本文件說明 特殊許可權存取策略的成功準則。 本節說明特殊許可權存取策略成功的戰略觀點。 如需如何採用此策略的藍圖,請參閱快速現代化計劃(RaMP)。 如需實作指引,請參閱 特殊許可權存取部署
使用零信任策略實作整體策略會針對特權存取的訪問控制建立某種「密封」,使其對攻擊者具有抵抗力。 此策略是藉由將路徑限制為只有少數特殊許可權存取,然後密切保護及監視這些授權路徑來完成。
成功的策略必須解決攻擊者可用來攔截特殊許可權存取工作流程的所有點,包括四個不同的計劃:
- 特殊許可權存取工作流程的 Privileged Access 工作流程元素,包括基礎裝置、作系統、應用程式和身分識別
- 裝載特殊許可權帳戶和群組的身分識別系統,以及授與帳戶許可權的其他成品
- 使用者存取工作流程 和通往特殊許可權存取的授權提升路徑
- 強制執行零信任存取原則且角色型訪問控制 (RBAC) 設定為授與許可權的應用程式介面
備註
完整的安全性策略也包含超出訪問控制範圍的資產保護,例如數據備份和保護,以防止應用程式本身的攻擊、基礎作系統和硬體、應用程式或服務所使用的服務帳戶,以及待用或傳輸中的數據。 如需將雲端安全性策略現代化的詳細資訊,請參閱 定義安全性策略。
攻擊由利用自動化和腳本的人類攻擊者發起,攻擊的對象是由人員、他們所遵循的流程以及所使用的技術所組構成的組織。 由於攻擊者和防禦者的複雜性,策略必須多面向,防範由於人員、流程和技術方面的原因而可能意外削弱安全性保證的情況。
確保持續的長期成功需要符合下列準則:
無情的優先順序
無情的優先排序是一種先採取最有效行動的做法,即使這些努力不符合既有的計劃、感知和習慣,但能在最短時間內獲得最大價值的行動仍應優先考慮。 此策略闡明了一套步驟,這些步驟是在許多重大網路安全事件的嚴峻考驗中學到的。 這些事件的學習構成了我們協助組織採取的步驟,以確保這些危機不會再次發生。
雖然安全性專業人員嘗試優化熟悉的現有控件,例如網路安全性和防火牆,以進行較新的攻擊,但這一路徑總是會導致失敗。 Microsoft事件回應小組)已回應近十年的特殊許可權存取攻擊,並一直看到這些傳統安全性方法無法偵測或停止這些攻擊。 雖然網路安全性提供必要且重要的基本安全性衛生,但必須突破這些習慣,並專注於可阻止或封鎖真實世界攻擊的風險降低措施。
無情地排定此策略中建議的安全性控制優先順序,即使它挑戰現有的假設,並強制人們學習新的技能也一樣。
平衡安全性和生產力
與安全性策略的所有元素一樣,特殊許可權存取應確保達到生產力和安全性目標。
平衡安全性可避免讓組織面臨下列風險的極端狀況:
- 避免過於嚴格的安全性,以致使用者偏離安全原則、路徑和系統。
- 避免因安全性薄弱而使敵人輕易入侵組織,從而損害生產力。
如需安全性策略的詳細資訊,請參閱 定義安全性策略。
若要將安全性控件的負面業務影響降到最低,您應該優先處理改善使用者工作流程的不可見安全性控件,或至少不會妨礙或變更使用者工作流程。 雖然安全性敏感性角色可能需要可變更其每日工作流程的可見安全性措施,以提供安全性保證,但此實作應深思熟慮地限制可用性影響和範圍。
此策略遵循本指南,定義三個個人檔案(稍後在《簡單明瞭:使用者角色與個人檔案》中詳述)
組織內的強合作關係
安全工作必須努力在組織內建立合作關係,才能取得成功。 除了「我們沒有人像我們所有人一樣聰明」的永恆真相外,安全的性質是保護他人資源的支援功能。 安全性不負責協助保護的資源(獲利率、運行時間、效能等), 安全性是一項支援功能,可提供專家建議和服務 ,協助保護對組織而言很重要的智慧財產權和商務功能。
