درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من

    تا 75 درصد تخفیف ویژه شب یلدا بر روی کلیه محصولات وب سایت توسینسو فقط تا 30 آذر

    مانده تا پایان تخفیف ها

    تخفیف های وب سایت
    همه تخفیف ها

    عضویت در

    کانال تلگرام

    توسینسو

    اطلاعات مطلب
      مدرس/نویسنده
      محمد نصیری
      امتیاز: 579093
      رتبه:1
      367
      1665
      802
      10685
      محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ... پروفایل کاربر

      ویدیوهای پیشنهادی

      کرک کردن پسورد سرویس SSH
      کرک کردن پسورد سرویس SSH
      مدرس: Nima karimi
      5,000 تومان
      توضیح کامل حمله Arpspoofing و MITM با استفاده از GNS3
      توضیح کامل حمله Arpspoofing و MITM با استفاده از GNS3
      مدرس: Nima karimi
      7,000 تومان
      شناسایی آسیب پذیری در هدر مربوط به Web Server
      شناسایی آسیب پذیری در هدر مربوط به Web Server
      مدرس: Nima karimi
      6,000 تومان
      شناسایی و جستجو Exploit ها با استفاده از ابزار Findsploit
      شناسایی و جستجو Exploit ها با استفاده از ابزار Findsploit
      مدرس: Nima karimi
      6,000 تومان
      آشنایی با ابزار تست نفوذ nc و sniff ترافیک مربوط به این ابزار با استفاده از Wireshark
      آشنایی با ابزار تست نفوذ nc و sniff ترافیک مربوط به این ابزار با استفاده از Wireshark
      مدرس: Nima karimi
      7,000 تومان
      آشنایی با ابزار فوق العاده D-Tect برای شناسایی آسیب پذیری های XSS , Sql injection , Wordpress و انجام Port scan
      آشنایی با ابزار فوق العاده D-Tect برای شناسایی آسیب پذیری های XSS , Sql injection , Wordpress و انجام Port scan
      مدرس: Nima karimi
      8,000 تومان
      آشنایی با مکانیزم کاری سویچ و انجام حمله MAC Flooding بر روی آن در نرم افزار GNS3
      آشنایی با مکانیزم کاری سویچ و انجام حمله MAC Flooding بر روی آن در نرم افزار GNS3
      مدرس: Nima karimi
      7,000 تومان
      شناسایی مسیر های فایل ها و فولدر ها بر روی وب سرور های http , https با استفاده از ابزار dirsearch
      شناسایی مسیر های فایل ها و فولدر ها بر روی وب سرور های http , https با استفاده از ابزار dirsearch
      مدرس: Nima karimi
      6,000 تومان
      آموزش ساخت یک KeyLogger نرم افزاری ساده و قدرتمند
      آموزش ساخت یک KeyLogger نرم افزاری ساده و قدرتمند
      مدرس: taghandiki
      20,900 تومان
      مسدود سازی پورت های USB و دستگاه های ذخیره سازی جانبی در شبکه با نرم افزار GFI Endpoint Security
      مسدود سازی پورت های USB و دستگاه های ذخیره سازی جانبی در شبکه با نرم افزار GFI Endpoint Security
      مدرس: امیرحسین کریم پور
      11,000 تومان

      Least Privilege یا اصل حداقل بودن اختیارات در امنیت اطلاعات چیست ؟

      تاریخ 11 ماه قبل
      نظرات 2
      بازدیدها 98
      اگر سابقه مدیریت شبکه داشته باشید به احتمال زیاد به برنامه هایی برخورد کرده اید که برای اینکه به درستی اجرا شوند بایستی با کاربر Administrator الزاما در سیستم فعالیت می کردند یا برای اینکه بتوانند در شبکه با پایگاه داده ارتباط بگیرند حتما باید دسترسی مدیریتی به پایگاه داده به آنها داده شود ! خوب این چیزی است که برای کارشناسان امنیت یک کابوس است چراکه به قول معروف امنیت یک شبکه برابر ضعیف ترین Node شبکه است و این یعنی شما در یک ریسک امنیتی هستید. اما برویم سر اصل مطلب ! تعریف Least Privilege تقریبا خیلی ساده است ، به هر کاربر تنها دسترسی هایی را بدهید که نیاز دارد ، نه بیشتر و نه کمتر ، همیشه در کلاس های امنیت اطلاعاتی که برگزار می کنم برای دانشجوها یک مثال می زنم و می گویم که : اگر یک منشی قرار است فقط تایپ کند و پرینت بگیرد !! فقط به او دسترسی باز و بسته کردن و نوشتن و ذخیره کردن نرم افزار Office Word را بدهید و حتی به نرم افزاری مثل Outlook هم دسترسی ندهید ! این می شود اصل حداقل بودن اختیارات که باعث آرامش خاطر شما امنیت کارها می شود.

      Least Privilege چیست ؟


      آیا Least Privilege مختص فقط کاربران است ؟


      پاسخ این موضوع قطعا خیر است ، ضمن اینکه شما باید برای کاربران حداقل دسترسی ها را در نظر بگیرید بایستی برای Process ها ، برنامه ها و سرویس ها نیز چنین محدودیت هایی را ببینید ، توجه کنید که همه Process ها ، همه سرویس ها و همه نرم افزارها برای اینکه درست اجرا بشوند نیاز به دسترسی و Login به سیستم با یک نام کاربری و پسورد دارند و این دسترسی ها بایستی حداقل ممکن باشد. منظور از دسترسی حداقلی به اطلاعات و منابع دسترسی است که کاربر را ناراضی نکند یعنی یک کاربر بتواند نیازهای تعریف شده خودش را برآورده کند. حتی پیشنهاد می شود که یک مدیر سیستم یا System Administrator نیز در زمان استفاده از سیستم خودش با یک کاربر محدود به سیستم Login کند و برای انجام عملیات های مدیریتی سیستم صرفا از دسترسی های بالاتر استفاده کند.

      مزایای Least Privilege چیست ؟


      این سناریو را تصور کنید که همگی 1000 کاربر سازمان شما با اینکه عضو شبکه دومین هستند اما همگی بر روی سیستم خودشان عضو گروه Administrators هستند ! این یعنی اگر یک ویروس یا کد مخرب خطرناک وارد سیستم یکی از این کاربران شود احتمال اینکه در شبکه به یکباره پخش شده و کل شبکه را آلوده کند بسیار زیاد است و اگر شما کاربر را محدود به استفاده از منابع همان سیستم با دسترسی های حداقلی کرده باشید کد مخرب نیز در محیط محدودتری اجرا و قابل ایزوله سازی می شود. یا Least Privilege شما از تخریب های احتمالی نیز جلوگیری می کنید برای مثال اگر کاربری مسئول گرفتن Backup از پایگاه داده شما است قرار نیست بتواند دستکاری در اطلاعات شما ایجاد کند و به همین دلیل می توانید سطح دسترسی حداقلی برای گرفتن Backup توسط یک کاربر تعریف کنید ! Least privilege به شدت درجه امنیتی سازمان شما را بالا می برد و امکان سوء استفاده های احتمالی توسط کاربران را نیز بسیار کاهش می دهد. امیدوارم این مفهوم را به درستی درک کرده باشید و مثالی که زدم را همیشه به خاطر داشته باشید. ITPRO باشید

      نویسنده : محمد نصیری
      منبع : ITPRO
      هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

      برچسب ها
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات

      برای ارسال نظر ابتدا به سایت وارد شوید