Повышение безопасности с помощью практики наименьших привилегий

Опубликовано: 7 Апреля, 2023

Концепция наименьших привилегий отнюдь не нова. Однако, учитывая огромное количество нормативных требований и проблем безопасности, с которыми ежедневно сталкиваются организации, реализация минимальных привилегий будет иметь большое значение для решения этих проблем.

Простая концепция имеет важное значение в среде Windows, где права администратора должны быть ограничены теми, которые необходимы для выполнения необходимых рабочих функций, а не назначать пользователям самые высокие административные привилегии и рисковать безопасностью. Концепция проста для понимания, реализация в основном сложна.

Введение

Наименьшие привилегии просты для понимания и представляют собой технический и административный контроль, который имеет смысл реализовать, однако такие технологии, как Windows, не позволяют легко реализовать этот принцип.

Принцип наименьших привилегий направлен на повышение безопасности за счет ограничения назначенных прав/привилегий администратора до уровней, соответствующих назначенным функциям и действиям пользователя, чтобы избежать увеличения неконтролируемого доступа, но сохранить эффективные права доступа для эффективных бизнес-целей. Это должно относиться к людям, процессам и устройствам. Короче говоря, достаточно привилегий, чтобы пользователь мог беспрепятственно выполнять свою работу.

Применяя этот принцип к различным процессам на устройстве или компьютере, площадь поверхности атаки уменьшается за счет игнорирования избыточных привилегий, которые могут открыть систему для эксплуатации.

Многие организации знают, что это положительный подход к их безопасности, но инструменты Windows ограничивают успешную реализацию. Организации обнаруживают, что они назначают права администратора высокого уровня большому количеству сотрудников на различных уровнях внутри организации, что еще больше усложняет управление доступом. Это сделано для того, чтобы у сотрудников была гибкость, когда дело доходит до решения проблем.

Благодаря этому сотрудники получают доступ к областям, системам и данным, к которым у них не должно быть доступа. Эти привилегии высокого уровня открывают для организации целый ряд рисков безопасности, от проблем с соблюдением требований до проблем с контролем доступа, а также внутренних рисков безопасности.

Разнообразие ИТ-сред (виртуальные, физические, локальные и облачные) внутри организаций и комбинации используемых операционных систем затрудняют успешную реализацию этого принципа. Однако важно понимать это правильно, так как способ ведения бизнеса также более сложен, поскольку многие организации часто приобретают услуги аутсорсинга от подрядчиков или сторонних услуг, которые получают права администратора высокого уровня для выполнения своих задач — это не может быть безопасный способ работы.

Увеличение количества электронных способов работы организаций и потребность в открытом доступе для эффективного функционирования повышают важность минимальных привилегий для обеспечения того, чтобы области, требующие защиты, оставались недоступными. Необходимо эффективно управлять этими возросшими требованиями к доступу, чтобы обеспечить правильный баланс между доступом и безопасностью.

Почему минимальные привилегии выгодны для безопасности

  • Труднее скомпрометировать то, к чему у вас нет доступа.
  • Случайное удаление или манипуляция менее вероятны.
  • Если у вас есть доступ только к тому, что вам нужно, любой, кто скомпрометирует вашу учетную запись, будет иметь доступ только к ограниченным ресурсам.
  • Наименьшие привилегии помогают организациям классифицировать данные. Классифицируя данные, вы узнаете, какие данные у вас есть, где они находятся и кто имеет к ним доступ.
  • Наименьшие привилегии помогают значительно сократить распространение вредоносных программ, вредоносные программы, как правило, используют привилегии пользователя, которого обманом заставили установить или активировать программное обеспечение. Вредоносное ПО иногда пытается повысить привилегии, но в большинстве случаев для распространения использует существующие разрешения.
  • SQL-инъекция — это типичная атака, которая использует отсутствие правила наименьших привилегий, и злоумышленники часто повышают свои привилегии. Если бы у приложения была только привилегия только для чтения, чаще всего эскалация или атака не позволяла бы выполняться.

