【CISSP备考】Week1 第1 2章 一周小结

前言

今天是2024年1月28日，距离我上次更新已经有一个礼拜了。太久空着不写东西也不行，最近有备考CISSP的想法，就记录一下这周一刷OSG这本留下的一些笔记吧。

这周总共才看了两章内容。第一章在工作日花了2天时间看完并做了课后习题，第二章用了一个下午看完并做了课后习题。

第一章 实现安全治理的原则和策略

常见的安全评估类型：风险评估，漏洞评估，渗透测试

安全基础架构的目标：CIA，也通常是风险评估的目标

CIA:保证读就是C，避免修改就是I。A需要CI支撑

1.2.3讲解了什么是CIA，如何维持CIA以及可能威胁CIA的因素，还有防止威胁CIA因素的方法

1.2.4讲解了除CIA外，其它安全相关的概念和因素，包括DAD三元组，过度保护，真实性，不可否认性，3A（4A）服务。着重介绍了3A服务的含义和组成因素

1.2.5讲解了四种常见的保护机制示例及其含义和理解，包括纵深防御，抽象，数据隐藏，加密

1.3讲解了安全边界，安全边界划分形式多样包括物理边界和逻辑边界

1.4讲解了安全治理，他指的是所有级别的安全，最好由董事会进行组织和执行。安全框架指南NIST

1.4.1讲解了安全治理，提到的第三方治理是指强制外部监督系统对组织的监督。现场评估COBIT审计协议

1.4.2讲解了文件审查，他与现场审查并列，现场审查需要完整充分的文件审查，如果不充分，现场审查可能被推迟。审查结果最终影响操作授权ATO

1.5讲解了安全功能（安全管理），他是指安全治理的具体要求。推动安全功能的最直接手段是风险评估，安全功能的衡量必须是量化的和可测量的

1.5.1讲解了安全业务场景和预算稀缺。最有效的安全管理是自上而下而不是自下而上。另外安全管理是有管理层发起的，而无关技术人员。另外要搞清楚职位关系：CIO是信息官老大，CISO首席信息安全官是其下属，有时候CISO就是首席安全官CSO，但是如果有CSO的话，它是CISO的下属。与CSO等同的术语叫信息安全官ISO，ISO也可能就是CISO，但也可能是它下属。安全管理计划的几个方面，和制定三类计划。

1.5.2讲解了组织的流程，强调了安全治理是各个方面的，任何商业行为和管理行为都有可能造成数据泄露。还提到了外包相关协议SLA和SLR

1.5.3讲解了安全角色，几个角色必须要会分辨

1.5.4讲解了安全控制框架，尤其是COBIT框架和它的六个关键原则，以及其它框架背景

1.5.5讲解了应尽关心和尽职审查。他们含义分别是，制定策略和运营实施

1.6讲解了维护安全业务就是按照组织架构生成各种策略、程序、指南的文档并开发出相应安全设施

1.6.1讲解了安全策略的概念，它是组织的最高层文件。安全策略有很多类型。接受了的安全策略是一切活动的基础

1.6.2讲解了安全标准、基线和指南。在安全策略的基础上编制这些文档，标准是对方法的一致性要求，基线是一种最低要求的标准不满足不可上线，指南是标准和基线的说明

1.6.3讲解了安全程序（规程）SOP，它是分步执行的标准，用于确保业务一致、标准的完成

1.7讲解了威胁建模。建模应该在设计早期就开始，开发时期集成的防御式威胁建模性价比更高，是一种主动式的威胁建模；开发完成后仍然需要被动式威胁建模，通过对抗性方法，比如利用SRC等方式，但这会导致发布补丁降低用户和功能体验

1.7.1讲解了识别威胁。识别威胁要求关注 有价值的资产、潜在的攻击者和软件的脆弱点。识别威胁方法很多，包括微软提出的STRIDE和PASTA等。识别威胁是第一步

1.7.2讲解了下一步，绘制潜在分析。通过元素图表绘制系统中主要组件、安全边界和数据流动，并且思考对每个环节的攻击。

1.7.3讲解了执行简化分析，含义是把目标分解成更小的单元，无论他是软件、网络还是业务，分解成子元素后将更加了解，更容易找到脆弱点。还提出了五个关键概念。如果在这个过程中发现了脆弱点，就要进行完整的记录

1.7.4讲解了优先级排序和响应。要求对上一步的脆弱点文档进行权重评估。可以使用 概率*潜在损失，高中低组成的风险矩阵，DREAD等方法

在此之后，按照威胁排序，进行响应构思

1.8讲解了供应链安全的重要，需要信赖的供应链，但是很难解决供应链威胁。再次提到了SLA（外包协议）和在其之前的SLR(服务期望说明）

1.9做出了总结。本章主要讲到了安全治理1.4、安全管理1.5和安全原则1.2，它们是安全策略1.6的核心内容。它们定义了实现安全环境的基本参数和目标宗旨，目标宗旨就是实现CIA。基本参数包括策略，标准，基线，指南和程序这些设计元素。安全策略的具体实施包括1.2.5中的方法。安全角色的分类。还讲到了威胁建模的方法和供应链安全的内容。

