हर कोई कम से कम विशेषाधिकार चाहता है, तो कोई इसे हासिल क्यों नहीं कर पा रहा है?

हर कोई कम से कम विशेषाधिकार चाहता है, तो कोई इसे प्राप्त क्यों नहीं कर रहा है?

समय टिकट: 2 मार्च, 2023 1:00 PM

जब मैं कंपनी के लिए विचार बना रहा था जो वीज़ा बन जाएगी, मेरे सह-संस्थापकों और मैंने दर्जनों मुख्य सूचना सुरक्षा अधिकारियों (सीआईएसओ) और मुख्य सूचना अधिकारियों (सीआईओ) का साक्षात्कार लिया। उनकी आधुनिक तकनीक-प्रेमी कंपनियों के आकार और परिपक्वता से कोई फर्क नहीं पड़ता, हमने एक विषय को बार-बार सुना: वे यह नहीं देख पाए कि उनकी कंपनी के सबसे संवेदनशील डेटा तक किसकी पहुंच है। उनमें से प्रत्येक ने के सिद्धांत की सदस्यता ली कम से कम विशेषाधिकार, लेकिन उनमें से कोई भी यह नहीं कह सका कि उनकी कंपनी इसे हासिल करने के कितने करीब पहुंच गई।

"कम से कम विशेषाधिकार" द्वारा परिभाषित किया गया है एनआईएसटी का कंप्यूटर सुरक्षा संसाधन केंद्र "सिद्धांत के रूप में कि एक सुरक्षा संरचना को डिज़ाइन किया जाना चाहिए ताकि प्रत्येक इकाई को न्यूनतम सिस्टम संसाधनों और प्राधिकरणों को प्रदान किया जा सके जो कि इकाई को अपना कार्य करने की आवश्यकता है।" यह आसान लगता है, लेकिन चीजें बदल गई हैं। डेटा अब कई बादलों, सैकड़ों सास ऐप और पुराने और नए सिस्टम में फैला हुआ है। नतीजतन, सभी आधुनिक कंपनियां "एक्सेस डेट" जमा करती हैं - अनावश्यक अनुमतियां जो या तो पहले बहुत व्यापक थीं या नौकरी बदलने या समाप्ति के बाद आवश्यक नहीं थीं।

A केपीएमजी अध्ययन पाया गया कि 62% अमेरिकी उत्तरदाताओं ने अकेले 2021 में उल्लंघन या साइबर घटना का अनुभव किया। यदि कोई कर्मचारी फ़िशिंग का शिकार होता है, लेकिन उसके पास केवल गैर-संवेदनशील जानकारी तक पहुँच होती है, तो कोई आर्थिक प्रभाव नहीं पड़ सकता है। कम से कम विशेषाधिकार हमले के नुकसान को कम करता है।

कम से कम विशेषाधिकार प्राप्त करने में तीन बाधाएँ हैं: दृश्यता, पैमाना और मेट्रिक्स।

दृश्यता नींव है

किसी ऐसी चीज़ को प्रबंधित करना कठिन है जिसे आप देख नहीं सकते हैं, और पहुँच अनुमतियाँ उद्यम में अनगिनत प्रणालियों में फैली हुई हैं। कई सिस्टम के अद्वितीय अभिगम नियंत्रणों के भीतर स्थानीय रूप से प्रबंधित किए जाते हैं (उदाहरण के लिए, Salesforce व्यवस्थापक अनुमतियाँ)। यहां तक ​​कि जब कंपनियां एक पहचान प्रदाता, जैसे कि ओक्टा, पिंग, या फोर्जरॉक को लागू करती हैं, तो यह केवल हिमशैल का सिरा दिखाता है। यह स्थानीय खातों और सेवा खातों सहित जलरेखा के नीचे मौजूद सभी अनुमतियों को नहीं दिखा सकता है।

ग्राफिक दिखाता है कि कैसे पहचान प्रणाली छिपी हुई पहुंच नहीं दिखाती है

स्रोत: वीज़ा

यह आज विशेष रूप से प्रासंगिक है, जब कई कंपनियां छंटनी कर रही हैं। कर्मचारियों को समाप्त करते समय, नियोक्ता नेटवर्क और एसएसओ (एकल साइन-ऑन) तक पहुंच को रद्द कर देते हैं, लेकिन यह असंख्य प्रणालियों के लिए सभी तरह से प्रचार नहीं करता है जिसमें कर्मचारी के हकदार थे। यह अनदेखी पहुंच ऋण बन जाता है।

उन कंपनियों के लिए जहां कानूनी अनुपालन आवधिक पहुंच समीक्षा को अनिवार्य करता है, दृश्यता मैनुअल, थकाऊ और चूक के प्रति संवेदनशील है। व्यक्तिगत प्रणालियों की जांच के लिए कर्मचारियों को हाथ से भेजा जाता है। एक छोटी कंपनी के लिए इन रिपोर्टों (अक्सर, स्क्रीनशॉट) को समझना संभव हो सकता है, लेकिन आधुनिक डेटा वातावरण वाली कंपनी के लिए नहीं।

