Security+ 认证/目标

来自维基教科书，开放世界中的开放书籍

< Security+ 认证

此页面可能需要审查质量。

1.0 一般安全概念

[编辑 | 编辑源代码]

1.1 比较和对比各种安全控制类型

[编辑 | 编辑源代码]

安全控制
控制类别
- 技术
- 管理
- 运营
- 物理

控制类型
- 预防
- 威慑
- 检测
- 纠正
- 补偿
- 指令

1.2 总结基本安全概念

[编辑 | 编辑源代码]

机密性、完整性和可用性 (CIA)
不可否认性
身份验证、授权和审计 (AAA)
- 验证人员
- 验证系统
- 授权模型
差距分析
零信任
- 控制平面
  - 自适应身份
  - 威胁范围缩减
  - 策略驱动的访问控制
  - 策略管理员
  - 策略引擎
- 数据平面
  - 隐式信任区域
  - 主体/系统
  - 策略执行点

物理安全
- 路障
- 门禁前厅
- 围栏
- 视频监控
- 保安
- 门禁卡
- 照明
- 传感器
  - 传感器列表
  - 红外线
  - 压力
  - 微波
  - 超声波
欺骗和干扰技术
- 蜜罐
- 蜜网
- 蜜文件
- 蜜令牌

1.3 解释变更管理流程的重要性及其对安全的影响。

[编辑 | 编辑源代码]

影响安全运营的业务流程
- 审批流程
- 所有权
- 利益相关者
- 影响分析
- 测试结果
- 回滚计划
- 维护窗口
- 标准操作程序

技术影响
- 允许列表/拒绝列表
- 限制性活动
- 停机时间
- 服务重启
- 应用程序重启
- 遗留应用程序
- 依赖关系
文档
- 更新图表
- 更新策略/流程
版本控制

1.4 解释使用适当的加密解决方案的重要性。

[编辑 | 编辑源代码]

公钥基础设施 (PKI)
- 公钥
- 私钥
- 密钥托管
加密
- 级别
  - 全盘
  - 分区
  - 文件
  - 卷
  - 数据库
  - 记录
- 传输/通信
- 非对称
- 对称
- 密钥交换
- 算法
- 密钥长度

工具
- 可信平台模块 (TPM)
- 硬件安全模块 (HSM)
- 密钥管理系统
- 安全飞地
混淆
- 隐写术
- 令牌化
- 数据屏蔽
哈希
加盐
数字签名
密钥拉伸
区块链
开放公共账本
证书
- 证书颁发机构
- 证书吊销列表 (CRL)
- 在线证书状态协议 (OCSP)
- 自签名
- 第三方
- 信任根
- 证书签名请求 (CSR) 生成
- 通配符

2.0 威胁、漏洞和缓解措施

[编辑 | 编辑源代码]

2.1 比较和对比常见的威胁行为者及其动机。

[编辑 | 编辑源代码]

威胁行为者
- 国家
- 无技能攻击者
- 黑客活动家
- 内部威胁
- 有组织犯罪
- 影子 IT
行为者属性
- 内部/外部
- 资源/资金
- 复杂程度/能力级别

动机
- 数据泄露
- 间谍活动
- 服务中断
- 勒索
- 经济利益
- 哲学/政治信仰
- 道德
- 报复
- 破坏/混乱
- 战争

2.2 解释常见的威胁载体和攻击面。

[编辑 | 编辑源代码]

基于消息的
- 电子邮件
- 短信服务 (SMS)
- 即时通讯 (IM)
基于图像的
基于文件的
语音通话
可移动设备
易受攻击的软件
- 基于客户端的与无代理的
不受支持的系统和应用程序
不安全的网络
- 无线
- 有线
- 蓝牙
开放服务端口

默认凭据
供应链
- 托管服务提供商 (MSP)
- 供应商
- 供应商
人为载体/社会工程学
- 网络钓鱼
- 电话诈骗
- 短信诈骗
- 错误信息/虚假信息
- 冒充
- 商业电子邮件入侵
- 借口
- 水坑攻击
- 品牌冒充
- 错拼域名

2.3 解释各种漏洞类型。

[edit | edit source]

应用程序
- 内存注入
- 缓冲区溢出
- 竞争条件
  - 检查时 (TOC)
  - 使用时 (TOU)
- 恶意更新
基于操作系统 (OS)
基于 Web
- 结构化查询语言注入 (SQLi)
- 跨站点脚本 (XSS)
硬件
- 固件
- 生命周期结束
- 旧版

虚拟化
- 虚拟机 (VM) 逃逸
- 资源重用
云特定
供应链
- 服务提供商
- 硬件提供商
- 软件提供商
加密
配置错误
移动设备
- 侧载
- 越狱
零日

2.4 给定一个场景，分析恶意活动的指标。

[edit | edit source]

