Zahájení nové práce a čekání na věky k získání všech požadovaných přihlášení je něco, co jsme všichni zažili ve svém pracovním životě. Jakkoli to zní nepříjemně, ve hře je to vlastně Princip nejméně privilegovaných (POLP).

Jedná se o princip návrhu, který hraje nedílnou součást při utváření prostředí zabezpečení jakékoli organizace. Diktuje přidělení pouze minimálních oprávnění jakékoli entitě, včetně uživatelů, programů nebo procesů.

Jaký je princip nejméně privilegovaných a jak to funguje?

Hlavním předpokladem tohoto konceptu je, že nejmenší část privilegia bude stát nejmenší částku škody.

Pokud se útočník pokusí proniknout do sítě tím, že se pokusí ohrozit nízkoúrovňový přístup uživatelů, nebude mít přístup ke kritickým systémům. Zaměstnanec s nízkým přístupem uživatelů, který se pokusí zneužít systém, nebude následně schopen způsobit velké škody.

Princip nejmenšího oprávnění uděluje přístup zdola nahoru. Poskytuje se pouze minimální přístup k provádění nezbytných funkcí úlohy a úpravy se provádějí podle změn pracovních požadavků. Omezením privilegií je zabezpečení jakékoli organizace do značné míry zachováno.

instagram viewer

Pojďme se podívat na to, jak lze co nejméně implementovat princip nejmenších privilegií.

5 nejlepších způsobů, jak implementovat zásadu nejméně privilegovaných osob

Většina zaměstnanců chce nejvyšší úroveň přístupu k efektivnímu vykonávání svých úkolů, ale udělení přístupu bez řádného posouzení rizik může otevřít Pandořinu schránku bezpečnostních rizik.

Tady je 5 nejlepších způsobů implementace nejmenšího oprávnění:

  1. Provádět audity pravidelného přístupu: Je těžké sledovat uživatelská oprávnění a to, zda potřebují úpravy. Provádění pravidelně naplánovaných auditů všech stávajících účtů, procesů a programů může zajistit, že žádná entita nebude mít více než požadovaná oprávnění.
  2. Začněte s nejméně privilegovaným: Jděte s minimem minimálních oprávnění, zejména při nastavování nových uživatelských účtů. Podle potřeby zvyšte oprávnění.
  3. Nastavte oprávnění, aby vypršela: Dobrým nápadem je omezit pověření uživatele dočasným omezením zvýšených oprávnění podle potřeby. Měla by být také nastavena platnost určitých zvýšených oprávnění s jednorázovým použitím pověření, aby byla zajištěna maximální bezpečnost.
  4. Zvažte oddělení výsad: Udržujte různé kategorie úrovní přístupu oddělené od sebe navzájem. Například účty správce by měly být seskupeny odděleně od standardních účtů.
  5. Sledovatelnost uložení: Nastavit účty se specifickými ID uživatelů a jednorázovými hesly se zavedeným monitorováním, aby byl zajištěn automatický audit a sledovatelnost kontroly poškození.

Příklad zneužití privilegia v reálném světě

V roce 2013 Edward Snowden, bývalý dodavatel CIA, prozradil médiím rozsáhlé podrobnosti o amerických zpravodajských informacích týkajících se sledování internetu a telefonů. Neprávem mu byla udělena oprávnění správce systému, zatímco jeho práce jako dodavatele znamenala pouze přenos dat mezi různými agenturami.

Případ Edwarda Snowdena je ukázkovým příkladem zneužití zbytečných privilegií a žádná diskuse o principu nejmenšího privilegia není úplná, aniž by se o tom uvažovalo. Aby se v budoucnu zabránilo podobným problémům, NSA Od té doby snížil počet uživatelů s oprávněními správce systému z 1 000 na pouhých 100.

Výhody zásady nejméně privilegovaných

Kromě prevence zneužití privilegií nabízí princip nejmenších privilegií také celou řadu dalších výhod.

Vylepšené zabezpečení a snížené využití: Omezení oprávnění pro lidi a procesy také omezuje možnosti zneužití a útoků uživatelů. Čím více uživatelů energie má, tím více může systém zneužít.

