iPAS中級資訊安全工程師考試準備心得

更新時間:2023/4/10

通過考試條件

• 考試科目/版本:資訊安全防護實務、資訊安全規劃實務
• 考試費用:共2000元台幣
• 題型:單選、多選共40題
• 考試時間:每科考試時間90分鐘
• 通過分數:70分以上
• 題語系:繁體中文

心得

這門考試有兩科，分別是資訊安全規劃實務、資訊安全防護實務，考試費用是兩千塊，這考試環境考駕照的筆試差不多，這個證照有被列入行政院資通安全專業證照範圍，這個考試滿分100分，70分為合格（成績計算以四捨五入方式取整數），如果只有過一科，保留及格單科成績自應考日起三年有效，中級跟初級不一樣的地方是初級考資訊安全管理概論跟資訊安全技術概論，初級過了永久有效，不需換發，中級有效期為5年，證書有效期限屆滿前三個月內，申請換發，取得證書後，每5年內須接受資訊安全相關訓練，合計時數48小時以上，從事資訊安全相關工作，取得證書後每一年工作年資得抵訓練時數8小時，換證期限以證照到期日之前後3個月內為期限。

準備方向/攻略

如同 @Not 所寫那篇

iPAS資訊安全工程師中級筆記

他大概已經都點出來

這邊就看到沒有寫到的部分或者我覺得需要的補充

政府、法規類(詳線上參考資源、資料)

各機關資通安全事件通報及應變處理作業程序

• 各機關應成立資通安全事件通報及應變小組(以下簡稱通報應變小組)，於平時進行演練，並於發生資通安全事件時，依事件等級進行通報及應變作業。

• 第三級或第四級資通安全事件，各機關除依前目規定通報外，應另以電話通知上級機關或中央目的事業主管機關，若無上級機關者，應通知主管機關；行政院資通安全處就第三級或第四級資通安全事件，依國土安全緊急通報作業規定轉報行政院國土安全辦公室。

資通安全責任等級分級辦法

• 主管機關應每二年核定自身資通安全責任等級。

• 公務機關及特定非公務機關（以下簡稱各機關）之資通安全責任等級，由高至低，分為A級、B級、C級、D級及E級。

• A級
  業務涉及國家機密、涉及外交、國防或國土安全事項、全國性民眾服務或跨公務機關共用性資通系統之維運、全國性民眾或公務員個人資料檔案之持有、屬公務機關，且業務涉及全國性之關鍵基礎設施事項、屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性，認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生災難性或非常嚴重之影響、屬公立醫學中心。

• B級
  業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理、區域性、地區性民眾服務或跨公務機關共用性資通系統之維運、區域性或地區性民眾個人資料檔案之持有、中央二級機關及所屬各級機關（構）共用性資通系統之維運、公務機關，且業務涉及區域性或地區性之關鍵基礎設施事項、屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性，認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響、屬公立區域醫院或地區醫院。

• C級
  各機關維運自行或委外設置、開發之資通系統者、自行或委外設置之資通系統，指具權限區分及管理功能之資通系統。

• D級
  自行辦理資通業務，未維運自行或委外設置、開發之資通系統者。

• E級
  無資通系統且未提供資通服務、屬公務機關，且其全部資通業務由其上級機關、監督機關或上開機關指定之公務機關兼辦或代管、屬特定非公務機關，且其全部資通業務由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關、中央目的事業主管機關所管特定非公務機關或出資之公務機關兼辦或代管。

資通安全管理法

• 資通安全事件：指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安全政策之威脅。
• 特定非公務機關：指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
• 關鍵基礎設施：指實體或虛擬資產、系統或網路，其功能一旦停止運作或效能降低，對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞，經主管機關定期檢視並公告之領域。

資通安全法施行細則

• 資通安全維護計畫，應包括下列事項：
  一、核心業務及其重要性。
  二、資通安全政策及目標。
  三、資通安全推動組織。
  四、專責人力及經費之配置。
  五、公務機關資通安全長之配置。
  六、資通系統及資訊之盤點，並標示核心資通系統及相關資產。
  七、資通安全風險評估。
  八、資通安全防護及控制措施。
  九、資通安全事件通報、應變及演練相關機制。
  十、資通安全情資之評估及因應機制。
  十一、資通系統或服務委外辦理之管理措施。
  十二、公務機關所屬人員辦理業務涉及資通安全事項之考核機制。
  十三、資通安全維護計畫與實施情形之持續精進及績效管理機制。

資通安全事件通報及應變辦法 - 資通安全事件分為四級

• 一級
  非核心業務資訊遭輕微洩漏、或非核心資通系統遭輕微竄改、運作受影響或停頓，於可容忍中斷時間內回復正常運作，造成機關日常作業影響。

• 二級
  非核心業務資訊遭嚴重洩漏，或未涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏、遭嚴重竄改，或未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改、受影響或停頓，無法於可容忍中斷時間內回復正常運作，或未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，於可容忍中斷時間內回復正常運作。

