Contents
Preface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiii
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv
Chapter 1 The Security Organization . . . . . . . . . . . . . . . 1
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
Where to Put the Security Team . . . . . . . . . . . . . . . . . . .2
Where Should Security Sit?
Below the IT Director Report . . . . . . . . . . . . . . . . . . . .3
Pros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
Cons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
Where Should Security Sit? Below the Head of Audit . . .5
Pros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
Cons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
Where Should Security Sit? Below the CEO, CTO, or CFO 6
Pros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
Cons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
Your Mission—If You Choose to Accept It . . . . . . . . . . . . . .7
Role of the Security Function: What’s in a Job? . . . . . . . . . . .7
Incident Management and Investigations . . . . . . . . . . . . .8
Legal and Regulatory Considerations . . . . . . . . . . . . . . . .9
Policy, Standards, and Baselines Development . . . . . . . . .10
Business Consultancy . . . . . . . . . . . . . . . . . . . . . . . . . .10
Architecture and Research . . . . . . . . . . . . . . . . . . . . . . .11
Assessments and Audits . . . . . . . . . . . . . . . . . . . . . . . . .11
Operational Security . . . . . . . . . . . . . . . . . . . . . . . . . . .12
The Hybrid Security Team: Back to Organizational Studies 12
Making Friends . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
The Board . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Internal Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Legal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Help Desk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
System Development . . . . . . . . . . . . . . . . . . . . . . . .16
Tech Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
What Makes a Good CISO? . . . . . . . . . . . . . . . . . . . . . . . .17
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
Chapter 2 The Information Security Policy . . . . . . . . . . 19
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
Policy, Strategy, and Standards: Business Theory . . . . . . . . . .21
Strategy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
Tactics and Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Operations: Standards and Procedures . . . . . . . . . . . . . . .24
Back to Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
The Security Strategy and the Security Planning Process . . .25
Security Organization . . . . . . . . . . . . . . . . . . . . . . . .28
Security Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Security Policy Revisited . . . . . . . . . . . . . . . . . . . . . . . . . .30
Policy Statements . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
What Do I Need to Set a Policy On? . . . . . . . . . . . .33
Template,Toolkit, or Bespoke? . . . . . . . . . . . . . . . . . .34
So Why Haven’t I Just Told You How to Write a Good
Information Security Policy? . . . . . . . . . . . . . . . . . . .35
Security Standards Revisited . . . . . . . . . . . . . . . . . . . . . . . .36
Compliance and Enforcement . . . . . . . . . . . . . . . . . . . . . . .37
Information Security Awareness:The Carrot . . . . . . . . . .38
Active Enforcement:The Stick . . . . . . . . . . . . . . . . . . . .40
Patch Management . . . . . . . . . . . . . . . . . . . . . . . . . .40
Automated Audit Compliance . . . . . . . . . . . . . . . . . .40
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
Chapter 3 Jargon, Principles, and Concepts . . . . . . . . . 49
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50
CIA: Confidentiality, Integrity, and Availability . . . . . . . . . . .51
Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51
Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
Nonrepudiation . . . . . . . . . . . . . . . . . . . . . . . . . . . .53
When Is CIA Used? . . . . . . . . . . . . . . . . . . . . . . . . .54
The Vulnerability Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . .54
Types of Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
Protective Control . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
Detective Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
Recovery Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
Administrative Control . . . . . . . . . . . . . . . . . . . . . . . . .58
Segregation of Duties . . . . . . . . . . . . . . . . . . . . . . . .58
Job Rotation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
Types of Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . .59
Quantitative Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . .59
