共用方式為


特殊許可權存取:策略

Microsoft建議採用此特殊許可權存取策略,以快速降低貴組織因高影響力和高可能性攻擊特殊許可權存取的風險。

特殊許可權存取應該是每個組織的最高安全性優先順序。 這些使用者的任何危害都很有可能對組織產生重大負面影響。 特殊許可權使用者可以存取組織中的商務關鍵資產,幾乎一律會在攻擊者入侵其帳戶時造成重大影響。

此策略是以明確驗證、最低權限和缺口假設的零信任原則為基礎。 Microsoft提供 實作指引 ,協助您根據此策略快速部署保護

重要

沒有單一「銀彈」技術解決方案會神奇地降低特殊許可權存取風險,您必須將多個技術混合在一起,以防範多個攻擊者進入點的整體解決方案。 組織必須為作業的每個部分帶來正確的工具。

為什麼特殊許可權存取很重要?

特殊許可權存取的安全性非常重要,因為它是所有其他安全性保證的基礎,因此攻擊者控制特殊許可權帳戶可能會破壞所有其他安全性保證。 從風險的角度來看,失去特殊許可權存取是一個高影響事件,很有可能在各行業以驚人的速度成長。

這些攻擊技術最初用於目標數據竊取攻擊,導致許多熟悉品牌的高調缺口(以及許多未報告的事件)。 最近,勒索軟體攻擊者採用這些技術,助長了高度盈利的人類操作勒索軟體攻擊的爆炸性增長,故意破壞整個產業的商業營運。

重要

人為操作的勒索軟體 與以單一工作站或裝置為目標的商品單一計算機勒索軟體攻擊不同。

此圖形描述如何使用特殊許可權存取來增加這種敲詐式攻擊的影響和可能性:

預留位置

  • 高業務影響
    • 很難過度描述失去特殊許可權存取的潛在業務影響和損害。 具有特殊許可權存取權的攻擊者實際上可以完全控制所有企業資產和資源,讓他們能夠揭露任何機密數據、停止所有商務程式,或顛覆商務程式及機器,以損害財產、傷害人員或更糟。 每個行業都看到了巨大的商業影響:
      • 目標數據竊取 - 攻擊者會使用特殊許可權的存取權來存取和竊取敏感性智慧財產權,以供自己使用,或向競爭對手或外國政府出售/轉移
      • 人為操作的勒索軟體 (HumOR) - 攻擊者會使用特殊許可權存取來竊取和/或加密企業中的所有數據和系統,通常會停止所有商務作業。 然後,他們要求錢不披露數據和/或提供密鑰來解除鎖定目標組織。
  • 發生的可能性很高
    • 自新式認證竊取攻擊開始傳遞哈希技術以來,特殊許可權存取攻擊的普及率有所提高。 自 2008 發行「傳遞雜湊工具組」攻擊工具開始,這類手法開始受到犯罪者歡迎,如今已發展成一套可靠的攻擊手法 (大部分以 Mimikatz 工具組為基礎)。 這種武器化和技術的自動化使攻擊(及其後續的影響)以快速的速度增長,僅限於目標組織的攻擊弱點和攻擊者的獲利/獎勵模型。
      • 在人類操作勒索軟體(幽默)出現之前,這些攻擊很普遍,但經常因為下列原因而看不見或誤解:
        • 攻擊者獲利限制 - 只有知道如何從目標組織獲利敏感性智慧財產權的群組和個人才能從這些攻擊中獲利。
        • 無訊息影響 - 組織經常錯過這些攻擊,因為他們沒有偵測工具,也很難看到和估計產生的商業影響(例如,他們的競爭對手如何使用其被盜的智慧財產權,以及影響價格和市場的方式,有時幾年後)。 此外,看到攻擊的組織經常保持沉默,以保護他們的聲譽。
      • 這些攻擊的無訊息影響和攻擊者獲利限制都與人類操作勒索軟體的出現中斷,因為其同時在數量、影響和意識中成長:
        • 響亮和破壞性 - 商務程式支付敲詐勒索要求。
        • 普遍適用 - 每個產業中的每個組織都出於財務動機,以不間斷地繼續作業。

