Wondershare EdrawMind
Galleria mappe mentale Note dello studio CISSP-Ambito 5 (Gestione dell'accesso all'identità)
- 13
Note dello studio CISSP-Ambito 5 (Gestione dell'accesso all'identità)
Questa è una mappa mentale sugli appunti di studio del CISSP - Dominio 5 (Gestione dell'accesso all'identità). Il contenuto principale include: domande di revisione e punti di conoscenza.
Modificato alle 2024-04-02 12:32:49
Note dello studio CISSP-Ambito 5 (Gestione dell'accesso all'identità)
- Consigliato per te
- Profilo
Modello di abilità di risposta alle domande di geografia per l'esame di ammissione all'università
- 9
Tecniche di risposta alle domande sull'applicazione della lingua cinese per l'esame di ammissione all'università
- 9
![Istituzione e attuazione del sistema di gestione della sicurezza degli elementi di gestione della sicurezza [Versione pratica]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594747/2024-6-1/1717213881/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Istituzione e attuazione del sistema di gestione della sicurezza degli elementi di gestione della sicurezza [Versione pratica]
- 6
![Dischi di rottura per impianti di sicurezza [Riepilogo Normativa]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594747/2024-6-1/1717214770/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Valvola di sicurezza del dispositivo di sicurezza [versione con principio di funzionamento]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594747/2024-6-1/1717214925/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Valvola di sicurezza del dispositivo di sicurezza [versione con principio di funzionamento]
- 16
![Valvole di sicurezza per impianti di sicurezza [Riepilogo normativa]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594747/2024-6-1/1717214959/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Predisposizione procedure operative [Versione integrata leggi e regolamenti]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594747/2024-6-1/1717246787/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Note dello studio CISSP-Ambito 5 (Gestione dell'accesso all'identità)
Punti di conoscenza
5.1. Controllo dell'accesso fisico e logico alle risorse
5.1.1
5.1.1.1 Panoramica sulla gestione di identità e accessi
La gestione dell'identità e degli accessi (IAM o IDAM) è il fondamento della sicurezza delle informazioni, concentrandosi sull'identificazione e l'autenticazione delle entità che richiedono l'accesso alle risorse e garantendo un comportamento responsabile. Un'entità può essere un utente, un sistema, un'applicazione o un processo.
IAM è costituito da quattro elementi fondamentali: Identificazione, Autenticazione, Autorizzazione e Auditing (IAAAA)
5.1.1.2 Controllo degli accessi logici e fisici
1 Controllo dell'accesso fisico: comprese porte, tende, recinzioni, ecc., per controllare l'accesso fisico all'edificio.
2 Controllo logico degli accessi: coinvolge password, codici PIN o chiavi simmetriche condivise, ecc., utilizzati per accedere al sistema.
3. Strategia di controllo: è necessario comprendere le risorse dell'organizzazione e le priorità di accesso, adottare forti controlli di accesso fisico per risorse fisiche di valore e requisiti di riservatezza e adottare controlli logici per i sistemi informativi con severi requisiti di integrità dei dati.
5.1.1.3 Definizione del controllo accessi
•Oggetto:
L'entità a cui il soggetto sta tentando di accedere, ad esempio un file, un'applicazione, una struttura o un database. Gli oggetti devono soddisfare i requisiti di riservatezza, integrità, disponibilità, non ripudio e autenticità (CIANA).
•corpo principale:
Possono essere utenti umani o entità non umane come sistemi, programmi e dispositivi. Un soggetto necessita dell'accesso a un oggetto e il controllo dell'accesso definisce il modo in cui questo accesso viene concesso, utilizzato e monitorato.
•accesso:
Le operazioni che il soggetto può compiere sull'oggetto.
5.1.1.4 Informazioni
Le informazioni (compresi i dati grezzi) possono trovarsi su sistemi, dispositivi, supporti di memorizzazione, applicazioni, ecc., dove possono essere trasmesse, archiviate o elaborate.
Informazioni diverse richiedono tipi o livelli di protezione diversi. Le esigenze di protezione devono essere valutate in base al ciclo di vita delle informazioni e devono essere adottate misure corrispondenti.
5.1.2
5.1.2.1 Definizione di sistema
Un sistema è un qualsiasi insieme di hardware, software, persone, politiche, procedure e altre risorse comunemente utilizzate nel CISSP per discutere dei sistemi di informazione elettronica.
5.1.2.2 Implementazione del controllo accessi al sistema CIANA
•Riservatezza: la sicurezza delle informazioni nel sistema deve essere garantita per evitare accessi non autorizzati. Controlli dell'accesso fisico come casseforti chiuse e controlli dell'accesso logico come la crittografia dell'intero disco (FDE).
• Integrità: impedisce agli utenti non autorizzati di modificare le informazioni attraverso il controllo degli accessi.
•Disponibilità: ad esempio, gli armadietti dei server chiusi a chiave impediscono agli utenti non autorizzati di spegnere il sistema in modo dannoso o accidentale.
· Autenticità: utilizzare l'autenticazione in IAM per dimostrare che credenze, comandi o altre informazioni nel sistema sono affidabili. Dopo aver dimostrato con successo l'identità, è possibile valutare la credibilità del soggetto o le prove da lui fornite.
•Non ripudio: si basa sulla capacità del sistema IAM di identificare e autenticare in modo univoco i principali, nonché i record delle azioni del sistema e delle informazioni identificative.
5.1.2.3 IAM centralizzato
La gestione IAM centralizzata dispone di una funzione di controllo degli accessi dedicata (come un team o un dipartimento specifico) responsabile della gestione di tutti i controlli degli accessi, offrendo i vantaggi di una supervisione e un monitoraggio rigorosi. Lo svantaggio è che potrebbe esserci un singolo punto di errore.
5.1.2.4 IAM distribuito
La gestione IAM decentralizzata decentralizza le funzionalità, spesso assegnando le decisioni sul controllo degli accessi ai proprietari del sistema o delle informazioni. Ciò garantisce maggiore libertà e flessibilità, ma presenta lo svantaggio di un’applicazione incoerente e della mancanza di un controllo unificato.
5.1.3
Alcuni dispositivi potrebbero richiedere misure di sicurezza specifiche per prevenire furti o danni. Queste includono il blocco dello schermo, la cancellazione remota, la separazione delle applicazioni e delle informazioni (containerizzazione) e varie altre misure fisiche e logiche.
L'obiettivo del dispositivo IAM è proteggere gli endpoint, limitare l'accesso ai dispositivi non protetti e garantire che solo gli utenti autorizzati abbiano accesso.
5.1.4
5.1.4.1 Sistema di controllo dell'accesso fisico (PACSS)
I sistemi di controllo dell'accesso fisico includono strutture che implementano la sicurezza fisica, come cancelli, recinzioni, tornelli, badge di sicurezza e guardie.
Inoltre, sono incluse le procedure amministrative necessarie per eseguire questi controlli, come ad esempio: programmi di sorveglianza delle guardie, requisiti di badge, procedure della zona di carico e registrazione e accompagnamento dei visitatori.
Precauzioni:
•Nella progettazione del PACSS è necessario tenere conto anche delle situazioni di emergenza poiché la vita umana è la preoccupazione principale.
•I fornitori di servizi cloud (CSP) e gli smartphone di proprietà personale sono diventati nuove risorse che molte organizzazioni devono proteggere
•La complessità dei controlli selezionati deve essere proporzionale al valore dei beni da proteggere.
5.1.4.2 Elementi del sistema di controllo degli accessi fisici
1. Identificazione dell'utente e del dispositivo
Le persone vengono generalmente identificate tramite carte d'identità, adesivi o badge e gli articoli possono essere identificati utilizzando tag RFID, codici a barre o codici QR (Quick Response).
2. Recinzioni e cancelli
Le recinzioni impediscono l'ingresso indesiderato e indirizzano le persone verso punti di ingresso controllati. Il varco prevede la possibilità di effettuare controlli aggiuntivi, come l'esibizione di un badge identificativo o l'inserimento di una password, dove avviene l'identificazione e l'autenticazione.
3.Porta di sicurezza
Consentire l'ingresso solo a coloro che presentano credenziali adeguate, come l'utilizzo di una smart card, di un'app per smartphone o di un codice PIN.
4. Serrature e chiavi
5. Sensore rilevamento intrusione
Questi sensori sono controlli di rilevamento e possono rilevare accessi non autorizzati. Ad esempio, i sensori a infrarossi, acustici e di peso o pressione possono rilevare gli intrusi in base alla temperatura corporea, al rumore di vetri rotti o al movimento dell'intruso.
6 porte girevoli o doppie porte
Laddove i tornelli in genere consentono il passaggio solo a una persona alla volta, i cancelli doppi richiedono che gli utenti presentino un set di credenziali per entrare in uno spazio sicuro del vestibolo e quindi richiedano un altro set di credenziali per entrare nello spazio principale dal vestibolo.
7. Sorveglianza CCTV
8. Sicurezza
Le guardie sono una delle forme più utili, flessibili e costose di controllo degli accessi fisici.
5.1.5
1. Principio del privilegio minimo
L’accesso alle applicazioni dovrebbe seguire il principio del privilegio minimo, garantendo un accesso adeguato e non eccessivo basato sul modello di controllo degli accessi basato sui ruoli (RBAC).
2. Conosci il principio di ciò di cui hai bisogno (puoi sapere di cosa hai bisogno)
L'accesso di un'applicazione a dati specifici dovrebbe seguire il principio di sapere di cosa ha bisogno. Ad esempio, nella gestione dei dispositivi mobili (MDM), la tecnologia di containerizzazione può impedire alle applicazioni non autorizzate di accedere ai dati organizzativi attraverso l'isolamento logico.
3 Granularità dei permessi di accesso
Le applicazioni spesso forniscono più livelli di accesso utente. La granularità descrive il livello di accesso controllabile. Le applicazioni ad alta granularità supportano la personalizzazione dell'accesso di ciascun utente a oggetti specifici, mentre le applicazioni a bassa granularità consentono solo di consentire/negare l'accesso di base all'applicazione e a tutti i dati in essa contenuti. Una granularità insufficiente può portare a vulnerabilità della sicurezza.
5.2 Identificazione e autenticazione del personale di gestione, delle attrezzature e dei servizi
5.2.1. Implementazione della gestione dell'identità (IdM).
Diverse funzioni chiave della gestione delle identità (IdM):
1. Creare: stabilire l'identità elaborando la richiesta, supportando il processo di revisione e approvazione.
2. Rimozione: implementare il processo di eliminazione dell'utente per garantire la rimozione tempestiva dell'identità e dei diritti di accesso.
3. Gestione dell'identità e degli account: fornire funzioni di gestione degli account centralizzate o decentralizzate per gestire in modo efficace le identità degli utenti.
4. Gestione dei diritti di investimento: dopo la creazione dell'identità, l'IdM è responsabile dell'assegnazione dei diritti di accesso iniziali all'identità.
5. Revisione dell'identità: supervisionare e rivedere le identità degli utenti e i diritti di accesso per garantire sicurezza e conformità.
5.2.2. Autenticazione a fattore singolo e multifattore (MFA)
5.2.2.1 Fattori di autenticazione dell'identità
1. Tre tipi principali di fattori di autenticazione:
•Cosa sai (fattore conoscenza, tipo 1): password, password o risposte a domande di sicurezza, ecc.
•Che cosa hai (fattore di possesso, tipo 2): telefono cellulare, chiavetta USB, tessera di accesso, ecc.
•Cosa sei (fattori biometrici, tipo 3): impronta digitale, scansione dell'iride, ecc.
L'autenticazione a fattore singolo utilizza un fattore di autenticazione e l'autenticazione a più fattori ne utilizza due o più. Il tipo 1 è il più debole e il tipo 3 è il più forte, ma anche il tipo 3 può essere facilmente aggirato. Pertanto, si consiglia l'autenticazione a più fattori.
