A experiência da T&E consiste em fornecer uma compreensão precoce dos pontos fortes e fracos do sistema durante o processo de desenvolvimento durante o ciclo de vida do sistema.

Conscientização necessária para gerenciar riscos

Dados empíricos para validação de modelos e simulações

Teste de desempenho técnico e maturidade do sistema

Determinação da eficiência de operação e manutenção, adaptabilidade e capacidade de sobrevivência

Identifique, gerencie e reduza riscos

Conscientização necessária para gerenciar riscos

Dados empíricos para validação de modelos e simulações

Teste de desempenho técnico e maturidade do sistema

Determinação da eficácia operacional, adaptabilidade e capacidade de sobrevivência.

Trabalhar com organizações patrocinadoras para estabelecer ou avaliar estratégias de T&E para apoiar a aquisição/desenvolvimento de programas;

Fornecer métodos de T&E que possam gerenciar riscos profundamente;

Monitorar processos de T&E e alterações que possam ser necessárias;

Avaliar e fornecer recomendações para adequação de planos de teste e procedimentos para testes de desenvolvimento ou testes operacionais;

Espera-se ainda compreender a lógica por trás dos procedimentos de aquisição/desenvolvimento para estabelecer e executar estratégias de T&E;

Espere compreender as atividades específicas dos testes T&E, como os testes de interoperabilidade;

Este grupo é frequentemente chamado de equipe de produto integrada de T&E e consiste em especialistas em T&E, representantes de usuários de clientes e outras partes interessadas;

A estratégia de T&E é um documento vivo e a equipe é responsável por atualizá-lo quando necessário;

A equipe precisa garantir que o processo de T&E inclua estratégias de aquisição e que o sistema atenda aos requisitos operacionais com base nas capacidades utilizadas;

Por exemplo, a análise de log de roteamento é útil na identificação de incidentes de segurança, violações de políticas, comportamentos fraudulentos e problemas operacionais.

Realizar auditorias e investigações forenses;

Apoiar investigações internas;

Estabeleça uma linha de base;

Identificar tendências operacionais e identificar problemas de longo prazo;

Necessidade de equilibrar recursos limitados de gerenciamento de log com dados de log gerados continuamente

Produção e armazenamento de toras

Necessidade de proteger a integridade, confidencialidade e disponibilidade dos logs

Garanta que os administradores de segurança, de sistema e de rede analisem os dados de log de maneira regular e eficaz.

Definir requisitos e metas de registro

Os requisitos e recomendações de registro devem ser gerados juntamente com os recursos e técnicas de análise detalhadas necessárias para implementar e manter o registro

Proteção de logs originais

Otimize logs e requisitos com base na redução de risco organizacional percebida e nos recursos e no tempo esperado necessários para realizar o gerenciamento de logs.

Estabeleça responsabilidades e funções de gerenciamento de logs

Uma arquitetura de gerenciamento de logs abrange o hardware, o software, a rede e a mídia usada para gerar, transmitir, armazenar, analisar e processar logs.

A concepção de uma estrutura de gestão de registos deve considerar as necessidades actuais e futuras da estrutura de gestão, bem como fontes de registo independentes em toda a organização.

Os administradores do sistema devem receber apoio adequado;

Incluindo divulgação de informações, fornecimento de treinamento, fornecimento de um ponto de contato para perguntas e respostas, Fornecer orientação técnica específica, ferramentas e documentação correspondentes, etc.

Responsabilidades do administrador de log

Processo de gerenciamento de log

Fonte de registro

desafio

práticas principais

Métodos de monitoramento da Web projetados para capturar ou analisar todas as transações de cada usuário na Web ou aplicativo

Também conhecido como medição de usuário real, métricas de usuário real ou monitoramento de experiência do usuário final (EUM) monitoramento da experiência do usuário final

monitoramento passivo Método de monitoramento passivo

Modo monitor

monitoramento proativo Abordagem de monitoramento proativa ou pré-responsiva

Não rastreia sessões reais de usuários

Cliente totalmente controlável controle total sobre o cliente

Software de gerenciamento de operações Microsoft System Center

Aumentar valor

Padrões de programação inadequados, como verificações ausentes que afetam os dados do usuário, injeção de SQL (validação de entrada)

Incompatibilidade de infraestrutura de segurança: controle de acesso excessivo ou configuração de criptografia fraca;

Erros funcionais na infraestrutura de segurança: os próprios recursos de fiscalização de acesso não restringem o acesso ao sistema;