基於這些原因,特殊許可權存取應該是每個組織的最高安全性優先順序。

建立特殊權限存取策略

特殊許可權存取策略是由快速獲勝和累加式進度所組成的旅程。 特殊許可權存取策略中的每個步驟都必須讓您更接近從特殊許可權存取中「密封」持續性和彈性的攻擊者,他們就像水嘗試透過任何可用的弱點查看您的環境一樣。

不論您已在旅程中的位置為何,本指南都是針對所有企業組織所設計。

全面的實際策略

降低特殊許可權存取的風險需要跨多種技術進行周密、全面且優先的風險降低組合。

建立此策略需要辨識攻擊者就像水一樣,因為他們有許多可以利用的選項(其中一些可能起初顯得微不足道),攻擊者有彈性地使用它們,而且他們通常會走最少的抵抗路徑來達成目標。

攻擊者就像水一樣,起初可能顯得微不足道,但隨著時間的洪水

攻擊者在實際練習中優先處理的路徑是下列兩者的組合:

  • 已建立的技術(通常自動化為攻擊工具)
  • 較容易利用的新技術

由於涉及技術的多樣性,此策略需要結合多種技術並遵循 零信任 原則的完整策略。

重要

您必須採用包含多種技術的策略來防禦這些攻擊。 只要實作特殊許可權身分識別管理/特殊許可權存取管理 (PIM/PAM) 解決方案就不足。 如需詳細資訊,請參閱特殊許可權存取中繼。

  • 攻擊者是目標導向的,且技術不受限制,使用任何類型的攻擊。
  • 您防禦的訪問控制骨幹已整合到企業環境中大部分或所有系統。

預期您可以透過網路控制或單一特殊許可權存取解決方案來偵測或防止這些威脅,這可讓您容易受到許多其他類型的攻擊。

策略性假設 - 雲端是安全性的來源

此策略會使用雲端服務作為安全性和管理功能的主要來源,而不是內部部署隔離技術,原因有數個:

  • 雲端具有較佳的功能 - 目前最強大的安全性和管理功能來自雲端服務,包括複雜的工具、原生整合,以及大量安全性情報,例如每天 8 個以上萬億個安全性訊號,Microsoft我們的安全性工具使用。
  • 雲端更容易且更快速 - 採用雲端服務幾乎不需要任何基礎結構來實作和相應增加,讓您的小組能夠專注於其安全性任務,而不是技術整合。
  • 雲端需要較少的維護 -- 雲端也會受到廠商組織管理、維護及一致保護,這些組織會針對數千個客戶組織專用於該單一用途,減少小組嚴格維護功能的時間和精力。
  • 雲端持續改善 - 雲端服務中的特性和功能會不斷更新,而不需要貴組織持續投資。

Microsoft 建議的策略是以累加方式為特殊權限存取建置「封閉迴圈」系統,以確保只有可信任的「乾淨」裝置、帳戶和中繼系統可用於商務敏感系統的特殊權限存取。

就像在現實生活中防水一樣複雜的東西,像船一樣,你需要用刻意的結果來設計這個策略,仔細建立並遵循標準,並持續監視和稽核結果,以便補救任何洩漏。 你不只是釘板在船形狀,神奇地期待一艘防水船。 首先,您將專注於建造和防水的重要專案,如船體和關鍵部件,如發動機和轉向機制(同時留下人們進入的方式),然後後來防水舒適專案,如無線電,座位等。 您也會在一段時間內維護它,因為即使是最完美的系統以後也會發生洩漏,因此您需要跟上預防性維護、監視洩漏,並修正它們以防止洩漏。

