At starte et nyt job og vente i årevis på at få alle de krævede logins er noget, vi alle har oplevet i vores arbejdsliv. Så irriterende som det lyder, er det faktisk princippet om mindst privilegium (POLP) i spil.
Dette er et designprincip, der spiller en integreret rolle i udformningen af sikkerhedslandskabet i enhver organisation. Det dikterer tildeling af kun minimale privilegier til enhver enhed inklusive brugere, programmer eller processer.
Hvad er princippet om mindst privilegium, og hvordan fungerer det?
Hovedforudsætningen bag dette koncept er, at den mindste mængde privilegium vil koste mindst mulig skade.
Hvis en angriber forsøger at infiltrere et netværk ved at prøve at kompromittere brugeradgang på lavt niveau, vil de ikke være i stand til at få adgang til de kritiske systemer. Derefter vil en medarbejder med lavadgangsadgang, der forsøger at misbruge systemet, ikke kunne forårsage megen skade.
Princippet om mindst privilegium giver adgang fra bunden op. Der gives kun minimal adgang til at udføre de nødvendige jobfunktioner, og justeringer foretages, når arbejdskravene ændres. Ved at tilbageholde privilegier holdes enhver organisations sikkerhed stort set intakt.
Lad os se på, hvordan princippet om mindst privilegium kan implementeres på den bedst mulige måde.
5 bedste måder at gennemføre princippet om mindst privilegium
De fleste medarbejdere ønsker de højeste niveauer af adgang til at udføre deres job effektivt, men at give adgang uden at foretage en ordentlig risikovurdering kan åbne en Pandoras kasse med sikkerhedsrisici.
Her er de 5 bedste måder at implementere mindst mulig privilegium på:
- Gennemfør regelmæssig adgangskontrol: Det er svært at holde styr på brugerrettigheder, og om de har brug for ændringer. Gennemførelse af regelmæssigt planlagte revisioner for alle eksisterende konti, processer og programmer kan sikre, at ingen enheder har mere end de krævede tilladelser.
- Start med det mindste privilegium: Gå med de absolutte minimumsrettigheder, især når du opretter nye brugerkonti. Skal tilladelserne op efter behov.
- Indstil privilegierne til at udløbe: At begrænse hævede rettigheder midlertidigt efter behov er en god ide at holde styr på brugerlegitimationsoplysninger. Visse hævede privilegier bør også indstilles til at udløbe med en engangsoplysninger for at sikre maksimal sikkerhed.
- Overvej adskillelse af privilegier: Hold forskellige kategorier af adgangsniveauer adskilt fra hinanden. For eksempel skal administratorkonti grupperes separat fra standardkonti.
- Påfør sporbarhed: Opret konti med specifikke bruger-id'er og engangsadgangskoder med overvågning på plads for at sikre automatisk revision og sporbarhed med hensyn til skadekontrol.
Et virkeligt eksempel på misbrug af privilegier
I 2013 lækkede Edward Snowden, en tidligere entreprenør for CIA, omfattende detaljer om amerikansk efterretning vedrørende internettet og telefonovervågning til medierne. Han fik med urette systemadministratorrettigheder, mens hans job som entreprenør kun medførte overførsel af data mellem forskellige agenturer.
Edward Snowden-sagen er det primære eksempel på misbrug af unødvendige privilegier, og ingen tale om princippet om mindst privilegium er komplet uden at reflektere over det. For at forhindre lignende problemer i fremtiden NSA har siden skåret ned antallet af brugere med systemadministratorrettigheder fra 1.000 til blot 100.
Fordele ved princippet om mindst privilegium
Ud over at forhindre misbrug af privilegium tilbyder princippet om mindst privilegium også en overflod af andre fordele.
Forbedret sikkerhed og reduceret udnyttelse: Begrænsning af privilegier for mennesker og processer begrænser også mulighederne for udnyttelse og brugerangreb. Jo flere strømbrugere har, jo mere kan de misbruge systemet.
