Vad ?r principen om minsta m?jliga privilegium?

Tekniska ?mnen

Vad ?r principen om minsta m?jliga privilegium?

Illustration av IT-artiklar med fokus p? en gl?dlampa

?versikt

Minsta m?jliga privilegium ?r en grundl?ggande princip f?r nollf?rtroendes?kerhet, med k?rnfilosofin att endast bevilja s? mycket ?tkomst som beh?vs. ?ven om det ursprungligen diskuterades som en del av en n?tverkss?kerhetsstrategi ?r det mycket effektivare att till?mpa nollf?rtroendes?kerhet p? applikationslagret f?r f?rbrukningsbara resurser (applikationer, tj?nster, data etc.). Med den h?r strategin kan du knyta specifika policyer f?r resurs?tkomst till de personer och program som har ?tkomst till dem.

Principen om minsta m?jliga privilegium

Vilka typer av hot hanteras b?st genom s?kerhet med l?gsta beh?righet?

?tkomst med l?gsta m?jliga privilegier ?r en s?kerhetsstrategi som fokuserar p? att s?kerst?lla att identiteter, personer och processer beviljas den l?gsta niv? av beh?righeter som kr?vs f?r att vara produktiva - eller funktionella n?r det g?ller programmatisk ?tkomst. I sin till informationss?kerhet pekar NIST (National Institute of Standards and Technology) p? vanliga problem som hanteras med minsta m?jliga privilegium:?

Illvillig insider: Denna hottyp ?r ofta sv?r att uppt?cka, och skadliga aktiviteter kan l?tt passera obem?rkta i m?nader eller ?r. Skurkar p? insidan kan vara entrepren?rer, anst?llda och till och med administrat?rer och alla ledningsniv?er. Minsta m?jliga privilegier ?r en prim?r s?kerhetsmetod f?r att begr?nsa de skador som missbruk kan orsaka en organisation.
Illvillig samverkan: Detta kan intr?ffa n?r tv? eller flera d?liga akt?rer samordnar illvilliga aktiviteter. Denna typ av utnyttjande leder ofta till mycket st?rre skada ?n vad som normalt ?r m?jligt f?r en enskild individ. Det ?r d?rf?r som tillsynsmyndigheter och organisationer anv?nder ansvarsf?rdelning (SoD) f?r att skydda sig mot den h?r typen av missbruk. SoD kr?ver mer ?n en person f?r att slutf?ra en uppgift. ?ven om man ofta t?nker p? det i samband med finansiella tj?nster, skyddar samma principer mot olika former av bedr?geri, sabotage, st?ld eller missbruk av k?nslig information.
F?rsumlig insider: Detta ?r akt?rer som, ?ven om de inte har d?liga avsikter, g?r fel som uts?tter deras organisationer f?r risk. F?rsumliga beteenden inkluderar konfigurationsfel som oavsiktligt st?nger av viktiga digitala tj?nster eller exponerar k?nslig information p? webben. Den h?r typen av incidenter publiceras rutinm?ssigt i media.?
Komprometterad insider: Det h?r ?r n?r en insiders inloggningsuppgifter p? n?got s?tt har ?ventyrats, vanligtvis genom n?tfiske. Ju bredare och mer l?ngtg?ende ?tkomst ett konto har, desto st?rre ?r den potentiella skadan f?r organisationen. Det ?r d?rf?r som chefer i allt h?gre grad blir m?ltavlor (whaling).

Vilka ?r de fr?msta orsakerna till att privilegier kryper fram?

Privilege creep ?r n?r en anv?ndare samlar p? sig r?ttigheter som inte ?r motiverade utifr?n dennes roll inom organisationen. Det sker vanligtvis gradvis ?ver tid och drabbar ofta organisationer som beh?ver skydda sin reglerade eller k?nsliga information. N?r personer byter roll beviljas ofta beh?righeter snabbt f?r att f? dem att bli produktiva, men eftersom ansvarsomr?den kan dr?ja kvar beh?lls ofta tidigare r?ttigheter. De typer av resurser d?r minsta m?jliga privilegium m?ste bed?mas inkluderar:?

