系统的安全控制措施需要定期进行测试,确保所有措施都在继续正确地保护信息
一、构建安全评估与测试方案
安全评估方案包含三个组成部分
安全测试-Security Testing
定义:验证某项控制措施是否正常运行,
手段:测试方式可以是自动化扫描,渗透测试或手动测试
安全测试需要定期执行
安全测试需要审查结果
公开测试-Overt security testing: 也叫白帽测试:获得了组织IT的同意以及知识分享后,执行的安全测试
隐蔽测试-Covert security testing:也叫黑帽测试,获得了高层同意后,在不通知组织IT团队的情况下进行安全攻击测试
安全评估-Security Assessment
定义:对系统、程序或环境安全性的全面审查
手段:使用安全测试工具,也包括对环境、风险等的细致审查
成果:向管理层提交的评估报告,包含以非技术语言描述的评估结果,以及具体的改善建议
NIST SP 800-53A定义的评估四个组成
1)规范 - Specification:待审计系统相关的文档
2)机制 - Mechanisms:系统的控制措施
3)活动 - Activities: 系统中人员采取的活动
4)人员 - Individuals:执行规范、机制和活动的人员
安全审计 - Security Audits
定义:由独立审计院执行的安全审查,目的是向第三方证明安全措施的有效性
1)内部审计: 由组织内部的审计人员执行
2)外部审计:有专业审计公司执行
3)第三方审计:由第三方(客户,监管机构)发起的审计
美国注册会计师协会AICPA发布的SSAE 18是一个通用标准
1)SSAE-18不声明具体的控制措施,它对组织的内部控制进行严格审查。它是一种证明标准,用于外部审计,并且形成SOC-1/2/3报告的基础框架。
2)SOC 1关注的是财务控制,SOC2/3关注的是CIA,安全性和隐私控制,其中SOC2结果详细只对内发布,而SOC3结果是可以对外公开的信息
3)Type1报告是以文档审查为主,只看当前时点。 而Type 2对控制措施的执行情况,并且关注的是最少6个月周期内的执行情况
审计标准
进行审计时需要明确评估所采用的标准-即需要满足的控制目标
可用标准有COBIT和ISO27001
二、漏洞评估
漏洞描述
使用NIST SCAP作为通用标准
CVE:通用漏洞披露 - 一个描述安全漏洞的命名系统
CVSS:通用漏洞评分系统
OVAL:描述安全测试过程的语言
漏洞扫描
目的: 探测系统可被攻击者利用的漏洞
漏洞管理工作流
1-检测:利用扫描发现漏洞
2-验证:管理员确认漏洞真实存在
3-补救:打补丁/修改配置/安装防火墙 等方式进行补救
渗透测试
目的: 利用漏洞尝试绕过安全控制措施,获得目标系统的访问权限
工具: Metasploit(提供了一个扩展框架,允许渗透测试人员创建自己的漏洞)
步骤
1-计划 - 规划测试范围和规则。确保获得管理团队的授权
2-信息收集与发现 - 通过手动或自动化方式获取目标环境信息,执行目标系统扫描
3-攻击 - 使用漏洞利用工具尝试攻破系统
4-报告 - 总结发现,并提交改进建议
渗透测试的限制:只能覆盖当前时间点;可能导致DOS;无法测试过程和政策
三、实施安全管理流程
除了评估与测试外,还有如下安全管理过程的审查工作
日志审查
使用SIEM实现日志审查的自动化
Windows系统安装第三方客户端来增加对syslog的支持
Windows可使用组策略来部署入职策略
定期进行日志审查
账户管理审查
目的:确保用户仅保留被授予的权限
方式: 1)全面审查,一般只适合对特权账号
2)抽样审查,一定要确保随机
IAM系统可能包括账号审查工作流,并提供audit trail证实审查的执行
关键KPI和风险指标
漏洞管理类: 遗漏漏洞的数量;修复漏洞的时间;漏洞重现次数
测试类:系统上线前发现的安全缺陷;审计结果中的重复发现
用户类:被盗用账号的数量;用户访问已知恶意网站的次数
参考资料:
CISSP Official Study Guide - 第九版英文版 及 第八版中文版
网友评论