CISSP—实现安全管理和原则的策略

嚴華  金牌会员 | 2024-6-15 02:29:02 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题

主题 683|帖子 683|积分 2049

0x00 媒介

起首拿到这个标题会想到什么内容呢, 实现安全管理和原则的策略,简要的拆分成标题就是


  • 什么是安全管理
  • 什么是安全原则
  • 他们的策略是什么
  • 如何实现
着实这个就是当我们看到这个标题的时间应该想到的事情。若果这一章节学完,没有明白这些标题就可以考虑重新思考答案。
0x01 安全101

这里的101 特指一些安全的底子知识。
安全存在的目的是什么?

为了支持组织的目标、使命和宗旨。
着实这个答案应该表明的是组织中安全存在的意义,也就是甲方安全的根本目标。
安全建立的基本逻辑和过程



  • 接纳安全框架作为起点
  • 通过评估进行微调

    • 风险评估
    • 毛病评估
    • 渗出测试

这里延伸出来的标题,实际上就是,安全框架有哪些,怎么实现安全框架。
风险评估,什么是风险,怎么评估。
毛病评估,怎么评估
渗出测试,这个对于起步的东西没须要去论述。
安全必要考虑的事情

资本效益

实际上这个就是经常说的损益比,做这个安全带来的代价够不敷,是否可以用更少的资原来完成这个事情。
正当合规

在做安全的时间,应该考虑当地大概政府的法律法规,在满足正当合规的情况下再去进行安全的内容思考
安全没有终点

没有任何事情,任何系同一定能保证完全的安全性,所以安全应该是一段可持续的旅程,所以不存在做了某某安全就可以高枕无忧。
这里着实可以提的标题就是,安全在保障安全的同时,还必要思考什么事情。

0x01 明白和应用安全概念

   安全管理的概念与原则是实行安全策略和安全解决方案的焦点内容。安全管理的概念与原则定义了安全环境中必需的基本参数,也定义了安全策略计划职员和系统实行职员为创建安全解决方案必须实现的目标。
  书中开始表明安全管理的概念和原则和实行安全策略和完全解决方案的关系等
那么带来的标题就会有如下标题,乃至更多


  • 安全管理的概念是什么
  • 安全管理的原则是什么
  • 实行安全策略是什么,怎么实行
  • 安全解决方案是什么
  • 安全环境是什么
1.安全架构的主要目的和遵旨

安全架构大概说是框架,他的最底子的和最根本的安全目标实际上就是去保障CIA
C:confidentiality
I:integrity
A:availability
那么着实反过来也可以说,安全评估在做什么,可不就是在做是否能够对CIA产生威胁大概风险的内容。所谓的风险,着实也就是系统重的脆弱点。
关于三元组来说,肯定就管帐划到要思考的内容就是 是什么,怎么做会导致破坏,怎么做才气提高安全性。
1.1 保密性

what

保密性实际上就是要求数据应该存在访问控制,应当拒绝未经授权,大概是越权访问资源
破坏的方法



  • 恶意攻击

    • 权限管理不当
    • 资源未做权限控制

  • 人为因素导致

    • 配置不当

      • 默认配置

    • 操作疏忽

      • 弱口令
      • 忘记关闭内容


加固的方法



  • 数据混淆
  • 严酷的访问控制
  • 职员培训
1.2 完整性

what

完整性相对于保密性而言,关注的着实也是权限标题,不但仅的数据的访问,以及数据操作,也应该拒绝未经授权,大概是越权访问。
   比如很火的零信任,实际上就是在保密性和完整性上做文章,对权限管理进行不信任控制。
  破坏的方法

实际上破坏的方法和保密性是非常相似的。
加固的方法



  • 数据混淆
  • 严酷的访问控制
  • 职员培训
  • 数据署名
   对于目前的我而言,完整性和保密性实际上针对的都是同一个东西,就是权限的控制,当然对于完整性而言,还应该保证在传输中的不可更改,这个是保密性中不存在的。在保密性中主要是让数据不可知,完整性保障的是数据的完整性。
  1.3 可用性

what

可用性着实很好明白,就是业务最好的理想状态是不停止,越精密大概说是越关注业务的系统越不可停止。
破坏的方法



  • 恶意攻击

    • DOS/DDOS
    • 客体破坏
    • 通信终端
    • 近源攻击

  • 自然劫难
  • 管理员的配置
加固的方法



  • 安全软件防护

    • 抗D
    • waf

  • 监控

    • 网络监控
    • 性能监控

  • 冗余机制

    • 多节点
    • 备份系统

      • 数据备份
      • 系统备份


   可用性计划的内容比较多,包括了后续的BCP等,都是可以单独拎一个章节才可以完全表明的内容,而且内里涉及的内容照旧比较多的。
  除了传统的CIA之外,还有真实性以及不能否认性,算是为CIA的补充
1.4 真实性

