50 TEME
IT sigurnost
MINIMUM PRIVILEGIJA
ZA MAKSIMUM SIGURNOSTI INFORMATIČKA SIGURNOST JE SLOŽENA DISCIPLINA KOJA SE OSLANJA NA BROJNE PRINCIPE. UPRKOS BROJNOSTI, ONI SE IPAK MOGU SVESTI NA “SVETU” TROJKU: POVJERLJIVOST, INTEGRITET I DOSTUPNOST. IPAK, ISPOD SVE TRI STAVKE NALAZI SE TEMELJNI PRINCIP KOJI SE DANAS TRETIRA KAO AKSIOM SIGURNOSTI – PRINCIP DODJELE NAJMANJIH PRIVILEGIJA Piše: Mirza Bahić redakcija@asadria.com
Osnovni princip IT sigurnosti ili dijeljenje najmanjih privilegija odnosi se na potrebu dodjele najmanjeg (elementarnog) skupa privilegija potrebnih za izvršavanje zadataka i funkcije za koju je neki korisnik ovlašten. Drugim riječima, korisnika se sprečava da izvršava nepotrebne (tj. opasne) operacije dok obavlja određeni zadatak. No, kako to izgleda u praksi?
Povjerljivost ili privilegije? Zamislimo zaposlenika čiji posao podrazumijeva obradu isplata plata. Njemu se za izvršavanje tog zadatka dodjeljuju odgovarajuće privilegije, odnosno odobren mu je pristup aplikaciji za obračun plata. Istovremeno, za obavljanje tog posla nije mu potreban pristup bazama podataka o klijentima kompanije. Za njega se pristup dodjeljuje, naprimjer, šefu marketinga, kojem opet ne treba pristup aplikaciji za plate. Ovaj princip se ponekad stavlja u isti koš s njegova dva sigurnosna pandana: potrebom za povjerljivošću i potrebom za podjelom dužnosti. Prvi od njih služi kontroli pristupa zasnovanoj na konkretnoj situaciji. Menadžeri prodaje, naprimjer, ne trebaju stalni pristup dosjeima zaposlenika, ali im može zatrebati privremeno kako bi završili godišnji pregled učinka svakog od njih. Isto tako, podjela dužnosti podrazumijeva dodjeljivanje kritičnih zadataka za dvoje ili više ljudi tako da niko od njih ne može dobiti potpunu kontrolu nad aktivnošću koja organizaciju može dovesti u opasnost. Često se koristi paralelno s pristupom dodjele najmanje privilegije za potpuniji sigurnosni učinak.
www.asadria.com januar/siječanj 2022.
Potrebno je redovno provjeravati i zadane privilegije za konkretne račune najmanje kvartalno, a poželjno i mjesečno. Korisnici trebaju provjeriti da li svi aktivni nalozi imaju minimalne dodijeljene privilegije, poništiti sve nepotrebne privilegije i ukinuti sve stare ili neaktivne račune I korisnik i firewall U praksi, princip dodjele minimalnih privilegija ne primjenjuje se samo na pojedince već i na mreže, uređaje, programe, procese i usluge. Tu spadaju svi subjekti koji traže pristup resursima ili objektima kao što su sistemi, datoteke, aplikacije, direktoriji, baze podataka,
portovi i dr. Princip minimalnih privilegija primjenjuje se na subjekte koji nisu fizički korisnici, kao što su zaštita servera gašenjem nepotrebnih portova i uklanjanjem neiskorištenih komponenti, omogućavanje web-aplikaciji da samo pretražuje i ustupa podatke, a ne da ih mijenja ili briše, davanje ovlaštenja API-
