Wondershare EdrawMind
EdrawMindCISSP-5-アクセス制御
マインドマップギャラリー CISSP-5-アクセス制御
- 5
CISSP-5-アクセス制御
CISSP-情報システムセキュリティプロフェッショナル認定マインドマップの主な内容は、アクセス制御手順、アクセス制御アプリケーション、アクセス制御マークアップ言語、アクセス制御モデル(認可)、アクセス制御方法、アクセス制御管理方法、アクセス制御管理などです。
2021-11-10 12:03:57 に編集されました- おすすめ
- アウトライン
アクセス制御
コンセプト
目標: 不正アクセスから保護する
不正なユーザーによるシステムリソースの使用
正規ユーザーによるシステムリソースの不正使用
コンセプト: アクセス制御はセキュリティの手段です ユーザーとシステムが他のシステムやリソースと通信および対話する方法を制御する
効果
機密性、完全性、可用性を保護する
機密保持
機密情報の漏洩を防ぐ
誠実さ
違法改ざん
不正な改変
社内外の情報の一貫性
可用性
リソースへの信頼性が高くタイムリーなアクセス
アクセス制御の手順
識別: 識別情報を提供する主体
ユーザーの身元を主張する
要素
独自性: 制御環境内で独自性があり、監査が容易
非記述的: ユーザーの身元や立場を明らかにするものであってはなりません
特徴:
アクセス制御の第一歩
一意の識別子
トレーサビリティの前提条件
認証 識別情報を確認する
ユーザー識別情報の確認
あなたは何を知っていますか? (思い出せる)
パスワード(パスワード) (パスワード)
静的、固定長
パスフレーズ (パスフレーズ)
ダミーのパスワード、通常はパスワードより長い
認知コード (認知パスワード)
個人的な事実や判断に基づく情報
例:
クレジットカードの返済日やその他の情報
出身校または母親の姓
認知情報の組み合わせは複数存在する可能性があります
何を所有するべきですか?
ストレージカード
情報は保存されますが、処理できません
スマートカード
情報処理機能を備えたマイクロプロセッサと集積回路が含まれています
分類:
接触
表面に金色のシールが貼ってあります
電力とデータ I/O が必要
非接触型
アンテナがあちこちに張り巡らされている
カードリーダーに入る電磁場によって電力が供給されます。
スマートカード攻撃
サイドチャネル攻撃: 非侵入型攻撃であり、いかなる形式の欠陥や弱点も悪用することなく、組織の運営方法に関する機密情報を明らかにするために使用されます。
スマート カードには強力な改ざん防止機能があります
ワンタイムパスワード(OTP) (ワンタイムパスワード)
動的パスワードとも呼ばれます。 認証には1回のみ使用可能
リプレイ攻撃を防ぐ
実装: トークン
同期モード
カウンタ同期: ユーザーがトークン デバイスのボタンを押してワンタイム パスワードの作成を開始します。
時刻同期: トークンとサーバーのクロックは同じである必要があります
非同期モード
チャレンジ/レスポンスメカニズム
長所と短所:
ユーザー ID とトークン デバイスが共有されたり盗まれたりすると、不正に使用される可能性があります。
利点はパスワードを覚える必要がないことです
例: トークンデバイス
SMS認証コード
それは何ですか、 あなたは何をしましたか?
生理学的特徴
顔スキャン
顔の属性や特徴をスキャンし、 骨や額などの情報も含まれます。
アルゴリズム: 地域特徴分析アルゴリズム
特徴
精度が低い! 、高速
誤認識率・拒否率が高い!
