Choson資安大小事
-什麼是風險?
選項B提供了最佳視角,但正確的版本應為“剩餘風險低於董事會的風險承受能力。”
基於風險的決策應在投資評估過程中行使。地震可能會頻繁發生,並導致電力和通信中斷,建築物毀壞,業務中斷,財產損失和人員傷亡等。
. “確保數據中心的可靠性”意味著要考慮並評估一些風險處理措施,以使數據中心能夠承受可接受的地震級別。它降低了風險,或更具體地說,降低了災難的可能性。
. 僅當災難恢復不會一次又一次地進行時,這項投資才是可行的。董事會對今年重建或恢復設施或服務不滿意,該公司將在來年再次這樣做。
. 此外,每個災難恢復都必須達到RTO,RPO(如果有)和SDO(服務交付目標)之類的目標;並且RTO“應”小於MTD。換句話說,選項C和D是必要的,但還不夠。從風險管理的角度來看,災難恢復減少了損失或影響;它不會處理可能性或可能性。
參考
. 環太平洋火山帶
資料來源: Wentz Wu QOTD-20210215
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
分類方案適用於整個組織。RD負責人定義一個是不合適的。此外,由於發布了資產分類準則,這意味著分類方案已作為組織標準得以實施。
. 資產的類型很多。數據只是其中之一。以一百萬美元的價格購買的資產顯然比兩千美元的資產更有價值,並且值得採取更多的保護措施。
. 可能造成一百萬美元損失的資產比具有兩千美元損失的資產需要更多的安全控制。
. 強制訪問控制(MAC)通常在政府部門中實施;很少或一些私營企業可以實施它。但是,在Windows Vista和更高版本中,Microsoft提供了強製完整性控制(MIC),這是一種強制實施完整性的MAC實現,其中,所有主題和對像都具有MIC標籤,如下圖所示。
-Windows 10中的強製完整性控制(來源:Windows Club)
“資產分類是資產的系統的安排的通過將資產分配給一個過程命名的類基於(組,類別,層,或水平)的標準,如法律或法規的要求,靈敏度,臨界,衝擊,或商業價值來確定其保護要求。一個分類方案指的是名為類標準,並用於分類程序“。(Wentz Wu,有效的CISSP:安全和風險管理)第12356號行政命令是機密性分類方案的一個很好的例子。
12356號行政命令
第1.1節分類級別。
(a)國家安全信息(以下稱“機密信息”)應分為以下三個級別之一:
(1)“最高機密”應應用於信息,未經許可的披露在合理情況下可能會導致異常嚴重的後果。損害國家安全。
(2)“秘密”應適用於可能被合理地預期對國家安全造成嚴重損害的未經授權的披露。
(3)“機密”應適用於可能會合理地預期對國家安全造成損害的未經授權的信息披露。
參考
. 有效的CISSP:安全和風險管理
. 第12356號行政命令–國家安全信息
. Windows 10中的強製完整性控制
資料來源: Wentz Wu QOTD-20210214
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
一個調查是收集和用於特定目的的證據分析。
行政調查(Administrative Investigation)
. 行政調查是指對員工所謂的不當行為的內部調查。(法律內幕)
. 行政調查由當地管理層,當地人事代表和/或員工關係進行,以應對通常與人事有關且不屬於犯罪性質的投訴或疑慮。例如,可以響應以下任何條件或指控而發起行政調查。
–申訴或投訴
–財產濫用/損壞/盜竊
–行為不端
–禁止騷擾或歧視
–威脅,恐嚇或暴力行為
–違反大學政策,規則和/或行為標準,或
–違反法律。(北卡羅來納州立大學)
民事調查(Civil Investigation)
. 民事調查會發現並收集進行民事審判所需的證據。
民事審判是一種法院案件,涉及兩名個人公民,他們在與公民權利有關的問題上存在分歧。例如,如果一個人因家庭事故造成的損失提起訴訟,該案很可能會作為民事審判進行。民事調查人員有責任收集此類審判必不可少的證據。(PI NOW)
. 當發生民事事件時,無論是進行審判還是試圖在法院外和解,各方都有責任適當準備捍衛自己的立場。民事案件是指當事方或當事方未能履行協議,履行服務或履行其法律義務時,在兩方之間發生的爭端。(全球情報顧問)
監管調查(Regulatory Investigation)
. 監管調查是指由政府,監管,執法,專業或法定機構針對您發起的正式聽證會,官方調查,檢查,詢問,法律訴訟或任何其他類似程序。(法律內幕)
刑事偵察(Criminal Investigation)
. 刑事調查是一門應用科學,涉及對事實的研究,然後將這些事實用於刑事審判。(維基百科)
. 應用於犯罪領域的犯罪調查是指收集有關犯罪的信息(或證據)以達到以下目的的過程:
(1)確定是否犯罪。
(2)識別肇事者;
(3)逮捕肇事者;和
(4)提供的證據來支持一個信念在法庭上。(JRank)
調查標準,準則和協議(Investigation Standards, Guidelines, and Protocols)
參考
. DOJ民事調查和DOJ刑事調查有什麼區別?
