Wondershare EdrawMind
マインドマップギャラリー CISSP 学習ノート-14 (アクセスの制御と監視)
- 15
CISSP 学習ノート-14 (アクセスの制御と監視)
これは、CISSP 学習ノート-14 (アクセスの制御と監視) に関するマインド マップです。主な内容には、復習問題、試験のキー ポイント、知識ポイントが含まれます。
2024-03-08 10:42:16 に編集されました
- おすすめ
- アウトライン
CISSP 学習ノート-14 (アクセスの制御と監視)
知識のポイント
アクセス制御モデルの比較
権限、権利、特権を比較する
権限
オブジェクトへのアクセス権
右
データのバックアップや復元など、オブジェクトに対してアクションを実行する機能
少しの違い
特権
権利と許可の組み合わせ
認可メカニズムを理解する
暗黙の拒否
デフォルトで拒否する
アクセス制御マトリックス
サブジェクト、オブジェクト、および権限を含むリスト
能力表
サブジェクトが権限を割り当てる方法、サブジェクトに焦点を当て、ACL はオブジェクトに焦点を当てる
制約インターフェース
コンテンツベースの制御
データベース
コンテキストベースの制御
購入が完了していない場合、電子書籍コンテンツを閲覧することはできません。
知っておく必要があります
最低限の特権
知っておくべきこと - アクセス許可、最小限の特権 - 操作を実行する権利
職務の分離
セキュリティポリシーを使用して要件を定義する
セキュリティ ポリシーは、セキュリティ要件を満たす方法やポリシーを実装する方法を説明するものではありません。セキュリティ ポリシーはセキュリティ要件のガイドとして使用されます。
アクセス制御モデルの紹介
任意アクセス制御DAC
オブジェクトには所有者があり、所有者は他のサブジェクトによるオブジェクトへのアクセスを許可または拒否します。Microsoft の NTFS は DAC を使用します。
データ管理者に権限を委任する機能
ID ベースのアクセスはサブセットです
ACL コントロール オブジェクト、win は
ロールベースのアクセス制御 RBAC
サブジェクトをロールに配置し、Win に権限を割り当てます。
グループ役割
人事異動が頻繁にある環境での権限のクリープを防止
違いは TBAC (プロジェクトなどのタスクベースのアクセス制御) です。
ルールベースのアクセス制御
グローバルルール
ファイアウォール
属性ベースのアクセス制御ABAC
SDN は ABAC を使用します
たとえば、モバイル デバイスを使用するユーザーに、一定期間デバイスへのログインを許可します。
強力なアクセス制御MAC
ラベル、グリッド
サブジェクトとオブジェクトの両方がラベルで表されます
サブジェクトの合成にはラベルの取得が必要であり、ラベルに従って、同じラベルにアクセスできるオブジェクトを取得できます。
隔離エリアの強化は必要に応じて通知されます
環境分類
階層化された環境
高は低にアクセスできますが、高にアクセスすることはできません。
パーティション環境
ドメイン、分離、サブジェクトには別のドメインへのアクセス許可が必要です
混合環境
MAC は DAC よりも安全ですが、柔軟性と拡張性が劣ります。
リスクベースのアクセス制御
機械学習を使用して過去のアクティビティに基づいて予測を行う
モバイル機器
多要素認証
自由裁量権のないアクセス
認証システムの導入
インターネット上での SSO の実装
XML
SAML
XMLベースでブラウザアクセスをサポートするSSOを提供
OAuth
オープンスタンダード
2.0 は 1.0 と互換性がありません
承認のみを提供します
OpenID
オープンスタンダード
OIDC
OAuth2.0認証フレームワークの使用
ID 認証と認可を同時に提供します
SAML、OAuth、OpenID、OIDC を比較する
SAML
認証、認可、属性情報を提供する
プリンシパル、サービス プロバイダー、アイデンティティ プロバイダーの 3 つのエンティティを使用します。
OAuth
認証プロトコルではなく、認可フレームワーク
APIを使用する
トークン
OpenID
ID認証規格
OpenID Foundation によって保守されています
OIDC
ID 認証と認可を提供する
OpenID 上に構築されていますが、JSON Web トークンを使用しています
内部ネットワークに SSO を実装する
AAA協定
ケルベロス
キー配布センター
ID認証サーバー
チケット
チケット交付チケット
本体
分野
半径
TACACS
アクセス制御攻撃を理解する
一般的なアクセス制御攻撃
認証情報を盗む
認証メカニズムをバイパスする
権限昇格
su および sudo コマンドの使用
sudo コマンドの使用を最小限に抑える
パスワード攻撃
辞書攻撃
ブルートフォース攻撃
ジェット攻撃
アカウントのロックアウトを回避するための特別なブルート フォース攻撃
