W poprzednich dwóch wpisach zdefiniowaliśmy sobie czym jest kontrola dostępu i jak przebiega zarządzanie uprawnieniami. W dzisiejszym wpisie opowiem natomiast o kategoriach i typach kontroli dostępu. Kontrola dostępu nie jest bowiem procesem ograniczającym się do zdefiniowania i egzekwowania uprawnień. Poszczególne kategorie mechanizmów kontrolnych mają swoje zastosowanie na kolejnych etapach przed, w trakcie oraz po wykryciu incydentu bezpieczeństwa.
Fazy stosowania mechanizmów kontrolnych
Osadzając proces kontroli dostępu na osi czasu rozróżnić możemy następujące fazy:
- Planowanie
- Ustanowienie ochrony
- Wystąpienie incydentu
- Wykrycie i reakcja na incydent
- Dostosowanie i przegrupowanie
Kategorie kontroli dostępu
W poszczególnych wymienionych powyżej fazach swoje zastosowanie mają od jednej do dwóch z następujących kategorii mechanizmów kontrolnych:
- Directive controls: mechanizmy zarządcze, czasem też nazywane administracyjnymi. Polegają na zdefiniowaniu akceptowalnych reguł zachowań w danej organizacji. Obejmują m.in. politykę bezpieczeństwa oraz procedury zdefiniowane nie tylko dla pracowników, ale również gości, kontrahentów, dostawców itd.
- Deterrent controls: mechanizmy zniechęcające, mające na celu odstraszyć i zapobiec łamaniu ustalonych reguł. Polegają na prawidłowym zakomunikowaniu ewentualnym intruzom, że w organizacji występują ścisłe reguły podlegające ciągłemu monitorowaniu i egzekwowaniu w przypadku ich naruszenia.
- Preventive controls: mechanizmy prewencyjne mające na celu uniemożliwienie naruszenia dostępu. Tutaj zastosowanie mają m.in. rozwiązania techniczne polegające na uwierzytelnianiu i autoryzowaniu do wykonywania określonych działań.
- Compensating controls: mechanizmy wyrównujące bądź kompensujące brak możliwości zastosowania reguł przewidzianych w polityce bezpieczeństwa. Mają charakter tymczasowy, służący obniżeniu ryzyka związanego z występującym brakiem. Przykładowo: jeśli polityka bezpieczeństwa narzuca konieczność stosowania uwierzytelniania dwuskładnikowego, a nasz system go nie wspiera, mechanizmem kompensującym może być dołożenie dodatkowej warstwy dostępowej, np. VPN.
- Detective controls: mechanizmy mające na celu monitorowanie i wykrycie sytuacji naruszenia dostępu bądź złamania obowiązujących reguł. Odpowiadają za prawidłową identyfikację i zgłoszenie incydentu bezpieczeństwa.
- Corrective controls: mechanizmy naprawcze, mające na celu załagodzenie skutków incydentu, przywrócenie kontroli oraz przywrócenie środowiska do stanu bezpiecznego. Istotny element stanowi wśród nich prawidłowa obsługa incydentu bezpieczeństwa.
- Recovery controls: mechanizmy mające na celu przywrócenie środowiska do normalnej pracy i zakończenie obsługi incydentu.
Typy kontroli dostępu
Kolejnym podziałem, który odnosi się do mechanizmów kontrolnych są typy kontroli dostępu. Rozróżniamy trzy podstawowe:
- Administrative controls. Kontrola administracyjna lub zarządcza. Zawiera w sobie następujące grupy:
- Polityki i procedury (np. zarządzanie podatnościami i aktualizacjami, zarządzanie czasem życia produktu, zarządzanie zasobami sieciowymi itd.), plany ciągłości działania (BCP/DRP)
- Bezpieczeństwo personelu, w tym ocena i weryfikacja personelu
- Polityki bezpieczeństwa
- Monitoring, w tym przegląd i zarządzanie logami
- Zarządzanie dostępem użytkowników, w tym zarządzanie identyfikatorami i hasłami użytkowników
- Zarządzanie uprawnieniami
- Logical (technical) Controls. Kontrola polegająca na egzekwowaniu reguł logicznych z użyciem rozwiązań technicznych. Obejmuje następujące grupy:
- Dostęp na poziomie sieci (ACL, Radius, VLANS, Proxy)
- Dostęp zdalny (VPN)
- Dostęp na poziomie systemu (również dostęp na poziomie plikowym)
- Dostęp na poziomie aplikacyjnym
- Kontrola malware-u (AV, IPS, antyspam)
- Kryptografia
- Physical Controls. Kontrola fizyczna nazywana też czasem operacyjną. Obejmuje strefy dostępu fizycznego.
„Bezpieczna Pigułka” to codzienna, mała dawka wiedzy z zakresu cyberbezpieczeństwa. Wszystkie teksty z tej kategorii znajdziesz TUTAJ.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.