روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ یکی از مهم‌ترین مفاهیم امنیت اطلاعات، اصل اقل مزیت[1] است. در این مقاله قرار است بررسی کنیم این اصل چیست، چه ساز و کاری دارد و چطور پایبند بودن به این اصل می‌تواند به کسب و کارها منفعت برساند و چطور باید در عمل این اصل را پیاده‌سازی کرد. با ما همراه باشید.

ساز و کار اصل اقل مزیت

به اصل اقل مزیت (PoLP)، اصل مزیت مینیمال (PoMP) و اصل حداقل اختیار (PoLA) هم می‌گویند. ایده اصلی این است که دسترسی به منابع یک سیستم باید طوری سامان‌دهی شده باشد که فقط برای همان منظور خاص و برای افرادی که باید با آن‌ها سر و کار داشته باشند موجود باشد. در عمل این شامل سیستم‌های مختلفی می‌شود و نیز نهادهای متفاوت داخل سیستم که به هر حال از حیث بکارگیری اصل اقل مزیت برای حفظ امنیت سازمان، این می‌تواند به شرح زیر باشد: هر کاربر زیرساخت اطلاعاتی سازمان باید فقط حق دسترسی به داده‌هایی را داشته باشد که برای اجرای تسک‌هایش واجب است. اگر برای اجرای برخی تسک‌های خاص، کاربر اطلاعاتی را که در حال حاضر ندارد طلب کرد، مجوزهای این درخواست می‌تواند افزایش یابد. این افزایش حق می‌تواند دائمی باشد –اگر خود نقش کاربر آن را لازم دانسته باشد- و می‌تواند حالت اعتباری هم به خودش بگیرد بدین‌معنا که این حق فقط برای اجرای تسک یا پروژه خاص داده می‌شود و بعداً هم پس گرفته می‌شود (در سناریوی دوم، به آن براکت‌کردنِ مزیت می‌گویند). برعکس، وقتی کاربر دیگر به هر دلیلی به اطلاعات خاصی درخواست دسترسی ندارد، مجوزهایش باید طبف اصل اقل مزیت به پایین‌ترین حدش برسد.

مشخصاً این اصل می‌گوید کاربران معمولی نباید هرگز به حقوق ابرکاربر یا ادمین دست پیدا کنند. نه تنها چنین مزایایی برای تسک‌های کارمند معمولی غیرضروری‌اند که همچنین به طور قابل‌ملاحظه‌ای میزان خطر را افزایش می‌دهند.

چرا اصل اقل مزیت مورد نیاز است؟

اصل اقل مزیت به ارتقای مدیریت دسترسی کمک کرده و معمولاً امنیت زیرساخت اطلاعات شرکت را بالاتر می‌برد. در ادامه به چند هدف مهم امنیتی که با بکارگیری اصل اقل مزیت به دست می‌آید معرفی کرده‌ایم:

1.      کاهش ریسک: با محدود کردن دسترسی به حداقل‌های لازم برای کاربران برای انجام وظایف خود، احتمال سوء استفاده تصادفی یا عمدی از امتیازات را می‌توان به میزان قابل‌توجهی کاهش داد. این به نوبه خود به کاهش خطرات نفوذ موفق محیطی و دسترسی غیرمجاز به منابع شرکت کمک می‌کند.
2.      محافظت از داده: محدود کردن دسترسی به محافظت از داده های محرمانه کمک می‌کند. کاربران فقط به داده‌های مورد نیاز برای کار خود دسترسی دارند و در نتیجه احتمال دسترسی آنها به اطلاعات حساس یا بدتر از آن باعث نشت یا سرقت آنها می‌شود.
3.      کاهش سطح حمله: محدود کردن امتیازات کاربر، سوء استفاده از آسیب‌پذیری‌ها و استفاده از بدافزارها و ابزارهای هک که به امتیازات کاربر متکی هستند را برای مهاجمین دشوارتر و در نتیجه سطح حمله را کاهش می‌دهد.
4.      لوکالیزه کردن رخدادهای امنیتی: اگر شبکه سازمانی نقض شود، اصل حداقل امتیاز به محدود کردن دامنه رخداد و پیامدهای آن کمک می‌کند. از آنجا که هر حساب در معرض خطر حداقل حقوق را دارد، آسیب احتمالی کاهش می‌یابد و حرکت جانبی در سیستم یا شبکه در معرض خطر مانع می‌شود.
5.      شناسایی کاربران مسئول رخداد: به حداقل رساندن امتیازات به طور قابل توجهی دایره کاربرانی را که می‌توانند مسئول یک رخداد باشند محدود می‌کند. این امر شناسایی افراد مسئول در هنگام بررسی رخدادهای امنیتی یا اقدامات غیرمجاز را سرعت می بخشد.
6.      رعایت استانداردها و مقررات: بسیاری از الزامات و استانداردهای نظارتی بر نیاز به کنترل دسترسی - به ویژه اصل حداقل امتیاز تأکید دارند. رعایت استانداردهای صنعت و بهترین شیوه‌ها به سازمان‌ها کمک می‌کند تا از پیامدهای ناخوشایند و تحریم‌ها جلوگیری کنند.
7.      افزایش بهره‌وری عملیاتی: اجرای اصل کمترین امتیاز خطرات زیرساخت اطلاعاتی سازمان را کاهش می‌دهد. این شامل کاهش زمان خرابی مرتبط با رخدادهای امنیتی و در نتیجه بهبود کارایی عملیاتی شرکت می‌شود.

چطور این اصل را در سازمان خود پیاده کنیم؟

پیاده‌سازی اصل اقل مزیت در زیرساخت اطلاعاتی سازمان را می‌شود به چند گام و تسک پایه‌ای‌تر خرد کرد:

•         فهرستی از منابع را انجام دهید و حقوق دسترسی کاربران را در حال حاضر بررسی کنید.
•         منابع را طبقه‌بندی کنید و یک مدل مدیریت دسترسی بر اساس نقش ها ایجاد کنید - هر کدام دارای حقوق خاصی هستند.
•         به عنوان نقطه شروع، به کاربران نقش‌هایی با حداقل حقوق اختصاص دهید و امتیازات آنها را تنها در صورت لزوم برای وظایفشان افزایش دهید.
•         به طور منظم ممیزی انجام دهید و مجوزها را بررسی کنید - کاهش امتیازات برای کاربرانی که دیگر نیازی به دسترسی به منابع خاصی برای وظایف خود ندارند.
•         استفاده از اصل براکت‌بندی امتیاز: زمانی که کاربر برای انجام یک کار نیاز به دسترسی به تعداد بیشتری از منابع دارد، سعی کنید امتیازات خود را به طور موقت و نه دائمی افزایش دهید.

و اقدامات پیشگیرانه دیگر را نیز فراموش نکنید

البته که پیاده‌سازی این اصل به تنهایی برای امنیت‌بخشی زیرساخت اطلاعات شرکت کافی نیست. از این رو باید اقدامات دیگر را نیز لحاظ کرد:

•         ممیزی امنیتی منظم
•         آپدیت‌های نرم‌افزاری به موقع
•         آموزش کارمندان در مورد موارد پایه امنیت سایبری
•         بکارگیری محافظت مطمئن روی همه دستگاه‌های سازمانی

[1]   principle of least privilege

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.