=Start=
缘由:
备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。
正文:
参考解答:
第14章 控制和监控访问
本章中覆盖的 CISSP 考试大纲包含:
身份与访问管理
E.实施和管理授权机制
E.1 基于角色的访问控制(RBAC)模型
身份与访问管理
E.实施和管理授权机制
E.1 基于角色的访问控制(RBAC)模型
E.2 基于规则的访问控制模型
E.3 强制访问控制(MAC)
E.4 自主访问控制(DAC)
F.保护和缓解对访问控制的攻击
E.4 自主访问控制(DAC)
F.保护和缓解对访问控制的攻击
第13章”管理身份与认证”提出了几个与CISSP认证考试通用知识体系(CBK)中的身份与访问管理域相关的重要主题。本章基于这些主题,并包括一些常见的访问控制模型的关键信息,还包括关于如何预防或缓解访问控制攻击的信息。一定要阅读和研究每一章的材料,以确保完全覆盖这一知识域的关键内容。
14.1 对比访问控制模型
主体是访问被动对象的活跃实体,客体是向活跃主体息的被动实体。访问控制技术有几个类别,CISSP CIB中明确提到了4个:自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(role-BAC)和基于规则的访问控制(rule-BAC)。
14.1.1 对比许可、权限和特权
研究访问控制主题时,你会经常遇到许可、权限和特权这些术语。有些人交替使用这些术语,但它们的意思并不总是一样。
- 许可一般情况下,许可是指授予对象的访问权以及对具体访问权内容的确定。如果对文件有读取许可,就能打开和阅读文件。可以授予用户权限来创建、读取、编辑或删除文件服务器上的一个文件。类似地,可以授予用户对文件的访问权限,所以在这种情况下,访问权和许可是同义的。例如,你可能被授予读取和执行应用程序文件的许可,这样你就有了运行应用程序的权限。此外,你可能被授予数据库内的数据权限,这使你能够在数据库中检索或更新信息。
- 权限主要是指对一个对象采取行动的能力。例如,一个用户可能有权修改电脑上的系统时间或有权恢复备份数据。这是一个微妙的区别,并不强调。然而,你很少会看到将在系统上采取行动的许可称为权限。
- 特权是许可和权限的结合。例如,电脑管理员会有完整的特权,允许管理员在电脑上有充分的许可和权限。管理员将能够在计算机上执行任何操作井访问任何数据。
14.1.2 理解授权机制
访问控制模型使用许多不同类型的授权机制或方法来控制谁可以访问特定的对象。下面简要介绍一些常见的机制和概念。
隐式拒绝访问控制的基本原则是隐式拒绝,并且为大多数授权机制所使用。隐式拒绝原则确保了对一个对象的访问被拒绝,除非访问已被显式地授予一个主体。例如,想象管理员明确授予Jeff Full对一个文件的完全控制权限,但不显式地把权限授予其他任何人。Mary没有任何访问权,即使管理员没有明确拒绝来自她的访问。相反,隐式拒绝原则拒绝给予陆可和除Jeff Full以外的任何其他人访问权。
访问控制矩阵访问控制矩阵是一个包括主体、客体和分配权限的表格。当主体想要执行某个动作时,系统检查访问控制矩阵来确定主体是否有适当的权限来执行该动作。例如,一个访问控制矩阵可以包括一组文件作为客体,一组用户作为主体。它将显示每个用户为每个文件授予的确切权限。注意,内容远远超过单个访问控制列表(ACL)。在这个例子中,在矩阵中列出的每个文件都有单独的ACL,列明了授权用户和他们被分配的权限。
功能表功能表是确定分配给主体特权的另一种方式。它们不同于ACL.因为功能表关注主体(如用户、组或角色)。例如,为会计角色创建的功能表将包括会计角色可以访问的所有客体列表,以及分配给会计角色对这些对象的特定权限。相比之下,ACL专注于客体。ACL是一些会列出被授权访问文件的所有用户和/或组及其具体授权内容的文件。
提示:
- ACL和功能表的区别是专注点。ACL专注于客体,能识别对特定客体予的主体访问权。功能表专注于主体,能识别主体可以访问的客休。
