Wondershare EdrawMind
Galeria de mapas mentais Notas de estudo do CISSP - Domínio 5 (Gerenciamento de acesso de identidade)
- 8
Notas de estudo do CISSP - Domínio 5 (Gerenciamento de acesso de identidade)
Este é um mapa mental sobre notas de estudo do CISSP - Domínio 5 (Gerenciamento de Acesso à Identidade). O conteúdo principal inclui: questões de revisão e pontos de conhecimento.
Editado em 2024-04-02 12:32:49
- moléculas que compõem as células
A segunda unidade do Curso Obrigatório de Biologia resumiu e organizou os pontos de conhecimento, abrangendo todos os conteúdos básicos, o que é muito conveniente para todos aprenderem. Adequado para revisão e visualização de exames para melhorar a eficiência do aprendizado. Apresse-se e colete-o para aprender juntos!
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 16 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Extração e corrosão de mim. O conteúdo principal inclui: Corrosão de metais, Extração de metais e a série de reatividade.
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 15 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Reatividade de metais. O conteúdo principal inclui: Reações de deslocamento de metais, A série de reatividade de metais.
Notas de estudo do CISSP - Domínio 5 (Gerenciamento de acesso de identidade)
- moléculas que compõem as células
A segunda unidade do Curso Obrigatório de Biologia resumiu e organizou os pontos de conhecimento, abrangendo todos os conteúdos básicos, o que é muito conveniente para todos aprenderem. Adequado para revisão e visualização de exames para melhorar a eficiência do aprendizado. Apresse-se e colete-o para aprender juntos!
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 16 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Extração e corrosão de mim. O conteúdo principal inclui: Corrosão de metais, Extração de metais e a série de reatividade.
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 15 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Reatividade de metais. O conteúdo principal inclui: Reações de deslocamento de metais, A série de reatividade de metais.
- Recomendado para você
- Descrição
Modelo de habilidades para responder a perguntas de geografia no exame de admissão à faculdade
- 7
Exame de admissão à faculdade Técnicas de resposta a perguntas de aplicação em língua chinesa
- 4
![Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717236196/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]
- 9
- 1
- 1
![Discos de ruptura para instalações de segurança [Resumo das Normas]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717237017/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Notas de estudo do CISSP - Domínio 5 (Gerenciamento de acesso de identidade)
Pontos de conhecimento
5.1. Controlar o acesso físico e lógico aos ativos
5.1.1.
5.1.1.1 Visão geral do gerenciamento de identidade e acesso
A gestão de identidades e acessos (IAM ou IDAM) é a base da segurança da informação, com foco na identificação e autenticação de entidades que solicitam acesso a recursos e na garantia de um comportamento responsável. Uma entidade pode ser um usuário, sistema, aplicativo ou processo.
O IAM consiste em quatro elementos básicos: Identificação, Autenticação, Autorização e Auditoria (IAAAA)
5.1.1.2 Controle de acesso lógico e físico
1 Controle de acesso físico: incluindo portas, cortinas, cercas, etc., para controlar o acesso físico ao edifício.
2 Controle de acesso lógico: envolve senhas, códigos PIN ou chaves simétricas compartilhadas, etc., utilizadas para acessar o sistema.
3. Estratégia de controle: É necessário compreender os ativos e as prioridades de acesso da organização, adotar fortes controles de acesso físico para ativos físicos valiosos e requisitos de confidencialidade, e adotar controles lógicos para sistemas de informação com requisitos rígidos de integridade de dados.
5.1.1.3 Definição de controle de acesso
•Objeto:
A entidade que o sujeito está tentando acessar, como um arquivo, aplicativo, instalação ou banco de dados. Os objetos precisam atender aos requisitos de confidencialidade, integridade, disponibilidade, não repúdio e autenticidade (CIANA).
•Corpo Principal:
Podem ser usuários humanos ou entidades não humanas, como sistemas, programas e dispositivos. Um sujeito precisa de acesso a um objeto e o controle de acesso define como esse acesso é concedido, usado e monitorado.
•acesso:
As operações que o sujeito pode realizar no objeto.
5.1.1.4 Informações
As informações (incluindo dados brutos) podem ocorrer em sistemas, dispositivos, mídias de armazenamento, aplicativos, etc., onde podem ser transmitidas, armazenadas ou processadas.
Informações diferentes requerem tipos ou níveis de proteção diferentes. As necessidades de proteção devem ser avaliadas com base no ciclo de vida da informação e devem ser tomadas medidas correspondentes.
5.1.2.
5.1.2.1 Definição de sistema
Um sistema é qualquer coleção de hardware, software, pessoas, políticas, procedimentos e outros recursos comumente usados no CISSP para discutir sistemas eletrônicos de informação.
5.1.2.2 Implementação de controle de acesso ao sistema CIANA
•Confidencialidade: A segurança das informações no sistema precisa ser garantida para evitar acessos não autorizados. Controles de acesso físico, como cofres trancados, e controles de acesso lógico, como criptografia completa de disco (FDE).
•Integridade: Impedir que usuários não autorizados modifiquem informações através do controle de acesso.
•Disponibilidade: Por exemplo, gabinetes de servidores bloqueados evitam que usuários não autorizados desliguem o sistema de forma maliciosa ou acidental.
· Autenticidade: Use autenticação no IAM para provar que crenças, comandos ou outras informações no sistema são confiáveis. Depois de provar a identidade com sucesso, a credibilidade do sujeito ou as evidências que ele fornece podem ser avaliadas.
•Não repúdio: Depende da capacidade do sistema IAM de identificar e autenticar de forma exclusiva os principais, bem como registros de ações do sistema e informações de identificação.
5.1.2.3 IAM centralizado
A gestão centralizada do IAM possui uma função de controle de acesso dedicada (como uma equipe ou um departamento específico) responsável por gerenciar todos os controles de acesso, proporcionando os benefícios de uma supervisão e monitoramento rigorosos. A desvantagem é que pode haver um único ponto de falha.
5.1.2.4 IAM Distribuído
O gerenciamento descentralizado de IAM descentraliza a funcionalidade, muitas vezes atribuindo decisões de controle de acesso aos proprietários do sistema ou das informações. Isto proporciona maior liberdade e flexibilidade, mas tem a desvantagem de uma aplicação inconsistente e da falta de supervisão unificada.
5.1.3.
Alguns dispositivos podem exigir medidas de segurança exclusivas para evitar roubo ou danos. Isso inclui bloqueios de tela, limpeza remota, separação de aplicativos e informações (containerização) e várias outras medidas físicas e lógicas.
O objetivo do dispositivo IAM é proteger endpoints, limitar o acesso a dispositivos não seguros e garantir que apenas usuários autorizados tenham acesso.
5.1.4. Instalações
5.1.4.1 Sistema de Controle de Acesso Físico (PACSS)
Os sistemas de controle de acesso físico incluem instalações que implementam segurança física, como portões, cercas, catracas, crachás de segurança e guardas.
Além disso, estão incluídos os procedimentos administrativos necessários para operar esses controles, tais como: horários de vigilância dos guardas, requisitos de crachás, procedimentos do cais de carga e registro e escolta de visitantes.
Precauções:
•Situações de emergência também devem ser consideradas ao projetar o PACSS, já que a vida humana é a principal preocupação.
•Provedores de serviços em nuvem (CSPs) e smartphones de propriedade pessoal tornaram-se novos ativos que muitas organizações precisam proteger
•A complexidade dos controles selecionados deve ser proporcional ao valor dos ativos protegidos.
5.1.4.2 Elementos do sistema de controle de acesso físico
1. Identificação do usuário e do dispositivo
As pessoas são normalmente identificadas por cartões de identificação, adesivos ou crachás, e os itens podem ser identificados usando etiquetas RFID, códigos de barras ou códigos de resposta rápida (QR).
2. Cercas e portões
As cercas impedem a entrada indesejada e direcionam as pessoas para pontos de entrada controlados. O portão oferece a capacidade de implementar verificações adicionais, como mostrar um crachá de identificação ou inserir uma senha, onde ocorre a identificação e autenticação.
3. Porta de segurança
Permita a entrada apenas quem apresentar credenciais apropriadas, como cartão inteligente, aplicativo de smartphone ou código PIN.
4. Fechaduras e chaves
5. Sensor de detecção de intrusão
Esses sensores são controles de detecção e podem detectar acesso não autorizado. Por exemplo, sensores infravermelhos, acústicos e de peso ou pressão podem detectar intrusos com base na temperatura corporal, no som de vidro quebrando ou no movimento do intruso.
6 portas giratórias ou portões duplos
Onde as catracas normalmente permitem a passagem de apenas uma pessoa por vez, os portões duplos exigem que os usuários apresentem um conjunto de credenciais para entrar em um espaço de vestíbulo seguro e, em seguida, exigem outro conjunto de credenciais para entrar no espaço principal a partir do vestíbulo.
7. Vigilância CCTV
8. Segurança
Os guardas são uma das formas mais úteis, flexíveis e caras de controle de acesso físico.
5.1.5.
1. Princípio do menor privilégio
O acesso às aplicações deve seguir o princípio do menor privilégio, garantindo acesso adequado e não excessivo com base no modelo de controle de acesso baseado em funções (RBAC).
2. Conheça o princípio do que você precisa (você pode saber o que precisa)
O acesso de uma aplicação a dados específicos deve seguir o princípio de saber o que ela precisa. Por exemplo, no gerenciamento de dispositivos móveis (MDM), a tecnologia de conteinerização pode impedir que aplicativos não autorizados acessem dados organizacionais por meio do isolamento lógico.
3 Granularidade de permissão de acesso
Os aplicativos geralmente fornecem vários níveis de acesso do usuário. A granularidade descreve o nível de acesso controlável. Os aplicativos de alta granularidade suportam a personalização do acesso de cada usuário a objetos específicos, enquanto os aplicativos de baixa granularidade permitem apenas permitir/negar acesso básico ao aplicativo e a todos os dados que ele contém. Granularidade insuficiente pode levar a vulnerabilidades de segurança.
5.2 Identificação e autenticação de pessoal, equipamentos e serviços de gestão.
5.2.1 Implementação de Gestão de Identidade (IdM).
Várias funções-chave de gerenciamento de identidade (IdM):
1. Criar: Estabeleça a identidade processando a solicitação, apoiando o processo de revisão e aprovação.
2. Remoção: Implemente o processo de exclusão de usuários para garantir a remoção oportuna de identidade e direitos de acesso.
3. Gerenciamento de identidade e contas: Fornece funções de gerenciamento de contas centralizadas ou descentralizadas para gerenciar com eficácia as identidades dos usuários.
4. Gestão de direitos de investimento: Após a criação da identidade, o IdM é responsável por atribuir direitos de acesso iniciais à identidade.
5. Revisão de identidade: Supervisione e revise as identidades dos usuários e os direitos de acesso para garantir a segurança e a conformidade.
