cle

11,373 views
11,194 views

Published on

Published in: Education, Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
11,373
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
151
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

cle

  1. 1. OFFICIAL (ISC) GUIDE TO 2® THE SSCP CBK ® ®
  2. 2. OTHER BOOKS IN THE (ISC)2® PRESS SERIES Building and Implementing a Security Certification and Accreditation Program: Official (ISC)2® Guide to the CAPcm CBK® Patrick D. Howard ISBN: 0-8493-2062-3 Official (ISC)2® Guide to the SSCP® CBK® Diana-Lynn Contesti, Douglas Andre, Eric Waxvik, Paul A. Henry, and Bonnie A. Goins ISBN: 0-8493-2774-1 Official (ISC)2® Guide to the CISSP®-ISSEP® CBK® Susan Hansche ISBN: 0-8493-2341-X Official (ISC)2® Guide to the CISSP® CBK® Harold F. Tipton and Kevin Henry, Editors ISBN: 0-8493-8231-9
  3. 3. OFFICIAL (ISC) GUIDE TO THE 2 ® SSCP CBK ® ® Diana-Lynn Contesti, Douglas Andre, Eric Waxvik, Paul A. Henry, and Bonnie A. Goins Boca Raton New York Auerbach Publications is an imprint of the Taylor & Francis Group, an informa business
  4. 4. Auerbach Publications Taylor & Francis Group 6000 Broken Sound Parkway NW, Suite 300 Boca Raton, FL 33487-2742 © 2007 by Taylor & Francis Group, LLC Auerbach is an imprint of Taylor & Francis Group, an Informa business No claim to original U.S. Government works Printed in the United States of America on acid-free paper 10 9 8 7 6 5 4 3 2 1 International Standard Book Number-10: 0-8493-2774-1 (Hardcover) International Standard Book Number-13: 978-0-8493-2774-2 (Hardcover) This book contains information obtained from authentic and highly regarded sources. Reprinted material is quoted with permission, and sources are indicated. A wide variety of references are listed. Reasonable efforts have been made to publish reliable data and information, but the author and the publisher cannot assume responsibility for the validity of all materials or for the conse- quences of their use. No part of this book may be reprinted, reproduced, transmitted, or utilized in any form by any electronic, mechanical, or other means, now known or hereafter invented, including photocopying, microfilming, and recording, or in any information storage or retrieval system, without written permission from the publishers. For permission to photocopy or use material electronically from this work, please access www. copyright.com (http://www.copyright.com/) or contact the Copyright Clearance Center, Inc. (CCC) 222 Rosewood Drive, Danvers, MA 01923, 978-750-8400. CCC is a not-for-profit organization that provides licenses and registration for a variety of users. For organizations that have been granted a photocopy license by the CCC, a separate system of payment has been arranged. Trademark Notice: Product or corporate names may be trademarks or registered trademarks, and are used only for identification and explanation without intent to infringe. Library of Congress Cataloging-in-Publication Data Official (ISC)2 guide to the SSCP CBK / Diana-Lynn Contesti ... [et al.]. p. cm. -- ((ISC)2 press series) Includes index. ISBN 0-8493-2774-1 (978-0-8493-2774-2 : alk. paper) 1. Computer networks--Security measures--Examinations--Study guides. 2. Electronic data processing personnel--Examinations--Study guides. I. Contesti, Diana-Lynn. TK5105.59.O44 2007 005.8--dc22 2007011467 Visit the Taylor & Francis Web site at http://www.taylorandfrancis.com and the Auerbach Web site at http://www.auerbach-publications.com
  5. 5. Contents Foreword to the Official (ISC)2® Guide to the SSCP® CBK® . . . . . . . . . . xxv Introduction to the (ISC)2® SSCP® CBK® . . . . . . . . . . . . . . . . . . . . . . . . xxvii The SSCP Credential . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxvii Global Recognition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxviii The (ISC)2 SSCP CBK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxix Organization of the Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxi The Official (ISC)2 SSCP CBK Review Seminar . . . . . . . . . . . . . . . . . . . . xxxi SSCP Examination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxxii Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxxii Authors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxiii Domain 1 Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Paul A. Henry, CISSP Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Logical Access Controls in Terms of Subjects . . . . . . . . . . . . . . . . . . . . . . . 3 Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Group Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 User Account Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Password Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Account Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Access Rights and Permissions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Logical Access Controls in Terms of Objects . . . . . . . . . . . . . . . . . . . . . . . . 6 Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Object Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Authentication Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Authentication Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Multi-Factor Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Common Authentication Methodologies . . . . . . . . . . . . . . . . . . . . . . . . . 7 Static Passwords and Passphrases. . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 One-Time Password Token . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 v
  6. 6. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® Asynchronous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Synchronous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Smart Card . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Biometrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Fingerprint Verification Technology . . . . . . . . . . . . . . . . . . . . . . . 10 Hand Geometry Technology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Eye Features — Retina Scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Eye Features — Iris Scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Facial Recognition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Voice Recognition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Signature Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Keystroke Dynamics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Biometric Accuracy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Remote Access Protocols and Applications . . . . . . . . . . . . . . . . . 13 Indirect Access and Authentication. . . . . . . . . . . . . . . . . . . . . . . . 14 Indirect Access and Authentication Technologies . . . . . . . . . . . 15 Single Sign-On (SSO). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Terminal Server Controller Access Control System (TACACS). . 16 Extended Terminal Server Controller Access Control System (XTACACS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Terminal Server Controller Access Control System Plus (TACACS+) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Remote Authentication Dial-In User Services (RADIUS) . . . . . . . 17 X.509. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Secure European System for Application in a Multi-Vendor Environment (SESAME) . . . . . . . . . . . . . . . . . . . . 20 Remote Terminal Solution — Secure Shell (SSH) . . . . . . . . . . . . . 21 Access Control Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Access Control Formal Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Bell–LaPadula Formal Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Biba Formal Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Clark–Wilson Formal Model. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Access Control Evaluation Criteria — Orange Book . . . . . . . . . . . . 24 Orange Book B Level — Mandatory Access Control . . . . . . . . . . . . 26 Orange Book C Level — Discretionary Access Control . . . . . . . . . . 27 Other Discretionary Access Control Considerations . . . . . . . . . . . . 29 Authorization Table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Access Control Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Time-Based ACL Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Non-Discretionary Access Control . . . . . . . . . . . . . . . . . . . . . . . . 30 Role-Based Access Control (RBAC) . . . . . . . . . . . . . . . . . . . . . . . . 30 Rule Set-Based Access Control (RSBAC) . . . . . . . . . . . . . . . . . . . . 30 Content Dependent Access Control . . . . . . . . . . . . . . . . . . . . . . . . 31 Context-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 vi
