=Start=
缘由:
备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。
正文:
参考解答:
第16章 管理安全运营
本章中覆盖的CISSP考试大纲包含:
安全运营
D.保护资源的配置
D.1 资产清单(例如,硬件、软件)
D.2 配置管理
D.3 物理资产
D.4 虚拟资产(例如,软件定义网络、虚拟SAN、宾客操作系统)
D.5 云资产(例如,服务、VM、存储、网络)
D.6 应用(例如,负载或私有云、Web服务、SaaS)
E.理解和应用基本的安全操作原则
E.1 知其所需/最小特权(例如,权利、聚合、传递信任)
E.2 职责和责任分离
E.3 监控专有特权(例如,操作、管理)
E.4 岗位轮换
E.5 信息生命周期
E.6 服务级别协议
F.采用资源保护技术
F.1 介质管理
F.2 硬件和软件资产管理
I.执行和支持补丁及脆弱性管理
J.参与和理解变更管理流程(例如,版本、基线、安全影响分析)
P.参与解决人身安全问题(例如,胁迫、旅行、监控)
安全运营域包括范围广泛的安全基础概念和最佳实践。该域包含许多核心概念,任何组织都需要这些概念来提供基本的安全保护。
资源保护确保在资源整个生命周期内的介质和其他有价值的资产都得到保护。类似地,配置管理确保系统在整个生命周期内都被配置,并且变更管理流程使系统免受外部未授权改变导致的运行中断。补丁和漏洞管理控制确保系统是最新的,并使其免受己知漏洞的攻击。
16.1 应用安全运营的概念
安全运营实践的主要目的是保障系统中信息资产的安全性。这些实践有助于确定威胁和漏洞,并实施控制来降低整个组织资产的风险。
在IT安全环境中,应尽关注和应尽职责依靠不断演进的基本原则,采取合理的关注来保护组织的资产。高级管理人员对执行应尽关注和应尽职责有直接责任。实施的通用安全运营概念包括如下几个部分:执行周期性的审计和检验,验证应尽关注和应尽职责的级别(这将减少损失发生时高级管理部门的责任)。
16.1.1 知其所需和最小特权
知其所需和最小特权是值得在任何IT安全环境中采纳的两条标准原则。通过限制对有价值资产的访问来提供保护。虽然这两个术语之间有关联,且许多人都交换地使用这两个术语,但是它们之间仍然有一些明显的差异。知其所需关注权限和访问信息的能力,而最小特权关注特权。
提醒一下,许可允许访问客体,如文件。权限涉及采取行动的能力。访问权限和许可是同义词,但是权限涉及操作操作系统的能力,例如改变系统时间。特权是权限和许可的结合。
1.知其所需访问
知其所需原则利用需求来给用户授权,仅仅根据为完成所分配任务而授权访问需要操作的数据或资源。主要目的是保持秘密信息的机密性。如果想保守一个秘密,最佳方式是不告诉任何人。
2.最小特权原则
最小特权原则表明主体仅仅被授予执行己分配工作任务的特权,不会拥有超出其工作任务的特权。记住这里所讲的特权包含了数据的许可权和执行系统任务的权限。
当知其所需和最小特权被授予、聚合和传递信任时,额外的人员概念需要被考虑。
- 授予——授予特权涉及一系列用户获取的特权,典型地是当第一次开通账户时。换句话说,当管理员创建用户账户时,他们应确保该账户被分配了适量的资源,并且包括特权。用户服务开通的过程应该采用最小特权原则。
- 聚合——最小特权环境下的聚合涉及用户随着时间而收集到的一系列特权。例如,如果一个用户从一个部门转到另一个部门,但同时-还是在一家公司任职,这个用户会终止每个部门的特权。为了避免访问的聚合问题,管理员在用户转到不同部门时应该收回特权,使其不再拥有前一个部门的特权。
- 传递信任——非传递信任出现在两个安全域中,这两个安全域可能在同一个组织也可能在不同的组织之间。这允许一个域中的主体访问另一个域中的客体。传递信任扩展了两个安全域以及它们的所有子域之间的信任关系。在最小特权环境中,检查这些域的信任关系非常重要,尤其是在不同的组织间创建域。非传递信任实施了最小特权原则并在某一时刻授予信任给单个域。
16.1.2 职责和责任分离
职责和责任分离确保没有单个人能控制某个关键功能或整个系统。这很有必要,能确保没有单个人能危害到系统或系统的安全性。相反,两人或更多人必须共谋或串通违反组织,这对于这些人增加了被发现的风险。
职责分离策略建立了一个相互制约和平衡的系统,在这个系统中,多个主体可以相互校验操作,并且必须一起完成必要的工作任务。职责分离使得恶意的、欺诈的犯罪或其他未授权的活动变得更加困难,并且拓宽了检测和报告的范围。
1.特权分离
特权分离类似于任务和职责分离的概念,建立在最小特权原则之上并应用到应用程序和进程中。特权分离策略要求使用颗粒状的权限和许可。
2.职责划分