クレデンシャルスタッフィング攻撃
1 つの Web サイトを攻撃してユーザー名とパスワードをダウンロードし、その後、他の Web サイトにある同じ人のアカウントを攻撃します。
誕生日の攻撃
レインボーテーブルアタック
塩
ブラックペッパー
ミミカッツ
パスワード、ハッシュ、チケット、秘密鍵を取得する
ハッシュ攻撃をパスする
NTLM または Kerberos を使用する Windows システムは攻撃に対して最も脆弱です
Kerberos エクスプロイト攻撃
パス・ザ・ハッシュ攻撃
チケットの配送
lsass.exe プロセスでチケットを取得する
銀の証明書
サービス アカウントの NTLM ハッシュ値をインターセプトしてチケットを作成します
グラントサービス TGSチケット、非TGT
ゴールデンチケット
TGTハッシュ値を取得後、自由にチケットを作成可能
ケルベロスブルートフォース攻撃
ASREロースト
Kerberos 事前認証が有効になっていません
ケルベロスティング
Kerberos 事前認証が有効になっていません
暗号化されたTGSチケットを収集する
スニッフィング攻撃
スプーフィング攻撃
コアの保護方法
試験のポイント
役割ベースのアクセス制御 (RBAC) モデルの教育概念を理解します。 RBAC モデルはタスクベースのロールを使用し、管理者がユーザー アカウントをロールまたはグループに割り当てると、ユーザーは権限を取得します。ユーザーがロールから削除されると、ユーザーがロールのメンバーシップを通じて取得した権限が取り消されます。
随意アクセス制御 DAC モデルの中核となる概念を理解します。ルールベースのアクセス制御モデルでは、グループ ルール、制限、またはフィルターを使用してアクセスを決定します。ファイアウォールのアクセス制御リストは、アクセスを許可およびブロックするルールのリストを定義します。
ロールベースのアクセス制御 RBAC モデルの中核となる概念を理解します。 RBAC モデルでは、タスクベースのロールを使用します。管理者がユーザー アカウントをロールまたはグループに割り当てると、ユーザーは権限を取得します。ロールからユーザーを削除すると、ユーザーがロールのメンバーシップを通じて取得した権限が取り消されます。
ルールベースのアクセス制御モデルの中核となる概念を理解します。ルールベースのアクセス制御モデルでは、一連のルール、制限、またはフィルターを使用してアクセスを決定します。ファイアウォールのアクセス制御リストは、アクセスを許可し、アクセスを整理するルールのリストを定義します。
インターネットで使用されるシングル サインオン方法について説明します。シングル サインオン (SSO) は、サブジェクトが一度認証されると、再度認証することなく複数のオブジェクトにアクセスできるようにするメカニズムです。 Security Assertion Markup Language (SAML) は、認証および認可情報を交換するための XML ベースのオープン標準です。 OAuth 2.0 は、RFC 6749 で説明されている承認フレームワークであり、多くのオンライン Web サイトでサポートされています。 OASIS は OpeniD と OpenID (ComecOIDC) を維持し、ID 認証を提供します。 OIDC は OAutb フレームワークを使用し、OpenID 標準に基づいて認証と認可を提供します。
Ding は、属性ベースのアクセス制御 (ABAC) モデルの中核となる概念について説明します。 ABAC モデルは、属性ベースのルールを使用した、ルールベースのアクセス制御モデルの高度な実装です。ソフトウェア定義ネットワーキング (SDN) では、多くの場合、ABAC モデルが採用されます。
強制アクセス制御 (MAC) モデルの中核となる概念を理解します。 MAC モデルは、ラベルを使用してセキュリティ ドメインを識別します。オブジェクトにアクセスするには、サブジェクトに一致するタグが必要です。 MAC モデルは、知る必要がある原則を強制し、階層化された環境、パーティション化された環境、またはその 2 つを組み合わせたハイブリッド環境をサポートします。 MAC モデルは、格子ベースのモデルと呼ばれることがよくあります。
リスクベースのアクセス制御モデルの中核となる概念を理解します。リスクベースのアクセス制御モデルは、環境とシナリオを評価し、ソフトウェアベースのセキュリティ ポリシーに基づいて意思決定を行います。このモデルでは、IP アドレスに基づくユーザーの位置、ユーザーが多要素認証を使用してログインしたかどうか、ユーザーが使用しているデバイスなど、さまざまな要素に基づいてアクセスを制御できます。その高度な実装では、機械学習を使用してリスクを評価できます。
