Galería de mapas mentales Notas de estudio de CISSP-14 (Control y seguimiento del acceso)
Este es un mapa mental sobre las notas de estudio de CISSP-14 (Control y seguimiento del acceso). El contenido principal incluye: preguntas de repaso, puntos clave del examen y puntos de conocimiento.
Editado a las 2024-03-08 10:42:16,プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
世界的に著名な科学者、航空力学者、中国有人宇宙飛行の創始者、中国科学院および中国工程院の院士、「二元一星勲章」受章者、「中国宇宙飛行の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケットの王」として知られる。 中国宇宙の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケット王」として知られる。
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
世界的に著名な科学者、航空力学者、中国有人宇宙飛行の創始者、中国科学院および中国工程院の院士、「二元一星勲章」受章者、「中国宇宙飛行の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケットの王」として知られる。 中国宇宙の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケット王」として知られる。
Notas de estudio de CISSP-14 (Control y seguimiento del acceso)
Puntos de conocimiento
Comparar modelos de control de acceso
Comparar permisos, derechos y privilegios
Permisos
Derechos de acceso a los objetos.
bien
La capacidad de tomar medidas sobre objetos, como realizar copias de seguridad y restaurar datos.
pequeña diferencia
privilegio
Una combinación de derechos y permisos.
Comprender el mecanismo de autorización
Rechazo implícito
Denegar por defecto
matriz de control de acceso
Lista que contiene sujetos, objetos y permisos.
tabla de habilidades
La forma en que el sujeto asigna permisos, enfocándose en el sujeto y ACL enfocándose en el objeto
interfaz de restricción
control basado en contenido
base de datos
control basado en el contexto
Si la compra no se completa, no podrá navegar por el contenido del libro electrónico.
Necesito saber
privilegios mínimos
Necesidad de saber: autorización de acceso, privilegio mínimo: el derecho a realizar operaciones
Segregación de deberes
Definir requisitos mediante políticas de seguridad.
Las políticas de seguridad no describen cómo cumplir con los requisitos de seguridad o cómo implementar políticas. Los profesionales utilizan las políticas de seguridad como guía para los requisitos de seguridad.
Presentamos el modelo de control de acceso
Control de acceso discrecional DAC
El objeto tiene un propietario, y el propietario permite o niega a otros sujetos el acceso al objeto. NTFS de Microsoft utiliza DAC.
Capacidad para delegar autoridad a los custodios de datos.
El acceso basado en identidad es un subconjunto
Objeto de control de ACL, ganar es
Control de acceso basado en roles RBAC
Coloque el sujeto en el rol y asigne permisos al rol.
rol de grupo
Evite el aumento de privilegios en entornos con cambios frecuentes de personal
La diferencia es TBAC: control de acceso basado en tareas, como Project
Control de acceso basado en reglas
reglas globales
cortafuegos
Control de acceso basado en atributos ABAC
SDN utiliza ABAC
Por ejemplo, permitir que los usuarios con dispositivos móviles inicien sesión en el dispositivo durante un período de tiempo determinado.
Fuerte control de acceso MAC
etiqueta, cuadrícula
Tanto el sujeto como el objeto están representados por etiquetas.
La composición de sujetos debe requerir la obtención de una etiqueta y, según la etiqueta, se puede obtener un objeto con acceso a la misma etiqueta.
Área de cuarentena: se conocerá el refuerzo según sea necesario
Clasificación ambiental
entorno en capas
Alto puede acceder a lo bajo, pero no puede acceder a lo más alto.
Entorno de partición
Dominio, aislamiento, el sujeto debe tener permiso para acceder a otro dominio
ambiente mixto
MAC es más seguro que DAC, pero menos flexible y escalable
Control de acceso basado en riesgos
Utilice el aprendizaje automático para hacer predicciones basadas en actividades pasadas
dispositivo móvil
Autenticación multifactor
acceso no discrecional
Implementar sistema de autenticación
Implementación de SSO en Internet
XML
SAML
Basado en XML, proporcione SSO que admita el acceso al navegador
OAuth
estándares abiertos
2.0 no es compatible con 1.0
Sólo proporcionar autorización
ID abierto
estándares abiertos
OIDC
Usando el marco de autorización OAuth2.0
Proporciona autenticación de identidad y autorización al mismo tiempo.