2 Nuovi tipi di fattori di autenticazione
Considera dove e come vengono autenticati gli utenti. Ad esempio, l'accesso da un nuovo dispositivo o da una posizione sconosciuta, l'attivazione di una richiesta di autenticazione a più fattori (MFA).
5.2.2.2 Cosa sai (Tipo 1)
Vantaggi: Semplice da usare e facile da implementare.
Svantaggi: facile da dimenticare e facilmente distrutto dagli aggressori.
1.NIST SP 800-63B ultime raccomandazioni sulla politica delle password:
Dare priorità all'usabilità rispetto alla complessità: le password complesse possono essere difficili da ricordare, consentendo più tentativi di input per tenere conto degli errori di battitura.
Aumentare la lunghezza anziché la complessità: consentire password più lunghe (ad esempio 1PassedTheCISspcertifrcation) senza aumentare la complessità (ad esempio iP@ss3dTh3C1sSp). La prima è più facile da ricordare per gli utenti, mentre la seconda può portare a blocchi più accidentali.
Meno modifiche Le password sono più difficili da indovinare o decifrare, quindi le linee guida attuali richiedono che vengano modificate solo se sono state compromesse.
2. Suggerimenti generali per la password:
•Lunghezza della password: non meno di 8 caratteri.
•Complessità della password: include lettere maiuscole, lettere minuscole, numeri e caratteri speciali.
• Durata password: modifica regolarmente le password.
•Archiviazione del codice pirimidale: archiviazione crittografata, archiviazione non testuale.
•Recupero password: strategie efficaci per affrontare l'oblio e la perdita.
•Controllo password: controlla se è stata utilizzata in precedenza.
•Valutazione della robustezza della password: chiedi agli utenti di scegliere password più efficaci.
Le organizzazioni dovrebbero sviluppare le proprie policy relative alle password in base ai requisiti di settore e di conformità.
5.2.2.3 Che cosa hai (Tipo 2)
Come certificati digitali, badge di identità o smart card, token di autenticazione fisica e applicazioni di autenticazione basate su smartphone. Di solito non viene utilizzato da solo, può essere condiviso o preso in prestito.
1. Certificato digitale: certificato elettronico che comprova l’identità e la chiave pubblica del titolare.
2. Badge numerico o smart card: con un supporto fisico che identifica l'identità dell'utente. Password di immissione della macchina per smart card o verifica dell'impronta digitale
3. Token di autenticazione fisica: un dispositivo fisico che genera un codice di autenticazione monouso.
• Token di password dinamica sincronizzata (TOTP): sincronizzazione con l'ora del server e generazione di password regolarmente.
•Token password dinamica asincrona (HOTP): attiva manualmente l'acquisizione di password dinamiche, utilizzando un nonce (un numero monouso) per garantire l'utilizzo una tantum della password. TOTP utilizza uno standard di password monouso basato sul tempo. HOTP utilizza uno standard di password monouso basato sull'algoritmo HMAC.
4. App di autenticazione basata su smartphone: app mobile che genera codici di autenticazione monouso e verifica l'identità dell'utente tramite smartphone.
5.2.2.4 Cosa sei (Tipo 3)
I fattori biometrici vengono utilizzati per identificare o verificare l'identità. Utilizzato come secondo o terzo fattore dell'AMF, non spesso utilizzato da solo.
Metodi biometrici comuni:
•Riconoscimento dell'impronta digitale: scansiona la tua impronta digitale per sbloccare il dispositivo.
·Riconoscimento della retina: esegue la scansione dei modelli dei vasi sanguigni della retina, con elevata precisione, difficile da decifrare e potrebbe divulgare informazioni sanitarie (PHI) e problemi di sicurezza.
•Riconoscimento dell'iride: scansione dei modelli dell'iride con elevata precisione, consentendo il riconoscimento a lunga distanza.
•Riconoscimento facciale: scansiona le caratteristiche del viso per sbloccare i dispositivi e catturare i criminali.
•Riconoscimento vocale: tecnologia di riconoscimento vocale per identificare le identità.
• Riconoscimento della grafia: scansiona le tracce della grafia per identificare la tua identità.
•Identificazione dell'elettrocardiogramma: scansionare l'elettrocardiogramma per identificare la persona.
5.2.2.5 Errori comuni di controllo degli accessi
· Tasso di falsi rifiuti (FRR): errori di tipo 1. I dati biometrici validi non possono essere verificati e vengono utilizzati in ambienti con elevati requisiti di sicurezza.
Falso negativo, rifiuto dell'utente corretto
•Tasso di falsa accettazione (FAR): errori di tipo 2. I dati biometrici non validi vengono erroneamente identificati come identità valide e vengono utilizzati in ambienti con bassi requisiti di sicurezza.
Falso positivo, utente sbagliato consentito
•Il tasso di errore crossover (CER) è il punto di intersezione tra FRR e FAR e viene utilizzato come valore di valutazione standard. Confrontando la precisione dei dispositivi biometrici, i dispositivi con CER inferiore sono più accurati rispetto ai dispositivi con CER più elevato.
5.2.2.6 Autenticazione a più fattori (MFA)
Soltanto le password possono essere facilmente indovinate, i token soltanto possono essere persi o rubati e i soli dati biometrici possono causare falsi positivi. Utilizzati in combinazione per aumentare la forza e la precisione.
5.2.3
La responsabilità è un meccanismo che garantisce che gli utenti o i programmi si assumano la responsabilità delle azioni che eseguono e delle decisioni che prendono. Una responsabilità efficace richiede una chiara identificazione e documentazione di chi (utente o programma) ha eseguito quale azione (comportamento). Ciò richiede di fornire a ciascun utente o programma un'identificazione univoca e di verificare l'autenticità della propria identità.
5.2.4. Gestione della sessione
La gestione della sessione inizia con l'identificazione e l'autenticazione dell'utente e termina con la disconnessione dall'applicazione o dal sistema. La protezione dei dati e dei dati scambiati durante la sessione è fondamentale. Le sessioni devono inoltre rispettare requisiti di sicurezza, come limitarne la durata e svolgersi solo tra host specifici.
1. Per ottenere una gestione sicura delle sessioni, adottare le seguenti misure:
•Potente meccanismo di autenticazione
•Chiavi di sessione ad alta resistenza
•Eccellenti algoritmi e meccanismi di crittografia
•Limitare il timeout della sessione
•Le sessioni inattive vengono automaticamente disconnesse
•Misure di controllo per rilevare attività anomale
2. Vulnerabilità della sicurezza legate alla sessione:
•Dirottamento della sessione: un utente malintenzionato si spaccia per una delle parti comunicanti con lo scopo di ottenere o manomettere informazioni.
• Dirottamento lato sessione: gli utenti sulla stessa rete dirottano le sessioni tramite lo sniffing dei pacchetti, rubano informazioni sui cookie di sessione e impersonano utenti legittimi.
•Fissazione della sessione: attacchi contro applicazioni web che riutilizzano gli ID di sessione, in cui un utente malintenzionato utilizza un ID di sessione esistente per ingannare il browser dell'utente inducendolo ad autenticarsi e rubare le credenziali.
3. Pratiche di sicurezza per la gestione delle sessioni
• Guida alle migliori pratiche per la gestione delle sessioni pubblicata da OWASP: https://shorturl.ac/owasp_session.
suggerimento:
•Utilizzare stringhe ID di sessione lunghe e complesse per evitare informazioni chiaramente identificabili.
-Impostare attributi di sicurezza appropriati, come l'attributo Secure, quando si memorizzano i token di sessione sotto forma di cookie per forzare l'uso di HTTPS.
•Seguire le migliori pratiche di sviluppo, evitare di includere ID di sessione negli URL, non condividere ID di sessione ed eliminare tempestivamente gli ID di sessione non necessari.
5.2.5 Registrazione, certificazione e identificazione
La gestione dell'identità riguarda la verifica delle informazioni dell'utente e la creazione di account utente o credenziali per stabilire l'identità. Deve considerare la sicurezza del sistema e dei suoi dati, comprese l'autenticità, la riservatezza e l'integrità.
1.Il livello di garanzia dell'identità del NIST (IALS) è diviso in 3 livelli:
•IAL1 (identità autocertificata)
Il livello più basso prevede che gli utenti autocertificano la propria identità. Non è necessario associare un individuo a un'identità verificata nella vita reale. Si applica ai sistemi in cui le conseguenze nel mondo reale non implicano responsabilità.
•IAL2 (presentare documenti di identità e prove):
Gli utenti sono tenuti a inviare documenti e certificati di identità di persona o in remoto per l'autenticazione del nome reale. Spesso utilizzato in scenari lavorativi in cui è necessario fornire al datore di lavoro documenti di identità validi.
•IAL3 (Prova di presenza fisica e revisione formale):
Il livello più alto richiede una prova di identità di persona con prove affidabili (come una carta d'identità rilasciata dal governo) e un controllo formale dell'identità e della documentazione da parte di personale CSP addestrato. La verifica personale aumenta la fiducia.
2. Il livello di garanzia richiesto dipende dai requisiti di sicurezza del sistema e dei suoi dati e dalla sensibilità del lavoro dell'utente.
Ad esempio: nelle operazioni delle compagnie aeree, potrebbero esserci requisiti di identificazione diversi per i diversi dipendenti a seconda della delicatezza del lavoro. Gli operatori di accoglienza che forniscono indicazioni sulla capacità dei passeggeri hanno un impatto minore sulla vita, sulla salute e sulla sicurezza e pertanto richiedono solo la IAL2 e il personale addetto alla manutenzione potrebbe richiedere un controllo più rigoroso.
3. Dopo che le informazioni sull'identità sono state inviate, verificate e verificate a un livello appropriato, è possibile stabilire un'identità per l'utente.
5.2.6. Gestione federata delle identità (FIM)
La Federated Identity Management (FIM) riduce il sovraccarico amministrativo e semplifica la gestione di più set di credenziali condividendo l'autenticazione utente e i diritti di accesso tra i sistemi che partecipano alla federazione. FIM è simile al Single Sign-On (sSO) ed è progettato per ridurre i costi di creazione e gestione degli account, fornire agli utenti un accesso semplice e offrire vantaggi in termini di sicurezza. Tuttavia, anche i rischi posti dalla federazione devono essere attentamente valutati. Se le pratiche di sicurezza di un'organizzazione della federazione sono insufficienti, ciò potrebbe causare rischi per la sicurezza di altri sistemi dell'intera federazione.
5.2.7 Sistema di gestione delle credenziali (CMS)
I sistemi di gestione delle credenziali consentono alle organizzazioni di gestire centralmente ID utente e password. Tali sistemi sono disponibili come prodotti software commerciali e distribuiti in locale o in un ambiente cloud.
La responsabilità principale di un CMS è creare account per gli utenti e distribuire le credenziali su richiesta su vari sistemi e sistemi di gestione delle identità centralizzati come LDAP o Microsoft Active Directory. Un sistema di gestione delle credenziali può esistere come applicazione autonoma o essere un componente di un sistema IAM.
5.2.8.Accesso singolo (SSO)
SSO è un metodo di autenticazione che consente agli utenti di accedere a più risorse con un'unica autenticazione. Le tecnologie che implementano SSO includono Kerberos e Windows Active Directory. La combinazione di SSO con la gestione delle identità federate consente di sfruttare i provider di identità di terze parti per autenticare gli utenti in risorse quali più organizzazioni e siti Web.
Vantaggi dell'SSO:
•Ridurre l'onere della gestione delle password degli utenti e ridurre il rischio di password deboli.
•Rilevare e rispondere rapidamente a comportamenti sospetti.
Svantaggi dell'SSO:
•—Niente va storto: quando un account SSO viene compromesso, tutte le applicazioni abilitate SSO vengono interessate.
