Vad ?r principen om minsta m?jliga privilegium?

Tekniska ?mnen

Vad ?r principen om minsta m?jliga privilegium?

Illustration av IT-artiklar med fokus p? en gl?dlampa

?versikt

Minsta m?jliga privilegium ?r en grundl?ggande princip f?r nollf?rtroendes?kerhet, med k?rnfilosofin att endast bevilja s? mycket ?tkomst som beh?vs. ?ven om det ursprungligen diskuterades som en del av en n?tverkss?kerhetsstrategi ?r det mycket effektivare att till?mpa nollf?rtroendes?kerhet p? applikationslagret f?r f?rbrukningsbara resurser (applikationer, tj?nster, data etc.). Med den h?r strategin kan du knyta specifika policyer f?r resurs?tkomst till de personer och program som har ?tkomst till dem.

Principen om minsta m?jliga privilegium

Vilka typer av hot hanteras b?st genom s?kerhet med l?gsta beh?righet?

?tkomst med l?gsta m?jliga privilegier ?r en s?kerhetsstrategi som fokuserar p? att s?kerst?lla att identiteter, personer och processer beviljas den l?gsta niv? av beh?righeter som kr?vs f?r att vara produktiva - eller funktionella n?r det g?ller programmatisk ?tkomst. I sin till informationss?kerhet pekar NIST (National Institute of Standards and Technology) p? vanliga problem som hanteras med minsta m?jliga privilegium:?

Illvillig insider: Denna hottyp ?r ofta sv?r att uppt?cka, och skadliga aktiviteter kan l?tt passera obem?rkta i m?nader eller ?r. Skurkar p? insidan kan vara entrepren?rer, anst?llda och till och med administrat?rer och alla ledningsniv?er. Minsta m?jliga privilegier ?r en prim?r s?kerhetsmetod f?r att begr?nsa de skador som missbruk kan orsaka en organisation.
Illvillig samverkan: Detta kan intr?ffa n?r tv? eller flera d?liga akt?rer samordnar illvilliga aktiviteter. Denna typ av utnyttjande leder ofta till mycket st?rre skada ?n vad som normalt ?r m?jligt f?r en enskild individ. Det ?r d?rf?r som tillsynsmyndigheter och organisationer anv?nder ansvarsf?rdelning (SoD) f?r att skydda sig mot den h?r typen av missbruk. SoD kr?ver mer ?n en person f?r att slutf?ra en uppgift. ?ven om man ofta t?nker p? det i samband med finansiella tj?nster, skyddar samma principer mot olika former av bedr?geri, sabotage, st?ld eller missbruk av k?nslig information.
F?rsumlig insider: Detta ?r akt?rer som, ?ven om de inte har d?liga avsikter, g?r fel som uts?tter deras organisationer f?r risk. F?rsumliga beteenden inkluderar konfigurationsfel som oavsiktligt st?nger av viktiga digitala tj?nster eller exponerar k?nslig information p? webben. Den h?r typen av incidenter publiceras rutinm?ssigt i media.?
Komprometterad insider: Det h?r ?r n?r en insiders inloggningsuppgifter p? n?got s?tt har ?ventyrats, vanligtvis genom n?tfiske. Ju bredare och mer l?ngtg?ende ?tkomst ett konto har, desto st?rre ?r den potentiella skadan f?r organisationen. Det ?r d?rf?r som chefer i allt h?gre grad blir m?ltavlor (whaling).

Vilka ?r de fr?msta orsakerna till att privilegier kryper fram?

Privilege creep ?r n?r en anv?ndare samlar p? sig r?ttigheter som inte ?r motiverade utifr?n dennes roll inom organisationen. Det sker vanligtvis gradvis ?ver tid och drabbar ofta organisationer som beh?ver skydda sin reglerade eller k?nsliga information. N?r personer byter roll beviljas ofta beh?righeter snabbt f?r att f? dem att bli produktiva, men eftersom ansvarsomr?den kan dr?ja kvar beh?lls ofta tidigare r?ttigheter. De typer av resurser d?r minsta m?jliga privilegium m?ste bed?mas inkluderar:?

