CISSP EXAM Outline - Domain 7

Security Operations

安全運營

7.1 理解並遵守調查 Understand and comply with investigations

• 證據收集與處理 Evidence collection and handling
• 法庭上提供的證據必須與確定相關事實、手頭案件的材料相關，並且獲得適當的證據。證據不需要是有形的。證人證詞是可以在法庭上提供的無形證據的一個例子。
• 每當公司認為訴訟威脅迫在眉睫時，他們就有義務立即開始保存證據
• Competence 能力 : 當證據不是合法獲得的，因此不具備資格稱為 not Competence 。
• Proportionality 比例性 : 聯邦民事訴訟規則 (FCRP) 中的比例性有助於確保在收益不超過成本的情況下，電子發現不會產生額外的時間和費用，額外發現的好處必須與他們需要的額外成本成正比。這可以防止額外的發現請求變得異常昂貴，並且請求者通常必須向主持案件的法官證明這些請求的合理性。
• Expert opinion 專家意見 : 專家意見證據允許個人根據證據中的事實和他們的個人知識提出意見。只有當法院接受證人為特定領域的專家時，才能提供專家意見證據。例如 : 檢察官要求達西在法庭上作證，證明她認為案件中的日誌和其他記錄是否表明存在黑客企圖。
• 發生事故後不立即切斷機器電源的最令人信服的原因是你會丟失記憶體內存的內容, 導致失去重要的證據。
• 服務器日誌是書面證據的一個例子。提供者可能會被要求在法庭上介紹，然後會被要求提供有關他如何收集和保存證據的證詞。該證言證據驗證了書面證據。
• Linux 工具 dd : 幫助創建一個非常適合取證使用的目標驅動器的逐位副本，並且存在可以提供更多取證功能的特殊取證版本 dd。
• 電子發現 (electronic discovery) : 在法律訴訟中，每一方都有責任保存與案件相關的證據，並通過發現過程與訴訟中的對手共享信息。此發現過程適用於紙質記錄和電子記錄，並且電子發現過程有助於處理電子信息以進行披露。
• 電子發現參考模型的保存(Preservation)階段可確保可能需要發現的信息不被更改
• 電子發現參考模型的處理(Processing)階段初步刪除不必要的資料

• 報告和文檔 Reporting and documentation
• 調查技巧 Investigative techniques
• 數字取證工具、策略和程序 Digital forensics tools, tactics, and procedures
• forensic disk controller 取證磁盤控制器 : 是一種特殊類型的計算機硬盤控制器，旨在獲得對計算機硬盤驅動器的只讀訪問權限，而不會損壞驅動器內容。該設備被命名為取證，因為它最常見的應用是用於計算機硬盤驅動器可能包含證據的調查。
• 寫阻塞 : 攔截發送到設備的寫命令並阻止它們修改設備上的數據。
• 返回讀取操作請求的數據
• 從設備返回訪問重要信息
• 從設備向取證主機報告錯誤
• 工件（例如，計算機、網絡、移動設備） Artifacts (e.g., computer, network, mobile device)

