ISC2- CC-Domain 3

Access Controls Concepts

本文涵蓋的重點有:

• Physical Controls
• Technical Controls

Access Control 類別(Categories)與類型(Types)

這在Domain 1 Security Principle有提過了

Access Control類別

• Administrative (Directive) Controls:
  組織的政策、程序、規定、教育訓練(認知)
• Technical Controls:
  軟硬體/firmware — 如Firewall/routers/encryption
• Physical Controls:
  鎖、柵欄、警衛、狗、大門、護柱

Access Control類型

考試中提到的措施/解決方法可能會涵蓋多個類型。

• Preventative:
  阻止事情發生 — Least privilege, drug tests, IPS, firewalls, encryption
• Detective:
  在攻擊期間或之後進行偵測 — IDS, CCTV, alarms, anti-virus
• Corrective:
  修正攻擊 — Anti-virus, patches, IPS
• Recovery:
  攻擊後回復 — DR Environment, backups, HA Environments
• Deterrent:
  威嚇 — 柵欄、保全、狗、燈、內有惡犬標誌
• Compensating:
  補償性控制－當其他控制措施不可能或實施成本太高時

Physical Security Controls

外圍防守(Perimeter defense)

柵欄(Fences —> Access Control Type :Deterrence, Preventative )

較小的柵欄，例如 3 英尺。 (1m) 可以起到威懾作用，而更高的，例如 8 英尺。 (2.4m)可以作為預防機制。 柵欄的目的是確保僅通過幾個入口點（門、閘門、十字轉門）進出設施。

閘門(Gates → Access control type: Deterrence, Preventative )

放置在周邊的控制點(control point)。 與柵欄一起使用，以確保只能通過幾個入口點進入。ASTM標準:

• Class I 住宅 — 如:你家
• Class II 商業/一般通道 —如:一般停車場
• Class III 產業/限制通行—如:資料中心
• Class IV 限制出入— 如:機場或監獄

護柱(Bollards → Access Control Type : Preventative)

用於防止汽車或卡車進入某個區域，同時允許人流通過。 商店通常使用花盆或類似物品； 可以達到了相同的效果。 大多數是靜態重型物體，但一些圓柱形版本也可以透過電子方式升高或降低，以允許經過授權的物體通過。 有些是永久性固定裝置，可以用鑰匙或其他解鎖功能移除。

照明(Lights → Access Control Type :Detective and Deterrence)

照明應用於完全照亮整個區域。照明可以是靜態的、動作起動的（靜態）或自動/手動菲涅爾燈（探照燈）。以流明- 1 流明每平方英尺或勒克斯- 1 流明每平方米更多為單位進行測量常用。

CCTV(Closed Circuit Television → Access Control Type: Detective and Deterrence)用於監控設施的周邊和內部。

舊式攝影機是類比的，使用錄影帶進行儲存（通常是 VHS）； 品質往往很差，不清晰。現代相機是數位相機並使用 CCD（Charged Couple Discharge）； 也可以使用 DVR（數位錄影機）。 組織可能有來自政策或立法的保存要求，要求對其影片進行一定程度的保存（這可能是銀行 ATM、資料中心或入口錄影）。 攝影機可以是靜態的，也可以是非靜態的（自動或手動）。我們都看過間諜或搶劫電影，他們透過了解模式和計時器來避免攝影機。 這種風險可以透過randomizer或pseudo randomizer來減緩，我們希望確保完全cover這種風險。

鎖(Lock → Access Control Type: Preventative)

使用鑰匙的:

需要實體鑰匙才能解鎖； 鑰匙可以共享/複製。Key Bitting Code（此部分鑰匙咬合的距離。） — 無需鑰匙即可從數字或照片複製和複製。 Pin Tumbler Lock（或稱耶魯鎖）－一種使用不同長度的銷子來防止鎖在沒有正確鑰匙的情況下打開的鎖。

撬鎖(Lock Picking) — 使用撬鎖裝置或撞擊，無需鑰匙即可打開鎖。 任何鑰匙鎖都可以撬或撞，需要多長時間取決於鎖的品質。 開鎖套件抬起彈珠中的銷子，打開鎖。

