Principle of least privilege یا اصل حداقل امتیاز چیست+چگونگی عملکرد

POLP مفهوم امنیتی بسیار مهم و حائز اهمیت است که آگاهی از آن برای تمامی سازمان هایی که نیاز به امنیت بالایی دارند لازم است. کنترل دسترسی کارکنان به داده ها و پروتکل های دیگر از جمله مهم ترین آن ها است. در ادامه با ما همراه باشید تا نحوه عملکرد، مزایای POLP و نحوه کنترل دسترسی را به طور جامع و کامل مورد بررسی قرار دهیم.

POLP چیست؟

اصل حداقل امتیاز (Principle of Least Privilege) یک مفهوم امنیتی است که نشان می دهد هر برنامه یا فرآیند باید حداقل چه امتیازی برای انجام عملکرد های خود داشته باشد. سازمان هایی که از اصل حداقل امتیاز پیروی می کنند، می توانند با کاهش قابل توجه سطح حمله و خطر گسترش بدافزار، وضعیت امنیتی خود را بهبود می بخشند. اصل حداقل امتیاز را می توان به عنوان POMP و POLA نیز نام برد. پیروی از این اصل جزو بهترین روش های امنیت اطلاعات محسوب می شود.

POLP به عنوان بهترین روش امنیت سایبری در نظر گرفته می شود، زیرا دسترسی به داده ها و دارایی های با ارزش را محدود می کند. علاوه بر این، سازمانهایی که از POLP استفاده می کنند، می توانند با کاهش سطح حمله، وضعیت امنیتی خود را بهبود بخشند. همچنین در دسترسی به شبکه بدون اعتماد (ZTNA) استفاده می شود.

اصل حداقل امتیاز چگونه کار می کند؟

این اصل بیان می کند که یک کاربر فقط باید به اطلاعات و منابعی که برای یک هدف قانونی کاملا ضروری هستند، دسترسی داشته باشند. این قاعده با محدود کردن داده ها، منابع، برنامه ها و توابع، فقط به مواردی که یک کاربر برای انجام کار خود نیاز دارد، دسترسی پیدا می کند. در واقع اصل حداقل امتیاز با اجازه دادن به دسترسی کافی برای انجام کار مورد نیاز کار می کند. رعایت این قاعده خطر دسترسی مهاجمان سایبری را به سیستم های حیاتی و داده های حساس یک سازمان را کاهش می دهد.

بسته به سیستم، برخی از دسترسی ها ممکن است بر اساس ویژگی های مشروط به نقش کاربر در سازمان باشد. به عنوان مثال، برخی از سیستم‌های دسترسی شرکتی بر اساس عواملی مانند مکان، یا زمان، سطح دسترسی مناسب را اعطا می‌کنند. یک سازمان می تواند مشخص کند که کدام کاربران میتوانند به چه چیزی در سیستم دسترسی داشته باشند و سیستم را می توان پیکربندی کرد تا کنترل های دسترسی فقط نقش ها و پارامترهای مدیران را تشخیص دهند.

سازمان‌ها همچنین باید احراز هویت و مجوزها را در سیستم‌های حیاتی ثبت کنند. به این ترتیب، آنها می توانند تلاش های ناموفق برای ورود به سیستم و تغییرات کنترل دسترسی را پیگیری کنند. به همین ترتیب، سازمان‌ها باید حساب‌ها و دسترسی های را در فواصل زمانی معین بررسی کنند تا اطمینان حاصل کنند که کاربران بیش از حد مجاز نیستند.

مزایای POLP

اصل حداقل امتیاز دارای مزایای زیادی است که در ادامه به آنها اشاره می کنیم:

امنیت بهتر

اطمینان از اینکه کاربران از دسترسی های بیش از حد برخوردار نیستند، می تواند به کاهش خطرات احتمالی تهدید های خودی( عوامل و کارکنان بدخواه) کمک کند. آنها دسترسی زیادی نخواهند داشت، بنابر این نمیتوانند به اطلاعات و داده های مهم دسترسی داشته باشند. ادوارد اسنودن توانست میلیون ها فایل NSA را به سرقت برساند زیرا از امتیاز مدیریت برخوردار بود، در حالی که بالاترین سطح کاری او پشتیبانی از پایگاه داده بود. از زمان افشای اطلاعات اسنودن، NSA از اصل حداقل امتیاز برای سلب اختیار سطح بالاتر از 90 درصد کارمندان خود استفاده کرده است.