Erros lógicos no processo de implementação: por exemplo, o usuário faz um pedido sem pagar

25 principais

Caixa branca (teste estrutural/teste de caixa aberta) vs. teste de caixa preta (teste funcional/teste de caixa fechada)

Teste dinâmico VS. Teste estático. Teste Dinâmico vs. Teste Estático

Manual vs. Automação Teste Manual vs. Teste Automatizado

superfície de ataque

Tipos de aplicativos

qualidade

Tecnologia de suporte

Desempenho e utilização de recursos

Revisão de segurança da arquitetura

Modelagem de ameaças -

Análise estática de código-fonte (SAST) e revisão manual de código (análise estática de código e revisão manual de código)

Análise estática de código binário e revisão binária manual (análise estática de código binário e revisão binária manual)

Teste de penetração manual ou automatizado

Verificação automatizada de vulnerabilidades

Ferramentas de teste Fuzz

Recomenda-se o uso de tecnologia de teste de segurança passiva para monitorar o comportamento do sistema e analisar os logs do sistema

Durante a manutenção do software, o teste de patch é muito importante

O teste de software tem suas limitações e é impossível concluir 100% do teste

Os planos de teste e os casos de teste devem ser desenvolvidos o mais cedo possível na fase de desenvolvimento de software

Os testes de segurança de software geralmente começam com testes em nível de unidade e terminam com testes em nível de sistema.

Teste estruturado (teste de "caixa branca") Teste de desembalagem

Os casos de teste são baseados no conhecimento obtido do código-fonte, especificações detalhadas de projeto e outros documentos de desenvolvimento;

Cobertura do extrato Cobertura do extrato

Cobertura de decisão (filial) Cobertura de decisão

Cobertura de condição Cobertura de condição,

Cobertura multicondições Cobertura multicondições

Cobertura de loop Cobertura de loop

Cobertura do caminho cobertura do caminho

Cobertura de fluxo de dados cobertura de fluxo de dados

Os casos de teste são definidos com base no que o produto de software deve fazer especificamente;

Os principais desafios dos casos de teste são o uso pretendido e a funcionalidade do programa, bem como as interfaces internas e externas do programa;

O teste funcional deve ser aplicado a qualquer nível de teste de software, desde testes unitários até testes em nível de sistema.

Caso normal Caso de uso comum

Saída Forçando requisitos de saída,

Robustez Robustez

Combinações de entradas Combinações de entradas

fraqueza fraqueza

Fornece alta cobertura estrutural

Gerar dados aleatórios a partir de uma distribuição definida com base no ambiente operacional (uso pretendido, uso perigoso ou uso malicioso do produto de software);

Gerar grandes quantidades de dados de teste e usá-los para cobrir áreas específicas ou áreas de preocupação, proporcionando maior probabilidade de identificar condições operacionais únicas e extremamente raras que não foram previstas pelos projetistas e testadores;

razão

Propósito

Teste de nível de unidade (módulo ou componente) teste de unidade

Teste de nível de integração Teste de integração (testando as interfaces entre módulos)

Teste de nível de sistema Teste do sistema

Teste de aceitação

Os testes do sistema apresentarão o comportamento do produto de software em um ambiente específico;

Os procedimentos de teste, os dados de teste e os resultados dos testes devem ser documentados de uma maneira que permita decisões de aprovação/reprovação;

Os produtos de software empresarial são complexos e os testes de produtos de software precisam manter consistência, integridade e eficácia;

As tarefas de manutenção de software são diferentes da manutenção de hardware. O hardware possui medidas de manutenção preventiva, mas o software não;

Requer verificação válida de alterações

Revisão do Plano de Validação de SoftwareRevisão do Plano de Validação de Software,

Verificação de exceção de avaliação de anomalia,

Identificação de problemas e rastreamento de resolução Identificação de problemas e rastreamento de resolução,

Avaliação de mudança proposta Solicite uma avaliação de mudança

Iteração de tarefa, iteração de tarefa,

Atualização de documentação Atualização de documentação

Casos de teste da perspectiva de usuários normais que usam o sistema

Use casos da perspectiva de alguém com intenções maliciosas no sistema.

Certifique-se de que o aplicativo funcione conforme o esperado e falhe se forem encontrados erros durante o teste direto

Certifique-se de que seu aplicativo lide adequadamente com entradas inválidas ou comportamento inesperado do usuário.