- 限制接口应用程序使用限制接口来根据用户的特权限制用户可以做什么或看什么。拥有完整特权的用户对应用程序的所有功能都有访问权。拥有限制特权的用户访问权有限。应用程序使用不同的方法限制接口。如果用户没有权限使用它,那么一种常见的方法是隐藏功能。例如,管理员可以通过菜单或右击某项来获得命令,但如果普通用户没有权限,命令就不会出现。其他时候,应用程序显示菜单项,但它们是暗的或禁用的。普通用户可以看到菜单项,但无法使用。
- 内容有关的控制内容有关的控制基于客体中的内容来限制对数据的访问。数据库视图是基于内容的控制。视图从一个或多个表中检索特定列,创建一个虚拟表。例如,数据库中的客户表可能包括客户名称、电子邮件地址、电话号码和信用卡数据。基于客户的视图只会向用户展示客户名称和电子邮件地址,但没有别的信息。被授予访问视图权限的用户可以看到客户名称和电子邮件地址,但不能访问底层表中的数据。
- 上下文相关的控制上下文相关的访问控制需要在授予用户访问权之前进行特定的活动。例如,考虑在网上销售数码产品的交易的数据流。用户将产品添加到购物车中,开始结账过程。结账流程的第一页显示购物车中的商品,下一个页面收集信用卡数据,最后一页确认购买并提供下载数码商品的指令。如果用户不先完成购买过程,系统会拒绝对下载页面的访问。也可以使用日期和时间控制作为上下文相关的控制。例如,可以基于当前日期和/或时间限制对计算机和应用程序的访问。如果用户试图在允许时间之外的时间访问资源,系统就会拒绝他们的访问。
- 知其所需这条原则确保主体只在他们的工作任务和工作职能有要求时被授予访问权。主体可能有访问机密或限制数据的许可,但没有获得数据访问授权,除非他们真正需要来执行工作。
- 最小特权最小特权原则确保主体只被授予他们执行工作任务和工作职能所需的特权。这一原则有时和”知其所需”原则混为一谈。唯一的区别在于,最小特权还将包括在系统上采取行动的权利。职责分离这一原则确保敏感功能被分成由两个或两个以上员工执行的任务,这有助于通过创建制衡系统来防止欺诈和错误。
14.1.3 用安全策略定义需求
安全策略是一个定义了组织安全需求的文档,它识别需要保护的资产,以及安全解决方案应该去保护它们的程度。一些组织将安全策略创建为一个单独的文件,其他组织创建多个安全策略,各自关注单独的区域。
策略是访问控制的一个重要元素,因为它们帮助组织内的人员了解什么安全需求是重要的。高层领导批准安全策略,并且在这一过程中对组织的安全需求进行广泛的概述。然而,安全策略通常不涉及有关如何满足安全需求或如何实现策略的细节。例如,它可能会说明实现和执行职责分离和最小特权原则的必要性,而不会说明如何这样做。组织内的专业人士使用的安全策略将作为实现安全需求的指导。
14.1.4 部署深度防御
组织使用深度防护策略实现访问控制。这使用多层访问控制来提供多层安全。
组织使用多种方法实施控制。不能仅依靠技术来提供安全;也必须使用物理性访问控制和行政管理性访问控制。例如,如果一台服务器有超强认证但被存储在一张无防备的办公桌上,一个小偷可以容易偷到,并不慌不忙地侵入系统。同样,用户可能有很强的密码,但是社会工程师可以忽悠无知的用户放弃密码。
深度防御的概念强调了几个重要的点:
•组织的安全政策,这是管理访问控制之一,通过定义安全需求为资产提供了一层防御。
•人员是防御的重要组成部分。然而,他们需要接受适当的培训和教育来实现、符合、支持组织安全策略中定义的安全元素。
•行政管理性、技术性和物理访问控制的结合提供更为强大的防御。只使用行政管理性、技术性或物理访问控制之一会带来脆弱性,攻击者可以发现和利用这些脆弱性。
14.1.5 自主访问控制
使用自主访问控制(DAC)系统允许客体的所有者、创建者或数据保管者控制和定义主体对该客体的访问。所有客体都有拥有者,并且访问控制基于客体所有者的自由决定。例如,如果用户创建了一个新的电子表格文件,那么该用户就是这个文件的所有者。作为文件的所有者,用户可以更改文件的权限,从而准许或拒绝其他主体进行访问。基于身份的访问控制是DAC的一个子集,因为系统根据用户身份识别井分配资源所有权给身份。
