Rencana modernisasi cepat keamanan
Rencana modernisasi cepat (RAMP) ini akan membantu Anda dengan cepat mengadopsi strategi akses istimewa microsoft yang direkomendasikan.
Peta jalan ini dibangun pada kontrol teknis yang ditetapkan dalam panduan penyebaran akses istimewa. Selesaikan langkah-langkah tersebut lalu gunakan langkah-langkah dalam RAMP ini untuk mengonfigurasi kontrol untuk organisasi Anda.
Catatan
Banyak dari langkah-langkah ini akan memiliki dinamis green/brownfield karena organisasi sering memiliki risiko keamanan dengan cara mereka sudah disebarkan atau dikonfigurasi akun. Peta jalan ini memprioritaskan menghentikan akumulasi risiko keamanan baru terlebih dahulu, dan kemudian membersihkan item yang tersisa yang telah terakumulasi.
Saat Anda maju melalui peta strategi, Anda dapat menggunakan Skor Aman Microsoft untuk melacak dan membandingkan banyak item dalam perjalanan dengan orang lain di organisasi serupa dari waktu ke waktu. Pelajari selengkapnya tentang Skor Aman Microsoft dalam artikel Gambaran umum skor aman.
Setiap item dalam RAMP ini disusun sebagai inisiatif yang akan dilacak dan dikelola menggunakan format yang dibangun berdasarkan metodologi tujuan dan hasil utama (OKR). Setiap item mencakup apa (tujuan), mengapa, siapa, bagaimana, dan cara mengukur (hasil utama). Beberapa item memerlukan perubahan pada proses dan pengetahuan/keterampilan orang lain, sementara yang lain adalah perubahan teknologi yang lebih sederhana. Banyak dari inisiatif ini akan mencakup anggota di luar Departemen IT tradisional yang harus disertakan dalam pengambilan keputusan dan implementasi perubahan ini untuk memastikan mereka berhasil diintegrasikan dalam organisasi Anda.
Sangat penting untuk bekerja sama sebagai organisasi, menciptakan kemitraan, dan mendidik orang-orang yang secara tradisional bukan bagian dari proses ini. Sangat penting untuk membuat dan memelihara pembelian di seluruh organisasi, tanpa banyak proyek gagal.
Pisahkan dan kelola akun istimewa
Akun akses darurat
- Apa: Pastikan Anda tidak secara tidak sengaja terkunci dari organisasi Microsoft Entra Anda dalam situasi darurat.
- Mengapa: Akun akses darurat jarang digunakan dan sangat merusak organisasi jika disusupi, tetapi ketersediaannya untuk organisasi juga sangat penting untuk beberapa skenario ketika diperlukan. Pastikan Anda memiliki rencana untuk kelangsungan akses yang mengakomodasi peristiwa yang diharapkan dan tidak terduga.
- Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
- Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
- Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
- Persyaratan dan standar tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas
- Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
- Pemantauan manajemen Kepatuhan Keamanan untuk memastikan kepatuhan
- Caranya: Ikuti panduan dalam Mengelola akun akses darurat di ID Microsoft Entra.
- Mengukur hasil kunci:
- Proses akses Darurat yang ditetapkan telah dirancang berdasarkan panduan Microsoft yang memenuhi kebutuhan organisasi
- Akses Darurat yang Dipertahankan telah ditinjau dan diuji dalam 90 hari terakhir
Mengaktifkan Microsoft Entra Privileged Identity Management
- Apa: Menggunakan Microsoft Entra Privileged Identity Management (PIM) di lingkungan produksi Microsoft Entra Anda untuk menemukan dan mengamankan akun istimewa
- Mengapa: Privileged Identity Management menyediakan aktivasi peran berbasis waktu dan berbasis persetujuan untuk mengurangi risiko izin akses yang berlebihan, tidak perlu, atau disalahgunakan.
- Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
- Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
- Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
- Persyaratan dan standar tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
- Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
- Pemantauan manajemen Kepatuhan Keamanan untuk memastikan kepatuhan
- Cara: Menyebarkan dan Mengonfigurasi Microsoft Entra Privileged Identity Management menggunakan panduan dalam artikel, Menyebarkan Microsoft Entra Privileged Identity Management (PIM).
- Mengukur hasil utama: 100% peran akses istimewa yang berlaku menggunakan Microsoft Entra PIM
Mengidentifikasi dan mengategorikan akun istimewa (ID Microsoft Entra)
Apa: Mengidentifikasi semua peran dan grup dengan dampak bisnis tinggi yang akan memerlukan tingkat keamanan istimewa (segera atau dari waktu ke waktu). Administrator ini akan memerlukan akun sparate di langkah selanjutnya Administrasi akses istimewa.
