topic Re: Esame CISSP - domande tecniche in Italy Chapter Discussion Forum

Esame CISSP - domande tecniche

gwebber — Sun, 07 Mar 2021 21:06:39 GMT

[GW Question1].Associazione tra Bell-Lapadula (o Biba) e il Mandatory Access Control: non capsisco cosa c’entrino, mi sembrano definizioni a livelli diversi. Mi spiego meglio: il fatto di avere un no-read-up o no-write-down, non significa che quel modello sia imposto a livello centrale dal data owner, potrebbe essere definita anche in base a ruoli ed altro. Cose mi sfugge?

Re: Esame CISSP - domande tecniche

gwebber — Sun, 07 Mar 2021 21:07:16 GMT

[GW Question 2] Lattice-based: cercando su internet non sono riuscito a capire la corrispondenza tra la definizione…ed I modelli Bell-Lapadula e Biba, che venivano descritti come tali dal teacher Roberto Bonalumi al corso.

Re: Esame CISSP - domande tecniche

gwebber — Sun, 07 Mar 2021 21:07:32 GMT

[GW Question 3] Data owner, data custodian, e MAC
Se io mi iscrivo a Facebook e accetto I loro termini e condizioni, FB è accountable per I miei dati e quindi è il data owner. Se la sicurezza del sistema è delegata ad un’azienda terza, questa rappresenta il data custodian, è corretto? Anche il GDPR mette enfasi nel non poter spostare l’accountability su una terza parte quando tu come FB scrivi I termini della privacy, e quindi le definizioni tornano. Confermi?
Nel MAC = mandatory access control, si dice che l’owner definisce I livelli di sicurezza a discrezione, per ogni singolo oggetto. Questo è un concetto applicabile solo all’interno di un’azienda, o è estendibile all’esempio di sopra? Faccio fatica a collegare I concetti in un contesto più ampio.

Re: Esame CISSP - domande tecniche

gwebber — Sun, 07 Mar 2021 21:07:47 GMT

[GW Question 4] Differenza tra chosen plaintext attack e chosen ciphertext attack? In entrambi si parla di avere plain e ciphertext di messaggi specifici. Inoltre, nel libro non si parla di avere l’algoritmo. Si ha oppure no?

Re: Esame CISSP - domande tecniche

gwebber — Sun, 07 Mar 2021 21:08:01 GMT

[GW Question 5] Il senso concettuale dei ring per dare più o meno privilege /acesso alle risorse alle applicazioni mi risulta chiaro, quello che non capisco è come combinare il concetto con un Sistema operativo in layers. Nel senso: se un applicazione deve passare per l’OS che gestirà per l’applicazione stessa le risorse, l’I/O, etc, che senso ha allora un ring? Mi sembrano 2 modelli paralleli ed alternativi l’uno all’altro

Re: Esame CISSP - domande tecniche

gwebber — Sun, 07 Mar 2021 21:08:17 GMT

[GW Question 6] Vedete una reale differenza tra configuration management e hardening? Credo le due definizioni si sovrappongano parecchio. Forse l’hardening è un caso specifico di configuration management?

Re: Esame CISSP - domande tecniche

gwebber — Sun, 07 Mar 2021 21:08:51 GMT

[GW Question 7] IPSec. in riferimento alla domanda 74 della simulazione d’esame, non capisco perché solo il transport mode offra e2e encryption. La condizione per averla è che I router nel mezzo non debbano decifrare e incapsulare nuovamente, e sembrerebbe che il payload dentro ESP possa restare incapsulato e cifrato in entrambi I modi? Cosa mi sfugge?

Re: Esame CISSP - domande tecniche

gwebber — Sun, 07 Mar 2021 21:13:05 GMT

[GW Question 8] Nel dominio 1, faccio fatica a categorizzare I vari tipi di documenti/standard proposti per categorie.

Vedo:

- Security architecture frameworks: per visualizzare ad alto livello tutti I processi all’interno di un’azienda ed usare quella chiarezza per valutarne poi I rischi

- Risk management: applicazione dei principi di rischio in un contesto di costo opportunità, con output finale, l’applicazione o meno di controlli

- Process management: per esempio il CMMI, per ottimizzare il mio processo di sviluppo

- Standards usati dagli auditor

Hanno senso? Vedo tuttavia un overlapping, per esempio: attuando la job rotation (process) stai riducendo il rischio che licenziando un impiegato, il processo “sw development” rallenti molto (risk). Oppure: se uno standard è usato da un auditor, avrà un suo scopo che cade nelle altre categorie.

Un’immagine come questa dalle tue slide per esempio mi confonde parecchio, perché comprende vari elementi diversi:

Re: Esame CISSP - domande tecniche

gwebber — Sun, 07 Mar 2021 21:14:22 GMT

[GW Question 9] System owner vs data custodian: leggendo la definizione di system owner, sembra che a lei spetti il processare dati di più applicazioni, che compongono un Sistema appunto. Quali sono le differenze principali con un data custodian, che anche deve processare i dati e implementare quanto prescritto dal data owner?