手の形
人間の手の形状の幾何学的特徴、指、および手全体の形状情報
含まれるもの:手のひらと指の長さ、幅、形状
手のトポロジー
手の全体の形とその湾曲した部分に沿って、さまざまな波状の形状を調べます。
短所: 手のトポロジーを手の形状と組み合わせる必要がある
手のひらスキャン
手のひらには溝、隆起、しわがあり、これが唯一の特徴です
含まれるもの: 各指の指紋
指紋 (指紋)
指紋は曲線や分岐点、そして非常に小さな特徴で構成されています
音声認識
音声モードの違い
登録中に別の単語を話す必要があり、テスト中に単語を混ぜて繰り返してもらう必要があります。
網膜スキャン
目の奥の網膜上の血管パターンをスキャンする
虹彩スキャン
虹彩は瞳孔を囲む目の色の部分です。
アヤメには独特のパターン、分岐、色、変化、光輪、しわがあります。
特徴: 虹彩認識が最も正確です
行動特性 (行動特性)
シグネチャ分析
署名のスピードややり方、署名者のペンの持ち方。
署名によって引き起こされる物理的な動きは、生体認証とみなされる電気信号を生成します。
キーストローク
ダイナミックなキーストロークは、特定のフレーズが入力されたときに生成される電気信号をキャプチャし、
アクションのスピードと動きを捉えます。
強力な検証 (強力な認証)
2つの要素 (3種類のうち2種類が入っています)
3つの要素 (全3種に収録)
3 つの識別方法の長所と短所
知っておくべきこと: 経済的だが不正利用されやすい
用意するもの: 物が紛失しやすい施設やデリケートなエリアへのアクセス用
概要とその機能: 身体的特徴と生体認証に基づいて、他人が使用するのは簡単ではありません。
タイプ 1 エラー (FRR): 誤検知率、許可された個人を拒否する (誤検知)
タイプ 2 エラー (FAR): 拒否されるべき偽者を受け入れた (偽陰性)
クロスオーバーエラー率: 本人拒否率と他人受入率の等価点
認可 対象者が対象となるオブジェクトに対して実行した操作を決定する
被験者がオブジェクトに対して実行した操作を決定する
アクセスガイドライン
役割ベースの
グループベースの
物理的または論理的な場所に基づく
期間または時間間隔に基づく
取引タイプに基づく
デフォルトでアクセスが拒否される
彼らが何を必要としているのかを知る
最小特権の原則
監査または監査(説明責任) ユーザーアクティビティを追跡するための監査ログと監視
トレーサビリティ/責任 (責任ある)
監査
セキュリティ監査
監査範囲: システムレベルのイベント、アプリケーションレベルのイベント、ユーザーレベルのイベント
監査内容: 時間、場所、タスク、何が起こったか
ログの保存期間とサイズ
監査ログの保護 (ログの整合性)
ログサーバー
ライトワンスメディア
ログの利用
手動チェック
自動チェック
ログ管理
キーストロークの監視
目的: 個人とその活動を監査すること
アクセス制御アプリケーション
アイデンティティ管理 (アイデンティティ管理)
目次
X.500 標準およびプロトコル (LDAP など) (LDAP Lightweight Directory Access Protocol) に基づいた階層データ構造形式に従います。
ディレクトリ サービス (DS)
管理者は、ネットワーク上に表示される ID、認証、認可、およびアクセス制御を構成および管理できます。
メタディレクトリ
一度に 1 つのディレクトリにのみ接続します
メタディレクトリには ID データが含まれています
仮想リスト
複数のデータソースに接続する
実際のデータが存在する場所を指します
アイデンティティリポジトリ
ID 管理ディレクトリに保存されている膨大な量の情報が企業全体に分散されている
ウェブアクセス管理
シングルサインオンなどの機能を提供するフロントエンド制御ソフトウェア
HTTP はステートレスです
アプリケーションの状態を維持するための Cookie とセッション
パスワード管理 (パスワード管理)
パスワードの同期
パスワードを 1 つだけ維持すると、パスワードを強化できます
弱点: 単一障害点、パスワードを取得するとすべてのリソースにアクセスできる
セルフサービスのパスワードリセット
登録の質問に答えてリセット リンクを送信します
パスワードのリセット支援
ヘルプデスクで認証後にパスワードをリセットする
サインイン SSO
一元化された ID ストレージ
複数のリソースへのアクセスを一度に検証する
