Tekniska ämnen

Vad är principen om minsta möjliga privilegium?

Illustration av IT-artiklar med fokus på en glödlampa

Översikt

Minsta möjliga privilegium är en grundläggande princip för nollförtroendesäkerhet, med kärnfilosofin att endast bevilja så mycket åtkomst som behövs. Även om det ursprungligen diskuterades som en del av en nätverkssäkerhetsstrategi är det mycket effektivare att tillämpa nollförtroendesäkerhet på applikationslagret för förbrukningsbara resurser (applikationer, tjänster, data etc.). Med den här strategin kan du knyta specifika policyer för resursåtkomst till de personer och program som har åtkomst till dem.

Principen om minsta möjliga privilegium

Vilka typer av hot hanteras bäst genom säkerhet med lägsta behörighet?

Åtkomst med lägsta möjliga privilegier är en säkerhetsstrategi som fokuserar på att säkerställa att identiteter, personer och processer beviljas den lägsta nivå av behörigheter som krävs för att vara produktiva - eller funktionella när det gäller programmatisk åtkomst. I sin 800-12R1-introduktion till informationssäkerhet pekar NIST (National Institute of Standards and Technology) på vanliga problem som hanteras med minsta möjliga privilegium:

Illvillig insider: Denna hottyp är ofta svår att upptäcka, och skadliga aktiviteter kan lätt passera obemärkta i månader eller år. Skurkar på insidan kan vara entreprenörer, anställda och till och med administratörer och alla ledningsnivåer. Minsta möjliga privilegier är en primär säkerhetsmetod för att begränsa de skador som missbruk kan orsaka en organisation.
Illvillig samverkan: Detta kan inträffa när två eller flera dåliga aktörer samordnar illvilliga aktiviteter. Denna typ av utnyttjande leder ofta till mycket större skada än vad som normalt är möjligt för en enskild individ. Det är därför som tillsynsmyndigheter och organisationer använder ansvarsfördelning (SoD) för att skydda sig mot den här typen av missbruk. SoD kräver mer än en person för att slutföra en uppgift. Även om man ofta tänker på det i samband med finansiella tjänster, skyddar samma principer mot olika former av bedrägeri, sabotage, stöld eller missbruk av känslig information.
Försumlig insider: Detta är aktörer som, även om de inte har dåliga avsikter, gör fel som utsätter deras organisationer för risk. Försumliga beteenden inkluderar konfigurationsfel som oavsiktligt stänger av viktiga digitala tjänster eller exponerar känslig information på webben. Den här typen av incidenter publiceras rutinmässigt i media.
Komprometterad insider: Det här är när en insiders inloggningsuppgifter på något sätt har äventyrats, vanligtvis genom nätfiske. Ju bredare och mer långtgående åtkomst ett konto har, desto större är den potentiella skadan för organisationen. Det är därför som chefer i allt högre grad blir måltavlor (whaling).

Vilka är de främsta orsakerna till att privilegier kryper fram?

Privilege creep är när en användare samlar på sig rättigheter som inte är motiverade utifrån dennes roll inom organisationen. Det sker vanligtvis gradvis över tid och drabbar ofta organisationer som behöver skydda sin reglerade eller känsliga information. När personer byter roll beviljas ofta behörigheter snabbt för att få dem att bli produktiva, men eftersom ansvarsområden kan dröja kvar behålls ofta tidigare rättigheter. De typer av resurser där minsta möjliga privilegium måste bedömas inkluderar:

Core applikationer och tjänster
Ostrukturerade data
System och plattformar

Vid någon tidpunkt inser ledningsgruppen att de måste få grepp om den privilegierade åtkomsten till deras kärntjänster och känsliga information. De prioriterar och sponsrar säkerhetsteamen så att de tillsammans med informationsägarna kan bilda tigerteam för privilegierad åtkomst. Projekt startas upp och mål definieras. Med sin nydesignade miljö för identitetsstyrning som automatiserar åtkomstförfrågningar och godkännanden överlämnas underhållet av den till verksamheten. Alltför ofta är denna typ av fokus inte kontinuerlig - men även med automatiserade förfrågningar och godkännanden är privilegieskrypning fortfarande en potentiell risk.

