Надявам се, че тази консолидация на основните концепции и процеси ще бъде от полза за онези, които се интересуват да станат членове на проучвателната група на CISSP, и за общността.
Този документ има за цел да бъде допълнение, а не заместител на официално публикувани учебни ръководства и книги. Може да съм добавил множество дефиниции на един и същ процес или процедура поради различните дефиниции от различни ресурси, като например официалните публикации на CBK, Sybex, NIST, документите на SANS или книгите на AIO Shon Harris. Ако срещнете някакви конфликти, моля, вижте най-новите официални книги CISSP CBK, AIO и Sybex. Като кандидат за CISSP, вие трябва напълно да разбирате концепциите, методологиите на CISSP и тяхното внедряване в организацията.
Моля, не опитвайте пряк път, когато става въпрос за четене на книги и придобиване на знания. Тази бърза справка трябва да се използва като кратко обобщение на концепциите за сигурност. Важно е първо да прочетете официалните книги на CISSP и след това да използвате тези бележки, за да обобщите наученото. Желая ви успех на изпита CISSP.
CISSP
Ръководство за процеса
V.20
От: Фади Сода (известен още като madunix)
CISSP CISA CFR ICATE
Обмен на експерти
Заглавие. CISSP Process GuideVersion. 20 Освобождаване. 2018 г
CISSP е регистрирана сертификационна марка на [lSC)2, Inc. - Отказ от отговорност: Fadi Sodah не е свързан или одобрен от (ISC]2
Корпоративно управление:
Корпоративното управление е набор от отговорности и практики, упражнявани от борда и изпълнителното ръководство с цел осигуряване на стратегическо ръководство, гарантиране, че целите са постигнати, удостоверяване, че рискът се управлява по подходящ начин и проверка, че ресурсите на предприятието се използват отговорно.
• Одит на веригите за доставки
• Структура и процес на управление и управление
• Корпоративна отговорност и съответствие
• Финансова прозрачност и разкриване на информация
• Структура на собствеността и упражняване на контролни права
Управление, риск и съответствие (GRC):
Процесът на това как една организация управлява своите информационни ресурси. Този процес обикновено включва всички аспекти на това как се вземат решения за тази организация, като политики, роли и процедури, които организацията използва, за да вземе тези решения. Той е предназначен да гарантира, че бизнесът се фокусира върху основните дейности, изяснява кой в организацията има правомощията да взема решения, определя отчетността за действията и отговорността за резултатите и разглежда как ще бъде оценено очакваното представяне.
Области на фокус за ИТ управление:
• Стратегическо привеждане в съответствие
• Доставка на стойност
• Управление на ресурсите
• Управление на риска
• Управление на производителността
Управление срещу управление:
• Надзор срещу внедряване
• Присвояване на правомощия срещу разрешаващи действия
• Въвеждане на политика срещу налагане
• Отчетност срещу отговорност
• Стратегическо планиране срещу планиране на проекти
• Разпределение на ресурси срещу използване на ресурси
Забележка:
Управление: (Какво трябва да постигнем). Управлението обикновено се фокусира върху привеждането в съответствие на вътрешните изисквания, като например корпоративни политики, бизнес цели и стратегия. Управление: (Как)
Правила за сигурност:
• Определете обхвата
• Идентифицирайте всички активи
• Определете нивото на защита
• Определете личната отговорност
• Разработете последствия за неспазване
Значението на следните стандарти на Infosec:
Създаването и използването на общи, доказани практики е важна част от една успешна програма за информационна сигурност. Стандартите не само поддържат проактивно управление и ефективно намаляване на риска, приемането и последователното следване на стандарт може да донесе допълнителни ползи за всяка организация.
• ДОВЕРИЕ & УВЕРЕНИЕ. Когато организациите получат сертификати, които демонстрират съответствие, те създават чувство на доверие и увереност сред служителите и трети страни, с които взаимодействат.
• ПО-ДОБРИ РЕЗУЛТАТИ. Когато говорите един и същ жаргон, резултатите са по-продуктивни, ефективни и сплотени. Например, оценките на доставчиците могат да бъдат по-плавни и по-бързи с официална програма за информационна сигурност.
• КОНКУРЕНТНО ПРЕДИМСТВО. Разработването на официална програма за информационна сигурност и получаването на сертификат повишава доверието на клиентите и заинтересованите страни в това как рисковете за информационна сигурност се управляват и привеждат в съответствие с техния собствен риск.
• КОРПОРАТИВНА ОТГОВОРНОСТ. Притежаването на сертификат за информационна сигурност може да помогне на организациите да демонстрират надлежна грижа и надлежна грижа, които са задължителни изисквания за служителите на компанията и от съществено значение за смекчаване на корпоративната небрежност.
Забележка
:
Стандартите за информационна сигурност предлагат най-добри практики и споделят експертна информация. Тези стандарти позволяват на организациите да приемат, адаптират и прилагат ценна информационна програма, без да се налага да наемат експерти на пълен работен ден, да преоткриват колелото и да учат чрез проба и грешка, което е скъпо, отнема много време и е опасно.
Предизвикателства при прилагането и поддържането на стандарти:
• Време: Внедряването и поддържането на стандарти за информационна сигурност не е еднократен проект. По-скоро това е процес, който изисква отдаден, квалифициран персонал, подкрепа от висшето ръководство и непрекъснато наблюдение и подобрение. Успешното усилие ще изисква бай-ин от цялата организация.
• Цена: Стандартите могат да бъдат скъпи за прилагане и също толкова скъпи за поддръжка. В случая с ISO 27001, например, в допълнение към времето и усилията, необходими за изпълнение на стандартните изисквания, организациите трябва да предвидят бюджет за годишни такси за одит, които могат да бъдат значителни.
• Включване: Включването на висшето ръководство и собствеността върху програмата на C-ниво са критични елементи за една организация за ефективно внедряване на програма за информационна сигурност. Екипът за информационна сигурност трябва да споделя показатели, да отчита ефективността на програмата и да демонстрира нейната стойност и стратегическо съответствие с бизнес целите на организацията, за да поддържа подкрепата на висшето ръководство.
• Управление на промените: Като цяло всеки оценява стойността на защитата на информацията, докато не се наложи промяна. Екипите по сигурността, прилагащи стандарти, са изправени пред предизвикателството да постигнат деликатен баланс между сигурност и удобство.
• Непрекъснато подобряване: Стандартите имат жизнен цикъл. Когато даден стандарт е актуализиран, отговорността на всички организации, отговарящи на изискванията, е да са запознати с актуализациите и да ги внедрят до определени дати или възможно най-скоро, ако не е определен срок. В някои случаи даден стандарт може да остарее и нов стандарт трябва да бъде проучен и представен на висшето ръководство за одобрение за прилагане.
Основни изисквания за сигурност и техните подкомпоненти:
•
Сигурност на мрежата
•• Поверителност
•• Почтеност
•• Автентичност
•• Наличност
•
Управление на самоличността
•• Удостоверяване
•• Упълномощаване
•• Отчетност
•• Отмяна
•
Поверителност
•• Поверителност на данните
•• Анонимност
•• Псевдонимност
•• Несвързване
•
Доверие
•• Доверие на устройството
•• Entity Trust
•• Доверие на данните
• Устойчивост
•• Устойчивост срещу атаки
•• Устойчивост срещу неуспехи
Изисква се за отчетност:
• Идентификация
• Удостоверяване
• Одит
ЦРУ:
• Поверителност
Риск: Рискът от загуба на поверителност. Неоторизирано разкриване.
Управление: Шифроване. Удостоверяване. Контрол на достъпа.
• Почтеност
Риск: Променени данни от неоторизиран източник
Контрол: Контрол на достъпа, криптография заедно с хеширане & Събрани съобщения
• Наличност
Риск: Липса на ресурси & информация за оторизирани потребители
Контрол: архивиране, висока наличност, толерантност към грешки, съвместно местоположение
Модел ACID:
• Атомарност - е, когато всички части от изпълнението на транзакция са или ангажирани, или всички върнати назад - правете всичко или изобщо не
• Съгласуваност - възниква, когато базата данни се трансформира от едно валидно състояние в друго валидно състояние. Транзакция е разрешена само ако следва дефинирани от потребителя ограничения за цялост.
• Изолация – Това е процесът, който гарантира, че резултатите от дадена транзакция са невидими за други транзакции, докато транзакцията не приключи.
• Устойчивост – Гарантира, че резултатите от завършена транзакция са постоянни и могат да преживеят бъдещи системни и медийни повреди; тоест, след като са готови, те не могат да бъдат отменени.
Други понятия за наличност:
• Използваемост
• Достъпност
• Навременност
• Надеждност
Други понятия за поверителност:
• Чувствителност
• Дискретност
• Критичност
• Прикриване
• Тайна
• Поверителност
• Уединение
• Изолация
Някои от техниките за гарантиране на CIA са следните:
• Изолация на процеса
• Софтуерно ограничаване
• Граници с ограничения и ограничения
• Политика за най-малко привилегии
Триада DAD:
• Разкриване — Разкривайте информация и комуникации, които са предназначени да бъдат поверителни и защитени.
• Промяна — Извършете неупълномощено модифициране на информация и въведете грешки или дефекти.
• Отказ — причинява неуспех на системите или лошо функциониране и предотвратява достъпа на оторизирани потребители до данните, от които се нуждаят.
CIA-AP:
• Поверителност: Възможността за ограничаване на достъпа и разкриването на информация само до оторизирани клиенти.
• Цялостност: Способността за запазване на структурата и съдържанието на информационните ресурси.
• Наличност: Възможността за гарантиране на непрекъснат достъп до данни и ресурси от оторизирани клиенти.
• Автентичност: Способността да се гарантира, че клиентите или обектите са автентични.
• Поверителност: Способността за защита на цялата информация, отнасяща се до личната сфера на потребителите.
Преглед на контрола на достъпа:
Следва преглед на основните понятия в контрола на достъпа.
••Идентификация:
• Субекти, предоставящи идентификационна информация
• Потребителско име, потребителско име, номер на акаунт
••Удостоверяване:
• Проверка на идентификационната информация
• Парола, ПИН стойност, палецов отпечатък, смарт карта, еднократна парола
••Упълномощаване:
• Използване на самоличността на субекта заедно с други критерии за определяне на операциите, които субектът може да извършва върху обекти
• „Знам кой си, сега какво ще ти позволя да направиш?“
••Отговорност:
• Одитни регистрационни файлове и наблюдение за проследяване на субектни дейности с обекти
Процедура за одобрение на разрешение:
• Формализирано
• Одобрение от прекия мениджър, собственик на данни, специалист по сигурността
• Разрешенията за достъп следват принципа на най-малките привилегии
• Балансирайте сигурността с необходимостта от достъп
• Избягвайте да си давате твърде много привилегии — Конфликти на интереси
• Премахнете привилегията, когато вече не е необходима
Дължимото старание срещу дължимото внимание:
• Due Diligence – „Проучване“ – Проучване и разбиране на рисковете
• Надлежна грижа – „Извършване“ на всички необходими задачи, необходими за поддържане на дължимата грижа
• Надлежаща грижа – „Правене“ – Разработване на политики и процедури за справяне с риска
• Due Care означава да действате отговорно
Данни в покой:
Терминът данни в покой се отнася до данни, които се намират във външни или спомагателни устройства за съхранение, като твърди дискове (HDD), твърдотелни устройства (SSD), оптични дискове (CD/DVD) или дори на магнитна лента . Предизвикателство за защита на данните в тези състояния е, че те са уязвими не само за заплахи, които се опитват да достигнат до тях през нашите системи и мрежи, но и за всеки, който може да получи физически достъп до устройството. Стратегиите за защита на данните включват сигурен контрол на достъпа, разделяне на задълженията и прилагане на механизми за необходимост от познаване на чувствителни данни.
Данни в движение:
Данните в движение са данни, които се движат между изчислителни възли през мрежа за данни, като например интернет. Това е може би най-опасният момент за нашите данни, когато те напуснат границите на нашите защитени региони и се впуснат в онзи Див запад, какъвто е Интернет. Примери за данни в движение включват електронна поща, FTP и съобщения. Стратегиите за защита на данните за данни в движение включват следното: Сигурни процедури за влизане и сесии за услуги за прехвърляне на файлове. Криптирани чувствителни данни. Мониторингови дейности за улавяне и анализиране на съдържанието, за да се гарантира, че поверителна или свързана с поверителността информация не се предава на трети страни или се съхранява в публично достъпни файлови сървъри. Използвайте стандартни, надеждни протоколи за криптиране. Използвайте правилно конфигуриран и актуален SSL/TLS.
Използвани данни:
Използваните данни се отнасят за информацията, която се използва в момента. Използва се от персонала, както при лаптопи или преносими устройства, и информация, която се отпечатва или копира на USB памет. Това са наличните данни в крайните точки. Контролите за сигурност на данните за използваните данни ще включват защита на портове и криптиране на целия диск. Контролите срещу сърфиране през рамо, като политики за изчистване на екрана и изчистване на бюрото, също са приложими към данните в потребителските контроли.
Сигурност:
Сигурността е непрекъснат процес, а не еднократен проект. Жизненият цикъл на сигурността или колелото на сигурността е непрекъснат процес, който се състои от няколко последователни фази (етапи). Думата цикъл показва непрекъснатия и безкраен характер на такъв процес. ISO 27001 дефинира цикъла на системата за управление на информационната сигурност ISMS като PCDA: Планиране-Извършване-Проверка-Действие.
Примери за тестване на CIA Triad:
• Функционалност за сигурност: Уверете се, че софтуерът се държи според изискванията, които трябва да включват сигурност.
• Fuzz-test (или fuzzing): Въведете голямо разнообразие от извън обхвата
• Динамично валидиране: Използвайте променливи данни в кода, за да гарантирате целостта на софтуера.
• Тестване въз основа на риска: Приоритизирайте кои функции да тествате въз основа на техния потенциален риск и въздействието на техния неуспех.
• Тестване за проникване: Играйте ролята на нападател, намирайки слаби места и опитвайки експлойти.
• Тестване за удостоверяване: Уверете се, че комуникацията през мрежа като интернет е защитена чрез сигурни методи за идентификация.
• Регресионно тестване Потвърдете, че по-нови корекции, актуализации и поправки работят с по-стар код.
Съображенията за контролите за сигурност включват:
• Отговорност (може да носи отговорност)
• Проверяемост (може ли да се тества?)
• Доверен източник (източникът е известен)
• Независимост (самоопределяне)
• Последователно прилагане
• Рентабилно
• Надежден
• Независимост от други контроли за сигурност (без припокриване)
• Лесна употреба
• Автоматизация
• Устойчив
• Сигурно
• Защитава поверителността, целостта и наличността на активите
• Може да бъде „изключен“ в случай на проблем
• Не създава допълнителни проблеми по време на работа
• Не оставя остатъчни данни от своята функция
Осигуряване на инфраструктурата:
Вътрешната инфраструктура на информационните технологии (ИТ) трябва да е защитена, преди да можете сигурно да разширите ИТ в облак...
Осигуряване на инфраструктурата
• Рамка за управление
• Управление на риска
• Програмата за сигурност
• Защита на данните
• Управление на системата и данните
• Обучение за информираност относно сигурността
• Обезпечаване на потребители
• Мониторинг и правоприлагане
• Реагиране на инциденти
Оценка на въздействието върху бизнеса (BIA):
Систематичен процес за определяне и оценка на потенциалните ефекти от прекъсване на критични бизнес операции в резултат на експлоатация, бедствие, авария или извънредна ситуация.
Ключови показатели за установяване на BIA:
• SLO • RPO • MTD • RTO • WRT • MTBF • MTTR • MOR
Оценка на въздействието върху бизнеса:
• Определете приоритетите
• Идентифициране на риска
• Оценка на вероятността
• Оценка на въздействието
• Приоритизиране на ресурсите
Забележка:
Рискът никога не може да бъде смекчен до нула (няма такова нещо като „без риск“ или „перфектна сигурност“)
Анализ на въздействието върху бизнеса:
• Идентифицирайте критични функции
• Идентифицирайте критични ресурси
• Изчислете MTD за ресурси
• Идентифицирайте заплахи
• Изчислете рисковете
• Идентифицирайте решения за архивиране
Анализ на въздействието върху бизнеса:
• Изберете лица, които да интервюирате за събиране на данни
• Създайте техники за събиране на данни
• Идентифицирайте критични бизнес функции
• Идентифицирайте ресурсите, от които зависят тези функции
• Изчислете колко дълго тези функции могат да оцелеят без тези ресурси
• Идентифицирайте уязвимостите и заплахите
• Изчислете риска за всяка отделна бизнес функция
• Документирайте констатациите и ги докладвайте на ръководството
KPI на ключовия показател за ефективност въз основа на:
• BIA
• Усилие за изпълнение
• Надеждност
• Чувствителност
Забележка:
SLA често са подмножество на KPI
Метрики на програмите за сигурност:
• KPI гледа назад към историческото представяне
• KRI гледа напред, покажете колко голям риск съществува, който може да застраши бъдещата сигурност на организацията.
Планиране на непрекъснатостта на бизнеса (BCP):
• Иницииране на проекта
• Анализ на въздействието върху бизнеса
• Стратегия за възстановяване
• Планирайте дизайн и разработка
• Внедряване
• Тестване
• Постоянна поддръжка
BCP (NIST 800-34):
• Разработване на политика за планиране;
• BIA
• Идентифицирайте превантивни контроли
• Създайте стратегии за непредвидени ситуации
• Разработване на планове за извънредни ситуации
• Тествайте
• Поддръжка
ЗАЩО - Планиране на непрекъснатостта на бизнеса (BCP):
• Осигурете незабавна и подходяща реакция при извънредни ситуации
• Защитете живота и осигурете безопасност
• Намалете въздействието върху бизнеса
• Възобновете критичните бизнес функции
• Работете с външни доставчици и партньори по време на периода на възстановяване
• Намалете объркването по време на криза
• Осигуряване на оцеляване на бизнеса
• Бързо се „заработете“ след бедствие
DRP срещу BCP:
• BCP - Коригиращ контрол
• DRP – Контрол на възстановяването
• Както BCP, така и DRP – попадат в категорията на компенсиращия контрол
• BCP – не е превантивен контрол, тъй като НЕ може да предотврати бедствие
• BCP - помага за непрекъснатостта на организационната функция в случай на бедствие
• BCP - поддържане на критични функции по време на прекъсване на нормалните операции
• DRP - възстановяване до нормални операции след прекъсване
Планиране на непрекъснатостта на бизнеса (BCP):
• Политика за непрекъснатост
• Оценка на въздействието върху бизнеса (BIA)
• Идентифицирайте превантивните контроли
• Разработване на стратегии за възстановяване
• Разработете BCP
• Упражнение/Упражнение/Тест
• Поддържайте BCP
Екип за DR:
• Спасителен екип: Отговорен за справяне с непосредствената катастрофа – евакуация на служители, срив на сървърната стая и др.
• Екип за възстановяване: Отговаря за пускането в експлоатация на алтернативното съоръжение и първо за възстановяването на най-критичните услуги.
• Екип за спасяване: Отговаря за връщането на операциите в първоначалното или постоянно съоръжение (възстановяване) – (върнете ни към етапа на нормалност)
Документи за планиране на непрекъснатостта на бизнеса (BCP):
• Непрекъснатост на целите на планиране
• Декларация за важност и декларация за приоритети
• Декларация на организационните отговорности
• Декларация за спешност и график
• Документ за оценка на риска, приемане на риска и смекчаване на риска
• Програма за жизненоважни записи
• Указания за реагиране при спешни случаи
• Документация за поддържане и тестване на плана
Планът на документа за DRP/BCP трябва да бъде:
• Създаден за предприятие с отделни функционални мениджъри, отговорни за планове, специфични за техните отдели
• Копия от плана трябва да се съхраняват на множество места
• Трябва да се пазят както електронни, така и хартиени копия
• Планът трябва да се раздаде на тези, които трябва да знаят
• Повечето работодатели ще видят само малка част от плана
Планиране на непрекъснатостта на бизнеса (BCP):
• Обхват и планиране на проекта
•• Анализ на бизнес организацията
•• Избор на екип на BCP
•• Изисквания за ресурси
•• Законови и регулаторни изисквания
• Оценка на въздействието върху бизнеса
•• Определете приоритетите
•• Идентифициране на риска
•• Оценка на вероятността
•• Оценка на въздействието
•• Приоритетизиране на ресурсите
• Планиране на непрекъснатост
•• Разработване на стратегия
•• Разпоредби и процеси
•• Одобрение на плана
•• Изпълнение на плана
•• Обучение и образование
• Одобрение и внедряване
•• Одобрение от висшето ръководство (ОДОБРЕНИЕ)
•• Създаване на информираност за плана в цялото предприятие (ОСЪЗНАВАНЕ)
•• Поддръжка на плана, включително актуализиране при необходимост (ПОДДРЪЖКА)
•• Внедряване
Разработване на план за възстановяване след бедствие (DRP):
• Обхват и цели на плана
• Организация за възстановяване на бизнеса (BRO) и отговорности (Екип за възстановяване)
• Основни компоненти на плана - формат и структура
• Сценарий за изпълнение на плана
• Ескалиране, известяване и активиране на план
• Програма за жизненоважни записи и съхранение извън сайта
• Програма за контрол на персонала
• Ограничения за загуба на данни
• Администриране на плана
Процедури за План за възстановяване след бедствие (DRP):
• Отговорете при бедствие чрез предварително определено ниво на бедствие
• Оценете щетите и преценете времето, необходимо за възобновяване на операциите
• Извършете спасяване и ремонт
Елементи на стратегиите за възстановяване:
• Стратегия за възстановяване на бизнеса
•• Съсредоточете се върху възстановяването на бизнес операциите
• Съоръжение & стратегия за възстановяване на доставките
•• Съсредоточете се върху възстановяването на съоръженията и активирайте алтернативни сайтове за възстановяване
• Стратегия за възстановяване на потребителя
•• Съсредоточете се върху хората и настаняването
• Стратегия за техническо възстановяване
•• Съсредоточете се върху възстановяването на ИТ услугите
• Стратегия за възстановяване на данни
•• Съсредоточете се върху възстановяването на информационни активи
Осемте R на успешния план за възстановяване:
• Причина за планиране
• Разпознаване
• Реакция
• Възстановяване
• Възстановяване
• Връщане към нормален режим
• Почивайте и релаксирайте
• Преоценете и документирайте повторно
Програма за възстановяване след бедствие:
• Критична оценка на приложението
• Процедури за архивиране
• Процедури за възстановяване
• Процедури за внедряване
• Тестови процедури
• Планиране на поддръжката
Преглед след инцидента:
Целта е как да станем по-добри; след изпитание или бедствие:
• Съсредоточете се върху това как да се подобрите
• Какво трябваше да се случи?
• Какво трябва да се случи след това?
• Не кой е виновен; това не е продуктивно
Планиране на непрекъснатост:
Обикновено се отнася за самата мисия/бизнес; Отнася се до способността за продължаване на критични функции и процеси по време и след извънредно събитие.
Планиране при извънредни ситуации:
Прилага се за информационни системи и предоставя стъпките, необходими за възстановяване на работата на цялата или част от определената информационна система на съществуващо или ново място при спешен случай.
