모두가 최소 권한을 원하는데 왜 아무도 그것을 얻지 못하는 것일까요?

Veza가 될 회사에 대한 아이디어를 구상할 때 공동 창립자와 저는 수십 명의 최고 정보 보안 책임자(CISO)와 최고 정보 책임자(CIO)를 인터뷰했습니다. 최신 기술에 정통한 회사의 규모와 성숙도에 관계없이 우리는 한 가지 주제를 계속 들었습니다. 회사의 가장 민감한 데이터에 누가 액세스했는지 알 수 없었습니다. 그들 모두는 다음과 같은 원칙에 동의했습니다. 최소 특권, 하지만 회사가 목표 달성에 얼마나 근접했는지 말할 수 있는 사람은 아무도 없었습니다.

"최소 권한"은 다음과 같이 정의됩니다. NIST의 컴퓨터 보안 리소스 센터 "각 개체가 기능을 수행하는 데 필요한 최소한의 시스템 리소스와 권한을 부여하도록 보안 아키텍처를 설계해야 한다는 원칙"으로 정의됩니다. 간단해 보이지만 상황이 달라졌습니다. 이제 데이터는 여러 클라우드, 수백 개의 SaaS 앱, 이전 시스템과 새로운 시스템에 분산되어 있습니다. 결과적으로 모든 현대 기업은 "액세스 부채"를 축적합니다. 불필요한 권한은 처음부터 너무 광범위하거나 이직 또는 종료 후 더 이상 필요하지 않습니다.

A KPMG 연구 미국 응답자의 62%가 2021년 한 해에만 위반 또는 사이버 사고를 경험한 것으로 나타났습니다. 직원이 피싱의 희생양이 되지만 민감하지 않은 정보에만 액세스할 수 있는 경우 경제적 영향은 전혀 없을 수 있습니다. 최소 권한은 공격의 피해를 완화합니다.

최소 권한을 달성하는 데 방해가 되는 세 가지 요소는 가시성, 확장성 및 메트릭입니다.

가시성은 기초입니다

보이지 않는 것을 관리하기 어렵고 액세스 권한은 기업의 수많은 시스템에 분산되어 있습니다. 대부분은 시스템의 고유한 액세스 제어(예: Salesforce 관리자 권한) 내에서 로컬로 관리됩니다. 회사에서 Okta, Ping 또는 ForgeRock과 같은 ID 공급자를 구현하는 경우에도 이는 빙산의 일각에 불과합니다. 로컬 계정 및 서비스 계정을 포함하여 수선 아래에 있는 모든 권한을 표시할 수는 없습니다.

이것은 많은 기업들이 정리 해고를 하는 오늘날 특히 관련이 있습니다. 직원을 해고할 때 고용주는 네트워크 및 SSO(Single Sign-On)에 대한 액세스 권한을 취소하지만 이것이 직원이 자격이 있는 수많은 시스템에 전파되지는 않습니다. 이것은 보이지 않는 액세스 부채가 됩니다.

법률 준수에 따라 정기적인 액세스 검토가 필요한 회사의 경우 가시성은 수동적이고 지루하며 누락에 취약합니다. 개별 시스템을 수작업으로 조사하기 위해 직원이 파견됩니다. 이러한 보고서(종종 스크린샷)를 이해하는 것은 소규모 회사에서는 가능할 수 있지만 최신 데이터 환경을 갖춘 회사에서는 불가능합니다.

규모

모든 회사에는 직원을 위한 수천 개의 ID와 서비스 계정 및 봇과 같은 비인간을 위한 수천 개의 ID가 있을 수 있습니다. 클라우드 서비스, SaaS 앱, 맞춤형 앱, SQL Server 및 Snowflake와 같은 데이터 시스템을 포함하여 수백 개의 "시스템"이 있을 수 있습니다. 각각은 세분화된 데이터 리소스의 수에 관계없이 수십 또는 수백 가지의 가능한 권한을 제공합니다. 이들의 모든 가능한 조합에 대해 내려야 할 액세스 결정이 있기 때문에 백만 개의 결정을 확인하는 문제를 쉽게 상상할 수 있습니다.

나쁜 상황을 최대한 활용하기 위해 회사는 지름길을 택하고 역할과 그룹에 ID를 할당합니다. 이것은 스케일 문제를 해결하지만 가시성 문제를 악화시킵니다. 보안 팀은 그룹에 속한 사람을 볼 수 있고 해당 그룹의 레이블을 알고 있지만 레이블이 전체 내용을 알려주지는 않습니다. 팀은 테이블 또는 열 수준에서 액세스를 볼 수 없습니다. ID 액세스 관리(IAM) 팀이 끝없는 액세스 요청 스트림을 수신하는 경우 해당 그룹이 필요한 것보다 더 광범위한 액세스 권한을 부여하더라도 가장 근접한 그룹에 대한 승인을 고무 도장으로 찍고 싶을 것입니다.

기업은 자동화 없이는 규모 문제를 극복할 수 없습니다. 한 가지 솔루션은 시간 제한 액세스입니다. 예를 들어 직원에게 그룹에 대한 액세스 권한이 부여되었지만 90일 동안 권한의 60%를 사용하지 않은 경우 해당 액세스 권한을 줄이는 것이 좋습니다.

통계

측정할 수 없다면 관리할 수 없으며 오늘날 어느 누구도 "권한"이 부여된 정도를 정량화할 수 있는 도구가 없습니다.

CISO와 보안 팀은 최소 권한을 관리하기 위한 대시보드가 ​​필요합니다. Salesforce가 영업 팀에 수익을 관리하기 위한 개체 모델과 대시보드를 제공한 것처럼 새로운 회사는 액세스 관리를 위한 동일한 기반을 만들고 있습니다.

팀은 액세스 권한을 어떻게 정량화합니까? "프리빌리지 포인트"라고 불릴까요? 총 허가 점수? 2017 용지 "침해 위험 규모"라는 데이터베이스 노출에 대한 메트릭을 만들었습니다. 무엇이라고 부르든 이 지표의 부상은 신원 우선 보안의 분수령이 될 것입니다. 메트릭이 불완전하더라도 비즈니스 프로세스와 같은 최소 권한 관리로 회사의 사고 방식을 전환할 것입니다.

앞으로

환경이 바뀌었고 수동 방법을 사용하여 최소 권한을 달성하는 것이 사실상 불가능해졌습니다. 이 문제를 해결하려면 새로운 기술, 프로세스 및 사고 방식이 필요합니다. 나와 함께 일하는 CISO 및 CIO는 최소한의 권한이 가능하다고 믿으며 최소한의 분기별 액세스 검토를 넘어서기 위해 신중한 투자를 하고 있습니다. 수동 검토가 과거의 일이 되고 자동화가 최신 액세스 제어의 복잡성을 길들이는 데 오래 걸리지 않을 것입니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/attacks-breaches/everybody-wants-least-privilege-so-why-isn-t-anyone-achieving-it