Perencanaan untuk Kompromi

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Hukum Nomor Satu: Tidak ada yang percaya sesuatu yang buruk bisa terjadi pada mereka, sampai itu terjadi. - 10 Hukum Administrasi Keamanan yang Tidak Dapat Diubah

Rencana pemulihan bencana di banyak organisasi berfokus pada pemulihan dari bencana regional atau kegagalan yang mengakibatkan hilangnya layanan komputasi. Namun, ketika bekerja dengan pelanggan yang disusupi, kami sering menemukan bahwa pemulihan dari kompromi yang disengaja tidak ada dalam rencana pemulihan bencana mereka. Ini terutama berlaku ketika kompromi mengakibatkan pencurian kekayaan intelektual atau penghancuran yang disengaja yang memanfaatkan batas logis (seperti penghancuran semua domain Direktori Aktif atau semua server) daripada batas fisik (seperti penghancuran pusat data). Meskipun organisasi mungkin memiliki rencana respons insiden yang menentukan aktivitas awal yang harus diambil ketika kompromi ditemukan, rencana ini sering menghilangkan langkah-langkah untuk pulih dari kompromi yang memengaruhi seluruh infrastruktur komputasi.

Karena Active Directory menyediakan kemampuan manajemen identitas dan akses yang kaya untuk pengguna, server, stasiun kerja, dan aplikasi, itu sangat ditargetkan oleh penyerang. Jika penyerang mendapatkan akses yang sangat istimewa ke domain Active Directory atau pengendali domain, akses tersebut dapat dimanfaatkan untuk mengakses, mengontrol, atau bahkan menghancurkan seluruh forest Direktori Aktif.

Dokumen ini telah membahas beberapa serangan paling umum terhadap Windows dan Direktori Aktif dan penanggulangan yang dapat Anda terapkan untuk mengurangi permukaan serangan Anda, tetapi satu-satunya cara yang pasti untuk pulih jika terjadi penyusupan total Active Directory adalah dengan mempersiapkan penyusupan sebelum itu terjadi. Bagian ini lebih berfokus pada detail implementasi teknis daripada bagian sebelumnya dari dokumen ini, dan lebih banyak lagi pada rekomendasi tingkat tinggi yang dapat Anda gunakan untuk membuat pendekatan holistik dan komprehensif untuk mengamankan dan mengelola bisnis penting organisasi Anda dan aset TI.

Apakah infrastruktur Anda belum pernah diserang, telah menolak upaya pelanggaran, atau telah menyerah terhadap serangan dan telah sepenuhnya disusupi, Anda harus merencanakan realitas yang tidak dapat dihindari bahwa Anda akan diserang lagi dan lagi. Tidak mungkin untuk mencegah serangan, tetapi mungkin memang mungkin untuk mencegah pelanggaran signifikan atau kompromi grosir. Setiap organisasi harus mengevaluasi program manajemen risiko yang ada dengan cermat, dan melakukan penyesuaian yang diperlukan untuk membantu mengurangi tingkat kerentanan mereka secara keseluruhan dengan melakukan investasi seimbang dalam pencegahan, deteksi, penahanan, dan pemulihan.

Untuk menciptakan pertahanan yang efektif sambil tetap menyediakan layanan kepada pengguna dan bisnis yang bergantung pada infrastruktur dan aplikasi Anda, Anda mungkin perlu mempertimbangkan cara baru untuk mencegah, mendeteksi, dan mengandung kompromi di lingkungan Anda, lalu pulih dari kompromi. Pendekatan dan rekomendasi dalam dokumen ini mungkin tidak membantu Anda memperbaiki penginstalan Active Directory yang disusupi, tetapi dapat membantu Anda mengamankan yang berikutnya.

Rekomendasi untuk memulihkan forest Direktori Aktif disajikan di Pemulihan Hutan AD - Langkah-langkah untuk Memulihkan hutan. Anda mungkin dapat mencegah lingkungan baru Anda sepenuhnya disusupi, tetapi bahkan jika tidak dapat, Anda akan memiliki alat untuk memulihkan dan mendapatkan kembali kontrol lingkungan Anda.

