Wondershare EdrawMind
心智圖資源庫 CISSP-7-安全運營
- 11
CISSP-7-安全運營
CISSP-資訊系統安全專業認證之安全營運心智圖,包括:基本概念、安全營運的基本概念、變更管理、組態管理、修補程式和漏洞管理、事件管理。
編輯於2021-11-10 12:08:07
- Microbiologia medica Infezione batterica e immunità
Microbiologia medica, Infezioni batteriche e immunità riassume e organizza i punti di conoscenza per aiutare gli studenti a comprendere e ricordare. Studia in modo più efficiente!
- teoria cinetica dei gas
La teoria cinetica dei gas rivela la natura microscopica dei fenomeni termici macroscopici e le leggi dei gas trovando la relazione tra quantità macroscopiche e quantità microscopiche. Dal punto di vista del movimento molecolare, vengono utilizzati metodi statistici per studiare le proprietà macroscopiche e modificare i modelli di movimento termico delle molecole di gas.
- Breve História do Tempo
Este é um mapa mental sobre uma breve história do tempo. "Uma Breve História do Tempo" é um trabalho científico popular com influência de longo alcance. Ele não apenas introduz os conceitos básicos da cosmologia e da relatividade, mas também discute os buracos negros e a expansão. Do universo. questões científicas de ponta, como inflação e teoria das cordas.
CISSP-7-安全運營
- Microbiologia medica Infezione batterica e immunità
Microbiologia medica, Infezioni batteriche e immunità riassume e organizza i punti di conoscenza per aiutare gli studenti a comprendere e ricordare. Studia in modo più efficiente!
- teoria cinetica dei gas
La teoria cinetica dei gas rivela la natura microscopica dei fenomeni termici macroscopici e le leggi dei gas trovando la relazione tra quantità macroscopiche e quantità microscopiche. Dal punto di vista del movimento molecolare, vengono utilizzati metodi statistici per studiare le proprietà macroscopiche e modificare i modelli di movimento termico delle molecole di gas.
- Breve História do Tempo
Este é um mapa mental sobre uma breve história do tempo. "Uma Breve História do Tempo" é um trabalho científico popular com influência de longo alcance. Ele não apenas introduz os conceitos básicos da cosmologia e da relatividade, mas também discute os buracos negros e a expansão. Do universo. questões científicas de ponta, como inflação e teoria das cordas.
- 推薦給您
- 大綱
安全營運
基本概念
運行安全
在集中式和分散式環境中處理資訊資產的保護和控制,
運行安全是其他服務的一個品質,並且它本身就是一組服務
安全運行
保持安全服務高效可靠的運作所要求的日常事務
業務連續性計劃和災難復原計劃
TOPICS
Investigations
Evidence collection handling
Reporting and documenting
Investigative techniques
Digital forensics
Investigation Types
Operational
Criminal
Civil
Regulatory
Electronic discovery (eDicsovery)
Logging and Monitoring
Intrusion detection and prevention
Intrusion detection and prevention
Continuous monitoring
Egress monitoring
Provisioning of Resources
Asset inventory
Configuration management
Physical assets
Virtual assets
Cloud assets
Applications
Foundational Security Operations Concepts
Need-to-know/least privilege
Separation of duties and responsibilities
Monitor special privileges
Job rotation
Information lifecycle
Service-level agreements
Resource Protection Techniques
Media management
Hardware and software asset management
Incident Response
Detection
Response
Mitigation
Reporting
Recovery
Remediation
Lessons learned
Preventative Measures
Firewalls
Intrusion detection and prevention systems
Whitelisting/Blacklisting
Third-party security services
Sandboxing
Honeypots/Honeynets
Anti-malware
Patch and Vulnerability Management
Change Management Processes
Recovery Strategies
Backup storage strategies (e.g., offsite storage, electronic vaulting, tape rotating) a Recovery site strategies
Multiple processing sites (e.g., operationally redundant systems)
System resilience, high availability, quality of service, and fault tolerance
Disaster Recovery Processes
Response
Personnel
Communications
Assessment
Restoration
Training and awareness
Disaster Recovery Plans
Read through
Walkthrough
Simulation
Parallel
Full interruption
Business Continuity Planning and Exercising
Physical Security
Perimeter
Internal
Personnel Safety
Objectives
■ Understand and support investigations.
■ Understand requirements for investigation types.
■ Conduct logging and monitoring activities.
■ Secure the provisioning of resources.
■ Understand and apply foundational security operations concepts.
■ Employ resource protection techniques.
■ Conduct incident response.
■ Operate and maintain preventative measures.
■ Implement and support patch and vulnerability management.
■ Participate in and understand change management processes (e.g., versioning,baselining, security impact analysis).
■ Implement recovery strategies.
■ Implement disaster recovery processes.
■ Test disaster recovery plan.
■ Participate in business continuity planning and exercising.
■ Implement and manage physical security.
■ Participate in personnel safety (e.g., duress, travel,
安全營運的基本概念
關鍵主題
維護營運彈性
關鍵業務有彈性 保持連續性
制訂有緊急應變計畫
即時監控和回應
保護有價值的資產
提供各種資產的日常維護
保護資產不被破壞
控制系統帳號
維護使用者存取關鍵業務系統的控制
提供各種帳號(尤其是特權帳號)的檢查和平衡,確保這些帳號成為合理的業務需求
有效管理安全服務
IT服務的變更、配置與問題管理
安全相關程序,如使用者配資和服務台程序
關注報告和服務持續改進實踐
營運人員的要求
prudent man負責、謹慎、明智和有能力的人
適度謹慎 due care
採取了合理的防範保護措施
適度勤勉 due deligence
在日常管理中盡到責任
控制特權帳號
對帳號的數量和類型進行嚴格控制
using these solutions most effectively while also ensuring that privileged accounts are carefully
小心監控系統的帳號管理權限
服務帳號
執行腳本的帳號
Identity and access management (IAM)身分與存取管理
the provisioning of users用戶配置
managing their access across multiple systems管理跨多系統的存取權限
native access control systems本地存取控制系統
知所必需和最小特權(互為補充)
need to know知所必需
基於工作或業務需求被授予最小知悉範圍和存取權限
營運安全是關鍵
常用於軍隊s
Least privilege最小特權
要求使用者或進程沒有不必要的存取特權來執行工作、任務和功能
目標
限制使用者和進程只存取必要的資源和工具來完成指定任務
限制
可存取的資源
使用者可以執行的操作
使用群組和角色管理帳號
不同類型的帳號
特權帳號
Root or內建管理員帳號
用於管理設備和系統全能預設帳號
安全控制
更名盡可能的嚴格
預設密碼要修改
Logs記錄個人使用 root帳號的行為
使用root帳號遠端登入時
會話應執行強加密和監控
使用多因子的身份驗證方法
服務帳號
由系統服務和核心應用所使用的特權訪問
密碼複雜並經常更換
有一個策略來回收和關閉已遭洩漏帳號
管理員帳號
這些帳號被指派給需要係統特權存取權來執行維護任務的指定個人
這些帳號應與使用者的普通帳號分開
帳號密碼應安全可靠的分送給個人
管理員應書面承認接收帳號並遵守組織規則
帳號不再使用應立即去除
所有的活動都應該被審計
部署額外的日誌系統
多因素認證
超級用戶
這些帳號權限由於工作所需授予超過普通使用者權限但是不需要管理員權限的
超級用戶可以在自己的桌面上安裝軟體
應書面承認接收帳號並遵守組織規則,如簽署安全協議書
普通或受限用戶帳號
使用用戶最多
基於最小權限或知所必須原則
職責分離
定義:將一個關鍵任務分成不同的部分,每個部分由不同的人來執行
同謀
進行詐欺需要多人共謀
目的
制約,減少故意破壞的幾率
補充,減少無意的疏漏和錯誤的幾率
原因
不同安全相關任務所需技能不同
將管理員任務分成多個角色以賦予不同的信任級別
防止安全相關功能委託一個角色或人員
系統管理員
最小特權
根據需要確定必要存取和應用
監控
行為被日誌審計並發送到一個 單獨的審計系統中
防止詐欺行為
管理員如果沒有勾結他人就沒能力參與惡意活動
背景調查
崗位輪換
操作員
工作職責
進行主機的日常操作,確保預定的工作有效進行和解決可能出現的問題
權限說明
操作員具有很高的權限,但低於系統管理員,這些權限可以規避系統的安全策略,應監控這些特權使用並進行日誌審計
安全控制
最小特權
監控
操作員的行動被記錄並發送至不受操作員控制的一個獨立系統中
職責分離
管理員如果沒有勾結他人就沒能力參與惡意活動An
背景調查
安全管理員
作用:定義系統安全設定並協同管理員進行相關配置,提供一種權利制衡,為系統管理員提供稽核和審查活動
主要職責
帳號管理
敏感標籤的分配
系統安全設定
審計數據的評審
幫助/服務台人員
提供一線支持
在需要時重置使用者密碼
進行監控和背景調查
普通用戶
需要存取資訊科技資源
監控特權
許可、適用性和背景調查
以下情況不應被授予存取權限(如,基於IDS 和防火牆日誌,應立即阻斷某個IP的訪問,但沒有;調整時鐘或刪除日誌等)
近期嚴重缺乏相關的判斷力
有關角色的行為出現重複的高風險模式
角色的表現與非法活動有關.
