目录
Threats, Vulnerabilities, and Likelihood
简介
ISC2的网络安全认证(Certified in Cybersecurity,简称CC)(ISC2中文官方网站 | CC(Certified in Cybersecurity)认证 (isc2china.org))是一项专为网络安全领域的新手设计的入门级认证。这个认证旨在帮助那些希望在网络安全领域建立职业生涯的人,特别是对于没有直接IT经验但希望进入该领域的新人。以下是关于CC认证的一些关键信息
无门槛的入门通行证
不同于其他需要多年工作经验的高级认证,CC认证向所有人敞开大门。无论你是IT界的新手,还是希望转换跑道的职场人士,亦或是即将步入职场的大学毕业生,CC认证都是你较为合适的选择。
当然如果有能力,可以直接尝试更高阶的认证比如(CISA,CISSP)
学习笔记(持续更新)
Domain 1: Security Principles
Privacy
关键概念理解:
- 安全与隐私的区别:安全关注保护个人和敏感数据,而隐私更侧重于个人对信息控制的权利。
- 建议是具体且可执行的,旨在帮助组织提高信息安全管理,同时考虑到不同规模和类型的组织的需求。
欧盟的隐私立法案例:
- 欧盟通用数据保护条例(GDPR):2016年,欧盟通过了一项全面立法,将个人隐私视为一项基本人权。
实用建议:
- 持续教育:定期对员工进行隐私法规的培训和教育,确保他们理解最新的法律要求。
- 合规性审计:定期进行合规性审计,确保组织遵守所有适用的隐私和数据保护法律。
- 数据最小化:只收集和存储业务所必需的个人信息,减少数据泄露的风险。
- 数据保护措施:实施强大的数据加密和访问控制措施,保护个人和敏感数据不被未授权访问。
- 响应计划:制定数据泄露或其他安全事件的响应计划,以便快速采取行动,减少损害。
Threats, Vulnerabilities, and Likelihood
理解内容:
- 威胁(Threat):扒手在拥挤的旅游点对人群构成威胁。
- 脆弱性(Vulnerability):个体特征,如分心、显眼的财物或显得脆弱,可能增加成为扒手目标的可能性。
- 威胁行为者(Threat Actor):选择特定目标进行攻击的扒手。
- 威胁向量(Threat Vector):扒手用来接近和偷窃目标的具体方法和技巧。
- 可能性(Likelihood):基于个体的脆弱性,扒手选择目标的概率。
专业术语使用:
- 威胁(Threat):潜在的恶意行为或事件,可能损害资产。
- 脆弱性(Vulnerability):系统或过程中的弱点,可能被威胁利用。
- 威胁行为者(Threat Actor):实施威胁的个人或团体。
- 威胁向量(Threat Vector):威胁行为者用来攻击目标的手段。
在信息安全领域,通常存在以下逻辑关系:
-
威胁(Threat):首先存在一个威胁,即任何可能引起安全事件的因素或行为,比如恶意软件、黑客攻击等。
-
脆弱性(Vulnerability):威胁行为者(Threat Actor)会寻找系统中的脆弱性,即系统、网络或流程中的弱点或缺陷,这些弱点可以被利用来实施攻击。
-
利用脆弱性:如果威胁行为者发现了脆弱性,并且具备相应的威胁向量(Threat Vector),即实施攻击的手段或途径,他们就可能利用这些脆弱性。
-
导致问题发生:一旦脆弱性被威胁行为者利用,就可能导致安全事件发生,比如数据泄露、服务中断、财产损失等。
个人身份信息 (PII) 是一个术语,用于描述与其他数据结合使用时可显着缩小与更多个人关联的可能性的信息。
CIA 三原则威胁与风险管理
理解内容:
- CIA 三原则:保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。
-
密码共享(Confidentiality - 保密性):
- 例子:同事之间共享密码,如 Joe 给 Joanne 密码。
- 风险:违反了保密性原则,因为密码是保护账户访问的敏感信息。
-
恶意报复(Integrity - 完整性):
- 例子:Joanne 被解雇后,使用 Joe 的凭证恶意修改或删除文件。
- 风险:违反了完整性原则,因为数据被未授权地更改或破坏。
-
意外引入恶意软件(Integrity - 完整性):
- 例子:不当使用密码可能意外引入含有恶意软件的未授权软件。
- 风险:违反了完整性原则,因为恶意软件可能会破坏系统或数据。