Memikirkan Kembali Pendekatan

Undang-Undang Nomor Delapan: Kesulitan membela jaringan berbanding lurus dengan kompleksitasnya. - 10 Hukum Administrasi Keamanan yang Tidak Dapat Diubah

Diterima dengan baik bahwa jika penyerang telah mendapatkan akses SISTEM, Administrator, root, atau setara ke komputer, terlepas dari sistem operasi, komputer tersebut tidak dapat lagi dianggap dapat dipercaya, tidak peduli berapa banyak upaya yang dilakukan untuk "membersihkan" sistem. Direktori Aktif tidak berbeda. Jika penyerang telah mendapatkan akses istimewa ke pengendali domain atau akun yang sangat istimewa di Direktori Aktif, kecuali Anda memiliki catatan setiap modifikasi yang dilakukan penyerang atau cadangan yang baik yang diketahui, Anda tidak pernah dapat memulihkan direktori ke status yang sepenuhnya dapat dipercaya.

Ketika server anggota atau stasiun kerja disusupi dan diubah oleh penyerang, komputer tidak lagi dapat dipercaya, tetapi server dan stasiun kerja yang tidak dikompromikan tetangga masih dapat dipercaya. Kompromi satu komputer tidak menyiratkan bahwa semua komputer disusupi.

Namun, dalam domain Direktori Aktif, semua pengontrol domain menghosting replika dari database AD DS yang sama. Jika satu pengendali domain disusupi dan penyerang memodifikasi database AD DS, modifikasi tersebut mereplikasi ke setiap pengontrol domain lain di domain, dan tergantung pada partisi tempat modifikasi dibuat, forest. Bahkan jika Anda menginstal ulang setiap pengontrol domain di forest, Anda hanya menginstal ulang host tempat database AD DS berada. Modifikasi berbahaya pada Direktori Aktif akan direplikasi ke pengontrol domain yang baru diinstal semampu mereka akan mereplikasi ke pengontrol domain yang telah berjalan selama bertahun-tahun.

Dalam menilai lingkungan yang disusupi, kami biasanya menemukan bahwa apa yang diyakini sebagai "peristiwa" pelanggaran pertama sebenarnya dipicu setelah berminggu-minggu, berbulan-bulan, atau bahkan bertahun-tahun setelah penyerang awalnya membahayakan lingkungan. Penyerang biasanya mendapatkan kredensial untuk akun yang sangat istimewa jauh sebelum pelanggaran terdeteksi, dan mereka memanfaatkan akun tersebut untuk membahayakan direktori, pengendali domain, server anggota, stasiun kerja, dan bahkan sistem non-Windows yang terhubung.

Temuan ini konsisten dengan beberapa temuan dalam Laporan Investigasi Pelanggaran Data Verizon tahun 2012, yang menyatakan bahwa:

  • 98 persen pelanggaran data berasal dari agen eksternal

  • 85 persen pelanggaran data membutuhkan waktu berpekanan atau lebih untuk menemukan

  • 92 persen insiden ditemukan oleh pihak ketiga, dan

  • 97 persen pelanggaran dapat dihindari meskipun kontrol sederhana atau menengah.

Kompromi terhadap derajat yang dijelaskan sebelumnya secara efektif tidak dapat diperbaiki, dan saran standar untuk "meratakan dan membangun kembali" setiap sistem yang disusupi tidak layak atau bahkan mungkin jika Direktori Aktif telah disusupi atau dihancurkan. Bahkan memulihkan ke keadaan baik yang diketahui tidak menghilangkan kelemahan yang memungkinkan lingkungan disusupi pada awalnya.