1.10说明了考试要点。列的很清楚，不做赘述。

第二章 人员安全和风险管理

2.1讲解了人员是安全里的脆弱环节，任何环节都会涉及人员，但是通过激励和培训也可以解决人员安全问题。

2.1.1讲解了岗位描述和岗位职责。岗位描述定义员工的角色，角色需要与权限一致。岗位描述决定了岗位职责。我们需要在整个生命周期进行维护，而不是只在招聘时。根据职责需要不同权限，因此岗位职责清单为访问权限提供了知道。

2.1.2讲解了背调和面试的重要性和流程

2.1.3讲解了员工入职后签署协议的重要性。以及雇佣协议AUP，保密协议NDA的含义。员工账户IAM系统

2.1.4讲解了监督员工的重要性，防止员工拥有过多特权而产生威胁。手段有强制休假，职责分离，岗位轮换和交叉培训，这些方法还可以降低员工串通的发生。敏感岗位要对员工定期重新背调和特定检查，包括UBA和UEBA(监控和背调策略）。

2.1.5讲解了员工解雇的风险和需要注意的事项。解雇需要删除员工的权限和身份，并且留档。同时安抚员工的情绪，在执行过程中要有高级经理和安保人员在场。在解雇员工前不能让员工有预感，并在解雇后迅速回收账号，物品和权限并在安保人员护送下离开公司。

2.1.6讲解了多方参与项目时存在风险，必须建立风险管控机制。SLA是一个绝对好的选择。外包可以转移风险但也能引入风险。可以使用VMS系统管理供应商。

2.1.7讲解了管理要合法合规，员工工作也要保持公司规定

2.1.8讲解了隐私策略的含义，包括什么是隐私，PII个人身份信息的概念，以及获取员工隐私的道德思考和法律规定。隐私问题是必须被考虑的。

2.2讲解了风险管理（风险控制），指识别风险因素并采取措施。风险评估和风险分析是指通关发生可能性和发生后果计算风险控制成本。风险响应是是指通过各种方式评估并向上级给出响应策略。风险意识是在风险管理中提高员工素质

2.2.1讲解了风险术语，着重理解含义。以及风险评估的两个起点方法

2.2.2讲解了资产评估（以资产为起点的风险评估）的注意事项和评价方法以及作用。包括资产，资产估值，威胁，威胁代理/主体，威胁事件，威胁向量，脆弱性，暴露，风险，防护措施，攻击，破坏

2.2.3讲解了识别威胁和脆弱性（以威胁为起点的风险评估）的一些理解以及风险评估顾问的概念

2.2.4讲解了风险评估的负责人角色，以及风险因人而异，不可能被消除，只是成本问题。提出了定性和定量两种风险评估理念，分别是基于货币价值和非货币价值的。并分别给出了方法介绍，包括定性的Delphi（匿名共识：匿名反馈匿名收集，然后再重复，直到共识）以及场景的设计和人数越多越好；定量的几个公式 AV EF SLE ARO ALE之间的关联。在进行ALE计算后还需要对结果排序。两种方法都很重要。

2.2.5讲解了风险评估之后的风险响应，不同组织有不同响应方式，主要有几个方法：缓解、转让、威慑、规避、接受、拒绝。以及残值风险和总风险的计算公式（结合之前的风险术语公式）

2.2.6讲解了安全控制和成本-收益分析，安全控制可以降低ARO也可以降低EF，但都有效，采取安全控制措施的成本叫ACS，并提出了公式来确定成本-收益=ALE前-ALE后-ACS。另外成本-收益也不是采取安全控制的唯一理由，也包括IT，产品，政治，法律，市场等等因素

2.2.7讲解了实施安全控制时要考虑的因素和注意事项和原则。安全事件要有业务支撑。资产-管理-逻辑-物理三层纵深防御

2.2.8讲解了安全控制类型。包括，预防控制，威慑控制，检测控制，补偿控制，纠正控制，恢复控制，指示控制。以及需要了解这些控制的具体示例和含义内容（3+3+1)

2.2.9讲解了安全控制评估SCA，该评估基于基线和可靠性期望，是一份对目前安全基础设施优缺点的报告。

2.2.10讲解了安全控制和测量的重要性，强调没有提供量化就没有提供任何安全。一定要在控制前后进行监视和记录，才能准确衡量收益。

2.2.11讲解了风险报告和文档，这是在风险分析结束后编制、提交的风险报告，有些风险报告需要公之于众。风险登记册或风险日志是一份风险清单，里面列出了已识别的风险、优先级、响应措施和改进进度

