# Cissp 2024 Domain 1 安全暨風險管理 唐老師：這是最重要的 Domain，目的是建立管理思維 --- ## Domain1 Outline 大概有這些 * 職業道德角度 * 安全基本觀念 * 資安治理 * 法令法規 * 鑑識調查 * BCDR ## 1.1 認識 遵守與提升的職業道德 身為專業人士 應該是用專業讓世界變更好，而非佔大家便宜 (能力越大責任越重) 職業道德本身很複雜，因為涉及到各式各樣議題，包刮 文化 價值觀 素養 * local and international legislation * * standards * religious code * heritage > 道德 法律 小故事 例如某國中生刺人案件，行兇的也是國中生，跑去問律師，律師回答說你給他關20年30年，他出來後40歲，他怎麼回歸社會? 我們國家不是受害者保護主義 是加害者人權主義。 > 那被殺的國中生40年後怎麼回歸社會...? 都上天堂了 > 精神科病患攻擊人，這次攻擊人下次不一定啊 要不要把他放出來? 職業道德不容易探討，但我們希望這個邏輯能夠讓世界更好 醫師律師會計師都有職業道德規範，讓身為資安專家也是具有特殊專業的專家，所以也該有道德規範 ## ISC2 訂的 cissp 職業道德準則 P10 整體社會的公平與安定 共同利益 工作岡位上盡責 其他一切所必須遵守的,看起來需要遵守的，作為整體行為最高道德標準 因此 嚴格遵守此條款是做為取得認證必要條件 請背起來，照順序背好 * 我們致力於保護整個社會、整體共好，必要公共信賴與基礎設施 * 我的行為皆是 榮譽 誠實 正義 負責 守法 * 在工作岡位上盡責盡力 (deligent 善盡職責 、compentent 盡最大能力) * 提升與保護我的專業 (讀書人不要有辱斯文) 以前有分數的年代，曾經有過考試的分數拿到 699.7x，700分就過了，也不給四捨五入 QQ 老師：考試必考3題道德題，有可能不小心道德題錯了...我認為道德不一定是常識，而是一個種**認知** > 老人在公車上拍照國中生不讓座上網公審。 拍照公審是對的嗎? 不讓座是對的嗎? 那一種才是常識? 火車難題給自駕車AI寫 > 自駕車AI要撞路人、還是保護路人但死車上的人? :::success 案例 專案經理在做專案，deadline要到了，會沒辦法驗收無法完工 主管說你專案不成功有重大責任，請你跟客戶喬一下讓專案驗收，維護也是我們做等，缺的部分等維護再做 拜託客戶(假驗收)要做還不做? 專案成敗與專案相關，道德第3條，是要 盡最大能力，是不是該去? 但假驗收會造成第2條違反正義誠實甚至違法? 所以不能做喬專案這件事 ::: 也有過考試是給你4個排順序 --- ## 1.2 認識與了解安全基本觀念 在講 CIA 資安鐵三角之前 * 資訊安全很重要 * 那後面是 。 ！ ？ * 老師覺得是？ 資訊安全很重要嗎? 資訊安全很重要是一句人話，但是究竟是懂還是不懂不知道 cissp 是一個 why 的證照，需要去問為什麼 要先知道資訊安全是什麼，才能知道是不是很重要 Security = Protection = Control (安全就是保護 就是控制措施) 老師認為 Control = Cost 資安要不要花錢? 不用的話，那你要不要領薪水? 花很多錢是很重要的事嗎? 公司有預算，要先買防火牆還是發年終? * 瞭解CIA定義之外，去識別CIA分別要解決哪些問題? * 若少了CIA之後有什麼影響? * **反向聯想到STRIDE+AAA** ### safety security 中文翻譯都是安全 安全這個詞本身是否有另外一個詞? safety 不出事 例如棒球滑壘 上壘也是 safe ，代表這個判決是有效且確定，不會變動的 safety跟人命有關係，但不是100%有關係 路上小心注意安全 safety，不因資料/資訊錯誤造成內部/外部未授權（意外、蓄意）的傷亡、損失或破壞。 那 security 怎麼解釋呢? > 21世紀以前的電影 壞人要做什麼事之前都會被好人阻止 21世紀以後的電影 壞人彈個手指一半人就不見了 某一年在銀行atm被盜領，金融業最糟糕的職缺 理專 [理專 盜領](https://www.google.com/search?q=%E7%90%86%E5%B0%88+%E7%9B%9C%E9%A0%98&oq=%E7%90%86%E5%B0%88++%E7%9B%9C%E9%A0%98&gs_lcrp=EgZjaHJvbWUyCQgAEEUYORiABDIICAEQABgFGB7SAQgzOTI5ajBqN6gCALACAA&sourceid=chrome&ie=UTF-8) > 玉山銀理專盜領客戶1.8億 理專A錢盜領案又一樁凱基銀行遭罰600萬元 台新理專涉盜客戶存款逾3億元 玉山銀理專A客戶1.8億 ### 資訊安全的資訊是什麼意思? 27001的意思的話：資訊=資訊資產 資產：有價值 重要的東西 評估這兩項，依照高價值高重要性的資產，花多一點錢cost 保護他 ATM 盜領8000萬很多嗎? 對一間銀行集團來說很多嗎? 匯率上下虧損可能超過這個金額 理專A走的是誰的錢? A走的是**銀行客戶的錢**，這代表銀行內控出問題 玉山銀理專盜領客戶1.8億 法官認客戶沒定期刷簿也有5%過失 客戶被盜領，客戶自己也要虧5%的錢...對銀行的信任下降 > 事實是 客戶將帳戶、印帳交給理專使用，自己並未定期檢核帳戶資料，才讓理專得以將存款匯入她的帳戶。 --- ### 回頭講 CIA Triad 資安三角 Security 就是 Protection ，保護什麼? 