O Princípio do Menor Privilégio (POLP) é uma prática recomendada de segurança da informação e um princípio fundamental de uma estratégia de segurança de confiança zero. De acordo com o POLP, um usuário, aplicativo, dispositivo ou outra entidade só deve receber o acesso e as permissões necessárias para desempenhar sua função. Ao minimizar as permissões, uma organização limita os danos que podem ser causados por uma conta comprometida ou por uma ameaça interna.
O POLP afirma que contas, aplicativos e dispositivos devem receber apenas o acesso e as permissões necessárias para realizar seu trabalho. Isso funciona identificando esses requisitos com base nas necessidades de negócios e na finalidade de um usuário, dispositivo ou aplicativo dentro da empresa.
Por exemplo, a maioria dos funcionários não necessita de acesso administrativo aos seus próprios computadores para cumprir as suas funções, pelo que a POLP afirma que não o deveria ter. Da mesma forma, o pessoal financeiro não precisa de acesso aos registos de RH ou aos sistemas de TI, pelo que não deve ter acesso a esse acesso.
O POLP também se aplica à limitação do acesso a permissões elevadas para tarefas que as exigem. Por exemplo, um administrador de TI pode exigir acesso privilegiado para executar algumas de suas funções. No entanto, devem utilizar uma conta não privilegiada para as tarefas do dia-a-dia e apenas utilizar a sua conta privilegiada quando for necessário para uma determinada tarefa.
De acordo com Relatório de investigações de violação de dados da Verizon de 2021 (DBIR), aproximadamente 70% das violações de dados envolveram abuso de privilégios. Isto significa que uma conta com acesso legítimo a recursos corporativos foi usada para acessar e exfiltrar dados confidenciais. Isso pode ser devido a uma conta comprometida, negligência do proprietário da conta ou ameaça interna.
O POLP ajuda a limitar o risco de abuso de privilégios, limitando os privilégios concedidos a um usuário, aplicativo, etc. Se uma conta tiver apenas as permissões necessárias para desempenhar sua função, sua capacidade de abusar desses privilégios será limitada. Embora uma conta ou aplicativo com acesso legítimo ao banco de dados do cliente ainda possa acessar esse banco de dados e roubar os registros contidos nele, esse é um risco muito menor do que se todos os usuários e aplicativos da empresa pudessem ser potencialmente usados para fazer isso.
O POLP limita o acesso aos dados confidenciais e aos valiosos recursos de TI de uma organização. Ao fazer isso, pode trazer diversos benefícios à organização, como:
O POLP pode ser implementado através das seguintes etapas:
Efetivamente implementando confiança zero e o POLP requer ferramentas que possam suportar os seus controlos de acesso. Por exemplo, redes privadas virtuais (VPNs) não são ideais para confiança zero ou POLP porque são projetadas para fornecer aos usuários legítimos acesso remoto irrestrito à rede corporativa.
Check Point’s Harmony Connect fornece acesso remoto seguro compatível com POLP via Acesso à rede Zero-Trust (ZTNA) como parte de sua solução SASE. Saiba mais sobre a implementação de acesso remoto de confiança zero em sua organização. Você também é bem-vindo inscreva-se para uma demogratuita of Harmony SASE to learn about deploying POLP for your distributed workforce.