CISSP学习笔记——第二章:人员安全和风险管理
第2章 人员安全和风险管理
考纲:
1 | |
1 人员安全策略和程序
🚩在所有安全解决方案中,人员经常被视为最薄弱的环节
1.1 岗位职责和描述
岗位职责就是员工常规执行的具体任务,需要给员工划分合理的访问权限(访问合理的资源、服务和对象等)。同时也要进行定期审计
1.2 候选人筛选和招聘
候选人筛选、背景调查(预防性控制措施)、推荐信调查、学历验证和安全调查验证都是证实有能力的、有资质的和值得信任的候选人的必备要素
1.3入职:雇佣协议及策略
入职:就是组织添加新员工的流程。
入职后签署雇佣协议(可接受的使用策略(AUP))和策略,也要做好新员工入职培训
为保证安全,应进行IAM身份和访问管理,IAM 提供账户并分配必要的特权和访问权限。实现最小特权原则分配权限。
**签订保密协议(NDA)**,用于保护公司敏感信息,并在离职时重申NDA
新用户账户的初始创建通常被称为注册(enrollment)或者登记(registration)
🚩开通账号和权限(Provisioning)
新员工入职,为新员工🚩开通账号和权限(Provisioning)。SPML标记语言是在不同的企业之间开通账号和权限。
1.4 员工监督
管理者定期审查员工的岗位描述、工作任务、特权和职责。防止发生岗位漂移或特权蔓延。
对于金融行业组织来说,审查的一个关键部分是强制休假(同行审查),检测性控制措施
审查措施还有:职责分离(预防性控制措施)、岗位轮换(检测性控制措施)和交叉培训
用户行为分析UBA和用户与实体行为分析UEBA:为特定目标或意图,对用户、主体、访客、客户等的行为进行分析的概念
1.5 离职、调动和解雇流程
完整的离职过程包括:
🚩
撤销该员工的电子访问权限,包括禁用用户账户、撤销证书、取消访问代码以及终止其他被特别授予的特权。(必须仔细协调收回公司资源的电子访问权限。如果没有及时撤销访问权限,则被解雇的员工可能会利用该访问权限采取报复行动。另一方面,如果访问权限过早被撤销,则员工可能会发现自己即将被解雇。)然后向公司相关的工作人员通知解雇
通常不会直接删除用户账户,应当保留一定时间以进行审计。
离职要重申保密协议
撤销账号和权限(deProvisioning):人员离职或部门转移情况
一般由人事部门发起开通账号和权限(Provisioning)和撤销账号和权限(deProvisioning)
1.6 供应商、顾问和承包商的协议和控制
使用SLA(服务水平协议)确保提供服务的组织在供应商、服务提供商以及客户组织达成协议。
SLA 以及供应商、顾问和承包商的控制是降低风险和规避风险的重要部分
外包(第三方)也是风险应对的一种方法,称为转移或转让风险,外包只能转移风险,但不会转移责任
外包(供应商、顾问和承包商)也代表商业秘密被窃取或遭遇间谍活动的风险增加
供应商管理系统(VMS)提供便利和安全性
🚩在与第三方的合同条款上,增加保密要求(NDA),和相关的商务条款
1.7 合规策略要求
合规是符合或遵守规则、策略、法规、标准或要求的行为,合规是一种行政或管理的安全控制形式。不合规也是一种风险
合规一般由首席信息安全官(CISO)或首席安全官(CSO)、员工经理、审计员或第三方监管人员执行。
1.8 隐私策略要求
隐私一般包括PII(个人身份信息),HPI(健康信息)
1 | |
🚩需要保护员工隐私
2 🚩风险管理(ISO/IEC 27005 及 ISO/IEC 31000)
