Was ist das Prinzip der geringsten Privilegien?
Das Prinzip der geringsten Privilegien (PolP) ist ein Konzept, das sich auf die Informationssicherheit bezieht, insbesondere wenn einem Benutzer ein Mindestzugriff oder eine Mindesterlaubnis in einem Netzwerk gewährt wird. Auf diese Weise kann der Benutzer seinen Job oder die erforderlichen Funktionen ausführen und sonst nichts.
Least Privilege gilt als bewährte Methode für Cybersicherheit und wird von vielen Unternehmen zur Verwaltung der Zugriffskontrolle und zur Verhinderung von Netzwerkverletzungen eingesetzt, die Daten und Computerressourcen gefährden.
PolP gilt nicht nur für Netzwerkbenutzer. Es kann den Zugriff zwischen Anwendungen, Geräten und integrierten Systemen einschränken, sodass diese nur über die Mindestanzahl an Berechtigungen verfügen, die für die Ausführung ihrer Funktion erforderlich sind.
Warum sind geringste Privilegien so wichtig?
Da Cyberkriminalität immer raffinierter wird, ist es von größter Bedeutung, sicherzustellen, dass jeder Aspekt eines Netzwerks gesichert ist und keine Schwachstellen aufgedeckt werden.
Es gibt mehrere Gründe, warum geringste Privilegien für den Aufbau von Cyber-Resilienz so wichtig sind:
- Zugriff mit geringsten Rechten reduziert die Angriffsfläche eines Netzwerks. Das bedeutet, dass die geringste Zugriffsrechte die Anzahl der anfälligen Punkte in einem Netzwerk minimiert, die von Cyberkriminellen ins Visier genommen werden könnten. Indem den Benutzern die für die Ausführung einer Aufgabe erforderlichen Berechtigungen gewährt werden — und nicht mehr — haben Angreifer weniger Möglichkeiten, sich im Netzwerk auszubreiten und Schaden anzurichten.
Viele Sicherheitslücken zielen auf Benutzer ab, die über erweiterte Netzwerkzugriffsrechte verfügen, sodass Hacker vertrauliche Informationen einsehen können. Daher schränkt die Beschränkung des Zugriffs auf Benutzer und Geräte auch Cyberkriminelle ein, die es auf eine Person abgesehen haben.
- Das Gesamtreichweite von Malware ist ebenfalls limitiert durch Implementierung der geringsten Rechte für Benutzer und Endpunkte. Sollte das Netzwerk einem solchen Angriff ausgesetzt sein, kann Malware dies nicht verschaffen Sie sich zusätzlichen Zugriff und bewegen Sie sich frei um bösartigen Code zu installieren und auszuführen. Dadurch wird Schadprogrammen die Möglichkeit verwehrt, eine Fernverbindung herzustellen oder auf sensible Daten zuzugreifen.
- Funktionale Zutrittskontrolle bietet Benutzern genau die richtige Menge an Berechtigungen, um ihre Aufgaben zu erledigen und nicht mehr. Dies reduziert die Anzahl der Anfragen, die über das Netzwerk gesendet werden, und die Anzahl der Supporttickets, die im Zusammenhang mit Zugriffsproblemen an den IT-Helpdesk gesendet werden. Es verbessert nachweislich die Produktivität der Benutzer in einem Netzwerk.
- Geringste Privilegien können helfen verbessert die Compliance in Bezug auf Daten und kann die Prüfung erheblich vereinfachen. Durch die Einrichtung einer klaren Benutzerhierarchie und ihrer jeweiligen Berechtigungen kann das Netzwerk viel strukturierter werden und nur die Benutzer, die sie benötigen, auf die Daten zugreifen können.
Was ist Privilege Creep?
Privilegien schleichen bezieht sich auf den Fall, dass zu viele Benutzer in einem Netzwerk Administratorrechte für bestimmte Anwendungen, Systeme oder Netzwerke erhalten, was zu einem Sicherheitsrisiko führt. Beim Anschleichen von Zugriffsrechten entziehen Unternehmen Benutzern bei einer Neubewertung von Zugriffen und Berechtigungen die Administratorrechte, nur um sie zu einem späteren Zeitpunkt wieder einzusetzen, sodass Benutzer bestimmte Aufgaben ausführen können.