Authenticity
what

确保某些东西来自其说明的来源,而且确信无疑。真实性这一点着实是可以建立在完整性上,比如A-B,保证中间过程完整,中间没有任何篡改,则其就是真实性
1.5 不能否认性

Nonrepudiation
what

某人不能否认自己特定举动的发起方,有一个毛病着实很能阐明这个标题,就是CSRF,跨站哀求伪造,那么实际上防护方式就是按照用户当前的权限,再附加一个不可伪造的token来进行防护。
2.安全框架中考虑的其他原则和概念

2.1 DAD

DAD是CIA出现标题的时间存在的概念,实际上着实只要考虑美满CIA,那么DAD就会同时兼顾


  • Disclosure
  • Alteration
  • destruction
2.2 AAA

书中写AAA是所有安全环境中的一个焦点安全机制,实际上就是对权限控制的一个方法和流程,在完成confidentiality以及integrity的时间可以通过AAA来进行保障
AAA包含:


  • Authentication 身份认证
  • authorization 授权
  • accounting 记账
基本的流程是:


  • 标识
  • 身份认证
  • 授权
  • 审计
  • 记账&问责
3.掩护机制

除了定点的掩护的方式,还有通用的防护方式,也就是为了CIA而做的一些系统的防护方式大概说是策略


  • 纵深防护
  • 抽象
  • 数据隐蔽
  • 数据加密
这里的标题实际上就是,有哪些方法和策略可以用来保障CIA的安全性
还有两个方式就是河防和塔防
河防就是先放你进来,然后再用资源上风进行压制。
塔防就是进行自动防御和处置惩罚
4.安全术语

毛病

vulnerability
系统中的弱点,威胁源可使用毛病来破坏资产的安全性。
威胁

threat 使用毛病带来的任何潜伏危险。
风险

risk 威胁源使用毛病的大概性以及相应的业务影响。
毛病使用

造成损失的实例。
0x02 评估和应用安全管理原则

   安全管理是支持、评估、定义和引导组织安全工作相关的实践聚集。
    安全管理:security governance,是一个框架,支持由高级管理层制定和表达的组织安全目标,应在组织的不同层级充分沟通,并同等地实行和评估。
    最理想的状态是安全管理由董事会执行。
    安全管理目的是在讲组织内所使用的安全流程和底子设施从外部来源得到的知识和见解进行对比。
    所有形式的管理都应经常进行评估和验证。
    安全管理指实行安全解决方案以及与之紧密关联的管理方法。安全管理直接监督并计划所有级别的安全。
  安全框架和指南:


  • NIST SP 800-53
  • NIST SP 800-100
至少在当前阶段,对与安全这里的明白照旧很浮浅的,乃至说还没有领会到什么是安全管理。所以这里大概要进行扩展性的学习,参考多个书籍才可以。
同步看了all in one,关于安全管理。安全管理到底是什么,安全管理实际上就是一种安全框架和计划,主要是用于引导本企业安全的终极走向,以及在本企业的实际落地的内容,以及对本企业的期望。
安全管理的终极目的肯定是服务于企业的战略规划,为其保驾护航。
大概这里可以说安全管理实际上就是一种企业安全架构,再大概说企业安全架构就是一种美满的大概是有引导意义的安全管理。
0x03 管理安全功能

安全必须是可衡量的。可衡量意味着,安全机制的各个方面都发挥作用,提供显着的收益,并有一个或多个可以进行记录与分析到指标。
测量和评估安全指标的举动可以评估安全计划的完整性和有效性。
安全指标的跟踪和评估是有效安全管理的一部分。
着实所谓的管理安全功能就是all in one中的企业安全框架,大概说是安全管理
1.如何创建于业务战略保持同等的安全框架,大概说是安全管理



