# [筆記] 中華資安教育訓練 日期：2021/12/01 - 一開始定義安全需求 - 資訊安全維度：機密性 - 軟體品質 - CIA - 機密（未授權使用者不能存取） - 完整（不被竄改寫入） - 可用（權限使用者可使用） - AAA - Identification（宣稱） - Authentication（認證、證明，生物特徵、two-factor、指紋，有、知、是） - Authorization（授權） - Accounting（紀錄） - Risk - 威脅、漏洞、有形無形資產受影響 - 威脅模型分析（STRIDE：假冒、竄改、否認、資訊洩露、拒絕服務、提高權限） - 影響、機率（大小，滲透測試、資安健診） → 風險高低 - 處理： - 迴避：不要系統 - 轉移：不要自己做會員 - 降低 - 接受 - 評估關鍵功能和定義設計原則 ## SDLC / SSDLC - 多數公司在測試和上線時候才注意資安 - 85% 的漏洞都是開發時候產生，但都是後期才找出來 - 測試只能證明系統有漏洞 - 控制 - Microsoft SDL - 安全需求 - 威脅模型 - 靜態分析：分析程式碼、資料流（開發片段） - 動態分析：滲透、弱點測試 - OWASP SAMM - 組織制度流程面的指引、流程、標準、政策 - Security + DevOps - 資通系統防護標準 ## 安全需求 - 來源：國家法規、產業行規、組織內規、資安框架 - 法規 - 國內：個資法、資通安全管理法 - 國外：GDPR、DPD - 行規 - 國內：工業局物聯網相關標準 - 國際：IEC 62443 - 需求追朔矩陣 - OWASP ASVS：定義有所依循 - L1：基本要求 - L2：敏感資料 - L3：交易需求 - DREAD（微軟威脅模型） - 威脅模型：進入點 - UML 分析安全設計 - User case diagram 使用情境 - Sequence diagram：實際資料流 - Abuse case diagram：加入攻擊者手段 - 來自測試環境的攻擊 - 安全設計原則 - Weakest link：系統安全性取決於最弱的 - 最小權限 - 故障安全機制：遇到異常的處理機制 - 經濟架構：error 和程式碼正相關 - Complete mediation：需要認證的頁面需要重新檢查權限 - Defense in Depth：層層防禦，不要依賴上下層 - Open Design：使用已知沒有問題的安全框架 - 權限區隔：改變重要狀態要多人簽核 - 最小共用：不相干模組不要共用 - 合乎使用情境：設計複雜系統在開發上容易繞過設計 ## 安全開發與測試 - 測試方法間關係 - 主機弱點掃描：版本、設定的已知漏洞 - 網頁弱點掃描：表單、SQL Injection 等，原理是爬頁面找 input（黑箱、漏看） - 源碼掃描：動態檢測覆蓋率低，靜態測試補強 - 開源軟體檢測：檢查第三方套件漏洞 - 滲透測試：前四項自動化檢測無法檢查權限和商業邏輯 - 紅隊演練：市面測試只針對單一系統測試，紅隊演練沒有範圍，包含整體架構、場域、人員 - 檢測結果和事實狀態：誤報和漏報 - 分析工具 - Gartner Report - 原始碼弱掃：控制流、資料流 --> tainted 分析 - 完整程式碼建立資料流 - 針對特定程式語言 - 網頁弱點掃描：製造攻擊、分析回應 - 滲透測試： - OSSTMM - blind, tandem, double blind, reversal - 分析需求設計測試情境 - OWASP Testing Guide ###### tags: `資訊安全`, `資安`