Meskipun Anda harus mempertahankan setiap aspek infrastruktur Anda, penyerang hanya perlu menemukan cukup kelemahan dalam pertahanan Anda untuk sampai ke tujuan yang diinginkan. Jika lingkungan Anda relatif sederhana dan asli, dan dikelola dengan baik secara historis, maka menerapkan rekomendasi yang diberikan sebelumnya dalam dokumen ini mungkin merupakan proposisi yang mudah.

Namun, kami telah menemukan bahwa lingkungan yang lebih tua, lebih besar, dan lebih kompleks, semakin besar kemungkinan rekomendasi dalam dokumen ini tidak akan layak atau bahkan tidak mungkin diterapkan. Jauh lebih sulit untuk mengamankan infrastruktur setelah fakta daripada memulai dari awal dan membangun lingkungan yang tahan terhadap serangan dan kompromi. Tetapi seperti yang disebutkan sebelumnya, tidak ada usaha kecil untuk membangun kembali seluruh forest Direktori Aktif. Untuk alasan ini, kami merekomendasikan pendekatan yang lebih terfokus dan ditargetkan untuk mengamankan forest Direktori Aktif Anda.

Daripada berfokus pada dan mencoba memperbaiki semua hal yang "rusak", pertimbangkan pendekatan di mana Anda memprioritaskan berdasarkan apa yang paling penting bagi bisnis Anda dan di infrastruktur Anda. Alih-alih mencoba memulihkan lingkungan yang penuh dengan sistem dan aplikasi yang sudah kedaluarsa dan salah dikonfigurasi, pertimbangkan untuk membuat lingkungan kecil dan aman baru di mana Anda dapat dengan aman memindahkan pengguna, sistem, dan informasi yang paling penting bagi bisnis Anda.

Di bagian ini, kami menjelaskan pendekatan di mana Anda dapat membuat forest AD DS murni yang berfungsi sebagai "kapal kehidupan" atau "sel aman" untuk infrastruktur bisnis inti Anda. Hutan murni hanyalah forest Direktori Aktif yang baru dipasang yang biasanya terbatas dalam ukuran dan cakupan, dan yang dibangun dengan menggunakan sistem operasi, aplikasi, dan dengan prinsip-prinsip yang dijelaskan dalam Mengurangi Permukaan Serangan Direktori Aktif.

Dengan menerapkan pengaturan konfigurasi yang direkomendasikan di forest yang baru dibangun, Anda dapat membuat instalasi AD DS yang dibangun dari bawah ke atas dengan pengaturan dan praktik yang aman, dan Anda dapat mengurangi tantangan yang menyertai sistem dan aplikasi warisan. Meskipun instruksi terperinci untuk desain dan implementasi instalasi AD DS asli berada di luar cakupan dokumen ini, Anda harus mengikuti beberapa prinsip umum dan panduan untuk membuat "sel aman" tempat Anda dapat menampung aset Anda yang paling penting. Panduan ini adalah sebagai berikut:

  1. Identifikasi prinsip-prinsip untuk memisahkan dan mengamankan aset penting.

  2. Tentukan rencana migrasi terbatas berbasis risiko.

  3. Manfaatkan migrasi "nonmigratori" jika perlu.

  4. Terapkan "penghancuran kreatif."

  5. Mengisolasi sistem dan aplikasi warisan.

  6. Menyederhanakan keamanan untuk pengguna akhir.

Mengidentifikasi Prinsip untuk Memisahkan dan Mengamankan Aset Penting

Karakteristik lingkungan asli yang Anda buat untuk menampung aset penting dapat sangat bervariasi. Misalnya, Anda dapat memilih untuk membuat forest murni tempat Anda hanya memigrasikan pengguna VIP dan data sensitif yang hanya dapat diakses pengguna tersebut. Anda dapat membuat forest murni di mana Anda memigrasikan tidak hanya pengguna VIP, tetapi yang Anda terapkan sebagai hutan administratif, menerapkan prinsip-prinsip yang dijelaskan dalam Mengurangi Permukaan Serangan Direktori Aktif untuk membuat akun administratif dan host aman yang dapat digunakan untuk mengelola hutan warisan Anda dari hutan murni. Anda dapat menerapkan forest "dibuat khusus" yang menampung akun VIP, akun istimewa, dan sistem yang memerlukan keamanan tambahan seperti server yang menjalankan Active Directory Certificate Services (AD CS) dengan satu-satunya tujuan untuk memisahkannya dari forest yang kurang aman. Akhirnya, Anda mungkin menerapkan hutan murni yang menjadi lokasi de facto untuk semua pengguna, sistem, aplikasi, dan data baru, yang memungkinkan Anda untuk akhirnya menonaktifkan hutan warisan Anda melalui attrisi.

Terlepas dari apakah forest asli Anda berisi beberapa pengguna dan sistem atau membentuk dasar untuk migrasi yang lebih agresif, Anda harus mengikuti prinsip-prinsip ini dalam perencanaan Anda:

  1. Asumsikan bahwa hutan warisan Anda telah disusupi.

  2. Jangan mengonfigurasi lingkungan yang asli untuk mempercayai hutan warisan, meskipun Anda dapat mengonfigurasi lingkungan warisan untuk mempercayai hutan yang masih asli.

  3. Jangan memigrasikan akun atau grup pengguna dari forest warisan ke lingkungan murni jika ada kemungkinan keanggotaan grup akun, riwayat SID, atau atribut lain mungkin telah dimodifikasi dengan berbahaya. Sebagai gantinya, gunakan pendekatan "nonmigratori" untuk mengisi hutan asli. (Pendekatan nonmigratory dijelaskan nanti di bagian ini.)

  4. Jangan memigrasikan komputer dari hutan warisan ke hutan murni. Terapkan server yang baru diinstal di forest murni, instal aplikasi di server yang baru diinstal, dan migrasikan data aplikasi ke sistem yang baru diinstal. Untuk server file, salin data ke server yang baru diinstal, atur ACL dengan menggunakan pengguna dan grup di forest baru, lalu buat server cetak dengan cara yang sama.

  5. Jangan izinkan penginstalan sistem operasi warisan atau aplikasi di hutan asli. Jika aplikasi tidak dapat diperbarui dan baru diinstal, biarkan di hutan warisan dan pertimbangkan penghancuran kreatif untuk menggantikan fungsionalitas aplikasi.

Menentukan Rencana Migrasi Terbatas Berbasis Risiko

Membuat rencana migrasi terbatas berbasis risiko berarti bahwa saat memutuskan pengguna, aplikasi, dan data mana yang akan dimigrasikan ke forest murni Anda, Anda harus mengidentifikasi target migrasi berdasarkan tingkat risiko di mana organisasi Anda diekspos jika salah satu pengguna atau sistem disusupi. Pengguna VIP yang akunnya kemungkinan besar ditargetkan oleh penyerang harus ditempatkan di hutan yang masih asli. Aplikasi yang menyediakan fungsi bisnis penting harus dipasang pada server yang baru dibangun di forest asli, dan data yang sangat sensitif harus dipindahkan ke server yang aman di forest asli.

Jika Anda belum memiliki gambaran yang jelas tentang pengguna, sistem, aplikasi, dan data paling penting bisnis di lingkungan Direktori Aktif Anda, bekerja dengan unit bisnis untuk mengidentifikasinya. Aplikasi apa pun yang diperlukan agar bisnis beroperasi harus diidentifikasi, seperti halnya server mana pun yang menjalankan aplikasi penting atau data penting disimpan. Dengan mengidentifikasi pengguna dan sumber daya yang diperlukan agar organisasi Anda terus berfungsi, Anda membuat kumpulan aset yang diprioritaskan secara alami untuk memfokuskan upaya Anda.