7.2 執行記錄和監控活動 Conduct logging and monitoring activities

• 入侵檢測和預防 Intrusion detection and prevention
• 安全信息和事件管理 (SIEM) Security Information and Event Management (SIEM)
• 持續監控 Continuous monitoring
• 根據 NIST SP 800-137 組織應使用以下因素來確定評估和監控頻率(assessment and monitoring frequency)：
• 安全控制突變(security control volatility)
• 系統分類/影響級別(system categorizations/impact levels)
• 安全控制或提供關鍵功能的特定評估對象(security controls or specific assessment objects providing critical functions)
• 已識別弱點的安全控制(security controls with identified weaknesses)
• 組織風險承受能力(risk tolerance)
• 威脅信息(threat information)
• 漏洞信息(vulnerability information)
• 風險評估結果(risk assessment results)
• 監控策略審查的輸出(output of monitoring strategy reviews)
• 報告要求(reporting requirements.)
• SCOM 主要用於監控運行狀況和性能
• SCCM 收集有關安全設置的信息
• 出口監控 Egress monitoring
• 針對離開計算機或網路端口的一種監控, 例如僅允許 HTTPs 的流量, 那就不能看到 SMTP 的流量
• 社交媒體通常用作殭屍網絡活動的命令和控制系統, 若發現大量社交媒體流量, 表示該電腦可能感染了惡意軟件並加入了殭屍網絡
• 日誌管理 Log management
• analysis of application logs is one of the core tasks of software analysis.
• 應用程式日誌的分析是屬於軟件分析的核心任務之一。
• Sampling : 抽樣表示從一個大的數據抽樣結果代表整個數據池的結果
• Clipping : 裁剪使用閾值來選擇那些超過預定義閾值的記錄，因為它們可能是分析師最感興趣的。例如分析超過 4 次錯誤登入的 Log。是一種非統計抽樣形式，可根據裁剪級別(clipping-level)閾值減少記錄的數據量。
• audit trail (稽核追蹤) : 審計跟踪是一種被動形式的檢測安全控制。在安全控制類型中可以稱為偵探
• 威脅情報（例如，威脅源、威脅搜尋） Threat intelligence (e.g., threat feeds, threat hunting)
• CVE : Common Vulnerability and Exposures (CVE) 字典包含有關許多不同安全問題的標準化信息。幫助尋找應用程序、設備和操作系統中的信息安全漏洞列表。
• 刺激攻擊(Thrill attacks)的目的除了提升自豪感和自我之外沒有任何回報。
• RFC 1087 中僅明確指出了 [ 損害用戶隱私的行為 ] 。
• 黑客主義者 (Hacktivists) : 這個詞是黑客和激進主義者的組合, 經常將政治動機與黑客的快感結合起來。通常是為了刺激與政治信仰而攻擊。
• Cyber Kill Chain 框架被威脅建模和威脅情報組織廣泛採用，並在許多軟件包和工具中用作默認模型。框架的正確放置如以下順序 :
• 偵察 Reconnaissance
• 武器化 Weaponization
• 遞送 Deliver
• 開發 Exploitation
• 安裝 Installation
• 控制 Control
• 行動 Action

• 用戶和實體行為分析 (UEBA) User and Entity Behavior Analytics (UEBA)
• 用戶和實體行為分析 (UEBA) 解決方案以用戶為中心, 可監控端點設備上的員工活動

7.3 執行配置管理 (CM)（例如，預配、基線、自動化）

Perform Configuration Management (CM) (e.g., provisioning, baselining, automation)

• Baseline configurations 基線配置 : 配置安全系統和應用程序的起點。 它們包含遵守組織安全策略所需的安全設置，然後可以進行定制以滿足實施的特定需求。一種幫助系統管理員為操作系統和應用程序提供標準、安全的配置設置模板。
• 映像(Image)可以是使用基線(Baseline)的有效配置管理方法。映像(Image)可確保系統以相同的已知配置進行部署。
• 有價值的資產需要多層物理安全，將數據中心放置在建築物的中心有助於提供這些額外的層。
• 默認訪問級別應為無訪問權限。

7.4 應用基本的安全操作概念 Apply foundational security operations concepts

• 知其所需 / 最小權限 Need-to-know / least privilege
• clearance 人員的背景調查, 用於委派制定相關權限
• 職責分離 (SoD) 和責任 Separation of Duties (SoD) and responsibilities
• 特權賬戶管理 Privileged account management
• Entitlement 權利(Right) : 權利是指首次配置帳戶時授予用戶的權限。 
• 崗位輪換 Job rotation
• mandatory vacation 強制休假 : 最短有效時間建議是一週以上
• 服務等級協議 (SLA) Service Level Agreements (SLAs) 
• 服務水平協議 (SLA) 是服務提供商和客戶之間的，並以正式的方式記錄有關可用性、性能和其他參數的期望。

7.5 應用資源保護 Apply resource protection

• 媒介管理 Media management
• backup rotation scheme 備份輪換方案
• First in, First Out (FIFO) : 先進先出
• Grandfather/Father/Son (GFS) : 祖父/父/子, 常見的備份介質輪換方案
• Tower of Hanoi : 河內塔, 使用遞歸方法優化備份週期。
• Three-tape Hanoi schedule : 三盤河內時間表
• Four-tape Hanoi schedule : 四磁帶河內時間表
• Five-tape Hanoi schedule : 五盤河內時間表
• Extensions and example : 擴展和示例
• Six Cartridge Weekly : 每週六盒, 一種備份概念
• Weighted random distribution : 加權隨機分佈
• Incremented media method : 增量媒體法
• 媒體保護技術 Media protection techniques
• RAID Type / Disk Required
• 0 / ≧ 2  RAID 0又稱為Stripe或Striping
• 1(Mirror) / ≧ 2 (mirroring)
• 5 / ≧ 3 (striping with parity)
• 6 / ≧ 4
• 10 / ≧ 4 (stripe of mirrors)

