Започването на нова работа и чакането от векове, за да получите всички необходими данни за вход, е нещо, което всички сме преживели в работния си живот. Колкото и досадно да звучи, всъщност е в действие Принципът на най-малката привилегия (POLP).
Това е принцип на проектиране, който играе неразделна роля при оформянето на сигурността на всяка организация. Той диктува предоставянето само на минимални привилегии на който и да е обект, включително потребители, програми или процеси.
Какъв е принципът на най-малката привилегия и как работи?
Основната предпоставка зад тази концепция е, че най-малкото привилегия ще струва най-малкото щета.
Ако нападателят се опита да проникне в мрежата, опитвайки се да компрометира достъпа на потребителите на ниско ниво, той няма да има достъп до критичните системи. Впоследствие служител с нисък достъп на потребител, който се опитва да злоупотреби със системата, няма да може да причини големи щети.
Принципът на най-малката привилегия предоставя достъп отдолу нагоре. Осигурява се само минимален достъп за изпълнение на необходимите работни функции и се извършват корекции при промяна на изискванията за работа. Чрез ограничаване на привилегиите сигурността на всяка организация се запазва до голяма степен непокътната.
Нека разгледаме как принципът на най-малката привилегия може да бъде приложен по възможно най-добрия начин.
5 най-добри начина за прилагане на принципа на най-малката привилегия
Повечето служители искат най-високите нива на достъп, за да изпълняват ефективно работата си, но предоставянето на достъп, без да се прави правилна оценка на риска, може да отвори кутията с рискове за сигурността на Pandora.
Ето 5-те най-добри начина за прилагане на най-малко привилегии:
- Провеждане на редовни одити за достъп: Трудно е да се проследят потребителските привилегии и дали те се нуждаят от модификации. Провеждането на редовно планирани одити за всички съществуващи сметки, процеси и програми може да гарантира, че нито един обект няма повече от необходимите разрешения.
- Започнете с най-малката привилегия: Използвайте минималните привилегии, особено когато настройвате нови потребителски акаунти. При необходимост увеличете разрешенията.
- Задайте привилегиите да изтекат: Временното ограничаване на повишените привилегии при необходимост е добра идея да се контролират идентификационните данни на потребителите. Някои повишени привилегии също трябва да бъдат настроени да изтичат с еднократна идентификация за използване, за да се гарантира максимална сигурност.
- Помислете за разделяне на привилегиите: Дръжте различни категории нива на достъп отделно едно от друго. Като пример администраторските акаунти трябва да бъдат групирани отделно от стандартните акаунти.
- Наложи проследимост: Настройте акаунти със специфични потребителски идентификатори и еднократни пароли с наличен мониторинг, за да осигурите автоматичен одит и проследяване за контрол на щетите.
Пример от реалния свят за злоупотреба с привилегии
През 2013 г. Едуард Сноудън, бивш изпълнител на ЦРУ, разкри на медиите подробни подробности за американското разузнаване по отношение на интернет и телефонно наблюдение. Неправомерно му бяха предоставени привилегии на системния администратор, докато работата му като изпълнител включваше само прехвърляне на данни между различни агенции.
Случаят с Едуард Сноудън е най-добрият пример за злоупотреба с ненужна привилегия и никой разговор за принципа на най-малката привилегия не е пълен, без да се разсъждава върху него. За да предотвратите подобни проблеми в бъдеще, NSA оттогава е намалил броя на потребителите с привилегии на системния администратор от 1000 на само 100.
Предимства на принципа на най-малката привилегия
Освен предотвратяване на злоупотребата с привилегии, принципът на най-малката привилегия предлага и множество други предимства.
Подобрена сигурност и намалени експлойти: Ограничаването на привилегиите за хора и процеси също ограничава възможностите за експлойти и потребителски атаки. Колкото повече потребители имат мощност, толкова повече те могат да злоупотребяват със системата.
По-малко поява на зловреден софтуер: С наличието на минимални привилегии, зловредният софтуер може да се съдържа в зоната на произход, за да се предотврати по-нататъшното разпространение в системата. Например прословутата атака на SQL инжекции може лесно да бъде смекчена, тъй като разчита на липсата на най-малко привилегии.
Подобрена оперативна ефективност: Тъй като най-малката привилегия позволява само на няколко потребители да извършват разрешени промени в системата, това води до намалени проблеми със съвместимостта и шансове за операционни грешки. Стабилността на системата също се осигурява поради намалените престои.
Лесни одити: Системите, които работят на принципа на най-малките привилегии, са страхотни кандидати за опростени одити. Като допълнителна полза, много общи регулаторни органи смятат прилагането на най-малките привилегии като част от изискването за съответствие.
Намалени атаки на социалното инженерство: Повечето атаки за социално инженерство, като фишинг, се извършват чрез примамване на потребител да отвори заразена прикачена файл или връзка. С въведения принцип на най-малката привилегия административните акаунти могат да ограничат изпълнението на определени типове файлове и дори да наложат мениджърите на пароли, за да намалят появата на такива атаки.
Подобрена реакция при инциденти: Принципът на най-малката привилегия помага за разбирането и наблюдението на нивата на достъп на потребителя, което от своя страна ускорява усилията за реагиране при инциденти в случай на атаки или пробиви в сигурността.
Какво е Privilege Creep?
Чувствате ли някога, че вашите служители имат повече ИТ достъп, отколкото им е необходим? Или може би като служител смятате, че сте получили достъп до системи, които рядко използвате?
Независимо от случая, натрупването на ненужни привилегии за потребителите е известно като "пълзене на привилегии". Повечето служители сменят ролите в организацията и продължават да трупат привилегии, които е трябвало да бъдат отнети, след като функцията за работа бъде удовлетворена.
Много изследвания показват, че свръхпривилегированите потребители са най-голямата заплаха за сигурността и повечето компромиси са причинени от вътрешни заплахи. POLP предотвратява привилегията да се прокрадва, като насърчава редовно планираните оценки на риска, одити и проследяване на служителите.
Свързани: Рискът от компрометирани пълномощия и заплахи от вътрешни лица на работното място
Научете за най-често срещаните видове компрометирани идентификационни данни и вътрешни заплахи. Защитете се у дома и на работното място, като смекчите тези рискове, преди да пристигнат.
По-малко е повече, когато става въпрос за сигурност
Концепцията за минимализъм се отнася и за света на киберсигурността - колкото по-малко привилегии има потребителят, толкова по-малък е рискът от потенциални усложнения. Принципът на най-малката привилегия е слаба, но средна концепция за дизайн, която осигурява ограничителен подход при издаване на разрешения.
Прилагането на принципа на най-малките привилегии, заедно с разработването на задълбочена информираност за това как да запазите данните в безопасност, е от съществено значение за намаляване на рисковете за сигурността и за защита на вашите критични активи.
Ето всички наши най-добри статии за това как да бъдете сигурни, докато сърфирате в мрежата, използвате компютъра си, използвате телефона си и много други!
- Обяснени технологии
- Сигурност
- Компютърна сигурност
Кинза е технологичен ентусиаст, технически писател и самопровъзгласен отрепка, който живее в Северна Вирджиния със съпруга си и двете си деца. С бакалавърска степен по компютърни мрежи и многобройни ИТ сертификати, тя работи в телекомуникационната индустрия, преди да се впусне в техническо писане. С ниша в темите за киберсигурност и базирани на облак, тя се радва да помага на клиентите да отговарят на техните разнообразни технически изисквания за писане по целия свят. В свободното си време тя обича да чете художествена литература, технологични блогове, да създава остроумни детски истории и да готви за семейството си.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!
Още една стъпка…!
Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.