ケルベロスについて学びましょう。 Kerberos は、組織で最も一般的に使用されるシングル サインオン方法です。 Kerberos の主な目的は ID 認証です。Kerberos は対称暗号化とチケット ウォーターを使用して ID を証明し、ID 認証を提供します。サーバーとネットワーク タイム プロトコル (ANTP) サービスは時間的に同期され、ネットワーク内のすべてのクライアントも時間的に同期されます。
AAA 契約の目的を理解します。一部の AAA プロトコルは、一元化された認証、認可、およびアカウンティング サービスを提供します。ネットワーク アクセス (またはリモート アクセス) システムは AAA プロトコルを使用します。たとえば、ネットワーク アクセス サーバーは RADIUS サーバーのクライアントであり、RADIU のサーバーは AAA サービスを提供します。 RADIUS は UDP プロトコルを使用し、パスワードのみを暗号化します。 TACACS は TCP プロトコルを使用し、セッション全体を暗号化します。 Diameter は RADIUS に基づいており、RADIUS の欠点の多くを改善していますが、Diameter は RADIUS と互換性がありません。
権限昇格について学びます。攻撃者は単一システムを侵害した後、特権昇格技術を使用して追加の特権を取得します。攻撃者は多くの場合、まず侵害されたシステム上で追加の権限を取得しようとします。その後、攻撃者はネットワーク上の他のシステムにアクセスし、より高い権限を取得しようとする可能性もあります。 sudo アカウントの使用を最小限に抑えるなど、サブサービス アカウントの権限を制限すると、一部の権限昇格攻撃の成功率が低下する可能性があります。
pass-the-hash 攻撃について学びます。 pass-the-hash 攻撃では、攻撃者が (ユーザーのパスワードの代わりに) キャプチャしたユーザーのパスワードのハッシュを利用して、ユーザーになりすますことができます。通常、Pass-the-hash 攻撃は NTLM の脆弱性を悪用しますが、攻撃者は Kerberos などの他のプロトコルに対して同様の攻撃を開始することもできます。
Kerberos エクスプロイト攻撃について学びます。 Kerberos 攻撃は、Kerberos チケットの脆弱性を悪用しようとします。一部の攻撃では、攻撃者は lsas.exe プロセスに保存されたチケットを取得し、パス ザ チケット攻撃を開始します。シルバー チケットは、攻撃者のサービス アカウントにすべてのアクセス許可を付与します。 Kerberos サービス アカウント (KRBTGT) のパスワード ハッシュを取得すると、攻撃者はゴールデン チケットを作成することができ、それによって Active Directory 内に任意のチケットが作成されます。
ブルート フォース攻撃と辞書攻撃がどのように機能するかを学びます。盗まれたパスワード データベース ファイルやシステム ログイン プロンプトをターゲットにしてパスワードを取得するブルート フォース攻撃やコード攻撃。ブルート フォース攻撃では、攻撃者はキーボード文字の考えられるすべての組み合わせを追跡しますが、辞書攻撃では、考えられるパスワードの事前定義されたリストが使用されます。アカウント ロックアウト制御は、オンライン攻撃から効果的に保護します。
Salt and Pepper がパスワード攻撃を防ぐ仕組みを学びましょう。ソルティングは、パスワードをハッシュする前に追加ビットを追加することで、レインボー テーブル攻撃から保護するのに役立ちます。 Argon2、borypt、パスワードベースのキー導出関数 2PBKDF2 などの一部のアルゴリズムは、ソルトを追加してハッシュ アルゴリズムを数回繰り返し実行します。ソルトはパスワード ハッシュと同じデータベースに保存されます。ペッパーは、ハッシュ化されたパスワードのセキュリティをさらに強化する非常に大きな定数で、ハッシュ化されたパスワードのデータベースの外部のどこかに保存されます。
スニッフィング攻撃について学びます。スニッフィング攻撃 (またはスヌーピング攻撃) では、攻撃者はパケット キャプチャ ツール (スニファやプロトコル アナライザなど) を使用して、ネットワーク上に送信されたデータをキャプチャ、分析、読み取ります。攻撃者はネットワーク上で平文で送信されたデータを簡単に読み取ることができますが、送信データを暗号化することでそのような攻撃から保護できます。
スプーフィング攻撃について学びます。スプーフィングとは、他の何かまたは誰かになりすますことであり、アクセス制御攻撃を含むさまざまな種類の攻撃に適用できます。攻撃者は多くの場合、ユーザーの資格情報を取得してユーザーの身元を偽ろうとします。スプーフィング攻撃には、電子メール スプーフィング、電話番号スプーフィング、IP スプーフィングが含まれます。フィッシング攻撃の多くは欺瞞手法を使用します。
レビュー質問