Lock Picking

撞鎖(Lock Bumping) — 使用與鎖相符的shaved-down key，攻擊者用錘子或螺絲起子「撞擊」鑰匙手柄，使銷釘跳動，然後攻擊者快速轉動鑰匙。

Bumping Key

萬能鑰匙(Master Keys)可以打開給定區域或安全區域中的任何鎖。 擁有它們的人和存放它們的地方都應始終受到嚴密看守。

Core Key用於拆卸“可換式芯鎖(interchangeable core locks)”中的鎖芯。 可互換芯鎖 (IC) 是一種具有特定 8 字形狀的緊湊型鍵控機構。 依靠專門的“控制”鍵(control key)來插入和拔出核心。 應保持安全並嚴格限制存取。

interchangeable core lock

密碼鎖(Combination Locks)：
即使使用唯一的密碼，也不是很安全且責任有限。 應用於低安全區域。 可以是撥號類型（認為安全）、按鈕或鍵盤。非常容易受到暴力破解、肩窺攻擊(shoulder surfing)，通常配置安全性較弱。 隨著時間的推移，用於密碼的按鈕將會有更多的磨損。 對於使用 4 個按鍵的 4 號 PIN，可能的組合不再是 10,000 個，而是 256 個：如果使用 3 個按鍵，則有 81 個組合。

智慧卡(Smart Cards):
它們包含使用 ICC(Integrated Circuit Card)的電腦電路。分為接觸式(contact)卡片 — 插入機器中進行讀取。這可以是插入晶片讀卡機的信用卡或 DOD CAC(Common Access Card)。也可以是非接觸式(contactless)卡片 — 可透過近距離讀取。只需將鑰匙圈或信用卡靠近讀卡機即可。使用 RFID tag(transponder)，然後由 RFID Transceiver讀取。(這通常就會扯到IT)

磁條卡：透過讀卡機刷卡，無電路。非常容易複製。

Tailgating/Piggybacking:
尾隨授權的人一起進入。通常與社交工程相結合。

Mantrap:
Mantrap是一個有兩扇門的房間； 第一道門必須完全關閉，第二道才能開啟。 每道門都有不同的身份驗證方法（something you know, something you have, something you are）。 他們有時可以使用重量感測器 — Bob 重 90公斤，壓力板測得的重量為 170 公斤，有人可能和 Bob 一起在房間裡。 直到確認Bob獨自一人在mantrap中並帶著一車的舊伺服器（通常由mantrap中的攝影機確認）後，第二道門才會打開。

旋轉柵門(Turnstiles → Access Control Type: Preventative, Deterrence )

還可以防止尾隨，每次身份驗證只允許 1 人進入（就像捷運或遊樂園入口一樣，但對於等級較高的安全區域，它們通常是帶有互鎖刀片的從地板到天花板的旋轉柵門）。

Mantraps和旋轉柵門的設計應能在緊急情況下安全疏散。 （請記住，保護人命比保護資產更重要。）

違禁品檢查(Contraband Checks → Access Control Types: Preventative, Detective, Deterrent)

常出現在機場、法院或其他安全等級較高的設施。 檢查帶入或帶出建築物的物品，以確保沒有危險物品進入或任何機密物品流出。 但隨著技術變得越來越小，這些技術在資料竊取方面的效果越來越差； 隱藏 microSD 記憶卡很容易，每張卡最多可包含 1TB 以上的資料。

動作偵測器(Motion Detectors → Access Control Type: (Detective, Deterrence)

用於透過觸發告警（靜音或非靜音）來提醒人員。 有人在這裡，有授權人員通過檢查站嗎？ 如果是，則記錄事件並且不執行任何其他操作。如果否，則發出告警。基本的都是基於光的方式來偵測 — 它們需要光，因此不太可靠。

另外一種是使用超音波、微波、紅外線或雷射。它是主動感測器，它們發送能量（聲音、波或光）。 如果聲音返回的時間較短或接收回來的模式發生了改變，則表示有人在不應該出現的地方。 光電運動感測器向感測器發送光束，如果損壞就會發出警報。 這些是pew-pew lasers(沒有顏色)，通常無法用肉眼觀察到。

邊界警報(Perimeter Alarms)

門/窗感應器 — 這些是圍繞感應器或接觸式感應器邊緣的細條。 如果打開，則會發出警報聲； 如果破損，同樣的效果。 它可以被規避，但它們是分層防禦(layered defense)的一部分。

牆壁、窗戶、門和任何其他開口都應被認為同樣堅固。牆本來就更堅固； 其餘的則需要實施補償措施（鎖、警報器、感測器）。玻璃通常很容易破碎，但可以防彈和(或)防爆，或中間有金屬絲網。也可以使用有機玻璃，因為它更堅固並且不會破碎，但可以熔化。門鉸鏈(Door hinges)應始終位於內側（或隱藏在門內）。就像旋轉柵門和mantraps一樣，門（在某些情況下還包括窗戶）的設計應確保在緊急情況下能夠安全地逃出建築物。 通常有一個打開門的“緊急按鈕”，但它們也連接到打開時發出聲音的警報器（明確標記為僅限緊急情況 — 警報將發出聲音）。

