Wondershare EdrawMind
Galeria de mapas mentais CISSP-5-Controle de acesso
- 6
- 1
- 1
CISSP-5-Controle de acesso
Mapa Mental de Certificação Profissional de Segurança de Sistemas de Informação CISSP, o conteúdo principal inclui etapas de controle de acesso, aplicativos de controle de acesso, linguagem de marcação de controle de acesso, modelo de controle de acesso (autorização), métodos de controle de acesso, métodos de gerenciamento de controle de acesso e gerenciamento de controle de acesso.
Editado em 2021-11-10 12:03:57
- moléculas que compõem as células
A segunda unidade do Curso Obrigatório de Biologia resumiu e organizou os pontos de conhecimento, abrangendo todos os conteúdos básicos, o que é muito conveniente para todos aprenderem. Adequado para revisão e visualização de exames para melhorar a eficiência do aprendizado. Apresse-se e colete-o para aprender juntos!
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 16 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Extração e corrosão de mim. O conteúdo principal inclui: Corrosão de metais, Extração de metais e a série de reatividade.
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 15 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Reatividade de metais. O conteúdo principal inclui: Reações de deslocamento de metais, A série de reatividade de metais.
CISSP-5-Controle de acesso
- moléculas que compõem as células
A segunda unidade do Curso Obrigatório de Biologia resumiu e organizou os pontos de conhecimento, abrangendo todos os conteúdos básicos, o que é muito conveniente para todos aprenderem. Adequado para revisão e visualização de exames para melhorar a eficiência do aprendizado. Apresse-se e colete-o para aprender juntos!
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 16 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Extração e corrosão de mim. O conteúdo principal inclui: Corrosão de metais, Extração de metais e a série de reatividade.
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 15 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Reatividade de metais. O conteúdo principal inclui: Reações de deslocamento de metais, A série de reatividade de metais.
- Recomendado para você
- Descrição
![Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717230246/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]
- 6
- 1
- 1
![Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717236196/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]
- 9
- 1
- 1
![Discos de ruptura para instalações de segurança [Resumo das Normas]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717237017/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Válvula de segurança da instalação de segurança [versão do princípio de funcionamento]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717237159/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Válvulas de segurança para instalações de segurança [Resumo dos Regulamentos]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717237189/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Controle de acesso
conceito
Objetivo: Proteger contra acesso não autorizado
Uso de recursos do sistema por usuários ilegais
Uso ilegal de recursos do sistema por usuários legítimos
Conceito: O controle de acesso é um meio de segurança Controlar como os usuários e sistemas se comunicam e interagem com outros sistemas e recursos
efeito
Proteja a confidencialidade, integridade e disponibilidade
Confidencialidade
Evite o vazamento de informações confidenciais
Integridade
adulteração ilegal
Modificação não autorizada
Consistência de informações internas e externas
Disponibilidade
Acesso confiável e oportuno aos recursos
Etapas de controle de acesso
Identificação: O sujeito que fornece informações de identificação
reivindicar a identidade do usuário
elementos
Exclusividade: único em um ambiente de controle para facilitar a auditoria
Não descritivo: a identificação não deve revelar a identidade ou posição do usuário
Características:
O primeiro passo no controle de acesso
identificador único
Pré-requisitos para rastreabilidade
Autenticação Verifique as informações de identificação
Verifique as informações de identificação do usuário
O que você sabe? (posso lembrar)
Senha (senha) (senha)
comprimento estático e fixo
senha (Senha)
Senha fictícia, geralmente maior que a senha
código cognitivo (senha cognitiva)
Informações baseadas em fatos ou julgamentos pessoais
Exemplo:
Data de reembolso do cartão de crédito e outras informações
Escola de graduação ou sobrenome da mãe
Pode haver múltiplas combinações de informações cognitivas
O que possuir?
