T&E的專長就是中對系統生命週期在開發過程提供系統強度與弱點的初期認知

管理風險所需認知

驗證模型和模擬的經驗數據

技術性能和系統成熟度的測試

運維效能、適應性和生存能力的確定

識別、管理和降低風險

管理風險所需認知

驗證模型和模擬的經驗數據

技術性能和系統成熟度的測試

運維效能、適應性和生存能力的決定。

與主辦單位一塊建立或評估用於支援程序獲取/開發的T&E策略；

提供能深度管理風險的T&E的方法；

監控T&E流程以及可能需要的變更；

評估測試計劃和程序是否適用於開發測試或執行測試，並提供建議；

進一步被希望理解獲取/開發程序的背後的理由以用於建立和執行T&E策略；

期望理解T&E測試的具體活動，如互通性測試；

這個小組通常被稱為T&E整合​​產品團隊，由T&E專家、客戶用戶代表和其他利害關係人組成；

T&E策略是活動文檔，該小組負責在需要時進行更新；

該小組需要確保T&E流程包含獲取策略以及系統滿足基於用於能力的操作要求；

如路由日誌分析有利於識別安全事故、策略違反、詐欺行為和操作問題等。

執行審計和取證調查；

支持內部調查；

建立基線；

識別運作趨勢以及發現長期問題；

需要平衡有限的日誌管理資源和持續產生的日誌數據

日誌的生產和存儲

需要保護日誌的完整性、機密性和可用性

確保安全性、系統和網路管理員定期有效的分析日誌資料。

定義日誌需求和目標

日誌需求和建議應與實施和維護日誌所需的資源和細節分析技術一塊生成

原始日誌的保護

優化日誌和需求，基於組織風險減少的感知以及執行日誌管理所需資源和預期的時間。

建立日誌管理的職責和角色

日誌管理架構包含硬體、軟體、網路和媒體用於產生、傳輸、儲存、分析和處置日誌。

設計日誌管理框架時應考慮管理框架現在和未來的需求以及整個組織的獨立日誌來源。

系統的管理員應獲得足夠的支援；

包括資訊傳播、提供訓練、提供問題解答的聯絡點、 提供具體的技術指南、提供相應的工具和文件等。

日誌管理員職責

日誌管理流程

日誌來源

挑戰

關鍵實踐

Web監控方法，旨在擷取或分析Web或應用程式上每個使用者的每筆交易

又稱real-user measurement真實使用者測量, real-user metrics真實使用者指標, or end-user experience monitoring (EUM)最終使用者體驗監控

