Kiemelt hozzáférés: Stratégia

A Microsoft azt javasolja, hogy alkalmazza ezt a kiemelt hozzáférési stratégiát, hogy gyorsan csökkentse a szervezetet fenyegető kockázatokat a kiemelt hozzáféréssel szembeni nagy hatás és nagy valószínűséggel elkövetett támadások miatt.

A kiemelt hozzáférésnek minden szervezetnél a legfontosabb biztonsági prioritásnak kell lennie. Ezeknek a felhasználóknak a biztonsága nagy valószínűséggel jelentős negatív hatással van a szervezetre. A kiemelt felhasználók hozzáféréssel rendelkeznek az üzletileg kritikus fontosságú objektumokhoz egy szervezetben, ami szinte mindig jelentős hatást okoz, ha a támadók feltörik a fiókjukat.

Ez a stratégia a Zero Trust alapelveire épül, amelyek az explicit ellenőrzés, a legkisebb jogosultság és a feltételezett betörés feltételezését foglalják magukban. A Microsoft megvalósítási útmutatót nyújt a védelem gyors üzembe helyezéséhez ezen stratégia alapján

Fontos

Nincs egyetlen "ezüstjeles" technikai megoldás, amely varázslatosan mérsékli a kiemelt hozzáférés kockázatát, több technológiát kell kombinálnia egy holisztikus megoldással, amely több támadó belépési ponttal szemben véd. A szervezeteknek a megfelelő eszközöket kell hozniuk a feladat egyes részeihez.

Miért fontos a kiemelt hozzáférés?

A kiemelt hozzáférés biztonsága kritikus fontosságú, mivel minden más biztonsági garanciához alapvető fontosságú, hogy a kiemelt fiókok feletti támadók aláássák az összes többi biztonsági biztosítékot. Kockázat szempontjából a kiemelt hozzáférés elvesztése nagy hatású esemény, amelynek nagy a valószínűsége annak, hogy az iparágakban riasztó ütemben növekszik.

Ezeket a támadási technikákat kezdetben célzott adatlopásos támadásokban használták, amelyek számos, jól ismert márkánál (és sok be nem jelentett incidensnél) magas profilú incidenst eredményeztek. A közelmúltban ezeket a technikákat a zsarolóvírus-támadók alkalmazták, ami a rendkívül nyereséges, ember által üzemeltetett ransomware támadások robbanásszerű növekedését táplálta, amelyek szándékosan megzavarják az üzleti műveleteket az iparágban.

Fontos

Az emberi üzemeltetésű zsarolóprogramok eltérnek az egyetlen munkaállomást vagy eszközt célzó, egyszerű számítógépes zsarolóprogramoktól.

Ez a ábra bemutatja, hogyan növekszik a zsarolásalapú támadás hatása és valószínűsége a kiemelt hozzáférés használatával:

• Nagy üzleti hatás
  • Nehéz túlbecsülni a privilegizált hozzáférés elvesztésének lehetséges üzleti hatását és kárát. A kiemelt hozzáféréssel rendelkező támadók hatékonyan felügyelik az összes vállalati eszközt és erőforrást, lehetővé téve számukra a bizalmas adatok közzétételét, az üzleti folyamatok leállítását, illetve az üzleti folyamatok és gépek tulajdonkárosítását, mások sérülését vagy rosszabb elhárítását. Minden iparágban jelentős üzleti hatást gyakoroltak a következőkkel:
    • Célzott adatlopás – a támadók kiemelt hozzáférést használnak a bizalmas szellemi tulajdonhoz való hozzáféréshez és ellopáshoz saját használatukhoz, vagy a versenytársaknak vagy külföldi kormányoknak való eladáshoz/átvitelhez
    • Ember által üzemeltetett ransomware (HumOR) – a támadók emelt szintű hozzáférést használnak a vállalat összes adatának és rendszerének ellopásához és/vagy titkosításához, gyakran leállítja az összes üzleti tevékenységet. Ezután zsarolják a célszervezetet azzal, hogy pénzt követelnek, hogy ne fedje fel az adatokat, és/vagy adja meg a kulcsokat a zárolás feloldásához.
• Nagy az előfordulás valószínűsége
  • A kiemelt hozzáférési támadások elterjedtsége a modern hitelesítő adatok ellopása elleni támadások megjelenése óta növekszik, kezdve a kivonatolási technikákkal. Ezek a technikák először a bűnözők körében váltak népszerűvé a 2008-ban kiadott "Pass-the-Hash Toolkit" nevű támadási eszközzel, és azóta egy megbízható támadási technikákból álló csomaggá fejlődtek (többnyire a Mimikatz eszközkészletre alapozva). Ez a fegyverkezés és a technikák automatizálása lehetővé tette a támadások (és azok későbbi hatása) gyors növekedését, amelyet csak a célszervezet támadásokkal szembeni sebezhetősége és a támadó bevételszerzési/ösztönző modelljei korlátoztak.
    • Az ember által működtetett ransomware (HumOR) megjelenése előtt ezek a támadások elterjedtek voltak, de gyakran nem látott vagy félreértettek voltak, mert:
      • Támadók bevételszerzési korlátai – Csak azok a csoportok és személyek profitálhatnak ezekből a támadásokból, akik tudták, hogyan lehet a célszervezetektől származó érzékeny szellemi tulajdont bevételre szert tenni.
      • Csendes hatás – A szervezetek gyakran elmulasztották ezeket a támadásokat, mert nem rendelkeztek észlelési eszközökkel, és nehezen látták és becsülték az ebből eredő üzleti hatást (például azt, hogy versenytársaik hogyan használták ellopott szellemi tulajdonukat, és hogyan befolyásolták az árakat és a piacokat, néha évekkel később). Emellett azok a szervezetek, amelyek látták a támadásokat, gyakran hallgattak róluk, hogy megvédjék hírnevüket.
    • Mind a csendes hatás, mind a támadók bevételszerzési korlátozásai ezekre a támadásokra szétesnek az emberi üzemeltetésű ransomware megjelenésével, amely egyre nagyobb mennyiségben, hatással és tudatosságban növekszik, mivel mindkettő:
      • Hangos és zavaró - üzleti folyamatokat a zsarolási követelések teljesítése felé terel.
      • Univerzálisan alkalmazható – Minden iparág minden vállalata pénzügyileg motivált arra, hogy zavartalanul folytassa a működést.

