Upload File

cle

609

Upload: clesu

Post on 09-May-2015

10.837 views

Category:

Education


78 download

Report

TRANSCRIPT

  • 1.OFFICIAL (ISC) GUIDE TO2 THE SSCPCBK

2. OTHER BOOKS IN THE (ISC)2 PRESS SERIES Building and Implementing a Security Certification and Accreditation Program: Official (ISC)2 Guide to the CAPcm CBK Patrick D. Howard ISBN: 0-8493-2062-3 Official (ISC)2 Guide to the SSCP CBK Diana-Lynn Contesti, Douglas Andre, Eric Waxvik, Paul A. Henry, and Bonnie A. Goins ISBN: 0-8493-2774-1 Official (ISC)2 Guide to the CISSP-ISSEP CBK Susan Hansche ISBN: 0-8493-2341-X Official (ISC)2 Guide to the CISSP CBK Harold F. Tipton and Kevin Henry, Editors ISBN: 0-8493-8231-9 3. OFFICIAL (ISC) GUIDE TO THE2 SSCP CBK Diana-Lynn Contesti, Douglas Andre, Eric Waxvik, Paul A. Henry, and Bonnie A. Goins Boca Raton New York Auerbach Publications is an imprint of theTaylor & Francis Group, an informa business 4. Auerbach Publications Taylor & Francis Group 6000 Broken Sound Parkway NW, Suite 300 Boca Raton, FL 33487-2742 2007 by Taylor & Francis Group, LLC Auerbach is an imprint of Taylor & Francis Group, an Informa businessNo claim to original U.S. Government works Printed in the United States of America on acid-free paper 10 9 8 7 6 5 4 3 2 1International Standard Book Number-10: 0-8493-2774-1 (Hardcover) International Standard Book Number-13: 978-0-8493-2774-2 (Hardcover)This book contains information obtained from authentic and highly regarded sources. Reprinted material is quoted with permission, and sources are indicated. A wide variety of references are listed. Reasonable efforts have been made to publish reliable data and information, but the author and the publisher cannot assume responsibility for the validity of all materials or for the conse- quences of their use.No part of this book may be reprinted, reproduced, transmitted, or utilized in any form by any electronic, mechanical, or other means, now known or hereafter invented, including photocopying, microfilming, and recording, or in any information storage or retrieval system, without written permission from the publishers.For permission to photocopy or use material electronically from this work, please access www. copyright.com (http://www.copyright.com/) or contact the Copyright Clearance Center, Inc. (CCC) 222 Rosewood Drive, Danvers, MA 01923, 978-750-8400. CCC is a not-for-profit organization that provides licenses and registration for a variety of users. For organizations that have been granted a photocopy license by the CCC, a separate system of payment has been arranged.Trademark Notice: Product or corporate names may be trademarks or registered trademarks, and are used only for identification and explanation without intent to infringe.Library of Congress Cataloging-in-Publication DataOfficial (ISC)2 guide to the SSCP CBK / Diana-Lynn Contesti ... [et al.]. p. cm. -- ((ISC)2 press series) Includes index. ISBN 0-8493-2774-1 (978-0-8493-2774-2 : alk. paper) 1. Computer networks--Security measures--Examinations--Study guides. 2. Electronic data processing personnel--Examinations--Study guides. I. Contesti, Diana-Lynn.TK5105.59.O44 2007 005.8--dc222007011467 Visit the Taylor & Francis Web site at http://www.taylorandfrancis.com and the Auerbach Web site at http://www.auerbach-publications.com 5. ContentsForeword to the Official (ISC)2 Guide to the SSCP CBK . . . . . . . . . . xxv Introduction to the (ISC)2 SSCP CBK . . . . . . . . . . . . . . . . . . . . . . . . xxviiThe SSCP Credential . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxviiGlobal Recognition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxviiiThe (ISC)2 SSCP CBK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxixOrganization of the Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxiThe Official (ISC)2 SSCP CBK Review Seminar . . . . . . . . . . . . . . . . . . . . xxxiSSCP Examination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxxiiAcknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxxii Authors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxiii Domain 1 Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Paul A. Henry, CISSP Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Logical Access Controls in Terms of Subjects . . . . . . . . . . . . . . . . . . . . . . . 3Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Group Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4User Account Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Password Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Account Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Access Rights and Permissions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Logical Access Controls in Terms of Objects . . . . . . . . . . . . . . . . . . . . . . . . 6Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Object Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Authentication Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Authentication Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Multi-Factor Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Common Authentication Methodologies . . . . . . . . . . . . . . . . . . . . . . . . . 7 Static Passwords and Passphrases. . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 One-Time Password Token . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8v 6. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBKAsynchronous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Synchronous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Smart Card . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Biometrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Fingerprint Verification Technology . . . . . . . . . . . . . . . . . . . . . . . 10 Hand Geometry Technology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Eye Features Retina Scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Eye Features Iris Scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Facial Recognition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Voice Recognition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Signature Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Keystroke Dynamics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Biometric Accuracy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Remote Access Protocols and Applications . . . . . . . . . . . . . . . . . 13 Indirect Access and Authentication. . . . . . . . . . . . . . . . . . . . . . . . 14 Indirect Access and Authentication Technologies . . . . . . . . . . . 15 Single Sign-On (SSO). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Terminal Server Controller Access Control System (TACACS). . 16 Extended Terminal Server Controller Access ControlSystem (XTACACS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Terminal Server Controller Access Control SystemPlus (TACACS+) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Remote Authentication Dial-In User Services (RADIUS) . . . . . . . 17 X.509. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Secure European System for Application in aMulti-Vendor Environment (SESAME) . . . . . . . . . . . . . . . . . . . . 20 Remote Terminal Solution Secure Shell (SSH) . . . . . . . . . . . . . 21Access Control Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Access Control Formal Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23BellLaPadula Formal Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Biba Formal Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23ClarkWilson Formal Model. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Access Control Evaluation Criteria Orange Book . . . . . . . . . . . . 24Orange Book B Level Mandatory Access Control . . . . . . . . . . . . 26Orange Book C Level Discretionary Access Control . . . . . . . . . . 27Other Discretionary Access Control Considerations . . . . . . . . . . . . 29 Authorization Table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Access Control Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Time-Based ACL Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Non-Discretionary Access Control . . . . . . . . . . . . . . . . . . . . . . . . 30 Role-Based Access Control (RBAC) . . . . . . . . . . . . . . . . . . . . . . . . 30 Rule Set-Based Access Control (RSBAC) . . . . . . . . . . . . . . . . . . . . 30 Content Dependent Access Control . . . . . . . . . . . . . . . . . . . . . . . . 31 Context-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31vi 7. Contents View-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Temporal Isolation (Time-Based) Access Control . . . . . . . . . . . . 33Other Access Control Considerations . . . . . . . . . . . . . . . . . . . . . . . . 34Capability Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Operating System Hardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Patch Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Vulnerability Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Domain 2 Security Operations and Administration . . . . . . . . . . . . . . . . . . . . . . . . . 