Dela via

Eliminera identitetens laterala förflyttning (Secure Future Initiative)

Stödnamn: Skydda klientorganisationer och isolera produktionssystem
Mönsternamn: Eliminera identitetens laterala förflyttning

Eliminera lateral förflyttning av identiteter är ett huvudfokus för pelaren att skydda klientorganisationer och isolera produktionssystem inom Secure Future Initiative (SFI). Den här pelaren fokuserar på att minimera den potentiella effekten av säkerhetsincidenter genom stark klientisolering, segmentering och minskning av attackytan.

Kontext och problem

Laterala rörelser inom identitetshantering är en taktik som hotaktörer använder för att utnyttja komprometterade autentiseringsuppgifter för att förflytta sig mellan system och höja privilegier. Till skillnad från råstyrkeattacker eller sårbarheter baserade på skadlig kod kan identitetsbaserad lateral förflyttning blandas med legitimt användarbeteende, vilket gör det svårt att identifiera och ännu svårare att stoppa utan stark åtkomst till styrning.

De senaste attackerna, till exempel Midnight Blizzard, visade hur lateral förflyttning kan aktiveras via förbisedda konton, extern gäståtkomst eller pivotpunkter som skapats av entra-program med flera klienter. Dessa scenarier kringgår traditionella försvar och gör det möjligt för hotaktörer att röra sig över organisationens gränser.

Väl inne är angripare ofta:

  • Rikta in dig på privilegierade konton för att öka åtkomsten

  • Flytta mellan klienter eller tjänster med delade autentiseringsuppgifter

  • Missbruka programbehörigheter eller felkonfigurerade roller

  • Förbli oidentifierad genom att efterlikna normalt klientbeteende

Lösning

Tillsammans förhindrar följande ansträngningar att komprometterade konton eller applikationer blir språngbrädor för sidoförflyttning inom eller mellan klientorganisationer.

  • Skapa en standard för klientskiktning som gör att Microsoft kan kategorisera klienter i lager och definiera den giltiga riktningen för att skapa tjänsteprinciper.

  • Flytta kundsupportarbetsflöden och scenarier till en dedikerad klientorganisation för att minska risken för lateral förflyttning.

  • Flytta från äldre autentiseringsprotokoll och i stället framtvinga nätfiskeresistent MFA för alla användare, inklusive gästkonton.

  • Segmentering av åtkomst efter enhetsefterlevnad, plats och risknivå med hjälp av principer för villkorlig åtkomst.

  • Framtvinga minsta behörighet med rollbaserade åtkomstkontroller (RBAC) och tidsbunden rolltilldelning.

  • Ersätta lösenordsbaserade programautentiseringsuppgifter med hanterade identiteter och säker nyckellagring.

  • Blockerar alla men uttryckligen godkända begäranden om extern gästanvändares autentisering till känsliga Entra-program.

Vägledning

Organisationer kan använda ett liknande mönster med hjälp av följande användbara metoder:

Användningsfall Rekommenderad åtgärd Resurs
Stärka autentisering
  • Kräv nätfiskeresistent MFA för alla användare, inklusive gäster
  • Blockera äldre autentisering och tillämpa principer för villkorsstyrd åtkomst
  • Övervaka dark web för läckor av autentiseringsuppgifter och upprätthåll god lösenordshygien för användare.
 Dokumentation om villkorsstyrd åtkomst i Microsoft Entra
Kontrollera privilegierad åtkomst
  • Använd Microsoft Entra Privileged Identity Management (PIM) för att framtvinga just-in-time och just-enough-åtkomst
  • Implementera SAWs (Secure Admin Workstations) för att separera administratörernas aktiviteter från daglig användning
  • Begränsa administratörsroller till specifika appar, grupper eller klienter med hjälp av RMAU (Restricted Management Administrative Units)
 Vad är Microsoft Entra Privileged Identity Management?
Segmentmiljöer
  • Avgränsa produktions- och icke-produktionsmiljöer på klient- och enhetsnivå
  • Tillämpa nätverkssegmentering i Azure med hjälp av virtuella nätverk, undernät och nätverkssäkerhetsgrupper (NSG:er)
  • Framtvinga identitetskontextbaserade principer för resursåtkomst
 Översikt över Azure-nätverkssäkerhetsgrupper
Minimera pivotpunkter
  • Föredra appregistreringar med enskilda tenanter när åtkomst mellan flera tenanter är onödig
  • Granska och begränsa åtkomsten för program med flera klienter och tjänstens huvudnamn
  • Inaktivera gruppen Alla användare i Entra och använd Åtkomstgranskningar för att rensa gästkonton
Övervaka och identifiera rörelse
  • Använda Microsoft Sentinel för att identifiera avvikande behörighetseskalering, filåtkomst eller identitetsbeteende
  • Integrera Entra ID-risksignaler och analys av användarbeteende för tidig hotidentifiering
  • Konfigurera varningar för externa appmedgivanden, vilande konton och plötsliga privilegieändringar
 Dokumentation om Microsoft Sentinel

Utfall

Fördelar

  • Minskade åtkomstvägar: Gästanvändare och appar med flera hyresgäster är noggrant begränsade och övervakas aktivt.

  • Starkare hantering av privilegierad åtkomst: Administratörskonton fungerar i säkra kontexter (t.ex. säkra administratörsarbetsstationer).

  • Förbättrad identifiering: Identifiera och övervaka beteendeavvikelser och högriskhändelser.

  • Policy-baserad kontroll: Verktyg för villkorsstyrd åtkomst och identitetsstyrning upprätthåller identitetsavgränsning och aktivitetsgränser.

Kompromisser

Implementering kräver:

  • Samordning mellan flera säkerhets- och identitetsteam för att tillämpa kontroller för villkorsstyrd åtkomst och app

  • Tillämpning av strängare autentiseringsprinciper, vilket påverkade arbetsflöden för gäståtkomst och samarbete

  • Migrering från äldre program som använder lösenord eller svaga hemligheter

  • Investeringar i styrningsverktyg för att automatisera granskningar och livscykelhantering för program, användare och gäståtkomst

Viktiga framgångsfaktorer

Övervaka följande KPI:er:

  • Minskning av gästanvändare med förhöjd åtkomst eller gruppåtkomst

  • Antal aktiva principer för villkorlig åtkomst som tillämpas på program och administratörsroller

  • MFA-täckning för alla identitetstyper

  • Frekvens för identitetsrelaterade incidenthanteringshändelser

  • Procentandel privilegierade åtgärder som kommer från säkra, segmenterade enheter

  • Blockerade volymer av autentiseringsförsök mellan klientorganisationer

Sammanfattning

När hotaktörer kan röra sig i sidled i nätverket kan de komma åt känsliga digitala tillgångar, bryta mot data och störa åtgärder. Med hjälp av stulna autentiseringsuppgifter kan de höja sina privilegier och manipulera serverdelssystem i skadliga syften. Den här typen av lateral förflyttning är svår att identifiera eftersom den ser ut som standardanvändarbeteende.

Börja eliminera vägarna för identitets lateral förflyttning idag – och skydda varje åtkomstväg, program och konto mot tysta intrång.

  • Last updated on