  7. 7. Contents View-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Temporal Isolation (Time-Based) Access Control . . . . . . . . . . . . 33 Other Access Control Considerations . . . . . . . . . . . . . . . . . . . . . . . . 34 Capability Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Operating System Hardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Patch Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Vulnerability Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Domain 2 Security Operations and Administration . . . . . . . . . . . . . . . . . . . . . . . . . 43 Bonnie Goins, CISSP What Is “Security Administration”? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Fundamentals of Information Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 The A-I-C Triad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Monitoring and Maintenance of Appropriate Environmental Controls over Data and Systems . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Policies and Procedures. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Compliance with Policy Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Security Event Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Information Security Compliance Liaison . . . . . . . . . . . . . . . . . . . . . . . 47 Remediation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Security Administration: Data Classification . . . . . . . . . . . . . . . . . . . . . . . 47 Marking and Labeling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Labels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Assurance and Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Identity Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Security Administration: Configuration Management . . . . . . . . . . . . . . . . 51 What Is Configuration Management (CM)? . . . . . . . . . . . . . . . . . . . . . . 51 Why Is CM Important? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Change Control Roles in CM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Baselines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Baseline Measurements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Change Management Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Change Control Board . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 CCB Charter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Concept of Risk-Based, Cost-Effective Controls . . . . . . . . . . . . . . . . . . 54 Validation of Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Configuration Management Plan Development and Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 vii
  8. 8. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® Impact of Security Environment Changes . . . . . . . . . . . . . . . . . . . . . . . 55 Patches, Fixes, and Updates Validation . . . . . . . . . . . . . . . . . . . . . . . . . 55 Secure System Development Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 The System Development Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Risk Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Qualitative Risk Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Quantitative Risk Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Selecting Tools/Techniques for Risk Assessment . . . . . . . . . . . . . . . . . 62 Risk Assessment Steps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Identification of Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Identification of Threats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Determination of Likelihood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Determination of Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Determination of “Risk” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Reporting Findings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Countermeasure Selection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Risk Avoidance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Risk Transfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Risk Mitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Risk Acceptance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Software Development Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 The Waterfall Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Requirements Analysis and Definition . . . . . . . . . . . . . . . . . . . . . . . . . . 66 System and Software Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Testing and Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Operation and Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 The Iterative Development Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 The Exploratory Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 The Rapid Application Development (RAD) Model . . . . . . . . . . . . . . . . . . 69 The Spiral Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 The Computer Aided Software Engineering (CASE) Model . . . . . . . . . . . 70 Extreme Programming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Security Management Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Creating the Security Statement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Security Policy Creation and Maintenance . . . . . . . . . . . . . . . . . . . . . . 73 Security Policy Implementation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Security Procedure Development and Documentation . . . . . . . . . . . . 74 Organization Security Evaluation and Assistance . . . . . . . . . . . . . . . . . . . 74 The Protection Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Modes of Operation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 viii
  9. 9. Contents System High Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Compartmented Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Multilevel Secure Mode (MLS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Operating Utilities and Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 The Central Processing Unit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Memory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Service Level Agreement Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Non-Disclosures (NDA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Non-Competition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Service Level Agreements (SLA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 User Security Awareness Education . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Security Awareness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Security Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Security Education . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Security Awareness and Training Plan . . . . . . . . . . . . . . . . . . . . . . . . 81 Code of Ethics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 (ISC)2 Code of Ethics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 RFC 1087: Ethics and the Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Acceptable Use Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Security Administration: Policies, Standards, and Guidelines . . . . . . . . . 83 Security Policy Implementation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Implementing Security Requirements Guidance . . . . . . . . . . . . . . . . . . . . 84 Certification and Accreditation Process Concepts . . . . . . . . . . . . . . . . 