43 Bonnie Goins, CISSP What Is Security Administration? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Fundamentals of Information Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43The A-I-C Triad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Monitoring and Maintenance of Appropriate EnvironmentalControls over Data and Systems . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Policies and Procedures. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Compliance with Policy Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Security Event Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Information Security Compliance Liaison . . . . . . . . . . . . . . . . . . . . . . . 47Remediation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Security Administration: Data Classification . . . . . . . . . . . . . . . . . . . . . . . 47Marking and Labeling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Labels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Assurance and Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Identity Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Security Administration: Configuration Management . . . . . . . . . . . . . . . . 51What Is Configuration Management (CM)? . . . . . . . . . . . . . . . . . . . . . . 51Why Is CM Important? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Change Control Roles in CM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Baselines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Baseline Measurements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Change Management Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Change Control Board . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 CCB Charter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Concept of Risk-Based, Cost-Effective Controls . . . . . . . . . . . . . . . . . . 54Validation of Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Configuration Management Plan Development and Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 vii 8. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBK Impact of Security Environment Changes . . . . . . . . . . . . . . . . . . . . . . . 55Patches, Fixes, and Updates Validation . . . . . . . . . . . . . . . . . . . . . . . . . 55Secure System Development Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56The System Development Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Risk Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Qualitative Risk Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Quantitative Risk Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Selecting Tools/Techniques for Risk Assessment . . . . . . . . . . . . . . . . . 62Risk Assessment Steps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Identification of Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Identification of Threats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Determination of Likelihood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Determination of Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Determination of Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Reporting Findings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Countermeasure Selection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Risk Avoidance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Risk Transfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Risk Mitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Risk Acceptance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Software Development Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66The Waterfall Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Requirements Analysis and Definition . . . . . . . . . . . . . . . . . . . . . . . . . . 66System and Software Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Testing and Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Operation and Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68The Iterative Development Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68The Exploratory Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69The Rapid Application Development (RAD) Model . . . . . . . . . . . . . . . . . . 69The Spiral Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69The Computer Aided Software Engineering (CASE) Model . . . . . . . . . . . 70Extreme Programming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Security Management Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Creating the Security Statement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Security Policy Creation and Maintenance . . . . . . . . . . . . . . . . . . . . . . 73Security Policy Implementation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Security Procedure Development and Documentation . . . . . . . . . . . . 74Organization Security Evaluation and Assistance . . . . . . . . . . . . . . . . . . . 74The Protection Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Modes of Operation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76viii 9. Contents System High Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Compartmented Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Multilevel Secure Mode (MLS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Operating Utilities and Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 The Central Processing Unit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Memory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Service Level Agreement Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . 78Non-Disclosures (NDA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Non-Competition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Service Level Agreements (SLA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 User Security Awareness Education . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Security Awareness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Security Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Security Education . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Security Awareness and Training Plan . . . . . . . . . . . . . . . . . . . . . . . . 81 Code of Ethics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81(ISC)2 Code of Ethics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81RFC 1087: Ethics and the Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Acceptable Use Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Security Administration: Policies, Standards, and Guidelines . . . . . . . . . 83 Security Policy Implementation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Implementing Security Requirements Guidance . . . . . . . . . . . . . . . . . . . . 84 Certification and Accreditation Process Concepts . . . . . . . . . . . . . . . . 84 Systems Accreditation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 System Certification Effort Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85British Standard (BS) 7799 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85ISO 17799 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86TEMPEST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Security Administration: Security Control Architecture . . . . . . . . . . . 86What Is a Security Control Architecture? . . . . . . . . . . . . . . . . . . . . . 86BellLaPadula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Biba Integrity Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87ClarkWilson Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Non-Interference Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Access Control Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Information Flow Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Evaluation Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Trusted Computer System Evaluation Criteria . . . . . . . . . . . . . . . . . . . 88Goal of TCSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88TCSEC Classes of Trust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Information Technology Evaluation Criteria (ITSEC) . . . . . . . . . . . . 90Security Target . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Target of Evaluation (TOE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Comparison of ITSEC to TCSEC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91ix 10. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBK ITSEC Assurance Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Common Criteria: ISO 15408 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Security Best Practices Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Basic Security Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Least Privilege. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Separation of Duties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Rotation of Duties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Mandatory Vacation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Sample Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Domain 3 Analysis and Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Eric WaxvikSection 1: Security Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Security Auditing Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 What Are Security Audits? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Why Are Security Audits Performed? . . . . . . . . . . . . . . . . . . . . . . . . 101 Defining the Audit Benchmark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Audit Participants Role . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Defining the Audit Scope.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Defining the Audit Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Audit Data Collection Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Post Audit Activities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Security Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Why Have a Security Framework? . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Security Framework Guidelines and Standards . . . . . . . . . . . . . . . 108 Policy Organization Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Administrative Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Physical Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Technical Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Control Checks Identification and Authorization . . . . . . . . . . . 112 Control Checks User Access Control . . . . . . . . . . . . . . . . . . . . . . 113 Control Checks Network Access Control (Firewalls and Filtering) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Control Checks Intrusion Detection and Intrusion Prevention 114 Control Checks Host Isolation . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Control Checks Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Control Checks System Hardening . . . . . . . . . . . . . . . . . . . . . . . 116 Control Checks Unnecessary Services . . . . . . . . . . . . . . . . . . . . 116 Control Checks Patching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Control Checks Anti-Virus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Control Checks Encryption. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 x 11. Contents Control Checks Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Information Security Guidelines and Standards . . . . . . . . . . . . . . . 120 ISSA Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121ISO 17799 Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Section 2: Security Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Security Testing Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Why Is Security Testing Performed? . . . . . . . . . . . . . . . . . . . . . . . . 125When Is Security Testing Performed? . . . . . . . . . . . . . . . . . . . . . . . 126Who Should Perform Security Testing? . . . . . . . . . . . . . . . . . . . . . . 127Security Testing Goals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Security Test Software Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Analyzing Testing Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Reconnaissance and Network Mapping Techniques . . . . . . . . . . . . . 131Reconnaissance Defined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Social Engineering and Low-Tech Reconnaissance . . . . . . . . . . . . 131Mid-Tech Reconnaissance Whois Information . . . . . . . . . . . . . . 133Mid-Tech Reconnaissance DNS Zone Transfers . . . . . . . . . . . . 134Network Mapping Defined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Network Host and Port Mapping Techniques . . . . . . . . . . . . . . . . . 136System Fingerprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Vulnerability and Penetration Testing Techniques . . . . . . . . . . . . . . . 140Vulnerability Testing Defined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Weeding Out False Positives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143Host Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145Firewall and Router Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Security Monitoring Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151Security Gateway Testing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Wireless Networking Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154War Dialing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Password Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Penetration Testing Defined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Penetration Testing General Examples . . . . . . . . . . . . . . . . . . . . 161Penetration Testing High-Level Steps. . . . . . . . . . . . . . . . . . . . . . . . 162Penetration Testing NT Host Enumeration Example . . . . . . . . . 163Penetration Testing Example Closing Notes . . . . . . . . . . . . . . . . . . 168 Section 3: Security Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Security Monitoring Concepts Why Are Systems Attacked? . . . . 169What Is an Intrusion? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169Determining What Is Acceptable . . . . . . . . . . . . . . . . . . . . . . . . . . . 170Security Monitoring for Everyday Life . . . . . . . . . . . . . . . . . . . . . . . 172Security Monitoring for Computing Systems . . . . . . . . . . . . . . . . . 172Why Is Monitoring Necessary? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173Monitoring Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174Other Monitoring Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174Terminology. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 xi 12. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBKIDS Monitoring Technologies and Methods . . . . . . . . . . . . . . . . . . . . . 176 Monitoring Technologies Overview . . . . . . . . . . . . . . . . . . . . . . . . . 176 NIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 HIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 IDS as a Firewall Complement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 IDS Detection Methods Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Misuse Detection Simple and Stateful Pattern Matching . . . . . 179 Misuse Detection Protocol Analysis . . . . . . . . . . . . . . . . . . . . . . 180 Misuse Detection Heuristical Analysis . . . . . . . . . . . . . . . . . . . . 181 Anomaly Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Target Monitoring Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Logging, Log Storage, and Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Types of Log Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Choosing a Logging Priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Enabling Secure Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Event Alerting and Interpretation . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Techniques Used to Evade Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . 188 Packet Floods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Packet Fragmentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Slow Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Log Alteration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Implementation Issues for Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . 191 Criticality-Based Deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Maintenance and Tuning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 Collecting Data for Incident Response . . . . . . . . . . . . . . . . . . . . . . . 194 Monitoring Response Techniques . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Response Pitfalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 Domain 4 Risk, Response, and Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Eric WaxvikSection 1: Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Elements of Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Risk Management Definitions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Risk Management Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Asset Valuation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Threat Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Quantitative Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202Qualitative Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Final Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 xii 13. Contents Countermeasure Selection Criteria . . . . . . . . . . . . . . . . . . . . . . . . . 204 Cost-Benefit Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Return on Investment (ROI) Analysis . . . . . . . . . . . . . . . . . . . . . 206Roles and Responsibilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Frequency of Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Control Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Control Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209Control Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210Control Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Section 2: Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Business Continuity Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212The Importance of Business Continuity Planning . . . . . . . . . . . . . 