常常使用针对客体的访问控制列表(ACL)来实现DAC模型。每个ACL都定义了对主体准许或限制的访问类型。因为客体的所有者可以改变针对客体的ACL所以自主访问控制并不提供集中控制的管理系统。访问对象很容易改变,特别是与强制访问控制的静态特性相比。
在DAC环境中,管理员可以轻松地挂起用户的权限(在他们离开时,例如度假)。同样的,很容易禁用账户(当用户离开组织时)。
14.1.6 非自主访问控制
可自由支配和不可任意支配的访问控制之间的主要区别在于如何对它们进行控制和管理。管理员会对不可任意支配的访问控制进行集中管理,并可以做出影响整个环境的改变。相比之下,自主访问控制模型允许所有者做出自己的更改,且他们所做的更改不会影响环境中的其他地区。
在非DAC模型中,访问不关注用户的身份。相反,支配整个环境的静态规则组管理访问。非DAC系统集中控制且易于管理(尽管不灵活)。一般来说,任何不是可自由支配的模型都是非可任意支配的模型,这包括基于规则、基于角色和基于格子的访问控制。
1.基于角色的访问控制
采用基于角色或基于任务的访问控制系统基于主体的角色或分配的任务定义主体访问对象的能力。基于角色的访问控制(role-BAC)经常使用组来实现。
很容易混淆DAC和role-BAC.因为它们都可以使用组来将用户组织到可管理单元中,但它们在部署和使用上不同。在DAC模型中,客体有所有者,所有者确定谁有权访问。在role-BAC模型中,管理员确定主体特权,并将特权分配给角色或组。在严格的role-BAC模型中,管理员不会把特权直接分配给用户,而只会通过将用户账户添加到角色或组中来授予特权。
另一种与role-BAC相关的方法是基于任务的访问控制σBAC)oTBAC与role-BAC相似,但不是每个用户被分配一个或多个角色,而是会被分配一系列的任务。这些都与为用户账户相关的个人分配的工作任务相关。在TBAC下,重点是通过分配任务而不是通过用户身份来控制访问。
2.基于规则的访问控制
基于规则的访问控制(rule-BAC)使用一套规则、限制或过滤器来确定能以及不能出现在系统上的东西,包括给予主体访问客体的权限,或授予主体执行某个动作的能力。有关rule-BAC模型的一个独特特征是:它们有适用于所有主体的全局规则。
rule-BAC模型的一个常见例子是防火墙。防火墙包括ACL中的一组规则或过滤器,由管理员定义。防火墙检查所有流经防火墙的流量,并只允许符合规则的流量通过。
防火墙包含一条最终规则(称为隐式拒绝规则),会拒绝所有其他流量。
3.基于属性的访问控制
传统的rule-BAC模型包括适用于所有用户的全局规则。然而,rule-BAC的一个高级实现是基于属性的访问控制模型(ABAC)。ABAC模型使用包括多个属性的规则的策略。许多软件定义的网络应用程序使用ABAC模型。
rule-BAC适用于所有用户,但ABAC可以更具体。
4.强制访问控制
强制访问控制(MAC)模型依赖于分类标签的使用。每个分类标签代表一个安全域或安全领域。安全域是共享公共安全策略的主客体集合。
MAC模型通常被称为基于格子的模型。
强制访问控制是禁止的而非许可的,它使用隐式的拒绝哲学。如果用户没有获得对数据的具体访问授权,系统会拒绝他们访问相关联的数据。MAC模型比DAC模型更安全,但不够灵活、不可扩展。
MAC模型中的分类使用以下三种类型的环境之一:
分层环境分层环境将有序结构中的各个分类标签与低安全等级、中安全等级、高安全等级相互联系,如分别为机密、保密和绝密。结构中的每个级别或分类标签都相关。一个级别的许可授予主体访问这一级别以及更低级客体的权限,但禁止访问更高级别的所有客体。例如,有绝密许可的人可以访问绝密数据和保密数据。
隔间区分环境在隔间区分环境中,一个安全域和另一个安全感之间没有关系。每个域代表一个单独的隔间。为了获取对某个客体的访问权,主体必须有对其安全域的具体许可。
