Wondershare EdrawMind
Galleria mappe mentale Note dello studio CISSP-14 (controllo e monitoraggio dell'accesso)
- 4
Note dello studio CISSP-14 (controllo e monitoraggio dell'accesso)
Questa è una mappa mentale sulle note di studio CISSP-14 (Controllo e monitoraggio dell'accesso). Il contenuto principale include: domande di revisione, punti chiave dell'esame e punti di conoscenza.
Modificato alle 2024-03-08 10:42:16
Note dello studio CISSP-14 (controllo e monitoraggio dell'accesso)
- Consigliato per te
- Profilo
Note di studio CISSP-1 (Principi e strategie per l'implementazione della governance della sicurezza)
- 17
Note dello studio CISSP-14 (controllo e monitoraggio dell'accesso)
Punti di conoscenza
Confronta i modelli di controllo degli accessi
Confronta permessi, diritti e privilegi
Autorizzazioni
Diritti di accesso agli oggetti
Giusto
La capacità di intraprendere azioni sugli oggetti, come il backup e il ripristino dei dati
piccola differenza
privilegio
Una combinazione di diritti e autorizzazioni
Comprendere il meccanismo di autorizzazione
Rifiuto implicito
Nega per impostazione predefinita
matrice di controllo degli accessi
Elenco contenente soggetti, oggetti e autorizzazioni
Tabella delle abilità
Il modo in cui il soggetto assegna le autorizzazioni, concentrandosi sul soggetto e l'ACL focalizzandosi sull'oggetto
interfaccia di vincolo
controllo basato sui contenuti
Banca dati
controllo basato sul contesto
Se l'acquisto non viene completato non sarà possibile sfogliare il contenuto dell'e-book
Bisogno di sapere
minimo privilegio
Necessità di sapere - autorizzazione all'accesso, privilegio minimo - il diritto di eseguire operazioni
Separazione dei compiti
Definire i requisiti utilizzando le policy di sicurezza
Le politiche di sicurezza non descrivono come soddisfare i requisiti di sicurezza o come implementare le politiche. I professionisti utilizzano le politiche di sicurezza come guida per i requisiti di sicurezza.
Presentazione del modello di controllo degli accessi
Controllo accessi discrezionale DAC
L'oggetto ha un proprietario e il proprietario consente o nega ad altri soggetti l'accesso all'oggetto NTFS di Microsoft utilizza DAC
Possibilità di delegare l'autorità ai custodi dei dati
L'accesso basato sull'identità è un sottoinsieme
Oggetto di controllo ACL, la vittoria è
Controllo degli accessi basato sui ruoli RBAC
Inserisci l'oggetto nel ruolo e assegna le autorizzazioni al ruolo
ruolo di gruppo
Previeni la diffusione dei privilegi in ambienti con frequenti cambi di personale
La differenza è TBAC: controllo degli accessi basato su attività, come Project
Controllo degli accessi basato su regole
regole globali
firewall
Controllo degli accessi basato sugli attributi ABAC
SDN utilizza ABAC
Ad esempio, consenti agli utenti con dispositivi mobili di accedere al dispositivo per un determinato periodo di tempo
Forte controllo degli accessi MAC
etichetta, griglia
Sia il soggetto che l'oggetto sono rappresentati da etichette
La composizione del soggetto deve richiedere l'ottenimento di un'etichetta e, in base all'etichetta, è possibile ottenere un oggetto con accesso alla stessa etichetta.
Si saprà che sarà necessario rafforzare l’area di quarantena
Classificazione ambientale
ambiente stratificato
L'alto può accedere al basso, ma non può accedere all'alto.
