Explorando controle de acesso para segurança + Certificação - manequins

O controle de acesso é a capacidade de permitir ou negar o uso de um objeto (uma entidade passiva, como um sistema ou arquivo) por um assunto (uma entidade ativa, como um indivíduo ou processo).

Os sistemas de controle de acesso fornecem três serviços essenciais:

Identificação e autenticação (I & A): Determinam quem pode fazer logon em um sistema.
Autorização: Isso determina o que um usuário autorizado pode fazer.

Responsabilidade: Isso identifica o que um usuário fez.

Identificação e autenticação (I & A)

Identificação e autenticação (I & A) é um processo de duas etapas que determina quem pode fazer logon em um sistema.

Identificação é como um usuário diz a um sistema que ele ou ela é (por exemplo, usando um nome de usuário).

• O componente de identificação de um sistema de controle de acesso é normalmente um mecanismo relativamente simples, baseado em nome de usuário ou ID de usuário.

No caso de um sistema ou processo, a identificação geralmente é baseada em

• Nome do computador

• Endereço de controle de acesso de mídia (MAC)

• Endereço de protocolo de Internet (IP)

• ID do processo (PID)

Os únicos requisitos para a identificação são que a identificação

• Deve identificar o usuário de forma exclusiva.

• Não deve identificar a posição desse usuário ou a importância relativa em uma organização (como rótulos como presidente ou CEO ).

• Deve evitar usar contas de usuário comuns ou compartilhadas, como root , admin e sysadmin .

• Essas contas não fornecem responsabilidade e são metas suculentas para hackers.

Autenticação é o processo de verificação da identidade reivindicada de um usuário (por exemplo, comparando uma senha inserida com a senha armazenada em um sistema para um determinado nome de usuário).

• Algo que você conhece, , como uma senha ou um número de identificação pessoal (PIN). Isso pressupõe que somente o proprietário da conta conhece a senha ou o PIN necessários para acessar a conta. Infelizmente, as senhas são muitas vezes compartilhadas, roubadas ou adivinhadas.

• Algo que você tem, , como um cartão inteligente ou token. Isso pressupõe que somente o proprietário da conta possui o cartão inteligente necessário ou o token necessário para desbloquear a conta.

• Infelizmente, cartões inteligentes ou tokens podem ser perdidos, roubados, emprestados ou duplicados.

• Algo que você é, , como características de impressão digital, voz, retina ou íris.Isso pressupõe que o dedo ou globo ocular ligado ao seu corpo é realmente o seu e o identifica de forma exclusiva.

• A principal desvantagem é a aceitação do usuário - muitas pessoas estão desconfortas com o uso desses sistemas.

Autorização

Autorização (ou estabelecimento ) define os direitos e permissões de um usuário em um sistema. Depois que um usuário (ou processo) é autenticado, a autorização determina o que o usuário pode fazer no sistema.

A maioria dos sistemas operacionais modernos define conjuntos de permissões que são variações ou extensões de três tipos básicos de acesso:

Leia (R): O usuário pode

• Ler conteúdo do arquivo

• Diretório de lista

Write (W): O usuário pode alterar o conteúdo de um arquivo ou diretório com essas tarefas:

• Adicionar

• Criar

• Excluir > • Renomeie

Execute (X):

Se o arquivo for um programa, o usuário pode executar o programa. Estes direitos e permissões são implementados de forma diferente em sistemas baseados em

controle de acesso discricionário ( DAC) e controle de acesso obrigatório (MAC). Responsabilidade

A responsabilidade utiliza componentes do sistema como trilhas de auditoria (registros) e logs para associar um usuário a suas ações. As trilhas de auditoria e os logs são importantes para

Detectando violações de segurança

Recriando incidentes de segurança
Se ninguém estiver revisando regularmente seus logs e eles não forem mantidos de forma segura e consistente, eles podem não ser admissíveis como evidência.

