L'expertise de T&E consiste à fournir une prise de conscience précoce des forces et des faiblesses du système pendant le processus de développement pendant le cycle de vie du système.

Sensibilisation requise pour gérer les risques

Données empiriques pour valider les modèles et les simulations

Tests de performances techniques et de maturité du système

Détermination de l'efficacité, de l'adaptabilité et de la capacité de survie de l'exploitation et de la maintenance

Identifier, gérer et réduire les risques

Sensibilisation requise pour gérer les risques

Données empiriques pour valider les modèles et les simulations

Tests de performances techniques et de maturité du système

Détermination de l'efficacité opérationnelle, de l'adaptabilité et de la capacité de survie.

Travailler avec des organisations de parrainage pour établir ou évaluer des stratégies de voyages et d'études afin de soutenir l'acquisition/le développement de programmes ;

Fournir des méthodes T&E capables de gérer en profondeur les risques ;

Surveiller les processus T&E et les changements qui peuvent être nécessaires ;

Évaluer et fournir des recommandations sur l'adéquation des plans et des procédures de test pour les tests de développement ou les tests opérationnels ;

Il est en outre attendu qu'il comprenne la justification des procédures d'acquisition/développement pour l'établissement et l'exécution des stratégies T&E ;

Attendez-vous à comprendre les activités spécifiques des tests T&E, telles que les tests d'interopérabilité ;

Ce groupe est souvent appelé équipe produit intégrée T&E et se compose d'experts T&E, de représentants des utilisateurs clients et d'autres parties prenantes ;

La stratégie T&E est un document évolutif et l'équipe est responsable de sa mise à jour en cas de besoin ;

L'équipe doit s'assurer que le processus T&E inclut des stratégies d'acquisition et que le système répond aux exigences opérationnelles en fonction des capacités utilisées ;

Par exemple, l'analyse des journaux de routage est utile pour identifier les incidents de sécurité, les violations de politique, les comportements frauduleux et les problèmes opérationnels.

Mener des audits et des enquêtes médico-légales ;

Soutenir les enquêtes internes ;

Établir une base de référence ;

Identifier les tendances opérationnelles et identifier les problèmes à long terme ;

Nécessité d'équilibrer les ressources limitées de gestion des journaux avec les données de journaux générées en continu

Production et stockage de grumes

Nécessité de protéger l'intégrité, la confidentialité et la disponibilité des journaux

Assurez-vous que les administrateurs de sécurité, système et réseau analysent les données des journaux régulièrement et efficacement.

Définir les exigences et les objectifs de journalisation

Les exigences et les recommandations en matière de journalisation doivent être générées ainsi que les ressources et les techniques d'analyse détaillée requises pour mettre en œuvre et maintenir la journalisation.

Protection des journaux originaux

Optimisez les journaux et les exigences, en fonction de la réduction perçue des risques organisationnels ainsi que des ressources et du temps prévu requis pour effectuer la gestion des journaux.

Établir les responsabilités et les rôles en matière de gestion des journaux

Une architecture de gestion des journaux englobe le matériel, les logiciels, le réseau et les supports utilisés pour générer, transmettre, stocker, analyser et traiter les journaux.

La conception d'un cadre de gestion des journaux doit prendre en compte les besoins actuels et futurs du cadre de gestion ainsi que les sources de journaux indépendantes au sein de l'organisation.

Les administrateurs du système doivent recevoir un soutien adéquat ;

Y compris la diffusion d'informations, la fourniture de formations, la fourniture d'un point de contact pour les questions et réponses, Fournir des conseils techniques spécifiques, les outils et la documentation correspondants, etc.

Responsabilités de l'administrateur de journaux

Processus de gestion des journaux

Source du journal

défi

pratiques clés

Méthodes de surveillance Web conçues pour capturer ou analyser chaque transaction de chaque utilisateur sur le Web ou l'application

Également connu sous le nom de mesure de l'utilisateur réel, de métriques de l'utilisateur réel ou de surveillance de l'expérience de l'utilisateur final (EUM).

surveillance passive Méthode de surveillance passive

Mode moniteur

surveillance proactive Approche de surveillance proactive ou pré-réactive

Ne suit pas les sessions utilisateur réelles

Entièrement contrôlable par le client contrôle total sur le client

Logiciel de gestion des opérations Microsoft System Center

Augmenter la valeur

Modèles de programmation inappropriés tels que vérifications manquantes affectant les données utilisateur, injection SQL (validation des entrées)

Inadéquation de l'infrastructure de sécurité : contrôle d'accès excessif ou configuration de cryptage faible ;

Erreurs fonctionnelles dans l'infrastructure de sécurité : les installations d'application du contrôle d'accès elles-mêmes ne restreignent pas l'accès au système ;

Erreurs logiques dans le processus de mise en œuvre : par exemple, l'utilisateur passe une commande sans payer

Top 25

Boîte blanche (tests structurels/tests en boîte ouverte) vs tests en boîte noire (tests fonctionnels/tests en boîte fermée)

Tests dynamiques VS tests statiques. Tests dynamiques et tests statiques

Manuel ou automatisation Tests manuels vs tests automatisés

surface d'attaque

Types d'applications

qualité

Technologie de support

Performances et utilisation des ressources

Examen de la sécurité de l'architecture

Modélisation des menaces -

Analyse du code source statique (SAST) et révision manuelle du code (analyse du code statique et révision manuelle du code)

Analyse du code binaire statique et examen binaire manuel (analyse du code binaire statique et examen binaire manuel)

Tests d'intrusion manuels ou automatisés

Analyse automatisée des vulnérabilités

Outils de test de fuzz Outils de test de fuzz

Il est recommandé d'utiliser une technologie de test de sécurité passive pour surveiller le comportement du système et analyser les journaux système.

Lors de la maintenance logicielle, les tests de correctifs sont très importants

Les tests logiciels ont leurs limites et il est impossible de réaliser des tests à 100 %

Les plans de test et les cas de test doivent être développés le plus tôt possible dans la phase de développement du logiciel.

Les tests de sécurité logicielle commencent généralement par des tests au niveau unitaire et se terminent par des tests au niveau du système.

Tests structurés (tests "boîte blanche") Test de déballage

Les cas de test sont basés sur les connaissances acquises à partir du code source, des spécifications de conception détaillées et d'autres documents de développement ;

Couverture du relevé Couverture du relevé

Couverture de la décision (direction) Couverture de la décision

Couverture des conditions de couverture,

Couverture multi-conditions Couverture multi-conditions

Couverture de boucle Couverture de boucle

Couverture du chemin Couverture du chemin

Couverture du flux de données Couverture du flux de données

Les cas de test sont définis en fonction de ce que le produit logiciel est spécifiquement censé faire ;

Les principaux défis des cas de test sont l'utilisation prévue et la fonctionnalité du programme ainsi que les interfaces internes et externes du programme ;

Les tests fonctionnels doivent être appliqués à n'importe quel niveau de test logiciel, des tests unitaires aux tests au niveau du système.

Cas normal Cas d'utilisation courant

Sortie Forçage des exigences de sortie,

Robustesse Robustesse

Combinaisons d'entrées Combinaisons d'entrées

faiblesse faiblesse

Fournit une couverture structurelle élevée

Générer des données aléatoires à partir d'une distribution définie en fonction de l'environnement d'exploitation (utilisation prévue, utilisation dangereuse ou utilisation malveillante du produit logiciel) ;

Générer de grandes quantités de données de test et les utiliser pour couvrir des domaines ou des domaines de préoccupation spécifiques, offrant ainsi une probabilité accrue d'identifier des conditions de fonctionnement uniques et extrêmement rares qui n'étaient pas anticipées par les concepteurs et les testeurs ;

raison

But

Tests au niveau unitaire (module ou composant) Test de l'unité

Tests de niveau d'intégration Tests d'intégration (test des interfaces entre modules)

Tests au niveau du système Test du système

Test d'admission

Les tests système présenteront le comportement du produit logiciel dans un environnement spécifique ;

Les procédures de test, les données de test et les résultats des tests doivent être documentés de manière à permettre des décisions de réussite ou d'échec ;

Les produits logiciels d'entreprise sont complexes et les tests des produits logiciels doivent maintenir la cohérence, l'exhaustivité et l'efficacité ;

Les tâches de maintenance logicielle sont différentes de la maintenance matérielle. Le matériel comporte des mesures de maintenance préventive, mais pas le logiciel.

Nécessite une vérification valide des modifications

Révision du plan de validation du logicielRévision du plan de validation du logiciel,

Vérification des exceptions d'évaluation des anomalies,

Identification des problèmes et suivi de leur résolution Identification des problèmes et suivi de leur résolution,

Évaluation du changement proposé Demander une évaluation du changement

Itération de tâche itération de tâche,

Mise à jour de la documentation Mise à jour de la documentation

Cas de test du point de vue des utilisateurs normaux utilisant le système

Cas d'utilisation du point de vue d'une personne ayant des intentions malveillantes sur le système.

Assurez-vous que l'application fonctionne comme prévu et échoue si des erreurs sont détectées lors des tests avancés.

Assurez-vous que votre application gère de manière appropriée les entrées non valides ou les comportements inattendus des utilisateurs.

Il vérifie principalement si les différents composants du développement de l’application ou du système sont synchronisés les uns avec les autres ;

D'un point de vue technique, les tests d'interface sont principalement utilisés pour déterminer différentes fonctions telles que Si les données sont transférées comme prévu entre les différents éléments du système.

Utilisé pour garantir la qualité des logiciels

Découverte, collecte d'informations sur la cible (découverte)

Énumérer, effectuer des méthodes d'analyse des ports et d'identification des ressources

Exploration des vulnérabilités, identification des vulnérabilités dans les systèmes et ressources identifiés

exploiter, tenter d'exploiter une vulnérabilité pour obtenir un accès non autorisé

Faire rapport à la direction et soumettre des rapports et des recommandations de sécurité à la direction

Tests en boîte noire, compréhension nulle, l'équipe d'intrusion teste sans comprendre les objectifs du test

Tests en boîte grise, tests basés sur la connaissance de certaines informations liées à l'objectif du test

Tests en boîte blanche, tests basés sur la compréhension de l'essence de la cible

0 connaissance

connaissance partielle

toutes les connaissances

Composez une gamme de numéros de téléphone pour trouver les modems disponibles

Certaines organisations utilisent encore des modems pour la sauvegarde des communications

La numérotation de guerre est une forme d'intrusion dans le réseau d'une organisation conçue pour contourner les pare-feu et les systèmes de détection d'intrusion (IDS).

Les attaques War Dial impliquent des tentatives d'accès aux ressources informatiques et réseau internes d'une organisation via un accès commuté, Cela apporte du confort aux pirates.

auto-test

Il y a des vulnérabilités dans la couche noyau

Contre-mesure : assurez-vous que les correctifs de sécurité sur le système d'exploitation sont déployés rapidement après des tests adéquats dans l'environnement afin de maintenir la fenêtre de vulnérabilité aussi petite que possible.

Contre-mesures : bonnes pratiques de programmation et formation au développement, code source des scanners automatiques, Bibliothèque de programmation améliorée pour utiliser un typage en langage fort pour interdire les débordements de tampon

Les pirates redirigent les liens symboliques pour obtenir un accès non autorisé.

Contre-mesure : lors de l'écriture de programmes (en particulier de scripts), il n'existe aucun moyen d'éviter le chemin complet du fichier.

Un descripteur de fichier est un numéro utilisé par de nombreux systèmes d'exploitation pour représenter les fichiers ouverts dans un processus. Certains numéros de descripteur de fichier sont universels et ont la même signification pour tous les programmes.

