🐫 溫馨提醒 🐫
親愛的朋友,如果您正在準備 CISSP 的路上,希望這篇筆記能幫上一些忙。
這筆記是個人當初準備CISSP學習過程中上課筆記與網路資料整理,無任何營利用途。
如果您覺得準備考試的過程極度焦慮,甚至想要放棄!! 請相信這是正常現象~
請務必堅持住,因為這是每一位成為 CISSP 的必經之路。
我以這篇曾經努力過的筆記為您加油!!
Security 資訊安全 & Governace 治理
透過安全管制措施,保護資訊資產免於受到危害,以達到C、I、A的目標。
進而支持組織業務流程、確保交付產品及服務不中斷,
幫助公司創造價值,實現公司的使命與願景。
C 機密性 : 確保資料不外洩
I 完整性 : 確保資料不被竄改 (包含真實性 & 不可否認性)
A 可用性 : 確保資料拿得到&系統不停擺
Business Continuiaty
治理 : 公司最高經營階層的管理作為就叫做治理
Risk Management 風險管理
因為有目標所以有風險
風險就是影響目標達成的不確定因素。
好的影響我們視為機會,不好的影響我們視為威脅
透過風險管理,降低風險發生的機率與影響,讓風險可被接受
風險管理
風險處置:
迴避 : Ex.設廠 選址
緩解
轉移 : 如投保資訊安全險
接受
Assets 資產保護
如何落實資訊資產的保護,我們會透過盤點、分類與保護來進行
為何要分類 (分辨資產的重要等級與風險值,投入資源進行保護)
要分類是因為資源有限 (根據商務價值分類,讓資源最佳化)
價值 : 對利害關係人重要有意義的
資訊資產(資訊系統組成為範疇)包含:
(1) Data、
(2) Computer System 、
(3) Operating System、
(4) Software
(5) Network
(6) Data Center
(7) People
(8) Bussiness Process
Security Control 安全控制 (存取控制)
我們會採取安全控制措施來對資訊資產作保護。
其中一個重要的概念是 I+3A (Identification,Authentication, Authorization and Accounting)
透過三個面向 實體、邏輯/技術性、與管理性 方式來做
實體 : 如 門禁、攝影機監視器…
邏輯 : 如 防火牆、防毒軟體、IDS & IPS
管理 : 如 資訊安全政策、法規
Security Assessment 安全評鑑
我們會透過安全評鑑來確認安全控制措施的有效性。
安全評鑑透過查驗(用看的)、訪談(用問的)與測試(動手做做看) 進行
測試也包含了軟體弱點掃描與網路滲透測試
第三方的獨立稽核單位執行。
符合性要求
法規
Law 法律
Regulation 主管機關要求
業界標準 (如 ISO-27001)
合約(是否達到客戶資安要求)
公司政策(同仁是否遵守)
盡職關心、盡職調查
公司道德規範
看大家是否 說、寫、做 一致
Security Operation
透過評鑑後,總會有些待改善之處。
改
是矯正 善
是提升(更好)
改是一次性,善是持續性
是一個持續性的改善過程(PDCA)是一個日常的維運循環
但是改不能隨意更改,需要做變更管理,
提出申請、衝擊分析、核定、執行。改了之後要追蹤績效要做好溝通
日常
資安最重要的是事故回應 (事前準備/事中回應/事後的處理)
Engineering 安全工程
運用專業知識,把系統做出來,使用他、維運它直到除役為止。(生命週期)
製作過程/使用/維護/除役 有無安全的議題
時時都安全(生命週期概念) 處處都安全(設計與架構 Element 空間概念)
工程是一個解決問題的過程
軟體架構與設計上都要考量安全議題
何謂管理
達成目標 的一套有系統的方法。
方法就是 P、D、C、A。
何謂治理
公司最高經營階層的管理作為就叫做治理。
(董事會 + C字輩)
治理的目標
治理的目標是創造價值
治理中的核心本事
是戰略管理
何謂價值
價值是對利害關係人重要有意義的
資產
有價值且值得保護的東西
如何創造價值
用策略(計畫),用治理(管理)
持續交付產品及服務
何謂戰略
戰略是達標的計畫
何謂資訊安全
透過安全管制措施,保護資訊資產免於受到危害,以達到C、I、A的目標。
進而支持組織業務流程、確保產品及服務交付不中斷、
幫公司創造價值實現公司的使命與願景。
資安三階目標(業務思維/觀點)
三階目標帶出三階風險
何謂風險
影響目標達成的不確定因素
風險管理
多數都是寫計畫書
BCM相關計劃書
專案鐵三角
何謂工程
運用專業知識,把系統做出來,使用他維運它直到除役為止。(生命週期)
變更管理的標的是基準
何謂基準
被核定過的東西
何謂政策
書面的管理意圖
是否能順利通過CISSP, 我們評估的指標為:
https://www.isc2.org/-/media/ISC2/Certifications/Exam-Outlines/CISSP-Exam-Outline-121417–Final.ashx
(15%)
(透過安全管制措施保護資訊資產免於受到危害,以達到CIA目標,
進而支持組織業務流程、創造價值、組織的使命與願景)
💡 安全與風險管理
(透過安全管制措施保護資訊資產免於受到危害,以達到CIA目標,進而支持組織業務流程,創造價值,組織的使命與願景)
安全: 就是資訊安全
經營高層
如何當好一個資安主管:
將資安治理做好
替組織創造價值 -> 資安戰略
戰略管理
提供 Policy 請人做(落地)
專案管理是戰略管理的最小單位
Bussiness Mindset 三階
整個課程都在談目標,所有的作為都是目標驅動。
Policy Framework 戰略制定好後 如何執行
高階主管在於表明意圖(戰略)。請人執行,透過文件化
先有 戰略才會有政策
Programs,Projects P.141
Business Case(評估案) P.142
任何Project or Program 直不值得做都會經過評估,確定可行才會立案變成專案
Project Managemt P.143
管理目標: 範圍、時間、成本
Scope Creep 範疇淺變
不受控的範圍變化
「範疇潛變」係在專案進行過程中發生未經授權或未加以控制的範疇變更。未走公司的標準變更管理程序。
RACI Matrix P.144 & P.145
變更管理 P.146
變更管理的標的物是基準
基準是被核定的東西
強調基準與組態管理