84 Systems Accreditation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 System Certification Effort Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 British Standard (BS) 7799 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 ISO 17799 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 TEMPEST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Security Administration: Security Control Architecture . . . . . . . . . . . 86 What Is a Security Control Architecture? . . . . . . . . . . . . . . . . . . . . . 86 Bell–LaPadula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Biba Integrity Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Clark–Wilson Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Non-Interference Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Access Control Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Information Flow Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Evaluation Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Trusted Computer System Evaluation Criteria . . . . . . . . . . . . . . . . . . . 88 Goal of TCSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 TCSEC Classes of Trust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Information Technology Evaluation Criteria (ITSEC) . . . . . . . . . . . . 90 Security Target . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Target of Evaluation (TOE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Comparison of ITSEC to TCSEC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 ix
  10. 10. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® ITSEC Assurance Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Common Criteria: ISO 15408 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Security Best Practices Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Basic Security Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Least Privilege. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Separation of Duties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Rotation of Duties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Mandatory Vacation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Sample Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Domain 3 Analysis and Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Eric Waxvik Section 1: Security Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Security Auditing Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 What Are Security Audits? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Why Are Security Audits Performed? . . . . . . . . . . . . . . . . . . . . . . . . 101 Defining the Audit Benchmark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Audit Participant’s Role . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Defining the Audit Scope.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Defining the Audit Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Audit Data Collection Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Post Audit Activities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Security Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Why Have a Security Framework? . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Security Framework Guidelines and Standards . . . . . . . . . . . . . . . 108 Policy Organization Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Administrative Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Physical Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Technical Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Control Checks — Identification and Authorization . . . . . . . . . . . 112 Control Checks — User Access Control . . . . . . . . . . . . . . . . . . . . . . 113 Control Checks — Network Access Control (Firewalls and Filtering) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Control Checks — Intrusion Detection and Intrusion Prevention 114 Control Checks — Host Isolation . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Control Checks — Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Control Checks — System Hardening . . . . . . . . . . . . . . . . . . . . . . . 116 Control Checks — Unnecessary Services . . . . . . . . . . . . . . . . . . . . 116 Control Checks — Patching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Control Checks — Anti-Virus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Control Checks — Encryption. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 x
  11. 11. Contents Control Checks — Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Information Security Guidelines and Standards . . . . . . . . . . . . . . . 120 ISSA Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 ISO 17799 Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Section 2: Security Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Security Testing Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Why Is Security Testing Performed? . . . . . . . . . . . . . . . . . . . . . . . . 125 When Is Security Testing Performed? . . . . . . . . . . . . . . . . . . . . . . . 126 Who Should Perform Security Testing? . . . . . . . . . . . . . . . . . . . . . . 127 Security Testing Goals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 Security Test Software Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Analyzing Testing Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Reconnaissance and Network Mapping Techniques . . . . . . . . . . . . . 131 Reconnaissance Defined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Social Engineering and Low-Tech Reconnaissance . . . . . . . . . . . . 131 Mid-Tech Reconnaissance — Whois Information . . . . . . . . . . . . . . 133 Mid-Tech Reconnaissance — DNS Zone Transfers . . . . . . . . . . . . 134 Network Mapping Defined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Network Host and Port Mapping Techniques . . . . . . . . . . . . . . . . . 136 System Fingerprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Vulnerability and Penetration Testing Techniques . . . . . . . . . . . . . . . 140 Vulnerability Testing Defined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Weeding Out False Positives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Host Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Firewall and Router Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Security Monitoring Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Security Gateway Testing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Wireless Networking Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 War Dialing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Password Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Penetration Testing Defined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 Penetration Testing — General Examples . . . . . . . . . . . . . . . . . . . . 161 Penetration Testing High-Level Steps. . . . . . . . . . . . . . . . . . . . . . . . 162 Penetration Testing — NT Host Enumeration Example . . . . . . . . . 163 Penetration Testing Example Closing Notes . . . . . . . . . . . . . . . . . . 168 Section 3: Security Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Security Monitoring Concepts — Why Are Systems Attacked? . . . . 169 What Is an Intrusion? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 Determining What Is Acceptable . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 Security Monitoring for Everyday Life . . . . . . . . . . . . . . . . . . . . . . . 172 Security Monitoring for Computing Systems . . . . . . . . . . . . . . . . . 172 Why Is Monitoring Necessary? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Monitoring Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Other Monitoring Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Terminology. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 xi