Comparar SAML, OAuth, OpenID, OIDC
SAML
Proporcionar autenticación, autorización e información de atributos.
Utilice tres entidades: principal, proveedor de servicios, proveedor de identidad.
OAuth
Marco de autorización, no protocolo de autenticación
Usar API
simbólico
ID abierto
Estándar de autenticación de identidad
Mantenido por la Fundación OpenID
OIDC
Proporcionar autenticación y autorización de identidad.
Construido sobre OpenID, pero utilizando tokens web JSON
Implementar SSO en la red interna.
Acuerdo AAA
Kerberos
centro de distribución clave
Servidor de autenticación de identidad
boleto
billete de concesión de billetes
cuerpo principal
campo
RADIO
TACACS
Comprender los ataques de control de acceso
Ataques comunes de control de acceso
robar credenciales
Omitir el mecanismo de autenticación
escalada de privilegios
Usando los comandos su y sudo
Minimizar el uso de comandos sudo
Ataque de contraseña
Ataque de diccionario
Ataque de fuerza bruta
ataque con jet
Ataque especial de fuerza bruta para evitar el bloqueo de cuentas
Ataque de relleno de credenciales
Ataca un sitio web para descargar nombres de usuario y contraseñas y luego ataca las cuentas de la misma persona en otros sitios web.
ataque de cumpleaños
ataque a la mesa del arcoiris
Sal
pimienta negra
Mimikatz
Capture contraseñas, hashes, tickets, claves privadas
pasar el ataque hash
Los sistemas Win que utilizan NTLM o Kerberos son los más vulnerables a los ataques
Ataque de explotación de Kerberros
Ataque de paso del hash
entrega de boletos
Obtener tickets en el proceso lsass.exe
certificado de plata
Intercepte el valor hash NTLM de la cuenta de servicio para crear un ticket
Servicio de concesión billete TGS, no TGT
boleto dorado
Puede crear tickets a voluntad después de obtener el valor hash TGT
Cracking por fuerza bruta de Kerberos
ASREPRasado
La autenticación previa de Kerberos no está habilitada
Kerberosting
La autenticación previa de Kerberos no está habilitada
Recoge billetes TGS cifrados
Ataque de olfateo
ataque de suplantación de identidad
Métodos de protección básicos
puntos del examen
Comprender los conceptos educativos del modelo de control de acceso basado en roles (RBAC). El modelo RBAC utiliza roles basados en tareas, donde los usuarios obtienen privilegios cuando un administrador asigna una cuenta de usuario a un rol o grupo. Cuando se elimina a un usuario de una función, se revocan los permisos que obtuvo a través de la membresía de la función.
Comprender los conceptos básicos del modelo DAC de control de acceso discrecional. El modelo de control de acceso basado en reglas utiliza reglas, restricciones o filtros de grupo para determinar el acceso. La lista de control de acceso de un firewall define una lista de reglas que permiten y bloquean el acceso.
Comprender los conceptos centrales del modelo RBAC de control de acceso basado en roles. El modelo RBAC utiliza roles basados en tareas. Cuando un administrador asigna una cuenta de usuario a un rol o grupo, el usuario obtiene privilegios. Eliminar a un usuario de una función revocará los permisos que el usuario obtuvo a través de la membresía de la función
Comprender los conceptos centrales del modelo de control de acceso basado en reglas. El modelo de control de acceso basado en reglas utiliza un conjunto de reglas, restricciones o filtros para determinar el acceso. La lista de control de acceso de un firewall define la lista de reglas que permiten el acceso y organizan el acceso.