cartão de armazenamento
Armazena informações, mas não consegue processá-las
cartão inteligente
Contém microprocessadores e circuitos integrados, com capacidade de processamento de informações
Classificação:
Contato
Tem um selo dourado na superfície
Requer E/S de energia e dados
Sem contato
Existem antenas por toda parte
A energia é fornecida pelo campo eletromagnético que entra no leitor de cartão
ataque de cartão inteligente
Ataque de canal lateral: um ataque não intrusivo usado para descobrir informações confidenciais sobre como uma organização opera sem explorar qualquer forma de falha ou fraqueza
Os cartões inteligentes têm propriedades anti-adulteração mais fortes
Senha de uso único (OTP) (Senha de uso único)
Também chamada de senha dinâmica, Para autenticação, só pode ser usado uma vez
Evite ataques de repetição
Implementação: token
modo síncrono
Sincronização de contador: O usuário pressiona o botão do dispositivo token para iniciar a criação de senha única
Sincronização de tempo: Token e servidor devem ter o mesmo relógio
modo assíncrono
mecanismo de desafio/resposta
Vantagens e desvantagens:
Depois que o ID do usuário e o dispositivo token forem compartilhados ou roubados, eles poderão ser usados de forma fraudulenta.
A vantagem é que você não precisa lembrar a senha
Exemplo: dispositivo de token
Código de verificação por SMS
o que é, O que é que você fez?
Características fisiológicas
digitalização facial
Digitalize os atributos e características do rosto, Incluindo informações sobre ossos, testa, etc.
Algoritmo: Algoritmo de Análise de Características Regionais
Características
Baixa precisão! ,alta velocidade
A taxa de reconhecimento incorreto e a taxa de rejeição são altas!
formato de mão
Características geométricas do formato da mão humana, dedos e informações sobre o formato inteiro da mão
Inclui: comprimento, largura e formato da palma e dos dedos
topologia manual
Examine as diferentes formas onduladas ao longo de todo o formato da mão e suas partes curvas.
Desvantagens: A topologia manual precisa ser combinada com o formato da mão
Varredura da palma da mão
A palma possui sulcos, cristas e pregas, única característica
Inclui: impressões digitais para cada dedo
impressão digital (impressões digitais)
As impressões digitais são compostas de curvas e bifurcações e características muito pequenas
reconhecimento de voz
Diferenças entre modos de voz
Você é obrigado a falar palavras diferentes durante o registro, e precisa misturar as palavras e pedir que as repitam durante o teste.
varredura de retina
Digitalizando padrões de vasos sanguíneos na retina na parte posterior do olho
varredura de íris
A íris é a parte colorida do olho que circunda a pupila.
As íris têm padrões, bifurcações, cores, mudanças, halos e rugas únicos
Características: O reconhecimento da íris é o mais preciso
Características comportamentais (Traços comportamentais)
Análise de assinatura
A velocidade e a forma de assinar, a forma como o signatário segura a caneta.
O movimento físico causado pela assinatura produz um sinal elétrico que pode ser considerado um sinal biométrico.
teclas digitadas
As teclas dinâmicas capturam os sinais elétricos produzidos quando frases específicas são inseridas,
Capture a velocidade e o movimento da ação.
Verificação forte (autenticação forte)
dois fatores (Dois dos três tipos incluídos)
três fatores (incluído em todos os três tipos)
Vantagens e desvantagens dos três métodos de identificação
O que saber: Econômico, mas fácil de ser usado de forma fraudulenta
O que levar: Para acessar instalações ou áreas sensíveis onde os itens podem ser facilmente perdidos
O que é e o que faz: Com base nas características físicas e biométricas, não é fácil de ser utilizado por terceiros.