213Purpose of the BCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 IT Support of the Mission-Critical Functions duringa Disaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Mission Critical . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215Phases of the BCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Project Management Phase Tasks . . . . . . . . . . . . . . . . . . . . . . . . 215 Business Impact Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216Critical Success Factors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216IT Assets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216Conducting a BIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217BIA Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217Project Planning. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218Data Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218Vulnerability Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219Determination of Maximum Tolerable Downtime . . . . . . . . . 219Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220Presentation of Findings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Reanalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Recovery Planning. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222Recovery Categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Responsibilities for Business Recovery . . . . . . . . . . . . . . . . . . . 222 IT Responsibilities for Data and Information . . . . . . . . . . . . . . . 223 IT Responsibilities for Facility and Supply Restoration . . . . . . 224 IT Responsibilities for Network and CommunicationsRestoration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 IT Responsibilities for User Restoration . . . . . . . . . . . . . . . . . . . 225BCP Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 IT Responsibilities for Plan Development . . . . . . . . . . . . . . . . . . 226IT BCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Testing, Verification, Validation, Maintenance . . . . . . . . . . . . . . . . 227 BCP Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227xiii 14. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBKDisaster Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Goal of Disaster Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Strategies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228Subscription Service Alternatives . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Hot Site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Cold Site. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Mobile Site. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Warm Site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Service Bureaus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Reciprocal Agreements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229DRP Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230The Need for Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 Computer Incident Response Issues . . . . . . . . . . . . . . . . . . . . . . 231 Threats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Incident Response Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Preparation and Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 Computer Incident Response Policy Issues . . . . . . . . . . . . . . . . 235 Policy Attributes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Policy Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Policy Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Incident Response Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236Incident Response Categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237The Incident Response Team (IRT) . . . . . . . . . . . . . . . . . . . . . . . . . 237 IRT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237Mission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Priorities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240Liaisons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Viewing Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 Response Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242Correlation Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 IDS Implementation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 Containment Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244Computer Incident Response Issues . . . . . . . . . . . . . . . . . . . . 244 Notification Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Investigation Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Computer Evidence Issues . . . . . . . . . . . . . . . . . . . . . . . . . 246Investigative Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 Recognition of Evidence. . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Search and Seizure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248xiv 15. Contents Network Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 Reviewing System Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 Interviewing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 Terminating the Investigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252Recovery Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253Response Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254Follow-Up Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Record Keeping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Lessons Learned . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Final Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Computer Incident Response Issues . . . . . . . . . . . . . . . . . . . . . . . . . . 256 Electronic Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Security and Recovery versus Electronic Forensics . . . . . . . . . 257 Media Analysis Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257Media Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Hard Disk Examination: Step 1 Sterile Media . . . . . . . . . . . . . . . 258 Hard Disk Examination: Step 2 Legal Software . . . . . . . . . . . . . . 258 Hard Disk Examination: Step 3 Physical Examinationof the Evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Hard Disk Examination: Step 4 Avoid Altering the Evidence . . 260 Hard Disk Examination: Step 5 Capture CMOS(RTC/NVRAM) and Date/Time Information. . . . . . . . . . . . . . . . . 260 Hard Disk Examination: Step 6 Create an Exact Image . . . . . . . 261 Hard Disk Examination: Step 7 Logically Examine the Image . . 261 Hard Disk Examination: Step 8 Examine the Boot RecordData and User-Defined Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 Hard Disk Examination: Step 9 Recover and Examine AllDeleted Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Hard Disk Examination: Step 10 Create a Listing of All Files . . 263 Hard Disk Examination: Step 11 Examine UnallocatedSpace for Lost or Hidden Data . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Hard Disk Examination: Step 12 Examine File Slack . . . . . . . . . 264 Hard Disk Examination: Step 13 Examine All UserCreated Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Hard Disk Examination: Step 14 Unlock and ExaminePassword-Protected Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Hard Disk Examination: Step 15 Create Printouts of Allof the Apparent Evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Hard Disk Examination: Step 16 Examine ExecutableFiles and Run Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Hard Disk Examination: Step 17 Write the ForensicAnalysis Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266Floppy Diskette Examinations . . . . . . . . . . . . . . . . . . . . . . . . . . . 266Limited Examinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267xv 16. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBKIncident Response Procedures (Specific to Windows NT/2000) . . . . . . 268Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268Preparation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269Strategy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270Containment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270Notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270Investigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270Forensic Duplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273Steps in Aquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273Recovery Response and Follow-up . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274Video Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Corporate Application of CCTV . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Analog Tapes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Frames versus Fields . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Color versus Monochrome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Digital CCTV. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Aspect Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Legal Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Admissibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Section 3: Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279Recovery Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279Recovery Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Processing and Information Gap. . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Recovery Time Objective. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280Recovery Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Personnel Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Recovery Phase. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281Phase 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282Phase 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282Phase 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282Phase 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282Phase 5. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282Phase 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283Phase 7. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Success Criteria. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283A Successful Recovery. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283Related Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284IT Management Role during Recovery . . . . . . . . . . . . . . . . . . . . . . . . . 285IT Management Role after Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . 286Verify and Update Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286xvi 17. ContentsReferences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 Useful Web Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 Domain 5 Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 Doug Andre, CISSP Business and Security Requirements for Cryptography . . . . . . . . . . . . 294Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295Non-Repudiation (Digital Signatures) . . . . . . . . . . . . . . . . . . . . . . . . . 296 Principles of Certificates and Key Management . . . . . . . . . . . . . . . . . . . 296Issuing and Validating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 Implementing Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 Implementing IVs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 X.509 v3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 PKCS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 DER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 BER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 AES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 RC2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 Wired Equivalent Privacy (WEP) . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 ANSI X9.17 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306Concepts (e.g., Types, Formats) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 Hash Function and Data Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Secure Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314SHTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 xvii 18. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBKCapabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Domain 6 Networks and Telecommunications . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Eric WaxvikIntroduction to Networks and Telecommunications . . . . . . . . . . . . . . . . 321 The Basic OSI Model: Its Security Strengths and Weaknesses . . . . . 322 Application Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Presentation Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Session Layer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Transport Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Network Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 Data Link Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 Physical Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 DOD TCP/IP Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 Network Topologies and Their Security Issues . . . . . . . . . . . . . . . . . . 325 Star Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 Bus Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 Ring Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 Point-to-Point Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 WAN Access and Its Security Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 Carrier Sense Multiple Access (CSMA) . . . . . . . . . . . . . . . . . . . . . . 328 Carrier Sense Multiple Access with Collision Avoidance(CSMA/CA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 Carrier Sense Multiple Access with Collision Detection(CSMA/CD) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 Carrier Sense Multiple Access with Bitwise Arbitration(CSMA/BA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 Dial-Up Access/Narrowband Access . . . . . . . . . . . . . . . . . . . . . . . . 328 Broadband Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 DSL Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 Cable Internet Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 ISDN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 PPPoE Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 VPN Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330Network Protocols and Security Characteristics . . . . . . . . . . . . . . . . . . . 331 Network Protocols Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 TCP/IP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 IP Addressing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 NAT/PAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 SMTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 xviii 19. Contents TFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 Network Level Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335PPP/SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336PAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336CHAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Wide Area Network Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337Integrated Services Digital Network (ISDN) . . . . . . . . . . . . . . . . . . 337Digital Subscriber Lines (DSL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338T-Carriers (T1, T3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338Optical Carriers (OC-x) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338SDLC/HDLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338Frame Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 Transport Layer Security Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . 339SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340SET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 Application Layer Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341S/MIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341PEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Data Communications and Network Infrastructure Components and Security Characteristics. . . . . . . . . . . . . . . . . . . . . . 342 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Physical Transmission Medias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Different Transmission Medias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343The Security Limitations of Physical Media . . . . . . . . . . . . . . . . . . 343Coaxial Cable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343UTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344Fiber Optic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344Wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344Inherent Security Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . 345Wiring and Communication Closets and Data Centers . . . . . . . . . 346 The Enterprise Network Environment and Its Vulnerabilities . . . . . . 346Local Area Networking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Hubs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Bridges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Switches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347Layer 2 Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347Layer 3 Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Access Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Firewalls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348VPN Termination Points . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349xix 20. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBKRouters and Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 Router Placement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 Remote Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 Clientless VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 Remote Access Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352Identification and Authentication for Remote Users . . . . . . . . . . . . . 