弱点: 単一障害点、パスワードを取得するとすべてのリソースにアクセスできる
SSO インスタンス
ケルベロス
ID認証プロトコル
対称暗号化に基づく
分散環境でのシングル サインオンの例
エンドツーエンドのセキュリティを提供する
完全性と機密性は提供されますが、可用性は保証されません
メインコンポーネント:
キー配布センター KDC
本人認証サービス (認証サービス、AS)
チケット交付サービス (チケットグラントサービス、TGS)
秘密キー: KDC とプリンシパルの間で共有されます。 (キーは KDC に保存されます)
セッションキー: 2 人のプリンシパル間で共有される秘密。セッションの終了時に破棄されます。
弱点:
KDC は単一障害点です
秘密鍵はユーザーのワークステーションに一時的に保存されます
セッションキーはユーザーのワークステーション上にあります
ゴマ
対称暗号化と非対称暗号化の使用
メインコンポーネント:
特権属性サーバー (PAS) (特権属性サーバー)
デジタル署名付きの特権属性証明書 (PAC)。
PAC には、サブジェクトの ID、オブジェクトにアクセスする能力、 アクセス期間と PAC ライフサイクル
KDCと同様の役割を果たす
認証サーバー(AS) 認証サーバー
クリプトナイト
チケットベースの
2 つの部分からなる認証
クロック同期は必要ありません。Nonce (1 回限りの乱数) を使用します。
SAML
Webベースのシングルサインオン
フェデレーション ID 管理の標準です
セキュリティドメイン
統合されたセキュリティ ポリシーと管理を共有するドメイン間に信頼を確立します。
IDP
SA セキュリティ アサーション
アカウント管理
一元的なアカウント管理、同期された ID ディレクトリ
合理化されたアイデンティティ管理承認作成プロセス
フェデレーションアイデンティティ
複数の機器間でユーザー情報を共有する
Identity as a Service IDaaS /サーサイアム
クラウドベースの ID ブローカーおよびアクセス管理サービス Cloud-IAM
ID管理、アクセス制御、インテリジェントな分析
シングル サインオン、フェデレーテッド ID、きめ細かい制御、サービス統合などを実現できます。
アクセス制御マークアップ言語
GML
SGML
HTML
ハイパーテキストマークアップ言語 (ハイパーテキストマークアップ言語)
標準のユニバーサルマークアップ言語 (標準の汎用マークアップ言語)
XML
SPML
サービス構成マークアップ言語 (プロビジョニング)
SAML (Web ベースの SSO の実装) (セキュリティアサーション セキュリティアサーション)
異なるセキュリティ ドメイン間で認証および認可データを交換するための XML ベースの標準
IDP (アイデンティティプロバイダー)
サードパーティ (IDP) に問題がある場合、すべてのユーザーが影響を受けます。
XACML
Webサービスやその他のアプリケーションを通じて、 セキュリティポリシーとアクセス権限による資産管理・制御を実現するため
OpenID
OpenID はサードパーティによるユーザー認証のオープンスタンダードです
OAuth
オープンスタンダード (オープン認可)
アクセストークンを使用したOAuth 2.0
アクセス制御モデル (認可)
随意アクセス制御モデル (DAC)
ユーザーの承認に基づいて
オブジェクト所有者の裁量に依存する
タイプ
ユーザーとリソースの識別に基づく
ユーザーに対する直接の制限
欠点:
危険な
問題に直面している
トロイの木馬
ソーシャルエンジニアリング
必須のアクセス制御モデル (マック)
MAC はセキュリティ タグに依存しています
オブジェクトに応じたラベルを開発する (オブジェクトには分類があります)、 同時に、オブジェクト レベル以上のユーザーのみがアクセスを許可されます。 (対象者にはクリアランスがある) (固有の属性)
オブジェクト レベルを変更できるのは管理者のみであり、オブジェクト所有者 (データ所有者) は変更できません。
より高いセキュリティレベルの状況: 軍/政府機関
役割ベースのアクセス制御モデル (RBAC) (としても知られている: 非任意アクセス制御非DAC)
一元的なアクセス制御を使用してサブジェクトとオブジェクトへのアクセスを決定する
ユーザーの役割に基づいて
