特权访问策略的成功条件

本文档介绍特权访问策略的成功条件。 本部分介绍特权访问策略取得成功的战略观点。 有关如何采用此策略的路线图,请参阅快速现代化计划 (RaMP)。 有关实施指南,请参阅特权访问部署

使用零信任方法实现整体策略会在特权访问控制上创建一种“密封”,使其能够抵抗攻击者。 此策略是通过以下方式实现的:将通道限制为只有少数选定的特权访问,然后密切保护和监视这些授权的通道。

End state goal with limited entry paths for attackers

成功的策略必须解决攻击者可以用来拦截特权访问工作流的所有点,包括四个不同的计划:

  • 特权访问工作流的特权访问工作流元素,包括基础设备、操作系统、应用程序和标识
  • 托管特权帐户和组的标识系统,以及授予帐户其他特权的项目
  • 可导致特权访问的用户访问工作流和授权提升路径
  • 应用程序接口,其中将强制实施零信任访问策略,并将基于角色的访问控制 (RBAC) 配置为授予特权

注意

完整的安全策略还包括访问控制范围以外的资产保护,例如,针对应用程序本身、基础操作系统和硬件、应用程序或服务使用的服务帐户,以及静态或传输过程中的数据的攻击的数据备份和保护。 有关现代化云安全策略的详细信息,请参阅定义安全策略

攻击包括人为攻击者利用自动化和脚本来攻击由人、他们遵循的流程和他们使用的技术组成的组织。 由于攻击者和防御者的复杂性,策略必须具备多个方面,以防止安全保障无意破坏所有人员、流程和技术方法。

确保可持续的长期成功需要满足以下条件:

严格的优先级

严格的优先级是指采用最快的时间来执行最有效的操作,即使这些工作不符合预先存在的计划、观念和习惯。 此策略列出了在许多重大网络安全事件的严酷考验中所学到的一系列步骤。 这些事件的知识构成了我们帮助组织采取的步骤,用于确保这些危机不会再次发生。

尽管安全专业人员总是试图优化熟悉的现有控制(例如网络安全和防火墙)来应对新的攻击,但这种方法总是导致失败。 近十年来,Microsoft 事件响应团队一直在应对特权访问攻击,并始终认为这些经典的安全方法无法检测或阻止这些攻击。 尽管网络安全提供了必要且重要的基本安全方法,但打破这些习惯,并将重点放在能够遏制或阻止真实世界攻击的缓解措施上至关重要。

严格地优先考虑此策略中推荐的安全控制,即使它对现有的假设提出挑战并迫使人们学习新技能。

平衡安全性与生产力

与安全策略的所有元素一样,特权访问应确保满足生产力和安全性目标。

平衡安全性可以通过以下方法,避免为组织带来风险的极端情况:

  • 避免过于严格的安全性导致用户离开安全策略、路径和系统。
  • 避免让对手轻易攻击组织从而损害生产力的弱安全性。

有关安全策略的详细信息,请参阅定义安全策略

为了减少安全控制对业务的负面影响,应该优先考虑改进用户工作流的不可见的安全控制,或者至少不要妨碍或更改用户工作流。 虽然安全敏感角色可能需要可见的安全措施来更改其日常工作流程以提供提供安全保证,但是应该仔细考虑这个实现,尽可能地限制可用性影响和范围。

此策略通过定义三个配置文件来遵循此指导原则(稍后在保持简单 - 角色和配置文件中进行了详细介绍)

Productivity and security ramped up by privilege levels

组织内强大的合作伙伴关系

安全部门必须努力在组织内建立合作伙伴关系,才能取得成功。 除了“没有人比我们所有人都聪明”这一永恒的真理之外,安全的本质是保护他人资源的支持功能。 安全部门并不对他们帮助保护的资源(盈利能力、运行时间、性能等)负责,安全性是一项支持功能,它提供专家建议和服务来帮助保护对组织至关重要的知识产权和业务功能

安全部门应始终以合作伙伴的方式发挥作用,以支持业务和任务目标。 虽然安全部门不应回避给出直接建议,例如建议不要接受高风险,但安全部门也应该始终根据业务风险相对于资源所有者管理的其他风险和机会来制定建议。