• 三級
  未涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏，或一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏、或核心資通系統遭嚴重竄改，或一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改、運作受影響或停頓，無法於可容忍中斷時間內回復正常運作，或涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，於可容忍中斷時間內回復正常運作。

• 四級
  一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏，或國家機密遭洩漏、或核心資通系統遭嚴重竄改，或國家機密遭竄改、受影響或停頓，無法於可容忍中斷時間內回復正常運作。

通報內容

• 資通安全事件之通報內容應包括下列項目，發生機關、發生或知悉時間、狀況之描述、等級之評估、因應事件所採取之措施、外部支援需求評估、其他相關事項。

處理時間

• 公務機關知悉資通安全事件後，應於1小時內依主管機關指定之方式及對象，進行資通安全事件之通報。

• 通報為第一級或第二級資通安全事件者，於接獲後八小時內。

• 通報為第三級或第四級資通安全事件者，於接獲後二小時內。

• 公務機關知悉資通安全事件後，應依規定完成損害控制或復原作業，並依主管機關指定之方式及對象辦理通知事宜；第一級或第二級資通安全事件，於知悉事件後72小時內；第三級或第四級資通安全事件，於知悉事件後三十六小時內。

• 中央目的事業主管機關應於特定非公務機關完成資通安全事件之通報後，依下列規定時間完成該資通安全事件等級之審核，並得依審核結果變更其等級；通報為第一級或第二級資通安全事件者，於接獲8小時內；通報為第三級或第四級資通安全事件者，於接獲後兩小時內。

• 特定非公務機關知悉資通安全事件後，應於一小時內依中央目的 事業主管機關指定之方式，進行資通安全事件之通報。前項資通安全事件等級變更時，特定非公務機關應依前項規定，續行通報。特定非公務機關因故無法依第一項規定方式通報者，應於同項規定之時間內依其他適當方式通報，並註記無法依規定方式通報之事由。

GDPR

• 只要符合條件，就必須適用 GDPR(客戶有歐盟公民、雇用歐盟公民員工、與歐盟供應商合作、不只企業、非營利組織與政府也適用)
• GDPR 保護的個資種類非常多，像是電話、地址、車牌、指紋、相片、郵件內容、問卷，甚至地理位置、社會認同等等。
• 違反 GDPR，可以分為以下幾種(保護不周：企業對民眾個資保護不周，被竊取、外洩。就算個資未外洩，只要防護不周就算違反;脫離約定目的、缺乏正當性：像是把某活動搜集的個資，用於另一個無關的活動或機構使用;未給予當事人應有權利：包括前面所述的「刪除」、「更正」、「轉移」等權利)

個人資料保護法

• 本法第六條第一項但書第四款、第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條第一項但書第五款所稱無從識別特定當事人，指個人資料以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人者。

屬性資料 例如姓名、生日及身分證字號

行為資料 例如健康檢查與犯罪前科

當事人個人資料自主權利不得預先拋棄

特定目的之蒐集、處理或利用

明確告知蒐集之目的、個人資料類別、其使用範圍及資料來源

國家機密保護法

• 密等只有機密、極機密、絕對機密
• 分別是10年、20年、30年
• 接獲報請後30日內完成核定密等

管理類

資訊安全存取控制模型

• 強制存取控制 Mandatory Access Control,MAC

• 自主存取控制 Discretionary Access Control,DAC

• 識別存取控制 Identity-Based Access Control,IBAC

• 規則基礎存取控制 Rule-Based Access Control,RuBAC

• 系統角色存取控制 Role-Based Access control,RBAC

• History-Based Access Control,HBAC

• 屬性存取控制 Attribute-based Access Control,ABAC

• Organization-Based Access control,OrBAC

縱深防禦 Defense in depth

NIST網路安全框架 Cybersecurity Freamwork CSF

目的是降低營運關鍵基礎設施之組織的網路安全風險

網路安全框架包含框架核心Framework core、框架執行的層級Framework Tires及框架組態Framework Profile

框架核心可在分為五大功能面向，組織可依據此框架評估資通安全風險，並依據風險高低採取適當控管措施降低風險

• 識別:資產管理、營運環境、治理、風險評估、風險管理策略
• 保護:存取控制、認知與教育訓練、資料安全、資料保護與程序、維護、防護技術
• 偵測:異常與事件、持續性的全監、檢測流程
• 回應:回應計畫、溝通 、分析、緩解、改善
• 復原:復原計畫、改善、溝通

風險管理
風險識別 → 風險分析 → 風險評估 → 風險計畫 → 風險處理 → 殘餘風險再評鑑

風險識別
盤點資訊資產，做資產清冊。

風險分析
依資訊資產清冊，依可用性、完整性、機密性量化並全盤檢視，決定風險等級。

風險評估(評鑑)