Erro Tipo 1 (FRR): Taxa de Falsa Rejeição, rejeitando indivíduos autorizados (falsos positivos)
Erro Tipo 2 (FAR): Aceitar um impostor que deveria ter sido rejeitado (falso negativo)
Taxa de erro de cruzamento: o ponto equivalente de falsa taxa de rejeição e falsa taxa de aceitação
Autorização Determine as operações realizadas pelo sujeito no objeto objetável
Determine a operação realizada pelo sujeito no objeto
Diretrizes de acesso
baseado em função
baseado em grupo
Com base na localização física ou lógica
Com base no período ou intervalo de tempo
Com base no tipo de transação
Acesso negado por padrão
Saiba o que eles precisam
princípio do menor privilégio
auditoria ou auditoria (prestação de contas) Registro de auditoria e monitoramento para rastrear a atividade do usuário
Rastreabilidade/Responsabilidade (responsável)
auditoria
auditoria de segurança
Escopo da auditoria: eventos no nível do sistema, eventos no nível do aplicativo, eventos no nível do usuário
Conteúdo da auditoria: hora, local, tarefas, o que aconteceu
Período e tamanho de armazenamento de log
Proteção de log de auditoria (Integridade do registro)
Servidor de log
mídia de gravação única
Uso de registros
Verificação manual
verificação automática
Gerenciamento de registros
Monitoramento de teclas
Objetivo: auditar uma pessoa e suas atividades
Aplicativo de controle de acesso
Gerenciamento de identidade (Gerenciamento de identidade)
Índice
Segue o formato hierárquico de estrutura de dados, baseado em padrões e protocolos X.500 (como LDAP) (LDAP Lightweight Directory Access Protocol)
Serviços de diretório (DS)
Permite que os administradores configurem e gerenciem identidades, autenticação, autorização e controles de acesso que aparecem na rede
Metadiretório
Conecte-se apenas a um diretório por vez
O metadiretório contém dados de identidade
lista virtual
Conecte-se a várias fontes de dados
Aponta para onde os dados reais residem
repositório de identidade
Grandes quantidades de informações armazenadas em diretórios de gerenciamento de identidade estão espalhadas por toda a empresa
gerenciamento de acesso à web
Software de controle front-end que fornece login único e outras funções
HTTP não tem estado
Cookies e sessões para manter o estado do aplicativo
Gerenciamento de senha (gerenciamento de senha)
Sincronização de senha
Manter apenas uma senha pode fortalecê-la
Fraqueza: Ponto único de falha, se a senha for obtida todos os recursos podem ser acessados
Redefinição de senha de autoatendimento
Envie um link de redefinição respondendo à pergunta de registro
Redefinição de senha assistida
Redefinir senha após autenticação com helpdesk
entrar SSO
Armazenamento de identidade centralizado
Verifique o acesso a vários recursos de uma só vez
Fraqueza: Ponto único de falha, se a senha for obtida todos os recursos podem ser acessados
Instância de SSO
Cérbero
Protocolo de autenticação de identidade
Baseado em criptografia simétrica
Um exemplo de logon único em um ambiente distribuído
Fornece segurança de ponta a ponta
Integridade e confidencialidade são fornecidas, a disponibilidade não é garantida
Componentes principais:
Centro de distribuição de chaves KDC
Serviço de autenticação de identidade (Serviço de Autenticação,AS)
serviço de concessão de ingressos (Serviço de concessão de ingressos, TGS)
Chave secreta: compartilhada entre KDC e principal (As chaves são armazenadas no KDC)
Chave de sessão: segredo compartilhado entre dois principais, destruído no final da sessão
fraqueza:
KDC é um ponto único de falha
A chave secreta é armazenada temporariamente na estação de trabalho do usuário
A chave de sessão reside na estação de trabalho do usuário
SÉSAMO
Usando criptografia simétrica e assimétrica
Componentes principais:
Servidor de atributos privilegiados (PAS) (Servidor de Atributos Privilegiados)
Certificado de Atributo Privilegiado (PAC), com assinatura digital.
