اصل امنیت سایبری کمترین امتیاز یا Principle of least privilege (POLP) یک چارچوب امنیت اطلاعات است که هدف آن ارائه حداقل سطح دسترسی یا مجوزهای مورد نیاز به افراد برای انجام وظایف خود است. امنیت فناوری اطلاعات، به طور کلی، یک رشته پیچیده و چند وجهی است و کمترین امتیاز به عنوان یکی از ضروریترین شیوههای امنیت سایبری برای محافظت از دسترسی به داراییهای سازمانی حیاتی است. کمترین امتیاز فقط به دسترسی انسان محدود نمیشود بلکه این شامل برنامههای کاربردی، ابزارهای اتوماسیون و دستگاههای متصل در شبکه مانند نقاط پایانی IoT، که نیاز به دسترسی به سیستمهای ممتاز در شبکه شرکت دارند، را نیز در بر می گیرد.
اجرای کمترین امتیاز به سادگی به معنای اختصاص حداقل امتیازات مورد نیاز برای انجام یک کار است. اجرای مؤثر کمترین امتیاز شامل اجرای یک مکانیسم کنترل دسترسی متمرکز و متمرکز در سراسر شبکه سازمانی است که امنیت سایبری و الزامات انطباق را متعادل میکند و همچنین اطمینان حاصل میکند که هیچ مانعی برای نیازهای عملیاتی روزانه کاربران نهایی وجود ندارد.
حداقل امتیاز، با هدف فشرده سازی سطح حمله به سازمان و از طریق کاهش تعداد مسیرهای دسترسی به سیستمهای ممتاز است.
یک رویکرد رایج که توسط سازمانها برای جلوگیری از امتیازات بیش از حد اتخاذ شده است، لغو دسترسی اداری از کاربران کسب و کار است. با این حال، تیمهای فناوری اطلاعات اغلب نیاز به اعطای امتیازات به کاربران نهایی دارند که عملیات روزانه انها شامل دسترسی به سیستمهای ممتاز است. در چنین مواردی، امتیازات دوباره اعطا میشوند و به ندرت لغو میشوند، که منجر به انباشت تدریجی حقوق دسترسی فراتر از آنچه مورد نیاز است می شود. این عمل از طریق سازمان در سطوح مختلف کاربران نفوذ میکند و منجر به یک وضعیت امنیتی به نام خزش امتیاز یا Privilege Creep میشود که به طور بالقوه میتواند مشکل دسترسی غیر مجاز را تشدید کند. هنگامی که شرکتها چنین انباشت امتیازات پیچیدهای را نادیده میگیرند، مستعد ابتلا به افشای حسابهای مهم خود به خزش امتیاز میشوند.
خزش امتیاز گسترش امتیازات فراتر از سطح دسترسی کاربر است. خزش امتیاز اغلب زمانی اتفاق می افتد که مدیران فناوری اطلاعات سخاوتمند هستند در حالی که امتیازات را به کاربران اختصاص میدهند تا از بوروکراسی پشتیبانی فناوری اطلاعات فرار کنند. یکی دیگر از دلایل قابل قبول و رایج خزش امتیاز این است که یک تیم فراموش کند امتیازات کاربران قدیمی یا موقت را حذف کند.
نمونههای معمول خزش امتیاز شامل این است که شرح شغل فرد به روز شود و امتیازات قدیمی فرد حتی پس از دوره انتقال لغو نشود، یا اگر یک فرد به طور موقت برای انجام یک کار خارج از عملکرد شغلی معمول خود نیاز به امتیازات اضافی داشته باشد و سازمان این امتیازات اضافی را پس از اتمام کار لغو نکند.
خطرات خزش امتیاز را میتوان با اجرای کمترین امتیاز در میان تمام کارکنان در شرکت کاهش داد. هنگامی که کار انجام میشود، دسترسی بلافاصله لغو میشود و درب آسیب پذیری های بالقوه و امتیازات ایستاده را میبندد. به طور خلاصه، اجرای اصل کمترین امتیاز حول مدل امنیتی صفر اعتماد یا Zero Trust میچرخد، یعنی این ایده که هر کارمند، صرف نظر از موقعیت جغرافیایی خود، پتانسیل قربانی شدن در معرض بازیگران تهدید کننده یا حتی خودش قادر میشود به تهدید مبدل شود.
چگونه اعتماد صفر و کمترین امتیاز در کنترل دسترسی مبتنی بر نقش بازی میکند؟
چرا مدیر باید در وهله اول کمترین امتیاز را اجرا کند؟ اول، همه کارکنان نیاز به دسترسی به هر اتاق ندارند، به ویژه مکانهای مهم مانند گاوصندوق، که اطلاعات و ثروت مشتری را نگه میدارد. دوم، مدیر به کارکنان اعتماد میکند تا وظایفی را انجام دهند که تحت نظارت نقش انها قرار میگیرند، اما همچنین نیاز به تأیید به موقع دارند تا وظایفی را انجام دهند که نیاز به ورود به اتاقهایی دارند که خارج از دسترسی پیش فرض انها قرار دارند.
