Raport oceny ryzyka tożsamości

Raport oceny ryzyka tożsamości w ADManager Plus identyfikuje potencjalne wskaźniki ryzyka tożsamości w Twojej organizacji. Oferuje wgląd w stan zdrowia oraz poziom ryzyka zarówno w Twoim środowisku Active Directory (AD), jak i Microsoft 365. ADManager Plus wdraża wytyczne NIST SP 800-30 w celu oceny prawdopodobieństwa wystąpienia oraz poziomu wpływu wskaźników ryzyka w celu obliczenia wyniku ryzyka. Lokalizuje prawdopodobne wskaźniki ryzyka w Twojej organizacji, oferuje spostrzeżenia na temat tego, dlaczego mogą być wskaźnikiem ryzyka oraz co można zrobić, aby chronić organizację przed nimi. ADManager Plus oblicza i wyświetla również wynik ryzyka, aby podsumować znaczenie zidentyfikowanych ryzyk.

Krótko mówiąc, ADManager Plus ocenia Twoje środowisko AD i Microsoft 365, identyfikuje potencjalne wskaźniki ryzyka, ocenia je, zapewnia środki zaradcze oraz pomaga utrzymać ryzyka z dala dzięki temu raportowi.

W tym dokumencie dowiesz się o:

• Kluczowych pojęciach
• Jak wygenerować raport oceny ryzyka tożsamości
• Jak przeglądać, eksportować i zarządzać ryzykiem
• Lista wskaźników ryzyka zidentyfikowanych przez ADManager Plus w AD i Microsoft 365

Zrozum kluczowe pojęcia

Poniżej przedstawiono niektóre terminy, z którymi się spotkasz w tym raporcie, i ważne jest, aby je znać:

Termin	Opis
Wynik ryzyka	Wskaźnik ogólnego poziomu ryzyka. Może być niski, średni, wysoki lub krytyczny. Zaleca się posiadanie niskiego wyniku ryzyka, aby zabezpieczyć organizację.
Ekspozycja na ryzyko	Oznacza procent obiektów narażonych na określone ryzyko.
Prawdopodobieństwo wystąpienia	Prawdopodobieństwo wystąpienia zidentyfikowanego wskaźnika ryzyka oraz informacje na temat potencjalnych szkód, jakie może spowodować.
Środki zaradcze	Działania, które można podjąć w celu wyeliminowania i uniknięcia zidentyfikowanego wskaźnika ryzyka.
Widok pulpitu nawigacyjnego	Kompleksowy widok wszystkich zidentyfikowanych wskaźników ryzyka sklasyfikowanych według zidentyfikowanych obiektów, wraz z graficznym wskaźnikiem wyniku ryzyka.
Widok kafelek	Widok kafelek wszystkich zidentyfikowanych wskaźników ryzyka sklasyfikowanych według ich powagi wraz z graficznymi wskaźnikami.

Kroki do wyświetlenia raportu oceny ryzyka w ADManager Plus

1. Zaloguj się do ADManager Plus.
2. Przejdź do zakładki Raporty.
3. W lewym panelu kliknij na raport Ocena ryzyka tożsamości.
4. Wybierz domenę, dla której chcesz wyświetlić raport w rozwijanym menu Domena.
5. Pulpit nawigacyjny wyświetli Twój wynik ryzyka, wraz z ryzykami zidentyfikowanymi w Twojej sieci.

Wyświetlaj, eksportuj i zarządzaj ryzykiem

• Eksportuj raport: Raport można eksportować, klikając Eksportuj jako przycisku. Ogólny raport oceny ryzyka oraz ryzykowne obiekty można eksportować, klikając odpowiednie przyciski.
• Wyświetl raport: Możesz przełączać się między Widokiem kafelków a Widokiem pulpitu, klikając odpowiednie przyciski.
• Filtruj ryzyka: Ryzyka w widoku pulpitu można udoskonalić, korzystając z rozwijanego menu Filtr w oparciu o ich powagę.
• Zarządzaj ryzykiem: Kliknij na ryzyko, aby wyświetlić ryzykowne obiekty i podjąć działania zaradcze przy użyciu działań zarządzających. Dane o ryzyku można odświeżyć, klikając przycisk Odśwież.

