Rencana modernisasi cepat keamanan

Rencana modernisasi cepat (RAMP) ini akan membantu Anda dengan cepat mengadopsi strategi akses istimewa yang direkomendasikan Microsoft.

Peta strategi ini dibangun berdasarkan kontrol teknis yang ditetapkan dalam panduan penyebaran akses istimewa . Selesaikan langkah-langkah tersebut lalu gunakan langkah-langkah dalam RAMP ini untuk mengonfigurasi kontrol untuk organisasi Anda.

Catatan

Banyak dari langkah-langkah ini akan memiliki dinamis hijau/brownfield karena organisasi sering memiliki risiko keamanan dalam cara mereka sudah disebarkan atau dikonfigurasi akun. Peta jalan ini memprioritaskan menghentikan akumulasi risiko keamanan baru terlebih dahulu, dan kemudian membersihkan item yang tersisa yang telah terakumulasi.

Saat Anda maju melalui peta strategi, Anda dapat menggunakan Microsoft Secure Score untuk melacak dan membandingkan banyak item dalam perjalanan dengan orang lain di organisasi serupa dari waktu ke waktu. Pelajari selengkapnya tentang Skor Aman Microsoft dalam artikel Gambaran umum skor aman.

Setiap item dalam RAMP ini disusun sebagai inisiatif yang akan dilacak dan dikelola menggunakan format yang dibangun pada metodologi tujuan dan hasil utama (OKR). Setiap item mencakup apa (tujuan), mengapa, siapa, bagaimana, dan cara mengukur (hasil utama). Beberapa item memerlukan perubahan pada proses dan pengetahuan/keterampilan orang lain, sementara yang lain adalah perubahan teknologi yang lebih sederhana. Banyak dari inisiatif ini akan mencakup anggota di luar Departemen IT tradisional yang harus disertakan dalam pengambilan keputusan dan implementasi perubahan ini untuk memastikan mereka berhasil diintegrasikan dalam organisasi Anda.

Sangat penting untuk bekerja sama sebagai organisasi, menciptakan kemitraan, dan mendidik orang-orang yang secara tradisional bukan bagian dari proses ini. Sangat penting untuk membuat dan memelihara pembelian di seluruh organisasi, tanpa banyak proyek gagal.

Pisahkan dan kelola akun istimewa

Akun akses darurat

• Apa: Pastikan Anda tidak secara tidak sengaja terkunci dari organisasi Azure Active Directory (Azure AD) Anda dalam situasi darurat.
• Mengapa: Akun akses darurat jarang digunakan dan sangat merusak organisasi jika disusupi, tetapi ketersediaannya untuk organisasi juga sangat penting untuk beberapa skenario ketika diperlukan. Pastikan Anda memiliki rencana untuk kelangsungan akses yang mengakomodasi peristiwa yang diharapkan dan tidak terduga.
• Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
  • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
  • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
    • Kebijakan dan standar tim mendokuensikan persyaratan dan standar yang jelas
    • Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
    • Manajemen Kepatuhan Keamanan memantau untuk memastikan kepatuhan
• Caranya: Ikuti panduan dalam Mengelola akun akses darurat di Azure AD.
• Mengukur hasil kunci:
  • Didirikan Proses akses darurat telah dirancang berdasarkan panduan Microsoft yang memenuhi kebutuhan organisasi
  • Dipertahankan Akses darurat telah ditinjau dan diuji dalam 90 hari terakhir

Aktifkan Azure AD Privileged Identity Management

• Apa: Gunakan Azure AD Privileged Identity Management (PIM) di lingkungan produksi Azure AD Anda untuk menemukan dan mengamankan akun istimewa
• Mengapa: Privileged Identity Management menyediakan aktivasi peran berbasis waktu dan berbasis persetujuan untuk mengurangi risiko izin akses yang berlebihan, tidak perlu, atau disalahgunakan.
• Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
  • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
  • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
    • Tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
    • Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
    • Manajemen Kepatuhan Keamanan memantau untuk memastikan kepatuhan
• Cara: Menyebarkan dan Mengonfigurasi Azure AD Privileged Identity Management menggunakan panduan dalam artikel, Menyebarkan Azure AD Privileged Identity Management (PIM).
• Mengukur hasil utama: 100% peran akses istimewa yang berlaku menggunakan Azure AD PIM

Mengidentifikasi dan mengategorikan akun istimewa (Azure AD)

• Apa: Identifikasi semua peran dan grup dengan dampak bisnis tinggi yang akan memerlukan tingkat keamanan istimewa (segera atau dari waktu ke waktu). Administrator ini akan memerlukan akun spasi di langkah selanjutnya Administrasi akses istimewa.

