這邊主要放置專有名詞的解釋或是一些參數,讓看考題不清楚專有名詞的時候可以有一些初步的了解
更新:中級考過後補上考試心得
iPAS資安初級沒有到期時間
多數證照其實都有到期年限,iPAS資安初級是少數沒有有效期限的證照
iPAS資安中級是行政院認可的資安證照(民國111年寫這篇的當下都還適用)
中級最大的價值就是行政院認可,因為資安法規定適用範圍公務機關與關鍵基礎設施有規定,資訊服務受託者(委外廠商)應該要有經驗or證照,但經驗很難認可,證照比較好認,所以如果有接公家機關專案具有這個證照比較方便。
iPAS資安中級是成本相對最低的
iPAS資安中級考試兩個考試科目加起來也才3000元(特價或團報更低),
另一張 ISO 27001 資訊安全管理系統主導稽核員認證課程知名度比較高,而且開課單位多,上課五天+考試就有機會取得,時間成本非常低,但上課+考試費定價5萬,而且不但要考過,還要提出一年2次稽核經驗才能變成行政院認可的證照
另一個也是以選擇題為主的 CEH 考試費也高,而且考題僅有英文,也是另一道門檻
如果沒有一定要到國外發展,在國內幫公家機關服務(或者是公家機關正職、約聘雇) iPAS資安中級證照算是很適合的選擇
初級資訊相關科系有好好看歷年考題應該不難取得
我雖然沒有考初級,但看過往考題的心得是範圍約落在大學四年級或是剛畢業,本科系認真看一下應該可以通過的程度,雖然範圍也是廣,但大部分偏名詞解釋,知道某個名詞的觀念即可
如果是想當作認可自己能力是否有到達基礎水準,可以考起來放著
中級過往的通過率約30%
假設以高普考國家考試的公務人員6% 10%的錄取率來說,30%算很高
但往另一個角度來看,大家都已經知道公務人員穩定想去拚看看,所以其實不少人是去碰運氣試看看,iPAS知名度還沒那麼高,先推論會來考的應該不是這一類人,而是稍有準備的
但還是只有30%,所以難度不算容易
iPAS資安中級的考試範圍非常廣
管理、法規、程式、網路都還有涵蓋到,但也因此每一項都不是非常深入,對外行來說,完全不懂專有名詞或是常見參數的話一定會死,會寫這篇筆記也是我在準備時把不懂的名詞記下來,方便加深記憶以及要延伸領域比較好找關鍵字。
在拿到之前我一直很在意的一點,官網上面沒有這張證書的英文版或英文介紹,要寫英文履歷hen不方便
拿到證書的時候才知道完整的英文,放上來給各位參考一下
很可惜這個問題沒辦法正面回答,因為這張資安證照目前還沒有強悍到可以直接決定薪水的程度,對資訊或資安人員來說,薪水影響最大的還是公司或產業,如果選到了賺錢的產業,公司獲利能發得出錢,要談多少薪水都不是問題。
不過還是可以透過參考基準,進一步找出那些產業發得出較高的薪水。在2021年資安大會時,104人力銀行公布了資安相關的職缺、產業及薪資,也提到了資安的職缺和人才都還很少,資料不是很充足,但如果是作到主管階級,平均年齡為35歲,網管主管平均月薪為59,037元;專案管理主管平均月薪則為68,794元;軟體專案主管平均月薪可達80,030元。
https://www.ithome.com.tw/news/144629
我沒有去參加這次考試,是跟朋友看題目後討論比較不好理解的部分,寫下來做跟大家分享
題目強調 工控,所以 B 任何裝置應安裝防毒軟體才能進行連網通訊 一定錯,因為任何裝置都裝防毒在實務上辦不到,工控裝置的特性就是運算效能低落、支援度差,根本沒辦法裝市售防毒軟體,只能靠其他周邊防禦設備幫忙擋。
另外三個選項
(A) 系統 App 需經認證後才能部署使用
© 任何人員需經認證後才能操作營運系統
這裡的兩個認證應該是同時指身分驗證與授權 AuthZ (authorization) and AuthN (authentication),雖然沒有具體提到用什麼方式認證,但概念是正確的
這種選項跟CISSP題目很像,如果選項中沒有明確指出特別的bug,只使用了高階管理概念,那觀念正確就都當正確,就是指不能去挑剔說他的技術細節,例如認證可能不夠強悍,用2FA比較好應該用生物辨識 簡訊驗證碼等等,禁止挑毛病
(D) 不同位置用不同資安管理政策。
這也很合理挑不出什麼毛病,就類似給客人的公用wifi可以連外網,給pos機只能連內網,給信用卡刷卡的機器的只能連銀行之類的
官方答案是B
前面講因為歷史因素,當時沒安全要求,這在實務很常見
題目強調 迅速補強,然後是複選題
C的 重新編寫軟體 這個關鍵字出來就可以確定不能選了,因為編寫軟體一點都不迅速,甚至根本無法編寫也很有可能發生,看看老舊的COBOL都撐多久了…,最重要的是有鈔能力撒錢都不一定能順利重新編寫
其他三個
監控傳輸流量、弱點掃描、增設WAF網站應用程式防火牆(Website Application Firewall)等等,都是花錢就可以搞定,題目只說迅速,沒有說要省錢
官方答案給ABD
大家多少看過這個圖吧,真是萬用
(A) 報告董事會,並尋求董事會的指導
(B) 確定產業的執行慣例,擬定應變作業計劃
© 確認風險並確定補償控制措施
(D) 依據資安管理系統程序,一律禁止例外請求作業
A的報告董事會就先不可能選了,小小資訊室主管,有什麼資格上董事會 ,身為專業資訊主管,應該要先評估適合的方案,無法決定或是需要授權時才是讓董事會指導,資訊專業的部分,董事會怎麼可能比資訊主管懂呢
D的一律禁止也不可能選,一律禁止不通人情
B和C可能會糾結,但B選項的產業的執行慣例這個詞沒有在常見的資安規劃中出現
B後面提到的擬定應變作業計畫 和 C的確認風險並確定補償控制措施這兩個詞來比較的話
執行順序一定都是
所以應變作業計畫的順序比風險還要晚一點
可能會糾結題目問 作業系統標準組態的例外請求 ,這個是什麼呢?
