Cissp Domain 7 Security operations 安全作業

大綱 P3 P4

• 監控
• 組態管理(會和變更一起講)
• 事故管理
• 營運持續 和災難復原一起講
• 實體安全

Access Control Across Layered Defense P7

Security design principles applyacross architecture

• Least Priviege 在D3

• Need to know (僅知原則/白話：業務相關知悉)
  • DBA 有DB最高權限，但有權限不代表有Need to know

• Separation of duties 在D3

• Privieged accounts management 在D3

• Job rotation工作輪調：這是 Separation of duties 的補償性措施，例如開發和測試同事久了有感情可能會共謀collusion，共謀聽起來很可怕，其實就是睜一隻眼閉一隻眼，所以做工作輪調來避免問題
• Dual Control雙重控制
  • 一件很重要的工作/資料，不能只有一個人把持或知道，需要多人共同同意，避免權限過大
  • 太重要的資料 不能一個人知道全部內容，把資料拆分 (knowledge spliting)，如果這個資料是key，就是 key spliting

logging and monitoring activties 紀錄與監控行為 P11

monitoring 是為了 detecting

logging與事後調查有關係,數位鑑識
對人來說資料量太大了，所以有自動化機制
有網路的(IDS IPS) 端點的(EDR) 跨設備的關聯分析平台(SIEM SOAR)

logging and monitoring 投影片有圖 P12

Monitoring Components
AV,EDR,IDS,IPS,Antispam 防護措施
會比對防護規則，比對到就發警訊
警訊=可能是事故，有事故就走事故應變流程;需即時緊訊及實作應變

資產本身也會產生event警訊，例如windows 事件檢視器，這些也要存進去
雖然單條警訊本身不是事故，但可能能夠拼湊出完整事故

例如:設定門檻值，某個來源ip 1分鐘掃了1000個port，可能就發警訊了
但我是apt攻擊者，可以設定 slow attack ，慢慢掃，1分鐘10個port就好，這樣可以繞過警訊，但把時間拉長到24小時，就會發現某個ip不太正常，一整天掃了超級多個port，就可能是事故 incident

分析可以是自動化也可以是人工，通常他是互補
初步第1,2層用自動化，不確定的部分用人員分析

Log Management P13

Genetating, collection and managing events 事件的產生 蒐集 管理
『事件』不等於『事故』 event !=incident

例如： 一台主機一小時登入兩次失敗是事件，一分鐘20次登入失敗(頻率變高，要檢查是不是有人在暴力破解)

例如一台主機adminstrator 登入失敗是事件，20台主機adminstrator同時都登入失敗可能是事故

• Event
• Required by all security frameworks
• Meet the requirements of
  • Detection 合規
  • Compliance
  • Process improvement
  • Operational requirements

Continuous Monitoring 補充 P14

• 自動方式收集 Automated Collectt>Analysis>Report>Respond
• 持續感知 maintaining ongoing awareness of information security, vulnerabilities, and threats NIST 800-137

Standards 標準

• NIST SP 800-137
• ISO 27004
  • 無特別強調Continuous
  • 有提到Monitoring
• Other

Ingress monitoring P15

外對內的威脅，主要防外部攻擊

• Firewalls
• Gateways
• Remote access
• IDS/IPS
• Antimalware

Egress Monitoring P15

內對外的威脅，主要是防資料外洩

• Data loss/leak protection(DLP)/也有人叫 leak prevention
  • 端點 閘道 或是兩種都做
  • ISO 27001:2022就寫了一個DLP，一開始顧問很緊張因為很貴，慢慢有共識可以用不同控制措施防止機密外洩，不一定要真的買DLP
• Rules
  • Signature
    • 使用file hash
  • Pattern matching
    • 資料格式 format，如信用卡格式、手機號碼
  • Labeling
    • 資料上面打標籤，confidential
    • 例如Using Office 365 Sensitivity Labels 的這張圖 Figure 2: Including sensitivity labels in a publication policy (image credit: Tony Redmond)

繞過DLP的影片
檔案直接傳可以攔到
但是文字copy paste貼上瀏覽器或是資料隱寫藏圖片內可能攔不到

Threat Intelligence 威脅情資 P16

什麼是威脅情資?

• Indicators of Compromise 被某種特定方式入侵的特徵 IoC (要記這個專有名詞)
  • 例如c2中繼站的黑名單ip
  • 惡意程式file hash
  • 不見得要真的傳檔案，敏感檔案懷疑有問題也可以用 file hash的方式去檢查
  • Image Not Showing Possible Reasons

    • The image was uploaded to a note which you don't have access to
    • The note which the image was originally uploaded to has been deleted

    Learn More →
• Terrorist Tactics, Techniques, and Procedures，戰術、技巧和程序 TTPs 專有名詞

Active Collaboration (積極協作)

• Intelligence cycle，參考 FBI 的
  

  Image Not Showing Possible Reasons

  • The image was uploaded to a note which you don't have access to
  • The note which the image was originally uploaded to has been deleted

  Learn More →

• Sources威脅情資來源

  • 內部：Logs, scans,network traffic
  • 外部：OSINT公開情資, dark web, threat reports
  • 27001以前的作法是訂閱電子報就好(ex twcert)，但這樣不太好，最好是要有分析紀錄。威脅情資要拿來應用，只有訂閱不太合理

