3. 简化分析
**分解数据流图中的应用和环境。**更好地了解产品逻辑、内部单元、交互等等。
分解过程需要关注 5 个要素:
- 信任边界:信任级别、安全级别发生变化的地方
- 数据流路径:两个位置间的流动
- 输入点:接收外部输入的地方
- 特权操作
- 安全声明和 Method (方法)
4. 优先级排序和响应
对威胁进行评级和排序,使用 DREAD 评级方案。
DREAD 总分 100 分,包含发生可能性*潜在损失 。其中每个值都是 1~10,10 表示最高。
DREAD 关注下列 5 个问题:
- 潜在破坏(损失)
- 受影响用户(损失)
- 复现率(概率)
- 漏洞可利用性(概率)
- 漏洞发现难易度,可发现性(概率)
风险矩阵/风险热图
供应链风险管理
SCRM Supply Chain Risk Management
目标:确保所有供应商和环节都是可靠的。
重点:对供应商进行评估、持续监控和管理
SLR 与 SLA:
- SLR:服务级别需求
- SLA:服务等级协议,规定最低的安全要求
- SLR 产生 SLA
人员管理
1. 岗位描述和职责
- 确定岗位描述清单,比如角色和要执行的任务
- 日常的具体工作内容,访问其他资源的权限
2.人员筛选、调查和招聘
- 背景调查:减少风险、减少招聘成本、降低员工流通率
- 资质考核
3. 人员录用(onboarding)
- 签署雇佣协议
- 入职培训(认同企业文化可以减少离职率)
- 保密协议签署:保护公司敏感信息,入职时签署,离职重申
- 遵守 AUP(定义公司的安全标准,即哪些活动可接受,哪些不行)
- 为用户创建账号(Provision),并分配相应的访问权限
4. 员工监督
- 岗位轮换(防串通,防滥用)
- 交叉培训(A/B 角色)
- 员工评估:针对关键角色进行全面评估,针对其他员工抽查
- 审查员工,早期发现可能对安全造成风险的行为
- 不满的员工
- 强制休假(强制审查,一般表示有不好的行为发生)
5. 离职
- 禁用、删除用户账号
- 撤销证书
- 取消访问代码权限
- 解雇过程需要安全部门和 HR 参与,尊重员工的同时降低风险,离职面谈需要重申之前签署的安全协议
第三方人员管理
- 签署 SLA,SLA 需要包含安全改进相关的内容(保密相关仍然需要签署 NDA,SLA 不能满足)
- 使用 VMS 供应商管理系统
合规策略
在人员层面,合规=员工是否遵循公司的策略。
合规是一种行政或管理形式的安全控制。
隐私策略
隐私内容包含:
- 未授权访问个人可识别信息(PII),例如电话号、地址、IP 等
- 未经授权的个人机密信息访问
- 未经同意的监视
要遵照法律要求保护和存储隐私数据:
- HIPAA 健康保险流通与责任法案
- SOX 萨班斯-奥克斯利法案
- FERPA 家庭教育权利和隐私法案:学生相关的数据
- GDRP 通用数据保护条例
风险管理 - 关注资产
风险管理的目标:将风险降至可接受的水平。
绝对安全的环境是不存在的,需要平衡收益/成本,安全性/可用性。
风险来自很多方面,可能是非 IT 的灾难,比如自然灾害等。
风险管理包含两大部分:
- 风险评估/风险分析:基于价值/性质分析每个系统的风险
- 风险响应:使用成本/收益的方式评估风险控制措施
风险相关的术语解释
-
资产:可以是业务流程或者使用到的任何事物,可以是有形的也可以是无形的
-
资产估值 AV:资产对应的货币价值,综合重要性、使用情况、成本、支出等元素得出
-
威胁:可能导致资产破坏、变更、泄露等的行为
-
威胁主体:主体利用威胁来危害目标
-
威胁事件:对脆弱性的意外和有意利用
-
威胁向量(Threat Vector):攻击者为了伤害目标而使用的路径和手段,比如 Wifi、物理访问、社会工程学等