組態的例外請求,隱含的意思代表系統的變更,我們可以抓一個大的來想看看
某空降主管說 "我都不記得密碼,我在前公司做了30年都不用改密碼,所以要求變更,將作業系統的密碼原則棄用,大家通通不用改密碼!"
這時候是要依照產業慣例,擬定應變作業計劃,照大主管說的都不改密碼?
或是
大主管您說的是,我們評估風險後,決定給您特殊待遇(補償控制措施),您連鍵盤滑鼠都不用碰,我們幫您安排三組專屬秘書輪班協助操作電腦,全天守候在您辦公室輔助一切重要決策。
另外這邊是3人份的聘書(處理風險增加的成本)麻煩批一下。
官方答案給 C 確認風險並確定補償控制措施
選項C是考 nmap 指令,但其實我只看過 -sP
,沒看過 -Sp
,而 -sP 是確定主機有沒有在線上,並不一定有在線就是 ldap
可以參考另外一篇nmap指令說明
https://hackmd.io/@Not/nmapparameter
官方答案給 C
這邊我也不太熟,但這三組選項裡,密碼潑灑的特性是會需要密碼名單,所以A一定沒問題
C是因為先獲取了AD的密碼原則,可以增加密碼潑灑的效能(減少無效潑灑),但暴力破解bruteforce其實也適用就是
D的部分是是使用空白的帳號和密碼,這裡有一點差異
其實D也是有使用大量掃的機制,但使用空白帳號密碼去做密碼潑灑,是否算弱密碼、預設密碼的一種就很難說..
官方答案給 D
A是微軟官方的工具
B和C的部分,大家有沒有看過飛飛的鐵人賽文章呢? 如果沒看過的話,可以移駕去看一下
AD Security - [Day27] 一起來學 AD 安全吧!: Domain Controlloer 中 ntds.dit 攻擊手法
D 的 certutil 是憑證 cert 相關的工具,不是用來處理 AD 的
官方答案給 D
工控又來了,前面提到一個工控特性是運算效能低,第二個特性是可用性>>>>>>機密完整
因為工控環境一停工就整個GG,所有機台上的料件大概全部報廢,而且下次還能不能順利開機還要靠祈禱,所以A的考量順序機密性不正確
注意:不是工控工廠不用機密性,是工控機台本身的機密性考量順序較低,工程師或高階主管手上的設計圖雖然很機密,但沒辦法把整份可編輯設計圖的檔案放在工控機台裡
B 虛擬修補 是常見作法,這個意思是指假設我原本有 windows 3.1的實體主機在跑,我把它虛擬化,外層用 windows server2022 包起來,這樣即使3.1上有漏洞,反正windows server 2022幫我擋起來了,外面有更新就好,裡面就…當作沒看到,可接受風險
C 強化網路通訊安全、沒什麼爭議
D 遠端連線必須用VPN、管理所有操作存取權限。
可能會有人說乾脆不開遠端最安全,但經過covid19疫情後,強迫不給遠端的概念已經差不多消失了,這個選項還有提到 操作存取權限 這種高階管理概念,有這種就很難挑毛病。
官方答案給 A
公司ERP早已沒維護合約,廠商說換OS的話舊ERP也不支援新OS,所以OS+ERP要整套一起換
前面是要快要品質,現在是要快和不花錢,先把不太需要用花錢的挑出
甲.增設防火牆 買防火牆要錢
丙.更新修補ERP主機作業系統~ ERP整組壞去沒救了超花錢
選項剩這些
(B) 乙丁戊壬癸子丑寅卯
(D) 乙丁己庚辛壬子寅卯
針對這種很多選項字很長的,優先挑一樣或不一樣的衝突來解比較快,乙丁都一樣就先不看,丙被排掉了不看
戊.更新修補SVR3-NAS主機。
這個選項我不確定,因為不知道NAS版本是不是已經過保,所以先看下一個
己.修補ERP源碼掃瞄的高風險項目 這個就GG了…因為ERP過保,原碼掃描,修補方法是改code,這一定要花錢
到這邊答案已經確定是 (B) 乙丁戊壬癸子丑寅卯
花點時間把全部選項的問題一次列出來
甲.增設防火牆與VPN連線 (X) 買防火牆要錢
乙.教育訓練提升員工資安意識 (O) 口頭教育訓練便宜
丙.更新修補ERP主機作業系統 (X) 過保沒辦法
丁.更新修補所有PC作業系統 (O) 本來就該更新
戊.更新修補SVR3-NAS主機 (O) 如果能更新的話就更新
己.修補ERP源碼掃瞄的高風險項目 (X) 過保沒辦法
庚.設置的DMZ區管理主機 (X) 原本沒有DMZ區,要切新區域又要設管理主機動搖國本
辛.關閉SVR3-NAS共享目錄 (X) 關閉共享大家就不用上班了,影響可用性
王.PC安裝防毒軟體 (O) 雖然安裝可能要錢,但免費防毒還不少,win10都內建了
癸.關閉PC共享目錄 (O) 要共享通通去NAS共享,避免在個人PC亂竄
子.共享目錄設定存取權限 (O) 本來就該設定
丑.關閉非必要的通訊埠 (O) 沒什麼爭議
寅.提高WLAN連線安全設定 (O) 沒什麼爭議
卯.提升使用系統的密碼強度 (O) 沒什麼爭議
官方答案給 B 乙丁戊壬癸子丑寅卯
本題複選
防火牆政策有順序性,前面規則符合的話就會先放行,在白名單的做法中,前面都是允許連線,但最後一條一定是放 Deny All,所以 (D) 戊子寅甲
可以先選起來
A
丙 Allow LAN to WAN
庚 Allow LAN to OT
壬 Allow OT to LAN
這個是僅開放LAN和OT對連,以及LAN可以出去WAN
概念應該是工廠出問題會自動通知LAN辦公室電腦,LAN辦公室電腦可以連去OT操作,以及 LAN 可以連外部的WAN(大概是連去windows更新),都還算合理(不是每個公司都外網全鎖),可以選
B
丁. Deny WAN to LAN
己. Deny OT to VPN
辛. Deny LAN to OT
這個是不好的寫法,除了Deny WAN to LAN可能解釋的過去(避免外面打進來
Deny OT to VPN 可能是避免OT主動把東西拋給委外廠商,只允許委外廠商連過來
但後面Deny LAN to OT,不就辦公室的大家都不用管機器了..