Uwaga: Tylko technicy delegowani z rolą Ocena Ryzyka Tożsamości mogą przeglądać ten raport i tylko w delegowanych OU. Aby delegować tę rolę, Delegacja > Role Centrum Pomocy > Edytuj rolę wsparcia/ Utwórz nową rolę > Administracja > Ogólne > Zaznacz Ocena Ryzyka Tożsamości.

Jak obliczany jest wynik ryzyka?

ADManager Plus ocenia aktywne ryzyka w Twoim środowisku tożsamości. Wszystkie wskaźniki ryzyka przechodzą przez trzy fazy obliczeń. Ta ocena łączy techniki jakościowe i ilościowe, co czyni ją półilościową. Ostatecznym wynikiem jest uzyskanie wyniku ryzyka, który odzwierciedla pozycję zabezpieczeń Twojego AD.

Co następuje, to wyjaśnienie metodologii oceniania ryzyka, czynników używanych do obliczenia wyniku ryzyka i uzasadnienia tego procesu.

Faza 1: Określenie powagi

W pierwszej fazie każdy wskaźnik ryzyka jest oceniany w oparciu o trzyetapowy proces obliczeniowy: Określenie prawdopodobieństwa, Analiza wpływu i Określenie powagi.

Krok 1: Określenie prawdopodobieństwa

Prawdopodobieństwo wystąpienia to szansa, że określone zdarzenie zagrożenia lub ryzyko się zdarzy lub zmaterializuje. Ogólne prawdopodobieństwo jest określane poprzez korelację "Prawdopodobieństwa inicjacji ataku" i "Prawdopodobieństwa sukcesu inicjowanego ataku".

Prawdopodobieństwo inicjacji ataku: Prawdopodobieństwo, że źródło zagrożenia zainicjuje zdarzenie zagrożenia lub wykorzystanie podatności. Czynniki — istotne dla zdolności — rozważane w kontekście prawdopodobieństwa inicjacji ataku to:

• Poziom umiejętności wymagany
• Wymagana możliwość

Prawdopodobieństwo sukcesu inicjowanego ataku: Prawdopodobieństwo, że zainicjowany atak lub zdarzenie zagrożenia spowoduje negatywny wpływ na aktywa, operacje lub cele organizacji. Czynniki rozważane w kontekście prawdopodobieństwa sukcesu inicjowanego ataku to "Zdolność" i "Powaga podatności".

Zdolność: Odnosi się do umiejętności, zasobów i możliwości, jakie mają potencjalni atakujący, które mogą wykorzystać do wykorzystania podatności, eskalacji przywilejów i organizowania kolejnych złośliwych działań w AD lub środowisku tożsamości. Czynniki zdolności są wymienione w kontekście prawdopodobieństwa inicjacji ataku.

Powaga podatności: Stopień lub poziom szkody, która może wyniknąć z wykorzystania konkretnego wskaźnika ryzyka. Czynniki brane pod uwagę przy określaniu powagi podatności to:

• Łatwość odkrycia
• Łatwość wykorzystania

Dla każdego wskaźnika ryzyka przypisuje się numeryczną wartość każdemu czynnikowi zdolności i czynnikom powagi podatności. Średnia wszystkich czynników zdolności da ogólną zdolność, podczas gdy średnia wszystkich czynniki powagi luk wpłyną na ogólną powagę luki.

Następnie ogólna zdolność i powaga luki są uśredniane, aby wyznaczyć Prawdopodobieństwo Inicjacji Ataku.

Ogólne prawdopodobieństwo: Wynik oceny uzyskany przez skorelowanie wyników Prawdopodobieństwa Inicjacji Ataku i Prawdopodobieństwa Sukcesu Inicjowanego Ataku dla każdego wskaźnika ryzyka za pomocą macierzy korelacji 4x4.

Krok 2: Analiza wpływu

Ten krok ocenia potencjalne konsekwencje ryzyka lub wykorzystania luki. Potencjalne konsekwencje mogą obejmować szkody w działalności operacyjnej firmy, straty finansowe, uszczerbek na reputacji lub inny aspekt uznany za istotny przez organizację. Czynniki brane pod uwagę w analizie wpływu to:

• Poufność
• Integralność
• Z dostępność

Podobnie jak w poprzednim kroku, dla każdego wskaźnika ryzyka przypisywana jest wartość numeryczna dla każdego czynnika analizy wpływu, a średnia wszystkich tych czynników da ogólny wpływ.

Krok 3: Określenie powagi

Ten krok określa powagę ryzyk na podstawie ich prawdopodobieństwa i wpływu z wykorzystaniem macierzy korelacji 4x4.

