# cissp 總複習 ## 上課方式 0900~1700 7小時上2天 之前是domain式上課，總複習是主題式，某個概念可能在不同domain都出現 課程中會有模擬考題1題只給1分鐘 考題可能會有 * 題目超長很難閱讀 * 講義根本沒答案的 (正式考試可能會這樣) :::info 營運持續計畫 營運持續演練 營運衝擊分析 哪個先做哪個後做? 先衝擊分析 (找出需求)>寫計畫>進行演練 ::: --- ## 主題大綱 看補充教材前2頁 1. Security Governance, Risk Management and Compliance (GRC) 2. Security Controls 3. Aeest Security 4. Ctyptography 5. Secure Communications 6. IAM and Access Control (day1) 7. IAM and Access Control (day2繼續) 8. Software Development Security 9. Assurance 10. Threats Vulnerabilities and COuntermeasures 11. Security Operations and Resilience 12. Human Safety and Fire Protection --- ## CISSP 8 CBK Domains 資安是支援的單位、花錢的單位 cost center，不是賺錢的單位 舉例：公司訂了今年目標是營業額一億，那資安要怎麼support才能達成這個目標? 需要靠很多的資產，有價值的資產，何謂有價值的資產? 能達成目標的資產，人員 服務 設備... 公司的資訊安全是要確保 關鍵資產、重要資產的 機密完整可用 CIA 機密完整可用 就是 highlevel 高等級的 security objectoves 目標 有些公司發布政策不瞭解這是什麼意義，但以ISO框架來說，他有講定下目標要 breakdown ，和各部門funcional 的目標結合，每一年的 :::info Google 的 OKR 的 O 就是 Object 目標 K 是 KPI KPI 不能亂訂，訂了必須是要能 support CIA達成目標，要讓老闆或是召集人簽核 ::: ```mermaid flowchart LR Risks-->|4 Impact|SecurityObjectives Assets_valuable-->|2 Support|1BusinessGoal Assets_valuable-->|3 Must Achieve|SecurityObjectives Risks-->|5drive|6_Controls 6_Controls-->|7mitigate|Risks 6.SecurityAssessmentAndTesting-->|Ensure effectiveness |6_Controls ``` 風險驅動我們訂立控制措施，代表說 控制措施是用來緩解風險的 :::success 先**想好評估**有什麼**風險要解決**，再去找**控制措施** 27001本文也有說到這個觀念 ::: --- ## Ensure effectiveness，如何知道控制措施是否有效，就是 6 在做的 分析執行紀錄是否有效，例如可用性計算，收集主機健康資訊觀察是否有效 --- ## ISO 也開始把 ESG 永續加進去了 假設客戶要你做機房但要考慮永續，其實在雲端虛擬服務也開始提供低碳機房的選項 [](https://itnext.io/choose-your-cloud-regions-wisely-so-you-can-live-happily-bffdfc4459af) --- ## P7 公司治理離資安較遠，資安治理怎麼做呢? 首先要有一個 Governing Body 可以是 治理委員會 或是 老闆自己 * Evaluate 他要從公司整體狀況去評估 Security requirement 資安需求或要求 * 這些要求須要跟公司目標連動 * 評估現況，哪些有達成哪些未達成，為達成的就是 gap Governing Body很high level 不會去制定實做技術，但是他會下策略 例如我們要證明有達成這個品質，所以Governing Body可能會指導說：我們要找第三方驗證 Governing Body請**高階管理階層**執行目標，就是由 CISO 或是較低階層的委員會去執行 以CISO為例，他就要提一個purpose，我們做27001的驗證框架 所以管理 management 就開始執行，就是建立 ISO 27001 的管理系統，依照政策和程序去運作 高階管理階層要回報，Governing Body也要主動監督 Report回報什麼呢? 回報 Performance 績效 --- ## 台積電資安治理架構圖範例 Governing Body 就是 審計暨風險委員會 企業資訊安全組織就是資安治理專責單位，由CISO領導，雖然有兩個 資訊保護與網路安全委員會和資訊安全委員會 就是 Top Management CISO，負責資訊安全政策與制度之規劃、監控及管理作業。 每半年由企業資訊安全組織主管向審計委員會彙報資安風險管理 [ ](https://investor.tsmc.com/chinese/information-security) --- ## Form Governance to Getting Work donw P8 為什麼要做資安? 達成高階層目標 大部分會寫CIA * Policy 是什麼 Policy 這個字很多地方都會用到，但可能是最high level的，也可能是第二階的standards 例如公司的**密碼政策(standards)**和公司**資安政策** 位階不同，資安政策比較高 * standards 是什麼? 資安政策、隱私權政策就是比較高的 密碼政策也稱為functional policy，講義中稱為standards，希望全組織一次性都要做要遵循的要求 例如 **一年要做兩次營運持續演練**，就是一個要求 可用性3以上要做異地備份 也是一個要求 這兩種也會被稱為policy，但自己要能區分是哪種位階的policy * Procedures是什麼? 前面提到要異地備份，但怎麼做異地備份? 會有一套 procedures，說明要怎麼做，是人工還是技術做? 這邊類似ISMS的第三階文件 * Guidelines 是什麼? 指引 ISO 27001 CSA Star NIST CSF 所有的資安框架都是 guidlines形式 不過當企業在 policy 寫上 我們要follow某一個guidline的做法，例如本公司遵循 27001 建置我們的管理系統，它就變成強制要求mandatory的了 如果公司只是說參考，那就只是guideline而以非強制性 --- ## R&R 角色要求 P9 * Policies PDCA的P * Governing Body、要達成 Evaluate, direct, monitor * Senior management(CEO/COO/CIO/**CSO**/CTO/CFO,etc) * 制定策略的階層 * Standards,Procedures,Guidlines PDCA的P * Security manager/Officer/director * Policies Standards,Procedures,Guidlines PDCA的D * Administratos,technicians,Users * Security Objectachieved? PDCA的C * Governing Body、Senior management、Auditors * Continous Improvement PDCA的A * All --- ## 遵循性 P11 * Adherence to a mandate 遵守授權 * Legal requirements 法令法規 * Privacy laws 隱私類的 GDPR ```Data controller 知道有資料外洩後72小時要通報``` * Trans-border * Import and export restrictions 進出口限制 例如不能用大陸製品 * 合約要求 * PCIDSS 信用卡支付卡 * 企業自己內規 * 僅限企業組織內部 * 就是 Policies Standards,Procedures,Guidlines * Industry Standards 業界標準 就是剛剛說的ISO 27001、CSA Star、NIST CSF，有ISO CSA、SSAE、AICPA等等 * To ensure compliance 確定合規? * 使用 D6. Security Assessment and Testing SOX 沙賓法案 美國公開發行公司要遵循的法律，跟公司治理有關，沒遵循有刑事責任 HIPPA 醫療有關 FISMA 資安法 GLBA 金融有關 DMCA 數位千禧年著作權法 Digital Millennium Copyright Act --- ## Compliance/Privacy and PII OECD指引，P12 8大隱私原則 Privacy framework (OECD Guidlines 8 Basic privacy principles) 圖6到7 Data Controller 要把流程 窗口 多少費用公開揭露給當事人 --- ## GDPR 6 privacy 99 articles P13 合法公平 對應 7 透明 * Purpose limitation 對應3 ，收集個資對應目的是什麼? * Data minimization 對應1，Privacy by design * 隱私的設計安全，不需要收集的資料，一開始就不要收集進來 * Storage limitation 對應4 * 不能儲存過久 * 只存在受限制的地方(國內、不能上雲) * Integrity 對應6 --- ## 智財權4大類 P14 * Patent 專利， 排他性，但是必須公開而且只能保護10~20年左右 * Copyright 著作權，expression of idea 思想表達 * Trade Secret 營業秘密(要有保護機制) * TradeMark 註冊商標 這四個各自都有法律，各自都有民事賠償 除了商標，其他都跟資安很有關係 * IP infringement, piracy 智財權侵權、被盜版時的保護方式 * software forensics侵權時的軟體鑑定 * DRM 數位版權管理 保護自己的數位資產 * EULA 法律上的，使用軟體要遵循我的版權聲明 * 商業上可以採付費使用 pay-per-use --- ## Code of Ethics P15 由上到下有優先順序，不遵守時上面的影響更大 參考中國的ISC2官網翻譯 [ISC2职业道德规范准则: ](https://www.isc2china.org/code-of-ethics/) 1. 保护社会、公共利益与基础设施，赢得必要的公众信心与信任 2. 行事端正、诚实、公正、负责、守法 3. 勤奋尽责、专业胜任 (少翻一個 service to principals ) 4. 推动行业发展、维护职业声誉 --- ## Goal of Risk Management P17 風險管理的目的：把不能接受的風險處理成可以接受 風險識別出來，但還沒處理過的叫做 total risk 判定風險能不能接受：高階管理層 Top management (例如總經理) 但實務上不可能一條條都讓總經理批可，實務上是指 Risk Owner，CNS翻成風險當責者，被高階管理階層授權的人 例如人資風險，由人資部門主管處理， | 表格 | 表格 | | --- | --- | | 高風險低衝擊 | 高風險高衝擊 | | 低風險低衝擊 | 低風險高衝擊 | 想辦法降到 低風險低衝擊，進到可接受風險 --- ## Risk management 圖 P18 * Risk Identification 風險識別 * 資產 威脅 漏洞 現有控制措施 * 威脅建模 Threat Modeling，常在SDLC Design 設計階段 * 或是 BIA 營運衝擊分析，資產變成 CBF * Risk Analysis 風險分析 * 分析發生的可能性與衝擊程度，風險真的發生時有多嚴重 * 定量 Quantitative，就一個公式 ALE=SLExARO * 定性 Qualitative 實務上比較常用這個方法 * 風險評估 * 計算風險等級、排序 * 產生風險清單 清冊 * ```不能接受的風險 走下面的流程``` * Risk Treatment 風險處理 * 接受 緩解 轉移 避免 * Risk Acceptance? 風險處理後是否接受? * 殘餘風險有無落入可接受等級? * 不能接受就重新做風險處理 :::info 例如資安法修法，罰則調高到1000萬，以前風險評鑑後做完風險處理，但修法後新風險產生了，以前罰則沒那麼重，要重新評鑑 每年一次風險評鑑其實是最低的等級，其實發生重大變更時就應該評鑑 ::: ## Risk Analysis Qualitative 定性風險分析 P19 比較主觀，用相對的等級，為了避免主觀錯誤，所以要有右邊的細節描述定義出來 | 分數| 描述 | 發生機率描述 | | --- | --- | --- | | 5 | Frequent | 3個月一次 | | 4 | Likely | 1年一次 | | 3 | Occasionally | 1~3年 | | 2 | Unlikely | 3~10年 | | 1 | Rare | 10年以上 | ## 定量分析 P20 ALE 就是風險等級，但是是使用明確的數字 錢 | Terms | Formula | Good Benefit | Best Benefit | | --- | --- | --- | --- | | EF | ```%``` |　20% | 20% | | SLE(impact) | Asset Value($ x EF) | 1M x20%=$200,000 | 1M x20% = $200,000 | | ARO | Count/year | 3 | 3 | | ALE (before control ) | SLE x ARO| $200,000*3=600,000 | $200,000x3=600,000 | 用了控制措施少損失，但是控制措施的成本也要算進去 --- ## Risk Analysis Comparison P22 所有東西都轉成數值很難做麻煩，實務上定性分析較常用 不是看到數字就是定量，因為也可能是分數，財務表達是他的特點 定量對於抽象資產很難表達，例如公司的聲譽，個資外洩會造成多少商譽減損多少錢? 