner plusieurs technologies en une solution holistique qui protège contre plusieurs points d’entrée d’attaquant. Les organisations doivent apporter les outils appropriés pour chaque partie du travail.

Pourquoi l’accès privilégié est-il important ?

La sécurité de l’accès privilégié est d’une importance critique, car elle est fondamentale pour toutes les autres garanties de sécurité. Un attaquant qui contrôle vos comptes privilégiés peut saper toutes les autres garanties de sécurité. Du point de vue du risque, la perte d’accès privilégié est un événement à fort impact avec une probabilité élevée de se produire qui augmente à un rythme alarmant dans l’ensemble des industries.

Ces techniques d’attaque ont été initialement utilisées dans des attaques ciblées de vol de données qui ont entraîné de nombreuses violations de profil élevé sur des marques familières (et de nombreux incidents non signalés). Plus récemment, ces techniques ont été adoptées par les attaquants de ransomware, alimentant une croissance explosive des attaques de ransomware hautement rentables exploités par l’homme qui interrompent intentionnellement les opérations commerciales dans l’industrie.

Important

Les rançongiciels gérés par l’homme sont différents des attaques par ransomware d’ordinateur unique qui ciblent une station de travail ou un appareil unique.

Ce graphique décrit comment cette attaque basée sur l’extorsion augmente d’impact et de probabilité à l’aide de l’accès privilégié :

PLACEHOLDER

  • Impact élevé sur l’entreprise
    • Il est difficile de surestimer l’impact potentiel sur l’entreprise et les dommages causés par une perte d’accès privilégié. Les attaquants disposant d’un accès privilégié contrôlent efficacement toutes les ressources et ressources de l’entreprise, ce qui leur donne la possibilité de divulguer des données confidentielles, d’arrêter tous les processus métier ou de subvertir les processus et les machines métier pour endommager les biens, blesser des personnes ou pire encore. L’impact commercial massif a été observé dans tous les secteurs d’activité avec :
      • Vol de données ciblés : les attaquants utilisent un accès privilégié pour accéder à la propriété intellectuelle sensible et la voler pour leur propre utilisation ou pour vendre/transférer des données à vos concurrents ou gouvernements étrangers
      • Ransomware géré par l’homme (HumOR) : les attaquants utilisent un accès privilégié pour voler et/ou chiffrer toutes les données et systèmes de l’entreprise, arrêtant souvent toutes les opérations commerciales. Ils extorquent ensuite l’organisation cible en exigeant de l’argent pour ne pas divulguer les données et/ou en fournissant les clés pour les déverrouiller.
  • Probabilité élevée d’occurrence
    • La prévalence des attaques d’accès privilégié a augmenté depuis l’avènement des attaques modernes contre le vol d’informations d’identification en commençant par les techniques de hachage. Ces techniques ont d’abord sauté en popularité auprès des criminels à partir de la version 2008 de l’outil d’attaque « Pass-the-Hash Shared Computer Toolkit » et ont grandi dans une suite de techniques d’attaque fiables (principalement basée sur le kit de ressources Mimikatz). Cette arme et l’automatisation des techniques ont permis aux attaques (et à leur impact ultérieur) de croître à un rythme rapide, limité uniquement par la vulnérabilité de l’organisation cible aux attaques et les modèles de monétisation/incentive de l’attaquant.
      • Avant l’avènement du ransomware géré par l’homme (HumOR), ces attaques étaient répandues, mais souvent invisibles ou mal comprises en raison des éléments suivants :
        • Limites de monétisation des attaquants : seuls les groupes et les individus qui savaient comment monétiser la propriété intellectuelle sensible auprès d’organisations cibles pourraient tirer profit de ces attaques.
        • Impact silencieux : les organisations ont souvent manqué ces attaques parce qu’elles n’avaient pas d’outils de détection, et ont également eu du mal à voir et à estimer l’impact commercial résultant (par exemple, comment leurs concurrents utilisaient leur propriété intellectuelle volée et comment cela a affecté les prix et les marchés, parfois des années plus tard). De plus, les organisations qui ont vu les attaques restaient souvent silencieuses à leur sujet pour protéger leur réputation.
      • L’impact silencieux et les limitations de monétisation des attaquants sur ces attaques se désintègrent avec l’avènement du ransomware géré par l’homme, qui augmente en volume, impact et conscience, car il est à la fois :
        • Bruyant et perturbateur - aux processus d’entreprise pour le paiement des demandes d’extorsion.
        • Applicable universellement - Chaque organisation de chaque secteur est motivée financièrement par la poursuite des opérations sans interruption.

Pour ces raisons, l’accès privilégié doit être la priorité de sécurité supérieure de chaque organisation.

Création de votre stratégie d’accès privilégié

La stratégie d’accès privilégié est un parcours qui doit se composer de gains rapides et de progrès incrémentiels. Chaque étape de votre stratégie d’accès privilégié doit vous rapprocher de « sceller » les attaquants persistants et flexibles de l’accès privilégié, qui sont comme de l’eau essayant de s’infiltrer dans votre environnement par toute faiblesse disponible.