职责划分类似于任务和职责分离策略,但也结合了最小特权原则。职责划分的目标是确保个人没有可能导致利益冲突的额外系统访问。当职责被完全分离时,单个雇员将没有能力制造欺骗或犯错误,并且也没有能力来掩盖错误。
3.双人控制
双人控制类似于职责划分,需要两个人认同关键任务。在组织内使用双人控制确保了并行互审并减少了共谋和欺骗的可能性。分解知识结合职责分离和双人控制概念到单个解决方案中。基本思想是信息或权限需要执行一个操作,该操作在两个或多个用户间被划分。这就确保没有任何个体有充足的特权来危害环境的安全性。
16.1.3 岗位轮换
通过使用岗位轮换来执行进一步控制和限制特权能力。岗位轮换简单来讲就是轮换职责,或者至少某些工作职责被轮换到不同的雇员。使用岗位轮换作为安全控制可以井行审查、减少欺骗并促进交叉培训。交叉培训使得环境很少依赖任何单个个体。岗位轮换既能作为威慑,也能作为检测机制。如果雇员知道在将来的某些时点,将由其他人担负他们的工作职责,他们最不可能做的就是参与欺诈行为。如果他们依然选择欺骗,担负工作职责的他人很容易发现他们的欺骗行为。
16.1.4 强制休假
许多组织要求雇员在一周或两周以上时间强制休假。这将提供一种并行互审的形式,并且有助于检测欺诈和共谋。该策略确保了其他雇员接替一个人的工作职责至少一个星期的时间。如果一个雇员涉及欺诈,接替该职责的人将会发现其欺诈行为。这类似于岗位轮换带来的好处。强制休假既能作为威慑,也能作为检测机制,就如岗位轮换策略一样。尽管其他人也就接替一个人的职责一周或两周时间,但这足够来检测到一些违规行为。
16.1.5 监控特殊的特权
特殊的特权操作是一项需要特殊访问或较高的权限来执行许多管理员和敏感工作任务的活动。这些任务包括创建新用户账户、增加新路由到路由表、修改防火墙配置、访问系统日志和审计文件。使用通用的安全实践,例如最小特权原则,确保数目有限的人才能有这些特殊的特权。监控确保授予这些特权的人不能滥用特权。
通常,任何类型的管理员账户都有高级特权并应该被监控。也能授予用户较高的特权但不给用户授予所有的管理访问权。按照这个思路,当某个用户有特定的高级特权时,监控用户的行为也是重要的。下面的列表包含某些监控特权操作的例子:
•访问审计日志
•改变系统时间
•配置接口
•管理用户账户
•控制系统重启
•控制通信路径
•备份并恢复系统
•运行脚本/任务自动化工具
•配置安全机制控制
•使用操作系统控制指令
•使用数据库恢复工具和日志文件
许多自动化工具能够监视这些特权操作活动,当管理员或特权操作员执行以上这些活动时,该工具能记录日志并发送警告。此外,访问审查审计能检测这些特权的滥用。
16.1.6 管理信息生命周期
安全控制保护了整个生命周期内的信息。通用方法包括标记、处理、存储和恰当销毁数据。
- 标记数据——数据标记(或标签)确保用户能很容易地识别数据的价值。用户应该在创建数据后不久就标记它们。例如,绝密数据的备份应该被标记为绝密。类似地,如果一个系统处理敏感数据,该系统应该使用合理的标签来标记。除了外部系统的标记外,组织经常配置壁纸和屏幕保护来清晰地表明在系统中处理数据的等级。例如,处理机密数据的系统必须有壁纸和屏幕保护,目的是清晰地表明系统在处理机密数据。
- 处理数据——数据处理主要涉及数据的传输,并且关键是在传输过程中提供与数据存储时相同级别的保护。例如,在数据中心,存储在一台服务器上的敏感数据有许多安全控制来保护它们。在敏感数据存储位置之外时,数据的备份需要得到保护。保护的级别依赖于数据的价值。类似的,传输中的数据(网络上的传输)需要基于数据的价值提供保护。在发送数据之前对其进行加密以提供这种数据保护。
- 存储数据——数据存储的位置需要得到保护以防止丢失。数据主要存储在磁盘驱动上,并且需要有人去周期性地备份有价值的数据。存储敏感信息的备份位于一个位置,而其拷贝存放在另一个位置。物理安全机制防止这些备份被偷盗。有关环境的安全控制能防止数据由于腐蚀而丢失。
- 销毁数据——当数据不再需要时销毁数据,且以一种数据不可读的方式来销毁。简单地删除文件不能完全删除数据,而只是标记数据为删除,所以这不是一种删除数据的有效方式。当需要时,技术人员和管理员使用不同种类的工具来移除所有的可读文件元素。常常使用1和0序列的模式来覆盖文件或磁盘,或者使用其他的方法来粉碎文件。当删除敏感数据时,许多组织需要专人来销毁磁盘,目的是确保数据不可访问。
16.1.7 服务级别协议
服务级别协议(SLA)是组织和外部实体(如供应商)之间的一份协定。SLA保证对性能的期望被满足,也常常包含如果供应商不能满足这些期望会受到的处罚。除了SLA之外,公司常常使用备忘录协议(Memorandum of Understanding,MOU)和/或互联安全协议(Interconnection Security Agreement,ISA)。MOU记录了两个实体朝着共同目标在一起工作的意图。虽然MOU类似于SLA,但它是非正式的,且不包含对其中某个合作方不负责时的处罚。