Macierz ryzyka: Prawdopodobieństwo vs Wpływ

*Skala pionowa to prawdopodobieństwo, a skala pozioma to wpływ

Faza 2: Przypisanie wagi i obliczanie ekspozycji na ryzyko

W drugiej fazie każdemu wskaźnikowi ryzyka przypisywana jest waga na podstawie ich wpływu i powagi ryzyka. Skala wagowa wynosi od 1 do 10.

Po przypisaniu wagi następnym krokiem jest obliczenie ekspozycji na ryzyko dla każdego wskaźnika ryzyka. To obejmuje użycie formuły: liczba ryzykownych obiektów związanych z konkretnym ryzykiem podzielona przez całkowitą liczbę obiektów w obrębie tego ryzyka w środowisku. Przykładem tego może być:

Ekspozycja na ryzyko= Liczba nieaktywnych użytkowników/Całkowita liczba użytkowników AD

Faza 3: Określenie wyniku ryzyka

W ostatniej fazie obliczany jest ogólny wynik ryzyka dla Twojego środowiska tożsamości za pomocą metody średniej ważonej, która składa się z wartości wagowych i ekspozycji na ryzyko jako zmiennych.

Uwaga: Wynik ryzyka i raport stają się nieaktualne, gdy generowany jest nowszy raport. Tylko wskaźniki ryzyka uwzględnione w ocenie są punktowane, a nieudane wskaźniki nie są uwzględniane w końcowym wyniku ryzyka. Zasadniczo zaleca się dołączenie wszystkich domen w wybranym lesie przed oceną, aby uzyskać dokładną analizę swojego środowiska tożsamości.

ADManager Plus analizuje powagę ryzyk w AD i Microsoft 365 przy użyciu wskaźników ryzyka, takich jak użytkownicy z przywilejami i bez przywilejów, komputery i grupy.

Wskaźniki ryzyka w AD

Użytkownicy:

Użytkownicy z przywilejami

• Użytkownicy nieaktywni*
• Użytkownicy, którzy nigdy się nie logowali
• Użytkownicy z niezmienionymi hasłami*
• Użytkownicy, których hasło nigdy nie wygasa
• Użytkownicy z włączoną opcją "Hasło nie wymagane"
• Użytkownicy dezaktywowanych kont
• Członkowie grup z przywilejami

Użytkownicy bez przywilejów

• Użytkownicy nieaktywni*
• Użytkownicy, którzy nigdy się nie zalogowali
• Użytkownicy z niezmienionymi hasłami*
• Użytkownicy, których hasła nigdy nie wygasają
• Użytkownicy z włączoną opcją "Hasło nie jest wymagane"
• Usuń użytkowników

Komputery

• Wyłączone komputery
• Nieaktywne komputery
• Komputery z zaufaniem do nieograniczonej delegacji
• Komputery działające na nieaktualnych wersjach systemu operacyjnego
• Komputery z wyłączonym BitLockerem

Grupy

• Puste grupy
• Grupy uprzywilejowane
• Duże grupy uprzywilejowane*
• Grupy jednostkowe
• Duże grupy*

GPO

• Niepowiązane GPO

Wskaźniki ryzyka w Microsoft 365

Użytkownicy:

Użytkownicy uprzywilejowani

• Użytkownicy bez MFA
• Mnóstwo użytkowników uprzywilejowanych
• Mnóstwo globalnych administratorów
• Nieaktywne użytkownicy*
• Użytkownicy, którzy nigdy się nie zalogowali
• Zablokowani użytkownicy
• Konto użytkownika synchronizowane

Użytkownicy nieuprzywilejowani

• Użytkownicy bez MFA
• Nieaktywne użytkownicy*
• Użytkownicy, którzy nigdy się nie zalogowali
• Zablokowani użytkownicy

Ogólne

• Nieaktywne użytkownicy na konkretnych usługach Microsoft 365*

Grupy

• Puste grupy

*Wartość progowa dla tych wskaźników ryzyka może być skonfigurowana, klikając przycisk Ustawienia.

Uwaga: Gdy ADManager Plus uzyskuje dostęp do szczegółowych informacji o obiektach domeny w celu analizy ryzyk za pomocą zapytań LDAP, może to wywołać alerty bezpieczeństwa w istniejących systemach zabezpieczeń.