به حداقل رسیدن سطح حمله

هکر ها از طریق یک پیمانکار HVAC که مجوز آپلود فایل های اجرایی را دارد، به 70 میلیون حساب مشتری هدف دسترسی پیدا می کنند. سطح حمله را به حداقل می‌رساند، راه‌هایی را کاهش می‌دهد که یک عامل مخرب می‌تواند برای دسترسی به داده‌های حساس یا انجام یک حمله با محافظت از دسترسی های ابر کاربر و مدیر استفاده کند.

کاهش بدافزار

انتشار بدافزار را با اجازه ندادن به کاربران برای نصب برنامه های غیر مجاز کاهش می دهد. اصل حداقل امتیاز همچنین حرکت جانبی شبکه را متوقف می کند که می تواند با محدود کردن بدافزار به نقطه ورودی، علیه سایر دستگاه های متصل حمله کند.

پایداری بهتر

فراتر از امنیت، اصل حداقل امتیاز با محدود کردن اثرات تغییرات در منطقه ای که در آن ایجاد شده است، ثبات سیستم را تقویت می کند.

بهبود آمادگی

دامنه ممیزی زمانی می تواند به شدت کاهش یابد که سیستم مورد ممیزی بر اساس اصل حداقل امتیاز ساخته شده باشد.

بهترین روش ها برای اصل حداقل امتیاز (نحوه اجرای POLP)

ممیزی امتیاز انجام دهید. تمام حساب‌ها، فرآیندها و برنامه‌های موجود را بررسی کنید تا مطمئن شوید که آنها فقط مجوزهای لازم برای انجام کار را دارند.
همه حساب ها را با کمترین امتیاز راه اندازی کنید. پیش‌فرض برای تمام دسترسی های حساب جدید باید تا حد امکان پایین باشد. فقط قدرت های سطح بالاتر خاصی را در صورت نیاز برای انجام کار اضافه کنید.
اجرای تفکیک دسترسی. حساب‌های مدیریت را از حساب‌های استاندارد و عملکردهای سطح بالاتر سیستم را از حساب‌های پایین‌تر جدا کنید.
از دسترسی ها به موقع استفاده کنید. در صورت امکان، دسترسی های افزایش یافته را فقط به لحظاتی که به آنها نیاز است محدود کنید. اجرای دسترسی های در حال انقضا و اعتبارنامه های یک بار مصرف.
اقدامات فردی را قابل ردیابی کنید. شناسه های کاربری، رمزهای عبور یکبار مصرف، نظارت و ممیزی خودکار می توانند ردیابی و محدود کردن آسیب را آسان تر کنند.
منظم کردن. دسترسی های حسابرسی به طور منظم از موقعیتی جلوگیری می کند که در آن کاربران، حساب ها و فرآیندهای قدیمی تر در طول زمان دسترسی ها را جمع می کنند، با توجه به اینکه هنوز به آن ها نیاز دارند یا نه.

کنترل دسترسی

کاربران با کمترین امتیاز (LPU) کسانی هستند که محدودترین دسترسی و اغلب پایین‌ترین سطح اختیار را در شرکت دارند. در یک سازمان، کاربران اغلب سطوح بالایی از دسترسی به شبکه و داده های موجود در آن را دارند. هنگامی که یک حساب LPU راه اندازی می شود، آن کاربر دارای دسترسی های محدودی است و فقط می تواند وظایف خاصی را انجام دهد، مانند گشت و گذار در وب یا خواندن ایمیل. این کار را برای یک مهاجم مخرب استفاده از حساب LPU برای آسیب رساندن سخت تر می کند.

راه دیگر برای کنترل دسترسی کاربران، پیاده سازی مفهومی به نام براکتینگ امتیاز است. این رویکرد به کاربران امکان دسترسی به حساب‌های مدیر را برای کوتاه‌ترین زمان لازم برای تکمیل کار خاص می‌دهد. این عملکرد را می توان از طریق نرم افزار خودکار ویژه مدیریت کرد تا اطمینان حاصل شود که دسترسی فقط برای مدت زمان مشخص اعطا می شود.