16.1.8 关注人员安全
关注人员安全是安全运营中非常重要的安全因素。代替数据、服务器甚至整个建筑物等物体是有可能的。但对比之下,不可能代替人。顺着这个思路,公司应该实施安全控制来增强人员安全。
16.2 提供和管理资源
安全运营知识域的另一个元素是整个生命周期中的资源配置及管理,这包括多种类型的资产,如硬件、软件、物理资产、虚拟资产和基于云的资产。保护数据资产也很重要。
16.2.1 管理硬件和软件资产
本书中,硬件指信息技术资源,如计算机、服务器和外设。软件包括操作系统和应用程序。组织经常清点库存以便对软硬件进行跟踪。
1.硬件清单
2.软件许可
16.2.2 保护物理资产
物理资产在IT硬件之外,包括所有的物理设施,如组织的办公建筑及其内部设施。保护物理资产的方法包括栅栏、路障、门锁、安保、闭路电视(CCTV)系统等。组织在规划布局时,通常把敏感的物理资产定位到建筑物的中心。这就使得组织能够实施逐步加强的物理安全控制。
16.2.3 管理虚拟资产
为了大幅度节约成本,组织逐步使用越来越多的虚拟化技术。例如,组织可以将100台物理服务器减少到10台,托管100台虚拟服务器。这降低了供暖、通风、空调、电力和整体运营成本。
虚拟化不仅仅针对服务器。软件定义一切(SDx)是指以软件代替硬件的虚拟化趋势。在此概念下的虚拟资产包括:
- 虚拟机(VM)——虚拟机类似于物理服务器上的客户操作系统。物理服务器具有计算能力、内存和磁盘存储能力,能够满足虚拟机的需求。
- 软件定义网络(SDN)——SDN能够将控制平面从数据平面(或转发平面)中分离出来。控制平面使用协议来决定向哪里发送信息,而载有规则的数据平面决定是否转发信息。不同于传统的网络设备,如路由器和交换机,SDN控制器使用能够接收控制器指令的简单网络设备。这消除了一些与传统的网络协议相关的复杂性。
- 虚拟存储区域网络(VSAN)——VSAN是含有多个存储设备的专用高速网络。它们经常与需要高速访问数据的服务器一起使用。很久以来,由于复杂的硬件要求,SAN的价格居高不下。VSAN通过虚拟化绕过了这些复杂性。
虚拟化中的主要软件组件是管理程序。虚拟机管理程序管理虚拟机、虚拟数据存储和虚拟网络组件。作为物理服务器上附加的一个软件层,它也是另外的一个攻击面。如果攻击者能够破解物理机,那么就可以访问托管在物理服务器上的所有虚拟系统。管理员往往格外小心,以确保虚拟主机不被侵入。
虽然虚拟化可以简化许多IT概念,但我们仍要牢记:许多相同的安全基本要求仍然适用。例如,每个虚拟机仍然需要单独更新。更新主机系统不能更新虚拟机。此外,组织应保留虚拟资产的备份。许多虚拟化工具都具有内置的工具来创建虚拟系统的完整备份,并创建定期快照,以便及时进行较为方便的数据恢复。
16.2.4 管理基于云的资产
基于云的资产包括组织使用云计算访问的任何资源。
16.2.5 介质管理
介质管理是指采取措施保护介质和存储在介质上的数据。
16.2.6 管理介质的生命周期
所有介质设备的生命周期对我们都很有帮助,但其生命周期也是有限的。所有介质设备都有平均故障时间,这个时间能够告诉你该设备可使用的次数或年限。一旦备份介质设备已达到其寿命,就要进行销毁。
16.3 配置管理
配置管理有助于确保系统处于一致安全的状态,并在其整个生命周期维护这种状态。配置管理使用的一种方法是基线。
16.3.1 基线
基线是一个起点。在配置管理中,它是一个系统的启动配置。管理员为了满足不同需求,经常在完成系统部署之后修改基线。然而,当系统被部署在有安全基线的状态下时,系统会更安全。这尤其适用于组织具备有效的执行变更管理计划时。
基线可与检查列表同时产生,但需要人工确认系统以特定的方式或配置部署。然而,手动基线常有人为错误。人很容易遗漏下一个步骤或者错误配置系统。脚本和操作系统工具也被用来实现基线,使用自动方法能够减少手动基线的潜在错误。例如,微软操作系统包括组策略。管理员可以单次配置一个组策略,之后组策略会自动将设置应用到域中的所有计算机。
16.3.2 用镜像创建基线
许多组织使用镜像来创建基线。
16.4 变更管理
部署系统处于安全状态是个好开端。然而,确保系统保持相同的安全级别同样重要。变更管理有助于减少由未授权变更造成的不可预料的中断。变更管理的主要目标是确保变更不会导致中断。变更管理流程要求适当的人员在实施变更前审查和批准变更,并做详细记录。变更往往会产生意想不到的可能导致中断的副作用。管理员可以通过变更系统来解决问题,但会在其他系统中产生未知问题。
