Cissp Domain 6 Security assessment and testing 安全評估與測試

# Cissp Domain 6 Security assessment and testing 安全評估與測試包含資安檢測資安測試資安評估 ## Purpose of Security Audit and Asseement P6 ```mermaid flowchart LR Controls-->objectives控制目標是什麼 Controls-->effective控制要有效 ``` > 實做哪些控制目標 ; 並有效處理目的：透過蒐集一些資訊，評估控制措施有效性，有達到目標以及有效，有效也可符合遵守（compliance） * Artifact 這個字不太好翻，人為產生的，人工的，這裡引申的意思是活動或是控制措施產生的data * 政策程序執行紀錄表單備份檢查表系統應用程序log * Audit * Compliance standards 依據是什麼 (ex:iso 27001,PCIDSS * Audit body of practice 執行稽核焦熱是誰 * Formalvs informal 正式和非正式稽核 * 稽核計畫 --- ## Audits P7 Compliance Calendar 合規行事曆 --- ## Practice of Audit P8 控制措施需要改善，稽核可以開不符合或是開**發現**findings * findings翻成缺失比較不夠理想，因為也有正面發現，但要講缺失也是可以，只是這類都很輕微 * Artifacts 依據 * Criteria * 依據Compliance Calendar本文哪一條? 哪一個控制措施? 不能隨便亂開 * Condition * Cause * 狀況為什麼會發生？ * 原因是什麼？ (原因的發現方式可以是跟人員訪談時問出來的) * Effect 影響程度 impact * 決定影響程度？ * 是否嚴重？ * Recommendation * Action that must be taken to **correct** the cause * 改善建議如何改？ ## 稽核發現紀錄報告講義有圖片補充 P9 這份比較好有改善建議有些稽核員不會給或是只有口頭描述而已因為這可能有稽核中立性問題，稽核員不方便回答 --- ## AICPA SSAE and SOC Reports * SSAE * AICPA * SOC Report，system and organization controls (soc) * 台灣知名度不高，美國客戶就會要求要看此份報告 > 考試會考 (SOC) report的意思借外面的參考 [認識 SOC 不同類型的審計報告](https://kordan.medium.com/認識-soc-不同類型的審計報告-3af171c8cb0e) SOC 1、SOC 2 和 SOC 3 有什麼不同？它們各自適用於不同的場景和需求。 > SOC 1: 針對內部控制對用戶組織的**財務報告**的影響。 SOC 2: 專注於一個或多個由 AICPA 定義的信任服務準則，如安全性、可用性、處理完整性、機密性或隱私。 SOC 3: 是一種簡化的 SOC 2 報告，主要用於營銷目的。它同樣基於信任服務準則，但不提供詳細的控制描述或測試結果。 > SOC 3 報告更適合公開分發，而 SOC 1 和 SOC 2 報告通常僅限於特定的利益相關方。如果您希望對外展示您的合規性但不願提供過多細節，SOC 3 是一個不錯的選擇。 --- ## TCS P12（需再補充） * Criteria * --- ## SOC Reports P13 * SOC 1 財務報告，只知道有一個日期，但不知道區間時間 * SOC 2 資安服務有關，要運作一段時間 6個月~12個月 * SOC 3 資安服務有關 SOC3是2的精簡版，例如想要宣傳自己的SOC報告，但有弱點的話不能讓人看，所以把一些敏感資料移除後就能給人下載 * SOC for Cybersecurity 針對組織資安風險制度，類似ISO27001 * > [補充:What is SOC for Cybersecurity](https://www.schellman.com/blog/soc-examinations/what-is-soc-for-cybersecurity) SOC 報告範例 * dropbox SOC3報告，裡面有下載點 https://www.dropbox.com/zh_TW/business/trust/compliance/SOC * GCP SOC 3 https://cloud.google.com/security/compliance/soc-3?hl=zh-tw --- ## Industry and Region-Specific Standards P14 ☆=很常見重要 ▽=普通重要 * ☆PCI-DSS 支付使用 * ☆IEC 工控環境 * Cyber Essentials 英國國家網路安全中心台灣不太Follow能見度較少 * CIP 美國北美電力基礎關鍵設施 * UL 2900 針對電氣設備制定的（ICS）接觸較少 * ☆STAR 雲端安全聯盟CSA能見度高雲端服務提供者 * ISAR 3000 這是歐洲Audit standard稽核標準較少見 * ▽Customer Security Controls Framework, SWIFT Network 銀行相關,跨境匯兌SWIFT,規範銀行要遵循這個規範 * 雙因子認證 --- ## Audit and Assessment Process P15 * Internal 內部 * 一方稽核(自己做)，內部稽核、弱點掃描也算 * 第二方稽核（集團母公司稽核） * External 外部第三方稽核 * Steps 稽核步驟 * planning 規劃 * Assessing 評估 * Reporting 報告 * Remediating 受稽方根據報告修正矯正措施 ## Audit And Assessment Process 稽核程序 P16 * planning 規劃 * 頻率多久要做一次？ * 資安法轉為公司內部政策 * 提供資源,提供預算 * 使用哪種標準 Standards * 目標是什麼？範圍是什麼？ * 與相關人員進行溝通 * 進行風險評鑑。為什麼規劃階段也要風險評鑑? 因為 Auditing 可能產生 Impacting，像是技術Audit如滲透測試，可能會對正式環境產生衝擊 * 查核表（Audit Checklist） * 根據稽核檢核用 * EX:通常會放標準（如：ISO 27001）控制措施 * Gap analysis 受稽核方自我檢查 * 比對現在狀況current與標準(如：27001)是否有落差 * 有些公司一受稽完就放空城，隔年快要稽核才開始補東西 * Assessing 評估 * Acting within plan 通知受稽核方 * 遠端或到場進行 * 技術檢測很多都做遠端，像是弱點掃描滲透測試 * 收集產生的東西 Garther Artifacts，後面可以用來做 finding * Reporting 報告 * Drafting 出報告 * 看報告（如管理階層） * 報告會議 * Protection 需注意artifacts與隱私相關 * Remediating 修正矯正措施 * 依據嚴重性分等級 * Plan of Action and Milestons 美國政府喜歡用的專有名詞PoAM，這件事要做，但要怎麼做? 就是執行計畫 * Contnual Process improvement持續改善 --- ## Third-Party Assement 要求第三方 P20 可依據此標準要求第三方 * Extensive supply networks * CSP, ISP, MSSP ，MSP = ManagedSecurityServiceProvider * Standards 標準 * ISO 28000 針對整個供應鏈很大的框架 ISO 28000：2022 供應鏈安全管理系統，很大的框架，包含船舶港口等等 > ISO 28000 供應鏈安全管理標準，可協助組織強化供應鏈、全球貨物運輸和物流系統的安全性，結合了傳統的供應鏈管理實務與安全措施，讓您的組織擁有卓越的供應鏈安全管理政策 * NIST 800-161 * UK NCSC * Suppliers to suppliers 針對複委託廠商、次要供應商 ## Principles of Supply Chain Security 俗稱（PDCA） P21 上到下剛好就是跟PDCA一樣 1. Understand the Risks D.D due diligence * 理解風險有什麼 3. Establish Control D.C due care * 針對供應上進行控制措施 5. Check your arrangements * 進行履約 6. Continuius improvement * 進行改善 --- ## Control P25 * Security assessment policy * 為什麼要做這件事？大原則是什麼？ * Tailoring the assessment * 後續會介紹assessment三種手法 --- ## Security Assessment Policy P26 * Organziational requirements 要求是哪邊來的 * 角色跟責任，例如 ISMS 就有寫到管理階層、內稽組員編制資格、 * 頻率，多久要做一次 Assement frequency * 回報機制稽核結果跟誰回報 --- ## Tailoring the Assessment P26 * Threats , business compliance * 依照威脅是什麼意思? 例如今年cisco設備出問題，就特別專挑這個威脅來做 * 或是 log4j 事件，特別檢查有無更新 * Sampling * 稽核為抽樣過程，要有一定的信心水準，透過指引取樣要有多少達到信心水準 * Constraints(impact) * 簽立 NDA 並加上限制，商業機密不能被稽核也是放在這裡 * Professional expertise * 稽核目的需要不同專業知識，找專家來當專家稽核員 --- ## Tailoring the Assessment 投影片有圖 P27 --- ## Examination 檢查 P28 靜態檢查（組態,防火牆）等規則，進行檢驗 --- ## Interview 訪談 P29 人員訪談針對組織熟不熟悉，問題求證透過訪談: * 訪談題目放在檢核表(定義主題)定義深度與廣度 * interview方法 (問卷questionnaires 團體訪談面對面訪談)等方式，記錄下來 (artifact) ## testing 技術性方式檢測 P30 可能會對系統做 Hands-on work 實際操作，impact較高可能產生影響例如要求 DB 是 Producting 不要對他掃描，免得把主機弄壞，掃掛也不能說都是客戶的錯，解決方案：請系統管理員開監控看著資源消耗或是有無異常，發現重大狀況就立刻停止掃描 * nist提的三種testing 掃描滲透測試社交工程演練 > 稽核看,寫說做一致 Examination:寫 Interview：說 testing:做 --- ## Testing Perspectives P31 * Internal 內部 * 從組織內部做掃描，檢查裡面 * External 外部 * 從外面掃描，檢查**周界**防護狀況，例如防火牆 ips waf 防護的程度到哪裡成本夠就內部外部都做 ![image](https://hackmd.io/_uploads/Hylq8pGIT.png) 去邊界化 ->零信任架構 ->microsegmentation 微切分架構 --- ## Testing Methods P32 * Vulnerability assessment * 自動進行掃描，範圍廣但不深入 * 分析：確認是否有誤報？