Account Validation帳戶驗證
確定現有不活動帳號(如,已離職/離職人員帳號、臨時休假人員帳號)
Job rotations崗位輪調
減少個人之間共謀活動的風險
雙人操作
現場相互監督
強制休假
資訊生命週期管理
Information has a life that consists of creation, use, and finally destruction資訊生命週期包括產生、分發、使用、維護、披漏、處置(轉讓、安全處理)
information owner訊息所有者
■ Determine the impact the information has on the mission of the organization.確定資訊對組織使用具有的影響
■ Understand the replacement cost of the information (if it can be replaced) 了解資訊的重置成本(如果它可以被取代).
■ Determine who in the organization or outside of it has a need for the information and under what circumstances the information should be released.決定哪個組織需要這些資訊和在什麼情況下應該發布這些信息
■Know when the information is inaccurate or no longer needed and should be destroyed. 知道何時資訊是不準確的或不再需要的,應當被銷毀
Classification and categorization分級和分類
Classification is concerned primarily with access分級關注訪問
military or government information.軍隊或政府資訊(秘密、機密、絕密)
categorization is primarily concerned with impact分類關注影響.
determining the impact of the loss of confidentiality integrity, or availability of the information決定資訊喪失機密性、完整性或可用性的影響(高、中、低,舉例:對外發布的公共資訊v.s.風險評估報告)
standardize the defense baselines可將基準標準化
保留計劃
■ 降低儲存成本
■ 只儲存相關的信息,可加快搜尋和索引
■訴訟保留和電子揭露是不太可能會遇到錯誤,預先決策或協商資訊
(SLAs)服務等級協定
What
SLA是一個描述客戶從供應商獲得服務水平的簡單文檔,展示服務測量指標、補救或如果達不到協議要求所遭受的懲罰
如果因為客戶的原因導致SLA達不到,則不應該受到懲罰
SLA
外部
OLA(Operational Level Agreements
內部
Why
確保雙方理解要求
確保協議沒有被有意或無意的曲解
Who
不同的等級不同的價格
協商的起點
關鍵部分
Service elements
提供具體服務
服務可用性狀態
服務標準(時間窗)
升級程式
各方職責
費用/服務權衡
Management elements
測量標準和方法定義\報告流程\內容和頻率\爭議解決過程
SLA保持更新
供應商能力和服務需求變化
賠償
供應商將不得不向客戶支付因擔保違規造成的任何第三方費用
SLA不能轉讓
如何驗證SLA
statistics
測量指標
Service Availability
Defect Rates不良率
Technical Quality
Security
What Uptime Provisions Are Typical for Network Service Providers
99 percent availability (which allows for over 7 hours of unplanned downtime per month
99.9 percent (43.8 minutes per month)
99.99percent (4.4 minutes per month).
何時評審SLA
變更管理
變更管理流程
Requests 請求
Impact Assessment影響評估
Approval/Disapproval 批准/不批准
Build and Test建構與測試
Notification通知
Implementation實施
Validation驗證
Documentation記錄
配置管理
目標
建立和維護產品、系統和專案整個生命週期的完整性
包括
identifying configuration items for the software project識別軟體產品的設定項
controlling these configuration items and changes to them,控製配置項及其變更
recording and reporting status and change activity for these configuration items記錄和報告配置項目的狀態和變更活動,同時進行審計
配置管理
管理元件從最初的概念到設計、實施、測試、基線、建置、發布和維護
使得必然發生的變更可控
策略和標準
■ 元件集處於組態管理的支配下
■ 元件是如何命名的
■組成是如何輸入和離開控制集的
■處於CM下的元件是如何被允許變更的.
■CM下的不同版本的組成是如何可用的
■在什麼情況彼此每個都能使用
■CM工具是如何啟動和加強組態管理的
The CMMI steps for CM
1.識別將置於組態管理下的組態項目、元件及其相關工作。
2.建立和維持配置管理和變更管理系統來控制工作產品
3.建立和發佈內部使用基線以及交付給客戶的基線.
4. 追蹤配置項變更請求.
5. 控製配置項目內容變更.
6. 建立和維持描述配置項目的記錄
7. 執行配置審計來維持配置項目的完整性。
資產清單
硬體庫
1. 品牌
2.型號
3. M A C addresses
4. 序號
5. Operating system or韌體版本
6. Location
7. BIOS and other hardware-related passwords
8. Assigned IP address if applicable
9.組織資產管理的標籤或條碼
軟體庫
1. Software name
2. Software vendor (and reseller if appropriate)
3. 密碼或啟動碼 (note if there are hardware keys)
4. Type of license and for what version
5. Number of licenses
6. License expiration
7. License portability
8. Organizational software librarian or asset manager
9. Organizational contact for installed software
10. Upgrade, full or limited license
軟體庫和硬體庫的安全作用
安全專家能迅速找到並減少與硬體類型和版本相關的漏洞
知道網路中硬體類型和位置能降低辨識受影響設備的工作量
可以掃描發現網路中未經授權的設備
維護配置清單
記錄和追蹤配置的變更能提供網路完整性和可用性的保障
定期檢查確保非授權變更
CM適用於不同類別資產管理
■ Physical assets (e.g., servers, laptops, tablets, smartphones)
■ Virtual assets (e.g., Software Defined Networks (SDNs), virtual SAN (vSAN)
systems, virtual machines (VMs))
■ Cloud assets (e.g., services, fabrics, storage networks, tenants)
■ Applications (e.g., workloads in private clouds, Web services, Software as a Service (SaaS))
security professional’s perspective
修補程式和漏洞管理
補丁管理的目的
建立持續配置環境保護作業系統和應用程式的已知漏洞
很多時候廠商升級版本時不給升級的原因和理由
補丁管理步驟
安全專家需要判斷是否為漏洞
是否需要升級補丁
基於風險決策
補丁的重要性
管理層和系統屬主來確定是否更新補丁
是否會影響業務
更新補丁已經被測試以及殘餘風險被解決
安排更新
部署前通知用戶
在夜間或週末更新
部屬前備份伺服器
更新完成後需要在生產環境中驗證
可能會產生一些不可見問題
部署完成後確保所有適當的機器都被更新
記錄所有變更
安全性和修補程式資訊管理
關鍵部分
補丁管理是要知道關於安全問題和補丁發布兩者的信息
知道與他們環境有關的安全性問題和軟體更新
建議專人和團隊負責提醒管理員和使用者的安全問題或應用程式的更新
Patch Prioritization and Scheduling 補丁優先順序和作業安排
1、補丁生命週期(patch cycle) 指導補丁的正常應用和系統的更新
cycle
時間或事件驅動
幫助應用的標準補丁的發布和更新
2、作業計劃處理關鍵安全性和功能修補程式和更新
patch priority and scheduling urgency
Vendor-reported criticality (e.g., high, medium, and low)
system criticality
importance of the applications and data the system
補丁測試
補丁測試的廣度和深度
系統的關鍵度
處理的數據
環境的複雜度
可用性需求
可用資源
修補程式測試流程開始於軟體更新的取得和在生產部署後連續通過可接受性測試
補丁取得時需要進行驗證
來源(soucre)校驗
完整性(integrity)校驗
數位簽名
校驗和
補丁校驗完成後進行測試
測試環境盡可能的接近生產環境
可用生產系統的子系統作為測試環境
補丁變更管理
變更對補丁管理的每一步都非常重要
修補應用程式應包含緊急和回退計劃
在變更管理方案中包含風險降低策略
變更管理方案中包含監控和可接受計劃
證明補丁成功具體里程碑和可接受標準
允許關閉變更系統中更新
補丁安裝和部署
補丁管理的部署階段必須具有良好經驗的管理員和工程師
安裝和部署意味著生產系統的修補程式和更新會真實實施
影響補丁部署的技術因素是工具的選擇
工具選擇
購買
自建
工具類型
agent-based
agentless systems,
部署安全性修補程式
及時完成
可控制和可預期
修補程式審計和評估
常規審計和評估能衡量修補程式管理成功和程度
兩個問題
對於任何已知漏洞或Bug什麼系統需要修補?
系統是否更新真實的補丁?
關鍵成功因素
資產和主機管理
理想主機管理軟體能聲稱報告
管理工具
系統發現和審計作為審計和評估流程的部分
System discovery tools
uncover these systems and assist in bringing them under the umbrella of formal system management and patch compliance.
一致性和複合型
補丁管理方案中的審計和評估元素能幫助識別系統不符合組織指南或其他減少不符合的工作
System build tools and guidelines are the primary enforcement means of ensuring compliance with patch requirements at installation time. 系統聲稱工具和指南在安裝時確保符合補丁要求主要執行手段
補丁管理技術非常重要,但僅靠技術不行
修補程式管理方案是團隊技術提供基於協作解決組織獨特要求的方針和維運的解決方案
漏洞管理系統
配置管理
幫助組織知道其所有部分
脆弱性掃描
識別這些弱點
漏洞類型
系統缺陷
product design imperfections
buffer overflow
配置錯誤
represent implementation errors that expose a system to attack.
