每個(gè)安全人員都希望盡量縮小他們的攻擊面,，通過(guò)零信任理念實(shí)施最小特權(quán)策略顯然是大幅減少攻擊面的最佳實(shí)踐之一,。

　　來(lái)自Aberdeen 和 Code42 最近的一項(xiàng)研究表明，內(nèi)部人員的數(shù)據(jù)泄露可能造成高達(dá)年收入 20% 的損失,。此外,，至少有三分之一的報(bào)告數(shù)據(jù)泄露涉及內(nèi)部人員。而超過(guò) 78% 的內(nèi)部數(shù)據(jù)泄露最初都源于一次意外的數(shù)據(jù)丟失或泄露事件,。顯然,，最小特權(quán)策略可以大幅減輕人為原因造成的泄露事故，正確的管理訪問(wèn)權(quán)限對(duì)于構(gòu)建組織的防御工事來(lái)說(shuō)至關(guān)重要,。

　　什么是最小特權(quán)訪問(wèn)策略,？

　　舉個(gè)例子：在一家銀行中，業(yè)務(wù)員可以正常出入自己的所在的分支銀行,，但他們只是在工作期間被允許正常出入,。并且只有極少數(shù)的員工能夠進(jìn)入主保險(xiǎn)庫(kù)，一旦這些員工離開(kāi)銀行站點(diǎn),，他們所擁有的訪問(wèn)權(quán)限必須被收回,，以避免被惡意盜取。這也就是最小特權(quán)的工作原理,。

　　根據(jù)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 （CISA） 的說(shuō)法,，最小特權(quán)意味著“僅應(yīng)將最低限度的必要權(quán)利分配給請(qǐng)求訪問(wèn)資源的主體，并且應(yīng)在最短的必要時(shí)間內(nèi)有效,?！?/p>

　　使用最小特權(quán)背后的業(yè)務(wù)驅(qū)動(dòng)因素是多種多樣的。首先,，需要阻止來(lái)自員工（有意或無(wú)意）,、第三方和攻擊者的威脅，其次，合規(guī)性也是采用最小特權(quán)策略的一個(gè)常見(jiàn)驅(qū)動(dòng)因素,。

　　具有管理員權(quán)限的單個(gè)受損端點(diǎn)通?？梢詾楣粽呋驉阂鈨?nèi)部人員提供不受保護(hù)的訪問(wèn)內(nèi)部網(wǎng)絡(luò)的通道。隨著數(shù)字化的發(fā)展,，今天的端點(diǎn)遠(yuǎn)比以往任何時(shí)候都更加多樣化和分散,，有更多的遠(yuǎn)程工作人員、數(shù)十億個(gè)物聯(lián)網(wǎng)設(shè)備以及不斷向云遷移,，因此,，最小權(quán)限策略毫無(wú)疑問(wèn)將極有助于管理組織不斷擴(kuò)展的端點(diǎn)。

　　如何在組織內(nèi)部實(shí)現(xiàn)最小特權(quán)訪問(wèn)策略管理,？

　　每一種最小特權(quán)方法都必須根據(jù)組織自身的需求來(lái)動(dòng)態(tài)調(diào)整,，因此可以根據(jù)關(guān)鍵活動(dòng)制定總體戰(zhàn)略，其中包括：

　　發(fā)現(xiàn)

　　評(píng)估身份,、資產(chǎn),、風(fēng)險(xiǎn)和訪問(wèn)。確定在遭到破壞,、被盜或受到損害時(shí)會(huì)產(chǎn)生最大影響的關(guān)鍵業(yè)務(wù)資產(chǎn),。利用合適的安全產(chǎn)品和工具來(lái)快速識(shí)別端點(diǎn)上使用的本地管理員賬戶、服務(wù)賬戶和應(yīng)用程序,。

　　業(yè)務(wù)架構(gòu)

　　組織的業(yè)務(wù)架構(gòu)定義了應(yīng)用程序,、身份和服務(wù)的可接受風(fēng)險(xiǎn)級(jí)別，同時(shí)也決定了組織如何根據(jù)用戶的行為,，監(jiān)控和驗(yàn)證對(duì)安全資產(chǎn)的訪問(wèn),。關(guān)鍵是在對(duì)用戶的干擾最小的情況實(shí)現(xiàn)安全性和信任的平衡。