Mindre forekomst af malware: Med absolut minimumsrettigheder på plads kan malware indeholdes i oprindelsesområdet for at forhindre yderligere udbredelse i systemet. For eksempel kan det berygtede SQL-injektionsangreb let afhjælpes, da det er afhængigt af manglen på mindst privilegium.
Forbedret operationel ydeevne: Da det mindste privilegium kun tillader en håndfuld brugere at foretage autoriserede ændringer i systemet, resulterer det i reducerede kompatibilitetsproblemer og chancer for operationelle fejl. Systemstabilitet sikres også på grund af reducerede stilstandstider.
Nem revision: Systemerne, der kører på princippet om mindst privilegium, er gode kandidater til forenklet revision. Som en ekstra fordel betragter mange almindelige tilsynsmyndigheder implementeringen af mindst privilegium som en del af et overholdelseskrav.
Reducerede socialtekniske angreb: De fleste socialtekniske angreb som phishing udføres ved at lokke en bruger til at åbne en inficeret vedhæftet fil eller et link. Med princippet om mindst privilegium på plads kan administrative konti begrænse udførelsen af visse filtyper og endda håndhæve adgangskodeadministratorer for at reducere forekomsten af sådanne angreb.
Forbedret hændelsesrespons: Princippet om mindst privilegium hjælper med at forstå og overvåge brugeradgangsniveauerne, hvilket igen fremskynder hændelsesresponsindsatsen i tilfælde af sikkerhedsangreb eller overtrædelser.
Hvad er Privilege Creep?
Føler du nogensinde, at dine medarbejdere har mere it-adgang, end de har brug for? Eller måske føler du som medarbejder, at du fik adgang på tværs af systemer, som du sjældent nogensinde bruger?
Uanset hvad er akkumuleringen af unødvendige privilegier for brugerne kendt som "privilegie-krybning". De fleste medarbejdere skifter roller inden for en organisation og fortsætter med at samle privilegier, der burde have været tilbagekaldt, når jobfunktionen var opfyldt.
Mange undersøgelser viser, at overprivilegerede brugere er den største trussel mod sikkerheden, og at de fleste kompromiser skyldes insidertrusler. POLP forhindrer privilegiet i at krybe op ved at tilskynde til regelmæssigt planlagte medarbejderrisikovurderinger, revisioner og sporbarhed.
Relaterede: Risikoen for kompromitterede legitimationsoplysninger og trusler fra insider på arbejdspladsen
Lær om de mest almindelige typer kompromitterede legitimationsoplysninger og insidertrusler. Beskyt dig selv hjemme og på arbejdspladsen ved at mindske disse risici, inden de ankommer.
Mindre er mere, når det kommer til sikkerhed
Begrebet minimalisme gælder også for cybersikkerhedens verden - jo færre privilegier en bruger har, jo mindre er risikoen for potentielle komplikationer. Princippet om mindst privilegium er et magert, men gennemsnitligt designkoncept, der sikrer en restriktiv tilgang til at give tilladelser.
Implementering af princippet om mindst privilegium sammen med at udvikle en dyb bevidsthed om, hvordan data holdes sikre, er medvirkende til at reducere sikkerhedsrisici og beskytte dine kritiske aktiver.
Her er alle vores bedste artikler om, hvordan du holder dig sikker, mens du surfer på nettet, bruger din computer, bruger din telefon og meget mere!
- Teknologi forklaret
- Sikkerhed
- Computersikkerhed
Kinza er en teknologientusiast, teknisk forfatter og selvudråbt nørd, der bor i det nordlige Virginia med sin mand og to børn. Med en bachelor i computernetværk og adskillige it-certificeringer inden for sit bælte arbejdede hun i telekommunikationsindustrien, inden hun gik ud i teknisk skrivning. Med en niche inden for cybersikkerhed og skybaserede emner nyder hun at hjælpe kunder med at imødekomme deres forskellige tekniske skrivebehov over hele kloden. I sin fritid nyder hun at læse fiktion, teknologiblogs, udforme vittige børnehistorier og lave mad til sin familie.
Abonner på vores nyhedsbrev
Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!
Et trin mere !!!
Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.