7.6 執行事故管理 Conduct incident management

• 檢測 Detection
• Interviews 面談 : 當調查人員與可能擁有與其調查相關的信息但不是嫌疑人的個人會面時，就會進行面談。
• Interrogation 審訊 :當調查人員與可能擁有與其調查相關的信息如果此人是嫌疑人，那麼會議就是審訊。
• 先 Event 經辨識後為安全問題才會成為 Incident
• 辨識真偽的階段屬於 Detection, 驗證收到的警報其準確性
• Teardrop(淚珠)、smurf(藍精靈) 和 ping of Death(死亡之 Ping) 都是拒絕服務 (DoS) 攻擊的類型。
• Teardrop Attack : 是一種傳送具有重疊的過大承載項的 IP 片段封包到目標機器的攻擊類型。
• Fraggle Attack : UDP Dos Attack。
• Smurf Attack : ICMP Dos Attack。
• Land Attack : TCP Dos Attack, 透過欺騙將來源與目的 IP 都修改成被攻擊主機的 IP 但不同 Port(所以是 Layer 4 Attack), 讓被攻擊主機來回處理封包耗盡資源。
• Ping of Death : 一個封包最大是 65,536 Bytes, 此攻擊送出 65,537 Bytes(或更大)的封包癱瘓目標主機。
• 檢測性訪問控制(Detective access controls)在事後運行，旨在檢測或發現不需要的訪問或活動。
• 響應 Response
• IDS 屬於僅提供被動響應，例如提醒管理員注意可疑的攻擊。不提供主動響應
• IPS / Firewall / 防毒軟體 : 對安全事件可產生主動響應
• 此過程的第一步是激活適當的團隊，包括組織的計算機安全事件響應團隊 (CSIRT)。
• 緩解 Mitigation
• 此階段採取措施限制安全事件的影響或範圍
• 報告 Reporting
• 恢復 Recovery
• 補救 Remediation
• 此階段為尋找真因 (Root Case), 安全人員在修復階段執行根本原因分析。
• 管理員將設計新的安全控制措施以防止事件再次發生。確定導致事件的因素並根據需要實施新的安全控制。根本原因分析旨在確定發生操作問題的原因。根本原因分析通常會提出需要補救以防止將來發生類似事件的問題。
• 經驗教訓 Lessons learned
• 完成一個安全事件(security incident)審查後需要填寫文件將經驗教訓記錄下來。
• 安全專業人員會分析流程本身以確定是否需要進行任何改進。
• 從流程下手改善避免事件再次發生。

圖片來源 : https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

IM 四大階段

• Preparation : 準備階段

○ IR 團隊

○ User Awareness

○ Plan

○ Policy

○ Management buy-in

• Triage : 檢測和分析 (預處理階段) --> 前

○ 分析並驗證事件報告是否屬實

○ 如果是真的，請記錄並確定優先級。假的 --> 結案

○ 根據事件響應計劃向適當的級別報告。(回報通訊錄有一個專有名詞 Call Tree)

• Response : 處理, 回應 --> 中

○ 在開始處理事件之前收集和保存證據

○ 遏制, 先停損(英文專有名詞 Containment 遏制)

○ 後根除

○ 有損害再復原

• Post-incident :  反省檢討, 持續改善 --> 後

○追根因(Root Case)

7.7 執行和維護檢測和預防措施 Operate and maintain detective and preventative measures

• 防火牆（例如，下一代、web 應用程序，網絡）Firewalls (e.g., next generation, web application, network)
• 入侵檢測系統 (IDS) 和入侵防禦系統 (IPS) Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS)
• HIDS : 基於主機的入侵檢測系統, 能夠檢測系統上運行的未經授權的進程, 例如竊取資料, HIDS 通常作為系統上正在運行的程序可見，並向授權用戶提供警報。 HIDS 可以檢測惡意代碼，類似於反惡意軟件檢測惡意代碼的方式。
• NIDS : 基於網絡的入侵檢測系統
• IDS 屬於僅提供被動響應，例如提醒管理員注意可疑的攻擊。不提供主動響應
• False-Positive : 誤報 --> Type I
• False-Negative : 漏報 --> Type II
• 基於行為的 IDS 可以被標記為專家系統或偽人工智能係統，因為它可以學習並對事件做出假設。換句話說，IDS 可以通過根據已知事件評估當前事件來像人類專家一樣行事。
• 白名單 / 黑名單 Whitelisting / blacklisting
• 第三方提供的安全服務 Third-party provided security services
• SLA
• 沙箱 Sandboxing
• 蜜罐 / 蜜網 Honeypots / Honeynets
• Padded Cells : 蜜罐的一種, 強化過的 Honeypots, 是一個模擬環境，其中包含旨在保持攻擊者興趣的虛假數據。
• pseudoflaw 偽缺陷 : 系統中可能分散攻擊者註意力的虛假漏洞, 用於拖延時間, 因為是故意植入系統中以引誘攻擊者的虛假漏洞。
• Honeynets : 蜜網是一個由多個蜜罐組成的網絡，它為入侵者創造了一個更複雜的環境來探索。
• 反惡意軟件 Anti-malware
• 基於機器學習和人工智能 (AI) 的工具 Machine learning and Artificial Intelligence (AI) based tools

