任何事物如果存在於世界上,無論其形式如何——抽象概念或物理事物——並且具有將其與其他事物區分開來的身份(或簡稱ID),則被稱為實體。簡而言之,每個實體都有一個身分或簡稱 ID。例如,使用者、電腦、裝置、應用程式、服務、網路等都是實體,因為它們都具有唯一標識它們的身分。實體的固有特徵稱為屬性。身分是一個實體的屬性或屬性的組合,用於將一個實體與其他實體區分開來。能夠發起或回應操作的實體是安全主體,而不能發起或回應操作的實體是資源。發起動作的主動方稱為主體,而回應主動方或資源的被動方稱為客體。
實體或安全性主體將帳戶儲存在目錄(帳戶資料庫)中。帳戶是代表實體的技術手段;目錄中帳戶的欄位代表實體的屬性。 ID提供者是一個實體,它保存和管理目錄、回應查詢、透過身份驗證器驗證主體的身份,並透過令牌或票證提供斷言或聲明,以確保有關實體的陳述是真實的。在 Microsoft 的 Active Directory 中,出於效能或管理目的,目錄可以分為一個或多個實體分割區或邏輯網域。儲存帳戶資料庫的機器是網域控制器,網域控制站上管理目錄的服務稱為目錄服務。
身份驗證基於身份驗證器的保密性以及對 ID 提供者頒發的令牌和票據的信任;這 是 ID 提供者透過一個或多個身份驗證器透過搜尋帳戶並將資料與目錄進行比較來驗證實體身分的過程。身分驗證過程中的主體是主動向 ID 提供者表明其身分的實體; 主體顯示其身分的過程稱為身分認同。但是,當 ID 提供者搜尋目錄並找到代表實體的帳戶時,也稱為識別。身份驗證器是用來證明實體身分的秘密。身份驗證器分為三種類型,也稱為身份驗證因素:您知道的東西、您擁有的東西和您是什麼。
多重身份驗證 (MFA)是指使用兩種或多種身份驗證器類型的身份驗證過程。主體的身份及其驗證器的組合統稱為憑證。斷言或聲明是關於實體的始終正確的聲明,由 ID 提供者在驗證實體的身份後發出。在 SAML 或 OIDC 中,斷言或聲明是以 XML 或 JSON 表示的屬性和值對或鍵值對。代幣和票據是傳達斷言或主張的技術或物理手段。
單一登入(SSO)是一種系統功能,使用者只需登入一次,即可根據商定的協議和令牌或票證的格式存取各個系統的資源。 SAML 和 OIDC 是基於聯合的 SSO 中常用的協定。聯合是共享通用協議以促進 SSO 功能的系統的集合。
資料來源:https://wentzwu.com/2024/08/08/authentication-101/
ps:經作者同意翻譯並轉載
不要再說零信任(Zero Trust)是永不信任(Never Trust)了!如果永不信任,那就網路線拔掉作實體隔體(air-gapped),或者放棄使用網路,回歸人工作業就好了!因為沒有信心(confidence)與信任(trust)的世界是無法運作的!
Zero Trust不是永不信任(Never Trust)或不可/禁止信任(No Trust),相反的,零信任強調信任,只是信任要從零開始累積,也就是Trust but verify。簡單的說,就是不要因為網路位置而輕易的信任一個實體(entity)的行為,而是要經過層層的驗證來建立信心與累積信任!
在WUSON的CISSP課程,我們把零信任(Zero Trust)定義為存取控制2.0 (Access Control 2.0), 也就是【以資料為中心,畫定虛擬邊界,進行更細膩/細顆粒、更動態、更透明的存取控制】。那什麼是Access Control 1.0呢? Access Control 1.0的主要內涵是強調【主體(Subject)使用客體(Object)的行為必須受到3A的管制】。這邊的3A是指驗證身份(Authentication)、檢查授權(Authorization)與記錄行為(Accounting)。
零信任的主要的重點不是把3A作到【更細膩、更動態、更透明】而已,因為【把3A升級再優化】只是【次要】的重點。零信任最主要、最重要的重點或改變,在於放棄以網路位置為中心的繼承式信任(inherent trust),改成在【以資料為中心,畫定虛擬邊界】所形成的安全區域(security domain),進行【更細膩、更動態、更透明】的存取控制。這種強調以零為基礎(zero-based)、經過層層驗證所累積而來的信任才是零信任的核心精神!
簡單的說,【從零開始累積信任】是Zero Trust的【目的】,而【更細膩、更動態、更透明的存取控制】則是Zero Trust的【手段】。有人(含CISSP考試大綱)說Zero Trust是Trust but verify!我覺得這真的是直指核心,是Zero Trust的最佳註解!因此,不要再說零信任是永不信任了!換一種說法,把Zero Trust的觀念改成【信任從零開始】,所以要【驗證、驗證、再驗證!】,也就是不斷的內驗、外確 (Verify and Validate, 簡稱V&V)!
最後,資安作到最後只剩下信心(confidence)與信任(trust),而我們大多數人都需要獲得資訊安全的保證(assurance)!針對人員、流程、產品與服務,以及組織不斷的V&V,才能建立信心與累積信任!擁有自信、口碑及公正的背書,才能消除疑慮、提升信心,達到保證的效果!
常聽到大家提到零信任時, 總是跟【永不信任】畫上等號而深感憂心!當大家如火如荼的在推動所課的【零信任】時,卻無法把自己口中的零信任解釋, 甚至定義清楚,怎麼可能作好溝通及推動零信任呢!?
除了在WUSON的CISSP課程談這個問題, 今天我也把自己的看法寫成這篇文章. 如果大家也認同的話, 歡迎大家自由分享喔!
資料來源:https://wentzwu.medium.com/%E4%B8%8D%E8%A6%81%E5%86%8D%E8%AA%AA%E9%9B%B6%E4%BF%A1%E4%BB%BB%E6%98%AF%E6%B0%B8%E4%B8%8D%E4%BF%A1%E4%BB%BB%E4%BA%86-b1113503c777
PS:經作者同意轉載
開門見山先說結論:風險因子(Risk Factor)就是指構成一個風險的基本組成元素。
因子(Factor)就是組成元素,也常被稱為因素。在資安領域除了風險因子,我們也常提到多因子驗證(Multi-Factor Authentication)。在身份驗證的過程,使用者除了輸入自己的帳號或使用者名稱(學名叫作身份, ID或Identity),還要輸入密碼(學名叫作信物,Authenticator)。所謂的信物是指用來證明自己身份的東西,它有不同的類型,而密碼只是成本最低、最方便,也是最常被使用的一種信物而已。信物通常是記在腦中(Something You Know)、握在手中(Something You Have)或長在身上(Something You Are)。若身份驗證(Authentication)過程使用了二種以上的信物類型(Authentication Factor),就可稱之為多因子驗證(MFA)。
在數學上,所有的整數都是由質數(Prime Number)組成,例如:18 = 2 x 3² ,透過質因數分解(Prime Factorization或Factoring)我們可以看出18是由2跟3二個質因數(Prime Factor)組成,因此中國把Prime Number翻譯成【素數】更能反應出Factor是組成元素的本質。RSA的非對稱式加密技術的原理就是利用了連電腦都難以分解一個超大數值的數學問題(Factoring Problem)。例如:我們可以透過質因數分解輕易地把18轉換為18 = 2 x 3² 這個恆等式(Algebraic Identities),但要分解188,951,534,532,423,434,6547,547這樣大的數值就算是用電腦都要跑相當久才能成功。
從多因子驗證(Multi-Factor Authentication)及質因數(Prime Factor)理解了因子(Factor)的概念後,要了解風險因子(Risk Factor)的概念就很簡單了。根據ISO 31000的定義,風險是不確定性對目標所造成的影響(effect of uncertain on objectives),從這個定義來看,風險由三個因子(元素或要素)所組成,也就是:
風險=目標+不確定性+影響
Risk = Objectives + Uncertainty + Effect
不過因為風險的影響來自於各種不確定的事件或因素,所以我們把中譯略作調整,也就是把Uncertainty譯為不確定因素,並且把目標放在第一位,以及強調不確定因素成真才會帶來影響。最後的中文翻譯為:
風險是影響目標達成的不確定因素。
分治法(Divide-and-Conquer)是我們實務上處理複雜問題的常用手法,換句話說,這就是一種離散分化、各個擊破的作法。當我們要了解一個風險多大或多小,只要將風險拆解就可看到{目標,不確定性,影響}這三個組成元素(風險因子),當我們愈確信A風險比B風險還可能發生,而且A風險發生時所帶來的影響比B風險高時,我們就可以說A風險比B風險大。風險的大小的學名稱之為曝險(Risk Exposure)。
最後,風險帶來的影響不總是壞的,它也會有好的一面,塞翁失馬焉知非福就是這個道理。在WUSON的CISSP課程談風險管理,主要是基於ISO 31000的觀念,強調風險帶來的影響總是有好有壞,帶來負面影響的風險可視為威脅(Threat),而帶來正面影響的風險則可稱之為機會(Opportunity)。
ISO 31000的風險觀念也提醒我們人生總是福禍相倚,所以居安思危、常想一二就格外的重要!
資料來源: https://wentzwu.medium.com/%E4%BD%95%E8%AC%82%E9%A2%A8%E9%9A%AA%E5%9B%A0%E5%AD%90-risk-factor-189ec4ae2284
PS:此文章經作者同意轉載
稽核與保證 (Audit and Assurance)
稽核(audit)又稱為審計,是一個能提供保證(assurance)的組織功能(function)或職能(WUSON的翻譯)。保證是透過有力的證據(grounds)讓我們對某個東西(產品、服務或流程等)能消除疑慮、提升信心的過程。以財務稽核為例,會計師受託查核簽證財務報表,投資人對於組織財報編列是否允當才會有一定的信心。另外,ISO 9001的品質管理系統(QMS)或ISO 27001的資安管理系統(ISMS)等管理系統的驗證稽核(certification audit)也是保證制度的一環。
稽核單位
為什麼稽核可以帶來消除疑慮、提升信心的保證效果?除了稽核單位的獨立性(independence)外,稽核的過程講求客觀的(objective)證據(evidence)、明確的稽核準則(audit criteria)、協議的程序(agreed upon procedures)及文件化(documented)的過程也是主要的信心來源。稽核單位可分為第一方(first-party)、第二方(second-party)與第三方(third-party)。第一方是組織內部的稽核單位,而第二方(如客戶)與第三方(如ISO的驗證單位)則是組織外部的稽核單位。由於第二方稽核也是外部稽核(外稽),實務上常把外稽等同於第三方稽核是不正確的說法。值得一提的是,依據法令授權而進行稽核的主管機關或稽核單位可視為第三方。
內部稽核與治理 (Governance)
內部稽核通常是組織內部的稽核單位所進行。但為什麼組織內部的稽核單位能具備獨立性呢?這主要來自於治理(governance)與管理(management)分離的概念。管理是指達成目標(objectives)的系統化方法(如PDCA),組織內的每一個人都需要重視管理。然而,從狹義的觀點來看,組織最高階層的管理作為才能稱為治理。
以公司為例,公司的最高階層是董事會(board of directors),董事會的管理才稱為治理。董事會以外的東西則屬於管理的範疇,通常會交給董事會聘請來的CEO、總經理及其它高階主管所組成的高階管理團隊(senior/executive management)來進行。然而在WUSON的課程,我們的治理採廣義的說法,把董事會及高階管理團隊都視為治理階層,並統稱為”經營高層”。
稽核單位或部門的報告路線(reporting line)通常是對董事會下的稽核委員會(audit committee)報告;因此,稽核主管的選任通常也都是由稽核委員會所決定。換句話說,稽核可以視為代表董事會來確保組織能依法規及制度運作的單位,所以稽核主管對於CEO或總經理不是稽核業務的隸屬關係,其報告路線也只是行政上的報告(例如預算或場地需求等),而不是稽核業務的實質報告。
稽核專案集與專案 (Audit Program and Projects)
稽核單位每年會進行一次或多次的稽核。每一次的稽核都是一個專案(project),一個以上的稽核專案(audit project)就可進一步規劃成稽核專案集(audit program)。因此,如何作好稽核專案集管理(audit program management)是稽核單位的重頭戲。當然,小的組織一年可能只有進行一項、一次的稽核專案,它的audit program就等於audit project。每一次的稽核專案都必須作好應該有的稽核計畫(audit plan),詳列該次稽核的目標、範圍、準則、地點、方法、角色與職掌、所需的資源,以及是否需要先了解受稽方場地、設施與流程等議題。另外,在稽核計畫中亦可載明稽核報告除了符合及不符合事項外,亦需提供建議。
稽核委員會與稽核指導委員會
此外,重大的專案亦可以成立專案指導委員會(project steering committee)來指導專案的進行,以提供方向、決策及監督。稽核專案的指導委員會則稱為稽核指導委員會(audit steering committee)。有別於董事會常設之稽核委員會,稽核指導委員會是專案層級、視需要成立的非常設性委員會。以下為二個稽核指導委員會的例子:
- “The Audit Committee has on numerous occasions highlighted these matters in our meetings as well as in internal audit steering committee meetings.” (George Municipality)
- “The Audit Steering Committee continued to meet on a needs basis during the period in an endeavour to facilitate the audit process effectively. These meetings have addressed such matters as audit planning, coordination and related processes.” (WHO)
稽核的實施
實際稽核的進行通常是稽核團隊(audit team)從眾多的資訊來源(sources of information)進行抽樣(sampling)以取得稽核所需的證據(audit evidence),將其與稽核準則(audit criteria)進行比對後產出符合(conformity)或不符合(nonconformity)的稽核發現(audit finding),最後再根據稽核發現與考量稽核目標(audit objectives)後作出稽核結論(audit conclusion)與產出稽核報告。
WUSON的安全評鑑與稽核
WUSON課程談的稽核主要是安全控制措施的稽核,簡稱安全稽核;我們把安全稽核視為一種安全評鑑(security assessment),並把安全評鑑定義如下:
安全評鑑是一個透過查驗(examination)、訪談(interviewing)、測試(testing)等方法,來確保安全控制措施(security control)之符合性(compliance)與有效性(effectiveness),並且產出報告以作為改善(kaizen)依據的過程。
ISO 29011
最後,附上ISO 29011:2018, Guidelines for auditing management systems, 的定義供大家參考:
- Audit
systematic, independent and documented process for obtaining objective evidence and evaluating it objectively to determine the extent to which the audit criteria are fulfilled - Audit criteria
set of requirements used as a reference against which objective evidence is compared - Objective evidence
data supporting the existence or verity of something - Audit evidence
records, statements of fact or other information, which are relevant to the audit criteria and verifiable - Audit findings
results of the evaluation of the collected audit evidence (3.9) against audit criteria - Audit conclusion
outcome of an audit, after consideration of the audit objectives and all audit findings
References
- Assurance vs Audit
- Ground expression
- Argument: Claims, Reasons, Evidence
- What do you mean by “legal grounds” in the context of divorce?
- 會計師受託查核簽證財務報表規則
- REPORT OF THE AUDIT AND PERFORMANCE AUDIT COMMITTEE OF GEORGE MUNICIPALITY FOR THE FINANCIAL YEAR ENDED 30 JUNE 2017
- WHO Unaudited interim financial report for the year 2000
- 7040 Audit Conclusion
- AU Section 150 Generally Accepted Auditing Standards
資料來源:https://medium.com/the-effective-cissp/%E7%A8%BD%E6%A0%B8-audit-%E5%9F%BA%E6%9C%AC%E6%A6%82%E5%BF%B5-315c937c0824
PS:此文章經由作者同意轉載。
自2024/04/15正式推出的新版CISSPC中文CAT考試,將中文CISSP考試的門檻推到了另一個高點!主要原因如下:
改成題目更少的CAT考試,也就是由原先的250題減至125~175題(到五月時會再進一步降到100~150題)。這代表每一題都必須放入更多的知識點,形成必須融會貫通的情境題。這樣的考法對觀念通的同學是大利多,但對於未能掌握觀念架構、讀書方法,以及單打獨鬥的同學會是重大挑戰。
中文版限定只能每季的最後一個月考,這其實是在限制中文考生的上場考試頻率及進行人數的總量管制。從我個人的角度來看,這樣的舉措某種程度代表著ISC2對於中文考生的不信任,也覺得這樣作的目的主要是打擊考試的作弊行為(如討論題目及考古題等)。透過縮減上場考試的人數與限制3個月才能考一次,這樣就能減少題目外洩的數量。而且3個月後題庫翻新之後,再搭配CAT考試來對付硬背考題的作弊者,才能維持住CISSP考試的完整性及公平性。在此同時也要呼籲大家務必要發揮資安專業人員應有的風範、遵守考試規定,光榮考試、光榮摘金!
從上述中文版CISSP考試的變革,大家就可以看出中文版CISSP的門檻提升了多少!(我直覺認為至少比以前高出50%以上)因此,如果沒有足夠的決心及實際的行動及付出,以及不管是抱團取暖也好、互助共好也好,只靠單打獨鬥要通過考試的機會是愈來愈小!對於WUSON的同學來說,在這麼多教練的無私付出及大力協助下,若大家還無法拿出決心好好拼一番,說實在的,要考過CISSP真的是會有N倍的挑戰!
最後,對我而言,CISSP不只是一個考試,而是一個磨錬心智的過程。學習想望美好的未來(visioning),學習如何領導、溝通、協作及有效執行;學習看見資安的時代意義,以及時代賦予我們的使命,從個人去發揮正面的影響力,讓我們的社群、產業與國家社會可以更好!
以上心得跟大家分享!希望大家能把準備CISSP當成是一個資安陸戰隊員的特訓過程(資安天堂路),在經歷層層痛苦的考驗後光榮摘金,得到最大的快樂與成就感!
台灣需要1500位CISSP!
讓我們一起努力!一起成功喔!
資料來源:https://wentzwu.medium.com/cissp%E6%96%B0%E7%89%88%E4%B8%AD%E6%96%87%E7%89%88cat%E8%80%83%E8%A9%A6-62a89f2eceb9
PS:經作者同意轉載
組織(organization)由人(person)組成。它跟自然人(natural person)一樣也可以成為法律實體(legal entity)或所謂的法人,具有法律身份(identity)、享有法律上的權力與義務。組織內的人被賦予責任(responsibilities)與權力(authorities),透過彼此的協作讓組織運作(operations),來達成組織的目標。能代表組織作出決策的人在ISO的標準中稱為高階管理層(top management),在WUSON的課程中則稱為治理(governance)階層或經營高層。
經營高層對組織行為及發展方向的期待稱為管理意圖(management intent)。文件化的管理意圖就代表組織的政策(policy)。政策除了展現經營高層的管理意圖,通常會對組織人員提出要求(requirement) — 一種可衡量、文件化、強制性的需要(need)或期待(expectation)。這些強制性的政策要求或指示,通常會配套的發展出相關的標準(standard)、規則(rule)、作業程序(procedure)、參考指引(guideline),或提供指導正確行為或有效決策的原則(principle)等。政策、標準與程序這些文件在ISO 標準中常被稱為三階文件,若再加上記錄與表單則稱為四階文件。
資訊安全政策必須被充分揭露及有效溝通,讓組織的人員都能了解經營高層對於資訊安全的要求與期待。透過標準及程序的制定,讓人員都能依照制度的規範來進行決策與行動。無法白紙黑字或三言二語寫清楚的規範,可以透過指引來提供給更多的資訊、參考資料,或行事與決策原則,以賦能(empower)員工與催生當責(accountability)文化。
參考資料
資料來源:https://wentzwu.medium.com/%E7%B5%84%E7%B9%94%E6%94%BF%E7%AD%96%E8%88%87%E5%8E%9F%E5%89%87-82fb4cc1c296
PS:經作者同意轉載
企業開展業務是為了提供價值,或者說業務就是為了提供價值。影響價值交付的常見因素有人員、流程、技術等。提供價值的流程通常稱為業務流程。業務連續性概念背後的基本想法是在發生破壞性事件或災難時,在有限的企業資源範圍內恢復關鍵業務流程。
根據上述陳述,我們可以總結出一些要點:
資訊科技 (IT) 是業務連續性最關鍵的因素之一。
業務連續性規劃的範圍包括關鍵業務流程和底層資訊系統。
業務人員首先識別或確定關鍵業務流程,然後由 IT 人員識別或確定底層資訊系統。業務流程的關鍵性是透過最大可容忍停機時間(MTD)來評估;2 小時 MTD 的流程顯然比 2 天 MTD 的流程重要得多。
資訊系統應由IT人員依業務人員指定的業務需求並與IT人員協商進行復原;具體來說,復原時間目標 (RTO) 和復原點目標 (RPO)。
業務人員和 IT 人員共同努力實現業務連續性的目標。作為主計劃的業務連續性計劃 (BCP) 是業務連續性計劃的輸出,通常包括由 IT 人員準備的作為子計劃的災難復原計劃 (DRP)。
在確定關鍵業務流程之前,IT 人員進行任何災難復原規劃都是無效的,更不用說在替代站點(例如鏡像站點、熱站點、熱站點或程式碼站點)上做出決策。
業務影響分析 (BIA) 的本質是識別關鍵業務流程以及災難時的影響。業務流程的 MTD 是 BIA 最重要的產出。RTO和RPO是指導DRP的目標;它們都源自 MTD,並由業務人員和 IT 人員協商確定。換句話說,RTO和RPO是IT對業務滿足MTD要求的承諾。
那麼,業務連續性規劃流程和 CISO 的角色又如何呢?它們因企業而異。CISO 作為協調員或推動者來推動 BIA 流程的情況並不少見。這再次強調了 CISO R&R 的重要性。
資料來源: Wentz Wu QOTD-20211104
PS:經過作者(Wemtz Wu)同意翻譯刊登
常見商業術語
發表於 2024 年 1 月 4 日
來源:THEIIO
企業是一個能夠執行各種功能的實體,這些功能透過將傳入的事物轉換為傳出的結果來交付產品和服務來增加價值。 業務功能由一個或多個流程組成,這些流程可以分解為較小的活動和任務。 活動可以指派給角色級別,任務可以指派給個人級別。
來源:PTC
個人依照標準作業程序 (SOP) 逐步採取行動來完成任務。 營運一詞意味著企業運用其執行業務功能組合的能力,以持續提供產品和服務。
參考
.什麼是任務、活動、流程?
.將活動作為任務分配給用戶
.業務能力
.業務能力定義和範例
.能力與業務功能:相同的差別嗎?
.您如何區分業務功能和能力?
.業務職能與業務能力
.業務功能、服務與能力:簡短指南
.什麼是業務功能? | 業務功能的範例和定義
資料來源:https://wentzwu.com/2024/01/04/common-business-terminologies/
ps:經作者同意翻譯張貼此文章
WUSON是一個CISSP課程的品牌,也是一個註冊商標,但很少人知道WUSON。即使聽過WUSON,對它的印象也多半僅止於Google搜尋常出現、是一個教CISSP的補習班,或者是一個摘金率很高的補習班。但其實WUSON不是補習班,而是一個私塾班。我們自詡不只是在教考試,而是志在發展與建立一套能讓國際採用的資安觀念架構(WISE Model)、分享學習方法與知識、傳播良善的價值觀、建立專家網絡與互助共好的平台,並為發展台灣所需的資安種子人員/安全冠軍(Security Champions)而努力!期待能為我們的產業、社會、國家,乃至國際社會作出貢獻!
CISSP也不只是一個考試,而是一個資安的專家資格及榮譽的象徵!ISC2是目前維持證照制度最用心的單位,是一隻真的會咬人的老虎!過去中國、韓國及台灣等亞洲地區的考生,普遍都有收集考古題或洩題的陋習,這完全違背美國(其實是普世)對於誠實正直(integrity)及榮譽(honor)的價值觀!昨天ISC2暫時取消簡體中文的考試,如果不是系統失誤,就是簡體中文的考區出現了異常,因此採取了斷然的措施。這就是ISC2的鐵腕風格,這樣的斷然措施不是第一次,我相信也不會是最後一次。
WUSON的CISSP課程每班【最多】只有九位同學!為了達到最佳的學習效果,建議即將開課的同學:
課前預習:第一天上課前先把資安定義背起來(最好是整個資安起手式都記起來)。 每次上課前都先把WUSON的講義先翻閱過(看看有那些主題、圖片或不懂的英文單字即可。
課中學習:把重點放在課程的"觀念架構"及聽懂上課的主要觀念及掌握讀書方法即可,不用急著抄筆記。
課後複習:準時完成課後評鑑及適度的複習。
跟上腳步:開課後週一至週五每天晚上會進行daily scrum及sprint review,請大家保持【持續而穩定】的學習節奏。
互助共好:與同學及教練盡可能保持良好互動,讓在WUSON學習資安及準備考試的過程,也能成為一個創造機會與延續友誼的善緣!
光榮考試:資安即國安!資安人員在未來是連結國家安全的重要力量之一,誠實正直(integrity)格外重要! 因此,請大家務必要遵循ISC2的道德守則,尤其是與考生最相關的考試規定,千萬不要收集考古題、討論上場考試所遇到的真實題目。
台灣需要1500位CISSP!想要改變環境,需要從我們自己作起!
讓我們一起從WUSON啟程!一起努力!一起成功喔!
資料來源:https://wentzwu.medium.com/wuson%E7%9A%84cissp%E8%AA%B2%E7%A8%8B%E8%88%87%E5%83%B9%E5%80%BC%E8%A7%80-f5904fb7ce0a
PS:經作者同意轉載
保證(assurance): 消除疑慮、提升信心的過程. 常用的方法有: 自我宣告、見證、能力驗證或產品檢驗。
安全職能:組織處理安全事務的能力,通常與資安部門與人員在組織內的定位、角色與職責有關。因此會討論到資安專職及專責單位及人員的問題, 以及資安主管的位階問題.
PS:非商業使用 僅推廣CSM
我將網路安全概念以及以下定義組織到思維導圖中:
“資訊安全是一門通過安全控制保護資產免受威脅的學科,以實現機密性、完整性和可用性 (CIA)、支持業務、創造價值並實現組織使命和願景。”
定義和思維導圖統稱為WISE模型。希望它對您的 CISSP 之旅有所幫助!
附言。我交替使用“資訊安全”和“網絡錄安全”,儘管總統網路安全政策、CISM 和許多其他來源可能會以不同的方式對待它們。我所說的“資訊安全”是廣義的資產安全。
資料來源:https://wentzwu.com/2023/08/14/wise-model-mind-map-v2-7-2/
PS:經過作者同意轉意此文章
安全功能不是業務功能的孤島。正如CISSP 考試大綱所述,如上所示,資訊安全策略應與其他業務職能部門協作,並與業務和組織的使命、目標和戰略保持一致。
資訊安全計劃策略指導資訊安全策略的實施或執行。制定標準、程序和指南是為了支持政策。基線是遵守標準的手段。
資料來源: Wentz Wu QOTD-20220101
My Blog: https://choson.lifenet.com.tw/
PS:此文章經作者同意翻譯轉載
這個問題旨在指出滲透測試方法有多種,並且滲透測試人員使用的術語或行話可能不一致。然而,以下條款通常被接受:
. 指紋識別是一種識別主機或服務的技術。例如,生存時間 (TTL)、標頭或橫幅等信息可以確定操作系統、服務或守護程序名稱和版本以及其他信息。
. 端口掃描是一種確定哪些 TCP 或 UDP 端口打開或關閉的技術。
列舉
滲透測試人員通常在收集信息/情報、掃描 IP、確定設備和操作系統的類型、掃描端口並發現可用服務後,列舉主機上的服務提供的資源。
根據InfoSec Institute 的說法,枚舉用於收集以下內容:
. 用戶名、組名
. 主機名
. 網絡共享和服務
. IP表和路由表
. 服務設置和審核配置
. 應用程序和橫幅
. SNMP 和 DNS 詳細信息
偵察
然而,偵察(Reconnaissance),簡稱Recon,是一個常用但沒有一致定義的術語。大多數滲透測試人員可能會同意這種情況發生在滲透測試的早期階段。有些人可能將其等同於 OSINT,有些人可能將其視為一個階段,而不是一種技術,而另一些人可能將其視為方法的組合。
. 偵察情報。這是一種從開源收集信息或情報的更為被動的方法,稱為 OSINT(開源情報)。
. 偵察目標信息。有些人可能會採取更積極的方法通過與評估目標互動來收集信息來進行偵察。鑑於此,可以使用指紋識別技術。
參考
. 滲透測試階段的完整指南
. 什麼是枚舉?[2021 年更新]
. 第 2 階段 – 列舉:查找攻擊向量
. 安全測試——列舉
. 網路安全指紋技術和操作系統網路指紋工具
資料來源: Wentz Wu QOTD-20210201
My Blog: https://choson.lifenet.com.tw/
PS:此文章經過作者同意而翻譯
【安全】的概念要從【保護】的角度談起。因此,談安全的概念必須思考四個議題:
為什麼要保護?因為有風險。
人類有慾望、願景、目標,但卻有影響目標達成的不確定因素(風險)存在。
保護什麼東西?資產 。
資產是有價值且值得保護的東西。要實現目標必須投入資源,這些資源都是我們覺得重要、有意義或有用的東西(即有價值東西,也就是資產)。
如何保護?安全控制措施(security controls)。
從風險管理的角度,當們作了風險評鑑(識別、分析、評估)後,下個步驟就是進行風險處置。在資安,安全控制措施則是風險處置的具體手段。
保護到什麼程度或達成什麼目標?資安有三階目標。
除了最基礎的CIA,還要能支持組織業務、創造價值,實現組織的使命與願景。
因此,【資訊安全】從字面意義來看,就是指【保護資訊】。同理,【國家安全】就是在談【保護國家】。但保護資訊若只談保護【資訊】本身將不夠全面,必須將處理資料/資訊的相關元素考慮進來,也就是從【資訊系統】的角度來思考資訊安全的議題;這也就是為什麼CISSP的全名是Certified 【Information Systems】 Security Professional. 然而,當代的安全議題,除了從資訊升級到資訊系統,更納入了OT, IoT, Infrastructure等資產,進而升級到【資產】安全;這也是為什麼CISSP的Domain 2的標題叫作Asset Security的原因。
也就是說,我們中文的【資安】一詞,全稱是【資訊安全】,若只從字面意義來看,其範圍就只有保護資訊本身;其它如網路安全、電腦安全…. 大概都可以用【保護】的概念去思考。若從CISSP的全名去看【資訊安全】,也就是從資訊系統(孔雀八根毛)的角度去看,它的範圍會更全面。但若我們從CISSP的Domain 2或實務的觀點去看資安,它探討的則是資產安全的議題。
結論:我們中文的【資訊安全】或【資安】一詞,其實是一個簡約的說法,它並不是真的只討論如何保護資料,而是將【範圍】擴大到資產,以及將【目標與定位】升級到業務及組織的層級,也就是由傳統的CIA目標,升級到三階目標:亦即支持組織業務、創造價值,實現組織的使命與願景。
資料來源:https://medium.com/the-effective-cissp/%E9%87%8D%E6%96%B0%E8%AA%8D%E8%AD%98%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8-33bdc11fcf6b
PS:經作者同意轉載此文章
UDDI是統一描述、發現和集成(Universal Description, Discovery, and Integration)的縮寫。它是一個基於XML的跨平台的描述規範,可以使世界範圍內的企業在網際網路上發布自己所提供的服務。
UDDI是OASIS發起的一個開放項目,它使企業在網際網路上可以互相發現並且定義業務之間的交互。UDDI業務註冊包括三個元件:
白頁:有關企業的基本信息,如地址、聯繫方式以及已知的標識;
黃頁:基於標準分類的目錄;
綠頁:與服務相關聯的綁定信息,及指向這些服務所實現的技術規範的引用。
UDDI是核心的Web服務標準之一。它通過簡單對象存取協議進行消息傳輸,用Web服務描述語言描述Web服務及其接口使用。
資料來源:https://zh.wikipedia.org/wiki/UDDI
整合開發環境(Integrated Development Environment,簡稱IDE,也稱為Integration Design Environment、Integration Debugging Environment)是一種輔助程式開發人員開發軟體的應用軟體,在開發工具內部就可以輔助編寫原始碼文字、並編譯打包成為可用的程式,有些甚至可以設計圖形介面。
IDE通常包括程式語言編輯器、自動構建工具、通常還包括除錯器。有些IDE包含編譯器/直譯器,如微軟的Microsoft Visual Studio,有些則不包含,如Eclipse、SharpDevelop等,這些IDE是通過呼叫第三方編譯器來實現代碼的編譯工作的。有時IDE還會包含版本控制系統和一些可以設計圖形使用者介面的工具。許多支援物件導向的現代化IDE還包括了類別瀏覽器、物件檢視器、物件結構圖。雖然目前有一些IDE支援多種程式語言(例如Eclipse、NetBeans、Microsoft Visual Studio),但是一般而言,IDE主要還是針對特定的程式語言而量身打造(例如Visual Basic、Spyder)。
資料來源:https://zh.wikipedia.org/zh-tw/%E9%9B%86%E6%88%90%E5%BC%80%E5%8F%91%E7%8E%AF%E5%A2%83
PS:資料來源為WentzWu,經作者同意分享
CISSP是我考過最有光榮感,也最有儀式性的資安專業認證考試!不像其它認證機構以賺錢為出發點,對於考試的公平性及完整性採取睜一隻眼、閉一隻眼的態度,ISC2是我接觸過最嚴格執行各項考試規範及規則的機構。在ISC2所有會員及CISSP共同努力下,CISSP這個品牌與形象在全球業界受到極高的評價及認可!身為CISSP及WUSON的同學應該一起來維護這個得之不易的成果!