1 暗黙的な拒否原理を最もよく説明しているのは次のうちどれですか? A. 明示的に拒否されていないすべての操作を許可します。 B. 明示的に許可されていない行為はすべて禁止されています。 C. すべてのアクションは明示的に拒否する必要があります。 D. 上記のどれでもない。
B
2. テーブルには複数のオブジェクトとサブジェクトが含まれており、さまざまなオブジェクトに対する各サブジェクトの特定のアクセス権が識別されます。この形 それは何ですか? A. アクセス制御リスト B. アクセス制御マトリックス C. アライアンス D. 特権のクリープ
B
3 あなたはアクセス制御モデルを詳しく調べており、オブジェクト所有者が他のユーザーに権限を付与できるモデルを実装したいと考えています。この要件を満たすアクセス制御モデルは次のうちどれですか? A. 必須アクセス制御 (MAC) モデル B. 随意アクセス制御 (DAC) モデル C.ロールベースのアクセス制御 (RBAC) モデル D. ルールベースのアクセス制御モデル
B
4.次のアクセス制御モデルのうち、データ所有者がアクセス許可を変更できるのはどれですか? A. 随意アクセス制御 (DAC) B. 強制アクセス制御 (MAC) C.ルールベースのアクセス制御 D. リスクベースのアクセス制御
あ
5. 集中認証権限は、組織の階層に基づいてユーザーがアクセスできるファイルを決定します。次のうち最も一致しているのはどれですか この時点で? A. DACモデル B. アクセス制御リスト (ACL) C. ルールベースのアクセス制御モデル D. RBAC モデル
D
6. RBAC モデルに関する次の記述のうち、正しいものはどれですか? A. RBAC モデルでは、ユーザーが複数のグループのメンバーになることができます。 B. RBAC モデルでは、ユーザーが単一グループのメンバーになることができます。 C. RBAC モデルは階層的ではありません。 D.RBAC モデルはラベルを使用します。
あ
7. さまざまなアクセス制御モデルを詳しく調べています。ルールベースのアクセス制御モデルを最もよく説明しているものは次のうちどれですか? A. ユーザーに個別に適用されるローカル ルールを使用します。 B. ユーザーに個別に適用されるグローバル ルールを使用します。 C. すべてのユーザーに平等に適用されるローカル ルールを使用する。 D. すべてのユーザーに平等に適用されるグローバル ルールを使用します。
D
8. あなたの組織は、データセンターに Software-Defined Networking (SDN) を導入することを検討しています。 SDN で一般的に使用されるアクセス制御モデルは何ですか? A. 必須アクセス制御 (MAC) モデル B. 属性ベースのアクセス制御 (ABAC) モデル C. ロールベースのアクセス制御 (RBAC) モデル D. 随意アクセス制御 (DAC) モデル
B
9 MAC モデルはさまざまなタイプの環境をサポートします。特定のタグについて、事前定義されたタグを割り当てることでユーザー アクセスをサポートするものは次のうちどれですか? A.パーティション環境 B. 階層化された環境 C. 一元化された環境 D.混合環境
B 階層環境では、さまざまな分類ラベルが、低セキュリティから高セキュリティまで順序付けられた構造で割り当てられます。 Mandatory Access Control (MAC) モデルは、階層化、パーティション化、ハイブリッドの 3 つの環境をサポートします。パーティション化された環境ではレベルは無視され、レベルの単一の隔離された領域へのアクセスのみが許可されます。ハイブリッド環境は、階層化された環境とパーティション化された環境を組み合わせたものです。 MAC モデルは集中環境を使用しません。
10. 次のアクセス制御モデルのうち、タグを持つ被験者のアクセス制限の上限と下限を特定するものはどれですか? A. 非任意アクセス制御 B. 強制アクセス制御 (MAC) C. 随意アクセス制御 (DAC) D. 属性ベースのアクセス制御 (ABAC)
B MAC モデルはラベルを使用して分類レベルの上限と下限を識別します
11.次のアクセス制御モデルのうち、タグを使用し、ラティスベースのモデルと呼ばれるものはどれですか? A.DAC B. 非自律的 C.MAC D.RBAC
C
12. 管理者は、ユーザーがクラウド リソースにアクセスするときに多要素認証を使用することを期待しています。この要件を満たすアクセス制御モデルは次のうちどれですか? A. リスクベースのアクセス制御 B. 強制アクセス制御 (MAC) C. ロールベースのアクセス制御 (RBAC) D. 随意アクセス制御 (DAC)
あ リスクベースのアクセス制御モデルでは、要素認証を使用した認証をユーザーに要求することができます。質問にリストされている他のアクセス プル モデルは、ユーザーのログイン方法を評価できません。
