Skip to content ↓ | Skip to navigation ↓

Access control is one of those topics that often means different things to different people. In its most basic form, it is simply the “restriction of access to a resource.” Unfortunately, as you drill down into what that actually means for your organization, things usually get muddy.

For some people, it is simply selectively granting user access to accounts based on the authenticated user identity; for others, based on user roles; yet for others, based on clearances. For some, it’s about locking down a network based on VLANs – so it’s not about users, but rather about machine-to-machine interactions.

And, there are also many access control techniques that are not concerned with controlling access based on what’s allowed (white-listing), but rather what’s not allowed (black-listing) like web application security tools that filter potential traffic.

If you add it all up across a typical IT organization, access control is practically everywhere, and it’s very different in many places.

Enter “access policy” – most access control approaches rely on a policy to be specified by security professionals. Especially for white-listing approaches, this policy is usually organization-specific.

Black-listing is often easier because unwanted access (e.g. malware) is often unwanted for every user of the access control technology. So, while black-listing forms a great security baseline by keeping some unwanted access out, real access control is usually only achieved with additional white-listing based on the particular security requirements the organization has.

This is where things get difficult. On the one extreme, the access control approach is simple, well-known and manageable, such as:

  • Identity-based access control (IBAC) – the requester authenticates and then gets all-or-nothing access
  • Role-based access control (RBAC) – the requester authenticates and provides a role, and gets access based on the role
  • Multi-level security (MLS) – the requester has a clearance level and only gets into resources that have no higher classification level than the requester’s clearance, etc.

The problem with those approaches is that they are almost always too simplistic to actually enforce the policy that matters to the organization. For example, HIPAA requires that a covered entity make reasonable efforts to limit itself to “the minimum necessary to accomplish the intended purpose of the use, disclosure, or request.”

Such generic (let’s call them “high-level”) policies are human-intuitive, but really not readily implementable using traditional, simple access control approaches like IBAC, RBAC, MLS (or any black-listing).

Instead, they will need to be re-interpreted into something more “low-level” (and complex) that can actually be technically implemented, such as “nurses should only get access to patient records of patients who are registered with the treating physician the nurse is currently working for, and only if the nurse and the patient are in the same building.” Such access policies are often very complex, detailed, dynamic, and contextual.

Many advanced access control approaches have been devised over the last 10-15 years to support such complexities. These include: attribute-based access control (ABAC) – where (in simplistic terms) access is determined based on rules and attributes about requesters, resources and context; risk-adaptive access control, where access changes based on calculated risk; proximity-based access control, business process based access control, history-based access control, etc.

Bridging that “semantic gap” between those human-intuitive “high-level” policies on the one hand, and the technically implementable “low-level” policies usually get challenging. Correctly implementing such (and other) advanced access control policies requires a very good understanding of:

  • Today’s increasingly complex security policy requirements and how they impact technical access control implementation
  • The impact of more and more complex IT environments, such as cloud, IoT etc. on access policy
  • The available advanced access control approaches with their benefits and (complexity) challenges
  • Approaches and processes to manage advanced access policies despite the complexity and dynamicity
  • Understanding of which advanced access controls are most suitable for which use case (e.g. enterprise, big data, cloud, IoT)

In the pursuit of educating practitioners in the access control policy implementation space, I’ll be giving an introduction into what it takes to implement and manage advanced access controls at BSidesSF.

In this quite technical session attendees will learn: why access control policy implementation in 2016 is more complex than you may think, why traditional access control mechanisms are often insufficient, which new approaches are available, and are suitable for what IT/business environment.

 

Ulrich LangAbout the Author: Dr. Ulrich Lang is Founder & CEO of ObjectSecurity, a security policy automation company. He is a renowned access control expert with over 20 years in InfoSec (startup, large bank, academic, inventor, technical expert witness, conference program committee, proposal evaluator/reviewer etc.). Over 150 publications/presentations InfoSec book author. PhD on access control from Cambridge University (2003), a master’s in InfoSec (Royal Holloway). Co-founder, co-inventor and CEO of ObjectSecurity (Gartner “Cool Vendor 2008”), an innovative InfoSec company that focuses on making security policies more manageable. He is on the Board of Directors of the Cloud Security Alliance (Silicon Valley).

Editor’s Note: The opinions expressed in this and other guest author articles are solely those of the contributor, and do not necessarily reflect those of Tripwire, Inc.

