CCSP思维导图

Cloud computing is a model for enabling universal,
convenient, on-demand network access
to a shared pool of configurable computing resources
that can be rapidly provisioned and released with
minimal management effort or service provider
interaction.

The business or individual consuming cloud
services

Often using cloud to complement/
augment existing on-premises compute. 补充/增加

Company that provides cloud-based platform
infrastructure, and applications to other
organizations as a service.

Help organizations to obtain and deploy cloud
services.

May provide consulting services, software to
run in the cloud, or both.

an entity that manages the use, performance and
delivery of cloud services

negotiates relationships between cloud providers
(CSPs) and cloud consumers.

Serves as an intermediary (advisor,
negotiator) between customer and CSP

Functions of a Cloud Broker

Third party that can conduct an independent
assessment of cloud services,information
system operations,performance,and security
of the cloud implementation.

Implementation, monitoring, and maintenance of the cloud.

Adapting, porting, and deploying application.

Designs and develops solutions.

Responsible for daily operational tasks.

Manages data storage and data flow within, to and from the cloud.

Responsible for business agreement, pricing for the cloud customer.

Manages storage volume/repository assignment and configuration.

Oversees business and billing administration.

Prepares systems operations and support for the cloud, administers services.

maintains the security environment for
companies

may manage firewalls, IDPS, and SIEM
systems, and other security services and
infrastructure.

may provide an outsourced security
operations center (SoC) and incident
response

Customers can scale their compute and storage needs with little or
no intervention or prior communication from the provider.

Technologists can access cloud resources almost immediately
when they need to do their jobs, providing agility in service delivery.

Services are consistently accessible over the network regardless of
the users physical location

Which means many different customers share use of the same
computing resources.

Physical servers that support our workloads might be the same
physical servers supporting other customers' workloads.

The underlying cloud infrastructure (compute, storage
networking is shared.

Oversubscription

Allows the customer to grow or shrink the IT footprint as necessary to
meet needs without excess capacity.

Elasticity

Scalability

Enables cloud provider to apportion resources as needed across
multiple customers so resources are not underutilized or overtaxed.

Enables cloud provider to make capital investments that greatly
exceed what any single customer could provide on their own.

Allows the cloud provider to meet various demands from
customers while remaining financially viable.

DISADVANTAGE

means that almost everything you do in the cloud is metered
(measured and tracked) for management and billing purposes.

common metrics

Infrastructure-as-a-Service (laas)is the basis
for compute capacity in the cloud.

CSP provides the server, storage, and networking
hardware and its virtualization.

Customer installs middleware and applications.

Customer only pays for what they use. Charges
stop when instance is stopped or deleted.

Cloud networking is all virtualized to allow
customers to design and customize to their needs.

Enables customers to segment networks and
restrict access however they would like.

Physical network components are virtualized into
a software-defined network (SDN)

SDN

三种存储类型

Databases, usually multitenant relational (SQL) databases as a service.

Big data as a service,nonrelational (NoSQL) data such document, graph, column, or key-value

存储一致性
Storage Consistency

Content/file storage: File-based content stored within the application

Content delivery network (CDN) where content is stored in object storage, then replicated to
multiple geographically distributed nodes to improve internet consumption speed.

Information storage and management: Data entered into the system via the web interface
and stored within the Saas application.

Multiple options available and multiple flavors of
relational (SQL) and non-relational (NoSQL)

Managed database services (Paas) options shift
infrastructure maintenance to the CSP.

laas (VM) hosted databases are an option where
Paas is not possible or practical.

Cloud orchestration creates automated
workflows for managing cloud environments.

Builds on the foundation of Infrastructure as
Code (lac), reducing manual admin tasks.

May be a script, function, runbook, or developed
in an external workflow engine.

Type1 "Bare metal"

Type2 "Hosted"

Storing data in the cloud increases the risk, so steps may
be necessary to protect the data, depending on its value.

When leasing cloud-based services, you should know
who is responsible for maintenance and security.

The cloud service provider (CSP) provides the least
amount of maintenance and security in the laas model.

• Use cloud services
• Perform service trials
• Monitor services
• Administer service security
• Provide billing and usage reports
• Handle problem reports
• Administer tenancies
• Perform business administration
• Select and purchase service
• Request audit reports

• Prepare systems and provide cloud services
• Monitor and administer services
• Manage assets and inventories
• Provide audit data
• Manage customer relationships
• Handle customer requests
• Perform peering with other cloud service providers
• Ensure compliance
• Provide network connectivity

• Design,create,and maintain service components
• Test services
• Perform audits
• Set up legal agreements
• Acquire and assess customers
• Assess the marketplace

Overall reduction in costs, application and software licensing, reduced support costs,
backend systems and capabilities.

CSP allows the customer to focus on their business use cases.

Language and framework support, support for multiple environments, allowing choice
and reducing "lock-in", improving ability to auto-scale.

Scale, converged network and shared capacity pool, self-service and on-demand
capacity, high reliability and resilience.

This is a capital expense (CAPEX) on-premises, but an operational
expense (OPEX) in the cloud.

CSP provides building blocks, like networking, storage and compute

CSP manages staff, HW, and datacenter

主要好处

Customer is responsible for deployment and management of apps

CSP manages provisioning, configuration,hardware,and OS

key benefits

Customer just configures features.

Customer has some responsibility in
access management and'data recovery

CSP is responsible for management,
operation, and service availability.

Key Benefits

a cloud computing execution model where
the cloud provider dynamically manages
the allocation and provisioning of servers.

hosted as pay-as-you-go model based on use.

Resources are stateless,servers ephemeral
and often capable of being triggered

Provisioning of multiple business services is
combined with different IT services to
provide a single business solution.

Everything runs on your cloud provider's hardware.

Advantages include scalability, agility, PAYG, no maintenance, and low skills

A cloud environment in your own datacenter

A cloud environment dedicated to a single customer

Advantages include legacy support,control,and compliance

Enables greater control of upgrade cycles in legacy apps and some compliance scenarios

Combines public and private clouds,allowing you to run your apps in the right location

Advantages include flexibility in legacy,compliance,and scalability scenarios

Enables the organization to control the pace of public cloud adoption

Similar to private clouds in that they are not open the general public

But they are shared by several related organizations in a common community

Combines resources from two or more public cloud providers

Allows orgs to take advantage of service and price differences, but at the cost of added complexity

Ability of one cloud service to interact with other cloud services by
exchanging information according to a prescribed method and obtain
predictable results.

3rd parties, other CSPs

Most CSPs have a cloud marketplace with certified apps and services

5个特征

Ability to move applications and associated data between cloud
providers(CSPs),between legacy and cloud environments,or
between public and private cloud environments. <—— Hybrid cloud

Cloud data portability is the ability to easily move data from one
cloud service to another without the need to re-enter the data.

cloud applieation portability is the ability to migrate an application from one 
CSP to another or between a customer's environment and a cloud service.
Portability prevents 'vendor lock-in'

Process for cloud service customers to retrieve their data and
application artifacts AND

for the CSP to delete all cloud service customer data and contractually
specified cloud service derived data after an agreed period.

Customer access to data also appears in requlations (e.g.GDPR)

Systems and resource availability defines the success or failure of a cloud-based service.

Check service-level SLAs and how multi-service SLAs are calculated.

• Protection of customer data

(access control,encryption)

• Protection of cloud applications
• Protection of cloud infrastructure

Data privacy in cloud computing allows collecting,storing transferring and sharing 
the data over the cloud network without putting the privacy of personal data at risk.

Prominent sources of privacy concerns

ability of a cloud services data center and its associated components,
including servers,storage,and so on, to continue operating in the
event of a disruption.

Look for a cloud provider with global presence, regional
redundancy and zone redundancy within region.

Ability of a service to remain responsive to requests to that service with
an acceptable level of response latency or processing time.

Public cloud delivers the perception of unlimited scale for than for less
than the cost a customer would incur in their own datacenter.

Enforcement of security policies and regulatory requirements,often
through policy controls and regular audits.

CSPs often have policy automation in which restrictions can be defined
and automatically enforced throughout the service lifecycle.

Stipulate performance expectations such as
maximum downtimes and often include penalties if
the vendor doesn't meet expectations.

Ability to provide clear documentation of the actions in a data
event. (e.g, data breach,unauthorized access)

Auditability is only possible with proper logging
providing accountability and traceability

Related activities

Obtaining goods or a services,such as cloud services
from an external supplier.

Introduces considerations including reversibility,
interoperability,and vendor lock-in.

The study of data to extract meaningful insights for business

Combines principles and practices from multiple fields
(mathematics,artificial intelligence,computer engineering)
to analyze large amounts of data.

Helps data scientists to ask and answer questions about past,current,
and future events through evaluation of data.

Cybersecurity Data Science (CSDS)

A subset of Al, computer algorithms that
improve automatically through experience
and the use of data.

Focuses on accomplishing "smart"tasks
combining machine learning and deep
learning to emulate human intelligence

a subfield of machine learning concerned with
algorithms inspired by the structure and function
of the brain called artificial neural networks.

Blockchain was originally the technology that
powered Bitcoin but has broader uses.

A distributed,public ledger that can be used to store financial,
medical, or other transactions.  Anyone is free to join and participate

Does not use intermediaries such as banks and financial institutions.

Data is "chained together"with a block of data holding both the
hash for that block and the hash of the preceding block.

To create a new block on the chain,the computer that wishes to add
the block solves a cryptographic puzzle and sends the solution to
the other computers participating in that blockchain.

A class of devices connected to the internet in
order to provide automation, remote control, or
Al processing in a home or business setting

Default settings

Wareables

Facility automation.

Sensors

A lightweight,granular,and portable way to package
applications for multiple platforms.

Reduces overhead of server virtualization by enabling
containerized apps to run on a shared OS kernel.

Share many concerns of server virtualization: isolation
at host,process,network,and storage levels

A rapidly-emerging technology that harnesses the laws of quantum
mechanics to solve problems too complex for classical computers.

Replaces the binary one and zero bits of digital computing with
multidimensional quantum bits known as qubits.

No widespread use cases as of 2023,so little impact outside the
world of scientific research and testing.

A quantum computer could render all modern cryptography
completely ineffective and require the redesign of new,stronger
quantum encryption algorithms.

the practice of harnessing the principles of quantum mechanics to improve security
and to detect whether a third party is eavesdropping on communications.

Leverages fundamental laws of physics such as the observer effect,which states that it
is impossible to identify the location of a particle without changing that particle.

is the most common example of quantum cryptography.

by transferring data using photons of light instead of bits,a confidential key transferred
between two parties cannot be copied or intercepted secretly.

Post-quantum cryptography refers to cryptographic algorithms (usually public-key
algorithms)that are thought to be secure against an attack by a quantum computer.

Post-quantum cryptography focuses on preparing for the era of quantum computing
by updating existing mathematical-based algorithms and standards.

The development of new kinds of cryptographicapproaches that can be implemented using
today's conventional computers.
..but will be impervious (resistant)to attacks from tomorrow's quantum computers.

Post-quantum algorithms arc somctimes called quantum-resistant"cryptographic algorithms

Some compute operations require processing
activities to occur locally,far from the cloud.

Common in various Internet-of-things scenarios,
like agricultural,science/space,military.

All the processing of data storage is closer to the
sensors rather than in the cloud data center.

With large network-connected device counts in varied locations,
data encryption,spoofing protection,and authentication are key

Complements cloud computing by processing
data from loT devices.

Often places gateway devices in the field to collect
and correlate data centrally at the edge.

Generally, brings cloud computing nearer to the
sensor to process data closer to the device.

Important to speed processing time and reduce dependence on
cloud/Internet connectivity mission critical situations (healthcare)

PROBLEM:Sensitive data must be encrypted in memory
before an app can process it,leaving the data vulnerable

Confidential computing solves for this by isolating sensitive
data in a protected CPU enclave during processing.

This CPU enclave is called a trusted execution environment
(TEE), secured with embedded encryption keys.

Embedded attestation mechanisms ensure that the keys
are accessible only to authorized application code

A portmanteau development,security,and
operations.

Integratessecurity as a shared responsibility
throughout the entire IT lifecycle.

Builds a security foundation into Devops initiatives.

Often includes automating some of the security
gates in the Devops process.

is themanagement of cloud infrastructure
(networks,VMs,load balancers,and connection
topology) described in code

just as the same source code generates the same
binary,code in the lac model results in the same
environment every time it is applied.

laC is a key Devops practice and is used in
conjunction with Continuous Integration and
continuous Delivery (CI/CD). "the CI/CD pipeline"

A chip that resides on the motherboard of the device.

Multi-purpose, like storage and management of
keys used for full disk encryption (FDE) solutions.

Provides the operating system with access to keys,
but prevents drive removal and data access

a physical computing device that safeguards and
manages digital keys,performs encryption and
decryption functions for digital signatures,strong
authentication and other cryptographic functions.

Like a TPM,but are often removable or external devices

Generation

Distribution

Storage

Use

Revocation

Destruction

Encryption keys must be secured at the same level of control or higher
as the data they protect.

