Critérios de sucesso para a estratégia de acesso privilegiado

Este documento descreve os critérios de sucesso para uma estratégia de acesso privilegiado. Esta seção descreve perspetivas estratégicas de sucesso para uma estratégia de acesso privilegiado. Para um roteiro sobre como adotar essa estratégia, consulte o plano de modernização rápida (RaMP). Para obter diretrizes de implementação, consulte Implantação de acesso privilegiado

A implementação de uma estratégia holística usando abordagens Zero Trust cria uma espécie de "selo" sobre o controle de acesso para acesso privilegiado que o torna resistente a invasores. Essa estratégia é realizada limitando os caminhos ao acesso privilegiado a apenas alguns poucos e, em seguida, protegendo e monitorando de perto esses caminhos autorizados.

End state goal with limited entry paths for attackers

Uma estratégia bem-sucedida deve abordar todos os pontos que os invasores podem usar para intercetar fluxos de trabalho de acesso privilegiado, incluindo quatro iniciativas distintas:

  • Elementos do fluxo de trabalho de acesso privilegiado do fluxo de trabalho de acesso privilegiado, incluindo dispositivos subjacentes, sistemas operacionais, aplicativos e identidades
  • Sistemas de identidade que hospedam as contas privilegiadas e os grupos, além de outros artefatos que conferem privilégio às contas
  • Fluxo de trabalho de acesso do usuário e caminhos de elevação autorizados que podem levar ao acesso privilegiado
  • Interfaces de aplicativo em que a política de acesso de confiança zero é imposta e o RBAC (controle de acesso baseado em função) é configurado para conceder privilégios

Nota

Uma estratégia de segurança completa também inclui proteções de ativos que estão além do escopo do controle de acesso, como backups de dados e proteções contra ataques ao próprio aplicativo, ao sistema operacional e ao hardware subjacentes, às contas de serviço usadas pelo aplicativo ou serviço e aos dados em repouso ou em trânsito. Para obter mais informações sobre como modernizar uma estratégia de segurança para a nuvem, consulte Definir uma estratégia de segurança.

Um ataque consiste em atacantes humanos aproveitando a automação e scripts para atacar uma organização é composta por humanos, os processos que seguem e a tecnologia que usam. Devido a essa complexidade de atacantes e defensores, a estratégia deve ser multifacetada para proteger contra todas as pessoas, processos e formas tecnológicas que as garantias de segurança podem ser inadvertidamente prejudicadas.

Para garantir um sucesso sustentável a longo prazo, é necessário cumprir os seguintes critérios:

Priorização implacável

A priorização implacável é a prática de tomar as ações mais eficazes com o tempo mais rápido para valorizar primeiro, mesmo que esses esforços não se encaixem em planos, perceções e hábitos pré-existentes. Esta estratégia estabelece o conjunto de passos que foram aprendidos no cadinho de fogo de muitos grandes incidentes de cibersegurança. Os aprendizados desses incidentes formam as medidas que ajudamos as organizações a tomar para garantir que essas crises não voltem a acontecer.

Embora seja sempre tentador para os profissionais de segurança tentar otimizar os controles existentes familiares, como segurança de rede e firewalls para ataques mais recentes, esse caminho leva consistentemente ao fracasso. A equipe de Resposta a Incidentes da Microsoft) tem respondido a ataques de acesso privilegiado por quase uma década e consistentemente vê essas abordagens de segurança clássicas falharem em detetar ou parar esses ataques. Embora a segurança de rede forneça higiene de segurança básica necessária e importante, é fundamental quebrar esses hábitos e se concentrar em mitigações que impedirão ou bloquearão ataques do mundo real.

Priorize impiedosamente os controles de segurança recomendados nesta estratégia, mesmo que ela desafie as suposições existentes e force as pessoas a aprender novas habilidades.

Equilibre segurança e produtividade

Como acontece com todos os elementos da estratégia de segurança, o acesso privilegiado deve garantir que as metas de produtividade e segurança sejam atingidas.

Equilibrar a segurança evita os extremos que criam risco para a organização:

  • Evitar a segurança excessivamente rigorosa que faz com que os usuários saiam das políticas, caminhos e sistemas seguros.
  • Evitar uma segurança fraca que prejudique a produtividade, permitindo que os adversários comprometam facilmente a organização.

Para obter mais informações sobre a estratégia de segurança, consulte Definindo uma estratégia de segurança.

Para minimizar o impacto negativo dos controles de segurança nos negócios, você deve priorizar controles de segurança invisíveis que melhorem os fluxos de trabalho do usuário ou, pelo menos, não impeçam ou alterem os fluxos de trabalho do usuário. Embora funções sensíveis à segurança possam precisar de medidas de segurança visíveis que alterem seus fluxos de trabalho diários para fornecer garantias de segurança, essa implementação deve ser feita cuidadosamente para limitar o impacto e o escopo da usabilidade tanto quanto possível.

Esta estratégia segue esta orientação, definindo três perfis (detalhados mais adiante em Keep it Simple - Personas and Profiles)

Productivity and security ramped up by privilege levels

Fortes parcerias dentro da organização

A segurança deve trabalhar para construir parcerias dentro da organização para ser bem-sucedida. Além da verdade intemporal de que "nenhum de nós é tão inteligente quanto todos nós", a natureza da segurança é ser uma função de apoio para proteger os recursos de outra pessoa. A segurança não é responsável pelos recursos que ajudam a proteger (rentabilidade, tempo de atividade, desempenho, etc.), a segurança é uma função de suporte que fornece aconselhamento especializado e serviços para ajudar a proteger a propriedade intelectual e a funcionalidade comercial que é importante para a organização.