5.2.9. Gestione dell'identità e degli accessi just-in-time (JIT).
Il controllo degli accessi just-in-time (JIT) applica il principio del privilegio minimo fornendo l'accesso temporaneo a un'applicazione o a una risorsa durante l'esecuzione di un'attività specifica.
Scenari comuni:
•Key Vault: in quanto elemento di gestione degli account privilegiati, un vault centrale archivia le credenziali dell'account condiviso e aumenta i privilegi entro un periodo di tempo specifico.
·Crea temporaneamente account: crea dinamicamente account temporanei con le autorizzazioni richieste in base alle esigenze, eliminali automaticamente immediatamente dopo l'uso;
·Elevazione temporanea dei privilegi: all'account vengono concessi privilegi elevati per un periodo di tempo limitato e viene automaticamente eliminato allo scadere del tempo.
5.3 Identità federate con servizi di terze parti
5.3.1. Identità come servizio (IDaas)
IDaas è un'estensione di Federated Identity (FIM) e viene utilizzato per soddisfare le esigenze di collaborazione di diversi team, dipartimenti e organizzazioni.
Spesso vengono implementate soluzioni federate come SAML e OAuth per soddisfare le esigenze IAM nei sistemi interni ed esterni.
Principali rischi degli IDaas di terze parti:
•Single point of Failure: se IDaas fallisce, i relativi sistemi diventeranno inutilizzabili.
•Perdita di controllo: il riconoscimento dell'identità è la base del controllo degli accessi e l'esternalizzazione comporta rischi elevati. Se i dati di un provider IDaaS vengono violati, l'identità di un'azienda e le informazioni di gestione degli accessi potrebbero essere influenzate.
5.3.2. All'interno dell'impresa
Il vantaggio principale di una soluzione di gestione delle identità (IdM) on-premise è il controllo completo sull'hardware e sul software utilizzato nel sistema IAM, come Lightweight Directory Access Protocol (LDAP) o Microsoft Active Directory (AD) ospitato nella sede aziendale o centro dati. )sistema.
5.3.3.Nuvola
1 I servizi di identità basati su cloud sono forniti da Identity as a Service (IDaas) di terze parti, che è responsabile dell'identificazione, dell'autorizzazione e della gestione degli accessi. Comunemente utilizzato nelle applicazioni Saas per i provider di servizi cloud utilizzati dai clienti all'interno di un'organizzazione, come Microsoft Office 365 e il cloud di Azure integrato con Active Directory.
2Le soluzioni cloud potrebbero richiedere un Cloud Access Security Broker (CASB) per controllare e filtrare l'accesso ai servizi cloud. CASB fornisce servizi di controllo degli accessi, audit e responsabilità.
3. I servizi basati sul cloud hanno elevata affidabilità e disponibilità perché il data center del fornitore di servizi cloud ha più ridondanze. I servizi basati sul cloud possono ridurre significativamente i costi rispetto ai servizi on-premise, riducendo l’acquisto e la manutenzione delle apparecchiature e la necessità di personale specializzato.
5.3.4. Tipo misto
Le soluzioni di servizi di identità ibridi combinano soluzioni di gestione delle identità basate su cloud e on-premise. Un modello ibrido offre la migliore opzione per le aziende per mantenere un certo grado di controllo godendo al tempo stesso dei vantaggi di un approccio basato sul cloud, come elasticità ed efficienza in termini di costi.
Rischi misti:
•Sono necessarie risorse sufficienti per mantenere un'implementazione IAM duale. Sebbene il passaggio al cloud possa ridurre i requisiti di manutenzione interna, un approccio ibrido non elimina completamente questa esigenza.
•Un approccio ibrido comporta gli stessi rischi dell'IAM basato su cloud perché una terza parte gestisce l'identità.
•Se l'IDaaS viene compromesso, si verificheranno ulteriori rischi poiché le risorse interne si affidano all'IAM interno sincronizzato con il provider IDaaS.
5.4. Implementare e gestire meccanismi di autorizzazione
5.4.1. Comprendere il meccanismo di autorizzazione
5.4.1.1 Confronto tra autorizzazioni, poteri e privilegi
•autorizzazione
A livello tecnico, gli utenti hanno diritti di accesso alle risorse, come leggibili, leggibili e scrivibili, eseguibili, ecc.
•Giusto
Diritti realistici, ad esempio, hai il diritto di visualizzare i dati nel database, a condizione che tu abbia il permesso di lettura.
Rispetto
•privilegio
La combinazione di autorizzazioni e diritti è chiamata privilegio.
•Diritto
I diritti si riferiscono al numero di privilegi concessi a un utente, solitamente specificati quando un account viene assegnato per la prima volta.
5.4.1.2 Comprendere il meccanismo di autorizzazione
1Rifiuto implicito (meccanismo whitelist)
Gli accessi non presenti nella whitelist verranno rifiutati. Ad esempio: gli utenti non autenticati non possono accedere al sito web.
2. Tabella delle abilità (focus sulle abilità del soggetto)
Considerare il soggetto e determinare gli oggetti a cui ha accesso e le operazioni che può eseguire. Ad esempio: i dipendenti ordinari possono accedere alle condivisioni di file, ma non possono modificarle.
3 Lista controllo accessi (prestare attenzione allo stato di accesso dell'oggetto)
Considerare l'oggetto e determinare gli utenti che possono accedere all'oggetto e le operazioni che possono essere eseguite. Ad esempio: solo gli amministratori possono accedere ai file privati.
4. Matrice di controllo degli accessi (composta da tabella di capacità e lista di controllo degli accessi)
Combina tabelle di funzionalità ed elenchi di controllo degli accessi, come il controllo degli accessi al firewall. Ad esempio: limitare l'accesso illegale attraverso i firewall.
5. Interfaccia di vincolo (limitare le operazioni dell'utente)
Limita le azioni e le visualizzazioni degli utenti. Ad esempio: il menu di sistema non può essere modificato dagli utenti comuni.
6. Controllo del contenuto dipendente (limitato dal contenuto dell'oggetto)
Limita gli utenti in base al contenuto. Ad esempio: limitare l'accesso degli utenti in base alle visualizzazioni nel database.
7. Controllo dipendente dal contesto (basato sulle azioni del soggetto o sui vincoli temporali)
Limita gli utenti in base alle azioni del soggetto o al tempo. Ad esempio: è possibile accedere ai servizi file solo durante l'orario lavorativo
8. Sapere di cosa hanno bisogno (limitare l'accesso del soggetto solo a ciò di cui ha bisogno per il lavoro)
Bisogno di sapere
9. Privilegi Minimi (Concedere ai soggetti solo i permessi necessari per svolgere il proprio lavoro)
10. Separazione dei compiti (i compiti sensibili vengono svolti da più persone)
11. Difesa in profondità (meccanismo di protezione multilivello, compresi controlli fisici, tecnici e gestionali)
5.4.1.3 Definire i requisiti utilizzando le politiche di sicurezza
La politica di sicurezza di un'organizzazione determina i requisiti di controllo degli accessi e guida l'implementazione. I moderni sistemi e ambienti informativi spesso implementano un modello ibrido di controllo degli accessi, inclusi firewall basati su regole, sistemi condivisi con controllo dinamico degli accessi e dipartimenti delle risorse umane che determinano il controllo degli accessi basato sui ruoli per specifiche funzioni lavorative e le autorizzazioni associate.
5.4.2 Controllo degli accessi basato su regole (RUBAC)
Il controllo degli accessi basato su regole (RUBAC) è un metodo per determinare l'autorizzazione in base a un elenco predefinito di regole. Per evitare confusione con il controllo degli accessi basato sui ruoli, viene spesso abbreviato in RUBAC. Come la lista degli invitati a un banchetto, quelli sulla lista possono entrare e ad altri viene negato l'ingresso.
Nei sistemi informativi, gli elenchi di controllo degli accessi (ACL) vengono spesso utilizzati per implementare RUBAC, come i set di regole del firewall, per determinare quali indirizzi IP o porte sono consentiti o bloccati.
Esistono due approcci ai sistemi basati su regole:
1. Consentito implicitamente: tutti gli accessi sono consentiti per impostazione predefinita. A meno che non ci siano norme che ne vietino specificatamente l’accesso. Ad esempio, un negozio è aperto a tutti i membri del pubblico ma allontana alcuni clienti noti per rubare.
2. Rifiuto implicito: solo le persone presenti nell'elenco approvato possono accedere, mentre ad altri viene negato l'accesso per impostazione predefinita. A volte chiamato nega tutto o consenti con eccezioni, questo approccio è una best practice di sicurezza di base perché riduce la possibilità di accesso non autorizzato.
5.4.3 Controllo degli accessi basato sui ruoli (RBAC)
Il controllo degli accessi basato sui ruoli (RBAC) è un metodo per controllare l'accesso alle risorse in base ai ruoli utente all'interno di un'organizzazione.
Vantaggi dell'RBAC:
•Assegnare autorizzazioni in base alla funzione lavorativa: RBAC riduce il rischio che il personale non autorizzato acceda a informazioni sensibili assegnando le autorizzazioni necessarie a ciascun ruolo.
•Gestione delle autorizzazioni a livello di ruolo: gli amministratori possono gestire le autorizzazioni a livello di ruolo anziché per ciascun utente, semplificando così il processo di gestione del controllo degli accessi e migliorando l'efficienza.
•Supporta l'auditing e la responsabilità: RBAC registra una traccia di controllo di chi ha accesso a quali risorse e quando, consentendo indagini sugli incidenti di sicurezza e garantendo controlli di accesso adeguati.
•Applicare il principio del privilegio minimo: seguire il principio del privilegio minimo assegnando autorizzazioni tramite RBAC per garantire che gli utenti ottengano solo le autorizzazioni necessarie per svolgere il proprio lavoro.
NOTA: è una convenzione accettata nella comunità della sicurezza che l'abbreviazione RBAC si riferisca solo al controllo degli accessi basato sui ruoli.
5.4.4 Controllo degli accessi obbligatorio (MAC)
Il controllo degli accessi obbligatori (MAC) è un modello rigoroso di controllo degli accessi comunemente utilizzato nelle organizzazioni militari e governative.
In modalità MAC, l'assegnazione dei diritti di accesso è responsabilità dell'amministratore della sicurezza, non del proprietario dei dati.
Il MAC viene implementato assegnando etichette di sicurezza a entità e volumi. Ad esempio, quando un utente ha un'etichetta di sicurezza "segreta". I documenti contrassegnati come "Top Secret" non saranno accessibili, ma saranno accessibili i documenti contrassegnati con "Segreto" o "Non riservato".
Il MAC è ampiamente utilizzato nei modelli di riservatezza e integrità come i modelli Bell-LaPadula, Biba e Clark-Wilson. In sintesi, il MAC è un metodo di controllo degli accessi rigoroso e non discrezionale adatto a organizzazioni con elevate esigenze di sicurezza.
5.4.5 Controllo discrezionale degli accessi (DAC)
Il controllo discrezionale degli accessi (DAC) è un modello di controllo degli accessi in cui il sistema o il proprietario dei dati determina quali soggetti possono accedere a una risorsa. DAC è il controllo degli accessi decentralizzato, flessibile ma difficile da gestire.
Prendiamo come esempio WeChat Moments: gli editori possono decidere se il contenuto è pubblico per altri utenti o limitato a un gruppo specifico di utenti (come amici intimi o familiari).
5.4.6.Controllo degli accessi basato sugli attributi (ABAC)
Il controllo degli accessi basato sugli attributi (ABAC) combina gli attributi di utenti, host, reti e dispositivi per prendere decisioni di accesso basate su policy. ABAC controlla in modo flessibile l'accesso in base al giorno della settimana, all'ora del giorno, al luogo di accesso, ecc.