很難評估，財務人員、鑑價公司來做..很麻煩 | 特徵 | 定性 | 定量 | | --- | --- | --- | | 看課本 | 看課本 | 看課本 | --- ## Risk Evaluation Calculation (or assessment某些文章會用這個詞但不太好) 風險評估 決定的? 高階管理階層 P23 彩色的1~5圖，影響+可能分數計算矩陣 --- ## 風險處理的選項與風險因素 接受風險也可能會帶來一些效益，遠大於它帶來的衝擊 例如接受風險的衝擊是損失100萬，但也會帶來1000萬的收益 風險不是只有負面，也有正面風險：就是機會 --- ## 威脅建模模型 幾個重要的要了解 STRIDE 微軟的，講義常說 CVSS 情境題常出，弱點評估 0~10分 PASTA 義大利麵，這個名詞考題也出現過  ## Table 3: Threat Modeling Methods Features 參考來源 https://insights.sei.cmu.edu/documents/569/2018_019_001_524597.pdf Threat Modeling Method Features * STRIDE * Helps identify relevant mitigating techniques * Is the most mature * Is easy to use but is time consuming * PASTA * Helps identify relevant mitigating techniques * Directly contributes to risk management * Encourages collaboration among stakeholders * Contains built-in prioritization of threat mitigation * Is laborious but has rich documentation * LINDDUN * Helps identify relevant mitigation techniques * Contains built-in prioritization of threat mitigation * Can be labor intensive and time consuming * CVSS * Contains built-in prioritization of threat mitigation * Has consistent results when repeated * Automated components * Has score calculations that are not transparent * Attack Trees * * Helps identify relevant mitigation techniques * Has consistent results when repeated * Is easy to use if you already have a thorough understanding of the system * Persona non Grata * Helps identify relevant mitigation techniques * Directly contributes to risk management * Has consistent results when repeated * Tends to detect only some subsets of threats * Security Cards * Encourages collaboration among stakeholders * Targets out-of-the-ordinary threats * Leads to many false positives * hTMM * Contains built-in prioritization of threat mitigation * Encourages collaboration among stakeholders * Has consistent results when repeated * Quantitative TMM * Contains built-in prioritization of threat mitigation * Has automated components * Has consistent results when repeated * Trike * Helps identify relevant mitigation techniques * Directly contributes to risk management * Contains built-in prioritization of threat mitigation * Encourages collaboration among stakeholders * Has automated components * Has vague, insufficient documentation * VAST Modeling * Helps identify relevant mitigation techniques * Directly contributes to risk management * Contains built-in prioritization of threat mitigation * Encourages collaboration among stakeholders * Has consistent results when repeated * Has automated components * Is explicitly designed to be scalable * Has little publicly available documentation * OCTAVE * Helps identify relevant mitigation techniques * Directly contributes to risk management * Contains built-in prioritization of threat mitigation * Encourages collaboration among stakeholders * Has consistent results when repeated * Is explicitly designed to be scalable * Is time consuming and has vague documentation --- :::info 釣魚郵件：偽冒 > spoofing，因為沒有啟用驗證來源的機制 email 的 s/mime可以做到這件事，加密和數位簽章，但只有自己啟用沒用，對方也要啟用，不夠普及 ::: --- ## SCRM 供應鏈攻擊 P27 最近越來越多了，資安框架也強調供應鏈重要性 NIST CSF 2.0就有抽出資安治理 和 強化供應鏈管理 美國國防部cmmc也是針對供應商要求 * understand the risks，了解風險 對供應商做DD plan DD(due diligence) * Establis control ，Do dc * Check your arrangements 履約督導 (pdca check，d.d.) * Continuous improvement Act d.c --- ## supplier chain risk management P28 * service and software acquisition * Shared responsibilities of CSP and CSC 雲服務供應商(CSP)與雲服務使用者(CSC)共享責任 * SLA - service quality，SLOjbective 99.9% * 怎麼知道是否達到? 定期去量測他 --- ## Google 列出的 PCI DSS 共享責任 Google Cloud Platform: PCI DSS v4.0 Shared Responsibility Matrix May 2023 例如 1.1.1 和 1.2.3這兩個沒有標示，代表 GCP 沒有責任 [ ](https://services.google.com/fh/files/misc/gcp_pci_dss_v4_responsibility_matrix.pdf) --- ## AWS 服務水準協議 (SLA) 這個圖的就是 SLO [](https://d1.awsstatic.com/legal/AmazonComputeServiceLevelAgreement/Amazon_Compute_Service_Level_Agreement_Chinese%20Traditional%20(TW)_2022-05-25.pdf) --- ## 風險管理框架 P29 * ISO 27005 * Specific for information security * ISO 31000 * General RM * NIST RMF * For System Development Life cycle * NISP SP 800-30 * Risk assessment guide for information security --- ## 課堂小考 參考 how to think like a manager for the cissp exam ## 哪個不是風險評鑑 risk assessment P277 * Discontinuing activities that introduce risk * 識別資產 * 識別威脅 * 排序 ## 風險定性或定量 P278 不要看到風險有數字就猜定量，要跟錢有關 有矩陣數字和描述對應的等級，所以是 定性 ## 年度損失 題目很長：先看最後一句(問SLE)；或是看看選項長度 年度損失$400，100年發生一次，每次發生單次損失多少? SLE = AV x EF，題目沒有提到AV資產價值 ALE = SLE x ARO ALE=400 ARO在哪? 百年一次，ARO 0.01 400*100=400,00 --- ## 評估雲端供應商是否能繼續使用? P281 雲端供應商多個地方不合規 multiple violations 純考觀念，要採取某些控制前，要先了解風險 ## CISO 要求針對網路做威脅建模 Threat Model ，何謂 Threat Model? P282 名詞解釋 ## 不是企業資安治理的特徵 P264 not 或 except 或 the LEAST 會翻轉題目意思要小心 所有資安活動只發生在資安部門(N) 是所有人 --- # 評估是否適合將軟體開發的工作外包 P266 答案是先做風險評鑑 為什麼做隱私合規SDLC相關評估的選項不行? 因為選項混了一個SDLC進去，這個階段就考慮到SDLC太過頭了，先風險評鑑才能做後面的事 --- ## 詳細操作步驟 P268 1. Open Putty 2. Click Generate 3. mouse in the box... 