Core applikationer och tj?nster
Ostrukturerade data?
System och plattformar

Vid n?gon tidpunkt inser ledningsgruppen att de m?ste f? grepp om den privilegierade ?tkomsten till deras k?rntj?nster och k?nsliga information. De prioriterar och sponsrar s?kerhetsteamen s? att de tillsammans med informations?garna kan bilda tigerteam f?r privilegierad ?tkomst. Projekt startas upp och m?l definieras. Med sin nydesignade milj? f?r identitetsstyrning som automatiserar ?tkomstf?rfr?gningar och godk?nnanden ?verl?mnas underh?llet av den till verksamheten. Alltf?r ofta ?r denna typ av fokus inte kontinuerlig - men ?ven med automatiserade f?rfr?gningar och godk?nnanden ?r privilegieskrypning fortfarande en potentiell risk.

Ofta uppst?r privilegier n?r aff?rsdynamiken avviker fr?n definierade styrningspolicyer. Arbetsfl?den med beh?righeter har en tendens att expandera i takt med att organisationer f?r?ndras och ansvarsomr?den flyttas. N?gra av de vanligaste k?llorna till krypande beh?righeter ?r?

Godk?nnande: Godk?nnandeinstanser, som f?retr?desvis ?r informations?gare, g?r inte korrekta bed?mningar av beh?righetsf?rfr?gningar. Upptagna godk?nnare kanske inte tar den tid som kr?vs f?r att exakt f?rst? vem den beg?rande anv?ndaren ?r och vilka behov de har.
Otillr?cklig granskningsprocess: Detta omfattar avsaknad av regelbundna granskningar eller granskningar som utf?rs av personer som inte ?r utrustade f?r att p? ett korrekt s?tt granska eller bed?ma l?mpligheten i beg?ran om tillg?ng.?
Anv?ndare med h?g risk: Det finns vissa anv?ndare d?r det ?r fullt m?jligt f?r dem att ackumulera en niv? av r?ttigheter ?ver tid som utg?r en oacceptabel risk f?r organisationen. Detta h?nder n?r anv?ndaren tillf?lligt tar p? sig olika projekt och roller som kr?ver r?ttigheter f?r att utf?ra och dessa r?ttigheter beh?lls d?refter.?

Privilegieskrypning ?r n?stan oundvikligt n?r organisationer anpassar sig eller svarar p? olika dynamiska krav som st?lls p? dem. Men det bryter mot en viktig nollf?rtroendeprincip som ?r utformad f?r att skydda organisationer fr?n utomst?ende, och ?r en bidragande orsak till de stora kostnaderna f?r intr?ng som forts?tter att v?xa i praktiskt taget alla branscher.

Hur man kontrollerar att privilegier inte anv?nds

En av de sv?raste aspekterna n?r det g?ller att skydda sig mot "privilege creep" ?r att det ofta sker ?ver tid medan granskarna, som ?r ansvariga f?r m?nga saker, fokuserar p? andra saker. Det ?r inte observerbart vid en viss tidpunkt, utan m?ste snarare ses ?ver en relativt l?ng tidsperiod. Med tanke p? det subtila s?tt p? vilket ett konto kan f?rvandlas till en oacceptabel riskniv? utan att uppt?ckas, beror den utstr?ckning i vilken det utg?r ett s?kerhetsproblem p? antalet anv?ndare, antalet ?ndringar som anv?ndarna g?r och k?nsligheten hos den information som skyddas. Det ?r en s?kerhetsutmaning som inte kan l?sas med ett kalkylblad.

