保护特权访问

组织应将保护特权访问作为头等安全优先事项,因为攻击者破坏此级别的访问会带来严重的潜在业务影响(且发生的可能性很高)。

特权访问包括控制大部分企业财产的 IT 管理员以及可访问业务关键型资产的其他用户。

攻击者经常在人为勒索软件攻击和有针对性的数据盗窃中利用特权访问安全方面的弱点。 特权访问帐户和工作站之所以对攻击者有如此大的吸引力,是因为这些目标使他们能够快速获得对企业业务资产的广泛访问,这通常会迅速产生严重的业务影响。

下图总结了建议的特权访问策略,即,创建一个隔离的虚拟区域,这些敏感帐户可以在其中以较低的风险运行。

若要实现有意义的安全性,需要采用端到端方法

保护特权访问有效地封锁了未经授权的路径,并留下了精选出来的几条受到保护和密切监视的授权访问路径。 特权访问策略一文中对此图进行了更详细的讨论。

制定此策略时,需要采用一种结合多种技术的综合方法,以使用零信任原则(包括显式验证、最小特权和假设泄露)来保护和监视那些授权提升路径。 此策略需要多个补充计划,这些计划需要建立一种综合技术方法、清晰的流程和严格的操作执行,以建立和维持长期的安全保障。

开始制定并衡量进展

映像 说明 映像 说明
快速现代化计划 快速现代化计划 (RaMP)
- 计划并实施最有影响力的快速致胜方案
最佳做法清单 最佳实践
视频和幻灯片

行业参考

这些行业标准和最佳做法也解决了保护特权访问的问题。

英国国家网络安全中心 (NCSC) 澳大利亚网络安全中心 (ACSC) MITRE ATT&CK

后续步骤

一些策略、设计和实施资源,可帮助你快速保护环境的特权访问。

Image 项目 说明
策略文档 策略 特权访问策略概述
成功标准文档 成功标准 策略成功标准
安全级别文档 安全级别 帐户、设备、中介和接口的安全级别概述
帐户文档 帐户 有关帐户安全级别和控制的指南
中介文档 中介 有关中介安全级别和控制的指南
接口文档 接口 有关接口安全级别和控制的指南
设备文档 设备 有关设备和工作站的安全级别和控制的指南
企业访问模型文档 企业访问模型 企业访问模型(旧层级模型的后继版本)概述
停用 ESAE 文档 ESAE 停用 有关停用旧管理林的信息