CISSP官方学习指南第7版#第1章


=Start=

缘由:

备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。

正文:

参考解答:
第1章 通过原则和策略的安全治理

本章中覆盖的CISSP考试大纲包含:
安全和风险管理(例如安全、风险、合规性、法律、法规、业务连续性)
•A.理解和应用机密性、完整性和可用性的概念
•B.应用安全治理原则,通过:
B.1安全功能与战略、目标、使命和愿景的一致(例如商业案例、预算和资源)
B.2组织的流程(例如并购、剥离和治理委员会)
B.3安全角色和职责
B.4控制架构
B.5应尽关注
B.6应尽职责
•F.开发和实现文档化的安全策略、标准、程序和指南
•J.理解和应用威胁建模
J.1识别威胁(例如竞争对手、供应商、雇员和值得信赖的伙伴)
J.2确定和用图表示潜在攻击(例如社会工程学、欺骗)
J.3执行降低分析
J.4修复威胁的技术和流程(例如软件架构和操作)
•K.把安全风险考虑到收购策略和实践中
K.1硬件、软件和服务
K.2第三方评估和监控(例如现场评估、文件传递和审查、流程/策略审查)
K.3最小化安全需求
K.4服务级别需求

对于CISSP认证考试,在通用知识体(Common Body of Knowledge,CBK)的安全和风险管理知识域中有许多安全解决方案的基本要素要处理。这些基本要素包括安全机制的设计、执行和管理。这个知识域的另外一些要素在第2章”人员安全和风险管理概念”、第3章”业务连续性计划”和第4章”法律、法规和合规性”中讨论。请务必检查所有这些章节中针对这一知识域主题的全部观点。

1.1 理解和应用机密性、完整性和可用性的概念

安全管理概念与原则是安全策略和解决方案部署中的固有元素。它们既定义了安全环境所需的基本参数,也定义了策略设计人员和系统实现人员为创建安全解决方案所必须达到的目的和目标。透彻地理解这些内容,对现实生活中的安全专业人士以及CISSP考生来说是非常重要的。

安全的主要目的和目标被包含在CIA三元组中。CIA三元组是三条主要安全原则的名字,这三条安全原则是:
•机密性(Confidentiality)
•完整性(Integrity)
•可用性(Availability)

对安全控制进行评估时,通常关注是否涉及这些核心的信息安全原则。总的来说,完整的安全解决方案应当充分地涉及所有这些原则。对脆弱性和风险的评估也是基于它们对一个或更多个CIA三元组原则的威胁程度。因此,熟悉这些原则,并使用它们作为评判安全相关问题的指导原则,是一个不错的主意。

这三条原则被认为是安全领域内最重要的原则。然而,每条原则对一个特定的组织究竟有多重要,主要取决于组织的安全目标和需求以及安全性所受到的威胁程度。

1.1.1 机密性

CIA三元组的第一条原则是机密性。如果安全机制提供机密性,那么它就为限制未授权主体不能访问数据、客体或资源提供了高级别保证。如果存在对机密性的威胁,那么就有可能发生未授权的泄漏。机密性和完整性相互依赖。客体如果缺乏完整性,机密性就无法被维护。

1.1.2 完整性

CIA三元组的第二条安全原则是完整性。为了维护完整性,客体必须保持自身的正确性,并且只能由被授权的主体进行有意修改。如果安全机制提供了完整性,那么它就对数据、客体和资源提供了保持原有受保护状态和不被修改的高级别保证,这也包括当客体在存储、传输或处理过程中发生的变更。因此,维护完整性意味着客体本身不会被改变,井且管理和操纵客体的操作系统与程序实体不会受到安全威胁。完整性依赖于机密性。缺乏机密性,也就无法维护完整性。完整性的其他概念、条件和特征包括:准确性、真实性、可靠性、合法性、不可否认性、可问责性、可信任性、完整性以及可理解性。

1.1.3 可用性

CIA三元组的第三条安全原则是可用性。可用性指的是经过授权的主体被及时准许和不间断地访问客体。如果安全机制提供了可用性,那么它就提供了经过授权的主体能够访问数据、客体和资源的高级别保证。可用性包括有效地不间断地访问客体和阻止拒绝服务(Denial-of-Service,DoS)攻击。可用性还意味着支持基础结构(包括网络服务、通信和访问控制机制)的正常运作,并允许经过授权的用户获得被授权的访问。为了在系统中维护可用性,必须进行适当的控制,从而确保被授权的访问和可接受的性能等级、快速处理中断、提供冗余度、维持可靠的备份以及避免数据丢失或破坏。可用性依赖于完整性和机密性。缺乏完整性和机密性,就无法维护可用性。与可用性有关的其他概念、条件和特征包括:使用性、可访问性和时效性。

1.1.4 其他安全概念

除了CIA三元组以外,在设计安全策略和部署安全解决方案时,还需要考虑其他很多与安全有关的概念和原则。这一节主要讨论身份标识、身份认证、授权、审计、可问责性,以及不可否认性。

1.身份标识
身份标识是一个过程,在这个过程中,主体会表明身份,并且开启可问责性。主体必须向系统提供身份,从而启动身份认证、授权和可问责性的过程。提供身份的方式可以是:键入用户名、刷智能卡、挥动接近设备、说出一条短语,或将脸、手或手指置于照相机或扫描设备前。提供ID号的过程也是身份标识过程。如果没有提供身份,那么系统就没有办法将身份认证因素与主体关联在一起。
一旦主体通过身份标识(也就是识别和验证了主体的身份),此身份就对主体今后的行为负责。IT系统根据身份而非主体本身进行跟踪活动。计算机无法区分不同的人,但是却知道不同用户的账户是有区别的。主体的身份通常被标记为或被视为公共信息。然而,简单地声明身份并不意味着访问或授权。在获得授权访问受控资源之前,身份必须被证明或验证。这个过程称为身份认证。

2.身份认证
认证或测试所声明身份合法性的过程就是身份认证。

3.授权
一旦主体通过了身份认证,其访问还必须经过授权。授权的过程确保被请求的活动或客体访问,可以获得通过身份认证和指派的权利和特权。在大多数情况下,系统会评估一个访问控制表,这个表会对主体、客体和预计的活动进行比较。如果允许进行指定的操作,那么主体就获得了授权;反之,主体就没有获得授权。

4.审计
审计或监控是程序化方式,通过这种方式,主体在系统中经过身份认证的行为是可问责的。审计也是对系统中未授权的或异常的活动进行检测的过程。审计不仅会记录主体及其客体的活动,而且还会记录维护操作环境和安全机制的核心系统功能的活动。通过将系统事件记录写入日志而创建的审计跟踪,可以用于评估系统的健康状况和性能。系统崩溃可能表明存在程序错误、驱动器错误或入侵企图。记录系统崩溃起因的事件日志常常被用于发现系统出现故障的原因。日志文件为重建事件、入侵和系统故障的历史提供了审计跟踪。我们需要通过审计来检测主体的恶意行为、入侵企图和系统故障以及重构事件,为起诉提供证据、生成问题报告和分析结果。审计通常是操作系统、大多数应用程序和服务的内在特性。因此,配置系统功能来记录特定类型事件的相关信息非常简单。

5.可问责性
只有在支持可问责性时,才能够正确实施组织的安全策略。换句话说,只有在主体的活动可问责时,才能够保持安全性。有效的可问责性依赖于检验主体身份以及跟踪其活动的能力。通过审计、授权、身份认证与身份标识这些安全服务和机制,将联机身份的活动与某个人联系在一起,就可以建立可问责性。因此,人员的可问责性最终依赖于身份认证过程的强度。如果没有强大的身份认证过程,那么在发生不可接受的活动时,我们就无法确定与特定用户账户相关联的人员就是实际控制该用户账户的实体。
为了获得切实可行的可问责性,在法律上你必须能够支持自己的安全性。如果不能在法律上支持自己的安全努力,那么就不太可能问责与某个用户账户相关联人员的活动。只使用密码进行身份认证,这显然值得怀疑。密码是最不安全的身份认证形式,针对这种形式的不同攻击方式有数十种之多。不过,如果使用多因素身份认证(例女日,组合使用密码、智能卡和指纹扫描),那么其他人几乎不可能通过攻击身份认证过程来假冒特定用户账户的关联人员。

