Professional Documents
Culture Documents
CompTIA Security+ All-in-One Exam Guide (Exam SY0-501) 5th Edition Wm. Arthur Conklin full chapter instant download
CompTIA Security+ All-in-One Exam Guide (Exam SY0-501) 5th Edition Wm. Arthur Conklin full chapter instant download
https://ebookmass.com/product/comptia-security-all-in-one-exam-
guide-exam-sy0-601-wm-arthur-conklin/
https://ebookmass.com/product/comptia-security-all-in-one-exam-
guide-sixth-edition-exam-sy0-601-wm-arthur-conklin/
https://ebookmass.com/product/comptia-security-all-in-one-exam-
guide-fifth-edition-exam-sy0-501-5th-edition-ebook-pdf/
https://ebookmass.com/product/csslp-certified-secure-software-
lifecycle-professional-all-in-one-exam-guide-3rd-edition-wm-
arthur-conklin/
Mike Meyers' CompTIA Security+ Certification Guide,
Second Edition (Exam SY0-501) Mike Meyers
https://ebookmass.com/product/mike-meyers-comptia-security-
certification-guide-second-edition-exam-sy0-501-mike-meyers/
https://ebookmass.com/product/csslp-secure-software-lifecycle-
professional-all-in-one-exam-guide-third-edition-3rd-edition-wm-
arthur-conklin-daniel-paul-shoemaker/
https://ebookmass.com/product/csslp-secure-software-lifecycle-
professional-all-in-one-exam-guide-third-edition-3rd-edition-wm-
arthur-conklin-daniel-paul-shoemaker-2/
https://ebookmass.com/product/mike-meyers-comptia-security-
certification-passport-exam-sy0-501-dawn-dunkerley/
https://ebookmass.com/product/comptia-security-get-certified-get-
ahead-sy0-501-study-guide-ebook-pdf/
All-In-One / CompTIA Security+® All-in-One Exam Guide, 5e / Conklin / 932-2 / Front Matter
Blind Folio: i
ALL IN ONE
CompTIA
Security+ ®
EXAM GUIDE
Fifth Edition (Exam SY0-501)
McGraw-Hill Education is an independent entity from CompTIA®. This publication and CD-ROM may be used in assisting
students to prepare for the CompTIA Security+® exam. Neither CompTIA nor McGraw-Hill Education warrant that use
of this publication and CD-ROM will ensure passing any exam. CompTIA and CompTIA Security+ are trademarks or
registered trademarks of CompTIA in the United States and/or other countries. All other trademarks are trademarks of their
respective owners.
Chuck Cothren, CISSP, Security+, is a Field Engineer at Ionic Security applying over
20 years of information security experience in consulting, research, and enterprise envi-
ronments. He has assisted clients in a variety of industries including healthcare, banking,
information technology, retail, and manufacturing. He advises clients on topics such
as security architecture, penetration testing, training, consultant management, data loss
prevention, and encryption. He is coauthor of the books Voice and Data Security and
Principles of Computer Security.
Roger L. Davis, CISSP, CISM, CISA, is a Technical Account Manager for Microsoft
supporting enterprise-level companies. He has served as president of the Utah chapter
of the Information Systems Security Association (ISSA) and various board positions for
the Utah chapter of the Information Systems Audit and Control Association (ISACA).
He is a retired Air Force lieutenant colonel with 30 years of military and information
systems/security experience. Mr. Davis served on the faculty of Brigham Young University
and the Air Force Institute of Technology. He coauthored McGraw-Hill Education’s
Principles of Computer Security and Voice and Data Security. He holds a master’s degree in
computer science from George Washington University, a bachelor’s degree in computer
science from Brigham Young University, and performed post-graduate studies in electri-
cal engineering and computer science at the University of Colorado.
Dwayne Williams, CISSP, CASP, is Associate Director, Technology and Research,
for the Center for Infrastructure Assurance and Security at the University of Texas at
San Antonio and is the Director of the National Collegiate Cyber Defense Competi-
tion. Mr. Williams has over 24 years of experience in information systems and network
security. Mr. Williams’s experience includes six years of commissioned military service
as a Communications-Computer Information Systems Officer in the United States Air
Force, specializing in network security, corporate information protection, intrusion de-
tection systems, incident response, and VPN technology. Prior to joining the CIAS,
he served as Director of Consulting for SecureLogix Corporation, where he directed
and provided security assessment and integration services to Fortune 100, government,
public utility, oil and gas, financial, and technology clients. Mr. Williams graduated in
1993 from Baylor University with a bachelor of arts in computer science. Mr. Williams
is a coauthor of Voice and Data Security, Principles of Computer Security, and CompTIA
Security + All-in-One Exam Guide.
Higher Salaries
IT professionals with certifications on their resume command better jobs, earn higher
salaries, and have more doors open to new multi-industry opportunities.
Verified Strengths
91% of hiring managers indicate CompTIA certifications are valuable in validating
IT expertise, making certification the best way to demonstrate your competency and
knowledge to employers. (Source: CompTIA Employer Perceptions of IT Training and
Certification.)
Universal Skills
CompTIA certifications are vendor neutral—which means that certified professionals
can proficiently work with an extensive variety of hardware and software found in most
organizations.