本階段是識別資訊資產、威脅、弱點、衝擊、可能性、已佈署的控制措施、計算出風險大小、排出風險處理的優先序及確認可接受風險的步驟，為確保在進行風險評鑑時的客觀性，必須以建立全景階段時所定義的風險評估準則、衝擊準則及風險接受準則為依據。風險評估的方法可在區分為高階風險評鑑與詳細風險評鑑做法

• 識別及分析對人員、財產或環境可能有潛在危害的事件
• 識別重要營運服務項目
• 營運衝擊分析
• 風險評鑑

定量分析

• 試圖去分配獨立的數量化價值物件 (例如財務價值)作為風險評鑑的要素及潛在損失的評估。
• 當全部要素(資訊資產價值、影響、威脅頻率、防護效果、防護成本、不確定性及可能性)是定量化處理,則表示完全定量的考慮。

定性分析

• 風險矩陣
• 以情節為導向。
• 資訊資產價值、弱點及威脅的重要等級。

風險計算
資產風險計算需考量資產價值(C+I+A)、可能性及衝擊性等項目。
資產價值＝資產之[機密性 C＋完整性 I＋可用性 A ]。
資產風險＝ 資產價值(C+I+A) x 可能性x 衝擊性

風險移轉
根據風險評估結果，對於特定風險最有效的管理，可能是將風險轉移給其他方。採取此種方式須考量涉及與外部分擔風險的決策、會不會產生新的風險或改變現有的及已識別的風險

風險規避

• 風險規避是風險應對的一種方法，是指通過計劃的變更來消除風險或風險發生的條件，保護目標免受風險的影響。 風險規避並不意味著完全消除風險，我們所要規避的是風險可能給我們造成的損失。 一是要降低損失發生的機率，這主要是採取事先控制措施；二是要降低損失程度，這主要包括事先控制、事後補救兩個方面。

營運持續管理 BCMS

• 執行營運衝擊分析
• 建立營運持續策略
• 撰寫緊急應變計畫
• 撰寫營運持續計畫
• 營運持續計畫演練

業務持續運作管理程序包含下列步驟
-建立業務持續運作策略
-營運衝擊分析
-識別防禦性控制措施
-發展復原策略
-測試與演練
-維護營運持續計畫

營運持續計畫 BCP

• 計畫啟動條件
• 緊急應變程序
• 滅災程序
• 後撤級召回程序
• 維護時程表
• 定期演練及教育訓練

營運衝擊分析 Business Impact Analysis

• 產品與服務、流程、活動
• 財務衝擊
• 商譽衝擊
• 法規衝擊

營運衝擊分析BIA的步驟:
-識別機關的核心業務功能
-識別核心業務所仰賴的資源
-計算核心業務可容許缺少資源的時間
-識別核心業務面臨的威脅與弱點
-計算不同業務功能的風險
-確認業務功能與資源復原的先後順序

服務水準協議SLA，Service Level Agreement
(服務層級協議也稱服務級別協定、服務等級協定、服務水平協定)

• 服務提供商與客戶之間定義的正式承諾。服務提供商與受服務用戶之間具體達成了承諾的服務指標——品質、可用性，責任。

情資分享

• 資安聯防
• 資安資訊分享與分析中心 ISAC,Information Sharing and Analysis Center
• 情資交換分享格式 STIX,Structured Threat Information eXpression
• 情資分享交換協定 TAXII,Trusted Automated Exchange of Intelligence Information

資安監控

• 安全營運中心 SOC,Security Operation Center
• 安全管理服務 MSS,Managed Security Service
• 安全管理服務供應商 MSSP,Managed Security Service Provider
• 資安事件管理系統 SIEM,Security Information Event Management
• 資安事件 Information Security Event
• 資安事故 Information Security Incident

SOC營運模式

• 自建，自行採購設備由IT部門負責提供24X7或者8X5監控業務
• 委外，由業者提供透過遠端方式進行監控
• 協同維護，

資安事件處理

• 事前防護作業
• 事中應變
• 事後復原

資安通報

• TWCERT/CC台灣電腦網路危機處理暨協調中心
  是我國企業資安事件通報及協處窗口
  提供企業資安事件諮詢及協調協處服務

資安險

• 政治大學風險管理與保險系教授林建智認為，資安險是企業的後層防護，企業資訊部門已經在前端建置資安防護後，仍然出現資安漏洞，才需要來做資安險。
• 保險事業發展中心董事長桂先農也談到，資安險一方面是損害填補，資安險提供補償企業因為資安事件發生而遭受的財物損失，另一方面是損害防阻，亦即企業透過保險機制的運作，不僅在資安事件發生之前能夠預防損失的發生，以及預防企業資產損失擴大。資安險能夠為企業取得緊急應變的費用，來補償資安損失，以利企業可以快速恢復營運。