Ofta uppstår privilegier när affärsdynamiken avviker från definierade styrningspolicyer. Arbetsflöden med behörigheter har en tendens att expandera i takt med att organisationer förändras och ansvarsområden flyttas. Några av de vanligaste källorna till krypande behörigheter är

Godkännande: Godkännandeinstanser, som företrädesvis är informationsägare, gör inte korrekta bedömningar av behörighetsförfrågningar. Upptagna godkännare kanske inte tar den tid som krävs för att exakt förstå vem den begärande användaren är och vilka behov de har.
Otillräcklig granskningsprocess: Detta omfattar avsaknad av regelbundna granskningar eller granskningar som utförs av personer som inte är utrustade för att på ett korrekt sätt granska eller bedöma lämpligheten i begäran om tillgång.
Användare med hög risk: Det finns vissa användare där det är fullt möjligt för dem att ackumulera en nivå av rättigheter över tid som utgör en oacceptabel risk för organisationen. Detta händer när användaren tillfälligt tar på sig olika projekt och roller som kräver rättigheter för att utföra och dessa rättigheter behålls därefter.

Privilegieskrypning är nästan oundvikligt när organisationer anpassar sig eller svarar på olika dynamiska krav som ställs på dem. Men det bryter mot en viktig nollförtroendeprincip som är utformad för att skydda organisationer från utomstående, och är en bidragande orsak till de stora kostnaderna för intrång som fortsätter att växa i praktiskt taget alla branscher.

Hur man kontrollerar att privilegier inte används

En av de svåraste aspekterna när det gäller att skydda sig mot "privilege creep" är att det ofta sker över tid medan granskarna, som är ansvariga för många saker, fokuserar på andra saker. Det är inte observerbart vid en viss tidpunkt, utan måste snarare ses över en relativt lång tidsperiod. Med tanke på det subtila sätt på vilket ett konto kan förvandlas till en oacceptabel risknivå utan att upptäckas, beror den utsträckning i vilken det utgör ett säkerhetsproblem på antalet användare, antalet ändringar som användarna gör och känsligheten hos den information som skyddas. Det är en säkerhetsutmaning som inte kan lösas med ett kalkylblad.

Bevara åtskillnad mellan arbetsuppgifter

Separation of duty och andra företagspolicyer som syftar till att följa regleringar översätts väl till styrningsregler, men riskkriterierna är mer subjektiva. Här är de vanligaste:

Alltför många organisationer har inte en process för att ta bort behörigheter på plats. Istället förlitar sig dessa organisationer på grundläggande verktyg för hantering av plattformskonton. Vanligtvis är deras behörighetsstyrning inget annat än att inaktivera konton som lämnar organisationen. Riskhantering är inte en topprioritet för dessa organisationer.
Det är inte ovanligt att utvalda individer i organisationen som tar på sig olika roller över tid är toppkandidater för privilegieskridning. Vanliga användningsfall inkluderar rapportering på prickad linje, bidrag i olika tigerteam och deltagande i en mängd olika projekt på olika avdelningar. Även om det finns uppenbara produktivitetskrafter i spel när dessa personer tilldelas rättigheter, är säkerhetsaspekterna ofta nedtonade. Anledningarna till att ta bort behörigheter är vanligtvis spridda, men rädslan för att störa en användare med behörighet är ett vanligt skäl till att inte göra det.
Alltför generaliserade roller kan vara en annan orsak till krypande privilegier. Här handlar det inte så mycket om att ge tillstånd till lämpliga förfrågningar, utan snarare om överexpansion eller generalisering av roller som används för att tilldela dem. Effektiva roller är de som är korrekt avgränsade och där varje roll är avgränsad till rätt behörighetsnivå. Det är ofta frestande att underdefiniera och generalisera de roller som används för att ge behörigheter.

Skydd mot riskökning

Det är ganska svårt för granskare att identifiera behörigheter som förändras över tid. Den här typen av utvärderingar kan underlättas med hjälp av automatiserad analys av förändringar över tid. Granskarna kan sedan få tillgång till den informationen i en instrumentpanel eller rapport. Även om det inte är möjligt att utvärdera alla användare i en organisation, är det möjligt att effektivt granska och kontrollera det dussintal som utgör den högsta risken.

Andra typer av automatiskt genererade riskvarningar och rapporter härrör från analys av de styrda resurserna. Resurser som innehåller känslig information och som inte granskas regelbundet tilldelas en högre riskpoäng. För alla dessa varningar är dagens dominerande innovation inom styrning att identifiera och belysa riskområden i hela miljön.

Hur passar "least privilege" in i "zero trust"?

Åtkomst med lägsta möjliga privilegier är en av kärnkomponenterna i en Zero Trust-arkitektur. Detta innebär att man endast beviljar så mycket åtkomst som behövs, med endast minimala behörigheter under kortast möjliga tid.

