本文档介绍了 特权访问策略的成功标准。 本节介绍特权访问策略成功的战略观点。 有关如何采用此策略的路线图,请参阅快速现代化计划 (RaMP)。 有关实施指南,请参阅 特权访问部署
使用 Zero Trust 方法实施整体策略会在特权访问的访问控制上创建某种“密封”,使其能够抵御攻击者。 此策略的实现方式是将特权访问的途径限制为少数人,然后密切保护和监视这些授权途径。
成功的策略必须解决攻击者可用于拦截特权访问工作流的所有要点,包括四个不同的计划:
- 特权访问工作流的特权访问工作流 元素,包括基础设备、作系统、应用程序和身份
- 托管特权账户和组的身份系统,以及向账户授予特权的其他项目
- 用户访问工作流 和可导致特权访问的授权提升路径
- 实施零信任访问策略并将基于角色的访问控制 (RBAC) 配置为授予权限的应用程序接口
注释
完整的安全策略还包括访问控制范围之外的资产保护,例如数据备份和保护,防止对应用程序本身、底层作系统和硬件、应用程序或服务使用的服务账户以及静态或传输中的数据的攻击。 有关实现云安全策略现代化的更多信息,请参阅 定义安全策略。
攻击包括利用自动化和脚本来攻击的组织由人类、他们遵循的流程以及他们使用的技术组成。 由于攻击者和防御者都非常复杂,因此策略必须多方面,以防止所有人员、流程和技术方式都可能无意中破坏安全保证。
确保可持续的长期成功需要满足以下标准:
无情的优先级
无情的优先排序是指以最快的时间首先采取最有效的行动来评估价值,即使这些努力不符合预先存在的计划、观念和习惯。 该策略列出了在许多重大网络安全事件的火热熔炉中学到的一系列步骤。 从这些事件中吸取的经验教训构成了我们帮助组织采取的步骤,以确保这些危机不会再次发生。
虽然安全专业人员总是很想尝试优化熟悉的现有控制措施(如网络安全和防火墙)以应对新的攻击,但这条路径始终会导致失败。 Microsoft 事件响应团队)近十年来一直在响应特权访问攻击,并一直看到这些经典的安全方法无法检测或阻止这些攻击。 虽然网络安全提供了必要且重要的基本安全卫生,但必须打破这些习惯并专注于能够阻止或阻止现实世界攻击的缓解措施。
无情地优先考虑此策略中建议的安全控制措施,即使它挑战了现有假设并迫使人们学习新技能。
平衡安全性与生产力
与安全策略的所有元素一样,特权访问应确保同时满足生产力和安全目标。
平衡安全性可通过以下方式避免给组织带来风险的极端情况:
- 避免过于严格的安全性,这会导致用户超出安全策略、途径和系统。
- 避免通过允许对手轻松危害组织来损害生产力的弱安全性。
有关安全策略的更多信息,请参阅 定义安全策略。
为了最大限度地减少安全控制对业务的负面影响,您应该优先考虑无形的安全控制,以改进用户工作流程,或者至少不会阻碍或更改用户工作流程。 虽然安全敏感角色可能需要可见的安全措施来改变其日常工作流程以提供安全保证,但这种实施应该经过深思熟虑,以尽可能限制可用性影响和范围。
此策略通过定义三个配置文件来遵循此指南(稍后在 保持简单 — 角色和用户档案中详细介绍
组织内强大的合作伙伴关系
安全部门必须努力在组织内建立合作伙伴关系才能取得成功。 除了“没有人像我们所有人一样聪明”这一永恒真理之外,安全性的本质是保护他人资源的支持功能。 安全性不负责他们帮助保护的资源(盈利能力、正常运行时间、性能等), 安全性是一种支持功能,提供专家建议和服务 ,以帮助保护对组织很重要的知识产权和业务功能。
安全部门应 始终作为合作伙伴来支持 业务和任务目标。 虽然安全部门不应回避提供直接建议,例如建议不要接受高风险,但安全部门也应始终根据相对于资源所有者管理的其他风险和机会的业务风险来构建该建议。
