成都开发软件公司提醒您如果发现您的网络、应用程序堆栈或系统经常出现问题或受到安全攻击,那么问题可能来自权限蔓延。
快速提问:您知道哪些员工有权访问系统、服务、文件、文件夹、子网或您使用的各种平台吗?这是一个难题,尤其是对于大型企业而言。
然而,这是一个非常重要的问题,需要提出和回答。
您应该对员工的访问权限拥有绝对的控制权。否则,您公司的所有资源都可能面临安全问题。
当访问权限逐渐积累,超出了个别员工实际工作所需的权限时,就称为权限蔓延。这种情况比你想象的要常见得多。
这种情况发生的原因很简单。您有一名员工在公司内已经拥有访问各种服务器、软件、网络、目录和帐户的某些权限。在某个时候,您或您的一位管理员将不得不扩展他们的安全权限。这通常通过简单地增加他们的累积权限来完成。如果您的管理员在添加权限之前没有先审查该员工当前的权限列表/状态,那么该员工最终可能会获得过多的访问权限。
您可以采取一些措施来确保特权蔓延不会再次困扰您。
根据Satoricyber的数据,平均每个组织使用大约315个SaaS应用,其中大多数应用都有多个可访问敏感公司数据的帐户。如果您未能采用数据访问策略,则可能很快导致权限蔓延。
您应该做的第一件事是制定访问策略,明确定义哪些员工有权访问哪些资产。这应该是一张易于阅读的图表,可以清楚地表明哪些部门和员工应该有权访问特定的系统/帐户/资产。这项政策应该经过深思熟虑且切实可行。
接下来,您需要确保您的管理团队遵守新政策。是的,这可能会给他们带来额外的工作,但至关重要的是,他们必须定期检查权限(参考您精心创建的图表)并撤销任何不需要的权限。
不要以每个用户为单位来考虑这个问题,最好从角色的角度来看待这个问题。例如,您可以根据角色(如开发人员、人力资源、管理、员工和高层管理人员)创建访问策略。每个角色(或组,如果您通过计算机系统查看)对特定资产都有特定的权限。一旦有了基于角色的策略,您所要做的就是将用户插入角色。
如果您是企业,则需要考虑实施身份治理和管理(IGA),用于定期检查每位员工的访问权限和特权。该团队应与您的常规管理员或安全团队分开,以便可以独立运作,并且只负责一项非常重要的工作。
如果您不是企业(但规模较大),您可能只需要一名员工负责IGA。如果是这样,请不要让该员工承担其他任务,因为IGA足以让他们忙个不停。最重要的是,集中管理用户权限将大大减少复杂性和错误。与已经超负荷工作的管理员或安全团队相比,您的IGA团队不太可能忽视权限的更改。
有两种看待特权的方式:
赋予员工超出其工作所需权限。
给予员工完成工作所需的最低限度的权限。
选择后者总是最安全的。永远不要授予员工超出其职责所需权限。这并不意味着只给他们分配最低限度的权限,然后就完事了。您需要警惕过期的权限,这些权限可以在不影响员工工作能力的情况下被撤销。这也意味着除非员工需要,否则不会授予任何权限。
赋予每位员工他们所需的最少权限,您的安全团队会感谢您。
如果您的公司有数千名员工,那么手动管理权限几乎是不可能的。在这种情况下,请考虑使用身份和访问管理(IAM)工具,例如SPHEREboard、Cyber、FOX、Auth0或SpectralOps。此类工具可以更快、更可靠地运行,从而保护您的企业免受权限蔓延的影响。
最好的成都开发软件公司有时也会遇到这种情况。关键是要尽早开始,以防止失控。如果你让特权蔓延得太快、太远,那么解决这一任务将变得非常具有挑战性。
