Mínimo privilégio.

O mínimo privilégio é o princípio segundo o qual cada identidade (humana ou máquina) recebe as permissões mínimas necessárias para a função, e nada mais. Parece óbvio; raramente é aplicado. A maioria dos incidentes de exfiltração de dados começa com uma conta de serviço com permissões excessivas que ninguém conseguia justificar quando questionado. Combine com revisões periódicas de acessos.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

A perspetiva da Cyber Academy

O mínimo privilégio é o princípio segundo o qual cada identidade (humana ou máquina) recebe as permissões mínimas necessárias para a função, e nada mais. Parece óbvio; raramente é aplicado. A maioria dos incidentes de exfiltração de dados começa com uma conta de serviço com permissões excessivas que ninguém conseguia justificar quando questionado. Combine com revisões periódicas de acessos.

O princípio, e por que ele continua a falhar na prática

O privilégio mínimo é fácil de enunciar e difícil de viver. Cada identidade, seja uma pessoa, uma conta de serviço, um script de automação ou uma chave de API, deveria deter exatamente as permissões que a sua tarefa exige e nada mais. A falha raramente é uma decisão deliberada de conceder em excesso. É acumulação. Alguém precisa de direitos de administrador para uma migração pontual e a concessão nunca é removida. Uma conta de serviço é criada com escopos amplos porque restringi-los exigiria uma tarde de testes que ninguém tem tempo de fazer.

A uma equipa é atribuído um papel concebido para outra equipa porque era o mais próximo disponível. Ao longo dos meses, as identidades acumulam permissões como uma secretária acumula papéis, e ninguém consegue explicar por que qualquer uma delas está ali.

Essa acumulação é a superfície de ataque. Quando uma conta com permissões excessivas é alvo de phishing, é divulgada ou é abusada em silêncio, o raio de impacto é tudo aquilo que essa conta podia tocar, o que costuma ser muito mais do que a sua função real. A disciplina do privilégio mínimo não está na concessão inicial, que é a parte fácil. Está no trabalho contínuo de remover o que já não é necessário e de ser capaz de justificar o que permanece.

Como os profissionais realmente o implementam

O privilégio mínimo é um hábito operacional apoiado por ferramentas, não uma configuração pontual. O trabalho concentra-se em torno de algumas atividades recorrentes:

  • Conceção de papéis e permissões: construir os papéis em torno das funções de trabalho, de modo que conceder acesso seja um mapeamento deliberado e não uma cópia do que a pessoa anterior tinha.
  • Acesso just-in-time e just-enough: conceder direitos elevados durante a janela em que são necessários e removê-los automaticamente depois, em vez de deixar permissões de administração permanentes em vigor.
  • Revisões de acesso: reexaminar periodicamente quem detém o quê e exigir que um responsável confirme que cada concessão continua justificada. Tudo aquilo que ninguém estiver disposto a avalizar é revogado.
  • Segregação de funções: dividir as ações sensíveis de modo que nenhuma identidade isolada possa simultaneamente iniciar e aprovar uma operação de alto risco, o que equivale ao privilégio mínimo aplicado aos fluxos de trabalho em vez dos dados.
  • Identidades de máquina: tratar contas de serviço, tokens e credenciais de pipeline com o mesmo rigor que os utilizadores humanos, porque são muitas vezes as mais dotadas de permissões excessivas e as menos revistas.

Onde se situa entre o zero trust, o IAM e o PAM

O privilégio mínimo é um princípio. Os termos vizinhos são a maquinaria que o concretiza. A gestão de identidades e acessos (IAM) é o sistema que define as identidades e o que elas podem fazer, pelo que o privilégio mínimo é a regra que o IAM deve fazer cumprir. A gestão de acessos privilegiados (PAM) é a disciplina mais rigorosa aplicada às contas de maior risco, onde o privilégio mínimo mais importa e onde costuma residir a elevação just-in-time.

O zero trust é a arquitetura mais ampla que assume que nenhuma identidade é confiável por padrão e verifica cada pedido; o privilégio mínimo é um dos seus mecanismos centrais, porque verificar um pedido só ajuda se o acesso concedido já for mínimo. Pode sustentar-se o princípio sem as ferramentas, mas a qualquer escala real o princípio sem IAM, PAM e revisões regulares degrada-se silenciosamente de volta em sobreprovisionamento.

A ideia está entretecida nas normas mesmo onde a frase exata varia. O Anexo A da ISO/IEC 27001 aborda o controlo de acesso, os direitos de acesso privilegiado e a revisão periódica dos direitos de acesso dos utilizadores. A família de controlo de acesso do NIST é construída em torno do privilégio mínimo e da segregação de funções como princípios nomeados. Os CIS Controls exigem um uso controlado dos privilégios administrativos e a gestão de contas. Os auditores não querem apenas constatar que o acesso foi concedido corretamente uma vez. Esperam evidência de um ciclo de revisão contínuo, e uma conta de administração permanente que ninguém revê é tratada como uma constatação, não como uma comodidade.

Frequently asked questions

01Qual é a diferença entre privilégio mínimo e zero trust?

O privilégio mínimo é o princípio segundo o qual cada identidade obtém as permissões mínimas de que necessita. O zero trust é a arquitetura mais ampla que não confia em nenhuma identidade por padrão e verifica cada pedido. O privilégio mínimo é um dos mecanismos centrais que tornam o zero trust significativo, porque a verificação contínua só ajuda se o acesso oferecido já for mínimo.

02Como é que o privilégio mínimo difere do IAM e do PAM?

O privilégio mínimo é a regra. O IAM é o sistema que define as identidades e as suas permissões e que se destina a fazer cumprir essa regra. O PAM é a disciplina mais rigorosa aplicada às contas privilegiadas de maior risco, onde o privilégio mínimo e a elevação just-in-time mais importam.

03O privilégio mínimo aplica-se a contas de serviço e a máquinas?

Sim, e é aí que mais importa. As identidades de máquina, como contas de serviço, tokens de API e credenciais de pipeline, são muitas vezes as mais dotadas de permissões excessivas e as menos revistas, razão pela qual as contas de serviço com permissões excessivas figuram em tantos incidentes de exfiltração de dados.

04Com que frequência o acesso deve ser revisto?

Segundo um ciclo regular e definido, em vez de ad hoc. A questão é que um responsável reconfirme periodicamente que cada concessão continua justificada e revogue tudo aquilo que ninguém estiver disposto a avalizar. O que os auditores assinalam é o acesso privilegiado permanente que nunca é revisto.

05O privilégio mínimo é exigido por normas como a ISO 27001?

Está incorporado nelas. O Anexo A da ISO/IEC 27001 cobre o controlo de acesso, os direitos de acesso privilegiado e as revisões periódicas de acesso, a família de controlo de acesso do NIST nomeia o privilégio mínimo e a segregação de funções, e os CIS Controls exigem um uso controlado dos privilégios administrativos.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.