從 CIA 三個面向去切入保護 * C 未經授權不得存取，保護**機密性**與**私密性** * I 完整性，背後的意思就是正確性correct，也不要有缺少complete，要有一致性consistent * A 可用性 隨時想用就要可用 有需求就要能用 --- ## CIA舉例 P16 機密性 * 帳號密碼 醫療資料 律師客戶對話 * 商業機密 IP智財權 條約 * 合併 完整性 * 醫囑 * 轉帳交易資料 * 軟體更新 可用性 * 捧了1萬元去電信公司 提早解約要付違約金，因為被關在電梯裡收訊不好，沒辦法打求救電話，影響可用性 --- ## Authenticity and Non-repudiation 真實性與不可否認性 P17 Authenticity: 真實性(鑑別性) 有可信的來源嗎? 新科技的危害 * wormgpt 專門產生詐騙內容 https://www.ithome.com.tw/news/157828 * 拿兩台手機開 chatgpt 讓他們互相聊天 Non-repudiation: 不可否認性，我不承認我有做過這件事 例如smart contract 智能合約，使用者宣稱沒簽過 * if sender can deny(repudiate) message * if users can erase their attack --- ## 隱私 Privacy P18 涉及個人資訊(personally identifiable information)就會當作隱私 * 機密 confidentiality * 秘密 Secrecy * 私密 Privacy 包含 * 個人資料 醫囑 律師對話 * 家事制度 Family matters (家族親屬相關的資訊、私生子) > 什麼是家事調解？ 當家庭發生一些狀況而有循法律途徑解決之必要時，不論是夫妻或是親子問題，在法院開始進行審判之前，先由受過調解專業訓練的人員，幫助家庭成員冷靜思考面對問題，心平氣和商量出一個合理的方案或釐清問題的癥結，圓融解決糾紛。調解內容可能包含：誰是子女的主要照顧者、探視子女的安排、扶養費用如何分擔，以及親屬間的財產分配方式等。 **個資**是一種特種資訊，特種就是有法律要求，沒處理好會違法 公司的資料能不能賣? 可以賣；公司持有的個資能不能賣? 這就不一定了 既然個資是特種資訊，那有沒有那些東西被稱為**特種個資**? 有 有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用 > 個資法第6條 https://law.moj.gov.tw/LawClass/LawSingle.aspx?flno=6&pcode=I0050021 --- ## Safety P19 預防因為資料錯誤造成 人身安全有關，避免造成受傷、死亡或傷害 * 例如溫度 血壓量測，甚至自動給藥等等 早年這一塊較少，但現在的年代越來越多了 錯誤可能造成 警察 火災 軍事行動 事故 sabotage(惡意破壞，例如來自內部員工惡意刪檔案) --- ## 評估與資安治理 P22 治理和管理是不同的概念 治理 * 目標 * 願景 * 方向 * 方針 * 使命 治理的這五項背後是一個價值的表現，沒有對錯，而是選擇上的判斷 怎麼實踐這些內容? 就是管理，管理是一個手段跟方法 管理 * 想辦法實踐治理提到的這些東西 --- ## 安全治理原則 P23 Corporate Gorvernance 組織治理 (公司治理) > 最近最常提的 ESG 環境 社會責任 治理，也是治理 * 組織應該有良好正當運作，扮演好社會公民角色 * 包含所有的面向 以及 該如何下決策 Security Gorvernance 安全治理 安全治理要思考的：把資安做好，對你的**價值**在哪邊? 為什麼做資安是有價值的事 資安治理要想， 3~5年後 * 局勢/資安威脅 越來越嚴重還是和緩? * 法令法規管控 越來越嚴格還是寬鬆? :::success 把資安體質培養好，是否會是有價值的事? 可以相對容易面對這些威脅，相對能夠符合法令法規，同業還在傷腦筋，你的組織會更有競爭力 ::: --- ## Corporate Governance P24 公司治理：指導及管理企業的機制，以落實企業經營者的責任，並保障股東的合法權益及兼顧其他利害關係人的利益 公司是誰的? 不是老闆，是全體股東的 > from : 金管會證券期貨局 公司治理簡介 https://www.sfb.gov.tw/ch/home.jsp?id=882&parentpah=0%2C8 --- ### 組織運作有 Goal 目標 * things to achive 要達成的事，例如達成多少營業額 Goal 目標的背後會有景象(picture)，這個景象也叫做 vision願景 實踐這個目標，需要花費時間，也需要很多的行動(act)與任務(mission) * 並不是花了時間和行動就會完成，所以需要查核點 * 查核點在專案管理叫 milestone里程碑，在這邊叫做 objective 目標點 例如目標是賺錢，賺到全世界最有錢好了，那背後的景象是什麼? > 比爾蓋茲退休的願景：我要讓世界更美好 最糟糕的地方是非洲，就去做善事 非洲衛生環境不好，就幫非洲蓋廁所 廁所條件：不要水 不要電 要便宜 比爾·蓋茲把他的「廁所革命」帶到中國 具體而言，就是改善衛生狀況，不用接入排污管網，能把人的糞便分解成肥料的廁所。 