  • 战略同等性 (Strategic Alignment)
  • 业务支持 (Business Enablement)
  • 流程强化 (Process Enhancement)
2.如何有效地处置惩罚安全管理计划

自上而下的方式。
上层负责启动和定义组织的策略
中层将策略落实为尺度、基线、引导方针和步伐
下层负责根据管理文档进行配置。
所有用户必须服从组织的所有的安全策略。
首席信息官(CIO) 专注于确保信息被有效地用于实现业务目标
首席技术官(CTO) 专注于确保装备和软件正常工作以支持业务功能
2.1 安全管理计划的内容包括 (这里实际上也是安全管理的内容)



  • 定义安全角色
  • 规定如何管理安全
  • 由谁负责安全
  • 如何检验安全的有效性
  • 指定安全策略
  • 执行风险分析
  • 对员工进行安全教诲
2.2 战略计划

strategic plan 相对稳固的恒久计划。在战略计划中讨论了未来的恒久目标和愿景。战略计划应包含风险评估。
2.3 战术计划

tactical plan 中期计划,为战略加护中设定的目标提供更多的细节。通常包括:


  • 项目计划
  • 收购计划
  • 招聘计划
  • 预算计划
  • 维护计划
  • 支持计划
  • 系统开发计划
2.4 操作计划

operational plan 短期,高度详细的计划。包括的内容:


  • 资源分配
  • 预算需求
  • 职员分配
  • 进度安排与细化
  • 执行步伐
  • 执行流程与组织安全策略的合规性
  • 培训计划
  • 系统摆设计划
  • 产品计划计划。
0x04 组织流程

实际上,关注这块的内容,至少在国内目前还没有打仗到,至少当前的工作没有这个场景,但是在一些大公司大概事项建立起安全的大公司照旧有这个需求的。
关于组织流程,安全管理必要关注的内容有:


  • 收购
  • 资产剥离
  • 管理委员会的组织流程
大概存在的一些场景与标题思考:


  • 收购了一家子公司
  • 职员变更

    • 入职
    • 离职/裁员

  • 资产剥离

    • 资产烧毁
    • 资产新增
    • 第三方接入

收购一家子公司必要留意哪些安全内容?
职员入职应该留意哪些安全事项?
职员离职应该留意哪些安全事项?
接入第三方内容应该留意哪些安全事项?
收购&吞并

收购&吞并会提高组织的风险等级,通常大概出现的风险有:


  • 信息泄露
  • 数据丢失
  • 停机
  • 投资回报率不足(ROI return on investment)
资产剥离

资产剥离包括资产减少,招聘大概裁员。
组织集成第三方



  • 现场评估到组织现场进行访谈
  • 文件交换和检察调差数据和文录交换的方式
持续的安全监控、管理和评估
0x05 组织的角色与责任

组织的角色有哪些,对应的责任又是什么?


  • 高管
  • 资产所有者
  • 托管员
  • 审计职员
1.高管

对组织安全的维护负责以及关心资产掩护的职员。
2.资产所有者(高管)

assetowner 在安全解决方案中负责不知和掩护信息分类的职员。实际上就是高管
3.托管员(执行者)

custodian 负责执行安全策略与高管规定的掩护使命的职员。
4. 审计职员(查察院)

auditor,负责检察和验证安全策略是否被执行。
0x06 安全管理框架

好的内容大概说是流程,必然是要形成一个框架彩可以进行复制和通用。
1.COBIT

使用最广泛的安全控制框架是COBIT。
COBIT是由信息系统审计和控制协会体例的一套记录IT最佳安全实践的文档。规定了安全控制的目标和需求,并鼓励将IT安全思路映射到业务目标
1.1 六个关键原则



  • 为利益相关方创造代价
  • 接纳整体分析法
  • 动态地管理系统
  • 把管理从管理中分离出来
  • 根据企业需求量身定制
  • 采取端到端的管理系统
思考

但是这里有一个标题就是COBIT到底算不算安全框架,如果算的话,对于安全来说又是充当什么角色。
2.NIST SP 800-53

信息系统和组织的安全和隐私控制
3. CIS

互联网安全中心,提供针对操作系统,应用步伐和硬件的安全配置引导。
4.NIST RMF

联邦机构指定了强制性要求,主要分为六个阶段


  • 分类
  • 选择
  • 实行
  • 评估
  • 授权
  • 监控
5.NIST CSF

为关基和贸易组织而计划,由识别、掩护、检测、相应和恢复这五个功能构成。
对将在持续进行底子上执行的业务活动的规定,以便随着时间的推移支持和改进安全。
6.ISO 27000系列