-
自然灾害和设备维护(Availability - 可用性):
- 例子:长期停电导致备用发电机燃料耗尽或机械故障。
- 风险:违反了可用性原则,因为服务中断影响了信息系统的正常运行。
-
火灾和水灾(Confidentiality, Integrity, Availability - 保密性、完整性、可用性):
- 例子:不当的火灾或水灾防护措施可能破坏数字和模拟信息。
- 风险:同时违反了保密性、完整性和可用性原则,因为信息可能会丢失、被破坏或泄露。
Non-repudiation
理解内容:
- 非抵赖性(Non-repudiation):法律术语,指防止个人虚假否认执行特定行为的保护措施。
- 作用:确保能够确定特定个体是否执行了创建信息、批准信息或发送/接收消息等行为。
- 应用场景:电子商务和电子交易中,防止身份冒充或行为否认(例如,在线购物后否认购买行为)。
- 信任:非抵赖性方法确保所有参与者信任在线交易。
- 责任:确保个人对其进行的交易负责。
举例说明:
- 例子:假设张三在网上购买了一个软件许可证。通过非抵赖性措施,如数字签名,可以确保张三不能事后否认这次购买行为。非抵赖性(Non-repudiation)确保个人对其在线行为负责,增强电子交易的信任。
通过上述总结和解读,可以清晰地理解非抵赖性在信息安全中的重要性,并认识到其在电子商务和电子交易中的应用价值。这些措施有助于建立一个更加安全可靠的在线交易环境。
风险管理术语(Risk Management Terminology)
资产(Asset)
定义:需要保护的对象。 例子:公司内部的服务器、客户数据库、知识产权等。
漏洞(Vulnerability)
定义:保护措施中的缺陷或弱点。 例子:软件中的安全漏洞、不安全的通信协议、员工的安全意识不足。
威胁(Threat)
定义:企图利用漏洞来破坏保护措施的个体或因素。 例子:黑客攻击、恶意软件、内部人员的不当行为。
基于风险优先级的决策制定(Decision Making Based on Risk Priorities)
决策制定原则
组织必须评估风险的可能性和影响,以及对不同类型风险的容忍度。
风险评估要素
- 可能性(Likelihood):风险发生的概率。
- 影响(Impact):风险发生后对组织的影响。
- 风险容忍度(Risk Tolerance):组织对风险的接受程度。
地域性风险示例
- 夏威夷公司(Hawaiian Company):更关注火山爆发的风险。
- 芝加哥公司(Chicago Company):需要为暴风雪制定计划。
风险容忍度的决定
- 高层管理(Executive Management) 和 董事会(Board of Directors) 负责确定风险容忍度。
风险接受的后果
- 忽视或接受风险(Ignoring or Accepting Risk):例如,暴露工人于石棉,可能导致公司承担巨大责任。
决策制定
- 基于风险优先级的决策制定需要综合考虑风险的可能性、影响和组织的容忍度,以制定合适的风险管理策略。
风险识别 (Risk Identification)
风险识别的定义 (Definition)
风险识别是识别和评估可能对组织造成损害的潜在风险的过程。
风险识别的方法 (Methods)
- 日常观察 (Observation):就像在街上注意交通和水坑一样,注意工作环境中的潜在风险,如松散的电线或地面上的水。
- 深入挖掘 (In-depth Exploration):安全专业人员需要深入挖掘,寻找可能的问题。
风险识别的关键点 (Key Points)
- 清晰沟通 (Clear Communication):识别风险后,要清晰地传达这些风险。
- 全员参与 (All-level Involvement):组织内所有级别的员工都有责任识别风险。
- 保护措施 (Protection Measures):识别风险的目的是为了采取保护措施。
安全专业人员的角色 (Role of Security Professionals)
- 系统级风险评估 (System-level Risk Assessment):专注于流程、控制、监控或事件响应和恢复。
- 帮助填补规划空白 (Helping Fill Planning Gaps):在缺乏风险管理和缓解计划的小型组织中,安全专业人员有机会帮助填补这一规划空白。
网络风险识别 (Cyber Risk Identification)
- 持续过程 (Ongoing Process):在网络领域,风险识别不是一个一次性的活动,而是一个不断识别、描述并估计风险潜在破坏性的循环过程。
- 组织分析 (Organizational Analysis):需要分析组织的独特情况,包括其战略、战术和运营计划。
Theoretical Example: Code of Ethics
Proving Identity
Domain 1: Security Principles Importance of Risk Management
CIA in the Real World
Risk Tolerance Drives Decision Making
认证 (Authentication)
认证是验证用户身份的过程,确保他们是其声称身份的合法所有者。这个过程是信息安全中的关键步骤,用以证明请求者的身份。
认证的三种常见方法
- 知识因素 (Something You Know):密码 (Passwords) 或口令短语 (passphrases) 是用户所知晓的信息。
- 拥有因素 (Something You Have):令牌 (Tokens)、存储卡 (memory cards)、智能卡 (smart cards) 等用户所持有的物品。
- 生物特征 (Something You Are):生物识别技术 (Biometrics),如指纹、面部识别、虹膜扫描等,这些是可测量的个人特征。
保密性 (Confidentiality)
保密性是指保护信息不被未授权的披露或访问。它是信息安全中的一个基本原则,确保敏感信息的安全性和隐私性。
治理要素 (Governance Elements)
组织目标
任何企业或组织都存在一个目的,无论是提供原材料、制造设备、开发软件应用、建造建筑还是提供商品和服务。为了实现目标,需要做出决策、定义规则和实践,并制定政策和程序来指导组织。
治理结构
领导者和管理团队实施组织为实现其目标所使用的系统和结构时,他们遵循由政府制定的法律和法规,这些法律和法规用于实施公共政策。
法规、标准、政策和程序的关系
- 程序 (Procedures):支持部门或组织政策的完成任务的详细步骤。
- 政策 (Policies):由组织治理机构(如高层管理)制定,为所有活动提供指导,确保组织支持行业标准和法规。
- 标准 (Standards):通常由治理团队使用,为引入支持法规的政策和程序提供框架。
- 法规 (Regulations):通常以法律形式发布,通常来自政府(不应与治理混淆),通常对不遵守规定的行为施加财务处罚。
法规与法律 (Regulations and Laws)
定义与影响
- 法规 (Regulations) 和 法律 (Laws) 可以由国家、地区或地方政府层级施加,并伴有罚款和处罚。
政策 (Policy) 与法规(Regulations) 的关系
- 政策是基于适用的法律制定的,指定组织将遵循的标准和指南。
- 政策是宽泛而非详细的,它建立背景、战略方向和优先级。
- 治理政策 (Governance policies) 用于调节和控制决策过程,确保必要时的合规性,并指导其他政策的创建和实施。
政策的层级与实施
- 政策通常在组织的多个层级上制定。
- 高层治理政策由高级执行官使用,以塑造和控制决策过程。
- 其他高层政策指导整个组织的行为和活动,以实现目标和目的。
- 特定功能领域(如人力资源管理、财务和会计、安全和资产保护)通常有各自的政策集合。
程序 (Procedures) 的重要性
- 程序是执行政策的具体、可重复的活动,提供完成任务所需的支持数据、决策标准或其他明确知识。
- 程序可以针对一次性或不频繁的行动,或常规出现的情况。
- 程序还建立衡量标准和方法,以确定任务是否成功完成。
- 适当记录程序并对人员进行培训,以了解如何查找和遵循程序,是实现程序最大组织效益的必要条件。
标准 (Standards)
标准的作用
组织在其信息系统安全计划中使用多个标准,既作为合规文件,也作为咨询或指导方针。标准涵盖广泛的议题和理念,并可能提供保证,表明组织正在以支持法规和广泛接受的最佳实践的政策和程序运作。
政策 (Policies)
政策的定义与作用
- 政策 (Policy) 是由适用的法律指导的,指定组织将遵循的标准和指南。
- 政策是宽泛的而不是详细的,它建立背景、战略方向和优先级。
政策的层次与应用
