CISSP官方学习指南第7版#第9章


=Start=

缘由:

备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。

正文:

参考解答:
第9章 安全脆弱性、威胁和对策
本章中覆盖的CISSP考试大纲包含:
3)安全工程(安全的工程学和管理)
•E.评估和缓解安全架构、设计和解决方案元素的脆弱性
E.1基于客户端(例如,applet、本地缓存)
E.2基于服务器(例如,数据流控制)
E.3数据库安全(例如,推理、汇聚、数据挖掘、数据分析、数据仓库)
E.4大规模并行数据系统
E.5分布式系统(例如,云计算、网格计算、点对点)
E.6密码系统
E.7工业控制系统(例如,SCADA)
•F.评估和缓解基于Web的系统(例如,OWASP)的脆弱性
•G.评估和缓解移动系统的脆弱性
•H.评估和缓解嵌入式设备和物联网系统(例如,网络使能设备、物联网(loT))的脆弱性
安全工程领域涉及广泛的关注点和问题,包括安全设计元素、安全体系结构、漏洞、威胁以及相关的对策。
9.1 评估和缓解安全脆弱性
计算机体系结构是从逻辑层次考虑的计算系统的设计和构造的工程学规范要求。
系统越复杂,提供的保证越少。更多的复杂性意味着更多存在漏洞的区域以及更多需要防范威胁的区域。更多的漏洞和威胁意味着系统随后提供安全的可信度更低。
9.1.1 硬件
1.处理器
2.执行类型(“多任务处理”、”多处理”、”多程序设计”和”多线程处理”)
3.处理类型
4.保护机制(保护环、操作状态和安全模式)
安全模式–美国政府为处理分类信息的系统指派了4种被批准的安全模式。
5.操作模式(处理器本身支持两种操作模式:用户模式和特权模式)
9.1.2 存储器
1.只读存储器
ROM
PROM
EPROM
EEPROM
2.随机存取存储器
随机存取存储器(RandomAccessMemory,RAM)是可读和可写的存储器,包含计算机在处理过程中使用的信息。只有当电源持续不断供应时,RAM才能保存其内容。与ROM不一样的是,当计算机电源关闭时,存储在RAM内的所有数据都会消失。因此,只被用于暂时存储数据。任何关键数据都不能只存储在RAM中:而是始终应当在另外的存储设备上保留备份副本,以防电源突然中断导致发生数据丢失的事件。
实际的存储器
高速缓存RAM(SRAM/DRAM)
3.寄存器
4.存储器寻址(讨论5种比较常用的寻址方案)
  • 寄存器寻址——前面曾经提到过,寄存器直接安装在CPU上的非常小的存储位置。当CPU需要从某个寄存器中获得信息来完成操作时,可以使用寄存器地址(例如,”寄存器1″)去访问寄存器的内容。
  • 立即寻址——就其本身而言,立即寻址并不是一种技术上的存储器寻址方案,而是引用某些数据的一种方法,这些数据作为指令的一部分提供给CPU使用。例如,CPU可能处理命令”将寄存器l中的数值与2相加”。这条命令使用两种寻址方案。第一种方案是作为命令一部分的直接寻址,即告诉CPU将数值2加进去并且不需要从某个存储器位置检索该数值。第二种方案是寄存器寻址,即命令CPU从寄存器l中取出数值。
  • 直接寻址——在直接寻址中,要访问的存储器位置的实际地址会被提供给CPU。这个地址必须与正在执行的指令位于相同的存储页面上。因为与重新编写立即寻址的硬编码数据相比,存储位置的内容能够更容易地被改变,所以直接寻址比立即寻址更灵活。
  • 间接寻址——间接寻址使用的方案类似于直接寻址。但是,作为指令的一部分提供给CPU的存储器地址并不包含CPU用作操作数的真实数值。实际上,存储器地址中包含另一个存储器地址(也许位于不同的页面上)0CPU通过读取间接地址来了解待操作数据驻留的位置,随后从这个地址取出真实的操作数。
  • 基址+偏移量寻址——基址+偏移量寻址使用存储在某个CPU寄存器中的数值作为开始计算的基址。然后,CPU将指令提供的偏移量与基址相力日,并从计算得到的存储位置取出操作数。
5.辅助存储器
6.存储器的安全问题
从技术上讲,在电源被切断后,这些电子元件在有限的一段时间内仍有可能保存一些电量。从理论上讲,一位技术经验丰富的人可以针对这些元件采取电子方法,然后从设备上取出存储的部分数据。不过,这需要有丰富的技术方面的专业知识,除才附手拥有令以置信的财力和资源,否则不可能构成威肋。
围绕存储器的最重要的一个安全问题是:在计算机使用过程中一定要控制哪些人可以对存储在存储器中的数据进行访问。(进程隔离)
9.1.3 存储设备
1.主存储设备与辅助存储设备
2.易失性存储设备与非易失性存储设备
3.随机存取与顺序存取
9.1.4 存储介质的安全性
  1. 数据剩磁。对于固态硬盘的数据安全措施,传统的归零是无效的。
