Одна з найпростіших речей, які організація може зробити для зменшення ризику порушення безпеки, – це впровадити принцип найменших привілеїв. У цій статті розповідається, що таке принцип найменших привілеїв і як можна використовувати цей принцип для зміцнення системи безпеки.
Визначення принципу найменших привілеїв
Принцип найменших привілеїв – це найкраща практика безпеки, яка вимагає обмеження привілеїв до мінімуму, необхідного для виконання роботи або завдання.
Одним з ключових аспектів реалізації принципу найменших привілеїв є обмеження прав доступу користувачів, адміністраторів і комп’ютерних облікових записів. Наприклад, працівник, який працює у відділі продажів, не повинен мати доступ до фінансової документації, а маркетолог не повинен мати привілеїв адміністратора.
Однак принцип найменших привілеїв має ширше застосування, включаючи фізичний контроль доступу до конфіденційних зон, таких як серверні кімнати та центри обробки даних.
Організації можуть отримати багато переваг, впроваджуючи практики принципу найменших привілеїв. До них відносяться:
- Краща безпека: принцип найменших привілеїв може обмежити шкоду від внутрішніх загроз, включаючи як зловмисні атаки, так і помилки, оскільки користувачі мають доступ лише до тих ІТ-ресурсів, які їм потрібні для виконання своєї роботи.
- Зменшення можливостей для ескалації привілеїв: Обмеження кількості облікових записів з привілейованим доступом ускладнює доступ сторонніх зловмисників до конфіденційних даних і систем.
- Захист від інших атак: Впровадження принципу найменших привілеїв може обмежити поширення шкідливого програмного забезпечення та пов’язаних з ним загроз у мережі.
Основні практики безпеки для впровадження принципу найменших привілеїв
Три ключові стратегії є особливо цінними для реалізації принципу найменших привілеїв:
Обмеження прав облікових записів користувачів
Один з найефективніших способів зниження ризику (який все ще недостатньо використовується) – це забезпечення того, щоб кожен користувач мав лише той тип і рівень дозволів, який необхідний для виконання його роботи. Зрештою, якщо користувач не має доступу до конфіденційних даних, він не може випадково прикріпити ці файли до електронного листа або навмисно завантажити їх, щоб передати конкуренту, коли звільниться. Якщо ж обліковим записом користувача заволодіє зловмисник, він матиме доступ лише до обмеженого набору ІТ-ресурсів.
Використовувати стратегію «just-in-time» (JIT) для надання розширених прав доступу
JIT зазвичай використовується для працівників, яким тимчасово потрібні розширені права або доступ до додатків, систем, серверів чи інших ІТ-ресурсів, якими вони зазвичай не користуються. Зокрема, організації можуть надавати доступ «just-in-time» членам ІТ-команди, яким потрібно виконати адміністративне завдання, наприклад, вирішити запит на підтримку. Звичайно, відповідно до моделі безпеки Zero Trust, цей процес повинен включати перевірку особи, яка запитує доступ.
Прагнути до нульових постійних привілеїв
Нульові постійні привілеї (ZSP) – це стратегія управління привілейованим доступом (PAM), яка йде пліч-о-пліч з JIT. Якщо є змога ефективно надавати користувачам підвищений доступ саме тоді, коли це потрібно, можна позбутися їхніх «постійно активних» привілейованих облікових записів.
Впровадження ZSP може значно зменшити площу поверхні атаки на бізнес. Дійсно, багато організацій сьогодні мають десятки або навіть сотні облікових записів з розширеними правами до конфіденційних даних і додатків. Власники цих облікових записів (або зловмисники, які входять до їх складу) можуть навмисно або випадково змінити критичні налаштування програмного забезпечення або видалити цінні дані. Але з нульовими постійними привілеями ці облікові записи не мають необхідних підвищених прав, щоб завдати такої серйозної шкоди. Замість цього адміністратори повинні запитувати розширені права, необхідні їм для виконання конкретного завдання.
Як впровадити принцип найменших привілеїв
Для посилення інформаційної безпеки потрібно виконати ці кроки, щоб впровадити принцип найменших привілеїв.
Виявлення
Сканування та каталогізація всіх систем та каталогів, підключених до корпоративної мережі. Створення списку всіх облікових записів та членів усіх груп, включно з усіма вбудованими адміністративними групами.