5.2.2. Autenticação de fator único e multifator (MFA).
5.2.2.1 Fatores de autenticação de identidade
1. Três tipos principais de fatores de autenticação:
•O que você sabe (fator de conhecimento, tipo 1): Senhas, senhas ou respostas a perguntas de segurança, etc.
•O que você possui (fator de posse, tipo 2): celular, chave USB, cartão de acesso, etc.
•O que você é (fatores biométricos, tipo 3): impressão digital, leitura da íris, etc.
A autenticação de fator único usa um fator de autenticação e a autenticação multifator usa dois ou mais. O tipo 1 é o mais fraco e o tipo 3 é o mais forte, mas o tipo 3 também pode ser facilmente contornado. Portanto, a autenticação multifator é recomendada.
2 novos tipos de fatores de autenticação
Considere onde e como os usuários são autenticados. Como fazer login em um novo dispositivo ou em um local desconhecido, acionando um prompt de autenticação multifator (MFA).
5.2.2.2 O que você sabe (Tipo 1)
Vantagens: Simples de usar e fácil de implementar.
Desvantagens: fácil de esquecer e facilmente destruído por invasores.
1.Recomendações de política de senha mais recentes do NIST SP 800-63B:
Priorize a usabilidade em vez da complexidade: senhas complexas podem ser difíceis de lembrar, permitindo mais tentativas de entrada para compensar erros de digitação.
Aumente o comprimento em vez da complexidade: permita senhas mais longas (por exemplo, 1PassedTheCISspertifrcation) sem aumentar a complexidade (por exemplo, iP@ss3dTh3C1sSp). A primeira é mais fácil de ser lembrada pelos usuários, enquanto a última pode levar a mais bloqueios acidentais.
Menos alterações As senhas são mais difíceis de adivinhar ou decifrar, por isso as orientações atuais exigem que elas sejam alteradas apenas se tiverem sido comprometidas.
2. Sugestões gerais de senha:
•Comprimento da senha: não menos que 8 caracteres.
•Complexidade da senha: inclui letras maiúsculas, letras minúsculas, números e caracteres especiais.
•Vida útil da senha: altere as senhas regularmente.
•Armazenamento de código pirimida: armazenamento criptografado, armazenamento sem texto.
•Recuperação de senha: estratégias eficazes para lidar com esquecimentos e perdas.
•Verificação de senha: Verifique se ela já foi usada antes.
•Avaliação da força da senha: solicita aos usuários que escolham senhas mais fortes.
As organizações devem desenvolver suas próprias políticas de senha com base nos requisitos do setor e de conformidade.
5.2.2.3 O que você tem (Tipo 2)
Como certificados digitais, crachás de identidade ou cartões inteligentes, tokens de autenticação física e aplicativos autenticadores baseados em smartphones. Geralmente não é usado sozinho, pode ser compartilhado ou emprestado.
1. Certificado digital: certificado eletrônico que comprova a identidade e a chave pública do titular.
2. Crachá numérico ou cartão inteligente: com meio físico que identifica a identidade do usuário. Senha de entrada da máquina de cartão inteligente ou verificação de impressão digital
3. Token de autenticação física: um dispositivo físico que gera um código de autenticação único.
• Token de senha dinâmica sincronizada (TOTP): sincronize com o horário do servidor e gere senhas regularmente.
•Token de senha dinâmica assíncrona (HOTP): Aciona manualmente a aquisição de senhas dinâmicas, usando um nonce (um número de uso único) para garantir o uso único da senha. TOTP usa um padrão de senha única baseado em tempo. HOTP usa um padrão de senha de uso único baseado no algoritmo HMAC.
4. Aplicativo autenticador baseado em smartphone: Aplicativo móvel que gera códigos de autenticação únicos e verifica a identidade do usuário via smartphone.
5.2.2.4 O que você é (Tipo 3)
Fatores biométricos são usados para identificar ou verificar a identidade. Usado como segundo ou terceiro fator do MFA, muitas vezes não usado sozinho.
Métodos biométricos comuns:
•Reconhecimento de impressão digital: Digitalize sua impressão digital para desbloquear o dispositivo.
·Reconhecimento de retina: verifica padrões de vasos sanguíneos da retina, com alta precisão, difícil de decifrar e pode vazar informações de saúde (PHI) e questões de segurança.
•Reconhecimento de íris: Digitalize padrões de íris com alta precisão, permitindo reconhecimento de longa distância.
•Reconhecimento facial: Digitalize características faciais para desbloquear dispositivos e capturar criminosos.
•Reconhecimento de voz: Tecnologia de reconhecimento de voz para identificação de identidades.
•Reconhecimento de escrita: Digitalize traços de escrita para identificar sua identidade.
•Identificação do eletrocardiograma: Digitalize o eletrocardiograma para identificar a pessoa.
5.2.2.5 Erros comuns de controle de acesso
· Taxa de falsa rejeição (FRR): Erros tipo 1. A biometria válida não pode ser verificada e é usada em ambientes com altos requisitos de segurança.
Falso negativo, rejeitando o usuário correto
•Taxa de Falsa Aceitação (FAR): Erros tipo 2. Biometrias inválidas são identificadas erroneamente como identidades válidas e são usadas em ambientes com baixos requisitos de segurança.
Falso positivo, usuário errado permitido
•Taxa de erro de cruzamento (CER) é o ponto de intersecção de FRR e FAR e é usado como um valor de avaliação padrão. Comparando a precisão dos dispositivos biométricos, os dispositivos com CER mais baixo são mais precisos do que os dispositivos com CER mais alto.
5.2.2.6 Autenticação multifator (MFA)
Somente as senhas podem ser facilmente adivinhadas, apenas os tokens podem ser perdidos ou roubados e apenas a biometria pode causar falsos positivos. Usado em combinação para aumentar a força e a precisão.
5.2.3.
A responsabilização é um mecanismo que garante que os usuários ou programas assumam a responsabilidade pelas ações que executam e pelas decisões que tomam. A responsabilização eficaz requer identificação e documentação claras de quem (usuário ou programa) executou qual ação (comportamento). Isto requer fornecer a cada usuário ou programa uma identificação única e verificar a autenticidade de sua identidade.
5.2.4. Gerenciamento de sessões
O gerenciamento de sessões começa com a identificação e autenticação do usuário e termina com a desconexão da aplicação ou sistema. Proteger os dados e os dados trocados durante a sessão é fundamental. As sessões também precisam atender a requisitos de segurança, como limitar sua duração e ocorrer apenas entre hosts específicos.
1. Para obter um gerenciamento seguro de sessões, tome as seguintes medidas:
•Poderoso mecanismo de autenticação
• Chaves de sessão de alta resistência
•Excelentes algoritmos e mecanismos de criptografia
• Limitar o tempo limite da sessão
•Sessões inativas são desconectadas automaticamente
•Medidas de controle para detectar atividades anormais
2. Vulnerabilidades de segurança relacionadas à sessão:
•Sequestro de sessão: um invasor se faz passar por uma das partes da comunicação com o objetivo de obter ou adulterar informações.
• Sequestro no lado da sessão: usuários na mesma rede sequestram sessões por meio de detecção de pacotes, roubam informações de cookies de sessão e se fazem passar por usuários legítimos.
•Fixação de sessão: ataques contra aplicativos da Web que reutilizam IDs de sessão, em que um invasor usa um ID de sessão existente para enganar o navegador do usuário, fazendo-o autenticar e roubar credenciais.
3. Práticas de segurança de gerenciamento de sessões
•Orientação de melhores práticas de gerenciamento de sessões publicada pela OWASP: https://shorturl.ac/owasp_session.
sugestão:
•Use sequências de ID de sessão longas e complexas para evitar informações identificáveis óbvias.
-Defina atributos de segurança apropriados, como o atributo Secure, ao armazenar tokens de sessão em formato de cookie para forçar o uso de HTTPS.
•Siga as melhores práticas de desenvolvimento, evite incluir IDs de sessão em URLs, não compartilhe IDs de sessão e exclua imediatamente IDs de sessão desnecessários.
5.2.5. Registro, certificação e identificação.
O gerenciamento de identidade preocupa-se com a verificação das informações do usuário e a criação de contas ou credenciais de usuário para estabelecer a identidade. Ele precisa considerar a segurança do sistema e de seus dados, incluindo autenticidade, confidencialidade e integridade.
1. O Nível de Garantia de Identidade (IALS) do NIST é dividido em 3 níveis:
•IAL1 (identidade autocertificada)
O nível mais baixo exige que os usuários autocertifiquem sua identidade. Não há necessidade de associar um indivíduo a uma identidade verificada na vida real. Aplica-se a sistemas onde as consequências do mundo real não envolvem responsabilização.
•IAL2 (apresentar documentos de identidade e comprovantes):
Os usuários são obrigados a enviar documentos de identidade e certificados pessoalmente ou remotamente para autenticação de nome real. Frequentemente utilizado em cenários de emprego onde é necessário fornecer documentos de identidade válidos ao empregador.
•IAL3 (Comprovante de presença física e revisão formal):
O nível mais alto exige prova de identidade presencial com evidências confiáveis (como uma carteira de identidade emitida pelo governo) e revisão formal da identidade e documentação por funcionários treinados do CSP. A verificação pessoal aumenta a confiança.
2. O nível de garantia exigido depende dos requisitos de segurança do sistema e dos seus dados e da sensibilidade do trabalho do utilizador.
Por exemplo: Nas operações de companhias aéreas, pode haver diferentes requisitos de identificação para diferentes funcionários, dependendo da sensibilidade do trabalho. Os recepcionistas que fornecem orientação sobre a capacidade de passageiros têm menos impacto na vida, na saúde e na segurança e, portanto, requerem apenas mecânicos e pessoal de manutenção, podendo exigir um escrutínio mais rigoroso;
3. Depois que as informações de identidade forem enviadas, verificadas e verificadas em um nível apropriado, uma identidade poderá ser estabelecida para o usuário.
5.2.6 Gerenciamento de Identidade Federada (FIM)
O Federated Identity Management (FIM) reduz a sobrecarga administrativa e simplifica o gerenciamento de vários conjuntos de credenciais, compartilhando a autenticação do usuário e os direitos de acesso entre os sistemas participantes da federação. O FIM é semelhante ao logon único (sSO) e foi projetado para reduzir os custos de criação e gerenciamento de contas, fornecer aos usuários acesso fácil e fornecer benefícios de segurança. No entanto, os riscos apresentados pela federação também precisam de ser cuidadosamente avaliados. Se as práticas de segurança de uma organização na federação forem insuficientes, poderão causar riscos de segurança para outros sistemas em toda a federação.
5.2.7. Sistema de gerenciamento de credenciais (CMS)
Os sistemas de gerenciamento de credenciais permitem que as organizações gerenciem centralmente IDs de usuários e senhas. Esses sistemas estão disponíveis como produtos de software comercial e implantados localmente ou em ambiente de nuvem.
A principal responsabilidade de um CMS é criar contas para usuários e distribuir credenciais sob demanda em vários sistemas e sistemas centralizados de gerenciamento de identidade, como LDAP ou Microsoft Active Directory. Um sistema de gerenciamento de credenciais pode existir como um aplicativo independente ou ser um componente de um sistema IAM.