Ezért a kiemelt hozzáférésnek minden szervezetnél a legfontosabb biztonsági prioritásnak kell lennie.

A kiemelt hozzáférési stratégia létrehozása

A kiemelt hozzáférési stratégia egy olyan folyamat, amelynek gyors győzelemből és növekményes haladásból kell tevődnie. A kiemelt hozzáférési stratégia minden lépésének közelebb kell vinnie ahhoz, hogy „kizárja” az állandó és rugalmas támadókat a kiemelt hozzáféréstől, akik olyanok, mint a víz, amely bármilyen rendelkezésre álló gyengeségen keresztül próbál beszivárogni a környezetbe.

Ez az útmutató minden vállalati szervezet számára készült, függetlenül attól, hogy hol van már az úton.

Holisztikus gyakorlati stratégia

A kiemelt hozzáférés kockázatának csökkentése több technológiára kiterjedő kockázatcsökkentések átgondolt, holisztikus és rangsorolt kombinációját igényli.

Ennek a stratégiának a kialakításához ismerni kell, hogy a támadók olyanok, mint a víz, mivel számos lehetőséget kihasználhatnak (amelyek közül néhány elsőre jelentéktelennek tűnhet), a támadók rugalmasak, amelyekben használják őket, és általában a legkevésbé ellenállás útján érik el céljaikat.

A támadók által a tényleges gyakorlatban előnyben részesített útvonalak a következők kombinációját képezik:

• Bevált technikák (gyakran automatizált támadási eszközök)
• Új technikák, amelyek könnyebben kihasználhatóak

A technológia sokfélesége miatt ez a megközelítés teljes stratégiát igényel, amely több technológiát kombinál, és Zero Trust alapelveket követ.

Fontos

Olyan stratégiát kell alkalmaznia, amely több technológiát is tartalmaz a támadások elleni védelemhez. A privileged identity management/privileged access management (PIM/PAM) megoldás implementálása egyszerűen nem elegendő. További információért lásd: Kiváltságos hozzáférés Közvetítők.

• A támadók célorientáltak és technológiai agnosztikusak, bármilyen típusú támadást használnak, amely működik.
• A védeni kívánt hozzáférés-vezérlési gerinc a vállalati környezet legtöbb vagy összes rendszerébe integrálva van.

Ha azt várja, hogy csak hálózati vezérlőkkel vagy egyetlen emelt szintű hozzáférési megoldással észlelheti vagy megakadályozhatja ezeket a fenyegetéseket, számos más típusú támadással szemben is sebezhetővé válik.

