ACCESS CONTROL

Sobre a Prova
Como a cobrana ? Como cobrado o contedo ? Peso das questes. Questes de teste. 10 Domnios. Mtodos de estudos. Leituras obrigatrias:

CIB Candidate Information Bulletin.

CBK Official Book - ISC2. Introduo Certificao CISSP

Contexto de Access Control

Interao com os outros domnios. Papel dentro segurana da informao. Alm de Confidencialidade, integridade e disponibilidade, precisamos ter Accountability

Introduo Certificao CISSP

Keys Access Control Concepts

Escopo: Instalaes fsicas. Sistemas de suporte. Sistemas de informaes. Pessoas.

Introduo Certificao CISSP

Keys Access Control Concepts

Estratgia para planejamento de Controle de acesso: Especificar quais os usurios que podem sistema ou instalao acessar o

Especificar quais recursos que usurios podem acessar.

Especificar quais operaes estes usurios podem executar

Garantir a rastreabilidade das aes dos usurios.

Introduo Certificao CISSP

Acess control Requirements

Um sistema de controle de acesso deve ter as seguintes caractersticas: Reliabily. Transparency. Scalability. Integrity.

Maintanability.
Authentication Data Security. Auditability.

Introduo Certificao CISSP

Classificao de controles de acesso

Access Control Types: Administrative. Exemplos: Poltica de segurana da informao, processo de auditoria. Logical

Exemplos: ACLs, tela de login.

Physical

Exemplos: Porto, CCTV, grades.

Introduo Certificao CISSP

Classificao de controles de acesso

Categories: Directive. Deterrent. Preventive. Compensanting. Detective. Recovery.

Introduo Certificao CISSP

Classificao de controles de acesso

Classificao conjunta: Cmera de vigilncia: Physical detective. Placa com aviso de co de guarda: Physical deterrent. Firewall

Logical preventive.
Normas de conduta: Administrative directive. Introduo Certificao CISSP

Acess Control principles

Access control policies. Separation of duties. Need to know. Least privilege. Compartmentalization.

Security domain.
Introduo Certificao CISSP

Acess Control principles

Job Rotation. Mandatory Vacation. Colusion. Authorization creep.

Introduo Certificao CISSP

Information Classification
Benefcios: Reduz erros humanos na manipulao da informao. Identifica mais facilmente o dono da informao. Aumenta o nvel de confidencialidade, integridade e disponibilidade das informaes. Ajuda e cumprir conformidades de normas regultorias. Reduz esforo administrativo de proteo da informao. Introduo Certificao CISSP

System Acess Control Strategies

Triple A ou AAA. Authentication: Validao. Authorization: Validao p/ acesso a recurso. Accountability: Quem fez o que e quando. *Para se ter accountability, necessrio Identification.

Identification: Liga nome de usurio ao individuo.

Introduo Certificao CISSP

System Acess Control Strategies

Identification Methods: Identification Badges: Identificao humana. Access badges: Identificao automtica. UserID. PIN & Account Number. MAC Address. IP Address. RFID. E-mail Address. *Para se ter um controle de acesso eficiente, os user-id devem ser pessoais. Introduo Certificao CISSP

System Acess Control Strategies

Authentication Methods: By Knowledge: O que voc sabe. By possession: O que voc tem. By characteristics: O que voc ou como voc faz. By Geolocation or somewhere you are: Por localizao.

Introduo Certificao CISSP

System Acess Control Strategies

Authentication Methods:
Fatores de autenticao:

Single Factor of authentication.

Two factor authentication. Three factor of authentication. Multifactor of authentication.

Introduo Certificao CISSP

System Acess Control Strategies

Methods:
Exemplos: User id + Password.

User id + PIN.
Self Service Authentication. User ID + Password + One time password. (OTP). Challenge Response. Smart card. Biometria + access card + password. Autenticao por ip. Passphrase. Introduo Certificao CISSP

Tecnologias Biometricas
Conceitos:
Type I error ou FRR (False Rejection Rate). Type II error ou FAR (False Acceptance Rate). CER Cross Erro Rate.
E R R O S

PRECISO

Introduo Certificao CISSP

Tecnologias Biometricas
Fatores de escolha:
Resistente a Fraude Preo. Preciso. Velocidade.

Aceitao do usurio.
Introduo Certificao CISSP

Tecnologias Biometricas
Tipos de tecnologias:
Physiological: Baseia-se nos traos que so atributos fsicos nica para um indivduo especfico. Exemplo: impresses digitais. Behavior: Baseia-se em uma caracterstica comportamental de um indivduo para confirmar sua identidade. Exemplo: dinmica da assinatura.

Introduo Certificao CISSP

Tecnologias Biometricas
Tecnologias mais usadas:
Physiological: Iris Scan: A ris a parte colorida do olho que circunda a pupila e tem um padro nico de fendas, cores, anis, coroas, e sulcos. As singularidades de cada uma dessas caractersticas dentro da ris so capturadas por uma cmera e comparadas com as informaes obtidas durante a fase de captura. Dos sistemas biomtricos, os que usam varredura de ris so os mais precisos. Retina Scan: Esta tecnologia varre o padro dos vasos sangneos da retina na parte de trs do globo ocular. A cmera usada para projetar um feixe dentro do olho, capturar o padro e compar-lo com um arquivo de referncia.

Introduo Certificao CISSP

Tecnologias Biometricas
Tecnologias mais usadas:
Physiological: Voice Print: O som da fala possui padres sutis e distintos que um sistema capta. No cadastro, solicitado ao individuo dizer palavras diferentes e, para autenticar o sistema solicita aleatoriamente que essas palavras sejam pronunciadas e as compara com o arquivo de referncia.

