Czy wiesz, czym jest kontrola dostępu?

utworzone przez | cze 18, 2021

()

Kontrola dostępu to bardzo ważny temat, a wszystkim kojarzy się z folderem. Pewnie Tobie również, ale jeśli masz skojarzenie z czymś innym, gdy słyszysz o kontroli dostępu, to napisz w komentarzu, co to jest. Kontrola dostępu nie ogranicza się do dostępu do folderów, ale i do serwerowni, dokumentów i wszystkich ważnych informacji znajdujących się w najdziwniejszych miejscach.

Na pewno wielokrotnie spotykasz się z kontrolą dostępu, a możesz nawet nie zdawać sobie z tego sprawy. Kontrolą ta jest karta, którą odbijasz się w biurze, by do niego wejść. Pracując jako Bezpiecznik, będziesz decydował, kto, do jakiego zasobu będzie miał dostęp.

Z takimi przywilejami wiąże się duża odpowiedzialność. Zezwolisz na dostęp do danych nieodpowiedniej osobie – i pozamiatane. Tak że musisz zawsze uważać na to, co robisz i zastanowić się dwa razy, zanim coś zrobisz.

Wstęp do Kontroli dostępu

Kontrola dostępu to pierwsza linia obrony w każdej organizacji. Pamiętaj, że większość tematów zapożyczanych jest od wojska, więc także tam pierwszą linią obrony jest kontrola dostępu. Zwykły trep nie ma dostępu do tych samych danych, co generał.

Ale też analogicznie jest w domu – dzieci nie znają wszystkich detali odnośnie tego, gdzie i jakie rachunki płacą rodzice, gdzie i po co chodzą itd. Tak też jest między małżonkami i po prostu wszędzie, więc na pewno zdajesz sobie sprawę, jak jest to ważne.

I tak po uwierzytelnieniu następuje autoryzacja, która jest zaimplementowana zazwyczaj za pomocą kontroli dostępu. Na przykład do konta bankowego musisz się dostać przez ich kontrolę dostępu, czyli login i hasło + MFA.

Kontrola dostępu określa, jaki poziom dostępu otrzymujesz. I tak na przykład na dostęp do sieci czy pliku zazwyczaj tworzy się ACL-e, czyli Access Control listy. ACL to taka lista, która określa poziom dostępu dla systemu bądź osoby do danego zasobu.

Kontrola dostępu – typy kontroli

Są cztery podstawowe typy kontroli:

  • Administrative control: Kontrola administracyjna to są polityki, procedury czy wytyczne, które kochamy najbardziej :). Wyjściową kontrolą administracyjną jest Security Policy, to ona określa inne wymagane rodzaje kontroli. To od niej wychodzimy do pozostałych rodzajów kontroli takich, jak na przykład polityki haseł, polityki zatrudnienia czy awareness training.
  • Logical control: Przykładem logicznej kontroli mogą być firewall, hasło, IDS czy każda inna techniczna kontrola dostępu. W sumie inna nazwa dla tego rodzaju kontroli to kontrola techniczna :). O, jeszcze jednym przykładem może być GPO, dzięki któremu możemy ustawić kontrolę administracyjną, jaką jest polityka haseł. Niby można to zrobić już za pomocą endpointów, ale przy GPO skuteczność działania to 100%, a przy endpointach spotkałem ze skutecznością niższą niż 100%.
  • Operational Control: Przykładem może być backup. Kontrole operacyjne to takie, które są częścią codziennych aktywności.
  • Physical Control: No i kontrole fizyczne, które, tak jak wspomniałem, zabraniają dostępu do serwerowni czy do budynku nieuprawnionym osobom. Przykładów tu jest bez liku, no ale najlepiej powiedzieć o tym, co każdy z nas ma, czyli drzwi ;).

Kontrola dostępu – klasy kontroli

Niektóre kontrole są stworzone do tego, by znaleźć problem, inne zaś – by go rozwiązać. Poniżej różne klasy kontroli poruszające to zagadnienie.

  • Preventative: Zapobiegawcze kontrole mają za zadanie ustrzec przed incydentem bezpieczeństwa. Tak na przykład kabel do laptopa uniemożliwi – a może lepiej powiedzieć utrudni – jego kradzież. Czy też zamek w drzwiach nie pozwoli ich tak szybko i łatwo otworzyć.
  • Corrective: Poprawiające są to takie, które pomagają przywrócić wszystko do stanu sprzed wystąpienia incydentu.
  • Detective: Tu nazwa mówi sama za siebie – muszą wykryć incydent i zgłosić go do mnie. Na przykład IDS czy – bardziej na czasie – Azure Monitor i alert, który to poinformuje mnie, gdy serwer zacznie korzystać z 99% procesora, co może być false positive, ale o tym poniżej.
  • Deterrent: Straszak 🙂 na przykład dyscyplinarka. Albo, tak jak w przypadku kabla powyżej, ma odstraszać napastnika od wykonania danej akcji. Co niekoniecznie oznacza, że dana akcja nie będzie wykonana.
  • Compensating: Jest to wynagradzanie siebie za ryzyko rezydualne, czyli takie, które mimo zastosowania najlepszych praktyk i  środków kontroli dalej występuje.

False Positive/ False Negative

Większość kontroli będzie przeprowadzać testy w poszukiwaniu incydentu bezpieczeństwa.