- 治理政策 (Governance policies) 用于调节和控制决策过程,确保必要时的合规性,并指导其他政策的创建和实施。
- 高层治理政策由高级执行官使用,以塑造和控制决策过程。
- 其他高层政策指导整个组织的行为和活动,以实现目标和目的。
特定功能领域的政策
- 特定功能领域,如人力资源管理 (Human Resources Management)、财务和会计 (Finance and Accounting)、安全和资产保护 (Security and Asset Protection),通常有各自的政策集合。
合规性需求
- 法律、法规或合同的合规性需求可能也要求制定特定的高层政策,这些政策需要被记录并评估其有效性。
政策的实施
- 政策由人员执行;为此,需要将政策从意图和方向的声明扩展为逐步的指导,即程序 (Procedures)。
程序 (Procedures)
程序的定义与重要性
- 程序 (Procedures) 是明确定义的、可重复的活动,用于完成特定任务或一系列任务。
- 程序提供了执行每个任务所需的支持数据、决策标准或其他明确的知识。
程序的应用范围
- 程序可以涵盖一次性或不频繁的行动,也可以处理常见和定期发生的情况。
程序的评估标准
- 程序还建立了用于确定任务是否成功完成的衡量标准和方法。
程序的文档化与培训
- 适当地记录程序并培训人员如何查找和遵循程序,对于从程序中获得最大的组织效益是必要的。
认证方法 (Methods of Authentication)
单因素认证 (Single-factor Authentication, SFA)
- 定义:仅使用三种可用认证因素中的一种来执行被请求的认证过程。
- 例子:使用密码或个人识别码 (PIN) 进行登录,属于“你知道的”(something you know)因素。
多因素认证 (Multi-factor Authentication, MFA)
- 定义:在授予用户访问权限之前,需要成功展示两种或更多不同的认证因素。
- 例子:结合密码(知识因素)和智能卡(拥有因素),或者生物识别(特性因素)来验证身份(something you know, something you have, something you are)。
认证的三种常见技术
-
知识型认证 (Knowledge-based)
- 使用口令或密码来区分授权和未授权用户。
- 弱点:易受到攻击,例如密码重置时可能被冒充。
-
令牌型认证 (Token-based)
- 使用如智能卡、硬件令牌或手机应用生成的一次性密码。
-
特性型认证 (Characteristic-based)
- 利用生物识别技术,如指纹、面部识别或声音识别。
风险优先级 (Risk Priorities)
风险识别后的优先级确定
- 一旦识别出风险,就需要通过**定性风险分析 (Qualitative Risk Analysis)和/或定量风险分析 (Quantitative Risk Analysis)**来确定和分析核心风险。
分析目的
- 确定根本原因 (Root Cause),区分表面风险和核心风险。
团队合作
- 安全专业人员与团队合作,执行定性和定量分析。
组织使命与功能
- 理解组织的总体使命及其支持功能,有助于将风险置于恰当的情境中,确定根本原因,并优先评估和分析这些项目。
管理层指导
- 管理层通常会提供使用风险评估结果的方向,以确定一系列风险响应行动的优先级。
风险矩阵 (Risk Matrix)
- 一个有效的风险优先级确定方法是使用风险矩阵,它通过发生可能性和影响的交集来帮助识别优先级。
团队与管理沟通
- 风险矩阵还为团队与管理提供了一种共同语言,以确定最终的优先级。
优先级示例
- 低可能性和低影响可能导致低优先级 (Low Priority),而高可能性和高影响将导致高优先级 (High Priority)。
优先级考虑因素
- 优先级的分配可能与业务优先级、降低风险的成本或发生事件时潜在的损失相关。
风险处理 (Risk Treatment)
风险处理定义
风险处理涉及针对已识别和确定优先级的风险采取最佳行动方案的决策过程。
决策因素
决策取决于管理层对风险的态度以及风险缓解措施的可用性、成本。
风险处理常见选项
-
风险避免 (Avoidance)
- 尝试完全消除风险。
- 如果某个风险的潜在影响过大或实现的可能性很高,领导层可能会选择风险避免。
-
风险接受 (Acceptance)
- 不采取任何行动降低风险发生的可能性。