6.不可否认性
不可否认性确保活动或事件的主体无法否认所发生的事件。不可否认性能够防止主体宣称自己没有发送消息、没有执行过某项活动或者不是某个事件的起因。身份标识、身份认证、授权、可问责性和审计使不可否认性成为可能。通过使用数字证书、会话标识符、事务日志以及其他很多传输和访问控制机制,我们能够建立不可否认性。如果没有在系统中构建或正确实施不可否认性,那么就无法认证特定实体是否执行了某种动作。不可否认性是可问责性不可缺少的部分。如果嫌疑人能够否认指控,那么他的行为就无法被问责。

1.1.5 保护机制

理解和启用机密性、完整性和可用性概念的另一方面是保护机制的概念,保护机制是安全控制的常见特性。并非所有的安全控制都必须具有这些机制,但是许多控制通过使用这些机制提供对机密性、完整性和可用性的保护。这些机制包括:使用多层次或多级别的访问、利用抽象、数据隐藏以及使用加密。

1.分层
分层只是简单地使用连续的多重控制,也被称为深层防御。没有一种特定的控制方法能保护并对抗所有可能存在的威胁。使用多层次的解决方案允许引入多种不同的控制方法来应对随时出现的各种威胁。当分层设计安全解决方案时,大多数的威胁都会被消除、缓解或阻挡。
使用连续分层法而不是并行分层法,这一概念非常重要。通过连续方式执行安全限制意味着使用线性的方式依次执行。只有通过一系列配置,才能由每个安全控制对攻击进行扫描、评估或缓解。单个安全控制方法的失败不会使整个解决方案失效。如果安全控制是以并行方式执行的,某个威胁就可能穿过单个检查点,从而无法消除该威胁特殊的恶意活动。
连续配置方法虽然范围很窄,但是层次很深;并行配置方法虽然范围很宽,但是层次很浅。并行系统在分布式计算应用程序中非常有用,但是在安全领域内,并行机制往往不是一种有用的概念。
考虑一下通往建筑物的物理入口。并行安排出入口的方法被用于购物商场,商场周边的许多地方都设置了出入口。连续设置出入口的方式很可能用于银行或机场。这种场合只提供单一的入口,并且此入口实际上是为了获得进入建筑物活动区域而必须按顺序通过的几个关口或检查点。
分层还包括网络由多个独立实体组成的概念,每个实体都有自己独特的安全控制方法与脆弱性。在有效的安全解决方案中,所有构成单个安全防线的网络系统之间存在协同作用,从而共同筑起一道安全防线。使用独立的安全系统会导致生成分层的安全解决方案。

2.抽象
抽象是为提高效率而使用的。相似的元素被放入组、类别或角色(被整体性授予安全控制、限制或权限)中。因此,当为客体分类或为主体分配角色时,就需要使用抽象的概念。抽象的概念还包括客体和主体类型的定义或客体本身的定义(也就是用于为实体类别定义模板的数据结构)。抽象用于定义客体可以包含的数据类型、可以在这个客体上执行的或由该客体执行的功能类型以及这个客体具有的功能。抽象使你能够为按类型或功能分类的客体组分配安全控制方法,并抽象简化了安全措施。

3.数据隐藏
顾名思义,数据隐藏通过将数据置于主体不可访问或无法看到的存储空间,从而防止主体发现或访问数据。不让未授权的访问者访问数据库是数据隐藏的一种形式,同样,限制分类级别较低的主体访问级别较高的数据也属于这种情况,阻止应用程序直接访问硬件也是数据隐藏的一种形式。在安全控制和程序设计中,数据隐藏通常是一个关键要素。

4.加密
加密是对计划外的接收者隐藏通信数据的含义或意图的一门艺术和学科。加密可以具有很多形式,并且能够被应用于所有的电子通信类型,包括文本、音频和视频文件以及应用程序本身。加密技术是安全控制中一个非常重要的要素,尤其系统之间的数据传输更是如此。加密的强度各种各样,每种强度的设计都针对一种特定的用途或目的。第6章”密码学与对称加密算法”和第7章”PKI和密码学应用”中详细讨论了加密技术。

1.2 应用安全治理原则

安全治理是实践行为的集合,这些实践都与支持、定义和指导组织的安全工作相关。安全治理与组织和IT治理密切相关,而且经常交织在一起。这三种治理的目标一般是相同或相关的。例如,治理的共同目标就是确保组织能持续且能随时间的推移不断扩大。因此,治理的共同目标就是维持业务流程,同时努力实现增长和弹性。

1.2.1 安全功能战略、目标、任务和愿景的一致

安全管理计划能确保安全策略的适当创建、实现和实施。安全管理计划将安全功能与组织的战略、目标、任务和愿景相结合,这包括根据商业论证、预算限制或稀缺资源设计和实现安全性。为了对做出决定或采取某种形式行动的必要性进行定义,商业论证通常会记录参数或说明立场。制定商业论证就是要说明具体的商业需求,以改变现有业务或选择实现商业目标的方法。商业论证的制定通常能证明启动了一个新的项目,尤其是与安全相关的项目。同样重要的是,要考虑能够分配的预算有多少,这些预算用于以商业需求为基础的安全防范项目。做好安全防护往往成本很高,但这却是长期可靠经营的重要因素。对大多数机构而言,资金和资源,比如人、技术和空间,都是有限的。由于有这样的资源限制,因此需要努力实现利益最大化。
解决安全管理计划编制的最有效方法是采用自上而下的方式。上层、高层或管理部门负责启动和定义组织的安全策略。安全策略为组织中较低级别的人员指出了方向。中层管理部门的职责是在安全策略的指导下制定标准、基准、指导方针和程序。接着,操作管理者或安全专家负责实现在安全管理文档中规定的配置要求。最后,最终用户必须遵守组织制定的所有安全策略。
安全管理部门(而不是IT人员)负责更高层的管理,并且考虑的是业务运营问题,而不是IT管理问题。安全管理团队或部门负责组织内的安全性,应当独立于其他所有部门。信息安全团队应当由指定的首席安全官(Chief Security Officer,CSO)领导,CSO必须直接向高级管理者报告。为CSO及其团队赋予组织特有分级结构之外的自主权,这不仅能够改善整个组织之间的安全管理,而且有助于避免部门交叉和内部权力斗争问题。
安全管理计划编制的元素包括:定义安全角色;规定如何管理安全性、谁负责安全性以及如何测试安全性的效力:开发安全策略;执行风险分析;以及要求对员工进行安全教育。这些职责要经过管理计划开发的指导。
如果缺少一个关键因素(得到高级管理者的批准),那么再好的安全计划也是无用的。缺少高级管理者的批准和委托,安全策略就无法取得成功。策略开发团队负责对高级管理部门进行充分的教育,从而使其理解即使采取安全策略所规定的安全措施之后也仍然存在的风险、义务和暴露。开发和实现安全策略能够证明高级管理者对安全性问题进行了适度关注并尽责。如果某个公司没有对安全性进行适度关注并尽责,那么管理者就对疏忽负有责任,并且应当为资产损失和财务损失担责。

1.2.2 组织流程

安全治理需要照顾到组织的方方面面,包括收购、剥离和治理委员会等组织流程。收购兼并会增加机构的风险等级,这些风险包括不适当的信息披露、数据丢失、故障或未达到足够的投资回报率(Return On Investment,ROI)。除了收购兼并中的典型商业和财务方面,有效的安全监督和强化审查往往也是降低损失可能性的必要措施,比如在转型期。