-
脆弱性:资产中的弱点,使威胁能够造成损害的缺陷、漏洞、疏忽,可以是技术上的,也可以是管理逻辑上的
-
暴露:资产丢失暴露的可能性
-
风险:
- 风险=威胁*脆弱性
- 风险=损害的可能性*损害的严重程度
-
攻击:威胁主体进行的脆弱性利用尝试
-
破坏:成功的攻击
1. 风险分析
风险分析的目标是:确保只部署具有成本效益的措施。
定性风险分析 - 基于定性的更容易分析
基于分级来进行。基于场景,而非计算,依赖经验和判断。
-
场景:针对单个威胁的描述
- 通常比较概要,限制在一页纸,方便参与的人分配等级
- 威胁如何产生
- 对组织带来的影响
- 可能的防护措施
-
Delphi 技术:匿名的反馈和响应
- 对于每个反馈,参与者通过数字消息匿名写下反馈,最后汇总给风险分析小组,重复这个过程直至达成共识
定量风险分析
几个关键词:
- AV 资产价值
- EF 暴露因子:潜在的损失,EF 仅表示单个风险发生时对整体资产价值造成的损失(比如硬件故障带来的损失),以百分比计算
- SLE 单一损失期望(Single Loss Expectancy):SLE = AV * EF
- ARO 年发生率
- ALE 年度损失期望
ALE = ARO * SLE = ARO * AV * EF
定性分析和定量分析的对比
| 特征 | 定性分析 | 定量分析 |
|---|---|---|
| 使用数学计算 | 否 | 是 |
| 使用成本/收益分析 | 可能 | 是 |
| 需要估算 | 是 | 有时 |
| 支持自动化 | 否 | 是 |
| 涉及大量信息 | 否 | 是 |
| 客观的 | 较少 | 较多 |
| 依赖于专家意见 | 是 | 否 |
| 耗费的时间 | 一般 | 多 |
| 提供有用的意义和结果 | 是 | 是 |
2. 风险响应
风险响应的形式:
- 风险缓解:最常用,通过实施防护措施、安全控制来减少脆弱性,阻止威胁。比如加密和防火墙
- 风险转让:购买服务、保险等。可以转让风险,但无法转移责任
- 风险威慑:比如实施审计、监控、警告 banner、安保人员等
- 风险规避(risk avoidance):灾难避免,比如关闭重要系统以降低安全风险
- 风险接受:可以接受安全风险,通常意味着保护成本>资产价值
- 风险拒绝:不接受但是可能发生,不应该有
残余风险处理(除已经防护的,剩下的风险):
- 定期进行评估
风险控制的成本和效益
几个关键词:
- ACS ( annual cost of the safeguard)年度防护成本
- ALE 年度损失期望
- 实施措施前的 ALE
- 实施措施后的 ALE
防护措施对公司的价值=实施措施前的 ALE-实施措施后的 ALE-ACS
安全控制分类
按照方式:
- 管理行政类:数据分类、背景调查、工作说明书、审查、监督、培训
- 技术/逻辑类:IPS、防火墙、IAM、加密
- 物理类:门禁、锁、保安、看门狗、围栏、物理环境入侵检测等
按照作用:
-
预防性控制:部署预防控制以阻止非预期的或未经授权的活动发生,身份认证、门禁、报警系统、岗位轮换、IPS、培训等
-
威慑控制:锁、保安等,可能和预防性的重叠
-
检测控制:保安、IPS 、审查
-
补偿控制:另一种控制手段的补充或增强,比如主要手段是防止删除,补偿手段是存在备份可恢复
-
纠正:例如杀毒、阻止入侵行为、备份恢复等,将环境从非预期的活动中进行恢复
- 恢复性控制:纠正的扩展,不像纠正是单一的行为,恢复性可能更复杂,安全策略被破坏后,恢复控制尝试修复或恢复资源、功能和能力
-
指令式/指示控制:比如通知、公司标准等,强制或鼓励主体遵守安全策略
安全控制评估 SCA
Security Control Assessment