- 如果风险发生的影响或可能性可以忽略不计,或者收益足以抵消该风险,则管理层可能会选择接受风险。
-
风险缓解 (Mitigation)
- 最常见的风险管理类型。
- 采取行动预防或减少风险事件的可能性或影响。
- 包括通过安全控制、政策、程序和标准等补救措施来最小化风险的不利影响。
-
风险转移 (Transfer)
- 将风险转嫁给另一方,该方将接受风险实现导致的损害的财务影响,以换取报酬。
- 通常,这是通过保险政策实现的。
风险容忍度 (Risk Tolerance)
风险容忍度定义
风险容忍度是管理层对风险的态度,可以类比为组织对风险的"胃口"。管理层愿意承担多大的风险?他们是欢迎风险还是希望避免风险?它通常和风险偏好(Risk appetite)联系在一起
风险容忍度的差异性
- 不同组织,甚至组织内部的不同部门,对可接受或不可接受风险的态度可能不同。
- 了解组织和高级管理层对风险的态度通常是促使管理层就风险采取行动的起点。
风险容忍度的决策
- 执行管理层和/或董事会确定组织可接受的风险水平。
- 安全专业人员旨在将风险水平维持在管理层的风险容忍度范围内。
地理因素对风险容忍度的影响
- 风险容忍度常由地理位置决定。
- 例如,冰岛的公司会计划应对附近火山对其业务构成的风险;处于熔岩流预测路径内的公司会比不在路径上的公司面临更高的风险。
电力中断风险示例
- 电力中断对数据中心构成真实威胁,这在世界所有地区都可能发生。
- 在雷暴频繁的地区,电力中断可能一个月发生多次;而在其他地区,一年可能只经历一到两次电力中断。
- 计算不同持续时间的停机时间将有助于定义公司的风险容忍度。
- 如果公司对停机时间的容忍度很低,他们更可能投资于发电机来为关键系统供电。
风险评估 (Risk Assessment)
风险评估定义
风险评估是风险管理的一部分,包括威胁和脆弱性分析,并考虑安全控制措施所提供的缓解效果。
风险评估过程
- 识别 (Identifying):找出对组织的运营(包括使命、功能、形象和声誉)、资产、个人、其他组织甚至国家构成风险的因素。
- 估计 (Estimating):评估这些风险的可能性和潜在影响。
- 优先排序 (Prioritizing):根据风险对组织的重要性和潜在影响进行排序。
风险评估目的
- 将每个已识别的风险与组织的目标、资产或流程关联起来,确保这些风险与组织的目标和目的一致。
风险评估活动示例
- 火灾风险评估:识别建筑物的火灾风险,并评估不同的缓解措施,如火警、喷水灭火系统和气体灭火系统。
风险缓解措施
- 火警:低成本,可提醒人员疏散,减少人身伤害风险,但不能阻止火势蔓延。
- 喷水灭火系统:不能完全阻止火灾,但可以最小化损害。
- 气体灭火系统:可能是保护系统的最佳解决方案,但可能成本过高。
风险评估结果
- 风险评估的结果通常以报告或演示的形式记录,并提交给管理层,供他们优先考虑已识别的风险。
管理层的参与
- 管理层审查并批准风险评估报告。
- 在某些情况下,管理层可能需要由内部或外部团队进行更深入的风险评估。
安全控制 (Security Controls)
安全控制定义
安全控制是指作为保护系统及其信息的保密性、完整性和可用性的保障措施或对策的物理、技术、行政机制。
物理控制 (Physical Controls)
物理控制使用物理硬件设备(如门禁卡读卡器)、建筑特征和员工采取的特定安全行为来解决安全需求。
- 用途:控制、指导或阻止人员和设备在特定物理位置(如办公区、工厂或其他设施)内的移动。
- 周边保护:保护和控制进入建筑物周边土地、停车场或其他组织控制区域内的入口。
- 技术控制支持:通常由技术控制支持,将其整合到整体安全系统中。
技术控制 (Technical Controls)
技术控制(也称为逻辑控制)是计算机系统和网络直接实施的安全控制。
- 功能:提供自动化保护,防止未经授权的访问或滥用,便于检测安全违规行为,并支持应用程序和数据的安全需求。
- 实施方式:可以是配置设置或参数,通过软件图形用户界面(GUI)管理,或通过开关、跳线等硬件设置。
- 运营考虑:技术控制的实施需要显著的运营考虑,并应与组织内安全管理保持一致。
行政控制 (Administrative Controls)
行政控制(也称为管理控制)是针对组织内部人员的指令、指导方针或建议。
- 功能:为人类行为提供框架、约束和标准,并应涵盖组织活动的全部范围及其与外部各方和利益相关者的互动。