  2. 辅助存储设备还很容易被盗。经济上的损失不是主要因素(毕竟,CD-R光盘甚至硬盘值不了多少钱),但是机密信息的丢失会带来极大的风险。
  3. 对存储在辅助存储设备上的数据进行访问(访问控制、硬盘加密)。
9.1.5 输入和输出设备
显示器
打印机
键盘/鼠标
调制解调器
输入/输出结构
9.1.6 固件
1.BIOS
基本输入输出系统(BasicInputOutputSystem,BIOS)包含独立于操作系统的原始指令,这些指令被用于启动计算机和从磁盘加载操作系统。BIOS被包含在一个固件设备中,在启动时能够由计算机立即访问。在大多数计算机中,BIOS被存储在EEPROM芯片上以帮助版本升级。BIOS的升级过程被称为”闪存BIOS”。
自2011年以来,大多数系统制造商己通过UEFI(UnifiedExtensibleFirmwareInterface,统一可扩展固件接口)取代了传统系统主板的BIOS。UEFI是硬件和操作系统之间的一种更先进的接口,但保持了对传统BIOS服务的支持。
2.设备固件
为了完成任务,许多硬件设备(如打印机和调制解调器)还需要一些有限的处理能力,以便最小化操作系统自身的负担。在许多情况下,这些”迷你型”操作系统完全被包含在相应设备上的固件芯片内。与计算机的BIOS一样,设备固件往往被存储在EEPROM设备上,从而可以在需要时进行更新。
9.2 基于客户端
9.2.1 applet
9.2.2 本地缓存
本地缓存是暂时存储在客户端上的任意内容,用于将来重新使用。
一个典型的客户端上有许多本地缓存,包括ARP缓存DNS缓存以及互联网文件缓存
减轻或解决这些攻击并不那么简单或直接,并不是简单的补丁或更新就可防止这些对客户端漏洞的攻击。这是因为这些攻击利用了内置到各种协议、服务和应用中的正常和适当的机制。因此,无法通过补丁来修复缺陷,更多的防御集中在监测和预防方面。通常作为开始,应保持操作系统和应用程序修补来自各自厂商的补丁。下一步,安装主机入侵检测系统和网络入侵检测工具来观察这些类型的滥用。定期审计DNS’日志、DHCP系统日志以及本地客户端系统日志、可能的防火墙、交换机和路由器日志以及时发现异常或可疑事件。
9.3 基于服务端
基于服务器关注的重要领域是数据流控制,其中也可能包括客户端。
9.4 数据库安全
数据库安全是任何使用大规模数据集作为基础资产的组织的重要组成部分。如果没有数据库安全性方面的努力,业务任务可以被中断,保密信息将被泄露。
9.4.1 聚合
9.4.2 推理
9.4.3 数据挖掘和数据仓库
9.4.4 数据分析
9.4.5 大规模并行数据系统
9.5 分布式系统
下面列出了这些防护措施:
  • 电子邮件必须被过滤,从而使其无法成为恶意软件的感染者;电子邮件也必须受到支配正确使用和限制潜在不利条件的策略的约束。
  • 必须创建下载/上传策略,从而能够过滤进出的数据并阻挡可疑的内容
  • 系统必须受到可靠的访问控制的约束,这样的访问控制可能包括多因素身份认证和/或生物学测定因素,从而约束对台式机的访问并阻止对服务器和服务的未授权访问。
  • 应当安装和使用图形用户界面机制和数据库管理系统,以便约束和管理对关键信息的访问。
  • 对客户机上存储的文件和数据应用适当的文件加密操作(事实上,对于容易在组织范围之外丢失或被盗的便携式电脑和其他移动计算设备来说,驱动器级的加密是一种不错的方法)。
  • 必须分开和隔离在用户模式和监管模式中运行的进程,从而阻止对高特权进程和功能进行未授权和不期望的访问。
  • 必须创建保护域,从而使某个客户端遭受的损害不会自动危害整个网络。
  • 必须按照安全分类级别或组织的敏感度清晰地标记磁盘和其他敏感材料;应当结合过程化进程和系统控制来帮助防止对敏感材料的未授权或不期望的访问。
  • 应当使用某种与客户端代理软件(能够从客户端确定和捕获在安全备份存储归档位置存储的文件)一起工作的集中化备份实用程序对台式机上的文件进行备份(在理想情况下还应当备份服务器中的文件)。
  • 台式机用户需要定期接受安全意识培训,从而保持正确的安全意识。此外,我们还应当告知用户潜在的风险并指示他们如何正确地应对这些风险。
  • 台式计算机及其存储介质要求防范环境危险(如温度、湿度、断电/电压波动等)。因为可能与组织内使用户返回工作状态的其他系统和服务一样重要(或者更重要),所以台式计算机必须包含在灾难恢复计划和业务连续性计划中。
  • 在分布式环境中构建和使用的自定义软件的开发人员也需要考虑安全性,包括使用规范的方法(例如,代码库、变更控制机制、配置管理以及补丁和更新部署)进行开发和部署。

