V4.3.3 Other Access Control Considerations

Requirement:#

Verify the application has additional authorization (such as step up or adaptive authentication) for lower value systems, and / or segregation of duties for high value applications to enforce anti-fraud controls as per the risk of application and past fraud.

Explanation:#

Необходимо опдределить дополнительную авторизацию и распределние полномочий для доступа к криттически ваожному ресурсу со стороны других приложений и систем.

Когда ресурсу предоставляются разрешения, которые обеспечивает доступ к более широкому кругу субъектов, чем требуется, это может привести к раскрытию конфиденциальной информации или изменению этого ресурса. Это особенно опасно, когда ресурс связан с конфигурацией программы или конфиденциальными пользовательскими данными.

Remediation:#

Вот несколько шагов для реализации дополнительной авторизации или разделения обязанностей для обеспечения контроля над мошенничеством:

Определение уровня риска: Оцените уровень риска приложения на основе таких факторов, как ценность данных, частота транзакций и история мошенничества.
Внедрите пошаговую или адаптивную аутентификацию: Для приложений с низким уровнем риска рассмотрите возможность реализации пошаговой или адаптивной аутентификации, где требуемый уровень аутентификации увеличивается в зависимости от уровня риска транзакции. Например, от пользователя может потребоваться предоставить одноразовый код или биометрическое сканирование для крупных транзакций.
Разделите обязанности: для приложений с высоким риском рассмотрите возможность разделения обязанностей, когда разные люди несут ответственность за разные аспекты транзакции. Это может помочь предотвратить мошенничество, требуя, чтобы несколько человек подписывали транзакцию или требовали, чтобы второй человек просматривал и утверждал изменения, сделанные другим пользователем.

Пример реализации поэтапной атентификации

import sys
from typing import Tuple

def authenticate(username: str, password: str, value: int) -> Tuple[bool, str]:
    """Authenticate the user and determine the level of authentication required."""
    user = validate_user(username, password)
    if not user:
        return False, 'Invalid username or password.'
    
    if value >= 100000:
        # High-value transactions require two-factor authentication.
        if '2fa_token' not in user:
            return False, 'Two-factor authentication required for high-value transactions.'
        if not validate_2fa(user['2fa_token']):
            return False, 'Invalid two-factor authentication token.'
    
    return True, 'Authentication successful.'

def transfer(username: str, password: str, recipient: str, value: int) -> str:
    """Initiate a bank transfer."""
    authenticated, message = authenticate(username, password, value)
    if not authenticated:
        return message
    
    # Transfer the funds.
    # ...
    
    return 'Transfer successful.'

def validate_user(username: str, password: str) -> dict:
    """Validate the user credentials."""
    # Query the database to retrieve the user.
    # ...
    
    return user

def validate_2fa(token: str) -> bool:
    """Validate the two-factor authentication token."""
    # Validate the token against the 2FA service.
    # ...
    
    return valid

Этот код определяет функцию аутентификации, которая проверяет учетные данные пользователя и определяет требуемый уровень аутентификации на основе значения транзакции. Для крупных транзакций код требует, чтобы пользователь предоставил токен двухфакторной аутентификации. Функция передачи вызывает функцию аутентификации и инициирует передачу только в том случае, если пользователь аутентифицирован. Этот код можно расширить для реализации разделения обязанностей или для интеграции с более продвинутым решением для поэтапной или адаптивной аутентификации.

Additional:#

https://cwe.mitre.org/data/definitions/732.html