https://cn.nytimes.com/business/20181107/bill-gates-reinvented-toilet/zh-hant/ 比爾蓋茲喝糞水！　別懷疑，他把屎變純水和能源 https://www.ettoday.net/news/20150107/448099.htm --- ## 上面那一大塊是企業組織的營運business、運作，但跟資安的關係是什麼 必須找出兩者的聯繫，沒有標準答案 如果公司沒人找出關聯性的話，那公司的資安不知道在做什麼... 看到 business 這個詞，要想到是企業組織的營運 Security is a support function 資安是支援的function 資安應該理解組織的營運和目標，用安全的角度幫助組織安全運作，最終實現組織目標，幫組織產生價值 --- ## Security Governance P26 GovernanceBody 董事會 包含這些 ```mermaid flowchart Monitor ==> Evaluate Evaluate ==> Direct Top_Management ==> Evaluate Monitor ==> Top_Management(Top_Management ISMS Operation) Direct ==> Top_Management ``` Task-level worker * Guidelines FYI * Procedures HOW * Standards WHAT * Policy WHY Build from policy up to procedures Policy 是最高位階的指導總綱，他有兩個特性 * 對外是承諾 * 對內是要求 案例，個資 電商外洩比例很高 個資外洩 5000萬筆 >2008年，警政署刑事局破獲有史以來規模最大的個資外洩事件，包括健保局、教育部等公家單位以及多家電信公司、購物平台的個資，高達五千萬筆資料遭竊。 https://www.ithome.com.tw/news/50625 台灣不是才2300萬人嗎? 代表平均每個人外洩2次 組織連**承諾**都不願意，那組織又怎麼會要求呢 --- ### Policy 政策總綱之後，下面是制度 * Policy的底下有 Functional， 提供**主題明確**的制度框架，包含 * 標準 Standards * 程序 Procedure * 基線 Baseline * 指南 Guideline 如果有 Baseline，那這個Baseline就是最低底線 通常 標準會是一個範圍，有高標有低標，Baseline會在標準內但通常靠近低標 --- ## Operationalizing Frameworks P28 管理系統持續改善的做法 PDCA Plan Do Check Act --- ## Organizational Roles and Responsibilities R&R 角色與責任 P29 責任有幾種? * Accountability 主動承擔的責任，背後有一個 Owner * 有最終決策權限的人 * 也是具有最終責任的人 * 這個責任 包含擦屁股在裡面，例如個資外洩要賠3000萬，是你要賠還是公司負責人? 如果是你，你就是 Accountability * Responsibility 被動的責任，負責 * 這件事你負責，是一個被指派的人 * 要把這件事做好，是一位執行者(保管者) Custodian * Liability 法律責任 * 例如車禍肇逃的人 * 不管你願不願意，就是你的問題 * 正常來說會是 Owner 去承擔，但如果執行者明確違法，那就是 執行者 的問題，例如公司總經理掏空公司 * 被起訴的時候通常會一票人都被起訴，例如某個負責轉帳的人起訴上法庭說 我沒有選擇，是 Owner 叫我做的，可以免責嗎? * 法官認為你不是沒有選擇：他會殺你嗎? 你應該要去舉發他，你明知違法還去轉帳代表你是幫兇 * 法官認為的**我不知道**是業務上你要證明這個轉帳你真的沒辦法察覺他有是在掏空公司 * Obligention 義務，職業道德就是一個義務，身為專業人員你應該有適當的表現，用你的專業幫助他人而非危害他人 > 法律責任案例：《國安法》增列經濟間諜罪最重判12年、罰1億 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030028 ## Due Care and Due Diligence P30 Due Care (Should Do) 應注意而未注意 * Prudent * Reasonable 理由，決策要符合邏輯 * 制定和實施資訊安全政策、標準、指導方針和程序，以保護組織的數據、設備和用戶。 Due Diligence (To Know) 應作為而作為 確保行為有效 * 執行前評估 執行後監控 * 定期檢查和更新資訊安全的狀況，以應對新的威脅和風險。 --- ## 1.4 法令法規 法遵 合規 有人在要求我才要遵守達到合規，要求的部分有哪些類型? * Law,Regulation 例如資安法 個資法 * Regulatory 主管機關：金管會 證期局 NCC ，包含 行政法，行政裁罰，可以找行政法院上訴 * Standard 業界有標準 IoT有62443 資安有27001，支付卡PCI DSS * Contract 合約 來自客戶或供應鍊的要求，生產或提供服務時會遵守這些要求 > 行政訴訟 政府機關敗訴案例 > 兆豐銀行紐約分行2016年遭美國紐約州金融署(DFS)裁罰1.8億美元，金管會解除包括兆豐金前董事長蔡友才等6名高層職務，蔡友才不服提告，一審獲得勝訴。