Si un programme utilise des descripteurs de fichiers de manière non sécurisée, cela peut permettre à un attaquant d'exploiter les privilèges du programme pour fournir une entrée inattendue au programme ou pour que la sortie soit dirigée vers un endroit inattendu.

Contre-mesures : de bonnes pratiques de programmation et une formation au développement, des scanners de code source automatisés et des tests de sécurité des applications sont autant de moyens de réduire ce type de vulnérabilité.

Défaut d’éliminer les facteurs de vulnérabilité environnementale avant d’exécuter les procédures

Peut permettre à un attaquant de lire ou d'écrire des données inattendues ou d'exécuter des commandes non autorisées

Contre-mesures : bonnes pratiques de programmation et formation au développement, scanners de code source automatisés et tests de sécurité des applications

Lorsqu'un processus parent crée un processus enfant, il convient de prêter attention aux conditions de concurrence et à l'autorisation minimale.

Autorisations incorrectes de fichier ou de répertoire

Contre-mesure : vérification de l'intégrité des fichiers, vérifiez également les autorisations des fichiers et répertoires attendus

Sensibilisation utilisée pour définir la sécurité actuelle de l'information, les vulnérabilités et les dangers afin de soutenir les décisions organisationnelles en matière de risques liés à la sécurité de l'information ;

Tous les efforts et processus utilisés pour soutenir la surveillance de la sécurité des informations dans l'ensemble de l'organisation doivent commencer par une stratégie ISCM sophistiquée définie par la haute direction ;

Il repose sur une compréhension claire de la tolérance au risque organisationnel et aide les entreprises à définir des priorités et à gérer la cohérence des risques dans l'ensemble de l'organisation ;

Inclure des mesures pour fournir une véritable signification de la posture de sécurité à tous les niveaux organisationnels ;

Assurer l'efficacité continue de tous les contrôles de sécurité ;

Vérifier la conformité aux exigences de sécurité de l'information déterminées par la mission organisationnelle/les fonctions commerciales, les lois et réglementations nationales, les orientations et les normes d'orientation ;

Tous les actifs informatiques de l'organisation sont informés et la visibilité sur la sécurité des actifs est facilitée ;

Assurer la connaissance et le contrôle des changements apportés aux systèmes organisationnels et à l’environnement ;

Rester conscient des menaces et des vulnérabilités.

Surveillance continue de la sécurité de l'information (ISCM) des systèmes et organisations d'information fédéraux

Les programmes ISCM sont établis pour collecter des données sur la base d'indicateurs de mesure prédéfinis, facilitant ainsi l'exploitation des changements d'informations en partie grâce aux contrôles de sécurité qui ont été mis en œuvre.

La surveillance des risques à l’échelle de l’organisation ne peut pas être réalisée efficacement en s’appuyant sur des processus manuels distincts ou uniquement sur des processus automatisés :

Les mesures incluent toutes les informations liées à la sécurité provenant de l'évaluation et de la surveillance produites par des outils automatisés ainsi que des procédures manuelles, organisées en informations significatives pour soutenir la prise de décision et les exigences de reporting.

Les mesures doivent être guidées par des objectifs spécifiques visant à maintenir ou à améliorer la posture de sécurité.

Les métriques développent des données au niveau du système qui donnent un sens au contexte de la mission/de l'entreprise ou à la gestion des risques organisationnels ;

Mesures de mesure des informations pertinentes pour la sécurité obtenues à différents moments et avec différents niveaux de latence.

Volatilité du contrôle de sécuritéVolatilité du contrôle de sécurité

Catégories de système/niveaux d'impact Catégories de système/niveaux d'impact

Contrôles de sécurité ou objets d'évaluation spécifiques fournissant des fonctions critiquesContrôles de sécurité ou objets d'évaluation spécifiques fournissant des fonctions critiques

Contrôles de sécurité avec faiblesses identifiées Contrôles de sécurité avec faiblesses identifiées

