【CISSP备考笔记】第6章：安全评估与测试

第六章：安全评估与测试

6.1 审计策略

信息系统的安全审计是对特定范围的人/计算机/过程和信息的各种安全控制所实施的一个系统性评估。
安全审计流程：确定目标--适合的业务部分领导参与--确定范围--选择审计团队--计划审计--执行审计--记录结果--将结果转达给合适的领导
内部审计
    优点：熟悉内部系统，更容易发现信息系统中的脆弱性
    缺点：可能存在利益性冲突
第三方审计
    优点：带来新知识。保持客观,合规审计必须由外部团队来实施
    缺点：成本高
服务性组织控制审计标准框架（SOC）
    SOC报告类型
        1、SOC1：适用于财务控制
        2、SOC2：适用于信任服务，详细数据，一般不公开
        3、SOC3：适用于信任服务，细节较少，可用于一般公众性目的

6.2 审计技术控制

技术控制是通过使用IT资产来实现的安全控制
脆弱性测试：执行脆弱性测试之前，需要拟定一份书面协议。
    黑盒测试：模拟外部攻击者，可能覆盖不全
    白盒测试：评估更完整，但无法代表外部攻击者行为
    灰盒测试：介于其他两种方法之间，减少白盒或黑盒测试中的各种问题

渗透测试：模拟攻击一个网络及其系统的过程。 渗透过程：发现--枚举--脆弱性映射-利用--向管理层报告。
盲测是评估者仅持有公开可用的数据用于测试，而网络安全人员已获悉测试的发生。
双盲测试是一项在网络安全人员未被通知的情况下进行的盲测。

战争拨号攻击：拨打大量的电话，搜索可用的调制解调器。

其他脆弱性类型
    内核缺陷： 及时安装安全补丁
    缓冲区溢出：
    符号链接：编写程序和特定的脚本，确保无法绕过文件的完整路径。
    文件描述符攻击：
    竞态条件
    文件和目录许可

日志审查
        检查系统的日志文件，以检测各种安全事件或验证各种安全控制的有效性
        防止日志被篡改：远程日志/单向通信/复制/一次性写入介质/加密散列链

综合事务：编写脚本模拟真实用户，系统的测试关键服务的行为和性能。一种测试关键服务的行为和性能的方法。

误用案例测试：各种威胁角色和他们想要在系统上执行的任务用例。

代码审查：系统地检查组成一个软件各部分的指令，并由该代码作者以外的其他人来执行。遵循编码标准。

接口测试：一个被称为集成测试的特例，评估系统的不同部分彼此之间如何进行交互。

6.3 审计管理控制

管理控制通常主要通过策略或流程来实施

账户管理
    盗用现有特权账户:使用强身份验证（例如强密码或双因素验证）/执行特定任务时使用特权账户
    创建新的特权账户
    提升常规用户账户的权限
        密切关注账户创建/修改/暂停来消减

备份验证
    数据类型：用户数据文件/数据库/邮箱数据
    实施备份验证

灾难恢复和业务连续性
    测试和灾难恢复演练应当至少每年进行一次
    结构化的排练性测试：代表聚在一起对计划进行检查。
    模拟测试：根据一个特定场景练习执行灾难恢复计划。逼真。
    并行测试：主备系统一起同时启动。影响最小。
    全中断测试:将原始站点关闭并将业务处理转移到备用站点完成。

安全培训和安全意识培训
    安全培训通常是提供给安全人员，安全意识培训应该提供给组织的每个成员。
    社会工程：网络钓鱼/鱼叉式网络钓鱼（针对特定个人）/捕鲸（针对高级管理人员）/冒充
    上网安全
    数据保护
    文化

关键绩效和风险指标
    关键绩效指标（KPI）：衡量目前情况的进展程度，描述ISMS有效性的一个或多个度量的解释。
    关键风险指标（KRI）：衡量未来情况会差到什么程度，将组织相对其风险偏好的位置告知管理者。

6.5 管理评审

管理评审是高级组织领导层的正式会议，定期发生，并将审计结果作为关键的输入。

---

思维导图：

 

​