Ambiente di partizione
Dominio, isolamento, soggetto deve avere l'autorizzazione per accedere a un altro dominio
ambiente misto
Il MAC è più sicuro del DAC, ma meno flessibile e scalabile
Controllo degli accessi basato sul rischio
Utilizza l'apprendimento automatico per fare previsioni basate sull'attività passata
dispositivo mobile
Autenticazione a più fattori
accesso non discrezionale
Implementare il sistema di autenticazione
Implementazione di SSO su Internet
XML
SAML
Basato su XML, fornire SSO che supporti l'accesso tramite browser
OAut
standard aperti
2.0 non è compatibile con 1.0
Fornisci solo l'autorizzazione
OpenID
standard aperti
OIDC
Utilizzando il framework di autorizzazione OAuth2.0
Fornisce l'autenticazione e l'autorizzazione dell'identità allo stesso tempo
Confronta SAML, OAuth, OpenID, OIDC
SAML
Fornire informazioni su autenticazione, autorizzazione e attributi
Utilizza tre entità: principale, fornitore di servizi, fornitore di identità
OAut
Framework di autorizzazione, non protocollo di autenticazione
Utilizza l'API
gettone
OpenID
Standard di autenticazione dell'identità
Gestito dalla Fondazione OpenID
OIDC
Fornire l'autenticazione e l'autorizzazione dell'identità
Basato su OpenID, ma utilizzando token Web JSON
Implementare SSO sulla rete interna
Accordo AAA
Kerberos
centro di distribuzione chiave
Server di autenticazione dell'identità
biglietto
biglietto di concessione dei biglietti
corpo principale
campo
RAGGIO
TACACS
Comprendere gli attacchi al controllo degli accessi
Attacchi comuni al controllo degli accessi
Rubare credenziali
Ignora il meccanismo di autenticazione
aumento dei privilegi
Utilizzo dei comandi su e sudo
Ridurre al minimo l'uso dei comandi sudo
Attacco alla password
attacco al dizionario
Attacco di forza bruta
attacco a getto
Attacco speciale di forza bruta per aggirare il blocco dell'account
Attacco di credential stuffing
Attacca un sito web per scaricare nomi utente e password, quindi attacca gli account della stessa persona su altri siti web
attacco di compleanno
attacco al tavolo arcobaleno
Sale
Pepe nero
Mimikatz
Cattura password, hash, ticket, chiavi private
passare l'attacco hash
I sistemi Win che utilizzano NTLM o Kerberos sono i più vulnerabili agli attacchi
Attacco exploit Kerberros
Attacco pass-the-hash
consegna dei biglietti
Ottieni i ticket nel processo lsass.exe
certificato d'argento
Intercetta il valore hash NTLM dell'account di servizio per creare un ticket
Concessione servizio biglietto TGS, non TGT
biglietto d'Oro
Puoi creare ticket a tuo piacimento dopo aver ottenuto il valore hash TGT
Cracking a forza bruta di Kerberos
ASREPRosto
La preautenticazione Kerberos non è abilitata
Kerberosting
La preautenticazione Kerberos non è abilitata
Raccogli i biglietti TGS crittografati
Attacco con fiuto
attacco di spoofing
Metodi di protezione del nucleo
Punti d'esame
Comprendere i concetti formativi del modello di controllo degli accessi basato sui ruoli (RBAC). Il modello RBAC utilizza ruoli basati su attività, in cui gli utenti ottengono privilegi quando un amministratore assegna un account utente a un ruolo o gruppo. Quando un utente viene rimosso da un ruolo, le autorizzazioni ottenute dall'utente tramite l'appartenenza al ruolo vengono revocate.
Comprendere i concetti fondamentali del modello DAC di controllo degli accessi discrezionali. Il modello di controllo degli accessi basato su regole utilizza regole di gruppo, restrizioni o filtri per determinare l'accesso. L'elenco di controllo degli accessi di un firewall definisce un elenco di regole che consentono e bloccano l'accesso.
