特殊許可權存取:策略
Microsoft建議採用此特殊許可權存取策略,以快速降低貴組織因高影響力和高可能性攻擊特殊許可權存取的風險。
特權存取應該是每個組織的最高安全性優先順序。 這些使用者帳戶的任何入侵都很有可能對組織產生重大負面影響。 特殊許可權使用者可以存取組織中的商務關鍵資產,幾乎一律會在攻擊者入侵其帳戶時造成重大影響。
此策略是以明確驗證、最低權限和缺口假設的零信任原則為基礎。 Microsoft提供 實作指引 ,協助您根據此策略快速部署保護
重要
沒有單一的「銀彈」技術解決方案能夠神奇地降低特權存取風險,因此您必須將多種技術結合在一起,形成一個可以防範多個攻擊者進入點的整體解決方案。 組織必須為作業的每個部分帶來正確的工具。
為什麼特殊許可權存取很重要?
特殊許可權存取的安全性非常重要,因為它是所有其他安全性保證的基礎,因此攻擊者控制特殊許可權帳戶可能會破壞所有其他安全性保證。 從風險的角度來看,失去特權存取權是一個具有高度影響的事件,並且發生的可能性極高,正以驚人的速度在各行業中成長。
這些攻擊技術最初用於針對性的資料竊取攻擊,導致許多熟悉品牌的高調資料外洩事件(以及許多未報告的事件)。 最近,勒索軟體攻擊者採用這些技術,助長了高度盈利的人類操作勒索軟體攻擊的爆炸性增長,故意破壞整個產業的商業營運。
重要
人為操作的勒索軟體 與以單一工作站或裝置為目標的商品單一計算機勒索軟體攻擊不同。
此圖形描述如何使用特殊許可權存取來增加這種敲詐式攻擊的影響和可能性:
- 高業務影響
- 很難過度描述失去特殊許可權存取的潛在業務影響和損害。 具有特殊許可權存取權的攻擊者實際上可以完全控制所有企業資產和資源,讓他們能夠揭露任何機密數據、停止所有商務程式,或顛覆商務程式及機器,以損害財產、傷害人員或更糟。
每個行業都看到了巨大的商業影響:
- 目標數據竊取 - 攻擊者會使用特殊許可權的存取權來存取和竊取敏感性智慧財產權,以供自己使用,或向競爭對手或外國政府出售/轉移
- 人為操作的勒索軟體 (HumOR) - 攻擊者會使用特殊許可權存取來竊取和/或加密企業中的所有數據和系統,通常會停止所有商務作業。 然後,他們通過勒索目標組織來要求金錢,以免披露數據,或者提供密鑰以解密數據。
- 很難過度描述失去特殊許可權存取的潛在業務影響和損害。 具有特殊許可權存取權的攻擊者實際上可以完全控制所有企業資產和資源,讓他們能夠揭露任何機密數據、停止所有商務程式,或顛覆商務程式及機器,以損害財產、傷害人員或更糟。
每個行業都看到了巨大的商業影響:
- 發生的可能性很高
- 自新式認證竊取攻擊開始傳遞哈希技術以來,特殊許可權存取攻擊的普及率有所提高。 這些技術自 2008 年發行「傳遞雜湊工具組」攻擊工具開始,迅速受到犯罪者的歡迎,如今已發展成一套可靠的攻擊技術,大部分是以 Mimikatz 工具組為基礎。 這種武器化和技術的自動化使攻擊(及其後續的影響)以快速的速度增長,僅限於目標組織的攻擊弱點和攻擊者的獲利/獎勵模型。
- 在人工操作勒索軟體(HumOR)出現之前,這些攻擊已經很普遍,但由於下列原因經常不被注意或被誤解:
- 攻擊者獲利限制 - 只有知道如何從目標組織獲利敏感性智慧財產權的群組和個人才能從這些攻擊中獲利。
- 無訊息影響 - 組織經常錯過這些攻擊,因為他們沒有偵測工具,也很難看到和估計產生的商業影響(例如,他們的競爭對手如何使用其被盜的智慧財產權,以及影響價格和市場的方式,有時幾年後)。 此外,看到攻擊的組織經常保持沉默,以保護他們的聲譽。
