Domain 6 Security Assessment and Testing

--- 最後更新 : 2021/04/03 17:30 --- ###### tags: `CISSP` `D6` [TOC] # Domain 6 Security Assessment and Testing ## 6.1 Design and validate assessment, test, and audit strategies ::: info - Internal - External - Third-party ::: ### 安全評估 - **Security Test** : 驗證某控制措施是否正常運行 - 自動化掃描 - 工具輔助的滲透測試 - 試圖破壞安全的手動測試 - **Security Assessment** : 對系統、應用程式或其它待測環境的安全性進行全面審查 - 包含 Security Test 的工具使用, - 還包含環境威脅、當前與未來風險、目標環境價值 - 主要向高層提交**評估報告**，非技術語言描述的評估結果，以提高待測環境的安全性的具體建議作為結尾。 - **Security Audits** : 安全稽核雖類似安全評鑑,但是為獨立稽核員執行。 - 是為了向第三方證明控制措施有效性而進行的評估。 - 撰寫的報告類似於安全評鑑，但對象不同 - 董事會、政府監管機關、第三方 ### 稽核 - **內部稽核 Intenal Audits** - 由內部獨立稽核單位執行 - **外部稽核 External Audits** - 由外部稽核公司執行 (如四大) - **第三方稽核 Third-Party Audits** - 監管機關要求 ### 稽核標準 - COBIT Control Objectives for Information and related Technology,COBIT - ISO 27001 ## 6.2 Conduct security control testing ::: info - Vulnerability assessment - Penetration testing - Log reviews - Synthetic transactions - Code review and testing - Misuse case testing - Test coverage analysis - Interface testing ::: ### Vulnerability assessment - **漏洞描述** - Common Vulnerabilities and Exposures,CVE - Common Vulnerability Scoring System,CVSS - **漏洞掃描** > [color=red] 1.網路發現掃描 > **工具** (nmap) > - TCP SYN 掃描 : 透過丟出 SYN ,若有回復 SYN/ACK 表示系統開著 > - TCP Connect 掃描 : 適用於執行此掃描用戶權限受限者 > - TCP ACK 掃描 : 可以嘗試防火牆規則 > - Xmas 掃描 > [color=orange] 2. 網路漏洞掃描 > **工具** ==一般 (neesus、QualysGuard)、Aircrack 、開源的 OpenVAS== > - 掃描 (經認證/未經認證的身分掃描) > - 無線網路透過 AirCrack > [color=blue] 3. Web應用程式弱掃 > **工具** ==一般 (neesus) 、開源的 Nikto 、Wapiti== > [color=red] 4. DataBase 掃描 > **工具** ==sqlmap== > - SQLInjection > [color=orange] 5. 漏洞管理 > - 檢測 Detection , 掃描後,第一次發布某個漏洞 > - 驗證 Validation , 管理者確認其為漏洞 > - 修復 Remidiation , 供應商 Patch 、配置、WAF ### 滲透測試 - 執行滲透測試的安全專業人員會嘗試突破安全控制措施，入侵目標或系統來驗證漏洞。 - ==工具 : Metasploit== - 滲透測試的幾個階段 (Penetration Test) ![](https://i.imgur.com/W8peIJa.png) - **Planning** : 達成共識取得授權 - **Information Gathering and Discovery** : 結合人工與自動化工具進行偵查、掃描系統開放的Port - **Vulnerability Scanning** : 探測系統脆弱點、結合網路漏洞掃描、Web漏洞掃描、DataBase漏洞掃描。 - **Exploitation** : 漏洞利用(開採) 試圖使用人工、自動化工具破壞系統防線。 - **Reporting** : 總結滲透測試結果，提出系統安全改進建議。 - 滲透測試人員 - 內部專責人員 - 外聘僱問 - 滲透的種類 - **White Box** Penetration Test 向攻擊者提供目標系統詳細資訊，縮短偵查時間，提升發現安全漏洞可能性。 - Gray Box Penetration Test 由於成本與時間受限，需要一些知識來完成測試時採用。 - Black Box Penetration Test 不透漏任何訊息，模擬外部攻擊者。 ### 代碼審查與測試 - 代碼審查 - Code Review (Peer review) - 最正式的代碼審查稱為 **(Fangan inspections) 范根檢查法** - Planning - Overview - Preparation - Inspection - Rework - Follow-Up - 其他 Peer Review - 其他成員一起 Walk through 程式碼 - 資深人工 Code Review - 移植生產環境前，用自動化工具檢查 - 代碼測試 - **Static Test** 靜態測試 - 檢查 Buffer Overflow - **Dynamic Test** 動態測試 - 檢查是否 XSS、SQL Ingection - 使用 Synthetic transactions (模擬交易) 驗證系統效能 - **Fuzzy Test** 模糊測試 - 透過輸入不同輸入來測試其限制 - 類型 - Mutation (Dumb) Fuzzing - Generationl(Intelligent) Fuzzing (bit flipping) - **Interface Testing** 介面測試 - API - UI (GUIs or Command Line Interface) - Physical Interface - **Misuse Case Testing** 誤用案例測試 - **Test Coverage Analysis** 測試覆蓋率分析 - 分支覆蓋率 - 條件覆蓋率 - 函數覆蓋率 - 循環覆蓋率 - 語句覆蓋率 - **Website Monitoring** - ==Passive Monitoring Analyzes== (被動監測) - 擷取發送到網站的實際網路流量 - Real User Monitoring , RUM 是一種被動監測的變體 - Synthetic monitoring (Active Monitoring) - 對網站執行偽造的 transaction 評估站台效能 ### 日誌審查 - 儲存日誌數據、執行自動化及人工日誌審查 - **SIEM , Security Information and Event Management** - 透過 AD Group Policy 派送 - 日誌需要透過 NTP 校時 - ==NetFlow== 日誌,提供了系統連結和傳輸數據的紀錄。 ## 6.3 Collect security process data (e.g., technical and administrative) ::: info - Account management - Management review and approval - Key performance and risk indicators - Backup verification data - Training and awareness - Disaster Recovery (DR) and Business Continuity (BC) ::: ### 帳號管理－ Account management review - 確保用戶僅保留被授予的權限 - 驗證以解雇的用戶不保留對系統的訪問權限 ### Audit Trail (稽核軌跡) ### 關鍵績效和風險指標 - 持續監測 Key Performance and ==Risk indicators== - Number of~ - Time to resolve vulnerabilities - User attempts to visit known malicious ## 6.4 Analyze test output and generate report ## 6.5 Conduct or facilitate security audits ::: info - Internal - External - Third-party ::: ## D6 考題觀點 :::danger - Mutation testing (突變檢測) ![](https://i.imgur.com/iEFYnPg.png) - **Nikto** 站台弱點掃描工具 ![](https://i.imgur.com/CsQjbYA.png) - **OpenVAS** 開源的弱掃工具 ![](https://i.imgur.com/yHNyd8h.png) - Black Box 測試 (選項想清楚啊!!!!!) ![](https://i.imgur.com/nIcaizU.png) - WPA2 - Enterprise Mode ![](https://i.imgur.com/HcJJ5Ch.png) - 權限不足情況下使用 TCP Connection 方式探測 ![](https://i.imgur.com/0yKC2Hk.png) - Misuse Case 測試 ![](https://i.imgur.com/6PQd1HU.png) - Synthetic monitoring 綜合監控 & Passive monitoring 被動監控 (模擬) ![](https://i.imgur.com/CHLJi30.png) - 弱點處理方式 ![](https://i.imgur.com/gDKnV0P.png) - 模糊測試 ![](https://i.imgur.com/Ky2RULb.png) - Passive Monitoring ![](https://i.imgur.com/8uqNf2x.png) - Bluetooth active scans ![](https://i.imgur.com/QHqFbb9.png) - 風險看 KRI ![](https://i.imgur.com/HWP5oaq.png) - Passive Monitor 特性 ![](https://i.imgur.com/j3CRKZz.png) - Penetration testing 規劃階段最重要取得授權 ![](https://i.imgur.com/BKaZewF.png) - Penetration testing 規劃階段也得決定過程中資料儲存的方式避免外洩 ![](https://i.imgur.com/6VOdMjJ.png) - 指標 ![](https://i.imgur.com/YwbbB8u.png) - SCAP 與 CVE ![](https://i.imgur.com/axYBkqY.png) :::