Memanfaatkan Migrasi "Nonmigratory"

Apakah Anda tahu bahwa lingkungan Anda telah disusupi, curiga bahwa lingkungan telah disusupi, atau lebih suka tidak memigrasikan data dan objek warisan dari penginstalan Direktori Aktif warisan ke yang baru, pertimbangkan pendekatan migrasi yang tidak secara teknis "memigrasikan" objek.

Akun Pengguna

Dalam migrasi Direktori Aktif tradisional dari satu forest ke forest lainnya, atribut SIDHistory (riwayat SID) pada objek pengguna digunakan untuk menyimpan SID pengguna dan SID grup yang menjadi anggota pengguna di forest warisan. Jika akun pengguna dimigrasikan ke forest baru, dan mereka mengakses sumber daya di forest warisan, SID dalam riwayat SID digunakan untuk membuat token akses yang memungkinkan pengguna mengakses sumber daya yang dapat mereka akses sebelum akun dimigrasikan.

Namun, mempertahankan riwayat SID telah terbukti bermasalah di beberapa lingkungan karena mengisi token akses pengguna dengan SID saat ini dan historis dapat mengakibatkan kembung token. Token bloat adalah masalah di mana jumlah SID yang harus disimpan dalam token akses pengguna menggunakan atau melebihi jumlah ruang yang tersedia dalam token.

Meskipun ukuran token dapat ditingkatkan hingga batas terbatas, solusi utama untuk token bloat adalah mengurangi jumlah SID yang terkait dengan akun pengguna, baik dengan merasilialisasi keanggotaan grup, menghilangkan riwayat SID, atau kombinasi keduanya. Untuk informasi selengkapnya tentang token bloat, lihat MaxTokenSize dan Kerberos Token Bloat.

Daripada memigrasikan pengguna dari lingkungan warisan (terutama salah satu di mana keanggotaan grup dan riwayat SID dapat disusupi) dengan menggunakan riwayat SID, pertimbangkan untuk memanfaatkan aplikasi metadirectory untuk "memigrasikan" pengguna, tanpa membawa riwayat SID ke forest baru. Saat akun pengguna dibuat di forest baru, Anda dapat menggunakan aplikasi metadirectory untuk memetakan akun ke akun terkait di forest warisan.

Untuk menyediakan akses akun pengguna baru ke sumber daya di forest warisan, Anda dapat menggunakan alat metadirectory untuk mengidentifikasi grup sumber daya tempat akun warisan pengguna diberikan akses, lalu menambahkan akun baru pengguna ke grup tersebut. Bergantung pada strategi grup Anda di forest warisan, Anda mungkin perlu membuat grup lokal domain untuk akses sumber daya atau mengonversi grup yang ada ke grup lokal domain untuk memungkinkan akun baru ditambahkan ke grup sumber daya. Dengan berfokus terlebih dahulu pada aplikasi dan data yang paling penting dan memigrasikannya ke lingkungan baru (dengan atau tanpa riwayat SID), Anda dapat membatasi jumlah upaya yang dikeluarkan di lingkungan warisan.

Server dan Stasiun Kerja

Dalam migrasi tradisional dari satu forest Direktori Aktif ke forest lainnya, migrasi komputer sering kali relatif sederhana dibandingkan dengan migrasi pengguna, grup, dan aplikasi. Tergantung pada peran komputer, bermigrasi ke forest baru bisa sesering bergabung dengan domain lama dan bergabung dengan yang baru. Namun, memigrasikan akun komputer secara utuh ke dalam hutan murni mengalahkan tujuan menciptakan lingkungan yang segar. Daripada memigrasikan akun komputer (berpotensi disusupi, salah dikonfigurasi, atau kedaluwarsa) ke forest baru, Anda harus menginstal server dan stasiun kerja yang baru di lingkungan baru. Anda dapat memigrasikan data dari sistem di hutan warisan ke sistem di hutan murni, tetapi bukan sistem yang menampung data.