План за непрекъснатост на бизнеса (BCP):
BCP се фокусира върху поддържането на мисията/бизнес процеса на организацията по време и след прекъсване. Може да се използва за дългосрочно възстановяване във връзка с плана COOP, което позволява допълнителни функции да бъдат онлайн, ако ресурсите или времето позволяват.
План за аварии на обитателите (OEP):
Той очертава процедурите за първа реакция за обитателите на съоръжение в случай на заплаха или инцидент за здравето и безопасността на персонала, околната среда или собствеността.
Планиране на реакция при киберинцидент (CIRP):
Това е вид план, който обикновено се фокусира върху откриване, реагиране и възстановяване при инцидент или събитие, свързано с компютърната сигурност. Той установява процедури за справяне с кибератаки срещу информационна система(и) на организация.
План за действие при извънредни ситуации на информационната система (ISCP):
Осигурява установени процедури за оценка и възстановяване на система след прекъсване на системата. Предоставя ключова информация, необходима за възстановяване на системата, включително роли и отговорности, информация за инвентара, процедури за оценка, подробни процедури за възстановяване и тестване на система.
План за непрекъснатост на операциите (COOP):
Фокусира се върху възстановяването на основната функция на мисията на организацията на алтернативен сайт и изпълнението на тези функции до 30 дни, преди да се върне към нормални операции.
План за възстановяване след бедствие (DRP):
Отнася се за големи физически прекъсвания на услугата, които отказват достъп до основната инфраструктура на съоръжението за продължителен период от време. План, фокусиран върху информационната система, предназначен да възстанови работоспособността на целевата система, приложение или инфраструктура на компютърно съоръжение на алтернативно място след авария. Справя се само с прекъсвания на информационната система, които изискват преместване.
Рисковете за организацията, открити в:
• Финансови
• Репутация
• Регулаторни
Анализ на риска:
• Анализиране на средата за рискове
• Създаване на отчет за разходите и ползите за предпазни мерки
• Оценка на заплахата
Елементи на риска:
• Заплахи
• Активи
• Смекчаващи фактори
Методология за анализ на риска:
• CRAMM (CCTA анализ на риска и метод за управление)
• FMEA (режими на повреда и методология за анализ на ефекта)
• FRAP (улеснен процес на анализ на риска)
• OCTAVE (Оперативно критична заплаха, оценка на активи и уязвимост)
• НАТИСНЕТЕ
• Анализ на Spanning Tree
• SOMAP (Проект за управление и анализ на служители по сигурността)
• VAR (рискова стойност)
RMF CSIAAM: (NIST 800-37)
Рамката за управление на риска (RMF) обхваща широк набор от дейности за идентифициране, контрол и смекчаване на рисковете за информационна система по време на жизнения цикъл на разработка на системата. Една от дейностите е разработването на ISCP. Прилагането на рамката за управление на риска може да предотврати или намали вероятността от заплахи и да ограничи последствията от рисковете. RMF включват:
• Категоризирайте информационната система и данните
• Изберете първоначален набор от базови контроли за сигурност
• Приложете контролите за сигурност и опишете как се използват контролите
• Оценете контролите за сигурност
• Разрешение за стартиране на системи
• Наблюдавайте контролите за сигурност
Процес за управление на риска: (FARM)
• Риск от рамкиране
• Оценка на риска
• Реагиране на риска
• Мониторинг на риска
Документ за правилата за управление на риска:
• Цели на политиката и обосновка за управление на риска
• Обхват и харта за управление на информационния риск
• Връзки между политиката за управление на риска и стратегическите и корпоративните бизнес планове на организацията - Степен и набор от въпроси, за които се прилага политиката
• Насоки за това какво се счита за приемливи нива на риск
• Отговорности за управление на риска
• Експертиза за поддръжка, налична за подпомагане на отговорните за управлението на риска
• Степен на документация, необходима за различни дейности, свързани с управлението на риска, напр. управление на промените
• План за преглед на спазването на политиката за управление на риска
• Нива на сериозност на инциденти и събития
• Докладване на риска и процедури за ескалация, формат и честота
Жизнен цикъл на управление на риска:
• Непрекъснато наблюдение
• Оценяване
• Оценка и докладване на риска.
Управление на риска:
• Оценка на риска — Идентифициране на активи, уязвимости на заплахи
• Анализ на риска — Стойност на потенциалния риск
• Намаляване на риска — Реагиране на риска
• Наблюдение на риска — рискът е завинаги
Управлението на риска включва оценка на:
• Заплахи
• Уязвимости
• Мерки за противодействие
Методологии за оценка на риска:
• Подгответе се за оценката.
• Извършете оценката:
•• Идентифицирайте източниците на заплаха и събитията.
•• Идентифицирайте уязвимостите и предразполагащите условия.
•• Определете вероятността за възникване.
•• Определете степента на въздействие.
•• Определете риска.
• Съобщаване на резултатите.
• Поддържайте оценката.
Изготвяне на оценка на риска:
• Цел на оценката
• Обхватът на оценката
• Предположения и ограничения, свързани с оценката
• Източници на информация, които да се използват като входни данни за оценката
• Модел на риска и аналитични подходи
Оценка на риска (NIST 800-30):
• Система / Ас. Характеризиране
• Идентификация на заплахи
• Идентифициране на уязвимостта
• Контролен анализ
• Определяне на вероятността
• Анализ на въздействието
• Определяне на риска
• Препоръки за контрол
• Документация за резултатите
Основни предизвикателства при управлението на риска от трети страни:
• Увеличава сложността на мрежата на трета страна & това е управление
• Риск от невъзможност за управление на спазването на нормативните изисквания
• Допълнителни разходи за наблюдение на трети страни
• Липса на сътрудничество между страните
• Риск от изтичане на информация/данни
Ключови компоненти на рамката за управление на риска на трета страна:
Следват ключовите компоненти на рамката за управление на риска от трети страни (TPRM):
• Планиране & дефиниция на процеса
• Сегментиране & Прожекция
• Квалификация
• Сигурност и усилвател; Разрешения
• Работни процеси
• Намаляване на риска
• Непрекъснато наблюдение
• Отчети & Табло
• Централизирано хранилище
• Сигнал & уведомление
Оценка на щетите:
• Определянето на причината за бедствието е първата стъпка от оценката на щетите
• Колко време ще отнеме възстановяването на критичните функции онлайн
• Идентифициране на ресурсите, които трябва да бъдат заменени незабавно
• Обявете бедствие
Оценка на щетите:
•Определяне на причината за бедствието.
•Определете потенциала за допълнителни щети.
• Идентифицирайте засегнатите бизнес функции и области.
•Идентифицирайте нивото на функционалност за критичните ресурси.
•Идентифицирайте ресурсите, които трябва да бъдат заменени незабавно.
•Оценете колко време ще отнеме, за да върнете критичните функции отново онлайн.
•Ако ще отнеме повече време от предварително изчислените стойности на MTD за възстановяване на операциите, тогава трябва да се обяви бедствие и BCP трябва да се задейства.
Забележка:
• Първата дейност във всеки план за възстановяване е оценка на щетите, непосредствено последвана от смекчаване на щетите.
• Последната стъпка в оценката на щетите е обявяването на бедствие.
• Решението за активиране на план за възстановяване след бедствие се взема след приключване на оценката и оценката на щетите.
Управление на конфигурацията:
• Планирайте
• Одобряване на базовото ниво
• Прилагане
• Контролни промени
• Монитор
• Докладване
• Повторяемост
Управление на конфигурацията:
• Идентификация на конфигурацията
• Контрол на конфигурацията
• Отчитане на състоянието на конфигурацията
• Одит на конфигурацията
Контрол на промяната:
• Внедрете промените по наблюдаван и подреден начин.
• Промените винаги се контролират
• Формализирано тестване
• Обратно/връщане назад
• Потребителите се информират за промените, преди те да настъпят, за да се предотврати загуба на производителност.
• Ефектите от промените се анализират систематично.
• Отрицателното въздействие на промените във възможностите, функционалността, производителността
• Промените се преглеждат и одобряват от CAB (борд за одобрение на промени).
Управление на промените:
• Искане за извършване на промяна
• Одобрение на промяната
• Документиране на промяната
• Тестван и представен
• Внедряване
• Докладвайте промяната на ръководството
Управление на промените:
• Заявка
• Преглед
• Одобряване
• График
• Документ
Управление на промените:
• Заявка
• Оценете
• Тествайте
• Връщане назад
• Одобряване
• Документ
• Определяне на прозореца за промяна
• Прилагане
• Потвърдете
• Затваряне
Управление на корекции:
• Източници на информация за корекции
• Приоритизиране
• График
• Тестване
• Инсталиране
• Оценка
• Одит
• Последователност
• Съответствие
Управление на корекции:
• Оценете
• Тествайте
• Одобряване
• Внедряване
• Потвърдете
Управление на корекции:
• Инвентар
• Разпределяне на ресурси
• Преследвайте актуализации
• Тествайте
• Промяна на одобрението
• План за внедряване
• План за връщане назад
• Разположете и проверете актуализациите с изискванията на правилата
• Документ
Управление на проблеми:
• Известие за инцидент
• Анализ на първопричината
• Определяне на решение
• Искане за промяна
• Внедрете решение
• Наблюдавайте/докладвайте
Процес на инженеринг за сигурност на информационните системи (ISSE):
• Открийте нуждите от защита на информацията; установете предназначението на системата.
• Идентифицирайте, че информационният актив се нуждае от защита.
• Дефиниране на изискванията за сигурност на системата; Определете изискванията въз основа на нуждите от защита.
• Проектиране на архитектура за сигурност на системата; Проектирайте системна архитектура, която да отговаря на изискванията за сигурност.
• Разработване на подробен дизайн на сигурността; Въз основа на архитектурата на сигурността, проектирайте функциите за сигурност и характеристиките на системата.
• Внедрете сигурност на системата; Внедряване на проектирани функции и функции за сигурност в системата.
• Оценка на ефективността на сигурността; Оценете ефективността на дейностите на ISSE.
Архитектура за корпоративна сигурност (ESA):
• Представя дългосрочен стратегически поглед върху системата
• Обединява контролите за сигурност
• Използва съществуващи технологични инвестиции
Жизненият цикъл на разработка на системи:
• Иницииране (отчита стойност, чувствителност, съответствие с нормативните изисквания, класификация и т.н. на приложението/данните).
• Дефиниране на функционални изисквания (документиране на нуждите на потребителите и сигурността).
• Спецификации на дизайна (разработена системна архитектура/софтуер).
• Разработване/Внедряване/Тестване (изходен код и генерирани тестови случаи, обърнато внимание на качеството/надеждността).
• Контроли за документация/програма (контроли, свързани с редактиране на данни, регистриране, версия, контрол, проверки на целостта и т.н.).
• Сертифициране/Акредитация (независимо тестване на данни/код, гарантиращо, че изискванията са изпълнени, валидиране на данни, проверка на граници, дезинфекция, разрешение от ръководството за внедряване).
• Производство/Внедряване (системите са активни).
SDLC:
• Иницииране и планиране на проекта
• Дефиниране на функционални изисквания
• Спецификации на дизайна на системата
• Разработване и внедряване
• Документация и общи програмни контроли
• Контрол на тестване и оценка (сертифициране и акредитация)
• Преход към производство (внедряване)
SDLC:
• Поискайте/Събирайте информация
•• Оценка на риска за сигурността
•• Оценка на риска за поверителността
•• Приемане на ниво на риск
•• Информационни, функционални и поведенчески изисквания
• Дизайн
•• Анализ на повърхността на атаката + Моделиране на заплахите
• Разработване
•• Автоматизирани CASE инструменти + Статичен анализ
• Тест/Потвърждение
•• Динамичен анализ + Fuzzing + Ръчно тестване
•• Тестване на единица, интеграция, приемане и регресия
• Пускане/Поддръжка
•• Окончателен преглед на сигурността
Забележка:
Fuzz тестване, използвано за описване на използването на известни лоши или рандомизирани входове, за да се определи какви нежелани резултати могат да възникнат.
SDLC 10 фази: (жизнен цикъл на системата)
• Иницииране - Идентифициране на необходимостта от проект
• Разработване на системна концепция - Определяне на обхвата и границите на проекта
• Планиране - Създаване на план за управление на проекта
• Анализ на изискванията - Определяне на потребителските изисквания
• Дизайн - Създаване на документ за проектиране на системата, който описва как да се достави проектът
• Разработка - Преобразуване на дизайна във функционална система
• Интегриране и тестване - Проверка дали системата отговаря на изискванията
• Внедряване - Внедряване на системата в производствената среда
• Операции и поддръжка - Мониторинг и управление на системата в производството
• Разпореждане - Мигриране на данните към нова система и изключване на системата
Забележка:
Жизненият цикъл на системата (SLC) се простира отвъд SDLC и включва две:
• Поддръжка при експлоатация и поддръжка (след инсталиране).
• Ревизии и подмяна на системата.
Методологии за разработка:
• Изградете и поправете
Липсва архитектурен дизайн. Проблемите се отстраняват, когато възникнат. Липсва официален цикъл на обратна връзка. Реактивен вместо проактивен.
• Водопад
Линеен последователен жизнен цикъл. Всяка фаза е завършена преди да продължите.
Липсва формален начин за извършване на промени по време на цикъл. Проектът е завършен преди събиране на обратна връзка и започване отново.
• V-образна
Въз основа на модела на водопада. Всяка фаза е завършена, преди да продължите.
Позволява проверка и валидиране след всяка фаза. Не съдържа фаза на анализ на риска.
• Създаване на прототипи
Бързото прототипиране използва бърза извадка за тестване на текущия проект. Еволюционното прототипиране използва постепенни подобрения в дизайна. Оперативните прототипи осигуряват постепенни подобрения, но са предназначени за използване в производството.
• Постепенно
Използва множество цикъла за развитие като множество водопади. Целият процес може да се рестартира по всяко време като различна фаза. Лесно въвеждане на нови изисквания. Доставя постепенни актуализации на софтуера.
• Спирала
Постоянен подход към развитието. Извършва анализ на риска по време на разработката.
Бъдеща информация и изисквания се насочват към анализа на риска. Позволява тестване в началото на разработката.
• Бързо разработване на приложения
Използва бързо прототипиране. Проектиран за бързо развитие. Анализът и дизайнът се демонстрират бързо. Тестването и изискванията често се преразглеждат.
• Гъвкав
Общ термин за множество методи. Подчертава ефективността и итеративното развитие.
Потребителският статус описва какво прави потребителят и защо. Прототипите се филтрират до отделни характеристики.
Жизнен цикъл на разработка на системи:
• Иницииране: По време на фазата на иницииране необходимостта от система се изразява и целта на системата се документира.
• Разработка/придобиване: По време на тази фаза системата е проектирана, закупена, програмирана, разработена или конструирана по друг начин.
• Внедряване/Оценка: След тестване за приемане на системата системата се инсталира или пуска в експлоатация.
• Работа/Поддръжка: По време на тази фаза системата изпълнява своята работа. Системата почти винаги се модифицира чрез добавяне на хардуер и софтуер и от множество други събития.
• Изхвърляне: Дейностите, извършвани по време на тази фаза, гарантират надлежно прекратяване на системата, защита на жизненоважна системна информация и мигриране на данни, обработени от системата, към нова система или запазването им в съответствие с приложимите разпоредби и политики за управление на записи.
Жизнен цикъл на разработка на системи:
• Концептуално определение
• Определяне на функционалните изисквания
• Разработване на контролни спецификации
• Преглед на дизайна
• Преглед на кода
• Преглед на системния тест
• Поддръжка и управление на промените
Несигурно
Практики за програмиране:
• Коментари в изходния код
• Липса на обработка на грешки
• Прекалено многословно обработване на грешки
• Твърдо кодирани идентификационни данни
• Условия на състезанието
• Неоторизирано използване на функции/незащитени API
• Скрити елементи
• Чувствителна информация в DOM
• Липса на подписване на код
Анализ на динамичен код:
• Открива проблеми в кода, докато кодът се изпълнява.
• Подобно на статичния анализ, може да бъде много полезен, за да видите източника на дефекти в качеството и сигурността.
• Може да се извърши ръчно като поредица от тестови стъпки от разработчик или тестер, работещ в средата за разработка на софтуер.
• Дебъгерите са добър инструмент за анализиране на код, докато се изпълнява.
• Динамичният анализ може също да бъде скриптиран и наблюдаван с помощта на автоматизирани инструменти за тестване.
Съображения за сигурност в SDLC:
• Подгответе план за сигурност
• Иницииране
•• Анкета & разбират политиките, стандартите и насоките
•• Идентифицирайте информационни активи (материални и нематериални)
•• Дефиниране на класификация на информация & нивото на защита (категоризация на сигурността)
•• Определете правила за поведение & сигурност
•• Извършете предварителна оценка на риска
• Разработка/Придобиване
•• Определете изискванията за сигурност
•• Извършете оценка на риска
•• Извършете анализ на разходите и ползите
•• Включете изискванията за сигурност в спецификациите
•• Планиране на сигурността (базирано на рисковете & CBA)
•• Получете системата и свързаните дейности по сигурността
•• Разработете тест за сигурност
• Внедряване
•• Инсталиране/включване на контроли
•• Тестване на сигурността
•• Извършване на сертифициране за сигурност & Акредитация на целевата система.
• Експлоатация/Поддръжка
•• Операции и администриране по сигурността
•• Оперативна гаранция
•• Одити и непрекъснат мониторинг
•• Управление на конфигурацията & извършва контрол на промените
• Изхвърляне
•• Прехвърляне или унищожаване на информация
•• Дезинфекция на медиите
•• Изхвърлете хардуера
Положителен/отрицателен тест:
• Положителен тест - Работи според очакванията (Изход според даден вход - върви според плана)
• Отрицателен тест – Дори неочакваните входове се обработват елегантно с инструменти като Exception Handlers
Тестване на покритие:
За да анализирате, трябва да сте наясно със следните типове тестване на покритие:
• Тестване в черна кутия: Тестерът няма предварителни познания за средата, която се тества.
• Тестване в бяла кутия: Тестерът има пълни познания преди тестването.
• Динамично тестване: Системата, която се тества, се наблюдава по време на теста.
• Статично тестване: Системата, която се тества, не се наблюдава по време на теста.
• Ръчно тестване: Тестването се извършва ръчно на ръце.
• Автоматизирано тестване: Скрипт изпълнява набор от действия.
• Структурно тестване: Това може да включва изявление, решение, условие, цикъл и покритие на потока от данни.
• Функционално тестване: Това включва нормални и антинормални тестове на реакцията на система или софтуер. Антинормалното тестване преминава през неочаквани входове и методи за валидиране на функционалност, стабилност и устойчивост.
• Отрицателно тестване: Този тест нарочно използва системата или софтуера с невалидни или вредни данни и проверява дали системата реагира правилно
Сигурност на хранилището на кодове:
• Сигурност на системата
• Оперативна сигурност
• Сигурност на софтуера
• Сигурни комуникации
• Файлова система и резервни копия
• Достъп на служителите
• Поддържане на сигурността
• Безопасност на кредитната карта
Жизненият цикъл на всеки процес:
• Планирайте и организирайте
• Прилагане
• Експлоатирайте и поддържайте
• Наблюдавайте и оценявайте
Регресионният и приемният тест включват:
• Тествайте незабавно коригираните грешки.
• Следете за странични ефекти от корекциите.
• Напишете регресионен тест за всяка коригирана грешка.
• Ако два или повече теста са подобни, определете кой е по-малко ефективен и се отървете от него.
• Идентифицирайте тестовете, които програмата последователно преминава, и ги архивирайте.
• Съсредоточете се върху функционалните въпроси, а не върху тези, свързани с дизайна.
• Направете промени (малки и големи) в данните и открийте произтичащите от това повреди.
• Проследете ефектите от промените върху програмната памет.
РУМ срещу синтетичен:
• RUM събира информация от действителната потребителска активност, което го прави най-реалистичното изображение на потребителското поведение.
• Синтетичното наблюдение се приближава към потребителската активност, но не е толкова точно като RUM
Придобиване на софтуер:
• Планиране
• Сключване на договор
• Мониторинг
• Приемане
• Продължете
Софтуерни изисквания:
• Информационен модел
• Функционален модел
• Поведенчески модел
Механизми за защита на софтуера:
• Ядра за сигурност
• Състояния на привилегии на процесора
• Контроли за сигурност за препълване на буфера
• Контроли за непълна проверка и прилагане на параметри
• Защита на паметта
• Скрити контроли на канала
• Криптография
• Техники за защита с парола
Формати на API:
• Прехвърляне на представително състояние (REST) - е стил на софтуерна архитектура, състоящ се от насоки и най-добри практики за създаване на мащабируеми уеб услуги.
• Simple Object Access Protocol (SOAP) - е спецификация на протокол за обмен на структурирана информация при внедряването на уеб услуги в компютърни мрежи.
Сигурност на API:
• Използвайте същите контроли за сигурност за API, както за всяко уеб приложение в предприятието.
• Използвайте базиран на хеш код за удостоверяване на съобщения (HMAC).
• Използвайте криптиране при предаване на статични ключове.
• Използвайте рамка или съществуваща библиотека за внедряване на решения за сигурност за API.
• Внедрете криптиране с парола вместо удостоверяване, базирано на един ключ.
Криминалистика:
Процесът на криминалистично разследване трябва да докаже, че процедурите за обработка на информация и извършените действия не са променили оригиналните данни по цялата верига за съхранение. Това може да включва:
• Записване на имената и информацията за контакт на лицата, натоварени с поддържането на веригата за задържане
• Подробности за времето на събитието
• Целта на преместването на данните
• Идентифициране на доказателства чрез записване на серийни номера и други подробности
• Запечатване на доказателствата с доказателствена лента
• Документиране на мястото на съхранение
• Документиране на движението на информацията
Концепции, уникални за съдебния анализ:
• Разрешение за събиране на информация
• Правна защита
• Поверителност
• Съхраняване на доказателства и сигурност на доказателствата
• Участие на правоприлагащите органи
Съдебномедицински процес:
• Идентификация
• Съхраняване
• Колекция
• Преглед
• Анализ
• Презентация
• Решение
Общ модел на компютърно криминалистично разследване:
• Предварителна обработка
• Придобиване и съхранение
• Анализ
• Презентация
• Постобработка
Процес на електронно откриване:
• Управление на информацията
• Идентификация
• Съхраняване
• Колекция
• Обработка
• Преглед
• Анализ
• Производство
• Презентация
CSIRT:
Организациите често сформират екип за реакция при инциденти в киберсигурността (CSIRT), за да помогнат при идентифицирането и управлението на инциденти, свързани със сигурността на информацията. Лицата, които съставляват CSIRT, са обучени за правилни техники за събиране и съхранение за разследване на инциденти, свързани със сигурността. Специална публикация на Националния институт за стандарти и технологии (NIST SP) 800-61r2 идентифицира следните модели за организиране на такъв екип.
• Централен екип Един екип обработва инциденти от името на цялата организация.
• Разпределен екип За по-големи или географски разпръснати организации може да е по-подходящо да има отделни CSIRT за различни сегменти на организацията или различни географски местоположения.
• Координиращ екип Може да се добави всеобхватен централен екип, който да предоставя насоки и координация между разпределените екипи.