C
癸. Deny OT to LAN
丑. Deny DMZ to OT
卯. Deny DMZ to VPN
乙. Allow All
這個是不好的寫法,最後放Allow All等於沒擋到的通通開放,很可怕
D
戊子寅甲
戊. Allow VPN to OT 允許廠商更新
丁. Deny WAN to LAN 禁止外人進來
寅. Allow VPN to DMZ 允許廠商用DMZ區 (DMZ區本來就是開給外人用的)
甲. Deny All 其他禁止
除了可能對DMZ區不熟題目沒特別講之外,D選項是最理想的都沒問題
話說選項好像都沒提到WLAN…? 報工平板都不用網路的喔?
ipas 畢竟還是台灣政府發的證照,所以會大幅度參考當下的國家政策,這類考題會特別多,2022年時的政府政策和趨勢是 零信任,我的筆記寫的概論位置在這 零信任原則 ,但我這邊只有寫到基礎觀念,需要自己延伸相關知識才夠上場。
千萬不要單純依靠考古題,要留意當年度或前一年度的政府政策,朝這方向準備會事半功倍。
主要用途是防止外部攻擊打入內網,常見的DMZ網路設定是只進不出,可以做到以下事項
以下圖片示意DMZ區以及常看到放在裡面的服務,如 WWW(網站) SMTP(Email服務) DNS(域名系統),並使用兩個防火牆隔在進去與出去的地方
可以拆成 root (最高權限帳號)和 kit (工具),就是取得 最高權限帳號的工具,是一種惡意程式
取得最高權限的行為也被稱作 提權(提升權限),植入rootkit只是提權的其中一種方法
又稱為一句話木馬,使用網頁的型態執行,放進主機且有執行權限後可以任意執行任意程式碼
讓硬碟可以加速或容錯的機制,目前市售nas都可支援這個機制
raid 0 快 (兩倍速)
raid 1 穩 (可壞一顆)
raid 5 又快又穩 (3好1壞)
raid 6 又快又穩又多 (4好2壞)
此通報平台已失效 僅留存
EternalBlue是美國國安局NSA旗下的秘密網路攻擊組織「方程式」(Equation Group)開發的漏洞攻擊方式,最嚴重可允許遠端電腦執行任意程式碼,因為太有價值了,使得NSA遲遲未通報微軟,握在手上長達5年之久。
2016年,駭客組織影子掮客(Shadow Brokers)宣稱竊取了EnternalBlue和另外三個攻擊程式,NSA確認有被竊取才通報微軟
2017年3月,微軟公布修正檔案
2017年4月,影子掮客(Shadow Brokers) 公開 EternalBlue 這個漏洞
2017年5月,勒索軟體WannaCry出現,原理是利用 EternalBlue ,透過微軟伺服器訊息區塊(SMB)協定中的數個漏洞在電腦上執行任意程式碼
https://www.ithome.com.tw/news/130910
這是OpenSSL程式的漏洞,因此雖然跟SSL有關,但是對使用其他演算法或SSL/TLS協議不受影響
正常的heartbeat,會從client端請server回傳如bird的字,但惡意攻擊可以嘗試要求更長的字,server就會把暫存記憶體中bird後面的字一併取出來,最大長度64K,如底下範例,可能會從記憶體中取出key、帳號密碼等資訊,但因為記憶體暫存內容是不固定的,所以駭客不一定100%能取得想要的資訊
Office 2007,微軟變更了顯示與編輯方程式的方法,但並未移除過時的Eqned.exe(可於文件中插入及編輯方程式)。這個老舊的Eqned.exe並未受到Windows或Office安全機制的保護,因此且可攻自2000年以來任何Windows平台上各種Office版本的攻擊程式。若使用者打開惡意的word檔案時,就可以用該帳號執行任意程式碼。
https://www.ithome.com.tw/news/118298
惡意發起電腦會假裝自己是router,一直告訴同區網的電腦可以從這邊出去,但收到封包後就不再轉傳,讓區網內的電腦無法真的送資料出去,造成內部區域網路癱瘓
https://sisley0921.pixnet.net/blog/post/13117969
初級應該是必考,要背兩邊的名字和協定
md5 sha1 sha 224
sha 256以前的皆已不安全
SHA256 bit (32 bytes)
SHA384 bit (46 bytes)
SHA512 bit (64 bytes)
NTLM (Microsoft's NT LAN Manager)是微軟的密碼hash方式,演進過程是
參考資料
惡意程式常常會將程式碼利用不同的編碼轉換,躲開自動掃描的防毒軟體檢測,或是讓嘗試用搜尋找原始碼的資安人員不容易搜尋到,以下列出常見的編碼轉換
原始文字
<script><script>
url encode
https://www.url-encode-decode.com/
%3Cscript%3E%3Cscript%3E
html encode
https://emn178.github.io/online-tools/html_encode.html
<script></script>
UTF8 Encode
https://www.browserling.com/tools/utf8-encode
\x3c\x73\x63\x72\x69\x70\x74\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e
UTF16 Encode
https://www.browserling.com/tools/utf16-encode
\u{3c}\u{73}\u{63}\u{72}\u{69}\u{70}\u{74}\u{3e}\u{3c}\u{73}\u{63}\u{72}\u{69}\u{70}\u{74}\u{3e}
base 64 encode
https://www.base64encode.org/
PHNjcmlwdD48L3NjcmlwdD4=