詳細操作 SOP 就是 Procedure --- ## JAVA框架有問題的API，是供應商給的，風險是共應商 P269 --- ## 題目很長 做了什麼讓罰款(fine)被降低? P273 公司本來要罰5000萬鎂，但做了一些事(控制措施)降成1000萬鎂 due care = should do，應注意而未注意就是疏失 都有做了但難免還有不足，盡到善良管理人應該做的事 有做到 dc 所以罰款降低 --- ## 控制措施 P32 控制措施目的是支援機密性完整性可用性，也能降低風險 確保可用性 參考框架選擇控制措施 ## 控制措施範例 P33 有圖 | Category/type| Administrative | Logical | Physical | | --- | --- | --- | --- | | Directive | 政策 | 使用前警告 | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | --- ## Common/inheritable controls P34 位於要保護的資產外部，管理角色也都不同，一放進去通常就會被保護，例如 * 企業防火牆 * 機房空調 消防設施 --- ## Administrative Secutiy Controls P35 * Risk management * Security operations D7 避免共謀collusion，用職責分離、補償則用job rotation 強制休假 --- ## 技術類控制措施 P36 軟體開發類 弱點掃描 ## 物理控制措施 P37 * Human Safety 人身安全永遠最重要 * CPTED 原則，透過環境設計達到預防犯罪目的 * Site實體場域 評估是否有風險，例如這個site常常有天然災害、野火地震土石流 * Zone 切不同 zone，類似網段區隔，不同信任等級網段要區隔，辦公室區、營業秘密管制區、機房等等不同等級管制區 * Access control 門禁管制 * 入侵偵測(實體的) 紅外線感應 超音波 * untilities 水電公共設施 * 通訊電話網路 * HVAC 暖氣 通風 冷氣空調三合一 * Fire prevention,detection,suppression 消防 --- ## 安全控制措施 Baseline 框架 P38 * 27001/ 27002 * NIST 800-53 CSF * 特色：有分高中低三種baseline * CIS Controls * CSA STAR for CSP * COBIT (離資安較遠) 企業資安事理框架 * ITIL IT 服務管理框架 * 框架baseline可以被調整 adjustable * Tailoring 剪裁 800-53 CSF * scoping更改範圍 範疇: 27001 用這個名詞，適用性聲明書 * Compensating controls 補償性控制措施，如果我列的控制措施不適用，風險還是存在，可以用這個補償性控制措施 * Adjusting parameters of controls 800-53特有，控制措施有參數可以調整 控制措施有參數可以調整的舉例 [](https://csf.tools/reference/nist-sp-800-53/r4/ia/ia-3/) --- ## 最有價值的技巧 決定一個特別的control 是否要被實施，該用哪一個? P284 選項都跟風險管理有關 風險評鑑只列出等級，決定要用什麼方式修正，已經到風險處理了 選項A風險分析還不會決定控制措施 選項C ALE 跟題目沒什麼關係 選項D風險識別也不會做措施 比較好的選項是 cost benefit analysis --- ## data in motion 最好的控制措施是? P285 全硬碟AES加密 TLS or IPSec 選這個 記憶體加密 memory encryption 次世代防火牆NGFWs and 網路入侵防禦設備 NIPS --- ## 敏感資料儲存在行動裝置最沒效LEAST的控制措施 P286 道德勸說型的最弱 A 裝MDM B 全硬碟加密 C 遠端抹除資料 D 訂一個政策 不要用個人裝置存取敏感資訊 --- ## 建置DLP防止資料外洩措施，哪一個是第一步? P287 D 盤點資料排出哪些重要 A 檢查資料的路徑 B 執行風險評鑑 C 評估該用哪種措施來防護 --- ## 實體安全鎖是哪種控制措施的分類? P289 這題是故意選一個沒看過的類型 * Assessement 評估 * Deterrence 嚇阻 * Response 應變 * Delay 減緩 鎖是用來評估的嗎? 不像 鎖可以嚇跑對方嗎? 有點難 鎖可以在被偷時發生應變措施嗎? 不行 鎖可以減緩小偷偷的速度嗎? 可以 --- ## Process of Protection of Valuable　Assets Based on Classification 資產識別與分類 P42 資產擁有者要做分級分類 ```mermaid flowchart TD 1(1 Asset inventory) 2(2 Asset classification and categorization) 3(3 Asset Protected based on classification and categorization) 4(4 Archiving and Retention 封存或保留期間) 5(5 Disposal 生命週期結束銷毀) 3-1(3-1 baselines ，使用某些控制措施) 1-->2-->3-->4-->5 3-1-->3 ``` --- ## Aeest Inventory and Valuation P43 10個有9個公司都用CIA評估資產價值 nist rmf 也有用類似的高中低評估，見講義P47 nist 800-53 的分級方式 標示資料的目的：讓人適當的處理資料 適當：不多不少 符合風險符合成本 --- ## R&R Data Protection P44 | | Information security | GDPR | | --- | --- | --- | | Accountable | Data Owner | Data controller | | responsible | Data custodian (IT 資安人員 MIS) | Data | processor | | control | Data subject | Data subject | | assists/part of | Data steward 被owner委託做分級分類 | | --- ## Asset protection and handling P46 為什麼要做資安? 法令法規 合約 客戶要求 資安要求 需求沒做到，可能導致資產被減損 當資產受到衝擊，衝擊影響有多大 ## Data Security Baseline nist 800-53 的分級方式 P47 如果是第一次接觸資安的人，分得很細會覺得東西太多很複雜 但對於有經驗的人，看很細的會覺得分類完整很方便 除了基本要求，還有增項enhance 要求 --- ## 資料三態保護 P49 Data at rest/datain storage * 存取控制 機密性D5 IAM * 密碼學 機密性D3 * 備份 可用性D7 * System Security Capabilities 系統本身的安全能力 D3 * TPM晶片加解密 bitLockers全硬碟加密, EFS是Windows在NTFS3.0中引入的一個功能，它提供檔案系統級加密。 Data in transit/data in motion * 安全網路協定D4 * 密碼學 網路安全大量應用密碼學 * Link encryption 第二層的加密 * End to end encryption 點對點加密 * TLS, IPSec, SSH tunneling * Email：PGP(tool), S/MIME(開放標準)，加密，數位簽章 Data in use (P50) * DLP 資料從內網往外傳會偵測阻擋 * Enclave(isolation)隔離的意思，只能在安全區存取，無法拿到其他地方 * TPM,Secure Element,VDI * Watermark 浮水印，分成可視不可視 * 可視 警告作用，很容易追蹤誰或是什麼管道 什麼時間外流的 * D3. System Security Capabilities --- ## Configuration Management 組態管理 P51 1. Asset baseline 資產種類、數量的 baseline 2. 確認資安組態(這也是組態依準的一種)，例如要裝哪個防毒、密碼長度限制等等 3. 變更控制 安全組態基準舉例 政府的TWGCB、民間的cis benhmark、雲端的CSP --- ## 變更管理 三角形的圖 P52 CMDB 變動的 CI ，影響(impact)的範圍會不會很大 這是ITIL的分法 --- ## 變更管理流程 P53 1. 提出變更要求 2. 衝擊分析 (如果有CMDB 可參考) 3. 規劃變更方式時成 包含rollback plan) 4. 核准變更 (資產擁有者 或變更管理委員會核准) 5. 進行變更 6. 測試及上線 7. 追蹤變更 (異常的話執行 rollback plan) 8. 報告 --- ## Resilience 韌性 P54 跟可用性比較有關係，I也有一些些 --- ## 資產封存和 保留 識別資料保留要求 P55 * 保留需求來自 法令法規 主管機關 Regulatory 公司規定 為什麼不永久保留? 成本問題 (儲存空間資源與管理人力) 不須保留的資料一直保留有風險，例如個資 * Protection of record archives * C/I/A * Access control * Enviromental * Refer to Physical Security 跟實體安全有關，例如濕度太高磁帶發霉，失火灑水設備就壞了要用氣體式 --- ## 資料汰除/Data Remanence P56 Remanence是避免殘存資料 最弱到最強 * Clearing 清除 * overwriting 用實驗室等級才能還原 * purging * 消磁degaussing 消磁就硬碟毀了 * crypto-erase 把資料用安全方式加密如AES256，然後把金鑰安全的銷毀 * media-specific commands 儲存媒體低階指令 原廠提供 * Destruction 銷毀 * incinerate or shred * 混合使用 以上方法出自於nist 800-88 已刪除資料的還原工具舉例，以前有個finaldata也很有名  --- ## SSD 雲端的特例 P57 SSD用 overwriting或是消磁無效 * 要用低階抹除 * 加密抹除 * 或是直接物理銷毀 雲端 * 只能用加密抹除 --- ## EOL EOS P58 EOL是一個process 有不同階段 宣布EOL後，會有一段時間，EOS是最後一個階段 EOS階段結束後代表他有風險 EOS也被稱為 Orphaned孤兒的 service 或 software，要準備轉移計劃 轉移計劃通常是尋求替代方案： 或是virtual patch，擋威脅的做法，例如 waf ，漏洞還是存在只是被WAF擋起來 --- ## 新的法律可能會讓公司發生資料被竊取時要罰款，公司該做什麼? P291 A 選一個新的安全baseline B 重新幫資料上標籤 C 加密所有靜態和傳輸中的資料 D 檢視資料評估是否重新分級 選這個 例如原本沒個資法，個資當一般資料，個資法公布後要重新檢視哪些東西有個資 沒有重新檢視資料前，ABC都不能做 --- ## privacy 隱私長CPO上任要先做什麼事? P292 A 保護合作夥伴資料 B 保護財務資料 C 確認資安政策 (如果是CISO就正確) D 確認要保護的客戶、公司和員工資料 --- ## 最有效減少敏感資料法律責任 P293 A 收集全部資料並且確保合法收集 B 全部隱私資料都不收集 (過度極端) C 有限蒐集隱私資料，依照法律允許 D 有限蒐集隱私資料，依照商業需求需要 --- ## 我的職位存取資料需要Due care，依照允許的policy 存取資料，遵守資料分級原則，但不用決定、維護、評估控制措施 P294 A Data Owner (owner 要決定) B Data Custodian (custodian 要maintain控制措施) C Data user (正確 只要使用) D Information systems auditor (沒這個角色) --- ## Data owner 分級分類 P295 data value? --- ## SSD 預防資料剩磁 殘餘最好的方法 P296 * 1 Clearing 清除 * 2 Purging 淨化 * 3 Degaussing 消磁 * 4 Destruction 銷毀 A 1,2 B 1,3,4 C 4 (4最強 3沒用) D 以上皆非 --- ## 關於data retenaion 最好的描述 P297 A 全留依照一致標準規定 B 最長期限保管 C 保留最大量資料 D 保留資料retention 是最小期間 (正確 符合成本效益) --- ## 加密樹 看講義圖 P61 --- ## RSA vs ECC P62 這兩個都是完整的加密演算法 加密 金鑰交換 數位簽章 | RSA | ECC | | --- | --- | | 因式分解 | 橢圓曲線 | | 金鑰長 | 金鑰短 | | 速度慢 | 速度快 | | 記憶體使用大 |　記憶體使用少 | | | 適合資源受限裝置例如穿戴裝置 | --- ## 對稱非對稱 P63 | 對稱式 | 非對稱 | | --- | --- | | 加密速度快大量資料適合 | 慢 | | poor n(n-1)/2 | good 2n | | 不能金鑰交換 只能用 out-of band , key wrapping | 可金鑰交換 | | 無法不可否認 | 有不可否認 | | 完整性 CBC-MAC,CMAC | 數位簽章 | | 來源驗證 CBC-MAC,CMAC | 數位簽章 | --- ## 加密演算法 P64 * Compliant algorithms 合規演算法 * 只能用這些清單的，美國聯邦政府認定安全 * FIPS 140-3 * ISO/IEC 19790:2012 * NIST sp 800-14x * 美國政府公開徵求時資料太多了因為很難訂，所以參考了 ISO 19790，再依據 nist sp 800-14x 做微調 * Symmetric * 只剩AES * Triple-DES(3 keys 聯邦政府不推薦用了) * Hash * SHA-1 不能用在數位簽章 * SHA-2 * SHA-3 * Message AUthentication * HMAC (Key length >=112bits ) * CBC-MAC 不太安全了但講義沒寫 * CMAC (variation of CBC-MAC) * GMAC，效能安全性都比 CBC-MAC 好，G是 Galosis，based on GALOIS/Counter mode，WPA3有支援GMAC * Digital signature * DSA 2048 * RSA 2048 * ECDSA 224 * Key Exchange 金鑰交換演算法 * Diffie-Hellman * elgamal 解離散對數 * * Key Agreement * DH 2048-bit * RSA 2048 * ECC 224-bit --- ## 金鑰產生方式 P65 * key genration * 自動 * 隨機 * 金鑰佈署 * Asymmetric * kEY WRAPPING * 金鑰儲存 * 硬體安全模組 TPM * 軟體式 * * 金鑰變更 change rotation * 加密資料越敏感 * 金鑰使用越頻繁 * 金鑰就要越常更換 * * 金鑰復原 key recovery，金鑰毀損時怎麼還原? * 金鑰託管 * 金鑰分割 * 金鑰銷毀 disposition * 安全的銷毀 --- ## PKI 可信任第三方 P66 Combination of process and cryptography to provide 可信賴第三方 * 元件 * 角色 * CA 憑證最高管理單位 * RA 很多個，代表CA接受申請，審查結果交給CA * Entity 申請者，自然人或法人 * Process：要審查申請者，RA代替CA審查Entity，憑證審理是CA層面 * 技術：對稱非對稱演算法 --- ## PKI申請流程 看講義的圖 P67 1. User generates their private and publickey pair 2. User requests certificate using their public key 3. Registration Authorithy refers to Certificate Authority 4. Certificate Authority issues certificate to user (binds identiy with public key) --- ## X509 certificate 有圖 P68 subject's name 可能是 公司 網域 subject public key information (演算法,parameter,key) 憑證裡面還要防偽造的設計，CA產生的數位簽章 --- ## 數位簽章為什麼可以防偽造? 3個特性 * 來源可信任 * 防偽或偵測遭竄改功能 * 不可否認性，CA不能否認自己有發出來過 --- ## 憑證召回Revocation P69 瀏覽器怎麼知道憑證被召回? 1. CA把召回憑證做一個清單CRL(很巨大的列表)，User(瀏覽器)會把清單CRL下載下來，但更新即時性較低 2. OCSP 單次查詢協定 瀏覽器去跟OCSP server單次查詢，回應結果 有潛在的隱私問題 瀏覽器每次看網站都去問OCSP Server，所以看過什麼網站OCSP都知道 3. 這兩種方式都慢慢沒在用了，CA的CRL和OCSP server 的資訊都放在憑證上面了 --- ## OCSP Stapling P70 Stapling 釘書機釘一下，什麼意思? 以前都是 browser 去問，在Stapling改成網站Server自己去問CA 我這張數位憑證是否還有效，Web server 把結果跟 browser 但...web server 球員兼裁判? CA 會給簽章， browser 只信任CA避免被 web server 竄改 browser 在 tls handshakeing 會決定要用OCSP什麼機制 --- ## 密碼學練習題 --- ## PKI正確的描述 P305 CA簽發憑證 RA驗證 --- ## 哪一個特性沒被達到 P306 A 不可否認 B 機密 O C 完整 CISO出差 在外面要送**機密訊息**給公司，但所在國家擋住VPN 安全專員建議寫下來後用SHA 256加密，再用自己的私鑰加密(這就是數位簽章) 然後把這資料寄回去給CEO 數位簽章無法做到機密性 --- ## 針對金鑰管理不正確 P310 Less secure data allows for a shorter key lifetime 不重要的資料需更頻繁更換金鑰 --- ## Jack 被告知公司資安事故，軟體有對資料加密，但資料還是洩漏到競爭對手的公司，因為加密演算法缺乏隨機性種子(random number) A Initialization vector 初始向量是一種random number (O) IV就是一個random number，nonce隨機數、salt加鹽 都是random number B one-time password (這個詞用在驗證) C Master symmetric key D subkey --- ## 確保container 完整性和驗證 B 用自己公鑰簽署發布 C 只能用TLS下載 D 用自己私鑰簽署發布 --- ## Oauth JWT情境 P314 我們會把這些內容 HASH 跟著一個 secret，算出來的結果 HMAC：把key加上內容，經過hash內容計算的結果 A) CBC-MAC B) Hash C) Digital singature D) Keyed HMAC --- ## Secure Communication Domain 4 --- ## OSI TCP/IP OSI 7層要熟，每一層的特點 TCP/IP 4層 兩個的mapping 關係 兩者用的協定，跑在哪幾層 --- ## IPv4協定 P74 * 保護用的安全協定 IPSec(Layer 3) , TLS, SSH * IPv4名稱後面有s的幾乎都是TLS * SSH 用來取代remote login的，例如telnet * 協定的安全延伸功能，不改變協定前提，ipv4可相容 * DNSSEC，確保DNS收到回覆時來源可信任 沒被竄改(數位簽章做到的) * Email 的 S/MIME * BGPSEC * 新版協定 * IPv6 * SNMPv3 * TLS 1.2 / 1.3 --- ## Secure Network Protocols P75 | 舊版本 | 安全版本 | 安全做法 | | --- | --- | --- | | RPCv2(RFC) | RPC Security v3,Secure RPC(Oracle) 有公開標準所以比較混亂 | Authentication,Privacy(encryption), Integrity | DNS (DNS cache posioning) | DNSSEC extension | Authentication(Ditigal signarue), Integrity | | DNS | DNS over TLS,DNS over Https, | Authentication, privacy(encryption), Integrity | | Http | Https(Over TLS) |　Authentication, privacy(encryption), Integrity | | FTP | 1. FTPS(over TLS,) 2. SFTP(SSH tunneling) | Authentication, privacy(encryption), Integrity | | SMTP/POP3 | 1.SMPTPS(over TLS) | Authentication, privacy(encryption), Integrity | | LDAP | LDAPS(over TLS) | Authentication, privacy(encryption), Integrity | | telnet,rlogin,rsg,rcp | SSH | Authentication, privacy(encryption), Integrity | | SIP+RTP+RTCP (VoIP) | SIPS + SRTP +　SRTCP | Authentication, privacy(encryption), Integrity | --- ## TLS 1.2 Handshaking Process 簡圖 P77 Client是瀏覽器 * 第1回合 * 1 Client > Client Hello > Server * 2 Server > Server Hello > Client * Client Hello和Server Hello，會一併給對方支援的cipher suit，加密演算法適用清單 * 3 Sever hello 還會把server web憑證丟給 client端 (server hello done) * 第2回合 * Client 產生金鑰 (RSA方式) > Key Exchange > Server * DH金鑰交換方式不是這種作法，而是雙方同時產生金鑰 * Server 產生金鑰 > Change Cipher Spec > Client * 第3回合 * 加密完成 --- ## TLS 1.3 只有一個round P78 * 1 Client > Client Hello > Server * 2 Sever hello * 3 Server 把server web憑證丟給 client端 (server hello done) * 4 結束 --- ## S/MIME 有圖 P79 左邊是outlook畫面 1. 加密內容 2. 增加數位簽章 如果勾選 數位簽章大家都要有數位憑證，要跟CA申請，對方也要做，佈署較困難 --- ## VPN 有比較表格 P80 VPN 就是一個加密通道 * PPTP L2 安全性有風險 * L2TP L2 安全性有風險 * IPSec L3 目前主流AH ESP兩個協定可做Authentication，ESP可做加密，IPv6推薦(不是強制) * TLS SSL L4 主流 * SSH L7 L2TP 常常跟著 IPSec 一起使用，強化安全性 --- ## IPSec Protocol Suite P81 * AH 保護封包驗證與完整性 * ESP 可以保護驗證和完整性，還能加密 * AH 和 ESP 差別? AH 防護範圍包含 Header+Payload * ESP 只有包含 payload，ESP被中間人攻擊時，Header被改掉會無法發現 * Mode * Transport 點對點 * site to site 站對站，會產生新的 ip header，這會是一個 public ip，對方server拿到後拆開來，裡面就是原本的ip * IPSec也會做協商，他使用 ISAKMP 這個協商框架 * Phase 1: 用安全通道保護phase 2的資料，包含 autherticating peers * Phase 2: 協商等下兩邊資料交換時，要用什麼安全協定 * AH/ESP,mode,algorithn,key, key lifetime * key exchange: 金鑰交換的實作技術 IKE * IKE 技術是 follow ISAKMP 作的 --- ## 802.11 Security 有完整表格 P82 * WEP (很爛基本上沒在用) * WPA (有work around慢慢走，還是很多問題 * WPA2 802.11i 出來的時候，使用 pre-shared key * WPA3 不使用pre-shared key，改使用SAE 動態性，基於DH演算法 CCMP，兩個機制 AES Counter Mode，或是 AEC CBC-MAC 但CBC-MAC也不太安全了 在WPA3，雖然WPA3有向下相容CCMP，但多支援GCMP --- ## 用 IPSEC 保護內容content該選什麼能力 P324 內容機密性 A AH B ESP C IKE D ISAKMP 小記法 ESP 的e 想成是 encryption (雖然實際上不是) --- ## IPSec 有 New ip header 的是哪種模式 P326 tunnel = site to site，需要把ip包起來，外面加一個新的 ip header 沒有新 ip header 是 tranparnet 透明模式 --- ## 想要把一群電腦做成群組，共享網路資源該用什麼邏輯方式做? P327 A VLAN B Open network architecture C Intranet D VAN VAN 是什麼? --- ## SSL 建立 session 前做的事 P328 大同小異選項，全部一起看 1. The Server creates a session key and encryption it with a public key 2. The Server creates a session key and encryption it with a private key 3. The Client creates a session key and encryption it with a private key 4. The Client creates a session key and encryption it with a public key 公鑰加密：機密性 私鑰加密：不可否認性 (私鑰加密可先刪除) 假定 RSA 演算法，client 先產生 session key，再用公鑰加密 --- ## 為什麼 email 偽冒(釣魚郵件)的攻擊很容易執行? P329 A. SMTP 沒有足夠的 authticiation 機制 --- ## IAM and access control --- ## Identity Management Lifecycle P85 0. New Identity Request 需要有人review 和 approve 1. Identity Provisioning/Establish Access Privileges 提供了帳號密碼，並且設定好權限 2. Authentication (Per Access Attempt) 就是 Identification 的階段 3. Authorization (per access attempt) 4. Accounting(during/after asset access) 登入使用，進行各種操作時都要產生Audit log 5. User Behavior 使用者行為檢視 6. JOb/Duties Change review 7. Disable and Deprovision 把帳號移掉，可能是因為職務異動 或 帳號被盜 這些帳號會被集中儲存管理，存放的地方是 Identity Store(但集中管理只是IAM其中一個功能) --- ## IAAA Identification, Authentication, Authorization and Accountability P86 Accountability (一堆紀錄) * Identification 識別是誰(看帳號) * Authentication 驗證是不是這個人 (驗密碼,驗生物特徵,驗一次性密碼...) * Authorization (調閱你有哪些權限) --- ## 驗證因子 P87 * Something you know (password, pin, code) * 除password，還有 PassPhrase密碼片語，又稱助記詞，強調長度不強調複雜度，例如 * Something you have (a token-physical or soft token) * Something you are (biometric identification) * Multi-factor AUthentication (MFA, 2FA) ## 卡巴斯基強度檢測工具 https://password.kaspersky.com/ 1qaz@WSX 8碼複雜密碼  3個月到了要改密碼，把x改小寫還是不安全  我最喜歡的咖啡是溫咖啡 安全密碼 myfavotitedrinkiswarmcoffee  詞可以好記，但是詞要長一點，下面兩個就不適合 ilovedog  warmcoffee  --- ## 生物特徵通常選靜態一點的，如指紋 虹膜 內耳紋路 耳廓 鞋紋(不含走路姿勢時) 新創公司發明用手機感測拿手機在空中簽名的動作，但這很麻煩 我在超商買咖啡按一下手指和拿手機在空中畫，速度有差 ## 動態行為的生物特徵 簽名 動態 鍵盤打字 動態 走路姿勢 動態 聲音(語音) 可以是靜態也可以是動態 --- ## Access Control AuthZ P88 存取時是受到限制的，基於 Security requirements (ISO 27000:2018) --- ## Access Control System P90 Domain3和 Domain 5 都有出現要一起看 * AC Policy: DAC, NDAC, MAC(NDAC的一種特例) * 比較會考 Security Model: BLP,BiBA,Clark-wilson,Brewer and Nash * 比較會考 AC Mechanism 底層實作機制: ACL,XACML,Labeling,RBAC,RuBAC,ABAC,SSO,FI,SAML,OAuth, OIDC ## Trusted Computer System 有圖 P91 Security Kernel 需要能達到三個要求，SELinux就有滿足這些要求 1. Completeness 2. Tamerproof 3. Small enouth to be verified ## TCB Trusted Computing BASE P92 用來 enforcing 所有的安全政策 TCB這個名詞是從美國國防部的規範出來的 DoD TCSEC 他們評估系統是否安全，訂了一個準則，給予ABCD等級 ## 可能會看不太懂這三個名詞 Trusted Computer System TCB Reference_monitor https://en.wikipedia.org/wiki/Reference_monitor James Anderson寫的論文：Reference monitor are design requirements on a reference validation mechanism --- ## Access Control Policies P94 AC policy存取**控制政策**是高等級的控制需求，防火牆政策 policy 不是高等級 * DAC 使用者自己可以調整，例如我是使用者放檔案進去，我可以設定哪些人能夠看檔案 * NDAC Non-DAC 要有高階管理者調整(admin)，某人依照企業組織要求去設定全縣權限，不能任意更改，例如WindowsAD * 有些書會多把一個MAC在這邊，也有一些把MAC放到Non-DAC裡面，Nist只有2類 DAC,NDAC --- ## 三種AC Policy 比較 P95 | | MAC | NDAC | DAC | --- | --- | --- | --- | | Policy Decisions(Who) | Central Authority | Administator (跟Central Authority同義) | Object Owners | | Seurity Models(high level的設計) | Military use,Bell LaPadula(C),Biba(I) | Rule-based | Hard to formalize(沒有這種概念) | | Related mechanisms | Multi level Security(縮寫MLS), Security label(低中高) | RBAC(Rule) RBAC(Role)ABAC(Attritubte) |　ACL | --- ## MAC 講義有圖 P96 * 1960年代軍事系統和政府使用 * 我們現在用的是一般或商用OS， MAC 的是 Security OS，例如這些 * SELinux * Ubuntu:sudo apt-getinstall selinux * Red Hat Enterprise Linux 5 (CC EAL4+) 圖片舉例： PM_A (H) ProJ_A (M) Proj_B(M) PM_A只有中等級，理論上可以看B，但沒有必要知道，應該把它鎖起來 Subject dominate 有權力支配物件，>=代表有權限，contains代表僅需所知 --- ## Bell-Lapadula Confidentiality Model P97 * 主要為了軍方 * 三條規則 * Simple: no read up * Star```(*)``` no write down， up down 是指機密等級 * Discretionary 同等級可以自由決定，就是說也可以用其他access control做更細緻的設定，只是不能破壞上面的機密等級規則 reference validation mechanism：reference是指 subject 參考 object，上面這個動作要 vailid驗證 的機構、機制 --- ## Biba Integrity Model P98 * 也是為了軍方 * Addressed "Prevenut unauthorized modification" 禁止未經授權的修改 * 三條規則 * Simple: No read down 禁止讀取信任等級較低的檔案，避免資料被汙染 * Star```(*)```: No write up 禁止把信任等級提升 * invocation: 透過call function改資料，禁止call 高等級function invocation不同文章寫的都不一樣 Example 參考這段 > The SELinux Apache policy doesn’t allow Apache to write to the high integrity files we talked about above (/usr, /lib, /bin, etc) while allowing it to write to its logs, its cache, etc. Since objects in SELinux have fine grained labeling we can restrict access to apache high integrity objects, such as apache modules, the apache configuration and so on. In many ways SELinux lets us constrain applications more than Biba while at the same time making practical exceptions when necessary. This brings me to my next kind of security. > SELinux Apache 策略不允許 Apache 寫入我們上面討論的高完整性檔案（/usr、/lib、/bin 等），同時允許它寫入其日誌、快取等。有了細粒度的標籤我們可以限制對apache高完整性物件的訪問，例如apache模組、apache配置等等。在許多方面，SELinux 讓我們比 Biba 更能限制應用程序，同時在必要時做出實際的例外。這讓我想到了另一種安全感。 https://securityblog.org/2008/03/30/secure-doesnt-mean-anything/ --- ## Clark-wilson Integrity Model P99 * Subject Program(API)-object 用程式控制防止未經授權修改 * 即使是授權人員也可以做防呆，把商業邏輯寫進去(例如只能1~100)用程式控制防止錯誤修改 * Addresses thress intrgrity goals thouough * 職權區隔，一個系統內部和外部的狀態希望達到一致 例如我有倉儲系統 * well-formed transaction * Domain8有提過，這就是資料庫ACID的A，確保資料在內部達成一致性 Addresses thress intrgrity goals thouough 範例 | In-stock system | ware house | | --- | --- | | 100 | 100 | Sales說想要借Object來拿東西，不能自己去倉庫warehouse拿，要透過supervisor才能去拿 --- ## Brewer and Nash/Chinese Wall Confidentiality Model 中國長城，解利益衝突 P100 > 長城是擋匈奴的 * 商業使用 * 預防利益衝突 如果律師事務所要同時接銀行原告A和被告B的訴訟專案，要套用這個model，只能看一邊的資料，不能同時存取兩個 --- ## Rule-Based Access Control P101 網路設備常用 * Router,Firewall,switch (設定ip 網段 ACL) * Temporal(time based) access rules 用時間當規則，通過身分識別驗證，但錯誤時間登入也被拒絕，時間是管理者設定的 --- ## Role-Based Access Control (RBAC) * 用角色,job function,group(事業單位,群組) 來控制 * Coarse Granularity 沒辦法管到很細 * 優點：管理上有效率 --- ## ABAC P103 * 看的東西很多，同時看 Subject,object,environmental * Where,When,Who,Role * 所以相對RBAC可以管很細 * Performance overhead 效能會受影響 * XACML by OASIS 有實作 * OASIS其他 ML * FIM * SAML Security Assertion Markup Language（安全斷言標記式語言） * 主要用於啟用全球資訊網瀏覽器單一登入(SSO) * SPML Service Provisioning Markup Language * 系統要建帳號權限，沒自動化機制可能要一台台設，如果有支援SPML，就會自動依照request自動丟給其他系統設定，但現在實務上很少看到，非主流了 --- ## XACML Policy Example P104 [參考維基百科的](https://en.wikipedia.org/wiki/XACML)，雖然說是XML，但其實也可以用json 可以看到要判斷的東西多，甚至可以用 Environment ```json= Sample JSON request { "Request": { "AccessSubject": { "Attribute": [ { "AttributeId": "com.acme.user.employeeId", "Value": "Alice" } ] }, "Resource": { "Attribute": [ { "AttributeId": "com.acme.record.recordId", "Value": "123" }, { "AttributeId": "com.acme.object.objectType", "Value": "record" } ] }, "Action": { "Attribute": [ { "AttributeId": "com.acme.action.actionId", "Value": "view" } ] }, "Environment": { "Attribute": [] } } } ``` --- ## Access