Tài khoản đặc quyền – quản trị viên hệ thống, cơ sở dữ liệu, hạ tầng – là chìa khoá vào toàn bộ tổ chức. Vì vậy chúng là mục tiêu hàng đầu của kẻ tấn công, và là nơi nguyên tắc quyền tối thiểu (least-privilege) phải được thực thi nghiêm ngặt nhất.
Rủi ro từ quyền đặc quyền dư thừa
Khi quá nhiều người có quyền cao, hoặc quyền không được thu hồi sau khi hết nhu cầu, bề mặt tấn công phình to. Một tài khoản đặc quyền bị chiếm đoạt có thể dẫn đến lan ngang (lateral movement) khắp hệ thống.
Trụ cột của giải pháp PAM
- Lưu trữ và luân chuyển mật khẩu đặc quyền trong kho an toàn (vault)
- Cấp quyền vừa đủ, đúng lúc (just-in-time) thay vì thường trực
- Ghi nhật ký và giám sát phiên đặc quyền để phục vụ điều tra
- Bắt buộc xác thực đa yếu tố cho mọi truy cập đặc quyền
Áp dụng least-privilege thực tế
Nguyên tắc quyền tối thiểu nghĩa là mỗi người, mỗi dịch vụ chỉ có đúng quyền cần thiết để hoàn thành công việc. Rà soát quyền định kỳ và thu hồi quyền dư thừa là công việc liên tục, không phải một lần.
Kết luận
PAM và least-privilege thu hẹp đáng kể bề mặt tấn công và giới hạn thiệt hại khi sự cố xảy ra. Đây là một trong những khoản đầu tư bảo mật có tỷ suất lợi ích cao nhất.
Cấp quyền vừa đủ, đúng lúc (just-in-time)
Quyền đặc quyền thường trực là rủi ro không cần thiết. Mô hình just-in-time chỉ cấp quyền cao khi có nhu cầu cụ thể, trong khoảng thời gian giới hạn, rồi thu hồi tự động – giảm mạnh bề mặt tấn công.
Giám sát phiên đặc quyền
- Ghi lại toàn bộ phiên truy cập đặc quyền phục vụ điều tra
- Cảnh báo theo thời gian thực với hành vi bất thường
- Bắt buộc xác thực đa yếu tố cho mọi truy cập đặc quyền
Câu hỏi thường gặp
Least-privilege nghĩa là gì?
Mỗi người và mỗi dịch vụ chỉ có đúng quyền tối thiểu cần để hoàn thành công việc, không hơn.
Vì sao tài khoản đặc quyền là mục tiêu hàng đầu?
Vì chiếm được chúng cho phép kẻ tấn công lan ngang và kiểm soát phần lớn hệ thống.