ทุกคนต้องการสิทธิพิเศษน้อยที่สุด แล้วทำไมไม่มีใครบรรลุเลย?

ตอนที่ฉันสร้างแนวคิดสำหรับบริษัทที่จะมาเป็น Veza ฉันและผู้ร่วมก่อตั้งได้สัมภาษณ์หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) และหัวหน้าเจ้าหน้าที่สารสนเทศ (CIO) หลายสิบคน ไม่ว่าบริษัทที่เชี่ยวชาญด้านเทคโนโลยีสมัยใหม่จะมีขนาดและเติบโตมากเพียงใด เราก็ได้ยินหัวข้อหนึ่งซ้ำแล้วซ้ำเล่า: พวกเขาไม่เห็นว่าใครสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนที่สุดของบริษัทได้ แต่ละคนสมัครรับหลักการของ สิทธิพิเศษน้อยที่สุดแต่ไม่มีใครสามารถบอกได้ว่าบริษัทของพวกเขาเข้าใกล้ความสำเร็จนี้มากเพียงใด

“สิทธิพิเศษน้อยที่สุด” ถูกกำหนดโดย ศูนย์ทรัพยากรความปลอดภัยคอมพิวเตอร์ของ NIST เป็น “หลักการที่ว่าสถาปัตยกรรมความปลอดภัยควรได้รับการออกแบบเพื่อให้แต่ละเอนทิตีได้รับทรัพยากรระบบขั้นต่ำและการอนุญาตที่เอนทิตีจำเป็นต้องปฏิบัติหน้าที่” ฟังดูเรียบง่าย แต่สิ่งต่างๆ ได้เปลี่ยนไปแล้ว ขณะนี้ข้อมูลแพร่กระจายไปยังคลาวด์หลายแห่ง แอพ SaaS หลายร้อยรายการ และระบบทั้งเก่าและใหม่ เป็นผลให้บริษัทสมัยใหม่ทุกแห่งสะสม “หนี้การเข้าถึง” — สิทธิ์ที่ไม่จำเป็นซึ่งกว้างเกินไปในตอนแรกหรือไม่จำเป็นอีกต่อไปหลังจากเปลี่ยนงานหรือเลิกจ้าง

A การศึกษาของเคพีเอ็มจี พบว่า 62% ของผู้ตอบแบบสอบถามในสหรัฐฯ ประสบปัญหาการละเมิดหรือเหตุการณ์ทางไซเบอร์ในปี 2021 เพียงปีเดียว หากพนักงานคนใดตกเป็นเหยื่อของฟิชชิ่ง แต่พวกเขาเข้าถึงได้เพียงข้อมูลที่ไม่ละเอียดอ่อน ก็อาจไม่มีผลกระทบทางเศรษฐกิจแต่อย่างใด สิทธิ์ขั้นต่ำจะช่วยลดความเสียหายจากการโจมตี

มีอุปสรรคสามประการในการได้รับสิทธิ์ขั้นต่ำ: การมองเห็น ขนาด และหน่วยเมตริก

การมองเห็นเป็นรากฐาน

เป็นการยากที่จะจัดการสิ่งที่คุณมองไม่เห็น และการอนุญาตการเข้าถึงจะกระจายไปทั่วระบบนับไม่ถ้วนในองค์กร หลายๆ รายการได้รับการจัดการภายในเครื่องด้วยการควบคุมการเข้าถึงเฉพาะของระบบ (เช่น สิทธิ์ผู้ดูแลระบบ Salesforce) แม้ว่าบริษัทต่างๆ จะใช้ผู้ให้บริการข้อมูลประจำตัว เช่น Okta, Ping หรือ ForgeRock สิ่งนี้แสดงให้เห็นเพียงส่วนเล็กเท่านั้น ไม่สามารถแสดงการอนุญาตทั้งหมดที่อยู่ต่ำกว่าระดับน้ำ รวมถึงบัญชีท้องถิ่นและบัญชีบริการ

สิ่งนี้มีความเกี่ยวข้องอย่างยิ่งในปัจจุบัน โดยมีบริษัทหลายแห่งดำเนินการเลิกจ้างพนักงาน เมื่อเลิกจ้างพนักงาน นายจ้างจะเพิกถอนการเข้าถึงเครือข่ายและ SSO (การลงชื่อเพียงครั้งเดียว) แต่การดำเนินการนี้ไม่ได้เผยแพร่ไปยังระบบมากมายที่พนักงานมีสิทธิ์ นี่กลายเป็นหนี้การเข้าถึงที่มองไม่เห็น

สำหรับบริษัทที่การปฏิบัติตามกฎหมายกำหนดให้มีการตรวจสอบการเข้าถึงเป็นระยะๆ การเปิดเผยข้อมูลจะต้องดำเนินการด้วยตนเอง น่าเบื่อ และเสี่ยงต่อการละเว้น พนักงานถูกส่งไปตรวจสอบระบบแต่ละระบบด้วยตนเอง การทำความเข้าใจรายงานเหล่านี้ (มักเป็นภาพหน้าจอ) อาจเป็นไปได้สำหรับบริษัทขนาดเล็ก แต่ไม่ใช่สำหรับบริษัทที่มีสภาพแวดล้อมของข้อมูลสมัยใหม่