5.2.8.Logon único (SSO)
SSO é um método de autenticação que permite aos usuários acessar vários recursos com uma autenticação. As tecnologias que implementam o SSO incluem Kerberos e Windows Active Directory. A combinação do SSO com o gerenciamento de identidade federada permite que você aproveite provedores de identidade de terceiros para autenticar usuários em recursos como diversas organizações e sites.
Vantagens do SSO:
•Reduza a carga de gerenciamento de senhas de usuários e reduza o risco de senhas fracas.
• Detecte e responda rapidamente a comportamentos suspeitos.
Desvantagens do SSO:
•—Nada dá errado: quando uma conta SSO é comprometida, todos os aplicativos habilitados para SSO são afetados.
5.2.9. Gerenciamento de identidade e acesso just-in-time (JIT).
O controle de acesso just-in-time (JIT) impõe o princípio do menor privilégio, fornecendo acesso temporário a um aplicativo ou recurso durante a execução de uma tarefa específica.
Cenários comuns:
•Cofre de chaves: como elemento de gerenciamento de contas privilegiadas, um cofre central armazena credenciais de contas compartilhadas e escala privilégios dentro de um período específico.
·Criar contas temporariamente: crie contas temporárias dinamicamente com as permissões necessárias, conforme necessário, exclua-as automaticamente imediatamente após o uso;
·Elevação temporária de privilégios: A conta recebe privilégios elevados por um período limitado de tempo e é automaticamente excluída após o tempo ter decorrido.
5.3. Identidades federadas com serviços de terceiros.
5.3.1. Identidade como Serviço (IDaas)
IDaas é uma extensão da Identidade Federada (FIM) e é usado para atender às necessidades de colaboração de diferentes equipes, departamentos e organizações.
Muitas vezes, soluções federadas como SAML e OAuth são implementadas para atender às necessidades de IAM em sistemas internos e externos.
Principais riscos de IDaas de terceiros:
•Ponto único de falha: Se o IDaas falhar, os sistemas relacionados ficarão inutilizáveis.
•Perda de controle: O reconhecimento de identidade é a base do controle de acesso e sua terceirização acarreta riscos elevados. Se os dados de um provedor de IDaaS forem violados, as informações de gerenciamento de identidade e acesso de uma empresa poderão ser afetadas.
5.3.2. Dentro da empresa
A principal vantagem de uma solução de gerenciamento de identidade local (IdM) é o controle completo sobre o hardware e software usado no sistema IAM, como Lightweight Directory Access Protocol (LDAP) ou Microsoft Active Directory (AD) hospedado no escritório corporativo ou centro de dados).
5.3.3.Nuvem
1 Os serviços de identidade baseados em nuvem são fornecidos por terceiros como Identity as a Service (IDaas), que é responsável pela identificação, autorização e gerenciamento de acesso. Comumente usado em aplicativos Saas para provedores de serviços em nuvem usados por clientes dentro de uma organização, como Microsoft Office 365 e nuvem Azure integrados ao Active Directory.
As soluções 2Cloud podem exigir um Cloud Access Security Broker (CASB) para controlar e filtrar o acesso aos serviços em nuvem. CASB fornece serviços de controle de acesso, auditoria e prestação de contas.
3. Os serviços baseados em nuvem têm alta confiabilidade e disponibilidade porque o data center do provedor de serviços em nuvem tem múltiplas redundâncias. Os serviços baseados em nuvem podem reduzir significativamente os custos em comparação com os serviços locais, reduzindo a compra e manutenção de equipamentos e a necessidade de pessoal especializado.
5.3.4. Tipo misto
As soluções de serviços de identidade híbrida combinam soluções de gerenciamento de identidade locais e baseadas na nuvem. Um modelo híbrido oferece a melhor opção para as empresas manterem um certo grau de controle enquanto aproveitam os benefícios de uma abordagem baseada em nuvem, como elasticidade e economia.
Riscos mistos:
•Recursos suficientes são necessários para manter uma implementação dupla de IAM. Embora a migração para a nuvem possa reduzir os requisitos de manutenção interna, uma abordagem híbrida não elimina completamente essa necessidade.
•Uma abordagem híbrida traz os mesmos riscos que o IAM baseado em nuvem porque um terceiro gerencia a identidade.
•Se o IDaaS for comprometido, surgirão riscos adicionais porque os recursos internos dependem do IAM interno que é sincronizado com o provedor de IDaaS.
5.4. Implementar e gerenciar mecanismos de autorização
5.4.1 Compreender o mecanismo de autorização
5.4.1.1 Comparação de permissões, poderes e privilégios
•permissão
A nível técnico, os utilizadores têm direitos de acesso a recursos, tais como legíveis, legíveis e graváveis, executáveis, etc.
•certo
Direitos realistas, por exemplo, você tem o direito de visualizar os dados no banco de dados, desde que tenha permissão de leitura.
Comparado
•privilégio
A combinação de permissões e direitos é chamada de privilégio.
•Direito
Os direitos referem-se ao número de privilégios concedidos a um usuário, geralmente especificados quando uma conta é atribuída pela primeira vez.
5.4.1.2 Compreender o mecanismo de autorização
1Negação implícita (mecanismo de lista branca)
Os acessos que não estiverem na whitelist serão rejeitados. Por exemplo: Usuários não autenticados não podem acessar o site.
2. Tabela de habilidades (foco na habilidade do sujeito)
Considere o sujeito e determine os objetos aos quais o sujeito tem acesso e as operações que pode realizar. Por exemplo: Funcionários comuns podem acessar compartilhamentos de arquivos, mas não podem modificá-los.
3 Lista de controle de acesso (preste atenção ao status de acesso do objeto)
Considere o objeto e determine os usuários que podem acessá-lo e as operações que podem ser executadas. Por exemplo: arquivos privados só podem ser acessados por administradores.
4. Matriz de controle de acesso (composta por tabela de capacidades e lista de controle de acesso)
Combine tabelas de capacidade e listas de controle de acesso, como controle de acesso de firewall. Por exemplo: restringir o acesso ilegal através de firewalls.
5. Interface de restrição (restringir operações do usuário)
Limite as ações e visualizações do usuário. Por exemplo: o menu do sistema não pode ser modificado por usuários comuns.
6. Controle de conteúdo dependente (limitado pelo conteúdo do objeto)
Restrinja usuários com base no conteúdo. Por exemplo: restringir o acesso do usuário com base nas visualizações do banco de dados.
7. Controle dependente do contexto (baseado em ações do sujeito ou restrições de tempo)
Restrinja usuários com base nas ações ou no tempo do assunto. Por exemplo: serviços de arquivos só podem ser acessados durante o horário comercial
8. Saiba o que eles precisam (restringir o acesso dos sujeitos apenas ao que precisam para o trabalho)
Precisa saber
9. Privilégios mínimos (conceder aos sujeitos apenas as permissões necessárias para realizar seu trabalho)
10. Separação de funções (tarefas sensíveis são executadas por várias pessoas)
11. Defesa em profundidade (mecanismo de proteção multicamadas, incluindo controles físicos, técnicos e de gestão)
5.4.1.3 Definir requisitos usando políticas de segurança
A política de segurança de uma organização determina os requisitos de controle de acesso e orienta a implementação. Os sistemas e ambientes de informação modernos implementam frequentemente um modelo de controlo de acesso híbrido, incluindo firewalls baseados em regras, sistemas partilhados com controlo de acesso dinâmico e departamentos de recursos humanos que determinam controlos de acesso baseados em funções para funções de trabalho específicas e permissões associadas.
5.4.2. Controle de acesso baseado em regras (RUBAC)
O controle de acesso baseado em regras (RUBAC) é um método para determinar a autorização com base em uma lista predefinida de regras. Para evitar confusão com o controle de acesso baseado em funções, ele é frequentemente abreviado para RUBAC. Como uma lista de convidados em um banquete, aqueles que estão na lista podem entrar e outros são impedidos de entrar.
Em sistemas de informação, as listas de controle de acesso (ACLs) são frequentemente usadas para implementar RUBAC, como conjuntos de regras de firewall, para determinar quais endereços IP ou portas são permitidos ou bloqueados.
Existem duas abordagens para sistemas baseados em regras:
1. Permitido implicitamente: todo acesso é permitido por padrão. A menos que existam regras que proíbam especificamente o acesso. Por exemplo, uma loja está aberta a todos os membros do público, mas recusa certos clientes que roubam.
2. Negação implícita: apenas as pessoas na lista aprovada têm acesso permitido e outras são negadas por padrão. Às vezes chamada de negar tudo ou permitir com exceções, essa abordagem é uma prática recomendada de segurança básica porque reduz a chance de acesso não autorizado.
5.4.3. Controle de Acesso Baseado em Função (RBAC)
O controle de acesso baseado em funções (RBAC) é um método de controlar o acesso a recursos com base nas funções de usuário dentro de uma organização.
Vantagens do RBAC:
•Atribuir permissões com base na função do trabalho: o RBAC reduz o risco de pessoal não autorizado acessar informações confidenciais, atribuindo as permissões necessárias a cada função.
•Gerenciamento de permissões em nível de função: Os administradores podem gerenciar permissões em nível de função em vez de para cada usuário, simplificando assim o processo de gerenciamento de controle de acesso e melhorando a eficiência.
•Suporta auditoria e responsabilização: o RBAC registra uma trilha de auditoria de quem tem acesso a quais recursos e quando, permitindo a investigação de incidentes de segurança e garantindo controles de acesso apropriados.
•Aplicar o princípio do menor privilégio: siga o princípio do menor privilégio atribuindo permissões por meio do RBAC para garantir que os usuários obtenham apenas as permissões necessárias para realizar seus trabalhos.
NOTA: É uma convenção aceita na comunidade de segurança que a abreviatura RBAC se refere apenas ao controle de acesso baseado em função.
5.4.4. Controle de Acesso Obrigatório (MAC)
O Controle de Acesso Obrigatório (MAC) é um modelo de controle de acesso rigoroso comumente usado em organizações militares e governamentais.
No modo MAC, o administrador de segurança é responsável por atribuir direitos de acesso, e não o proprietário dos dados.
O MAC é implementado atribuindo rótulos de segurança a principais e volumes. Por exemplo, quando um usuário possui um rótulo de segurança “secreto”. Os documentos marcados como "Top Secret" não estarão acessíveis, mas os documentos marcados como "Secreto" ou "Não Confidencial" estarão acessíveis.
O MAC é amplamente utilizado em modelos de confidencialidade e integridade, como os modelos Bell-LaPadula, Biba e Clark-Wilson. Em resumo, o MAC é um método de controle de acesso rigoroso e não discricionário, adequado para organizações com altas necessidades de segurança.
5.4.5. Controle de Acesso Discricionário (DAC)
Controle de acesso discricionário (DAC) é um modelo de controle de acesso no qual o sistema ou proprietário dos dados determina quais sujeitos podem acessar um recurso. DAC é um controle de acesso descentralizado, flexível, mas difícil de gerenciar.