CompTIA Disclaimer
© 2016 CompTIA Properties, LLC, used under license by CompTIA Certifications,
LLC. All rights reserved. All certification programs and education related to such pro-
grams are operated exclusively by CompTIA Certifications, LLC. CompTIA is a regis-
tered trademark of CompTIA Properties, LLC in the U.S. and internationally. Other
brands and company names mentioned herein may be trademarks or service marks of
CompTIA Properties, LLC or of their respective owners. Reproduction or dissemination
of this courseware sheet is prohibited without written consent of CompTIA Properties,
LLC. Printed in the U.S. 02544-Mar2016.
The logo of the CompTIA Approved Quality Curriculum Program and the status of
this or other training material as “Approved” under the CompTIA Approved Curriculum
Program signifies that, in CompTIA’s opinion, such training material covers the content
of CompTIA’s related certification exam. CompTIA has not reviewed or approved the
accuracy of the contents of this training material and specifically disclaims any warran-
ties of merchantability or fitness for a particular purpose. CompTIA makes no guarantee
concerning the success of persons using any such “Approved” or other training material
in order to prepare for any CompTIA certification exam.
CONTENTS AT A GLANCE
vii
Index.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
CONTENTS
Preface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxii
Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxiii
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxiv
Objective Map: Exam SY0-501 . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix
ix
Contents
xi
Collision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Downgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Replay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Weak Implementations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Chapter 3 Threat Actors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Types of Actors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Script Kiddies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Hacktivists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Organized Crime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Nation States/APT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Insiders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Competitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Attributes of Actors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Internal/External . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Level of Sophistication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Resources/Funding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Intent/Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Use of Open Source Intelligence . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Chapter 4 Vulnerability Scanning and Penetration Testing . . . . . . . . . . . . . . . . 71
Penetration Testing Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Active Reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Passive Reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Pivot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Initial Exploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Escalation of Privilege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Black Box . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
White Box . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Gray Box . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Pen Testing vs. Vulnerability Scanning . . . . . . . . . . . . . . . . . . 76
Vulnerability Scanning Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Passively Test Security Controls . . . . . . . . . . . . . . . . . . . . . . . 76
Identify Vulnerability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Identify Lack of Security Controls . . . . . . . . . . . . . . . . . . . . . 77
Identify Common Misconfigurations . . . . . . . . . . . . . . . . . . . 77
Intrusive vs. Non-intrusive . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Credentialed vs. Non-credentialed . . . . . . . . . . . . . . . . . . . . . 77
False Positive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Contents
xiii
VPN Concentrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Remote Access vs. Site-to-Site . . . . . . . . . . . . . . . . . . . . . . . . 108
IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Split Tunnel vs. Full Tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . 115
TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Always-on VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
NIPS/NIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Signature-Based . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Heuristic/Behavioral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Anomaly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Inline vs. Passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
In-Band vs. Out-of-Band . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Analytics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Antispoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Port Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Layer 2 vs. Layer 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Loop Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Flood Guard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Forward and Reverse Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Transparent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Application/Multipurpose . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Load Balancer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Scheduling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Active-Passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Active-Active . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Virtual IPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Access Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
SSID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
MAC Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Signal Strength . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Band Selection/Width . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Antenna Types and Placement . . . . . . . . . . . . . . . . . . . . . . . . 129
Fat vs. Thin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Controller-Based vs. Standalone . . . . . . . . . . . . . . . . . . . . . . 130
SIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Aggregation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Correlation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Automated Alerting and Triggers . . . . . . . . . . . . . . . . . . . . . . 131
Time Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Event Deduplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Logs/WORM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Contents
xv
tcpdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
netcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Security Technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
HIDS/HIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
File Integrity Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Host-Based Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Application Whitelisting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Removable Media Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Advanced Malware Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Patch Management Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
UTM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Data Execution Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Web Application Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Chapter 8 Troubleshooting Common Security Issues . . . . . . . . . . . . . . . . . . . . . 169
Unencrypted Credentials/Clear Text . . . . . . . . . . . . . . . . . . . . . . . . 169
Logs and Events Anomalies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Permission Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Access Violations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Certificate Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Data Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Misconfigured Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Content Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Access Points . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Weak Security Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Personnel Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Policy Violation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Insider Threat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Social Media . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Personal E-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Unauthorized Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Baseline Deviation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
License Compliance Violation (Availability/Integrity) . . . . . . . . . . . 176
Asset Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Authentication Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Contents
xvii
Corporate-Owned . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
VDI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Chapter 10 Implementing Secure Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Secure Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
DNSSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
S/MIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
SRTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
LDAPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
FTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
SFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Secure POP/IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Use Cases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Voice and Video . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Time Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
E-mail and Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
File Transfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Directory Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Remote Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Domain Name Resolution . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Routing and Switching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Network Address Allocation . . . . . . . . . . . . . . . . . . . . . . . . . 208
Subscription Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Contents
xix
Supply Chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Hardware Root of Trust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
EMI/EMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Operating Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Patch Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Disabling Unnecessary Ports and Services . . . . . . . . . . . . . . . 247
Least Functionality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Secure Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Trusted Operating System . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Application Whitelisting/Blacklisting . . . . . . . . . . . . . . . . . . 249
Disable Default Accounts/Passwords . . . . . . . . . . . . . . . . . . . 250
Peripherals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Wireless Keyboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Wireless Mice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Displays . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Wi-Fi-Enabled MicroSD Cards . . . . . . . . . . . . . . . . . . . . . . . 251
Printers/MFDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
External Storage Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Digital Cameras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Sandboxing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Staging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Production . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Secure Baseline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Integrity Measurement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Chapter 13 Embedded Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
SCADA/ICS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Smart Devices/IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Wearable Technology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Home Automation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
HVAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
SoC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
RTOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Printers/MFDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Camera Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Special Purpose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Medical Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Vehicles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Aircraft/UAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
The apparatus just mentioned and shown in Fig. 366 is used from
the very first day until total cicatrization has taken place, and even
for a longer period to aid in shaping the entire nose and the tendency
to collapse has been overcome.
Fig. 366.—Berger Retention Apparatus.
Periostitic Supports
Osteoperiostitic Supports