passive monitoring被動監控的方式

監控模式

proactive monitoring 主動或預先回應監控的方式

並不追蹤真實的使用者會話

客戶端完全可控 full control over the client

微軟系統中心操作管理軟體

提升價值

不恰當的程式設計模式，如缺少檢查影響使用者的數據，SQL注入（輸入驗證）

安全基礎架構的誤配：存取控制權限過大或脆弱的加密配置；

安全基礎設施的功能錯誤：存取控制強制設施本身不限制系統的存取；

實施流程的邏輯錯誤：例如使用者下訂單而不用支付

Top 25

白盒（結構性測試/開箱測試） vs. 黑盒測試（功能性測試/閉箱測試）

動態測試 VS. 靜態測試 Dynamic Testing vs. Static Testing

手工 vs. 自動化 Manual Testing vs. Automated Testing

攻擊面

應用程式類型

品質

支援技術

效能和資源利用率

架構安全評審

威脅建模 Threat Modeling -

Static Source Code Analysis (SAST) and Manual Code Review（靜態程式碼分析與手動程式碼評審）

Static Binary Code Analysis and Manual Binary Review（靜態二進位程式碼分析和手工二進位審查）

手動或自動化滲透測試

自動化漏洞掃描

Fuzz Testing Tools 模糊測試工具

建議使用被動安全測試技術監測系統行為和分析系統日誌

軟體維護過程中，補丁的測試非常重要

軟體測試有其限制，不可能100%測試完成

測試計劃和測試案例應盡可能早的在軟體開發階段進行開發

軟體的安全測試一般起始於單元層級的測試和結束於系統層級測試

結構化測試 (「白盒」測試) 開箱測試

測試案例基於從原始程式碼、細節設計規格說明和其他開發文件中獲得的知識；

Statement Coverage 語句覆蓋率

Decision (Branch) Coverage 判斷覆蓋率

Condition Coverage 條件覆蓋率，

Multi-Condition Coverage 多條件覆蓋率

Loop Coverage 循環覆蓋率

Path Coverage 路徑覆蓋率

Data Flow Coverage 資料流覆蓋率

測試案例是基於軟體產品具體要做什麼來定義的；

測試案例的主要挑戰是預期用途和程序功能以及程式的內部和外部介面；

功能性測試應用於任意等級的軟體測試，從單元測試到系統層級的測試

Normal Case 普通用例

Output Forcing 輸出需求，

Robustness 穩健性

Combinations of Inputs 輸入組合

weakness 弱點

提供高結構化覆蓋率

從基於運行環境（軟體產品的預期使用、危險使用或惡意使用）定義的分佈來產生隨機資料；

產生大量測試數據並用於覆蓋到特別領域或所關注的地方，提供增加識別單一和極其罕見的運行狀況的可能性，這些運行狀況沒有被設計者和測試人員所預測；

原因

目的

Unit (module or component) level testing 單元測試

Integration level testing 整合測試（測模組之間的介面）

System level testing 系統測試

驗收測試

系統測試將呈現在特定環境中軟體產品的行為；

測試程序、測試數據和測試結果應以獲得允許通過/失敗決策的方式記錄；

企業的軟體產品是複雜的，軟體產品的測試需要保持一致性、完整性和有效性；

軟體維護任務和硬體維護不一樣，硬體有預防性維護措施而軟體沒有；

需要有效驗證變更

Software Validation Plan Revision軟體驗證計畫修訂，

Anomaly Evaluation異常驗證，

Problem Identification and Resolution Tracking 問題識別和解決跟踪，

Proposed Change Assessment 請求變更評估

Task Iteration 任務迭代，

Documentation Updating 文件更新

站在正常使用者使用系統的角度的測試案例

來自對系統懷有惡意的人員視角的用例。

確定應用程式按照所預期的方式進行工作，如果在正向測試中發現錯誤則失敗

確保應用程式可以妥善處理無效輸入或非預期使用者行為。

主要檢查應用或系統開發的不同組件彼此是否同步；

從技術層面接口測試主要用於確定不同功能諸如 資料在系統的不同元素中是否依照設計進行傳輸。

用於確保軟體的品質

發現，收集目標的相關資訊(discovery)