Инструменти на CSIRT:
CSIRT разполага с редица инструменти, които може да използва, за да помогне при справянето с инциденти, свързани със сигурността. Поддържането на инструментариума актуален ще допринесе за оптималната работа на CSIRT. Следващата таблица изброява няколко общи примера.
• Комплектът Sleuth (TSK) / Кръстосана платформа
• EnCase / Windows
• Съдебномедицински инструментариум (FTK) / Windows
• Forensics Explorer / Windows
• SANS Investigative Forensic Toolkit (SIFT) / Ubuntu (Linux)
• Рамка за цифрова съдебна медицина (DFF) /Крос-платформа
• Компютърно онлайн извличане на криминалистични доказателства (COFEE) / Windows
• WindowsSCOPE / Windows
• HashMyFiles / Windows
• Променливост / Windows, Linux
• TestDisk / Междуплатформени
• Wireshark / Кръстосана платформа
Схема за класификация на данни:
• Идентифицирайте попечителя
• Посочете критерии за оценка
• Класифицирайте и етикетирайте всеки ресурс
• Документирайте всички изключения
• Изберете контроли за сигурност
• Посочете процедурите за разсекретяване
• Създайте програма за информираност на предприятието
Класификация на данните:
• Обхват (стойност, възраст)
• Контроли за класификация
• Сигурност
• Маркиране и етикетиране
Информация за класифициране:
• Посочете критериите за класифициране
• Класифицирайте данните
• Посочете контролите
• Популяризирайте осведомеността относно контролите за класифициране
Програма за класификация:
• Определете ниво на класификация
• Идентифицирайте собственика
• Определете нивото на защита
• Разработване на процедура за разсекретяване
Процедури за класифициране на данни:
• Дефинирайте нивата на класификация.
• Посочете критериите, които ще определят как се класифицират данните.
• Идентифицирайте собствениците на данни, които ще отговарят за класифицирането на данните.
• Идентифицирайте пазителя на данните, който ще отговаря за поддържането на данните и сек. ниво.
• Посочете контролите за сигурност, механизмите за защита, необходими за всяко ниво на клас
• Документирайте всички изключения от предишните проблеми с класификацията.
• Посочете методите, които могат да се използват за прехвърляне на попечителството на информация към собственика на разликата.
• Създайте процедура за периодичен преглед на класификацията и собствеността.
• Съобщавайте всички промени на пазителя на данните.
• Посочете процедурите за разсекретяване на данните.
• Интегрирайте тези въпроси в програмата за информираност за сигурността.
Ограничения за събиране на данни:
• Събиране на данни само за законни и честни средства.
• Събиране на данни със знанието и одобрението на субекта.
• Не използвайте лични данни за други цели.
• Събирането на лични данни трябва да отговаря на целта.
• Събраните данни да бъдат точни и поддържани актуални.
• Не разкривайте лични данни на други страни без разрешението на субекта.
• Защитете личните данни срещу преднамерен или непреднамерен достъп, използване, разкриване,
унищожаване и модифициране.
Забележка:
По-долу са някои от важните практики и правила, свързани с поверителността
светът, който предоставя рамки и ограничения, свързани с личните данни.
• Общ регламент за защита на данните (Европейски съюз)
• Директива за защита на данните (ЕС)
• Закон за защита на данните от 1998 г. (Великобритания)
• Закон за защита на данните, 2012 г. (Гана)
• Закони за защита на данните (поверителност) в Русия
• Закон за защита на личните данни от 2012 г. (Сингапур)
• Закон за поверителността (Канада)
Целта
от справяне с инциденти и планиране на отговор:
• Открива компромиси възможно най-бързо и ефикасно.
• Отговаря на инциденти възможно най-бързо.
• Идентифицира причината възможно най-ефективно.
Цел на реакцията при инцидент:
• Възстановете нормалното обслужване
• Минимизиране на въздействието върху бизнеса
• Уверете се, че качеството и наличността на услугата се поддържат
Отговор при инцидент:
• Сортиране (оценява сериозността на инцидента и проверява)
• Разследване (свържете се с правоприлагащите органи)
• Ограничаване (ограничаване на щетите)
• Анализ
• Проследяване
Отговор при инцидент:
• Подготовка
• Откриване -- Идентификация
• Реакция -- Ограничаване
• Смекчаване
• Докладване -- Докладвайте до старши мениджмънт
• Възстановяване – Управление на промените & Конфигурация. Управление
• Саниране -- RCA & Patch M. & Приложете контроли
• Научени поуки -- Прехвърляне на документи и знания
Отговор при инцидент:
• Подготовка
• Откриване
• Ограничаване
• Изкореняване
• Възстановяване
• Преглед след инцидент/Научен урок
Стъпки за справяне с инциденти: NIST 800-61
• Хора за подготовка
• Идентификация Идентифициране
• Контейнери за задържане
• Край на изкореняването
• Реално възстановяване
• Научени уроци Живот
Процес за реакция при инцидент: PIC-ERL:
• Подготовка
• Идентификация
•• Откриване/анализ
•• Колекция
• Ограничаване
• Изкореняване
• Възстановяване
• След инцидент
•• Научени уроци
••• Анализ на първопричината
•• Отчитане и документация
Забележка:
Анализът на пропуските включва преглед на текущата позиция/производителност на организацията, разкрити от одит спрямо даден стандарт.
Процес за реакция при инцидент:
• Планирайте и идентифицирайте инцидента.
• Иницииране на протоколи за обработка на инциденти.
• Запишете инцидента.
• Оценете и анализирайте инцидента.
• Съдържат ефектите от инцидента.
• Намаляване и премахване на негативните ефекти от инцидента.
• Ескалирайте проблемите до съответния член на екипа, ако е приложимо.
• Възстановяване от инцидента.
• Прегледайте и докладвайте подробностите за инцидента.
• Изготвяне на доклад за извлечените поуки.
Планове за реакция при инциденти:
Използваемият IR план е достатъчно динамичен, за да адресира много инциденти, но достатъчно прост, за да бъде полезен. Някои характеристики на плана са:
• Накратко По време на инцидент има малко време за четене и разбиране на големи документи и намиране на подчертани части, които може да са подходящи.
• Ясните инциденти са сложни и често не се разбират добре в началото.
• Устойчиви Твърдите и предписващи планове за реакция при инциденти могат да се провалят, когато ключови участници отсъстват.
• Живот. Това не е просто план, който трябва да се преразглежда и (потенциално) актуализира веднъж годишно.
Модели на планове за реагиране при инциденти:
•• Водени от съответствие
• Проектиран да оцени отговора след факта.
• Отразява подход от одит и съответствие (HIPAA, GLBA, PCI-DSS).
• Инженерите по сигурността и анализаторите не се позовават на тях по време на инцидент, освен евентуално в ретроспективни доклади.
•• Технически ориентиран
• Разработете наръчници, които съобщават техники за анализ на данни и често са тромави и умишлено неясни относно отчетността.
• Разработено от инженери по сигурността или мрежовите инженери, но може да бъде разочароващо, когато оценявате отговора на докладите до Борда на директорите или изпълнителните директори.
•• Координиран (воден от съответствие + технически ръководен)
• Осигурява рамка за дейности, където те са по-двусмислени: между екипи и роли. Координираният план описва комуникацията и властта, така че те да не са под въпрос по време на инцидент, но също така позволява експертният опит на екип да бъде приложен без микроуправление от плана.
Методология за разследване на инциденти:
• Анализ и изображения
• Криминалистика на мъртва кутия
• Събиране на непостоянни данни
• Работа със сървъра
• Образ на крайна точка
• Работа със системата на живо (събиране на летливи данни)
• Блокиране на запис
• Контролирано криминалистично зареждане (съображения за летливи данни)
Предизвикателства за видимост:
• Откриване и наблюдение на активи
• Виждане и защита на крайните потребителски устройства извън мрежата
• Намиране на уязвимости в кода на приложението, което организацията изгражда сама
• Идентифициране на слабости в IoT устройства, които могат да доведат до компрометиране
• Оценка на критични инфраструктурни системи без прекъсване на операциите
Непрекъснато наблюдение на информационната сигурност:
• Дефиниране
• Установяване
• Прилагане
• Анализирайте
• Отговорете
• Преглед
• Актуализиране
• Повторете
Изискване за сигурност на заснемането:
• Моделиране на заплахи
• Класификация на данните
• Оценки на риска
Моделиране на заплахи:
• Обхват на оценката
• Моделиране на системата
• Идентифициране на заплаха
• Идентифицирайте уязвимостта
• История на заплахите за изпита
• Въздействие
• Отговор
Моделиране на заплахи: (STRIDE):
• Спуфинг: Нападателят приема самоличността на обекта
• Подправяне: Данните или съобщенията се променят от нападател
• Отказ: Нелегитимно отричане на събитие
• Разкриване на информация: Информацията се получава без разрешение
• Отказ от услуга: Нападателят претоварва системата, за да откаже законен достъп
• Повишаване на привилегията: Нападателят получава ниво на привилегия над разрешеното
Заплаха
СТРАХ:
Моделът за класиране на Microsoft DREAD се основава на традиционния модел на риска: Риск = Вероятност x
Въздействие. Да предположим например, че сте оценили определена заплаха и сте й присвоили 10-точкова стойност
всеки от следните въпроси, както е показано.
• Лесна експлоатация:
• Откриваемост – колко лесно един нападател може да открие тази заплаха? (8, относително лесно)
• Възпроизводимост – Колко лесно е да се възпроизведе атака, за да работи? (10, много лесно)
• Възможност за използване – Колко време, усилия и опит са необходими за използване на заплахата? (7, относително лесно)
• Въздействие:
• Засегнати потребители – Какъв процент от потребителите ще бъдат засегнати? (10, засяга всички потребители)
• Щети – Колко големи биха били щетите при успешна атака? (9, много високо)
Моделиране на заплахи:
• Обхват на оценката
• Моделиране на системата
• Идентифициране на заплахи
• Идентифицирайте уязвимостите
• Проучване на историята на заплахите
• Оценка на въздействието върху бизнеса
• Разработване на план за реакция при заплаха за сигурността
Инструменти за моделиране на заплахи:
• Microsoft – инструмент за моделиране на заплахи
• MyAppSecurity – Моделиране на заплахи
• IriusRisk Threat - инструмент за моделиране
• Скандинавски - securiCAD
• Компас за сигурност - SD елементи
Процес на моделиране на заплахи:
• Дефинирайте общи цели и обхват на сигурността
• • Познавайте своите активи/данни (не само физически).
• • Съберете данни като съществуваща документация, политика, рамка, насоки, DB, потребителски истории, грешки Проверете точността на събраните данни.
• • Съберете изискванията за сигурност, които вече са определени за вас чрез съответствие, правителствени разпоредби и индустриални стандарти.
Идентифицирайте как можете да се справите със сигурността и да приложите изисквания за сигурност от гледна точка на нормативната уредба/поверителността на данните.
• Разлагане
• • Познавайте моделите за свързване на вашата организация. Уверете се, че нито един елемент не е забравен, като идентифицирате подкомпоненти, зависимости и точки на взаимодействие.
• • Идентифицирайте активи, от които нападателят може да се интересува, кой трябва да има достъп до всяка област и как се контролира достъпът.
• • Разбийте вашето приложение/система на концептуални входни точки, компоненти и граници, където нападател може да взаимодейства с него.
• • Маркирайте всички ненадеждни въведени данни.
• • Диаграмирайте как данните протичат през приложението/системата с помощта на диаграми на потока на данни (DFD). DFD ще представи как данните се движат между процеси, съхранение и външни системи/услуги.
• Идентифицирайте и класирайте заплахите
• • Избройте всички категории заплахи, доколкото е възможно, напр. разузнаване, социално инженерство, системно хакване, уеб-базирани заплахи, злонамерен софтуер, отвличане и представяне под чужда самоличност, отказ на услуга Мобилни заплахи, облачни заплахи и др.
• • Съществуващите заплахи трябва да бъдат идентифицирани, преди контролите да бъдат изброени за всяка заплаха, но класирането на тези заплахи ще определи кои контроли ще бъдат приложени. Класирането на заплахите е ключово, тъй като вероятността или въздействието на заплахата може да е толкова ниско, че извършването на контрол не си струва цената.
• • Мислете като нападател. Ужасно е да се сринеш, но е по-лошо да имаш грешна информация и дори да не знаеш за това. Проучете приложението си и установете къде съществуват заплахи, като проверка на кодове за връщане, грешки, ниво на достъп, споделяне на данни и всички въведени данни, ако е възможно.
• • Гарантирайте, че изискванията за сигурност се вливат в тестови случаи.
• • Използвайте анализ на първопричината.
• • Използвайте методология като STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service и Escalation of Privileges), за да ви помогне да идентифицирате и класирате заплахите.
• • Ако използвате компоненти на трети страни, библиотеките и услугите обмислят и включват свои собствени модели на заплахи.
• Противодействие на всяка заплаха
• • Следвайте моделите за проектиране на сигурността, за да се справите с конкретни видове заплахи.
• • Осигурете контрамерки за всяка заплаха, която трябва да адресирате.
• • Установете постоянно наблюдение, за да идентифицирате кога с времето възникват нови проблеми със сигурността.
• • Тествайте смекчаването, в случай че заплахи, които не са смекчени, се превърнат в грешки в сигурността във вашето хранилище за грешки.
Верига за кибер убийства:
• Разузнаване
• Въоръжаване
• Доставка
• Експлоатация
• Инсталиране
• Командване и управление
• Действия по цели
Жизненият цикъл на киберсигурността:
• ОТКРИЙТЕ: Идентифицирайте и картографирайте всеки актив във всяка среда. От тук можете
основете текущото и желаното работно състояние.
• ОЦЕНЯВАНЕ: При всяка промяна автоматично оценява текущото състояние спрямо базовото състояние
от средата, включително неправилни конфигурации, уязвимости и други ключови индикатори за здравето на сигурността, като остаряла антивирусна програма или потребители с висок риск.
• АНАЛИЗ: Добавете контекст към излагането на актива, за да приоритизирате коригирането въз основа на критичността на бизнеса на актива и тежестта на уязвимостта.
• КОРЕКЦИЯ: Приоритизирайте кои експозиции да коригирате първо, ако въобще, и изберете подходящата
техника за коригиране, независимо дали е временен контрол на сигурността или цялостна корекция.
Извличане на данни:
• Скрити канали
• Услуги за споделяне на файлове
TOCTOU:
Тип състояние на състезание, наречено „Време на проверка към време на използване“, тъй като проблемът възниква, когато споделените данни се променят между времето, когато са първоначално проверени, и когато се използват. Състезателните условия често не са детерминистични, което означава, че не можете да предвидите резултата, тъй като той се основава на времето. Условията на състезание често са трудни за отстраняване на грешки, тъй като работата в дебъгер добавя времеви забавяния, които променят резултата. Предотвратете условията на състезание чрез предотвратяване на множество едновременни заявки (заключване) или чрез механизъм за синхронизиране.
Съхранение срещу времеви канали:
Скритите канали също могат да се разглеждат като две различни категории: съхранение и време. Скритият канал за съхранение включва един процес, записващ в място за съхранение, и друг процес, който чете от това място. Скритият синхронизиращ канал включва един системен ресурс за промяна на процеса, така че промените във времето за реакция да могат да сигнализират информация за процеса получател. Някои видове използване на скрити канали съчетават и двата аспекта на съхранението и времето.
Примерите за скрити канали включват следното:
• Предаване на данни през рядко използван порт, който защитната стена не блокира.
• Скриване на данни в заглавките на TCP/IP пакети, за да се избегне анализът на сигнатура чрез проникване
системи за откриване.
• Разбиване на данните на множество пакети, които да бъдат изпратени по различно време с цел избягване
анализ на подписа.
• Предаване на данни през споделен ресурс, който обикновено не се използва като комуникационен канал
(т.е. метаданни на файловата система).
• Предаване на криптирани данни, които не могат да бъдат проверени, докато напускат мрежата.
Стеганография:
Подобно на използването на скрит канал, една техника за скриване на данни за ексфилтрация е стеганографията. Използвайки стеганография, нападателят може да успее да избегне откриването на проникване и контрамерките за загуба на данни, ако скрие информация в изображения или видео. Съвременните инструменти крият цифровата информация толкова добре, че човешкото око не може да направи разликата; по същия начин, компютърни програми, които не са оборудвани за стеганографски анализ, също може да не успеят да забележат скритата информация.
Одитор на информационните системи:
• Проверява дейностите по сигурността на информацията за съответствие; Проверява спазването на целите за сигурност, политиките, процедурите, стандартите, разпоредбите и свързаните с тях изисквания.
• Проверява дали дейностите по информационна сигурност се управляват и оперират, за да се гарантира постигането на целите на държавната сигурност.
• Предоставя независима обратна връзка на висшето ръководство.
Одитът използва:
• Запишете преглед
• Адекватност на контролите
• Съответствие с правилата
• Откриване на злонамерена дейност
• Доказателство за преследване
• Докладване и анализ на проблеми
Одит:
Систематичният процес, чрез който компетентно, независимо лице обективно получава и оценява доказателствата относно твърдения за икономически субект или събитие с цел формиране на мнение относно и докладване относно степента, в която твърдението съответства на идентифициран набор от стандарти. Одит: Оценете контролите за сигурност - Докладвайте за тяхната ефективност - Препоръчайте подобрения
План за одит:
• Определете целите на одита
• Определете обхвата на одита
• Провеждане на одит
• Прецизирайте процеса на одит
Процес на одит:
• Определете цели
• Включете правилния ръководител на бизнес звено
• Определяне на обхват
• Изберете екип за одит
• Планирайте одити
• Провеждане на одит
• Документиране на резултата
• Съобщаване на резултата
Одитен доклад:
• Цел
• Обхват
• Резултати, открити или разкрити от одита
• Проблеми, събития и условия
• Стандарти, критерии и базови линии
• Причини, причини, въздействие и следствие
• Препоръчителни решения и предпазни мерки
Одитът на ИТ сигурността е предназначен да открие:
• Неправилно работещи контроли
• Неадекватни контроли
• Неспазване на целевите стандарти/насоки
Софтуерно дефинирано всичко (SDx):
Разширение на виртуализацията, което абстрахира приложение или функция от базовия му хардуер, разделяйки нивото на управление и данни и добавяйки възможност за програмиране. Започвайки със софтуерно дефинирана мрежа (SDN), SDx сега включва софтуерно дефинирано съхранение (SDS), софтуерно дефинирано изчисление, софтуерно дефинирана сигурност и софтуерно дефинирани центрове за данни (SDDC), наред с други.
Софтуерно дефинирано
Мрежа (SDN):
• Приложение
• Контрол
• Инфраструктура
Софтуерно дефинирано
Мрежа (SDN):
• Мрежовите администратори могат да коригират мрежовия трафик в движение.
• Те ви предоставят възможност за по-добро откриване на аномалии в мрежовия трафик.
• Те добавят по-високо ниво на сложност към мрежата, което изисква специални умения.
Асинхронни комуникационни характеристики:
• Няма компонент за време
• Обгражда всеки байт с битове за обработка
• Бит за паритет, използван за контрол на грешките
• Всеки байт изисква три бита инструкция (старт, стоп, паритет)
Синхронни комуникационни характеристики:
• Времеви компонент за синхронизиране на предаването на данни
• Надеждна проверка на грешки, обикновено чрез циклична проверка с излишък (CRC)
• Използва се за високоскоростни предавания с голям обем
• Минимални разходи в сравнение с асинхронната комуникация
Мрежов хардуер:
• Модеми (преобразува цифрови в аналогови/аналогови в цифрови сигнали)
• Хъбове (работят на физическия слой, препредават сигнали)
• Ретранслатори (работят на физическия слой, повторно усилват сигналите)
• Мостове (работят на ниво 2, филтрират трафика)
• Превключватели (работят на слой 2, препращат излъчвания и рамки)
• Рутери (препраща пакети)
Предимства на мрежата за разпространение на съдържание (CDN):
• Мащабиране при поискване
• Ефективност на разходите
• Местоположение на съдържанието
• Подобряване на сигурността
• Филтрирайте DDOS атаките
Основните протоколи на пакета IPSec:
• Заглавка за удостоверяване (AH) Осигурява цялост на данните, удостоверяване на произхода на данните и защита от атаки за повторение
• Encapsulating Security Payload (ESP) Осигурява поверителност, удостоверяване на произхода на данните и целостта на данните
• Асоциация за интернет сигурност и протокол за управление на ключове (ISAKMP) Предоставя рамка за създаване на асоциация за сигурност и обмен на ключове
• Internet Key Exchange (IKE) Осигурява удостоверен ключов материал за използване с ISAKMP
Протокол за тунелиране от точка до точка (PPTP):
• Работи в модел клиент/сървър
• Разширява и защитава PPP връзките
• Работи на слоя за връзка с данни
• Предава само през IP мрежи
Протокол за тунелиране на ниво 2 (L2TP):
• Хибрид на L2F и PPTP
• Разширява и защитава PPP връзките
• Работи на слоя за връзка с данни
• Предава през множество типове мрежи, не само през IP
• В комбинация с IPSec за сигурност
IPSec:
• Обработва няколко VPN връзки едновременно
• Осигурява сигурно удостоверяване и криптиране
• Поддържа само IP мрежи
• Фокусира се върху комуникацията LAN към LAN, а не комуникацията потребител към потребител
• Работи на мрежовия слой и осигурява сигурност върху IP
Сигурност на транспортния слой (TLS):
• Работи на сесийния слой и защитава предимно уеб и имейл трафик
• Предлагат се подробен контрол на достъпа и конфигурация
• Лесно внедряване, тъй като TLS вече е вграден в уеб браузърите
• Може да защити само малък брой типове протоколи
Недостатъци на многослойните протоколи:
• Разрешени са скрити канали
• Филтрите могат да бъдат заобиколени
• Логически наложените граници на мрежовия сегмент могат да бъдат прекрачени
Предимства на многослойните протоколи:
• Може да се използва широк набор от протоколи
• Шифроване
• Гъвкавост и устойчивост
MPLS функция:
• Инженеринг на трафика
• По-добра производителност на рутера
• Вградено тунелиране
Два основни протокола за маршрутизиране на MPLS:
• Протокол за разпространение на етикети (LDP) - Без инженеринг на трафика
• Протокол за резервиране на ресурси с инженеринг на трафика (RSVP-TE)
Ролите/позициите на MPLS маршрутизатора с превключване на етикети (LSP) са:
• Маршрутизатор на крайния етикет (LER) или "входящ възел" - Рутерът, който първи капсулира пакет в MPLS LSP; Също така рутерът, който прави първоначалния избор на път.
• Маршрутизатор за превключване на етикети (LSR) или "Транзитен възел" - Рутер, който извършва само MPLS превключване в средата на LSP.
• Изходящ възел – Последният рутер в края на LSP, който премахва етикета.
Тунел за Generic Routing Encapsulation (GRE).
Протокол за тунелиране, разработен от Cisco, който може да капсулира голямо разнообразие от протоколи на мрежовия слой във виртуални връзки от точка до точка през мрежа с интернет протокол.
