Kiemelt hozzáférés: Stratégia
A Microsoft azt javasolja, hogy alkalmazza ezt a kiemelt hozzáférési stratégiát, hogy gyorsan csökkentse a szervezetet fenyegető kockázatokat a kiemelt hozzáféréssel szembeni nagy hatás és nagy valószínűséggel elkövetett támadások miatt.
A kiemelt hozzáférésnek minden szervezetnél a legfontosabb biztonsági prioritásnak kell lennie. Ezeknek a felhasználóknak a biztonsága nagy valószínűséggel jelentős negatív hatással van a szervezetre. A kiemelt felhasználók hozzáféréssel rendelkeznek az üzletileg kritikus fontosságú objektumokhoz egy szervezetben, ami szinte mindig jelentős hatást okoz, ha a támadók feltörik a fiókjukat.
Ez a stratégia Teljes felügyelet explicit ellenőrzés, a minimális jogosultság és a jogsértés feltételezésének alapelveire épül. A Microsoft implementálási útmutatót adott a stratégia alapján történő védelem gyors üzembe helyezéséhez
Fontos
Nincs egyetlen "ezüstjeles" technikai megoldás, amely varázslatosan mérsékli a kiemelt hozzáférés kockázatát, több technológiát kell kombinálnia egy holisztikus megoldással, amely több támadó belépési ponttal szemben véd. A szervezeteknek a megfelelő eszközöket kell hozniuk a feladat egyes részeihez.
Miért fontos a kiemelt hozzáférés?
A kiemelt hozzáférés biztonsága kritikus fontosságú, mivel minden más biztonsági garanciához alapvető fontosságú, a kiemelt fiókok feletti támadók alááshatják az összes többi biztonsági biztosítékot. Kockázat szempontjából a kiemelt hozzáférés elvesztése nagy hatású esemény, amelynek nagy a valószínűsége annak, hogy az iparágakban riasztó ütemben növekszik.
Ezeket a támadási technikákat kezdetben célzott adatlopásos támadásokban használták, amelyek számos, jól ismert márkánál (és sok be nem jelentett incidensnél) magas profilú incidenst eredményeztek. A közelmúltban ezeket a technikákat a zsarolóvírusok támadói alkalmazták, ami a rendkívül nyereséges, ember által üzemeltetett ransomware támadások robbanásszerű növekedését táplálja, amelyek szándékosan megzavarják az üzleti műveleteket az iparágban.
Fontos
Az emberi üzemeltetésű zsarolóprogramok eltérnek az egyetlen munkaállomást vagy eszközt célzó, egyszerű számítógépes zsarolóprogramoktól.
Ez a ábra bemutatja, hogyan növekszik a zsarolásalapú támadás hatása és valószínűsége a kiemelt hozzáférés használatával:
- Nagy üzleti hatás
- Nehéz túlbecsülni a privilegizált hozzáférés elvesztésének lehetséges üzleti hatását és kárát. A kiemelt hozzáféréssel rendelkező támadók hatékonyan felügyelik az összes vállalati eszközt és erőforrást, lehetővé téve számukra a bizalmas adatok közzétételét, az üzleti folyamatok leállítását, illetve az üzleti folyamatok és gépek tulajdonkárosítását, mások sérülését vagy rosszabb elhárítását.
Minden iparágban jelentős üzleti hatást gyakoroltak a következőkkel:
- Célzott adatlopás – a támadók kiemelt hozzáférést használnak a bizalmas szellemi tulajdonhoz való hozzáféréshez és ellopáshoz saját használatukhoz, vagy a versenytársaknak vagy külföldi kormányoknak való eladáshoz/átvitelhez
- Ember által üzemeltetett ransomware (HumOR) – a támadók emelt szintű hozzáférést használnak a vállalat összes adatának és rendszerének ellopásához és/vagy titkosításához, gyakran leállítja az összes üzleti tevékenységet. Ezután zsarolják a célszervezetet azzal, hogy pénzt követelnek, hogy ne fedje fel az adatokat, és/vagy adja meg a kulcsokat a zárolás feloldásához.