Sensitivity of the data dictates this level of protection,as defined in the
organization's data security policies.

Circumstances where you need to recover a key for a particular user, without
that user's cooperation,such as in termination or key loss.

Copies of keys held by a trusted third party in a secure environment,which can
aid in many of the other areas of key management.

CSPs offer a cloud service for centralized secure storage and
access for application secrets called a vault.

A secret is anything that you want to control access to,such as APl
keys, passwords,certificates,tokens,or cryptographic keys.

Service will typically offer programmatic access via APl to support
DevOps and continuous integration/continuous deployment(CI/CD)

Access control at vault instance-level and to secrets stored within

Secrets and keys can generally be protected either by
software or by FIPS 140-2 Level 2 validated HSMs.

Authentication and access management

• Focused on the manner in which users can access required resources

Privileged user management

• Managing privileged access accounts
• Enforce Least Privilege and Need to know
• Separation of duties can provide effective risk mitigation

PRIVILEGED ACCESS MANAGEMENT

• a solution that helps protect the privileged accounts within a tenant,preventing attacks
• Native to some cloud identity providers today, and may include a just-in-time elevation Feature

Centralized directory Services

• Active Directory and LDAP
• Kerberos and NTLM authentication

• Standardize,streamline,and develop an efficient account creation process
• Timely deprovisioning eliminates access sprawl

• Something you know(pin or password)
• Something you have(trusted device)
• Something you are(biometric)

PREVENTS:

• Phishing
• Credential stuffing
• Spear phishing
• Brute force and reverse brute force attacks
• Keyloggers
• Man-in-the-middle (MITM)attacks

Need-to-know and the principle of least privilege are two
standard IT security principles implemented in secure networks.

They limit access to data and systems so that users and other
subjects have access only to what they require.

They help prevent security incidents
They help limit the scope of incidents when they occur.

Collusion is an agreement among multiple persons to
perform some unauthorized or illegal actions.

Separation of duties
a basic security principle that ensures that no single person
can control all the elements of a critical function or system.

Job rotation
employees are rotated into different jobs,or tasks are
assigned to different employees.

Service Account 
aka "Service Principal"

shared Account

Erasing

Clearing (overwriting)

Purging

Crypto-shredding 'cryptographic erasure'

Degaussing

Shredding

Pulverizing

Network security groups provide an
additional layer of security for cloud resources

Act as a virtual firewall for virtual networks and resource
instances.(e.g.VMs,databases,subnets)

Carriesa list of security rules(IP and port ranges)that
allow or deny network traffic to resource instances.

Provides a virtual firewall for a collection of cloud
resources with the same security posture

Restricting services that are permitted to access or be accessible
from other zones using rules to control inbound/outbound traffic.

Rules are enforced by the IP address ranges of each subnet.

Within a virtual network,segmentation can be used to achieve
isolation.Port filtering through a network security group

Representational State Transfer (REST)is the modern approach to
writing web service APIs.

Enables multi-language support,can handle multiple types of
calls,return different data formats.

APIs published by an organizations should include encryption,
authentication,rate limiting,throttling,and quotas.

Packet capture in the cloud generally requires tools
designed for this purpose in the environment.

Traffic is often sent direct to resources and promiscuous
mode on a VM NIC not possible or effective.

Uses the Global Positioning System (GPS)or RFID to define
geographical boundaries.

Once the device is taken past the defined boundaries,the
security team will be alerted.

EXAMPLES:
Restrict access to systems and services based on where
the access attempt is being generated from.
Prevent devices from being removed from the company's
premises.

Addresses the limitations of the legacy network perimeter-based security model.

Treats user identity as the control plane

Assumes compromise breach in verifying every request.

ZERO TRUST PRINCIPLES

ZERO TRUST NETWORK ARCHITECTURE

Container hosts are cloud-based virtual machines
(VM).This is where the containers run

Most CSPs offer hosted Kubernetes service,
handles critical tasks like health monitoring and
maintenance for you.Platform-as-a-Service

You pay only for the agent nodes within your clusters,
not for the management cluster.

Major CSPs also offer a monitoring solution that will
identify at least some potential security concerns

the practice of creating a virtual computing environment as a need arises.

environment is destroyed once needs are met,and resources are no longer needed

Use API gateways as security buffers (to avoid DDoS attacks)

Configure secure authentication(Oauth, SAML,OpenID Connect,MFA)

Separate dev and prod environments, implement least privilege

When sensitive data is stolen,including personally identifiable
information (Pll)and protected health information(PHI).

Often due to poor application or database security design or
configuration,whereby data is exposed without proper authorization.

Preventable by following secure development practices and
adhering to recommendations in the secure data lifecycle

When sensitive data is unknowingly exposed to the public

Often through a system or service misconfiguration or oversharing.

Disgruntled employees can wreak havoc on a system.

Internal acts of disruption include theft and sabotage.

When attacks are designed to steal or
wedge themselves into the middle of a
conversation in order to gain control.

Consumers sometimes misuse their cloud services for
illegal or immoral activities.

Process/effort to collect and analyze information
before making a decision or conducting a transaction.

Failure to perform due diligence can result in a
due care violation.

The underlying infrastructure of the public cloud was not originally
designed for the types of multitenancy in the public cloud

Modern virtualization software bridges most of the gaps

• Cloud infrastructure can still be vulnerable to insider threats
• Unintentional misconfigurations are also a concern
• To a lesser degree,disruptive attacks of scale (DoS,DDos) and "noisy neighbors"

ensures that systems are configured similarly,configurations are known and documented.

Baselining ensures that systems are deployed with a common baseline
or starting point,and imaging is a common baselining method.

helps reduce outages or weakened security from unauthorized changes to the baseline configuration.

Versioning uses a labeling or numbering system to track changes in
updated versions of baseline (image,application,system,etc).

The process of identifying, acquiring, installing, and verifying patches for products and systems.

It is a function included in change management.

Patches correct security and functionality problems in software and firmware.

An applicability assessment is performed to determine
whether a particular patch or update applies to a system.

Can be created by users
a user creates a file

Can be created by systems
a system logs access

To ensure it's handled properly, it's important to ensure data is classified as soon as possible.

Ideally,data is encrypted at rest

Data should be protected by adequate security controls based on its classification.

refers to anytime data is in use or in transit over a network

archival is sometimes needed to comply with laws or regulations requiring the retention of data.

When data is no longer needed, it should be destroyed in such a way that it is not readable nor recoverable

Storage Service Encryption

Full Disk Encryption

Transparent data encryption (TDE)

Data Owner

Data custodian

Data Processor

Data Controller

Data Subject

Data Steward

the overall organizational plan for "how-to" continue business.

the plan for recovering from a disaster impacting IT
and returning the IT infrastructure to operation.

BCP focuses on the whole business
DRP focuses more on the technical aspects of recovery

BCP will cover communications and process more broadly
BCP is an umbrella policy and DRP is part of it

Region Pairs addresses site-level failure
Region pairs are 300+miles apart,selected by CSP

Availability Zones address datacenter failures within a cloud region
A CSP region (e.q.East Us)includes multiple datacenters

Availability sets address rack-level failures within a regional datacenter
Consists of two or morc 'fault domains' for power,network,etc.

A cost-benefit analysis lists the benefits of the decision alongside their corresponding costs.

CBA can be strictly quantitative: adding the financial benefits and subtracting the associated costs to
determine whether a decision will be profitable.

Functional security requirements

Non-functional security requirements

• VM attacks
• Virtual network
• Hypervisor attacks
• VM-based rootkits
• Virtual switch attacks
• Colocation
• DoS attack

• System and Resource Isolation
• User-Level Permissions
• Access Management
• Protection Against
• Malware,Backdoors, and Trojans

• Data Segregation
• Data Access and Policies
• Web Application Security

VM Escape

VM Sprawl

Rootkit (escalation of privilege)

Back Door

Denial of-Service

Distributed Denial of-Service

COUNTERMEASURES

TYPES OF DDOS ATTACKS

Cloud Service Providers

Industry Groups

Focus on architecture more than security

Cloud Service Providers

Industry Groups

• Automated software scanning
• Automated vulnerability scanning
• Web application firewall
• Software dependency management
• Access and activity logging
• Application performance management

• Developer application security training
• Documented policies and procedures
• Code review,approval gates

Provides guidelines for information security controls applicable to the
provision and use of cloud services

Provides cloud-based guidance on several ISO/IEC 27002 controls,along
with seven cloud controls that address:

a widely accepted set of policies and procedures intended to
optimize the security of credit,debit and cash card transactions

created jointly in 2004 by four major credit-card companies:Visa,
MasterCard,Discover and American Express

BASED ON 6 MAJOR OBJECTIVES

Enable an objective evaluation to validate that a particular
product or system satisfies a defined set of security requirements

Ensures customers that security products they purchase have
been thoroughly tested by independent third-party testers and meets customer requirements.

The certification of the product only certifies product capabilities.

Designed to provide assurances for security claims by vendors

If misconfigured or mismanaged,software is no more
secure than anything else the customer might use.

Established to aid in the protection of digitally stored unclassified,
yet sensitive,information

Developed by NIST,for use in computer systems by non-military
American government agencies and government contractors

FIPS Security Levels

Local -replicas within a single datacenter

Zone -replicas to multiple datacenters within a region

Global region level resiliency (replicas to backup region

Decreased development time and faster deployment of new
system features. and with reduced security risk!

Visibility into data movement,critical for regulatory compliance,
where data security is often mandated in law.

Some compliance frameworks require DFDs to capture specific
information,such as the geographic location of data flows or
ownership of systems where data is flowing.

• Raw Storage.Physical media,allows a VM access a storage LUN
• Volume storage.Attached as laaS Instance (EC)
• object storage.S3 storage bucket,Azure storage

• Structured.Relational databases (RDBMS)
• Unstructured.Big data

• Information Storage and Mgmt.Data entered via the web interface
• Content/File Storage.File-based content
• Ephemeral Storage.It used for any temporary data such as cache,buffers,session data,swap volume,etc.
• Content Delivery Network (CDN).Geo-distributed content for (better UX)

Unauthorized Access

Unauthorized Provisioning

Loss of Connectivity

Jurisdictional issues

Denial of service

Data corruption/destruction

Theft or media loss

Malware and ransomware

Improper disposal

Regulatory Compliance

Relies on the use of a single shared secret
key.Lacks support for scalability,easy key
distribution,and nonrepudiation

Public-private key pairs for communication
between parties.Supports scalability,easy
key distribution,and nonrepudiation

A model of how different certification authorities trust each other and how
their clients will trust certificates from other certification authorities.

The four main types of trust models that are used with public key
infrastructure(PKI)are bridge,hierarchical,hybrid,and mesh.

Addresses the possibility that a cryptographic key may be lost.

The concern is usually with symmetric keys or with the private key in
asymmetric cryptography.

If that occurs,then there is no way to get the key back,and the user
cannot decrypt messages.

Organizations establish key escrows to enable recovery of lost keys.

Generation

Distribution

Storage

Use

Revocation

Destruction

CSP-managed or self-managed

Key storage

Storage-level encryption

Volume-level encryption

Object-level encryption

File-level encryption

Application-level encryption

Database-level encryption

Encryption is a two-way function;what is encrypted can be decrypted with
the proper key.

1. They must allow input of any length.
2. Provide fixed-length output.
3. Make it relatively easy to compute the hash function for any input.
4. Provide one-way functionality.
5. Must be collision free.

when only partial data is left in a data field.
for example,a credit card may be shown as
************1234

Commonly implemented within the database tier,but
also possible in code of frontend applications

Anonymization.The process of removing all relevant data
so that it is impossible to identify original subject or person.

If done effectively,then GDPR is no longer relevant for the
anonymized data.

Good only if you don't need the data

Anonymization is sometimes called de-identification

de-identification procedure using
pseudonyms (aliases)to represent other data.

Can result in less stringent requirements than would
otherwise apply under the GDPR.

use if you need data and want to reduce exposure

are most often used for encryption operations and can be used to uniquely identify a user or system.

Keys should be stored in a tool that implements encryption and requires a strong passphrase or MFA to access.
In the cloud,a key vault

often a secondary authentication mechanism used to verify that a communication has not been hijacked or intercepted.

are used to verify the identity of a communication party and also be used for asymmetric encryption by providing a trusted public key.

often used to encrypt a shared session key or other symmetric key for secure transmission.

Authentication

Non-repudiation

Integrity

management of cryptographic keys in a cryptosystem.

Operational considerations include dealing with the generation,exchange,
storage,use,crypto-shredding (destruction)and replacement of keys.

Design considerations include cryptographic protocol design,key servers,
user procedures,and other relevant protocols.

Certification Authorities create digital certificates and own the policies

PKI hierarchy can include a single CA that serves as root and issuing,but
this is not recommended.

In a single-layer PKI hierarchy,if the server is breached no certificate,including the root,can be trusted 

User

Root

Domain validation

Extended validation

chain of trust

Regularly issue certificates,making it difficult for them to stay offline as often as root CAs.