Четирите нива са именувани както следва:
• Ниво I: Основна инфраструктура на обект на център за данни
• Ниво II: Резервни компоненти за капацитет на инфраструктурата на сайта
• Ниво III: Инфраструктура на сайта, която може да се поддържа едновременно
• Ниво IV: Устойчива на грешки инфраструктура на сайта
Общи критерии CC:
• PP - това, от което се нуждае клиентът
• ST – какво предоставя Доставчикът
• TOE – Действителният продукт
• EAL- Рейтинг, който осигурява оценка и увереност
Забележка:
EAL е мярка за това колко задълбочено са тествани и прегледани характеристиките за сигурност, за които продавачът на продукта твърди, че продуктът предлага, и от кого. EAL не предлага истинска мярка за това колко добре тези функции за сигурност ще работят в производствена среда, дали тези функции са за предпочитане пред други функции, предлагани от конкурентни продукти, или дали продуктът е „добър“.
EAL: FSM2S2F
• EAL1 - Функционално тестван (най-нисък рейтинг)
• EAL2 - Структурно тестван
• EAL3 - Методично тестван и проверен
• EAL4 - Методично проектиран, тестван и прегледан (среден рейтинг)
• EAL5 - Полуформално проектиран и тестван
• EAL6 - Полуформално проверен, проектиран и тестван
• EAL7 - Официално проверен, проектиран и тестван (най-висок рейтинг)
Преди да изберете тип инструмент за наблюдение на сигурността:
• Трябва да събира информация от множество източници.
• Трябва да може да взаимодейства с други системи, като бюро за помощ или програма за управление на промените.
• Трябва да отговаря на всички приложими закони и индустриални разпоредби.
• Трябва да предлага мащабируемо отчитане, така че да получавате гледна точка както на високо, така и на ниско ниво на вашата сигурност
Информация за сигурност и управление на събития (SIEM):
• Корелация
• Съответствие
• Сигнал
Задачите може да се изпълняват автоматично за вас с инструменти като SIEMs:
• Филтрирайте ненужните или дублиращи се данни
• Комбинирайте източници
• Синхронизиране на събития, регистрирани в различни източници
• Нормализиране на форматите на данните
• Съхранявайте данните сигурно
• Събиране на данни, анализ и корелация
SIEM в облак ... предимствата са:
• Без капиталови разходи
• Няма нужда да инвестирате в локални машини
• Няма нужда да инвестирате в техническа поддръжка за хардуер
• Без такси за инсталиране
• Само фина настройка
• Надстройките се въвеждат автоматично от доставчика на облак
Режим на защита:
• Специален режим на защита (Всички потребители имат достъп до всички данни).
• Режим на висока степен на сигурност на системата (при нужда да се знае, всички потребители имат достъп до ограничени данни).
• Разделен режим на защита (при необходимост всички потребители имат достъп до ограничени данни според официалното одобрение за достъп).
• Многостепенен режим на защита (при необходимост да се знае, всички потребители имат достъп до ограничени данни според официално одобрение и разрешение за достъп).
Предотвратяване на SQL инжектиране (SQLi):
• Извършване на проверка на въведените данни
• Ограничете привилегиите на акаунта
• Използвайте съхранени процедури
При атака чрез SQL инжектиране нападателят може:
• Събиране и разбиване на хешове на пароли
• Изтриване и модифициране на клиентски записи
• Четете и записвайте системни файлове
Атаки чрез инжектиране:
Атаката с инжектиране на SQL се състои от вмъкване или „инжектиране“ на SQL заявка чрез входа
• HTML инжектирането е вид проблем с инжектиране, който възниква, когато потребителят може да контролира входна точка и е в състояние да инжектира произволен HTML код в уязвима уеб страница
• Инжектиране на команда е атака, при която целта е изпълнението на произволни команди в операционната система на хоста чрез уязвимо приложение
• Инжектирането на код позволява на атакуващия да добави свой собствен код, който след това се изпълнява от приложението.
Заплахи за уеб приложения:
• Отравяне с бисквитки
• Несигурно съхранение
• Изтичане на информация
• Обхождане на директория
• Подправяне на параметър/формуляр
• DOS атака
• Препълване на буфера
• Подправяне на регистрационни файлове
• SQL инжектиране
• Междусайтово (XSS)
• Фалшифициране на заявки между сайтове
• Неправилна конфигурация на сигурността
• Неработещо управление на сесии
• DMZ атака
• Отвличане на сесия
• Атаки за мрежов достъп
Социално инженерство:
За всеки потребител е важно да разбира социалното инженерство и неговите тактики. Освен това, чрез разбиране на основните принципи, става по-лесно да избегнете измама от тях. Следващите раздели представят тези принципи.
• Авторитет
• Сплашване
• Консенсус/Социално доказателство
• Оскъдност
• Спешност
• Познаване/харесване
• Доверие
Безжични и радиочестотни уязвимости:
• Зъл близнак
• Атака на карма
• Атака за понижаване на версията
• Dauth. Атака
• Фрагментираща атака
• Събиране на идентификационни данни
• Слабост при внедряването на WPS
• Bluejacking
• Bluesnarfing
• RFID клониране
• Заглушаване
• Повтаряне
Основен анализ на зловреден софтуер:
• Оценка на зловреден софтуер
• Анализ на низове
• Анализ на зависимостта
• Срещане на файлове с изтрити логически данни
• Анализ на пясъчника
• Онлайн скенер за злонамерен софтуер / пясъчник
Основна функция на TCB:
• Активиране на процеса
• Превключване на домейн за изпълнение
• Защита на паметта
• I/O операция
Мениджър на паметта:
• Преместване
• Защита
• Споделяне
• Логическа организация
• Физическа организация
Защита на паметта:
• DEP (Предотвратяване на изпълнението на данни)
• ASLR (рандомизиране на оформлението на адресното пространство)
• ACL (списък за контрол на достъпа)
Защита на паметта:
• Сегментиране
• Пейджинг
• Защитен ключ
Проблеми със сигурността на мрежата за съхранение (SAN).
SAN са високоскоростни мрежи, които съчетават разнообразни технологии за съхранение, включително ленти, дискови масиви и оптични устройства, за да осигурят свързаното с мрежата хранилище, което да изглежда като локално. Тези устройства обикновено могат да поддържат дублиране на дискове, споделяне на данни между сървъри в мрежи и операции за архивиране/възстановяване.
• Контрол на достъпа до Storage Area Network
Удостоверяване/Упълномощаване/Шифроване/Наличност
• Атаки на Fibre Channel Storage Area Network
Отвличане на сесия / LUN маскиращи атаки / Man In The Middle Attack (MITM) / замърсяване на сървъра за имена / WWN подправяне / прескачане на зона / атака на превключвател
• Атаки на интерфейса на малка компютърна система в Интернет
Атака "човек по средата" / Прескачане на домейни в интернет прост сървър за имена /
Атака за удостоверяване.
Атаки (смекчаване):
• Подслушване (криптиране)
• Cyber-squatting (Защитете регистрацията на вашия домейн)
• СПАМ (филтриране на имейл)
• Сълза (кръпка)
• Припокриващ се фрагмент (не позволява презаписване на фрагменти)
• Атака с маршрутизиране на източник (блокиране на маршрутизирани от източника пакети)
• SYN flood Attack (поддръжка на доставчика при защита на стека на мрежата)
• Спуфинг (кръпки, защитни стени, силни механизми за удостоверяване)
• Отвличане на сесия (криптиране, редовно повторно удостоверяване)
Фаза на атаки:
• Получаване на достъп
• Ескалиране на привилегиите
• Сърфиране в системата
• Инсталирайте допълнителни инструменти
• Допълнително откритие
WLAN атаки:
• Атаки срещу поверителността
•• Анализ на трафика
•• Подслушване
•• Атака човек по средата
•• Evil Twin AP
• Атаки за контрол на достъпа
•• Военно шофиране
•• Rogue Access Point
•• Подправяне на MAC адреси
•• Неоторизиран достъп
• Атаки върху целостта
•• Отвличане на сесия
•• Повторна атака
•• Атака с инжектиране на рамка
• Атаки срещу достъпност
•• Атака за отказ на услуга
•• Радиочестотно (RF) заглушаване
•• Beacon Flood
•• Потопяване на асоциирани/удостоверяващи данни
•• Деудостоверяване & Разединение
•• DoS на Куинсланд / Виртуална атака със сензор за оператор
•• Фалшив SSID
•• Кражба на AP
• Атака за удостоверяване
•• Речник & Атака с груба сила
Защита на WLAN мрежи:
• Променете SSID по подразбиране.
• Внедрете WPA2 и 802.1X, за да осигурите централизирано удостоверяване на потребителя
• Използвайте отделни VLAN
• Разположете безжична система за откриване на проникване (WIDS).
• Физически поставете AP в центъра на сградата.
• Логично поставете AP в DMZ със защитна стена между DMZ и вътрешната мрежа.
• Внедрете VPN за използване от безжични устройства. Това добавя още един слой на защита за предаваните данни.
• Конфигурирайте AP да допуска само известни MAC адреси в мрежата.
• Извършете тестове за проникване в WLAN.
Заплахи за DNS инфраструктурата:
• Отпечатък
• Атака за отказ на услуга
• Модифициране на данни
• Пренасочване
• Спуфинг
Атаки срещу DNS сървъри:
• Прехвърляне на зона: Пряк път за събиране на информация
• Отравяне на зона: Разбийте основния сървър и променете файла на зоната към повредения домейн
• Отравяне на кеша: Изпращайте фалшиви отговори на кеш сървърите, докато не ги съхранят
• Reflection DoS: Изпратете фалшиви заявки във верига от сървъри, които изпълняват рекурсивни заявки
Намалете XSS:
• Проверка на данните
• Дезинфекция на данни
• Сигурност на бисквитките
• Изходно екраниране
Атаки на съоръжения:
• Снабдяване
• Скачане на ограда
• Гмуркане в контейнери за боклук
• Взлом
• Заключване на байпас
• Сензор за излизане
• Клониране на значка
Човек по средата:
• ARP спуфинг
• ICMP пренасочване
• DHCP подправяне
• Подправяне на NBNS
• Отвличане на сесия
• DNS отравяне
Изолиране на процесите на процесора:
• Капсулиране на обекти
• Времево мултиплексиране на споделени ресурси
• Разлики в именуване
• Картографиране на виртуална памет
Механизми за сигурност:
• I/O операции
• Активиране на процеса
• Превключване на домейн
• Защита на паметта
• Управление на хардуера
Хакерски уебсайт: (Уебсайтове за дефейс)
• SQL инжектиране
• XSS / CSRF
• Отдалечено включване на файлове
• Включване на локални файлове
• DDOS
• Използване на уязвимост
• Обхождане на директория
• Инжектиране на команда
Указанията за реагиране при спешни случаи включват:
• Процедури за незабавен отговор
• Списък на лицата, които трябва да бъдат уведомени за инцидента
• Процедури за вторично реагиране, които трябва да предприемат лицата, реагиращи първи
ISC2 – Етичен кодекс:
• Защитете обществото, инфраструктурата на общността
• Действайте почтено, честно, справедливо, отговорно и законно
• Осигурете усърдно и компетентно обслужване на Принципите
• Напредвайте и защитавайте професията
Проверки на миналото:
• Кредитна история
• Криминална история
• Шофьорски рекорди
• Тестване на лекарства и вещества
• Предишна работа
• Образование, лицензиране и проверка на сертификата
• Проверка и валидиране на социалноосигурителен номер
• Списък за наблюдение на заподозрени терористи
Управление на уязвимостта:
• Инвентар
• Заплаха
• Магарета
• Подредете по приоритет
• Байпас
• Внедряване
• Потвърдете
• Монитор
Оценка на уязвимостта:
• Събиране
• Магазин
• Организирайте
• Анализ
• Докладване
Разглеждане на сканиране за уязвимости:
• Време е да стартирате сканиране
• Използвани протоколи
• Мрежова топология
• Ограничения на честотната лента
• Регулиране на заявките
• Чупливи системи/нетрадиционни активи
Оценка на уязвимостта и тестване на писалка:
• Обхват
• Събиране на информация
• Откриване на уязвимости
• Анализ и планиране на информация
• Тестване за проникване
• Ескалация на привилегии
• Анализ на резултатите
• Докладване
• Почистване
Забележка:
Оценките на уязвимостта трябва да се извършват редовно, за да се идентифицират нови уязвимости. VA скенерите обикновено нямат повече от привилегия за четене.
Тест за проникване:
• Откриване - Вземете отпечатъка и информация за целта.
• Изброяване - Извършване на сканиране на портове и идентифициране на ресурси.
• Картографиране на уязвимости - Идентифицирайте уязвимостите в системите и ресурсите.
• Експлоатация - Опит за получаване на неоторизиран достъп чрез използване на уязвимостите.
• Докладване - Докладвайте резултатите на ръководството с предложени контрамерки
Основни раздели, определени от стандарта като основа за изпълнение на тест за проникване:
• Взаимодействия преди ангажиране
• Събиране на разузнавателна информация
• Моделиране на заплахи
• Анализ на уязвимостта
• Експлоатация
• Постексплоатация
• Докладване
Тест за проникване:
• Гол
• Разпознаване
• Откриване
• Експлоатация
• Груба сила
• Социално инженерство
• Поемане на контрол
• Завъртане
• Доказателства
• Докладване
• Саниране
Тестване за проникване:
• Външно тестване
• Вътрешно тестване
• Сляпо тестване – Ограничена информация за екипа на PT
• Двойно-сляпо тестване – Няма информация за екипа за вътрешна сигурност
• Целенасочено тестване - Наясно както с вътрешния, така и с PT екипа.
Тестване за проникване:
• Разузнаване
• Сканиране
• Получаване на достъп
• Поддържане на достъп
• Прикриване на песни
Тестване за проникване:
• Извършване на основно разузнаване за определяне на функцията на системата
• Сканиране за откриване на мрежа за идентифициране на отворени портове
• Сканиране на мрежови уязвимости за идентифициране на непоправени уязвимости
• Сканиране за уязвимости на уеб приложения за идентифициране на пропуски в уеб приложенията
• Използване на инструменти за експлоатиране за автоматичен опит за нарушаване на сигурността на системата
• Ръчно сондиране и опити за атака
Ключови компоненти на теста за проникване:
• Емулация на заплахи
• Повърхност за атака
• Атакуващи вектори
• Сценарии за атака
• Методология
Техники за тестване за проникване:
• Wardriving/набиране
• Подслушване
• Проучване на мрежата
• Тестване за физическа сигурност
• Социално инженерство
Правила за участие при тестване за проникване:
• Идентифицира и определя подходящия метод(и) и техники за тестване с използване на съответните устройства и/или услуги
• Докато обхватът определя началото и края на ангажимента, правилата на ангажимента определят всичко между тях
Правила за участие (ROE) в Pen Test:
• Въведение
• Логистика
• Комуникация
• Цели
• Изпълнение
• Докладване
• Подписи
Видове тестове за проникване:
• Тест за проникване в мрежата
• Тест за проникване на приложението
• Тест за проникване на устройства/интернет на нещата (IoT).
• Корпоративен тест за проникване
• Червен отбор
• Обратно инженерство / Изследване на нулевия ден
Тестване за проникване:
• Изисква една или повече цели за успешен тест
• Обхватът се основава на сценариите за атака
• Усилието е „ограничено във времето“.
• Открива технически и логически уязвимости
• Докладите трябва да са кратки
• Препоръките са стратегически
• Подобрява вътрешните процеси за сигурност
Има няколко елемента, които са общи за повечето ефективни отчети за тестване на писалка:
• Подготовка:
•• Определете целите и предназначението на теста за проникване.
•• Помислете как най-добре да се обърнете към аудиторията, на която пишете.
•• Уверете се, че можете да поставите всички подходящи събития в контекста на времето.
• Съдържание:
•• Опишете подробно методологията на теста, която сте използвали във вашите тестове.
•• Детайлирайте резултатите от всеки тест, идентифицирайки конкретни активи и уязвимости
който идентифицирате
• Предоставете своя анализ и интерпретация на резултатите.
• Предложете техники за отстраняване, които да използвате.
• Форматиране:
•• Форматирайте отчета си, за да отговаря на изискванията на всички приложими правителства
регулации и стандарти.
•• Пишете на ясен, практичен език. Избягвайте технически жаргон.
•• Форматирайте отчета си с групи и секции, за да подобрите четливостта.
• Преглед:
•• Проверете документа си, преди да го изпратите.
•• Преди това помолете друг експерт да предостави второ мнение за доклада
изпращане.
Изброяване:
• Извличане на потребителски имена с помощта на идентификатори на имейли, пароли по подразбиране
• Извличане на потребителски имена чрез SNMP
• Извличане на информация чрез прехвърляне на DNS зона, Finger OS и портове
Типове сканиране:
• СКАНИРАНЕ ЗА ОТКРИВАНЕ: Сканирането за откриване може да се извърши с много прости методи, например чрез изпращане на ping пакет (ping сканиране) до всеки адрес в подмрежа. По-сложните методи също ще открият операционната система и услугите на отговарящо устройство.
• СКАНИРАНЕ ЗА СЪОТВЕТСТВИЕ: Сканирането за съответствие може да се извърши или от мрежата, или на устройството (например като проверка на здравето на сигурността). Ако се извършва в мрежата, обикновено ще включва тестване за отворени портове и услуги на устройството.
• СКАНИРАНЕ ЗА УЯЗВИМОСТИ: Сканирането за уязвимост може или да тества за условия на уязвимост, или да опита активно използване на уязвимостта. Сканирането за уязвимости може да се извърши по начин без прекъсване или при приемане на факта, че дори тест за определени уязвимости може да повлияе на наличността или производителността на целта.
Червено
срещу
Синьо
:
Червените екипи тестват ефективността на програма или система за сигурност, като действат като нападатели. Червените отбори понякога се наричат тигрови отбори. Сините отбори са защитници и могат да действат срещу червени отбори или действителни нападатели.
•
Червен отбор
Червеният екип е вътрешна група, която изрично оспорва стратегията, продуктите и предубежденията на компанията. Очертава проблем от гледна точка на противник или скептик, за да намери пропуски в плановете и да избегне грешки, червеният екип симулира хакерите.
•
Син отбор
Синият екип е вътрешна група, която работи за защита на активите на компанията. В идеалния случай това е група
от експерти по мрежова сигурност, те защитават неща от хакерския екип.
Операции на червения екип:
• Емулирайте тактиките на заплахи от реалния свят
• Обучение на персонала на Blue Team / Incident Response
• Активно упражнявайте цикъла за пълна реакция при инцидент
• Измерете минималното време за откриване, минималното време за възстановяване
• Анализ на обидни данни след експлоатацията
Различни видове хакери:
•Бяла шапка – Хаква софтуер предимно за благотворителни цели, като например проучване на сигурността, за да намери начини за подобряване на сигурността на софтуера.
•Blackhat—Хакове главно за престъпни цели (като изнудване, кражба и кибертероризъм).
•Сива шапка – не се вписва в другите две категории. Основно мотивирани от печалба, продавайки информацията, която са разкрили, на държавни агенции, например.
Защитна стена:
• Първо поколение: Защитни стени за филтриране на пакети.
• 2-ро поколение: защитни стени на приложения (прокси).
• 3-то поколение: задайте пълни пакетни защитни стени
• 4-то поколение: динамично филтриране
• 5-то поколение: прокси на ядрото
Дневници на защитната стена:
• Разрешени или отказани връзки
• IDS дейност
• Одитна пътека за превод на адреси
• Потребителска активност
• Активност на прокси сървър
• Използване на честотната лента
• Използване на протокол
Цели на PCI стандарта за сигурност на данните:
• Изградете и поддържайте сигурна мрежа
• Защитете данните на картодържателя
• Поддържайте програма за управление на уязвимости
• Приложете строги мерки за контрол на достъпа
• Редовно наблюдавайте и тествайте мрежи
• Поддържайте политика за сигурност на информацията
Забележка:
PCI DSS позволява информацията на картодържателя в покой да бъде защитена или с токенизация, или с криптиране, но използването на такова е задължително.
Мобилните устройства са главните вектори за загуба на данни; области, върху които специалистът трябва да се съсредоточи:
• Сигурни комуникации
• Антизловреден софтуер
• Силно удостоверяване
• Пароли
• Контролирайте софтуера на трета страна
• Отделни сигурни мобилни шлюзове
• Блокиране, одити
• Тестове за проникване
• Политика за мобилна сигурност
Основни видове мобилни заплахи:
• Отказ от услуга - Откажете или влошете услугата за потребителите. Заглушаване на безжични комуникации, претоварване на мрежи с фалшив трафик, ransomware, кражба на мобилни устройства или мобилни услуги.
• Геолокация Физическо проследяване на потребителите. Пасивно или активно получаване на точни триизмерни координати на целта, евентуално включително скорост и посока.
• Разкриване на информация Неоторизиран достъп до информация или услуги.
Прихващане на данни по време на пренос, изтичане или ексфилтриране на потребителски, приложения или корпоративни данни, проследяване на потребителско местоположение, подслушване на гласови комуникации или комуникации с данни, тайно активиране на микрофона или камерата на телефона за шпиониране на потребителя.
• Спуфинг Имитиране на нещо или някого. Имейл или SMS съобщение, уж от шефа или колегата (социално инженерство); измамна Wi-Fi точка за достъп или клетъчна базова станция, имитираща легитимна.
• Подправяне Модифициране на данни, софтуер, фърмуер или хардуер без разрешение. Модифициране на данни по време на пренос, вмъкване на подправен хардуер или софтуер във веригата за доставки, преопаковане на легитимни приложения със зловреден софтуер, промяна на конфигурацията на мрежа или устройство (напр. джейлбрейк или руутване на телефон).
Рамка за киберсигурност:
• Идентифициране – Развийте организационното разбиране за управление на риска за киберсигурността за системи, активи, данни и възможности. Дейностите във функцията за идентифициране са основополагащи за ефективно използване на Рамката. Разбирането на бизнес контекста, ресурсите, които поддържат критични функции и свързаните рискове за киберсигурността, позволяват на организацията да фокусира и приоритизира усилията си, в съответствие с нейната стратегия за управление на риска и бизнес нуждите. Примери за категории резултати в рамките на тази функция включват управление на активи; Бизнес среда; управление; Оценка на риска; и стратегия за управление на риска.
• Защитете – Разработете и приложете подходящите предпазни мерки, за да гарантирате предоставянето на критични инфраструктурни услуги. Функцията Protect поддържа възможността за ограничаване или ограничаване на въздействието на потенциално събитие за киберсигурност. Примери за категории резултати в рамките на тази функция включват: контрол на достъпа; Информираност и обучение; сигурност на данните; Процеси и процедури за защита на информацията; Поддръжка; и защитна технология.
• Откриване – Разработване и прилагане на подходящи дейности за идентифициране на възникване на събитие за киберсигурност. Функцията за откриване позволява навременното откриване на събития, свързани с киберсигурността. Примери за категории резултати в тази функция включват аномалии и събития; Непрекъснато наблюдение на сигурността; и процеси на откриване.
• Реагиране – Разработете и приложете подходящите дейности за предприемане на действия по отношение на открито събитие за киберсигурност. Функцията Respond поддържа способността да се ограничи въздействието на потенциално събитие за киберсигурността. Примери за категории резултати в тази функция включват планиране на отговор; комуникации; анализ; смекчаване; и Подобрения.