Bevara ?tskillnad mellan arbetsuppgifter

Separation of duty och andra f?retagspolicyer som syftar till att f?lja regleringar ?vers?tts v?l till styrningsregler, men riskkriterierna ?r mer subjektiva. H?r ?r de vanligaste:

Alltf?r m?nga organisationer har inte en process f?r att ta bort beh?righeter p? plats. Ist?llet f?rlitar sig dessa organisationer p? grundl?ggande verktyg f?r hantering av plattformskonton. Vanligtvis ?r deras beh?righetsstyrning inget annat ?n att inaktivera konton som l?mnar organisationen. Riskhantering ?r inte en topprioritet f?r dessa organisationer. ?
Det ?r inte ovanligt att utvalda individer i organisationen som tar p? sig olika roller ?ver tid ?r toppkandidater f?r privilegieskridning. Vanliga anv?ndningsfall inkluderar rapportering p? prickad linje, bidrag i olika tigerteam och deltagande i en m?ngd olika projekt p? olika avdelningar. ?ven om det finns uppenbara produktivitetskrafter i spel n?r dessa personer tilldelas r?ttigheter, ?r s?kerhetsaspekterna ofta nedtonade. Anledningarna till att ta bort beh?righeter ?r vanligtvis spridda, men r?dslan f?r att st?ra en anv?ndare med beh?righet ?r ett vanligt sk?l till att inte g?ra det.
Alltf?r generaliserade roller kan vara en annan orsak till krypande privilegier. H?r handlar det inte s? mycket om att ge tillst?nd till l?mpliga f?rfr?gningar, utan snarare om ?verexpansion eller generalisering av roller som anv?nds f?r att tilldela dem. Effektiva roller ?r de som ?r korrekt avgr?nsade och d?r varje roll ?r avgr?nsad till r?tt beh?righetsniv?. Det ?r ofta frestande att underdefiniera och generalisera de roller som anv?nds f?r att ge beh?righeter.?

Skydd mot risk?kning

Det ?r ganska sv?rt f?r granskare att identifiera beh?righeter som f?r?ndras ?ver tid. Den h?r typen av utv?rderingar kan underl?ttas med hj?lp av automatiserad analys av f?r?ndringar ?ver tid. Granskarna kan sedan f? tillg?ng till den informationen i en instrumentpanel eller rapport. ?ven om det inte ?r m?jligt att utv?rdera alla anv?ndare i en organisation, ?r det m?jligt att effektivt granska och kontrollera det dussintal som utg?r den h?gsta risken.

Andra typer av automatiskt genererade riskvarningar och rapporter h?rr?r fr?n analys av de styrda resurserna. Resurser som inneh?ller k?nslig information och som inte granskas regelbundet tilldelas en h?gre riskpo?ng. F?r alla dessa varningar ?r dagens dominerande innovation inom styrning att identifiera och belysa riskomr?den i hela milj?n.

Hur passar "least privilege" in i "zero trust"?

?tkomst med l?gsta m?jliga privilegier ?r en av k?rnkomponenterna i en Zero Trust-arkitektur. Detta inneb?r att man endast beviljar s? mycket ?tkomst som beh?vs, med endast minimala beh?righeter under kortast m?jliga tid.

Andra zero trust-komponenter inkluderar:

Mikro-segmentering: Dela upp milj?n i mindre s?kerhetszoner f?r att begr?nsa ?tkomstm?jligheterna. Uppr?tth?lla separata s?kerhetskontroller f?r varje del av milj?n (kr?ver distribuerad hantering av dessa kontroller).
Flerfaktorsautentisering (MFA): Kr?ver tv? eller flera verifieringsfaktorer f?r att f? tillg?ng till en resurs; kr?ver st?rre identitetss?kring baserat p? aktuell riskstatus.
API-kontroll och ?vervakning: S?kerst?ll l?mplig kontroll p? programniv? s?v?l som p? anv?ndarinteraktionsniv?. Kontrollera hur m?nga olika enheter och/eller API:er som f?rs?ker f? tillg?ng till resurser.
Adaptiv: Kontextmedveten, kontinuerlig utv?rdering av risker - m?jligg?r tidig uppt?ckt av hot och snabb respons. Dynamisk respons p? det aktuella l?get mot bakgrund av den aktuella milj?n och tidigare aktiviteter.