技術、實務類

磁碟管理 RAID

• RAID 0 基本上需透過兩台硬碟所組成，RAID 0 無『容錯功能 Fault Tolerant 』，只是很單純將 2台硬碟當成 1台容量加倍的儲存設備使用的架構。
• RAID 1 由兩台硬碟機所組成，並透過其獨特的鏡像功能（Mirror）將一隻檔案自動變成兩份，並同時儲存在兩台硬碟機內，滿足一般使用者「自動資料備份」的完善功能；即便其中一台硬碟機發生問題，只要另一台仍為正常狀態，便可以維持其RAID 1功能正常運作，為一般使用者最常使用的磁碟陣列。
• RAID 5 最少需要透過3台硬碟機來構成，RAID 5的 Block Striping 儲存原理，將資料分散儲存至各硬碟中，當硬碟受損時則經由XOR運算，再將存在其他正常硬碟內的Parity Blocks及Data Stripe磁區的Data Blocks，進行計算而重建，進而將RAID 5 Rebuild，而 Parity 運算就是 RAID 5的容錯機制。
• RAID 6 RAID家族中的新技術，是從RAID 5基礎上擴展而來的。RAID 6增加了第二顆獨立的奇偶校驗資訊塊。兩個獨立的奇偶系統使用不同的演算法，資料的可靠性非常高，即使2塊磁碟同時失效也不會影響資料的使用。對於資料安全要求很高。較差的效能和複雜的實作方式使得RAID 6很少得到實際應用。
• RAID 0+1 RAID 01，至少需要4顆硬碟組成，綜合了RAID 0和RAID 1的特點，將兩套完整的RAID 0組成一個RAID 1。安全性相較RAID 0 高，讀寫性能相較RAID 1高 。構建RAID 01磁碟陣列的成本投入大，資料空間利用率低 。
• RAID 5+0
• RAID 1+0 與RAID 0+1的組成方式相反，RAID 1+0以先鏡射再分割資料，將兩套完整的RAID 1組成一個RAID 0。安全性相較RAID 0+1高，讀寫性能相較RAID1高 。構建 RAID 10磁碟陣列的成本投入大 ，資料空間利用率低 。

網路、路由協定

• Router on a stick 單臂路由
  執行流量轉發的單臂路由器通常是在虛擬區域網路（VLAN）上實現的。它們將使用單個乙太網路網路埠，作為兩個或多個虛擬區域網路的一部分，使它們能夠加入。
  一個VLAN允許多個虛擬區域網路共存於同一物理區域網路中。這意味著連接在同一交換機上的兩台機器不能互相傳送乙太網路影格，即使它們是通過相同的電線。如果它們需要通信，則必須在兩個VLAN之間放置一個路由器來轉發封包，就像兩個區域網路是物理上是隔離的一樣。
  唯一不同的是，有關路由器可能只包含一個乙太網路網路介面控制器（NIC），它是兩個VLAN的一部分。也就是「單臂」。雖然不常見，但是同一物理媒介上的主機可能會被分配到不同的位址和網路。單臂路由器可以被每個網路分配位址，用於在本地不同網路之間轉發流量，並通過另一個閘道器轉發到遠端網路。執行流量轉發的單臂路由器通常是在虛擬區域網路上實現的。它們將使用單個乙太網路網路埠，作為兩個或多個虛擬區域網路的一部分，使它們能夠加入。

單臂路由器也被用於管理目的，例如路由收集，多跳中繼和路由鏡子伺服器。

• Route Convergence 路由收斂

• 通過路由收斂可以使路由域中所有路由器對當前的網絡結構和路由轉發達成一致的狀態。
• 收斂時間是指從網絡的拓撲結構發生變化到網絡中所有路由設備中路由表重新保持一致的狀態轉換過程。
• 路由收斂指網絡的拓撲結構發生變化後，路由表重新建立到發送再到學習直至穩定，並通告網絡中所有相關路由器都得知該變化的過程。也就是網絡拓撲變化引起的通過重新計算路由而發現替代路由的行為。

防火牆管理

• UTM (Unified Threat Management)
• 次世代防火牆NGFW (Next-Generation Firewall)
• 防火牆安全性可參考 Common Criteria EAL認證

入侵偵測系統IDS / 入侵防護系統 IPS

• 特徵碼比對
• 異常行為模式分析
• 被動反應:只將異常事件紀錄下來提供後續進行分析調查
• 主動反映:立即將異常活動事件進行封鎖阻斷
• 佈署模式:監聽模式monitor mode、掛線模式INLINE mode
• 監聽模式不影響網路佈署，防禦效果比較差
• 掛線模式防禦能力較強可以阻擋TCP/UDP異常活動