16.4.1 安全影响分析
变更管理过程确保人员可以进行安全影响分析。在生产环境中,专家对变更进行评估并识别安全影响之后,工作人员才开始实施变更。
变更管理控制提供一个过程来控制、文档化、跟踪和审计所有系统的变化。其中包括系统任何一方面的变更,包括硬件和软件配置。组织在任何系统的生命周期中都能够实现变更管理过程。
变更管理过程中的常见任务如下:
1)请求变更。
2)审查变更。
3)批准/拒绝变更。
4)计划和实施变更。
5)记录变更。
16.4.2 版本控制
版本控制通常是指软件配置管理中使用的版本控制。标签或编号系统将多台机器上或处于不同时间点的软件集与配置在一台机器上区分出来。
16.4.3 配置文档
配置文档确定当前系统的配置。它定义了系统负责人及系统目标,并且列出了所有应用于基线的变更。
16.5 补丁管理和减少漏洞
补丁管理和漏洞管理同时用于保护企业的系统免受威胁。在操作系统和应用程序中经常发现错误和安全漏洞。一经发现,供应商就会编写和测试补丁去消除该漏洞。补丁管理能够确保应用适当的补丁,并且漏洞管理有助于验证系统免受己知威胁的干扰。
16.5.1 补丁管理
如下是有效补丁管理程序中共同的步骤:
- 评估补丁:当供应商发布补丁后,管理员会进行评估,以确定补丁适用于他们的系统。例如,用于修复配置了DNS服务器的Unix系统漏洞的补丁,经评估不适用于配置了DNS服务器的Windows系统。类似地,如果Windows系统中的某个功能被禁用,则用于修补该功能的补丁也同样不需要了。
- 测试补丁:管理员随时都要测试单一系统的补丁,以确定该补丁不会带来其他副作用。最糟糕的情况就是,当使用补丁后,系统无法启动。例如,修补程序经常会引起系统开始无休止的重新启动周期。它们引发一个停止错误,并重复尝试重新启动后从错误中恢复。如果在单一系统上进行测试,那么只影响一个系统。然而,如果组织将未测试的补丁程序应用到一千台计算机上,就可能会有灾难性的结果。
- 批准补丁:管理员测试补丁并确定其安全性后,就会批准补丁的部署。批准程序中常用到变更管理过程(在本章前面叙述过)。
- 部署补丁:经过测试和批准,管理员部署补丁。许多组织使用自动化的方法部署补丁。自动化方法可以是第三方产品或由软件供应商提供。
- 确认补丁己部署:部署补丁后,管理员定期测试和审计系统,以确保系统补丁仍然有效。许多部署工具都有审计系统的功能。此外,许多漏洞评估工具也具有检查系统的功能,以确保随时有合适的补丁。
#补丁星期二和漏洞星期三#
16.5.2 漏洞管理
漏洞管理是指定期检测漏洞,评估并采取相应措施来减少相关风险。但消除风险是不可能的。同样,也不可能消除漏洞。然而,有效的漏洞管理程序能够帮助组织定期检测评估漏洞,并及时修补高危漏洞。漏洞管理程序的两个常见要素是例行漏洞扫描和定期脆弱性评估。
16.5.3 漏洞扫描
漏洞扫描器是用来测试系统和网络有无己知安全问题的软件工具。攻击者利用漏洞扫描器来检测系统和网络中的漏洞,如补丁丢失或密码等级较弱。当他们发现弱点时,就会发动攻击井利用这些漏洞。许多组织中的管理员使用相同类型的漏洞扫描器来检测他们网络中的漏洞。他们的目标是检测漏洞,并在被攻击之前修补漏洞。
16.5.4 漏洞评估
漏洞评估通常包含漏洞扫描结果,但真正的评估将涵盖更多的东西。例如,每年的漏洞评估可能会分析过去一年中的所有漏洞扫描报告,以确定组织是否正在修复漏洞。如果在每一份漏洞扫描报告上都有相同的漏洞,我们脑海中就会自然而然产生一个问题,为什么这个漏洞没有被修复?能接受的原因有:可能管理层选择接受漏洞,或是一直有对漏洞的扫描,但没有对漏洞采取修复措施。
漏洞评估往往是风险分析或风险评估的一部分,以确定某个时间点的漏洞。此外,漏洞评估还检测其他领域,以确定风险。例如,漏洞评估通过检测敏感信息在整个生命周期中如何被标记、处理、存储和销毁,来解决潜在风险。
16.5.5 常见漏洞和披露
根据通用漏洞披露(CVE)列表来看,漏洞很常见。CVE列表提供了一个标准的公约,用来找出漏洞。MITRE维护CVE漏洞库,可以单击网址 www.cve.mitre.org 来查看。
16.6 本章小结
- 一些基本的安全原则是任何环境中安全运营的核心。这些原则包括知其所需、最小特权、职责和责任分离、岗位轮换和强制休假。将它们结合使用,有助于防止安全事故的发生,并限制发生的范围。根据安全原则,管理员和运营者有特殊的特权去完成他们的工作。除了实施原则,监控特权活动以确保特权实体不滥用他们的访问权限也是非常重要的。