枚舉，執行連接埠掃描和資源標識方法

脆弱性勘探，在確定的系統和資源中標識脆弱性

利用，嘗試利用脆弱性進行未授權訪問

向管理階層報告，想管理階層提交報告和安全建議

黑盒測試，零了解，滲透團隊在不了了解測試目標的情況下測試

灰盒測試，在了解一些與測試目標相關的資訊上測試

白盒測試，了解目標的本質的基礎上測試

0知識

部分知識

全部知識

從一系列電話號碼中撥號尋找可用的數據機

有些組織仍然使用調變解調器用於通訊備用

戰爭撥號是一種旨在避開防火牆和入侵偵測系統(IDS)侵入組織網路的形式

戰爭撥號攻擊包括透過撥入存取試圖獲得組織的內部運算和網路資源存取權， 這給了駭客入侵便利性。

自我測試

內核層存在漏洞

對策：確保安全修補程式到作業系統足夠的測試後，及時部署在環境中保持盡可能小的漏洞視窗。

對策：良好的程式設計實踐和開發教育，自動掃描器的源代碼， 增強程式庫，採用強語言類型不允許緩衝區溢出

駭客重新定向符號鏈接，從而達到非授權訪問的目的。

對策：在編寫程式（尤其是腳本）時，無法規避文件的完整路徑

檔案描述符是許多作業系統用來表示進程中開啟檔案的數字.某些檔案描述符數是通用的，對所有程式都有相同的意義。

如果程式不安全地使用檔案描述符，可能會導致攻擊者利用程式特權將意外的輸入提供給程序，或導致輸出到意外的地方

對策：良好的程式設計實踐和開發教育，自動化原始碼掃描器和應用程式安全測試都是減少這種類型的漏洞的方法。

在執行程序前未消除環境的脆弱性因素

會導致攻擊者讀取或寫入意外資料或執行未經授權的命令

對策：良好的程式設計實踐和開發教育，自動化原始碼掃描器和應用程式安全測試

父行程建立子行程要專注於競態條件和最小授權

不適當的文件或目錄權限

對策：檔案完整性檢查，也應檢查預期的檔案和目錄的權限

用於定義現行資訊安全、漏洞和危險的意識用於支持組織資訊安全風險決策；

用於支援跨組織的資訊安全監控的任何努力和流程必須開始與高階領導定義的複雜ISCM策略；

是建立在清晰理解組織風險容忍度並幫助企業設定優先順序和管理整個組織的風險一致性；

包含度量指標來提供在所有組織層面的安全狀態的真實意義；

確保所有安全控制的持續有效;

驗證由組織使命/業務職能、國家法律法規、指南、指南標準所驅動的資訊安全要求的符合性;

所有組織的IT資產都被告知並協助維護資產安全的可見性;

確保組織系統和環境變更的知識和控制；

保持威脅和脆弱性的意識.

聯邦資訊系統和組織的資訊安全持續監控（ISCM）

ISCM方案的建立收集依據預設測量指標的數據，部分透過已實施的安全控制來利用資訊變更更加容易。

組織範圍的風險監控不能有效的依靠單獨的手動流程或單獨的自動化流程來獲得：

測量指標包含所有來自評估和監控並由自動化工具以及手動程序所產生的安全相關信息，並組織成有意義的信息來支持決策和報告要求。

測量指標應由維持或改善安全態勢的具體目標所驅動。

測量指標開發系統層級的數據使得使命/業務背景或組織風險管理變得有意義；

測量指標從不同時間獲得的安全相關資訊並帶有不同程度的延遲。

Security Control Volatility安全控制波動

System Categorizations/Impact Levels系統分類/影響的水平

Security Controls or Specific Assessment Objects Providing Critical Functions安全控製或特定評估物件所提供的關鍵功能

Security Controls with Identified Weaknesses已辨識出弱點的安全控制

Organizational Risk Tolerance組織風險容忍度，

Threat Information威脅訊息

Vulnerability Information

Risk Assessment Results風險評估結果

Reporting Requirements通報要求

如美國聯邦資訊安全法案（FISMA Federal Information Security Management Act）要求聯邦機構每年至少對組織的資訊安全系統進行一次自我審計和獨立的第三方審計；

資訊安全專家需要理解法律標準中所概述的要求以提供保護，但極少做到完全的保護或資訊系統的風險管理；

資訊安全專家必須確保適當的範圍和裁剪為目標系統在正確的層級上獲得適當數量的控制

組織為了集中核心競爭力、減少開支和更快速的部署應用新的應用功能， 不斷將系統、業務流程和資料處理外包給服務提供者；

組織常更新外包服務商的監控流程以及管理與外包的風險；

歷史上，許多組織經常藉鏡Statement on Auditing Standards (SAS) 70 reports 審計準則說明以獲得對外包活動的安慰，然而SAS 70關注財務報告內部控制(ICOFR)，而不關注系統可用性和安全。