虛擬網路(段)VLAN / 網段切割Segmentation

• ACL

誘捕系統(密罐) Honey pot

• 一個吸引攻擊者的目標，透過誘捕的手法，吸引駭客發動攻擊，以蒐集攻擊者的來源以及攻擊手法，現在除了應用在蒐集病毒特徵、攻擊手法，也用來蒐集假網站的IP，以及散布木馬或間諜程式等惡意來源名單，藉此觀察病蠕蟲、駭客入侵或惡意攻擊的來源、手段、管道及模式，由於會將所有攻擊動作與過程記錄下來，已經成為蒐集駭客資訊的重要方式之ㄧ。

網站攻擊手法

• 資料隱碼攻擊 SQL Injection
• 跨站請求偽造攻擊 CSRF (OWASP 2017排名第13)
  利用伺服器端對瀏覽器的信任
  使用者在不知情狀況下，不小心點選特定連結連回特定網站執行惡意指令
• 跨站腳本攻擊 XSS
  利用瀏覽器端對伺服器的信任
  反射式、儲存式、檔案物件模型
  HTML.Encode是可以解決XSS的一種方法
  取得受害者Cookie中的機敏資料
• 外部實體攻擊 XXE

DOS 服務阻斷攻擊
其目的在於使目標電腦的網路或系統資源耗盡，使服務暫時中斷或停止，導致其正常使用者無法存取。
阻斷服務攻擊症狀包括：
網路異常緩慢（打開檔案或存取網站）
特定網站無法存取
無法存取任何網站
垃圾郵件的數量急劇增加
無線或有線網路連接異常斷開
長時間嘗試存取網站或任何網際網路服務時被拒絕
伺服器容易斷線、卡頓、存取延遲

DDOS 分散式服務阻斷攻擊Distributed Denial of Service

• 【佔滿頻寬】體積型攻擊（Volumetric attacks）
  此類攻擊以每秒位元數（bits per second, bps）為單位計算。
  (ICMP flood attack（ICMP洪泛攻擊）、UDP flood attack（UDP洪泛攻擊）以及Amplification attack（流量反射放大攻擊）等等)
• 【佔滿資源】協定攻擊（Protocol attacks）
  此類攻擊以每秒封包數（packets per second, bps）為單位計算。
  (SYN flood attack（SYN洪泛攻擊）)
• 【佔滿負載】應用層攻擊（Application-layer Attacks）
  此類攻擊以每秒請求數（requests per second, bps）為單位計算。
  (HTTP flood attack（HTTP洪泛攻擊）、Slow attacks（慢速攻擊）、Challenge Collapsar attack, CC attack（CC攻擊）等等。)

OWASP TOP 10 2017版本
A2:2017-Broken Authentication (預設密碼、弱密碼、常用密碼、自動登入)
A3:2017-Sensitive Data Exposure (Google Hacking找到的東西用來進行滲透或入侵)
A4:2017-XML External Entities (XXE) XML外部處理器漏洞
A7:2017-Cross-Site Scripting (XSS)跨站腳本攻擊
A8:2017-Insecure Deserialization 不安全的反序列化漏洞，鎖定Java或php、node.js
A10:2017-Insufficient Logging & Monitoring

OWASP TOP 10 IOT
CWE，Common Weakness Enumeration
ISSAF，The Information System Security Assessment Framework 資訊系統安全評估框架

雲端、雲服務
AZURE 本地備援儲存體（Locally-redundant storage, LRS）
AZURE 異地備援儲存體（Geo-redundant storage, GRS）

工業控制/IOT/OT/ICS/SCADA

• ISA/IEC 62443-2-1 資通安全管理系統(CSMS)
• ISA/IEC 62443-2-2 成熟度評估
• ISA/IEC 62443-2-4 安全計畫要求
• ISA/IEC 62443-3-2 工控系統風險評鑑
• ISA/IEC 62443-4-1 產品開發要求 8 Practices, 47 Requirements
• ISA/IEC 62443-4-2 工控系統（IACS）組件的技術安全要求 7項基本要求 95項安全要求

資安健診
資安健診是整合各資通安全項目的檢視服務作業，提供機關資安改善建議。
藉由實施技術面與管理面的相關控制措施，提升機關整體資安能力。
針對已知弱點進行修補，並持續追蹤可能存在的風險。
資通安全責任等級分級辦法第11條
辦理頻率
A級機關，每年辦理一次。
B、C級機關，每兩年辦理一次。

弱點掃描VA
漏洞是指因為系統本身的問題所產生，可被利用的脆弱點，如程式碼缺陷、系統未更新以及人為操作不當等問題

• Path Manipulation 路徑竄改
• 關注找到已知弱點
• 弱點管理 CVE(弱點資料庫) / CVSS(弱點嚴重等級區分，目前為3.0)
• CVSS衡量標準(攻擊向量、攻擊複雜度、是否需要提權、是否需要使用者介入操作、影響範圍、機密性、完整性、可用性影響