IntrusionDection and Prevention (IDS/IPS) P17

• IDS:alarms Only只能偵測 沒辦法阻擋 monitor模式 或稱為 sniffing mode
• IPS:active Containment 看到攻擊可以block
• Placement
  • Perimeter 周界
  • internet intranet的地方
  • Host/Network 現在多都整合到端點防護軟體去了
  • Cloud-hosted
    • IPS安裝的地方雲端VM
• Detection 偵測方式
  • Deviation from baseline 設定門檻值 threshold(偏離基準線)
  • Signature(pattern matching)看特徵，例如 snort 這個軟體就是看特徵
  • Image Not Showing Possible Reasons

    • The image was uploaded to a note which you don't have access to
    • The note which the image was originally uploaded to has been deleted

    Learn More →

  • 例如 wannacry dns query，封包會送 dns query 也是一種特徵

  • Heuristic啟發式，這是很老的名詞，偵測惡意程式威脅有已知和未知，有些未知程式沒有特徵，但有行為模式behavior，現在的新名詞改用AI machine leanning 去做了

h2 P

• EDR
  • Enhanced Epp
  • Focus on endpoints
  • Playbook(營運手冊) -> incident response

補充 MITRE會去測試EDR產品

ATT&CK® Evaluations - MITRE Engenuity
https://attackevals.mitre-engenuity.org/results/enterprise?vendor=cycraft&vendor=fireeye&evaluation=apt29&scenario=1
藍色越多應該是準確率越高值得參考

UEBA： User and Entity Behavior Analytics 投影片有圖 P19

使用者跟端點的分析，看是否有行為異常，現行使用人工智慧方式去偵測
老師比較少看到有建置

Tradeoffs P20

• 設備越多維護成本人力更高
• 偵測機制都會有誤報
• 誤報對工作效率產生干擾，但資安更怕漏報
  • 潛伏一段時間才發現 潛伏時間叫做 Mean time to detect (or MTTD)
  • 2016-03-24 趨勢科技全球核心技術部資深協理張裕敏在大會主題演講中指出，企業遭受APT攻擊時的潛伏時間平均為559天，部分較為極端的案例則超過2,000天以上，換言之，這段從駭客最早入侵，直到企業發現受到攻擊的時間，就長達1年半以上。
• Ｈow to exchange threat 情資標準化 OASIS 有做:
  • STIX 資料格式
  • TAXII 交換標準
• Agility
  • How to exchange threat intelligence intelligence fast?

Security Information aand Event Management(SIEM) P21

• Total chain from aggregation through analysis
• (Traditionally)reactive
• Hostting:who does what?

例如有個 arcsight 就是 SIEM產品之一

買了裝了EDR，但沒人力監控嗎? 也有MDR服務這種代管服務

Security Orchestration, Automation, and Response(SOAR)

• Orchestration

  • Integrate 指揮其他設備作動作，Integrate all security processes,systems, and people across the enterprise
  • ENhance collaboration while streamlining cummunication

• Automation and Response 自動化

  • Translate(admin) policy into executable workflows
  • playbooks guide(可能上千個劇本) teams

看影片 SOAR Use Case | Automating SIEM Alert Triage Demo with Swimlane

SOAR Use Case

• 可以走不同的條件
  

  

• 收到 siem 平台 alert所以選 siem的劇本
  

  

• 找主機端點 拉過來 有可疑檔案送到 ViruslTotal掃看看
  

  

• 把 SIEM alert 拉過來
  

  

• 主機資訊Host 網路資訊拉過來
  

  

• 如果大於5個就走下面的程序
  

  

• 聯防 標記檔案有病毒，叫防毒軟體 block，叫防火牆block
  

  

Logging and Monitoring Challenges

• Encryption
• Cloud logs are distributed
  • 收集不同雲端log
• Increasing threat sophistication
  Countermeasures
• Trained staff
  • 憑證要裝進去 proxy 、digicert
  • CSP 雲端服務商有 logging service

• 例如 GCP Cloud Logging 防刪防寫
  * DataDog 雲端服務，一定資料量內免費
  * Solarwinds 也是 Cloud Logging 服務

• Counterment commitment

上課問問題 雲端委外供應商的 log 怎麼監控?

• 跟廠商在月會的時候 review 報告
• cloud 已有api，也可以把log拉回來
• cloud 自己有防護機制，單純把報告拿回來，有需要在看完整資料
• 工研院或是某個中立第三方

Defensive tools and techniques P19

• Allowed vs.blocked listing
• Firewalls,IDS IPS
• Sandboxing 不是特定技術，是技術 Isolation，可以用很方式達成
  • ex 虛擬桌面VDI、RemoteBrowserIsolation(RBI)
• Honeypots and Honeynets
  • 蜜罐誘捕系統（honeypot），收集新型攻擊及工具
  • 早期是 台灣數位安全聯盟理事長 蔡一郎弄起來的
  • https://blog.yilang.org/
• Antimalware Defenses

APNIC文摘—蜜罐誘捕系統（honeypot）可幫助網路安全研究

有那些 HoneyPot?

