Внедрите практику управления доступом и идентификационными данными

Эта статья помогает группам по безопасности и технологиям устанавливать и модернизировать дисциплину архитектуры безопасности, которая обеспечивает четкое комплексное техническое видение безопасности в организации.

Дисциплины безопасности — это группировки связанных работ по обеспечению безопасности, которые помогают организациям последовательно предоставлять результаты безопасности во всем технологическом активе. В модели внедрения безопасности дисциплины помогают обеспечить мост между бизнес-сценариями и технической реализацией, гарантируя, что инвестиции в безопасность преобразуются в реальные измеримые результаты в рамках модели внедрения безопасности.

Почему эта дисциплина?

Доступ и идентификация — это дисциплина безопасности, с которыми большинство людей взаимодействуют в первую очередь, и чаще всего. Каждый пользователь сталкивается с этим каждый раз, когда входит на устройство, получает доступ к приложению, предоставляет общий доступ к файлу, подключается удаленно или использует физические пропуска для входа в здание.

Так как управление доступом находится на пересечении безопасности и производительности, они напрямую влияют как на риск организации, так и на взаимодействие с пользователем.

Дисциплина управления доступом и идентификационными данными:

-

  • Снижает риск, формируя и регулируя пути доступа к бизнес-активам, обеспечивая, чтобы нужные субъекты получали нужный уровень доступа при надлежащих условиях, и предотвращая злоупотребление доступом со стороны злоумышленников.
  • Обеспечивает производительность с согласованным низкоуровневым доступом, который препятствует небезопасным обходным решениям и теневым ИТ-решениям
  • Предоставляет общую стратегию , которую руководители и специалисты по вопросам безопасности могут выровнять и последовательно выполнять по всей организации.

Это стратегический приоритет, так как удостоверения являются наиболее распространенной точкой входа для атак, и поскольку компрометация привилегированного доступа значительно усиливает влияние атаки. Такие методы, как распыление паролей, фишинг и кража токенов, регулярно используются для получения первоначального доступа. Pass-the-hash, pass-the-ticket и аналогичные атаки с компрометацией учётных данных регулярно применяются для горизонтального перемещения по сети, повышения привилегий и получения доступа к ценным ресурсам.

При отсутствии эффективного подхода к управлению доступом и учетными записями организации сталкиваются с повышенным риском:

  • Внешний компромисс: злоумышленники могут быстро взять на себя законные удостоверения пользователя или службы, включая привилегированные учетные записи, и использовать их для обнаружения и использования бизнес-ресурсов.
  • Злоупотребление со стороны инсайдеров и неправомерное использование привилегий: злонамеренные, небрежные или скомпрометированные инсайдеры могут злоупотреблять повышенными привилегиями для доступа к конфиденциальным системам и данным.
  • Снижение производительности и небезопасные обходные пути: чрезмерно ограничивающие или несогласованные средства управления доступом расстраивают пользователей и управляют внедрением теневых ИТ с более слабыми элементами управления и ограниченной видимостью, увеличением риска и радиусом взрыва.

Миссия и результаты

Эффективное направление по управлению доступом и учетными данными основано на двух взаимодополняющих стратегических целях:

  • Безопасный общий доступ . Повышение базовой безопасности всех ресурсов организации путем последовательного применения минимальных гарантий безопасности для повседневного доступа.
  • Безопасный привилегированный доступ — защита доступа, который может оказать существенное влияние на бизнес-ресурсы, включая высокоценные бизнес-ресурсы, ИТ-административные учетные записи, удостоверения рабочей нагрузки и артефакты, предоставляющие широкий или глубокий контроль.

Вместе эти цели гарантируют, что безопасность доступа масштабируется в соответствии с ценностью для бизнеса и уровнем риска, обеспечивая надежную защиту там, где это важнее всего, и не создавая лишних препятствий для повседневной работы.

На следующей схеме показаны две дополнительные цели:

Схема двух стратегических целей для обеспечения безопасности доступа: защита общего доступа и защита привилегированного доступа.

Как применить эту дисциплину

Чтобы эффективно применять дисциплину Access и Identity, сосредоточьтесь на создании согласованного и ориентированного на идентификацию подхода к тому, как доступ управляется в организации:

  1. Определите модель доступа, ориентированную на идентификационные данные и согласованную с бизнес-рисками
    Определите четкий подход к тому, как пользователи, устройства, приложения и рабочие нагрузки получают доступ к ресурсам организации на основе рисков и влияния на бизнес.
  2. Обеспечение согласованной проверки доступа во всех средах
    Применение единого подхода к проверке удостоверений, устройств и условий доступа независимо от расположения, приложения или сети.
  3. Стандартизация элементов управления доступом и политик в организации
    Предоставьте четкие рекомендации, чтобы обеспечить согласованное применение решений по доступу и сокращение фрагментации между системами и средами.
  4. Выравнивание управления доступом с бизнес-сценариями и критически важными ресурсами
    Уделяйте первоочередное внимание средствам контроля доступа, которые защищают наиболее ценные активы и поддерживают ключевые сценарии, такие как безопасная удаленная работа и защита критически важных систем.
  5. Непрерывный мониторинг и уточнение доступа на основе рисков и действий
    Используйте аналитические сведения из шаблонов доступа, сигналов риска и событий безопасности для укрепления элементов управления и уменьшения воздействия с течением времени.