  • False Positive: Test zwraca wynik pozytywny. Lecz jego wynik jest fałszywy i test też powinien być fałszywy. Najlepszym przykładem – bo każdy, kto ma maila, go doświadczył – jest filtr spamu, który wykrył zwykłą wiadomość jako spam. Wtedy mamy do czynienia z False Positive.
  • False Negative: A tu dam przykład ze służby zdrowia, żeby było ciekawie: „fałszywie negatywny wynik testu to wynik, który wskazuje, że dana osoba nie ma choroby lub stanu, podczas gdy faktycznie osoba je ma”. Nauka nie może być nudna 😉

Implicit deny

Konfigurowanie ACL w różnych środowiskach jest ciężkie, ponieważ jest bardzo dużo zmiennych do przyjęcia. Zanim je wszystkie skonfigurujemy, korzystamy z implicit deny czy też inaczej deny by default, czyli wszystko, co nie jest na liście, domyślnie jest zablokowane.

Na przykład, gdy dajemy dostęp na folderze czy też na Sharepoint, wszyscy niezapisani jako osoby, które powinny mieć dostęp, nie mają go. To jest tak, jakbyś chciał wejść na zamkniętą imprezę i stoją cztery karki po 2,5m w barach. No nie przejdziesz :). Niestety przekupstwo nie pomoże przy systemach 😉 Poniżej parę przykładów, w których znajdziesz deny by default.

  • Routers ACL: ACL na routerze określają, jaki ruch może wejść i wyjść z routera. Każda próba wysłania innego komunikatu po prostu zostanie odrzucona. Uważaj, gdy uruchamiasz implicit deny na routerze już działającym, bo nagle się okaże, że są reguły nieporobione i sieć Ci wywali. Oczywiście to powinno być ustawione od razu, jeszcze zanim została reszta skonfigurowana, ale różne kwiatki się zdarzają 😉
  • Firewall: To samo na firewallu: gdy zaczynasz go konfigurować to pierwszą regułą, jaka tam się ma pojawić, to deny all. I jak zdecydujesz dodać na przykład port 443 dla konkretnego IP, to dopiero wtedy ruch po tym porcie będzie dozwolony dla tego IP, a wszystkie pozostałe porty i IP nie będą miały dostępu, dopóki im go nie nadasz.
  • Permissions: I ostatni przykład – w Windowsie NTFS nie dopuści Cię do folderu, chyba że będziesz na liście i będziesz miał jakiekolwiek uprawnienia.

Moje ulubione zagadnienie czyli Least Privilege

Moje ulubione zagadnienie. Czyli pojęcie jak najmniejszych uprawnień, które są niezbędne dla użytkownika do wykonywania swoich codziennych obowiązków. Nie powinieneś dawać ludziom większych uprawnień, bo je wykorzystają.

Bądź ktoś wykorzysta je za nich. Jest to duży problem w małych organizacjach, ponieważ ciężko tam określić, kto czym się zajmuje. Każdy robi wszystkiego po trochu. Ale jeśli firma chce urosnąć, muszą to wyklarować.

Więc jak tylko możesz, wprowadzaj least privilege. Dla przykładu załóżmy, że Andrzej zajmuje się robieniem backupu serwerów. To nie dajemy go do grupy adminów, bo by miał za duże uprawnienia. Mógłby naknocić coś w konfiguracjach i padłyby Ci na przykład kontrolery domeny. Wtedy byłaby jazda. A tak dodajesz Andrzeja do wcześniej stworzonej grupy, która ma ucięte uprawnienia tylko do robienia kopii zapasowej.

Podział obowiązków

Podział obowiązków (z tym także jest problem w małych organizacjach) polega na tym, że wszystkie krytyczne zadania podzielone są na pojedyncze procesy i każdy z tych procesów jest wykonywany przez innego pracownika.

Dla przykładu osoba, która wypełnia dane do przelewu, to ktoś z księgowości. Nie jest to osoba, która opłaca, podpisuje się pod nim – to zazwyczaj jest ktoś z zarządu. Wiadomo, że jeśli chodzi o mniejsze kwoty, to uprawnienia są cedowane.

Job Rotation

Rotacja obowiązków w firmie jest bardzo ważnym aspektem. Możemy się spotkać z taką sytuacją, jaka miała miejsce w Banku w Chmielniku. Po pierwsze, pomaga to ustrzec się przed podejrzanymi akcjami jak ta opisana wyżej, ale i poprawia samopoczucie pracowników. Nikt nie lubi być robotem i wykonywać tego samego w kółko.

Nawet jeśli będziesz miał tylko dwa obowiązki, ale będziesz je wykonywał na zmianę, od razu będzie Ci się pracować przyjemniej.

Rotacja obowiązków zapewnia, że pracownik w codziennej pracy będzie wykonywał różne zadania. Dodatkowo pozbywamy się ludzi niezastąpionych, a to najgorsze, co może być. Ponieważ osoba niezastąpiona może z jakichś przyczyn opuścić organizację i wtedy zaczynają się problemy.

Podsumowanie

Dziś poznałeś, czym jest kontrola dostępu, jakie są jej typy i klasy. Czym jest False Positive/ False Negative, Implicit deny, Least Privilege oraz Job Rotation. Sporo nowych terminów, ale to nie wszystkie – już w kolejnym artykule dostaniesz kolejną porcję mięsa. Mam nadzieję, że wszystko opisałem zrozumiale i przykłady Ci się podobały. Jeśli masz własne, zostaw je w komentarzu.

Pozdrawiam – Pusz ????

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Doceń naszą prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić

468

Funkcja trackback/Funkcja pingback

  1. Wprowadzenie do IDS i IPS - PushSec - […] z jednego IP jest zagrożeniem. Jednym z bonusów signature–based jest to, że jest mało false positive, czyli takich informacji,…
  2. Dowody w audycie - PushSec - […] Podział obowiązków — audytor musi sprawdzić, czy podział obowiązków jest odpowiedni, czy należy go zmienić i inaczej dostosować. Na…

Prześlij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *