企業資訊與管理系
助理教授/日導
羅德興

歷程檔案 Portfolio

CISSP

Sec. 1

Domain 1 : Security and Risk Management
Domain 2:Asset Security

Domain 3: Security Architecture and Engineering

Domain 4

4.1 Implement secure design principles in network architectures

4.2 Secure network components

4.3 Implment Secure communication channels according to design

Domain 5 . Identity and Access Management (IAM)
Domain 6 Security Assessment and Testing
Domain 7 Security Operations
(1) Investigation
(2) Incident Management (Lesson 5)
(3) Protect Valuable asset (Lesson 6)
(4) Develop a Recovery Strategy (Lesson 7)

Domain 8:Software Development Security

https://hackmd.io/@ErwinLiu/CISSP_Exam_D1
https://hackmd.io/@ErwinLiu/CISSP_Exam_D2
https://hackmd.io/@ErwinLiu/CISSP_Exam_D3
https://hackmd.io/@ErwinLiu/CISSP_Exam_D4
https://hackmd.io/@ErwinLiu/CISSP_Exam_D5

https://hackmd.io/@ErwinLiu/CISSP_Exam_D6
https://hackmd.io/@ErwinLiu/CISSP_Exam_D7
https://hackmd.io/@ErwinLiu/CISSP_Exam_D8

1.
Simplilearn

Introduction to CISSP Security Assessment & Testing and Security Operations

Lesson 3

Resources to detect Vulnerability
(1) The 2011 TOP 25 Most dangerous Software Errors
(2) Critical Security Conrols
(3) Open web Applications Security Project (OWASP)

https://www.sans.org/top25-software-errors/

CWE (Common Weakness Enumeration)

https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html

The CWE Top 25

Below is a list of the weaknesses in the 2022 CWE Top 25, including the overall score of each. The KEV Count (CVEs) shows the number of CVE-2020/CVE-2021 Records from the CISA KEV list that were mapped to the given weakness.

Rank	ID	Name	Score	KEV Count (CVEs)	Rank Change vs. 2021
1	CWE-787	Out-of-bounds Write	64.20	62	0
2	CWE-79	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')	45.97	2	0
3	CWE-89	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')	22.11	7	+3
4	CWE-20	Improper Input Validation	20.63	20	0
5	CWE-125	Out-of-bounds Read	17.67	1	-2
6	CWE-78	Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')	17.53	32	-1
7	CWE-416	Use After Free	15.50	28	0
8	CWE-22	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')	14.08	19	0
9	CWE-352	Cross-Site Request Forgery (CSRF)	11.53	1	0
10	CWE-434	Unrestricted Upload of File with Dangerous Type	9.56	6	0
11	CWE-476	NULL Pointer Dereference	7.15	0	+4
12	CWE-502	Deserialization of Untrusted Data	6.68	7	+1
13	CWE-190	Integer Overflow or Wraparound	6.53	2	-1
14	CWE-287	Improper Authentication	6.35	4	0
15	CWE-798	Use of Hard-coded Credentials	5.66	0	+1
16	CWE-862	Missing Authorization	5.53	1	+2
17	CWE-77	Improper Neutralization of Special Elements used in a Command ('Command Injection')	5.42	5	+8
18	CWE-306	Missing Authentication for Critical Function	5.15	6	-7
19	CWE-119	Improper Restriction of Operations within the Bounds of a Memory Buffer	4.85	6	-2
20	CWE-276	Incorrect Default Permissions	4.84	0	-1
21	CWE-918	Server-Side Request Forgery (SSRF)	4.27	8	+3
22	CWE-362	Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')	3.57	6	+11
23	CWE-400	Uncontrolled Resource Consumption	3.56	2	+4
24	CWE-611	Improper Restriction of XML External Entity Reference	3.38	0	-1
25	CWE-94	Improper Control of Generation of Code ('Code Injection')	3.32	4	+3

1. Out-of-bounds Write

2. Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

3. Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

4. Improper Input Validation

5. Out-of-bounds Read

6. Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

7. Use After Free

8. Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

9. Cross-Site Request Forgery (CSRF)

10. Unrestricted Upload of File with Dangerous Type

11. NULL Pointer Dereference

12. Deserialization of Untrusted Data
13. Integer Overflow or Wraparound

14.Improper Authentication
15. Use of Hard-coded Credentials

16. Missing Authorization

17. Improper Neutralization of Special Elements used in a Command ('Command Injection')

18. Missing Authentication for Critical Function
19. Improper Restriction of Operations within the Bounds of a Memory Buffer
20. Incorrect Default Permissions21. Server-Side Request Forgery (SSRF)

22. Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
23. Uncontrolled Resource Consumption
24. Improper Restriction of XML External Entity Reference
25. Improper Control of Generation of Code ('Code Injection')