Comprendere i concetti fondamentali del modello RBAC di controllo degli accessi basato sui ruoli. Il modello RBAC utilizza ruoli basati su attività Quando un amministratore assegna un account utente a un ruolo o gruppo, l'utente ottiene privilegi. La rimozione di un utente da un ruolo revocherà le autorizzazioni ottenute dall'utente tramite l'appartenenza al ruolo
Comprendere i concetti fondamentali del modello di controllo degli accessi basato su regole. Il modello di controllo degli accessi basato su regole utilizza una serie di regole, restrizioni o filtri per determinare l'accesso. L'elenco di controllo degli accessi di un firewall definisce l'elenco delle regole che consentono l'accesso e organizzano l'accesso
Informazioni sui metodi Single Sign-On utilizzati su Internet. Il Single Sign-On (SSO) è un meccanismo che consente a un soggetto di autenticarsi una volta per accedere a più oggetti senza doversi autenticare nuovamente. Security Assertion Markup Language (SAML) è uno standard aperto basato su XML per lo scambio di informazioni di autenticazione e autorizzazione. OAuth 2.0 è un framework di autorizzazione descritto nella RFC 6749 e supportato da molti siti Web online. OASIS mantiene OpeniD e OpenID (ComecOIDC) fornisce l'autenticazione dell'identità. OIDC utilizza il framework OAutb e si basa sullo standard OpenID per fornire autenticazione e autorizzazione.
Ding spiega i concetti fondamentali del modello di controllo degli accessi basato sugli attributi (ABAC). Il modello ABAC è un'implementazione avanzata del modello di controllo degli accessi basato su regole, utilizzando regole basate sugli attributi. Il networking definito dal software (SDN) adotta spesso il modello ABAC.
Comprendere i concetti fondamentali del modello di controllo degli accessi obbligatori (MAC). Il modello MAC utilizza etichette per identificare i domini di sicurezza. L'oggetto deve avere tag corrispondenti per accedere all'oggetto. Il modello MAC applica il principio della necessità di sapere e supporta ambienti a più livelli, ambienti partizionati o un ambiente ibrido che è una combinazione dei due. I modelli MAC sono spesso chiamati modelli basati su reticolo.
Comprendere i concetti fondamentali del modello di controllo degli accessi basato sul rischio. Il modello di controllo degli accessi basato sul rischio valuta l'ambiente e gli scenari e prende decisioni sulla base di policy di sicurezza basate su software. Questo modello può controllare l'accesso in base a una serie di fattori, ad esempio la posizione dell'utente in base all'indirizzo IP, se l'utente ha effettuato l'accesso utilizzando l'autenticazione a più fattori e il dispositivo che l'utente sta utilizzando. La sua implementazione avanzata può utilizzare l’apprendimento automatico per valutare il rischio.
Ulteriori informazioni su Kerberos. Kerberos è il metodo Single Sign-On più comunemente utilizzato dalle organizzazioni. Lo scopo principale di Kerberos è l'autenticazione dell'identità Kerberos utilizza la crittografia simmetrica e il ticket water per dimostrare l'identità e fornire l'autenticazione dell'identità. Il server e il servizio Network Time Protocol (ANTP) sono sincronizzati nel tempo e tutti i client nella rete sono sincronizzati nel tempo.
Comprendere lo scopo dell'accordo AAa. Alcuni protocolli AAA forniscono servizi centralizzati di autenticazione, autorizzazione e contabilità. I sistemi di accesso alla rete (o accesso remoto) utilizzano il protocollo AAA. Ad esempio, un server di accesso alla rete è un client di un server RADIUS e un server RADIU fornisce servizi AAA. RADIUS utilizza il protocollo UDP e crittografa solo le password. TACACS utilizza il protocollo TCP e crittografa l'intera sessione. Diametro è basato su RADIUS e migliora molti dei difetti di RADIUS, ma Diametro non è compatibile con RADIUS.
Ulteriori informazioni sull'escalation dei privilegi. Dopo che un utente malintenzionato ha compromesso un singolo sistema, utilizza tecniche di escalation dei privilegi per ottenere privilegi aggiuntivi. Gli aggressori spesso tentano innanzitutto di ottenere privilegi aggiuntivi su un sistema compromesso. L'aggressore potrebbe quindi accedere anche ad altri sistemi della rete e tentare di ottenere privilegi più elevati. Limitando i privilegi degli account dei sottoservizi, inclusa la riduzione al minimo dell'uso degli account sudo, è possibile ridurre la percentuale di successo di alcuni attacchi di escalation dei privilegi.
Scopri di più sugli attacchi pass-the-hash. Un attacco pass-the-hash consente a un utente malintenzionato di impersonare un utente sfruttando un hash catturato della password di un utente (invece della password dell'utente). Gli attacchi pass-the-hash in genere sfruttano le vulnerabilità NTLM, ma gli aggressori possono anche lanciare attacchi simili contro altri protocolli, incluso Kerberos.
