K書筆記本-Access controls(06)

存取控制是透過使用者的存取過程必須被管理,那麼,有沒有更加有效的管理方式呢?
當然有,再利害的駭客,你給他的輸入界面只能輸入0~9、enter和backspace的鍵盤(Physically constrained user interfaces)
他還能有辦法在鍵盤上輸入數字以外的攻擊手法嗎???

存取控制是透過使用者的存取過程必須被管理,那麼,有沒有更加有效的管理方式呢?
當然有,再利害的駭客,你給他的輸入界面只能輸入0~9、enter和backspace的鍵盤(Physically constrained user interfaces)
他還能有辦法在鍵盤上輸入數字以外的攻擊手法嗎???

資安首重於人,管人就必須有效的管理使用者行為,其中限制使用者的操作界面是最常見的做法
例如透過Menu,依照使用者所登入的權限不同,僅開放給予使用的選單及資源,那麼減少了與敏感、機密資料接觸的機會
自然要發生未經授權的存取資料也不容易發生。
資料庫的部份透過db views的功能(又稱為VBAC;View based access control)這種限制方式是當使用者必須存取資料庫
僅給使用者看一些與工作內容有關聯的動態資料時可以提供least privilege的限制,僅給最少可以使用的資源來完成他的工作。
如果再不行,還有加密這一條路,當使用者要存取讀取的資料時,所有的資訊均被指定的使用者將資料加密了
那麼,使用者將無法存取較機密的資料。

講到了存取控制難免有因為架構劃分為集中式及分散式架構,在集中式架構中不乏有3A(Authentication, Authorization, Accounting)架構的各項存取控制技術
像是RADIUS(使用UDP傳遞,僅支援同步驗證), TACACS+(由Cisco發展,為確保遠端存取控制系統,且支援多重驗證,使用者可以自行更變密碼,
以TCP傳遞做為基礎), Diameter(使用UDP支援PPP…等連線方式,支援手持設備,由SUN開發),分散式則不適合各地分公司的方式,且無法提供一次性認證
因此,在本項架構中,為使維護便利,多數均採用集中式管理,但必須做好職務輪調及職責分工。

為了避免有違反完整性的問題產生,多數會採用IDS(Intrusion Detection Systems)來做為偵查、IPS(Intrusion Prevention Systems)做為系統保護
導入IDS的效益是可永確保入侵管理控制,避免風險被擴大,偵測其它安全機器可能有未防護或違反的事項,更準確的掌握問題避免攻擊者的入侵,
更可產生文件供企業去分析威脅,確保取得的證據以供爾後法庭上對已攻擊成功的證據。

當然IDS目前的形態很多,但若要拿來細分又分為三類,在此提醒各位,IDS是入侵偵測系統,重點是在於存取控制中的七大類型的偵測,而非預防
其中IDS又分為有Network-based IDS(NIDS)、Host-based IDS(HIDS)及Application-bassed IDS
NIDS是分析及監視網路封包內容,但所謂的NIDS僅能分析到網路第三層的封包,因此對於第七層的攻擊,則無法分析出來,而且對於已加密的封包也是束手無策。
HIDS是分析單一台電腦它並不是建構在HIDS之上的IDS,是一種另外類型的IDS,他可以偵測到主機上是否安全的傳遞資料,
包含已加密的資料亦可被檢查的出來是否包含有害的資訊,並且找出帶有惡意程式呼叫的指令。
AIDS不是愛滋病,是指HIDS的一種子分類,它是可以應用在在定應用程式使用的傳遞log的分析,
他能偵測已授權使用者,是否正在利用可用的資料或應用程式做惡意的行為,進而監看使用者使用程式的入侵行為,
它亦可以掌握加密的資訊,並而找出終端的所在位址,是一種能偵測木馬或是軟體惡意的篡改。

IPS則是兩項分類Host based IPS(HIPS)及Network based IPS(NIPS),HIPS與HIDS最大的差別就在於IPS是執行保護已知的攻擊行為,
NIPS則又叫做在線式的IDS或者是閘道式IDS,也有人稱它是防火牆,但它與防火牆最大的不同在於,防火牆是採用ACLs做為資源應用的規則,
而IPS則可依照兩種分類技術來達成保護的作用:Content-based, rate-based。
Content-based利用所分析出來的協定特徵,去比對偵測到的封包是否包含惡意內容。
Rate-based不像Content-based,主要是觀注在傳輸流上不正常的封包傳遞的內容,監視傳送的過程中去統計違規的內容值,
當在短時間之內傳遞了大量的有害資訊,則會被終止連線,但…此比率則必須視所定義的門檻值多高而定,低一點的,即使連慢速度的攻擊也會被偵查到
但是有可能造成誤判。

以上不管是IPS/IDS都是經過分析來找出有問題的封包,然而分析引擎就決定了它的效率及能力,Analysis engine methods共分為:Pattern (Signature) Based、
Anomaly based、Heuristic Scanning,其中Pattern based又分為pattern matching及stateful matching,Pattern matching是利用掃描封包的內容去偵測,
如果有連續的封包有特定的內容,與特徵內容相同的攻擊則可認定為有害的內容。Stateful Matching則是檢視連結的封包中,找出跨多個封包中在傳的資料流中
有更多符合的特徵資料庫中的惡意資訊,因此pattern是針對已知的攻擊。
Anomaly Based是由Statistical(統計)、traffic(傳遞)、protocol(協定)所組成,經由統計非正常的傳遞動作來找出未知的攻擊行為,
而傳遞則可識別任何一種不可接受的訊號,以偵測出未知的攻擊及詐欺。協定則是透過標準的協定規範去識別出攻擊者有違反的資訊,
本項則無使用特徵性的特點。
最後,配合上Heuristic scanning(啟發式掃描),適用以上各種偵測及防設,更勝於上列的幾種分析引擎,以上的觀念應用於防毒軟體上,
亦是現在的各廠商極力的研發防堵未發現的病毒類型也可以在第一時間即時的攔截到。最後IDS/IPS是為了保護網路的安全及防護,不論是異常的內容、回應的機制,甚至警報的類型都是需要被7X24的管理,有好的監控才有好的安全環境。

存取控制還必須保證些什麼呢?稽核軌跡及評估的工具,在資安中最重要的一個Life cycle就是PDCA,如果沒有做稽核,那麼資安只是為了做而做,
透過更多的評估工具及稽核去找出被入侵的記錄及相關所需的證據,更重要的是關於安全的Clipping level(門檻值),
仔細的稽核各項防護的資訊及各項變更是否有留下變更的記錄。


Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security