WUSON的考試策略很簡單,只有以下幾個重點:
- 系統思考、用對方法
- 互助共好、持續努力
- 水到渠成、光榮時刻
- 一起努力、一起成功!
知識只有行動才能產生力量!因此,既然在準備CISSP的過程中學習了ISC2的道德守則、知識產權及合約條款等符合性(compliance)要求,我們接下來就應該盡最大的力量去實踐。例如:
- 持續學習、用力分享、協助伙伴一起成功,以促進專業。
- 分享文件時注意是否有版權宣告,並明確的取得著作權人的授權再分享。
- 遵守考試的保密條款,不討論、不分享、不收集實際考試的題目。
我們學習的背後都有一定的利益動機,如升官、加薪等。然而,我們的加薪與升官並不是因為學到了知識、拿到了證照,而是我們的行動創造了更多的價值(value)而加薪,以及因為承擔了更多的責任(accountability and responsibilities)而升官。
CISSP在這個資安的大時代將獲得前所未見的重視,成為CISSP將得到更多、更好的職涯機會、獲得更大的組織授權,以及承擔更多的責任。來WUSON上課,我們不只要光榮的通過CISSP考試與取得證照,還要發揮更大的影響力、產生更多的貢獻、促進好的、向上的改變,共創美好的未來!
在CISSP之路,請大家務必認真看待以下ISC2的道德守則,並盡最大的力量去實踐它們!
- Protect society, the common good, necessary public trust and confidence, and the infrastructure.
- Act honorably, honestly, justly, responsibly, and legally.
- Provide diligent and competent service to principals.
- Advance and protect the profession.
[WUSON] 商業道德與決策 — 以我的接案經驗為例
改變世界,從我們每一個人自己作起!
讓我們一起成為CISSP! 一起迎接這個人生第二次大學聯考的光榮時刻!
一起為我們國家的資安、美好的家園,以及共同的美好未來而努力!
資料來源:https://wentzwu.medium.com/cissp-%E6%88%91%E5%80%91%E7%9A%84%E5%85%89%E6%A6%AE%E6%99%82%E5%88%BB-b3db21ecc755
PS:此文章經過作者同意刊登
PS:此資料經由作者同意刊登
-安全核心
在自主訪問模型 (DAC) 中,數據所有者負責保護委託數據、對其進行分類,並根據需要知道和最小權限原則做出授權決策。
數據保管人負責執行數據所有者做出的授權決定。受信任的計算機系統將授權保存在稱為訪問控制矩陣 (ACM) 的數據結構中。Take-Grant保護模型是操縱ACM的理論之一。
可信計算機系統中的安全核心強制執行訪問控制(身份驗證、授權和記帳)。符合 TCSEC C 部門標準的可信計算機系統支持 DAC,而符合 B 部門標準的可信計算機系統支持 MAC。DAC 系統基於身份並依賴於 ACM。它不會引用對象的安全許可或對象的標籤。
資料來源: Wentz Wu QOTD-20211107
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
各位大學生好,優秀的各位未來都是要進入職場的精英,但是在職場上需有許多專業技能,
如果是想進入資訊產業或職位,建議先打好以下基礎:
- 網路(Cisco CCNA):關於基礎網路架構必須要先有,對於OSI 7 Layer & TCP/IP運作原理都必須具備。
- 資訊安全(CompTIA Security+ & EC-Council CEH & (ISC)² Certified in Cybersecurity℠):現在當紅的職缺就是資訊安全,由於資通安全法的通過,並且於2022年8月5日,行政院宣布任命於唐鳳部長出任數位發展部首任部長,更加看得出來政府重視資訊安全,故取得專業的資安證照表示自己已經有相關的知識。
- 專案管理(PMI PMP):管理是一套達成目標有系統的方式,如何在工作上做好每一個專案,從專案管理的知識皆可學習的到。
此文章來至Wentzwu網站QOTD 20111106,文章如下:
-CIA 和 DAD(圖片來源:Thor Pedersen)
資產分類通常根據商業價值確定資產的重要性或優先級,可以從機密性、完整性、可用性、購買/歷史成本、收入損失、機會成本等方面進行評估。分類方案是關鍵工具對資產進行分類。在資產被正確分類後,安全控制的範圍和定制。
這個問題中提到的分類方案(機密性、私人性、敏感性和公共性)是以機密性為中心的,並且在私營部門中普遍使用。鑑於分類方案,洩露機密性的信息是主要關注點。
-分類方案
資料來源: Wentz Wu QOTD-20211106
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-Kerberos 操作(來源:Fulvio Ricciardi)
第一個 Kerberos 消息是 AS_REQ,如上圖所示。根據維基百科,“客戶端將用戶 ID 的明文消息發送到代表用戶請求服務的 AS(身份驗證服務器)。(注意:密鑰和密碼都不會發送到 AS。)”
Fulvio Ricciardi詳細解釋了 Kerberos 的工作原理。
參考
. Kerberos(協議)
. RFC 4120:Kerberos 網路身份驗證服務 (V5)
. Kerberos(Wireshark 捕獲文件)
. 加密類型
. Kerberos 版本 5 身份驗證協議的工作原理
資料來源: Wentz Wu QOTD-20211103
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-軟體運行環境
與 JavaScript、C# 和 Java 不同,C 語言提供編程結構來直接控制硬體並調用操作系統提供的服務。例如,“指針(pointer)”用於操作靜態或動態分配的內存。
使用 JavaScript、C# 和 Java 開發的應用程序是託管應用程序,並在運行時環境或沙箱中執行。例如,基於 .NET 框架的 C# 應用程序(編譯為 MSIL)、Java 虛擬機 (JVM) 中的 Java 應用程序以及瀏覽器或 Node.js 運行時中的 JavaScript。
託管應用程序中可能會發生緩衝區溢出。但是,它們通常由運行時或沙箱很好地管理。C 應用程序自己管理內存;它們更容易受到緩衝區溢出攻擊。
資料來源: Wentz Wu QOTD-20211102
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
安全框架(framework)的目的之一是根據安全要求指導控制措施(control)的選擇,以保護資訊系統。 關於安全框架,以下哪項是正確的? (Wentz QOTD)
A. 框架設定了組織要遵循的標準
B. 框架應盡可能詳盡
C. 框架可能導致強制性實踐
D. 各種框架不應同時採用
One of the security framework’s purposes is to guide the selection of controls based on security requirements to secure information systems. Which of the following is correct about security frameworks? (Wentz QOTD)
A. A framework sets the standard for organizations to follow
B. A framework should be as exhaustive as possible
C. A framework may lead to mandatory practices
D. Various frameworks should not be adopted simultaneously
老師的回覆:
A. A framework sets the standard for organizations to follow => framework是範本/懶人包, 不是標準
B. A framework should be as exhaustive as possible => 應儘量簡單, 易用, 不要太繁索
C. A framework may lead to mandatory practices => framework可能最後會導致/發展出強制性的實務作法
D. Various frameworks should not be adopted simultaneously => 一個組織實際上反而都是導入多個框架, 解決不同需求.
資料來源: Wentz Wu QOTD-20210922
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
感謝EthanSoo老師的教導,資安恩師 Wentz Wu給予機會來學習Scrum,也謝謝 Kaitlyn Peng & Joy Liao &Ray Lin的協助與指導,才能讓我成為Scrum的小白。
According to Bruce Schneier, there are four general types of cryptanalytic attacks, each of which assumes that the cryptanalyst has complete knowledge of the encryption algorithm. Which of the following emphasizes that the cryptanalyst’s job is to recover the plaintext of as many messages as possible, or better yet to deduce the key (or keys) used to encrypt the messages, in order to decrypt other messages encrypted with the same keys? (Wentz QOTD)
A. Ciphertext-only attack
B. Known-plaintext attack
C. Chosen-plaintext attack
D. Chosen-ciphertext attack
根據 Bruce Schneier 的說法,有四種一般類型的密碼分析攻擊,每一種都假設破密分析者完全了解加密算法。 以下哪項強調破碼分析員的工作是盡可能多地恢復消息的明文,或者更好地推斷用於加密消息的密鑰(或多個密鑰),以便解密使用相同密鑰加密的其他消息? (Wentz QOTD)
A. 只有密文攻擊
B. 已知明文攻擊
C. 選擇明文攻擊
D. 選擇密文攻擊
建議答案為A
根據密碼學大學Bruce Schneier的說法, 只有密文攻擊, 已知明文攻擊, 選擇明文攻擊, 及選擇密文攻擊等都可以用來破解Key(即deduce the key), 但有二個是比較特別的:
- 只有密文攻擊: 雖然可用來破解key, 但它主要是還原明文為主.
- 選擇密文攻擊: 破解key, 但主要是針對非對稱式加密
資料來源:https://wentzwu.com/2022/03/21/cissp-practice-questions-20220321/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
以下哪個是可路由協議? (Wentz QOTD)
A. SPX
B. NetBEUI
C. IPv4
D. BGP
我建議的答案是C. IPv4。
Routing跟routed,前者是主動,後者是被動。rip, ospf是routing protocol, 而ip是routed protocol.
資料來源:https://wentzwu.com/2021/09/26/cissp-practice-questions-20210926/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
目標與管理
目標始於渴望(desire)以及對末來的想像(vision),是對於想要的成果(desired outcome)的具體描述(statement)。目標可以拆解成具有上、下位關係的大目標(goal)與小目標(objective);換句話說,目標是有階層的。大目標是上位目標,通常範圍較大、時間較長;小目標是下位目標,範圍較小,時間也愈短。目標的設定必須符合SMART原則,也就是很具體(specific)、可衡量(measurable)、作得到(achievable)、玩真的(realistic),而且有時間限制(time-bound);其中頭尾最重要,也就是具體與時間。具體的目標就容易衡量,綁定時間的目標才不會拖延(procrastination),才會採取行動(執行)往目標前進。執行的階段產出稱為績效(performance);換句話說,執行的績效就是可衡量的結果。
管理(management)是達成目標的一套有系統的方法;業界最常用的方法是PDCA (Plan-Do-Check-Act),即規劃、執行、查核與行動(改善)。有效的(effective)管理必須能達成目標,規劃(planning)的首要工作就是確定目標(goal setting),規劃的結果就是產出計畫書(plan),以指導活動的執行。計畫書由高階概念開始發展,再逐步發展配套的細部計畫。高階的計畫書又常稱為戰略計畫(strategic plan)或簡稱戰略(strategy);細部的計畫也常被稱為行動計畫(action plan或paln of action)或戰術(tactical plan或tactic)。空有計畫不足以達標,因為有許多影響目標達成的不確定因素存在;這些影響目標達成的不確定因素我們稱之為風險(risk)。
目標管理是運用系統化方法來達成目標的學問,至少包含了三個議題:戰略管理(strategy management)、風險管理(risk management)及問題解決(problem-solving)。
充分與必要
事件(event)的發生有一定的條件與前提,以及因果關係(cause and effect)。好的事情發生,我們會探討成功因素(success factors);面對壞的事情,我們會追究根本原因(root cause)。然而,實務世界很難找到一組成功因素(充分, sufficient)可獲致必然成功的結果。也就是說,分析成功的個案、探究關鍵成功因素(CSF, critical success factor),並且仿效成功個案可以增加成功的機會,但並不一定能獲得同樣的成功。相反的,有些事情則是可預期的必然結果。例如,取得CISSP資格的一定要(必要, necessary)通過CISSP考試;換句話說,沒有CISSP資格的人,我們可以確信他一定沒有通過CISSP考試。
實體與帳號
根據Google字典,實體(entity)是實際存在且可以維一識別的獨立個體 (a thing with distinct and independent existence)。一個實體的特質(quality)、特性(property)、特徵(characteristic)或特色(feature)等的描述稱為屬性(attribute)。用來唯一識別一個實體的屬性則稱為身份(Identity)。台灣是一個政治實體(在政治上實際存在的個體),但我們有許多不同的身份,例如:國名叫中華民國、參加奧運會則是叫中華台北、在WTO則叫作臺澎金馬個別關稅領域。台灣的正名運動,就是讓我們有一個一致、明確、可唯一識別的國家身份。在資訊或資安領域,所有軟硬體相關的東西(其至是使用者),都可以抽象地稱之為實體;UEBA (User and Entity Behavior Analysis)就是針對使用者與使用者以外的所有實體(東西)來進行分析,以察覺及偵測異常並強化安全性。帳號(account)則是為了方便管理實體的技術手段。
個體與系統
系統(system)是指為了達成特定目的而一起協同運作的一群元素的統稱。相對於系統強調整體,組成該系統的元素則是個體。不論是整體的系統或是個體的元素,它們都可稱為實體,都有唯一識別的身份。一個系統的組要元素及其關係我們稱之為架構(architecture);例如:企業架構、系統架構、網路架構、軟體架構、資料架構或觀念架構等。資訊系統是指將資料(data)進行處理,並轉換為有用的資訊(information)的系統;其常見的組成元素有資料、電腦系統、作業系統、應用軟體、網路、資料中心、人,以及業務流程等。
工程與專案
工程(engineering)的本質是作東西(acquire and develop),當作解決方案(solution)來解決利害關係人(stakeholder)的問題(problem)及滿足他們的需求(expectations, needs, and requirements);也就是運用專業知識把一個東西從無到有作出來,讓它上線、使用它、維運它,一直到它除役的整個生命週期都必須考慮到利害關係人的需求。系統安全工程特別強調發展一套系統必須在整個系統發展生命週期(SDLC, system development life cycle)的每一個階段的每一個活動,都必須考慮到利害關係人的安全需求(安全性)。一個系統的發展不可能一開始就鉅細靡遺,而是從主要的元素及其關係(架構)開始設計。所謂的設計(design)是指書面的解決方案。因此,一個安全的系統必須從生命週期(life cycle)及架構(architecture)的角度來思考安全性,也就是時間都安全、處處都安全的概念。
所有的工程案都是專案(project)。也就是透過一次性的專案投資(investment),來創造持續性(persistent)的價值(value)。所謂的專案都有開始、有結束、有產出,而且產出必須在範圍內(scope)、時間內(schedule)、成本內(cost),且兼顧品質(quality)。一個組織要作工程除了必須具備良好的專案管理能力外(又稱為技術管理能力),還必須具備卓越的技術能力;此外,面對眾多的工程案,一個組織必須具備的跨專案的資源管理能力(也稱為組織的專案致能能力),以及合約(取得及供應)管理能力(也稱為協議能力)。
References
- Management
- Project Management 101
- Security Engineering 101
- Engineering, Life Cycle Stages, and Processes
- Systems Engineering: Confidence, Trust, and Assurance
- Necessity and sufficiency
資料來源:https://coaches.wuson.org/wuson_glossary/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-SDN 架構(來源:Dargahi、Tooska 等人)
網路功能虛擬化 (NFV) 是一個補充 SDN 的概念。它涉及在商用現貨 (COTS) 硬件平台上虛擬化網路功能,例如路由或交換。NFV 可能與軟體定義網路 (SDN) 混淆,後者將數據平面與控制平面分開。
SDN 控制器可以直接對交換機進行編程以丟棄、泛洪或轉發數據包,或者在現有底層網路之上構建虛擬覆蓋網路。
參考
. 軟體定義網路
. 我們為什麼要走向SDN?
. SDN控制器(軟體定義網路控制器)
. 有狀態SDN數據平面安全性調查
資料來源: Wentz Wu QOTD-20211101
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
DIKW Hierarchy (Credit: Drill)
何謂資料?
資料(data)是事實(facts)的記錄;主要以客體(object)方式存在,沒有相對的主體(subject),因此不具備情境(context)、沒有生成意義(meaning),也不產生價值(value),所以也常被為原始資料(raw data)。描述資料的資料則稱為中繼資料(metadata)。資料經過處理,在特定情境就會對主體(人)產生意義,我們稱之為資訊(information)。如何運用資料及資訊來解決問題與創造價值的資訊稱為知識(knowledge)。反覆運用資料、資訊及知識以追求美好未來所累積的經驗總合,稱為智慧(wisdom)。
資料即事實,必須有明確的表示方式(expression)及編碼(encoding)才能被有效的儲存、處理及運用。資料流程圖可有效地呈現資料被儲存、處理及運用的過程。不同的資料型態有不同的表示法及編碼;常見的資料型態有量化及質化資料。例如:數值(9.9)為連續型(continuous)量化資料、計次(1,2,3)為不連續型(discrete)量化資料;類別(男/女)是名目(nominal)的質化資料、大綱符號(A,B,C)是順位(ordinal)的質化資料。將資料以系統化的方式組織起來即形成資料結構(data structure),以有效的儲存、處理及運用資料;常見的資料結構有陣列、鍵結串列、佇列、堆壘、樹及網路等。為解決特定問題,針對特定資料結構的處理邏輯稱為演算法(algorithm);例如:排序(sorting)及遍尋(traversal)等。
何謂科學?
Science is a systematic enterprise that builds and organizes knowledge in the form of testable explanations and predictions about the universe.
Source: Wikipedia
科學是一門有系統地探究萬物,以建立知識體系的過程及學問;這些知識通常是建立在可被驗證的解釋或預測的基礎上。大學(中國經典四書之一)所謂之【格物、致知】即為科學之道。
何謂資料科學?
資料科學是一門科學的新研究領域,主要目的是從巨量且複雜的資料集中,萃取出更高階的知識及智慧。資料科學通常涉及資料的管理及治理議題(從資料的表示、編碼、儲存、處理、運用到治理),因此通常會涵蓋資料庫、統計學、軟體工程、商業分析等知識領域。
參考(References)
.Science
.What Is Science?
.DIKW Hierarchy – Understanding the Concept of Wisdom
資料來源:https://coaches.wuson.org/%E8%B3%87%E6%96%99%E7%A7%91%E5%AD%B8/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
資料庫管理系統(英語:database management system,縮寫:DBMS) 是一種針對物件資料庫,為管理資料庫而設計的大型電腦軟體管理系統。具有代表性的資料管理系統有:Oracle、Microsoft SQL Server、Access、MySQL及PostgreSQL等。通常資料庫管理師會使用資料庫管理系統來建立資料庫系統。
現代DBMS使用不同的資料庫模型追蹤實體、屬性和關係。在個人電腦、大型電腦和主機上應用最廣泛的資料庫管理系統是關係型DBMS(relational DBMS)。在關係型資料庫中,用二維表格表示資料庫中的資料。這些表格稱為關係[1]。
描述
資料庫管理系統是一套電腦程式,以控制資料庫的分類及數據的存取。一套資料庫包括:
- 模型語言,用以因應該資料庫管理系統的數據模型,來定義各資料庫的schema。
- 最佳化的數據結構(欄位、紀錄及檔案),以支援在永久儲存裝置(permanent data storage device,即比主記憶體(volatile main memory)慢得多)上儲存極大量的數據。
- 查詢語言及撰寫報表的程式,讓使用者可以互動方式查問資料庫,進行數據分析及依使用者的權限來更新數據。
- 它必須控制數據的保安,以防止不獲授權的使用者觀看甚至更新資料庫的數據。使用者可以提供有效的密碼來存取整個資料庫或其中一部分。譬如員工資料庫包括所有員工資料的數據,但某組使用者可能只被批准檢視薪金相關的數據,其他的又可能只可以存取工作履歷及病歷數據。
- 如果該資料庫管理系統向使用者提供可輸入更新資料庫甚至進行查詢的互動途徑,則此能力可以用來管理個人的資料庫。可是,它不一定提供審核或其他在多使用者環境中所需要的各種控制機制。這些機制可能要整套應用程式都為數據輸入或更新而修改才能提供。
- 交易機制(最好可以保證ACID特性),在多使用者同時存取之下仍維持數據完整性(data integrity),與及提供故障排除(fault tolerance)。
- 資料庫管理系統依靠不容許超過一名使用者在同一時間更新同一項紀錄來維持資料庫的完整性。資料庫管理系統可以用唯一索引限制來避免重覆紀錄。譬如不能有兩位顧客有同一個顧客編號(主鍵)在資料庫中存在。
資料來源:https://zh.m.wikipedia.org/zh-tw/%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F
-安全設計原則分類
模組化和分層的原則是跨系統工程學科的基礎。源自功能分解(functional decomposition)的模組化和分層通過使理解系統的結構成為可能,在管理系統複雜性(complexity)方面是有效的。然而,良好的模組化分解或系統設計的細化是具有挑戰性的,並且抵制一般的原則陳述。
模組化(Modularity)用於將功能和相關數據結構隔離(isolate)為定義明確的邏輯單元( logical units)。分層(Layering)可以更好地理解這些單元的關係,從而使依賴關係清晰,避免不必要的複雜性。
模組化的安全設計原則將功能模組化( modularity)擴展到包括基於信任、可信度、特權和安全政策(security policy)的考慮。
基於安全的模組化分解包括以下內容:
– 將政策分配給網路中的系統;
– 向分層分配系統政策;
– 將系統應用程序分離為具有不同地址空間的進程;
– 基於硬體支持的特權域,將進程劃分為具有不同特權的主體。
模組化和分層的安全設計原則與縱深防禦(defense in depth)的概念不同,這在 F.4 節中進行了討論。
資料來源:NIST SP 800-160 第 1 卷
參考
. NIST SP 800-160 第 1 卷
. 模組化(網絡)
資料來源: Wentz Wu QOTD-20211029
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
軟體開發工具包 (SDK) 是一個可安裝包中的軟體開發工具集合。它們通過編譯器、調試器和軟體框架來促進應用程序的創建。它們通常特定於硬體平台和操作系統組合。創建具有高級功能的應用程序,例如廣告、推送通知等;大多數應用軟體開發人員使用特定的軟體開發工具包。
分佈式軟體系統的元素通常通過定義的應用程序編程接口 (Application programming interface:API) 進行通信。
SDK 是軟體開發工具的集合。它不是組成系統元素。
依屬進程(Dependent processes)是分佈式軟體系統的一部分。他們使用靜態庫還是動態庫都沒有關係。
接口描述語言 (Interface description language:IDL) 用於定義接口,然後將其翻譯成特定的編程語言。
資料來源: Wentz Wu QOTD-20211028
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
ACID,是指資料庫管理系統(DBMS)在寫入或更新資料的過程中,為保證事務(transaction)是正確可靠的,所必須具備的四個特性:原子性(atomicity,或稱不可分割性)、一致性(consistency)、隔離性(isolation,又稱獨立性)、持久性(durability)。
在資料庫系統中,一個事務是指:由一系列資料庫操作組成的一個完整的邏輯過程。例如銀行轉帳,從原帳戶扣除金額,以及向目標帳戶添加金額,這兩個資料庫操作的總和,構成一個完整的邏輯過程,不可拆分。這個過程被稱為一個事務,具有ACID特性。ACID的概念在ISO/IEC 10026-1:1992文件的第四段內有所說明。
四大特性[編輯]
- 原子性(Atomicity):一個事務(transaction)中的所有操作,或者全部完成,或者全部不完成,不會結束在中間某個環節。事務在執行過程中發生錯誤,會被回滾(Rollback)到事務開始前的狀態,就像這個事務從來沒有執行過一樣。即,事務不可分割、不可約簡。[1]
- 一致性(Consistency):在事務開始之前和事務結束以後,資料庫的完整性沒有被破壞。這表示寫入的資料必須完全符合所有的預設約束、觸發器、級聯回滾等。[1]
- 事務隔離(Isolation):資料庫允許多個並發事務同時對其數據進行讀寫和修改的能力,隔離性可以防止多個事務並發執行時由於交叉執行而導致數據的不一致。事務隔離分為不同級別,包括未提交讀(Read uncommitted)、提交讀(read committed)、可重複讀(repeatable read)和串行化(Serializable)。[1]
- 持久性(Durability):事務處理結束後,對數據的修改就是永久的,即便系統故障也不會丟失。[1]
資訊來源:https://zh.wikipedia.org/zh-tw/ACID
-圖片來源:socradar
紅綠燈協議 (TLP) 是一個用於對敏感資訊進行分類的系統,該系統由英國政府的國家基礎設施安全協調中心 (NISCC;現為國家基礎設施保護中心,CPNI) 創建,以鼓勵更多地共享敏感資訊。
基本概念是發起者表明他們希望他們的資訊在直接接收者之外傳播的範圍有多廣。它旨在以受控和受信任的方式改善個人、組織或社區之間的資訊流。處理帶有 TLP 標記的通信的每個人都必須理解並遵守協議的規則,這一點很重要。只有這樣,才能建立信任並實現資訊共享的好處。TLP 基於發起者標籤資訊的概念,使用四種顏色中的一種來指示接收者可以進行哪些進一步的傳播(如果有的話)。如果需要更廣泛的傳播,接收者必須諮詢發起者。
目前存在許多 TLP 規範。
– 來自 ISO/IEC,作為跨部門和組織間通信的資訊安全管理標準的一部分
– 來自旨在提供公開可用的簡單定義的 US-CERT
– 來自事件響應和安全團隊論壇(FIRST),它於 2016 年 8 月 31 日發布了其合併 TLP 文檔的 1.0 版。它來自一個特殊興趣小組,旨在確保對 TLP 的解釋是一致的,並且在用戶社區中存在明確的期望。
資料來源:維基百科
參考
. 網路安全和基礎設施安全局 (CISA) 的自動指標共享 (AIS)
. 駕馭威脅情報規範的海洋
. 網路威脅搜尋框架第 1 部分:痛苦金字塔
. 痛苦金字塔 (DavidJBianco)
. 妥協指標(維基百科)
. 將 zveloCTI 威脅情報數據映射到妥協指標 (IOC) 的痛苦金字塔
. 紅綠燈協議
. 您需要了解的有關威脅情報中交通燈協議使用的知識
資料來源: Wentz Wu QOTD-20211027
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-存取控制策略、機制和模型
晶格(Lattice)是在序理論和抽象代數的數學分支學科中研究的抽象結構。它由一個偏序集合組成,其中每對元素都有一個唯一的上界(也稱為最小上限或連接)和一個唯一的下界(也稱為最大下限或滿足)。
資料來源:維基百科
自主存取控制 (DAC) 是一種授權機制,資料所有者根據需要知道和最小權限原則做出授權決定。安全管理員或資料保管人根據主體(能力表)和對象(存取控制列表)的身份對存儲在稱為存取控制矩陣的資料結構中的系統實施授權決策。但是,根據 DAC 策略授予的權限可能會傳播到其他主體。
強制存取控制(MAC)通過基於晶格理論匹配主客體標籤來控制信息流來彌補DAC的弱點。
-安全核心
資料來源: Wentz Wu QOTD-2021026
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
虛擬區域網路 (VLAN)
-VLAN 組(來源:Cisco Press)
虛擬 LAN (VLAN) 是在數據鏈路層(OSI 第 2 層)的計算機網絡中劃分和隔離的任何廣播域。
資料來源:維基百科
目前的VLAN數量有限,為4094,無法滿足數據中心或雲計算的需求,具有基於租戶隔離網絡的共同特點。例如,Azure 或 AWS 的客戶遠多於 4094。
私有VLAN
-酒店專用 VLAN
專用 VLAN,也稱為端口隔離,是計算機網絡中的一種技術,其中 VLAN 包含受限制的交換機端口,因此它們只能與給定的上行鏈路進行通信。受限端口稱為專用端口。每個專用 VLAN 通常包含許多專用端口和一個上行鏈路。上行鏈路通常是連接到路由器、防火牆、服務器、提供商網絡或類似中央資源的端口(或鏈路聚合組)。
專用 VLAN 的典型應用是酒店或乙太網到家庭網絡,其中每個房間或公寓都有一個用於 Internet 訪問的端口。
資料來源:維基百科
VXLAN 問題陳述(VXLAN Problem Statement)
VXLAN (RFC 7348) 就是為了解決這個問題而設計的。VXLAN 問題陳述突出了以下問題:
- 生成樹(Spanning Tree)和 VLAN 範圍施加的限制
- 多租戶環境(Multi-tenant)
- ToR(架頂式)交換機的表尺寸不足
它還寫道:“VXLAN(虛擬可擴展區域網路)解決了在多租戶環境中存在虛擬機的情況下第 2 層和第 3 層數據中心網絡基礎設施的上述要求。”
VXLAN 作為覆蓋網絡(VXLAN as Overlay Network)
VXLAN 將傳統的 VLAN 幀封裝為 IP 負載或 MAC-over-IP,以支持主幹交換機和葉交換機之間的通信。所述葉脊架構採用葉片開關和主幹交換機組成的兩層的網絡拓撲。
覆蓋和底層網絡(Overlay and Underlay Networks)
底層網絡 或所謂的 物理網絡 ,傳統協議在其中發揮作用。底層網絡是物理基礎設施,在其上構建覆蓋網絡。它是負責跨網絡傳輸數據包的底層網絡。
底層協議:BGP、OSPF、IS-IS、EIGRP
一個 覆蓋網絡 是一個 虛擬的網絡 被路由在底層網絡基礎設施之上,路由決定將發生在軟件的幫助。
覆蓋協議:VXLAN、NVGRE、GRE、OTV、OMP、mVPN
覆蓋網絡是一種使用軟件創建網絡抽象層的方法,可用於在物理網絡之上運行多個獨立的、離散的虛擬化網絡層,通常提供新的應用程序或安全優勢。
來源:Underlay Network 和 Overlay Network
攻擊向量(Attack Vector)
VXLAN 是一個 MAC-over-IP 覆蓋網絡,它繼承了第 2 層和第 3 層攻擊向量,因此它擴展了第 2 層網絡的攻擊向量。
傳統上, 第 2 層網絡 只能被惡意端點從“內部”攻擊——要么:
. 通過不當訪問 LAN 和窺探流量,
. 通過注入欺騙性數據包來“接管”另一個 MAC 地址,或
. 通過氾濫並導致拒絕服務。
用於傳送第 2 層流量的 MAC-over-IP 機制顯著擴展了此攻擊面。 這可能是由於流氓將自己注入網絡而發生的:
. 通過 訂閱一個或多個 承載 VXLAN 網段廣播流量的多播組,以及
. 通過將 MAC-over-UDP 幀發送 到傳輸網絡以注入虛假流量,可能是為了劫持 MAC 地址。
本文檔不包含針對此類攻擊的具體措施,而是依賴於 IP 之上的其他傳統機制。相反,本節概述了 VXLAN 環境中一些可能的安全方法。
. 通過限制在 VXLAN 環境中部署和管理虛擬機/網關的人員的管理和管理範圍,可以減輕流氓端點的傳統第 2 層攻擊。此外,此類管理措施可能會通過 802.1X 之類的方案得到加強,以對單個端點進行准入控制。此外,使用基於 UDP 的 VXLAN 封裝可以在物理交換機中配置和使用基於 5 元組的 ACL(訪問控制列表)功能。
. 可以使用 IPsec 等傳統安全機制保護 IP 網絡上的隧道流量,這些機制對 VXLAN 流量進行身份驗證和可選加密。當然,這需要與授權端點的身份驗證基礎設施相結合,以獲取和分發憑據。
. VXLAN 覆蓋網絡是在現有 LAN 基礎設施上指定和運行的。為確保 VXLAN 端點及其 VTEP 在 LAN 上獲得授權,建議為 VXLAN 流量指定一個 VLAN,服務器/VTEP 通過此 VLAN 發送 VXLAN 流量以提供安全措施。
. 此外,VXLAN 需要在這些覆蓋網絡中正確映射 VNI 和 VM 成員資格。期望使用現有安全方法完成此映射並將其傳送到 VTEP 和網關上的管理實體。
來源:RFC 7348
區域網路上的 EAP(EAP over LAN)
-EAP 和 802.1X
IEEE 802.1X 是基於端口的網絡訪問控制 (PNAC) 的 IEEE 標準。它是 IEEE 802.1 網絡協議組的一部分。它為希望連接到 LAN 或 WLAN 的設備提供身份驗證機制。
IEEE 802.1X 定義了基於 IEEE 802.11 的可擴展身份驗證協議 (EAP) 的封裝,稱為“EAP over LAN”或 EAPOL。EAPOL 最初是為 802.1X-2001 中的 IEEE 802.3 以太網設計的,但在 802.1X-2001 中被闡明以適合其他 IEEE 802 LAN 技術,例如 IEEE 802.11 無線和光纖分佈式數據接口(ANSI X3T9.5/X3T12 和 ISO 9314) . 在 802.1X-2010 中,EAPOL 也經過修改以與 IEEE 802.1AE(“MACsec”)和 IEEE 802.1AR(安全設備身份,DevID)一起使用,以支持內部 LAN 段上的服務識別和可選的點對點加密。
資料來源:維基百科
參考
. 虛擬可擴展區域網路 (VXLAN):在第 3 層網絡上覆蓋虛擬化第 2 層網絡的框架 (RFC 7348)
. 虛擬可擴展 LAN(維基百科)
. 什麼是 VXLAN?(Juniper)
. 底層網絡和覆蓋網絡
. 網絡工程師對虛擬可擴展區域網路 (VXLAN) 的看法
. TOR、EOR 和 MOR 是什麼意思?