主機/系統層面弱掃

• Nessus
• OpenVAS
• Rapid 7 Nexpose (取代McAfee Foundstone)
• MBSA
• 政府機關資安弱點通報機制(Vulnerability Alert and Notification System, VANS)

考試常出現的弱點

• Apache Struts 2 CVE-2017-5638
• MS17-010 ETERNALBLUE 永恆之藍 Windows SMB漏洞
• Heartbleed OpenSSL（CVE-2014-0160）(記憶體中讀取最大64K資料)
• POODLE漏洞（Padding Oracle On Downgraded Legacy Encryption）
• Office記憶體毀損漏洞（CVE-2017-11882）

網站弱點掃描工具

• HCL AppScan（原IBM Security AppScan）白箱工具
• Micro Focus Fortify(原HP Fortify）白箱工具
• Checkmarx 白箱工具
• SonarQube (開源白箱工具)
• Puma Scan (開源白箱工具)
• Micro Focus WebInspect(原HP WebInspect)黑箱工具
• Acunetix web vulnerability scanner（AWVS） 黑箱工具
• Burp suite 黑箱工具

白箱/黑箱/灰箱測試

• 動態應用程式安全測試（Dynamic Application Security Test，DAST）
• 靜態應用程式安全測試(Static Application Security Testing，SAST)
• 透明箱測試(glass box testing)

滲透測試

• 資安專家仿駭客思維、發掘安全漏洞，以實戰方式找出任何可能突破目前網站安全防護的檢測
• 評估網路、資訊系統安全性之活動，產出報告詳述弱點如何利用、影響及提供修復建議
• 非破壞性測試及破壞性測試
• 引入縱深防禦該念發現組織之安全問題
  作業系統 -> 遠端服務、本機(網域)服務
  網站 -> 設定管理、使用者認證授權、連線、邏輯漏洞、輸入驗證、WEB Service
  應用程式 -> 各種套件
  密碼 -> 密碼強度測試

紅隊演練 / 藍隊 / 紫隊

• 紅隊演練（Red Team），不影響企業營運的前提下，對企業進行模擬入侵攻擊，在有限的時間內以無所不用其極的方式，從各種進入點執行攻擊，嘗試達成企業指定的測試任務，是站在「不知攻、焉知防」的角度，以道德駭客的方式找出企業自身漏洞。

• 藍隊（Blue Team），是以守備概念，在企業管理制度、技術框架與人員訓練上進行強化。

• 紫隊(Purple Team)，是站在監控的角度，全面改善公司內部的資安管理進程。

零信任安全架構（Zero Trust Architecture）

• NIST 在其發布的「零信任架構」(Zero Trust Architecture) 特刊 (Special Publication，簡稱 SP) 當中，說明了美國政府機關如何運用零信任策略。這份長達 50 頁的文件定義了理想的零信任實作該有的基本元素，並提供了聯邦政府機構的部署情境和應用案例。儘管 Gartner、Forrester、IDC、ESG 以及其他分析師機構都認同 NIST 所用的「零信任」一詞以及一些定義、方法和框架，但這些機構對於同樣的概念所用的詞彙卻不盡相同。
• Gartner 使用「安全存取服務邊際」(Secure Access Service Edge，簡稱 SASE) 一詞來統稱「雲端存取安全代理」(Cloud Access Security Broker，簡稱 CASB)、安全網站閘道 (SWG) 及進階虛擬私人網路 (VPN) 的組合，至於 Forrester 則稱之為「零信任邊緣」(Zero Trust Edge，簡稱 ZTE)。

工具

• Wireshark(封包分析工具)
• NMAP(弱點掃描工具)
  -O sV -p 作業系統資訊,各種服務的版本,連接埠
  -sS Stealth Scan 預設的掃描方式 利用不完整的三方交握快速掃瞄機器的端口
  -sF IN scan := 只有 FIN 標頭為 1
  -sX Xmas scan := FIN, PSH, URG 值均為 1
  -sA 一種反向操作，用來偵察是否有防火牆阻擋
  -sU UDP Scan
• NESSUS(弱點掃描工具)
• NC (netcat)
• Burp Suite (滲透測試工具)

題目

• 資訊安全規劃實務

  在 ISO27000系列標準中，下何者為建置資訊安全管理統的系列標準中，建置資訊安全管理統的實作指引 (Information security management systems — Guidance)為 ->ISO/IEC 27003

  金鑰分配（ Key Distribution）的安全性較佳 ->ECC

  「不」屬於主動式攻擊（ Active Attack） -> Typosquatting Attack（誤植域名攻擊）

  安全實作原則是為了預防僅因個人行為而造成可能的舞弊情形發生 ->職責分離（ Separation of duties）

  「商業公司使用防毒和反垃圾郵件機制，以保護的電子系統。」屬於下何種風險處理對策 -> 風險修改 （Risk modification）

  依據我國《資通安全管理法施行細則》條文中規定，「不」是資通安全維護計畫應（ 或強制要求）包括的事項 ->資通安全稽核組織

  「某網站伺服器經常有大量的 使用者來進行異動，且會定義不同使用者身份，例如會員、非或系統管理。」關於網站存取控制模型之選擇
  -> 以角色為基礎的存取控制（ Role Based Access Control）管理效率較高