Лучшие советы по реализации с наименьшими привилегиями

  • Получите одобрение и помощь высшего руководства
  • Получите поддержку и помощь организации
    Чтобы добиться одобрения сотрудников и понять уровни доступа, необходимые для каждой области или требования, вам необходимо задействовать все отделы. Убедитесь, что вы можете проиллюстрировать важность принципа наименьших привилегий для всех сотрудников для достижения максимальной заинтересованности и сотрудничества.
  • Используйте ролевой подход при распределении привилегий
    Не забывайте распределять доступ в соответствии с ролями или функциями, а не пользователями. В долгосрочной перспективе этим легче управлять, если вы внедряете управление доступом на основе ролей (RBAC), помните, что возможно расползание ролей, поэтому роли и доступ необходимо периодически пересматривать. Я обычно рекомендую один раз в квартал или, как минимум, один раз в шесть месяцев.
  • Поддерживайте, просматривайте и пересматривайте привилегии на регулярной основе, чтобы поддерживать их актуальность и эффективность
  • Информируйте организацию и пользователей систем об опасностях получения полного доступа ко всем системам.
  • Пересмотрите доступ к устаревшим приложениям. Я рекомендую изолировать приложение и разрешать только необходимый доступ к приложению, пользователям и системам, которым требуется доступ.
  • Административный доступ должен быть ограничен именно той функцией, которая требуется. Да, этого нелегко достичь или реализовать, но вы обнаружите, что в большинстве систем административные роли разделены для вас, так что эта модель применима. Причина этого в том, чтобы сделать вашу жизнь немного проще. Таким образом, учетные записи администраторов домена, которые использовались в течение многих лет, теперь должны быть заблокированы, а пароль изменен, чтобы никто не мог злоупотреблять этим уровнем привилегий.
  • Программное обеспечение в большинстве случаев должно быть установлено централизованно. Это означает, что пользователи не должны иметь права устанавливать программное обеспечение. Причина этого в том, что если это делается централизованно, вы можете контролировать и управлять лицензией и версией, а также обеспечивать качество установленного программного обеспечения. Есть некоторые исключения, но в этих случаях эти пользователи и системы должны рассматриваться как удаленные работники, и поэтому применяются политика безопасности удаленных работников и средства управления удаленным доступом. Делая это, вы можете изолировать пользователя от внешней сети и уменьшить воздействие на организацию, в то же время предоставляя пользователю свободу, которая ему может потребоваться, без ущерба для политики безопасности организации.

Совет, который я часто даю своим клиентам, состоит в том, чтобы не рассматривать учетные записи как привилегию, а относиться к привилегиям как к учетным записям. Под этим я подразумеваю учетную запись, которая используется для администрирования резервного копирования, или учетную запись, используемую для создания пользователей в домене, следует использовать как таковую, а не для чего-либо еще. Если ваши учетные записи пользователей имеют эти привилегии, вы потеряли контроль над своей сетью, данными и системами, и любой злонамеренный пользователь или приложение в конечном итоге воспользуется этой уязвимостью.

В будущем возникнет несколько проблем с безопасностью, например, браузеры быстро превращаются в операционные системы, а виртуальные среды (облака) развиваются за пределами наших сетей. Основная проблема заключается в том, что многие элементы управления безопасностью выходят из строя. Решение довольно простое, с которым мы уже хорошо знакомы, это решение, связанное с контролем доступа и шифрованием конфиденциальных данных, которые были классифицированы и изолированы от неавторизованных пользователей. Окольным путем он реализует правило наименьших привилегий.

Вывод

Моя команда по безопасности работает со многими поставщиками средств безопасности по всему миру, более того, мы работаем с организациями из списка Fortune 500, и мы обнаружили, что сокращение привилегий до тех, которые требуются пользователям для выполнения их роли, значительно повышает безопасность и в большинстве случаев не позволяет уязвимости эксплуатироваться.

Это другой подход, чем укрепление ядра, но для некоторых организаций этот подход работает и должен быть реализован. Не существует жесткой и быстрой стратегии безопасности, которая закроет все бреши, применимы минимальные привилегии, и их следует учитывать, если вы хотите повысить уровень безопасности.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023