. 法律證據
資料來源: Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
零信任是一種網絡安全範式,用於支持可見性的細粒度,動態和以數據為中心的訪問控制。
(訪問控制基於需要了解和最小特權的原則,通過身份驗證,授權和計費來中介資源的使用。)
零信任網絡安全範例
下圖總結了我對“零信任”的研究,該研究綜合了各種來源,例如Jericho論壇,DoD GIG / Black Core,Forrester的零信任網絡,Google的BeyondCorp,CSA的SDP和NIST SP 800-207。
零信任概念(Zero Trust Concepts)
. 以數據為中心的訪問控制
. 沒有固有的信任(信任是特權;它是獲得和給予的)
. 訪問前和連續驗證
. 細粒度的規則和動態策略
. 檢查,記錄,監視和可見性
零信任架構(Zero Trust Architecture)
. 主題和數據,服務,設備和基礎架構
. 控制平面和數據平面
. 政策執行點
. 策略決策點(策略管理員和策略引擎)
. 信任算法及其輸入(基於屬性和風險)
約翰·金德瓦格(John Kindervag)和零信任(Zero Trust)
約翰·金德瓦格(John Kindervag)在2010年創造了零信任(Zero Trust),以消除依賴周邊安全性的“信任”概念。他主張邊界安全性已被破壞並且不再足夠,並且將對網絡位置的盲目信任稱為“破壞性信任”。我相信“固有授權”是他的“零信任”網絡模型中“信任”的核心思想,並總結出他的“零信任”的主要思想如下:
不要依賴網絡位置(粗粒度的邊界),而要使用集成的分段網關(NGFW,下一代防火牆)將數據和相關資源(他稱為MCAP或微核和邊界)分組為較小的部分。
零信任神話(Zero Trust Myths)
他現在是Palo Alto Networks的現場CTO。該公司介紹了“零信任神話”:
參考
. NIST SP 800-207
. 約翰·金德瓦格
. 零信任的真相(Palo Alto)
. 將安全性構建到網絡的DNA中:零信任網絡架構(Forrester)
. 國防部全球信息網格(GIG)建築願景
. BeyondCorp –企業安全性的新方法(Google)
. 軟件定義的邊界(SDP)體系結構指南(CSA))
. 零信任架構和解決方案(Gartner)
資料來源:Wentz Wu 網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-主引導記錄(MBR)和引導扇區(來源:Syed Fahad)
. 該多態病毒沉思修改整個系統,這樣的散列值變化比較簽名來躲避殺毒軟件的檢測其代碼。通過加密其代碼,加密病毒是一種多態病毒。
. 在多方病毒感染不僅文件,而且主引導記錄(MBR)。
. 該隱形病毒通常攻擊的主引導記錄(MBR)或操作系統(OS)文件要引導儘早和主宰整個系統,包括操作系統,所以它不能被殺毒軟件檢測到。
. 該伴侶病毒使用相同的文件名,但與具有如果在一個命令行界面(CLI)未指定的文件擴展名被執行更高優先級的不同的文件擴展名。在DOS或舊的Windows系統上使用的一種舊技術是.com程序優先於.exe可執行文件。
資料來源: Wentz Wu QOTD-2021013
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
會話劫持經常通過XSS(跨站點腳本)或嗅探發生。這個問題主要集中在中間人的嗅探上。輸入驗證可防止攻擊者提交惡意代碼以通過XSS劫持用戶的會話。
. 使用TLS的端到端加密可保護郵件免受嗅探攻擊。它減少了中間人劫持會話的可能性。
. 如果會話cookie被盜並重播,則自動註銷將使會話cookie失效或使會話cookie無效,並減少影響。
. 較長且隨機的會話ID使得攻擊者更難以猜測或欺騙會話cookie,從而降低了可能性。
參考
. 什麼是會話劫持以及如何防止它?