ขนาด

บริษัทใดๆ ก็ตามอาจมีข้อมูลประจำตัวหลายพันรายการสำหรับพนักงาน และอีกหลายพันรายการสำหรับผู้ที่ไม่ใช่มนุษย์ เช่น บัญชีบริการและบอท สามารถมี “ระบบ” ได้หลายร้อยรายการ รวมถึงบริการคลาวด์ แอป SaaS แอปแบบกำหนดเอง และระบบข้อมูล เช่น SQL Server และ Snowflake แต่ละรายการเสนอสิทธิ์ที่เป็นไปได้หลายสิบหรือหลายร้อยรายการสำหรับทรัพยากรข้อมูลแบบละเอียดจำนวนเท่าใดก็ได้ เนื่องจากมีการตัดสินใจในการเข้าถึงทุกชุดที่เป็นไปได้ จึงเป็นเรื่องง่ายที่จะจินตนาการถึงความท้าทายในการตรวจสอบการตัดสินใจนับล้านครั้ง

เพื่อให้สถานการณ์เลวร้ายดีที่สุด บริษัทต่างๆ จะใช้ทางลัดและกำหนดอัตลักษณ์ให้กับบทบาทและกลุ่ม วิธีนี้ช่วยแก้ไขปัญหาขนาดแต่ทำให้ปัญหาการมองเห็นแย่ลง ทีมรักษาความปลอดภัยอาจสามารถดูว่าใครอยู่ในกลุ่ม และพวกเขารู้จักป้ายกำกับของกลุ่มนั้น แต่ป้ายกำกับไม่ได้บอกเรื่องราวทั้งหมด ทีมไม่สามารถมองเห็นการเข้าถึงในระดับตารางหรือคอลัมน์ เมื่อทีมจัดการการเข้าถึงข้อมูลระบุตัวตน (IAM) ได้รับคำขอเข้าถึงอย่างต่อเนื่อง การอนุมัติตรายางสำหรับกลุ่มที่ใกล้เคียงที่สุดเป็นสิ่งที่ดึงดูดใจ แม้ว่ากลุ่มนั้นจะให้การเข้าถึงที่กว้างเกินความจำเป็นก็ตาม

บริษัทต่างๆ ไม่สามารถเอาชนะความท้าทายด้านขนาดได้หากไม่มีระบบอัตโนมัติ ทางออกหนึ่งคือการเข้าถึงแบบจำกัดเวลา ตัวอย่างเช่น หากพนักงานได้รับสิทธิ์เข้าถึงกลุ่มแต่ไม่ได้ใช้สิทธิ์ 90% เป็นเวลา 60 วัน อาจเป็นความคิดที่ดีที่จะตัดสิทธิ์การเข้าถึงนั้น

ตัวชี้วัด

ถ้าคุณไม่สามารถวัดผลได้ คุณจะจัดการมันไม่ได้ และไม่มีใครในปัจจุบันที่มีเครื่องมือในการวัดจำนวน "สิทธิพิเศษ" ที่ได้รับ

CISO และทีมรักษาความปลอดภัยจำเป็นต้องมีแดชบอร์ดเพื่อจัดการสิทธิ์ขั้นต่ำ เช่นเดียวกับที่ Salesforce มอบโมเดลออบเจ็กต์และแดชบอร์ดให้กับทีมขายเพื่อจัดการรายได้ บริษัทใหม่ๆ ก็เริ่มสร้างรากฐานเดียวกันสำหรับการจัดการการเข้าถึง

ทีมจะกำหนดปริมาณการเข้าถึงได้อย่างไร จะเรียกว่า “คะแนนสิทธิพิเศษ” หรือไม่? คะแนนสิทธิ์ทั้งหมด? กระดาษ 2017 สร้างตัวชี้วัดสำหรับการเปิดเผยฐานข้อมูลที่เรียกว่า "ขนาดความเสี่ยงการละเมิด" ไม่ว่าเราจะเรียกมันว่าอะไรก็ตาม การเพิ่มขึ้นของตัวชี้วัดนี้จะเป็นช่วงเวลาสำคัญในการรักษาความปลอดภัยที่ให้ความสำคัญกับข้อมูลประจำตัวเป็นอันดับแรก แม้ว่าหน่วยเมตริกจะไม่สมบูรณ์ แต่ก็จะเปลี่ยนกรอบความคิดของบริษัทไปสู่การจัดการสิทธิพิเศษน้อยที่สุด เช่น กระบวนการทางธุรกิจ

การดำเนินเรื่อง

ภูมิทัศน์เปลี่ยนไปและแทบจะเป็นไปไม่ได้เลยที่จะบรรลุสิทธิพิเศษน้อยที่สุดโดยใช้วิธีการแบบแมนนวล การแก้ไขปัญหานี้จะต้องใช้เทคโนโลยี กระบวนการ และกรอบความคิดใหม่ๆ CISO และ CIO ที่ฉันทำงานด้วยเชื่อว่าสิทธิพิเศษน้อยที่สุดนั้นเป็นไปได้ และพวกเขากำลังลงทุนอย่างรอบคอบเพื่อก้าวไปไกลกว่าการตรวจสอบการเข้าถึงรายไตรมาสขั้นต่ำเปลือยเปล่า การตรวจสอบโดยเจ้าหน้าที่จะใช้เวลาไม่นาน และระบบอัตโนมัติจะช่วยลดความซับซ้อนของการควบคุมการเข้าถึงสมัยใหม่

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/attacks-breaches/everybody-wants-least-privilege-so-why-isn-t-anyone-achieving-it