Verifica principalmente se os diferentes componentes do desenvolvimento da aplicação ou do sistema estão sincronizados entre si;

Do nível técnico, o teste de interface é usado principalmente para determinar diferentes funções, como Se os dados são transferidos conforme projetado entre os diferentes elementos do sistema.

Usado para garantir a qualidade do software

Descoberta, coleta de informações sobre o alvo (descoberta)

Enumerar, realizar varredura de portas e métodos de identificação de recursos

Exploração de vulnerabilidades, identificando vulnerabilidades em sistemas e recursos identificados

explorar, tentar explorar uma vulnerabilidade para obter acesso não autorizado

Reportar à gestão e enviar relatórios e recomendações de segurança à gestão

Teste de caixa preta, compreensão zero, a equipe de penetração testa sem entender os objetivos do teste

Teste de caixa cinza, teste baseado no conhecimento de algumas informações relacionadas ao objetivo do teste

Teste de caixa branca, teste baseado na compreensão da essência do alvo

0 conhecimento

conhecimento parcial

todo conhecimento

Disque vários números de telefone para encontrar modems disponíveis

Algumas organizações ainda usam modems para backup de comunicação

A discagem de guerra é uma forma de intrusão na rede de uma organização projetada para contornar firewalls e sistemas de detecção de intrusão (IDS)

Os ataques de discagem de guerra envolvem tentativas de obter acesso à computação interna e aos recursos de rede de uma organização por meio de acesso discado, Isso traz conveniência para os hackers.

Auto teste

Existem vulnerabilidades na camada do kernel

Contramedida: Certifique-se de que os patches de segurança no sistema operacional sejam implantados imediatamente após testes adequados no ambiente para manter a janela de vulnerabilidade a menor possível.

Contramedidas: boas práticas de programação e educação para o desenvolvimento, código-fonte para scanners automáticos, Biblioteca de programação aprimorada para usar digitação de linguagem forte para impedir buffer overflows

Os hackers redirecionam links simbólicos para obter acesso não autorizado.

Contramedida: Ao escrever programas (especialmente scripts), não há como evitar o caminho completo do arquivo

Um descritor de arquivo é um número usado por muitos sistemas operacionais para representar arquivos abertos em um processo. Certos números de descritores de arquivo são universais e têm o mesmo significado para todos os programas.

Se um programa usar descritores de arquivo de forma insegura, ele poderá permitir que um invasor explore os privilégios do programa para fornecer entradas inesperadas ao programa ou fazer com que a saída vá para um local inesperado.

Contramedidas: Boas práticas de programação e educação em desenvolvimento, scanners automatizados de código-fonte e testes de segurança de aplicativos são formas de reduzir esse tipo de vulnerabilidade.

Falha na eliminação dos fatores de vulnerabilidade ambiental antes da execução dos procedimentos

Pode permitir que um invasor leia ou grave dados inesperados ou execute comandos não autorizados

Contramedidas: Boas práticas de programação e educação em desenvolvimento, scanners automatizados de código-fonte e testes de segurança de aplicativos

Quando um processo pai cria um processo filho, deve-se prestar atenção às condições de corrida e à autorização mínima.

Permissões inadequadas de arquivo ou diretório

Contramedida: Verificação da integridade do arquivo, verifique também as permissões dos arquivos e diretórios esperados

Conscientização usada para definir a segurança da informação, vulnerabilidades e perigos atuais para apoiar decisões organizacionais sobre riscos de segurança da informação;

Quaisquer esforços e processos utilizados para apoiar o monitoramento da segurança da informação em toda a organização devem começar com uma estratégia ISCM sofisticada definida pela liderança sênior;

Baseia-se numa compreensão clara da tolerância ao risco organizacional e ajuda as empresas a definir prioridades e a gerir a consistência dos riscos em toda a organização;

Incluir métricas para fornecer um verdadeiro significado da postura de segurança em todos os níveis organizacionais;

Garantir a eficácia contínua de todos os controlos de segurança;

Verificar a conformidade com os requisitos de segurança da informação orientados pela missão organizacional/funções empresariais, leis e regulamentos nacionais, orientações, padrões de orientação;

Todos os ativos de TI da organização são informados e a visibilidade da segurança dos ativos é auxiliada;

Garantir o conhecimento e controlo das alterações nos sistemas e ambiente organizacional;

Manter a consciência das ameaças e vulnerabilidades.