Ulteriori informazioni sugli attacchi exploit Kerberos. Gli attacchi Kerberos tentano di sfruttare le vulnerabilità nei ticket Kerberos. In alcuni attacchi, gli aggressori catturano i ticket salvati nel processo lsas.exe e lanciano un attacco pass-the-ticket. Il biglietto argento concede tutte le autorizzazioni all'account di servizio dell'aggressore. Ottenere l'hash della password dell'account del servizio Kerberos (KRBTGT) consente a un utente malintenzionato di creare un golden ticket, creando così ticket arbitrari all'interno di Active Directory.
Scopri come funzionano gli attacchi con forza bruta e dizionario. Attacchi di forza bruta e attacchi di codice che prendono di mira file di database di password rubate o richieste di accesso al sistema per ottenere password. In un attacco di forza bruta, l'aggressore ricerca tutte le possibili combinazioni di caratteri della tastiera, mentre un attacco con dizionario utilizza un elenco predefinito di possibili password. I controlli di blocco degli account proteggono efficacemente dagli attacchi online.
Scopri come funziona Salt and Pepper per prevenire attacchi con password. Il salting aiuta a proteggersi dagli attacchi Rainbow Table aggiungendo bit extra alla password prima dell'hashing. Alcuni algoritmi, come Argon2, borypt e la funzione di derivazione della chiave basata su password 2PBKDF2), aggiungono sale ed eseguono l'algoritmo hash ripetutamente più volte. Il salt è archiviato nello stesso database dell'hash della password. Il pepe è una costante molto grande che aumenta ulteriormente la sicurezza della password con hash, archiviata da qualche parte al di fuori del database delle password con hash.
Ulteriori informazioni sugli attacchi di sniffing. In un attacco di sniffing (o attacco di snooping), un utente malintenzionato utilizza uno strumento di acquisizione di pacchetti (come uno sniffer o un analizzatore di protocollo) per acquisire, analizzare e leggere i dati inviati sulla rete. Gli aggressori possono leggere facilmente i dati inviati in chiaro sulla rete, ma la crittografia dei dati trasmessi può proteggere da tali attacchi.
Ulteriori informazioni sugli attacchi di spoofing. Lo spoofing consiste nel fingere di essere qualcosa o qualcun altro e può essere applicato a vari tipi di attacchi, inclusi gli attacchi al controllo degli accessi. Gli aggressori spesso tentano di ottenere le credenziali di un utente e quindi di assumerne l'identità. Gli attacchi di spoofing includono lo spoofing della posta elettronica, lo spoofing dei numeri di telefono e lo spoofing dell'IP. Molti attacchi di phishing utilizzano metodi di inganno.
Rivedi le domande
1 Quale delle seguenti affermazioni descrive meglio il principio del rifiuto implicito? R. Consenti tutte le operazioni non esplicitamente negate. B. Ogni comportamento non espressamente consentito è vietato. C. Tutte le azioni devono essere esplicitamente rifiutate. D. Nessuna delle precedenti.
B
2. Una tabella include più oggetti e soggetti, identificando i diritti di accesso specifici di ciascun soggetto a diversi oggetti. questa forma come si chiama? A. Elenco di controllo degli accessi B. Matrice di controllo degli accessi C. Alleanza D. Crescita dei privilegi
B
3 Stai esaminando più da vicino i modelli di controllo degli accessi e desideri implementare un modello che consenta ai proprietari degli oggetti di concedere privilegi ad altri utenti. Quale dei seguenti modelli di controllo degli accessi soddisfa questo requisito? A. Modello di controllo degli accessi obbligatorio (MAC). B. Modello di controllo discrezionale degli accessi (DAC). C. Modello di controllo degli accessi basato sui ruoli (RBAC). D. Modello di controllo degli accessi basato su regole
B
4.Quale dei seguenti modelli di controllo degli accessi consente ai proprietari dei dati di modificare le autorizzazioni? A. Controllo discrezionale degli accessi (DAC) B. Controllo degli accessi obbligatorio (MAC) C. Controllo degli accessi basato su regole D.Controllo degli accessi basato sul rischio
UN
5. L'autorità di autorizzazione centralizzata determina a quali file gli utenti possono accedere in base alla gerarchia dell'organizzazione. Con quale delle seguenti affermazioni è più coerente a questo punto? A. Modello DAC B. Elenco di controllo degli accessi (ACL) C. Modello di controllo degli accessi basato su regole D. Modello RBAC
D
6. Quale delle seguenti affermazioni sul modello RBAC è corretta? R. Il modello RBAC consente agli utenti di essere membri di più gruppi. B. Il modello RBAC consente agli utenti di essere membri di un singolo gruppo. C. Il modello RBAC non è gerarchico. Il modello D.RBAC utilizza etichette.