Qualitative Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
How It Really Works: Strengths and Weaknesses . . . . . . .61
So What Now? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
AAA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63
Types of Authentication . . . . . . . . . . . . . . . . . . . . . .64
Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64
Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
AAA in Real Life . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
Other Concepts You Need to Know . . . . . . . . . . . . . . . . . .66
Least Privilege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66
Defense in Depth . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66
Failure Stance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67
Security through Obscurity . . . . . . . . . . . . . . . . . . . . . .67
Generic Types of Attack . . . . . . . . . . . . . . . . . . . . . . . . . . .67
Network Enumeration and Discovery . . . . . . . . . . . . . .67
Message Interception . . . . . . . . . . . . . . . . . . . . . . . . . . .68
Message Injection/Address Spoofing . . . . . . . . . . . . . . .68
Session Hijacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68
Denial of Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68
Message Replay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69
Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . .69
Brute-Force Attacks on Authenticated Services . . . . . . . .69
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70
Chapter 4 Information Security Laws and Regulations 71
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
U.K. Legislation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
Computer Misuse Act 1990 . . . . . . . . . . . . . . . . . . . . . .73
How Does This Law Affect a Security Officer? . . . . .75
The Data Protection Act 1998 . . . . . . . . . . . . . . . . . . .75
How Does This Law Affect a Security Officer? . . . . .76
Other U.K. Acts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77
The Human Rights Act 1998 . . . . . . . . . . . . . . . . . .77
The Regulation of Investigatory Powers Act 2000 . . .78
The Telecommunications (Lawful Business Practice)
(Interception of Communications) Regulations 2000 79
The Freedom of Information Act 2000 . . . . . . . . . .80
Audit Investigation and
Community Enterprise Act 2005 . . . . . . . . . . . . . . . .80
Official Secrets Act . . . . . . . . . . . . . . . . . . . . . . . . . .80
U.S. Legislation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82
California SB 1386 . . . . . . . . . . . . . . . . . . . . . . . . . . . .83
Sarbanes-Oxley 2002 . . . . . . . . . . . . . . . . . . . . . . . . . . .83
Section 201 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83
Section 302 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
Section 404 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
Gramm-Leach-Bliley Act (GLBA) . . . . . . . . . . . . . . . . .84
Health Insurance Portability
and Accountability Act (HIPAA) . . . . . . . . . . . . . . . . . .85
USA Patriot Act 2001 . . . . . . . . . . . . . . . . . . . . . . . . .85
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86
Chapter 5 Information Security Standards and Audits. 87
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
BS 7799 and ISO 17799 . . . . . . . . . . . . . . . . . . . . . . . .89
A Canned History of BS 7799 . . . . . . . . . . . . . . . . .90
History of BS 7799, Part 2 . . . . . . . . . . . . . . . . . . . .92
PDCA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93
ISO/IEC 27001:2005: What Now for BS 7799? . . . . . . . . .98
PAS 56 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99
What Is PAS 56? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99
The Stages of the BCM Life Cycle . . . . . . . . . . . . . . .100
Stage 1: Initiate the BCM Project . . . . . . . . . . . . . .100
Stage 2: Understand the Business . . . . . . . . . . . . . . .100
Stage 3: Define BCM Strategies . . . . . . . . . . . . . . . .100
Stage 4: Produce a BCM Plan . . . . . . . . . . . . . . . . .101
Stage 5: Instill a BCM Culture . . . . . . . . . . . . . . . .101
Stage 6: Practice, Maintain, and Audit . . . . . . . . . . .101
FIPS 140-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102
Should I Bother with FIPS 140-2? . . . . . . . . . . . . . . . .102
What Are the Levels? . . . . . . . . . . . . . . . . . . . . . . . . . .102
Common Criteria Certification . . . . . . . . . . . . . . . . . . . . .103
Other CC Jargon . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
The Security Target . . . . . . . . . . . . . . . . . . . . . . . .103
Protection Profile . . . . . . . . . . . . . . . . . . . . . . . . .103
Evaluation Assurance Level . . . . . . . . . . . . . . . . . . .103