通常,对分布式环境进行防护意了解环境可能存在的脆弱性以及应用相应的安全防护措施。

9.5.1 云计算
SaaS
PaaS
IaaS
9.5.2 网格计算
9.5.3 点对点
9.6 工业控制系统(ICS)
工业控制系统(ICS)是一种用于控制工业生产过程和机器的计算机管理设备。ICS广泛应用于众多的工业行业,包括制造、装配、发电、配电、供水、污水处理、石油精炼。有几种ICS种类,包括集散控制系统(DCS)、可编程逻辑控制器(PLC)和数据采集与监控系统(SCADA)。
9.7 评估和缓解基于Web系统的脆弱性
9.8 评估和缓解移动系统的脆弱性
9.8.1 设备安全
1.全设备加密
2.远程擦除
3.锁定
4.锁屏
5.GPS
6.应用控制
7.存储分隔
8.资产跟踪
9.库存控制
10.移动设备管理
11.设备访问控制
12.可移动存储
13.关闭不使用的功能
9.8.2 应用安全
除了管理移动设备的安全性,还需要专注于这些设备上使用的应用程序和功能。关于台式机或笔记本电脑系统的大多数软件的安全考虑就像安全实践常识一样,同样适用于移动设备。
1.密钥管理
2.凭证管理
3.认证
4.地理标记
5.加密
6.应用自名单
9.8.3 BYOD关注点
1.数据所有权
2.所有权支持
3.补丁管理
4.反病毒管理
5.取证
6.隐私
7.在线/不在线
8.遵守公司策略
9.用户接受
10.架构/基础设施考虑
11.法律问题
12.可接受策略
13.机载摄像头/视频
9.9 评估和缓解嵌入式设备和物联网系统的脆弱性
9.9.1 嵌入式系统和静态系统的示例
9.9.2 安全方法
1.网络分隔
2.安全层
3.应用防火墙
4.手动升级
5.固件版本控制
6.包装
7.控制冗余和多样性
9.10 基本安全保护机制
操作系统内对安全机制的需求来自于如下简单的事实:软件是不可信的。无论来自何人或何处,第三方软件总是不可信的。这并不是说所有软件都是恶意的,而是说明一种保护观点:所有第三方软件都是os创建者之外的人编写的,这样的软件可能导致问题。因此,将所有非os软件都视为存在潜在危害性,这允许操作系统通过使用软件管理保护机制来阻止许多灾难的发生。os必须利用保护机制来保持计算环境的稳定并且进程间彼此隔离。如果没有这些努力,那么数据的安全性永远是不可靠的,甚至是不可能的。
9.10.1 技术机制
我们将介绍下列5种机制:分层法、抽象、数据隐藏、进程隔离和硬件分隔
9.10.2 安全策略与计算机体系结构
9.10.3 策略机制
1.最小特权原则
2.特权分离
3.可问责性
9.11 常见的缺陷和安全问题
9.11.1 隐蔽通道(时间、存储)
9.11.2 基于设计或编码缺陷的攻击和安全问题
1.初始化和失败状态
2.输入和参数检查
3.维护钩子和特权程序
4.增量攻击
9.11.3 编程
9.11.4 计时、状态改变和通信中断
检查时间到使用时间Time-Of-Check­To-Time-Of-Use(TOCTOU)攻击通常被称为竞争条件,这是由于攻击者与合法的进程进行竞争,从而希望在客体被使用之前对其进行替换。TOCTOU攻击的一个经典例子是:数据文件在其身份被验证之后和读取数据之前被替换。
9.11.5 技术和过程完整性
9.11.6 电磁辐射(EmitElectromagnetic,EM)
9.12 本章小结