7.8 實施和支持補丁和漏洞管理 Implement and support patch and vulnerability management

• EDR : EDR 系統最常見的功能是分析端點內存、文件系統和網絡活動，尋找惡意活動的跡象；隔離可能的惡意活動以遏制潛在的損害；與威脅情報源集成；並與其他事件響應機制集成。
• Service packs : 是許多不同更新的集合，可作為操作系統或應用程序的主要更新。是一種大型集合中發布的不相關補丁集合。 

7.9 理解並參與變更管理過程 Understand and participate in change management processes

• 發起變更管理 (一般由用戶/使用者發起變更管理, 稱為 RFC)
• 審核變更管理 (若有多個這時候要排定優先順序)
• 同意或拒絕該變更 (CAB 負責的事情)
• 測試變更 (一般用於測試環境或是 Staging)
• 安排時間正式環境變更 (要有退出機制, 意即 RollBack/Backout)
• 紀錄變更

7.10 執行恢復策略 Implement recovery strategies

• 備份存儲策略 Backup storage strategies
• Full Backup 完整備份 : 優點還原快, 缺點備份慢且空間使用最大
• Differential Backup 差異備份 : 透過與基期(完整備份)的比較差異進行備份, 優點較完整備份快速, 缺點是還原較完整備份慢
• Incremental backup 遞增備份/增量備份 : 前一次備份當作基期, 進行差異式備份; 優點備份快, 缺點還原慢

• 資料庫備份機制 (Database Backup)，主要有三個實用的階段作法：

• 電子式分批複製 (Electronic Vaulting)：本地系統所產生的資料，一次性地(一天一次)，備份在異地系統。

• 遠端日誌 (Remote Journal)：比「電子式分批複製」頻率更頻繁些(一小時一次)，通常是自動、週期式地進行備份。
• 遠端鏡像 (Remote Mirroring)：實時複製(up-to-date)到備援站點。

• 站點恢復策略 Recovery site strategies
• Hot Site : 熱站點 --> 設備要有, 軟體要有, 資料要很快, 機器是開啟來的狀態很快接手, 瞬時激活的一種站點
• Warm Site : 溫站點 --> 介於冷熱站點之間的範圍, 從宣布災難開始，溫暖的站點通常需要大約 12 小時才能激活。
• Cold Site : 冷站點 --> 基礎的水電網路都有, 但不一定有機器, 例如機房的事前選址, 冷站點進入運行狀態所需時間 ≧ 至少一周 。
• 多個處理站點 Multiple processing sites
• 系統彈性、高可用性 (HA)、服務質量 (QoS) 和容錯 System resilience, High Availability (HA), Quality of Service (QoS), and fault tolerance

7.11 執行災難恢復 (DR) 過程 Implement Disaster Recovery (DR) processes

• 響應 Response
• 災難恢復團隊應始終將媒體詢問轉交給公共關係團隊，以確保協調一致的響應。
• 應急響應指南應包括組織在響應緊急情況時應立即採取的步驟。其中包括立即響應程序、應通知緊急情況的人員名單以及事件響應者的二級響應程序。
• CSIRT cybersecurity incident response team : 網絡安全事件響應團隊, 通常至少包含下列人員
• 高級管理人員
• 信息安全專業人員
• 法律代表
• 公共事務人員
• 工程人員
• 技術人員
• 執法人員(Law enforcement)不被包括在團隊中，只會在必要時進行諮詢。
• 人員 Personnel
• 通信 Communications
• 評估 Assessment
• 大多數一般商業保險和房主保險單不提供任何針對洪水或山洪風險的保護。
• 美國 50 個州中有 41 個被認為具有中等、高或非常高的地震活動風險。約 80%。
• 修復 Restoration
• 災難恢復過程的最終目標是恢復主要設施的正常業務運營。
• 執行摘要(executive summary)提供了整個組織的災難恢復工作的高級視圖。該文檔對公司的經理和領導者以及需要從非技術角度了解這項複雜工作的公共關係人員很有用。有助於公共關係專家和其他需要在災難恢復工作進行時獲得高級摘要的個人
• 培訓和意識 Training and awareness
• 經驗教訓 Lessons learned
• 組織遭遇了嚴重的運營問題，需要激活災難恢復計劃。舉辦一次經驗教訓會議來審查該事件。誰將是本次會議的最佳主持人？招募一名獨立的主持人來促進會議。有一個沒有直接參與這項工作的主持人可以鼓勵誠實和開放的反饋。例如 : 外部顧問。不應該是參與事件響應工作或在計劃中有重大利害關係的人，例如 CIO、CISO 或 DR 團隊負責人.
• 沒有通報就不會有經驗教訓, 所以通報很重要