特徴
職務責任に基づいて権限を割り当てる
組織構造と関連付けることができる
最小特権の原則に従うことができる
職務の分離
ユーザーまたはグループはロールに対応し、そのロールに特定の権限を付与します。
カテゴリー
コアRBAC
ユーザー、ロール、権限、アクション、セッション ポリシーに従って定義およびマッピングする必要がある
階層型RBAC
ロール関係はユーザー メンバーシップと権限の統合を定義します
対応組織と機能の説明
タイプ
限られたレベル
単一の役割の継承
通常レベル
複数のロールの継承
制限付きRBAC
職務の分離を導入する
RBAC における静的な職務の分離
例: 会計とレジ係
不正行為を防止する
RBAC における動的職務分離
アクティブなセッションでの役割に応じて、 追加の職務分離のために権限を動的に制限する
ルールベースのアクセス制御 (ルバック)
if x then y に基づく
特定のルールを使用して、サブジェクトとオブジェクトの間で何が起こり、何が起こらないかを指示します。
ルールベースのアクセス制御は必ずしもアイデンティティベースではない
多くのルーターやファイアウォールはルールを使用して、どのタイプのパケットをネットワークに許可し、どのタイプのパケットを拒否するかを決定します。
(ABAC) 属性ベースのアクセス制御
新しいアクセス制御は、RBAC の欠点を解決します。各リソースとユーザーには、時間、位置、場所などのユーザー属性の比較評価に基づいて、特定のリソースにアクセスできるかどうかが決定されます。 。 RBAC は ABAC の特殊なケースです。
アクセス制御方法
アクセス制御マトリックス (アクセス制御マトリックス)
サブジェクトとオブジェクトのアクセス関係のマトリックス テーブル
アクセス能力テーブル (行列の行)
サブジェクトがアクセスできるオブジェクトを指定します
チケット、トークン、またはキーの形式をとる
例: ケベロスのチケット
アクセス制御リスト (ACL) (行列の列)
アクセスできる人を指定します
権限テーブル
例: ファイアウォールとルーターの構成
コンテンツベースのアクセス制御 (内容に応じて)
オブジェクトへのアクセスはオブジェクトの内容によって異なります
例: コンテンツベースのフィルタリングルール パケットフィルタリングファイアウォール
コンテキスト依存のアクセス制御 (コンテキスト依存)
コンテキストベースのアクセス決定
例: ステートフル インスペクション ファイアウォール
制限的なユーザーインターフェイス
含む:
メニュー
シェル
データベースビュー (ビューの作成)
物理的に制限されたインターフェース
アクセス制御管理方法
認証プロトコル
パスワード認証プロトコル、PAP (パスワード認証プロトコル)
チャレンジ ハンドシェイク認証プロトコル、CHAP (チャレンジハンドシェイク認証プロトコル)
拡張認証プロトコル、EAP (拡張可能な認証プロトコル)
一元的なアクセス制御管理 (アクセス制御の一元管理)
半径
認証と認可の組み合わせ
UDPを使用する
RADIUSクライアントとRADIUSサーバー間で送信されるパスワードのみを暗号化します。
TACACS
TCPを使用する
動的パスワードをサポート
AAA アーキテクチャを使用して、 個別の認証、認可、監査
クライアントとサーバー間のすべてのトラフィックを暗号化する
直径
基本合意書
拡張プロトコル
基本合意に基づいて構築され、 VoIPなどの複数のサービスを拡張する機能。
分散型アクセス制御管理
1 つのアプローチでは、リソースに近い人へのアクセスを制御して、特定のファイル、データ、およびリソースに誰がアクセスすべきか、誰がアクセスすべきではないかをよりよく理解できます。
比較:
集中型アクセス制御には単一障害点があり、統合されたアクセスは効率的です
分散型アクセス制御: ユーザー認証に基づいており、単一ポイントがなく、一貫性が欠如しています。
アクセス制御管理
カテゴリー
マネジメント・コントロール
戦略と対策
人事管理
規制構造
セキュリティの意識向上とトレーニング
テスト
物理的制御
ネットワークのセグメンテーション
境界セキュリティ
コンピュータ制御
地域孤立
配線
コントロールエリア
技術的制御
システムアクセス
ネットワークアーキテクチャ
ネットワークアクセス
暗号化とプロトコル
監査
説明責任