Muitos sistemas podem gerar relatórios automatizados com base em determinados critérios ou limiares predefinidos, denominados

níveis de recorte . Por exemplo, um nível de recorte pode ser configurado para gerar um relatório para o seguinte: Mais de três tentativas de logon falhadas em um determinado período

Qualquer tentativa de usar uma conta de usuário desativada
Esses relatórios ajudam um administrador de sistema ou o administrador de segurança identificam mais facilmente possíveis tentativas de invasão.

Técnicas de controle de acesso

As técnicas de controle de acesso são geralmente classificadas como

discricionárias ou obrigatórias . Compreender as diferenças entre controle de acesso discricionário (DAC) e controle de acesso obrigatório (MAC), bem como métodos específicos de controle de acesso em cada categoria, é crítico para passar o exame Security +. Controle de acesso discricionário

D

controle de acesso iscrecional (DAC) é uma política de acesso determinada pelo proprietário de um arquivo (ou outro recurso). O proprietário decide quem é permitido o acesso ao arquivo e quais os privilégios que eles têm. Dois conceitos importantes no DAC são

Propriedade de arquivos e dados:

Todo objeto em um sistema deve ter um proprietário. A política de acesso é determinada pelo proprietário do recurso (incluindo arquivos, diretórios, dados, recursos do sistema e dispositivos). Teoricamente, um objeto sem proprietário é deixado desprotegido. Normalmente, o proprietário de um recurso é a pessoa que criou o recurso (como um arquivo ou diretório).
Estes são os controles que um proprietário pode atribuir a usuários ou grupos individuais para recursos específicos. Os controles de acesso discrecional podem ser aplicados através das seguintes técnicas:

As listas de controle de acesso

(ACLs) nomeiam os direitos e permissões específicas atribuídos a um objeto para um determinado objeto. As listas de controle de acesso fornecem um método flexível para a aplicação de controles de acesso discricionários. Controle de acesso baseado em funções
atribui associação de grupo com base em funções organizacionais ou funcionais. Essa estratégia simplifica muito o gerenciamento de direitos de acesso e permissões: • Os direitos de acesso e as permissões para objetos são atribuídos a qualquer grupo ou, além de, indivíduos.

• Os indivíduos podem pertencer a um ou a vários grupos. Os indivíduos podem ser designados para adquirir

cumulativas permissões (todas as permissões de qualquer grupo em que estão) ou desqualificadas de qualquer permissão que não faz parte do grupo todo estão em Controle de acesso obrigatório

O controle de acesso obrigatório (MAC) é uma política de acesso determinada pelo sistema e não pelo proprietário. O MAC é usado em

sistemas multiníveis que processam dados altamente sensíveis, como informações classificadas de governo e militares. Um sistema multinível é um sistema de computador único que lida com vários níveis de classificação entre objetos e objetos. Dois conceitos importantes no MAC são os seguintes:

Etiquetas de sensibilidade:

Em um sistema baseado em MAC, todos os assuntos e objetos devem ter etiquetas atribuídas a eles. O rótulo de sensibilidade de um sujeito especifica seu nível de confiança. O rótulo de sensibilidade de um objeto especifica o nível de confiança necessário para o acesso.
Controlar a importação de informações de outros sistemas e exportar para outros sistemas (incluindo impressoras) é uma função crítica dos sistemas baseados em MAC, o que deve garantir que os rótulos de sensibilidade sejam devidamente mantidos e implementados para que Essa informação sensível está devidamente protegida em todos os momentos. Dois métodos são comumente usados para aplicar o controle de acesso obrigatório:

Controles de acesso baseados em regras:

Esse tipo de controle define ainda condições específicas de acesso a um objeto solicitado. Todos os sistemas baseados em MAC implementam uma forma simples de controle de acesso baseado em regras para determinar se o acesso deve ser concedido ou negado ao combinar

• Etiqueta de sensibilidade de um sujeito

Lattice- controles de acesso baseados: