CISSP認(rèn)證教材OSG第9版有增加或者改動(dòng)的知識(shí)點(diǎn)，CISSP認(rèn)證的教材新版知識(shí)點(diǎn)可能會(huì)在考試中出現(xiàn)，因此我們?yōu)榇蠹疫M(jìn)行了梳理，CISSP認(rèn)證教材OSG第9版新增(改)知識(shí)點(diǎn)如下。

D8-軟件開發(fā)安全

1、軟件保障成熟度模型(SAMM，Software Assurance Maturity Model)(p961)

SAMM 是由開放 Web 應(yīng)用程序安全項(xiàng)目 (OWASP) 維護(hù)的開源項(xiàng)目。它旨在提供一個(gè)框架， 將安全活動(dòng)集成到軟件開發(fā)和維護(hù)過程中，并為組織提供評(píng)估其成熟度的能力。SAMM 將軟 件開發(fā)過程劃分為五個(gè)業(yè)務(wù)功能：治理、設(shè)計(jì)、實(shí)施、驗(yàn)證、運(yùn)營。

2、NoSQL(p982)

NoSQL 數(shù)據(jù)庫是一類使用關(guān)系模型以外的模型來存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)庫。NoSQL 數(shù)據(jù)庫沒有標(biāo)準(zhǔn) 的查詢語言(SQL)，因此進(jìn)行數(shù)據(jù)庫查詢需要制定數(shù)據(jù)模型。許多 NoSQL 數(shù)據(jù)庫都有 REST 式 的數(shù)據(jù)接口或者查詢 API。有許多不同類型的 NoSQL 數(shù)據(jù)庫，例如：

? 鍵值(Key-Value)存儲(chǔ)數(shù)據(jù)庫，這一類數(shù)據(jù)庫主要會(huì)使用到一個(gè)哈希表，這個(gè)表中有 一個(gè)特定的鍵和一個(gè)指針指向特定的數(shù)據(jù);

? 圖形(Graph)數(shù)據(jù)庫，它是使用靈活的圖形模型，并且能夠擴(kuò)展到多個(gè)服務(wù)器上，專 注于構(gòu)建關(guān)系圖譜;

? 文檔型數(shù)據(jù)庫，該類型的數(shù)據(jù)模型是版本化的文檔，半結(jié)構(gòu)化的文檔以特定的格式存儲(chǔ)， 比如 JSON。文檔型數(shù)據(jù)庫可以看作是鍵值數(shù)據(jù)庫的升級(jí)版，允許之間嵌套鍵值，在處 理網(wǎng)頁等復(fù)雜數(shù)據(jù)時(shí)，文檔型數(shù)據(jù)庫比傳統(tǒng)鍵值數(shù)據(jù)庫的查詢效率更高。

? NoSQL 數(shù)據(jù)庫使用的安全模型可能與關(guān)系數(shù)據(jù)庫有很大不同。使用此技術(shù)的組織中安 全專業(yè)人員應(yīng)熟悉他們使用的解決方案的安全功能，并在設(shè)計(jì)適當(dāng)?shù)陌踩刂茣r(shí)咨詢 數(shù)據(jù)庫團(tuán)隊(duì)。

3、勒索軟件(Ransomware)(p1004)

勒索軟件是一種將密碼學(xué)武器化的惡意軟件。勒索軟件會(huì)生成一個(gè)只有勒索軟件作者知道的 加密密鑰，并使用該密鑰加密系統(tǒng)硬盤驅(qū)動(dòng)器和任何已安裝驅(qū)動(dòng)器上的關(guān)鍵文件。這種加密 使授權(quán)用戶或惡意軟件作者以外的任何其他人無法訪問數(shù)據(jù)。然后，用戶會(huì)收到一條消息， 通知他們他們的文件已加密，并要求在特定截止日期之前支付贖金，以防止文件永久無法訪 問。

支付贖金可能是非法的!除了圍繞贖金支付的道德考慮之外，還有嚴(yán)重的法律問題。2020 年， 美國財(cái)政部外國資產(chǎn)控制辦公室 (OFAC) 發(fā)布了一份咨詢報(bào)告，通知美國公司許多勒索軟 件作者受到經(jīng)濟(jì)制裁，向他們付款是非法的。

4、惡意腳本(Malicious Scripts)(p1005)

管理員可以手動(dòng)觸發(fā)腳本或?qū)⑵渑c人力資源系統(tǒng)集成以在組織雇用新員工時(shí)自動(dòng)運(yùn)行。不幸 的是，同樣的腳本技術(shù)可用于提高惡意行為者的效率。特別是，APT 組織經(jīng)常利用腳本來自 動(dòng)化其惡意活動(dòng)的常規(guī)部分。惡意腳本也常見于一類稱為無惡意文件的惡意軟件中。這些無 文件攻擊從不將文件寫入磁盤，這使得它們更難以檢測(cè)。例如，用戶可能會(huì)收到釣魚郵件中 的惡意鏈接。

