Sto studiando per il CISSP e mi sto ammaliando di qualche terminologia. Nello specifico, sono confuso sulla differenza tra aggregazione di accessi e creep di autorizzazione .
In entrambi i casi, mi sembra che i singoli utenti stiano guadagnando più accesso a più sistemi. L'aggregazione degli accessi è considerata accettabile ma l'autorizzazione a creep non lo è?
Aggregation è una condizione di molti sistemi e progetti di sicurezza e non è un problema inerente. Ma è qualcosa di cui gli amministratori devono essere consapevoli per evitare creep .
Creep si verifica non intenzionalmente e può comportare violazioni dell'accesso autorizzato a seguito di aggregazione .
Non sono sicuro se questo è specifico per CISSP, ma dove lavoro i termini significano quanto segue:
Accesso aggregato Gli utenti ottengono più accesso su più sistemi, questo potrebbe essere intenzionale a causa di qualcosa come l'implementazione delle funzionalità di single sign on o non intenzionale, dove vengono concessi nuovi diritti di accesso senza considerare i diritti che hanno già.
Creep di autorizzazione Questo è dove c'è un po 'di sovrapposizione con l'aggregazione degli accessi, quando gli utenti ricevono nuovi o più ampi diritti senza che i loro vecchi diritti vengano revocati.
Leggi altre domande sui tag cissp