Veja o WeChat Moments como exemplo: os editores podem decidir se o conteúdo é público para outros usuários ou restrito a um grupo específico de usuários (como amigos próximos ou familiares).
5.4.6.Controle de acesso baseado em atributos (ABAC)
O controle de acesso baseado em atributos (ABAC) combina atributos de usuários, hosts, redes e dispositivos para tomar decisões de acesso com base em políticas. O ABAC controla o acesso de forma flexível com base no dia da semana, hora do dia, local de login, etc.
Firewalls com estado são um exemplo de firewall que avalia atributos de assunto para determinar solicitações de acesso. ABAC fornece um meio de controle granular baseado em atributos e políticas.
5.4.7. Controle de acesso baseado em risco.
Um modelo de controle de acesso baseado em risco trata os riscos como mudanças dinâmicas e ajusta a autorização. Ao contrário de modos como RBAC e RUBAC, ele usa parâmetros como inteligência sobre ameaças, logs do sistema e comportamento do usuário para autenticação dinâmica.
Por exemplo, quando um departamento é atingido por um ataque de phishing, um sistema IAM pode aumentar temporariamente a frequência de logins de MFA para mitigar a ameaça. As instituições financeiras também utilizam este modelo para detectar fraudes em contas pessoais, uma vez que o perfil de risco muda com o comportamento e a actividade do utilizador.
5.5. Gerenciando o ciclo de vida do provisionamento de identidade e acesso
5.5.1. Ciclo de vida da gestão de acessos
5.5.2 Acesso à conta e revisão de uso
5.5.2.1 Revisão de acesso à conta
•Verificar objetos: contas de usuários (relacionadas a indivíduos) e contas de sistema (contas não humanas, como backups automáticos, chamadas de API, etc.).
• Revise o conteúdo: verifique se os usuários têm acesso apropriado aos sistemas, dados e permissões e investigue contas inativas ou inativas, permissões excessivas e combinações de acesso tóxicas.
•Frequência da revisão: determinada pela organização com base em obrigações legais e regulatórias e danos potenciais.
•Revisões automatizadas: aproveite ferramentas de segurança como SIEM ou SOAR para conduzir revisões automatizadas.
5.5.2.2 Revisão do uso da conta
•Revisar o comportamento das contas de usuários e do sistema para identificar uso desnecessário ou inadequado e impor responsabilidades.
• As auditorias de uso podem ser realizadas como parte de uma auditoria de acesso, usando ferramentas automatizadas como SIEM ou por meio de auditorias aleatórias. Isto é fundamental para manter a segurança e identificar eventos suspeitos, como escalonamento de privilégios de invasores.
5.5.3. Configurando e desconfigurando
•O provisionamento é o processo de concessão de acesso a sistemas, dados e recursos, enquanto a desconfiguração é a revogação desses direitos de acesso. Geralmente relacionadas a mudanças de funcionários (como ingresso, saída, transferência ou promoção), é necessária a coordenação com a equipe de recursos humanos ou de TI para garantir uma execução segura.
•As políticas de gestão de acesso devem considerar mudanças no acesso dos usuários sob mudanças hostis, amigáveis e de trabalho.
• A desconfiguração deve estar em conformidade com os regulamentos de privacidade e fornecer métodos apropriados para desabilitar e excluir dados do usuário, como fornecer uma entrada de logout da conta.
5.5.4 Definição de função.
As funções são uma forma de definir o acesso com base no departamento, função ou responsabilidades do trabalho de um usuário. Segue princípios de gerenciamento de acesso, como privilégio mínimo, e implementa controles de segurança, como separação de funções. As funções simplificam o processo de provisionamento e desprovisionamento, atribuindo usuários a funções em vez de autorizá-los um por um. A atualização contínua da associação de funções é uma parte crítica do ciclo de provisionamento e desprovisionamento.
5.5.5. Elevação de Privilégios
A escalada de privilégios é o processo de obtenção de privilégios mais elevados.
1. Escalonamento normal de privilégios:
•A necessidade precisa ser revisada, registrada e implementada usando funções ou grupos tanto quanto possível. Os métodos comuns incluem permissões temporárias (como o comando sudo do Linux ou runas do Windows) e acesso de emergência.
2. Ataque de elevação de privilégio:
•Ataque de escalonamento vertical: um invasor tenta obter privilégios mais elevados, como por meio de injeção de SQL.
•Ataque de escalonamento lateral (movimento lateral): O invasor obtém mais permissões de conta do mesmo nível.
3. Medidas preventivas:
•Implementar o princípio do menor privilégio
·Reparar vulnerabilidades imediatamente
·Executar verificações de vulnerabilidade
·Monitorar o tráfego e o comportamento da rede
·Desenvolva uma política de senha forte
·Treinamento de conscientização de segurança
5.6. Implementando um sistema de autenticação
5.6.1 Conectividade Open ID (OIDC) e Autorização Aberta (Oauth).
5.6.1.1 Autorização Aberta (OAuth)
OAuth é um protocolo aberto, cuja versão mais recente é 2.0, que permite um método simples e padrão para obter autorização segura de aplicativos da web, móveis e desktop. Ele se concentra na autorização e não na autenticação.
Quatro funções principais definidas pelo OAuth:
1) Cliente: Qualquer aplicação que faça uma solicitação de acesso a um recurso protegido.
2) Proprietário do recurso: uma pessoa que possui um recurso protegido e pode conceder permissão a outras pessoas para usar o recurso, geralmente um usuário final, ou um aplicativo ou serviço. Essas permissões geralmente são concedidas por meio de uma caixa de diálogo de consentimento.
3) Servidor de Autorização: Qualquer servidor que emita um token de acesso ao cliente após a autenticação bem-sucedida, o token é usado para obter acesso em todo o sistema da aliança;
4) Servidor de Recursos: Qualquer servidor que hospeda recursos protegidos que aceita e responde a solicitações de acesso.
5.6.1.2 Conectividade OpenID (OIDC)
OIDC adiciona funções de autenticação à versão OAuth 2.0 e combina gerenciamento de identidade para fornecer aos usuários uma experiência de autenticação semelhante a SSO.
1.ldPs e JWT
No OIDC, os usuários podem escolher provedores de identidade (IdPs), como WeChat, Weibo, Microsoft, Google, etc.
O provedor de identidade (OpenlD Provider) fornece um token de ID ao usuário final, que é codificado como JWT (Json Web Token)
2. Processo de obtenção de token
O usuário seleciona um IdP e fornece informações de autenticação à parte confiável usando OAuth. As informações de autenticação no OIDC são passadas do provedor OIDC (OP) para a parte confiável (RP) na forma de um token (WT), que contém declarações sobre o usuário e autenticação de identidade para suas declarações.
Resumo: Para reduzir a confusão, lembre-se de que OAuth é uma estrutura de autorização, OpenID é uma camada de autenticação e OpenID Connect (OIDC) é uma estrutura de autenticação que fica sobre o OAuth e fornece serviços de autenticação e autorização.
5.6.2. Linguagem de marcação de declaração de segurança (SAML)
Security Assertion Markup Language (SAML) é um formato de dados padrão de código aberto baseado em XML que troca dados de autenticação e autorização entre partes, especialmente provedores de identidade e provedores de serviços. A versão mais recente é SAML2.0.
1. Processo de interação SAML
Primeiro, existe o principal (como um navegador da Web), que faz uma solicitação a um provedor de serviços (como um aplicativo da Web), que depende de afirmações de um provedor de identidade (IdP) para identificação, autenticação e autorização do usuário.
2 Os quatro componentes do SAML.
1) Asserções: define como os atributos SAML, como protocolos ou estruturas de informações de autenticação e autorização, são
Uso do serviço.
2) Vinculações: especifica como a comunicação solicitação-resposta é realizada entre vários participantes (como usuários, provedores de identidade e provedores de serviços).
3) Protocolos: especifica como as mensagens são empacotadas e trocadas entre os participantes, incluindo HTTP e Simple Object Access Protocol (SOAP).
4) Perfis: Em uma implementação SAML específica, os perfis são uma combinação de asserções, ligações e protocolos.
Comparação SAML, OAuth2, QOIDC
5.6.3.
Kerberos é um protocolo de autenticação de padrão aberto popular usado em uma variedade de tecnologias, incluindo Linux e UNIX, principalmente no Active Directory da Microsoft. Kerberos foi desenvolvido pelo MIT e fornece SSO e serviços de autenticação de segurança ponta a ponta. A forma como funciona é gerando tokens de autenticação, chamados tickets, que são emitidos com segurança aos usuários para que eles possam acessar ainda mais os recursos da rede. Kerberos usa criptografia de chave simétrica e chaves compartilhadas em vez de transmitir senhas pela rede.
1. Vários componentes importantes do Kerberos:
1) Principal: partes que utilizam Kerberos para identificação e autenticação, incluindo usuários e serviços ou aplicações.
2) Centro de Distribuição de Chaves (KDC): utilizado para realizar cadastro de novos usuários e manter um banco de dados de chaves secretas.
3) Servidor de Autenticação (AS): Gerencia a geração e distribuição de Grant Tickets (TGT) e realiza a verificação por meio da troca de dados criptografados para garantir acesso seguro ao servidor.
4) Serviço de concessão de tickets (TGS): gera tickets de sessão que são fornecidos aos principais de segurança quando eles precisam se autenticar nos recursos ou entre si.
Kerberos no trabalho
2. Pontos de risco Kerberos
•KDC é um ponto único de falha, a menos que haja uma configuração redundante com vários servidores.
•A autenticação e a distribuição de tickets são altamente dependentes da sincronização de horário do sistema no domínio Kerberos e requerem suporte NTP, caso contrário, ocorrerão problemas de carimbo de data/hora nos tickets
5.6.4. RAIO e TACACS.
5.6.4.1 RAIO
RADIUS é um protocolo de acesso que fornece serviços de autenticação, autorização e contabilidade (AAA) para conexões remotas a uma rede e foi originalmente usado para oferecer suporte a dial-ups para grandes ISPs. Ele suporta vários protocolos de autenticação, como PAP, CHAP e MS-CHAP, mas criptografa apenas senhas. Como o protocolo UDP é usado, mais recursos devem ser consumidos e mecanismos de verificação de erros precisam ser incorporados para compensar a natureza sem conexão do UDP.
5.6.4.2 TACACS
O protocolo proprietário da Cisco pode hospedar AAA (autenticação, autorização e auditoria) para diferentes servidores, transmiti-lo através da porta TCP49 e criptografar todas as informações de autenticação.
TACACS suporta autenticação multifator.
5.6.4.3 Diâmetro
Desenvolvido para superar as limitações do RADIUS, o Diameter é um protocolo ponto a ponto usado por dispositivos sem fio e smartphones, mas não é compatível com versões anteriores do RADIUS.