. 數據中心架構中流行的 ToR 和 ToR 交換機
. 虛擬區域網路 | 第 1 部分 – VxLAN 的工作原理 (YouTube)
. VXLAN 介紹 (YouTube)
. SD-WAN 的基礎知識
. 私有VLAN
. 虛擬可擴展區域網路
. RFC 7348:虛擬可擴展區域網路 (VXLAN):在第 3 層網絡上覆蓋虛擬化第 2 層網絡的框架
資料來源: Wentz Wu QOTD-20210804
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-VPN 和 EAP
VPN 服務器可以在沒有 RADIUS 服務器支持的情況下作為身份驗證服務器運行,RADIUS 服務器與 RADIUS 客戶端(VPN 服務器)而不是 VPN 客戶端進行通信。VPN 客戶端可以通過 PEAP 對 VPN 服務器進行身份驗證,“PEAP 是一種將 可擴展身份驗證協議 (EAP) 封裝在加密和經過身份驗證的 傳輸層安全 (TLS) 隧道中的協議”。(維基百科)
802.1X 也稱為 EAP over Lan (EAPoL),用於局域網訪問控制,特別是有線乙太網路或 WI-FI 網路。802.1X 不是為遠程訪問身份驗證或 VPN 設計的。
“可擴展身份驗證協議 ( EAP ) 是一種經常用於網路和 Internet 連接的身份驗證框架。” (維基百科)EAP 不是用於認證主體的認證協議,而是一種擴展認證協議的協議。
參考
. 誤用案例
. 集成測試
. 系統測試
資料來源: Wentz Wu QOTD-20211025
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
API 是什麼?
API,全名 Application Programming Interface (應用程式介面),簡單來說,是品牌開發出的一種接口,讓第三方可以額外開發、應用在自身的產品上的系統溝通介面。
來看個短短的、清楚直白的敘述影片:API 就是你的餐廳服務生💁
https://cdn.embedly.com/widgets/media.html?src=https%3A%2F%2Fwww.youtube.com%2Fembed%2FzvKadd9Cflc%3Ffeature%3Doembed&url=http%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DzvKadd9Cflc&image=https%3A%2F%2Fi.ytimg.com%2Fvi%2FzvKadd9Cflc%2Fhqdefault.jpg&key=a19fcc184b9711e1b4764040d3dc5c07&type=text%2Fhtml&schema=youtube
以實際應用的範例而言,Google Map API 就很好理解了,常常可以在各式不同的網站看見 Google Map 應用,很多都是接 Google Map API 的範例,營運考量上,有可能 API 會限制一定使用流量以內免費,超過即收費,Google map 也是如此。
在 RESTful API 之前,要再理解一下 HTTP,HTTP 是一種協定,全名 Hypertext Transfer Protocol(超文本傳輸協定),網路世界其實就分為客戶端、伺服器端,舉例說,客戶端就是我,伺服器端就是 Yahoo,我要看 Yahoo 的首頁,我就是向 Yahoo 的伺服器端傳送了這個要求,Yahoo 再回應資源給我。為了讓要求和回應統一規範,就有了 HTTP。
舉例,假設我要吃滷味:
- 在瀏覽器輸入 Yahoo 網址,按下 enter,送出 request (跟老闆說我要切兩塊百頁豆腐)
- 伺服器收到 request 檢查該網址是否存在(老闆轉身看百頁豆腐還有沒有)
- 伺服器發 response 回來(百頁豆腐切好了)
跟老闆點餐的方式,有一定的規範跟方式,像是我一定要用講的,不可以用比的,我要說中文,不可以說英文,這就是 HTTP 協定。
如果伺服器發現網址不存在(老闆發現百頁豆腐賣完了),就會回傳 HTTP status code 狀態碼 404:
狀態碼又會再分為下幾種:
2xx = Success(成功)
3xx = Redirect(重定向)
4xx = User error(客戶端錯誤)
5xx = Server error(伺服器端錯誤)
在 HTTP 中,會有很多種 method 做為請求的方法,常用的幾個動作分別為:GET / POST / PUT / DELETE,正好會對應到資料庫基本操作 CRUD 增刪查改。
CRUD 為 Create(新增)、Read(讀取)、Update(更新)與Delete(刪除)的縮寫
那 RESTful API 又是什麼?
先來看是誰發明的↓
REST,全名 Representational State Transfer( 表現層狀態轉移),他是一種設計風格,RESTful 只是轉為形容詞,像是 peace 和平這名詞,轉成形容詞是 peaceful,RESTful 則形容以此規範設計的 API,稱為 RESTful API。
先用白話來說,以剛剛 API 影片中的餐廳服務生為例,如果使用一般的 API 點菜,我要加點、查看已點菜色、修改已點菜色、取消已點菜色,都需要不同的服務生替我服務,可能加點的服務生是 John、查看已點菜色是 Annie….等,RESTful API,就是讓這些動作,都可以由同一位服務生完成。
RESTful API 主要由三種元件組成:
- Nouns 名詞:定義資源位置的 URL,每個資源在網路上都會有唯一的位置,就如每戶人家都有唯一的地址一樣。
- Verbs 動詞:對資源要做的動作。
- Content Types 資源呈現方式:API 資源可以以多種方式表現,最常用的是 JSON,較輕,也較好處理。
一般的 API,可能會是這樣:
獲得資料GET /getData
新增資料POST /createData
刪除資料DELETE /deleteData/1
不同公司,不一樣的工程師,設計的名稱都會不一樣,沒有統一的命名方式,造成在引用各家 API 時,都需要詳讀 API 文件,理解所有設計命名規則後,才可使用。
若以 RESTful API 風格開發的話:
獲得資料GET /data
新增資料POST /data
刪除資料DELETE /data/1
就是用一個唯一的 URL 定位資源,將動作藏在 HTTP 的 method 裡面。
所以使用 RESTful 風格設計的 API,就有了以下幾種優點及限制:
1. 有唯一的URL表示資源位置,統一的 API 接口。(Uniform Interface)
2. 無狀態。(Stateless)
RESTful 的狀態,意即 HTTP 的請求狀態,一般 Web 服務中,Server 端和 Client 端交互的資訊,會存在 Server 端的 Session (例如:已登入狀態),在 Client 端再次發送請求的時候,Server 端透過保存在 Server 端的 Session,去執行 request。無狀態的意思,即 Client 端自行保存狀態,在請求 Server 的時候,一併附上給 Server 端,Server 端無保存 Client 端的狀態資訊。
舉例來說,可能在用戶登錄系統時,Server 產生 token 紀錄 user 已登錄系統,然後把 token 還給 Client,在 Client 再次發送請求的時候,把 token 一起發給 Server,這樣 Server 就知道這一個 Client 是已經處於登錄的狀態。
意即所有的資源都可以 URI 定位,而且這個定位與其他資源無關,也不會因為其他資源的變化而變化,資源相互的依賴性降低。
舉一個白話一點的例子:查詢員工工資:
第一步:登錄系統。
第二步:進入查詢工資的頁面。
第三步:搜索該員工。
第四步:點擊姓名查看工資。
這樣的操作流程就是有狀態的,查詢工資的每一個步驟都依賴於前一個步驟,只要前置操作不成功,後續操作就無法執行。如果輸入一個URL就可以直接得到指定員工的工資,這種情況就是無狀態的,因為獲取工資不依賴於其他資源或狀態,這種情況下,員工工資是一個資源,由一個 URL 與之對應可以通過 HTTP 中的 GET 方法得到資源,這就是典型的 RESTful 風格。
3. 可更高效利用快取來提高回應速度 (Cachable)
在 server-side,GET 過的資源,如果沒有被變更過,可以利用 cache 機制減少 request。
在 client-side,透過 client 端 cache 紀錄 cache 版本,若向 server 要求資源時發現 server 最新版與 cache 相同,則 client 端直接取用本地資源即可,不需要再做一次查詢
4. 分層系統架構 (Layered System)
5. 客戶端服務器分離 (Client-Server)
6. 充份利用 HTTP protocal(GET/POST/PUT/DELETE) (Manipulation of resources through representations)
7. 可執行程式碼的設計,像是 JavaScript(非必要實作項目) Code-On-Demand (optional)
參考文章:
https://zh.wikipedia.org/wiki/%E8%A1%A8%E7%8E%B0%E5%B1%82%E7%8A%B6%E6%80%81%E8%BD%AC%E6%8D%A2
https://tw.alphacamp.co/blog/2016-10-25-coding-basics-for-marketers-1
https://ithelp.ithome.com.tw/articles/10157431
https://www.itread01.com/content/1544242329.html
https://progressbar.tw/posts/53
https://blog.csdn.net/hjc1984117/article/details/77334616
https://www.zhihu.com/question/28557115
https://blog.csdn.net/hjc1984117/article/details/77334616
http://www.ruanyifeng.com/blog/2011/09/restful.html
https://blog.toright.com/posts/5523/restful-api-%E8%A8%AD%E8%A8%88%E6%BA%96%E5%89%87%E8%88%87%E5%AF%A6%E5%8B%99%E7%B6%93%E9%A9%97.html
https://blog.csdn.net/Jmilk/article/details/50461577
https://blog.csdn.net/matthew_zhang/article/details/63410421
資料來源:https://medium.com/itsems-frontend/api-%E6%98%AF%E4%BB%80%E9%BA%BC-restful-api-%E5%8F%88%E6%98%AF%E4%BB%80%E9%BA%BC-a001a85ab638
VPN就是透過tunneling技術, 把公眾/共用網路當作(模擬成)網路線來連接公司的電腦及網路. 由於使用公眾/共用網路, 因此必須搭配安全服務(如身份驗證, 金鑰交換, 加密, 完整性控制)才能安全地在tunnel上傳輸資料.
VPN = 建立私有通道(tunneling) + 提供安全服務(security services)
https://wentzwu.com/2022/05/18/vpn-tunneling-and-security-services/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-代碼倉庫:git
顧名思義,整合測試結合了代碼單元、模組或子系統並對其進行測試。在託管代碼儲存庫的服務器上進行整合測試是很常見的,例如 git 服務器。
在持續整合設置中,當滿足構建標準(夜間構建或新代碼簽入)時,服務器開始構建代碼並運行簽入代碼存儲庫的所有單元測試。如果構建或任何測試失敗,則會向相關方發送通知以解決問題,直到一切正常;這種迭代過程稱為回歸測試。
模組或子系統通常通過所謂的 API(應用程序編程接口)相互通信。API 測試沒有用戶界面,依賴於測試工具來提供數據作為輸入並接收結果作為輸出。Fuzzer 是Fuzz 測試中使用的工具,可幫助生成隨機測試數據以饋入接口測試。
系統測試在整合測試完成後開始,例如壓力測試、性能測試、安全測試等。大部分系統測試任務都可以自動化。一旦自動化任務完成,測試人員就會參與進來。他們根據包含一個或多個場景或用例的測試用例來測試系統。誤用案例基本上是採取攻擊者觀點的用例。
資料來源: Wentz Wu QOTD-20211024
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
領導與管理的心得:
領導力(leadership)就是影響力。管理是達成目標的一套有系統的方法,最常的方法是PDCA. 因此,目標及事情才需要被管理;人需要的是被影響、被感動,一起為美好的未來而努力!
領導人(leader)需要明白自己的價值觀及使命、能擘劃美好未來的願景,並具備說故事的能力,以及說到作到的執行力才能感動人,讓大家一起為了共同的目標與願景而努力。
影響力的來源有很多,可以是高貴的道德情操、人格特質、技術能力,或制度上的職稱或權力等。透過這些影響力讓大家願意一起前衝就是領導的本質與內涵。
-XP 實踐(來源:https ://twitter.com/CharlotteBRF )
結對編程是眾所周知的極限編程 (XP) 實踐之一。這也是一種實時代碼審查的實踐;同行開發人員在其他開發人員編寫代碼時即時監控和審查。
命名約定(Naming convention)、SQL 注入(SQL injection)和邏輯炸彈(logic bomb)在源代碼級別很容易被發現。然而,像死鎖這樣的競爭條件通常會不時發生在運行時(動態測試),並且很難在設計時識別(靜態測試)。競爭條件是由多線程、並行編程或多用戶環境導致的並發問題。
參考
. 代碼審查清單——執行有效的代碼審查
. 任何開發人員都應該知道的 4 種代碼審查類型
. 五種審查
資料來源: Wentz Wu QOTD-20211023
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。
成熟度模型中的安全構建 (BSIMM) 是對當前軟件安全計劃或程序的研究。它量化了跨行業、規模和地域的不同組織的應用程式安全 (appsec) 實踐,同時確定了使每個組織獨一無二的變化。
BSIMM 包括:
對組織當前的appsec 計劃 提供客觀、數據驅動的評估的評估
成為提供協作、最佳實踐和獨家內容的安全同行社區的成員
全球會議 ,包括來自安全領導者的主題演講、交流機會以及交流技術和實踐的論壇
一份年度報告 (目前為 BSIMM12),提供對現實世界軟件安全計劃、實踐和活動的數據驅動分析
資料來源:BSIMM
參考
. OWASP SAMM
. 網絡安全成熟度模型認證
. 負責採辦和維持的國防部副部長辦公室 (OUSD(A&S))
. 關於 BSIMM
. 能力成熟度模型集成 (CMMI)
資料來源: Wentz Wu QOTD-20211022
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
網路功能虛擬化 (NFV) 通常使用專有服務器來運行網路服務以提高性能。
根據Wikipedia的說法,“NFV 部署通常使用商品服務器來運行以前基於硬體的網路服務軟體版本。”
-SDN架構
-SDP架構
-核心零信任邏輯組件(來源:NIST SP 800-207)
參考
. 軟體定義網路
. 軟體定義的邊界:SDP 的架構視圖
. SDP 和零信任
. 軟體定義邊界 (SDP):創建新的網路邊界
. SDP(軟體定義定義)讓SDN更安全,你的對面不能是一條狗!
資料來源: Wentz Wu QOTD-20211018
-示例 XACML 實現
XACML主要用於授權而不是身份驗證。可以實施 PKI 以支持相互身份驗證。802.1X,又名 EAP over LAN,是一種基於 EAP 的網路存取控制標準。HTTP Basic Authentication 是一種純文本的身份驗證方案;但是,它可以受到 TLS/SSL 的保護。
XACML 代表“可擴展存取控制標記語言”。該標准定義了一種聲明性的細粒度、基於屬性的存取控制策略語言、一種體系結構和一個處理模型,描述瞭如何根據策略中定義的規則來評估存取請求。
作為已發布的標準規範,XACML 的目標之一是促進多個供應商的存取控制實現之間的通用術語和互操作性。XACML 主要是基於屬性的存取控制系統 (ABAC),也稱為基於策略的存取控制 (PBAC) 系統,其中與用戶或操作或資源相關聯的屬性(數據位)被輸入到決定是否給定用戶可以以特定方式存取給定資源。基於角色的存取控制 (RBAC) 也可以在 XACML 中實現,作為 ABAC 的專門化。
XACML 模型支持並鼓勵將執行 (PEP) 與決策 (PDP) 與授權的管理/定義 (PAP) 分離。當訪問決策在應用程序中硬編碼(或基於本地機器用戶 ID 和存取控制列表 (ACL))時,當管理策略發生變化時很難更新決策標準,並且很難實現對應用程序的可見性或審計授權到位。當客戶端與存取決策分離時,授權策略可以即時更新並立即影響所有客戶端。
資料來源:維基百科
資料來源: Wentz Wu QOTD-20211010
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
PKI 證書編碼(PKI Certificate Encoding)
X.509 標準中未定義的一個值得注意的元素是證書內容應如何編碼以存儲在文件中。但是,通常有兩種編碼模式用於將數字證書存儲在文件中:
可分辨編碼規則 (Distinguished Encoding Rules:DER) – 最常見,因為架構處理大多數數據對象。DER 編碼的證書是二進製文件,不能被文本編輯器讀取,但可以被 Web 瀏覽器和許多客戶端應用程序處理。
隱私增強郵件 (Privacy Enhanced Mail:PEM) – 一種加密的電子郵件編碼模式,可用於將 DER 編碼的證書轉換為文本文件。
資料來源:Sectigo
參考
. 什麼是 X.509 證書及其工作原理?
. SSL 證書文件擴展名說明:PEM、PKCS7、DER 和 PKCS#12
. 數字證書
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
在部署基於容器的應用程序時,我們可以使用容器編排器來配置和管理容器。這意味著變更請求已獲批准和實施,集成和測試已完成,並且已授予操作授權 (ATO)。使用編排器有效地部署基於容器的應用程序依賴於良好的配置管理。
當您使用容器編排工具時,例如 Kubernetes 或 Docker Swarm(稍後會詳細介紹),您通常會在 YAML 或 JSON 文件中描述應用程序的配置,具體取決於編排工具。
這些配置文件(例如 docker-compose.yml)是您告訴編排工具在哪裡收集容器鏡像(例如,從 Docker Hub)、如何在容器之間建立網絡、如何掛載存儲卷以及在哪裡收集容器鏡像的地方。存儲該容器的日誌。
通常,團隊將對這些配置文件進行分支和版本控制,以便他們可以在不同的開發和測試環境中部署相同的應用程序,然後再將它們部署到生產集群。
資料來源:艾薩克·埃爾德里奇(Isaac Eldridge)
基礎設施即代碼 (Infrastructure as Code :IaC)
不可變的基礎設施是可編程的,可以實現自動化。基礎設施即代碼 (IaC) 是現代基礎設施的關鍵屬性之一,其中應用程序可以以編程方式提供、配置和利用基礎設施來運行自己。
資料來源:新堆棧(thenewstack)
參考
. 什麼是容器編排?
. 什麼是容器編排?(虛擬機)
. 什麼是容器編排?(IBM)
資料來源: Wentz Wu QOTD-20211008
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-層與層(Layer vs Tier)
前端輸入驗證和受限用戶界面是針對錶示層中的 SQL 注入的對策,這通常發生在客戶端。但是,攻擊者可能不會從表示層發起 SQL 注入,而是直接將帶有註入代碼的輸入提交到服務器端並繞過用戶界面。
輸入驗證應在客戶端和服務器端應用。參數化的 SQL 查詢可以在業務邏輯層或數據訪問層實現;這兩層都位於服務器端。
安全意識和培訓不是技術控制。
資料來源: Wentz Wu QOTD-20211006
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
在一個電信行業的技術詞彙,它是指為了向用戶提供(新)服務的準備和安裝一個網絡的處理過程。它也包括改變一個已存在的優先服務或功能的狀態。
「服務開通」常常出現在有關虛擬化、編配、效用計算、雲計算和開放式配置的概念和項目的上下文中。例如,結構化信息標準促進組織(Organization for the Advancement of Structured Information Standards,簡稱OASIS)開通服務技術委員會(Provisioning Services Technical Committee,簡稱PSTC),為交換用戶、資源和服務開通信息定義了一個基於可擴展標記語言(Extensible Markup Language,簡稱XML)的框架,例如,用於「在機構內部或之間管理身份信息和系統資源的服務開通和分配」的服務開通標記語言(Service Provisioning Markup Language,簡稱SPML):維基百科
參考
. 服務開通
資料來源: Wentz Wu QOTD-20210929
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-資料和系統所有者
將“資料所有者“(data owner)和“資料控制者”(data controller)一視同仁的情況並不少見。然而,事實並非如此。資料控制者專門用於個人資料和隱私的上下文中,而資料所有者通常意味著組織擁有資料的所有權,並且資料所有者負責保護他所委託的資料。
這個問題都是關於個人資料資料資料的保護,引用了 GDPR 中的文字,所以“資料資料控制者”比“資料所有者”更合適。可以直接或間接識別的人意味著資料主體。
Art. 4 GDPR 定義“個人資料”是指與已識別或可識別的自然人(“數據主體”)相關的任何信息;可識別的自然人是可以直接或間接識別的自然人,特別是通過參考諸如姓名、識別號、位置資料、在線標識符或特定於身體、生理、該自然人的基因、精神、經濟、文化或社會身份;
Art. 24 GDPR 控制者的責任:考慮到處理的性質、範圍、背景和目的以及自然人權利和自由的不同可能性和嚴重程度的風險,控制者應實施適當的技術和組織措施,以確保並且能夠證明處理是按照本條例進行的。 這些措施應在必要時進行審查和更新。
資料來源:GDPR
參考
. Art. 4 GDPR 定義
資料來源: Wentz Wu QOTD-20210928
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-計算機架構
CPU 指令將值加載到寄存器中進行計算是很常見的。CPU 的尋址模式意味著 CPU 如何定位感興趣的值。值可以在指令中立即給出(立即尋址)、從寄存器讀取(寄存器尋址)或從主存儲器加載(直接、間接、基址+偏移)。
一條指令可以通過以下方式指示 CPU 將值加載到寄存器中:
- 提供值所在的內存地址(直接尋址),
- 提供指向值所在的另一個內存地址的內存地址(間接尋址),或
- 提供內存地址作為基址(起點)和值所在的偏移量(距離)(基址+偏移量尋址)。
-運算符和操作數
-進程的內存佈局
資料來源: Wentz Wu QOTD-20210920
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-VPN 和 EAP
-EAP 協議比較
803.802.1X 使用基於 EAP 的身份驗證協議讓請求者向身份驗證器進行身份驗證,而 RAIDUS 是身份驗證器(RADIUS 客戶端)和身份驗證服務器(RADIUS 服務器)之間使用的協議。在 802.1X 的設置中不使用 Kerberos。
EAP-TLS 和 PEAP 都可以使用。但是,EAP-TLS 要求在客戶端和 AP 上都安裝證書以支持相互身份驗證。它提供了更高的安全性,但會增加證書管理的開銷。PEAP 重溫開銷;它只需要 AP 安裝證書。
資料來源: Wentz Wu QOTD-20210919
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-數位簽章
使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數字簽名的 改寫 。
. 使用 SHA 生成合約的消息驗證碼,確保數據來源的真實性。
. Bob 的公鑰加密的合約摘要不是 Alice 的數字簽名。
. 使用 Diffie-Hellman 同意的密鑰生成合同摘要的密文是一種干擾。Diffie-Hellman 用於密鑰協商/交換而不是加密。
數位簽章可確保不可否認性、數據完整性和真實性。從技術上講,數位簽章只不過是由主體的私鑰簽章的對象的哈希值。
-FISMA的完整性
-FISMA CIA
FIPS 186-4 批准了三種技術:DSA、RSA DSA 和 ECDSA,如下圖所示:
不可否認性(Non-repudiation)
. 不可否認性具有技術和法律意義。 技術不可否認 可以通過數位簽章實現,而 法律不可否認 是具有法律約束力的。
. 具有法律約束力的數位簽章是電子簽章的一種形式。但是,並非所有數位簽章都具有法律約束力。
參考
. 不可否認性
. CISSP 實踐問題 – 20210320
. CISSP 實踐問題 – 20210705
資料來源: Wentz Wu QOTD-20210917
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-治理結構
-波特的價值鏈
職能通過開展將輸入轉化為有用結果的活動來產生價值。一個組織通常由直線職能和員工組成,以支持運營和交付價值。
組織級別的安全功能可由任何級別的員工執行,具體取決於相關組織的規模、規模和安全意識。大公司可以設立由CISO或經理領導的專門部門負責資訊安全,而資源較少的小公司可以簡單地指派一名IT工程師或任何員工來處理資訊安全事務。
審計職能通常由董事會下屬的審計委員會指導。它是一個獨立的組織單位,可確保合規性並提供保障。審計功能不包括或管理安全功能以保持其獨立性和客觀性。
安全職能應確保資訊安全的有效性,遵守法律、法規、行業標準、合同、組織政策、道德規範等要求;它通常與審計職能分開。
參考
. 工作人員和線路
. 直線和員工組織
. 正式組織 – 直線組織
. 行組織:含義、類型、優點和缺點
. 內部審計職能
. 構建未來的內部審計職能
. AS 2605:考慮內部審計職能
. 審計部
. 什麼是安全功能
. 安全功能
. 資訊安全職能和職責
資料來源: Wentz Wu QOTD-20210911
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-滲透測試方法
使用 CVE 進行漏洞掃描通常遵循識別和枚舉端口、服務和資源的情況。進行滲透測試並不是一個絕對的順序,而是一種常見的做法。
參考
. CEH 黑客方法
資料來源: Wentz Wu QOTD-20210911
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-示例 XACML 實現
XACML 旨在支持授權,而不是身份驗證。
XACML 代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策略語言、架構和處理模型,描述瞭如何根據策略中定義的規則評估訪問請求。
-資料來源:維基百科
縮寫 學期 描述
PAP 政策管理點 管理訪問授權策略的點
PDP 政策決策點 在發布訪問決定之前根據授權策略評估訪問請求的點
PEP 政策執行點 攔截用戶對資源的訪問請求,向PDP發出決策請求以獲得訪問決策
(即對資源的訪問被批准或拒絕),並根據收到的決策採取行動的點
PIP 政策信息點 充當屬性值來源的系統實體(即資源、主題、環境)
PRP 策略檢索點 XACML 訪問授權策略的存儲點,通常是數據庫或文件系統。
-資料來源:維基百科
端口敲門和單包授權 (Port Knocking and Single Packet Authorization
:SPA)
802.1X是為認證而設計的,用於網絡訪問控制,而端口敲門是傳輸層的一種認證機制。連接嘗試的正確順序可以被視為身份驗證的秘密。只有當端口敲門序列正確時,防火牆才會動態地允許連接。
在 計算機聯網, 端口碰撞 是從外部打開方法 的端口 上的 防火牆 通過產生一組預先指定關閉的端口的連接嘗試。一旦接收到正確的連接嘗試序列,防火牆規則就會動態修改以允許發送連接嘗試的主機通過特定端口進行連接。存在一種稱為單包授權 (SPA) 的變體 ,其中只需要一次“敲門”,由加密 包組成 。
資料來源:維基百科
PKI 和 802.1X
公鑰基礎設施 (PKI) 和 802.1X 通常用於在 VPN、LAN 或無線網絡環境中進行身份驗證。
-VPN 和 EAP
參考
. 敲端口
資料來源: Wentz Wu QOTD-20210910
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
RESTful API
用戶或資源所有者向身份提供者而不是聯合系統中的資源或 API 服務器進行身份驗證。身份提供者向客戶端提供令牌,以便它可以訪問 API 服務器。
HTTPS 強制保密,但 POST 方法沒有。使用 POST 方法的 HTTP 請求以明文形式傳輸。
API 有一個漏洞,可以在設計階段通過威脅建模儘早識別。
RESTful API
RESTful API 通常可以通過基本 URI 訪問,使用標準 HTTP 方法並返回媒體類型。HTTP 請求 GET https://api.WentzWu.com/user/ {username}/{password} 看起來像一個 RESTful API 請求。但是,我們不知道 API 如何返回結果,也不能斷定它是 RESTful。
以下是維基百科關於 RESTful API 的總結:
表現層狀態轉換(REST) 是一種軟體架構風格,旨在指導萬維網架構的設計和開發。REST 已被整個軟件行業採用,並且是一套被廣泛接受的用於創建無狀態、可靠的 Web API 的指南。
遵守 REST 架構約束的 Web 服務 API 稱為 RESTful API。基於 HTTP 的 RESTful API 的定義有以下幾個方面:
–基本 URI,例如http://api.example.com/;
–標準 HTTP 方法(例如,GET、POST、PUT 和 DELETE);
–定義狀態轉換數據元素的媒體類型(例如,Atom、微格式、application/vnd.collection+json、[13]:91-99 等)。當前表示告訴客戶端如何編寫轉換到所有下一個可用應用程序狀態的請求。這可以像 URI 一樣簡單,也可以像 Java 小程序一樣複雜。
參考
. 表象狀態轉移
. 一個不好的例子:裸奔的帳密就在你我身邊
資料來源: Wentz Wu QOTD-20210909
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-NIST SDLC 和 RMF
NIST RMF 的第一步,Categorize System,通過評估系統處理的資訊類型的高水位來確定係統的影響級別,以便根據系統特定的要求選擇和定製或修改一組基線控制,作為風險評估的結果。
資訊安全政策是關鍵和高水平的。它沒有直接定制安全控制的詳細或特定要求。
資料來源: Wentz Wu QOTD-20210908
(ISC)² 道德準則
(ISC)² 道德準則僅適用於 (ISC)² 會員。垃圾郵件發送者的身份不明或匿名,這些垃圾郵件發送者不請自來,吹捧代理考生在 CISSP 考試中作弊。換句話說,他們不一定是 (ISC)² 成員。作為 CISSP,只有在您確定垃圾郵件發送者是 (ISC)² 成員的情況下,您才能向 (ISC)² 提交投訴,說明違反了道德規範的規範。
所有獲得 (ISC)² 認證的信息安全專業人員都承認,此類認證是一項必須獲得和維護的特權。為了支持這一原則,所有 (ISC)² 成員都必須承諾完全支持本道德準則(“準則”)。(ISC)² 成員故意或故意違反本準則的任何條款將受到同行評審小組的製裁,這可能會導致認證被撤銷。(ISC)² 會員有義務在發現 (ISC)² 會員違反本準則的任何行為後遵守道德投訴程序。不這樣做可能會被視為違反Canon IV 的準則。
資料來源: (ISC)²
參考
. (ISC)² 道德準則
. Hack-Back:邁向網絡自衛的法律框架
. 回擊利弊:反擊前您需要了解的內容
資料來源: Wentz Wu QOTD-20210907
-業務影響分析 (NIST)
支持產品或服務交付的業務流程通常取決於一個或多個資源。作為約束的業務流程的最大可容忍停機時間由業務人員決定,這推動了依賴資源恢復目標的設置。
-常見的 BIA 術語
資料來源: Wentz Wu QOTD-20210906
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-虛擬機和容器部署(來源:NIST SP 800-190)
虛擬機器監視器(Hypervisor)是虛擬機管理器,如上圖所示。來賓 VM 託管一個單獨的操作系統實例,而容器與其他容器共享操作系統內核。
內存邊界(Memory bounds)是一種常見的操作系統內存管理機製或計算機語言結構,用於限制進程的內存訪問。
-進程的內存佈局(Memory Layout of a Process)
解釋器( interpreter)可以被視為限制腳本行為的沙箱(sandbox)。例如,瀏覽器(browser)是解釋器作為 JavaScript 沙箱的一個很好的例子。
-軟體運行環境
資料來源: Wentz Wu QOTD-20210903
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
工業控制系統(ICS)
以下是 NIST SP 800-82 R2 的摘要:
控制系統用於許多不同的工業部門和關鍵基礎設施,包括製造、分銷和運輸。
工業控制系統(ICS)是包含幾種類型的控制系統,包括一個通用術語,監督控制和數據採集(SCADA)系統,分佈式控制系統(DCS) ,和其他控制系統的配置,例如可編程邏輯控制器(PLC)常常在工業部門和關鍵基礎設施中發現。
ICS 用於控制地理上分散的資產,通常分散在數千平方公里的範圍內,包括分配系統,例如配水和廢水收集系統、農業灌溉系統、石油和天然氣管道、電網和鐵路運輸系統。
典型的 ICS 包含大量控制迴路、人機界面以及遠程診斷和維護工具,這些工具是使用分層網路架構上的一系列網絡協議構建的。
SCADA 系統用於控制分散的資產,其中集中式數據採集與控制同等重要。
DCS 用於控制同一地理位置內的生產系統。
參考
. NIST SP 800-82 R2
. ENISA ICS SCADA
. OT、ICS、SCADA 和 DCS 之間有什麼區別?