　　管理

　　最小權(quán)限管理需要持續(xù)發(fā)現(xiàn)特權(quán)賬戶,、審核使用情況以及應(yīng)用新的安全控制和策略,。使用安全編排和自動(dòng)化工具會(huì)讓特權(quán)管理工作更容易，同時(shí)還需要通過(guò)實(shí)時(shí)提升和刪除權(quán)限來(lái)消除潛在的暴露點(diǎn),。

　　檢測(cè)和響應(yīng)

　　檢測(cè)工作能夠發(fā)現(xiàn)并處理對(duì)應(yīng)身份不再需要特權(quán)訪問(wèn)的情況,。行為分析允許組織響應(yīng)用戶的上下文或異常行為，從新位置或設(shè)備登錄嘗試都有可能會(huì)觸發(fā)身份驗(yàn)證要求,。一旦發(fā)現(xiàn)高風(fēng)險(xiǎn)行為,，就需要立即對(duì)用戶賬戶或應(yīng)用程序進(jìn)行隔離。

　　審查和審計(jì)

　　審查和審計(jì)能夠清晰地描述組織在上下文特權(quán)賬戶管理方面取得的成績(jī),。因此組織應(yīng)該持續(xù)性的審查關(guān)鍵指標(biāo)以監(jiān)控特權(quán)賬戶所有權(quán)或基于策略的應(yīng)用程序控制,，并使用審查報(bào)告來(lái)更智能的優(yōu)化特權(quán)賬戶的生命周期。

　　最小特權(quán)如何適用于

　　更廣泛的特權(quán)訪問(wèn)管理和零信任策略

　　最小權(quán)限是更大權(quán)限訪問(wèn)管理 （PAM）方法的核心組件,。PAM 還監(jiān)視必須訪問(wèn)不同網(wǎng)絡(luò)區(qū)域和其他應(yīng)用程序才能運(yùn)行的應(yīng)用程序和進(jìn)程,。這種戰(zhàn)略方法會(huì)允許或拒絕對(duì)網(wǎng)絡(luò)的特權(quán)訪問(wèn)——包括基礎(chǔ)設(shè)施和應(yīng)用程序,。PAM有意使用用戶的單點(diǎn)登錄和管理員的單點(diǎn)管理來(lái)管理訪問(wèn)。

　　與此同時(shí),，PAM 策略還必須允許快速訪問(wèn)多個(gè)數(shù)據(jù)庫(kù),、應(yīng)用程序、管理程序,、網(wǎng)絡(luò)設(shè)備和安全工具,，以管理不斷擴(kuò)大的攻擊面。理想情況下,，PAM 解決方案應(yīng)通過(guò)開(kāi)箱即用的審計(jì)和報(bào)告工具快速部署。

　　近年來(lái),，隨著威脅態(tài)勢(shì)的發(fā)展,，攻擊者正在不斷利用被盜憑據(jù)和武器化 API來(lái)滲透網(wǎng)絡(luò)。與此同時(shí),，機(jī)器請(qǐng)求訪問(wèn)的速度比人類(lèi)更快,，訪問(wèn)量也呈指數(shù)級(jí)增長(zhǎng)。因此,，大量自動(dòng)化應(yīng)用程序和 API 也需要身份驗(yàn)證,，需要新的方法來(lái)保護(hù)這個(gè)不斷擴(kuò)展的連接領(lǐng)域。

　　事實(shí)上,，最小特權(quán)和PAM 策略都屬于零信任方法的范疇,。零信任架構(gòu)將邊界擴(kuò)展到最遠(yuǎn)端，無(wú)論是用戶,、設(shè)備,、應(yīng)用程序還是請(qǐng)求網(wǎng)絡(luò)訪問(wèn)的 API。在可以驗(yàn)證身份和真實(shí)性之前,，拒絕訪問(wèn)是默認(rèn)選項(xiàng),。毋庸置疑，試試最小特權(quán)訪問(wèn)和PAM策略,，將極大的減少攻擊面并更好地防止漏洞事件,，將惡意訪問(wèn)行為隔絕在企業(yè)網(wǎng)絡(luò)之外。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<