- 介质设备或其他含有数据的资产在其整个生命周期都受保护。介质设备包括任何可以保存数据的设备,例如磁带、内部驱动器、便携式驱动器(USB、FireWire和eSATA)、CD和DVD、移动设备、存储卡和打印输出设备。带有敏感信息的介质设备会被组织以相应的处理办法标记、处理、存储和销毁。资产管理延伸到组织内部除介质以外的任何资产一理资产,如计算机和软件资产(如购买的应用程序和软件许可密钥)。
- 虚拟资产包括虚拟机、软件定义网络(SDN)和虚拟存储区域网络(VSAN)。虚拟机管理是管理虚拟组件的主要软件构件,但虚拟机管理也增加了额外的攻击面,所以确保它被部署在安全的状态井持续更新补丁显得尤为重要。此外,每个虚拟组件需要单独更新。
- 基于云的资产包括存储在云中的任何资源。当与云服务提供商谈判时,必须明确谁是维护安全的负责人。一般情况下,云服务提供商作为服务资源提供方承担大部分责任,平台即服务(SaaS)产品提供商承担小部分责任。基础设施即服务(IaaS)产品提供商承担最少的责任。当洽谈云服务时,许多组织使用服务级别协议(SLA)。SLA保证满足性能预期,井且通常包括供应商不满足这些预期的处罚措施。
- 变更和配置管理是有助于减少中断的两个额外控制手段。配置管理确保系统部署以一致且安全的方式进行。镜像是一种常见的配置管理技术,能够确保系统以己知基线运行。变更管理有助于减少未授权的更改而导致意外中断,也可以帮助阻止弱化安全性的变更。
- 补丁和漏洞管理程序同时工作,以保持系统免受己知漏洞的威胁。补丁管理保持系统能够及时更新最新的相关补丁。漏洞管理包括漏洞扫描,以检查各种己知的漏洞(包括未打补丁的系统),也包括作为风险评估一部分的漏洞评估。
16.7 考试要点
- 理解知其所需和最小特权原则。知其所需和最小特权原则是在安全网络中实现的两条标准的信息安全保护原则。它们限制访问数据和系统,使用户和其他使用方只访问他们所需的数据。这种有限的访问有助于防止非安全事件的发生,井有助于限制事件发生时的范围。一旦不遵守这些原则,安全事件会给组织带来更大的损失。
- 理解职责分离和岗位轮换制度。职责分离是一条基本的安全原则,能够确保单人不能完全控制关键的功能或系统的所有元素。随着岗位轮换,员工被轮换到不同的工作岗位或者任务被分配给不同的员工。共谋是一种在多人之间达成的协议,目的是完成一些未授权或非法的行为。通过限制单个人行为来执行这些策略有助于防止没有同谋下的欺诈。
- 理解监控特权操作的重要性。特权实体应该被信任,但他们也可以滥用特权。正因为如此,才要监控所有的特权分配和特权使用操作。目标是确保值得信赖的员工不滥用他们被授予的特权。
- 理解信息生命周期。数据在整个生命周期中都需要加以保护。首先要正确地分类和标记数据,还包括适当的处理、存储和销毁数据。
- 理解服务级别协议。组织与外部实体(如供应商)使用服务级别协议(SLA)。此协议约定了预期值(如最大停机时间),并且如果供应商未能在预期内完成,协议中还规定了相应的处罚措施。
- 理解虚拟资产。虚拟资产包括虚拟机、软件定义网络(SDN)和虚拟存储区域网络(VSAN)。虚拟机管理程序是管理虚拟组件的主要软件构件,但虚拟机管理程序也增加了额外的攻击面,所以确保它被部署在安全的状态并持续更新补丁显得尤为重要。此外,每个虚拟组件需要单独更新。
- 认识云资产的安全问题。云资产包括通过云访问的任何资源。云存储增加了数据的风险,所以需要采取更多的措施保护数据。采取何种措施取决于数据的价值。当租赁云服务时,必须了解哪方负责执行维护和安全措施。在IaaS模型中,供应商提供的维护和保障最少。
- 解释配置和变更控制管理。有效的配置和变更管理程序能够预防许多中断和错误事件的发生。配置管理确保系统的配置相似,系统配置己知且记录在案。基线保证系统的部署处于相同基线或相同起点。镜像是一种常见的基线法。变更管理有助于减少中断或由于未授权变更而引起的安全性削弱。变更管理过程需要变更被请求、批准和记录。版本管理使用标签或编号系统来跟踪变化,更新软件版本。
- 理解补丁管理。补丁管理确保系统保持当前补丁的最新。应该明确,有效的补丁管理程序包括评估、测试、批准和部署补丁几部分。此外,系统审计会验证己批准补丁在系统中的部署情况。补丁管理通常与变更和配置管理交织在一起,以确保文档能真实反映变更情况。如果组织没有有效的补丁管理程序,就会经常遇到由未知问题引发的中断或错误,这些本是可以避免的。
- 解释漏洞管理。漏洞管理包括常规的漏洞扫描和定期的漏洞评估。漏洞扫描可以检测己知的安全漏洞和弱点,如补丁缺失或弱密码。扫描能够生成关于系统的技术漏洞报告,且对于补丁管理程序是很有效的一种检查方法。漏洞评估不仅仅是技术性扫描,还包括审查和审计以检测漏洞。
参考链接:
=END=
《 “CISSP官方学习指南第7版#第16章” 》 有 13 条评论