Monitoramento Contínuo de Segurança da Informação (ISCM) de Sistemas e Organizações de Informação Federais

Os programas ISCM são estabelecidos para recolher dados com base em indicadores de medição predefinidos, facilitando a exploração de alterações de informação, em parte através de controlos de segurança que foram implementados.

O monitoramento de riscos em toda a organização não pode ser alcançado de forma eficaz com base em processos manuais separados ou apenas em processos automatizados:

As medições incluem todas as informações relacionadas à segurança provenientes de avaliação e monitoramento produzidas por ferramentas automatizadas, bem como procedimentos manuais, organizados em informações significativas para apoiar a tomada de decisões e os requisitos de relatórios.

As métricas devem ser orientadas por objetivos específicos para manter ou melhorar a postura de segurança.

As métricas desenvolvem dados em nível de sistema que dão sentido à missão/contexto de negócios ou ao gerenciamento de riscos organizacionais;

Métricas de medição de informações relevantes para a segurança obtidas em diferentes momentos e com diversos níveis de latência.

Volatilidade do Controle de SegurançaVolatilidade do Controle de Segurança

Categorias de sistema/níveis de impacto Categorias de sistema/níveis de impacto

Controles de segurança ou objetos de avaliação específicos que fornecem funções críticas

Controles de segurança com pontos fracos identificados Controles de segurança com pontos fracos identificados

Tolerância ao Risco Organizacional Tolerância ao Risco Organizacional,

Informações sobre ameaçasInformações sobre ameaças

Informações sobre vulnerabilidade

Resultados da Avaliação de RiscoResultados da Avaliação de Risco

Requisitos de relatóriosRequisitos de notificação

Por exemplo, a Lei Federal de Gestão de Segurança da Informação dos EUA (Lei Federal de Gestão de Segurança da Informação FISMA) exige que as agências federais realizem autoauditorias e auditorias independentes de terceiros do sistema de segurança da informação da organização pelo menos uma vez por ano;

Os profissionais de segurança da informação precisam compreender os requisitos descritos nas normas legais para fornecer proteção, mas a proteção completa ou o gerenciamento de riscos dos sistemas de informação raramente são alcançados;

Os profissionais de segurança da informação devem garantir o escopo e a adaptação adequados para obter o número apropriado de controles no nível correto para o sistema alvo

Para focar nas competências essenciais, reduzir despesas e implantar novas funções de aplicativos mais rapidamente, as organizações Terceirização contínua de sistemas, processos de negócios e processamento de dados para prestadores de serviços;

A organização atualiza frequentemente o processo de monitoramento e gestão e riscos de terceirização do prestador de serviços de terceirização;

Historicamente, muitas organizações confiaram nos relatórios da Declaração sobre Normas de Auditoria (SAS) 70 para obter conforto com atividades de terceirização. No entanto, a SAS 70 concentra-se no controle interno sobre relatórios financeiros (ICOFR) em vez da disponibilidade e segurança do sistema.

O relatório SAS70 foi retirado em 2011 e substituído pelo relatório SOC (Service Organization Control);

Eles estão familiarizados com os processos de trabalho dentro da organização.

alta eficiência de trabalho

Capaz de identificar com precisão os pontos mais problemáticos

Pode tornar o trabalho de auditoria mais flexível e a gestão pode alterar constantemente as necessidades de auditoria, permitindo à equipa de auditoria ajustar o plano de auditoria em conformidade.

O seu acesso aos sistemas de informação é relativamente limitado

Existe a possibilidade de conflito de interesses que impeça a objetividade.

Auditou muitos sistemas de informação diferentes e possui vasta experiência

Eles desconhecem a dinâmica e a política dentro da organização-alvo. permanecerá objetivo e neutro

alto custo

Você ainda terá que lidar com os recursos adicionais para organizá-los e supervisionar seu trabalho, mesmo com um NDA.

Falta de compreensão do funcionamento interno da organização.

Ao contrário do relatório SOC 1/SOC 2, o relatório SOC 1 exige que o prestador de serviços descreva o seu sistema e defina os objetivos de controlo e controlos relacionados com o controlo interno sobre o reporte financeiro;

Os relatórios SOC1 geralmente não cobrem serviços e controles que não sejam relevantes para os relatórios do usuário ICOFR.

