Los controles de acceso ha sido relegada a los procesos y la tecnología utilizados para identificar, autenticar y autorizar a los usuarios y aplicaciones. Todo esto debe traducirse en los controles relacionados con la seguridad de los datos. CONTROLES DE ACCESO OBLIGATORIO. (DAC) Son los controles puestos en los datos por el propietario de los datos. El propietario determina quién tiene acceso y qué privilegios tienen. Hoy en día, los DACs son ampliamente utilizados para permitir a los usuarios administrar sus propios datos y la seguridad de esa información. CONTROLES DE ACCESO OBLIGATORIOS (MAC) Los controles determinados por el propietario y el sistema. El sistema aplica controles basados en el privilegio de un sujeto y la sensibilidad de un objeto. En los DAC, el usuario es libre de aplicar controles a discreción del propietario. Los MAC permiten que el sistema se involucre en la asignación de controles que se pueden gestionar de acuerdo con políticas de seguridad. Los MAC son típicamente para sistemas y datos que son altamente sensibles. La asociación de los controles de seguridad de un objeto en base a su clasificación de los sujetos proporciona un sistema seguro que permite el procesamiento multicapa de la información.
los permisos de acceso pueden aplicarse a un objeto
basado en el nivel de autorización dado a un sujeto. LISTAS E CONTROL DE ACCESO (ACL) las ACL se utilizan en el aprovisionamiento de permisos dentro de un sistema dado basado en la política. En la mayoría de los casos, las ACL dentro del sistema se realizan en nombre del usuario o del administrador. La implementacion de ACLs está en el modelo de DAC. Especifica una lista de usuarios a los que se permite el acceso a cada objeto y se implementa a menudo con matrices de control de acceso (ACM). Las ACLs deben estar protegidas adecuadamente contra modificaciones no autorizadas. MATRIZ DE CONTROL DE ACCESO (AMC) Es una estructura de tabla de una ACL. Los sujetos son identificados, así como los objetos, y los permisos se incorporan en la matriz. Se puede usar un ACM para resumir rápidamente qué permisos tiene un objeto para los objetos. Un AMC puede ser útil en el diseño del sistema o de la aplicación para garantizar que la seguridad se incorpore tempranamente en el proceso. CONTRO DE ACCESO BASADO EN REGLAS. El acceso se basa en una lista de reglas que determinan qué accesos deben concederse. Las reglas, creadas o autorizadas por los propietarios del sistema, especifican los privilegios otorgados a los usuarios. CONTROL DE ACCESO BASADO EN FUNCIONES (RBAC) Basa las autorizaciones de control de acceso en las funciones que el usuario puede realizar en una organización. RBAC es una forma de DAC porque las funciones son determinados por los gerentes o de recursos humanos y el acceso es determinado por los propietarios de acuerdo con la política de la empresa. Hay cuatro arquitecturas RBAC básicas: NON-RBAC: Non-RBAC es simplemente un acceso concedido por el usuario a una aplicación o datos mediante la asignación tradicional, como con ACLs. RBAC limitado: limitado RBAC se logra cuando los usuarios se asignan a funciones dentro de una aplicación. Esto también incluye usuarios que están directamente asignados a aplicaciones. RBAC híbrido: El RBAC híbrido introduce el uso de un rol que se aplica a una o más aplicaciones o sistemas. Se asigna un usuario tiene un rol específico dentro de la organización. Cuando el acceso está controlado por roles definidos en la política y luego aplicados a aplicaciones y sistemas. Control de acceso dependiente del contenido. Se basa en el contenido real de los datos. Requiere que el mecanismo de control investigue los datos para tomar la decisión. Interfaz de usuario restringida. Es restringir los usuarios a funciones específicas al no permitirles solicitar funciones o servicios más allá de sus privilegios. Aislamiento temporal (basado en el tiempo). Son aquellos empleados en un momento dado durante una duración predeterminada. Control de acceso centralizado. Es cuando una entidad toma las decisiones de acceso para la organización. Una vez que se toma la decisión los propietarios o sistemas pueden especificar qué sujetos tienen acceso a aplicaciones o datos. Control de acceso descentralizado. Se da a las personas más cercanas al recurso, gerentes de departamento y, a veces, los usuarios. SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSIONES Un sistema de detección de intrusión (IDS) emplea varias técnicas para alertar a las organizaciones de la actividad adversa o no deseada. IDS se puede implementar como un dispositivo de red, como un enrutador, un conmutador, un cortafuegos o un dispositivo dedicado que supervisa el tráfico,denominado ID de red (NIDS). Un sistema de prevención de intrusiones (IPS), está diseñado específicamente para responder en tiempo real a un evento en el sistema o capa de red. IPS puede frustrar no sólo a los atacantes, sino también a los usuarios privilegiados que intentan realizar una acción que no está dentro de la política IDS intenta detectar actividades en la red que evidencian un ataque y advierten del descubrimiento. SISTEMA DE DETECCION DE INTRUSOS (IDS) IDS es un sistema de alerta reactiva que proporciona la información necesaria para guiar a los administradores en la respuesta al ataque. IDS está tratando de detectar la existencia de actividad sospechosa. Las permutaciones de vectores de ataques potenciales y probables son infinitas. En cambio, IPS sólo está preocupado por lo que es posible, definido por la política. Sistema de Detección de Intrusión en Red. Un sistema de detección de intrusos de red (NIDS) es un dispositivo de red que supervisa el tráfico que atraviesa el segmento de red para el cual está integrado. NIDS se incorpora generalmente en la red en una arquitectura pasiva. Un NIDS pasivo aprovecha el acceso de modo promiscuo a la red, lo que le permite obtener visibilidad en cada paquete que atraviesa el segmento de red. Dado que NIDS simplemente supervisa el tráfico, el riesgo de no detectar un evento comienza con el potencial de paquetes perdidos. Un NIDS consume una copia de cada paquete de la red para analizar el contenido y su función en una sesión. De este modo, el IDS no interfiere con las comunicaciones existentes y puede realizar diversas funciones de investigación contra los datos . Sistema de Detección de Intrusos basado en Host. Es la implementación de las capacidades de IDS en el nivel de host. Su diferencia es el análisis de detección de intrusiones, y los procesos relacionados se limitan a los límites del huésped. El nivel de integración por HIDS aumenta inherentemente el nivel de visibilidad y control a la eliminación de la aplicación HIDS. También hay IDS multihost que auditan y responden a los datos de múltiples hosts y actúan sobre ellos. La arquitectura multihost HIDS permite a los sistemas compartir información de políticas y datos de ataque en tiempo real. HIDS puede consumir cantidades excesivas de CPU y memoria para funcionar eficazmente, especialmente durante un evento. METODOS DEL MOTOR DE ANÁLISIS. Existen dos métodos de análisis básicos: la concordancia de patrones y la detección de anomalías. La correspondencia de patrones es cuando se conoce un vector de ataque y el sistema produce una alerta si se detecta el patrón. La detección de anomalías es algo más complicada, ya que utiliza diferentes tácticas para sacar conclusiones sobre si el tráfico representa un riesgo para la red o el host. Un IDS basado en anomalías tiende a producir más datos porque se informa de cualquier cosa fuera del comportamiento esperado. Una ventaja es que son capaces de detectar nuevos ataques que pueden ser pasados por alto por un sistema basado en firma.