Wat is toegang met minimale privileges?
- IAM-woordenlijst
- Wat is toegang met minimale privileges?
Het Principle of Least Privilege (PoLP) is een cyberbeveiligingsconcept waarin gebruikers precies genoeg netwerktoegang krijgen (ook wel gebruikersprivileges genoemd) tot de informatie en systemen die ze nodig hebben om hun werk te doen, en verder niets.
Waarom is het Principle of Least Privilege belangrijk?
Het Principle of Least Privilege (principe van minimale privileges) is belangrijk omdat uw werknemers onnodige privileges geven het aanvalsoppervlak van uw organisatie vergroot, en als er een lek plaatsvind het makkelijker is voor cybcercriminelen om zich lateraal door het netwerk te bewegen.
Hieronder vindt u de belangrijkste voordelen van PoLP:
Verkleind aanvalsoppervlak
Door de gebruikersprivileges van elk teamlid te beperken, verlaagt u de mogelijke paden die cybercriminelen kunnen gebruiken om systemen binnen te dringen en gegevens te roven.
Voorkom laterale beweging door cybercriminelen
Als een set aanmeldingsgegevens wordt gecompromitteerd, verkleint de PoLP de mogelijkheid van de cybercrimineel om ze te gebruiken om zich lateraal over het netwerk te bewegen. De cybercrimineel wordt beperkt tot alleen de systemen en gegevens die beschikbaar zijn voor die gebruiker, daarmee de kansen verkleinend om malware te verspreiden, data te onttrekken of allebei.
Minimaliseer dreigingen door insiders
Toegang met minimale privileges beperken helpt ook bedreigingen van insiders door middel van kwaadwillende activiteiten, fouten of nalatigheid van insiders binnen het bedrijf te minimaliseren. Bijvoorbeeld, als u alleen systeembeheerders toestaat om apps te installeren, voorkomt u dat eindgebruikers opzettelijk of per ongeluk malware installeren.
Verbeter de naleving
Toegang via minimale privileges is uitermate belangrijk om de gebruikerstoegang te beperken tot gegevens die onderhevig zijn aan branche- en regelgevende nalevingsmandaten, zoals de Health Insurance Portability and Accountability Act (HIPAA) en Algemene Verordening Gegevensbescherming (AVG).
Wat is het verschil tussen zero-trust en minimale privileges?
Minimale privileges en zero-trust zijn verschillende maar sterk gerelateerde cyberbeveiligingsconcepten. Zero-trust is een cyberbeveiligingsmodel met drie kerncomponenten, waaronder het PoLP:
Ga uit van een lek. Zero-trust gaat ervan uit dat elke menselijke gebruiker of elk apparaat kan worden gecompromitteerd. In plaats van alles en iedereen te vertrouwen binnen de netwerkperimeter, vertrouwt zero-trust impliciet niemand.
Verifieer expliciet. Terwijl oudere beveiligingsmodellen, zoals kasteel en gracht, zich richtten op waar eindgebruikers zich bevonden (binnen of buiten de netwerkperimeter), centreert zero-trust zich op wie ze zijn. Alle mensen en machines moeten bewijzen dat ze zijn wie ze zeggen dat ze zijn voordat ze toegang kunnen krijgen tot netwerkbronnen.
Zorg voor toegang met minimale privileges. Na aanmelding bij het netwerk moeten gebruikers de minimale netwerktoegang krijgen die ze nodig hebben om hun werk te doen om de productiviteit te waarborgen, maar verder niets.
Kortom: hoewel het mogelijk is om toegang met minimale privileges te bereiken met zero-trust, is het omgekeerde niet het geval.
Zo kunt u toegang met minimale privileges in uw organisatie implementeren
Hier volgen een aantal tips voor het succesvol implementeren van het PoLP in uw organisatie.
1. Gebruik Identity and Access Management (IAM)-oplossingen
Identity and access management (IAM) is een parapluterm die verwijst naar beleid en processen die ervoor zorgen dat geautoriseerde gebruikers toegang hebben tot de netwerkbronnen die ze nodig hebben om hun werk te doen. Het principe van minimale privileges valt onder de IAM-paraplu. IAM-oplossingen maken gebruik van automatisering en centrale dashboards om systeembeheerders te helpen bij het beheren van gebruikersidentiteiten en het controleren van toegang tot de bronnen van grote ondernemingen, met name vertrouwelijke organisatorische systemen en gegevens.
2. Gebruik aanvullende beveiligingsmaatregelen
Schakel Multi-Factor Authentication (MFA) in als een aanvullende beveiligingslaag om lekken als gevolg van gecompromitteerde aanmeldingsgegevens te voorkomen. Voor MFA moet een gebruiker twee of meer soorten verificatie verstrekken voordat er toegang wordt verleend tot een netwerkbron. Bij geldautomaten moeten klanten van de bank bijvoorbeeld hun bankpasje invoeren, gevolgd door een pincode.
Zo zorgt u ervoor dat zelfs als een cybercrimineel erin slaagt om een werkend wachtwoord te bemachtigen, deze het wachtwoord niet kan gebruiken zonder aanvullende authenticatie.
3. Controleer netwerkprivileges regelmatig
Controleer netwerkprivileges op regelmatige basis om 'privilege creep' te voorkomen, dat verwijst naar gebruikers met hogere toegangsniveaus dan nodig. Controles zijn ook nodig om ervoor te zorgen dat alle gebruikers de toegang hebben die ze nodig hebben om hun werk te doen.