CISSP备考系列之审计和监控[10-36]
CISSP是小众,与MCSE,CCNA一类的不同,资料很少。本人在准备CISSP考试。总结一些考点,供大家参考(内容主要是《CISSP认证考试权威指南(第4版)》的读书笔记,感谢作者和译者,替他们宣传一下。)
审计(Auditing)属于检测性(Detective)控制手段,是保护IT环境安全的重要手段。
主要包括日志记录(logging),监控(monitoring),警报触发(alarm trigger),事件分析(log analysis)甚至入侵检测(intrusion detection)等。
审计的特点:
1,可问责性 审计和监控是支持和实施可问责制的必要因素。
2,合规性 审计常用于合规性测试(compliance testing)或合规性检查(compliance checking),验证系统是否遵守法律,规章制度,基准,指导原则,标准和策略等。分为内审和外审。
3,审计频率 在风险分析阶段,需要确定审计的频率,过高和过低的频率都是不适当的。
审计跟踪(Audit Trailer)是通过将发生的事件和情况的相关信息记录到数据库或日志文件而生成的记录。可用于重构事件,提取事件相关信息,证明或驳斥失职行为等。审计跟踪的安全性必须得到保证,如果审计跟踪可以被消除,则会造成审计跟踪无效(Nullify)
问题标识:审计跟踪可用于识别问题,查询相关信息进而解决问题。
如果需要通过网络传递审计日志,则应该采用加密技术。
审计相关的系统,应该与集中的或可信的时间服务器进行同步。
审计报告的内容:
1,审计的目的
2,审计的范围
2,审计发现或揭示的结果,解决方案建议,防护措施。
资产价值越高,风险越高,审计报告的频率就应该越高。
抽样(Sampling)或数据抽取(Data Extraction)是从大量数据中提取有代表情的元素的过程。统计抽样(Statistical Sampling)采用数学函数精确抽样,更能够真实地反映整体数据的情况。
剪切(Clipping)是一种特殊的抽样形式,只选择那些超过剪切级别门限值(Clipping-Level Threshold)的事件。剪切级别通常与违规分析(Violation Analysis)的审计形式相关联。
非统计学抽样(Nonstatistical Sampling)可以描述为随机抽样或根据审计人员的主观意愿进行抽样,不一定是整体数据的精确表示。
记录保留(Record Retention)
1,保留时间 三年,五年,七年甚至永久。
2,介质,销毁和安全 对审计信息的访问应该受到严格限制。
外部审计
外部审计人员必须可靠,外部审计的时间可能很长,中间可能会发布临时报告(Interim Report),发布临时报告的原因是因为问题过于严重无法等待到最终报告。
监控(Monitoring)监控关注IT环境内的事件,子系统,用户,硬件,软件或其它任何客体。最常见的监控实现是非法软件监控(Illegal Software Monitoring)。
监控工具与技术
1,警告标题(Warning Banner)
2,击键监控(Keystroke Monitoring)通常用于恶意目的,如果因为正当原因要利用击键监控,需要使用可接受使用策略(Acceptable Use Policies)和登录标题。
3,流量分析和趋势分析(Traffic Analysis And Trend Analysis)对数据流而不是数据包的内容进行检查,揭示可疑流量。
4,其它监控工具 如CCTV,自动化响应通常是预定义脚本,人为控制的响应会更有效。
渗透测试技术
渗透测试(Penetration Testing)旨在发现系统中容易受到攻击的部分并加以改善。
渗透测试由安全专家在受到控制和监控的环境中完成,高级管理人员预先了解此事并给予批准。
渗透攻击通常包括社会攻击,网络和系统配置审查以及环境脆弱性评估。破坏目标永远不是有效或正当的动作。
通常来说,雇佣专业攻击人员(特别是有犯罪记录的人)来完成各种安全行为是不道德的。而且,能够闯入系统并不一定意味着了解如何保护系统。
渗透测试团队
1,Zero认识水平团队 除了域名和公司地址等公开信息,不知道其它内容。
2,Partial认识水平团队 知道环境中的软硬件设施,知道网络结构和配置细节。
3,Full认识水平团队 完全了解,包括补丁,升级程序和安全配置等。
道德黑客行为(Ethical Hacking)与渗透测试类似,但道德黑客会使用一些地下工具。对评估目标进行写入,更改或破坏并不属于道德黑客的行为,这种行为通常称为破解(Cracking)。
战争拔号攻击(War Dailing)通过扫描电话号码段以发现未授权的Modem。
嗅探(Sniffing)从非加密网络中捕获或抽取信息的有效工具,通常会将网卡置为混杂模式,以便获得所在网段的完整信息。常见的嗅探工具有:EtherPeek,WinDump,WireShark,Sniffit和SNMPSniff等。嗅探可以用来进行渗透测试,也可以用来发动恶意攻击,抵御嗅探攻击的主要对策是加密。
偷听(Eavesdropping)是嗅探的另一个术语,范围不只包括网络通信,还包括音频通信,传真,无线信号等。
辐射监控(Radiation Monitoring)通常包括手机,无线网络,对讲机,无线电和电视广播,短波电台以及民用波段等。为防止信号辐射泄露信息,可以使用屏蔽技术来限制(EMI Electronmagnetic Interference)或(RF=Radio Frequency)的扩散,也可以使用白噪音来掩盖真实信号。
垃圾搜寻(Dumpster Diving)和拾遗(Scavenging)
两者都是信息收集(Information Gathering)的手段,后者是指在计算机内搜索没有删除干净的有用信息。
社交工程攻击(Social Engineering)
说服某位员工执行能够破坏机构安全性的未授权行为。通常,社交工程攻击的目标是获得IT基础架构信息或资源的访问权限。
社交工程攻击通常以欺骗为手段,在攻击对象的计算机内植入后门程序,或直接窃取某些敏感信息。
问题管理(Problem Management)
三个目标:
1,将故障降低到可管理的级别。
2,防止问题的发生或再次发生。
3,减轻问题对计算服务和资源的负面影响。
不适当的活动(Inappropriate Activity)
在计算机或IT基础架构上发生的,虽然不构成犯罪但是会受到内部处罚。如性骚扰和种族歧视,浪费资源,权力或权限的滥用等。
不明威胁和对策
错误和疏忽(Errors and Omissions)
欺诈和盗窃
共谋(Collusion)责任分离
阴谋破坏(Sabotage)快速处理合同终止事宜
失去物理和基础架构的支持 需要DRP和BCP支持
恶意攻击者(Malicious Attackers)
间谍活动(Espionage)
恶意代码(Malicious Code)
流量和趋势分析(Traffic And Trend Analysis)将流量与流量模板对比(Traffic Pattern)以发现异常。
初始程序载入脆弱性(Initial Program Load=IPL)如通过修改BIOS禁止计算机从光驱启动等。
[本单元结束]
本文出自 “西蒙[爱生活,爱学习]” 博客
审计(Auditing)属于检测性(Detective)控制手段,是保护IT环境安全的重要手段。
主要包括日志记录(logging),监控(monitoring),警报触发(alarm trigger),事件分析(log analysis)甚至入侵检测(intrusion detection)等。
审计的特点:
1,可问责性 审计和监控是支持和实施可问责制的必要因素。
2,合规性 审计常用于合规性测试(compliance testing)或合规性检查(compliance checking),验证系统是否遵守法律,规章制度,基准,指导原则,标准和策略等。分为内审和外审。
3,审计频率 在风险分析阶段,需要确定审计的频率,过高和过低的频率都是不适当的。
审计跟踪(Audit Trailer)是通过将发生的事件和情况的相关信息记录到数据库或日志文件而生成的记录。可用于重构事件,提取事件相关信息,证明或驳斥失职行为等。审计跟踪的安全性必须得到保证,如果审计跟踪可以被消除,则会造成审计跟踪无效(Nullify)
问题标识:审计跟踪可用于识别问题,查询相关信息进而解决问题。
如果需要通过网络传递审计日志,则应该采用加密技术。
审计相关的系统,应该与集中的或可信的时间服务器进行同步。
审计报告的内容:
1,审计的目的
2,审计的范围
2,审计发现或揭示的结果,解决方案建议,防护措施。
资产价值越高,风险越高,审计报告的频率就应该越高。
抽样(Sampling)或数据抽取(Data Extraction)是从大量数据中提取有代表情的元素的过程。统计抽样(Statistical Sampling)采用数学函数精确抽样,更能够真实地反映整体数据的情况。
剪切(Clipping)是一种特殊的抽样形式,只选择那些超过剪切级别门限值(Clipping-Level Threshold)的事件。剪切级别通常与违规分析(Violation Analysis)的审计形式相关联。
非统计学抽样(Nonstatistical Sampling)可以描述为随机抽样或根据审计人员的主观意愿进行抽样,不一定是整体数据的精确表示。
记录保留(Record Retention)
1,保留时间 三年,五年,七年甚至永久。
2,介质,销毁和安全 对审计信息的访问应该受到严格限制。