但金管會提出上訴，最高行政法院今(14)日維持原審見解，駁回上訴確定，也創下金管會銀行局敗訴首例。 https://www.cardu.com.tw/news/detail.php?39426 > 評金融控股公司法第65條之2與銀行法第133條之2修正草案──從兆豐1.8億美元裁罰案出發 https://www.angle.com.tw/accounting/regulations/post.aspx?ipost=8164 ## The Legal Enviornment P35 ## Privacy Protection 個資資料掉了對業務單位有影響嗎? 沒有 主要是對個資的個人有影響 需要立法讓業務單位會被罰，才會好好的保護個資 個資法 v.s.資安法 業務單位持有資料及個資： * 個資法外洩會影響各資持有當事人，故個資法適用為所有自然人。 * 資料遺失將影響服務的對象，故資安法有規範適用對象。 * Right to be Forgotten 被遺忘權 * 例如我的私密照在網路上流傳，我希望網站可以幫我刪除 * Data Portability 可攜 * Data Localization 在地化不能帶出其他國家 適足性認證，GDPR認為你的國家有達成才能把資料帶過去 貨貿或服貿service，例如電商就是 service 的一種 如果要求資料在地化，然後又要罰電商把資料帶回去保存，那邏輯就不通了 --- ## Privacy Examples 隱私案例 P38 * 美國憲法第4修正案，任意搜索問題 * 歐盟法律 GDPR --- ## OECD 隱私保護8大基本原則 P39 OECD 經濟合作暨發展組織 經濟合作暨發展組織是全球38個市場經濟國家組成的政府間國際組織 收集個資何時會 或不會 造成侵犯隱私? * 目的 * 範圍 * 告知 * 同意(當事人) 選擇同意或不同意有兩種做法 * opt in 預設不同意，選擇同意 (個資蒐集屬於這一塊) * opt out 預設同意，選擇不同意 > 案例 台灣社交距離 你的個資會傳到平台去，照個資精神 app 應該要 opt in，但如果這樣選不給分享個資，那就沒意義了 可是改成 opt out 又違反個資的精神 ```mermaid flowchart 8(8管理者的責任 ) -->|確保| 2(2資料品質) 8 -->|給予| 5(5安全防護) 8 -->|遵循| 3(3目的規範) 8 -->|制定及告知| 6(6公開原則) 3 -->|包含| 1(1蒐集限制) 3 -->|包含| 4(4使用限制) 6 -->|包含| 7(7當事人的權利) 7 -->|要求| 8 ``` --- ## GDPR 6隱私原則 P40 1. Lawfulness,faitness and transparency 7 8 6 2. Purpose limitation 3 3. Data minimization 1 4. Accuracy 2 5. Storage limitation 4 6. Integrity and Confidentiality 5 --- ## What's Driving Changes in Privacy Laws? 什麼東西驅動改變隱私相關法律? P44 :::info 夠多人受影響才會立法 ::: 台灣想申請GDPR弄適足性，但歐盟認為台灣沒有個資獨立主管機關，所以修個資法增加**個資保護委員會** > 【重磅】韓國初獲歐盟GDPR適足性認定，記者會問答完整回顧 2021年3月30日，歐盟初步認定韓國之個資保護水平與歐盟GDPR相當 https://www.davinci.idv.tw/news/934 --- ## Protecting Intellectual Property 保護智財權IP P46 * 智財權 Music Video film * 保護等級 專利 > 營業秘密 > 著作權 > 商標 * NDA 保密協議 與 授權使用 * 侵權的探討 --- ## Import and Export Controls 進出口管制 P47 例如美國說不可以賣晶片給阿共 進口管制 * 一些國家有限制安全工具 或是包含加密機制的解決方案 * 俄羅斯 中國 烏克蘭通常會被管制 > 課本沒寫通常不會考：北韓 委內瑞拉 伊朗 敘利亞之類跟美國不好的也會被管制 * Export Controls International legal restrictions (Wassenaar Arrangement,1996) --- ## 管理政策的訂定 1.7 Policy procedure standard guideline等等 ## Privacy framework 隱私框架 P50 ## 網路安全框架 P51 * ISO 27001/27002 * CSF Nist Cybersecurity Framework * 台灣定義的關鍵基礎設施 油水電交通運輸醫療金融 * 美國定義的關鍵基礎設施 油水電交通運輸，但醫療金融不算有自己法規 * 所以台灣沒辦法通用說CSF我全都要 * CSA Cloud Security Alliance, STAR Security, Trust, and Assurance Registry * CSF Hitrust Cyber Security Framework 針對醫療 * based on ISO/IEC 27001 and 27002 ## 風險管理框架 P52 * ISO 31000 COSO 企業風險管理 * ISACA Risk * NIST SP 800-37 RMF 風險管理框架 * ISO 27005 * NIST 800-30 --- ## 安全控制框架 P53 * SWIFT's 國際轉帳組織 Customer Security Controls Framework 正常來說銀行之間不能轉帳，所以有一個 財金資訊中心 幫忙國內作轉帳，所以後來成立了 SWIFT ，銀行加入變成他們會員，就可以做金融交易的動作 > 孟加拉銀行遭駭客入侵事件是指2016年2月疑似來自北韓[1]的駭客向環球銀行金融電信協會網路（SWIFT）發出35條欺詐性指令，將孟加拉銀行開設於紐約聯邦儲備銀行的帳戶中近10億美元的資金非法轉出。 > https://zh.wikipedia.org/zh-tw/孟加拉银行遭黑客入侵事件 【遠銀遭駭追追追】從孟加拉央行SWIFT遭駭，剖析駭客攻擊手法 > https://www.ithome.com.tw/news/117384 * PCI DSS 金融支付卡 > 【資安日報】2023年9月13日，手機醫療費用支付App醫指付傳出用戶信用卡遭盜刷，但個資外洩原因有待釐清 > 金管會銀行局指出，「醫指付APP」主打民眾可透過App綁定信用卡，而無須再以現金繳交醫療費用；這是由國內30家發卡行授權給財金公司，並由「財金公司」和「大洸醫院管理顧問公司」、「台灣私立醫療院所協會」所簽屬的三方合約。 https://www.ithome.com.tw/news/158725 * CSA Internet of Things (IoT) SCF * NIST 800-53 ## Operational izing Framrworks P54 遵守 PDCA 把管理制度落實 --- ## 1.9 人員安全控管 ## Personnel Security Policies P58 3P必選 * People 人是最大的問題 * Policise 政策沒落實 * Procedures 缺乏程序 --- ## 人員聘用 背景篩選 P59 程序 1. 先把 Job 寫清楚，不能要求Job以外的工作 2. 查證推薦人 推薦信 3. 聘用歷程 (學經歷 哪邊上過班) 4. 背景查核 (刑事民事紀錄) 5. 經濟狀況審查 (窮人可能會鋌而走險) > 聯邦銀爆「內鬼」勾結詐騙集團遭重罰1200萬元 聯邦銀行（2838）爆內鬼勾結詐騙集團，銀行員涉及與詐騙集團勾結與協助洗錢，7月遭檢調搜索。新北市地檢署發現一退休人員帶三位商號負責人來開戶，連續12天中有8個營業日，每天有2、3百萬元大額匯入提領，累計金額高達4千多萬元，辦理存款開戶及臨櫃提領大額現金作業所涉缺失，2銀行主管也坦誠收受不當利益，金管會今（9）日正式裁罰1200萬元。 https://tw.stock.yahoo.com/news/聯邦銀爆「內鬼」勾結詐騙集團-遭重罰1200萬元-084509021.html 黑產/灰產業 * 例如自動收簡訊 大規模註冊帳號領優惠轉成錢領走 * 台灣寫的盜取個資app程式，機房架設在中國北京的跨國合作詐騙 --- ## 離職宣導 你入職有簽這些，離職後還有效力，所以離職不要作違反的事情 ## 保密協議 P63 * 單向(單方遵守) * 雙向(雙方遵守) 餐飲店燙到人，講好慰問金多少，但不要對外公開 * 團體性(不只兩造 包含多人) 乙方幫甲方代工，乙方公司會簽，乙方工程師會簽，甲方公司也會簽 --- ## Compliance Policy Requirements 合規政策要求 P64 * 要求員工 Acceptable use policies (AUP) 合理使用，範圍包含下列 * 資料存取 * 系統存取 * 外洩 * 密碼 * 資料保存 * 網路使用 * 公司裝置使用 --- ## 隱私政策要求 P65 PII 個資 PHI醫療個資 --- ## 外包商合約控制 P66 * 合約要求 * 教育訓練(這是必要的 應作為而未作為) * 存取限制 * 不同的識別資訊(廠商和正式員工證件要分開) * Escort 全程陪同 --- ## 1.10 和 1.11 風險 ## 定義 風險 P71 風險：**威脅** **利用(exploit)** **弱點** 對 **資產** **造成影響** 的 **可能性** * 資產 * 識別 是你的 是我的 ~~三商巧福~~ * 分級 * 價值 * 重要性 * 威脅 * 蓄意 * APT進階持續威脅 * 軍事化 * 犯罪化 (只是要錢) * 激進主義 為了特定議題去發動攻擊 > Black Lives Matter，可譯作黑人的命也是命、黑人的命很重要、黑人性命攸關、黑人生命珍貴，是一個抗議針對黑人的暴力和「系統性歧視」的國際維權運動，起源於非裔美國人社群。 > BLueleaks 涉及全美200所警局的機密資料在網路上曝光 https://www.ithome.com.tw/news/138417 * 非蓄意 * 弱點 * 0 Day * 1 Day * N Day > 熱戰開始，網路戰會消失? 不對 會打更兇 網路戰包含 訊息戰 和 駭客戰 訊息戰：看影片很多巴勒斯坦小孩死掉，媽媽說以色列都壞人，害很多巴勒斯坦的小孩死掉(戰爭時巴國的大人都不會死...?) :::info 風險不難，但很繁瑣，列出這些東西，到這邊還只是作風險的評估而已 ::: ### 什麼是安全 Security 沒有100%安全，安全也不是**不出事** * 策略性的控制(Control)風險 * 控制風險到可接受程度 * 什麼叫可接受程度? 