Day 05
線上課程:
.ACW 資安網路學院:https://www.acwacademy.org.tw/
科目:身分識別與存取控制
講者:陳彥弘
時間:2 小時
連結:https://bit.ly/3YJFkgW
又是一堂很管理的課內容在解釋怎麼由公司的政策去定義出資安規則。
依政策去決定各個職務的使用權限,要怎麼使用行政管理方法來進行資
安的管理。
課程大綱
一、基本概念:身分識別與存取控制之資安原則
存取物件需要:問責機制、身份識別機制、存取控制機制
https://i.imgur.com/YNv10ti.png
◎存取控制三原則(CIA):機密性、完整性、可用性。
*資安政策屬於成本與利益衝突與妥協的產物必須在三者中取得平衡。
二、基本概念:身份辨識機制
使用者存取文件時必須說明:(1)他是誰?(2)證明他是誰?(3)可以取
得什麼權限?
授予權限需定義:(1)資訊可用性 (2)資訊完整性 (3)機密性的技術等級
◎身份識別的方法:
.Something you Know: 身份證字號、密碼。
.Something you Have: ID card, 自然人憑證。
.Something you Are: 指紋、虹膜…等。
.Somewhere you locate: 所在位置(與其他三者配合的驗證機制)。
*生物特徵:最重要是準確度,敏感度過高、敏感度過低都會誤判需
取得平衡點(CER)。
◎根據業務類型設定授權方式:
.角色:依職位確定權限。
.群體:特定部門。
.位置:特定區域限用。
.時間:時間內授權(信用卡)。
.交易方式:ATM 提款上限。
◎授權原則:
.最小權限
做法:給予用戶執行工作職能所需之最低權限。
目的:避免數據、功能受到錯誤或惡意的破壞。
.須知原則 (need to know)
做法:不知道的人就不該知道,該知道的人在該知道的範圍內知道。
目的:機密資訊保護。
.錯誤嘗試上限(clipping levels)
做法:錯誤嘗試上限。超過錯誤次數關閉帳號。
三、確認問責制度
◎問責制度(Accounting):以公司治理的角度需先考慮部門身分辨識與
存取之行政管理策略。
.用政策決定技術而不是用技術侷限政策。
.用機制來決定運作方式而不是用技術決定運作方式。
◎針對身份識別、存取控制的行政管理
政管理措施是監控【身分識別與存取控制】的管理措施依循公司獲利
願景、法規、標準,決定問責機制(文件化),再選擇對應的技術而不
是先決定資安技術再反過來決定公司的問責機制、資安標準。
.公司獲利願景:獲利>資安成本、法規(資安管理法)、標準(ISO27001)
.由誰負責【承諾預期效果】
.由誰負責【出事時的解釋】
.由誰負責【問責後的受罰 】
.組織與員工須了解身分識別與存取控制生命週期: 授權、檢視存取紀
錄、取消授權
.確保行政管理策略執行狀況的兩個原則
盡責關注 (due care): 善良管理人應盡之義務
盡職調查 (due diligence): 依法/依合約對公司制度的風險調查
.行政管理措施三策略:
職責分離 (separation of duties)、工作輪換 (job rotation)、
強制休假 (mandatory vacations)
利用PDCA來建立問責機制(文件化) 完成四階段七工作,以符合
ISO 27001標準
.Plan:組織背景、領導力、組織支援、計劃
.Do:執行
.Check:評估
.Action:改善
◎行政單位與員工需了解身份識別、存取控制生命週期四階段。
.授權 (provisioning):入聯、取得帳號(一般帳號、系統帳號)。
.檢視使用者存取紀錄 (User Access Review):確認使用狀況是否
正常。
.檢視系統帳號存取紀錄 (System Account Access Review):確認
系統帳號使用狀況(Email, Server, DNS)。
.取消授權 (Deprovisioning):離職、轉單位帳號停用。
◎行政管理策略執行狀況的兩個原則:
.盡責關注 (due care): 善良管理人應盡之義務
.盡職調查 (due diligence): 檢視/調查公司風險,以提供決策依據
◎行政管理措施三策略
.職責分離:確保高風險工作或互相關聯的職責不是由一個人單獨負責與進行。
.工作輪換
.強制休假:透過內部牽制(internal check),進行資安查錯舞弊。
四、根據問責制度,來確認安全模型 (Security Model)
◎安全模型:當組織確認問責制度後,即可根據業務內容選擇身分認證
與存取控制的安全模型(這不是單選題,而是多選題)
.Bell-LaPadulaModel:強調機密性。(下寫、上不寫;上讀、
下不讀)。
.BibaModel:強調正確性。(下寫、上讀)
.Clark-WilsonModel:代理變更與稽核(規範銀行、商城、健保資料
相關系統之資料存取)。
非保護資料使用者直接填寫、保護資料使用者通過驗證之後透過主管
機關程式讀寫。
.NoninterferenceModel:確保低安全等級活動不影響高安全等級的
活動。
.BrewerandNashModel:確定單一企業/專案內部不出現利益衝突。
.Graham-DenningModel、Harrison-Ruzzo-Ullman Model 增加物件
與主體的新增/刪除業務。
五、根據安全模型,來確認存取控制機制 (Access Control Mechanism)
◎存取控制機制
.DiscretionaryAccessControl(DAC):允許使用者自己設定存取權限
(Linux)。
.MandatoryAccessControl(MAC):系統開發者或系統本身存取權限,
使用者不能設定。
.Role-BasedAccessControl:依組織角色設定存取權限。
.Attribute-BasedAccessControl:符合規則即可授權。
六、根據存取控制機制,來確認存取控制技術 (Access Control Technology)
◎存取控制技術
.SingleSign-On:單一帳號登入。
.Kerberos / OpenID Connect: 登入不同的系統(FB, Google, Apple)。
.TACACS / TACACS+ : 登入不同的系統(CISCO)。
.LDAP:使用者與程式透過網路共享資料夾。
.RADIUS/DIAMETER:網路漫遊、手機預付卡認證使用。
.RAS、SESAME:透
七、常見的身分辨識與存取控制攻擊手法與防禦策略
◎常見的身分辨識與存取控制攻擊手法與防禦策略
.Dictionary Attack – 字典攻擊
.Brute-Force Attacks –暴力攻擊
.Spoofing at Logon
.Phishing and Pharming – 社交工程的做法
◎ 攻防檢查項目:ISO27001 附錄A
八、常用入侵偵測/防禦系統 (IDS / IPS)
◎IDS (入侵偵測系統):
.深層檢測網路封包。
.以 monitor/sniffing 模式運作監看網路封包。
.被動式陷禦。
.發現攻擊回應動作 :傳送訊息至網路管理者、中斷TCP連線、通知
防火牆或路由器、事件存入log、執行特定程式或程序稿。
*無法阻攔 UDP攻擊。
◎IPS (入侵防禦系統):
.以 inline模式運作可即時攔圖惡意攻擊封包。
.主動式防禦。
.可即時發現惡意攻擊封包,以inline模式運作可即時丟棄惡意攻擊封
包、無封包傳輸延遲。
*DPI (深層封包檢測), 僅能檢測 2-4 層封包內容。
結論:
身分識別與存取控制的機制源自於是公司的政策、資安策略;從擬定的
資安計劃再挑選適用的技術去實現這些規則。線上考試的內容對於裡面
使用的規則、技術細節必須要能回應是那是什麼。