- Nehéz túlbecsülni a privilegizált hozzáférés elvesztésének lehetséges üzleti hatását és kárát. A kiemelt hozzáféréssel rendelkező támadók hatékonyan felügyelik az összes vállalati eszközt és erőforrást, lehetővé téve számukra a bizalmas adatok közzétételét, az üzleti folyamatok leállítását, illetve az üzleti folyamatok és gépek tulajdonkárosítását, mások sérülését vagy rosszabb elhárítását.
Minden iparágban jelentős üzleti hatást gyakoroltak a következőkkel:
- Nagy az előfordulás valószínűsége
- A kiemelt hozzáférési támadások elterjedtsége a modern hitelesítő adatok ellopása elleni támadások megjelenése óta növekszik, kezdve a kivonatolási technikákkal. Ezek a technikák először ugrott népszerűsége a bűnözők kezdve a 2008-ban kiadott támadási eszköz "Pass-the-Hash Toolkit", és nőtt egy csomag megbízható támadási technikák (többnyire alapuló Mimikatz eszközkészlet). Ez a fegyverkezés és a technikák automatizálása lehetővé tette a támadások (és azok későbbi hatása) gyors növekedését, amelyet csak a célszervezet támadásokkal szembeni sebezhetősége és a támadó bevételszerzési/ösztönző modelljei korlátoztak.
- Az ember által működtetett ransomware (HumOR) megjelenése előtt ezek a támadások elterjedtek voltak, de gyakran nem látott vagy félreértettek voltak, mert:
- Támadók bevételszerzési korlátai – Csak azok a csoportok és személyek profitálhatnak ezekből a támadásokból, akik tudták, hogyan lehet a célszervezetektől származó érzékeny szellemi tulajdont bevételre szert tenni.
- Csendes hatás – A szervezetek gyakran elmulasztották ezeket a támadásokat, mert nem rendelkeztek észlelési eszközökkel, és nehezen látták és becsülték az ebből eredő üzleti hatást (például azt, hogy versenytársaik hogyan használták ellopott szellemi tulajdonukat, és hogyan befolyásolták az árakat és a piacokat, néha évekkel később). Emellett azok a szervezetek, amelyek látták a támadásokat, gyakran hallgattak róluk, hogy megvédjék hírnevüket.
- Mind a csendes hatás, mind a támadók bevételszerzési korlátozásai ezekre a támadásokra szétesnek az emberi üzemeltetésű ransomware megjelenésével, amely egyre nagyobb mennyiségben, hatással és tudatosságban növekszik, mivel mindkettő:
- Hangos és zavaró - üzleti folyamatokra a zsarolási igények teljesítéséhez.
- Univerzálisan alkalmazható – Minden iparág minden vállalata pénzügyileg motivált arra, hogy zavartalanul folytassa a működést.
- Az ember által működtetett ransomware (HumOR) megjelenése előtt ezek a támadások elterjedtek voltak, de gyakran nem látott vagy félreértettek voltak, mert:
- A kiemelt hozzáférési támadások elterjedtsége a modern hitelesítő adatok ellopása elleni támadások megjelenése óta növekszik, kezdve a kivonatolási technikákkal. Ezek a technikák először ugrott népszerűsége a bűnözők kezdve a 2008-ban kiadott támadási eszköz "Pass-the-Hash Toolkit", és nőtt egy csomag megbízható támadási technikák (többnyire alapuló Mimikatz eszközkészlet). Ez a fegyverkezés és a technikák automatizálása lehetővé tette a támadások (és azok későbbi hatása) gyors növekedését, amelyet csak a célszervezet támadásokkal szembeni sebezhetősége és a támadó bevételszerzési/ösztönző modelljei korlátoztak.