. 會話劫持攻擊:了解和預防
資料來源: Wentz Wu QOTD-20210212
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
會話是Internet通訊的重要組成部分,大部分都是基於Web的。會話劫持是通過利用活動的Web會話進行的Web攻擊。會話是兩個計算機系統之間進行通信的時間段。Web服務器需要身份驗證,因為通過網站進行的每個用戶通信都使用多個TCP / IP通道。
身份驗證的一種常見形式始終是使用用戶名和密碼,它們通常是預定義的。身份驗證成功後,Web服務器將會話令牌發送給用戶,然後將其存儲在啟用會話的用戶計算機中。會話ID可以作為cookie存儲在HTTP標頭或URL中。
當入侵者通過劫持或竊取用於在大多數網站上維護會話的HTTP cookie來利用受到威脅的活動會話時,就會發生會話劫持。另一種方法是通過預測活動會話,以在未經檢測的情況下獲得對遠程Web服務器中信息的未授權訪問,因為入侵者使用了特定用戶的憑據。會話令牌或HTTP標頭可以通過多種方式進行洩露和操縱,包括:
使用安全的HTTP或SSL在用戶瀏覽器和Web服務器之間進行端到端加密,以防止未經授權訪問會話ID。VPN也可以用於加密所有內容,而不僅僅是使用個人VPN解決方案工具對網絡服務器的流量進行加密。
Web服務器可以生成長而隨機的會話cookie,從而減少了對手猜測或預測會話cookie可能是什麼的機會。
會話ID監視器還可以用於監視是否正在使用這些ID,並且可以使用諸如Blacksheep之類的實用程序將偽造的會話ID發送到網絡並監視入侵者是否正在嘗試使用該會話ID。
如果會話終止使用,應該自動註銷,並且應該要求客戶端使用其他會話ID重新進行身份驗證。另外,可以指示服務器從客戶端計算機中刪除會話cookie,以最大程度地減少會話cookie在網絡中暴露的時間。
成為一名合格的道德黑客(CEH)當然不是一件容易的事。本課程將使您沉浸在Hacker Mindset中,以便您能夠防禦將來的攻擊。在完成“道德認證黑客”培訓後,您將已掃描,測試,黑客攻擊並保護了自己的網絡和系統。有了這些知識,您就可以使組織放心,因為他們知道當今最大和最嚴峻的網絡犯罪分子的網絡更加安全。
資料來源:https://blog.eccouncil.org/what-is-session-hijacking-and-how-to-prevent-it/
通過審核(查看日誌)來跟踪“誰做了什麼”來確定或確定責任制。記帳記錄“已完成的工作”,而身份驗證則標識並驗證“誰做了”。不管活動是否被授權,都應記錄或記錄該活動,如下圖/ OSG問題所示。
但是,懲罰措施是基於責任確認後的授權。授權的行為將不會受到懲罰,而未經授權的行為將受到懲罰。
-圖片來源:CISSP官方學習指南(OSG)在線測試銀行
定義不一致(Inconsistent Definitions)
此問題旨在促使AAA,身份驗證,授權和計費的定義保持一致。用“審計”或“問責制”代替“會計”的最後一個“ A”並不少見。我強烈建議使用“會計”,因為無法進行審計,並且如果不進行會計就無法得出問責制。我的帖子《另一個AAA》也談到了這個問題。
無論我們從字面上解釋它還是將其與NIST詞彙表或RFC等權威資料進行比較,官方學習指南(OSG)中對審計和會計的以下描述在邏輯上都是不合理的。
審核記錄與系統和主題相關的事件和活動的日誌記帳(也稱為問責制)審核日誌文件以檢查合規性和違規性,以使主題對其行為負責
斯圖爾特(James M.)查普,邁克;吉布森,達里爾。CISSP(ISC)2認證的信息系統安全專業人士官方學習指南(Kindle位置1737-1739)。威利。Kindle版。
會計(Accounting)
在財務會計中,“會計是記錄與業務有關的財務交易的過程。會計過程包括匯總,分析這些交易並將其報告給監督機構,監管機構和稅收實體。”(investopedia)
在IT中,記帳是“出於趨勢分析,審計,計費或成本分配目的而收集有關資源使用情況的信息的行為。” (RFC 3539)
簡而言之,會計跟踪活動並記錄日誌。審計跟踪是用於審計的相關日誌的集合,或“按時間順序的記錄,用於重建和檢查與安全相關的事務(從開始到最終結果)中圍繞或導致特定操作,過程或事件的活動順序。” (CNSSI 4009)
稽核(Auditing)
稽核是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (CNSSI 4009)
問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (CNSSI 4009)
驗證(Authorization)
驗證請求的身份的行為,它是來自相互已知的名稱空間的預先存在的標籤形式的消息,它是消息的始發者(消息身份驗證)或通道的端點(實體身份驗證)。(RFC 3539)
授權(Authorization)
確定特定權利(例如對某些資源的訪問權)是否可以授予特定憑證的提交者。(RFC 3539)
參考
. 基於風險的稽核
. 什麼是會計?