. ICS/SCADA 網絡安全
資料來源: Wentz Wu QOTD-20210901
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
概要
NanoCore 遠程訪問木馬 (RAT) 於 2013 年首次在地下論壇上出售時被發現。該惡意軟件具有多種功能,例如鍵盤記錄器、密碼竊取器,可以遠程將數據傳遞給惡意軟件操作員。它還能夠篡改和查看來自網絡攝像頭的鏡頭、屏幕鎖定、下載和盜竊文件等。
當前的 NanoCore RAT 正在通過利用社會工程的惡意垃圾郵件活動傳播,其中電子郵件包含虛假的銀行付款收據和報價請求。這些電子郵件還包含帶有 .img 或 .iso 擴展名的惡意附件。磁盤映像文件使用 .img 和 .iso 文件來存儲磁盤或光盤的原始轉儲。另一個版本的 NanoCore 也在利用特製 ZIP 文件的網絡釣魚活動中分發,該 ZIP 文件旨在繞過安全電子郵件網關。某些版本的 PowerArchiver、WinRar 和較舊的 7-Zip 可以提取惡意 ZIP 文件。被盜信息被發送到惡意軟件攻擊者的命令和控制 (C&C) 服務器。
此 RAT 收集以下數據並將其發送到其服務器:
- 瀏覽器的用戶名和密碼
- 文件傳輸協議 (FTP) 客戶端或文件管理器軟件存儲的帳戶信息
- 流行郵件客戶端的電子郵件憑據
能力:
- 信息竊取
- 後門命令
- 漏洞利用
- 禁用使用能力
影響:
- 危害系統安全 – 具有可以執行惡意命令的後門功能
- 侵犯用戶隱私 – 收集用戶憑據、記錄擊鍵並竊取用戶信息
感染詳情:
樣本垃圾郵件 – 銀行付款收據附件垃圾郵件
MITRE ATT & CK 矩陣
資料來源:https://success.trendmicro.com/tw/solution/1122912-nanocore-malware-information
蠕蟲可以主動利用網路服務漏洞或被動使用群發郵件來傳播自身。但是,只有當用戶執行附加到電子郵件的惡意代碼時,它才會變為活動狀態。
. 病毒不會自我複制;它可以被操作系統(例如編譯病毒)或應用程序(例如巨集病毒)加載和執行。
. “惡意移動代碼是具有惡意意圖的軟體,從遠程主機傳輸到本地主機,然後在本地主機上執行,通常沒有用戶的明確指令。惡意移動代碼的流行語言包括 Java、ActiveX、JavaScript 和 VBScript。” (NIST SP 800-83 R1)
惡意移動代碼不涉及移動應用程序,並且在沒有用戶明確指示的情況下穿越移動設備。
. 特洛伊木馬不會自我複制。這是一個自成一體的程式,似乎是良性的,但實際上有一個隱藏的惡意目的。
參考
. NIST SP 800-83 R1
資料來源: Wentz Wu QOTD-20210831
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
以下是 NIST SP 800-204B 的摘錄:
可以通過配置身份驗證和存取控制策略來實施對微服務的細粒度存取控制。這些策略在服務網格的控制平面中定義,映射到低級配置,並推送到構成服務網格數據平面的邊車代理(sidecar proxies)中。
授權策略,就像它們的身份驗證對應物一樣,可以在服務級別和最終用戶級別指定。此外,授權策略是基於存取控制模型的構造來表達的,並且可能會根據應用程序和企業級指令的性質而有所不同。此外,存取控制數據的位置可能因企業中的身份和存取管理基礎設施而異。這些變化導致以下變量:
● 兩個授權級別——服務級別和最終用戶級別
● 用於表達授權策略的存取控制模型
● 存取控制數據在集中或外部授權服務器中的位置或作為頭數據攜帶
服務網格中支持的存取控制使用抽象來分組一個或多個策略組件(在第 4.5.1 節中描述),用於指定服務級別或最終用戶級別的授權策略。由於基於微服務的應用程序被實現為 API(例如,表現層狀態轉換(REST)ful API),使用鍵/值對描述的授權策略組件將具有與 API 相關的屬性,包括相關的網絡協議。授權策略的類型有:
● 服務級授權策略
● 最終用戶級授權策略
● 基於模型的授權策略
參考
. NIST SP 800-204B
資料來源: Wentz Wu QOTD-20210830
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-VPN 訪問(來源:ActForNet)
VPN 是一種通過隧道連接節點的虛擬網路。L2F、PPTP 和 L2TP 是早期的隧道協議。通過 VPN 隧道傳輸的數據通常由安全協議加密,例如 SSL/TLS、IPsec、SSH、MPPE。
L2F 不提供加密。PPTP 使用 MPPE(Microsoft 點對點加密)加密數據。L2TP 本身建立隧道但不加密數據;它通常通過 IPsec 強制保密。
“Secure Shell (SSH)是一種加密網路協議,用於在不安全的網路上安全地運行網路服務。” (維基百科)它可用於建立 SSH VPN 或與其他隧道協議一起使用。
-SSH隧道
參考
. NIST SP 800-77 R1
. NIST SP 800-113
. 如何使用 SSH 配置端口轉發
. 如何找到SSH隧道
資料來源: Wentz Wu QOTD-20210827
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-數字身份模型(來源:NIST SP 800 63-3)
“秘密”是用於驗證主體身份的最關鍵元素。一個認證是秘密的載體,例如,密碼,在你的大腦記憶(你知道的),私有密鑰儲存在令牌設備(你有什麼),或生物識別嵌入在你的身體(你是)。
生物識別(您的身份)不足以構成秘密,因為它可能會暴露給公眾。例如,您的自拍可能會讓您容易受到黑客的攻擊。NIST SP 800-63 系列指南“僅允許在與物理身份驗證器強綁定時使用生物識別技術進行身份驗證。”
用於基於知識的身份驗證的認知密碼是您知道的一種形式,但它們也不是秘密。顧名思義,它們就是知識。
基於位置的身份驗證(您所在的某個地方)不是身份驗證因素。
以下是 NIST SP 800-63-3 的摘錄:
身份驗證系統的經典範例將三個因素確定為身份驗證的基石:
• 您知道的東西(例如,密碼)。
• 您擁有的東西(例如,ID 徽章或加密密鑰)。
• 您的身份(例如,指紋或其他生物特徵數據)。
MFA是指使用以上因素中的一種以上。
身份驗證系統的強度在很大程度上取決於系統所包含的因素的數量——採用的因素越多,身份驗證系統就越強大。就這些準則而言,使用兩個因素足以滿足最高的安全要求。
如第 5.1 節所述,RP 或驗證者可以使用其他類型的信息(例如位置數據或設備身份)來評估所聲明身份中的風險,但它們不被視為身份驗證因素。
在數字認證申請人擁有和控制的一個或多個鑑定人已註冊與CSP和用於證明申請人的身份。身份驗證器包含索賠人可以用來證明他或她是有效訂戶的秘密,索賠人通過證明他或她擁有和控制一個或多個身份驗證器來對網路上的系統或應用程序進行身份驗證。
在本卷中,身份驗證器始終包含一個秘密。一些經典的身份驗證因素並不直接適用於數字身份驗證。例如,物理駕駛執照是您擁有的東西,並且在向人類(例如保安人員)進行身份驗證時可能很有用,但它本身並不是數字身份驗證的身份驗證器。
歸類為您所知的身份驗證因素也不一定是秘密。 基於知識的身份驗證,其中提示申請人回答可能只有申請人知道的問題,也不構成數字身份驗證可接受的秘密。一個生物特徵也並不能構成一個秘密。因此,這些指南僅允許在與物理身份驗證器強綁定時使用生物識別技術進行身份驗證。
來源:NIST SP 800-63-3
參考
. NIST SP 800-63-3
. 你的自拍可能會讓你容易受到黑客攻擊
. 化妝和假手指——領先於網絡騙子
. 照片中隱藏的指紋
資料來源: Wentz Wu QOTD-20210825
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-API 網關和服務網格(來源:Liran Katz)
服務網格(service mesh)是便於一個專用基礎設施層服務對服務的通信通過服務發現,路由和內部負載均衡,流量的結構,加密,認證和授權,指標和監測。
它提供了在由於服務實例脫機和不斷重定位而導致網路拓撲變化的環境中通過策略聲明性地定義網路行為、節點身份和流量流的能力。
它可以被視為一種網路模型,它位於開放系統互連 (OSI) 模型(例如,傳輸控制協議/互聯網協議 (TCP/IP))的傳輸層之上的抽象層,並處理服務的會話層(OSI 模型的第 5 層)關注。然而,細粒度的授權可能仍然需要在微服務上執行,因為這是唯一完全了解業務邏輯的實體。
服務網格概念上有兩個模塊——數據平面和控制平面。在數據平面承載通過服務特定代理服務實例之間的應用請求的流量。所述控制平面配置數據平面,提供了一種用於遙測點聚集,以及用於通過各種特徵,諸如負載平衡,斷路,或速率限制修改網路的行為提供API。
來源:NIST SP 800-204
參考
. NIST SP 800-204
. 邊車模式(Sidecar pattern)
資料來源: Wentz Wu QOTD-20210824
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
微服務-API 閘道器
-API 閘道器和服務網格(來源:Liran Katz)
實施 API 閘道器以促進跨境通信;他們控制著南北和東西向的交通。外部或邊緣 API 閘道器將來自客戶端的入站請求路由到適當的服務;內部 API 閘道器促進了各種服務網格範圍之間的通信。服務網格促進特定範圍內的服務到服務通信。
API 閘道器架構可以是整體式的,也可以是分佈式的。
在整體式API 閘道器架構中,通常只有一個 API 閘道器部署在企業網路的邊緣(例如,非軍事區 (DMZ)),並在企業級為 API 提供所有服務。
在分佈式API閘道器架構中,有多個微閘道器實例,部署在更靠近微服務API的地方。微閘道器通常是低的覆蓋區,其可以被用來定義和執行自定義策略,因此適合用於基於微服務的應用程序,必須通過特定的服務的安全策略來保護可腳本API閘道器。
微閘道器通常作為使用 Node.js 等開發平台的獨立容器實現。它不同於服務網格架構的 sidecar 代理,後者是在 API 端點本身實現的。
來源:來源:NIST SP 800-204
服務網格(Service Mesh)
服務網格是一個專用的基礎設施層,它通過服務發現、路由和內部負載平衡、流量配置、加密、身份驗證和授權、指標和監控來促進服務到服務的通信。
服務網格為微服務應用程序中的每個服務創建一個小型代理服務器實例。這種專門的代理汽車有時在服務網格術語中被稱為“ sidecar 代理”。Sidecar 代理形成了數據平面,而執行安全性(訪問控制、通信相關)所需的運行時操作是通過從控制平面向 sidecar 代理注入策略(例如訪問控制策略)來啟用的。這也提供了在不修改微服務代碼的情況下動態更改策略的靈活性。
來源:NIST SP 800-204
API閘道器(API Gateway)
API 閘道器的主要功能是始終將入站請求路由到正確的下游服務,可選擇執行協議轉換 (即 Web 協議之間的轉換,例如 HTTP 和 WebSocket,以及內部使用的 Web 不友好協議,例如作為 AMQP 和 Thrift 二進制 RPC)並且有時組合 requests。在極少數情況下,它們被用作前端后端 (BFF) 的一部分,從而支持具有不同外形因素(例如,瀏覽器、移動設備)的客戶端。
來自客戶端的所有請求首先通過 API 閘道器,然後將請求路由到適當的微服務。API 閘道器通常會通過調用多個微服務並聚合結果來處理請求。
由於API閘道器是微服務的入口點,所以它應該配備必要的基礎服務(除了其主要的請求整形服務),如服務發現、認證和存取控制、負載平衡、緩存、提供自定義API對於每種類型的客戶端,應用感知健康檢查、服務監控、攻擊檢測、攻擊響應、安全日誌記錄和監控以及斷路器。
來源:NIST SP 800-204
參考
. NIST SP 800-204
. 網路層複習
. 服務網格與 API 閘道器:有什麼區別?
. API 閘道器和服務網格的區別
. API 閘道器與服務網格
. API 閘道器和服務網格:打開應用現代化的大門
資料來源: Wentz Wu QOTD-20210823
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-微服務架構
微服務是一種分佈式架構風格。它具有多種優點,例如:
. 可以提高可擴展性。
. 開發團隊可以獨立工作並變得更加敏捷。
. 服務的獨立性提高了代碼的可重用性。
. 系統的整體架構可以與組織結構保持一致。
但是,由於分佈式架構的性質,微服務的可用性、可管理性和監控可能需要更多的開銷。可擴展性和可用性的概念經常被混淆。可伸縮性是關於服務可以服務多少客戶端,而可用性是客戶端可以可靠和及時地訪問服務的程度。
服務或系統可以採用不同的可擴展性策略,例如,縱向擴展或橫向擴展。擴展策略可能不會提高可用性。橫向擴展策略在不同程度上有助於提高可用性,例如,沒有心跳檢查的基於 DNS 的循環負載均衡器呈現的可用性程度低於檢查服務健康狀態的基於集群的負載均衡器。
以下是 NIST SP 800-204 的摘錄:
微服務的優勢
. 對於大型應用程序,將應用程序拆分為鬆散耦合的組件可以實現分配給每個組件的開發團隊之間的獨立性。然後,每個團隊都可以通過選擇自己的開發平台、工具、語言、中間件和硬件來優化,基於它們對正在開發的組件的適用性。
. 每個組件都可以獨立縮放。資源的有針對性的分配導致資源的最大利用。
. 如果組件具有 HTTP RESTful 接口,只要接口保持不變,就可以在不中斷應用程序整體功能的情況下更改實現。
. 每個組件中涉及的代碼庫相對較小,使開發團隊能夠更快地生成更新,並為應用程序提供響應業務流程或市場條件變化的敏捷性。
. 組件之間的鬆散耦合能夠抑制微服務的中斷,從而將影響限制在該服務上,而不會對其他組件或應用程序的其他部分產生多米諾骨牌效應。
. 當組件使用異步事件處理機制鏈接在一起時,組件中斷的影響是暫時的,因為所需的功能將在組件再次開始運行時自動執行,從而保持業務流程的整體完整性。
. 通過將服務定義與業務能力對齊(或通過基於業務流程或能力的整體應用程序功能的分解邏輯),基於微服務的系統的整體架構與組織結構保持一致。當與組織單位相關的業務流程發生變化並因此需要修改和部署相關服務時,這促進了敏捷響應。
. 微服務的獨立功能特性促進了跨應用程序的代碼更好的可重用性。
. 必須監控多個組件(微服務)而不是單個應用程序。需要一個中央控制台來獲取每個組件的狀態和應用程序的整體狀態。因此,必須創建具有分佈式監控和集中查看功能的基礎設施。
. 多個組件的存在會造成可用性問題,因為任何組件都可能隨時停止運行。
. 一個組件可能必須為某些客戶端調用另一個組件的最新版本,並為另一組客戶端調用同一組件的先前版本(即版本管理)。
. 運行集成測試更加困難,因為需要一個測試環境,其中所有組件都必須工作並相互通信。
. 當基於微服務的應用程序內的交互設計為 API 調用時,必須實現安全 API 管理所需的所有必要流程。
. 微服務架構可以分解縱深防禦的做法。許多架構都有一個運行在 DMZ 中的 Web 服務器,預計會受到威脅,然後是 Web 服務器與之通信的後端服務,最後是後端服務與之通信的數據庫。後端服務可以充當暴露的 Web 服務器和數據庫中的敏感數據之間更堅固的層。微服務架構往往會破壞這一點,現在 Web 服務器和後端服務被分解為微服務,可能比以前的模型暴露得更多。這會導致調用者和敏感數據之間的保護層更少。因此,安全地設計和實現微服務本身以及服務網格或API 網關部署模型。
參考
. NIST SP 800-204
資料來源: Wentz Wu QOTD-20210822
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-面向服務的架構 (SOA)
面向服務的架構 (SOA) 可以通過 Web 服務或微服務來實現。Web 服務方法導致 SOA,而微服務架構是 SOA 的擴展。基於 SOA 的企業應用程序集成 (EAI) 通常為企業應用程序實現共享的企業服務總線 (ESB) 以交換消息。微服務託管在一個或多個容器中,這些容器在 Google Kubernetes (K8S)、Docker Swarm 或 Apache Mesos 的編排下協作。
面向服務的架構 (SOA)
服務是一個自包含的松耦合邏輯。在 SOA 中,傳統的單體應用程序被劃分為協作以實現共同目標的服務。服務提供商向私人或公共服務註冊機構註冊服務;服務消費者根據註冊中心查找或發現感興趣的服務以消費(綁定和調用)這些服務。
-SOA 的查找-綁定-執行範式(來源:Qusay H. Mahmoud)
“幾年前,IBM、微軟和 SAP 曾經託管公共 UDDI 服務器,但現在已經停產了。”
~ user159088 on stackoverflow
-SOA 元模型,The Linthicum Group,2007
微服務
微服務:微服務是一個基本元素,它源於將應用程序的組件架構分解為鬆散耦合的模式,這些模式由自包含的服務組成,這些服務使用標准通信協議和一組定義良好的 API 相互通信,獨立於任何供應商、產品或技術。
微服務是圍繞能力構建的,而不是服務,構建在 SOA 之上,並使用敏捷技術實現。微服務通常部署在應用程序容器內。
資料來源:NIST SP 800-180(草案)
容器編排
-Mesos、Swarm 和 Kubernetes(來源:Nane Kratzke)
-Kubernetes 架構(來源:Dorothy Norris)
參考
. SOA宣言
. 面向服務的架構
. 是否有任何公共 UDDI 註冊中心可用?
. UDDI 註冊中心:可由啟用總線的 Web 服務引用的 Web 服務目錄
. 模式:微服務架構
. 2019年容器編排
. 使用 Kubernetes、Docker Swarm 和 Mesos 進行 Neo4j 容器編排
. Kubernetes vs. Mesos——架構師的視角
. Apache Mesos PNG 4
. SOA 與微服務:有什麼區別?
. 企業服務總線
. 企業應用集成
. 面向服務的架構 (SOA) 和 Web 服務:企業應用程序集成 (EAI) 之路
. 面向服務架構的 Web 服務方法
資料來源: Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-NIST 通用風險模型 (NIST SP 800-30 R1)
NIST 通用風險模型描述了威脅源如何發起利用漏洞導致不利影響的威脅事件(例如,TTP、策略、技術和程序)。垃圾郵件發送者、恐怖分子和機器人網絡運營商是威脅來源,而網絡釣魚則是威脅事件。
風險與威脅
-什麼是風險?
資料來源: Wentz Wu QOTD-20210818
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-CVSS 指標組(來源:FIRST)
通用漏洞評分系統 (CVSS) 標准定義了三個指標組:基本、時間和環境指標組。基本指標組是強制性的,而時間和環境指標組是可選的。
基本指標組有兩個指標集,可利用性指標和影響指標,用於評估風險。風險包括兩個關鍵因素:不確定性(可能性或可能性)和影響(影響)。針對風險可能性或可能性的漏洞可利用性標準。如果一個風險的可能性很大,但對安全目標(機密性、完整性和可用性)沒有影響,那麼它就無關緊要或不是風險。
-CVSS 度量和方程(來源:FIRST)
參考
. 通用漏洞評分系統 v3.1:規範文檔
. 常見漏洞評分系統計算器
資料來源: Wentz Wu QOTD-20210817
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-網路安全挑戰
虛擬可擴展局域網 (Virtual eXtensible Local Area Network :VXLAN)
虛擬可擴展 LAN (VXLAN) 是一種網路虛擬化技術,旨在解決與大型雲計算部署相關的可擴展性問題。VXLAN 規範最初由 VMware、Arista Networks 和 Cisco 創建。(維基百科)
它是一個軟體定義的覆蓋網路,它使用類似 VLAN 的封裝技術將 OSI 第 2 層以太網幀封裝在第 4 層 UDP 數據報中,使用 4789 作為 IANA 分配的默認目標 UDP 端口號。最常見的應用之一是連接docker 容器的覆蓋網路。
-Docker 覆蓋網路(來源:nigelpoulton)
軟體定義網路 (Software Defined Networks:SDN)
軟體定義網路 (SDN) 技術是一種網路管理方法,它支持動態的、以編程方式高效的網路配置,以提高網路性能和監控,使其更像雲計算,而不是傳統的網路管理。SDN 試圖通過將網路數據包的轉發過程(數據平面)與路由過程(控制平面)分離,將網路智能集中在一個網路組件中。控制平面由一個或多個控制器組成,這些控制器被認為是整合了整個智能的 SDN 網路的大腦。
資料來源:維基百科
-SDN架構
軟體定義的邊界 (Software Defined Perimeter:SDP)
軟體定義邊界 (SDP),也稱為“黑雲”,是一種計算機安全方法,它從 2007 年左右在全球信息網格 (GIG) 黑色核心網路計劃下國防信息系統局 (DISA) 所做的工作演變而來.
軟體定義邊界 (SDP) 框架由雲安全聯盟 (CSA) 開發,用於根據身份控制對資源的訪問。軟體定義邊界中的連接基於需要知道的模型,在該模型中,在授予對應用程序基礎設施的訪問權限之前驗證設備狀態和身份。
軟體定義的邊界通過使應用程序所有者能夠部署邊界來解決這些問題,這些邊界保留了傳統模型對外部不可見和不可訪問的價值,但可以部署在任何地方——在互聯網上、在雲中、在託管中心、在私人公司網路,或跨越部分或所有這些位置。
資料來源:維基百科
-SDP架構
參考
. 微分段
. 什麼是微分段?
. 微分段與網路分段的區別
. 微分段:網路安全的下一次演變
. 2021 年最佳零信任安全解決方案
. 什麼是微分段?(帕洛阿爾托)
. 什麼是微分段?(VMware)
. 什麼是 VMware 虛擬化環境中的工作負載管理
. 軟體定義邊界中的微分段
. SD-WAN、SDP、ZTNA……它們真的有那麼不同嗎?
. 安全智庫:SDN、容器、加密和SDP的安全作用
. 軟體定義的邊界:SDP 的架構視圖
. 利用微分段構建全面的數據中心安全架構
. 使用 NSX-T 3.0 為 VLAN 微分段準備集群
資料來源: Wentz Wu QOTD-20210815
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-計算機架構
作為解決方案最重要的工件,架構是一個對象(解決方案)從各種觀點或角度的概念、邏輯和物理表示,它確定了它的構建塊、關係、交互、邊界、接口、環境和上下文以及指導解決方案在其整個生命週期中的演變。
~ 吳文智
定義
. 系統或解決方案的一組相關的物理和邏輯表示(即視圖)。該體系結構在不同抽象級別和不同範圍內傳達有關係統/解決方案元素、互連、關係和行為的信息。(來源:NIST SP 800-160 第 1 卷)
. 與描述對象相關的一組設計人工製品或描述性表示,以便它可以按要求(質量)生產並在其使用壽命(變更)期間保持不變(來源:Zachman:1996,ISO/TR 20514:2005)
. 體現在其組件中的系統的基本組織、它們之間的關係以及與環境的關係,以及指導其設計和演變的原則(來源:ISO/IEC 15288:2008)
. 一套系統的概念和規則,描述了整個系統中實體之間的相互關係,獨立於硬體和軟體環境
注 1:架構是通過一系列可能處於不同級別的通用性的觀點來描述的/ specificity、abstraction/concept、totality/component等等。另請參見下文中的“通信視點”、“功能視點”、“組織視點”和“物理視點”定義。(來源:ISO/TR 26999:2012)
. 系統在其環境中的基本概念或屬性,體現在其元素、關係以及其設計和演變的原則中 (ISO/IEC/IEEE 42010:2011)
. 項目或元素的結構表示,允許識別構建塊、它們的邊界和接口,並包括對這些構建塊的需求分配(來源:ISO 26262-1:2018)
. 系統的概念結構
注 1:一個系統可能由幾個相互作用的子系統組成,每個子系統都有自己的體系結構。(來源:ISO/IEC TR 29108:2013)
. 邏輯結構和與組織和業務環境的相互關係所依據的一組原則
注 1:軟體架構是軟體設計活動的結果。(來源:ISO/TR18307:2001)
. 系統中硬體和軟體元素的特定配置(來源:IEC 61508-4)
資料來源: Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-側信道攻擊
側信道攻擊(Side-channel attack)
只需在設備或系統附近放置天線、磁探頭或其他傳感器,即可利用側信道。這允許攻擊者測量功耗、電壓波動或其他側信道,例如溫度或聲音。側信道攻擊可用於從智能卡等設備中提取密鑰。在現實世界中,這允許攻擊者加載或重置餘額並提取或重置設備 PIN。(半工程)
通過從物理密碼系統洩漏信息而啟用的攻擊。可以在側信道攻擊中利用的特徵包括時間、功耗以及電磁和聲發射。
來源:NIST 術語表
在 計算機安全中, 旁道攻擊 是基於從 計算機系統的實施中獲得的信息的任何攻擊 ,而不是實施算法本身的弱點(例如 密碼分析 和 軟體錯誤)。時間信息、功耗、 電磁 洩漏甚至 聲音 都可以提供額外的信息來源,可以加以利用。
資料來源:維基百科
內容可尋址內存 (CAM) 表溢出攻擊(Content addressable memory (CAM) table overflow attack)
當 CAM 表溢出時,交換集線器可能會降級為集線器以通過向所有端口發送幀來保持可用性。這會導致中間人惡意嗅探。
CAM 表溢出攻擊是針對網絡交換機執行的惡意行為,其中大量虛假 MAC 地址被發送到交換機。這種數據洪流導致交換機轉儲其 CAM 數據庫表中的有效地址,以試圖為虛假信息騰出空間。在這之後,交換機的默認行為是向所有端口廣播正常的私有消息。
資料來源:CbtNuggets
竊聽攻擊(Wiretapping Attack)
竊聽是對電話、電報、蜂窩、 傳真 或基於互聯網的通信進行的秘密電子監控 。
竊聽是通過在有問題的線路上放置一個非正式地稱為錯誤的監視設備或通過其他通信技術中的內置機制來實現的。
執法官員可以利用現場監控或錄音。數據包嗅探器——用於捕獲在網絡上傳輸的數據的程序——是一種常用的現代竊聽工具。各種其他工具,例如竊聽木馬,用於不同的應用程序。
資料來源:TechTarget
背負式攻擊(Piggyback attack)
一個 背馱式攻擊 是一種活化形式 竊聽 當攻擊者獲得通過活動的間隔訪問系統中的其他用戶的合法連接。它也被稱為“線間攻擊”或“背負式進入竊聽”。
在安全方面,捎帶指的是當某人與另一個被授權進入限制區域的人一起標記時,該術語 在此上下文中適用於 計算機網路。
資料來源:維基百科
參考
. 了解側信道攻擊
. ARP 和 CAM 表
. 背負式攻擊
. 保護圖片存檔和通信系統 (PACS):醫療保健行業的網絡安全
資料來源: Wentz Wu QOTD-20210811
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-防火牆接口和區域
防火牆通常以兩種方式調解網絡流量:基於上下文和基於區域。傳統的基於上下文的方法也稱為基於上下文的訪問控制 (CBAC)。
基於區域的防火牆(Zone-based Firewalls)
防火牆包含幾個網絡接口,可以配置或分配給區域。安全區域或簡稱區域是共享相同安全要求的防火牆接口的集合。區域之間的流量由防火牆策略控制。有關更多信息,請參閱防火牆接口、區域和層。
區域對(Zone Pairs)
區域對可以定義為一個方向上兩個區域的配對。然後將防火牆流量策略應用於區域對。防火牆流量策略在區域之間單向應用。雙向流量需要兩個區域對。但是,如果使用狀態檢查,則不需要第二個區域對,因為由於檢查而允許回复流量。
資料來源:OmniSecu
基於上下文的防火牆(Context-based Firewalls)
所述的ACL提供流量過濾和保護,直到傳輸層,同時在另一方面,CBAC提供高達應用層相同的功能。在 CBAC 配置的幫助下,路由器可以充當防火牆。
資料來源:GeeksForGeeks
基於上下文的訪問控制 (CBAC) 根據應用層協議會話信息智能過濾 TCP 和 UDP 數據包,可用於 Intranet、Extranet 和 Internet。
資料來源:黑羊網絡(BlackSheepNetworks)
Cisco IOS® 防火牆功能集的基於上下文的訪問控制 (CBAC) 功能會主動檢查防火牆後面的活動。CBAC 通過使用訪問列表(與 Cisco IOS 使用訪問列表的方式相同)指定需要允許進入的流量以及需要釋放的流量。但是,CBAC 訪問列表包括 ip inspect 語句,允許檢查協議以確保在協議進入防火牆後面的系統之前它沒有被篡改。
資料來源:思科
DNS 區域(DNS Zones)
DNS 命名空間是按層次結構或樹組織的 DNS 域名的邏輯結構。DNS 區域是 DNS 命名空間的一部分的管理結構。DNS 區域文件是區域的存儲庫。
主 DNS 服務器託管一個可寫區域,該區域可以傳輸到一個或多個輔助 DNS 服務器。輔助 DNS 服務器上的副本或副本通常是只讀的。但是,副本可以是可寫的,例如 Microsoft AD 集成的 DNS;這取決於供應商的實施。
主 DNS 服務器和輔助 DNS 服務器之間的區域傳輸使用 TCP 端口 53。它可以定期或基於通知進行。為了安全起見,主 DNS 服務器可能會維護一個輔助 DNS 服務器的白名單。
DNS 客戶端也稱為 DNS 解析器,它使用 UDP 端口 53 向 DNS 服務器發送遞歸 DNS 查詢。然後 DNS 服務器發出多個非遞歸或迭代查詢來解決來自 DNS 客戶端的查詢。
-DNS 命名空間和區域
參考
. 域名系統(維基百科)
. DNS區域傳輸
. DNSSEC – 它是什麼以及為什麼重要?
. 基於區域的防火牆基礎知識
. 網絡安全區
. 使用區域(紅帽)
. 區域對
. 基於上下文的訪問控制
. 基於上下文的訪問控制 (CBAC)
. Cisco IOS 防火牆功能集和基於上下文的訪問控制
. 基於上下文的訪問控制 (LDAPWiki)
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-DNSSEC 資源記錄(來源:InfoBlox)
DNSSEC使用數字簽名確保DNS 數據的完整性,而 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 保護機密性。
以下是一些最重要的 DNSSEC 資源記錄 (RR):
. DS(委託簽名者)
. DNSKEY(DNS 公鑰)
. RRSIG(資源記錄簽名)
DS(委託簽名者)
DS RR 包含子區域 KSK 的哈希值,可用作某些具有安全意識的解析器中的信任錨,並為 DNS 服務器中的簽名子區域創建安全委派點。如圖 22.1 所示,父區域 corpxyz.com 中的 DS RR 包含子區域 sales.corpxyz.com 的 KSK 的哈希值,而子區域 sales.corpxyz.com 的 DS 記錄又包含其子區域的 KSK 的哈希值, nw.sales.corpxyz.com。
-資料來源:InfoBlox
DNSKEY(DNS 公鑰)
當權威名稱服務器對區域進行數字簽名時,它通常會生成兩個密鑰對,一個區域簽名密鑰 (ZSK) 對和一個密鑰簽名密鑰 (KSK) 對。
名稱服務器使用ZSK 對的私鑰對區域中的每個 RRset 進行簽名。(RRset 是一組具有相同所有者、類別和類型的資源記錄。)它將 ZSK 對的公鑰存儲在 DNSKEY 記錄中。
然後名稱服務器使用KSK 對的私鑰對所有 DNSKEY 記錄進行簽名,包括它自己的記錄,並將相應的公鑰存儲在另一個 DNSKEY 記錄中。
因此,一個區域通常有兩個 DNSKEY 記錄;保存 ZSK 對公鑰的 DNSKEY 記錄,以及 KSK 對公鑰的另一個 DNSKEY 記錄。
資料來源:InfoBlox
R RSIG(資源記錄簽名)
一個簽名區域有多個 RRset,每個記錄類型和所有者名稱一個。(所有者是RRset 的域名。)當權威名稱服務器使用ZSK 對的私鑰對區域中的每個RRset 進行簽名時,每個RRset 上的數字簽名都存儲在RRSIG 記錄中。因此,簽名區域包含每個 RRset 的 RRSIG 記錄。
資料來源:InfoBlox
參考
. DNSSEC – 回顧
. DNSSEC – 它是什麼以及為什麼重要?
