Az engedélyezési biztonsági technikák ismertetése
Amikor hitelesít egy felhasználót, el kell döntenie, hogy hová léphetnek, és hogy mit láthatnak és érhetnek el. Ezt a folyamatot engedélyezésnek nevezzük.
Tegyük fel, hogy egy szállodában szeretné tölteni az éjszakát. Első lépésként a recepcióra kell mennie a "hitelesítési folyamat" elindításához. Miután a recepciós ellenőrizte, hogy ki vagy, kap egy kulcskártyát, és mehet a szobádba. Gondolja át a kulcskártyát az engedélyezési folyamatnak. A kulcskártyával csak azokat az ajtókat és lifteket nyithatja meg, amelyekhez hozzáférése van, például a szállodai szobához.
Kiberbiztonsági szempontból az engedélyezés határozza meg, hogy a hitelesített személy milyen szintű hozzáféréssel rendelkezik az adataihoz és erőforrásaihoz. A szervezetek különböző biztonsági technikákat használnak az engedélyezés kezelésére.
Feltételes hozzáférés
Ahogy a neve is mutatja, a feltételes hozzáférés feltételes hozzáféréssel jár. A feltételes hozzáférésre való gondolkodás egyik módja a ha/akkor utasításokkal. Ha valami igaz, hozzáférést kap, de ha hamis, akkor a rendszer megtagadja.
Nézzük meg, hogyan működne ez egy informatikai forgatókönyvben. Egyre többen dolgoznak otthonról. Emiatt előfordulhat, hogy a személyes számítógépükkel férnek hozzá a munkával kapcsolatos tartalmakhoz. Feltételes hozzáféréssel a szervezet csak akkor adhat hozzáférést egy hitelesített felhasználónak egy bizalmas rendszerhez, például a bérszámfejtéshez, ha az a székhelyükön található biztonságos vállalati számítógépeken keresztül történik. Ha a hitelesített felhasználó megpróbálja elérni a bérszámfejtési rendszert egy személyes számítógépről otthon, a rendszer letiltja őket.
Legkevésbé kiemelt hozzáférés
A minimális jogosultság fogalma az, amikor a felhasználó megkapja a szükséges minimális jogosultságokat. Ez a fogalom minden biztonsággal kapcsolatos beállításra érvényes.
Ha például repülőgéppel száll fel, a fő kabin területére fér hozzá, hogy az üléshez jusson, de a pilótafülkébe nem léphet be utas. Továbbá, ha buszosztályjegygel utazik, csak az adott szakaszhoz lesz hozzáférése. A biztonság javítása érdekében minden személy csak a szükséges területeket érheti el.
Ugyanez a fogalom vonatkozik a kiberbiztonságra is. Vegyük azt a példát, amelyben a felhasználók hozzáférnek egy nyilvános mappához egy hálózaton. Ha csak egy fájlt kell olvasniuk, akkor erre a konkrét engedélyre van szükségük.
A felhasználók szinte mindig értesítik a rendszergazdát, ha nem rendelkeznek megfelelő jogosultságokkal a szerepkörük ellátásához. Azonban ritkán közlik a rendszergazdával, ha többletjogokkal rendelkeznek. Így a felhasználói jogosultságok hozzárendelésekor kevés a kockázata annak, hogy túl óvatosnak kell lenni.
A legkevésbé kiemelt hozzáférés implementálásával csökkentheti a támadók műveleteit, ha incidens történik.
Oldalirányú mozgás
Ha egy támadó hozzáférést kap egy rendszerhez, a feltört fiók használatával további információkat gyűjthet. Ez felhasználható más rendszerekbe való beszivárgásra, vagy emelt szintű hozzáférésre. A támadó végighaladhat a rendszeren, és további erőforrásokat találhat, amíg el nem éri a céljukat. Mivel a támadó megkísérli a különböző szakaszok közötti váltást, a végső támadás nem valószínű, hogy a kezdeti feltört fiókból származik.
Gondolj egy irodaépületre, ahol egy bűnöző túllép a fő fogadóterület biztonságán. Ezután általában mozoghatnak az épület többi részén, különböző emeletekhez és irodákhoz férnek hozzá. Fontos, hogy további biztonsági rétegeket biztosítson a bizalmas területeken történő behatolás elleni védelemhez.
Sok irodaépülethez például biztonsági kód szükséges ahhoz, hogy hozzáférhessen a vezetői csapat emeleteihez. Ezen a szinten minden iroda zárva van, így csak a különleges kártyával rendelkező alkalmazottak férhetnek hozzá. Nyilvánvalóan nem akarja, hogy egy bűnöző egyáltalán hozzáférjen az épületéhez. Ha azonban biztonsági rést feltételez, és további biztonsági rétegeket ad hozzá az ilyen típusú oldalirányú mozgás elleni védelemhez, korlátozhatja a károkat.
Ugyanez a fogalom egy informatikai forgatókönyvben is érvényes. Kezdje a biztonságos hitelesítéssel, hogy csökkentse annak esélyét, hogy egy támadó hozzáférjen a rendszereihez. Nincs olyan rendszer, amely üzembiztos, de további biztonsági rétegeket biztosíthat. Ezek a mértékek segítenek csökkenteni annak az esélyét, hogy a rendszerbe törő támadók oldalirányú mozgással más érzékenyebb erőforrásokhoz is hozzáférhessenek.
Teljes felügyelet
Teljes felügyelet a kiberbiztonságban elterjedt kifejezés. Ez egy módszer, amely enyhíti a napjainkban egyre gyakoribb támadásokat.
Teljes felügyelet egy olyan modell, amely lehetővé teszi a szervezetek számára, hogy biztonságos hozzáférést biztosítsanak az erőforrásaikhoz azáltal, hogy megtanítanak minket arra, hogy "soha ne bízzunk meg, mindig ellenőrizzük". Ez három alapelven alapul, amelyek a már ismert fogalmakat alkalmazzák.
- Explicit ellenőrzés – A Teljes felügyelet minden kérést teljes mértékben hitelesít és engedélyez a hozzáférés megadása előtt. A szervezetek többtényezős hitelesítést és feltételes hozzáférést is alkalmazhatnak, hogy minden kérést explicit módon ellenőrizzenek.
- A legkevésbé kiemelt hozzáférés használata – ahogyan az ebben a leckében korábban említettük, a minimális jogosultság fogalma az, hogy csak a minimális jogosultságokkal rendelkező felhasználókat engedélyezze. Ez korlátozza a felhasználó által okozott károkat, és korlátozza az oldalirányú folyamatokat.
- Feltételezzük, hogy a biztonsági incidensek bekövetkeznek vagy bekövetkeznek, a szervezet jobban megtervezheti a további biztonsági rétegeket. Ez minimalizálja a támadó sugarát a behatolások miatt, és megakadályozza az oldalirányú mozgást.
Egy Teljes felügyelet biztonsági modell alkalmazásával a szervezetek jobban alkalmazkodhatnak egy modern elosztott munkahelyhez, amely biztonságos hozzáférést biztosít az erőforrásokhoz.