اصل کمترین امتیاز و اعتماد صفر!

اصل کمترین امتیاز

اصل امنیت سایبری کمترین امتیاز یا Principle of least privilege (POLP) یک چارچوب امنیت اطلاعات است که هدف آن ارائه حداقل سطح دسترسی یا مجوزهای مورد نیاز به افراد برای انجام وظایف خود است. امنیت فناوری اطلاعات، به طور کلی، یک رشته پیچیده و چند وجهی است و کمترین امتیاز به عنوان یکی از ضروری‌ترین شیوه‌های امنیت سایبری برای محافظت از دسترسی به دارایی‌های سازمانی حیاتی است. کمترین امتیاز فقط به دسترسی انسان محدود نمی‌شود بلکه این شامل برنامه‌های کاربردی، ابزارهای اتوماسیون و دستگاه‌های متصل در شبکه مانند نقاط پایانی IoT، که نیاز به دسترسی به سیستم‌های ممتاز در شبکه شرکت دارند، را نیز در بر می گیرد.

کمترین امتیاز چیست؟

اجرای کمترین امتیاز به سادگی به معنای اختصاص حداقل امتیازات مورد نیاز برای انجام یک کار است. اجرای مؤثر کمترین امتیاز شامل اجرای یک مکانیسم کنترل دسترسی متمرکز و متمرکز در سراسر شبکه سازمانی است که امنیت سایبری و الزامات انطباق را متعادل می‌کند و همچنین اطمینان حاصل می‌کند که هیچ مانعی برای نیازهای عملیاتی روزانه کاربران نهایی وجود ندارد.

چرا کمترین امتیاز مهم است؟

حداقل امتیاز، با هدف فشرده سازی سطح حمله به سازمان و از طریق کاهش تعداد مسیرهای دسترسی به سیستم‌های ممتاز است.

یک رویکرد رایج که توسط سازمان‌ها برای جلوگیری از امتیازات بیش از حد اتخاذ شده است، لغو دسترسی اداری از کاربران کسب و کار است. با این حال، تیم‌های فناوری اطلاعات اغلب نیاز به اعطای امتیازات به کاربران نهایی دارند که عملیات روزانه انها شامل دسترسی به سیستم‌های ممتاز است. در چنین مواردی، امتیازات دوباره اعطا می‌شوند و به ندرت لغو می‌شوند، که منجر به انباشت تدریجی حقوق دسترسی فراتر از آنچه مورد نیاز است می شود. این عمل از طریق سازمان در سطوح مختلف کاربران نفوذ می‌کند و منجر به یک وضعیت امنیتی به نام خزش امتیاز یا Privilege Creep می‌شود که به طور بالقوه می‌تواند مشکل دسترسی غیر مجاز را تشدید کند. هنگامی که شرکت‌ها چنین انباشت امتیازات پیچیده‌ای را نادیده می‌گیرند، مستعد ابتلا به افشای حساب‌های مهم خود به خزش امتیاز می‌شوند.

خزش امتیاز چیست؟

خزش امتیاز گسترش امتیازات فراتر از سطح دسترسی کاربر است. خزش امتیاز اغلب زمانی اتفاق می افتد که مدیران فناوری اطلاعات سخاوتمند هستند در حالی که امتیازات را به کاربران اختصاص می‌دهند تا از بوروکراسی پشتیبانی فناوری اطلاعات فرار کنند. یکی دیگر از دلایل قابل قبول و رایج خزش امتیاز این است که یک تیم فراموش کند امتیازات کاربران قدیمی یا موقت را حذف کند.

نمونه‌های معمول خزش امتیاز شامل این است که شرح شغل فرد به روز شود و امتیازات قدیمی فرد حتی پس از دوره انتقال لغو نشود، یا اگر یک فرد به طور موقت برای انجام یک کار خارج از عملکرد شغلی معمول خود نیاز به امتیازات اضافی داشته باشد و سازمان این امتیازات اضافی را پس از اتمام کار لغو نکند.

خطرات خزش امتیاز را می‌توان با اجرای کمترین امتیاز در میان تمام کارکنان در شرکت کاهش داد. هنگامی که کار انجام می‌شود، دسترسی بلافاصله لغو می‌شود و درب آسیب پذیری های بالقوه و امتیازات ایستاده را می‌بندد. به طور خلاصه، اجرای اصل کمترین امتیاز حول مدل امنیتی صفر اعتماد یا Zero Trust می‌چرخد، یعنی این ایده که هر کارمند، صرف نظر از موقعیت جغرافیایی خود، پتانسیل قربانی شدن در معرض بازیگران تهدید کننده یا حتی خودش قادر میشود به تهدید مبدل شود.

چگونه اعتماد صفر و کمترین امتیاز در کنترل دسترسی مبتنی بر نقش بازی می‌کند؟

چرا مدیر باید در وهله اول کمترین امتیاز را اجرا کند؟ اول، همه کارکنان نیاز به دسترسی به هر اتاق ندارند، به ویژه مکان‌های مهم مانند گاوصندوق، که اطلاعات و ثروت مشتری را نگه می‌دارد. دوم، مدیر به کارکنان اعتماد می‌کند تا وظایفی را انجام دهند که تحت نظارت نقش انها قرار می‌گیرند، اما همچنین نیاز به تأیید به موقع دارند تا وظایفی را انجام دهند که نیاز به ورود به اتاق‌هایی دارند که خارج از دسترسی پیش فرض انها قرار دارند.

در حال حاضر به طور مشابه، از طریق استفاده از یک راه حل PAM که شامل اعتماد صفر و اصل کمترین امتیاز است، مدیران فناوری اطلاعات می‌توانند محدودیت‌های دسترسی را بر کاربران اعمال کنند تا امتیازات خود را به الزامات نقش کاربر محدود کنند. روش کار هر راه حل PAM بر اساس اصل امنیت سایبری کمترین امتیاز است. یک راه حل PAM تنظیماتی را برای مدیران فناوری اطلاعات ارائه می‌دهد تا محدودیت‌های خود را پیکربندی کنند و کمترین امتیاز را برای کاربران بر اساس نقش‌های خود نقشه برداری کنند.

این اساساً این است که چگونه اعتماد صفر، اجرای اصل کمترین امتیاز را از طریق کنترل دسترسی مبتنی بر نقش، تقویت می‌کند.

نمونه‌هایی از کنترل دسترسی مبتنی بر نقش مبتنی بر اعتماد صفر:

فرض کنید یک کارمند وجود دارد که با منابع حیاتی در یک تیم فناوری اطلاعات کار می‌کند. از انها انتظار می‌رود که هر بار که وارد سیستم می‌شوند درخواست‌های دسترسی را ارسال کنند. سپس این درخواست توسط مدیر IT تأیید می‌شود. هنگامی که کار انها برای روز تکمیل می‌شود، کاربر از منبع خارج می‌شود و انتظار می‌رود که در صورت نیاز به دسترسی به سیستم، درخواست دیگری را مطرح کند.

یکی دیگر از نمونه‌های قابل قبول می‌تواند شامل تیم‌های مختلف کارکنان باشد که انتظار می‌رود به یک منبع حیاتی دسترسی داشته باشند. با این حال، تنها یک نفر از هر تیم به این منبع دسترسی دارد، کاهش قرار گرفتن در معرض هویت‌های متعدد و در نتیجه کاهش تهدید دسترسی غیر مجاز.

همه چیز درباره دسترسی ممتاز را از اینجا بخوانید

ادامه مطلب در صفحه بعد...