• Възстановяване – Разработете и приложете подходящите дейности за поддържане на планове за устойчивост и за възстановяване на всички способности или услуги, които са били нарушени поради събитие, свързано с киберсигурността. Функцията за възстановяване поддържа навременно възстановяване към нормални операции, за да се намали въздействието от събитие за киберсигурност. Примери за категории резултати в рамките на тази функция включват планиране на възстановяване; Подобрения; и комуникации.
Атаки (1):
• Пасивни атаки – трудни за откриване, тъй като нападателят не засяга протокола. Примери за това са подслушване, мрежово подслушване и улавяне на данни, докато преминават, използвани за събиране на данни преди активна атака.
• Активни атаки – Промяна на съобщения, модифициране на системни файлове и маскиране са примери, защото нападателят всъщност прави нещо.
• Атаки с шифрован текст - Нападателят получава шифрован текст от няколко съобщения, като всяко съобщение е шифровано с помощта на един и същ алгоритъм за шифроване. Целта на нападателя е да открие ключа. Повечето често срещани атаки са лесни за получаване на шифрован текст, но най-трудната атака за успех.
• Атака с известен обикновен текст - Нападателят разполага с шифрования текст на няколко съобщения, но също и с обикновения текст на тези съобщения. Целта е да се открие ключът чрез обратно инженерство и опити проба/грешка
• Атака с избран обикновен текст - Нападателят не само има достъп до шифрования текст и свързания обикновен текст за няколко съобщения, но също така избира обикновения текст, който да бъде шифрован. По-мощна от атака с известен обикновен текст, тъй като атакуващият може да избере конкретни блокове с обикновен текст за криптиране, такива, които могат да дадат повече информация за ключа.
• Атака с избран шифрован текст: Нападателят може да избере различни шифровани текстове за декриптиране и има достъп до декриптирания обикновен текст. Това е по-трудна атака за извършване и нападателят ще трябва да има контрол върху системата, която съдържа криптосистемата
• Адаптивни атаки: Всяка от атаките има производно с думата адаптивен пред себе си. Това означава, че нападателят може да извърши една от тези атаки и в зависимост от това, което е събрано от първата атака, следващата атака може да бъде модифицирана. Това е процес на атаки с обратно инженерство или криптоанализ.
• Атака за рожден ден: криптографска атака, която използва математиката зад проблема с рождения ден в теорията на вероятностите, предизвиква сблъсъци в хеширащите функции.
• Атаки с груба сила: непрекъснато опитва различни входове за постигане на предварително зададена цел. Грубата сила се определя като „изпробване на всяка възможна комбинация, докато се идентифицира правилната“.
• Препълване на буфер: Твърде много данни се поставят в буферите, които образуват стека. Обичайният вектор на атаки се използва от хакери за стартиране на зловреден код на целева система.
• Скриптове между сайтове: отнася се за атака, при която се открива уязвимост на уебсайт, която позволява на атакуващ да инжектира злонамерен код в уеб приложение
• Речникови атаки: Файлове от хиляди думи се сравняват с паролата на потребителя, докато се намери съвпадение.
• DNS отравяне: Нападателят кара DNS сървър да преобразува име на хост в неправилен IP адрес
• Fraggle атака: тип DDoS атака на компютър, който наводнява целевата система с голямо количество UDP ехо трафик към IP излъчвани адреси.
• Фарминг: пренасочва жертвата към привидно легитимен, но фалшив уебсайт
• Фишинг: вид социално инженерство с цел получаване на лична информация, идентификационни данни, номер на кредитна карта или финансови данни. Примамка на нападателя или риболов за чувствителни данни чрез различни методи
• Mail Bombing: Това е атака, използвана за затрупване на пощенски сървъри и клиенти с непоискани имейли. Използването на филтриране на имейли и правилното конфигуриране на функцията за предаване на имейли на имейл сървъри може да се използва за защита на тази атака.
Атаки (2):
• Ping на смъртта: тип DoS атака на компютър, която включва изпращане на неправилно формирани или прекалено големи ICMP пакети до цел.
• Повторна атака: форма на мрежова атака, при която валидно предаване на данни злонамерено или измамно се повтаря с цел получаване на неоторизиран достъп.
• Повторна атака: нападател улавя трафика от легитимна сесия и го възпроизвежда, за да удостовери своята сесия
• Отвличане на сесия: Ако атакуващият може правилно да предскаже TCP последователните номера, които двете системи ще използват, тогава той може да създаде пакети, съдържащи тези числа, и да заблуди получаващата система да мисли, че пакетите идват от оторизираната изпращаща система. След това тя може да поеме TCP връзката между двете системи.
• Атаки по страничен канал: Ненатрапчиви и се използват за разкриване на поверителна информация за това как работи даден компонент, без да се опитват да компрометират някакъв вид недостатък или слабост. Неинвазивна атака е тази, при която нападателят наблюдава как нещо работи и как реагира на различни ситуации, вместо да се опитва да го „нахлуе“ с по-натрапчиви мерки. страничните атаки са генериране на грешки, диференциален анализ на мощността, електромагнитен анализ, синхронизация и софтуерни атаки.
• Smurf атака: тип DDoS атака на компютър, който залива целевата система с фалшиви излъчвани ICMP пакети.
• Социално инженерство: Нападател лъжливо убеждава дадено лице, че има необходимото разрешение за достъп до определени ресурси.
• Спуфинг при влизане: нападателят може да използва програма, която представя на потребителя фалшив екран за влизане, който често подвежда потребителя да се опита да влезе
• SYN наводнение: DoS атака, при която нападателят изпраща последователност от SYN пакети с цел да претовари системата на жертвата, така че да не реагира на легитимен трафик.
• TOC/TOU атака: Нападателят манипулира стъпката „проверка на състоянието“ и стъпката „използване“ в рамките на софтуера, за да позволи неоторизирана дейност.
• Военно набиране: Военното набиране вмъква дълъг списък от телефонни номера в програмата за военно набиране с надеждата да намери модем за получаване на неоторизиран достъп.
• Атака чрез червеева дупка: Това се случва, когато нападател улавя пакети на едно място в мрежата и ги тунелира към друго място в мрежата, за да ги използва втори нападател срещу целева система.
• Атака за отказ на услуга (Dos): Хакерът изпраща множество заявки за услуга до компютъра на жертвата, докато в крайна сметка претоварят системата, което я кара да замръзне, да се рестартира и в крайна сметка да не може да изпълнява редовни задачи.
• Атака Man-In-The-Middle Attack: Нарушител се инжектира в текущ диалог между два компютъра, за да може да прихваща и чете съобщения, предавани напред-назад. Тези атаки могат да бъдат противодействани с цифрови подписи и техники за взаимно удостоверяване.
• Teardrop: Тази атака изпраща деформирани фрагментирани пакети до жертвата. Системата на жертвата обикновено не може да сглоби правилно пакетите и в резултат на това замръзва. Противодействието на тази атака е да се закърпи системата и да се използва филтриране на входа за откриване на тези типове пакети.
Безжична атака:
• Rogue AP
• Смущения
• Заглушаване
• Зъл близнак
• Военно шофиране
• War Chalking
• IV атака
• WEP/WPA атаки
Защитена конфигурация на хардуерни устройства:
• Сигурна компилация
• Сигурна първоначална конфигурация
• Втвърдяване на хоста - премахнете всички ненужни
• Корекция на хоста
• Блокиране на хоста
• Сигурна текуща конфигурация, поддръжка
RFID атаки:
• Фалшифициране на RFID
• RFID надушване
• Проследяване
• Отказ от услуга
• Спуфинг
• Отказ
• Вмъкване на атаки
• Повторни атаки
• Физически атаки
• Вируси
RFID атаки:
• Подслушване/скимиране
• Анализ на трафика
• Спуфинг
• Атака за отказ на услуга/Разпределена атака за отказ на услуга
• Целостта на RFID четеца
• Лична поверителност
Атаки срещу VLAN:
• MAC Flooding Attack
• Атака за маркиране на 802.1Q и Inter-Switch Link Protocol (ISL)
• Двойно капсулирана 802.1Q/вложена VLAN атака
• ARP
Атаки
• Multicast Brute Force Attack
• Spanning-Tree Attack
• Атака на произволен кадър
Методи за криптоаналитични атаки:
• Атака само с шифрован текст (само шифрован текст)
• Известен обикновен текст (наличен както обикновен, така и шифрован текст)
• Избран обикновен текст (известен алгоритъм, адаптивен, където обикновеният текст може да се променя)
• Избран шифрован текст (известен алгоритъм, адаптивен, където шифрован текст може да се променя)
Често срещани уязвимости и заплахи на архитектурата на сигурността:
• Лошо управление на паметта
• Скрити канали (съхранение и време)
• Недостатъчно резервиране на системата
• Лош контрол на достъпа
• Хардуерен отказ
• Злоупотреба с привилегии
• Препълване на буфера
• Атаки на паметта
• DoS
• Обратно инженерство,
• Хакване,
• Еманации
• Атаки към състояние (състезателни условия)
Пот с мед може да се използва:
• Събиране на информация за заплахи
• Разсейване на нападателите
• Забавяне на нападателите
Защита на крайната точка:
• Вградена функционалност на защитната стена.
• Функционалност на система за откриване на проникване (IDS)/система за предотвратяване на проникване (IPS).
• Функция за предотвратяване на загуба на данни (DLP).
• Функция за бели/черни списъци на приложения.
• Пълно дисково криптиране.
• Интерфейси за управление за конфигуриране на всяка крайна точка или групи крайни точки.
• Централизиран вътрешен сървър за разпространение на актуализации на злонамерен софтуер.
Забележка:
Инструментът за откриване е основен компонент на DLP решение. Това може да се използва за целите на идентифициране и събиране на подходящи данни.
Общи типове вируси:
• File Infectors – Инфектира програмни или обектни файлове.
• Инфектори на сектора за зареждане – Прикачване или замяна на записи за зареждане
• Системни инфектори – Прикрепя се към системни файлове или системна структура
• Придружаващ вирус – Не докосва физически целевия файл
• Имейл вирус – Запознайте се със системата за електронна поща.
• Многостранно – Възпроизвежда по повече от един начин
• Макро вирус – Използва макро програмиране на приложението. Заразяване на файлове с данни
• Скрипт вирус – Самостоятелни файлове, които могат да се изпълняват от интерпретатор
• Хост на скрипт – .vbs като хост на вирус на скрипт.
RAID:
Някои от опциите за защита на RAID са:
• RAID0 – ивици
• RAID 1 издържа на отказ на едно устройство в една от огледалните двойки. Броят на необходимите устройства е два пъти по-голям от необходимия за съхраняване на данни.
• RAID2 - Hamming Code изисква 14 или 39 диска
• RAID3 - ивичен набор със специален паритет (ниво на байт)
• RAID4 - ивичен комплект със специален паритет (ниво на блок)
• Предлага се и RAID 5 защита. Блоковете с данни са ивици хоризонтално между членовете на група RAID 5 и всеки член притежава някои записи с данни и някои песни за паритет.
• RAID 6 защитава данните при повреди на до 2 диска на RAID група.
• RAID1+0 - ивичен набор от огледални дискове
Мощност:
• Затъмнение: Генератор
• Отказ: (UPS) Непрекъсваемо захранване
• Пренапрежение: Защита от пренапрежение
• Шип: Защита от пренапрежение
• Шум: Кондиционер
• Чиста мощност: Не е необходимо решение
Хеширане:
• MDS Алгоритъм за извличане на съобщения - 128-битово извличане
• SHA - 160-битово обобщение
• HAVAL
• RIPEMD-160
• Възможни са атаки за рожден ден
Симетрични алгоритми:
• Стандарт за криптиране на данни (DES)
• 3DES (Троен DES)
• Blowfish
• Две риби
• Международен алгоритъм за криптиране на данни (IDEA)
• RC4, RCS и RCG
• Разширен стандарт за шифроване (AES)
• Сигурна и бърза процедура за криптиране (ПО-БЕЗОПАСНО)
• Змия
• КАСТ
Асиметрични алгоритми:
• RSA - разлагане на произведението на две големи прости числа
• Алгоритъм на Дифи-Хелман
• EI Gamal - дискретни дневници
• Криптография с елиптична крива (ECC)
Шифроване:
• Използвайте криптиране, което е достатъчно силно, за да защити данните.
• Но колкото по-силно е криптирането, толкова повече време ще отнеме дешифрирането.
• Каквото и криптиране да използвате, то не трябва да забавя производителността неприемливо за повечето от вашите потребители.
Други приложения за криптиране включват:
• Неотказ • Управление на цифрови права (DRM) • Цифров подпис • Тунелиране
Отмяна на сертификат:
•Анулирани сертификати, когато:
•• Те изтичат.
•• Сигурността на личния ключ е под въпрос.
•CRL
•• Списък, издаван периодично от CA на серийни номера на сертификати, които са били отменени.
•• Осигурява причини за оттегляне.
•• CRL има цифров подпис за предотвратяване на подправяне или DoS атаки.
•• Списъкът има кратък живот.
•OCSP
•• Използва HTTP заявка за получаване на статус на анулиране от CA.
•• Предоставя по-бързо потвърждение от CRL
Криптография:
• Поверителност
• Удостоверяване
• Почтеност
• Неотказност
Концепции за сигурност:
• Трябва да се знае (достъп само до това, което е необходимо за изпълнение на задача/работа).
• Разделяне на задълженията (един човек не може да изпълни всички стъпки от критични процеси или да участва в злонамерена дейност без тайно споразумение).
• Наблюдавайте специални привилегии (регистрационните файлове за одит за системни оператори/администратори/служители на центъра за данни гарантират, че привилегированите потребители не могат да заобиколят политиката за сигурност, не трябва да имат достъп до регистрираната си дейност, провеждат проучвания на фона).
• Ротация на работата (намалява тайните споразумения).
• Жизнен цикъл на информацията: (създаване, използване, унищожаване на данни, собственикът на информация/данни помага за защитата на данните чрез класифициране и определяне на тяхната критичност и чувствителност).
Черен/бял списък (BL/WL):
• Черният списък е изричен отказ.
• Белият списък е косвен отказ.
• Черният списък = "Ако сте в списъка, значи НЕ ви е позволено да влезете."
• Белият списък = "Ако НЕ сте в списъка, значи НЕ ви е позволено да влезете."
Клиентски базирани уязвимости, клиентската система трябва да има:
• Лицензирано като работещо
• Актуална антивирусна програма и антизловреден софтуер
• HIDS
• Силно криптиране
• Ограничени акаунти без администраторски привилегии
• Непрекъснато наблюдение
• Подсилени мобилни устройства
Сървърни уязвимости, сървърната система трябва:
• Определете как ще бъде установен отдалечен достъп
• Проверете дали е извършено управление на конфигурацията
• Контрол на потока от данни
Методи за премахване на превключвател:
• MAC Spoofing Задайте MAC адреса на NIC на същата стойност като друга
• MAC наводняване Претоварете CAM таблицата на превключвателя, така че да се прикрие в режим на концентратор
• ARP отравяне Инжектирайте неправилна информация в ARP кеш паметта на две или повече крайни точки.
Най-важните елементи, които записват данни за състоянието на мрежовите устройства:
• Таблици за маршрутизиране
• CAM таблици
• NAT таблици
• DNS кеш
• ARP кеш
Логическа сигурност:
• Неуспешно отваряне/меко (наличността се запазва, но данните може да не са защитени)
• Fail Secure/Closed (данните са защитени, но наличността не се запазва) Физическа сигурност
• Fail Safe/Open (системите са изключени / входовете са отключени - хората са в безопасност)
• Fail Secure/Closed (входовете са заключени)
• Преминаването към отказ е концепция за устойчивост на грешки (излишък). Ако имате две излишни мрежови карти; първичен и резервен – и първичният се провали, използва се резервният.
Моделът на базата данни трябва да предоставя:
• Устойчивост на транзакцията
• Толерантност/възстановяване на грешки
• Споделяне
• Контроли за сигурност
Заплахите за СУБД включват:
• Агрегиране (комбиниране на данни за образуване на поверителна информация)
• Заобикалящи атаки (избягване на контроли за достъп до информация)
• Компрометиране на изгледи на база данни (промяна/достъп до ограничени изгледи)
• Паралелност (процеси, изпълнявани по едно и също време без подходящи заключвания)
• Замърсяване (корупция)
• Заключване (отказване на потребители, които имат достъп до информация по едно и също време)
• DoS (предотвратяване на оторизиран достъп)
• Неправилна модификация (случайна/умишлена)
• Извод (извеждане на ограничена информация чрез наблюдение)
• Прихващане на данни
• Достъп до сървъра
• Полиморфизъм
• Полиинстанция
• TOC/TOU (злонамерена промяна на данни в определен момент)
• Проблеми със сигурността в мрежата
• Неоторизиран достъп
Агрегиране срещу извод:
Извод (разбиране на бизнеса, анализ на риска, интервю със собственика); като комбинирате множество доклади или източник на информация, вие успявате да отгатнете или измислите нова информация. Агрегиране (разбирайте данни и полета); сумата може да представлява ниво на сигурност, по-високо от всяка от частите. Имайте предвид тези условия:
• Полиинстанциране: Предотвратява атаки с изводи
• Изгледи на бази данни: Ограничени интерфейси, ограничителен интерфейс
• Зависещ от контекста контрол на достъпа: Зависещи от съдържанието контроли
• Шум и смущения: Адресира атаките с изводи
• Потискане на клетки: Техника, използвана срещу извода
Шум и смущения: Техника за вмъкване на фалшива информация с надеждата да насочите погрешно нападател или да объркате въпроса достатъчно, че действителната атака да не бъде плодотворна.
Токени – „Синхронни“ срещу „Асинхронни“:
• Токени за синхронна динамична парола Хардуерните токени, които създават синхронни динамични пароли, са базирани на времето и са синхронизирани със сървър за удостоверяване. Те генерират нова парола периодично, например на всеки 60 секунди. Това изисква токенът и сървърът да имат точно време.
• Асинхронните токени за динамична парола не използват часовник. Вместо това хардуерният токен генерира пароли въз основа на алгоритъм и нарастващ брояч. Когато се използва увеличаващ се брояч, той създава динамична еднократна парола, която остава същата, докато не бъде използвана за удостоверяване. Някои токени създават еднократна парола, когато потребителят въведе в токена ПИН код, предоставен от сървъра за удостоверяване.
Използване на токени: (NIST 800-63)
• Удостоверяване с един токен
• Удостоверяване с множество токени
Типове токени за електронно удостоверяване: (NIST 800-63)
• Запаметен таен знак
• Предварително регистриран токен на знания
• Търсене на таен токен
• Извънлентов токен
• Устройство с еднофакторна (SF) еднократна парола (OTP).
• Еднофакторно (SF) криптографско устройство
• Многофакторен (MF) софтуерен криптографски токен
• Устройство с многофакторна (MF) еднократна парола (OTP).
• Многофакторно (MF) криптографско устройство
Токен заплахи:
• Нещо, което имате, може да бъде изгубено, повредено, откраднато от собственика или клонирано от нападателя.
• Нещо, което знаете, може да бъде разкрито на нападател. Нападателят може да познае парола/ПИН.
• Нещо, което сте, може да бъде копирано.
Стратегии за смекчаване на заплахите с токени:
• Множество фактори правят успешните атаки по-трудни за изпълнение.
• Може да се използват механизми за физическа сигурност, за да се защити откраднат токен от дублиране.
• Налагането на правила за сложност на паролата може да намали вероятността от успешна атака с отгатване.
• Може да се използват контроли за сигурност на системата и мрежата, за да се попречи на нападателя да получи достъп до система или да инсталира злонамерен софтуер.
• Може да се извършва периодично обучение, за да се гарантира, че Абонатът разбира кога и как да докладва за компрометиране (или подозрение за компрометиране) или по друг начин да разпознава модели на поведение, които могат да означават, че нападател се опитва да компрометира токена.
• Извънчестотни техники могат да се използват за проверка на доказателство за притежание на регистрирани устройства (напр. мобилни телефони).
Токен заплаха/атака: (NIST SP800-63)
• Кражба - Използвайте многофакторни токени, които трябва да бъдат активирани чрез ПИН или биометрични данни.
• Дублиране – Използвайте токени, които е трудно да се дублират, като хардуерни криптографски токени.
• Откриване - Използвайте методи, при които отговорите на подканите не могат да бъдат лесно открити.
• Подслушване
•• Използвайте токени с динамични удостоверители, когато познавате един удостоверител
не помага при извличането на последващ удостоверител.
•• Използвайте токени, които генерират автентификатори въз основа на входна стойност на токен.
•• Създайте токени чрез отделен канал.
• Офлайн кракване
•• Използвайте токен с тайна токен с висока ентропия
•• Използвайте токен, който се заключва след няколко повтарящи се неуспешни опита за активиране.
• Фишинг или фарминг – Използвайте токени с динамични удостоверители, когато познаването на един удостоверител не помага при извличането на последващ удостоверител.
• Социално инженерство - Използвайте токени с динамични удостоверители, когато познаването на един удостоверител не помага при извличането на последващ удостоверител.
• Онлайн отгатване – Използвайте токени, които генерират удостоверители с висока ентропия.
Ключови състояния и преходи: (NIST 800-57)
• Състояние преди активиране: Ключът е генериран, но все още не е разрешен за използване
• Активно състояние: Ключът може да се използва за криптографска защита на информацията
• Деактивирано състояние: Крипто периодът на ключа е изтекъл, но ключът все още трябва да извършва криптографски операции
• Унищожено състояние: Ключът е унищожен тук
• Компрометирано състояние: ключът е освободен или определен от неупълномощен обект
• Унищожено компрометирано състояние: ключът е унищожен след компрометиране или компрометирането е намерено след унищожаването на ключа
Управление на ключове:
• Сигурно генериране на ключове
• Сигурно съхранение на ключове
• Сигурно разпространение на ключове
• Сигурно унищожаване на ключове
Сигурно управление на ключове:
• Генериране на ключове: Как, кога и на какво устройство се генерират ключове
• Извличане на ключ Конструиране на криптографски ключове от други ключове и променливи
• Създаване на ключове: двустранно алгоритмично изчисление на ключовия материал
Сигурно опаковане и изпращане на ключове от едно устройство на друго
• Съхранение на ключове: Сигурно съхранение на ключове (често шифровани чрез „ключове за шифроване на ключове“) и в какъв тип устройство(а)
• Живот на ключа: Колко дълго трябва да се използва ключ, преди да бъде унищожен (нулиран)
• Нулиране на ключове: Сигурно унищожаване на ключов материал
• Счетоводство: Идентифициране, проследяване и отчитане на генерирането, разпространението и унищожаването на ключов материал между обектите
Ключови фактори за управление:
• Мерки за контрол на ключовете: Определете кой има достъп до ключовете и как се присвояват.
• Възстановяване на ключове: Как се възстановяват изгубени ключове.
• Съхранение на ключове: Сигурно хранилище за записи за присвояване на ключове.
• Оттегляне/унищожаване на ключове: Как ключовете се премахват от употреба и как се унищожават.
• Промяна на ключове: Как ключовете се променят периодично.
• Генериране на ключове: Как се генерират ключове, за да се гарантира, че са произволни.
• Кражба на ключ: Какво да направите, когато ключовете са били компрометирани.
• Честотата на използване на ключовете: Как да ограничите времето, през което се използват ключовете, и честотата на повторното им използване.