• Mengapa: Langkah ini diperlukan untuk mengidentifikasi dan meminimalkan jumlah orang yang memerlukan akun terpisah dan perlindungan akses istimewa

• Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.

  • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
  • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
    • Tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
    • Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
    • Manajemen Kepatuhan Keamanan memantau untuk memastikan kepatuhan

• Caranya: Setelah mengaktifkan Azure AD Privileged Identity Management, lihat pengguna yang berada dalam peran Azure AD berikut minimal berdasarkan kebijakan risiko organisasi Anda:

  • Administrator global
  • Admin peran istimewa
  • Administrator Exchange
  • Administrator SharePoint

  Untuk daftar lengkap peran administrator, lihat Izin peran administrator di Azure Active Directory.

  Hapus akun apa pun yang tidak lagi diperlukan dalam peran tersebut. Kemudian, kategorikan akun yang tersisa yang ditetapkan ke peran admin:

  • Ditetapkan untuk pengguna administratif, tetapi juga digunakan untuk tujuan produktivitas non-administratif, seperti membaca dan merespons email.
  • Ditetapkan untuk pengguna administratif dan digunakan hanya untuk tujuan administratif
  • Dibagikan di beberapa pengguna
  • Untuk skenario akses darurat break-glass
  • Untuk skrip otomatis
  • Untuk pengguna eksternal

Jika Anda tidak memiliki Azure AD Privileged Identity Management di organisasi, Anda dapat menggunakan PowerShell API. Mulai juga dengan peran Administrator Global, karena Administrator Global memiliki izin yang sama di semua layanan cloud tempat organisasi Anda berlangganan. Izin ini diberikan di mana pun mereka ditetapkan: di pusat admin Microsoft 365, portal Microsoft Azure, atau oleh modul AAD untuk Microsoft PowerShell.

• Mengukur hasil kunci: Tinjauan dan Identifikasi peran akses istimewa telah selesai dalam 90 hari terakhir

Akun terpisah (Akun AD lokal)

• Apa: Mengamankan akun administratif istimewa lokal, jika belum dilakukan. Tahap ini meliputi:

  • Membuat akun admin terpisah untuk pengguna yang perlu melakukan tugas administratif lokal
  • Menyebarkan Stasiun Kerja Akses Istimewa untuk administrator Direktori Aktif
  • Membuat kata sandi admin lokal yang unik untuk stasiun kerja dan server

• Alasan: Memperkuat akun yang digunakan untuk tugas administratif. Akun administrator harus menonaktifkan email dan tidak ada akun Microsoft pribadi yang diizinkan.

• Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.

  • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
  • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
    • Tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
    • Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
    • Manajemen Kepatuhan Keamanan memantau untuk memastikan kepatuhan

• Cara: Semua personel yang berwenang untuk memiliki hak istimewa administratif harus memiliki akun terpisah untuk fungsi administratif yang berbeda dari akun pengguna. Jangan bagikan akun ini antar pengguna.

  • Akun pengguna standar - Diberikan hak istimewa pengguna standar untuk tugas pengguna standar, seperti email, penjelajahan web, dan menggunakan aplikasi lini bisnis. Akun-akun ini tidak diberikan hak administratif.
  • Akun administratif - Akun terpisah yang dibuat untuk personel yang diberi hak istimewa administratif yang sesuai.

• Mengukur hasil utama: 100% pengguna istimewa lokal memiliki akun khusus terpisah

Microsoft Defender for Identity

• Apa: Microsoft Defender untuk Identitas menggabungkan sinyal lokal dengan wawasan cloud untuk memantau, melindungi, dan menyelidiki peristiwa dalam format yang disederhanakan yang memungkinkan tim keamanan Anda mendeteksi serangan lanjutan terhadap infrastruktur identitas Anda dengan kemampuan untuk:

  • Memantau pengguna, perilaku entitas, dan aktivitas dengan analitik berbasis pembelajaran
  • Melindungi identitas dan kredensial pengguna yang disimpan di Active Directory
  • Mengidentifikasi dan menyelidiki aktivitas pengguna yang mencurigakan serta serangan lanjutan di seluruh kill chain
  • Berikan informasi insiden yang jelas pada garis waktu sederhana untuk triase cepat

• Mengapa: Penyerang modern mungkin tetap tidak terdeteksi untuk jangka waktu yang lama. Banyak ancaman sulit ditemukan tanpa gambaran kohesif dari seluruh lingkungan identitas Anda.

• Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.

  • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
  • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
    • Tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
    • Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
    • Manajemen Kepatuhan Keamanan memantau untuk memastikan kepatuhan

• Cara: Menyebarkan dan mengaktifkan Microsoft Defender untuk Identitas dan meninjau pemberitahuan terbuka apa pun.

• Mengukur hasil utama: Semua pemberitahuan terbuka ditinjau dan dimitigasi oleh tim yang sesuai.