SLA对应的全年可容忍宕机(服务不可用)时间
https://uptime.is/99.999
https://en.wikipedia.org/wiki/High_availability
`
99% 3.65 天/year (两个9)
99.9% 8.76 小时/year (三个9)
99.99% 52.56 分钟/year (四个9)
99.999% 5.26 分钟/year (五个9)
99.9999% 31.5 秒/year (六个9)
99.99999% 3.15 秒/year (七个9)
`
企业 MITRE ATT&CK 战术与技术列表
https://docs.google.com/spreadsheets/d/1voZ_CdlYQHw2jgp-Ses-hW7cH5vZhSoVevBL7PvIXPQ/htmlview
ATT&CK 导航第2版发布
https://www.mitre.org/capabilities/cybersecurity/overview/cybersecurity-blog/just-released-version-2-of-the-attck%E2%84%A2
数据库基线检查工具DB_BASELINE
https://paper.tuisec.win/detail/378d279d45b2db9
https://xz.aliyun.com/t/2303
https://github.com/wstart/DB_BaseLine
`
介绍
DB_BASE 使用说明
DB_BASELINE 检查规范
DB_BASELINE 编写规范
DB_BASELINE 基础构造
DB_BASELINE 返回值
`
安全资产管理中容易被忽视的几点
https://mp.weixin.qq.com/s/klsIz9bOMIIsMjCqQixxKw
`
安全资产管理是企业安全建设中非常重要的工作,事前要主动通过资产管理发现风险和威胁,高危端口和服务等要消除。事中要做到当1day风险爆发时,安全团队能拉一份清单,哪些受影响,受影响的处理步骤,哪些先处理,哪些后处理,怎么保障可用性,一整套方案给到部门总经理,安全团队才有价值。
分支机构和公有云资产:除了总部和自有资产以外,还要考虑组织分支机构和外部公有云的相关资产,避免在安全运营及外部合规性核查中因自身资产盲区导致不良后果;
新型安全资产:还存在着一些不引人注意的资产类型。例如企业公众号、企业微博号等组织市场推广资源。从组织整体安全运营的角度看,这些资源可能存在误用、盗用、使用不规范等问题导致发布了不合适的内容信息。公众信息发布的安全性,也可以作为安全资产管理的一个关注点;
存在安全隐患的隐藏资产:除了直观可见的安全资产外,还存在着一些不面向大众用户的隐藏资产。例如开放在公网API接口、网站管理后台等。以API为例,该资源不得不开放在互联网侧,基于用户的分布性又难以限制可接入IP,容易受到API参数篡改、内容篡改、中间人攻击等安全威胁。可通过前端防护设备及鉴权控制保障此类资产的安全性;
特权账号:特权账号因其权限较大,比普通账号具有更强的脆弱性。账号作为业务系统人机交互的钥匙,在安全资产管理中容易受到忽视
易被忽视的资产属性:还有一些容易受到忽视,但对业务安全及业务可用性有很大影响的资产属性。例如网站证书的有效期、域名有效期、各类设备维保时间和供应商联系电话等等。
`
Windows ATT&CK 日志分析备忘清单(PDF)
https://static1.squarespace.com/static/552092d5e4b0661088167e5c/t/5b8f091c0ebbe8644d3a886c/1536100639356/Windows+ATT%26CK_Logging+Cheat+Sheet_ver_Sept_2018.pdf
攻击面管理策略梳理
https://mp.weixin.qq.com/s/q-5SeJZ9eV9qUXXvzsrSdw
`
现在很多安全企业和厂商都在谈论漏洞/病毒分析、态势感知、或者用户行为分析这种高大上的话题。这听起来很牛X,但对于很多企业来说这些工作的技术门槛和经费代价还是很高的。但有些不那么高大上的,且技术门槛和经费代价也不那么高的工作可能会达到更好的效果,比如:攻击面管理。
一、基础资产(IP+端口+服务)
二、访问控制策略
三、NAT策略
四、无用域名
五、数据接口
上面列举了五个方面的管理方法,其核心目的不过是想不断减少攻击面。笔者认为这种思想应该嵌入到日常安全工作中。如果可能,尽量将威胁用最简单的方法消除掉。无需炫技,无需邀功,因为这是企业安全最基本的工作,没有之一!