نحوه پیاده سازی POLP

استفاده از مفاهیم POLP می‌تواند به سادگی حذف دسترسی کاربر نهایی به دستگاه‌ها یا عملیات‌های مرتبط‌، مانند انجام ممیزی‌های منظم امتیازات باشد. مانند حذف درایوهای USB برای جلوگیری از نفوذ اطلاعات طبقه‌بندی‌شده.

سازمان ها می توانند با انجام کارهای زیر POLP را با موفقیت پیاده سازی کنند:

انجام ممیزی امتیازات با بررسی همه فرآیندها، برنامه‌ها و حساب‌های موجود برای اطمینان از عدم وجود خزش دسترسی.
راه‌اندازی همه حساب‌ها با کمترین دسترسی و افزودن امتیازات با توجه به دسترسی مورد نیاز.
اجرای تفکیک امتیازات با تمایز بین حساب‌های امتیازی سطح بالاتر و حساب‌های امتیازی سطح پایین.
اختصاص حداقل دسترسی های به موقع با ارائه حساب های امتیاز سطح پایین تر با دسترسی محدود برای تکمیل کار لازم.
ردیابی اقدامات فردی انجام شده توسط اعتبارنامه های یک بار مصرف برای جلوگیری از آسیب احتمالی.

چرا POLP مهم است؟

به عنوان یک اقدام امنیتی، اصل حداقل امتیاز، سطح حمله سازمان را با محدود کردن دسترسی کاربر و مدیر به اطلاعات غیر ضروری کاهش می‌دهد. با اعمال POLP در دستگاه‌های کاربر، هر دستگاهی که به بدافزار آلوده می‌شود، نمی‌تواند به امتیازات بالایی دسترسی داشته باشد زیرا ممکن است دسترسی به اطلاعات بیشتر را افزایش دهد و سازمان را از آسیب احتمالی بیشتر نجات دهد. به همین ترتیب، این اصل کارمندان را از آسیب رساندن عمدی یا ناخواسته به سیستم های حیاتی باز می دارد.

به عنوان بهترین عمل امنیت سایبری، POLP نیز بخشی جدایی ناپذیر از ZTNA است. ZTNA مفهوم یک سیاست اعتماد صفر و کنترل دسترسی به منابع سازمانی را در سطح شبکه پیاده‌سازی می‌کند. از احراز هویت مبتنی بر هویت برای ایجاد اعتماد و ارائه دسترسی استفاده می کند. در چارچوب ZTNA، POLP توانایی شناسایی دقیق برنامه ها و توابع برنامه ها را در یک پورت یا پروتکل فراهم می کند.

حداقل دسترسی به امتیاز و اعتماد صفر

اصل کمترین امتیاز یکی از عناصر اساسی اعتماد صفر است. Zero Trust یک چارچوب امنیتی است که به همه کاربران، اعم از داخل یا خارج از شبکه سازمان، نیاز دارد تا قبل از اعطا یا حفظ دسترسی به برنامه‌ها و داده‌ها، احراز هویت، مجاز و به طور مداوم برای پیکربندی و وضعیت امنیتی تأیید شوند.

یادآوری این نکته مهم است که اصل حداقل امتیاز و معماری Zero Trust تنها دو جنبه از یک استراتژی جامع امنیت سایبری هستند. در حالی که فناوری نقش مهمی در حفاظت از سازمان ایفا می‌کند، قابلیت‌های دیجیتال به تنهایی نمی‌توانند از رخنه‌ها جلوگیری کنند. شرکت ها باید یک راه حل امنیتی جامع را اتخاذ کنند که شامل انواع راه حل های نقطه پایانی و حفاظت از هویت برای اطمینان از ایمنی شبکه های خود باشد.

سخن پایانی

قاعده POLP از جمله مهم ترین مفهوم امنیتی است که لازم است در تمامی سازمان ها مورد توجه قرار بگیرد. در این مطلب با مزایا و نحوه کارکرد POLP آشنا شده و نحوه کنترل دسترسی آن را مورد بررسی قرار دادیم. آگاهی و هوشیاری در رابطه با این نوع حملات بسیار مهم و الزامی می باشد و لازم است سازمان ها و کنترل دسترسی کارکنان از انواع حملات جلوگیری کرده و از داده های خود محافظت کنند. شرکت داریا می تواند در رابطه با این موضوع به شما کمک کند و شما می توانید برای خرید تجهیزات امنیت شبکه و دریافت مشاوره رایگان ۶۲۲۴ – ۰۴۱ با کارشناسان ما در ارتباط باشید.