Méně výskytu malwaru: S minimálním zavedeným oprávněním může být malware obsažen v oblasti původu, aby se zabránilo dalšímu šíření do systému. Například notoricky známý útok na injekce SQL lze snadno zmírnit, protože se spoléhá na nedostatek nejmenších privilegií.

Vylepšený provozní výkon: Jelikož nejmenší oprávnění umožňuje hrstce uživatelů provádět autorizované změny v systému, vede to ke snížení problémů s kompatibilitou a šancí na provozní chyby. Stabilita systému je zajištěna také díky zkrácení prostojů.

Snadné audity: Systémy, které fungují na principu nejmenších privilegií, jsou skvělými kandidáty na zjednodušené audity. Jako další výhodu mnoho běžných regulačních orgánů považuje implementaci nejmenších privilegií za součást požadavku dodržování předpisů.

Omezené útoky na sociální inženýrství: Většina útoků sociálního inženýrství, jako je phishing, se provádí lákáním uživatele k otevření infikované přílohy nebo odkazu. Se zavedeným principem nejmenšího oprávnění mohou účty pro správu omezit provádění určitých typů souborů a dokonce vynutit správu hesel, aby se snížil výskyt takových útoků.

Vylepšená reakce na incidenty: Princip nejmenších privilegií pomáhá s porozuměním a sledováním úrovní přístupu uživatelů, což zase urychluje úsilí reakce na incidenty v případě bezpečnostních útoků nebo narušení.

Co je to Privilege Creep?

Máte někdy pocit, že vaši zaměstnanci mají větší přístup k IT, než potřebují? Nebo snad jako zaměstnanec máte pocit, že vám byl udělen přístup napříč systémy, které zřídkakdy používáte?

V každém případě je hromadění zbytečných oprávnění pro uživatele známé jako „privilegovaný dotvar“. Většina zaměstnanců posouvá role v rámci organizace a neustále hromadí oprávnění, která by měla být zrušena, jakmile bude funkce úlohy splněna.

Mnoho studií naznačuje, že nadměrně privilegovaní uživatelé jsou největší hrozbou pro zabezpečení a většina kompromisů je způsobena zasvěcenými hrozbami. POLP brání tomu, aby se privilegium plížilo tím, že podporuje pravidelně naplánované hodnocení rizik zaměstnanců, audity a sledovatelnost.

Příbuzný: Riziko ohrožení pověření a zasvěcených hrozeb na pracovišti

Riziko ohrožení pověření a zasvěcených hrozeb na pracovišti

Další informace o nejběžnějších typech napadených pověření a zasvěcených hrozeb. Chraňte se doma i na pracovišti zmírňováním těchto rizik před jejich příchodem.

Méně je více, když dojde na bezpečnost

Koncept minimalismu platí i pro svět kybernetické bezpečnosti - čím méně privilegií má uživatel, tím menší je riziko potenciálních komplikací. Princip nejmenšího privilegia je štíhlý, ale průměrný designový koncept, který zajišťuje restriktivní přístup k udělování oprávnění.

Implementace principu nejmenších privilegií spolu s rozvojem hlubokého povědomí o tom, jak udržet data v bezpečí, má zásadní význam při snižování bezpečnostních rizik a ochraně vašich kritických aktiv.

E-mailem
Průvodce online bezpečím: 100+ tipů, jak zůstat v bezpečí před malwarem a podvody

Zde jsou všechny naše nejlepší články o tom, jak zajistit bezpečnost při procházení webu, používání počítače, telefonu a dalších!

Související témata
  • Vysvětlení technologie
  • Bezpečnostní
  • Zabezpečení počítače
O autorovi
Kinza Yasar (Publikováno 6 článků)

Kinza je technologický nadšenec, technický spisovatel a samozvaný geek, který žije v severní Virginii se svým manželem a dvěma dětmi. S BS v počítačových sítích a četnými IT certifikacemi měla za sebou práci v telekomunikačním průmyslu, než se pustila do technického psaní. S mezerou v oblasti kybernetické bezpečnosti a cloudových tématech ráda pomáhá klientům plnit jejich rozmanité technické požadavky na psaní po celém světě. Ve svém volném čase ráda čte beletrii, blogy o technologiích, vytváří vtipné příběhy pro děti a vaří pro svou rodinu.

Více od Kinza Yasara

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!

Ještě jeden krok…!

V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.

.