Bewusstsein für die geringsten Privilegien

Keep access to the minimum your job requires.

What Is Bewusstsein für die geringsten Privilegien?

Das Prinzip der geringsten Privilegien bedeutet, dass jede Person und jedes System nur den minimalen Zugriff erhält, der für die Erledigung ihrer Arbeit erforderlich ist, nicht mehr. Es klingt einfach, aber in der Praxis ist Permission Creep eine der häufigsten Sicherheitslücken in Unternehmen jeder Größe. Diese Übung führt Sie in eine realistische Zugriffsüberprüfung ein, bei der Sie die den Mitgliedern eines funktionsübergreifenden Projektteams zugewiesenen Berechtigungen prüfen. Einige Benutzer verfügen über Administratorrechte für Systeme, auf die sie vor sechs Monaten einmal zugegriffen haben. Andere teilen sich ein Dienstkonto, weil „es einfacher war, als einen individuellen Zugriff anzufordern.“ Ein Auftragnehmer verfügt drei Wochen nach Projektende immer noch über VPN-Zugangsdaten. Sie gehen jeden Fall durch und entscheiden, was Sie behalten, was Sie widerrufen und was Sie für eine eingehendere Untersuchung markieren möchten. Die Simulation zeigt, wie ein einzelnes überdimensioniertes Konto zum Stützpunkt wird, den Angreifer benötigen, um sich seitlich durch ein Netzwerk zu bewegen. Sie üben auch das Anfordern von Zugriff über geeignete Kanäle und verstehen, warum „Geben Sie mir einfach den Administrator“ eine Anfrage ist, die immer hinterfragt werden sollte, selbst wenn sie von einem älteren Kollegen kommt.

What You'll Learn in Bewusstsein für die geringsten Privilegien

Bewusstsein für die geringsten Privilegien — Training Steps

  1. Eine wachsende Rolle

    Im Laufe der Zeit hat sich Ihre Rolle erheblich weiterentwickelt. Sie haben im operativen Bereich angefangen, sind dann zur Compliance übergegangen und arbeiten nun in der strategischen Planung. Im Laufe der Zeit haben Sie Zugriff auf verschiedene Systeme erworben, von denen Sie einige nicht mehr nutzen.

  2. Die vierteljährliche Zugangsüberprüfung

    Harmon Financial führt vierteljährliche Zugriffsüberprüfungen gemäß den Anforderungen der SOX-Compliance durch. Jeder Mitarbeiter muss seine aktuellen Zugriffsrechte überprüfen und bestätigen, dass er jede Berechtigung noch benötigt. Alice erhält eine E-Mail vom IT-Sicherheitsteam über die bevorstehende Überprüfung.

  3. Öffnen des Zugangsportals

    In der E-Mail von IT Security wird erklärt, warum Zugriffsüberprüfungen wichtig sind: Ungenutzter Zugriff stellt unnötige Risiken dar, Berechtigungen sollten zu Ihrer aktuellen Rolle passen und die Reduzierung Ihres Zugriffsbedarfs schützt Sie, wenn Anmeldeinformationen kompromittiert werden. Alice klickt auf den Link, um auf das Access Review Portal zuzugreifen, wo sie ihre Berechtigungen überprüfen und verwalten kann.

  4. Anmelden

    Die Anmeldeseite des Access Review Portal wird angezeigt. Alice nutzt ihre gespeicherten Zugangsdaten aus dem Passwort-Manager, um sich sicher anzumelden.

  5. Überprüfung des aktuellen Zugriffs

    Das Portal zeigt Alices aktuelle Zugriffsrechte systemübergreifend an. Sie ist überrascht, wie viel Zugang sie gesammelt hat: Aktueller Zugriff: Kundendatenbank (Lesen/Schreiben) – Von ihrer Betriebsrolle vor 2 Jahren Compliance Audit System (Admin) – Von ihrer Compliance-Rolle vor 1 Jahr Strategisches Planungsportal (Lesen) – Aktuelle Rollenanforderung Financial Reporting Dashboard (Lesen) – Aktuelle Rolle Anforderung Altes CRM-System (Vollzugriff) – System, das sie seit 18 Monaten nicht berührt hat

  6. Den Explosionsradius verstehen

    Das Portal erklärt das Konzept des „Explosionsradius“ – den potenziellen Schaden, wenn Ihr Konto kompromittiert wird. Ihr aktueller Angriffsradius: 5 Systeme mit direktem Zugriff Über 50.000 Kundendatensätze zugänglich Administratorrechte für Compliance-Audit-Protokolle Voller Zugriff auf ältere CRM-Daten Wenn Alices Anmeldeinformationen durch Phishing gestohlen würden, hätte ein Angreifer Zugriff auf ALLES davon. Indem sie unnötigen Zugang reduziert, verkleinert sie ihren Explosionsradius und begrenzt möglichen Schaden.

  7. Bewertung des Zugriffs auf die Kundendatenbank

    Der erste Punkt ist der Zugriff auf die Kundendatenbank. Alice verfügte über Lese-/Schreibzugriff in ihrer Betriebsrolle, musste jedoch seit über einem Jahr nicht mehr auf Kundendatensätze zugreifen. Zu berücksichtigende Fragen: Wann habe ich diesen Zugriff zuletzt genutzt? Benötigt meine aktuelle Rolle ihn? Könnte ich später bei Bedarf vorübergehenden Zugriff anfordern? Für Alice sind die Antworten klar: Sie benötigt diesen Zugriff nicht mehr.

  8. Bewertung der Administratorrechte des Compliance-Systems

    Als nächstes kommt das Compliance-Audit-System. Alice verfügte über Administratorrechte aus ihrer Compliance-Rolle, wechselte jedoch vor einem Jahr zur strategischen Planung. Administratorrechte sind besonders sensibel, da sie das Ändern von Überwachungsprotokollen ermöglichen – etwas, das eine strikte Verantwortlichkeit erfordert und nur aktiven Mitgliedern des Compliance-Teams vorbehalten sein sollte.

  9. Die Frage nach dem Altsystem

    Das Legacy-CRM-System ist komplizierter. Alice hat vollen Zugriff, das System wird jedoch selten genutzt. Allerdings muss sie gelegentlich historische Daten für strategische Berichte abrufen. Optionen: Vollständigen Zugriff beibehalten – Behält das aktuelle Risikoniveau bei Nur Lesezugriff anfordern – Reduziert das Risiko und behält gleichzeitig die Forschungsfähigkeit bei Zugriff entfernen – Bei Bedarf vorübergehenden Zugriff anfordern Das Prinzip der geringsten Berechtigung schlägt vor, nur Lesezugriff anzufordern – sie muss Daten nicht ändern, sondern nur lesen.

  10. Bestätigen des aktuellen Rollenzugriffs

    Die letzten Elemente sind das Strategic Planning Portal und das Financial Reporting Dashboard. Beides ist für Alices aktuelle Rolle erforderlich und sie nutzt sie regelmäßig. Das Portal zeigt diese als „Bestätigt – Erforderlich für die aktuelle Rolle“ an. Für den Zugriff, der den aktuellen Jobfunktionen entspricht, ist keine Aktion erforderlich.