Acesso privilegiado: contas

A segurança da conta é um componente crítico para proteger o acesso privilegiado. A segurança de ponta a ponta da Confiança Zero para sessões requer um forte estabelecimento de que a conta que está sendo usada na sessão esteja, na verdade, sob o controle do proprietário humano e não de um invasor representando-as.

A segurança de conta forte começa com o provisionamento seguro e o gerenciamento completo do ciclo de vida por meio do desprovisionamento, e cada sessão deve estabelecer fortes garantias de que a conta não está comprometida no momento com base em todos os dados disponíveis, incluindo padrões de comportamento histórico, inteligência contra ameaças disponíveis e uso na sessão atual.

Segurança da conta

Esta orientação define três níveis de segurança para a segurança da conta que você pode usar para ativos com níveis de confidencialidade diferentes:

Esses níveis estabelecem perfis de segurança claros e implementáveis apropriados para cada nível de confidencialidade ao qual você pode atribuir funções e escalar verticalmente rapidamente. Todos esses níveis de segurança de conta são projetados para manter ou melhorar a produtividade das pessoas limitando ou eliminando a interrupção para fluxos de trabalho de usuário e administrador.

Planejando a segurança da conta

Essa orientação descreve os controles técnicos necessários para atender a cada nível. As diretrizes de implementação estão no roteiro de acesso privilegiado.

Controles de segurança da conta

A obtenção de segurança para as interfaces requer uma combinação de controles técnicos que protegem as contas e fornecem sinais a serem usados em uma decisão de política de Confiança Zero (consulte Proteção de Interfaces para referência de configuração de política).

Os controles usados nesses perfis incluem:

• Autenticação multifator – fornecendo diversas fontes de prova de que o (projetado para ser o mais fácil possível para os usuários, mas difícil para um adversário imitar).
• Risco de conta – Monitoramento de ameaças e anomalias – usando a UEBA e a inteligência contra ameaças para identificar cenários arriscados
• Monitoramento personalizado – Para contas mais confidenciais, definir explicitamente comportamentos/padrões permitidos/aceitos permite a detecção precoce de atividades anômalas. Esse controle não é adequado para contas de uso geral na empresa, pois essas contas precisam de flexibilidade para suas funções.

A combinação de controles também permite que você melhore a segurança e a usabilidade - por exemplo, um usuário que permanece dentro de seu padrão normal (usando o mesmo dispositivo no mesmo local dia após dia) não precisa ser solicitado para fora da MFA sempre que se autenticar.

Contas de segurança da empresa

Os controles de segurança para contas corporativas foram projetados para criar uma linha de base segura para todos os usuários e fornecer uma base segura para segurança especializada e privilegiada:

• Impor MFA (autenticação multifator forte) – verifique se o usuário está autenticado com MFA forte fornecido por um sistema de identidade gerenciado pela empresa (detalhado no diagrama abaixo). Para obter mais informações sobre a autenticação multifator, consulte a prática recomendada de segurança do Azure 6.

  Observação

  Embora sua organização possa optar por usar uma forma mais fraca existente de MFA durante um período de transição, os invasores estão cada vez mais fugindo das proteções de MFA mais fracas, portanto, todo o novo investimento em MFA deve estar nas formas mais fortes.

• Impor o risco de conta/sessão – verifique se a conta não é capaz de autenticar, a menos que esteja em um nível de risco baixo (ou médio?). Consulte Os Níveis de Segurança da Interface para obter detalhes sobre a segurança condicional da conta corporativa.

• Monitorar e responder a alertas – as operações de segurança devem integrar alertas de segurança da conta e obter treinamento suficiente sobre como esses protocolos e sistemas funcionam para garantir que eles sejam capazes de compreender rapidamente o que significa um alerta e reagir adequadamente.

  • Habilitar a Proteção contra IDs do Microsoft Entra
  • Investigar o risco da Proteção contra IDs do Microsoft Entra
  • Solucionar problemas/investigar falhas de entrada de acesso condicional

O diagrama a seguir fornece uma comparação com diferentes formas de MFA e autenticação sem senha. Cada opção na caixa Best é alta segurança e alta usabilidade. Cada um tem requisitos de hardware diferentes, portanto, talvez você queira misturar e corresponder aos quais se aplicam a diferentes funções ou indivíduos. Todas as soluções sem senha da Microsoft são reconhecidas pelo Acesso Condicional como autenticação multifator porque exigem a combinação de algo que você tem com a biometria, algo que você sabe ou ambos.

Contas especializadas

As contas especializadas fornecem um nível de proteção mais alto adequado para usuários confidenciais. Devido ao maior impacto nos negócios, as contas especializadas garantem monitoramento e priorização adicionais durante alertas de segurança, investigações de incidentes e busca de ameaças.

A segurança especializada baseia-se no MFA forte na segurança corporativa identificando as contas mais confidenciais e garantindo que os alertas e os processos de resposta sejam priorizados:

1. Identificar contas confidenciais – consulte as diretrizes de nível de segurança especializadas para identificar essas contas.
2. Marcar contas especializadas – Verifique se cada conta confidencial está marcada
   1. Configurar watchlists do Microsoft Sentinel para identificar essas contas confidenciais
   2. Configurar a proteção de conta prioritária no Microsoft Defender para Office 365 e designar contas especializadas e privilegiadas como contas prioritárias –
3. Atualizar processos de operações de segurança para dar a esses alertas a prioridade mais alta
4. Configurar Governança – Atualizar ou criar processo de governança para garantir que
   1. Todas as novas funções a serem avaliadas para classificações especializadas ou privilegiadas à medida que são criadas ou alteradas
   2. Todas as novas contas são marcadas à medida que são criadas
   3. Verificações contínuas ou periódicas fora da banda para garantir que as funções e contas não foram perdidas pelos processos normais de governança.

Contas com privilégios

As contas privilegiadas têm o nível mais alto de proteção porque representam um impacto significativo ou material potencial nas operações da organização, se comprometidas.

As contas privilegiadas sempre incluem administradores de TI com acesso à maioria ou a todos os sistemas empresariais, incluindo a maioria ou todos os sistemas comercialmente críticos. Outras contas com alto impacto nos negócios também podem garantir esse nível adicional de proteção. Para obter mais informações sobre quais funções e contas devem ser protegidas em que nível, consulte o artigo Privileged Security.

Além da segurança especializada, a segurança de conta com privilégios aumenta:

• Prevenção – adicione controles para restringir o uso dessas contas aos dispositivos, estações de trabalho e intermediários designados.
• Resposta – monitore de perto essas contas para atividades anômalas e investigue e corrija rapidamente o risco.

Configurando a segurança de conta com privilégios

Siga as diretrizes no plano de modernização rápida de segurança para aumentar a segurança de suas contas privilegiadas e diminuir seu custo para gerenciar.

Próximas etapas

• Proteção da visão geral de acesso privilegiado
• Estratégia de acesso privilegiado
• Medindo o sucesso
• Níveis de segurança
• Intermediários
• Interfaces
• Dispositivos de acesso privilegiado
• Modelo de acesso corporativo