Do have the ability to revoke certificates,making it easier to recover from any security breach that does happen

If the issuing CA is breached,its certificate can be revoked and a new one issued.

A single compromised CA does not result in compromise of the root.

Contains information about any certificates that have been revoked by a
subordinate CA due to compromises to the certificate or PKI hierarchy.

CAs are required to publish CRLs,but it's up to certificate consumers if they
check these lists and how they respond if a certificate has been revoked.

Revoking (invalidating) a certificate before expiration

Certificate is effectively cancelled,and certificate serial number added to the certificate revocation list(CRL).

BUT,parties checking the certificate to verify identity or authenticity must check with issuing authority on validity

Two potential options for tracking revocation:ask for the CRL or if available,OCSP endpoint/service.

If the other client/server does not check the CRL or OCSP for certificate validity,they may accept an invalid certificate as valid!

Offers a faster way to check a certificate's status compared to downloading a CRL.

With OCSP,the consumer of a certificate can submit a request to the OCSP endpoint to obtain the status of a specific certificate.

Records identifying information for a person or device that owns a private key as well as information on the corresponding public key.

It is the message that's sent to the CA in order to get a digital certificate created.

the Fully Qualified Domain Name (FQDN)of the entity (e.g.web server)

Metadata,or data that describes data,is a critical part of discovery in structured data.

Semantics,or the meaning of data,is described in the schema or data model and explains relationships expressed in data.

Pattern matching,which compares data to known formats like credit card numbers.
DLP tools often have pre-defined 'sensitive data types'

Lexical analysis attempts to find data meaning and context to discover sensitive info that may not conform to a specific pattern.

Hashing attempts to identify known data by calculating a hash of files and comparing it to a known set of sensitive file hashes.
Only good for data that does not change frequently!

A list of traits and characteristics about specific data elements or sets.

Often automatically created at the same time as the data

Based on examining labels created by the data owners during the Create phase.
or in bulk with a scanning tool

Can be used with databases (structured data)but is more commonly used with file data.

Personally Identifiable Information (PIl)

Protected Health Information (PHI)

Cardholder Data

Data classification

Data retention

Regulatory compliance

A process for categorization of data and defining the
appropriate controls.Categories include:

• Data type (format,structure)
• Jurisdiction and other legal constraints
• Ownership,Context
• Contractual or business constraints
• Trust levels and source of origin
• Value,sensitivity,and criticality
• Retention and preservation

access control/ability to enforce restrictions must follow the data. 

Protection must Follow the document or data wherever it travels

IRM solution must provide a way to update the restrictionseven after a document has been shared.

IRM tools can enforce time-limited access to data as a form of access control.

Ability to expire/revoke access,require user check-in

IRM solution must ensure that protected documents generate an audit trail when users interact with protected documents.

Required For accountability,non-repudiation

IRM solutions must offer support for users across these different system types.

Support for different Os,device types,and apps is important

1、Data is encrypted with a strong encryption engine.

2 The keys used to encrypt the data are then encrypted using a different encryption engine.

3 Then,keys from the second round of encryption are destroyed.

PRO: Data cannot be recovered from any remnants
CON: High CPU and performance overhead

• Data Encryption
• Data Monitoring
• eDiscovery and Retrieval
• Backup and DR Options
• Data Format
• Media Type

Encryption policy should consider which media is used,and data search and restoration needs,and regulatory obligations.

Access controls and encryption are important to protect data integrity (by preventing unauthorized access)

Data stored in the cloud tends to be replicated as part of storage resiliency or BC/DR.

To maintain data governance,it is required that all data access and movements be tracked and logged.

Monitoring to ensure all security controls are being applied properly throughout the data lifecycle.

Accountability,traceability,auditability should be maintained

Archive data may be subject to retrieval according to certain parameters such as dates,subjects,and authors.

The archiving platform should provide the ability to perform eDiscovery on the data to determine which data should be retrieved.

All requirements for data backup and restore should be specified and clearly documented

Business continuity and disaster recovery (BCDR)plans are updated and aligned with whatever procedures are implemented

Both resiliency to disaster (ensuring archive data availability) and knowledge/control of data replication arc important

This is an important consideration because it may be kept for an extended period.

Format needs to be secure,accessible,and affordable

Media type should support the other data archiving requirements,but physical media concerns fall to the CSP

• Log centralization and aggregation
• Data integrity
• Normalization
• Automated or continuous monitoring
• Alerting
• Investigative monitoring

Rather than leaving log data scattered around the environment on various hosts,the SIEM platform can gather logs from a variety of sources,including:

operating systems,applications,network appliances,user devices,providing a single location to support investigations.

The SIEM should be on a separate host with its own access control, preventing any single user from tampering.

SIEMs can normalize incoming data to ensure that the data from a variety of sources is presented consistently.

Sometimes referred to as correlation,SIEMs use algorithms to evaluate data and identify potential attacks or compromises.

SIEMs can automatically generate alerts such as emails or tickets when action is required based on analysis of incoming log data

When manual investigation is required,the SIEM should provide support capabilities such as querying log files,generating reports.

Tracks the movement of evidence through its collection,safeguarding,and analysis lifecycle

Functions and importance

Non-repudiation is the guarantee that no one can deny a transaction.

Methods to provide non-repudiation

• patch management
• vulnerability management
• change management
• configuration management

laas Event sources

Paas Event Sources

Saas Event Sources

Sufficient user ID attribution should be accessible,or it may be impossible to determine who performed a specific action at a specific time.
This is called identity attribution.

WHO

WHAT

WHERE

WHEN

For physical security,standard measures such as locks,security personnel,lights,fences,visitor check-in procedures.

Logical access controls Identity and access management (IAM),single sign-on (SSO)provider,multifactor authentication (MFA)and logging.

Controls for data confidentiality and integrity like any cloud customer, but with much broader controls.

Ensuring that communication lines are not physically compromised by locating telecommunications equipment
inside a controlled area of the CSP's building or campus.

Customer is responsible for configuring the VMs, virtual network,and guest Os security as if the
systems were on-premises

CSP responsible for physical host,physical storage,and physical network

CSP is responsiblefor the physical components, the internal network,and the tools provided.

Cheaper for customer,but less control

Thecustomer remains responsible for configuring access to the cloud service for their users,as well
as shared responsibility for data recovery

CSP owns physical infrastructure,as well as network and communication

a minimum resource that is guaranteed to a customer

maximum utilization of compute resource by a customer (e.g.VM)

limits are allowed to change dynamically based on current conditions and consumption

a weighting given to a particular VM used to calculate percentage-based access to pooled resources when there is contention.

In cases of shortage host scoring determines who gets capacity

• Flawed hypervisor can facilitate inter-VM attacks
• Network traffic between VMs is not necessarily visible
• Resource availability for VMs can be impacted
• VMs and their disk images are simply files,can be portable and movable

• Install all updates to the hypervisor as they are released by the vendor.
• Restrict administrative access to the management interfaces of the hypervisor.
• Capabilities to monitor the security of activity occurring between guest operating systems(VMs).

• Install all updates to the guest OS promptly.
• Back up the virtual drives used by the guest os on a regular basis

Customer responsibility,though CSP may provide tools

The virtual network between the hypervisor and the VM is also a potential attack surface.

Responsibility for security in this layer is often shared between the CSP and the customer.

These components include virtual network,virtual switches,virtual firewalls,virtual IP addresses,etc.

VM Escape

physical protection of data centers and the storage infrastructure they contain.

security patches and maintenance of underlying data storage technologies and other data services they provide

properly configuring and using the storage tools.

logical security and privacy of data they store in the CSP's environment.

assessing the adequacy of these controls and properly configuring and using the controls available.

ensuring adequate protection for the data at rest and in motion based on the capabilities offered by the CSP.

Configuring secure access,whether private or public.

In the cloud,the customer loses control of the physical medium where data is stored but retains responsibility for data security and privacy.

Inability to securely wipe physical storage and possibility of another tenant being allocated the same previously allocated storage space

Customer retains responsibility for secure deletion

Compensating controls for the lack of physical control
of the storage medium include:

Togcther,these permit crypto-shredding when data is no longer needed,rendering any recoverable fragments useless.

Control plane is what you are calling when you create top-level cloud resources
with ARM Bicep(Azure),CloudFormation (AWS)or Terraform (Infrastructure-as-Code)

Data plane performs operations on resources created through the control plane

Cloud Portal

Scheduling

Orchestration

Maintenance

• create tenant partitioning or isolation
• limit and secure remote access
• monitor the cloud infrastructure
• allow for the patching and updating of systems

Logical isolation in CSP multitenancy makes cloud computing more affordable but create some security and privacy concerns.

If isolation between tenants is breached,customer data is at risk

In the public cloud,tenant partitioning is largely logical.

Customers are sharing capacity across the CSP datacenter, including physical components.

CSP and tenant share responsibility for implementing and enforcing controls that address the unique multitenant risks of the public cloud.

A single point of access makes access control simpler and facilitates
monitoring,but any single point can become a failure point as well.

Hybrid identity (single login for on-premises and cloud)
can simplify identity and access management (IAM)

Local and Remote Access controls

One of the first considerations in datacenter design is location

• Availability of affordable,stable, resilient electricity
• Natural disaster exposure (flood, hurricane,tornado,etc.)
• Availability of high-speed, redundant Internet connectivity
• Availability of other utilities

• Physical site security (vehicular approaches,visibility)
• Location relative to existing customer datacenters (BCDR)
• Geographic location relative to customers

Building your own datacenter from scratch and buying an existing facility each have their advantages and disadvantages

Build

Buy

Know the challenges of physical security,which belong to the CSP

• A strong fence line of sufficient height and construction
• Lighting of facility perimeter and entrances
• Video monitoring and alerting
• Electronic monitoring for tampering

• Visitor access procedures with controlled entry points
• Interior access controls(badges,key codes,secured doors)
• Fire detection and prevention systems
• Protection of sensitive assets,systems,wiring closets,etc.

Uptime simply measures the amount of time a system is running

Availability encompasses availability of the infrastructure,applications,and services
Generally expressed as a number of 9's, such as five nines or 99.999%availability

The Uptime Institute publishes specifications for physical and environmental redundancy,
expressed as tiers,that organizations can implement to achieve high availability (HA).

TIER I:Basic Site Infrastructure

TIER II:Redundant Site Infrastructure

TIER IIl:Concurrently Maintainable Site
Infrastructure

TIER IV:Fault-Tolerant Site Infrastructure

An HVAC failure can reduce availability of computing resources,just like a power failure.

Customer reviews of the CSP should include the adequacy and redundancy of HVAC systems.

A number of documents can help assess HVAC concerns, such as a SOC-2 Type ll report.

Because of the confidential info in a SOC 2 Type ll,some CSPs will require a nondisclosure agreement (NDA) prior to sharing.

A routine review of the most current SOC 2 report is a critical part of a cloud customer's due diligence in CSP evaluation.

Connectivity to data center locations from more than one internet service provider (ISP) is multi-vendor pathway connectivity

Using multiple vendors is a proactive way for CSPs to mitigate the risk of losing network connectivity.

Best practice for CSPs or data centers is dual-entry,dual-provider for high availability:
Two providers,entering the building From separate locations

Cloud customers should consider multiple paths for communicating with their cloud vendor.

• HA firewalls,active-passive or active-active
• Multi-vendor pathway connectivity
• Web server farm (behind redundant load balancers)
• Database cluster (Windows Linux cluster feature)

Identifying risks is the first step in managing them and begins with identification of the organization's valuable assets

once assets are identified: Security practitioners and risk managers can then begin to
identify potential causes of disruption to the assets

RISK FRAMEWORKS

Analysis seeks to answer two questions:

Annualized Loss Expectaney（ALE)

Exposure factor (EF) - %

Analysis of a CSP or cloud solution and the associated risks involves many departments and focus areas:

• Business units
• Vendor management
• Privacy
• Information security

CSP operations should also be considered,but most major CSPs are audited for ISO/IEC 27001,27017,27018

ISO/IEC 27001

ISO/IEC 27017

ISO/IEC 27018

Authentication Risk

Data Security

Supply Chain Risk Management (SCRM)

One risk that has been discussed is the organization losing ownership and full control over system hardware assets.

Careful selection of CSPs and the development of SLAs and other contractual agreements are critical to limiting risk

Organizations can balance cost savings with risk by building a system on top of laaS or Paas,rather than utilizing a Saas solution.
laas means more control,more responsibilities,and risks

Geographic dispersion of the CSP data centers

Downtime

Compliance

General technology risk

RISK TYPES

data breaches

Misconfiguration and inadequate change control

Lack of cloud security,architecture,and strategy

Insufficient identity,credential access,and key management

Account hijacking

Insider threat

Insecure interfaces and APls

Weak control plane

Metastructure and applistructure failures

Limited cloud usage visibility

Abuse and nefarious use of cloud services

Security should be considered at every step starting with design!