I firewall con stato sono un esempio di firewall che valuta gli attributi del soggetto per determinare le richieste di accesso. ABAC fornisce un mezzo di controllo granulare basato su attributi e policy.
5.4.7 Controllo degli accessi basato sul rischio
Un modello di controllo degli accessi basato sul rischio tratta i rischi come cambiamenti dinamici e adegua l'autorizzazione. A differenza di modalità come RBAC e RUBAC, utilizza parametri come informazioni sulle minacce, registri di sistema e comportamento degli utenti per l'autenticazione dinamica.
Ad esempio, quando un dipartimento viene colpito da un attacco di phishing, un sistema IAM può aumentare temporaneamente la frequenza degli accessi MFA per mitigare la minaccia. Anche gli istituti finanziari utilizzano questo modello per rilevare le frodi sui conti personali, poiché il profilo di rischio cambia con il comportamento e l'attività dell'utente.
5.5. Gestire il ciclo di vita dell'identità e della fornitura dell'accesso
5.5.1 Ciclo di vita della gestione degli accessi
5.5.2. Accesso all'account e revisione dell'utilizzo
5.5.2.1 Verifica dell'accesso all'account
•Controlla oggetti: account utente (relativi a individui) e account di sistema (account non umani, come backup automatici, chiamate API, ecc.).
• Esaminare i contenuti: verificare se gli utenti dispongono di un accesso adeguato a sistemi, dati e autorizzazioni e indagare su account inattivi o dormienti, autorizzazioni eccessive e combinazioni di accesso tossiche.
•Frequenza della revisione: determinata dall'organizzazione in base agli obblighi legali, normativi e ai potenziali danni.
•Revisioni automatizzate: sfrutta strumenti di sicurezza come SIEM o SOAR per condurre revisioni automatizzate.
5.5.2.2 Revisione dell'utilizzo dell'account
•Esaminare il comportamento degli account utente e di sistema per identificare utilizzi non necessari o inappropriati e imporre la responsabilità.
• Gli audit sull'utilizzo possono essere eseguiti come parte di un audit di accesso, eseguito con strumenti automatizzati come SIEM o tramite audit casuali. Ciò è fondamentale per mantenere la sicurezza e identificare eventi sospetti come l'escalation dei privilegi degli aggressori.
5.5.3 Configurazione e deconfigurazione
•Il provisioning è il processo di concessione dell'accesso a sistemi, dati e risorse, mentre la deconfigurazione è la revoca di tali diritti di accesso. Solitamente in relazione ai cambiamenti dei dipendenti (come assunzione, uscita, trasferimento o promozione), è necessario il coordinamento con le risorse umane o il team IT per garantire un'esecuzione sicura.
•Le politiche di gestione degli accessi dovrebbero considerare i cambiamenti nell'accesso degli utenti in caso di cambiamenti ostili, amichevoli e di lavoro.
• La deconfigurazione deve rispettare le normative sulla privacy e fornire metodi appropriati per disabilitare ed eliminare i dati dell'utente, come fornire una voce di disconnessione dell'account.
5.5.4. Definizione del ruolo
I ruoli rappresentano un modo per definire l'accesso in base al reparto, alla funzione o alle responsabilità lavorative dell'utente. Segue principi di gestione degli accessi come il privilegio minimo e implementa controlli di sicurezza come la separazione dei compiti. I ruoli semplificano il processo di provisioning e deprovisioning assegnando gli utenti ai ruoli anziché autorizzarli uno per uno. L'aggiornamento continuo dell'appartenenza ai ruoli è una parte fondamentale del ciclo di provisioning e deprovisioning.
5.5.5. Elevazione dei privilegi
L'escalation dei privilegi è il processo per ottenere privilegi più elevati.
1. Escalation normale dei privilegi:
•La necessità deve essere rivista, registrata e implementata utilizzando ruoli o gruppi il più possibile. I metodi comuni includono autorizzazioni temporanee (come il comando sudo di Linux o runas di Windows) e l'accesso di emergenza.
2. Attacco all'elevazione dei privilegi:
•Attacco ad escalation verticale: un utente malintenzionato tenta di ottenere privilegi più elevati, ad esempio tramite SQL injection.
•Attacco di escalation laterale (movimento laterale): l'attaccante ottiene più autorizzazioni di account dello stesso livello.
3. Misure preventive:
•Implementare il principio del privilegio minimo
·Riparare tempestivamente le vulnerabilità
·Eseguire scansioni di vulnerabilità
·Monitorare il traffico e il comportamento della rete
·Sviluppare una politica forte in materia di password
·Formazione sulla sensibilizzazione alla sicurezza
5.6. Implementazione di un sistema di autenticazione
5.6.1 Connettività Open ID (OIDC) e Autorizzazione aperta (OAuth)
5.6.1.1 Autorizzazione aperta (OAuth)
OAuth è un protocollo aperto, la cui ultima versione è la 2.0, che consente un metodo semplice e standard per ottenere un'autorizzazione sicura da applicazioni web, mobili e desktop. Si concentra sull'autorizzazione piuttosto che sull'autenticazione.
Quattro ruoli chiave definiti da OAuth:
1) Client: qualsiasi applicazione che effettua una richiesta di accesso a una risorsa protetta.
2) Proprietario della risorsa: una persona che possiede una risorsa protetta e può concedere l'autorizzazione ad altri per utilizzare la risorsa, solitamente un utente finale, o un'applicazione o un servizio. Queste autorizzazioni vengono generalmente concesse tramite una finestra di dialogo di consenso.
3) Server di autorizzazione: qualsiasi server che emette un token di accesso al client dopo aver effettuato con successo l'autenticazione, il token viene utilizzato per ottenere l'accesso attraverso il sistema di alleanza.
4) Resource Server: qualsiasi server che ospita risorse protette che accetta e risponde alle richieste di accesso.
5.6.1.2 Connettività OpenID (OIDC)
OIDC aggiunge funzioni di autenticazione alla versione OAuth 2.0 e combina la gestione delle identità per fornire agli utenti un'esperienza di autenticazione simile a SSO.
1.ldPs e JWT
In OIDC, gli utenti possono scegliere i provider di identità (IdP), come WeChat, Weibo, Microsoft, Google, ecc.
Il provider di identità (OpenID Provider) fornisce all'utente finale un token ID, che è codificato come JWT (Json Web Token)
2. Processo per ottenere il token
L'utente seleziona un IdP e fornisce le informazioni di autenticazione alla delivering party utilizzando OAuth. Le informazioni di autenticazione in OIDC vengono passate dal provider OIDC (OP) alla delivering party (RP) sotto forma di token (WT), che contiene attestazioni sull'utente e autenticazione dell'identità per le relative attestazioni.
Riepilogo: per ridurre la confusione, ricorda che OAuth è un framework di autorizzazione, OpenID è un livello di autenticazione e OpenID Connect (OIDC) è un framework di autenticazione che si trova sopra OAuth e fornisce servizi di autenticazione e autorizzazione.
5.6.2. Security Assertion Markup Language (SAML)
Security Assertion Markup Language (SAML) è un formato dati standard open source basato su XML che scambia dati di autenticazione e autorizzazione tra le parti, in particolare fornitori di identità e fornitori di servizi. L'ultima versione è SAML2.0.
1.Processo di interazione SAML
Innanzitutto, c'è il principale (come un browser web), che effettua una richiesta a un fornitore di servizi (come un'applicazione web), che si basa sulle asserzioni di un provider di identità (IdP) per l'identificazione, l'autenticazione e l'autorizzazione dell'utente.
2 I quattro componenti di SAML.
1) Asserzioni: definisce il modo in cui gli attributi SAML, come i protocolli o i framework delle informazioni di autenticazione e autorizzazione, sono
Utilizzo del servizio.
2) Associazioni: specifica come viene eseguita la comunicazione richiesta-risposta tra i vari partecipanti (come utenti, provider di identità e provider di servizi).
3) Protocolli: specifica il modo in cui i messaggi vengono impacchettati e scambiati tra i partecipanti, inclusi HTTP e SOAP (Simple Object Access Protocol).
4) Profili: in un'implementazione SAML specifica, i profili sono una combinazione di asserzioni, associazioni e protocolli.
Confronto SAML, OAuth2, QOIDC
5.6.3
Kerberos è un popolare protocollo di autenticazione a standard aperto utilizzato in una varietà di tecnologie, tra cui Linux e UNIX, soprattutto in Active Directory di Microsoft. Kerberos è stato sviluppato dal MIT e fornisce servizi SSO e di autenticazione di sicurezza end-to-end. Funziona generando token di autenticazione, chiamati ticket, che vengono rilasciati in modo sicuro agli utenti in modo che possano accedere ulteriormente alle risorse sulla rete. Kerberos utilizza la crittografia a chiave simmetrica e le chiavi condivise invece di trasmettere le password sulla rete.
1. Diversi componenti importanti di Kerberos:
1) Committente: soggetti che utilizzano Kerberos per l'identificazione e l'autenticazione, inclusi utenti e servizi o applicazioni.
2) Key Distribution Center (KDC): utilizzato per effettuare la registrazione di nuovi utenti e mantenere un database di chiavi segrete.
3) Authentication Server (AS): Gestisce la generazione e la distribuzione dei Grant Ticket (TGT) ed esegue la verifica scambiando dati crittografati per garantire un accesso sicuro al server.
4) Ticket Granting Service (TGS): genera ticket di sessione forniti alle entità di sicurezza quando devono autenticarsi alle risorse o tra loro.
Kerberos al lavoro
2. Punti di rischio Kerberos
•KDC è un singolo punto di errore a meno che non sia presente una configurazione ridondante con più server.
•L'autenticazione e la distribuzione dei ticket dipendono fortemente dalla sincronizzazione dell'ora del sistema nell'ambito Kerberos e richiedono il supporto NTP, altrimenti si verificheranno problemi di timestamp sui ticket
5.6.4 RAGGIO e TACACS
5.6.4.1 RAGGIO
RADIUS è un protocollo di accesso che fornisce servizi di autenticazione, autorizzazione e contabilità (AAA) per connessioni remote a una rete ed era originariamente utilizzato per supportare le connessioni remote a grandi ISP. Supporta più protocolli di autenticazione come PAP, CHAP e MS-CHAP, ma crittografa solo le password. Poiché viene utilizzato il protocollo UDP, è necessario consumare più risorse e creare meccanismi di controllo degli errori per compensare la natura senza connessione di UDP.
5.6.4.2 TACACS
Il protocollo proprietario di Cisco può ospitare AAA (autenticazione, autorizzazione e controllo) su diversi server, trasmetterlo tramite la porta TCP49 e crittografare tutte le informazioni di autenticazione.
TACACS supporta l'autenticazione a più fattori.
5.6.4.3 Diametro
Sviluppato per superare i limiti di RADIUS, Diametro è un protocollo punto-punto utilizzato da dispositivi wireless e smartphone, ma non è retrocompatibile con RADIUS.
Rivedi le domande
1 Quale delle seguenti funzionalità è descritta come un modello di controllo degli accessi incentrato sui principali e identifica gli oggetti a cui ciascun principale può accedere? A. Elenco di controllo degli accessi B. Elenco di rifiuti impliciti C.Tabella delle capacità D.Matrice di gestione dei permessi
C Tabella delle capacità del soggetto Elenco di controllo dell'accesso agli oggetti Soggetto-Oggetto-Matrice
2. L'organizzazione di Jim supporta ampiamente le implementazioni IDaaS di applicazioni basate su cloud. L'azienda di Jim non dispone di personale interno per la gestione delle identità e non utilizza un servizio di identità centralizzato. Si affidano invece ad Active Directory per fornire AAA Servire. Quale delle seguenti opzioni dovrebbe consigliare Jim come modo migliore per gestire le esigenze di identità interna dell'azienda? A. Integrare i sistemi interni utilizzando OAuth. B. Utilizzare un servizio di identità locale di terze parti. C. Integrare i sistemi interni utilizzando SAML. D. Progettare una soluzione interna per soddisfare le esigenze specifiche dell'organizzazione.
