特权访问:策略
Microsoft 建议采用这种特权访问策略,迅速降低对特权访问的高影响和高可能性攻击给组织带来的风险。
特权访问应是每个组织的最优先安全措施。这些用户若被盗用,将有极高可能对组织造成重大负面影响。 特权用户有权访问组织中的业务关键型资产,当攻击者入侵其帐户时,几乎总是会造成重大影响。
此策略以显式验证、最小特权和假设泄露的零信任原则为基础。 Microsoft 提供了实施指南,可帮助你根据此策略快速部署保护措施
重要
单靠一种“银弹”技术解决方案是无法神迹般减轻特权访问风险的,你必须将多种技术融合在一起,形成一个可防范多个攻击者入口点的综合解决方案。 组织必须为这项工作的每个部分引入正确的工具。
为何特权访问如此重要?
特权访问的安全性至关重要,因为它是其他所有安全保障的基础,控制特权帐户的攻击者可能会破坏其他所有安全保障。 从风险的角度来看,丢失特权访问权限是一个影响很大的事件,发生的可能性很高,并且在各行业中以惊人的速度增长。
这些攻击技术最初用于有针对性的数据盗窃攻击,并导致发生多起备受瞩目的著名品牌数据泄露事件(以及许多未报告的事件)。 最近,这些技术被勒索软件攻击者利用,致使高利润的人为勒索软件攻击呈爆炸式增长,其目的是扰乱整个行业的业务运作。
重要
人为操作的勒索软件与针对单个工作站或设备的商用单机勒索软件攻击不同。
此图描述了使用特权访问时,这种基于敲诈的攻击在影响力和可能性方面的增长趋势:
- 高业务影响
- 丢失特权访问权限带来的潜在业务影响和损害不容小视。 具有特权访问权限的攻击者实际上完全控制了所有企业资产和资源,他们可以披露任何机密数据,停止所有业务流程,或者破坏业务流程和计算机,造成财产损失和人身伤害,甚至更糟。
每个行业都遭受过以下攻击带来的巨大业务影响:
- 有针对性的数据盗窃 - 攻击者利用特权访问来访问和窃取敏感的知识产权,以供自己使用,或出售/转让给你的竞争对手或外国政府
- 人为操作的勒索软件 (HumOR) - 攻击者利用特权访问来窃取和/或加密企业的所有数据和系统,这往往会停止所有业务运作。 然后,他们以不披露数据和/或提供解锁密钥为条件向目标组织索要钱财,以达到敲诈勒索的目的。
- 丢失特权访问权限带来的潜在业务影响和损害不容小视。 具有特权访问权限的攻击者实际上完全控制了所有企业资产和资源,他们可以披露任何机密数据,停止所有业务流程,或者破坏业务流程和计算机,造成财产损失和人身伤害,甚至更糟。
每个行业都遭受过以下攻击带来的巨大业务影响:
- 发生的可能性很高
- 自从以哈希传递技术为起点的新式凭据盗窃攻击出现后,特权访问攻击变得越来越普遍。 从 2008 年发布的攻击工具“哈希传递工具包”开始,这些技术在犯罪分子中迅速流行,并发展成为一套可靠的攻击技术(主要基于 Mimikatz 工具包)。 这种技术的武器化和自动化使攻击(及其后继影响)迅速增长,并且仅受限于目标组织对攻击的脆弱性和攻击者的盈利/激励模式。
- 在人为操作勒索软件 (HumOR) 出现之前,这些攻击就已经很普遍,但往往由于以下原因而未被发现或被误解:
- 攻击者的盈利限制 - 只有那些知道如何利用目标组织的敏感知识产权赚钱的团体和个人才能从这些攻击中获利。
- 无声影响 - 组织经常会错过这些攻击,因为他们没有检测工具,也很难看到和估计由此产生的业务影响(例如,他们的竞争对手如何使用他们被盗的知识产权,以及这对价格和市场的影响,这些影响有时要在数年后才会体现)。 此外,发现这些攻击的组织往往保持沉默,以保护他们的声誉。