Das häufigste Beispiel hierfür ist, wenn ältere (ältere) Anwendungen zusätzliche Berechtigungen benötigen, um ausgeführt zu werden. Das bedeutet, dass einem Benutzer möglicherweise Administratorrechte gewährt werden müssen, um bestimmte Softwareprodukte zu installieren oder auszuführen. Die wichtigsten Sicherheitsrisiken treten auf, wenn diese umfassenderen Berechtigungen nicht entzogen werden, sobald der Benutzer die Aufgabe abgeschlossen hat, was dazu führt, dass viele Benutzer über Rechte verfügen, die sie nicht benötigen.
Privilege Creep vergrößert die Angriffsfläche eines Netzwerks. Durch die gewissenhafte und konsequente Anwendung des Prinzips der geringsten Rechte kann dieses Problem jedoch behoben werden, indem sichergestellt wird, dass alle Benutzer (sowohl menschliche als auch nichtmenschliche) nur die erforderlichen Zugriffsebenen erhalten.
Was ist ein Superuser und in welcher Beziehung steht er zu Least Privilege?
EIN Superuser ist ein Netzwerkbenutzer, der uneingeschränkten Zugriff auf alle Bereiche hat, einschließlich voller Lese- und Schreibberechtigungen, der Befugnis, Software auszuführen und Netzwerkeinstellungen, Daten und Dateien zu ändern.
Superuser können nicht nur eine Reihe von Einstellungen und Daten ändern, sondern auch den Zugriff und die Berechtigungen für andere Benutzer festlegen. Diese Berechtigung wird nur Personen innerhalb einer Organisation gewährt, denen sehr viel Vertrauen entgegengebracht wird, z. B. einem Systemadministrator oder IT-Manager. Superuser werden im Netzwerk selbst in der Regel nur als Administrator (oder Root) bezeichnet.
Superuser melden sich selten im Netzwerk an und führen stattdessen bei Bedarf Aktionen auf anderen Konten aus. Mit einem Sudo-Befehl, einem Befehl, der es ermöglicht, einzelne Aktionen für ein Konto auszuführen, wobei die Rechte eines Superusers genutzt werden, ist es unwahrscheinlich, dass Sitzungen gekapert werden, da sie unvorhersehbar sind.
Welche Arten von Cyberangriffen können die geringsten Privilegien stoppen?
Least Privilege können dazu beitragen, praktisch alle bekannten Cyberangriffe zu verhindern, indem die Angriffsfläche eines Netzwerks erheblich reduziert wird.
Das Ziel von Least-Privilege-Zugriffen besteht darin, offene Reisewege für nicht autorisierte Benutzer zu schließen. Standardmäßig würde das jeden externen Eindringling blockieren, der nicht in der „Zulassungsliste“ enthalten ist.
Cyberangriffe, bei denen die geringsten Rechte helfen, abzuwehren:
- Schadsoftware
- Ransomware-Angriffe
- Phishing-Angriffe
- SQL-Injection-Angriffe
- Man-in-the-Middle-Angriffe
- Zero-Day-Exploits
Wie implementiert man Least Privilege
Das Prinzip der geringsten Rechte kann auf verschiedene Weise umgesetzt werden, aber hier ist unser Best-Practice-Ansatz, um sicherzustellen, dass jedes Detail berücksichtigt wird und dass die zusätzlichen Maßnahmen mit einer umfassenderen Cybersicherheitsstrategie einhergehen.
Sie können den Zugriff mit den geringsten Rechten in sechs wichtigen Schritten implementieren:
- Führen Sie ein Audit durch zu Identifizieren Sie privilegierte Konten in allen Teilen eines Hybridnetzwerks, einschließlich Clouds, Rechenzentren und Endpunkten.
Das Audit sollte die folgenden Bereiche abdecken: Anmeldeinformationen, Passwörter, Passwort-Hashes, SSH-Schlüssel und Zugriffsschlüssel — für alle physischen Endpunkte und Entwicklungsumgebungen. Es sollte auch eine vollständige Überprüfung aller Cloud-Netzwerkberechtigungen und Gateways beinhalten, um sicherzustellen, dass alle Rechte den neuen Richtlinien entsprechen — um sicherzustellen, dass kein unnötiger Zugriff gewährt wurde.
- Sobald die Prüfung abgeschlossen ist, sperren Sie den Zugriff auf menschliche und nichtmenschliche Konten, denen unnötige lokale Administratorberechtigungen erteilt wurden. Dann nur Berechtigungen gewähren, die erforderlich sind um ihre Funktion zu erfüllen.
Darüber hinaus sollten Superuser-Sitzungen nur nach Bedarf stattfinden, wobei der Befehl Sudo für zusätzliche Sicherheit verwendet wird. Durch den Just-in-Time-Zugriff (der sich automatisch ausschaltet) können normale Benutzer auf Konten mit zusätzlichen Berechtigungen zugreifen oder bei Bedarf Befehle auf Administratorebene ausführen.
- Trennen Sie Standardbenutzerkonten von Administratorkonten unter Verwendung von Mikrosegmentierung. Dies bietet eine weitere Schutzebene für den Fall, dass ein Benutzer nicht durch Least-Privilege-Kontrollen eingeschränkt ist und verletzt wird. Es schützt vor allem Administratorkonten vor Infektionen und größeren Schäden, da sie über wichtige Zugriffsberechtigungen verfügen.
- Verwenden Sie einen digitalen Tresor, um sichern Sie die Anmeldeinformationen aller Administratorkonten, wobei der Zugang nur den Personen gewährt wird, die sie benötigen.
- Administratorkennwörter nach jeder Verwendung ändern um zu verhindern, dass Cyberkriminelle sie mithilfe einer Keylogging-Software aufzeichnen. Diese Software protokolliert den Passwort-Hash (ein verschlüsselter Algorithmus) und nicht die Zeichen im Passwort. Indem sie diesen Hash erhalten, können Hacker dann versuchen, das Authentifizierungssystem dazu zu bringen, eine neue Sitzung im Netzwerk zu erstellen. Dies wird als bezeichnet Pass-the-Hash-Angriff.
- Überwachen Sie kontinuierlich die administrativen Aktivitäten. Eine gründliche Überwachung kann dazu beitragen, verdächtiges Verhalten, das mit einem Cyberangriff in Verbindung stehen könnte, schnell zu erkennen oder eine Sicherheitslücke aufzudecken.
Geringste Privilegien + Zero Trust = Cyber-Resilienz
Das Prinzip der geringsten Privilegien ist grundlegend für die Implementierung eines Zero-Trust-Sicherheit Architektur. Bei dieser Art von Sicherheitsmaßnahme wird davon ausgegangen, dass alle Benutzer und Geräte, die auf ein Netzwerk zugreifen, eine potenzielle Bedrohung darstellen. Durch die geringste Zugriffsrechte werden die Zero-Trust-Prinzipien durchgesetzt, da nur vertrauenswürdiger Datenverkehr zugänglich ist und der gesamte andere Datenverkehr gesperrt wird.
Nach dem Prinzip der geringsten Rechte erhält ein Benutzer, sobald er verifiziert wurde, eingeschränkten Zugriff nur auf die Anwendung oder Rechenressource, die er zur Ausführung seiner Aufgabe benötigt. Diese Taktik wurde von Regierungen und Unternehmen auf der ganzen Welt übernommen ältere Praktiken wie Netzwerkfirewalls schützen nicht vor den raffinierten und gut finanzierten Cyberkriminellen von heute
Zero Trust und PoLP sind heute unverzichtbare Best-Practice-Sicherheitsmaßnahmen, über die jedes Unternehmen verfügen muss, um seine digitale Infrastruktur vor zunehmend aggressiven Cyberangriffen zu schützen.
Machen Sie die nächsten Schritte, um zu sehen, ob Illumio ist der richtige Partner während Sie Ihr nächstes Segmentierungsprojekt entwerfen und implementieren:
- Erfahre wie Illumio half einer globalen Anwaltskanzlei, Ransomware zu stoppen.
- Laden Sie unseren ausführlichen Leitfaden herunter So erstellen Sie in 5 Schritten eine Mikrosegmentierungsstrategie.
- Greifen Sie auf eine kostenlose Kopie von zu Die Forrester New Wave™ -Mikrosegmentierung, erstes Quartal 2022 wo Illumio zum Leader ernannt wird.
- Zeitplan eine unverbindliche Demo und Beratung mit unseren Zero-Trust-Segmentierungsexperten.