Storage and database encryption at rest,TLS and VPN in-transit

Major CSPs provide the ability to manage and monitor confiquration security,and to monitor changes to cloud services,and track usage

• ability to restrict physical access at multiple points
• ensuring a clean and stable power supply
• adequate utilities like water and sewer
• the availability of an adequate workforce

Visibility,composition of the surrounding area,area accessibility,and the effects of natural disasters.

Customers should focus on selecting CSP datacenter locations to meet disaster recovery and data residency

Encrypt and protect data:

Protect systems and services:

• Automation of configuration
• Responsibilities for protecting cloud systems and services
• Monitoring and maintenance

Establish requirements for system protection,and define the purpose,scope,roles,and responsibilities needed to achieve it.

A basic security principle that ensures that no single person can control all the elements of a critical function or system.

Separating user and admin functions can also prevent users from altering processes or misconfiguring systems.

Separating security-specific functionsfrom other roles is another example of separation of duties.

A disruptive attack at scale that is more difficult for smaller organizations to combat effectively.

Most CSPs offer DoS/DDoS mitigation as a service,and there are also dedicated providers like Akamai and Cloudflare.

e.q Azure DDos,AWs Shield,Google Cloud Armor

Deals with both ingress and egress protections,including:

• Preventing malicious traffic from entering the network
• Preventing malicious traffic from leaving your network
• Protecting against data loss (exfiltration)
• Configuring rules/policies in routers,gateways,or firewalls

Cryptoaraphy provides a number of security functions including confidentiality,integrity,and nonrepudiation.

Eneryption tools like TLS or a VPN can be used to provide confidentiality.

Hashing can be implemented to detect unintentional data modifications.

Additional security measures like digital signatures or hash-based message authentication code(HMAC)can be used to detect intentional tampering.

HMAC can simultaneously verify both data integrity and message authenticity

Accountability is typically enforced with adequate logging and monitoring of system activity

Cloud challenges in enforcing accountability

• Something you know(pin or password)
• Something you have(trusted device)
• Something you are(biometric)

Multifactor Authentication

Authentication applications

Push notifications

Federation is a collection of domains that have established trust.

The level of trust may vary,but typically includes authentication and almost always includes authorization.

Often includes a number of organizations that have established trust for shared access to a set of resources.

Example
You can federate your on-premises environment with Azure Active Directory (Azure AD) and use this federation for authentication and authorization.

This sign-in method ensures that all user authentication occurs on-premises.

Allows administrators to implement more rigorous levels of access control

Cloud services will offer different controls over what information is logged..

but at a minimum level of security-relevant events, such as use of or changes to privileged accounts

A log aggregator can ingest logs from all on-premises and cloud resources for review.

Refers to the ability to discover relationships between two or more events across logs.

This capability is commonly associated with a SIEM, which correlates events in logs from many sources

Packet capture tools are also called protocol analyzers

The cloud environment may not provide any facility for capturing packets,particularly in Saas scenarios

Wireshark:a free,open-source protocol analyzer,with CLI and GUl versions,available for Windows and Linux.

Some CSPs support Wireshark,others have specialized services to perform packet capture on virtual networks.

Some CSP protocol analyzers can save the data that they collect to a Wireshark-compatible packet capture file (PCAP).

the plan to move from the disaster recovery site back to your business environment or back to normal operations.

a time determination for how long a piece of IT infrastructure will continue to work before it fails.

a time determination for how long it will take to get a piece of hardware/software repaired and back on-line.

The amount of time we can be without the asset that is unavailable BEFORE we must declare a disaster and initiate our disaster recovery plan.

The overall organizational plan for"how-to"continue business after an event has occurred.

A proactive risk mitigation strategy that contains likely scenarios that could affect the organization and guidance on how the organization should respond

Sometimes called a continuity of operations plan (COOP)

the plan for recovering from an IT disaster and having the IT infrastructure back in operation.

is the duration of time and a service level within which a business process must be restored after a disaster in order to avoid unacceptable consequences associated with a break in continuity.

is the age of data that must be recovered from backup storage for normal operations to resume if a system or network goes down

measures the compute resources needed to keep production environments running during a disaster.

is a percentage measure (0-100%)of how much computing power you will need during a disaster

based upon a percentage of computing used by production environments versus others,such as development,test,and QA

EXAMPLE:
a 10-web server environment that uses 8 for dev,test, and QA,only 2 would need to be migrated for production.

Based on priorities from the business impact analysis(BIA)

Implement the plan to protect critical business functions

ldentifying key personnel is crucial implementation step

Testing ensures both the BCP/DRP function as expected

AND that people know their roles and responsibilities

Testing both BCP and DRP plans is essential

BCP/DRP should be revised as necessary based on test results

BCP/DRP plans evolve and need refinement over time

Members of the disaster recovery team gather in a large conference room and role-play a disaster scenario.

Usually,the exact scenario is known only to the test moderator who presents the details to the team at the meeting.

The team members refer to the document and discuss the appropriate responses to that particular type of disaster.

Role play only, minimal impact on productivity

In this test,some of the response measures are tested (on non-critical functions).

Involves actuallyshutting down operations at the primary site and shifting them to the recovery site.

When the entire organization takes part in an unscheduled, unannounced practice scenario,of full BC/DR activities.

Declares security should be present throughout every step of the process.

Various models exist to help,like the Building Security In Maturity Model (BSIMM).

Pairs well with DevSecOps

The idea is that security is the responsibility of everyone from the most junior member of the team to senior management.

Describes the primary principle of DevSecOps

Risk mitigation through security controls should be a key business objective,similar to customer satisfaction or revenue.

Requires org-wide security awareness and commitment

Cloud software development often relies on loosely coupled services.

Makes designing for and meeting performance goals more complex, as multiple components may interact in unexpected ways

Verify through end-to-end load and stress testing

One of the key features of the cloud is the ability to scale allowing applications and services to grow and shrink as demand fluctuates.

Requires developers to think about how to retain state across instances and handle faults with individual servers

Scale out is better than scale up in the cloud

is theability to work across platforms,services,or systemsand can be very important,especially multi-vendor and multi-cloud scenarios.

Interoperability across platforms increases service provider choice and can reduce costs

Designing software that can move between on premises and cloud environments or between cloud providers makes it portable

Portability in a hybrid scenario requires avoiding use of certain environment and provider-specific APIs and tools.

The additional effort can make it harder to leverage some cloud advantages,and may require compromises

Application programming interfaces (APIs),are relied on throughout cloud application design,development,and operation.

Designing APIs to work well with cloud architectures while remaining secure are both common challenges for developers and architects.

API security considerations

Common cloud vulnerabilities to avoid with SSDLC include

• Data breaches
• Data integrity
• Insecure application programming interfaces (APIs)
• Denial-of-Service

There are several that provide information on security threats,

• Cloud Security Alliance(CSA)
• SANS Institute
• Open Web Application Security Project (OWASP)

Considers potential development work,focusing on determining need,feasibility,and cost.

Once an effort has been deemed feasible,user and business functionality requirements are captured.

Involves user,customer and stakeholder input to determine desired functionality,current system or app
functionality,and desired improvements.

Design functionality,architecture,integration points and techniques,data flows,and business processes.

Solution is designed based on requirements gathered

Wherc the actual coding (work)happens

设计
design

编码
code

测试
test

维护
maintain

Aglie

Waterfall

WATERFALL MODEL

AGILE MODEL

Secrets management,data masking

CI/CD,infrastructure-as-code,release management

Developers can leverage identity-as-a-service (IDaas)rather than building their own for stronger authentication & authorization controls

Using existing identity providers /IDaas for your app reduces risk

Separation of duties,checks and balances in the release management process,such as approval gates

Implement access controls,such as RBAC and access keys

Continuous Integration Continuous Deployment (CI/CD)

Focused on Assets.Uses asset valuation results to identify threats to the valuable assets.

Focused on Attackers.Identify potential attackers and identify threats based on the attacker's goals

Focused on Software Considers potential threats against the software the org develops.

• Spoofing
• Tampering
• Repudiation
• Information disclosure
• Denial of service
• Elevation of privilege

• Damage potential
• Reproducibility
• Exploitability
• Affected users
• Discoverability

Architecture
analysis of the system's architecture
Threats
list all possible threats,threat actors,
and their goals
Attack Surfaces
identify components exposed to attack
Mitigations
analyze existing mitigations in place

• Stage l:Definition of Objectives
• Stage Il:Definition of Technical Scope
• Stage Ill:App Decomposition Analysis
• Stage IV:Threat Analysis
• Stage V:Weakness Vulnerability Analysis
• Stage VI:Attack Modeling Simulation
• Stage VIl:Risk Analysis Management

Training for developers is critical,because they make decisions about how to design and implement system components.

Awareness of common flaws like injection attacks prevent coding mistakes

Secure SDLC should be well documented and communicated to all team members designing,developing,and operating systems.

Similar to security policies,must be understood and followed by developers

Focusing on meeting acceptance criteria can be one way of simplifying the task of ensuring that security requirements are met

Having well-defined test cases for security requirements can help avoid vulnerabilities such as OWASP Top 10 application security risks.

The oWASP Top 10 is an awareness document that represents a broad consensus about the most critical security risks to web applications.

1. Broken Access Control
2. Cryptographic Failures
3. Injection
4. Insecure Design
5. Security Misconfiguration
6. Vulnerable and Outdated Components
7. Identification and Authentication Failures
8. Software and Data Integrity Failures
9. Security Logging and Monitoring Failures
10. Server-Side Request Forgery

CLOUD-NATIVE APPLICATION SECURITY TOP 10

1. Insecure cloud,container or orchestration configuration
2. Injection flaws(app layer, cloud events,cloud services)
3. Improper authentication authorization
4. CI/CD pipeline software supply chain flaws
5. Insecure secrets storage
6. Over-permissive or insecure network policies
7. Using components with known vulnerabilities
8. Improper assets management
9. Inadequate 'compute'resource quota limits
10. Ineffective logging monitoring (e.g.runtime activity)

1. Out-of-bounds Write buffer overflow
2. Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting)
3. Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
4. Improper Input Validation Prevents injection
5. Out-of-bounds Read buffer overflow
6. Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
7. Use After Free buffer overflow
8. Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
9. Cross-Site Request Forgery(CSRF)
10. Unrestricted Upload of File with Dangerous Type
11. NULL Pointer Dereference
12. Deserialization of Untrusted Data Input validation Fixes 11,12,13
13. Integer Overflow or Wraparound
14. Improper Authentication
15. Use of Hard-coded Credentials
16. Missing Authorization
17. Improper Neutralization of Special Elements used in a Command ('Command Injection)
18. Missing Authentication for Critical Function
    
19. Improper Restriction of Operations within the Bounds of a Memory Buffer buffer overflow
20. Incorrect Default Permissions
21. Server-Side Request Forgery (SSRF) On OWASP List
22. Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition)
23. Uncontrolled Resource Consumption Dos
24. Improper Restriction of XML External Entity Reference
25. Improper Control of Generation of Code ('Code Injection)

1. Injection attacks
2. Buffer overflow attacks
3. Directory path traversal
4. Denial of Service (Dos)/Distributed DoS (DDoS)
5. Race condition
6. Authentication (AuthN)and Authorization (AuthZ)

INJECTIONS (INJECTION ATTACKS]
Improper input handling

BUFFER OVERFLOWS

DIRECTORY TRAVERSAL

RESOURCE CONSUMPTION

RACE CONDITIONS

First published "Fundamental Practices for Secure Software Development"

Informed by existing models,including OWASP,CVE,CWE and the Microsoft SDL

Designed to help software industry adopt and use these best practices effectively

Includes guidance on software design,secure coding practices,testing,validation,third-party risks,and handling vulnerabilities

This is where source code and related artifacts (such as libraries)are stored

Do not commit sensitive information

Protect access to your code repositories

Sign your work

Keep your development tools (IDE)up-to-date

ensures that systems are configured similarly, configurations are known and documented.

Baselining ensures that systems are deployed with a common baseline or starting point,and imaging is a common baselining method.

helps reduce outages or weakened security from unauthorized changes.

Versioning uses a labeling or numbering system to track changes in updated versions of software.

Approaches vary,but often include a major version,minor version,and patch version strategy (23.05.02)

Baselining is an important component of configuration management.

a baseline is a snapshot of a system or application at a given point in time

should also create artifacts that may be used to help understand system configuration

system and component-level versioning

An emerging strategy and standard in tracking software versions is software bill of materials (SBOM)

The SBOM lists all of the components in an application or service,including open source or proprietary code libraries.

Where the application is initially coded,often through multiple iterations (versions).

where developers integrate all of their work into a single application.

Regression testing to ensure functionality is as expected.

where we ensure quality assurance before we roll it out to production.

QA happens here

where the application goes live,and end-users have the support of the IT team.

determines if software meets functionality requirements defined earlier in the SSDLC

takes multiple forms,including:

Focuses on specific features and functionality

focuses on the quality of the software

looks at software qualities like stability and performance

methods include load,stress, recovery,and volume tests

Examines the way the system operates as a whole,not the specific functions

Define a system or its component and specifies what it must do.

Captured in use cases,defined at a component level.

EXAMPLE:application forms must protect against injection attacks

Specify the system's quality,characteristics,or attributes.