🚩风险管理目标:将风险降至可接受的水平,风险管理是收益/成本,安全性/可用性之间的平衡
风险管理组成:风险评估和风险响应
风险评估:检查环境中的风险,评估每个威胁事件发生的可能性和实际发生后造成的损失以及风险的控制成本,
风险响应:根据风险评估的结果进行优先级排序,然后进行响应,就是进行成本/收益分析的方式评估风险控制措施、防护措施和安全控制,并向管理层进行汇报响应方案,按照管理层决策和指导,然后进行响应措施。
2.1 风险术语
资产:一个组织的有价值的任何事物,包括有形资产和无形资产
资产估值:根据多个因素给资产指定的货币价值,定量
🚩威胁:任何可能发生的、对组织或特定资产造成不良或非预期结果的潜在事件
威胁代理/主体:利用脆弱性的主体,比如人、程序、系统等
威胁事件:就是威胁对脆弱性的利用,威胁事件是自发的或人为的
威胁向量:就是攻击者所使用的工具、路径或手段
🚩脆弱性:资产的弱点,也就是漏洞,被威胁利用的弱点,包括技术漏洞和管理漏洞
暴露:就是威胁导致资产受到破坏的可能性
风险:🚩风险=可能性*影响,威胁利用脆弱性对资产造成危害的可能性,或对资产可能造成损害的严重程度
防护措施:安全控制、保护机制措施来消除或减少脆弱性
攻击:威胁主体尝试利用脆弱性造成资产破坏、丢失或泄露
破坏:成功的攻击
2.2 资产估值
概念:就是根据多个因素给资产指定的货币价值,确定组织资产的重要性
风险分析:目标就是确保只部署具有成本效益的防护措施
防护措施年度成本不应该超过资产的年度损失期望
2.3 识别脆弱性和威胁
列出威胁列表,主要包括威胁主体及威胁事件。
🚩威胁建模一般是在软件开发的设计阶段
🚩2.4 风险评估/分析
2.4.1 识别风险
(1)🚩识别信息资产
建立资产清单,识别有形资产和无形资产,以及资产的所有者和使用者等
识别每项资产的拥有者、保管者和使用者;
资产的表现形式:实物资产和无形资产。
(2)识别威胁
一项资产可能面临多个威胁,一个威胁也可能对多个资产造成影响
识别威胁源:包括人为威胁、自然灾害威胁、系统威胁、环境威胁等
(3)识别脆弱性
针对每个资产识别相应的脆弱性,包括技术脆弱性、管理脆弱性、操作脆弱性等
可通过漏洞扫描工具、审计报告、安全检查报告和评估报告等方式进行识别
2.4.2 分析风险
风险评估/分析主要是技术人员将风险评估结果汇报给管理层,管理层进行决策和批准,管理层决定哪些风险是可接受的,哪些是不可接受的。
(1)分析因素
影响:受损后造成的直接损失;资产恢复需要的代价,包括检测、控制、修复的人力和物理;组织公众形象和名誉损失,竞争优势损失;其他损失,如保险费用的增加等。
可能性:
🚩(2)定性的风险评估
考虑各种风险可能发生的场景,并基于不同的观点对各种威胁的严重程度和各种对策的有效性进行等级排列
🚩定性风险分析更多的是基于场景,如头脑风暴、场景、Delphi等
场景就是将每一种威胁进行描述,描述威胁如何产生、以及可能对IT基础结构和特定资产产生哪些影响。
Delphi是多人匿名反馈和响应的过程。
INST800-30 定性RA 方法,关注IT风险
🚩(3)定量风险评估
🚩定量分析会尝试为风险分析过程的所有元素都赋予具体的和有意义的数字,防护措施的成本、资产价值、业务影响、威胁频率防护措施的有效性、漏洞利用的可能性等每个元素都被量化,最后计算出总风险和剩余风险。一般需要借助自动化工具帮助分析
