En mi organización, nuestro equipo de infraestructura de servidores ha mantenido históricamente todo el acceso de los administradores a los servidores de producción. Recientemente intentamos fortalecer nuestra postura de seguridad, por lo que hemos contratado a varios nuevos ingenieros de seguridad. Estamos invirtiendo fondos significativos en nuevos conjuntos de herramientas para ellos, y también estamos tratando de identificar dónde necesitamos cambiar nuestras políticas y modelos de seguridad para permitirles hacer su trabajo de manera efectiva.
Algunos de los ingenieros de seguridad creen que deberían tener acceso de administrador a los servidores de producción para investigar actividades sospechosas, según lo informado por sus nuevas herramientas.
El equipo de infraestructura del servidor ha propuesto que podrían otorgar acceso a servidores individuales según sea necesario para incidentes específicos. Los ingenieros de seguridad argumentan que un proceso de alta fricción podría ralentizar las investigaciones, que por su naturaleza a menudo tienen lugar en situaciones en las que los minutos cuentan, y en los que no saben realmente a qué servidores necesitarán acceso hasta que estén a la altura. -después de la investigación, y hacer una pausa cada pocos minutos para solicitar acceso a un nuevo servidor sería innecesariamente engorroso. El equipo de infraestructura del servidor argumenta que las herramientas de los ingenieros de seguridad deberían proporcionar visibilidad de la mayoría de los datos que necesitan los ingenieros, y se muestran reacios a conceder a los ingenieros acceso general de administración.
¿Se recomiendan las mejores prácticas para tales situaciones? Entiendo el deseo del equipo de infraestructura del servidor de mantener el principio de privilegio mínimo por el bien de la seguridad. Pero también entiendo que los ingenieros de seguridad tienen cierta confianza implícita en la naturaleza de su función. En las grandes organizaciones, ¿cómo se gestiona el acceso de los ingenieros de seguridad a los servidores?