Czym jest dostęp o najniższym poziomie uprawnień?
- Słownik IAM
- Czym jest dostęp o najniższym poziomie uprawnień?
Zasada najmniejszych uprawnień to koncepcja cyberbezpieczeństwa, zgodnie z którą użytkownicy otrzymują tylko wystarczający dostęp sieciowy (tzn. uprawnienia użytkownika) do informacji i systemów, których potrzebują do wykonywania swojej pracy.
Dlaczego zasada najmniejszych uprawnień jest ważna?
Zasada najmniejszych uprawnień jest ważna, ponieważ nadawanie pracownikom niepotrzebnych uprawnień zwiększa powierzchnię ataku na organizację, a w przypadku naruszenia ułatwia osobom atakującym poruszanie się poziomo wewnątrz sieci.
Poniżej przedstawiono najważniejsze zalety zasady najmniejszych uprawnień:
Zredukowana powierzchnia ataku
Ograniczenie uprawnień użytkowników każdego członka zespołu zmniejsza potencjalne ścieżki, którymi mogą poruszać się atakujące osoby w celu naruszenia systemów i danych.
Zapobieganie ruchom poziomym przez osoby atakujące
Jeśli bezpieczeństwo zestawu poświadczeń zostało naruszone, zasada najmniejszych uprawnień ogranicza zdolność osoby atakującej do wykorzystania ich do poruszania się w sieci.Osoba atakująca jest ograniczona tylko do systemów i danych dostępnych dla danego użytkownika, co zmniejsza jego możliwości rozprzestrzeniania złośliwego oprogramowania albo kradzieży danych.
Minimalizacja zagrożeń wewnętrznych
Ograniczenie dostępu na zasadzie najmniejszych uprawnień pomaga również zminimalizować zagrożenia wewnętrzne wynikające ze złośliwych działań, błędów lub zaniedbań popełnianych przez pracowników firmy. Na przykład, zezwolenie na instalację aplikacji wyłącznie administratorom systemu zapobiega celowemu lub przypadkowemu instalowaniu złośliwego oprogramowania przez użytkowników końcowych.
Podniesienie poziomu zgodności
Dostęp o najniższym poziomie uprawnień jest niezbędny do ograniczenia dostępu użytkowników do danych, które są przedmiotem zgodności z przepisami branżowymi i regulacyjnymi, takimi jak ustawa Health Insurance Portability and Accountability Act (HIPAA) i Ogólne rozporządzenie o ochronie danych (RODO).
Jaka jest różnica między podejściem „zero trust” a zasadą najniższego poziomu uprawnień?
Zasada najniższego poziomu uprawnień i podejście zero trust to odmienne, ale ściśle powiązane koncepcje cyberbezpieczeństwa. „Zero trust” to model cyberbezpieczeństwa z trzema podstawowymi elementami, w tym zasadą najmniejszych uprawnień:
Założenie naruszenia. Podejście „zero trust” zakłada, że zabezpieczenia każdego użytkownika-człowieka lub urządzenie mogą zostać naruszone. Zamiast domyślnie ufać wszystkim i wszystkiemu w granicach sieci, zasada „zero trust” nakazuje, aby nie ufać domyślnie nikomu.
Jednoznaczna weryfikacja. Podczas gdy starsze modele zabezpieczeń, takie jak zamek i fosa, skupiały się na tym, gdzie znajdują się użytkownicy końcowi (wewnątrz lub na zewnątrz granicy sieci), podejście „zero trust” koncentruje się na tym, kim są ci użytkownicy. Wszyscy ludzie i maszyny muszą udowodnić, że są tym, za kogo się podają, zanim uzyskają dostęp do zasobów sieciowych.
Zapewnienie możliwie najmniejszego dostępu. Po zalogowaniu się do sieci użytkownicy powinni mieć tylko minimalny dostęp do sieci, jaki jest im potrzebny do wykonywania produktywnej pracy.
Podsumowując, podczas gdy możliwe jest zapewnienie dostępu na zasadzie najniższego poziomu uprawnień bez użycia podejścia „zero trust”, odwrotna sytuacja nie jest możliwa.
Jak wdrożyć dostęp o najniższym poziomie uprawnień w organizacji
Poniżej przedstawiamy kilka wskazówek, jak pomyślnie wdrożyć zasadę najmniejszych uprawnień w swojej organizacji.
1. Użycie rozwiązania do zarządzania tożsamością i dostępem (IAM)
Zarządzanie tożsamością i dostępem (IAM) to termin zbiorczy odnoszący się do zasad i procesów zapewniających autoryzowanym użytkownikom dostęp do zasobów sieciowych, których potrzebują do wykonywania swojej pracy. Zasada najmniejszych uprawnień mieści się w zakresie IAM. Rozwiązania IAM wykorzystują automatyzację i centralne pulpity nawigacyjne, aby pomóc administratorom systemów w administrowaniu tożsamością użytkowników i kontrolowaniu dostępu do zasobów przedsiębiorstwa, w szczególności wrażliwych systemów i danych organizacyjnych.
2. Wdrożenie dodatkowych środków bezpieczeństwa
Należy włączyć uwierzytelnianie wieloskładnikowe (MFA) jako dodatkową warstwę bezpieczeństwa, aby zapobiec naruszeniom wynikającym z naruszenia poświadczeń. MFA wymaga, aby użytkownik przedstawił dwa lub więcej rodzajów weryfikacji, zanim uzyska dostęp do zasobu sieciowego. Na przykład, bankomaty wymagają od klientów banku włożenia karty debetowej, a następnie podania kodu PIN.
Dzięki temu, nawet gdyby cyberprzestępcy udało się uzyskać działające hasło, nie będzie mógł go użyć bez dodatkowego uwierzytelnienia.
3. Regularny audyt uprawnień sieciowych
Uprawnienia sieciowe powinny być regularnie przeglądane, aby zapobiec „rozrostowi uprawnień”, który dotyczy użytkowników z wyższymi poziomami dostępu niż jest to konieczne. Przeglądy powinny być również stosowane w celu zapewnienia, że wszyscy użytkownicy mają dostęp, którego potrzebują do wykonywania swojej pracy.