CISSP+INE(三十)

强者从不抱怨环境差,因为环境就是强者搞差的

INE是一个安全培训的网站,链接如下:
https://my.ine.com/CyberSecurity/courses/3862a65d/security-risk-management-for-cissp

什么是安全管理?

学习目标:
理解安全管理角色
理解组织中的不同的安全区域

  • 边界
  • 网络
  • 终端
    变更管理
    理解安全管理和变更管理之间的关系
    是一个技术角色
    积极主动的工作
    实施、配置、监控
    应急响应

Security Engineer安全工程师的职责有哪些?

  1. 应急响应活动
  2. 配置安全设备
  3. 阅读网络安全新闻文章以加强教育

边界安全

反病毒软件(AV)和高级恶意软件防护(AMP)之间的主要区别在于它们的方法和能力。

  1. 检测方法

    • 反病毒软件(AV):传统的反病毒软件主要依靠基于签名的检测。它通过将文件的特征与已知威胁的数据库中的签名进行匹配来识别已知的恶意软件。
    • 高级恶意软件防护(AMP):AMP通常结合使用基于签名的检测、行为分析、机器学习和启发式方法来检测已知和未知的威胁。它侧重于识别可疑行为和异常,而不仅仅依靠已知的签名。

  2. 保护范围

    • 反病毒软件(AV):主要专注于检测和删除病毒、蠕虫、木马和其他具有已知签名的恶意软件。
    • 高级恶意软件防护(AMP):通过检测和减轻更广泛范围的威胁,包括高级持久性威胁(APTs)、零日漏洞利用、无文件恶意软件和其他可能规避传统AV解决方案的复杂攻击,提供了更广泛的保护。

  3. 响应能力

    • 反病毒软件(AV):通常提供基本的功能,如隔离或删除受感染的文件,并有时从备份中恢复文件。
    • 高级恶意软件防护(AMP):提供更先进的响应能力,例如将受感染设备与网络隔离、阻止与恶意域的通信以及自动消除威胁。

  4. 集成和可见性

    • 反病毒软件(AV):通常作为独立的解决方案运作,尽管它可能与其他安全工具集成在更广泛的安全套件中。
    • 高级恶意软件防护(AMP):通常是更全面的安全生态系统的一部分,包括网络安全、端点保护、电子邮件安全和其他组件。它提供了对整个环境中威胁的更多可见性,并促进了对安全事件的协调响应。

总之,虽然AV和AMP都旨在防止恶意软件,但AMP提供了更先进的检测技术、更广泛的保护能力和更好的与其他安全技术集成,以提供更全面的防御,以应对现代网络威胁。

变更管理的基本概念

  • 有结构化的计划&介绍变更的进程
  • 沟通和文档是关键
  • 变更管理需要
    每周会议
    每日会议
    提交和支持系统
    设置标准,确保accountability负有责任(问责制)
    保证每个人都被通知到了
    保证环境有合适的tracking
    安全性是经常提及的部分

OECD

经济合作与发展组织(简称经合组织;英语:Organisation for Economic Cooperation and Development,OECD)是全球38个市场经济国家组成的政府间国际组织,总部设在法国巴黎犬舍城堡。

GDPR

GDPR(通用数据保护条例)是一部欧洲联盟(EU)的法律,旨在保护所有欧盟成员国公民的个人数据和隐私。它于2016年通过,并于2018年5月25日开始实施。GDPR代表了一种全面的数据保护方法,它不仅影响欧盟内部的组织,还影响到欧盟外部处理欧盟公民数据的组织。

GDPR的主要目标包括:

  1. 增强个人权利:GDPR加强了个人控制自己数据的权利,例如通过增加数据访问权、被遗忘权(要求删除个人信息)和数据携带权(允许个人将其数据从一家公司转移到另一家公司)。

  2. 规范数据处理:条例要求任何组织在处理个人数据时必须遵守严格的规则,如合法、公平和透明地处理数据。

  3. 强制透明度:组织必须以清晰和简单的语言通知个人他们的数据如何被收集、使用和处理。

  4. 加强安全性:GDPR强调必须采取适当的安全措施来保护个人数据免受丢失、泄露或未经授权的访问。

  5. 问责制:组织必须在处理个人数据时展示其遵守GDPR的方式,这包括必要时需进行数据保护影响评估,以及在某些情况下指派数据保护官(DPO)。

  6. 跨境数据传输:GDPR设立了规则,规定如何以及在什么条件下可以将数据传输到欧盟以外的国家。

  7. 罚款和处罚:GDPR规定了严厉的处罚措施,对未遵守规定的组织可能处以高达全球年营收4%或2000万欧元的罚款(以较高者为准)。

这些规则意味着GDPR不仅是数据保护领域的一个重大改变,也为世界其他地区的数据保护法规设立了新的标准。

BCP和BCM的区别

BCP(Business Continuity Planning)和BCM(Business Continuity Management)是两个相关但不完全相同的概念:

