Bevoegde toegang: Accounts

  • Artikel

Accountbeveiliging is een essentieel onderdeel van het beveiligen van bevoegde toegang. End-to-end Zero Trust beveiliging voor sessies vereist dat sterk wordt vastgesteld dat het account dat in de sessie wordt gebruikt, daadwerkelijk wordt gecontroleerd door de menselijke eigenaar en niet door een aanvaller die zich voordoet.

Sterke accountbeveiliging begint met veilige inrichting en volledig levenscyclusbeheer tot het ongedaan maken van de inrichting. Elke sessie moet sterke garanties bieden dat het account momenteel niet is aangetast op basis van alle beschikbare gegevens, waaronder historische gedragspatronen, beschikbare bedreigingsinformatie en gebruik in de huidige sessie.

Accountbeveiliging

In deze richtlijnen worden drie beveiligingsniveaus gedefinieerd voor accountbeveiliging die u kunt gebruiken voor assets met verschillende gevoeligheidsniveaus:

Accounts end-to-end beveiligen

Deze niveaus zorgen voor duidelijke en implementeerbare beveiligingsprofielen die geschikt zijn voor elk gevoeligheidsniveau waaraan u rollen kunt toewijzen en die u snel kunt uitschalen. Al deze accountbeveiligingsniveaus zijn ontworpen om de productiviteit voor mensen te behouden of te verbeteren door onderbreking van gebruikers- en beheerderswerkstromen te beperken of te elimineren.

Accountbeveiliging plannen

Deze richtlijnen bevatten een overzicht van de technische controles die nodig zijn om aan elk niveau te voldoen. Implementatierichtlijnen vindt u in het roadmap voor bevoegde toegang.

Beveiligingsmaatregelen voor accounts

Voor het bereiken van de beveiliging van de interfaces is een combinatie van technische controles vereist die zowel de accounts beveiligen als signalen geven die moeten worden gebruikt in een Zero Trust beleidsbeslissing (zie Interfaces beveiligen voor naslaginformatie over beleidsconfiguratie).

De besturingselementen die in deze profielen worden gebruikt, zijn onder andere:

  • Meervoudige verificatie: het verstrekken van diverse bronnen van bewijs dat de (ontworpen om zo gemakkelijk mogelijk te zijn voor gebruikers, maar moeilijk voor een kwaadwillende om na te bootsen).
  • Accountrisico: bedreigings- en anomaliebewaking: UEBA en bedreigingsinformatie gebruiken om riskante scenario's te identificeren
  • Aangepaste bewaking: voor meer gevoelige accounts maakt het expliciet definiëren van toegestaan/geaccepteerd gedrag/patronen vroege detectie van afwijkende activiteiten mogelijk. Dit besturingselement is niet geschikt voor accounts voor algemeen gebruik in ondernemingen, omdat deze accounts flexibiliteit nodig hebben voor hun rollen.

De combinatie van besturingselementen stelt u ook in staat om zowel de beveiliging als de bruikbaarheid te verbeteren. Een gebruiker die bijvoorbeeld binnen het normale patroon blijft (die dag na dag hetzelfde apparaat op dezelfde locatie gebruikt) hoeft niet elke keer dat ze worden geverifieerd, om buiten MFA te worden gevraagd.

Elke accountlaag en kostenvoordeel vergelijken

Beveiligingsaccounts voor ondernemingen

De beveiligingscontroles voor bedrijfsaccounts zijn ontworpen om een veilige basislijn te maken voor alle gebruikers en bieden een veilige basis voor gespecialiseerde en bevoegde beveiliging:

  • Sterke meervoudige verificatie (MFA) afdwingen: zorg ervoor dat de gebruiker wordt geverifieerd met een sterke MFA die wordt geleverd door een door de onderneming beheerd identiteitssysteem (beschreven in het onderstaande diagram). Zie Best practice voor Azure-beveiliging 6 voor meer informatie over meervoudige verificatie.

    Notitie

    Hoewel uw organisatie er tijdens een overgangsperiode voor kan kiezen om een bestaande zwakkere vorm van MFA te gebruiken, omzeilen aanvallers steeds vaker de zwakkere MFA-beveiligingen, dus alle nieuwe investeringen in MFA moeten de sterkste vormen hebben.

  • Account-/sessierisico's afdwingen: zorg ervoor dat het account niet kan worden geverifieerd, tenzij het een laag (of gemiddeld?) risiconiveau heeft. Zie Interface-beveiligingsniveaus voor meer informatie over de beveiliging van voorwaardelijke bedrijfsaccounts.

