روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ یکی از مهمترین مفاهیم امنیت اطلاعات، اصل اقل مزیت[1] است. در این مقاله قرار است بررسی کنیم این اصل چیست، چه ساز و کاری دارد و چطور پایبند بودن به این اصل میتواند به کسب و کارها منفعت برساند و چطور باید در عمل این اصل را پیادهسازی کرد. با ما همراه باشید.
ساز و کار اصل اقل مزیت
به اصل اقل مزیت (PoLP)، اصل مزیت مینیمال (PoMP) و اصل حداقل اختیار (PoLA) هم میگویند. ایده اصلی این است که دسترسی به منابع یک سیستم باید طوری ساماندهی شده باشد که فقط برای همان منظور خاص و برای افرادی که باید با آنها سر و کار داشته باشند موجود باشد. در عمل این شامل سیستمهای مختلفی میشود و نیز نهادهای متفاوت داخل سیستم که به هر حال از حیث بکارگیری اصل اقل مزیت برای حفظ امنیت سازمان، این میتواند به شرح زیر باشد: هر کاربر زیرساخت اطلاعاتی سازمان باید فقط حق دسترسی به دادههایی را داشته باشد که برای اجرای تسکهایش واجب است. اگر برای اجرای برخی تسکهای خاص، کاربر اطلاعاتی را که در حال حاضر ندارد طلب کرد، مجوزهای این درخواست میتواند افزایش یابد. این افزایش حق میتواند دائمی باشد –اگر خود نقش کاربر آن را لازم دانسته باشد- و میتواند حالت اعتباری هم به خودش بگیرد بدینمعنا که این حق فقط برای اجرای تسک یا پروژه خاص داده میشود و بعداً هم پس گرفته میشود (در سناریوی دوم، به آن براکتکردنِ مزیت میگویند). برعکس، وقتی کاربر دیگر به هر دلیلی به اطلاعات خاصی درخواست دسترسی ندارد، مجوزهایش باید طبف اصل اقل مزیت به پایینترین حدش برسد.
مشخصاً این اصل میگوید کاربران معمولی نباید هرگز به حقوق ابرکاربر یا ادمین دست پیدا کنند. نه تنها چنین مزایایی برای تسکهای کارمند معمولی غیرضروریاند که همچنین به طور قابلملاحظهای میزان خطر را افزایش میدهند.
چرا اصل اقل مزیت مورد نیاز است؟
اصل اقل مزیت به ارتقای مدیریت دسترسی کمک کرده و معمولاً امنیت زیرساخت اطلاعات شرکت را بالاتر میبرد. در ادامه به چند هدف مهم امنیتی که با بکارگیری اصل اقل مزیت به دست میآید معرفی کردهایم:
- کاهش ریسک: با محدود کردن دسترسی به حداقلهای لازم برای کاربران برای انجام وظایف خود، احتمال سوء استفاده تصادفی یا عمدی از امتیازات را میتوان به میزان قابلتوجهی کاهش داد. این به نوبه خود به کاهش خطرات نفوذ موفق محیطی و دسترسی غیرمجاز به منابع شرکت کمک میکند.
- محافظت از داده: محدود کردن دسترسی به محافظت از داده های محرمانه کمک میکند. کاربران فقط به دادههای مورد نیاز برای کار خود دسترسی دارند و در نتیجه احتمال دسترسی آنها به اطلاعات حساس یا بدتر از آن باعث نشت یا سرقت آنها میشود.
- کاهش سطح حمله: محدود کردن امتیازات کاربر، سوء استفاده از آسیبپذیریها و استفاده از بدافزارها و ابزارهای هک که به امتیازات کاربر متکی هستند را برای مهاجمین دشوارتر و در نتیجه سطح حمله را کاهش میدهد.
- لوکالیزه کردن رخدادهای امنیتی: اگر شبکه سازمانی نقض شود، اصل حداقل امتیاز به محدود کردن دامنه رخداد و پیامدهای آن کمک میکند. از آنجا که هر حساب در معرض خطر حداقل حقوق را دارد، آسیب احتمالی کاهش مییابد و حرکت جانبی در سیستم یا شبکه در معرض خطر مانع میشود.
- شناسایی کاربران مسئول رخداد: به حداقل رساندن امتیازات به طور قابل توجهی دایره کاربرانی را که میتوانند مسئول یک رخداد باشند محدود میکند. این امر شناسایی افراد مسئول در هنگام بررسی رخدادهای امنیتی یا اقدامات غیرمجاز را سرعت می بخشد.
- رعایت استانداردها و مقررات: بسیاری از الزامات و استانداردهای نظارتی بر نیاز به کنترل دسترسی - به ویژه اصل حداقل امتیاز تأکید دارند. رعایت استانداردهای صنعت و بهترین شیوهها به سازمانها کمک میکند تا از پیامدهای ناخوشایند و تحریمها جلوگیری کنند.
- افزایش بهرهوری عملیاتی: اجرای اصل کمترین امتیاز خطرات زیرساخت اطلاعاتی سازمان را کاهش میدهد. این شامل کاهش زمان خرابی مرتبط با رخدادهای امنیتی و در نتیجه بهبود کارایی عملیاتی شرکت میشود.
چطور این اصل را در سازمان خود پیاده کنیم؟
پیادهسازی اصل اقل مزیت در زیرساخت اطلاعاتی سازمان را میشود به چند گام و تسک پایهایتر خرد کرد:
- فهرستی از منابع را انجام دهید و حقوق دسترسی کاربران را در حال حاضر بررسی کنید.
- منابع را طبقهبندی کنید و یک مدل مدیریت دسترسی بر اساس نقش ها ایجاد کنید - هر کدام دارای حقوق خاصی هستند.
- به عنوان نقطه شروع، به کاربران نقشهایی با حداقل حقوق اختصاص دهید و امتیازات آنها را تنها در صورت لزوم برای وظایفشان افزایش دهید.
- به طور منظم ممیزی انجام دهید و مجوزها را بررسی کنید - کاهش امتیازات برای کاربرانی که دیگر نیازی به دسترسی به منابع خاصی برای وظایف خود ندارند.
- استفاده از اصل براکتبندی امتیاز: زمانی که کاربر برای انجام یک کار نیاز به دسترسی به تعداد بیشتری از منابع دارد، سعی کنید امتیازات خود را به طور موقت و نه دائمی افزایش دهید.
و اقدامات پیشگیرانه دیگر را نیز فراموش نکنید
البته که پیادهسازی این اصل به تنهایی برای امنیتبخشی زیرساخت اطلاعات شرکت کافی نیست. از این رو باید اقدامات دیگر را نیز لحاظ کرد:
- ممیزی امنیتی منظم
- آپدیتهای نرمافزاری به موقع
- آموزش کارمندان در مورد موارد پایه امنیت سایبری
- بکارگیری محافظت مطمئن روی همه دستگاههای سازمانی
[1] principle of least privilege
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.