根据基线或可靠性期望对安全机制的正式评估。可作为渗透测试报告的补充。
目的:确保安全机制的有效性。评估组织风险管理过程中的质量和彻底性,生成已部署安全措施的优缺点报告。
对应的标准为 NIST SP 800-53 Rev5,信息系统和组织的安全和隐私控制。
风险管理成熟度模型 RMM
Risk Maturity Model
RMM 5 个级别:
- 初始级 (ad hoc):混乱的状态
- 预备级(Preliminary):初步尝试遵守风险管理流程,但是每个部门执行的风险评估不同
- 定义级(Defined):在整个组织内使用标准的风险框架
- 集成级(Integrated):风险管理集成到了业务流程中,风险是业务战略决策中的要素
- 优化级(Optimized):侧重于实现目标,而不是被动响应
风险管理框架 RMF
Risk Management Framework,被 NIST SP 800-37 Rev2 定义。
风险框架用于评估、解决和监控风险的指南或方法。
1+6个循环的阶段:先进行准备,准备上下文和优先级(优先处理哪些系统)
- 分类:根据对损失影响的分析,对信息及系统进行分类
- 选择:选择合适的控制手段,可以将风险降到可接受水平
- 实施:实施上面描述的控制
- 评估:确保控制实施到位(也就是检查)
- 授权:在确定风险可接受的基础上,授权上线(类似于认可)
- 监控:持续监控系统,保证控制的有效性
安全培训 SAET
Security Awareness, Education, and Training Program
意识
- 建立对安全认知的最小化通用标准或基础
- 教学、视频、海报、媒体等
培训
- 培训是指教导员工执行他们的工作任务和遵守安全策略
- 定期的培训,加强人员安全意识
- 最好是强制的培训
教育
- 教育是一项更详细的上作,用户学习的内容比他们完成其工作任务实际需要知道的内容多得多
- 教育可能是获取资格认证的培训,或者和晋升相关的教育
改进
- 培训完成后需要做的
- 制定改进计划、下一步计划
有效性评估
- 考试
- 审查事件日志,了解违规发生率
业务连续性计划 BCP
**BCP 和业务中断有关。**关注上层,以业务流程和运营为主。
**DRP 容灾恢复计划 - 和数据恢复有关。**更具细节,描述站点恢复、备份和容错等技术。
BCP 四个阶段:
- 项目范围和计划
- 业务影响分析 BIA
- 连续性计划
- 计划批准和实施
1. 项目范围和计划
- 首要职责,组织分析:了解部门职责
- 选择 BCP 团队:包括业务、法务、IT、安全、公关、财务、高层代表等
- 资源需求:有人员需求和财务需求(购买软硬件)
- 法律和法规要求
2. 业务影响分析 BIA
目的:识别关键业务功能及这些功能相关的 IT 资源,分析中断的影响。
支持定量分析和定性分析,BCP 通常喜欢使用定量分析,从而忽略定性分析,BCP 团队应该对影响 BCP 过程的因素进行定性分析。
1, 确定优先级
定量分析:
- 确定资产价值 AV
- 确定 MTD 最大容忍中断时间
- RTO 应该始终小于 MTD(MTD = RTO + 业务确认的时间 WRT)
2, 风险识别
识别自然风险和人为风险:
- 暴雨、累计、地震、火山、流行病等
- 恐怖袭击、火灾、互联网终端等
3, 可能性评估
确定每种可能性发生的概率,确定 ARO 年发生率。
4, 影响分析
年损失期望 ALE
ALE = SLE *ARO = AV * EF * ARO
5, 资源优先级排序
3. 连续性计划
-
策略开发:
- 目标、范围、需求
- 基本的原则和指导方针
- 职责
-
预备和处理:
- 制定具体的流程和机制来减轻风险
- 人员优先
- 建筑设施的保护,比如加固,或者备用站点