可以從 exploit-db 找相關的語法,copy貼到 google 就可以直接使用了
example: 有機會找到職稱、姓名、電話、分機
site:drive.google.com intext:資安事件
https://www.exploit-db.com/google-hacking-database
有些代理商會說全名是 test access point 或 terminal access point
在網路孔上安裝後,可以把所有流量複製一份出來到其他設備上處理
優點:網路孔裝上去就完成了。不用做什麼處理。
缺點:物理安裝的時候網路會中斷,或是要監控的東西在VM裡沒辦法裝
SPAN 是第 2 層和第 3 層交換器的一部分。用軟體邏輯的方式進行處理,因此需要在設備上設定要鏡像(複製)的數據。
優點:可以把SPAN拉到較遠的地方佈署,網路有通過去就好
缺點:資料量可能比TAP少
把設備放在必經的網路線路上,所有訊號都一定要經過這台設備,因此如果發現有異常攻擊或行為,設備可以禁止該流量做阻擋
優點:可以阻止訊號
缺點:這台設備壞了網路就斷了
把設備裝在必經的網路線路上,並且由這台設備自己當作router,底下有自己的子網路ip,外部設備看不到裡面的還有多少設備
優點:可以阻止訊號,外面的訊號無法掃到後面還有多少設備
缺點:這台設備壞了網路就斷了,必須要在這台設備上做網路設定,沒辦法從上層的router統一管理
參考資料
兩者都可以讓對方主機不知道使用者端的ip
proxy和client端無加密,故isp公司有機會看到內容
vpn需在client端安裝加密軟體,因此從離開client端開始的訊號都是加密的
client———無加密——proxy——server
client———加密———vpn———server
proxy可以暫存網頁資料,因此可以減少向對方server要求的訊號量,對client端來說存取速度有機會比vpn快
client———proxy——省頻寬———server
client———vpn———耗頻寬———server
現行DDoS不太透過超大流量來發動攻擊,而是鎖定網路系統漏洞或是協定機制的缺陷進行攻擊。此類攻擊包括
SYN Flood攻擊是在TCP連線三向交握通訊模式中,跳過傳送最後ACK資訊,或是在SYN裡面透過假造的IP位址,讓伺服器發送SYN-ACK封包到假造的IP位址,所以永遠無法收到ACK的資訊。透過這樣的方式,伺服器可能會花很多時間等抄收通知,造成網路的壅塞讓網站癱瘓。
複習tcp三向交握 SYN > SYN/ACK > ACK
Fragment Packet Flood是指攻擊者透過發送極小的封包碎片繞過過濾系統或者入侵檢測系統的一種攻擊手段。
Slow Attack攻擊就是攻擊者利用通訊協定中的漏洞,對攻擊目標的伺服器建立較緩慢的網路連線,並且刻意將回應時間拉長讓伺服器無法完成網頁的需求,占用網路的連線來耗盡攻擊目標的系統資源,造成攻擊目標的網路癱瘓,就像是一般人打給客服專線詢問事情,但會故意放慢速度說話占據電話的線路
Exploit就是攻擊者利用網路設備或是系統的漏洞攻擊。
http2 使用新的QUIC機制,不使用3向交握,速度會更快
通常目標是特定的團體(組織、行業、地區等)。攻擊者首先通過猜測(或觀察)確定這組目標經常訪問的網站,然後攻擊者入侵其中一個或多個這些網站,植入惡意軟體,藉此讓目標中的成員被感染。
由於此種攻擊藉助了目標團體所信任的網站,攻擊成功率很高,即便是那些對魚叉攻擊(專為該團體特製的釣魚郵件)或其他形式的網路釣魚具有防護能力的團體也很可能被水坑攻擊打成功。
SSH 是 應用層傳輸協定(跟 http 同層),預設port 22
SSL(Secure Sockets Layer) / TLS(Transport Layer Security) 是 傳輸層安全性協定 (跟TCP、UDP同層),預設port 443
SSL 3.0 後繼是 TLS 1.0。最新的是TLS1.3。
2021年1月,美國國安局NSA建議僅使用TLS 1.2或TLS 1.3,不得使用SSL 2.0、SSL 3.0、TLS 1.0及TLS 1.1。
https://www.nccst.nat.gov.tw/NewsRSSDetail?seq=16508
TLS 1.2 先傳好金鑰在傳資料,272ms
TLS 1.3 用keyshare交換金鑰同時傳送資料,204ms
它是一組用於從來源地址到目的地址傳輸郵件的協定,通過它來控制郵件的中轉方式。
SMTP 協議屬於TCP/IP 協議組,預設port 25
伺服器會保留內送的電子郵件訊息,直到使用者檢查電子郵件為止,而郵件會在那個時候傳輸到使用者的電腦。POP3 是個人電子郵件最常見的帳戶類型。郵件通常會在使用者檢查電子郵件時,從伺服器刪除,Outlook常用
伺服器可讓使用者不需先將電子郵件訊息下載到自己的電腦,即可使用這些訊息。使用者可以直接在電子郵件伺服器上預覽、刪除及組織郵件,而且複本會儲存在伺服器上,直到使用者刪除郵件。IMAP 常用於商用電子郵件帳戶。
https://akikazeshao.gitbooks.io/note/content/smtppop3_imap_lian_xian_fang_shi_3001_yuan_li.html
八大關鍵基礎設施
國家關鍵基礎設施領域分類 - 行政院國土安全政策會報
https://ohs.ey.gov.tw/File/79A79307409FF32C
臺灣產業園區列表 (有科學園區與工業區列表)
https://zh.wikipedia.org/wiki/臺灣產業園區列表
CVE 是與資訊安全有關的資料庫,上面收集了資安弱點及漏洞,並且會有編號方便查閱。
CVE編號格式固定為 CVE-YYYY-NNNN Y為西元年,N為編號,N不足四位時前面補0。從2014年開始,必要時可編到五位數或更多位數。
以下使用 CVE-2019-19781 為例
