All In One
内部和第三方审核
脆弱性测试
渗透测试
日志审查
代码审查
误用案例测试
接口测试
账户管理
备份数据验证
灾难恢复和业务连续性测试
安全培训和安全意识
关键性能和风险指标
报告
管理评审
审计策略
审计是一个系统性评估,在CISSP,对信息系统内部安全控制的系统性评估
通常情况下,安全审计=漏洞评估和渗透测试
信息系统的安全审计流程:
1.确定目标
2.让合适的业务部门领导参与进来,以确保业务需求能够被识别和涉及
3.确定范围
4.选择审计团队,根据目标、范围、预算和可用的专业知识,来决定由内部人员还是外部人员组成
5.计划审计,以确保按时、按预算实现所有目标
6.执行审计,要在坚持计划的同时,记录其中的任何偏差
7.记录结果
8.将结果传达给合适的领导,以实现和维持强有力的安全态势
内部审计
优点:熟悉内部运作,容易测试出最薄弱、最模糊的地方
缺点:缺乏广度和实际经验,利益冲突
外部审计
优点:客观
缺点:成本过高
服务性组织控制(Service Organization Controls,SOC)
- SOC 1 适用于财务控制
- SOC 2 适用于信任服务(安全性、可用性、保密性、过程完整性和隐私)
- SOC 3 适用于信任服务(安全性、可用性、保密性、过程完整性和隐私)
审计技术控制
1.脆弱性测试(Vulnerability Test) 专业员工和顾问来完成 人员测试+物理测试+系统测试+网络测试
2.渗透测试 (Penetration Test)根据所有者的要求模拟攻击一个网络及其系统的过程。安全基于现实
渗透测试流程:
1.发现 搜集和收集目标相关的信息
2.枚举 执行端口扫描和资源标识
3.脆弱性映射 在确定的系统和资源中标识脆弱性
4.利用 尝试利用脆弱性进行未授权访问
5.向管理层报告 向管理层提交测试结果报告文件,并提供应对测试
3.漏洞扫描
4.战争拨号 允许攻击者和管理者拨打大量的电话,以搜索可用的调制解调器
5.内核缺陷
6.缓冲区溢出
7.富豪链接
8.文件描述符攻击
9.竞态条件
10.文件和目录许可
11.事后检查
12.日志审查
- 防止日志被篡改 远程日志,单工通信,复制,一次性写入介质,加密散列链
- 安全信息和事件管理器(Security Informarion and Event Managers,SIEM)事件数据的集中、关联、分析和保留,以便生成自动警报系统
13.综合事务(Synthetic Transactions)事务是由脚本生成的,而不是由人生成的,由规律和可预测性
真实用户监控(Real User Monitoring,RUM):RUM使用的是真人而不是脚本,无规律和可预测性
14.误用案例测试 确保有效和全面识别每个风险,以决定在风险管理过程中需要减缓的风险,并能够适用于考虑的系统
15.代码审查 (Code Reviews)
16.接口测试
GUI测试 图形界面
NIC测试 网卡
API测试 应用程序编程接口
原则:提前设想所有的测试用例,记录他们,然后将他们插入到一个可重复的且自动化的测试引擎中
审计管理控制
1.账户管理 增删查改账户
2.备份验证
备份:数据类型、用户数据、数据库、邮箱数据
3.灾难恢复和业务连续性
- 测试和修订业务连续性计划
1.检查性测试 BCP的副本分发到不同的部门和职能区域
2.结构化的排练性测试 各部门和职能区域在一起对计划进行检查
3.模拟测试
4.并行测试
5.全中断测试
其他类型的培训 CPR、急救、灭火
应急响应
- 维护计划
- BCP生命周期
4.安全培训和安全意识培训
- 社会工程
- 上网安全
- 数据保护
- 文化
5.关键绩效和风险指标
- 关键绩效指标(Key Performance Indicator,KPI)
- 关键风险指标(Key Risk Indicators,KRI)
报告
1.技术报告
- 威胁
- 漏洞
- 利用的可能性
- 利用后的影响
- 建议措施
2.执行摘要
- 显示投资回报率(Return On Investment,ROI):用具体金额来量化哪些被推荐的可能挽救公司的变更
- 成本法
- 收入法
- 市场法
- 高管关心的内容:他有多大的可能性?他会挽救我们多少?他要花费多少钱?
管理评审
管理评审:高级组织管理层的正式会议,用于确定管理系统是否有效地实现其目标
戴明环
1.管理评审前 管理评审需定期进行
2.审查输入
3.管理层的行动
- 接收整个建议
- 接收但需要进行具体修改
- 拒绝建议
- 发回给ISMS小组获取更多支持数据、重新设计选项
小结
评估安全态势是一个迭代和连续的过程。
更多推荐
All In One
发布评论