- 实现:通过系统培训和实践,即使是最简单的安全意识政策也可以成为有效的控制手段。
行政控制的改进
- 整合:许多组织通过将行政控制整合到员工日常使用的任务级活动和操作决策过程中,提高了整体的安全姿态。
- 实施:通过提供上下文就绪的参考资料和咨询资源,或将其直接链接到培训活动中,使政策更加中立,远离仅由高级管理层做出决策。
- 日常应用:这些方法使政策在日常和每项任务的基础上立即可用、有用且可操作。
深入探讨网络安全三原则(CIA Triad Deep Dive)
Confidentiality (保密性)
定义: 保密性是确保只有授权的个人才能访问敏感信息的能力。
挑战: 当系统用户包括访客或客户,且无法确定他们是否从被泄露的机器或易受攻击的移动应用程序访问系统时,实现保密性变得具有挑战性。
安全专业人员的职责: 调节访问权限 —— 保护需要保护的数据,同时允许授权个体访问。
PII (Personally Identifiable Information): 与保密性相关的术语,指任何可以用来识别个人的数据。
其他相关术语:
- PHI (Protected Health Information): 关于个人健康状况的信息。
- 分类或敏感信息: 包括商业秘密、研究、商业计划和知识产权。
敏感性 (Sensitivity):
- 定义: 由信息所有者赋予信息的重要性的度量,或表示其需要保护的目的。
- 敏感信息: 如果不当披露(违反保密性)或修改(违反完整性),可能会损害组织或个人的信息。
- 通常,敏感性与对外部利益相关者的伤害有关;即那些可能不是处理或使用信息的组织的一部分的人或组织。
完整性 (Integrity)
完整性定义
完整性衡量事物是否完整无损、内部一致和正确。
完整性的应用领域
- 信息或数据 (Information or data): 确保数据未被未授权方式更改。
- 业务运营的系统和流程 (Systems and processes for business operations): 保障系统和业务流程的稳定性和正确性。
- 组织 (Organizations): 维护组织的完整性和信任度。
- 人员及其行为 (People and their actions): 确保个人行为的正当性和一致性。
完整性的法律和组织需求
保护信息和系统完整性的需求可能由法律和法规规定,通常由组织对可靠、准确信息的访问和使用需求决定。
数据完整性 (Data integrity)
- 确保数据未以未授权方式更改。
- 需要在系统内和数据处理过程中保护数据,确保其免受不当修改、错误或信息丢失,并以确保其完整性的方式记录、使用和维护。
数据完整性的范围
- 涵盖存储中的数据、处理中的数据以及传输中的数据。
信息的准确性和一致性
- 信息必须准确、内部一致且对特定目的有用。
- 信息的内部一致性确保所有相关系统上的信息正确,以便在所有系统上以相同的方式显示和存储。
系统完整性 (System integrity)
- 指维护系统在处理信息时已知的良好配置和预期的操作功能。
确保完整性的步骤
- 意识状态 (Awareness of state): 记录和理解特定时间点的数据或系统状态,创建基线。
- 保护状态 (Protecting the state): 通过事务持续保护信息,确保其状态得以维持。
- 比较基线与当前状态 (Comparing the baseline with the current state): 通过比较基线和当前状态来确定数据或系统的完整性。
可用性 (Availability)
可用性定义
可用性可以定义为:
- 及时且可靠的信息访问:授权用户能够及时且可靠地访问信息并使用它。
- 数据和信息服务的访问:授权用户能够及时且可靠地访问数据和信息服务。
可用性的核心概念
- 数据在需要时和需要地点以所需形式和格式对授权用户可访问。
- 并不意味着数据或系统需要100%时间都可用,而是要满足业务对及时和可靠访问的需求。
可用性的重要性
- 并非所有系统和数据的重要性都一样,因此安全专业人员必须确保提供适当级别的可用性。
- 需要与相关业务部门协商,确保识别并保障关键系统的可用性。
关键性与可用性
- 可用性常与“关键性”(criticality)一词相关联,因为它代表了组织对数据或信息系统在执行其运营或实现其使命时的重视程度。
376
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