Ce guide est conçu pour toutes les organisations d’entreprise, quel que soit l’endroit où vous vous situez déjà dans le parcours.

Stratégie pratique holistique

La réduction des risques liés à l’accès privilégié nécessite une combinaison réfléchie, holistique et hiérarchisée d’atténuation des risques couvrant plusieurs technologies.

La création de cette stratégie nécessite la reconnaissance du fait que les attaquants sont comme de l’eau, car ils disposent de nombreuses options qu’ils peuvent exploiter (dont certaines peuvent sembler insignifiantes au début), que les attaquants sont flexibles dans lesquels ils utilisent et qu’ils prennent généralement le chemin de la moindre résistance pour atteindre leurs objectifs.

Attackers are like water and can appear insignificant at first but, flood over time

Les chemins d’accès que les attaquants hiérarchisent dans la pratique réelle sont une combinaison des éléments suivants :

  • Techniques établies (souvent automatisées dans les outils d’attaque)
  • Nouvelles techniques plus faciles à exploiter

En raison de la diversité des technologies impliquées, cette stratégie nécessite une stratégie complète qui combine plusieurs technologies et suit Confiance nulle principes.

Important

Vous devez adopter une stratégie qui inclut plusieurs technologies pour vous défendre contre ces attaques. Il n’est pas suffisant d’implémenter simplement une solution de gestion des identités/de gestion des accès privilégiés (PIM/PAM). Pour plus d’informations, consultez Intermédiaires d’accès privilégié.

  • Les attaquants sont orientés vers l’objectif et indépendants de la technologie, en utilisant n’importe quel type d’attaque qui fonctionne.
  • L’épine dorsale du contrôle d’accès que vous défendez est intégrée à la plupart ou à tous les systèmes de l’environnement d’entreprise.

Attendre que vous puissiez détecter ou empêcher ces menaces avec des contrôles réseau uniquement ou une solution d’accès privilégié unique vous rendra vulnérable à de nombreux autres types d’attaques.

Hypothèse stratégique : le cloud est une source de sécurité

Cette stratégie utilise les services cloud comme principale source de fonctionnalités de sécurité et de gestion plutôt que des techniques d’isolation locales pour plusieurs raisons :

  • Le cloud offre de meilleures fonctionnalités : les fonctionnalités de sécurité et de gestion les plus puissantes disponibles aujourd’hui proviennent de services cloud, notamment des outils sophistiqués, une intégration native et des quantités massives de renseignements de sécurité, comme les 8 ou 000 milliards de signaux de sécurité que Microsoft utilise chaque jour pour nos outils de sécurité.
  • Le cloud est plus facile et plus rapide : l’adoption de services cloud nécessite peu ou pas d’infrastructure pour l’implémentation et le scale-up, ce qui permet à vos équipes de se concentrer sur leur mission de sécurité plutôt que sur l’intégration technologique.
  • Le cloud nécessite moins de maintenance : le cloud est également géré, géré et sécurisé de manière cohérente par les organisations de fournisseurs avec des équipes dédiées à cet objectif unique pour des milliers d’organisations clientes, ce qui réduit le temps et les efforts de votre équipe pour maintenir rigoureusement les fonctionnalités.
  • Le cloud continue de s’améliorer : les fonctionnalités et fonctionnalités des services cloud sont constamment mises à jour sans que votre organisation ait besoin d’investir en continu.

La stratégie recommandée par Microsoft consiste à créer de façon incrémentielle un système de « boucle fermée » pour l’accès privilégié qui garantit que seuls les appareils, comptes et systèmes intermédiaires fiables « propres » peuvent être utilisés pour l’accès privilégié aux systèmes sensibles à l’entreprise.

Tout comme l’imperméabilisation de quelque chose de complexe dans la vie réelle comme un bateau, vous devez concevoir cette stratégie avec un résultat intentionnel, établir et suivre les normes avec soin, et en continu surveiller et auditer les résultats afin que vous corrigez les fuites. Vous n’auriez pas seulement clouer des planches ensemble dans une forme de bateau et comme par magie s’attendre à un bateau étanche. Vous vous concentreriez d’abord sur la construction et l’imperméabilisation d’éléments importants tels que la coque et les composants critiques comme le moteur et le mécanisme de direction (tout en laissant des moyens pour les gens d’entrer), puis plus tard étanche articles de confort comme les radios, sièges, et ainsi de suite. Vous le maintiendriez également au fil du temps comme même le système le plus parfait pourrait ressorter une fuite plus tard, de sorte que vous devez suivre l’entretien préventif, surveiller les fuites, et les corriger pour l’empêcher de sombrer.