  1. Business Continuity Planning (BCP):

    • 定义: BCP 是指针对业务中断或灾难事件制定的具体计划和策略。
    • 焦点: 主要关注在面对紧急情况时,如何保障关键业务功能的持续运行。
    • 内容: 包括风险评估、业务影响分析、应急响应计划、业务恢复策略等具体措施。

  2. Business Continuity Management (BCM):

    • 定义: BCM 则是更广泛的管理框架,涵盖整个业务连续性的生命周期。
    • 焦点: 不仅关注灾难事件发生时的应对措施,还包括日常管理和预防措施。
    • 内容: 包括 BCP 在内的各种活动,如风险管理、业务影响评估、业务连续性策略的制定和实施、组织文化和意识培训等。

主要区别:

  • BCP 是 BCM 的一部分,专注于应对紧急情况时的具体计划和措施。
  • BCM 则更广泛,涵盖从预防、准备、应对到恢复和改进的全方位业务连续性管理。

在实践中,BCM 是一种持续的、综合性的管理方法,帮助组织在不可预见的情况下保持业务的稳定运行,而 BCP 则是 BCM 的一个具体组成部分,强调在灾难事件发生时如何快速有效地恢复关键业务功能。

“Business resilience” 可以翻译为“企业韧性”或“商业韧性”。这个词汇描述的是企业在面对挑战和危机时能够持续运营和恢复的能力。

RPO

Recovery Point Objective(RPO)是灾难恢复管理中的一个重要概念,指的是企业在信息系统发生中断后,在可接受的数据丢失范围内所能容忍的最大数据恢复点。简单来说,它定义了企业在灾难发生时,可以接受的数据丢失量的上限。

举个例子,如果一个企业的RPO设定为1小时,那么这意味着在发生系统故障或灾难时,企业能够接受的数据丢失不超过最后一小时内的数据。这将影响企业数据备份的频率及恢复系统的设计。

问题

What type of investigation applies when malicious behavior is suspected between two organizations?
当怀疑两个组织之间存在恶意行为时,适用哪种类型的调查?
A. civil 民用
B. criminal 犯罪
C. regulatory 监管
D. Audit 审计

A.在怀疑两个组织之间存在恶意行为时,适用民事调查(civil investigation)的情况可能更常见。这种调查通常涉及到法律上的争议或者经济上的纠纷,目的是确定是否有法律或合同违规行为,并可能导致赔偿或其他民事责任。相比之下,犯罪调查(criminal investigation)更多涉及刑事犯罪行为,由执法机构进行,并可能导致刑事起诉和刑事处罚。

What would be the MOST cost effective solution for a Disaster Recovery (DR) site given that the organization-s systems cannot be unavailable for more than 24 hours?
A. hot site
B. warm site
C. mirror site
D. mobile site

在这个选择题中,要考虑成本效益以及系统恢复时间的要求。

  • 热备站点(hot site)通常是完全配备并随时可用的备用设施,可以在灾难发生后立即切换,但成本较高。
  • 温备站点(warm site)则装备较少,需要一些时间来启动和配置,但成本低于热备站点。
  • 镜像站点(mirror site)提供实时或几乎实时的数据复制,安全性和可靠性最高,但成本通常也是最高的。
  • 移动站点(mobile site)提供可移动的临时设施,灵活性高,但可能需要时间部署和配置。

考虑到组织的系统不能不可用超过24小时的要求,温备站点(B. warm site)可能是最具成本效益的选择,因为它提供了合理的恢复时间和相对较低的成本。热备站点虽然恢复更快,但成本较高;而镜像站点和移动站点在这种情况下可能提供超出所需的功能或灵活性,从而增加不必要的成本。

业务影响分析的主要输出是什么?
A. 确定可针对业务的事件和环境因素
B. 准备一个程序,以建立执行业务连续性计划(BCP)的组织意识
C. 根据可能影响组织的威胁确定业务连续性计划(BCP)的需求
D. 确定业务流程的关键性

业务影响分析(Business Impact Analysis, BIA)的目的是识别和评估因突发事件导致的潜在影响,以帮助组织制定业务连续性计划(Business Continuity Plan, BCP)。主要输出包括识别关键业务功能、确定业务流程的关键性、了解业务中断的潜在影响,以及确立恢复时间目标。

针对提供的选项:
A. 确定可针对业务的事件和环境因素 - 这是业务影响分析的一部分,但不是主要输出。
B. 准备一个程序,以建立执行业务连续性计划(BCP)的组织意识 - 这更多关注于业务连续性管理的宣传和教育,不是业务影响分析的直接输出。
C. 根据可能影响组织的威胁确定业务连续性计划(BCP)的需求 - 这描述了业务影响分析的一个目的,但不是最具体的输出。
D. 确定业务流程的关键性 - 这是业务影响分析的核心输出之一,通过它可以确定哪些业务流程是关键的,以及它们对业务持续性的重要性。

因此,正确答案是 D. 确定业务流程的关键性。这是业务影响分析中最重要的输出之一,直接关系到如何优先处理资源和恢复策略。