. 域名系統安全擴展
. DNSSEC 的工作原理
. DNSSEC:它的工作原理和主要考慮因素
. RFC 4033:DNS 安全介紹和要求
. RFC 4034:DNS 安全擴展的資源記錄
. RFC 4035:DNS 安全擴展的協議修改
. 基於 HTTPS 的 DNS
. 如何配置 DoT/DoH
. DNSKEY 資源記錄
資料來源: Wentz Wu QOTD-20210809
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-通用標準評估
TCSEC 在 DoD 中用於評估受信任的計算機系統。它適用於整個計算機系統,而不適用於特定的軟體組件。此外,它已經過時了。
可信計算機系統評估標準 ( TCSEC ) 是 美國政府國防部 (DoD) 標準,它為評估 內置於計算機系統中的計算機安全控制 的有效性設定了基本要求 。TCSEC 用於評估、分類和選擇被考慮用於處理、存儲和檢索敏感或機密資訊的計算機系統 。(維基百科)
CMMI 是一種基於過程的模型,用於評估組織在軟體開發、採購或服務交付方面的能力成熟度。它不適用於軟體本身。
SOC 2 Type II 是關於服務組織中與安全性、可用性、處理完整性、機密性或隱私相關的控制的報告。這些報告旨在滿足廣大用戶的需求,這些用戶需要有關服務組織用於處理用戶數據和服務的系統的安全性、可用性和處理完整性相關的控制的詳細信息和保證。這些系統處理的信息的機密性和隱私性。(AICPA)
參考
. 批准的保護配置文件
. 認證產品
. Windows 10:內部版本 10.0.15063(也稱為版本 1703)
資料來源: Wentz Wu QOTD-20210808
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-軟體運行環境
與共享資源隔離(Isolation from Sharing Resources)
隔離是“將多個軟體實例分開的能力,以便每個實例只能看到並影響自己。”
資料來源:NIST SP 800-190
進程使用各種資源,例如 CPU、記憶體、儲存、網路、操作系統服務等。為了隔離進程,使其不會影響其他進程,需要控制對記憶體和其他資源的存取。
-計算機架構
界限(Bounds)
這裡的界限意味著強加給進程的記憶體界限,不能存取屬於其他人的記憶體段。它提供了基本的隔離級別。共享儲存、CPU、網絡和其他資源的進程可能仍會導致競爭資源競爭。
-進程的記憶體佈局
容器化(Containerization)
容器化是應用程序虛擬化,其中容器中的進程與大多數資源隔離,但仍共享相同的操作系統內核。
-虛擬機和容器部署(來源:NIST SP 800-190)
-操作系統和應用程序虛擬化(來源:NIST SP 800-190)
第二類虛擬機器監視器(Type II hypervisor)
一個第二類虛擬機器監視器基於主機操作系統上管理虛擬機(VM)上運行的客戶操作系統。在具有來賓操作系統的 VM 上運行的進程是高度隔離的。部署在兩個 VM 上的兩個進程具有比容器更高的隔離級別。
-虛擬機器監視器(來源:TechPlayOn)
搶占式多任務處理(Preemptive Multitasking)
搶占式多任務處理不是一種隔離機制。但是,它通常需要上下文切換來保留線程的 CPU 狀態。從這個角度來看,它可以在某種程度上被視為線程級隔離。
-上下文切換(來源:hcldoc)
參考
. 什麼是雲中的管理程序?
. 上下文切換
資料來源: Wentz Wu QOTD-20210803
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-保護環(來源:維基百科)
保護環:指令特權級別和操作系統模式(Protection Rings: Instruction Privilege Levels and OS modes)
大多數現代操作系統以兩種模式運行程序:內核模式和用戶模式。內核模式通常運行在特權級別 0,而用戶模式運行在特權級別 3。保護環傳達了操作系統如何利用指令集的 CPU 特權級別的想法。
x86指令集中的特權級別控制當前在處理器上運行的程序對內存區域、I/O 端口和特殊指令等資源的訪問。有 4 個特權級別,從 0 是最高特權,到 3 是最低特權。大多數現代操作系統對內核/執行程序使用級別 0,對應用程序使用級別 3。任何可用於級別 n 的資源也可用於級別 0 到 n,因此權限級別是環。當較低特權的進程嘗試訪問較高特權的進程時,會向操作系統報告一般保護錯誤異常。
資料來源:維基百科
異常處理(Exception Handling)
-異常處理(來源:https : //minnie.tuhs.org/)
操作系統 (OS) 內核通常處理來自進程的系統調用、來自 CPU 的異常以及來自外圍設備的中斷。在用戶模式下運行的應用程序或進程可能會遇到錯誤或故障,導致在內核模式下運行的操作系統內核捕獲到 CPU 級別的異常。如果發生故障,操作系統內核將拋出異常或向應用程序發送信號。以下屏幕截圖是演示應用程序正確處理異常的代碼片段。但是,如果應用程序不處理異常,操作系統將終止它。
-除以零
參考
. 保護環
. 操作系統中的特權和非特權指令
. CIS 3207 – 操作系統:CPU 模式
. 編寫 Hello World Windows 驅動程序 (KMDF)
. 如何使用 C++ 以 SYSTEM 身份運行程序?
. 除以零預防:陷阱、異常和可移植性
. 用戶和內核模式、系統調用、I/O、異常
資料來源: Wentz Wu QOTD-20210802
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-虛擬機和容器部署(來源:NIST SP 800-190)
虛擬機器監視器(Hypervisor)
容器不需要管理程序來支持應用程序虛擬化。容器可以部署到裸機,無需虛擬機管理程序管理的虛擬機。虛擬機器監視器又名虛擬機監視器/管理器 (VMM),是“管理主機上的來賓操作系統並控制來賓操作系統和物理硬件之間的指令流的虛擬化組件。” ( NIST SP 800-125 )
隔離(Isolation)
虛擬機提供比容器更高級別的隔離。應用程序部署在共享相同主機操作系統內核的容器中,而部署在虛擬機上的應用程序被高度隔離,因此它們必須通過網絡進行通信。但是,容器中的應用程序比虛擬機中的應用程序具有更好的性能。
-操作系統和應用程序虛擬化(來源:NIST SP 800-190)
操作系統系列特定(OS-family Specific)
使用容器,多個應用程序共享同一個操作系統內核實例,但彼此隔離。操作系統內核是所謂的主機操作系統的一部分。主機操作系統位於容器下方,並為它們提供操作系統功能。容器是特定於操作系統系列的;Linux 主機只能運行為 Linux 構建的容器,Windows 主機只能運行 Windows 容器。此外,為一個操作系統系列構建的容器應該在該系列的任何最新操作系統上運行。
來源:NIST SP 800-190(應用程序容器安全指南)
軟體開發方法(Software Development Methodologies)
-容器技術架構(來源:NIST SP 800-190)
容器技術的引入可能會破壞組織內現有的文化和軟體開發方法。傳統的開發實踐、修補技術和系統升級過程可能無法直接應用於容器化環境,員工願意適應新模式很重要。應鼓勵員工採用本指南中介紹的在容器內安全構建和運行應用程序的推薦做法,並且組織應願意重新考慮現有程序以利用容器。應向參與軟體開發生命週期的任何人提供涵蓋技術和操作方法的教育和培訓。
-來源:NIST SP 800-190(應用程序容器安全指南)
參考
. Windows Containers 可以託管在 linux 上嗎?
資料來源: Wentz Wu QOTD-20210717
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
工程 是一種方法,它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案,以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。
~ 吳文智
系統工程
跨學科的方法,管理將一組利益相關者的需求、期望和限制轉化為解決方案並在其整個生命週期中支持該解決方案所需的全部技術和管理工作。
來源:ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程
軟件工程
將系統的、規範的、可量化的方法應用於軟件的開發、操作和維護;也就是說,工程在軟件中的應用。
來源:ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程
資料來源:
工程 是一種方法,它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案,以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。
~ 吳文茲
系統工程
跨學科的方法,管理將一組利益相關者的需求、期望和限制轉化為解決方案並在其整個生命週期中支持該解決方案所需的全部技術和管理工作。
來源:ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程
軟件工程
將系統的、規範的、可量化的方法應用於軟件的開發、操作和維護;也就是說,工程在軟件中的應用。
來源:ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程
資料來源:https://wentzwu.com/2020/12/30/what-is-engineering/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-流行的 F/LOSS 許可證之間的兼容性關係(來源:Carlo Daffara)
在評估開源組件時,通常會忽略測試覆蓋率。相反,下載量或口碑起著至關重要的作用。儘管開源項目通常帶有單元測試,但測試覆蓋率指標並不是標準。
知識產權(Intellectual property)
開源軟體不屬於公共領域。它仍然由版權所有者許可。
開源軟體 (Open-source software : OSS ) 是 根據許可發布的計算機軟體,在該許可下 , 版權所有 者授予用戶使用、研究、更改和 分發軟體 及其 源代碼的權利, 以用於任何目的。
資料來源:維基百科
費用(Costs)
它也不是免費軟體,儘管大多數開源軟體都可以免費獲得。一些供應商許可軟體並開放源代碼並允許客戶修改它們。有些人將此稱為可用源或共享源,可以將其廣泛視為開源的一部分。
後門(Back Doors)
開源軟體通常被認為比專有軟體更安全,但它並非沒有風險。例如,中國黑客以帶有 RedXOR 後門的 Linux 系統為目標,或者華為(中國製造商)嘗試向 Linux 插入後門/漏洞。
公共領域(The Public Domain)
“公共領域”一詞是指不受版權、商標或專利法等知識產權法保護的創意材料。公眾擁有這些作品,而不是個人作者或藝術家。任何人都可以在未經許可的情況下使用公共領域的作品,但沒有人可以擁有它。
資料來源:斯坦福
參考
. 歡迎來到公共領域
. 與商業模式相關的開源許可證選擇
資料來源: Wentz Wu QOTD-20210731
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
及時生產 (JIT) 一詞出現在豐田生產系統中。JIT 是一種庫存管理策略,可根據需要或按需訂購庫存。在安全方面,許多活動可以及時進行——例如,身份提供、證書註冊、授權、權限提升等。
促進身份驗證以便用戶可以登錄一次並跨系統訪問資源是單點登錄 (SSO) 的描述。它與及時生產的概念無關。
參考
. AWS 即時預置
. AWS 即時註冊
. 什麼是即時 (JIT) 供應?
. SAML SSO 與即時 (JIT) 供應之間的區別
. 什麼是即時 (JIT) 特權訪問?
. 什麼是即時特權訪問?
. 及時生產 – 豐田生產系統指南
. 及時生產 (JIT) 庫存管理
資料來源: Wentz Wu QOTD-20210728
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-零假設和替代假設(來源:PrepNuggets)
原假設和替代假設(Null and Alternative Hypotheses)
零假設是假設與正常狀態為零或沒有偏差。由於證明假設很困難,我們通常會找到反對原假設的證據並接受替代假設,而不是直接證明替代假設為真。因此,原假設和備擇假設可以寫成如下:
. 替代假設:樣本指紋與模型庫中的模板不匹配
. 零假設:樣本指紋與模型庫中的模板匹配
錯誤接受率 (FAR) 和錯誤拒絕率 (FRR) 等與生物識別相關的術語是常用的,並且對於通信非常有效。人們或書籍將 FAR/FRR 與型一和 型二錯誤(用於統計假設)或假陽性/陰性(用於二元分類)相關聯的情況並不少見。我寫這個問題是為了強調當我們談論 I/II 類錯誤時零假設的重要性。
型一和 型二錯誤(Type I and Type II Errors)
在統計學中,我們通常不會只提出一個需要足夠證據來證明的假設。相反,我們接受備擇假設,因為我們拒絕了基於具有預定義顯著性水平(例如,5%)的反對原假設的證據。
統計假設檢驗的決定是是否拒絕零假設。但是,有些決定可能是錯誤的,可分為以下幾類:
. 第一類錯誤:我們拒絕原假設,這是真的。(拒絕正常情況)
. 第二類錯誤:我們未能拒絕原假設,這是錯誤的。(接受異常情況)
假陽性和假陰性(False Positive and False Negative)
當談到機器學習中的二元分類時,模型被訓練為基於一小部分樣本數據的二元分類器,通過標籤對實例/案例進行分類(例如,0/1、垃圾郵件/非垃圾郵件、武器/無武器) .
在實現基於異常檢測的系統中,它可以使用 Imposter/No Imposter 進行分類,如下所示:
. “冒名頂替者”是正面類的標籤。
. “無冒名頂替者”是負類的標籤。
誤報意味著識別/檢測到冒名頂替者,但決定是錯誤的。假陰性意味著沒有識別/檢測到冒名頂替者,而且該決定是錯誤的。人們通常會將假陽性與 I 類錯誤聯繫起來,將假陰性與 II 類錯誤聯繫起來,即使它們在使用不同技術的上下文中使用。Li 的論文很好地將統計假設檢驗與機器學習二元分類進行了比較。
-假設檢驗和二元分類(來源:ScienceDirect)
參考
. 統計假設檢驗與機器學習二元分類:區別和指南
. 統計學中的假設檢驗簡介 – 假設檢驗統計問題和示例
. 假設檢驗簡介
. 機器學習中的 4 種分類任務
. 分類:真與假和正與負
資料來源: Wentz Wu QOTD-20210727
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
威脅建模-DREAD
-Stride、VAST、Trike 等:哪種威脅建模方法適合您的組織?
風險敞口是根據可能性、後果和其他風險因素用貨幣價值、分數或尺度值評估的潛在損失的量度。風險暴露通常被簡化為後果的概率和幅度的乘積;即預期價值或預期暴露。例如,假設有 50% 的風險可能導致 1,000,000 美元的財務損失,則風險敞口為 500,000 美元。
DREAD 是損害、可再現性、可利用性、受影響用戶和可發現性的首字母縮寫詞。首字母縮略詞的每個字母代表可能性或影響。它們被一起考慮以評估風險敞口。
STRIDE 是一種風險分類工具,具有預定義的類別:欺騙、篡改、否認、信息披露、拒絕服務特權提升。它不分析威脅的可能性或影響。
-威脅建模(來源:CSSLP CBK)
參考
. Stride、VAST、Trike 等:哪種威脅建模方法適合您的組織?
資料來源: Wentz Wu QOTD-20210726
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
您應該生成公鑰和私鑰的密鑰對,並將私鑰保密。CSR 包含有關主題的信息、公鑰、由私鑰簽名以避免欺騙 CSR 的簽名以及其他信息。“CSR 最常見的格式是 PKCS #10 規範;另一個是由某些 Web 瀏覽器生成的簽名公鑰和質詢 SPKAC 格式。” (維基百科)
證書籤名請求 (CSR) 完全由您自己創建並提交給註冊機構 (RA)。RA 不可能在您的 CSR 上添加時間戳。
-openssl req -text -in file.csr(來源:Hallo zusammen)
參考
. 證書籤名請求
. 如何查看和解碼 CSR
. 證書籤名請求 (CSR) 示例
資料來源: Wentz Wu QOTD-20210725
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而,FISMA和FIPS 199明確而準確地區分了兩者。
以下投影片是 FIPS 199 中有關安全目標的摘錄,該摘錄與 FISMA 一致:
-CIA作為安全目標
完整性(Integrity)
以下是 FISMA 中有關完整性的摘錄:
‘防止不當的資訊修改或銷毀,包括確保資訊不被否定和真實性。。。。。。'[44 U.S.C., Sec. 3542]]
可用性(Availability)
可用性是關於’確保及時性和可靠地存取和使用資訊。。。'[44 U.S.C., SEC. 3542
FIPS 199寫道:可用性損失是資訊或資訊系統存取或使用中斷。
數據消毒方法(Data Sanitization Methods)
‘銷毀’是 NIST SP 800-88 R1 中引入的數據消毒方法,而’破壞’是一種可以’破壞’介質的技術(例如破壞性技術)。然而,破壞性技術通常可以’摧毀’媒體,但他們不能保證媒體可以完全摧毀。
破壞(Destroy)、破壞(destruction)和破壞( disruption )可能具有類似的含義,但它們可能在各種上下文中提及不同的東西。
資料來源: Wentz Wu QOTD-20210302
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
一個網路通過傳輸介質連接兩個或多個節點,共享資源;它有兩種架構視圖:物理視圖和邏輯視圖。網路的邏輯部分在物理層之上工作。邏輯網路由網路層協議表示,例如IP。使用 32 位 IP 地址和子網路遮罩的 IP 協議編號(地址)節點和網路。執行相同協議的所有網路都是同構的。IP 網路和 IPX 網路的混合是異構的。路由器通常連接均相邏輯網路。閘道器在該上下文中是指連接同構網路的設備,其典型地需要協議轉換。一個防火牆旨在過濾數據包或篩選消息。下一代防火牆強調的只是它處理越來越多的新興需求並提供更多解決方案的想法。
閘道器(Gateway)
在 ISO OSI 參考模型的經典教科書中,閘道器通常是指應用協議轉換的第 7 層閘道器或應用程序閘道器。然而,現在人們傾向於從字面上使用術語閘道器。例如,默認閘道器可能是指 NAT 設備、路由器或防火牆;電路級閘道器是指工作在會話層的防火牆。
信號和中繼器(Signal and Repeater)
物理網路是邏輯網路的底層基礎設施。主要的物理元素是傳輸介質和承載數據的信號。信號在媒體上傳播的時間長短各不相同;無論使用哪種媒體,信號總是會衰減。模擬信號由放大器放大,而數字信號由中繼器重複,以便它們在減弱之前可以傳播得更遠。
拓撲和橋接器(Topology and Bridge)
節點通過傳輸介質(有線或無線)連接,並形成形狀或拓撲。線性總線、圓環、分層樹和網狀網路是常見的拓撲結構。橋接器連接不同的形狀或拓撲的兩個或多個網路。
數據鏈路層:MAC 和 LLC(Data Link Layer: MAC and LLC)
網路上任何形狀/拓撲的節點都可以相互通信,就像它們中的任何一對通過電纜直接連接一樣。事實上,這些節點共享相同的媒體。換句話說,它們在邏輯上而不是在物理上是相連的。我們將網路上任意一對節點之間的通信稱為邏輯鏈路。由共享媒體連接的節點的規則稱為媒體存取控制(MAC);網路上任意一對節點之間的錯誤和流量控制稱為邏輯鏈路控制 (LLC)。MAC 和 LLC 被共同視為 ISO OSI 參考模型中數據鏈路層的主要關注點。
參考
.中繼器、橋接器、路由器和閘道器:比較研究
.詳細講解中繼器、集線器、橋接器、路由器、閘道器、交換機。
.下一代防火牆
資料來源: Wentz Wu QOTD-20210720
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-外部和內部分析
存在為客戶服務的組織;他們的需要和要求很重要。組織在開始戰略計劃之前進行外部和內部分析或背景和組織分析。同時識別和分析利益相關者或利益相關方。
建立一個部門來負責安全功能是一種組織變革。法律和法規要求或客戶的需求和要求這種情況並不少見。安全功能的位置、角色和職責可能與 IT 功能重疊。例如,防火牆、端點安全、安全運營中心和服務台可能會使用共享資源,模糊了安全運營和 IT 運營的界限。
安全和隱私安全控制的選擇很重要,但它不像上面提到的其他因素那麼重要,因為可以在安全部門成立後考慮控制。此外,控制可以應用於各種級別,例如資訊系統級別、設施級別、業務流程級別或組織級別。控制是風險緩解策略的一部分。它們在風險評估後實施。因此,它更像是一個風險管理問題,而不是建立安全部門時的問題。
資料來源: Wentz Wu QOTD-20210719
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-政策框架
最高管理層要求加強資訊安全並通過政策表達他們的保護要求。有效的資訊安全涉及人員、流程和技術(PPT)等綜合考慮。處理數字數據的資訊系統只是資訊安全的基本要素。
資訊系統可能需要支持基於訪問控制矩陣的自由訪問控制 (DAC) 和基於格、狀態機和資訊流等形式模型的強制訪問控制 (MAC)。然而,這樣的技術解決方案是不夠的或無效的。
管理體係是“組織的一組相互關聯或相互作用的要素,用於製定政策和目標以及實現這些目標的過程”。(ISO 22886:2020) 制定相關政策、標準、程序或指南,並與相關最高管理層的政策保持一致。管理體系提供了一個整體視圖,集成了人員、流程和技術(PPT),並為資訊安全的實施提供了框架。
-ISO通用管理模型
資料來源: Wentz Wu QOTD-20210718
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-身份和存取管理
典型的身份驗證過程包括三個步驟:
- 主體向身份提供者 (IdP) 表明其身份。
- IdP 根據目錄驗證用戶名和密碼。
- 如果主題得到驗證,IdP 會發出一個令牌。
基於聲明(或基於斷言)的身份驗證意味著您的網站接受來自外部身份提供商 (IdP) 的令牌,而不是根據服務器上的目錄對用戶名和密碼進行身份驗證。聲明或斷言通常打包在由發行人 IdP 簽名的令牌中。您作為客戶的網站依賴於 IdP 發布的聲明。
基於明文的身份驗證很常見。用戶名和密碼可以以 HTML 形式或通過 HTTP 基本身份驗證方案提交。儘管密碼本身未加密,但它通常受 TLS/SSL 會話保護。
一些 JavaScript 庫可以將密碼加密為密文並將其發佈到後端服務器,即使我們在使用 TLS/SSL 時不必這樣做。
HTTP Digest 方案實現了質詢和響應。“有效的響應包含用戶名、密碼、給定的
nonce 值、HTTP 方法和請求的 URI的校驗和(默認為 MD5 校驗和)。” (RFC 2617)
資料來源: Wentz Wu QOTD-20210717
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
來源:安全斷言標記語言 (SAML) V2.0 技術概述
如上圖所示:
. 一個用戶可以在每個域中擁有一個身份,也可以在多個域之間擁有多個身份。例如,John Doe 在三個系統中註冊了三個帳戶,如下所示:
. 在airline.example.com 中的JohnDoe
. JDOE在cars.example.co.uk
. 約翰在hotels.example.ca
. 聯合身份是域之間共享的假名,用於隱藏用戶的身份。例如,化名azqu3H7和f78q9c0 均 指用戶 John Doe。
. azqu3H7是airline.example.com 和cars.example.co.uk 之間約定的化名。
. f78q9c0 是airline.example.com 和hotels.example.ca 之間約定的化名。
. 依賴方根據 SAML 中表達的斷言授權訪問請求。
. SAML 提供了一種標準方法來呈現跨系統和安全域工作的斷言。
. SAML 斷言是供依賴方或服務提供商做出授權決定的輸入。授權可以基於 XACML。
. SSO 依賴於服務提供商 (SP) 對身份提供商 (IdP) 的信任。
OASIS 安全斷言標記語言 (SAML) 標准定義了一個基於 XML 的框架,用於在在線業務合作夥伴之間描述和交換安全信息。此安全信息以可移植SAML 斷言的形式表示,跨安全網域邊界工作的應用程序可以信任這些斷言。OASIS SAML 標准定義了用於請求、創建、通信和使用這些 SAML 斷言的精確語法和規則。
聯合身份(Federated identity)
. 用戶通常在與其交互的每個合作夥伴的安全域內擁有單獨的本地用戶身份。
. 身份聯合為這些合作夥伴服務提供了一種方式來商定並建立一個通用的共享名稱標識符來引用用戶,以便跨組織邊界共享有關用戶的信息。
. 當合作夥伴就如何引用用戶建立了這樣的協議時,就稱該用戶具有聯合身份。
單點登錄(Single Sign-On)
SAML 通過提供獨立於供應商的標準語法和協議來解決多域 SSO (MDSSO) 問題,用於將用戶信息從一個 Web 服務器傳輸到另一個獨立於服務器 DNS 域的服務器。
來源:安全斷言標記語言 (SAML) V2.0 技術概述
資料來源: Wentz Wu QOTD-20200806
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-董事委員會
董事會認為必要時可設立任何委員會。有些委員會通常是法律或法規所要求的,例如審計委員會。但是,大多數董事會級別的委員會都是自願的,並基於業務需要。
審計委員會、薪酬委員會(又名薪酬委員會)和提名委員會(治理委員會)是常見的董事會級委員會,而業務連續性委員會則不是。根據董事會委員會的結構研究,幾乎沒有業務連續性委員會出現在董事會層面。此鏈接顯示了 Microsoft 的董事會委員會。
-共同的董事會級委員會
參考
. 微軟董事會委員會
資料來源: Wentz Wu QOTD-20210716
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-安全內核
一張圖片勝過千言萬語。訪問控制矩陣可以被視為授權數據(權利和許可)的邏輯“存儲庫”,由對象視角的訪問控制列表和主體視角的能力表組成。它反映了所有者在授權時的自由裁量權。然而,並非每個系統都實現了訪問控制矩陣的完整構造。例如,Microsoft 的打印機、共享文件夾和 NTFS 權限都是基於 ACL 的。
相反,強制訪問控制機制通常依賴於匹配的“標籤”,也就是基於格的。在被分類之後,資源或對像被標記以供識別並標記以在受信任的計算機系統中進行訪問控制。在正式的背景調查或調查之後,用戶或主體被授予安全許可。將安全許可轉化為可信計算系統中的標籤,以便匹配主體和客體的標籤進行授權。
安全調查(Security Clearance)
安全許可或許可是“由授權裁決辦公室作出的正式安全決定,即個人有權在需要知道的基礎上訪問特定級別的機密信息(絕密、機密或機密)。” (NIST 術語表)
資料來源: Wentz Wu QOTD-20210713
-什麼是風險?
ISO/IEC/IEEE 24765:2017 系統和軟件工程 — 詞彙
- 風險給個人、項目或組織帶來的潛在損失
[ISO/IEC 16085:2006 系統和軟件工程 — 生命週期過程 — 風險管理,3.10 ] - 風險發生的可能性及其發生的後果程度的函數
[ISO/IEC 16085:2006 系統和軟件工程——生命週期過程——風險管理,3.10] - 概率乘以潛在損失的乘積對於風險因素
注 1:風險暴露通常被定義為概率和後果大小的乘積,即預期值或預期暴露。
風險曝險是風險的度量。它考慮了風險的不確定性和影響部分。風險是指不確定性對目標的影響。不確定性和影響可以定量和定性測量。風險曝險也是如此。風險分析是確定風險暴露以優先考慮風險並為風險評估決策和風險處理提供信息的過程。
風險評估/分析(Risk Assessment/Analysis)
在 NIST 指南、CISSP 考試大綱和 CISSP 學習指南中,風險評鑑和風險分析通常被視為同義詞。但是,在 ISO 31000 和 ISO 27005 等 ISO 標準中並非如此;風險分析是風險評估的一部分。
維護成本等風險會增加,系統可用性可能會受到影響,漏洞仍然存在且未修補的情況可能會發生。但是,我們需要進一步分析它們的可能性或可能性和影響,以確定風險曝險。因此,風險曝險是一個更普遍和更全面的概念,它提醒我們從更高的角度考慮風險的不確定性和影響部分。
NIST術語表(NIST Glossary)
暴露:風險的可能性和影響水平的組合。
固有風險:在管理層沒有採取任何直接或重點行動來改變其嚴重性的情況下,實體面臨的風險。
殘餘風險:採取安全措施後剩餘的風險部分。
參考
. NIST術語表
資料來源: Wentz Wu QOTD-20210712
-CMM 和 CMMI 成熟度水平比較
成熟度模型“可以”(而不是應該或必須)定義五個成熟度級別,因為普遍接受的傳統能力成熟度模型集成 (CMMI) 模型定義了五個級別。然而,能力成熟度模型並非總是如此。
例如,OWASP SAMM 僅定義了四個級別:
0 隱含的起點代表未實現的實踐活動
1 安全實踐的初步理解和臨時提供
2 提高安全實踐的效率和/或有效性
3 大規模全面掌握安全實踐
風險成熟度模型 (RMM) 目前仍在開發中。一些 RMM 可能定義了五個級別,但這不是必需的。
關鍵詞(Key Words)
本文檔中的關鍵詞“必須”、“不得”、“要求”、“應該”、“不應”、“應該”、“不應該”、“推薦”、“可以”和“可選”是按照RFC 2119 中的描述進行解釋。
專案/計劃管理(Project/Program Management)
-戰略投資組合
專案和計劃是暫時的努力;他們的產出被轉移到運營中,以持續創造和交付價值。一旦專案和計劃關閉,專案和計劃風險管理就可以停止。
風險管理有上下文。它可以發生在組織中的各種上下文或級別,例如資訊系統級別、業務流程級別、企業級別或專案/計畫級別。在大多數情況下,風險管理是持續不斷的努力。但是,在某些情況下,例如專案/計劃級別的風險管理,它可能是臨時的努力。
-專案生命週期(來源:PMBOK)
附件 A 中的ISO 27001要求 A.6.1.5 規定了專案管理中的資訊安全,要求控制“無論專案類型如何,都應在專案管理中解決資訊安全問題”。專案是“為創造獨特的產品、服務或成果而進行的臨時努力。另請參閱投資組合和計劃。” (PMI) 一旦專案結束,專案級別的風險管理活動就會消失。
NIST SP 800-53 R5是一個安全控制框架,其中計畫管理 (PM) 是控制系列之一。計畫包括“以協調方式管理的相關專案、子專案群和計畫活動,以獲得單獨管理無法獲得的收益”。(PMI)
-安全和隱私控制系列(來源:NIST SP 800-53 R5)
參考
. 在 RFC 中用於表示需求級別的關鍵詞
. SAMM——軟體保障成熟度模型——OWASP
. PMI 專案管理術語詞典
資料來源: Wentz Wu QOTD-20210711
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-ISO 31000
本問題旨在推廣 ISO 31000 風險評估的概念。年化預期損失 (ALE) 是一種定量風險分析技術,用於確定風險暴露作為風險評估過程的輸入。
風險優先排序是風險評估的核心任務之一。在此之前,應用風險接受標準來確定要處理哪些風險。一旦確定了要處理的風險,就會應用風險評估標準來確定這些風險的優先級。因此,風險評估是比定量風險分析和風險優先級更好的選擇,因為它更全面。
-風險評估
資料來源: Wentz Wu QOTD-20210710
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-ISO 31000
“風險評估/分析”是什麼意思?