• fortideceptor
• 以前有賽門鐵克 ManTrap
• OWASP HoneyPot

ML AI Tools P30

• AI/ML 的技術使用在 SIEM,Soar,XDR
• 偵測未知攻擊
• 潛藏風險可能有好或是壞的問題
  • Google reCAPTCHA
  • Deepfake 換臉AV

用Google語音辨識API破解
https://www.youtube.com/watch?v=1kBmbEwJpYo

Ransomware and ransom attacks P31

攻擊

• 危害金額越來越高
• 已經演變成產業鏈 提供服務
• 雙重勒索 對供應商和原廠說要公開資料

防禦

• 制定政策 網路分割等等
• EDR/XDR
• BACKUPS!! offline backup

Third-party-Security Services（第三方安全服務） P32

• Vendors 委外
  • 有足夠深度能力
  • 有足夠廣度知識
• 合約限制 供應商
  • Strong Language(罰則) 與 服務品質SLA
• Due diligence 盡責調查，看有無能力

Incident Response Stanrards 事故管理標準 P36

1. 事件要關注要分析
   1-1 確定是incident 就要 Response
   1-2 不是就close掉不要花多餘人力
2. 應變過程無法恢復 就要考慮啟動 BCP

• NIST SP 800-61
• Four phases
  • Preparation （準備階段）
    • 目標: 建立事件響應能力，使組織能夠有效應對事件。
    • 活動: 制定並實施事件響應政策和計劃，建立事件響應團隊，提供培訓和宣傳，以及定期進行測試和演練。
  • Detection and Analysis（檢測分析階段）
    • 目標: 檢測並驗證事件發生，並了解其範圍和影響。
    • 活動: 監控安全事件，分析警報和日誌，確定是否發生了事件，以及收集有關事件的初始信息。
  • Containment,Eradication and Recovery（遏制、根除和恢復階段）
    • 目標: 限制事件的損害，根除威脅，並將受影響的系統恢復到正常運作。
    • 活動: 孤立受影響的系統，遏制事件，根除事件的原因，並實施恢復措施，將系統還原到一個良好的狀態。
  • Post Incident Activity（事件後活動）
    • 目標: 文件化事件，分析響應，並實施措施以防止未來事件。
    • 活動: 文件化事件，進行經驗教訓回顧，更新事件響應政策和程序，並根據從事件中獲得的見解改進整體事件響應能力。

ISO 27035 P37

分五個階段 ISO 27035 5 phase，類似把 nist 800-61 第二階段拆成 2個

• 準備階段
• 偵測與通報
• Assessment and decision評估與決策，決策是不是事故
• Response 回應
• Lessons Learned 學習

Organizational Environment(組織環境) P38

• 大公司規定多組織文化比較繁雜
• 新創公司有彈性

老師去新創公司，從大門一路走到最裡面會議室都沒人管 (公司文化的關係)

Preparation 規劃準備階段 P39

• Policies 政策，有無內部外部要求 requirement、角色與責任Roles&Responlity(R&R)、incident levels事故分級方法
• Planning 事故應變計畫
• Procedures 應變處理程序(不同的PlayBook，如對應勒索的、對應DDoS的)
• Communications 怎麼跟內部和外部的人員通訊
  • 例如機房斷電、主機要關機前要跟內部人員公告
  • 例如出重大事故要對外發言、要發訊息上公開資訊觀測站
• Training 人員教育訓練
• Awareness

Detcion and Analysis（檢測分析階段） P40

偵測

• 端點 網路 跨設備要有關聯機制
• 人員通報也是關聯機制
• 偵測到異常分析看看

分析

• False positive 誤報
• Prioitization 醫療叫檢傷分類，資安是做事故的分級分類-> 要寫在Policies(政策)
• Timely action 爭取時間快速處理
• DOumentation 分析結果文件化
  • 將分析結果（重要資訊）記錄下來
  • 這時候不是要立刻做很完善的報告，只是先記起來
• Notification 通報
• GDPR通報時限：72小時

按GDPR第33條（1）之規定，當個資侵害發生時，在如果可行之情況下，控制者應即時（不得無故拖延）於知悉侵害時起72小時內，依第55條之規定，將個資侵害情事通報監管機關。

Response 控制不要讓災損擴大 P41

• Contain / Control
  例如勒索軟體來了要斷網，避免繼續影響
• Eradicate 根除-把事件原因移除掉
• Recover:事故造成damage(損害)
  • 把東西修好恢復原狀
  • 需要驗證是否恢復正常
  • 實務上會直接重灌還原檔案

Reporting and Post-incident P42

Reporting 報告時機點
Senior Management:給高階管理層做決策

• When 何時 需要啟動BCP DRP
• When to call emergency services, expert help要不要找專家協助
• when to hal normal operations，一直在付錢,是不是要乾脆中斷放棄治療
• When to resume normal operations 何時要調整到異地去

Security Team(IR)需要持續跟管理層確認

• Report 報告
• 往上層報 Escalate（上升）

Post-incident 防止持續發生

• 問題一直發生要找出原因
• 找到問題有沒有徹底改善
• 保存數位證據
• Perform consistently
  • 從事故應變過程中，定制政策是否需要調整？
• Proper tone and communication
  • 公司文化，事後檢討要保持適當語氣溝通 有話好說，不要秋後算帳 導致沒人講真話

資安法的 資通安全事件通報及應變辦法
這個比較接近 policy ，所有政府機關都適用

Types and Requirements of Investigations 數位鑑識 P46

• Administrative(internal) 內部調查 行政調查
• Civil 民事訴訟
• Regulatory 主管機關調查
• Criminal 刑事訴訟
  司法院裁判書都有公開，可以搜尋數位鑑識就會找到一些資料

Forensic Cycle P50

NIST SP 800-86 有圖 Guide to Integrating Forensic Techniques into Incident Response

• Consideration
  • Collections 收集
    • 收集所有可能的數位證據，不做過濾，收大量資料
  • Examination 深入檢驗
    • 進行過濾相關資料
    • 甚至可以用 undelete的手法 把犯罪有關（如email,搜尋既有資料,煙滅證據）
  • Analysis （分析）進行關聯
    • 將這些犯罪相關的拼圖拼起來
  • Reporting（報告）撰寫鑑識報告
    • 數位證據的呈現
• Specialized tools and technologies 特殊工具和技術，如 鑑識工具 Encase
• Law Enforcement involvement執法單位的介入