`
应用安全能力建设目标与策略
https://zine.la/article/02c0f8ac8bb24255ab5635c125576e29/
`
本文从互联网企业的信息安全组织架构出发,讨论企业在构建应用安全能力时涉及的管理目标和策略,以及如何通过管理目标和策略保障应用安全相关工作能切实落地。
本篇主要包含以下内容:
信息安全组织架构
应用安全管理目标
应用安全管理策略
`
如何使用 MITRE ATT&CK 框架协助安全运维
https://www.slideshare.net/votadlos/how-mitre-attck-helps-security-operations
技术洞察:细说补丁管理工具
https://mp.weixin.qq.com/s/o63euO5J3eEUsrKCKMPXXg
`
补丁管理并不是一个新的概念,但它仍然是所有安全和运维人员最关注的话题之一,其重要性不言而喻。根据Gartner的权威报告显示,当下99%的漏洞都是安全人员一年前就知道的漏洞,并且这些漏洞都有对应的补丁可以来修复它们。
因此,安全团队、合规团队和监管人员都在推动如何更快地进行补丁修复。然而,补丁管理是一项复杂的活动,在整个补丁部署过程中,必须确保应用程序和系统的稳定性。
# 不同平台的补丁类型
如何将补丁迅速部署到服务器、终端PC、数据库和应用程序等资产上,已经成为企业机构亟需解决问题。但是相比于终端补丁修复,服务器和应用程序补丁的修复要难得多。
1、服务器补丁管理
2、第三方应用程序补丁管理
3、PC客户端补丁管理
运维人员使用补丁管理工具应该能够自动化完成目标系统的补丁部署、安装,并且报告修复状况,如PC、服务器、数据库和应用程序。补丁管理工具可以是:
(1)包含在客户端和服务器生命周期管理套件中的插件。
(2)增强客户端和服务器生命周期管理套件的外挂程序。
(3)独立部署的解决方案。
# 补丁管理工具必须具备的功能
(1)资产清点:补丁管理工具必须清晰了解硬件、操作系统和软件的资产清单状况,才能确定是否需要打补丁,打什么样补丁等问题。
(2)补丁库:补丁管理工具提供了一个存储库,用于存储和管理环境中的相关补丁。大多数工具可以自动从独立软件供应商(ISV)下载补丁,并且大多数工具都能够存储从其他来源获得的补丁。
(3)补丁分析:补丁管理工具需要根据业务环境和公共漏洞(如CVE评级)帮助管理员确定补丁部署的优先级。此外,也有的企业组织使用漏洞评估工具来帮助确定补丁的优先级。
(4) 部署和安装:补丁管理工具应该具有回滚功能以及重新启动控件功能,并且能够确保只在特定的维护窗口期间部署补丁。
(5)报告:补丁管理工具必须能够报告环境的当前状态,并提供历史报告。
补丁管理工具的核心价值是,帮助企业组织跨平台和应用程序快速地修补易受攻击的系统补丁。
`
专题·原创 | 企业需要什么样的安全运营?
https://mp.weixin.qq.com/s/AYzQp0R2n36kDabolfgB0g
`
企业信息安全建设初期,在网络层、系统层、应用层、数据层等部署了一系列安全设备和管控措施进行日常运维,并确保其稳定运行。但往往会发现安全状况并没有得到有效的改善,安全问题仍然频发,究其根本原因,是没有进行有效的安全运营。那么,企业如何建设有效的安全运营体系呢?
一、安全运营是什么
参考上述内容,安全运营可以定义为:“为了实现安全目标,提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化的过程。”
二、安全运营解决什么问题
占据“半壁江山”的安全运营,重点要解决以下两个问题:
1.安全运营的第一个目标:将安全服务质量保持在稳定区间。
安全运营的目标之一,就是在企业规模变大,业务和系统日趋变复杂的情况下,在资源投入保持没有大的变化情况下,尽量确保安全团队的服务质量保持在稳定区间。
2.安全运营的第二个目标:安全工程化能力。
安全运营还需要解决的一个问题是安全工程化能力提升的问题。例如企业内很多有经验的安全工程师能够对一台疑似被黑的服务器进行排查溯源,查看服务器进程和各种日志记录,这是工程师的个人能力。如何将安全工程师的这种能力转变成自动化的安全监测能力,并通过安全平台进行应急响应和处理,让不具备这种能力的安全人员也能成为对抗攻击者的力量,这是安全工程化能力提升的收益,也是安全运营关注的问题。
三、安全运营的思考
企业通常从架构、工具和资源三个方面进行安全运营的建设,但实际的安全运营往往并不如人意。因为实际工作中,还会遇到各类突发问题,需要时刻保持思考,并做出适应和改变。
1.难点
(1)企业自身基础设施成熟度不高
(2)安全运维不能包治百病
(3)难以坚持
2.安全检测为什么会失效
单点检测和防御,企业规模化检测和防御是两个概念,很多单点检测和防御很有效,但在企业上了规模后就会出现安全检测失效的问题,严重的甚至导致新的安全机制无法推广和部署,最终不得不取消。
在实践中,如果某次安全攻击没有检测到,其实是一个非常好的提升企业安全运营能力的机会,因为这意味着一定是某个环节弱化导致安全检测失效了。通过每一次对问题的排查和解决,就可以逐步实现安全运营能力的进步。
一般排查的顺序是:单点检测深度不足->覆盖率不足->安全运维平台可用性出了问题->告警质量问题->人的问题。
3.白名单还是黑名单