混合环境混合环境结合了分层和隔间区分的概念,以使每个等级水平可能包含更多细分等级,与安全域的剩余部分相隔离。主体必须有正确的许可,以及在某个特定隔间的”需知”数据来获得对隔间区分客体的访问。混合MAC环境提供对访问的粒状控制,但随着增长变得越来以管理。
14.2 理解访问控制攻击方式
正如第13章所述,访问控制的一个目标是要阻止针对客体的未授权访问,包括访问任何系统信息(如网络、服务、通信连接、计算机和未授权访问数据等)。除了控制访问,IT安全方法能够防止未授权的披露和变更,并提供一致的资源可用性。换句话说,IT安全方法试图防止机密性破坏、完整性破坏和可用性破坏。
基于此,安全专家需要知道常见的攻击方法,以便他们能够采取积极的措施来加以阻止,以及在它们发生时进行识别,并适当地回应。以下部分对风险元素进行了快速回顾,并说明了一些常见的访问控制攻击。
14.2.1 风险元素
风险指的是某种潜在的威胁将利用某种漏洞造成某种损失(如对某项资产的损害)的可能性。
威胁指的是某个事件发生的趋势,可能会产生某种不良的后果。这不仅包括罪犯或其他攻击者进行的潜在攻击行为,还包括自然灾害,如洪灾或地震等,以及员工的意外举动。
漏洞指的是任何类型的脆弱性。这种脆弱性可能是因为硬件或软件的缺陷或限制,或是因为安全控制的缺失,如没有在电脑上安装杀毒软件。
风险管理指的是通过执行控制和应对措施试图减少或消除漏洞或减少潜在威胁的影响。消除风险是不可能的,或者说是不可取的。相反,组织应将重点放在减少那些对其有极大损害的风险上。需要注意的是,风险管理过程初期的重要步骤如下:
•识别资产
•识别威胁
•识别漏洞
1.识别资产
资产评估指的是确定各种资产的实际价值并对它们进行目标优选。风险管理就是将重点放在价值最高的资产上,并执行控制来减少风险对这些资产的影响。
了解资产的价值也有助于成本效益分析,这样可以确定不同类型安全控制的成本效益。
2.识别威胁
识别资产并确定优先级后,组织试图识别对有价值系统的任何可能威胁。威胁建模指的是识别、理解和分类潜在威胁的过程。目标之一是识别对这些系统的威胁潜在列表和分析威胁。
3.威胁建模方法
因为存在几乎无限可能的威胁,所以重要的是要使用结构化的方法来识别相关的威胁。例如,一些组织使用以下一种或多种方法:专注资产、专注攻击者、专注软件。
4.高级持续性威胁
任何威胁模型都应该考虑己知威胁的存在,一种相对较新的威胁是高级持续性威胁(APT)。
5.识别脆弱性
在识别有价值的资产和潜在威胁后,组织将执行漏洞分析。换句话说,试图发现这些系统在潜在威胁面前的弱点。在访问控制的情境下,漏洞分析试图识别不同访问控制机制的优缺点,以及利用了弱点的潜在威胁。
脆弱性分析是一个持续的过程,包括技术和管理措施。在较大的组织中,可能会有特定的人把脆弱性分析作为一项全职工作。他们定期进行漏洞扫描,寻找各种各样的漏洞并报告结果。在规模较小的组织中,网络管理员可以定期运行脆弱性扫描,如每周或每月一次。
风险分析通常会包括脆弱性分析,评价系统和环境的己知威胁和漏洞,然后就是利用漏洞的渗透测试。
14.2.2 常见的访问控制攻击
访问控制攻击试图绕过访问控制方法。下面将介绍一些与访问控制直接相关的常见攻击。
1.访问聚合攻击
访问聚合是指收集多个非敏感信息块,并将它们结合起来获得敏感信息。换句话说,一个人或一个组织可以收集有关系统的多个事实,然后使用这些事实发动袭击。
侦察攻击是访问聚合攻击,它结合多种工具来识别系统的多个元素,如IP地址、开放端口、运行服务、操作系统等。攻击者还对数据库进行聚合攻击。第20章”软件开发安全”涵盖了聚合攻击和推理攻击,间接允许使用聚合和推理技术实现对数据的未授权访问。
结合深度防御、”知其所需”和最小特权原则有助于防止聚合攻击。
2.密码攻击