国际尺度,可作为实行组织信息安全以及相关管理实践的底子。
安全框架,打仗最多的就是ISO 27000,着实把iso 27001研究透彻,最基本的安全肯定是没有任何标题的。
当然在国内实际上也可以直接研究等保2.0,等保2.0主要照旧规定了一些安全的方法和措施,但是又没有成体系,所以认识肯定是对自己有帮助的,有空照旧可以多翻一翻的。
还有一个标题就是等保的方向实际上和建立的方向又有许多不一样的地方,等保是为了让资产变的安全,为了防止公民社会国家权益被破坏。没有到场到公司的愿景以及组织战略相关的内容。
0x07 应尽关心和尽职检察

应尽关心是指指定计划、策略和流程以掩护组织的利益。应尽关心指的事指定一种正式的安全框架,此中应该包含安全策略,尺度,基线,指南和步伐。
应尽检察指的事实践那些维持应尽关心工作的活动。将应尽关心这种安全框架持续应用到组织的IT底子设施上。
运营安全指组织内的所有责任相关方持续实行应尽关心和尽职检察。
概述一下就是,应尽关心就是知道该干啥,应尽检察就是知道什么时间干。
所以要是有人问,安全框架包括什么内容,实际上就是包括了,安全策略,尺度,基
线,指南和步伐。
1.应尽关心的安全框架

1.1 安全策略

规范化的最高层级文件称为安全策略,主要是定义了组织所需的安全范围,讨论必要掩护的资产以及安全解决方案必要提供的须要掩护程度。
归纳了战略性安全目标,愿景和宗旨。
安全策略主要用于分配职责,定义角色,明确审计需求,概述实行过程,规定合规性需求和定义可担当的风险级别。
简单的说就是,整个公司大概高管对安全的态度,对资产的优先级以及对损失的可担当程度。也就是安全的掩护程度。比如,掩护好服务不会由于攻击宕机,数据不泄露,能够通过安全检查,在恶意攻击下有一定的自保能力。当然安全策略也是一种赋予安全的权力。
1.2 安全尺度

在策略的引导下体例其他的安全文档,尺度提供了整个组织中同一实行技术和步伐的过程。
策略大概就是一句话,而安全尺度则是将这句话拆分成一些点,比如策略要求资产安全
那么尺度则必要要求:


  • 新增资产必要审核
  • 旧资产必要检查
  • 所有资产梳理
1.3 基线

基线定义了整个组织中每个系统必须满足的最低安全级别。
没有完全安全的系统,所谓的基线实际上就是达成政府大概策略的最低要求,从而避免大部分的毛病。
包括不限于系统的要求,还有业务上线的要求,比如必须消除高危毛病,低危毛病只能有xxx个,这些也是最低的安全要求。
1.4 指南

指南提供了如何实现尺度和基线的发起,而且是安全专业职员和用户的操作指南。相当于就是对应的操作手册。
1.5 安全步伐

步伐相当于指南的落地以及更底层的实现逻辑,对指南的内容进行进一步的拆分。
看到这里,着实就可以总结出一些内容。如何建立企业安全?
发起企业安全的主要条件是满足整个企业的战略规划,目标,愿景。也就是所谓的战略同等性,业务支持,流程强化内容。在建立企业安全主要从这几个方面进行考虑,起首是安全策略,然后就是针对安全策略进行拆分的安全尺度,在安全尺度的前提下,进行基线检查也就是要求的最低的安全尺度,然后就是针对如何能够达到安全基线的方法和方案。如果指南计划到更底层的内容,就必要去整理安全步伐去进行更详细的拆分。
但是如许子说就比较空洞,基于我目前的能力,更大概会如许答复这个标题。
如果是从0开始建立企业安全,起首必要搞清楚组织的诉求,也就是组织对安全的要求。(着实这里也就是组织的战略规划)然后根据组织对安全的要求以及行业的尺度,满足正当合规的前提下进行建立。建立的方式主要通过成熟度从0开始建立,从三个方面分别进行,我个人更喜欢称之为过去,如今,未来,过去代表已经存在的风险,包括旧资产,存在的毛病,风险,确实的安全架构和防护模式进行整改,如今代表着对已有的资产和内容进行新一轮的完整的威胁建模和风险评估,在梳理过去建立的内容的底子上进行补全和美满。未来,未来则代表着未来大概存在的内容,那么如何能让未来发生的风险越小,那肯定就是合规,尺度和基线。合规,合乎法律法规,比如等保2.0, 尺度,通过建立保准化流程,来提前束缚大概存在的风险项,比如安全编码规范,职员安全规范,网络使用规范,安全意识提高,权限最小化,第三方管控等。基线,则代表着最低的安全要求,主要针对主机装备,环境,业务的最低需求,提高攻击门款和降低攻击后的损失。最后,在美满好自己的底子上,进行全面的监控以及进行自动防御,包括蜜罐,雷区,自动谍报狩猎威胁分析。这里的全面监控实际上就是所谓的soc平台,soc平台可以通过自动编排功能,完成基线检测,风险告警和处置惩罚,将安全建立推向自动化的进程。
0x08 威胁建模

