Принцип наименьших привилегий (POLP), также называемый «принципом наименьших полномочий» (POLA) или «принципом минимальных привилегий» (POMP), представляет собой передовую практику кибербезопасности, основанную на предоставлении минимально необходимого доступа, который необходим пользователю. для выполнения поставленной задачи. Вопреки распространенному мнению, POLP охватывает не только активные объекты, но и пассивные объекты, такие как процессы, системы и файлы, другими словами, объекты, не являющиеся пользователями. Проще говоря, концепция относится к пользователям, машинам или системам, которые не могут получить доступ к информации или выполнять действия, за исключением случаев, когда они абсолютно необходимы для выполнения своей работы или, соответственно, выполнения своих задач.
POLP продвигает ограничительные права доступа , чтобы уменьшить подверженность компаний кибератакам, сводя к минимуму связь между пользователями и системами, являясь основным компонентом стратегий нулевого доверия и защищая привилегированный доступ к активам и ценным данным .
В центре внимания этой статьи будет концепция наименьших привилегий, применяемая к вашим сотрудникам, или, другими словами, то, как ограничение прав ваших пользователей до самого низкого возможного уровня закроет дыры в безопасности в вашей организации. Поэтому мы собираемся подробно обсудить принцип наименьших привилегий и защиты.
Брекетинг привилегий и крип привилегий
С POLP связаны две основные концепции:
БРЕКЕТИНГ ПРИВИЛЕГИЙ
Брекетинг привилегий относится к практике снижения уровней разрешений пользователей до минимально возможных временных рамок, позволяющих им выполнить задачу, а затем деэскалации их прав. В отличие от стандартных учетных записей пользователей, учетные записи администратора имеют повышенные привилегии и поэтому представляют более высокий риск. С точки зрения кибербезопасности, лучше всего предоставлять права администратора своим пользователям только тогда, когда они действительно в них нуждаются, и на максимально короткий срок, который позволяет им выполнять свои задачи.
ПОЛЗУЧЕСТЬ ПРИВИЛЕГИЙ
Понятие, также называемое раздуванием разрешений, постепенным увеличением привилегий или ограничением доступа, применяется к пользователям, которые постепенно собирают ненужные разрешения. Как это могло случиться? Такое поведение обычно наблюдается в компаниях, где сотрудники меняют должностные обязанности или отделы, а их пользовательские привилегии не изменяются в соответствии с их новыми ролями. Таким образом, пользователи получают избыточные привилегии для нескольких должностей.
Каковы преимущества принципа наименьших привилегий?
Как вы, наверное, уже заметили, принцип наименьших привилегий имеет первостепенное значение в любой организации. Его цель — защитить активы компании от потенциальных внутренних и внешних угроз. Таким образом, сотрудник отдела кадров, которому требуется разрешение на доступ к базе данных сотрудника, получит доступ к информации финансового отдела, а разработчик, которому необходимы права на написание строк кода, не будет иметь разрешения на извлечение записей сотрудников.
Вот несколько основных преимуществ применения принципа наименьших привилегий для вашей организации:
Избегайте распространения вредоносных программ
УМЕНЬШИТЬ ПОВЕРХНОСТЬ КИБЕРАТАКИ
Например, предположим, что система заражена вредоносным ПО . Если эта система является частью организации, которая следует принципу наименьших привилегий, она не сможет распространиться на другие компьютеры, например, избегая атак SQL-инъекций . Это означает, что вы уменьшите вероятность запуска вирусов, червей или руткитов , поскольку у большинства ваших сотрудников не будет прав администратора , позволяющих их установку. Более того, поскольку потенциально затронутый пользователь имеет ограниченные права, вредоносная программа не сможет нанести какой-либо катастрофический ущерб, например, безвозвратно удалить или загрузить проприетарные данные.
Ограничение доступа злоумышленников
ЛУЧШАЯ БЕЗОПАСНОСТЬ
Вы бы не подумали, что сотрудник нанесет вред корпорации, в которой работает? Что ж, статистика говорит о другом.
Статистика с веб-сайта Embroker показывает, что причиной 20% киберпреступлений является злоупотребление привилегиями, а 50% компаний не защищают должным образом свои данные, имея более 1000 конфиденциальных документов, из которых 22% находятся в распоряжении каждого сотрудника.
Назначение надлежащих привилегий должностным обязанностям каждого пользователя предотвратит кражу данных и получение доступа к конфиденциальной информации злоумышленниками, использование ее для собственной выгоды и продажу в темной сети. При соблюдении принципа наименьших привилегий, если учетные данные пользователя будут скомпрометированы, кибер-злоумышленник будет иметь только ограниченный доступ к ресурсам вашей организации.