Re: Esame CISSP - domande tecniche

RobertoBonalumi — Mon, 08 Mar 2021 08:34:50 GMT

[GW Question 1] BLP e Biba sono modelli abbastanza rigidi e si basano sul fatto che vengano assegnate delle etichette sia ai dati che agli utenti o sistemi; tale assegnazione però è centrale, ovvero il modello non prevede discrezionalità nella generazione e nell’assegnazione di tali etichette. D’altronde sono stati i primi modelli a essere ideati (BLP è degli anni 70), quindi erano per forza di cose più semplici e più adatti ad una informatica basata su una elaborazione centralizzata. Quindi è vero che le idee alla base dei modelli potrebbero essere utilizzate anche in contesti diversi, ma quei modelli prevedono una gestione centralizzata.

Re: Esame CISSP - domande tecniche

RobertoBonalumi — Mon, 08 Mar 2021 08:28:26 GMT

[GW Question 2] Prendo da “The official (ISC)2 CISSP CBK reference” quinta edizione:

“A lattice is a finite set with a a partial ordering. A partial ordering is a binary relation thet is reflexive, anti-symmetric and transitive that need not apply to all, or any, pairs of items. Reflexive means that each item in the set is related (i.e. equal) to itself. Anti-symmetric means that if a R b, and b R a, then a and b are the same. Transitive means that if a R b and b R c, then a R c.”

A parte la definizione matematica, quello che conta viene dopo:

“In short, a lattice security model does the following:
• Defines a set of security levels
• Defines a partial ordering of that set
• Assigns every subject (e.g. user or process) and object (e.g. data) a security level
• Defines a set of rules governing the operations a subject can perform on an object based on the relationship between the security levels of the subject and object”

Quindi BLP e Biba sono lattice-based.

Re: Esame CISSP - domande tecniche

RobertoBonalumi — Mon, 08 Mar 2021 08:29:13 GMT

[GW Question 3] Confermo il primo punto; tieni presente però che il data owner potrebbe in generale non essere una intera azienda, ma potrebbe essere solo il responsabile per l’acquisizione o l’approvvigionamento di un insieme di dati (anche non privacy), quindi le sue responsabilità sono limitate ai dati di sua competenza. Inoltre il data owner decide anche per altri aspetti, oltre che la classificazione: valore, tempi di retention, etc.

Il MAC è un modello che implica forte centralizzazione, infatti si applica tipicamente a contesti militari o simili (FBI etc.), dove tutte le informazioni e gli utenti sono fortemente classificati. Tipicamente non si applica in un contesto “civile”. Puoi vederla così: se implementi il MAC, il data owner è la figura (unica) che decide per la classificazione dei dati. Se non implementi il MAC, puoi avere tanti data owner, che decidono per la classificazione, presumibilmente seguendo una policy aziendale, ma ognuno con la sua testa e con la sua conoscenza dei dati che tratta e di cui è responsabile. Se si tratta di dati privacy, inoltre, so sovrappone la responsabilità imposta dalle normative privacy, GDPR o altro, che ricadono sull’azienda indipendentemente da quanti data owner questa abbia definito.

Re: Esame CISSP - domande tecniche

RobertoBonalumi — Mon, 08 Mar 2021 08:29:44 GMT

[GW Question 4] Nel chosen plaintext scegli un testo in chiaro, lo sottoponi al sistema cifrante e ne studi l’output cifrato.
Nel chosen ciphertext scegli un testo cifrato (non chiedermi come fai a sapere che è cifrato), lo sottoponi al sistema decifrante e studi l’output in chiaro.
In generale hai un sistema cifrante o decifrante, non hai altre informazioni; tieni presente che sono delle schematizzazioni teoriche, in un attacco vero ti servono maggiori informazioni (ad esempio: come fai a sapere che un testo cifrato è stato cifrato con quel sistema?)

Re: Esame CISSP - domande tecniche

RobertoBonalumi — Mon, 08 Mar 2021 08:30:12 GMT

[GW Question 5] Sono paralleli ma non alternativi, anzi si complementano: se non ci fossero i ring di protezione, un processo avrebbe la possibilità di accedere a tutta la memoria (anche a quella di un altro processo) o di eseguire tutte le operazioni di un processore. In un certo senso, la protezione dei ring impone ad un processo di sfruttare il layer del sistema operativo sottostante, altrimenti non riuscirebbe a compiere quelle operazioni (privilegiate) di cui ha bisogno.
In generale, l’uso dei layer (che possono essere più dei due processo/sistema operativo) garantisce di poter scrivere applicazioni che si possono adattare meglio all’hardware o che comunque nascondono i dettagli sottostanti; anche il sistema operativo complessivamente è composto da vari layer; il sistema dei ring invece è un meccanismo che limita ciò che può essere fatto. Tra parentesi, i ring richiedono un sistema operativo che li utilizzi effettivamente: se fai girare MS-DOS su un processore attuale, i ring non funzionano…

