Wondershare EdrawMind
Галерея диаграмм связей CISSP AIO Информационная безопасность
- 4
CISSP AIO Информационная безопасность
Тестовые точки CISSP используются вместе с книгой «ВСЕ В ОДНОМ». Ключевые тестовые точки разделены. Необходимо запомнить все восемь областей знаний. Для разбора подходит наиболее полный анализ тестовых точек. очки знаний и подготовка к экзамену. Поскольку содержимое карты слишком велико, оно не раскрывается полностью. Определенно достаточно подробно.
Отредактировано в 2022-10-27 09:29:52
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Modèle de processus de gestion de projet
La gestion de projet est le processus qui consiste à appliquer des connaissances, des compétences, des outils et des méthodologies spécialisés aux activités du projet afin que celui-ci puisse atteindre ou dépasser les exigences et les attentes fixées dans le cadre de ressources limitées. Ce diagramme fournit une vue d'ensemble des 8 composantes du processus de gestion de projet et peut être utilisé comme modèle générique.
CISSP AIO Информационная безопасность
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Modèle de processus de gestion de projet
La gestion de projet est le processus qui consiste à appliquer des connaissances, des compétences, des outils et des méthodologies spécialisés aux activités du projet afin que celui-ci puisse atteindre ou dépasser les exigences et les attentes fixées dans le cadre de ressources limitées. Ce diagramme fournit une vue d'ensemble des 8 composantes du processus de gestion de projet et peut être utilisé comme modèle générique.
- Рекомендовано вам
- Структура
Примечания к исследованию CISSP-21 (атаки с использованием вредоносного кода и приложений)
- 4
ЦИССП ВСЕ В ОДНОМ
8. Разработка программного обеспечения безопасности
Цели обучения по разработке приложений
Безопасность жизненного цикла разработки программного обеспечения
Подход к жизненному циклу разработки программного обеспечения
модель зрелости
Эксплуатация и обслуживание
Управление изменениями
Интегрированная продуктовая команда
Средства контроля безопасности в средах разработки
Безопасность программной среды (язык программирования, библиотеки, наборы инструментов, комплексная среда разработки, среда выполнения);
Слабости и уязвимости безопасности на уровне исходного кода
Управление конфигурацией как важный компонент безопасного кодирования
Безопасность интерфейса приложения
Эффекты безопасности программного обеспечения
Аудит и протоколирование изменений
Анализ и смягчение рисков (корректирующие действия, тестирование и проверка, регрессионное тестирование)
Приемочное тестирование пользователей
Проблемы разработки приложений
0. Архитектурный шаблон
Трехуровневая архитектура
пользователь
передняя часть
Сложное промежуточное программное обеспечение
база данных
Отслеживание ошибок и функции безопасности
клиент/сервер
Клиент: пользовательский интерфейс, операции с локальной базой данных, механизм связи.
Сервер: выполнять и обрабатывать запросы данных и возвращать результаты.
браузер/сервер
1. Экологический контроль V контроль применения
Баланс нескольких методов управления
Понять границы между контролем окружающей среды и контролем приложений.
2. Функциональность Safety V
Баланс функциональности программного обеспечения и мер безопасности
Баланс функциональных требований, требований безопасности и механизмов безопасности
3. Опыт использования Security V
обычно обратно пропорциональна
4. Функция безопасности V. Конфигурация безопасности.
Установка по умолчанию не гарантирует безопасность
Безопасность конфигурации не включена (по умолчанию доступ должен быть запрещен)
Несоблюдение принципа минимального монтажа
После установки патча
Безопасность разработки системы
СДЛК
Начало проекта
Уточнить требования и определить основные цели безопасности продукта.
Оценка анализа рисков, оценка угроз и уязвимостей, оценка соотношения затрат и выгод от различных мер противодействия безопасности.
Управление рисками
Анализ риска
анализ спроса
Требования безопасности
Команда разработки проекта и управления требованиями проводит комплексный анализ текущих и возможных будущих функциональных требований, чтобы убедиться, что новая система соответствует требованиям конечного пользователя.
Члены проектной группы также будут проверять выходные документы на начальном этапе проекта, а также редактировать и обновлять их по мере необходимости.
Для относительно небольших проектов вышеуказанные процессы часто включаются в начальные этапы проекта.
Требования безопасности также должны быть сформированы соответствующим образом. (Требования безопасности определяются на этапе анализа требований, и персонал службы безопасности должен участвовать в этапе требований)
Системный дизайн
Разработка программного обеспечения как часть проектирования системы
Как правило, функции, реализуемые программным обеспечением, определяются во время проектирования системы.
Верификация программного обеспечения должна учитывать весь контекст, в котором разработана система.
Учитывайте характеристики
Разница между программным и аппаратным обеспечением
Программное обеспечение может иметь ветви, и оно может выполнять разные команды на основе разных входных данных, поэтому программное обеспечение является сложным;
Программное обеспечение не является физическим и поэтому не изнашивается.
Программное обеспечение можно легко и быстро изменить.
Процедуры разработки программного обеспечения должны быть полностью спланированы, контролируемы и записаны для обнаружения и исправления непредвиденных последствий, вызванных изменениями программного обеспечения.
Программные компоненты не стандартизированы и не заменяются так часто, как аппаратное обеспечение.
Инструменты для описания требований пользователя и внутреннего поведения системы
Включает все виды деятельности, связанные с проектированием систем и программного обеспечения.
Проектирование архитектуры системы, системных выходов и системных интерфейсов
Установите требования к вводу данных, потоку данных и выводу данных, а также в целом разработайте функции безопасности программного обеспечения на основе архитектуры безопасности компании.
дизайн
дизайн данных
Извлечение данных о дизайне данных и информационной модели и преобразование их в структуры данных.
Архитектурный дизайн
Определяет основные структуры и связи между компонентами приложения.
разработка процесса
Преобразование структурных компонентов в описательные процессы
подход к проектированию безопасности
Моделирование угроз (СТРАЙД)
Анализ минимизации поверхности атаки
Чистый ввод и вывод
Вопросы для рассмотрения
Иерархическая структура работ (WBS) для последующих этапов
Подробности о продукте и среде, в которой он реализуется
Модульность продукта и важные вопросы
Разработка и внедрение программного обеспечения
Основная работа
Был сгенерирован исходный код и соответственно разработаны тестовые сценарии и тестовые примеры.
Начать внедрение модульного и интеграционного тестирования
Процедуры и системы также начинают документироваться для технического обслуживания, а затем переходят к приемочным испытаниям и переходу к производству.
Тип теста
модульный тест
Проверка структур данных, изменений и граничных условий
Интеграционное тестирование
Убедитесь, что компоненты работают вместе в соответствии с проектными спецификациями.
Тест системы
Функция/Производительность
Вступительный тест
Убедитесь, что код соответствует потребностям клиентов
Регрессионное тестирование
Изменения системы повторно тестируются для обеспечения функциональности, производительности и уровня защиты.
функциональный тест
Тестирование производительности
нагрузочный тест
испытание под давлением
Фаззинг-тестирование
Отправка сложных/случайных данных в программное обеспечение, чтобы вызвать ошибки программного обеспечения. В основном оно используется для выявления переполнения буфера, DOS, внедрения, ошибок проверки и других ошибок, которые могут привести к зависанию, сбою или возникновению программного обеспечения.
Сканирование уязвимостей
Используйте автоматизированные инструменты для проверки основных ошибок программы, таких как строго типизированные языковые ошибки, ошибки разработки и конфигурации, ошибки последовательности транзакций, условия сопоставления триггеров и т. д. После сканирования обычно требуется дополнительное исследование вручную.
Ручное тестирование
Анализируя программу с помощью человеческого опыта и интуиции, часто используя компьютерные технологии, тестировщики могут обнаружить ошибки проектирования, например логические ошибки. Включает тестирование на проникновение.
Динамический анализ
Динамический анализ — это своевременный анализ работающей программы. Обычно он выполняется после статического анализа и после решения основных проблем программы.
Разделение сред и разделение обязанностей
проверка
Убедитесь, что характеристики продукта соблюдены
Проверка
Обеспечить достижение основных целей проекта
Сосредоточьтесь на том, как использовать и управлять разработанной системой или приложением.
Сертификация
Оценка безопасности технических и нетехнических характеристик безопасности ИТ-системы и ее мер защиты измеряет степень, в которой реализация конкретного проекта соответствует заданному набору потребностей безопасности, и обеспечивает поддержку процесса аккредитации.
Процесс изучения и оценки мер безопасности
Выполняется внешним независимым инспекционным агентством
Подтвердите соответствие политикам и стандартам безопасности
Аккредитация или любая (Аккредитация)
Официальное заявление органа власти о том, что ИТ-система одобрена для работы в рамках конкретной модели безопасности, в которой используется определенный набор мер безопасности, отвечающих приемлемому уровню риска.
Одобрение системы руководством
четкое принятие риска
Миграции и исправления
На этом этапе система трансформируется из стадии приемки в реальную производственную среду.
Действия на этом этапе включают получение аккредитации безопасности;
Обучайте пользователей согласно плану;
Внедрить систему, включая установку и конвертацию данных;
Выполните и действуйте при необходимости.
Эксплуатация и обслуживание
Правильно настройте среду безопасности
Постоянно проводить тестирование уязвимостей, отслеживать активность системы и проводить аудит событий (при обнаружении уязвимостей на этапе обслуживания о предпринятых действиях сообщается)
В случае серьезных изменений провести оценку рисков и провести процессы сертификации и аккредитации (ресертификация, повторная аккредитация)
Утилизация (Глава 2)
Уничтожьте данные на основе конфиденциальности данных.
Метод уничтожения
физический урон
Размагничивание
перезаписать
Жизненный цикл системного проектирования SELC
Анализ требований, Проектирование, Внедрение, Верификация, Эксплуатация Анализ требований, Проектирование, Реализация, Верификация, Эксплуатация
Управление изменениями и конфигурациями
Модель зрелости возможностей (ШМ)
1. Первоначальный (специальный)
2. Повторяемый
3. Кастомизация (Определенная кастомизация)
4. Управляемый (Управляемый, индикатор измерения)
5. Оптимизация (Optiminzing, постоянное улучшение)
Модель зрелости интеграции (КММИ)
1, 3 и 5 аналогичны ШМ, 2 — управляемый, а 4 — управляемый количественный анализ.
Интегрированная продуктовая команда
Интегрированная разработка продуктов и процессов (IPPD) комплексная разработка продуктов и процессов.
Методы управления, которые оптимизируют процессы проектирования, производства и поддержки за счет одновременной интеграции всех необходимых мероприятий по закупкам с использованием многопрофильных команд.
IPPD способствует достижению целевых показателей затрат и производительности от концепции продукта до производства, включая поддержку на месте.
Ключевым принципом IPPD является модель междисциплинарного сотрудничества интегрированных продуктовых команд (IPT).
ИПТ
Представители всех функциональных дисциплин работают с руководителем группы для создания успешных и сбалансированных программ, выявления и решения проблем, а также принятия обоснованных и своевременных решений.
Члены команды не обязательно посвящают проекту 100 % своего времени, и один участник может состоять в нескольких командах IPT.
Цель IPT — указать, что групповые решения основаны на вкладе всех команд в режиме реального времени (например, управления проектами, проектирования, производства, тестирования, логики, финансового управления, управления закупками и контрактами), включая клиентов и поставщиков.
Члены группы ITP состоят из членов уровня менеджера проекта, включая представителей предприятия и подрядчиков систем/подсистем.
Типичный IPT находится на уровне программы и может, например, состоять из следующих функциональных дисциплин: проектирование, производство, системное проектирование, тестирование и оценка, субподряд, обеспечение качества, обучение, финансы, надежность, линии технического обслуживания, поддержка, закупки. , управление контрактами, поставщиками и клиентами.
DevOps
концепция
в принципе
Разработка и тестирование аналогичных производственных систем
Развертывание с помощью повторяемого и надежного процесса
Мониторинг и проверка качества работы
Расширьте цикл обратной связи
модель разработки программного обеспечения
модель водопада
Планирование, анализ требований, проектирование программного обеспечения, написание программ, тестирование программного обеспечения, эксплуатация и обслуживание.
спиральная модель
Структурированное редактирование и разработка
итеративная разработка
прототип модели
тип сброса
Улучшен
быстрое прототипирование
Изучите модель
Совместная разработка анализа
Быстрая разработка приложений (RAD)
Повторное использование моделей
чистая комната
разработка компонентов
Гибкая разработка
Agile-манифест
Люди и взаимодействие над процессами и инструментами
Работающее программное обеспечение важнее тщательной документации
Сотрудничество с клиентами имеет приоритет над переговорами по контракту
Реагирование на изменения в соответствии с планом
Скрам
Экстремальное программирование XP
Наклонять
Концепции языка программирования (Заниматься кластеризацией и низкой связанностью)
структурированное программирование
Нисходящий анализ и проектирование; Поэтапная реализация снизу вверх
Ориентированная на пользователя перспектива, строгое разделение этапов работы
Недостатки: длительный цикл разработки, громоздкий процесс разработки и сложный аудит, а взаимодействие с пользователем не интуитивно понятно.
объектно-ориентированного программирования
Он состоит из двух частей: класса и объекта.
КлассКласс
Класс Класс определяет абстрактные характеристики объекта
Класс определяет физические свойства и то, что он может делать (его поведение). Методы и свойства класса называются «членами».
Объект Object
Объект является экземпляром класса
Система выделяет пространство памяти объектам, а не классам; Классы абстрактны. Система не может выделить пространство для абстрактных вещей. Объекты конкретны.
объект = метод свойства
Свойства: описывают структуру и характеристики состояния объекта.
Метод: функция или процедура, которую может выполнять объект.
Способы связи между объектами: передача сообщений
Полиморфизм (Полиморфизм)
Самое простое понимание инкапсуляции — это упаковка, что означает сокрытие свойств и деталей реализации объекта и предоставление внешнего мира только интерфейса, то есть внутреннее состояние объекта прозрачно для внешнего мира.
Инкапсуляция Инкапсуляция
означает сокрытие информации об объекте
общественный член
частный член
наследовать (наследование)
Это механизм создания одного или нескольких подтипов из существующего класса.
Архитектура программного обеспечения
структура данных
Представление логических связей между элементами данных
скаляр
связанный список
иерархическое дерево
сцепление и сцепление (высокая связность, низкая связанность)
сплоченность
Отражает, сколько различных типов задач может выполнять модуль.
Чем выше связность, тем легче его обновлять и модифицировать, не затрагивая другие модули, с которыми он взаимодействует.
связь
Сколько взаимодействия необходимо модулю для выполнения своих задач
Низкая связанность упрощает повторное использование, а модификации не влияют на другие модули.
Распределенных вычислений
Запросить прокси-архитектуру через объекты (КОРБА)
Модель Microsoft COM/DCOM
EJB
API
API — это соединитель для loT (Интернета вещей), позволяющий устройствам связываться друг с другом.
Представительский API передачи состояния (REST)
Советы эксперта по безопасности REST по использованию
Три безопасных пути для REST API
Типичная прикладная система
Веб-безопасность (Оценка и устранение уязвимостей веб-систем)
собрать сообщение (Сбор информации)
Оценка безопасности начинается с разведки или сбора информации.
Конкретные угрозы для веб-среды
Веб-интерфейсы администрирования (Административные интерфейсы)
Аутентификация и контроль доступа
Проверка ввода
ответ
Атака переполнения буфера
Атака с использованием межсайтового скриптинга XSS
SQL-инъекция атаки
Проверка параметров
Управление сеансами
Управление базами данных
система управления базами данных (СУБД)
Сборки, которые управляют и контролируют доступ к данным
Организовывайте и храните данные и записывайте файлы в определенном формате, предоставляя пользователям доступ, управление и обновление.
Фокус: сбор, хранение и восстановление данных.
Больше всего заботит целостность, затем доступность и, наконец, конфиденциальность.
метаданные
Суть: Данные о данных
Ключевые данные, связанные с определением источника данных, определением цели, правилами преобразования и т. д.
Функции:
согласованность данных
Операции должны соблюдать каждую политику целостности данных и полные данные транзакций, чтобы оставаться согласованными.
обмен данными
Несколько пользователей могут получить доступ к базе данных одновременно с помощью управления параллелизмом.
Восстановление данных
В случае возникновения ошибки или сбоя системы систему можно восстановить. Проверьте транзакцию, обрабатываемую во время сбоя, или откатите ее, или, если вы хотите, чтобы деньги завершили транзакцию, поддерживайте согласованность данных.
Контрольные точки — распространенный метод восстановления.
безопасно контролировать
Предоставляет различные элементы управления безопасностью для ограничения доступа пользователей.
Обеспечить эффективный подход или процесс
Сжатие: возможность сжимать данные и экономить место для хранения и операции ввода-вывода.
Реорганизация: вернуть неиспользуемое пространство
Рефакторинг: возможность добавлять и изменять записи, данные, контроль доступа, конфигурации дисков и методы обработки.
язык базы данных
Язык определения данных (DDL), Например: CREATE, DROP, ALTER и другие операторы.
Язык манипулирования данными (DML), Например: операторы SELECT (запрос), INSERT (вставка), UPDATE (изменение), DELETE (удаление).
Заявление о контроле данных (DCL), Например: GRANT, REVOKE и другие операторы.
Заявление о контроле транзакций (TCL), Например: COMMIT, ROLLBACK и другие операторы.
Модель базы данных
иерархическая модель базы данных
Логическая древовидная структура, состоящая из записей и полей, связанных в логической древовидной структуре.
Древовидная структура содержит множество ветвей, каждая ветвь имеет множество листьев или полей данных.
Для доступа требуется четкий путь, который не подходит для частых изменений и подходит для запросов.
Пример: облегченный протокол доступа к каталогам LDAP, структура реестра.
Модель сетевой базы данных
Используйте ориентированные графы для представления типов сущностей и отношений между сущностями. Избыточная структура, похожая на сеть, а не строгая древовидная структура.
Каждый элемент данных имеет несколько родительских и дочерних узлов.
Более быстрый поиск по сравнению с иерархической моделью.
модель реляционной базы данных
Возможности: атрибуты/поля (столбцы) и кортежи/записи (строки).
Комбинация декартовых произведений
Первичные и внешние ключи
Первичный ключ однозначно идентифицирует запись.
Внешний ключ: если значение атрибута в одной таблице соответствует первичному ключу в другой таблице и устанавливает связь, то этот атрибут считается внешним ключом.
Реляционная целостность (СУБД)
Целостность объекта (Целостность объекта)
Каждая запись уникально идентифицируется значением первичного ключа.
смысловая полнота Семантическая целостность
Убедитесь, что соблюдаются структурные правила и семантические правила, чтобы предотвратить попадание семантически неверных данных в базу данных. Этого можно достичь с помощью правил, ограниченных правилами.
(ссылка) ссылочная целостность (Ссылочная целостность)
Ни одна запись базы данных не может ссылаться на несуществующий первичный ключ. Если запись, содержащая первичный ключ, удалена, все связанные записи должны быть удалены. (внешний ключ)
Словарь данных
Это центральная библиотека, описывающая элементы данных и их взаимосвязи. Она может хранить ключевую информацию, такую как использование данных, взаимосвязи данных, источники данных и форматы данных.
Словарь данных — это часть централизованного управления, которая контролирует данные базы данных и описывает перекрестные ссылки между элементами данных и базами данных.
Описывает коллекцию определений элементов данных, объектов схемы и ссылочных ключей.
Объекты схемы включают таблицы, представления, индексы, процедуры, функции и триггеры.
Программное обеспечение управления данными считывает словарь данных, определяет, существует ли он, и проверяет права доступа для определенных пользовательских процессов. Оно также определяет настройки разрешений на просмотр для каждого пользователя.
Обновляйте словарь данных, когда необходимо добавить новые записи, таблицы, представления и схемы.
объектно-ориентированная модель базы данных
Объединив объектную модель данных в объектно-ориентированном программировании с СУБД, он может хранить изображения, голос, видео и другие данные.
Объектно-ориентированные базы данных используют классы для определения свойств и процедур своих объектов.
объектно-реляционная модель базы данных
Интерфейс программирования базы данных
Открытая возможность подключения к базе данных, ODBC
Подключение объекта и запись в базу данных, OLEBD
Объекты данных ActiveX, ADO
Соединение с базой данных Java, JDBC
Уязвимости и угрозы баз данных
честность Честность
откат
Завершить текущий объект, отменить изменения и восстановить предыдущее состояние
представлять на рассмотрение
Отправить, завершить текущую транзакцию, выполнить изменения, внесенные пользователем, и выполнить откат, если выполнение не может быть успешным.
точка сохранения/контрольная точка контрольно-пропускной пункт
Если обнаружена ошибка теста, пользователь может вернуться в соответствующее место.
Используйте механизмы блокировки для борьбы с угрозой параллельных операций.
полимеризация Агрегация
Некоторые фрагменты информации не являются конфиденциальными по отдельности, но являются конфиденциальными вместе.
Решение
Строго контролировать доступ к агрегатным функциям
Пользователям запрещен прямой доступ к данным через представления.
рассуждение Вывод
Решение
Контроль доступа
Контроль доступа на основе контента
Контекстно-зависимый контроль доступа
блок ингибирования (Подавление клеток)
Техники, используемые для сокрытия определенных юнитов
Разделение базы данных (раздел базы данных)
Разделить базу данных на разные части
шум и беспокойство (шум и возмущения)
Методы внесения фейковой информации в базы данных
Просмотр базы данных
несколько экземпляров (МРСУБД)
Устанавливайте связи между экземплярами с одним и тем же первичным ключом и несколькими метакомбинациями, определяемыми уровнями безопасности.
тупик (Тупик)
Другие угрозы
база данных
Онлайн-обработка транзакций, OLTP
Принципы КИСЛОТЫ
Атомиктия
Либо все изменения фиксируются, либо база данных откатывается.
Последовательность
Циклическая целостность базы данных для обеспечения согласованности данных в разных базах данных.
Изоляция
Транзакции не влияют друг на друга
Долговечность
После отправки его нельзя отменить.
OLAP, онлайн-аналитическая обработка
OLAP — основное приложение систем хранения данных.
Подходит для лиц, принимающих решения, и старших менеджеров
Хранилище данных и интеллектуальный анализ данных
Для обеспечения поиска информации и анализа данных несколько баз данных или источников данных объединяются в одну большую базу данных.
сбор данных
Классификация: группировка данных на основе общего сходства.
Возможности: выявлять взаимозависимости между данными и применять возможности к их взаимосвязям.
экспертная система
программирование на основе правил
Правила основаны на логических единицах «если-то».
состав
Механизм логического вывода
Механизм вывода обеспечивает пользовательский интерфейс, возможности доступа к внешним файлам, планам и программам.
база знаний
База знаний содержит данные, относящиеся к конкретной проблеме или области.
Экспертные системы часто используются IDS для автоматического просмотра журналов безопасности.
Искусственные нейронные сети
Электронная модель, основанная на нейронной структуре человеческого мозга
Мозг хранит информацию в смоделированной форме
Когда что-то изучается и используется часто, путь подключения к блоку хранения информации усиливается.
Нейронные сети запрограммированы на способность принимать решения и обучаться, улучшая свою функциональность посредством длительного процесса принятия решений методом проб и ошибок.
угрожать
переполнение буфера Переполнение буфера
тайный проход Преобразовать канал
время
Хранилище
Повторное использование памяти/повторное использование объектов (Повторное использование памяти/повторное использование объектов)
социальная инженерия
Люк/Черный ход Люк/Черный ход
спуфинговая атака (Спуфинг-атака)
веб-безопасность
вандализм
Замените законное изображение и заголовок измененным изображением и заголовком.
восприятие и реальность
финансовое мошенничество
Обман сервисов и транзакций в виртуальных средах
привилегированный доступ
Ограничить доступ привилегированным пользователям
Кража информации о транзакции
кража интеллектуальной собственности
атака отказа в обслуживании
SAML
Язык разметки утверждений безопасности SAML,
это протокол на основе XML
это федеративный стандарт идентификации
Используется для передачи информации аутентификации и авторизации в различных доменах безопасности и может использоваться для реализации единого входа. Подобно Kerberos, использующему KDC, SAML зависит от IDP (поставщика удостоверений). В SAML есть функция, называемая соблюдением политики.
ОАут2.0
OAuth (открытая авторизация) — это открытый стандарт, который позволяет пользователям предоставлять сторонним приложениям доступ к личным ресурсам пользователя (таким как фотографии, видео, списки контактов), хранящимся на веб-сайте, без предоставления имени пользователя и пароля стороннему приложению.
Исходный OAuth выдает токен с очень длительным периодом действия (обычно один год или без ограничения срока действия). В OAuth2.0 сервер выдает токен доступа с конечным сроком действия и токен обновления с длительным сроком действия, а также лимит. срок действия токена доступа
переместить код
7. Безопасная эксплуатация
1. Основные понятия безопасной эксплуатации.
ключевые темы
Поддерживать эксплуатационную отказоустойчивость
Критическая устойчивость и непрерывность бизнеса
Имейте план действий в чрезвычайной ситуации
Мониторинг и реагирование в режиме реального времени
Защитите ценные активы
Обеспечиваем регулярное обслуживание различных активов.
Защитите активы от повреждений
Учетная запись системы управления
Поддерживать контроль над доступом пользователей к критически важным для бизнеса системам.
Обеспечьте сдержки и противовесы для различных учетных записей (особенно привилегированных учетных записей), чтобы гарантировать, что эти учетные записи станут разумными потребностями бизнеса.
Эффективно управлять службами безопасности
Управление изменениями, конфигурацией и проблемами ИТ-услуг
Программы, связанные с безопасностью, такие как распределение пользователей и программы службы поддержки.
Сосредоточьтесь на практиках непрерывного совершенствования отчетности и обслуживания.
Требования к оперативному персоналу
разумный человек ответственный, предусмотрительный, мудрый и способный человек
должная забота, должная забота
Приняты разумные меры защиты.
должная осмотрительность, должная осмотрительность
Выполнять обязанности по ежедневному управлению
исследовать
Собирайте информацию для принятия нормальных решений
Контролируйте привилегированные учетные записи
Строго контролировать количество и тип счетов
Внимательно следите за разрешениями системы на управление учетными записями.
Сервисный аккаунт
Учетная запись, которая выполняет скрипт
Управление идентификацией и доступом, Управление идентификацией и доступом IAM
Предоставление пользователей Конфигурация пользователя (подготовка активации)
управление их доступом в нескольких системах управление их доступом в нескольких системах
собственные системы контроля доступалокальные системы контроля доступа
Необходимые знания и минимальные привилегии (дополняющие друг друга)
нужно знать, нужно знать
Минимальный объем знаний и доступ, предоставляемый в зависимости от рабочих или деловых потребностей.
Эксплуатационная безопасность – это ключ к успеху
У меня восточная привилегия, наименьшая привилегия
Требовать от пользователей или процессов выполнения работы, задач и функций без ненужных привилегий доступа.
Цель
Ограничьте пользователям и процессам доступ только к необходимым ресурсам и инструментам для выполнения назначенных задач.
предел
доступные ресурсы
Что могут делать пользователи
Управляйте учетными записями, используя комбинированные роли
Различные типы счетов
Привилегированный аккаунт
Корневой или встроенный аккаунт управления
Универсальная учетная запись по умолчанию, используемая для управления устройствами и системами.
безопасно контролировать
Сделайте изменение имени максимально строгим.
Необходимо изменить пароль по умолчанию
Журналы записывают личное использование и поведение учетной записи root.
При удаленном входе в систему с использованием учетной записи root
Сеансы должны быть строго зашифрованы и контролироваться.
Используйте методы многофакторной аутентификации
Сервисный аккаунт
Привилегированный доступ, используемый системными службами и основными приложениями
Пароли сложные и часто меняются.
Иметь стратегию восстановления и закрытия скомпрометированных учетных записей.
учетная запись администратора
Эти учетные записи назначаются назначенным лицам, которым требуется привилегированный доступ к системе для выполнения задач по обслуживанию.
Эти учетные записи должны быть отделены от обычной учетной записи пользователя.
Пароли учетных записей должны передаваться отдельным лицам безопасно и надежно.
Администраторы должны подтвердить в письменной форме, что они принимают учетную запись и соблюдают правила организации.
Аккаунты, которые больше не используются, должны быть немедленно удалены.
Вся деятельность должна подвергаться аудиту
Развертывание дополнительных систем журналирования
Многофакторная аутентификация
корень
Эти разрешения учетной записи выходят за рамки обычных разрешений пользователя в связи с рабочими требованиями, но не требуют разрешений администратора.
Суперпользователи могут устанавливать программное обеспечение на свои рабочие столы.
Принятие учетной записи должно быть подтверждено в письменной форме и соблюдать организационные правила, такие как подписание соглашения о безопасности.
Обычная или ограниченная учетная запись пользователя
Большинство пользователей
На основе принципа наименьших привилегий или необходимости знать
Разделение обязанностей (может привести к сговору)
Определение: разбиение ключевой задачи на несколько частей, при этом каждую часть выполняет отдельный человек.
привести к соучастию
Для совершения мошенничества необходимо наличие нескольких заговорщиков
Цель
Ограничения, снижающие вероятность вандализма
Дополнение для уменьшения вероятности непреднамеренных ошибок пропуска
причина
Различные задачи, связанные с безопасностью, требуют разных навыков
Разделите задачи администратора на несколько ролей, чтобы обеспечить разные уровни доверия.
Запретить делегирование функций, связанных с безопасностью, роли или человеку.
Системный администратор
наименьшая привилегия
Определите необходимый доступ и приложения по мере необходимости
монитор
Поведение проверяется журналами и отправляется в отдельную систему аудита.
Предотвращение мошенничества
Администраторы не способны участвовать в вредоносных действиях, не вступая в сговор с другими.
проверка данных
ротация должностей
оператор
Рабочие обязанности
Осуществлять повседневную работу хоста, обеспечивать эффективное выполнение плановых работ и решать возможные проблемы.
Описание разрешения
Операторы имеют высокие привилегии, но более низкие, чем у системных администраторов. Эти привилегии могут обойти политику безопасности системы. Использование этих привилегий должно отслеживаться и проверяться в журналах.
безопасно контролировать
наименьшая привилегия
монитор
Действия оператора фиксируются и отправляются в независимую систему, не контролируемую оператором.
Разделение обязанностей
Администраторы не способны участвовать в вредоносных действиях, не вступая в сговор с другими.
проверка данных
администратор безопасности
Функция: определять параметры безопасности системы и сотрудничать с администраторами для выполнения соответствующих конфигураций, обеспечивать проверку и баланс прав, а также выполнять действия по аудиту и проверке для системных администраторов.
основная обязанность
Управление аккаунтом
Назначение чувствительных меток
Настройки безопасности системы
Обзор данных аудита
Персонал службы ИТ-поддержки/службы поддержки
Обеспечьте первую линию поддержки
Сброс пароля пользователя при необходимости
Проводить мониторинг и проверку биографических данных
обычный пользователь
Требуется доступ к ресурсам информационных технологий.
Привилегии мониторинга
Лицензирование, пригодность и проверка биографических данных
В следующих ситуациях не следует предоставлять доступ (например, на основании журналов IDS и брандмауэра доступ к IP-адресу должен быть немедленно заблокирован, но не корректировка часов или удаление журналов и т. д.)
В последнее время наблюдается серьезная нехватка соответствующих судебных решений.
Повторяющиеся модели поведения высокого риска в отношении персонажей
Действия персонажа связаны с незаконной деятельностью
Проверка учетной записи Проверка учетной записи
Определить существующие неактивные учетные записи (например, учетные записи сотрудников, уволившихся/вышедших на пенсию, учетные записи сотрудников, находящихся во временном отпуске)
Ротация должностей Ротация должностей
Снизить риск сговора между людьми
работа двух человек (правило двух пн)
Контролируйте друг друга на месте
Двойное управление
Например: реализовано посредством сегментации знаний
Обязательные отпускаОбязательные отпуска
Обязательно отпустите сотрудников, чтобы можно было выявить потенциальное мошенничество и обеспечить ротацию должностей.
Внезапный характер обязательного отпуска не позволяет мошенникам скрывать следы мошенничества; мошенники могут добровольно отказаться от отпуска на длительный срок, чтобы другие не узнали об их поведении;
Администраторы безопасности и сетевые администраторы
разница
Сетевые администраторы уделяют особое внимание удобству использования, а также функциональности и эффективности, которые необходимы пользователям.