Types of Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104
Computer Audit as Part of the Financial Audit . . . . . . .104
Section 39 Banking Audit . . . . . . . . . . . . . . . . . . . . . .105
SAS 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106
Other Types of Audits . . . . . . . . . . . . . . . . . . . . . . . . .107
Tips for Managing Audits . . . . . . . . . . . . . . . . . . . . . .108
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .110
Chapter 6 Interviews, Bosses, and Staff . . . . . . . . . . 111
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112
Interviews as the Interviewee . . . . . . . . . . . . . . . . . . . .112
Interview 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113
Interview 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114
Interview 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
Interview 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116
Preinterview Questionnaires . . . . . . . . . . . . . . . . . . . .117
Interviews as the Interviewer . . . . . . . . . . . . . . . . . . . .119
Interview 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
Interview 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
Bosses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120
Runner-up for the Worst Boss in the World . . . . . . . . .120
Worst Boss in the World . . . . . . . . . . . . . . . . . . . . . . .120
Worst Employees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122
Chapter 7 Infrastructure Security . . . . . . . . . . . . . . . . 123
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124
Network Perimeter Security . . . . . . . . . . . . . . . . . . . .124
The Corporate Firewall . . . . . . . . . . . . . . . . . . . . . . . .126
Threat Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . .127
E-mail Protection . . . . . . . . . . . . . . . . . . . . . . . . . .128
Browser Content Control and Logging . . . . . . . . . .130
Web and FTP Server . . . . . . . . . . . . . . . . . . . . . . .131
Remote Access DMZ . . . . . . . . . . . . . . . . . . . . . . . . .131
Threat Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . .131
Remote Access Design Options . . . . . . . . . . . . . . . .132
E-commerce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
Threat Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . .136
Threat Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . .139
Just Checking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140
Chapter 8 Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144
What Is a Firewall, and What Does It Do? . . . . . . . . . .144
Why Do We Need Firewalls? . . . . . . . . . . . . . . . . . . . .146
Firewall Structure and Design . . . . . . . . . . . . . . . . . . . . . .147
Firewall Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147
Screening Routers . . . . . . . . . . . . . . . . . . . . . . . . .148
Application-Level Gateways or Proxies . . . . . . . . . .148
Circuit-Level Gateways . . . . . . . . . . . . . . . . . . . . . .149
The Stateful Inspection Firewall . . . . . . . . . . . . . . .149
So What Are the Features You Want from a Firewall? . .151
Stateful Rule Base . . . . . . . . . . . . . . . . . . . . . . . . .151
NAT/PAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
Antispoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
Advanced Logging . . . . . . . . . . . . . . . . . . . . . . . . .155
User-Authenticated Traffic . . . . . . . . . . . . . . . . . . .155
IPSec Termination . . . . . . . . . . . . . . . . . . . . . . . . .156
Ability to Define Your Own Protocols . . . . . . . . . . .156
Time-Based Rules . . . . . . . . . . . . . . . . . . . . . . . . .157
Other Types of Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . .157
Stealth Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
Virtualized Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . .158
Commercial Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . .158
The Cisco PIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .158
Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
Adaptive Security Algorithm . . . . . . . . . . . . . . . . .159
Cut-Through Proxy . . . . . . . . . . . . . . . . . . . . . . .161
Failover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163
Check Point FireWall-1 . . . . . . . . . . . . . . . . . . . . . . . .164
How It Works . . . . . . . . . . . . . . . . . . . . . . . . . . . .165
The Gory Details . . . . . . . . . . . . . . . . . . . . . . . . . .167
Security Policy: Global Policies . . . . . . . . . . . . . . . .170
SYNDefender . . . . . . . . . . . . . . . . . . . . . . . . . . . .171
Antispoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174
Chapter 9 Intrusion Detection Systems: Theory . . . . . 175
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .176
