SOC2审计的最重要因素是:定期的测试和监控控制项;为什么选择外在的审计,因为外面的审计更加的专业,富有经验。这叫结构化审计。为什么又不选外部了。因为内部审计的成本更低。内部审计又叫非结构化审计。为什么内部审计没有发现问题,外部审计发现问题?因为内部审计只按照最低级别进行管理计。
SOC1 、2、 3审计的区别。外部云厂商提供SOC3;Soc2里包含了Soc3,Soc1里面含有财务控制。Soc2不仅看控制有效还会看运营有效。
重点关注是考访问控制还是考认证,考认证的时候是强化认证方式,还是强化密码策略。强化密码策略时,不要选MFA。强化密码策略的时候,有复杂度优先选复杂度,没有复杂度再选长度。拉长长度可以有效抵御暴力破解;
对云上提供数据安全的访问,则启用MFA优先;保护数据的安全,那启用加密。
问最快的方式,就别考虑成本,选拉专线。 如问有效的方式,则要考虑成本。
SSO只是IDAAS下的一个Component,而非Common Type。IDAAS的Common Type是IAM。RBAC是符合IAM的最佳实践,SSO不是。
键盘上输入内容这是Type1类认证,Something You Know。键盘上输入的行为方式是Type3,Some You Are,是一种生物行为。
Single-Use的Password一般可以认为是令牌。智能卡内可能含有证书,但是令牌肯定不含有。
生物认证关注指标是CER,(结合了FAR和FRR),出了问题,不要去调整FAR和FRR的阈值,也别调灵敏度。增加一个新的认证因素即可。如果还不行呢?考虑更换新的生物认证系统。
访问控制背后关注的是机密性,是访问控制管理的子集。
风险管理指导安全架构设计,安全架构设计指导安全运营。
CVSS中最重要的指标是BaseScore
提高XX标准下的Compliance最好是找外部人士进行,因为更客观。
Clark-Wilson模型和Bible模型的区别在于,支持SOD(权责分离)。
EOL:不卖了;EOS:不售后支持了。EOS阶段也就该更换了;如果legacy设备多,那就重新划分Segment,然后移进去。如果设备少,就一个那就换新的。
移动设备的问题是增加了数据泄露的风险。
安全基线用在哪些系统是Scoping,这些系统用哪些基线是Tolerating。
数据中心,冷通道吸入,暖通道排出。
对供应商最低的安全标准要求:和你当前所在的企业一样,不能再低了。
评估信心叫定性,评估数量是定量。
日志是Secondary Evidence,属于间接证据。
电子取证的过程要确保数据的保存和安全,即便数据已经过保存期。
802.11g 是 2.4GHZ,802.11a 是 5 GHZ。
一个员工转岗之后,容易发生权限蔓延。使用RBAC模型授予对应职位的权限即可。权责分离是为了避免一个任务出错(也避免欺诈),不同的阶段给不同的人去操作。双人控制防止滥用职权,尤其针对高风险操作。例如财务支付的审批,密钥制作。
强制休假利于发现企业内部的欺诈行为。
螺旋模型的四个阶段,分别是规划,风险分析,工程和评估。注重快速迭代应该选敏捷开发模型,在一个Scrum中Developer Owner负责开发,文档整理和Sprint冲刺。Product Owner代表客户利益。注意敏捷开发电子化沟通和文档化并不是最重要的。快速交付才是。 注重稳健的开发就选瀑布模型,是线性开发的模型。前期会有完善的文档设计。还有一种模型是可重叠的瀑布模型。XP(极限编程)的模型要比敏捷开发的周期还要短。敏捷一般2-4周,XP一般1-2周。
增加SYN的Cookie数量能够有效防止SYN Flooding
如果查找软件Key Logger,就看系统内安装的程序和进程。如果查找硬件Key Logger,就去物理机器上查看有没有接入异常的外部设备。
启用新的BCP时应该删除旧的BCP,BCP计划中响应灾难的第一步应该是: 建立全员通讯。
软件更新属于Patch Management,Patch Management属于预防性的控制措施。而Backup才是纠正性的控制措施。仅靠补丁无法确保安全。
如果需要监控员工的活动,应该关注UEBA类产品,关注主机类活动,选择EDR。看题目问什么。
威胁是一个潜在的有害事件;风险是威胁被利用造成了损失;漏洞是资产在管理运营等过程中的缺陷和弱点。
风险评估是主动识别潜在漏洞和风险的措施,威胁评估是指识别和分析组织中威胁的过程。风险管理框架的主要目标是保护资产的机密性,完整性,可用性。
数据处理是看怎么用,数据存储是看怎么保存。如果一个数据存起来为了审查用户的行为,这个就是关注数据处理。
MITM(Man In The Middle)是中间人攻击,但是有一个叫Meet In the Middle的是密码学攻击。
查看Netflow是最简单的方法,查看SIEM是最佳的方法。SIEM的日志要一致,需要NTP提供统一时间戳。
输入验证为了检查格式,限制检查是为了检查区间和边界。
根据云上使用的产品去判断云上用的什么类型的服务。IAAS,PAAS,SAAS。
Evidence Collection也叫Artifact Gathering
渗透测试的主要目的是识别系统中的漏洞,而非验证安全控制。安全控制评估过程才是为了验证安全控制的有效性。如果企业短期面临了一些安全事件,好的方式是请第三方进行渗透测试,并进行常规的安全评估。但定期的安全评估通常不会专门针对内部威胁。应对内部威胁的有效方式是背调。
旋转门是Fail Open的设计机制
安全审计的频率是更重要的衡量网络安全的指标,应对Security Breach的最有效的方式也是常规的周期性安全审计。
安全评估的过程: Establish Security Requirement, Identify Asset & Value, Conduct Risk Analysis, Develop & Implement Security Controls.
