每個安全人員都希望盡量縮小他們的攻擊面，通過零信任理念實施最小特權策略顯然是大幅減少攻擊面的最佳實踐之一。

　　來自Aberdeen 和 Code42 最近的一項研究表明，內部人員的數據泄露可能造成高達年收入 20% 的損失。此外，至少有三分之一的報告數據泄露涉及內部人員。而超過 78% 的內部數據泄露最初都源于一次意外的數據丟失或泄露事件。顯然，最小特權策略可以大幅減輕人為原因造成的泄露事故，正確的管理訪問權限對于構建組織的防御工事來說至關重要。

　　什么是最小特權訪問策略？

　　舉個例子：在一家銀行中，業(yè)務員可以正常出入自己的所在的分支銀行，但他們只是在工作期間被允許正常出入。并且只有極少數的員工能夠進入主保險庫，一旦這些員工離開銀行站點，他們所擁有的訪問權限必須被收回，以避免被惡意盜取。這也就是最小特權的工作原理。

　　根據網絡安全和基礎設施安全局 （CISA） 的說法，最小特權意味著“僅應將最低限度的必要權利分配給請求訪問資源的主體，并且應在最短的必要時間內有效。”

　　使用最小特權背后的業(yè)務驅動因素是多種多樣的。首先，需要阻止來自員工（有意或無意）、第三方和攻擊者的威脅，其次，合規(guī)性也是采用最小特權策略的一個常見驅動因素。

　　具有管理員權限的單個受損端點通?？梢詾楣粽呋驉阂鈨炔咳藛T提供不受保護的訪問內部網絡的通道。隨著數字化的發(fā)展，今天的端點遠比以往任何時候都更加多樣化和分散，有更多的遠程工作人員、數十億個物聯(lián)網設備以及不斷向云遷移，因此，最小權限策略毫無疑問將極有助于管理組織不斷擴展的端點。

　　如何在組織內部實現(xiàn)最小特權訪問策略管理？

　　每一種最小特權方法都必須根據組織自身的需求來動態(tài)調整，因此可以根據關鍵活動制定總體戰(zhàn)略，其中包括：

　　發(fā)現(xiàn)

　　評估身份、資產、風險和訪問。確定在遭到破壞、被盜或受到損害時會產生最大影響的關鍵業(yè)務資產。利用合適的安全產品和工具來快速識別端點上使用的本地管理員賬戶、服務賬戶和應用程序。

　　業(yè)務架構

　　組織的業(yè)務架構定義了應用程序、身份和服務的可接受風險級別，同時也決定了組織如何根據用戶的行為，監(jiān)控和驗證對安全資產的訪問。關鍵是在對用戶的干擾最小的情況實現(xiàn)安全性和信任的平衡。

　　管理

　　最小權限管理需要持續(xù)發(fā)現(xiàn)特權賬戶、審核使用情況以及應用新的安全控制和策略。使用安全編排和自動化工具會讓特權管理工作更容易，同時還需要通過實時提升和刪除權限來消除潛在的暴露點。

　　檢測和響應

　　檢測工作能夠發(fā)現(xiàn)并處理對應身份不再需要特權訪問的情況。行為分析允許組織響應用戶的上下文或異常行為，從新位置或設備登錄嘗試都有可能會觸發(fā)身份驗證要求。一旦發(fā)現(xiàn)高風險行為，就需要立即對用戶賬戶或應用程序進行隔離。

　　審查和審計

　　審查和審計能夠清晰地描述組織在上下文特權賬戶管理方面取得的成績。因此組織應該持續(xù)性的審查關鍵指標以監(jiān)控特權賬戶所有權或基于策略的應用程序控制，并使用審查報告來更智能的優(yōu)化特權賬戶的生命周期。

　　最小特權如何適用于

　　更廣泛的特權訪問管理和零信任策略

　　最小權限是更大權限訪問管理 （PAM）方法的核心組件。PAM 還監(jiān)視必須訪問不同網絡區(qū)域和其他應用程序才能運行的應用程序和進程。這種戰(zhàn)略方法會允許或拒絕對網絡的特權訪問——包括基礎設施和應用程序。PAM有意使用用戶的單點登錄和管理員的單點管理來管理訪問。

　　與此同時，PAM 策略還必須允許快速訪問多個數據庫、應用程序、管理程序、網絡設備和安全工具，以管理不斷擴大的攻擊面。理想情況下，PAM 解決方案應通過開箱即用的審計和報告工具快速部署。

　　近年來，隨著威脅態(tài)勢的發(fā)展，攻擊者正在不斷利用被盜憑據和武器化 API來滲透網絡。與此同時，機器請求訪問的速度比人類更快，訪問量也呈指數級增長。因此，大量自動化應用程序和 API 也需要身份驗證，需要新的方法來保護這個不斷擴展的連接領域。

　　事實上，最小特權和PAM 策略都屬于零信任方法的范疇。零信任架構將邊界擴展到最遠端，無論是用戶、設備、應用程序還是請求網絡訪問的 API。在可以驗證身份和真實性之前，拒絕訪問是默認選項。毋庸置疑，試試最小特權訪問和PAM策略，將極大的減少攻擊面并更好地防止漏洞事件，將惡意訪問行為隔絕在企業(yè)網絡之外。

更多信息可以來這里獲取==>>電子技術應用-AET<<