每個安全人員都希望盡量縮小他們的攻擊面,通過零信任理念實施最小特權(quán)策略顯然是大幅減少攻擊面的最佳實踐之一,。
來自Aberdeen 和 Code42 最近的一項研究表明,內(nèi)部人員的數(shù)據(jù)泄露可能造成高達年收入 20% 的損失,。此外,,至少有三分之一的報告數(shù)據(jù)泄露涉及內(nèi)部人員。而超過 78% 的內(nèi)部數(shù)據(jù)泄露最初都源于一次意外的數(shù)據(jù)丟失或泄露事件,。顯然,,最小特權(quán)策略可以大幅減輕人為原因造成的泄露事故,,正確的管理訪問權(quán)限對于構(gòu)建組織的防御工事來說至關(guān)重要,。
什么是最小特權(quán)訪問策略?
舉個例子:在一家銀行中,,業(yè)務員可以正常出入自己的所在的分支銀行,,但他們只是在工作期間被允許正常出入。并且只有極少數(shù)的員工能夠進入主保險庫,,一旦這些員工離開銀行站點,,他們所擁有的訪問權(quán)限必須被收回,以避免被惡意盜取,。這也就是最小特權(quán)的工作原理,。
根據(jù)網(wǎng)絡安全和基礎(chǔ)設施安全局 (CISA) 的說法,最小特權(quán)意味著“僅應將最低限度的必要權(quán)利分配給請求訪問資源的主體,,并且應在最短的必要時間內(nèi)有效,。”
使用最小特權(quán)背后的業(yè)務驅(qū)動因素是多種多樣的,。首先,,需要阻止來自員工(有意或無意)、第三方和攻擊者的威脅,,其次,,合規(guī)性也是采用最小特權(quán)策略的一個常見驅(qū)動因素。
具有管理員權(quán)限的單個受損端點通??梢詾楣粽呋驉阂鈨?nèi)部人員提供不受保護的訪問內(nèi)部網(wǎng)絡的通道,。隨著數(shù)字化的發(fā)展,今天的端點遠比以往任何時候都更加多樣化和分散,,有更多的遠程工作人員,、數(shù)十億個物聯(lián)網(wǎng)設備以及不斷向云遷移,因此,,最小權(quán)限策略毫無疑問將極有助于管理組織不斷擴展的端點,。
如何在組織內(nèi)部實現(xiàn)最小特權(quán)訪問策略管理?
每一種最小特權(quán)方法都必須根據(jù)組織自身的需求來動態(tài)調(diào)整,,因此可以根據(jù)關(guān)鍵活動制定總體戰(zhàn)略,,其中包括:
發(fā)現(xiàn)
評估身份,、資產(chǎn)、風險和訪問,。確定在遭到破壞,、被盜或受到損害時會產(chǎn)生最大影響的關(guān)鍵業(yè)務資產(chǎn)。利用合適的安全產(chǎn)品和工具來快速識別端點上使用的本地管理員賬戶,、服務賬戶和應用程序,。
業(yè)務架構(gòu)
組織的業(yè)務架構(gòu)定義了應用程序、身份和服務的可接受風險級別,,同時也決定了組織如何根據(jù)用戶的行為,,監(jiān)控和驗證對安全資產(chǎn)的訪問。關(guān)鍵是在對用戶的干擾最小的情況實現(xiàn)安全性和信任的平衡,。
管理
最小權(quán)限管理需要持續(xù)發(fā)現(xiàn)特權(quán)賬戶,、審核使用情況以及應用新的安全控制和策略。使用安全編排和自動化工具會讓特權(quán)管理工作更容易,,同時還需要通過實時提升和刪除權(quán)限來消除潛在的暴露點,。
檢測和響應
檢測工作能夠發(fā)現(xiàn)并處理對應身份不再需要特權(quán)訪問的情況。行為分析允許組織響應用戶的上下文或異常行為,,從新位置或設備登錄嘗試都有可能會觸發(fā)身份驗證要求,。一旦發(fā)現(xiàn)高風險行為,就需要立即對用戶賬戶或應用程序進行隔離,。
審查和審計
審查和審計能夠清晰地描述組織在上下文特權(quán)賬戶管理方面取得的成績,。因此組織應該持續(xù)性的審查關(guān)鍵指標以監(jiān)控特權(quán)賬戶所有權(quán)或基于策略的應用程序控制,并使用審查報告來更智能的優(yōu)化特權(quán)賬戶的生命周期,。
最小特權(quán)如何適用于
更廣泛的特權(quán)訪問管理和零信任策略
最小權(quán)限是更大權(quán)限訪問管理 (PAM)方法的核心組件,。PAM 還監(jiān)視必須訪問不同網(wǎng)絡區(qū)域和其他應用程序才能運行的應用程序和進程。這種戰(zhàn)略方法會允許或拒絕對網(wǎng)絡的特權(quán)訪問——包括基礎(chǔ)設施和應用程序,。PAM有意使用用戶的單點登錄和管理員的單點管理來管理訪問,。
與此同時,PAM 策略還必須允許快速訪問多個數(shù)據(jù)庫,、應用程序,、管理程序、網(wǎng)絡設備和安全工具,,以管理不斷擴大的攻擊面,。理想情況下,PAM 解決方案應通過開箱即用的審計和報告工具快速部署,。
近年來,,隨著威脅態(tài)勢的發(fā)展,攻擊者正在不斷利用被盜憑據(jù)和武器化 API來滲透網(wǎng)絡,。與此同時,,機器請求訪問的速度比人類更快,,訪問量也呈指數(shù)級增長。因此,,大量自動化應用程序和 API 也需要身份驗證,,需要新的方法來保護這個不斷擴展的連接領(lǐng)域。
事實上,,最小特權(quán)和PAM 策略都屬于零信任方法的范疇,。零信任架構(gòu)將邊界擴展到最遠端,無論是用戶,、設備,、應用程序還是請求網(wǎng)絡訪問的 API。在可以驗證身份和真實性之前,,拒絕訪問是默認選項,。毋庸置疑,,試試最小特權(quán)訪問和PAM策略,,將極大的減少攻擊面并更好地防止漏洞事件,將惡意訪問行為隔絕在企業(yè)網(wǎng)絡之外,。
更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<