共用方式為


特殊許可權存取策略的成功準則

本文件說明特殊許可權存取策略的成功準則。 本節說明特殊許可權存取策略成功的戰略觀點。 如需如何採用此策略的藍圖,請參閱快速現代化計劃(RaMP)。 如需實作指引,請參閱 特殊許可權存取部署

使用 零信任 方法實作整體策略,會針對特殊許可權存取建立某種「密封」,讓攻擊者能夠抗拒。 此策略是藉由將路徑限制為只有少數特殊許可權存取,然後密切保護及監視這些授權路徑來完成。

End state goal with limited entry paths for attackers

成功的策略必須解決攻擊者可用來攔截特殊許可權存取工作流程的所有點,包括四個不同的計劃:

  • 特殊許可權存取工作流程的 Privileged Access 工作流程 元素,包括基礎裝置、操作系統、應用程式和身分識別
  • 裝載特殊許可權帳戶和群組的身分識別系統 ,以及授與帳戶許可權的其他成品
  • 使用者存取工作流程 和可導致特殊許可權存取的授權提高許可權路徑
  • 強制執行零信任存取原則且角色型訪問控制 (RBAC) 設定為授與許可權的應用程式介面

注意

完整的安全性策略也包含超出訪問控制範圍的資產保護,例如數據備份和保護,以防止應用程式本身的攻擊、基礎操作系統和硬體、應用程式或服務所使用的服務帳戶,以及待用或傳輸中的數據。 如需將雲端安全性策略現代化的詳細資訊,請參閱 定義安全性策略

攻擊是由利用自動化和腳本攻擊組織的人類攻擊者所組成、其遵循的程式,以及他們所使用的技術。 由於攻擊者和防禦者的複雜性,策略必須多面向地防範所有人員、流程和技術方式,以確保安全性保證可能會意外遭到破壞。

確保持續的長期成功需要符合下列準則:

無情的優先順序

無情的優先順序是先採取最有效的行動的做法,即使這些努力不符合既有的計劃、感知和習慣,也一樣。 此策略規定了許多重大網路安全事件的火熱地殼中學到的一組步驟。 這些事件的學習構成了我們協助組織採取的步驟,以確保這些危機不會再次發生。

雖然安全性專業人員嘗試優化熟悉的現有控件,例如網路安全性和防火牆,以進行較新的攻擊,但這一路徑總是會導致失敗。 Microsoft 事件回應小組已經回應特殊許可權存取攻擊近十年,且一直看到這些傳統安全性方法無法偵測或停止這些攻擊。 雖然網路安全性提供必要且重要的基本安全性衛生,但必須突破這些習慣,並專注於可阻止或封鎖真實世界攻擊的風險降低措施。

無情地排定此策略中建議的安全性控制優先順序,即使它挑戰現有的假設,並強制人們學習新的技能也一樣。

平衡安全性和生產力

與安全性策略的所有元素一樣,特殊許可權存取應確保達到生產力和安全性目標。

平衡安全性可避免讓組織面臨下列風險的極端狀況:

  • 避免過於嚴格的安全性,讓使用者超出安全原則、路徑和系統。
  • 藉由允許敵人輕鬆入侵組織,避免損害生產力的弱式安全性。

如需安全性策略的詳細資訊,請參閱 定義安全性策略

若要將安全性控件的負面業務影響降到最低,您應該優先處理改善使用者工作流程的不可見安全性控件,或至少不會妨礙或變更使用者工作流程。 雖然安全性敏感性角色可能需要可變更其每日工作流程的可見安全性措施,以提供安全性保證,但此實作應深思熟慮地限制可用性影響和範圍。

此策略遵循本指南,定義三個設定檔(稍後在保持簡單 - 角色和配置檔中詳述)

Productivity and security ramped up by privilege levels

組織內的強合作關係

安全性必須努力在組織內建立合作關係才能成功。 除了「我們沒有人像我們所有人一樣聰明」的永恆真相外,安全的性質是保護他人資源的支援功能。 安全性不負責協助保護的資源(獲利率、運行時間、效能等), 安全性是一項支援功能,可提供專家建議和服務 ,協助保護對組織而言很重要的智慧財產權和商務功能。