加强安全治理的两个必要额外组织流程的实例是变更控制/变更管理和数据分类。

1.变更控制/变更管理
安全管理中的另外一个重要方面是对变更进行控制或管理。安全环境的改变可能引入会导致新脆弱性出现的漏洞、重叠、客体丢失和疏漏。面对变更,维持安全性的唯一方法是系统地管理变更,这往往涉及对安全控制和机制相关的活动,进行广泛的计划编制、测试、日志记录、审计和监控。然后对环境变化进行记录,确定变更的作用者,无论这些作用者是主体、客体、程序、通信路径还是网络本身。

变更管理的目标是确保任何变更都不能降低或危及安全性。变更管理还负责能够将任何变更都回滚到先前的安全状态。变更管理可以在任何系统上实现(不考虑安全级别)。

变更管理应该用于监督系统每个方面发生的变更,包括硬件配置、操作系统和应用软件的变更。变更管理应该被包含在设计、开发、测试、评估、实现、分发、演变、发展、持续操作以及修改中。变更管理不仅需要每个组件和配置的详细目录,而且还需要为每个系统组件(从硬件到软件,以及从配置设置到安全特性)收集和维护完整的文档。

2.数据分类
数据分类是根据数据的秘密性、敏感性或机密性需求来保护数据的主要方式。在设计和实现安全系统时,因为某些数据项需要更高的安全性,所以对所有数据采取同样的处理方法是低效率的。

数据分类方案的主要目的是:根据重要性和敏感性给数据分配标签,对数据安全保护过程进行规范化和层次化。数据分类用于为数据存储、处理和传输提供安全机制,此外还可以确定如何从系统中删除数据和销毁数据。

为了实现分类方案,必须完成下列7个主要的步骤或阶段:
(1)确定管理人员并定义他们的职责。
(2)指定如何对信息进行分类和标记的评估标准。
(3)为每个资源进行分类和添加标签(所有者主导这个步骤,但是必须有监督人员进行检查)。
(4)记录发现的分类策略的所有例外,并且将这些例外集成到评估标准中。
(5)选择应用于每个分类级别的安全控制,从而提供必要的保护级别。
(6)指定解除资源分类的过程以及将资源的保管权转移给外部实体的过程。
(7)创建一份整个组织范围内都知晓的计划,从而指导所有人员对分类系统的使用。

1.2.3 安全角色和责任

安全角色是指个人在组织内部的整个安全实现和管理方案中所扮演的角色。因为并不总是明确的或静态的,所以安全角色在工作描述中不是必须被规定的。熟悉安全角色将对在组织内部建立通信和支持结构很有帮助,这种结构能够支持安全策略的部署和执行。

1.2.4 控制架构

为组织起草安全性立场通常会涉及很多事情,不只是写下几条远大的理想。在多数情况下,制定可靠的安全策略会涉及很多规划。许多读者可能认识到这个看似荒谬的概念,即召开会议为未来制定计划。事实证明,为安全制定计划必须从规划计划开始,然后规划标准和合规,最后再进行实际的计划开发和设计。跳过这些”规划计划”中的任何一步都可能使计划在开始之前就发生偏移。

安全计划步骤中最重要的一步,也是第一步,就是考虑组织想要的安全解决方案的整体控制框架或结构。可以从几个与安全性相关的概念基础设施中进行选择;而CISSP考试覆盖的一个方面是信息及相关技术控制目标(Control-Objectives-for-Information-and-Related-Technology,COBIT)。COBIT记录了一整套优秀的IT安全实践,这些是由国际信息系统审计协会(Information-System-Audit-and-Control-Association,ISACA)起草的。COBIT规定了安全控制的目标和要求,鼓励将IT的理想安全目标映射到商业目标中。COBIT 5的基础是企业IT治理和管理的5条关键原则:原则1:满足利益相关者的需求;原则2:对企业做到端到端的覆盖:原则3:使用单一的集成框架;原则4:使用整合处理法:原则5:把治理从管理中分离出来。COBIT不仅可用于计划组织的IT安全,也可以作为组织审计师的指导方针。

幸运的是,这一考试只是参考了COBIT的大体内容,不需要了解很多详细内容。

1.2.5 应尽关注和应尽职责

为什么规划安全计划如此重要?一个原因就是,这是应尽关注和应尽职责的要求。应尽关注是通过合理的关注保护组织利益。应尽职责是不断实践能够维持应尽关注成果的活动。例如,应尽关注会开发规范化的安全结构,这个结构会包含安全策略、标准、基线、指导方针和程序:而应尽职责是继续将这个安全结构应用到机构的π基础设施中。操作性安全需要组织内各责任方都能够对应尽关注和应尽职责保持持续不断的维护。

当今的商业环境,必须要谨慎。做到应尽关注与应尽职责是唯一能够证明损失发生不是因为疏忽的方法。高管必须做到应尽关注和应尽职责才能在出现损失时减少他们的过失和责任。

1.3 开发和文档化安全策略、标准、指导方针和程序

对于大多数的组织来说,维护安全性是业务发展的重要组成部分。如果安全受到严重危害,那么许多组织就无法正常运作。为了减少出现安全故障的可能性,已经在一定程度上规范了实现安全性的过程。这种规范化过程大大减少了为IT基础架构设计和实现安全解决方案中的混乱和复杂性(开发和实现文档化的安全策略、标准、指导方针和程序能产生坚实可靠的安全基础设施。安全解决方案的规范化采取了文档的分级组织形式,每个级别都关注信息和问题中的一个特定类型或类别。

1.3.1 安全策略

规范化的最高层次被称为安全策略。安全策略是一个文挡,这个文档定义了组织所需的安全范围,并且讨论了需要保护的资产以及安全解决方案为提供必要保护而应当涉及的范围。安全策略概述或归纳了组织的安全需求,定义了主要的安全目标,井且概述了组织的安全架构。安全策略还确定了数据处理的主要功能领域,并且澄清和定义了所有相关的术语。安全策略应当清楚地定义为什么安全性很重要以及哪些资产是有价值的。它是实现安全性的战略计划。安全策略应当广泛地概括出用于保护组织切身利益的安全目标和原则。文档讨论了安全性对于日常营业每个方面的重要性以及高层职员对实现安全措施予以支持的重要性。安全策略被用于分配职责、定义角色、指定审计要求、概述实施过程、指明遵循要求以及定义可接受的风险级别。这个文档通常用于证明高层管理部门为保护不遭受入侵、攻击和灾难予以应有的关注。安全策略是强制性的。

1.3.2 安全标准、基准及指南

一旦设定了主要的安全策略,就可以在这些策略的指导下拟定剩余的安全文档。标准为硬件、软件、技术和安全控制方法的统一使用定义了强制性要求。标准提供了操作过程,在这个过程中,整个组织内部统一实现技术和措施。标准是战术文档,定义了达到安全策略指定的目标和总体方向的步骤或方法。

下一个层次是基准。基准定义了安全性的最低级别,组织中的所有系统都必须达到基准要求。没有达到基准的所有系统都应该被排除在生产系统之外,直至这些系统被提升达到基准要求为止。基准建立了通用的安全状态基础,所有附加的和更严格的安全措施可以被建立在这个基础之上。基准通常是系统特定的,并且往往指的是行业或标准,例如可信任计算机系统评估标准(TCSEC)、信息技术安全评估和标准(ITSEC)以及NIST(美国国家标准技术研究院)标准。

指南是规范化安全策略结构的下一个元素。指南提供了如何实现标准和基准的建议,井且能够作为安全专家和用户的操作指南。指南具有灵活性,因此为了适合每种特定的系统或条件,它们可以被定制,并且能够在新措施的创建过程中使用。指南说明了应当部署哪些安全机制,而不是规定特定的产品或控制以及详细的配置设置。指南概述了一套方法(包括行动建议),但并非强制性的。

