在2018年4月公布的CISSP考试大纲中,【运营安全】的平均权重为13%。其中本人使用的AIO为第7版,OSG为第8版。
内容概述
安全运营知识域涵盖了组织中有效运行安全操作的广泛的概念、原则、职责和最佳实践。主要内容包括:安全运营的基本概念和原则、执行和支持调查取证的活动、保持安全服务的可靠和高效运行的日常操作、如何实施灾难恢复策略以及管理物理安全和人员安全。
安全运营知识域在CISSP CBK中包括(源自于:CBK5):
一、理解和支持调查
了解计算机犯罪的定义。计算机犯罪是指直接针对或直接涉及使用计算机,违反法律或法规的任何行为。
能够列出并解释计算机犯罪的6个类别。这些类别是军事和情报攻击、商业攻击、财务攻击、恐怖攻击、恶意攻击和兴奋攻击。能够解释每种攻击的动机。
二、理解调查类型的需求
了解证据收集的重要性。只要发现事件,就必须开始收集证据并尽可能多地收集事件相关信息。证据可在后来的法律活动中使用,或用于确定攻击者的身份。证据还可帮助确定损失的范围和程度。
了解电子发现过程。相信他们将成为诉讼目标的组织有责任在一个被称为电子发现的过程中保存数字证据。电子发现过程包括信息治理、识别、保存、收集、处理、检查、分析、产生和呈现活动。
了解如何调查入侵,以及如何从设备、软件和数据中收集足够的信息。你必须拥有设备、软件或数据来分析,并将其作为证据。你必须获取证据而不得修改它,也不允许任何人修改它。
了解三种基本的没收证据的选择方案,并知道每种方案适用的情况。第一种, 拥有证据的人可能会自愿交出证据。第二种,使用法院传票强迫嫌疑人交出证据。第三种,如果需要没收证据,但不给嫌疑人破坏证据的机会,那么搜查证是最有用的。
了解保存调查数据的重要性。因为在事故发生后,总会发现某些蛛丝马迹,所以除非保证关键的日志文件被保存一段合理的时间,否则将失去有价值的证据。可在适当的地方或档案文件中保留日志文件和系统状态信息。
了解法庭可采纳证据的基本要求。能够被采纳的证据必须与案件事实相关,事实必须以材料形式呈现,证据的收集方式应在能力范围内,且符合法律规定。
解释各种可能在刑事或民事审判中使用的证据。实物证据由可以被带进法庭的事实物件组成。文档证据由能够说明事实的书面文件组成。言辞证据包括证人陈述的口头证据或书写的言论证据。
理解安全人员职业道德的重要性 安全从业者被赋予非常高的权利和责任,以履行其工作职责。这便存在权利滥用的情形。没有严格的准则对个人行为进行限制,我们可认为安全从业人员具有不受限制的权利。遵守道德规范有助于确保这种权利不被滥用。
三、安全资源配置
理解安全配置的概念。安全配置资源包括确保资源通过安全方式部署,并在整个生命周期中以安全方式维护。例如,使用安全映像方式来部署台式个人计算机(PC)。
理解虚拟资产。虚拟资产包括虚拟机、 虚拟桌面基础架构、软件定义网络和虚拟存储区域网络。虚拟机管理程序是管理虚拟资产的主要软件组件,但也为攻击者提供新的攻击目标。让托管虚拟资产的物理服务器保持操作系统和虚拟机管理程序更新至最新补丁,这点非常重要。此外,所有虚拟机都必须保持更新。
认识到云资产的安全问题。云资产是指可从云中访问的所有资源。因为云上存储数据会增加风险,因此需要基于数据价值,采取额外措施来保护数据。租用云服务时,你必须了解哪方负责维护和安全。在IaaS服务模型中,云服务供应商提供最小限度的维护和安全。
四、理解和应用基础安全操作概念
理解“知其所需”和“最小特权原则”。这两个原则是安全网络遵循的两个标准IT安全原则。“知其所需”和最小特权原则限制了对数据和系统的访问,以便用户和其他主体只能访问所需内容。这种受限的访问可以预防安全事件,并限制事件发生时的影响范围。如果不遵循这些原则,安全事件会对组织造成更大的破坏。