由管理層(Owner)決定 * 可接受 不等於 不痛 悠遊卡儲值500元在裡面，掉了會不會心痛? 會，但是會儲進去代表可接受 > 搭悠遊卡搭車省事+回饋，長期使用賺到的會大於500元，而且不會天天掉錢，考量好處大於壞處，風險可接受，但不要儲超過500就好 --- ## From Frameworks to Workflows: Risk Managed 72 出不出事不是你決定，只能作風險控制 --- ## Risk Management Framework 73 NIST CSF(2018) Safety 的危害大於 Security 人們對 Safety 通常比較在乎 --- ## Risk Managementy Process P74 資產盤點 * 重要資產 * 資產重要性 風險識別 ... --- ## Risk Analysis 風險分析 P75 * 定性分析 比較之下的結果 我覺得**我家巷口小籠包**比**鼎泰豐小籠包**好吃，比出來的 也可以用給分的方式，例如給1~3分 高中低 比較好分 * 定量分析 給分數(比較難) 需要有個客觀確切的數字(objective numeric value)可以計算，但這個數字的準確程度容易被挑戰，所以比較難評估 --- ## Risk Evaluation 風險評估 P75 風險接受 高中低 --- ## Risk Response / Treament 風險回應 P77 | 選擇Choice | 量測方式Meaning | 同義詞Synonyms | | --- | --- | --- | | 緩解Mitigation | Reduce likelihood or impact 減少可能性或衝擊 | (ISO 27005：Risk Modification)、Risk Reduction | | 避免Avoidance | Cease activities causing risks不要去做有風險的活動 | | | 轉移Transference | Transfer impact to 3rd parties轉移衝擊給第三方，但老師覺得沒有轉嫁，比較像共享風險 | ISO27005：Risk Sharing | | 接受 | Acceptable or more benefit then impact接受 | ISO 27005：Risk Retention | 預算無上限是不合理的，因此採取控制措施一定會做成本分析 --- ## Risk Treatment Decisions P78 :::success SLE = AV x EF ::: Single Loss Expectancy = Asset Value * Exposure Factor 單次預期損失 = 資產價值 * 曝險因子 曝險因子是指造成損失的**百分比** 舉例題目1：如果有客人破壞大廳的共用筆電，筆電價值5萬，修復要花1萬元 SLE就是修復費1萬 資產價值5萬 暴險因子EF就是1萬/5萬 =20% 舉例題目2：我花1000萬建一間3層樓的機房，如果遇到淹水，機房1樓被淹沒，33%的設備泡水報銷 AV資產價值1000萬 X EF曝險因子33%=SLE單次預期損失330萬 :::success ALE = SLE x ARO ::: Annual Loss Expectancy = Single Loss Expectancy * Annual Rate of Occurrence 年度預期損失 = 單次預期損失 * 年度發生次數(一年幾次or 幾年1次) :::info 我的公司從來沒發生過資安攻擊 or 我是新成立的公司，該怎麼評估? 可以找看看新聞或是會計師事務所，看看同類型同規模公司發生的紀錄來估算 ::: --- ## Four Perspectives on Risk 風險的4個觀點 P80 從損害為出發點 * Asset-based 資產導向 * 從這邊的爭議最小，因為資產很容易量化 * 例如資產1億，但保護措施只要100萬 * Outcome-based or Process-based * Vulerability-based * Threat-based --- ## Threat Modeling 威脅模型 威脅建模 P81 目的是預測攻擊，所以要想威脅怎麼發生的 畫 Data Flow Diagram (DFD) 資料流程圖 ，可以幫助找出威脅的路徑 ```mermaid flowchart P1 -->|Flow| P2 P2 -->|Flow| P1 ``` 微軟提出的 Stride 模型 * Spoofing 假冒身分 * Tampering 竄改 * Repudiation 否認 * Information Disclosure 資料外洩 * Denial of Service (DoS) 阻斷服務 * Elevation on Privileges 提升權限 憑什麼微軟講威脅只有這6個分類? 