例如 IIS主機掃出apache的弱點 * Ethical pentration testing 滲透測試 * 部分人工測試，範圍沒那廣，深而窄，通常會嘗試 exploit 利用弱點，看是不是真的能打進去，類似健康檢查發現有問題就做切片 * (RoE)基於雙方約定好教戰手則 * Considered best (good) pratice * graybox 灰箱測試給駭客一個允許測試環境 * Blind and double-bind 受測方可能也不知道要被測試，秘密客的感覺無預警測試，只有管理者知道 * 參考就好：付費滲透測試和道德駭客獎金獵人不一樣 Ethical penetration testing (contracted,RoE) is not ethical hacking(e.g bog bounty program) * redteam 紅隊演練：廣而深，只要組織觸及到的地方，相對費用較高 --- ## Penetration Testing P37 * Chartering(特許/允許)：獲得甲方（受測方）的允許，通常以合約方式呈現，雙方約定彼此規則， * 發現重大漏洞要停止先通報？還是掃瞄完在通報， * 確認聯絡範圍 * Discovery探索(目的是蒐集情資)：可能包含技術類的(ping sweeps,DNS), 開放原始碼檢視open-source review * Scanning 掃描(目的是蒐集情資)：Fingerprint 識別OS；選定工具開始送進去作攻擊 * Exploitation探索：選定攻擊工具已經放進去了,payload執行達到效果(木馬,惡意程式) * Reporting 出報告 --- ## Ｃontinuous Assessment (持續性評估) P38 原本頻率訂出來一年要做幾次，有沒有可能提高頻率? 這就是持續性評估資訊的環境變化很大變化很快，希望透過資訊化達到 realtime * 滲透測試 point-in-time * 專有名詞 Breach and attack simulation (BAS) * 持續評估安全狀態 * 模擬威脅評估控制措施有效性 * Chaos engineering * Chaos是混沌，亂數測試；針對生產環境做無預警測試 * Netflix有個Chaos Monkey * 一般測試都不會在正式環境，但 netflix覺得對自己服務有信心，想要在更嚴苛的測試，就用Chaos Monkey隨機讓幾個vm壞掉，看服務是否能正常運作，就用這個工具隨機把服務下架10台，看有沒有出事 * 實際工具用法不一定是關機，而是隨機用各種攻擊亂打不同伺服器參考文件 [混沌工程與測試工具包Chaos Monkey](https://www.find.org.tw/index/tech_obser/browse/f2e3c697ca09f25a0e1f855f7e2cab9b/) --- ## BAS 補充範例影片 Cymulate Immediate Threats Intelligence Module - Training [看youtube:Cymulate Immediate Threats Intelligence Module - Training](https://www.youtube.com/watch?v=TzEdImSxNc0) 威脅劇本模擬要演練哪個 ![image](https://hackmd.io/_uploads/H1sAtTz8p.png) 威脅的描述 ![image](https://hackmd.io/_uploads/B1EZ9azLa.png) 威脅劇本是模擬勒索軟體 email的途徑，中間圈圈是防禦措施，是否有阻擋，給予評分 ![image](https://hackmd.io/_uploads/rJbEcaz8a.png) 最後得到分數 summary 總結 ![image](https://hackmd.io/_uploads/r1fvcafI6.png) 看細部的，例如 gateway 沒有擋下來，給予改善措施 ![image](https://hackmd.io/_uploads/HyLu9TML6.png) --- ## Ethical Disclosure of Vulnerabilities P41 你是白帽駭客發現漏洞怎麼揭露才是有道德? * 不揭露 or 馬上揭露出來 (兩種都不好) * 漏洞揭露出來是否有違法？ * whistleblowing 吹哨者：不經過允許之下，把漏洞揭露出來 * 可能是違法的 (看國家有無保護法案) * 愛德華·約瑟夫·史諾登，前美國中央情報局職員，美國國家安全局外包技術員。因於2013年6月在香港將美國國家安全局關於稜鏡計劃監聽專案的秘密文件披露給英國《衛報》和美國《華盛頓郵報》，遭到美國和英國的通緝。 * Vulnerabilities Equities Process (VEP) * 弱點揭露公正評估流程，由電子前哨基金會（Electronic Frontier Foundation,EFF） * 美國聯邦政府可以揭露也可以因為有機密問題不要 * Responible disclosure 彈性揭露 * 給廠商有時間出 patch * Google Project Zero ，給 60 Days出 patch * [hitcon zero day](https://zeroday.hitcon.org/resource/tutorials) 也有給時間，60天自動公開 --- ## Monitor Controls and Collect Data 補充 P44 Security process and controls generate various data * 收集控制措施資料監控有效性 * Ｍeasurement 量測 * 搜集原始資料(raw data) * 30秒ping一次看有通沒通，這些紀錄就是 raw data * Metric公制/indicator指標 * 經過計算Calculate或分析 Analyze拿到數字就是Metric * 怎麼計算呢? 