Obtenga información sobre los métodos de inicio de sesión único que se utilizan en Internet. El inicio de sesión único (SSO) es un mecanismo que permite a un sujeto autenticarse una vez para acceder a varios objetos sin tener que autenticarse nuevamente. Security Assertion Markup Language (SAML) es un estándar abierto basado en XML para intercambiar información de autenticación y autorización. OAuth 2.0 es un marco de autorización descrito en RFC 6749 y respaldado por muchos sitios web en línea. OASIS mantiene OpeniD y OpenID (ComecOIDC proporciona autenticación de identidad). OIDC utiliza el marco OAutb y se basa en el estándar OpenID para proporcionar autenticación y autorización.
Ding explica los conceptos centrales del modelo de control de acceso basado en atributos (ABAC). El modelo ABAC es una implementación avanzada del modelo de control de acceso basado en reglas, que utiliza reglas basadas en atributos. Las redes definidas por software (SDN) suelen adoptar el modelo ABAC.
Comprender los conceptos básicos del modelo de control de acceso obligatorio (MAC). El modelo MAC utiliza etiquetas para identificar dominios de seguridad. El sujeto debe tener etiquetas coincidentes para acceder al objeto. El modelo MAC aplica el principio de necesidad de saber y admite entornos en capas, entornos particionados o un entorno híbrido que es una combinación de ambos. Los modelos MAC a menudo se denominan modelos basados en celosías.
Comprender los conceptos centrales del modelo de control de acceso basado en riesgos. El modelo de control de acceso basado en riesgos evalúa el entorno y los escenarios y toma decisiones basadas en políticas de seguridad basadas en software. Este modelo puede controlar el acceso en función de una variedad de factores, como la ubicación del usuario según la dirección IP, si el usuario inició sesión mediante autenticación multifactor y el dispositivo que está utilizando. Su implementación avanzada puede utilizar el aprendizaje automático para evaluar el riesgo.
Obtenga más información sobre Kerberos. Kerberos es el método de inicio de sesión único más utilizado por las organizaciones. El objetivo principal de Kerberos es la autenticación de identidad. Kerberos utiliza criptografía simétrica y ticket water para demostrar la identidad y proporcionar autenticación de identidad. El servidor y el servicio Network Time Protocol (ANTP) se sincronizan en el tiempo y todos los clientes de la red se sincronizan en el tiempo.
Comprender el propósito del acuerdo AAa. Algunos protocolos AAA brindan servicios centralizados de autenticación, autorización y contabilidad. Los sistemas de acceso a la red (o acceso remoto) utilizan el protocolo AAA. Por ejemplo, un servidor de acceso a la red es un cliente de un servidor RADIUS y un servidor RADIU proporciona servicios AAA. RADIUS utiliza el protocolo UDP y solo cifra contraseñas. TACACS utiliza el protocolo TCP y cifra toda la sesión. Diámetro se basa en RADIUS y mejora muchas de las deficiencias de RADIUS, pero Diámetro no es compatible con RADIUS.
Obtenga más información sobre la escalada de privilegios. Después de que un atacante compromete un solo sistema, utiliza técnicas de escalada de privilegios para obtener privilegios adicionales. Los atacantes suelen intentar primero obtener privilegios adicionales en un sistema comprometido. El atacante también podría obtener acceso a otros sistemas de la red e intentar obtener mayores privilegios. Al limitar los privilegios de las cuentas de subservicio, incluida la minimización del uso de cuentas sudo, se puede reducir la tasa de éxito de algunos ataques de escalada de privilegios.
Obtenga más información sobre los ataques pass-the-hash. Un ataque pass-the-hash permite a un atacante hacerse pasar por un usuario aprovechando un hash capturado de la contraseña de un usuario (en lugar de la contraseña del usuario). Los ataques pass-the-hash suelen aprovechar las vulnerabilidades de NTLM, pero los atacantes también pueden lanzar ataques similares contra otros protocolos, incluido Kerberos.