Control Matrix 有圖 P105 object-based Example * Windows Discrentionary ACL * Linux Chmmod 755 file 1 Subject-based capability list --- ## 範例指令 accesschk.exe 帳號 C:\Users 可以查指定帳號對於特定資料夾有哪些權限 https://learn.microsoft.com/zh-tw/sysinternals/downloads/accesschk --- ## AAA Protocols 有比較圖 P106 RADIUS半徑 Diameter直徑 半徑短保護較少 RADIUS只加密密碼 Diameter比較多，更安全 實務上建置多的是RADIUS，因為Diameter比較晚出 TACACS+也是跟驗證有關(不一定考到這麼細) --- ## Single sign-on (SSO) P107 * 登入一次就全部取的權限 * kerberos --- ## Kerberos P108 * 為了 anti-replay 防止重送攻擊，所以有時間戳記Timestamps(8小時內有效)、隨機數字nonce = random number，如果回應時是錯誤的nonce就不接受(nonce可能用接收方金鑰保護) * Physically and logically isolate kerberos server 實體主機要被保護 * 防止SPoF 單點故障（英語：single point of failure，縮寫SPOF） * kerberos 不是AAA，因為他只作第一個A Authentication * 三個角色 client server,kerberos server * 特色是只用Symmertric 對稱式加密,金鑰交換使用 key wrapping實作 * key wrapping 有 KEK DEK --- ## kerberos 圖 P109 1. client 跟 kerberos 驗證 (跟 AS 這個角色驗證) 2. kerberos 回 TGT 給使用者，裡面包了KEK，TGT使用 TGS金鑰加密，因為給TGS用，user打不開 (key wrapping)，TGS就是KEK 3. TGT for ticket 就完成了金鑰交換 4. 回 Service ticket 給 client 端，裡面包了Client的session Key，但是使用Service的key加密，所以Client User還是打不開 5. 把 Service ticket給Service，Service打得開，看到 client key 就讓使用者使用 --- ## Exploit kerberos P110 攻擊 password或ticket * Steal tickets 攻擊者偷到ticket，重送 * pass the ticket ，重新送ticket replay 攻擊 * Steal service account password hashes * pass the hash 跳過hash，就是直接把hash送進去驗證，也是replay 攻擊 * 透過hash自己產生Silver Ticket給Service使用(但只能使用在特定Service) * Steal Kerberos account (krbtgt) * 偷到server帳號，可以產生Golden Ticket (TGT Ticket) * 考試不會考，但舉例 [mimikatz攻擊](https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-silver-tickets) 讓大家有印象 *  * Crack password hash 破解hash * [kerberoasting](https://ithelp.ithome.com.tw/m/articles/10331120) --- ## FIM Federated Identity Management 有比較表格 P111 FIM是聯盟 跨組織的身分驗證，包含 OAuth2 OIDC SAML OIDC SAML的角色很像都是三個可以對應 OIDC vs Saml * End User = Client * Relying Party = Service Provider * Identity Provider = Identity Provider OAuth2比較不一樣Resource Server 是 Object --- ## Security Assertion Markup Language SAML 有圖 P112 這個圖是for saml for web sso只是一種情境，其實還有不同情境，web sso 是一個 profile可以更換 步驟 5 的這個單字 Assertion 就是一個 AuthN AuthZ的結果 --- ## OAuth Process Abstract 有圖 P113 User一定要先登入，才能拿到授權 OAuth 常用 JWT 作為 Access Token * JWT可以幫token加密 JWE * 防止竄改也可以幫JWT做簽章 JWS --- ## Secure Network Components P115 * 白名單 allowlist、黑名單 blocklist denylist * Firewall 防火牆 * static packet filtering:ech packet header 只看單一封包決定能否通過的 比較笨 * Stateful inspection and dynamic packet filtering : session context封包是連續性的，能了解整個連線狀態的就是stateful狀態，例如三向交握需要syn syn/ack ack三個封包，syn/ack在stateful就要放行 * NGFWs 次世代 第7層，有ips功能，但不一定能取代WAF * IPS/IDS * IPS可阻擋 IDS只能偵測 ，IPS可以預防，IDS無法預防 * NAC (network Access Control) * NAT/PAT * Proxy * EPP Endpoint Protection Platform ## PAP 最早出的撥接協定 P117 * Two-way process * Pros * Low cost and interoperability * Security * Username password 都是明文沒加密 * static password 靜態密碼可以重送攻擊 ## CHAP Challenge handshake Authentication Protocol P118 * three-way process * Challenge and response * Nonce * 安全 * 定期重新驗證 * 缺點密碼儲存是明文，放在 password DB * 傳輸用MD5保護 * 後來微軟改版 MSCHAP 把儲存也用hash ## CHAP 流程圖 P119 Challenge | ID John | nonce Response | MD5(ID) | nonce | secret(password) --- ## EAP P120 * 不是方法只是框架，只有規格和流程，實作方法沒定義，可以讓client server自己商量 * 可以用在有線和無線網路 * WPA WPA2都用EAP * EAP方法有50多種， * 例如設定vpn可以看得到 * EAP-MD5,EAP-TLE,EAP-TTLS ## EAP 比較圖 P121 不是用了EAP就安全 例如MD5單向驗證不夠安全 --- ## 802.1X network access control (相對其他這裡不熟要多看一下) P122 * Supplicant * Authenticator * Authentication Server EAPOL 有圖 --- ## Physical Access Control P125 * Least entry/exit 最小出口化原則，不需要的服務就disable，縮小攻擊面 * Separation of zones 分割區域，要有縱深 * Fences/Barriers/Walls 10幾年前考試一些很硬的東西現在不太出了 > 一個門要3個絞鍊才安全 圍牆要多高才安全 > 窗戶哪種玻璃? 膠合玻璃、強化玻璃、普通玻璃，普通玻璃碎掉會割人不好 > 機房能不能用壓克力? 不適合因為燃燒有毒氣 * 分出伺服器區和管制區 * 監控 cctv * 入侵偵測感應器 man-trap 防盜門，兩道門 捕捉人陷阱 * 用國防或是高安全機構，平常不常見 * tail gating 陌生人尾隨 不認識的攻擊者偷跟 * piggy backing 偷帶人 認識的人跟著進去 (把...(物、人)扛在肩上) --- ## 練習題 IAM --- ## 哪一個技術適合提供 Authentication 和 authorization assertions 給雲端商務程式? * A AD * B SAML * C RADIUS * D SPML application (AD)通常不會是答案，因為AD只能用在組織內，他需要跨組織，所以RADIUS 也不行 B SAML比較適合 --- ## amanda 有一個應用程式，她想要使用現有的Gmail帳戶的通訊錄來當作他的程式，哪一種方式可以提供 secure delegated access(代理) A OpenID B Keberos C OAuth D SAML contracts...是Object 程式是Subject 去存取資源是C OAuth ## 實體門禁的稽核相關描述何者正確 A 異常紀錄要記起來，但是只需要警衛reviews B 只有成功進入要被記錄 C 只有下班時間的異常進入要記錄和review D 全部都要記錄和review A錯在 (資安人員也要看) B錯在只有成功 C錯在只有時間 答案是D ## kerberos 驗證流程 A 使用者提供帳號密碼身分驗證，從TGS拿到TGT) B workstation提供TGT C 使用者提供帳號密碼身分驗證，從KDC拿到TGT D workstation提供TGT kerberos要先身分驗證，workstation提供TGT(不對) TGS沒辦法發TGT TGT是AS發的，從KDC拿也不能算錯，因為AS是KDC的一個功能 答案是 C ## SELinux apache policy 不允許apache 寫到high integtoty file, Biba security model是描述哪一條規則 A simple integrity B star integrity C invocation D None of the above no write up 是star，是B > 某網友：可以write就打* star星號 > 研究員一開始先用 * 星號 代替還沒想好名字，後來就懶得改了 ## 下班後有未經授權存取，發現是維護人員登入，他們在休息室做事 A 多因子驗證 B rulebased預防限制下班時不能用 C Role based防護可以在指定工作場所 D 使用地理位置限制 維護人員是一種角色，要找到這個關鍵 --- ## SDLC P128 系統生命週期 System Life Cycle SDLC 軟體開發生命週期，有的SDLC認為佈署上線後不在開發週期，所以維護和下線不在SDLC ## SDLC 標準有 CMMI 和 ISO 27034(應用程式安全) CMMI五個定義有考過 * Sequential(按步就班) * 瀑布式 water fall * 有變化期限就會一直延長 * Iterative迭代 & incremental 疊加 * 螺旋 spiral，進下一階段前會先做風險評鑑，有重大風險會中斷不 執行； * v-model https://en.wikipedia.org/wiki/V-model_(software_development) * v-model參考，一邊從需求，一邊從test開始走；一種test driven測試驅動開發 * Prototyping 雛形 * agile 特定原則，底下的方法論有 * Extreme programming * scrum 常看到 * lean * kanban ## 敏捷宣言 提高客戶滿意度：接受變化 快速 安全 130 Agile manifesto 4宣言(和12原則，12原則不多也可以去看) CI/CD 和 DevSecOps 是參考宣言後面做的 敏捷開發的目的是加快軟體開發流程滿足使用者需求 CICD怎麼加速的? build,test 是CI deliver和deploy 是 CD * DevOps Agile 是軟體開發高手弄的，所以沒有提到太多測試 佈署的人 2007年提到DevOps，就把OP角色放進來了 有三個team DEV開發 QA測試 OP佈署(維護) 要達到又快又好，把他結合在一起變成 cross-fuction的team * DevSecOps 2009年把Sec放進去 Roles Culture Collaboration ## DevSecOps P131 網路上常看到的圖，整塊都跟Sec有關 左邊1 Plan是CI， 3是Dev 右邊4是CD，6是Ops https://www.atlassian.com/devops/devops-tools/devsecops-tools h 5的RASP是一個新觀念，例如 WAF是在外圍擋攻擊，RASP是在app內擋攻擊，常用在保護雲端應用程式，例如serverless無伺服器的程式碼或是container防護 https://blog.trendmicro.com.tw/?p=67717 ## Secure