Kontrola dostępu do komputera

Część serii poświęconej
bezpieczeństwu informacji
Powiązane kategorie bezpieczeństwa
Bezpieczeństwo komputera Zabezpieczenia samochodowe Cyberprzestępczość Handel cyberseksuem Oszustwo komputerowe Cybergeddon Cyberterroryzm Cyberwojna Elektroniczna wojna Wojna informacyjna Ochrona Internetu Mobilne zabezpieczenia Bezpieczeństwo sieci Ochrona przed kopiowaniem Zarządzanie Prawami Cyfrowymi
Groźby
Oprogramowanie reklamowe Zaawansowane trwałe zagrożenie Wykonanie dowolnego kodu Backdoory Backdoory sprzętowe Wstrzyknięcie kodu Oprogramowanie przestępcze Skrypty między witrynami Złośliwe oprogramowanie typu cryptojacking Botnety Naruszenie danych Pobieranie z przejazdu Obiekty pomocnicze przeglądarki Wirusy Skrobanie danych Odmowa usługi Podsłuchiwanie Oszustwa e-mailowe Fałszowanie wiadomości e-mail Exploity Keyloggery Bomby logiczne Bomby czasowe Bomby widełkowe Zip bomby Fałszywe dialery Złośliwe oprogramowanie Ładunek Wyłudzanie informacji Silnik polimorficzny Eskalacja uprawnień Oprogramowanie wymuszające okup rootkity Bootkity straszenie Kod powłoki Spamowanie Inżynieria społeczna Skrobanie ekranu Programy szpiegujące Błędy oprogramowania konie trojańskie Trojany sprzętowe Trojany zdalnego dostępu Słaby punkt Powłoki internetowe Wycieraczka Robaki wstrzyknięcie SQL Fałszywe oprogramowanie zabezpieczające Bałwan
obrona
Bezpieczeństwo aplikacji Bezpieczne kodowanie Bezpieczne domyślnie Bezpieczne z założenia Przypadek niewłaściwego użycia Kontrola dostępu do komputera Uwierzytelnianie Uwierzytelnianie wieloskładnikowe Upoważnienie Oprogramowanie zabezpieczające komputer Oprogramowanie antywirusowe System operacyjny zorientowany na bezpieczeństwo Bezpieczeństwo skoncentrowane na danych Zaciemnianie kodu Maskowanie danych Szyfrowanie Zapora ogniowa System wykrywania włamań Oparty na hoście system wykrywania włamań (HIDS) Wykrywanie anomalii Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM) Mobilna bezpieczna brama Samoobrona aplikacji uruchomieniowej

W bezpieczeństwie komputerowym ogólna kontrola dostępu obejmuje identyfikację , autoryzację , uwierzytelnianie , zatwierdzanie dostępu i audyt . Węższa definicja kontroli dostępu obejmowałaby tylko zatwierdzanie dostępu, w ramach którego system podejmuje decyzję o przyznaniu lub odrzuceniu żądania dostępu od już uwierzytelnionego podmiotu na podstawie tego, do czego podmiot jest upoważniony. Uwierzytelnianie i kontrola dostępu są często łączone w jedną operację, dzięki czemu dostęp jest zatwierdzany na podstawie pomyślnego uwierzytelnienia lub na podstawie anonimowego tokena dostępu. Metody uwierzytelniania i tokeny obejmują hasła , skany biometryczne, klucze fizyczne , klucze i urządzenia elektroniczne, ukryte ścieżki, bariery społeczne oraz monitorowanie przez ludzi i zautomatyzowane systemy. ^{[ potrzebne źródło ]}

Podmioty oprogramowania

W każdym modelu kontroli dostępu jednostki, które mogą wykonywać działania w systemie, nazywane są podmiotami , a jednostki reprezentujące zasoby, do których dostęp może wymagać kontroli, nazywane są obiektami (patrz także Macierz kontroli dostępu ). Zarówno podmioty, jak i przedmioty powinny być traktowane jako jednostki oprogramowania, a nie jako użytkownicy: wszyscy użytkownicy mogą mieć wpływ na system jedynie za pośrednictwem jednostek oprogramowania, które kontrolują. ^{[ potrzebne źródło ]}

