每个安全人员都希望尽量缩小他们的攻击面 ， 通过零信任理念实施最小特权策略显然是大幅减少攻击面的最佳实践之一 。
来自Aberdeen 和 Code42 最近的一项研究表明 ， 内部人员的数据泄露可能造成高达年收入 20% 的损失 。 此外 ， 至少有三分之一的报告数据泄露涉及内部人员 。 而超过 78% 的内部数据泄露最初都源于一次意外的数据丢失或泄露事件 。 显然 ， 最小特权策略可以大幅减轻人为原因造成的泄露事故 ， 正确的管理访问权限对于构建组织的防御工事来说至关重要 。

什么是最小特权访问策略？举个例子：在一家银行中 ， 业务员可以正常出入自己的所在的分支银行 ， 但他们只是在工作期间被允许正常出入 。 并且只有极少数的员工能够进入主保险库 ， 一旦这些员工离开银行站点 ， 他们所拥有的访问权限必须被收回 ， 以避免被恶意盗取 。 这也就是最小特权的工作原理 。
根据网络安全和基础设施安全局 (CISA) 的说法 ， 最小特权意味着“仅应将最低限度的必要权利分配给请求访问资源的主体 ， 并且应在最短的必要时间内有效 。 ”
使用最小特权背后的业务驱动因素是多种多样的 。 首先 ， 需要阻止来自员工（有意或无意）、第三方和攻击者的威胁 ， 其次 ， 合规性也是采用最小特权策略的一个常见驱动因素 。
具有管理员权限的单个受损端点通常可以为攻击者或恶意内部人员提供不受保护的访问内部网络的通道 。 随着数字化的发展 ， 今天的端点远比以往任何时候都更加多样化和分散 ， 有更多的远程工作人员、数十亿个物联网设备以及不断向云迁移 ， 因此 ， 最小权限策略毫无疑问将极有助于管理组织不断扩展的端点 。
如何在组织内部实现最小特权访问策略管理？每一种最小特权方法都必须根据组织自身的需求来动态调整 ， 因此可以根据关键活动制定总体战略 ， 其中包括：

• 发现——评估身份、资产、风险和访问 。 确定在遭到破坏、被盗或受到损害时会产生最大影响的关键业务资产 。 利用合适的安全产品和工具来快速识别端点上使用的本地管理员账户、服务账户和应用程序 。
  
• 业务架构——组织的业务架构定义了应用程序、身份和服务的可接受风险级别 ， 同时也决定了组织如何根据用户的行为 ， 监控和验证对安全资产的访问 。 关键是在对用户的干扰最小的情况实现安全性和信任的平衡 。
  
• 管理——最小权限管理需要持续发现特权账户、审核使用情况以及应用新的安全控制和策略 。 使用安全编排和自动化工具会让特权管理工作更容易 ， 同时还需要通过实时提升和删除权限来消除潜在的暴露点 。
  
• 检测和响应——检测工作能够发现并处理对应身份不再需要特权访问的情况 。 行为分析允许组织响应用户的上下文或异常行为 ， 从新位置或设备登录尝试都有可能会触发身份验证要求 。 一旦发现高风险行为 ， 就需要立即对用户账户或应用程序进行隔离 。
  
• 审查和审计——审查和审计能够清晰地描述组织在上下文特权账户管理方面取得的成绩 。 因此组织应该持续性
  的审查关键指标以监控特权账户所有权或基于策略的应用程序控制 ， 并使用审查报告来更智能的优化特权账户的生命周期 。
  

最小特权如何适用于更广泛的特权访问管理和零信任策略最小权限是更大权限访问管理 (PAM)方法的核心组件 。 PAM 还监视必须访问不同网络区域和其他应用程序才能运行的应用程序和进程 。 这种战略方法会允许或拒绝对网络的特权访问——包括基础设施和应用程序 。 PAM有意使用用户的单点登录和管理员的单点管理来管理访问 。

• 华为|华为遗憾出局？全球芯片市场大洗牌，麒麟芯片快要“归零”
• 算法|外卖行业的下滑，或许是平台从放弃“算法”的那一刻起！
• 日产GT-R|零刻GTR6迷你主机评测: NUC界天花板？112万跑分，台式机见了也颤抖
• 林内零冷水燃气热水器带来健康舒适沐浴新生活
• 算法|快手亏损780亿，滴滴493亿，美团235亿，怎么回事？
• 算法|视频蹿红的秘密，流量密码到底是什么？
• 超导|飞利浦、朗润的大客户--国产MRI核心零部件供应商登陆北交所
• 谁说迷你主机不如台式？巴掌大小，112万跑分，零刻GTR6评测
• web3|焦点分析｜拥抱Web3，新加坡后悔了？
• |国产零刻GTR6评测：锐龙6900HX处理器，还支持指纹解锁