Facial Scan: As pessoas tm diferentes estruturas sseas, nariz, a largura dos olhos, testa, tamanhos, formas do queixo. Todas essas caractersticas capturadas durante um scan facial e comparado com uma varredura realizada anteriormente capturado no cadastro para autenticao.

Introduo Certificao CISSP

Tecnologias Biometricas
Tecnologias mais usadas: Physiological: Palm Scan O individuo coloca a mo sobre o dispositivo biomtrico, que faz a varredura e capta rugas, sulcos e ranhuras que so nicas em para cada pessoa . Essa informao comparada a um arquivo de referncia para que identidade seja validada ou rejeitada. Vessel Scan: O individuo coloca a mo sobre o dispositivo biomtrico, que faz a varredura e capta o padro de veias da mo. Essa informao comparada a um arquivo de referncia para que identidade seja validada ou rejeitada. Fingerprint: O indivduo coloca o dedo em um dispositivo que l captura pontos da impresso digital e compara isso a um arquivo de referncia. Se os dois combinarem, a identidade do indivduo foi validada. Introduo Certificao CISSP

Tecnologias Biometricas
Tecnologias mais usadas: Behavior: Signature Dynamics: A assinatura produz sinais eltricos gerados pelos movimentos e fora com caractersticas nicas quando algum assina um documento. Baseado nessas caractersticas que o sistema autentica o individuo. Keystroke Dynamics:. O sistema biomtrico capta o padro de velocidade e fora dos movimentos do usurio quando ele digita uma frase. Esse padro transformado em sinais eltricos que sero usados para autenticar o usurio.

Introduo Certificao CISSP

Access control models

DAC: Discretionary Access Control. MAC: Mandatory Access Control. RBAC: Role Base Access Control

Introduo Certificao CISSP

Access control models

Access control Techniques: Rule Based Access Control. Constrained user interface. Access control Matrix. Capability Table. Time Based ou Temporal Isolation.

Introduo Certificao CISSP

Access control Techlogies

Kerberos: Single point of failure. (KDS) Processo de autenticao Vulnervel a Brute force. Nome de usurio passado em Claro Imune a replay atacks (Timestamp). SESSAME: Evoluo do Kerberos, confeccionado para suprir suas deficiencias. Autenticao baseada em chaves assimetricas e simetricas. Introduo Certificao CISSP

Identity Management
Endeream todos os aspectos de controle de acesso. Sistema criado para simplificar e centralizar a administrao do controle de acesso em ambientes complexos. Tem como principais beneficios: Evitar autorization creep ! (acumulo de privilgios).

Reduzir custos com esforos adminstrativos para gerenciar vrios sistemas.

Introduo Certificao CISSP

Identity Management
Perimeter Based Web portal: Usados para autenticar usurios vindos da internet Integrado com sistema LDAP da empresa. Federated Identity Management: Usado para Multiplas organizaes compartilharem o uso de aplicaes Existe uma poltica do uso dessas aplicaes acordada entre as empresas

Introduo Certificao CISSP

IPS Intrusion Prevention System

Tipos de IPS Host IPS. Federated Identity Management: Tecnologias de deteco: Signature.

Heuristic.
Behavior. Protocol anomaly Introduo Certificao CISSP

Threats
DOS and DDOS. Buffer Overflows. Mobile code. Malicious software ou Malicious code. Virus Spyware Worm Spyware Trojan horse Rootkit

Introduo Certificao CISSP

Threats
Password crackers. Spoofing ou Masquerading. Sniffers Eavesdropping and tapping. Emanation. Shoulder Surfing. Object of Reuse. Data Remanence. Trashscan ou Dumpster Diving.

Introduo Certificao CISSP

Threats
Password crackers. Spoofing ou Masquerading. Sniffers Eavesdropping and tapping. Emanation. Shoulder Surfing. Object of Reuse. Data Remanence. Trashscan ou Dumpster Diving.

Introduo Certificao CISSP

Threats
Unauthorized Targed Data Mining. Aggregation. Inference. Backdoors and Trapdoors. Logic Bombs. Social Engineering.

E-mail social Engineering.

Help Desk Fraud.

Introduo Certificao CISSP

Threats
SQL Injection.

Login: or 1 = 1 -Senha: --------------------------------------------------------------------Select * from users, where userid = and password = If True Log in Else Forbiden access

----------------------------------------------Select * from users, where userid = or 1 = 1 --

Introduo Certificao CISSP

Threats
XSS or Cross Site scripting

Persistent.
Non persitent.

Introduo Certificao CISSP

Perguntas de exemplo
If you need to decrease the level of type I error of a biometric system, what measure should you take ? A) Increase the precision of device. B) Reset the device to system factory default. C) Find the CER of Biometric System.

D) Decrease the precision of device.

Introduo Certificao CISSP

Perguntas de exemplo
Which of the following concepts is the best to avoid and detect frauds in a process ? A)Job rotation and separation of duties B)Separation of duties and Least privilege C)Least privilege and Job Rotation D)Separation of duties and Job rotation

Introduo Certificao CISSP

Perguntas de exemplo
Brian used to work in Acme corporation on administrative departament. He get transfered to financial departament, and now he has acess to folders of both departaments, but he only need acess to the folder of financial departament to perform his job function. What concept of information security was inflicted here ? A)Authorization Creep B)Separation of duties C)Least privilege D)Capability tables

Introduo Certificao CISSP