Однако эффективность и функциональность часто достигаются за счет безопасности. Сосредоточение внимания на безопасности часто снижает эффективность, например, использование антивирусного программного обеспечения для сканирования, развертывание межсетевых экранов, IDS и т. д.
Обязанности администратора безопасности
1. Внедрение и обслуживание оборудования и программного обеспечения безопасности. 2. Выполните оценку безопасности 3. Создавать и поддерживать информацию о пользователях, внедрять и поддерживать механизмы контроля доступа; 4. Настраивать и поддерживать обязательные элементы управления доступом и теги в среде; 5. Установите первоначальный пароль для пользователя; 6. Проверьте журнал аудита;
Подотчетность
Доступ пользователей к ресурсам должен надлежащим образом контролироваться, чтобы избежать предоставления чрезмерных разрешений, которые могут нанести ущерб компании и ее ресурсам.
Поведение пользователей при доступе и эксплуатации ресурсов должно отслеживаться, проверяться и регистрироваться. Идентификатор пользователя должен быть включен в процедуру журнала.
Журнал действий должен регулярно записываться и регулярно анализироваться. Это можно сделать с помощью комбинации автоматических и ручных методов. Когда сигнал тревоги превышает указанный порог, администратор обеспечит своевременный анализ и лечение.
Уровни отсечения
определение
Следует установить пороговое значение для количества случаев возникновения определенной ошибки. Если этот порог будет превышен, соответствующее поведение будет подозрительным или запрещенным.
эффект
Целью установки порогов сигнализации ошибок является использование пороговых значений, мониторинг и аудит для своевременного обнаружения проблем и предотвращения больших потерь.
Операционная ответственность
Цель оперативной безопасности: снизить вероятность потерь, которые могут возникнуть в результате несанкционированного доступа или неправильного использования.
Руководство несет ответственность за поведение и обязанности сотрудников
Эксплуатационный персонал несет ответственность за обеспечение защиты и функционирования систем по назначению.
Цели оперативного отдела: Предотвратить повторяющиеся проблемы и снизить количество сбоев оборудования и программного обеспечения до приемлемого уровня, чтобы уменьшить влияние аварий или саботажа.
Следите за контентом
необычные или необъяснимые события; Отклонения от стандартов, инциденты безопасности, отклоняющиеся от стандартов; Нерегулярная первоначальная загрузка программы (перезапуск) касается невинного перезапуска устройств; Представление и управление активами подразумевает понимание всего во всей среде: аппаратного обеспечения, встроенного ПО, операционной системы, языковой среды выполнения, приложений и различных библиотек; Контроль системы: обеспечение выполнения инструкций в правильном контексте; Доверенное восстановление: механизмы и процедуры, необходимые для обеспечения того, чтобы сбои и сбои в работе не подрывали безопасную работу системы; Контроль ввода и вывода. Ввод и вывод приложения напрямую связаны, поэтому необходимо отслеживать ошибки задач и возможное поведение управляющих входов; Улучшение системы: Jin Yong не нуждается в усилении конфигурации безопасности системы; Безопасность удаленного доступа: команды и данные не должны передаваться в открытом виде, вместо telnet следует использовать SSH, управление должно осуществляться локально, а не удаленно, для выполнения этой удаленной функции должна быть реализована строгая аутентификация; любые подвешивания; любой доступ посторонних лиц.
Контроль лицензий на программное обеспечение
Можно устанавливать только авторизованное программное обеспечение, установка пиратского программного обеспечения запрещена.
Лица, использующие пиратское программное обеспечение или устанавливающие и использующие лицензии сверх разрешенного количества и объема, будут нести юридическую ответственность.
Необходимо принять меры для мониторинга использования лицензий на программное обеспечение.
Личная безопасность
Конфиденциальность
Путешествовать
Принуждение к принуждению (социальная инженерия)
2. Управление конфигурацией
Цель
Создание и поддержание целостности на протяжении всего жизненного цикла продуктов, систем и проектов.
Управление конфигурациями подходит для различных типов управления активами.
Физические активы (серверы, ноутбуки, планшеты)
Виртуальные активы Например: программно-определяемые сети SDN Virtual SAN (vSAN).
Приложения (например, веб-службы, программное обеспечение как услуга)
Системы, виртуальные машины (ВМ)
Облачные активыОблачные активы
эффект
определение элементов конфигурации для программного проекта определение элементов конфигурации для программного продукта
управление этими элементами конфигурации и изменениями в них. Управление этими элементами конфигурации и изменениями в них.
запись и отчетность о состоянии и активности изменений для этих элементов конфигурации, запись и отчетность о состоянии и активности изменений для этих элементов конфигурации, а также проведение аудитов
Активность
1. Определите элементы конфигурации, компоненты и связанные с ними работы, которые будут переданы под управление конфигурацией.
2. Создание и поддержание систем управления конфигурациями и изменениями для контроля рабочих продуктов.
3. Установить и опубликовать базовые показатели для внутреннего использования и предоставления клиентам.
4. Отслеживание запросов на изменение элементов конфигурации.
5. Контролировать изменения содержимого элемента конфигурации.
6. Создание и ведение записей, описывающих элементы конфигурации.
7. Выполняйте аудит конфигурации для поддержания целостности элементов конфигурации.
Доверенное восстановление
Цель
Целью доверенного восстановления является обеспечение сохранения безопасности и функциональных функций системы в случае сбоев и перебоев в работе. Для достижения вышеуказанных целей система должна включать в себя ряд механизмов для поддержания безопасного состояния при этом; происходят заранее определенные сбои или перерывы;
тип
Перезапуск системы: контролируемое завершение работы системы. Перед перезапуском данные все еще находятся в противоречивом состоянии. Перезапустите систему и войдите в состояние обслуживания, чтобы автоматически выполнить восстановление и привести систему в согласованное состояние.
Холодный запуск системы: механизм автоматического восстановления не может привести систему в согласованное состояние, и администратор вручную вмешивается, чтобы восстановить систему из режима обслуживания в согласованное состояние (метод запуска, используемый для предотвращения атак с поражением);
Правильные действия после сбоя системы
Войдите в однопользовательский или безопасный режим
Устранение проблем и восстановление файлов
Определите критические файлы и операции
Входное и выходное управление
Ввод приложения напрямую влияет на вывод, поэтому ввод следует отслеживать на наличие ошибок или подозрительного поведения.
Приложения должны программно определять тип входных данных и проверять их.
Улучшение системы
Физический контроль сетевого оборудования
Запри шкаф
Управление запоминающими устройствами
Физический контроль Технический контроль
Меры безопасности на рабочем месте
Создайте образ печатной копии под названием мастер-диск Gold Master (GM).
Защита системы приложений
Сосредоточьтесь на обнаружении и устранении уязвимостей
Защита компонентов
Правильно настройте компоненты
Безопасность удаленного доступа
Удаленный доступ — это широко используемый в организациях метод эксплуатации и обслуживания. Он также является важным средством обеспечения восстановления после аварий и может снизить затраты на эксплуатацию и обслуживание.
Доступ к Fortune — метод доступа, используемый в мобильном офисе, командировках и т. д.
риск
Несанкционированный доступ, внедрение вирусов и вредоносного кода и т. д.
Меры безопасности
Используйте технологию VPN для безопасного доступа к сети
Передача данных шифруется даже при использовании технологии VPN.
Примите строгие меры аутентификации
Управление критически важным оборудованием осуществляется локально, а не удаленно.
Ограничьте количество администраторов с удаленным доступом до минимума.
3. Физическая безопасность (глава 3)
Реализация и функционирование пограничной безопасности
Цель физической безопасности
Контроль доступа к физическим объектам — первый барьер на пути защиты объектов
глубокоэшелонированная защита
Если один уровень механизмов выходит из строя, другие механизмы работают.
защитить самое слабое звено защитить самое слабое звено
швейцар
Меры физической защиты в конечном итоге требуют вмешательства персонала для реагирования на сигналы тревоги.
Сотрудники службы безопасности могут самостоятельно проводить пешее патрулирование здания или станции в фиксированном месте.
Контролируйте доступ, проверяя удостоверения личности сотрудников
Сильное сдерживание, но высокая цена
Ограниченная надежность персонала
При выборе охранника важнее провести проверку и подобрать надежный персонал.
4. Конфигурация ресурса безопасности
Список активов
Отслеживающее оборудование
1. Бренд 2. Модель 3. MAC-адрес 4. Серийный номер 5. Версия ОС или прошивки 6. Местоположение 7. BIOS и другое оборудование 8. Присвоенный IP-адрес (если имеется) 9. Этикетки или штрих-коды для управления активами организации.
программное обеспечение для отслеживания
1. Название программного обеспечения 2. Поставщик 3. Пароль или код активации. 4. Тип и версия лицензии. 5. Количество лицензий 6. Количество лицензий 7. Согласованность лицензии 8. Администратор библиотеки программного обеспечения организации или администратор активов. 9. Контактное лицо организации, где установлено программное обеспечение. 10. Обновление, полная или ограниченная лицензия
Роль безопасности программных и аппаратных библиотек
Эксперты по безопасности могут быстро найти и устранить уязвимости, связанные с типом и версией оборудования.
Знание типа и местоположения оборудования в сети может упростить идентификацию затронутых устройств.
Неавторизованные устройства в сети можно обнаружить путем сканирования.
Ведение списка конфигурации
Регистрация и отслеживание изменений конфигурации обеспечивает гарантию целостности и доступности сети.
Регулярные проверки на предмет несанкционированных изменений
Управление изменениями
процесс управления изменениями
Запросы
Оценка воздействия Оценка воздействия
Одобрение/неодобрение Одобрение/неодобрение
Сборка и тестирование Сборка и тестирование
Уведомление
Выполнение
Проверка
Запись документации
Экстренные изменения
Получите устное разрешение
Должны быть соответствующие планы тестирования и отката.
После этого сделайте записи и официальное разрешение.
ECAB (Консультативный совет по чрезвычайным изменениям)
5. Доступность сети и ресурсов
Средства обеспечения доступности
Резервное оборудование с возможностью «горячей замены»;
Технология отказоустойчивости
Аварийное переключение
Балансировка нагрузки
Соглашение об уровне обслуживания SLA
Что
Соглашение об уровне обслуживания — это простой документ, описывающий уровень обслуживания, которое бизнес/клиент получает от ИТ, с указанием показателей измерения обслуживания, исправлений или штрафов в случае невыполнения требований соглашения.
Если SLA не соблюдается по причинам клиента, никаких штрафов быть не должно.
Соглашение об уровне обслуживания
ИТ-обязательства перед бизнес-подразделениями или внешними клиентами
OLA (Соглашения оперативного уровня) Соглашения оперативного уровня
ИТ-внутренний
контракт на поддержку UC
Подписать договор с поставщиком
Почему
Убедитесь, что вы оба понимаете требования
Убедитесь, что соглашение не было неправильно истолковано намеренно или непреднамеренно.
Разные уровни, разные цены.
отправная точка переговоров
Важный раздел
Элементы обслуживания Элементы обслуживания
Предоставление конкретных услуг
Статус доступности услуги
Стандарты обслуживания (временное окно)
Процедура обновления
Обязанности
Компромисс цена/услуга
Элементы управления Элементы управления
Определение стандартов и методов измерения\Процесс отчетности\Содержание и периодичность\Процесс разрешения споров
SLA постоянно обновляются
Изменения в возможностях поставщиков и потребностях в обслуживании
компенсация
Поставщик должен будет оплатить заказчику любые расходы третьих лиц, возникшие в результате нарушения гарантии.
SLA не подлежит передаче
Как проверить SLA
эталон измерения
Доступность услуги Доступность услуги
Процент дефектов Процент дефектов
Техническое качество Техническое качество
Безопасность
Примеры показателей юзабилити
99% (что допускает более 7 часов незапланированного простоя в месяц)
99,9% (43,8 минут в месяц разрешены простои)
99,99% (4,4 минуты в месяц, с учетом перерывов на 4 минуты в месяц)
SLA для проверки пригодности
Надежные оперативные меры;
Резервирование и отказоустойчивость
Резервное копирование устройства
запчасти
холодный резерв
Запчасти не начались
Точно так же, как и основное устройство
Можно использовать при необходимости
Обычно хранится во вложении основного устройства.
Невозможно использовать в неискусственных средах.
теплый режим ожидания
Уже введено в систему, но не включено, если в этом нет необходимости.
Горячий резерв
Внедрить в систему и загружаться до тех пор, пока не понадобится проснуться.
резервная система
Типичная резервированная конфигурация
Режим пары активный/резервный
Основная система предоставляет все услуги
Проблемы с пассивными системами мониторинга основных систем
кластер
Двое или более присоединяются к кластеру и предоставляют услуги одновременно.
сетевые вычисления
Еще один метод крупномасштабных параллельных вычислений с балансировкой нагрузки.
Сетевые вычисления не подходят для компьютеров, требующих конфиденциальности, и больше подходят для таких проектов, как финансовое моделирование, моделирование погоды и моделирование землетрясений.
Резервное питание
Резервные (или двойные) источники питания
UPS
Альтернативные источники энергии (например, дизельные генераторы)
Диски и хранилище данных
САН и NAS
Сеть хранения данных SAN
SAN состоит из выделенного хранилища блочного уровня в выделенной сети.
многочисленные устройства хранения данных, такие как ленточные библиотеки, оптические приводы и дисковые массивы.
такие протоколы, как iSCSI, отображаются в операционных системах как локально подключенные устройства. Используйте такие протоколы, как iSCSI, чтобы операционные системы отображались как локально подключенные устройства.
большие банки дисков становятся доступными для нескольких систем, подключающихся к ним через специализированные контроллеры или через сети Интернет-протокола (IP).
Сетевое хранилище NAS
Разрешить сетевым серверам делиться своим пространством хранения с сетевыми клиентами.
уровень файла вместо уровня блока уровень файла вместо уровня блока
предназначен для простого хранения и обслуживания файлов, предназначен для простого хранения и обслуживания файлов
NAS также можно использовать для хранения данных для нескольких систем в сети.
Дешевый резервный дисковый массив RAID
Метод, используемый для увеличения избыточности и/или повышения производительности путем логического объединения нескольких физических дисков в форме логического массива. При сохранении данных информация записывается всем водителям.
RAID 0
Записывайте файлы, распределенные по нескольким дискам, без использования информации о четности.
Улучшить скорость чтения и письма
Доступ ко всем дискам возможен параллельно.
Не обеспечивает резервирование
RAID 1
Этот уровень копирует все операции записи с одного диска на другой, создавая два идентичных диска.
Зеркальное отображение данных
избыточность
Дорогой тратит больше денег
Рейд 2
Больше теоретического, меньше используемого на практике
Код исправления ошибок Хэмминга
RAID 3 и 4
Уровень RAID 3 байта и четность уровня блоков RAID 4
Для этого требуется три или более дисков.
чередование
диск четности
Информация о четности записывается на диск.
Диск четности является пятой Аргайла, поскольку он может стать узким местом и часто выходит из строя раньше, чем другие диски.
Рейд 5
Похоже на RAID 4
Блоки информации о четности разбросаны по каждому диску.
чередование
Чаще используется
Рейд 6
Расширенная функциональность RAID 5
Рассчитайте два набора информации о четности.
Производительность RAID6 немного хуже
RAID 01 и RAID 10
Вообще говоря, RAID 1 0 считается превосходящим RAID 0 1 во всех аспектах, как с точки зрения скорости, так и с точки зрения избыточности.
В RAID 0 1 первый набор дисков распределяет данные по всем доступным дискам (часть RAID 0), которые затем зеркально отображаются на другой набор дисков (часть RAID 1).
Прямой доступ против последовательного доступа к устройствам хранения данных
Разница между прямым доступом и последовательным доступом
При прямом доступе к устройству хранения данных любое местоположение может быть достигнуто немедленно; при последовательном доступе к устройству хранения данных необходимо преодолеть расстояние между текущим местоположением и целевым местоположением, чтобы достичь цели;
Ленточные накопители представляют собой устройства хранения данных с последовательным доступом;
Многодорожечные ленточные устройства — это накопители с прямым доступом (DASD), которые сохраняют начальную позицию основного сегмента данных в определенной точке на ленте и в кэше ленточного накопителя, что позволяет ленточному накопителю достичь определенной дорожки и определенной точки. на трассе быстрее точки;
Резервный независимый ленточный массив RAIT
Используйте ленточные накопители вместо дисководов;
Ленточные накопители обходятся дешевле при сохранении больших объемов данных.
По сравнению с диском его скорость медленнее;
теневое копирование базы данных (в реальном времени)
Используется в системах управления базами данных для обновления записей в нескольких точках.
Полная копия базы данных для удаленного использования
Система резервного копирования и восстановления
Данные резервного копирования включают критические системные файлы и пользовательские данные.
окно резервного копирования
достаточно большой
полностью готов
недостаточно большой
Дифференциальное или инкрементное резервное копирование
Резервное копирование включает копирование данных из производственных систем на удаленные носители.
Например, перемещение лент высокой плотности или хранение их в разных местах.
Не менее трех резервных лент
Оригинальный сайт
Восстановление одной отказавшей системы
точка ближнего боя
На основном сайте произошел общий сбой, и ленты были повреждены.
удаленный сайт
Выездной сайт
Безопасное место на некотором расстоянии от основного объекта.
Электронная передача/Электронный переход/Электронное хранилище
Резервное копирование данных по сети
Изменения в основной системе передаются на сервер библиотеки.
Электронное хранилище передает данные поэтапно, а не в реальном времени.
сервер репозитория
Настроен как устройство хранения данных
В отличие от обновлений в реальном времени, изменения файлов доставляются в репозиторий с использованием инкрементальных и дифференциальных резервных копий.
Журнал или запись транзакции
Системы управления базами данных используют методы, обеспечивающие транзакционную избыточность.
Кадровая гибкость
Избегайте единых точек отказа для ключевого персонала
Адекватный уровень укомплектования персоналом
Правильная подготовка и образование
Обучение ротации
Среднее время наработки на отказ (MTBF)
Время работы
Доступное время системы
Среднее время ремонта (MTTR)
время простоя
Относится к расчетному времени, необходимому для ремонта части оборудования и возврата ее в производство.
MTBSI=MTBF MTTR
единственная точка отказа
Не допускайте негативного влияния сбоя одного устройства на всю сеть.
Надежные пути и отказоустойчивые механизмы
надежный путь
Предоставляет надежный интерфейс для функций привилегированных пользователей.
Предоставляет средства, гарантирующие, что связь, использующая этот путь, не будет нарушена или повреждена.
Типичные меры
Сбор и анализ журналов, сканирование уязвимостей, управление исправлениями и регулярные проверки целостности системы.
Безопасный
Автоматически включается в случае сбоя (например, отключения электроэнергии)
Обеспокоенность за безопасность жизни или системы
Безопасная безопасность собственности
Автоматическая блокировка в случае неисправности (например, перебой в подаче электроэнергии)
Сосредоточьтесь на контролируемой блокировке доступа после сбоя, когда система находится в несогласованном состоянии.
6. Меры по охране ресурсов
защита ресурсов
материальные и нематериальные активы
Защита объекта
аппаратное обеспечение
Аппаратное обеспечение требует соответствующих мер физической безопасности для обеспечения требуемой конфиденциальности, целостности и доступности.
Доступ должен быть ограничен к терминалам оператора и на работе.
Доступ к объектам должен быть ограничен
Мобильные активы должны быть защищены
Оборудование для печати должно быть расположено в Приложении для авторизованных пользователей.
Сетевые устройства являются ключевыми активами и нуждаются в защите.
Общий процесс принятия защитных мер
1. Выявить и оценить риски
2. Выберите соответствующие меры контроля.
3. Правильное применение мер борьбы.
4. Конфигурация управления
5. Операции по оценке
Несанкционированная утечка
это угроза, достойная беспокойства
Вредоносная деятельность вредоносных программ, а также злонамеренных пользователей может привести к потере важной информации.
вандализм, разрушение и воровство
неуместные модификации
Брандмауэр (глава 4)
Архитектура системы обнаружения вторжений (глава 5)
Защита электронной почты – белый список, черный список и серый список
белый список
Список адресов электронной почты или IP-адресов и т. д., внесенных в список «хороших» отправителей.
черный список
Список «плохих» отправителей
Серый список
Невозможно судить, хорошо это или плохо. Грейлистинг сообщит серверу-отправителю электронной почты быстро отправить письмо повторно.
некоммерческая организация
Некоммерческая организация
Отслеживайте операции и источники интернет-спама
Обеспечить эффективную защиту от спама в Интернете в режиме реального времени.
песочница, защита от вредоносных программ, Приманки и сети-приманки, сторонние сервисы
Honeypots и HoneynetsHoneypot-системы и Honeynets (детективный контроль)
Действует как сервер-ловушка для сбора информации о злоумышленниках или злоумышленниках, действующих в системе.
Песочница
Технология виртуализации программного обеспечения
Позвольте программам и процессам работать в изолированной среде
Ограничить доступ к другим системным файлам и системам
То, что происходит в песочнице, происходит только в песочнице (минимальная авторизация)
Замена традиционному антивирусу
Возможное обнаружение уязвимостей нулевого дня и скрытых атак.
Вредоносное ПО использует различные методы, чтобы избежать обнаружения.
Антивредоносное ПО
установлен на отдельных хостах, в системах, развернутых на отдельных хостах и системах
Шлюз безопасности Unified Threat Management (UTM)
Постоянные обновления. Постоянно обновляйте вирусную базу (обновляется каждый день).
отслеживаются, чтобы убедиться, что они по-прежнему активны и эффективны. Мониторинг, чтобы гарантировать, что антивирусные системы по-прежнему активны и эффективны.
автоматическое сканирование на наличие новых мультимедийных файлов и вложений электронной почты. Разверните политику автоматического сканирования для мультимедийных файлов и вложений электронной почты.
Сканирование следует планировать и выполнять на регулярной основе. Сканирование следует планировать и выполнять на регулярной основе.
экологические проверки экологический мониторинг
Сторонние службы безопасности
Динамическое тестирование безопасности приложений Динамическое тестирование безопасности приложений (DAST)
Используется для обнаружения уязвимостей безопасности в рабочем состоянии приложения.
Большинство выявленных проблем HTTP и HTML в основном связаны с уязвимостями WEB.
Некоторые из них не являются веб-протоколами и искажениями данных.
метод
Динамическое тестирование безопасности приложений как услуга
Иметь возможности сканера для тестирования RIA (многофункциональных интернет-приложений).
HTML5 (с использованием веб-сокетов).
Иметь возможности сканирования и тестировать приложения, используя другие интерфейсы веб-протоколов.
Возможность статического тестирования приложений (SAST)
Интерактивное тестирование безопасности
Комплексное фазз-тестирование
Тестируйте мобильные и облачные приложения
Управление исправлениями и уязвимостями
Цель управления исправлениями
Создайте среду непрерывной настройки для защиты операционных систем и приложений от известных уязвимостей.
Зачастую, когда производители обновляют версии, они не указывают причины и причины обновления.
Факторы риска, которые следует учитывать при управлении исправлениями
Одобрено ли это руководством?
Соблюдение политик управления конфигурацией
Стоит ли учитывать использование полосы пропускания
Стоит ли учитывать доступность услуги
Централизованное управление исправлениями. Централизованное управление исправлениями.
это лучшая практика для управления исправлениями
Технология виртуализации упрощает создание лаборатории тестирования исправлений.
Некоторые меры контроля могут смягчить воздействие уязвимостей программного обеспечения, таких как брандмауэры, IDS и т. д., и дать нам время на тестирование исправлений.
Патчи для реверс-инжиниринга Патчи для реверс-инжиниринга
Реагирование на атаки нулевого дня
Поставщики могут выпускать исправления программного обеспечения посредством обратного проектирования.
Реверс-инжиниринг облегчает хакерам использование новейших уязвимостей.
Зависит от того, насколько быстро хакеры и поставщики применяют обратный инжиниринг.
Этапы управления исправлениями
Экспертам по безопасности необходимо определить, является ли это уязвимостью.
Нужно ли обновлять патч?
принятие решений, основанных на риске
Важность патчей
Руководство и владельцы систем решают, следует ли обновлять исправления.
Повлияет ли это на бизнес?
Исправления обновлений были протестированы, и остаточные риски устранены.
Запланировать обновления
Уведомляйте пользователей перед развертыванием
Обновление ночью или в выходные дни
Резервное копирование сервера перед развертыванием
После завершения обновления его необходимо проверить в производственной среде.
Могут возникнуть некоторые невидимые проблемы
После завершения развертывания убедитесь, что все соответствующие машины обновлены.
Записывать все изменения
Управление информацией о безопасности и исправлениях
Важный раздел
Управление исправлениями подразумевает знание как проблем безопасности, так и выпусков исправлений.
Будьте в курсе проблем безопасности и обновлений программного обеспечения, относящихся к их среде.
Рекомендуется, чтобы специальный человек и группа отвечали за оповещение администраторов и пользователей о проблемах безопасности или обновлениях приложений.
Приоритизация и планирование PacthПриоритет исправлений и планирование заданий
1. Жизненный цикл исправлений (цикл Pacth) определяет нормальное применение исправлений, системы и обновлений.
цикл
основанное на времени или практике
Помогает с выпуском и обновлением применяемых стандартных патчей.
2. Планирование работ по критически важным исправлениям и обновлениям безопасности и функциональности.
планирование приоритета и срочности исправлений
Критичность, заявленная поставщиком (например, высокая, средняя и низкая)
критичность системы
важность приложений и данных в системе
Тестирование патчей
Широта и глубина патч-тестирования
критичность системы
Обработанные данные
экологическая сложность
Требования к доступности
Доступные ресурсы
Процесс тестирования исправлений начинается с приобретения обновлений программного обеспечения и непрерывного приемочного тестирования после производственного развертывания.
Требуется верификация при получении патчей
Проверка источника (источника)
Проверка целостности
Подпись данных
Контрольная сумма
Тестирование после завершения проверки исправления
Тестовая среда максимально приближена к производственной среде.
Вы можете использовать подсистемы производственной системы в качестве тестовой среды.
Управление изменениями патчей
Изменения важны на каждом этапе управления исправлениями
Приложения для исправления должны включать в себя планы действий в чрезвычайных ситуациях и резервные возможности.
Включите стратегии снижения рисков в свою программу управления изменениями.
Программа управления изменениями включает план мониторинга и принятия.
Продемонстрируйте успех исправлений с помощью конкретных этапов и критериев приемки.
Разрешить обновления в закрытой системе изменений
Установка и развертывание исправлений
На этапе развертывания управления исправлениями должны присутствовать опытные администраторы и инженеры.
Установка и развертывание означает, что исправления и обновления для производственных систем фактически внедряются.
Техническим фактором, влияющим на развертывание исправлений, является выбор инструмента.
Выбор инструмента
Купить
Самодельный
Тип инструмента
агентский
безагентные системы
Развертывание исправлений безопасности
Завершить вовремя
Контролируемый и предсказуемый
Аудит и оценка исправлений
Регулярные аудиты и оценки позволяют оценить успех и масштабы управления исправлениями.
два вопроса
Какие системы необходимо исправить для устранения известных ошибок?
Система обновлена реальными патчами?
критические факторы успеха
Управление активами и хостами
Идеальное программное обеспечение для управления хостингом может требовать отчетности
Инструменты управления
Обнаружение и аудит системы как часть процесса аудита и оценки
Система управления уязвимостями
сканирование уязвимостей
Определите эти слабые места
Тип уязвимости
Дефекты системы
Дефекты конструкции изделия
переполнение буфера
Ошибка конфигурации
Ошибки конфигурации делают системы уязвимыми для атак
Ошибка стратегии
Лицо не соблюдает или не реализует требуемые меры безопасности.
Сканирование на базе хоста
Определить отсутствующие обновления безопасности на сервере
Выявление несанкционированного программного обеспечения или служб, которые могут указывать на компрометацию системы.
Применить сканирование безопасности
Сканирование безопасности базы данных
Обнаружена ошибка конфигурации
7. Управление инцидентами (управление несчастными случаями)
определение события
Время – это негативная вещь, которую можно наблюдать, проверять и записывать.
Инцидент – это серия событий, которые негативно влияют на компанию и ее состояние безопасности.
Реагирование на инциденты: с компанией происходит что-то, вызывающее нарушение безопасности, и борьба с этим становится реагированием на инциденты или обработкой инцидентов.
Реагирование на инциденты или обработка инцидентов стали основной обязанностью отделов безопасности организации.
общие рамки
Создание потенциала реагирования;
обработка и реагирование на инциденты;
Восстановление и отзывыВосстановление и отзывы
управление происшествиями (быстрое восстановление)
Включая людей, технологии и процессы
Направляйте все действия, связанные с инцидентами, и направляйте персонал службы безопасности по заранее определенному и заранее разрешенному пути решения.
Опишите предпринятые действия с учетом ролей и ответственности сторон, вовлеченных в инцидент.
управление нежелательным событием
Ограничение эффекта инцидента. Ограничение эффекта инцидента.
обработка событий Стратегия, роли и обязанности
Политика должна быть ясной, краткой и давать возможность группе реагирования/обработки инцидентов справиться с любыми инцидентами.
Укомплектованная и хорошо обученная группа реагирования на инциденты
Виртуальный команда
Выделенная команда
Команда гибридного режима
Аутсорсинговые ресурсы
Обновления могут потребоваться во время обработки событий.
Основные направления группы реагирования
Создание команды требует обучения и поддержания ее в актуальном состоянии, что требует огромного количества ресурсов.
Относитесь к публичному раскрытию информации с осторожностью
процесс
диагноз
Содержит практические этапы обнаружения, идентификации и уведомления;
Классифицировать события в соответствии с их потенциальным уровнем риска, на который влияют тип события, источник (внутренний или внешний), скорость роста и возможности подавления ошибок;
Обработка ложноположительных событий/ложноположительных результатов занимает больше всего времени;
Если это реальное событие, необходима классификация (исходя из потребностей организации) и классификация (определяющая уровень потенциального риска или критичности события).
расследование
Непосредственно занимается анализом, интерпретацией, реагированием и восстановлением событий;
Расследование предполагает сбор соответствующих данных, которые будут использоваться в анализе и на последующих этапах;
Руководство должно определить, участвуют ли правоохранительные органы в расследовании, сборе доказательств для судебного преследования или просто латают лазейку;
содержать
Сдерживать инциденты и снижать их влияние;
Целью смягчения последствий является предотвращение или уменьшение дальнейшего ущерба от инцидента, тем самым инициируя восстановление и ремонт.
Соответствующие меры сдерживания дают группе реагирования на инциденты время для надлежащего расследования и определения основной причины инцидента;
Стратегия истощения (пример: отключение зараженного хоста от сети и взятие его под контроль)
Меры по смягчению последствий должны основываться на типе атаки, активах, затронутых инцидентом, и критичности этих активов;
Проведение цифровой криминалистики для сохранения судебно-медицинских доказательств
Анализ и отслеживание
Соберите больше данных (журналы, видео, активность системы и т. д.) на этапе анализа, чтобы попытаться понять основную причину инцидента и определить, был ли источник инцидента внутренним или внешним, а также как злоумышленник проник;
Экспертам по безопасности необходимо сочетание реального обучения и реального опыта, чтобы правильно объяснить, и им часто не хватает времени;
Отслеживание часто идет рука об руку с анализом и проверкой и требует устранения источников ложных версий или преднамеренного запугивания;
Также важно то, что необходимо сделать после того, как основная причина определена и прослежена до истинного источника.
стадия восстановления
Цель состоит в том, чтобы восстановить работоспособность бизнеса, вернуть затронутые системы в производство и обеспечить согласованность с другими видами деятельности.
Сделайте необходимый ремонт, чтобы подобное не повторилось;
восстанавливаться
искоренить
Анализ первопричин RCA
Работайте в обратном направлении, чтобы определить, что в первую очередь позволило событию произойти. Работайте в обратном направлении, чтобы определить, что в первую очередь позволило событию произойти. Работайте в обратном направлении, чтобы определить причину события, действуйте поэтапно и непосредственно найдите причину. причина
RCA может быстро пересекать границы между техническим, культурным и организационным. RCA может быстро пересекать границы между техническим, культурным и организационным.
Ремонт Ремонт
от RCA, затем рассматриваются руководством на предмет принятия и внедрения.
Управление проблемамиУправление проблемами
отслеживание этого события до основной причины и устранение основной проблемы; отслеживание события до основной причины и устранение основной проблемы.