威胁建模是识别、分类和分析潜伏威胁的安全过程。
威胁建模可以在动工前进行提前措施做,也可以在结束后进行分析来执行。
基于在动工前的威胁建模实际上就是安全左移大概前置的方式,而在动工结束后的威胁建模实际上就是后续渗出测试等干的事情。
1.识别威胁

识别威胁的方法:


  • 关注资产该方法使用资产评估结果,视图识别有代价的资产面对的威胁
  • 关注攻击者,有哪些组织能识别潜伏攻击者。这一点就是去相识攻击者的攻击途径,从而发现威胁
  • 关注软件如果开发了软件,考虑软件收到的潜伏威胁。
微软的STRIDE 风险识别方案


  • Spoofing
  • Tampering
  • Information Disclosure
  • DoS
  • Elevation ofPrivilege
攻击模拟和威胁分析过程:Process for attack Simulation and Threat Anlysis
是一种由7个阶段构成的威胁建模方法,以风险为焦点,针对资产代价相关的掩护措施


  • 为风险定义目标
  • 定义技术范围
  • 分解和分析应用步伐
  • 威胁分析
  • 弱点和脆弱性分析
  • 攻击建模与仿真
  • 风险分析和管理
    《以风险为中心的威胁建模:攻击模拟和威胁分析的过程》
VAST
一种基于灵敏项目管理和变成原则的威胁建模概念
2.确定和绘制潜伏的攻击

通过绘制交互逻辑,从而发现大概潜伏的攻击
3.执行简化分析

分解影院公步伐,系统或环境。详细的内容分析。主要关注的内容是


  • 信任边界,信任级别或安全级别发生变化的位置
  • 数据流在两个位置之间的流动
  • 输入点,担当外部输入的位置
  • 特权活动
  • 安全声明和方法的细节,关于安全策略,安全底子和安全假设的声明。
4.优先级排序和响应

DARED,相当于是一个矩阵,主要是用来判定风险的修复优先级,可以通过不同的维度去判定。
5个维度


  • 潜伏破坏,如果威胁成真,大概造成的损害
  • 可再现性,使用复杂度
  • 可使用性 攻击难度,大概攻击门槛
  • 受影响的用户 影响面
  • 可发现性 发现弱点的难度
0x09 供应链管理

供应链风险管理 SCRM
供应链检察的方式


  • 检察SLA
  • 条约
  • 实际执行情况。
SLR,服务级别需求
框架图表

框架分类概述ITILIT管理一套用于IT服务管理的最佳实践框架,由英国政府开发,最后成为国际框架,面向过程的框架,有助于IT时间与业务需求保持同等COBITIT管理是ISACA(信息系统审计与控制协会)开发和维护的IT管理框架NIST CSF安全管理框架为关基和贸易组织而计划,由识别,掩护,检测,响应和恢复五个功能构成iso27001安全管理框架国际尺度的安全管理框架,包含基于计划,执行,检查,行动周期的过程 威胁框架对比

框架阐明STRIDE微软的模型,特点是对威胁进行分类PASTA一种7种阶段构成的威胁建模方法,以风险为焦点,选择或开发与掩护的资产代价相关的防护措施VAST在可扩展的底子上将威胁和风险管理阶乘到敏姐变成环境中的威胁建模概念
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

嚴華

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表