Mọi người đều muốn có ít đặc quyền nhất, vậy tại sao không ai đạt được điều đó?

Mọi người đều muốn có ít đặc quyền nhất, vậy tại sao không ai đạt được điều đó?

Dấu thời gian: Ngày 2 tháng 2023 năm 1 00:XNUMX CH

Khi tôi đang hình thành ý tưởng cho công ty sẽ trở thành Veza, tôi và những người đồng sáng lập đã phỏng vấn hàng chục giám đốc an ninh thông tin (CISO) và giám đốc thông tin (CIO). Bất kể quy mô và mức độ trưởng thành của các công ty am hiểu công nghệ hiện đại của họ, chúng tôi đã nghe đi nghe lại một chủ đề: Họ không thể biết ai có quyền truy cập vào dữ liệu nhạy cảm nhất của công ty họ. Mỗi người trong số họ đều tuân theo nguyên tắc đặc quyền nhất, nhưng không ai trong số họ có thể nói công ty của họ đã tiến gần đến mục tiêu đó đến mức nào.

“Đặc quyền tối thiểu” được định nghĩa bởi Trung tâm tài nguyên bảo mật máy tính của NIST là “nguyên tắc kiến ​​trúc bảo mật phải được thiết kế sao cho mỗi thực thể được cấp các tài nguyên hệ thống tối thiểu và các quyền mà thực thể đó cần để thực hiện chức năng của mình”. Nghe có vẻ đơn giản nhưng mọi thứ đã thay đổi. Dữ liệu hiện được trải rộng trên nhiều đám mây, hàng trăm ứng dụng SaaS cũng như các hệ thống cũ và mới. Kết quả là, tất cả các công ty hiện đại đều tích lũy “nợ truy cập” - những quyền không cần thiết ngay từ đầu đã quá rộng hoặc không còn cần thiết sau khi thay đổi hoặc chấm dứt công việc.

A Nghiên cứu KPMG nhận thấy rằng 62% số người được hỏi ở Hoa Kỳ đã gặp phải sự cố vi phạm hoặc sự cố mạng chỉ trong năm 2021. Nếu bất kỳ nhân viên nào trở thành nạn nhân của lừa đảo nhưng họ chỉ có quyền truy cập vào thông tin không nhạy cảm thì có thể không có tác động kinh tế nào cả. Đặc quyền tối thiểu giúp giảm thiểu thiệt hại của một cuộc tấn công.

Có ba trở ngại để đạt được đặc quyền tối thiểu: khả năng hiển thị, quy mô và số liệu.

Tầm nhìn là nền tảng

Thật khó để quản lý những thứ bạn không thể nhìn thấy và quyền truy cập được phân bổ trên vô số hệ thống trong doanh nghiệp. Nhiều người được quản lý cục bộ trong phạm vi kiểm soát truy cập duy nhất của hệ thống (ví dụ: quyền quản trị viên Salesforce). Ngay cả khi các công ty triển khai nhà cung cấp danh tính, chẳng hạn như Okta, Ping hoặc ForgeRock, điều này chỉ cho thấy phần nổi của tảng băng trôi. Nó không thể hiển thị tất cả các quyền nằm dưới mực nước, bao gồm cả tài khoản cục bộ và tài khoản dịch vụ.

Đồ họa hiển thị cách hệ thống nhận dạng không hiển thị quyền truy cập ẩn

Nguồn: Veza

Điều này đặc biệt có ý nghĩa ngày nay khi có rất nhiều công ty tiến hành sa thải nhân viên. Khi chấm dứt hợp đồng với nhân viên, người sử dụng lao động sẽ thu hồi quyền truy cập vào mạng và SSO (đăng nhập một lần), nhưng điều này không được áp dụng cho vô số hệ thống mà nhân viên có quyền được hưởng. Điều này trở thành nợ truy cập vô hình.

Đối với các công ty mà việc tuân thủ pháp luật bắt buộc phải xem xét quyền truy cập định kỳ, khả năng hiển thị là thủ công, tẻ nhạt và dễ bị bỏ sót. Nhân viên được phái đi để điều tra các hệ thống riêng lẻ bằng tay. Việc hiểu các báo cáo này (thường là ảnh chụp màn hình) có thể khả thi đối với một công ty nhỏ, nhưng không phải đối với một công ty có môi trường dữ liệu hiện đại.