B P508 La federazione basata sul cloud utilizza in genere una terza parte per condividere l'identità federata
3. Quale dei seguenti non è un punto debole di Kerberos? A.KDC è un singolo punto di errore. B.KDC controllato da un utente malintenzionato consentirebbe la rappresentazione di qualsiasi utente. C. Le informazioni di autenticazione non sono crittografate. D. Vulnerabile all'indovinare la password.
C
4. A quale tipo di fattore di autenticazione appartiene il riconoscimento dei modelli vocali? A. Qualcosa che conosci B. Ciò che possiedi C. Cosa sei D. Dove sei
C
5. Se l'organizzazione di Susan le richiede di accedere utilizzando nome utente, PIN, password e scansione della retina, quanti diversi tipi di fattori di autenticazione utilizza? R. Una specie di B. Due tipi C.Tre tipi D.Quattro tipi
B
6.Charies vuole implementare un sistema di gestione delle credenziali (CMS). Vuole mantenere la chiave il più sicura possibile. Quale delle seguenti è la migliore opzione di progettazione per l'implementazione del CMS? R. Usa AES-256 invece di 3DES. B. Utilizzare tasti lunghi. C. Utilizzare HSM (modulo di sicurezza hardware). D. Cambia regolarmente la tua frase password.
C Non trovato, ricorda
7.Bran è un ricercatore universitario. Come parte della sua ricerca, ha utilizzato le sue credenziali universitarie per accedere a un cluster informatico ospitato presso l'Institute of Technology. Una volta effettuato il login, potrà accedere al cluster e utilizzare le risorse in base al suo ruolo nel progetto di ricerca: e allo stesso tempo, le risorse e i servizi della sua istituzione. Cosa ha implementato l'università di Bran per raggiungere questo obiettivo? A. Impilamento dei domini B. Gestione federata delle identità C. Annidamento di domini D.Accesso ibrido
B
8. Disporre i seguenti passaggi nell'ordine in cui si verificano durante il processo di autenticazione Kerberos. 1. Genera ticket client/server 2. Genera TGT (ticket di concessione del ticket) 3. Generare la chiave client/TGS (server di concessione ticket). 4. Accesso dell'utente ai servizi 5. L'utente fornisce le credenziali di autenticazione R.5,3,2,1,4 B.5,4,2,1,3 C.3,5,2,1,4 D.5,3,1,.2,4
UN L'opzione A dovrebbe essere 52314
Processo di autenticazione Kerberos Il processo di autenticazione Kerberos è un protocollo interattivo che coinvolge il client, il server di autenticazione (AS) e il server di concessione dei ticket di servizio (TGS). 1. Il client invia una richiesta di autenticazione al server di autenticazione (AS), che solitamente contiene un nome utente e una password. 2. AS verifica le credenziali del cliente Se le credenziali sono valide, AS genera un "Ticket Granting Ticket" (TGT) crittografato. Il TGT contiene le informazioni sull'identità dell'utente e una chiave di sessione e il TGT viene restituito al client. 3. Il client utilizza la password per decrittografare il TGT e ottenere la chiave di sessione. Tale chiave di sessione verrà utilizzata per le comunicazioni successive. 4. Quando il client deve accedere a un servizio di rete specifico, utilizza la chiave di sessione per generare un "Ticket di servizio" e lo invia a TGS. 5. TGS verifica il TGT del cliente. Se il TGT è valido, TGS genera un ticket di servizio crittografato, crittografa il ticket di servizio utilizzando la chiave del servizio e lo restituisce al client. 6. Il client invia il ticket di servizio al servizio e il servizio esegue l'autenticazione utilizzando la chiave di sessione nel ticket di servizio. Se il ticket del servizio è valido, il servizio consente al cliente di accedere ai servizi richiesti. Questo processo garantisce che l'identità del cliente venga verificata e che il cliente abbia accesso al servizio richiesto. Allo stesso tempo, il protocollo Kerberos utilizza algoritmi di crittografia a chiave simmetrica e timestamp per proteggere la sicurezza dei dati durante la trasmissione.
9. Quali sono i principali problemi che spesso derivano dal controllo decentralizzato degli accessi? R. Potrebbero verificarsi interruzioni dell'accesso. B. Controlli incoerenti. C. Il controllo è troppo capillare. D. I costi di formazione sono elevati.
B
10. Quale tipo di fattore di autenticazione è un esempio della richiamata verso un numero di rete fissa? A. Qualcosa che conosci B dove sei C. Ciò che possiedi D. Cosa sei
B
11. Kathleen deve impostare un trust Active Directory per consentire Dominio Kerberos K5 per l'autenticazione. Che tipo di rapporto di fiducia deve creare? R. Un trust scorciatoia B. Un trust forestale C. Un trust esterno D.A. Un regno di fiducia
D
12. Quale dei seguenti protocolli AAA è il più comunemente utilizzato? A.TACACS B. TACACS C. XTACACS D.Super TACACS
B
14 Gli utenti su sistemi Windows non possono utilizzare la funzione Invia messaggio. Quale modello di controllo degli accessi descrive meglio questa restrizione R. Privilegio minimo B. ho bisogno di sapere C. Interfaccia limitata D. Segregazione dei compiti
C Controlla il libro
15. Quale tipo di controllo degli accessi consente al proprietario di un file di concedere ad altri utenti l'accesso al file utilizzando un elenco di controllo degli accessi? A. Basato sui ruoli B. Involontario C. Basato su regole D. Indipendente
D
16. Il lavoro di Alex gli impone di rivedere le informazioni sanitarie protette (PHI) per garantire un trattamento adeguato dei pazienti. Il suo accesso alle cartelle cliniche dei pazienti non includeva l'accesso agli indirizzi dei pazienti o alle informazioni di fatturazione. Quale dei seguenti concetti di controllo degli accessi descrive meglio questo tipo di controllo? A. Separazione dei compiti B. Interfaccia limitata C.Controllo sensibile al contesto D. ho bisogno di sapere
D
Per le domande 17-19, fare riferimento alla seguente tabella in base alla comprensione del processo di accesso Kerberos: 17 Nel punto A del diagramma, il nome utente e la password del cliente vengono inviati al KDC. Che ne dici di nome utente e password Protetto? Crittografia A.3DES B. Crittografia TLS C. Crittografia SSL Crittografia D.AES 18. Nel punto B del diagramma, dopo aver verificato che il nome utente è valido, quali due cose importanti invia il KDC al client? elemento? A. TGT crittografato e chiave pubblica B. Ticket di accesso e chiavi pubbliche C TGT crittografato con timestamp e chiave simmetrica crittografata con hash della password utente D TGT e token di accesso crittografati e con timestamp 19. Quali attività deve eseguire il cliente prima di utilizzare TGT? R. Deve generare l'hash del TGT e decrittografare la chiave simmetrica. B. Deve accettare il TGT e decrittografare la chiave simmetrica. C Deve decrittografare il TGT e la chiave simmetrica. D. Deve inviare una risposta valida al KDC utilizzando una chiave simmetrica e il TGT deve essere installato.
D Microsoft Active Directory supporta la crittografia Rivest Cipher 4 (RC4), Advanced Encryption Standard a 128 bit (AES-128), Advanced Encryption Standard a 256 bit (AES-256) e Data Encryption Standard (DES). Questi algoritmi di crittografia sono potenziati con funzioni hash crittografiche come Secure Hash Algorithm (SHA) e Message Digest Algorithm 5 (MDA5). È meglio evitare di utilizzare la crittografia DES, che è considerata non sicura.
C
B
https://blog.csdn.net/weixin_46944519/article/details/126828074?ops_request_misc=%7B%22request%5Fid%22%3A%22171202843516800213053640%22%2C%22scm%22%3A%222014071 3 .130102334..%22 %7D&request_id =171202843516800213053640&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_positive~default-1-126828074-null-null.142^v100^pc_search_result_base3&utm_term=Kerberos &spm=1018.2226.3001.4187 Spiegazione dettagliata
20 Sam sta progettando di implementare un sistema di autenticazione biometrica nella sua organizzazione e sta valutando la possibilità di utilizzare la scansione della retina, quali preoccupazioni potrebbero sollevare altri nella sua organizzazione riguardo alla scansione della retina? R. Le scansioni della retina possono rivelare informazioni su condizioni mediche. B. La scansione della retina è dolorosa perché richiede un getto d'aria nell'occhio dell'utente. C. Gli scanner Retina sono il tipo più costoso di dispositivo biometrico. D. Gli scanner Retina hanno un elevato tasso di falsi allarmi, che può causare problemi di supporto.
UN
21. Su quale tipo di modello si basa il controllo obbligatorio degli accessi? A. Controllo degli accessi discrezionale B. Controllo degli accessi basato su gruppi C. Controllo degli accessi basato sulla griglia D. Controllo degli accessi basato su regole
C
22. Greg desidera controllare l'accesso agli iPad utilizzati come terminali punto vendita nella sua organizzazione. Quale dei seguenti metodi dovrebbe utilizzare per implementare il controllo dell'accesso logico dei dispositivi in un ambiente condiviso? R. Utilizza un PIN condiviso per tutti i terminali dei punti vendita per facilitarne l'utilizzo. B. Consenti a ciascun utente di accedere al cloud utilizzando OAuth. C. A ogni utente viene assegnato un codice PIN univoco per l'iPad che sta utilizzando. D. Utilizzare Active Directory e l'account utente per accedere a iad, utilizzando l'ID utente e la password AD.
D
23. Qual è il modo migliore per fornire la tracciabilità dell'utilizzo dell'identità? A. Registrazione Autorizzazione B C. Firma digitale D.Certificazione di tipo 1
UN Non trovato, ricorda
24 Jim ha ricoperto ruoli nel settore delle risorse umane, del libro paga e del servizio clienti presso la sua azienda negli ultimi anni. Che tipo di processo dovrebbe implementare la sua azienda per assicurarsi di avere l'autorità appropriata? A. Riconfigurare B. Revisione dell'account C. Ampliamento dei privilegi D.Cancellazione dell'account
B
25.A quale tipologia di modello di controllo accessi appartiene Biba? A.MAC B.DAC C. Ruolo BAC D.ABAC
UN P525 Il file system Windows NTFS utilizza DAC Il sistema operativo Windows utilizza RBAC Basato su regole firewall Rete definita dal software ABAC P530 MAC si basa sulla griglia e si basa su etichette di classificazione, il che significa che Biba e Bell-~ appartengono a MAC
26. Quale dei seguenti è un protocollo client/server progettato per consentire a un server di accesso alla rete di autenticare utenti remoti inviando messaggi di richiesta di accesso a un server centrale? A. Kerberos B.EAP C. RAGGIO D.OAuth
C
27.Henry sta collaborando con il team di sviluppo dell'applicazione Web per progettare il processo di autenticazione e autorizzazione per la nuova applicazione dell'azienda. Il team desidera rendere gli ID di sessione il più sicuri possibile. Quale delle seguenti non è una best practice che Henry dovrebbe consigliare? R. I token ID di sessione dovrebbero essere prevedibili. B. L'ID di sessione deve avere almeno 64 bit di entropia. La lunghezza della sessione C deve essere di almeno 128 bit. D. L'ID sessione dovrebbe essere privo di significato.
UN
28.Angela utilizza uno sniffer per monitorare il traffico verso un server RADIUS configurato con impostazioni predefinite. Quale protocollo dovrebbe monitorare e quale traffico sarà in grado di leggere? A.UDP, impossibile leggere il traffico. Tutto il traffico RADIUS è crittografato. B.TCP Tutto il traffico può essere letto tranne la password, che è crittografata. C.UDP Tutto il traffico può essere letto tranne la password, che è crittografata. D.TCP, impossibile leggere il traffico. Tutto il traffico RADIUS è crittografato.