Core applikationer och tj?nster
Ostrukturerade data?
System och plattformar

Vid n?gon tidpunkt inser ledningsgruppen att de m?ste f? grepp om den privilegierade ?tkomsten till deras k?rntj?nster och k?nsliga information. De prioriterar och sponsrar s?kerhetsteamen s? att de tillsammans med informations?garna kan bilda tigerteam f?r privilegierad ?tkomst. Projekt startas upp och m?l definieras. Med sin nydesignade milj? f?r identitetsstyrning som automatiserar ?tkomstf?rfr?gningar och godk?nnanden ?verl?mnas underh?llet av den till verksamheten. Alltf?r ofta ?r denna typ av fokus inte kontinuerlig - men ?ven med automatiserade f?rfr?gningar och godk?nnanden ?r privilegieskrypning fortfarande en potentiell risk.

Ofta uppst?r privilegier n?r aff?rsdynamiken avviker fr?n definierade styrningspolicyer. Arbetsfl?den med beh?righeter har en tendens att expandera i takt med att organisationer f?r?ndras och ansvarsomr?den flyttas. N?gra av de vanligaste k?llorna till krypande beh?righeter ?r?

Godk?nnande: Godk?nnandeinstanser, som f?retr?desvis ?r informations?gare, g?r inte korrekta bed?mningar av beh?righetsf?rfr?gningar. Upptagna godk?nnare kanske inte tar den tid som kr?vs f?r att exakt f?rst? vem den beg?rande anv?ndaren ?r och vilka behov de har.
Otillr?cklig granskningsprocess: Detta omfattar avsaknad av regelbundna granskningar eller granskningar som utf?rs av personer som inte ?r utrustade f?r att p? ett korrekt s?tt granska eller bed?ma l?mpligheten i beg?ran om tillg?ng.?
Anv?ndare med h?g risk: Det finns vissa anv?ndare d?r det ?r fullt m?jligt f?r dem att ackumulera en niv? av r?ttigheter ?ver tid som utg?r en oacceptabel risk f?r organisationen. Detta h?nder n?r anv?ndaren tillf?lligt tar p? sig olika projekt och roller som kr?ver r?ttigheter f?r att utf?ra och dessa r?ttigheter beh?lls d?refter.?

Privilegieskrypning ?r n?stan oundvikligt n?r organisationer anpassar sig eller svarar p? olika dynamiska krav som st?lls p? dem. Men det bryter mot en viktig nollf?rtroendeprincip som ?r utformad f?r att skydda organisationer fr?n utomst?ende, och ?r en bidragande orsak till de stora kostnaderna f?r intr?ng som forts?tter att v?xa i praktiskt taget alla branscher.

Hur man kontrollerar att privilegier inte anv?nds

En av de sv?raste aspekterna n?r det g?ller att skydda sig mot "privilege creep" ?r att det ofta sker ?ver tid medan granskarna, som ?r ansvariga f?r m?nga saker, fokuserar p? andra saker. Det ?r inte observerbart vid en viss tidpunkt, utan m?ste snarare ses ?ver en relativt l?ng tidsperiod. Med tanke p? det subtila s?tt p? vilket ett konto kan f?rvandlas till en oacceptabel riskniv? utan att uppt?ckas, beror den utstr?ckning i vilken det utg?r ett s?kerhetsproblem p? antalet anv?ndare, antalet ?ndringar som anv?ndarna g?r och k?nsligheten hos den information som skyddas. Det ?r en s?kerhetsutmaning som inte kan l?sas med ett kalkylblad.