PAC inclui: a identidade do sujeito, a capacidade de acessar o objeto, Período de acesso e ciclo de vida do PAC
Desempenhe um papel semelhante ao KDC
Servidor de autenticação (AS) Servidor de autenticação
Cavaleiro criptográfico
baseado em ticket
autenticação em duas partes
Nenhuma sincronização de relógio é necessária, use Nonce (número aleatório único)
SAML
Logon único baseado na Web
É o padrão para gerenciamento de identidade federada
domínio de segurança
Estabeleça confiança entre domínios que compartilham políticas e gerenciamento de segurança unificados
Deslocados internos
Afirmação de segurança SA
Gerenciamento de contas
Gerenciamento centralizado de contas, diretório de identidade sincronizado
Processo simplificado de criação de aprovação de gerenciamento de identidade
identidade federada
Compartilhando informações do usuário entre várias unidades
Identidade como serviço IDaaS /SaaSIAM
Agente de identidade baseado em nuvem e serviço de gerenciamento de acesso Cloud-IAM
Gerenciamento de identidade, controle de acesso, análise inteligente
Pode realizar logon único, identidade federada, controle refinado, integração de serviços, etc.
linguagem de marcação de controle de acesso
GML
SGML
HTML
Linguagem de marcação de hipertexto (Linguagem de marcação de hipertexto)
Linguagem de marcação universal padrão (Linguagem de marcação generalizada padrão)
XML
SPML
Linguagem de marcação de configuração de serviço (provisionamento)
SAML (implementação de SSO baseado na web) (Asserção de segurança Asserção de segurança)
Um padrão baseado em XML para troca de dados de autenticação e autorização entre diferentes domínios de segurança
PDI (Provedor de Identidade)
Se houver algum problema com terceiros (IDP) todos os usuários serão afetados
XACML
Através de serviços web e outros aplicativos, Para realizar o gerenciamento e controle de ativos usando políticas de segurança e permissões de acesso
OpenID
OpenID é um padrão aberto para autenticação de usuários por terceiros
OAuth
um padrão aberto (Autorização aberta)
OAuth 2.0 usando tokens de acesso
modelo de controle de acesso (Autorização)
Modelo de controle de acesso discricionário (DAC)
Com base na autorização do usuário
Confie na discrição do proprietário do objeto
tipo
Com base na identificação de usuários e recursos
Restrições diretamente aos usuários
deficiência:
não é seguro
enfrentando problemas
cavalo de Tróia
Engenharia social
Modelo de controle de acesso obrigatório (MAC)
MAC depende de tags de segurança
Desenvolva rótulos sensíveis a objetos (Objetos têm classificação), Ao mesmo tempo, apenas usuários superiores ao nível do objeto têm permissão de acesso. (O assunto tem autorização) (Atributo inerente)
Somente administradores podem alterar o nível do objeto, não o proprietário do objeto (proprietário dos dados)
Situações de nível de segurança mais elevado: agências militares/governamentais
Modelo de controle de acesso baseado em funções (RBAC) (Também conhecido como: Controle de acesso não discricionário (Não DAC)
Use controle de acesso centralizado para determinar o acesso a assuntos e objetos
Com base nas funções do usuário
Características
Atribuir permissões com base nas responsabilidades do trabalho
Pode ser associado à estrutura organizacional
Capaz de seguir o princípio do menor privilégio
Segregação de deveres
Os usuários ou grupos correspondem às funções e concedem determinadas permissões às funções.
categoria
RBAC central
Usuários, funções, permissões, ações e sessões Deve ser definido e mapeado de acordo com a política
RBAC hierárquico
Os relacionamentos de função definem a associação de usuários e a integração de permissões
Organização da resposta e descrição funcional
tipo
nível limitado
Herança de função única
Nível normal
Herança de múltiplas funções
RBAC restrito
Introduzir separação de funções
Separação estática de funções no RBAC
Exemplo: Contabilidade e Caixa
Prevenir fraudes
Separação dinâmica de funções no RBAC
Dependendo da função na sessão ativa, Restringir permissões dinamicamente para separação adicional de tarefas
Controle de acesso baseado em regras (RuBAC)
baseado em se x então y
Use regras específicas para ditar o que pode ou não acontecer entre sujeitos e objetos.