устранение дефектов, которые сделали инцидент возможным или более успешным. Устранение дефектов, которые сделали инцидент возможным или более успешным.
иметь долгосрочную перспективу, занять больше времени
инциденты по мере их возникновения в оперативной среде; долгосрочный ход событий, происходящих в оперативной среде.
Отследите основной дефект, поскольку для его возникновения могут потребоваться определенные условия, которые могут возникать нечасто.
Искоренение – это процесс устранения угрозы. Искоренение – это процесс устранения угрозы. (Если система заражена вирусом и больше не работает должным образом, тщательный антивирус устранит проблему.)
Восстановите или отремонтируйте систему до заведомо исправного состояния.
Восстановление становится более сложным, если последний известный образ или состояние содержит фактическую причину инцидента. В этом случае необходимо создать и протестировать новый образ, прежде чем приложение будет переведено в рабочую среду.
Ремонтные работы включают в себя: организацию чувствительных портов, отключение уязвимых сервисов или функций, применение патчей и т. д.
Отчеты и записи (краткое изложение уроков, извлеченных из инцидента)
Политика и процедуры Политика и процедуры должны быть определены.
Необходимо ли привлекать средства массовой информации или группу по внешним связям организации? Необходимо ли привлекать средства массовой информации или группу по внешним связям организации?
Должна ли команда Iegal организации участвовать в проверке?
В какой момент уведомление об инциденте доходит до линейного руководства. В какой момент уведомление об инциденте доходит до линейного руководства.
руководство среднего звена, высшее руководство, совет директоров или заинтересованные стороны? директор? Совет директоров?
Какие требования конфиденциальности необходимы для защиты информации об инциденте? Каковы требования конфиденциальности для защиты информации об инциденте?
какие методы используются для отчетности? Если электронная почта подвергается атаке, как это влияет на процесс отчетности и уведомления? Какие методы используются для отчетности? Как инициируются процедуры отчетности и уведомления в случае взлома системы электронной почты? Мобильный телефон, затвердевание, экстренный контакт?
Самый важный и легко упускаемый из виду этап — это этап отчетности и обратной связи;
Организации часто многому учатся на событиях и идут от ошибок к успеху;
Для разбора полетов необходимы все члены команды, включая представителей каждой команды, пострадавшей от инцидента;
Преимущество состоит в том, что на этом этапе можно развивать или отслеживать эффективность работы группы реагирования путем сбора значимых данных;
Показатели измерения могут определять распределение бюджета, кадровые потребности, исходные показатели и демонстрировать осмотрительность и рациональность;
Трудность заключается в проведении статистического анализа и показателей, значимых для организации.
Мониторинг/Обнаружение
(SIEM) Система управления информационными событиями безопасности
Одним из недостатков системных журналов является то, что они предоставляют представление об одной системе. Недостаток системных журналов заключается в том, что они могут предоставить только одну точку зрения на систему и не могут предоставить журналы и информацию о связанных событиях, связанных с несколькими системами.
Предоставьте общую платформу для сбора, сопоставления и анализа журналов в режиме реального времени. Обеспечьте общую платформу для сбора, сопоставления и анализа журналов в реальном времени.
предоставлять отчеты об исторических событиях, используя информацию журнала из нескольких источников
Системы управления журналами похожи. Системы управления журналами похожи.
в сочетании с решениями SIEM в сочетании с решениями SEIM
Функции реального времени обеспечивают анализ в реальном времени.
Поддерживать дисциплинированную практику хранения и архивирования журналов. Поддерживать строгую дисциплину хранения и архивирования журналов.
Современные инструменты отчетности также можно использовать для преобразования информации о событиях безопасности в полезную бизнес-аналитику. Современные инструменты отчетности также можно использовать для преобразования информации о событиях безопасности в полезную бизнес-аналитику.
8. Аварийное восстановление
Стратегия
Разработайте стратегию восстановления
Выбор стратегии восстановления должен отвечать потребностям организации.
Анализ затрат и выгод (CBA)
Первоначальная стоимость настройки стратегии
Стратегии обслуживания и восстановления определяют текущие затраты на программу.
Стоимость периодического тестирования плана
Расходы на связь
Внедрить стратегию хранения резервных копий
Целевое время восстановления (RTO) Целевая точка восстановления (RPO)
Метод резервного копирования
полностью готов
инкрементное резервное копирование
дифференциальное резервное копирование (дифференциальное резервное копирование)
Стратегия места восстановления
Двойной центр обработки данных Двойной центр обработки данных (резервный сайт)
Использование этой стратегии делает приложение неприемлемым, поскольку простой может повлиять на организацию.
Преимущество
Очень короткое время простоя (минуты/секунды)
Простота обслуживания
Нет необходимости восстанавливать
недостаток
более высокая стоимость
Требуется резервное оборудование, сети и персонал.
ограничено расстоянием
горячие сайты для фотоснимков
Преимущество
Разрешить тестирование стратегий восстановления
Высокая доступность
Сайт можно восстановить в течение нескольких часов
недостаток
Внутренние горячие сайты стоят дороже, чем внешние горячие сайты.
Во внешних горячих войнах возникают проблемы совместимости программного и аппаратного обеспечения.
Теплый сайт
Пункт проката частично оснащен некоторым оборудованием, но не компьютерами.
Небесное восстановление
Холодный СайтХолодная Война
Холодная площадка — это оболочка или дата-центр без каких-либо технических помещений на этаже.
Преимущество
бюджетный
для более длительного восстановления
недостаток
Невозможно вовремя восстановиться
Никакой предварительной работы по тестированию не проводится
еженедельное восстановление
мобильный сайтмобильный сайт
Это передвижной прицеп или стандартный контейнер, оснащенный соответствующим телекоммуникационным и ИТ-оборудованием. Его можно буксировать и размещать в необходимом резервном месте для предоставления ключевых прикладных услуг, таких как функции коммутации телефонной связи.
Соглашение об обработке
Взаимные соглашенияВзаимные соглашения
Используется для распределения рисков простоя между организациями.
В случае катастрофы каждая организация обязуется взять на себя задачи по обработке данных и обработки другой.
вопрос
Обязательство организации резервировать резервные вычислительные мощности для других или сокращать вычислительные мощности, когда другие организации не работают.
Организации сначала должны иметь возможность соблюдать эти протоколы.
Сложность поиска подходящего партнера внутри отрасли или среди конкурентов.
аутсорсинг аутсорсинг
Удовлетворение потребностей предприятий в экономической эффективности
Возьмите на себя риск неизвестных возможностей и способности соответствовать требованиям.
В соглашении SAL может быть указано, что услуги будут предоставляться в течение определенного периода времени, но оно не гарантирует реального покрытия в случае стихийного бедствия.
преимущество
услуги по требованию
Все требования и ответственность за исполнение лежат на третьей стороне.
меньшая стоимость
недостаток
Более активное тестирование и оценка для подтверждения сохранения компетентности
Споры по поводу соглашения не позволяют производителям обеспечить его соблюдение.
Если вы развернете проприетарную систему, вы будете привязаны к поставщику
Если отключения происходят часто, наращивание потенциала может стоить дороже.
процесс
Районы ДР
СР включает реагирование, людей, общение, оценку, восстановление и обучение.
Процесс должен быть записан
Стратегия непрерывного тестирования на организационном уровне
совет директоров и высшее руководство
Стратегия и план тестирования
Включает использование BIA и оценки рисков (BCP).
Определите ключевые роли и обязанности и установите минимальные требования к тестированию непрерывности бизнеса организации, включая базовые требования к частоте тестирования, объему и отчетности о результатах.
Стратегии тестирования различаются в зависимости от масштаба и сценариев риска организации.
Решение проблем тестирования для организации и ее поставщиков услуг.
Стратегия тестирования внутренних систем должна включать людей, участвующих в тестировании систем и файлов данных.
Документирование планов
Восстановление документов при различных инцидентах
Документация должна храниться на всех объектах утилизации.
Документ должен быть достаточно подробным для операции технического восстановления, чтобы люди с соответствующими навыками могли выполнить его в первый раз.
Каждый раз проверяйте план восстановления и при необходимости обновляйте его.
ответ
Уведомляйте группу централизованной связи об инцидентах после их возникновения.
централизованный номер
Справочная служба
Центр технических операций
персонал физической охраны
Мониторинг персонала
план реагирования
Создайте список контактов для экстренных случаев
Группа оценки
Уведомить первым
Определите, требует ли инцидент эскалации
Команда первого обновления
владелец мероприятия
специалист по реагированию на инциденты
Наладьте каналы связи
Групповой звонок
Установите альтернативные каналы связи внутри и снаружи.
Не забывайте о недоступности некоторых услуг.
экспресс-доставка
Услуги воды и электричества
Исполнительная группа по управлению чрезвычайными ситуациями
Состоит из старших менеджеров организации.
Нет необходимости выполнять первоначальную часть ответа
Возьмите на себя полную ответственность за восстановление организации и бизнеса
Находится в командном центре после инцидента.
Нет необходимости контролировать ежедневную эксплуатацию и техническое обслуживание.
Руководители должны реагировать и помогать в решении проблем, требующих их руководства.
Сосредоточьтесь на стратегических ответах
Кризисный менеджмент против кризисного лидерства Кризисный менеджмент против кризисного лидерства
Управление
ответ
короткий срок
процесс
узкий
тактический уровень
Ведущий
ожидать
длинный
в принципе
обширное внимание
стратегический уровень
команда управления чрезвычайными ситуациями
Докладывайте непосредственно в командный центр
Отвечает за мониторинг работы команды аварийного восстановления и разработку процессов восстановления и восстановления.
Сообщить о статусе инцидента высшему руководству
Принимайте решения, способствующие восстановлению
основная функция
Команда аварийного восстановления
Получение удаленных записей и информации для восстановления, хранящейся за пределами объекта
Сообщить на сторонний сайт
Выполните процедуры восстановления в порядке приоритета.
При необходимости сообщите о состоянии восстановления в командный центр.
Выявляем проблемы и сообщаем руководству для решения
Создайте команду восстановления для поддержки круглосуточной смены.
Установите связи с ключевыми бизнес-пользователями и персоналом.
Ремонт и замена оборудования и необходимого программного обеспечения для возобновления нормальной работы.
командный центр
Центр связи и принятия решений во время чрезвычайных ситуаций
В случае стихийного бедствия предоставьте документацию по реагированию на чрезвычайные ситуации и другие ресурсы, необходимые для реагирования на стихийное бедствие.
Также включает процедуры решения финансовых вопросов.
первоначальный план реагирования
Если у вашей организации несколько офисов, вам понадобится план для каждого бизнес-сайта.
Каковы ключевые направления бизнеса или технологии на сайте?
Подготовьте для него соответствующую стратегию восстановления.
кто принимает решения
Куда людям идти, если они не могут вернуться в здание?
Процедура объявления катастрофы
Расположение резервного сайта
Достижение местоположения резервного сайта
Распределение рабочих станций на резервной площадке
Гостиницы рядом с резервными площадками\Транспортные услуги и логистика
персонал
Проблема многих планов заключается в проблемах с кадрами.
Бедствия могут сильно повлиять на людей
В случае стихийного бедствия организациям необходимо уделять внимание невзгодам членов команды, а также реагировать на собственные нужды.
Уровень поддержки членов группы поддержки будет четко определяться характером самой катастрофы.
Включите административную поддержку в состав команды восстановления.
общаться
Уведомить сотрудников
В чрезвычайных ситуациях группа ответственного управления напрямую связывается с членами списка экстренных контактов.
Опишите, как организация будет связываться с остальными участниками.
Организовать линию экстренной информации
Держите сотрудников в курсе произошедших катастроф
Поместите его за бейджем сотрудника или на магнит на холодильник.
Заинтересованные стороны
как сказать
В процессе аварийного восстановления каждый сотрудник должен быть последовательным в том, что он сообщает клиенту или поставщику о ситуации.
Предприятия должны предоставлять всем заинтересованным сторонам обновленную информацию о статусе восстановления.
честный
точный
Специалистам по безопасности необходимо наладить процессы отчетности и управления проблемами.
конференц-мосты
Оценивать
В случае инцидента необходимо определить влияние инцидента.
уровни или категории
Неинцидент
Инцидент
Сообщить руководству
Серьезный инцидентСерьезный инцидент
Необходимо сообщить руководству
восстанавливаться
Последняя часть плана касается восстановления основной среды и перехода к нормальной работе (реконструкции).
Другие части организации занимаются восстановлением организации резервного сайта.
Часть внимания уделяется тому, что необходимо сделать, чтобы вернуться в производственную среду основного предприятия.
Прежде чем восстанавливать основной сайт, вам необходимо обратиться в юридический отдел и в страховую компанию.
Прежде чем действовать, сделайте фотографии
План миграции должен документировать процесс и подробную информацию о том, как мигрировать.
Замена активов
Проведение переговоров с поставщиками о предоставлении оборудования для строительства или восстановления центров обработки данных.
Обеспечить обучение
Каким бы хорошим ни был план, он не сработает, если о нем никто не знает.
возглавлять команду
Знать антикризисное управление
При аварийном восстановлении речь идет не о выполнении восстановления, а о возвращении организации к нормальному состоянию.
Техническая команда
Знать процедуры выполнения восстановления
и логистические объекты, к которым они собираются.
сотрудник
план эвакуации
Включите часть плана BCP в обучение новых сотрудников
Тренировки, оценки и планы технического обслуживания
стратегия тестирования
Направления деятельности и вспомогательные профессиональные отделы демонстрируют цели тестирования непрерывности бизнеса для получения ожиданий в соответствии с BIA и оценками рисков.
Описание глубины и широты проводимого тестирования;
Привлечение персонала, техники и оборудования
Ожидания от тестирования внутренних и внешних взаимозависимостей; Ожидания от тестирования внутренних и внешних зависимостей
Оценка обоснованности допущений, использованных при разработке стратегии тестирования.
Стратегия тестирования содержит цели и объем тестирования.
BCP/DRP тестируется не реже одного раза в год.
Тестирование необходимо, когда происходят серьезные изменения.
Цели тестирования могут начинаться просто и постепенно увеличиваться по сложности, уровню участия, функциям и физическому местоположению.
Тестирование не должно ставить под угрозу нормальную бизнес-операцию.
Испытания демонстрируют различные возможности управления и реагирования в условиях смоделированных кризисов, постепенно добавляя больше ресурсов и участников.
Выявить недостатки, чтобы можно было исправить процедуры испытаний.
Рассмотрите возможность отклонения от тестовых сценариев и включения непредвиденных событий, таких как потеря ключевых лиц или услуг.
Включите достаточные суммы всех типов транзакций для обеспечения соответствующих возможностей и функциональности средства восстановления.
Стратегия тестирования включает план тестирования.
На основе заранее определенного объема и целей испытаний
Содержит уровень проверки плана тестирования.
Включая разработку различных сценариев и методов тестирования.
План испытаний
Генеральный план тестирования должен содержать все цели тестирования.
Подробное описание целей и планов тестирования.
Все участники тестирования, включая роли поддержки
Делегирование участников тестирования
Лица, принимающие решения по тестированию, и планы последующих действий
Место проведения испытаний
Проверьте условия обновления и проверьте контактную информацию.
ДР-тест
стратегия тестирования
Объем и цели тестирования
Проверьте RTO и RPO посредством тестирования
стратегия тестирования
Устанавливается высшим руководством
Ролевые обязанности, частота, объем и отчетность о результатах
Тестирование восстановления бизнеса и аварийного восстановления
восстановление бизнеса восстановление бизнеса
Обратите внимание на работу тестовой бизнес-линии.
Аварийное восстановлениеАварийное восстановление
Сосредоточьтесь на проверке непрерывности технических частей.
Обзор контрольного списка
Распространите копии BCP/DRP среди менеджеров каждого ключевого бизнес-подразделения.
Попросите их просмотреть части плана, подходящие для их отдела.
Настольные упражнения/структурированное пошаговое тестирование
Как инструмент для планирования первоначального тестирования
Цель
Убедитесь, что ключевой персонал из всех областей знаком с BCP/DRP.
Обеспечить способность организации планового реагирования восстанавливаться после стихийных бедствий.
Функции
Упражнения в переговорных комнатах для снижения затрат
Репетиционное учение/имитационное учение (симуляционное испытание характеризуется моделированием реального сценария стихийного бедствия)
Содержит больше контента, чем настольное прохождение.
Примите участие в выборе конкретных сценариев событий для применения в BCP.
функциональное тестирование
Основная цель — определить, можно ли восстановить критически важные системы на резервной станции обработки (DRP), если персонал применит процедуры, указанные в BCP.
Параллельное тестирование (DRP)
Сравните результаты работы резервного сайта с результатами работы основного сайта.
Полное отключение/Полное тестирование (DRP/Высший риск)
Переключиться на резервный сайт
График обновлений и технического обслуживания
Любая команда обязана участвовать в процессе контроля изменений.
Документы по планированию и все связанные с ними процедуры пересматриваются каждые три месяца.
Формальный аудит программы не реже одного раза в год
Планы должны контролировать версии
От проекта к программе
Планирование непрерывности — это непрерывный процесс
Все определенные задачи должны поддерживаться в актуальном состоянии и соответствовать существующей среде.
Должны быть ежегодные требования
организация по управлению чрезвычайными ситуациями (EMO) организация по управлению чрезвычайными ситуациями
Формальный процесс ответа руководства
Покрытие на месте, поддержка и экспертные знания
Охваченные территории
Безопасность
система
человеческие ресурсы
организационная коммуникация
Согласие
Управление рисками и страхованием
Организационный план действий в чрезвычайных ситуациях
Обязанности команды
Время реагирования и чрезвычайные ситуации
Определить масштабы неминуемой или фактической чрезвычайной ситуации.
Установление и поддержание связи с высшим руководством
Общайтесь с сотрудниками и клиентами
Управление медиа-коммуникациями, безопасностью, системами, объектами
Координация и интеграция планов обеспечения непрерывности бизнеса
Организационно-оперативный центр по чрезвычайным ситуациям (ОЦО) Организационный центр по чрезвычайным ситуациям (EOC)
Укажите местоположение
Предоставить необходимые ресурсы для управления восстановлением организации независимо от того, инициирован ли EMO.
9. Судебно-медицинская экспертиза
Объяснение имени
цифровая криминалистика
компьютерная криминалистика, цифровая криминалистика и сетевая криминалистика для обнаружения электронных данных, киберкриминалистика и криминалистические вычисления.
На основе методологических, проверяемых и проверяемых процедур и протоколов.
Руководство по сбору доказательств
Опознавание доказательств Опознание доказательств
Сбор или получение доказательств Сбор или получение доказательств
Исследование или анализ доказательств. Исследование или анализ доказательств.
Презентация результатовПредставление доказательств
место преступления
формальный принцип
1. Определите место происшествия
2. Защищайте окружающую среду
3. Определить доказательства и потенциальные источники доказательствОпределить доказательства и потенциальные источники доказательств
4. Соберите доказательстваСоберите доказательства
5. Минимизировать степень загрязнения
среда
физическая среда
сервер, рабочая станция, ноутбук, смартфон, цифровое музыкальное устройство, сервер планшета, рабочая станция, ноутбук, смартфон, цифровое музыкальное устройство, планшет
Справиться с этим относительно просто;
виртуальная среда
например, данные в кластере, GRID или сетях хранения данных (SAN).
трудно определить точное местонахождение доказательств или получить доказательства.
динамические доказательства
Данные существуют в динамической операционной среде
специалисту по безопасности сложнее защитить виртуальную сцену
Мотивация, возможности и пути к маме
мотивация
кто и почему
Шанс
где и когда
Способ
Преступникам нужна способность добиться успеха
компьютерное преступление
Часто используемые методыMO
Преступники используют различные методы действий для совершения преступлений, которые могут использоваться для представления различных типов преступлений.
Закон обмена Рокка
Установлено, что преступники что-то оставляют, когда что-то забирают.
Общие руководящие принципы G8
При работе с цифровыми доказательствами необходимо применять все общие судебно-медицинские и процессуальные принципы.
Акт сбора доказательств не может изменить доказательства
Когда человеку необходимо получить доступ к цифровым доказательствам стипендиата, этот человек должен пройти соответствующее обучение.
Все действия, связанные с изъятием, доступом, хранением или передачей цифровых доказательств, должны быть полностью задокументированы, сохранены и доступны для проверки.
Когда цифровые доказательства находятся в чьем-либо владении, это лицо должно нести ответственность за все действия, связанные с цифровыми доказательствами.
Любая организация, ответственная за сбор, доступ, хранение и передачу данных, несет ответственность за соблюдение этих принципов.
Сбор и обработка доказательств
Цепочка сохранности доказательств/цепочка сохранности доказательств
Речь идет о том, что носители доказательств должны иметь четкие записи (Документ) и ответственность (Подотчетность) от первоначального сбора и идентификации до транспортировки, использования, промежуточного хранения и окончательного хранения и архивирования, чтобы гарантировать, что оригинальные носители доказательств отсутствуют. вероятность заражения (Contaminate) и взлома (Tamper);
На протяжении всего жизненного цикла доказательств все зависит от их обработки: кто, что, когда, где и низко;
Обеспечивать подлинность и целостность доказательств с помощью хеша (SHA-256) и цифровых подписей;
Интервью
Самая деликатная часть расследования — допрос свидетелей и подозреваемых;
Собеседованиям должно предшествовать рассмотрение стратегии, уведомление руководства и обращение к юрисконсульту компании;
Не проводите собеседование в одиночку. Если возможно, запишите весь процесс собеседования в качестве доказательства;
Понять судебно-медицинский процесс
доказательства, допустимые в суде
Классификация доказательств
Классификация способов представления
написано
оральный
показания, данные свидетелями
созданный компьютером
зрительный или слуховой
События, запечатленные во время или сразу после преступления
Классифицируется по влиянию
лучшее доказательство
первоначальный контракт
вспомогательные доказательства
Устные показания, копии оригиналов документов
прямое доказательство
показания свидетеля
Доказательства, собранные на основе пяти чувств свидетеля
решающее доказательство
косвенные улики
Подтвердите промежуточные факты, которые можно использовать для вывода или определения существования другого факта.
убедительное доказательство
Подтверждающие административные доказательства, используемые для предоставления идеи или точки зрения
мнение, доказательства
Образовательные перспективы, представленные экспертами-свидетелями
Обычные свидетели могут свидетельствовать только о фактах.
доказательства, основанные на слухах
Устные или письменные доказательства, представленные в суде, являются бывшими в употреблении.
Характеристики доказательств
подлинность или актуальность
Должен иметь скромное и реалистичное отношение к выводам.
честность
Доказательства должны отражать всю правду
адекватность или достоверность
Должна быть достаточная убедительность, чтобы убедить разумного человека в достоверности расследования, а доказательства должны быть убедительными и не вызывать легкого сомнения.
надежность или точность
Должно соответствовать фактам. Доказательства не являются надежными, если они основаны на мнении одного человека или копии оригинального документа.
компьютерные журналы
Предполагается, что они должны собираться в процессе стандартизации бизнеса, а деловые записи специально
Большинство документов, связанных с компьютером, считаются слухами, то есть вторичными доказательствами.
Принципы сбора доказательств
Любые действия, предпринятые в результате расследования, не должны изменять данные на носителе или цифровом устройстве;
Люди, имеющие доступ к данным, должны иметь соответствующую квалификацию и уметь объяснять свои действия.
Журналы аудита или другие записи, подходящие для аудита третьей стороны и применимые к процессу, должны создаваться и защищаться, а каждый этап расследования должен быть точно документирован.
Лица, ответственные за расследование, должны нести полную ответственность за обеспечение упомянутых выше процедур и соблюдение государственных законов.
Что касается поведения людей, собирающих данные, они не должны изменять доказательства.
Когда необходимый персонал имеет доступ к оригинальным доказательствам, это должно быть юридически обосновано.
Действия, связанные со сбором, доступом, хранением или передачей цифровых доказательств, должны тщательно регистрироваться, сохраняться и предоставляться для проверки.
Когда цифровые доказательства находятся у кого-то, этот человек должен тщательно записывать, сохранять и предоставлять их для проверки.
Когда цифровые доказательства находятся у кого-то, это лицо должно нести полную ответственность за действия, предпринятые в отношении доказательств.
Метод анализа доказательств
Медиа-анализ: восстановление информации или доказательств из информационных носителей.
Веб-анализ: анализ и изучение веб-журналов и веб-активности, используемых в качестве потенциальных доказательств.
Анализ программного обеспечения: анализируйте и проверяйте программный код (включая исходный код, скомпилированный код и машинный код), используйте методы декодирования и обратного проектирования, включая идентификацию автора и анализ контента и т. д.;
Анализ аппаратного/встроенного устройства: должен включать анализ мобильных устройств;
Несколько компьютерных преступлений
атака салями
Поставщики услуг совершают несколько мелких преступлений в надежде, что они, объединенные в более крупное преступление, не привлекут внимания.
подделка данных
Произошла манипуляция при вводе данных
Перехват пароля
Захват паролей, передаваемых между компьютерами
IP-подмена
Злоумышленник не хочет, чтобы другие знали его настоящий адрес, поэтому он меняет IP-адрес пакета так, чтобы он указывал на другой адрес.
поиск спама
Просматривайте мусорные баки других людей в поисках выброшенных документов, информации и других ценных предметов, которые могут быть использованы против этого человека или компании.
подслушивание
Пассивная атака. Инструментами, используемыми для подслушивания сообщений, могут быть сканеры беспроводных телефонов, радиоприемники, микрофонные приемники, диктофоны, сетевые снифферы и т. д.
Сквотирование доменных имен
Это относится к тому, кто покупает доменное имя с целью использования аналогичного доменного имени для нанесения ущерба компании или вымогательства денег.
6. Оценка и тестирование безопасности
основная концепция
Оценка и тестирование безопасности
«Оценка и тестирование безопасности» охватывает широкий спектр текущих и периодических методов тестирования, используемых для определения уязвимостей и связанных с ними рисков.
Основные цели ТиО
T&E может измерять прогресс в развитии системы и возможностей
Опыт T&E заключается в обеспечении раннего понимания сильных и слабых сторон системы в процессе разработки на протяжении жизненного цикла системы.
Предоставить знания, которые помогут в управлении рисками при разработке, производстве, эксплуатации и обслуживании системных возможностей.
Способность выявлять технические, эксплуатационные и системные недостатки до развертывания системы, чтобы разработать соответствующие и своевременные корректирующие действия.
Стратегия ТиО
Содержание стратегии тестирования и оценки — это функциональность, которая применяется к процессу приобретения/разработки, предъявляемые требования к возможностям и возможности, необходимые для управления технологией.
как правило
Осведомленность, необходимая для управления рисками
Эмпирические данные для проверки моделей и симуляций
Тестирование технической производительности и зрелости системы
Определение эффективности эксплуатации и технического обслуживания, технологичности и производственной мощности.
Цель
Выявлять, управлять и снижать риски
Стратегии оценки и тестирования Стратегии оценки и тестирования
Стратегия ТиО
Роль стратегии
Что нужно знать, чтобы управлять рисками
Эмпирические данные для проверки моделей и симуляций
Тестирование технической производительности и зрелости системы
Определение эффективности эксплуатации и технического обслуживания, адаптивности и живучести.
Системные инженеры и эксперты по безопасности
Работать с организациями-спонсорами для разработки или оценки стратегий ТиО для поддержки приобретения/развития программ;
Предоставить методы ТиО, позволяющие глубоко управлять рисками;
Мониторинг процессов ТиО и изменений, которые могут потребоваться
Оценивать и предоставлять рекомендации по пригодности планов тестирования и процедур для тестирования разработки или эксплуатационного тестирования;
Ожидается также, что он поймет обоснование процедур приобретения/разработки для создания и реализации стратегий ТиО;
Ожидайте понимания конкретных видов деятельности T&E-тестирования, таких как тестирование совместимости;
Предприятиям необходимо создать рабочие группы
Эту группу часто называют командой интегрированного продукта T&E, и она состоит из экспертов T&E, представителей пользователей-клиентов и других заинтересованных сторон;
Стратегия ТиО — это живой документ, и группа несет ответственность за ее обновление по мере необходимости.
Группе необходимо убедиться, что процесс T&E включает в себя стратегии приобретения и что система соответствует эксплуатационным требованиям на основе используемых возможностей.
Проводить проверки и судебные расследования
Обзор журнала
Журналы, связанные с компьютерной безопасностью
Например, анализ журнала маршрутизации помогает выявить инциденты безопасности, нарушения политик, мошеннические действия и эксплуатационные проблемы.
Функция журнала
Поддержка внутренних расследований
Установите базовый уровень
Выявлять операционные тенденции и выявлять долгосрочные проблемы
испытание
Необходимо сбалансировать ограниченные ресурсы управления журналами с постоянно генерируемыми данными журналов.
Производство и хранение бревен
Различные источники журналов
Несогласованное содержимое журнала, формат, временная метка и т. д.
Массовая генерация данных журнала
Необходимость защиты целостности, конфиденциальности и доступности журналов.
Обеспечьте безопасность, системные и сетевые администраторы регулярно и эффективно анализируют данные журналов.
Политики и процедуры управления журналами
Определить требования и цели ведения журналов
Разработайте четко определенные обязательные и рекомендуемые требования к деятельности по управлению журналами.
Включая производство бревен, доставку, хранение, анализ и утилизацию.
Требования и рекомендации по управлению журналами интеграции и поддержки
Руководство должно оказать необходимую поддержку
Требования и рекомендации по ведению журналов должны быть созданы вместе с ресурсами и методами детального анализа, необходимыми для внедрения и ведения журналов.
Защита необработанных журналов
Отправьте копию журналов сетевого трафика на центральное устройство.
Приоритизация управления журналами
Оптимизируйте требования к журналам на основе предполагаемого снижения организационных рисков, а также ресурсов и ожидаемого времени, необходимых для управления журналами.
Установите обязанности и роли по управлению журналами
Создание структуры управления журналом технического обслуживания
Архитектура управления журналами включает в себя аппаратное обеспечение, программное обеспечение, сети и носители, используемые для создания, передачи, хранения, анализа и обработки журналов.
При разработке структуры управления журналами следует учитывать текущие и будущие потребности структуры управления, а также независимые источники журналов в организации.
Централизованный сервер журналов и хранилище данных журналов.
Объем данных журнала, которые необходимо обработать
пропускная способность сети
Онлайн и оффлайн хранение данных
Требования безопасности данных
Время и ресурсы, необходимые персоналу для анализа журналов
Обеспечить соответствующую поддержку всем сотрудникам в выполнении их обязанностей по управлению журналами.
Системные администраторы должны получать адекватную поддержку
Включая распространение информации, проведение обучения, предоставление контактных лиц для ответов на вопросы, предоставление конкретных технических рекомендаций, предоставление соответствующих инструментов и документов и т. д.
Стандартный процесс управления журналами
Обязанности администратора журнала
Статус журнала управления
Отслеживать процессы ротации и архивирования журналов
Проверяйте системные исправления журналов, получайте, тестируйте и развертывайте исправления.
Убедитесь, что система-источник журналов синхронизирует часы.
При изменении политики или технологии при необходимости перенастройте ведение журнала.
Ведение журнала и отчетность об исключениях журнала
Обеспечить хранилище интеграции журналов, например, информацию о безопасности и систему управления событиями SIEM.
Процесс управления журналом
Настройте источники журналов, выполните анализ журналов, инициируйте когнитивное воздействие на идентификацию и управляйте долгосрочным хранением журналов.
Источник журнала
Веб- и хост-программное обеспечение
антивирусная программа
Системы IPS и IDS
программное обеспечение для удаленного доступа
Веб-прокси
Программное обеспечение для управления уязвимостями
Сервер аутентификации
маршрутизатор
брандмауэр
Сервер контроля доступа к сети (NAC)/защиты доступа к сети (NAP)
Время работы операционной системы и записи аудита
на основе приложений
Запрос клиента и ответ сервера
Информация Об Учетной Записи
Информация об использовании
важная оперативная деятельность
испытание
Свойства распределения журналов, несоответствие формата журналов и емкость журналов — все это создает проблемы управления журналами.
Целостность, конфиденциальность и доступность журналов должны быть защищены.
Организациям также необходимо защитить доступность своих журналов.
Конфиденциальность и целостность архивных журналов также необходимо защищать.
Системный и сетевой администратор
Нужно проанализировать логи
Невозможно эффективно выполнить анализ журналов
не получил хорошей подготовки
нет поддержки инструментов
Анализ журналов часто является реактивным
Многие анализы журналов требуют выполнения в режиме реального времени или почти в реальном времени.