Более того, опасность непреднамеренных внутренних угроз всегда может существовать внутри вашей организации. Это означает, что некоторые сотрудники могут неосознанно причинить вред, нажимая на фишинговые ссылки или следуя инструкциям, полученным от самозванцев.
Лучшая стабильность системы
Применение POLP помогает избежать человеческой ошибки. Если у пользователя ограниченный доступ к ресурсам, он не может, например, по ошибке удалить файлы или что-то перенастроить.
Кроме того, если приложение уязвимо, это не повлияет на другие приложения, поскольку доступ ограничен.
Все это обеспечит лучшую стабильность системы и сети.
Соблюдение нормативных требований
ПОВЫШЕНИЕ ГОТОВНОСТИ К АУДИТУ
Применяя POLP в своей организации, вы можете повысить готовность к аудиту и в то же время обеспечить соответствие нормативным требованиям. В настоящее время многие стандарты требуют, чтобы компании предоставляли сотрудникам только те права, которые им необходимы для выполнения их повседневных операций. Однако, даже если ваш бизнес не обязательно должен соблюдать эти правила, имейте в виду, что в качестве наилучшей практики всегда следует применять принцип наименьших привилегий.
Это повышает продуктивность пользователя, поэтому простой не будет проблемой.
Если пользователям будет предоставлен доступ к приложению на ограниченный период времени, это заставит их выполнять задачу лучше и быстрее, а также ИТ-специалистам не придется иметь дело с большим количеством заявок, как будто мне нужен доступ туда и сюда. Помогите мне устранить то и это.
Это связано со своевременной мерой повышения привилегий, о которой я расскажу позже.
Улучшение классификации данных
Принцип наименьших привилегий также может помочь вашей компании лучше классифицировать свои данные. Таким образом, вы всегда будете знать, кто и к каким данным имеет доступ и где именно они хранятся на случай несанкционированного доступа.
Практические примеры принципа наименьших привилегий
На веб-сайте CISA есть несколько примеров, касающихся принципа наименьших привилегий , того, как он нарушается и почему его следует применять. Я объясню принцип наименьших привилегий, сославшись на три из них, два из которых относятся к принципу наименьших привилегий применительно к кибербезопасности, а один — к реальной жизни.
В кибербезопасности
Самый распространенный и актуальный пример связан с системами UNIX. Недостаток заключается в том, что не применяются проверки корневого доступа пользователей. Таким образом, пользователи имеют неограниченный доступ через права root на чтение, запись или выполнение файлов. Если бы был применен принцип наименьших привилегий, пользователь, которому нужно только выполнить резервное копирование, не должен иметь права удалять файлы.
Другой хороший пример, связанный с POLP, — это программисты. На всякий случай они требуют большего доступа, чем нужно. Таким образом, они выберут настройку по умолчанию, чтобы иметь избыточные права, потому что получение ограничительных прав может быть более сложной задачей и потребует дополнительных действий. Это нарушение принципа.
В реальной жизни
Концепция служебной необходимости, используемая в системе выдачи разрешений правительства США, представляет собой реальный пример принципа наименьших привилегий. Это означает, что людям не разрешается требовать просмотра всех секретных документов, которые они уполномочены и знают, что они существуют, чтобы избежать нарушения уровня допуска. Таким образом, у них есть доступ только к тому, что «им нужно знать» для выполнения конкретной задачи.
Мы можем пойти дальше и изобразить пример фильма, о котором мы думали.
В фильмах
Это может показаться смешным, но поверьте мне, это уместно, чтобы проиллюстрировать принцип наименьших привилегий. Помните ограниченный сектор библиотеки Гарри Поттера? У учеников не было доступа к книгам, которые могли содержать конфиденциальную информацию о темной магии, которая в руках злонамеренного ученика могла поставить под угрозу безопасность школы. Студентам не нужна информация из ограниченного сектора для выполнения повседневных домашних заданий, им нужен только доступ к обычной библиотеке. Поэтому в школе применялся принцип наименьших привилегий.
Как реализовать принцип наименьших привилегий в вашей компании
Вот примеры лучших способов реализации принципа наименьших привилегий в вашей организации. Любопытно? Продолжайте читать, чтобы не пропустить самое лучшее!
1) Настроить аудит привилегий
Это первый шаг, который позволит вам подтвердить все свои учетные записи. Это поможет вам анализировать пароли, ключи SSH и ключи доступа. Таким образом, вы можете точно увидеть, какие разрешения были предоставлены вашим пользователям.