SAS70報告已在2011退休，取而代之的是SOC（Service Organization Control)報告；

他們熟悉組織內部的工作流程。

工作效率高

能夠很準確地找出最有問題的點

可以使審計工作更有靈活，管理階層可不斷變換審計需求讓審計團隊對應調整審計方案

他們接觸到資訊系統的相對有限

存在利益衝突的可能性，妨礙客觀性。

審計過很多種不同的資訊系統，經驗豐富

他們不知道目標組織內部的動態和政治。將會保持客觀中立

成本高

你仍然需要處理增加的資源來組織他們並監督他們的工作即使簽了保密協議。

缺乏對組織內部運作的了解。

與SOC 1/SOC 2報告相反的地方是，SOC1 報告需要服務提供者描述他的系統並定義控制目標和控制，這些與財務報告內部控制有關；

SOC1報告通常不涵蓋那些與使用者ICOFR報告無關的服務和控制。

SOC1報告在2011年開始被許多服務商用於核心財務處理服務；

Period of time reports covering design and operating effectiveness 一段時間內包含設計和維運有效性的報告

原則和準則具體定義安全性、可用性、機密性、處理完整性和隱私；

提供超越財務報告內部控制（ICOFR）；

可以基於服務提供者及其使用者的需求，採用模組化的方式便於 SOC2/SOC3報告能夠涵蓋一個或多個原則；

IT服務提供者沒有影響或存在間接影響到使用者的財務系統，則使用SOC2報告；

SOC3報告一般用於向大範圍使用者通報其保障等級而不需要揭露細部控制和測試結果；

1.新進員工應閱讀並簽署可接受使用政策 (AUP)

2.透過審計員工帳號，確認員工遵守AUP的情況。

3.從人力資源部門調取新員工清單與IT部門在系統中開設員工帳號進行對照，以確保兩個部門溝通的有效性。

4.策略也應明確帳號過期時間、密碼原則、使用者可存取資訊範圍。

使用特權帳號的問題

1.通常情況每個電腦使用者帳號都具有本機管理員權限，伺服器管理維護人員具有網域管理員權限，且均有較大風險。

2.帳號的增加、刪除或修改，均應嚴格控制並文件化。

3.實施管理員帳號權限分級管理。

4.僅在必須時才使用特權帳號，日常維護工作使用受限帳號。

1.要暫停不在使用的帳號。

2.從人力部取得短期、長期離職離職人員清單， 與IT系統帳號狀況對比，刪除長期離職離職人員帳號， 並暫停短期離職離職帳號使用權限。

使用者檔案

資料庫

郵件數據

測試資料備份狀況

分析組織可能面臨的威脅各種場景

開發一個計劃來測試每個場景中所有關鍵任務資料備份

利用自動化，盡量減少審計人員的工作量，確保測試定期發生

盡量減少資料備份測試計劃對業務流程的影響，以便它可以定期執行

確保覆蓋範圍，使每個系統進行測試，但不一定在同一個測試中。

記錄結果，這樣你就知道什麼是工作，什麼是需要工作的

修正或完善你記錄的任何問題。

Checklist Test 檢查清單測試

Structured Walk-Through Test 結構化穿行測試

Simulation Test 模擬測試

Parallel Test 平行測試

Full-Interruption Test 全中斷測試

安全訓練是指教導一種技能或一套技能，使人們更好地執行特定功能的過程.

安全意識培訓是把人們暴露在安全問題的過程中，以便他們能夠認識到他們，並更好地應對他們。

在資訊安全的背景下，是操縱個人的過程，使他們執行違反安全協議的行為。

網路釣魚是透過數位通訊進行的社會工程.。

一個驅動下載是一個自動攻擊，只需訪問惡意網站觸發。

關鍵績效指標（KPI）測量組織在一個給定的時間執行一個給定的任務的效率

測量執行給定動作或動作集合所固有的風險.。

一個技術報告應該比一個自動掃描工具或一個普通清單的輸出要多。

好的審計技術報告所包含的要素

呈給高階領導者的報告應簡潔易懂，主要包括關鍵的調查結果和建議

最好將風險量化描述，量化風險的一種方法是用貨幣術語來表達風險.

常見風險計量法

管理評審應週期性地進行，否則將使檢查風險變主動為被動。

會議的頻率也應與執行前一次評審的決定所需時長同步。

評審輸入

管理行動