?

Resurser

Skydda kronjuvelerna - positionspapper f?r hantering av privilegierade konton

Privilegierade konton - s?kra din Active Directory-milj? - positionspapper

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

Analytics DatabaseAnalytics Database

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery och utredningareDiscovery och utredningar

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Aviator Search

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstj?nster f?r B2BIntegrationstj?nster f?r B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Aff?rsn?tverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

AI-hantering av inneh?llAI-hantering av inneh?ll

Integration av f?retagIntegration av f?retag

Capture och intelligent dokumentbehandlingCapture och intelligent dokumentbehandling

Information ArchivingInformation Archiving

Process AutomationProcess Automation

InformationsstyrningInformationsstyrning

Content Aviator

Cybersecurity CloudCybersecurity Cloud

Applikationss?kerhetApplikationss?kerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Threat Intelligence

Threat Uppt?ckt och svarThreat Uppt?ckt och svar

Cybers?kerhet Aviator

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Functional TestingFunctional Testing

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Web och varum?rkesupplevelserWeb och varum?rkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Contact Center AnalyticsContact Center Analytics

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

N?tverkshanteringN?tverkshantering

IT-drift Aviator

好色先生TV Thrust好色先生TV Thrust

Developer Cloud teknisk dokumentation

Aviator Thrust

PortfolioPortfolio

Dataskydd och s?kerhetskopiering av slutpunkterDataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhetEndpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhetArkivering, eDiscovery och datas?kerhet

Information i ny tappning

Artificiell IntelligenceArtificiell Intelligence

IndustriIndustri

F?retagsapplikationerF?retagsapplikationer

Din resa till framg?ngDin resa till framg?ng

Kundtj?nstKundtj?nst

Tj?nster f?r kundframg?ngTj?nster f?r kundframg?ng

Strategi & r?dgivningStrategi & r?dgivning

Konsulttj?nsterKonsulttj?nster

Tj?nster f?r l?randeTj?nster f?r l?rande

Managed ServicesManaged Services

Hitta en partner p? 好色先生TVHitta en partner p? 好色先生TV

Hitta en partnerl?sningHitta en partnerl?sning

V?xa som partnerV?xa som partner

Bli en partner

Tillg?ngsbibliotekTillg?ngsbibliotek

Bloggar

H?ndelserH?ndelser

Samh?llen

Kundber?ttelserKundber?ttelser

好色先生TV Navigator好色先生TV Navigator

Utvalda

Analytics Cloud

Analytics Database

Business Intelligence och rapportering

Data Discovery

eDiscovery och utredningar

Legal Content and Knowledge Management

Business Network Cloud

Integration av leveranskedjan

Integrationstj?nster f?r B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

AI-hantering av inneh?ll

Integration av f?retag

Capture och intelligent dokumentbehandling

Information Archiving

Process Automation

Informationsstyrning

Cybersecurity Cloud

Applikationss?kerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Threat Uppt?ckt och svar

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Functional Testing

Prestandateknik

Experience Cloud

Web och varum?rkesupplevelser

Meddelanden

Kundresa och data

Media Management

Contact Center Analytics

IT Operations Cloud

Service Management

FinOps

AIOps och observerbarhet

Automatisering

N?tverkshantering

好色先生TV Thrust

Portfolio

Dataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhet

Artificiell Intelligence

Industri

F?retagsapplikationer

Din resa till framg?ng

Kundtj?nst

Tj?nster f?r kundframg?ng

Strategi & r?dgivning

Konsulttj?nster

Tj?nster f?r l?rande

Managed Services

Hitta en partner p? 好色先生TV

Hitta en partnerl?sning

V?xa som partner

Tillg?ngsbibliotek

H?ndelser

Kundber?ttelser

好色先生TV Navigator