2) Определите, какой уровень привилегий необходим каждой учетной записи. Разделение привилегий
По умолчанию все учетные записи должны иметь минимально возможный уровень привилегий. Вам следует увеличивать привилегии только в соответствии с требованиями определенных людей, чтобы они могли выполнять свою работу.
Здесь я хочу упомянуть, что существует 2 типа учетных записей: суперпользовательские и стандартные учетные записи или технически называемые пользователи с минимальными привилегиями (LPU).
Как правило, учетные записи суперпользователей используются системными администраторами, которым требуются эти привилегии. Однако большинство сотрудников, которым требуется доступ только для выполнения определенной рутинной задачи, не должны иметь специальных и дополнительных доступов, используя учетную запись стандартного пользователя, а не суперпользователя.
Меньше подверженности угрозам за счет принудительного разделения привилегий и ограничения привилегий суперпользователя и администратора.
3) Своевременный доступ
Здесь вы можете применить концепцию брекетинга привилегий, о которой мы говорили в начале статьи. Это означает, что привилегии должны быть предоставлены пользователям, которым абсолютно необходимо, чтобы они выполняли свою работу только в течение ограниченного времени. Желательно использовать инструмент, который позволяет вам повышать и деэскалацию прав ваших пользователей, а также устанавливать сроки истечения их привилегий. Например, в Windows 2016 есть такая функция, которую можно включить для ограничения времени авторизации.
Это подводит нас к следующей рекомендуемой мере.
4) Одноразовые учетные данные, чтобы избежать использования метода Pass-the-Hash.
Вы можете обеспечить минимальные привилегии , объединив метод 3 ( своевременный доступ ) с цифровым хранилищем или одноразовыми учетными данными, также называемыми ротацией паролей .
Допустим, Мартину нужны привилегии root дважды в год. Нет необходимости предоставлять ему доступ чаще двух раз в год. Поскольку ему так редко нужен этот доступ, он может использовать одноразовые учетные данные . Таким образом, вы сможете гораздо лучше отслеживать активность Мартина.
Другое решение — цифровое хранилище . Это помогает в безопасном хранении паролей привилегированных учетных записей.
Эта мера позволяет избежать Пропустите Hash техники , где хакер получает хэш пароля и использует его для аутентификации и латерального доступа к сетям .
5) Используйте автоматический аудит для постоянного мониторинга
И, конечно же, вы не всегда знаете, нужен ли Мартин доступ, или можете не помнить, что он нужен ему дважды в год. Это приводит нас к следующему методу принудительного применения наименьших привилегий.
С помощью этого метода вы также можете избежать расползания привилегий (ненужных накопленных прав с течением времени), постоянно осознавая, что выполнялось вашими пользователями в то время, когда их права были повышены. Этот метод дает вам полный доступ к журналам аудита, чтобы вы могли обнаружить и смягчить необычную активность.
6) Помните об опасности физических устройств
В некоторых случаях реализовать POLP может быть так же просто, как просто отключить USB-порты на ваших устройствах, чтобы ваши сотрудники не могли вставлять USB-накопители для загрузки вашей конфиденциальной информации или заражения ваших систем вредоносным ПО.
7) Обеспечьте минимальные привилегии и для ваших третьих лиц
Даже если вы реализуете принцип наименьших привилегий, ваши сторонние партнеры, возможно, этого не сделают. Это представляет угрозу только для вашей организации. Убедитесь, что вы применяете принцип наименьших привилегий к подрядчикам, поставщикам и удаленным сеансам, и определите, действительно ли они представляют собой угрозу.
8) ИТ-аккаунты должны иметь MFA
Поскольку ИТ-специалисты в вашей компании — самые надежные люди, им предоставляются учетные записи суперпользователей, поскольку они являются системными администраторами. Проще говоря, у них есть неограниченный доступ для выполнения любых действий в сети. Решение с многофакторной аутентификацией будет хорошим применением минимальных привилегий для учетных записей суперпользователей.
Они также могли просто использовать учетные записи администратора только для очень специальных задач и стандартные для повседневной жизни.
9) Техника сегментации сети
Вы можете использовать конфигурацию и правила брандмауэра для создания различных зон . Таким образом, вы можете контролировать, кто перемещается и имеет доступ между зонами.
Брандмауэры призваны останавливать несанкционированный привилегированный доступ и создавать демилитаризованные зоны (DMZ) между общедоступной и корпоративной сетями.
Применительно к вашим сотрудникам этот метод помогает отделить группы пользователей от сервисов. Таким образом, информация, предназначенная для доступа, видна только нужным людям.
