问题17:身份和访问管理
一个安全操作中心(SOC)离职了三名防火墙工程师,但是没有足够的预算来雇佣替代人员。管理层给服务台技术员Casey增加了额外的责任,即只查看在防火墙上面客户的配置信息。她需要确保防火墙上存在正确的安全策略、VPN用户名和网络地址转换规则,并验证站点到站点的IPSec隧道是否处于活动状态。安全管理员为Casey创建了一个帐户,使她能够具有查看防火墙配置的权限,并且她还有实施任何必要变更的权限,但是只有得到高级工程师批准才可以。
根据问题的描述,请问以下哪种访问管理形式没有被良好的遵循?
D、 Separation of duties职责分离
除了服务台的工作,Casey现在被要求承担更多的技术责任。在公司中发生这种情况时,由安全专业人员来确保正确设置了访问权限。虽然Casey当前的角色权限可能限制了她对网络设备访问,但她新的防火墙职责会增加这些权利和许可,这样就和SOC的总体风险暴露直接相关了。如果Casey要从她的旧角色换成一个新的角色,最好的做法是删除她以前的访问权限。
如果工作人员在轮换到新职位时的权限未被删除,则会发生授权蠕变问题。不过,在这个场景中,她除了保留现有的权限外,还获得了更多的权限。
Casey目前的角色是处理服务台任务,而不是处理防火墙问题。在新的技术岗位上,她不会像之前的SOC工程师那样有丰富的经验,这可能会导致失误,在考虑为Casey提供何种访问级别时必须考虑到这个问题。在这方面,系统管理员已授予她读权限和写权限,写权限必须事先获得批准。这遵循了安全操作中恰当的变更管理流程。
变更管理步骤包括所有防火墙配置更改的请求、批准、测试、实现和文档记录,但不考虑技能级别。变更管理确保防火墙工程师不能擅自对防火墙进行任何更改。它限制了工程师对关键操作的权限。变更管理也是一种错误配置防火墙之前发现错误的方法。
Casey的新角色将需要一个额外的need to know需要知道访问级别。Least privilege最小权限将进一步限制访问权限,将权限仅限于与她的工作任务相关。目前,Casey不仅有需要执行服务台技术人员工作所需的权限,而且还需要有对防火墙进行只读操作的权限。
在适当的时候,当更多的工程师被雇用,凯西的防火墙权利和特权将不得不被撤销。只有在两种人身上不会出现明显的安全失误:1、具有多年经验的安全专业人员;2、完全理解CISSP理念的人员。参加CISSP考试没有经验要求,但还是强烈建议要有经验。无论是在工作还是在家中,花时间理解概念,这是获得安全知识、积累解决问题的能力的唯一途径。
只给其工作所需要的权限是Need to know的恰当实践。实施“Need to know”的目的是防止未经批准的访问。根据这个原则,随后,管理层让Casey访问防火墙,以适应她的新工作角色。但是,她应该只是“查看”和“验证”配置,因为管理层没有声明她将对防火墙进行任何类型的变更。安全管理员通过创建一个防火墙帐户来查看配置,满足了Casey的需要,但允许了Casey部署变更,这违反了管理层的要求。A不是正确的选项,因为Casey被赋予了“Need to know”的防火墙访问权限,但她的最小特权并不只是读操作。
通过允许Casey对防火墙进行写访问和只读访问,安全管理员未能遵循最小特权原则。最小特权将微调主体对对象的访问权限,只为其分配最小的权限和许可。Casey需要知道访问防火墙的权限,管理层只允许读取配置,而不需要进行实际变更的附加权限。
由于高级管理层对组织中发生的事情负有最终责任,因此在决定哪些角色获得什么级别的访问权限时,他们应该谨慎。“需要知道”和“最少特权”是协作控制,通过将用户的访问权限仅限于其工作角色来保护机密性和完整性。它们可以防止用户在其范围之外的系统上犯错误。它还可以限制攻击者在帐户泄露的情况下可以访问的内容。
利用“需要知道”和“最小特权”,以限制用户执行其工作所需的最低访问权限。然后执行岗位轮换和职责分离,以发现欺诈、串通、或低风险特权人员滥用职权的行为。
实施岗位轮换的主要原因之一是发现或减少串谋和欺诈行为。如果用户知道有人会进来执行他们的工作一段时间,他们犯罪的可能性就会降低。工作轮岗通常意味着之前的职位被放弃,但Casey的情况是,她暂时被轮岗到工程师角色,同时还保留了服务台的角色。这是工作轮岗的次要原因是:为员工短缺做准备,为继任计划做准备,以及提高技能。
工作轮换政策需要应用“需要知道”和“最少特权”的原则。无论是应付多个角色还是单一的新任务,管理人员都必须始终检查用户在执行任务时不再需要的任何累积的权限和许可。如果发生特权蔓延,必须删除这些权限。
D.Separation of duties职责分离
职责分离会让一个人无法完成高影响的任务。一个单独的防火墙工程师可以请求、设计和实现对防火墙的更改,而不需要得到允许,他拥有很大的权限。他们可以与外部实体串通,让自己不受限制地访问防火墙后面的受保护网络,或者防火墙本身。即使安全专业人员能保持正直,但是他们自己的帐户的一个错误将导致攻击者会具备和他相同的访问权限。尽管安全管理员给Casey对防火墙的写访问权限是一个错误,但由于所有的变更都必须首先得到高级工程师的批准,所以仍然是遵循了职责分离的原则。
“需要知道”、 “最少的特权”、“职责的分离”都是预防性的控制。“工作轮换”是一种检查控制(意在揭露,而非阻止)。所有四个选择属于管理控制。
本公众号技术文章仅供学习交流之用【转载请注明:转载自CISSP Learning】。
扫描下方二维码加入CISSP Learning交流群(请备注:申请加群)。
原文始发于微信公众号(CISSP Learning):CISSP管理者思路系列-17
评论