https://nvd.nist.gov/vuln/detail/CVE-2019-19781
這份CVE完整內容包含這些資訊
ipas資安考試曾經只擷取一部分資訊,詢問圖中有包含或未包含的資訊有哪些,實際考試須留意考題附圖
如果要寄一封用pgp加密的郵件給對方,通常對方會先公開他的pgp key,使用這一串公開金鑰加密資料後傳給對方,對方會用自己的私密金鑰解開
例如想要通報資安事件,需要寄送機密文件給twcert,可以使用他們官網公開的pgp key來進行加密
當然,這樣的寄件方式需要使用支援pgp的軟體來達成,以下是軟體下載網站
PGP運作在應用層,常用在電子郵件加密,PGP本身是商業應用程式,同類開源工具名為GnuPG(GPG)。PGP及其同類產品均遵守OpenPGP加解密標準。
PGP用的是IDEA加密法. 其免費版僅供個人與非商用使用。
GPG(Gnu Privacy Guard)從PGP改寫, 捨棄IDEA而改用較低運算成本且較安全的AES(Advanced Encryption Standard)加密法,完全免費Free.
GPG更比PGP相容於聯盟http://openpgp.org/的標準。
by bizpro from https://ithelp.ithome.com.tw/articles/10122773
PGP協定並不採憑證管理中心(CA)架構,他讓每個使用者產生並公開自己的公開金鑰,寄件者用它人的公開金鑰加密,其他中繼單位無法解開相關內容。
相似的協定還有S/MIME。
公開金鑰加密和 PGP 簡介
https://ocftw.github.io/ssd.eff.org/zh_TW/module/introduction-public-key-cryptography-and-pgp.html
電子郵件加密:PGP 和S/MIME加密的區別
http://read01.com/xDkeLDM.html
layer 2 交換器可能會採用兩條線路,增加多一條線路避免其中一條斷掉就全部斷線,但兩條串在一起會造成廣播封包重複發放,stp協定就是自動調節線路用的,他會將某一台 switch 當成root根結點(人工或自動運算都可),藉此修正問題。
受害電腦(惡意電腦)會將自己偽裝成是root根節點,讓所有switch都將訊號送給這台電腦,可以達到以下三種攻擊
以Cisco設備來說,可以利用 RootGuard、BPDU Guard 或 BPDU Filter 等方式,限制信任的 switch 或不允許更動 BPDU 進行防護,更多說明請見保護 STP Topology
Day 15 連結層攻擊實作 - STP Spoofing
https://ithelp.ithome.com.tw/articles/10247179?sc=iThelpR
Spanning Tree Protocol Attack 生成樹協定攻擊
https://www.jannet.hk/zh-Hant/post/spanning-tree-protocol-attack/
必須知道 (need-to-know) 知道該知道的就好
可歸責性 (accountability) 知道"誰"做的
可追溯性 (traceability) 知道"做了什麼"
最小授權 (least privilege) 操作權限越少越好
職務區隔 權責區隔 職責分工 (Segregation of Duty,SOD) 確保責任歸屬 (一個執行一個審核)
https://dotblogs.com.tw/dotjason/2009/04/29/8240
登入帳號後,頁面跳轉到網站首頁或回到前頁面的經驗,這就是「重定向」( Redirect )。
「開放式重定向 Open Redirect 」的漏洞,就是 redirect_uri 重定向的網址便可以被駭客指定到一些惡意的網頁,就會破壞整體的瀏覽體驗。
例如原本的網站是 example.com ,但是因為 redirect_uri 網址被修改導向到 hacker.com,example.com的程式沒有做好驗證,就讓使用者在正常的網站輸入完帳號密碼後,反而跑去了惡意網站
參考文件
一、網路架構檢視
二、有線網路惡意活動檢視
(一) 封包監聽與分析
(二) 網路設備紀錄檔分析
三、使用者端電腦檢視
(一) 使用者端電腦惡意程式或檔案檢視
(二) 使用者電腦更新檢視
(三) 使用者電腦組態設定檢視
四、伺服器主機檢視
(一) 伺服器主機惡意程式或檔案檢視
(二) 伺服器主機更新檢視
五、安全設定檢視
(一) 目錄伺服器 (如:MS AD) 組態設定檢視
(二) 防火牆連線設定
https://www.chtsecurity.com/service/m704
這個攻擊會吃掉Server CPU資源,造成DoS阻斷服務的效果
利用的方式是OWASP Top10 2017新列上去的 A4 XML外部處理器漏洞
但其實這類利用xml解析問題在2002年就有公布出來,當時是針對 SOAP/WebServices 伺服器
2019年的CVE-2019-11253揭露這項攻擊會針對容器(Container)的 kubernetes 進行攻擊,如果有使用到 v1.0-1.12及v1.13.12、v1.14.8、v1.15.5、v1.16.2 這幾個版本以前的要留意
XML語法
YAML版變體
如果直接把xml丟進去 xml解析器,那的確有可能會讓運算主機吃掉一大堆cpu和記憶體,但如果僅使用純文字的方式來讀取就沒有問題
不過解析器也是有對應的更新處理作法,以 C# 的 xmlReader 為例,使用 MaxCharactersFromEntities = 1024 可以擋下這樣的攻擊
詳細請參考以下文章
https://www.netadmin.com.tw/netadmin/zh-tw/technology/B4332BC2247649C4A562C62129BB09ED
三大管理原則
1.消除網路既有的可靠信任原則:在流量被認可之前,無論位置如何,所有流量都被視為威脅流量。
