构建安全评估和测试方案
安全测试
安全测试时验证某项控制措施是否正常运行,包括自动化扫描,工具辅助的渗透测试,试图破坏安全的手动测试
在安排安全控制措施时信息安全管理者主要考虑以下因素
安全测试资源的可用性
待测控制措施所保护系统及应用程序的重要性
待测系统及应用程序所包含信息的敏感性
执行控制措施的机制出现技术故障的可能性
关乎安全的控制措施出现错误配置的可能性
系统可能遭受攻击的风险
控制措施配置变更的频率
技术环境下可能影响控制措施性能的其他变更
执行控制措施的难度及时间
测试对正常业务操作造成的影响
安全评估
安全评估时对系统、应用程序或其他待测环境的安全性进行全面审查。经过训练的信息安全专业人员进行风险评估、识别出可能造成危害的安全漏洞、并且根据需要提出修复建议。
NST评估包括四个部分:
1、规范:包括政策、规程、要求、详细及设计
2、机制是信息系统中用于满足规范的控制措施,机制可以基于硬件软件或者固件
3、人员是执行规范、机制及活动的人员
4、活动是在信息系统中用于满足规范的控制措施、这些行动可能包括执行备份、导出日志文件或审查账户历史记录
安全审计
安全评估期间、安全审计虽然遵循许多相同技术,但是必须由独立审核员执行。审计时为了向第三方证明控制措施有效性而进行的评估,为组织设计、实施和监控控制措施的员工存在内在的利益冲突。
审计员为组织的安全控制状态提供一种客观中立的视角。审计报告和评估报告非常类似,但是适用于不同的受众,可能包括组织的董事会,政府监管机构和其他第三方。
审核主要有:内部审计、外部审计、第三方审计
1、内部审计:
内部审计是由组织内部审计人员执行,通常适用于组织内部。内部审计人员在执行内部审计时,通常完全独立于所评估的职能
2、外部审计:
外部审计通常由外部审计公司执行。安永。德勤、普华永道、毕马威
3、第三方审计:
第三方审计时由另一个组织或者以另一个组织的名义进行的审计,比如监管机构可依据合同或者法律对被监管公司进行审计
SSAE16认证业务第16号声明:
1类报告:描述了被审计组织提供的控制措施,以及审计员基于该描述所形成的意见。
2类报告:至少覆盖6个月的时间,还包括审计员根据实际测试结果对这些控制措施的有效性所形成的意见
通常2类报告比1类报告更可靠
审计标准:在进行审计或者评估时,审计团队应该明确评估组织所采用的标准,标准描述了需要满足的控制目标,审计或评估的目的就是确保组织正确实施控制措施来实现这些目标。
COBIT:描述了组织围绕其信息系统所应具备的通用要求
ISO 27001:描述了建立信息安全管理系统的标准方法
开展漏洞评估:
漏洞描述:
NIST为安全社区提供安全内容自动化协议(SCAP),SCAP是提供讨论的通用框架,也促进不同安全系统之间交互的自动化,SCAP组件包括:
1、通用漏洞披露:(CVE)提供一个描述安全漏洞的命名系统
2、通用漏洞评分系统(CVSS):提供一个描述安全漏洞严重性的标准化评分系统
3、通用配置枚举(CCE):提供一个系统配置问题的命名系统
4、可扩展配置检查表描述格式(XCCDF):提供一种描述安全检查表的语言
5、开放漏洞评估语言(OVAL):提供一种描述安全测试过程的语言
网络发现扫描:TCP SYN扫描、TCP Connect扫描、TCP ACK扫描、Xmas扫描
网络漏洞扫描
web应用漏洞扫描
数据库漏洞扫描
漏洞管理工作流程:检测、验证、修复
渗透测试
渗透测试实际上是在尝试攻击系统、所以渗透测试比漏洞探测技术更进一步
渗透测试过程通常包含以下几个方面:
1、规划阶段:包括测试范围和规则的协议
2、信息收集和发现阶段结合人工和自动化工具来收集目标环境的信息
3、漏洞扫描阶段:探测系统脆弱点
4、漏洞利用阶段:试图利用人工和自动化漏洞利用工具来尝试突破系统安全防线
5、报告总结阶段渗透测试测试结果、并提出改进系统安全的建议
测试软件:
代码审查:规划、概述、准备、审查、返工、追查
静态测试、动态测试、模糊测试(突变模糊测试:从软件实际操作获取输入值、然后操纵输入值来生产模糊输入,预生成模糊测试:设计数据模型、基于对软件所用数据类型的理解创建新的模糊输入)
接口测试:应用编程接口、用户界面(接口测试应该审查所有用户界面、以验证用户界面是否正常工作)、物理接口:存在于操作机械装置,逻辑控制器或其他物理设备的一些应用程序
误用例测试
测试覆盖率分析:
测试覆盖率=已测用例的数量/全部用例的数量
测试覆盖率五个常见标准:
1、分支覆盖率
2、条件覆盖率
3、函数覆盖率
4、循环覆盖率
5、语句覆盖率
网站监测:被动监测、综合监测
实施安全管理流程:
安全管理审查包括:日志审查、账户管理、备份验证、关键性能和风险指标
日志审查:SIME安全信息和事件管理
账户管理通用流程:
1、管理人员要求系统管理员提供具有特殊权限的用户列表以及特权
2、管理人员要求特权审批机构提供授权用户的列表及其分配的权限
3、管理人员对这两份清单进行比较
确保只有经过授权的用户才能保留对系统的访问权限、并且每个用户的访问权限都不应该超过其授权
关键绩效和风险指标:
遗留的漏洞数量、修复漏洞的时间、漏洞/缺陷重现、被盗用户账户的数量、在移植到生产环境前扫描过程中检测到软件缺陷数量、重复审计的结果、尝试访问已知恶意站点的用户