定量风险分析可计算出具体概率指数或用数字指示出相关风险的可能性
步骤:
①给资产进行赋予价值
②估计每种威胁的潜在损失:暴露因子EF,表示如果已发生的风险对组织的某个特定资产造成破坏
③年度发生率ARO:在一年内特定威胁或风险发生(即真实发生)的预期频率
④单一期望损失SLE:特定资产发生单一真实威胁的潜在损失。
🚩SLE(单一期望损失) = AV(资产价值)*EF(暴露因子)
⑤🚩年度损失期望ALE:特定资产的单一特足威胁实际发生的所有实例
ALE=ARO * SLE
(4)OCTAVE
一种基于信息资产风险的自主式信息安全风险评估规范,强调以资产为驱动,由3个阶段、8个过程构成
OCTAVE方法在全组织范围内部署风险管理程序并与安全计划集成
(5)CRAMM
基本过程:资产识别和评价;威胁和弱点评估;对策选择和建议
(6)FRAP
经过预先筛选,只关注那些的确需要评估以降低成本和时间的系统,适用于预算有限的情况
(7)STA
创建一个系统可能面临的所有威胁的树枝可以代表诸如网络威胁、物理威胁、组件失效等类别,进行RA时, 需要剪除不用的树枝
(8)FMEA
源自硬件分析。考察每个部件或模块的潜在失效,并考察失效影响
2.4.3 评价风险
根据风险分析的结果,评价风险的大小,便于后续选择相应的风险处置对策
2.5 风险响应
🚩风险缓解:通过安全措施、安全控制和安全对策减少脆弱性(通过安全意识培训,强化安全操作能力)或阻止威胁(实施恶意代码控制措施),并降低影响(灾难恢复计划和业务连续性计划,做好备份)
🚩风险转让:将风险带来的损失转嫁给另一个实体或组织。常见的形式就是购买网络安全服务或保险和外包。转让风险但不转让责任。
风险震慑:是对可能违反安全和策略的违规者实施下威慑的过程,如警告横幅等
🚩风险规避:选择替代的选项或活动的过程,或者通过选择放弃来规避风险。
🚩风险接受:成本/收益分析表明控制措施的成本将超过风险可能造成的损失之后的结果,
风险拒绝:一个不可接受的但可能发生的风险响应是拒绝风险或忽略风险,否认风险的存在,并希望用于不会发生
🚩固有风险:在风险管理之前的初始风险,不考虑安全措施
🚩残余风险:在实施安全措施之后仍然存在的风险
🚩控制风险:控制措施不能达成控制目标的风险,管理控制风险的最好措施就是持续监控
2.6 安全控制的成本和收益
针对每一种风险列出或生成防护清单
🚩成本效益分析:
①基本原则:实施安全措施的代价不应该大于所要保护资产的价值;
②对策成本:购买费用,对业务效率的影响额外人力物力,培训费用,维护成本费用等;
🚩成本收益方程式= (防护措施实施前的 ALE-防护措施实施后的 ALE)-ACS防护措施的年度成本
2.7 选择和实施安全对策
确定是否有安全控制措施的保护依赖于风险评估的结果
在设计有效的安全控制时,必须考虑设计的易用性
2.7.1 🚩管理型控制措施
管理性控制措施是依据组织的安全策略和其他法规或要求而规定的策略和程序
包括:安全策略、程序、背景调查、数据分类和标签、安全意识和培训,报告和审查、工作监督、人员控制和测试、风险管理、人员安全等
2.7.2 🚩逻辑型控制措施
逻辑性控制措施包括身份认证方法、加密、限制接口、访问控制列表、IDS等
2.7.3🚩 物理型控制措施
专为设施和真实世界对象提供保护的安全机制,包括门禁、栅栏、锁、刷卡、摄像头、报警器等。
2.8 适用的控制措施
2.8.1 🚩预防性控制措施