  • Waarschuwingen bewaken en erop reageren: beveiligingsbewerkingen moeten accountbeveiligingswaarschuwingen integreren en voldoende training krijgen over hoe deze protocollen en systemen werken om ervoor te zorgen dat ze snel kunnen begrijpen wat een waarschuwing betekent en dienovereenkomstig kunnen reageren.

Het volgende diagram biedt een vergelijking met verschillende vormen van MFA en verificatie zonder wachtwoord. Elke optie in de beste doos wordt beschouwd als zowel hoge beveiliging als hoge bruikbaarheid. Elk heeft verschillende hardwarevereisten, dus misschien wilt u combineren welke van toepassing zijn op verschillende rollen of personen. Alle Microsoft-oplossingen zonder wachtwoord worden door voorwaardelijke toegang herkend als meervoudige verificatie omdat ze iets dat u hebt moeten combineren met biometrie, iets dat u weet of beide.

Vergelijking van verificatiemethoden goed, beter, beste

Notitie

Zie het blogbericht It's Time to Hang Up on Phone Transports for Authentication (Het is tijd om op te hangen op telefoontransporten voor verificatie) voor meer informatie over waarom verificatie via sms en andere telefoon is beperkt.

Gespecialiseerde accounts

Gespecialiseerde accounts zijn een hoger beveiligingsniveau dat geschikt is voor gevoelige gebruikers. Vanwege hun hogere bedrijfsimpact, vereisen gespecialiseerde accounts extra controle en prioriteitstelling tijdens beveiligingswaarschuwingen, incidentonderzoeken en opsporing van bedreigingen.

Gespecialiseerde beveiliging bouwt voort op de sterke MFA in bedrijfsbeveiliging door de meest gevoelige accounts te identificeren en ervoor te zorgen dat waarschuwingen en reactieprocessen prioriteit krijgen:

  1. Gevoelige accounts identificeren: zie richtlijnen voor gespecialiseerde beveiligingsniveaus voor het identificeren van deze accounts.
  2. Speciale accounts taggen: zorg ervoor dat elk gevoelig account is gelabeld
    1. Microsoft Sentinel-volglijsten configureren om deze gevoelige accounts te identificeren
    2. Prioriteitsaccountbeveiliging configureren in Microsoft Defender voor Office 365 en gespecialiseerde en bevoegde accounts toewijzen als prioriteitsaccounts -
  3. Processen voor beveiligingsbewerkingen bijwerken : om ervoor te zorgen dat deze waarschuwingen de hoogste prioriteit krijgen
  4. Governance instellen: governanceproces bijwerken of maken om ervoor te zorgen dat
    1. Alle nieuwe rollen voor worden geëvalueerd voor gespecialiseerde of bevoorrechte classificaties wanneer ze worden gemaakt of gewijzigd
    2. Alle nieuwe accounts worden gelabeld terwijl ze worden gemaakt
    3. Doorlopende of periodieke out-of-bandcontroles om ervoor te zorgen dat rollen en accounts niet worden gemist door normale governanceprocessen.

Geprivilegieerde accounts

Bevoegde accounts hebben het hoogste beschermingsniveau omdat ze een aanzienlijke of materiële potentiële impact hebben op de activiteiten van de organisatie als ze worden gecompromitteerd.

Bevoegde accounts omvatten altijd IT-beheerders met toegang tot de meeste of alle bedrijfssystemen, inclusief de meeste of alle bedrijfskritieke systemen. Andere accounts met een hoge bedrijfsimpact kunnen dit extra beschermingsniveau ook rechtvaardigen. Zie het artikel Privileged Security voor meer informatie over welke rollen en accounts op welk niveau moeten worden beveiligd.

Naast gespecialiseerde beveiliging verhoogt de beveiliging van bevoegde accounts zowel:

  • Preventie: voeg controles toe om het gebruik van deze accounts te beperken tot de aangewezen apparaten, werkstations en tussenpersonen.
  • Reactie: houd deze accounts nauwlettend in de gaten voor afwijkende activiteiten en onderzoek en herstel het risico snel.

Beveiliging van bevoegde accounts configureren

Volg de richtlijnen in het plan voor snelle modernisering van beveiliging om zowel de beveiliging van uw bevoegde accounts te verhogen als om uw beheerkosten te verlagen.

Volgende stappen