導入任何制度與管理很在意的就是人員的訓練 P.147
NIST SP800-50 Building an Information Technology Security Awareness and Training Program
又累了 1/17 下午A 24:00 重要
風險管理
何謂風險 影響目標達成的不確定因素 ISO-31000
何謂風險:影響目標達成的不確定因素
風險管理的目標:達到經營高層可以接受的程度
風險管理 :
風險分析的手法都是為了排序
不是每一個被識別與分析的風險都會處理
相關風險名詞
風險管理要先定義好計分的方式
Uncertainty 不確定
業務持續 : 交付產品及服務不中斷 (才能創造價值)
資安談的保護80%都是談 緩解風險
如何緩解? 下 Security Control
業務持續 : 處理已知的未知 (尚未發生,先識別出來,做好準備)
NIST 的 業務持續 是從組織韌性來寫
業務韌性 : 處理未知的未知 (沒想到,萬一發生,如何調適、還原)
組織持續交付產品及服務的能力,不會與身俱來,需要培養、維持與持續改善
- BC不是只有資安,是業務問題
- 業務 議題包含供應商…等
- 資安 只是關鍵資源之一
- 從業務觀點來思考 (BC是T2層級)
第一次從無到有做 BCM
範圍(Scope)的找尋 : 根據組織結構與產品及服務兩個面向訂出來,
範圍(Scope)的呈現 : 以清單方式來呈現
了解停擺對於業務衝擊有多大(透過BIA了解耐受度)訂好目標值
- 識別 關鍵流程 以及其所依賴之 關鍵資源
(能夠產生產品及服務稱為流程)
(關鍵資源會支持多個關鍵流程) (包含供應商)- MTD : 最大可容忍的停機時間 (Maximum tolerable downtime, MTD) (與業務單位訂出)
- RTO : 恢復時間目標(Recovery Time Objective, RTO) (復原目標時間,業務單位給IT的目標)
- RPO : Recovery Point Objective
- SDO : Servie Delivery Objective
關鍵流程、關鍵資源(<–目標),做風險管理
所謂關鍵就是一旦出事產品與服務交付就會中斷
風險評鑑
風險處置 (A/T/M/A)
主要就是寫計劃書(因為風險尚未發生),只能做好應變
包含人員的分配
舉例1 : 產品及服務 -> 運動鞋 -> (越南廠區)的運動鞋
舉例2、風險處置 (NIST 觀點有 前/中/後 & 人/流程的部分) 會產出許多計畫書,以機房(洪水)為例: (後面接事故回應)
後續接 Continuity and Contingency (連續性與偶然性) 相對應的 三階風險計畫書
了解服務限制 (Ex. 最多只能停30天,超過很嚴重公司受不了)
參考
MTD 最大可容忍的停機時間(Maximum tolerable downtime, MTD)
RTO 恢復時間目標(Recovery Time Objective, RTO) (復原目標時間,業務單位給IT的目標)
Planning(規劃),展出Plan(計畫)
讓產品與服務交付不要中斷,
- 事前 : 做好準備
- 事中 : 做好因應
- 事後 : 做好快速復原
所以要寫很多的計畫書,計劃書舉例
實務上思考
先訂範疇,總公司定範本原則(政策/標準/程序/指引),各單位在訂完整的
請從本質去了解,思考如何做到,為了達到什麼目標?
Security Control 為了達到(什麼) Control Objectives
大分類一、HIPPA法案 (Health Insurance Portability and Accountability Act of 1996)
大分類二、(ISC)2以時間序列來看
目標也有階層(大目標會展小目標)
因為有風險,為了達到目標所以透過 Security Control 來緩解風險
安全評鑑
安全評鑑若為獨立單位做的,稱為稽核
稽核分內外部
變更管理
提出申請、衝擊分析、核定、執行。
改了之後要追蹤績效要做好溝通
我又累了 上午 20210117_上午A 59:47
參考網址
T3
RMF : 風險管理框架
(NIST RMF 專有名詞)
因為是框架(懶人包) 僅是基準而已 所以不含風險評鑑。
(照做能處裡常見風險)
NIST 資訊"系統"資安人員見解
800-53 (NIST 建議的懶人包查表)
1.分類系統 (CATEGORIZE)
從系統上處理的資料型態
2.選擇控制 (SELECT)
選擇控制/查基準(框架)
3. 實施控制 (IMPLEMENT)
將控制措施做起來
4. 評鑑 (ASSESS)
評鑑所實施的安全控制是否有效 (有效系統才會被授權)
產出評鑑報告
5. 授權 (AUTHORIZE)
主管授權讓系統上線 (系統被授權)
6. 持續監控 觀察
C&A : Cetification 授權
A&A
SDLC有相對應的主要活動
我累了 下午B 1:10:14
來自 NIST 800
NIST Generic Risk Model
一個威脅來源(Threat Source)對應到一個威脅事件(Threat Event)的組合
Ex. 一個小屁孩 可能會有多個威脅情境
同樣小屁孩(威脅來源),做 SQL Injection(Event)、XSS(Event)、DDoS(Event) …等
20210123下午_A 13:10 Recap
BCM
安全事故回應(是為了讓業務持續)
NIST + CISM
事前(準備階段)
EX. RAID1/6 與 Mirror
預處理(檢傷) Triage(Ex.救護車現場回報狀況)
[重點: 1.判斷真/假 2.排定順序 3.進行通報]
驗證通報的真偽(是否為誤判),假的就不用處理
回應
[先停損/後根除/有損害做復原/與證據蒐集]
事後
[檢討改善]
待補充 (20210117 下午筆記)
法規相關資訊摘要
國家 | 名稱 | 對象 | 摘要 |
---|---|---|---|
美國 | FISMA,Federal Information Security Management Act | 資訊安全根本大法。架構的宗旨是保護美國政府,避免遭受網路安全攻擊和自然災害,致使敏感資料遭遇風險 | |