Maintaining the Integrity of an Investigation P51

調查過程和程序要值得信任 Integrity

• abide by ethical walls 避免調查人員和嫌犯有利益衝突(不能有仇 和 友好關係)
• 遵循保密原則（如偵查不公開）
  • Only communicate through designated channels 透過合法管道
  • don't even think of talking to the news & social networks yourself! 不要擅自跟新聞媒體或社群平台告知資料
• 無罪推論原則
• Protect and maintain the chain of custody 保持數位證據監管鏈 -> 要有人隨時監控著他，若無監管可能有人被破壞數位證據

Evidence Collection 證據蒐集 P52

• 資料
• 系統

實體環境資料收集也是鑑識的一環，但不在資安裡面

Evidence Collection and Investigative Techniques 收集與調查的技術細節 P53

• Collect digital evidence in volatility order收集證據要依照數位資料容易消失的內容順序去收集
  （Menory優先收集）

例子：網路連線是放在記憶體中，當網路線拔掉，資料就不見了，向下面的cmd圖；事故處理若要收集資料，透過自動化工具將網路紀錄存起來，依據存取硬碟資料

cmd>netstat

使用中連線
  協定   本機位址               外部位址               狀態
  TCP    127.0.0.1:3198         cap:3199               ESTABLISHED
  TCP    127.0.0.1:3199         cap:3198               ESTABLISHED
  TCP    127.0.0.1:3201         cap:3202               ESTABLISHED
  TCP    127.0.0.1:3202         cap:3201               ESTABLISHED
  TCP    127.0.0.1:3214         cap:3215               ESTABLISHED
  TCP    127.0.0.1:3215         cap:3214               ESTABLISHED
  TCP    127.0.0.1:3217         cap:3219               ESTABLISHED
  TCP    127.0.0.1:3218         cap:3220               ESTABLISHED
  TCP    127.0.0.1:3219         cap:3217               ESTABLISHED
  TCP    127.0.0.1:3220         cap:3218               ESTABLISHED

• Automated capture 自動產生
  • audit logs
  • Upfront logging and monitoring praties (domain 8)
• Manual capture
  • 平常沒有產生這些資料，因為這次事故而去產生或蒐集的資料，可能會被認定二手資料
  • 除非被專家認證，採可能被認為是有利證據
• 外部資料：有公權力才有辦法做

Key Practices of Evidence Handling P54

• admissibility 證據能力，在法庭上是否為合格證據的資格，如果證據被對方質疑竄改過，就沒有 admissibility
• capability （證據證明力）

To increase admissibility in court, it is important for the invesigators to:

• Maintain evidence integrity 維護證據完整性
• Appoint an evidence custodian
• maintain a chain of custody 維護監管鍊

chain of custody:範例表格行政院有建立相關表格

• bit level copies of original evidence
  • bit等級的複製，要跟原始證物一模一樣 ，免費工具可以做到 accessdata ftk imager
• 分析只能挑副本來分析
• 避免破壞原始證物，例如在犯罪電腦上插入隨身碟，插上去也算破壞原始證物，要記錄下來
• Document everything:5W，所有搜查的動作 重點 影響 目的等等都要記錄下來

Reporting and Documentation P55

• 證據不要遺漏
• 全面性避免
• 客觀性
• 不要按照個人意思去解釋

調查 鑑識報告範例

https://www.coursehero.com/file/32500405/Sample-Internal-Investigation-Reportdoc/

記得結論寫前面，因為看報告的人不是電腦專家，他們不會想看太技術性的東西

Digital Evidence and Incident Response(數位證據和事件回應) P56

4 phases

• Preparation
• Detection and analysis
• Containment 可能破壞數位證據，這邊要考慮是否蒐集，例如拔個線關個機可能證據就沒了，要先問清楚
• Post incident activity

Cyber Forensics Standards(數位證據標準) P57

• NIST 800-86
• ISO 27037 識別 收集等等的 Guidelines
• ISO 27041 蒐證方法
• ISO 27042 調查分析手冊
• ISO 24043 調查原則流程
• ISO 27050 數位環境電子蒐證作法

營運持續 Cusiness Continuity P61

• 企業組織遭受到重大災難可以 resilient 數位韌性，在攻擊後還能存活的能力

• 例如一直被打還有 80%存活能力

• 心法(How)，要有 Plan、BC/DRP + 要有演練 = Flexibility 就是resilient 具有彈性 and agility(under stress承受壓力之下)
• BIA(營運衝擊分析)is the driver

Business Continuity and Disaster Recovery P62

CBF 關鍵的營運服務

• Business Continuity(BC)
  • Capability of an organization to continue the delivery of products and services within acceptable time frames at predefined capacity during a disruption
    • 當營運中斷時，企業組織在可接受時間之內，針對關鍵業務讓他能恢復
    • 電商服務中斷，需要Server DB 網路，這些關鍵 ICT Resource壞掉要趕快優先修
• DIsaster Recovery（DR）
  • 針對ICT設備將他做回覆
  • 新版ISO 27001 ICT Readiness For Business Continuity
  • ICT Readiness = 資訊和通訊技術（information and communication technology, ICT）準備就緒(readiness)

bc/dr essentials concept 投影片有圖 P64

中斷後恢復時間底線 = MTD
例如合約寫說中斷6小時沒恢復就罰0.1%的錢，所以 MTD 會訂 6小時
RTO：恢復營運時間目標值，要比MTD 嚴格一點點，設定3小時，保留緩衝
WRT：恢復資料，測試
MTD的時間長度可能= RTO+WRT

RPO：中斷後可能造成資料損時，我能容忍的損失有多少?
前一次的備份是08:00， 10:00故障損失2小時，如果這個還可以接受，那就是2小時

實務上 RTO RPO這兩個參數一定有
MTD不定，稽核可能也不會特別挑毛病(但唸cissp還是要看)

MTD MTPD MAD 都是一樣的，最大可容忍中斷時間

Critical Business Function, CBF (CBF)營運功能 補充 P65

• Products, services, processes and activities that the organization has..

Business Impact Analysis（BIA）營運衝擊分析 P66

• 先識別有多少 CBF， CBF 也是資產需要指定Owner (俗稱的業管單位)

例如人員招募流程、年度財務報表，線上購物各自都是一個CBF，所以有三個部門各自當Owner

• Prioritize CBFs
  • 針對這些進行優先等級排序，並分析關鍵資源（如ICT Resources）
• Critical path analysis 關鍵路徑分析，就是剛剛說的 ICT Resource (需要Server DB 網路，這些關鍵Resource)
• Method 方法
  • survey 問卷
  • Financial audit 財務稽核
  • customer response客戶回應 一斷客戶就客訴代表很重要，斷了3天也沒哀號就不重要
  • standard組織行業標準 best pratice最佳實務

BC/DR 要求 P67

• 內部規定
• 合約要求
• 法令要求

–

Business Impact Analysis (BIA) Result P68

• 把 BC Requirements 轉化成 RTO RPO
• 可以把 BC Requirements 量化轉成下面這個表

營運衝擊分析是以只要有影響到業務系統，就必須把他列入，如何列入？（ EX : remind(提醒)董事會,委員會）

Develop BC/DR Plans P72

• 先做 Risk Assessment 風險評鑑，找 CBF 中斷風險
  • 這一步負擔最大但也可以取巧，例如評估完說跟去年差不多 只要做2個劇本
• Determine BC/DR strategies 決定 BC/DR 策略
• Establish trigger criteria(BCP) 什麼狀況會觸發啟動營運持續計畫
• 溝通方式及管道，由管理階層bc manager啟動營運持續計畫
• 識別角色與責任
• Establish training, rehearsal needs，需要教育訓練和演練

Precedures：計畫中的一步份

• 與風險有關

Determine BC/DR strategies 備援策略 補充 投影片有圖 P73

BC/DR Personnel P74

• Leadership and Management
  • 負責宣布啟動營運計畫
• Responder
  • 第一個處理的人 資安人員 IT人員 公關人員 受到影響的單位
  • 支援角色 法律顧問 人資 財務會計 公關等員工支援
• crirical path personnel
  • 維持公司基本運作人員

BC/DR Exercises P77

強制要去做的，須確認演練頻率
演練類型有這些，最上面風險最低，最下面風險最高

• Read-through: review plans文件審查：Review文件有無問題
• Taletop: 給情境 角色扮演，情境要選風險評鑑裡的不能亂給
• Walk-through(drill)：walk to real location 模擬角色扮演動作時要走到真實地點模擬
• Simulation:may involve all persoonnel,more real 全公司動員的演練
• Parallel(平行)：activate alternate site 測試異地能否正常運作
• Full interruption 主要營運地全部關掉轉移到異地

情境：公司有一位身障同仁，某天要做火災疏散演練，同仁不便行走，消防演練安排應該是?
（Ｘ）1. 叫他做位子上就好
（Ｏ）2. 安排人員協助他參加演練

BC/DR in Action P78

1. 要溝通，內部與外部

• 出事時可能需要用備援系統 甚至是員工自己的設備 BYOD
• 想想看 平常的溝通管道，出事的時候可能是不通的
• 單一窗口匯集訊息對外發言 public,media, officials,key stakeholders

資安講起來很重要，做起來變次要，急起來就不要了

2. 識別災損狀況 assessment : impact cause responsibility

• 可以由 CBF Owner（關鍵業務功能擁有人） 或是 IT人員評估

3. Restore,recover,get back to normal

• 切到異地啟動了服務也正常運作Restore（恢復）了，但切到異地是暫時的，最終還是要 restore 到正常狀態，就是回到 before 原本的狀況

4. Learn from what just happened 學習並持續改善

發生一個在難或事故,啟動4個R（IR,Resume,Recover,Restore）

Resume,Recover,Restore這三個 丟Google翻譯都是恢復

同學提供的翻譯：Resume恢復、Restore修復、Recover回復

上英文課 Resume,Recover,Restore

另一個 3R原則，故障時就 Reset、Reboot、Reinstall

Backup storage strategies 備份儲存策略 P83

1. Essential aspect of availiability 這邊的備份是跟可用性有關相關的東西
2. 備份必須要正確，備錯了 備不夠的問題 原始碼 、DNS 設定檔、防火牆規則等等會影響到服務的 組態設定 有沒有備分?
3. 將這些需要備份的東西納入 BCDR 需求 (寫成文字)

minimum protection 最低的備份保護程度 備份321原則

1. 3copies 幾代、幾份備份檔，重點是要留幾份，考量成本
2. 2種儲存媒體
3. 1份異地，有幾種做法，但前兩個比較舊了
   1. remote jounaling (資料量較少)
   2. electrouce vaulting (只有變化資料傳過去)
   3. mirroring (資料傳的最多)

mirroring 要小心多備份幾代，例如google雲端硬碟，會同步本地硬碟，被勒索加密就全部被加密，夠多代才挖得回來

課堂問題：git 是一種分散式儲存，那使用 github 算是一種備份機制嗎?
老師：雖然 git 可以達成分散儲存的異地檔案，但 github 故障的話，這個備份服務會發生問題， 應該要確保地端也可以輕鬆重建gitlab之類的替代方案

課堂問題：備份要多種媒體，那雲端裡面可能用了硬碟 光碟 磁帶機，雲端算是什麼儲存呢?
老師：把雲端當作一種儲存方式，硬碟 光碟 磁帶機 雲端 像這樣是同樣位階，因此如果選擇2家雲端廠商備份檔案，其實等同於只有1種備份媒體

Backup Locations:

1. Onsite 同地備份
2. Offsite 異地備份
3. Cloud Backup-as-a-Sevice 雲端視同一種異地備份，現在也有提供服務

Backup Types 備份種類 完整 差異 增量，講義有投影片 P85

1. Backs up all data 完整備份
   原本備份有100個字，一天後異動了10個字，完整備份就是 110個字

2. Backs up the data new and changed since last backup 差異備份

原本100個字，1天後增加了10個字，差異備份就是 10個字
原本100個字，2天後增加了20個字，差異備份就是 10+20 = 30個字

3. Backs up the data new and changed since last full/incremental backup 增量備份
   從前一次的完整或差異，取出差異部分備份
   增量備份與增量備份間有相依性

原本100個字，1天後增加了10個字，差異備份就是 10個字
原本100個字，2天後增加了20個字，差異備份就是 20個字

問題點：每天省容量，但是每一版備份都要保留才能還原

課堂問題：如果我異動的資料不是增加而是減少，那備份檔的大小會…?
老師：檔案容量會變小，但是會增加標記減少的內容是什麼，會比原本多一些描述用的 metadata

Other Backup Strategies and Considerations P86

• Journaling:

  • electronic vaulting 本地端的資料傳遞到異地
  • 頻率：Mirror(即時) > roal-time > off-site（最低）

• Snapshot 快照

  • VM(VirtualMachine) Virtualized evnironment 就是用這種方式

• CDP ContinuousDataProtection 所有的異動 備份都會被記錄下來

  • Every daya changeautomatically tiggers a
  • allows for rollback to any point in time 可以回溯到任意時間點，例如 google雲端硬碟的版本紀錄
  • IDrive CDP

• Versioning 備幾個版本

• Valitation 驗證備份正確性

  • 作法 回存測試 Restoration testing

Revovery Site Strategies 又稱 (DR site/Off-site) P

• Alternate Location Types
  • Mirrored: 異地site 兩邊同時運作即時備份，並以秒計算進行復原 active-active fully functional real-time data sync
  • Hot:以分鐘計進行復原
  • Warm 並以小時復原
  • Cold: only facility and utilities：無ICT異地設備，以天為單位進行復原
  • Mobile:異地為行動地點，（EX:放在貨櫃車備份通常作為EOC緊急指揮中心使用）
  • Cloud:地端掛掉切換至雲端演練
  • JOA or MOU:互助協議，Ａ公司與Ｂ公司，切換至對方公司去雙方互助
• Considerations
  • Placement 地點要考慮 實體安全類的問題(火山地震帶 風災水災土石流 缺水缺電 社會動亂 戰爭頻傳等等)
  • Relocation kits 人或重要備份相關設備也要考慮，不一定是實體工具 加解密金鑰 備份資料列表等等
  • Contract 供應商合約擬定

Mobile site 補充

重大事件及災難的時候有一台車子拉著備份點跑

資料來源：

• https://www.co.westmoreland.pa.us/301/Major-Incidents-Disasters
• https://www.facebook.com/coronerwcco/posts/pfbid06rokrjfiX3cnnuXKw2JskVrPBo7W54jMGgvpu8EFR3zDYVe34MroEXwzDyUoRwGml

System Resilience P88 來不及沒寫完…

• Fault Tolerance
  Ensure the system continues to function …
• HA
  • 最小時間 …
  • 叢集
  • LoadBalance
• Spare Components 備用元件，就是多擺一台備用主機
• 公共設施 水電空調系統

RAID P89

RAID 0 striping without parity:多顆硬碟組成，缺點任何一顆壞掉就無法使用，例如3顆壞1顆就全部壞了，可用性不好
RAID 1 mirroring:至少要兩顆，彼此內容一致，同時能壞一顆
RAID 3,4:分散於不同硬碟上
RAID 5&6 striping with parity:(主流)至少要三顆，同時可以壞一顆，
組合技 RAID 10: techniques from RAID0 and RAID1 to stripe data across two sets of uuplicate disks simultaneously
就是先做1 再做0
組合技 RAID 15 and 51 : 就是先做1 再做5或 先做5再做1，至少2*3=6顆，最小公倍數

Centralized Data Storage P90

中央保存的資料，會不會中間那個機器壞了就壞了？ SPoF 單點失效

• Storage area networks (SANs)
• Network attached storage (NAS)

7.9

Configuration Management 組態管理 P95

ITIL也有提組態管理，ISO 27001的 2022年版也增加了這個組態管理，(以前常稱變更管理)

• 什麼叫組態：資訊環境裡的組成,配置,設定
• 資訊環境包含：硬體 軟體 服務 網路 等等，其實很多，要好備份成本超高，其他還有 security conguations 例如TWGCB、CIS benchmark
• 為了保護組態，首先要建立基準baseline，在他可以運作workable的時候文件化記錄下來，按照這個基準去實作implemented，這樣去雲端運作才能夠用，不須重新摸索。
• 這個組態要去監控(monitored)避免未經授權的變動，並且 reviewed 是否需要變動來符合最新的組織需求。

如何確保前面提的組態被正確管理?