Stratégiai feltételezés – A felhő a biztonság forrása

Ez a stratégia több okból is a felhőszolgáltatásokat használja a biztonsági és felügyeleti képességek elsődleges forrásaként a helyszíni elkülönítési technikák helyett:

• A felhő jobb képességekkel rendelkezik – A ma elérhető legerősebb biztonsági és felügyeleti képességek a felhőszolgáltatásokból származnak, beleértve a kifinomult eszközkezelést, a natív integrációt és a nagy mennyiségű biztonsági intelligenciát, például a napi 8 billiónyi biztonsági jelzést, amelyet a Microsoft használ a biztonsági eszközökhöz.
• A felhő egyszerűbb és gyorsabb – A felhőszolgáltatások bevezetése nem igényel infrastruktúrát a megvalósításhoz és a vertikális felskálázáshoz, így a csapatok a technológiai integráció helyett a biztonsági küldetésükre összpontosíthatnak.
• A felhő kevesebb karbantartást igényel – A felhőt a szállítói szervezetek is egységesen felügyelik, karbantartják és védik, több ezer ügyfélszervezet számára erre az egyetlen célra kijelölt csapatokkal, így kevesebb időt és energiát kell fordítania a csapatnak a képességek szigorú karbantartására.
• A felhő folyamatosan fejlődik – A felhőszolgáltatások funkciói és funkciói folyamatosan frissülnek anélkül, hogy a szervezetnek folyamatos befektetésre van szüksége.

Az ajánlott stratégia létrehozása

A Microsoft ajánlott stratégiája, hogy fokozatosan hozzon létre egy "zárt hurok" rendszert a kiemelt hozzáféréshez, amely biztosítja, hogy csak megbízható "tiszta" eszközök, fiókok és közvetítő rendszerek használhatók az üzleti szempontból bizalmas rendszerekhez való kiemelt hozzáféréshez.

A valós életben összetett vízszigeteléshez, például egy hajóhoz hasonlóan szándékosan kell megterveznie ezt a stratégiát, gondosan kell kialakítania és követnie a szabványokat, és folyamatosan monitoroznia és auditálnia kell az eredményeket, hogy elhárítsa a szivárgásokat. Nem csak hajóalakban összeszegeznéd a deszkákat, és varázsütésre várnál egy vízhatlan hajót. Elsősorban a fontos elemek, mint a hajótest és a kritikus alkatrészek, például a motor és a kormánymechanizmus építésére és vízszigetelésére összpontosítana (miközben utakat hagyna az emberek bejutására), majd később a kényelmi elemek, például a rádiók, ülések és hasonló dolgok vízszigetelése következne. Folyamatosan fenntartaná, mivel még a legtökéletesebb rendszer is kiszivároghat később, ezért szükséges fenntartani a megelőző karbantartást, figyelnie kell a szivárgásokat, és javítsa meg azokat, hogy ne süllyedjen el.

A Privileged Access biztonságossá tételének két egyszerű célja van

1. A kiemelt műveletek végrehajtásának lehetősége szigorúan korlátozott néhány engedélyezett útvonalra
2. Az útvonalak védelme és szigorú monitorozása

A rendszerek eléréséhez, a felhasználói hozzáféréshez (a képesség használatához) és a kiemelt hozzáféréshez (a képesség kezeléséhez vagy egy bizalmas képességhez való hozzáféréshez) kétféleképpen lehet hozzáférni.

• User Access – a diagram alján látható világosabb kék elérési út egy általános hatékonyságnövelő feladatokat végző standard felhasználói fiókot ábrázol, például az e-maileket, az együttműködést, a webes böngészést és az üzletági alkalmazások vagy webhelyek használatát. Ez az elérési út magában foglalja egy fiók eszközre vagy munkaállomásra való bejelentkezését, néha egy közvetítőn keresztül, például egy távelérési megoldáson keresztül, valamint a vállalati rendszerekkel való interakciót.
• Privileged Access – a diagram tetején látható sötétebb kék elérési út a kiemelt hozzáférést ábrázolja, ahol a kiemelt fiókok, például az informatikai rendszergazdák vagy más bizalmas fiókok hozzáférnek az üzletileg kritikus fontosságú rendszerekhez és adatokhoz, vagy rendszergazdai feladatokat hajtanak végre a vállalati rendszereken. Bár a technikai összetevők hasonlóak lehetnek a természetben, a támadó által a kiemelt hozzáféréssel okozott károk sokkal magasabbak.

A teljes hozzáférés-kezelési rendszer identitásrendszereket és engedélyezett jogosultságszint-emelési útvonalakat is tartalmaz.

• Identity Systems – olyan identitáskönyvtárakat biztosít, amelyek a fiókokat és felügyeleti csoportokat, a szinkronizálási és összevonási képességeket, valamint egyéb identitástámogatási funkciókat biztosítanak a standard és kiemelt felhasználók számára.
• Engedélyezett jogosultságszint-emelési útvonalak – lehetővé teszik a standard felhasználók számára, hogy kapcsolatba lépjenek kiemelt munkafolyamatokkal, például amikor a vezetők vagy társak jóváhagyják a bizalmas rendszerek rendszergazdai jogosultsági kérelmeit igény szerinti (JIT) folyamaton keresztül egy Privileged Access Management (Kiemelt hozzáférés-kezelő) / Privileged Identity Management (Kiemelt identitás-kezelő) rendszerben.