美國 | SOX, Sarbanes-Oxley Act | 上市公司 | 對公司經營高層做法律的問責。會被抓去關的。是美國國會根據安隆有限公司及世界通訊公司等財務欺詐事件破產暴露出來的公司和證券監管問題所立的監管法規,簡稱《SOX法案》、《索克思法案》、《塞班斯法案》或《沙賓法案》 |
美國 | GLBA, Gramm-Leach-Bliley Act | 金融單位 | 集團內的客戶個資做規範。允許商務和投資銀行、證券公司和保險公司進行整合,並解決保護使用者隱私權的問題。 |
美國 | HIPAA, Health Insurance Portability and Accountability Act | 醫療單位 | 法案的目的是促進醫療健康產業善加利用新科技,並為醫療資訊的安全和隱私建立屏障 |
美國 | HITECH,Health Information Technology for Economic and Clinical Health 經濟與臨床健康資訊科技法案 | 醫療單位 | 法案的目的是促進醫療健康產業善加利用新科技,並為醫療資訊的安全和隱私建立屏障 |
歐盟 | GDPR, General Data Protection Regulation | 個資保護 |
專利 patent
保護發明者的知識產權
版權 Copyright
版權法保護原創作品的創作者,防止創作者的作品遭未經授權的複製。
商標 Trademark
主要目的用來識別主要企業或產品 Ex. M 麥當勞
營業秘密 Tradesecret
保護極其重要,不讓人看的。只要保護好不會讓人知道。
思考 程式碼 用哪種方式保護
口訣 : 盤點 / 分類 /保護
盤點 :
分類 (具體指派 Owner 去分類)
保護 (這三個一定要知道)
盤點
分類 (分別出重要等級,投入資源)
保護 (就是控制措施)
資訊系統的組成
盤點後怎麼分類很重要,談分類時
分類 (Category) 可以有很多標準(視用途與情境)(Ex.RMF分類階段),可以是
分類 (Classify) (書上提到的試用資料分類)
會有法遵要求、符合性
企業自有資料(非個資)的角色
個人資料(處理他 但不擁有他)角色
補充
Paul 學長筆記
OECD (源頭) 提出八個大原則,希望各國盡量做 (無強制力)
個資的定義
個資的角色
GDPR 定義 (https://gdpr-info.eu/art-4-gdpr/)
個資的處理原則
匿名化的資料是就不是個資
要注意 Contenxt 情況
Ex. 吳OO 只有一位姓吳 (還是可以被追溯)
盤點 / 分類 / 保護
吳OO <–> QQ2394 (背後一有張對照表)
對於使用者與測試人員是無法回朔的
生命週期
要使用到 Purge 指令集 (有特定的 patern)
清不乾淨就會有殘留問題
OverWrite 是purge的一種技術手段,但要看寫入的次數與Patern
硬碟銷毀
封存與備份的差異
備份 : 備份完資料,資料還在
封存 : 備份完資料,就將目前資料刪除不占用空間
從狀態來看時間資料三態
何謂存取 : 就是使用
主體 Subjects在使用客體 Objects
主動 使用 被動
關係是相對的
主體與客體之間的存取動作要被管制,要管制哪些具體行為(項目) 3A
誰來管制這行為?
Security Kernel (就是 Access Control ) 橘皮書 1985
專業字 mediates(調解機制) ,本身是軟體配合硬體特性,可視為負責AccessControl 的安全模組
安全元件之一
Trusted Computer System , TCB
Security Perimeter
和其他負責非安全事務的元件合組成一台電腦,
安全元件與非安全元件之間的判定標準,
這虛擬的邊界稱為安全邊界 Security Perimeter
更多安全控制 請看 Domain 5 IAM
Cryptographic Attacks (P.448)
技術類
方法
攻擊情境(描述情境)
用大量密文去 try Server (已知對方使用的加密演算法)
Side-Channle (側通道) 議題
認證(Accreditation)
指主管機關對某實驗室或驗證機構給予正式認可,證明其有能力執行某特定工作。例如:SGS的食品服務部是經過衛生福利部TFDA認證。
驗證(Certification)
由中立之第三者確認某一項產品、過程或服務,能否符合規定要求達到一定標準。
密碼學目標
所做的任何控制措施都有目的
密碼學分類
Encrption 加密 (機密性)
Symmetric
- Block Cipher
- DES (Lucifer)
- AES (Rijndael)
- Stream Cipher
- RC4
[color=oragne] Asymmetric
- Prime Factorization
- RSA
- Discrete Logarithm
- ElGamal Cryptography
- Eliptic-Curve Cryptography (ECC)
HASH 雜湊 (完整性)
數位簽章
破密
現代密碼學 –> 數位資料
特性
破密技術
選址
CPTED (Crime Prevention Through Env Design) P.695
周邊存取控制 Perimeter Security
建物本身 (Facility)
進到內部
材質
門鎖門禁
玻璃
人生安全考量
消防
電力設施
Wiring Closets
制度設計
Layer | 名稱 | 關鍵 | 資安關注議題 |
---|---|---|---|
7 | Application | 應用程式 | FTP 明文傳送、DNS cache poisoning、流氓 DHCP |
6 | Presentation | 編碼 / 壓縮 / 加解密 | Brute Force,Meet in the middle (2DES),Frequency Analysis,Birthday Attack,彩虹表 |
5 | Session | 全雙工/半雙工/單工 | Access Token 劫持 (中間人、XSS 跨站攻擊-違反同源政策) |
4 | Transport | 保證送達、不保證送達 | UDP:Fraggle attack ; TCP:SYN Flood Attack , 聖誕樹攻擊 |
3 | Network Layer | (定址)Addressing 、(選徑)Routing | Ping of Death , Smurf Attack ,TTL fingerprinting / footprinting ,淚珠攻擊,流氓路由器 |
