分類
CISSP

另一個AAA(Yet Another AAA)-AAA Part I

https://ithelp.ithome.com.tw/upload/images/20210322/20132160OMRGiJWT0v.jpg
訪問控制機制
通常通過三種機制來管理或控制訪問:身份驗證,授權和會計(AAA)。
. 身份驗證是“驗證用戶,進程或設備的身份的過程,通常將其作為允許訪問信息系統中的資源的先決條件”。(FIPS 200)
識別是主體聲明或聲稱具有身份以便身份驗證過程可以繼續進行的過程。
. 授權是“驗證請求的操作或服務是否已批准用於特定實體的過程。” (NIST SP 800-152)
. 會計是記錄主題和對象活動的條目或日誌的過程,就像保留財務會計日記帳一樣。

會計,審計和問責制(又是AAA)
日誌是會計的工作成果。可以通過查看或檢查(審核)一組相關日誌(審核記錄)以唯一地將活動跟踪到實體來實現問責制。
. 問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (NIST SP 800-33)
. 審計是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (NIST SP 800-12 Rev.1)
. 審核跟踪是“按時間順序的記錄,用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作,程序或事件的活動順序。” (NIST SP 800-53修訂版4)

定義不一致
我以與Sybex CISSP官方學習指南相反的方式對待會計和審計。它將審核定義為“記錄與系統和主題相關的事件和活動的日誌”,而將會計(也稱為問責制)定義為“查看日誌文件以檢查合規性和違規性,以使主體對其行為負責。”

資料來源: Wentz Wu 網站

分類
CISSP

業務驅動者和推動者(Business Drivers and Enablers)

業務就是提供產品和服務以創造價值並實現組織願景和使命。一個業務驅動是指“指導或控制”的運動,活動和業務過程中創造和提供的因子或函數業務使能器,這間接提供價值,是支持業務驅動的輔助因子或功能。

作為業務推動者的業務職能通常直接貢獻收入。作為業務推動者,安全功能對於當今的組織至關重要,它可以間接地創造價值,並且必須集成到業務功能或流程中以支持業務驅動程序。

在Porter的價值鏈中,業務推動力是主要活動,業務推動力是支持活動。

資料來源: Wentz Wu網站

分類
CISSP

誤用/濫用測試(Misuse/Abuse testing)

https://ithelp.ithome.com.tw/upload/images/20210316/20132160WQIyTI0v0z.png
-HTTP請求(來源:Chua Hock-Chuan


測試人員在HTTP請求中操縱URL的查詢字符串是一個濫用案例,例如GET / customer / delete?country = all。甚至最終用戶也可以通過添加或修改瀏覽器地址欄中的URL和查詢參數來提交HTTP GET請求。在RESTful API流行之前,使用HTTP謂詞GET實現CRUD(創建,檢索,更新和刪除)數據操作並不罕見,該行為容易受到濫用/濫用攻擊。

誤用/濫用案例(Misuse/Abuse Case)
濫用案例可以定義為:
一種使用實現者不期望的功能的方法,允許攻擊者根據攻擊者的動作(或輸入)影響功能或使用功能的結果。
資料來源:OWASP

Synopsys定義了一個濫用案例,如下所示:
–濫用和濫用案例描述了用戶如何濫用或利用軟件功能控件的弱點來攻擊應用程序。
–當對業務功能的直接攻擊(可能帶來收入或提供積極的用戶體驗)受到攻擊時,這可能會導致切實的業務影響。
–濫用案例也可以成為提高安全性要求的有效方法,從而可以對這些關鍵業務用例提供適當的保護。
資料來源:OWASP

模糊測試(Fuzz Testing)
模糊測試用於通過提供隨機生成的測試數據來測試接受結構輸入的應用程序。我們沒有看到測試中使用了任何隨機數據。

壓力測試(Stress Testing)
壓力測試側重於性能和可伸縮性;網絡,CPU,內存的工作量逐漸增加,以一定程度的工作量和系統上限來觀察系統性能。測試中沒有關於性能和可伸縮性的任何提示。

綜合交易(Synthetic Transaction)
從嚴格意義上講,合成交易是一種主動的網站“監視”技術,通過在網絡瀏覽器中部署行為腳本來模擬真實客戶(或最終用戶)通過網站的路徑來完成。但是,合成交易對於高流量站點(例如電子商務)在發布之前進行測試至關重要。(monitis

參考
HTTP(超文本傳輸協議)基礎
代碼審查
模糊測試
回歸測試
什麼是綜合事務監控(誰需要它?…)
濫用案例備忘單

資料來源: Wentz Wu QOTD-20210209

分類
CISSP

費根檢查( Fagan inspection)

費根檢查是一種依靠組檢查方法的正式檢查,即使它可以針對有限的一組預先確定的常見軟件錯誤自動進行。

  • 模糊測試或模糊測試(Fuzzing or fuzz testing)是一種自動化的軟件測試技術,涉及將由模糊器生成的無效,意外或隨機數據作為輸入提供給計算機程序。然後監視程序是否存在異常,例如崩潰,內置代碼斷言失敗或潛在的內存洩漏。通常,模糊器用於測試採用結構化輸入的程序。(維基百科
  • 用戶界面測試(User interface testing)可以自動化。本文“ GUI測試工具的比較”中有詳細信息。
  • 代碼檢查(Code review)(有時稱為對等檢查)是一種軟體質量保證活動,其中一個或幾個人主要通過查看和讀取程序的部分源代碼來檢查程序,他們在實施後或中斷實施時進行檢查。在靜態代碼分析中(static code analysis,主要檢查由自動化程序執行。(維基百科