Apply to the whole system (system level)

EXAMPLE:security certifications arc non-functional.

conducted as an external attacker would access the code,systems,or environment,

tester has no knowledge of any of these elements at the outset of a test.

'zero knowledge testing

conducted with full access to and knowledge of systems,code,and environment

Static application testing is one example

"Full knowledge testing

StaticApplication Security Testing

analysis of computer software performed without actually executing programs

tester has access to the underlying framework,design,and implementation

tests "inside out"  requires source code

a program which communicates with a web application (executes the application)

tester has no knowledge of the technologies or frameworks that the application is built on

tests "outside in"  no source code required

is used to track the components of a software package or application

is of special concern for apps built with open-source software components

because open-source components often involve reusable code libraries

Automated,combines application security and patch management

SCA tools identify flaws/vulnerabilities in these included components,ensures latest versions are in use,etc.

analyzes code for vulnerabilities while it's being used

focuses on real time reporting to optimize testing and analysis process

Often built into CI/CD automated release testing

Unlike static and dynamic testing,IAST analyzes the internal functions of the application while it is running

Focuses on using features in ways that weren't intended by the developer.

May exploit weaknesses or coding flaws from perspective of multiple personas:malicious user,abusive user,and unknowing user

Can help orgs to consider security features and controls needed for an application

Testing generally focuses on documented abuse cases

Traditional vendor evaluation options may include

• On-Site Assessment.Visit organization,interview personnel,and observe their operating habits.
• Document Exchange and Review.Investigate dataset and doc exchange,review processes.
• Process/Policy Review.Request copies of their security policies,processes,or procedures.
• Third-party Audit.Having an independent auditor providean unbiased review of an entity's security infrastructure.

Companies with hundreds or thousands of customers (like AWS,Azure,GCP) cannot support direct vendor assessment.

Instead,review audit and certification reports from the CSP

Third-party Audit.Review an independent auditor's unbiased review of an entity's security infrastructure.

Review SOC-2 Type ll report,and ISO/IEC 27001,27017,27018 reports to verify efficacy of the CSPs physical and logical
controls for securing facilities,infrastructure,and data.

• Where in the cloud is the software running?Is this on a well-known CSP,or does the provider use their own cloud service?
• Is the data encrypted at rest and in transit,and what encryption technology is used?
• How is access management handled?
• What event logging can you receive?
• What auditing options exist?

One in which the vendor makes the license freely available and allows access to the source code though it might ask for an optional donation.

There is no vendor support with open source,so you might pay a third party to support in a production environment.

Are more expensive but tend to provide more/better protectionand more functionality and support (at a cost).

Many vendors in this space,including Cisco,Checkpoint,Pal Alto, Barracuda.  but 'no source code access'

• Sandbox testing
• Vulnerability scans
• Third-party verifications

protects web applications by filtering and monitoring HTTP traffic between a web application and the Internet.

typically protects web applications from common attacks like XSS,CSRF,and SQL injection.

combines network data and database audit info in real time to analyze database activity for
unwanted,anomalous,or unexpected behavior.

monitors application activity,privileged access, and detects attacks through behavioral analysis

used to protect services that rely on XML based interfaces including some web apps

provides request validation and filtering,rate limiting,and traffic flow management

Usually implemented as a proxy

monitors traffic to your application services, exposed as API endpoints

provides authentication and key validation services that control APl access

One reason that we need a good firewall is to filter incoming traffic to protect our cloud-hosted infrastructure and applications from hackers or malware.

Cost

Need for Segmentation

Open Systems Interconnection (OSI)Layers

Storage Service Encryption

Full Disk Encryption

Transparent data encryption(TDE)

Data in motion is most often encrypted using TLS(HTTPS)

Hybrid (site-to-site)and cross-cloud connectivity is often encrypted by VPN

A lightweight,granular,and portable way to package applications for multiple platforms.

Reduces overhead of server virtualization by enabling containerized apps to run on a shared OS kernel.

Can be used in some cases to isolate existing applications developed to run in a VM with a dedicated operating system.

Core components in a container platform (Docker,Kubernetes):

The isolation is logical,isolating processes,compute,storage,network,secrets,and management plane

Kubernetes a container orchestration platform for scheduling and automating the deployment,management,and scaling of containerized applications.

Managed Kubernetes

cloud orchestration allows a customer to manage their cloud resources centrally in an efficient and cost-effective manner.

This is especially important in a multi-cloud environment.

Management of the complexity of corporate cloud needs will only increase as more computing workloads move to the cloud.

Allows the automation of workflows,management of accounts in addition to the deployment of cloud and containerized applications.

Implements automation in a way that manages cost and enforces corporate policy in and across clouds.

Major CSPs offer orchestration tools that work on their platform and third partics offer multi-cloud orchestration solutions

You can federate your on-premises environment with Azure AD and use this federation for authentication and authorization.

This sign-in method ensures that all user authentication occurs on-premises.

Allows administrators to implement more rigorous levels of access control.

• Phishing
• Spear phishing
• Keyloggers
• Credential stuffing
• Brute force and reverse brute force attacks
• Man-in-the-middle (MITM)attacks

a physical computing device that safeguards and manages digital keys,performs encryption and
decryption functions for digital signatures,strong authentication and other cryptographic functions.

Key Escrow uses an HSM to store and manage private Keys

Cloud Service Providers all offer a cloud-based HSM solution for customer-managed key scenarios

EXAMPLES: Dedicated HSM (Azure), CloudHSM (AWs),Google KMS (GCP)

A chip that resides on the motherboard of the device.

Multi-purpose,like storage and management of keys used for full disk encryption (FDE) solutions.

Provides the operating system with access to keys, but prevents drive removal and data access

Virtual TPMs are part of the hypervisor and Provided to VMs running on a virtualization platform.

Unlike an HSM,it is generally a physical component of the system hardware and cannot be added or removed at a later date

When certificates are used in FDE,they use a hardware root of trust for key storage.

It verifies that the keys match before the secure boot process takes place

TPM is often used as the basis for a hardware root of trust

A virtual network that consists of cloud resources,where the VMs for one company are isolated from the resources of another company.

Separate VPCs can be isolated using public and private networks.

The environment needs to be segmented public subnets that can access the Internet directly (through a firewall)and protected private networks.

Virtual networks can be connected to other networks with a VPN gateway or network peering.

For VDI/client scenarios,a NAT gateway for Internet access makes sense.

Configuration:Ensure that the hypervisor has been configured correctly to provide the minimum necessary functionality
Disallowing inter-VM network communications if not required and encrypting VM snapshots

Patching:The customer should patch VMs(laas)while CSP patches the hypervisor.
In Paas,the CSP owns VM Patching

Virtual Private cloud (VPC):gives the customer a greater level of control,including managing private non-routable IP
addresses and control over inter-VM communication.

Enables granular network segmentation in a ZTNA（Zero-Trust Network Access，零信任网络接入）

Security Groups:a security group is similar to an access control list (ACL)for network access.

They have distinctrules for inbound and outbound traffic.

远程桌面协议 (RDP)
Remote Desktop Protocol (RDP）

安全外壳 (SSH)
Secure Shell (SSH)

RDP and SSH both support encryption and MFA

安全终端访问
secure terminal access

基于控制台的访问机制
console-based access mechanisms

A KVM (keyboard video mouse)system with access controls

跳板机
jumpboxes

虚拟客户端
virtual client

Access to any of these can be gated with a privileged access management PAM)solution on the IAM platform used by the CSP

Extends a private network across a public network,enabling users and devices to send and receive data across shared or public networks as if
their computing devices were directly connected to the private network.

Split tunnel vs full tunnel

Remote access vs site-to-site

Session Encryption:Data transmitted in remote access sessions must be encrypted using strong protocols such as TLS 1.3 and session keys.

Strong Authentication:May be combined with cryptographic controls such as a shared secret key for SSH and/or MFA
Strong MFA factors,device state,and other conditions of access

Enhanced logging and reviews:All admin accounts should be subject to additional logging and reviewof activity,and frequent access reviews.
Privileged access solutions in IDaas often include access reviews

Use of identity and access management tool:Many CSPs offer Identity-as-a-Service (IDaas)that enables strong authentication and access controls schemes

Single sign-On (sso):IDaas solutions enable users to log into other services using their company accounts.Many IDaaS solutions function as an SSO provider.

Separate privileged and nonprivileged accounts:A general best practice for administrative users is the use of a dedicated admin account for 
sensitive functions and a standard account for day-to-day use.

Increasingly,IDaas solutions offer a Privileged Identity Management (PIM) or Privileged Access Management(PAM)for just-in-time privilege 
elevation.

no entity is trusted by default!

Addresses the limitations of the legacy network perimeter-based security model.

Treats user identity as the control plane

Assumes compromise/breach in verifying every request.

• Network Security Group (NSG)
• Network Firewalls
• Inbound and outbound traffic filtering
• Inbound and outbound traffic inspection
• Centralized security policy management and enforcement

Network security groups provide an additional layer of security for cloud resources

Act as a virtual firewall for virtual networks and resource instances.(e.g.VMs,databases,subnets)

Carries a list of security rules (IP and port ranges) that allow or deny network traffic to resource instances.

Provides a virtual firewall for a collection of cloud resources with the same security posture.

Restricting services that are permitted to access or be accessible from other zones using rules to control inbound/outbound traffic.

Rules are enforced by the IP address ranges of each subnet.

Within a virtual network,segmentation can be used to achieve isolation.Port Filtering through a network security group

Our VPC contains private subnets.Each of these subnets has its own CIDR IP address range and cannot connect directly to the internet.

They could be configured go through the NAT gateway if outbound internet connectivity is desired.

Client VMs and database servers will often be hosted in a private subnet.

East-West Traffic

VLAN
Virtual Local Area Network

Screened Subnet
aka 'DMZ"

Many public clouds offer a virtual private cloud (VPC) which is essentially a sandboxed area within the larger public cloud dedicated to a specific customer.

VPCs take the form of a dedicated VLAN for a specific user organization,which means other cloud tenants are blocked from accessing resources
 in the VPC.

To create a secure connection to your VPC,you can connect a VPN using L2TP/IPsec using a VPN gateway (aka transit gateway).

Network peering is another method for connecting virtual networks in the cloud.

Peering is the more common option between cloud networks
Site-to-site VPN common for on-premises to cloud connectivity

Data in motion is most often encrypted using TLS or HTTPS
This is typically how a session is encrypted before a user enters the credit card details.

TLs uscs an x509 certificate with a public/private key pair

The IP address associated with a system event can be used when identifying a user or system

With proper DHCP logs,a SIEM can leverage this data to track an IP address to a specific endpoint

Some hypervisors offer a feature to limit which network cards are eligible to perform DHCP offer
This prevents roque DHCP servers from issuing IPs to clients and servers

A set of specifications primarily aimed at reinforcing the integrity of DNS

Achieves this by providing for cryptographic authentication of DNS data using digital signatures

Provides proof of origin and makes cache poisoning and spoofing attacks more difficult

Non-repudiation is the guarantee that no one can deny a transaction.

Digital Signatures prove that a digital message or document was not modified-intentionally or unintentionally-from the time it was signed.
based on asymmetric cryptography (a public/private key pair) the digital equivalent of a handwritten signature or stamped seal.

message authentication code(MAC).the two parties that are communicating can verify non-repudiation using a session key
Electronic financial transfers (EFTs)Frequently use MACs to preserve data integrity.

Hash-based message authentication code (HMAC)is a special type of MAC with a cryptographic hash function AND a secret cryptographic key
HTTPS,SFTP,FTPS,and other transfer protocols use HMAC

Cryptographic Key Establishment and Management

• Stateless and stateful
• Application,host,and virtual
• Web application (WAF)
• Next generation(NGFW)

• Host-based (HIDS and HIPS）
• Network (NIDS and NIPS)
• Hardware vs Software

A host used to allow administrators to access a private network from a lower security zone

Will have a network interface in both the lower and higher security zones

Will be secured at the same level as the higher security zone it's connected to.

A dedicated host for secure admin access

'Jumpbox'or jump server'two common names for bastion hosts

Hardening is the configuration of a machine into a secure state through application of a configuration baseline.

Baselines can be applied to a single VM image,or to a VM template created that is then used to deploy all VMs.

A hardened VM image may be customer-defined,CPS-defined,or from a third party,often available through a cloud marketplace.

The Center for Internet Security (CIS)offers hardened VM images in CSP marketplaces

control

Benchmark

Baseline

control ls expressed as Benchmark and implemented through a Baseline

Benchmarks describe configuration baselines and best practices for securely configuring a system.

Platform-/Vendor-Specific Guides:released with new products so that they can be set up as securely as possible, making them less vulnerable 
to attack.

Web Servers:the two main web servers used by commercial companies are Microsoft's Internet Information Server(IIS),and the Linux-based 
Apache. Because they are public-facing,they are prime targets for hackers.To help reduce the risk,both Microsoft and Apache provide security guides to help security teams reduce the attack surface,making them more secure.

