Mike考试技巧汇总

Domain 1: Security and Risk Management 16%

Many data breach notification laws include exemptions (免除) for encrypted information

对于经过加密处理的信息，如果发生泄露，可能不需要（或有不同的要求）向受影响的个人或监管机构发出通知。

ISC2 members are required to report breaches of the Code of Ethics to ISC2 for invesigation.

用词是Required，表示它是强制性的责任和义务 。通过强制报告违规行为，ISC2能够及时发现和处理不当 行为，从而保护公众利益和行业的整体形象。

Policy, standards, and procedures are mandatory, Guidelines are optional.

Policy回答的问题是，我们要做什么，为什么要做这类高层次问题

Standards回答的是，我们需要达到什么水平？需要满足哪些具体的技术或功能要求（如PW要求12位以上，包含大小写字母，数字和特殊字符）

Procedures回答的是，我们应该怎么做，提供了完成特定工作的操作流程（如何进行PW重置）

Guidelines（指南）是建议性的最佳实践，它是可选的，组织或个人可以根据具体情况和需要选择是否采纳。（避免使用个人信息，不要在多个网站上使用相同的密码等）

BCP is also known as continuity of operations planning (COOP)

BCP在私营企业和国际领域更常用，COOP则更多用于美国联邦，州和地方政府机构以及相关公共部门。

BCP in the cloud is a partnership between providers and customers.

Understand the external dependencies of your business continuity efforts.

在云计算环境下，业务连续性的责任是CSP和CSC共享的，所以CSP也成为企业BCP连续性的外部因素，有可能超出了企业的直接控制。为了降低风险，有以下方法：

SLA，合同条款，行业标准认证ISO 22301（业务连续性管理体系），监管要求（当地法规），尽职调查(Due Diligence)，CSP自主提供的业务连续性报告（如Service Status数据），Multi-Cloud策略

RAID is a fault-tolerance technique, not a backup strategy.

RAID主要用于提高系统的可用性和容错能力，而备份策略则应对更广泛的数据丢失场景。如多个磁盘同时出错 ，人为错误（如意外删除文件，格式化磁盘），病毒或恶意攻击，自然灾害或物理损坏 。

RAID提供的是在线的容错能力，重点预防单个硬件故障导致的服务中断和数据丢失。

备份提供的是离线的数据副本。目标是在发生任何类型的数据丢失后能够恢复数据。

Threat vectors are the specific methods that threats use to exploit a vulnerability.

这里提到了4个概念Threat是外因，Vulnerabiliity是内因，Exploit是恶意利用这个行为本身，Threat Vector是具体方法

Be prepared to work through a quantitative risk assessment calculation on the exam.

这类计算题目我做过好多了，应该没问题。

Technical controls are implemented by technology while operational controls are implemented by people!

技术控制如FW，IDS和IPS，ACL，加密，MFA等都是系统设定，设定好了就会自动运行。

而操作（管理）控制是需要人，流程来实现的，如安全培训，背景调查，变更管理，安全审计等。

Domain2: Assest Security 10%

GDPR uses the term data controller instead of data owner.

Data Owner用于传统的企业数据管理语境中，表示对特定数据集负有业务责任的个人或部门

Data Controller在GDPR语境中，是法律术语，在GDPR中给出了定义：

指单独或与他人共同决定个人数据处理的目的和方式的自然人或法人、公共机构、代理机构或其他机构。

它决定了数据处理的目的(Purpose)和处理方式(means),它是承担数据保护法律责任的关键角色。

System ownership and data ownership are two different concepts.

之前在KPMG的ServiceNow中也看到过这两个概念，SystemOwner强调的是系统管理，一般由IT部门负责，DataOwner应该是实际系统的使用部门。

Domain3： Security Engineering 13%

The Bell-LaPadula model is rarely implemented outside of military applications.

该模型侧重于保护数据机密性，核心原则是No Read Up, No Write Down

The Bell-Lapadula and Biba models are important for the exam but rarely used in t he real world.

Biba的核心原则是No Write Up, No Read Down,侧重于保护数据完整性。

但因为它们只侧重CIA中的某一环，忽略另两个，实施和维护的复杂性高，所以RBAC等能更好平衡CIA三性的模型在实际中更受欢迎。

Certification and accreditation are different. Accreditation and authorization are the same.