Mengapa: Langkah ini diperlukan untuk mengidentifikasi dan meminimalkan jumlah orang yang memerlukan akun terpisah dan perlindungan akses istimewa
Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
- Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
- Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
- Persyaratan dan standar tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
- Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
- Pemantauan manajemen Kepatuhan Keamanan untuk memastikan kepatuhan
Caranya: Setelah mengaktifkan Microsoft Entra Privileged Identity Management, lihat pengguna yang berada dalam peran Microsoft Entra berikut minimal berdasarkan kebijakan risiko organisasi Anda:
- Administrator global
- Admin peran Istimewa
- Admin Exchange
- Administrator SharePoint
Untuk daftar lengkap peran administrator, lihat Izin peran administrator di ID Microsoft Entra.
Hapus akun apa pun yang tidak lagi diperlukan dalam peran tersebut. Kemudian, kategorikan akun yang tersisa yang ditetapkan ke peran admin:
- Ditetapkan untuk pengguna administratif, tetapi juga digunakan untuk tujuan produktivitas non-administratif, seperti membaca dan merespons email.
- Ditetapkan untuk pengguna administratif dan digunakan hanya untuk tujuan administratif
- Dibagikan di beberapa pengguna
- Untuk skenario akses darurat break-glass
- Untuk skrip otomatis
- Untuk pengguna eksternal
Jika Anda tidak memiliki Microsoft Entra Privileged Identity Management di organisasi, Anda dapat menggunakan PowerShell API. Mulai juga dengan peran Administrator Global, karena Administrator Global memiliki izin yang sama di semua layanan cloud tempat organisasi Anda berlangganan. Izin ini diberikan di mana pun mereka ditetapkan: di pusat admin Microsoft 365, portal Microsoft Azure, atau oleh modul AAD untuk Microsoft PowerShell.
- Mengukur hasil utama: Tinjau dan Identifikasi peran akses istimewa telah selesai dalam 90 hari terakhir
Akun terpisah (Akun AD lokal)
Apa: Mengamankan akun administratif istimewa lokal, jika belum dilakukan. Tahap ini meliputi:
- Membuat akun admin terpisah untuk pengguna yang perlu melakukan tugas administratif lokal
- Menyebarkan Stasiun Kerja Akses Istimewa untuk administrator Direktori Aktif
- Membuat kata sandi admin lokal yang unik untuk stasiun kerja dan server
Mengapa: Memperkuat akun yang digunakan untuk tugas administratif. Akun administrator harus menonaktifkan email dan tidak ada akun Microsoft pribadi yang diizinkan.
Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
- Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
- Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
- Persyaratan dan standar tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
- Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
- Pemantauan manajemen Kepatuhan Keamanan untuk memastikan kepatuhan
Caranya: Semua personel yang berwenang untuk memiliki hak istimewa administratif harus memiliki akun terpisah untuk fungsi administratif yang berbeda dari akun pengguna. Jangan bagikan akun ini antar pengguna.
- Akun pengguna standar - Memberikan hak istimewa pengguna standar untuk tugas pengguna standar, seperti email, penjelajahan web, dan menggunakan aplikasi lini bisnis. Akun-akun ini tidak diberikan hak istimewa administratif.
- Akun administratif - Memisahkan akun yang dibuat untuk personel yang diberi hak istimewa administratif yang sesuai.
Mengukur hasil utama: 100% pengguna istimewa lokal memiliki akun khusus terpisah
Microsoft Defender untuk Identitas
Apa: Microsoft Defender untuk Identitas menggabungkan sinyal lokal dengan wawasan cloud untuk memantau, melindungi, dan menyelidiki peristiwa dalam format yang disederhanakan yang memungkinkan tim keamanan Anda mendeteksi serangan lanjutan terhadap infrastruktur identitas Anda dengan kemampuan untuk:
- Memantau pengguna, perilaku entitas, dan aktivitas dengan analitik berbasis pembelajaran
- Melindungi identitas dan kredensial pengguna yang disimpan di Active Directory
- Mengidentifikasi dan menyelidiki aktivitas pengguna yang mencurigakan serta serangan lanjutan di seluruh kill chain
- Berikan informasi insiden yang jelas pada garis waktu sederhana untuk triase cepat
Mengapa: Penyerang modern mungkin tetap tidak terdeteksi untuk jangka waktu yang lama. Banyak ancaman sulit ditemukan tanpa gambaran kohesif dari seluruh lingkungan identitas Anda.
Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
- Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
- Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
- Persyaratan dan standar tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
- Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
- Pemantauan manajemen Kepatuhan Keamanan untuk memastikan kepatuhan
Cara: Menyebarkan dan mengaktifkan Microsoft Defender untuk Identitas dan meninjau pemberitahuan terbuka apa pun.