Chociaż niektóre systemy utożsamiają tematy z identyfikatorami użytkowników , dzięki czemu wszystkie procesy uruchomione przez użytkownika mają domyślnie takie same uprawnienia, ten poziom kontroli nie jest wystarczająco precyzyjny, aby spełnić zasadę najmniejszych uprawnień i prawdopodobnie jest odpowiedzialny za rozpowszechnienie złośliwego oprogramowania w takich systemach (patrz brak bezpieczeństwa komputera ). ^{[ potrzebne źródło ]}

W niektórych modelach, na przykład w modelu obiektowo-zdolnościowym , dowolna jednostka programowa może potencjalnie działać zarówno jako podmiot, jak i przedmiot. ^{[ potrzebne źródło ]}

Od 2014 roku modele kontroli dostępu dzielą się na dwie klasy: oparte na możliwościach i oparte na listach kontroli dostępu (ACL).

• W modelu opartym na możliwościach posiadanie niepodrabialnego odniesienia lub zdolności do obiektu, która zapewnia dostęp do obiektu (mniej więcej analogicznie do tego, jak posiadanie klucza do domu zapewnia dostęp do własnego domu); dostęp jest przekazywany innej stronie poprzez transmisję takiej możliwości przez bezpieczny kanał.
• W modelu opartym na ACL dostęp podmiotu do obiektu zależy od tego, czy jego tożsamość pojawia się na liście powiązanej z obiektem (z grubsza analogicznie do tego, jak bramkarz na prywatnej imprezie sprawdza identyfikator, aby zobaczyć, czy nazwisko pojawia się na gościu lista); dostęp uzyskuje się poprzez edycję listy. (Różne systemy ACL mają wiele różnych konwencji dotyczących tego, kto lub co jest odpowiedzialne za edytowanie listy i sposób jej edytowania.) ^{[ Potrzebne źródło ]}

Zarówno modele oparte na możliwościach, jak i oparte na listach ACL mają mechanizmy umożliwiające nadawanie praw dostępu wszystkim członkom grupy podmiotów (często sama grupa jest modelowana jako podmiot). ^{[ potrzebne źródło ]}

Usługi

Systemy kontroli dostępu zapewniają podstawowe usługi autoryzacji , identyfikacji i uwierzytelniania ( I&A ), zatwierdzania dostępu i odpowiedzialności , gdzie: ^{[ potrzebne źródło ]}

• autoryzacja określa, co podmiot może zrobić
• identyfikacja i uwierzytelnianie zapewniają, że tylko uprawnione podmioty mogą zalogować się do systemu
• zatwierdzenie dostępu zapewnia dostęp podczas operacji, poprzez powiązanie użytkowników z zasobami, do których mają dostęp, na podstawie zasad autoryzacji
• odpowiedzialność określa, co zrobił podmiot (lub wszystkie podmioty powiązane z użytkownikiem).

Upoważnienie

Autoryzacja obejmuje akt definiowania praw dostępu dla podmiotów. Polityka autoryzacji określa operacje, które podmioty mogą wykonywać w systemie. ^{[ potrzebne źródło ]}

Większość nowoczesnych systemów operacyjnych wdraża zasady autoryzacji jako formalne zestawy uprawnień, które są odmianami lub rozszerzeniami trzech podstawowych typów dostępu: ^{[ potrzebne źródło ]}

• Przeczytaj (R): Podmiot może:
  • Przeczytaj zawartość pliku
  • Wyświetl zawartość katalogu
• Zapis (W): Podmiot może zmienić zawartość pliku lub katalogu, wykonując następujące zadania:
  • Dodać
  • Aktualizacja
  • Usuwać
  • Przemianować
• Wykonaj (X): Jeśli plik jest programem, podmiot może spowodować uruchomienie programu. (W systemach typu Unix uprawnienie „wykonywanie” podwaja się jako uprawnienie „przechodzenie przez katalog”, gdy jest przyznawane dla katalogu.)

Te prawa i uprawnienia są inaczej realizowane w systemach opartych na dyskrecjonalnej kontroli dostępu ( DAC ) i obowiązkowej kontroli dostępu ( MAC ).