• Депозиране на ключове – Осигурява правоприлагащи и други агенции упълномощен достъп до криптирана информация. Може да се наложи ключовете да се съхраняват на различни места
Бърза справка за управление на проекти:
• Работният пакет е НАЙ-НИСКОТО ниво на WBS.
• WBS не показва реда на работните пакети или някакви зависимости между тях.
• WBS речник – Подробно описание на WBS компонента
• Разходи-ползи: Разглеждане колко ще струват вашите качествени дейности
• Заинтересованите страни са САМО заинтересованите субекти, които са вътрешни или външни за организацията.
• Подходът на жизнения цикъл на проекта е управление на проекта и е описан в плана за управление на проекта.
• Рискът и несигурността са най-големи в началото на проекта.
• Анализът на прогнозите за проекта (включително време и цена) също е част от отчитането на ефективността.
• Апетитът за поемане на риск е степента на несигурност, която предприятието е готово да поеме в очакване на награда.
• Толерантността към риск е степента, количеството или обемът на риска, на който една организация или индивид ще издържи.
• Прагът на риска се отнася до мерки по отношение на нивото на несигурност или нивото на въздействие, при което дадена заинтересована страна може да има конкретен интерес.
• Положителните и отрицателните рискове обикновено се наричат възможности и заплахи.
• Проектен риск може да съществува в момента, в който проектът е иницииран.
• SOW за доставка описва бъдещите продавачи, ако те са способни да предоставят продуктите, услугите или резултатите.
• PMO управлява методологиите, стандартите, общите рискове/възможности, показателите и взаимозависимостите между проектите на ниво предприятие. Поддържащи, контролиращи и директивни са типовете PMO структури в организациите.
• ЕДНОСТРАНЕН: това е специален клас договори, при които продавачът не трябва да приеме изрично офертата, за да бъде сключен договор. Това е едностранен договор и най-добрият пример е поръчка за покупка (PO)
• Форсмажорни рискове, като земетресения, наводнения, терористични актове и т.н., трябва да бъдат обхванати от процедурите за възстановяване след бедствие вместо управление на риска.
Метрики за качество на услугата:
• Наличност
• Продължителност на прекъсването
• Средно време между отказите (MTBF)
• Показател за капацитет
• Показатели за ефективност
• Показател за процент на надеждност
• Показател за капацитет на устройството за съхранение
• Показател за капацитет на сървъра
• Показател за времето за стартиране на екземпляр
• Метрика за време за реакция
• Показател за време на завършване
• Метрика за средно време за превключване
• Метрика за средно време за възстановяване на системата
• Показатели на компонента за мащабируемост
• Метрика за мащабируемост на хранилището
• Показател за мащабируемост на сървъра
Жизнен цикъл на управление на самоличността и достъпа (IAM):
• Осигуряване: Прилагане на подходящи права на потребителите за файлове/папки
• Преглед: Периодично наблюдение на съществуващите права за постоянна нужда
• Отмяна: Премахване на права, когато вече не са необходими или гарантирани
Фази на IAM:
• Обезпечаване и депровизиране
• Централизирани справочни услуги
• Управление на привилегировани потребители
• Управление на удостоверяване и достъп
Ключови проблеми с услугите за самоличност:
• API: Въпреки че доставчиците на IAM предлагат конектори към най-често срещаните облачни услуги, е малко вероятно те да предоставят всички конектори, от които се нуждаете.
• Съпоставяне на оторизация: Има много възможни начини за определяне на правила за оторизация, като например по роля или по атрибут.
• Одит: Вътрешните системи могат да бъдат свързани със системи за управление на журнали и SIEM, за да изготвят отчети за съответствие и да осигурят наблюдение и откриване на събития, свързани със сигурността.
• Поверителност: Потребителите, потребителските атрибути и друга информация често се изтласкват извън вашата корпоративна мрежа и в едно или повече хранилища за облачни данни.
• Закъснение: Разпространяването на промените на правилото от вътрешен IAM към облачен IAM може да отнеме известно време. Закъснението е предмет на обсъждане както с вашия IAM доставчик, така и с доставчика на облачна услуга.
• Управление на привилегировани потребители: Това е проблем от дълго време и облакът добавя нова бръчка. Исторически привилегированите потребители са били всички служители и ако нещата вървят крушовидно, можете да се справите с това като събитие за човешки ресурси. В облака, който се разпада.
• Идентичност на приложението: След като потребителят е влязъл, може да се наложи да потвърдите приложението, което той използва — или може би изобщо няма потребител, а само междинен софтуер.
• Мобилни: мобилните връзки към облачните услуги се случват извън границите на нормалното.
• Местоположение на магазина за идентичност: Ако компаниите преместят своите приложения и данни в облачни услуги, ще преместят ли и съществуващите магазини за идентичност?
Изчерпателен и ефективен процес на разузнаване за сигурността може да доведе до:
• По-бързо откриване и отстраняване на заплахи.
• Подобрено съответствие с нормативните изисквания.
• Намаляване на измамите, кражбите и изтичането на данни.
• Намаляване на усилията, необходими за осигуряване на сигурност и справяне с последствията, свързани с пробиви.
• Възможност за откриване на потенциални слабости, преди действително да се случи експлойт.
Жизнен цикъл на събиране на информация за сигурността:
• Планиране и насочване
• Колекция
• Обработка
• Анализ и производство
• Разпространение и интегриране
Модели на облачни услуги:
• Софтуер като услуга (SaaS)
•• Приложенията на доставчика работят в облака
•• Клиентите използват тънки приложения (като браузър) за достъп до SaaS
• Платформа като услуга (PaaS)
•• Клиентски приложения, внедрени и работещи в облака
• Инфраструктура като услуга (IaaS)
•• Обработка, съхранение и мрежови услуги
•• Клиентът контролира операционните системи и конфигурациите на хоста
Забележка:
Вие оставате отчетни и отговорни – независимо от използваната облачна услуга.
Аутсорсинг:
• Гарантиране, че организацията разполага с подходящ контрол и процеси за улесняване на аутсорсинга.
• Гарантиране, че има подходящи клаузи за управление на информационния риск в договора за аутсорсинг.
• Гарантиране, че е извършена оценка на риска за процеса, който ще бъде възложен на външни изпълнители.
• Гарантиране, че е извършено подходящо ниво на надлежна проверка преди подписването на договора.
• Ежедневно управление на информационния риск за външни услуги
• Гарантиране, че съществените промени в отношенията са маркирани и нови оценки на риска се извършват според изискванията.
• Гарантиране, че се следват правилните процеси, когато взаимоотношенията са прекратени.
Договорите с трети страни включват:
• Споразумение, че продавачът ще спазва приложимите закони и разпоредби за сигурност на информацията и поверителност.
• Защита на информацията и поверителност.
• Право на одит
• Уведомяване в случай на нарушение на сигурността на данните.
• Къде данните ще бъдат достъпни, съхранявани и/или обработвани. Важно е да се знаят конкретните местоположения и да се гарантира, че продавачът ще уведоми основния обект, ако има нужда от добавяне, промяна или премахване на местоположение.
• Връщане или унищожаване на данни при прекратяване на договор.
• Проверки на миналото на служителите/проверка на заетостта.
• Очаквания за обучение на служителите.
• Способността на продавача да възлага работа на подизпълнител.
• Планове за непрекъснатост на бизнеса/възстановяване след бедствие. В какъв период от време функцията на доставчика трябва да заработи в случай на бедствие?
Договори с трети страни:
• NDA/NDC
• Съответствие с нормативните изисквания
• Известие за инцидент
• SLA/SLC
Оценете третата страна:
• Оценка на място
• Обмен и преглед на документи
• Преглед на процеса/политиката
Популярни услуги:
• IaaS: Amazon EC2, Windows Azure, Rackspace (резервно копие)
• PaaS: Google App Engine, Cloud Foundry, force.com
• SaaS: Office 365, Dropbox, salesforce.com, Google Apps
• Управление на облак: CloudStack, OpenStack
Оценяване на сигурността на облачните услуги:
• Каква е сигурността на съоръжението, в което работят сървърите?
• Криптирани ли са клиентските данни? Ако е така, какъв метод за криптиране се използва?
• Отделена ли е вътрешната система на доставчика на облак от неговите изправени към интернет облачни сървъри?
• Има ли доставчикът одит на сигурността, който може да сподели с нас?
• Какви предпазни мерки използват в своя интерфейс на уеб услуга и/или API?
• Архивират ли данните си редовно и извършват ли тестови възстановявания за правилно възстановяване след бедствие?
• Какви общи политики за нарушаване на данните и защита са налице?
• Споделят ли се клиентски данни с трети страни?
Правила за запазване на данни в облака:
• Регламент
• Картографиране на данни
• Класификация на данните
• Процедури
• Мониторинг и поддръжка
Сигурността в облака (SDLC):
• Дефиниране
• Проектиране
• Разработка
• Тестване
• Сигурни операции
• Изхвърляне
Облачните изчисления оказват влияние върху четири области на управление и управление на риска:
• Управлението включва политиката, процеса и вътрешния контрол, които определят как се управлява една организация.
• Управлението на корпоративния риск включва управление на общия риск за организацията, съобразено с управлението и толерантността към риска на организацията.
• Управлението на информационния риск обхваща управлението на риска за информацията, включително информационните технологии.
• Информационната сигурност е инструментите и практиките за управление на риска за информацията.
Сигурност в облака – общи проблемни области:
• Управление и управление на корпоративния риск
• Правни въпроси: Договори и електронно откриване
• Съответствие и одит
• Управление на информацията и сигурност на данните
• Преносимост и оперативна съвместимост
• Традиционна сигурност, непрекъснатост на бизнеса и възстановяване след бедствие
• Операции в центъра за данни
• Реагиране на инциденти, уведомяване и отстраняване
• Сигурност на приложението
• Криптиране и управление на ключове
• Управление на самоличността и достъпа
• Виртуализация
• Сигурността като услуга
Документ за сигурност в облака на ENISA:
• ЗАГУБА НА УПРАВЛЕНИЕ; CSP не се ангажира с необходимата задача
• ЗАКЛЮЧВАНЕ НА ДОСТАВЧИКА, високите разходи за преминаване към друг доставчик
• ГРЕШНОСТ НА ИЗОЛАЦИЯТА: един наемател влияе на друг.
• РИСКОВЕ ОТ СЪОТВЕТСТВИЕТО: т.е. одитът е невъзможен или няма доказателства
• КОМПРОМИС НА ИНТЕРФЕЙСА ЗА УПРАВЛЕНИЕ
• ЗАЩИТА НА ДАННИТЕ; защита не може да бъде демонстрирана
• НЕСИГУРНО ИЛИ НЕПЪЛНО ИЗТРИВАНЕ НА ДАННИ
• ЗЛОНАМЕРЕЕН ВЪТРЕШЕН ЧЛЕН: т.е. доставчик или одитор в облак
Сигурност на съхранението в облак:
• Шифроване
• Удостоверяване
• Упълномощаване
Сигурност в облачните изчисления:
• Разделяне на данни
• Управление на самоличността
• Управление на наличността
• Управление на уязвимостта
• Управление на контрола на достъпа
Стъпки, които трябва да предприемете в облака, за да избегнете блокиране на доставчика:
• Извършете дължимата грижа
• Планирайте рано за излизане
• Проектирайте приложението си така, че да бъде слабо свързано
• Увеличете максимално преносимостта на вашите данни
• Обмислете стратегия за много облаци
• Внедряване на инструменти и процеси на DevOps
Забележка
: Лошо съставен договор може да доведе до блокиране на доставчика
12 критични проблема за сигурността в облака:
• Нарушения на данните
• Слабо управление на самоличността, идентификационните данни и достъпа
• Несигурни API
• Уязвимости на системата и приложенията
• Отвличане на акаунт
• Злонамерени вътрешни лица
• Разширени постоянни заплахи (APT)
• Загуба на данни
• Недостатъчна надлежна проверка
• Злоупотреба и злоупотреба с облачни услуги
• Отказ от услуга
• Споделени технологични проблеми
Риск от облак:
• Привилегирован потребителски достъп
• Съответствие с нормативните изисквания
• Местоположение на данните
• Разделяне на данни
• Възстановяване
• Дългосрочна жизнеспособност
SLA в облак:
• Наличност (напр. 99,99% през работните дни, 99,9% за нощувки/уикенди)
• Производителност (напр. максимално време за реакция)
• Сигурност/поверителност на данните (напр. Шифроване на всички съхранени и предадени данни)
• Очаквания за възстановяване след бедствие (напр. ангажимент за възстановяване в по-лош случай)
• Местоположение на данните (напр. в съответствие с местното законодателство)
• Достъп до данните (напр. данни, които могат да бъдат извлечени от доставчик в четим формат)
• Преносимост на данните (напр. Възможност за преместване на данни към различен доставчик)
• Процесът за идентифициране на проблеми и очаквания за разрешаване (напр. Център за обаждания)
• Процес на управление на промени (напр. Промени – актуализации или нови услуги)
• Процес на медиация при спор (напр. процес на ескалация, последствия)
• Стратегия за излизане с очакванията на доставчика, за да се осигури плавен преход
Забележка:
Изискванията за непрекъсната работа и наличност са ключов компонент на споразумението за ниво на обслужване (SLA).
Подготовка за използване в облака:
• Рамка за управление на облака
• Планиране за използване в облак
• Контроли за сигурност за използване в облак
• Обучение за информираност относно сигурността за потребители на облак
• Извършване на надлежна проверка на предвидени доставчици на облачни услуги (CSP)
Споразумението CSP:
• Необходими услуги, нива на обслужване, време за работа, резервиране, възстановяване
• Поверителност/Неразкриване/Собственост/Достъп
• Гаранции за съответствие с уведомяване и санкции за нарушения
• Откриване на нарушения/инциденти, уведомяване, отговор и коригиране
• Предпазливо управление на CSP бизнеса
• Мониторинг, одит, инспекции, поддържане на показатели, отчети
Съществени характеристики на облака:
• Обединяване на ресурси. Множество клиенти
• Самообслужване при поискване. Едностранно предоставяне
• Широк мрежов достъп. Мрежа и клиент
• Бърза еластичност. Бързо предоставяне и депровизиране
• Измерена услуга. Плащане на използване
Жизнен цикъл на данните в облака:
• Създаване: Създаването е генерирането на ново цифрово
• Съхраняване: Съхраняването е актът на предаване на цифровите данни
• Използване: Данните се преглеждат, обработват или използват по друг начин
• Споделяне: Информацията става достъпна за други
• Архив: Данните напускат активната употреба и влизат в дългосрочно съхранение
• Унищожаване: Данните се унищожават завинаги
Идентичност като услуга IDaaS:
Идентичността като услуга (IDaaS) е инфраструктура за удостоверяване, която е изградена, хоствана и управлявана от доставчик на услуги трета страна. IDaaS може да се разглежда като единично влизане (SSO) за облака. Това може да осигури ползи, включително интеграция с облачни услуги и премахване на режийните разходи за поддръжка на традиционните локални системи за идентичност, но също така може да създаде риск поради контрола на трети страни на услугите за идентичност и зависимостта от външна инфраструктура за идентичност. IDaaS решение чрез облачен доставчик обикновено включва следното:
• Единично влизане
• Осигуряване
• Управление на пароли
• Управление на достъпа
Загриженост за сигурността на Cloud API:
Приложният програмен интерфейс (API) в облака основно се използва за интегриране на приложения с цел подобряване на изживяването в облака и осигуряване на съвместимост между облаците. Те са широко класифицирани в две категории: API в процеса и отдалечени API.
• Осигуряване на подходящи мерки за сигурност за защита на хипервайзора от всякакъв вид заплаха за сигурността.
• Трябва да се направи внимателна оценка на практиките за сигурност, прилагани от доставчиците на облачни услуги, преди да се приеме някоя от тях
• Подходящи SLA между клиента и CSP, определящи изискванията за сигурност на организациите, които трябва да бъдат разгледани.
• Използваните API трябва да се гледат и проверяват внимателно. В настоящия сценарий повечето организации предпочитат интеграция на техники за сигурност с техните модели на услуги. Те трябва да са наясно с последиците за сигурността, свързани с използването на тези облачни услуги. Разчитането на слаби API може да застраши сигурността на важни организационни данни.
Предимства на идентичността като услуга IDaaS:
• SSO удостоверяване
• Федерация
• Подробни контроли за оторизация
• Администриране
• Интеграция с вътрешни справочни услуги
• Интеграция с външни услуги
Технологии за SSO:
• Kerberos
• СУСАМ
• LDAP
• Microsoft Active Directory
Поток на OAuth:
• Поискайте токен за заявка
• Вземете временни идентификационни данни
• Размяна за токен за достъп
Рискове при виртуализация:
• Разрастване на VM
• Чувствителни данни във виртуална машина
• Сигурност на офлайн и латентни виртуални машини
• Сигурност на предварително конфигурирани (златно изображение) VM / активни VM
• Липса на видимост и контрол върху виртуалните мрежи
• Изчерпване на ресурси
• Сигурност на хипервайзор
• Неоторизиран достъп до хипервайзор
• Отвличане на акаунт или услуга през портала за самообслужване
• Работното натоварване на различни нива на доверие, разположени на един и същи сървър
• Риск, дължащ се на API на доставчик на облачни услуги
Предотвратяване на уязвимости в инфраструктурата на виртуалната машина:
• Уверете се, че има система за управление на корекции.
• Осигурете минималния достъп, необходим във виртуални машини и виртуални мрежи.
• Регистрирайте и преглеждайте потребителските и системните дейности във виртуалната среда.
• Обърнете специално внимание на това как конфигурирате устройства за виртуална мрежа.
• Последователно заснемане на моментни снимки или състоянието на виртуалната среда.
• Внимателно наблюдавайте броя на виртуалните машини, за да избегнете разрастването на VM.
• Защита срещу бягство на VM
Протоколи за удостоверяване и оторизация:
• SAML:
•• Удостоверяване и оторизация/Предприятие
•• Единично влизане за корпоративни потребители
• SPML:
•• Осигуряване на акаунт/управление на акаунт, SPML в двойка със SAML
• XACML:
•• Политики за контрол
• OAuth:
•• Достъп до ресурси, интегриран с OpenID
•• API упълномощаване между приложения
• OpenID:
•• Удостоверяване и оторизация/Търговско/Мобилно приложение
•• Единично влизане за потребители
Решенията за MDM включват:
• Регистриране и удостоверяване на устройството.
• Дистанционно заключване и изтриване.
• Локализиране на устройства чрез GPS и други технологии.
• Пускане на актуализации на операционна система, приложение и фърмуер на устройства.
• Предотвратяване на root достъп или джейлбрейк на устройството.
• Изграждане на криптиран контейнер на устройства, в който да се съхраняват чувствителни данни на организацията.
• Ограничаване на определени функции и услуги въз основа на правила за контрол на достъпа.
Заплахи в BYOD среди:
• Депараметризиране
• Незащитени и незащитени устройства
• Напрегната инфраструктура
• Съдебномедицински усложнения
• Изгубени или откраднати устройства
Управленски контрол за мерки за поверителност и защита на данните:
• Разделяне на задълженията
• Обучение
• Процедури за удостоверяване и оторизация
• Оценки на уязвимостта
• Процеси на архивиране и възстановяване
• Регистриране
• Контрол на запазването на данни
• Сигурно изхвърляне
Забележка:
Регистрационните данни трябва да бъдат защитени поне на същото ниво на чувствителност като системите, от които са събрани.
Защита на данните (Как да...):
• Физическа сигурност - заключени врати, охрана, контрол на достъпа
• Мрежова сигурност - удостоверяване, оторизация, одит, защитни стени, IDS/IPS
• Сигурност на системата - корекция, AV, контроли за конфигурация, одобрени приложения
• Сигурност на приложението - Сигурно кодиране, преглед на кода, стандарти за проектиране
• Сигурност на потребителите - Политики, обучение, осигуряване, наблюдение, прилагане
• Сигурност на администратора - Политики, допълнително обучение, осигуряване, мониторинг, специализиран одит, правоприлагане
Регистриране:
Уверете се, че регистрирате събития за сигурност, когато прилагате регистриране на приложения. Системни оператори и
Специалистите по сигурността намират тази информация за полезна за:
• Откриване на атаки и други събития, свързани със сигурността
• Получаване на данни за разследване на инциденти
• Установяване на базови линии за системи за наблюдение на сигурността
• Проследяване на отказа и прилагане на свързани контроли
• Мониторинг на нарушения на правилата
Сигурност на регистрационните файлове:
• Контролирайте обема на данните
• Нивото на филтриране или изрязване на събития определя обема на регистрационния файл
• Инструментите за одит могат да намалят размера на регистрационния файл
• Установете процедури предварително
• Обучете персонала за подходящ преглед на регистрационни файлове
• Защитете и осигурете неоторизиран достъп
• Деактивирайте проверката или изтриването/изчистването на регистрационни файлове
• Защитете регистрационните файлове за проверка от неоторизирани промени
• Съхранявайте/архивирайте сигурно журналите за проверка
Рамки:
• Zachman Framework - не е специфично за архитектурата на сигурността
• Рамка на Sherwood Applied Business Security Architecture (SABSA) – верига за проследимост
• Библиотека за ИТ инфраструктура (ITIL) - стратегия за услугата, дизайн на услугата, преход на услугата, операции на услугата и непрекъснато подобряване на услугата. Процеси, позволяващи управление на ИТ услуги, разработени от Службата за правителствена търговия на Обединеното кралство
• TOGAF: Модел и методология за разработване на корпоративни архитектури, разработени от The Open Group
• Six Sigma: Стратегия за управление на бизнеса, която може да се използва за подобряване на процеса
• Интеграция на модела за зрялост на способностите (CMMI): Организационно развитие за подобряване на процеси, разработено от Carnegie Mellon
Модел за зрялост на способностите (IRDMO):
• Начален етап - непредвидим, лошо контролиран и реактивен
• Повторяем етап - характерен за проекти, повтаряем
• Дефиниран етап - характеризира се с цялата организация и е проактивен.
• Управляван етап - количествено измерен и контролиран
• Оптимизиране на сцената - непрекъснато подобрение. (бюджет)
Модел за зрялост на способностите (IRDMO):
• Ниво 1: Първоначално – Процесът на разработка на софтуер се характеризира като ad-hoc. Успехът зависи от индивидуалните усилия и героизъм.
• Ниво 2: Повтаряемост - Основните процеси за управление на проекти (PM) са установени за проследяване на изпълнението, разходите и графика.
• Ниво 3: Дефинирано – Персонализираното софтуерно инженерство и процесите на разработка се документират и използват в цялата организация.
• Ниво 4: Управлявано - Подробните мерки за подобряване на продукта и процеса се контролират количествено.
• Ниво 5: Оптимизиране – Непрекъснатото подобряване на процеса е институционализирано.
Други модели за зрялост:
• Модел на зрялост на DevOps: Друг начин да мислите за зрелостта на една организация (поне по отношение на разработката на софтуер) е да разгледате колко ефективна е тя при интегрирането на своите екипи за разработка и операции (DevOps). Този модел е забележителен с това, че се фокусира върху културата и хората в допълнение към проблемите на развитието и бизнеса.