O controle de acesso baseado em regras não é necessariamente baseado em identidade
Muitos roteadores e firewalls usam regras para determinar quais tipos de pacotes são permitidos na rede e quais são negados.
(ABAC) Controle de acesso baseado em atributos
O novo controle de acesso resolve as deficiências do RBAC. Cada recurso e usuário recebe uma série de atributos. Com base na avaliação comparativa dos atributos do usuário, como hora, posição e localização, é determinado se o usuário pode acessar um determinado recurso. . RBAC é um caso especial de ABAC.
Métodos de controle de acesso
matriz de controle de acesso (Matriz de Controle de Acesso)
Tabela matricial de relacionamentos de acesso de sujeito e objeto
Tabela de capacidade de acesso (linha na matriz)
Especifica os objetos que o sujeito pode acessar
Assume a forma de um ticket, token ou chave
Exemplo: ingressos para keberos
Lista de controle de acesso (ACL) (coluna na matriz)
Especifica quem pode acessá-lo
Tabela de permissões
Exemplo: Configuração de firewalls e roteadores
Controle de acesso baseado em conteúdo (dependente do conteúdo)
O acesso ao objeto depende do conteúdo do objeto
Exemplo: regras de filtragem baseadas em conteúdo Firewall de filtragem de pacotes
Controle de acesso sensível ao contexto (dependente do contexto)
Decisões de acesso baseadas em contexto
Exemplo: Firewall de inspeção com estado
Interface de usuário restritiva
incluir:
cardápio
concha
Visualização do banco de dados (criar visualização)
Interface fisicamente restrita
Métodos de gerenciamento de controle de acesso
Protocolo de autenticação
Protocolo de autenticação de senha, PAP (Protocolo de autenticação de senha)
Protocolo de autenticação de handshake de desafio, CHAP (Protocolo de autenticação de handshake de desafio)
Protocolo de autenticação extensível, EAP (Protocolo de autenticação extensível)
Gerenciamento centralizado de controle de acesso (Administração centralizada de controle de acesso)
RAIO
Autenticação e autorização combinadas
Usar UDP
Criptografe apenas senhas transmitidas entre o cliente RADIUS e o servidor RADIUS
TACACS
Usar TCP
Suporta senha dinâmica
Usando arquitetura AAA, Autenticação, autorização e auditoria separadas
Criptografe todo o tráfego entre cliente e servidor
Diâmetro
acordo básico
protocolo estendido
Construído com base no acordo básico, Capacidade de estender vários serviços, como VoIP, etc.
Gerenciamento descentralizado de controle de acesso
Uma abordagem controla o acesso de quem está próximo a um recurso para entender melhor quem deve ou não ter acesso a determinados arquivos, dados e recursos.
Comparado:
O controle de acesso centralizado tem um único ponto de falha e o acesso unificado é eficiente
Controle de acesso descentralizado: baseado na autorização do usuário, sem ponto único, falta de consistência
Gerenciamento de controle de acesso
categoria
controle de gerenciamento
estratégias e medidas
controle de pessoal
estrutura regulatória
Conscientização e treinamento de segurança
teste
controle físico
segmentação de rede
segurança perimetral
controle de computador
Isolamento regional
fiação
área de controle
controle técnico
acesso ao sistema
arquitetura de rede
acesso à rede
Criptografia e protocolos
auditoria
Responsabilidade
A função de auditoria garante que os usuários sejam responsáveis por suas ações, garante a segurança da aplicação das políticas de segurança e pode ser usada como uma ferramenta de investigação
Monitoramento de controle de acesso
Sistema de detecção de intrusão, IDS (Sistema de detecção de intrusão)
composição:
sensor
Analisador
Interface do administrador
Classificação:
IDs de rede (NIDS)
Monitore as comunicações de rede
IDs de host (ESCONDE)
Analise a atividade dentro de um sistema de computador específico
IDs característicos (Falso negativo)
A eficiência depende da atualização do banco de dados de recursos
IDS baseado em conhecimento ou em recursos