ключевые практики
Оптимизируйте управление журналами соответствующим образом во всей организации.
Установите политики и процедуры управления журналами
Создание и поддержание инфраструктуры управления журналами безопасности.
Обеспечить соответствующую поддержку управления журналами для всех сотрудников.
Синтетическая торговля против реальной торговли Синтетические транзакции Против реальных транзакций
Реальный мониторинг пользователей РУМ
Методы веб-мониторинга, предназначенные для сбора или анализа каждой транзакции каждого пользователя в Интернете или приложении.
Также известно как измерение реальных пользователей, метрики реальных пользователей или мониторинг опыта конечных пользователей (EUM).
Пассивный мониторинг Метод пассивного мониторинга
Положитесь на службы веб-мониторинга, чтобы постоянно получать информацию о деятельности системы и отслеживать ее доступность, функциональность и чувствительность.
Режим монитора
Формы снизу вверх
Собирайте информацию на стороне сервера для восстановления пользовательского опыта.
RUM на стороне клиента сверху вниз
Клиент RUM может напрямую видеть, как пользователи взаимодействуют с приложением и испытывают его.
Сосредоточьтесь на скорости работы сайта и удовлетворенности пользователей, предоставляя углубленную информацию об оптимизации компонентов приложения и повышении общей производительности.
синтетическая торговля
упреждающий мониторинг Проактивный или превентивный подход к мониторингу
Содержит способ запуска транзакций по сценарию с использованием внешнего агента вместо веб-приложения.
Эти сценарии сравнивают пользовательский опыт с типичными пользовательскими действиями, такими как поиск продуктов, просмотр продуктов, вход в систему и предоставление поддержки.
Синтетический мониторинг — это легкий и низкоуровневый прокси-подход, но он необходим веб-браузеру для запуска обработки вызовов JavaScript, CSS и AJAX, которые происходят на странице.
Не отслеживает фактические сеансы пользователей
Известный набор шагов выполняется в известном месте через регулярные промежутки времени с предсказуемой производительностью. Лучше, чем RUM, для оценки доступности сайта и проблем с сетью.
Селен
http://docs.seleniumhq.org
Клиент полностью управляем полный контроль над клиентом
В отличие от RUM, управляемого JAVA-скриптами песочницы, детали можно получить более объективно.
Программное обеспечение Microsoft System Center для управления операциями
мониторинг веб-сайта
Мониторинг базы данных
Мониторинг TCP-порта
Увеличение значения
Мониторинг доступности системы 7*24. Мониторинг доступности приложений 24*7.
Узнайте, доступен ли удаленный сайт
Понимание влияния сторонних сервисов на производительность систем бизнес-приложений.
Мониторинг производительности и доступности приложений SaaS
Тестируйте веб-сайты B2B с использованием SOAP, REST или других веб-сервисов.
Мониторинг доступности критически важных баз данных
Измерение соглашений об уровне обслуживания SLA
В качестве компенсации за реальный мониторинг пользователей в периоды низкого бизнес-трафика.
Установите пределы производительности и выполните анализ тенденций производительности.
Обзор и тестирование кода
Распространенные причины уязвимостей Уязвимости возникают
Неподходящие шаблоны программирования, такие как отсутствие проверок, влияющих на пользовательские данные, SQL-инъекция (проверка ввода)
Несоответствие инфраструктуры безопасности: чрезмерный контроль доступа или слабая конфигурация шифрования;
Функциональные ошибки в инфраструктуре безопасности: сами средства контроля доступа не ограничивают доступ к системе;
Логические ошибки в процессе реализации: Например, пользователь размещает заказ, не оплатив его.
Распространенные уязвимости программного обеспечения Распространенные уязвимости программного обеспечения
Небезопасное взаимодействие между компонентами
Управление рискованными ресурсами (Risy Resource Management)
Пористая защита
технология тестирования Методы тестирования
Белый ящик (структурное тестирование/тестирование открытого ящика) VS. Тестирование черного ящика (функциональное тестирование/тестирование закрытого ящика).
Динамическое тестирование против статического тестированияДинамическое тестирование против статического тестирования
Руководство против автоматизации Ручное тестирование и автоматическое тестирование
этап планирования и проектирования Во время планирования и дизайна
Обзор безопасности архитектуры
Требование: Архитектурная модель
Плюсы: архитектура проверки отличается от стандартов безопасности.
Моделирование угроз Моделирование угроз
Предварительное условие: вариант бизнес-использования или сценарий использования.
Определите угрозы, их влияние и потенциальные средства контроля, характерные для процесса разработки программного продукта.
Модель СТРАЙД
Этап разработки приложения Во время разработки приложения
Статический анализ исходного кода (SAST) и ручная проверка кода (статический анализ кода и ручная проверка кода)
Анализ кода приложения без его запуска для выявления слабых мест.
Предварительное условие: исходный код приложения.
Преимущества: Обнаруживает небезопасное программирование, устаревшие кодовые базы и неправильные конфигурации.
Статический анализ двоичного кода и ручной двоичный анализ (статический анализ двоичного кода и ручной двоичный анализ)
Скомпилированные приложения анализируются на наличие слабых мест, но приложения не выполняются.
Неточно и не содержит предложений по исправлению.
Исполняемый файл в тестовой среде Исполняемый файл в тестовой среде
Ручное или автоматическое тестирование на проникновение
Отправляйте данные, как злоумышленник, и узнавайте об их поведении.
Преимущества: Выявление большого количества уязвимостей в развернутых приложениях;
Автоматическое сканирование уязвимостей
Тестируйте приложения, которые используют известные небезопасные системные компоненты или конфигурации.
Установите режим перед атакой и проанализируйте отпечатки системы
Преимущества: Обнаруживает известные уязвимости.
Инструменты нечеткого тестированияИнструменты нечеткого тестирования
Преимущества: Обнаруживает сбои критически важных приложений (например, вызванные переполнением буфера).
Отправка случайных данных (часто намного больше и быстрее, чем ожидает приложение) во входной канал приложения, чтобы вызвать сбой приложения.
работа системы и Тестирование на техническом обслуживании
Характеристики тестирования программного обеспечения
Рекомендуется использовать технологию пассивного тестирования безопасности для мониторинга поведения системы и анализа системных журналов.
Во время обслуживания программного обеспечения очень важно проводить тестирование исправлений.
Патчи требуют тщательного тестирования безопасности.
Тестирование программного обеспечения имеет свои ограничения, и невозможно выполнить 100% тестирование.
Тестирование всех функций программы и всего программного кода не означает, что программа на 100% правильная!
Планы тестирования и тестовые примеры должны разрабатываться как можно раньше на этапе разработки программного обеспечения.
Тестирование на основе кодаТестирование на основе кода
Тестирование безопасности программного обеспечения обычно начинается с тестирования на уровне модуля и заканчивается тестированием на уровне системы.
Структурированное тестирование (тест «белого ящика»/тест «хрустального ящика») тест распаковки
Структурированное тестирование — это в основном тестирование на уровне модуля;
Сектор структурированного тестирования можно измерить, используя в качестве индикатора процент структур программного обеспечения, прошедших тестирование.
Тестовые сценарии основаны на знаниях, полученных из исходного кода, подробных спецификаций проекта и других документов разработки;
Общее структурное покрытие Тестовое покрытие (используется для белого ящика)
Покрытие заявленийПокрытие заявлений
Покрытие условийПокрытие условий
Покрытие с несколькими условиямиПокрытие с несколькими условиями
Покрытие петли Покрытие петли
покрытие пути покрытие пути
Покрытие потока данныхПокрытие потока данных
Функциональное тестирование или тестирование «черного ящика»/тестирование «закрытого ящика» функциональное тестирование или тестирование черного ящика
Тестовые случаи определяются на основе того, что именно должен делать программный продукт;
Основными проблемами тестовых примеров являются предполагаемое использование и функциональность программы, а также внутренние интерфейсы программы;
Функциональное тестирование должно применяться к любому уровню тестирования программного обеспечения, от модульного тестирования до тестирования на уровне системы.
Функциональное тестирование программного обеспечения функциональное тестирование программного обеспечения
Обычный случайОбычный вариант использования
Выходные требования к принудительному выходу
Надежность
Комбинации входов Комбинации входов
слабостьслабость
Критерии завершения структурированного и функционального тестирования сложно связать с надежностью программного продукта;
Статистические методы испытаний статистическое тестирование
Обеспечивает высокое структурное покрытие.
Создавать случайные данные из распределения, определенного в зависимости от операционной среды (целевое использование, опасное использование или злонамеренное использование программного продукта);
Генерация больших объемов тестовых данных и их использование для покрытия конкретных областей или проблемных областей обеспечивает повышенную вероятность выявления индивидуальных и чрезвычайно редких условий эксплуатации, которые не были предусмотрены проектировщиками и испытателями.
Тестирование изменений программного обеспечения
причина
Отладка обнаруженных проблем и их исправление
Новые или меняющиеся требования.
Откройте для себя изменения конструкции, которые можно реализовать более эффективно и результативно.
Цель
Изменения были реализованы правильно
Отсутствие негативного воздействия на другие части
Регрессионный анализ и тестирование
Регрессионный анализ и тестирование Регрессионный анализ: Определить влияние изменений на основе анализа соответствующих документов (спецификаций программного обеспечения, спецификаций дизайна, исходного кода и т. д.), а также определить и применить необходимые регрессионные тесты;
Регрессионное тестирование: используйте предыдущую программу для выполнения правильных тестовых примеров и сравните существующие результаты с предыдущими, чтобы обнаружить неожиданные результаты изменений программного обеспечения.
Тщательное и полное тестирование (V-образная модель)
Тестирование на уровне модуля (модуля или компонента)Юнитное тестирование
Тестирование уровня интеграции Интеграционное тестирование (тестирование интерфейса между модулями)
Сверху внизСверху вниз
Снизу вверхСнизу вверх
сэндвич-метод
Тестирование на уровне системыСистемное тестирование
Безопасность и конфиденциальность (например, возможности шифрования, отчеты журнала безопасности)
Проблемы с производительностью (например, время отклика, измерения надежности)
Реакция в стрессовых условиях (например, поведение при максимальной нагрузке)
Работа внутренних и внешних средств безопасности
Эффективность сложных шагов
Удобство использования;
Производительность в различных конфигурациях
Точность документации
Совместимость с другим программным обеспечением
Вступительный тест
UAT (приемочное тестирование пользователя)
QAT (Тестирование обеспечения качества)
Рекомендации по тестированию
Системное тестирование покажет поведение продукта, на который вы смотрите, в конкретной среде;
Процедуры испытаний, данные испытаний и результаты испытаний должны быть документированы таким образом, чтобы можно было принимать решения о прохождении/непрохождении;
Корпоративные программные продукты сложны, и тестирование программных продуктов должно обеспечивать согласованность, полноту и эффективность;
Задачи обслуживания программного обеспечения отличаются от обслуживания оборудования. Для оборудования предусмотрены профилактические меры, а для программного обеспечения — нет.
Требует эффективной проверки изменений;
Прочие задачи по техническому обслуживанию
Пересмотр плана проверки программного обеспеченияПересмотр плана проверки программного обеспечения
Проверка аномалий
Выявление проблем и отслеживание их решенияВыявление проблем и отслеживание их решения
Предлагаемая оценка измененийЗапросить оценку изменений
Итерация задачиИтерация задачи
Обновление документации Обновление документации
Варианты использования и случаи неправильного использования
Вариант использования Вариант использования
Тестовые случаи с точки зрения обычных пользователей, использующих систему
Случай неправильного использованияСлучай неправильного использования
Варианты использования с точки зрения злоумышленника в отношении системы
Положительное тестирование
Убедитесь, что приложение работает должным образом и завершится сбоем, если во время прямого тестирования будут обнаружены ошибки.
Отрицательное тестирование Отрицательное тестирование
Убедитесь, что ваше приложение правильно обрабатывает недопустимый ввод или неожиданное поведение пользователя.
Тестирование интерфейса Тест интерфейса
Цель
В основном путем проверки синхронизации различных компонентов разработки приложения или системы друг с другом.
На техническом уровне тестирование интерфейса в основном используется для определения того, передаются ли различные функции, такие как данные, так, как задумано, в разных элементах системы.
Используется для обеспечения качества программного обеспечения.
Проверка на проницаемость
По просьбам многих пользователей смоделируйте процесс атаки на сеть и ее системы.
Типы тестирования на проникновение имеют приоритет над организацией, ее целями безопасности и целями руководства.
Отчеты о тестировании на проникновение должны быть представлены руководству.
Должно быть подписано доверенность, разрешающая объем тестирования (требуется письменное разрешение руководства).
шаг
1. Discovery, сбор соответствующей информации о целевом Discovery.
Найдена версия операционной системы CentOS5.1.
копать
DNS-следы Инструменты для сбора информации на этапе обнаружения
2. Перебор, выполнение методов сканирования портов и идентификации ресурсов.
nbtstat принадлежит перечислению Это стадия перечисления, а не стадии открытия.
3. Исследование уязвимостей, выявление уязвимостей в выявленных системах и ресурсах.
Классификация уязвимостей
человеческая уязвимость
физическая уязвимость
Уязвимости системы и сети
4. Эксплуатация, попытка использования уязвимости для получения несанкционированного доступа.
5. Отчитываться перед руководством и предоставлять руководству отчеты и предложения по безопасности.
Классификация
Тестирование «черного ящика», нулевое понимание, команда проникновения тестирует без понимания целей тестирования
Тестирование серого ящика, тестирование, основанное на знании некоторой информации, связанной с целью тестирования.
Тестирование белого ящика, тестирование, основанное на понимании сути цели
Классификация команд тестирования на проникновение
0 знаний
Ничего не знаю о цели
частичное знание
частичное знание цели
все знания
Полностью понять ситуацию цели
Пример: Циферблат войны
Наберите ряд телефонных номеров, чтобы найти доступные модемы.
Некоторые организации до сих пор используют модемы в качестве коммуникационного оборудования.
Военный набор номера — это форма вторжения в сеть организации, предназначенная для обхода межсетевых экранов и систем обнаружения вторжений (IDS).
Атаки с военным набором номера включают попытки получить доступ к внутреннему компьютеру и сетевым ресурсам организации, например, посредством доступа, что облегчает взлом.
Самооценочный тест
Администраторы используют метод военного набора для проверки несанкционированной установки модемов в организации и обучения случайных установщиков в организации.
Другие типы уязвимостей
Уязвимость ядра
Есть уязвимости на уровне ядра
Меры противодействия: убедитесь, что исправления безопасности для операционной системы остаются максимально эффективными после надлежащего тестирования окна уязвимостей даже после развертывания в среде.
Переполнение буфераПереполнение буфера
Контрмеры: хорошие практики программирования и обучение разработке, автоматические сканеры исходного кода, расширенные библиотеки программирования, строгая типизация языка, не допускающая переполнения буфера.
Символические ссылки Символические ссылки
Хакеры перенаправляют символические ссылки для получения несанкционированного доступа.
Меры противодействия: при написании программ (особенно сценариев) невозможно избежать полного пути к файлу.
Атаки на файловые дескрипторы атака по описанию файла
Дескрипторы файлов — это числа, используемые во многих операционных системах для обозначения открытых файлов в процессе. Некоторые номера дескрипторов файлов универсальны и имеют одинаковое значение для всех программ.
Если программа использует файловые дескрипторы небезопасно, это может позволить злоумышленнику использовать привилегии программы для предоставления неожиданных входных данных в программу или привести к тому, что выходные данные перейдут в неожиданное место.
Контрмеры: хорошие практики программирования и обучение разработке, автоматизированные сканеры исходного кода и тестирование безопасности приложений.
Условия гонки Условия гонки (В многопроцессной и многопоточной среде)
Неустранение факторов экологической уязвимости перед выполнением процедур
Может позволить злоумышленнику читать или записывать неожиданные данные или выполнять несанкционированные команды.
Контрмеры: хорошие практики программирования и обучение разработке, автоматизированные сканеры исходного кода и тестирование безопасности приложений.
Разрешения для файлов и каталогов Разрешения для файлов и каталогов
Неправильные права доступа к файлу или каталогу
Меры противодействия: проверка целостности файлов, а также проверка разрешений ожидаемых файлов и каталогов.
Сбор данных о процессах безопасности Сбор данных процесса безопасности
Постоянный мониторинг информационной безопасности Постоянный мониторинг информационной безопасности МСММ
МСММ
Осведомленность, используемая для определения текущей информационной безопасности, уязвимостей и опасностей. Пользователи поддерживают решения по рискам информационной безопасности организации;
Любые усилия и процессы по поддержке мониторинга информационной безопасности в организации должны начинаться со сложной стратегии ISCM, определенной высшим руководством.
Стратегия ISCM
Он основан на четком понимании организационной толерантности к рискам и помогает компаниям устанавливать приоритеты и согласовывать риски во всей организации;
Включите показатели, которые обеспечат истинное значение состояния безопасности на всех уровнях организации;
Обеспечить постоянную эффективность всех мер безопасности;
Проверять соответствие требованиям информационной безопасности, определяемым корпоративной идентификацией/бизнес-функциями, национальными законами и правилами, руководящими принципами и руководящими стандартами;
Все ИТ-активы организации информируются и помогают поддерживать прозрачность безопасности активов;
Обеспечить контроль знаний об изменениях в организационных системах и среде;
Поддерживать осведомленность об угрозах и уязвимостях.
НИСТ СП 800-137
Непрерывный мониторинг информационной безопасности (ISCM) федеральных информационных систем и организаций
Функции
Программа ISCM создана для сбора данных на основе прогнозных показателей, отчасти посредством внедренных мер безопасности для использования содержания изменения информации.
Организационно дисциплинированный мониторинг рисков не может быть эффективно достигнут, полагаясь исключительно на ручные или автоматизированные процессы.
Разработка процесса стратегии ISCM
Определите политики ISCM, основанные на толерантности к рискам, для обеспечения прозрачности активов, осведомленности об уязвимостях, обновления информации об угрозах и влияния на миссию/бизнес.
Разработайте план ISCM для определения показателей измерения, частоты мониторинга состояния, частоты контрольных оценок и создайте техническую архитектуру ISCM.
Внедряйте программы ISCM и собирайте информацию, связанную с безопасностью, необходимую для измерения, оценки и отчетности. Автоматизируйте сбор, анализ и отчетность везде, где это возможно.
Проанализируйте все собранные данные и сообщите о результатах с соответствующими ответами. Необходимо собрать дополнительную информацию для уточнения или дополнения существующих данных мониторинга.
Влиять на обнаружение посредством технических, управленческих и эксплуатационных действий, включая действия по снижению выбросов или принятие, передачу, совместное использование или предотвращение, отклонение и т. д.
Пересматривайте и обновляйте программы ISCM, корректируйте политики ISCM и совершенствуйте возможности измерения для повышения прозрачности активов и осведомленности об уязвимостях, обеспечения большей архитектуры информационной безопасности организации и средств контроля на основе данных, а также повышения устойчивости организации.
Метрики
Определение и содержание показателей измерения
Измерения включают всю информацию, связанную с безопасностью, полученную в результате оценок и мониторинга, полученных с помощью автоматизированных инструментов, а также ручных процедур, организованных в значимую информацию для поддержки требований к принятию решений и отчетности.
Метрики должны определяться конкретными целями по поддержанию или улучшению состояния безопасности.
Метрики позволяют получить данные на уровне системы для понимания контекста миссии/бизнеса или управления организационными рисками.
Метрики измерения. Информация, связанная с безопасностью, полученная в разное время с разными уровнями задержки.
примерыпримеры
Принципы установления показателей измерения NIST SP 800-137
Нестабильность контроля безопасностиНеустойчивость контроля безопасности
Категории систем/уровни воздействияКатегории систем/уровни воздействия
Меры безопасности или объекты специальной оценки, обеспечивающие критические функции Меры безопасности или ключевые функции, предоставляемые конкретным объектом оценки
Меры безопасности с выявленными слабыми сторонами Меры безопасности с выявленными слабыми местами
Толерантность к организационным рискамТолерантность к организационным рискам
Информация об угрозахИнформация об угрозах
Информация об уязвимостяхИнформация об уязвимостях
Результаты оценки рисков. Результаты оценки рисков.
Требования к отчетностиТребования к уведомлению
факторы изменения
Внутренний и сторонний аудит Внутренний аудит и аудит третьей стороны
Процесс аудита
1. Определите цель, все остальное зависит от цели
2. Назначьте соответствующих руководителей бизнес-отделов, чтобы обеспечить выявление и решение потребностей бизнеса.
3. Определите объем, потому что невозможно протестировать все
4. Выберите аудиторскую группу, которая может включать внутренний или внешний персонал, в зависимости от целей, масштаба, бюджета и имеющегося опыта.
5. Планируйте аудиты, чтобы гарантировать достижение целей вовремя и в рамках бюджета.
6. Проводить проверки и фиксировать любые отклонения, придерживаясь плана.
7. Запишите результаты. Полученная информация одновременно ценна и нестабильна.
8. Сообщите о результатах соответствующему руководству для достижения и поддержания сильной безопасности.
Требования к аудиту
Законодательные и нормативные требования
Например, Федеральный закон США по информационной безопасности (FISMA Federal Information Security Management). Федеральные агентства обязаны обеспечивать защиту организаций не реже одного раза в год, но редко обеспечивают полную защиту или управление рисками информационных систем.
Специалистам по информационной безопасности необходимо понимать требования, изложенные в правовых стандартах, для обеспечения защиты, но они редко достигают полной защиты или управления рисками информационных систем.
Специалисты по информационной безопасности должны обеспечить соответствующий объем и адаптацию целевых систем, чтобы получить необходимое количество средств контроля на искомом уровне.
ориентированный на бизнес
Чтобы сосредоточиться на основных компетенциях, сократить расходы и быстрее развернуть новые функции приложений, организации продолжают передавать системные бизнес-процессы и обработку данных на аутсорсинг поставщикам услуг.
Организация часто обновляет процессы мониторинга и управления рисками аутсорсингового поставщика услуг.
Внутренний аудит (первый аудит)
В организациях есть собственная аудиторская группа для достижения постоянного уровня безопасности ближе к вашей организации.
преимущество
Они знакомы с рабочими процессами внутри организации.
Эффективность работы
Умеет точно определить самые проблемные точки
Это может сделать работу по аудиту более гибкой, а руководство сможет постоянно менять потребности аудита, что позволяет аудиторской команде соответствующим образом корректировать план аудита.
недостаток
Их доступ к информационным системам относительно ограничен.
Возможность конфликта интересов, препятствующая объективности
Внешний аудит (аудит второй стороны)
Проверки проводят деловые партнеры или их представители.
выполнить контракт
После подписания контракта организация-клиент может запросить доступ к людям, местоположениям и информации, чтобы убедиться, что поставщик услуг соответствует правилам безопасности.
Ключевые моменты:
Понимание контракта. Объем аудита зависит от контракта.
Организовать внутренние и внешние брифинги
Внутренние брифинги, запланированные перед проверками
Внешний брифинг запланирован на конец аудита
Путешествуйте парами
Обеспечьте присутствие кого-либо из аудиторской организации во избежание недоразумений.
будь дружелюбным
Целью всего процесса является установление доверия.
аудит третьей стороны
преимущество
Провел аудит множества различных информационных систем и имеет богатый опыт.
Они не осведомлены о динамике и политике внутри целевой организации. останется объективным и нейтральным
недостаток
высокая стоимость
Вам по-прежнему необходимо управлять возросшими ресурсами, чтобы организовывать их, своевременно контролировать их работу и подписывать соглашения о неразглашении.
Непонимание внутренней работы организации.
Согласие
Исторически сложилось так, что многие организации часто используют Положение о стандартах аудита (SAS) 70. Заявление о стандартах аудита для обеспечения удобства при аутсорсинговой деятельности, однако SAS 70 фокусируется на внутреннем контроле над финансовой отчетностью (ICOFR), а не на доступности и безопасности системы.
Отчет SAS70 был упразднен в 2011 году и заменен отчетом SOC (контроль сервисной организации).
Заявление о стандартах аудита (SAS)70
В частности, по риску, связанному с внутренним контролем финансовой отчетности (ICOFR). Внутренний контроль финансовой отчетности
В прошлом большинство организаций, использующих аутсорсинговые услуги, требовали отчетности SAS70, но только с финансовой точки зрения многие пользователи начали сосредотачиваться на безопасности, доступности, а затем и на конфиденциальности;
Отчет SOC
отчет SOC1
SOC1: В отчете поставщик услуг должен описать свою систему и определить цели контроля и средства контроля, относящиеся к внутреннему контролю над финансовой отчетностью.
Отчеты SOC1 обычно не охватывают услуги и средства контроля, которые не имеют отношения к отчетности пользователей ICOFR.
Отчетность SOC1 начала использоваться многими поставщиками услуг для основных услуг по обработке финансовых данных в 2011 году.
Отчетность SOC2/SOC3
Отчеты, охватывающие проектную и эксплуатационную эффективность с течением времени
Принципы и рекомендации конкретно определяют безопасность, доступность, конфиденциальность, целостность обработки и конфиденциальность.
Обеспечение помимо внутреннего контроля над финансовой отчетностью (ICOFR)
В зависимости от потребностей поставщиков услуг и их пользователей можно использовать модульный подход для упрощения создания отчетов SOC2/SOC3, охватывающих один или несколько принципов.
Если поставщик ИТ-услуг не оказывает влияния или оказывает кратковременное влияние на финансовую систему пользователя, используйте отчеты SOC2.
Отчеты SOC3 обычно используются для информирования широкого круга пользователей об их уровнях надежности без раскрытия подробных результатов контрольных испытаний.
Аудит, управленческий контроль
Управление аккаунтом
Добавить аккаунт
1. Новые сотрудники должны прочитать и подписать Политику допустимого использования (AUP).
2. Подтвердить соблюдение сотрудниками требований AUP через аудиторские отчеты.
3. Получите список новых сотрудников отдела кадров и сравните его со счетами сотрудников, открытыми в системе отделом ИТ, чтобы обеспечить эффективность связи между двумя отделами.
4. Политика также должна уточнять срок действия учетной записи, политику паролей и объем информации, к которой пользователи могут получить доступ.
Изменить аккаунт
Проблемы с использованием привилегированных учетных записей:
1. Обычно каждая учетная запись пользователя компьютера имеет права локального администратора, а персонал по управлению и обслуживанию сервера имеет административные права, что сопряжено с риском.
2. Добавление, удаление и изменение учетных записей должны строго контролироваться и документироваться.
3. Реализовать иерархическое управление правами администратора.
4. Используйте привилегированные учетные записи только при необходимости. Учетные записи используются для ежедневного обслуживания.
Заблокировать аккаунт
1. Приостановить использование аккаунта
2. Получить список краткосрочных и долгосрочных выбывших из отдела кадров, сравнить его с учетными записями ИТ-системы, удалить учетные записи долгосрочных выбывших и приостановить использование учетных записей краткосрочных выбывших.
Резервная проверка
тип данных
пользовательские файлы
Бывают ситуации, когда несколько версий и файлы расположения резервных копий несовместимы, а также ситуации, когда применяются принципы хранения данных.
база данных
Обеспечьте возможность восстановления резервных копий базы данных в рабочем режиме при необходимости.
Данные электронной почты
Учитывая ограниченное пространство сервера, резервное копирование электронной почты среднего и большого размера, сервер электронной почты следует сочетать с электронными методами сбора доказательств.
Метод аутентификации
Тестовая ситуация с резервным копированием данных
Анализ различных сценариев угроз, с которыми может столкнуться организация.
Разработайте план тестирования всех резервных копий критически важных данных в каждом сценарии.
Используйте автоматизацию, чтобы минимизировать рабочую нагрузку аудитора и обеспечить регулярное проведение тестирования.
Минимизируйте влияние планов тестирования резервного копирования данных на бизнес-процессы, но не обязательно в рамках одного и того же теста.
Записывайте результаты, чтобы знать, что сработало, а над чем нужно доработать.
Исправьте или улучшите любые проблемы, которые вы задокументировали.
Аварийное восстановление и непрерывность бизнеса
Тестирование и пересмотр планов обеспечения непрерывности бизнеса
Тип теста
Тест по контрольному спискуТест по контрольному списку
Распространите копии BCP среди каждого ключевого менеджера бизнес-подразделения.
Попросите их провести аудит той части программы, которая подходит для их отдела.
Структурированный проходной тест Структурированное пошаговое тестирование
Как инструмент для планирования первоначального ознакомительного тестирования, но не лучший способ тестирования.
Цель
Убедитесь, что ключевой персонал из всех областей знаком с BCP.
Обеспечить способность организации планового реагирования восстанавливаться после стихийных бедствий.
Функции
Контакт в конференц-зале, низкая стоимость
Имитационный тест Имитационный тест
Содержит больше контента, чем настольное прохождение.
Участники выбирают конкретные временные сценарии, которые будут применяться в BCP.
Параллельное тестированиеПараллельное тестирование
Включая перемещение реального персонала на другие объекты с целью установления связи и реализации реальных процедур восстановления в соответствии с правилами DRP.
Основная цель — определить, можно ли восстановить критически важные системы на альтернативной площадке обработки, если персонал применит процедуры, указанные в DRP.
Тест с полным прерыванием Тест с полным прерыванием
Самый рискованный тест
Максимально имитируйте реальную сцену.
Не может повлиять на бизнес
Обучение безопасности и обучение по вопросам безопасности
Разница между обучением технике безопасности и повышением осведомленности о безопасности
Обучение технике безопасности — это процесс обучения навыку или набору навыков, позволяющий людям лучше выполнять определенные функции.
Обучение по вопросам безопасности — это процесс ознакомления людей с проблемами безопасности, чтобы они могли распознавать их и лучше реагировать на них.
социальная инженерия
В контексте информационной безопасности — это процесс манипулирования людьми для выполнения действий, нарушающих протоколы безопасности.
Онлайн-безопасность онлайн завершена
Фишинг – это социальная инженерия посредством цифровых коммуникаций.
Загрузка драйвера — это автоматическая атака, которая запускается просто при посещении вредоносного веб-сайта.
Защита данных
культура
Ключевые показатели эффективности и рисков
Ключевые показатели эффективности
Ключевые показатели эффективности KPI измеряют, насколько эффективно организация выполняет данную задачу в данный момент времени.
Ключевой индикатор риска КРИ
Измерьте риск, присущий выполнению заданного набора действий.
Отчет
Технические отчеты
Технический отчет должен представлять собой нечто большее, чем результат автоматического сканирования или общей инвентаризации.
Технические отчеты
угрожать
уязвимость
Вероятность использования уязвимости
уровень влияния
Предложения по улучшению
управляющее резюме
Отчеты высшему руководству должны быть краткими и легкими для понимания, с акцентом на ключевые выводы и рекомендации.
Риск лучше всего описать количественно, и один из способов количественной оценки риска — выразить его в денежном выражении.
Анализ со стороны руководства
Анализ со стороны руководства Официальное собрание, на котором старшие руководители организации определяют, эффективно ли система управления достигает своих целей.
До рассмотрения руководством
Проверки со стороны руководства должны проводиться периодически, иначе риск проверок изменится с активного на пассивный.
Частота совещаний также должна быть синхронизирована с продолжительностью времени, необходимого для реализации решений предыдущего обзора.
просмотреть входные данные
Ключевыми входными данными являются результаты соответствующих аудитов, как внешних, так и внутренних.
Помимо предоставления аудиторского отчета для ознакомления, также необходимо подготовить краткое изложение, в котором описываются основные выводы, влияние на организацию и рекомендуемые изменения (если таковые имеются). Не забудьте написать эти резюме на языке AM.
Еще одним входом является список проблем, обнаруженных во время последней проверки, и их исправлений.
Отзывы клиентов
Окончательный результат — это предложение по улучшению, основанное на всех других входных данных.
действия руководства
Старшие руководители рассматривают все предложения, часто задавая целевые вопросы, а затем решают одобрить, отклонить или отложить рекомендации.
Высшее руководство решит, принять ли его рекомендации полностью, принять их с небольшими изменениями, отклонить их или попросить команду СМИБ повторно собрать дополнительные подтверждающие данные или перепроектировать предлагаемые варианты.
5. Управление идентификацией и доступом
Концепция и функции
концепция
Цель: защита от несанкционированного доступа.
