Access Control Threats
Download
Report
Transcript Access Control Threats
ACCESS Control
Domain Objectives
• Provide definitions and key concepts
• Identify access control categories and types
• Discuss access control threats
• Review system access control measures
Domain Objectives
• Review data access control measures
• Understand intrusion detection and intrusion
prevention systems
• Understand access control assurance methods
Information Security TRIAD
• Availability
• Integrity
• Confidentiality
Domain Agenda
• Definitions and Key Concepts
• Access Control Categories and Type
• Access Control Threats
• Access to System
• Access to Data
• Intrusion Prevention Systems (IPS) & Intrusion
Detection Systems (IDS)
• Access Control Assurance
Basic Requirements
• Security ระบบมีความปลอดภัย
• Reliability ระบบมีความน่าเชื่อถือ
• Transparency ระบบมีความสะดวกใช้ เช่น SSO
• Scalability ระบบมีการรองรับการขยาย
Key Concepts
• Separation of Duties มีการแบ่งแยกการทางาน
• Least Privilege ใช้ สทิ ธิให้ น้อยที่สดุ
• Need-to-know รู้เท่าที่ควรรู้เท่านัน้
• Information Classification การแบ่งประเภทของ
information เช่น chmod
Information Classification Procedures
• Scope ประเภทของความลับ
• Process กระบวนการ
• Responsibility การรับผิดชอบ
• Declassification การเปลี่ยนแปลงสิทธิ เช่นการเปิ ดซองจดหมาย
• Marking and Labeling มีการทาเครื่ องหมาย
• Assurance การประกันคุณภาพ
Domain Agenda
• Definitions and Key Concepts
• Access Control Categories and Type
• Access Control Threats
• Access to System
• Access to Data
• Intrusion Prevention Systems (IPS) &
Intrusion Detection Systems (IDS)
• Access Control Assurance
Access Control Categories
• Preventive การป้องกันการเข้ าถึงข้ อมูล
• Detective การดักจับ
• Corrective การทาให้ ถกู ต้ อง
• Directive การทาการคาสัง่ เช่น การสัง่ ให้ login
• Deterrent มีมาตรการลงโทษ
• Recovery การกู้คืนข้ อมูล
• Compensating ค่าตอบแทน
Access Control Types
• Administrative เชิงบริหาร
• Technical (Logical) เชิงเทคนิค
• Physical ทางด้ านกายภาพ
Access Control Examples
Domain Agenda
• Definitions and Key Concepts
• Access Control Categories and Type
• Access Control Threats
• Access to System
• Access to Data
• Intrusion Prevention Systems (IPS) &
Intrusion Detection Systems (IDS)
• Access Control Assurance
Access Control Threats
• Denial of Service หยุดให้ บริการของระบบ
• Buffer Overflow ทาให้ buffer ล้ น
• Mobile Code
• Malware (Malicious Software)
• Password Crackers
• Spoofing/Masquerading แปลง Mac Address
• Sniffers ไม่ต้อง install เครื่ องที่เป้าหมายก่อน
• Eavesdroppers การดักจับข้ อมูล
Access Control Threats
• Emanations การแพร่กระจายของคลื่น
• Shoulder Surfing การมองข้ าม
• Tapping เช่นการต่อ tel แบบขนาน
• Object Reuse เช่น restore recycle bin
• Data Remanence ข้ อมูลที่หลงเหลือ gabage
• Unauthorized Data Mining
• Dumpster Diving
• Back Door/Trap Door
Access Control Threats
• Theft ขโมย
• Intruders ผู้บกุ รุก
• Social Engineering
Domain Agenda
• Definitions and Key Concepts
• Access Control Categories and Type
• Access Control Threats
• Access to System
• Access to Data
• Intrusion Prevention Systems (IPS) &
Intrusion Detection Systems (IDS)
• Access Control Assurance
System Access Control
• Identification เช่น รหัส ชื่อ สกุล
• Authentication การตรวจสอบในระบบ
• Authorization การมีสทิ ธิในการทางานในระบบ
• Accountability ความรับผิดชอบต่อระบบ
Identification
• • Methods กระบวนการที่ได้ มาของการควบคุม
• • Guidelines
Authentication Methods
• • Knowledge (Something you know)
• • Ownership (Something you have)
• • Characteristics (Something you are)
Authentication by Knowledge
• Password
• Passphrase
Authentication by Ownership
• Tokens (One-time Passwords)
• Smartcards
• Memory Cards
Smart Cards
• Contact Smart Cards
• Card body
• Chip
• Contacts
• Contactless Smart Cards
• Card body
• Chip
• Antenna
Authentication by Characteristic
• Biometrics
• Physiological Biometrics
• Behavioral Biometrics
• Characteristics
• Accuracy
• Acceptability
• Reaction time
Static Biometric Types
•
•
•
•
• Fingerprint/Palm Print
• Hand Geometry
• Retina Scan
• Iris Scan
Dynamic Biometric Types
• Voice Pattern
• Facial Recognition
• Keystroke Dynamics
• Signature Dynamics