1.3.3 安全程序

程序是规范化安全策略结构的最后一个要素。程序是详细的、按部就班的指导文档,它描述了实现特定安全机制、控制或解决方案所需的确切行动。程序可以讨论整个系统的部署操作或者关注单个产品或方面,例如部署防火墙或更新病毒定义。大多数情况下,程序仅限于具体的系统和软件。随着系统硬件和软件的发展,必须被不断更新。程序的目的是确保业务流程的完整性。如果通过某个详细的程序能够达到所有目的,那么所有活动都应当遵循策略、标准和指导方针。程序有助于在所有系统之间确保安全性的标准化。

通常,策略、标准、基准、指导方针和程序只是在顾问或审计人员的敦促下,作为事后产生的想法进行发展。如果这些文档没有被使用和更新,那么安全环境的管理就无法将它们作为指南使用。如果没有这些文档提供的计划编制、设计、结构和监督,就无法维持环境的安全,也无法代表己经尽责并给予适度的关注。

1.4 理解和应用威胁建模

威胁建模是潜在威胁被识别、分类和分析的安全流程。威胁建模在设计和开发过程中可以作为一种积极主动的措施执行,而产品一旦被部署,就会被作为一种被动式措施。在这两种情况下,流程会识别潜在危害、发生的概率、问题优先级以及消除或减少威胁的手段。

威胁建模并不意味着是一个单独的事件。相反,组织在系统设计流程早期就开始威胁建模并在整个系统周期内一直持续是很常见的。例如,微软使用安全开发生命周期(Security Development Lifecycle,SDL)流程在产品的每个开发阶段考虑和实现安全。这支撑了这句箴言”设计安全、默认安全、部署和沟通安全”(也称为SD3+C)。这一流程(SDL)有两个目标:

  • 减少安全相关的设计和编码缺陷的数量
  • 降低剩余缺陷的严重程度

换句话说,试图减少漏洞,降低任何存在缺陷的影响。总的结果是减少风险。

1.4.1 识别威胁

可能的威胁几乎是无限的,所以使用一种结构化的方法来准确地识别相关威胁是很重要的。例如,一些组织使用以下三种方法中的一种或多种:

  • 关注资产——这种方法使用资产的估值结果,并试图识别对于宝贵资产的威胁。例如,可以评估一个特定的资产,以确定其是否容易受到攻击。如果资产寄存着数据,则可以评估访问控制来识别能够绕过身份认证或授权机制的威胁。
  • 关注攻击——一些组织能够识别潜在的攻击者,并能够基于攻击者的目标识别他们所代表的威胁。例如,政府往往能够识别潜在的攻击者,井识别攻击者想要达到的目标。然后他们可以使用这种知识来识别并保护他们的相关资产。这种方法面临的一个挑战是,可能会出现以往未被视为一种威胁的新攻击者。
  • 关注软件——如果一个组织开发了一个软件,则可能会考虑针对软件的潜在威胁。尽管几年前组织一般不自己开发软件,但如今这己非常常见。具体地说,大多数组织都有网络存在,许多都创建了自己的网页。精美的网页带来更多的流量,但他们也需要更复杂的编程,并会受到更多的威胁。

如果威胁被确定为攻击者(而不是自然威胁),那么威胁建模尝试确定攻击者可能会试图达到什么目的。有些攻击者可能想禁用系统,而其他攻击者可能想要窃取数据。一旦确认了这种威胁,就会基于目标或动机对他们进行分类。此外,将威胁和漏洞进行井列,来识别可能通过利用漏洞给组织带来重大风险的常见威胁。威胁建模的一个终极目标就是优先处理针对组织宝贵资产的潜在威胁。

当试图对威胁进行盘点并分类时,使用指南或参考通常是有用的。微软开发了一个称为STRIDE的威胁分类方案。STRIDE的使用经常与对应用程序或操作系统威胁的评估相关。然而,它也可以用于其他情境。STRIDE是以下几个单词的首字母缩写:

  • 电子欺骗(Spoofiing)——通过使用伪造身份获得对目标系统访问的攻击行为。电子欺骗可以用于IP地址、Mac地址、用户名、系统名称、无线网络名称、电子邮件地址以及许多其他类型的逻辑标识。当攻击者将自己伪装成一个合法或授权的实体时,他们往往能够绕过针对未授权访问的过滤器和封锁。一旦电子欺骗攻击让攻击者成功访问目标系统,后续的滥用、数据盗窃或特权提升攻击就都可以发起。
  • 篡改(Tampering)——任何对数据进行未授权的更改或操纵的行为,不管是传输中的数据还是被存储的数据。使用篡改来伪造通信或改变静态信息。这种攻击是对完整性和可用性的侵害。
  • 否认(Repudiation)——用户或攻击者否认执行了一个动作或行为的能力。通常攻击者会否认攻击,以便保持合理的推读,从而不为自己的行为负责。否认攻击也可能会导致无辜的第三方因安全违规而受到指责。
  • 信息披露(Information disclosure)——将私人、机密或受控信息揭露、传播给外部或未授权实体的行为。这可能包括客户身份信息、财务信息或自营业务操作细节。信息披露可以利用系统设计和实现错误,如未能删除调试代码、留下示例应用程序和账户、未对客户端可见内容的编程注释(如HTML文档中的注释)进行净化或将过于详细的错误消息暴露给用户。
  • 拒绝服务(DoS)——指攻击试图阻止对资源的授权使用。这可以通过缺陷开发、连接重载或流量泛滥实现。DoS攻击并不一定会导致对资源的完全中断;而是会减少吞吐量或造成延迟,以阻碍对资源的有效利用。尽管大多数DoS攻击都是暂时的,只在攻击者进行袭击时存在,但还是存在一些永久性的DoS攻击。永久DoS攻击可能涉及对数据集的破坏、使用恶意软件对软件进行替换,或强迫可以被打断或安装错误固件的固件flash操作。这些DoS攻击将造成系统的永久受损,使其不能使用简单的重启或通过等待攻击者结束而恢复正常操作。要从永久DoS攻击中恢复过来,将需要进行完整的系统修复和备份恢复。
  • 权限提升(Elevation of privilege)——此攻击是指有限的用户账号被转换成拥有更大特权、权力和访问权的账户。这可能会通过盗窃或开发高级账户(如管理员或root账户)凭证来实现。有的系统或应用程序还可能会为原本有限的账户临时或永久授予额外权力。

1.4.2 确定和用图表示潜在攻击

一旦明白开发的项目或部署的基础设施可能面临的威胁,那么下一步是进行威胁建模,确定可能发生的潜在攻击概念。通常通过创建事务中的元素图表、数据流指向和特权边界来完成。

1.4.3 执行降低分析

威肋建模的下一步是执行降低分析。执行降低分析是为了分解应用程序、系统或环境。这个任务的目的是更好地理解产品逻辑及其与外部的交互元素。不管是应用程序、系统还是整个环境,都需要被分成更小的容器或隔间。如果关注的是软件、电脑或操作系统,这些可能是子程序、模块或客体;如果关注的是系统或网络,这些可能是协议:如果关注的是企业的整个基础设施,这些可能是部门、任务和网络。应该对识别出的每个子元素进行评估,以便理解输入、处理、安全性、数据管理、存储和输出。

1.4.4 优先级和响应

因为威胁要通过威胁建模进行识别,所以需要规定额外活动来完善整个流程。下一步是记录归档全部威胁。在文档编制中,应该对威胁的手段、目标和后果进行定义。要考虑实施某项开发可能需要的技术,以及列明潜在的对策和保障措施。

编制文档后,要对威胁进行排序或定级。可以利用各种技术完成这个过程,如使用概率×潜在损失的排名、高/中/低评级或DREAD系统。

设计DREAD评级系统是为了提供灵活的评级解决方案,其基于对每种威胁的5个主要问题的回答:
•潜在破坏如果威胁成真,可能造成的损失有多严重?
•再现性攻击者重现这一漏洞有多复杂?
•可利用性实施攻击有多难?
•受影响用户有多少用户可能受到攻击的影响(按百分比)7
•可发现性攻击者发现弱点会有多难?