Ezek az összetevők együttesen alkotják azt a kiemelt hozzáférési támadási felületet, amelyet egy támadó megcélozhat a vállalathoz való emelt szintű hozzáférés elérésének megkísérlésére:

Feljegyzés

Az ügyfél által felügyelt operációs rendszeren üzemeltetett helyszíni és infrastrukturális (IaaS) rendszerek esetében a támadási felület jelentősen megnő a felügyeleti és biztonsági ügynökökkel, a szolgáltatásfiókokkal és a lehetséges konfigurációs problémákkal.

A fenntartható és kezelhető emelt szintű hozzáférési stratégia létrehozásához minden jogosulatlan vektor bezárásával létre kell hoznia egy olyan biztonságos rendszerhez fizikailag csatlakoztatott vezérlőkonzol virtuális megfelelőjének létrehozását, amely az egyetlen módja annak elérésének.

Ehhez a stratégiához a következők kombinációjára van szükség:

• Zero Trust hozzáférés-vezérlést az ebben az útmutatóban ismertetett elvek között szerepel, beleértve a gyors modernizációs tervet (RAMP) is.
• Eszközvédelem a közvetlen eszköztámadások ellen megfelelő biztonsági higiéniai eljárások alkalmazásával ezekre a rendszerekre. Az erőforrások eszközvédelme (a hozzáférés-vezérlési összetevőkön kívül) nem terjed ki erre az útmutatóra, de általában magában foglalja a biztonsági frissítések/javítások gyors alkalmazását, az operációs rendszerek gyártói/iparági biztonsági alapkonfigurációk használatával történő konfigurálását, az inaktív és az átvitel alatt álló adatok védelmét, valamint a fejlesztési / DevOps-folyamatok biztonsági ajánlott eljárásainak integrálását.

Stratégiai kezdeményezések az út során

A stratégia végrehajtásához négy kiegészítő kezdeményezésre van szükség, amelyek mindegyike egyértelmű eredménnyel és sikerkritériumokkal rendelkezik

1. Végponttól végpontig terjedő munkamenet biztonság – Explicit Zero Trust ellenőrzés bevezetése a privilegizált munkamenetek, a felhasználói munkamenetek és az engedélyezett jogosultsági szint emelési útvonalak esetében.
   1. Sikerességi feltételek: Minden munkamenet ellenőrzi, hogy az egyes felhasználói fiókok és eszközök megfelelő szinten vannak-e megbízhatók a hozzáférés engedélyezése előtt.
2. Identitásrendszerek védelme és monitorozása, beleértve a könyvtárakat, az identitáskezelést, a rendszergazdai fiókokat, a hozzájárulási támogatásokat és egyebeket
   1. Sikerkritériumok: Ezek a rendszerek olyan szinten vannak védve, amely megfelel az abban üzemeltetett fiókok lehetséges üzleti hatásának.
3. Az oldalirányú bejárás mérséklése az oldalirányú mozgás elleni védelem érdekében helyi fiókjelszavakkal, szolgáltatásfiókjelszavakkal vagy egyéb titkokkal.
   1. Sikerességi feltételek: Egyetlen eszköz veszélyeztetése nem vezet azonnal a környezet számos vagy minden más eszközének vezérléséhez
4. Gyors fenyegetéskezelés a támadók hozzáférésének és idejének korlátozásához a környezetben
   1. Sikerességi feltételek: Az incidenskezelési folyamatok megakadályozzák, hogy a támadók megbízhatóan hajtanak végre többfázisú támadást a környezetben, ami a kiemelt hozzáférés elvesztését eredményezné. (Úgy mérve, hogy az incidensek, különösen a kiemelt hozzáférést érintők, elhárításának átlagos idejét (MTTR) közel nullára csökkentjük, és minden incidens esetében néhány percre csökkentjük az MTTR-t, hogy a támadóknak ne legyen idejük a kiemelt hozzáférési pontokat célozni.)

Következő lépések

• A kiemelt hozzáférés biztonságossá tétele – áttekintés
• Sikeresség mérése
• Biztonsági szintek
• Emelt szintű hozzáférési fiókok
• Közvetítők
• Felületek
• Emelt szintű hozzáférési eszközök
• Vállalati hozzáférési modell
• Továbbfejlesztett biztonsági felügyeleti környezet (ESAE) kivonása