什么是最小特权原则?
最小特权原则(PoLP)是一个网络安全概念,它确保用户或其他实体只能访问完成其角色或任务所需的数据和应用程序。雇用权限过高的用户的组织更有可能遭受数据泄露,如果威胁者非法访问了用户的账户,他们就可以更自由地窃取敏感数据。
最小权限账户类型原则
用户账户
其中一个例子是,一名员工被授予访问特定数据库的权限,允许他们输入新记录。如果该用户点击了网络钓鱼电子邮件中的链接,攻击者将无法获得整个系统的根权限。
MySQL 账户
最低权限也可应用于 MySQL 设置,某些账户只被授予分类权限。这意味着,如果攻击者未经授权访问此类账户,就无法删除数据库或操作其内容。
特权蠕变
权限攀升是指用户随着时间的推移积累了不必要的权限。当员工在组织内更换角色时,可能会出现这种情况,他们在被授予新权限的同时保留了以前的权限。这会导致用户配置文件对网络安全构成重大风险。
如何贯彻最小特权原则
在实施 PoLP 战略时,应遵守许多最佳做法:
1.进行彻底审计,记录网络权限,包括授予员工用户账户、外部承包商、第三方供应商和任何非人类访问的权限。这应涵盖现场用户和远程用户。
2.为所有新账户默认设置 "最低权限",只授予最低访问权限和权限,以便员工执行工作。
3.将特权管理账户与标准用户账户分开,并隔离特权用户会话。任何更高级别的系统功能也应按最低要求授予权限。
4.引入基于角色的访问控制和有时间限制的权限,以避免对工作流程造成任何干扰。
5.用一次性使用的凭证取代任何硬编码凭证。
6.监控和分析特权访问,创建整个网络的认证和授权日志。这将确保可追踪个人行为。
7.定期审查权限,必要时撤销访问权限并关闭不活动账户。
最小特权原则与零信任原则
虽然最终目标相似,但 PoLP 和零信任在保护组织方面的作用却不同。PoLP 限制访问控制,而零信任侧重于授权。零信任可以说是一种更全面的策略,因为它考虑到了谁在请求访问、他们试图访问什么以及如果允许访问的风险级别。
零信任安全应该是每个安全团队的目标。该方法可应对现代混合工作的灵活性和挑战。评估和实施零信任需要一个专业的技术合作伙伴,这就是为什么企业选择由Cylance®AI 支持的BlackBerry®Cybersecurity 来保护他们的人员、数据和网络。