通过询问这些以及潜在的额外自定义问题,并对这些回答标注H/M/L或3/2/1值,就可以建立一张详细的威胁优先级表。

一旦设置了威胁的优先级,就需要确定对这些威胁的响应。应根据解决威胁的技术以及流程的成本和效率,对这些技术和流手行考察权衡。反应选项应包括调整软件架构、改变操作和流程以及实现防御和检测组件。

1.5 把安全风险考虑到收购策略和实践中

将网络安全风险管理与收购策略和实践进行综合,是确保组织安全策略成功强健的一种手段,而不管机构的规模是什么样的。如果在没有考虑安全性的情况下贸然购买,那么所购买的这些产品的固有风险将在整个部署过程中一直存在。将收购元素的固有威胁最小化能减少安全管理成本,并且有可能减少安全违规。

1.6 本章小结
  • 安全治理、管理概念与原则是安全策略和解决方案部署中的固有元素。它们不仅定义了安全环境所需的基本参数,也定义了策略设计人员和系统实现人员为创建安全解决方案所必须达到的目的和目标。
  • 安全性的主要目标和目的包含在CIA三元组中:机密性、完整性和可用性。这三条原则被认为是安全领域内最重要的原则。然而,每条原则对一个特定的组织究竟有多重要,主要取决于组织的安全目标和需求以及安全性所受到的威胁程度。
  • CIA三元组的第一条原则是机密性,也就是客体不能暴露给未授权主体的原则。安全机制提供了机密性,也就为限制未授权主体不能访问数据、客体或资源提供了高级别保证。如果存在对机密性的威胁,那么就有可能发生未授权的泄漏。
  • CIA三元组的第二条原则是完整性,也就是客体保持自身的正确性和只能由己授权主体进行有意识修改的原则。如果安全机制提供了完整性,也就对数据、客体和资源提供了保持原有受保护状态并不被修改的高级别保证,这包括当客体在存储、传输或处理过程中发生的变更。维护完整性意味着客体本身不会被改变,并且管理和操纵客体的操作系统与程序实体不会受到安全威胁。
  • CIA三元组的第三条原则是可用性,也就是经过授权的主体被及时准许和不间断地访问客体的原则。如果安全机制提供了可用性,也就提供了经过授权的主体能够访问数据、客体和资源的高级别保证。可用性包括有效地、不间断地访问客体和阻止拒绝服务攻击。可用性还意味着支持基础设施的正常运作,并允许经过授权的用户获得被授权的访问权。
  • 除了CIA三元组以外,在设计安全策略和部署安全解决方案时,还需要考虑其他很多与安全有关的概念和原则,包括隐私性、身份标识、身份认证、授权、可问贡性、不可否认性和审计。
  • 安全解决方案的概念和原则的其他方面是保护机制的元素:分层、抽象、数据隐藏以及加密。这些元素是安全控制的常见特性。并非所有的安全控制都必须具有这些元素,但是许多控制通过使用这些机制提供对机密性、完整性和可用性的保护。
  • 安全角色决定谁对组织机构的资产安全负有责任。担任高管角色的人对任何资产损失最终负责和承担义务,并且对安全策略进行定义。安全专家负责实现安全策略,用户负责遵守安全策略。担任数据所有者角色的人负责对信息进行分类,数据管理员负责维护安全环境和备份数据。审计人员负责确认安全环境是否能恰当地保护资产。
  • 规范化的安全策略结构由策略、标准、基准、指导方针和程序组成。这些独立的文档是在任何环境中设计和实现安全的必要元素。
  • 安全管理实践中的一个重要方面是对变更的控制或管理。安全环境的改变很可能引入会导致新脆弱性出现的漏洞、重叠、客体丢失和疏漏。面对变更,能维持安全性的唯一方法是要系统地管理变化,这往往涉及对与安全控制和机制相关的活动进行广泛的日志记录、审计和监控。最终得到的数据随后用于确定变更的作用者,无论这些作用者是客体、主体、程序、通信路径还是网络本身。
  • 数据分类是根据数据的秘密性、敏感性或机密性需求来保护数据的主要方式。在设计和实现安全系统时,因为某些数据项需要更高的安全性,所以对所有的数据采取同样的处理方法是低效率的。在较低的安全级别保护所有的数据,意味着敏感数据很容易被访问到。在较高的安全级别保护所有的数据,成本太高且对未分类的非关键数据的访问限制太多。数据分类用于确定需要分配多少工作量、资金和资源去保护数据以及控制对数据的访问。
  • 安全管理计划的一个重要方面是实施适当的安全策略。为确保有效,安全管理方法必须是自上而下的。启用和定义安全策略的责任属于组织上层或高管人员。安全策略是为组织下层人员提供方向的。中层管理人员负责把安全政策充实为具体标准、基准、指导方针和步骤。对安全管理文件中预定的参数进行配置是运营经理或安全专家的责任。最后,最终用户的责任是要遵循组织的所有安全策略。
  • 安全管理计划编制的元素包括:定义安全角色;开发安全策略;执行风险分析;以及要求对员工进行安全教育。这些职责要经过管理计划开发的指导。安全管理团队应当开发战略计划、战术计划和操作计划。
  • 威胁建模是一种安全流程,能识别、分类和分析潜在威胁。威胁建模在设计开发阶段可作为一种提前措施来执行,或在产品被部署后作为一种被动性措施来执行。在这两种情况下,这个安全流程能识别潜在危害、发生概率、优先级问题以及消除或减少威胁的手段。
  • 将网络安全风险管理与收购策略和实践进行综合,是确保组织安全策略成功和完善的一种手段,而不管组织的规模是什么样的。如果在没有考虑安全性的情况下贸然购买,所购买的这些产品的固有风险将在其整个部署过程中一直存在。
1.7 考试要点
  • 理解CIA三元组的元素:机密性、完整性和可用性。机密性是客体不能暴露给未授权主体的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效的对策。完整性是客体保持自身的正确性以及只能由己授权主体进行有意识修改的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效的对策。可用性是经过授权的主体被及时准许和不被打断地访问客体的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效的对策。
  • 能够解释身份标识是如何工作的。身份标识是一个过程,在这个过程中,主体会表明身份,并且开始提供可问责性。主体必须向系统提供身份,从而启动身份认证、授权和可问责的过程。
  • 理解身份认证的过程。认证或测试所声明身份合法性的过程就是身份认证。身份认证要求来自主体的附加信息必须完全对应于被表明的身份。
  • 了解如何在安全计划中实现授权。一旦主体通过了身份认证,其访问还必须经过授权。授权的过程确保请求的活动或客体访问,可能获得了为通过身份认证的身份而指派的权利和特权。
  • 理解安全治理。安全治理是关于组织支持、定义和指导安全工作的实践集合。
  • 能够解释审计过程。审计或监控是程序化方式,通过这种方式,主体在系统中经过身份认证的行为是可问责的。审计也是对系统中未经授权的或异常的活动进行检测的过程。我们需要通过审计来检测主体的恶意行为、入侵企图和系统故障以及重构事件,为起诉提供证据、生成问题报告和分析结果。
  • 理解可问责性的重要性。只有在支持可问责性时,组织的安全策略才能够被正确实施。换句话说,只有在主体的活动可问责时,才能够保持安全性。有效的可问责性依赖于检验主体身份以及跟踪其活动的能力。
  • 能够解释不可否认性。不可否认性确保活动或事件的主体无法否认所发生的事件。不可否认性能够防止主体宣称自己没有发送消息、没有执行过某项活动或者不是某个事件的起因。
  • 理解安全管理计划编制。安全管理基于三种类型的计划:战略计划、战术计划和操作计划。战略计划是长期计划,并且是相当稳定的,用于定义组织机构的目的、任务和目标。战术计划是中期计划,用来提供更加详细的实现战略计划所提出目标的计划。操作计划是短期计划,是基于战略和战术计划的非常周详的计划。
  • 了解规范化安全策略结构的元素。为了生成全面的安全计划,需要适当地遵守下列要求:安全策略、标准、基准、指导方针和程序。这些文档清楚地描述了安全需求并反映了责任方的适度关注。
  • 理解重要的安全角色。主要的安全角色有高层管理者、组织机构所有者、上层管理者、安全专家、用户、数据所有者、数据管理员以及审计人员。通过构建安全角色的层次,就可以全面限制风险。
  • 了解如何实现安全意识培训。在真正的培训开始之前,必须为用户建立树立为公认实体的安全意识。一旦树立了安全意识,培训或教育员工执行工作任务和遵守安全策略就可以开始了。所有的新员工都需要进行培训,这样他们才能够遵守安全策略中规定的所有标准、指导方针和程序。教育是一项更细致的工作,学生/用户需要学习比他们完成工作任务实际所需知识多得多的知识。教育往往与用户参加认证考试或寻求职务晋升相关联。
  • 了解分层如何简化安全。分层是串联使用多个控制层次。使用多层次解决方案,使用许多控制去防范威胁。
  • 能够解释抽象的概念。抽象用于将相似的元素放入组、类别或角色(被整体性授予安全控制、限制或权限)中,抽象提高了实施安全计划的效率。
  • 理解数据隐藏。顾名思义,数据隐藏防止主体发现或访问数据。在安全控制和程序设计中,数据隐藏通常是一个关键要素。
  • 理解对加密的需求。加密是对计划外的接收者隐藏通信数据的含义或意图的一种艺术和学科。加密可以具有很多形式,并且能够用于所有的电子通信类型,包括文本、音频和视频文件以及应用程序本身。加密技术是安全控制中一个非常重要的元素,尤其系统之间的数据传输更是如此。
  • 能够解释更改控制和更改管理的概念。安全环境的改变很可能引入会导致新脆弱性出现的漏洞、重叠、客体丢失和疏漏。面对更改,维持安全性的唯一方法是系统地管理更改。
  • 了解为什么和如何进行数据分类。数据分类旨在简化给客体组(而不是单独客体)分配安全控制的过程。两种通用的分类方案是政府/军方分类和商业私营部门分类。了解政府/军方分类中的5个级别和商业/私营部门分类中的4个级别。
  • 理解解除分类的重要性。一旦某个资产不再需要当前分配的分类或敏感性级别保护,就需要解除分类。
  • 了解COBIT的基础知识。信息及相关技术控制目标(COBIT)是一种安全概念基础架构,用于组织公司的复杂安全解决方案。
  • 了解威胁建模的基础知识。威胁建模是一种安全流程,能识别、分类和分析潜在威胁。威胁建模在设计开发阶段可作为一种提前措施来执行,或在产品被部署后作为一种被动性措施来执行。关键概念包括资产/攻击者/软件、STRIDE、图形表示、约简/分解和DREAD。
  • 了解安全并购的必要性。将网络安全风险管理与收购策略和实践进行综合是确保组织的安全策略成功强健的一种手段,而不管组织的规模是什么样的。如果在没有考虑安全性的情况下贸然购买,所购买的这些产品的固有风险将在其整个部署过程中一直存在。
参考链接:

=END=


《 “CISSP官方学习指南第7版#第1章” 》 有 17 条评论

  1. “零信任”安全架构将成为网络安全流行框架之一
    https://mp.weixin.qq.com/s/nj5ALtaPt_6biT4628tcRw
    `
    零信任是什么?

    零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。

    简言之,零信任的策略就是不相信任何人。除非网络明确知道接入者的身份,否则任谁都别想进入。什么IP地址、主机之类的,不知道用户身份或者不清楚授权途径的,统统不放进来。
    `

  2. 董亮:信息安全“三分技术、七分管理”
    http://health.people.com.cn/n/2015/0421/c14739-26881680.html
    `
    信息安全是指信息系统受到保护,不会偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。

    信息安全主要包括信息的保密性、完整性、可用性、可控性和可审查性五要素。这五要素也是我们信息安全的目的,主要归结为5点:进不来,使用访问控制机制,阻止非授权用户进入网络,保证网络可用性;拿不走,使用授权机制,实现用户权限控制,同时结合内容审计机制,实现网络资源与信息的可控性;看不懂,使用加密机制,确保信息不暴露给未授权的实体,实现信息的保密性;改不了,使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,确保信息完整性;走不脱,使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者留有痕迹,实现信息的可审查性。

    秉承“进不来,拿不走、看不懂、改不了、跑不掉”的体系化安全设计
    `
    使用笔记本办公,经常带来带去,如果丢失了,怎样尽可能保证数据安全?
    https://www.zhihu.com/question/20063950

    中科院云计算中心:铸造国家政务安全的云盾牌
    http://cloud.idcquan.com/yaq/138289.shtml

  3. 进不来 看不到 拿不走 用不了
    https://books.google.com.hk/books?id=ySkxZE3DQdEC&pg=PA4#v=onepage&q&f=false
    `
    从本质上看,网络安全就是网络上的信息安全。从广义上来说,凡是涉及网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。
    通俗的说,网络安全的主要目标是保护网络信息系统,使其没有危险、不受威胁、不出事故。在这里,我们用5个通俗的说法,来形象的描绘网络安全的目标:
    (1)进不来;
    (2)看不懂;
    (3)改不了;
    (4)拿不走;
    (5)跑不掉;

    从技术角度来说,网络安全的目标可归纳为四个方面:
    (1)可用性;
    (2)机密性;
    (3)完整性;
    (4)抗抵赖性;
    `

  4. 进不来 看不到 拿不走 用不了
    http://staff.ustc.edu.cn/~billzeng/ns/ns01.pdf
    https://books.google.com.hk/books?id=ySkxZE3DQdEC&pg=PA4#v=onepage&q&f=false
    https://books.google.com.hk/books?id=_vFTDQAAQBAJ&pg=PT136#v=onepage&q&f=false
    `
    网络安全(network security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
    `
    网络安全(2017年秋季)
    http://staff.ustc.edu.cn/~billzeng/ns/ns.htm

  5. CSO怎么做(4)如何评价一个企业的信息安全做的好不好?
    https://www.sec-un.org/cso%E6%80%8E%E4%B9%88%E5%81%9A%EF%BC%884%EF%BC%89%E5%A6%82%E4%BD%95%E8%AF%84%E4%BB%B7%E4%B8%80%E4%B8%AA%E4%BC%81%E4%B8%9A%E7%9A%84%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E5%81%9A%E7%9A%84%E5%A5%BD/
    https://paper.tuisec.win/detail/ae650d3b4150bf5
    `
    1.谁关心这个问题?为什么关心这个问题?

    (1)老板关心:老板需要评价CSO工作的成效(“这个CSO干的好不好”),评价CSO的工作产出和其对业应产生的价值是否匹配,评估投入和产出是否对等(就是关心在信息安全方面的投资收益比)。
    (2)CSO关心:需要有一个相对客观的结果展现自己的业绩、价值,需要通过结果和同行、竞争对手对标、找差距,进而找到企业信息安全的短板,加以改进。
    (3)CSO的下属(信息安全团队的成员)关心:需要有一个结果和同行、竞争对手对标、找差距,要么是找到自己的长处,要么是找到自己的短板、进而改进。
    (4)企业信息安全应对的威胁者关心:我如果要对这家企业下手(入侵利用、破坏或者是窃取),风险大不大、成本高不高、得手的几率大不大。

    回答了这个小问题,也就知道我们应该如何设计、选择评价方法了。我们不是为了评价而评价,是为了评估成效、评估投资收益比、寻找需要改进的短板(这句话很重要、很重要、很重要)。作为一个甲方人员,下面篇幅讲的主要都是针对(1)(2)(3)种情况的。

    2.评价体系与KPI之间的关系

    3.常见的评价方法
    (1)分类量化的评价标准
    (2)对标行业标杆的评价标准
    (3)“证明有或没有”的评价标准

    常见的几个评价标准如下:
    A、 ISO27001:2013
    B、 SDL
    C、 CSA-STAR

    4.谁来评?怎么评?