Obtenga más información sobre los ataques de explotación de Kerberos. Los ataques de Kerberos intentan explotar las vulnerabilidades de los tickets de Kerberos. En algunos ataques, los atacantes capturan tickets guardados en el proceso lsas.exe y lanzan un ataque de pase del ticket. El billete plateado otorga todos los permisos a la cuenta de servicio del atacante. Obtener el hash de contraseña de la cuenta de servicio Kerberos (KRBTGT) permite a un atacante crear un ticket dorado, creando así tickets arbitrarios dentro de Active Directory.
Aprenda cómo funcionan los ataques de fuerza bruta y de diccionario. Ataques de fuerza bruta y ataques de código dirigidos a archivos de bases de datos de contraseñas robadas o solicitudes de inicio de sesión del sistema para obtener contraseñas. En un ataque de fuerza bruta, el atacante busca todas las combinaciones posibles de caracteres del teclado, mientras que un ataque de diccionario utiliza una lista predefinida de posibles contraseñas. Los controles de bloqueo de cuentas protegen eficazmente contra ataques en línea.
Descubra cómo funciona Salt and Pepper para prevenir ataques de contraseñas. La salazón ayuda a proteger contra ataques a la tabla Rainbow al agregar bits adicionales a la contraseña antes de aplicar hash. Algunos algoritmos, como Argon2, borypt y la función de derivación de claves basada en contraseña (2PBKDF2), agregan sal y realizan el algoritmo hash repetidamente varias veces. La sal se almacena en la misma base de datos que el hash de la contraseña. El pimiento es una constante muy grande que aumenta aún más la seguridad de la contraseña hash, almacenada en algún lugar fuera de la base de datos de contraseñas hash.
Obtenga más información sobre los ataques de olfateo. En un ataque de rastreo (o ataque de espionaje), un atacante utiliza una herramienta de captura de paquetes (como un rastreador o analizador de protocolos) para capturar, analizar y leer los datos enviados a través de la red. Los atacantes pueden leer fácilmente los datos enviados en texto claro a través de la red, pero cifrar los datos transmitidos puede proteger contra tales ataques.
Obtenga más información sobre los ataques de suplantación de identidad. La suplantación de identidad consiste en hacerse pasar por algo o alguien más y se puede aplicar a varios tipos de ataques, incluidos los ataques de control de acceso. Los atacantes suelen intentar obtener las credenciales de un usuario y así asumir su identidad. Los ataques de suplantación de identidad incluyen la suplantación de correo electrónico, la suplantación de números de teléfono y la suplantación de IP. Muchos ataques de phishing utilizan métodos de engaño.
Preguntas de revisión
1 ¿Cuál de las siguientes opciones describe mejor el principio de rechazo implícito? A. Permitir todas las operaciones que no se rechacen explícitamente. B. Se prohíbe toda conducta no expresamente permitida. C. Todas las acciones deben ser rechazadas explícitamente. Re. Ninguna de las anteriores.
B
2. Una tabla incluye múltiples objetos y sujetos, identificando los derechos de acceso específicos de cada sujeto a diferentes objetos. esta forma ¿cómo se llama? A. Lista de control de acceso B. Matriz de control de acceso C. Alianza D. Aumento de privilegios
B
3 Está analizando más de cerca los modelos de control de acceso y desea implementar un modelo que permita a los propietarios de objetos otorgar privilegios a otros usuarios. ¿Cuál de los siguientes modelos de control de acceso cumple con este requisito? A. Modelo de control de acceso obligatorio (MAC) B. Modelo de control de acceso discrecional (DAC) C. Modelo de control de acceso basado en roles (RBAC) D. Modelo de control de acceso basado en reglas
B
4. ¿Cuál de los siguientes modelos de control de acceso permite a los propietarios de datos modificar los permisos? A. Control de acceso discrecional (DAC) B. Control de acceso obligatorio (MAC) C. Control de acceso basado en reglas D.Control de acceso basado en riesgos
A
5. La autoridad de autorización centralizada determina a qué archivos pueden acceder los usuarios según la jerarquía de la organización. ¿Cuál de las siguientes opciones es más consistente con ¿en este punto? Un modelo DAC B. Lista de control de acceso (ACL) C. Modelo de control de acceso basado en reglas D. Modelo RBAC
D
6. ¿Cuál de las siguientes afirmaciones sobre el modelo RBAC es correcta? R. El modelo RBAC permite a los usuarios ser miembros de varios grupos. B. El modelo RBAC permite a los usuarios ser miembros de un solo grupo. C. El modelo RBAC no es jerárquico. El modelo D.RBAC utiliza etiquetas.