C
29. Quale tipo di controllo degli accessi descrive meglio la funzionalità di valutazione della postura di NAC? A. Controllo obbligatorio degli accessi B.Controllo degli accessi basato sul rischio C. Controllo discrezionale degli accessi D. Controllo degli accessi basato sui ruoli
B P532 Ricorda
30. Qual è un esempio di quando un'applicazione o un sistema consente a un utente che ha effettuato l'accesso di eseguire un'azione specifica? Un ruolo B. Gestione del gruppo C. Accedi D.Autorizzazione
D
31. Alex lavora in azienda da più di dieci anni e ha ricoperto diversi incarichi all'interno dell'azienda. Durante un audit si è scoperto che aveva accesso a cartelle e applicazioni condivise a causa della sua posizione precedente. Cos'è successo alla compagnia di Alex? domanda? A. Provisioning eccessivo B. Accesso non autorizzato C. Ampliamento dei privilegi D Revisione dell'account
C
32. Geoff vuole prevenire attacchi di escalation di privilegi nella sua organizzazione. Quale delle seguenti pratiche ha maggiori probabilità di prevenire l'escalation dei privilegi laterali? A. Autenticazione a più fattori B. Limitare le autorizzazioni a gruppi e account C. Disabilitare porte e servizi non utilizzati D. Disinfettare l'input dell'utente nelle applicazioni
UN
33.L'ambiente Microsoft Exchange di Jim include l'ambiente locale Server nei data center e Office 365 per i dipendenti che non si trovano in uno di questi uffici distribuire. Le identità vengono create e utilizzate in entrambi gli ambienti e funzionano in entrambi. Quale sistema di giunzione del tipo di testa utilizza Jim? A. Principali sistemi cloud B. Sistema locale primario C.Sistema ibrido D.Sistema multi-tenant
C
34. La tabella seguente mostra quale tipo di schema di controllo degli accessi? A.RBAC BDAC CMAC DTBAC
C In base alla griglia, il soggetto e l'oggetto hanno attributi, quindi è MAC
35. L'azienda di Michelle sta dividendo il reparto marketing e comunicazione in due team separati, creando un nuovo reparto. Vuole creare ruoli che forniscano a ogni team l'accesso alle risorse. Cosa dovrebbe fare per mantenere la sicurezza e le autorizzazioni adeguate? A Inserisci il team di marketing in un gruppo esistente poiché avranno requisiti di accesso simili. B Mantenere il team di marketing nel gruppo esistente e creare un nuovo gruppo di comunicazione in base alle sue esigenze specifiche. C Mantenere il team delle comunicazioni nel gruppo attuale e creare un nuovo gruppo di marketing in base alle sue esigenze specifiche. D. Creare due nuovi gruppi, valutare le autorizzazioni di cui hanno bisogno per svolgere i propri ruoli e aggiungere ulteriori autorizzazioni se necessario.
D
36. Quale processo avviene quando un soggetto dichiara un'identità? A. Accedi B. Identificare C.Autorizzazione D. Presentazione del token
B
37. Cani, guardie e recinzioni sono esempi comuni di quale tipo di controllo? A. Tipo di rilevamento B. Tipo di recupero C. Tipo amministrativo D.Tipo fisico
D
38. L'organizzazione di Susan sta aggiornando la propria politica sulle password e desidera utilizzare le password più efficaci possibili. Quale requisito relativo alla password ha il maggiore impatto sulla prevenzione degli attacchi di forza bruta? A. Modificare il tempo di utilizzo massimo da 1 anno a 180 giorni. B. Aumentare la lunghezza minima della password da 8 a 16 caratteri. C. Aumentare la complessità della password e richiedere almeno tre categorie di caratteri (come lettere maiuscole, lettere minuscole, numeri e simboli). D. Conservare una cronologia delle password di almeno quattro password per impedirne il riutilizzo.
B L’aumento della lunghezza ha l’impatto maggiore
39. Alaina esegue revisioni degli account di servizio regolarmente programmate. Di quale dei seguenti eventi è più preoccupata? A. Accesso interattivo per gli account di servizio B. Modifiche alla password per gli account di servizio C. Restrizioni sulle autorizzazioni dell'account di servizio D. Operazioni locali utilizzando account di servizio
UN P508 Parole originali nel libro - Imposta l'account come account non interattivo
40. In un'organizzazione che utilizza la biometria, quando si potrebbe scegliere di consentire un FRR più elevato anziché un FAR più elevato? R. Quando la sicurezza è più importante della disponibilità B. Quando i falsi rifiuti non costituiscono un problema a causa di problemi di qualità dei dati C. Quando il CER del sistema non è noto D. Quando il CER del sistema è molto alto
UN
41 A seguito di recenti segnalazioni di accessi non autorizzati alle postazioni di lavoro al di fuori dell'orario lavorativo, a Derek è stato chiesto di trovare un modo per garantire che il personale di manutenzione non potesse accedere alle postazioni di lavoro nell'ufficio aziendale. Il personale di manutenzione ha i sistemi dell'organizzazione nelle sale pausa e negli uffici perché deve comunque accedere a tali sistemi. Cosa dovrebbe fare Derek per soddisfare questo bisogno? A richiede l'autenticazione a più fattori e consente solo ai dipendenti dell'ufficio di avere token a più fattori. B. Utilizzare il controllo degli accessi basato su regole per vietare l'accesso durante le ore non lavorative nell'area di lavoro. C. Utilizzando il controllo degli accessi basato sui ruoli, impostare un gruppo che contenga tutti i manutentori e Concede l'autorizzazione per accedere solo alle workstation specificate. D. Utilizzare il geofencing per consentire l'accesso solo nelle aree di manutenzione.
C
42. Nick vuole implementare la gestione delle sessioni per la sua applicazione web. Quali dei seguenti sono tecniche o metodi comuni di gestione delle sessioni delle applicazioni Web? (Seleziona tutte le risposte pertinenti.) A. Monitoraggio IP B. Cookie Riscrittura C.URL Gettone D.TLS
AVANTI CRISTO. Ricordare
Per le domande 43-45, utilizza la tua conoscenza dell'integrazione SAML e della progettazione dell'architettura di sicurezza e fai riferimento al seguente scenario e illustrazione: Alex è responsabile dell'integrazione SAML con un partner chiave di terze parti che fornisce vari servizi di produttività aziendale alla sua organizzazione. 43.Alex è molto preoccupato dell'intercettazione del traffico SAML e vuole assicurarsi che le affermazioni contraffatte non abbiano successo. Cosa dovrebbe fare per prevenire questi potenziali attacchi? R. Fornire l'autenticazione di sicurezza utilizzando il modello di sicurezza SAML. B. Implementare TLS utilizzando suite di crittografia avanzate per proteggersi da entrambi gli attacchi. C. Implementare TLS utilizzando suite di crittografia avanzate e utilizzare firme digitali. D. Implementare TLS e l'hashing dei messaggi utilizzando suite di crittografia avanzate. 44. Se l'organizzazione di Alex è composta principalmente da utenti esterni in viaggio, quali rischi di disponibilità comporta l'integrazione delle applicazioni business-critical nell'autenticazione in loco e come dovrebbe affrontarli? R. Le integrazioni di terze parti potrebbero non essere attendibili; B. Se l'organizzazione locale va offline, gli utenti in viaggio non saranno in grado di accedere alle applicazioni di terze parti implementare un sistema di autenticazione locale su cloud ibrido; C. Gli utenti locali potrebbero non essere reindirizzati correttamente ai servizi di terze parti per implementare un gateway locale. I browser D potrebbero non reindirizzare correttamente utilizzare un file host per garantire che i problemi di reindirizzamento vengano risolti. 45. Quale soluzione può aiutare meglio a risolvere il reindirizzamento SSO controllato da terze parti mostrato nel passaggio 2 Alla domanda? A. Attività di sensibilizzazione nei confronti dei soggetti terzi di fiducia B.TLS C. Gestire i reindirizzamenti nel sito locale D. Implementare IPS per intercettare gli attacchi di reindirizzamento SSO
C
B
RRicorda
46. A Susan è stato chiesto di consigliare se la sua organizzazione dovesse utilizzare una soluzione MAC o una soluzione DAC. Se l'implementazione del controllo degli accessi richiede flessibilità e scalabilità, quale opzione dovrebbe consigliare e perché? R. MAC, poiché fornisce maggiore scalabilità e flessibilità, basta aggiungerne altri se necessario Basta etichettare B.DAC fornisce scalabilità consentendo ai singoli amministratori di selezionare gli oggetti che controllano. e flessibilità C.MAC, poiché il partizionamento è ottimo per la flessibilità, l'aggiunta di partizioni lo renderà ben scalabile sesso D.DAC, perché il processo decisionale centrale può rispondere velocemente e riducendo il numero delle decisioni richieste e Il trasferimento di queste decisioni a un'autorità centrale garantisce scalabilità e flessibilità
B
47.Quale dei seguenti strumenti non viene generalmente utilizzato per verificare che i processi di provisioning siano configurati in modo da garantire la politica di sicurezza di un'organizzazione? A. Revisione del registro B. Revisione manuale delle autorizzazioni C. Rilevamento basato sulla firma D. Esaminare le registrazioni delle tracce di controllo
C Ricordare
48.Jessica ha bisogno di inviare informazioni a un'organizzazione terza sui servizi che sta fornendo. Quale linguaggio di markup basato su standard dovrebbe scegliere per costruire l'interfaccia? A.SAML B.SAPONE C.SPML D.XACML
C Ricordare
49. Durante un penetration test, Chris ha recuperato un file contenente password con hash per i sistemi a cui stava tentando di accedere. Quale tipo di attacco ha maggiori probabilità di avere successo contro le password con hash? A. Attacco violento B. Attacco tramite valore hash C Attacco tavolo arcobaleno D Un attacco di recupero del sale
C
50 L'integrazione dell'identità di Google con una varietà di organizzazioni e applicazioni in tutti i domini è un esempio di quale dei seguenti? APKI B. Federazione C. Accesso singolo D. fornitura
B Ricordare
51. Amanda inizia un nuovo lavoro e scopre di avere accesso a vari sistemi di cui non ha bisogno sul lavoro. Che problema ha riscontrato? A. Intrusione di permessi B. Conflitto di limitazione C. Privilegio minimo D. Troppe autorizzazioni
D
52. Quando Chris autentica l'identità di una persona e aggiunge un identificatore univoco, come un ID utente, al sistema di identità Che processo è successo? A. Verifica dell'identità B. Registrati C. Gestione degli elenchi D. Gestione della sessione
B
53.Selah desidera fornire la tracciabilità comportamentale per l'applicazione aziendale principale della sua organizzazione. Quali sono le misure di controllo più comunemente utilizzate in questa situazione? (Seleziona tutte le risposte pertinenti.) A. Abilita la registrazione di controllo. B. Fornire a ciascun dipendente un account univoco e abilitare l'autenticazione a più fattori. C. Abilitare i requisiti di accesso basati sull'ora e sulla posizione. D. Fornire a ciascun dipendente un account univoco e richiedere una password autoselezionata.