請注意,在 CISSP 考試大綱、OSG 和 NIST 中,風險評估和風險分析被視為同義詞,通常表示為“風險評估/分析”。
識別、分析和評估H風險意味著使用 ISO 標准進行風險管理,例如 ISO 31000 或 ISO 27005,並且您正在進行風險評估。風險熱圖是表達風險評估結果的常用工具。
. 在估計影響時,可以在風險分析過程中使用資產估值,例如,單一損失預期(SLE)=資產價值(AV)x風險因子(EF)。
. 成本和收益分析通常在風險處理(而不是風險評估)過程中進行,以證明風險處理選項(ISO 術語)或風險應對策略(PMI 術語)的合理性。
. 風險暴露的確定是風險分析的結論。風險敞口是可能性、影響和其他因素的函數。
風險熱度地圖(Risk Heat Map)
-來源:巴比克斯
風險熱度地圖(或風險熱圖)是網路風險數據的圖形表示,其中包含在矩陣中的各個值表示為表示含義的顏色。風險熱圖用於以易於理解、視覺吸引力和簡潔的格式呈現網路風險評估結果。
來源:巴比克斯
參考
. 風險熱度地圖——強大的可視化工具
資料來源:https://wentzwu.com/2021/07/09/cissp-practice-questions-20210709/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-ISO 31000
在 ISO 31000 中,風險評鑑包括三個步驟:風險識別、風險分析和風險評鑑;威脅是一種帶來負面影響的風險。在 NIST 的世界中,風險評鑑和風險分析是同義詞。但是,它們具有相同的性質,即風險處理和響應遵循風險評鑑。安全控制是特定的風險處理或緩解風險的響應。
脆弱性是威脅的一個因素。NIST 的通用風險模型具體定義了威脅因素:
-NIST 通用風險模型 (NIST SP 800-30 R1)
安全評鑑(Security Assessment)
安全評鑑可以指安全控制評鑑(SCA)或資訊安全評鑑(ISA)。然而,它們有細微的差別。SCA 是 ISA 的一個子集。本題中的安全評鑑是指安全控制評鑑。
. 安全控制評鑑(SCA)的意思是“測試或評鑑的安全控制,以確定該控制是否正確執行,按預期方式操作的程度,並產生相對於所期望的結果滿足用於資訊系統或組織的安全性要求。” (NIST SP 800-53 R4)
. 一種資訊安全評鑑(ISA)是“確定實體被如何有效評鑑的過程中(例如,主機,系統,網絡,程序,人知的作為評鑑對象)滿足特定安全目標。” (NIST SP 800-115)
參考
. 安全評鑑
資料來源: Wentz Wu QOTD-20210708
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
縱深防禦是一種“整合人員、技術和運營能力的資訊安全戰略,以在組織的多個層次和維度之間建立可變的屏障”。(NIST 術語表)
. 人:提升安全意識
. 運營:幫助人力資源人員審查招聘流程
. 技術:實施入侵檢測系統以回應安全事件和基於生物識別的存取控制
基於風險的存取控制(Risk-based Access Control)
存取控制是指“授予或拒絕特定請求的過程:
1)獲取和使用資訊及相關資訊處理服務;和
2) 進入特定的物理設施(例如,聯邦建築物、軍事機構、邊境口岸)。(NIST 術語表)
有兩類存取控制方法:傳統的和動態的。傳統的存取控制方法利用嚴格且預先確定的策略來確定存取決策。或者,動態存取控制方法不僅採用靜態策略,還採用動態和實時特性來做出存取決策。這些動態特徵可能涉及上下文、信任、歷史事件、位置、時間和安全風險。基於風險的存取控制模型是利用與每個存取請求相關的安全風險值作為判斷存取決策的標準的動態方法之一。
資料來源:MDPI
完全調解(Complete Mediation)
“完全調解的原則要求檢查對對象的所有存取,以確保它們被允許。” (CISA)
參考
. 縱深防禦
. 基於風險的存取控制模型:系統文獻綜述
. 完全調解
資料來源: Wentz Wu QOTD-20210707
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
專有資料和個人資料(或 PII)是資料治理的重要主題。由於個人資料通常對隱私敏感,因此在網絡安全上下文中將信息/資料安全和隱私分開處理。例如,NIST SP 800-53 R5 提供了安全控制和隱私控制;ISO 27001 (ISMS) 處理信息安全,而 ISO 27701 處理隱私信息。
專有資料角色
. 資料所有者(Data Owner):分類、授權和問責
. 資料管家(Data Steward):資料質量
. 資料保管人(Data Custodian):實施和日常工作
資料所有者對其“擁有”的資料負責,因此管理團隊的成員通常承擔此角色。但是,他可以將職責委派給任何人(例如,資料管家或資料保管人),但仍需對結果負責。
在 NIST 指南中,資料管理員通常等同於資料所有者(或由資料所有者委託),因為資料所有者並不真正擁有“個人資料”的所有權。他們似乎通過不使用有爭議的術語來迴避個人資料所有權的爭論。
在私營部門,資料角色可以更明確地實施。組織可以在資料治理計劃中添加更多角色以滿足他們的要求。資料角色不限於上述三種。此外,組織可以使用他們喜歡的任何角色名稱。
個人資料角色
. 資料主體(Data Subject)/主體(Principal)
. 資料控制器(Data Controller)
. 資料處理器(Data Processor)
在我看來,個人資料的所有權應該屬於資料主體。組織並不“擁有”它們,而只是控制和處理它們。資料控制者決定處理的目的和方式;資料處理者代表資料控制者並根據資料控制者確定的目的和方式處理個人資料。
參考
. 隱私
資料來源: Wentz Wu QOTD-20210706
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-使用私鑰和公鑰對強大的程序集進行簽名和驗證
(來源:https://flylib.com/books/en/4.253.1.138/1/)
數位簽章可確保不可否認性,其中還包括資料完整性和真實性。從技術上講,數位簽章只不過是由主體的私鑰簽名的對象的哈希值。
哈希(值)、摘要和指紋是同義詞。消化代碼實際上是對代碼進行散列,不需要公鑰。
使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數位簽章的改寫。
只有代碼的指紋需要通過您的私鑰進行加密。簽名時不需要加密代碼。
參考
. 審查的前 5 名最受歡迎的 SSL 證書頒發機構
. 什麼是代碼簽名?
. FIPS PUB 186-4
. ClickOnce 和 Authenticode
. ClickOnce 應用程序的代碼訪問安全
. 配置 ClickOnce 可信發布者
資料來源: Wentz Wu QOTD-20210705
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-NIST SDLC 和 RMF
對系統進行分類意味著識別其處理的資料類型,以通過資料類型在機密性、完整性和可用性方面的影響級別的高水印來確定其影響級別。
安全控制框架,例如 NIST SP 800-53 R5,通常提供安全控制集作為基線。組織可以使用安全控制基線作為初始範圍,並根據風險評估產生的安全需求和要求對其進行調整。
資訊系統所有者應準備一個授權包,其中包含安全和隱私計劃、安全和隱私評估報告以及行動計劃和里程碑(用於糾正措施和改進),並將其提交給適當的授權操作授權 (ATO) .
參考
. NIST 風險管理框架
資料來源: Wentz Wu QOTD-20210704
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-NIST SDLC 和 RMF
資訊系統所有者應準備授權包並將其提交給適當的 授權操作(ATO)機構。授權包通常包含:
- 安全和隱私計劃(指導活動/任務)
- 安全和隱私評估報告(實施安全控制後)
- 糾正措施和改進的行動計劃和里程碑 (POA&M)
授權包是最後一個工件。它基本上是上述三個文件的彙編。
參考
. NIST SP 800-37,修訂版 2
. NIST SP 800-18 修訂版 1
資料來源: Wentz Wu QOTD-20210702
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
如今,“秘密”(secret)是認證的基礎。我們通常使用密碼(您知道的東西)、令牌中的加密密鑰(您擁有的東西)或帶有 PIN 的 1 對 1 生物特徵識別(您是的東西)進行身份驗證。
. 拆分知識、基於仲裁的身份驗證和 M of N 控制是控制對機密的訪問的常用方法。
. 職責分離 (SOD) 是一種在設計職位時控制流程或工作流程的措施。
參考
. 硬體安全模組
. 什麼是 N 中的 M?
. N 中的 M,關於
. 分裂知識
. 可信路徑
. 職責分離 (SOD)
資料來源: Wentz Wu QOTD-20210701
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
MTTF(Mean Time To Failure):平均故障壽命(一次性):出廠到失效之間平均時間
MTBF(Mean Time Between Failures):平均故障間隔(多久壞一次)
MTTR(Mean Time To Repair):平均修復時間:產品由故障轉為工作狀態時,修理時間的平均值。
平均無故障時間 (MTTF) 和平均無故障時間 (MTBF) 交替使用的情況並不少見。但是,MTTF 適用於不可修復的項目,而 MTBF 適用於可修復的項目。
老化的 UPS 電池通常是更換而不是維修。因此,在這種情況下,MTTF 優於 MTBF。
平均無故障時間
平均無故障時間 (MTTF) 是一種維護指標,用於衡量不可修復資產在發生故障之前運行的平均時間。由於 MTTF 僅與無法或不應修復的資產和設備相關,因此 MTTF 也可被視為資產的平均壽命。
MTTF 和 MTBF
平均無故障時間聽起來很像平均無故障時間 (MTBF),但它們並不相同。
主要區別在於計算中使用的資產類型。MTTF 使用不可修復的資產,而 MTBF 處理可修復的資產——當它們發生故障時,它們可以輕鬆修復而無需花費太多。
來源:修復軟件
資料來源:https://wentzwu.com/2019/12/25/cissp-practice-questions-20191226/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-示例單元測試
單元測試通常由程序員開發。這是一個白盒測試。為了最大化單元測試的價值,伴隨著敏捷方法提出的測試驅動開發(TDD)實踐,極限編程(XP)。也就是說,程序員首先編寫單元測試,以驅動生產代碼的開發。在生產代碼完成後編寫單元測試幾乎沒有價值。
單元測試被檢入本地代碼存儲庫並推送到中央代碼存儲庫服務器。編譯服務器上的所有代碼並在編譯成功時執行所有單元測試是集成測試的一部分。如果將服務器配置為在滿足某些條件時自動開始編譯,則稱為持續集成。每晚構建(例如,每天凌晨 3 點)或檢測到新簽入都是持續集成觸發器的好例子。
-XP 實踐(來源:https : //twitter.com/CharlotteBRF)
資料來源: Wentz Wu QOTD-20210722
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
AES(高級加密標準)
-密碼學
這兩種DES(數據加密標準)和AES(高級加密標準)是美國的加密標準。傳統 DES 使用 IBM 開發的 Lucifer,而當前標準 AES 通過開放選擇指定 Rijndael。通常將 DES 和 AES 稱為密碼本身。例如,AES 和 Rijndael 的不同之處在於,“Rijndael 本身指定的塊和密鑰大小可以是 32 位的任意倍數,最小為 128 位,最大為 256 位。” 但是,AES 指定了 128 位的“固定塊大小”,但密鑰大小有 128、192 或 256 位三種選擇。(維基百科)
DES 和 AES 是分組密碼。塊是一組位。塊是塊密碼的基本處理單元。DES 將數據分成 64 位塊,而 AES 以 128 位塊處理數據。但是,密鑰可能不等於數據塊。DES 密鑰大小名義上是 64 位(8 字節),但一個字節的每一位都是所謂的用於錯誤控制的奇偶校驗位。因此,有效密鑰長度為 56 位(64-8=56)。DES 塊大小比其後繼 AES 小得多,AES 使用 128 位塊。
因為分組密碼使用固定大小的塊,明文不能總是分成整個塊或塊大小的倍數。“ Padding ”是將數據加入明文中以便將其劃分為完整塊的過程。位置(開始、中間或結束)、單位(位或字節)和模式(全為零或全為 1)是填充問題。ANSI X9.23、PKCS#5、PKCS#7、ISO/IEC 7816-4 等是處理填充數據模式的標準。
ECB 模式中的 AES 可能不涉及初始化向量 (IV)。分組密碼可以在各種操作模式下工作。最著名的電子代碼簿 (ECB) 不涉及啟動向量,但可能會生成重複的模式。
DES 於 1970 年代初由 IBM 開發,基於 Horst Feistel 的早期設計。它於 1976 年被批准為美國加密標準。三重 DES (3DES/TDES) 是 DES 在 1990 年代被破壞後的一種解決方法。3DES 使用相同的 DES 算法三次以增加工作因子。3DES 需要三個密鑰(每個 DES 操作一個);但是,第一次使用的密鑰可以在第三次處理時使用。名義上,3DES 使用三個密鑰,但實際上它可以使用兩個密鑰(第一次和第三次使用相同的密鑰)。DES3-EEE 意味著使用三個不同的密鑰應用 DES 加密三次。
參考
. 分組密碼
. 高級加密標準
. 數據加密標準
. 三重DES
. 奇偶校驗位(維基百科)
. 填充(密碼學)
. 初始化向量
. java中AES-256加密需要多大的初始化向量?
. RSA 中的典型塊大小是多少?
資料來源: Wentz Wu QOTD-20210629
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
哈希上下文中的碰撞通常是指哈希函數從兩個不同的輸入消息生成相同哈希值的情況。有些,例如維基百科,可能會在哈希語中使用聚類。在 CISSP 中,聚類特別指密碼使用兩個不同的秘密密鑰生成相同密碼的情況。因此,更具體地說,哈希碰撞或金鑰叢集。
服務器欺騙是一種干擾因素,它結合了兩個概念:服務器群和欺騙攻擊。 Pharming 是一種網絡攻擊,旨在將網站的流量重定向到另一個虛假網站。 Pharming 可以通過更改受害者計算機上的主機文件或利用 DNS 服務器軟件中的漏洞來進行。 DNS 服務器是負責將 Internet 名稱解析為其真實 IP 地址的計算機。受損的 DNS 服務器有時被稱為“中毒”。 Pharming 需要不受保護地訪問目標計算機,例如更改客戶的家用計算機,而不是公司業務服務器。資料來源:維基百科
衝突檢測也可用於網絡通信環境中,並與帶有衝突檢測的載波偵聽多路訪問 (CSMA/CD) 相關,“一種媒體訪問控制 (MAC) 方法,最顯著地用於早期的局域網以太網技術。它使用載波偵聽來推遲傳輸,直到沒有其他站正在傳輸。這與衝突檢測結合使用,其中發送站在發送幀時通過檢測來自其他站的傳輸來檢測衝突。當檢測到這種衝突情況時,該站停止發送該幀,發送一個阻塞信號,然後等待一個隨機時間間隔,然後再嘗試重新發送該幀。” (維基百科)
資料來源: Wentz Wu QOTD-20210628
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-來源:(ISC)² 社區
在基於生物識別的系統中,靈敏度/閾值和 CER/EER 通常可以互換使用。交叉錯誤率 (CER) 或等錯誤率 (EER) 越低,生物識別系統犯的錯誤就越少。
更改(降低或提高)CER 或 EER 意味著更換(未配置)生物識別系統/機器。CER 或 EER 不能由客戶“配置”。客戶可以根據自己的安全需要調整或配置“靈敏度”或“閾值”來改變FAR/FRR。
. 降低靈敏度/閾值意味著接受更少的匹配生物特徵模式、增加 FAR 和降低 FRR,以及更多便利。
. 提高靈敏度/閾值意味著需要更多匹配的生物識別模式,增加 FRR 並降低 FAR,從而提高安全性。
資料來源: Wentz Wu QOTD-20210624
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
. “斷言”( Assertion)是 SAML(安全斷言標記語言)中使用的術語,相當於 OIDC(OpenID Connect)中的“聲明”。OIDC 將 ID Token(用於身份驗證)與 Access Token(用於授權)區分開來。OAuth2 中使用的存取令牌是“承載”令牌。擁有存取令牌作為不記名令牌的任何一方都可以存取相關資源。
. XACML 用於授權,它基於 XML,非常適合 SAML。
. 存取令牌和不記名令牌通常可以互換使用。但是,存取令牌字面上表示存取控製或授權的概念。不記名令牌是令牌的一種,它強調令牌的匿名性。
RFC 6750,OAuth 2.0 Bearer Token Usage,是一個規範,“描述瞭如何在 HTTP 請求中使用不記名令牌來存取 OAuth 2.0 受保護的資源。擁有不記名令牌(“持有者”)的任何一方都可以使用它來存取相關資源(無需證明擁有加密密鑰)。為了防止濫用,需要保護不記名代幣在存儲和運輸過程中不被洩露。”
但是,它也使用術語“存取令牌”描述了客戶端和資源服務器之間的通信,如下圖所示:
資料來源: Wentz Wu QOTD-20210623
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-VPN 和 EAP
在 802.1X 中,請求者與身份驗證者通信,身份驗證者將身份驗證消息轉發到身份驗證服務器。請求者不直接向身份驗證服務器進行身份驗證。
一般而言,網絡訪問服務器(NAS)是指提供遠程訪問服務的服務器,例如撥號、VPN 等。VPN 服務器可以看作是一種類型的 NAS。
-EAP 協議比較
-可擴展身份驗證協議 (EAP)
資料來源: Wentz Wu QOTD-20210625
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-SAMM 概述(來源:https : //owaspsamm.org)
軟體保障成熟度模型(SAMM)是一個 OWASP 專案,一個規範模型和一個開放框架,使用簡單、定義完整且可衡量。SAMM 2.0 包含五個業務功能(治理、設計、實施、驗證和操作),它們主要遵循邏輯順序或映射到通用軟體開發生命週期。每個業務功能都有通過兩個流連接的三個安全實踐,將它們組織成一個層次結構以進行性能測量。換句話說,每個安全實踐的活動屬於流 A 或流 B。安全實踐的成熟度級別,作為軟體保證目標,可以分為三個級別。
[Stream B] 確定教育和指導的安全擁護者,成熟度級別 1
“確定安全冠軍”是安全實踐、教育和指導的 Stream B 活動,處於成熟度級別 1。它帶來了安全在開發組織中的基本嵌入的好處。以下摘自OWASP SAMM v2.0 – 核心模型文檔:
. 實施一個計劃,其中每個軟體開發團隊都有一名成員被視為“安全冠軍”,他是資訊安全和開發人員之間的聯絡人。
. 根據團隊的規模和結構,“安全冠軍”可能是軟體開發人員、測試人員或產品經理。
. “安全冠軍”每周有固定的小時數用於資訊安全相關活動。他們定期參加簡報會,以提高對不同安全學科的認識和專業知識。
. “安全冠軍”接受了額外的培訓,以幫助培養這些軟體安全主題專家的角色。出於文化原因,您可能需要自定義創建和支持“安全冠軍”的方式。
. 該職位的目標是提高應用程序安全和合規性的有效性和效率,並加強各個團隊與資訊安全之間的關係。為實現這些目標,“安全冠軍”協助研究、驗證和確定與安全和合規性相關的軟體缺陷的優先級。他們參與所有風險評估、威脅評估和架構審查,通過使應用程序架構更具彈性並減少攻擊威脅面來幫助確定修復安全缺陷的機會。
. 除了協助資訊安全之外,“安全冠軍”還為專案團隊定期審查所有與安全相關的問題,以便每個人都了解問題以及任何當前和未來的補救工作。通過讓整個開發團隊參與進來,這些評論被用來幫助集思廣益解決更複雜的問題。
評估問題
您是否為每個開發團隊確定了一名安全冠軍?
– 否
– 是,對於某些團隊
– 是,對於至少一半的團隊
– 是,對於大多數或所有團隊
質量標準
– 安全冠軍接受適當的培訓
– 應用程序安全和開發團隊會定期收到安全冠軍的簡報安全計劃和修復的總體狀態
——安全冠軍在添加到應用程序積壓之前審查外部測試的結果
[Stream A] 定制安全培訓、教育和指導@成熟度級別 2
安全冠軍就 SDLC 各個階段的安全主題進行培訓。他們接受與開發人員和測試人員相同的培訓,但也了解威脅建模和安全設計,以及可以集成到構建環境中的安全工具和技術。
[Stream B] 建立安全社區,教育和指導@成熟度級別 3
圍繞角色和職責形成社區,並使來自不同團隊和業務部門的開發人員和工程師能夠自由交流並從彼此的專業知識中受益。鼓勵參與,建立一個計劃來提升那些幫助最多的人成為思想領袖,並讓管理層認可他們。除了提高應用程序安全性之外,該平台還可以根據他們的專業知識和幫助他人的意願幫助確定安全軟體卓越中心的未來成員或“安全冠軍”。
[Stream B] 標準化和擴展威脅建模,威脅評估@成熟度級別 2
培訓您的架構師、安全擁護者和其他利益相關者如何進行實際威脅建模。威脅建模需要理解、清晰的劇本和模板、特定於組織的示例和經驗,這些都很難實現自動化。
[Stream B] 建立滲透測試流程,Security Testing @ Maturity Level 2
滲透測試案例包括用於檢查業務邏輯健全性的特定於應用程序的測試,以及用於檢查設計和實現的常見漏洞測試。一旦指定,精通安全的質量保證或開發人員就可以執行安全測試用例。中央軟體安全組監控專案團隊安全測試用例的首次執行,以協助和指導團隊安全冠軍。
[Stream B] 建立持續的、可擴展的安全驗證,安全測試@成熟度級別 3
安全冠軍和中央安全軟體小組在開發過程中不斷審查自動和手動安全測試的結果,將這些結果作為開發團隊安全意識培訓的一部分。整合整體劇本中的經驗教訓,以改進作為組織發展一部分的安全測試。如果有未解決的發現仍然是發布的可接受風險,利益相關者和開發經理應共同製定解決這些問題的具體時間表。
參考
. OWASP SAMM 2.0
資料來源: Wentz Wu QOTD-202107014
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
Authentication Procedure
- Identification: a subject confesses its identity.
- Validation: the authentication server (AS) validates the identity against a directory.
- Assertion: the AS asserts the identity through identity/access tokens.
認證程序
身份證明:對象承認其身份。
驗證:身份驗證服務器 (AS) 根據目錄驗證身份。
斷言:AS 通過身份/訪問令牌斷言身份。
OAuth 2.0 指定了存取資源的存取令牌,但它沒有提供提供身份信息(ID Token)的標準方法,這就是 OpenID Connect(ODIC)出現的原因。
. (身份、認證)+ OAuth 2.0 = OpenID Connect
. OIDC 是第三代OpenID 技術,它與 OAuth 2.0 對齊並從 XML 切換到 JSON。
. OIDC 通過ID 令牌處理身份和身份驗證,而 OAuth 2.0 通過存取/承載令牌處理授權。
. 由於 OIDC 建立在 OAuth 2.0 之上,因此OpenID 提供程序與OAuth 2.0 授權服務器基本相同。
身份令牌(ID Token)
-理解 ID Token 由 Takahiko Kawasaki
不記名令牌(Bearer Token)
擁有不記名令牌(“持有者”)的任何一方都可以使用它來存取相關資源(無需證明擁有加密密鑰)。為了防止濫用,需要保護不記名代幣在存儲和運輸過程中不被洩露。
來源:RFC 6750
Microsoft.AspNetCore.Authentication.JwtBearer是一個軟體組件,用於處理 .NET 5.0 中的承載令牌。
OpenID Connect (OIDC) 和 OAuth 2.0
OpenID Connect 是一種基於 OAuth 2.0 系列規範的可互操作的身份驗證協議。它使用簡單的 REST/JSON 消息流,其設計目標是“讓簡單的事情變得簡單,讓複雜的事情成為可能”。與之前的任何身份協議相比,開發人員集成起來非常容易。
OpenID Connect 使開發人員無需擁有和管理密碼文件即可跨網站和應用程序驗證其用戶。對於應用程序構建器,它為以下問題提供了一個安全的可驗證答案:“當前使用與我連接的瀏覽器或本機應用程序的人的身份是什麼?”
OpenID Connect 允許所有類型的客戶端(包括基於瀏覽器的 JavaScript 和本機移動應用程序)啟動登錄流程並接收有關登錄用戶身份的可驗證斷言。
(身份、認證)+ OAuth 2.0 = OpenID Connect
來源:OpenID Connect 常見問題和問答
OpenID 的早期版本(Earlier Versions of OpenID)
OpenID Connect 是第三代 OpenID 技術。第一個是最初的 OpenID,這是一個有遠見的工具,從未獲得太多商業採用,但讓行業領導者思考什麼是可能的。OpenID 2.0考慮得更周全,提供了出色的安全性,並且在正確實施時運行良好。然而,它受到一些設計限制——其中最重要的是依賴方可以是網頁而不是本機應用程序;它還依賴於XML,導致一些採用問題。
OpenID Connect 的目標是對開發人員更加友好,同時擴展可以使用的用例集。它已經在這方面取得了成功;有大規模運行的生產部署。任何有足夠經驗通過 HTTP 發送和接收 JSON 消息的程序員(現在大多數是這樣)應該能夠使用標準的加密簽名驗證庫從頭開始實現 OpenID Connect。幸運的是,大多數甚至不必走那麼遠,因為有很好的商業和開源庫來處理身份驗證機制。
來源:OpenID Connect 常見問題和問答
OAuth 2.0 抽象協議流程(OAuth 2.0 Abstract Protocol Flow)
OAuth 2.0 Abstract Protocol Flow
OIDC 協議流程(OIDC Protocol Flow)
OpenID Connect協議,在抽象的,遵循下列步驟。
- RP(客戶端)向 OpenID 提供者(OP)發送請求。
- OP 對最終用戶進行身份驗證並獲得授權。
- OP 使用 ID 令牌和通常的存取令牌進行響應。
- RP 可以向 UserInfo Endpoint 發送帶有存取令牌的請求。
- UserInfo 端點返回有關最終用戶的聲明。
這些步驟如下圖所示:
OIDC Protocol Flow
參考
. RFC 6749:OAuth 2.0 授權框架
. RFC 6750:OAuth 2.0 授權框架:不記名令牌的使用
. OAuth 2.0
. 歡迎使用 OpenID Connect
. OpenID Connect 常見問題和問答
. OAuth 2.0 / OpenID Connect 說明
. 了解 ID 令牌
. 將標識提供程序存取令牌傳遞到 Azure Active Directory B2C 中的應用程序
. AccessToken Vs ID Token Vs Refresh Token – 什麼?為什麼?什麼時候?
資料來源: Wentz Wu QOTD-20210622
-RESTful HTTP 方法
HTTP 方法/動詞 GET 通常用於檢索數據,這會影響機密性。
HTTP 方法
-Semantics of HTTP methods (Source: RFC 7231)
RESTful 風格架構
2000 年,Roy Fielding 在他的博士論文中引入並定義了表徵狀態轉移這一術語。Fielding 的論文解釋了 REST 原則,這些原則從 1994 年開始被稱為“HTTP 對像模型”,並用於設計 HTTP 1.1 和統一資源標識符 (URI) 標準。該術語旨在讓人聯想到精心設計的 Web 應用程序的行為方式:它是一個 Web 資源網絡(虛擬狀態機),用戶通過選擇資源標識符(例如http://www)在應用程序中前進.example.com/articles/21和資源操作,例如 GET 或 POST(應用程序狀態轉換),導致下一個資源的表示(下一個應用程序狀態)被傳輸給最終用戶供他們使用。
資料來源:維基百科
參考
. FRC 7231:超文本傳輸協議 (HTTP/1.1):語義和內容
. 為 RESTful 服務使用 HTTP 方法
. HTTP 請求方法
資料來源: Wentz Wu QOTD-20210621
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
. RC4 在 WEP 中用於強制保密。然而,“在 2001 年 8 月,Scott Fluhrer、Itsik Mantin 和 Adi Shamir 發表了 WEP[14] 的密碼分析,它利用了 WEP 中使用 RC4 密碼和 IV 的方式,導致被動攻擊可以恢復 RC4 密鑰後竊聽網絡。” (維基百科)
. WPA3 使用 HMAC 來確保真實性;不可否認性由數字簽名強制執行。
. WPA 使用 TKIP,使用 RC4 作為底層密碼,以確保機密性。
. WPA2 在 CCM 模式下使用 AES,一種分組密碼(CBC-MAC 計數器)。
參考
. Wi-Fi 保護訪問
. 有線等效保密
. CCMP(密碼學)
. 分組密碼操作模式
. Wi-Fi Alliance® Wi-Fi® 安全路線圖和 WPA3™ 更新
. WPA3 和增強型開放:下一代 WI-FI 安全
. WPA3 解釋
資料來源: Wentz Wu QOTD-202104021
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-SAMM 概述(來源:https : //owaspsamm.org)
文化有不同的背景或層次,例如安全文化、組織文化或民族文化。高級管理層是在組織層面提升安全意識和文化的好人選;然而,安全冠軍在軟體開發中是更合適的角色。
安全冠軍和 OWASP SAMM(Security Champion and OWASP SAMM)
安全冠軍是軟體安全主題專家,他們在 OWASP 軟體保障成熟度模型 (SAMM) 中組織和文化的成熟度級別 1 中發揮著關鍵作用。提名一名成員,例如軟體開發人員、測試人員或產品經理,作為安全擁護者,有助於將安全嵌入到開發組織中。
. 安全冠軍接受適當的培訓。
. 應用程序安全和開發團隊會定期收到安全冠軍關於安全計劃和修復整體狀態的簡報。
. 安全冠軍在添加到應用程序積壓之前審查外部測試的結果。
高級管理人員(Senior Management)
高級管理人員是攻擊的高優先級目標。為高級管理層制定安全意識計劃至關重要。他們必須以身作則,理解和遵守安全政策,絕不應該被發現說壞話或自相矛盾的政策。
安全文化(Security Culture)
. 文化本質上是“一組用語言表達的共同理解”或“意義的共享模式”或“與組織結構和控制系統相互作用以產生行為規範的共享價值觀和信念”。如果可以證明文化會影響安全結果,那麼文化在安全環境中就會引起人們的興趣。( IEEE )
. 資訊安全文化指導組織在資訊安全方面的工作,以保護資訊資產和影響員工的安全行為。( IEEE )
參考
. SAMM 敏捷指南
. OWASP聚寶盆
. IT 安全培訓和意識計劃的遊戲化
. 從上到下發展安全文化的 6 種方法
. 國際民航組織 AVSEC2018
. 安全文化
. 嵌入資訊安全文化 新出現的問題和挑戰
. 如何建立安全文化
資料來源: Wentz Wu QOTD-202104019
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
“原始密碼(Raw password)”和“散列密碼(hashed password)”是可行的解決方案。但是,HTTPS 下的原始密碼更常用,例如 Google 和 Facebook。以下原因解釋了為什麼原始密碼更可行,因為信息安全應該與業務需求保持一致:
. 在瀏覽器中,散列密碼是通過自定義 JavaScript 模塊計算的;如果客戶關閉 JavaScript 功能或防病毒軟件干擾操作,則無法正常工作。這將對市場份額、客戶滿意度和客戶服務成本產生負面影響。
. 如果攻擊者可以破壞 HTTPS 連接,發送原始密碼或散列密碼沒有任何區別,因為他可以竊取訪問令牌並劫持會話。剩餘風險幾乎相同。
. 此外,發送散列密碼意味著用戶的密碼必須被散列或加鹽,並且變得不可逆轉。但是,有些網站可能需要支持“找回密碼”功能,對密碼進行加密,客戶可以查詢自己忘記的密碼。
鹽密碼(Salted Password)
加鹽密碼是指根據原始密碼和鹽的串聯計算得出的哈希值,鹽是“作為輔助輸入合併到單向或加密函數中的隨機變量,用於派生密碼驗證數據”。(ISO/IEC 11770-4:2017) 加鹽通常在服務器端生成並且對客戶端保密,因此客戶端不可能提交加鹽密碼。
電子簽名(Digital Signature)
數字簽名在技術上是可行的,但對於電子商務網站要求客戶安裝數字證書進行身份驗證來說實際上是不可行的。
參考
. 為什麼客戶端對密碼的散列如此不常見?
. 為什麼幾乎沒有網頁在提交之前在客戶端散列密碼(並在服務器上再次散列它們),以“防止”密碼重用?
. 你(可能)做錯了登錄系統
資料來源: Wentz Wu QOTD-202104018
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-治理結構(Governance Structure)
稽核委員會(Audit Committee)
稽核委員會是組織董事會的一個委員會,負責監督財務報告流程、選擇獨立稽核師以及接收內部和外部稽核結果。
美國上市公司在證券交易所上市需要一個合格的(參見下面的“組成”段)稽核委員會……隨著薩班斯 – 奧克斯利法案的通過,稽核委員會的作用繼續發展. 許多稽核委員會還監督監管合規和風險管理活動。
資料來源:維基百科
執行委員會(Executive Committee)
執行委員會的組織和授權代表整個董事會,因為董事會成員,尤其是大型董事會,親自聚集以做出決策並採取一些必要的行動並不總是可行的。
執行委員會是一個常設委員會,常作為指導運作委員會和組成的高層管理人員和董事會人員,例如:首席執行官,以及管理人員和董事的一個子集,以代表的基板時的整個董事會不能開會。
資料來源:有效的 CISSP:安全和風險管理
參考
. 治理委員會
. 治理委員會 (ACFID)
. 公司治理委員會和章程
. 治理委員會:非營利董事會的新趨勢
資料來源: Wentz Wu QOTD-202104017
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
由於管理是實現一個或多個目標的系統方法,我根據維基百科和NIST CSRC 術語表中的定義定義漏洞管理,並將它們擴展如下:
漏洞管理是識別、分類、優先排序、修復和驗證資訊系統、系統安全程序、內部控製或實施中的漏洞以降低風險的周期性實踐。
維基百科
漏洞管理是“識別、分類、確定優先級、修復和緩解”軟件漏洞的循環實踐。(維基百科)
NIST CSRC術語表
狹義上,漏洞可能是指那些被列入常見漏洞和暴露 (CVE) 的漏洞。
例如,漏洞管理是“一種識別設備上的漏洞 [常見漏洞和暴露 (CVE)] 的 ISCM 功能,這些漏洞可能被攻擊者用來破壞設備,並將其用作將破壞擴展到網絡的平台。” (NIST CSRC術語表)
從更廣泛的意義上講,漏洞是“資訊系統、系統安全程序、內部控製或實施中可能被威脅源利用或觸發的弱點”。(NIST CSRC術語表)
內部安全控制是資訊系統內的硬體、分位或軟體功能,將資源訪問權限限制為僅授權主體。[NIST CSRC術語表)]
資料來源:Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-戰略層次
通常,CEO 負責制定公司戰略或大戰略,董事會的意見和高級管理團隊的支持。
CISO 不是製定企業戰略的主要角色,而是與企業戰略保持一致以創造價值並實現組織願景和使命的信息安全戰略。此外,他還必須定位安全職能(部門),確定其組織、角色和職責,將安全融入組織流程,支持產品和服務的持續交付(所謂的“業務連續性”),並保護信息資產以加強安全。信息安全管理系統 (ISMS) 可確保有效地制定和實施安全策略。
CISO 的匯報路線因組織而異,各有利弊,但 CISO 向 CFO 或其他高級官員匯報並非不可能。
. CISO 向 CIO 報告的安排可能會導致利益衝突。
. CISO 向 CFO 報告的安排可能會花費更多時間來交流技術內容。
. CISO 向審計職能報告的安排將對其獨立性產生不利影響。
參考
. 什麼是安全功能
. 信息安全職能和職責
. 管理安全功能:診斷版本 1 摘要
. 企業安全
. 組織中安全管理的角色
. 如何組織您的安全團隊:網絡安全角色和職責的演變
. 萬豪-數據洩露
. ICO 因未能保證客戶個人數據安全而對萬豪國際進行罰款
. 什麼是企業戰略?