A
7. Estás observando más de cerca diferentes modelos de control de acceso. ¿Cuál de las siguientes opciones describe mejor el modelo de control de acceso basado en reglas? R. Utilice reglas locales que se apliquen individualmente a los usuarios. B. Utilizar reglas globales que se apliquen individualmente a los usuarios. C. Utilizar reglas locales que se apliquen por igual a todos los usuarios. D. Utilizar reglas globales que se apliquen a todos los usuarios por igual.
D
8. Su organización está considerando implementar redes definidas por software (SDN) en el centro de datos. ¿Cuáles son los modelos de control de acceso comúnmente utilizados en SDN? A. Modelo de control de acceso obligatorio (MAC) B. Modelo de control de acceso basado en atributos (ABAC) C. Modelo de control de acceso basado en roles (RBAC) D. Modelo de control de acceso discrecional (DAC)
B
9 modelos MAC admiten diferentes tipos de entornos. Para etiquetas específicas, ¿cuál de las siguientes admite el acceso de los usuarios mediante la asignación de etiquetas predefinidas? A. Entorno de partición B. Entorno en capas C. Entorno centralizado D.Ambiente mixto
B En un entorno jerárquico, se asignan varias etiquetas de clasificación en una estructura ordenada desde baja seguridad hasta alta seguridad. El modelo de control de acceso obligatorio (MAC) admite tres entornos: en capas, particionado e híbrido. Un entorno particionado ignora los niveles y solo permite el acceso a una única área aislada de un nivel. Un entorno híbrido es una combinación de entornos divididos y en capas. El modelo MAC no utiliza un entorno centralizado.
10. ¿Cuál de los siguientes modelos de control de acceso identifica los límites de acceso superior e inferior para sujetos que portan etiquetas? A. Control de acceso no discrecional B. Control de acceso obligatorio (MAC) C. Control de acceso discrecional (DAC) D. Control de acceso basado en atributos (ABAC)
B Los modelos MAC utilizan etiquetas para identificar los límites superior e inferior en los niveles de clasificación
11. ¿Cuál de los siguientes modelos de control de acceso utiliza etiquetas y a menudo se lo denomina modelo basado en celosía? A.DAC B. No autónomo C.MAC D.RBAC
C
12. La administración espera que los usuarios utilicen la autenticación multifactor al acceder a los recursos de la nube. ¿Cuál de los siguientes modelos de control de acceso satisface este requisito? A. Control de acceso basado en riesgos B. Control de acceso obligatorio (MAC) C. Control de acceso basado en roles (RBAC) D. Control de acceso discrecional (DAC)
A Un modelo de control de acceso basado en riesgos puede requerir que los usuarios se autentiquen mediante autenticación de factores. Ninguno de los otros modelos de acceso pull enumerados en la pregunta puede evaluar cómo inicia sesión un usuario.