Использование системных ресурсов незаконными пользователями
Незаконное использование системных ресурсов законными пользователями
Концепция: Контроль доступа — это метод безопасности, который контролирует, как пользователи и системы общаются и взаимодействуют с другими системами и ресурсами.
эффект
Защита конфиденциальности, целостности и доступности
КонфиденциальностьКонфиденциальность
Предотвратить утечку конфиденциальной информации
ЦелостностьЦелостность
незаконное вмешательство
Несанкционированная модификация
Внутренняя и внешняя информационная согласованность
НадежностьДоступность
Надежный и своевременный доступ к ресурсам
Этапы контроля доступа
Идентификация: Субъект, предоставляющий идентификационную информацию
Продвигайте личность пользователя
элементы
Уникальность: уникальность в среде контроля для упрощения аудита.
Неописательный: идентификация не должна раскрывать личность или положение пользователя.
Функции
Первый шаг в контроле доступа
уникальный идентификатор
Предварительные условия для отслеживания
Аутентификация Проверьте идентификационную информацию
Проверка идентификационной информации пользователя
что ты знаешь? Могу вспомнить
Пароль/Парольпароль
статический, фиксированная длина
парольная фраза
Фиктивный пароль, обычно длиннее пароля
когнитивный код когнитивный пароль
Информация, основанная на личных результатах или суждениях
Пример
Дата погашения кредитной карты и другая информация
Высшее образование или фамилия матери
Сколько может быть комбинаций когнитивной информации?
Чем владеть?
карта памяти
Сохраняет информацию, но не может ее обработать
интеллектуальная карточка
Содержит микропроцессоры и интегральные схемы с возможностями обработки информации.
Классификация
Контакт
Имеет золотую печать на поверхности
Требуется питание и ввод-вывод данных
Бесконтактный
Вокруг антенны
Питание обеспечивается электромагнитным полем, попадающим в картридер.
атака на смарт-карту
Атака по побочному каналу: неинтрузивная атака, используемая для получения конфиденциальной информации о том, как работает компонент, без использования каких-либо недостатков или уязвимостей.
Смарт-карты более устойчивы к взлому
Одноразовый пароль OTP Одноразовый пароль
Также называемый динамическим паролем (Динамический пароль) используется для аутентификации и может использоваться только один раз.
Предотвращение атак повторного воспроизведения
Реализация: токен
синхронный режим
Синхронизация счетчика: пользователь нажимает кнопку токен-устройства, чтобы инициировать создание одноразового пароля.
Синхронизация времени: токен и сервер должны иметь одинаковые часы
асинхронный режим
механизм вызова/ответа
Преимущества и недостатки
Если идентификатор пользователя и токен-устройство будут переданы или украдены, их можно будет использовать мошенническим образом.
Преимущество в том, что вам не нужно запоминать пароль.
Пример: Токен-устройство
СМС-код подтверждения
что это такое, Что вы наделали?
Физиологические характеристики
сканирование лица
Сканируйте атрибуты и особенности лица, включая кости, лоб и другую информацию.
Алгоритм: Алгоритм анализа региональных особенностей
Функции
Низкая точность, высокая скорость.
Уровень признания, процент отказов высок
форма руки
Особенности сбора формы человеческой руки, пальцев и всей информации о форме руки
Включает в себя: длину, ширину и форму ладони и пальцев.
ручная топология
Изучите различные волнистые формы по всей форме руки и ее изогнутым частям.
Недостатки: топологию руки необходимо сочетать с формой руки.
Сканирование ладони
На ладони имеются бороздки, гребни и складки, единственная характерная черта.
В комплекте: отпечатки пальцев на каждом пальце.
Отпечатки пальцев
Отпечатки пальцев состоят из изгибов, развилок и очень мелких деталей.
распознавание голоса
Различия между голосовыми режимами
Во время регистрации вы должны произносить разные слова, а также смешивать слова и просить повторить их во время теста.
сканирование сетчатки
Сканирование узоров кровеносных сосудов на сетчатке в задней части глаза.
сканирование радужной оболочки глаза
Радужная оболочка — цветная часть глаза, окружающая зрачок.
Ирисы имеют уникальные узоры, раздвоения, цвета, изменения, ореолы и морщины.
Особенности: Распознавание радужной оболочки является наиболее точным.
Поведенческие чертыПоведенческие черты
сигнатурный анализ
Скорость и манера подписания, то, как подписывающий держит ручку.
Физическое движение, вызванное подписью, производит электрический сигнал, который можно считать биометрическим.
нажатия клавиш
Динамические нажатия клавиш улавливают электрические сигналы, возникающие при вводе определенных фраз.
Запечатлейте скорость и движение действия
Сильная проверка Строгая аутентификация
Два фактора: два из трех типов
Три фактора: включены все три типа
Преимущества и недостатки трех методов идентификации
Что нужно знать: экономично, но его легко использовать обманным путем.
Что иметь: иметь доступ к объектам или чувствительным зонам, где предметы могут легко потеряться.
Что это такое и что оно делает: исходя из физических характеристик и биометрических данных, другим пользователям нелегко использовать его.
Ошибка типа 1 FRR: уровень ложных отказов, отказ от авторизованных лиц (ложные срабатывания)
Ошибка типа 2 FAR: принятие самозванца, который должен был быть отклонен (ложноотрицательный результат).
Коэффициент перекрестных ошибок (EER/CER): эквивалент уровня ложного отклонения и уровня ложного принятия.
Авторизация Определить действие, совершаемое субъектом над объектом.
Определить действие, совершаемое субъектом над объектом.
Рекомендации по доступу
основанный на ролях
групповой
На основе физического и логического местоположения
На основе периода времени или временного интервала
В зависимости от типа транзакции
Доступ запрещен по умолчанию
Знайте, что им нужно
принцип наименьших привилегий
Аудит или аудит подотчетности Ведение журнала аудита и мониторинг для отслеживания активности пользователей
Прослеживаемость/ответственность (подотчетность)
аудит
аудит безопасности
Область аудита: события на уровне системы, приложения и события, события на уровне пользователя.
Содержание аудита: время, место, задачи, что произошло
Срок хранения и размер журнала
Защита журнала аудита (целостность журнала)
Сервер журналов
средства массовой информации с однократной записью
Использование журналов
Ручная проверка
автоматическая проверка
Управление журналами
Мониторинг нажатия клавиш
Цель: Провести аудит человека и его деятельности.
Приложение контроля доступа
Управление идентификацией Управление идентификацией
Оглавление
Соблюдает формат иерархической структуры данных, основанный на стандартах и протоколах X.500 (таких как LDAP) (LDAP: облегченный протокол доступа к каталогам).
Службы каталогов (DS)
Позволяет администраторам настраивать и управлять удостоверениями, аутентификацией, авторизацией и контролем доступа, которые появляются в сети.
метакаталог
Подключайтесь только к одному каталогу за раз
Метакаталог содержит идентификационные данные
виртуальный список
Подключайтесь к нескольким источникам данных
Указывает на то, где находятся фактические данные.
хранилище идентификационных данных
Огромные объемы информации, хранящейся в каталогах управления идентификацией, разбросаны по всему предприятию.
управление веб-доступом
Программное обеспечение внешнего управления, обеспечивающее единый вход и другие функции.
HTTP не имеет состояния
Файлы cookie и сеансы для поддержания состояния приложения.
Управление паролями управление паролями
Синхронизация паролей
Использование только одного пароля может усилить его надежность.
Слабость: единая точка отказа: если пароль получен, можно получить доступ ко всем ресурсам.
Сброс пароля самостоятельного обслуживания
Отправьте сброс соединения, ответив на регистрационный вопрос
Помощь в сбросе пароля
Сбросить пароль после аутентификации в службе поддержки
войти система единого входа
Централизованное хранилище личных данных
Проверка доступа к нескольким ресурсам одновременно
Слабость: единая точка отказа: если пароль получен, можно получить доступ ко всем ресурсам.
Экземпляр единого входа
Керберос
Протокол аутентификации личности
На основе симметричной криптографии
Пример единого входа в распределенной среде
Обеспечьте сквозную безопасность
Обеспечивается целостность и конфиденциальность, доступность не гарантируется.
Основные компоненты
Центр выдачи ключей KDC
Служба аутентификации личностиAuthentication Service;AS
Служба выдачи билетов, TGS
Секретный ключ: общий между KDC и принципалом (ключ хранится в KDC).
Ключ сеанса: секрет, общий для двух участников, уничтожаемый в конце сеанса.
слабость:
KDC — это единая точка отказа
Секретный ключ временно хранится на рабочей станции пользователя.
Сеансовый ключ находится на рабочей станции пользователя.
СЕЗАМ
Использование симметричной и асимметричной криптографии
Основные компоненты
Сервер привилегированных атрибутов PAS Привилегированный сервер атрибутов
Целочисленный PAC привилегированного атрибута с подписью данных
PAC включает в себя: личность субъекта, возможность доступа к объекту, период времени доступа и жизненный цикл ПК.
Играйте ту же роль, что и KDC.
Сервер аутентификацииAS Сервер аутентификации
КриптоРыцарь
на основе билетов
двухэтапная аутентификация
Синхронизация часов не требуется, используйте Nonce (одноразовое случайное число)
SAML
Единый вход через Интернет
Является стандартом федеративного управления идентификацией.
Домены безопасности: установите доверительные отношения между доменами, которые используют одну и ту же политику безопасности и управление.
IDP (поставщик удостоверений)
Утверждение безопасности SA
Управление аккаунтом
Централизованное управление учетными записями, синхронизированный каталог удостоверений
Упрощенный процесс создания утверждения управления идентификацией
федеративная идентичность
Обмен информацией о пользователе между несколькими устройствами
Идентификация как ServiceIDaas /SaaSIAM
Облачный брокер идентификации и сервис управления доступом Cloud-IAM
Управление идентификацией, контроль доступа, интеллектуальный анализ
Может реализовать единый вход, федеративную идентификацию, детальный контроль, интеграцию сервисов и т. д.
язык разметки контроля доступа
ГМЛ
СГМЛ
HTML: язык разметки гипертекста
Стандартная обобщенная разметка
XML
СПМЛ
Язык разметки конфигурации службы (обеспечение)
SAML (реализация записи единого входа через Интернет) (утверждение безопасности)
Стандарт на основе XML для обмена данными аутентификации и авторизации между различными доменами безопасности.
IDP (поставщик удостоверений)
Если возникнет проблема с IDP, это повлияет на всех пользователей.
ХАКМЛ
Используйте веб-сервисы и другие приложения для реализации управления и контроля активов с использованием политик безопасности и разрешений доступа.
OpenID
OpenID — это открытый стандарт аутентификации пользователей третьими лицами.
Пользователям не нужно запоминать традиционные токены аутентификации, такие как имена пользователей и пароли. Вместо этого им нужно только предварительно зарегистрироваться на веб-сайте поставщика удостоверений OpenID (IDP).
OAuth
Открытый стандарт (Открытая авторизация)
OAuth2.0 использует доступ по токену
модель контроля доступа (Авторизация)
Дискреционная модель контроля доступа ЦАП
На основе авторизации пользователя
Положитесь на усмотрение владельца объекта
тип
На основе идентификации ресурсов пользователя
Ограничения непосредственно для пользователей
Недостатки: небезопасно
сталкиваются с проблемами
троянский конь
социальная инженерия
Модель обязательного контроля доступа MAC
MAC полагается на теги безопасности
Разработать этикетки, чувствительные к потребностям клиентов (объекты имеют классификацию) При этом доступ разрешен только пользователям выше уровня объекта (субъект имеет допуск) (внутренний атрибут)
Изменять уровень объекта могут только администраторы, а не владелец объекта (владелец данных).
Ситуации с повышенным уровнем безопасности: военные/правительственные учреждения
Ролевая модель управления доступом РБАК
Также известен как: Неавтономный контроль доступа Не-DAC (определение в OSG таково: пока это не DAC, это не-DAC)
Используйте централизованный контроль доступа для определения доступа к субъектам и объектам.
На основе ролей пользователей
Функции
Назначение разрешений в зависимости от должностных обязанностей
Может быть связано с организационной структурой
Способен следовать принципу наименьших привилегий
Разделение обязанностей
Пользователи или группы соответствуют ролям и предоставляют ролям определенные разрешения.
категория
Базовый RBAC
Пользователи, роли, разрешения, операции и сеансы должны быть определены и сопоставлены в соответствии с политикой.
Иерархический RBAC
Ролевые отношения определяют членство пользователей и интеграцию разрешений.
Организация реагирования и функциональное описание
тип
ограниченный уровень
Наследование одной роли
Нормальный уровень
Множественное наследование ролей
Ограниченный RBAC
Ввести разделение обязанностей
Статическое разделение обязанностей в RBAC
Пример: Бухгалтерия и кассир
Предотвращение мошенничества
Динамическое разделение обязанностей в RBAC
Динамическое ограничение дополнительных разрешений разделения обязанностей в зависимости от ролей в активном сеансе.
Управление доступом на основе правил Рубак
на основе если x, то y
Используйте определенные правила, чтобы указать, что может и не может происходить между субъектами и объектами.
Управление доступом на основе правил не обязательно основано на идентификации.
Многие маршрутизаторы и межсетевые экраны используют правила, определяющие, какие типы пакетов разрешены в сети, а какие запрещены.
Управление доступом на основе атрибутов АБАК
Новый контроль доступа устраняет недостатки RBAC. Каждому ресурсу и пользователю присваивается ряд атрибутов. На основе сравнительной оценки атрибутов пользователя, таких как время, положение и местоположение, определяется, может ли пользователь получить доступ к определенному ресурсу. RBAC является характеристикой ABAC.
Методы контроля доступа
матрица контроля доступа Матрица контроля доступа
Матрица отношений доступа к субъекту и объекту
Таблица возможностей доступа (строки в матрице)
Указывает, что субъект может получить доступ к объекту
Принимает форму билета, жетона или ключа.
Пример: билеты на кеберос.
Список управления доступом ACL (столбец в матрице)
Указывает, кто может получить к нему доступ
Таблица разрешений
Пример: настройка межсетевых экранов и маршрутизаторов.
Контроль доступа на основе контента зависящий от содержания
Доступ к объекту зависит от содержимого объекта
Пример: правила фильтрации на основе содержимого Брандмауэр с фильтрацией пакетов
Контекстно-зависимый контроль доступа контекстно-зависимый
Решения о доступе на основе контекста
Пример: брандмауэр проверки состояния
Ограничительный пользовательский интерфейс
включать
Меню/Оболочка
Представление базы данных (Создать представление)
Физически ограниченный интерфейс (например, клавиатура банкомата)
Методы управления контролем доступа
Способ
Протокол аутентификации (глава 4)
Протокол аутентификации пароля, PAP (Протокол аутентификации пароля)
Протокол аутентификации с вызовом рукопожатия, CHAP (Протокол аутентификации рукопожатия вызова)
Расширяемый протокол аутентификации, EAP (Расширяемый протокол аутентификации)
Централизованное управление доступом (Централизованное управление доступом)
РАДИУС
Комбинированная аутентификация и авторизация
Используйте UDP
Шифровать только пароли, передаваемые между клиентом RADIUS и сервером RADIUS.
ТАКАКС
Использовать TCP
Поддержка динамического пароля
Используйте архитектуру AAA для разделения аутентификации, авторизации и аудита.
Шифрование всего трафика между клиентом и сервером
Диаметр
основное соглашение
расширенный протокол
Построенный на основе базовых протоколов, он может расширять различные услуги, такие как VoIP и т. д.
Децентрализованное управление контролем доступа
Способ контроля доступа к тому, кто находится рядом с ресурсом, чтобы лучше понимать, кто должен, а кто не должен иметь доступ к определенным файлам, данным и ресурсам.
В сравнении
Централизованный контроль доступа имеет единую точку отказа, а унифицированный доступ эффективен.
Децентрализованный контроль доступа: на основе авторизации пользователя, нет единой точки, отсутствие согласованности
категория
контроль управления
стратегии и меры
контроль персонала
нормативная структура
Обучение по вопросам безопасности
тест
физический контроль
сегментация сети
охрана периметра
компьютерное управление
Региональная изоляция
проводка
зона контроля
технический контроль
доступ к системе
сетевая архитектура
доступ к сети
Шифрование и протоколы
аудит
Подотчетность: возможности аудита гарантируют, что пользователи несут ответственность за свои действия, обеспечивают соблюдение политик безопасности и служат инструментом расследования.
Мониторинг контроля доступа
Система обнаружения вторжений Система обнаружения вторжений структура системы
Классифицируется по степени защиты
На базе системы обнаружения сетевых вторжений NIDS.
Мониторинг сетевого трафика в режиме реального времени, развернутый на порту отладки ответвления или коммутатора или на концентраторе
Базовая система обнаружения вторжений HIDS
Мониторинг журналов аудита хоста в режиме реального времени и развертывание на каждом ключевом хосте (анализ журналов)
недостаток
Очень вредно для операционной системы хоста.
Вмешательство в нормальную обработку системы и чрезмерную нагрузку на процессор и память.
На основе приложения IDS
IDS для мониторинга вредоносного поведения конкретных приложений
Классификация по принципу защиты
IDS на основе функций
Сопоставление подписей, аналогично антивирусному программному обеспечению.
IDS на основе сигнатур
Функции должны постоянно обновляться
Обнаруживаются только ранее идентифицированные сигнатуры атак, новые атаки обнаружить невозможно.
Категория: сопоставление функций, сопоставление статуса
На основе аномалии IDS
Системы, основанные на поведении, которые требуют изучения «рутинных» действий в окружающей среде.
Может обнаруживать новые атаки
недостаток
Возможно ложное обнаружение событий, не являющихся атаками, вызванных мгновенными аномалиями в системе.
Также называется основанным на поведении или эвристическим.
Классификация
статистическая аномалия
Исключение протокола
Аномалии дорожного движения
IDS на основе правил
Использование процедур ЕСЛИ/ТО на основе правил в экспертных системах
Разрешить искусственный интеллект
Чем сложнее правила, тем выше требования к производительности программного и аппаратного обеспечения.
Невозможно обнаружить новые атаки
Реакция на вторжение
Если IDS обнаруживает вторжение
Ограничить или организовать системный трафик
Также интегрируется с другими устройствами для ответа
Например, правила внедряются в маршрутизаторы, VPN-шлюзы, устройства коммутации Vlan и т. д.
Ранние версии IDS были интегрированы с межсетевыми экранами, что позволяло межсетевому экрану формулировать правила для трафика в режиме реального времени.
Нормальная деятельность может быть затронута в процессе активации правил.
Уровень ложных тревог должен строго контролироваться.
Оповещения и оповещения
Основные компоненты IDS
1. Датчик
Механизм обнаружения развертывания
Определить события
Генерируйте соответствующие уведомления
Сообщить администратору
активировать правило
2. Управление и связь Управление и связь
Обработка информации о тревогах
Отправить электронное письмо или текстовое сообщение
3. Извещатель тревоги
Определите, кто может получать сообщения
Обеспечить механизм своевременного предоставления информации
Управление IDS
Наймите технически знающего человека для выбора, внедрения, настройки, запуска и обслуживания IDS.
Регулярно обновляйте систему новыми характеристиками атак и оценивайте ожидаемые поведенческие характеристики.
Выявление уязвимостей IDS и их эффективная защита
Злоумышленники могут начать атаки с целью отключения систем IPS/IDS.
Различайте разницу между IDS и IPS
IPS последовательный, линейный
Внеполосный обход IDS
Система предотвращения вторжений IPS Система предотвращения вторжений
Пассивное обнаружение IDS
IPS активная защита
банка меда
Приманка-приманка
законно
Ловушка-ловушка — это не приманка
Незаконно и не может быть использовано в качестве доказательства.
Угрозы, с которыми столкнулись
Методы атаки на пароль
электронное наблюдение
Мониторинг трафика, сбор информации о паролях и проведение атак повторного воспроизведения.
доступ к файлу паролей
Доступ к файлу паролей на сервере
Атака методом грубой силы/взлом методом грубой силы
Перебирайте пароли, используя все возможные символы, данные и комбинации.
атака по словарю
Создайте файл словаря для сравнения с паролем пользователя.
социальная инженерия
Сбросьте пароль, позвонив или подделав пароль.
Радужный стол
Включает все хешированные пароли
кейлоггинг
Советы по безопасности паролей
Проверка пароля
Инструменты для проверки надежности пароля
Хеширование и шифрование паролей
Жизненный цикл пароля
Укажите период смены пароля
Помните количество исторических паролей
Ограничить количество входов в систему
Смарт-карты под атакой
атака по побочному каналу
Анализ дифференциальной мощностиАнализ дифференциальной мощности
Просмотр частоты передачи
электромагнитный анализэлектромагнитный анализ
Просмотр частоты передачи
Временной анализ
Рассчитайте время, необходимое для конкретной функции
программная атака
Введите информацию на смарт-карте, чтобы получить инструкции для пользователя.
Генерация ошибок Генерация ошибок
Вызывать ошибки через некоторые компоненты среды
Включает: колебания температуры. Изменение входного напряжения, тактовой частоты
прямая атака
микрозондирование
С помощью иглы и ультразвуковой вибрации удалите внешний защитный материал с пути прохождения смарт-карты. Непосредственное подключение к чипу ПЗУ смарт-карты для доступа к данным и управления ими.
утечка информации
Глава 1: Социальная инженерия
Глава 3: Тайный проход
Глава 8: Вредоносный код
повторное использование объекта
Ячейки памяти, переменные и регистры не очищаются перед выделением объекта.
Файлы и таблицы данных не очищаются перед выделением объекта.
радиационная безопасность
Металлическая оболочка клетки Фарадея гарантирует, что электронные устройства излучают сигналы в определенном диапазоне.
Белый шум: случайные электронные сигналы с однородным спектром, которые не могут получить информацию от электромагнитных волн.
зона контроля
На поверхности устройства используются специальные материалы для экранирования электронных сигналов.
Необходимо создать периметр безопасности
Проблемы с процессом авторизации
Разрешение на распространение крипа
Получение все большего и большего авторитета в связи с переводом на работу или в отдел.
фишинг
Социальная инженерия как средство атаки
Создавайте веб-сайты, аналогичные сайту-эмитенту.
Фарминг переадресации URL-адресов
DNS-отравление
Перенаправление на незаконный IP-адрес или URL-адрес
кража личных данных
4. Коммуникации и сетевая безопасность
Основные понятия сети
протокол
Стандартный набор правил, определяющих взаимодействие систем в сети.
Связь между одноранговыми уровнями должна соответствовать определенным правилам, таким как содержание связи и метод связи. Это правило называется протоколом.
слоистый
Разделите задачи межсетевого взаимодействия, протоколы и услуги на разные уровни.
Каждый уровень имеет свои собственные обязанности; каждый уровень имеет определенные функции и реализуется службами и протоколами, работающими на этом уровне.
Каждый уровень имеет специальный интерфейс, позволяющий взаимодействовать с тремя другими слоями.
Взаимодействие с интерфейсом верхнего уровня
Общайтесь со следующим интерфейсом
Взаимодействует с тем же уровнем в интерфейсе адреса пакета назначения.
инкапсуляция
Декапсуляция
Эталонная модель открытого Интернета OSI
Прикладной уровень, уровень 7
Место, ближайшее к пользователям
Обеспечивает передачу файлов, обмен сообщениями, терминальные сеансы и сетевые запросы для выполнения приложений.
В том числе: SMTP, HTTP, LPD, FTP, TELNET, TFTP, SFTP, RIP (UDP внизу), BGP (TCP внизу), SIP (протокол инициации сеанса).
Уровень представления, уровень 6
Преобразование информации в формат, понятный компьютерам, соответствующим модели OSI.
Уровень представления заботится о формате и синтаксисе данных и обеспечивает шифрование и сжатие данных.
Типичные форматы: ASCII, ASN, JPEG, MPEG и т. д.
Сеансовый уровень, уровень 5
Отвечает за установление соединений между двумя приложениями.
Управляйте процессами сеансов между хостами управления и отвечайте за установление, управление и завершение сеансов между процессами.
Типичные протоколы включают: NETBIOS, PPTP (базовый TCP-порт), RPC и т. д.
Транспортный уровень, уровень 4
Транспортный уровень обеспечивает услуги сквозной передачи данных и устанавливает соединение между двумя взаимодействующими компьютерами.
Сеансовый уровень устанавливает соединения приложений, а транспортный уровень устанавливает соединения между компьютерными системами.
Типичные протоколы включают: TCP, UDP, SPX и т. д.
Единицей данных является сегмент (сегмент TCP, дейтаграмма UDP).
Сетевой уровень, уровень 3
Отвечает за маршрутизацию пакетов данных между подсетями. Реализуйте контроль перегрузок, Интернет и другие функции.
Единицей данных является пакет данных (пакет/пакет).
Типичные протоколы включают: ipx, ip, icmp, igmp, IPsec и т. д.
Уровень канала передачи данных, уровень 2
Уровень канала передачи данных обеспечивает надежную передачу по ненадежным физическим средам.
Функции включают в себя: адресацию по физическому адресу, кадрирование данных, управление потоком, обнаружение ошибок данных, повторную передачу и т. д.
Типичные протоколы: SDLC, PPP, STP, Frame Relay, ARP/RAPP и т. д.
Единицей данных является кадр
Физический уровень, уровень 1
Определяет механические, электрические, функциональные и технологические характеристики для активации, обслуживания и закрытия конечных точек связи.
Единица данных – бит (бит)
Типичные представители спецификации: EIA/TIA RS-232, RJ-45.
Модель TCP/IP
TCP: надежный протокол, ориентированный на соединение.
UDP: протокол, не ориентированный на соединение
IPv4 и IPv6 — это 32-битные и 128-битные адреса соответственно.
Сокет: Из информации заголовка указаны адрес источника и адрес назначения, порт источника и адрес назначения, порт источника и порт назначения (номера портов общих протоколов :) FTP:20/21 СШ:22 Телнет: 23 SMTP:25 HTTP:80
Тип трансмиссии
Аналоговый против цифрового
Аналоговые сигналы, то есть амплитуда, частота и фаза сигнала постоянно изменяются, а скорость передачи низкая.
Цифровой сигнал: то есть сигнал представляет собой прерывистый импульс, который нелегко искажать и имеет высокую скорость передачи.
Асинхронный и синхронный
Синхронизация зависит от часов
Флаг асинхронной зависимости
Широкополосный и базовый диапазон
Цифровые или аналоговые сигналы добавляются непосредственно в кабель для передачи. Информация не модулируется, и используется весь канал кабеля Ethernet.
В кабель загружается несколько разных сигналов путем модуляции их на разные «несущие» частоты. То есть полоса пропускания всего кабеля делится на разные каналы. Например, если он поддерживает передачу голоса, изображения и данных одновременно. кабельное телевидение — это широкополосная сеть.
LAN-технология
Топология сети
кольцевая сеть
автобусная сеть
звездная сеть
топология сетки
Среда передачи
Тип реализации локальной сети
Ethernet
Определено стандартом IEEE802.3.
Физически звезда, логически шина
Использование широковещательных доменов и доменов коллизий
Доступ через CSMA/CD-носитель
Ethernet/IEEE802.3 (10 Мбит/с по коаксиальному кабелю), FastEthernet по витой паре (100 Ббит/с), GigabitEthernet (1Gps по оптоволоконному кабелю или витой паре)
Токен-ринг
Стандарт IEEE802.5
Логическое кольцо, обычно физическое соединение звездой
Каждый узел должен регенерировать сигнал
Предсказуемая пропускная способность нагрузки: 4 Мбит/с или 16 Мбит/с.
ФДДИ
В сети передачи токенов используются два противоположных кольца: главное кольцо расположено по часовой стрелке, а вторичное кольцо — против часовой стрелки. Он использует активный мониторинг и новые токены.
Скорость до 100 Мбит/с
Обычно используется в магистралях LAN/WAN.
CDDI (медный распределенный интерфейс данных) работает через UTP.
технология доступа к медиа
передача токена
Внедрение технологий Token Ring и FDDI
Компьютеры, владеющие токеном, имеют право обмениваться данными
ЦСМА
CSMA/CD
Множественный доступ с контролем несущей и обнаружением коллизий
Используется в Ethernet
CSMA/CA
Множественный доступ с контролем несущей и предотвращением коллизий
Используется в беспроводных сетях, таких как 802.11.
широковещательный домен
Вещание – это метод распространения информации, означающий, что определенное устройство в сети одновременно
конфликтная область
проводка
концепция
Скорость передачи данных после сжатия и кодирования.
Фактический объем данных, проходящих через кабель
Пропускную способность можно рассматривать как трубу
Пропускная способность данных — это фактический объем данных, проходящих через канал.
коаксиальный кабель
Коаксиальный кабель имеет медную жилу, окруженную экранирующим и заземляющим проводами.
Коаксиальный кабель более устойчив к электромагнитным помехам.
Пользователи кабеля сопротивлением 50 Ом передают цифровые сигналы
Пользователи кабеля сопротивлением 70 Ом передают высокоскоростные цифровые и аналоговые сигналы.
Коаксиальный кабель может использовать метод основной полосы частот или метод полосы пропускания.
витая пара
Экранированная витая пара STP и витая пара с двойным экранированием UTP
Витая пара имеет медные провода, намотанные друг на друга, чтобы избежать радиочастотных помех (перекрестных помех).
В витых парах наблюдается затухание сигнала.
UTP — самый небезопасный сетевой соединительный кабель
Оптоволокно (самая высокая безопасность) (Сравните FC SAN и IP SAN) (Обнаружение затухания света — один из способов определить, подслушивается ли он)
Многомодовое волокно: короткие и средние расстояния
Одномодовое волокно: большие расстояния
проблема с проводкой
шум
ослабление
перекрестные помехи
Огнестойкость кабеля
Метод передачи
Одноадресная рассылка
транслировать
многоадресная рассылка
Anycast
протокол локальной сети
Протокол разрешения адресов, ARP
Завершите разрешение IP и MAC-адресов
Отравление таблицы ARP
Протокол динамической конфигурации хоста, DHCP
РАРП
ВООТП
DHCP
Протокол управляющих сообщений Интернета, ICMP
Протокол маршрутизации (Протоколы маршрутизации можно разделить на динамические и статические. Протоколы динамической маршрутизации способны обнаруживать маршруты и создавать собственную таблицу маршрутизации, тогда как статические таблицы маршрутизации требуют, чтобы администраторы вручную настраивали таблицу маршрутизации маршрутизатора.)
Отдельные сети становятся автономными системами AS
вектор расстояния
РВАТЬ
МКРЗ
Статус канала (создает базу данных топологии сети)
ОСПФ
Протокол внешней маршрутизации, используемый маршрутизаторами для подключения различных AS, часто называемый протоколом шлюза экстрасети BGP.
Сетевое и охранное оборудование
Оборудование для подключения к сети
Репитер
Работа на физическом уровне
Функция принимает и усиливает сигналы и отправляет сигналы на все порты
Несколько подключений устройств в одном сегменте сети увеличивают конфликты и конкуренцию.
Мосты и переключатели
Оборудование канального уровня
Коммутатор сочетает в себе технологию концентратора и моста.
ВЛАН (логическая сегментация сети)
Уменьшить конфликт
Улучшенная сетевая безопасность
Коммутатор получает информацию о физическом адресе данных. Если порт назначения найден, он отправляется непосредственно на порт назначения. Если порт не может быть определен, он отправляется на все порты.
маршрутизатор
Оборудование сетевого уровня
Маршрутизаторы делят сеть на разные домены коллизий и широковещательные домены.
шлюз
Оборудование прикладного уровня
Подключайте разные типы сетей и выполняйте переводы протоколов и форматов.
АТС
Цифровое коммутационное оборудование, управляющее аналоговыми сигналами и сигналами данных.
Проблемы управления внутренней безопасностью УАТС, такие как прослушивание, плата за телефон и т. д.
CDN
сеть доставки контента
Стратегически развернутая общая система, включающая четыре элемента: распределенное хранилище, балансировку нагрузки, перенаправление сетевых запросов и управление контентом.
SDN
программно определяемая сеть
Права на управление сетевым оборудованием разделены и управляются централизованным контроллером, не полагаясь на базовое сетевое оборудование (маршрутизаторы, коммутаторы, межсетевые экраны), скрывая различия с базовым сетевым оборудованием.
