日常維運、持續改善、變更管理

7.1 理解并遵守调查

• 证据收集与处理
  • collect Evidence：收集證據
    • 書面證據 - 證明或反駁事實的任何書面材料。
      • 通常要經過第一手證據的鑑證才能證明證據的可信度。
      • 系統日誌
      • 系統管理員的證詞
    • 直接證據 - 根據他們的觀察提供口頭證詞的證人。直接證據不能是傳聞，是二手證詞
    • 確鑿的證據 - 用來證明一個不能獨立存在的想法或觀點。
    • 間接證據 - 因為它可以證明用於假設另一個事實的中間事實。
  • 監管鏈（也稱為證據鏈）
    • 記錄訪問和證據位置以供調查期間使用的過程。它記錄了誰在任何給定時間控制了證據，以確保在審判期間可以接受。它揭示了獲得證據的一方或多方，誰獲得了證據，以及誰控制了證據。
• 报告和文档
• 调查技巧
  • 行政調查
    • 內部調查，檢查業務問題或是否違反組織的政策，首要目標是解決業務問題。
  • 犯罪調查
    • 由執法者進行，是針對違法行為進行的調查，結果是指控犯罪和在刑事法庭上起訴。
  • 民事調查
    • 不涉及執法，為解決雙方（內部和外部）之間的糾紛，不會遵循超出合理懷疑證據的標準，使用較弱證據標準。
  • 監管調查
    • 政府機構認為個人或企業可能違法時執行的調查。基本總是由政府人員執行，或基於行業標準（如：PCI DSS）
• 数字取证工具、策略和程序
  • 數位鑑識工具
• 工件（例如，计算机、网络、移动设备）
  • 用sector by sector 把資料取證出來
  • SIEM

7.2 执行记录和监控活动

• 入侵侦测与防御

  • IPS (以特徵碼為base)
    • 以行為為基礎 (偵測手段)
    • 布署方式差異 (主機型/ 網路型)
    • 搭配蜜罐、蜜網

  IDS、IPS	偵測	製造報告	阻止入侵
  IDS	O	O	X
  IPS	O	O	O

• 安全信息与事件管理 (SIEM)

  • 關聯式行為
  • Audit trail (稽核軌跡)

• 连续监控

  • 實時監控當下的行為

• 出口监控

  • 只有紀錄出口監控
    • 資料或網路封包

• 日志管理

  • 符合法律合規需求
  • 敏感資料要加密或去識別化

• 威胁情报（例如，威胁提要、威胁捕获）

  • OSINT
  • 威脅情資(買來的，加入ISAC，自己找來的)
    • ISAC是一個產業特定組織，會收集並分共享與關鍵基礎設施有關的網路威脅情資。 ISAC並促進了公部門與私部門之間的資料共享。

    引用自CIO - ISA介紹

    • IoC (入侵指標)
  • 威胁捕获
    • 跟SIEM、蜜罐、蜜網有關係

• 用户和实体行为分析 (UEBA)

  • 裝在電腦內去做行為分析
    • UEBA 跟EDR 差異
      • EDR 針對使用者端及物聯網端的裝置也會包含在內
      • UEBA 針對使用者端

7.3 执行配置管理 (CM)（例如，预配、基线、自动化）

• 预配 - 預先授予權限
• 注意變更管理議題
• SCCM
• 組態
  • 軟硬體的設定跟組合

可信恢复

• 系統重啟
  • 釋放系統資源，使電腦返回到更加穩定和安全的狀態。
• 緊急系統重啟動：
  • 系統冷啟動(S0)
    • 系統無法自動恢復到安全狀態而需要人工干預。

輸入與輸出控制

• 事務是原子性，可防止TOC/TOU攻擊。
  • 如果報告中不含信息（無報告內容），那麼應當包含沒有輸出。

7.4 应用基本的安全操作概念

• 因需可知 (need to know) / 最小权限
• 职责分离 (SoD) 和责任
  • 確保一個獨立行動的人通過任何方法都無法危機組織的安全。一旦發生欺詐，一定有共謀。
• 特权账户管理
  • 人事管理異動
  • 特權帳號
    • 怎麼使用? 會關心管理員群組會不會把guest 變成管理員
    • 特別注意: windows內部的服務帳號
• 岗位轮换
  • 避免欺詐行為