主要是事前的预防,包括:职责分离、DLP、访问控制方法、防火墙、安全策略、杀毒软件、安全意识培训、加密、IPS
2.8.2 🚩检测性控制措施
在事中和事后进行,包括:运动探测器、闭路电视监控CCTV、岗位轮换、强制休假、蜜罐、IDS、日志审计
2.8.3 补偿性控制措施
当某一类控制措施失效时,才会采用补偿性控制措施
2.8.4 🚩恢复性(纠正性)控制措施
在事后进行,包括:备份和恢复、服务器集群、虚拟机镜像、业务连续性和灾难恢复(BCP/DRP)
2.8.5 🚩指示性控制措施
包括安全策略要求或标准、发布的通知、保安指引、逃生路线出口标志、监控、监督和程序。
2.9 安全控制措施SCA
SCA是依据基线和可靠性期望对安全基础设施的各个机制进行正式评估,确保安全机制的有效性
NIST SP 800-53 信息系统和组织的安全和隐私控制
2.10 监视和测量
安全控制提供的收益应该是可被监视和测量的
2.11 风险报告和文档
编写风险评估报告,并将其提交给利益相关方,利益相关方能清晰和准确地支持决策的制订,并定期更新。
2.12 持续改进
风险成熟度模型RMM
初始级:开始风险管理时的混乱状态
预备级:尝试遵守风险管理流程
定义级:采用通用或标准化的风险框架
集成级:风险管理操作被集成到业务流程中
优化级:实现目标,并将吸取的教训重新归纳到风险管理
EOL(生产终止期):指制造商不再生产产品的时间点
EOS(支持终止期)或EOSL(服务终止期):产品不再提供服务的时间
2.13 风险框架RMF
CSF 是为关键基础设施和商业组织设计的网络安全框架,五个核心功能:识别、保护、检测、响应和恢复
🚩RMF风险管理框架步骤:准备——分类 ——选择——实施——评估——授权——监控
3 社会工程
3.1 社会工程学原理
(1)权威
由于很多人都会响应权威,攻击者就会利用这一点进行攻击,如攻击者伪造CEO向下属员工发送特定的指示。
(2)恐吓
恐吓利用权威、信任甚至威胁伤害来推动某人执行命令或指示。
(3)共识
利用一个人的自然倾向行为。模仿他们正在做或做过的事情。
(4)稀缺性
攻击者利用某人因其稀缺性而具有更高价值的技术的心理进行攻击
(5)熟悉
攻击者利用一个人对熟悉事物固有的信任进行攻击
(6)信任
攻击者与受害者建立关系来说服受害者透露信息或执行违反公司安全的行为
(7)紧迫性
紧迫性通常与稀缺性相呼应,因为稀缺性代表错失的风险更大,所以迅速采取行动的需求就会增加
3.2 获取信息
社会工程人员对目标对象使用的任何收集信息的手段或方法都是获取信息。
3.3 前置词
前置词是在其他通信的开头或标题中添加的一个术语、表达式或短语。如添加“关于”、“转发”等。
前置词攻击还可用于欺骗过滤器,如垃圾邮件过滤器、反恶意软件、防火墙和入侵检测系统(IDS) 。
3.4 网络钓鱼
攻击者通过发送虚假邮件,邮件中可能包含虚假的恶意链接或诱导用户在系统安装恶意软件来实现攻击者的目标。
网络钓鱼模拟器是一种用于评估员工抵抗或参与网络钓鱼活动的能力的工具
3.5 鱼叉式钓鱼攻击
鱼叉式钓鱼攻击是专门针对个别目标或特定组织的攻击,攻击者通过伪装成值得信任的实体或个人,鱼叉式钓鱼攻击也称为商业电子邮件泄露(BEC)
水坑攻击:攻击者通过分析受害者的网络活动规律,寻找受害者经常访问的网站的弱点,然后植入恶意代码或链接。当受害者再次访问这些网站时,就可能会被植入恶意程序或被盗取个人敏感信息,如用户名、密码、信用卡信息
3.6 网络钓鲸