2.存取權限最小原則:採用最小權限策略並嚴格執行管理權限,以允許使用者僅存取執行其工作所需資源。
3.可視性及分析:透過持續調查和記錄所有流量來監控惡意活動,並提供即時保護,而不僅僅是外部流量,內部流量亦同。
四大支柱
五大架構
1.Zero Trust Networks(網路)
2.Zero Trust Devices(設備)
3.Zero Trust Users(使用者)
4.Zero Trust data(資料)
5.Zero Trust Workloads(工作流/負載)
零信任安全架構成熟模型
第 6 條
資通安全維護計畫,應包括下列事項:
一、核心業務及其重要性。
二、資通安全政策及目標。
三、資通安全推動組織。
四、專責人力及經費之配置。
五、公務機關資通安全長之配置。
六、資訊及資通系統之盤點,並標示核心資通系統及相關資產。
七、資通安全風險評估。
八、資通安全防護及控制措施。
九、資通安全事件通報、應變及演練相關機制。
十、資通安全情資之評估及因應機制。
十一、資通系統或服務委外辦理之管理措施。
十二、公務機關所屬人員辦理業務涉及資通安全事項之考核機制。
十三、資通安全維護計畫與實施情形之持續精進及績效管理機制。
第 8 條
資通安全事件調查、處理及改善報告,應包括下列事項:
一、事件發生或知悉其發生、完成損害控制或復原作業之時間。
二、事件影響之範圍及損害評估。
三、損害控制及復原作業之歷程。
四、事件調查及處理作業之歷程。
五、事件根因分析。
六、為防範類似事件再次發生所採取之管理、技術、人力或資源等層面之措施。
七、前款措施之預定完成時程及成效追蹤機制。
第 11 條
重大資通安全事件,應載明事件的
有下列情形之一者,不予公告:
一、涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或公開有侵害公務機關、個人、法人或團體之權利或其他正當利益。但法規另有規定,或對公益有必要,或為保護人民生命、身體、健康有必要,或經當事人同意者,不在此限。
二、其他依法規規定應秘密、限制或禁止公開之情形。
第一項與事件相關之必要內容及因應措施含有前項不予公告之情形者,得僅就其他部分公告之。
資通安全管理法施行細則-全國法規資料庫
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303
資通安全維護計畫範本
https://nicst.ey.gov.tw/Page/7DDA83CEE9EAB67E
把Hash的結果再丟去Hash
用途:
https://zh.wikipedia.org/wiki/哈希链
於個人資料侵害發生時,控管者即應依第 55 條向監管機關通報, 不得無故遲延,且如可能,應於發現後 72 小時內通報,但個人資料 侵害無造成對當事人權利及自由之風險時,不在此限。於未於 72 小 時內向監管機關通報之情形,通報應附遲延之理由。
https://gdpr-text.com/zh/read/article-33/
URL = 網址
A B
19 (複選題) 某 AI 開發新創公司規劃在 Microsoft Azure 雲端建立「儲存體」存放公司資料,與美國分公司進行資料分享,希望依賴 Microsoft Azure 既有備份備援機制,並進行相關風險評估與技術應用需求, 若從資訊安全管理系統評估提出適宜之備份方案,下列敘述哪些較佳?
( A )在雲端儲存體服務上 Microsoft Azure 提供本地備援儲存體( Locally-redundant storage, LRS) 機制,不需要再建立可讀取備份機制
( B ) Microsoft Azure 提供異地備援儲存體( Geo-redundant storage, GRS),可以滿足異地備份安全規定,大幅降地風險,且分屬在不同地區,距離相距 300 公里以上
( C ) "讀取權限異地備援儲存體"和"異地備援儲存體"(RA-GRS和GRS ) 不提供隨時讀取備份資料,需要移轉至次要區域時,才能提供存取。
可以理解成 異地備援的東西,不可能隨時讀取,一定需要某種程序(切換、搬移、轉移)等手續後,才能讀取。
( D ) Azure 所提供 LRS,屬於即時同步備份機制,且備份成三份資料,而 GRS or RA-GRS 則屬於非同步備份機制
所謂的非同步複製,是將資料寫入近端磁碟,同時立刻回應給應用程式,再將異動資料送至遠端更新,缺點是寫入遠端磁碟之資料不保證可用,因為資料寫入至磁碟系統可能没有依照順序(許多資料庫系統完整性有時序限制)。
微軟不論是LRS、GRS或RA-GRS,都是先在近端磁碟同步複製三份,確定資料正確寫入後,GRS和RA-GRS會用非同步複製到另一個區域(跨國機房)。
如果非同步複製的傳輸過程中,主要區域掛了,的確可能造成一部分資料損失,Azure 儲存體的 RPO 通常低於 15 分鐘,但目前並沒有關於將資料複寫至次要區域所花費時間的 SLA。
答案 A B D
20. 某公司規劃成立新的國際數據資訊中心( International Data Corporation, IDC),委請外包廠商針對風險評估與分析結果提出建議調整方案,關於外包廠商提出之建議,下列敘述哪些較「不」 合適?(複選)
(A) 建議設計柴油發電機組與 UPS 電池室於地下室,並設有排煙口於一樓停車場旁,降低噪音與空汙問題
(B) 建議在 12 頂樓設有一台水冷式冷氣機
© 建議機房採指紋門禁管制進出電動門
(D) 建議消防氣體採二氧化碳氣體,當火災發生時會緊閉機房,噴射滅火氣體
解析
A 發電機放地下會淹水故障,柴油排煙拉到一樓空污排給給行人沒意義
B 水冷放頂樓,漏水會滲下來
D 火災時無論如何都不能關門,怕有人在裡面逃不出來
答案 C
24. 題組背景描述如附圖。 A 集團在事前投保網通保險(Cyber Insurance),
可使損失有效降低,關於網通保險,下列敘述何者「不」正確?
(A) 屬於風險處理中的風險分擔( Risk Sharing)
(B) 可將處理事發後的成本納入保單範圍
© 可將商譽損失納入保單範圍
(D) 可將後續訴訟成本納入保單範圍
解析
資安險畢竟還是很新的產業,"網通保險"可能也還不是一個既定名詞,不論寫對寫錯,知道有這樣的東西,未來怎麼跟保險公司談比較重要。
ithome 討論 第二格的圖包含商譽損失
https://www.ithome.com.tw/news/116740
因危機溝通和聲譽降低而產生的花費
https://www.chubb.com/tw-zh/business/cyber-insurance.html
Cyber_insurance 內的 Types 包含 Reputation Insurance
https://en.wikipedia.org/wiki/Cyber_insurance
A B D
31. 題組背景描述如附圖。依據行政院技術服務中心 109 年第 4 季資通安全技術報告,統計分析現況資安威脅發現, 以「非法入侵」(占 56.39%)類型為主,排除綜合類型「其他」外,其次分別為「設備問題」(占12.78%)」與「網頁攻擊(占 6.77%)」為主要通報類型。請問下列哪些作為可以大幅減少 C 公司電子商務的資安威脅?(複選)
( A ) 建立完整的帳號管理與密碼規範,並重新檢視各系統所有使用的操作權限,將權限設定最小化強化帳密管理
( B ) 確認做好 DMZ 區域與內網安全存取管理,將網頁服務與資料庫分區管理,減少交易資料與個資洩漏
( C ) 電子商務軟體進行軟體弱點掃瞄,且針對程式弱點進行網頁程式修改,減少商業邏輯漏洞
( D ) 結合 IPS 入侵防禦系統、 WAF 應用程式防火牆、 AV 防毒系統、郵件防護系統建構多層次防禦架構
解析:
可能因為題目說"大幅減少",C的弱點掃描能夠涵蓋的範圍的確是這4個裡面相對少的
C
32. 題組背景描述如附圖。營運持續管理的資訊安全構面在於防治營運活動的中斷,保護重要營運過程不受重大資訊系統失效或災害的影響,並確保及時的回復,關於營運持續,下列敘述何者較「不」正確?
( A ) 依據 ISO/IEC 27001 規範提出組織持續營運所需的資訊與資訊安全要求、並識別能導致營運過程中斷的事件,以及它們對資訊安全的衝擊與後果
( B ) 遵循 ISO/IEC 27001,組織應考量多重備援之方案,規劃資訊處理設施之可用性的相關控制措施
( C ) 參閱 ISO 22301 營運持續管理系統的框架,組織擬訂之營運持續計劃( Business Continuity Plan, BCP)應必須包含:計劃啟動條件、緊急應變程序、減災程序、後撤及召回程序、維護時程表、定期演練以及教育訓練等相關作業
( D ) 組織發展與執行 BCP 持續營運計劃時,除關鍵活動中斷或設備障礙需於必要時間內恢復營運,也應定期測試與更新,以確保持續的適當性、充分性、及有效性
解析營運持續計劃( Business Continuity Plan, BCP)應包含這些
B C D
33. D 公司因疫情影響,決議導入居家辦公系統,依據 ISO/IEC 27001 之規範,下列哪些行為是 D 公司應進行之事項?(複選)
( A ) 新系統導入後,須重新申請 ISO/IEC 27001 之驗證
( B ) 審查資安政策確認其合宜性
( C ) 針對此變化進行風險評估
( D ) 審查與訂定並執行遠距工作的政策及支援之安全措施
解析
A的居家辦公系統還沒有到影響"整個驗證範圍",所以不需要重新申請
D
37. 題組背景描述如附圖。某日 A 公司員工發現收到附圖的電子郵件勒索信,請問 A 公司是受到下列何組織/集團的加密勒索?
(A) Revil
(B) Conti
© DoppelPaymer
(D) 無法確認是否真的是加密勒索
解析:這題乍看之下是考你有沒有看過各種畫面,實際上是要考你收到信,不要急著下定論,先靜下心來檢查是否有損害,損害範圍和影響程度等等
C
38. 依據「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」新修訂的條文,第四條第一項第二十六款所述「發生災難、集體抗議、罷工、環境污染、資通安全事件或其他重大情事…」的規定,下列敘述何者較為正確?
