Zero Standing Privileges (ZSP) یک اصطلاح امنیتی IT است که به امتیازات دسترسی یا حقوق دائمی اشاره دارد. در اصل توسط گارتنر ابداع شد، ZSP رویکردی است که به بهبود وضعیت امنیتی سازمان از طریق حذف امتیازات اضافی و دائمی اشاره دارد و همچنین بهعنوان امتیازات دائمی شناخته میشود. چنین امتیازاتی بهطور بالقوه میتواند سطح حمله را افزایش دهد و راه را برای حملات سوءاستفاده از امتیازات هموار کند.
ZSP یک جزء حیاتی از مدل امنیتی Zero Trust است و هدف نهایی کنترلهای مدیریت دسترسی ممتاز (PAM) مانند دسترسی در لحظه (JIT)، احراز هویت تطبیقی، اصل کمترین امتیاز و گردشکار کنترل دسترسی است.
در کلامی دیگر:
Zero Standing Privileges (ZSP) یک استراتژی مدیریت دسترسی ممتاز (PAM) است که در آن سازمان ها با حذف کلیه مجوزهای دسترسی دائمی کاربر، دسترسی به داده های حساس را محدود میکنند.
ZSP با توسعه سیاستها و کنترلهایی که کاربران را ملزم میکند همیشه هویت خود را قبل از دسترسی به زیرساختهای فناوری اطلاعات شرکت تأیید کنند، از معماری امنیتی صفر پشتیبانی میکند. این خطمشیها تضمین میکنند که کاربران به سیستمها، برنامهها، سرورها یا منابع دیگر «در زمان مقرر» دسترسی پیدا میکنند تا کار روزانه خود را تکمیل کنند. از طریق این استراتژی مجوزها، سازمانها سطح حمله را کاهش میدهند و دسترسی اعطا شده به فرد را جهت جلوگیری از پیامدهای مخرب, محدود میکنند.
به عبارتی Zero Standing یعنی همیشه صفر بودن دسترسی. و نباید دسترسی امتیازات ویژه در مدت زمان طولانی یا خارج از توافق در اختیار فرد بصورت یک ۱ باقی بماند و باید بلافاصله بعد از اتمام کار فرد امتیازات او به صفر برگردد!
همه چیز درباره دسترسی ممتاز را از اینجا بخوانید
امتیازات دائمی معمولاً امتیازات دسترسی اداری “همیشگی” هستند که هرکسی میتواند برای دسترسی دائمی به دستگاههای بحرانی استفاده کند. برخی از بهترین نمونههای امتیازات دائمی عبارتاند از:
در بسیاری از سازمانها، کسانی که مسئول مدیریت منابع فناوری اطلاعات حساس به کسبوکار هستند، مانند سرورها، پایگاه دادهها و برنامهها، معمولاً امتیازات حیاتی دارند. این به این دلیل است که نقش آنها معمولاً نیاز به دسترسی مداوم و فوری به چنین دستگاههای حساس برای عملیات روزانه و اهداف نگهداری دارد.
درحالیکه ابزارهای استاندارد PAM گزینههایی را برای به اشتراک گذاشتن این امتیازات با کاربران ارائه میدهند، این امتیازات معمولاً دائمی هستند. علاوه بر این، دسترسی بهطورمعمول بر اساس همهیاهیچ چیز، بر اساس نیازهای نقش کلی یا بخش بهجای افراد واقعی اعطا میشود. اگر و زمانی که این امتیازات توسط خودیهای مخرب و سایر بازیگران تهدید افشا یا سوءاستفاده شود، میتواند برای سازمانها عذابآور باشد.
آنچه ابزارهای PAM باید بهطور ایدئال ارائه دهند، کنترلهای دسترسی دقیق است که به مدیران اجازه میدهد که مأموریت دسترسی به داراییهای مهم را فقط بهصورت مورد به مورد فراهم کنند.
امتیازات دائمی همچنان یک هدف سودآور برای مجرمان سایبری است، زیرا تنها چیزی که لازم است یک اعتبار ضعیف یا به فاش شده برای مهاجمان است تا یک شرکت را یکشبه از بین ببرد، همانطور که در بسیاری از نقضها درگذشته اخیر نیز چنین بوده.
راز چیست و مدیریت اسرار چگونه است؟
هنگامیکه یک هکر تهدید به محیط امنیتی یک سازمان نفوذ میکند، میتواند از امتیازات دائمی برای حرکت جانبی در شبکه بدون جا گذاشتن هیچ ردی استفاده کند.
گزارش تحقیقات نقض اطلاعات Verizon در سال ۲۰۲۲ نشان میدهد: “عنصر انسانی همچنان به نقض امنیت اطلاعات ادامه میدهد. این یعنی، ۸۲ درصد از نقضها مربوط به عنصر انسانی است. استفاده از اعتبارنامههای سرقت شده، فیشینگ، سوءاستفاده یا بهسادگی یک خطا افشای اسرار توسط مردم همچنان نقش بسیار مهمی در حوادث و نقضها دارند.
