每个安全人员都希望尽量缩小他们的攻击面,通过零信任理念实施最小特权策略显然是大幅减少攻击面的最佳实践之一。
来自Aberdeen 和 Code42 最近的一项研究表明,内部人员的数据泄露可能造成高达年收入 20% 的损失。此外,至少有三分之一的报告数据泄露涉及内部人员。而超过 78% 的内部数据泄露最初都源于一次意外的数据丢失或泄露事件。显然,最小特权策略可以大幅减轻人为原因造成的泄露事故,正确的管理访问权限对于构建组织的防御工事来说至关重要。
什么是最小特权访问策略?
举个例子:在一家银行中,业务员可以正常出入自己的所在的分支银行,但他们只是在工作期间被允许正常出入。并且只有极少数的员工能够进入主保险库,一旦这些员工离开银行站点,他们所拥有的访问权限必须被收回,以避免被恶意盗取。这也就是最小特权的工作原理。
根据网络安全和基础设施安全局 (CISA) 的说法,最小特权意味着“仅应将最低限度的必要权利分配给请求访问资源的主体,并且应在最短的必要时间内有效。”
使用最小特权背后的业务驱动因素是多种多样的。首先,需要阻止来自员工(有意或无意)、第三方和攻击者的威胁,其次,合规性也是采用最小特权策略的一个常见驱动因素。
具有管理员权限的单个受损端点通常可以为攻击者或恶意内部人员提供不受保护的访问内部网络的通道。随着数字化的发展,今天的端点远比以往任何时候都更加多样化和分散,有更多的远程工作人员、数十亿个物联网设备以及不断向云迁移,因此,最小权限策略毫无疑问将极有助于管理组织不断扩展的端点。
如何在组织内部实现最小特权访问策略管理?
每一种最小特权方法都必须根据组织自身的需求来动态调整,因此可以根据关键活动制定总体战略,其中包括:
01发现——评估身份、资产、风险和访问。确定在遭到破坏、被盗或受到损害时会产生最大影响的关键业务资产。利用合适的安全产品和工具来快速识别端点上使用的本地管理员账户、服务账户和应用程序。
02业务架构——组织的业务架构定义了应用程序、身份和服务的可接受风险级别,同时也决定了组织如何根据用户的行为,监控和验证对安全资产的访问。关键是在对用户的干扰最小的情况实现安全性和信任的平衡。
03管理——最小权限管理需要持续发现特权账户、审核使用情况以及应用新的安全控制和策略。使用安全编排和自动化工具会让特权管理工作更容易,同时还需要通过实时提升和删除权限来消除潜在的暴露点。
04检测和响应——检测工作能够发现并处理对应身份不再需要特权访问的情况。行为分析允许组织响应用户的上下文或异常行为,从新位置或设备登录尝试都有可能会触发身份验证要求。一旦发现高风险行为,就需要立即对用户账户或应用程序进行隔离。
05审查和审计——审查和审计能够清晰地描述组织在上下文特权账户管理方面取得的成绩。因此组织应该持续性的审查关键指标以监控特权账户所有权或基于策略的应用程序控制,并使用审查报告来更智能的优化特权账户的生命周期。
最小特权如何适用于更广泛的特权访问管理和零信任策略
最小权限是更大权限访问管理 (PAM)方法的核心组件。PAM 还监视必须访问不同网络区域和其他应用程序才能运行的应用程序和进程。这种战略方法会允许或拒绝对网络的特权访问——包括基础设施和应用程序。PAM有意使用用户的单点登录和管理员的单点管理来管理访问。
与此同时,PAM 策略还必须允许快速访问多个数据库、应用程序、管理程序、网络设备和安全工具,以管理不断扩大的攻击面。理想情况下,PAM 解决方案应通过开箱即用的审计和报告工具快速部署。
近年来,随着威胁态势的发展,攻击者正在不断利用被盗凭据和武器化 API来渗透网络。与此同时,机器请求访问的速度比人类更快,访问量也呈指数级增长。因此,大量自动化应用程序和 API 也需要身份验证,需要新的方法来保护这个不断扩展的连接领域。
事实上,最小特权和PAM 策略都属于零信任方法的范畴。零信任架构将边界扩展到最远端,无论是用户、设备、应用程序还是请求网络访问的 API。在可以验证身份和真实性之前,拒绝访问是默认选项。毋庸置疑,试试最小特权访问和PAM策略,将极大的减少攻击面并更好地防止漏洞事件,将恶意访问行为隔绝在企业网络之外。