監査機能は、ユーザーが自分の行動に責任を持っていることを保証し、セキュリティ ポリシーの施行の安全性を保証し、調査ツールとして使用できます。
アクセス制御の監視
侵入検知システム、IDS (侵入検知システム)
構成:
センサー
アナライザ
管理者インターフェース
分類:
ネットワークIDS (防衛省)
ネットワーク通信を監視する
ホストID (HIDS)
特定のコンピュータ システム内のアクティビティを分析する
特性IDS (偽陰性)
効率は特徴データベースの更新に依存します
知識ベースまたは機能ベースの IDS
既存の特定の攻撃シグネチャ データベースまたはナレッジ ベースに基づいて、 パターンマッチングを行う
ステートフルIDS
侵入前と侵入プロセスのギャップに注意する アクティビティのステータス、事前設定されたルールとの一致
異常なIDS (行動/ヒューリスティック) (偽陽性)
統計的異常IDS
短所: 誤検知
利点: ゼロデイ攻撃または「小規模で遅い」攻撃を検出する機能
学習モードでは IDS を攻撃してはなりません。 そうしないと攻撃を検出できません
協定そのものに欠陥がある
交通異常タイプIDS
通常のトラフィックベースラインを構築する
通常のIDS
エキスパートシステムに基づいて、if x the y のルールに基づいて
侵入防御システム、IPS (侵入防止システム)
IDS パッシブ検出
アクティブディフェンス
ハニーポット (検出制御) (法律上の)
ハニーポットは誘惑です
合法です
罠はハニーポットではない
違法なので証拠として使えない
直面する脅威
パスワード攻撃手法
電子監視
トラフィックを監視し、パスワード情報を取得し、リプレイ攻撃を実行することによって
パスワードファイルにアクセスする
サーバー上のパスワードファイルにアクセスします
ブルートフォース攻撃 (ブルートフォースクラッキング)
考えられるすべての文字、数字、記号をループしてパスワードを推測します
辞書攻撃
ユーザーのパスワードと比較する辞書ファイルを作成します。
ソーシャルエンジニアリング
電話をかけたり、パスワードを偽装したりしてパスワードをリセットする
レインボーテーブル
すべてのハッシュされたパスワードが含まれます
キーロギング
パスワードセキュリティに関するアドバイス
パスワードチェッカー
パスワードの強度をテストするためのツール
パスワードのハッシュ化と暗号化
パスワードのライフサイクル
パスワード変更期間を指定する
過去のパスワードの数を記憶する
ログイン数を制限する
攻撃を受けているスマートカード
サイドチャネル攻撃
差動電力解析 (差動電力解析)
治療プロセスによって放出される電力量を表示する
電磁解析 (電磁波解析)
送信周波数を表示する
タイミング解析 (タイミング解析)
特定の機能に必要な時間を計算する
ソフトウェア攻撃
スマート カードに情報を入力してユーザーの指示を取得します
障害の生成 (故障発生)
一部の環境コンポーネントを通じてエラーが発生する
含まれるもの: 温度変動、入力電圧の変化、クロック周波数
直接攻撃
ミクロ領域の探査 (マイクロプロービング)
針と超音波振動を使用して、スマート カード ポイント パス上の外部保護材を除去します。 スマートカードROMチップに直接接続して、その中のデータにアクセスして操作します。
情報漏洩
第 1 章: ソーシャル エンジニアリング
第 3 章: 秘密通路
第 8 章: 悪意のあるコード
オブジェクトの再利用
メモリの場所、変数、レジスタはオブジェクトの割り当て前にクリアされません
ファイルとデータテーブルはオブジェクト割り当て前にクリアされません
放射線の安全性
ファラデーケージの金属シェル、 電子機器が特定の範囲内で信号を発するようにする
白色雑音
均一なスペクトルを持つランダムな電子信号 電磁波からは情報が得られない
コントロールエリア
デバイスの表面に特殊な素材を使用し、電子信号をシールドします。
セキュリティ境界を作成する必要がある
認可プロセスの問題
エンパワーメントが忍び寄る (忍び寄る)
異動や部署異動などで権限がどんどん増えていく
ログインのなりすまし
フィッシング フィッシング
攻撃手段としてのソーシャルエンジニアリング
正規のサイトと同様の Web サイトを作成する
URLグラフティング ファーミング
DNSポイズニング
不正な IP アドレスまたは URL へのリダイレクト
個人情報の盗難