Tolérance au risque organisationnel Tolérance au risque organisationnel,

Informations sur les menacesInformations sur les menaces

Informations sur la vulnérabilité

Résultats de l'évaluation des risquesRésultats de l'évaluation des risques

Exigences de déclarationExigences de notification

Par exemple, la loi fédérale américaine sur la gestion de la sécurité de l'information (FISMA Federal Information Security Management Act) exige que les agences fédérales effectuent des auto-audits et des audits par des tiers indépendants du système de sécurité de l'information de l'organisation au moins une fois par an ;

Les professionnels de la sécurité de l’information doivent comprendre les exigences énoncées dans les normes juridiques pour assurer une protection, mais une protection complète ou une gestion des risques des systèmes d’information est rarement assurée ;

Les professionnels de la sécurité de l'information doivent garantir une portée et une adaptation appropriées pour obtenir le nombre approprié de contrôles au niveau approprié pour le système cible.

Afin de se concentrer sur leurs compétences clés, de réduire leurs dépenses et de déployer plus rapidement de nouvelles fonctions applicatives, les organisations Externalisation continue des systèmes, des processus commerciaux et du traitement des données vers des prestataires de services ;

L'organisation met fréquemment à jour le processus de surveillance et de gestion des risques d'externalisation du prestataire de services d'externalisation ;

Historiquement, de nombreuses organisations se sont appuyées sur les rapports SAS 70 pour se familiariser avec les activités d'externalisation. Cependant, SAS 70 se concentre sur le contrôle interne de l'information financière (ICOFR) plutôt que sur la disponibilité et la sécurité du système.

Le rapport SAS70 a été retiré en 2011 et remplacé par le rapport SOC (Service Organization Control) ;

Ils connaissent les processus de travail au sein de l’organisation.

haute efficacité de travail

Capable d'identifier avec précision les points les plus problématiques

Cela peut rendre le travail d'audit plus flexible et la direction peut constamment modifier les besoins d'audit, permettant à l'équipe d'audit d'ajuster le plan d'audit en conséquence.

Leur accès aux systèmes d’information est relativement limité

Il existe la possibilité d’un conflit d’intérêts qui entrave l’objectivité.

A audité de nombreux systèmes d’information différents et possède une riche expérience

Ils ne sont pas conscients de la dynamique et des politiques au sein de l’organisation cible. restera objectif et neutre

coût élevé

Vous devez toujours gérer les ressources supplémentaires pour les organiser et superviser leur travail, même avec une NDA.

Manque de compréhension du fonctionnement interne de l’organisation.

Contrairement au rapport SOC 1/SOC 2, le rapport SOC 1 impose au prestataire de décrire son système et de définir les objectifs de contrôle et les contrôles liés au contrôle interne de l'information financière ;

Les rapports SOC1 ne couvrent généralement pas les services et les contrôles qui ne sont pas pertinents pour les rapports ICOFR des utilisateurs.

Les rapports SOC1 ont commencé à être utilisés par de nombreux prestataires de services pour les services de traitement financier de base en 2011 ;

Rapports temporels couvrant l'efficacité de la conception et du fonctionnement Rapports couvrant l'efficacité de la conception et du fonctionnement sur une période donnée

Les principes et lignes directrices définissent spécifiquement la sécurité, la disponibilité, la confidentialité, l'intégrité du traitement et la confidentialité ;

Fournir des services allant au-delà du contrôle interne sur l'information financière (ICOFR) ;

En fonction des besoins des prestataires de services et de leurs utilisateurs, une approche modulaire peut être utilisée pour faciliter Les rapports SOC2/SOC3 peuvent couvrir un ou plusieurs principes ;

Si le prestataire informatique n'a aucun impact ou a un impact indirect sur le système financier de l'utilisateur, le rapport SOC2 sera utilisé ;

Les rapports SOC3 sont généralement utilisés pour informer un large éventail d'utilisateurs de leurs niveaux d'assurance sans divulguer de contrôles ni de résultats de tests détaillés ;

1. Les nouveaux employés doivent lire et signer la politique d'utilisation acceptable (AUP)

2. Confirmez la conformité des employés à l'AUP en auditant les comptes des employés.

3. Récupérer la liste des nouveaux employés du service des ressources humaines et la comparer avec les comptes des employés ouverts dans le système par le service informatique pour garantir l'efficacité de la communication entre les deux services.

