Разграничение доступа (минимальные привилегии)
1. Утверждение
Ограничение прав каждой учётной записи, процесса и системы минимумом, необходимым для выполнения функции, не предотвращает компрометацию, но ограничивает её масштаб: уменьшает ущерб от захвата отдельной роли, замедляет горизонтальное перемещение и сокращает число путей до критичных активов. Это структурное утверждение с сильной механической логикой и слабой количественной полевой базой: контролируемых исследований размера эффекта не существует, доказательства — консенсус, форензика инцидентов и описательная статистика. Эффект реализуется только при соответствии фактических прав номинальной модели — а они расходятся почти всегда.
2. Какую управляемость сохраняет
Если MFA и парольная политика защищают вход в роль, то разграничение доступа определяет, чем станет владеть противник после входа. Это мера второй линии: она исходит из допущения, что какая-то роль будет захвачена, и отвечает на вопрос «что именно противник сможет вывести из-под контроля субъекта через эту роль». Без разграничения любая захваченная учётная запись эквивалентна захвату всей среды; с разграничением потеря одной роли остаётся потерей одной роли. Это прямая реализация принципа: безопасность — ограничение того, какой управляемостью способен завладеть противник.
3. Механизм действия
Атака почти никогда не начинается с критичного актива — она начинается с доступного (фишинг рядового сотрудника, уязвимый периметровый сервис) и движется к цели через цепочку расширений доступа. Разграничение действует на три звена этой цепочки:
- Радиус поражения начальной точки. Права захваченной учётки определяют, что противник получает немедленно и что шифрует вымогатель от её имени.
- Стоимость горизонтального перемещения. Каждый переход требует новой роли; чем меньше пересечений прав и общих привилегированных учёток, тем длиннее и шумнее путь — больше времени и сигналов для обнаружения.
- Число путей к критичным активам. Доступ к ядру (контроллеры домена, СУБД, системы управления) через малое число выделенных, усиленно контролируемых ролей вместо размазанных прав.
Обратная сторона механизма: мера декларативная. Она существует в виде модели прав, и её реальное состояние невидимо без специальной проверки. Накопление прав со временем (privilege creep), наследование, вложенные группы и забытые делегирования создают разрыв между моделью и фактом — противник атакует факт.
4. Доказательная база
| Источник | Год | Тип данных | Ключевой результат | Уровень |
|---|---|---|---|---|
| Saltzer, Schroeder, «The Protection of Information in Computer Systems» | 1975 | Основополагающая работа, формулировка принципа least privilege | Принцип, а не измерение: каждая программа и пользователь должны работать с минимально необходимым набором привилегий | C |
| Verizon DBIR (ежегодно) | 2008–н.в. | Описательная статистика инцидентов | Украденные учётные данные — устойчиво ведущий вектор; злоупотребление привилегиями — отдельная стабильная категория. Косвенно: права захваченных учёток определяют исход | B (описательная, не измеряет эффект меры) |
| Mandiant M-Trends, отчёты IR-команд | ежегодно | Форензика инцидентов | Типовой паттерн: компрометация рядовой учётки → эскалация → доменные привилегии → тотальный ущерб. Инциденты с ограниченным ущербом коррелируют с изоляцией привилегий | C |
| SpecterOps, исследования BloodHound (Robbins, Schroeder et al.) | 2016–н.в. | Инструментальный анализ реальных сред AD | В подавляющем большинстве обследованных доменов существуют непредусмотренные пути эскалации до администратора домена через цепочки ACL, делегирований и вложенных групп — номинальная модель прав систематически не соответствует фактической | B (измерение разрыва «модель/факт», не эффекта меры) |
| Microsoft, отчёты о состоянии облачных разрешений | 2021–н.в. | Вендорская телеметрия | Заявление: >90–99% выданных облачных разрешений не используются — масштаб избыточности прав | D (вендор PAM/CIEM-решений, методология не раскрыта) |
| NSA/CISA, руководства по tiering-модели и PAM; Microsoft Enterprise Access Model | 2010-е–н.в. | Методические документы | Консенсусная архитектура: разделение уровней администрирования, изоляция привилегированного доступа | C |
Критика источников. Главная честная констатация: полевых измерений эффекта минимальных привилегий не существует. Никто не сравнивал сопоставимые организации с разным уровнем разграничения по частоте и ущербу инцидентов — такое исследование методологически крайне сложно (организации несравнимы, ущерб измеряется по-разному). Вся база — это (а) бесспорная механическая логика, (б) форензика, показывающая, что катастрофические инциденты проходят через избыточные привилегии, и (в) измерения того, насколько плохо мера реализована на практике. Это типичный для ИБ случай «меры уровня C»: высокая уверенность в направлении эффекта, отсутствие данных о его размере.