- Infra 保护,包括冗余设施,物理性的加固(UPS 及防火等)
4. 计划批准和实施
- 计划批准:计划得到上层的认可,展示业务领导对于业务连续性的承诺,在其他人员眼中更具重要性和可信度
- 计划实施:
- 培训和教育:培训的目的是让相关的人熟悉其职责,以及操作步骤
5. BCP 文档
- 文档化可以防止执行时偏离
- 文档包含重要性声明
- 优先级声明
- 组织职责声明:重申组织对业务连续性计划的承诺
- 紧急程度和时间限制要求(时间表)
- 风险评估的内容
- 风险接受、风险缓解的内容,比如哪些风险可接受,哪些风险不可接受需要采取缓解措施
- 重要记录:标识
- 应急响应指南
- 定期维护
- 测试和演练
法律法规
知识产权 IP - 保护创作者
保护创作者,软件属于知识产权。
作品在创作的那一刻即拥有版权。
仅有源代码属于知识产权,代码使用的逻辑不属于知识产权。
《数字千年版权法》DMCA
受保护的类型:
- 文学作品(计算机软件属于此分类)
- 音乐作品
- 戏剧作品
- 哑剧和舞蹈作品
- 绘画、图形、雕刻作品
- 电影和其他音响作品
- 声音录音
- 建筑作品
版权的保护期:
- 单个或多个作者:最后一位作者去世后 70 年内
- 因受雇而创作的作品:作品第一次发表 95 年,或者创建之日起 120 年,其中较短的一个
数字化相关:
- 针对 DVD 等违权最高判处 100w 美元和 10 年监禁
- 使用 ISP 线路违权时,ISP 承担责任。但是对于用户的临时性活动不负责(比如临时发送一些东西,不知道目标人)
商标
商标不需要注册即拥有版权。
目的:
- 辨识公司及公司的服务和产品
- 避免市场混乱
专利 - 保护作品
保护发明者的知识产权。自首次申请发明起,有 20 年有效期,发明者有该发明的独家使用权利。过期后即可允许任何人使用,比如 PGP 使用的 IDEA 算法。
三个重点要求:
- 发明具有新颖性
- 发明具有实用性
- 发明具有创造性
商业秘密
对于公司很重要的知识产权,不能外泄。
通常公司自己持有,不做专利保护,严格限制访问,加密存储。
隐私法案
个人数据的使用原则:
- 收集个人数据需要征得主体的同意,并告知用途
- 只收集和用途有关的数据
- 只在用途所需期限内使用和保存
第四修正案
保护公民隐私,防止未授权的搜查、窃听。
1974 隐私法案 - 仅适合联邦政府
限制联邦政府机构在没有事先得到当事人书面同意的情况下向其他人或机构透露隐私信息的能力。
电子通信隐私法 ECPA
Electronic Communications Privacy Act
适用于非法窃听、非授权访问电子数据的行为。
针对手机的窃听,处以最多 500 美元和 5 年监禁。
通信执法协助法案 CALEA
Communications Assistance for Law Enforcement Act
修正了 ECPA,允许在法院同意的情况下由执法人员进行窃听。
经济间谍法案
Economic Espionage Act
任何窃取专有信息(Confidential、Property)的行为视为间谍行为。
GDPR 通用数据保护条例
GDPR 用于替换之前颁布的 DPD。
GDPR 的一些主要规则:
- 合法、公平、透明:必须对数据处理活动保持公开和诚实的态度
- 目的限制:必须清楚记录和披露使用数据的目的,而且按照披露来使用数据
- 数据最小化:确保处理的数据可以满足既定目的,并且仅限于你使用这些数据
- 准确性
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
645
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