理解职责分离和岗位轮换。职责分离是一项基本安全原则,确保单人无法掌握关键职能或关键系统的所有要素。通过岗位轮换,员工可以轮换到不同的工作岗位,或者任务可以分配给不同员工。串通(Collusion)是多人串通来执行一些未经授权的或非法的行为。在没有出现串通的情况下,执行这些策略可以通过限制个人行为来预防欺诈。
理解监控特权操作的重要性。虽然特权用户是受信任的,但可能滥用其权限。因此,监控所有权限的分配及使用是非常重要的。监控特权操作的目的是确保受信任的员工不会滥用被授予的特权。因为攻击者通常在攻击时使用特权,监视特权操作还可以检测到大量攻击。
理解信息生命周期。数据需要在整个生命周期过程得到保护。首先,正确分类和标记数据。还包括正确处理、存储和销毁数据。
理解服务水平协议。组织与供应商等外部实体签订服务水平协议(SLA)。SLA 规定了性能期望,例如最大停机时间。如果供应商达不到期望,SLA通常会包括处罚条款。
五、将资产保护技术应用于介质
六、进行事件管理
了解事件响应步骤。CISSP 的“安全运营”域将事件响应分为检测、响应、抑制、报告、恢复、补救和总结教训等7个步骤。检测并证明有事件发生后,第一反应是限制或控制事件的范围,同时保护把证据保护起来。根据相关法律,机构可能需要把事件上报相关部门,如果个人身份信息(PII)受到影响,则还需要把情况通知相关个人。补救和总结教训阶段包括进行根本原因分析,以确定原因和建议解决方案,以防事件再次发生。
了解拒绝服务(DoS)攻击,DoS攻击阻止系统响应合法服务请求。破坏TCP三次握手的SYN洪水攻击是一种常见DoS攻击手段。即便比较老式的攻击因基本预防措施的拦截而在今天已不太常见,你依然会遇到这方面的考题,因为许多新式攻击手段往往只是旧方法的变种而已.Smurf攻击利用一一个放大网向受害者发送大量响应包。死亡之ping 攻击向受害者发送大量超大ping包,导致受害者系统冻结、崩溃或重启。
了解僵尸网、僵尸网控制者和僵尸牧人。僵尸网由于可调动大量计算机发动攻击而形成一种重大威胁,因此,搞清僵尸网到底是怎么回事至关重要。僵尸网是由已遭破坏的计算设备(通常被称作傀儡或僵尸)组成的集合体,它们形成一个网络,由被称作僵尸牧人的犯罪分子操控。僵尸牧人通过指挥控制服务器远程控制僵尸,经常利用僵尸网对其他系统发起攻击,或发送垃圾邮件或网络钓鱼邮件。僵尸牧人还把僵尸网的访问权出租给其他犯罪分子使用。
了解零日利用。零日利用是指利用一个除攻击者以外其他任何人都不知道或只有有限的几个人知道的漏洞的攻击。从表面上看,这像是一种无从防范的未知漏洞,但基本安全实践规范还是能对预防零日利用提供很大帮助的。移除或禁用不需要的协议和服务可以缩小系统的受攻击面,启用防火墙能堵死许多访问点,而采用入侵检测和预防系统可帮助检测和拦截潜在的攻击。此外,使用蜜罐、填充单元等工具也可帮助保护活跃的网络。
了解中间人攻击。当一名恶意用户能够在通信线路的两个端点之间获得一个逻辑位置时,便是发生了中间人攻击。尽管要想完成一次中间人攻击,攻击者需要做相当多的复杂事情,但他从攻击中获得的数据量也是相当大的。
了解蓄意破坏和间谍活动。恶意的内部人员如果由于某种原因心怀不满,有可能蓄意对机构造成破坏。间谍活动是指竞争对手试图窃取信息的行为,这个过程可能会利用内部员工来完成。执行最小特权原则、员工离职后立即禁用其账号等基本安全措施可以限制这些攻击造成的损害。
七、操作和维护监测和预防措施
了解基本预防措施。基本的预防措施可以防止许多事件发生。这些措施包括保持系统即时更新、移除或禁用不需要的协议和服务、使用入侵检测和预防系统、使用配备了最新签名的反恶意软件程序以及启用基于主机和基于网络的防火墙。
了解入侵检测和入侵预防。IDS 和IPS是抵御攻击的重要检测和预防手段。你需要了解基于知识的检测(使用了一个与反恶意软件签名数据库类似的数据库)和基于行为的检测之间有什么区别。基于行为的检测先建立一条基线,用这条基线标识正常行为,然后把各种活动拿来与基线比较,从中找出异常活动。如果网络发生改动,基线可能会过时,因此环境一旦发生变化,基线必须马上更新。