در حال حاضر به طور مشابه، از طریق استفاده از یک راه حل PAM که شامل اعتماد صفر و اصل کمترین امتیاز است، مدیران فناوری اطلاعات میتوانند محدودیتهای دسترسی را بر کاربران اعمال کنند تا امتیازات خود را به الزامات نقش کاربر محدود کنند. روش کار هر راه حل PAM بر اساس اصل امنیت سایبری کمترین امتیاز است. یک راه حل PAM تنظیماتی را برای مدیران فناوری اطلاعات ارائه میدهد تا محدودیتهای خود را پیکربندی کنند و کمترین امتیاز را برای کاربران بر اساس نقشهای خود نقشه برداری کنند.
این اساساً این است که چگونه اعتماد صفر، اجرای اصل کمترین امتیاز را از طریق کنترل دسترسی مبتنی بر نقش، تقویت میکند.
نمونههایی از کنترل دسترسی مبتنی بر نقش مبتنی بر اعتماد صفر:
فرض کنید یک کارمند وجود دارد که با منابع حیاتی در یک تیم فناوری اطلاعات کار میکند. از انها انتظار میرود که هر بار که وارد سیستم میشوند درخواستهای دسترسی را ارسال کنند. سپس این درخواست توسط مدیر IT تأیید میشود. هنگامی که کار انها برای روز تکمیل میشود، کاربر از منبع خارج میشود و انتظار میرود که در صورت نیاز به دسترسی به سیستم، درخواست دیگری را مطرح کند.
یکی دیگر از نمونههای قابل قبول میتواند شامل تیمهای مختلف کارکنان باشد که انتظار میرود به یک منبع حیاتی دسترسی داشته باشند. با این حال، تنها یک نفر از هر تیم به این منبع دسترسی دارد، کاهش قرار گرفتن در معرض هویتهای متعدد و در نتیجه کاهش تهدید دسترسی غیر مجاز.
همه چیز درباره دسترسی ممتاز را از اینجا بخوانید
در یک سناریوی سازمانی، حملات تشدید امتیاز کنترل تدریجی ویژگیهای دسترسی سیستم را به روشهای زیر به دست میگیرند:
مدل کمترین امتیاز، دسترسی اداری و امتیازات رایج را از بین میبرد، به این معنی که تعداد مسیرهای دسترسی به منابع حیاتی شرکت نیز به طور قابل توجهی کاهش مییابد و سطح حمله کلی را کوچکتر میکند.
از انجا که بدافزار نیاز به امتیازات بالا برای اجرای دارد، اجرای کمترین امتیاز در نقاط پایانی به جلوگیری از انتشار نرم افزارهای مخرب کمک میکند. حتی اگر یک حمله رخ دهد، بدافزار مجاز به اجرا بدون امتیازات مدیریت نخواهد بود و به طور قابل توجهی آسیب بالقوه را کاهش میدهد.
با حذف دسترسی اداری برای کاربران نهایی و فعال کردن دسترسی ممتاز سیاست محور، فقط در زمان (JIT)، سازمانها میتوانند گردش کار دسترسی نرمتر را تسهیل کنند، بهره وری کارکنان را افزایش دهند و تماسهای میز کمک فناوری اطلاعات را کنترل کنند و در عین حال تهدیدات ناشی از امتیازات بیش از حد را کاهش دهند.
اجرای کمترین امتیاز به سازمانها کمک میکند تا شفافیت را در مورد اینکه چه کسی به چه چیزی و چه زمانی دسترسی داشته است، ایجاد یک محیط حسابرسی دوستانه. همچنین برای براورده کردن الزامات مختلف نظارتی صنعتی و فدرال مفید است که شرکتها خواستار اجرای سیاستهای کنترل دسترسی دقیق برای تقویت نظارت بر دادهها و امنیت سیستم مانند HIPAA، PCI DSS، SOX، GDPR و CCPA هستند. در رودی خروشان، ایمن قایقرانی کنید!
در اینجا برخی از دلایلی که چرا شرکتها نیاز به شامل مدیریت رمز عبور ممتاز به عنوان بخشی از استراتژی امنیت فناوری اطلاعات خود را. این بهترین شیوههای زیر را میتوان به هر مدل امنیتی موجود با استفاده از یک راه حل PAM معرفی کرد.
با یک حسابرسی امتیاز کامل شروع کنید
با انجام یک ممیزی امتیاز کامل برای اطمینان از تمام حسابهای ممتاز در حال حاضر در حال استفاده و نوع دسترسی انها شروع کنید. این شامل تمام حسابهای مدیر محلی و دامنه، رمزهای عبور ممتاز، کلیدهای SSH، حسابهای خدمات و اعتبارنامههای سخت کد شده در خطوط لوله DevOps برای نهادهای انسانی و غیر انسانی است.