13. ¿Cuál de los siguientes modelos de control de acceso determina los derechos de acceso en función del entorno y el contexto? A. Control de acceso basado en riesgos B. Control de acceso obligatorio (MAC) C. Control de acceso basado en roles (RBAC) D. Control de acceso basado en atributos (ABAC)
A
14. Un proveedor de servicios en la nube ha implementado tecnología SSO utilizando tokens web JSON. El token proporciona información de autenticación e incluye el perfil de usuario. ¿Cuál de las siguientes opciones identifica mejor esta tecnología? A. OIDC B.OAuth C.SAML D.OpenID
A
15. Algunos usuarios de su red tienen problemas para autenticarse con el servidor Kerberos. Mientras soluciona el problema, verifica que puede iniciar sesión en su computadora de trabajo habitual. Sin embargo, no puede iniciar sesión en la computadora de un usuario usando sus propias credenciales. ¿Cuál de las siguientes opciones es más probable que resuelva este problema? A. Estándar de cifrado avanzado (AES) B. Control de acceso a la red (VAC) C. Lenguaje de marcado de afirmación de seguridad (SAML) D.Protocolo de hora de red (NTP)
D Configurando la computadora central para sincronizar la hora con un servidor NTP externo y teniendo todos los demás sistemas NTP mantiene la hora sincronizada, resuelve el problema y es la mejor opción. Kerberos requiere que las computadoras estén con una diferencia de 5 minutos entre sí, y este escenario y las opciones disponibles indican que la computadora del usuario no está sincronizada con el servidor Kerberos. Kerberos utiliza cifrado AES. Sin embargo, dado que el usuario inició sesión exitosamente en una computadora, esto indica que Kerberos está funcionando y AES está instalado. NAC verifica el estado del sistema después de que un usuario se autentica. NAC no impide que los usuarios inicien sesión. Algunos sistemas federados de gestión de identidades utilizan SAML, pero Kerberos no requiere SAML.
16 Su organización tiene una gran red que admite miles de empleados y utiliza Kerberos. ¿Cuál de los siguientes es un uso principal? A. Confidencialidad B. Integridad C. Autenticación de identidad D.Responsabilidad
C
17. ¿Cuál es la función del servidor de acceso a la red en la arquitectura RADIUS? A. Servidor de autenticación B. Cliente Servidor C.AAA D. Cortafuegos
B Los servidores de acceso a la red son clientes en la arquitectura RADIUS. El servidor RADTUS es un servidor de autenticación de identidad que proporciona servicios de autenticación, autorización y contabilidad de identidad (AAA). El servidor de acceso a la red puede tener habilitado un firewall de host, pero esta no es su funcionalidad principal.
18. Larry administra un servidor Linux. A veces, Lary necesita ejecutar comandos con privilegios de nivel raíz. Si un atacante compromete la cuenta de Larry, la administración quiere asegurarse de que el atacante no pueda ejecutar comandos con privilegios de nivel raíz. ¿Cuál de las siguientes es la mejor opción? A. Conceder a Larry acceso sudo. B. Dale a Larry la contraseña de root. C. Agregue la cuenta de Larry al grupo de Administradores. D. Agregue la cuenta de Larry a la cuenta LocalSystem.
B
19. Los atacantes utilizan herramientas para explotar las vulnerabilidades de NTLM. Identifican la cuenta del administrador. Aunque no se obtuvo la contraseña del administrador, el atacante obtuvo acceso al sistema remoto haciéndose pasar por el administrador. ¿Cuál de las siguientes opciones describe mejor este ataque? A. Entrega de billetes B. Boleto Dorado C.Mesa arcoiris D. pase hash
D Se sabe que NTLM es vulnerable a un ataque pass-the-hash, que se describe mejor en este campo. Los ataques Kerberos intentan manipular tickets, como los ataques de pase de ticket y los ataques de ticket dorado, pero no son ataques NTLM. Los ataques de mesa arcoíris utilizan tablas arcoíris en ataques de fuerza bruta fuera de línea.
20. Los servicios de su organización sufrieron recientemente una importante filtración de datos. Después de la investigación, los analistas de seguridad descubrieron que los atacantes estaban usando tickets dorados para acceder a los recursos de la red. ¿El atacante aprovechó la vulnerabilidad en qué elemento? A. RADIO B.SAML C. Kerberos D. OIDC
C