Identyfikacja i uwierzytelnianie

Identyfikacja i uwierzytelnianie (I&A) to proces sprawdzania, czy tożsamość jest powiązana z podmiotem, który potwierdza lub twierdzi tożsamość. Proces I&A zakłada, że ​​nastąpiła wstępna walidacja tożsamości, potocznie zwana tożsamością proofingową. Dostępne są różne metody potwierdzania tożsamości, począwszy od weryfikacji osobistej przy użyciu dokumentu tożsamości wydanego przez rząd, po metody anonimowe, które pozwalają wnioskodawcy pozostać anonimowym, ale znanym systemowi, jeśli wróci. Metoda stosowana do sprawdzania tożsamości i walidacji powinna zapewniać poziom pewności współmierny do zamierzonego wykorzystania tożsamości w systemie. Następnie podmiot potwierdza tożsamość wraz z uwierzytelniającym jako środek do walidacji. Jedynym wymaganiem dla identyfikatora jest to, że musi on być unikalny w swojej domenie bezpieczeństwa. ^{[ potrzebne źródło ]}

Uwierzytelniacze są zwykle oparte na co najmniej jednym z następujących czterech czynników: ^{[ potrzebne źródło ]}

• Coś, co znasz , na przykład hasło lub osobisty numer identyfikacyjny (PIN). Zakłada się, że tylko właściciel konta zna hasło lub PIN potrzebny do uzyskania dostępu do konta.
• Coś, co masz , na przykład kartę inteligentną lub token zabezpieczający . Zakłada się, że tylko właściciel konta posiada niezbędną kartę inteligentną lub token potrzebny do odblokowania konta.
• Coś, czym jesteś , na przykład cechy odcisku palca, głosu, siatkówki lub tęczówki.
• Gdzie jesteś , na przykład wewnątrz lub na zewnątrz zapory firmowej lub bliskość miejsca logowania do osobistego urządzenia GPS.

Zatwierdzenie dostępu

Zatwierdzanie dostępu to funkcja, która faktycznie przyznaje lub odrzuca dostęp podczas operacji.

Podczas zatwierdzania dostępu system porównuje formalną reprezentację polityki autoryzacji z wnioskiem o dostęp, aby określić, czy wniosek zostanie przyznany, czy odrzucony. Ponadto ocena dostępu może odbywać się online/na bieżąco.

Odpowiedzialność

Odpowiedzialność wykorzystuje takie elementy systemu, jak ścieżki audytu (zapisy) i dzienniki, aby powiązać podmiot z jego działaniami. Zarejestrowane informacje powinny wystarczyć do mapowania podmiotu na użytkownika kontrolującego. Ścieżki audytu i dzienniki są ważne dla ^{[ potrzebne źródło ]}

• Wykrywanie naruszeń bezpieczeństwa
• Odtwarzanie incydentów bezpieczeństwa

Jeśli nikt nie przegląda regularnie Twoich logów i nie są one utrzymywane w bezpieczny i spójny sposób, mogą nie być dopuszczalne jako dowód. ^{[ potrzebne źródło ]}

Wiele systemów może generować zautomatyzowane raporty na podstawie określonych wcześniej kryteriów lub progów, zwanych poziomami przycinania . Na przykład poziom obcinania można ustawić w celu wygenerowania raportu dla następujących elementów: ^{[ potrzebne źródło ]}

• Więcej niż trzy nieudane próby logowania w danym okresie
• Wszelkie próby użycia wyłączonego konta użytkownika

Raporty te pomagają administratorowi systemu lub administratorowi bezpieczeństwa łatwiej identyfikować możliwe próby włamania. – Definicja poziomu przycinania: zdolność dysku do zachowania swoich właściwości magnetycznych i przechowywania zawartości. Zakres poziomów wysokiej jakości to 65–70%; niska jakość jest poniżej 55%.

Kontrola dostępu

Modele kontroli dostępu są czasami klasyfikowane jako uznaniowe lub nieuznaniowe. Trzy najbardziej znane modele to uznaniowa kontrola dostępu (DAC), obowiązkowa kontrola dostępu (MAC) i kontrola dostępu oparta na rolach (RBAC). MAC nie ma charakteru uznaniowego. ^{[ potrzebne źródło ]}

Uznaniowa kontrola dostępu

Uznaniowa kontrola dostępu (DAC) to zasady określone przez właściciela obiektu. Właściciel decyduje, kto ma dostęp do obiektu i jakie ma uprawnienia.