Tingkatkan pengalaman manajemen kredensial

Menerapkan dan mendokumentasikan pengaturan ulang kata sandi mandiri dan pendaftaran informasi keamanan gabungan

• Apa: Mengaktifkan dan mengonfigurasi pengaturan ulang kata sandi mandiri (SSPR) di organisasi Anda dan mengaktifkan pengalaman pendaftaran informasi keamanan gabungan.
• Alasan: Pengguna dapat mengatur ulang kata sandi mereka sendiri setelah mereka mendaftar. Pengalaman pendaftaran informasi keamanan gabungan memberikan pengalaman pengguna yang lebih baik yang memungkinkan pendaftaran untuk Azure AD Autentikasi Multifaktor dan pengaturan ulang kata sandi mandiri. Alat-alat ini ketika digunakan bersama-sama berkontribusi pada biaya bantuan teknis yang lebih rendah dan pengguna yang lebih puas.
• Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
  • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
  • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
    • Tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
    • Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
    • Manajemen Kepatuhan Keamanan memantau untuk memastikan kepatuhan
    • Operasi IT Pusat Proses helpdesk telah diperbarui dan personel telah dilatih di dalamnya
• Cara: Untuk mengaktifkan dan menyebarkan SSPR, lihat artikel Merencanakan penyebaran pengaturan ulang kata sandi mandiri Azure Active Directory.
• Mengukur hasil utama: Pengaturan ulang kata sandi mandiri sepenuhnya dikonfigurasi dan tersedia untuk organisasi

Lindungi akun admin - Aktifkan dan wajibkan MFA /Tanpa Kata Sandi untuk pengguna istimewa Azure AD

• Apa: Mewajibkan semua akun istimewa di Azure AD untuk menggunakan autentikasi multifaktor yang kuat

• Alasan: Untuk melindungi akses ke data dan layanan di Microsoft 365.

• Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.

  • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
  • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
    • Tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
    • Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
    • Manajemen Kepatuhan Keamanan memantau untuk memastikan kepatuhan
    • Operasi IT Pusat Proses helpdesk telah diperbarui dan personel telah dilatih di dalamnya
    • Operasi IT Pusat Proses pemilik layanan telah diperbarui dan personel telah dilatih pada mereka

• Caranya: Aktifkan Azure AD Autentikasi Multifaktor (MFA) dan daftarkan semua akun admin non-federasi pengguna tunggal lainnya yang sangat istimewa. Wajibkan autentikasi multifaktor saat masuk untuk semua pengguna individual yang ditetapkan secara permanen ke satu atau beberapa peran admin Azure AD seperti:

  • Administrator global
  • Administrator Peran Istimewa
  • Administrator Exchange
  • Administrator SharePoint

  Mengharuskan administrator untuk menggunakan metode masuk tanpa kata sandi seperti kunci keamanan FIDO2 atau Windows Hello untuk Bisnis bersama dengan kata sandi unik yang panjang dan kompleks. Terlaksakan perubahan ini dengan dokumen kebijakan organisasi.

Ikuti panduan dalam artikel berikut, Rencanakan penyebaran Autentikasi Multifaktor Azure AD dan Rencanakan penyebaran autentikasi tanpa kata sandi di Azure Active Directory.

• Mengukur hasil utama: 100% pengguna istimewa menggunakan autentikasi tanpa kata sandi atau bentuk autentikasi multifaktor yang kuat untuk semua masuk. Lihat Akun Akses Istimewa untuk deskripsi autentikasi multifaktor

Memblokir protokol autentikasi warisan untuk akun pengguna istimewa

• Apa: Memblokir penggunaan protokol autentikasi warisan untuk akun pengguna istimewa.

• Mengapa: Organisasi harus memblokir protokol autentikasi warisan ini karena autentikasi multifaktor tidak dapat diberlakukan terhadapnya. Membiarkan protokol autentikasi lama diaktifkan dapat menciptakan titik masuk untuk penyerang. Beberapa aplikasi warisan mungkin mengandalkan protokol dan organisasi ini memiliki opsi untuk membuat pengecualian khusus untuk akun tertentu. Pengecualian ini harus dilacak dan kontrol pemantauan tambahan diterapkan.

• Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.

  • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
  • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
    • Kebijakan dan standar: menetapkan persyaratan yang jelas
    • Manajemen Identitas dan Kunci atau Operasi IT Pusat Operasi TI Pusat untuk menerapkan kebijakan
    • Manajemen Kepatuhan Keamanan memantau untuk memastikan kepatuhan

• Cara: Untuk memblokir protokol autentikasi warisan di organisasi Anda, ikuti panduan dalam artikel Cara: Memblokir autentikasi warisan untuk Azure AD dengan Akses Bersyarah.