如第1章中所述,密码是最弱形式的认证。如果攻击者成功发动密码攻击,攻击者可以访问账户和授权给账户的所有资源。如果攻击者发现根或管理员密码,攻击者可以访问任何其他账户及其资源。如果攻击者在戒备森严的环境中发现特权账号的密码,环境的安全性就不能再被完全信任。攻击者可以创建其他账户或后门来访问系统。组织可能不会接受风险,而是选择重建整个系统。
强大的密码有助于防止密码攻击,这种密码包括至少8个字符,并至少有4个字符类型(大写字母、小写字母、数字和特殊字符)中的三个。随着密码破解者的本事越来越大,有些人认为强密码必须至少有15个字符,尽管普通用户很难相信。安全专家通常知道怎样让密码变得强大,而很多用户不知道,用户使用一种字符类型的短密码是很常见的。
字典攻击、暴力攻击、生日攻击、彩虹表攻击和嗅探攻击——常见的密码攻击方式。有些攻击对于网络账户来说是可能的。然而,更常见的是,攻击者窃取账户数据库后离线破解密码。
3.电子欺骗攻击
电子欺骗(伪装)是指假装成某物或某人等。
4.社会工程学攻击
有时,直接询问是得到别人密码的最简单方式,这也是社会工程学常用的一种方法。社会工程学陷阱是指攻击者通过欺骗(包括虚假奉承、假装或行为默许)尝试获取他人信任的行为。攻击者试图诱骗人们透露不愿透露的信息或执行他们不会执行的行为。通常社会工程学的目的是获得进入IT基础设施或物理设施的权限。
5.网络钓鱼
网络钓鱼是一种社交工程陷阱,它试图诱骗用户,使之掉以轻心,从而打开附件或链接。
鱼叉式钓鱼
鱼叉式钓鱼是一种针对特定用户组的钓鱼方式,如某特定组织的员工。可能来自组织内的同事或合作者,也可能由外部来源引发。
捕鲸
捕鲸是钓鱼的一种形式,目标是高层人员或高管,比如公司的CEO和总裁。
语音钓鱼
攻击者除了主要通过电子邮件发起网络钓鱼攻击外,他们还会使用其他的手段欺骗用户,如即时通信(IM)和网络电话(VoIP)。
智能卡攻击
智能卡与密码相比,身份认证效果更好,特别是在把它们与另外一种认证因素结合使用时,比如个人识别号码(PIN)。然而,智能卡也易受攻击。旁路攻击是一种被动的、非侵入性的攻击,目的是观察设备操作。当攻击成功后,攻击者能够得到有价值的信息,包括信用卡信息,如加密密钥。智能卡包含一个微处理器,但它没有内功率。相反,当用户将卡插入到读卡器中时,读卡器会向卡片进行供电。读卡器有一个电磁线圈,这个线圈能激发电子卡片。这为智能卡传输数据提供了足够的电力。旁路攻击会分析发送给读卡器的信息。有时,它们可以使用电力监控攻击或微分功率分析攻击来测量芯片的功耗,以提取信息。在时序攻击中,它们可以监控处理时间,然后根据不同计算需要的时间获取信息。故障分析攻击试图引发错误,比如向卡片提供很少的电力以获取有价值的信息。
拒绝服务攻击
拒绝服务(DoS)攻击会阻止系统进行处理或阻止对合法流量或资源请求的响应。当系统失效后,所有对系统的合法访问都会出现阻塞、中断或迟缓。
6.防护方法汇总
- 对系统的物理访问控制。关于安全性的一句名言是,”如果攻击者无限制地对计算机进行物理访问,攻击者就会拥有它”。如果攻击者可以对身份认证服务器进行物理访问,他们就可以在很短时间内盗取密码文件。一旦攻击者盗取了密码文件,他们就可以在线下进行密码破解。如果攻击者成功下载密码文件,就可以认为所有的密码都存在危险。
- 对文件的电子访问控制。严格控制和监控对密码文件的电子访问。终端用户和非账户管理人员在日常工作中不需要访问密码数据库。安全专业人员应该对任何未经授权的密码数据库访问进行及时调查。
- 加密密码文件。对可用操作系统的密码文件进行强加密有助于保护它们免受未经授权的访问。散列法(如前所述)是一种常见的加密方法。此外,在进行密码散列之前,对密码加盐(salting)可以提供更强的保护。对包含密码数据库文件副本的所有介质进行严格控制也非常重要,如备份磁带或磁盘修复。最后,在传输过程中对敏感数据进行加密也是很重要的,包括通过网络发送密码。
