Привилегированный доступ: стратегия
Корпорация Майкрософт рекомендует использовать эту стратегию привилегированного доступа, чтобы быстро снизить в организации риски, связанные со значительным влиянием и высокой вероятностью атак на привилегированный доступ.
Привилегированный доступ должен быть главным приоритетом безопасности в каждой организации. Любой компромисс этих пользователей имеет высокую вероятность значительного негативного влияния на организацию. Привилегированные пользователи имеют доступ к критически важным для бизнеса ресурсам в организации, что практически всегда приводит к существенному ущербу от взлома их учетных записей злоумышленниками.
Эта стратегия основана на принципах "Никому не доверяй", заключающихся в явной проверке, минимальных привилегиях и предположении нарушения безопасности. Корпорация Майкрософт предоставляет рекомендации по реализации, помогающие быстро развертывать защиту на основе этой стратегии.
Внимание
Нет ни одного идеального технического решения, которое волшебным образом снизит риск привилегированного доступа. Поэтому необходимо объединить несколько технологий в целостное решение, которое защищает от нескольких точек входа злоумышленника. Организации должны применять соответствующие инструменты для каждой части этого задания.
Почему важен привилегированный доступ?
Безопасность привилегированного доступа крайне важна, так как она является основой для всех других гарантий безопасности, злоумышленник в управлении привилегированными учетными записями может подорвать все остальные гарантии безопасности. С точки зрения риска потеря привилегированного доступа — это оказывающее большое влияние событие с высокой вероятностью, которая растет с пугающей скоростью в различных отраслях.
Эти методы атаки изначально использовались в целевых атаках на кражу данных, которые привели к многим громким нарушениям в знакомых брендах (и многие неотрепортированные инциденты). В последнее время эти методы были приняты злоумышленниками-шантажистов, подпитывая взрывной рост высоко прибыльных атак программ-шантажистов, которые намеренно нарушают бизнес-операции по всей отрасли.
Внимание
Программ-шантажистов, управляемых человеком, отличается от атак на одно компьютерные программы-шантажисты , предназначенные для одной рабочей станции или устройства.
На этом рисунке показано, как растет влияние и вероятность атаки с использованием привилегированного доступа.
- Высокий уровень влияния на бизнес
- Трудно переоценить потенциальное влияние бизнеса и ущерб потери привилегированного доступа. Злоумышленник с привилегированным доступом фактически имеет полный контроль над всеми корпоративными ресурсами и средствами, что дает ему возможность раскрыть любые конфиденциальные данные, остановить все бизнес-процессы или переработать бизнес-процессы и компьютеры для повреждения собственности, причинения вреда людям или чего-то похуже.
Массовый бизнес-эффект был замечен во всех отраслях с:
- Целенаправленная кража данных. Злоумышленники используют привилегированный доступ для получения доступа и кражи конфиденциальной интеллектуальной собственности для собственного использования или продажи либо передачи вашим конкурентам или правительствам других стран.
- Программа-шантажист под управлением оператора (HumOR). Злоумышленник использует привилегированный доступ для кражи и (или) шифрования всех данных и систем на предприятии, что часто приводит к остановке всех бизнес-операций. Затем он вымогает деньги у этой организации за неразглашение данных и (или) предоставление ключей для их разблокирования.
- Трудно переоценить потенциальное влияние бизнеса и ущерб потери привилегированного доступа. Злоумышленник с привилегированным доступом фактически имеет полный контроль над всеми корпоративными ресурсами и средствами, что дает ему возможность раскрыть любые конфиденциальные данные, остановить все бизнес-процессы или переработать бизнес-процессы и компьютеры для повреждения собственности, причинения вреда людям или чего-то похуже.