策略錯誤
individuals fail to follow or implement security as required
基於主機的掃描
conducted at the system console or through the use of agents on servers and workstations throughout the
identifying missing security updates on servers
identify unauthorized software or services that might indicate a compromised system
應用安全掃描
資料庫安全掃描
發現配置錯誤
事件管理
事件管理
包含人、技術和流程
指導所有與事件相關的活動並指導安全人員到一個預先定義和預先授權路徑的解決方案。
描述在事件中所包含的各方的角色和職責中所採取的活動。
管理安全技術
邊界控制
更可信與不可信環境之間的劃分
firewalls, routers, proxies, and other technologies
單一系統
在核心功能和終端使用者流程
安全營運專注於確保技術能夠有效運行,並持續監控其有效性
安全測量指標和報告
測量安全控制的有效性
安全技術
ID/IPS
attacks that were detected or blocked and檢測或阻斷攻擊
provide trending over time提供趨勢分析
防火牆
common sources of attacks through IP addresses and other means透過IP位址追蹤攻擊來源和其他方式
Email security services安全郵件服務
on the amount of malware or spam that is being detected and blocked發現或阻斷大量的惡意軟體或垃圾郵件
關注指標(病毒爆發台次、攻擊源IPtop10、垃圾郵件發現或清除數量及比例)
報告
fundamental to successful security operations報告是安全運作的基礎
報告的預期受眾
技術報告趨向於為技術專家或直接服務交付的經理設計
Management reporting管理報告
provide summaries of multiple systems as well as key metrics for each of the services covered by the report提供多系統的綜述以及報告所涵蓋的每個服務的關鍵指標
Executive dashboards高階主管儀表板
in seeing only the highlights across multiple services跨多個服務的突出顯示部分
provide simple summaries of the current state,為高階主管提供當前狀態的綜述
usually in a highly visual form like charts and graph以圖表等高度視覺的形式展現
報告頻率
operational level
yearly, monthly, weekly, or even daily,
監測
入侵偵測預防與系統
identify and respond to suspected security-related events in real time or near real time.用來識別和應對實時或近實時的可疑安全相關事件
Network-based intrusion systems
focus on the analysis of network traffic是基於網路流量分析
host-based intrusion systems
focus on audit logs and processes inside a single system基於單一系統的稽核日誌和流程
IDS
out-of-band
IPS
in-line
Signature- or Pattern-Matching systems模式匹配(或簽名分析)
Protocol Anomaly-Based systems基於異常協定的入侵偵測系統
Statistical-Anomaly-Based systems基於統計異常的入侵偵測系統
False-positives
誤報
False-negatives
漏報
防惡意軟體系統
installed on individual hosts, on systems部署在單一主機和系統上
Unified Threat Management(UTM)安全網關
continual updates持續更新病毒庫
monitored to ensure they are still active and effective透過監控來確保防毒系統始終存活且有效
automatic scanning for new media and email attachments.部署媒體和郵件附件自動掃描策略
Scanning should be scheduled and accomplished on a regular basis.掃描應給予定期安排和實施
(SEIM)安全資訊事件管理系統
One disadvantage of system logs is that they provide a view into that single system系統日誌的缺點是只能提供單一系統的視角,不能提供相關事件的涉及多個系統的日誌和訊息
provide a common platform for log collection, collation, and analysis in real time提供一個公共平台,用於日誌收集、整理、即時分析。
provide reports on historical events using log information from multiple sources提供使用來自多重資訊來源並關於歷史事件的報告
Log management systems are similar日誌管理系統是類似的
combined with S E IM solutions結合SEIM解決方案
real time functions提供即時分析.
maintain a disciplined practice of log storage and archiving維護嚴格的日誌儲存和歸檔紀律
Modern reporting tools can also be used to transform security event information into useful business intelligence.當今的報告工具可以將安全事件資訊轉換為有用的業務智能
回應
遏制策略 (舉例:從網路中切斷病毒源、控制受感染的主機)
■ The need to preserve forensic evidence for possible legal action.以合法行為來保存法庭證據
■ The availability of services the affected component provides.提供受影響的元件,保持服務的可用性
■ The potential damage that leaving the affected component in place may cause. 替代受影響組件,避免可能造成的潛在損害
■ The time required for the containment strategy to be effective.需要時間來實施有效的遏制策略
■ The resources required to contain the affected component.需要資源來遏制受影響的元件
延遲遏制策略導致更深的影響
lead to further attack
起始事件以及相關資訊應盡可能多的被記錄
越來越多的信息應該匯聚在一起,直到該事件被安全運營團隊認為是解決了
報告
Policies and procedures政策和程序必須定義
■ Does the media or an organizations external affairs group need to be involved?媒體或組織的外部事務組需要參與嗎?
■ Does the organizations legal team need to be involved in the review?組織的法律團隊需要參與評審嗎?
■ At what point does notification of the incident rise to the line management, 該事件在什麼時間點應該上升到一線管理人,並通知中層管理人。
middle management, senior management, the board of directors, or the stakeholders?高階管理者?董事?股東的董事會?
■What confidentiality requirements are necessary to protect the incident information?保護事件資訊的保密要求是什麼?
■ What methods are used for the reporting? If email is attacked, how does thatimpact the reporting and notification process?用於報告的方法是什麼?如果電子郵件系統被攻擊,那麼如何啟動報告和通知程序?手機、固化,應急聯絡人?
恢復
恢復電腦映像到無損失
恢復的第一步是根除
Eradication is the process of removing the threat根除是消除威脅的過程。 (如果一個系統感染了病毒而無法正常工作,那麼徹底殺毒將根除這一問題。)
將系統恢復或修復到已知的良好狀態。
若最後已知的映像或狀態包含有實際造成事件的原因, 那麼恢復變得非常複雜,這種情況下,新得映像應該生成, 並在應用程式移入生產環境前測試.
修復與檢討(經驗教訓)
事件響應最重要的是總結經驗教訓
(RCA)根本原因分析
work backwards to determine what allowed the event to happen in the first place.逆向工作來決定事件發生的原因,層層向前推演,直到發現根源
R CA can quickly cross boundaries between technical, cultural, and organizational.RCA可迅速跨越技術、文化和組織之間的邊界界限。
Remediation修復
from R C A are then reviewed by management for adoption and implementation根源分析被管理階層評審,決定是否採納執行
問題管理
incident management
managing an adverse event管理不良事件
limiting the effect of an incident,限制一個事件的影響。
problem management
tracking that event back to a root cause and addressing the underlying problem跟踪該事件回到事件根源和解決的根本問題
addressing defects that made the incident possible or more successful.關於解決缺陷,使得該事件可能成功或更成功。
have a longer term view需要更長的時間
incidents as they occur in the operational environment在操作環境中發生的事件的長期過程
track down the underlying defect because it may take specific conditions to be in place that may not occur frequently可能需要特定的條件,這個條件可能不回頻繁發生。
安全審計與評審-緩解前兆
安全審計
performed by an independent third party由獨立第三方實施
determines the degree with which the required controls are implemented.決定實作控制所需程度
Internal reviews內部評審
conducted by a member of the organization's staff that does not have management responsibility for the system.由不負責該系統管理的組織成員來實施
External reviews外部評審
involve outside entities that evaluate the system based on the organizational security requirements.基於組織安全需求由外部實體來評估系統
provide an independent assessment of the system提供系統的獨立評審.
security review安全評審
conducted by the system maintenance or security personnel to discover conducted by the system maintenance or security personnel to discover由系統維護或安全人員實施,來發現系統的漏洞
vulnerability assessment脆弱性評估
Penetration testing滲透測試
be conducted with physical access to the system or from the outside of the system and facility.
The outcome of the security audit and review process安全審計和評審的輸出應列為將要有組織解決的項目和問題
調查
名詞解釋
數位調查
computer forensics, digital forensics, and network forensics to electronic data discovery, cyber forensics, and forensic computing.
基於有方法的、可驗證的和可審計的程序和協議
American Academy of Forensic Sciences (AAFS)美國法庭科學技術學會
Digital Forensic Science Research Workshop (DFRWS)數位法醫學研究研討會
取證指南
Identifying Evidence 辨識證據
Collecting or Acquiring Evidence蒐集或取得證據
Examining or Analyzing the Evidence檢查或分析證據
Presentation of Findings展示證據
犯罪場景
形式原則
1. Identify the scene確定現場,
2. Protect the environment保護環境,
3. Identify evidence and potential sources of evidence確定證據和證據的潛在來源,
4. Collect evidence收集證據,
5. Minimize the degree of contamination降低污染度
環境
物理環境
server, workstation, laptop, smartphone, digital music device, tablet
處理相對簡單 relatively straightforward to deal with;
虛擬環境
很難確定證據真正的位置或取得證據 difficult to determine the exact location of the evidence or acquire the evidence,
e.g., data on a cluster or GRID, or storage area networks (SANs))
動態證據
資料存在於動態的運作環境中
more difficult for the security professional to protect the virtual scene
動機 ,機會,和方式 MOM
動機
誰,為什麼
機會
何時,何地
方式
罪犯需要獲得成功的能力
電腦犯罪行為
慣用手法MO
罪犯使用不同的操作手法進行犯罪,這可以用來幫助識別各類犯罪
羅卡交換定律
認定罪犯在帶走一些東西的時候會遺留下來一些東西
General Guidelines G8
當處理數位證據是,必須應用所有通用取證和程序原則.
抓取證據的行為不能改變證據.
當人員有必要存取原始數位證據時,這個人需要以此為目的進行培訓.
所有與數位證據的扣押、存取、儲存或傳輸有關的活動必須被完全記錄、保留並在評審檢查時可用.
當數位證據在某人身上時某人必須為所有關於數位證據的活動負責.
任何負責抓取、存取、儲存和傳輸數位證據的機構對符合這些原則負責。
rules of thumb
■ Minimize handling/corruption of original data.
■ Account for any changes and keep detailed logs of your actions.
■ Comply with the five rules of evidence.
■ Do not exceed your knowledge.
■ Follow your local security policy and obtain written permission.
■ Capture as accurate an image of the system as possible.