AB
54. Chariles vuole fornire servizi di autorizzazione come parte della sua applicazione web. Se desidera una facile integrazione con altri provider di identità web, quale standard dovrebbe utilizzare? A.OpenID B. TACACS C. RAGGIO D.OAuth
D
55 L'azienda di Cameron utilizza un sistema che consente agli utenti di richiedere un accesso privilegiato al sistema quando necessario. . Camneron ha richiesto l'accesso e, dato il suo ruolo, la richiesta è stata pre-approvata. Può quindi accedere al sistema per eseguire attività. Al termine, le autorizzazioni vengono rimosse. Che tipo di sistema sta usando? R. Zero fiducia B. Gestione federata delle identità C. Accesso singolo D. Accesso tempestivo
D
56. Ene è responsabile della creazione del sito web della banca. Deve verificare l'identità dell'utente che si è iscritto al sito. Cosa dovrebbe fare per verificare l'identità dell'utente? R. Chiedi agli utenti di creare domande uniche che solo loro conoscono. B. I nuovi utenti sono tenuti a portare personalmente in banca la patente di guida o il passaporto. C. Utilizzare le informazioni di cui dispongono sia la banca che l'utente, come le domande estratte dal loro rapporto di credito. D. Chiama il numero di telefono registrato dell'utente per verificare chi afferma di essere.
C
57. L'organizzazione di Susan fa parte di una federazione che consente agli utenti di più organizzazioni di accedere a risorse e servizi su altri siti federati. Quando Susn vuole utilizzare i servizi sui siti partner, quale utilizzare? Fornitore di identità? A. Provider di identità dell'organizzazione di Susan B. Provider di identità del fornitore di servizi C. Il loro provider di identità e il provider di identità del fornitore di servizi D. Il fornitore di servizi crea una nuova identità
UN
58. Un nuovo cliente di una banca che utilizza scanner di impronte digitali per autenticare gli utenti è stato sorpreso di scoprire che quando ha scansionato la sua impronta digitale, era connesso al conto di un altro cliente. Che tipo di errore biometrico si è verificato? A. Errore di registrazione B. Un errore di tipo 1 C.A Errore di tipo 2 D. Tempo di utilizzo e metodo di utilizzo errati
C
· Tasso di falsi rifiuti (FRR): errori di tipo 1. I dati biometrici validi non possono essere verificati e vengono utilizzati in ambienti con elevati requisiti di sicurezza.
Falso negativo, rifiuto dell'utente corretto
•Tasso di falsa accettazione (FAR): errori di tipo 2. I dati biometrici non validi vengono erroneamente identificati come identità valide e vengono utilizzati in ambienti con bassi requisiti di sicurezza.
Falso positivo, utente sbagliato consentito
59. Che tipo di controllo degli accessi viene generalmente utilizzato con i firewall? A. Controllo degli accessi discrezionale B. Controllo degli accessi basato su regole C. Controllo degli accessi basato sulle attività D. Controllo obbligatorio degli accessi
B
60. Quale importante attività di gestione dell'identità e degli accessi stai eseguendo quando inserisci l'ID utente e la password? A.Autorizzazione B. Verifica C. Certificazione D. Accedi
C
61.Katleen lavora in una struttura di colocation di data center che fornisce spazio fisico nel data center a individui e organizzazioni. Fino a poco tempo fa, ogni utente riceveva una chiave magnetica basata su banda magnetica per accedere alla parte della struttura in cui si trovava il proprio server e riceveva anche una chiave per accedere alla gabbia o al rack in cui si trovava il proprio server. Alcuni server sono stati compromessi negli ultimi due mesi, ma i registri dei passaggi mostrano solo ID validi. Qual è la migliore opzione di Keatnleen per garantire che gli utenti del pass siano chi dovrebbero essere? A Aggiungere un lettore di carte che richieda agli utenti del pass di inserire un PIN, B. Aggiungere un sistema di telecamere alla struttura per osservare chi accede al server. C. Aggiungere fattori biometrici. D. Sostituire le chiavi elettroniche basate su banda magnetica con smart card.
C
62 Theresa desidera consentire ai suoi dipendenti di archiviare e gestire in modo sicuro le password per i sistemi, inclusi gli account di servizio e altre credenziali amministrative utilizzate raramente. Che tipo di strumento dovrebbe implementare per raggiungere questo obiettivo? A. Accesso singolo B. Sistema di identità federato C. Gestore password D. Sistema di autenticazione a più fattori
C Ricordare
63.Olivia vuole limitare i comandi che un utente può eseguire tramite sudo per ridurre la possibilità di attacchi di escalation dei privilegi. Quale file Linux dovrebbe modificare per ottenere questo risultato? Un file di configurazione .bash .bin File B.sudoers Il file di configurazione .allowed di C. bash File D.sudont
B
64. Quali oggetti e agenti nel modello MAC hanno etichette? R. Gli oggetti e i soggetti classificati come Confidenziali, Confidenziali o Top Secret sono dotati di etichette. B. Tutti gli oggetti hanno un'etichetta e tutti i soggetti hanno uno scomparto. C. Tutti gli oggetti e i soggetti hanno un'etichetta. D. Tutti i soggetti hanno un'etichetta e tutti gli oggetti hanno uno scomparto.
C
Per le domande 65-67, fare riferimento ai seguenti scenari e diagrammi: Chris è l'architetto dell'identità per un sito di e-commerce in crescita. Lui e il suo team intendono sfruttare le identità sociali consentendo agli utenti di utilizzare i propri account Google esistenti come account principale sui siti di e-commerce. Ciò significa che quando un nuovo utente si connette inizialmente alla piattaforma eCommerce, può scegliere di utilizzare il proprio account Google (utilizzando OAuth 2.0) o creare un nuovo account sulla piattaforma utilizzando il proprio indirizzo email e una password di sua scelta. 65. Quando un’applicazione di commercio elettronico crea un account per un utente Google, la password dell’utente dovrebbe essere salvata Dove è memorizzato? UN. La password è memorizzata nel database dell'applicazione e-commerce. B. La password è archiviata nella memoria del server dell'applicazione e-commerce. C. Le password vengono archiviate nel sistema di gestione dell'account di Google. D. La password non viene memorizzata, ma in Google viene archiviato un valore con hash salato nel sistema di gestione del conto. 66. Quale dei seguenti è responsabile dell'autenticazione utente per gli utenti di Google? A. Applicazioni di commercio elettronico. B. Esistono sia applicazioni di e-commerce che server di Google. C. Server di Google. D. Il grafico non fornisce informazioni sufficienti per determinarlo. 67. Che tipo di attacco si intende prevenire con la creazione e lo scambio di token di stato? A.XSS B.CSRF C.Iniezione SQL D.XACML
D
C
B Cross-site request forgery (inglese: cross-site request forgery), noto anche come attacco con un clic o session riding, spesso abbreviato in CSRF o Il metodo operativo dell'attacco. Rispetto al Cross-Site Scripting (XSS), che sfrutta la fiducia dell'utente nel sito web specificato, CSRF sfrutta la fiducia del sito web nel browser web dell'utente. difesa: Controlla il campo Referente Nell'intestazione HTTP è presente un campo Referer, che viene utilizzato per indicare l'indirizzo da cui proviene la richiesta. Quando si gestiscono richieste di dati sensibili, in generale, il campo Referer dovrebbe trovarsi sotto lo stesso nome di dominio dell'indirizzo richiesto. Prendendo come esempio l'operazione bancaria di cui sopra, l'indirizzo del campo Referer dovrebbe solitamente essere l'indirizzo web in cui si trova il pulsante di trasferimento, che dovrebbe trovarsi anche in www.examplebank.com. Se si tratta di una richiesta proveniente da un attacco CSRF, il campo Referer conterrà un indirizzo contenente un URL dannoso e non si troverà in www.examplebank.com. In questo momento, il server sarà in grado di identificare l'accesso dannoso. Questo metodo è semplice e facile da implementare, con un carico di lavoro ridotto. È sufficiente aggiungere una fase di verifica nei punti di accesso chiave. Ma anche questo metodo ha i suoi limiti, perché si affida completamente al browser per inviare il campo Referer corretto. Sebbene il protocollo http disponga di norme chiare sul contenuto di questo campo, non può garantire l'implementazione specifica del browser in visita, né può garantire che il browser non presenti vulnerabilità di sicurezza che interessano questo campo. Esiste anche la possibilità che gli aggressori attacchino alcuni browser e manomettano i loro campi Referer. Aggiungi token di verifica Poiché l'essenza del CSRF è che l'aggressore induce l'utente ad accedere all'indirizzo da lui stesso impostato, se il browser dell'utente è tenuto a fornire dati che non sono memorizzati nel cookie e non possono essere falsificati dall'aggressore come verifica quando accede a dati sensibili, poi l'attacco L'attaccante non può più eseguire attacchi CSRF. Questi dati sono solitamente un elemento di dati in un modulo. Il server lo genera e lo aggiunge al modulo e il suo contenuto è un numero pseudo-casuale. Quando il cliente invia una richiesta tramite il modulo, anche questo numero pseudo-casuale viene sottoposto a verifica. Durante l'accesso normale, il browser client può ottenere e restituire correttamente questo numero pseudocasuale. Tuttavia, in un attacco ingannevole tramite CSRF, l'aggressore non ha modo di conoscere in anticipo il valore di questo numero pseudocasuale e il server lo farà. il valore del token di verifica è vuoto o sbagliato, la richiesta sospetta verrà respinta.
68. Come si chiama il tuo animale domestico? Con quale tipo di autenticazione si verifica questo problema? A. Certificazione basata sulla conoscenza B. Autenticazione dinamica basata sulla conoscenza C. Autenticazione fuori banda D. Il terzo fattore di autenticazione
UN
69. Madhuri crea una tabella di privilegi, oggetti e entità assegnati per gestire il controllo degli accessi per i sistemi di cui è responsabile. Ogni volta che un'entità tenta di accedere a un oggetto, il sistema controlla la tabella per garantire che l'entità disponga delle autorizzazioni appropriate per l'oggetto. Che tipo di sistema di controllo degli accessi sta utilizzando Madhuri? A. Tabella delle capacità B. Elenco di controllo degli accessi C. Matrice del controllo degli accessi D.Sistema di gestione dei diritti del soggetto/oggetto
C
70. Analizzando i ticket di supporto, l'organizzazione di Ben ha scoperto che le modifiche alla password rappresentavano più di un quarto dei suoi casi di aiuto. Quale delle seguenti opzioni ha maggiori probabilità di ridurre significativamente questo numero? A. Autenticazione a due fattori B. Autenticazione biometrica C. Reimpostazione della password self-service D. Frase segreta
C Ricordare
71. La grande organizzazione di Brian utilizza da molti anni RADIUS per fornire servizi AAA ai dispositivi di rete. e recentemente sono venuto a conoscenza di problemi di sicurezza relativi alle informazioni trasmesse durante il processo di autenticazione. Per cosa dovrebbe fare Brian? Crittografia dell'implementazione RADIUS? R. Utilizzare le funzionalità di crittografia integrate in RADIUS. B. Implementare RADIUS sul suo UDP nativo utilizzando TLS per fornire protezione. C. Implementare RADIUS su TCP utilizzando TLS per fornire protezione. D. Utilizzare crittografie precondivise AES256 tra dispositivi. .
C RADIUS stesso utilizza il protocollo UDP e, dopo aver utilizzato TLS, diventa il protocollo TCP.
72 jim consente alle applicazioni basate su cloud di accedere alle informazioni su altri siti web per suo conto. Quale dei seguenti strumenti può raggiungere questo obiettivo? A. Kerberos B.OAuth C.OpeniD D.LDAP
B È richiesto un protocollo di autorizzazione, quindi è OAuth
73. L'organizzazione di Ben ha subito accessi non autorizzati ad applicazioni e postazioni di lavoro durante l'orario di pranzo, quando i dipendenti non erano alla scrivania. Qual è la migliore soluzione di gestione delle sessioni che Ben consiglierebbe per prevenire questo tipo di accesso? A Utilizzare gli ID di sessione per tutti gli accessi e verificare gli indirizzi IP del sistema per tutte le workstation B. Impostare un timeout di sessione per l'applicazione e utilizzare uno screensaver protetto da password sulla workstation e impostare un timeout di inattività. C Utilizzare gli ID di sessione per tutti i programmi e gli screensaver protetti da password sulle workstation. D. Impostare il timeout della sessione per l'applicazione e verificare gli indirizzi IP di sistema di tutte le workstation.