Aplikasi

Aplikasi dapat menghadirkan tantangan paling signifikan dalam migrasi apa pun dari satu forest ke forest lainnya, tetapi dalam kasus migrasi "nonmigratori", salah satu prinsip paling mendasar yang harus Anda terapkan adalah bahwa aplikasi di hutan murni harus terkini, didukung, dan baru dipasang. Data dapat dimigrasikan dari instans aplikasi di forest lama jika memungkinkan. Dalam situasi di mana aplikasi tidak dapat "dibuat ulang" di hutan asli, Anda harus mempertimbangkan pendekatan seperti penghancuran kreatif atau isolasi aplikasi warisan seperti yang dijelaskan di bagian berikut.

Menerapkan Penghancuran Kreatif

Penghancuran kreatif adalah istilah ekonomi yang menggambarkan pembangunan ekonomi yang dibuat oleh penghancuran urutan sebelumnya. Dalam beberapa tahun terakhir, istilah ini telah diterapkan pada teknologi informasi. Biasanya mengacu pada mekanisme di mana infrastruktur lama dihilangkan, bukan dengan meningkatkannya, tetapi dengan menggantinya dengan sesuatu yang sama sekali baru. ItXPO Simposium Gartner 2011 untuk CIO dan eksekutif TI senior menghadirkan penghancuran kreatif sebagai salah satu tema utamanya untuk pengurangan biaya dan peningkatan efisiensi. Peningkatan keamanan dimungkinkan sebagai hasil alami dari proses.

Misalnya, organisasi dapat terdiri dari beberapa unit bisnis yang menggunakan aplikasi berbeda yang melakukan fungsionalitas serupa, dengan berbagai tingkat modernitas dan dukungan vendor. Secara historis, IT mungkin bertanggung jawab untuk mempertahankan aplikasi setiap unit bisnis secara terpisah, dan upaya konsolidasi akan terdiri dari upaya untuk mencari tahu aplikasi mana yang menawarkan fungsionalitas terbaik dan kemudian memigrasikan data ke dalam aplikasi itu dari yang lain.

Dalam penghancuran kreatif, daripada mempertahankan aplikasi lama atau redundan, Anda menerapkan aplikasi yang sepenuhnya baru untuk menggantikan data lama, memigrasikan data ke dalam aplikasi baru, dan menonaktifkan aplikasi lama dan sistem tempat aplikasi tersebut berjalan. Dalam beberapa kasus, Anda dapat menerapkan penghancuran kreatif aplikasi warisan dengan menyebarkan aplikasi baru di infrastruktur Anda sendiri, tetapi sedapat mungkin, Anda harus mempertimbangkan untuk memindahkan aplikasi ke solusi berbasis cloud sebagai gantinya.

Dengan menyebarkan aplikasi berbasis cloud untuk menggantikan aplikasi internal warisan, Anda tidak hanya mengurangi upaya dan biaya pemeliharaan, tetapi Anda mengurangi permukaan serangan organisasi Anda dengan menghilangkan sistem warisan dan aplikasi yang menghadirkan kerentanan bagi penyerang untuk dimanfaatkan. Pendekatan ini memberikan cara yang lebih cepat bagi organisasi untuk mendapatkan fungsionalitas yang diinginkan sekaligus menghilangkan target warisan secara bersamaan dalam infrastruktur. Meskipun prinsip penghancuran kreatif tidak berlaku untuk semua aset TI, ini memberikan opsi yang sering layak untuk menghilangkan sistem dan aplikasi warisan sekaligus menyebarkan aplikasi berbasis cloud yang kuat, aman, dan kuat.

Mengisolasi Sistem dan Aplikasi Warisan

Hasil alami dari migrasi pengguna dan sistem penting bisnis Anda ke lingkungan yang murni dan aman adalah bahwa hutan warisan Anda akan berisi informasi dan sistem yang kurang berharga. Meskipun sistem dan aplikasi warisan yang tetap berada di lingkungan yang kurang aman dapat menimbulkan risiko kompromi yang meningkat, mereka juga mewakili berkurangnya tingkat keparahan kompromi. Dengan memodernisasi ulang dan memodernisasi aset bisnis penting Anda, Anda dapat fokus pada penyebaran manajemen dan pemantauan yang efektif sambil tidak perlu mengakomodasi pengaturan dan protokol warisan.