■ Be prepared to testify.
■ Ensure your actions are repeatable.
■ Work fast.
■Proceed from volatile to persistent evidence.
■ Do not run any programs on the affected system.
事件處理的 策略、角色和職責
策略必須清晰、簡潔、並對事件回應/處理團隊授權來處理任意和所有的事件
配備人員並經過良好訓練的事件回應團隊
虛擬團隊
專職團隊
混合模式團隊
外包資源
A fourth model that some organizations are using would involve outsourced resources that are available “on-demand” for participation in an investigation or as members of a response team.
回應團隊的核心領域
團隊建立好需要進行培訓並維持最新的培訓,需要耗費極大的資源
小心處理公共訊息揭露
事件回應
事件回應或事件處理已成為組織安全部門的主要職責
通用框架
建立事件回應能力Creation of a response capability;
事件處理與回應Incident handling and response;
恢復和回饋Recovery and feedback;
事故處理和回應
定義
事件是一個可被觀察、驗證和記錄在案的負面事情
事故是對公司及其安全狀況造成負面影響的一系列事件
事故回應:某些事情對公司造成影響並引發了安全違規,諸如此類應對問題成為事故回應或事故處理
步驟
診斷
包含事件的偵測、識別和通知等子階段;
根據事件潛在風險等級進行歸類,這受到事件類型、來源(內部事件或外部事件)、成長速度、錯誤抑制能力的影響;
處理假陽性事件( false-positive )/誤報時最耗時的;
如果是真實事件,則需要進行分類(基於組織的需求)和分級(確定潛在風險的等級或事件的關鍵度)
調查
直接處理事件的分析、解釋、反應和恢復;
調查涉及對相關數據的適當收集,收集的數據將在分析和隨後的階段中使用;
管理階層必須確定執法單位是否參與調查,是否為起訴而蒐集證據,或是否只修補漏洞;
遏制
遏制事件,降低事件的影響;
遏制措施應基於攻擊的類別、受事故影響的資產以及這些資產的關鍵程度;
適當的遏制措施為事故回應團隊爭取了對事件根本原因進行正確調查和判定的時間;
必須維持適當的記錄以及證據潛在來源的處理;
分析和追蹤
在分析階段收集更多的資料(日誌、視訊、系統活動等),從而試圖了解事件發生的根本原因,並確定事件的源頭是內部還是外部,以及入侵者如何滲透的;
安全專家需要結合正式的訓練以及真實經驗來作出適當的解釋,往往沒有足夠的時間;
追蹤往往與分析和檢查並行,而且需要剔除錯誤線索或故意的欺騙的來源;
另外比較重要的是一旦根源被辨識以及追蹤到真正的源頭時需要做什麼。
Objective
obtain sufficient information to stop the current incident
prevent future “like” incidents from occurring
identify what or whom is responsible
恢復階段
目的是使得業務得以恢復和運作、讓受影響的系統恢復生產,並與其他活動一致;
進行必要的修復工作,以確保此類事件不會再次發生;
修復工作包括:阻止敏感連接埠、停用易受攻擊的服務或功能、打補丁等。
報告和記錄
最重要也最容易忽略的階段就是報告和回饋階段;
組織往往能在事件中學習甚多,並從錯誤走向成功;
報告需要所有的團隊成員,包含受事件影響的各個團隊的代表;
優點就是該階段能從收集有意義數據中開發或追蹤響應團隊的績效;
測量指標可以決定預算配置、人員需求、基準、展示審慎和合理性;
難度在於產生對組織有意義的統計分析和指標。
證據收集和處理
證據保管鏈
其所指的是證據媒體從最初的採集、標識,到運輸、使用、中間的保管及最後的存放和歸檔,都要有明確記錄(Document)、職責歸屬(Accountability),以確保原本的證據介質完全沒有任何機會被污染(Contaminate)和篡改(Tamper);
在整個證據的生命週期過程中,都是關於證據的處理的who, what, when, where, and how;
確保證據的真實性和完整性( authenticity and integrity),借助Hash(SHA-256)和數位簽章;
訪談
調查過程中最微妙的部分,就是證人和嫌疑犯的訪談;
訪談前必須檢視策略、通知管理階層、聯絡公司法律顧問;
訪談過程不要單獨一人,如果可能,錄下整個訪談過程作為佐證;
理解取證程序
可被法庭接受的證據
證據分類
呈現方式分類
書面的
口頭的
證人所作證詞
電腦產生的
視覺的或聽覺的
犯罪過程中或犯罪剛結束時所捕獲的事件
依影響力分類
最佳證據
原始合約
輔助證據
口頭證據、原始文件的複印件
直接證據
證人的證詞
基於證人五種感官蒐集的證據
決定性證據
間接證據
證實中間事實,中間事實可用來推論或認定另一事實的存在
確定性證據
支持行證據,用來幫助提供一個想法或觀點
觀點證據
專家證人提出的教育觀點
一般證人只能對事實作證
傳聞證據
法庭上陳述的口頭或書面證據,是二手的
證據特徵
真實性或相關性
必須與調查結果有著適度的和切合實際的關係
完整性
證據必須呈現全部真相
充分性或可信性
必須有充分的說服力來使一個講道理的人相信調查的真實性,證據必須有力,不容易被懷疑
可靠性或準確性
必須與事實一致。如果他是基於一個人的觀點或是原始文件的複印件,那麼證據就不是可靠的
電腦日誌
前提是他們必須是在業務的規範過程中收集的,業務記錄特例
大多數與電腦相關的文件別認為是傳聞,即第二手證據
取證原則
調查的任何行動不得改變儲存媒體或數位裝置中的資料;
存取資料的人員必須有資格這麼做並有能力解釋他們的行為
適用於第三方審計並應用於流程的審計痕跡或其他記錄應產生和保護,並精確的記錄每個調查步驟
負責調查的人必須完全對確保以上提到的層序負責並遵守政府法律
關於人員抓取資料的行為不得改變證據
當有必要人員訪問原始證據時,這個必須具有法律資格
與數位證據的抓取、存取、儲存或傳輸有關的行為必須小心的記錄、保存並可用於審計
當數位證據為某人持有時,這個人必須為證據所採取的行動完全負責
澳洲電腦取證通用指導原則
對原始資料的處理或謳誤保持最小化
記錄所有動作並解釋變化
遵循證據的5個原則(可接受、可靠、完整、準確、有說服力)
處理和/或扽系證據超越自己的知識、技能和能力時,尋求更有經驗的人的幫助
遵循組織結構的安全策略,並取得管理支配取證調查的書面許可
盡可能快速、準確得捕捉系統的一個鏡像
為在法庭上作證準備
區分你的動作優先順序,從易失證據直至永久證據
不要再在可能成為證據的系統上運行任何程序
在管理取證調查時具備道德和誠意,並且不試圖進行任何破化
證據分析方式
介質分析:從資訊媒體恢復資訊或證據;
網路分析:從使用的網路日誌和網路活動中分析和檢查作為潛在的證據;
軟體分析:分析和檢查程式碼(包括原始碼、編譯程式碼和機器碼)、利用解碼和逆向工程技術、包括作者鑑定和內容分析等;
硬體/嵌入式設備分析:應包含行動裝置的分析;
調查類型需求
需求
an expression of desired behavior.
deals with objects or entities,
the states they can be in,
the functions that are performed to change states or object characteristics.
電腦犯罪
電腦促進和協助的非法行為,不管電腦是犯罪目標、犯罪工具或與犯罪有關的證據儲存。
第一響應人
critical import
犯罪調查三要素
Information accumulation資訊累積:是調查的基本要素
Instrumentation工具:工具在調查財務相關犯罪時涉及電腦系統主要圍繞追蹤和分析確定在正常模式下的差異或違規的日誌和記錄;
Interviewing訪談:為調查者提供間接工具,如深入動機和可能所使用的技術,尤其是攻擊者是內部人員時;
持續和出口監控
Egress Monitoring 出口監測
出口過濾機制是監控的實踐以及潛在限制從網路的一遍到另一邊的資訊流;
從私有網路到網際網路的資訊流應被監控與控制;
應嚴格的控制、監視和審計網路流量;
使用實體和邏輯存取控制機制影響和管理網路流量和頻寬;
每當新應用需要外部網路存取可能需要策略的變更和行政管理機制;
邊界裝置檢查離開內部網路的資料包並驗證所有出站資料包來源IP位址屬於分配的內部位址區塊,防止內網收到IP位址的Spoofing(欺騙)攻擊;
設計的持續監控系統符合機構需求;
實施持續監控系統並保護機構關鍵設施;
具體可關注「第六章 安全評估與測試」中「收集安全資料」部分
幾種電腦犯罪
salami攻擊
供給者實施幾個小型的犯罪,希望他們結合起來的較大犯罪不會引起人們的注意
數據欺騙
對現有數據的更改
密碼嗅探
捕捉電腦之間發送的密碼
IP欺騙
攻擊者不想讓其他人知道自己的真實位址,從而改變封包IP位址,使其指向另一個位址。
垃圾搜尋
翻看其他人的垃圾箱,以尋找丟棄的文件、資訊和其他可用來對該人或公司不利的珍貴物品。
搭線竊聽
一種被動攻擊,用於竊聽通訊的工具可以是無線電話掃描器、無線電接收器、麥克風接收器、錄音器、網路嗅探器等。
域名搶註
是指有人懷著用一個類似網域損害公司或敲詐勒索的目標,購買了一個網域。
資源保護
保護企業有價值的資產而不是全部資產
有形和無形資產
Tangible assets are physical and fall under the category of traditional property.