保護特殊許可權存取有兩個簡單的目標

  1. 嚴格限制對少數授權路徑執行特殊權限動作的能力
  2. 保護並密切監視這些路徑

有兩種類型的路徑可存取系統、使用者存取權(使用功能)和特殊許可權存取(以管理功能或存取敏感性功能)

系統使用者和特殊許可權存取的兩個路徑

  • 使用者存取 - 圖表底部較淺的藍色路徑描述標準用戶帳戶,其執行一般生產力工作,例如電子郵件、共同作業、網頁流覽,以及使用企業營運應用程式或網站。 此路徑包括登入裝置或工作站的帳戶,有時會透過像是遠端訪問解決方案的媒介,並與企業系統互動。
  • 特殊許可權存取 - 圖表頂端較深的藍色路徑描述特殊許可權存取,其中 IT 系統管理員或其他敏感性帳戶等特殊許可權帳戶會存取業務關鍵系統和數據,或在企業系統上執行系統管理工作。 雖然技術元件本質上可能很相似,但敵人利用特殊權限存取可造成的損害高出許多。

完整存取管理系統也包含身分識別系統和授權的提高許可權路徑。

兩個路徑加上身分識別系統和提高許可權路徑

  • 身分識別系統 - 提供裝載帳戶和系統管理群組的身分識別目錄、同步處理和同盟功能,以及標準與特殊許可權使用者的其他身分識別支援功能。
  • 授權的提高許可權路徑 - 提供方法,讓標準用戶能夠與特殊許可權工作流程互動,例如管理員或對等者,透過特殊許可權存取管理/特殊許可權身分識別管理系統中的 Just-In-Time (JIT) 程式核准敏感性系統管理許可權的要求。

這些元件共同組成了攻擊者可能以嘗試提升企業存取權為目標的特殊許可權存取攻擊面:

受攻擊面未受保護

注意

對於裝載於客戶管理操作系統的內部部署和基礎結構即服務(IaaS)系統,受攻擊面會隨著管理和安全性代理程式、服務帳戶和潛在設定問題而大幅增加。

建立可持續且可管理的特殊許可權存取策略,需要關閉所有未經授權的向量,才能建立實體附加至安全系統的虛擬對等專案,此系統代表存取它的唯一方法。

此策略需要下列項目的組合:

  • 零信任 訪問控制說明,包括快速現代化計劃(RAMP)
  • 將良好的安全性衛生做法套用至這些系統,以保護防範直接資產攻擊的資產保護 。 資源的資產保護(超出訪問控制元件)超出本指南的範圍,但通常包括快速應用安全性更新/修補程式、使用製造商/產業安全性基準設定操作系統、保護待用數據和傳輸中的數據,以及整合安全性最佳做法以開發/DevOps 程式。

減少受攻擊面

旅程中的策略性計劃

執行此策略需要四個互補計劃,每個計劃都有明確的結果和成功準則

  1. 端對端會話安全性 - 建立特殊許可權會話、用戶會話和授權提高許可權路徑的明確 零信任 驗證。
    1. 成功準則:每個會話會先驗證每個用戶帳戶和裝置在允許存取之前是否在足夠層級受到信任。
  2. 保護及監視身分識別系統,包括目錄、身分識別管理、系統管理員帳戶、同意授與等等
    1. 成功準則:每一個系統都會在適當層級受到保護,以符合裝載於其中之帳戶的潛在業務影響。
  3. 降低橫向周遊,以防止使用本機帳戶密碼、服務帳戶密碼或其他秘密進行橫向周遊
    1. 成功準則:危害單一裝置不會立即導致控制環境中的許多或所有其他裝置
  4. 快速威脅回應,以限制環境中的敵人存取和時間
    1. 成功準則:事件回應程式會阻礙敵人在環境中可靠地執行多階段攻擊,因而造成特殊許可權存取中斷。 (通過減少涉及特殊許可權存取接近零的事件的平均補救時間(MTTR),並將所有事件的 MTTR 減少到幾分鐘,讓對手沒有時間鎖定特殊許可權存取權來衡量。

下一步