第六章:安全評估與測試
6.1 審計策略
信息系統的安全審計是對特定范圍的人/計算機/過程和信息的各種安全控制所實施的一個系統性評估。
安全審計流程:確定目標--適合的業務部分領導參與--確定范圍--選擇審計團隊--計划審計--執行審計--記錄結果--將結果轉達給合適的領導
內部審計
優點:熟悉內部系統,更容易發現信息系統中的脆弱性
缺點:可能存在利益性沖突
第三方審計
優點:帶來新知識。保持客觀,合規審計必須由外部團隊來實施
缺點:成本高
服務性組織控制審計標准框架(SOC)
SOC報告類型
1、SOC1:適用於財務控制
2、SOC2:適用於信任服務,詳細數據,一般不公開
3、SOC3:適用於信任服務,細節較少,可用於一般公眾性目的
6.2 審計技術控制
技術控制是通過使用IT資產來實現的安全控制
脆弱性測試:執行脆弱性測試之前,需要擬定一份書面協議。
黑盒測試:模擬外部攻擊者,可能覆蓋不全
白盒測試:評估更完整,但無法代表外部攻擊者行為
灰盒測試:介於其他兩種方法之間,減少白盒或黑盒測試中的各種問題
滲透測試:模擬攻擊一個網絡及其系統的過程。 滲透過程:發現--枚舉--脆弱性映射-利用--向管理層報告。
盲測是評估者僅持有公開可用的數據用於測試,而網絡安全人員已獲悉測試的發生。
雙盲測試是一項在網絡安全人員未被通知的情況下進行的盲測。
戰爭撥號攻擊:撥打大量的電話,搜索可用的調制解調器。
其他脆弱性類型
內核缺陷: 及時安裝安全補丁
緩沖區溢出:
符號鏈接:編寫程序和特定的腳本,確保無法繞過文件的完整路徑。
文件描述符攻擊:
競態條件
文件和目錄許可
日志審查
檢查系統的日志文件,以檢測各種安全事件或驗證各種安全控制的有效性
防止日志被篡改:遠程日志/單向通信/復制/一次性寫入介質/加密散列鏈
綜合事務:編寫腳本模擬真實用戶,系統的測試關鍵服務的行為和性能。一種測試關鍵服務的行為和性能的方法。
誤用案例測試:各種威脅角色和他們想要在系統上執行的任務用例。
代碼審查:系統地檢查組成一個軟件各部分的指令,並由該代碼作者以外的其他人來執行。遵循編碼標准。
接口測試:一個被稱為集成測試的特例,評估系統的不同部分彼此之間如何進行交互。
6.3 審計管理控制
管理控制通常主要通過策略或流程來實施
賬戶管理
盜用現有特權賬戶:使用強身份驗證(例如強密碼或雙因素驗證)/執行特定任務時使用特權賬戶
創建新的特權賬戶
提升常規用戶賬戶的權限
密切關注賬戶創建/修改/暫停來消減
備份驗證
數據類型:用戶數據文件/數據庫/郵箱數據
實施備份驗證
災難恢復和業務連續性
測試和災難恢復演練應當至少每年進行一次
結構化的排練性測試:代表聚在一起對計划進行檢查。
模擬測試:根據一個特定場景練習執行災難恢復計划。逼真。
並行測試:主備系統一起同時啟動。影響最小。
全中斷測試:將原始站點關閉並將業務處理轉移到備用站點完成。
安全培訓和安全意識培訓
安全培訓通常是提供給安全人員,安全意識培訓應該提供給組織的每個成員。
社會工程:網絡釣魚/魚叉式網絡釣魚(針對特定個人)/捕鯨(針對高級管理人員)/冒充
上網安全
數據保護
文化
關鍵績效和風險指標
關鍵績效指標(KPI):衡量目前情況的進展程度,描述ISMS有效性的一個或多個度量的解釋。
關鍵風險指標(KRI):衡量未來情況會差到什么程度,將組織相對其風險偏好的位置告知管理者。
6.5 管理評審
管理評審是高級組織領導層的正式會議,定期發生,並將審計結果作為關鍵的輸入。