• Mengukur hasil kunci:

  • Protokol warisan diblokir: Semua protokol warisan diblokir untuk semua pengguna, hanya dengan pengecualian resmi
  • Pengecualian ditinjau setiap 90 hari dan kedaluwarsa secara permanen dalam waktu satu tahun. Pemilik aplikasi harus memperbaiki semua pengecualian dalam satu tahun setelah persetujuan pengecualian pertama

Proses persetujuan aplikasi

• Apa: Menonaktifkan persetujuan pengguna akhir untuk Azure AD aplikasi.

Catatan

Perubahan ini akan memerlukan pemusatan proses pengambilan keputusan dengan tim administrasi keamanan dan identitas organisasi Anda.

• Alasan: Pengguna secara tidak sengaja dapat membuat risiko organisasi dengan memberikan persetujuan untuk aplikasi yang dapat mengakses data organisasi dengan berbahaya.
• Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
  • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
  • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
    • Tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
    • Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
    • Manajemen Kepatuhan Keamanan memantau untuk memastikan kepatuhan
    • Operasi IT Pusat Proses helpdesk telah diperbarui dan personel telah dilatih di dalamnya
    • Operasi IT Pusat Proses pemilik layanan telah diperbarui dan personel telah dilatih pada mereka
• Cara: Menetapkan proses persetujuan terpusat untuk mempertahankan visibilitas terpusat dan kontrol aplikasi yang memiliki akses ke data dengan mengikuti panduan dalam artikel, Mengelola persetujuan untuk aplikasi dan mengevaluasi permintaan persetujuan.
• Mengukur hasil utama: Pengguna akhir tidak dapat menyetujui akses aplikasi Azure AD

Membersihkan risiko akun dan masuk

• Apa: Aktifkan Azure AD Identity Protection dan bersihkan risiko apa pun yang ditemukannya.
• Alasan: Pengguna berisiko dan perilaku masuk dapat menjadi sumber serangan terhadap organisasi Anda.
• Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
  • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
  • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
    • Tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
    • Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
    • Manajemen Kepatuhan Keamanan memantau untuk memastikan kepatuhan
    • Operasi IT Pusat Proses helpdesk telah diperbarui untuk panggilan dukungan terkait dan personel telah dilatih pada mereka
• Cara: Membuat proses yang memantau dan mengelola pengguna dan risiko masuk. Tentukan apakah Anda akan mengotomatiskan remediasi, menggunakan Azure AD Autentikasi Multifaktor dan SSPR, atau memblokir dan memerlukan intervensi administrator. Ikuti panduan dalam artikel Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.
• Mengukur hasil utama: Organisasi tidak memiliki pengguna tanpa alamat dan risiko masuk.

Catatan

Kebijakan Akses Bersyarat diperlukan untuk memblokir akrual risiko masuk baru. Lihat bagian Akses bersyar pada Penyebaran Akses Istimewa

Admin penyebaran awal stasiun kerja

• Apa: Akun istimewa seperti Administrator Global memiliki stasiun kerja khusus untuk melakukan tugas administratif.
• Mengapa: Perangkat tempat tugas administrasi istimewa selesai adalah target penyerang. Mengamankan tidak hanya akun tetapi aset ini sangat penting dalam mengurangi area permukaan serangan Anda. Pemisahan ini membatasi paparan mereka terhadap serangan umum yang diarahkan pada tugas terkait produktivitas seperti email dan penjelajahan web.
• Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
  • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
  • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
    • Tim kebijakan dan standar mendokumen persyaratan dan standar yang jelas (berdasarkan panduan ini)
    • Manajemen Identitas dan Kunci atau Operasi IT Pusat untuk menerapkan perubahan apa pun
    • Manajemen Kepatuhan Keamanan memantau untuk memastikan kepatuhan
    • Operasi IT Pusat Proses helpdesk telah diperbarui dan personel telah dilatih di dalamnya
    • Operasi IT Pusat Proses pemilik layanan telah diperbarui dan personel telah dilatih pada mereka
• Cara: Penyebaran awal harus ke tingkat Perusahaan seperti yang dijelaskan dalam artikel Penyebaran Akses Istimewa
• Mengukur hasil utama: Setiap akun istimewa memiliki stasiun kerja khusus untuk melakukan tugas sensitif.

Catatan

Langkah ini dengan cepat menetapkan garis besar keamanan dan harus ditingkatkan ke tingkat khusus dan istimewa sesegera mungkin.

Langkah berikutnya

• Mengamankan gambaran umum akses istimewa
• Strategi akses istimewa
• Mengukur keberhasilan
• Tingkat keamanan
• Akun akses istimewa
• Perantara
• Antarmuka
• Perangkat akses istimewa
• Model akses perusahaan