題目是很活的，不要死記定義，像下面這題就是

以下哪項是基於提供一個訪問持續時間有限並在以後提供給其他人的系統？

A. 崗位輪換
B. 首選用戶
C. 最小特權
D. 職責分離

• 服务等级协议 (SLA)
  • 服務水平協議

7.5 应用资源保护

• 媒介管理

  • media: 傳輸媒介、終端設備(這邊指的是資訊系統內的應用資源)

• 媒体保护技术

  • 實體類: 放到防潮箱
  • 隨身碟: 加密

• 行政類實體類

  • 自己想辦法

7.6 执行事故管理

• 检测
  • 偵測
    • 裝IDS/ 門禁系統/ 人員通報
• 响应
• 缓释
• 报告
• 恢复
• 补救
• 经验教训

7.7 执行和维护检测和预防措施

偵測類跟檢查類的預防措施

• 防火墙（例如，下一代、web 应用程序，网络）
• 入侵检测系统 (IDS) 和入侵防御系统 (IPS)
• 白名单 / 黑名单
  • 白名單就是可以執行
  • 黑名單就是不能執行
• 第三方提供的安全服务
  • SOC 監控，然後託管
  • MDR 就是第三方託管
  • 看到management 這個部分，都是人家幫你管
• 沙箱
• 蜜罐 / 蜜网
• 反恶意软件
• 基于机器学习和人工智能 (AI) 的工具

7.8 实施和支持补丁和漏洞管理

找漏洞，補漏洞

• SCAP (安全內容自動化協定)
  • 協定組成
  • SCAP協定組成
    • 通用漏洞披露 (CVE)
    • 通用組態評估 (CCE)
    • 通用平台評估 (CPE)
    • 通用漏洞評分系統 (CVSS)
    • Extensible Configuration Checklist Description Format (XCCDF)
    • 開放漏洞評估語言 (OVAL)

7.9 理解并参与变更管理过程

• 變更管理
• 基準

7.10 执行恢复策略

• 备份存储策略

• 站点恢复策略

• 多个处理站点

  • 互惠型
  • 備援站點
  • 高可用性 (HA) - 結果
  • 容錯
  • RAID

• 時間議題

  • 最高可承受的停機時間（MTD）
  • 恢復時間目標（RTO）
  • 恢復點目標（RPO）
  • 工作恢復時間（WRT）

7.11 执行灾难恢复 (DR) 过程

執行災難恢復的過程

• 如何溝通跟評鑑，災復團隊
• 响应
• 人员
• 通信
• 评估
• 修复
• 培训和意识
• 经验教训

7.12 测试灾难恢复计划 (DRP)

計劃書的測試演練方式

• 缓存回调/桌面
  • checklist
• 巡检
  • read through
  • walk through
• 模拟
  • 角色扮演
• 并行
  • 平行演練，與真實環境相同的模擬環境中做演練
• 全面中断
  • 直接將主要業務中斷，做測試演練

7.13 参与业务连续性 (BC) 计划的制定和演练

• 例如: 萬一沒有台積電怎麼辦?
• 不要只想到網路或斷電怎麼辦

Business Continuity - 業務持續組織持續交付產品及服務的能力

1. 內外部環境分析
2. 找出利害關係人及需求
3. 訂定範圍（清單）（BCM）
4. 依據內外部環境分析及利害關係人（組織單位及產品、服務）
5. 業務衝擊分析BIA => 找出關鍵流程及關鍵資源

• MTD（Maximum tolerable downtime）最大容許停機時間：高階主管核定
• RTO （Recovery Time Objective，復原時間目標）：
• RPO（Recovery Point Objective，復原點目標）：

6. 風險評鑑
   • 依照BIA 業務衝擊分析的結果找出關鍵流程及資源後，對其做風險評鑑
7. 風險處置
8. 測試與演練

7.14 执行并管理物理安全

機房工程的應用

• 外围安全控制
  • CPTED、警衛
• 内部安全控制
  • 鏈路設計

7.15 解决人员安全问题

• 出差
  • 資料外洩風險
  • VPN
  • IPSec
  • 脅迫代碼
• 安全培训和意识

• 应急管理
  • 人事安全
  • 資訊系統

• 胁迫
  • 「未來對他人不利」作為威脅，使人心生畏懼，迫使他「做」或是「不做」某行為。
  • 類似銀行的緊急按鈕

  引用自法律百科

參考資料

• WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh
• CISSP學習與上課筆記
• CISSP 筆記 - Erwin
• CISSP 備考筆記
• PocketPrep exam (OSG 第九版)
• ISC2 - CISSP考試大綱