7.12 測試災難恢復計劃 (DRP) Test Disaster Recovery Plans (DRP)

• 通讀/桌面 Read-through/Tabletop
• Read-through 或稱 Check List : 清單審查是破壞性最小與時間花費最少的災難恢復測試類型。 在檢查清單審查期間，團隊成員各自審查其災難恢復清單的內容，並提出任何必要的更改。
• Tabletop : 在桌面練習期間，團隊成員聚集在一起並在不對信息系統進行任何更改的情況下遍歷場景。
• 演練 Walkthrough
• 模擬 Simulation
• 並行 Parallel
• 激活備用處理設施並使用它來執行事務，但讓主站點保持正常運行。
• 涉及將人員轉移到恢復站點並加速運營，但執行業務日常運營的責任仍由主要運營中心負責。可以全面評估備份設施的運營，但不會將主要運營責任從主站點轉移。
• 全面中斷 Full interruption
• 團隊關閉主站點並確認災難恢復站點能夠處理常規操作，最徹底的測試，也是最具破壞性的測試。

7.13 參與業務連續性 (BC) 計劃的製定和演練 Participate in Business Continuity (BC) planning and exercises

• 業務影響評估階段，確定組織的業務優先級，以協助分配 BCP 資源。可以使用相同的信息來推動 DRP 業務部門的優先級。幫助準備災難恢復計劃的業務單元優先級任務。
• 軟件託管協議將應用程序源代碼置於獨立第三方手中，從而在開發商停業或未能遵守服務協議條款的情況下為公司提供“安全網”。保護組織免受關鍵軟件公司未能為其產品提供適當支持的影響。 
• 業務攻擊(Business attack)是一種針對存儲在民間組織系統中的專有(proprietary)信息攻擊 。

• 信息系統應急計劃 (ISCP) :

•  ISCP 是一個特定於系統(system-specific)的計劃，它提供了無論站點或位置如何，中斷後系統恢復所需的既定程序和關鍵信息。
•  BCP 四步驟 :
• Project scope and planning
•  a structured analysis of the organization --> 組織的結構化分析 
• the creation of a BCP team --> BCP 團隊的建立, CEO 通常不擔任 BCP 團隊中的高級管理人員
• an assessment of available resources --> 可用資源評估
• an analysis of the legal and regulatory landscape --> 法律和監管環境的分析 

• Business impact assessment
• 確認業務優先順序 
• 識別風險
• 可能性評估
• 影響評估
• 資源優先順序

• Continuity planning

• Approval and implementation 

7.14 執行並管理物理安全 Implement and manage physical security

• 外圍安全控制 Perimeter security controls
• 內部安全控制 Internal security controls
• Sabotage 破壞/怠工 : 內部人員（例如員工）對組織實施的攻擊稱為 sabotage。
• Espionage 間諜 : 外部人員（例如對手）對組織實施的攻擊稱為 Espionage。

7.15 解決人員安全問題 Address personnel safety and security concerns

• 出差 Travel
• 安全培訓和意識 Security training and awareness
• 應急管理 Emergency management
• GDPR 最重大的挑戰之一就是資料外洩事件必須在 72 小時之內通知
• 脅迫 Duress
• Duress 脅迫 : 如受到暴力威脅或其他限制，是諸如銀行、珠寶店或其他攻擊者可能試圖強迫員工採取行動的組織的關注點。預計可能會發生這種情況的組織通常會使用脅迫密碼詞，讓其他人知道他們正在執行受到威脅的行動。情境比喻 : 公司的一名員工致電尋求支持時，她使用了公司同意在員工被迫執行某項操作時使用的暗語

ISC2 連結 : CISSP Exam Outline (isc2.org)