. 誰負責制定公司的戰略計劃?
. 如何制定企業戰略(CEO 分享最佳技巧和工具)
. 多元化公司的戰略規劃
. 如何評估企業戰略
資料來源: Wentz Wu QOTD-202104015
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
微服務(Microservices)
微服務是一個低耦合的架構,可以通過以下方式實現重構一個單片應用,即,轉向進程內的應用程序組件成自包含的網絡服務適於被部署在可伸縮或彈性容器或無服務器環境。
託管環境(Hosting Environment)
微服務可以通過兩種方式部署:容器化和無服務器。
容器化(Docker 主機或節點)(Containerization (Docker hosts or nodes))
容器化用於捆綁應用程序或應用程序的功能、所有依賴項及其在容器映像中的配置。此映像部署在主機操作系統上,捆綁的應用程序作為一個單元工作。
容器鏡像的概念允許我們在幾乎不做任何修改的情況下跨環境部署這些鏡像。通過這種方式,可以輕鬆快速地擴展微服務,因為新容器可以輕鬆部署用於短期目的。
Docker將用於向我們的微服務添加容器化。Docker 是一個開源項目,用於創建可以在雲端或本地的 docker 主機上運行的容器。
-來源:使用 ASP.NET Core 3.1 的微服務
無服務器(Serverless)(FaaS)
微服務具有“可擴展”的特點,但由於接口的細粒度,會導致微服務管理的高度複雜性。一個API網關或立面緩解這個問題。
無服務器減少了安裝和維護服務器作為託管環境的負擔。AWS Lambda是一種功能即服務 (FaaS) 產品,是無服務器計算中最著名的雲服務之一。
-資料來源:AWS 的無服務器微服務模式
參考
. Kubernetes 與 Docker:入門
. Node.js 中的無服務器:初學者指南
. Node.js 中的無服務器架構:開源應用的案例研究
. 無服務器和微服務:天作之合?
. 使用容器部署微服務
. 什麼是無服務器微服務?| 無服務器微服務解釋
. 適用於 AWS 的無服務器微服務模式
. 使用 ASP.NET Core 3.1 的微服務
資料來源: Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-可信路徑和可信通道
. 可信計算機系統(Trusted Computer System)
具有必要的安全功能並保證安全策略將得到執行並且可以同時處理一系列敏感信息(即機密、受控非機密信息 (CUI) 或非機密公共信息)的系統。(CNSSI 4009-2015)
. 可信計算庫 (TCB)( Trusted Computing Base)
計算機系統內保護機制的總和,包括硬件、固件和軟件,負責執行安全策略的組合。(CNSSI 4009-2015)
. 安全內核(Security Kernel)
實現參考監視器概念的可信計算基礎的安全內核硬件、固件和軟件元素。安全內核必須調解所有訪問,防止修改,並且可以驗證是否正確。(CNSSI 4009-2015)
. 可信路徑(Trusted Path)
一種機制,用戶(通過輸入設備)可以通過這種機制直接與信息系統的安全功能進行通信,並有必要的信心來支持系統安全策略。該機制只能由用戶或信息系統的安全功能激活,不可被不可信軟件模仿。(CNSSI 4009-2015)
. 可信通道(Trusted Channel)
端點已知且數據完整性在傳輸過程中受到保護的通道。根據所使用的通信協議,數據隱私可能在傳輸過程中受到保護。示例包括傳輸層安全 (TLS)、IP 安全 (IPSec) 和安全物理連接。(CNSSI 4009-2015)
. 可信平台模塊 (TPM)( Trusted Platform Module)
一種內置於某些計算機主板中的防篡改集成電路,可以執行加密操作(包括密鑰生成)並保護少量敏感信息,例如密碼和加密密鑰。(NIST SP 800-147)
. 可信恢復(Trusted Recovery)
確保在系統故障後不受影響地恢復的能力。(CNSSI 4009-2015) Common Criteria (CC) 定義了四種類型的可信恢復:手動恢復、自動恢復、沒有過度丟失的自動恢復和功能恢復。
資料來源: Wentz Wu 網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-ICT SCRM 支柱和可見性(來源:NIST SP 800-161)
僅當購買正版產品時,生命週期終止 (EOL) 和支持終止 (EOS) 才是關鍵問題。OEM 或供應商將不支持假冒產品。符合通用標準 (CC) 的產品固然很好,但在大多數組織中並不是強制性的。而且,仿冒也沒有意義。
以下是 NIST 對 ICT 供應鏈的常見風險:
- 插入假冒產品
- 未經授權的生產
- 篡改
- 盜竊
- 插入惡意軟件和硬件
- 糟糕的製造和開發實踐
這些 ICT 供應鏈風險可能包括假冒產品的插入、未經授權的生產、篡改、盜竊、惡意軟件和硬件的插入,以及ICT 供應鏈中不良的製造和開發實踐。這些風險與組織對他們獲得的技術如何開發、集成和部署以及用於確保完整性、安全性、彈性和彈性的流程、程序和實踐的可見性和理解降低有關。產品和服務的質量。
來源:NIST SP 800-161
產品銷售和支持(Product Sales and Support****)
終止產品銷售和支持的政策因供應商而異。下圖是產品 EOL 和 EOS 的示例。
-EOL 和 EOS:產品銷售和支持
參考
. 霍尼韋爾(Honeywell)
. 什麼是生命週期終止 (EOL) 與服務/支持生命週期終止 (EOSL)?
. 產品生命週期和支持管理 – Evolis 公司政策
. EVOLIS 目錄產品:停產日期
. 思科產品生命週期終止政策
資料來源: Wentz Wu QOTD-202104014
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-道德在新的 CISSP 考試大綱中名列前茅
道德規範(Code of Ethics Canons)
. 保護社會、共同利益、必要的公眾信任和信心以及基礎設施。
. 以光榮、誠實、公正、負責任和合法的方式行事。
. 為校長(principals)提供勤勉和稱職的服務。
. 推進和保護職業。
道德投訴程序(Ethics Complaint Procedures)
以下摘自(ISC)² 道德規範:
. 該倫理委員會是由董事會成立聽到所有的道德投訴和提出建議董事會。
. 委員會將只考慮具體說明我們的 (ISC)² 道德準則中已被違反的投訴。
. 雖然任何公眾都可以投訴Canons I 或 II的違規行為,但只有負責人(與證書持有者有雇主/承包商關係的人)可以投訴Canons III 的違規行為,並且只有其他專業人士(那些獲得認證或獲得專業執照並遵守道德準則)可能會投訴違反佳能 IV 的行為。
. 僅接受聲稱因所指控的行為而受傷的人的投訴。
. 所有投訴必須以書面形式提出。投訴必須採用宣誓書的形式。委員會不會考慮任何其他形式的指控。
. 如果表面證據確鑿,道德委員會將審查並向董事會提出建議。
參考
. (ISC)² 道德準則
. (ISC)² 活動行為準則
. 你有足夠的道德成為 CISSP 嗎?
. 網絡安全倫理簡介
. 事件響應和安全團隊的道德規範
. 共同利益
. 什麼是同行評審團?
. 為您的組織製定道德準則
. Surna Inc. 商業行為與道德準則
. 3 信息安全專業人員的道德困境
. 網絡安全倫理的嚴峻挑戰
資料來源: Wentz Wu QOTD-202104013
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-零信任網路安全範式
EAP-TLS、EAP-TTLS 和 PEAP 是 WPA2 中使用的合法身份驗證協議。EAP-TLS 需要基於服務器和客戶端的證書進行相互身份驗證,並在三者中呈現最高的安全級別。EAP-TTLS 和 PEAP 支持相互認證,無需在客戶端安裝證書以減輕系統管理開銷。由於零信任強調驗證和細粒度訪問控制,因此 EAP-TLS 比 EAP-TTLS 或 PEAP 更適合。
EAP 傳輸層安全 (EAP Transport Layer Security :EAP-TLS)
EAP 傳輸層安全 (EAP-TLS) 在 RFC 5216 中定義,是使用傳輸層安全 (TLS) 協議的 IETF 開放標準,並在無線供應商中得到很好的支持。EAP-TLS 是原始的標準無線局域網 EAP 身份驗證協議。
EAP-TLS 仍然被認為是最安全的 EAP 標準之一,儘管 TLS 僅在用戶了解有關虛假憑據的潛在警告時才提供強大的安全性,並且得到所有無線 LAN 硬件和軟件製造商的普遍支持。直到 2005 年 4 月,EAP-TLS 是唯一需要認證 WPA 或 WPA2 徽標的 EAP 類型供應商。
客戶端證書的要求,無論它多麼不受歡迎,都賦予了 EAP-TLS 其身份驗證強度,並說明了經典的便利性與安全性的權衡。使用客戶端證書,破解密碼不足以入侵啟用 EAP-TLS 的系統,因為入侵者仍然需要擁有客戶端證書;實際上,甚至不需要密碼,因為它僅用於加密客戶端證書以進行存儲。最高的安全性是客戶端證書的“私鑰”存放在智能卡中。
資料來源:維基百科
EAP 隧道傳輸層安全 (EAP Tunneled Transport Layer Security:EAP-TTLS)
EAP 隧道傳輸層安全 (EAP-TTLS) 是一種擴展 TLS 的 EAP 協議。它由 Funk Software 和 Certicom 共同開發,並得到了跨平台的廣泛支持。
客戶端可以但不必通過 CA 簽署的 PKI 證書向服務器進行身份驗證。這極大地簡化了設置過程,因為並非每個客戶端都需要證書。
資料來源:維基百科
受保護的可擴展身份驗證協議 (Protected Extensible Authentication Protocol:PEAP)
受保護的可擴展身份驗證協議,也稱為受保護的 EAP 或簡稱為 PEAP,是一種將 EAP 封裝在潛在加密和身份驗證的傳輸層安全 (TLS) 隧道中的協議。目的是糾正 EAP 中的缺陷;EAP 假設了一個受保護的通信通道,例如由物理安全提供的通道,因此沒有提供保護 EAP 對話的設施。
資料來源:維基百科
輕量級可擴展身份驗證協議 (Lightweight Extensible Authentication Protocol :LEAP)
Cisco LEAP 是 802.1X 在無線網路中使用的基於 EAP 的身份驗證協議。它支持相互認證並在遺留的破解 WEP 中工作。
NIST:零信任原則(Tenets of Zero Trust)
- 所有數據源和計算服務都被視為資源。
- 無論網路位置如何,所有通信都是安全的。
- 按會話授予對單個企業資源的訪問權限。
- 對資源的訪問由動態策略決定——包括客戶端身份、應用程序/服務和請求資產的可觀察狀態——並且可能包括其他行為和環境屬性。
- 企業監控和衡量所有自有資產和相關資產的完整性和安全狀況。
- 所有資源認證和授權都是動態的,並且在允許訪問之前嚴格執行。
- 企業盡可能多地收集有關資產、網路基礎設施和通信的當前狀態的信息,並使用這些信息來改善其安全狀況。
NIST:網路的零信任視圖(A Zero Trust View of a Network)
- 整個企業專用網路不被視為隱式信任區域。
- 網路上的設備可能不由企業擁有或配置。
- 沒有資源是天生可信的。
- 並非所有企業資源都位於企業擁有的基礎架構上。
- 遠程企業主體和資產無法完全信任其本地網路連接。
- 在企業和非企業基礎設施之間移動的資產和工作流應該具有一致的安全策略和狀態。
參考
. WPA2-企業認證協議比較
. 了解更新的 WPA 和 WPA2 標準
. 轉向 WPA/WPA2-企業 Wi-Fi 加密
. 802.1X 概述和 EAP 類型
. 思科LEAP
資料來源: Wentz Wu QOTD-202104012
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
清理方法(The sanitization method),清除(purge),將使數據恢復不可行,但介質是可重複使用的。消磁(Degaussing)會使媒體永久無法使用。
消磁,也稱為消磁,意思是“通過施加反向磁化場將磁通量降低到虛擬零。對任何當前一代的硬盤(包括但不限於 IDE、EIDE、ATA、SCSI 和 Jaz)消磁將導致驅動器永久無法使用,因為這些驅動器將磁道位置信息存儲在硬盤驅動器上。”
來源:NIST SP 800-88 R1
ATA 清理命令旨在清除數據;它們應用特定於媒體的技術來繞過典型讀寫命令中固有的抽象。以下是 ATA 清理 I/O 命令:
. CRYPTO SCRAMBLE EXT(D. 更改用於用戶數據的內部加密密鑰)
. OVERWRITE EXT(C. 用常數值覆蓋內部媒體)
. BLOCK ERASE EXT(A.使用塊擦除方法)
-ATA 清消操作
參考
. CISSP 實踐問題 – 20200209
. 數據殘留和清理
資料來源: Wentz Wu QOTD-202104011
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
橢圓曲線數字簽名算法 (ECDSA) 是FIPS 186-4批准的合法數字簽名算法。這意味著 ECDSA 在技術上足夠強大並且具有法律約束力。
本標准定義了數字簽名生成方法,可用於保護二進制數據(通常稱為消息),以及驗證和確認這些數字簽名。批准了三種技術。
(1)本標準規定了數字簽名算法(DSA)。該規範包括域參數的生成、公鑰和私鑰對的生成以及數字簽名的生成和驗證的標準。
(2) RSA數字簽名算法在美國國家標準 (ANS) X9.31 和公鑰密碼學標準 (PKCS) #1 中指定。FIPS 186-4 批准使用這些標準中的一個或兩個的實現,並指定附加要求。
(3)橢圓曲線數字簽名算法 (ECDSA)在 ANS X9.62 中指定。FIPS 186-4 批准使用 ECDSA 並指定附加要求。此處提供了供聯邦政府使用的推薦橢圓曲線。
ECDSA 密鑰對由私鑰d 和與特定 ECDSA 域參數集相關聯的公鑰Q 組成;d、Q 和域參數在數學上相互關聯。私鑰通常使用一段時間(即cryptoperiod);只要使用關聯私鑰生成的數字簽名需要驗證(即,公鑰可以在關聯私鑰的加密期之後繼續使用),就可以繼續使用公鑰。有關進一步指導,請參閱 SP 800-57。
ECDSA 密鑰只能用於 ECDSA 數字簽名的生成和驗證。
來源:FIPS 186-4
使用密鑰對的非對稱加密(Asymmetric Encryption Using Key Pairs)
非對稱加密中使用的密鑰對中的私鑰或公鑰只是一個二進制位序列。給定一個公鑰,你永遠不知道它屬於誰。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。因此,單獨的公鑰不能用於身份驗證和不可否認性。
IPsec 和不可否認性(IPsec and Non-repudiation)
. 不可否認包從技術角度來看是遠離的不可抵賴性的消息從法律的角度。
. 在早期,Cisco 和 RFC 1826 聲明 IPsec 支持不可否認性。但是,隨後的 RFC(RFC 2403 和 RFC 4302)顛覆了這一點:
RFC 1826 不可否認性(RFC 1826 for Non-repudiation)
認證頭是一種為 IP 數據報提供強完整性和認證的機制。它還可能提供不可否認性,具體取決於使用哪種加密算法以及如何執行密鑰。例如,使用非對稱數字簽名算法(如 RSA)可以提供不可否認性。( RFC 1826 )
但是,RFC 2403 和 RFC 4302 顛覆了 AH 提供不可否認性的說法。
用於身份驗證的 RFC 2402(RFC 2402 for Authentication)
IP 認證頭 (AH) 用於為 IP 數據報提供無連接完整性和 數據源認證(以下簡稱“認證”),並提供防止重放的保護。 (RFC 2402 )
RFC 4302 完整性(RFC 4302 for Integrity)
IP 認證頭 (AH) 用於 為 IP 數據報(以下簡稱“完整性”)提供無連接完整性和 數據源認證,並提供防止重放的保護。( RFC 4302 )
有關詳細信息,請參閱IPsec 和不可否認性。
參考
. 酒店評分
. RSA(密碼系統)
. 不可否認性
. IPsec 和不可否認性
資料來源: Wentz Wu QOTD-20210409
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
證書申請和回應
證書籤名請求
在公鑰基礎結構(PKI)系統中,證書籤名請求(也稱為CSR或證書請求)是從申請人發送到證書頒發機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰,標識信息(例如域名)和完整性保護(例如數字簽名)。CSR最常見的格式是PKCS#10規範;另一種是由某些Web瀏覽器生成的“簽名的公鑰和挑戰” SPKAC格式。
資料來源:維基百科
使用OpenSSL生成CSR
$ sudo apt install openssl [在Debian / Ubuntu上]
$ openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
上傳證書籤名請求
X.509證書
安裝證書
TLS / SSL
參考
- PKCS#10:認證請求語法規範版本1.7
- Internet X.509證書請求消息格式
- PKI技術標準
- SSL證書格式
- X.509和PKCS#7證書有什麼區別?
- SSL證書文件擴展名說明:PEM,PKCS7,DER和PKCS#12
- .P7B(PKCS#7).PFX / .P12(PKCS#12).PEM,.DER,.CRT,.CER證書有什麼區別?
- 網絡安全
- 信任鏈
- HTTPS流量的服務級別監視
- SSL基礎知識:什麼是證書籤名請求(CSR)?
- 產生企業社會責任
- CSR解碼器和證書解碼器
- 如何使用OpenSSL解碼證書籤名請求(CSR)文件
- 如何為Nginx生成CSR(OpenSSL)
- 如何在Linux中生成CSR(證書籤名請求)
- x509證書–非對稱加密和數字簽名
- 如何使用X.509證書和SSL進行安全通信
- 什麼是X.509證書?
- 如何在IIS10上安裝SSL證書
資料來源: Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
使命與願景(Mission and Vision)
. 一個組織不是無緣無故存在的。它是為目的而建立的,並肩負著使命。它由領導者創造的願景激勵人們按照目標進行活動,並根據指標和指標進行衡量,以創造價值、實現(戰略)目標並實現願景和使命。
. 業務是指創造價值的活動的集合。它由組織的內部和外部環境驅動,這些環境施加了條件和約束以及表達期望、需求和要求的利益相關者。
治理與管理(Governance and Management)
治理是指由最高管理層或最高管理層進行的整體活動,對業務成果、組織的生存和發展以及願景和使命的實現負責。政策是最高管理層意圖的表達。
管理是實現目標或目的的系統方法。PDCA 循環是最著名的管理方法之一。
資訊安全(Information Security)
資訊安全是一門通過保障措施保護資訊資產免受威脅的學科,以實現機密性、完整性和可用性(第 3 層)或 CIA 的目標,支持業務(第 2 層)並創造和交付價值(第 1 層) .
. 資訊安全治理是最高管理層的一門學科,以 1) 承擔保護組織資訊資產的責任,2) 指導資訊安全的實施以實現機密性、完整性和可用性的安全目標,以及 3) 遵守法律和強制性的和其他需求。
. 資訊安全管理是PDCA循環,實施資訊安全戰略,實現戰略目標,落實資訊安全政策。
資料來源: Wentz Wu 網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-容器技術架構
容器映像是由開發人員創建和註冊的包,其中包含在容器中運行所需的所有文件,通常按層組織。映像通常包括層,例如最小操作系統核心(又名基礎層)、應用程序框架和自定義代碼。
儘管主機可以直接聯繫註冊中心獲取鏡像並將其部署到容器中,但協調器(例如Kubernetes(K8S)、Docker Swarm、Mesos等)可以自動執行部署過程,從註冊中心拉取鏡像,並將其部署到容器中,並管理容器運行時。
不變性和彈性(Immutability and Elasticity)
正如寵物中的雞、牛、雞和昆蟲類比,部署容器是為了彈性,具有自動“橫向擴展”和“縱向擴展”的能力。
我們很好地照顧我們的寵物,但殺死和吃掉像牛和雞這樣的動物而不會後悔。虛擬機和容器是可以隨時銷毀、替換和添加的工作負載。不變性和無狀態是容器實現彈性的兩個關鍵屬性。
不變性意味著“隨時間不變或無法改變”。(Google) 我們可以將容器視為只讀的;更新容器的唯一方法是用新容器替換它。無狀態意味著容器不會在其本地存儲中保留數據;但是,遠程存儲庫用於跨容器持久化和共享狀態。
大多數應用程序容器技術都實現了不變性的概念。換句話說,容器本身應該作為已部署但未更改的無狀態實體運行。當正在運行的容器需要升級或更改其內容時,它會被簡單地銷毀並替換為具有更新的新容器。
資料來源: NIST SP 800-192
覆蓋網絡(Overlay Networks)
覆蓋網絡通常用於隔離節點之間的流量。相反,可能會導致非容器感知防禦工具難以監控流量。
對容器進行分段和分組(Segmenting and Grouping Containers)
在某些情況下,適合將具有相同用途、敏感性和威脅態勢的容器分組在單個主機上。儘管如此,它並不適用於所有不具有相同安全要求的容器。
僅將具有相同用途、敏感性和威脅態勢的容器分組到單個主機操作系統內核上,以實現額外的縱深防禦。
按用途、敏感性和威脅態勢分割容器提供了額外的縱深防禦。這種分段可以通過使用多個物理服務器來提供,但現代虛擬機管理程序也提供了足夠強大的隔離來有效地降低這些風險。
資料來源: NIST SP 800-192
NIST 應用程序容器安全指南(NIST Application Container Security Guide)
NIST 建議組織應遵循以下建議,以幫助確保其容器技術實施和使用的安全性:
- 定制組織的運營文化和技術流程,以支持容器使開發、運行和支持應用程序成為可能的新方式。
- 使用特定於容器的主機操作系統而不是通用操作系統來減少攻擊面。
- 僅在單個主機操作系統內核上將具有相同目的、敏感性和威脅態勢的容器分組,以實現額外的縱深防禦。
- 為鏡像採用特定於容器的漏洞管理工具和流程,以防止受到損害。
- 考慮使用基於硬件的對策為可信計算提供基礎。
- 使用容器感知運行時防禦工具。
參考
. 什麼是容器安全?
. NIST SP 800-192(應用容器安全指南)
. 容器安全指南——你需要知道的一切
. 寵物和牛的類比展示了無服務器如何融入軟件基礎設施領域
. 寵物與牛的歷史以及如何正確使用類比
. 彈性
. 自動化彈性
資料來源: Wentz Wu QOTD-20210408
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
零信任的概念早在 2003 年就出現了,當時去邊界化、移除物理網絡位置盛行。許多組織開始實施類似的概念。NIST 於 2020 年 8 月發布了專刊 800-207,統一了各種觀點,介紹了零信任概念和環境,並提出了零信任架構。
從不信任,始終驗證。零信任的基本概念是不依賴物理位置來隱式授權訪問(信任)。每次訪問都必須經過身份驗證、明確授權和記錄;數據流需要加密和記錄。應實施細粒度的動態機制來支持訪問控制。因此,我得出的結論是,零信任是一種用於訪問控製或訪問控制 2.0 的新網絡安全範式,具有以數據為中心、細粒度、動態和可見性的特點。
. 記帳和記錄網絡流量提供了可見性。
. 零信任與位置無關。使用 IPSec 加密 LAN 上的流量,就像 WAN 中發生的那樣。
. 端口敲門在端口級別應用身份驗證並支持動態策略。此外,我們還在應用程序級別使用網絡訪問控制(例如,802.1X)和用戶身份驗證。從不信任,始終驗證。
. 多層防火牆意味著安全性由物理網絡位置實施,例如外部、DMZ 和內部網絡。它不是零信任風格,它以數據或資產為中心,並使用邏輯邊界或軟件定義的邊界。
-零信任概念的演變
-零信任網絡安全範式
參考
. 零信任創建者談論實施、誤解、戰略
. 敲端口
資料來源: Wentz Wu QOTD-20210407
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
常見的隧道協議
以下是常見的隧道協議:
. GRE(協議 47):通用路由封裝
. SSTP(TCP 端口 443):安全套接字隧道協議
. IPSec(協議 50/ESP和 51/AH):互聯網協議安全
. L2TP(協議 115):第 2 層隧道協議
. VXLAN(UDP 端口 4789):虛擬可擴展局域網
封裝安全負載 (ESP)
封裝安全負載 (ESP),IP 協議編號 50,是 IPsec 協議套件的成員。它可以在主機到主機傳輸模式以及站點到站點隧道模式中實現:
. 在傳輸模式下,只對IP數據包的有效載荷進行加密或認證,通常在使用其他隧道協議(如GRE、L2TP)先封裝IP數據包時使用,然後使用ESP保護隧道數據包。(Juniper)
. 在隧道模式下,整個 IP 數據包都經過加密和認證。
第2層轉發協議 (L2F)
L2F 或第 2 層轉發是 Cisco Systems, Inc. 開發的隧道協議,用於在 Internet 上建立虛擬專用網絡連接。L2F 本身不提供加密或機密性;它依賴於被隧道傳輸的協議來提供隱私。L2F 專門設計用於隧道點對點協議 (PPP)流量。
資料來源:維基百科
點對點隧道協議 (PPTP)
由於許多眾所周知的安全問題,主要由Microsoft支持的點對點隧道協議 (PPTP)是一種過時的用於實現虛擬專用網絡 (VPN) 的方法。
. PPTP 使用 TCP 控制通道和通用路由封裝隧道來封裝點對點協議 (PPP)數據包。
. PPTP 規範不描述加密,Microsoft 點對點加密 (MPPE)支持加密。
VXLAN 問題陳述
目前的VLAN數量有限,為4094,無法滿足數據中心或云計算的需求,具有基於租戶隔離網絡的共同特點。例如,Azure 或 AWS 的客戶遠多於 4094。
VXLAN (RFC 7348) 旨在解決以下問題:
- 生成樹和 VLAN 範圍施加的限制
- 多租戶環境
- ToR(架頂式)交換機的表尺寸不足
VXLAN 將傳統的 VLAN 幀封裝為 IP 負載或 MAC-over-IP,以支持主幹交換機和葉交換機之間的通信。Leaf-Spine架構採用葉子交換機和骨幹交換機組成的兩層網絡拓撲結構。
底層網絡 或所謂的 物理網絡 ,傳統協議在其中發揮作用。底層網絡是物理基礎設施,在其上構建覆蓋網絡。它是負責跨網絡傳輸數據包的底層網絡。
- 底層協議:BGP、OSPF、IS-IS、EIGRP
一個 覆蓋網絡 是一個 虛擬的網絡 ,其路由在底層網絡基礎設施之上,路由決定將發生在軟件的幫助。
- 覆蓋協議:VXLAN、NVGRE、GRE、OTV、OMP、mVPN
覆蓋網絡是一種使用軟件創建網絡抽象層的方法,可用於在物理網絡之上運行多個獨立的、離散的虛擬化網絡層,通常提供新的應用程序或安全優勢。
來源:Underlay Network 和 Overlay Network
參考
. 隧道協議
. 第 2 層轉發協議 (L2F)
. 通用路由封裝 (GRE)
. 點對點隧道協議
. 虛擬可擴展局域網 (VXLAN)
. VPN隧道解釋
. 什麼是 VPN 隧道?
. 什麼是 VPN 隧道及其工作原理
. 什麼是 IKEv2?