A segurança deve funcionar sempre como um parceiro em apoio aos objetivos de negócios e missões. Embora a segurança não deva se furtar a dar conselhos diretos, como recomendar contra a aceitação de um alto risco, a segurança também deve sempre enquadrar esse conselho em termos do risco do negócio em relação a outros riscos e oportunidades gerenciados pelos proprietários dos recursos.

Embora algumas partes da segurança possam ser planejadas e executadas com sucesso, principalmente dentro da organização de segurança, muitas delas, como a proteção do acesso privilegiado, exigem trabalhar em estreita colaboração com organizações de TI e de negócios para entender quais funções proteger e ajudar a atualizar e redesenhar fluxos de trabalho para garantir que eles sejam seguros e permitam que as pessoas façam seus trabalhos. Para obter mais informações sobre essa ideia, consulte a seção Transformações, mentalidades e expectativas no artigo de orientação de estratégia de segurança.

Interrompa o retorno do investimento do atacante

Mantenha o foco no pragmatismo, garantindo que as medidas defensivas possam perturbar significativamente a proposta de valor do atacante de atacá-lo, aumentando o custo e o atrito na capacidade do atacante de atacá-lo com sucesso. Avaliar como as medidas defensivas afetariam o custo de ataque do adversário fornece um lembrete saudável para se concentrar na perspetiva dos atacantes, bem como um mecanismo estruturado para comparar a eficácia de diferentes opções de mitigação.

Seu objetivo deve ser aumentar o custo dos invasores enquanto minimiza seu próprio nível de investimento em segurança:

Increase attack cost with minimal defense cost

Interrompa o retorno sobre o investimento (ROI) do invasor aumentando o custo do ataque nos elementos da sessão de acesso privilegiado. Este conceito é descrito mais detalhadamente no artigo Critérios de sucesso para a estratégia de acesso privilegiado.

Importante

Uma estratégia de acesso privilegiado deve ser abrangente e fornecer defesa em profundidade, mas deve evitar a falácia da despesa em profundidade, onde os defensores simplesmente empilham controles do mesmo tipo (familiares) (geralmente firewalls/filtros de rede) além do ponto em que adicionam qualquer valor de segurança significativo.

Para obter mais informações sobre o ROI do invasor, consulte o vídeo curto e a discussão aprofundada Interrompendo o retorno do investimento do invasor.

Princípio de origem limpa

O princípio de origem limpa requer que todas as dependências de segurança sejam fidedignas, tal como o objeto que está a ser protegido.

Clean source principle

Qualquer assunto no controlo de um objeto é uma dependência de segurança desse objeto. Se um adversário pode controlar qualquer coisa no controle de um objeto de destino, ele pode controlar esse objeto de destino. Devido a essa ameaça, você deve garantir que as garantias para todas as dependências de segurança estejam no nível de segurança desejado ou acima do próprio objeto. Este princípio aplica-se a muitos tipos de relações de controlo:

If an attacker controls any part of the target they control the target

Embora simples em princípio, este conceito torna-se complexo facilmente no mundo real, já que a maioria das empresas cresceu organicamente ao longo de décadas e tem muitos milhares de relações de controle recursivamente que se baseiam umas nas outras, voltam umas às outras ou ambas. Essa rede de relações de controle fornece muitos caminhos de acesso que um invasor pode descobrir e navegar durante um ataque, geralmente com ferramentas automatizadas.

A estratégia de acesso privilegiado recomendada pela Microsoft é efetivamente um plano para desembaraçar as partes mais importantes desse nó primeiro usando uma abordagem Zero Trust, validando explicitamente que a origem está limpa antes de permitir o acesso ao destino.

Em todos os casos, o nível de confiança da origem deve ser igual ou superior ao destino.

  • A única exceção notável a este princípio é permitir o uso de dispositivos pessoais não gerenciados e dispositivos de parceiros para cenários corporativos. Essa exceção permite a colaboração e a flexibilidade corporativas e pode ser atenuada para um nível aceitável para a maioria das organizações devido ao baixo valor relativo dos ativos da empresa. Para obter mais contexto sobre a segurança BYOD, consulte a postagem do blog Como uma política de BYOD pode reduzir o risco de segurança no setor público.
  • Esta mesma exceção não pode ser estendida a níveis de segurança especializados e privilegiados, no entanto, devido à sensibilidade de segurança desses ativos. Alguns fornecedores de PIM/PAM podem defender que suas soluções podem reduzir o risco de dispositivos de nível inferior, mas discordamos respeitosamente dessas afirmações com base em nossa experiência na investigação de incidentes. Os proprietários de ativos em sua organização podem optar por aceitar o risco de usar dispositivos de nível de segurança empresarial para acessar recursos especializados ou privilegiados, mas a Microsoft não recomenda essa configuração. Para obter mais informações, consulte as diretrizes intermediárias para Gerenciamento de Acesso Privilegiado / Gerenciamento de Identidade Privilegiada.

A estratégia de acesso privilegiado cumpre esse princípio principalmente aplicando a política de Confiança Zero com Acesso Condicional em sessões de entrada em interfaces e intermediários. O princípio de fonte limpa começa com a obtenção de um novo dispositivo de um OEM criado de acordo com suas especificações de segurança, incluindo versão do sistema operacional, configuração de linha de base de segurança e outros requisitos, como o uso do Windows Autopilot para implantação.

Opcionalmente, o princípio de fonte limpa pode se estender a uma revisão altamente rigorosa de cada componente da cadeia de suprimentos, incluindo mídia de instalação para sistemas operacionais e aplicativos. Embora esse princípio seja apropriado para organizações que enfrentam invasores altamente sofisticados, ele deve ser uma prioridade menor do que os outros controles nesta orientação.

Próximos passos