• Модел на зрялост на отворения код (OSMM): За организации, които приемат софтуер с отворен код, OSMM им позволява да измерват и подобряват ефективността на своите процеси. Фокусът тук не е само върху разработването (или дори само използването) на софтуер с отворен код, а върху това да бъдеш част от
движение, като го развивате, използвате и активно участвате в общността.
• Модел на зрялост за управление на софтуерни продукти: Този модел се фокусира върху бизнес проблемите, свързани с разработването на софтуерни продукти. Например, той разглежда въпроси като пазарни условия, продуктови линии и портфейли и споразумения за партньорство.
DevOps:
DevOps и облачните изчисления работят заедно, за да помогнат на организациите да пуснат нови услуги и приложения на пазара по-бързо и на по-ниска цена. DevOps е за рационализиране на разработката, докато облакът предлага ресурси при поискване, автоматизирано осигуряване и лесно мащабиране, за да се приспособят промените в приложенията. Много инструменти DevOps могат да бъдат придобити при поискване в облака или като част от по-голяма облачна платформа. За да поддържат внедряване на хибриден облак (работни натоварвания с възможност за преместване между облаци), предприятията трябва да изберат DevOps платформи с интерфейс към облачните доставчици, които ще използват. DevOps насърчава стройна и гъвкава доставка на качествен софтуер, който добавя стойност към бизнеса и клиентите.
Справка за DevOps
:
• Планирайте и измервайте
• Разработване и тестване
• Пускане и внедряване
• Наблюдение и оптимизиране
Принципи на DevOps:
• Разработвайте и тествайте срещу производствени системи
• Внедрете с повтарящи се, надеждни процеси
• Наблюдавайте и потвърждавайте оперативното качество
• Увеличаване на обратната връзка
Практики на DevOps:
• Планиране на изданието
• Непрекъсната интеграция
• Непрекъсната доставка
• Непрекъснато тестване
• Непрекъснато наблюдение и обратна връзка
Забележка:
DevOps и облачните изчисления работят заедно, за да помогнат на организациите да пуснат нови услуги и приложения на пазара по-бързо и на по-ниска цена. DevOps е за рационализиране на разработката, докато облакът предлага ресурси при поискване, автоматизирано осигуряване и лесно мащабиране, за да се адаптират промените в приложенията. Много инструменти DevOps могат да бъдат придобити при поискване в облака или като част от по-голяма облачна платформа. За да поддържат внедряване на хибриден облак (работни натоварвания с възможност за преместване между облаци), предприятията трябва да изберат DevOps платформи с интерфейс към облачните доставчици, които ще използват.
SOC:
Докладите за SOC най-често обхващат дизайна и ефективността на контролите за 12-месечен период на дейност с непрекъснато покритие от година на година, за да отговорят на изискванията на потребителите от гледна точка на финансово отчитане или управление. В някои случаи, a
Докладът за SOC може да обхваща по-кратък период от време, като например шест месеца. Докладът за SOC може също да обхваща само проектирането на контроли в определен момент от време за нова система/услуга или за първоначално изследване (одит) на система/услуга.
• SOC1: Фокусиран върху финансовия контрол
• SOC2: Фокусиран върху ЦРУ и поверителността -- Частно
• SOC3: Фокусиран върху ЦРУ и поверителността -- Обществено
Забележка:
Сертификацията по ISO 27001 е за системата за управление на информационната сигурност (ISMS), цялата програма за сигурност на организацията. SAS 70 и SSAE 16 са стандарти за одит за доставчици на услуги и включват известен преглед на контролите за сигурност, но не и сплотена програма (и SAS 70 е остарял); Докладите на SOC са начинът, по който се провеждат одитите на SSAE 16. SOC 1 е за финансово отчитане; SOC 2, тип 2 е да прегледа прилагането (не проектирането) на контролите; а SOC 3 е само атестация, че е извършен одит.
SOC:
• Целта на обхвата на отчета SOC 1 трябва да обхваща процесите на информационните системи (както ръчни, така и автоматизирани), които се използват за предоставяне на услугите, които се проверяват. Има два вида опции за отчитане на SOC 1:
•• SOC 1 Тип 1: Доклад за дизайн на контроли. Тази опция оценява и докладва за дизайна на контролите, пуснати в действие към даден момент.
•• SOC 1 Тип 2: Включва проектиране и тестване на контроли за докладване на оперативната ефективност на контролите за определен период от време (обикновено 12 месеца).
• Целта на доклада SOC 2 е да оцени информационните системи на организацията, свързани със сигурността, наличността, целостта на обработката, поверителността и/или поверителността.
•• SOC 2 тип 1: Докладите се отнасят до политики и процедури, които са били въведени в действие в определен момент.
•• SOC 2 Тип 2: Докладите се отнасят до политики и процедури за период от поне – системите трябва да бъдат оценени (обикновено 6 – 12 месеца с продължителност).
Това обикновено прави отчетите SOC 2 тип 2 по-изчерпателни и полезни от отчетите тип I, когато се разглеждат идентификационните данни на евентуален доставчик на услуги.
Рамката SOC 2 включва 5 ключови секции:
• Сигурност - Системата е защитена срещу неоторизиран физически и логически достъп.
• Наличност - Системата е налична за работа и използване според ангажимента или договореността.
• Цялост на обработката - Системната обработка е пълна, точна, навременна и разрешена.
• Поверителност - Информацията, обозначена като поверителна, е защитена според ангажимента или договореността.
• Поверителност – личната информация се събира, използва, съхранява, разкрива и унищожава в съответствие с ангажиментите в съобщението за поверителност на субекта.
Стратегии за информационна сигурност:
• Стратегическо планиране – Дългосрочно (3 до 5 години) и трябва да бъде съобразено с бизнес целите.
• Тактическо планиране – Краткосрочно (6 до 18 месеца), използвано за постигане на конкретни цели. Може да се състои от множество проекти.
• Оперативно планиране и планиране на проекти – Конкретни планове с основни етапи, дати и отговорности осигуряват комуникация и насока за завършване на проекта.
Затвор, граници и изолация:
• Ограничаване - ограничава процес до четене от и запис в определени места в паметта.
• Граници - това са границите на паметта, които процесът не може да надхвърли при четене или запис.
• Изолация - е режимът, в който процесът работи, когато е ограничен чрез използване на граници на паметта.
Език за маркиране:
• GML: Общ език за маркиране - език за маркиране от най-високо ниво
• SGML: Стандартизиран генерализиран език за маркиране – произлиза от GML
• SPML: Маркиращ език за предоставяне на услуги - Позволява обмен на данни за предоставяне на услуги между системите. SPML: XML базиран формат за обмен на потребителска и ресурсна информация и контролиране на осигуряването.
• SAML: Език за маркиране на сигурността - Стандарт, който позволява обменът на данни за удостоверяване и оторизация да се споделя между домейни за сигурност. SAML може да изложи системата на лоша идентификация или оторизация. SAML: предоставя базирана на XML рамка за обмен на информация, свързана със сигурността по мрежи.
• XACML: Език за маркиране на разширяем контрол на достъпа - Използва се за изразяване на политики за сигурност и права за достъп, предоставени чрез уеб услуги и приложения
• XML: Може да включва маркери за описание на данни като всичко, което желаете. Базите данни от множество доставчици могат да импортират и експортират данни към и от XML формат, което прави XML общ език, използван за обмен на информация. XML е уязвим за атаки чрез инжектиране. XML е универсален формат за съхранение на информация.
Жизнен цикъл на доказателства:
• Събиране и идентификация
• Съхранение, съхранение и транспортиране
• Представяне в съда
• Връщане на доказателствата
Жизнен цикъл на оборудването:
• Определяне на изисквания
• Придобиване и внедряване
• Операции и поддръжка
• Изхвърляне и извеждане от експлоатация
Извеждане от експлоатация:
Когато дадена организация реши да изведе от експлоатация система или услуга или когато те достигнат края на експлоатационния си живот, тези услуги трябва да бъдат изведени от експлоатация, без да бъдат изложени на риск данни, други системи или персонал. Системите и услугите трябва да бъдат правилно прекратени, за да се елиминира рискът за останалите системи. Има някои стъпки в процеса на извеждане от експлоатация с преобразуване, описани по-долу:
• План за миграция
• Извършване на миграция
• План за извеждане от експлоатация
• Извършване на извеждане от експлоатация
• Преглед след извеждането от експлоатация
Премахване на данни:
• Изтриване - операция за изтриване
• Изчистване - операция за презаписване
• Прочистване - по-интензивна форма на изчистване чрез повторение
• Разсекретяване - изчистете носителя, за да бъде подходящ за използване в защитената среда
• Дезинфекция - комбинация от процес, който премахва данни от система или медия
• Размагнитване - използване на силно магнитно поле
• Унищожаване - смачкване, изгаряне, раздробяване, разпадане
Архивиране на данни:
• Форматиране
• Регулаторни изисквания
• Тестване
Установете изисквания за обработка на информация и активи:
• Сигурно изхвърляне на носител: Носителите, съдържащи чувствителни данни, трябва да се изхвърлят по сигурен начин. Раздробяването в случай на хартиени документи и пулверизирането в случай на цифрови носители са някои от методите, използвани при изхвърлянето на носители.
• Етикетиране: Подходящото етикетиране е важно за чувствителните данни, без да се разкрива типа
съдържание.
• Ограничения за достъп: Разберете принципа, който трябва да приемете при проектирането и прилагането на ограничения за достъп до чувствителни данни.
• Данни на упълномощен получател: Получателите, които са упълномощени за достъп до данните, трябва да бъдат документирани и одобрени.
• Съхранение на носители: Съхранението на носители трябва да отговаря на спецификациите на производителя и най-добрите практики в индустрията.
• Разпространение на данни: Трябва да се установят подходящи контроли, за да се гарантира, че данните се разпространяват само до одобрен и упълномощен персонал по отношение на списъка на оторизираните получатели.
• Ясна маркировка Маркировката върху чувствителните данни трябва да е ясна и разбираема за подходящо
идентификация и обработка. Маркирането може да използва само кодове за сравняване на етикетите
да се използва за идентификационни цели.
• Преглед на списъците за разпространение: Необходим е периодичен преглед на списъците за разпространение, за да се гарантира, че данните се споделят само с упълномощени лица.
• Публично достъпни източници: Трябва да се докажат подходящи контроли, за да се гарантира, че чувствителните данни не се разкриват или публикуват в публично достъпни хранилища или уебсайтове.
Контрол на медиите:
• Маркирайте точно и своевременно всички носители за съхранение на данни
• Осигурете правилно съхранение на носителя в околната среда
• Осигурете безопасно и чисто боравене с носителя
• Регистрирайте носител с данни, за да осигурите физически контрол на инвентара
Стъпки Запазване на данни:
• Оценете законовите изисквания, съдебните задължения и бизнес нуждите
• Класифицирайте видовете записи
• Определяне на периоди на съхранение и политики за унищожаване
• Изготвяне и обосновка на политиката за съхранение на записи
• Обучете персонала
• Одит практики за задържане и унищожаване
• Периодично преглеждайте правилата
• Политика за документиране, внедряване, обучение и одити
Правилата за задържане трябва да се отнасят до:
• Съхранение
• Задържане
• Унищожаване/изхвърляне
Документация:
Цялата документация трябва да бъде обект на ефективен процес за контрол на версиите, както и стандартен подход за маркиране и обработка; и видимо обозначени с ниво на класификация, дата и номер на редакция, дати на влизане в сила и собственик на документа.
Общи съображения за архивиране на данни:
• Обхватът на резервни копия/общ размер
• Важност
• Сигурност
• Честота на промяна
• Време за възстановяване
• Тестване на целостта на резервните копия
Чувствителност срещу критичност:
• Чувствителността описва размера на щетите, които биха били причинени, ако информацията бъде разкрита
• Критичността описва времевата чувствителност на данните. Това обикновено се ръководи от разбирането колко приходи генерира конкретен актив и без този актив ще има загубени приходи
Ефективна биометрична система за контрол на достъпа:
• Точност
• Скорост/Пропускателна способност
• Изисквания за съхранение на данни
• Надеждност
• Приемливост
Биометрични недостатъци:
• Приемане от потребителя
• График за записване
• Пропускателна способност
• Точност във времето
Стратегия за защита в дълбочина:
• Разработване на политики за сигурност, процедури
• Справяне със сигурността през целия жизнен цикъл
• Прилагането на мрежова топология има множество слоеве
• Осигуряване на логическо разделяне между корпоративните и мрежовите устройства
• Използване на DMZ мрежова архитектура
• Гарантиране, че критичните компоненти са излишни и са в резервни мрежи.
• Проектиране на критични системи за плавно влошаване (устойчиви на грешки)
• Деактивиране на неизползвани портове и услуги
• Ограничаване на физическия достъп до мрежа и устройства.
• Ограничаване на потребителските привилегии
• Обмисляне на използването на отделни механизми за удостоверяване и идентификационни данни
• Използване на модерни технологии
• Внедряване на контроли за сигурност
• Прилагане на техники за сигурност
• Експедитивно внедряване на корекции за сигурност
• Проследяване и наблюдение на одитни пътеки
Физическа сигурност:
• Защитата на живота е основната цел на физическата сигурност
• Физическата сигурност помага за предотвратяване на оперативни прекъсвания
• Основната цел на физическата програма е контролът на достъпа до съоръженията
• Подредете бариерите на слоеве с прогресивна сигурност по-близо до центъра/най-високата защитна зона
• Извършете оценка на риска/уязвимостта за сигурността, за да идентифицирате заплахи (естествени и създадени от човека) за активите и въздействието на загубата
• По време на оценката адрес контрол на сигурността по време/след работно време, контрол на достъпа, наблюдение, политики/процедури, BCP и др.
• Приложете защита в дълбочина
Управление на системния инженеринг:
• Анализ на решенията
• Техническо планиране
• Изисквания за оценка
• Конфигурация, интерфейс
• Технически данни
• Управление на риска
Ключови компоненти на системата за индустриален контрол (ICS):
• Контролна верига
• Интерфейс човек-машина (HMI)
• Помощни програми за дистанционна диагностика и поддръжка
Основни управляващи компоненти на индустриални системи за управление (ICS):
• Контролен сървър
• SCADA сървър или главен терминален модул (MTU)
• Дистанционно терминално устройство (RTU)
• Програмируем логически контролер (PLC)
• Интелигентни електронни устройства (IED)
• Интерфейс човек-машина (HMI)
• Data Historian
• Сървър за вход/изход (IO).
Уязвимости на платформата в индустриални системи за управление (ICS):
• Уязвимости в конфигурацията на платформата
• Уязвимости на хардуера на платформата
• Уязвимости на софтуера на платформата
• Уязвимости в защитата от зловреден софтуер на платформата
Разработване на всеобхватна програма за сигурност за ICS:
• Получете подкрепа от висшето ръководство
• Изградете и обучете многофункционален екип
• Дефинирайте харта и обхват
• Дефиниране на конкретни ICS политики и процедури
• Дефинирайте и инвентаризирайте ICS активите
• Извършете оценка на риска и уязвимостта
• Дефинирайте контролите за смекчаване
• Осигурете обучение и повишете осведомеността за сигурността на персонала на ICS
Сигурност на ICS:
• Деактивирайте ненужните портове & услуги
• Сегментиране на мрежата
• Налагане на криптиране, където е приложимо
• Налагане на управление на корекцията
• Приложение за управление на риска към ICS
• Прилагане на политика за най-малко привилегии
• Одити
• Излишък & Толерантност към грешки
Големи данни:
Колекции от данни, които са толкова големи и сложни, че са трудни за управление от традиционните инструменти за бази данни. Бизнесът често е подканен да преструктурира съществуващата си архитектура, за да се справи с нея.
Големи данни:
Cloud Secure Alliance (CSA) категоризира различните предизвикателства пред сигурността и поверителността в четири различни аспекта на екосистемата на Big Data. Тези аспекти са сигурност на инфраструктурата, поверителност на данните, управление на данни и цялостност и реактивна сигурност. Всеки от тези аспекти е изправен пред следните предизвикателства пред сигурността, според CSA:
• Сигурност на инфраструктурата
•• Сигурна разпределена обработка на данни
•• Сигурност Най-добрите действия за нерелационни бази данни
• Поверителност на данните
•• Анализ на данни чрез извличане на данни, запазване на поверителността на данните
•• Криптографски решения за сигурност на данните
•• Подробен контрол на достъпа
• Управление на данни и цялост
•• Сигурно съхранение на данни и регистрационни файлове за транзакции
•• Подробни одити
•• Произход на данните
• Реактивна сигурност
•• Филтриране от край до край & Валидиране
•• Наблюдение на нивото на сигурност в реално време
Често срещани заплахи за Big Data:
• Нарушаване на поверителността
• Ескалация на привилегии
• Отказ
• Съдебномедицински усложнения
Сигурният жизнен цикъл за големи данни
Жизненият цикъл на големите данни има шест основни етапа: създаване и откриване, достъп и поток от данни, обработка, споделяне, съхраняване и унищожаване.
• Основните предизвикателства при създаването и откриването са:
••Идентифициране на всички крайни точки в мрежата, които предоставят данните.
••
Идентифициране на интелектуална собственост и определяне на стойността и бизнес въздействието на всяка информация в
клъстер с големи данни.
••Определяне на произхода на данните.
• Предизвикателствата пред сигурността при достъпа и потока на данни са:
••Внедряване на сигурност в разпределени рамки за програмиране.
••Внедряване на подробни контроли за достъп (чувствителни данни срещу потребителска роля).
••Дефиниране на контроли за сигурност за нерелационни източници на данни.
••Идентифициране на потока от данни от край до край.
• Предизвикателствата пред сигурността при обработката на данни са:
••Внедряване на мащабируемост, поверителност и сигурност по време на извличане на данни и анализ на данни.
••Внедряване на детайлни одити на данни.
• Предизвикателствата пред сигурността при споделяне на данни са:
••Внедряване на детайлни одити на данни.
••Внедряване на реактивна сигурност за осигуряване на целостта на данните.
• Предизвикателствата пред сигурността при съхранение на данни са:
••Внедряване на сигурно съхранение на данни и регистрационни файлове и файлове с данни за транзакции.
• Изхвърлянето на данни е най-важният етап от жизнения цикъл на големите данни. Данните в грешни ръце могат да бъдат катастрофални. Трябва да има политики за сигурност на ниво организация за прилагане на сигурни методи за изхвърляне на данни и премахване на правата за достъп при интервюта за напускане на служители/потребители, за да се гарантира, че данните са достъпни само за оторизирани потребители.
Предизвикателства на настоящите големи данни:
• Има ограничени нива на защита в повечето изчисления на разпределени системи.
• Решенията за сигурност не са в състояние постоянно да се справят с търсенето с няколко нерелационни бази данни
• Липсват подходящи процеси за сигурност за прехвърлянето на автоматизирани данни.
• Системни актуализации, одити, корекции не винаги се извършват.
• Постъпващата информация трябва постоянно да се проверява, за да се гарантира нейната достоверност и точност
• Атаката срещу системи, които съдържат чувствителна информация на клиентите, може да изложи клиентите на риск.
• Някои организации не прилагат никакъв вид контрол на достъпа, за да разграничат поверителността
• Мониторингът и проследяването на системите са трудни при сегашния мащаб на приложението на Big Data.
Изкуствен интелект, машинно обучение и дълбоко обучение:
• Изкуствен интелект: Всяка техника, която позволява на компютрите да имитират човешкото поведение
• Машинно обучение: Подмножество от AI техники, които използват статистически методи, за да позволят на машините да се подобряват с опита.
• Дълбоко обучение: Подмножество от ML, което прави изчислението на многослойни невронни мрежи възможно.
Изкуствен интелект (AI):
• Експертни системи
• Изкуствени невронни мрежи
• Реални невронни мрежи
• Байесово филтриране
• Генетични алгоритми и програмиране
Най-добрите 10 уязвимости на IoT на OWASP (2014):
• Несигурен уеб интерфейс
• Недостатъчно удостоверяване/упълномощаване
• Несигурни мрежови услуги
• Липса на криптиране на транспорта/проверка на целостта
• Притеснения относно поверителността
• Несигурен облачен интерфейс
• Несигурен мобилен интерфейс
• Недостатъчна възможност за конфигуриране на сигурността
• Несигурен софтуер/фърмуер
• Лоша физическа сигурност
Следва списъкът на OWASP с 10-те най-големи риска за поверителността:
• P1: Уязвимости на уеб приложения
• P2: Изтичане на данни от страна на оператора
• P3: Недостатъчна реакция при нарушаване на данните
• P4: Недостатъчно изтриване на лични данни
• P5: Непрозрачни правила, правила и условия
• P6: Събиране на данни, които не са необходими за основната цел
• P7: Споделяне на данни с трета страна
• P8: Остарели лични данни
• P9: Липсващо или недостатъчно изтичане на сесията
• P10: Несигурен трансфер на данни
OWASP:
Проектът за сигурност на отвореното уеб приложение (OWASP) е включил тези принципи в своя списък от десет „Принципа за сигурност чрез проектиране“. Принципите са:
• Минимизиране на площта на атаката.
• Установете сигурни настройки по подразбиране.
• Най-малка привилегия.
• Защита в дълбочина.
• Сигурен отказ.
• Не се доверявайте на услугите.
• Разделяне на задълженията.
• Избягвайте сигурност чрез неизвестност.
• Поддържайте сигурността проста.
• Коригирайте правилно проблемите със сигурността
Стъпки на процеса на моделиране на риск от заплаха OWASP:
• Идентифициране на целите за сигурност
• Проучете приложението
• Разложете го
• Идентифициране на заплахи
• Идентифицирайте уязвимостите
Архитектурата на IoT:
• Слоят на възприятието
• Мрежовият слой
• Приложният слой
Характеристики на IoT:
• Съществуване
• Самочувствие
• Свързване
• Интерактивност
• Динамичност
• Мащабируемост
• Ограничения на изчисленията
• Ограничения на ресурсите
Градивният блок на IoT се състои от пет основни модула:
• Сензорен модул
• Модул за обработка
• Модул за задействане
• Комуникационен модул
• Енергиен модул
Зони на IoT атака:
Следните са най-честите зони на атака за IoT мрежа:
• Контрол на достъпа.
• Извличане на фърмуер.
• Ескалация на привилегии.
• Нулиране до несигурно състояние.
• Уеб атаки.
• Атаки на фърмуера.
• Атаки на мрежови услуги.
• Некриптирано локално съхранение на данни.
• Проблеми с поверителността и целостта.
• Атаки на компютърни облаци.
• Злонамерени актуализации.
• Несигурни API.
• Заплахи за мобилни приложения.