1. 建立基準
2. 防止未經授權不正當的變更(變更管理)

服務組態呈現方式 參考範例

參考來源：Azure Kubernetes Service 上的微服務架構
https://learn.microsoft.com/zh-tw/azure/architecture/reference-architectures/containers/aks-microservices/aks-microservices

Configuration Management 組態管理 P96

Identify Configuration Items (CIs) ITIL比較常用這個詞

• 一個大CI由多個小CI組成，要管理好每一個 CI
• 使用組態管理紀錄資料庫 Recorded in Configuration Management Database CMDB

例如這個 bmc 是個有名的大牌子
https://helix-dwp.trybmc.com/dwp/app/#/catalog

MassDataCenter服務，後面有2個銀行轉帳服務和一台dell主機，dell掛掉會影響到MassDataCenter，所以他也是重要的CI，如果要變更這台dell主機，要確定不能影響到 MassDataCenter服務

變更管理在做什麼，把這些風險變成可以控制

Change management process 變更管理程序 補充投影片 有圖 P97

1. 提出變更要求 Formal Request for change
2. 衝擊分析 Analyze Request for Feasibility Impact,Timeline (Security) CMDB
3. 規劃變更方式時程 Develop Implementation Strategy,Rollback plan
4. 核准變更：由 CCB 組態管理委員會 來核准，實務上ISO 20000比較會有這個編制，27001可能沒有這個編制
5. 進行變更：開始採購軟硬體 寫程式寫設定
6. 測試及上線：測試是指在測試主機測試，不是在正式主機測試。上線Release其實就是發布管理
7. 追蹤變更：追蹤看看變更是否能正常運作包含在測試主機上追蹤變更狀況 (有異常需要 rollback、fallback 兩個字一樣的意思)
8. 報告 Report to management

Patch management P99

1. Notice
2. 評估 Patch
3. 衝擊 Impact
4. testing 測試
5. approval 獲得同意
6. backup 進行備份才能Rollback
7. apply 進行上版
8. monitor operation 監控他
9. Verified 確認正確性，錯誤就走6backup ，正確走步驟10
10. 收集回饋
11. Document

買防護設備(WAF cdn ddos等等)怎麼測試?

1. 請廠商協助進行模擬攻擊
2. 安排紅隊演練
3. 這些測試都不便宜

Configuraation management Standards and Practices

NIST SP 800-128 專注在組態管理
ISO27001:2022放入組態管理

Apply Security Physical類的 P104

• 實體安全可用性將影響資訊安全：電力／空調

Physical Security Controls 實體安全控制措施 P105

• Perimeter周界:

  • 保護或縮小入口:縮小攻擊面，不該開的port 都關一關
  • 傳統的鎖
  • Electronic Accesss Contrlol
    • 感應卡 智慧卡 多因子驗證 整合其他系統
  • CCTV 監控
  • Sensors 入侵偵測的，像是玻璃門窗 聲音感測 震動感知或紅外線 雷射感測，觸動保全警告的都是

• Internal

  • Layered approach 縱深防禦
  • 以下是監控工具
  • 讀卡機
  • Balanced magnetic switch BMS 磁簧式開關檢查們有無打開
  • 偵測 Sensors
  • 不可視 雷射光 紅外線
  • 震動感應
  • 自動門
  • 多技術複合的技術

CPTED 原則 Crime Prevention Through Environmental Design P107(?)

這是指 透過環境設計預防犯罪 wiki介紹，

1. 形象管理，把環境管好會降低犯罪者犯罪意願，破窗理論
2. 支持合法活動 Legitimate Activity support 一個地方沒人聚集 犯罪者會提高犯罪意願，攻擊者看到一堆人聚集就不太敢犯罪，或是足夠的照明也算

6個原則 參考圖片來源
https://www.researchgate.net/figure/First-generation-CPTED-the-key-concepts_fig1_239746349

Site Planning P113

• 主要場域和次要場域的距離要40~60公里 (不能太近 這個距離大概是共識)

• Risk Assessment 場域風險評鑑

  • 天然環境 建物結構 hostile attacks惡意攻擊
  • hostile attacks惡意攻擊 是指任何人或團體進行的任何攻擊，無論是在任何戰爭期間，外部侵略、內部騷亂或其他危及任何生命安全的行為或其領土領土任何部分的、財產、地點或事物；

• 自建或第三方評估優缺點

• 環境議題
  龍捲風/ 洪水／地震／颱風／暴雨／火山

Utilities and HVAC

水電／空調 > 備援機制
空氣品質
建築物控制措施

DataCenter Availabilty 可用性標準

• Uptime Institute's : Tier Classification
  • 分層四種等級：
    • Tier 1／Tier 2／Tier 3／Tier 4

    一般有規模的機房都是Tier 3

以下是借 HP 的參考資料

What are the four data center tiers?
資料中心分為哪四個層級？
Tier 1: A Tier 1 data center has a single path for power and cooling and few, if any, redundant and backup components. It has an expected uptime of 99.671% (28.8 hours of downtime annually).
第 1 層：第 1 層資料中心具有單一的供電和冷卻路徑，以及很少（如果有）的冗餘和備份元件。預計正常運作時間為 99.671%（每年停機時間 28.8 小時）。
Tier 2: A Tier 2 data center has a single path for power and cooling and some redundant and backup components. It has an expected uptime of 99.741% (22 hours of downtime annually).
第 2 層：第 2 層資料中心具有單一的供電和冷卻路徑以及一些冗餘和備份元件。預計正常運作時間為 99.741%（每年停機 22 小時）。
Tier 3: A Tier 3 data center has multiple paths for power and cooling and systems in place to update and maintain it without taking it offline. It has an expected uptime of 99.982% (1.6 hours of downtime annually).
第 3 層：第 3 層資料中心擁有多個電源和冷卻路徑以及系統，可在不離線的情況下進行更新和維護。預計正常運作時間為 99.982%（每年停機時間為 1.6 小時）。
Tier 4: A Tier 4 data center is built to be completely fault tolerant and has redundancy for every component. It has an expected uptime of 99.995% (26.3 minutes of downtime annually).
第 4 層：第 4 層資料中心的建置是完全容錯的，每個元件都有冗餘。預計正常運作時間為 99.995%（每年停機時間為 26.3 分鐘）。