- 创建强密码策略。通过编程的密码策略可以强制使用强密码,确保用户定期更改密码。攻击者在破解多种宇符类型的长密码时需要用更长的时间。如果有足够的时间,攻击者可以通过离线暴力攻击找到所有的密码,所以要保持安全性,就需要定期更换密码。很多安全或敏感环境需要更强的密码,并且会要求用户频繁更改密码。许多组织对特权账户实行单独的密码策略,如管理员账户,以确保这些账户的密码更强且管理员与普通用户相比,会更加频繁地修改密码。
- 使用密码掩码。确保应用程序在任何屏幕上都没有以明文方式显示过密码,而且在显示密码时以替代性字符表示密码,如星号(*)。这能减少肩窥,但用户应该意识到,攻击者能够通过观察用户在键盘上的按键方式获得密码。
- 配置多因素身份认证。配置多因素身份认证,比如使用生物识别技术或令牌设备。当某组织使用多因素身份认证时,攻击者就算发现了密码,也无法访问网络。许多在线服务,比如谷歌,现在提供的就是多因素身份认证,作为额外的保护措施。
- 使用账户锁定控制。账户锁定控制有利于防止在线密码攻击。在密码输入不正确超过预先设定的次数后,账户就会被锁定。账户锁定控制通常使用阀值水平(clipping levels),虽然会忽略一些用户错误,但在达到某个阔值后就会采取行动。例如,通常会允许用户发生5次的错误输入,之后就会锁定账户。对于不支持账户锁定控制的系统和服务,比如大多数的FTP服务器,会在登录时附加入侵检测系统以保护服务器的安全。
- 使用最后一次登录通知。许多系统会显示一条消息,包含最后一次成功登录的时间、日期和地点(如计算机名或IP地址)。如果用户关注此消息,则可能会注意到是否有其他人登录自己的账户。例如,如果用户是在上周五登录账户,但最后一次登录通知显示周六时有人访问该账户,则表明存在问题。怀疑别人登录自己账户的用户可以更改密码或向系统管理员报告这个问题。
- 对用户进行安全教育。获得恰当训练的用户对安全性和使用强密码有着更好的理解。警告用户他们不应该分享或写下自己的密码。管理员可能会对最敏感的账户,如管理员账户或根账户,设置又长又复杂的密码,并把这些密码存储在库或保险箱中。提示用户如何创建强密码,如密码短语。
- 以及如何预防肩窥。让用户知道在所有网上账户(如银行账户和游戏账户)上使用相同密码的危险。当用户对所有这些账户使用相同的密码时,对游戏系统的成功攻击可以让攻击者访问用户的银行账户。用户也应该知道常见的社会工程学手段。
14.3 本章小结
- 本章涵盖了许多访问控制模型相关的概念。权限是指对客体的访问权,并决定着用户(主体)能够对客体做什么。权利主要是指对客体采取行动的能力。特权包括权利和权限。隐式拒绝确保对客体的访问被拒绝,除非访问权被明显地授予主体。
- 访问控制矩阵是一个关注客体的表,包括客体、主体以及分配给主体的特权。表中的每一行代表单个客体的ACL。ACL关注客体,并识别为任何特定客体而授予主体的访问权。功能表关注主体,并识别主体可以访问的客体。
- 限制接口基于用户的特权限制他们可以做什么或者可以看到什么。内容有关的控制基于客体的内容限制访问。情境有关的控制在授予用户访问权之前需要进行特定的活动。
- 最小特权原则确保主体只被授予执行工作任务和工作职能所需的特权。职责分离有助于防止欺诈,因为它确保敏感功能会分别由两名或两名以上的员工负责。
- 书面安全策略定义了组织的安全需求、安全控制的实施和执行安全策略。深度防御策略实现了多级安全控制以对资产进行保护。
- 在有自主访问控制时,所有客体都有一个所有者,所有者对客体具有完全控制权。管理员集中管理不可任意支配的控制。基于角色的访问控制使用通常与组织层级结构相匹配的角色和组。管理员为用户设定角色,并基于工作或任务为角色分配权限。基于规则的访问控制使用适用于所有主体的全局规则。强制访问控制要求所有客体都有标签,访问基于主体是否有相匹配的标签。
- 重要的是要理解评估访问控制攻击潜在损失时的基本风险元素。风险是威胁利用漏洞带来损失的可能性。资产估值确定资产的价值,威胁建模识别潜在威胁,脆弱性分析识别漏洞。这些都是在实施控制以防止访问控制攻击时需要理解的重要概念。
- 常见的访问控制攻击试图绕过身份认证机制。访问聚合是收集和聚合非敏感信息以便推断出敏感信息的行为。