公式=Ｃount OK(OK次)數/total ping * Ongoing controls effectiveness performance 把有效性表現結果跟一開始目標檢查有無達標 --- ## IAM Artifacts 有哪些東西? P46 * 資安稽核 * 帳號盤點 * 事故調查 * 帳號權限審查 * 授權紀錄 * 帳號被稽核紀錄 ## SETA P47 教育訓練,教材,執行紀錄 --- ### Availability Artifacts P48 * 管理 * 角色定義、事故應變計畫 * 技術 * 備份 * 實體 * 電力 AC --- ## BC/DR Testing and Training P49 * 採用的框架或標準 * 有沒有異地？ * BCP DRP計畫 * BCP DRP演練紀錄 * 備用設備清單 * **營運衝擊分析BIA 結果** * more in domain 7 --- ## Application Performance P50 跟資安比較沒有關係，如何評估應用程式效能 Performace 或使用者體驗? * Real User Monitoring RUM * Passive 搜集使用者體驗;埋GA Script * **即時**使用者身上擷取與分析產品的轉換情形 * **長期**追蹤趨勢 * Synthetic Monitoring * 屬於Proactive * 模擬Client來接受你的回應，評估效能，相對會影響到生產主機的效能例如 Google chrome 可以檢查 lighthouse (page speed insight) * 檢查介面 ![image](https://hackmd.io/_uploads/BkYf1AzUT.png) * 檢查結果 ![image](https://hackmd.io/_uploads/rJGLyCML6.png) --- ## Analyze 6.4 * 分析結果如何與管理階層進行報告 --- ## Measure Security Performance P54 * 關鍵績效指標 Key Performance Indicators(KPI) * 用過去收集到的效能指標((past performance)) 證明目標有達成 * 基本資安目標 CIA * 過去看現在有無達標，目的是持續矯正改善，是一種落後指標(這個落後不是不好，只是描述他的狀態) * 關鍵風險指標 Key Risk Indicator(KRI) * 從現在的風險狀況去預估月可能產生什麼風險，為領先指標（預判未來） --- ## Example of Security KPIs P55 目標：降低人員透過個人Email傳遞訊息方式：透過問卷調查，收集到Measure Methopd,做比對是否有達到標準 KPI：經過訓練後，有多少數量的員工沒有用個人email傳遞訊息量測方法：問卷稽核目標：確定同仁是否有雙密碼？（量測Survey）是否有做到(Audits) --- ## Example of Security KRIs 投影片更多東西回去補看 P55 現在：有未經授權的存取未來：風險數量可能會增加 ## Management Review and Approval P57 提報管理階層，每年都有重要會議管理審查會議：將KPI統整起來匯報，提報管理階層決議: * Exemptions from normal activties 例外狀況 * information related to previous reviews 前次的review 情形交辦事項做了沒 * Ongoing metrics elated to outcomes 計算結果有無達標 * results of audits 稽核結果 * （最重要）when security 資安目標是否達成沒有達標的話會有進一步追問 * 關注方回饋 feedback * 風險評鑑結果 > 以上這些內容大多在ISO 27001裡面都看得到 ## Remediation 修正矯正改善 P58 * Controls ineffective * Improve the control * 人力預算不足 = 接受風險 (持續監控有機會就改) * 進行持續改善這邊先不細提 Domain7 會講更多 ## Continuous Improvement P59 * Organizational Culture 組織文化 * Continual Process Improvement CycleCPIC * Inherent in major framework * PDCA * Six Sigma(六個標準差 6σ)，製造業比較常用 * DMAIC(DMAIC六標準差概論) * D：(Define)定義問題，客戶需求和項目目標等等。 * M：(Measure)測量當前流程的關鍵方面，收集相關資料。 * A：(Analyze)分析數據，尋求和檢驗原因和效果之間的關係，確定是什麼關係，然後確保考慮到所有因素。通過調查，發現因為殘疵的根本原因。 * I：(Improve)改善優化當前流程，根據分析數據，運用不同方法，例如實驗設計、防誤防錯或錯誤校對，利用標準工作創建一個新的、未來的理想流程，建立規範運作流程能力 * C：(Control)控制改變未來流程，確保任何偏離目標的誤差都可以改正。 ---