Acces Control
TOEGANG: is de informatiestroom tussen een subject en een object.
CONTROLE: beveiligingsfuncties die bepalen hoe gebruikers en systemen communiceren en interacteren met andere systemen en bronnen.
Onderwerp: actieve entiteit die toegang vraagt tot een object of gegevens binnen het object (gebruiker, programma).
Object: is een passieve entiteit die informatie bevat (computer, database, bestand, programma). Toegangscontroletechnieken ondersteunen de toegangscontrolemodellen.
Access Administration
Gecentraliseerd beheer: één element dat verantwoordelijk is voor het configureren van toegangscontrole. Alleen aangepast via centraal beheer, zeer strikte controle.
Gedecentraliseerd beheer: toegang tot informatie wordt beheerd door eigenaren of makers van informatie, mogelijk niet consistent met procedures, moeilijk om een systeembreed overzicht te vormen van alle gebruikerstoegang op een bepaald moment.
Hybride: gecentraliseerde controle wordt uitgeoefend voor sommige informatie en gedecentraliseerde voor andere informatie.
Single Sign On (SSO)
SSO staat voor Reduced Sign-On of Federated ID Management.
Voordeel: Mogelijkheid om sterkere wachtwoorden te gebruiken, eenvoudiger beheer, minder tijd nodig om toegang te krijgen tot resources.
Nadeel: Zodra een sleutel is gecompromitteerd, zijn alle resources toegankelijk. Bij een gecompromitteerde database zijn alle wachtwoorden gecompromitteerd.
Kerberos
Guards a network with three elements: authentication, authorization, & auditing.
Multi Factor Authentication MFA
Type 1: authenticatiefactor is iets wat je weet. Voorbeelden hiervan zijn een wachtwoord, pincode of wachtwoordzin.
Type 2: authenticatiefactor is iets wat je hebt. Fysieke apparaten die een gebruiker bezit, kunnen hem of haar helpen bij authenticatie. Voorbeelden hiervan zijn een smartcard (CAC), hardwaretoken, smartcard, geheugenkaart of USB-stick.
Type 3: authenticatiefactor is iets wat je bent. Het is een fysiek kenmerk van een persoon dat wordt geïdentificeerd met verschillende soorten biometrische gegevens.
Type 4: (vertrouwde) locaties, bijvoorbeeld een kantoorgebouw.
Type 5: iets wat je doet. Voorbeeld: gebruik van een dagdienst-ID-kaart om toegang te krijgen tot het kantoorgebouw om 3:00 uur ‘s nachts. Dit wordt door AI als verdacht gedetecteerd en kan leiden tot onmiddellijke opschorting van de toegangsrechten van de kaarthouder.
Biometrics
Fingerprint scanners
Facial recognition
Voice recognition
Eye scanners
Type I error = false rejection
Type II error= false acceptance (most dangerous)
Cloud Authentication
Risk based authentication. Vanuit ieder systeem kan ik me authenticeren naar het cloud platform.
Vier pijlers voor Risk Based Authentication => context based/domain joined/enrolled/untrusted
Op basis van de pijlers krijg je toegang, of extra auth stap maken of je krijgt geen toegang.
Op basis daarvan krijg je toegang tot je cloud resources.
Federation & IDAAS
IDaaS: Identity as a Service, or Identity and Access as a Service is a third-party service that provides identity and access management, Effectively provides SSO for the cloud and is especially useful when internal clients access cloud-based Software as a Service (SaaS) applications.
Ability to provision identities held by the service to target applications
Access includes user authentication, SSO, authorization enforcement
Log events, auditing
Federation: sharing identity and authentication behind the scenes (like booking flight → booking hotel without reauthenticating) by using a federate identity so used across business boundaries
* SSO
* Access Management enforces RULES!
Cloud Federation
Cloud Federation, ook bekend als Federated Cloud, is de implementatie en het beheer van verschillende externe en interne cloud computing-services om aan de zakelijke behoeften te voldoen. Het is een multinationaal cloudsysteem dat private, community- en publieke clouds integreert in schaalbare computerplatforms. Federated cloud ontstaat door de cloudomgeving van verschillende cloudproviders met elkaar te verbinden via een gemeenschappelijke standaard.
Authorization Mechanisms
Verplichte toegangscontrole: werkt met toestemmingen en classificaties. MAC wordt afgedwongen met behulp van beveiligingslabels op zowel het onderwerp als het object.
Discretionaire toegangscontrole: de eigenaar van de gegevens definieert de toegang.
Toegangscontrolelijst: gebaseerd op eenvoudige regels, toegestaan of niet (lezen, schrijven en uitvoeren moeten inbegrepen zijn).
Toegangscontrole op basis van regels: d.w.z. firewallregels, iets is toegestaan of geblokkeerd.
Toegangscontrole op basis van rollen: gebruik rollen of groepen als container voor gebruikers en wijs vervolgens machtigingen en rechten toe aan containers.
Geclaimd: de gebruiker krijgt een token om toegang te krijgen tot gegevens. Dit token kan op elk moment worden ingetrokken.
Authorization Controls
Need to Know: ensures that subjects are granted access only to what they need to know for their work tasks and job functions. Subjects may have clearance to access classified or restricted data but are not granted authorization to the data unless they actually need it to perform a job.
Least Privilege: ensures that subjects are granted only the privileges they need to perform their work tasks and job functions.
This is sometimes lumped together with need to know. The only difference is that least privilege will also include rights to take action on a system.
Separation of Duties and Responsibilities: ensures that sensitive functions are split into tasks performed by two or more employees. It helps to prevent fraud and errors by creating a system of checks and balances.
Attack Process
Recon=verkennen
Weaponize=tool/code maken om aanval te plagen
Deliver=afleveren op systeem (bv fishing)
Exploit=installatie (bv door user)
Control= over het systeem is er controle
Execute=uitvoeren aanval
Maintain=update code of deinstallatie
Begrippenlijst
IAAA = Identification, Authentication, Authorization, Accountability
SSO = Single Sign On
OS = Operating System
PIN = Personal Identification Number
USB = Universal Serial Bus
CAC = Common Access Card
CER = Crossover Error Rate
RBA = Risk Based Authentication
SAML = Security Assertion Markup Language
IDaaS = Identity as a Service
MAC = Mandatory Access Control
RBAC = Role Based Access Control
ACL = Access Control List
MFA = Multi Factor Authentication
-
Verzamelingen & Relaties36
-
Propositie Logica26
-
Statistiek71
-
Big (O) Notation6
-
Data Typen15
-
Bomen en Grafen24
-
C#19
-
SQL20
-
Statistiek V217
-
Software Architecture166
-
Self-Assessment Questions Software Architecture120
-
Architecture Characteristics12
-
Security12
-
Legal and ethics82
-
Legal W114
-
Legal W218
-
Legal W333
-
Legal W416
-
Legal W523
-
Lv237
-
DevOps40
-
Business Process Analysis85
-
Cybersecurity w126
-
Cybersecurity w217
-
Cybersecurity w324
-
Cybersecurity w421
-
Cybersecurity w513
-
Cybersecurity w616
-
Cybersecurity w712
