Il punto di vista di Cyber Academy
Least privilege è il principio secondo cui ogni identità (umana o di sistema) riceve i permessi minimi necessari per il proprio compito, e nient'altro. Concetto ovvio in teoria; raramente applicato in pratica. La maggior parte degli incidenti di esfiltrazione di dati ha origine da un account di servizio con privilegi eccessivi che nessuno sapeva giustificare quando messo alle strette. Da affiancare a revisioni periodiche degli accessi.
Il principio, e perché continua a fallire nella pratica
Il privilegio minimo è facile da enunciare e difficile da vivere. Ogni identità, che si tratti di una persona, di un account di servizio, di uno script di automazione o di una chiave API, dovrebbe detenere esattamente le autorizzazioni richieste dal suo compito e nient'altro. Il fallimento è raramente una decisione deliberata di concedere troppo. È accumulo. Qualcuno ha bisogno dei diritti di amministratore per una migrazione una tantum e la concessione non viene mai rimossa.
Un account di servizio viene creato con ambiti ampi perché restringerli richiederebbe un pomeriggio di test che nessuno ha il tempo di svolgere. A un team viene assegnato un ruolo progettato per un altro team perché era il più simile disponibile. Nel corso dei mesi, le identità accumulano autorizzazioni come una scrivania accumula carte, e nessuno sa spiegare perché una qualsiasi di esse sia lì.
Quell'accumulo è la superficie di attacco. Quando un account con autorizzazioni eccessive viene colpito da phishing, divulgato o abusato in silenzio, il raggio d'impatto è tutto ciò che quell'account poteva toccare, che di solito è molto più del suo compito effettivo. La disciplina del privilegio minimo non sta nella concessione iniziale, che è la parte facile. Sta nel lavoro continuo di rimuovere ciò che non serve più e di essere in grado di giustificare ciò che rimane.
Come lo implementano davvero i professionisti
Il privilegio minimo è un'abitudine operativa sostenuta da strumenti, non una configurazione una tantum. Il lavoro si concentra attorno a poche attività ricorrenti:
- Progettazione di ruoli e autorizzazioni: costruire i ruoli attorno alle funzioni lavorative in modo che concedere l'accesso sia una corrispondenza deliberata, non una copia di ciò che aveva la persona precedente.
- Accesso just-in-time e just-enough: concedere diritti elevati per la finestra in cui sono necessari e rimuoverli automaticamente in seguito, anziché lasciare in essere autorizzazioni di amministrazione permanenti.
- Revisioni degli accessi: riesaminare periodicamente chi detiene cosa e richiedere a un responsabile di confermare che ogni concessione sia ancora giustificata. Tutto ciò per cui nessuno è disposto a garantire viene revocato.
- Separazione dei compiti: suddividere le azioni sensibili in modo che nessuna singola identità possa sia avviare sia approvare un'operazione ad alto rischio, ovvero il privilegio minimo applicato ai flussi di lavoro anziché ai dati.
- Identità macchina: trattare account di servizio, token e credenziali di pipeline con lo stesso rigore degli utenti umani, perché sono spesso i più dotati di autorizzazioni eccessive e i meno revisionati.
Dove si colloca tra zero trust, IAM e PAM
Il privilegio minimo è un principio. I termini vicini sono il meccanismo che lo realizza. La gestione delle identità e degli accessi (IAM) è il sistema che definisce le identità e ciò che possono fare, quindi il privilegio minimo è la regola che l'IAM dovrebbe far rispettare. La gestione degli accessi privilegiati (PAM) è la disciplina più rigorosa applicata agli account a maggior rischio, dove il privilegio minimo conta di più e dove di solito risiede l'elevazione just-in-time.
Lo zero trust è l'architettura più ampia che presume che nessuna identità sia attendibile per impostazione predefinita e verifica ogni richiesta; il privilegio minimo è uno dei suoi meccanismi fondamentali, perché verificare una richiesta aiuta solo se l'accesso concesso è già minimo. Si può sostenere il principio senza gli strumenti, ma a qualsiasi scala reale il principio senza IAM, PAM e revisioni periodiche si degrada silenziosamente di nuovo in sovra-provisioning.
L'idea è intrecciata negli standard anche dove la formulazione esatta varia. L'Annex A della ISO/IEC 27001 affronta il controllo degli accessi, i diritti di accesso privilegiato e la revisione periodica dei diritti di accesso degli utenti. La famiglia di controllo degli accessi del NIST è costruita attorno al privilegio minimo e alla separazione dei compiti come principi denominati. I CIS Controls richiedono un uso controllato dei privilegi amministrativi e la gestione degli account. Gli auditor non vogliono solo constatare che l'accesso sia stato concesso correttamente una volta. Si aspettano la prova di un ciclo di revisione continuo, e un account di amministrazione permanente che nessuno revisiona viene trattato come un rilievo, non come una comodità.
Frequently asked questions
01Qual è la differenza tra privilegio minimo e zero trust?
Il privilegio minimo è il principio secondo cui ogni identità ottiene le autorizzazioni minime di cui ha bisogno. Lo zero trust è l'architettura più ampia che non si fida di alcuna identità per impostazione predefinita e verifica ogni richiesta. Il privilegio minimo è uno dei meccanismi fondamentali che rende significativo lo zero trust, perché la verifica continua aiuta solo se l'accesso offerto è già minimo.
02In cosa differisce il privilegio minimo da IAM e PAM?
Il privilegio minimo è la regola. L'IAM è il sistema che definisce le identità e le loro autorizzazioni ed è destinato a far rispettare tale regola. Il PAM è la disciplina più rigorosa applicata agli account privilegiati a maggior rischio, dove il privilegio minimo e l'elevazione just-in-time contano di più.
03Il privilegio minimo si applica agli account di servizio e alle macchine?
Sì, ed è lì che conta di più. Le identità macchina come gli account di servizio, i token API e le credenziali di pipeline sono spesso le più dotate di autorizzazioni eccessive e le meno revisionate, motivo per cui gli account di servizio con autorizzazioni eccessive figurano in così tanti incidenti di esfiltrazione di dati.
04Con quale frequenza dovrebbero essere revisionati gli accessi?
Secondo un ciclo regolare e definito, anziché in modo estemporaneo. Il punto è che un responsabile riconfermi periodicamente che ogni concessione sia ancora giustificata e revochi tutto ciò per cui nessuno è disposto a garantire. Ciò che gli auditor segnalano è l'accesso privilegiato permanente che non viene mai revisionato.
05Il privilegio minimo è richiesto da standard come la ISO 27001?
È incorporato in essi. L'Annex A della ISO/IEC 27001 copre il controllo degli accessi, i diritti di accesso privilegiato e le revisioni periodiche degli accessi, la famiglia di controllo degli accessi del NIST nomina il privilegio minimo e la separazione dei compiti, e i CIS Controls richiedono un uso controllato dei privilegi amministrativi.