These guides advise updates being in place,unneeded services are disabled,and the operating system is hardened to minimize risk of security breach.

Operating Systems:Most vendors,such as Microsoft,have guides that detail the best practices for installing their operating systems.

Platforms like Microsoft Azure and Amazon Web Services (AWS)have their own tools,such as Azure Resource Manager(ARM)and AWS Cloud Formation.

These tools make managing Microsoft and AWS cloud resources easier, supporting Infrastructure-as-Code.

Separate tools,for separate platforms,platform-specific

Third-party tools adds more flexibility,functionality,and multi-platform support.

子主题

For example,some organizations move to Terraform for infrastructure-as-Code because it supports the major CSPs using a single language.

Declarative

ldempotent

Often part of hypervisor or load balancer software, is responsible for mediating access to shared resources in a cluster.

Reservations are guarantees for a certain minimum level of resources available to a specified virtual machine.

A limit is a maximum allocation.

A share is a weighting given to a particular VM

Share value is used to calculate percentage-based access pooled resources when there is contention.

Distributed Resource Scheduling (DRS) is the coordination element in a cluster of VMware ESXi hosts

DRS mediates access to the physical resources.

Dynamic Optimization is Microsoft's DRS equivalent delivered through their cluster management software.

Storage clusters pool storage,providing reliability,increased performance,or possibly additional capacity.

Once a VM is created in laas,the CSP no longer has direct control over the OS.

Customer can use baselines,backups,and cloud storage features to provide resiliency of the guest OS.

e.g.vendor supplied OS baseline templates,cloud storage redundancy(zone or geo-redundancy)Features

In virtualized cloud infrastructure,this might involve the use of snapshots.

Resiliency is achieved by architecting systems to handle failures from the outset rather than needing to be recovered.

For example,virtualization host clusters with live migration provide resiliency

Saas.CSP retains full control over backup and restore and will often have SLA restore commitments.

Customer typically has shared responsibility for their data

Paas.Shared responsibility:CSP owns infrastructure backups,consumer owns backups of their data.

laas.Consumer owns backup/recovery of VMs.

Consumer backups may include full backups,snapshots,or definition files used for infrastructure as code deployments

Sensitive data may be stored in backups.

Access controls and need-to-know principles to limit exposure

Physical separation:backups should be stored on different hardware or availability zones.

Zone redundant or geo-redundant cloud storage

Integrity of all backups should be verified routinely to ensure that they are usable.

Orchestration is the automated configuration and management of resources in bulk

Patch management and VM reboots are commonly orchestrated tasks

Change Management policy that details how changes will be processed in an organization

Change Control process of evaluating a change request to decide if it should be implemented

In an environment that leverages Cl/CD and infrastructure-as-code,change reviews may be partially automated when new code is ready for 
deployment.

This reduces operational overhead and human error,reduces security risk,and enables more frequent releases while maintaining a strong 
security posture.

NIST Risk Management Framework and ISO 27000

Health Insurance Portability and Accountability Act (HIPAA)

ISO 22301:2019 Security and resilience-BC management systems

ISO/IEC 27001

ISO/IEC 27017    D1.5

ISO/IEC27018    D6.2

ISO/IEC 27701

NIST RMF & CSF

NIST SP 800-53

AICPA SOC 2

Preparation

Identification

Containment

Eradication

Recovery

Lessons Learned

Guide for collecting,identifying,and preserving electronic evidence

Guide for incident investigation

Guide for digital evidence analysis.

Guide for incident investigation principles and processes

A four-part standard within the ISO/IEC 27000 family of information security standards

Offers a framework,governance,and best practices for forensics,eDiscovery,and evidence management

Free guidance in Domain 3:Legal Issues:Contracts and Electronic Discovery

Offers guidance on legal concerns related to security, privacy,and contractual obligations

Logs are essential

Document everything

Consider volatility

Utilize original physical media

Verify data integrity

Follow documented procedures

Establish and maintain communications

protecting any documents that can be used in evidence from being altered or destroyed.

sometimes called litigation hold

tracks the movement of evidence through its collection,safeguarding,and analysis lifecycle

documents each person who handled the evidence,the date/time it was collected or transferred,and the purpose for the transfer.

Confirms appropriate collection,storage,and handling

describes what is relevant when collecting data

in a multitenant cloud environment, this may be particularly important

collection from shared resources may expose other customers data

Scope of data collection is more challenging in the cloud

Do you know where the data is hosted?And laws of countries it's hosted in?

Many cloud services store copies of data in multiple locations

What rights for forensic data collection are listed in your CSP contract?
If it requires CSP cooperation,what is their response SLA?

Are your forensic tools suitable for a multi-tenant environment?
What is your organizations liability if you unintentionally capture another customer's data on a shared resource?

e.g remnants of a previous customer's data on physical storage

Cloud data should be stored and have data sovereignty in region stored.

Many countrics have laws requiring businesses to store data within their borders.

Forensic investigators should know their legal rights in every jurisdiction (region or country)where the organization hosts data in the cloud.

Some countries will not allow eDiscovery From outside their borders

In traditional forensic procedures,it is "easy"to maintain an accurate history of time,location,and handling.

In the cloud,physical location is somewhat obscure.However,investigators can acquire a VM image from any workstation connected to the internet.

Time stamps and offsets can be more challenging due to location.

Maintaining a proper chain of custody is more challenging in the cloud

Varies by country and regulations.For example,GDPR requires notificationWithin 72 hours.
Applies to all with EU customers,even if it's a 3rd party breach!

The information should be genuine and clearly correlated to the incident or crime.

The truthfulness and integrity of the evidence should not be questionable.

All evidence should be presented in its entirety even if it might negatively impact the case being made.

The evidence should be understandable and clearly support an assertion being made.

e.g,chain of events presented from audit logs should be clear

Evidence must meet the rules of the body judging it,such as a court.

Hearsay (indirect knowledge of an action)or evidence that has been tampered with may be thrown out by a court

You must begin to collect evidence and as much information about the incident as possible.

Evidence can be used in a subsequent legal action or in finding attacker identity.

Evidence can also assist you in determining the extent of damage.

Control

Multitenancy and shared resources

Data volatility and dispersion

If it disappears in system reboot,power loss,passage of time,it is volatile

Volatility,in approximate order:

FOR THE EXAM:Remember that volatile (perishable) information should be collected first.

four general phases：

Collect originals,work from copies!

Protections for evidence storage include:

Areas and considerations in evidence acquisition

Disk aka hard drive.Was the storage media itself damaged?

Random-access memory (RAM).Volatile memory used to run applications.

Swap/Pagefile.used for running applications when RAM is exhausted.

OS (operating system).Was there corruption of data associated with the OS or the applications?

Device.When the police are taking evidence from laptops,desktops,and mobile devices,they take a complete system image.

The original image is kept intact,installed on another computer, hashed,then analyzed to find evidence of any criminal activity.

Firmware.embedded code,could be reversed engineered by an attacker,so original source code must be compared to code in use.

a coding expert to compare both lots of source code in a technique called regression testing. rootkits and backdoors are concerns

Snapshot.if the evidence is from a virtual machine,a snapshot of the virtual machine can be exported for investigation.

Cache. special high-speed storage that can be either a reserved section of main memory or an independent high-speed storage device.

memory cache AND disk cache,both are volatile

Network.OS includes command-line tools (like netstat)that provide information that could disappear if you reboot the computer.

Like RAM,connections are volatile and lost on reboot

Artifacts.any piece of evidence,including log files,registry hives,DNA, fingerprints,or fibers of clothing normally invisible to the naked eye.

Hashes

Provenance

Data needs to be preserved in its original state so that it can be produced as evidence in court.

original data must remain unaltered and pristine

"forensic copy"of evidence

• Threat Prevention
• Threat Detection
• Incident Management
• Continuous Monitoring Reporting
• Alert Prioritization
• Compliance Management

a form of auditing that focuses on active review of the log file data.

used to hold subjects accountable for their actions also used to monitor system performance.

tools such as IDSs or SIEMs automate monitoring and provide real-time analysis of events.

Monitoring security controls used to be an activity closely related to formal audits that occur relatively infrequently,often annually or less.

A newer concept is known as continuous monitoring,is described in the NIST SP 800-37:Risk Management Framework (RMF)

The RMF specifies the creation of a continuous monitoring strategy for getting near real-time risk information.

Network firewalls,web app firewalls (WAF),and IDS/IPS provide a critical source of information for NOC or SOC teams.

These devices should be continuously monitored to ensure they are Functional

Monitoring for functionality should include monitoring log generation,centralized log aggregation,and analysis.

Hardware

Software

Application

Host-based

Virtual

FIREWALL AND STATE

MODERN FIREWALLS

generally responds passively by logging and sending notifications

is placed in line with the traffic and includes the ability to block malicious traffic before it reaches the target

HIPS

NIPS

a system that often has pseudo flaws and fake data to lure intruders

long as attackers are in the honeypot, they are not in the live network.

A group of honeypots is called a honeynet

Lure bad people into doing bad things.Lets you watch them.

Only ENTICE,not ENTRAP. You are not allowed to let them download items with "Enticement".

For example,allowing download of a fake payroll file would be entrapment.

Goal is to distract from real assets and isolate in a padded cell until you can track them down.

Monitoring tools,like a SIEM,use Al and ML to automate investigation and response

Artificial Intelligence

Machine Learning

Deep Learning

User Entity Behavior Analysis (UEBA)

Sentiment Analysis

Integrates your security processes and tooling in a central location (SOC).

Response automation,using machine learning and artificial intelligence

These make it faster than humans in identifying and responding to true incidents.

Reduces MTTD and accelerates response

Uses playbooks that define an incident and the action taken.Capabilities vary by situation & vendor

Over time,should produce faster alerting and response for the SOC team.

SIEM

SOAR

Logs are worthless if you do nothing with the log data.They are made valuable only by review.

That is,they are valuable only if the organization makes use of them to identify activity that is unauthorized or compromising.

SIEM(Security Information Event Monitoring)tools can help to solve some of these problems by offering these key features:

Log centralization and aggregation

Data integrity

Normalization

Automated or continuous monitoring

Alerting

Investigative monitoring

Log Collectors

Log Aggregation

Packet Capture

Data Inputs

common log files include security logs,system logs,application logs,firewall logs,proxy logs.

should be protected by centrally storing them and using permissions to restrict access.

archived logs should be set to read-only to prevent modifications.

Log files play a core role in providing evidence for investigations.You'll want to be familiar with the many different types of log files a 
typical SIEM might ingest.

Network:This log file can identify the IP and MAC addresses of devices that are attached to your network.Usually sent to a central syslog server

NIDS/NIPS can be important in identifying threats and anomalies from these.

log files from a proxy server can reveal who's visiting malicious sites

The collective insight may be useful in stopping DDos attack

Web:web servers log many types of information about the web requests,so evidence of potential threats and attacks will be visible here.

information collected about each web session:IP address request,Date and time,HTTP method,such as GET/POST,Browser used,and HTTP Status code.

400 series HTTP response codes are client-side errors

500 series HTTP response codes are server-side errors

These logs must be fed to a SIEM IDS/IPS or other system to analysis this data

These files exist on client and server systems.Sending these to a SlEM can help establish a central audit trail and visibility into the scope 
of an attack.

System:contains information about hardware changes,updates to devices, and time synchronization,group policy application,etc.

Application:contains information about software applications,when launched,success or failure,and warnings about potential problems or errors.

Security:contains information about a successful login,as well as unauthorized attempts to access the system and resources.

can identify attackers trying to log in to your computer systems.

captures information on file access and can determine who has downloaded certain data.

DNS:contains virtually all DNS server-level activity,such as zone transfer,DNS server errors,DNS caching,and DNSSEC.

DNS query logging often disabled by default due to volume.

Authentication:information about login events,logging success or failure.
multiple sources authenticating log files in a domain environment,including RADIUS,Active Directory,and cloud providers Azure Active Directory.

Log files related to voice applications can be valuable in identifying anomalous activity,unauthorized users,and even potential attacks

VolP and Call Managers:These systems provide information on the calls being made and the devices that they originate from.

may also capture call quality by logging the Mean Optical Score (MOS),jitter, and loss of signal. Significant loss in quality may indicate attack

each call is logged (inbound and outbound calls),the person making the call,and the person receiving the call. Including long-distance calls

Session Initiation Protocol (SIP)Traffic:SIP is used for internet-based calls and the log files generally show:

the 100 events,known as the INVITE,the initiation of a connection,that relates to ringing.

the 200 OK is followed by an acknowledgement

Large number of calls not connecting may indicate attack

Event Reporting (Review Reports)

A SIEM typically includes dashboard and collects reports that can be reviewed regularly to ensure that the policies
have been enforced and that the environment is compliant

Also highlight whether the SIEM system is effective and working properly.Are incidents raised true positives?

False positives may arise because the wrong input filters are being used or the wrong hosts monitored.

SIEM dashboards will typically provide a views into status of log ingestion and security concerns identified through correlation.