5. Размер эффекта
Количественная полевая оценка отсутствует — уровень C. Доступны только косвенные ориентиры:
- Форензика вымогательских инцидентов устойчиво показывает бимодальный исход: при достижении доменных привилегий — шифрование всей среды; при их недостижении — локализованный ущерб. Разграничение — главный фактор, определяющий, по какой ветке пойдёт инцидент.
- Исследования BloodHound-класса дают измеримую прокси-метрику: число и длина путей эскалации до критичных ролей. Сокращение путей — наблюдаемый результат меры, хотя его пересчёт в «снижение вероятности ущерба» не опубликован.
- Масштаб типовой избыточности (доля неиспользуемых прав) велик по всем доступным оценкам, что означает большой нереализованный потенциал меры в средней организации.
Карта сознательно не приводит процентов «снижения риска» — таких данных нет, а их имитация противоречила бы назначению портала.
6. Границы применимости
Работает против:
- развития атаки после компрометации начальной точки (основной сценарий);
- масштаба ущерба от вымогателей (что доступно учётке — то зашифровано);
- инсайдера, действующего в рамках своей роли, — ограничивает доступное ему;
- каскадных ошибок и сбоев (немаловажный побочный эффект: ограничение прав сдерживает и не-злонамеренные инциденты).
Не работает против:
- компрометации самой привилегированной роли (захвачен администратор — разграничение пройдено по определению; здесь работают PAM, MFA, защита сессий);
- эскалации через уязвимости ПО и ОС (повышение привилегий эксплойтом обходит модель прав);
- атак, которым достаточно прав начальной точки (кража данных, доступных рядовому сотруднику; BEC-мошенничество от его имени);
- разрыва «номинальные права ≠ фактические»: мера защищает настолько, насколько модель соответствует реальности.
7. Известные способы обхода
| Способ | Суть | Статус |
|---|---|---|
| Скрытые пути эскалации в AD (ACL-цепочки, делегирования, вложенные группы) | Фактические права шире номинальных; путь «рядовая учётка → домен-админ» существует, но не виден в модели | Массовый; стандартная техника (BloodHound — инструмент и атакующего, и защитника) |
| Эксплойты локального повышения привилегий | Обход модели прав через уязвимость, а не через права | Постоянный |
| Кража токенов/сессий привилегированных учёток | Администратор вошёл на скомпрометированную машину — его токен извлечён; права получены без «нарушения» разграничения | Массовый (связь с картой LSASS/защиты сессий) |
| Злоупотребление сервисными учётными записями | Избыточные права сервисных учёток + слабые пароли (Kerberoasting) | Массовый |
| Тезис «достаточно того, что есть» | Атака не эскалирует вовсе: данные и действия, доступные начальной точке, уже достаточны для цели | Растущий (особенно в облаках и SaaS) |
| Накопление прав со временем (privilege creep) | Не обход, а эрозия: переводы, проекты, «временные» доступы превращают модель в фикцию за 2–3 года | Универсальный |
8. Условия эффективности
- Инвентаризация фактических прав, а не только номинальных — анализ путей эскалации (BloodHound-класс для AD, CIEM-подходы для облаков) как регулярная процедура, не разовый проект.
- Tiering привилегий: административные учётки критичного уровня не используются на рабочих станциях и системах низших уровней — иначе кража токена обнуляет всю модель.
- Отдельные учётные записи для административных задач (admin ≠ повседневная учётка того же человека).
- Процесс отзыва: права привязаны к роли/задаче и отзываются при её завершении; регулярная рецертификация доступа владельцами ресурсов.
- Сервисные учётные записи под управлением: минимальные права, длинные пароли/gMSA, инвентаризация.
- Время как измерение: переход от постоянных привилегий к выдаваемым на время задачи (JIT/PAM) — там, где зрелость позволяет.
- Связка с обнаружением: разграничение замедляет противника, но выигрыш реализуется, только если кто-то успевает заметить (мониторинг эскалаций и аномального использования прав).
9. Как проверить у себя
- Анализ путей атаки: число учётных записей, имеющих путь до уровня администратора домена / критичных облачных ролей; длина кратчайшего пути от типовой рядовой учётки. Метрика для динамики из квартала в квартал.