Защита на интернет на нещата: (Седем стъпки за минимизиране на риска от интернет на нещата в облака)
• Сигурна облачна инфраструктура
• Възползвайте се от най-добрите практики, базирани на стандарти
• Дизайн за сигурност
• Защитени IoT устройства
• Защитени връзки на устройства
• Защитени IoT услуги и приложения
• Сигурни потребители и достъп
Предизвикателства пред сигурността на IoT устройства:
• IoT продуктите могат да бъдат внедрени в несигурни или физически изложени среди
• Сигурността е нова за много производители и има ограничено планиране на сигурността в методологиите за разработка
• Сигурността не е двигател на бизнеса и има ограничено спонсорство и подкрепа за управление на сигурността при разработването на IoT продукти
• Липсват дефинирани стандарти и референтна архитектура за сигурно развитие на IoT
• Има трудности при набирането и запазването на необходимите умения за сигурност за екипите за разработка на IoT, включително архитекти, инженери по защитен софтуер, инженери по сигурността на хардуера и персонал за тестване на сигурността
• Ниската ценова точка увеличава групата от потенциални противници
• Ограниченията на ресурсите във вградените системи ограничават опциите за сигурност
Ръководство за сигурно развитие на IoT:
• Сигурна методология за разработка
• Сигурна среда за разработка и интеграция
• Рамка за самоличност и функции за сигурност на платформата
• Установете защита на поверителността
• Инженеринг за хардуерна сигурност
• Защитете данните
• Защитени асоциирани приложения
• Защита на интерфейсите/API
• Предоставяне на възможност за сигурна актуализация
• Внедрете Secure Authn/z
• Установете сигурно управление на ключове
• Осигуряване на механизми за регистриране
• Извършване на прегледи на сигурността
Сигурност на Интернет на нещата (ДОБРИ ПРАКТИКИ):
• Направете хардуера устойчив на подправяне
• Предоставяне на актуализации/корекции на фърмуера
• Извършване на динамично тестване
• Посочете процедури за защита на данните при изхвърляне на устройството
• Използвайте силно удостоверяване
• Използвайте силно криптиране и сигурни протоколи
• Минимизиране на честотната лента на устройството
• Разделете мрежите на сегменти
• Защитете поверителна информация
• Насърчавайте етичното хакерство и разкриването на уязвимости
• Създайте борд за сертифициране на сигурността и поверителността на IoT
Доставчиците/разработчиците на продукти трябва да обмислят стъпките по-долу, за да подобрят сигурността на IoT:
• Защитете уеб/настолни/мобилни приложения с подходящо удостоверяване и оторизация.
• Ако е осъществимо, внедрите и активирайте двуфакторни удостоверявания по подразбиране, това значително ще подобри сигурността на IoT устройствата.
• Следвайте защитени методи за кодиране и винаги извършвайте валидиране на входа, за да избегнете уязвимости между скриптове между сайтове (XSS), SQL инжектиране и препълване на буфер (BoF). Следвайте хипервръзки, за да разберете повече за тези уязвимости.
• Прилагане на ефективна политика за пароли
• Използвайте captcha, правила за блокиране на акаунти, за да избегнете атаки с груба сила.
• Доставчиците трябва да предоставят актуализации за защита, включително подробности за корекциите за сигурност, въздействието на уязвимостта и да предоставят лесни стъпки за внедряване на актуализации за защита.
• Ако е възможно, винаги използвайте криптиране за комуникация.
• Осигурете редовно архивиране (поне на две или повече данни) на сигурно място.
• Избягвайте разкриването на информация. т.е. избягвайте публикуването на данни на клиента
• Докато добавят нови функции, продавачите трябва да се уверят, че това няма да създаде дупка в сигурността.
• Доставчиците трябва да мислят за лекотата на използване срещу сигурността
• Приложете OWASP Топ 10 на IoT уязвимостите трябва да бъдат адресирани по време на проектирането на IoT.
Видове тестове, които могат да се използват за разработване на IoT устройства:
• Статично тестване за сигурност на приложението (SAST)
• Динамично тестване на сигурността на приложенията (DAST)
• Интерактивно тестване на сигурността на приложенията (IAST)
• Атакуваща повърхност и вектори
• Библиотека на трета страна
• Размиване
• Персонализирано за вектор на заплаха
Предизвикателства при криминалистиката на IoT:
• Рамката за разследване
• Разнообразие от устройства
• Ограничения на IoT
• Липса на стандартизация
• Неправилно боравене с доказателства
•• Идентификация, събиране и съхранение на доказателства
•• Анализ и корелация на доказателства
• Осигуряване на веригата на попечителство
Атаки в IoT:
• Подправяне на възел/компрометиран възел
• Отказ от услуга (DoS)
• Разпространен DoS
• Подправяне на устройство
• Нарушаването на поверителността
• Зловреден софтуер
• Атаки, базирани на приложения
• Човек по средата атакува
NIST:
• Наръчник NIST 800-12NIST Въведение в компютърната сигурност
• NIST 800-13 Telecomm Security Guidelines for Telecomm Mgmt. мрежа
• NIST 800-14 Общоприети принципи и практики за защита на информацията
• NIST 800-18AUP / Правила за поведение
• NIST 800-30 Управление/Оценки на риска
• NIST 800-34 Планиране при извънредни ситуации
• NIST 800-37 Рамка за управление на риска
• NIST 800-40 Създаване на корекция и програма за управление на уязвимости
• NIST 800-41 Указания относно защитните стени и правилата за защитните стени
• NIST 800-44 Насоки за защита на обществени уеб сървъри
• NIST 800-45 Насоки за сигурност на електронната поща
• Ръководство за сигурност NIST 800-47 за свързване на ИТ системи
• NIST 800-48 Ръководство за защита на наследени безжични мрежи IEEE 802.11
• NIST 800-50 Изграждане на програма за информираност и обучение по ИТ сигурност
• NIST 800-53 Контрол за сигурност и поверителност за федерални информационни системи
• Сигурност на протокола за граничен шлюз NIST 800-54
• NIST 800-55 Показатели за сигурност IS
• Препоръка NIST 800-57 за управление на ключове
• NIST 800-60 Ръководство за картографиране на типове информация и информация
• NIST 800-61 Обработка на инциденти в компютърната сигурност
• NIST 800-63 Електронно удостоверяване
• NIST 800-64 Съображения за сигурност в SDLC
• NIST 800-66 Проблеми с поверителността на здравеопазването
• NIST 800-86 Ръководство за интегриране на криминалистични техники в IR
• NIST 800-82 Ръководство за сигурност на системите за индустриален контрол (ICS).
• NIST 800-83 Ръководство за предотвратяване и справяне със злонамерен софтуер
• NIST 800-86 Ръководство за интегриране на криминалистични техники в реакция при инциденти
• NIST 800-88 Дезинфекция на медиите
• NIST 800-94IDS/1PS
• Наръчник за NIST 800-100IS
• Тестване и оценка на сигурността NIST 800-115IS
• NIST 800-119 Указания за сигурно внедряване на IPv6
• NIST 800-122 Защитете PII
• NIST 800-137 Непрекъснато наблюдение на информационната сигурност (ISCM)
• NIST 800-145 Облачни изчисления
ISO:
• ISO 7498: OSI модел
• ISO 27000: ISMS-Общ преглед и речник
• ISO 27001: ISMS-изискване
• ISO 27002: Практически кодекс
• ISO 27003: внедряване на ISMS
• ISO 27004: Рамка за измерване и показатели
• ISO 27005: Управление на риска
• ISO 27006: Изисквания към сертифициращия орган
• ISO 27007: ISMS-одит
• ISO 27008: Контрол на информационната сигурност
• ISO 27011: ISMS насока за телекомуникационна организация
• ISO 27014: Управление на информационната сигурност
• ISO 27017: Използване на облачни услуги
• ISO 27018: Общ преглед на защитата на поверителността в облака
• ISO 27031: Готовност на комуникационните технологии за непрекъснатост на бизнеса
• ISO 27032: Устойчивост на киберсигурността
• ISO 27034: Приложения за сигурност
• ISO 27035: Управление на инциденти по сигурността
• ISO 27037: Обхваща идентифицирането, събирането и запазването на цифрови доказателства.
• ISO 27799: Директиви за защита на личната здравна информация
• ISO 31000: Рамка за управление на риска
• ISO 22301: BCM – непрекъснатост на бизнеса
• ISO 15408: Общи критерии
• ISO 28000: Управление на веригата за доставки
• ISO 42010: Описание на архитектурата на системите и софтуерното инженерство
• ISO 14443: Стандартизация на смарт карти
IEEE:
• IEEE 802.11: Безжични LAN мрежи
• IEEE 802.15: Безжични PAN
• IEEE 802.16: Широколентови безжични MAN
• IEEE 802.20: Мобилен широколентов безжичен достъп
Безжично:
IEEE предложи стандартите 802.11 за безжични комуникации. Разработени са различни версии на хардуера за безжични мрежи, включително 802.11a, 802.11b, 802.11g, 802.11n, 802.11ac, както е описано в таблицата по-долу:
802.11 2 Mbps 2,4 GHz
802.11a 54 Mbps 5 GHz
802.11b 11 Mbps 2,4 GHz
802.11g 54 Mbps 2,4 GHz
802.11n 200+ Mbps 2,4 GHz или 5 GHz
802.11ac 1 Gbps 5 GHz
ISO 27002 включва:
• Правила за сигурност
• Организация и информационна сигурност
• Управление на активи
• Сигурност на човешките ресурси
• Физическа сигурност и сигурност на околната среда
• Управление на комуникациите и операциите
• Контрол на достъпа
• Придобиване, развитие и поддръжка на информационни системи
• Управление на инциденти в информационната сигурност
• Управление на непрекъснатостта на бизнеса
• Съответствие
Важни функции на FISMA:
• Периодични оценки на риска.
• Политики и процедури, базирани на оценки.
• Качествен модел на сигурност, базиран на данни за оценка на риска.
• Подчинени планове за информационна сигурност за мрежи, съоръжения и други подсистеми.
• Обучение за информираност за сигурността за персонала.
• Периодично тестване и оценка на ефективността на политиките, процедурите, практиките и контролите за информационна сигурност поне веднъж годишно.
• Процес за справяне с недостатъци в политиките за информационна сигурност (POAM).
• Процедури за откриване, докладване и реагиране на инциденти със сигурността.
• Процедури и планове за осигуряване на непрекъснатост на операциите за информационни системи, които поддържат операциите и активите на организацията.
Важни характеристики на HIPAA:
• Стандарти за електронни транзакции и кодови набори: Изисква едни и същи здравни транзакции, кодови набори и идентификатори.
• Правило за поверителност: Осигурява федерална защита на личната здравна информация, съхранявана от обхванати субекти, и дава на пациентите набор от права по отношение на тази информация.
• Правило за сигурност: Указва административни, физически и технически предпазни мерки, които обхванатите субекти да използват, за да гарантират поверителността, целостта и наличността на електронно защитена здравна информация.
• Изисквания за национален идентификатор: Изисква доставчиците на здравни услуги, здравните планове и работодателите да имат стандартни национални номера, които ги идентифицират при стандартни транзакции.
• Правило за прилагане: Осигурява стандарти за прилагане на всички правила за административно опростяване.
Важни характеристики на HITECH:
• Разширяване на стандартите за сигурност на HIPAA до „бизнес сътрудници“, които извършват дейности, включващи използване или разкриване на индивидуална здравна информация.
• Увеличени граждански наказания за „умишлено пренебрегване“.
• Изисквания за уведомяване при нарушаване на сигурността на данните за неоторизирано използване и разкриване на „незащитена PHI“.
• По-строги индивидуални права за достъп до електронни медицински досиета и ограничаване на разкриването на определена информация.
• Нови ограничения върху продажбата на защитена здравна информация, както и маркетингови съобщения и съобщения за набиране на средства.
Характеристики на Директивата за защита на данните на ЕС:
• Забележка: Субектите на данни трябва да бъдат уведомявани, когато техните данни се събират.
• Цел: Данните трябва да се използват само за посочената цел.
• Съгласие: Данните не трябва да се разкриват без съгласието на субекта.
• Сигурност: Събраните данни трябва да се пазят защитени от евентуални злоупотреби.
• Разкриване: Субектите на данни трябва да бъдат информирани за това кой събира техните данни.
• Достъп: Субектите на данни трябва да имат достъп до своите данни и да правят корекции на всички неточни данни.
• Отчетност: Субектите на данни трябва да разполагат с наличен метод да държат събирачите на данни отговорни за спазването на тези шест принципа по-горе.
COBIT:
• Принцип 1: Посрещане на нуждите на заинтересованите страни
• Принцип 2: Покриване на предприятието от край до край
• Принцип 3: Прилагане на единична интегрирана рамка
• Принцип 4: Разрешаване на холистичен подход
• Принцип 5: Разделяне на управлението от управлението
Предимства на ITIL:
• Повишена удовлетвореност на потребителите и клиентите от ИТ услугите.
• Подобрена наличност на услугата, водеща директно до увеличаване на бизнес печалбите и приходите.
• Финансови спестявания от намалена преработка, загубено време, подобрено управление и използване на ресурсите.
• Подобрено време за излизане на пазара за нови продукти и услуги.
• Подобрено вземане на решения и оптимизиран риск.
ОИСР:
Организацията за икономическо сътрудничество и развитие (ОИСР) предлага законите за поверителност да включват:
• Принцип на ограничаване на събирането
• Принцип на качеството на данните
• Принцип на спецификация на целта
• Използвайте принципа на ограничаване
• Принцип за защита на сигурността
• Принципът на откритост
Информационна сигурност:
Ключовата цел на информационната сигурност е да намали неблагоприятните въздействия върху организацията до приемливо ниво. Следват някои други рамки за управление на сигурността & методологии за специалисти по сигурността, които включват стандарти за разработка, архитект на сигурността, контрол на сигурността, методи на управление & процес на управление:
•ISO/IEC 17799:2005 Информационни технологии - Техники за сигурност - Практически кодекс за управление на информационната сигурност
• Серия ISO/IEC 27000 системи за управление на информационната сигурност
• ISO/IEC 27001 Управление на информационната сигурност
• ISO/IEC 27002 Практически кодекс за контрол на информационната сигурност
• Общи критерии (CC) или ISO/IEC 15408
• Библиотека за инфраструктура за информационни технологии (ITIL)
• Рамка на Zachman
• TOGAF
• DoDAF
• MODAF
• COBIT
Структурата на TOGAF документацията:
• ЧАСТ I: (Въведение)- Тази част предоставя въведение на високо ниво в ключовите концепции на корпоративната архитектура и по-специално в подхода TOGAF. Той съдържа дефинициите на термините, използвани в TOGAF, и бележки за изданието, описващи подробно промените между тази версия и предишната версия на TOGAF.
• ЧАСТ II: (Метод за разработване на архитектура) – Тази част е ядрото на TOGAF. Той описва метода за разработка на архитектура TOGAF (ADM), стъпка по стъпка подход за разработване на корпоративна архитектура.
• ЧАСТ III: (Насоки и техники на ADM) – Тази част съдържа колекция от насоки и техники, налични за използване при прилагане на TOGAF и TOGAF ADM.
• ЧАСТ IV: (Рамка на съдържанието на архитектурата) – Тази част описва рамката на съдържанието на TOGAF, включително структуриран метамодел за архитектурни артефакти. Използването на многократно използваема архитектура, градивни елементи и преглед на типичните архитектурни резултати.
• ЧАСТ V: (Enterprise Continuum & Инструменти) – Тази част обсъжда подходящи таксономии и инструменти за, категоризиране и съхраняване на резултатите от архитектурната дейност в предприятието.
• ЧАСТ VI: (Референтни модели TOGAF) – Тази част предоставя селекция от архитектурни референтни модели, които включват TOGAF Foundation Architecture и интегрирания референтен модел на информационна инфраструктура (III-RM).
• ЧАСТ VII: (Рамка на архитектурните възможности) – Тази част обсъжда организацията, процесите, уменията, ролите и отговорностите, необходими за установяване и опериране на архитектурна функция в предприятие.
SABSA:
SABSA се състои от поредица от интегрирани рамки, модели, методи и процеси, използвани независимо или като холистично интегрирано корпоративно решение, включително:
• Инженерна рамка за бизнес изисквания (известна като профилиране на атрибути)
• Рамка за управление на риска и възможностите
• Рамка за архитектура на политиката
• Архитектурна рамка, ориентирана към услуги за сигурност
• Рамка за управление
• Рамка на домейна за сигурност
• Управление на услугата за сигурност през целия живот & Рамка за управление на ефективността
GDPR определя три съответни субекта:
• Субект на данните Лицето, за което се отнасят данните
• Администратор на данни Всяка организация, която събира данни за жители на ЕС
• Обработващ данни Всяка организация, която обработва данни за a
администратор на данни
Наборът от защитени типове данни за поверителност по GDPR:
• Име
• Адрес
• ID номера
• Уеб данни (местоположение, IP адрес, бисквитки)
• Здравни и генетични данни
• Биометрични данни
• Расови или етнически данни
• Политически възгледи
• Сексуална ориентация
Основните разпоредби на GDPR включват:
• Съгласие Администраторите на данни и обработващите данни не могат да използват лични данни без изричното съгласие на субектите на данни.
• Право на информираност Администраторите на данни и обработващите данни трябва да информират субектите на данни за това как техните данни се използват, ще или могат да бъдат използвани.
• Право на ограничаване на обработката Субектите на данни могат да се съгласят данните им да бъдат съхранявани от събирач, но да забранят обработката им.
• Право да бъдеш забравен Субектите на данни могат да поискат личните им данни да бъдат изтрити за постоянно.
• Нарушения на данните Администраторите на данни трябва да докладват за нарушение на сигурността на данните в рамките на 72 часа, след като са узнали за него.
СНГ:
Критичният контрол на сигурността на Центъра за интернет сигурност (CIS) за ефективен Cyber
Защитата (CSC) е препоръчителен набор от действия за киберотбрана, които предоставят конкретни и действащи начини за спиране на най-разпространените и опасни атаки днес.
• Основни CIS контроли
•• Инвентаризация и контрол на хардуерни активи
•• Инвентаризация и контрол на софтуерни активи
•• Непрекъснато управление на уязвимостта
•• Контролирано използване на административни привилегии
•• Сигурна конфигурация за хардуер и софтуер за мобилни устройства, лаптопи, работни станции и сървъри
•• Поддръжка, наблюдение и анализ на журнали за проверка
• Основни CIS контроли
•• Защита на имейл и уеб браузър
•• Защити от зловреден софтуер
•• Ограничение и контрол на мрежови портове, протоколи и услуги
•• Възможности за възстановяване на данни
•• Сигурна конфигурация за мрежови устройства, като защитни стени, рутери и комутатори
•• Гранична защита
•• Защита на данните
•• Контролиран достъп въз основа на необходимостта да се знае
•• Безжичен контрол на достъпа
•• Наблюдение и контрол на акаунта
• Организационни CIS контроли
•• Внедрете програма за информираност и обучение за сигурност
•• Сигурност на приложния софтуер
•• Реагиране и управление на инциденти
•• Тестове за проникване и упражнения на червения отбор
Връзки и препратки
Официалното (ISC)2 ръководство за CISSP CBK, четвърто издание ((ISC)2 Press)
CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide, 7-мо издание
Официални CISSP (ISC)2 практически тестове
CISSP All-in-One Exam Guide, седмо издание
Официалното (ISC)2 ръководство за CCSP CBK
(ISC)2презентация isc2.org
CISM CRM – ISACA isaca.com
Cloud Secure Alliance (CSA)
Sybextestbanks.wiley.com
Cccure.org (CCCURE)
Общност на Isc2.org
Issa.org (ISSA)
Cloudsecurityalliance.org
Публикации на NIST
Cyber Security First Responder CFR – Логически операции
Документация на SANS
CCSP Certified Cloud Security Professional, презентация - Кели Хандерхан
CISSP сертифициран специалист по сигурността на информационните системи,
Кели Хандерхан
Облачни услуги на IBM ibm.com
Некатегоризирано
https://safecode.org/publications/
https://adam.shostack.org/blog/category/threat-modeling/
https://www.merlot.org/merlot/InformationTechnology.htm
(IJACSA) Международен журнал за съвременни компютърни науки и приложения
http://www.diocc.com/artificial-intelligence-training.html
ДОБРИТЕ ПРАКТИКИ ЗА СИГУРНОСТТА В ИНТЕРНЕТ НА НЕЩАТА (IOT) май 2017 г.
Хакване на Интернет на нещата (IoT) Казус от практиката за DTH уязвимости
CSA лансира най-добри практики за намаляване на рисковете във виртуализирани среди
ВЪПРОСИ ОТНОСНО ПРИНЦИПИТЕ ЗА СИГУРНОСТ В ИЗЧИСЛЕНИЯТА В ОБЛАК
Подготовка за бъдещето на свързания свят: 13 стъпки за разработване на сигурни IoT продукти (Работна група за интернет на нещата | Подготовка за бъдещето на свързания свят)
ZHOU, Jun et al. Сигурност и поверителност за облачен IoT: Предизвикателства. IEEE комуникации
https://www.researchgate.net/publication/316867894
http://www.pentest-standard.org
https://www.experts-exchange.com/articles/32132/Better-Security-in-the-Cloud.html
https://www.experts-exchange.com/articles/33288/Secure-SDLC-Principles-and-Practices.html
https://www.experts-exchange.com/articles/31793/Vulnerability-Assessments-versus-Penetration-Tests.html
https://www.experts-exchange.com/articles/31763/Incident-Handling-and-Response-Plan.html
https://www.experts-exchange.com/articles/32551/BYOD-and-Secure-Mobile-Computing.html
https://www.experts-exchange.com/articles/31744/Cloud-Security-Threats-Risks-and-Concerns.html
https://www.experts-exchange.com/articles/33009/Disaster-Recovery-Solution-Design.html
https://www.experts-exchange.com/articles/32316/What-Gives-SIEM-a-Good-Name.html
https://www.experts-exchange.com/articles/33330/Threat-Modeling-Process-Basics-and-Purpose.html
https://www.experts-exchange.com/articles/33356/Internet-of-Things-Guidelines-to-prevent-common-IoT-security-risks.html
https://www.isc2.org/Certifications/References
https://www.studynotesandtheory.com/
https://www.facebook.com/groups/InformationAudit/
https://www.facebook.com/groups/1525346961013038/
https://www.facebook.com/groups/ThorTeaches/
https://www.cybrary.it/
https://github.com/DoGByTe-ZN/infosec-resources4all/https://thorteaches.com/
https://thorteaches.com/cissp-process-guide-fadi-sodah-madunix/
https://www.linkedin.com/groups/8592316
Блог на Fortinet: https://blog.fortinet.com
Гола сигурност: https://nakedsecurity.sophos.com
Блог на Securosis: https://securosis.com/blog
Сигурност на Uncommon Sense: https://blog.uncommonsensesecurity.com
Шнайер относно сигурността: https://www.schneier.com
Кребс за сигурността: https://krebsonsecurity.com
StackOverflow: https://stackoverflow.com/questions/tagged/security
Бюлетини за сигурността на Microsoft: https://technet.microsoft.com/en-us/security/bulletins.aspx
Актуализации за сигурност на Apple: https://support.apple.com/en-us/HT201222
Бюлетини за сигурността на Android: https://source.android.com/security/bulletin/
Забележки за сигурността на Ubuntu: https://www.ubuntu.com/usn/
Последните бюлетини на уеб услугите на Amazon: https://aws.amazon.com/security/securitybulletins/
Блог за актуализации на jQuery: https://blog.jquery.com/
MyAppSecurity ThreatModeler (търговско приложение) http://threatmodeler.com/
Microsoft Threat Modeling Tool 2016 (безплатно приложение) https://www.microsoft.com/en-us/download/details.aspx?id=49168
SeaSponge (безплатно уеб приложение) http://mozilla.github.io/seasponge/#/
Триколка (безплатен шаблон за електронна таблица) http://octotrike.org/