4.企业需要什么样的安全和安全运营
类似软件能力成熟度模型CMMI,安全运营也有个成熟度阶段:
(1)一级:自发级。部署了一些较为基础的安全措施和管控,单点防御投入了较多人力财力,比较依赖于厂商,对于企业安全没有整体把控。
(2)二级:基础级。具有安全运营的理念并付诸行动,建立了较为完善的安全防护体系,并通过安全运营保障安全有效性,具有攻防能力的个人或团队,能够解决实际安全问题。
(3)三级:自动化级。具有自动化监测、响应、处理甚至反击能力,对企业自身安全现状和能力具有全局掌控力,具有入侵感知能力,能进行一定级别的攻防对抗。
(4)四级:智能级。采用了白名单的安全防护原则,具有真正意义的智能安全检测,能够对偏离正常行为模式的行为进行识别。
(5)五级:天网级。天网恢恢疏而不漏,让所有恶意行为无所遁形。这级别的安全,还是一个理想状态,目前为止还没有真实案例。
无论怎样,企业必须要坚持适合自己就是最好的原则。如果需求是一辆自行车,结果来了一辆专机,实际效果也未必理想。
`
胡珀谈安全运营
https://mp.weixin.qq.com/s/fkbZLYCQOYal-CmKspf9-g
`
【lake2:】大家都在谈运营,我理解的安全运营是什么呢?除开系统研发之外的所有工作都属于运营,比如:策略的调优、事件的跟进处理、还包括安全意识的宣导。总之,一切围绕着提升安全能力开展的工作都属于安全运营。
【lake2:】我看到行业里有个普遍现象,很多团队“重建设、轻运营”。就是说,很多人非常关注一个系统的部署上线,而往往忽视了上线之后的运营工作。这个很容易理解:系统上线是一个重大工程,往往备受关注;运营工作属于常规工作,自然不受重视。于是就有人这样生产了一个又一个不运营的系统和项目,最终成为了烂尾楼。但现实却恰恰相反,系统上线只是开始,真正让系统发挥作用、产生价值的是上线后的持续运营工作。我自己在腾讯的安全团队待了十二年,在互联网安全领域不断摸索,深深感受到安全运营的重要,也感谢腾讯的领导和同事以及外部安全专家、白帽子的帮助。我经常说安全是一个过程,要不断修炼,就是持续不断运营的意思。
【lake2:】运营的思路主要是通过分析当前情况,发现主要矛盾,然后解决主要矛盾。这个主要矛盾解决后就有新的主要矛盾,所以运营是个不断循环的过程。比如前面提到的SQL注入漏洞误报就是一个问题,主要矛盾是页面动态变化,所以就增加一个流程先发现动态变化的部分,去掉之后再进入比较。网马0day检测的主要矛盾就是需要提炼通用检测特征。其实我们的好几个CVE都是通过运营发现的,包括这个flash的溢出0day,还有一个绕过flash同源策略的0day,以及当年针对phpMyAdmin的供应链攻击(当时还没有软件供应链攻击这个概念)。所以运营,是非常的重要。
`
专题·原创 | 企业需要什么样的安全运营?
https://mp.weixin.qq.com/s/AYzQp0R2n36kDabolfgB0g
`
一、安全运营是什么
二、安全运营解决什么问题
三、安全运营的思考
四、结语
企业需要什么样的安全和安全运营?适合自己的就是最好的,或者说投入和收益比最大的就是最好的。企业的安全投入和公司的规模和盈利能力相关,公司规模大,盈利能力强,处于发展期时,预算和人员编制都会增加,业务停滞时安全做得再好也不会追加投入。因为在甲方,安全不是主营业务,信息技术部门已经是公司的中后台职能型部门,安全团队是信息技术部门中的中后台,谓之后台中的后台。所以适合自己的安全就是最好的安全。
企业安全建设可分为以下几个阶段:
第一阶段:基础建设阶段。如果基本的安全体系尚不完备,处于救火阶段或者安全体系化建设捉襟见肘,类似APT攻击的高级防御可以先搁置,先把需要快速止血的安全工作做好,也就是基础安全工作。这部分工作看似不那么高大上,但却是企业安全最基础最有用的“保命”工作,不需要太多额外投入就可以规避80%的安全问题,让企业有一个基础的安全保障。
第二阶段:系统建设阶段。建设各种安全监测防护手段,以及各类安全规范和安全流程,一般采用27001体系+商业解决方案+少量自研可以实现。
第三阶段是安全高阶建设。这阶段基本商业产品很难满足企业安全需求,以自我研发和自动化智能化为特征,核心还是以解决企业遇到的实际安全问题为目标。能进入这个阶段的企业不多,但基本代表了该行业的未来发展方向。
类似软件能力成熟度模型CMMI,安全运营也有个成熟度阶段:
(1)一级:自发级。部署了一些较为基础的安全措施和管控,单点防御投入了较多人力财力,比较依赖于厂商,对于企业安全没有整体把控。
(2)二级:基础级。具有安全运营的理念并付诸行动,建立了较为完善的安全防护体系,并通过安全运营保障安全有效性,具有攻防能力的个人或团队,能够解决实际安全问题。
(3)三级:自动化级。具有自动化监测、响应、处理甚至反击能力,对企业自身安全现状和能力具有全局掌控力,具有入侵感知能力,能进行一定级别的攻防对抗。
(4)四级:智能级。采用了白名单的安全防护原则,具有真正意义的智能安全检测,能够对偏离正常行为模式的行为进行识别。
(5)五级:天网级。天网恢恢疏而不漏,让所有恶意行为无所遁形。这级别的安全,还是一个理想状态,目前为止还没有真实案例。
无论怎样,企业必须要坚持适合自己就是最好的原则。如果需求是一辆自行车,结果来了一辆专机,实际效果也未必理想。
`