Bevara ?tskillnad mellan arbetsuppgifter

Separation of duty och andra f?retagspolicyer som syftar till att f?lja regleringar ?vers?tts v?l till styrningsregler, men riskkriterierna ?r mer subjektiva. H?r ?r de vanligaste:

Alltf?r m?nga organisationer har inte en process f?r att ta bort beh?righeter p? plats. Ist?llet f?rlitar sig dessa organisationer p? grundl?ggande verktyg f?r hantering av plattformskonton. Vanligtvis ?r deras beh?righetsstyrning inget annat ?n att inaktivera konton som l?mnar organisationen. Riskhantering ?r inte en topprioritet f?r dessa organisationer. ?
Det ?r inte ovanligt att utvalda individer i organisationen som tar p? sig olika roller ?ver tid ?r toppkandidater f?r privilegieskridning. Vanliga anv?ndningsfall inkluderar rapportering p? prickad linje, bidrag i olika tigerteam och deltagande i en m?ngd olika projekt p? olika avdelningar. ?ven om det finns uppenbara produktivitetskrafter i spel n?r dessa personer tilldelas r?ttigheter, ?r s?kerhetsaspekterna ofta nedtonade. Anledningarna till att ta bort beh?righeter ?r vanligtvis spridda, men r?dslan f?r att st?ra en anv?ndare med beh?righet ?r ett vanligt sk?l till att inte g?ra det.
Alltf?r generaliserade roller kan vara en annan orsak till krypande privilegier. H?r handlar det inte s? mycket om att ge tillst?nd till l?mpliga f?rfr?gningar, utan snarare om ?verexpansion eller generalisering av roller som anv?nds f?r att tilldela dem. Effektiva roller ?r de som ?r korrekt avgr?nsade och d?r varje roll ?r avgr?nsad till r?tt beh?righetsniv?. Det ?r ofta frestande att underdefiniera och generalisera de roller som anv?nds f?r att ge beh?righeter.?

Skydd mot risk?kning

Det ?r ganska sv?rt f?r granskare att identifiera beh?righeter som f?r?ndras ?ver tid. Den h?r typen av utv?rderingar kan underl?ttas med hj?lp av automatiserad analys av f?r?ndringar ?ver tid. Granskarna kan sedan f? tillg?ng till den informationen i en instrumentpanel eller rapport. ?ven om det inte ?r m?jligt att utv?rdera alla anv?ndare i en organisation, ?r det m?jligt att effektivt granska och kontrollera det dussintal som utg?r den h?gsta risken.

Andra typer av automatiskt genererade riskvarningar och rapporter h?rr?r fr?n analys av de styrda resurserna. Resurser som inneh?ller k?nslig information och som inte granskas regelbundet tilldelas en h?gre riskpo?ng. F?r alla dessa varningar ?r dagens dominerande innovation inom styrning att identifiera och belysa riskomr?den i hela milj?n.

Hur passar "least privilege" in i "zero trust"?

?tkomst med l?gsta m?jliga privilegier ?r en av k?rnkomponenterna i en Zero Trust-arkitektur. Detta inneb?r att man endast beviljar s? mycket ?tkomst som beh?vs, med endast minimala beh?righeter under kortast m?jliga tid.

Andra zero trust-komponenter inkluderar:

Mikro-segmentering: Dela upp milj?n i mindre s?kerhetszoner f?r att begr?nsa ?tkomstm?jligheterna. Uppr?tth?lla separata s?kerhetskontroller f?r varje del av milj?n (kr?ver distribuerad hantering av dessa kontroller).
Flerfaktorsautentisering (MFA): Kr?ver tv? eller flera verifieringsfaktorer f?r att f? tillg?ng till en resurs; kr?ver st?rre identitetss?kring baserat p? aktuell riskstatus.
API-kontroll och ?vervakning: S?kerst?ll l?mplig kontroll p? programniv? s?v?l som p? anv?ndarinteraktionsniv?. Kontrollera hur m?nga olika enheter och/eller API:er som f?rs?ker f? tillg?ng till resurser.
Adaptiv: Kontextmedveten, kontinuerlig utv?rdering av risker - m?jligg?r tidig uppt?ckt av hot och snabb respons. Dynamisk respons p? det aktuella l?get mot bakgrund av den aktuella milj?n och tidigare aktiviteter.