- 這些攻擊的無聲影響和攻擊者獲利限制,正隨著人類操作的勒索軟體的出現而瓦解,因為其在數量、影響力和認知度上都在增長:
- 嘈雜且具破壞性 - 對商務流程產生干擾以及支付敲詐勒索要求。
- 普遍適用 - 每個產業中的每個組織都出於財務動機,以不間斷地繼續作業。
- 在人工操作勒索軟體(HumOR)出現之前,這些攻擊已經很普遍,但由於下列原因經常不被注意或被誤解:
- 自新式認證竊取攻擊開始傳遞哈希技術以來,特殊許可權存取攻擊的普及率有所提高。 這些技術自 2008 年發行「傳遞雜湊工具組」攻擊工具開始,迅速受到犯罪者的歡迎,如今已發展成一套可靠的攻擊技術,大部分是以 Mimikatz 工具組為基礎。 這種武器化和技術的自動化使攻擊(及其後續的影響)以快速的速度增長,僅限於目標組織的攻擊弱點和攻擊者的獲利/獎勵模型。
基於這些原因,特殊許可權存取應該是每個組織的最高安全性優先順序。
建立特殊權限存取策略
特權存取策略是一個由快速贏得和增量式進展組成的旅程。 在您的特權存取策略中,每一步都必須使您更接近將持續且靈活的攻擊者隔絕於特權存取之外,他們就像水一樣試圖透過任何可用的弱點滲透進您的環境。
不論您已在旅程中的位置為何,本指南都是針對所有企業組織所設計。
全面的實際策略
降低特殊許可權存取的風險需要跨多種技術進行周密、全面且優先的風險降低組合。
建立此策略需要辨識攻擊者就像水一樣,因為他們有許多可以利用的選項(其中一些可能起初顯得微不足道),攻擊者有彈性地使用它們,而且他們通常會走最少的抵抗路徑來達成目標。
攻擊者在實際操作中優先選擇的路徑是以下幾種組合:
- 已建立的技術(通常自動化為攻擊工具)
- 較容易利用的新技術
由於涉及技術的多樣性,此策略需要結合多種技術並遵循 零信任 原則的完整策略。
重要
您必須採用包含多種技術的策略來防禦這些攻擊。 僅僅實施特權身分識別管理/特權存取管理(PIM/PAM)解決方案是不夠的。 如需詳細資訊,請參閱特殊許可權存取中繼。
- 攻擊者是目標導向的,對技術沒有偏好,使用任何有效的攻擊手段。
- 您防禦的訪問控制骨幹已整合到企業環境中大部分或所有系統。
預期您可以透過網路控制或單一特殊許可權存取解決方案來偵測或防止這些威脅,這可讓您容易受到許多其他類型的攻擊。
策略性假設 - 雲端是安全性的來源
此策略會使用雲端服務作為安全性和管理功能的主要來源,而不是內部部署隔離技術,原因有數個:
- 雲端具有更強大的功能 - 目前最強大的安全性和管理功能來自雲端服務,包括複雜的工具、原生整合能力,以及大量安全性情報,例如每天超過 8 兆條安全性訊號,Microsoft 使用這些訊號來增強我們的安全性工具。
- 雲端更容易且更快速 - 採用雲端服務幾乎不需要任何基礎結構來實作和相應增加,讓您的小組能夠專注於其安全性任務,而不是技術整合。
- 雲端需要較少的維護 -- 雲端也會受到廠商組織管理、維護及一致保護,這些組織會針對數千個客戶組織專用於該單一用途,減少小組嚴格維護功能的時間和精力。
- 雲端持續改善 - 雲端服務中的特性和功能會不斷更新,而不需要貴組織持續投資。
制定建議的策略
Microsoft 建議的策略是以累加方式為特殊權限存取建置「封閉迴圈」系統,以確保只有可信任的「乾淨」裝置、帳戶和中繼系統可用於商務敏感系統的特殊權限存取。