虽然安全性的某些部分可以在安全组织内部成功地规划和执行,但许多方面(例如保护特权访问)需要与 IT 和业务组织密切合作,以便了解需要保护哪些角色,并帮助更新和重新设计工作流,以确保它们都是安全的,并让人们能够完成自己的工作。 有关此理念的详细信息,请参阅安全策略指南一文中的转换、观念和期望部分。

中断攻击者投资回报

通过确保防御措施能够有效地破坏攻击者攻击你的价值主张,增加攻击者能够成功攻击你的成本和摩擦,从而保持对实用性的关注。 评估防御措施将如何影响对手的攻击成本,既可以正常地提醒人们关注攻击者的观点,也可以提供结构化的机制来比较不同缓解措施的有效性。

你的目标应该是提高攻击者的成本,同时最大限度地降低自己的安全投资级别:

Increase attack cost with minimal defense cost

通过提高攻击者在特权访问会话元素中的攻击成本来中断攻击者投资回报 (ROI)。 特权访问策略的成功条件一文中详细介绍了这一概念。

重要

特权访问策略应该是全面的,并提供深度防御,但必须避免在深度防御中花费的谬论,即防御者只是在添加任何有意义的安全值的点上堆积更多相同(熟悉)类型的控制(通常是网络防火墙/过滤器)。

有关攻击者 ROI 的详细信息,请参阅简短的视频和深入的讨论中断攻击者投资回报

清洁源原则

清洁源原则要求所有安全依赖关系与受保护的对象一样可信。

Clean source principle

控制对象的任何使用者均是该对象的安全依赖关系。 如果攻击者可以控制任何控制目标对象的物体,他们就可以控制该目标对象。 由于存在这种威胁,必须确保所有安全依赖项的保障处于或高于对象自身的所需安全级别。 此原则适用于多种类型的控制关系:

If an attacker controls any part of the target they control the target

虽然从原理来说这种概念很简单,但在实际情况中,这种概念会变得很复杂,因为大多数企业在几十年时间里有机增长,并在彼此之间建立了成千上万的递归控制关系,这些关系彼此作为基础构建、相互循环,或者两者都有。 这种控制关系网络提供了许多访问路径,攻击者通常可以使用自动化工具在攻击期间发现和进行浏览。

Microsoft 推荐的特权访问策略是一个有效的计划,它首先使用零信任方法,通过明确验证源是清洁的,然后允许访问目标,从而解开这个结中最重要的部分。

在所有情况下,源的信任级别必须与目标相同或高于目标。

  • 此原则唯一值得注意的例外是允许在企业场景中使用非托管个人设备和合作伙伴设备。 这种例外情况可以实现企业协作和灵活性,并且由于企业资产的相对价值较低,因此可以降低到大多数组织可以接受的水平。 有关 BYOD 安全性的详细信息,请参阅博客文章 BYOD 策略如何降低公共部门的安全风险
  • 但是,这种相同的例外情况不能扩展到特定的安全和特权安全级别,因为这些资产有安全敏感性。 某些 PIM/PAM 供应商可能会认为,他们的解决方案可以降低来自较低级别设备的设备风险,但根据我们调查事件的经验,我们尊重但不同意这些断言。 组织中的资产所有者可能选择接受使用企业安全级别设备访问专用或特权资源的风险,但 Microsoft 不建议使用此配置。 有关详细信息,请参阅特权访问管理/特权标识管理的中间指南。

特权访问策略主要通过在接口和中介的入站会话上强制实施零信任策略和条件访问来实现此原则。 清洁源原则是指首先从 OEM 处获得新设备,该设备是根据安全规范构建的,包括操作系统版本、安全基线配置和其他要求,例如使用 Windows Autopilot 进行部署。

可以选择将清洁源原则扩展为对供应链中每个组件(包括操作系统和应用程序的安装介质)的高度严格审查。 虽然这一原则适用于面临高度复杂攻击者的组织,但它的优先级应低于本指南中的其他控制。

后续步骤