  ISO/IEC 27001中所採用的風險評鑑中所採用的風險評鑑（ Risk Assessment）主要包含下列步驟
  ->風險評估（ Risk Evaluation）
  ->風險分析（ Risk Analysis）
  ->風險識別（ Risk Identification）

  網路安全框架（ Cybersecurity Framework, CSF）為美國家標準暨技 術研究院（ National Institute of Standards and Technology, NIST）彙整後所提出，作為整體網路安全架構之規劃藍圖參考請問該 CSF之 組成元素包含下列項目
  ->框架核心（ Framework Core）
  ->框架設定檔（ Framework Profile）
  ->實施層級（ Implementation Tiers）

  關於網路區隔，下列敘述何者較「不」可行 ？
  ->明確的定義無線區域網路周界（Boundary）並加以控制

  關於區塊練技術，敘述不正確?
  ->比特幣的Hash Chain符合我國電子簽章法中數位簽章的描述

  在進行職務規劃時，下列何種情境宜優先考量是否有職務區隔之設計?
  ->人力資源部門主管，負責人資資訊系統之更新與維護

  資訊安全管理系統在決定驗證範圍時，須包含下列考量議題
  ->組織內部與外的議題
  ->主管機關的要求
  ->適用法令與規的要求
  ->組織與其他履行活動間的介面及相依性

  業務持續管理的一大重點是業務衝擊分析 （Business Impact Analysis, BIA）
  ->分析出外部攻擊威脅與內系統弱點，以供研擬後續的防護機制並非業務衝擊分析後能達成的目標

  公司在招募新員工時，若打算在網頁上公布錄取榜單
  ->因同名姓的人很多，若只公告單一項資料並無法直接識別出本人，不須取得當事人之書面同意 (不正確)

  A企業在此一事件發生(客服中心收到多筆客訴，內容主要都為消費者在公司電商網站購物後就接詐騙電話，中明確指出受駭者的消費細並誆稱要辦理退導引 消費者去 ATM操作，導致受駭者金錢損失)後，未佈任何公開聲明，僅維持與受駭之消費者進行後續糾紛處理但透訴媒體，以致眾已大幅報導、相關檢警調單位亦主動介入偵辦，另由於未有專屬之資安部門與人員編制，A企業計畫於民國112年1月1日、成立專門之資安單位，編制4人，最高資安主管為協理，直接向資訊副總經負責。
  綜上所述該公司可能違反下列法令規的要求
  ->公開發行司建立內部控制度處理準則
  ->臺灣證券交易所股份有限公司對價上市重大訊息之查證暨公開處理程序

A企業的資訊人員收到客服中心反應後，分析已知受詐騙的消費者，研判駭客可能是利用偷來資訊或密碼試圖登入網路服務的一種攻擊手法
->密碼撞庫攻擊

• 資訊安全防護實務

  一位資安專家正在對某公司網站進行滲透測試，在測試期間發現一個跨站指令碼(Cross-Site Scripting,XSS)的網站安全漏洞，要針對此弱點進行有效攻擊
  ->須符合連線期間快取(session cookie)的HttpOnly旗標未設定

  生成樹協定（Spanning Tree Protocol, STP）控制攻擊
  ->在受欺騙的根交換器（Root Bridge）啟用鏡像流量，並轉送所有網路流量到受到控制的電腦

  系統存在路徑竄改（Path Manipulation）問題時
  ->可以使用白名單路徑跟黑名單危險字串

  跨站請求偽造（Cross-Site Request Forgery, CSRF或XSRF）的防禦方式，不適用
  ->Prepared Statement
  Prepared Statement或參數化查詢是一種用於資料庫查詢時的技術，使用時會在SQL指令中需要填寫數值的地方用參數代替。

  網站應用程式中之注入攻擊（Injection），不正確
  ->應用程式伺服器透過「白名單」方式來驗證資料正確性，並直接傳入解譯器（Interpreter），可完全避免此攻擊

  「%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E」，可能為下列何種攻擊->跨網站指令碼攻擊（Cross Site Scripting Attack）

  跨網站指令碼攻擊（Cross Site Scripting Attack)
  ->跨網站指令碼攻擊分為反射式（Reflected）、儲存式（Stored）與檔案物件模型（Document Object Model）
  ->儲存式跨網站指令碼攻擊通常被置入於資料庫，並於受害者所瀏覽特定功能、頁面後執行
  ->反射式跨網站指令碼攻擊將惡意資料透過瀏覽器對網站的請求（Request）送出後，於受害者瀏覽之功能、頁面執行