Com base no banco de dados de assinaturas de ataque específico existente ou na base de conhecimento, Faça correspondência de padrões
IDS com estado
Preste atenção à lacuna entre o processo de pré-invasão e de intrusão Status da atividade, combinando com regras predefinidas
IDS anormais (comportamental/heurística) (falso positivo)
IDS de anomalia estatística
Desvantagens: falsos positivos
Vantagens: Capacidade de detectar ataques de dia zero ou ataques “pequenos e lentos”
O IDS não deve ser atacado quando estiver em modo de aprendizagem. Caso contrário, os ataques não poderão ser detectados
O acordo em si é falho
IDS de tipo de anomalia de tráfego
Crie uma linha de base de tráfego normal
IDs normais
Baseado em sistema especialista, baseado nas regras de if x the y
Sistema de prevenção de intrusão, IPS (Sistema de prevenção de intrusões)
Detecção passiva de IDS
Defesa ativa
Honeypot (controle de detetive) (jurídico)
Honeypots são uma tentação
é legal
Uma armadilha não é um honeypot
Ilegal e não pode ser usado como prova
Ameaças enfrentadas
Métodos de ataque de senha
monitoramento eletrônico
Monitorando o tráfego, capturando informações de senha e conduzindo ataques de repetição
acessar arquivo de senha
Acesse o arquivo de senha no servidor
Ataque de força bruta (quebra de força bruta)
Percorra todos os caracteres, números e símbolos possíveis para adivinhar senhas
ataque de dicionário
Construa um arquivo de dicionário para comparar com a senha do usuário
Engenharia social
Redefina sua senha ligando ou falsificando sua senha
mesa arco-íris
Inclui todas as senhas com hash
registro de teclas
Conselhos sobre segurança de senha
Verificador de senha
Ferramentas para testar a força da senha
Hashing e criptografia de senha
Ciclo de vida da senha
Especifique o período de alteração de senha
Lembre-se do número de senhas históricas
Limite o número de logins
Cartões inteligentes sob ataque
ataque de canal lateral
Análise de potência diferencial (análise de potência diferencial)
Veja a quantidade de energia emitida pelo processo de tratamento
análise eletromagnética (análise eletromagnética)
Ver frequência de transmissão
Análise de tempo (Análise de tempo)
Calcule o tempo necessário para uma função específica
ataque de software
Insira informações no cartão inteligente para recuperar instruções do usuário
geração de falhas (geração de falha)
Causar erros através de alguns componentes do ambiente
Inclui: flutuações de temperatura, alteração da tensão de entrada, frequência do relógio
ataque direto
Exploração de microáreas (microssondagem)
Use uma agulha e vibração ultrassônica para remover o material protetor externo no caminho do ponto do cartão inteligente, Conecte-se diretamente ao chip ROM do cartão inteligente para acessar e manipular os dados nele contidos
vazamento de informação
Capítulo 1: Engenharia Social
Capítulo 3: Passagem Secreta
Capítulo 8: Código Malicioso
reutilização de objetos
Locais de memória, variáveis e registros não são limpos antes da alocação de objetos
Arquivos e tabelas de dados não são limpos antes da alocação de objetos
segurança contra radiação
A concha metálica da gaiola de Faraday, Certifique-se de que os dispositivos eletrônicos emitam sinais dentro de um determinado intervalo
Ruído branco
Sinal eletrônico aleatório com espectro uniforme Incapaz de obter informações de ondas eletromagnéticas
área de controle
Materiais especiais são usados na superfície do dispositivo para proteger sinais eletrônicos
Necessidade de criar um perímetro de segurança
Problemas no processo de autorização
O empoderamento se arrasta (rastejar)
Ganhar cada vez mais autoridade devido a transferências de cargos ou departamentos
Falsificação de login
Phishing phishing
Engenharia social como meio de ataque
Crie sites semelhantes a sites legítimos
Enxerto de URL farmacêutico
Envenenamento de DNS
Redirecionar para endereço IP ou URL ilegal
roubo de identidade