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177
Why Bother with an IDS? . . . . . . . . . . . . . . . . . . . . . . . . .178
Problems with Host-Based IDSes . . . . . . . . . . . . . . . . .179
Whether to Use a
HIDS or Not? That Is the Question . . . . . . . . . . . .179
And Is It A Bad Thing? . . . . . . . . . . . . . . . . . . . . . .180
NIDS in Your Hair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181
Detection Flaws . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182
Dropped Packets . . . . . . . . . . . . . . . . . . . . . . . . . . .182
Fragment Reassembly . . . . . . . . . . . . . . . . . . . . . . .183
Packet Grepping versus
Protocol Analysis, or Just Not Working Right . . . . .184
Lazy Rule Structure . . . . . . . . . . . . . . . . . . . . . . . .188
Poor Deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . .188
Switches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .189
SSL and Encryption . . . . . . . . . . . . . . . . . . . . . . . .190
Asymmetric Routing . . . . . . . . . . . . . . . . . . . . . . .192
Poor Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . .193
Signature Analysis . . . . . . . . . . . . . . . . . . . . . . . . . .193
Anomalous Traffic Detection . . . . . . . . . . . . . . . . . .195
For the Technically Minded . . . . . . . . . . . . . . . . . . . . . . . .199
Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199
RealSecure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .204
Chapter 10 Intrusion Detection Systems: In Practice 205
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206
Introduction:Tricks,Tips, and Techniques . . . . . . . . . . . . . .206
Deploying a NIDS: Stealth Mode . . . . . . . . . . . . . . . . .206
Spanning Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207
Tap Technology . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209
Failover Monitoring . . . . . . . . . . . . . . . . . . . . . . . .210
Aggregating Different Flows . . . . . . . . . . . . . . . . . .211
Asymmetric Routing . . . . . . . . . . . . . . . . . . . . . . . . . .212
IDS Deployment Methodology . . . . . . . . . . . . . . . . . . . . .213
The Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . .214
Selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215
Deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216
Step 1: Planning Sensor
Position and Assigning Positional Risk . . . . . . . . . . . . .217
Sensor 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217
Step 2: Establish Monitoring Policy and Attack Gravity 219
Step 3: Reaction . . . . . . . . . . . . . . . . . . . . . . . . . . . . .223
Step 4: Further Action: IPS . . . . . . . . . . . . . . . . . . . . .223
Firewalls, Master Blocking, and Inline IPSes . . . . . . .223
Host Detectors . . . . . . . . . . . . . . . . . . . . . . . . . . . .224
Application Interface . . . . . . . . . . . . . . . . . . . . . . . .224
Honeypots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .225
Information Management . . . . . . . . . . . . . . . . . . . . . . . .225
Log Management . . . . . . . . . . . . . . . . . . . . . . . . . . . .225
Console Management . . . . . . . . . . . . . . . . . . . . . . . . .226
Logical Access Controls . . . . . . . . . . . . . . . . . . . . . .226
Incident Response and Crisis Management . . . . . . . . . . . .227
Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229
Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229
Notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229
Containment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229
Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229
Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .230
Eradication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .230
Other Valuable Tips . . . . . . . . . . . . . . . . . . . . . . . . . .230
Test and Tune . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231
Tune . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231
Reduce False Positives . . . . . . . . . . . . . . . . . . . . . .231
Reduce False Negatives . . . . . . . . . . . . . . . . . . . . .232
Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .232
Technical Testing . . . . . . . . . . . . . . . . . . . . . . . . . . .232
Covert Penetration Testing . . . . . . . . . . . . . . . . . . .233
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234
Chapter 11 Intrusion Prevention and Protection . . . . 235
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .236
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237
What Is an IPS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237
Active Response: What Can an IPS Do? . . . . . . . . . . . . . .238
A Quick Tour of IPS Implementations . . . . . . . . . . . . . . . .239
Traditional IDSes with Active Response . . . . . . . . . . . .240