Re: Esame CISSP - domande tecniche

RobertoBonalumi — Mon, 08 Mar 2021 08:30:46 GMT

[GW Question 6] Pesco la definizione di CM da un testo che parla di ITIL: il CM si occupa di fornire informazioni certe ed aggiornate sulla infrastruttura IT e sulle relazioni esistenti tra questi dispositivi; inoltre il CM richiede processi per registrare e gestire i cambiamenti di configurazione. Tipicamente il CM si basa sui CMDB, che tengono traccia di tutti i Configuration Item (CI), con la loro configurazione, i servizi che erogano, la documentazione, le modalità di DR etc. etc.
All’interno di un CMBD ad esempio potresti memorizzare su quali CI hai applicato un certo template di hardening, su quali non lo hai applicato e perché, e così via. Diciamo che il CM è un processo gestionale (infatti è un processo ITIL), l’hardening ha uno scopo più limitato.

Re: Esame CISSP - domande tecniche

RobertoBonalumi — Mon, 08 Mar 2021 08:31:34 GMT

[GW Question 7] La differenza è che il transport mode viene normalmente implementato a livello di singolo host, mentre il tunnel mode è tipicamente usato per creare delle VPN site-to-site; inoltre il transport mode cifra solo il contenuto della comunicazione (che è il requisito della domanda), mentre il tunnel mode cifra tutto (payload + header). Nel caso della domanda quindi il transport mode è più adatto (--> risposta migliore), anche se otterresti lo stesso risultato con il tunnel mode tra le due postazioni.

Re: Esame CISSP - domande tecniche

RobertoBonalumi — Mon, 08 Mar 2021 08:56:34 GMT

[GW Question 8] Fare una categorizzazione esaustiva di tutti questi framework (cerco di usare il termine più generico possibile) è effettivamente difficile, e comunque le sovrapposizioni ci saranno sempre: tutti questi framework infatti sono nati per rispondere a esigenze diverse, in ambiti diversi e con idee e punti di vista diversi. Semplificando un po', il risultato è che dicono tutti un po' le stesse cose, ma lo dicono in modo diverso: che tu segua Cobit, ISO o NIST, la password deve sempre essere lunga e complessa, e meglio sarebbe utilizzare una autenticazione a due fattori.
Quello che cambia, come hai notato tu, è la finalità per cui sono nati questi framework: analizzare i rischi piuttosto che organizzare le funzioni aziendali piuttosto che definire un insieme di processi dimostrabili.
In linea generale, però, tutti questi framework (quelli citati nella slide in particolare) propongono una serie di controlli, più o meno dettagliati, che permettono di raggiungere gli obiettivi del framework stesso. I controlli si assomigliano un po' tutti, le differenze sono nei dettagli, nella selezione (es. ISO 27001 non approfondisce BC/DR, che stanno in un'altra norma ISO, mentre NIST la include), nel campo di applicazione (es. CSA STAR è specifico per il cloud) etc. In questo elenco stona un po' ITIL, che definisce dei processi, non proprio dei controlli, ma sono comunque dei processi la cui esistenza in altri framework diventa un controllo (es. incident management, change management, ...).
E comunque, il bello degli standard è che ce ne sono così tanti che puoi scegliere quello che più ti piace...

Re: Esame CISSP - domande tecniche

RobertoBonalumi — Mon, 08 Mar 2021 09:11:09 GMT

[GW Question 9] Il system owner gestisce e controlla il corretto funzionamento di un sistema, indipendentemente dal fatto che esistano dei dati su quel sistema.
Il data custodian si occupa solo della corretta conservazione dei dati, indipendentemente dal loro utilizzo.
Per semplificare, il data custodian si occupa della statica (data at rest), il system owner della dinamica (data in use).
Ovviamente i due ruoli possono essere sovrapposti, ma con finalità distinte.

Re: Esame CISSP - domande tecniche

zerbo — Mon, 08 Mar 2021 13:34:43 GMT

Ciao, se può essere utile… sul lattice avevo anch’io il dubbio, credo derivato dal fatto che sto “lattice” non riuscivo a capire bene cosa fosse.

A proposito ti giro un articolo che fa vedere bene la struttura a lattice (quel diagramma a strisce incrociate come alcune staccionate dei giardini).

http://www.cs.cornell.edu/courses/cs5430/2011sp/NL.accessControl.html

Nell’articolo si spiega bene anche l’ordinamento del lattice e a quel punto diventa (forse) più chiara la correlazione con i modelli MAC.

Bye,

Re: Esame CISSP - domande tecniche

RobertoBonalumi — Mon, 08 Mar 2021 14:31:32 GMT

Per me il termine lattice è indissolubilmente legato alla struttura del silicio, a causa di questa immagine (tratta da Muller, Kamins, Device electronics for integrated circuits) che strutturalmente ricorda quella dell'articolo che hai riportato. Però alla fine i modelli lattice diventano dei semplici multi-level.