Intangible assets are not physical and fall under the categories of intellectual property.(專利證書、特許經營權)
設施防護
設施需要適當的系統和控制來維持它的運作環境
Fire detection and suppression systems
Heating, ventilation, and air conditioning systems
Water and sewage systems are an integral part of any facility
power supply and distribution system
Stable communications
facility access control and intrusion detection system
硬體
硬體需要適當的實體安全措施來維護所需的機密性、完整性和可用性
操作員終端和工作中應限制訪問
應限制設施的訪問
應保護移動資產
列印設施應位於授權使用者附件
網路裝置屬於核心資產應需保護
媒體管理
類型
Soft-copy media
magnetic, optical, and solid state
flash drives and memory cards.
hard-copy media
paper and microfiche.
介質保護
Media containing sensitive or confidential information should be encrypted
data should be protected through the use of encryption to mitigate a compromise.
特殊類型的介質
product software
Original copies and installed versions of system and application
controlled through a software librarian.
移動介質
問題
組織不知道訊息何時離開
組織不知道資訊是否洩露
用戶一般不會報告違規.
解決建議
組織實施DLP
a Monitoring and restriction of USB and other external ports
a Monitoring of DVD, Blu-ray藍光, and other writable disk drives
安全移動媒體管理方案
強制加密使用強認證
監控和記錄傳輸到媒體的信息
庫存保管能力
遠端擦除能力
定位地理位置的能力
歸檔和離線存儲
Backups and archives are two different types of methods used to store information
backup
基於常規基礎並在災難發生時用於恢復資訊或系統
包含用戶日常處理的訊息
archive.
資訊由於歷史目的,且沒有持續使用,應保存並從系統中移除
Recovery from backups
have well-defined and documented procedures to ensure that restorations are done in the right order.
all backup and archival media is tested regularly
雲端儲存和虛擬存儲
Cloud storage
digital data is stored in logical pools
may be accessed through a co-located cloud compute service, a Web service application programming interface (API), or by applications that utilize the API,
Cloud storage services
■ Made up of many distributed resources, but it still acts as one.
■ Highly fault tolerant through redundancy and distribution of data.
■ Highly durable through the creation of versioned copies.
several concerns
When data is distributed, it is stored at more locations, increasing the risk of unauthorized physical access to the data.
The number of people with access to the data who could be compromised (i.e., bribed or coerced) increases dramatically.
It increases the number of networks over which the data travels
When you are sharing storage and networks with many other users/customers, it is possible for other customers to access your data, sometimes because of erroneous actions, faulty equipment, a sometimes because of erroneous actions, faulty equipment, a , orrim bug, orrim bug.
Virtual storage
定義
指將多個不同類型、獨立存在的實體儲存體, 透過軟、硬體技術,整合轉化為一個邏輯上的虛擬的儲存單元, 集中管理供使用者統一使用。
benefit
that commodity hardware or less expensive storage can be used to provide enterprise-class functionality.
primary types of virtualization
Block virtualization
abstraction (separation) of logical storage
File virtualization
Types
Host-based
Storage Device-based
A primary storage controller provides the virtualization services and allows the direct attachment of other storage controllers.
The primary controller will provide the pooling and metadata management services
Network-based
most commonly available and implemented form
硬拷貝記錄
記錄和資訊管理程序 (RIM)
確保資訊在組織遭遇災難時可用
保護硬拷貝記錄
風險
Loss of or damage to paper records can occur from fires, floods, hurricanes
處置建議
Strategies for protecting vital hard-copy
documents include storing them in secure, clean, and environmentally stable containers;
making backup copies and storing the backups in secure off-site areas with stabilized temperature and humidity;
making microfiche copies製作微縮膠卷拷貝
處置和重用
應小心清除殘留數據
簡單刪除或格式化
simply remove the pointers to the information.
軟體清除工具
使用隨機或預定的模式覆寫磁介質的每一個部分
缺點
一次性覆寫易被恢復,敏感資訊應多次覆寫
易被實驗室工具恢復
剩磁
衡量介質中殘存的磁場,以某種方式擦除資訊剩餘部分的物理表現
不安全
消磁
使用電磁場消除磁性
就是降低介質上的磁場到零.
比較安全的處理方法
實體銷毀
粉碎、燃燒、研磨是常見的方法
最安全,但要注意顆粒度
資源保護技術
Unauthorized Disclosure非授權洩密
是值得關注的威脅
惡意軟體的惡意活動以及惡意使用者都會導致重要資訊的遺失
破壞、中斷和盜竊
Malicious activity on the part of malware and malicious users can cause the loss of a significant amount of information.
Interruptions in service can also be extremely disruptive to normal business operations
Theft is also a common threat.
腐化或不恰當的修改
protections on key systems as well as provide appropriate procedures
入侵偵測系統架構
依防護範圍分類
基於網路入侵偵測系統(NIDS)
passive architecture
installing a network tap, attaching it to a hub,
或 mirroring ports on a switch to a N ID S dedicated port.
handle traffic throughput equivalent to (or greater than) the combined traffic load for all the ports on that device,
cannot monitoring encrypted data
Many technologies now exist that can break session encryption
user training and privacy concerns
即時監控網路流量,部署在分接器或交換器的調試埠或集線器上
基於主機入侵偵測系統 (HIDS)
即時監控主機稽核日誌,部署每個關鍵主機上
limited to the boundaries of a single-host system.
multihost IDSs
identify and respond to data from multiple hosts
share policy information and real time attack
drawback
對主機作業系統侵害性很大
幹擾正常系統處理,過度耗費CPU與記憶體
基於應用IDS
監控具體應用惡意行為的IDS
依防護原理分類
基於特徵IDS
特徵匹配,類似防毒軟體
基於簽章的IDS
特徵必須持續更新
只有先前確定的攻擊簽章被偵測,不能發現新的攻擊
分類:特徵匹配、狀態匹配
基於規則IDS
在專家系統中使用基於規則的程序IF/THEN
允許人工智慧
規則越複雜,對軟硬體效能要求越高
不能偵測新的攻擊
基於異常IDS
基於行為的系統,需要學習環境中的「常規」活動
能偵測新的攻擊
缺點
可能錯誤得偵測出系統中的一個瞬間異常造成的非攻擊事件
也叫基於行為或啟發式
分類
統計異常
協定異常
流量例外
入侵回應
如果IDS偵測到入侵
限製或阻止系統流量
同時也與其他設備整合進行回應
例如將規則注入到路由器、VPN閘道、Vlan交換設備等
早期版本的IDS與防火牆集成,指導防火牆對可以流量實施擬定規則
在啟動規則的過程中可能會影響正常業務
誤報率要嚴格控制
告警和警報
IDS基本元件
1. Sensor感測器
部署檢測機制
識別事件
產生適當提示(notification)
告知管理員
啟動某項規則
2 . Control and communication 指揮控制與通信
處理警告訊息
發送郵件或文字訊息等
3. Enunciator 發布者
中繼系統
迅速通知本地資源和遠端資源
確定誰能收到訊息
保障及時的訊息傳遞機制
確定接收的告警類型以及訊息的緊急程度
郵件
簡訊
IDS管理
IDS為企業廣泛採用的安全技術之一
簡單投資
不需要或少量維護
需要大量的維護支持
有效的IDS管理
僱用一個技術知識淵博的人來選擇、實施、配置、運行和維護IDS
定期更新系統新的攻擊特徵並評估預期行為特徵
注意到IDS易受攻擊並對其進行有效保護
攻擊者可能會發動攻擊禁掉IDS/IPS系統
郵件防護-白名單、黑名單和灰名單
白名單
一列被列為「好的」發送者的郵件地址或IP位址等
黑名單
一列「壞」的發送者
灰名單
我不知道你是誰,在我接受之前讓你的郵件跳過額外的步驟“
灰名單會告訴郵件發送伺服器快速的重新發送新的郵件
非營利組織
非營利組織
追蹤網路垃圾郵件的營運和源頭
為網路提供即時有效的垃圾郵件保護
DLP(Data Leak/Loss Prevention) 資料防洩漏
定義
瞄準防止企業敏感資訊外洩的一套技術
三個關鍵目標
將儲存在整個企業的敏感資訊進行定位和編程目錄;
對整個企業敏感資訊的移動進行監控與控制;
對終端使用者係統敏感資訊的移動進行監控與控制;
組織敏感資訊的分類、儲存位置和傳輸路徑
組織常常沒有認識到他們處理的資訊的類型和位置,購買DLP方案時首先要了解敏感資料類型和系統間以及系統到使用者的資料流;
分類Classifications可以包括屬性categories,如隱私權資料、財務資料和智慧財產權等;
一旦對資料進行適當的識別和分類,更深的分析流程來幫助進行主要資料和關鍵資料路徑的定位;
需要關注企業資料的生命週期,理解資料的處理、維護、儲存和處置等能揭示更深的資料儲存和傳輸路徑;
部署DLP的優點
保護關鍵業務資料和智慧財產權;
加強合規;
降低資料外洩風險;
加強培訓和意識
改善業務流程;
優化磁碟空間和網路頻寬;
偵測流氓/惡意軟體
Data at Rest靜態數據
尋找並識別特定文件類型,識別和記錄資訊儲存的位置;
找到後,DLP開啟並識別文件的內容;
DLP使用爬蟲系統;crawlers
Data in Motion (Network)動態數據
DLP solution
1、被動的監控網路流量;
2、識別捕獲的正確數據流量;
3、組裝所收集的數據;
4、在資料流中進行檔案重建;
5.執行靜態資料同樣的分析並確認文件內容任何部分是收到其規則限制的。
為監測企業網路資料移動,DLP方案使用特別的網路設備或內建技術有選擇的擷取和分析網路流量;
深度檔案檢測( deep packet inspection (DPI))技術,作為DLP的核心能力,DPI能夠越過基本的包頭資訊閱讀資料包負載內容
DPI技術可讓DLP檢測傳輸中的資料並確定內容、來源和目的地;
DLP有能力應對加密的資料(如具有加密秘鑰),或在再檢測前解密並在檢測完成後繼續加密;
Data in Use (End Point)使用中的數據
監控終端使用者在他們的工作站上所採取資料移動行為
使用Agent完成任務
DLP Function
策略建立與管理Policy Creation and Management
整合目錄服務Directory Services Integration
工作流程管理Workflow Management
備份與還原Backup and Restore
報告Reporting
隱寫術和水印技術
watermark
隱寫術是一種資訊隱藏技術,入將大量資訊隱藏在圖片和影片檔案中;
資訊隱藏包括隱藏通道、在Web頁面隱藏文字、隱藏可見文件、空密碼;
第三方服務、 沙盒、 反惡意軟體、 蜜罐系統和蜜網
Third-party Security Services第三方服務
Dynamic application security testing (DAST)
用於偵測應用程式在運作狀態中安全漏洞的狀態
多數暴露的HTTP和HTML的問題,多基於WEB漏洞
有些為非Web協定和資料畸形
方法
動態應用程式安全測試是一項服務
具有爬蟲能力來測試RIA(Rich Internet Applications)
HTML5.
具有爬蟲能力並測試使用其他Web協定介面的應用
Static application testing capabilities (SAST).
Interactive Security Testing.
Comprehensive fuzz testing
Testing mobile and cloud-based applications.
Honeypots and Honeynets蜜罐系統與蜜網
作為誘餌伺服器收集攻擊者或入侵者進行系統的相關信息
IDS的變體
更聚焦在資訊的收集與欺騙
常見工具
Glastopf
ow-interaction,
open source honeypot
Specter -
commercial
Ghost USB
free USB emulation honeypot
KFSensor
Windows based honeypot intrusion detection system (IDS).
Sandboxing沙盒
軟體虛擬化技術
讓程式和進程在隔離的環境中執行
限制存取系統其他檔案和系統
沙盒裡發生的只在沙盒裡發生
一項取代傳統基於簽名防毒
可能偵測到零天漏洞和隱藏的攻擊
惡意軟體會使用各種技術來規避偵測
Hooks
為檢測惡意軟體所引進的技術
直接插入程式中得到函數或函式庫呼叫的通知(call back)
這種技術需要更改程式碼
為惡意軟體所感知
打斷動態程式碼的生成
主要問題
在呼叫時沙盒不能看到惡意軟體所執行的任何指令
environmental checks環境監測
Anti-malware 反惡意軟體
Anti-Malware Testing Standards Organization (AMTSO防惡意軟體測試標準組織
提供惡意軟體測試和相關產品討論的論壇
發布惡意軟體測試的客觀標準和最佳實踐
促進與惡意軟體測試問題有關的教育和意識
提供工具和資源致力於標準化測試和方法
Windows
1. Test if my protection against the manual download of malware (EICAR.COM) is enabled.
2. Test if my protection against a drive-by download (EICAR.COM) is enabled.
3. Test if my protection against the download of a Potentially Unwanted Application (PUA) is enabled.
4. Test if protection against accessing a Phishing Page is enabled.
5. Test if my cloud protection is enable.
Andorid
災備
制定恢復策略
需要考慮的恢復策略
Surviving Site存活站點
Self-Service自助服務
Internal Arrangement 內部安排
Reciprocal Agreements/Mutual Aid Agreements 互惠協定/互助協定
Dedicated Alternate Sites 專用備用站點
Work from Home 在家上班
External Suppliers 外部供應商
No Arrangement 沒有佈置的
恢復策略的選擇必須符合組織需求
成本效益分析 (CBA)
建立策略的初始費用
維護恢復策略解決方案的持續費用
方案定期測試的費用
通信相關的費用
實施備份儲存策略
復原時間目標 (RTO)\最大容忍宕機時間 (MTD) \ 復原點目標 (RPO)
備份方法
全備
增量備份
take copies of only the files that have changed since the last full or incremental backup was taken
and then set the archive bit to “0.”
takes the most time in restoration
差異備份
copies only the files that have had their data change since the last full backup
since the last full backup and does not change the archive bit value.
恢復站點策略
Dual Data Center雙資料中心
使用該策略使得應用程式不能接受宕機影響組織
優勢
停機時間較少或沒有
易於維護
無需恢復
缺點
費用較高
需要冗餘硬體、網路和人員
受限於距離
hot sites熱戰
Internal Hot Site 內部熱站
準備具有運行應用程式所需的所有的技術和設備的待機站點
run non-time sensitive
例如開發或測試環境
External Hot Site外部熱站
設施已經就位,但是環境需要重建
這些服務於服務提供者協定
優勢
允許測試恢復策略
高可用性
站點可在數小時內恢復
缺點
內部熱站比外部熱站更貴
外部熱站有軟硬體相容問題
Warm Site 溫站
部分配置有一些設備但不是真實的電腦的租賃設施
Cold Site 冷站
冷站就是一個殼或空資料中心,地板上沒有任何技術設施
優勢
低成本
用於較長的恢復
缺點
不能及時恢復
沒有前期完全的測試工作
mobile site 行動站點
是內部配置適當電信裝備和IT設備的可移動拖車或標準的貨櫃, 可以被機動性拖放和安置在所需的備用場所,提供關鍵的應用服務,如電話交換功能等。
優點
高機動性以及相對容易運輸
模組化方法建構資料中心
建造時不需要室內設備
缺點
冷站能力必須在指定位置建立
容器的密度和設計使得升級和客製化受到極大得挑戰
維持在災難時的航運合約或或行動裝置非常昂貴
多處理資料中心
如果組織的設施涵蓋全國或全世界可以使用此解決方案
具有足夠的頻寬和延遲
可以認為組織內部的“互惠協議”
處理協議
Reciprocal agreements 互惠協議
組織間用來分享宕機風險
在災難發生時,每個組織承諾承擔彼此的資料和處理任務
問題
組織承諾為他人保留空餘處理能力或在其他組織宕機時降低處理能力
首先需要組織能夠遵守這些協議
在業界或競爭對手間很難找到合適的合作夥伴
outsourcing 外包
符合企業的成本效益需求
承擔未知能力以及能夠符合要求的風險
SAL協議能表明在一段時間內提供服務,但無法真正保障在災難時提供保障
優點
按需服務
所有要求和執行責任都在第三方
較少的成本
提供更廣的地域選擇
缺點
更多主動測試和評估來確認能力保持狀況
協議爭論使得廠商不能執行
如果部署私有系統將鎖定廠商
如果頻繁發生中斷可能能力建構的費用更多
系統韌度和容錯要求
可信任路徑和故障安全機制
可信任路徑
為特權使用者功能提供可信接口
提供確保使用該路徑的通訊不會被攔截或破壞的方法
Typical countermeasures
Fail-Safe故障保障
發生故障時自動開啟(如電源中斷)
注意生命或系統安全
Fail-Secure 故障財物安全
發生故障時自動鎖閉(如電源中斷)
注意故障後以可控的方式阻止訪問,當系統處於不一致狀態時
冗餘和容錯
設備備份
備用零件
冷備用
備件沒有啟動
和主設備一模一樣
如果需要可以使用
一般在儲存在主設備附近
不能用於非人工環境
暖備用
已經注入系統但是沒有啟用,除非有需要
熱備用
注入系統並開機直到需要時喚醒
冗餘系統
典型的冗餘配置
主備對模式
主系統提供所有服務
被動系統監控主系統的問題
叢集
兩個或多個加入集群並同時提供服務
電源備援
冗餘(或雙)電源供給
UPS)
替代能源(如柴油發電機)
驅動器和資料存儲
SAN和NAS
SAN儲存區域網絡
A SAN consists of dedicated block level storage on a dedicated network.
numerous storage devices such as tape libraries, optical drives, and disk arrays
protocols like iSCSI to appear to operating systems as locally attached devices
large banks of disks are made available to multiple systems connecting to them via specialized controllers or via Internet Protocol (IP) networks
NAS網路附加儲存
file level instead of the block level
designed to simply store and serve files
FTP servers
共享檔案伺服器
網路磁碟機
NAS may also be used to provide storage for multiple systems across the network.
RAID 廉價冗餘磁碟陣列
用於提高冗餘和或效能改進的技術,以邏輯的方式結合多個實體磁碟形成邏輯陣列。當資料別保存時,資訊會寫入所有的驅動程式裡
RAID 0
Writes files in stripes across multiple disks without the use of parity information.
fast reading and writing
all of the disks can be accessed in parallel.
does not provide redundancy
use RAID 0 to store temporary data
RAID 1
This level duplicates all disk writes from one disk to another to create two identical drives.
data mirroring.
Redundancy
costly
RAID 2
This R A ID level is more or less theoretical and not used in practice.
Hamming error correction code
RAID 3 and 4 -
These levels require three or more drives to implement.
get striping of data
parity drive
Parity information
written to a dedicated disk
Data is striped
across multiple disks at the byte level for RAID 3 and at the block level for RAID 4.