स्केल

किसी भी कंपनी के कर्मचारियों के लिए हजारों पहचान हो सकती हैं, साथ ही गैर-मानवों के लिए हजारों और, जैसे सेवा खाते और बॉट। क्लाउड सेवाओं, SaaS ऐप्स, कस्टम ऐप्स और डेटा सिस्टम जैसे SQL सर्वर और स्नोफ्लेक सहित सैकड़ों "सिस्टम" हो सकते हैं। प्रत्येक किसी भी संख्या में विस्तृत डेटा संसाधनों पर दसियों या सैकड़ों संभावित अनुमतियां प्रदान करता है। चूंकि इनमें से हर संभव संयोजन के लिए एक्सेस निर्णय लेना होता है, इसलिए लाखों निर्णयों की जांच करने की चुनौती की कल्पना करना आसान है।

खराब स्थिति को बेहतर बनाने के लिए, कंपनियां शॉर्टकट अपनाती हैं और भूमिकाओं और समूहों को पहचान प्रदान करती हैं। यह पैमाने की समस्या का समाधान करता है लेकिन दृश्यता की समस्या को और बढ़ा देता है। सुरक्षा दल यह देखने में सक्षम हो सकता है कि समूह से कौन संबंधित है, और वे उस समूह के लेबल को जानते हैं, लेकिन लेबल पूरी कहानी नहीं बताते हैं। टीम टेबल या कॉलम के स्तर पर एक्सेस नहीं देख सकती. जब आइडेंटिटी एक्सेस मैनेजमेंट (IAM) टीमों को एक्सेस अनुरोधों की कभी न खत्म होने वाली धारा प्राप्त हो रही है, तो यह निकटतम-फिट समूह के लिए रबर स्टैम्प अनुमोदन के लिए आकर्षक है, भले ही वह समूह आवश्यकता से अधिक व्यापक पहुंच प्रदान करता हो।

कंपनियाँ स्वचालन के बिना पैमाने की चुनौती से पार नहीं पा सकतीं। एक समाधान समय-सीमित पहुंच है। उदाहरण के लिए, यदि किसी कर्मचारी को किसी समूह तक पहुंच प्रदान की गई थी, लेकिन वह 90 दिनों के लिए 60% अनुमतियों का उपयोग नहीं करता है, तो उस पहुंच को कम करना शायद एक अच्छा विचार है।

मेट्रिक्स

यदि आप इसे माप नहीं सकते हैं, तो आप इसे प्रबंधित नहीं कर सकते हैं, और आज किसी के पास यह मापने के उपकरण नहीं हैं कि कितना "विशेषाधिकार" प्रदान किया गया है।

CISOs और उनकी सुरक्षा टीमों को कम से कम विशेषाधिकार प्रबंधित करने के लिए एक डैशबोर्ड की आवश्यकता होती है। जिस तरह सेल्सफोर्स ने बिक्री टीमों को राजस्व का प्रबंधन करने के लिए ऑब्जेक्ट मॉडल और डैशबोर्ड दिया, उसी तरह नई कंपनियां एक्सेस के प्रबंधन के लिए एक ही नींव बना रही हैं।

टीमें अपनी पहुंच कैसे मापेंगी? क्या इसे "विशेषाधिकार बिंदु" कहा जाएगा? कुल अनुमति स्कोर? एक 2017 कागज "उल्लंघन जोखिम परिमाण" नामक डेटाबेस जोखिम के लिए एक मीट्रिक गढ़ा। हम इसे जो भी कहें, इस मीट्रिक का उदय पहचान-प्रथम सुरक्षा में एक ऐतिहासिक क्षण होगा। यहां तक ​​​​कि अगर मीट्रिक एक अपूर्ण है, तो यह व्यवसाय प्रक्रिया जैसे कम से कम विशेषाधिकार के प्रबंधन के लिए कंपनी की मानसिकता को बदल देगा।

आगे जा रहा है

परिदृश्य बदल गया है, और मैन्युअल तरीकों का उपयोग करके कम से कम विशेषाधिकार प्राप्त करना व्यावहारिक रूप से असंभव हो गया है। इसे ठीक करने के लिए नई तकनीकों, प्रक्रियाओं और मानसिकता की आवश्यकता होगी। जिन सीआईएसओ और सीआईओ के साथ मैं काम करता हूं उनका मानना ​​है कि कम से कम विशेषाधिकार संभव है, और वे कम से कम त्रैमासिक पहुंच समीक्षाओं से आगे बढ़ने के लिए विवेकपूर्ण निवेश कर रहे हैं। जल्द ही मैन्युअल समीक्षा अतीत की बात हो जाएगी, और ऑटोमेशन आधुनिक अभिगम नियंत्रण की जटिलता को वश में कर लेगा।

समय टिकट:

से अधिक डार्क रीडिंग