Least Privilege Access (LPA)

Why is Least Privilege Access Important? 

LPA非常重要，因为它有助于保持网络尽可能的安全. 它通过限制网络用户完成其工作所需的权限数量来实现这一点. 以这种方式, a specific user doesn’t end up with excessive permissions, but it’s often underst和able how they could.

网络环境, particularly in large enterprises, are often extremely large in scale, 和 it’s not always easy to know the exact permissions users will need. 类似的, 当您不确定新用户长期需要哪些权限时, 在将来他们可能需要这些权限的情况下，过度配置可能会更方便.

如果用户的系统-或 端点 – were to be compromised, a 威胁的演员 是否有权访问用户所有不必要的升级权限. This could enable that 威胁的演员 to potentially enact a ransomware攻击 通过利用窃取的特权从一个系统跳到另一个系统，这样他们就可以轻松地搜索网络并找到想要的 要加密的数据 和漏出.

Privilege creep happens to every security organization, 而且，希望成功地管理大规模的过度权限似乎很困难——如果不是深不可测的话. 这个问题的任何解决方案都需要能够建立一个正常活动的基线, 哪些可以通过在一段时间内跟踪实际活动来完成.

Once a normal baseline has been established, 该正常活动可以与授予给定实体的权限相关联, 并且可以自动调整权限以遵循组织的LPA指导方针.

What are the Benefits of Least Privilege Access? 

The benefits of LPA are vast. An identity 和 access management (IAM) 程序, 关于获取的一个更广泛的范畴，LPA的概念属于这个范畴, is a critical component of any modern security 程序.

建立最小特权原则的一个关键好处是，它基本上锁定了网络 攻击表面 without causing a significant slowdown in productivity. 让我们来看看最小权限访问模型的其他一些好处:

• 限制损害: According to the Center for Internet Security (CIS), by governing the level of access for each user, 系统, 和过程, LPA can limit the potential damage from unsanctioned activities, whether intentional or unintentional.
• Build into network segments:网络分段已经成为防止总攻击面渗透的重要安全措施. 除此之外，还可以跨用户部署LPA，以构建和保护这些段, 和 the network's defenses are optimized even further.
• Maintain a clean environment:如果用户完成了一个项目，只是想回头看看它, LPA will deny that ability. 由于不必要的访问而导致的无数人为错误是让攻击者利用漏洞的好方法, 传播恶意软件, 和 cost the business money 和 reputation.

How to Implement Least Privilege Access

团队可以通过设置尽可能小的特权来建立和管理LPA，以实现组织的风险目标. 他们还可以:

• 主动分析云环境中是否存在大规模的过度授权. An effective solution should break down complex, 多层IAM策略，并在环境的上下文中分析它们，以简化查找和修复过多权利的过程.
• 持续监控异常行为和过度权限的自动修复. This is a critical way to stay on track when growing cloud operations. 例如, in InsightCloudSec from Rapid7, 团队可以利用预定义的bot操作并指定他们将评估过度权限的资源.
• 利用身份分析协议提供跨云环境的身份相关风险的统一视图, enabling security organizations to achieve LPA at scale.
• Get their workforce ready to adopt LPA best practices. 我们大多数人都习惯于跳过某种身份验证障碍来访问诸如银行信息之类的东西, 医疗门户网站, 和 educational tools for children. 这种半新常态的社会行为可以帮助减轻实现LPA在业务范围内可能引起的一些摩擦. 然而, implementations will look different for each organization, so it’s a good rule of thumb to over communicate to an employee base.

LPA is a never-ending process, 需要根据组织角色和权限对特权级别进行持续评估. With over privileged account discovery, 和 some guided remediation, cloud infrastructure entitlement management (CIEM) tools can help organizations move toward a stronger security posture. 

阅读更多

Least Privilege Access: Latest Rapid7 博客 Posts