特权蠕变（Privilege Creep）＆ 自由访问控制（DAC）

范围蠕变和特权蠕变
在项目管理中，范围爬行意味着“未经授权且不受控制地增加了项目范围。” （ISO / TR 21506：2018）在安全性方面，特权爬取意味着未经授权和不受控制地增加了用户的特权。
换句话说，特权蠕变是由不良做法导致的，例如授予特权（授权）不符合“需要了解和最小特权”的原则以及变更管理的过程。

以下是一些可能导致特权蠕变的示例：

1. 员工多年来轮换职位，其角色或特权未及时更新。相反，它们是累积的，最终违反了需要了解和最小特权原则。
2. 在某些情况下，授予特权时无需进行审核或批准，也不会遵循变更管理过程。
3. 在极少数情况下，授予特权可能有意或无意地出错。
   特权蠕变通常是由於违反原则，程序或过程造成的。诸如需要了解，最低特权，培训和变更管理之类的管理控制可防止特权蔓延。

自由访问控制（Discretionary Access Control ：DAC）
但是，由於技术解决方案是由人们使用和操作的，因此，作为一种特权控制源的自由访问控制（DAC）可能使您感到惊讶。
DAC功能可将特权从一个人传递给另一个人。如果数据所有者授权您向其他人授予特权，则可以肯定地这样做。具有您授予的相同特权级别的人也可以这样做。这容易导致特权蠕变。
那些有权授予特权或负责在基於DAC的系统中实现授权的人，应遵循需要了解和最小特权原则以及更改管理过程，以防止特权蔓延。

参考
. 流氓接入点
. 邪恶双胞胎（无线网络）

资料来源： Wentz Wu QOTD-20201112