最小特权原则是一种适用于不同领域的安全策略,其基础是仅授予执行某项活动所必需的权限
在最近与ESET墨西哥营销分析师胡安·卡洛斯·费尔南德斯的谈话中,我们讨论了一个关于一个虚假公司在大学期间进行的骗局的故事。该公司据称招募了学生,收集了申请人简历中的信息。
当然,没有学生被雇用,但他们的个人信息是自愿提供的。如果不是因为简历中通常包含个人信息和数据,如果落入不法人员的手中,这可能会危及人们的安全,这个事件将是毫不相关的。对于大学生来说,毫无疑问会包括他们的照片,地址,联系信息,社交网络帐户和其他信息等数据。
虽然这些信息可能对某些招聘人员来说是必要的,但在最终确定招聘流程时,这很可能并不重要。只提供所需信息和访问它的想法可以应用于不同领域,网络安全也不例外。这种良好做法被称为最小特权原则,我们将在本出版物中对其进行讨论。
最低特权:良好的安全实践
在网络安全领域,用户对系统或信息的权限分配是一种不断应用的安全实践。例如,开发的操作系统具有不同的角色(当然还有特权),这些角色是根据不同的用户配置文件根据其活动和职责设计的。
顾名思义,在最小特权原则下运营的前提是 仅向用户授予必要和足够的权限,以便在有限的时间内执行其活动,并具有其任务所需的最低权限。这种做法可以在技术使用方面实施,目的是确保信息的安全性以及我们的隐私。
为超出执行特定操作所需权限的用户分配权限可允许他们执行他们未被授权执行的操作,例如访问,获取或修改信息。实体或服务还必须考虑到特权,以实现其目标而不损害隐私或安全; 但是,对于此任务,用户的一项重要职责是确定并仅授予必要和充分的权限。
最小特权可以应用于社交网络吗?
最近涉及Facebook和Cambridge Analytica的启示证明了个人数据的价值以及我们作为用户对我们个人信息处理方式的责任。
虽然隐私的范式随着时间而改变,但我们不应该忽视这一事实,即这是一个持续的问题,特别是在 数字时代,即使是新的立法试图给予用户更多关于其信息的权利。
基于这一概念,一个好的做法是仅提供使用社交网络所必需的基本信息,而不是与任何其他用户共享敏感或机密信息,特别是如果我们不知道可能隐藏在可能是假的人后面的那些人配置文件。
因此,除了谨慎处理我们在不同社交平台上发布的信息之外,配置隐私和安全选项以及适用于其他用户对显示帖子或数据的限制也是一个好主意。我们不应该变得如此偏执,以至于我们觉得有必要停止使用这些新形式的沟通和互动,特别是如果我们提倡他们有意识,负责任和安全的使用,这也是我们也可以应用最小特权原则的地方。
移动设备上的最小权限原则
我们在设备上安装的应用程序也必须受设备权限的限制。由于安装应用程序时所要求的权限,当然,由于应用程序在设备上执行的活动,应用程序可能会被视为侵入式(甚至是恶意) 。
有无数的应用程序请求权限,而这些权限对于他们在电话上的预期功能通常是不必要的。一个典型的例子是手电筒应用。这些应用程序仅打开和关闭设备的LED,因此不需要访问电话信息,如位置,联系人,电话或短信。在这种情况下,最小特权原则也应该发挥重要作用。
在与这种类型的手电筒应用有关的特定情况下, 发现了一个 银行木马,它是针对Android用户的。一旦它被安装并执行,应用程序请求设备管理员权限。
除了授予承诺的手电筒功能外,这种远程控制的威胁还试图窃取受害者的银行证书。毫无疑问,最低特权原则也可以应用于这种情况,只需向应用程序提供其功能所需的最低权限即可。
最小特权原则:适用于不同领域的安全策略
回顾我们最初讨论的故事时,我们知道雇佣一个人时可能会考虑不同的标准,但出于安全和隐私的原因,招聘人员可能不应该了解我们的所有信息,特别是如果没有处理所有这些信息牢固。
因此,无论是涉及操作系统,社交网络,应用程序,还是我们在在提交简历时,本出版物的开头。