امتیازات دائمی در دست فرد اشتباه یک دستورالعمل کامل برای فاجعه است زیرا اگر اعتبار کارمند به خطر بیفتد، میتواند توسط مهاجمان از طریق تلاشهای افزایش امتیاز مورد سوءاستفاده قرار گیرد. این امر هکرها را قادر میسازد تا دسترسی نامحدود و غیرقابلکشف به دادهها و دستگاههای طبقهبندیشده را به دست آورند.
علاوه بر این، شناسایی بهرهبرداری از این امتیازات دشوار است زیرا مهاجمان ازلحاظ فنی هویت یک کاربر فانتوم را با حقوق اداری بالا که این امتیازات را حمل میکنند، جعل میکنند. امتیازات دائمی به کاربران امکان دسترسی به چندین دارایی و دستگاه IT را میدهد..
مشکل اصلی مرتبط با امتیازات دائمی این است که آنها نه بهطور منظم مدیریت میشوند و نه بهروز میشوند، زیرا آنها توسط چندین کاربر، چندین تیم و چندین فرایند کسبوکار بهطور همزمان استفاده میشوند. بنابراین، تغییر آنها بدون برنامهریزی قبلی و اشاره به ذینفعان میتواند فرایندهای مهم کسبوکار و گردش کار را متوقف کند.
بیایید اعتبار جاسازیشده را بهعنوان یک مثال در نظر بگیریم. این اعتبارنامهها در اسکریپتها و فایلهای متنی سختافزاری هستند و معمولاً توسط ذینفعان متعددی که بر روی خطوط لوله CI / CD، فرایندهای RPA و گردش کار مهندسی کار میکنند، استفاده میشود. اگر اعتبار جاسازیشده بدون هیچگونه نشانه قبلی تغییر کند، این میتواند منجر به شکست چندین فرایند مهم در یکزمان شود. علاوه بر این، اگر این اعتبارنامهها حتی بهطور تصادفی افشا شوند، هرکسی با قصد مخرب میتواند از آنها برای نقض دستگاههای اطلاعاتی اصلی سازمان استفاده کند.
برای به حداقل رساندن خطرات امنیتی ناشی از امتیازات دائمی، سازمانها باید از اصل کمترین امتیاز استفاده کنند، که شامل ارائه کاربران تنها امتیازات دسترسی است که برای وظایف معمول آنها کافی است. تأمین دسترسی JIT اصل کمترین امتیاز را با اعطای دسترسی محدود به زمان و منحصربهفرد به منابع مشترک و حساس به کاربران اعمال میکند. این کار با ایجاد حسابهای اداری موقت که بهمحض پایان دوره دسترسی منقضی میشوند، به دست میآید.
کل این فرایند را میتوان با استفاده از یک ابزار PAM که باقابلیتهای داخلی JIT privilege elevation همراه است، خودکار کرد. یک ابزار PAM خوب همچنین باید کنترلهای دسترسی مبتنی بر نقش و سیاست را ارائه دهد، درنتیجه مدیران را برای اختصاص امتیازات دسترسی پیشفرض به کاربران که متناسب با نقشهای شغلی آنها است، آسانتر میکند. با چنین ابزاری، مدیران همچنین میتوانند بهطور پویا سیاستهای دسترسی را با اقدامات پیگیری برای هر درخواست دسترسی را مطرح کنند.
اگر و زمانی که کاربران نیاز به دسترسی اداری به نقاط پایانی داشته باشند، میتوان آنها را با دسترسی بالا JIT ارائه داد و پس از بسته شدن پنجره درخواست، سطح دسترسی بهطور ایمن تنزل خواهد یافت. علاوه بر این، اعتبار چنین نقاط پایانی حساس باید بهطور خودکار چرخش داده شود تا اطمینان حاصل شود که آنها در آنجا باقی نمیمانند و درنهایت به امتیازات دائمی که مهاجمان آرزو میکنند تبدیل میشوند.
با کمترین کنترل دسترسی، سازمانها میتوانند بهراحتی انطباق با نهادهای نظارتی مانند HIPAA، GDPR، SOX، PCI DSS، CCPA و ISO را ثابت کنند. علاوه بر این، برای واجد شرایط بودن برای پوشش بیمه سایبری، سازمانها توسط بیمه گران ملزم به اجرای دسترسی حداقل امتیاز و حذف حقوق مدیریت برای سختتر کردن پروتکلهای امنیتی فناوری اطلاعات خود هستند.
بهعلاوه، گردش کار JIT، هنگامیکه با ابزارهای ITSM یکپارچه میشود، میتواند بهطور قابلتوجهی امنیت را با نیاز به کاربران برای ارائه یک شناسه تیکت بیان الزامات دسترسی خود، با درخواستهایی که بلافاصله تأیید یا رد میشوند، تقویت کند. بنابراین، گردش کار JIT دسترسی ممتاز اداری را محدود میکند تا تنها تا زمانی که لازم باشد، که میتواند بهاندازه پنج دقیقه باشد، و درنتیجه کاهش قابلتوجهی از سطح حمله.