5、高級(jí)威脅防護(hù)(Advanced Threat Protection)(p1008)

端點(diǎn)檢測(cè)和響應(yīng) (EDR) 包超越了傳統(tǒng)的反惡意軟件保護(hù)，可幫助保護(hù)端點(diǎn)免受攻擊。它們 將傳統(tǒng)防病毒軟件包中的反惡意軟件功能與旨在更好地檢測(cè)威脅并采取措施根除威脅的先 進(jìn)技術(shù)相結(jié)合。EDR 包的一些具體功能如下：

? 分析端點(diǎn)內(nèi)存、文件系統(tǒng)和網(wǎng)絡(luò)活動(dòng)以尋找惡意活動(dòng)的跡象

? 自動(dòng)隔離可能的惡意活動(dòng)以控制潛在的損害

? 與威脅情報(bào)源集成，實(shí)時(shí)洞察互聯(lián)網(wǎng)上其他地方的惡意行為

? 與其他事件響應(yīng)機(jī)制集成以自動(dòng)化響應(yīng)工作 這些托管 EDR 產(chǎn)品稱為托管檢測(cè)和響應(yīng)(MDR)服務(wù)。此外，用戶和實(shí)體行為分析 (UEBA) 包 特別關(guān)注端點(diǎn)和其他設(shè)備上基于用戶的活動(dòng)，構(gòu)建每個(gè)人正常活動(dòng)的配置文件，然后突出顯 示與該配置文件的偏差，這可能表明潛在的攻擊。

6、基于內(nèi)容的 SQL 盲注和基于時(shí)間的盲 SQL 注入(Blind Content-Based SQL Injection && Blind Timing-Based SQL Injection) (p1013)

基于內(nèi)容的 SQL 盲注：在嘗試執(zhí)行攻擊 Web 應(yīng)用程序之前，攻擊者將輸入發(fā)送到 Web 應(yīng)用程 序，測(cè)試應(yīng)用程序是否正在解釋注入代碼。

基于時(shí)間的盲 SQL 注入：滲透測(cè)試人員可能會(huì)將處理查詢所需的時(shí)間用作從數(shù)據(jù)庫檢索信 息的渠道。

7、代碼注入攻擊 Code Injection Attacks (p1016)

SQL 注入攻擊是代碼注入攻擊的一般攻擊類別中的一個(gè)具體示例。攻擊者可能會(huì)在作為輕量 級(jí)目錄訪問協(xié)議 (LDAP) 查詢的一部分發(fā)送的文本中嵌入命令，從而進(jìn)行 LDAP 注入攻擊。 XML 注入是另一種類型的注入攻擊，其后端目標(biāo)是 XML 應(yīng)用程序。跨站腳本是代碼注入攻 擊的一個(gè)例子，它將攻擊者編寫的腳本代碼插入到開發(fā)人員創(chuàng)建的網(wǎng)頁中。命令注入攻擊， 應(yīng)用程序代碼可以返回到操作系統(tǒng)以執(zhí)行命令，因此攻擊者可能會(huì)利用應(yīng)用程序中的缺陷并 獲得直接操縱操作系統(tǒng)的能力。

8、不安全的直接對(duì)象引用(Insecure Direct Object References)(p1018)

在某些情況下，Web 開發(fā)人員設(shè)計(jì)的應(yīng)用程序可以根據(jù)用戶在查詢字符串或 POST 請(qǐng)求中提 供的參數(shù)直接從數(shù)據(jù)庫中檢索信息。這樣可能讓攻擊者可以輕松查看到 URL，然后對(duì)其進(jìn)行 修改以嘗試檢索其他文檔。如果應(yīng)用程序不執(zhí)行授權(quán)檢查，則可能允許用戶查看超出其權(quán)限 的信息。這種情況稱為不安全的直接對(duì)象引用。

9、文件包含(File Inclusion)(p1020)

文件包含攻擊是實(shí)際執(zhí)行文件中包含的代碼，允許攻擊者欺騙 Web 服務(wù)器執(zhí)行目標(biāo)代碼。

10、請(qǐng)求偽造(Request Forgery)(p1023)

請(qǐng)求偽造攻擊利用信任關(guān)系并試圖讓用戶在不知不覺中對(duì)遠(yuǎn)程服務(wù)器執(zhí)行命令。它們有兩種 形式：跨站點(diǎn)請(qǐng)求偽造(CSRF/XSRF，Cross-Site Request Forgery 和服務(wù)器端請(qǐng)求偽造 (SSRF，Server-Side Request Forgery)。

11、輸入驗(yàn)證(Input Validation)(p1025)