4. La politique doit également clarifier le délai d'expiration du compte, la politique de mot de passe et l'étendue des informations auxquelles les utilisateurs peuvent accéder.

Problèmes liés à l'utilisation de comptes privilégiés

1. Normalement, chaque compte d'utilisateur d'ordinateur dispose de droits d'administrateur local, et le personnel de gestion et de maintenance du serveur dispose de droits d'administrateur de domaine, qui sont tous deux risqués.

2. L'ajout, la suppression ou la modification de comptes doivent être strictement contrôlés et documentés.

3. Implémentez la gestion hiérarchique des autorisations des comptes administrateur.

4. Utilisez des comptes privilégiés uniquement lorsque cela est nécessaire et utilisez des comptes restreints pour les travaux de maintenance quotidiens.

1. Suspendez les comptes qui ne sont plus utilisés.

2. Obtenir une liste des sortants de courte et longue durée auprès du ministère des Ressources humaines, Comparez l'état des comptes avec le système informatique et supprimez les comptes des employés inactifs depuis longtemps. Et suspendre l’utilisation des comptes pour les sortants de courte durée.

fichiers utilisateur

base de données

Données de courrier électronique

Tester la situation de sauvegarde des données

Analyser différents scénarios de menaces auxquels l'organisation peut être confrontée

Élaborer un plan pour tester toutes les sauvegardes de données critiques dans chaque scénario

Tirer parti de l’automatisation pour minimiser la charge de travail des auditeurs et garantir que les tests sont effectués régulièrement

Minimiser l'impact du plan de test de sauvegarde des données sur les processus métier afin qu'il puisse être effectué régulièrement

Assurez la couverture afin que chaque système soit testé, mais pas nécessairement au cours du même test.

Enregistrez les résultats afin de savoir ce qui a fonctionné et ce qui nécessite du travail

Corrigez ou améliorez tous les problèmes que vous avez documentés.

Test de la liste de contrôle Test de la liste de contrôle

Test pas à pas structuré Test pas à pas structuré

Test de simulation Test de simulation

Test parallèle Test parallèle

Test d'interruption complète Test d'interruption complète

La formation à la sécurité fait référence au processus d'enseignement d'une compétence ou d'un ensemble de compétences qui permet aux personnes de mieux exécuter des fonctions spécifiques.

La formation de sensibilisation à la sécurité consiste à exposer les gens aux problèmes de sécurité afin qu'ils puissent les reconnaître et mieux y répondre.

Dans le contexte de la sécurité de l’information, il s’agit du processus de manipulation des individus pour les amener à accomplir des actions qui violent les protocoles de sécurité.

Le phishing est une ingénierie sociale via les communications numériques.

Un téléchargement de pilote est une attaque automatisée déclenchée simplement par la visite d’un site Web malveillant.

Les indicateurs de performance clés (KPI) mesurent l'efficacité avec laquelle une organisation exécute une tâche donnée à un moment donné.

Une mesure du risque inhérent à l’exécution d’une action ou d’un ensemble d’actions donné.

Un rapport technique doit être plus que le résultat d’un outil d’analyse automatisé ou d’un inventaire générique.

Éléments d’un bon rapport technique d’audit

Les rapports destinés aux hauts dirigeants doivent être concis et faciles à comprendre, et axés sur les principales conclusions et recommandations.

Le risque est mieux décrit de manière quantitative, et une façon de quantifier le risque consiste à l’exprimer en termes monétaires.

Méthodes courantes de mesure des risques

Des revues de direction doivent être effectuées périodiquement, sinon le risque d’inspection passera de proactif à réactif.

La fréquence des réunions devrait également être synchronisée avec le temps nécessaire à la mise en œuvre des décisions de l'examen précédent.

examiner les commentaires

action de gestion