Revise as perguntas
1 Qual dos seguintes recursos é descrito como um modelo de controle de acesso que se concentra nos principais e identifica os objetos que cada principal pode acessar? A. Lista de controle de acesso B. Lista de negações implícitas C. Tabela de habilidades D. Matriz de gerenciamento de permissões
C Tabela de habilidades do assunto Lista de controle de acesso a objetos Assunto-Objeto-Matriz
2. A organização de Jim oferece amplo suporte a implementações de IDaaS de aplicativos baseados em nuvem. A empresa de Jim não possui equipe interna de gerenciamento de identidade e não usa um serviço de identidade centralizado. Em vez disso, eles contam com o Active Directory para fornecer AAA Servir. Qual das seguintes opções Jim deveria recomendar como a melhor maneira de lidar com as necessidades internas de identidade da empresa? A. Integre sistemas internos usando OAuth. B. Use um serviço de identidade local de terceiros. C. Integrar sistemas internos usando SAML. D. Projetar uma solução interna para atender às necessidades exclusivas da organização.
B P508 A federação baseada em nuvem normalmente usa terceiros para compartilhar a identidade federada
3. Qual das alternativas a seguir não é um ponto fraco do Kerberos? A.KDC é um ponto único de falha. B. Um KDC controlado por um invasor permitiria a representação de qualquer usuário. C. As informações de autenticação não são criptografadas. D. Vulnerável à adivinhação de senha.
C
4. A que tipo de fator de autenticação pertence o reconhecimento de padrão de voz? A. Algo que você sabe B. O que você possui C. O que você é D. Onde você está
C
5. Se a organização de Susan exige que ela faça login usando um nome de usuário, PIN, senha e exame de retina, quantos tipos diferentes de fatores de autenticação ela usa? R. Uma espécie de B. Dois tipos C. Três tipos D.Quatro tipos
B
6.Charies deseja implantar um sistema de gerenciamento de credenciais (CMS). Ele quer manter a chave o mais segura possível. Qual das alternativas a seguir é a melhor opção de design para sua implementação de CMS? A. Use AES-256 em vez de 3DES. B. Use teclas longas. C. Use HSM (Módulo de Segurança de Hardware). D. Altere sua senha regularmente.
C Não encontrado, lembre-se
7.Bran é pesquisador de uma universidade. Como parte de sua pesquisa, ele usou suas credenciais universitárias para fazer login em um cluster de computação hospedado no Instituto de Tecnologia. Uma vez logado, ele poderá acessar o cluster e utilizar os recursos de acordo com sua função no projeto de pesquisa: e ao mesmo tempo, os recursos e serviços de sua instituição. O que a universidade de Bran implementou para conseguir isso? A. Empilhamento de domínio B. Gerenciamento de identidade federada C. Aninhamento de domínio D. Login híbrido
B
8. Organize as etapas a seguir na ordem em que ocorrem durante o processo de autenticação Kerberos. 1. Gere tickets cliente/servidor 2. Gerar TGT (tíquete de concessão de ingresso) 3. Gerar chave cliente/TGS (servidor de concessão de tickets) 4. Acesso do usuário aos serviços 5. O usuário fornece credenciais de autenticação UMA.5,3,2,1,4 B. 5,4,2,1,3 C.3,5,2,1,4 D.5,3,1,.2,4
A A opção A deve ser 52314
Processo de autenticação Kerberos O processo de autenticação Kerberos é um protocolo interativo que envolve o cliente, o servidor de autenticação (AS) e o servidor de concessão de tickets de serviço (TGS). 1. O cliente envia uma solicitação de autenticação ao servidor de autenticação (AS), que geralmente contém um nome de usuário e uma senha. 2. O AS verifica as credenciais do cliente. Se as credenciais forem válidas, o AS gera um "Ticket Granting Ticket" (TGT) criptografado. O TGT contém as informações de identidade do usuário e uma chave de sessão, e o TGT é retornado ao cliente. 3. O cliente usa a senha para descriptografar o TGT e obter a chave da sessão. Esta chave de sessão será usada para comunicações subsequentes. 4. Quando o cliente necessita de aceder a um determinado serviço de rede, utiliza a chave de sessão para gerar um “Ticket de Serviço” e envia-o para o TGS. 5. O TGS verifica o TGT do cliente. Se o TGT for válido, o TGS gera um ticket de serviço criptografado, criptografa o ticket de serviço usando a chave do serviço e o devolve ao cliente. 6. O cliente envia o ticket de serviço para o serviço e o serviço é autenticado usando a chave de sessão no ticket de serviço. Se o ticket de serviço for válido, o serviço permite ao cliente acessar os serviços necessários. Este processo garante que a identidade do cliente seja verificada e que o cliente tenha acesso ao serviço solicitado. Ao mesmo tempo, o protocolo Kerberos usa algoritmos de criptografia de chave simétrica e carimbos de data/hora para proteger a segurança dos dados durante a transmissão.
9. Quais são os principais problemas que muitas vezes resultam do controlo de acesso descentralizado? R. Pode ocorrer interrupção do acesso. B. Controles inconsistentes. C. O controle é muito refinado. D. Os custos de formação são elevados.
B
10. Um retorno de chamada para um número fixo é um exemplo de que tipo de fator de autenticação? A. Algo que você sabe B onde você está C. O que você possui D. O que você é
B
11. Kathleen precisa configurar uma confiança no Active Directory para permitir Domínio Kerberos K5 para autenticação. Que tipo de relação de confiança ela precisa criar? A. Um atalho de confiança B. Um fundo florestal C. Uma confiança externa D.A reino de confiança
D
12. Qual dos seguintes protocolos AAA é o mais comumente usado? A.TACACS B. TACACS C.XTACACS D.Super TACACS
B
14 Os usuários de sistemas Windows não podem usar o recurso Enviar mensagem. Qual modelo de controle de acesso melhor descreve esta restrição A. Menor privilégio B. preciso saber C. Interface limitada D. Segregação de funções
C Confira o livro
15. Que tipo de controle de acesso permite que o proprietário de um arquivo conceda acesso ao arquivo a outros usuários usando uma lista de controle de acesso? A. Baseado em funções B. Involuntário C. Baseado em regras D. Independente
D
16. O trabalho de Alex exige que ele analise informações de saúde protegidas (PHI) para garantir o tratamento adequado dos pacientes. Seu acesso aos registros médicos dos pacientes não incluía acesso aos endereços dos pacientes ou informações de cobrança. Qual dos seguintes conceitos de controle de acesso descreve melhor esse tipo de controle? A. Segregação de funções B. Interface restrita C. Controle sensível ao contexto D. preciso saber
D
Para as perguntas 17 a 19, consulte a tabela a seguir com base no seu entendimento do processo de login do Kerberos: 17 No ponto A do diagrama, o nome de usuário e a senha do cliente são enviados ao KDC. Que tal nome de usuário e senha Protegido? Criptografia A.3DES B. Criptografia TLS C. Criptografia SSL Criptografia D.AES 18. No ponto B do diagrama, após verificar se o nome de usuário é válido, quais são as duas coisas importantes que o KDC envia ao cliente? elemento? A. TGT criptografado e chave pública B. Tickets de acesso e chaves públicas C Criptografado, TGT com carimbo de data e hora e chave simétrica criptografada com hash de senha do usuário D TGT criptografado com carimbo de data e hora e token de acesso 19. Quais tarefas o cliente deve realizar antes de utilizar o TGT? A. Deve gerar o hash do TGT e descriptografar a chave simétrica. B. Deve aceitar o TGT e descriptografar a chave simétrica. C Deve descriptografar o TGT e a chave simétrica. D. Deve enviar uma resposta válida ao KDC usando uma chave simétrica e o TGT deve estar instalado.
D O Microsoft Active Directory suporta criptografia Rivest Cipher 4 (RC4), Advanced Encryption Standard de 128 bits (AES-128), Advanced Encryption Standard de 256 bits (AES-256) e Data Encryption Standard (DES). Esses algoritmos de criptografia são aumentados com funções de hash criptográficas, como Secure Hash Algorithm (SHA) e Message Digest Algorithm 5 (MDA5). É melhor evitar o uso de criptografia DES, que é considerada insegura.
C
B
https://blog.csdn.net/weixin_46944519/article/details/126828074?ops_request_misc=%7B%22request%5Fid%22%3A%22171202843516800213053640%22%2C%22scm%22%3A%2220140713 30102334..%22 %. &s pm=1018.2226.3001.4187 Explicação detalhada
20 Sam está planejando implementar um sistema de autenticação biométrica em sua organização e está considerando usar o escaneamento de retina. Que preocupações outras pessoas em sua organização podem levantar sobre o escaneamento de retina? R. Os exames de retina podem revelar informações sobre condições médicas. B. O exame de retina é doloroso porque requer um jato de ar no olho do usuário. C. Os scanners de retina são o tipo mais caro de dispositivo biométrico. D. Os scanners de retina têm uma alta taxa de alarmes falsos, o que pode causar problemas de suporte.
A
21. Em que tipo de modelo se baseia o controle de acesso obrigatório? A. Controle de acesso discricionário B. Controle de acesso baseado em grupo C. Controle de acesso baseado em grade D. Controle de acesso baseado em regras
C
22. Greg deseja controlar o acesso aos iPads usados como terminais de ponto de venda em sua organização. Qual dos seguintes métodos ele deveria usar para implementar o controle de acesso lógico de dispositivos em um ambiente compartilhado? R. Use um PIN compartilhado para todos os terminais de ponto de venda para facilitar seu uso. B. Permitir que cada usuário faça login na nuvem usando OAuth. C. Cada usuário recebe um código PIN exclusivo para o iPad que está usando. D. Use o Active Directory e a conta de usuário para fazer login no iad, usando ID de usuário e senha do AD.
D
23. Qual é a melhor forma de fornecer rastreabilidade do uso de identidade? A. Registro Autorização B C. Assinatura digital D. Certificação Tipo 1
A Não encontrado, lembre-se
24 Jim ocupou cargos de recursos humanos, folha de pagamento e atendimento ao cliente em sua empresa nos últimos anos. Que tipo de processo sua empresa deve implementar para garantir que ele tenha a autoridade apropriada? A. Reconfigurar B. Revisão da conta C. Expansão de privilégios D. Cancelamento de conta
B
25.A que tipo de modelo de controle de acesso pertence o Biba? A.MAC B.DAC C. Função BAC D.ABAC
A P525 O sistema de arquivos NTFS do Windows usa DAC O sistema operacional Windows usa RBAC Baseado em regras de firewall Rede definida por software ABAC P530 MAC é baseado em grade e depende de rótulos de classificação, o que significa que Biba e Bell-~ pertencem ao MAC
26. Qual dos seguintes é um protocolo cliente/servidor projetado para permitir que um servidor de acesso à rede autentique usuários remotos enviando mensagens de solicitação de acesso a um servidor central? A. Cérbero B. PAE C. RAIO D.OAuth
C
27.Henry está trabalhando com a equipe de desenvolvimento de aplicações Web para projetar o processo de autenticação e autorização para a nova aplicação da empresa. A equipe deseja tornar os IDs de sessão o mais seguros possível. Qual das alternativas a seguir não é uma prática recomendada que Henry deveria recomendar? A. Os tokens de ID de sessão devem ser previsíveis. B. O ID da sessão deve ter pelo menos 64 bits de entropia. A duração da sessão C deve ser de pelo menos 128 bits. D. O ID da sessão não deve ter sentido.