- 随着人为操作勒索软件的出现,这些攻击的无声影响和攻击者盈利限制都在瓦解,其数量、影响和知名度与日俱增,原因有二:
- 高调和破坏性 - 从业务流程到支付勒索费。
- 普遍适用 - 每个行业的每个组织都有经济上的动机来维持不间断运营。
- 在人为操作勒索软件 (HumOR) 出现之前,这些攻击就已经很普遍,但往往由于以下原因而未被发现或被误解:
- 自从以哈希传递技术为起点的新式凭据盗窃攻击出现后,特权访问攻击变得越来越普遍。 从 2008 年发布的攻击工具“哈希传递工具包”开始,这些技术在犯罪分子中迅速流行,并发展成为一套可靠的攻击技术(主要基于 Mimikatz 工具包)。 这种技术的武器化和自动化使攻击(及其后继影响)迅速增长,并且仅受限于目标组织对攻击的脆弱性和攻击者的盈利/激励模式。
鉴于这些原因,特权访问应该是每个组织的头等安全优先事项。
制定特权访问策略
特权访问策略必须由快速致胜和循序渐进交错而成。 特权访问策略的每一步都必须让你能够更近一步地将那些不依不饶、手段灵活的攻击者与特权访问“隔绝”开来,这些人就像水一样,试图通过任何可利用的弱点渗入你的环境。
本指南适用于所有企业组织,而无论你处于特权访问之旅的哪个阶段。
综合实用策略
若要降低特权访问带来的风险,就需要对跨多种技术的风险缓解措施进行周密全面且区分优先级的组合。
制定此策略需要认识到,攻击者就像水一样,因为他们有许多可以利用的技术(其中一些攻击者乍一看似乎微不足道),攻击者可以灵活地选择要使用的技术,并且通常利用阻力最小的路径来实现目标。
攻击者在实际操作中优先考虑的路径由以下技术组合而成:
- 既定的技术(通常自动变成攻击工具)
- 更容易利用的新技术
由于所涉技术的多样性,此策略需要一个结合多种技术并遵循零信任原则的完整策略。
重要
你必须采用包含多种技术的策略来防御这些攻击。 仅实施 Privileged Identity Management/Privileged Access Management (PIM/PAM) 解决方案是不够的。 有关详细信息,请参阅特权访问中介。
- 攻击者是以目标为导向的技术不可知论者,他们采用各种类型的有效攻击。
- 你要保护的访问控制主干已集成到企业环境中的大多数或所有系统。
期望只用网络控制或单个特权访问解决方案就能检测或防止这些威胁,将使你极易受到许多其他类型的攻击。
策略假设 - 云是安全之源
此策略使用云服务而不是本地隔离技术作为安全和管理功能的主要来源,原因如下:
- 云具有更出色的功能 - 当今可用的最强大的安全和管理功能均来自云服务,其中包括先进的工具、本机集成以及大量安全情报,例如 Microsoft 每天为我们的安全工具使用的 800 多万兆安全信号。
- 云更简单快捷 - 采用云服务只需要少量甚至不需要基础设施即可进行实施和纵向扩展,从而使你的团队能够专注于安全任务,而不是技术集成。
- 云需要的维护较少 - 云还由供应商组织统一管理、维护和保障安全,他们设立了专门的团队来为数千个客户组织提供这些服务,从而减少了你的团队严格维护云功能所需花费的时间和精力。
- 云在不断改善 - 云服务中的功能不断更新,而你的组织无需持续投资。
制定建议的策略
Microsoft 的建议策略是逐步建立特权访问的“闭环”系统,确保只有可信的“干净”设备、帐户和中间系统可用于对业务敏感型系统进行特权访问。