- 密码是一种常见的身份认证机制,存在几个不同的攻击类型试图破解密码。密码攻击包括字典攻击、暴力攻击、生日攻击、彩虹表攻击和嗅探攻击。套路攻击是针对智能卡的被动攻击。
- 社会工程学技术经常在为了得到密码和其他数据时使用。网络钓鱼使用电子邮件试图让用户放弃有价值的信息(比如凭证)、单击链接或打开恶意附件。鱼叉式网络钓鱼针对的是一群人,比如在某个组织工作的人。捕鲸针对的是高层管理人员。
14.4 考试要点
- 识别常见授权机制。考虑到分配给已认证身份的权限,授权确保请求的活动或客体访问是可能的。例如,可以确保具有适当权限的用户可以访问文件和其他资源。常见的授权机制包括隐式拒绝、访问控制列表、访问控制矩阵、功能表、限制接口、内容有关的控制和情境有关的控制。这些机制应实施安全原则,如“知其所需”、“最小特权原则”和“职责分离”。
- 了解每个访问控制模型的细节。在自主访问控制模型中,所有客体都有所有者,所有者可以修改权限。管理员集中管理不可任意支配的控制。基于角色的访问控制模型使用基于任务的角色,当管理员为账户分配角色后,用户获得特权。基于规则的访问控制模型使用一套规则、限制或过滤器来确定访问。强制访问控制模型使用标签来识别安全域。主体需要匹配标签来访问客体。
- 理解基本的风险元素。风险是威胁利用漏洞、破坏资产的可能性。资产估值确定资产的价值,威胁建模识别对这些资产的威胁,脆弱性分析识别组织有价值资产的弱点。访问聚合是一种结合、聚合非敏感信息以获取敏感信息的攻击,用于侦察攻击。
- 理解暴力攻击和字典攻击的运行方式。暴力攻击和字典攻击针对的是被盗密码数据库文件或系统的登录提示。设计它们是为了发现密码。暴力攻击使用的是键盘字符所有可能的组合,而字典攻击中使用的是可能密码的预定义列表。账户锁定控制能阻止它们对网络攻击的有效性。
- 理解强密码的必要性。强密码会使密码破解工具失效。强密码包括多个字符类型,而不是字典中的单词。密码策略确保用户创建强密码。密码在存储时应被加密,通过网络发送时也应进行加密。身份认证可以通过使用密码以外的额外因素进行增强。
- 理解嗅探攻击。在嗅探攻击(或窃听攻击)中,攻击者使用数据包捕获工具(如嗅探器或协议分析器)来获取、分析和读取通过网络发迭的数据。攻击者可以很容易地读取在网络上以明文发送的数据,但是在传输中加密数据就可以防止这种类型的攻击。
- 理解电子欺骗攻击。电子欺骗指的是假装成别的东西或其他人,被用在许多类型的攻击中,包括访问控制攻击。攻击者通常试图获得用户的凭据,以便可以诱骗用户的身份。欺骗攻击包括邮件欺骗、电话欺骗、IP欺骗。许多钓鱼攻击都使用欺骗的方法。
- 理解社会工程学。社会工程学攻击是指攻击者试图说服某人提供信息(如密码)或执行他们通常不会执行的动作(如单击恶意链接),从而导致安全性损害。社会工程师经常试图获得对IT基础设施或物理设施的访问权限。用户教育是一种用来阻止社会工程学攻击的有效工具。
- 理解网络钓鱼。网络钓鱼攻击常用来诱使用户放弃个人信息(如用户账户和密码)、单击恶意链接或打开恶意附件。鱼叉式网络钓鱼的目标针对特定的用户群,捕鲸针对高层管理人员。电话钓鱼使用VoIP技术。
参考链接:
=END=
《 “CISSP官方学习指南第7版#第14章” 》 有 8 条评论
智能化网络钓鱼引擎开源
https://logrhythm.com/blog/phishing-intelligence-engine-open-source-release/
https://github.com/LogRhythm-Labs/PIE
SPF – 一款社会工程学钓鱼框架
https://github.com/tatanus/SPF
What is APT:浅谈APT攻击
http://www.freebuf.com/column/160412.html
`
0×00. APT的历史起源
0×01. APT到底是什么?
0×02. APT的一些知名论坛,团体
0×03. APT有哪些攻击阶段?