門鉸鏈(Door hinges)

牆面、樓地板與天花板

根據分層防禦策略(layered defense strategy)，如果有攻擊者可以使用的爬行空間，那麼進入資料中心設定一堆防衛機制都將無濟於事。 我們需要確保進入資料中心或其他安全位置的所有可能途徑的安全。 牆壁應該是“板到板(slab to slab)”（從真實的地板到真實的天花板）； 如果使用底層地板或底層天花板，則它們應包含在板與板之間的牆壁內。 牆壁、地板和天花板應由對該位置足夠安全的材料製成（在有意義的情況下），例如，資料中心周圍不要有石膏板，因為可以用刀切割它。

牆壁、地板和天花板應具有適當的防火等級。門也應該如此，但牆壁、地板和天花板更容易被忽略。這是為了保護資料中心免受外部火災的影響，並保護建築物的其他部分免受資料中心火災的影響。

警衛(Guards → Access Control Type: Deterrent, Detective, Preventative, Compensating)

警衛可以為組織服務許多不同的目的。他們可以檢查憑證/身分證、監控CCTV、監控環境控制 (HVAC)、對事件做出回應、起到威懾作用等等。專業警衛(Professional Guards) — 專業訓練和(或)學校教育； 有武裝的。業餘警衛(Amateur Guards) — 沒有接受專業訓練或學校教育； 有武裝的。假警衛(Pseudo Guard) — 沒有武裝的。警衛應該有一套非常明確的規章制度。
社交工程攻擊很常見，應該透過訓練來提高意識來預防。

惡犬(Dogs → Access Control Type: Deterrent, Detective, Compensating)

最常用於受控、封閉區域。 責任可能是一個問題。 狗經過訓練可以將嫌疑人圍困並攻擊逃跑的人。 人們遇到狗時常常會驚慌失措並逃跑。 即使他們位於安全區域，不過組織仍可能對受傷的人要負責。 也可能是內部授權員工走錯門或試圖走捷徑。 然後就被狗攻擊了。

限制工作區域和護送(Restricted Work Areas and Escorts)

為了追蹤和引導授權訪客，我們可以運用"訪客卡、訪客日誌和陪同人員"。 非電子訪客證很容易複製和偽造。 電子設備可以只是一個廉價的可重新編程的磁條（但這易於複製）。 確保它們的使用期限較短，或每次進入時單獨列印更安全的且僅使用一次。 當訪客離開時，應強制歸還所有狗牌並進行實際簽出。 當供應商來設施中修理、安裝或拆除某些東西時，他們需要辦理登記並由員工護送他們從入口點前往工作地點，並且員工應留在供應商身邊，直到工作結束完成。 供應商的員工在受聘時應該已經通過了安全檢查； 賣方承擔責任。 這聽起來很無聊，但與供應商在不受監督的情況下自由地在設施和資料中心漫遊相比，它更有可能防止供應商損害您的安全。

Technical or Logical Security Controls

Identity and Access Provisioning

每個Entity可以有多個identity，每個Identity可以有多個屬性(Attributes)。

Identity and Access Provisioning Lifecycle

這是「Identity Management Design Guide with IBM Tivoli Identity Manager」中建議的生命週期範例。但我們不是照本宣科，而是找到適合公司的明確政策。生命週期規則使管理員能夠定義要作為事件結果執行的生命週期操作。 生命週期規則對於自動化重複管理任務特別有用。

• 密碼政策合規性檢查。
• 通知使用者在密碼過期前更改密碼。
• 識別生命週期變化，例如連續 30 天以上不活動的帳號。
• 識別建立後 10 天內未使用的新帳號。
• 識別因已被暫停超過 30 天而成為刪除候選人的帳號。
• 當合約到期時，識別屬於業務合作夥伴或承包商員工的所有帳戶並撤銷他們的存取權限。

Federated Identity

我們如何在多個不同的身分管理系統中連結一個人的電子身分和屬性。FIDM(Federated Identity Management)：

• 制定一套通用的政策、實踐和協議來管理跨組織的 IT 使用者和裝置的身份和信任。
• SSO：FIDM的子集(subset)。 使用者對多個系統使用單一登入。

Access Control System

們可以使用集中式和(或)分散式存取控制系統，這取決於哪種類型最有意義。 兩種都提供不同的效益。存取控制決策是透過將憑證(credential)與存取控制清單進行比較來做出的。這種查找可以由主機或伺服器、access control panel或reader來完成。最常見的是hub and spoke，control panel是Hub，Reader是Spoken。