Quy mô

Bất kỳ công ty nào cũng có thể có hàng nghìn danh tính cho nhân viên, cộng thêm hàng nghìn danh tính khác cho những người không phải con người, như tài khoản dịch vụ và bot. Có thể có hàng trăm “hệ thống”, bao gồm dịch vụ đám mây, ứng dụng SaaS, ứng dụng tùy chỉnh và hệ thống dữ liệu như SQL Server và Snowflake. Mỗi cái đều cung cấp hàng chục hoặc hàng trăm quyền có thể có đối với bất kỳ số lượng tài nguyên dữ liệu chi tiết nào. Vì có một quyết định truy cập được đưa ra cho mọi sự kết hợp có thể có của những quyết định này nên thật dễ dàng hình dung ra thách thức khi kiểm tra hàng triệu quyết định.

Để tận dụng tối đa tình huống xấu, các công ty đi đường tắt và gán danh tính cho các vai trò và nhóm. Điều này giải quyết vấn đề quy mô nhưng làm trầm trọng thêm vấn đề về khả năng hiển thị. Nhóm bảo mật có thể biết ai thuộc một nhóm và họ biết nhãn của nhóm đó, nhưng nhãn không nói lên toàn bộ câu chuyện. Nhóm không thể thấy quyền truy cập ở cấp độ bảng hoặc cột. Khi các nhóm quản lý quyền truy cập danh tính (IAM) nhận được dòng yêu cầu truy cập không ngừng nghỉ, việc phê duyệt đóng dấu cao su cho nhóm phù hợp nhất sẽ rất hấp dẫn, ngay cả khi nhóm đó cấp quyền truy cập rộng hơn mức cần thiết.

Các công ty không thể vượt qua thách thức về quy mô nếu không có tự động hóa. Một giải pháp là truy cập có giới hạn thời gian. Ví dụ: nếu một nhân viên được cấp quyền truy cập vào một nhóm nhưng không sử dụng 90% quyền trong 60 ngày thì có lẽ nên cắt bớt quyền truy cập đó.

Metrics

Nếu bạn không thể đo lường nó, bạn không thể quản lý nó, và ngày nay không ai có công cụ để định lượng “đặc quyền” đã được trao bao nhiêu.

CISO và nhóm bảo mật của họ cần một bảng thông tin để quản lý đặc quyền tối thiểu. Giống như Salesforce đã cung cấp cho nhóm bán hàng mô hình đối tượng và bảng thông tin để quản lý doanh thu, các công ty mới đang tạo ra nền tảng tương tự để quản lý quyền truy cập.

Các nhóm sẽ định lượng quyền truy cập của họ như thế nào? Liệu nó có được gọi là “điểm đặc quyền” không? Tổng số điểm cho phép? Một tờ giấy 2017 đã đặt ra một thước đo về khả năng hiển thị cơ sở dữ liệu được gọi là “mức độ rủi ro vi phạm”. Dù chúng tôi gọi nó là gì đi nữa thì sự gia tăng của số liệu này sẽ là một bước ngoặt trong vấn đề bảo mật ưu tiên danh tính. Ngay cả khi số liệu này không hoàn hảo, nó sẽ thay đổi tư duy của công ty theo hướng quản lý ít đặc quyền nhất như quy trình kinh doanh.

Tiến về phía trước

Bối cảnh đã thay đổi và thực tế không thể đạt được đặc quyền tối thiểu bằng các phương pháp thủ công. Việc khắc phục điều này sẽ đòi hỏi các công nghệ, quy trình và tư duy mới. Các CISO và CIO mà tôi làm việc cùng tin rằng có thể có ít đặc quyền nhất và họ đang thực hiện các khoản đầu tư thận trọng để vượt qua mức tối thiểu của các đánh giá truy cập hàng quý. Sẽ không lâu nữa, việc đánh giá thủ công sẽ trở thành quá khứ và tự động hóa sẽ khắc phục được sự phức tạp của kiểm soát truy cập hiện đại.

Dấu thời gian:

Thêm từ Đọc tối