最低权限访问 是一种安全策略，其重点是确保身份、人员和流程获得最低级别的权限，以提高工作效率，就程序访问而言，就是发挥功能。在 800-12R1 信息安全介绍中，NIST（美国国家标准与技术研究院）指出了最小特权所涉及的常见问题： 恶意内部人员：这种威胁通常很难被发现，有害活动很容易在数月或数年内不被察觉。 内部的坏人 可以是承包商、员工，甚至是行政人员和各级管理人员。最低权限是一种主要的安全方法，可限制滥用对组织造成的损害范围。恶意串通：当两个或两个以上的不良行为者协调进行恶意活动时，就会出现这种情况。这种剥削方式造成的损害往往远远超过单个人通常可能造成的损害。这就是为什么监管机构和组织使用职责分离（SoD）来防止这种滥用的原因。SoD 需要多人共同完成一项任务。尽管人们通常将其与金融服务联系起来，但这些原则同样可以防止不同形式的欺诈、破坏、盗窃或滥用敏感信息。疏忽的内部人员：这些行为者虽然没有不良企图，但他们的错误会使组织面临风险。疏忽行为包括无意中关闭重要数字服务或将敏感信息暴露在网络上的配置错误。这类事件经常见诸媒体。 内部人员受损：这是指内部人员的凭证以某种方式泄露，通常是通过网络钓鱼。账户访问的范围越广、影响越深，对组织造成的潜在损害就越大。这就是为什么越来越多的高管成为目标（捕鲸）的原因。

概述

最低权限是零信任安全的基本原则，其核心理念是只授予必要的访问权限。虽然最初是作为网络安全战略的一部分来讨论的，但将零信任安全应用于可消耗资源（应用、服务、数据等）的应用层要有效得多。这种方法可以将特定的资源访问策略与访问这些资源的人员和程序联系起来。

最小特权原则

哪些类型的威胁最适合通过最小权限安全来解决？

最低权限访问是一种安全策略，其重点是确保身份、人员和流程获得最低级别的权限，以提高工作效率，就程序访问而言，就是发挥功能。在其 800-12R1信息安全介绍中，NIST（美国国家标准与技术研究院）指出了最小特权所涉及的常见问题：

恶意内部人员： 这种威胁通常很难被发现，有害活动很容易在数月或数年内不被察觉。内部的坏人可以是承包商、员工，甚至是行政人员和各级管理人员。最低权限是一种主要的安全方法，可限制滥用对组织造成的损害范围。
恶意串通：当两个或两个以上的不良行为者协调进行恶意活动时，就会出现这种情况。这种剥削方式造成的损害往往远远超过单个人通常可能造成的损害。这就是为什么监管机构和组织使用职责分离（SoD）来防止这种滥用的原因。SoD 需要多人共同完成一项任务。虽然人们通常将其与金融服务联系起来，但这些原则同样可以防止不同形式的欺诈、破坏、盗窃或滥用敏感信息。
疏忽的内部人员：这些行为者虽然没有不良企图，但他们的错误会使组织面临风险。疏忽行为包括无意中关闭重要数字服务或将敏感信息暴露在网络上的配置错误。这类事件经常见诸媒体。
内部人员受损：这是指内部人员的凭证以某种方式泄露，通常是通过网络钓鱼。账户访问的范围越广、影响越深，对组织造成的潜在损害就越大。这就是为什么越来越多的高管成为攻击目标（捕鲸）的原因。

特权蠕变的主要原因是什么？

权限攀升是指用户积累的权限超出了其在组织中的角色所需的合理范围。它通常随着时间的推移而逐渐发生，并经常影响到需要保护其受监管信息或敏感信息的组织。当个人改变角色时，通常会迅速授予权限，以提高工作效率，但由于责任可能会持续存在，以前的权利通常会保留。需要评估最小特权的资源类型包括

核心应用程序和服务
非结构化数据
系统和平台

在某些时候，领导团队会意识到，他们需要控制核心服务和敏感信息的特权访问。他们会优先考虑并支持安全团队与信息所有者联手组建 "老虎特权访问团队"。启动项目并确定目标。新设计的身份治理环境可自动处理访问请求和审批，其维护工作已移交给运营部门。很多时候，这种关注并不是持续性的--但即使有了自动请求和审批，权限攀升仍然是一个潜在的风险。