UN
7. Stai esaminando più da vicino i diversi modelli di controllo degli accessi. Quale delle seguenti opzioni descrive meglio il modello di controllo degli accessi basato su regole? R. Utilizzare le regole locali che si applicano individualmente agli utenti. B. Utilizzare regole globali che si applicano individualmente agli utenti. C. Utilizzare regole locali che si applicano equamente a tutti gli utenti. D. Utilizzare regole globali che si applichino equamente a tutti gli utenti.
D
8. La tua organizzazione sta valutando la possibilità di implementare una rete definita dal software (SDN) nel data center. Quali sono i modelli di controllo degli accessi comunemente utilizzati in SDN? A. Modello di controllo degli accessi obbligatorio (MAC). B. Modello di controllo degli accessi basato sugli attributi (ABAC). C. Modello di controllo degli accessi basato sui ruoli (RBAC). D. Modello di controllo discrezionale degli accessi (DAC).
B
9 modelli MAC supportano diversi tipi di ambienti. Per tag specifici, quale dei seguenti supporta l'accesso utente assegnando tag predefiniti? UN. Ambiente di partizione B. Ambiente stratificato C. Ambiente centralizzato D.Ambiente misto
B In un ambiente gerarchico, varie etichette di classificazione vengono assegnate in una struttura ordinata da bassa sicurezza ad alta sicurezza. Il modello MAC (Mandatory Access Control) supporta tre ambienti: a più livelli, partizionato e ibrido. Un ambiente partizionato ignora i livelli e consente l'accesso solo a una singola area isolata di un livello. Un ambiente ibrido è una combinazione di ambienti a più livelli e partizionati. Il modello MAC non utilizza un ambiente centralizzato.
10. Quale dei seguenti modelli di controllo accessi individua limiti di accesso superiori e inferiori per i soggetti muniti di tag? A. Controllo degli accessi non discrezionale B. Controllo degli accessi obbligatorio (MAC) C. Controllo discrezionale degli accessi (DAC) D. Controllo degli accessi basato sugli attributi (ABAC)
B I modelli MAC utilizzano etichette per identificare i limiti superiori e inferiori sui livelli di classificazione
11.Quale dei seguenti modelli di controllo degli accessi utilizza tag e viene spesso definito modello basato su reticolo? A.DAC B. Non autonomo C.MAC D.RBAC
C
12. La direzione si aspetta che gli utenti utilizzino l'autenticazione a più fattori quando accedono alle risorse cloud. Quale dei seguenti modelli di controllo degli accessi soddisfa questo requisito? A. Controllo degli accessi basato sul rischio B. Controllo degli accessi obbligatorio (MAC) C. Controllo degli accessi basato sui ruoli (RBAC) D. Controllo discrezionale degli accessi (DAC)
UN Un modello di controllo degli accessi basato sul rischio può richiedere agli utenti di autenticarsi utilizzando l'autenticazione basata sui fattori. Nessuno degli altri modelli pull di accesso elencati nella domanda può valutare il modo in cui un utente accede.