Регулярний перегляд привілеїв
Регулярний перегляд дозволів всіх облікових записів і груп, особливо тих, що мають привілейований доступ до життєво важливих ресурсів, таких як Active Directory (AD). В ідеалі, варто використовувати рішення, які дозволяють надавати дозволи на основі ролей, спрощують для власників даних перегляд прав доступу до їхніх даних і забезпечують робочі процеси, які дозволяють користувачам запитувати доступ безпосередньо у власників ресурсів.
Моніторинг
Проведення аудиту використання привілейованих облікових записів. Слід переконатися, що всі облікові дані, які були відкриті на будь-який час, після використання підлягають ротації. За допомогою відповідних механізмів контролю необхідно переконатися, що привілеї видаляються, коли вони більше не потрібні.
Найкращі практики принципу найменших привілеїв
Впроваджуючи принцип найменших привілеїв, слід пам’ятати про наведені нижче найкращі практики та приклади принципу найменших привілеїв.
Мінімізація привілеїв на основі вимог ролі або завдання користувача
Кожен обліковий запис користувача повинен дозволяти користувачеві робити те, що він повинен робити в рамках своєї роботи.
Мінімізація привілеїв для облікових записів, що не належать людям (як от службових)
Впровадження програми в тестовому середовищі, де є змога точно визначити, які саме дозволи потрібні службовому обліковому запису. Деякі вендори стверджують, що адміністративний доступ потрібен навіть тоді, коли достатньо менших дозволів. Крім того, варто змінити облікові дані за замовчуванням для службових облікових записів.
Періодичний перегляд прав доступу, щоб переконатися, що дотримується принцип найменших привілеїв
Співробітники часто змінюють ролі або відділи, але рідше їхні права доступу належним чином коригуються при кожній такій зміні. З часом працівники часто накопичують великий набір привілеїв, тому важливо видаляти непотрібні привілеї, щоб зменшити ризик для систем і даних.
Пов’язані найкращі практики
Впровадження принципу найменших привілеїв – це чудовий спосіб зменшити площу поверхні атаки та підвищити рівень безпеки. Однак слід доповнити свою стратегію безпеки іншими ключовими найкращими практиками:
Використання привілейованих акаунтів лише тоді, коли це необхідно для виконання завдання.
Кожен адміністратор повинен мати обліковий запис користувача зі стандартними привілеями для читання електронної пошти, перегляду вебсторінок тощо. Вони повинні входити в систему з обліковими даними, які надають підвищені привілеї, лише тоді, коли їм потрібно виконувати адміністративні завдання.
Проведення аудиту активності всіх облікових записів, особливо привілейованих.
Необхідно мати можливість відстежувати та аналізувати, коли і як користувачі автентифікуються, які завдання вони виконують і які конкретні зміни вони вносять у середовище.
Впровадження багатофакторної автентифікації для облікових записів ІТ-адміністраторів.
Адміністратори повинні пройти звичайну автентифікацію (наприклад, за допомогою ID користувача та пароля), а потім виконати другий крок, використовуючи інший механізм автентифікації (наприклад, апаратний токен або відбиток пальця) кожного разу, коли вони хочуть виконати адміністративні завдання.
Як Netwrix може допомогти
Такі рішення, як Netwrix Privilege Secure та Netwrix Password Secure можуть допомогти організації:
- Зменшити ризики безпеки. Якщо адміністратору потрібні розширені права для виконання певного завдання, можна створити ефемерний обліковий запис з необхідними дозволами або тимчасово підвищити дозволи для чинного облікового запису користувача. В обох випадках розширені права доступу зникають одразу після завершення завдання, не залишаючи жодного постійного облікового запису для компрометації зловмисниками або зловживань з боку власника.
- Захистити привілейований доступ. Підтвердження ідентичності відповідно до принципів нульової довіри, застосування контекстної багатофакторної автентифікації (MFA) для кожного привілейованого сеансу з використанням детальних політик, пристосованих до конкретних дій і ресурсів.
- Виявити неналежну привілейовану активність. Ретельне відстеження всієї активності привілейованих облікових записів і негайне отримання сповіщення про підозрілу поведінку як у приміщеннях, так і в хмарі.
- Мінімізувати поверхню атаки за допомогою автоматичного очищення. Зниження ризиків Pass-the-Hash, Golden Ticket та інших атак за допомогою автоматичного очищення тікетів Kerberos після кожного привілейованого сеансу.