輸入驗(yàn)證的最有效形式使用輸入白名單(也稱為允許列表)，其中包括開發(fā)人員描述期望用 戶輸入的確切類型。然后在將輸入傳遞給其他進(jìn)程或服務(wù)器之前，驗(yàn)證輸入是否與該規(guī)則匹 配。但由于允許用戶輸入的許多字段的性質(zhì)，通常很難執(zhí)行輸入白名單。在這種情況下，開 發(fā)人員可能會(huì)使用輸入黑名單(也稱為阻止列表)來控制用戶輸入。使用這種方法，開發(fā)人 員不會(huì)嘗試明確描述可接受的輸入，而是描述必須阻止的潛在惡意輸入。

元字符(Metacharacter)是被賦予特殊編程意義的字符。因此，他們擁有標(biāo)準(zhǔn)的普通角色 所沒有的特殊能力。轉(zhuǎn)義元字符(Escaping a metacharacter)是將元字符標(biāo)記為普通字符 或普通字符(例如字母或數(shù)字)的過程，從而消除其特殊的編程能力。參數(shù)污染(Parameter pollution)是攻擊者成功用來擊敗輸入驗(yàn)證控制的一種技術(shù)。

12、數(shù)據(jù)庫安全(Database Security)(p1028)

參數(shù)化查詢(Parameterized queries)提供了另一種保護(hù)應(yīng)用程序免受注入攻擊的技術(shù)。 在參數(shù)化查詢中，開發(fā)人員準(zhǔn)備一條 SQL 語句，然后允許將用戶輸入轉(zhuǎn)變?yōu)榫?xì)定義的變 量，傳遞到語句中，這些變量不允許插入代碼。存儲(chǔ)過程(Stored procedures)的工作方 式類似，但主要區(qū)別在于 SQL 代碼不包含在應(yīng)用程序中，而是存儲(chǔ)在數(shù)據(jù)庫服務(wù)器上。客戶 端不直接向數(shù)據(jù)庫服務(wù)器發(fā)送 SQL 代碼。相反，客戶端將參數(shù)發(fā)送到服務(wù)器，然后服務(wù)器將 這些參數(shù)插入到預(yù)編譯的查詢模板中。

混淆和偽裝(Obfuscation and Camouflage)。在數(shù)據(jù)庫中維護(hù)敏感的個(gè)人信息，如果這些 信息被攻擊者竊取，會(huì)使組織面臨風(fēng)險(xiǎn)。數(shù)據(jù)庫管理員應(yīng)采取以下措施防止數(shù)據(jù)泄露：數(shù)據(jù) 最小化(Data minimization)、令牌化(Tokenization)、哈希化(Hashing)。

13、代碼安全(Code Security)(p1029)

軟件開發(fā)人員還應(yīng)采取措施保護(hù)其代碼的創(chuàng)建、存儲(chǔ)和交付。他們通過各種技術(shù)來做到這一 點(diǎn)：

? 代碼簽名(Code signing)：代碼簽名為開發(fā)人員提供了一種向最終用戶確認(rèn)其代碼真 實(shí)性的方法。

? 代碼重用(Code Reuse):安全團(tuán)隊(duì)?wèi)?yīng)確保外包代碼與內(nèi)部開發(fā)代碼經(jīng)過相同級(jí)別的測(cè) 試。

? 軟件多樣性(Software Diversity):安全專業(yè)人員尋求避免其環(huán)境中的單點(diǎn)故障，以 避免在單個(gè)組件出現(xiàn)問題時(shí)出現(xiàn)可用性風(fēng)險(xiǎn)。

? 代碼庫(Code Repositories)：代碼存儲(chǔ)庫的主要目的是將軟件開發(fā)中使用的源文件 存儲(chǔ)在一個(gè)集中位置，以便安全存儲(chǔ)和協(xié)調(diào)多個(gè)開發(fā)人員之間的更改。代碼存儲(chǔ)庫還執(zhí) 行版本控制(version control)，允許在需要時(shí)跟蹤更改并將代碼回滾到早期版本。 代碼存儲(chǔ)庫還有助于避免死代碼(dead code)問題，即代碼在組織中使用，但沒有人 負(fù)責(zé)該代碼的維護(hù)，事實(shí)上，甚至沒有人知道原始源文件所在的位置。

? 完整性測(cè)量(Integrity Measurement)：代碼完整性測(cè)量使用加密散列函數(shù)來驗(yàn)證發(fā) 布到生產(chǎn)中的代碼是否與之前批準(zhǔn)的代碼相匹配。

? 應(yīng)用程序彈性(Application Resilience)：當(dāng)我們?cè)O(shè)計(jì)應(yīng)用程序時(shí)，我們應(yīng)該以一種 使它們?cè)诿鎸?duì)不斷變化的需求時(shí)具有彈性的方式來創(chuàng)建它們。我們通過應(yīng)用兩個(gè)相關(guān) 原則來做到這一點(diǎn)：可擴(kuò)展性、彈性。可擴(kuò)展性和彈性是云平臺(tái)的共同特征，并且是在 企業(yè)計(jì)算環(huán)境中使用這些平臺(tái)的主要驅(qū)動(dòng)力

關(guān)注中培偉業(yè)，了解更多CISSP相關(guān)信息。