2 | Data Link Layer | Media Access Control,MAC 、 Logic Link Control,LLC | ARP cache poisoning、MAC flooding |
1 | Physical | 線材、接頭、訊號、傳輸方式 | 訊號衰減、干擾、竊聽、破壞 |
Physical Layer
線材 (Media)
有線
線材:
- Unshielded Twisted Pair,UTP 無包覆雙絞線
- 兩條線雙絞,防訊號干擾 (為了降低 NEXT 近端串音 )
- 距離的限制 100 M
- 透過 Repeater (數位) 讓訊號重新再送一次
- Shielded Twisted Pair,STP 有包覆雙絞線
- Optical fiber 光纖
- 特性較不易衰減
- 有單模、多模 (單模較佳)
- Coaxial cable 同軸電纜
- 註 : RJ 45 是接頭 (Registered jack, 註冊第45號)
訊號衰減:
- 與線材含銅量有關
- CAT1 ~ CAT8
- 數位訊號 VS 類比訊號
- 類比訊號 : 連續性的訊號
- 如 旋鈕、唱片
- 數位訊號 : 間歇性的訊號
- 如 開/關、CD(取樣)
- 基頻 vs 寬頻
- 寬頻 : 如合唱、和弦 多個頻率
- 基頻 : 如單音、solo 獨唱 ,一個頻率
資安議題(C、I、A):
- 竊聽 droping
- 破壞
- 干擾
無線 (相關筆記在下方)
Topology 拓樸,就是網路的形狀
Data Link Layer
關注議題 :
- 線路怎麼用 Media Access Control, MAC、
- 傳輸的控制 Logic Link Control, LLC (IEEE)
安全議題
Network Layer
(給號碼)定址 Addressing
選擇路徑 Routing
ICMP 協定
Ping of Death (ICMP)
透過送出大型的封包 (長度大於 65535 bytes)讓受害者電腦癱瘓
Smurf DoS attack (ICMP) 參考
使用 ICMP 協定
- Ping … 目的設備
- Request time out 可能是因為設備不再或關機等…
- 偽造 ICMP 來源地址
- Ex. 惡整前女友 (有興趣可 call 我… XXXXX<-受害主機)
- 藍色小精靈 , 因為就很多隻…
TTL fingerprinting / footprinting (ICMP)
IP 協定
Routing 路由協定
Transport Layer
此階段程式已經可以準備傳送資料
關注議題:
保證送達 (又稱 連接導向)
不保證送達 (又稱 非連接導向)
為了做到保證送達 Overhead 很重
所以大系統都是 stateless (無狀態設計)
應用舉例:
以 TCP/IP 來看
安全議題
類似smurf,使用 udp
UDP Flood DoS攻擊:
又稱Fraggle攻擊,用UDP protocol送出假造來源的UDP broadcast封包至目標網路,以產生放大的資料流
相關工具
Session Layer
全雙工 / 半雙工 / 單工
- 單工 : 類似廣播
- 全雙工 : 如電話
- 半雙工 : 如對講機 (單向,同時間只能一人講)
如何被偷
中間人
- posing caching
- DNS posing
XSS 跨站攻擊 參考
- 場景一定要講清楚
- Hacker :
- 將惡意的 JavaScript 片段輸入至站台 (Ex.表單、留言板)
- 此惡意片段,可偷 cookie (含token) 、資料、並送到另一個站台 (B網站) 因此稱為跨站
- A 網站
- 儲存此惡意片段
- 受害者
- 瀏覽網站 : 光瀏覽就有可能載入此惡意JS
- 重要
- 為何跨站是問題現? 因為在瀏覽器遵循同源政策 同源政策(Same-origin policy)
- JS 只能跟原本的網站互動,若跨站則違反此原則
- 如何防範
- 架構師扮演重要角色
- 選擇安全的框架
- 前UX 後端API 都要阻擋,研發人員的意識
Presentation Layer
關注議題:
編碼 Coding / 壓縮 / 加解密
- 編碼 : UTF8 、 UNICODE
- 壓縮
- 加密演算法
安全議題
- Cryptographic Attacks (P.448)
- 技術類
- 破密分析或攻擊
- Brute Force 暴力法 (全部try一次)
- Meet in the middle 2DES被中間再相見破解
- Frequency Analysis 頻率分析 (對付純文字表、或早期加密器)
- 對照文章文字出現次數
- 雜湊
- 彩虹表
- Birthday Attack 生日攻擊 (機率分布)
- 碰撞(不同值但雜湊相同,不同密碼都能登入)
Application Layer
HTTP Verb | CRUD |
---|---|
POST | Create |
GET | Read |
PUT | Update/Replace |
PATCH | Update/Modify |
DELETE | Delete |
攻擊者如何使 DNS 快取記憶體中毒?
攻擊者可透過誘使 DNS 解析程式快取錯誤資訊來使 DNS 快取記憶體中毒,其結果是解析程式將錯誤 IP 位址傳送給用戶端,而嘗試導覽到網站的使用者將被定向到錯誤位置。
Protocol Data Unit (PDU)
是一組通訊協定,以 TCP 與 IP 代表
TCP/IP 與 OSI 七層對照
需要注意
不同層級的 Encapsulation
Datagram / Packet :
人們並非不常遇到IP Datagram這樣的用語。平常不是都稱為IP封包(packet)嗎? IP Datagram是正確的用語嗎?
是的,它一點都沒錯。這是定義IP協定的FRC 791中的標準用語
Port Number
可理解為程式號碼,程式可以向OS要求1到多個號碼。
EX. 192.168.1.12:80
在某一台電腦(192.168.1.12),上的80號程式
所以 Firewall 設定規則就是在阻擋第幾號的程式傳資料
Q : 110 是誰?