Управление изменением

Традиционные модели управления доступом были сосредоточены на сетевом периметре, выстраивая вокруг доверенной внутренней сети системы идентификации и VPN. Эти модели больше не соответствуют потребностям современных предприятий, работающих в облачных, SaaS, мобильных, ИИ и гибридных средах. Устаревшие подходы часто приводят к следующим результатам:

  • Разрозненные решения на уровнях идентификации, сети и приложений.
  • Слабая или несогласованная защита привилегированного доступа.
  • Плохая интеграция с операциями безопасности и обнаружением.
  • Пробелы, которые злоумышленники обычно эксплуатируют.

На следующей схеме показано это ограничение:

Схема устаревшего управления доступом с изолированными системами и пробелами в безопасности привилегированного доступа.

Современное направление в области управления доступом и цифровыми идентичностями выходит за рамки отдельных технологий. Он фокусируется на приоритетах бизнеса, интеграции и полноте во всех путях доступа, обеспечивая при этом единую последовательную стратегию доступа. Современный контроль доступа должен быть следующим:

  • Безопасность: Явно проверяйте пользователей, устройства и рабочие нагрузки с помощью широкого набора сигналов. Предотвратить несанкционированное повышение привилегий и защитить привилегированный доступ.
  • Согласованный и комплексный: Охватывайте все пути доступа ( человеческий и нечеловеческий) и применяйте гарантии безопасности единообразно, чтобы устранить пробелы и улучшить взаимодействие с пользователем.
  • Интегрированные: Используйте централизованную политику и минимальное количество обработчиков политик для обеспечения согласованного применения элементов управления в масштабе, избегая смещения конфигурации.
  • Ориентация на идентификационные данные: отдавайте приоритет средствам контроля на основе идентификационных данных, которые обеспечивают более полный контекст, чем одни лишь сетевые сигналы. Используйте сетевые элементы управления в качестве дополнительного уровня, а не границы основного доверия.

Эта схема из модели корпоративного доступа иллюстрирует все различные типы путей доступа, которые организация должна обеспечить безопасность в нескольких рабочих нагрузках, нескольких облаках, различных уровнях конфиденциальности бизнеса и доступе как пользователям, так и устройствам.

Схема модели корпоративного доступа с безопасными, согласованными и интегрированными путями доступа для пользователей, устройств и рабочих нагрузок.

Роли по дисциплинам и соавторы

Планирование и реализация направления «Доступ и удостоверения» обычно находятся в ведении команд, отвечающих за идентификацию, доступ и сетевую инфраструктуру. В крупных организациях обязанности распределяются между формальными ролями и процессами. В небольших организациях роли могут объединяться и обрабатываться более неформальным образом. Во всех случаях рекомендуется документировать стратегию доступа и идентификации по мере развития.

К основным ролям относятся:

  • Архитекторы доступа: определяют комплексную стратегию и архитектуру доступа на всех уровнях — управления идентификацией, сети, приложений и платформы.
  • Инженеры и операторы систем управления идентификацией и сетевой инфраструктуры: внедряют, эксплуатируют и поддерживают системы идентификации, средства контроля доступа и вспомогательную инфраструктуру.

Архитекторы должны понимать все технологии доступа целостно. Инженеры обычно обладают глубокой экспертизой в системах управления идентификацией и/или сетевых системах.

К ключевым внутренним участникам совместной работы относятся:

  • Архитекторы по безопасности и корпоративные архитекторы, чтобы согласовать средства контроля доступа с общей архитектурой и приоритетами безопасности
  • Инженерные и операционные группы, которые реализуют требования к доступу на платформах и рабочих нагрузках**
  • Руководители безопасности (CISO и делегаты), которые обеспечивают направление и надзор
  • Разработчики, которые разрабатывают и создают приложения с помощью современных шаблонов удостоверений и доступа

Ни одна роль не контролирует доступ самостоятельно. Успешный контроль доступа зависит от общей ответственности и координации между командами.

Компоненты стратегии

Эффективная стратегия доступа и идентификации обеспечивает полный жизненный цикл авторизованных действий. Концептуально это отражает структуру предложения:

  • Субъект идентификации — кто или что запрашивает доступ.
  • Глагол «access» — действие, которое выполняется.
  • Объект доступа — ресурс, к которому осуществляется доступ.

Субъект идентификации (кто)

Безопасность доступа начинается с того, кто или что запрашивает доступ:

  • Все типы удостоверений: защищённые учётные записи пользователей, идентификаторы рабочих нагрузок, ИИ-агенты, приложения, субъекты-службы, сертификаты и криптографические ключи.
    • Полный жизненный цикл учетных записей1: Управление учетными записями на всех этапах — от отсутствия доступа и создания учетной записи через изменения и повышение привилегий до вывода из эксплуатации и возврата к отсутствию доступа, когда он больше не требуется.
  • Источники удостоверений: определите, какие внутренние и внешние поставщики удостоверений являются доверенными, как управляются удостоверениями и как применяются элементы управления жизненным циклом в этих источниках.