1.越界寫 2. 網頁生成期間輸入的不正確中和（“跨站腳本”） 3. SQL 命令中使用的特殊元素的不當中和（“SQL 注入”） 4. 輸入驗證不當 5. 越界閱讀 6. 操作系統命令中使用的特殊元素的不當中和（“操作系統命令注入”） 7. 免費後使用 8. 路徑名對受限目錄的不當限制（“路徑遍歷”） 9. 跨站請求偽造（CSRF） 10. 無限制上傳危險類型文件 11. 空指針解引用 12. 不可信數據的反序列化 13. 整數溢出或迴繞 14. 不正確的身份驗證 15. 使用硬編碼憑證 16. 缺少授權 17. 命令中使用的特殊元素的不正確中和（“命令注入”） 18. 缺少關鍵功能的身份驗證 19. 內存緩衝區範圍內的操作限制不當 20. 不正確的默認權限 21. 服務器端請求偽造 (SSRF) 22. 使用不正確同步的共享資源並發執行（“競爭條件”） 23. 不受控制的資源消耗 24. XML 外部實體引用的不當限制 25. 代碼生成控制不當（“代碼注入”

Sec. 2
https://blog.csdn.net/weixin_33939380/article/details/92541042
(2010)

内容主要是《CISSP认证考试权威指南（第4版）》的读书笔记。

审计（Auditing）属于检测性（Detective）控制手段，是保护IT环境安全的重要手段。

主要包括日志记录(logging)，监控(monitoring)，警报触发（alarm trigger），事件分析（log analysis）甚至***检测（intrusion detection）等。

审计的特点：

1，可问责性审计和监控是支持和实施可问责制的必要因素。

2，合规性审计常用于合规性测试（compliance testing）或合规性检查（compliance checking），验证系统是否遵守法律，规章制度，基准，指导原则，标准和策略等。分为内审和外审。

3，审计频率在风险分析阶段，需要确定审计的频率，过高和过低的频率都是不适当的。

审计跟踪（Audit Trailer）是通过将发生的事件和情况的相关信息记录到数据库或日志文件而生成的记录。可用于重构事件，提取事件相关信息，证明或驳斥失职行为等。审计跟踪的安全性必须得到保证，如果审计跟踪可以被消除，则会造成审计跟踪无效（Nullify）

问题标识：审计跟踪可用于识别问题，查询相关信息进而解决问题。

如果需要通过网络传递审计日志，则应该采用加密技术。

审计相关的系统，应该与集中的或可信的时间服务器进行同步。

审计报告的内容：

1，审计的目的

2，审计的范围

2，审计发现或揭示的结果，解决方案建议，防护措施。

资产价值越高，风险越高，审计报告的频率就应该越高。

抽样（Sampling）或数据抽取（Data Extraction）是从大量数据中提取有代表情的元素的过程。统计抽样（Statistical Sampling）采用数学函数精确抽样，更能够真实地反映整体数据的情况。

剪切（Clipping）是一种特殊的抽样形式，只选择那些超过剪切级别门限值（Clipping-Level Threshold）的事件。剪切级别通常与违规分析（Violation Analysis）的审计形式相关联。

非统计学抽样（Nonstatistical Sampling）可以描述为随机抽样或根据审计人员的主观意愿进行抽样，不一定是整体数据的精确表示。

记录保留（Record Retention）

1，保留时间三年，五年，七年甚至永久。

2，介质，销毁和安全对审计信息的访问应该受到严格限制。

外部审计

外部审计人员必须可靠，外部审计的时间可能很长，中间可能会发布临时报告（Interim Report），发布临时报告的原因是因为问题过于严重无法等待到最终报告。

监控（Monitoring）监控关注IT环境内的事件，子系统，用户，硬件，软件或其它任何客体。最常见的监控实现是非法软件监控（Illegal Software Monitoring）。

监控工具与技术

1，警告标题（Warning Banner）

2，击键监控（Keystroke Monitoring）通常用于恶意目的，如果因为正当原因要利用击键监控，需要使用可接受使用策略（Acceptable Use Policies）和登录标题。

3，流量分析和趋势分析（Traffic Analysis And Trend Analysis）对数据流而不是数据包的内容进行检查，揭示可疑流量。

4，其它监控工具如CCTV，自动化响应通常是预定义脚本，人为控制的响应会更有效。

***测试技术

***测试（Penetration Testing）旨在发现系统中容易受到***的部分并加以改善。

***测试由安全专家在受到控制和监控的环境中完成，高级管理人员预先了解此事并给予批准。

******通常包括社会***，网络和系统配置审查以及环境脆弱性评估。破坏目标永远不是有效或正当的动作。

通常来说，雇佣专业***人员（特别是有犯罪记录的人）来完成各种安全行为是不道德的。而且，能够闯入系统并不一定意味着了解如何保护系统。

***测试团队

1，Zero认识水平团队除了域名和公司地址等公开信息，不知道其它内容。

2，Partial认识水平团队知道环境中的软硬件设施，知道网络结构和配置细节。

3，Full认识水平团队完全了解，包括补丁，升级程序和安全配置等。

道德***行为（Ethical Hacking）与***测试类似，但道德***会使用一些地下工具。对评估目标进行写入，更改或破坏并不属于道德***的行为，这种行为通常称为破解（Cracking）。