La sécurisation de l’accès privilégié a deux objectifs simples

  1. Limiter strictement la possibilité d’effectuer des actions privilégiées à quelques voies autorisées
  2. Protéger et surveiller de près ces voies

Il existe deux types de voies d’accès aux systèmes, l’accès utilisateur (pour utiliser la fonctionnalité) et l’accès privilégié (pour gérer la fonctionnalité ou accéder à une fonctionnalité sensible)

Two pathways to systems user and privileged access

  • Accès utilisateur : le chemin bleu plus clair en bas du diagramme représente un compte d’utilisateur standard effectuant des tâches de productivité générales telles que l’e-mail, la collaboration, la navigation web et l’utilisation d’applications métier ou de sites web. Ce chemin inclut une connexion de compte à un appareil ou à des stations de travail, passant parfois par un intermédiaire comme une solution d’accès à distance et interagissant avec les systèmes d’entreprise.
  • Accès privilégié : le chemin bleu plus foncé en haut du diagramme illustre l’accès privilégié, où les comptes privilégiés tels que les administrateurs informatiques ou d’autres comptes sensibles accèdent aux données et aux systèmes critiques de l’entreprise ou effectuent des tâches d’administration sur les systèmes d’entreprise. Bien que les composants techniques puissent être de nature similaire, les dommages qu’un adversaire peut infliger avec un accès privilégié sont beaucoup plus élevés.

Le système de gestion des accès complet inclut également les systèmes d’identité et les chemins d’élévation autorisés.

Two pathways plus identity systems and elevation paths

  • Systèmes d’identité : fournissez des répertoires d’identité qui hébergent les comptes et les groupes d’administration, les fonctionnalités de synchronisation et de fédération, ainsi que d’autres fonctions de prise en charge des identités pour les utilisateurs standard et privilégiés.
  • Chemins d’élévation autorisés : permettent aux utilisateurs standard d’interagir avec des flux de travail privilégiés, tels que des gestionnaires ou des pairs qui approuvent les demandes de droits d’administration sur un système sensible via un processus juste-à-temps (JIT) dans un système de gestion des accès privilégiés/privileged identity management.

Ces composants constituent collectivement la surface d’attaque d’accès privilégié qu’un adversaire peut cibler pour tenter d’obtenir un accès élevé à votre entreprise :

Attack surface unprotected

Note

Pour les systèmes IaaS (infrastructure as a service) locaux et hébergés sur un système d’exploitation géré par le client, la surface d’attaque augmente considérablement avec les agents de gestion et de sécurité, les comptes de service et les problèmes de configuration potentiels.

La création d’une stratégie d’accès privilégié durable et gérable nécessite la fermeture de tous les vecteurs non autorisés pour créer l’équivalent virtuel d’une console de contrôle physiquement attachée à un système sécurisé qui représente le seul moyen d’y accéder.

Cette stratégie nécessite une combinaison de :

  • Confiance nulle contrôle d’accès décrit dans ce guide, y compris le plan de modernisation rapide (RAMP)
  • Protection des ressources pour se protéger contre les attaques directes de ressources en appliquant de bonnes pratiques d’hygiène de sécurité à ces systèmes. La protection des ressources (au-delà des composants de contrôle d’accès) n’est pas incluse dans ce guide, mais inclut généralement une application rapide des mises à jour/correctifs de sécurité, la configuration des systèmes d’exploitation à l’aide de lignes de base de sécurité du fabricant/du secteur, la protection des données au repos et en transit et l’intégration des meilleures pratiques de sécurité aux processus de développement/DevOps.

Reduce the attack surface

Initiatives stratégiques dans le parcours

La mise en œuvre de cette stratégie nécessite quatre initiatives complémentaires qui ont chacune des résultats clairs et des critères de réussite

  1. Sécurité des sessions de bout en bout : établissez une validation Confiance nulle explicite pour les sessions privilégiées, les sessions utilisateur et les chemins d’élévation autorisés.
    1. Critères de réussite : chaque session vérifie que chaque compte d’utilisateur et chaque appareil sont approuvés à un niveau suffisant avant d’autoriser l’accès.
  2. Protéger les & systèmes d’identité Monitor, notamment les répertoires, la gestion des identités, les comptes d’administrateur, les octrois de consentement, etc.
    1. Critères de réussite : chacun de ces systèmes sera protégé à un niveau approprié pour l’impact commercial potentiel des comptes hébergés dans celui-ci.
  3. Atténuer la traversée latérale pour vous protéger contre la traversée latérale avec des mots de passe de compte locaux, des mots de passe de compte de service ou d’autres secrets
    1. Critères de réussite : La compromission d’un seul appareil n’entraîne pas immédiatement le contrôle d’un grand nombre ou de tous les autres appareils de l’environnement
  4. Réponse rapide aux menaces pour limiter l’accès et le temps des adversaires dans l’environnement
    1. Critères de réussite : les processus de réponse aux incidents empêchent les adversaires de mener de manière fiable une attaque multiphase dans l’environnement qui entraînerait une perte d’accès privilégié. (comme mesuré en réduisant le temps moyen de correction (MTTR) des incidents impliquant un accès privilégié à près de zéro et en réduisant le mtTR de tous les incidents à quelques minutes afin que les adversaires n’aient pas le temps de cibler l’accès privilégié)

Étapes suivantes