A
28.Angela usa um sniffer para monitorar o tráfego para um servidor RADIUS configurado com configurações padrão. Qual protocolo ela deverá monitorar e que tráfego ela poderá ler? A.UDP, incapaz de ler qualquer tráfego. Todo o tráfego RADIUS é criptografado. B.TCP. Todo o tráfego pode ser lido, exceto a senha, que é criptografada. C.UDP. Todo o tráfego pode ser lido, exceto a senha, que é criptografada. D.TCP, incapaz de ler qualquer tráfego. Todo o tráfego RADIUS é criptografado.
C
29. Que tipo de controle de acesso descreve melhor a funcionalidade de avaliação postural do NAC? A. Controle de acesso obrigatório B. Controle de acesso baseado em risco C. Controle de acesso discricionário D. Controle de acesso baseado em função
B P532 Lembre-se
30. Qual é um exemplo de quando um aplicativo ou sistema permite que um usuário logado execute uma ação específica? Um papel B. Gestão de Grupo C. Login D. Autorização
D
31. Alex está na empresa há mais de dez anos e ocupou vários cargos dentro da empresa. Durante uma auditoria foi descoberto que ele tinha acesso a pastas e aplicativos compartilhados devido ao seu cargo anterior. O que aconteceu com a empresa de Alex? pergunta? A. Superprovisionamento B. Acesso não autorizado C. Expansão de privilégios Revisão da conta D
C
32. Geoff deseja evitar ataques de aumento de privilégios em sua organização. Qual das práticas a seguir tem maior probabilidade de impedir o escalonamento de privilégios laterais? A. Autenticação multifator B. Restringir permissões a grupos e contas C. Desative portas e serviços não utilizados D. Sanitizar a entrada do usuário em aplicativos
A
33. O ambiente Microsoft Exchange de Jim inclui serviços locais Servidores em data centers e Office 365 para funcionários não localizados em um desses escritórios implantar. Identidades são criadas e usadas em ambos os ambientes e funcionam em ambos. Qual tipo de sistema de junta de cabeça Jim está executando? A. Principais sistemas de nuvem B. Sistema local primário C.Sistema híbrido D. Sistema multilocatário
C
34. A tabela a seguir mostra que tipo de esquema de controle de acesso? A.RBAC DAC B C-MAC DTBAC
C Com base na grade, o sujeito e o objeto possuem atributos, então é MAC
35. A empresa de Michelle está dividindo o departamento de marketing e comunicação em duas equipes distintas, criando um novo departamento. Ela deseja criar funções que forneçam a cada equipe acesso aos recursos. O que ela deve fazer para manter a segurança e as permissões adequadas? A Coloque a equipe de marketing em um grupo existente, pois eles terão requisitos de acesso semelhantes. B Mantenha a equipe de marketing no grupo existente e crie um novo grupo de comunicação com base em suas necessidades específicas. C Mantenha a equipe de comunicação no grupo atual e crie um novo grupo de marketing com base em suas necessidades específicas. D. Crie dois novos grupos, avalie as permissões necessárias para desempenhar suas funções e adicione permissões adicionais, se necessário.
D
36. Que processo ocorre quando um sujeito declara uma identidade? A. Login B. Identificar C. Autorização D. Apresentação do token
B
37. Cães, guardas e cercas são exemplos comuns de que tipo de controle? A. Tipo de detecção B. Tipo de recuperação C. Tipo administrativo D. Tipo físico
D
38.A organização de Susan está atualizando sua política de senhas e deseja usar as senhas mais fortes possíveis. Qual requisito de senha tem maior impacto na prevenção de ataques de força bruta? A. Altere o tempo máximo de uso de 1 ano para 180 dias. B. Aumente o comprimento mínimo da senha de 8 para 16 caracteres. C. Aumentar a complexidade da senha e exigir pelo menos três categorias de caracteres (como letras maiúsculas, letras minúsculas, números e símbolos). D. Mantenha um histórico de senhas de pelo menos quatro senhas para evitar a reutilização.
B Aumentar o comprimento tem o maior impacto
39. Alaina está realizando revisões regulares da conta de serviço. Com qual dos seguintes eventos ela está mais preocupada? A. Login interativo para contas de serviço B. Alterações de senha para contas de serviço C. Restrições às permissões da conta de serviço D. Operações locais usando contas de serviço
A P508 Palavras originais do livro - Definir a conta como uma conta não interativa
40. Numa organização que utiliza biometria, quando se pode optar por permitir uma FRR mais elevada em vez de uma FAR mais elevada? A. Quando a segurança é mais importante que a disponibilidade B. Quando falsas rejeições não são uma preocupação devido a problemas de qualidade dos dados C. Quando o CER do sistema é desconhecido D. Quando o CER do sistema é muito alto
A
41 Após relatos recentes de acesso não autorizado a estações de trabalho fora do horário comercial, Derek foi solicitado a encontrar uma maneira de garantir que o pessoal de manutenção não pudesse fazer login nas estações de trabalho do escritório comercial. A equipe de manutenção possui os sistemas da organização em suas salas de descanso e escritórios porque ainda precisa acessá-los. O que Derek deveria fazer para satisfazer essa necessidade? A requer autenticação multifator e permite apenas que funcionários de escritório tenham tokens multifatores. B. Use o controle de acesso baseado em regras para proibir o login fora do horário comercial na área de trabalho. C. Usando controle de acesso baseado em função, configure um grupo que contenha todos os mantenedores e Concede o direito de efetuar login somente na estação de trabalho especificada. D. Use cerca geográfica para permitir login apenas em áreas de manutenção.
C
42. Nick deseja implementar o gerenciamento de sessões em sua aplicação web. Quais das opções a seguir são técnicas ou métodos comuns de gerenciamento de sessões de aplicativos da Web? (Selecione tudo que se aplica.) A. Rastreamento de IP B. Biscoitos Reescrita de C.URL Token D.TLS
a.C. lembrar
Para as perguntas 43 a 45, use seu conhecimento de integração SAML e design de arquitetura de segurança e consulte o seguinte cenário e ilustração: Alex é responsável pela integração SAML com um importante parceiro terceirizado que fornece vários serviços de produtividade de negócios para sua organização. 43.Alex está muito preocupado com a espionagem do tráfego SAML e quer ter certeza de que as afirmações forjadas não serão bem-sucedidas. O que ele deveria fazer para evitar esses ataques potenciais? A. Forneça autenticação de segurança usando o modelo de segurança SAML. B. Implementar TLS usando conjuntos de criptografia fortes para proteção contra ambos os ataques. C. Implementar TLS usando conjuntos de criptografia fortes e assinaturas digitais. D. Implementar TLS e hashing de mensagens usando conjuntos de criptografia fortes. 44. Se a organização de Alex consiste principalmente de usuários externos que viajam, quais são os riscos de disponibilidade criados pela integração de aplicativos essenciais aos negócios na autenticação no local e como ele deve abordá-los? R. As integrações de terceiros podem não ser confiáveis; B. Se a organização local ficar off-line, os usuários em viagem não poderão acessar aplicativos de terceiros e implementar um sistema de autenticação local em nuvem híbrida; C. Os usuários locais podem não ser redirecionados corretamente para serviços de terceiros que implementem um gateway local. Os navegadores D podem não redirecionar corretamente; 45. Qual solução pode ajudar melhor a resolver o redirecionamento de SSO controlado por terceiros mostrado na etapa 2 Para a pergunta? A. Atividades de conscientização sobre terceiros confiáveis B.TLS C. Lidar com redirecionamentos no site local D. Implementar IPS para capturar ataques de redirecionamento SSO
C
B
Lembre-se
46.Susan foi solicitado a recomendar se sua organização deveria usar uma solução MAC ou uma solução DAC. Se a implementação do controle de acesso exigir flexibilidade e escalabilidade, qual opção ela deveria recomendar e por quê? A. MAC, porque oferece maior escalabilidade e flexibilidade, basta adicionar mais conforme necessário Basta rotular B.DAC fornece escalabilidade permitindo que administradores individuais selecionem os objetos que controlam. e flexibilidade C.MAC, como o particionamento é ótimo para flexibilidade, adicionar partições o tornará bem escalonável sexo D.DAC, porque o processo central de tomada de decisão pode responder rapidamente e reduzindo o número de decisões necessárias e Transferir essas decisões para uma autoridade central proporciona escalabilidade e flexibilidade
B
47.Qual das ferramentas a seguir normalmente não é usada para verificar se os processos de provisionamento estão configurados de maneira a garantir as políticas de segurança de uma organização? A. Revisão de registro B. Revisão manual de permissão C. Detecção baseada em assinatura D. Revise os registros da trilha de auditoria
C lembrar
48.Jessica precisa enviar informações a uma organização terceirizada sobre os serviços que ela está prestando. Qual linguagem de marcação baseada em padrões ela deveria escolher para construir a interface? A.SAML B.SOAP C.SPML D.XACML
C lembrar
49. Durante um teste de penetração, Chris recuperou um arquivo contendo senhas com hash dos sistemas que ele estava tentando acessar. Que tipo de ataque tem maior probabilidade de ser bem-sucedido contra senhas com hash? A. Ataque violento B. Ataque via valor hash C ataque à mesa arco-íris D Um ataque de recuperação de sal
C
50 A integração de identidade do Google com diversas organizações e aplicativos em vários domínios é um exemplo de qual das opções a seguir? APKI B. Federação C. Logon único D. fornecimento
B lembrar
51.Amanda começa um novo emprego e descobre que tem acesso a vários sistemas que não precisa no trabalho. Que problema ela encontrou? A. Aumento de permissão B. Conflito de limitação C. Menor privilégio D. Muitas permissões
D
52. Quando Chris autentica a identidade de uma pessoa e adiciona um identificador exclusivo, como um ID de usuário, ao sistema de identidade Que processo aconteceu? A. Verificação de identidade B. Cadastre-se C. Gerenciamento de diretório D. Gerenciamento de sessão
B
53.Selah deseja fornecer rastreabilidade comportamental para a principal aplicação comercial de sua organização. Quais são as medidas de controle mais utilizadas nesta situação? (Selecione tudo que se aplica.) A. Habilite o log de auditoria. B. Forneça a cada funcionário uma conta exclusiva e habilite a autenticação multifator. C. Habilite requisitos de login baseados em horário e localização. D. Forneça a cada funcionário uma conta exclusiva e exija uma senha selecionada por ele mesmo.