外部审计
外部审计人员必须可靠,外部审计的时间可能很长,中间可能会发布临时报告(Interim Report),发布临时报告的原因是因为问题过于严重无法等待到最终报告。
监控(Monitoring)监控关注IT环境内的事件,子系统,用户,硬件,软件或其它任何客体。最常见的监控实现是非法软件监控(Illegal Software Monitoring)。
监控工具与技术
1,警告标题(Warning Banner)
2,击键监控(Keystroke Monitoring)通常用于恶意目的,如果因为正当原因要利用击键监控,需要使用可接受使用策略(Acceptable Use Policies)和登录标题。
3,流量分析和趋势分析(Traffic Analysis And Trend Analysis)对数据流而不是数据包的内容进行检查,揭示可疑流量。
4,其它监控工具 如CCTV,自动化响应通常是预定义脚本,人为控制的响应会更有效。
渗透测试技术
渗透测试(Penetration Testing)旨在发现系统中容易受到攻击的部分并加以改善。
渗透测试由安全专家在受到控制和监控的环境中完成,高级管理人员预先了解此事并给予批准。
渗透攻击通常包括社会攻击,网络和系统配置审查以及环境脆弱性评估。破坏目标永远不是有效或正当的动作。
通常来说,雇佣专业攻击人员(特别是有犯罪记录的人)来完成各种安全行为是不道德的。而且,能够闯入系统并不一定意味着了解如何保护系统。
渗透测试团队
1,Zero认识水平团队 除了域名和公司地址等公开信息,不知道其它内容。
2,Partial认识水平团队 知道环境中的软硬件设施,知道网络结构和配置细节。
3,Full认识水平团队 完全了解,包括补丁,升级程序和安全配置等。
道德黑客行为(Ethical Hacking)与渗透测试类似,但道德黑客会使用一些地下工具。对评估目标进行写入,更改或破坏并不属于道德黑客的行为,这种行为通常称为破解(Cracking)。
战争拔号攻击(War Dailing)通过扫描电话号码段以发现未授权的Modem。
嗅探(Sniffing)从非加密网络中捕获或抽取信息的有效工具,通常会将网卡置为混杂模式,以便获得所在网段的完整信息。常见的嗅探工具有:EtherPeek,WinDump,WireShark,Sniffit和SNMPSniff等。嗅探可以用来进行渗透测试,也可以用来发动恶意攻击,抵御嗅探攻击的主要对策是加密。
偷听(Eavesdropping)是嗅探的另一个术语,范围不只包括网络通信,还包括音频通信,传真,无线信号等。
辐射监控(Radiation Monitoring)通常包括手机,无线网络,对讲机,无线电和电视广播,短波电台以及民用波段等。为防止信号辐射泄露信息,可以使用屏蔽技术来限制(EMI Electronmagnetic Interference)或(RF=Radio Frequency)的扩散,也可以使用白噪音来掩盖真实信号。
垃圾搜寻(Dumpster Diving)和拾遗(Scavenging)
两者都是信息收集(Information Gathering)的手段,后者是指在计算机内搜索没有删除干净的有用信息。
社交工程攻击(Social Engineering)
说服某位员工执行能够破坏机构安全性的未授权行为。通常,社交工程攻击的目标是获得IT基础架构信息或资源的访问权限。
社交工程攻击通常以欺骗为手段,在攻击对象的计算机内植入后门程序,或直接窃取某些敏感信息。
问题管理(Problem Management)
三个目标:
1,将故障降低到可管理的级别。
2,防止问题的发生或再次发生。
3,减轻问题对计算服务和资源的负面影响。
不适当的活动(Inappropriate Activity)
在计算机或IT基础架构上发生的,虽然不构成犯罪但是会受到内部处罚。如性骚扰和种族歧视,浪费资源,权力或权限的滥用等。
不明威胁和对策
错误和疏忽(Errors and Omissions)
欺诈和盗窃
共谋(Collusion)责任分离
阴谋破坏(Sabotage)快速处理合同终止事宜
失去物理和基础架构的支持 需要DRP和BCP支持
恶意攻击者(Malicious Attackers)
间谍活动(Espionage)
恶意代码(Malicious Code)
流量和趋势分析(Traffic And Trend Analysis)将流量与流量模板对比(Traffic Pattern)以发现异常。
初始程序载入脆弱性(Initial Program Load=IPL)如通过修改BIOS禁止计算机从光驱启动等。
[本单元结束]
本文出自 “西蒙[爱生活,爱学习]” 博客
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