像在現實生活中為船這樣複雜的物體進行防水處理一樣,你需要有目的地設計這個策略,仔細制定並遵循規範,並不斷監控和審查結果,以便及時修補任何漏洞。 你不會只是把木板釘成船的形狀,就期望它能不漏水。 首先,您將專注於建造並為重要項目防水,如船體及關鍵部件,例如發動機和轉向機制(同時留下人員進入的方式),然後再為舒適設備如無線電、座椅等進行防水處理。 您也會在一段時間內維護它,因為即使是最完美的系統以後也會發生洩漏,因此您需要跟上預防性維護、監視洩漏,並修正它們以防止洩漏。
保護特殊許可權存取有兩個簡單的目標
- 嚴格限制對少數授權路徑執行特殊權限動作的能力
- 保護並密切監視這些路徑
有兩種類型的路徑可存取系統、使用者存取權(使用功能)和特殊許可權存取(以管理功能或存取敏感性功能)
- 使用者存取 - 圖表底部較淺的藍色路徑描述標準用戶帳戶,其執行一般生產力工作,例如電子郵件、共同作業、網頁流覽,以及使用企業營運應用程式或網站。 此流程包括帳戶登入裝置或工作站,有時會透過像是遠端存取方案的中介,並與企業系統進行互動。
- 特殊許可權存取 - 圖表頂端較深的藍色路徑描述特殊許可權存取,其中 IT 系統管理員或其他敏感性帳戶等特殊許可權帳戶會存取業務關鍵系統和數據,或在企業系統上執行系統管理工作。 雖然技術元件本質上可能很相似,但敵人利用特殊權限存取可造成的損害高出許多。
完整的存取管理系統還包括身分識別系統和授權的提升途徑。
- 身分識別系統 - 提供裝載帳戶和系統管理群組的身分識別目錄、同步處理和同盟功能,以及標準與特殊許可權使用者的其他身分識別支援功能。
- 授權的提升路徑 - 提供方法,讓標準用戶能夠與特殊許可權工作流程互動,例如管理員或同事通過 Just-In-Time(JIT) 程式,在特殊存取管理/特殊身分識別管理系統中核准對敏感系統的管理許可權的要求。
這些元件共同組成了攻擊者可能以嘗試提升企業存取權為目標的特殊許可權存取攻擊面:
注意
對於裝載於客戶管理操作系統的內部部署和基礎結構即服務(IaaS)系統,受攻擊面會隨著管理和安全性代理程式、服務帳戶和潛在設定問題而大幅增加。
建立一個可持續且可管理的特權存取策略,需要關閉所有未經授權的途徑,以創建一個虛擬的控制台,相當於實體附加到安全系統上,這是存取該系統的唯一方法。
此策略需要下列項目的組合:
- 零信任存取控制詳述於此指導中,包括快速現代化計劃(RAMP)
- 將良好的安全性衛生做法套用至這些系統,以保護防範直接資產攻擊的資產保護 。 資源的資產保護(超出訪問控制元件)超出本指南的範圍,但通常包括快速應用安全性更新/修補程式、使用製造商/產業安全性基準設定操作系統、保護待用數據和傳輸中的數據,以及整合安全性最佳做法以開發/DevOps 程式。
旅程中的策略性計劃
執行此策略需要四個互補計劃,每個計劃都有明確的結果和成功準則
- 端對端會話安全性 - 建立特權會話、用戶會話和授權提升路徑的明確零信任驗證。
- 成功準則:每個會話會先驗證每個用戶帳戶和裝置在允許存取之前是否在足夠層級受到信任。
- 保護及監視身分識別系統,包括目錄、身分識別管理、系統管理員帳戶、同意授與等等
- 成功準則:每一個系統都會在適當層級受到保護,以符合裝載於其中之帳戶的潛在業務影響。
- 防止橫向周遊,以防範本機帳戶密碼、服務帳戶密碼或其他機密資訊被用於橫向周遊
- 成功準則:單一裝置遭受危害後不會立即導致對環境中許多或所有其他裝置的控制
- 快速威脅回應,以限制環境中的敵人存取和時間
- 成功準則:事件回應程式會阻礙敵人在環境中可靠地執行多階段攻擊,因而造成特殊許可權存取中斷。 (通過將涉及特權存取的事件的平均補救時間(MTTR)減少到接近零,並將所有事件的 MTTR 減少到幾分鐘,讓對手沒有時間鎖定特權存取。)