3个概念，Certfication表示认证，如ISO27001认证，产品，服务或组织是否符合给定标准或规范进行评估和确认。

Accreditation表示认可，是指一个权威机构对某个组织或机构（如测试实验室）具备执行特定任务和公正性进行正式承认的过程。强调能力符合给定标准。

Authorization表示授权，这个很好理解。

MSSPs may also be referred to as security as a service (SECaaS)

MSSP表示Managed Security Service Provider,托管安全服务提供商，如之前KPMG使用的埃森哲的MSS产品

SECaaS意思是Security as a Service,如果一个MSSP的主要交付方式是通过云平台，那么它可以被称为SECaaS。

Reference architectures provide a useful framework, but they’re just a starting point.

参考架构只是一个模板，具体的使用还是要结合企业实际来进行定制和扩展。

No cloud model is inherently superior to the other approaches. It all depends on the context.

Public Cloud,Private Cloud,Hybrid Cloud的使用要取决于具体环境，需求和目标。

公有云就是御三家等，私有云就是自建数据中心，或是使用VPC，虽然比公有云有更高控制权，但底层物理设施仍然是共享的。

Network segmentation is the most important control for embedded devices.

Application firewalls provide added protection for embedded devices.

嵌入式设备一般有固有漏洞，若被攻击易被用于攻击其他网络设备的踏板，且算力，内存有限，难以安装复杂的端点安全代理，所以使用Network Segmentation可以有效限制Lateral Movement,降低攻击面，提高故障隔离性。

应用防火墙工作在L7，能基于数据内容进行更精细的过滤和安全控制。如SQL注入，命令注入，XSS等。且可以在不改动固件的情况五，通过配置规则来拦截攻击，达到虚拟补丁的效果。

Embedded device security controls are effective for mainframes as well.

mainframes表示大型主机（高性能，高可靠性，高可用性，处理大量数据）

一些常用的安全控制手段：网络分段，最小化攻击面，安全引导，数据加密，补丁更新，应用防火墙等。

Keys used to encrypt and decrypt using asymmetric cryptography must be from the same pair.

这句话很好理解。

Codes and ciphers are related concepts, but you should know the difference when you take the exam.

Code表示密码，它的操作对象是有意义的单元，如单词，短语，句子等，它依靠预先定义好的密码本

Cipher也表示密码，它的操作对象是更小的单元，如单个字母，数字或比特。它依赖加密算法或是密钥。

Don’t try to build your own encryption algorithm unless you really know what you’re doing.

这个当然很好理解。

Counter mode allow block ciphers to act more like stream ciphers.

Block ciphers的工作方式是将明文数据分割居固定大小的块（如64bit,128bit)，然后对每个块独立地使用相同密钥和加密算法。

Stream Ciphers的工作方式是逐比特或逐字节地加密数据流。通过密钥流生成器产生一个随机比特或字节序列，然后将密钥流与明文流进行XOR操作和来生成密文。

计数器模式是块密码的一种工作模式，它是加密一个不断递增的计数器值，加密后的计数器值 与明文块进行XOR操作，生成最终的密文块。避免了块密码的一些缺点（对于最后一个块无需填充，且不同明文块可以并行加密/解密）

Double DES is no more secure than standard DES, due to the meet-in-the-middle attack.

Meet-in-the-Middle Attack中间相遇攻击，可有效攻击连续多次加密的密码系统 。

而3重DES则可以有效抵抗这种攻击。在AES成为标准前，3重DES被用于更安全的替代方案。

Users create RSA key pairs using two large prime numbers.

选择两个大的素数记作p和q,它们至少是数百甚至数千位，乘积难以进行因式分解 。$n=pq$$n=pq$作为公钥和私钥的一部分。

You won’t need to know the details of ECC. Remember that it doesn’t use prime factorization.

Elliptic Curve Cryptography它的安全性不是基于大数分解 ，而是建立 在椭圆曲线上离散对数问题的难解性上。即给定一个椭圆曲线上的两个点P和Q，其中$Q=kP$$Q=kP$，找到这个k（离散对数）在计算上是非常困难的。

256bit的ECC密钥通常认为与一个3072bit的RSA密钥具有相当的安全性。所以意味着更快，更低带宽消耗，更小存储空间，更适合移动设备和嵌入式系统等。

You may find exam questions that discuss certificate object identifiers (OIDs)

Object Identifiers 对象标识符是用在数字证书中，标识证书的各种属性和特征，如签名算法，公钥算法等。

CRT files may be either DER binary certificates or PEM text certificates.