网络钓鲸(whaling) 是鱼叉式网络钓鱼的一种变体,针对的是特定的高价值人员
3.7 短信钓鱼
短信钓鱼是基于SMS服务进行发送钓鱼短信,如短信包含恶意链接、要求回复来进行强制扣费等行为,
3.8 语音网络钓鱼vishing
🚩vishing是通过任何电话或语音通信系统进行的网络钓鱼
3.9 垃圾邮件
垃圾邮件(spam)是任何类型的不受欢迎和/或未经请求的电子邮件,通常携带恶意攻击内容和攻击向量,作为社会工程学攻击的载体
3.10 肩窥
当有人能够看到用户的键盘或显示器时,就会发生肩窥。
3.11 发票诈骗
通过提供虚假发票然后强烈诱使付款,以期从组织或个人那里窃取资金。攻击者经常试图以财务部门或会计团体的成员为目标。
3.12 恶作剧
恶作剧经常声称不采取行动的应对方式会造成伤害,如指示受害者删除文件、更改配置设置或安装欺诈性安全软件,导致系统受损,或安全防御能力降低,电子邮件恶作剧通常鼓励受害者将信息转发给所有联系人,恶作剧通常是在没有可验证来源的情况下实施欺骗的。
3.13 假冒和伪装
假冒也可被称为伪装、欺骗,甚至是身份欺诈
3.14 尾随和捎带
当一个未经授权的实体利用一个合法员工的授权,在该员工并不知情的情况下进入一个设施时,就发生了尾随(tailgating)行为
当未经授权的实体通过诱骗获得受害者的同意并在合法工作人员的授权下进入设施时,就发生了捎带
3.15 垃圾箱搜寻
通过挖掘垃圾、废弃设备或废弃地点来获取有关目标组织或个人的信息的行为。
防止垃圾箱搜寻攻击的方式有所有文件在丢弃之前都应该被切碎和/或焚烧。安全的存储介质处理方式通常包括焚烧、切碎或碎裂。
最有效的方式就是安全意识培训
3.16 身份欺诈
身份欺诈(identity fraud) 和身份盗窃是经常互换使用的术语
非法获取和使用他人的个人数据的犯罪,通常是为了获得经济利益
3.17 误植域名
是一种在用户错误输入目标资源的域名或 IP 地址时捕获和重定向流量的做法,攻击者抢注预测的URL域名,如用户输入google.com是输错为googles.com(攻击者抢注的域名,为恶意)
URL劫持还可以指某种显示链接或广告的做法,点击劫持是一种将用户在网页上的点击或选择重定向到备用的、通常是恶意的目标
3.18影响力运动
是试图引导、凋整或改变公众舆论的社会工程攻击。
Doxing 是指收集有关个人或组织(也可以包括政府和军队)的信息,以便公开披露收集的数据,以指向对目标的感知。
(1)混合战争
军事战略与现代能力相结合,包括社会工程、数字影响力运动、心理战、政治战术和网络战争能力
(2)社交媒体
社交媒体(social media) 已经成为民族国家手中的一件武器,因为他们对目标发动混合战争
4 建立和维护安全意识、教育和培训计划
4.1 安全意识
建立安全意识的目标是让用户将安全放到首位并认可这一点。安全意识在整个组织中建立了通用的安全认知基线或基础
使用调查或第三方评估来评估意识活动的有效性
没有恶意的泄露是因为安全意识培训做的不到位。
安全意识培训的主要目的是使员工清楚应该承担什么样的安全责任
4.2 培训
培训是指教导员工执行他们的工作任务和遵守安全策略,使员工遵守安全策略中规定的所有标准、指南和程序
4.3 教育
用户学习的内容比他们完成其工作任务实际需要知道的多
4.4 改进
通常可以通过各种手段的方式来提升安全意识和改进培训
4.5 有效性评估
必须对所有培训材料进行定期的内容审查