安全性應始終作為支持業務及任務目標的合作夥伴。 雖然安全性不應迴避提供直接建議,例如建議不要接受高風險,但安全性也應該在與資源擁有者管理的其他風險和機會相關的商業風險方面制定建議。
雖然安全性的某些部分大部分都可以在安全性組織內成功規劃和執行,但許多像是保護特殊許可權存取權的人需要與IT和商務組織密切合作,以瞭解要保護哪些角色,並協助更新和重新設計工作流程,以確保其既安全又允許人員執行其工作。 如需此概念的詳細資訊,請參閱安全性策略指引一文中的 轉換、思維和期望 一節。
中斷攻擊者的投資回報
保持對務實的關注,確保防禦措施能夠有效地削弱攻擊者的攻擊誘因,從而增加攻擊者成功攻擊您的成本和困難。 評估防禦措施如何影響敵人的攻擊成本,既能有效提醒我們關注攻擊者的觀點,也提供了比較不同應對選項有效性的結構化機制。
您的目標應該是增加攻擊者的成本,同時將您自己的安全性投資層級降至最低:
藉由增加跨特殊許可權存取會話元素的攻擊成本,來中斷攻擊者的投資報酬率。 此概念會在 特殊許可權存取策略的成功準則一文中詳細說明。
這很重要
特權存取策略應該是全面的,並提供深度防禦,但必須避免“費用深度謬論”,即防禦者只是過度堆積相同類型的控制(通常是網路防火牆或篩選器),直到這些控制超出增添任何有意義的安全價值的程度。
如需了解有關攻擊者投資報酬率的更多資訊,請參閱影片和深入討論 干擾攻擊者的投資報酬率。
乾淨來源原則
乾淨來源原則要求所有安全性相依性都與受保護的對象一樣值得信任。
控制物件的任何主體都是該對象的安全性相依性。 如果敵人可以控制目標物件的一部分,他們可以控制該目標物件。 由於此威脅,您必須確定所有安全性相依性的保證都位於或高於物件本身所需的安全性層級。 此原則適用於許多類型的控制件關聯性:
雖然在原理上很簡單,但由於大多數企業在過去幾十年間有機成長,加上成千上萬的控制關係以遞歸方式建立,這些控制關係互相構建、互相迴圈,或兩者兼而有之,這個概念在現實世界中變得很複雜。 此控制關聯性網路提供許多存取路徑,攻擊者可以在攻擊期間探索和流覽,通常是使用自動化工具。
Microsoft建議的特殊許可權存取策略實際上是使用零信任方法先解開此結中最重要的部分的計劃,方法是明確驗證來源是乾淨的,再允許存取目的地。
在所有情況下,來源的信任層級必須相同或高於目的地。
- 此原則唯一值得注意的例外是允許針對企業案例使用非受控個人裝置和合作夥伴裝置。 此例外狀況可讓企業共同作業和彈性降低到大多數組織可接受的層級,因為企業資產的相對值較低。
- 不過,由於這些資產的安全性敏感度,此相同例外狀況無法延伸到特殊安全性和特殊許可權安全性層級。 有些 PIM/PAM 供應商可能會主張他們的解決方案能夠降低低層次裝置的風險,但根據我們調查事件的經驗,我們尊重而不認同這種說法。 貴組織中的資產擁有者可以選擇接受使用企業安全性層級裝置存取特殊或特殊許可權資源的風險,但Microsoft不建議使用此設定。 如需詳細資訊,請參閱 Privileged Access Management /Privileged Identity Management 的中繼指引。
授權存取策略主要通過在介面和中介的傳入會話上,使用條件式存取強制執行零信任政策來實現此原則。 乾淨來源原則首先需要從 OEM 取得符合您安全性規格的新裝置,包括作業系統版本、安全性基準設定配置,及其他需求,例如使用 Windows Autopilot 進行部署。
選擇性地,潔淨源頭原則可以延伸到對供應鏈中每個元件的高度嚴格檢閱,包括作業系統和應用程式的安裝媒體。 雖然此原則適用於面臨高度複雜攻擊者的組織,但它的優先順序應該低於本指導方針中的其他控件。