所以應該反過來看 * 好端端的為什麼發生 Spoofing 假冒身分，因為身分鑑別沒作好 *好端端的為什麼發生 Elevation on Privileges 提升權限，因為Authorization 授權沒作好 有CIA 有 AAA 的系統被打不容易出事 --- ## Countermeasure Selection and Implementation P84 * Measure * Control * Safeguard 主動 * Countermeasure 被動 --- ## Applicable Types of Controls 控制措施 P85 三種玩法 * 技術或邏輯：邏輯存在，實際不存在，防火牆、讀卡機、存取控制清單、防毒軟體 EDR * 物理控制：看得到摸的到的，圍牆欄杆鎖具 * 管理控制：管理制度 Policies政策 和 Procedure程序 --- ## 控制措施7類 P86 * Directive：指導性措施 不教而殺謂之虐 * Deterrent 嚇阻：內有惡犬 欄杆有電 攝影中請微笑 * Preventative 預防性措施： * Detective 偵測性措施： * Corrective 更正： * Recovery 復原： * Compensating 替代方案： 問題 -> 分析 -> 方法(3個控制措施 7個方法) -> 工具(防火牆 防毒 EDR ...，改個設定 改個程式都是工具) 工具導向很有效率，但在 cissp 管理思維希望你走左邊流程過來 找出問題 分析 提出方法，因為有方法，才會去選擇對應工具 :::success **工具**可能同時具有多重的控制措施類型，以下案例 路口常發生交通車禍，放一個警察在路口 警察穿著制服 有嚇阻效果 警察看路上大家的車速 有偵測效果 警察把一個超速的攔下來開單 有更正效果 警察幫忙把出事的車子叫了救護車來 有復原效果 紅綠燈被車撞壞了，警察替代了紅綠燈幫忙指揮交通 是替代方案 ::: :::info 考試答題可能情境 cissp的選擇題，常常都是給你 4個都50分~70分的答案，沒有100分的答案，然後叫你選最好的 答案裡面沒有你要的選項，該怎麼選會不好抉擇 例如4台手機哪支最好，我覺得是iphone，但他給你選項是 小米 三星 Google 華碩 ::: ### 資產分類、風險衝擊要分到多細? 牛排幾分熟? 分到7分 7.5分熟也不是做不出來 但是你吃得出來嗎? 吃不出來也不用切這麼細 --- ## Control Selection P87 * Baseline approach:uses predefined sets of controls. * Organization-gererated approach: controls selected strictly for the organization --- ## 最小安全需求 P88 把最小需求寫到 baseline ，所以如何解釋baseline? * baseline 就是最低的安全需求 effective requirements: * Involve stakeholders * specific, realistic, measurable * Recorded and documented * Clear and agreed upon by all sides 明確並得到大家一致同意 > --- ## Example: Data Security Baseline P89 表格不完整，回頭看投影片補寫喔 | 分類 | 高 | 中 | 低 | | --- | --- | --- | --- | | 存取Access | StrongPassword | Passwords | Asset owner-appreved request, review, termination process | | 加密Encryption | | | | 標示Labeling | | | | 監控Monitoring | | | :::info 為什麼要分這麼多? 因為有 Control 就是要 cost，能不花精神做就不要做，省下來灌到重要的地方 ::: ## part of dd & dd P90 * due care 做 * due diligence 必須有效 Assurance --- ## Monitoring, Measuring, and Reporting P91 cissp 用詞是不精準的 Part of the rhythm of risk management * Operational Needs * Management Needs * Compliance/ Regulatory Needs Risk Assessment 是在執行面 PDCA是在 C Check 利用 Due diligence 做Assurance 的成效 check 是否真的有誠意把事情做好 --- ## Risk Maturity Modeling P92 Tough QUestions for Security Team * Are We doing better at managing information security risks? * What is our return on invetment for informationsecurity costs? Neither can be answered if you do not measure your own work 能力成熟度模型（CMM, Capability Maturity Model） 訊息是瞬間變化的，在做這些決策怎麼判斷，做這件是對或不對 有效無效 要找一個共同的方式，所以使用 CMM 能力成熟度模型給你一個方法 透過這個方法去評估所要的成效 --- ## Example Risk Maturity Modeling P93 可以從燈號看狀態，最低就是灰色0分 ，完全沒做  > 圖片來源 https://www.riskmaturitymodel.org/about-the-risk-maturity-model-for-erm/ --- ## 1.12 供應鏈風險管理 P95 * 全球化之下到處都是供應鏈，軟體類有推 sbom * 2023年後來又多推 hbom CISA發布新硬體物料清單框架，強化硬體採購風險管理 https://www.ithome.com.tw/news/159012 --- ## Risks Associated with Hardware, Software, and Services P96 Hardware (硬體斷料問題) * Legacy systems * Hardware support Software * bugs * vulnerabilities Services * Attacking a small supplier can be easier than a large one * Accessing their larger partners provides a high potential reward * 2017 年 04 月 20 日 大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板 https://blog.trendmicro.com.tw/?p=49175 * 2020-01-02 WSJ：中國駭客行動Cloud Hopper規模超乎原先預期 * 中國駭客集團APT10鎖定雲端服務供應商的Cloud Hopper攻擊行動，在2017年曝光後，媒體聲稱目前至少有十多家雲端業者受駭，間接波及數百家企業用戶 https://www.ithome.com.tw/news/135135 --- ## Third-party Assessment and Monitoring P97 Assessment * Gorvernance review * Site security survey * FOrmal Security audit * Penetration testing Standards * ISO 270xx * CSA STAR * AIPCA SSAE 20 從稽核角度來看 稽核有 * 一方 內稽 * 二方 上層稽核 * 三方 外稽 獨立稽核公司 如果一間我公司的供應商，供應商給我的內稽報告不信任，變成我要自己去稽核供應商公司 你有能力稽核嗎? 去稽核對方會不會增加我的公司成本? 將稽核成本轉給對方，請對方找第三方公司稽核，我也能信任第三方稽核 --- ## 上資安學英文時間 認證 Accreditation 驗證 certification 簽證 Attestation * 認證(Accreditation). 指主管機關對某實驗室或驗證機構給予正式認可，證明其有能力執行某特定工作 * 27001沒有認證 只有驗證 * 前面說的AIPCA SSAE 20，SSAE是簽證，來自會計體系 公證體系：在公證體系下，把證書發出來的大家公開都認可 例如度量衡 什麼是1公分，制度訂出來讓大家都信任 這些是人類花了幾十年上百年建立的制度體系 CISSP 證書認可是由美國簽的 Accredited ANAB * ANAB（ANSI NATIONAL ACCREDITATION BOARD）是美國第一個管理體系認證機構。第三方認證機構的 ANAB 認證為那些依賴認證的人提供了可信度和信心。 * 有價值的證照不是亂發的價值就在這邊 --- ## SLA 需求 P98 定義有效的服務 有水準的服務 * must be mutually agreed upon 雙方同意 * must be measured and tested 要可以被量測(衡量) 與檢測 * Best serve recurring, continual requirements. SLA分3類 * Customer-based 不同客戶等級簽不同約 金卡銀卡 * Service-based 按照服務來分，例如netflix 4k畫質 標準畫質 * multi-level-based 多種等級類似套餐，不同服務 不同效果 --- ## 1.13 教育訓練 P103 Three types of Learning * Education 教育(學校教育 養成型的) * Training 技能訓練 * Awareness 認知訓練 高階管理者的訓練 --- ## 回顧 Domain 1 domain1 情境很難 因為拐彎抹腳 問問題的方式很迂迴，被問的人如果誤會問題就會做出誤會判斷 道德題至少考3題，4條守則順序背起來 1.2 CIA定義 登入3A non-repudiation, privacy safety 這些能解決什麼問題 缺乏可能造成什麼危害 STRIDE對應 要把右邊縮寫補完 S > A T > I R > A I > C D > A E > A :::success 投影片 Page24 26 27 拼起來是一個完整的故事 從上到下的方法 * P27 右邊是管理框架 ::: * P29 R&R 角色與責任 * P30 DC & DD * P39 P40 OECD 隱私和GDPR的隱私 自己去做mapping把它連結在一起 * 智財權 * 進出口 加密演算法 長度 * 美國政府對於「具有超過64位密鑰長度，面向的大眾市場加密商品，軟體和組件」的出口，需要依法向BIS進行註冊（75 FR 36494） --- ## Domain1結束，請接 Domain2 https://hackmd.io/@Not/cissp2024domain2