2.2.12讲解了风险方案改进计划。风险成熟度模型RMM（五级）和企业风险管理ERM，以及容易被忽略的遗留设备风险EOL、EOSL和EOS

2.2.13讲解了风险框架，主要介绍了CSP规定，RMF框架，ISO/IEC 31000系列。其中重点讲解了RMF，由NIST创建的，包括准备、分类、选择、实施、评估和授权六个环节，并重复执行，建立安全的过程

除此之外还有其它的框架COSO,ISACA-IT,OCTAVE,FAIR,TARA

2.3讲解了社会工程学的概念。社会工程学利用人性，通关欺诈或说服的，以未授权的方式获得泄露信息或者获得原本安全的逻辑、物理环境的访问权限。以及一些攻击和防御的具体措施，其中最重要的是教育和培训意识

2.3.1讲解了社会工程学的心理学原理，攻击者中招很有可能是因为，对顺从（自称）权威，被恐吓，共识（从众心理），稀缺性（类似饥饿营销和倒计时抢购），熟悉（自称朋友），信任（和诈骗类似，不一定要是朋友），紧迫性（短时间要求快速反应容易失去判断力）

2.3.2讲解了获取信息的活动，社会工程学通关收集信息来形成借口或者虚假故事，进一步获取信息和编造更多故事

2.3.3讲解了前置词，一般是一个术语或者表达式、短语，用于证明其合规性

2.3.4讲解了网络钓鱼，一般是通关电子邮件，获取回复，诱导链接和恶意软件

2.3.5讲解了鱼叉式网络钓鱼，一般是利用被盗的账户发送更受信任的网络钓鱼。精心设计针对用户群体，一般是针对CEO或者财务部门，也可叫做BEC。BEC一般会有预付账单或发票、临时变更流程，紧急购买产品等因素。

2.3.6讲解了网络钓鲸，这和鱼叉式网络钓鱼类似，只是更强调目标是高价值人员

2.3.7讲解了短信钓鱼，短信钓鱼有可能诱导电话行为。有时候也不仅仅是SMS，也可以包括互联网媒体

2.3.8讲解了语音钓鱼，通过电话和语音系统的钓鱼

2.3.9讲解了垃圾邮件，垃圾邮件可能会干扰工作和生活，也可能参杂恶意软件和内容。可以在电子邮件服务器或本地客户端安装反垃圾邮件软件，还包括一批企业级垃圾邮件防御工具SPF,DKIM,DMARC。垃圾邮件也可以是互联网媒体里的信息。

2.3.10讲解了肩窥，顾名思义就是偷看，从现实世界偷看密码和秘密

2.3.11讲解了发票欺骗，一般是针对财务部门用假发票骗取报销。与BEC结合，伪造CEO给财务开发票。为了防止发票诈骗，必须规范收发票的渠道和确认发票真伪的方法。职责分离：采购和开发票的人必须分开，还应该有第三个小组来审计。收购等行为都必须有主管管理。

2.3.12讲解了恶作剧。恶作剧不一定是骗钱，单纯是破坏为目的即可

2.3.13讲解了假冒和伪装，假冒比伪装更专业

2.3.14讲解了尾随和捎带和诱饵。尾随就是跟着合法人员偷偷进门，捎带则是与合法人员交互并让其它人以为自己是合法人员（电影里面经常出现）。诱饵是将有害物品放在某个显眼位置，期待某人触发里面的恶意程序

2.3.15讲解了垃圾箱搜寻，通过翻垃圾箱和废旧记录，找到有价值的文件

2.3.16讲解了身份欺诈（身份盗窃），通过获取某个身份的凭证而假冒成这个身份

2.3.17讲解了误植域名和URL劫持和点击劫持。比如抢注域名误导，通关广告引导到恶意网站（URL劫持），利用脚本和篡改网页使点击者点击隐藏按钮（点击劫持）

2.3.18讲解了影响力运动，利用公众舆论发起的虚假信息，鼓动假新闻，等有思想和形态的攻击。这很容易上升国家层面，员工很可能在互联网信息中被迷惑，或者在社交媒体无意地透露一些机密信息

2.4讲解了安全意识，培训，教育和改进。他们程度逐步提升，意识针对所有员工，培训针对职业群体员工，教育更详细一般是关注员工比如晋升

2.4.1-2.4.4

2.4.5讲解了对安全教育的评估，强调安全教育不能过失要不断创新和更新，以及要对员工进行测试，并且考察员工失职情况来改进教育能力

关注我的公众号“闪客未来”解锁更多信息