Протокол трансляции адресов, NAT (NAT не только решает проблему нехватки IP-адресов, но и эффективно предотвращает атаки извне сети, скрывает и защищает компьютеры внутри сети, реализован на маршрутизаторах и межсетевых экранах)
статическое картографирование
динамическое картографирование
Сопоставление портов
спасательное оборудование
брандмауэр
Классификация
Брандмауэр с фильтрацией пакетов (первое поколение)
Работает на сетевом уровне
Трудно предотвратить атаки на протоколы верхнего уровня.
Брандмауэр прокси-сервера приложений (второе поколение)
Работа на уровне приложения
Отслеживает протокол приложения и пересылает его от своего имени. Прямого маршрута между взаимодействующими сторонами нет.
межсетевой экран второго поколения
Межсетевой экран шлюза уровня цепи
Работает на сеансовом уровне
Гибрид прокси-серверов приложений для фильтрации пакетов.
Брандмауэр с отслеживанием состояния (Третье поколение)
Работает на сетевом, транспортном и прикладном уровнях.
Ведите таблицу статусов для отслеживания каждого канала связи.
Для отслеживания пакетов UDP или TCP
межсетевой экран третьего поколения
Межсетевой экран с динамической фильтрацией пакетов (Четвертое поколение)
ACL является динамическим и уничтожается после завершения соединения.
межсетевой экран четвертого поколения
Брандмауэр прокси-сервера ядра (Пятое поколение)
межсетевой экран пятого поколения
Оценивая пакеты, брандмауэр создает динамический, настраиваемый стек протоколов TCP/IP.
межсетевой экран нового поколения (НГФВ)
Улучшение ограничений существующих статических политик межсетевого экрана.
Внедрение внешних ресурсов динамических данных (таких как сервер политик или AD)
Разработайте процесс, позволяющий попасть в нужное место в нужное время по правильным правилам.
Посредством оценки рисков определите место, количество, количество и конкретные стратегии развертывания брандмауэра.
Архитектура межсетевого экрана
Двойной домашний брандмауэр
Заблокированный хост
Экранированная подсеть (формирующая демилитаризованную зону с высоким уровнем безопасности)
Унифицированное управление угрозами UTM
Брандмауэр нового поколения NGFW
Управление инцидентами безопасности SIEM (глава 7)
технология удаленного доступа
ААА сервис Проверка подлинности, Авторизация авторизация, Бухгалтерский учет/Аудит
РАДИУС
Служба удаленной аутентификации пользователей с телефонным подключением, система аутентификации удаленных пользователей с коммутируемым доступом, использующая протокол UDP.
Использовать протокол UDP
ТАКАКС
Система контроля доступа контроллера терминального доступа, система контроля доступа контроллера терминального доступа
Использовать протокол UDP
ТАКАКС
Двухфакторная аутентификация по паролю (позволяет использовать динамические пароли)
Использовать протокол TCP
Диаметр
Протокол аутентификации личности Аутентификация
Протокол аутентификации пароля, PAP
Отправьте имя пользователя и пароль в текстовом формате. (небезопасно)
Процесс аутентификации PAP представляет собой очень простой механизм двустороннего установления связи.
Аутентифицированная сторона является инициатором и может совершать неограниченное количество попыток (взлом методом грубой силы).
Проверка PAP выполняется только на этапе установления соединения. После успешного установления соединения проверочное тестирование больше не будет выполняться. В настоящее время он чаще используется в средах коммутируемого доступа PPPOE.
Протокол аутентификации с вызовом рукопожатия, CHAP
Механизм запроса-ответа для аутентификации
CHAP используется для трехстороннего рукопожатия.
Передача хэш-значения для проверки
Это делается во время инициализации установления соединения, и проверку можно повторить в любое время после установления соединения.
CHAP противостоит атакам повторного воспроизведения, постепенно изменяя значения идентификатора и «значения вызова».
CHAP требует, чтобы ключ был в виде открытого текста.
Нужен ли предприятию метод, который может одновременно предотвращать воспроизведение и проверять простой текст? (Выбрать PAP или CHAP EAP?)
(расширяемая среда аутентификации) Расширяемый протокол аутентификации, EAP
EAP-MD5
Слабая аутентификация на основе хэш-значения
Односторонняя аутентификация
Сервер аутентифицирует клиента
EAP-TLS
Используйте цифровые сертификаты для аутентификации
Двусторонняя аутентификация
И серверу, и клиенту требуются цифровые сертификаты.
(Примечание: EAP-TTLS и PEAP требуют только сертификаты на стороне сервера, а не сертификаты клиента)
ПЭАП
Используемый TLS
EAP-TTLS
Расширенные возможности TLS
Метод аутентификации личности
обратный звонок (обратный звонок)
При обратном вызове хост-система разъединяет вызывающего абонента, а затем набирает авторизованный телефонный номер удаленного терминала, чтобы восстановить соединение. Синоним обратного набора. При обратном вызове хост-система разъединяет вызывающего абонента, а затем набирает авторизованный номер телефона удаленного терминала, чтобы восстановить соединение.
Цифровая сеть с интеграцией услуг, ISDN
Интеграция нескольких технологий, включая коммутацию каналов, выделенные линии и коммутацию пакетов, для реализации услуг передачи голоса, комментариев и данных в одной сети.
Интерфейс базовой скорости, интерфейс базовой скорости BRI 2B D, то есть два канала данных 64 Кбит/с и один канал управления 16 Кбит/с.
Интерфейс основной скорости, интерфейс скорости базовой группы PRI 23B D, то есть 23 канала данных 64 Кбит/с и 1 канал управления 64 Кбит/с.
выделенная линия
Безопасность
Дорогой
Цифровая абонентская линия, DSL
Симметричный DSL, SDSL
Данные передаются по восходящей и нисходящей линии с одинаковой скоростью, что подходит для двунаправленной высокоскоростной передачи данных.
Высокоскоростной DSL, HDSL
Для обеспечения скорости Т1 на обычных телефонных линиях необходимы две пары витых пар.
Асимметричный DSL, ADSL
Скорость нисходящей линии связи выше, чем скорость восходящей линии связи, подходит для домашних пользователей.
ИДСЛ
Для пользователей, находящихся дальше от коммутационного центра, симметричная скорость 128 Кбит/с.
Протокол туннелирования «точка-точка», PPTP
Работает на сеансовом уровне 5-го уровня и обслуживает 2-й уровень.
соединение «точка-точка»
Предназначен для соединений клиент/сервер.
Инкапсулируйте кадры PPP для туннельной передачи.
Используйте шифрование MPPE
Л2Ф
Создано Cisco до L2TP
Объединен с PPTP и образовал L2TP.
Обеспечивает безопасную аутентификацию и шифрование.
нет шифрования
L2TP
Смесь L2F и PPTP.
Соединение «точка-точка» между двумя компьютерами
Для повышения безопасности в сочетании с IPSEC
L2TP: определяет только зашифрованный метод передачи управляющих сообщений и не шифрует данные, передаваемые в туннеле.
IPSec
Возможность одновременной обработки нескольких соединений
Обеспечивает безопасную аутентификацию и шифрование.
Работает на сетевом уровне
Два режима: туннельный режим и режим передачи.
Важные протоколы, такие как AH/ESP/ISAKMP/IKE.
AH (заголовок аутентификации)
обеспечить целостность
ESP (инкапсуляция полезной нагрузки безопасности)
Обеспечить конфиденциальность и целостность
SA (ассоциация безопасности)
Односторонняя ассоциация безопасности, сохраненные параметры VPN
IKE (Интернет-обмен ключами)
протокол обмена ключами
ИСАКМП
Безопасное соединение и механизм согласования обмена ключами
SSL/TLS
Обеспечьте безопасность уровня приложений Работает на транспортном уровне
Ранее известный как TLS (TLS1.0 является преемником SSL3.0, также известного как SSL3.1).
Простота внедрения и обслуживания, --IPSEC VPN реализуется на сетевом уровне, что является относительно сложным. TLS VPN реализуется на транспортном уровне, что является простым и гибким. --Условно говоря, эффективность передачи IPSEC VPN выше, а эффективность передачи TLS VPN ниже.
МПЛС
(Многопротокольная коммутация по меткам) MPLS соединяет офисы и оборудование предприятия в разных местах через безопасную, надежную и эффективную виртуальную частную сеть для реализации передачи данных, голоса, видео или других важных сетевых приложений, сохраняя при этом качество обслуживания (QOS). . )гарантировать.
MPLS VPN использует таблицы пересылки и метки пакетов для создания безопасной VPN, а не методы инкапсуляции и шифрования.
VPN используют протоколы туннелирования для обеспечения конфиденциальности и целостности во время передачи данных.
Ван
линия с коммутацией каналов (переключение цепи)
На основе традиционной телефонной сети, которая представляет собой физическое постоянное соединение.
Примером системы телефонной коммутации является повседневное телефонное приложение.
Обычно ISDM использует модем коммутируемого доступа, подходит для приложений с низкой пропускной способностью и резервного копирования, низкой эффективностью использования ресурсов.
Программно-управляемый переключатель
ссылка для обмена пакетами (коммутация пакетов)
Режим сохранения и пересылки
Совместно используется несколькими системами, передается пакетами, маршрутизируется с помощью коммутационного оборудования, повторно собирается в пункте назначения и эффективно используется.
Традиционная коммутация пакетов: Frame Relay, X.25, Интернет
соединение с коммутацией ячеек (переключение ячеек)
Асинхронный режим передачи (ATM)
Операторы передачи голоса и видео
Размер фрагмента данных фиксирован и составляет 53 байта ячеек.
выделенная ссылка
T-перевозчики — это выделенные линии, по которым передаются голосовая информация и данные.
Линия Т1 до 1,544 Мбит/с
Линии Т3 до 45 Мбит/с
Мультиплексирование с временным разделением (TDM)
Т1 и Т3 постепенно заменяются оптоволоконными кабелями.
ХСС/ДГУ
Группа обслуживания каналов/Группа обслуживания данных
Преобразование цифрового сигнала между LAN и WAN
DSU преобразует цифровые сигналы от маршрутизаторов, мостов и т. д. в сигналы, которые можно передавать по цифровым линиям телефонной компании.
CSU подключает сеть напрямую к линиям телефонной компании.
Виртуальный канал WAN (Виртуальная схема)
Frame Relay и X.25 пересылают кадры данных по виртуальным каналам.
Коммутируемые виртуальные каналы работают как выделенные каналы для достижения согласованной доступной полосы пропускания с клиентами, с постоянными соединениями и постоянной передачей пользовательских данных.
Коммутируемые виртуальные каналы требуют действий по набору номера и подключению, установлению канала, передаче данных и прерыванию канала.
ретрансляция кадров
Протокол WAN, работающий на уровне канала передачи данных.
Существует два основных типа устройств, к которым продолжает подключаться User Frame Relay:
терминальное оборудование данных, DTE
Обычно оборудование, принадлежащее клиенту, такое как маршрутизаторы и коммутаторы, которые обеспечивают соединение между собственной сетью компании и сетью Frame Relay.
Терминальное оборудование цепей передачи данных, DCE
Оборудование поставщика услуг — это оборудование телекоммуникационной компании, и именно оно осуществляет фактическую передачу и обмен данными в облаке Frame Relay.
Х.25
Определяет, как устанавливаются и обслуживаются устройства и сети.
Служба коммутируемых мегабитных данных SMDC
Технология высокоскоростной коммутации пакетов.
нет протокола соединения
Синхронное управление каналом передачи данных, SDLC
Сеть, основанная на использовании выделенных арендованных соединений, а также постоянных физических соединений.
Подходит для удаленной связи с крупным хостом, обеспечивая технологию доступа к среде для обучения ротации.
Расширенное управление каналом передачи данных, HDLC
бит-ориентированный протокол канального уровня
Для передачи по синхронизированным линиям
Высокоскоростной последовательный интерфейс, HSSI
Интерфейсы, подключающие мультиплексоры и маршрутизаторы к службам высокоскоростной связи (ATM и Frame Relay).
Работа на физическом уровне
Технология мультисервисного доступа
Телефонная система основана на коммутации каналов, а голосовая связь основана на центральной сети, коммутируемой телефонной сети общего пользования (PSTN).
Система сигнализации №7 контролирует установление соединений, контролирует инструкции и отменяет ответы.
Протокол инициации сеанса SIP, протокол, который устанавливает и тестирует небольшие сеансы вызовов, способный работать через TCP или UDP.
VoIP Голосовая связь не проходит через традиционную телефонную сеть оператора связи (голосовая сеть) для передачи, но преобразует голос в IP-данные Пакеты, технология, основанная на передаче по IP-сети.
Шлюз H.323
Рекомендации ITU-T включают большое количество услуг связи между США.
H323 предназначен для обработки видео, аудио и передачи пакетов.
SIP-шлюз
Проблемы безопасности VoIP и меры противодействия
Соблюдения правовых норм
Гарантия непрерывности бизнеса
IP-телефон
Технология мультиплексирования WAN
Мультиплексирование с временным разделением STDM
Мультиплексирование с частотным разделением каналов FDM
Мультиплексирование с разделением по длине волны, WDM
Плотное мультиплексирование с разделением по длине волны, DWDM
беспроводная технология
WAP
протокол беспроводного приложения
На основе языка бесконечной разметки WML, на основе XML
WAP имеет свои собственные сеансовые и транспортные протоколы, а также протокол безопасности транспортного уровня Wireless Transport Layer Security (WTLS).
Анонимная аутентификация: беспроводное устройство и сервер не аутентифицируют друг друга.
Аутентификация сервера: сервер проверяет подлинность беспроводного устройства.
Двунаправленная аутентификация клиента и сервера: беспроводное устройство и сервер аутентифицируют друг друга.
802.11
802.11а
Скорость до 54 Мбит/с
Частотный диапазон 5 ГГц
802.11б
Скорость до 11 Мбит/с
2,4 ГГц
802.11n
качество обслуживания
801.11г
20-54 Мбит/с
Частотный диапазон 2,4 ГГц
802.11i
Унаследованный расширяемый протокол аутентификации EAP
Унаследованный код целостности сообщения, MIC
Протокол целостности временного ключа, TKIP (WPA)
Каждый кадр данных имеет разное значение IV.
Использует стандарт расширенного шифрования AES (WPA2).
Версия Wi-Fi Alliance, использующая общий ключ, называется [WAP-Personal Edition]. Или【WAP2-Personal version】(WAP-Personal или WPA2-Personal,) Версия, сертифицированная по стандарту 802.1X, называется [WPA-Enterprise] или [WPA2-Enterprise]. (WAP-предприятие или WPA2-предприятие)
802.1X IEEE 802.1X — это стандарт аутентификации, определенный IEEE для доступа пользователей к сети. Протокол 802,1X используется, когда пользователи/устройства получают доступ к сети (может быть локальной или Таким образом, WLAN) проверяется перед работой на уровне MAC сети.
Одна и та же архитектура аутентификации и метод динамического распространения ключей шифрования состоят из трех частей: соискателя (беспроводное устройство), аутентификатора (AP) и сервера аутентификации (RADIUS).
Запрашивающим является клиентское устройство (например, ноутбук), которое необходимо подключить к LAN/WAN. Аутентификатором является сетевое устройство, такое как коммутатор Ethernet или точка беспроводного доступа, а сервером аутентификации обычно является хост, на котором установлено поддерживающее программное обеспечение. протоколы RADIUS и EAP Соискателем является клиентское устройство (например, ноутбук), желающее подключиться к LAN/WAN. Аутентификатор — это сетевое устройство, например коммутатор Ethernet или точка беспроводного доступа. Сервер аутентификации обычно представляет собой хост, на котором работает программное обеспечение, поддерживающее протоколы RADIUS и EAP;
Использовать аутентификацию EAP
Блютуз, Блютуз
Блюджекинг
Активно инициировать сообщение на устройство Bluetooth. (без вандализма)
бред
технология расширения спектра
Расширение спектра со скачкообразной перестройкой частоты, FHSS
Используйте алгоритм FHSS, чтобы выбрать различные частоты и их порядок.
Расширенный спектр прямой последовательности, DSSS
Мультиплексирование с ортогональным частотным разделением каналов, OFDM
Беспроводная локальная сеть (WLAN) Безопасная/двусторонняя беспроводная аутентификация
Аутентификация открытых систем (OSA)
Просто укажите правильный SSID
Защита вашей WLAN
Требуется беспроводное устройство, чтобы доказать полезность ключа.
Протокол WEP (конфиденциальность, эквивалентная проводной сети)
Использовать шифрование RC4 (небезопасно, устарело).
IV исходный размер вектора 24 бита, легко сломать
ВПА
TKIP (TKIP; протокол целостности временного ключа отвечает за обработку части шифрования проблем беспроводной безопасности. Для решения проблем безопасности, возникающих в сетях, защищенных WEP)
IV 128 бит, безопаснее
WPA2 (защищенный доступ Wi-Fi 2)
CCMP заменяет TKIP
самый безопасный
беспроводная атака
война ходьба/вождение/рисование мелом
Точка доступа (точка доступа)
Защита от кражи, питание антенны, точка доступа для защиты от подделок, беспроводной маршрутизатор (точка доступа Wi-Fi), который подключается к корпоративной сети в частном порядке без разрешения компании.
Технология беспроводной связи
Спутниковая связь
Односторонние сети, такие как цифровое телевидение
WeChat подключается к Интернету, двусторонняя передача
1G
900 МГц
Аналоговый МДМА
базовая телефонная связь
2G
1800 МГц
ТДМА
Идентификатор вызывающего абонента и голосовая почта
коммутация цепей
только текст
3G
2 ГГц
CDMA
2 Мбит/с (3,5G10 Мбит/с)
Конференц-связь и видео низкого качества
Графика и форматированный текст
коммутация пакетов
4G
40 ГГц и 60 ГГц
0ФДМ
Телеприсутствие и HD-видео
Полная унифицированная система обмена сообщениями
Локальный IPv6
100 Мбит/с
Модуль идентификации абонента SIM-карты (3G/4G USIM: универсальная SIM-карта)
Службы и протоколы сетевого взаимодействия
Служба доменных имен, DNS
угрожать
Отравление DNS-кэша
Атаки с отравлением DNS-кеша в основном нацелены на DNS-серверы, которые работают в рекурсивном разрешении, и результаты разрешения кэша для нелокальных доменов.
DNS-безопасность
DNSSEC усиливает механизм аутентификации DNS.
Одной из целей разработки технологии DNSSEC является обеспечение целостности путем «цифровой подписи» данных.
Система промышленного управления SCADA
Сбор и мониторинг данных
ModBus, протокол FieldBus
столкнувшись с угрозами
безопасность мобильного телефона
В телефонах есть камеры, и они хранят конфиденциальную информацию.
Аутентификация, могут быть поддельные базовые станции
Клонирование мобильного телефона
Военная атака WLAN
Используется для перехвата точек доступа и взлома паролей.
Шпионское и рекламное ПО
мгновенное сообщение (Самый большой риск — утечка информации)
Олицетворение, аутентификация и другие атаки
Атака типа «отказ в обслуживании» (DOS)
Атака с использованием протокола TCP
СИН Флуд
Принцип процесса атаки
Трехстороннее рукопожатие TCP подвергается атаке
Атака с использованием протокола ICMP
пинг смерти
Отправлять некорректные пакеты ICMP (>64 КБ)
Смафф
Отправка массовых широковещательных пакетов, вызывающих сбои (Атаки Smurf работают путем наводнения хоста-жертвы пакетами запроса ответа ICMP (ping) с адресом восстановления, установленным на широковещательный адрес сети жертвы, что в конечном итоге приводит к тому, что все хосты в сети отвечают на запрос ответа ICMP, вызывая перегрузку сети. )
Атака с использованием протокола udp
хрупкий
Отправлять массивные эхо-пакеты udp
мусор
Перекрытие во время повторной сборки пакетов UDP приводит к сбою
Распределенный отказ в обслуживании DDOS
отражатель, усилитель атаки
Вывоз, очистка, транспортировка трафика
Черная дыра (трафик прекращен) / Трафик канализационной маршрутизации (sinkhole) направляется в определенную точку и далее анализируется для борьбы с DDOS-атаками.
3. Техника безопасности
концепция
архитектура безопасности
в жизненном цикле системы Используйте принципы безопасного проектирования
Жизненный цикл системной инженерии
ключевой технический процесс
Определение требований
анализ спроса
Архитектурный дизайн
осуществлять
интегрированный
проверять
подтверждать
Трансфер (онлайн)
ключевые процессы управления
Стратегический анализ
Техническое планирование
оценка технологий
Управление спросом
Управление рисками
Управление конфигурацией
Управление интерфейсом
Управление техническими данными
принципы безопасности
НИСТ СП 800-14
НИСТ СП 800-27
Инженерные принципы безопасности информационных технологий (основа для достижения безопасности)
Структура жизненного цикла разработки безопасности
БИСММ
Создайте безопасность внутри
Безопасность встроена во весь процесс разработки
ИСО/МЭК 21827:2008
Архитектура
Архитектура безопасности предприятия
Общая архитектура (архитектура предприятия, ИТ-архитектура, архитектура безопасности)
ЗАХМАН
Создатель архитектурных моделей
ТОГАФ
Модель архитектуры разработки и эксплуатации
САБСА
модель архитектуры безопасности
Методы разработки архитектуры безопасности
Получить и проанализировать требования безопасности
Создавать и проектировать архитектуру безопасности
Архитектура безопасности системы
Общие компоненты системы
Процессор
процесс
нить
виртуальная машина
мультипрограммирование
Многозадачность
многопроцессорность
Многопоточность
Многопоточность с большей вероятностью приведет к атакам, связанным с состоянием гонки.
Механизм защиты – защитное кольцо
Память
регистр
кэш
оперативная память
ПЗУ
вспомогательная память
виртуальная память
Атаки на хранилище
Атака переполнения буфера
Базовый ввод/вывод/периферийные устройства
Операционная система
одноуровневая операционная система
многоуровневая операционная система
микроядерная операционная система
Гибридная микроядерная операционная система
Возможности безопасности информационной системы
Статус процессора
Безопасное управление памятью
механизм контроля доступа
слоистый
скрытие данных
абстрактный
Защита шифрования
Хост-брандмауэр
Аудит и мониторинг
Виртуализация
изоляция
модель безопасности
Модель конечного автомата
модель информационного потока
интерференционная модель
многоуровневая решетчатая модель
(Решетчатая модель/решетчатая модель) минимальная верхняя граница и максимальная нижняя граница
матричная модель
Пример модели безопасности
Модель Белла-Лападулы
Беспокойство по поводу конфиденциальности
Не читать вверху, не писать внизу
Модель Биба
сосредоточьтесь на полноте
Не читай, не записывай
Модель Кларка-Уилсона
Модель китайской стены (Brew and Nash: Китайская стена)
Модель Липнера
Модель Грэма-Деннинга
Модель Харрисона-Руццо-Ульмана
Безопасность базы данных (глава 8)
облачные вычисления
Три модели обслуживания
Саас
Лаас
Паас
Четыре модели развертывания
Частное облако
облако сообщества
публичная зона
гибридное облако
пять основных характеристик
пул ресурсов
Распределить по требованию
удаленный доступ
Быстрый и гибкий
измеримый
Облачная безопасность Обратите внимание на изоляцию данных
Слабые стороны архитектуры безопасности
Слабые стороны системы
БУРА
Государственные атаки (условия гонки)
тайный проход
промежуточное программное обеспечение
Системы мейнфреймов и тонких клиентов
Слабые стороны сервера
единственная точка отказа
Слабые стороны клиента
Уязвимости и угрозы программного обеспечения и систем
Веб-безопасность (глава 8)
Слабые стороны мобильной системы
Встроенные и киберфизические уязвимости устройств
Модель оценки безопасности информационной системы
модель оценки продукта
TCSEC (Оранжевая книга)
TCB (Надежная вычислительная база)
Контрольный монитор (абстрактная машина)
Ядро безопасности (ядро УТС)
ITSEC (Критерии оценки информационной безопасности)
СС
ПП (Защитный профиль)
TOE (цель оценки)
ST (цель безопасности)
EAL 1–7
Функциональное тестирование
Структурные испытания и инспекция
Систематические испытания и проверки
Систематическое проектирование, тестирование и обзор
Полуформальное тестирование и проверка
Формальная проверка, проектирование и тестирование
ИСО/МЭК 15408
Криптография
Терминология и основные понятия
ДиффузияДиффузия
Криптология
Криптография (криптография, криптография)
Криптоанализ(Криптоанализ/Криптодешифрование)
история криптографии
Ручная эпоха
атбаш
парольная палочка
шифр Цезаря
механический век
современный
Новые технологии
Квантовая криптография
Криптосистема
Основные принципы и методы шифрования
заменять
Транспонирование (перестановка)
другой
скользящий пароль, скрытый пароль
одноразовый блокнот
стеганография
По способу обработки открытого текста (алгоритм симметричного шифрования)
блочное шифрование
шифрование потока
Другие технологии криптографического преобразования
Классификация по методу шифрования (ключевые характеристики)
Симметричная криптография
преимущество
недостаток
внеполосная передача
ДЕС
Режим ECB (электронная кодовая книга)
Режим CBC (цепочка блоков зашифрованного текста)
Режим CFB (обратная связь по зашифрованному тексту)
Режим OFB (обратная связь по выходу)
Режим CTR (подсчета)
2DES
3DES
АЕС
CCMP
ИДЕЯ
БРОСАТЬ
БЕЗОПАСНЕЕ
Иглобрюхая рыба
Две рыбы
RC4
не безопасно
RC5
Применение технологии симметричной криптографии
Конфиденциальность
Асимметричная криптография
преимущество
недостаток
Диффи-Хеллман
Используется для обмена сеансовыми ключами для решения проблемы жесткого кодирования сеансовых ключей (жесткого кодирования).
ЮАР
ЕСС
Э.И.Гамаль
Алгоритм ранца (Меркла)
Применение технологии асимметричной криптографии
Конфиденциальность
Подлинность и неопровержимость
Конфиденциальность, подлинность и неопровержимость
гибридное шифрование
Контрмеры в сочетании с асимметричной криптографией для обеспечения конфиденциальности.
целостность сообщения
Хэш-функция
Простая хэш-функция
MD5
ША-1
ша-2/ша-3
256
224
384
512
Атаки на алгоритмы хеширования
Проблема столкновения (атака на день рождения)
Радужный стол
криптоанализ
Полная реализация
Проверка целостности хеша
HMAC
CBC-MAC
CMAC
Сравнение четырех методов
цифровая подпись
выполнить
Конфиденциальность не предусмотрена
Инфраструктура открытых ключей PKI
Цифровой сертификат
CA центр
РА
Процесс управления ключами
Принцип Керкгофа
Достижения в управлении ключами
Создание ключей
Распределение ключей
Хранение и уничтожение ключей
Стоимость замены и уничтожения сертификата
Восстановление ключей
Депонирование ключей
TPM (доверенный платформенный модуль)
1. Храните и управляйте паролем включения BIOS и паролем жесткого диска.
2. Чип безопасности TPM может выполнять широкий спектр шифрования.
3. Зашифруйте любой раздел жесткого диска.
Криптографические приложения
Услуги, которые могут быть предоставлены
Конфиденциальность
подлинность
Целостность (хеш-значение)
Неотказуемость (асимметричное шифрование)
Шифрование ссылки
Зашифруйте всю информацию, включая информацию о пользователе, заголовки пакетов, трейлеры, адреса и информацию о маршрутизации.
Сквозное шифрование
Шифруется только информация пользователя, заголовки пакетов, трейлеры, адреса и информация о маршрутизации не шифруются.
S/MIME
ПГП
HTTPS
НАБОР
SSH
Куике
IPSec (IKE для обмена ключами, можно использовать платформу ISAKMP), шифрование сетевого уровня.
Два протокола
АХ
ESP
ICV (значение проверки целостности) (сравнение AH, ESP)
Два режима работы
Режим передачи
туннельный режим
Ассоциация безопасности (SA)
DRM (Управление цифровыми правами)
цифровой водяной знак
Жизненный цикл пароля
Три этапа (устойчивость пароля/ключа к взлому со временем снижается)
сильный
пустой
отсутствие сопротивления
Управление алгоритмами/протоколами
Некоторые другие проблемы безопасности
Методы атаки на пароль
Атака только с использованием зашифрованного текста
атака по известному открытому тексту
атака с выбранным открытым текстом
Дифференциальный криптоанализ
линейный криптоанализ
атака по побочному каналу
Анализ ошибок
атака обнаружения
повтор атаки
алгебраическая атака
частотный анализ
Обратный инжиниринг
социальная инженерия
Атака на генератор случайных чисел
Временные файлы
другой
физическая охрана
Рекомендации по проектированию площадки и объекта
Банкоматы-банкоматы должны уделять внимание физической безопасности и предотвращать физический ущерб.
Центр обработки данных не должен располагаться на первом или верхнем этаже здания. Он должен располагаться в центре здания.
расследование безопасности
Идентификация цели защиты
Идентификация угроз
Текущее состояние объектов
План физической безопасности
КПТЕД
Отличие от усиления цели
естественный контроль доступа
естественное наблюдение
Укрепление природных территорий
факторы, которые следует учитывать
место
видимость
доступность
Окрестности и условия
природная катастрофа
строить
стена
пол
потолок
окно
Дверь
строительные материалы
Стекло
внутреннее разделение
другой
Вход
гараж
коммуникация
средство
Дата центр
Давление воздуха в дата-центре должно быть положительным.
Схема плана
Реализуйте план физической безопасности
Операции физической охраны
Дата центр
электричество
вопрос
вмешательство
электромагнитная интерференция
радиочастотные помехи
колебание
Напряжение слишком высокое
Слишком низкое напряжение
перебой в электроснабжении
Защищать
UPS
В сети
резервное копирование
кондиционер для шнура питания
резервное питание
Профилактические меры и передовой опыт
Защита от удара молнии
Управление кабелями
среда
Температура и влажность
антистатический
вентиляция
Рассеивание тепла
огонь
Классификация пожарной безопасности
профилактика
Обнаружение
Тепловое возбуждение
пламя загорелось
воспламенение дыма
Обнаружение света (фотоэлектрическое устройство)
Тип ионизации (самый быстрый)
Место установки детектора
выводить из себя
Принципы пожаротушения (изолировать горящие материалы, изолировать кислород, снизить температуру, блокировать химические реакции)
вода
Кислотно-щелочное средство пожаротушения
углекислый газ
Газовое пожаротушение
система пожаротушения
портативный огнетушитель
Противопожарная система
мокрая труба
Основная труба
Предварительный ответ
Наводнение
Газовое пожаротушение
Халон
Аэро-К
CO2 (легко вызывает удушье)
ФМ-200(Гептафторпропан)
охрана периметра
Контроль доступа на объект
механический замок
кодовый замок
пароль
блокировка устройства
сила замка
Классификация цилиндров замка
Контроль доступа персонала
задние ворота
Механизм защиты внешних границ (защита от невъезда)
изгородь
Дверь
освещение
физическое наблюдение
Кабельное телевидение
Система обнаружения вторжений
Электромеханические системы
Система измерения объема (звук, свет, температура, электромагнит, вибрация)
система обнаружения приближения
Оптоэлектронные или фотометрические системы обнаружения
Пассивная инфракрасная система обнаружения (необходима автоматическая компенсация изменений фоновой температуры)
Система акустического обнаружения
Система обнаружения вибрации
Аудит контроля физического доступа
Тестирование плана действий в чрезвычайных ситуациях и учения (не реже одного раза в год)
2. Безопасность активов
цель обучения
Классифицировать информацию и связанные с ней активы
Определить и поддерживать обязанности и полномочия владельца.
защита конфиденциальности
Обеспечьте надлежащее хранение данных
Определить меры безопасности данных
Установление требований к обработке данных
Управление данными
Справочник по передовому опыту управления данными
Разработать стратегию данных и уточнить стратегические цели и принципы управления данными.
Четко определите роли и обязанности в отношении данных, включая поставщиков данных, владельцев и менеджеров.
Процесс контроля качества данных в процессе управления данными для подтверждения и проверки точности данных.
Документация по управлению данными и описание метаданных в каждом наборе данных.
Планируйте и определяйте базу данных на основе потребностей пользователей и использования.
Инфраструктура информационной системы, хранение данных, стратегии резервного копирования и обновления самих данных.
Непрерывный аудит данных для обеспечения эффективности управления и целостности данных и активов.
Постоянно внедряйте многоуровневые средства управления безопасностью данных для защиты безопасности данных.
Четко определите стандарты доступа к данным и обеспечьте комплексный контроль над доступом к данным.
стратегия данных Политика данных
Стратегия данных устанавливает долгосрочные стратегические цели по управлению данными для предприятия или проекта.