常見 TCP Port 更多
Port | 服務 | 補充 |
---|---|---|
7 | echo | Echo 服務 |
20 | ftp-data | FTP 資料連接埠 |
21 | FTP | 檔案傳輸協定(FTP)連接埠;有時由檔案服務協定(FSP)所使用 |
22 | SSH | Secure Shell (SSH) 服務 |
23 | telnet | Telnet 服務 |
25 | smtp | Simple Mail Transfer Protocol (SMTP) |
53 | DNS | 網域名稱服務 |
67 | bootps | Bootstrap 協定 (BOOTP) 服務,也由動態主機配置協定 (DHCP) 服務所使用 |
68 | bootpc | Bootstrap (BOOTP) 用戶端;也由動態主機配置協定 (DHCP) 用戶端所使用 |
69 | TFTP | 細瑣檔案傳輸通訊協定(TFTP) |
80 | HTTP | 用於全球資訊網(WWW)服務的超文字傳輸通訊協定(HTTP) |
88 | kerberos | Kerberos 網路認證系統 |
110 | pop3 | 郵局通訊協定第三版 |
115 | SFTP | 安全的檔案傳輸協定(SFTP)服務 |
123 | NTP | 網路時間協定(NTP) |
143 | IMAP | 網際網路訊息存取協定 (IMAP) |
161 | SNMP | 簡易網路管理協定 (SNMP) |
162 | snmptrap | SNMP 的 Traps |
389 | ldap | 輕量級目錄存取協定 (LDAP) |
443 | HTTPS | 安全的超文字傳輸通訊協定 (HTTP) |
500 | isakmp | 網際網路安全協會與金鑰管理協定 (ISAKMP) |
749 | kerberos-adm | Kerberos 第五版 (v5) 'kadmin' 資料庫管理 |
750 | kerberos-iv | Kerberos 第四版 (v4) 的服務 |
Port 53 DNS 補充
- UDP 53 : DNS Query
- TCP 53 : DNS Server 間的同步 (Zone Transfer)
CIDR(Classless Inter-Domain Routing) 表示法
111111111 . 11111111 . 11111111 . 0000 0000
VPN 做兩件事情
IPSec (提供機密性或者是完整性相關安全服務) (ref.678)
IPSec 不一定有加密!! (考量安全目標)
真實性 : 我可以讓你看,但不讓你改
機密性、真實性
Mode (考量應用場合)
金鑰交換協議
VPN 協定
摘要
Generation | 第1代 | 1.5代 | 第2代 |
---|---|---|---|
Features | WEP | WPA | WPA2 |
標準 | 802.11 | 802.11i Draft | 802.11i |
驗證 | Open System Authentication / SharedKEY | PSK/WAP/802.1X | PSK/EAP/802.1X |
Cipher | RC4 | RC4 / TKIP (Firmware 升級) | AES/CCMP |
IV 長度 | 24 Bits | 48 Bits | 48 Bits |
Key/Size | 40/104 bits | 128 Bits | 128 Bits |
Integrity | CRC32 | MIC | CCM |
Infrastructure Mode
Ad-Hoc Mode
Wireless 主要特性 (P.671)
何謂 WIFI
無線網路的攻擊
OSI Layer | 裝置 |
---|---|
Transport | Firewall (port ) |
Netwrok | Router , 第一代 Firewall (只看 packet) |
Data Link Layer | Switch , Bridge |
Physical Layer | HUB , Repeater |
線材
UTP
https://wentzwu.com/2019/11/29/firewall-interfaces-zones-and-tiers/
IAM
I : 帳號管理
以使用者角度來解釋 I+AAA
流程說明:
收到帳號密碼到帳號資料資料庫比對
相關協定:
DAP: X.500
- 讀&寫 (X.500)
- 帳號資料庫 (X.500)
LDAP: Lightweight Directory Access Protocol (瘦身版本)
- 讀與寫協定 (LDAP 的存取協定)
- 目錄的結構 走 X.500 (帳號資料庫)
完成身分驗證會拿到 Token,Token 內會有 Assertion
通知結果
具體使用 Token
ServerSide 驗證後回覆 AccessToken 給 Client (授權的基礎)
後續 Client 出示 Token 去存取資源
Token 通常放什麼
- ID
- Role (常見,但不一定有)
- Token 有效期限
- 其他屬性 (依需求)
- 技術上常存在 cookie 中來傳
Token 內有 斷言 "Assertion"
- 有欄位,有屬性名稱、有值 (正面陳述,肯定陳述)
Ex. ID : Jack- 因為 Server 檢查過 (斬釘截鐵/背書/鐵口直斷)
將 Token 描述的格式統一
SAML , Security Assertion Markup Language - XML基礎OIDC , Open ID Connect - JSON 基礎
存取資源如何知道是否有權限
Authorization 授權
Ex. 以File Sever 為例
檢查權限方式
- 權限表 Access Control Matrix P.383
(觀念與 TBC Security Kernel AAA 呼應)
權限表 統一授權協定儲存與表達格式的問題
將 權限表 的格式統一
XACML , eXtensible Access Control Markup Language - XML基礎
PEP、PDP 概念設計
應用場域 : 如 供應鏈 嚴謹OAuth2 - JSON基礎
授權的判定概念與對應實作
BUT (因為太麻煩)
同樣角色 但有不同屬性需求
主體屬性、裝置屬性(Ex.需ASUS筆電)、環境屬性(Ex.晚上不能用)
BUT (發現不夠細緻)
實作用 XACML、OIDC 但不限
原本的 DAC 會受到舞弊、人為錯誤風險,因此有了強制型
- 人員一開始就做身家調查核定機密等級
- 比對人員機密等級 標籤
防火牆,便於集中管理
全程都要記錄
授權原則
Need to Know (職務相關)
Least Privilege (砍站要夠)
Security Policy 安全政策
Authentication
DAP: X.500
LDAP: Lightweight Directory Access Protocol (瘦身版本)
組織使用縱深防禦來實施訪問控制
透過多個層級的訪問控制來提供分層安全性
人員是關鍵組成部分,需要適當的培訓和教育,遵守和支持組織安全策略中定義的安全元素。
授權的判定概念與對應實作 P.353
- 設定角度
- 從資源的角度 (從資源設定權限)(存取控制清單) ACL,Access Control List
- 從人的角度 (能力表) Capability Table
- 權限的給予由 Owner 決定,由Custadeo 實施
BUT (因為太麻煩)
同樣角色 但有不同屬性需求