Массовый бизнес-эффект был замечен во всех отраслях с:
- Высокая вероятность возникновения
- Преобладание атак на привилегированный доступ выросло с появлением новых атак, направленных на кражу учетных данных, которые начались с атак Pass-the-hash. Эти методики впервые стали популярны среди преступников в 2008 году, после выпуска инструмента для атаки Pass-The-Hash Toolkit. С тех пор они эволюционировали в набор надежных методов атаки (разработанных в основном на базе набора средств Mimikatz). Это оснащение и автоматизация методик позволила атакам (и их последствиям) очень быстро увеличиваться в масштабе, ограничиваясь только уязвимостью целевой организации к атакам и моделями монетизации или вознаграждения злоумышленников.
- До появления программ-шантажистов, управляемых человеком (HumOR), эти атаки были распространены, но часто невидимы или неправильно поняты из-за:
- Ограничения монетизации для злоумышленников. Только группы и лица, которые знали, как монетизировать конфиденциальную интеллектуальную собственность целевых организаций, могли бы получить выгоду от этих атак.
- Неочевидное влияние. Организации часто не замечали эти атаки, так как они не обладали средствами обнаружения, а также им было сложно выявить и оценить итоговое воздействие на бизнес (например, как их конкуренты использовали украденную интеллектуальную собственность и как это повлияло на цены и рынки, иногда на годы вперед). Кроме того, организации, которые выявляли эти атаки, часто молчали о них, чтобы защитить свою репутацию.
- И безмолвное влияние, и ограничения монетизации злоумышленников на эти атаки распадаются с появлением программы-шантажистов, которая растет в объеме, влиянии и осведомленности, потому что это оба:
- резонансные и разрушительные для бизнес-процессов, за которые вымогается выкуп;
- универсальны — каждая организация в любой отрасли финансово заинтересована в продолжении операций без перерывов.
- До появления программ-шантажистов, управляемых человеком (HumOR), эти атаки были распространены, но часто невидимы или неправильно поняты из-за:
- Преобладание атак на привилегированный доступ выросло с появлением новых атак, направленных на кражу учетных данных, которые начались с атак Pass-the-hash. Эти методики впервые стали популярны среди преступников в 2008 году, после выпуска инструмента для атаки Pass-The-Hash Toolkit. С тех пор они эволюционировали в набор надежных методов атаки (разработанных в основном на базе набора средств Mimikatz). Это оснащение и автоматизация методик позволила атакам (и их последствиям) очень быстро увеличиваться в масштабе, ограничиваясь только уязвимостью целевой организации к атакам и моделями монетизации или вознаграждения злоумышленников.
По этим причинам привилегированный доступ должен быть высшим приоритетом для системы безопасности в любой организации.
Создание стратегии привилегированного доступа
Стратегия привилегированного доступа — это процесс, который должен состоять из краткосрочных результатов и поэтапного выполнения. Каждый шаг в стратегии привилегированного доступа должен "запечатывать" уязвимости для постоянных и гибких атак злоумышленников на привилегированный доступ, которые подобны воде, пытающейся просочиться в вашу среду через любую доступную брешь.
Это руководство предназначено для всех корпоративных организаций, независимо от текущего состояния разработки данной стратегии.
Целостная практическая стратегия
Для снижения риска от привилегированного доступа требуется продуманное, целостное и упорядоченное решение для устранения рисков, включающее в себя несколько технологий.
Для создания этой стратегии требуется признание того, что злоумышленники похожи на воду, так как у них есть множество вариантов, которые они могут использовать (некоторые из которых могут показаться незначительными в первую очередь), злоумышленники гибки, в которых они используют, и они обычно принимают путь наименьшего сопротивления для достижения своих целей.
Способы, которым злоумышленники отдают предпочтение на практике, являются сочетанием:
- традиционных методов (часто автоматизированных в инструментах взлома);
- новых методов, которые проще использовать.
В связи с разнообразием применяемых технологий требуется полная стратегия, объединяющая несколько технологий и соответствующая принципам "Никому не доверяй".
Внимание
Для защиты от описанных выше атак необходимо внедрить стратегию, включающую в себя несколько технологий. Просто реализация решения управления привилегированными удостоверениями или управления привилегированным доступом (PIM/PAM) недостаточно. Дополнительные сведения см. в разделе "Посредники привилегированного доступа".