Os relatórios SOC1 começaram a ser utilizados por muitos prestadores de serviços para serviços essenciais de processamento financeiro em 2011;

Relatórios de período cobrindo a eficácia do projeto e da operação Relatórios que cobrem a eficácia do projeto e da operação durante um período de tempo

Os princípios e diretrizes definem especificamente segurança, disponibilidade, confidencialidade, integridade de processamento e privacidade;

Fornecendo além do controle interno sobre relatórios financeiros (ICOFR);

Com base nas necessidades dos prestadores de serviços e dos seus utilizadores, pode ser utilizada uma abordagem modular para facilitar Os relatórios SOC2/SOC3 podem abranger um ou mais princípios;

Caso o provedor de serviços de TI não tenha impacto ou tenha impacto indireto no sistema financeiro do usuário, será utilizado o relatório SOC2;

Os relatórios SOC3 são geralmente usados ​​para informar uma ampla gama de usuários sobre seus níveis de garantia, sem divulgar controles detalhados e resultados de testes;

1. Novos funcionários devem ler e assinar a Política de Uso Aceitável (AUP)

2. Confirme a conformidade dos funcionários com a AUP auditando as contas dos funcionários.

3. Recuperar a lista de novos colaboradores do departamento de recursos humanos e compará-la com as contas de colaboradores abertas no sistema pelo departamento de TI para garantir a eficácia da comunicação entre os dois departamentos.

4. A política também deve esclarecer o prazo de expiração da conta, a política de senha e o escopo das informações que os usuários podem acessar.

Problemas com o uso de contas privilegiadas

1. Normalmente, cada conta de usuário de computador possui direitos de administrador local, e o pessoal de gerenciamento e manutenção do servidor possui direitos de administrador de domínio, ambos arriscados.

2. A adição, eliminação ou modificação de contas deve ser rigorosamente controlada e documentada.

3. Implemente o gerenciamento hierárquico de permissões de conta de administrador.

4. Use contas privilegiadas somente quando necessário e use contas restritas para trabalhos de manutenção diários.

1. Suspender contas que não estejam mais em uso.

2. Obtenha uma lista de desligamentos de curto e longo prazo do Ministério de Recursos Humanos, Compare o status da conta com o sistema de TI e exclua as contas de funcionários que estão desempregados há muito tempo. E suspender o uso de contas para licenças de curta duração.

arquivos de usuário

base de dados

Dados de e-mail

Teste a situação de backup de dados

Analisar vários cenários de ameaças que a organização pode enfrentar

Desenvolva um plano para testar todos os backups de dados de missão crítica em cada cenário

Aproveite a automação para minimizar a carga de trabalho do auditor e garantir que os testes ocorram regularmente

Minimize o impacto do plano de teste de backup de dados nos processos de negócios para que ele possa ser executado regularmente

Garanta a cobertura para que todos os sistemas sejam testados, mas não necessariamente no mesmo teste.

Registre os resultados para saber o que funcionou e o que precisava ser melhorado

Corrija ou melhore quaisquer problemas documentados.

Teste de lista de verificação Teste de lista de verificação

Teste passo a passo estruturado Teste passo a passo estruturado

Teste de Simulação Teste de Simulação

Teste Paralelo Teste Paralelo

Teste de interrupção total Teste de interrupção total

O treinamento em segurança refere-se ao processo de ensino de uma habilidade ou conjunto de habilidades que permite às pessoas desempenhar melhor funções específicas.

O treinamento de conscientização em segurança é o processo de expor as pessoas a questões de segurança para que possam reconhecê-las e responder melhor a elas.

No contexto da segurança da informação, é o processo de manipulação de indivíduos para levá-los a realizar ações que violem os protocolos de segurança.

Phishing é engenharia social por meio de comunicações digitais.

O download de um driver é um ataque automatizado desencadeado simplesmente pela visita a um site malicioso.

Os principais indicadores de desempenho (KPIs) medem a eficácia com que uma organização executa uma determinada tarefa em um determinado momento

Uma medida do risco inerente à execução de uma determinada ação ou conjunto de ações.

Um relatório técnico deve ser mais do que o resultado de uma ferramenta de digitalização automatizada ou de um inventário genérico.

Elementos de um bom relatório técnico de auditoria

Os relatórios aos líderes seniores devem ser concisos e fáceis de entender, concentrando-se nas principais conclusões e recomendações

O risco é melhor descrito quantitativamente e uma forma de quantificá-lo é expressá-lo em termos monetários.

Métodos comuns de medição de risco

As revisões da gestão devem ser realizadas periodicamente, caso contrário o risco de inspeção mudará de proativo para reativo.

A frequência das reuniões também deve ser sincronizada com o tempo necessário para implementar as decisões da revisão anterior.

revisar entrada

ação de gestão