安全计算系统的设计是一个复杂的任务,并且许多安全工程师把他们的整个职业生涯都专注于理解信息系统最内在的工作方式,并确保支持他们所需的核心安全功能可在目前的环境中安全运行。许多安全专家不一定需要深入理解这些原则,但他们至少应该有一个广泛的了解,并帮助在过程中增强他们组织的安全性。
这样的理解开始于硬件、软件和固件的考察,以及这些零件怎么融入安全难题中。理解普通计算机和网络组织、架构和设计的原则,包括寻址(物理的和符号的)、地址空间和存储空间之间的差异,以及机器类型(真实、虚拟、多态、多任务、多编程、多进程、处理器、多用户)。
此外,安全专业人员必须对运行状态(单态、多态)、运行模式(用户模式、监管模式、特权模式)、存储类型(主存、辅存、真实存储器、虚拟存储器、易失性存储器、非易失性存储器、随机存储器、顺序存储器)和保护机制(分层、抽象、数据隐藏、进程隔离、硬件分隔,最小特权原则、特权分离、可问责性)有坚实的理解。
无论一个安全模型是多么复杂,攻击者都能利用一些存在的缺陷。一些缺陷,如缓冲区滥出和被程序员引入的维护钩子,还有其他的缺陷,如隐蔽通道,是架构设计问题。重要的是要了解这些问题的影响并修改安全架构,以便适当弥补。
考试要点:
  • 能够解释多任务处理、多线程、多处理器和多程序设计之间的差异。多任务处理是在一台计算机上同时执行多个应用程序,并由操作系统管理。多线程处理允许在一个进程内执行多个并发任务。多处理器是使用多个处理器以提高计算能力。多设计与多任务处理类似,但是在大型机系统上使用并且需要特殊的程序设计。
  • 理解单一状态处理器和多态处理器之间的差异。单一状态处理器能够一次只在一个安全级别运行,而多态处理器可以同时在多个安全级别运行。
  • 描述由美国联邦认可的用于处理分类信息的4种安全模式专用系统要求所有用户对在系统中存储的所有信息都具有适当的许可级别、访问特权和”知其所需”要求系统高级模式则去除了”知其所需”要求。分隔模式去除了”知其所需”要求和访问特权要求。多级模式则去除了上述所有三个要求。
  • 解释大多数现代处理器使用的两种分层操作模式。用户应用程序在有限的指令集环境中运行,这被称为用户模式。操作系统在特权模式下执行受控的操作,这种模式也被称为系统模式、内核模式和监管模式
  • 描述计算机使用的不同存储器类型。ROM是非易失性的,并且终端用户无法写入数据。PROM芯片仅允许终端用户写入一次数据。通过紫外线光照射可以擦除EPROM芯片中的数据,然后再重新写入数据。可以用电流擦除EEPROM芯片中的数据,然后再重新写入数据。RAM芯片是易失性的,当计算机的电源被切断后,芯片中的内容会丢失。
  • 了解有关存储器组件的安全问题。目前有三种主要的安全问题与存储器组件有关:电源切断后,数据仍有可能保留在芯片上;存储器芯片容易被盗;在多用户系统中控制对存储器的访问。
  • 描述计算机使用的存储设备的不同特征。主存储设备与存储器相同。辅助存储设备有磁性和光学介质两种,在CPU能够使用这些数据之前,先要将数据读入主存储器。随机存取存储设备可以在
    任何位置读取数据,然而顺序存取存储设备需要扫描物理存储的所有数据后才能到达指定的位置。
  • 了解有关辅助存储设备的安全问题。目前有三个与辅助存储设备有关的安全问题:可移动介质能够被用于窃取数据;必须应用访问控制和加密技术来保护数据;即使在删除文件或格式化介质后,数据也仍可能保留在介质上。
  • 理解输入和输出设备会带来的安全风险。输入输出设备会遭到偷听和窃听(能够将数据偷带出组织,还能够创建可以进入组织系统和网络的未授权、不安全的入口点)。一定要能够识别和缓解这些脆弱性。