主體屬性、裝置屬性(Ex.需ASUS筆電)、環境屬性(Ex.晚上不能用)
BUT (發現不夠細緻)
實作用 XACML、OIDC 但不限
原本的 DAC 會受到舞弊、人為錯誤風險,因此有了強制型
- 人員一開始就做身家調查核定機密等級
- 比對人員機密等級 標籤
防火牆,便於集中管理
Model | 完整名稱 | 關鍵特徵 | 實現方式與解決 | 例子 |
---|---|---|---|---|
DAC | Discretionary Access Control | 每個 Object 都有一個所有者,所有者可以授予或拒絕其他任何 Subject 的訪問 | 使用客體ACL | Windows 系統的文件、資料夾權限 |
RBAC | Role Based Access Control | 使用 Role 或 Group | 可消除特權潛變 Privilege Creep,強制執行 Least Privilige | Windows OS 帳戶權限,WordPress 站台 |
ABAC | Attribute Based Access Control | 可包含多個屬性的規則,比RBAC更靈活 | 屬性可以是用戶、裝置的任何特徵 | SD-WAN 軟體定義網路 |
MAC | Mandatory Access Control | 使用應用於 Subject 與 Object 的 Labels,又稱 Latice-based Model,且為 Implicit Deny | 依賴 Classfication Labeles (也需 Need To Know) | 軍方人員等級與可存取專案 |
Rule-based AC | Rule-based Access Control | Restriction(限制) 、 Filter(過濾器) | 防火牆 |
(ISC)2 以時間序列來看
事前
- Directive 管理
- Deterrent 威攝
- Preventive 預防 (防火牆)
事中
- Detective 偵測 (IDS)
- Corrective 矯正
事後
- Recovery 恢復
- Compensating 補償
按期實現方式分類
下列為較常見的 Security Model
一個工作單元 會有好幾個存取動作
寫入與職責是分開的
資訊技術安全評估共同準則 (Common Criteria for IT Security Evaluation, ISO/IEC 15408),
簡稱共同準則 (Common Criteria) 或 CC,是針對實現資/通訊產品所使用資訊技術的安全性,進行安全認證的國際標準 (ISO/IEC 15408)。
以下是一些共同準則的一些基本概念:
老師講義
評估標的 (Target of Evaluation, TOE)
是指要評估的系統或是產品,評估可以驗證標的效能相關的聲明。
為了要符合實務情形,評估需要確認標的的安全特性:可以用以下方式來進行:
保護剖繪 (Protection Profile, PP)
針對某一類資/通訊安全產品或系統 (例如用來進行數位簽章的智慧卡、物聯網設備、生物識別應用裝置、或是網路防火牆) 安全需求的檔案,多半是使用者或使用者群體 (例如,政府機構) 所產出,而且其安全產品是和使用者的特定用途有關。產品的供應商可以讓其產品滿足一個或是多個保護剖繪,並且讓其產品在這些保護剖繪下進行評估。這種情形下,保護剖繪可以是產品安全標的 (ST) 模版,或是安全標的作者至少會確保,所有相關保護剖繪的需求都會在產品的安全標的檔案中。尋求這類特定產品的顧客可以將重心放在符合其需求的保護剖繪,再找有相關認證的產品。
安全標的 (Security Target, ST)
針對特定要被評估的資/通訊安全產品或系統安全性質的檔案。安全標的中可能會聲明此產品符合一個或是多個保護剖繪 (PP)。評估標的 (TOE) 會針對安全標上所列的安全功能需求 (SFR) 來評估,不多不少。因此,開發商可以調整其評估方式,精準的符合產品預期要有的安全效能。像網路防火牆不需要符合資料庫管理系統的所有安全需求,不同的防火牆也可能是用完全不同的安全功能需求清單來進行評估。一般來說,通過檢測與認證後,開發商會將安全標的 (ST) 對外發行,因此潛在客戶才可以依評估認證的安全特性來尋找產品。
安全功能需求 (Security Functional Requirements, SFR)
說明評估標的 (TOE) 的安全功能。共同準則會列出這些機能的標準目錄。例如:安全功能需求可能會說明針對以角色為基礎的存取控制的使用者,需以什麼方式進行身分驗證。安全功能需求的列表可能會依不同評估而不同,就算是二個相同種類的產品也可能會有不同的列表。雖然共同準則沒有規定在安全標的中一定要有安全機能需求,不過會列出各個安全功能 (例如,依角色限制存取能力的機能),若要正常運作,會和哪些其他機能(例如,識別不同角色的能力) 有相依性。
https://wentzwu.com/2019/12/08/single-sign-on-sso/
Single Sign-On : 強調使用者觀點,是一個軟體特色而不是一個技術
SSO : 使用者登入一次就可以跨系統使用資源
Multi-Factor Authentication
驗證身份(Server 確認你宣稱的如你所說),達到條件 NIST 提三標準 (三個因子)
Something you know(腦袋中的)
PIN,Password,Secret Key and Private Key
Something You have(持有的)
ID Card
TOTP and HOTP
Something You are(身上有的生物特性)
生物特徵
因子數:同樣因子的用幾個還是一個因子都是單因子
NIST不認為生物特徵安全,生物特徵因子最好結合其他因子
Type 1 Some thing you know
ThisIsMyPasswordWhat?
Type 2 Some thing you have
Type 3 Some thing you are
Privilege(特權) = Permission(權限) + Right(權利)
授權機制
授權的Principle
Access aggregation Attacks 訪問聚合攻擊
Password Attacks 密碼攻擊
Dictionary Attacks字典攻擊
- 使用預期的密碼列表來測試
Brute-Force Attacks 暴力攻擊
- 嘗試所有可能的字母、數字、符號組合
- 密碼越長、符號越多;應付暴力攻擊的能力就越強
Birthday Attack生日攻擊
- 攻擊的重點在於尋找 Collisions (碰撞)
- 防禦方式
Rainbow Table Attacks彩虹表攻擊
Sniffer Attacks
Spoofing Attack
Social Engineering Attack
Phising 網路釣魚
Spear Phishing 魚叉式網路釣魚
Whaling 網路釣鯨
Vishing 語音網路釣魚
Smartcard Attacks
IAAA
XML Based
JSON Based
協定
X.500
LDAP
DAC
RBAC
ABAC
如何確保安全管制措施有效,需要透過安全測試
安全評鑑 查驗/訪談/測試 ( Exanamation /interviewe/testing)
NIST + CISM
事前(準備階段)
EX. RAID1/6 與 Mirror
預處理(檢傷) Triage(Ex.救護車現場回報狀況)
[重點: 1.判斷真/假 2.排定順序 3.進行通報]
驗證通報的真偽(是否為誤判),假的就不用處理
回應
[先停損/後根除/有損害做復原/與證據蒐集]