Стратегия данных — это набор принципов высокого уровня, которые обеспечивают руководящую основу для управления данными.
Стратегия данных для решения некоторых стратегических проблем, таких как доступ к данным и связанные с ними юридические вопросы. Проблемы управления данными, обязанности по управлению данными, сбор данных и другие вопросы.
Вопросы, которые персонал службы безопасности должен учитывать при разработке стратегии обработки данных, включают:
расходы
Права собственности и управления
конфиденциальность
ответственность
чувствительность
Юридические и стратегические требования
Стратегия и процесс
Роли и обязанности в области данных
Определите роли для всех данных
Установите право владения данными на протяжении всего жизненного цикла
Создание прослеживаемости данных шаг за шагом
Обеспечьте поддержание качества данных и показателей метаданных на базовом уровне.
Владение данными (Владение)
Жизненный цикл информации: создание, использование, хранение, передача, изменение, уничтожение и т.д.
После создания информации ответственность владельцев должна быть четко определена. Обычно человек, создавший, купивший или получивший информацию
В обязанности владельца обычно входит:
Определить влияние информации на организационное использование
Понимание стоимости замены информации
Определите, кому во внутренней сети организации нужна информация и в какой среде эта информация должна быть опубликована.
Поймите, когда данные больше не точны или не нужны и должны быть уничтожены.
Владелец данных обычно имеет законные права на данные, включая права интеллектуальной собственности, авторские права и т. д.
Политика должна быть установлена и задокументирована.
Право собственности на данные, интеллектуальная собственность, авторское право
Юридические обязательства, связанные с бизнесом, и незаконные обязательства по обеспечению соблюдения данных
Безопасность данных, контроль против утечек, выпуск данных, цены и стратегии, связанные с распространением.
Прежде чем данные будут опубликованы, подпишите меморандум и авторизационный договор с пользователями или клиентами, чтобы уточнить условия использования.
Хранение данных
В обязанности менеджеров данных в основном входит
Соблюдайте политику использования данных и правила владения данными.
Обеспечьте доступ соответствующим пользователям и поддерживайте соответствующий уровень безопасности данных.
Базовое обслуживание набора данных, включая, помимо прочего, хранение и архивирование данных.
Документирование наборов данных, включая обновления документов.
Обеспечить качество данных и проверку наборов данных, включая периодические аудиты для обеспечения целостности данных.
Роли, связанные с должностями органа управления данными, включают:
Менеджеры проектов, менеджеры данных, менеджеры по ИБ, ИТ-эксперты, Администратор базы данных, разработчик приложений, сбор или приобретение данных
Качество данных Качество данных
процесс
Принципы качества данных должны применяться на протяжении всего жизненного цикла управления данными, начиная со сбора данных, потеря качества данных на любом этапе приведет к снижению доступности данных.
Собирайте данные и записывайте время сбора данных
Операции с данными перед оцифровкой (включая подготовку этикеток, копирование классификации данных и т. д.)
Идентификация и запись образцов данных
Оцифровка данных
Документирование данных (получение и запись метаданных)
Хранение и архивирование данных
Публикация и распространение данных (включая бумажные и электронные публикации, базы данных, доступные через Интернет, и т. д.)
Использование данных (обработка и анализ данных и т. д.)
контроль
Контроль качества (Контроль качества) основан на внутренних стандартах, процессах и этапах контроля и мониторинга качества на основе данных о результатах продукции.
Обеспечение качества основано на внешних стандартах для проверки действий с данными и процессов контроля качества, чтобы гарантировать, что конечный продукт соответствует требованиям качества, обеспечивая гарантию на весь жизненный цикл данных.
Два элемента ожиданий относительно качества данных
1. Частота неправильной записи данных
2. Важность ошибок при регистрации данных
Два процесса качества данных
Проверка. Проверка соответствия метаданных, обеспечение точности и т. д. обычно может выполняться кем-то, кто менее знаком с данными.
Валидация: оценка достижения целей качества данных и причин любых отклонений, обычно выполняемая профессионалами.
продвигать
Предотвращение: Предотвращение ошибок в основном осуществляется на этапах сбора данных и ввода данных в базу данных.
Коррекция: важное средство
Документация: интегрирована в проект базы данных.
1. Убедитесь, что каждая запись отмечена, а также все изменения в записи.
2. Записи метаданных
Контроль жизненного цикла данных
Жизненный цикл данных
Определение данных, моделирование данных, обработка данных, обслуживание баз данных и безопасность данных.
Непрерывный аудит данных для мониторинга использования и достоверности данных.
Архивирование для обеспечения эффективности обслуживания, включая регулярное создание снимков, позволяющее вернуться к предыдущим версиям в случае повреждения данных или резервной копии.
Хранение и архивирование данных
Исправлена проблема с сохранением данных
Факторы, которые следует учитывать, включают: серверное оборудование и программное обеспечение, сетевую инфраструктуру, размер и формат набора данных, обслуживание и обновление базы данных, потребности в резервном копировании и восстановлении базы данных.
Архивирование данных — это процесс перемещения данных, которые больше не используются часто, на отдельное устройство хранения для долгосрочного хранения.
Безопасность данных
Угрозы безопасности данных включают в себя: злоупотребление, злонамеренные атаки, непреднамеренные ошибки, несанкционированный доступ, кражу или повреждение физического оборудования, стихийные бедствия и т. д.
Примите многоуровневую архитектуру безопасности и архитектуру глубокоэшелонированной защиты.
Источник бесперебойного питания, зеркалирование серверов (резервирование), резервное копирование, проверка целостности резервных копий
Контроль физического доступа, контроль доступа к сети, межсетевые экраны, шифрование конфиденциальных данных.
Обновления исправлений программного обеспечения, реагирование на инциденты, планы аварийного восстановления и т. д.
Принять подход, основанный на управлении рисками
оценка риска
Сокращение рисков
Оценка и оценка
Сохранение данныхСохранение
Настройте политику хранения данных в соответствии с бизнес-требованиями и требованиями законодательства.
Шаги по определению политики хранения данных
Оценить законодательные требования, нормативные обязательства, потребности бизнеса
Запись и оценка
Определить срок хранения и метод уничтожения
Разработайте политику хранения данных
Обучение персонала
Проводить проверки и аудит хранения данных
Регулярно обновляйте стратегии
Документированные политики, процедуры, обучение, аудиты и т. д.
Как сохранить данные
Классификация таксономии
Составьте план классификации данных, включающий различные категории, включая функции, время, организацию и т. д.
Классификация
Классифицированная обработка в соответствии с уровнем конфиденциальности данных
Нормализация (нормализация)
Разработайте стандартные схемы для облегчения поиска данных.
Индексацияиндекс
Создайте индекс данных для облегчения запроса архивных данных.
Какие данные сохраняются
Решения о сохранении данных должны быть обдуманными, конкретными и осуществимыми.
Мы хотим сохранить только те данные, которые решили сохранить, а затем убедиться, что мы можем обеспечить их сохранение.
электронное обнаружение
Обнаружение информации, хранящейся в электронном виде, электронная криминалистика ESI
Эталонная модель ElectroicDiscovery, эталонная модель электронного обнаружения EDRM
Идентификация;
Сохранение;
Сохраните эти данные, чтобы гарантировать, что они не будут уничтожены случайно или регулярно при выполнении заказа.
Коллекция;
Обработка
Процесс, обеспечивающий правильность формата данных и элементов.
Обзор;
Проверьте данные, чтобы убедиться, что они актуальны.
Анализ;
Производство;
Предоставьте окончательный набор данных тем, кто в нем нуждается
Отправить презентацию;
Сообщайте данные внешней аудитории, чтобы подтвердить или опровергнуть утверждения.
Остаточность данных
Клиринг Очистить: невозможно восстановить с помощью обычной системы или таких инструментов, как восстановление. Для восстановления можно использовать специальные лабораторные инструменты (инструменты криминалистики данных).
Перезапись: используйте программу для записи в мезон, чтобы перезаписать исходные данные, обычно три раза (>6 изменений).
Очистка, искоренение: никакая технология не сможет восстановить
Уничтожение: носитель данных поврежден до такой степени, что его невозможно прочитать обычными устройствами.
Уничтожение медиа: Уничтожение медиа: самое безопасное физическое уничтожение
Химические методы: сжигание, коррозия.
Физическое разрушение: Crush Shred
Преобразование формы: твердый жесткий диск, сжижение и газификация
Для магнитных носителей увеличьте температуру выше температуры Кюри.
Размагничивание: использование сильных магнитных полей или электромагнитных полей для уничтожения данных на магнитных носителях (Magnetic Media).
Диск утилизируется после размагничивания.
Ленты можно использовать повторно после размагничивания.
Санитарная обработка (в некоторых контекстах эквивалентна очистке)
Удаление и форматирование: самые небезопасные методы (даже Очистка, обычными программными средствами можно восстановить)
Шифрование: шифрование данных, чтобы сделать их нечитаемыми без соответствующего ключа.
Проблемы безопасности данных и остатков данных в облачном хранилище: использование шифрования данных
Контроль безопасности жизненного цикла данных
определение
Меры контроля безопасности, сопровождающие процесс изменения данных
Получать
Два способа получения: скопировать и создать
Прежде чем данные можно будет использовать, метаданные разрабатываются и сопоставляются, а затем информация индексируется для поиска и распределяется по одному или нескольким хранилищам данных.
Стратегия управления
Шифрование номеров кредитных карт и личной информации PII при хранении.
Установите строгие политики доступа к конфиденциальной информации.
Установите стратегию отката данных для восстановления данных в предыдущее состояние.
Постарайтесь обеспечить принятие мер на этапе приобретения, а не осуществлять контроль после него.
использовать
определение
Пользователи с разными уровнями доступа могут читать и изменять данные.
Три характеристики ЦРУ по защите данных на данном этапе чрезвычайно сложны.
Должен гарантировать, что только нужные люди изменяют данные авторизованным способом.
Обеспечьте внутреннюю согласованность
Обеспечьте повторяемость операций, изменяющих данные.
Имеет автоматический механизм устранения несоответствий (например, механизм отката) для предотвращения несоответствий данных, вызванных внезапными отключениями электроэнергии и т. д.
Использование и агрегирование информации вызовет изменения в классификации и классификации информации.
Архив
определение
Информация архивируется, когда она больше не используется регулярно.
Иметь соответствующую политику хранения данных.
Предотвращает обнаружение модификации данных и несанкционированного доступа в течение длительного периода времени.
Защита резервного копирования данных
Безопасное физическое местоположение
шифрование данных
Срок хранения данных
Слишком коротко, данные все еще могут быть полезны
Если операция с данными завершается неудачно или подвергается атаке, данные необходимо восстановить.
обнаружение электронных данных
Слишком долго, что приводит к лишним затратам на хранение данных и увеличению соответствующих обязанностей.
Разница между резервным копированием и архивированием
Резервная копия данных — это копия используемого в данный момент набора данных, используемая для восстановления после потери исходных данных. Резервное копирование данных часто становится менее полезным.
Архивы данных — это копии наборов данных, которые больше не используются, но которые необходимо сохранить для использования в будущем. Когда данные архивируются, они обычно удаляются из исходного местоположения, чтобы можно было использовать пространство для хранения там, где данные используются.
Обработка утилизации (утилизация)
определение
Когда владелец данных подтвердит, что данные больше не нужны, выберите соответствующие методы удаления.
Основные моменты
Данные действительно уничтожены
Убедитесь, что копия также уничтожена.
был уничтожен правильно
Восстановление данных стоит больше, чем стоят сами данные
Классификация информации и управление активами
Классификация информацииКлассификация
Классификация по чувствительности (разрушение конфиденциальности), например конфиденциальная, чувствительность в зависимости от важности (воздействие потери удобства использования)
правительство или армия
Совершенно секретно
В случае утечки это может нанести серьезный ущерб национальной безопасности.
Новые чертежи оружия, информация о шпионских спутниках, шпионские данные.
Секрет
В случае утечки это может нанести серьезный ущерб национальной безопасности.
План развертывания сил: информация о готовности сил
Конфиденциально
Только для внутреннего использования в компании
Данные, освобожденные от раскрытия в соответствии с Законом о свободе информации или другими законами и постановлениями.
Несанкционированное раскрытие информации может серьезно повлиять на компанию
Чувствительно, но несекретно (СБУ)
Маленькие секреты, раскрытие которых может не нанести серьезного ущерба
Тест медицинских данных, оценка ответов.
Неклассифицированный
Данные не являются конфиденциальными или несекретными.
Руководства по эксплуатации компьютеров и информация о гарантии. Объявления о вакансиях.
Бизнес
Конфиденциально
Только для внутреннего использования в компании
Данные, освобожденные от раскрытия в соответствии с Законом о свободе информации или другими законами и постановлениями.
Несанкционированное раскрытие информации может серьезно повлиять на компанию.
Коммерческая тайна, информация о здравоохранении, программный код, информация, необходимая для поддержания конкурентоспособности компаний.
Частный
Персональная информация, используемая внутри компании
Несанкционированное раскрытие информации может отрицательно повлиять на людей или компанию.
История работы, информация о кадрах, медицинская информация
Чувствительный
Требуются особые меры предосторожности для обеспечения целостности и конфиденциальности данных и предотвращения несанкционированного изменения или удаления.
Требует более высокой готовности и полноты, чем обычное заверение.
Примеры: финансовая информация, детали проекта, доходы и прогнозы.
Пулич
Раскрытие информации нежелательно, но оно отрицательно влияет на компанию или людей.
иерархический контроль
Выбор классификации мер управления зависит от потребностей группы управления и группы безопасности в безопасности для соответствующей категории информации.
Строгий и детальный контроль доступа ко всем конфиденциальным данным и программам.
Шифрование данных при хранении и передаче
Аудит и мониторинг (определите, какой уровень аудита требуется и как долго хранятся журналы)
Разделение обязанностей (определите, что к доступу к конфиденциальной информации должны быть привлечены два или более человека для предотвращения мошенничества; определите процедуры)
Периодическая проверка (проверка иерархии классификации, данных и процедур, чтобы убедиться, что они соответствуют потребностям бизнеса; данные или приложения, возможно, потребуется переклассифицировать)
Процедуры резервного копирования и восстановления (определение)
Процедура контроля изменений (определение)
Физическая охрана (определение)
Каналы потока информации (где находятся конфиденциальные данные и как они перемещаются по сети)
Надлежащие процедуры обработки данных, такие как измельчение, размагничивание и т. д. (Определение)
Маркировка, идентификация и процедуры обработки Маркировка (на носителе данных) в системе маркировки
процесс классификации данных
1. Определить уровень классификации
2. Укажите критерии, которые будут определять классификацию данных.
3. Определите владельца данных, ответственного за классификацию данных.
4. Определите хранителя данных, ответственного за сохранность данных и уровень их безопасности.
5. Укажите меры безопасности или механизмы защиты, необходимые для каждого уровня классификации.
6. Задокументируйте любые аномалии из предыдущих вопросов классификации.
7. Укажите методы, которые могут использоваться для передачи хранения информации другому владельцу данных.
8. Создайте процесс регулярного пересмотра классификации и принадлежности и распространения любых изменений в хостинге данных.
9. Программа отображения переклассифицирует данные.
10. Интегрируйте эти вопросы в программы повышения безопасности.
уровни ответственности
Старшие менеджеры понимают видение компании, бизнес-цели
Следующий уровень — функциональные менеджеры, сотрудники которых понимают, как работают соответствующие отделы, какие роли играют отдельные лица в компании и как безопасность напрямую влияет на их отделы.
Следующий уровень ниже — операционные менеджеры и сотрудники. Эти уровни ближе к реальной деятельности компании. Они знают подробные технические и процедурные требования, систему и информацию о том, как ее использовать.
Сотрудники этих уровней понимают механизмы безопасности, интегрированные в систему, способы их настройки и влияние на повседневную производительность.
На каждом уровне должны быть выбраны лучшие меры безопасности, процедуры и средства контроля, чтобы гарантировать, что согласованный уровень безопасности обеспечивает необходимую защиту.
ПРИМЕЧАНИЕ. Высшее руководство несет полную ответственность за безопасность организации.
Роль управления данными
Совет директоров, Сотрудник по безопасности Совета директоров, Владелец данных, Хостинг данных, Владелец системы, Администратор безопасности, Аналитик безопасности, Владелец приложения, Директор (управление пользователями), Аналитик по контролю изменений, Аналитик данных, Процесс, Поставщики решений, Пользователи, Линия продуктов Менеджеры
Исполнительный менеджмент, исполнительный менеджмент
Генеральный директор Главный исполнительный директор
Отвечает за обеспечение того, чтобы организация проявляла должную осторожность и должную осмотрительность в отношении информационной безопасности.
Финансовый директор, финансовый директор
Это лицо отвечает за прогнозирование и составление бюджета, а также за процесс подачи квартальной и годовой финансовой отчетности Комиссии по ценным бумагам и биржам (SEC) и вам, заинтересованной стороне.
Директор по информационным технологиям
Отвечает за стратегическое использование и управление информационными системами и технологиями внутри организации.
CPOДиректор по конфиденциальности
Отвечает за обеспечение безопасности данных клиентов, компании и сотрудников, защищая компанию от уголовных и гражданских судов и, надеюсь, от заголовков новостей.
CSOНачальник службы безопасности
Отвечает за понимание рисков, с которыми сталкивается компания, и снижение этих рисков до приемлемого уровня.
Создание этой должности является признаком «победы» индустрии безопасности, поскольку это означает, что безопасность в конечном итоге рассматривается как проблема бизнеса.
Задача CSO заключается в том, чтобы гарантировать, что бизнес не будет каким-либо образом нарушен из-за проблем безопасности, которые выходят за рамки ИТ и затрагивают бизнес-процессы.
Юридические вопросы, вопросы бизнеса, получение доходов и защита репутации.
Директор по информационной безопасности подчиняется непосредственно директору по информационной безопасности
Директор по информационной безопасности должен иметь более профессиональный опыт в сфере ИТ, а сфера его деятельности уже, чем у директора по информационной безопасности.
Владелец данныхВладелец данных
Обычно это менеджер, который отвечает за конкретное подразделение и в конечном итоге несет ответственность за защиту и использование определенного подмножества информации.
Владелец данных обязан проявлять осторожность в отношении данных и поэтому будет нести ответственность за любое небрежное поведение, которое приведет к повреждению или утечке данных.
Отвечает за определение классификации данных
Отвечает за обеспечение необходимых мер безопасности, определяя требования безопасности для каждой классификации и требования к резервному копированию.
Разрешить доступ к данным
Борьба с нарушениями политик безопасности данных
Назначьте хранителя данных, ответственного за повседневное обслуживание: механизмов защиты данных.
Хранитель данныхХранитель данных
Отвечает за сохранение и защиту данных
Внедрять и поддерживать меры безопасности
Выполняйте регулярное резервное копирование данных
Регулярно проверяйте целостность данных
Восстановление данных с резервного носителя
Деятельность по ведению учета
Внедрять требования политик безопасности компании, стандартов и руководств, связанных с информационной безопасностью и защитой данных.
Владелец системы Владелец системы
Отвечает за одну или несколько систем, каждая из которых может хранить и обрабатывать данные, принадлежащие разным владельцам данных.
Отвечает за интеграцию вопросов безопасности в решения о закупках приложений и систем и проекты разработки.
Отвечает за обеспечение необходимых элементов управления, управления паролями, контроля удаленного доступа, конфигурации операционной системы и т. д., обеспечивающих адекватную безопасность.
Обеспечить правильную оценку систем на наличие уязвимостей.
Сообщайте о любых системах группе реагирования на инциденты и владельцам данных.
Администратор безопасности, администратор безопасности
Отвечает за внедрение и обслуживание конкретного сетевого оборудования и программного обеспечения безопасности на предприятии.
Обратите внимание на разграничение обязанностей администраторов безопасности и сетевых администраторов.
Администраторы безопасности уделяют внимание сетевой безопасности
Сетевые администраторы сосредоточены на обеспечении постоянной доступности сети.
Администраторы безопасности отвечают за создание постоянных учетных записей пользователей системы, внедрение постоянного программного обеспечения безопасности, тестирование исправлений и компонентов безопасности, а также выдачу постоянных паролей.
Администраторы безопасности должны гарантировать, что права доступа, предоставленные пользователям, поддерживают директивы политики и владельца данных.
Супервайзер, супервайзер
Также называется менеджером пользователей. Менеджер пользователей.
Конечная ответственность за всю активность пользователей и любые активы, созданные и принадлежащие этим пользователям.
Аналитик по контролю измененийАналитик по контролю изменений
Отвечает за одобрение или отклонение запросов на внесение изменений в сети, системы или программное обеспечение.
Убедитесь, что изменение не создает никаких уязвимостей, что оно было должным образом протестировано и правильно реализовано.
Необходимо понимать, как различные изменения влияют на безопасность, совместимость, производительность и продуктивность.
Аналитик данныхАналитик данных
Отвечает за обеспечение того, кто хранится таким образом, который наиболее целесообразен для компании и комплексных потребностей, доступ к рабочим потребностям людей.
Убедитесь, что построенная вами архитектура соответствует бизнес-целям компании.
пользователь
Пользователи должны иметь необходимый уровень доступа к данным.
Выполнение процедур оперативной безопасности для обеспечения конфиденциальности, целостности и доступности данных.
Аудитор Аудитор
Речь идет о регулярной проверке того, что все делают то, что они должны делать, о наличии правильных средств контроля и обеспечении безопасности.
Концепция управления активами
Управление запасами: в основном поддерживает состояние программных и аппаратных активов;
Управление конфигурациямиУправление конфигурациями (глава 7)
Управление конфигурацией может устанавливать классификации, компоненты, восходящие и нисходящие отношения, отношения «родитель-потомок» и т. д. на основе элементов конфигурации (CI).
Выполнять контроль изменений на основе элементов конфигурации и отслеживать состояние элементов конфигурации.
База данных управления конфигурациями (CMDB): библиотека, которая централизует всю информацию о конфигурации ваших активов.
Управление ИТ-активамиУправление активами
Добавлен финансовый аспект активов: стоимость, стоимость, статус контракта.
Управление полным жизненным циклом активов: от закупок до вывода из эксплуатации
Комплексное управление физикой, финансами и контрактами
Управление активами и информационная безопасность
Управление активами является основой реализации информационной безопасности. Без управления активами невозможно понять инциденты информационной безопасности.
Управление активами способствует построению контроля доступа, например, контроля доступа к сети NAC.
Управление лицензиями на программное обеспечение. Чтобы предотвратить нарушения, администраторы безопасности должны помогать во внедрении контроля и проводить регулярные проверки.
Управление безопасностью жизненного цикла оборудования
Этап определения требований: определите требования безопасности, являются ли затраты на безопасность целесообразными и соблюдается ли архитектура безопасности.
Этап приобретения и внедрения: проверка функций безопасности, настройка безопасности, сертификация и утверждение безопасности, а также хранение оборудования.
Этап эксплуатации и обслуживания: проверка конфигурации, оценка уязвимостей, контроль изменений.
Этап отмены: безопасность данных, обновление библиотеки конфигурации.
Защита конфиденциальности и контроль безопасности
Законы, связанные с защитой конфиденциальности
Основные требования к защите конфиденциальности
Честное и законное приобретение: используется только для наиболее подходящей цели, информация, не превышающая целевую;
Точные и актуальные; доступные для руководителей; хранятся в безопасности и удаляются после достижения целей;
В 2012 году ЕС выпустил более полные рекомендации по защите данных.
Европейский Союз и Министерство торговли США подписали соглашение о безопасной гавани «Безопасная гавань», чтобы разрешить разногласия между двумя сторонами.
2018 5 Общий регламент по защите данных GDPR
Владелец данных владелец данных
Косвенно или прямо определить, кто имеет доступ к конкретным данным
Обработчики данныхОбработчики данных
Ключевой вопрос, касающийся конфиденциальности, заключается в том, что эти люди понимают границы приемлемого поведения и что делать, если они знают, но случайно или намеренно теряют руку, что не соответствует применимым политикам.
Необходимо уточнить свои обязанности и ответственность
Должны проводиться регулярные проверки для обеспечения соблюдения всех применимых законов, правил и политик.
Ограничения на сбор лимита сбора
Страны приняли соответствующие законы
Помимо применимых законов и постановлений, типы персональных данных, которые собирает организация, а также соображения их жизненного цикла, должны быть четко сформулированы в письменной форме.
Контроль безопасности данных
Данные в состоянии покоя, статические данные
Защита хранящихся данных, включая резервные ленты, внешнее хранилище, файлы паролей и другие конфиденциальные данные.
риск
Злоумышленники могут получить конфиденциальную информацию посредством физического или логического доступа к устройствам хранения данных.
Рекомендуемые контрмеры
Разработайте и протестируйте план восстановления данных.
Съемные устройства и носители данных, включая ноутбуки, планшеты, смартфоны и носимые устройства, должны быть зашифрованы;
Выберите подходящие инструменты и алгоритмы шифрования, например шифрование AES.
Создавайте надежные пароли
Используйте инструменты управления паролями и ключами
Местоположение и отслеживание съемных носителей
Данные при транзите, динамические данные
Для защиты передаваемых данных в основном используются методы шифрования для предотвращения перехвата, такие как шифрование каналов и сквозное шифрование.
риск
Злоумышленники могут перехватывать или контролировать записанные данные при передаче.
Рекомендуемые контрмеры
Конфиденциальные данные должны быть зашифрованы при передаче по любой сети, включая передачу между интранетами.
Если доступ к данным возможен через Интернет, необходимо использовать безопасный протокол шифрования, например TLS1.2/1.3.
Передача электронной почты должна использовать PGP или S/MIME, а данные должны быть зашифрованы с помощью программного обеспечения для шифрования в виде вложения.
Данные, не относящиеся к Интернету, должны использовать шифрование на уровне приложения.
Если шифрование на уровне приложения невозможно, следует использовать шифрование IPsec или шифрование SSH.
Связь между приложениями и базами данных должна быть зашифрована.
Конфиденциальные данные, передаваемые между устройствами, должны быть зашифрованы.
Конфиденциальные данные, передаваемые между устройствами, должны быть зашифрованы.
DLP (предотвращение утечки/потери данных) Предотвращение утечки данных
определение
Комплекс технологий, направленных на предотвращение утечки конфиденциальной корпоративной информации.
Преимущества внедрения DLP
Защитите критически важные бизнес-данные и интеллектуальную собственность
Укрепить соблюдение требований
Снизьте риск утечки данных
Повышение уровня обучения и осведомленности
Улучшите бизнес-процессы
Оптимизация дискового пространства и пропускной способности сети
Обнаружение мошеннических/вредоносных программ
Три ключевые цели
Найдите и запрограммируйте конфиденциальную информацию, хранящуюся в каталоге fit;
Мониторинг и контроль перемещения конфиденциальной информации по предприятию;
Мониторинг и контроль перемещения конфиденциальной информации из систем конечных пользователей;
Классификация, место хранения и путь передачи конфиденциальной информации организации
Организации часто не осознают тип и расположение информации, которую они обрабатывают. При покупке решения DLP они должны сначала понять типы конфиденциальных данных и потоки данных между системами и от систем к пользователям;
Классификации, которые могут включать категории атрибутов, такие как данные о конфиденциальности, финансовые данные и интеллектуальная собственность;
После того как данные надлежащим образом идентифицированы и классифицированы, процесс более глубокого анализа помогает найти первичные данные и критические пути данных;
Необходимо уделять внимание жизненному циклу корпоративных данных, а понимание обработки, обслуживания, хранения и удаления данных может выявить более глубокие пути хранения и передачи данных;
Данные в Reststatic данных
Находить и идентифицировать определенные типы файлов, а также определять и записывать место хранения информации;
После обнаружения DLP открывает и идентифицирует содержимое файла.
DLP использует краулерные системы, сканеры
Динамические данные Data in Motion (Сеть)
DLP-решение
1. Пассивное обнаружение сетевого трафика
2. Определите правильный перехваченный трафик данных.
3. Соберите все данные мобильного телефона;
4. Реконструкция файла в потоке данных.
5. Выполните статический анализ данных и убедитесь, что любая часть содержимого файла ограничена его правилами.
Для обнаружения перемещения данных в корпоративных сетях решения DLP используют специальные сетевые устройства или встроенные технологии выборочного захвата и анализа сетевого трафика.
Технология глубокой проверки пакетов (DPI), являющаяся основной функцией DLP, позволяет DPI считывать содержимое полезной нагрузки пакета помимо базовой информации заголовка.
Технология DPI позволяет DLP проверять передаваемые данные для определения содержания, источника и назначения;
DLP имеет возможность обрабатывать зашифрованные данные (с помощью ключа шифрования) или расшифровывать их до обнаружения и продолжать шифровать после обнаружения.
Используемые данные (EndPoint) Используемые данные
Отслеживайте действия по перемещению данных, предпринимаемые конечными пользователями на своих рабочих станциях.
Используйте Агент для выполнения задач
Технология стеганографии и водяных знаков
Водяной знак
Стеганография — это технология сокрытия информации, которая позволяет скрывать большие объемы информации в изображениях и видеофайлах;
Сокрытие информации включает в себя скрытые каналы, сокрытие текста на веб-страницах, сокрытие видимых файлов и пустые пароли;
Базовые показатели безопасности, объем и адаптация
Установите минимальные меры безопасности для системы.
Предприятия могут определять базовые уровни безопасности в зависимости от своих обстоятельств.
Определение объема и адаптация
Сосредоточьтесь на ключевых моментах архитектуры безопасности посредством определения области действия и методов адаптации.
Гибко применять различные стандарты и базовые показатели в соответствии с потребностями предприятия.
Защитите другие активы
Защитите мобильные устройства
Проведите инвентаризацию всех мобильных устройств, включая серийные номера, чтобы их можно было правильно идентифицировать и затем вернуть в случае кражи. Укрепите операционную систему, применив базовые конфигурации безопасности.
Защита биоса ноутбука паролем.
Зарегистрируйте все устройства у соответствующих поставщиков и отправьте поставщику отчет в случае кражи устройства. Если украденное устройство отправляется в ремонт после того, как оно было украдено, поставщик пометит это, если у вас есть заявление о краже.
Носите его с собой в полете, не сдавайте в зарегистрированный багаж.
Никогда не оставляйте свое мобильное устройство без присмотра и храните его в незаметном чехле для переноски.
Зашифруйте все данные на устройстве
Использование замка слота для подключения ноутбука с помощью кабеля
Документы на бумажном носителе
Обучение сотрудников правильному обращению с бумажными документами.
Сведите к минимуму использование бумажных записей
Следите за тем, чтобы рабочие места содержались в чистоте, и регулярно проверяйте работу, чтобы гарантировать, что конфиденциальные документы не будут раскрыты.
Заблокируйте все конфиденциальные файлы
Запрещено работать с конфиденциальными документами дома.
Определяет уровень классификации всех файлов и, в идеале, имя их владельца и инструкции по удалению (например, хранению).
Проводите выборочные обыски, когда сотрудники покидают офис, чтобы убедиться, что конфиденциальные материалы не унесены домой.
Уничтожьте лишние конфиденциальные документы с помощью уничтожителя бумаги. Очень конфиденциальные документы рассмотрите возможность их уничтожения.
1. Безопасность и управление рисками
1. Основы информационной безопасности и управления рисками
информация
определение
Управление жизненным циклом
Основные принципы информационной безопасности
Конфиденциальность Конфиденциальность
Убедитесь, что информация не раскрывается неавторизованным пользователям или организациям во время хранения, использования и передачи.
честность Честность
Предотвратите несанкционированное вмешательство
Запретить авторизованным пользователям несанкционированное изменение информации.
Поддерживать внутреннюю и внешнюю согласованность информации.
Внутренняя согласованность: избыточная информация, хранящаяся в системе, должна быть согласованной.
Внешняя согласованность: информация, хранящаяся в системе, соответствует внешнему отчету о реальной ситуации.
Доступность Доступность
Убедитесь, что авторизованные пользователи или организации могут нормально использовать информационные ресурсы, не будут ненормально отклонены и обеспечивают надежный и своевременный доступ к информации.
