口訣: 查驗、訪談、測試

• 查驗 (用眼睛看)
• 訪談 (用嘴巴問)
• 測試 (實際動手做)

原則

執行安全控制措施後必須透過查驗、訪談及測試以確保控制措施的有效性及不存在符合性風險

• 符合性風險包含
  • 法遵合規風險
  • 行業標準
  • 合約要求
  • 合作政策
  • 事前盡責調查及事中給予應有的照顧
  • 道德規範

6.1 设计和验证评估、测试和审计策略

標題關鍵字

評鑑、測試、審計 (目的 方法 結果)
- 評鑑的方法包含測試

• 内部
  • 我方
  • 優點 - 熟悉內部系統及狀態，更容易發現資訊系統的脆弱性
    缺點 - 可能存在利益衝突
• 外部
  • 合約客戶
• 第三方
  • 中立國, ex. SGS/ 四大
  • 優點 - 帶來新知，保持客觀
    • 外部的合規審計必須由第三方獨立稽核團隊來進行
  • 缺點 - 金錢成本高

6.2 进行安全控制测试

• 漏洞评估 (弱點評鑑)
  找已知弱點，傳統都用網路的弱點掃描去掃
  ex. nesxus

  • 漏洞掃描
  • 通用漏洞評分系統 - CVSS
  • CWE，Common Weakness Enumeration：屬於設計階段風險審查。未針對特定廠商或型號
  • CVE，Common Vulnerability and Exposure：屬已知弱點。針對特定廠商或型號
  • CVSS，Common Vulnerability Scoring System：弱點評分系統
  • SCAP，Security Content Automation Protocol：自動化修補協議
    • 是用於自動化漏洞管理、評估和條款符合檢測的一套標準
    • 協定組成
    • 通用漏洞披露 (CVE)
    • 通用組態評估 (CCE)
    • 通用平台評估 (CPE)
    • 通用漏洞評分系統 (CVSS)
    • Extensible Configuration Checklist Description Format (XCCDF)
    • 開放漏洞評估語言 (OVAL)
  • NVD，National Vulnerability Database
    • 美國政府為安全內容自動化協定制定的知識庫。

• 渗透测试 - 找到弱點後去利用它

  • 利用漏洞進行入侵可行性測試
    
  1. Information Gathering (背景資訊收集)
  2. Scanning and Reconnaissance (掃描和偵察)
  3. Fingerprinting and Enumeration (指紋和列舉)
  4. Vulnerability Assessment (脆弱性評估)
  5. Exploit Research and Verification (實際打打看及驗證)
  6. Reporting (報告)

• 日志审查

  • Audit trail (稽核軌跡)
    • NIST 定義的很明確，但考試大綱把審查當成測試

• 综合交易

  • 使用程式去模擬使用者行為 (Selenium)
  • 又稱人工或合成交易

• 代码审查和测试

  • 又稱同行審查
  • code review
    • 其他人看，主管看或給外部專家看

• 误用案例测试

  • 誤用案例測試用於通過檢查軟件如何被濫用或操縱以進行惡意操作，從而幫助識別軟件設計中的潛在安全漏洞。
  • 用黑客的角度去模擬

• 测试覆盖率分析

  • 用不同的測試方法去驗證整個系統的狀態
    • 跑loop測
    • 單位要注意
    • 例如: 10個功能測了8個，8%
  • 用程式碼看比用功能看更細
    • 一個功能，代表一萬行程式寫出來的
  • 單位: 顆粒度 (專有名詞)

  軟體測試中哪一種的顆粒度最小?

  這行程式只測到65分，其他分數沒有測到
  最低是程式指令能執行到最細膩的判斷```
  
  

• 接口测试

  • GUI
  • API

• 漏洞攻击模拟

• 合规检查

  • 裡頭需要的任何法尊合規檢查
    • ISO27002

6.3 收集安全过程数据（例如，技术和管理）

標題在說啥? 要做過ISO 27001 會比較清楚，收集證據 (查驗、訪談)，要去評鑑、稽核要求要拿出哪些東西

• 帐户管理
  • 注意權限
  • 注意釣魚、捕鯨攻擊
• 管理审查和批准
• 关键绩效和风险指标
  • 關鍵績效指標 (KPI) 有助於評估流程的健康狀況
    • 關鍵是看演練後的結果
      • 簽到表
      • 抓線上人員到的畫面
  • 風險指標 (KRI) 更多地用作風險增加的警告。
  • KRI（關鍵風險指標）是用於衡量潛在危害風險的一類指標。
    • 舉凡: 計劃外中斷次數和外圍違規次數。

情境

• 备份验证数据

  • 用戶數據文件/資料庫/郵箱數據
  • 實施備份驗證

• 培训和意识

  • 培訓: 面向特定群體
  • 意識: 面向群體

• 灾难恢复 (DR) 和业务连续性 (BC)

  • 測試演練應當至少每年進行一次
    結構化的排練性測試：代表聚在一起對計劃進行檢查。
    • 模擬測試：根據特定場景練習執行災難恢復計劃。逼真。
    • 平行
      • 主備系統一起同時啟動，影響最小。
    • 全中斷
      • 將原始業務關閉並將業務處理轉移到備用站點完成。

6.4 分析测试输出并生成报告

分析這次的測試及評鑑內容是否需要改正或繼續精進 (這邊提的是評鑑結果跟測試結果混在一起談)

報告產出後，如果有異常問題就要做改正並做變更管理成新的基準；如果報告沒有問題就要持續精進

• 补救
• 异常处理
• 道德披露

SOC報告類型

服務組織控制 (SOC) 報告，又分為 SOC 1、2，3，由美國註冊會計師協會 (AICPA) 建立的框架，用於報告組織內所採用的內部控制設計。

SOC1 報告

作為財務報告內部控制 (ICFR) 計畫的關鍵元素。這些特定的擔保主要提供給客戶，用以遵循沙賓法案 ( Sarbanes-Oxley，SOX) 之規範。

SOC2 報告

針對企業組織之Security，Availability，Process Interity，Confidentiality
(安全/ 可用/ 程序完整性/ 機密性)及(或) Privacy (隱私)
等領域的控制評估

SOC3 報告

SOC2 Type II 的摘要版，鮮少透露出技術細節的內容，面向大眾的服務報告。通常很適合用來做市場行銷相關運用。

6.5 执行或协助安全审计

這邊提的就是稽核

• 内部
  • 內部審計應用於準備外部或第三方審計，定期內部審計也顯示出應有的謹慎和盡職調查。內部審計最終用於向組織的利益相關者提供保證。
• 外部
  • 乙方，例如:合約客戶
• 第三方
  • 獨立的第三方，例如: SGS、四大

結論:

這邊是把評鑑跟測試、稽核全部混在一起談

參考資料

• WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh
• CISSP學習與上課筆記
• CISSP 筆記 - Erwin
• CISSP 備考筆記
• PocketPrep exam (OSG 第九版)
• ISC2 - CISSP考試大綱