认识IDS/IPS响应。IDS可通过日志记录和发送通知来被动做出响应,也可通过更改环境来主动做出响应。有人把主动IDS叫作IPS(入侵预防系统)。但是,重要的是要知道,IPS 安放在承载通信流的线路上,可赶在恶意流量到达目标之前把它们拦住。
了解HIDS与NIDS的区别。基于主机IDS(HIDS)只能监测单个系统上的活动。缺点是攻击者可发现并禁用它们。基于网络IDS(NIDS)可监测网络上的活动,而且是攻击者不可见的。
了解蜜罐、填充单元和伪缺陷。蜜罐是通常用伪缺陷和假数据来引诱入侵者进入的一种系统。管理员可在攻击者进入蜜罐后观察他们的活动,攻击者只要在蜜罐里,他们就不会跑到活跃网络中。有些IDS能够在检测到攻击后把攻击者转移到填充单元里。尽管蜜罐与填充单元很像,但是你应该注意,蜜罐是引诱攻击者进入的,而攻击者是被转移到填充单元中的。
了解拦截恶意代码的方法。几种工具配套使用可拦截恶意代码。其中反恶意软件程序安装在每个系统、网络边界和电子邮件服务器上,配有最新定义。不过,基于最小特权原则等基本安全原则的策略也会阻止普通用户安装潜在恶意软件。此外,就风险和攻击者惯常用来传播病毒的方法对用户开展教育,也可以帮助用户了解和规避危险行为。
了解渗透测试。渗透测试从找出漏洞入手,然后通过模拟攻击来确定哪些漏洞可以被人恶意利用。请务必记住,渗透测试不可在未经管理层知情和明确批准的情况下进行。此外,由于渗透测试可能造成破坏,只要可能,就应该在隔离的系统上进行。你还应了解黑盒测试(零知识)、白盒测试(全知识)和灰盒测试(部分知识)之间有什么区别。
了解日志文件的类型。日志数据被记录在数据库和各类日志文件里。常见的日志文件包括安全日志、系统日志、应用程序日志、防火墙日志、代理日志和变更管理日志。对于日志文件,应该通过集中存储,以许可权限制访问等方式施加保护,而归档日志应设置为只读,以防有人篡改。
了解监测以及监测工具的用途。监测是侧重于主动审查日志文件数据的一种审计形式。监测用于使行事主体对自己的行为负责以及检测异常或恶意活动。监测还用于监控系统性能。IDS、SIEM等监测工具可自动进行监测并提供对事件的实时分析。
了解审计踪迹。审计踪迹是将有关事件和事件方式情况的信息写进一个或多个数据库或日志文件的过程中创建的记录。审计踪迹可用于重建事件、提取事件信息、证明罪责或反驳指控。使用审计踪迹是执行检测性安全控制的一种被动形式。审计踪迹还是起诉犯罪分子的基本证据。
了解抽样。抽样也叫数据提取,是指从庞大数据体中提取特定元素,构成有意义的整体表述或归纳的过程。统计抽样利用精确的数学函数从大量数据中提取有意义的信息。剪切是非统计抽样的一种形式,只记录超过阈值的事件。
了解如何保持问责。通过使用审计,可保持对个人行事主体的问责。日志记录用户活动,用户可对记录在案的操作负责。这对用户形成良好行为习惯、遵守机构安全策略有着直接的促进作用。
了解安全审计和审查的重要性。安全审计和审查有助于确保管理方案行之有效并落到实处。它们通常与账户管理实践规范配套使用,以防出现违反最小特权或知其所需原则的情况。不过,安全审计和审查还可用来监督补丁管理、漏洞管理、变更管理和配置管理方案的执行情况。
了解审计和以某一频率进行安全 审计的必要性。审计是指对环境进行的系统化检查或审查,旨在确保法规得到遵守以及检测出异常情况、未经授权事件或公然犯罪。安全的IT环境在很大程度上依赖审计。总体来说,审计是安全环境采用的一种主要检测性控制。IT 基础设施进行安全审计或安全审查的频率由设施面临的风险决定。机构需要确定,所面临的风险是否大得足以值得为一-次安全审计支付费用和中断运行。风险的大小还影响进行审计的方式。明确定义审计审查的频率并严格执行至关重要。