扩展名为.crt的文件可能包括两种不同编码格式的数字证书，der二进制或pem文本证书。

pem通常以-----begin certificate-----开头，以-----end certificate----结尾。

遇到一个.crt文件时，仅从扩展名无法确定其编码格式，需要查看文件内容。

You won’t need to perform cryptanalysis on the exam. You just need to know the different techniques.

嗯，具体的攻击手法在Mike的LRM中有整理。

Ransomware is specifically called out in the exam objectives.

嗯，在做练习题的时候多加注意。

Watch for exam questions that are indirectly covering the hot aisle/cold aisle strategy.

Hot Aisle热通道和Cold Aisle冷通道是数据中心机房布局和气流管理技术，冷通道是机柜正面朝向的通道，温度低。

热通道是机柜背面的通道，热空气由此排出，然后被引导回空调系统进行冷却。

Be able to identify the classes of fire extinguisher on the exam.

要能识别不同类别的灭火器，它分为ABCDK这5种，在助记表中有提到。

Domain4: Communication and Network Security 13%

Memorize the list of common ports before taking the exam.

这个在LRM中有整理。

Physically isolated systems are called “air gapped” systems.

air gapped气隙系统，表示两个系统之间存在一个空间间隙，没有任何物理或逻辑上的连续，包括（有线和无线）

它是一种最高级别的网络安全措施，通过完全的物理隔离来阻止网络攻击和数据泄露，但仍然有风险，如人为因素，供应链攻击 （恶意组件），电磁辐射攻击和声学攻击（侧信道）

Remember that INgress is data coming INto a network and Egress is data Exiting a network.

即Ingress表示进入网络的流量或数据，Egress表示离开网络的流量或数据。类似于FW规则中的Inbound和Outbound。

Next-generation firewalls (NGFWs) incorporate contextual information into their decision-making.

下一代防火墙（第3代）在进行判断时会考虑更多的上下文信息，如应用识别，用户身份识别，内容感知（如代码，URL等深度包检测技术），地理位置信息，时间，设备类型等。

而传统防火墙主要是基于L3和L4的信息进行过滤。

Spilt-tunnel VPNs provide users with a false sense of security.

它允许用户同时通过VPN连接和本地互联网连接访问网络资源，即只有一部分流量通过加密VPN传输到VPN服务器，所以不是安全的。

Anomaly detection, behavior-based detection, and heuristic detection are the same thing.

异常检测是与基准进行比较，可以检测到Zero-Day攻击

基于行为的检测，需要一个学习期来建立正常行为模式

启发式检测，基于一组通常与恶意软件相关的规则或特征来识别潜在威胁，使用算法分析文件或进行的代码，结构和行为。

Content delivery network and content distribution networks are the same thing.

两个的缩写都是CDN，是完全同义的。

You won’t need to know the syntax of router access control list commands.

不需要记住ACL命令中的具体语法。

Use SNMPv3.Earlier versions have critical security flaws.

SNMPv3提供了认证，加密，授权和访问控制，即Authentication,Encryption,Authorization和Access Control。

Jump boxes, jump servers, and jump hosts are all the same thing.

均指向一个强化过的，受控的系统。提供一个单一的，受监控的入口点，用于访问无法直接从外部网络访问的系统。

TLS depends upon pairings of encryption and hash functions known as cipher suites.

TLS的安全性依赖于将加密算法和哈希函数配对使用，这些配对黎为密码套件Cipher suites.加密算法保护数据的隐私，哈希函数负责验证数据完整性。。。

Session keys are known as ephemeral keys.

会话密钥是一种临时的对称密钥，时间很短，它是一次性的对称加密，通常在会话开始时生成，在结束后被销毁。

ephemeral表示临时

Wi-Fi signals travel over open airwaves and are subject to undetectable interception!

无线电波容易被拦截（窃听），攻击者不仅可以拦截信号，还可能主动介入通信，冒充一方进行交互，或是从拦截信息中获取认证凭据来连接到网络中的设备。

Make sure you understand the security status of the specific EAP variants in use on your network.

EAP Extensible Authentication Protocol是一个可扩展认证协议，它是一个框架，允许不同的认证方法在网络接入过程中使用，支持EAP-TLS，PEAP,EAP-TTLS,EAP-FAST等。

并非所有EAP方法都是安全的，如EAP-MD5是不安全的。

While the terms whitelisting and blacklisting are problematic, you should still know them for the exam.

我应该很清楚白名单和黑名单的含义。

Granting network access requires configuring both network and host firewalls.