  12. 12. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® IDS Monitoring Technologies and Methods . . . . . . . . . . . . . . . . . . . . . 176 Monitoring Technologies Overview . . . . . . . . . . . . . . . . . . . . . . . . . 176 NIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 HIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 IDS as a Firewall Complement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 IDS Detection Methods Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Misuse Detection — Simple and Stateful Pattern Matching . . . . . 179 Misuse Detection — Protocol Analysis . . . . . . . . . . . . . . . . . . . . . . 180 Misuse Detection — Heuristical Analysis . . . . . . . . . . . . . . . . . . . . 181 Anomaly Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Target Monitoring Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Logging, Log Storage, and Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Types of Log Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Choosing a Logging Priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Enabling Secure Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Event Alerting and Interpretation . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Techniques Used to Evade Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . 188 Packet Floods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Packet Fragmentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Slow Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Log Alteration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Implementation Issues for Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . 191 Criticality-Based Deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Maintenance and Tuning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 Collecting Data for Incident Response . . . . . . . . . . . . . . . . . . . . . . . 194 Monitoring Response Techniques . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Response Pitfalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 Domain 4 Risk, Response, and Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Eric Waxvik Section 1: Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Elements of Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Risk Management Definitions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Risk Management Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Asset Valuation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Threat Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Quantitative Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Qualitative Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Final Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 xii
  13. 13. Contents Countermeasure Selection Criteria . . . . . . . . . . . . . . . . . . . . . . . . . 204 Cost-Benefit Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Return on Investment (ROI) Analysis . . . . . . . . . . . . . . . . . . . . . 206 Roles and Responsibilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Frequency of Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Control Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Control Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 Control Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 Control Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Section 2: Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Business Continuity Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 The Importance of Business Continuity Planning . . . . . . . . . . . . . 213 Purpose of the BCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 IT Support of the Mission-Critical Functions during a Disaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Mission Critical . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Phases of the BCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Project Management Phase Tasks . . . . . . . . . . . . . . . . . . . . . . . . 215 Business Impact Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 Critical Success Factors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 IT Assets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 Conducting a BIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 BIA Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 Project Planning. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Data Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Vulnerability Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Determination of Maximum Tolerable Downtime . . . . . . . . . 219 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 Presentation of Findings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Reanalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Recovery Planning. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Recovery Categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Responsibilities for Business Recovery . . . . . . . . . . . . . . . . . . . 222 IT Responsibilities for Data and Information . . . . . . . . . . . . . . . 223 IT Responsibilities for Facility and Supply Restoration . . . . . . 224 IT Responsibilities for Network and Communications Restoration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 IT Responsibilities for User Restoration . . . . . . . . . . . . . . . . . . . 225 BCP Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 IT Responsibilities for Plan Development . . . . . . . . . . . . . . . . . . 226 IT BCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 Testing, Verification, Validation, Maintenance . . . . . . . . . . . . . . . . 227 BCP Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 xiii
  14. 14. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® Disaster Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Goal of Disaster Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Strategies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Subscription Service Alternatives . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Hot Site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Cold Site. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Mobile Site. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Warm Site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Service Bureaus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Reciprocal Agreements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 DRP Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 The Need for Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 Computer Incident Response Issues . . . . . . . . . . . . . . . . . . . . . . 231 Threats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 Incident Response Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Preparation and Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 Computer Incident Response Policy Issues . . . . . . . . . . . . . . . . 235 Policy Attributes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Policy Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Policy Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Incident Response Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Incident Response Categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 The Incident Response Team (IRT) . . . . . . . . . . . . . . . . . . . . . . . . . 237 IRT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 Mission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 Priorities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Liaisons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Viewing Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 Response Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 Correlation Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 IDS Implementation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 Containment Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 Computer Incident Response Issues . . . . . . . . . . . . . . . . . . . . 244 Notification Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Investigation Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Computer Evidence Issues . . . . . . . . . . . . . . . . . . . . . . . . . 246 Investigative Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 Recognition of Evidence. . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Search and Seizure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 xiv