恶意软件攻击
- 勒索软件
- 木马
- 蠕虫
- 间谍软件
- 膨胀软件
- 病毒
- 键盘记录器
- 逻辑炸弹
- Rootkit
物理攻击
- 暴力破解
- 射频识别 (RFID) 克隆
- 环境
网络攻击
- 分布式拒绝服务 (DDoS)
  - 放大
  - 反射
- 域名系统 (DNS) 攻击
- 无线
- 在途
- 凭据重放
- 恶意代码

应用程序攻击
- 注入
- 缓冲区溢出
- 重放
- 权限提升
- 伪造
- 目录遍历
加密攻击
- 降级
- 冲突
- 生日
密码攻击
- 喷洒
- 暴力破解
指标
- 帐户锁定
- 并发会话使用
- 阻止内容
- 不可能旅行
- 资源消耗
- 资源不可访问
- 循环外日志记录
- 已发布/已记录
- 缺少日志

2.5 解释用于保护企业使用的缓解技术的用途。

[edit | edit source]

分段
访问控制
- 访问控制列表 (ACL)
- 权限
应用程序白名单
隔离
修补
加密
监控
最小权限

配置强制
退役
加固技术
- 加密
- 安装端点保护
- 基于主机的防火墙
- 基于主机的入侵防御系统 (HIPS)
- 禁用端口/协议
- 默认密码更改
- 删除不必要的软件

3.0 安全架构

[edit | edit source]

3.1 比较和对比不同架构模型的安全影响。

[edit | edit source]

架构和基础设施概念
- 云
  - 责任矩阵
  - 混合考虑因素
  - 第三方供应商
- 基础设施即代码 (IaC)
- 无服务器
- 微服务
- 网络基础设施
  - 物理隔离
    - 空气隔离
  - 逻辑分段
  - 软件定义网络 (SDN)
- 本地
- 集中式与分散式
- 容器化
- 虚拟化
- 物联网
- 工业控制系统 (ICS)/ 监督控制和数据采集 (SCADA)
- 实时操作系统 (RTOS)
- 嵌入式系统
- 高可用性

注意事项
- 可用性
- 弹性
- 成本
- 响应能力
- 可扩展性
- 易于部署
- 风险转移
- 易于恢复
- 补丁可用性
- 无法修补
- 电源
- 计算

3.2 给定一个场景，将安全原则应用于保护企业基础设施。

[edit | edit source]

基础设施注意事项
- 设备放置
- 安全区域
- 攻击面
- 连接性
- 故障模式
  - 故障打开
  - 故障关闭
- 设备属性
  - 主动与被动
  - 内联与点击/监控
- 网络设备
  - 跳跃服务器
  - 代理服务器
  - 入侵防御系统 (IPS)/ 入侵检测系统 (IDS)
  - 负载均衡器
  - 传感器
- 端口安全
  - 802.1X
  - 可扩展身份验证协议 (EAP)
- 防火墙类型
  - Web 应用防火墙 (WAF)
  - 统一威胁管理 (UTM)
  - 下一代防火墙 (NGFW)
  - 第 4 层/第 7 层

安全通信/访问
- 虚拟专用网络 (VPN)
- 远程访问
- 隧道
  - 传输层安全 (TLS)
  - 互联网协议安全 (IPSec)
- 软件定义广域网 (SD-WAN)
- 安全访问服务边缘 (SASE)
选择有效控制

3.3 比较和对比保护数据的概念和策略。

[edit | edit source]

数据类型
- 受监管的
- 商业秘密
- 知识产权
- 法律信息
- 财务信息
- 人类和非人类可读
数据分类
- 敏感的
- 机密的
- 公开的
- 受限的
- 私人的
- 关键的

一般数据注意事项
- 数据状态
  - 静止数据
  - 传输中的数据
  - 使用中的数据
- 数据主权
- 地理位置
保护数据的方法
- 地理限制
- 加密
- 哈希
- 遮罩
- 令牌化
- 混淆
- 分段
- 权限限制

3.4 解释弹性和恢复在安全架构中的重要性。

[edit | edit source]

高可用性
- 负载均衡与集群
站点考虑因素
- 热
- 冷
- 暖
- 地理分散
平台多样性
多云系统
业务连续性
容量规划
- 人员
- 技术
- 基础设施

测试
- 桌面演练
- 故障转移
- 模拟
- 并行处理
备份
- 现场/异地
- 频率
- 加密
- 快照
- 恢复
- 复制
- 日志记录
电源
- 发电机
- 不间断电源 (UPS)

4.0 安全运营

[edit | edit source]

4.1 给定一个场景，将通用的安全技术应用于计算资源。

[edit | edit source]