控制分为Logical Control和Physical Control。Technical Control也叫Logical Control, Administrative Control也称之为Procedure Control
SLR是SLA的一部分,关注可用性和性能。
桌面演练是基于讨论的,因此场景选择更重要。
数据保留政策中最重要的部分是考虑哪类数据被存储
应急响应最重要的部分是阻止事件未来的损害
虚拟化系统更易受到攻击的主要原因是多虚拟机分类资源
PAP以明文的形式传递密码,非常不安全。
日志便于问责,签名便于不可否认。同时看日志比看CCTV录像有效
端口安全可以防止CAM表泛洪
developer发起的控制有change control和release control,user发起的为change control
VRF可以实现虚拟路由和转发
使用蓝牙用于非机密活动,而不是使用蓝牙的强加密用于机密活动。类似的道理,不要加强无用的东西在机密的事情上,看似合理,实际错。
Power-on-self-test的第一步是Self-Test, 不是Power On。
最高级别的DAC是Owner- Controlled Access
使用SOAR的主要益处是提高威胁响应的效率,并不是自动化。自动化只是其中一个组件,而且简单的自动化的流程无法提高安全防御的效率。
全面中断的测试可能面临未知问题,最有效的测试方式应该是测试系统备份和DCP
MFA可以提高安全性,但是要看题目是问提高认证强度,还是强化密码的策略。MFA不强化密码策略。
内存中保护未授权的敏感数据访问用加密的方式
尽职调查的过程中最重要的指标是获得的数据的指标
IT安全审计中的重要因素是暴露的风险等级
RDP的主要安全问题是未授权访问
Security Policy的主要目的是保护资产安全,提供指导。而且Policy优先,如果问什么是控制资产的物理及逻辑访问控制。最好的不是访问控制列表,而是访问控制策略。
三方软件安装到一个安全环境中,要优先考虑的是和现有系统的兼容性
安全分析师识别漏洞,安全工程师关注安全控制
SDSec/SDS的最重要部分是: Adopting a Risk-Based Approach to Security Decision-Making
数据向云迁移过程的指标应该是最短停机时间
负责的一般都是高管(所有者),如果是数据,则是数据所有者。谁负责,就要获得谁的审批,以及获得谁的支持。
Network Architecture的key factor时Network Segment
客户端向TGS发送Authenticator,向AS发送User ID。 ST代表主体有权访问对象
Swip是磁条卡,Hold是Contactless卡,Insert是Contact卡。 这类题目直接读英文,中文翻译无法判断是什么卡片。翻译都是刷卡
Hypervisor Mode 被称为-1模式
Recovery团队负责让备用站点尽快启动并运行,根因分析发生在Mitigation阶段,Incident Response最后一步是Lessons Learned
注意区分培训意识和问责,有些情况只培训不解决问责。
能登陆不代表有权限访问敏感数据。默认分配是No Access
Context-based关注上下文,有时间或者有场景因素。Content-Based基于特定内容
Verification是由第三方独立评估,可以被许多不同组织信任。Assurance代表了组织对控制措施满足安全要求的信心。系统获得认证,意味着获得了所有者的认可。
静态NAT,有多少Private IP就要有多少个Public IP,1比1的关系,NAT池,N个Private IP动态的从M个Public IP中获得。N小于M。PNAT,1个Public IP用于N个Private IP
访问控制列表是1-1的单对单。访问控制矩阵是1-N的,例如1-1-1,有多个列。
使用 密码进行身份认证,不是使用用户名。
fuzzing testing归属于Black testing
组件接口测试关注不同单元间数据传递,系统间接口测试关注整体。浏览器测试,为了测试接口。
使用正式请求批准来访问数据
漏洞扫描发现漏洞,端口扫描发现端口
人短缺的原因可能是人为,环境,自然等因素。
考率成本时,如果是采纳一个新的,未经证实的技术,高昂的成本是考虑的因素。但如果是因为核心安全受到威胁考虑新技术,则成本为次要因素。