حدود ۷۵ درصد از حملات داخلی توسط کارکنان سابق انجام میشود. این کارمندان سابق، بهمنظور انتقام و خودخواهی، میتوانند از اعتبارنامههایی که هنوز به آنها دسترسی دارند، برای شرکت در فعالیتهای مخرب مانند اجرای گزارشهای انتقادی، دانلود PII مشتریان و دسترسی به دستگاههای فایل حساس استفاده کنند.
هنگامیکه کارکنان یک سازمان را ترک میکنند، باید مکانیسمی وجود داشته باشد که امتیازات دسترسی حیاتی آنها را قبل از پاک کردن وجود آنها از محیط دایرکتوری سازمان لغو کند. این به تیم فناوری اطلاعات کمک میکند تا اطمینان حاصل شود که امتیازات، مانند رمزهای عبور و حسابهای حیاتی که به آنها دسترسی داشتند، دیگر به آنها گرهخورده است.
یک راهحل جامع PAM باعث ایجاد گردش کار سفارشی میشود تا بهطور خودکار تمام امتیازات مرتبط با کاربران را لغو کند و بهطور یکپارچه این امتیازات را به سایر کاربران ممتاز در سازمان منتقل کند. بهاینترتیب، سازمانها میتوانند اطمینان حاصل کنند که کارکنان در حال خروج هیچ داده و اعتبار حیاتی را با آنها حمل نمیکنند که میتواند مورد سوءاستفاده قرار گیرد.
ZSP توسط حرکت دهندهها و ارائهدهندگان صنعت امنیت فناوری بهعنوان نقطه عطفی که شرکتها باید برای رسیدن به آن تلاش کنند، ترویج میشود. بااینحال، با توجه به گسترش هویت ماشین و گردش کار پیچیده کسبوکار، دستیابی به ZSP کامل ممکن است یک تلاش چالشبرانگیز باشد. بااینحال، سازمانها باید اصل کمترین امتیاز را بهعنوان حداقل کنترل امنیتی برای فشردهسازی سطح حمله خود تمرین کنند.
برای سازمانهایی که تازه شروع به کارکردهاند، ZSP میتواند از طریق حسابهای زودگذر به دست آید. در اینجا برخی از بهترین شیوههای ZSP وجود دارد که تیمهای فناوری اطلاعات باید بهعنوان بخشی از روال مدیریت دسترسی خود دنبال کنند:
بهترین مسیر برای ZSP شامل اجرای یک راهحل PAM است که شامل و خودکار کردن تمام این بهترین شیوهها است. راهحلهای PAM به شما کمک میکند تا اولین گام را بهسوی ZSP با کشف خودکار و سوار کردن حسابهای ممتاز بردارید، درنتیجه اطمینان حاصل کنید که هیچ حسابی بدون مدیریت یا حسابنشده باقی نمیماند. این ابزارها گردش کار کنترل دسترسی دانهای، دسترسی JIT و کنترلهای حداقل امتیاز را ارائه میدهند تا مدیران بتوانند بهطور مؤثر روالهای دسترسی ممتاز را بررسی کنند و امتیازات دسترسی را برای کاربران اداری ذخیره کنند.
همانطور که ابزارهای PAM همچنان با چشمانداز سایبری تکامل مییابند، سازمانها بهطور طبیعی به سمت دستیابی بهکل ZSP جهش خواهند کرد.
PAM360 یک راهحل کامل PAM است که به شرکتها کمک میکند تا روال دسترسی ممتاز خود را ایمن، نظارت، حسابرسی و تنظیم کنند. قابلیتهای دسترسی Zero Trust داخلی PAM360 گروههای فناوری اطلاعات را قادر میسازد تا JIT و کمترین دسترسی، کنترلهای کاربردی و فرمان و ارائه دسترسی مبتنی بر سیاست را اجرا کنند و درنتیجه اطمینان حاصل شود که کاربران مناسب دسترسی اداری به منابع حساس دارند.
بهعلاوه، موتور مدیریت جلسه داخلی PAM360 دسترسی مستقیم و یک کلیکی به نقاط پایانی از راه دور را بدون افشای رمزهای عبور آنها فراهم میکند. تمام جلسات آغازشده از طریق کنسول PAM360 میتواند نظارت، حسابرسی و ضبط شود و مدیران همچنین میتوانند جلسات را در صورت و زمانی که کاربران در فعالیت مشکوک شرکت میکنند، خاتمه دهند.
PAM360 یکپارچهسازی یکپارچه با ابزارهای فناوری اطلاعات سازمانی و برنامههای کسبوکار را برای کمک به شما در گسترش امنیت دسترسی ممتاز در تمام جریانهای کاری کسبوکار خود و تقویت وضعیت امنیتی خود ارائه میدهد.