حذف امتیازات اداری غیرمجاز
امتیازات مدیر محلی را در نقاط پایانی و امتیازات استاندارد پیش فرض برای همه کاربران حذف کنید، اما شامل مقرراتی برای گسترش دسترسی بالا برای برنامههای خاص بسته به نقش کاربر است. حقوق دسترسی اداری به تمام سرورهای درون شبکه را حذف کنید و هر کاربر را به طور پیش فرض یک کاربر استاندارد کنید.
تقسیم امتیازات و امتیازات کاربر در برنامهها، سیستمها و فرایندهای مختلف و اعطای حداقل امتیازات مورد نیاز برای همه انواع کاربران. این به محدود کردن دسترسی غیر مجاز کمک میکند و از حرکت جانبی جلوگیری میکند.
کنترلهای JIT را برای دامنه و حسابهای محلی اختصاص دهید و در صورت درخواست کاربران، امتیازات موقت را افزایش دهید. لغو خودکار مجوزها پس از یک دوره زمانی تعیین شده. در اینجا، اعتبار واقعی در معرض کاربر قرار نمیگیرد در حالی که دسترسی کافی برای مدت زمان مورد نیاز برای تکمیل کار در دست است.
کاهش امکان سوء استفاده از امتیاز با در نظر گرفتن اعتبار جاسازی شده در خطوط لوله DevOps، سیستمهای RPA و سایر دستگاههای متصل و جایگزینی انها با API هایی که اجازه میدهد بازیابی اعتبار از طاق رمز عبور مجهز به گردش کار درخواست انتشار. بلافاصله رمزهای عبور و کلیدهای ممتاز را پس از هر دسترسی به اعتبارنامههای نامعتبر که ممکن است توسط ابزارهای ورود به سیستم کلید ثبت شده باشد، بچرخانید.
اطمینان حاصل کنید که سیاستهای کم امتیاز شما فراتر از مرزهای فیزیکی به حقوق ابر شما، استخر کارکنان از راه دور، پیمانکاران، فروشندگان و تمام جلسات دسترسی از راه دور راه اندازی شده است.
به طور مداوم تمام فعالیتهای کاربر را بررسی کنید و یک ویدیو از جلسات ممتاز را برای پاسخگویی واضح ضبط کنید. امتیازدهی اعتماد کاربر را برای شناسایی ناهنجاریها در زمان واقعی و خاتمه دادن به فعالیتهای مشکوک کاربر ترکیب کنید.
اصل کمترین امتیاز را با PAM360 تمرین کنید- PAM360 مجموعه راه حل PAM ManageEngine است.
PAM360 خدمات مختلفی از جمله گردش کار درخواست انتشار رمز عبور، JIT و کنترل دسترسی مبتنی بر نقش را ارائه میدهد.
| کنترل دسترسی مبتنی بر نقش | امتیازات JIT | گردش کار درخواست انتشار رمز عبور |
| کنترل دسترسی مبتنی بر نقش، محدودیت امتیازات کاربران بر اساس نقشی است که انها در سازمان ایفا میکنند. از طریق چندین نقش قابل تنظیم موجود در PAM360، مدیران فناوری اطلاعات میتوانند کاربران را به نقشهای مبتنی بر مدیر و کاربر تقسیم کنند. انها میتوانند میزان امتیازات خود را محدود کنند و انتخاب کنند که کدام کاربر کدام امتیاز را دریافت میکند. | ویژگی تخصیص امتیاز JIT PAM360 به مدیران IT اجازه میدهد تا به طور موقت با فعال کردن کنترل دسترسی به کاربران دسترسی داشته باشند. این افزایش موقت امتیازات به طور گستردهای به عنوان ارتقاء امتیاز و مدیریت نمایندگی نامیده میشود. | همانند مثالی که در بالا دیدیم، PAM360 به مدیران فناوری اطلاعات اجازه میدهد تا گردش کار درخواست انتشار را با تنظیمات قابل تنظیم تنظیم کنند که دیکته میکند که چگونه یک کاربر ممتاز ممکن است به یک منبع حیاتی دسترسی پیدا کند. از طریق چنین گردش کار، PAM360 یک اصل ۴ چشم را در هر فرایند تأیید درخواست رمز عبور بررسی میکند. |
با کارشناسان مدانت صحبت کنید تا درک کنید که چگونه میتوانید اصل امنیت سایبری کمترین امتیاز را در گردش کار IT و شیوههای امنیتی سازمان خود با PAM360 به کار ببرید.
[…] اصل کمترین امتیاز چیست؟ […]
[…] مطلب مرتبط: اصل کمترین امتیاز و اعتماد صفر! […]