費根檢查(Fagan Inspection

費根檢查是試圖在軟體開發過程的各個階段中發現文檔中的缺陷(例如源代碼或正式規範)的過程。它以邁克爾·法根(Michael Fagan)的名字命名,後者被認為是正式軟體檢查的發明者。

儘管已證明費根檢查方法非常有效,但已有多個研究人員提出了改進建議。例如,Genuchten一直在研究電子會議系統(EMS的使用,以提高會議效率並取得積極成果。

其他研究人員提出了使用軟體的功能,該軟件可以保留檢測到的錯誤的數據庫,並自動掃描程序代碼以查找這些常見錯誤。這又將導致生產率的提高。

資料來源:維基百科

參考

資料來源: Wentz Wu QOTD-20210208

分類
CISSP

2021年CISSP考試常見問題解答(2021 CISSP May Exam FAQs)

個人覺得STN的Luke這篇寫得不錯,有參考的價值,URL如下:

https://www.studynotesandtheory.com/single-post/2021-cissp-may-exam-faqs?fbclid=IwAR0flYWn2ePEVHkLopxx6pkTX1pxmL7sgN_tCq5OIhTnBjGYawywTae5Fcg

分類
CISSP

個人資料

個人數據,也稱為個人信息個人身份信息PII[1] [2] [3]是與個人身份有關的任何信息。

縮寫PII在美國已被廣泛接受,但它縮寫的短語具有基於個人 /個人和可識別/識別的四個常見變體。並非所有功能都是等同的,並且出於法律目的,有效定義會根據使用該術語的司法管轄區和宗旨而有所不同。[a]在主要以《通用數據保護條例》為中心的歐洲和其他數據保護製度下,“個人數據”一詞的使用範圍要廣得多,並決定了管理制度的範圍。[4]

美國國家標準技術研究院特別出版物800-122 [5]將個人身份信息定義為“由代理機構維護的有關個人的任何信息,包括(1)任何可用於區分或追踪個人身份的信息,例如姓名,社會安全號碼,出生日期和地點,母親的娘家姓或生物特徵記錄;和(2)與個人鏈接或可鏈接的任何其他信息,例如醫療,教育,財務和就業信息。” 因此,例如,用戶的IP地址不是單獨分類為PII,而是分類為鏈接的PII。[6]但是,在歐盟互聯網訂戶的IP地址可以歸類為個人數據。[7]

根據GDPR,個人數據被定義為“與已識別或可識別的自然人有關的任何信息”。[8]

隨著信息技術互聯網使收集PII變得更加容易,PII的概念已變得越來越普遍,從而導致在收集和轉售PII方面獲得了有利可圖的市場。犯罪分子還可以利用PII來跟踪竊取一個人的身份,或幫助計劃犯罪行為。為了應對這些威脅,許多網站隱私政策專門針對PII的收集問題[9]歐洲議會等立法者制定了一系列立法,例如《通用數據保護條例》(GDPR),以限制發布和訪問權限PII。[10]

關於PII是指可識別(即可以與一個人相關聯)還是標識(即與一個人唯一地相關聯,從而使PII可以識別它們)的信息,引起了很大的困惑。在諸如HIPAA的說明性數據隱私製度中,已明確定義了PII項目。在諸如GDPR之類的更廣泛的數據保護製度中,個人數據是以基於非原則性原則的方式進行定義的。就GDPR而言,在HIPAA下可能不視為PII的信息可以是個人數據。因此,國際上通常不建議使用“ PII”。

資料來源:https://en.wikipedia.org/wiki/Personal_data

分類
CISSP

綜合交易(Synthetic Transactions)

綜合交易或合成監視涉及構建腳本或工具,這些腳本或工具可模擬通常在應用程序中執行的活動。使用綜合交易/監視的典型目標是為這些交易的執行建立預期的規範。這些綜合事務可以自動運行以定期運行,以確保應用程序仍按預期運行。這些類型的事務對於在部署之前測試應用程序更新也很有用,以確保功能和性能不會受到負面影響。這種類型的測試或監視通常與定制開發的Web應用程序關聯。

資料來源:埃里克·康拉德(Eric Conrad),…約書亞·費爾德曼  Joshua Feldman),《十一小時CISSP®(第三版)》,2017年

綜合交易或綜合監視涉及構建腳本或工具,以模擬通常在應用程序中執行的活動。使用綜合交易/監視的典型目標是為這些交易的執行建立預期的規範。這些綜合交易可以自動運行定期確保應用程序仍能按預期運行。這些類型的事務對於在部署之前測試應用程序更新也很有用,以確保功能和性能不會受到負面影響。這種類型的測試或監視通常與定制開發的Web應用程序關聯。

資料來源:Eric Conrad ,…約書亞·費爾德曼  Joshua Feldman),《CISSP學習指南(第三版)》,2016年

分類
CISSP

NIST與雲相關的準則

-雲計算概念參考模型(來源:NIST)

1.     NIST SP 500-291v1(雲路線圖)
2.     NIST SP 500-291v2(雲路線圖)
3.     NIST SP 500-292(雲體系結構)
4.     NIST SP 500-293 vol1(採用雲)
5.     NIST SP 500-293 vol2(採用雲)
6.     NIST SP 500-299(雲體系結構)
7.     NIST SP 500-307(雲指標)
8.     NIST SP 500-316(雲可用性)
9.     NIST SP 500-322(雲評估)
10.  NIST SP 800-144(雲安全性)
11.  NIST SP 800-145(雲定義)
12.  NIST SP 800-146(雲簡介)
 
資料來源: Wentz Wu網站(https://wentzwu.com/2021/02/03/nist-cloud-related-guidelines/