In-Line Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . .241
General In-Line IPSes . . . . . . . . . . . . . . . . . . . . . . .242
DDoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243
Application Firewall . . . . . . . . . . . . . . . . . . . . . . . .243
Deception Technology . . . . . . . . . . . . . . . . . . . . . . . . .245
Why Would I Want One? . . . . . . . . . . . . . . . . . . . .245
Extended Host OS Protection . . . . . . . . . . . . . . . . . . .246
Why Would I Want One? . . . . . . . . . . . . . . . . . . . .246
Example Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . .247
Dealing with DDoS Attacks . . . . . . . . . . . . . . . . . . . . .247
How It Works . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
Scrubbing and Cleansing:The Cisco Guard . . . . . . .249
An Open Source In-Line IDS/IPS: Hogwash . . . . . . . .250
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254
Chapter 12 Network Penetration Testing . . . . . . . . . . 255
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .256
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257
Types of Penetration Testing . . . . . . . . . . . . . . . . . . . . . . .258
Network Penetration Test . . . . . . . . . . . . . . . . . . . . . . .258
Application Penetration Test . . . . . . . . . . . . . . . . . . . .258
Periodic Network Vulnerability Assessment . . . . . . . . . .258
Physical Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . .259
Network Penetration Testing . . . . . . . . . . . . . . . . . . . . . .259
An Internet Testing Process . . . . . . . . . . . . . . . . . . . . .259
Test Phases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .259
Passive Research . . . . . . . . . . . . . . . . . . . . . . . . . . .259
Network Enumeration and OS Fingerprinting . . . . .262
Host Enumeration . . . . . . . . . . . . . . . . . . . . . . . . .262
Vulnerability Scanning . . . . . . . . . . . . . . . . . . . . . .265
Scenario Analysis . . . . . . . . . . . . . . . . . . . . . . . . . .266
Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .269
Internal Penetration Testing . . . . . . . . . . . . . . . . . . . . .270
Application Penetration Testing . . . . . . . . . . . . . . . . . .270
Application Pen Test
Versus Application System Testing . . . . . . . . . . . . . .270
Controls and the Paperwork You Need . . . . . . . . . . . . . . .274
Indemnity and Legal Protection . . . . . . . . . . . . . . . . . .274
Scope and Planning . . . . . . . . . . . . . . . . . . . . . . . . . . .275
Success Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . .275
Escalation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .275
DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .276
Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . .276
What’s the Difference between a Pen Test and Hacking? . . .276
Who Is the Hacker? . . . . . . . . . . . . . . . . . . . . . . . . . .276
The Digital Blagger: Hacking for Profit . . . . . . . . .277
Hacktivists:The Digital Moral Outrage . . . . . . . . . .277
White Hats:The Digital Whistleblowers . . . . . . . . . .278
Script Kiddies . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
The End of the Story . . . . . . . . . . . . . . . . . . . . . . .279
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .280
Chapter 13 Application Security
Flaws and Application Testing . . . . . . . . . . . . . . . . . . . 281
Anecdote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .282
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .282
The Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . .283
Configuration Management . . . . . . . . . . . . . . . . . . . . . . .284
Unvalidated Input . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .285
Buffer Overflows . . . . . . . . . . . . . . . . . . . . . . . . . . . . .286
Cross-Site Scripting . . . . . . . . . . . . . . . . . . . . . . . . . . .288
SQL Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .291
Command Injection . . . . . . . . . . . . . . . . . . . . . . . . . .294
Bad Identity Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295
Forceful Browsing . . . . . . . . . . . . . . . . . . . . . . . . . . . .296
URL Parameter Tampering . . . . . . . . . . . . . . . . . . . . .297
Insecure Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297
Fixing Things . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .298
Qwik Fix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .299
For the More Technically Minded . . . . . . . . . . . . . . . . . . .299
Does It Work? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .301
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .302
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Another Hacker Books
Another Computer Security Books
Download
No comments:
Post a Comment