就像在现实生活中为船这样的复杂物体做防水处理一样,你需要为此策略设计一个预期结果,仔细制定并遵循各项标准,然后持续监视和审核结果,以便查漏补缺。 你不能想着把木板组装成船的形状,就能变出一艘防水船来。 你首先需要重点建造船体等重要项目以及引擎和操舵机构等关键部件,并做防水处理(同时留下供人进入的途径),然后再为收音机、座椅等这些提升舒适感的物品做防水处理。 你还需要对船进行长期维护,因为即使是最完美的系统日后也有可能出现漏缝,所以你需要及时进行预防性维护,监视漏缝并进行修补,以防止其沉没。
保护特权访问有两个简单目标
- 严格限制为只能通过少数授权路径执行特权操作
- 保护并密切监视这些路径
访问系统的路径有两种:用户访问(旨在使用功能)和特权访问(旨在管理功能或访问敏感功能)
- 用户访问 - 图表底部的浅蓝色路径描绘了一个标准用户帐户执行常规的工作效率任务,例如电子邮件、协作、Web 浏览以及使用业务线应用程序或网站。 此路径包括一个帐户,该帐户登录到设备或工作站,有时通过远程访问解决方案等中介进行传递,并与企业系统交互。
- 特权访问 - 图表顶部的深蓝色路径描绘了特权访问,其中特权帐户(如 IT 管理员或其他敏感帐户)访问业务关键型系统和数据或在企业系统上执行管理任务。 尽管技术组件在本质上可能相似,但对手通过特权访问造成的损害要大得多。
完全访问管理系统还包括标识系统和授权提升路径。
- 标识系统 - 提供标识目录,用于托管帐户和管理组、同步和联合功能以及其他针对标准和特权用户的标识支持功能。
- 授权提升路径 - 为标准用户提供与特权工作流交互的方式,例如经理或同级别的人通过 Privileged Access Management/Privileged Identity Management 系统中的即时 (JIT) 流程批准对敏感系统的管理权限请求。
这些组件共同构成特权访问攻击面,对手可能以此为目标,试图获取对企业的提升访问权限:
注意
对于托管在客户管理的操作系统上的本地和基础结构即服务 (IaaS) 系统,管理和安全代理、服务帐户以及潜在的配置问题会导致攻击面急剧扩大。
若要创建可持续且可管理的特权访问策略,需要杜绝所有未经授权的攻击途径针对实际连接到安全系统的控制台创建虚拟等效项,该控制台代表了访问安全系统的唯一方式。
此策略需要结合以下各项:
- 本指南中介绍的零信任访问控制,包括快速现代化计划 (RAMP)
- 资产保护,通过对这些系统应用良好的安全策略来防范直接资产攻击。 对资源的资产保护(超出了访问控制组件的保护范围)不在本指南的范围内,但通常包括快速应用安全更新/补丁,使用制造商/行业安全基线配置操作系统,保护静态数据和传输中的数据,以及将安全最佳做法集成到开发/DevOps 流程中。
旅程中的策略计划
实施此策略需要四个补充计划,每个计划都有明确的结果和成功标准
- 端到端会话安全性 - 为特权会话、用户会话和授权提升路径建立显式零信任验证。
- 成功标准:每个会话在允许访问之前,以足够的级别验证每个用户帐户和设备是否受信任。
- 保护和监视标识系统,包括目录、Identity Management、管理员帐户、同意授权等
- 成功标准:这些系统中的每一个都受到适当级别的保护,即,可抵御所托管的帐户带来的潜在业务影响。
- 缓解横向遍历,以防止使用本地帐户密码、服务帐户密码或其他机密进行横向遍历
- 成功标准:入侵单个设备不会立即导致控制环境中的多个设备或其他所有设备
- 快速威胁响应,用于在环境中限制攻击者访问和时间
- 成功标准:事件响应过程会阻止对手在环境中可靠地进行多阶段攻击,这类攻击会导致特权访问权限丢失。 (其衡量方法为,将涉及特权访问的事件的平均修正时间 (MTTR) 减少到接近零,将所有事件的 MTTR 减少到几分钟,使对手没有时间瞄准特权访问)