Cissp Domain 2 Asset Security 資產安全

資產是指什麼? 企業獲利的方式不外乎

1. 製造產品或軟體
2. 提供服務

因此你可能會需要原物料，公司要把原物料經過資產幫你轉換原物料才會變成最終產品，所以要盤點出重要的資產並加以保護

Example of Valuable Assets 有價值的資產範例 P7

1. Hardware 硬體資產
2. Software 軟體 資料庫
3. People 人員
4. Information/Data 資料、資訊類，包含開發中的程式碼、系統設定檔、操作SOP
5. Processes / Service 有些顧問會把流程和服務也放進去
6. Product 產品
7. Corporate Reputatuion / Brand 企業組織名譽 坦白說在資安的領域比較少列進盤點清冊，但可能會說風險會對企業的名譽造成影響
8. Intellectual Property/Ideas 公司知識財產 智慧財產
9. Architectures 架構

IT 資產管理生命週期 P8

1. Plan規劃
   • 對齊組織目標
   • 分級分類
2. Assign Security Needs
   • 採購
   • 內部開發
   • 委外開發
3. Acuire
4. Deploy
5. Manage
6. Retire (汰除)

Discovery類型的盤點
有些公司運作一段時間了，只是以前沒做資產盤點，那就用這種方式，找出重要資產

1. Identity 識別
2. align 找出跟公司營運目標有關的
3. Decide to Manage ? (對應到前面的2)

information asset inventory Critical Business Functions (CBF) 營運流程 P9

資產 Assets

• web server
• AP server
• DB
• network
• …

這個資產 support 哪個服務，就是在做 CBF

The Data Security Lifecycle P16

資料這種資產，大概會經過這幾個階段

1. Create 建立出來
2. Store (data in Store) 使用中會有這種狀態 儲存
3. Use (data in Use) 使用中會有這種狀態 使用
4. Share (data in Transit) 使用中會有這種狀態 傳輸
5. Archive 封存歸檔
6. Destory 銷毀 (不一定要經過封存，某些也可以直接進銷毀)

Information Asseett Ownership 資訊資產所有權 P17

做完資產盤點後，要決定 Ownership
資產要究責 出事找誰

1. Identify / Discover Assets
   識別資產
2. Determine Ownership
   員工資料放在HR系統，所以資料擁有權是 HR 主管，IT部門角色是保管者
   解決技術問題由 IT 部門解決，但是 Owner 要負最終責任
3. Owner 要評估資產重要性(分級分類) Classification and Categorization
   決定資產重要性

某公司的資產擁有者全部掛IT部門，好像怪怪的
叫資訊部門去溝通，通常太弱勢了，話語權很小，還是從更高的管理階層下手較好

Roles of managing the Data Security Lifecycle P18

• Owner 擁有者 GDPR的Controller
• custodian 依照 Owner 的需求去保護資料 GDPR的Processor
• subject 當事人 GDPR的subject
• Data steward (資料總管? 中文不太好翻) 接受Owner的委託，去幫忙做分級，不會因為委託，責任就轉嫁出去

例如我委託委外廠商幫我保管個資，那個資外洩時我就沒責任…? 沒這回事，原始的 Owner 才要扛責任 (我至少要扛選廠商不慎的責任和罵名)

From Impact to classification/Categorization P19

怎麼評估資產重要性? 從他被破壞性造成的影響，一般來講是 CIA

例如：用錯誤的加密方式保護資產，保護不當外洩就會造成衝擊

Issues Related to Classification P20

Data Owner 要知道法令法規規定
或是關注方對資產是否有期望 (我有會員資料，會員們期望我好好保護這些資料)

可能有些異常情形

1. 人為錯誤 Human error
2. 分類錯誤 Inconsistent Classification
3. 資產標示處理方式不夠清楚
4. 降階 某些資料已經沒這麼重要；或是解密(本來密等降成內部使用)

針對這些東西，需要二階的程序

Data Security Policy Needs P21

1. label and level 標示 等級
2. data access need 存取權限
3. appropriate use

• 預設限制
• 加密需求
• 機密資料處理方式

4. 不須使用時保留多久
5. disposal 如何安全銷毀

Examples of information Classification P22

機密 洩漏後遭受重大損害
敏感 洩漏後遭受部分損害
內部 限內部使用不得公開
公開 無特殊要求可供開出示

Data States P29

資料使用時 3種狀態，CIA怎麼保護?

• Data at rest ©
  • 儲存在何種媒體
  • 在檔案伺服器 DB usb的保護方式
• Data in motion/transit
  • 傳輸安全 moving between network or system elements
  • 例如 TLS IPSec
  • 從端點儲存到顯示 local endpoing
  • From server to remore process control actuator
• Data in use
  • 監控 monitoring
  • 嚇阻 DRM解決方案可能有 可視浮水印 (上面附上電腦名稱 ip 等資訊)
  • DRM可能也有設定 14天後就打不開之類的
  • Gmail也有 https://www.ithome.com.tw/review/125360
  • Image Not Showing Possible Reasons

    • The image was uploaded to a note which you don't have access to
    • The note which the image was originally uploaded to has been deleted

    Learn More →

補充資料：同態加密 (Homomorphic encryption)
同態加密是一種加密形式，它允許人們對密文進行特定形式的代數運算得到仍然是加密的結果，將其解密所得到的結果與對明文進行同樣的運算結果一樣。

Data Retention 資料保留 P30

• 法令法規是否有規定?