  • 理解I/O地址、配置和设置。操作传统PC设备要求对IRQ、DMA和存储映射I/O有一定了解。要准备好识别和处理潜在的地址冲突和错误配置,井且能够集成传统设备与即插即用(PnP)组件。
  • 理解使用固件的目的。固件是被存储到ROM芯片上的软件。在计算机层次上,固件包含了启动计算机所需的基本指令。固件还被用于在外围设备(如打印机)中提供操作指令。
  • 能够描述进程隔离、分层法、抽象、数据隐藏和硬件分隔。进程隔离能够确保进程只能访问它们自己的数据。分层法在一个进程内创建不同的安全域并限制彼此之间的通信。抽象能够在不要求了解算法或设备内部工作原理的情况下生成”黑箱”接口。数据隐藏阻止信息被来自不同安全级别的进程读取。硬件分隔使用物理控制措施实现进程的隔离。
  • 理解安全策略如何帮助完成系统的设计、实现、测试和部署。安全策略的作用是通知和指导某些特定系统的设计、开发、实现、测试和维护。
  • 理解云计算。云计算是一个流行的术语,指的是一个计算的概念,即处理和存储是通过网络连接到其他地方运行而不是在本地运行。云计算通常被认为是基于互联网的计算。
  • 理解移动设备的安全。设备安全涉及为移动设备提供可以利用的潜在安全选择或功能范围。不是所有的便携式电子设备(PED)都有好的安全特性。PED安全功能包括整个设备的加密、远程擦除、锁定、锁屏、GPS、应用控制、存储分隔、资产跟踪、目录控制、移动设备管理、设备访问控制、移动存储和禁用未使用的功能。
  • 理解移动设备应用安全。在移动设备上使用的应用程序和功能需要被保护。相关概念包括密钥管理、证书管理、身份认证、地理标记、加密、应用自名单和可传递的信任/认证。
  • 理解BYOD。自带设备(BYOD)是一项策略,允许员工携带自己的个人移动设备进行工作,然后使用这些设备来连接(或穿过)公司网络的业务资源和/或互联网。虽然BYOD可以提高员工士气和工作满意度,但却增加了组织的安全风险。相关问题包括数据所有权、所有权支持、补丁管理、防病毒管理、取证、隐私、登录/关闭登录、企业策略的一致性、用户接受、架构/基础设施的考虑、法律问题、可接受的使用策略以及机载摄像机/视频。
  • 理解嵌入式系统和静态环境。嵌入式系统通常相对于较大的产品来说只是其中一个组件,通常被设计围绕着一组有限的特定功能。静态环境是应用程序、操作系统、硬件集合或为了特殊需求、能力或功能而配置的网络,然后设置为保持不变。
  • 理解嵌入式系统和静态环境下的安全问题。静态环境、嵌入式系统和其他有限或单一用途的计算环境需要安全管理。这些技术包括网络分隔、安全层、应用防火墙、手动更新、固件版本控制、包装、控制冗余和多样性。
  • 理解如何在计算机体系结构中应用最小特权、特权分离和可问责性。最小特权原则确保只有少量进程被授权在监管模式下运行。特权分离增加了安全操作的粒度。可问责性确保可以使用审计跟踪追溯到操作源。
  • 能够解释什么是隐蔽通道。隐蔽通道是用于传送信息的任何方法,但是通常不用于信息通信。
  • 理解什么是缓冲区溢出和输入检查。当编程人员在将数据写入特定内存地址之前没有检查输入数据的大小时,就可能会发生缓冲区溢出。事实上,对输入数据有效性的任何验证失败都会导致安全性受到破坏。
  • 描述安全体系结构的常见缺陷。除了缓冲区溢出以外,编程人员在部署系统后还会留下后门和特权程序。即使设计良好的系统也可能遭到TOCTOU攻击。任何状态改变都为攻击者提供了危及系统安全的潜在机会。
参考链接:

=END=

,

《“CISSP官方学习指南第7版#第9章”》 有 10 条评论

  1. 美国网络安全体系架构简介
    http://www.mottoin.com/108702.html
    `
    PDRR模型——PDRR模型由美国国防部(DoD)提出,是防护(Protection)、检测(Detection)、恢复(Recovery)、响应(Response)的缩写。

    P2DR模型——20世纪90年代末,美国国际互联网安全系统公司(ISS)提出了基于时间的安全模型——自适应网络安全模型(Adaptive Network Security Model,ANSM),该模型也被称为P2DR(Policy Protection Detection Response)模型。该模型可量化,也可进行数学证明,是基于时间的安全模型,可以表示为:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。

    IATF框架——信息保障技术框架(Information Assurance Technical Framework,IATF)是由美国国家安全局(NSA)制定并发布的,其前身是网络安全框架(Network Security Framework,NSF)。

    黄金标准框架——基于美国国家安全系统信息保障的最佳实践, NSA于2014年6月发布《美国国家安全体系黄金标准》(Community Gold Standard v2.0,CGS2.0)。CGS2.0标准框架强调了网络空间安全四大总体性功能:治理(Govern)、保护(Protect)、检测(Detect)和响应与恢复(Respond & Recover)。
    `

  2. 平台固件安全防御
    https://www.solidot.org/story?sid=58123
    `
    “美国安全厂商PreOS Security在2018年感谢系统管理员日为系统管理员们献上了一份大礼:以创作共享许可证发布的电子书《Platform Firmware Security Defense for Enterprise System Administrators and Blue Teams》,本书全面的介绍了平台固件安全的现状,平台固件已经深入到了计算机的方方面面,包括传统的BIOS/UEFI,电源管理ACPI,基于TPM的传统可信根方案,GPU,NIC网卡,硬盘,以及带外管理系统BMC和Intel ME等,众多的固件实现暴露了极大的攻击平面,本书也介绍了关于平台固件防御的一些方案。企业用户在平台固件生态中扮演着很重要的角色,他们作为OEM厂商的客户提出对于安全性和开放可审计性的需求,随着NIST SP 800-193的定稿,更多的厂商加入到了开放安全硬件的生态中,越来越多的企业用户开始把固件加入硬件生命周期管理。经过了Ring -2的威胁以及Ring -3的暗影恶魔多年的”洗礼”,HardenedLinux除了在技术方案的进化外也希望能够让更多的个人用户以及企业用户重视固件安全,HardenedLinux社区的翻译项目维护者已经把这本书翻译成了中文版供更多读者参考。”
    `
    https://preossec.com/products/ebook-download
    https://hardenedlinux.github.io/system-security/2017/06/15/firmware_compliance.html
    https://github.com/hardenedlinux/hardenedlinux_translations/tree/master/platform_firmware_security_defense

  3. 提高全员安全意识的6个方向
    https://www.freebuf.com/articles/es/201837.html
    `
    方法一、简单明了的消息通知
    内网横幅
    登录消息
    “阻止的站点”页面

    方法二、各种类型的会议
    远程培训
    与安全主管共进午餐
    行业专家现场培训

    方法三、增加安全专家的出镜率
    拍摄短视频
    专门的沟通邮箱
    布置安全专家的工位
    写博客

    方法四、让员工多多参与
    摄影比赛
    安全小站
    攻防竞赛
    将安全延伸到私人时间

    方法五、正面激励
    正面反馈员工的进步
    建立积分规则
    给与虚拟的勋章
    与CEO共进午餐
    提拔做得好的员工

    方法六、保持头脑清醒
    安全日历
    梳理谈话要点
    假想练习
    `

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注