- Злоумышленники ориентированы на цель и не зависят от технологий. Они используют атаку любого типа, которая работает.
- Магистраль управления доступом, которую вы защищаете, интегрирована в большинство или все системы в корпоративной среде.
Надежда на выявление и предотвращение этих угроз с помощью только элементов управления сетью или одного решения привилегированного доступа оставит вашу организацию уязвимой для многих других типов атак.
Стратегическое допущение: облако является источником безопасности
В качестве основного источника функций безопасности и управления эта стратегия использует облачные службы, а не локальные методы изоляции, по нескольким причинам:
- Возможности облака эффективнее. Наиболее эффективные возможности обеспечения безопасности и управления, доступные на сегодняшний день, реализованы в облачных службах, включая сложные инструменты, интеграцию платформенной функциональности и большой объем разведывательных данных безопасности, например 8 триллионов сигналов систем безопасности в день, которые корпорация Майкрософт использует для работы наших средств обеспечения безопасности.
- Облако проще и быстрее. Внедрение и масштабирование облачных служб требует незначительной инфраструктуры или вообще обходится без нее. Это позволяет вашим командам сосредоточиться на безопасности, а не на интеграции технологий.
- Облаку требуется меньше обслуживания. Облако также управляется, обслуживается и защищается согласованными действиями организации поставщика, в которой существуют специальные команды для выполнения этих задач для тысяч организаций клиентов. Это сокращает время и усилия вашей команды, затрачиваемые на неукоснительное поддержание возможностей.
- Облачные службы постоянно улучшаются. Компоненты и функциональные возможности облачных служб все время обновляются, не требуя от организации постоянных вложений.
Создание рекомендуемой стратегии
Рекомендуемая корпорацией Майкрософт стратегия — постепенное создание системы "закрытого цикла" для привилегированного доступа, которая гарантирует, что для привилегированного доступа к критическим бизнес-системам могут использоваться только надежные устройства, учетные записи и промежуточные системы.
Так же, как гидрозащита что-то сложное в реальной жизни, как лодка, необходимо разработать эту стратегию с преднамеренным результатом, установить и следовать стандартам тщательно, а также постоянно отслеживать и проверять результаты, чтобы устранить любые утечки. Нельзя просто сколотить части лодки и ожидать, что она волшебным образом окажется водонепроницаемой. Сначала необходимо сосредоточиться на создании и герметизации таких важных элементов, как корпус и критические детали (двигатель и рулевые механизмы), сохранив возможность доступа к ним для людей, а затем следует загерметизировать элементы, обеспечивающие комфорт: радио, сиденья и так далее. Кроме того, вы постоянно будете ее обслуживать, так как даже самая идеальная система может дать течь. Поэтому необходимо следить за утечками и устранять их, чтобы лодка не утонула.
Защита привилегированного доступа имеет две простые цели:
- строгое ограничение способности выполнения привилегированных действий несколькими разрешенными путями;
- защита и внимательное отслеживание этих путей.
Существуют два типа доступа к системам: доступ пользователей (для использования возможности) и привилегированный доступ (для управления возможностью или доступа к конфиденциальной возможности).
- Доступ пользователей. Светло-синий путь в нижней части диаграммы показывает стандартную учетную запись пользователя, выполняющую общие офисные задачи, такие как обмен электронной почтой, совместная работа, просмотр веб-страниц и использование бизнес-приложений или веб-сайтов. Этот путь включает ведение журнала учетной записи на устройство или рабочую станцию, иногда через посредника, например решение удаленного доступа, и взаимодействие с корпоративными системами.
- Привилегированный доступ — более темный синий путь в верхней части схемы показывает привилегированный доступ, где привилегированные учетные записи, такие как ИТ-администраторы или другие конфиденциальные учетные записи, обращаются к критически важным для бизнеса системам и данным или выполняют административные задачи в корпоративных системах. Хотя технические компоненты могут быть похожи по сути, потенциальный ущерб от злоумышленника, обладающего привилегированным доступом, намного выше.
