Begränsa användningen av systemadministrativa behörigheter 

Bloggpost #3 ⎸ Begränsa användningen av systemadministrativa behörigheter 
Författare: Johan Nylén, säkerhetsspecialist

I föregående bloggpost så berörde vi flertalet grundstenar inom Identity and Access Management (IAM) så som kontons livscykel och dess tilldelade behörigheter samt åtkomstkontroll, helst i form av stark autentisering eller flerfaktorsinloggning. När hotaktörer får initial åtkomst i våra it-miljöer, till exempel genom ett kapat konto eller utnyttjad sårbarhet, så handlar det om, förutom att göra rekognoscering, att på olika tillvägagångssätt komma över så höga behörigheter som möjligt. Ju högre behörighet, desto enklare blir det för en hotaktör att förflytta sig runt i it-miljön, skaffa sig fotfäste, inaktivera olika skyddsmekanismer för att undvika upptäckt, exfiltrera data och slutligen oftast kryptera delar eller hela it-miljön.

Principen om lägsta behörighet 

Ett bra fundament att försöka efterfölja är principen om lägsta behörighet vilket i grova drag betyder att ett konto ska ha just så pass höga behörigheter för att kunna uppfylla sitt syfte. Denna princip gäller för både vanliga användarkonton, olika typer av konton med systemadministrativa behörigheter och systemkonton.

Vanliga användarkonton ska i regel ha väldigt begränsade behörigheter och endast användas för att till exempel logga in på vanliga arbetsstationer, epost, intranät eller verksamhetsapplikationer. För alla systemadministrativa uppgifter i exempelvis it-infrastrukturen eller enskilda verksamhetsapplikationer ska separata administratörskonton användas. Ju mer noggrann man är i tilldelning av systemadministrativa behörigheter och följer principen om lägsta behörighet, desto mindre påverkan har det om ett sådant konto skulle bli komprometterat.

En tumregel för konton med systemadministrativa behörigheter är att ju högre behörighet ett konto har, desto mer sällan ska det användas. Systemkonton kan vara lite snårigt då detta ibland inte är helt tydligt dokumenterat. Det här är dock något som hotaktörerna också är medvetna om så det gäller att vara både hård och ifrågasättande om det visare sig att systemkonton kräver höga behörigheter.

Tieringmodell- moderniserad och uppdaterad för molnet

Majoriteten av våra kunder har kvar Active Directory som primär katalogtjänst och vi rekommenderar starkt att man ser över och implementerar den tieringmodell som Microsoft har tagit fram för just Active Directory, som numera dessutom är moderniserad och uppdaterad för att inkludera både molnet och olika typer av användare. Enheter som löper högre risk att bli komprometterade som exempelvis arbetsstationer, separeras åtkomstmässigt från servrar, applikationer och infrastruktur av högre värde i olika tiers (nivåer/zoner). Det gör att en hotaktör som kommer över ett konto endast ser och når resurser inom samma tier och endast kan förflytta sig horisontellt. Därmed begränsas risken att hela it-miljön blir komprometterad. 

En annan konkret rekommendation är att övervaka förändringar i grupper som ger ett konto höga behörigheter eller som betraktas ha ett högt värde som exempelvis Domain Admins. På så sätt kan man begränsa både handhavandefel och en hotaktörs eventuella försök till persistens. 

Det finns en uppsjö av olika verktyg och lösningar för att underlätta både användning, åtkomst och monitorering för konton med systemadministrativa behörigheter. Men utan att ha implementerat IAM-områdets grunder, som exempelvis livscykelhantering, så finns det stor risk att dessa blir bristfälliga och inte når upp till sin fulla potential. 

Läs mer om hur Atea kan stötta er organisation med just den här rekommenderade åtgärden på sidan CIS - Ramverk för cybersäkerhet under kontroll 7.

Vill du veta hur ni säkerställer god informationssäkerhet och hur just din verksamhet bör tänka säkert? Tveka inte att höra av dig till Johan Nylén, säkerhetsspecialist. 

 Så länge..

...Tänk säkert och skydda era tillgångar

Kontakta gärna mig

Johan Nylén, Säkerhetsspecialist

Skicka e-post