如今，大多數企業都使用RBAC。在完美的世界中，存取控制系統應該在物理和邏輯上與我們的IP 網路的其餘部分進行分段，實際上，它通常是使用VLAN 進行邏輯分段的，但在許多情況下甚至不是這樣。

集中式的好處(也是分散式的壞處):
所有系統和位置都具有相同的安全態勢。 更易於管理：所有記錄、配置和政策都是集中式的，並且每個策略僅配置一次。 攻擊者尋找Chain中的weakest link(例如分公司辦公室不遵循安全態勢，攻擊者可以很容易進入我們的網路)。它更安全，只有少數人可以存取並可以對系統進行更改。 它提供了職separation of duties，本地管理員無法編輯/刪除其設施中的日誌。 而SSO 可用於使用者一次登入即可存取多個系統。

集中式的壞處(也是分散式的好處):
Traffic overhead和回應時間，門鎖根據總部資料庫對使用者進行身份驗證需要多長時間？ 與總部的連接是否穩定，重要設備是否有冗餘電源和互Internet？

混合:
集中控制； 該位置的存取清單每天/每小時推送到本地伺服器； 本機管理員無權存取(分權)。 我們仍然必須確保local site遵循組織在所有其他領域的安全態勢。

授權(Authorization)

我們使用Access Control models來確決定允許Subject(主體)存取的內容。
我們實施什麼以及如何實施取決於組織和我們的安全目標是什麼，類型的選擇通常取決於C.I.A三角的哪一部分對我們來說最重要。

• 如果是Confidentiality，我們很可能會選擇Mandatory Access Control
• 如果是Availability，我們很可能會選擇Discretionary Access Control。
• 如果是Integrity，我們很可能會選擇RBAC or ABAC(Attribute Based Access Control)。

技術上還有RUBAC（Rule Based Access Control），它主要用於帶有IF/THEN語法的防火牆，但可以與其他模型結合使用以提供深度防禦(defense in depth)。

DAC (Discretionary Access Control)-關注Availability

請回頭查看Domain 1

MAC (Mandatory Access Control)-關注Confidentiality

對Object的存取由標籤(Labels)和許可(Clearance)決定，這通常用於軍事或機密性非常重要的組織(管理很麻煩)。

標籤(Labels):
Object有分配給它們的labels； Object的Clearance必須主導Subject的labels。

• Label用於允許具有正確Clearance的Subjects存取它們。
• Label通常比“最高機密”會再細緻化，例如是“最高機密 — 董事會”。

許可(Clearance):
Subject已獲得Clearance。

• 基於對Subject”當前和未來”可信度的正式決定。
• 許可度越高，Subject的背景調查就應該越深入。

RBAC (Role-Based Access Control)-關注Integrity

請回頭查看Domain 1

ABAC (Attribute-Based Access Control)

請回頭查看Domain 1

Context-Based Access Control

請回頭查看Domain 1

Content-Based Access Control

存取是基於Object的屬性(attributes)或內容(content)來提供的，因此稱為content-dependent access control。 在這種類型的控制中，正在存取的內容的value and attributes決定了控制要求。 如隱藏或顯示應用程式中的選單、資料庫中的視圖以及對機密資訊的存取都與內容相關。

Administrative Security(“重要”)

Job Rotation:
對於考試來說，它可以偵測錯誤和詐欺(detect errors and frauds)。 如果輪調工作，詐欺行為會更容易被發現，而且個人之間串通的可能性也會更小。 它還有助於緩解員工的倦怠，並幫助員工了解整個業務。 這對於考試/現實生活來說可能成本過高，我們要確保在考試中成本與收益相符。

Mandatory Vacations:
這樣做是為了確保一個人不會永遠執行相同的任工作，必須由其他人頂替，這可以防止詐欺發生或幫助我們偵測詐欺行為。 放假的人帳戶被鎖定，並對帳戶進行稽核。 如果員工一直在進行詐欺並掩蓋其行為，稽核就會發現它。 做到這一點的最佳方法是放假要是臨時性的。

NDA (Non-Disclosure Agreement):
我們與其他組織之間的保密協議，內部員工也有保密協議。 一些僱傭協議將包括限制員工使用和傳播公司擁有的機密資訊的條款。

Background Checks:
推薦信、學位、就業、犯罪記錄、信用記錄。 對於敏感職位，背景調查是一個持續的過程。

Privilege Monitoring:
員工擁有的存取權限和特權越多，我們就越要關注他們的活動。 他們已經受到更深入、更一致的篩選，但他們也可以存取許多關鍵業務系統，我們需要稽核他們對該存取權限的使用。 隨著更多的存取，更多的責任和稽核也隨之而來。

Data Classification Policies