 

Title image courtesy of ShutterStock

Endpoint Detection & Response For Dummies
  • Ayr Müller Gonçalves

    Tradução do artigo para o português:
    O controle de acesso é um daqueles temas que muitas vezes significa coisas diferentes para pessoas diferentes. Na sua forma mais básica, é simplesmente a “restrição de
    acesso a um recurso.” Infelizmente, como você vai detalhar essas copisas e o que isso realmente significa para a sua organização gerlamente é nebuloso.
    Para algumas pessoas, é simplesmente a concessão seletivamente de acesso do usuário à contas com base na identidade do usuário autenticado; para os outros, com base em funções do usuário; ainda para outros, com base em autorizações. Para alguns, trata-se de bloquear uma rede baseada em VLANs – por isso não é sobre os usuários, mas sim sobre as interações máquina-à-máquina.
    E, também existem muitas técnicas de controle de acesso que não estão preocupadas com o controle de acesso com base no que é permitido (white-listing), mas sim com o que não é permitido (black-listing) como ferramentas de segurança de aplicativos web que filtram o tráfego potencial.
    Se você soma tudo isso através de uma típica organização de TI, o controle de acesso é
    praticamente em todos os lugares e é muito diferente em muitos lugares. Inserir “política
    de acesso” – a maioria das abordagens de controle de acesso dependem de uma política a ser especificada por profissionais de segurança. Especialmente para abordagens de white-listing, esta política é geralmente específica da organização.
    Black-listing é geralmente mais fácil porque o acesso indesejado (por exemplo: malware) é muitas vezes indesejável para todos os usuários da tecnologia de controle de acesso. Assim, enquanto o black-listing forma uma grande base de segurança, mantendo algum acesso indesejado fora, o controle de acesso real é normalmente só alcançado com uma white-listing adicional com base nos requisitos especiais de segurança que a organização tem.
    Este é o lugar onde as coisas ficam difíceis. Por um extremo, a abordagem do
    controle de acesso é simples, bem conhecida e controlável, como por exemplo:
    Controle de acesso baseado na identidade(IBAC) – o solicitante autentica e em seguida, recebe o acesso de tudo ou nada.
    Controle de acesso baseado em função(RBAC) – o solicitante autentica e fornece um papel, e obtém acesso com base na função.
    Multinível de segurança(MLS) – o solicitante tem um nível de autorização e só acessa
    recursos que não têm um nível mais elevado de classificação de autorização do solicitante, etc.
    O problema com essas abordagens é que elas são quase sempre demasiado simplistas para efectivamente executar a política que é importante para a organização. Por exemplo, HIPAA exige que uma entidade abrangida faça esforços razoáveis para
    limitar-se ao “mínimo necessário para cumprir a finalidade do uso, divulgação ou solicitação.”
    Tais políticas genéricas (vamos chamá-las de “alto nível”) são humano-intuitivas, mas realmente não são facilmente implementáveis usando simples abordagens de controle de acesso tradicionais, como IBAC, RBAC, MLS (ou qualquer de black-listing).
    Em vez disso, elas terão de ser reinterpretadas em algo mais “baixo nível” (e complexo), que na verdade pode ser tecnicamente implementadas, como “enfermeiras que só devem ter acesso aos prontuários dos pacientes que são registrados com o médico responsável pelo tratamento para qual a mesma está atualmente
    trabalhando, e somente se, a enfermeira e o paciente estão no mesmo edifício.”Tais políticas de acesso são frequentemente muito complexas, detalhadas, dinâmicas e contextuais.
    Muitas abordagens de controle de acesso avançadas têm sido desenvolvidas ao longo dos últimos 10-15 anos para apoiar essas complexidades. Estas incluem: controle de
    acesso baseado em atributos (ABAC) – onde (em termos simplistas) o acesso é determinado com base em regras e atributos sobre os solicitantes, recursos e contextos; risco-adaptativo de controle de acesso, onde as mudanças de acesso baseadas em risco calculado; controlede acesso baseado na proximidade, controle de acesso baseado processos de negócios, controle de acesso baseado em histórico, etc.
    Eliminar a distância desse “gap semântico” entre essas políticas humano-intuitivas “de alto nível”, por um lado, e as políticas tecnicamente implementáveis de “baixo nível” geralmente é desafiador.
    Implementar corretamente essas (e outras) políticas avançadas de controle de acesso requerem uma boa compreensão de:cada vez mais complexos requisitos da política de segurança de hoje e como elas impactam a técnica implementação de controle de acesso; o impacto de mais e mais ambientes complexos de TI, como a nuvem, a internet das coisas etc. sobre a política de acesso.
    O controle de acesso avançado disponível se aproxima com seus benefícios e desafios (complexidade).
    Abordagens e processos para gerenciar as políticas de acesso avançados, apesar da complexidade e dinamicidade.
    Compreensão de qual controle de acesso avançado são mais adequados para cada caso de uso (por exemplo, a empresa, big data, nuvem, a Internet das coisas)
    Na busca de educar os profissionais no controle de acesso no espaço de
    implementação de políticas, eu vou estar dando uma introdução para o que é preciso para implementar e gerenciar os controles de acesso avançados na BSidesSF.
    Neste participantes da sessão bastante técnicos irão aprender: por que a implementação de políticas de controle de acesso em 2016 é mais complexa do que você pode pensar, porque os mecanismos de controle de acesso tradicionais são muitas vezes insuficientes, que novas abordagens estão disponíveis, e são adequadas
    para o ambiente de TI / negócio.