Ezért a kiemelt hozzáférésnek minden szervezetnél a legfontosabb biztonsági prioritásnak kell lennie.
A kiemelt hozzáférési stratégia létrehozása
A kiemelt hozzáférési stratégia egy olyan folyamat, amelynek gyors győzelemből és növekményes haladásból kell tevődnie. A kiemelt hozzáférési stratégia minden lépésének közelebb kell kerülnie ahhoz, hogy "lezárja" az állandó és rugalmas támadókat a kiemelt hozzáférésből, akik olyanok, mint a víz, amelyek bármilyen rendelkezésre álló gyengeségen keresztül próbálnak belátni a környezetbe.
Ez az útmutató minden vállalati szervezet számára készült, függetlenül attól, hogy hol van már az úton.
Holisztikus gyakorlati stratégia
A kiemelt hozzáférés kockázatának csökkentése több technológiára kiterjedő kockázatcsökkentések átgondolt, holisztikus és rangsorolt kombinációját igényli.
Ennek a stratégiának a kialakításához ismerni kell, hogy a támadók olyanok, mint a víz, mivel számos lehetőséget kihasználhatnak (amelyek közül néhány elsőre jelentéktelennek tűnhet), a támadók rugalmasak, amelyekben használják őket, és általában a legkevésbé ellenállás útján érik el céljaikat.
A támadók által a tényleges gyakorlatban előnyben részesített útvonalak a következők kombinációját képezik:
- Bevált technikák (gyakran automatizált támadási eszközök)
- Új technikák, amelyek könnyebben kihasználhatóak
A technológia sokfélesége miatt ez a stratégia olyan teljes stratégiát igényel, amely több technológiát kombinál, és Teljes felügyelet alapelveket követ.
Fontos
Olyan stratégiát kell alkalmaznia, amely több technológiát is tartalmaz a támadások elleni védelemhez. Egyszerűen nem elegendő egy prvileged identity management/privileged access management (PIM/PAM) megoldás implementálása. További információ: Privileged access Közvetítők.
- A támadók célorientáltak és technológiai agnosztikusak, bármilyen típusú támadást használnak, amely működik.
- A védeni kívánt hozzáférés-vezérlési gerinc a vállalati környezet legtöbb vagy összes rendszerébe integrálva van.
Ha azt várja, hogy csak hálózati vezérlőkkel vagy egyetlen emelt szintű hozzáférési megoldással észlelheti vagy megakadályozhatja ezeket a fenyegetéseket, számos más típusú támadással szemben is sebezhetővé válik.
Stratégiai feltételezés – A felhő a biztonság forrása
Ez a stratégia több okból is a felhőszolgáltatásokat használja a biztonsági és felügyeleti képességek elsődleges forrásaként a helyszíni elkülönítési technikák helyett:
- A felhő jobb képességekkel rendelkezik – A ma elérhető legerősebb biztonsági és felügyeleti képességek a felhőszolgáltatásokból származnak, beleértve a kifinomult eszközkezelést, a natív integrációt és a nagy mennyiségű biztonsági intelligenciát, például a napi 8 billiónyi biztonsági jelzést, amelyet a Microsoft használ a biztonsági eszközökhöz.
- A felhő egyszerűbb és gyorsabb – A felhőszolgáltatások bevezetése nem igényel infrastruktúrát a megvalósításhoz és a vertikális felskálázáshoz, így a csapatok a technológiai integráció helyett a biztonsági küldetésükre összpontosíthatnak.
- A felhő kevesebb karbantartást igényel – A felhőt a szállítói szervezetek is egységesen felügyelik, karbantartják és védik, több ezer ügyfélszervezet számára erre az egyetlen célra kijelölt csapatokkal, így kevesebb időt és energiát kell fordítania a csapatnak a képességek szigorú karbantartására.
- A felhő folyamatosan fejlődik – A felhőszolgáltatások funkciói és funkciói folyamatosan frissülnek anélkül, hogy a szervezetnek folyamatos befektetésre van szüksége.