Dengan menghapus sistem ini dari domain di mana mereka memaksa implementasi pengaturan warisan, Anda kemudian dapat meningkatkan keamanan domain dengan mengonfigurasinya untuk hanya mendukung sistem operasi dan aplikasi saat ini. Meskipun, lebih baik menonaktifkan sistem dan aplikasi warisan jika memungkinkan. Jika penonaktifan tidak layak untuk segmen kecil populasi warisan Anda, memisahkannya ke domain terpisah (atau hutan) memungkinkan Anda untuk melakukan peningkatan bertahap di sisa instalasi warisan.

Menyederhanakan Keamanan untuk Pengguna Akhir

Di sebagian besar organisasi, pengguna yang memiliki akses ke informasi yang paling sensitif karena sifat peran mereka dalam organisasi sering memiliki jumlah waktu paling sedikit untuk mencurahkan untuk mempelajari pembatasan dan kontrol akses yang kompleks. Meskipun Anda harus memiliki program pendidikan keamanan yang komprehensif untuk semua pengguna di organisasi Anda, Anda juga harus fokus pada membuat keamanan sesederhana mungkin untuk digunakan dengan menerapkan kontrol yang transparan dan menyederhanakan prinsip-prinsip yang dipatuhi pengguna.

Misalnya, Anda dapat menentukan kebijakan di mana eksekutif dan VIP lainnya diharuskan menggunakan stasiun kerja yang aman untuk mengakses data dan sistem sensitif, memungkinkan mereka menggunakan perangkat lain untuk mengakses data yang kurang sensitif. Ini adalah prinsip sederhana bagi pengguna untuk diingat, tetapi Anda dapat menerapkan sejumlah kontrol backend untuk membantu menegakkan pendekatan.

Anda dapat menggunakan Jaminan Mekanisme Autentikasi untuk mengizinkan pengguna mengakses data sensitif hanya jika mereka telah masuk ke sistem aman mereka menggunakan kartu pintar mereka, dan dapat menggunakan pembatasan IPsec dan hak pengguna untuk mengontrol sistem tempat mereka dapat terhubung ke repositori data sensitif. Anda dapat menerapkan Kontrol Akses Dinamis untuk membatasi akses ke data berdasarkan karakteristik upaya akses, menerjemahkan aturan bisnis ke dalam kontrol teknis.

Dari perspektif pengguna, mengakses data sensitif dari sistem aman "hanya berfungsi," dan mencoba melakukannya dari sistem yang tidak aman "hanya tidak." Namun, dari perspektif pemantauan dan pengelolaan lingkungan Anda, Anda membantu membuat pola yang dapat diidentifikasi dalam cara pengguna mengakses data dan sistem sensitif, sehingga memudahkan Anda mendeteksi upaya akses anomali.

Di lingkungan di mana ketahanan pengguna terhadap kata sandi yang panjang dan kompleks telah mengakibatkan kebijakan kata sandi yang tidak mencukupi, terutama untuk pengguna VIP, pertimbangkan pendekatan alternatif untuk autentikasi. Pendekatan alternatif termasuk kartu pintar (yang datang dalam sejumlah faktor bentuk dan dengan fitur tambahan untuk memperkuat autentikasi), kontrol biometrik seperti pembaca gesek jari, atau bahkan data autentikasi yang diamankan oleh chip modul platform tepercaya (TPM) di komputer pengguna. Autentikasi multifaktor tidak mencegah serangan pencurian info masuk jika komputer sudah disusupi. Namun, dengan memberi pengguna Kontrol autentikasi yang mudah digunakan, Anda dapat menetapkan kata sandi yang lebih kuat ke akun pengguna yang kontrol nama pengguna dan kata sandi tradisionalnya tidak berat.