  入侵偵測系統（Intrusion Detection System）與入侵防護系統（Intrusion Prevention System）之應用
  ->入侵偵測系統透過旁接模式（TAP or SPAN Mode）或將特定網路介面設定為混雜模式（Promiscuous Mode），來取得監聽網路之流量副本
  ->TAP和SPAN Mode之差異在於前者透過硬體1：1複製流量至分接網路介面；而後者透過軟體轉送流量副本至目的網路介面並可能因其容量限制而造成封包遺失
  ->如欲阻擋網路攻擊，入侵防護系統需設置為串連模式（In-line Mode）才能於攻擊傳遞過程中攔截

  非軍事區（Demilitarized Zone, DMZ）的電子郵件服務器，發現有隱藏惡意程式的rootkit工具軟體 -> 駭客也可能已經入侵了其他系統，造成更大的資安風險

  資安外洩事件發生後，若須確保證據的完整性，應對已被入侵的硬碟做下列何項處理
  ->將原硬碟進行雜湊比對、位元層級複製，並對複製後的新硬碟進行雜湊比對，確認與原硬碟相符，對新硬碟進行鑑識工作

線上參考資源、資料 (僅供參考)

iPAS資訊安全工程師中級筆記
https://hackmd.io/@Not/iPASInformationSecuritySpecialist

非資訊專業背景者取得iPAS資安中級工程師證照的經驗分享
https://vocus.cc/article/63d74bb2fd89780001263a97

縱深防禦(Defense in depth) - 卓建全
https://ithelp.ithome.com.tw/articles/10254577

政府資安責任分級 - 參考安資捷整理的
http://www.amxecure.com/products-solutions/compliance/government-information-security-responsibility-rating

全國法規資料庫 - 資通安全責任等級分級辦法
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

全國法規資料庫 - 資通安全管理法
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297

全國法規資料庫 - 資通安全管理法施行細則
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303

行政院 各機關資通安全事件通報及應變處理作業程序
https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/a320f71b-3f92-4c88-9026-600175a97971

什麼是GDPR？三分鐘帶你了解「史上最嚴格個資法」相關規定
https://www.winho.com.tw/show/show-293365.htm

全國法規資料庫 - 個人資料保護法
https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021

全國法規資料庫 - 個人資料保護法施行細則
https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050022

何謂SLA服務 - Astral Web 歐斯瑞有限公司
https://www.astralweb.com.tw/service-level-agreement/

風險管理 - 教育部提昇校園資訊安全服務計畫
https://drive.google.com/file/d/1VAaRsbdPogKwE8-_-XtvQZYhggb130aG/view

如何計算風險評量評分
https://www.ibm.com/docs/zh-tw/elm/6.0.2?topic=risk-how-assessment-scores-are-calculated

資訊安全風險管理 - 國立台灣科技大學 查士朝
http://www.im.ntu.edu.tw/~tsay/dokuwiki/lib/exe/fetch.php?media=courses:sem2009:20090410cha.pdf

資訊安全：Qualitative Risk Analysis (定性式風險分析)-創意海豚的部落格
http://blog.udn.com/chungchia/3451013

營運持續性計畫 - 教育部提昇校園資訊安全服務計畫
https://drive.google.com/file/d/1ZYi-NguGpbQ42yRK_dEVKcu4X6o-NqAY/view

資訊安全稽核作業 - 教育部提昇校園資訊安全服務計畫
https://drive.google.com/file/d/1AGIpon-qAue8-3KFanTVST208XNJcpWw/view

認識4種臺灣常見的資安保險
https://www.ithome.com.tw/news/116740

紅隊演練 - DEVCORE
https://devco.re/services/red-team

解決攻防團隊各司其職、目標衝突的現象，紅藍隊演練需要透過紫隊來居間協調 - ITHOME
https://www.ithome.com.tw/news/139425

資安可分為「紅、藍、紫」三隊
https://www.atdapc.org.tw/資安可分為「紅、藍、紫」三隊/

Inter-VLAN Routing (Router on a Stick)
https://www.kingtam.win/archives/roas.html

單臂路由 - 華人百科
https://www.itsfun.com.tw/單臂路由/wiki-5143876-3569656

Wireshark基礎教學
http://www.cs.nccu.edu.tw/~jang/teaching/CompNet_files/Wireshark-基礎教學.pdf

Wireshark DisplayFilters
https://wiki.wireshark.org/DisplayFilters

Nmap 網路診斷工具基本使用技巧與教學
https://blog.gtwang.org/linux/nmap-command-examples-tutorials/

原始碼檢測x弱點修補X驗證攻擊-Path Manipulation - ITHOME鐵人賽
https://ithelp.ithome.com.tw/articles/10185407

CISSP課堂筆記 - ErwinLiu
https://hackmd.io/@ErwinLiu/CISSP

tags: IPAS