353 Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353Different Types of Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Firewall Configuration Alternatives . . . . . . . . . . . . . . . . . . . . . . . . . 354 Intrusion Detection Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 Auditing and Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Different Types of IDS Solutions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Techniques for IDS Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Wide Area Networking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 Circuit Switched versus Packet Switched WANs . . . . . . . . . . . . . . 358 Common WAN Infrastructures Used in Enterprise Networks . . . 358Wireless Local Area Networking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359Wireless Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 IEEE 802.11 Standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 IEEE 802.11a Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 IEEE 802.11b Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 IEEE 802.11g . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 IEEE 802.11i . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 IEEE 802.11 Wireless LAN Equipment and Components . . . . . . . . 361 IEEE 802.15 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 IEEE 802.16 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 Wireless Access Points. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 Antennae. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362Antenna Configuration and Placement. . . . . . . . . . . . . . . . . . . . . 363 Wireless Network Interface Cards and Adapters . . . . . . . . . . . . . . 363 Inherent Security Vulnerabilities with IEEE 802.11x . . . . . . . . . . . . 363 802.11 Authentication and Its Weaknesses . . . . . . . . . . . . . . . . . . . 364 WEP Encryption and Its Weaknesses . . . . . . . . . . . . . . . . . . . . . . . . 364 Passive Network Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364 Active Network Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 War Driving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 WLAN Jacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 Securing 802.11 Wireless LANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 MAC Address Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 Authentication Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 WEP Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 IEEE 802.1x Standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 VPN in a Wireless Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 Wireless LAN Policy, Standard, and Procedures . . . . . . . . . . . . . . . 368xx 21. ContentsNeed for Security Policies, Standards, and Procedures for the IT Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Securing the IT Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Domains of IT Security Responsibility . . . . . . . . . . . . . . . . . . . . . . . . . 370User Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370Workstation Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370LAN Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371LAN-to-WAN Domain. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371WAN Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372Remote Access Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372System/Application Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 Defining Standard and Enhanced Security Requirements . . . . . . . . . 373 Implementing Standard and Enhanced Security Solutions . . . . . . . . 373 References and Useful Web Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 Domain 7 Malicious Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 Diana-Lynn Contesti, CISSP Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379Information Protection Requirements . . . . . . . . . . . . . . . . . . . . . . . . . 379 The A-I-C Triad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379A History of Computer Viruses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 Macro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 File Infector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 Boot Sector Infectors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385Virus Characteristics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Virus Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Polymorphic Viruses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 Stealth Viruses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 Slow Viruses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Retro Viruses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388Why Care? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Worms and Trojan Horses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Trojan Horses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 Double File Extensions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Other Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Denial of Service Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392TCP SYN Flood Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392Smurf Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 Distributed Denial of Service (DDoS) Attacks . . . . . . . . . . . . . . . . . 394 IP Fragmentation and RPC Null Fragment Attacks . . . . . . . . . . . . 396 Mail Bombing and Spamming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 Pestware and Pranks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 xxi 22. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBKANSI Bombs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 Adware, Web Site Tracking Cookies (Trackware) . . . . . . . . . . . . . 398Cookie Poisoning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 Homepage Hijacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Web Page Defacements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Brute Force Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Dictionary Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 Hashed Password or Password-Verifier . . . . . . . . . . . . . . . . . . . . . . 400 Online versus Offline Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 Salt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Logic Bombs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Ping of Death . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Spoofing Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402IP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402Non-Blind Spoofing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402ARP Spoofing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Man in the Middle Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Denial of Service Attack (DoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Active Content Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Types of Mobile Code Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403Attacks and Exploits Using Malformed Data . . . . . . . . . . . . . . . . . . . . 404How Active Content Operates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405JavaScript and Visual Basic Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406Java Active Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406Structure and Focus of Malicious Code Attacks . . . . . . . . . . . . . . . . . 407 Uncoordinated. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Coordinated . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Directed Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Indirect Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408Phases of an Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408Reconnaissance and Probing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408DNS Commands and Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408ICMP and Related TCP/IP Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409Using SNMP Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410Port Scanning and Port Mapping. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410Security Probes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410Use of Spyware and Backdoor Trojans . . . . . . . . . . . . . . . . . . . . . . . . . 411 War Dialing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411Access and Privilege Escalation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412Password Capturing and Cracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 Malformed Data Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412Eavesdropping, Data Collection, and Theft . . . . . . . . . . . . . . . . . . . . . 413 Covert Channel Communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413Hackers, Crackers, and Other Perpetrators . . . . . . . . . . . . . . . . . . . . . . . 414Whats in a Name? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414xxii 23. Hackers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415White Hat (or Ethical) Hackers. . . . . . . . . . . . . . . . . . . . . . . . . . . 