Dwie ważne koncepcje w DAC to ^{[ potrzebne źródło ]}

• Własność plików i danych: każdy obiekt w systemie ma właściciela . W większości systemów DAC początkowym właścicielem każdego obiektu jest podmiot, który spowodował jego utworzenie. Polityka dostępu do obiektu jest określana przez jego właściciela.
• Prawa dostępu i uprawnienia: Są to kontrole, które właściciel może przypisać innym podmiotom do określonych zasobów.

Kontrola dostępu może być uznaniowa w systemach kontroli dostępu opartych na listach ACL lub opartych na możliwościach . (W systemach opartych na możliwościach zwykle nie ma wyraźnej koncepcji „właściciela”, ale twórca obiektu ma podobny stopień kontroli nad jego polityką dostępu).

Obowiązkowa kontrola dostępu

Obowiązkowa kontrola dostępu odnosi się do zezwolenia na dostęp do zasobu wtedy i tylko wtedy, gdy istnieją reguły zezwalające danemu użytkownikowi na dostęp do zasobu. Jest trudny w zarządzaniu, ale jego użycie jest zwykle uzasadnione, gdy jest używane do ochrony bardzo wrażliwych informacji. Przykłady obejmują pewne informacje rządowe i wojskowe. Zarządzanie jest często uproszczone (ponad to, co jest wymagane), jeśli informacje można chronić za pomocą hierarchicznej kontroli dostępu lub poprzez wdrożenie etykiet poufności. To, co sprawia, że ​​​​metoda jest „obowiązkowa”, to użycie reguł lub etykiet czułości. ^{[ potrzebne źródło ]}

• Etykiety wrażliwości: W takim systemie podmioty i obiekty muszą mieć przypisane etykiety. Etykieta wrażliwości podmiotu określa jego poziom zaufania. Etykieta czułości obiektu określa poziom zaufania wymagany do uzyskania dostępu. Aby uzyskać dostęp do danego obiektu, podmiot musi mieć poziom czułości równy lub wyższy od żądanego obiektu.
• Import i eksport danych: Kontrolowanie importu informacji z innych systemów i eksportu do innych systemów (w tym drukarek) jest krytyczną funkcją tych systemów, która musi zapewniać właściwe utrzymywanie i wdrażanie etykiet poufności, tak aby informacje wrażliwe były odpowiednio chronione w każdym przypadku czasy.

Powszechnie stosuje się dwie metody stosowania obowiązkowej kontroli dostępu: ^{[ potrzebne źródło ]}

• Kontrola dostępu oparta na regułach (lub etykietach): Ten typ kontroli dalej definiuje określone warunki dostępu do żądanego obiektu. System obowiązkowej kontroli dostępu implementuje prostą formę kontroli dostępu opartej na regułach w celu określenia, czy dostęp powinien zostać przyznany, czy odrzucony poprzez dopasowanie:
  • Etykieta czułości obiektu
  • Etykieta czułości podmiotu
• Kontrola dostępu oparta na kratach : Można ją wykorzystać do podejmowania złożonych decyzji dotyczących kontroli dostępu obejmujących wiele obiektów i/lub podmiotów. Model kratowy to struktura matematyczna, która definiuje największą dolną i najmniejszą górną granicę dla pary elementów, takich jak podmiot i przedmiot.

Niewiele systemów implementuje MAC; XTS-400 i SELinux to przykłady systemów, które to robią.

Kontrola dostępu oparta na rolach

Kontrola dostępu oparta na rolach (RBAC) to zasady dostępu określane przez system, a nie przez właściciela. RBAC jest używany w zastosowaniach komercyjnych, a także w systemach wojskowych, w których mogą również istnieć wielopoziomowe wymagania bezpieczeństwa. RBAC różni się od DAC tym, że DAC pozwala użytkownikom kontrolować dostęp do ich zasobów, podczas gdy w RBAC dostęp jest kontrolowany na poziomie systemu, poza kontrolą użytkownika. Chociaż RBAC jest nieuznaniowy, można go odróżnić od MAC przede wszystkim sposobem obsługi uprawnień. MAC kontroluje uprawnienia do odczytu i zapisu na podstawie poziomu uprawnień użytkownika i dodatkowych etykiet. RBAC kontroluje kolekcje uprawnień, które mogą obejmować złożone operacje, takie jak transakcja e-commerce, lub mogą być tak proste, jak odczyt lub zapis. Rolę w RBAC można postrzegać jako zestaw uprawnień.