. RFC 3539:身份驗證,授權和會計(AAA)傳輸配置文件
. RFC 2866:RADIUS記帳
資料來源: Wentz Wu QOTD-20210211
訪問控制機制
通常通過三種機制來管理或控制訪問:身份驗證,授權和會計(AAA)。
. 身份驗證是“驗證用戶,進程或設備的身份的過程,通常將其作為允許訪問信息系統中的資源的先決條件”。(FIPS 200)
識別是主體聲明或聲稱具有身份以便身份驗證過程可以繼續進行的過程。
. 授權是“驗證請求的操作或服務是否已批准用於特定實體的過程。” (NIST SP 800-152)
. 會計是記錄主題和對象活動的條目或日誌的過程,就像保留財務會計日記帳一樣。
會計,審計和問責制(又是AAA)
日誌是會計的工作成果。可以通過查看或檢查(審核)一組相關日誌(審核記錄)以唯一地將活動跟踪到實體來實現問責制。
. 問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (NIST SP 800-33)
. 審計是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (NIST SP 800-12 Rev.1)
. 審核跟踪是“按時間順序的記錄,用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作,程序或事件的活動順序。” (NIST SP 800-53修訂版4)
定義不一致
我以與Sybex CISSP官方學習指南相反的方式對待會計和審計。它將審核定義為“記錄與系統和主題相關的事件和活動的日誌”,而將會計(也稱為問責制)定義為“查看日誌文件以檢查合規性和違規性,以使主體對其行為負責。”
資料來源: Wentz Wu 網站
-HTTP請求(來源:Chua Hock-Chuan)
測試人員在HTTP請求中操縱URL的查詢字符串是一個濫用案例,例如GET / customer / delete?country = all。甚至最終用戶也可以通過添加或修改瀏覽器地址欄中的URL和查詢參數來提交HTTP GET請求。在RESTful API流行之前,使用HTTP謂詞GET實現CRUD(創建,檢索,更新和刪除)數據操作並不罕見,該行為容易受到濫用/濫用攻擊。
誤用/濫用案例(Misuse/Abuse Case)
濫用案例可以定義為:
一種使用實現者不期望的功能的方法,允許攻擊者根據攻擊者的動作(或輸入)影響功能或使用功能的結果。
資料來源:OWASP
Synopsys定義了一個濫用案例,如下所示:
–濫用和濫用案例描述了用戶如何濫用或利用軟件功能控件的弱點來攻擊應用程序。
–當對業務功能的直接攻擊(可能帶來收入或提供積極的用戶體驗)受到攻擊時,這可能會導致切實的業務影響。
–濫用案例也可以成為提高安全性要求的有效方法,從而可以對這些關鍵業務用例提供適當的保護。
資料來源:OWASP
模糊測試(Fuzz Testing)
模糊測試用於通過提供隨機生成的測試數據來測試接受結構輸入的應用程序。我們沒有看到測試中使用了任何隨機數據。
壓力測試(Stress Testing)
壓力測試側重於性能和可伸縮性;網絡,CPU,內存的工作量逐漸增加,以一定程度的工作量和系統上限來觀察系統性能。測試中沒有關於性能和可伸縮性的任何提示。
綜合交易(Synthetic Transaction)
從嚴格意義上講,合成交易是一種主動的網站“監視”技術,通過在網絡瀏覽器中部署行為腳本來模擬真實客戶(或最終用戶)通過網站的路徑來完成。但是,合成交易對於高流量站點(例如電子商務)在發布之前進行測試至關重要。(monitis)
參考
. HTTP(超文本傳輸協議)基礎
. 代碼審查
. 模糊測試
. 回歸測試
. 什麼是綜合事務監控(誰需要它?…)
. 濫用案例備忘單
資料來源: Wentz Wu QOTD-20210209
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文