Nella mia organizzazione, il nostro team di infrastruttura server ha storicamente detenuto tutti gli accessi di amministratore ai server di produzione. Recentemente stiamo cercando di rafforzare la nostra posizione di sicurezza, quindi abbiamo assunto diversi nuovi ingegneri della sicurezza. Stiamo investendo ingenti fondi in nuovi set di strumenti per loro, e stiamo anche cercando di identificare dove dobbiamo cambiare le nostre politiche e i modelli di sicurezza per consentire loro di svolgere il proprio lavoro in modo efficace.
Alcuni ingegneri della sicurezza ritengono che dovrebbero avere accesso amministrativo ai server di produzione, al fine di indagare sulle attività sospette, come riportato dai loro nuovi strumenti.
È stato proposto dal team dell'infrastruttura del server che potevano concedere l'accesso ai singoli server in base alle necessità per incidenti specifici. Gli ingegneri della sicurezza sostengono che un tale processo ad alto coefficiente di attrito rallenterebbe potenzialmente le indagini, che per loro natura spesso si svolgono in situazioni in cui i minuti contano e dove non sanno realmente a quali server avranno bisogno di accedere fino a quando non sono a gomito -Deep nell'indagine, e la pausa ogni pochi minuti per richiedere l'accesso a un nuovo server sarebbe inutilmente ingombrante. Il team dell'infrastruttura server sostiene che gli strumenti degli ingegneri della sicurezza dovrebbero fornire visibilità sulla maggior parte dei dati di cui i progettisti hanno bisogno, e sono riluttanti a concedere l'accesso amministrativo per gli ingegneri.
Sono consigliate le migliori pratiche per tali situazioni? Comprendo il desiderio del team dell'infrastruttura server di mantenere il principio del privilegio minimo per motivi di sicurezza. Ma capisco anche che gli ingegneri della sicurezza sono in qualche modo implicitamente fidati della natura del loro ruolo. Nelle grandi organizzazioni, in che modo viene generalmente gestito l'accesso dei tecnici di sicurezza ai server?