Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Fähigkeit, Sicherheitsbedrohungen schnell zu erkennen, darauf zu reagieren und zu beheben, ist in der heutigen sich entwickelnden Bedrohungslandschaft von entscheidender Bedeutung. Als einer der Säulen der Secure Future Initiative ermutigt die Beschleunigung der Reaktion und Behebung Organisationen, die Zeit zwischen der Bedrohungserkennung und -eindämmung zu minimieren.
Diese Säule betont automatisierte, risikobasierte Reaktionen, die manuelle Eingriffe reduzieren und dazu beitragen, die Eskalation von sicherheitsrelevanten Vorfällen zu verhindern. Die folgenden Microsoft Entra Zero Trust-Bewertungsprüfungen stellen sicher, dass Ihre Organisation über die erforderlichen Kontrollen verfügt, um Szenarien mit hohem Risiko schnell zu identifizieren und abzumildern, um sowohl Benutzeridentitäten als auch Workloadidentitäten durch proaktive Sicherheitsrichtlinien zu schützen.
Sicherheitsempfehlungen für Zero Trust
Workload-Identitäten werden mit risikobasierten Richtlinien konfiguriert.
Richten Sie risikobasierte Richtlinien für bedingten Zugriff für Arbeitsauslastungsidentitäten basierend auf der Risikorichtlinie in der Microsoft Entra-ID ein, um sicherzustellen, dass nur vertrauenswürdige und überprüfte Workloads vertrauliche Ressourcen verwenden. Ohne diese Richtlinien können Bedrohungsakteure Arbeitsauslastungsidentitäten mit minimaler Erkennung kompromittieren und weitere Angriffe ausführen. Ohne bedingte Kontrollen zum Erkennen von anomalen Aktivitäten und anderen Risiken gibt es keine Überprüfung auf böswillige Vorgänge wie Tokenfälschung, Zugriff auf vertrauliche Ressourcen und Unterbrechungen von Workloads. Der Mangel an automatisierten Eindämmungsmechanismen erhöht die Verweilzeit und wirkt sich auf die Vertraulichkeit, Integrität und Verfügbarkeit kritischer Dienste aus.
Wartungsaktion Erstellen Sie eine risikobasierte Richtlinie für bedingten Zugriff für Workloadidentitäten.
Einschränken von Anmeldungen mit hohem Risiko
Wenn Anmeldungen mit hohem Risiko nicht ordnungsgemäß über Richtlinien für bedingten Zugriff eingeschränkt sind, machen sich Organisationen selbst Sicherheitsrisiken ausgesetzt. Bedrohungsakteure können diese Lücken für den anfänglichen Zugriff durch kompromittierte Anmeldeinformationen, Angriffe auf Anmeldeinformationen oder anomale Anmeldemuster ausnutzen, die von Microsoft Entra ID Protection als riskante Verhaltensweisen identifiziert werden. Ohne geeignete Einschränkungen können Bedrohungsakteure, die sich erfolgreich in Hochrisikoszenarien authentifizieren, eine Berechtigungseskalation durchführen, indem sie die authentifizierte Sitzung missbrauchen, um auf vertrauliche Ressourcen zuzugreifen, Sicherheitskonfigurationen zu ändern oder Aufklärungsaktivitäten innerhalb der Umgebung durchzuführen. Sobald Bedrohungsakteure den Zugriff über unkontrollierte Anmeldungen mit hohem Risiko einrichten, können sie Persistenz erzielen, indem sie zusätzliche Konten erstellen, Hintertüren installieren oder Authentifizierungsrichtlinien ändern, um den langfristigen Zugriff auf die Ressourcen der Organisation aufrechtzuerhalten. Der uneingeschränkte Zugriff ermöglicht Es Bedrohungsakteuren, laterale Bewegungen über Systeme und Anwendungen hinweg mithilfe der authentifizierten Sitzung durchzuführen, potenziell auf vertrauliche Datenspeicher, administrative Schnittstellen oder kritische Geschäftsanwendungen zuzugreifen. Schließlich erzielen Bedrohungsakteure Auswirkungen durch Datenexfiltration oder kompromittieren geschäftskritische Systeme, während die Plausible Verleugnbarkeit beibehalten wird, indem sie die Tatsache ausnutzen, dass ihre riskante Authentifizierung nicht ordnungsgemäß herausgefordert oder blockiert wurde.
Wartungsaktion
Einschränken des Zugriffs auf Benutzer mit hohem Risiko
Gehen Sie davon aus, dass Benutzer mit hohem Risiko von Bedrohungsakteuren kompromittiert werden. Ohne Untersuchung und Behebung können Bedrohungsakteure Skripts ausführen, bösartige Anwendungen bereitstellen oder API-Aufrufe bearbeiten, um Persistenz herzustellen, basierend auf den Berechtigungen des potenziell kompromittierten Benutzers. Bedrohungsakteure können dann Fehlkonfigurationen oder OAuth-Token missbrauchen, um lateral über Workloads wie Dokumente, SaaS-Anwendungen oder Azure-Ressourcen hinweg zu wechseln. Bedrohungsakteure können Zugriff auf vertrauliche Dateien, Kundendatensätze oder proprietären Code erhalten und sie in externe Repositorys exfiltrieren und gleichzeitig den Diebstahl durch legitime Clouddienste verwalten. Schließlich könnten Bedrohungsakteure Vorgänge stören, indem Sie Konfigurationen ändern, Daten für Lösegeld verschlüsseln oder die gestohlenen Informationen für weitere Angriffe verwenden, was zu finanziellen, Reputations- und regulatorischen Folgen führt.
Organisationen, die Kennwörter verwenden, können sich auf die Kennwortzurücksetzung verlassen, um riskante Benutzer automatisch zu beheben.
Organisationen, die kennwortlose Anmeldeinformationen verwenden, mindern bereits die meisten Risikoereignisse, die auf Benutzerrisikostufen fallen, sodass die Anzahl riskanter Benutzer erheblich niedriger sein sollte. Riskante Benutzer in einer Organisation, die kennwortlose Anmeldeinformationen verwenden, müssen am Zugriff gehindert werden, bis das Benutzerrisiko untersucht und behoben wird.
Wartungsaktion
- Stellen Sie eine Richtlinie für bedingten Zugriff bereit, um eine sichere Kennwortänderung für erhöhtes Benutzerrisiko zu erfordern.
- Verwenden Sie Microsoft Entra ID Protection, um das Risiko weiter zu untersuchen.