事後
[檢討改善]
課程 2021/02/07
從生命週期角度來看,時時都安全
生命週期內設計階段,做架構設計,處處都安全
學術界的證明,較常用狀態(非絕對的時間),也是時時都安全
SDLC -> 現較多改稱 SLC
系統(System DLC)與軟體(Software DLS) 生命週期不一樣,軟體只是系統的要素之一
NIST 轉向 ISO 15288
老師重要相關 : https://wentzwu.com/2019/04/10/software-development-security/
NIST - SDLC (System Develop Life Cycle) 五大階段
右邊給風險管理者看。左邊給工程人員看,提醒各階段需要注意的事情。
(refer : P483)
Initiation (初始)
Analysis (分析階段)
分析階段,是分需求
規劃階段 Planning
A、選用安全的開發方法
(何謂安全的開發方法? 開發方法有考慮安全)
敏捷早死早超生 fail fast fail early 不斷將產品推到市場上 看反映作修正
方法論與安全議題
Ex.波音,與核電廠相關的軟體
瀑布式(Waterfall)
- (計畫驅動型 Plan Driven)
- 計畫式
- 弄好細節按表操課
- 嚴謹
- 適合很熟悉的東西、掌握度高 (但現在環境太動態)
- 較難因應變化
- Ex. 一年才做完,一翻兩瞪眼
螺旋式(Sprial)
- 反覆/迭代 Iteration (生命週期)
- 強調風險管理
- 每一期作完客戶會看到一些產出(但還不能上線)
- 反覆可以做出東西 但還不能用
- 如 PPT 簡單畫面呈現
- 一年做四次
- 反覆 "生命週期"會做出東西但結果不能實際使用
- 好處降低風險
敏捷(Agile) (是觀念、方法)
- 反覆+價值漸增就是敏捷 (Iteration + Increment)
- 每一次的反覆交出來的東西要能上線、要能用
- 一旦能用就有產生價值 –> Increment (漸增的東西)
- 強調產出、強調風險管理
- 一期在Scrum 稱為 Sprint
透過 review 看 increment
B、成立 Integrated Product Team , IPT (整合產品團隊)
專案初期就把相關人員找來集思廣益、即早溝通 –>
整合產品團隊,降地溝通問題(敏捷團隊取這種精神)
需求分析(分析決定軟體成敗)
透過需求工程
需求規格 不同 設計規格(設計規格是針對需求提解決方案)
檢查正確性 (V&V, Verification & Validation) P.509
需求規格化
設計紙上談兵的解決方案 (通常都是設計圖)
告知 如何解決利害關係人的需求
重要的是架構設計
先有架構才會有細節 EX. 建築先有架構
解決方案要精準 -> 規格化
架構設計
資安考量
- 惡意的程式碼植入 (因為UI可用來輸入資料)
- 錯誤的輸入
- SQL Injection (SQL)
- XSS (JavaScript)
- Buffer Overflow
- 灌爆 (塞資料+惡意程式),
例外時 return 至特定位址 (提權執行..)- 進而執行惡意執行指令
資安考量
- 實體完整性問題
- 資料重複就破壞完整性
- Primary Key就是用來保護資料完整性
- 參考完整性問題
- 查表動作 叫做 refernce
若無資料 (斷頭) 稱為 refernce 完整性出問題- 用交易 Transaction 來保護參考完整性
(透過交易去控制 Clock Welson)
- SOD
- 交易
- TP/IP/CDI
- 避免 : 主表格與明細表格不能出現斷頭
- 語意完整性問題
- 格式 、範圍 … 解讀上的意義 無意義
- 控制資料型態 控制資料範圍 限定輸入方式 (改下拉式)
放在不同的電腦上
威脅塑模(設計到一定程度,檢視架構與相關的設計是否有漏洞)可理解為工程領域的風險管理
圖面拿出來(架構圖、流程圖、網路拓樸) 拿出來找問題
根據圖找問題
識別威脅
- Categorized Thread list
- (善用已知框架 Ex. OWASP Top 10) -> CWE (共同)
- 此階段的弱點與廠商無關
- CVE 則是與廠商特定產品
- 緩解對策
- 前端做檢查
- 後端做 validation
威脅分類 STRIDE 影響評估,從影響做分類
- Spoofing 仿冒
- Tampering 竄改
- Repudiation 否認
- Information disclosure 資訊洩露
- Denial of service 阻斷服務攻擊
- Elevation of privilege 特權提升
威脅分析 DREAD 評價威脅
- Damage Potential 淺在損害:如果利用漏洞造成的損害有多大
- Reproducibility 重現性 : 重複產生攻擊的難度有多大
- Exploitability 可利用性 : 發起攻擊的難度有多大
- Affected users 受影響用戶
- Discoverability 可發現性
有問題做風險處置
驗證控制有無效
文件化
資安考量
- 直譯式
- 編譯式
Ex. C 語言與 JavaScript 差異
C 控制力大,語言威力強 而 Java Script 僅在沙箱
軟體測試的標的 : 是軟體本身
測試的定義 : 有預期的結果與產生的實際結果比對
基本知識
測試分類 (P.257)
- 以受測標的物有沒有被執行來區分
- 靜態測試 (Static) (掃不會動的,躺在硬碟裡的)
- 源碼掃描
- 掃二進位檔 (沒被載入記憶體的都算)
- Ex. 掃描病毒、原始碼掃描
- 動態測試 (Dynamic) (掃會動的,載入到記憶體裡的)
- 測載到記憶體中的
- EX. 壓力測試
- 已對受測的標的物了解資訊程度來區分
- 黑箱 : 測試者對於受測標的物一無所知
- 使用者測試
- 白箱 : 測試者對於受測標的物都知道
- 原始碼
- 灰箱 : 測試者對於受測標的物知道一些
- 自動與手動
- 自動 (Automatic) (以程式去測程式)
- 手動 (Manual) (以人工方式來測試)
- 主動與被動
- 主動 (Active) : 測試者與測試標的物之間有直接的互動 (Ex. Ping)
- 被動 (Passive): 測試者與測試標的物之間沒有直接的互動 (Ex. sniffing)
- 網路滲透測試
誰來測?(內驗、外確)
- 開發者
- 單元測試
- 寫測試程式來測程式 (Unit Test)
- 測試驅動 TDD (Test Driven Development )
- Code Review
- 主管看
- XP 兩人一個寫另一個看 (Pair programing) 即時但成本高
- 專業測試團隊
- 使用者
Software 測試技術(重點) P.585
- Unit Testing
- Code Review
- Acceptance Testing , UAT 接受度測試 (最後階段的驗收測試)
- Installation Testing 安裝測試
- Ex.交付檔案時做最後的把關裝裝看 (DVD、安裝檔 避免檔案損毀)
- Misuse Case 異常案例
- Regression Test 回歸測試 (一直測測到通過)
- Ex. 工程師提交程式碼 CI Unit test 沒過系統自動通知
- 改到測過為止
- Interface Testing
- A、使用者介面 輸入資料 UI (人餵資料)
- B、應用程式介面 API (另一隻程式餵資料)
- API 的問題? (UI有的都有,但更多問題)
- 驗證的問題解法
- 要事先登記
- 配發KEY