Dla RBAC zdefiniowano trzy podstawowe zasady:

1. Przypisanie roli: Podmiot może wykonać transakcję tylko wtedy, gdy podmiot wybrał lub została mu przypisana odpowiednia rola.
2. Autoryzacja roli: Aktywna rola podmiotu musi być autoryzowana dla podmiotu. Dzięki powyższej regule 1 ta reguła gwarantuje, że użytkownicy mogą przyjmować tylko te role, do których są upoważnieni.
3. Autoryzacja transakcji: Podmiot może wykonać transakcję tylko wtedy, gdy transakcja jest autoryzowana dla aktywnej roli podmiotu. W przypadku reguł 1 i 2 reguła ta gwarantuje, że użytkownicy mogą wykonywać tylko te transakcje, do których są upoważnieni.

Można również zastosować dodatkowe ograniczenia, a role można łączyć w hierarchii, w której role wyższego poziomu podporządkowują uprawnienia należące do ról podrzędnych niższego poziomu.

Większość dostawców IT oferuje RBAC w jednym lub kilku produktach.

Kontrola dostępu oparta na atrybutach

W kontroli dostępu opartej na atrybutach (ABAC) dostęp nie jest przyznawany na podstawie praw podmiotu związanych z użytkownikiem po uwierzytelnieniu, ale na podstawie atrybutów użytkownika. Użytkownik musi udowodnić mechanizmowi kontroli dostępu tzw. twierdzenia dotyczące jego atrybutów. Polityka kontroli dostępu oparta na atrybutach określa, które żądania muszą zostać spełnione, aby przyznać dostęp do obiektu. Na przykład roszczenie może brzmieć „starsze niż 18 lat”. Każdy użytkownik, który może udowodnić to twierdzenie, otrzymuje dostęp. Użytkownicy mogą być anonimowi, gdy uwierzytelnianie i identyfikacja nie są bezwzględnie wymagane. Wymagane są jednak środki umożliwiające anonimowe udowodnienie twierdzeń. Można to osiągnąć na przykład za pomocą anonimowych danych uwierzytelniających . ^{[ potrzebne źródło ]} XACML (extensible access control Markup Language) to standard kontroli dostępu opartej na atrybutach. XACML 3.0 został ustandaryzowany w styczniu 2013 roku.

Modele kontroli dostępu po zbiciu szyby

Tradycyjnie dostęp ma na celu ograniczenie dostępu, dlatego większość modeli kontroli dostępu jest zgodna z „zasadą domyślnej odmowy”, tj. jeśli określone żądanie dostępu nie jest wyraźnie dozwolone, zostanie odrzucone. To zachowanie może kolidować z normalnymi operacjami systemu. W pewnych sytuacjach ludzie są skłonni podjąć ryzyko, które może wiązać się z naruszeniem zasad kontroli dostępu, jeśli potencjalne korzyści, które można osiągnąć, przewyższają to ryzyko. Potrzeba ta jest szczególnie widoczna w obszarze ochrony zdrowia, gdzie odmowa dostępu do dokumentacji pacjenta może spowodować śmierć pacjenta. Break-Glass (zwany także break-the-glass) próbuje to złagodzić, umożliwiając użytkownikom zastąpienie decyzji kontroli dostępu. Break-Glass może być zaimplementowany w sposób specyficzny dla kontroli dostępu (np. w RBAC) lub ogólny (tj. niezależny od bazowego modelu kontroli dostępu).

Kontrola dostępu oparta na hoście (HBAC)

Inicjalizacja HBAC oznacza „kontrolę dostępu opartą na hoście”.

Zobacz też

• Narzędzie kontroli dostępu do zasobów