Andra zero trust-komponenter inkluderar:

Mikro-segmentering: Dela upp miljön i mindre säkerhetszoner för att begränsa åtkomstmöjligheterna. Upprätthålla separata säkerhetskontroller för varje del av miljön (kräver distribuerad hantering av dessa kontroller).
Flerfaktorsautentisering (MFA): Kräver två eller flera verifieringsfaktorer för att få tillgång till en resurs; kräver större identitetssäkring baserat på aktuell riskstatus.
API-kontroll och övervakning: Säkerställ lämplig kontroll på programnivå såväl som på användarinteraktionsnivå. Kontrollera hur många olika enheter och/eller API:er som försöker få tillgång till resurser.
Adaptiv: Kontextmedveten, kontinuerlig utvärdering av risker - möjliggör tidig upptäckt av hot och snabb respons. Dynamisk respons på det aktuella läget mot bakgrund av den aktuella miljön och tidigare aktiviteter.

Resurser

Skydda kronjuvelerna - positionspapper för hantering av privilegierade konton

Privilegierade konton - säkra din Active Directory-miljö - positionspapper

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

AnalysdatabasAnalysdatabas

Analys av ostrukturerad dataAnalys av ostrukturerad data

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

FöretagssökningFöretagssökning

Aviator Sök

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstjänster för B2BIntegrationstjänster för B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Affärsnätverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

Integration av företagIntegration av företag

Insamling och intelligent dokumentbearbetningInsamling och intelligent dokumentbearbetning

Information ArchivingInformation Archiving

ProcessautomatiseringProcessautomatisering

InformationsstyrningInformationsstyrning

Innehåll Aviator

Cybersecurity CloudCybersecurity Cloud

ApplikationssäkerhetApplikationssäkerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Underrättelser om hotUnderrättelser om hot

Upptäckt och hantering av hotUpptäckt och hantering av hot

Cybersäkerhet Aviator

Developer CloudDeveloper Cloud

Information Management ServicesInformation Management Services

Developer Cloud teknisk dokumentationDeveloper Cloud teknisk dokumentation

Aviator Tryckkraft

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Funktionell testningFunktionell testning

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Webb- och varumärkesupplevelserWebb- och varumärkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Analys av kontaktcenterAnalys av kontaktcenter

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

ServicehanteringServicehantering

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

NätverkshanteringNätverkshantering

IT-drift Aviator

PortfolioPortfolio

Dataskydd och säkerhetskopiering av slutpunkterDataskydd och säkerhetskopiering av slutpunkter

Endpoint-hantering och mobil säkerhetEndpoint-hantering och mobil säkerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datasäkerhetArkivering, eDiscovery och datasäkerhet

Information i ny tappningInformation i ny tappning

Artificiell intelligensArtificiell intelligens

IndustriIndustri

FöretagsapplikationerFöretagsapplikationer

Din resa till framgångDin resa till framgång

KundtjänstKundtjänst

Tjänster för kundframgångTjänster för kundframgång

Strategi & rådgivningStrategi & rådgivning

KonsulttjänsterKonsulttjänster

Tjänster för lärandeTjänster för lärande

Managed ServicesManaged Services

Hitta en partner på OpenTextHitta en partner på OpenText

Hitta en partnerlösningHitta en partnerlösning

Växa som partnerVäxa som partner

Bli en partner

TillgångsbibliotekTillgångsbibliotek

BloggarBloggar

HändelserHändelser

SamhällenSamhällen

Utvalda

Analytics Cloud

Analysdatabas

Analys av ostrukturerad data

Business Intelligence och rapportering

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Företagssökning

Business Network Cloud

Integration av leveranskedjan

Integrationstjänster för B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

Integration av företag

Insamling och intelligent dokumentbearbetning

Information Archiving

Processautomatisering

Informationsstyrning

Cybersecurity Cloud

Applikationssäkerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Underrättelser om hot

Upptäckt och hantering av hot

Developer Cloud

Information Management Services

Developer Cloud teknisk dokumentation

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Funktionell testning

Prestandateknik

Experience Cloud

Webb- och varumärkesupplevelser

Meddelanden

Kundresa och data

Media Management

Analys av kontaktcenter

IT Operations Cloud

Servicehantering

FinOps

AIOps och observerbarhet

Automatisering

Nätverkshantering

Portfolio

Dataskydd och säkerhetskopiering av slutpunkter

Endpoint-hantering och mobil säkerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datasäkerhet

Information i ny tappning

Artificiell intelligens

Industri

Företagsapplikationer

Din resa till framgång

Kundtjänst

Tjänster för kundframgång

Strategi & rådgivning

Konsulttjänster

Tjänster för lärande

Managed Services

Hitta en partner på OpenText

Hitta en partnerlösning

Växa som partner

Tillgångsbibliotek

Bloggar

Händelser

Samhällen

Kundberättelser

OpenText Navigator