B
74 Il diagramma seguente mostra il tipo di scenario di autenticazione A. Unione mista B. Sindacato sul posto C. Federazione cloud Federazione D. Kerberos
UN P508 La federazione basata sul cloud utilizza in genere una terza parte per condividere l'identità federata La federazione ibrida è una combinazione di federazione cloud e federazione locale
75. Chris vuole identificare le persone controllando l'accesso alla struttura. Vuole anche assicurarsi che queste persone siano quelle autorizzate a entrare e non vuole che ci siano costi correnti significativi. Quali soluzioni tra le seguenti opzioni soddisferanno tutti questi requisiti? (Seleziona tutte le risposte pertinenti.) A. Personale di sicurezza e documento di identità con foto B. Badge e lettore RFID con tastierino PIN C. Lettore di badge e carte a banda magnetica con PIN pad D. Personale di sicurezza e lettori di banda magnetica
AVANTI CRISTO.
76. In quale tipo di 2° fattore di autenticazione rientra un dispositivo come una chiave Yubikey o Titan Security? R. Gettone B. Identificatori biometrici C. Carta intelligente D.PIV
UN Ricordare
77. Qual è la tecnologia di autenticazione che può essere abbinata a OAuth per autenticare e ottenere informazioni sul profilo utente utilizzando l'API RESTful? A.SAML B. Shibboleth C. OpenID Connect D. Higgins
C
78.Jim vuole implementare uno schema di controllo degli accessi per garantire che gli utenti non possano delegare l'accesso. Voleva anche imporre il controllo degli accessi a livello del sistema operativo. Quale meccanismo di controllo degli accessi soddisfa meglio questi requisiti? A. Controllo degli accessi basato sui ruoli B. Controllo degli accessi discrezionale C. Controllo obbligatorio degli accessi D. Controllo degli accessi basato sugli attributi
C
79.L'amministratore della sicurezza dell'azienda di Susan ha configurato la workstation che utilizza per consentirle di accedere solo durante l'orario di lavoro. Quale tipo di controllo degli accessi descrive meglio questa restrizione? A. Interfaccia limitata B. Controllo sensibile al contesto C. Controlli relativi ai contenuti D. Privilegio minimo
B
80.Ben utilizza un token basato su software che cambia codice ogni minuto. Che tipo di token sta usando? R. Asincrono B. Carta intelligente C. Sincronizzazione D.Statico
C
81. Un firewall è un esempio di quale tipo di meccanismo di controllo degli accessi? A. Controllo obbligatorio degli accessi B. Controllo degli accessi basato sugli attributi C. Controllo discrezionale degli accessi D. Controllo degli accessi basato su regole
D
82.Michelle lavora per una società di servizi finanziari e desidera registrare i clienti per la sua applicazione web. Se desidera verificare in modo rapido e automatico che la persona sia chi dichiara di essere al momento dell'accesso iniziale senza dover avere una relazione precedente con lei, che tipo di meccanismo di autenticazione può utilizzare? A. Chiedi il loro numero di previdenza sociale. B. Utilizzare l'autenticazione basata sulla conoscenza. C. Eseguire l'autenticazione manuale. D. Utilizzare fattori biometrici.
B Ricordare
83 L'azienda di Megan desidera utilizzare Google Account per adottare rapidamente la sua applicazione web. Quali tecnologie comuni di federazione del cloud deve implementare Megan? (seleziona tutto ciò che si applica) A. Kerberos B.OpeniD C.OAuth D. RAGGIO
AVANTI CRISTO.
84. La lunghezza e la dimensione dell'ID di sessione sono fondamentali per prevenire quale tipo di attacco? A. Negazione del servizio B. Furto di cookie C. Indovinare la conversazione D. Attacco man-in-the-middle
C
85. Il sistema di controllo degli accessi dell'organizzazione di Naomi verifica che il suo computer sia completamente collegato, abbia una scansione anti-malware riuscita e che il firewall sia attivato, oltre ad altre verifiche di sicurezza, prima di consentirle di connettersi alla rete. Se c'è un potenziale problema, le verrà impedita la connessione e dovrà contattare l'assistenza. Quale tipo di schema di controllo degli accessi descrive meglio questo tipo di processo? A.MAC B. Controllo degli accessi basato su regole C. Controllo degli accessi basato sui ruoli D. Controllo degli accessi basato sul rischio
D
86. Isabelle vuole prevenire attacchi di escalation di privilegi sugli account di servizio della sua organizzazione. Quale delle seguenti pratiche di sicurezza Meglio per questa situazione? A. Rimuovere le autorizzazioni non necessarie. B Disabilitare l'accesso interattivo per l'account di servizio. C. Limitare il tempo di accesso all'account. D. Utilizzare nomi di account di servizio privi di significato o casuali.
UN
87. Quali sono i pericoli nel consentire alle parti che fanno affidamento su OpenID di controllare le connessioni ai provider OpenID? R. Potrebbe risultare in una selezione errata del provider OpenID. B. Possibili attacchi di phishing mediante l'invio di dati a falsi fornitori OpenID. C. Le parti che fanno affidamento potrebbero essere in grado di rubare nomi utente e password dei clienti. D. La parte che fa affidamento non può inviare un'asserzione firmata.
B
88. Jim sta implementando una soluzione di identità cloud per la sua organizzazione. Che tipo di tecnologia sta utilizzando? A. L'identità come servizio B. Lo status di dipendente come servizio C. RADIUS basato su cloud D.OAuth
UN IDaaS
89.Kisten desidera controllare l'accesso a un'applicazione nell'organizzazione in base alla posizione del dipendente, alle autorizzazioni dell'applicazione richieste per ciascun gruppo di posizione, ora e luogo. Quale tipo di schema di controllo dovrebbe scegliere? A Controllo dell'accesso di base degli attributi (ABAC) B. Controllo discrezionale degli accessi (DAC) C. Controllo degli accessi obbligatorio (MAC) D. Controllo dell'accesso di base per gli attributi del ruolo (BAC del ruolo)
UN
90. Quando Alex imposta le autorizzazioni mostrate nel diagramma seguente come utente su un server Linux, che tipo di modello di controllo degli accessi sta utilizzando? $chmod 7313 al $ 1 s-la totale 12 drwxr-xr-x 3 root drwxr-xr-x 3 root A. Controllo degli accessi basato sui ruoli B. Controllo degli accessi basato su regole C. Controllo degli accessi obbligatorio (MAC) D. Controllo discrezionale degli accessi (DAC)
D
91. Joanna guida il team di gestione delle identità della sua organizzazione e vuole garantire che i ruoli vengano aggiornati man mano che i dipendenti assumono nuove posizioni. Su quale problema dei dipendenti dovrebbe concentrarsi per evitare problemi con la definizione dei ruoli? A. Registrati B. Intrusione di permessi C. Abolizione D.Responsabilità dell'account
B
92Che tipo di meccanismo di autorizzazione è mostrato nella figura seguente? A. Controllo degli accessi basato sui ruoli (RBAC) B. Controllo dell'accesso di base degli attributi (ABAC) C. Controllo degli accessi obbligatorio (MAC) D. Controllo discrezionale degli accessi (DAC)
UN
93. Susan sta risolvendo un problema di autenticazione Kerberos, che include un TGT (biglietto di concessione del ticket) non accettato come biglietto valido "e l'impossibilità di ottenere un nuovo ticket. Se il sistema che sta risolvendo il problema è stato configurato correttamente per l'autenticazione Kerberos , il suo nome utente e la password sono corretti. La sua connessione di rete funziona correttamente, quale potrebbe essere il problema? R.Il server Kerberos è offline. B. C'è una mancata corrispondenza del protocollo. C. Il TGT del client è contrassegnato come compromesso e non autorizzato. D Gli orologi del server Kerberos e del client locale non sono sincronizzati.
D
94. Brian vuole spiegare i vantaggi della federazione locale al management dell'organizzazione. Quale delle seguenti opzioni non è un vantaggio comune dei sistemi di identità federati? A. Semplificare la gestione dell'account B. Accesso singolo C. Prevenire attacchi di forza bruta D. Aumentare la produttività
C
95.La banca di Aaron desidera consentire ai clienti di utilizzare una nuova applicazione aggiuntiva fornita da un partner terzo con cui collabora. Poiché non tutti i clienti desiderano o necessitano di un conto, Aaron consiglia alle banche di utilizzare un flusso di lavoro basato su SAML che crea un conto quando un utente scarica l'app e tenta di accedere. Che tipo di sistema di configurazione consiglia? A. Configurazione Just-In-Time (JIT) B.OpeniD C.OAuth D. Kerberos
UN
96.Quale protocollo di autenticazione utilizza Windows per impostazione predefinita per i sistemi Active Directory? A. RAGGIO B. Kerberos C.OAuth D. TACACS
B Kerberos: Kerberos è il servizio di autenticazione predefinito per Active Directory
97. Valerie deve controllare l'accesso alle applicazioni distribuite sui dispositivi mobili in un ambiente BYOD. Quale tipo di soluzione le consentirebbe di esercitare il controllo sulle applicazioni garantendo al contempo che non lascino dati residui sui dispositivi utilizzati dagli utenti finali? R. Distribuire l'applicazione ai dispositivi BYOD e richiedere un PIN univoco per ciascun dispositivo. B ha distribuito le applicazioni sul sistema desktop e richiede agli utenti di accedervi utilizzando l'autenticazione aziendale utilizzando un'interfaccia remota. C. Utilizzare un contenitore dell'applicazione per distribuire la sede dell'applicazione sui dispositivi BY0D e richiedere un PIN univoco per ciascun dispositivo. D. L'utilizzo di un ambiente applicativo ospitato virtuale richiede l'autenticazione tramite credenziali aziendali.
D
98. Abbina i seguenti meccanismi di autorizzazione alle loro descrizioni: 1. Controllo dell'accesso di base degli attributi basato sul ruolo (BAC dei ruoli) 2. Controllo dell'accesso di base degli attributi basato su regole (Regola BAC) 3. Controllo discrezionale degli accessi (DAC) 4. Controllo degli accessi di base degli attributi (ABAC) 5. Controllo degli accessi obbligatorio (MAC) A. Un modello di controllo degli accessi applicato dal sistema operativo. B. Concedere autorizzazioni o diritti in base ai requisiti di corrispondenza per indirizzo IP, ora o altri dettagli specifici. C. A volte chiamato controllo degli accessi basato su policy, questo modello utilizza le informazioni sull'entità per assegnare le autorizzazioni. D. Un modello che concede alle entità le autorizzazioni appropriate per assegnare o trasferire tali autorizzazioni ad altre entità E. Utilizzato per assegnare autorizzazioni in base al lavoro o alla funzione.
1E2B3D4C5A
99. Abbinare le tecnologie di autenticazione digitale alle categorie appropriate. Ogni tecnologia dovrebbe essere abbinata a una categoria. Ciascuna categoria può essere utilizzata una volta, più volte o non essere utilizzata affatto. Tecnologia di autenticazione 1. Parola d'ordine 2. Carta d'identità 3. Scansione della retina 4. Gettone mobile 5. Analisi delle impronte digitali categoria: A. qualcosa di posseduto B. Qualcosa da sapere C. è qualcosa
1B2A3C4A5C
100. Abbina i seguenti controlli di identità e accesso ai tipi di risorse che sono più adatti a proteggere. Ciascuna opzione può essere selezionata solo una volta. 1. Patrimonio informativo 2. Sistema 3. Dispositivi mobili 4. Strutture 5. Candidature per i partner A. Controllo degli accessi discrezionale B. Lettore di carte per controllo accessi C. Gestione federata delle identità D. Autenticazione biometrica E. Account utente con autenticazione a più fattori
1A2E3D4B5C