13.環境とコンテキストに基づいてアクセス権を決定するアクセス制御モデルは次のどれですか? A. リスクベースのアクセス制御 B. 強制アクセス制御 (MAC) C. ロールベースのアクセス制御 (RBAC) D. 属性ベースのアクセス制御 (ABAC)
あ
14. クラウド サービス プロバイダーは、JSON Web トークンを使用して SSO テクノロジーを実装しました。トークンは認証情報を提供し、ユーザー プロファイルが含まれます。このテクノロジーを最も適切に識別できるものは次のうちどれですか? A. OIDC B.OAuth C. SAML D.OpenID
あ
15. ネットワーク上の一部のユーザーは、Kerberos サーバーでの認証で問題が発生しています。トラブルシューティング中に、通常の職場コンピューターにログインできることを確認します。ただし、自分の資格情報を使用してユーザーのコンピュータにログインすることはできません。この問題を解決できる可能性が最も高いのは次のうちどれですか? A. 高度暗号化標準 (AES) B. ネットワーク アクセス コントロール (VAC) C.セキュリティ アサーション マークアップ言語 (SAML) D.ネットワークタイムプロトコル(NTP)
D 外部 NTP サーバーと時刻同期するように中央コンピューターを構成し、他のすべてのシステムを NTP は時刻の同期を維持し、問題を解決するため、最良の選択です。 Kerberos では、コンピュータ間の距離が 5 分以内であることが必要ですが、このシナリオと利用可能なオプションは、ユーザーのコンピュータが Kerberos サーバーと同期していないことを示しています。 Kerberos は AES 暗号化を使用します。ただし、ユーザーはコンピュータに正常にログインしたため、Kerberos が動作しており、AES がインストールされていることを示しています。 NAC は、ユーザーが認証された後にシステムの健全性をチェックします。 NAC はユーザーのログインを妨げません。一部のフェデレーション ID 管理システムは SAML を使用しますが、Kerberos は SAML を必要としません。
16 あなたの組織には、数千人の従業員をサポートする大規模なネットワークがあり、Kerberos を使用しています。主な用途は次のうちどれですか? A.機密保持 B. 完全性 C. ID認証 D.説明責任
C
17. RADIUS アーキテクチャにおけるネットワーク アクセス サーバーの役割は何ですか? A. 認証サーバー B. クライアント C.AAAサーバー D. ファイアウォール
B ネットワーク アクセス サーバーは、RADIUS アーキテクチャのクライアントです。 RADTUS サーバーは、ID 認証、認可、およびアカウンティング (AAA) サービスを提供する ID 認証サーバーです。ネットワーク アクセス サーバーではホスト ファイアウォールが有効になっている場合がありますが、これはその主要な機能ではありません。
18. ラリーは Linux サーバーを管理しています。 Lary は、root レベルの権限でコマンドを実行する必要がある場合があります。攻撃者が Larry のアカウントを侵害した場合、管理者は攻撃者が root レベルの権限でコマンドを実行できないようにしたいと考えています。最良の選択肢は次のうちどれですか? A. Larry sudo にアクセス権を付与します。 B. Larry に root パスワードを与えます。 C. Larry のアカウントを管理者グループに追加します。 D. Larry のアカウントを LocalSystem アカウントに追加します。
B
19. 攻撃者はツールを使用して NTLM の脆弱性を悪用します。これらは管理者のアカウントを識別します。管理者のパスワードは取得できませんでしたが、攻撃者は管理者になりすましてリモート システムにアクセスしました。この攻撃を最もよく説明しているのは次のうちどれですか? A. チケットの配送 B. ゴールデンチケット C.レインボーテーブル D. ハッシュパス
D NTLM は pass-the-hash 攻撃に対して脆弱であることが知られており、これはこのフィールドで最もよく説明されます。 Kerberos 攻撃は、パス ザ チケット攻撃やゴールデン チケット攻撃など、チケットの操作を試みますが、これらは NTLM 攻撃ではありません。 レインボー テーブル攻撃は、オフライン ブルート フォース攻撃でレインボー テーブルを使用します。
20. あなたの組織のサービスは最近、大規模なデータ侵害に見舞われました。調査の結果、セキュリティ アナリストは、攻撃者がゴールデン チケットを使用してネットワーク リソースにアクセスしていることを発見しました。攻撃者はどのアイテムの脆弱性を悪用しましたか? A. 半径 B.SAML C.ケルベロス D.OIDC
C