安全基线
- 建立
- 部署
- 维护
加固目标
- 移动设备
- 工作站
- 交换机
- 路由器
- 云基础设施
- 服务器
- ICS/SCADA
- 嵌入式系统
- RTOS
- 物联网设备
无线设备
- 安装注意事项
  - 现场调查
  - 热力图

移动解决方案
- 移动设备管理 (MDM)
- 部署模型
  - 自带设备 (BYOD)
  - 公司拥有，个人启用 (COPE)
  - 选择你自己的设备 (CYOD)
- 连接方法
  - 蜂窝
  - Wi-Fi
  - 蓝牙
无线安全设置
- 无线保护访问 3 (WPA3)
- AAA/远程身份验证拨号用户服务 (RADIUS)
- 加密协议
- 身份验证协议
应用程序安全
- 输入验证
- 安全 Cookie
- 静态代码分析
- 代码签名
沙箱
监控

4.2 解释适当的硬件、软件和数据资产管理的安全影响。

[编辑 | 编辑源代码]

获取/采购流程
分配/核算
- 所有权
- 分类
监控/资产跟踪
- 库存
- 枚举

处置/退役
- 清理
- 销毁
- 认证
- 数据保留

4.3 解释与漏洞管理相关的各种活动。

[编辑 | 编辑源代码]

识别方法
- 漏洞扫描
- 应用程序安全
  - 静态分析
  - 动态分析
  - 软件包监控
- 威胁情报
  - 开源情报 (OSINT)
  - 专有/第三方
  - 信息共享组织
  - 暗网
- 渗透测试
- 负责任披露计划
  - 漏洞赏金计划
- 系统/流程审计

分析
- 确认
  - 误报
  - 漏报
- 优先级排序
- 通用漏洞评分系统 (CVSS)
- 通用漏洞枚举 (CVE)
- 漏洞分类
- 暴露因子
- 环境变量
- 行业/组织影响
- 风险承受能力
漏洞响应和修复
- 修补
- 保险
- 分段
- 补偿性控制
- 例外和豁免
修复验证
- 重新扫描
- 审计
- 验证
报告

4.4 解释安全警报和监控的概念和工具。

[编辑 | 编辑源代码]

监控计算资源
- 系统
- 应用程序
- 基础设施
活动
- 日志聚合
- 警报
- 扫描
- 报告
- 归档
- 警报响应和修复/验证
  - 隔离
  - 警报调整

工具
- 安全内容自动化协议 (SCAP)
- 基准
- 代理/无代理
- 安全信息和事件管理 (SIEM)
- 反病毒
- 数据丢失防护 (DLP)
- 简单网络管理协议 (SNMP) 陷阱
- NetFlow
- 漏洞扫描仪

4.5 在给定场景下，修改企业功能以增强安全性。

[编辑 | 编辑源代码]

防火墙
- 规则
- 访问列表
- 端口/协议
- 屏蔽子网
入侵检测/入侵防御系统 (IDS/IPS)
- 趋势
- 签名
Web 过滤器
- 基于代理的
- 集中式代理
- 统一资源定位器 (URL) 扫描
- 内容分类
- 阻止规则
- 信誉
操作系统安全
- 组策略
- SELinux

安全协议的实施
- 协议选择
- 端口选择
- 传输方法
DNS 过滤
电子邮件安全
- 基于域的消息身份验证、报告和一致性 (DMARC)
- DomainKeys 标识邮件 (DKIM)
- 发件人策略框架 (SPF)
- 网关
文件完整性监控
DLP
网络访问控制 (NAC)
端点检测和响应 (EDR)/扩展检测和响应 (XDR)
用户行为分析

4.6 在给定场景下，实施和维护身份和访问管理。

[编辑 | 编辑源代码]

用户帐户的预配/取消预配
权限分配和影响
身份验证
联合
单点登录 (SSO)
- 轻型目录访问协议 (LDAP)
- 开放授权 (OAuth)
- 安全断言标记语言 (SAML)
互操作性
证明
访问控制
- 强制性的
- 自由裁量的
- 基于角色的
- 基于规则的
- 基于属性的
- 一天中的时间限制
- 最小权限

多因素身份验证
- 实施
  - 生物识别
  - 硬件/软件身份验证令牌
  - 安全密钥
- 因素
  - 你知道的
  - 你拥有的
  - 你是谁
  - 你在哪里
密码概念
- 密码最佳实践
  - 长度
  - 复杂性
  - 重复使用
  - 过期
  - 年龄
- 密码管理器
- 无密码
特权访问管理工具
- 即时权限
- 密码保管
- 短暂凭据

4.7 解释自动化和编排与安全运营相关的重要性。

[编辑 | 编辑源代码]

自动化和脚本的使用案例
- 用户预配
- 资源预配
- 护栏
- 安全组
- 工单创建
- 升级
- 启用/禁用服务和访问
- 持续集成和测试
- 集成和应用程序编程接口 (API)