?

Resurser

Skydda kronjuvelerna - positionspapper f?r hantering av privilegierade konton

Privilegierade konton - s?kra din Active Directory-milj? - positionspapper

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

AnalysdatabasAnalysdatabas

Analys av ostrukturerad dataAnalys av ostrukturerad data

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

F?retagss?kningF?retagss?kning

Aviator S?k

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstj?nster f?r B2BIntegrationstj?nster f?r B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Aff?rsn?tverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

AI-hantering av inneh?llAI-hantering av inneh?ll

Integration av f?retagIntegration av f?retag

Insamling och intelligent dokumentbearbetningInsamling och intelligent dokumentbearbetning

Information ArchivingInformation Archiving

ProcessautomatiseringProcessautomatisering

InformationsstyrningInformationsstyrning

Inneh?ll Aviator

Cybersecurity CloudCybersecurity Cloud

Applikationss?kerhetApplikationss?kerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Underr?ttelser om hot

Uppt?ckt och hantering av hotUppt?ckt och hantering av hot

Cybers?kerhet Aviator

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Funktionell testningFunktionell testning

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Webb- och varum?rkesupplevelserWebb- och varum?rkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Analys av kontaktcenterAnalys av kontaktcenter

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

ServicehanteringServicehantering

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

N?tverkshanteringN?tverkshantering

IT-drift Aviator

好色先生TV Tryckkraft好色先生TV Tryckkraft

Developer Cloud teknisk dokumentation

Aviator Tryckkraft

PortfolioPortfolio

Dataskydd och s?kerhetskopiering av slutpunkterDataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhetEndpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhetArkivering, eDiscovery och datas?kerhet

Information i ny tappning

Artificiell intelligensArtificiell intelligens

IndustriIndustri

F?retagsapplikationerF?retagsapplikationer

Din resa till framg?ngDin resa till framg?ng

Kundtj?nstKundtj?nst

Tj?nster f?r kundframg?ngTj?nster f?r kundframg?ng

Strategi & r?dgivningStrategi & r?dgivning

Konsulttj?nsterKonsulttj?nster

Tj?nster f?r l?randeTj?nster f?r l?rande

Managed ServicesManaged Services

Hitta en partner p? 好色先生TVHitta en partner p? 好色先生TV

Hitta en partnerl?sningHitta en partnerl?sning

V?xa som partnerV?xa som partner

Bli en partner

Tillg?ngsbibliotekTillg?ngsbibliotek

Bloggar

H?ndelserH?ndelser

Samh?llen

Utvalda

Analytics Cloud

Analysdatabas

Analys av ostrukturerad data

Business Intelligence och rapportering

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

F?retagss?kning

Business Network Cloud

Integration av leveranskedjan

Integrationstj?nster f?r B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

AI-hantering av inneh?ll

Integration av f?retag

Insamling och intelligent dokumentbearbetning

Information Archiving

Processautomatisering

Informationsstyrning

Cybersecurity Cloud

Applikationss?kerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Uppt?ckt och hantering av hot

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Funktionell testning

Prestandateknik

Experience Cloud

Webb- och varum?rkesupplevelser

Meddelanden

Kundresa och data

Media Management

Analys av kontaktcenter

IT Operations Cloud

Servicehantering

FinOps

AIOps och observerbarhet

Automatisering

N?tverkshantering

好色先生TV Tryckkraft

Portfolio

Dataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhet

Artificiell intelligens

Industri

F?retagsapplikationer

Din resa till framg?ng

Kundtj?nst

Tj?nster f?r kundframg?ng

Strategi & r?dgivning

Konsulttj?nster

Tj?nster f?r l?rande

Managed Services

Hitta en partner p? 好色先生TV

Hitta en partnerl?sning

V?xa som partner

Tillg?ngsbibliotek

H?ndelser

Kundber?ttelser

好色先生TV Navigator