    5.评价完之后怎么办?

    6.新的思考
    其实以上评价标准和方法,虽然已经到达可以用的地步了,但是我一直都不太满意,总是觉得差了那么一点,差在哪儿却一直没找到。在写这篇文章的时候,脑子里面突然蹦出一个想法:目前的这些评价标准和方法,更多地是在评价“我们做了什么、我们有什么武器”(这是动作、过程),而不是在评价“我们做成了什么样子、我们成为了谁”(这是结果、效果、目标)。那换个角度,信息安全的工作最终是为了控制风险、应对威胁和漏洞,那么,是否可以从纠正预防、阻断拦截、发现响应、打击威慑4个方面来评价?
    `
    https://www.gartner.com/technology/research/methodologies/it-score.jsp

  6. 信息安全规划文档的编写
    https://xz.aliyun.com/t/2424
    `
    1 安全规划的目的
    2 安全规划应该包含的内容
    3 如何做好安全规划
      3.1 管理和技术上的要求
        3.1.1 技术要求示例
        3.1.2 管理文档列表(示例)
      3.2 安全运行
    4 安全规划的执行
      4.1 人员培训
      4.2 工作任务分解
    安全规划示例(目录)
    `

  7. 百家 | CSO养成:CSO新官上任,第一把火怎么烧?
    https://mp.weixin.qq.com/s/crZsxTraOUHNZJaE2LTlPA
    `
    1、明确信息安全工作的价值、定位
    2、梳理信息安全工作的输入
    3、大致确定信息安全目标
    4、以风险评估或审计的手段开展调研,以做需求的方法进行分析,找到企业信息安全当前存在的主要不足
    5、明确3到5年之后,企业信息安全的目标
    6、对以上输入的需求、找到的问题,进行优先级排序,进而确定企业信息安全的路线图
    7、估算资源,和兄弟单位、老板达成一致
    8、半年或者一年为界,滚动更新
    `

  8. 诸子云 | 唯品会黄承:想要成为CSO?这些基础不能丢!
    https://mp.weixin.qq.com/s/DmeDmPjNhuxGfjY2B457Hw
    `
    想要成为一个优秀的CSO,那么首先要明白CSO意味着什么;而想要理解这个问题,则需要从职责认同和价值体现两方面具体分析。

    对于价值体现,大多数人都有一个清楚的认识;而对于CSO的职责认同,大部分人都不是很清楚,并因此导致CSO在企业或者组织中处于一个不太妙的境地。

    其次,一个合格的CSO对于技能有何要求?黄承将之分为两个方面:硬技能和软技能。

    对于任何一个CSO而言,知识的广度不断扩大,而知识的深度却在变浅,这就是人们常说的“图钉理论”。而CSO的软技能体现在对于组织机构的协调能力以及对现有的组织的状态有一个清晰的认识。

    作为一个CSO,软技能的重要程度不亚于硬技能。
    `

  9. 百家 | 送给CSO的三个锦囊
    https://mp.weixin.qq.com/s/tdusM5RTJFo0fsHUDX6Pew
    `
    第一部分:心中常记的三句话——USE企业风险自评框架
    USE企业风险自评框架是将该框架中关注的三个元素的英文首字母组合而成,即User,用户; System,系统; Environmental,环境。
    USE企业风险自评框架将企业所有风险的业源归究于这三个核心元素的失察。换句话说,任何一个安全事件的发生,多数是由于这三个核心要素中的一个、两个或三个出问题造成的。
    所以在企业在信息安全治理过程中,可以使用该框架来进行风险的自评,查找企业潜在的安全风险。这其实是一个由体到面,再到点的思维过程。我们通过关注这三个核心要素的风险控制情况来管理企业信息安全风险,这就是USE企业风险自评框架的核心要义。
    框架目前只对USE三点进行框定,其他内部内容用户都可以自行补充。USE三个面组成一个体,其中的每个面都可以分别三个小步骤。

    1.1 关注用户(User)的不安全行为(Behavior)
    1.1.1 用户识别
    1.1.2 行为识别
    1.1.3 风险识别
    1.2 关注系统(System)的不安全状态(Status)
    1.2.1系统识别
    1.2.2 不安全状态识别
    1.2.3 风险识别
    1.3 关注环境(Environmental)的不安全因素(Factors)
    1.3.1 环境分析
    1.3.2 识别不安全因素
    1.3.3 风险识别

    第二部分:如何使用框架
    2.1 企业安全能力自评与评估
    2.2 安全规划
    2.3 项目编排
    (1)紧迫性
    (2)可行性
    (3)易行性
    (4)回报率
    `

  10. Gartner 2020年规划指南 | 安全和风险管理
    https://mp.weixin.qq.com/s/vuVKAKMJhNYhF0Qi8Tir1w
    `
    Gartner建议:组织必须在坚实的安全基线基础上,继续推进其安全规划和安全架构计划。

    笔者观点:Gartner的技术路线一贯具有前瞻性甚至超前性。考虑到国内安全基础尚有差距,建议在吸收Gartner先进理念时,仔细看清创新理念与现实基础之差距,注重前瞻性与回顾性兼顾,新探索和补基础兼顾,确保现实基础足够坚实,避免搭建“空中楼阁”。
    `

  11. 《SDL安全体系实践》话题材料分享
    https://mp.weixin.qq.com/s/ly9dBmE-Uo5w_0h04O_Q8g
    `
    # OWASP主动控制项目
    第一项owasp主动控制项
    不同于我们熟悉的owasp top10关注主流漏洞排行,主动控制项目关注软件的安全防御构建需求,包括十项:

    C1:定义安全需求(Define Security Requirements)
    C2:使用安全框架和库(Leverage Security Frameworks and Libraries)
    C3:安全的数据库访问(Secure Database Access)
    C4:数据编码与转义(Encode and Escape Data)
    C5:验证所有输入(Validate All Inputs)
    C6:实现数字身份(Implement Digital Identity)
    C7:实施访问控制(Enforce Access Controls)
    C8:保护所有的数据(Protect Data Everywhere)
    C9:实施安全日志记录和监控(Implement Security Logging and Monitoring)
    C10:处理所有错误和异常(Handle All Errors and Exceptions)

    在安全工作中主动控制项目可以作为安全需求确定的checkpoint,安全审计的checklist。主动控制项目会是安全人员和开发人员的共同语言,从安全角度来定义产品做了哪些事可以让“漏洞的利用时间更长”;让开发人员了解:为了实现所负责的产品安全性,需要增加哪些安全任务量。详细的章节各位读者可以访问owasp官网下载阅读。

    # OWASP ASVS 就是Web应用安全评估标准
    V1:架构、设计和威胁建模
    V2:认证
    V3:会话管理
    V4:访问控制
    V5:验证、清理和编码
    V6:存储加密
    V7:错误处理和日志记录
    V8:数据保护
    V9:通信安全
    V10:恶意代码
    V11:业务逻辑
    V12:文件和资源
    V13:API和WEB服务
    V14:安全配置
    `

  12. 监管单位未发现被监管单位长期违规是否要承担渎职失察责任?安全技术培训的价值如何体现?安全架构与安全体系的探讨 | 总第139周
    https://mp.weixin.qq.com/s/H5mV_ZJqQcXT0MjYaBdqMw
    `
    # 话题1: 监管单位如果没有发现被监管单位的长期违法违规问题,是不是要承担渎职失察责任?

