Delen via

Laterale identiteitsverplaatsing elimineren (Secure Future Initiative)

Naam van de pijler: tenants beveiligen en productiesystemen isoleren
Patroonnaam: Laterale beweging van identiteit elimineren

Het elimineren van laterale verplaatsing van identiteit is een kernfocus van de bescherming van systemen en het isoleren van productiesystemen als onderdeel van de Secure Future Initiative (SFI). Deze pijler is gericht op het minimaliseren van de mogelijke impact van beveiligingsincidenten door effectieve tenantisolatie, segmentatie en reductie van het aanvalsoppervlak.

Context en probleem

Laterale identiteitsverplaatsing is een tactiek die bedreigingsactoren gebruiken om misbruik te maken van gecompromitteerde inloggegevens om zich door systemen heen te verplaatsen en rechten te verhogen. In tegenstelling tot brute-force-aanvallen of aanvallen op basis van malware, kan laterale beweging op basis van identiteit worden gecombineerd met legitiem gebruikersgedrag, waardoor het moeilijk is om te detecteren en nog moeilijker te stoppen zonder sterke toegang tot governance.

Recente aanvallen, zoals Midnight Blizzard, hebben aangetoond hoe laterale beweging kan worden ingeschakeld door over het hoofd geziene accounts, externe gasttoegang of scharnierpunten die worden gecreëerd door multitenant Entra-toepassingen. In deze scenario's worden traditionele verdedigingsmechanismen omzeild en kunnen bedreigingsactoren zich over de grenzen van de organisatie verplaatsen.

Eenmaal binnen, aanvallers vaak:

  • Bevoegde accounts targeten om de toegang te escaleren

  • Schakelen tussen tenants of services met behulp van gedeelde inloggegevens.

  • Toepassingsmachtigingen of onjuist geconfigureerde rollen misbruiken

  • Onopgemerkt blijven door normaal tenantgedrag na te bootsen

Solution

Wanneer de volgende inspanningen worden gecombineerd, voorkomen zij dat gecompromitteerde accounts of toepassingen als uitgangspunten dienen voor laterale bewegingen binnen of tussen huurders.

  • Het maken van een tenantlaagstandaard waarmee Microsoft tenants in lagen kan categoriseren en de geldige richting voor het maken van een service-principal definieert.

  • Het verplaatsen van werkstromen en scenario's voor klantondersteuning naar een toegewezen tenant om het risico op laterale verplaatsing te verminderen.

  • Verouderde verificatieprotocollen uitschakelen en in plaats daarvan phishingbestendige MFA afdwingen voor alle gebruikers, inclusief gastaccounts.

  • Toegang segmenteren op apparaatnaleving, locatie en risiconiveau met behulp van beleid voor voorwaardelijke toegang.

  • Minimale bevoegdheden afdwingen met op rollen gebaseerd toegangsbeheer (RBAC) en tijdgebonden roltoewijzing.

  • Vervang op wachtwoorden gebaseerde toepassingsreferenties door beheerde identiteiten en beveiligde sleutelopslag.

  • Alle, maar expliciet goedgekeurde aanvragen voor verificatie van externe gastgebruikers voor gevoelige Entra-toepassingen blokkeren.

Begeleiding

Organisaties kunnen een vergelijkbaar patroon gebruiken met behulp van de volgende praktische procedures:

Gebruiksituatie Aanbevolen actie Hulpbron
Verificatie versterken
  • Phishingbestendige MFA vereisen voor alle gebruikers, inclusief gasten
  • Verouderde verificatie blokkeren en beleid voor voorwaardelijke toegang afdwingen
  • Monitor het dark web op inloggegevenslekken en een goede wachtwoordhygiëne afdwingen voor gebruikers.
 Documentatie voor voorwaardelijke toegang van Microsoft Entra
Bevoegde toegang beheren
  • Microsoft Entra Privileged Identity Management (PIM) gebruiken om Just-In-Time en Just-Enough-toegang af te dwingen
  • Secure Admin Workstations (SAW's) implementeren om beheeractiviteiten te scheiden van dagelijks gebruik
  • Beheerdersrollen beperken tot specifieke apps, groepen of tenants met behulp van beperkte beheereenheden (RMAU)
 Wat is Microsoft Entra Privileged Identity Management?
Segmentomgevingen
  • Afzonderlijke productie- en niet-productieomgevingen op tenant- en apparaatniveau
  • Netwerksegmentatie in Azure toepassen met behulp van VNets, subnetten en netwerkbeveiligingsgroepen (NSG's)
  • Beleid op basis van identiteitscontext afdwingen voor toegang tot resources
 Overzicht van Azure-netwerkbeveiligingsgroepen
Draaipunten beperken
  • Voorkeur geven aan app-registraties met één tenant wanneer cross-tenant-toegang niet nodig is
  • Toegang voor multitenant-toepassingen en service-principals controleren en beperken
  • De groep Entra Alle gebruikers uitschakelen en toegangsbeoordelingen toepassen om gastaccounts op te schonen
Beweging bewaken en detecteren
  • Microsoft Sentinel gebruiken om afwijkende escalatie van bevoegdheden, bestandstoegang of identiteitsgedrag te detecteren
  • Entra ID-risicosignalen en analyse van gebruikersgedrag integreren voor vroege detectie van bedreigingen
  • Waarschuwingen instellen voor externe app-toestemmingen, slapende accounts en plotselinge wijzigingen in bevoegdheden
 Documentatie voor Microsoft Sentinel

Resultaten

Voordelen

  • Gereduceerde draaipaden: Gastgebruikers en multitenant-apps zijn nauw afgestemd en actief bewaakt.

  • Sterker beheer van geprivilegieerde toegang: Beheerdersaccounts werken in veilige contexten (bijvoorbeeld Secure Admin Workstations).

  • Verbeterde detectie: Gedragsafwijkingen en gebeurtenissen met een hoog risico identificeren en bewaken.

  • Beleidgestuurd besturingselement: Hulpprogramma's voor voorwaardelijke toegang en identiteitsbeheer dwingen identiteitsscheiding en activiteitsgrenzen af.

Compromissen

Voor de implementatie is het volgende vereist:

  • Coördinatie tussen meerdere beveiligings- en identiteitsteams om voorwaardelijke toegang en app-besturingselementen toe te passen

  • Afdwingen van strenger verificatiebeleid, wat invloed heeft op gasttoegang en samenwerkingswerkstromen

  • Migratie van verouderde toepassingen die gebruikmaken van wachtwoorden of zwakke geheimen

  • Investering in governancehulpprogramma's voor het automatiseren van beoordelingen en levenscyclusbeheer voor toepassingen, gebruikers en gasttoegang

Belangrijke succesfactoren

Bewaak de volgende KPI's:

  • Vermindering van gastgebruikers met verhoogde toegangsrechten of groepstoegang

  • Aantal actieve beleidsregels voor voorwaardelijke toegang toegepast op toepassingen en beheerdersrollen

  • MFA-dekking voor alle identiteitstypen

  • Frequentie van gebeurtenissen die betrekking hebben op incidenten die betrekking hebben op identiteiten

  • Percentage bevoegde acties afkomstig van beveiligde, gesegmenteerde apparaten

  • Aantal geblokkeerde verificatiepogingen tussen tenants

Samenvatting

Wanneer bedreigingsactoren zich lateraal over het netwerk kunnen verplaatsen, hebben ze toegang tot gevoelige digitale middelen, kunnen ze in gegevens inbreken en activiteiten verstoren. Met behulp van gestolen referenties kunnen ze hun bevoegdheden verhogen en back-endsystemen manipuleren voor schadelijke doeleinden. Dit soort laterale bewegingen is moeilijk te detecteren omdat het lijkt op standaardgedrag van gebruikers.

Begin met het elimineren van de paden voor laterale identiteitsverplaatsing vandaag, en beveilig elk toegangspad, elke toepassing en account tegen stille indringers.

  • Last updated on