虽然安全的某些部分主要可以在安全组织内成功规划和执行,但许多部分(如保护特权访问)需要与 IT 和业务组织密切合作,以了解需要保护哪些角色,并帮助更新和重新设计工作流程,以确保它们既安全又允许人们完成工作。 有关此概念的更多信息,请参阅安全策略指南一文中的 转换、思维方式和期望 部分。
破坏攻击者的投资回报
通过确保防御措施可能会有意义地破坏攻击者攻击您的价值主张,从而增加攻击者成功攻击您的成本和摩擦,从而保持对实用主义的关注。 评估防御措施将如何影响攻击者的攻击成本,既可以很好地提醒人们关注攻击者的观点,也可以提供结构化的机制来比较不同缓解选项的有效性。
您的目标应该是增加攻击者的成本,同时最大限度地降低您自己的安全投资水平:
通过增加攻击者对特权访问会话元素的攻击成本,破坏攻击者的投资回报率 (ROI)。 特权访问策略的成功标准一文中更详细地介绍了此概念。
重要
特权访问策略应该是全面的,并提供深度防御,但必须避免 Expense in depth 谬误,即防御者只是堆积更多相同 (熟悉的) 类型控件 (通常是网络防火墙/筛选器) ,超过了它们添加任何有意义的安全值的点。
有关攻击者 ROI 的更多信息,请参阅短视频和深入讨论 破坏攻击者的投资回报。
清洁源原则
清洁源原则要求所有安全依赖关系与受保护的对象一样可信。
控制对象的任何使用者均是该对象的安全依赖关系。 如果攻击者可以控制控制目标对象的任何内容,他们也可以控制该目标对象。 由于存在此威胁,您必须确保所有安全依赖关系的保证都等于或高于对象本身所需的安全级别。 此原则适用于多种类型的控制关系:
虽然原则上很简单,但这个概念在现实世界中很容易变得复杂,因为大多数企业几十年来都是有机增长的,并且有成千上万的递归控制关系,这些关系相互构建、相互循环或两者兼而有之。 这种控制网络关系提供了许多访问路径,攻击者可以在攻击期间发现和导航这些路径,通常使用自动化工具。
Microsoft 推荐的特权访问策略实际上是一个计划,首先使用 Zero Trust 方法解开这个结中最重要的部分,方法是在允许访问目标之前明确验证源是否干净。
在所有情况下,源的信任级别必须等于或高于目标。
- 此原则唯一值得注意的例外是允许在企业方案中使用非托管的个人设备和合作伙伴设备。 此异常可实现企业协作和灵活性,并且由于企业资产的相对价值较低,因此可以缓解到大多数组织可接受的水平。
- 但是,由于这些资产的安全敏感性,此异常不能扩展到 specialized security 和 privileged security 级别。 一些 PIM/PAM 供应商可能主张他们的解决方案可以降低较低级别设备的设备风险,但根据我们调查事件的经验,我们尊重地不同意这些说法。 组织中的资产所有者可以选择接受使用企业安全级别设备访问专用或特权资源的风险,但 Microsoft 不建议使用此配置。 有关详细信息,请参阅 Privileged Access Management/Privileged Identity Management 的中间指南。
特权访问策略主要通过在接口和中介的入站会话上使用条件访问强制实施零信任策略来实现此原则。 干净源原则首先从 OEM 获取根据安全规范构建的新设备,包括作系统版本、安全基线配置和其他要求,例如使用 Windows Autopilot 进行部署。
或者,清洁源原则可以扩展到对供应链中的每个组件进行高度严格的审查,包括作系统和应用程序的安装介质。 虽然此原则适用于面临高度复杂攻击者的组织,但它的优先级应低于本指南中的其他控制措施。