Mengukur hasil utama: Semua pemberitahuan terbuka ditinjau dan dimitigasi oleh tim yang sesuai.
Tingkatkan pengalaman manajemen kredensial
Menerapkan dan mendokumentasikan pengaturan ulang kata sandi mandiri dan pendaftaran informasi keamanan gabungan
- Apa: Mengaktifkan dan mengonfigurasi pengaturan ulang kata sandi mandiri (SSPR) di organisasi Anda dan mengaktifkan pengalaman pendaftaran informasi keamanan gabungan.
- Mengapa: Pengguna dapat mengatur ulang kata sandi mereka sendiri setelah mereka mendaftar. Pengalaman pendaftaran informasi keamanan gabungan memberikan pengalaman pengguna yang lebih baik yang memungkinkan pendaftaran untuk autentikasi multifaktor Microsoft Entra dan pengaturan ulang kata sandi mandiri. Alat-alat ini ketika digunakan bersama-sama berkontribusi pada biaya helpdesk yang lebih rendah dan pengguna yang lebih puas.
- Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
- Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
- Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
- Persyaratan dan standar tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
- Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
- Pemantauan manajemen Kepatuhan Keamanan untuk memastikan kepatuhan
- Proses Helpdesk Operasi IT Pusat telah diperbarui dan personel telah dilatih di dalamnya
- Cara: Untuk mengaktifkan dan menyebarkan SSPR, lihat artikel Merencanakan penyebaran pengaturan ulang kata sandi mandiri Microsoft Entra.
- Mengukur hasil utama: Pengaturan ulang kata sandi mandiri dikonfigurasi sepenuhnya dan tersedia untuk organisasi
Lindungi akun admin - Aktifkan dan wajibkan MFA / Tanpa Kata Sandi untuk pengguna istimewa MICROSOFT Entra ID
Apa: Memerlukan semua akun istimewa di ID Microsoft Entra untuk menggunakan autentikasi multifaktor yang kuat
Alasan: Untuk melindungi akses ke data dan layanan di Microsoft 365.
Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
- Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
- Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
- Persyaratan dan standar tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
- Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
- Pemantauan manajemen Kepatuhan Keamanan untuk memastikan kepatuhan
- Proses Helpdesk Operasi IT Pusat telah diperbarui dan personel telah dilatih di dalamnya
- Proses pemilik Layanan Operasi IT Pusat telah diperbarui dan personel telah dilatih pada mereka
Cara: Aktifkan autentikasi multifaktor Microsoft Entra (MFA) dan daftarkan semua akun admin non-federasi pengguna tunggal lainnya yang sangat istimewa. Wajibkan autentikasi multifaktor saat masuk untuk semua pengguna individu yang ditetapkan secara permanen ke satu atau beberapa peran admin Microsoft Entra seperti:
- Administrator global
- Administrator Peran Istimewa
- Admin Exchange
- Administrator SharePoint
Mengharuskan administrator untuk menggunakan metode masuk tanpa kata sandi seperti kunci keamanan FIDO2 atau Windows Hello untuk Bisnis bersama dengan kata sandi unik yang panjang dan kompleks. Menerapkan perubahan ini dengan dokumen kebijakan organisasi.
Ikuti panduan dalam artikel berikut, Rencanakan penyebaran autentikasi multifaktor Microsoft Entra dan Rencanakan penyebaran autentikasi tanpa kata sandi di ID Microsoft Entra.
- Mengukur hasil utama: 100% pengguna istimewa menggunakan autentikasi tanpa kata sandi atau bentuk autentikasi multifaktor yang kuat untuk semua logon. Lihat Akun Akses Istimewa untuk deskripsi autentikasi multifaktor
Memblokir protokol autentikasi warisan untuk akun pengguna istimewa
Apa: Memblokir penggunaan protokol autentikasi warisan untuk akun pengguna istimewa.
Mengapa: Organisasi harus memblokir protokol autentikasi warisan ini karena autentikasi multifaktor tidak dapat diberlakukan terhadap mereka. Membiarkan protokol autentikasi lama diaktifkan dapat menciptakan titik masuk untuk penyerang. Beberapa aplikasi warisan mungkin mengandalkan protokol dan organisasi ini memiliki opsi untuk membuat pengecualian khusus untuk akun tertentu. Pengecualian ini harus dilacak dan kontrol pemantauan tambahan diterapkan.
Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
- Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
- Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
- Kebijakan dan standar: menetapkan persyaratan yang jelas
- Manajemen Identitas dan Kunci atau Operasi IT Pusat TI Pusat Untuk menerapkan kebijakan
- Pemantauan manajemen Kepatuhan Keamanan untuk memastikan kepatuhan
Cara: Untuk memblokir protokol autentikasi warisan di organisasi Anda, ikuti panduan dalam artikel Cara: Memblokir autentikasi warisan ke ID Microsoft Entra dengan Akses Bersyarah.
Mengukur hasil kunci:
- Protokol warisan diblokir: Semua protokol warisan diblokir untuk semua pengguna, hanya dengan pengecualian resmi
- Pengecualian ditinjau setiap 90 hari dan kedaluwarsa secara permanen dalam satu tahun. Pemilik aplikasi harus memperbaiki semua pengecualian dalam satu tahun setelah persetujuan pengecualian pertama
Proses persetujuan aplikasi
- Apa: Menonaktifkan persetujuan pengguna akhir untuk aplikasi Microsoft Entra.
Catatan
Perubahan ini akan mengharuskan memusatkan proses pengambilan keputusan dengan tim administrasi keamanan dan identitas organisasi Anda.
- Mengapa: Pengguna secara tidak sengaja dapat membuat risiko organisasi dengan memberikan persetujuan untuk aplikasi yang dapat mengakses data organisasi dengan berbahaya.
- Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
- Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
- Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
- Persyaratan dan standar tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
- Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
- Pemantauan manajemen Kepatuhan Keamanan untuk memastikan kepatuhan
- Proses Helpdesk Operasi IT Pusat telah diperbarui dan personel telah dilatih di dalamnya
- Proses pemilik Layanan Operasi IT Pusat telah diperbarui dan personel telah dilatih pada mereka
- Cara: Menetapkan proses persetujuan terpusat untuk mempertahankan visibilitas terpusat dan kontrol aplikasi yang memiliki akses ke data dengan mengikuti panduan dalam artikel, Mengelola persetujuan untuk aplikasi dan mengevaluasi permintaan persetujuan.
- Mengukur hasil utama: Pengguna akhir tidak dapat menyetujui akses aplikasi Microsoft Entra
Membersihkan risiko akun dan masuk
- Apa: Aktifkan Microsoft Entra ID Protection dan bersihkan risiko apa pun yang ditemukannya.
- Mengapa: Pengguna berisiko dan perilaku masuk dapat menjadi sumber serangan terhadap organisasi Anda.
- Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
- Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
- Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
- Persyaratan dan standar tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
- Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
- Pemantauan manajemen Kepatuhan Keamanan untuk memastikan kepatuhan
- Proses Helpdesk Operasi IT Pusat telah diperbarui untuk panggilan dukungan terkait dan personel telah dilatih pada mereka
- Cara: Membuat proses yang memantau dan mengelola risiko pengguna dan masuk. Tentukan apakah Anda akan mengotomatiskan remediasi, menggunakan autentikasi multifaktor Microsoft Entra dan SSPR, atau memblokir dan memerlukan intervensi administrator. Ikuti panduan dalam artikel Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.
- Mengukur hasil utama: Organisasi tidak memiliki risiko pengguna dan rincian masuk yang tidak berdasar.
Catatan
Kebijakan Akses Bersyarat diperlukan untuk memblokir akrual risiko masuk baru. Lihat bagian Akses Bersyar pada Penyebaran Akses Istimewa
Penyebaran awal stasiun kerja admin
- Apa: Akun istimewa seperti Administrator Global memiliki stasiun kerja khusus untuk melakukan tugas administratif.
- Mengapa: Perangkat tempat tugas administrasi istimewa selesai adalah target penyerang. Mengamankan tidak hanya akun tetapi aset ini sangat penting dalam mengurangi area permukaan serangan Anda. Pemisahan ini membatasi paparan mereka terhadap serangan umum yang diarahkan pada tugas terkait produktivitas seperti email dan penjelajahan web.
- Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
- Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
- Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
- Persyaratan dan standar tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
- Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
- Pemantauan manajemen Kepatuhan Keamanan untuk memastikan kepatuhan
- Proses Helpdesk Operasi IT Pusat telah diperbarui dan personel telah dilatih di dalamnya
- Proses pemilik Layanan Operasi IT Pusat telah diperbarui dan personel telah dilatih pada mereka
- Cara: Penyebaran awal harus ke tingkat Perusahaan seperti yang dijelaskan dalam artikel Penyebaran Akses Istimewa
- Mengukur hasil utama: Setiap akun istimewa memiliki stasiun kerja khusus untuk melakukan tugas sensitif.
Catatan
Langkah ini dengan cepat menetapkan garis besar keamanan dan harus ditingkatkan ke tingkat khusus dan istimewa sesegera mungkin.