战争拔号***（War Dailing）通过扫描电话号码段以发现未授权的Modem。

嗅探（Sniffing）从非加密网络中捕获或抽取信息的有效工具，通常会将网卡置为混杂模式，以便获得所在网段的完整信息。常见的嗅探工具有：EtherPeek，WinDump，WireShark，Sniffit和SNMPSniff等。嗅探可以用来进行***测试，也可以用来发动恶意***，抵御嗅探***的主要对策是加密。

偷听（Eavesdropping）是嗅探的另一个术语，范围不只包括网络通信，还包括音频通信，传真，无线信号等。

辐射监控（Radiation Monitoring）通常包括手机，无线网络，对讲机，无线电和电视广播，短波电台以及民用波段等。为防止信号辐射泄露信息，可以使用屏蔽技术来限制（EMI Electronmagnetic Interference）或（RF=Radio Frequency）的扩散，也可以使用白噪音来掩盖真实信号。

垃圾搜寻（Dumpster Diving）和拾遗（Scavenging）

两者都是信息收集（Information Gathering）的手段，后者是指在计算机内搜索没有删除干净的有用信息。

社交工程***（Social Engineering）

说服某位员工执行能够破坏机构安全性的未授权行为。通常，社交工程***的目标是获得IT基础架构信息或资源的访问权限。

社交工程***通常以欺骗为手段，在***对象的计算机内植入后门程序，或直接窃取某些敏感信息。

问题管理（Problem Management）

三个目标：

1，将故障降低到可管理的级别。

2，防止问题的发生或再次发生。

3，减轻问题对计算服务和资源的负面影响。

不适当的活动（Inappropriate Activity）

在计算机或IT基础架构上发生的，虽然不构成犯罪但是会受到内部处罚。如性骚扰和种族歧视，浪费资源，权力或权限的滥用等。

不明威胁和对策

错误和疏忽（Errors and Omissions）

欺诈和盗窃

共谋（Collusion）责任分离

阴谋破坏（Sabotage）快速处理合同终止事宜
失去物理和基础架构的支持需要DRP和BCP支持

恶意***者（Malicious Attackers）

间谍活动（Espionage）

恶意代码（Malicious Code）

流量和趋势分析（Traffic And Trend Analysis）将流量与流量模板对比（Traffic Pattern）以发现异常。

初始程序载入脆弱性（Initial Program Load=IPL）如通过修改BIOS禁止计算机从光驱启动等。

[本单元结束]

Sec. 3
資訊系統安全與 CISSP 的簡單應用系列

CISSP 架構最貼近實務，涵蓋的領域也夠廣，適用於一般企業集團，也能給予相關軟體系統啟發。

值得注意的是，從 2015 年開始，CISSP 將 Security 重新分成八大領域。

https://ithelp.ithome.com.tw/users/20107753/ironman/1504
(2018 年)

[Day 01] 資訊系統安全與 CISSP 的簡單應用

[Day 02] 安全與風險管理 (Security Governance)

[Day 03] 安全與風險管理 (Personnel Security & Risk Management)

[Day 04] 安全與風險管理 (Business Continuity Planning)

[Day 05] 安全與風險管理 (Laws, Regulations, and Compliance)

[Day 06] 資產安全 (Security of Assets)

[Day 07] 安全工程 (Cryptography for Confidentiality)

[Day 08] 安全工程 (Cryptography for Authentication)

[Day 09] 安全工程 (Cryptographic Applications)

[Day 10] 安全工程 (Security Models and Architecture Design)

[Day 11] 安全工程 (Memory and Process Security)

[Day 12] 安全工程 (Critical Infrastructure Protection)

[Day 13] 通訊與網路安全 (Secure Network Components)

[Day 14] 通訊與網路安全 (Network Attacks)

[Day 15] 通訊與網路安全 (Intrusion Detection System)

今天我們進到 CISSP 八大領域中的第五領域：識別與存取管理

[Day 16] 識別與存取管理 (Managing Identity and Authentication)

[Day 17] 識別與存取管理 (Controlling and Monitoring Access)

[Day 18] 安全評估與測試 (Security Testing Fundamentals)

[Day 19] 安全評估與測試 (Security Testing Report)

[Day 20] 安全評估與測試 (Security Testing Knowledge Management)

[Day 21] 安全評估與測試 (Security Testing Methodology)

[Day 22] 安全評估與測試 (Security Testing Automation)

[Day 23] 安全評估與測試 (Vulnerability Assessment)

[Day 24] 安全評估與測試 (Security Managements Tasks)

[Day 25] 安全營運 (Managing Security Operations)

[Day 26] 安全營運 (Preventing Incidents and Disaster Recovery)

[Day 27] 安全營運 (Computer Crime and Ethics)

[Day 28] 軟體開發安全 (Secure Software Development Life Cycle)

[Day 29] 軟體開發安全 (Database Security Technique)

[Day 30] 資訊系統安全與 CISSP 的簡單應用 (Review)

全部共 0則留言

登入帳號密碼代表遵守學術網路規範

文章分類 Labels

最新文章 Top10