13.Quale dei seguenti modelli di controllo degli accessi determina i diritti di accesso in base all'ambiente e al contesto? A. Controllo degli accessi basato sul rischio B. Controllo degli accessi obbligatorio (MAC) C. Controllo degli accessi basato sui ruoli (RBAC) D. Controllo degli accessi basato sugli attributi (ABAC)
UN
14. Un fornitore di servizi cloud ha implementato la tecnologia SSO utilizzando i token Web JSON. Il token fornisce informazioni di autenticazione e include il profilo utente. Quale delle seguenti definizioni identifica meglio questa tecnologia? A. OIDC B.OAuth C.SAML D.OpenID
UN
15. Alcuni utenti della rete riscontrano problemi di autenticazione con il server Kerberos. Durante la risoluzione dei problemi, verifica di poter accedere al tuo solito computer di lavoro. Tuttavia, non è possibile accedere al computer di un utente utilizzando le proprie credenziali. Quale delle seguenti soluzioni è più probabile che risolva questo problema? A. Standard di crittografia avanzato (AES) B. Controllo dell'accesso alla rete (VAC) C. Security Assertion Markup Language (SAML) D.Protocollo temporale di rete (NTP)
D Configurando il computer centrale per la sincronizzazione dell'ora con un server NTP esterno e disponendo di tutti gli altri sistemi NTP mantiene l'ora sincronizzata, risolve il problema ed è la scelta migliore. Kerberos richiede che i computer si trovino entro 5 minuti l'uno dall'altro e questo scenario e le opzioni disponibili indicano che il computer dell'utente non è sincronizzato con il server Kerberos. Kerberos utilizza la crittografia AES. Tuttavia, poiché l'utente ha effettuato correttamente l'accesso a un computer, ciò indica che Kerberos funziona e che AES è installato. NAC controlla lo stato del sistema dopo che un utente si è autenticato. NAC non impedisce agli utenti di accedere. Alcuni sistemi di gestione delle identità federate utilizzano SAML, ma Kerberos non richiede SAML.
16 La tua organizzazione dispone di un'ampia rete che supporta migliaia di dipendenti e utilizza Kerberos. Quale tra i seguenti è un uso primario? UN. Riservatezza B. Completezza C. Autenticazione dell'identità D.Responsabilità
C
17. Qual è il ruolo del server di accesso alla rete nell'architettura RADIUS? A. Server di autenticazione B. Cliente Server C.AAA D. Firewall
B I server di accesso alla rete sono client nell'architettura RADIUS. Il server RADTUS è un server di autenticazione dell'identità che fornisce servizi di autenticazione, autorizzazione e contabilità dell'identità (AAA). Il server di accesso alla rete potrebbe avere un firewall host abilitato, ma questa non è la sua funzionalità principale.
18. Larry gestisce un server Linux. A volte Lary ha bisogno di eseguire comandi con privilegi di livello root. Se un utente malintenzionato compromette l'account di Larry, il management vuole assicurarsi che l'utente malintenzionato non possa eseguire comandi con privilegi di livello root. Quale delle seguenti è l'opzione migliore? A. Concedere a Larry l'accesso sudo. B. Dai a Larry la password di root. C. Aggiungi l'account di Larry al gruppo Amministratori. D. Aggiungere l'account di Larry all'account LocalSystem.
B
19. Gli aggressori utilizzano strumenti per sfruttare le vulnerabilità in NTLM. Identificano l'account dell'amministratore. Sebbene non sia stata ottenuta la password dell'amministratore, l'aggressore è riuscito ad accedere al sistema remoto fingendosi l'amministratore. Quale delle seguenti definizioni descrive meglio questo attacco? A. Consegna dei biglietti B. Biglietto d'Oro C.Tavolo arcobaleno D. Passaggio dell'hash
D NTLM è noto per essere vulnerabile a un attacco pass-the-hash, meglio descritto da questo campo. Gli attacchi Kerberos tentano di manipolare i ticket, come gli attacchi pass-the-ticket e gli attacchi golden ticket, ma questi non sono attacchi NTLM. Gli attacchi Rainbow Table utilizzano le Rainbow Table negli attacchi di forza bruta offline.
20. I servizi della tua organizzazione hanno recentemente subito una grave violazione dei dati. Dopo un'indagine, gli analisti della sicurezza hanno scoperto che gli aggressori utilizzavano i golden ticket per accedere alle risorse di rete. Quale elemento ha sfruttato la vulnerabilità? A. RAGGIO B.SAML C. Kerberos D.OIDC
C