  15. 15. Contents Network Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 Reviewing System Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 Interviewing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 Terminating the Investigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 Recovery Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 Response Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Follow-Up Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Record Keeping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Lessons Learned . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Final Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Computer Incident Response Issues . . . . . . . . . . . . . . . . . . . . . . . . . . 256 Electronic Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 Security and Recovery versus Electronic Forensics . . . . . . . . . 257 Media Analysis Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 Media Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Hard Disk Examination: Step 1 — Sterile Media . . . . . . . . . . . . . . . 258 Hard Disk Examination: Step 2 — Legal Software . . . . . . . . . . . . . . 258 Hard Disk Examination: Step 3 — Physical Examination of the Evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Hard Disk Examination: Step 4 — Avoid Altering the Evidence . . 260 Hard Disk Examination: Step 5 — Capture CMOS (RTC/NVRAM) and Date/Time Information. . . . . . . . . . . . . . . . . 260 Hard Disk Examination: Step 6 — Create an Exact Image . . . . . . . 261 Hard Disk Examination: Step 7 — Logically Examine the Image . . 261 Hard Disk Examination: Step 8 — Examine the Boot Record Data and User-Defined Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 Hard Disk Examination: Step 9 — Recover and Examine All Deleted Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Hard Disk Examination: Step 10 — Create a Listing of All Files . . 263 Hard Disk Examination: Step 11 — Examine Unallocated Space for Lost or Hidden Data . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Hard Disk Examination: Step 12 — Examine File Slack . . . . . . . . . 264 Hard Disk Examination: Step 13 — Examine All User Created Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Hard Disk Examination: Step 14 — Unlock and Examine Password-Protected Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Hard Disk Examination: Step 15 — Create Printouts of All of the Apparent Evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Hard Disk Examination: Step 16 — Examine Executable Files and Run Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Hard Disk Examination: Step 17 — Write the Forensic Analysis Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 Floppy Diskette Examinations . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 Limited Examinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 xv
  16. 16. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® Incident Response Procedures (Specific to Windows NT/2000) . . . . . . 268 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Preparation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Strategy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Containment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Investigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Forensic Duplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 Steps in Aquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 Recovery Response and Follow-up . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Video Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Corporate Application of CCTV . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Analog Tapes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Frames versus Fields . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Color versus Monochrome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Digital CCTV. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Aspect Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Legal Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Admissibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Section 3: Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 Recovery Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 Recovery Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Processing and Information Gap. . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Recovery Time Objective. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Recovery Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Personnel Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Recovery Phase. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Phase 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Phase 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Phase 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Phase 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Phase 5. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Phase 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Phase 7. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Success Criteria. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 A Successful Recovery. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Related Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 IT Management Role during Recovery . . . . . . . . . . . . . . . . . . . . . . . . . 285 IT Management Role after Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 Verify and Update Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 xvi
  17. 17. Contents References . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 Useful Web Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 Domain 5 Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 Doug Andre, CISSP Business and Security Requirements for Cryptography . . . . . . . . . . . . 294 Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 Non-Repudiation (Digital Signatures) . . . . . . . . . . . . . . . . . . . . . . . . . 296 Principles of Certificates and Key Management . . . . . . . . . . . . . . . . . . . 296 Issuing and Validating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 Implementing Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 Implementing IVs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 X.509 v3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 PKCS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 DER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 BER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 AES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 RC2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 Wired Equivalent Privacy (WEP) . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 ANSI X9.17 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 Concepts (e.g., Types, Formats) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 Hash Function and Data Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Secure Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 SHTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 xvii
