® 
Least Privilege (Minimale Rechten)
Definitie
Het principe van least privilege (minimale rechten) stelt dat elke gebruiker, applicatie of proces alleen de minimaal benodigde toegangsrechten mag hebben om zijn taak uit te voeren. Het beperkt de schade bij een beveiligingsincident.
Het principe van least privilege (minimale rechten) stelt dat elke gebruiker, applicatie of proces uitsluitend de minimaal benodigde toegangsrechten mag hebben om de eigen taak uit te voeren, niet meer en niet minder. Volgens het Verizon DBIR 2024 is privilege-misbruik betrokken bij meer dan 40% van alle beveiligingsincidenten, wat least privilege tot een van de meest fundamentele beveiligingsprincipes maakt.
Hoe werkt least privilege?
Least privilege beperkt het aanvalsoppervlak door de rechten van elk account, elke applicatie en elk proces tot het absolute minimum te beperken. Als een account met beperkte rechten wordt gecompromitteerd, kan de aanvaller veel minder schade aanrichten dan bij een account met brede rechten. Het principe geldt op alle niveaus: gebruikersaccounts, serviceaccounts, applicatierechten, API-permissies, databasetoegang en netwerkregels.
Implementatie van least privilege
Role-Based Access Control (RBAC) kent rechten toe op basis van functies en rollen in de organisatie. Just-in-time (JIT) access verleent tijdgebonden rechten die automatisch worden ingetrokken. Just-enough-access (JEA) beperkt rechten tot het minimum voor de specifieke taak. Regelmatige access reviews evalueren of toegangsrechten nog actueel en nodig zijn. Automatische onboarding en offboarding zorgt dat rechten worden ingetrokken bij functiewijziging of vertrek.
Impact voor organisaties
Overmatige rechten zijn een van de grootste interne risico's. Ex-medewerkers met niet-ingetrokken accounts, serviceaccounts met beheerdersrechten en gebruikers met meer rechten dan nodig bieden aanvallers eenvoudige escalatiepaden. NIS2 vereist adequate toegangscontrole. ISO 27001 stelt uitgebreide eisen aan het principe van least privilege. PCI DSS verplicht need-to-know-toegang tot betaalkaartdata. Zero Trust-architectuur is onmogelijk zonder consistent toegepast least privilege.
Bescherming
Audit alle bestaande rechten en elimineer overbodige privileges. Implementeer RBAC gekoppeld aan HR-systemen. Pas JIT/JEA toe voor beheerderstoegang. Monitor alle rechtenwijzigingen. Voer kwartaallijkse access reviews uit.
Hoe DEFION helpt
DEFION test de implementatie van least privilege als onderdeel van pentests en Security Assessments. Het team identificeert overmatige rechten en escalatiepaden.