The incident response lifecycle in the CBK is from NIST SP 800-61 rev2,the "Computer Security Incident Handling Guide"

Preparation

Detection
and analysis

Containment,
eradication,
recovery

Post-incident
activity

Use of vulnerability scanners and pen testers may be limited by your CSP's terms of service.

CSPs typically have penctration testing and scanning "rulcs of engagement"

Vulnerability Management

Vulnerability scanners

Vulnerability Assessments

A vulnerability scan assesses possible security vulnerabilities in computers,networks,and equipment that can be exploited.

Credentialed Scan:

Non-Credentialed Scan:

Non-Intrusive Scans:

Intrusive Scans:

Configuration Review:

The combination of techniques can reveal which vulnerabilities are most easily exploitable in a live environment.

Network Scans:

Application Scans:

Web Application Scans:

There are many sophisticated web application scanners available,due in part due to mass adoption of cloud computing.

CVSS

CVE

The CVSS score is not reported in the CVE listing you must use the National Vulnerability Database (NVD)to find assigned CVSS scores.

The CVE list Feeds into the NVD

The National Vulnerability Database (NVD)is a database, maintained by NIST,that is synchronized with the MITRE CVE list.

A vulnerability scanner can identify and report various vulnerabilities before they are exploited,such as:

will help companies avoid known attacks such as SQL injection,buffer overflows,denial of service,and other type of malicious attacks.

A credentialed vulnerability scan is the most effective as it provides more information than any other vulnerability scan.

False Positive:where the scan believes that there is a vulnerability but when physically checked,it is not there.

False Negative:When there is a vulnerability,but the scanner does not detect it.

True Positive:This is where the results of the system scan agree with the manual inspection.

Log Reviews:Following a vulnerability scan,it is important to review the log files/reports that list any potential vulnerabilities.

GDPR forbids the transfer of data to countries that lack adequate privacy protections

The Clarifying Lawful Overseas Use of Data (CLOUD)Act requires CSPs to hand over data to aid in investigation of
serious crimes,even if stored in another country.

As with many aspects of security,legal compliance requires collaboration.

Legal counsel should be part of the evaluation of any cloud-specific risks,legal requests,and the company's response to these.

Computer Export Controls.US companies can't export to Cuba,Iran,North Korea,Sudan,and Syria.

Encryption Export Controls.Dept of Commerce details limitations on export of encryption products outside the US.

Privacy (US).The basis for privacy rights is in the Fourth Amendment to the U.S.Constitution.

Privacy (EU).General Data Protection Regulation (GDPR) is not a US law,but very likely to be mentioned!

particularly the jurisdictions that companies need to deal with (local versus international)to protect and enforce their IP protections.

particularly details of data residency or the ability to move data between
countries,as well as varying requirements of due care in different jurisdictions

particularly technologies that may be sensitive or illegal under various international agreements

• Article I establishes the legislative branch.
• Article Il establishes the executive branch.
• Article Ill establishes the judicial branch.
• Article IV defines the relationship between the federal government and state governments
• Article V creates a process for amending the Constitution itself.
• Article VI contains the supremacy clause,establishing that the Constitution is the supreme law of the land.
• Article VIl sets forth the process for the initial establishment of the federal government.

Criminal liability occurs when a person violates a criminal law.

civil liability occurs when one person claims that another person has failed to carry out a legal duty that they were responsible for.

For example,State and provincial laws in the United States,Canada have different requirements for data breach notifications,such as timeframes.

In some countries,clear written legislation exists.In others,others legal precedent is more important

Precedent refers to the judgments in past cases and is subject to change over time with less advance notice than updates to legislation.

The EU's GDPR and the U.S.Clarifying Lawful Overseas Use of Data (CLOUD) Act directly conflict on the topic of data transfer.

Responsibility for compliance with laws and regulations

Researching and planning response in case of conflicting laws

Ensuring necessary audit and incident response data is logged and retained

Any additionall due diligence and due care

An international organization comprised of 38 member states from around the world, publishes guidelines on data privacy.

Its principles are aligned with European privacy, law including consent, transparcncy, accuracy, sccurity, and accountability

Comprised of 21 member economies in the Pacific Rim.

Incorporates many standard privacy practices into their guidance,such as preventing harm,notice,consent,security,and accountability.

Promotes the smooth cross-border Flow of information between APEC member nations.

European Union's GDPR is perhaps the most far-reaching and comprehensive set of laws ever written to protect data privacy.

Mandates privacy for individuals,defines companies'duties to protect personal data,and prescribes punishments for companies violating these laws.

Includes mandatory notification timelines in the event of data breach.

GDPR formally defines many data roles related to privacy and security (subject,controller,processor).

Health Insurance Portability and Accountability Act (HIPAA)
1996 U.S.law regulates the privacy and control of health information data.

Payment Card Industry Data Security Standard (PCI DSS)
An industry standard for companies that accept,process,or receive payment card transactions.

Privacy Shield
Exists to solve the lack of an US-equivalent to GDPR,which impacts rights and obligations around data transfer.

Sarbanes-Oxley Act(Sox)
Law was enacted in 2002 and sets requirements for U.S.public companies to protect financial data when stored and used.

are required by law. HIPAA,GDPR,FERPA

may also be required by law but refer to rules issued by a regulatory body that is appointed by a government entity.  FISMA,FedRAMP

are required by a legal contract between private parties.

These agreements often specify a set security controls or a compliance framework that must be implemented by a vendor  e.g.SOC,GAPP,CSA CCM

Vendor selection considerations
When considering a cloud vendor,eDiscovery should be considered as asecurity requirement during the selection and contract negotiation phases.

Architecture considerations
Data residency and system architecture are other important considerations for eDiscovery in the cloud and can be handled proactively.

Due care considerations  Ensuring the org is prepared For DFIR
Cloud security practitioners must inform their organizations of any risks and required due care and due diligence related to cloud computing

CSPs may not preserve essential data for the required period of time to support historical investigations.

They may not even log all the data relevant to support an investigation.

This shifts the burden of recording and preserving Potential evidence onto the consumer

Consumers must identify and implement their own data collection.

NIST
NISTIR 8006

A four-part standard within the ISO/IEC 27000 family of information security standards

Offers a framework,governance,and best practices for forensics,eDiscovery,and evidence management

Free guidance in Domain 3:Legal Issues:Contraets and Electronic Discovery

Offers guidance on legal concerns related to security, privacy,and contractual obligations

In the cloud,it's difficult or impossible to perform physical search and seizure of cloud resources such as storage or hard drives.

Iso/IEC and CSA provide guidance on best practices for collecting digital evidence and conducting forensics investigations in the cloud.

ISO/IEC 27037:2012

ISO/IEC 27041:2015

ISO/IEC 27042:2015

ISO/IEC 27043:2015

Any information that can identify an individual (name SSN,birthdate/place,biometric records,etc)

Defined by NIST SP 800-122

Health-related information that can be related to a specific person

Must be protected by strong controls and access audited

Requlated by HIPAA HITRUST

Allowable storage of information related to credit and debit cards and transactions.

Defined and requlated by PCI DSS and is CONTRACTUAL

• what types of data an organization is processing
• where it is being processed
• any associated requirements,such as contractual obligations

organizations may process data belonging to Australian citizens offshore.

transferring entity (the data owner)must ensure that the receiver of the data holds and processes it in accordance with
the principles of Australian privacy law.

Data owner (controller)is responsible for data privacy

commonly achieved through contracts that require recipients to maintain or exceed the data owner's privacy standards

The entity transferring the data out of Australia remains responsible for any data breaches by or on behalf of the recipient entities

Personal Information Protection and Electronic Documents Act(PIPEDA)

a national-level law that restricts how commercial businesses may collect,use,and disclose personal information.

PIPEDA covers information about an individual that is identifiable to that specific individual.

DNA,age,medical cducation cmployment,identifying numbers, religion,race/ethnic origin,Financial information

includes a data breach notification requirement.

PIPEDA may also be superseded by province-specific laws that are deemed substantially similar to PIPEDA.

Includes the following on data subject privacy rights:

Other private data types in GDPR:race or ethnic origin,political affiliations
or opinions,religious or philosophical beliefs,and sexual orientation.

Deals with the handling of data while maintaining privacy and rights of an individual.

It is international as it was created by the EU, which has 27 different countries as members.

GDPR applies to ANY company with customers in the EU

Includes a 72-hour notification deadline in the case of data breach

Gramm-Leach-Bliley Act (GLBA)of 1999
focuses on services of banks, lenders, and insurance severely limits services they can provide and the
information they can share with each other

Privacy Shield
an international agreement between the United States (U.S.) and the European Union.
allows the transfer of personal data from the European Economic Area (EEA)to the U.S.by U.S.-based companies.

The Stored Communication Act (SCA)of 1986
created privacy protection for electronic communications like email or other digital communications stored on the Internet.
extends the Fourth Amendment of the U.S.Constitution to the electronic realm

Health Insurance Portability and Accountability Act(HIPAA)of 1996
privacy and security regulations requiring strict security measures for hospitals,physicians,insurance companies
HIPAA-covered entities are those organizations that collect or generate protected health information (PHI)
under HIPAA there are separate rules for privacy,security,and breach notification,and flow of these rules down to third parties

Clarifying Lawful Overseas Use of Data (CLOUD)Act
aids in evidence collection in investigation of serious crimes
created in 2018 due to the problems that FBI faced in forcing Microsoft to hand over data stored in Ireland
requires U.s.-based companies to respond to legal requests for data no matter where the data is physically located.

• data subject
• data collector
• cloud service provider
• subcontractors processing data
• company headquarters of the entities involved

• prevent the utilization of a cloud services provider
• add to costs and time to market
• drive changes to technical architectures required to deliver services

ISO 27018 was published in July 2014 as a component of the ISO 27001 standard.

Adherence to these privacy requirements enables customer trust in the CSP.

Major CSPs such as Microsoft,Google,and Amazon all maintain ISO 27000 compliance

Can provide a HIGH level of assurance.

Consent:Personal data obtained by a CSP may not be used for marketing purposes unless expressly permitted by the subject.

A customer should be permitted to use a service without requiring this consent.

Control:Customers shall have explicit control of their own data and how that data is used by the CSP.

Transparency:CSPs must inform customers of where their data resides AND any subcontractors that may process personal data.

Communication:Auditing should be in place,and any incidents should be communicated to customers.

Audit:Companies(CSP,in this case)must subject themselves to an independent audit on an annual basis.

Generally Accepted Privacy Principles (GAPP)is a framework of privacy principles

GAPP are widely incorporated into the SOC 2 framework as an optional criterion

Organizations that pursue a SOC 2 audit can include these privacy controls if appropriate

Similar to ISO 27018,which is an optional extension of the controls defined in ISO 27002

An audit of these controls results in a report that can be shared with customers or potential customers,who can use it toassess a service provider's ability to protect sensitive data.

Categories of the 10 main privacy principles

Several privacy laws explicitly require PIAs as a planning tool for identifying and implementing required privacy controls,
including GDPR and HIPAA.

Conducting a PIA typically begins when a system or process is being evaluated

However,evolving privacy regulation often necessitates assessment of existing systems.

• patch management
• vulnerability management
• change management
• configuration management

Acts as a "trusted advisor"to the organization on risk educating stakeholders,assessing compliance

Compliance may mean company policies or regulatory

Can provide more continuous monitoring of control effectiveness and policy compliance

Enables the org to catch and fix any issues beforc they show up on a formal audit report

Some entities operate in heavily regulated industries subject to numerous auditing
requirements,such as banks or critical infrastructure providers.

With multi-national companies,audit complexity may be higher due to conflicting requirements

In large environments,representative samples of some infrastructure (e.g.20 of 100
servers)may be checked but must be representative of the multi-region estate.

SSAE 18 is a set of standards defined by the AICPA (American Institute of CPAs)

Designed to enhance the quality and usefulness of System and Organization Control (SOC)reports.

Includes audit standards and suggested report formats to guide and assist auditors

SOC 1
deals mainly with financial controls and are used primarily by CPAs auditing financial statements

Soc 2 Type 1
report that assesses the design of security processes at a specific point in time

SOC 2 Type 2
(often written as "Type ll")assesses how effective those controls are over time by observing operations for at least six months
Often require an NDA due to sensitive contents

Soc 3
contain only the auditor's general opinions and non-sensitive data,is publicly shareable

SSAE is US-based,but SOC2 has become a de Facto global standard

The International Auditing and Assurance Standards Board issues the ISAE

This board and it's ISAE standards are similar to the AICPA and it's SSAE standards

The ISAE 3402 standard is roughly equivalent to the SOC 2 reports in the SSAE

The Security Trust Assurance and Risk (STAR) certification program comes from CSA

Can be used by cloud service providers,cloud customers,or auditors and consultants

Designed to demonstrate compliance to a desired level of assurance

STAR consists of two levels of certification which provide increasing levels of assurance

• Statement of purpose and objectives
• Scope of audit and explicit exclusions
• Type of audit
• Security assessment requirements
• Assessment criteria and rating scales
• Criteria for acceptance
• Expected deliverables
• Classification(secret,top secret,public,etc.)