- Число членов привилегированных групп (Domain Admins и аналоги) — абсолютное и тренд; доля среди них учёток, используемых для повседневной работы.
- Доля прав, не использованных за 90 дней (по логам доступа) — мера избыточности.
- Возраст и охват последней рецертификации доступа.
- Пентест с целевым сценарием «от фишинга рядового сотрудника до критичного актива»: длина достигнутой цепочки и время — прямой тест меры.
- Для вымогательского сценария: моделирование «что зашифрует учётка X» — объём данных, доступных на запись типовым ролям.
10. Что опровергло бы это утверждение
- Полевые данные, показывающие отсутствие связи между уровнем разграничения (измеренным, например, через метрики путей эскалации) и масштабом ущерба в сопоставимых инцидентах.
- Устойчивое доминирование атак, которым достаточно прав начальной точки: если основной ущерб переместится в зону «рядовых» прав (массовая кража данных из SaaS от имени обычных пользователей), вклад разграничения в итоговый риск упадёт, и карту придётся понизить по значимости — не по верности механизма.
- Появление данных о том, что операционная цена меры (ошибки, простои из-за нехватки прав, обходные практики типа массовой выдачи «временных» админок) систематически порождает больше инцидентов, чем мера предотвращает.
11. Стоимость владения
Это одна из самых дорогих в эксплуатации мер — при формально нулевой цене «включения»:
- Ролевое проектирование — основная и хронически недооцениваемая статья: построение и поддержание ролевой модели в живой организации требует постоянного процесса, а не проекта.
- Рецертификация — регулярная нагрузка на владельцев ресурсов и руководителей; при формальном подходе вырождается в кликанье «подтвердить всё».
- Трение: задержки в выдаче доступа конфликтуют со скоростью бизнеса; именно здесь рождаются обходные практики, разрушающие модель.
- Инструментарий (PAM, IGA, CIEM, анализ путей атаки) — лицензии и внедрение; базовый анализ AD возможен бесплатными инструментами.
- Честное предупреждение: организация, не готовая к постоянному процессу, получит бумажную ролевую модель и реальный privilege creep — то есть стоимость без эффекта. Для таких случаев рациональнее узкий фокус: только привилегированные роли и пути эскалации, без тотального RBAC.
12. Типичные ошибки внедрения
- Ролевая модель построена один раз и не пересматривается — через 2–3 года не соответствует реальности.
- Администраторы работают под привилегированными учётками повседневно (почта, браузер) — кража одного токена даёт всё.
- Контроль только членства в группах, без анализа ACL и делегирований — скрытые пути эскалации не видны.
- Сервисные учётные записи вне модели: максимальные права, пароль не менялся годами.
- «Временные» права без срока действия.
- Тотальный RBAC-проект на 18 месяцев вместо быстрого закрытия путей эскалации к критичным ролям — идеальное как враг работающего.
- Разграничение без мониторинга: противника замедлили, но никто не смотрит.
13. Связанные меры и связки
Разграничение доступа — несущая конструкция связки «ограничение масштаба компрометации», работающей в паре со связкой «контроль доступа к ролям» (MFA + пароли + сессии): первая определяет, как трудно войти в роль, вторая — что даёт захваченная роль. Без защиты привилегированных сессий (SEC-CTRL-0004) разграничение обходится кражей токена; без сегментации сети (SEC-CTRL-0006) права ограничены, а достижимость — нет; без обнаружения выигранное время не конвертируется в остановку атаки. Это карта-кандидат на роль центральной в будущей связке «устойчивость к вымогательским атакам».
14. История пересмотров
| Версия | Дата | Изменения |
|---|---|---|
| 1.0 | 2026-06-09 | Первая публикация. Уровень C — зафиксировано отсутствие полевых измерений эффекта при сильной механической логике. Цикл пересмотра 18 месяцев; драйверы: динамика identity-атак в облаках, развитие ITDR/CIEM-телеметрии, возможное появление измерительных работ. |
Источники
- Saltzer J., Schroeder M. The Protection of Information in Computer Systems. Proc. IEEE, 1975
- Verizon Data Breach Investigations Report (ежегодно)
- Mandiant M-Trends (ежегодные отчёты IR-практики)
- SpecterOps. BloodHound: анализ путей атаки в AD/Entra
- Microsoft. State of Cloud Permissions Risk (отчёты 2021–)
- Microsoft. Enterprise Access Model / privileged access guidance
- NSA/CISA. Руководства по управлению привилегированным доступом и tiering-модели