信任始於安全研討會小筆記

信任始於安全研討會小筆記更新時間:2023/11/9 上午場 -- 信任始於安全甘道夫與Ai https://gandalf.lakera.ai/ (這個超有趣，總共有七關，每一關甘道夫握有一個密碼，你必須要讓甘道夫告訴你密碼是什麼，但甘道夫會被告知不能透露密碼網頁是英文的，但中文也通，只是他會用英文回) ChatGPT 與 Google Bard 基本上這種東西就是靠背誦(大家知道背誦多少有錯) 他給你的回覆基本上都是他去看過的資料依照你的語意猜測去背誦回給你 -> 因此這中間很容易被拿來利用國外有人實測出用 ChatGPT、Google Bard 獲得 Windows 11/Windows 10 Pro 序號 https://today.line.me/tw/v2/article/zN9kOBK 還沒寫完待續 ... 下午場 -- 金融資安事件因應、調查與鑑識確立10年目標口氣語氣學用落差以終為始文官學院-薦生簡訓練架構(公共行政) 前瞻思考->多面向管理、變革管理->危機管理->團隊建立與領導政策制定->政策行銷->政策執行->政策評估跨域協調、策略談判政策立法與議會溝通公共關係與媒體溝通績效管理與評估組織治理、風險管理和法規遵循 (GRC;Governance,Risk Management,Compliance) 識別衡量與監控處理外部監督與內部控制法遵文化上行下效維持企業平衡的鐵三角讓企業可靠地整合誠信行動，因應變局達成目標即便數位技術資料倍增，維持核心商業價值目標在資安事故發生會跟你說要你關機扣查設備的 ->那就代表他數位鑑識沒有念好認可的證據「證據能力」與「證明力」的差別先:證據能力指作為證據的資格。(有/無) 後:證明力指證據的證明程度。(高/低) 有「資格」又「有用」的證據證據能力:有證據資格，才有證明力問題證明力:法官依自由心證去加以判斷。依據刑事訴訟馬諦155條:「證據之證明力，證據之證明力，由法院本於確信自由判斷。但不得違背經驗法則及論理法則。無證據能力、未經合法調查之證據，不得作為判斷之依據。 ISO/IEC 27037:2012->國際鑑識相關標準司法訴訟舉證（如國際標準ISO/IEC 27037 及ISO/IEC 27041）資安事件管理國際標準ISO/IEC 27035 認可的證據:數位證據的RRS原則相關性(Relevance) 展示獲得有價值資訊，幫助釐清特定事件的關鍵事實或前後脈絡。可靠性(Reliability) 所以處理潛在數位證據的程序應可稽核(auditable)及可重複(repeatable)。運用該程序所得的結果應可重現(reproducible)。充足姓(Sufficiency) 執行調查應收集足夠資料。透過審核(auditing)和論證(justification)，確認所需資料，及決定獲取方法與範圍。 CISO:識人哲學決策圈:做決策、產生整體連帶性的影響、效益 0.2% 高層涉略、概念、策略布局 2% 中層管理、人際、團隊績效 20% 基層技術、做事、績效良好 80% 金融資安行動方案 2.0 還沒寫完待續 ... --- OWASP發展及最新更新 OWASP （Open Web Application Security Project）現在已更名 Open Worldwide Application Security Project ※OWASP不該被作為標案的標準 OWASP發展出來的專案目前經過統計大約有303個 https://owasp.org/projects/ 目前的專案類型Incubator Projects、Lab Projects、Production Projects、Flagship Projects 其中Production Projects、Flagship Projects 才屬於正式完成的專案，後續還會再持續更新除了大家比較知道的OWASP Top 10以外很有很多很棒的專案 OWASP Mobile Application Security Testing Guide (MASTG) OWASP MASVS (Mobile Application Security Verification Standard) OWASP Security Shepherd OWASP Juice Shop OWASP Mutillidae II OWASP WebGoat OWASP Zed Attack Proxy(簡稱ZAP) OWASP ModSecurity OWASP Dependency-Check OWASP SAMM(Software Assurance Maturity Model) OWASP IoTGoat OWASP Railsgoat OWASP Threat Dragon OWASP Mantra OWASP WebScarab 還沒寫完待續 ...