Az ajánlott stratégia létrehozása
A Microsoft ajánlott stratégiája, hogy fokozatosan hozzon létre egy "zárt hurok" rendszert a kiemelt hozzáféréshez, amely biztosítja, hogy csak megbízható "tiszta" eszközök, fiókok és közvetítő rendszerek használhatók az üzleti szempontból bizalmas rendszerekhez való kiemelt hozzáféréshez.
Hasonlóan a vízszigeteléshez, mint a vízszigetelés a valós életben, mint egy hajó, meg kell tervezni ezt a stratégiát szándékos kimenetellel, szabványokat kell kidolgoznia és követnie, és folyamatosan monitoroznia és auditálnia kell az eredményeket, hogy elhárítsa a szivárgásokat. Nem csak a hajóalakzatban összeszegeznéd a deszkákat, és varázslatosan várnál egy vízhatlan hajót. Ön elsősorban épület és vízszigetelés jelentős elemek, mint a hajótest és a kritikus alkatrészek, mint a motor és a kormány mechanizmus (miközben így az emberek számára, hogy be), majd később vízszigetelés kényelmi elemek, mint a rádiók, ülések, és hasonlók. Azt is fenntartaná az idő múlásával, mivel még a legtökéletesebb rendszer is kiszivároghat később, ezért lépést kell tartania a megelőző karbantartással, figyelnie kell a szivárgásokat, és ki kell javítania őket, hogy ne süllyedjenek el.
A Privileged Access biztonságossá tételének két egyszerű célja van
- A kiemelt műveletek végrehajtásának lehetősége szigorúan korlátozott néhány engedélyezett útvonalra
- Az útvonalak védelme és szigorú monitorozása
A rendszerek eléréséhez, a felhasználói hozzáféréshez (a képesség használatához) és a kiemelt hozzáféréshez (a képesség kezeléséhez vagy egy bizalmas képességhez való hozzáféréshez) kétféleképpen lehet hozzáférni.
- User Access – a diagram alján látható világosabb kék elérési út egy általános hatékonyságnövelő feladatokat végző standard felhasználói fiókot ábrázol, például az e-maileket, az együttműködést, a webes böngészést és az üzletági alkalmazások vagy webhelyek használatát. Ez az elérési út magában foglalja egy fiók eszközre vagy munkaállomásra való bejelentkezését, néha egy közvetítőn keresztül, például egy távelérési megoldáson keresztül, valamint a vállalati rendszerekkel való interakciót.
- Privileged Access – a diagram tetején látható sötétebb kék elérési út a kiemelt hozzáférést ábrázolja, ahol a kiemelt fiókok, például az informatikai Rendszergazda istratorok vagy más bizalmas fiókok hozzáférnek az üzletileg kritikus fontosságú rendszerekhez és adatokhoz, vagy rendszergazdai feladatokat hajtanak végre a vállalati rendszereken. Bár a technikai összetevők hasonlóak lehetnek a természetben, a támadó által a kiemelt hozzáféréssel okozott károk sokkal magasabbak.
A teljes hozzáférés-kezelési rendszer identitásrendszereket és engedélyezett jogosultságszint-emelési útvonalakat is tartalmaz.
- Identity Systems – olyan identitáskönyvtárakat biztosít, amelyek a fiókokat és felügyeleti csoportokat, a szinkronizálási és összevonási képességeket, valamint egyéb identitástámogatási funkciókat biztosítanak a standard és kiemelt felhasználók számára.
- Engedélyezett jogosultságszint-emelési útvonalak – lehetővé teszik a standard felhasználók számára a kiemelt munkafolyamatokkal való interakciót, például a vezetők vagy a bizalmas rendszerek rendszergazdai jogosultsági kérelmeit jóváhagyó társuk számára a privileged Access Management/Privileged Identity Management rendszerekben a just in time (JIT) folyamaton keresztül.