Команда access (how)

Обеспечение соблюдения правил доступа должно охватывать все ресурсы и пути доступа на всех этапах жизненного цикла доступа.

  • Комплексное покрытие: применение политики для облачных, локальных, SaaS, ИИ, OT/IoT ресурсов, через интерактивный доступ, API и обмен данными между компьютерами.
  • Промежуточные системы: безопасные устройства, каталоги, шлюзы, VPN и прокси-серверы доступа, которые опосредуют доступ.
  • Согласованная политика: равномерно применять политику между общим доступом, привилегированным доступом, сетевым доступом, внешним доступом и моделями авторизации на уровне рабочей нагрузки.
  • Адаптивный доступ: непрерывно оценивать на основе сигналов в режиме реального времени, являются ли средства идентификации известными, доверенными и имеющими разрешение на доступ, а также завершать сеансы, если уровень риска изменяется.
  • Надежная проверка подлинности. Принудительное применение фишингозащищенной проверки подлинности и механизмов, которые устраняют атаки на основе паролей.
  • Современные механизмы доступа: обеспечьте реализацию принципа минимальных привилегий на уровне приложений и замените устаревшие технологии периметровой защиты подходами, ориентированными на идентификацию, такими как Security Service Edge (SSE).

объект Access (что)

Политика доступа должна отражать бизнес-ценность, конфиденциальность и требования к управлению:

  • Приведите политику в соответствие с бизнесом: классифицируйте активы и настройте средства контроля доступа в соответствии с их ценностью и уровнем риска.
  • Управление связями управления. Стратегии доступа должны учитывать транзитивные связи управления в графе безопасности. Если A контролирует B, а B контролирует C, то A фактически контролирует C, что значительно увеличивает масштаб потенциального ущерба.
  • Сократите технический долг: откажитесь от небезопасных устаревших протоколов и криптографических алгоритмов (например, LM/NTLM), которые подрывают гарантии контроля доступа. Это часто требует скоординированных действий в области управления идентификацией, конечных устройств и инфраструктуры.

Выравнивание с другими дисциплинами

Дисциплина "Доступ и удостоверения" не работает независимо. Он тесно соответствует другим дисциплинам безопасности, в том числе:

  • Стратегия, интеграция и управление. Решения по управлению доступом определяют бизнес-риски и приоритизацию.
  • Архитектура безопасности. Элементы управления доступом применяют архитектурные решения.
  • Операции по обеспечению безопасности: телеметрия удостоверений личности и сигналы доступа служат источником данных для обнаружения, расследования и реагирования.
  • Безопасность конечных точек: состояние устройства непосредственно влияет на доверие доступа.
  • Безопасность данных. Политики доступа отражают конфиденциальность и управление данными.

Это выравнивание гарантирует, что решения о доступе поддерживают комплексные результаты безопасности, а не фрагментированные элементы управления.

Соответствие технологическим направлениям

Дисциплина управления доступом и удостоверениями охватывает все технологические направления и служит объединяющим уровнем контроля для всех них, как показано на этой схеме.

Схема технологических принципов, показывающих, как доступ и защита идентификации охватывают удостоверения, конечные точки и инфраструктуру.

Дисциплина выравнивается следующим образом:

  • Удостоверения: проверка подлинности, авторизация, управление жизненным циклом и элементы управления привилегиями определяют, кто может получить доступ к ресурсам и в каких условиях.
  • Конечные устройства: Состояние безопасности конечных устройств и защита учетных данных влияют на решения о доверии при предоставлении доступа. Скомпрометированные устройства подрывают средства контроля учётных данных.
  • Инфраструктура: системы удостоверений и административные интерфейсы выполняются в инфраструктуре и требуют строгой защиты привилегированного доступа.
  • Приложения. Приложения должны использовать современные шаблоны удостоверений и применять наименее привилегированный доступ для пользователей, API и конвейеров.
  • Данные: элементы управления доступом на основе удостоверений управляют тем, кто может читать, изменять или эксфильтровать конфиденциальные данные.
  • Сеть: средства сетевого контроля дополняют доступ, ориентированный на идентификационные данные, снижая риск традиционных атак и поддерживая архитектурные модели Security Service Edge (SSE).
  • ИИ: агенты и службы ИИ представляют новые типы удостоверений, требующие управления жизненным циклом, наименьших привилегий и мониторинга.

Дальнейшие действия

  • Microsoft Unified предоставляет эталонные архитектуры кибербезопасности, рекомендации по модели "Никому не доверяй" и практические семинары под руководством экспертов, помогая организациям в создании комплексной архитектуры безопасности. Подробнее.

    Схема объединённых семинаров Microsoft по внедрению технологий управления доступом и удостоверениями, показывающая ключевые этапы и виды деятельности.

  • Просмотрите другие дисциплины безопасности.