AB
54. Chariles deseja fornecer serviços de autorização como parte de seu aplicativo web. Se ele deseja fácil integração com outros provedores de identidade da web, qual padrão ele deve usar? A. OpenID B. TACACS C. RAIO D.OAuth
D
55 A empresa de Cameron utiliza um sistema que permite aos usuários solicitar acesso privilegiado ao sistema quando necessário. . Camneron solicitou acesso e, devido à sua função, a solicitação foi pré-aprovada. Ele pode então acessar o sistema para executar tarefas. Após a conclusão, as permissões são removidas. Que tipo de sistema ele está usando? A. Confiança Zero B. Gerenciamento de identidade federada C. Logon único D. Acesso oportuno
D
56. Ene é responsável pela construção do site do banco. Ela precisa verificar a identidade do usuário que se inscreveu no site. O que ela deve fazer para verificar a identidade do usuário? A. Peça aos usuários que criem perguntas exclusivas que só eles conhecem. B. Os novos utilizadores são obrigados a trazer pessoalmente a sua carta de condução ou passaporte ao banco. C. Use informações que tanto o banco quanto o usuário possuem, como perguntas retiradas de seu relatório de crédito. D. Ligue para o número de telefone registrado do usuário para verificar quem ele afirma ser.
C
57.A organização de Susan faz parte de uma federação que permite que usuários de diversas organizações acessem recursos e serviços em outros sites federados. Quando a Susn deseja utilizar serviços em sites parceiros, qual utilizar? Provedor de identidade? A. Provedor de identidade da organização de Susan B. Provedor de identidade do provedor de serviços C. Seu Provedor de Identidade e Provedor de Identidade do Provedor de Serviços D. O provedor de serviços cria uma nova identidade
A
58. Um novo cliente de um banco que utiliza scanners de impressões digitais para autenticar utilizadores ficou surpreendido ao descobrir que, ao digitalizar a sua impressão digital, estava ligado à conta de outro cliente. Que tipo de erro biométrico ocorreu? A. Erro de registro B. Um erro tipo 1 Erro CA tipo 2 D. Tempo de uso e método de uso incorretos
C
· Taxa de falsa rejeição (FRR): Erros tipo 1. A biometria válida não pode ser verificada e é usada em ambientes com altos requisitos de segurança.
Falso negativo, rejeitando o usuário correto
•Taxa de Falsa Aceitação (FAR): Erros tipo 2. Biometrias inválidas são identificadas erroneamente como identidades válidas e são usadas em ambientes com baixos requisitos de segurança.
Falso positivo, usuário errado permitido
59. Que tipo de controle de acesso é normalmente usado com firewalls? A. Controle de acesso discricionário B. Controle de acesso baseado em regras C. Controle de acesso baseado em tarefas D. Controle de acesso obrigatório
B
60. Que atividade importante de gerenciamento de identidade e acesso você está realizando ao inserir seu ID de usuário e senha? A. Autorização B. Verifique C. Certificação D. Login
C
61.Katleen trabalha em uma instalação de colocation de data center que fornece espaço físico de data center para indivíduos e organizações. Até recentemente, cada usuário recebia um cartão-chave com tarja magnética para acessar a parte da instalação onde seu servidor estava localizado e também recebia uma chave para acessar a gaiola ou rack em que seu servidor estava localizado. Alguns servidores foram comprometidos nos últimos dois meses, mas os logs de passes mostram apenas IDs válidos. Qual é a melhor opção de Keatnleen para garantir que os usuários do passe sejam quem deveriam ser? A Adicione um leitor de cartão que exige que os usuários insiram um PIN, B. Adicione um sistema de câmeras às instalações para observar quem está acessando o servidor. C. Adicione fatores biométricos. D. Substituir cartões-chave baseados em tarja magnética por cartões inteligentes.
C
62 Theresa deseja permitir que seus funcionários armazenem e gerenciem com segurança senhas de sistemas, incluindo contas de serviço e outras credenciais administrativas raramente usadas. Que tipo de ferramenta ela deve implementar para conseguir isso? A. Logon único B. Sistema de Identidade Federada C. Gerenciador de senhas D. Sistema de autenticação multifator
C lembrar
63.Olivia deseja limitar os comandos que um usuário pode executar via sudo para reduzir a possibilidade de ataques de escalonamento de privilégios. Qual arquivo Linux ela deve modificar para conseguir isso? Um arquivo de configuração.bash .bin Arquivo B.sudoers Arquivo de configuração .allowed do C. bash Arquivo D.sudont
B
64. Quais objetos e agentes no modelo MAC possuem rótulos? A. Objetos e assuntos classificados como Confidencial, Confidencial ou Ultra Secreto possuem rótulos. B. Todos os objetos possuem uma etiqueta e todos os assuntos possuem um compartimento. C. Todos os objetos e assuntos possuem um rótulo. D. Todos os assuntos possuem uma etiqueta e todos os objetos possuem um compartimento.
C
Para as questões 65 a 67, consulte os seguintes cenários e diagramas: Chris é o arquiteto de identidade de um site de comércio eletrônico em crescimento. Ele e sua equipe pretendem aproveitar as identidades sociais, permitindo que os usuários usem suas contas existentes do Google como conta principal em sites de comércio eletrônico. Isso significa que quando um novo usuário se conecta inicialmente à plataforma de comércio eletrônico, ele pode optar por usar sua conta do Google (usando OAuth 2.0) ou criar uma nova conta na plataforma usando seu endereço de e-mail e uma senha de sua escolha. 65. Quando um aplicativo de comércio eletrônico cria uma conta para um usuário do Google, a senha do usuário deve ser salva Onde está armazenado? A. A senha é armazenada no banco de dados do aplicativo de comércio eletrônico. B. A senha é armazenada na memória do servidor de aplicativos de comércio eletrônico. C. As senhas são armazenadas no sistema de gerenciamento de contas do Google. D. A senha não é armazenada; em vez disso, um valor de hash salgado é armazenado no Google; no sistema de gerenciamento de contas. 66. Qual dos seguintes é responsável pela autenticação de usuários do Google? A. Aplicativos de comércio eletrônico. B. Existe um aplicativo de comércio eletrônico e um servidor Google. C. Servidores do Google. D. O gráfico não fornece informações suficientes para determinar isso. 67. Que tipo de ataque o objetivo da criação e troca de tokens de estado deve ser evitado? A.XSS B. CSRF C. Injeção SQL D.XACML
D
C
B Falsificação de solicitação entre sites (inglês: falsificação de solicitação entre sites), também conhecida como ataque de um clique ou sessão de equitação, muitas vezes abreviada como CSRF ou O método de operação de ataque. Comparado ao cross-site scripting (XSS), que aproveita a confiança do usuário no site especificado, o CSRF aproveita a confiança do site no navegador do usuário. defesa: Verifique o campo Referente Existe um campo Referer no cabeçalho HTTP, que é usado para indicar o endereço de onde vem a solicitação. Ao lidar com solicitações de dados confidenciais, de modo geral, o campo Referer deve estar no mesmo nome de domínio do endereço solicitado. Tomando como exemplo a operação bancária acima, o endereço do campo Referer geralmente deve ser o endereço da web onde está localizado o botão de transferência, que também deve estar localizado em www.examplebank.com. Se for uma solicitação de um ataque CSRF, o campo Referer conterá um endereço contendo uma URL maliciosa e não estará localizado em www.examplebank.com. Neste momento, o servidor será capaz de identificar o acesso malicioso. Este método é simples e fácil de implementar, com baixa carga de trabalho. Basta adicionar uma etapa de verificação nos principais pontos de acesso. Mas esse método também tem suas limitações, pois depende totalmente do navegador para enviar o campo Referer correto. Embora o protocolo http tenha regulamentações claras sobre o conteúdo deste campo, ele não pode garantir a implementação específica do navegador visitante, nem pode garantir que o navegador não terá vulnerabilidades de segurança que afetem este campo. E também existe a possibilidade de invasores atacarem alguns navegadores e adulterarem seus campos de referência. Adicionar token de verificação Como a essência do CSRF é que o invasor engane o usuário para acessar o endereço definido por ele mesmo, se o navegador do usuário for obrigado a fornecer dados que não estão armazenados no cookie e não podem ser falsificados pelo invasor como verificação ao acessar dados confidenciais, então o ataque O invasor não pode mais executar ataques CSRF. Esses dados geralmente são um item de dados no formulário. O servidor o gera e anexa ao formulário, e seu conteúdo é um número pseudoaleatório. Quando o cliente envia uma solicitação através do formulário, esse número pseudoaleatório também é enviado para verificação. Durante o acesso normal, o navegador do cliente pode obter e retornar corretamente esse número pseudoaleatório. Porém, em ataques enganosos por meio de CSRF, o invasor não tem como saber antecipadamente o valor desse número pseudoaleatório, e o servidor o fará. o valor do token de verificação estiver vazio ou errado, a solicitação suspeita será rejeitada.
68. Qual é o nome do seu animal de estimação? Com que tipo de autenticação esse problema ocorre? A. Certificação baseada em conhecimento B. Autenticação dinâmica baseada em conhecimento C. Autenticação fora de banda D. O terceiro fator de autenticação
A
69. Madhuri cria uma tabela de privilégios, objetos e princípios atribuídos para gerenciar o controle de acesso dos sistemas pelos quais ela é responsável. Sempre que um principal tenta acessar um objeto, o sistema verifica a tabela para garantir que o principal tenha as permissões apropriadas para o objeto. Que tipo de sistema de controle de acesso Madhuri está usando? A. Tabela de capacidade B. Lista de controle de acesso C. Matriz de controle de acesso D.Sistema de gerenciamento de direitos de sujeito/objeto
C
70. Ao analisar os tickets de suporte, a organização de Ben descobriu que as alterações de senha representavam mais de um quarto dos casos de ajuda. Qual das opções a seguir tem maior probabilidade de reduzir significativamente esse número? A. Autenticação de dois fatores B. Autenticação Biométrica C. Redefinição de senha de autoatendimento D. Senha
C lembrar
71. A grande organização de Brian tem usado o RADIUS para fornecer serviços AAA para dispositivos de rede há muitos anos. e recentemente tomou conhecimento dos problemas de segurança com as informações transmitidas durante o processo de autenticação. O que Brian deveria fazer para Criptografia de implementação RADIUS? A. Use os recursos de criptografia integrados ao RADIUS. B. Implemente o RADIUS sobre seu UDP nativo usando TLS para fornecer proteção. C. Implemente RADIUS sobre TCP usando TLS para fornecer proteção. D. Use cifras pré-compartilhadas AES256 entre dispositivos. .
C O próprio RADIUS usa o protocolo UDP e, depois de usar o TLS, é o protocolo TCP.
72 Jim permite que aplicativos baseados em nuvem acessem informações em outros sites em seu nome. Qual das seguintes ferramentas pode conseguir isso? A. Cérbero B.OAuth C.OpeniD D. LDAP
B É necessário um protocolo de autorização, portanto é OAuth
73.A organização de Ben sofreu acesso não autorizado a aplicativos e estações de trabalho durante o horário de almoço, quando os funcionários não estavam em suas mesas. Qual é a melhor solução de gerenciamento de sessões que Ben recomendaria para ajudar a evitar esse tipo de acesso? A Use IDs de sessão para todos os acessos e verifique os endereços IP do sistema para todas as estações de trabalho B. Defina um tempo limite de sessão para o aplicativo e use um protetor de tela protegido por senha na estação de trabalho e defina um tempo limite de inatividade. C Use IDs de sessão para todos os programas e protetores de tela protegidos por senha nas estações de trabalho. D. Defina o tempo limite da sessão para o aplicativo e verifique os endereços IP do sistema de todas as estações de trabalho.
