技术主题

什么是最小特权原则?

以灯泡为重点的信息技术项目图示

概述

最低权限是零信任安全的基本原则,其核心理念是只授予必要的访问权限。虽然最初是作为网络安全策略的一部分来讨论的,但将零信任安全应用于可消耗资源(应用程序、服务、数据等)的应用层要有效得多。这种方法可以将特定的资源访问策略与访问这些资源的人员和程序联系起来。

最小特权原则

哪些类型的威胁最适合通过最小权限安全来解决?

最低权限访问是一种安全策略,其重点是确保身份、人员和流程获得最低级别的权限,以提高工作效率--就程序访问而言,就是发挥功能。在其 800-12R1信息安全介绍中,NIST(美国国家标准与技术研究院)指出了最低权限所涉及的常见问题: 

  • 恶意内部人员: 这种威胁类型通常很难被发现,有害活动很容易在数月或数年内不被察觉。内部坏人可以是承包商、员工,甚至是管理员和各级管理人员。最低权限是一种主要的安全方法,可限制滥用对组织造成的损害范围。
  • 恶意串通:当两个或两个以上的不良行为者协调进行恶意活动时,就会出现这种情况。这种利用类型造成的损害通常远远超过单个人可能造成的损害。这就是为什么监管机构和组织使用职责分离(SoD)来防止这种滥用的原因。职责分离要求不止一个人完成一项任务。虽然人们通常认为这是金融服务的范畴,但这些原则同样可以防止不同形式的欺诈、破坏、盗窃或滥用敏感信息。
  • 疏忽的内部人员:这些行为者虽然没有不良意图,但他们的错误会使组织面临风险。疏忽行为包括无意中关闭重要数字服务或将敏感信息暴露在网络上的配置错误。这类事件经常见诸媒体。 
  • 内部人员受损:这是指内部人员的凭证以某种方式泄露,通常是通过网络钓鱼。账户访问范围越广、影响越深,对组织造成的潜在危害就越大。这就是为什么越来越多的高管成为攻击目标("捕鲸")的原因。

特权蠕变的主要原因是什么?

权限攀升是指用户积累的权限超出了其在组织中的角色所需的合理范围。这种情况通常会随着时间的推移逐渐发生,并经常影响到需要保护受监管信息或敏感信息的组织。当个人改变角色时,通常会迅速授予权限,以提高工作效率,但由于责任可能会持续存在,以前的权限通常会保留下来。需要评估最低权限的资源类型包括: 

在某些时候,领导团队意识到,他们需要掌控核心服务和敏感信息的特权访问。他们优先考虑并发起安全团队与信息所有者联手组建特权访问老虎小组。项目启动,目标确定。新设计的身份治理环境可自动处理访问请求和审批,其维护工作则移交给运营部门。很多时候,这种关注并不是持续性的,但即使有了自动化的申请和审批,特权攀升仍然是一个潜在的风险。

当业务动态偏离已定义的治理政策时,往往会产生权限攀升。随着组织的发展和职责的变化,权限工作流有扩大的趋势。一些最常见的权限攀升来源包括 

  • 审批:审批者最好是信息所有者,他们不能准确评估权限申请。繁忙的审批人可能不会花时间去准确了解申请用户的身份及其需求。
  • 审查程序不当:这包括缺乏定期审查,或由不具备适当审查或评估访问请求适当性能力的人进行审查。 
  • 高风险用户: 有些用户很有可能随着时间的推移而积累一定的权限,从而给组织带来不可接受的风险。出现这种情况的原因是用户临时承担了各种需要权限才能执行的项目和角色,而这些权限随后又被保留了下来。 

在组织适应或应对强加给它们的各种动态时,特权攀升几乎是不可避免的。但是,它违反了旨在保护组织不受外人侵害的关键零信任原则,也是几乎所有行业的巨额违规成本持续增长的一个因素。


如何控制权限攀升

防止特权蠕变最困难的一点是,当负责很多事情的审稿人专注于其他事情时,特权蠕变往往会随着时间的推移而发生。这在任何一个时间点都无法观察到,而必须在相对较长的时间跨度内进行观察。由于账户可以在不被发现的情况下演变成不可接受的风险级别,因此其造成安全问题的程度取决于用户量、用户更改的次数以及受保护信息的敏感性。这是一个电子表格无法解决的安全难题。

维护职责分离

职责分离和其他旨在遵守法规的公司政策可以很好地转化为治理规则,但风险标准则更加主观。以下是最常见的风险标准:

  • 太多的组织没有制定取消许可的流程。相反,这些组织依赖于基本的平台账户管理工具。通常情况下,他们的权限控制无非是禁用离开组织的账户。风险管理并不是这些组织的首要任务。  
  • 在组织中,随着时间推移担任不同角色的特定人员是特权攀升的热门人选,这种情况并不少见。常见的用例包括点线式报告、在不同的老虎团队中做出贡献,以及参与不同部门的各种项目。虽然在为这些人员分配权限时,有明显的生产力因素在起作用,但安全方面的考虑却往往不明显。移除权限的场合通常比较分散,但担心干扰获得权限的用户是不移除权限的常见原因。
  • 过度泛化的角色可能是特权蠕变的另一个因素。在这里,与其说是向适当的请求授予权限,不如说是过度扩展或概括用于分配权限的角色。有效的角色应该是那些划分得当的角色,每个角色都与适当的权限级别不同。对用于应用权限的角色定义不足和泛化常常是一种诱惑。 

防范风险攀升

审查员很难识别随时间漂移的权限。自动分析随时间的变化可以帮助进行这类评估。然后,审核人员可以在仪表板或报告中访问这些信息。虽然对整个组织的所有用户进行评估是不可行的,但有效审查和审核构成最高风险的前十几名用户却是可能的。

其他类型的自动生成风险警报和报告是通过分析受管资源得出的。包含敏感信息且未定期审查的资源会被赋予较高的风险分值。对于所有这些警报,当今主流的治理创新是在整个环境中识别和突出风险领域。


最小特权与零信任有什么关系?

最低权限访问是零信任架构的核心组成部分之一。这意味着只根据需要授予尽可能多的访问权限,只在必要的最短时间内授予最低权限。

其他零信任组件包括

  • 微型分区:将环境细分为更小的安全区,以限制访问范围。为环境的每个分区维护单独的安全控制(需要对这些控制进行分布式管理)。
  • 多因素身份验证(MFA):需要两个或更多验证因素才能访问资源;要求根据当前风险状态提供更高的身份保证。
  • 应用程序接口控制和监测:确保在程序层面和用户交互层面进行适当控制。控制尝试访问资源的不同设备和/或应用程序接口的数量。
  • 适应性:情境感知、持续评估风险--能够及早发现威胁并做出快速反应。在当前环境和过去活动的背景下对当前状态做出动态响应。

 


我们能提供什么帮助?

脚注