cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
gwebber
Newcomer II

Esame CISSP - domande tecniche

[GW Question1].Associazione tra Bell-Lapadula (o Biba) e il Mandatory Access Control: non capsisco cosa c’entrino, mi sembrano definizioni a livelli diversi. Mi spiego meglio: il fatto di avere un no-read-up o no-write-down, non significa che quel modello sia imposto a livello centrale dal data owner, potrebbe essere definita anche in base a ruoli ed altro. Cose mi sfugge?

27 Replies
gwebber
Newcomer II

[GW Question 2] Lattice-based: cercando su internet non sono riuscito a capire la corrispondenza tra la definizione…ed I modelli Bell-Lapadula e Biba, che venivano descritti come tali dal teacher Roberto Bonalumi al corso.

gwebber
Newcomer II

[GW Question 3] Data owner, data custodian, e MAC
Se io mi iscrivo a Facebook e accetto I loro termini e condizioni, FB è accountable per I miei dati e quindi è il data owner. Se la sicurezza del sistema è delegata ad un’azienda terza, questa rappresenta il data custodian, è corretto? Anche il GDPR mette enfasi nel non poter spostare l’accountability su una terza parte quando tu come FB scrivi I termini della privacy, e quindi le definizioni tornano. Confermi?
Nel MAC = mandatory access control, si dice che l’owner definisce I livelli di sicurezza a discrezione, per ogni singolo oggetto. Questo è un concetto applicabile solo all’interno di un’azienda, o è estendibile all’esempio di sopra? Faccio fatica a collegare I concetti in un contesto più ampio.

gwebber
Newcomer II

[GW Question 4] Differenza tra chosen plaintext attack e chosen ciphertext attack? In entrambi si parla di avere plain e ciphertext di messaggi specifici. Inoltre, nel libro non si parla di avere l’algoritmo. Si ha oppure no?

gwebber
Newcomer II

[GW Question 5] Il senso concettuale dei ring per dare più o meno privilege /acesso alle risorse alle applicazioni mi risulta chiaro, quello che non capisco è come combinare il concetto con un Sistema operativo in layers. Nel senso: se un applicazione deve passare per l’OS che gestirà per l’applicazione stessa le risorse, l’I/O, etc, che senso ha allora un ring? Mi sembrano 2 modelli paralleli ed alternativi l’uno all’altro

gwebber
Newcomer II

[GW Question 6] Vedete una reale differenza tra configuration management e hardening? Credo le due definizioni si sovrappongano parecchio. Forse l’hardening è un caso specifico di configuration management?

gwebber
Newcomer II

[GW Question 7] IPSec. in riferimento alla domanda 74 della simulazione d’esame, non capisco perché solo il transport mode offra e2e encryption. La condizione per averla è che I router nel mezzo non debbano decifrare e incapsulare nuovamente, e sembrerebbe che il payload dentro ESP possa restare incapsulato e cifrato in entrambi I modi? Cosa mi sfugge?

gwebber
Newcomer II

[GW Question 8] Nel dominio 1, faccio fatica a categorizzare I vari tipi di documenti/standard proposti per categorie.

Vedo:

- Security architecture frameworks: per visualizzare ad alto livello tutti I processi all’interno di un’azienda ed usare quella chiarezza per valutarne poi I rischi

- Risk management: applicazione dei principi di rischio in un contesto di costo opportunità, con output finale, l’applicazione o meno di controlli

- Process management: per esempio il CMMI, per ottimizzare il mio processo di sviluppo

- Standards usati dagli auditor

Hanno senso? Vedo tuttavia un overlapping, per esempio: attuando la job rotation (process) stai riducendo il rischio che licenziando un impiegato, il processo “sw development” rallenti molto (risk). Oppure: se uno standard è usato da un auditor, avrà un suo scopo che cade nelle altre categorie.

Un’immagine come questa dalle tue slide per esempio mi confonde parecchio, perché comprende vari elementi diversi:

gwebber_0-1615151574139.png

 

 

gwebber
Newcomer II

[GW Question 9] System owner vs data custodian: leggendo la definizione di system owner, sembra che a lei spetti il processare dati di più applicazioni, che compongono un Sistema appunto. Quali sono le differenze principali con un data custodian, che anche deve processare i dati e implementare quanto prescritto dal data owner?

RobertoBonalumi
Newcomer III

[GW Question 1] BLP e Biba sono modelli abbastanza rigidi e si basano sul fatto che vengano assegnate delle etichette sia ai dati che agli utenti o sistemi; tale assegnazione però è centrale, ovvero il modello non prevede discrezionalità nella generazione e nell’assegnazione di tali etichette. D’altronde sono stati i primi modelli a essere ideati (BLP è degli anni 70), quindi erano per forza di cose più semplici e più adatti ad una informatica basata su una elaborazione centralizzata. Quindi è vero che le idee alla base dei modelli potrebbero essere utilizzate anche in contesti diversi, ma quei modelli prevedono una gestione centralizzata.