Противоположная тройка ПАПА
УтечкаРаскрытие информации
ВмешательствоИзменение
Разрушение
Информационная безопасность Технологии, связанные с ЦРУ
Конфиденциальность, С
Шифрование данных (весь диск, шифрование данных)
Шифрование передаваемых данных (IPSec, SSL, TLS, PPTP, SSH)
Контроль доступа (физический и технический контроль)
Честность, я
Хеширование (целостность данных): подписание кода
Управление конфигурацией (система завершена)
Управление изменениями (полный процесс)
Контроль доступа (физический и технический контроль)
Программная цифровая подпись
Функция проверки CRC передачи (может использоваться для нескольких уровней сетевой передачи)
Наличие,А
Резервный дисковый массив RAID
кластер
Балансировка нагрузки
Резервные линии передачи данных и электропередачи
Программное обеспечение и резервное копирование данных
образ диска
Расположение и внешняя инфраструктура
функция отката
Конфигурация аварийного переключения
Классификация мер безопасности
Пути и средства
административный контроль
Разрабатывать стратегии, стандарты, меры и руководящие принципы
Управление рисками
безопасность персонала
Обучение по вопросам безопасности
технический контроль /логическое управление
Внедрять и поддерживать логические механизмы контроля доступа.
Управление паролями и ресурсами
Методы идентификации и аутентификации
спасательное оборудование
Контроль физики
Меры по контролю индивидуального доступа на объекты и в различные подразделения (контроль доступа, охрана, замки)
Охрана периметра объекта (заборы, стены, освещение)
Физическое обнаружение вторжений
экологический контроль
эффект
функция управления
профилактический
сдерживающий фактор
Обнаружить линию
корректирующий
восстановительный
Резервное копирование, BCP, DRP
компенсаторный
Основы управления рисками информационной безопасности
Управление, управление рисками и соблюдение требованийGRC
Гарантия
система управления рисками
2. Управление безопасностью и структура системы безопасности
Эталонная структура управления безопасностью
ИТ-контроль, КОБИТ
Внутренний контроль – целостная система, COSO Структура внутреннего управления предприятием
Определяет пять категорий элементов контроля, которые соответствуют целям финансовой отчетности и раскрытия информации.
контрольная среда
оценка риска
контрольная деятельность
Информация и коммуникация
монитор
Система, позволяющая многим организациям обеспечить соответствие требованиям SOX 404.
Управление ИТ-услугами, ITIL (Best Practice Framework)
ITIL — лучшие практики управления ИТ-услугами.
Стандарт управления ИТ-услугами (ISO/IEC20000)
пять этапов
Стратегия обслуживания
сервис-дизайн
переход службы
Сервисная операция
Постоянное улучшение сервиса
Фреймворк Захмана
Создатель корпоративной архитектуры
Корпоративная структура TOGAF
ADM, модель разработки и поддержки архитектур
Структура архитектуры безопасности SABSA
Справочник по средствам безопасности, NIST SP800-53r5
КММ&КММИ модель зрелости разработки программного обеспечения &Интеграция модели зрелости
Модель зрелости возможностей CMM
НачальныйПервоначальный/Специальный
ПовторяемыйПовторяемый
Определенный
Управляемые метрики
ОптимизацияОптимизацияпостоянное улучшение
Интеграция модели зрелости возможностей CMMI
НачальныйНачальный
Удалось
Определенный
Количественно управляемый
Оптимизация
Управление информационной безопасностью
Два фактора успеха или провала информационной безопасности: технологии и управление
Информация ISO27001 Стандарты системы управления безопасностью
Модель PDCA
План: Определите цели контроля и меры контроля на основе результатов оценки рисков, законодательных и нормативных требований, организационной деятельности и эксплуатационных потребностей.
Внедрить, сделать: реализовать выбранные меры безопасности.
Проверка: на основе политики, процедур, стандартов, законов и правил.
Меры, действие: принять контрмеры на основе результатов проверки для улучшения ситуации с безопасностью.
Комплексный набор средств контроля, основанный на лучших практиках информационной безопасности.
Версия 2013 г., 14 доменов, 35 человек, 114 элементов управления.
эффективность информационной безопасности
ИСО27004
Управление рисками информационной безопасности
ИСО27005
3. Закон, этика и соблюдение требований
компьютерное преступление
Характеристика компьютерной преступности
Расследовать и собирать доказательства сложно, а доказательства легко уничтожить (глава 7).
Соответствующие законы неполны
Межрегиональные характеристики
По статистике, инсайдеры чаще совершают преступления.
Пострадавшие учреждения иногда не сообщают об этом, опасаясь повлиять на нормальную работу учреждения и подорвать доверие пользователей к нему.
Виды компьютерных преступлений
Компьютерная преступность
Преступления против компьютеров, сетей и информации, хранящейся в этих системах.
Преступления с помощью компьютера: использование компьютеров в качестве инструментов, способствующих совершению преступлений. Компьютеры не являются необходимым фактором преступности, они используются только как инструменты помощи преступникам.
Преступления, связанные с компьютером: компьютер должен быть злоумышленником или жертвой, Просто случайно участвовал в нападении, когда оно произошло.
Правовая система
общее право
уголовное право
гражданский закон
административное право
система гражданского права
система общего права
религиозная правовая система
смешанная правовая система
интеллектуальная собственность
Коммерческая тайна
Способность компании конкурировать или работать на рынке имеет решающее значение.
Неизвестно, компания вложила соответствующие ресурсы и усилия в развитие
Компания надлежащим образом защищена от раскрытия или несанкционированного использования.
Пример
распространение продукции
Исходный код программы
Алгоритм шифрования
Авторские права
Защищенные законом права публично публиковать, копировать, демонстрировать и изменять новые произведения.
Он защищает не творчество произведения, а выражение творчества.
Пример
Программный код, исходный код и исполняемые файлы, даже пользовательские интерфейсы.
литература
рисование
мелодия песни
товарный знак
Он защищает слова, имена, символы, формы, звуки и цвета, которые представляют имидж компании.
Товарный знак является символом доброй воли и доверия, установленного компанией в ее деятельности на рынке.
Товарные знаки обычно регистрируются в агентстве по регистрации товарных знаков.
патент
Любой закон, который налагает права собственности на патентного регистранта или компанию и запрещает несанкционированное использование другими лицами или компаниями.
Патент действителен в течение 20 лет.
Пример
лекарственные формы
Алгоритм шифрования
Классификация программного обеспечения
бесплатно программное обеспечение
условно-бесплатное ПО
программное обеспечение с открытым исходным кодом
коммерческое программное обеспечение
академическое программное обеспечение
конфиденциальность
цель обработки
Активно стремится защитить личную информацию граждан (PII)
Активно стремиться сбалансировать потребности правительства и бизнеса с проблемами личной безопасности в отношении сбора и использования персональных данных.
личная конфиденциальность
тип
право быть оставленным в покое
Защита от необоснованных прав физических лиц
Право решать, какая личная информация может быть распространена и кому
На что следует обратить внимание
Чтобы предотвратить необоснованные нарушения, основной задачей является информированное согласие и соответствующие защитные меры.
Чтобы предотвратить отсутствие соответствующих методов, сутью является «справедливость и справедливость» и существует механизм исправления ошибок.
Принципы использования личной информации
Обязанности Контролера персональных данных
Сбор персональных данных требует согласия субъекта данных и уведомления о цели.
Собирайте только данные, связанные с целью и использованием, и сохраняйте их только в течение периода, необходимого для этой цели.
Методы сбора и использования данных должны быть законными.
Принять разумные меры, технические, управленческие и оперативные меры для предотвращения злонамеренного посягательства на личную информацию, обеспечить целостность и конфиденциальность данных, а также очистить устаревшие данные для предотвращения доступа к ним тех, кому они необходимы для бесцельной работы.
Обязанности и права субъектов персональных данных
Просмотрите собранную информацию и исправьте ошибки.
GDPR Общие положения о защите данных
личные данные
Любые данные, относящиеся к идентифицированному или другому физическому лицу («субъект данных»)
Особые категории персональных данных (конфиденциальные данные)
этническое происхождение
Политические взгляды
Религиозные или философские убеждения или членство в профсоюзе
генетические данные
биометрические данные
данные, связанные со здоровьем
Данные, касающиеся сексуальной жизни или сексуальной ориентации физического лица
Принципы обработки персональных данных:
Законно, честно и прозрачно
Персональные данные должны обрабатываться законным, справедливым и прозрачным образом, включая защиту данных.
ограничение цели
Контролеры и обработчики должны собирать персональные данные для ясных, разборчивых и законных целей, а обработка персональных данных не должна выходить за рамки цели, для которой они были собраны.
минимизация данных
Объем персональных данных, собираемых контролерами и обработчиками, должен быть ограничен тем, что необходимо для достижения цели, а действия по обработке персональных данных должны быть гарантированы в минимальной степени, необходимой для достижения цели.
точность
лимит хранения
Честность и конфиденциальность
субъект данных
идентифицируемое физическое лицо физическое лицо, которое можно прямо или косвенно идентифицировать
Права субъектов данных
доступный
нежелательный
Может быть отозван
Может быть ограничено
исправимый
Портативный
Стираемый (право на забвение)
контроллер данных
Определить цели и средства обработки персональных данных
процессор данных
Обрабатывать данные в соответствии с требованиями контролера данных
псевдонимизация
Деидентификация
Псевдонимизация данных – это обработка персональных данных таким образом, что персональные данные не могут быть связаны с конкретным субъектом данных без использования дополнительной информации. Этот процесс обратим (пока есть соответствующий КЛЮЧ), и этот человек по-прежнему считается персональными данными.
Анонимизировать
Данные не могут быть связаны с отдельными лицами
Анонимизированные данные больше не являются персональными данными.
этика
Кодекс этики ISC2
Защитить общество, общественные интересы и инфраструктуру, а также завоевать необходимую информацию и доверие со стороны Федерации промышленности и торговли. Будьте честными, честными, справедливыми, ответственными и законопослушными Содействовать развитию отрасли и поддерживать профессиональную репутацию Добросовестный, ответственный и профессиональный
4. Стратегия и организация информационной безопасности
охранная документация
Политика/Политика Политика меняется реже, процедуры меняются чаще
политика
Нормативный подход
Консультативная политика
Индикативная политикаИнформационная
Самое общее заявление об информационной безопасности
Обязательство высшего руководства взять на себя ответственность за информационную безопасность
Опишите, что и цели защищать
Стандартный
Создать механизм обеспечения соблюдения политики
Руководство/Руководство
Подобно стандартам, методы повышения безопасности системы являются рекомендациями.
Базовый уровень безопасности
Соответствовать минимальному уровню требований безопасности, требуемому политикой.
Процедура/Шаг/Процедура
Подробные шаги для выполнения конкретной задачи
Программа представляет собой детальное описание (КАК) конкретных шагов по выполнению задачи защиты.
охранная организация
1. Старшее руководство/исполнительное руководство Генеральный директор, финансовый директор, операционный директор
Полная ответственность за информационную безопасность и последнее лицо, отвечающее за информационную безопасность.
Планируйте информационную безопасность, определяйте цели и ограниченные последовательности, а также делегируйте обязанности по информационной безопасности.
Уточнение целей информационной безопасности и моделирования для руководства деятельностью по информационной безопасности.
Предоставление ресурсов для деятельности по информационной безопасности
Принимайте решения по важным вопросам
Координировать взаимоотношения между различными звеньями в разных подразделениях организации.
2. Эксперт по информационной безопасности
Отвечает за внедрение и поддержание безопасности, делегированное высшим руководством (обычно ИТ-директору).
Проектирование, внедрение, управление и анализ политик, стандартов, руководств и процедур безопасности организации.
Координировать все связанные с безопасностью взаимодействия между подразделениями внутри организации.
3. Директор по информационным технологиям, директор по информационным технологиям
Контролировать и нести ответственность за повседневную техническую деятельность компании.
4. Начальник службы безопасности, CSO
Обеспечьте должную защиту активов деловой информации.
Играть роль внутреннего координатора и координатора информационной безопасности.
Необходимо понимать бизнес-цели организации, направлять процесс управления рисками и обеспечивать Достичь правильного баланса между бизнес-операциями и приемлемыми рисками.
Конкретные обязанности
Бюджет на мероприятия по информационной безопасности
Разработка стратегий, процедур, базовых показателей, стандартов и руководств развития.
Разработать программу повышения осведомленности о безопасности
Участвовать в совещаниях руководства
Помощь в проведении внутреннего и внешнего аудита
5. Руководящий комитет по безопасности ССГ рулевое управление
Члены состоят из людей из всех отделов организации, включая руководство генерального директора, финансового директора, директора по информационным технологиям, менеджеров отделов и главных внутренних аудиторов.
Встречайтесь не реже одного раза в квартал с четкой повесткой дня.
Обязанности
Определить приемлемый уровень риска организации
Определить цели и стратегии безопасности
Расставьте приоритеты в мероприятиях по обеспечению безопасности в зависимости от потребностей бизнеса
Просмотр отчетов об оценке рисков и аудите
Мониторинг влияния рисков безопасности на бизнес
Рассмотрение крупных нарушений и инцидентов безопасности
Утвердить любые существенные изменения в политиках и планах безопасности.
6. Комитет по аудиту
Назначается Советом директоров для помощи в проверке и оценке внутренней деятельности компании, систем внутреннего аудита, а также прозрачности и точности финансовой отчетности.
Ответственный
Целостность финансовой отчетности и финансовой информации компании.
Система внутреннего контроля компании
Наем и деятельность независимых аудиторов
Выполнение функции внутреннего аудита
Соблюдать требования законодательства и политики компании, связанные с этикой.
7. Комитет по управлению рисками
Понять риски организации в целом и помочь высшему руководству снизить риски до приемлемого уровня.
Изучите общие бизнес-риски, а не только риски ИТ-безопасности.
план безопасности
Построение информационной безопасности организации должно осуществляться по плану, а план управления безопасностью должен быть нисходящим.
Обязанности
1. Высшее руководство определяет политику безопасности организации.
2. Средний уровень будет завершать разработку стандартов, базовых показателей, функций и процедур политики безопасности и контролировать их выполнение.
3. Бизнес-менеджеры и эксперты по безопасности несут ответственность за реализацию конфигураций, сформулированных в файле политики безопасности.
4. Конечные пользователи несут ответственность за соблюдение всех политик безопасности организации.
тип
Стратегический план стратегический план
Долгосрочный план, например, 5 лет.
Относительно стабилен и определяет цели и миссию организации.
тактический план Тактический план
Среднесрочный план, например, 1 год.
Подробное описание задач и хода реализации целей, установленных в стратегическом плане. Например, планы занятости, бюджетные планы и т. д.
Операционный план операционный план
Краткосрочные, очень подробные планы, часто обновляемые
Ежемесячные или ежеквартальные обновления, такие как планы обучения, планы развертывания системы и т. д.
5. Управление рисками
концепция
Процесс, который идентифицирует и оценивает риски, снижает риски до приемлемого уровня и реализует соответствующие механизмы для поддержания этого уровня.
100% безопасной среды не существует. Управление рисками — это баланс между технологией/стоимостью и безопасностью/доступностью.
Риск = Угроза * Уязвимость * Стоимость актива
Риск = Влияние * Возможность
возможность
Конкретные угрозы используют слабое течение актива, чтобы создать потенциальные риски для актива или активов.
Влияние
Последствия, прямой или косвенный ущерб или вред, причиненный организации непредвиденным событием.
Связанные элементы
Активы: информационные активы, имеющие ценность для организации.
угрожать
Потенциальные причины возникновения практики обеспечения безопасности, которая может нанести вред активу или организации.
Моделирование угроз СТРАЙД
Моделирование угроз предполагает структурированный подход к систематическому выявлению и оценке угроз, которые с наибольшей вероятностью могут повлиять на систему.
Посмотрите, кто, скорее всего, захочет напасть на нас, проведите мозговой штурм, как они могут достичь своих целей, а затем придумайте контрмеры, чтобы остановить такие атаки.
Уязвимости/уязвимости Уязвимость
Слабость, также известная как уязвимость или слабость, существует в активе или группе активов и может быть использована угрозами. Как только уязвимость будет использована, она может привести к повреждению актива.
Меры безопасности
Средства контроля или контрмеры, то есть механизмы, методы и меры по снижению рисков путем предотвращения угроз, уменьшения уязвимостей, ограничения воздействия неожиданных событий и т. д.
остаточный риск
Риски, которые остаются после принятия мер безопасности
оценка риска
основная миссия
1. Определить элементы, составляющие риски
2. Оценить вероятность и влияние рисков
3. Определить способность организации противостоять риску.
4. Определить стратегии, цели и ограниченные последовательности действий по снижению и контролю рисков.
5. Рекомендовать меры по снижению риска для реализации.
метод
Оценка рисков (ISO27005)
Определить риски
Определить информационные активы
Создайте список активов и используйте бизнес-процессы для идентификации информационных активов.
Определите владельца, хранителя и пользователя каждого актива.
Форма, в которой существует актив
Электронные данные: базы данных и файлы данных, руководства пользователя и т. д.
Письменные контракты: контракты, стратегические рекомендации, архивные документы, важные бизнес-результаты.
Программные активы: прикладное программное обеспечение, системное программное обеспечение, инструменты разработки, программное обеспечение.
Физические активы: магнитные носители, электропитание и кондиционирование воздуха, сетевая инфраструктура, серверы и т. д.
Люди: люди или роли с конкретными функциями и обязанностями.
Услуги: Компьютерные и коммуникационные услуги, аутсорсинговые услуги, другие технические услуги.
Организационный имидж и репутация: нематериальные активы
Выявление угроз
Актив может подвергаться множеству угроз, и угроза может затронуть несколько активов.
Определить источники угроз
Угроза персоналу
Системные угрозы
экологические угрозы
природные угрозы
Оцените слабые стороны
Возможные уязвимости для каждого актива
техническая слабость
эксплуатационные недостатки
управленческая слабость
путь идентификации
Отчеты об аудите: отчеты о практике, отчеты о проверке безопасности, отчеты о тестировании и оценке системы.
Инструменты автоматического сканирования уязвимостей
Анализируйте риски
Анализ факторов
Влияние
прямой ущерб, причиненный ущербом
Стоимость восстановления активов, включая трудовые и физические затраты на обнаружение, контроль и ремонт.
Потеря общественного имиджа и репутации организации, потеря конкурентного преимущества
Другие убытки, такие как увеличение расходов на страхование
возможность
Количественный анализ рисков
Количественный анализ рисков пытается предусмотреть все элементы процесса анализа рисков.
Стоимость защитных мер, стоимость активов, влияние на бизнес, частота угроз Каждый элемент, такой как эффективность защитных мер и вероятность использования уязвимости, оценивается количественно, и, наконец, рассчитывается общий риск и остаточный риск.
Этапы количественного анализа
Присвойте ценность активам
Оцените потенциальные потери для каждой угрозы
Оцените угрозы и слабые места, а также оцените влияние конкретных угроз на конкретные активы, то есть EF (0–100 %).
Выполните анализ угроз
Рассчитать годовой уровень заболеваемости ARO
Частота мероприятий: ARO
Ожидание единого убытка (SLE), рассчитанное для каждого актива и угрозы.
SLE (ожидание единого убытка) = актив стоимость (стоимость актива) xEF (коэффициент риска)
Рассчитайте потенциальные годовые потери для каждой угрозы
Годовое ожидание убытков (ALE) по каждой угрозе
АЛЕ=СЛЕ Х АРО
ROSI=ALE1-ALE2-Контр.Стоимость
Качественный анализ рисков
Рассмотрите сценарии, в которых могут возникнуть различные риски, и ранжируйте серьезность различных угроз и эффективность различных контрмер, исходя из разных точек зрения.
методы качественного анализа
Суждение, передовая практика, прямота и опыт
Методы качественного анализа для сбора данных
Методы группового принятия решений, Delphi
Анкета
исследовать
Интервью
Качественные и количественные методы
Качественные методы и результаты относительно субъективны.
Качественные методы не могут установить денежную стоимость для анализа затрат/выгод.
Количественные методы требуют большого количества вычислений и сложны в реализации.
Оцените риск Оценить
НИСТ СП800-30 и СП800-66
Качественный подход RA с акцентом на ИТ-риски
1. Классификация системы, 2. Идентификация слабых мест, 3. Идентификация угроз, 4. Идентификация симметрии, 5. Оценка возможности, 6 Оценка воздействия, 7. Оценка риска, 8. Новая рекомендация по симметрии, 9 Отчет о документе
ОКТАВА
Спецификация автономной оценки рисков информационной безопасности, основанная на рисках информационных активов с упором на управление активами, состоящая из 3 этапов и 8 процессов.
Подход OCTAVE развертывает программы управления рисками в масштабах всей организации и интегрируется с планами безопасности.
КРАММ
Основные процессы, идентификация и оценка активов, оценка угроз и уязвимостей, выбор симметрии и рекомендации
ФРАП
После ограниченного скрининга сосредоточьтесь только на тех системах, которые действительно нуждаются в оценке, чтобы сократить затраты и время.
Ситуация с ограниченным бюджетом
СТА
Создайте дерево всех угроз, с которыми может столкнуться система. Ветви могут представлять такие категории, как сетевые угрозы, физические угрозы, сбои компонентов и т. д. При выполнении RA неиспользуемые ветви необходимо удалить.
ФЕМА
На основе анализа аппаратного обеспечения исследуется потенциальный отказ каждого компонента или модуля, а также исследуются последствия отказа.
стратегия управления рисками
Методы обработки рисков
Смягчить/уменьшить/ослабить риск Смягчить/уменьшить риск меры контроля
уменьшить угрозы
Внедрить средства контроля вредоносного кода
Укрепить возможности безопасной эксплуатации посредством обучения технике безопасности.
План аварийного восстановления и план обеспечения непрерывности бизнеса, создание резервных копий
Избегайте рискаИзбегайте риска
Трансфертный риск Трансфертный риск
Аутсорсинг, покупка страховки
Принять рискПринять риск
Стратегии выбора мер по контролю рисков
Анализ выгоды и затрат
Основной принцип: стоимость реализации мер безопасности не должна превышать стоимость защищаемых активов.
Симметричные затраты: затраты на приобретение, влияние на эффективность бизнеса объекта, дополнительные трудовые и материальные ресурсы, затраты на обучение, затраты на содержание и т.д.
Стоимость контроля = ALE до внедрения контроля - ALE после внедрения контроля - Годовая стоимость контроля
Ограничения
временные ограничения, технические ограничения, экологические ограничения
правовые ограничения, социальные ограничения
Основные функции и эффективность защитных мер
Оценить остаточный риск
Классификация информации и иерархическое управление (глава 2)
Цель: Описать уровень защиты конфиденциальности, целостности и доступности, необходимый для каждого набора данных.
В зависимости от конфиденциальности информации компания принимает различные меры безопасности, чтобы обеспечить должную защиту информации и указать приоритет защиты (избегая при этом чрезмерной защиты).
6. Требования BCP и DRP
Обзор ППГ (DRP в главе 7)
что такое катастрофа
Внезапные несчастные случаи, которые приводят к большим потерям.
включать
Стихийные бедствия: землетрясения, наводнения, природные пожары, извержения вулканов, суровая конвективная погода.
Системные/технические: аппаратные, программные сбои, системные/программные ошибки.
Системы снабжения, перебои в связи, сбои в распределительных системах, разрывы труб
Искусственное воздействие, взрыв, пожар, вандализм, химическое загрязнение, вредный код
политические, терроризм, беспорядки, забастовки
Масштабные эпидемии, SARS, COVID-19
организационная катастрофа
Для организации любое событие, которое делает критически важные бизнес-функции недоступными в течение определенного периода времени, считается катастрофой.
Функции
Незапланированное отключение услуг
Длительный перерыв в обслуживании
Отключение невозможно устранить с помощью обычных процедур управления проблемами.
Сбои приводят к значительным потерям
два элемента
Критичность бизнес-функций, пострадавших в результате сбоя
продолжительность перерыва
план продолжения работы компании
Цель непрерывности бизнеса
Обеспечение того, чтобы организации могли поддерживать бизнес-операции, несмотря на различные ситуации.
Решать проблемы в долгосрочной перспективе, в основном предоставляя методы и меры для долгосрочных остановок производства и стихийных бедствий.
Цели
Обеспечить своевременное и адекватное реагирование в случае возникновения чрезвычайной ситуации.
Защитите жизни и обеспечьте безопасность
Уменьшить влияние на бизнес
Восстановите критически важные бизнес-функции
Меньше хаоса в стихийных бедствиях
Обеспечить производственную мощность компании
Быстро приступить к работе после стихийного бедствия
BCP должен соответствовать бизнес-целям организации и быть частью общего процесса принятия решений.
BCP должен быть частью программы безопасности организации и координироваться с другими элементами программы безопасности.
План аварийного восстановления (DRP)
Цели аварийного восстановления
Уменьшите последствия стихийных бедствий или перерывов в работе бизнеса
Примите необходимые меры для скорейшего восстановления ресурсов, людей и бизнес-процессов.
Уделяйте больше внимания ИТ-аспекту
Стандарты и лучшие практики
НИСТ СП800-34
1. Разработать стратегию планирования непрерывности (Политика)
2. Провести анализ влияния на бизнес (BIA).
3. Определить методы профилактического контроля.
4. Разработайте стратегию восстановления.
5. Разработать ПБП
6. Тестирование БКП
7. Поддержание плана обеспечения непрерывности бизнеса
ИСО27031
ИСО22301
Анализ влияния на бизнес BIA
Цель BIA
Помощь руководству в понимании последствий потенциальных сбоев.
Определите критически важные бизнес-функции и ИТ-ресурсы, поддерживающие эти функции.
Помощь менеджерам в выявлении пробелов в организационной поддержке.
Последовательность восстановления ИТ-ресурсов
Анализируйте последствия сбоев
Потеря дохода
Расходы на отложенный доход
Потеря производительности
Увеличение операционных расходов (Увеличение операционных расходов)
Потеря репутации и общественного доверия.
Потеря конкурентных преимуществ
Нарушения договоров подряда
Нарушения законодательных и нормативных требований
Определите окна восстановления для каждой бизнес-функции.
Процесс BIA
1. Определиться с технологией сбора
Опросы, Анкеты
2. Выберите респондентов
3. Определите критически важные бизнес-функции и их вспомогательные ресурсы.
4. Определите, как долго эти функции смогут сохраняться, если они потеряют поддержку этих ресурсов.
5. Выявить слабые стороны и угрозы
6. Рассчитайте риски для каждой бизнес-функции
7. Подготовьтесь к подаче отчета BIA.
Проблемы
Предложения по ответам
Анализ информации BIA
Дранизе, Коррелят АнализАнализ, Подтверждение
Регулярные и количественные автоматизированные инструменты помогают в сопоставлении и анализе информации.
Представитель бизнеса проверяет и подтверждает результаты анализа информации.
Определить время перерыва в работе MTD
Основная задача анализа воздействия на бизнес — определить максимально допустимое время простоя (MTD) критически важных бизнес-функций и их вспомогательного персонала.
Ресурсы, поддерживающие несколько бизнес-функций, более важны.
Время прерывания превышает максимально допустимое время прерывания. Максимально допустимое время простоя.
затруднит восстановление бизнеса, тем более критические функции или ресурсы
Последовательность восстановления критически важных бизнес-функций и их вспомогательных ресурсов на основе MTD.
Определение ресурсов поддержки
ресурс
• Человеческие ресурсы
– Например, операторы, эксперты, пользователи системы и т. д.
• Возможность обработки
– Такие как центры обработки данных, резервные центры обработки данных, сети, миникомпьютеры, рабочие станции, персональные компьютеры и т. д.
• Физическая инфраструктура
– Такие как офисы, офисная мебель, системы экологического контроля, электроснабжения, водоснабжения, логистические услуги и т. д.
• Компьютерные услуги
– Такие как услуги передачи голоса и данных, услуги баз данных, услуги объявлений и т. д.
• Приложение и данные
– Различные запущенные программы и данные, хранящиеся на компьютерном оборудовании.
• Документы и бумаги
Документы и информация, такая как процедуры работы с контрактными счетами и другие документы.
Определите все вспомогательные ресурсы (включая некомпьютерные ресурсы) для ключевых функций, период использования ресурсов, влияние ресурсов на функции и взаимозависимости между ресурсами.
Показатели аварийного восстановления
Объект времени восстановления, RTO
Максимальное количество времени, которое может пройти до того, как невозможность работы системы серьезно повлияет на организацию.
Цели точки восстановления, Цели точки восстановления, RPO
Точка, в которой данные должны быть восстановлены для продолжения обработки. То есть максимально допустимый объем потери данных
Время восстановления работы, WRT
События восстановления работы относительно фиксированы
RTO WRT=MTD
Планирование проекта ППГ
Подготовительные мероприятия перед запуском проекта ППГ
1. Определить требования BCP, которые могут включать целевой анализ рисков для выявления возможных сбоев в работе критически важных систем.
2. Понимать соответствующие законы, правила, отраслевые спецификации и требования бизнес- и технического планирования организации, чтобы гарантировать, что BCP соответствует им.
3. Назначьте руководителя проекта BCP и создайте команду BCP, включая представителей бизнеса и технических отделов.
4. Разработать план управления проектом, который должен четко определить масштаб проекта, цели, методы, обязанности, задачи и ход выполнения.
5. Проведите стартовое собрание проекта, чтобы получить поддержку руководства.
6. Определите инструменты автоматизации, необходимые для сбора данных.
7. Обучение необходимым навыкам и мероприятия по повышению осведомленности учреждений.
Руководитель проекта БЦП
Как руководитель проекта BCP, координатор по обеспечению непрерывности бизнеса несет полную ответственность за планирование, подготовку, обучение и другие задачи проекта.
рабочие задачи
1. Коммуникация и связь между планируемой командой разработчиков и руководством.
2. Право иметь прямой контакт и общение со всеми, кто участвует в плане.
3. Полностью осознавать влияние перерыва в производстве на бизнес организации.
4. Быть знакомым с потребностями и деятельностью организации и иметь возможность сбалансировать различные потребности соответствующих отделов.
5. Более легкий доступ к высшему руководству
6. Понять направление деятельности организации и намерения высшего руководства.
7. Возможность влиять на решения высшего руководства.
Ключевые роли в проекте BCP
1. Команда восстановления, несколько команд, занимающихся оценкой, восстановлением, восстановлением и т. д. после катастрофы.
2. Представители бизнес-подразделения определяют ключевые бизнес-функции организации и помогают в выборе и формулировании стратегии восстановления.
3. ИТ-отдел
4. Отдел коммуникаций
5. Отдел информационной безопасности
6. Законный представитель
Политика BCP (Политика)
Планирование BCP должно в конечном итоге сформировать стратегию обеспечения непрерывности бизнеса.
цели, возможности, потребности
Основные принципы и рекомендации
Обязанности и ответственность
Основные требования к ключевым ссылкам
Условия политики должны быть официально одобрены высшим руководством и опубликованы в качестве организационной политики для руководства усилиями по обеспечению непрерывности бизнеса.
7. Безопасность персонала
Контроль подбора персонала
проверка данных
Снизьте риски, сократите затраты на подбор персонала и сократите текучесть кадров.
Оценка навыков
соглашение о конфиденциальности
Защитите конфиденциальную информацию компании
Контроль персонала на рабочем месте (Глава 7)
Разделение обязанностей
наименьшая привилегия
ротация должностей
принудительный отпуск
Контроль выезда персонала
Отключение прав доступа уволившимся сотрудникам
Утилизация идентифицируемых объектов
Сторонний контроль персонала
Если третье лицо отсутствует, но имеет права администратора
Соглашения о конфиденциальности должны быть подписаны со сторонними организациями и частными лицами.
Контролировать всю рабочую деятельность третьих лиц
Убедитесь, что личность стороннего персонала проверена при доступе
Если присутствует третья сторона и имеет права администратора
На основании апелляционных мер проверка биографических данных членов семьи
Сторонний персонал покидает сайт, и ему необходимо забрать соответствующие разрешения.
Условия договора с третьими лицами, требования конфиденциальности и соответствующие коммерческие условия.
Осведомленность в области безопасности, обучение и образование
Образование
Предоставление специалистам по безопасности технических знаний, необходимых им для выполнения своей работы.
Режим: теоретическое руководство, семинары, чтение и изучение, исследования.
информация о безопасности
Почему
Обучение
Навыки работы, связанные с безопасностью передачи данных, в основном для персонала по управлению и техническому обслуживанию информационных систем.
Метод: Практическое руководство, лекции, тематические исследования, эксперименты.
получать знания
Как сделать
Сознание, Осознание
Общая коллективная осведомленность сотрудников организации о важности безопасности и контроля.
Метод: видео, медиа, плакат и т. д.
Отправить сообщение
что