- 並鎖定來源
- 只回應至所登記的固定網址
- 其他 API 問題
- 輸入資料檢查
- DoS -> 限量
- 只做一次驗證,其他都收 -> 改用 Compiled mediation 所有過來的資料都要檢查
- EX. 檢查 Token 是否過期
- Test Coverage Analysis 測試覆蓋率分析
- 用戶的信心
- 要確認分母
- 可能是功能可能是行數
- 須注意測試案例可能不夠
- Fagan Review 正式檢驗,很正式很嚴謹
- Fuzzy Testing 模糊測試
- 用亂數產生測試資料測程式
- 產生資料者 Fuzzer (程式),型態有
- 笨蛋型 (Dump) 人工寫好邏輯
- 聰明型 (Smart) 自動分析頁面欄位與資料型態動態產生
- Synthetic Transaction 合成(人工)交易 (監控系統的一種手段)
- EX, PC home 最怕功能都正常但最後下單異常
- 測試程式定期去跑一下,下單流程 確認 可以下單
- 人工自己下單 確認系統能成功下單
以人為本(開發團隊與客戶)、給我軟體其餘免談(含風險管理)
CMMI (整合)三種不同能力
能力成熟度衡量組織能力 (分五級)
參考資料
關聯 Relation 就是 Table 本身
關係 Relationship , 是表格與表格之間
https://www.mitre.org/centers/national-cybersecurity-ffrdc/who-we-are
所有安全解決方案中 人員 是最脆弱的環節。
因為無論部署了何種物理與邏輯的控制措施,人總是可以找到方法來規避來繞 過控制措施,或始控制措施失效
建立職責描述 Job Description
將關鍵敏感的資訊 分給幾個不同的管理員或高級操作員
防阻串通的保護措施
最大安全 最小權限
提供知識備份
降低詐欺、數據更改、竊盜破壞與訊息濫用的風險
設定工作級別
篩選應聘者
候選者的篩選基於職責描述所定義的敏感性和分類。
現在許多公司做線上的背景調查還有社交網路審查已成為標準作法
招募和培訓最合適該職位的人員
雇傭協議
NDA
解雇過程維持控制和風險最小化
離職面談,主要對於雇員的責任和限制進行審查
應在通知被解雇時同時進用和刪除其系統的訪問權限
Due Care Due Diligence
風險管理主要將風險降至可接受的水平
風險分析:實現風險管理目標的過程
風險評估與分析
分為定量風險分析 & 定性風險分析
定量風險分析 Quantitative Risk Analysis
ALE1 控制措施實施前的 ALE
ALE2 控之措施實施後的 ALE
定性風險分析 Qualitative Risk Analysis
可採取風險控制
控制措施 (應以縱深防禦方式實現,已提供最大效益)
通用控制類型
資產估值與報告
風險分析的一個重要步驟是估算組織的資產價值
如果沒有價值就不用提供保護
資產價值 直接影響 為保護資產而部署的防護措施和安全基準
持續改進
風險分析旨在向高級管理階層提供必要詳細資訊,決定風險的處置方式
風險處置
NIST800-37 RMF 風險管理框架
安全必須是成本有效的,因為組織預算有限,必須合理分配。
用於確定為保護資料和控制對資料的訪問需投入多少資源(精力/金錢/資源)
National Institute of Standards and Technology (國家標準暨技術研究院)
NIST 800-34 Contingency Planning Guide for Federal Information Systems
NIST 800-37 RMF Risk Management Framework for Information Systems and Organizations
NIST 800-39 Managing Information Security Risk Organization, Mission, and Information
System View
NIST 800-41 Guidelines on Firewalls and Firewall Policy
NIST 800-50 Building an Information Technology Security Awareness and Training Program
NIST 800-53 Security and Privacy Controlsfor Information Systems and Organizations
NIAT 800-60 Guide for Mapping Types of Information and Information Systems to Security Categories
NIST 800-61r2 Incident ResponseComputer Security Incident Handling Guide
NIST 800-64r2 SDLCSecurity Considerations in the System Development Life Cycle
NIST 800-145 The NIST Definition of Cloud Computing
IEEE/ISO/IEC 15288-2015 Systems and software engineering – System life cycle processes
ISO 22301:2019
Security and resilience — Business continuity management systems — Requirements
ISO 27000 系列
ISO 27001(https://zh.wikipedia.org/wiki/ISO/IEC_27001)
《資訊科技—安全技術—資訊安全管理系統���要求》
Information technology — Security techniques — Information security management systems — Requirements
附錄A.:控制方式列表以及其目的
附錄中有114個控制,分為14群,35個控制分類
《資訊科技-安全技術-資訊安全管理作業法規》
(Information technology – Security techniques – Code of practice for information security controls)
ISO 31000:2018(en)
Risk management — Guidelines
WEP | WPA | WPA-2 | |
---|---|---|---|
1代 | 1.5代 | 2代 | |
標準 | 802.11 | 802.11i 草案 | 802.11i |
加密演算法 | RC4 | RC4 | AES |
加密方法 | WEP | TKIP | CCMP |
完整性 | CRC | MIC | CCM |
MIC (Message Integrity Code)
MAC (Message Authentication Code)
網路的各種可能攻擊 (可參閱筆記網路七層)
中間人攻擊可以在各層
DoS 攻擊
大地攻擊
LAND攻擊(區域網路阻斷服務攻擊,英語:Local Area Network Denial attack,縮寫:LAND attack),是阻斷服務攻擊(DoS攻擊)的一種,通過傳送精心構造的、具有相同源位址和目標位址的欺騙封包,致使缺乏相應防護機制的目標裝置癱瘓。
Injection
我是CISO、風險顧問,不要輕易動手
四個要素,即主詞(S),動詞(V),受詞(O),補語(C)