Ezek az összetevők együttesen alkotják azt a kiemelt hozzáférésű támadási felületet, amelyet egy támadó megcélozhat, hogy emelt szintű hozzáférést szerezzen a vállalathoz:
Feljegyzés
Az ügyfél által felügyelt operációs rendszeren üzemeltetett helyszíni és szolgáltatásként nyújtott infrastruktúra (IaaS) rendszerek esetében a támadási felület jelentősen megnő a felügyeleti és biztonsági ügynökökkel, a szolgáltatásfiókokkal és a lehetséges konfigurációs problémákkal.
A fenntartható és kezelhető emelt szintű hozzáférési stratégia létrehozásához minden jogosulatlan vektor bezárásával létre kell hoznia egy olyan biztonságos rendszerhez fizikailag csatlakoztatott vezérlőkonzol virtuális megfelelőjének létrehozását, amely az egyetlen módja annak elérésének.
Ehhez a stratégiához a következők kombinációjára van szükség:
- Teljes felügyelet hozzáférés-vezérlést ebben az útmutatóban ismertetjük, beleértve a gyors modernizációs tervet (RAMP)
- Eszközvédelem a közvetlen eszköztámadások ellen megfelelő biztonsági higiéniai eljárások alkalmazásával ezekre a rendszerekre. Az erőforrások eszközvédelme (a hozzáférés-vezérlési összetevőkön kívül) nem terjed ki erre az útmutatóra, de általában magában foglalja a biztonsági frissítések/javítások gyors alkalmazását, az operációs rendszerek gyártói/iparági biztonsági alapkonfigurációk használatával történő konfigurálását, az inaktív és az átvitel alatt álló adatok védelmét, valamint a fejlesztési / DevOps-folyamatok biztonsági ajánlott eljárásainak integrálását.
Stratégiai kezdeményezések az út során
A stratégia végrehajtásához négy kiegészítő kezdeményezésre van szükség, amelyek mindegyike egyértelmű eredménnyel és sikerkritériumokkal rendelkezik
- Végpontok közötti munkamenet biztonsága – Explicit Teljes felügyelet-ellenőrzés létrehozása a kiemelt munkamenetek, a felhasználói munkamenetek és az engedélyezett jogosultságszint-emelési útvonalak esetében.
- Sikerességi feltételek: Minden munkamenet ellenőrzi, hogy az egyes felhasználói fiókok és eszközök megfelelő szinten vannak-e megbízhatók a hozzáférés engedélyezése előtt.
- Identitásrendszerek védelme, beleértve a könyvtárakat, az identitáskezelést, a Rendszergazda-fiókokat, a hozzájárulási támogatásokat és egyebeket
- Sikerességi feltételek: Ezek a rendszerek a benne üzemeltetett fiókok lehetséges üzleti hatásának megfelelő szinten lesznek védve.
- Az oldalirányú bejárás csökkentése az oldalirányú bejárás ellen helyi fiókjelszavakkal, szolgáltatásfiókjelszavakkal vagy egyéb titkos kódokkal
- Sikerességi feltételek: Egyetlen eszköz veszélyeztetése nem vezet azonnal a környezet számos vagy minden más eszközének vezérléséhez
- Gyors fenyegetéskezelés a támadók hozzáférésének és idejének korlátozásához a környezetben
- Sikerességi feltételek: Az incidenskezelési folyamatok megakadályozzák, hogy a támadók megbízhatóan hajtanak végre többfázisú támadást a környezetben, ami a kiemelt hozzáférés elvesztését eredményezné. (úgy mérve, hogy csökkenti az incidensek szervizelésének átlagos idejét (MTTR), amely a kiemelt hozzáféréssel járó közel nulla értékhez, és néhány percre csökkenti az összes incidens MTTR-jét, hogy a támadóknak ne legyen idejük a kiemelt hozzáférésre)