Система управления полным доступом также включает в себя системы идентификации и авторизованные пути повышения привилегий.
- Системы идентификации. Обеспечивают каталоги удостоверений, в которых размещаются учетные записи и административные группы. Кроме того, предоставляют возможности синхронизации и федерации, а также другие функции поддержки идентификации для обычных и привилегированных пользователей.
- Авторизованные пути повышения прав — предоставляют средства для взаимодействия стандартных пользователей с привилегированными рабочими процессами, такими как менеджеры или одноранговые узлы, утверждающие запросы на права администратора в конфиденциальной системе через JIT-процесс в системе управления привилегированным доступом или привилегированным удостоверением.
Эти компоненты коллективно составляют область атак привилегированного доступа, которую злоумышленник может попытаться получить повышенный доступ к вашей организации:
Примечание.
Для локальных и инфраструктурных систем как службы (IaaS), размещенных в управляемой клиентом операционной системе, область атак значительно увеличивается с помощью агентов управления и безопасности, учетных записей служб и потенциальных проблем конфигурации.
Для создания устойчивой и управляемой стратегии привилегированного доступа необходимо закрыть все неавторизованные векторы, чтобы создать виртуальный эквивалент консоли управления, физически подключенный к безопасной системе, которая представляет собой единственный способ доступа к ней.
Для этой стратегии требуется сочетание следующих компонентов:
- управление доступом по принципу "Никому не доверяй", описанному в этом руководстве, включая план быстрой модернизации (RAMP);
- безопасность ресурсов для защиты от прямых атак на ресурсы за счет применения эффективных методов гигиены безопасности для соответствующих систем. Обеспечение безопасности ресурсов (помимо компонентов управления доступом) выходит за рамки данного руководства, но обычно включает в себя быструю установку обновлений и исправлений для системы безопасности, настройку операционных систем с помощью базовых средств безопасности производителя или отрасли, защиту неактивных и передаваемых данных, а также интеграцию рекомендаций по обеспечению безопасности в процессы разработки и DevOps.
Стратегические инициативы в процессе внедрения
Для реализации этой стратегии требуются четыре дополнительные инициативы, для каждой из которых определены четкие результаты и критерии успеха.
- Комплексная безопасность сеансов. Устанавливает явную проверку по принципу "Никому не доверяй" для привилегированных сеансов, сеансов пользователей и авторизованных путей повышения привилегий.
- Критерии успешности. Каждый сеанс проверяет, является ли каждая учетная запись пользователя и устройство доверенными на достаточном уровне, прежде чем разрешить доступ.
- Защита и мониторинг систем удостоверений, включая каталоги, управление удостоверениями, учетные записи администратора, предоставление согласия и многое другое
- Критерии успешности. Каждая из этих систем защищена на уровне, соответствующем потенциальному влиянию на бизнес- учетные записи, размещенные в нем.
- Устранение рисков бокового обхода для защиты от бокового обхода с помощью паролей локальных учетных записей, паролей учетной записи службы или других секретов
- Критерии успешности. Компрометации одного устройства не сразу приведет к управлению многими или всеми другими устройствами в среде
- Быстрое реагирование на угрозы для ограничения доступа к злоумышленникам и времени в среде
- Критерии успеха: процессы реагирования на инциденты мешают злоумышленникам гарантированно выполнить многоэтапную атаку в среде, которая привела бы к утрате привилегированного доступа. (Измеряется путем уменьшения среднего времени для исправления инцидентов (MTTR) инцидентов с участием привилегированного доступа к почти нулю и сокращению MTTR всех инцидентов до нескольких минут, чтобы злоумышленники не имели времени на целевой привилегированный доступ.
Следующие шаги
- Общие сведения о защите привилегированного доступа
- Измерение успеха
- Уровни безопасности
- Учетные записи привилегированного доступа
- Посредников
- Интерфейсы
- Устройства с привилегированным доступом
- Корпоративная модель доступа
- Прекращение использования улучшенной среды администрирования безопасности (ESAE)