B
74 O diagrama a seguir mostra que tipo de cenário de autenticação A. União Mista B. União no local C. Federação de nuvem Federação D. Kerberos
A P508 A federação baseada em nuvem normalmente usa terceiros para compartilhar a identidade federada A federação híbrida é uma combinação de federação de nuvem e federação local
75. Chris deseja identificar indivíduos enquanto controla o acesso às instalações. Ele também quer ter certeza de que esses indivíduos são os únicos autorizados a entrar e não quer que haja custos contínuos significativos. Quais soluções das opções a seguir atenderão a todos esses requisitos? (Selecione tudo que se aplica.) A. Pessoal de segurança e identificação com foto B. Leitor e crachá RFID com teclado PIN C. Crachá com tarja magnética e leitor de cartão com PIN pad D. Pessoal de segurança e leitores de tarja magnética
a.C.
76. Em que tipo de segundo fator de autenticação um dispositivo como uma chave Yubikey ou Titan Security se enquadra? A. Símbolo B. Identificadores Biométricos C.Cartão inteligente D.PIV
A lembrar
77. Qual é a tecnologia de autenticação que pode ser combinada com OAuth para autenticar e obter informações de perfil de usuário usando API RESTful? A.SAML B.Shibolete C. Conexão OpenID D. Higgins
C
78.Jim deseja implementar um esquema de controle de acesso para garantir que os usuários não possam delegar acesso. Ele também queria impor o controle de acesso no nível do sistema operacional. Qual mecanismo de controle de acesso atende melhor a esses requisitos? A. Controle de acesso baseado em função B. Controle de acesso discricionário C. Controle de acesso obrigatório D. Controle de acesso baseado em atributos
C
79.O administrador de segurança da empresa de Susan configurou a estação de trabalho que ela usa para permitir que ela faça login somente durante o horário de trabalho. Que tipo de controle de acesso descreve melhor essa restrição? A. Interface restrita B. Controle sensível ao contexto C. Controles relacionados ao conteúdo D. Menor privilégio
B
80.Ben está usando um token baseado em software que muda o código a cada minuto. Que tipo de token ele está usando? A. Assíncrono B. Cartão inteligente C. Sincronização D. Estático
C
81. Um firewall é um exemplo de que tipo de mecanismo de controle de acesso? A. Controle de acesso obrigatório B. Controle de acesso baseado em atributos C. Controle de acesso discricionário D. Controle de acesso baseado em regras
D
82.Michelle trabalha para uma empresa de serviços financeiros e deseja registrar clientes em seu aplicativo web. Se ela quiser verificar de forma rápida e automática se a pessoa é quem afirma ser no login inicial, sem precisar ter um relacionamento prévio com ela, que tipo de mecanismo de autenticação ela poderá usar? A. Peça o número do seguro social. B. Use autenticação baseada em conhecimento. C. Execute a autenticação manual. D. Use fatores biométricos.
B lembrar
83 A empresa de Megan quer usar Contas do Google para adotar rapidamente seu aplicativo Web. Quais tecnologias comuns de federação de nuvem Megan precisa implementar? (selecione tudo que se aplica) A. Cérbero B.OpeniD C.OAuth D. RAIO
a.C.
84. A duração e o tamanho do ID da sessão são críticos para prevenir que tipo de ataque? A. Negação de serviço B. Roubo de biscoitos C. Adivinhação de conversa D. Ataque man-in-the-middle
C
85. O sistema de controle de acesso da organização de Naomi verifica se o computador dela está totalmente conectado, se fez uma verificação antimalware bem-sucedida e se o firewall está ativado, entre outras verificações de segurança, antes de permitir que ela se conecte à rede. Se houver um problema potencial, ela será impedida de se conectar e deverá entrar em contato com o suporte. Que tipo de esquema de controle de acesso descreve melhor esse tipo de processo? A.MAC B. Controle de acesso baseado em regras C. Controle de acesso baseado em função D. Controle de acesso baseado em risco
D
86. Isabelle deseja evitar ataques de escalonamento de privilégios nas contas de serviço de sua organização. Qual das seguintes práticas de segurança Melhor para esta situação? A. Remova permissões desnecessárias. B Desative o login interativo para a conta de serviço. C. Limite o tempo de login da conta. D. Use nomes de contas de serviço sem sentido ou aleatórios.
A
87. Quais são os perigos de permitir que partes confiáveis do OpenID controlem conexões com provedores de OpenID? A. Pode resultar na seleção incorreta do provedor OpenID. B. Possíveis ataques de phishing através do envio de dados para provedores OpenID falsos. C. Partes confiáveis podem roubar nomes de usuário e senhas de clientes. D. A parte confiável não pode enviar uma declaração assinada.
B
88. Jim está implementando uma solução de identidade em nuvem para sua organização. Que tipo de tecnologia ele está usando? A. Identidade como serviço B. Situação do funcionário como serviço C. RADIUS baseado em nuvem D.OAuth
A IDaaS
89.Kisten deseja controlar o acesso a uma aplicação na organização com base na posição do funcionário, nas permissões de aplicação necessárias para cada grupo de posição, horário e local. Que tipo de esquema de controle ela deveria escolher? Um controle de acesso de linha de base de atributos (ABAC) B. Controle de acesso discricionário (DAC) C. Controle de acesso obrigatório (MAC) D. Controle de acesso de linha de base de atributo de função (Role BAC)
A
90. Quando Alex define as permissões mostradas no diagrama abaixo como usuário em um servidor Linux, que tipo de modelo de controle de acesso ele está utilizando? $ chmod 7313 al $ 1s-la total 12 raiz drwxr-xr-x 3 raiz drwxr-xr-x 3 A. Controle de acesso baseado em função B. Controle de acesso baseado em regras C. Controle de acesso obrigatório (MAC) D. Controle de acesso discricionário (DAC)
D
91.Joanna lidera a equipe de gerenciamento de identidade de sua organização e deseja garantir que as funções sejam atualizadas à medida que os funcionários assumem novos cargos. Em qual questão do funcionário ela deve se concentrar para evitar problemas com a definição de funções? A. Registre-se B. Aumento de permissão C. Abolição D. Responsabilidade da conta
B
92Que tipo de mecanismo de autorização é mostrado na figura abaixo? A. Controle de acesso baseado em função (RBAC) B. Controle de acesso de linha de base de atributos (ABAC) C. Controle de acesso obrigatório (MAC) D. Controle de acesso discricionário (DAC)
A
93. Susan está solucionando um problema de autenticação Kerberos, que inclui um TGT (tíquete de concessão de tíquete) não sendo aceito como um tíquete válido "e uma incapacidade de obter um novo tíquete. Se o sistema que ela está solucionando tiver sido configurado corretamente para autenticação Kerberos , seu nome de usuário e a senha estão corretos. A conexão de rede dela está boa, qual poderia ser o problema? A.O servidor Kerberos está offline. B. Há uma incompatibilidade de protocolo. C. O TGT do cliente está marcado como comprometido e não autorizado. D Os relógios de ponto do servidor Kerberos e do cliente local não estão sincronizados.
D
94. Brian quer explicar os benefícios da federação local à gestão da organização. Qual das opções a seguir não é um benefício comum dos sistemas de identidade federados? A. Simplifique o gerenciamento de contas B. Logon único C. Prevenir ataques de força bruta D. Aumentar a produtividade
C
95.O banco de Aaron deseja permitir que os clientes usem um novo aplicativo complementar fornecido por um parceiro terceirizado com quem trabalha. Como nem todo cliente deseja ou precisa de uma conta, Aaron recomenda que os bancos usem um fluxo de trabalho baseado em SAML que cria uma conta quando um usuário baixa o aplicativo e tenta fazer login. Que tipo de sistema de configuração ele recomenda? A. Configuração Just-In-Time (JIT) B.OpeniD C.OAuth D. Cérberos
A
96.Qual protocolo de autenticação o Windows usa por padrão para sistemas Active Directory? A. RAIO B. Cérbero C.OAuth D.TACACS
B Kerberos: Kerberos é o serviço de autenticação padrão do Active Directory
97.Valerie precisa controlar o acesso a aplicativos implantados em dispositivos móveis em um ambiente BYOD. Que tipo de solução permitiria melhor exercer controle sobre os aplicativos e, ao mesmo tempo, garantir que eles não deixassem dados residuais nos dispositivos usados pelos usuários finais? A. Implante o aplicativo em dispositivos BYOD e exija um PIN exclusivo para cada dispositivo. B implantou os aplicativos no sistema de desktop e exige que os usuários os acessem usando autenticação corporativa por meio de uma interface remota. C. Use um contêiner de aplicativo para implantar o assento do aplicativo em dispositivos BY0D e exija um PIN exclusivo para cada dispositivo. D. O uso de um ambiente de aplicativo hospedado virtual requer autenticação usando credenciais corporativas.
D
98. Combine os seguintes mecanismos de autorização com suas descrições: 1. Controle de acesso de linha de base de atributos baseado em função (Role-BAC) 2. Controle de acesso de linha de base de atributos baseado em regras (Regra BAC) 3. Controle de acesso discricionário (DAC) 4. Controle de acesso de linha de base de atributos (ABAC) 5. Controle de acesso obrigatório (MAC) A. Um modelo de controle de acesso imposto pelo sistema operacional. B. Conceder permissões ou direitos com base em requisitos correspondentes por endereço IP, hora ou outros detalhes específicos. C. Às vezes chamado de controle de acesso baseado em políticas, esse modelo usa informações sobre o principal para atribuir permissões. D. Um modelo que concede aos principais as permissões apropriadas para atribuir ou passar essas permissões a outros principais E. Usado para atribuir permissões com base no trabalho ou função.
1E2B3D4C5A
99. Combine as tecnologias de autenticação digital com as categorias apropriadas. Cada tecnologia deve corresponder a uma categoria. Cada categoria pode ser usada uma vez, várias vezes ou nunca ser usada. Tecnologia de autenticação 1. Senha 2. Cartão de identificação 3. Varredura de retina 4. Token móvel 5. Análise de impressão digital categoria: A. algo de propriedade B. Algo para saber C. é algo
1B2A3C4A5C
100. Combine os seguintes controles de identidade e acesso com os tipos de ativos que eles são mais adequados para proteger. Cada opção só pode ser selecionada uma vez. 1. Ativos de informação 2.Sistema 3. Dispositivos móveis 4. Instalações 5. Inscrições de Parceiros A. Controle de acesso discricionário B. Leitor de cartão de controle de acesso C. Gerenciamento de identidade federada D. Autenticação biométrica E. Contas de usuário com autenticação multifator
1A2E3D4B5C