即一个防火墙是不够的，需要同时配置两种类型的防火墙。网络防火墙一般部署在网络边界，如路由器或专用防火墙设备上，控制整个网络的进出流量。而主机防火墙顾名思义，运行在单个计算机或服务器上，控制该主机的网络连接，提供更细粒度的防护。这也是Defense in Depth的手段。

Domain5： Identity and Access Management 13%

Remember that identification and authentication are separate and distinct steps!

Identification是用户声明自己是谁，如提供UserName，ID，Email等，而Authentication是证明你就是你所说的那个人。它有3种方式，Sth. you Know, Sth. you Have, Sth. you are.

身份识别是第一步，为身份验证的基础。

Remember that a RADIUS client is usually an application server!

RADIUS Remote Authentication Dial-In User Service用于集中管理用户的身份验证，授权和计费（AAA）它的客户端包括：

网络接入服务器，如AP，VPN服务器等，某些情况下应用服务器也可以当RADIUS客户端。

I’ll cover logging in more detail when we get to CISSP Domain7: Security Operations

这个不算考试技巧

Avoid the use of shared/generic accounts and credentials.

共享账户并不是一个安全的法子。

Current NIST guidance says that complex passwords, should be allowed, but not required.（如果用MFA的话）

这个也很容易理解。

Password expiration policies prevent extended use of compromised passwords by an attacker. Current NIST guidance says that passwords should not expire.

NIST已经不要求密码的定义变更了。

Be able to identify least privilege and segregation of duties issues in a scenario.

最小权限是给员工执行工作所需的最小权限，而职权分离则表示关键操作应该由多个不同的人或实体来完成，如申请和批准。

The default deny principle is a crucial concept for the exam.

在没有明确允许的情况下，所有访问请求都应该被拒绝。默认拒绝也是实现最小权限的一种方式。

Risk-based controls apply stronger standards in situations posing greater risk.

因为组织的资源有限，并非所有风险都有相同级别，所以聪明的方法是进行资源倾斜。

Domain6: Security Assessment and Testing 12%

Different test types are complementary, rather than competitors!

这些测试包括Penetration Testing, Fuzzing(模糊测试)等，它们之间是相互补充，而不是相互排斥的。

Disaster recovery efforts end only when the business is operating normally in its primary environment.

DR不仅仅是临时恢复，正常运营才是完成标准。

Domain7: Security Operations 13%

Cybersecurity investigators should leave interrogations to law enforcement!

interrogation审讯是执法部门的工作，而网络安全调查员的主要目标是，识别事件发生原因，评估损害程序，收集证据，制定和实施补救方法，编写调查报告。

Never try to perform forensics yourself unless you’ve received appropriate training.

这一个专业领域

The highest priority of a first responder must be containing damage through isolation.

第一响应者应该通过隔离来控制损害的扩大，即防止次生灾害。

Watch for tricky questions that ask you to prioritize other actions over personal safety.

人的安全是重中之重，而不是恢复系统或是数据。

Domain8: Software Development Security 10%

You won’t need to write SQL on the exam, but you should know how SQL injection works.

SQL注入攻击，如添加

xxxxxxxxxx
1
1
SELECT * FROM users WHERE username = '' OR '1'='1' AND password = 'anything';

会导致WHERE语句第一个条件永远成立，从而绕过了用户名和密码验证。

Cross-site request forgery（伪造请求）, CSRF, XSRF, and “sea surf” all refer the same attack.

Cross和X都表示Cross，Sea Surf则是因为它的发音类似于CSRF

描述了攻击者利用用户在目标网站上的已登录状态，通过恶意构造的请求来执行用户意料之外的操作。

Input validation should always be performed on the server.

如果不在服务器端，而在客户端验证，则攻击者可以修改浏览器请求，或直接向服务器发送恶意构造的请求，从而绕过客户端验证逻辑，只有服务器端验证才是唯一可靠的，因为它的代码由应用程序控制，攻击者无法控制。而且客户端的不同浏览器对JS的支持可能存在差异，而服务器端验证与浏览器无关，具有更好的兼容性。

You don’t need to know the details of the normal forms on the exam.

数据库规范化，Normal Forms范式，它有第一，第二，第三，BCNF，第四和第五范式。

DevSecOps applies DevOps techniques to a cybersecurity program.

DevOps是一种软件开发方法论，强调开发团队和运维团队的协作，沟通和集成，将DevOps用于网络安全项目可以在开发早期阶段就集成安全性。 DevSecOps 的核心目标是将安全性无缝地集成到快速、高效的 DevOps 流程中，而不是将其作为一个独立的、事后的环节。