第15章 安全评估和测试

大家好，我是 Mike Chapple，这是 CISSP 官方学习指南第 15 章考试要点的音频复习。

以下是本章关于安全评估和测试的考试要点。

了解安全评估和测试程序的重要性。

安全评估和测试程序为验证安全控制的持续有效性提供了重要机制。

它们包括各种工具，例如漏洞评估、渗透测试、软件测试、审计和安全管理任务，旨在验证控制。

每个组织都应该有一个定义并可操作的安全评估和测试程序。

进行漏洞评估和渗透测试。

漏洞评估使用自动化工具搜索系统、应用程序和网络中的已知漏洞。

这些漏洞可能包括缺失补丁、配置错误或错误代码，这些漏洞会使组织面临安全风险。

渗透测试也使用这些相同的工具，但补充了攻击技术，评估人员会尝试利用漏洞并获取系统访问权限。

漏洞管理程序将这些测试的结果作为输入，然后针对已识别的漏洞实施风险管理流程。

执行软件测试以验证投入生产的代码。

软件测试技术可验证代码是否按设计运行且不存在安全漏洞。

代码审查使用同行评审流程在将代码部署到生产之前正式或非正式地验证代码。

接口测试通过 API 测试、用户界面测试和物理接口测试来评估组件和用户之间的交互。

了解静态和动态软件测试之间的区别。

代码审查等静态软件测试技术通过分析源代码或编译后的应用程序来评估软件的安全性，而无需运行软件。

动态测试在运行时环境中评估软件的安全性，通常是部署他人编写的应用程序的组织的唯一选择。

解释模糊测试的概念。

糊测试使用修改后的输入来测试意外情况下的软件性能。

变异模糊测试修改已知输入以生成可能触发意外行为的合成输入。

代际模糊测试根据预期输入的模型开发输入以执行相同的任务，执行安全管理测试以监督信息安全程序。

安全经理必须执行各种活动来保持对信息安全计划的适当监督。

日志审查，特别是管理员活动的日志审查，可确保系统不会被滥用。

账户管理审查确保只有授权用户才能访问信息系统。

备份验证确保组织的数据保护流程正常运行。

管理层还应监控其他安全功能，如灾难恢复、业务连续性以及意识和培训计划。

关键绩效和风险指标提供了安全计划有效性的高级视图。

指导方针促进内部、外部和第三方审计。

当第三方对保护组织信息资产的安全控制进行评估时，就会发生安全审计。

内部审计由组织的内部员工执行，旨在供管理使用。

外部审计由第三方审计公司执行，通常针对组织的管理机构。

收集日志和安全流程数据。

信息安全计划的许多组成部分都会生成对安全评估流程至关重要的数据。

这些组成部分包括帐户管理流程、管理审查和批准、关键绩效和风险指标、备份验证数据、培训和意识指标以及灾难恢复和业务连续性计划生成的数据。

了解如何使用网络安全演习来确保团队为安全事件做好准备。

演习旨在测试安全专业人员的技能。

蓝队负责管理组织的防御。

红队在尝试访问目标网络上的系统时使用攻击性黑客攻击。

白队充当演习的中立主持人。

紫队在演习后进行，将红队和蓝队聚集在一起进行知识共享。

这些是第 15 章“安全评估和测试”需要了解的学习要点。