• 商業需求 Business needs

• 法律訴訟 Litgation obligations 資料可能會變數位證據就不能隨便刪除

• 怎麼保存 Determine retention periods

• 永久保留有成本問題和風險問題 Draft and justify record retention policy

舉例 Statutory retention requirements P31

公開發行公司建立內部控制制度處理準則

• 工作資料至少保存五年

所以其他法規有規定，個資法想刪也不行

Data Disposal 汰除 P32

怎麼安全銷毀? 參考 Nist sp 800-88r1

三種強度

1. 清除(Clear) overwriting 把內容複寫掉，可以使用工具複寫，例如：
   • sysinternals 的 sdelete 這是一個 cli 工具 https://learn.microsoft.com/zh-tw/sysinternals/downloads/sdelete
   • Eraser 第三方免費軟體 https://eraser.heidi.ie/download/
   • windows 內建指令 cipher /? 可以刪掉後幫你複寫 https://learn.microsoft.com/zh-tw/troubleshoot/windows-server/windows-security/use-cipher-to-overwrite-deleted-data
   • 補充：美國國防部規定必須要複寫7次，每次使用不同字元覆蓋才行
2. 清除(Purge) degaussing, crypto-erase
   • 有幾種方法，例如消磁機 https://www.youtube.com/watch?v=Q1IDI4UwJIQ 要裡面有磁鐵的傳統HDD硬碟才能用，SSD沒有磁性不適用，消磁後這個硬碟報廢就不能用了
   • 
   • crypto-erase 加密抹除法，針對資料做加密，例如使用 AES 256，然後把加密金鑰摧毀掉
3. 銷毀(destory)-incinerate or shred
   • 對儲存媒體實體破壞
   • incinerate 高溫焚毀
   • shred 絞碎 如碎紙機，也有絞碎硬碟的機器
   • 
   • 實體文件也有水銷的技術 https://www.facebook.com/watch/?v=1028298317253498
   • 

注意： windows 的 永久刪除 不在前面這三種方法裡，因為這個只是不進資源回收桶的刪除，並沒有針對硬碟做物理性操作

Solid-State Drives (SSDs) P33

1. ssd 用 flash memory 快取記憶體，他變動內容是把東西讀到 memory
2. 改完之後寫入到另外一區 (原本那一區沒動，存取效率較高)
3. 消磁無效 (因為非磁性物質儲存)
4. 可以用 crypto-erase ，或是低階指令 (通常原場會出工具)，例如 sk hynix drive manager easy kit 這套南韓的工具 https://ssd.skhynix.com/download/

Cloud-Based Rata Remanence 雲端儲存 P34

• 只有 crypto-erase 加密刪除金鑰法 有用
• 有一種 data dispersion 技術，可能把資料拆成 20份放到不同機房，混合再一起組出來的，所以普通刪除法也很難說真的有刪除

End of Life and End of Support of Media (orphane 孤兒產品 P36)

當這個產品 EOL EOS，有弱點原廠也不會幫你修，金融單位常會看這些

• EOL 是一個流程 process，我的產品要 EOL (停產) 了
• EOS 是 EOL 的最後階段，EOS 就不再提供維護(保固)了

如果EOS了，要安排替代方案是什麼?

上課問題：廠商惡性倒閉的時候? 針對這個產品去做風險評鑑

雖然沒有立即性風險 (沒有馬上發現威脅)，但是因為沒有原廠維護是弱點
要評估風險

Controls based Classification / Categorization P37

Categoriza 分級完之後，要 Controls 投注適當的資源去保護資產

Examples of Security Controls P38

老圖 很好用
https://hackmd.io/@Not/iPASInformationSecuritySpecialist#存取控制

存取控制類別

• 補償性：降低風險，替代主要的交流（例如，兩個人的兩個鑰匙）
• 糾正：減少攻擊的影響，恢復實體（例如伺服器映像，滅火器）
• 偵探：檢測攻擊，例如IDS，日誌，作業輪換
• 威懾：威懾/勸阻攻擊者，例如認證，圍欄，照明，NDA
• 指令：組織內可接受的做法，AUP（可接受的使用政策）
• 預防性：鎖，識別證，加密，警衛，培訓
• 恢復：恢復資源，例如備份，異地設施

存取控制類型：

• 管理控件：軟體控制，例如監督，人員控制，安全意識培訓
• 邏輯（技術）控件：限制對軟體/硬體組件的存取，例如防火牆，密碼，IDS
• 物理控制：保護設施，例如徽章，警衛，狗，電纜

Baseline Tailoring

ISO 27001 附錄A 有93巷控制措施可以參考

NIST 則是有 baseline，要 apply 不同高中低的資產
高中低不是說都不能調整，是可以調整的， 在 800-53b 有說怎麼調
調整方式

1. Scoping 如果組織不適用，就可以不要選 do not apply (類似 不適用)
2. Compensating controls 可以用擔風險存在，提出補償性措施
3. 每個控制措施有特定參數可以調整 (more specifically)，提供 pamameters

舉例： 這是 800-53b ，進去後右邊可以 download，看 PDF 的 AC-7 Unsuccessful logon attempts

登入失敗，可能是有人在 try 密碼，怎麼處理?

• 1. 幾次連續失敗
• 2. 多久連續時間內

所以說30秒內連續登入失敗3次，可能就是密碼破解，因應這個問題的方式在 b 這一段

• 自動鎖定一段時間
• 管理員手動 release

可以看 a. b. ，800-53b的解決方案寫得非常明確，開規格給程式設計師開發就會很方便

https://hackmd.io/@Not/CisspDomain5