415Black Hat Hackers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415Wannabes (also Wnnabes) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415The Cracker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415System Crackers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Script Kiddies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Click Kiddies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Phreakers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Cyberpunts, Cyber-Criminals, and Cyber-Terrorists . . . . . . . . . 416 Where Do Threats Come From? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417Employees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 Exploits from the Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417Spyware and Adware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 How Can I Protect against These Attacks? . . . . . . . . . . . . . . . . . . . . . . 419Application Defenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420Operating System Defenses (Hardening the OS) . . . . . . . . . . . . . . 421Network Infrastructure Defenses . . . . . . . . . . . . . . . . . . . . . . . . . . . 422Incident Detection Tools and Techniques . . . . . . . . . . . . . . . . . . . . . . . . 423 Intrusion Detection Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423Anti-Virus Scanning Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 Types of Anti-Virus (Anti-Malware) Software. . . . . . . . . . . . . . . . . . . . 425Network Monitors and Analyzers . . . . . . . . . . . . . . . . . . . . . . . . . . 427Content/Context Filtering and Logging Software . . . . . . . . . . . . . . 427Other Techniques to Actively Detect and AnalyzeHostile Activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427Classes of Honeypots. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428Attack Prevention Tools and Techniques . . . . . . . . . . . . . . . . . . . . . . . . . 428 Safe Recovery Techniques and Practices. . . . . . . . . . . . . . . . . . . . . . . 430Develop a File Backup and Restoration Plan. . . . . . . . . . . . . . . . . . 430 Policy Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 Implementing Effective Software Engineering Best Practices . . . . . . 432Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 Appendix A Answers to Sample Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 Domain 1: Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 Domain 2: Security Operations and Administration . . . . . . . . . . . . . . . . 439 Domain 3: Analysis and Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 Domain 4: Risk, Response, and Recovery . . . . . . . . . . . . . . . . . . . . . . . . . 446 Domain 5: Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451 Domain 6: Networks and Telecommunications . . . . . . . . . . . . . . . . . . . . 454 Domain 7: Malicious Code. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 xxiii 24. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBKAppendix B Systems Security Certified Practitioners (SSCP) Candidate Information Bulletin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4611 Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4622 Security Operations and Administration . . . . . . . . . . . . . . . . . . . . . 462Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4633 Analysis and Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4634 Risk, Response, and Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4645 Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4656 Networks and Telecommunications . . . . . . . . . . . . . . . . . . . . . . . . . 465Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4657 Malicious Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466References . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468General Examination Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469 Appendix C Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561 xxiv 25. Foreword to the Offical (ISC)2 Guide to the SSCP CBKInformation Security is an increasingly important and critical component in the preservation, progress and stability of business in todays world. Never have the pressures on corporations, governments and militaries been so widespread and multifaceted. While consumers and citizens are looking for the delivery of new and faster services, the legislatures of the world are placing more restrictions and oversight on the secure handling of informa- tion.The SSCP is an exciting and practical solution for many organizations to- day. The SSCP provides a solid foundation of understanding of information security concepts and issues for many people throughout the organization. Whether as a system or network administrator, information systems audi- tor, computer programmer or systems analyst, or database administrator, the SSCP is an excellent introduction to beginning and advanced concepts in information security and is sure to be of benefit to many people through- out the organization.Information Security is a field of many opinions and perspectives; and the road to secure systems is often littered with tales of failures and unexpected lapses in security. All too often these failures are linked to a lack of under- standing of the field of information security. This book will provide an excel- lent source of information, best practices, advice, and guidance that may prove invaluable in helping an organization to prevent errors, avert security breaches, and experience the loss of trust of consumers and officials.(ISC)2 has become recognized as the leader in the fields of information security and management. It is with great pleasure and respect that we provide you with this reference and welcome you to be a part of this fast moving and growing field. Whether as a new person in the field or looking to expand your knowledge, you will be sure to find the SSCP to be a practical, informative, and challenging step in your development. As you study this xxv 26. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBKbook and possibly prepare to sit for the SSCP (Systems Security Certified Practitioner) examination you are almost certain to venture into new areas of understanding or places that were formerly unfamiliar. This often leads the SSCP to pursue even more learning and development opportunities and we hope that you will consider contacting (ISC)2 for the opportunity to assist on volunteer and research projects. As a not-for-profit organization, (ISC)2 has been pleased to provide examinations and educational events, and to promote the development of information security throughout the world. You too can be a part of this by contacting us at www.isc2.org. Thank you for your interest in the field of information security and for purchasing this book. Welcome to an open door of opportunity and exciting new challenges. Tony Baratta, CISSP-ISSAP, ISSMP, SSCP Director of Professional Programs (ISC)2 xxvi 27. Introduction to the (ISC)2 SSCP CBKThis first edition of the Official (ISC)2 Guide to the SSCP CBK marks an important milestone for (ISC)2. It acknowledges the important role that implementers of information security policy, procedures, standards, and guidelines play in an organizations overall information security manage- ment infrastructure. Tacticians who implement technical countermeasures like firewalls, intrusion prevention systems, anti-virus software, access con- trol technologies, cryptography, and a wide array of physical security mea- sures are the real warriors on the front lines defending an organizations digital assets. The (ISC)2 SSCP certification is the internationally recognized credential that allows those warriors to demonstrate their information se- curity expertise, experience, and professionalism. The SSCP Credential The (ISC)2 Systems Security Certified Practitioner (SSCP) certification is todays most important certification for information security practitioners. An SSCP has a demonstrated level of competence and understanding of the seven domains of the compendium of topics pertaining to the information systems security practitioner, the (ISC)2 SSCP CBK. The SSCP credential is ideal for those working toward or who have already attained positions such as systems or network administrator, senior network security engineer, senior security systems analyst, or senior security administrator. In addi- tion, the SSCP has proven to be one of the best introductions to security principles for personnel that work in a role where security is not one of their primary responsibilities, such as application or Web programmers, informa- tion systems auditors, network, system and database administrators, and risk managers. The seven domains of the SSCP CBK include: Access Controls Security Operations and Administration xxvii 28. OFFICIAL (ISC)2 GUIDE TO THE SSCP CBK Analysis and Monitoring Risk, Response, and Recovery Cryptography Networks and Telecommunications Malicious CodeThe SSCP is awarded by (ISC)2 to information security practitioners who successfully pass the co


NEW YORK STATE CLE BOARD CLE Program Rules · NEW YORK STATE CLE BOARD. JANUARY 1, 2018 CLE Program Rules JOINT RULES of the APPELLATE DIVISIONS 22 NYCRR 1500 NEW YORK STATE CLE BOARD

Home and Life Collection - BOMBONIERE - REGALI · cLE 082/P cm 32x26,5 cLE 036/P cm 32x26,5 cLE 032/P cm 22,5x18 cLE 031/P cm 14x11 cLE 041/P cm 14x11,5 63. cLE 082 cm 32x26,5 cLE

CLE Coordinator Playbook for Program Planning CLE... · Strategies for Teaching CLE CLE Coordinator Playbook for Program Planning Table of Contents. ... International & Immigration

CLE -- FIRM CLE SEPTEMBER 2015 FLSA AND HOT TOPICS

INTERNATIONALzigzag.cle-international.com/9782090383850/asset/cle-037640-Zigzag... · cle international 17. cle international 18. cle international 19. cle international 20. created

CLE Technical Design

[CLE] DELF A2

Cle Slides

LED-Module and LED-Module AC integrated Module CLE for ... · For diffused LED downlights and wall luminaires Engine CLE Engine CLE integrated Engine CLE Quadrant Engine CLE Shallow

Defense Acquisition University Process Improvement...CLE 008, Six Sigma: Concepts and Process CLE 007, Lean-Six Sigma CLE 001, Value Engineering. CLE 015, Continuous Process Improvement

LED Module Module CLE for wall and ceiling luminaires · 2016-11-16 · CLE Integrated 160 CLE Integrated G2 220 CLE Integrated G2 220 CLE Integrated G2 220 EM As simple and extremely

Lupus erythematodes, kutaner (CLE) - Wikiderm erythematodes, kutaner (CLE).pdf · LUPUS ERYTHEMATODES, KUTANER (CLE) Engl: cutaneous lupus erythematosus chronisch entzündliche Autoimmunerkrankung

Cle präsentation

Ian project cle

Cle international tourisme.com

CLE Catalogue

CLE Fastening Technology

WV-F200 cle

Cle Ascension

CLE Conference

CLE Lookbook

20 - zigzag.cle-international.comzigzag.cle-international.com/9782090383850/asset/cle-037640-Zigzag... · cle international 33. cle international 34. cle international 35. cle international

Cle Presentation

CLE Engineering

Design Qualification Test Report CLE/FTE CLE-190 …suddendocs.samtec.com/testreports/172640_report_rev_2_qua.pdf · Design Qualification Test Report CLE/FTE CLE-190-01-G-DV-A/FTE-190-01-G-DV-A

National cle

Cle Cip Inglés

CLE-B1, D1, H1 CLE-N1 - Digital Lumens€¦ · CLE-B1, D1, F1, H1 CLE-N1 7.3 inch (186 mm) 7 inch (178 mm) 6 CLE I I CLE ENGLISH Aisle Direction Sensor Lens Sensor Housing Aisle Indicators

oiSTRICI cLE$

Trabajo CLE Geopolitica

CLE PRESENTATION_sjk

Cle Dynamometrique

Catalogo Cle

CLE Online - Presentation

LED modules LED compact Module CLE G1 SNC Modules CLE … · 2020. 2. 25. · Module CLE G1 SNC Modules CLE essence CLE G1 50mm 1000lm SNC CLE G1 80mm 2000lm SNC CLE G1 120mm 2500lm