SDLC P132 Security by design * 安全考量越早開始越好(資安需求左移 shift to the left) * 每一個階段都要有對應的動 --- ## Requirements Finding Secutity Requirements using misuse case 有流程圖 P133 一般需求：登入 資安需求： 要包含一般錯誤訊息和通用錯誤訊息 連續登入N次鎖定帳號(防字典和暴力攻擊) 確認密碼強度(防字典攻擊) 詳細請看 OWASP Testing guide，2024年目前到v4，可以找到 misuse case工具  --- ## Design Phase Threat modeling 有架構圖 P134 Threat modeling就是風險評鑑+風險處理 了解架構 識別風險 * 微軟的 Stride * OWASP Top 10 * Many others 評估風險 * Dread * CVSS Determine countermeasures (風險處理) --- ## 設計階段 DFD Analysis 有圖 P135 了解程式設計架構 識別威脅 例如 WebApplication config 有資訊洩漏風險 design spec 設計規格要加上存取控制或加密，這樣就 addressed 了 --- ## 開發階段 P136 * Secure coding standards 每個開發人員遵循一致性的開發方式，避免良莠不齊 * Encode and Escape Data * Validate all inputs輸入驗證 * Authentication 身分驗證 * Enforce access controls 存取控制 * Protect Data Everywhere * Implement Security Logging and Monitoring * Handle All Errors and Exceptions * Secure Database Aeest 參考文件，裡面有可能的影響衝擊Impact，也有Example程式範例 https://docs.gitlab.com/ee/development/secure_coding_guidelines.html Leverage **Securiy Frameworks** and Libraries 這裡的框架就是指一些現成的軟體套件，例如dotnet framework --- ## 開發階段 code review (通常稱為白箱) * SCA Tool靜態程式原碼檢測 * Peer Review(人工檢測)，可以找出商業邏輯的問題 * 上面兩個可以互補，不是二選一 * 程式碼沒有在執行狀態 unit testing 開發階段在做的 --- ## Fagan inspection 補充，考試大概不太會考 Fagen 是一個人的名字 * 目標是在SDLC過程中 Early dectection ，找到bug或漏洞 * 專注在找 artifacts ，軟體開發過程的文件或source code都是artifacts(人工產生的東西) * 利用 Group member 一群人做檢查，軟體開發過程會產出需求規格文件，就要有一群人去檢查這個需求規格文件是否正確，需要有review meeting找一堆人來開會檢視是否有誤(不正確或漏掉)，不然用錯誤規格開發就會發生問題 --- ## 測試階段 P138 * Source Code Analysis 靜態分析 * 但希望更早開始 * Dynamic testing 動態測試 * code是在執行狀態 * input>running code> output，把程式視為黑箱，送一個request看看結果是什麼 * fuzzing testing Input Validation，可能的程式有fuzzer, zzuf * 滲透測試也在這裡 ## SAST 靜態and DAST動態 P139 黑箱 zero knowledge 灰箱 gray box 揭露一部分 白箱 whitebox, glassbox(玻璃透明), crystal box(水晶透明) --- ## 佈署階段 P140 * 要確保runtime 組態是安全的，要有一個基準 * 例如 TW-GCB, USGCB, CIS Benchmark * Code signing 程式碼數位簽章 * Digital signature of released software 發布時要用簽章 * 安裝時檢查簽章，驗證 完整性 不可否認性 * Change Control 變更控制 * Rollback plan 退版計畫 --- ## Security Controls in O&M Phase P141 我都沒有改程式，為什麼都要定期掃描? 因為外部環境有變動，會出現新的以前沒發現的漏洞，或是作業系統更新檔造成的新風險 * Assets in use * Security Operations * Dynamic testing * configuration management and changemanagemeny * 持續監控 * 事故管理 * BCDR --- ## RESTful API P142 RESTful是一種架構類型，適合應用在分散式超媒體 distributed hypermedia，例如網頁html影音檔 * 適合建構在web service上 * web-based 安全相關 * OWASP API Security Top 10 * Simlar to web application security * HTTPS * Input validation * Error handling * Audit log * Security header * 把安全屬性放在http response header給瀏覽器看 * Access Conrol * Non-Public REST service must perform access control at each api endpoint 私有或付費限制存取API的存取機制，用 security token去做控制 * using security token(JWT)as access control token 當使用者登入後，改用JWT去驗證檢查token，檢查有無過期(防replay attack) * JWT * JWS * JWE --- ## RESTful API Security Reommedations P143 * 公開的API，例如政府open data 可以用 api keys * 特性是註冊後可以免費，但唯讀 * 每次都要檢查有無 api keky * 處理敏感資料的話最好不要只仰賴 api key * 不要傳遞沒加密的api key，避免被竊取後濫用 --- ## Input Validation 輸入驗證 P144 * Data validation * 類型 * 長度 boundary check，防BoF buffer overflow攻擊 * 格式 data composition * Sanitization 防止把一個惡意inputdata 變成可執行的data * Sanitization可以清掉惡意的輸入 * 例如XSS攻擊 * Whitelist allowlist 推薦的作法 * Accept the known good * Blacklist denylist 只用黑名單不夠安全 * reject the known bad * Regular expression 正規表示式 * 通用型的遮罩 * 最重要的一條 --- ## Buffer overflow P145 * 發生原因 * 沒有輸入驗證 * 影響 * DoS 應用程式掛掉 * RCE Remote codeexecution遠端程式碼執行 * stack-based buffer 記憶體堆疊基礎的buffer overflow * overwrite ruturn address 請參考此網站 https://www.hackingtutorials.org/exploit-tutorials/buffer-overflow-explained-basics/ --- ## injection P146 也是沒有輸入檢查，使用sanitization來修正 input > parametried query > parametried query是一種sanitization 例如輸入有 ```or 1=1--``` ，parametried query程式把他當成字串而不當成指令，避掉這個問題 --- ## Cross-Site Scripting XSS P147 OWASP top 10 把XSS併入到 injection了 input > app > processor(DB XML OS) * DB SQL Injection * XML Injection * Command Injection... 影響 * 可以把受害者轉導到釣魚網站 惡意網站 * 偷資料 cookies (access token) --- ### CSRF P148 定義： * 使用者是在登入狀況 * 攻擊者偽冒受害者的 request 利用後端程式信任使用者的登入狀態 用登入的session送出request，可以更改使用者的狀態 例如google gmail 有發生過，使用者登入狀況下，把後端webmail forward設定改掉，讓駭客可以偷email https://victorzhou.com/blog/csrf/ * 登入  * 登入後可以轉帳  * 沒登出，在其他網頁點了領100塊禮物卡  * 實際上被惡意攻擊者偷偷轉了1萬走  --- ## 練習題 ## 軟體開發人員coding的時候，要建置安全控制，第一步是什麼? A 滲透測試 B 回歸測試 C 威脅建模 D Attack surface analysis 選C最全面 回歸測試是什麼呢? 避免改A壞B，所以要跑完整的基本功能測試，相較於單元測試只會測一個程式，回歸測試較多 --- ## 攻擊者透過web程式送了 sql 字串跳過身分驗證後跟資料庫直接互動，這是哪種攻擊? A XSS B CSRF C SQL Injection D Command injection C Sql injection --- ## 哪一種攻擊允許讓輸入後讓程式定址與儲存資料 allocated space to store it A symbolic links B File descritpors C Kernel flaws D Buffer overflows 因為沒有檢查長度，所以是 D ## 哪種攻擊如圖? Malicious input > Application > Gargabe(stack) Malicious input > Application > Gargabe(stack) Malicious input > Application > Malicious code A Traffic analysis B Race condition 多資源共用衝突 C Covert storage D Buffer overflow 選D --- ## 調查帳戶惡意使用，發現是攻擊者透過已經偷過驗證，送到第三方網站，因為使用者的瀏覽器已被程式信任而被利用攻擊，這是哪種攻擊 A XSS B CSRF C SQL Injection D Session hijacking --- ## bob要開發一個container app，他開發時從github找了一些libraries放到自己的程式，結果一上線佈署到production，他的程式就被入侵了，最可能的原因是? A kube proxy 有問題 B Github lib有漏洞 vulnerability C kube controller有問題 D github lib有惡意程式碼 D 因為是一上線就惡意攻擊，早就被盯上了 --- ## Assurance 保證 P151 檢查控制措施是否有效運作 監控、找證據，確認卻控制措施是否有效 --- ## Artifacts of Assurance P152 * D5 Account management * D6 Management review and approval * D7 Backup logs * D6 Training and awarenesss records * D7 DR BC 測試報告 * D6 內外部測試報告 --- ## Assessment Strategies 評估策略 P153 * Assessor/location 內部,外部 第三方的assessor * 相依 合約客戶 * 合規 27001 * 產品 ISO 15408 --- ## Security Assessment Methods P154 * 檢驗 * 檢視需求文件 系統設定檔 防護規則 系統log * 檢查現有控制 * ex log review * 訪談 * 面試 跟管理者訪談 * 問卷調查questionnaires ,群體訪問,面對面 * 測試 * 直接測試 滲透測試 社交攻擊演練 --- ## Guidelines P155 * ISO 27007:2020 稽核人員指引 * ISO 27008:2019 * NIST SP 800-53Ar5 Appendix E 53A的A就是Assessing * NISP 800 -115 技術安全 ~~OSSTMM~~ 很久沒更新了 --- ## SOC Reports 很常考 P156 標準是來自 SSAE，美國註冊會計師協會AICPA認可的 * SOC1 財務稽核報告 跟資安無關 * SOC 2,3 針對企業某一個service，例如saas,iaas服務 * SOC 2 有細節，裡面有缺失(弱點)較敏感不能給一般人下載 * type1 只有建置起來時間較短，或是某一個固定時間點 * type2 有至少6個月~1年的長期資料 * SOC 3 是SOC2精簡版，SOC 3可以公開自由下載 * 只有Type 2 * SOC for Cybersecurity 發給組織的，類似ISMS，會有風險評鑑那些 * 只有Type 2 --- ## Product Evalutaion 產品評估 P157 CB是一個實驗室lab， certifiction body， 把產品送給lab去檢測，client想知道就直接去CB查 CB上面有Accreditation body 驗證公司是CB，驗證公司有受到AB要求(台灣的AB就是TAF) Assurance level of security functions --- ## Common Criteria ISO 15408 ，產品評估的 P158 會員國會互相承認 Protection Profile (PP)產品類別 * 描述跟產品無關的 * 安全問題或解決方案 * 描述資安需求，不是規格，例如防火牆的PP就是指防火牆可以擋什麼 Target of Evaluation(TOE) 受測產品 送測產品 * 例如某一個防火牆特定一個版本 Security Target ST產品規格 * 防火牆產品規格有可以接受1000條防護政策，那要驗的就是是否有1000條 --- ## Evaluation Assurance Level of CC 要記定義 P159 1~3 測試 4~5設計 6~7用理論甚至去分析 要記一下 requirement 的定義 如果想看哪些產品有通過，可以看 common criteria 的官網 https://www.commoncriteriaportal.org/products/stats/index.cfm# --- ## 練習題 ## 針對 seurity audits 風險評鑑等描述哪個正確? 