致命弱點
parity drive
RAID 5
is similar to RAID 4
parity information is striped together across all drives
most commonly used for general data storage.
RAID 6
extends the capabilities of R A ID 5
computing two sets of parity information.
the performance of this level is slightly less
RAID 0 1 and RAID 1 0 -
combining two different R A ID types
冗餘獨立磁帶陣列 (RAIT).
database shadowing
用於資料庫管理系統在多點的記錄更新
用於遠端的完整資料庫拷貝
備份和復原系統
備份數據包括關鍵系統檔案和用戶數據
備份視窗
夠大
全備
不足夠大
差備或增量備份
備份涉及生產系統拷貝資料到遠端媒體中
如將高密度磁帶傳輸或儲存到不同的地方
至少三個備份磁帶
原站點
恢復單一故障系統
近站點
主站點遭受了普遍故障,且磁帶已損壞
遠端站點
異地站點
離主站點的有段距離的安全位置
電子傳送
透過網路備份數據
實現鏡像
主系統的變更即時傳送到庫伺服器中
儲存庫伺服器
配置成類似於儲存設備
與即時更新相反,檔案的變更使用增量和差異備份方式傳遞到儲存庫
日誌或交易記錄
資料庫管理系統所使用的技術提供交易的冗餘
人員編制彈性
避免關鍵人員的單點失敗
足夠的人員配備水平
適當的訓練和教育
輪調培訓
災難復原流程
DR areas
DR包括反應、人員、溝通、評估、恢復和培訓
過程必須記錄.
組織級的持續測試策略
the board and senior management
測試策略和計劃
包括使用BIA和風險評估
識別關鍵角色和職責,建立組織業務連續性測試的最小要求,包括測試頻率、範圍和結果報告的基線要求
測試策略的變化取決於組織的範圍和風險場景
處理組織及其服務提供者的測試問題
內部系統的測試策略應在系統和資料檔案被測試時包含所涉及的人員
計畫文檔化
記錄應對各種事件的恢復
文件應儲存在所有的復原設施裡
文件對技術恢復操作要足夠詳盡,有相關技能的人,首次執行仍可完成
每次測試恢復計劃,根據需要進行更新
回應
事件發生後通報集中通信團隊
集中的號碼
幫助服務台
技術操作中心
實體安全人員
監控人員
回應計劃
建立緊急聯繫名單
評估團隊
首先通知
確定事件是否需要升級
首個升級團隊
事件所有者
事件響應者
建立通訊管道
conference call
建立內部和外部的可替代通訊管道
不要忘記一些服務的不可用
快遞
水電服務
高階主管緊急管理團隊
由組織中的高階主管組成
不需要做作為初始回應的部分
為組織和業務的恢復負有全責
事件發生後位於指令中心
不需要管理日常運維
高階主管需要回應和協助需要他們指導的問題的解決
專注於策略響應
Crisis Managemen t vs. Crisis Leadership
Managing
回應
短期
流程
狹窄
戰術層次
Leading
期望
長期
原則
廣泛關注
戰略層次
緊急管理團隊
直接向指令中心匯報
具備監控災難復原團隊,制定復原和復原流程的職責
向高階主管報告事件狀態
制定支持恢復的決策
主要職能
災難復原團隊
檢索異地記載和異地儲存的復原訊息
向異地站點報告
按優先順序執行復原過程
按需向指揮中心溝通恢復狀況
識別問題,並報告給管理團隊以獲取解決方案
建立恢復團隊支援7*24小時全天候的班次
建立關鍵業務用戶和人員聯絡
修復更換設備和必要的軟體來恢復正常運營
指令中心
在緊急狀況中用於通訊和決策的中心
在災難中,用於響應災難配備緊急應變文件以及其他所需資源
也包含處理財物問題的程序
初始響應計劃
組織具有多個位置,則需要為每個業務站點準備一個計劃
站點中有哪些關鍵業務或技術
為其準備適當的恢復策略
誰是決策者
如果不能回到建築物內,人們應該去哪
宣告災難發生的流程
備份站點的位置
到達備份站點的差旅方式
備份站點的工位分配
備份站點附近的飯店\交通服務和後勤服務
人事
很多計劃的問題就是人力資源問題
災難能夠極大的影響人員
災難中組織在回應自己的需求外還需要關注相應團隊家庭的艱難狀況
支持團隊成員的水平將由災難本身的本質明確界定
將行政支援作為恢復團隊的一部分
溝通
通知員工
在緊急狀況中由責任管理團隊直接聯繫緊急聯絡名單中的成員
描述組織如何聯繫剩餘成員
建立緊急資訊線
讓員工了解發生的災難訊息
放在員工的工牌後面、冰箱貼
利害關係人
Employees and their families
Contractors and business partners
Q Facility and Site Managers
Q Staff Managers (HR, IT, etc.)
Q Senior Managers; Board of Directors
Institutional investors and shareholders
Insurance representatives
Suppliers and Distributors
Customers
Goverment Regulators and Politicians
Competitors
Unions
Communities
Industry activist groups
Internet users or bloggers
Media representatives
如何去說
在災難復原過程中,每位員工應向客戶或廠商說的狀況是一致的
企業應向所有利益相關者提供恢復狀態的最新信息
誠實
精確
安全專家需要建立問題報告和管理流程
conference bridges
評估
在事件中,需要確定事件的影響
tiers or categorizations
Non-Incident 非事件
Incident 事件
向管理層報告
Severe Incident 嚴重事件
需要管理層報告
恢復
計劃中最後一部分是關於主環境復原以及遷移到正常運行
組織的其他部分關注與備用站點組織的復原
部分關注恢復到主設施生產環境所需要做的事情
復原主站點前需要聯絡法律部門和保險公司
在採取行動前拍照
遷移計劃必須記錄如何遷移的流程以及操作的細節
資產替換
與廠商協商提供設備建置或復原資料中心
提供培訓
不管計劃多好如果沒人知道就不起作用
領導團隊
知道危機管理
在災難復原中不是執行復原而是領導組織回歸正常
技術團隊
知道執行恢復的程序
以及他們要去的後勤設施
僱員
撤離計劃
將部分BCP計畫放到新人訓練中
演練、評估與維護計劃
testing strategy
■ Expectations for business lines and support functions to demonstrate the achievement of business continuity test objectives consistent with the BIA and risk assessment; 業務線和支援職能部門展示業務連續性測試目標獲得的期望,符合BIA和風險評估
■ A description of the depth and breadth of testing to be accomplished; 完成測試的深度和廣度的描述
■ The involvement of staff, technology, and facilities; 員工、技術和設施的範疇
■ Expectations for testing internal and external interdependencies; 內外依賴度測試期望
■ An evaluation of the reasonableness of assumptions used in developing the testing strategy. 評估在發展測試策略中臆測的合理性
測試策略包含測試目標和範圍
BCP每年至少測試一次
當重大變更發生時需要進行測試
測試目標剛開始可以簡單地逐漸增加複雜度、參與程度、功能以及實體位置
測試不要危及正常業務運行
測試展示在模擬危機下各種管理和回應能力,逐漸增加更多的資源和參與者
揭示不恰當之處以便修正測試程序
考慮偏離測試腳本插入意外事件,例如關鍵個人或服務的損失
包括足量所有類型交易確保恢復設施適當的能力和功能
測試策略包含測試計劃
基於預定的測試範圍和目標
包含測試計劃評審程序
包含各種測試場景和方法的開發
測試計劃
主測試計劃應包括所有的測試目標
測試目標和方法的具體描述
所有測試參加者包括支援人員的角色
測試參與者的委派
測試決策者和後續計劃
測試位置
測試升級條件和測試聯絡信息
測試計劃評審
測試戰略
測試範圍和目標
BIA,驗證RTO和RPO
測試策略
由高層制定
角色職責,頻率、範圍和報告結果
業務恢復和災難復原練習
business recovery
專注於測試業務線的運行
disaster recovery
專注於技術部分連續性的測試
檢查清單評審
BCP拷貝分發給每個關鍵業務部門的經理
請他們評審適合他們部門的計畫部分
桌面演練/結構化演練測試
作為計劃初始測試的工具,但不是最好的測試方法
目標
確保來自所有領域的關鍵人員熟悉BCP
確保計劃反應組織從災難中恢復過來的能力
特點
會議室聯繫,低成本
排練演練/模擬演練
比桌面演練包含的內容更多
參加者選擇特定的事件場景應用在BCP中
功能性測試/平行測試
包含真實人員移動到別的站點試圖依照BCP規定建立通訊和實施真實的恢復流程
主要是確定如果人員應用BCP規定中的程序,關鍵系統是否能夠在備用處理站點恢復
特點
完全中斷/全面測試
最複雜的測試
盡可能模擬真實的場景
不能影響業務
更新和維護計劃
任何團隊都有義務參與變更控制流程
計劃文件和所有相關程序每三個月檢查一次
程序的正式審計每年至少一次
計劃必須控製版本
從專案到方案
連續性計劃方案是正在進行的流程
所有定義的任務都要與時俱進與現有環境保持一致
必須要有年度要求
emergency management organization (EMO) 緊急管理組織
正式的管理層響應流程
現場覆蓋、支援和專業知識
涉及的領域
■ Security
■ Real estate
■ Systems
■ Human resources
■Organizational communications
■ Compliance
■ Risk and insurance management '
■Organizational contingency planning
團隊的職責
■ Responding to incidents and emergencies
■ Determining the extent of the impending or actual emergency situation
■ Establishing and maintaining communication with senior management
■ Communicating with employees and customers
■ Managing media communications, security, systems, facilities
■ Coordinating and integrating business continuity planners
The organizational emergency operations center (EOC)
提供位置
不管EMO是否啟動提供必要的資源管理組織的恢復
Roles and Responsibilities 角色與職責
The organizational contingency planning group
■ Setting strategic direction and plans for all organization units to ensure BC and effective emergency management.
