Try   HackMD

ISC2 SSCP考試準備心得

更新時間:2025/3/15

這門考試全名是Systems Security Certified Practitioner,資訊安全專業人員認證,是偏重資安技術的實務層面的證照

大陸稱為系统安全认证从业人员实践考试

SSCP只涵蓋7個相關知識領域,並沒有要求極高的工作年資,但是更著重於技術操作實務,考試的實務面涵蓋度對於企業雇主在衡量一個工程師是否足以負責公司資安技術實務運作,提供了很好的評量指標

通過考試條件

  • 英文版本考試,時間4小時,125題

  • 簡體中文版本考試,時間4小時,150題

  • 單選或多選題

  • 通過分數滿分為1000分,至少超過700分以上才會過

  • 目前考試支援的語系版本有英文、簡體中文、德文、日文、韓文、西班牙文(※注意2024/4/15後停止提供簡體中文版本考試)

  • ※特別注意(ISC)2考試現在作答方式一但選擇後送出無法更改

  • ※考試地點※

  • Pearson Professional Test Center Taipei考試中心
    地址:台北市信義區基隆路一段163號12樓-3 聯合世紀大樓

  • 恆逸高雄考試中心
    地址:高雄市前鎮區中山二路2號25樓

  • 考試費用:249美金

  • 會員年費:不論持有證照數量每年皆為 135 美金
    (如果你已經在同一個年度內交過50美金AMF 你的繳交費用就會變成 135-50 = 85 美金)

  • CPE學分:3年需要60個CPE學分,平均一年要20個CPE學分

  • 有A組(15)跟B組(5)學分都要拿到(每年)

※SSCP就開始,考試通過之後,需要有一位通過考試(SSCP)的來幫你背書,或者透過ISC2協會幫你背書,但是他會要求你要提供至少大學的畢業證書、研究所畢業證書,證明你在SSCP的領域,至少一年以上工作經歷等

此證照為「數位發展部資安通安全署」認可之資通安全專業證照

準備方向/攻略

同樣跟準備CC方法差不多

  • 扎實念、觀念要懂、思考要靈活
  • 念書要有紀律
  • 判斷題目頭腦要清楚

考試比重

  • Security Operations and Administration 16%
  • Access Controls 15%
  • Risk Identification, Monitoring and Analysis 15%
  • Incident Response and Recovery 14%
  • Cryptography 9%
  • Network and Communications Security 16%
  • Systems and Application Security 15%

參考書籍

Sybex The Official (ISC)2 SSCP CBK Reference 6th

Sybex (ISC)2 SSCP Systems Security Certified Practitioner Official Study Guide, 3/e (Paperback)

McGraw-Hill Education SSCP Systems Security Certified Practitioner Practice Exams

分類重點提示

  • Domain 1. Security Operations and Administration 安全运营与管理

他一定會問你
ISC2道德准则的目的和意图
ISC2成员的网络安全专业人员对规范中的以下四个实体负有责任
*保护社会、共同利益、必要的公众信任和信心以及基础设施。
*以光榮、誠實、公正、負責任和合法的方式行事。
*为業主提供勤勉、称职的服务。
*推进和保护职业。

(ISC)2 道德准则的四项准则是:

保护社会、共同利益、必要的公众信任和信心以及基础设施。
Protect society, the common good, necessary public trust and confidence, and the infrastructure.

行事诚实、公正、负责、合法。
Act honorably, honestly, justly, responsibly, and legally.

为(負責人)提供勤勉、称职的服务。
Provide diligent and competent service to principals.

促进并保护该职业。
Advance and protect the profession.

CIA很重要一定要搞清楚
機密性(Confidentiality)
完整性(Integrity)
可用性(Availability)

還有IAAA (Identification and Authentication, Authorization and Accountability) ->這也很重要

Disclosure, Alteration, and Destruction
CIA三元素同時也描述對立的三項:洩漏(Disclosure)、變造(Alteration)、破壞(Destruction),合併起來是DAD。洩漏是指未經授權的紕漏資料;變造是指未經授權的修改資料;而破壞指讓系統變得不可用。有些時候CIA縮寫順序會改變,DAD縮寫則會保持順序。

ISO 27002 中定义的信息生命周期的阶段
创造与起源Creation and origination
加工Processing
贮存Storage
传播Transmission
删除和销毁Deletion and destruction

CIANA 缩写代表:
Confidentiality保密性:限制谁有权访问数据
Confidentiality and privacy are both related to controlling access to information.

Integrity完整性:保护数据的完整性和正确性
Integrity verifies that information is complete and correct.

Availability可用性:确保数据及时可用且格式可用
Availability refers to data or systems that are accessible and in a usable form.

Non-Repudiation不可否认:防止某人否认他们采取了行动
Non-Repudiation: Preventing someone from denying that they took an action

Authentication认证:证明数据仅由批准方创建或修改
Authentication: Proving that data was created or modified only by approved parties

DIKW金字塔(DIKW Pyramid)又稱為DIKW階層(DIKW Hierarchy)、智慧階層(Wisdom Hierarchy)、知識階層(Knowledge Hierarchy)、資訊階層(Information Hierarchy)、知識金字塔(Knowledge Pyramid),是在知識管理領域(Knowledge Management)領域被廣泛使用之知識分類法

DIKW金字塔之中心軸為四個資訊概念的釐清,分別為資料(Data)、資訊(Information)、知識(Knowledge)與智慧(Wisdom)。其由遠到近分別為過去(Past)與未來(Future),及經驗法則(Experience)與創新推演(Novelty)。

在資訊成分上,DIKW金字提出蒐集原始資料(gathering of parts)、連結資料已成為資訊(connection of parts)、建構全貌之知識地圖(formation of a whole)與連結知識到決策(joining of wholes)。在操作方法上,DIKW金字提出研究與吸收資料(researching and absorbing)、進行資料整合(doing)、彙整資訊成為知識(interacting)與將知識應用於決策(reflecting)。

政策 Policy -> 標準 Standard -> 指引 Guidelines -> 程序 Procedures

政策 Policy ->具強制性甚至更高的法規

accountability问责制是指确定应该发生什么,验证它是否发生,如果没有发生,找出原因。

法規類需要注意到

健康保险流通与责任法案 (HIPAA) - 这项美国联邦法律是美国最重要的医疗保健信息法规。

受保护的健康信息 (PHI) - 有关健康状况、医疗保健提供或 HIPAA(健康保险流通与责任法案)中定义的医疗保健支付的信息。PHI是一个缩写,代表受保护的健康信息 Protected Health Information。

个人身份信息 (PII) - 美国国家标准与技术研究院 (NIST) 在其特别出版物 800-122 中将 PII 定义为由机构维护的有关个人的任何信息,包括

(1) 任何可以使用的信息区分或追踪个人身份,例如姓名、社会安全号码、出生日期和地点、母亲的婚前姓名或生物特征记录。

(2) 与个人相关的或可链接的任何其他信息,例如医疗、教育、财务和就业信息。

非公开信息 (NPI) 是指未公开且法律未要求公开的个人的所有信息。 PII 是 NPI 的子集,指的是唯一标识一个人的信息。

通用数据保护条例 (GDPR) - 2016 年,欧盟通过了涉及个人隐私的综合立法,将其视为个人人权。

职责分离的原则 (Separation of Duties),任何用户都不应该被赋予足够的权限来滥用系统。

最小特权原则 (Least Privilege) 规定,应该只给予用户完成其特定任务所需的特权,用户和程序应仅具有完成其任务所需的最低权限的原则。 NIST SP 800-179。

轮岗 (Job rotation) 工作轮换有助于防止单点故障,因为员工知道如何履行其他角色并可以根据需要介入。

控制相關->指的是方向 方法

技術性 Technical
以系統(硬件、軟件或固件)的形式實施控制。例如,防火牆、防病毒軟件和操作系統訪問控制模型都是技術性控制。技術性控制也可以被描述為邏輯性控制。

運營性 Operational
控制主要由人員而不是系統實施。例如,安全警衛和培訓計劃是運營性控制而不是技術性控制。

管理性 Managerial
控制對信息系統進行監督。示例可以包括風險識別或允許評估和選擇其他安全控制的工具。

控制功能類型

預防性 Preventive
控制作用是消除或減少攻擊成功的可能性。預防性控制在攻擊發生之前起作用。防火牆上配置的訪問控制列表(ACL)和文件系統對象是預防性控制。防惡意軟件軟件也作為預防性控制,通過阻止被識別為惡意的進程執行來防止攻擊。指令和標準作業程序(SOP)可以被認為是預防性控制的行政版本。

檢測性 Detective
控制可能不會阻止或阻止訪問,但它將識別並記錄任何嘗試的或成功的入侵。檢測性控制在攻擊進行中起作用。日誌提供了檢測性控制的最佳示例。

糾正性 Corrective
控制作用是消除或減少入侵事件的影響。糾正性控制在攻擊發生後使用。一個很好的例子是可以在入侵期間恢復損壞的數據的備份系統。另一個例子是可以消除攻擊期間利用的漏洞的補丁管理系統。

其他敘述
物理性 Physical
常常單獨分類的控制,如警報、閘道、鎖、照明、安全攝像機和警衛,以阻止和檢測對場所和硬件的訪問。

威懾性 Deterrent
控制可能不會在物理上或邏輯上阻止訪問,但心理上會阻止攻擊者嘗試入侵。這可能包括警告或告知對侵入或入侵的法律懲罰的標誌和警告。

補償性 Compensating
控制作為主要控制的替代品,根據安全標準的建議,提供相同(或更好)的保護水平,但使用不同的方法或技術。

安全控制
涉及物理、技术和管理机制,它们充当为信息系统规定的保障措施或对策,以保护系统及其信息的机密性、完整性和可用性。控制措施的实施应能降低风险,有望达到可接受的水平。

风险缓解控制的三类是物理(锁、警卫等)、技术/逻辑(访问控制等)和管理(政策、程序等)。

物理控制
使用物理硬件設備解決基於流程的安全需求,例如徽章閱讀器(講的是RFID讀卡機)、建築物和設施的建築特徵,以及人們要採取的具體安全措施。在大多數情況下,物理控制由技術控制支持,作為將它們納入整體安全系統的一種手段。

技術控制 (也稱為邏輯控制)
是計算機系統和網絡直接實施的安全控制。 這些控制可以提供自動保護,防止未經授權的訪問或濫用,促進安全違規檢測,並支持應用程序和數據的安全要求。

行政控制 (也稱為管理控制)
是針對組織內人員的指令、指南或建議。它們為人類行為提供框架、約束和標準,並應涵蓋組織活動的整個範圍及其與外部各方和利益相關者的互動。通过政策和程序实施的控制。

due care, due diligence, and due process

資產管理生命週期
资产生命周期中的主要方面是:
规划 Planning
分配安全需求 Assigning security needs
获得 Acquisition
部署 Deployment
管理 Management
报废和处置 Retirement and disposal

Change Management 變更管理

Configuration Management 配置管理

The three "dues" are due care, due diligence, and due process.

國際權威機房認證機構將機房分成4個等級
Tier I等級是Uptime Institute機房認證最基本的一項,採單迴路設計,僅需提供空間與電力即可

Tier II等級則要求機電設備必須N+1設計,也就是要有另外一臺備援設備的機制

Tier III要求可同時維修性(Concurrent Maintenance),意指在停電,水路管線停止供水的安全情況下,進行例行性維護作業,不會影響企業服務的運作,也不能有計畫性停機

Tier IV則要求機電設備要N+N,並具有可容錯能力(Fault Tolerance)

  • Domain 2. Access Controls 访问控制

多因子认证 (MFA)
Something you have
通过短信发送或由移动应用程序生成的一次性密码是“您拥有的东西”身份验证因素的一个示例,因为需要访问智能手机才能访问该代码。

TType I:你知道的东西(密码等)Something you know (password, etc.)

Type II:您拥有的东西(智能卡等)Something you have (smartcard, etc.)

Type III:你是什么(生物识别)Something you are (biometrics)

LastPass 或 Bitwarden ->Something you know

你做的事 Something you do

Type I error 假阴性 False negative
Type II errors are false positives

交叉错误率 (CER) 是身份验证系统的误报率和漏报率相等的点。这意味着合法用户被拒绝访问的可能性和非法用户被授予访问权限的可能性相同。

多对一 Many-to-one

Zero Trust 零信任

FIDO 是支持无密码身份验证的标准

零信任访问控制模型根据具体情况授予对组织资源的访问权限。这些系统使用基于角色的访问控制和其他潜在风险因素(位置等)来确定是否授予对资源资产的访问权限。

身份管理生命周期
身份管理生命周期的三个主要阶段如下:
Provisioning配置:验证用户的身份(校对)并为其生成凭据。
Review审查:检查实体的访问和权限是否符合其职责。
Revocation撤销:取消实体的访问权限。

身份和访问管理(IAM)的三项主要活动:
Account access review帐户访问审核
Auditing审计
Enforcement执行

联合访问(例如,开放授权 2 (OAuth2)、安全断言标记语言 (SAML))

结构化信息系统促进组织 (OASIS) 定义了安全断言标记语言 (SAML),用于在联合安全域之间传输身份和访问信息。

SAML 断言向服务提供商 (SP) 提供可用于做出自己的访问控制决策的信息。虽然此信息可能包括主体的身份、属性和授权决策语句(描述应允许主体采取特定操作的场景),但 SAML 断言不包括最终的访问控制决策。

SAML 的四个主要组成部分如下:
Assertions断言:身份提供商 (IdP) 将有关用户身份的断言发送给服务提供商 (SP),服务提供商使用此信息来决定是否允许/拒绝访问。
Protocols协议:协议描述了各种 SAML 实体(IdP、SP 等)应如何相互通信。
Bindings绑定:绑定描述了如何将 SAML 数据嵌入到不同的消息类型中。
Profiles配置文件:配置文件是特定场景的断言、协议和绑定的组合。

Single sign-on

授權、認證、身分識別

即时身份中的三个身份保证级别 (IAL) 如下:
IAL1:不执行任何证明来验证实体的身份。
IAL2:申请人的身份声明通过在线身份验证服务进行验证,其中可能包括检查社交媒体资料。
IAL3:申请人出示的身份证件经过物理验证。
IAL0 不存在。

远程身份验证拨入用户服务 (RADIUS) 由 NSF 在 20 世纪 90 年代初开发,旨在通过单一服务提供身份验证、授权和记帐 (AAA)。

终端访问控制器访问控制系统Plus(TACACS+)由美国国防部开发,后来被思科接管。TACACS+ 将身份验证、授权和计费 (AAA) 划分为单独的组件,并使用 TCP 进行网络传输。

轻量级目录访问协议 (LDAP) 源自 X.500 目录访问协议标准,以利用 IP 协议套件。它将有关用户的信息组织到目录树结构中,其中每个条目都有唯一的可分辨名称 (DN) 和关联的属性。

Active Directory (AD) 是 Microsoft 专有协议,必须在 Windows Server 上运行,但可以支持其他类型的设备。运行 Active Directory 域服务 (AD DS) 的域控制器处理实体身份验证和授权。

OpenID Connect (OIDC) 在 OAuth 2.0 之上运行。OIDC 使用 OpenID 身份提供商执行身份验证,OAuth 2.0 执行授权。

OAuth 系统中的四个角色如下:
Resource Owner:资源所有者:资源的所有者,将根据通过 OAuth 提供的身份信息允许/拒绝访问。
Resource Server资源服务器:托管资源所有者拥有的资源的服务器。
Client Applications客户端应用程序:请求访问资源服务器上的资源的程序。
Authorization Server授权服务器:对客户端应用程序进行身份验证并生成供资源服务器使用的身份验证令牌的服务器。

OAuth、OpenID 和 Microsoft 的 Active Directory 联合服务 (ADFS) 都是联合身份协议。

信任方向(Trust direction)

單向信任(One-Way Trust)
One-way: A trusts B, but B doesn't trust A.

雙向信任(Two-Way Trust)

Two-way: A trusts B and B trusts A.

传递性:A 信任 B,B 信任 C,因此 A 信任 C。
Transitive: A trusts B and B trusts C, so A trusts C.

第三方信任关系通常包括共享内容的一方(内容所有者)、访问内容的一方(内容用户)以及验证内容真实性的一方(认证机构)。

應用訪問控制

The three primary SAML roles are the following:

Identity Provider (IdP): Creates an assertion about an identity.

Service Provider (SP): Provides access to a service or resource based on the identity provided by the IdP.

Subject or principal: The entity requesting access whose identity is vouched for by the IdP.

  • 強制存取控制 MAC,Mandatory Access Control
    要求系统本身根据组织的安全策略管理访问控制的访问控制。
    用户没有太多自由确定谁可以访问他们的文件。由系统对用户创建的对象进行统一的强制性控制
    强制访问控制 (MAC) 集中管理对文件、应用程序、目录等的控制,并拒绝用户管理对其自己资产的访问的能力。

  • 自主存取控制 DAC,Discretionary Access Control
    自主访问控制 (DAC) - 一定数量的访问控制留给对象所有者或任何其他有权控制对象访问的人自行决定。所有者可以确定谁应该拥有对象的访问权限以及这些权限应该是什么。 NIST SP 800-192
    自主访问控制 (DAC) 是大多数操作系统中内置的访问控制模型,允许资产所有者管理与其关联的权限。

  • 識別存取控制 IBAC,Identify-Based Access Control
    基于身份的访问控制
    网络管理员使用此模型可基于个人需求更加有效地管理活动和访问

  • 規則基礎存取控制 RuBAC,Rule-Based Access Control
    以角色為基礎的存取控制
    傳統超級使用者型系統會將完整的超級使用者權力,授與任何一個可以成為超級使用者的人。管理員可指定有限的管理功能給一般使用者。

  • 系統角色存取控制 RBAC,Role-Based Access Control
    要求一个特定的用户角色来访问资源是一个 的例子。
    ->角色访问控制(Role-based Access Control, RBAC)根据组织中每个用户的角色来限制对计算机或网络资源的访问。
    根据工作标题允许访问。RBAC 在提供对对象的访问时很大程度上忽略了自由。例如,一个人类资源专家不应该允许创建网络账户,此角色应该保留给网络管理员
    基于角色的访问控制 (RBAC) 根据组织内实体的角色分配访问和权限,从而更容易实现最小特权和职责分离。

  • 屬性存取控制 ABAC,Attribute-Based Access Control
    ABAC是一个访问控制模型,它使用规则控制对对象的访问,这些规则根据主体的属性、相关对象以及环境和行动的属性进行评估。
    基于属性的访问控制 (ABAC) 为每个实体分配属性集。访问控制规则是使用布尔逻辑来实现的,该逻辑描述了访问资源或执行特定操作所需的属性组合。这允许高度精细的访问控制规则,并且非常适合员工角色难以清晰定义的环境。

  • 內容型存取控制 CBAC,Context-Based Access Control
    基于上下文的访问控制
    內容型存取控制

  • 基于组织的访问控制 OrBAC,Organization-based access control

允许策略设计者定义一个与实现无关的安全策略

基于主题的访问控制 (SBAC) 侧重于主题的持久特征和责任,例如打印服务器能够访问组织的打印机的需要。

基于对象的访问控制 (OBAC) 使用对象的特征来确定应授予哪些类型的请求。例如,与计算机操作系统相关的系统文件和文件夹可以被标记为只读以保护系统的完整性和稳定性。

Biba 访问控制模型
*(星号)完整性属性可防止将数据写入或写入具有较高分类级别的对象。Biba 访问控制模型的简单完整性属性可防止向下读取。

Bell-LaPadula 模型的安全属性是:
简单安全属性 Simple Security Property:防止主体读取
*(星)安全属性:防止主体写下
自主安全属性:在实施 Bell-LaPadula 时需要使用访问矩阵来实施自主访问控制

Biba访问控制模型的简单完整性属性可以防止向下读取,从而防止较高分类级别的主体从较低分类级别的对象读取数据。*(星号)完整性属性可防止写入(将数据写入具有更高分类级别的系统)。
Discretionary Security Property自主安全属性:在实施 Bell-LaPadula 时需要使用访问矩阵来实施自主访问控制

Gogan-Meseguer 访问模型定义了安全域,以防止不同组成员之间的干扰。

Clark-Wilson 访问模型仅允许某些受信任的主体针对对象执行特定类型的事务。

The Chinese Wall or Brewer and Nash access model在做出访问决策时会考虑主体的角色和最近的历史。

Graham-Denning 模型限制了管理主题和分配访问权限的能力。

UEBA系统中通过机器学习分析的三类数据如下:
Threat typologies威胁类型:与已知攻击相关的行为模式。
Allowed typologies允许的类型:反映系统预期用途的行为模式。
User session histories用户会话历史记录:用户在系统上的操作记录,与威胁和允许的类型进行比较。

就系统安全而言,会计基础设施的三个主要目标如下:
资源利用、监控和退款 Resource utilization, monitoring, and chargeback
个人责任 Individual accountability
信息安全监控、分析以及事件特征和响应
Information security monitoring, analysis, and incident characterization and response

-** Domain 3. Risk Identification, Monitoring and Analysis 风险识别、监控和分析**

风险- 可能对组织产生负面影响的事件。

风险的四个基础如下:
基于结果的风险 Outcome-based risk
基于流程的风险 Process-based risk
基于资产的风险 Asset-based risk
基于威胁/漏洞的风险 Threat/Vulnerability-based risk

三种威胁建模方法如下:
Attacker-centric以攻击者为中心:关注可能攻击组织的威胁的能力。
Asset-centric以资产为中心:关注对组织具有最大价值的资产。
System/Software-centric以系统/软件为中心:将系统表示为互连的进程,并寻找威胁面或它们之间的信任边界。

Proximate cause直接原因分析试图确定导致事件发生的最后发生的事情。

Root cause根本原因分析试图识别导致安全事件的根本问题。

风险管理是识别、评估和减轻风险的过程(识别、评估和控制威胁的过程,包括风险背景(或框架)、风险评估、风险处理和风险监控的所有阶段。)

風險管理就是將風險控制到經營高層可接受的範圍

風險管理流程

風險評鑑 Risk assessment(不是風險評估)

->風險識別 Risk Identification(找風險)->目標相關

->風險分析 Risk Analysis->機率、影響、曝險值、方法

->風險評估 Risk Evaluation->決定是否處置

定量風險分析:依據資產價值、損失幅度預估、年化發生率計算出年化損失預估,防護方案年平均成本扣除掉年化損失預估,來評估此風險。舉例,某一個350人的公司,平均每年會有一架個人電腦遭受勒索軟體攻擊成功,評估其所造成的業務中斷損失,所需回復時間成本,最終實際損失,包含人力損失、資料損失所造成的財損、回復資料的成本等,並以防護方案所需的成本加以計算。

定性風險分析:由於並非任何風險均可以透過定量風險分析手段計算其風險,故採用定性風險分析有助於評估不容易量化的風險,此分析手段需要依據組織實際狀況,所牽涉的資產價值,仰賴風險管理小組的經驗,對風險做出評分(Scoring)。手段可能有:訪談、腦力激盪、Delphi法、檢查表(點檢表)、實地視察或狀況推演等。

風險等級 Level of Risk = Probability + Impact

年发生率annual rate of occurrence (ARO) 估计特定风险事件每年可能发生的次数。

单一预期损失single loss expectancy (SLE) 衡量特定风险发生的单一事件的成本。

年预期损失annual loss expectancy (ALE)是SLE和ARO的乘积,衡量每年风险事件造成的损失金额。投资回报率

Return on investment (ROI)衡量购买或投资产生的价值。

风险评估——识别和分析组织运营(包括使命、职能、形象或声誉)、组织资产、个人和其他组织的风险的过程。作为风险管理的一部分执行的分析,其中包含威胁和漏洞分析,并考虑计划或到位的安全控制提供的缓解措施。

风险处理(例如,接受、转移、缓解、避免、忽略)

風險接受 Accept
风险接受——确定业务功能的潜在收益超过可能的风险影响/可能性,并在不采取其他行动的情况下执行该业务功能。

風險轉移 Transfer / 轉讓 Share
风险转移是一种风险管理策略,它以合同形式将纯风险从一方转移到另一方(转移到保险公司)。

風險緩解 Mitigate / Remediate 修复
风险缓解- 实施安全控制以减少特定风险的可能影响和/或可能性。

風險避免 Avoid / 消除 Eliminate
风险规避包括停止可能对一个组织及其资产产生负面影响的活动。
确定特定风险的影响和/或可能性太大而无法被潜在收益抵消,并且由于该确定而无法执行特定业务功能。

風險忽略

风险管理框架(例如,国际标准组织 (ISO)、国家标准与技术协会 (NIST))

ISO 标准 31000:2018 风险管理指南有三项主要任务:
范围、背景、标准 Scope, context, criteria
风险评估,包括风险识别、分析和评估
Risk assessment, including risk identification, analysis, and evaluation
风险处理
Risk treatment
它还包括三个附加功能:
记录和报告 Recording and reporting
监控和审查 Monitoring and review
沟通咨询 Communication and consultation

健康信息信任联盟通用安全框架 (HITRUST CSF) 满足医疗保健提供者重叠法规的要求。
北美电力可靠性公司关键基础设施保护 (NERC CIP) 是北美电力行业网络安全最佳实践的集合。
ISA/IEC 62443 是工业过程控制环境的标准集合。
支付卡行业数据安全标准 (PCI DSS) 旨在通过保护持卡人的敏感数据来打击支付卡欺诈。

NIST RMF 的三个级别如下:
组织 Organization
使命/业务流程 Mission/Business Process
信息系统或组件 Information System or Component

NIST 风险管理框架 (RMF) NIST SP 800-37r2
信息风险管理的七个步骤包括
Prepare 准备
Categorize分类
Select选择
Implement实施
Assess评估
Authorize授权
Monitor监控

NIST 的信息系统和组织风险管理框架:安全和隐私的系统生命周期方法在 NIST SP 800-37r2 中定义。其关注的领域包括:
全组织风险管理 Organization-wide risk management
信息安全与隐私 Information security and privacy
系统和系统要素 System and system elements
控制分配 Control allocation
安全和隐私状况 Security and privacy posture
供应链风险管理 Supply chain risk management

ITIL服务管理框架共5卷,包含26个流程。

STRIDE 威胁模型由 Microsoft 开发,可解决欺骗、篡改、否认、信息泄露、拒绝服务和特权提升等威胁。

STRIDE 威胁模型中的缩写词代表:
欺骗 Spoofing
篡改 Tampering
否认 Repudiation
信息披露 Information Disclosure
拒绝服务 Denial of Service
特权提升 Elevation of Privilege

攻击模拟和威胁分析流程 (PASTA) 是一个以攻击者为中心的七步威胁建模框架,重点保护组织的资产。

运营关键威胁、资产和漏洞评估 (OCTAVE) 是由软件工程研究所 (SEI) 开发的基于资产的威胁建模流程。其四个阶段是建立驱动因素、分析资产、识别威胁以及识别和减轻风险。

构建安全关键系统风险分析平台 (CORAS) 是一个开源的、大量 UML 威胁建模框架。

风险承受能力(例如,偏好)(風險胃納)

在追求其價值時,在廣義之基礎下,所願意接受之風險程度

风险承受力是一个投资者愿意忍受的风险程度。

风险容忍度——实体为实现潜在预期结果而愿意承担的风险水平。资料来源:NIST SP 800-32。风险阈值、风险偏好和可接受的风险也是风险承受能力的同义词。

CVSS中使用的三个指标如下:
Base metrics基本指标:漏洞固有的质量
Temporal metrics时间指标:漏洞如何随时间演变
Environmental metrics环境指标:组织的环境如何影响其暴露于漏洞的程度
漏洞利用的可用性会随着时间的推移而变化,使其成为一个时间指标。

漏洞管理生命周期
Detection
Remediation
Verification

  • Domain 4. Incident Response and Recovery 事故响应和恢复

洛克希德马丁公司开发的网络杀伤链模型包括以下步骤:
Reconnaissance侦察
Weaponization武器化
Delivery送货
Exploitation开发
Installation安装
Command and Control命令与控制
Actions on Objective目标行动

事件- 实际或潜在地危及信息系统的机密性、完整性或可用性或系统处理、存储或传输的信息的事件;网络或系统中任何可观察到的事件。来源:NIST SP 800-61 Rev 2

事件处理- 缓解违反安全策略和推荐做法的情况。也称为事件响应。来源:NIST SP 800-61 Rev 2。

事件响应 (IR) - 缓解违反安全策略和推荐做法的情况。也称为事件处理。来源:NIST SP 800-61 Rev 2。

事件响应计划 (IRP) - 一组预定指令或程序的文档,用于检测、响应和限制针对组织信息系统的恶意网络攻击的后果。来源:NIST SP 800-34 Rev 1

事故响应计划中常见的组成部分是(按照这个顺序):
准备;检测和分析;遏制、根除和恢复;经验教训/实施新对策;事后审查。

NIST 的事件处理清单分为三个主要类别:
检测分析 Detection and Analysis
遏制、根除和恢复 Containment, Eradication, and Recovery
事件后活动 Post-Incident Activity

应急响应生命周期,根据国际广泛采用的 PDCERF 方法,应急响应生命周期分为6个阶段:准备、检测、遏制、根除、恢复、跟踪。也分为两大块威胁检测和安全事件处置。
P → D → C → E → R → F → P

Incident Management 事故管理
Preparation 准备
Detection 检测和分析
Response 响应
Mitigation 抑制
Reporting 報告
Recovery 復原
Remediation 补救
Lessons Learned 經驗學習、從事件中學到教訓

证据必须是:
Accurate 准确的
Authentic真正的
Complete完全的
Compelling引人注目
Admissible可受理

常见的备份策略有以下几种:
Full完整:每次生成备份时都会制作所有数据的完整副本。

Differential:差异:仅备份自上次完整备份以来发生更改的数据。

Incremental:增量:备份自上次备份以来发生更改的数据。

BIA營運衝擊分析(business impact analysis)
业务影响分析(BIA)是一种技术,用于分析中断如何影响一个组织,并确定所有业务活动和相关资源的关键程度。

BC(Business continuity)业务连续性 - 确保组织在突发事件期间能够继续关键运营的行动、流程和工具。

BCP (Business continuity planning) 業務持續性計畫,是一套基於「業務」運行的「管理要求」和「規章流程」,在一個企業中發生「突發事件」時能夠迅速做出反應,並且確保「關鍵業務」功能可以持續不造成業務中斷或業務流程,业务连续性计划(BCP)是一套预先确定的指令,描述了一个组织的任务和业务流程在重大中断期间和之后将如何维持。

DRP (Disaster Response Planning)災害復原計畫
灾难恢复计划是应对重大故障或灾难时恢复信息系统的计划。
灾难恢复计划(DRP)是一个在发生重大硬件或软件故障或组织设施被毁时处理和恢复业务的计划。灾难恢复计划的主要目标是将业务恢复到最后已知的可靠运营状态。

最大允许中断maximum allowable outage (MAO)是风险事件可以阻止业务运营而不会对业务造成不可接受的损害的最长时间。

平均修复时间 mean time to repair (MTTR) 衡量将故障组件恢复正常运行所需的平均时间。

恢复时间目标recovery time objective (RTO) 是风险事件后恢复操作的最大可接受时间。

恢复点目标 recovery point objective (RPO) 衡量因风险事件而造成的最大可接受的数据丢失量。

RTO(Recovery Time Objective)最大可允許中斷時間,指的是系統重啟、回復正常運作所需花費的時間

RPO(Recovery Point Objective)資料損失可允許的最遠回溯時點,則是系統中斷到重啟期間所損失的資料量

MTD(Maximum tolerable downtime)最大可容忍的停機時間

MTO(Maximum Tolerable Outage)最大容許中斷
是企業可以支持備用模式下的處理的最長時間。備用模式不適用於長期運行。MTO為業務連續性解決方案設定過渡到正常模式的時間段目標。

MTPD (maximum tolerable period of disruption )最大可忍受中斷時間,如果產品或服務的交付不能恢復,組織生存能力將受到不可恢復的傷害之最大時間。

SDO(Service Delivery Objective)服務交付目標
與業務需求直接相關,它是在備用模式下直到恢復正常情況之前要達到的服務水平。

當系統在RTO和RPO中恢復時,它將以備用模式運行,在該模式下,系統應提供足夠的服務水平並滿足SDO。

AIW(Acceptable Interruption Window)可接受的中斷窗口是在損害企業業務目標的實現之前,系統不可用的最長時間。也稱為最大容許停機時間(MTD)或最大容許中斷時間(MTPD)。但是,ISACA的定義強調“系統”,而MTD或MTPD是一個商業術語,著眼於業務流程或優先活動的中斷。

WRT(Work Recovery Time)工作恢復時間是“恢復和修復系統後,恢復丟失的數據,工作積壓和手動捕獲的工作所需的時間長度”。WRT通常與恢復點目標(RPO)有關。RPO越短;WRT越快。維修時間和WRT之和應小於恢復時間目標(RTO)。

  • Domain 5. Cryptography 密码学

加密- 将消息从明文转换为密文的过程和行为。有时它也被称为加密。这两个术语有时在文学作品中可以互换使用,并且具有相似的含义。

加密系统- 算法、过程、硬件、软件和程序的总集,它们共同提供加密和解密能力。

解密- 加密的逆过程。它是通过使用密码算法和适当的解密密钥(对称加密相同,非对称加密不同)将密文消息转换回明文的过程。该术语也可与“解密”互换使用。

密文- 明文消息的更改形式,因此除了预期的收件人之外,任何人都无法阅读。换句话说,它已经变成了一个秘密。

明文- 自然格式和可读形式的消息或数据;从机密性的角度来看非常脆弱。

密码学- 保护或保护消息、文件或其他信息的含义和内容的方法的研究或应用,通常通过对该内容和含义的伪装、模糊或其他转换。

對稱式加密 Symmetric
对称密钥算法是一类加密算法,它使用单一密钥对数据进行加密和解密。

常見的對稱加密演算法有AES、ChaCha20、3DES、Salsa20、DES、Blowfish、IDEA、RC5、RC6、Camellia

非對稱式加密 Asymmetric

非对称密码学使用一对相关的密钥:公钥和相应的私钥。
用公钥加密的信息只能由其相应的私钥解密,反之亦然。
也稱公開金鑰加密

常見的非对称加密演算法有RSA、ElGamal、Rabin(RSA的特例)、DSA、ECDSA。

雜湊 Hashing

散列函数- 一种算法,用于计算数据文件或电子消息的数值(称为散列值),用于表示该文件或消息,并取决于文件或消息的全部内容。哈希函数可以被认为是文件或消息的指纹。 NIST SP 800-152

散列- 对数据使用数学算法以生成代表该数据的数值的过程。来源 CNSSI 4009-2015

校验和(checksum)一个数字,表示存储或传输的数字数据中正确数字的总和,以后可以进行比较以检测数据中的错误。

消息摘要(Message Digest)- 唯一标识数据的数字签名并具有这样的属性:更改数据中的单个位将导致生成完全不同的消息摘要。 NISTIR-8011 Vol.3

  • Domain 6. Network and Communications Security 网络与通信安全

OSI 七層 (大陸講OSI模型)

物理层(Physical Layer)

数据链路层(Data Link Layer)

网络层(Network Layer)

传输层(Transport Layer)

会话层(Session Layer)

表示层(Presentation Layer)

应用层(Application Layer)

TCP/IP 四層 ->觀念要搞清楚
应用层(Application Layer)
传输层(Transport Layer)
网络层(Network Layer)
数据链路层(Data Link Layer)

拒绝服务(DoS)

分布式拒绝服务 (DDoS)

中间人攻击 (MITM)

内容分发网络 (CDN)

电气与电子工程师协会 (IEEE) 802.1X

远程验证拨号用户服务 (RADIUS)

瘦客户端 (Thin Client)

虚拟专用网 (VPN)

虚拟局域网 (VLAN)

访问控制列表 (ACL)

防火牆

WAF

蜂窝网络、Wi-Fi、蓝牙、近场通信 (NFC)

有线等同隐私 (WEP)、Wi-Fi 保护访问 (WPA)、可扩展验证协议 (EAP)

物联网 (IoT)

  • Domain 7. Systems and Application Security 系统和应用安全

Waterfall Software Design LifeCycle (SDLC)
Systems Analysis系统分析:识别软件的功能、非功能和性能需求,以确定需要构建什么以及如何评估它是否满足业务需求。

Systems Design系统设计:将需求分解为元素并定义子系统来满足需求的每个元素。

Development and Test开发和测试:根据需求和系统设计编写软件。验证软件是否完整。

Validation or Acceptance Testing验证或验收测试:进行测试以验证软件是否满足系统分析阶段中定义的所有要求。

Operational Deployment运营部署:软件发布,管理责任从开发人员转移到用户。

Systems Replacement and Retirement系统更换和退役:在使用寿命结束或使用结束时,系统通常会在更换准备就绪并就位后退役。

恶意软件(例如,Rootkit、间谍软件、恐吓软件、勒索软件、特洛伊木马、病毒、蠕虫、陷门、后门、无文件)。

Worms蠕虫病毒无需用户交互即可传播到新系统。

Trojan horses特洛伊木马伪装成良性或理想的文件,例如文档或有用的软件。

Rootkit将自身隐藏在计算机中,并隐藏端点安全解决方案的恶意功能。

Cryptominers 加密货币矿工使用受感染机器上的 CPU 周期为攻击者挖掘加密货币。

恶意活动(例如,内部威胁、数据盗窃、分布式、拒绝服务 (DDoS)、僵尸网络、零日攻击、基于Web 的攻击、高持续性威胁 (APT))

数据泄露攻击遵循五个主要阶段:
Reconnaissance侦察:调查目标并确定潜在的进入向量。

Initial compromise and entry初始妥协和进入:通常通过网络钓鱼或帐户接管攻击获得初始访问权限。

Establish command and control建立命令和控制:创建在受感染系统和攻击者之间发送命令和数据的通道。

Identify, select, acquire, and aggregate data识别、选择、获取和聚合数据:通过网络横向移动并获取访问高价值数据的权限。

Exfiltrate data窃取数据:使用现有的 C2 通道或附加通道将收集到的数据发送给攻击者。

恶意活动对策(例如,用户意识、系统强化、补
丁、隔离、数据丢失防护 (DLP))

Endpoint Detection and Response (EDR)端点检测和响应:为单个端点提供深入的安全监控和事件响应。

Extended Detection and Response (XDR)扩展检测和响应:跨多个端点集成监控和事件响应,以提供上下文并解决协调或分布式攻击。

Managed Detection and Response (MDR)托管检测和响应:使用第三方提供商来识别和修复组织端点上的安全事件。
Unified Endpoint Management (UEM)统一端点管理:将端点管理功能集成到单个解决方案和仪表板中。

行为分析(例如,机器学习、人工智能 (AI)、数据分析)

用户实体和行为分析 (UEBA) 系统可以使用各种分析方法,例如:
Descriptive描述性:将当前事件与过去的事件和行为概况进行比较,以识别异常行为。

Inquisitive好奇:试图找出触发特定事件或一组事件的直接原因。

Predictive预测:根据对所分析的人员或系统的了解来识别未来可能发生的事件。

Prescriptive规定性:使用各种分析技术来告知和制定对预测事件的响应。

管理移动设备管理 (MDM)

配置技术(例如,企业拥有但个人使用 (COPE))

自带设备 (BYOD)

部署模型(例如,公共云、私有云、混合云、社区云)

云计算- 一种模型,用于实现对可配置计算资源(例如,网络、服务器、存储、应用程序和服务)的共享池的无处不在、方便、按需的网络访问,可以以最少的管理工作快速配置和发布,或服务提供者交互。 NIST 800-145

公有云就是我们通常所说的面向公共用户的云。访问公共云非常容易。除了申请和支付云服务之外,没有真正的机制。它对公众开放,因此是一种共享资源,许多人将能够将其用作资源池的一部分。公共云部署模型包括可供任何消费者租用或租赁的资产,并由外部云服务提供商 (CSP) 托管。服务水平协议可以有效地确保 CSP 以组织可接受的水平提供基于云的服务。

私有云是一种云计算模式,云基础设施专用于单一组织(而不与他人共享)。

私有云从与公共云相同的技术概念开始,只是它们不是与公众共享,而是通常为构建自己的云的私有组织开发和部署。组织可以使用自己的资源创建和托管私有云。因此,此部署模型包括单个组织的基于云的资产。因此,组织负责所有维护。但是,组织也可以从第三方租用资源,并根据服务模型(SaaS、PaaS 或 IaaS)拆分维护需求。私有云为组织及其部门提供对私有云中可用的计算、存储、网络和软件资产的私有访问。

多租户技术意味着多个云供应商客户(租户)共享相同的计算资源。

社区云是一种基础设施,多个组织基于共同的需求(可以是技术或监管)共享资源和基础设施。

区云可以是公共的,也可以是私有的。它们的独特之处在于它们通常是为特定社区云开发的。例如,主要关注有机食品的公共社区云,或者专门关注金融服务的社区云。社区云背后的理念是,志同道合或兴趣相近的人可以聚在一起,共享 IT 能力和服务,并以有利于他们共享的特定兴趣的方式使用它们。

最后,混合云指的是一种结合企业本地的基础设施、私有云服务和公共云来处理存储和服务的模式。

混合云部署模型是通过结合两种形式的云计算部署模型创建的,通常是公共云和私有云。混合云计算越来越受到组织的欢迎,因为它使他们能够保持对 IT 环境的控制,方便地允许他们使用公共云服务来完成非关键任务工作负载,并利用灵活性、可扩展性和成本节约优势。混合云部署的重要驱动因素或好处包括:保留对与技术相关的关键任务和流程的所有权和监督,在组织内重用以前对技术的投资,控制最关键的业务组件和系统,以及实现非关键业务的经济高效的方法功能(利用公共云组件)。

服务类别(例如,软件即服务 (SaaS)、基础架构即服务 (IaaS)、平台即服务 (PaaS))

在软件即服务(SaaS)中,消费者可以控制用户特定的应用配置设置,但不能控制底层应用逻辑和基础设施。

在功能即服务(FaaS)模式中,云客户部署应用层面的功能(通常为微服务),只有在该功能被执行时才会收费。

在平台即服务(PaaS)中,云客户不管理或控制底层云基础设施(包括网络、服务器、操作系统和存储),但对部署的应用程序和库有控制权。

基础设施即服务(IaaS)模式为客户提供基本的计算资源(如处理、存储或网络),消费者能够部署和运行任意的软件,也可以选择操作系统。

虚拟化(例如 Hypervisor)

第三方/外包要求(例如,服务等级协议 (SLA)、数据可移植性、数据销毁、审计)

線上參考資源

tags: ISC2 SSCP
Last changed by 
Z
2
3783

Read more

資安事件新聞週報 2025/3/31 ~ 2025/4/4

1.重大弱點漏洞/後門/Exploit/Zero Day Nearly 24,000 IPs Target PAN-OS GlobalProtect in Coordinated Login Scan Campaign https://thehackernews.com/2025/04/nearly-24000-ips-target-pan-os.html Fortinet FortiSwitchManager https://nvd.nist.gov/vuln/detail/CVE-2023-25610 Fortinet FortiMail https://nvd.nist.gov/vuln/detail/CVE-2021-26091

Apr 4, 2025
資安事件新聞週報 2025/3/24 ~ 2025/3/28

1.重大弱點漏洞/後門/Exploit/Zero Day 博通修補VMware Tools高風險身分驗證繞過漏洞 https://www.ithome.com.tw/news/168087 針對已遭利用的VMware虛擬化平臺逃逸漏洞,有資安業者指出可被用於勒索軟體攻擊 https://securityonline.info/web-shell-to-ransomware-new-vmware-attack-vector-exposed-by-sygnia/ New Security Flaws Found in VMware Tools and CrushFTP — High Risk, No Workaround https://thehackernews.com/2025/03/new-security-flaws-found-in-vmware.html

Mar 28, 2025
資安事件新聞週報 2025/3/17 ~ 2025/3/21

1.重大弱點漏洞/後門/Exploit/Zero Day Fortinet發布FortiOS、FortiProxy的安全公告 https://www.ithome.com.tw/news/167334 https://www.fortiguard.com/psirt Fortinet身分驗證繞過漏洞再傳遭濫用,勒索軟體SuperBlack藉此並串連新漏洞入侵受害組織 https://www.ithome.com.tw/news/167900 思科修補IOS XR的BGP聯盟實作漏洞,若不處理恐面臨DoS服務中斷攻擊 https://www.ithome.com.tw/news/167916

Mar 21, 2025
ISC2 CISSP考試準備心得

更新時間:2024/11/28

Mar 15, 2025
Read more from Z
Published on HackMD