安全性應 一律作為支援商務和任務目標的合作夥伴 。 雖然安全性不應迴避提供直接建議,例如建議不要接受高風險,但安全性也應該在與資源擁有者管理的其他風險和機會相關的商業風險方面制定建議。

雖然安全性的某些部分大部分都可以在安全性組織內成功規劃和執行,但許多像是保護特殊許可權存取權的人需要與IT和商務組織密切合作,以瞭解要保護哪些角色,並協助更新和重新設計工作流程,以確保其既安全又允許人員執行其工作。 如需此概念的詳細資訊,請參閱安全性策略指引一文中的轉換、思維和期望一節

中斷攻擊者投資報酬率

藉由確保防禦措施可能會有意義地干擾攻擊者攻擊您的價值主張,增加攻擊者成功攻擊您的能力的成本和摩擦,以保持注重實用主義。 評估防禦措施如何影響敵人的攻擊成本,既能提醒攻擊者,又能專注於攻擊者的觀點,以及結構化機制來比較不同風險降低選項的有效性。

您的目標應該是增加攻擊者的成本,同時將您自己的安全性投資層級降至最低:

Increase attack cost with minimal defense cost

藉由增加跨特殊許可權存取會話元素的攻擊成本,來中斷攻擊者的投資報酬率。 此概念會在特殊許可權存取策略的成功準則一文中詳細說明。

重要

特殊許可權存取策略應該是全面的,並提供深度防禦,但必須避免費用深度的謬論,其中防禦者只是堆積在更相同的(熟悉)類型控制(通常是網路防火牆/篩選器)超過他們新增任何有意義的安全性價值點。

如需攻擊者 ROI 的詳細資訊,請參閱短片和深入討論 中斷攻擊者的投資報酬率。

乾淨來源準則

清除來源準則需要所有安全性相依性都與受保護的物件一樣值得信任。

Clean source principle

控制物件的任何主體都是該物件的安全性相依性。 如果敵人可以控制目標物件的任何項目,他們可以控制該目標物件。 由於此威脅,您必須確定所有安全性相依性的保證都位於或高於物件本身所需的安全性層級。 此原則適用於許多類型的控制件關聯性:

If an attacker controls any part of the target they control the target

雖然基本上很簡單,但隨著大多數企業在幾十年內有機成長,並且以遞歸方式建立成千上萬的控制關係,彼此建立、相互迴圈或兩者,這個概念在現實世界中變得很複雜。 此控制關聯性網路提供許多存取路徑,攻擊者可以在攻擊期間探索和流覽,通常是使用自動化工具。

Microsoft 建議的特殊許可權存取策略實際上是使用 零信任 方法先解開此結中最重要的部分的計劃,方法是明確驗證來源是乾淨的,再允許存取目的地。

在所有情況下,來源的信任層級必須相同或高於目的地。

  • 此原則唯一值得注意的例外是允許針對企業案例使用非受控個人裝置和合作夥伴裝置。 此例外狀況可讓企業共同作業和彈性降低到大多數組織可接受的層級,因為企業資產的相對值較低。 如需 BYOD 安全性的詳細資訊,請參閱部落格文章 BYOD 原則如何降低公共部門的安全性風險。
  • 不過,由於這些資產的安全性敏感度,此相同例外狀況無法延伸到特殊安全性和特殊許可權安全性層級。 某些 PIM/PAM 廠商可能主張其解決方案可以降低較低層級裝置的裝置風險,但我們根據調查事件的經驗,尊重地不同意這些判斷提示。 貴組織中的資產擁有者可以選擇接受使用企業安全性層級裝置存取特殊或特殊許可權資源的風險,但 Microsoft 不建議使用此設定。 如需詳細資訊,請參閱 Privileged Access Management /Privileged Identity Management 的中繼指引。

特殊許可權存取策略主要透過在介面和中繼端的輸入會話上,使用條件式存取強制執行 零信任 原則來完成此原則。 全新來源原則一開始會從建置至安全性規格的 OEM 取得新的裝置,包括操作系統版本、安全性基準設定,以及其他需求,例如使用 Windows Autopilot 進行部署。

或者,乾淨的來源原則可以延伸到對供應鏈中每個元件的嚴格檢閱,包括操作系統和應用程式的安裝媒體。 雖然此原則適用於面臨高度複雜攻擊者的組織,但它的優先順序應該低於本指導方針中的其他控件。

下一步