当业务动态与已定义的治理政策发生偏离时，特权蠕变往往会随之产生。随着组织的发展和职责的变化，权限工作流程有扩大的趋势。特权攀升最常见的来源包括

审批：审批者最好是信息所有者，他们没有准确评估权限申请。繁忙的审批人员可能无法花时间准确了解申请用户的身份及其需求。
审查程序不当：这包括缺乏定期审查，或由不具备适当审查或评估访问请求适当性能力的人进行审查。
高风险用户： 有些用户很有可能随着时间的推移而积累一定的权限，从而给组织带来不可接受的风险。这种情况发生在用户临时承担需要权限才能执行的各种项目和角色时，而这些权限随后会被保留。

在组织适应或应对强加给它们的各种动态时，特权蠕变几乎是不可避免的。但是，这违反了旨在保护组织不受外来者侵害的关键零信任原则，也是导致几乎所有行业的巨额违规成本持续增长的一个因素。

如何控制权限攀升

防止特权蠕变最困难的一点是，当负责许多事情的审稿人专注于其他事情时，特权蠕变往往会随着时间的推移而发生。它无法在任何一个时间点上观察到，而必须跨越相对较长的时间跨度。由于账户可以在不被察觉的情况下演变成不可接受的风险级别，因此其造成安全问题的程度取决于用户数量、用户更改的次数以及受保护信息的敏感性。这是一个电子表格无法解决的安全挑战。

维护职责分离

职责分离和其他旨在遵守法规的公司政策可以很好地转化为治理规则，但风险标准则更加主观。以下是最常见的几种情况：

太多的组织没有制定取消许可的流程。相反，这些组织依赖于基本的平台账户管理工具。通常情况下，他们的权限控制无非是禁用离开组织的账户。风险管理并不是这些组织的首要任务。
在组织内部，随着时间的推移，担任不同角色的特定人员成为特权攀升的热门人选，这种情况并不少见。常见的用例包括点线式报告、在不同的老虎团队中做出贡献，以及参与不同部门的各种项目。虽然在向这些人员分配应享权利时，有明显的生产力因素在起作用，但安全方面的考虑往往不明显。移除权限的场合通常很分散，但担心干扰有权限的用户是不移除权限的常见原因。
过于笼统的角色可能是特权攀升的另一个因素。在这里，与其说是为适当的请求授予权限，不如说是过度扩展或概括用于分配权限的角色。有效的角色是那些划分得当的角色，每个角色都有不同的适当权限。对用于应用权限的角色定义不足和泛化常常是一种诱惑。

防范风险攀升

审查员很难识别随时间漂移的权限。通过自动分析随时间推移发生的变化，可以帮助进行这类评估。然后，审核人员可以在仪表板或报告中获取这些信息。虽然对整个组织的所有用户进行评估是不可行的，但有效审查和审核风险最高的十几个用户是可能的。

其他类型的自动生成的风险警报和报告来自对所管理资源的分析。包含敏感信息且未定期审查的资源风险分值较高。对于所有这些警报，当今占主导地位的治理创新是在整个环境中识别和突出风险领域。

最小特权与零信任有什么关系？

最低权限访问是零信任架构的核心组成部分之一。这就意味着只在必要时授予尽可能多的访问权限，只在必要的最短时间内授予最低权限。

其他零信任组件包括

微型分区：将环境分解成更小的安全区域，以限制访问范围。为环境中的每个分区维护单独的安全控制（需要对这些控制进行分布式管理）。
多因素身份验证（MFA）：需要两个或更多验证因素才能访问资源；要求根据当前风险状态提供更高的身份保证。
应用程序接口控制和监测：确保在程序层面和用户交互层面进行适当控制。控制尝试访问资源的不同设备和/或应用程序接口的数量。
适应性：情境感知、持续评估风险--能够及早发现威胁并做出快速反应。根据当前环境和过去的活动，对当前状态做出动态响应。