(A) 此為臺灣證券交易所股份有限公司的內部規範,不需要依規定進行訊息揭露
(B) 只要是資通安全事件,皆應依規定發佈重大訊息
© 應進一步評估是否構成造成公司重大損害或影響,再確認是否需公開揭露
(D) 重大訊息揭露與否屬於內部控制範疇無需進行資訊揭露
解析:
A:這不是內部規範,是要求有價證券公司
B:什麼事件都公開會太多垃圾訊息
C:進一步評估是否重大是因為不需要,同時如果涉及營業秘密、個資等等還是需要先行處理,而不是全部公開
D:如同A,這個規定不只是內部控制,是要求有價證券公司需要公開
B D
3. 使用公眾網路上網時應該注意下列哪些事項以防範公眾網路的中間人攻擊( Man-In-The-Middle Attack, MITM)? 1.使用 WPA3 最新一代Wi-Fi 安全技術,保護通訊安全、 2.避免瀏覽未加密的網站,減少資料被竊取風險、 3.使用虛擬專用網路( VPN)連接公司網路或專屬系統、 4.網路驗證採用雙因子認證,減少帳密被竊取的問題
(A) 1、 2
(B) 1、 3
© 2、 3
(D) 3、 4
解析:最新的 WPA3 有支援 wifi enhance open,的確有機會防止中間人攻擊
https://www.wi-fi.org/zh-hant/news-events/newsroom/wi-fi-certified-enhanced-open-wi-fi
A C
4. 關於 SQL 資料庫中常見的攻擊,下列敘述何者「不」正確?
(A) OOB 注入攻擊( Out of Band),屬於 inband 的注入模式
(B) SQL 注入類型區分成 Boolean-based blind SQL injection、 Errorbased SQL injection、 UNION query SQL injection、 Stacked queries
SQL injection、 Time-based blind SQL injection
© Error-based SQL injection 屬於 inband 的注入模式,被戲稱盲注入
(D) OOB 透過其他傳輸方式來獲得資料,如:利用 DNS 解析協定和
解析:Error-based SQL injection 是指利用回傳的錯誤訊息來獲得sql injection是否成功或是注入情形資訊,這是屬於 in-band 沒錯,但不是盲注入(bind injection),盲注入是完全不知道錯誤訊息,利用sleep指令或是其他方式,觀察主機是否有停頓的現象來判斷注入是否成功。
B
15. 下列何種檢測方式較「不」能證明網站防禦機制跟企業認知的資安防護程度一樣好?
(A) 網站弱點掃描
(B) 主機弱點掃描
© 滲透測試
(D) 網頁源碼檢測
解析:主機弱點也是網站防禦機制的一環 (https)
D
6. 入侵檢測系統( Intrusion-Detection System, IDS)與入侵預防系統( Intrusion Prevention System, IPS)具監測及防禦的雙重功能,可即時偵測到攻擊事件的發生, 並中止或阻絕入侵行為,包括自動攔截棄置攻擊封包,下列敘述何者較「不」正確?
(A) IDS 防禦方式為被動監聽( Passive sniffer mode)
(B) IDS 防禦動作可透過 TCP reset 來中斷連線
© IPS 防禦方式為主動防禦( Active in-line mode)
(D) IPS 防禦動作為通知防火牆丟棄惡意封包、中斷連線
解析:IPS 因為是主動防禦,所以可以直接阻斷連線,不用通知防火牆。IDS才是透過發送TCP reset封包給防火牆阻斷封包。
C
8. 關於零信任安全架構( Zero Trust Architecture),下列敘述何者「不」正確?
(A) 零信任基礎認知,也就是假設不信任任何人為前提的安全架構
(B) 從網路到裝置都是零信任控制點。換言之,不管是連接裝置、應用程式或是組件,都視為威脅向量,必須經過認可及驗證
© 零信任包含:網路、設備、使用者、資料,不包含 Workloads
(D) 零信任安全架構四大支柱:身分可信、架構可信、存取可信、服務可信
解析:零信任有包含 Workloads
詳見 零信任原則
B
12. 關於網站應用程式之資料安全性,下列敘述何者正確?
(A) 網站應用程式所使用之安全傳輸協定( HTTPS),目前最新版加密層協議為透過 SSL 3.0 實作
(B) HTTPS 協議需透過金鑰交換機制(如: RSA 非對稱加密演算法)取得用於加密資料之密鑰(如: AES 對稱加密演算法)以確保傳輸效能
© HTTPS 協議僅可保護應用程式傳送之資料內容,攻擊者仍可透過竊聽攻擊( Sniffing Attack)獲取未加密之表頭資訊( HTTPHeader)
(D) 使用者密碼若透過 HTTPS 協議傳送,即可保護其不受攻擊者竊聽,因此可明文儲存於網站應用程式資料庫中
解析:B 的金鑰交換機制(RSA+AES) 是 數位信封(Digital Envelop)和數位簽章的機制,與https協議使用第三方數位憑證中心取得憑證的驗證方式不同
可參考這篇
https://ithelp.ithome.com.tw/articles/10188528
B
15. 下列何種檢測方式較「不」能證明網站防禦機制跟企業認知的資安防護程度一樣好?
(A) 網站弱點掃描
(B) 主機弱點掃描
© 滲透測試
(D) 網頁源碼檢測
解析:主機弱點與網站防禦機制無關;雖然滲透測試似乎也跟網站不完全相關,不過至少滲透測試有機會測到網站+主機,單只有主機弱點掃描是無法覆蓋到網站防禦的
A B D
16. 暴力破密( Brute-Force)攻擊是最需要大量運算資源的攻擊手法,下列哪些作法能有效避免暴力破密攻擊?(複選)
(A) 密鑰延伸( Key stretching)
(B) 密碼複雜度要求( Password Complexity Requirements)
© 雜湊演算( Hashing)
(D) 加鹽( Salting)
解析:密鑰延伸就是讓密碼運算時更消耗資源(減緩運算時間)的hash演算法分類,常見的有 PBKDF2 bcrypt scrypt Argon2
資安