  18. 18. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Domain 6 Networks and Telecommunications . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Eric Waxvik Introduction to Networks and Telecommunications . . . . . . . . . . . . . . . . 321 The Basic OSI Model: Its Security Strengths and Weaknesses . . . . . 322 Application Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Presentation Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Session Layer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Transport Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Network Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 Data Link Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 Physical Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 DOD TCP/IP Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 Network Topologies and Their Security Issues . . . . . . . . . . . . . . . . . . 325 Star Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 Bus Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 Ring Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 Point-to-Point Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 WAN Access and Its Security Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 Carrier Sense Multiple Access (CSMA) . . . . . . . . . . . . . . . . . . . . . . 328 Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 Carrier Sense Multiple Access with Collision Detection (CSMA/CD) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 Carrier Sense Multiple Access with Bitwise Arbitration (CSMA/BA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 Dial-Up Access/Narrowband Access . . . . . . . . . . . . . . . . . . . . . . . . 328 Broadband Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 DSL Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 Cable Internet Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 ISDN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 PPPoE Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 VPN Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 Network Protocols and Security Characteristics . . . . . . . . . . . . . . . . . . . 331 Network Protocols Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 TCP/IP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 IP Addressing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 NAT/PAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 SMTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 xviii
  19. 19. Contents TFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 Network Level Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 PPP/SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 PAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 CHAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Wide Area Network Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Integrated Services Digital Network (ISDN) . . . . . . . . . . . . . . . . . . 337 Digital Subscriber Lines (DSL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 T-Carriers (T1, T3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Optical Carriers (OC-x) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 SDLC/HDLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Frame Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 Transport Layer Security Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 SET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 Application Layer Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 S/MIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 PEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Data Communications and Network Infrastructure Components and Security Characteristics. . . . . . . . . . . . . . . . . . . . . . 342 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Physical Transmission Medias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Different Transmission Medias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 The Security Limitations of Physical Media . . . . . . . . . . . . . . . . . . 343 Coaxial Cable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 UTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Fiber Optic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Inherent Security Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 Wiring and Communication Closets and Data Centers . . . . . . . . . 346 The Enterprise Network Environment and Its Vulnerabilities . . . . . . 346 Local Area Networking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Hubs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Bridges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Switches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Layer 2 Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Layer 3 Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Access Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Firewalls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 VPN Termination Points . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 xix
  20. 20. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® Routers and Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 Router Placement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 Remote Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 Clientless VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 Remote Access Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 Identification and Authentication for Remote Users . . . . . . . . . . . . . 353 Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Different Types of Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Firewall Configuration Alternatives . . . . . . . . . . . . . . . . . . . . . . . . . 354 Intrusion Detection Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 Auditing and Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Different Types of IDS Solutions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Techniques for IDS Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Wide Area Networking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 Circuit Switched versus Packet Switched WANs . . . . . . . . . . . . . . 358 Common WAN Infrastructures Used in Enterprise Networks . . . 358 Wireless Local Area Networking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 Wireless Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 IEEE 802.11 Standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 IEEE 802.11a Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 IEEE 802.11b Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 IEEE 802.11g . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 IEEE 802.11i . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 IEEE 802.11 Wireless LAN Equipment and Components . . . . . . . . 361 IEEE 802.15 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 IEEE 802.16 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 Wireless Access Points. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 Antennae. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Antenna Configuration and Placement. . . . . . . . . . . . . . . . . . . . . 363 Wireless Network Interface Cards and Adapters . . . . . . . . . . . . . . 363 Inherent Security Vulnerabilities with IEEE 802.11x . . . . . . . . . . . . 363 802.11 Authentication and Its Weaknesses . . . . . . . . . . . . . . . . . . . 364 WEP Encryption and Its Weaknesses . . . . . . . . . . . . . . . . . . . . . . . . 364 Passive Network Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364 Active Network Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 War Driving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 WLAN Jacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 Securing 802.11 Wireless LANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 MAC Address Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 Authentication Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 WEP Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 IEEE 802.1x Standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 VPN in a Wireless Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 Wireless LAN Policy, Standard, and Procedures . . . . . . . . . . . . . . . 368 xx