好处
- 效率/节省时间
- 强制执行基线
- 标准基础架构配置
- 安全地扩展
- 员工保留
- 反应时间
- 劳动力倍增器
其他注意事项
- 复杂性
- 成本
- 单点故障
- 技术债务
- 持续可支持性

4.8 解释适当的事件响应活动。

[编辑 | 编辑源代码]

过程
- 准备
- 检测
- 分析
- 遏制
- 根除
- 恢复
- 经验教训
培训
测试
- 桌面演习
- 模拟

根本原因分析
威胁狩猎
数字取证
- 法律保留
- 证据链
- 采集
- 报告
- 保存
- 电子发现

4.9 在给定场景下，使用数据源支持调查

[编辑 | 编辑源代码]

日志数据
- 防火墙日志
- 应用程序日志
- 端点日志
- 特定于操作系统的安全日志
- IPS/IDS 日志
- 网络日志
- 元数据

数据源
- 漏洞扫描
- 自动化报告
- 仪表板
- 数据包捕获

5.0 安全程序管理和监督

[编辑 | 编辑源代码]

5.1 总结有效安全治理的要素。

[编辑 | 编辑源代码]

指南
策略
- 可接受使用策略 (AUP)
- 信息安全策略
- 业务连续性
- 灾难恢复
- 事件响应
- 软件开发生命周期 (SDLC)
- 变更管理
标准
- 密码
- 访问控制
- 物理安全
- 加密
程序
- 变更管理
- 入职/离职
- 剧本

外部因素
- 监管
- 法律
- 行业
- 地方/区域
- 国家
- 全球
监控和修订
治理结构类型
- 董事会
- 委员会
- 政府实体
- 集中式/分散式
系统和数据的角色和责任
- 所有者
- 控制者
- 处理器
- 保管人/管理人

5.2 解释风险管理流程的要素

[编辑 | 编辑源代码]

风险识别
风险评估
- 临时性
- 循环性
- 一次性
- 持续性
风险分析
- 定性
- 定量
- 单次损失期望值 (SLE)
- 年度损失期望值 (ALE)
- 年度发生率 (ARO)
- 概率
- 可能性
- 暴露因子
- 影响
风险登记册
- 关键风险指标
- 风险负责人
- 风险阈值

风险承受能力
风险偏好
- 扩张性
- 保守性
- 中立性
风险管理策略
- 转移
- 接受
  - 豁免
  - 例外
- 规避
- 缓解
风险报告
业务影响分析
- 恢复时间目标 (RTO)
- 恢复点目标 (RPO)
- 平均修复时间 (MTTR)
- 平均故障间隔时间 (MTBF)

5.3 解释与第三方风险评估和管理相关的流程。

[编辑 | 编辑源代码]

供应商评估
- 渗透测试
- 审计权条款
- 内部审计证据
- 独立评估
- 供应链分析
供应商选择
- 尽职调查
- 利益冲突

协议类型
- 服务等级协议 (SLA)
- 协议备忘录 (MOA)
- 谅解备忘录 (MOU)
- 主服务协议 (MSA)
- 工作单 (WO) / 工作说明 (SOW)
- 保密协议 (NDA)
- 业务合作伙伴协议 (BPA)
供应商监控
问卷调查
参与规则

5.4 总结有效安全合规性的要素。

[编辑 | 编辑源代码]

合规性报告
- 内部
- 外部
不合规的后果
- 罚款
- 制裁
- 声誉受损
- 许可证丢失
- 合同影响
合规性监控
- 尽职调查/谨慎
- 证明和确认
- 内部和外部
- 自动化

隐私
- 法律影响
  - 地方/区域
  - 国家
  - 全球
- 数据主体
- 控制方与处理方
- 所有权
- 数据清单和保留
- 被遗忘权

5.5 解释审计和评估的类型和目的。

[编辑 | 编辑源代码]

证明
内部
- 合规性
- 审计委员会
- 自我评估
外部
- 监管
- 检查
- 评估
- 独立第三方审计

渗透测试
- 物理
- 攻击性
- 防御性
- 集成
- 已知环境
- 部分已知环境
- 未知环境
- 侦察
  - 被动
  - 主动

5.6 在给定场景的情况下，实施安全意识实践。

[编辑 | 编辑源代码]

网络钓鱼
- 活动
- 识别网络钓鱼企图
- 响应报告的可疑消息
异常行为识别
- 有风险
- 意外
- 无意

用户指南和培训
- 策略/手册
- 态势感知
- 内部威胁
- 密码管理
- 可移动介质和电缆
- 社会工程学
- 运营安全
- 混合/远程工作环境
报告和监控
- 初始
- 循环性
开发
执行

检索自 "https://wikibooks.cn/wiki/Security%2B_Certification/Objectives"

书籍：Security+ 认证

华夏公益教科书