每個安全人員都希望盡量縮小他們的攻擊面，通過零信任理念實(shí)施最小特權(quán)策略顯然是大幅減少攻擊面的最佳實(shí)踐之一。

　　來自Aberdeen 和 Code42 最近的一項(xiàng)研究表明，內(nèi)部人員的數(shù)據(jù)泄露可能造成高達(dá)年收入 20% 的損失。此外，至少有三分之一的報(bào)告數(shù)據(jù)泄露涉及內(nèi)部人員。而超過 78% 的內(nèi)部數(shù)據(jù)泄露最初都源于一次意外的數(shù)據(jù)丟失或泄露事件。顯然，最小特權(quán)策略可以大幅減輕人為原因造成的泄露事故，正確的管理訪問權(quán)限對于構(gòu)建組織的防御工事來說至關(guān)重要。

　　什么是最小特權(quán)訪問策略？

　　舉個例子：在一家銀行中，業(yè)務(wù)員可以正常出入自己的所在的分支銀行，但他們只是在工作期間被允許正常出入。并且只有極少數(shù)的員工能夠進(jìn)入主保險(xiǎn)庫，一旦這些員工離開銀行站點(diǎn)，他們所擁有的訪問權(quán)限必須被收回，以避免被惡意盜取。這也就是最小特權(quán)的工作原理。

　　根據(jù)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 （CISA） 的說法，最小特權(quán)意味著“僅應(yīng)將最低限度的必要權(quán)利分配給請求訪問資源的主體，并且應(yīng)在最短的必要時間內(nèi)有效?！?/p>

　　使用最小特權(quán)背后的業(yè)務(wù)驅(qū)動因素是多種多樣的。首先，需要阻止來自員工（有意或無意）、第三方和攻擊者的威脅，其次，合規(guī)性也是采用最小特權(quán)策略的一個常見驅(qū)動因素。

　　具有管理員權(quán)限的單個受損端點(diǎn)通?？梢詾楣粽呋驉阂鈨?nèi)部人員提供不受保護(hù)的訪問內(nèi)部網(wǎng)絡(luò)的通道。隨著數(shù)字化的發(fā)展，今天的端點(diǎn)遠(yuǎn)比以往任何時候都更加多樣化和分散，有更多的遠(yuǎn)程工作人員、數(shù)十億個物聯(lián)網(wǎng)設(shè)備以及不斷向云遷移，因此，最小權(quán)限策略毫無疑問將極有助于管理組織不斷擴(kuò)展的端點(diǎn)。

　　如何在組織內(nèi)部實(shí)現(xiàn)最小特權(quán)訪問策略管理？

　　每一種最小特權(quán)方法都必須根據(jù)組織自身的需求來動態(tài)調(diào)整，因此可以根據(jù)關(guān)鍵活動制定總體戰(zhàn)略，其中包括：

　　發(fā)現(xiàn)

　　評估身份、資產(chǎn)、風(fēng)險(xiǎn)和訪問。確定在遭到破壞、被盜或受到損害時會產(chǎn)生最大影響的關(guān)鍵業(yè)務(wù)資產(chǎn)。利用合適的安全產(chǎn)品和工具來快速識別端點(diǎn)上使用的本地管理員賬戶、服務(wù)賬戶和應(yīng)用程序。

　　業(yè)務(wù)架構(gòu)

　　組織的業(yè)務(wù)架構(gòu)定義了應(yīng)用程序、身份和服務(wù)的可接受風(fēng)險(xiǎn)級別，同時也決定了組織如何根據(jù)用戶的行為，監(jiān)控和驗(yàn)證對安全資產(chǎn)的訪問。關(guān)鍵是在對用戶的干擾最小的情況實(shí)現(xiàn)安全性和信任的平衡。

　　管理

　　最小權(quán)限管理需要持續(xù)發(fā)現(xiàn)特權(quán)賬戶、審核使用情況以及應(yīng)用新的安全控制和策略。使用安全編排和自動化工具會讓特權(quán)管理工作更容易，同時還需要通過實(shí)時提升和刪除權(quán)限來消除潛在的暴露點(diǎn)。

　　檢測和響應(yīng)

　　檢測工作能夠發(fā)現(xiàn)并處理對應(yīng)身份不再需要特權(quán)訪問的情況。行為分析允許組織響應(yīng)用戶的上下文或異常行為，從新位置或設(shè)備登錄嘗試都有可能會觸發(fā)身份驗(yàn)證要求。一旦發(fā)現(xiàn)高風(fēng)險(xiǎn)行為，就需要立即對用戶賬戶或應(yīng)用程序進(jìn)行隔離。

　　審查和審計(jì)

　　審查和審計(jì)能夠清晰地描述組織在上下文特權(quán)賬戶管理方面取得的成績。因此組織應(yīng)該持續(xù)性的審查關(guān)鍵指標(biāo)以監(jiān)控特權(quán)賬戶所有權(quán)或基于策略的應(yīng)用程序控制，并使用審查報(bào)告來更智能的優(yōu)化特權(quán)賬戶的生命周期。

　　最小特權(quán)如何適用于

　　更廣泛的特權(quán)訪問管理和零信任策略

　　最小權(quán)限是更大權(quán)限訪問管理 （PAM）方法的核心組件。PAM 還監(jiān)視必須訪問不同網(wǎng)絡(luò)區(qū)域和其他應(yīng)用程序才能運(yùn)行的應(yīng)用程序和進(jìn)程。這種戰(zhàn)略方法會允許或拒絕對網(wǎng)絡(luò)的特權(quán)訪問——包括基礎(chǔ)設(shè)施和應(yīng)用程序。PAM有意使用用戶的單點(diǎn)登錄和管理員的單點(diǎn)管理來管理訪問。

　　與此同時，PAM 策略還必須允許快速訪問多個數(shù)據(jù)庫、應(yīng)用程序、管理程序、網(wǎng)絡(luò)設(shè)備和安全工具，以管理不斷擴(kuò)大的攻擊面。理想情況下，PAM 解決方案應(yīng)通過開箱即用的審計(jì)和報(bào)告工具快速部署。

　　近年來，隨著威脅態(tài)勢的發(fā)展，攻擊者正在不斷利用被盜憑據(jù)和武器化 API來滲透網(wǎng)絡(luò)。與此同時，機(jī)器請求訪問的速度比人類更快，訪問量也呈指數(shù)級增長。因此，大量自動化應(yīng)用程序和 API 也需要身份驗(yàn)證，需要新的方法來保護(hù)這個不斷擴(kuò)展的連接領(lǐng)域。

　　事實(shí)上，最小特權(quán)和PAM 策略都屬于零信任方法的范疇。零信任架構(gòu)將邊界擴(kuò)展到最遠(yuǎn)端，無論是用戶、設(shè)備、應(yīng)用程序還是請求網(wǎng)絡(luò)訪問的 API。在可以驗(yàn)證身份和真實(shí)性之前，拒絕訪問是默認(rèn)選項(xiàng)。毋庸置疑，試試最小特權(quán)訪問和PAM策略，將極大的減少攻擊面并更好地防止漏洞事件，將惡意訪問行為隔絕在企業(yè)網(wǎng)絡(luò)之外。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<