  21. 21. Contents Need for Security Policies, Standards, and Procedures for the IT Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Securing the IT Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Domains of IT Security Responsibility . . . . . . . . . . . . . . . . . . . . . . . . . 370 User Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370 Workstation Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370 LAN Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 LAN-to-WAN Domain. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 WAN Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 Remote Access Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 System/Application Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 Defining Standard and Enhanced Security Requirements . . . . . . . . . 373 Implementing Standard and Enhanced Security Solutions . . . . . . . . 373 References and Useful Web Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 Domain 7 Malicious Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 Diana-Lynn Contesti, CISSP Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 Information Protection Requirements . . . . . . . . . . . . . . . . . . . . . . . . . 379 The A-I-C Triad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 A History of Computer Viruses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 Macro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 File Infector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 Boot Sector Infectors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385 Virus Characteristics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Virus Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Polymorphic Viruses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 Stealth Viruses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 Slow Viruses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Retro Viruses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Why Care? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Worms and Trojan Horses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Trojan Horses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 Double File Extensions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Other Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Denial of Service Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 TCP SYN Flood Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 Smurf Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 Distributed Denial of Service (DDoS) Attacks . . . . . . . . . . . . . . . . . 394 IP Fragmentation and RPC Null Fragment Attacks . . . . . . . . . . . . 396 Mail Bombing and Spamming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 Pestware and Pranks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 xxi
  22. 22. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® ANSI Bombs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 Adware, Web Site Tracking Cookies (Trackware) . . . . . . . . . . . . . 398 Cookie Poisoning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 Homepage Hijacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Web Page Defacements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Brute Force Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Dictionary Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 Hashed Password or Password-Verifier . . . . . . . . . . . . . . . . . . . . . . 400 Online versus Offline Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 Salt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Logic Bombs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Ping of Death . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Spoofing Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 IP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Non-Blind Spoofing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 ARP Spoofing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Man in the Middle Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Denial of Service Attack (DoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Active Content Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Types of Mobile Code Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Attacks and Exploits Using Malformed Data . . . . . . . . . . . . . . . . . . . . 404 How Active Content Operates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405 JavaScript and Visual Basic Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 Java Active Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 Structure and Focus of Malicious Code Attacks . . . . . . . . . . . . . . . . . 407 Uncoordinated. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Coordinated . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Directed Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Indirect Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 Phases of an Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 Reconnaissance and Probing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 DNS Commands and Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 ICMP and Related TCP/IP Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 Using SNMP Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 Port Scanning and Port Mapping. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 Security Probes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 Use of Spyware and Backdoor Trojans . . . . . . . . . . . . . . . . . . . . . . . . . 411 War Dialing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 Access and Privilege Escalation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 Password Capturing and Cracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 Malformed Data Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 Eavesdropping, Data Collection, and Theft . . . . . . . . . . . . . . . . . . . . . 413 Covert Channel Communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413 Hackers, Crackers, and Other Perpetrators . . . . . . . . . . . . . . . . . . . . . . . 414 What’s in a Name? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414 xxii
  23. 23. Hackers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 White Hat (or Ethical) Hackers. . . . . . . . . . . . . . . . . . . . . . . . . . . 415 Black Hat Hackers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 Wannabes (also Wnnabes) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 The “Cracker” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 System Crackers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 Script Kiddies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 Click Kiddies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 Phreakers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 Cyberpunts, Cyber-Criminals, and Cyber-Terrorists . . . . . . . . . 416 Where Do Threats Come From? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 Employees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 Exploits from the Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 Spyware and Adware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 How Can I Protect against These Attacks? . . . . . . . . . . . . . . . . . . . . . . 419 Application Defenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420 Operating System Defenses (Hardening the OS) . . . . . . . . . . . . . . 421 Network Infrastructure Defenses . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 Incident Detection Tools and Techniques . . . . . . . . . . . . . . . . . . . . . . . . 423 Intrusion Detection Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423 Anti-Virus Scanning Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 Types of Anti-Virus (Anti-Malware) Software. . . . . . . . . . . . . . . . . . . . 425 Network Monitors and Analyzers . . . . . . . . . . . . . . . . . . . . . . . . . . 427 Content/Context Filtering and Logging Software . . . . . . . . . . . . . . 427 Other Techniques to Actively Detect and Analyze Hostile Activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 Classes of Honeypots. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 Attack Prevention Tools and Techniques . . . . . . . . . . . . . . . . . . . . . . . . . 428 Safe Recovery Techniques and Practices. . . . . . . . . . . . . . . . . . . . . . . 430 Develop a File Backup and Restoration Plan. . . . . . . . . . . . . . . . . . 430 Policy Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 Implementing Effective Software Engineering Best Practices . . . . . . 432 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 Appendix A Answers to Sample Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 Domain 1: Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 Domain 2: Security Operations and Administration . . . . . . . . . . . . . . . . 439 Domain 3: Analysis and Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 Domain 4: Risk, Response, and Recovery . . . . . . . . . . . . . . . . . . . . . . . . . 446 Domain 5: Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451 Domain 6: Networks and Telecommunications . . . . . . . . . . . . . . . . . . . . 454 Domain 7: Malicious Code. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 xxiii