了解审计是应尽关心的一个方面。安全审计和效果审查是展现应尽关心的关键元素。机构高管必须按规定定期执行安全审查,否则他们可能会因为没有尽职尽责而造成的任何资产损失而被追究责任。
了解控制审计报告访问的必要性。审计报告通常会阐明审计目的、审计范围以及审计发现或揭示的结果等常见概念。此外,审计报告往往还包含环境特有的其他细节,以及问题、标准、原因、建议等敏感信息。内含敏感信息的审计报告应该贴上分类标签并得到妥善处置。只有拥有足够权限的人员才可访问它们。审计员可以为不同的目标对象编制不同版本的审计报告,每个版本都只包含特定对象需要掌握的细节。例如,提交给高级安全管理员的报告可能需要面面俱到,涉及所有相关细节,而提交给执行官的报告将只提供概括性信息。
了解访问审查和用户权限审计。访问审查审计确保对象访问和账户管理工作将安全策略落到实处。用户权限审计主要针对特权账号,确保最小特权原则得到严格遵守。
审计访问控制。对访问控制流程的定期审查和审计有助于评价访问控制的效果。例如,审计可跟踪任何账号登录的成功和失败。入侵检测系统可以监测这些日志,轻而易举就能把攻击识别出来并通知管理员。
八、实施和支持补丁和漏洞管理
理解补丁管理。补丁管理可以确保系统更新到最新补丁。应该了解有效的补丁管理计划包括补丁评估、测试、批准和部署。此外,注意系统审核将验证已批准的补丁是否部署到系统。补丁管理通常与“变更和配置管理”结合在一起,确保文档内容可以显示变更。当缺少有效补丁管理计划时,组织往往因已知问题导致出现中断及事件,虽然对这些问题已经采取预防措施。
解读漏洞管理。漏洞管理包括例行漏洞扫描和定期漏洞评估。漏洞扫描器可以检测已知的安全漏洞和脆弱点,如未打补丁或弱密码。漏洞管理可以生成报告,报告可以指出系统存在的漏洞,并对补丁管理计划进行有效检查。漏洞评估不仅涉及技术扫描,还包括漏洞的审查和审核。
九、理解和参与到变更管理流程中
解读配置和变更控制管理。通过有效的配置和变更管理计划,可以预防许多中断及事件。配置管理确保系统采用相近配置,并且系统配置可知悉和可记录。基线(Baseline)确保部署系统有相同基线或相同启动点,而镜像是一种常见的基线技术。变更管理有助于预防未经授权的变更,进而减少业务中断或安全削弱。变更管理流程规定了变更的请求、批准、测试和记录。版本控制使用标签或编号系统来跟踪软件版本的变更。
十、实施恢复策略
了解可能威胁组织的常见自然灾难。包括地震、洪水、暴风雨、火灾、海啸和火山爆发。
了解可能威胁组织的常见人为灾难。包括爆炸、电气火灾、恐怖行为、电力中断、其他公共设施故障、基础设施故障、硬件/软件故障、罢工、盗窃和故意破坏。
十一、实施灾难恢复流程
熟悉常见的恢复设施。常见的恢复设施包括冷站点、温站点、热站点、移动站点、服务局以及多站点。必须理解每种设施的优缺点。
解释相互援助协议的潜在优点及没能在当今商业活动中普遍实现的原因。虽然相互援助协议(MAA)提供了相对廉价的灾难恢复替代场所,但由于它们无法强制实施,因而不能被普遍使用。参与MAA的组织可能会由于相同的灾难而被迫关闭,并且MAA还会引发保密性问题。
了解数据库备份技术。数据库得益于三种备份技术。电子链接用于将数据库备份传输到远程站点,作为批量传输的一部分。远程日志处理则用于更频繁的数据传输。借助远程镜像技术,数据库事务在实时备份站点镜像。
十二、测试灾难恢复计划
了解灾难恢复计划测试的5种类型和每种测试对正常业务运营的影响。这5种类型是通读测试、结构化演练、模拟测试、并行测试和完全中断测试。通读测试完全是文书工作练习,而结构化演练涉及项目组会议。两者都不会影响业务运营。模拟测试可能会暂停非关键的业务。并行测试涉及重新部署人员,但不会影响日常运营。完全中断测试包括关闭主要系统以及将工作转移到恢复设施。