Qual è la differenza tra "access aggregation" e "authorised creep"?

2

Sto studiando per il CISSP e mi sto ammaliando di qualche terminologia. Nello specifico, sono confuso sulla differenza tra aggregazione di accessi e creep di autorizzazione .

In entrambi i casi, mi sembra che i singoli utenti stiano guadagnando più accesso a più sistemi. L'aggregazione degli accessi è considerata accettabile ma l'autorizzazione a creep non lo è?

    
posta Mike B 06.05.2017 - 16:46
fonte

2 risposte

2

Aggregation è una condizione di molti sistemi e progetti di sicurezza e non è un problema inerente. Ma è qualcosa di cui gli amministratori devono essere consapevoli per evitare creep .

Creep si verifica non intenzionalmente e può comportare violazioni dell'accesso autorizzato a seguito di aggregazione .

    
risposta data 07.05.2017 - 09:31
fonte
3

Non sono sicuro se questo è specifico per CISSP, ma dove lavoro i termini significano quanto segue:

Accesso aggregato Gli utenti ottengono più accesso su più sistemi, questo potrebbe essere intenzionale a causa di qualcosa come l'implementazione delle funzionalità di single sign on o non intenzionale, dove vengono concessi nuovi diritti di accesso senza considerare i diritti che hanno già.

Creep di autorizzazione Questo è dove c'è un po 'di sovrapposizione con l'aggregazione degli accessi, quando gli utenti ricevono nuovi o più ampi diritti senza che i loro vecchi diritti vengano revocati.

    
risposta data 07.05.2017 - 05:02
fonte

Leggi altre domande sui tag