A perspetiva da Cyber Academy
O mínimo privilégio é o princípio segundo o qual cada identidade (humana ou máquina) recebe as permissões mínimas necessárias para a função, e nada mais. Parece óbvio; raramente é aplicado. A maioria dos incidentes de exfiltração de dados começa com uma conta de serviço com permissões excessivas que ninguém conseguia justificar quando questionado. Combine com revisões periódicas de acessos.
O princípio, e por que ele continua a falhar na prática
O privilégio mínimo é fácil de enunciar e difícil de viver. Cada identidade, seja uma pessoa, uma conta de serviço, um script de automação ou uma chave de API, deveria deter exatamente as permissões que a sua tarefa exige e nada mais. A falha raramente é uma decisão deliberada de conceder em excesso. É acumulação. Alguém precisa de direitos de administrador para uma migração pontual e a concessão nunca é removida. Uma conta de serviço é criada com escopos amplos porque restringi-los exigiria uma tarde de testes que ninguém tem tempo de fazer.
A uma equipa é atribuído um papel concebido para outra equipa porque era o mais próximo disponível. Ao longo dos meses, as identidades acumulam permissões como uma secretária acumula papéis, e ninguém consegue explicar por que qualquer uma delas está ali.
Essa acumulação é a superfície de ataque. Quando uma conta com permissões excessivas é alvo de phishing, é divulgada ou é abusada em silêncio, o raio de impacto é tudo aquilo que essa conta podia tocar, o que costuma ser muito mais do que a sua função real. A disciplina do privilégio mínimo não está na concessão inicial, que é a parte fácil. Está no trabalho contínuo de remover o que já não é necessário e de ser capaz de justificar o que permanece.
Como os profissionais realmente o implementam
O privilégio mínimo é um hábito operacional apoiado por ferramentas, não uma configuração pontual. O trabalho concentra-se em torno de algumas atividades recorrentes:
- Conceção de papéis e permissões: construir os papéis em torno das funções de trabalho, de modo que conceder acesso seja um mapeamento deliberado e não uma cópia do que a pessoa anterior tinha.
- Acesso just-in-time e just-enough: conceder direitos elevados durante a janela em que são necessários e removê-los automaticamente depois, em vez de deixar permissões de administração permanentes em vigor.
- Revisões de acesso: reexaminar periodicamente quem detém o quê e exigir que um responsável confirme que cada concessão continua justificada. Tudo aquilo que ninguém estiver disposto a avalizar é revogado.
- Segregação de funções: dividir as ações sensíveis de modo que nenhuma identidade isolada possa simultaneamente iniciar e aprovar uma operação de alto risco, o que equivale ao privilégio mínimo aplicado aos fluxos de trabalho em vez dos dados.
- Identidades de máquina: tratar contas de serviço, tokens e credenciais de pipeline com o mesmo rigor que os utilizadores humanos, porque são muitas vezes as mais dotadas de permissões excessivas e as menos revistas.
Onde se situa entre o zero trust, o IAM e o PAM
O privilégio mínimo é um princípio. Os termos vizinhos são a maquinaria que o concretiza. A gestão de identidades e acessos (IAM) é o sistema que define as identidades e o que elas podem fazer, pelo que o privilégio mínimo é a regra que o IAM deve fazer cumprir. A gestão de acessos privilegiados (PAM) é a disciplina mais rigorosa aplicada às contas de maior risco, onde o privilégio mínimo mais importa e onde costuma residir a elevação just-in-time.
O zero trust é a arquitetura mais ampla que assume que nenhuma identidade é confiável por padrão e verifica cada pedido; o privilégio mínimo é um dos seus mecanismos centrais, porque verificar um pedido só ajuda se o acesso concedido já for mínimo. Pode sustentar-se o princípio sem as ferramentas, mas a qualquer escala real o princípio sem IAM, PAM e revisões regulares degrada-se silenciosamente de volta em sobreprovisionamento.
A ideia está entretecida nas normas mesmo onde a frase exata varia. O Anexo A da ISO/IEC 27001 aborda o controlo de acesso, os direitos de acesso privilegiado e a revisão periódica dos direitos de acesso dos utilizadores. A família de controlo de acesso do NIST é construída em torno do privilégio mínimo e da segregação de funções como princípios nomeados. Os CIS Controls exigem um uso controlado dos privilégios administrativos e a gestão de contas. Os auditores não querem apenas constatar que o acesso foi concedido corretamente uma vez. Esperam evidência de um ciclo de revisão contínuo, e uma conta de administração permanente que ninguém revê é tratada como uma constatação, não como uma comodidade.
Frequently asked questions
01Qual é a diferença entre privilégio mínimo e zero trust?
O privilégio mínimo é o princípio segundo o qual cada identidade obtém as permissões mínimas de que necessita. O zero trust é a arquitetura mais ampla que não confia em nenhuma identidade por padrão e verifica cada pedido. O privilégio mínimo é um dos mecanismos centrais que tornam o zero trust significativo, porque a verificação contínua só ajuda se o acesso oferecido já for mínimo.
02Como é que o privilégio mínimo difere do IAM e do PAM?
O privilégio mínimo é a regra. O IAM é o sistema que define as identidades e as suas permissões e que se destina a fazer cumprir essa regra. O PAM é a disciplina mais rigorosa aplicada às contas privilegiadas de maior risco, onde o privilégio mínimo e a elevação just-in-time mais importam.
03O privilégio mínimo aplica-se a contas de serviço e a máquinas?
Sim, e é aí que mais importa. As identidades de máquina, como contas de serviço, tokens de API e credenciais de pipeline, são muitas vezes as mais dotadas de permissões excessivas e as menos revistas, razão pela qual as contas de serviço com permissões excessivas figuram em tantos incidentes de exfiltração de dados.
04Com que frequência o acesso deve ser revisto?
Segundo um ciclo regular e definido, em vez de ad hoc. A questão é que um responsável reconfirme periodicamente que cada concessão continua justificada e revogue tudo aquilo que ninguém estiver disposto a avalizar. O que os auditores assinalam é o acesso privilegiado permanente que nunca é revisto.
05O privilégio mínimo é exigido por normas como a ISO 27001?
Está incorporado nelas. O Anexo A da ISO/IEC 27001 cobre o controlo de acesso, os direitos de acesso privilegiado e as revisões periódicas de acesso, a família de controlo de acesso do NIST nomeia o privilégio mínimo e a segregação de funções, e os CIS Controls exigem um uso controlado dos privilégios administrativos.