ACCESS Control

Domain Objectives • Provide definitions and key concepts • Identify access control categories and types • Discuss access control threats • Review system access control measures

Domain Objectives • Review data access control measures • Understand intrusion detection and intrusion prevention systems • Understand access control assurance methods

Information Security TRIAD Availability Integrity Confidentiality

Domain Agenda • Definitions and Key Concepts • Access Control Categories and Type • Access Control Threats • Access to System • Access to Data • Intrusion Prevention Systems (IPS) & Intrusion Detection Systems (IDS) • Access Control Assurance

Basic Requirements • Security ระบบมีความปลอดภัย • Reliability ระบบมีความน่าเชื่อถือ • Transparency ระบบมีความสะดวกใช้เช่น SSO • Scalability ระบบมีการรองรับการขยาย

Key Concepts Separation of Duties มีการแบ่งแยกการทำงาน • Least Privilege ใช้สิทธิให้น้อยที่สุด • Need-to-know รู้เท่าที่ควรรู้เท่านั้น • Information Classification การแบ่งประเภทของ information เช่น chmod

Information Classification Procedures • Scope ประเภทของความลับ • Process กระบวนการ • Responsibility การรับผิดชอบ • Declassification การเปลี่ยนแปลงสิทธิ เช่นการเปิดซองจดหมาย • Marking and Labeling มีการทำเครื่องหมาย • Assurance การประกันคุณภาพ

Domain Agenda • Definitions and Key Concepts • Access Control Categories and Type • Access Control Threats • Access to System • Access to Data • Intrusion Prevention Systems (IPS) & Intrusion Detection Systems (IDS) • Access Control Assurance

Access Control Categories • Preventive การป้องกันการเข้าถึงข้อมูล • Detective การดักจับ • Corrective การทำให้ถูกต้อง • Directive การทำการคำสั่งเช่น การสั่งให้ login • Deterrent มีมาตรการลงโทษ • Recovery การกู้คืนข้อมูล • Compensating ค่าตอบแทน

Access Control Types • Administrative เชิงบริหาร • Technical (Logical) เชิงเทคนิค • Physical ทางด้านกายภาพ

Access Control Examples

Domain Agenda • Definitions and Key Concepts • Access Control Categories and Type • Access Control Threats • Access to System • Access to Data • Intrusion Prevention Systems (IPS) & Intrusion Detection Systems (IDS) • Access Control Assurance

Access Control Threats • Denial of Service หยุดให้บริการของระบบ • Buffer Overflow ทำให้ buffer ล้น • Mobile Code • Malware (Malicious Software) • Password Crackers • Spoofing/Masquerading แปลง Mac Address • Sniffers ไม่ต้อง install เครื่องที่เป้าหมายก่อน • Eavesdroppers การดักจับข้อมูล

Access Control Threats • Emanations การแพร่กระจายของคลื่น • Shoulder Surfing การมองข้าม • Tapping เช่นการต่อ tel แบบขนาน • Object Reuse เช่น restore recycle bin • Data Remanence ข้อมูลที่หลงเหลือ gabage • Unauthorized Data Mining • Dumpster Diving • Back Door/Trap Door

Access Control Threats • Theft ขโมย • Intruders ผู้บุกรุก • Social Engineering

Domain Agenda • Definitions and Key Concepts • Access Control Categories and Type • Access Control Threats • Access to System • Access to Data • Intrusion Prevention Systems (IPS) & Intrusion Detection Systems (IDS) • Access Control Assurance

System Access Control • Identification เช่น รหัส ชื่อ สกุล • Authentication การตรวจสอบในระบบ • Authorization การมีสิทธิในการทำงานในระบบ • Accountability ความรับผิดชอบต่อระบบ

Identification • Methods กระบวนการที่ได้มาของการควบคุม • Guidelines

Authentication Methods • Knowledge (Something you know) • Ownership (Something you have) • Characteristics (Something you are)

Authentication by Knowledge • Password • Passphrase

Authentication by Ownership • Tokens (One-time Passwords) • Smartcards • Memory Cards

Smart Cards • Contact Smart Cards • Card body • Chip • Contacts • Contactless Smart Cards • Antenna

Authentication by Characteristic • Biometrics • Physiological Biometrics • Behavioral Biometrics • Characteristics • Accuracy • Acceptability • Reaction time

Static Biometric Types • Fingerprint/Palm Print • Hand Geometry • Retina Scan • Iris Scan

Dynamic Biometric Types • Voice Pattern • Facial Recognition • Keystroke Dynamics • Signature Dynamics