Audits are expensive endeavors that can engage highly trained (and highly paid)content experts.

Auditing of systems can affect system performance and,in some cases,require the downtime of production systems.

A new system not yet in production,without all the planned controls in place is not ready to audit.

Cost of implementing controls and auditing some systems is too high relative to the revenue the service generates.

As a precursor to a formal audit process,so the organization can close gaps before a third-party (external)audit

When assessing the impact of changes to regulatory or compliance frameworks,which introduce new or modified requirements.

Document and define audit program objectives.
collaborative internal planning of audit scope and objectives.
Gap analysis or readiness assessment.assessing the
organization's ability to successfully undergo a full audit.
Define audit objectives and deliverables.it is important to
identify the expected outputs from the audit.
Identifying auditors and qualifications.compliance and
audit frameworks usually specify the type of auditor required.

Audit fieldwork: involves the actual work the auditors
perform to gather,test,and evaluate the organization.
Audit reporting:report writing begins as auditors conduct
their fieldwork,capturing notes and any findings.
Audit follow-up: various activities may be conducted after
the audit,including addressing any identified weaknesses

• Quantify risk
• Develop and execute risk mitigation strategies
• Provide formal reporting on status of mitigation efforts

• Improve data security
• Increased organizational resilience to cyberattacks
• Central info security mgmt
• Formal risk management

• NIST SP 800-53
• NIST Cybersecurity Framework(CSF)
• Secure Controls Framework
• CSA Cloud Controls Matrix(CCM)

Companies use policies to outline rules and guidelines,usually complemented by documentation such as procedures,job aids

Organizations typically define policies related to proper use of company resources,like expense reimbursements and travel

Policies are a proactive risk mitigation tool designed to reduce the likelihood of risks,such as:

Employees should generally sign policies to acknowledge acceptance

A set of standardized definitions for employees that describe how they are to make use of systems or data.

Typically guide specific activities crucial to the organization,such as appropriate handling of data, vulnerability management,and so on.

Functional policies generally codify requirements identificd in the ISMS and align to your chosen control framework

Examples of funetional policies

Ease of deploying cloud resources without governance results in "shadow IT"-resources deployed without IT approval!

This can create security risks,like data loss or leakage through unauthorized use of cloud storage services.

Also creates financial risks,as spending is more difficult to measure and control.

Cloud services should be included in organization policies, and requirements for use clearly documented.

A CASB can help identify and stop shadow IT!

Policies should define requirements users must adhere to and specify which cloud services are approved for various uses.

North American Electric Reliability Corporation Critical Infrastructure Protection regulates organizations involved in power generation and distribution.

Both deal with PHI and implement specific requirements for security and privacy protections,as well as breach notification requirements.

Specifies protections for payment card transaction data.

Reviewing provider controls

There are resources that can help organizations build out or enhance their SCRM program:

Risk profile describes the risk present in the organization based on all the identified risks and any associated mitigations in place.

Risk appetite describes the amount of risk an organization is willing to accept without mitigating.

Regulated industries will be more apt to mitigation,transference, and avoidance.

Smaller orgs and startups will be more apt to simply accept risks to avoid cost of treatment.

Anyone who processes personal data on behalf of the data controller.The CusTODIAN

Is responsible for the safe and private custody, transport,and storage

The person or entity that controls processing of the data. The OWNER

Owns the data and risks associated with any data breaches

ensures the organization complies with data regulations.

under GDPR,the DPO is a mandatory appointment

is the individual or entity that is the subject of the personal data.

Data CONTROLLER in GDPR

Usually a member of senior management.
CAN delegate some day-to-day duties.
CANNOT delegate total responsibility.

Data PROCESSOR in GDPR

Usually someone in the IT department
DOES implement controls for data owner
DOES NOT decide what controls are needed

Most recent privacy laws include mandatory breach notification.

There are some variations among the laws,mainly around issues of timing of the notification and who must be notified

Regulations that require breach notification include,but are not limited to, GDPR,HIPAA (as amended by the HITECH Act),GLBA,and PIPEDA.

Incident response plans and procedures should include relevant information about the
time period for reporting,as well as the required contacts in the event of a data breach.

If a company is publicly traded in the United States,they are subject to transparency requirements

Under the Sarbanes-Oxley Act (SOX)of 2002.Specifically,as data owners, these companies should consider the following:

SOX compliance is often an issue with both data breaches and ransomware incidents at publicly traded companies.

The loss of data related to compliance due to external actors does not protect a company from legal obligations.

For companies doing business in the European Union or with citizens of the
EU,transparency requirements under the GDPR are laid out in Article 12.

States that a data controller "must be able to demonstrate that personal data are processed in a manner transparent to the data subject."

The obligations for transparency begin at the data collection stage and apply "throughout the lifecycle of processing."

Stipulates that communication to data subjects must be
'concise,transparent,intelligible and easily accessible,and use clear and plain language."

Meeting the requirement for transparency also requires processes for providing data subjects with access to their data.

Where the organization changes business practices to completely eliminate the potential that a risk will materialize.

Can negatively impact business opportunities

The process of applying security controls to reduce the probability and/or magnitude of a risk.

Shifts some of the impact of a risk from the organization experiencing the risk to another entity.

e.g cyber insurance

Deliberately choosing to take no other risk management strategy and to simply continue operations as normal in the face of the risk.

use when cost of mitigation > cost of impact

safeguards are proactive (reduce likelihood of occurrence)

countermeasures are reactive (reduce impact after occurrence

ISO 31000 contains several standards related to building and running a risk management program.

ISO 31000:2018,"Risk management-Guidelines,"
provides the foundation of an organization's risk management function.

IEC 31010:2019,"Risk management-Risk assessment techniques"
provides guidance on conducting a risk assessment.

ISO GUIDE 73:2009,"Risk management -Vocabulary"
provides a standard set of terminology used through the other documents and is useful for defining elements of the risk management program.

ENISA produces useful resources related to cloud-specific risks that organizations
should be aware of and plan for when designing cloud computing systems.

This guide identifies various categories of risks and recommendations for organizations to consider when evaluating cloud computing.

These include research recommendations to advance the field of cloud computing,legal risks,and security risks.

NIST Special Publication 800-37 is the NIST Risk Management Framework

NIST Special Publication 800-146"Cloud Computing Synopsis and Recommendations"provides definitions of various cloud computing terms

Although not a dedicated risk management standard,the various risks and
benefits associated with different deployment and service models are discussed.

Designing a supply chain risk management (SCRM)program to assess CSP or vendor risks is a due diligence practice.

Actually performing the assessment is an example of due care.

Remember,the customer organization is responsible.
Any organization that uses cloud services without adequately mitigating the risks is likely to be found negligent in a breach

Enables an objective evaluation to validate that a particular product or system satisfies a defined set of security requirements

Assures customers that security products they purchase have been thoroughly tested by independent third-party testers

The certification of the product only certifies product capabilities.

Designed to provide assurances for security claims by vendors

Evaluation is done through testing laboratories where the product or platform is evaluated against a standard set of criteria.

The result is an Evaluation Assuranee Level (EAL),which defines how robust the security capabilities are in the evaluated product

Most CSPs do not have common criteria evaluations over their entire environments,but many cloud-based products do

If misconfigured or mismanaged,software is no more secure than anything else the customer might use.

When evaluating the risks in a specific CSP or other cloud service,the CSA STAR can be a useful,lightweight method for ascertaining risks.

Contains evaluations of cloud services against the CSA's cloud controls matrix(CCM)

Organizations can opt for self-assessed or third-party-assessed cloud services.This will affect the level of assurance (low or high)

ENISA has published a standard for certifying the cybersecurity practices present in cloud environments

The framework,known as EUCS,defines a set of evaluation criteria for various cloud service and deployment models.

The goal is producing security evaluation results that allow comparison of the security posture across different cloud providers.

A contract with vendors and suppliers not to disclose the company's confidential information

A 'mutual NDA'binds both partics in the agreement

Stipulate performance expectations such as maximum downtimes and often include penalties if the vendor doesn't meet expectations.

Generally used with external vendors (like CSP)and is legally binding

Often includes financial penalties for non-performance and may allow customer to terminate a contract

SLAs should be written to ensure that the organization's service level requirements (SLRs)are met.

SLAs are best suited for defining recurring,discrete, measurable items the parties agree upon.

Common elements documented in SLAs include:

In legal terms,a cloud customer and a CSP enter into a master service agreement (MSA)

This is defined as any contract that two or more parties enter into as a service agreement

MSA should address compliance and process requirements the customer is passing along to CSP

Legal counsel is most often responsible for contracts, but security should be involved to share requirements

MSA should include breach notification -CSP duty to inform the customer of a breach within a specific time period after detection.

Legal document usually created after an MSA has been executed and governs a specific unit of work.

MSA may document services and prices,a SOW covers requirements,expectations,and deliverables for a project.

MSA Focus is 'overall,ongoing",SOW is "limited & specific"

Supply chain

Vendor management

System integration

Security practitioners should participate in the initial selection process for a CSP,
which involves assessing security risks present in CSP and related services.

For many customers,this process will entail reviewing security reports like a SOC
2 on an annual basis after the CSP has undergone their yearly audit.

This assessment will require knowledge of not only the CSP's offerings but the
architecture and strategy the customer organization intends to use.

Using any unique CSP offerings,such as artificial intelligence/machine learning
(Al/ML)platforms,can result in a service that is dependent on that specific CSP.

This is often a process that is not conducted by the security team as it deals with operational risk.

Assessing the viability of vendors may involve reviews of public information like:

Escrow is a legal term used when a trusted third party holds something on
behalf of two or more other parties,such as source code or encryption keys.

ESCROW SCENARIO:

A contract clause is a specific article of related information that specifies the agreement between the contracting parties.

Some common contract clauses that should be considered for any CSP or other data service provider include the following:

The customer can request the right to audit the service provider to ensure compliance with the security requirements agreed in the contract.

Contracts often written to allow the CSP's standard audits (e.g.,SOC 2,ISO 27001 certification)to be used in place of a customer-performed audit.

If there are specific indicators that the service provider must provide to the customer,they can be documented in a contract.

Tell you "how compliance with the agreement will be measured"

A contract is a legal agreement between multiple parties.

It is essential that all parties share a common understanding of the terms and expectations.

Defining key terms like sccurity,privacy,and key practices like breach notifications can avoid misunderstandings.

Termination refers to ending the contractual agreement.

This clause will typically define conditions under which either party may terminate the contract

May also specify consequences if the contract is terminated carly.

This is an area where legal counsel must be consulted.

Agreeing to terms for litigation can severely restrict the organization's ability to pursue damages if something goes wrong.

Defining assurance requirements sets expectations for both the provider and customer.

Many contracts specify that a provider must furnish a SOC 2 or equivalent to the customer on an annual basis

Any customer compliance requirements that flow to the provider must be documented and agreed upon in the contract.

Data controllers that use cloud providers as data processors must ensure that adequate security safeguards are available for that data

Clauses dealing with customer access can be used to avoid risks associated with vendor lock-in.

cyber risk insurance is designed to help an organization reduce the financial impact of risk by transferring it to an insurance carrier.

In the event of a security incident,the insurance carrier can help offset associated
costs,such as digital forensics and investigation,data recovery,system restoration.

It may even cover legal or regulatory fines associated with the incident.

Cyber insurance carriers are in the business of risk management and are unlikely to
offer coverage to an organization lacking controls to mitigate risk.

Cyber insurance requires organizations to pay a premium for the insurance plan.
Most plans have a limit of coverage that caps how much the insurance carrier pays.

There may also be sub-limits,which cap the amount that will be paid for specific types of incidents such as ransomware or phishing.

An insurance broker can be a useful resource when investigating insurance options for your organization's circumstances,including

Cyber risk insurance usually covers costs associated with the following:

The ISO 27000 family of standards includes a specific ISO standard dedicated to supply chain cybersecurity risk management.

ISO 27036:2021 provides a set of practices and guidance for managing cybersecurity risks in supplier relationships.

This standard is particularly useful for organizations that use ISO 27001 for building an ISMS or ISO 31000 for risk management

ISO/IEC 27036 comprises four parts,including:

Part 1:Overview and concepts,"which provides an overview and foundation for a
supply chain management capability.
Part 2:Requirements,"which provides a set of best practices and techniques for
designing and implementing the supply chain management function.
Part 3:Guidelines for information and communication technology supply chain
security,"which is of particular concern for security practitioners,as it lays out
practices and techniques specific to managing security risks in the supply chain.
Part 4:Guidelines for security of cloud services,"which is the most relevant to
cloud security practitioners.This standard deals with practices and requirements
for managing supply chain security risk specific to cloud computing and CSP

NISTIR 8276,"Key Practices in Cyber Supply Chain Risk Management:
Observations from Industry";
NIST SP 800-161,"Cybersecurity Supply Chain Risk Management Practices
for Systems and Organizations";
ENISA publication"Supply Chain Integrity:An overview of the ICT supply
chain risks and challenges,and vision for the way forward.",published in 2015