Data Center and Server Room Security P121

• 實體防護
• 主要元件
• 控制措施
  • Room Access Control
  • Cabinet lock
  • CCTV
  • Backup HVAC
  • Fire detection / suppression 重要 之後講
  • WIring diagram

Google 機房配置影片 2014年

youtube 影片連結 https://www.youtube.com/watch?v=XZmGGAbHqa0

有多少實體防護?
樹(防窺視)
鐵柵欄
bump地面柵欄
警衛人員
員工和訪客分流
CCTV

內有鱷魚(嚇阻標語)
不是真的有鱷魚，只是一種Google趣味+讓人提高注意力觀看標示說明

電力線走上面

機櫃是Google自己設計沒有門沒有背板

硬碟壞掉怎麼銷毀

空調設計

Other Facilities Areas P122

存放媒體或數位證據的 storage

• 證據鍊
• 存取控制
• 溫溼度控制
• 消防防火

重要機敏工作區域

• 建物本身 美國在俄羅斯蓋美國大使館，找當地工人和建材，結果常常洩密 發現建物裡一堆竊聽器，就整棟打掉重蓋
• 2005新聞 美駐莫斯科大使館 佈滿竊聽器
• Ductwork 通風管道獨立
• 檢查入侵狀況
• 電力支援
• Acoustic 隔音 防止資訊洩漏
• Visual 視線 防止資訊洩漏
• EMI/RFI 電磁波無線電波 防止資訊洩漏 TEM

Power P123

電力持續性，需要做到複式備援電力產生時就要進行備援

• reliability (可靠性)

  • redundant from generation 雙饋電迴路，從兩座不同的發電廠拉市電進來，UPS和發電機都兩組，一個電廠中斷，還有第二個電廠可以支撐

• redundant with UPS

  • 進行電力的轉換
  • redundant in data center
  • Sized for load
  • Tested

發電機要放幾樓? 地下室淹水 高樓層運轉時共震，都有風險要考量

Heating Ventilation AirConditioning (HVAC)P124

暖氣 通風 冷氣空調

消防系統 P125

事前防禦類

• Fire Code 消防規定
• Training and awareness 人員教育訓練
• 事前偵測
  • 偵煙
    • Photoelectric光電式(空氣折射率)
    • lonization 離子濃度偵測超過門檻值,
    • VESDA system 把所有管線布在區域
    • 參考圖片
      
  • 偵火 infrared紅外線 ultrapurple紫外線
  • 偵溫 偵測絕對溫度（EX:溫度到達70度發出告警）／相對溫度（EX:五分鐘之內到達就會發出告警）

Fire Classes and Suppression Agents 滅火劑適用火災類型 投影片有表格 P126

關注電器火災
CO2二氧化碳(可能造成人員窒息)
氣體式

GAS system examples include

• 氟氯碳化物
• 海龍 破壞環境 蒙特婁公約禁用
• FM-200 現在主要是這個
• 惰性氣體
• Carbon dioxide
• Argpmote
• Ingeren

模擬兩個場景的影片
https://www.youtube.com/watch?v=it2FkqUL_RU

設計30秒~1分鐘聲光告警，警告人員離開閉密空間 可能有窒息風險

針對機櫃 小範圍的比較不會造成整個房間的影響

大範圍 30秒後針對整個環境噴氣

噴滿10分鐘後強制換氣

Protecting information Requries Protection peoplr 主要講 Personnel safety 人身安全 P131

• 識別要去的距離
• 評估出差的國家是否有威脅
• 出事情怎麼聯絡

當地特殊的風土民情 威脅 治安的教育訓練 P132

教導員工如何識別攻擊 和威脅
遭遇到的時候對應
緊急應變措施
怎麼跟公司回報

Emergency Management 緊急狀況管理 P133

• 規劃著重在持續

泰國曼谷銀行氣體洩漏導致八人死亡

• Coordination with authorities (calltree)

參考火災流程

• Fire Alarm/Evacuation Guidelines

• 人命沒有排優先 上課優先 可能要考慮一下https://rb006.ndhu.edu.tw/var/file/6/1006/img/3939/641009252.pdf

出差風險 Travel P134

• Risks change with region, Country and events
  • National and international
• 政府人員與商務旅客
  Kidnapping 綁架
  Surveillance 監控 ：入境被監控

透過數位電子監控訊息：EX:天網

• Duress 被綁架遭脅迫
  • 脅迫訊號
  • 脅迫密碼
    • 不被攻擊者發現的情況下傳達訊息
    • 防止存取敏感訊息
    • 秘密指紋、秘密密碼，用另一個指紋或密碼進去就會發通知，看到的機敏資訊也比較少
  • 怎麼安全傳遞脅迫資訊
  • 人員訓練與使用
  • 更新密碼資訊

Mobile Device Management P135

不要帶主要電腦和手機出去敏感國家 (太多機敏資訊)
burner phones in country (一次性手機)
Mobile Device Management (MDM)
Deploy in advance (遠端)