  24. 24. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® Appendix B Systems Security Certified Practitioners (SSCP®) Candidate Information Bulletin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 1 — Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 2 — Security Operations and Administration . . . . . . . . . . . . . . . . . . . . . 462 Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 3 — Analysis and Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 4 — Risk, Response, and Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 5 — Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 6 — Networks and Telecommunications . . . . . . . . . . . . . . . . . . . . . . . . . 465 Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 7 — Malicious Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 Key Areas of Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 References . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 General Examination Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469 Appendix C Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561 xxiv
  25. 25. Foreword to the Offical (ISC)2® Guide to the SSCP® CBK® Information Security is an increasingly important and critical component in the preservation, progress and stability of business in today’s world. Never have the pressures on corporations, governments and militaries been so widespread and multifaceted. While consumers and citizens are looking for the delivery of new and faster services, the legislatures of the world are placing more restrictions and oversight on the secure handling of informa- tion. The SSCP® is an exciting and practical solution for many organizations to- day. The SSCP provides a solid foundation of understanding of information security concepts and issues for many people throughout the organization. Whether as a system or network administrator, information systems audi- tor, computer programmer or systems analyst, or database administrator, the SSCP is an excellent introduction to beginning and advanced concepts in information security and is sure to be of benefit to many people through- out the organization. Information Security is a field of many opinions and perspectives; and the road to secure systems is often littered with tales of failures and unexpected lapses in security. All too often these failures are linked to a lack of under- standing of the field of information security. This book will provide an excel- lent source of information, best practices, advice, and guidance that may prove invaluable in helping an organization to prevent errors, avert security breaches, and experience the loss of trust of consumers and officials. (ISC)2® has become recognized as the leader in the fields of information security and management. It is with great pleasure and respect that we provide you with this reference and welcome you to be a part of this fast moving and growing field. Whether as a new person in the field or looking to expand your knowledge, you will be sure to find the SSCP to be a practical, informative, and challenging step in your development. As you study this xxv
  26. 26. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® book and possibly prepare to sit for the SSCP (Systems Security Certified Practitioner) examination you are almost certain to venture into new areas of understanding or places that were formerly unfamiliar. This often leads the SSCP to pursue even more learning and development opportunities and we hope that you will consider contacting (ISC)2® for the opportunity to assist on volunteer and research projects. As a not-for-profit organization, (ISC)2 has been pleased to provide examinations and educational events, and to promote the development of information security throughout the world. You too can be a part of this by contacting us at www.isc2.org. Thank you for your interest in the field of information security and for purchasing this book. Welcome to an open door of opportunity and exciting new challenges. Tony Baratta, CISSP-ISSAP®, ISSMP®, SSCP Director of Professional Programs (ISC)2® xxvi
  27. 27. Introduction to the (ISC)2® SSCP® CBK® This first edition of the “Official (ISC)2® Guide to the SSCP® CBK®” marks an important milestone for (ISC)2. It acknowledges the important role that implementers of information security policy, procedures, standards, and guidelines play in an organization’s overall information security manage- ment infrastructure. Tacticians who implement technical countermeasures like firewalls, intrusion prevention systems, anti-virus software, access con- trol technologies, cryptography, and a wide array of physical security mea- sures are the real warriors on the front lines defending an organization’s digital assets. The (ISC)2 SSCP certification is the internationally recognized credential that allows those warriors to demonstrate their information se- curity expertise, experience, and professionalism. The SSCP Credential The (ISC)2 Systems Security Certified Practitioner (SSCP) certification is today’s most important certification for information security practitioners. An SSCP has a demonstrated level of competence and understanding of the seven domains of the compendium of topics pertaining to the information systems security practitioner, the (ISC)2 SSCP CBK. The SSCP credential is ideal for those working toward or who have already attained positions such as systems or network administrator, senior network security engineer, senior security systems analyst, or senior security administrator. In addi- tion, the SSCP has proven to be one of the best introductions to security principles for personnel that work in a role where security is not one of their primary responsibilities, such as application or Web programmers, informa- tion systems auditors, network, system and database administrators, and risk managers. The seven domains of the SSCP CBK include: • Access Controls • Security Operations and Administration xxvii
  28. 28. OFFICIAL (ISC)2® GUIDE TO THE SSCP® CBK® • Analysis and Monitoring • Risk, Response, and Recovery • Cryptography • Networks and Telecommunications • Malicious Code The SSCP is awarded by (ISC)2 to information security practitioners who successfully pass the comprehensive examination based on the (ISC)2 SSCP CBK®, a compendium of global information security topics, possess at least one year of cumulative work experience in the field and subscribe to the (ISC)2 Code of Ethics. Once certified, the SSCP must maintain his or her certification through gathering Continuing Professional Education credits (CPEs). As a SSCP, you gain access to (ISC)2 services and programs that serve to support and enhance your growth throughout your information security career. These services and programs include: • Ongoing education • Peer networking • Forums • Events • Job postings • Industry communications • Speaking and volunteer opportunities Global Recognition (ISC)2’s commitment to developing global information security creden- tials was recognized in December 2005 by the representative for the In- ternational Organization for Standardization’s (ISO) in the United States, the American National Standards Institute (ANSI). ANSI accredited (ISC)2’s SSCP credential under ISO/IEC Standard 17024:2003 in the area of informa- tion security. The ISO/IEC 17024 standard is a new benchmark for general requirements for organizations that provide for certification of personnel. This certification helps verify that individuals in a particular field have the necessary knowledge, skills, and abilities to perform their work. The ANSI/ISO/IEC 17024 standard extends global recognition and accep- tance of the SSCP, adding value to SSCP credential holders as they continue to be one of the most sought-after information security practitioners in the global market. The ANSI/ISO/IEC 17024 accreditation serves as a discrimina- tor as employers and business partners seek the most qualified information security practitioners who hold accreditation credentials. Earning ISO/IEC 17024 ensures employers, customers, and citizens that information security xxviii

×