    A1:好像很少看到过金融监管单位被处罚的。不过,我理解是有强监管和弱监管区别,如果**强监管领域出问题应该是要追责,弱监管领域出问题要完善**。

    A3:跟安全一样,明知系统有很多漏洞,系统还不是一样跑,只要不出问题就行。出了问题也要客观分析,不能一棒子把安全打死。

    A4:肯定是要负责任的,但是要看具体职能覆盖的情况和关联关系强弱。拿疫情来看地区官员渎职虚报,防控工作没指导落实和管理到位,被查处撤职的貌似不少。

    A5:看问题多大,是否隐蔽,在不在监督审计范围,有没有故意隐瞒等作风流程上的问题了。

    记得书上说过due diligence,如果自己被查了,有机会说话就证明下这个;如果没有机会说明,无条件背锅,那只能自认倒霉。

    监管的趋势是企业自查自纠,企业自证清白。很多监管给的checklist也是企业自查上报。

    A7:国家有完整一套行政层面的安全生产责任调查机制,与信息安全类似,最后要分析得出直接责任、间接责任、管理责任,除了考虑制度层面的规定责任,还要考虑意思表达和既定事实等。

    这里有几个模型:海因里希、能量溢出、reason模型和北川切三等,非常多的定位、定责模型。

    A8:是的,可以参考国家对特大事故的处理。网络安全事件事故一般没到这个力度,但是对管理部门的追责通道肯定是有的,例如2019年江苏响水天嘉宜化工有限公司“3·21”特别重大爆炸事故调查报告(详情参见链接:https://www.mem.gov.cn/gk/sgcc/tbzdsgdcbg/2019tbzdsgcc/201911/P020191115565111829069.pdf)

    # 话题2:如何通过漏洞(漏洞数量等)反馈安全技术培训带来的价值呢?

    A1:漏洞的反馈应该来自多个维度的共同努力,只是培训可能不全面也不好统计,比如前期安全方案设计涉及的安全需求、风险分析、日常安全评估/检测、安全基线等。

    Q:如果单独只拿漏洞和安全培训去关联,怎么体现较为好些呢?

    A2:你可以看漏洞的修复积极性和修复效率,通过对比和环比来看看数据呢?

    A3:虽然修复积极性和修复效率和安全培训没有必然关系,但与考核有关系。

    Q:漏洞同比下降率,培训前后的对比?

    A4:漏洞修复是管理和技术综合作用的问题吧,技术培训能解决安全开发能力和漏洞修复能力,但是管理策略不到位的话我觉得还是无法推动漏洞修复整体工作。

    A5:这个指标不太行,我对比了下:漏洞数量更多是受到安全技术人员能力和资产覆盖范围的影响。同等场景下,业务资产覆盖越全面,安全人员技术越强,漏洞数越多。安全培训会影响,但是影响有限,数据里根本体现不出来。

    群友之前提过直接考试来反应当时培训的效果,但是得有效果的输出吧,不然怎么证明培训有作用呢?

    A6:培训完找个机构发证,年底比证的数量和质量,虽然这个没啥用,但是个培训效果的证明,因为证书是实实在在摆着的,就像大学看论文,对教学效果没啥用,但年底晋级比拼都得靠这个。

    A7:安全意识提高,钓鱼演练实战验证?或者低级漏洞数量减少,漏洞按期修复率上升。

    Q:钓鱼和意识这个算,但是只是其中一部分。而“低级漏洞数量减少,漏洞按期修复率上升”,这个理论上是这样,但是实际上是安全培训会影响,但是影响有限,数据里根本体现不出来,那除了漏洞,还有什么可以证明安全技术证明培训价值?

    A8:你的KPI里有这条么?漏洞相关。没有就加上,参加多少培训,消减多少漏洞。不懂非要产生联系干啥,本来就是个不想干的两个事。

    如果是安全技术培训的价值,我建议从竞赛出发,拿ctf、awd竞赛的成绩来说话。

    A9:应用是不同的,技术能力不同,挖掘漏洞的效率和深度也不一样。而且一个安全人员能测试的颗粒度和覆盖到的资产多少和多个安全人员是不一样的。

    ctf这个能给企业带来什么?那还不如考核者搭靶一个靶场,现场打靶排名,而且ctf题和实际的环境还是有区别的。

    A10:ctf可以给企带来主管单位关系、标准制定、专业红蓝团队建设、社会声誉。

    Q:肯定有区别,好多都是在理想环境下,我们谈个实际的安全培训考核指标,针对新入职技术员工,运维,开发,测试的安全培训。

    A11:可以内训师现场出题,积分制,积分和指标挂钩。不过题也不好出,要符合这个培训又还要不能太难和不能太简单。

    A12:新员工的培训质量和漏洞数量挂钩,是因为有实际数据证明这俩指标有关系吗?如果真有关系,这还是个好事。

    A13:我觉得应该没关系吧,如果培训可以让挖洞能力成正负相关,那岂不是随便培训就成为挖洞高手?这不太严谨吧,技术沙龙应该是可以的,不同的人在交流不同的经验,可能会有特殊想法出现。

    关于ctf,我们有针对业务的ctf活动,出题内容就是针对他们经常出现的漏洞,题目相对比较简单。

    Q:不是为了挖洞,是为了培训研发,测试,运维,提高他们安全开发的能力和意识,降低线上应用产生漏洞的可能。也请说说,针对业务的ctf制作成本高么?怎么体现给开发或者运维的呢?开发那意思是针对白盒审计的那种题?

    A14:我们自己出题,包含业务经常出现的各种常见漏洞,如信息泄露,xss,越权等,也有代码审计的,10道题目,难易程度5:3:2的样子。两天时间,比外面ctf比赛的肯定简单很多。其中靶场是复用的,比如有道fastjson的是复用的,怎么利用的介绍网址都给提示了,目的就是让他们自己操作一遍,明白fastjson这种漏洞的危害性,以后遇到这种赶紧修。

    # 话题3:请教各位一个关于安全架构设计的问题:我的理解是架构设计的对象应该是信息系统,包括它的基础设施层、应用层和数据层,这三层的安全。企业的安全架构应该是说的安全体系建设,不知道我的理解是否合适?

    Q:和我理解的一样,架构的对象是应用系统。不过,安全架构和安全体系这两个概念怎么理解呢?

    A2:安全架构设计的目标主要就是保障应用系统的安全,把各种安全控制措施嵌入到应用系统,实现应用系统的内生安全吧。安全体系那就大了,组织人员、制度、培训以及网络安全、应用安全、数据安全等各个领域。
    `

  13. 网络安全意识培训 – Amazon 提供的有趣且有影响力的网络安全培训。
    https://learnsecurity.amazon.com/zh-cn/index.html
    `
    # 欢迎
    感谢您下载 Amazon 网络安全意识(ACA)培训。使用本入门指南下载并了解在您的组织内实施本培训所需的软件包内容和步骤。

    请注意:本培训的内容并非就是安全学习的全部,但它却是安全学习旅途的一个良好的开端。

    ACA 培训提供了基础级别的安全知识,随后还应进行额外的培训、定期回忆和知识检查。

    # 什么是网络安全意识培训?
    Amazon 网络安全意识培训聚焦于网络安全的最佳实践。本培训以独特的第一人称视角为特色,强调了确保数据安全所需的措施。完成培训大约需要 15 分钟。您可以使用本培训对员工进行基本安全培训,开始您的安全旅程,或补充您可能已经进行的培训。

    # 课程内容
    * 10 个主题:网络钓鱼、物理安全、适当使用、信息和数据保护、第三方应用程序或服务使用、业务数据处理、设备安全、数据隐私权、安全通信习惯和社会工程

    # 合规性调整
    本培训与以下合规性框架的安全意识控制相一致:NIST SP 800-53r4、ISO 27001、SOC 1.4、FedRAMP、K-ISMS、PCI-DSS 和 IRAP。以上七个合规性框架都要求您的员工参加安全意识培训。但是,您如果仅使用网络安全意识培训内容并不能完全遵守以上合规性框架的培训要求,您还必须完成其他步骤才能达到完全合规。有关如何满足这些要求的更多信息,请直接参阅各个合规性框架。
    `

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注