■ Integrating the contingency planning process across organization units when the nature of the organization requires it.
■ Providing consulting services and direction to senior level contingency managers.
■ Coordinating and integrating the activation of emergency response organizations with the organization units.
■ Providing periodic management reporting and status.
■ Ensuring executive management compliance with the contingency planning program.
■ Ensuring the identification and maintenance of all critical organization functions and requirements.
■ Procuring and managing the alternate sites used to support recovery of the operations of the company whether technical or organization.
■ Developing, implementing, and maintaining policy and guidelines for all organization units to follow.
■ Developing and maintaining testing and maintenance programs for all contingency planning organizations.
■ Providing training, maintenance, and support for approved contingency planning tools.
business continuity planners
■ Provide primary contact for their functional area to handle coordination response during an organization interruption.
■ Act as a resource for contingency planning efforts within their area of responsibility.
■ Secure appointment, training, and backup of all contingency planning and response teams.
■ Assist in the design and maintenance of alternate sites.
■ Maintain currency of all contingency planning documentation, including all deliverables listed in Figure 7.8.
■Program Requirements
業務連續性和其他風險域
BC和其他安全域有非常重要的關係
實體存取控制
邊界安全的實施與運行
物理安全的目的
控制對實體設施的訪問,設施防護的第一道屏障
深度防禦 defense-in-depth
如果一層機制失敗,其他機制起作用
secure the weakest link 保護最弱環節
“rings of protection
阻止-檢測-延遲-響應deter-detect - delay-respond
建築物關鍵組成範例
■ Emergency generator, including fuel systems, day tank, fire sprinkler, and water supply應急發電機
■Fuel storage 燃料庫
■ Telephone distribution and main switchgear
■ Fire pumps 消防泵
■ Building control centers大樓控制中心
■ Uninterrupted power supply (UPS) systems controlling critical functions
■ HVAC systems if critical to building operation
■ Elevator machinery and controls 起重機械與控制
■ Shafts for stairs, elevators, and utilities 樓梯井、電梯和工具
■ Critical distribution feeders for emergency power
門和牆
Barriers 屏障
Barriers can be comprised of natural or manufactured elements,如山、河、綠帶
is designated to impede or deny access.
objective
Fences 圍欄
fences are a perimeter identifier that is designed and installed to keep intruders out.
the chain linked fence
largely a psychological deterrent
a boundary marker
Gates門
Gates exist to facilitate and control access.
Walls 牆壁
Walls serve the same purpose as fences
walls ought to be 7 feet high with 3 to 4 strands of barbed wire on top
邊界入侵偵測
Infrared Sensors 紅外線感測器
Active infrared sensors
transmit an infrared signal via a transmitter.
The location for reception is at a receiver.
Interruption of the normal IR signal indicates an intruder or object has blocked the path
Passive infrared sensors
Passive infrared sensors are designed for human body detection, so they are great for detecting when someone approaches.
Passive-infrared sensors detect the heat emitted by animate forms
Microwave 微波
two configurations
bistatic and monostatic 雙基或單基
radiating a controlled pattern of microwave energy into the protected area.
The transmitted microwave signal is received, and a base level “no intrusion” signal is established
bistatic sensor
sends an invisible volumetric detection field that fills the space between a transmitter and receiver.
Monostatic microwave sensors
use a single sensing unit that incorporates both transmitting and receiving functions.
Coaxial Strain-Sensitive Cable 同軸應變敏感電纜
These systems use a coaxial cable woven through the fabric of the fence
The coaxial cable transmits an electric field
Time Domain Reflectometry (TDR) Systems 時間域反射器(TDR)系統
Time Domain Reflectometry (TDR) systems send induced radio frequency (RF) signals down a cable that is attached to the fence fabric.
Intruders climbing or flexing a fence create a signal path flaw that can be converted to an alarm signal
Video Content Analysis and Motion Path Analysis 影片內容分析與運動路徑分析
is sophisticated software analysis of the camera images.
CCTV camera systems are increasingly being used as intrusion detection systems.
使用複雜演算法允許CCTV系統來偵測入侵者
光照
Security lighting can be provided for overall facility illumination along with the perimeter to allow security personnel to maintain a visual assessment during times of darkness.
provide both a real and psychological deterrent
Types of Lighting Systems
Continuous lighting 連續照明
Standby lighting 備用照明
Movable lighting 流動燈光
Emergency lighting 緊急燈光
0.2 foot-candles
Types of Lights
Fluorescent lights 螢光燈
Mercury vopor lights 汞蒸氣燈
Sodium vopor lights 鈉蒸汽燈
Quartz lamps 石英燈
American Institute of Architects
interior lighting levels
range from 5 to 10 fc;
exterior lighting requirements
■ Building entrances (5 fc)
■ Walkways (1.5 fc)
■ Parking garages (5 fc)
■ Site landscape (0.5 fc)
■ Areas immediately surrounding the building (1 fc)
■ Roadways (0.5 fc)
Adequate lighting for monitoring activities is important.
Infrared Illuminators 紅外線照明
Most monochrome CCTV
卡片的類型
磁條卡
在PVC材料上附有敏感詞條,如信用卡
感應卡
內建天線,天線挎包姐姐著具有識別碼的晶片,閱讀器可透過磁場來閱讀晶片的內容
智慧卡
含有微處理晶片的IC卡,具有一定的數據處理能力
可以整合其他安全措施
帶有PIN碼的按鍵或生物辨識措施
CCTV閉路電視
功能
Surveillance監督
Assessment 評估
Deterrence 威懾
Evidentiary Archives證據歸檔
網路攝影機
Color cameras offer more information,
Outdoor camera戶外攝影機
Outdoor camera installations cost more than indoor cameras due to the need to environmentally house, heat, and ventilate the camera
Fixed Position Cameras 固定位置攝影機
A fixed position camera cannot rotate or pan
Pan/Tilt/Zoom (PTZ) Cameras 平移/傾斜/變焦(PTZ)相機
PTZ camera mounts allow the camera to rotate, pan, tilt, and zoom
Dome Cameras 半球攝影機
Internet Protocol (IP) Cameras
An IP camera captures a video image digitally
The IP camera resides on a local area network
Lens Selection
Focal length is the distance from the surface of the lens to the point of focus measured in millimeters.
Lenses either have a fixed or variable focal length
Lighting Requirements
“Light-to-dark” ratio
Resolution分辨率
影像的分辨率
Frames Per Second (FPS)
每秒影格
frames per second (fps).
CCTV cameras transmit video in image frames
Compression 壓縮
MPEG-4.
Digital Video Recorder (DVR)數位硬碟錄影機
DVRs typically come in an 8 port or 16 port version, meaning that 8 or 16 cameras can be recorded at one time
監控顯示器
Single Image Display 單一影像顯示
Split Screen 分割畫面顯示
Matrix Displaying for Large Format Displays 顯示大型格式顯示矩陣
報警
監控中心
also known as the security console center
dispatch center
Maintaining a 24/7 security control center requires at the minimum two officers per shift.
設計需求
門衛
物理保護措施最終都需要人員介入回應警報
安全人員惡意對建築物進行足部巡邏,或駐足於某一固定位置
透過檢查員工的身份識別卡控制訪問
威懾力強,但成本高
人員可靠性有限
選擇保全時進行篩選,選擇可靠的人員較重要
Proprietary
Proprietary guards benefit from esprit de corps and a sense of community
disadvantages
Hybrid
內部安全
內部入侵偵測系統
Balanced Magnetic Switch (BMS) 平衡磁開關
Motion Activated Cameras 動態啟動攝影機
Acoustic Sensors 聲學感測器
Infrared Linear Beam Sensors 紅外線光束感測器
Passive Infrared (PIR) Sensors 被動紅外線感測器
Dual-Technology Sensors
護送和訪問控制
the visitor is escorted at all times while inside the facility
Other types of visitor management systems use a computer-based system or specific visitor software product.
建築物及其內部安全
Doors
Door Locks
鎖具是普遍使用且具有較好的成本效益防護機制,能夠遏製或延遲入侵行為,新型鎖增加了出入記錄功能,考慮了防鑰匙遺失和複製的問題。
Electric Locks電子鎖
Electric Strikes電控鎖扣
Magnetic Locks磁力鎖
Anti-Passback防追蹤偵測設置
鎖具類別
Rim Lock 彈簧鎖
Mortise Lock暗鎖
Locking Cylinders鎖芯
Cipher Lock密碼鎖
密碼鎖使用鍵盤,並且可以編程
Hi-Tech Kevs
Intelligent keys”
「Instant keys
Safes保險箱
Tool-Resistant Safe Class TL-15.
要求
Vaults 儲藏庫
■ Class M - One quarter hour
■ Class 1 - One half hour
■ Class 2 - One hour
■ Class 3 - Two hours
Containers
Key Control
critical elements
人身安全
Privacy 隱私
All individuals have an expectation of privacy
Travel 行程
YOU SHOULD KNOW
BEFORE YOU TRAVEL
Prepare your device:
WHILE YOU'RE AWAY
WHEN YOU RETURN
Duress 脅迫