弱點評估可以幫助我們排序威脅等級 --- ## 把 log 傳到遠端儲存最重要的原因? A 防止遭竄改 B 方便複製 C 更容易備份到單次寫入媒體 D 可以檢視與分析 A 最主要 --- ## 資安指標Security metrics呈現為什麼對風險評估很重要? a they enable management to understand the performance of a serucity program b they can be used to docyment deviations from standaards c they can help auditor determine whether incidents have been properly resolved d they can be used to determine the cost of a countermeasure 4個都對，比較好的是A 資安指標 Security metrics 有什麼? 例如 高階目標是CIA，PKI要支持 C：全年無個資外洩 I：資料都有保管好沒有損毀 A：email服務 99.9%可用性 --- ## 哪個備份策略最有效 ? A 確定所有使用者資料有備份 B 測試備份的復原程序 C 使用資料庫DBMS透過上面有的方法 D 檢視備份log確定備份是完整的 B 測過可還原最有效 --- ## 哪個漏洞沒辦法透過例行性風險檢測(掃描軟體)找到問題? A 0day B kernel flaws C buffer overflow D File and directory permissions 通常例行性會更新掃描工具，所以掃不到未知風險，因此是0day --- ## Network Attacks 有表格 P162 * Vlan類 * Double Encapsulatin/Tagging attack，又稱vlan hopping跳躍，可以跳vlan * (switch類)inter-switch Link tagging attack ，DTP協定可以讓兩個switch 自動串聯 * ARP Spoofing attack，是一種man in the middle * STP協定是一種防止網路架構產生loop的協定，透過演算法產生 root bridge，封包都匯流到這邊，攻擊者偽冒自己是root來撈 所有人封包 * 防護方式是router設定，禁止所有port都能送STP * ICMP smurf attack，放大網路，反射攻擊 * ICMP ping Of Death * Tcp/IP LAND Dos Attack 偽冒封包，把Source和Dist填成一樣，收到這個封包就當機了 * TCP Syn Flooding attack，用三向交握缺點，要記一下 * VoIP eavesdropping 沒加密被入侵 * VoIP DoS 軟體漏洞被攻擊、或是call flooding(一直被打電話) * VoIp spoofing 偽冒 --- ## 軟體攻擊 P166 沒檢查輸入造成的問題 * malformed input * path traversak attack 路徑或目錄遊走 * buffer overflow attack * injection * XSS 授權類問題 * CSRF * Race condition/TOCTOU * Covert channel 秘密儲存式通道 ## malware 有表格，這邊寫很少 P167 木馬和後門容易搞混 * 後門通常是內部人員或惡意開發者，木馬是外來的 --- ## Database attacks P168 * Inference attack 推論成分(資料不完整) * 防護方式polyinstantiation，同一筆資料建兩筆 * 機密等級低只能看到低等假資料，高等級看到兩筆高等低等兩筆資料 * Aggregation attack 聚集攻擊 (資料湊到完整) DB Inference attack * select bob薪資：不允許查管理者薪資 * select 40歲員工的薪水，找到 100萬 * select 40歲的管理者，找到bob 兩個加起來，就可以找到剛剛好40歲的bob經理薪資 --- ## 實體攻擊 emanations attack, no EM/RF Protection 汽車衝撞攻擊，用障礙物如barriers, bollard tailgating piggy backing,man-trap dumpster diving ## 社交工程 P171 * SPAM 透過Email, SPIM透過IM, SPIT透過telephone * 社交攻擊,釣魚郵件、魚叉攻擊、whaling關鍵人員攻擊 * 可以用anti spam擋 * 釣魚網站 --- ## 加密攻擊 P172 ciphertext-only 攻擊者只有密文，目標找明文 known plaintext 攻擊者有明文和祕文搭配，目標找加密key 可以觀察演算法或解密輸出 chosen plaintext adaptive chosen plaintext chosen chiphertext adaptive chosen ciiphertext linear 降低暴力破解難度 differential 降低暴力破解難度 side channel attack 旁路攻擊 * 找特徵、運算時間、主機溫度、運算頻率、消耗資源效能、耗水耗電程度... 字典攻擊 暴力破解(窮舉法 exhausted) rainbow table：預算password hash的方式，防護法是加鹽，使用nonce random number處理 ## 硬體攻擊 (很新) P174 * meltdown(資訊洩漏) * 破壞使用者和作業系統敏感資訊外洩 * Spectre(資訊洩漏) * 破壞使用者和應用程式之間的關係造成外洩 --- ## Cloud Service P175 私有雲 * 在組織內部只有我可以存取 * 在雲端，但只有我可以存取 --- ## 雲端安全責任 有圖 P176 IAAS PAAS SAAS 責任 不難自己記一下 PaaS舉例 Azure App Service、 App Engine，可以自己放程式碼，但不能使用雲端供應商不提供的程式語言 --- ## ICS Risks 工控 P175 很難更新 可能造成實體人員傷亡 財產損失 --- ## OWASP IoT Top 10 Risks P179 1 hardcoded Passwords ，想改密碼也不能改 4 安全更新機制很難做到 5 用到不安全元件 9 預設設定不安全，違反一個設定原則 security by default 10 實體硬體強化 例如防拆螺絲 --- ## Resilience 韌性 P183 什麼是數位韌性，可以被打但是不能被打死，叫做韌性 可能發生事故 被攻擊，但不被一打就死 * 對於吸收中斷能力 恢復到可接受等級 (跟營運持續有關) * 事前做 BIA、防止單點失效等等都是設計目標 * 發生問題做事故回應 * BC/DR規劃和程序 ## Resilience P184 資料韌性 * RAID * 集中儲存 SAN,NAS(單點失效問題) --- ## 備份目的與原則 P186 備份夠完整，包含OS App, Config 備份留幾代 異地等等 --- ## 備份技術 P187 完整 差異 增量的差別 RPO要求會影響備份 備份要測試，回存測試 備份的存取控制(權限控管) --- ## 網路韌性 P188 * multiple service provider inputs 供應商可選多個，中華遠傳各租一 * 關鍵設備避免 single points of failure ，防火牆inline 就是關鍵設備，core switch 關鍵設備 * 網段區隔 network segementation --- ## Site 韌性 實體安全 P189 * 電力品質穩定 * 防雷擊 lightning * 防突波 surge * 備援設備 如變壓器 * 備份發電機 * UPS * 需要被測試 * HVAC 暖氣 + 通風設施 + 空調 * 空氣品質乾淨 溫溼度 * 消防 * 異地選擇 --- ## incident management P190 Preparation Detection&Analysis Containment eradication recovery post incident activity from nist --- ## 數位鑑識 P191 * Identification 識別犯罪現場 (現場蒐證人員做的事) * Collection 現場蒐證 (現場蒐證人員做的事) * Acquisition 擷取數位證據 (現場蒐證人員做的事) * Examination 檢驗數位證據 (實驗室做的事) * Analysis 分析關聯數位證據 ## Logging and monitoring P192 monitoring 即時狀況 Log 事後分析 --- ## Logging and monitoring components P193 三元素 People Product Process 產品 設備 Product 端點怎麼監控? EPP/EDU UEBA 網路監控 IDS/IPS,NDR 跨設備關聯 SIEM,XDR,SOAR 人 * SOC * MSSP Managed Security Service Provider Process * MSS Managed Security Services (MSS) * MDR EDR * Threat hunting 威脅獵捕 * IR 事故應變 --- ## Logging and Monitoring P194 合規要求，講義有範例 --- ## 識別log 稽核log產生 P195 * log要看這幾個 來源 內容 保護機制 對時 --- ## log產生了要檢查 人工分析 或 自動分析(SIEM SOAR) log分析工具功能 * 蒐集 儲存 分析 視覺化 ## Monitoring P197 重要檔案被修改時要通知發alert，有時候稱為FIM file intergrity monitoring EDR 應用程式效能檢測 WAF比較重要,後面兩個較不重要，是針對效能的 Real user monitoring(RUM),Synthetic monitoring --- ## Ingress and Egress Monitoring P198 檢查有無資料外洩 內對外 或外對內 --- ## BCM 生命週期 P200 * 規劃BCM ， 範圍 目標 人 資源 時程 * 分析營運持續需求 法令法規 合約商要求，產生CBF Proioity * 評估風險，可能造成CBF中斷的風險 * BIA和風險評鑑都做了，加起來才能寫BCP DRP * 演練BCP營運持續計畫 CBF 中斷 * IR 事故應變 * 啟動BCP * 恢復CBF(異地運作) * 復原ICT(修好主要的)，並從異地切回來 * CBF恢復正常 (災難發生前的狀況) --- ## BC/DR規劃 P205 有那些人? * BC管理者 * 關鍵路徑團隊 * 回應團隊 * 發言人 --- ## BC/DR 演練 7種 P209 walk-through drill test實際 practice Simulation，更真實要走出去 --- ## 人員安全 P212 * 避免觸電要有鎖 * 絕緣裝置 Nonconductive(insulating) --- ## 消防裝置 * 事前人員疏散計畫 * 事中偵測 sensor 或人工 * 偵火偵煙偵溫 * 滅火 ## Fire P215 氣體式 惰性氣體 但對人員有風險 --- ## 考試經驗分享 報名 從 isc2 網站進去 填完個資才會去 pearson vue 真正的考試網站 念書的情境，盡量跟考試情境符合 ## 模擬考題 建議3~3.5小時要做150題