0×04. APT分析模型
0×05. 被透露的APT攻击
0×06. 一些APT信息获取渠道
0×07. 应对APT的思路或者想法
`
Camelishing – 一款社会工程学攻击辅助工具
https://github.com/azizaltuntas/Camelishing
phishing-frenzy – Ruby on Rails 编写的钓鱼框架
https://github.com/pentestgeek/phishing-frenzy
Kubernetes中的RBAC
https://mp.weixin.qq.com/s/4tKp3MIQKIRaqODhoMxLuA
https://kubernetes.io/docs/reference/access-authn-authz/rbac/
鱼叉式网络钓鱼攻击——一份关于攻击动机、技术和预防方法的完整指南
https://www.4hou.com/web/20625.html
https://gbhackers.com/spear-phishing/
基于属性加密的云存储访问控制方法
https://mp.weixin.qq.com/s/XbpfD3lsaPkm1lrc82duug
`
针对现有控制方法在对云存储访问控制时,无论是控制精度还是控制效率均无法满足用户需求的问题,引入属性加密技术,提出了一种新的云存储访问控制方法。首先通过属性加密的方式加密云存储文件信息;其次引入拉格朗日多项式插值算法递归获取属性对应的结构树节点构成的集合,输出明文,完成文件信息加密;最后在客户端利用 NFS 实现对云存储文件的访问控制。对比实验证明,新的控制方法在实际应用中提升了对不同用户的访问控制精度,且控制过程中时间开销更少,有效提高了控制效率。
客户端对云存储文件的访问控制可以通过下面的协议实现:以 RSA 密钥生成访问控制密钥,在网络文件系统(Network File System,NFS)协议中可通过 RSA 生成密钥,然后直接向客户端发送,实现对客户端访问云盘文件的控制;通过 Synergy算法生成对客户端访问云盘文件产生的 NFS 属性加密的密钥 。
本文提出了一种基于属性加密技术的云存储访问控制方法,在加密属性的选择上考虑了密钥计算和加密算法的可靠性。通过对比实验的方式验证了新的控制方法在实际应用中可以实现对云存储访问更有效的控制,大大提高了云存储用户访问控制效率,并有效降低了访问控制安全风险。未来考虑将该方法作为一种实用高效的云存储访问控制方案继续深入研究。
`
属性加密实现链上密文数据安全共享
https://mp.weixin.qq.com/s/YLjpY177UW2CGy5cfPPkRA
`
一种基于属性加密技术(Attribute-BasedEncryption,ABE),通过合理的配置共享策略,即可解决上述私密数据共享问题。
以CP-ABE为例,举一个简单的例子说明ABE相较传统公钥加密算法的优势。一个数据拥有者需要将一份明文文件,加密发送给N个不同的用户,倘若使用传统公钥加密算法,数据拥有者需要首先保存这N个用户的公钥(不考虑公钥证书的情况下),利用这N个不同公钥,使用该份明文文件,加密N次,形成N份不同的密文,分别发送给这个N个用户。PK:Public Key,公钥;CT:Cipher Text,密文。
若使用ABE来完成这项任务则会轻松很多。此时,数据拥有者只需要制定一条仅有这N个用户才能满足的访问策略,接着输入公共参数PP、该条策略以及明文文件至ABE加密算法,进行加密一次,形成唯一一份密文。得到密文后,数据拥有者将该份密文分别发送给这N个不同用户。从加密计算开销与存储开销的角度来看,ABE在该场景下(数据加密共享场景)相较于传统公钥加密算法,有着肉眼可见的性能优势。
根据嵌入的对象不同,ABE可划分为KP-ABE、CP-ABE。
「KP-ABE」
KP-ABE(基于密钥策略的属性加密,Key-PolicyABE,KP-ABE)是将策略嵌入到用户密钥中,属性嵌入到密文中。密钥对应于一个访问结构而密文对应于一个属性集合,解密当且仅当属性集合中的属性能够满足此访问策略。这种设计比较接近静态场景,此时密文用与其相关的属性加密存放在服务器上,当允许用户得到某些消息时,就分配一个特定的访问策略给用户,其应用场景则更加偏向于付费视频网站、日志加密管理等等。如果用户想解密多个文件,那么他必须拥有多个可以满足匹配的秘钥,否则不能解密多个文件。
「CP-ABE」
CP-ABE(基于密文策略的属性加密,Ciphertext-PolicyABE,CP-ABE)是将策略嵌入到密文中,属性嵌入到用户密钥中。密文对应于一个访问结构而密钥对应于一个属性集合,解密当且仅当属性集合中的属性能够满足此访问结构。
CP-ABE基于属性的加密运用密码机制保护数据,由数据拥有者规定访问密文的策略,将属性集合与访问资源相关联,数据使用者可以根据自己的授权属性的访问密文信息,该技术适合隐私数据共享等访问类应用。CP-ABE由于策略嵌入密文中,这就意味着数据拥有者可以通过设定策略去决定拥有哪些属性的人能够访问这份密文,也就相当于对这份数据做了一个粒度可以细化到属性级别的加密访问控制,CP-ABE的应用场景一般是公有云上的数据加密存储与细粒度共享。
`