. 互聯網協議安全 (IPsec)
資料來源: Wentz Wu QOTD-20210405
混淆矩陣中的敏感性是評估 IDS 性能的常用方法。
. 一旦 IDS 發送警報,就應該對其進行調查和驗證,並且工作量會增加。減少誤報的數量減少了調查工作量。
. 然而,減少誤報警報可能會增加誤報案例,導致更多的零日漏洞利用,利用組織獲利害關西人未知的漏洞進行攻擊。
. “一般來說,提高入侵檢測系統的靈敏度會導致更高的誤報率,而降低靈敏度會降低誤報率。” ( Chapple ) 降低這裡的“敏感度”可能是指配置 IDS 以降低檢測的積極性和響應性並發送更少的警報。然而,IDS 系統的敏感度究竟是多少?二元分類中靈敏度的操作定義是TP/(TP+FN)。降低靈敏度意味著 FN(假陰性)增加。
. 選項 D 在二元分類器中有意義,如下圖所示。IDS的檢測閾值是影響靈敏度的實現參數,實現方式各不相同。基於異常的 IDS 可以採用二元或多標籤分類器/算法來對事件進行分類,例如 {Attack, Non-attack} 或 { Normal, Suspicious, Attack }。由於存在各種類型的基於異常的 IDS,因此在每種算法中可能會或可能不會使用閾值。此外,在不同算法中提高閾值可能會以不同方式影響靈敏度。
-二元分類模型的分數分佈(來源:亞馬遜)
S-IDS 和 A-IDS
入侵檢測系統按檢測方法可分為基於簽名(S-IDS)和基於異常(A-IDS)。S-IDS擅長檢測已知攻擊,而 A-IDS 擅長未知攻擊。異常,又名異常值、新奇、噪音、偏差和異常,是指“偏離標準、正常或預期的東西”。(谷歌)
下圖很好地總結了異常檢測方法。但是,請注意它有一個錯字(簽名IDS應該是“S-IDS”),大多數CISSP學習指南將基於知識的IDS(K-IDS)視為與簽名IDS(S-IDS)相同。
-Laszka、Aron & Abbas、Waseem & Sastry、S & Vorobeychik、Yevgeniy & Koutsoukos、Xenofon。(2016)。入侵檢測系統的最佳閾值。10.1145/2898375.2898399。
分類(Classification)
如果事件或流量是使用二元分類器的攻擊,則 IDS 可以使用模型(分類器)來確定事件或流量,或者使用多標籤分類器對其進行分類,例如正常、可疑或攻擊。在分類過程中可以使用作為模型參數的閾值。
將預測概率或評分轉換為類別標籤的決策由稱為“決策閾值”、“判別閾值”或簡稱為“閾值”的參數控制。對於在 0 或 1 之間的範圍內的標準化預測概率或分數,閾值的默認值為 0.5。(Brownlee)
ROC曲線(ROC Curve)
ROC 曲線(接收器操作特性曲線)是顯示分類模型在所有分類閾值下的性能的圖表。該曲線繪製了兩個參數:真陽性率和假陽性率。(谷歌)
-資料來源:谷歌
混淆矩陣(Confusion Matrix)
混淆矩陣是一種評估 IDS 使用的模型性能的工具。它包含有關使用二元或多標籤分類器進行的實際和預測分類的信息,例如 {Attack, Non-attack} 或 { Normal, Suspicious, Attack }。
-混淆矩陣(圖片來源:數據科學和機器學習)
-混淆矩陣和決策樹(圖片來源:Judy Shamoun-Baranes)
參考
. 準確率和召回率
. 敏感性和特異性
. 精確召回
. 入侵檢測系統的最佳閾值
. 入侵檢測系統 – IDS 性能調優 (YouTube)
. 網絡入侵檢測系統:機器學習和深度學習方法的系統研究
. 大數據環境下使用機器學習算法的入侵檢測模型
. 機器學習中的分類算法:它們是如何工作的
. 7種分類算法
. 統計異常檢測
. 異常檢測
. 靈敏度、特異性、準確性、相關置信區間和 ROC 分析與實用 SAS® 實施
. 評估和調整入侵檢測系統
. 什麼是入侵檢測系統?最新類型和工具
. 不平衡分類的評估指標之旅
. 不平衡分類的閾值移動簡介
. 多標籤分類的閾值選擇研究
. 分類:閾值(谷歌)
. 多標籤分類
. 多類分類(亞馬遜)
. 二元分類(亞馬遜)
. 在 scikit-learn 中微調分類器
. 機器學習:神經網絡
資料來源: Wentz Wu QOTD-20210406
-圖片來源:TelecomWorld 101
ISO OSI 參考模型的數據鏈路層從 IEEE 的角度可以分為兩個子層:邏輯鏈路控制(LLC)和媒體訪問控制(MAC)。
邏輯鏈路控制 (LLC)
LLC處理以下問題:
. 流量控制:例如,滑動窗口
. 錯誤控制
. 錯誤檢測:例如,循環冗餘校驗 (CRC)
. 糾錯:例如,重傳
媒體訪問控制 (MAC)
以下是三種眾所周知的媒體訪問機制:
. 令牌傳遞
. CSMA/CD
. CSMA/SA
參考
. IEEE802.2 – 邏輯鏈路控制層 (LLC)
. 數據鏈路層的錯誤檢測和糾正
. 數據鏈路層的流量控制
資料來源: Wentz Wu QOTD-20210404
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
一次性密碼(one-time pad)和一次性密碼(one-time passoword )的首字母縮寫詞都是 OTP。然而,它們是不同的,根本沒有關係。一次性密碼是一種對稱密碼,需要一個隨機密鑰,而一次性密碼是動態生成的密碼,僅對一個且僅特定的登錄會話有效。
. RSA 數字簽名算法生成強制不可否認性的數字簽名。
. 基於時間的一次性密碼 (Time-based One-Time Password :TOTP) 是一種一次性密碼,它依賴於時間作為生成算法的輸入參數之一。
. 基於散列的消息認證碼 (Hash-based Message Authentication Codes :HMAC) 依靠散列函數和共享密鑰來計算消息認證碼以驗證真實性。
參考
. 一次性密碼 (one-time pad :OTP)
. 一次性密碼(one-time passoword)
資料來源: Wentz Wu QOTD-20210403
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
強制存取控制是訪問控制策略或要求;這不是一個正式的模型。相反,它可以通過正式模型來實現。模型是一個詳細描述或實體的縮放表示; 一個正式的模型是應用數學為基礎的符號和語言制定了嚴格的模型。
. **有限狀態機(Finite state machine)**是一種常見的形式模型。
. **信息流模型(information flow model)**並不是真正的模型,而是泛指能夠控制信息流的形式模型。無干擾模型(non-interference model)也是如此。但是,大多數學習指南將它們視為“模型”。這個問題遵循這個觀點。
EAL 7 產品意味著它以正式設計為後盾。
-通用標準 EAL
參考
. 模型
. 形式方法
. 可信計算機系統評估標準
. 貝爾-拉帕杜拉模型
. 認證產品清單 – 統計
資料來源: Wentz Wu QOTD-20210402
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-進程的記憶體佈局
**緩衝區(Buffer)**是指用於存儲特定大小數據的一段內存。如果數據大小大於緩衝區大小,它就會溢出。它通常會導致異常受特權提升或返回到堆棧中的代碼地址。如果正確安排輸入驗證和異常處理程序,可以有效地緩解緩衝區溢出。
**記憶體洩漏(Memory leak)**是一個常見的應用程序問題。應用程序或進程在由操作系統加載和啟動時被分配了有限的記憶體大小,也就是堆。該進程可能會請求記憶體段,但不會將它們返回給操作系統。可用內存最終用完了。性能越來越差,可能會導致進程崩潰。現代運行時框架,例如 .NET、JVM,提供垃圾收集或引用計數器來解決這個問題。
資料來源: Wentz Wu 網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
“格是在有序理論和抽象代數的數學子學科中研究的抽象結構。它由一個偏序集合組成,其中每兩個元素都有一個唯一的上界(也稱為最小上界或連接)和唯一的下界(也稱為最大下界或相遇)。” (維基百科)
安全格通常用於控制安全級別/類別或隔間之間的信息流。分類和標記是基於格的訪問控制的兩個主要特徵。
基於晶格的訪問控制(Lattice-based Access Control)
Ravi S. Sandhu 在這篇名為 Lattice-Based Access Control Models 的論文中回顧了三種基於格的訪問控制模型(Bell-LaPadula、Biba 和 Chinese Wall),該論文展示瞭如何在格框架中執行 Chinese Wall 策略,並表示:
開發了基於晶格的訪問控制模型來處理計算機系統中的信息流。信息流顯然是保密的核心。正如我們將看到的,它在某種程度上也適用於完整性。它與可用性的關係充其量是微不足道的。因此,這些模型主要關注機密性並且可以處理完整性的某些方面。
貝爾-拉帕杜拉模型(Bell-LaPadula Model)
-貝爾-拉帕杜拉模型
比巴模型(Biba Model)
-比巴模型
布魯爾和納什模型(Brewer and Nash model)
Brewer 和 Nash 模型將數據集分類為利益衝突類並標記它們以根據主體的訪問歷史(也稱為基於歷史)動態應用訪問控制。
-布魯爾和納什模型(中國牆)
克拉克-威爾遜模型(Clark-Wilson Model)
Clark-Wilson 模型有兩個特點:格式良好的交易和職責分離。它依靠“程序”來強制執行完整性,而不是為了保密而控制信息流。
David D. Clark 和 David R. Wilson 在他們的論文《商業和軍事計算機安全政策的比較》中說:
本文提出了一種基於商業數據處理實踐的數據完整性策略,並將該策略所需的機制與強制執行信息安全點陣模型所需的機制進行了比較。我們認為格模型
不足以表徵完整性策略,需要不同的機制來控制披露和提供完整性……
首先,通過這些完整性控制,數據項不一定與特定的安全級別相關聯,而是與一組允許對其進行操作的程序相關聯。其次,用戶沒有被授予讀取或寫入某些數據項的權限,但可以對某些數據項執行某些程序……
-Clark-Wilson 誠信模型(圖片來源:Ronald Paans)
參考
. 可信計算機系統評估標準
. 貝爾-拉帕杜拉模型
資料來源: Wentz Wu QOTD-20210401
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
單元測試(Unit Testing)
單元測試既是一種測試工具,也是一種開發工具。現代軟件開發人員通常在完成功能代碼之前開發單元測試,也就是測試驅動開發 (TDD) 方法。換句話說,每個軟件功能都帶有一組單元測試,以確保其正常運行。
-示例單元測試
整合測試(Integration Testing)
如今,軟件開發人員正在本地代碼存儲庫所在的桌上型電腦或筆記本電腦上編寫代碼。他們首先將代碼“提交”或“簽入”到本地代碼存儲庫中。如果本地代碼構建和測試沒有問題,它們將被推送到遠程中央代碼存儲庫進行集成。持續集成 (CI) 意味著一旦滿足 CI 標準,遠程服務器就會自動啟動服務器構建,例如,每當簽入新代碼或定期開始構建(例如,每晚構建)。如果服務器構建成功,它會自動開始(集成)測試。單元測試和 UI 測試可以在沒有用戶干預的情況下完成,例如,使用 Selenium 來支持自動化的端到端 (e2e) Web UI 測試。
回歸測試(Regression Testing)
如果服務器構建失敗,遠程代碼存儲庫的中央服務器將通知開發人員錯誤。開發人員製造錯誤或破壞構建必須修復它們並重複該過程直到沒有錯誤發生。這是一個回歸測試的過程。
參考
. 回歸測試
. 回歸測試和整合測試有什麼區別?
. 單元測試?整合測試?回歸測試?驗收測試?
. 代碼庫的安全性
資料來源: Wentz Wu QOTD-20210330
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
顆粒可視為測量單元。當我們說我們的軟體被測試了50%,或者測試覆蓋率是50%,這到底是什麼意思,因為軟體有10個用例,50個場景,500個測試案例,10,000行代碼,或者200,000個表達式?50% 的測試覆蓋率可能指 5 個使用案例(十分之一)測試,但 5 個測試使用案例涵蓋 10 種情況、30 個測試案例、8,000 行和 120,000 個表達式。
使用案例從使用者(參與者)的角度記錄功能要求,通常包括主要的成功場景(又名基本或陽光日流量)和擴展場景(又名擴展、特殊、替代或雨天流)(如果有)。
-從用例序列生成測試用例(圖片來源:MJ Escalona)
可根據使用案例場景開發測試方案,並由一個或多個測試案例支援。測試案例涵蓋一個或多個通常跨越原始程式碼行的軟體功能。
一行代碼可以容納一個或多個計算機語言表達式和語句。例如,下圖中的第一行有兩個語句。
-表達式和語句
參考
. 用例目標、場景和流程
. 源代碼行
. 第5章–決策結構
. 為什麼測試覆蓋率是軟件測試的重要組成部分?
. 代碼覆蓋率
. 代碼覆蓋率分析
. 表達式與語句
. 表達式與語句(視頻)
資料來源: Wentz Wu QOTD-20210329
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
資訊安全是透過安全管制措施來保護資訊資產免於受到危害,以達到機密性、完整性和可用性(即常聽到的CIA)之目標(第3層),進而支持業務流程(第2層)、創造和交付價值,實現組織的使命與願景(第1層)的一門學科.
資料來源:The Effective CISSP: Security and Risk Management
風險是“影響目標達成的不確定因素”。在資訊安全的背景下,威脅是任何可能對目標帶來負面影響的風險,通常涉及威脅來源發起一個或多個威脅事件,以利用漏洞並導致不利的影響。
漏洞(Vulnerability)“包括可以被威脅所利用的一個或一組資產的弱點(weakness)”(ISO / IEC 21827),或是“可以被威脅利用或觸發的IT系統安全上的弱點。” (ISO/TR 22100-4)
- 弱點是一種“不足”。(ISO 81001-1)
- 資產是有價值且值得保護的東西。
- 保護是指努力防止目標偏離。保護意味著在風險管理中進行風險處置或在資訊安全的場合中實施安全控制(又名安全措施)。
- 保護人的生命永遠是當務之急。
資訊系統,又常被稱為IT系統,是一組離散的收集組織的資訊資源,加工,維修,使用,共享,傳播或資訊的處置。在本出版物的上下文中,該定義包括資訊系統運行的環境(即人員、流程、技術、設施和網絡空間)。(NIST SP 800-39)
CISSP是一位被ISC2所認證的專家,很了解如何保護資訊系統。
Wentz 的著作The Effective CISSP: Security and Risk Management幫助 CISSP 和 CISM 有志者建立了一個可靠的概念安全模型。它是資訊安全教程和 CISSP 和 CISM 考試官方學習指南的補充,也是安全專業人員的資訊參考。
參考
- ISO/IEC 21827:2008
- ISO/TR 22100-4:2018
- ISO 81001-1:2021
原始來源: Information Security 101
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
密鑰分發是將加密密鑰從一方發送到另一方的過程。對稱和非對稱密碼術都面臨著密鑰分發的挑戰。這個問題詢問對稱密碼學中的共享密鑰分發。
. 由信任網絡或 X.509公鑰基礎設施(PKI)管理的證書中的收件人公鑰通常用於加密預先確定的而非協商或商定的共享密鑰。證書和基礎設施管理是主要開銷。
. Diffie-Hellman 是一種基於公鑰的協議,支持密鑰協商(生成並同意共享密鑰),而無需證書管理的開銷。
秘鑰的分配
密鑰可以由一方預先確定並發送給另一方,也可以由雙方協商和商定。作者將前者預先確定的方式稱為“密鑰交換”,將後者約定的方式稱為“密鑰協商”。然而,人們將“密鑰交換”稱為涵蓋這兩種方法的總稱並不少見。
. 密鑰交換:一方生成密鑰並發送給另一方;對方不影響密鑰。例如,公鑰加密。
. 密鑰協商:雙方都可以就密鑰達成一致,從而影響結果。例如,迪菲-赫爾曼。
-對稱密碼學中的密鑰分配
公鑰的分配
非對稱密碼學中使用的公鑰的分發可以通過以下一般方案來實現:
. 公示(信任網)
. 公開目錄
. 公鑰權限
. 公鑰證書(信任鏈)
Diffie-Hellman 協議
https://www.youtube.com/embed/QPD3IgCUkVY
參考
. NIST 密碼標準和指南
. Diffie Hellman 組 (IBM)
. 公鑰分發
. Diffie-Hellman 協議
. Diffie-Hellman (輝煌)
. Diffie-Hellman 密鑰交換的代數推廣
. Diffie Hellman – 數學位 – Computerphile
. Diffie-Hellman 密鑰交換的數學 | 無限系列
. 此視頻未使用 RSA 加密 | 無限系列
. 如何破解密碼學。無限系列
. 您是否需要特殊類型的證書才能使用 Diffie Hellman 作為 SSL 中的密鑰交換協議?
資料來源: Wentz Wu QOTD-20210328
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
冷站點沒有適當的計算機設備,因此它不提供異地數據存儲、保留替代計算能力或響應電子發現請求。
冷站點是替代或備份站點的最便宜的形式。與暖站點或熱站點相比,恢復計算機設施和恢復業務運營需要更多時間。但是,一般來說,冷站點確實縮短了搬遷時間。例如,它可以節省尋找合適地點、進行現場調查(例如,通過環境設計預防犯罪)、與房東談判合同以及準備活動地板、空調、電力和通信線路等基本設施的時間, 等等。
替代網站(Alternative Sites)
“一般來說,備用站點是指人員和他們需要工作的設備在一段時間內重新安置的站點,直到正常的生產環境,無論是重建還是更換,都可用。” (維基百科)
冷站點(Cold site):具有計算機設施必需的電氣和物理組件但沒有計算機設備的備用設施。該站點已準備好在用戶必須從其主要計算位置移動到備用站點的情況下接收必要的替換計算機設備。
暖站點(Warm site:):一個環境條件良好的工作空間,部分配備信息系統和電信設備,以在發生重大中斷時支持搬遷操作。
熱站點(Hot site):配備硬件和軟件的全面運行的異地數據處理設施,可在信息系統中斷時使用。
資料來源:NIST SP 800-34 修訂版 1
電子發現(E-discovery)
電子取證(也稱為電子取證或電子取證)是指在訴訟、政府調查或信息自由法請求等法律程序中的取證,其中所尋求的信息採用電子格式(通常稱為電子存儲信息或 ESI)。
資料來源:[維基百科]
參考
. 數據保管
. 什麼是數據保險箱?- 所有你必須知道的
. 數據保險庫基礎知識
. 服務局
. 按需計算:服務局的重生
. 電子發現
. 備份站點
資料來源: Wentz Wu QOTD-20210327
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-NIST SP 800-160 V1 和 ISO 15288
工程(Engineering)
. 工程 是一種涉及開發解決方案的一組流程的方法,該解決方案可以是系統、軟件或任何可交付成果,從利益相關者的需求轉換而來,並在解決方案的整個生命週期中提供支持。(精簡版)
. 工程 是一種方法,它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案,以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。(長版)
. 系統和軟件工程 是將系統或軟件作為解決方案交付的工程方法。
系統工程(Systems Engineering)
系統工程 是一種跨學科的方法和手段,可以實現成功的系統。
– 它側重於在開發週期的早期定義利益相關者的需求和所需的功能,記錄需求,然後在考慮完整問題的同時進行設計綜合和系統驗證。
– 將所有學科和專業組整合到一個團隊中,形成從概念到生產再到運營的結構化開發流程.
– 它考慮了 所有利益相關者的業務和技術需求,目標是提供 滿足用戶和其他適用利益相關者需求的優質產品。這個 生命週期跨越了想法的概念 ,直到系統的退役 。– 它提供了獲取和供應系統的流程 。– 它有助於改善創建、利用和管理現代系統的各方之間的溝通與合作,以便他們能夠以集成、連貫的方式工作。
來源: ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程
-SDLC:系統還是軟件?
生命週期(Life Cycle)
每個人都有自己的生活,系統或軟件也是如此。系統或軟件的生命週期不同。系統或軟件生命週期通常包括從開始到工程退役的跨階段(或階段)進行的一系列過程(也稱為生命週期過程)。
系統或軟件開發生命週期 (SDLC) 中的“開發”一詞具有誤導性,因為它暗示“構建”、“製作”、“構建”或“實施”某物。然而,如今一個組織在沒有任何採購或收購的情況下單獨“發展”是不可能的。採購意味著從供應商那裡購買東西,而從更廣泛的意義上講,收購是指從任何一方付費或免費獲取任何東西。
階段(Stages)
生命週期的階段各不相同。組織傾向於根據工程方法定制生命週期階段,並可能在項目中迭代生命週期。ISO/IEC 15288 提出了生命週期過程,但 沒有規定 係統生命週期 (SLC) 的六個階段。
流程(Processes)
跨生命週期執行的流程不時變化,這種情況並不少見。但是,修訂後的 ISO/IEC/IEEE 15288:2015 和 ISO/IEC/IEEE 12207:2017 旨在實現系統和軟件生命週期過程的完全協調視圖。
一個過程通常以不同的程度在整個生命週期中進行。驗證和確認是在眾所周知的“測試”或“測試”(“testing” or “test”)階段進行的主要過程。然而,需求、設計、工作產品、可交付成果、最終產品等,可以而且應該在不同階段進行驗證和確認。
-Rational Unified Process 的 4 個階段和 9 個學科(圖片來源:Humberto Cervantes)
參考
. ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程
. ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程
. ISO/IEC 15288
. 什麼是工程?
. 安全架構與工程
. CISSP 實踐問題 – 20210514
. 墨西哥某小型IT企業網絡管理應用開發經驗報告
資料來源: Wentz Wu 網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
最長可容忍停機時間或 MTD 指定了在組織的生存面臨風險之前給定業務流程可能無法運行的最長時間。”
資料來源:BCM 研究所
最大可容忍停機時間 (MTD) 是對信息系統和其他資源支持的關鍵業務流程的約束。換句話說,MTD 對一個或多個信息系統施加約束,如下圖所示。
-業務影響分析 (NIST)
最大可容忍停機時間 (MTD) 是推動目標設定的業務限製或要求。服務交付目標 (SDO)、恢復點目標 (RPO) 和恢復時間目標 (RTO) 是目標,因為術語“目標”明確表示字面意思。有關詳細信息,請參閱這篇文章,常見 BIA 術語。
-MTD、RTP 和 RPO
參考
. 常見的 BIA 術語
. CISSP 實踐問題 – 20200406
. CISSP 實踐問題 – 20201217
. CISSP 實踐問題 – 20200407
. CISSP 實踐問題 – 20210215
. CISSP 實踐問題 – 20210116
資料來源: Wentz Wu QOTD-20210326
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
戰略
組織戰略通常包括一系列旨在實現長期目標和實現願景和使命的舉措。
戰略投資組合
一個專案可能在三種情況下進行管理:作為一個獨立的專案(投資組合或計劃外),一個內部程序,或內組合。(PMBOK 6th)
商業案例
- 一個商業案例評估舉措替代的可行性,成本和效益方面。
- 證明計劃合理的已批准業務案例會將其轉變為由專案發起人讚助並由專案經理管理的專案。
專案生命週期
專案是為創造獨特的產品、服務或成果而進行的臨時努力。
專案生命週期是專案從開始到完成所經歷的一系列階段。這些階段可以是連續的、迭代的或重疊的。專案的生命週期可以是預測性或適應性。
資料來源:PMBOK 6th
開發生命週期
在專案生命週期內,通常有一個或多個與產品、服務或成果的開發相關的階段。這些被稱為開發生命週期。開發生命週期可以是預測的、迭代的、增量的、自適應的或混合模型。
資料來源:PMBOK 6th
敏捷思維
敏捷是一種思維模式,它專注於通過一系列預定義的原則和經過驗證的實踐來頻繁地創造和交付價值。
管理
專案管理
專案管理是將知識、技能、工具和技術應用於專案活動以滿足專案要求。
專案管理使組織能夠有效和高效地執行專案。
資料來源:PMBOK 6th
原始出處: Project Management 101
-測試類型
. 靜態測試是一種測試,其中被測軟體 (software under test:SUT) 作為源代碼或二進制代碼不加載到內存中執行。靜態二進制代碼掃描器、源代碼安全分析器、手動源代碼分析(例如代碼審查)等,都是靜態測試的常用工具。可以通過靜態測試識別維護掛鉤和活板門。
. 被動測試是指測試人員不直接與 SUT 交互的測試。
. 黑盒測試意味著測試一無所知SUT。
. 集成測試強調將單個單元或模塊組合為 SUT。
參考
. 測試
. 測試線束
. 測試自動化
. 集成測試
. 主動測試和被動測試的區別
資料來源: Wentz Wu QOTD-20210324
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-圖片來源:CSA
在雲安全聯盟(CSA)劃分安全,信任和保證註冊(STAR)計劃分為三個層次:
- CSA STAR 1 級:自我評估
- CSA STAR 2 級:第三方認證
. CSA STAR Attestation是 CSA 和 AICPA 之間的一項合作,旨在為 CPA 提供指南,以使用 AICPA
(信任服務原則,AT 101)和 CSA 雲控制矩陣中的標准進行 SOC 2 參與。
. 該CSA STAR認證是一種安全的嚴格的第三方獨立評估雲服務提供商。 - CSA STAR 3 級:全雲保障和透明度
雲安全聯盟是一個非營利組織,其使命是“促進最佳實踐的使用以在雲計算中提供安全保證,並提供有關雲計算使用的教育,以幫助保護所有其他形式的計算。”
CSA 的安全、信任和保證註冊計劃 (CSA STAR) 旨在通過自我評估、第三方審計和持續監控的三步計劃幫助客戶評估和選擇雲服務提供商。
資料來源:谷歌
系統和組織控制 (System and Organization Controls:SOC)
根據 AICPA,“系統和組織控制 (SOC) 是 CPA 可能提供的一套服務產品,與服務組織的系統級控製或其他組織的實體級控制有關。” (AICPA)
SOC 3 指的是“服務組織的系統和組織控制 (SOC):一般使用報告的信任服務標準”。SOC 3 報告旨在滿足用戶的需求,這些用戶需要對服務組織中與安全性、可用性、處理完整性機密性或隱私相關的控制措施進行保證,但不具備有效利用SOC 2® 報告。因為它們是通用報告,所以可以免費分發 SOC 3® 報告。(美國註冊會計師協會:SOC3)
-服務組織控制 (SOC)
ISO/IEC 27001:2013
“ISO/IEC 27001:2013 規定了在組織範圍內建立、實施、維護和持續改進信息安全管理體系的要求。它還包括根據組織的需要對信息安全風險進行評估和處理的要求。ISO/IEC 27001:2013 中規定的要求是通用的,旨在適用於所有組織,無論其類型、規模或性質如何。” ( ISO )
-ISMS 和 PIMS
自我評估和 NIST CSF(Self-assessment and NIST CSF)
基於自我評估的自我聲明似乎很愚蠢。但是,它是一種合法手段,並且確實提供了一定程度或低程度的保證。而且,這是一種普遍的做法。NIST網絡安全框架 (CSF)是一個自願性框架,由總統行政命令 (EO) 13636 於 2013 年 2 月發起,改進關鍵基礎設施網絡安全。到目前為止,還沒有評估 NIST CSF 合規性的認證計劃,因此使用它是合理的自我評估和自我聲明。
-保證、證明和審計(圖片來源:CheggStudy)
什麼是保證?(What is Assurance?)
對於安全工程,“保證”被定義為系統安全需求得到滿足的置信度。…通過審查通過開發、部署和操作期間的評估過程和活動以及通過使用 IT 系統獲得的經驗獲得的保證證據,可以實現信心。任何可以通過產生證明 IT 系統屬性的正確性、有效性和質量的證據來減少不確定性的活動,都有助於確定安全保證。
資料來源:哈里斯·哈米多維奇
保證服務(Assurance Services)
國際會計師聯合會 (IFAC) 對鑑證業務的定義:
從業者旨在獲得充分、適當的證據
以表達旨在提高除責任方以外的預期用戶對主題信息的信心程度的一種參與。
保證方法(Asurance Methods)
保證方法根據其技術和生命週期重點產生特定類型的保證。針對給定焦點的一些更廣為人知的保證方法包括:
ISO/IEC 21827——保證專注於質量和開發過程
開發者的血統——保證專注於品牌;認識到一個公司生產的優質交付(基於歷史關係或數據)
保證專注於保險,以製造商承諾糾正可交付成果
供應商聲明中的缺陷為支持——保證專注於自我聲明
專業認證和許可——保證專注於人員的專業知識和知識
ISO / T18905.1-2002信息技術軟件產品評價第1部分:總體概述為保證,注重交付的直接評估
ISO / IEC27001——保障重點安全管理
資料來源:哈里斯·哈米多維奇
參考
. CSA STAR 級別
. 安全、信任和保證註冊 (STAR)
. CSA STAR 認證
. 雲安全聯盟 (CSA) STAR 認證
. CSA之星
. 誰可以執行 SOC 2 審核?
. IT安全保障的基本概念
. 了解認證、鑑證和審計在註冊會計師行業中的含義
. 什麼是保證和證明第一部分
. 審計和保證
資料來源: Wentz Wu QOTD-20210324
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
“從概念上講,大多數人在日常生活中都採用了某種形式的威脅建模,甚至沒有意識到這一點。” (維基百科)勒索軟件攻擊的發生並不是因為該公司沒有進行威脅建模。相反,公司必須改進威脅建模過程。
此外,由於相關公司已經完成了調查,這意味著威脅建模已經到位並且正在進行中。勒索軟件攻擊已被識別、分析和確認。現在是評估消除問題的特定解決方案或減輕風險的對策的時候了。因此,無需提出將威脅建模作為主動性或解決方案的建議。
在這個問題中,攻擊者無需用戶交互即可在網絡中四處移動。結果,技術安全控制比諸如意識培訓的行政管理更有效。
細粒度與粗粒度訪問控制(Fine-Grained vs. Coarse-Grained Access Control)
訪問控制可能不是防止勒索軟件攻擊再次發生的最終解決方案。但是,它是四個選項中最好的。
. 自主訪問控制 (DAC) 是一種粗粒度的訪問控制機制,而基於風險的訪問控制(基於標准或基於分數)是一種細粒度的訪問控制,通常依賴於基於屬性的訪問控制 (ABAC)。
. 基於風險的訪問控制是“零信任”的核心要素,可以有效緩解橫向移動和數據洩露。
-細粒度、動態和可見性
勒索軟件(Ransomware)
勒索軟件可以像需要用戶交互的病毒(特洛伊木馬)一樣被動運行,也可以像蠕蟲一樣主動傳播,無需用戶交互即可感染其他計算機(WannaCry)。
勒索軟件是一種來自密碼病毒學的惡意軟件,除非支付了贖金,否則就威脅要發布受害者的數據或永久阻止對其的訪問。”
勒索軟件攻擊通常是使用偽裝成合法文件的特洛伊木馬進行的,當它作為電子郵件附件到達時,用戶會被誘騙下載或打開。然而,一個引人注目的例子是 WannaCry 蠕蟲,它在沒有用戶交互的情況下自動在計算機之間傳播。
資料來源:維基百科
威脅建模(Threat Modeling)
本節介紹具體的定義和眾所周知的威脅建模方法。
. “威脅建模是一種風險評估形式,它對特定邏輯實體的攻擊和防禦方面進行建模,例如一段數據、一個應用程序、一個主機、一個系統或一個環境。” (NIST SP 800-154,草案)
. 在系統和軟件工程中,威脅建模是一種“系統的探索技術,以暴露任何可能以破壞、披露、修改數據或拒絕服務的形式對系統造成損害的情況或事件。” (ISO 24765:2017)
. 威脅建模是捕獲、組織和分析影響應用程序安全性的所有信息的過程。( OWASP )
. 威脅建模是“一種工程技術,可用於幫助您識別可能影響您的應用程序的威脅、攻擊、漏洞和對策。您可以使用威脅建模來塑造應用程序的設計、滿足公司的安全目標並降低風險。” (微軟)
“威脅模型本質上是影響應用程序安全性的所有信息的結構化表示。從本質上講,它是通過安全眼鏡查看應用程序及其環境的視圖。” (OWASP)
從 ISO 3100 的角度來看,威脅建模是系統和軟件工程背景下的一種“風險管理”形式。風險管理包括如下圖所示的活動:
-ISO 31000
NIST 以數據為中心的系統威脅建模
本出版物中介紹的以數據為中心的系統威脅建模方法有四個主要步驟:
- 識別和表徵感興趣的系統和數據;
- 識別並選擇要包含在模型中的攻擊向量;
- 表徵用於減輕攻擊向量的安全控制;和
- 分析威脅模型。
微軟威脅建模
威脅建模應該是您日常開發生命週期的一部分,使您能夠逐步完善您的威脅模型並進一步降低風險。有五個主要的威脅建模步驟:
- 定義安全要求。
- 創建應用程序圖。
- 識別威脅。
- 減輕威脅。
- 驗證威脅已得到緩解。
-圖片來源:微軟
參考
. 勒索軟體
. NIST SP 800-154(草稿):數據中心系統威脅建模指南
. 微軟威脅建模
. OWASP 威脅建模備忘單
. OWASP 威脅建模
. 粗粒度與細粒度訪問控制——第一部分
. 粗粒度和細粒度授權
. 適應風險的訪問控制(RAdAC)
資料來源: Wentz Wu QOTD-20210322
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-圖片來源:gunther.verheyen
業務人員更了解監管要求和市場,因此IT和安全功能都應與業務需求保持一致,“系統應在經過全面測試後提交認證。”
. 監管機構通常會頒布特定的合規要求和 C&A 流程。瀑布是計劃驅動的,適用於有特定要求的項目,目前仍被廣泛採用。項目生命週期決策可以基於眾所周知的 Stacey 矩陣做出,如上圖所示。
. 此外,敏捷不是靈丹妙藥;它適合具有高度不確定性或複雜性的上下文。由於 IT 團隊遵循了通常涉及增量開發(價值)和持續交付(自動化)的敏捷方法,但這不起作用並導致 CEO 辭職。因此,應該實施瀑布來解決問題。
-敏捷心態 (PMI ACP)
敏捷(Agile)
敏捷是一種由一組價值觀、原則和實踐組成的思維方式。它強調交付可工作的軟件/價值(在Scrum 中也稱為“增量” )、人員協作和風險適應。
. 增量開發是敏捷的一部分。它指的是頻繁發布以交付價值和適應風險。
. 持續交付是敏捷中的一種常見做法,它意味著軟件開發的“自動化”工作流程以加速工作軟件的交付。
. “迭代”和“增量”是敏捷交付工作軟件(價值)的關鍵概念。敏捷開發是迭代開發和增量開發的結合。
參考
. 敏捷軟件開發宣言
. 為採用 Scrum 鋪平道路:(2)產品人員
. CISSP 實踐問題 – 20201119
. CISSP 實踐問題 – 20201228
. CISSP 實踐問題 – 20200423
資料來源: Wentz Wu QOTD-20210321
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-用例和濫用案例(來源:https://en.wikipedia.org/wiki/Misuse_case)
用例(Use Case)
用例描述了一個或多個場景,這些場景表示參與者(用戶,代理,系統或實體)如何與系統交互。用例最適合傳達功能需求或從用戶角度出發。用例可以用結構文本或圖表表示。用例的標題可以以Subject + Verb的模式編寫,例如,客戶下訂單。
濫用案例(Misuse Case)
相反,濫用案例通常從惡意或無意的用戶的角度記錄對功能的威脅。當用戶使用功能時,開發人員會構建功能。用例或濫用案例通常不會記錄開發人員的構建過程或工作。
人非聖賢孰能。開發人員構建帶有錯誤的API並不少見。開發人員可能會為了系統監視目的而創建一個錯誤的API,但沒有一個濫用案例,這描述了參與者與系統進行交互的步驟(事件和響應),這是有風險的。
SQL注入(SQL Injection)
黑客在登錄表單中鍵入SQL表達式是一種典型的濫用情況。
-SQL注入(來源:PortSwigger)
路徑/目錄遍歷(Path/Directory Traversal)
路徑/目錄遍歷作為攻擊非常依賴於相對路徑。這是一個漏洞或指示器,會導致濫用案例,即用戶使用相對路徑在資源之間導航。
-資料來源:Paul Ionescu
Web參數篡改/操縱(Web Parameter Tampering/Manipulation)
允許客戶通過輸入URL進入產品列表的特定頁面,這是一個糟糕的設計。如果用戶輸入了無效的頁碼怎麼辦?說-1或65535。
-什麼是網址?
參考
. 目錄遍歷
. 遠程文件路徑遍歷攻擊帶來樂趣和收益
. 攻擊克
. TRC技術講座:目錄遍歷攻擊與防禦–第1部分
. Unix文件結構
. 什麼是網址?
. Web參數篡改
資料來源: Wentz Wu QOTD-20210319
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
我在這篇文章中介紹戰略管理。我的書《有效的CISSP:安全和風險管理》中有詳細信息。 政策(Policy)代表管理意圖。一旦制定或製定了戰略,就會發布策略來指導戰略的執行/實施。
-戰略水平
戰略(Strategy)
戰略是一個流行詞。每個人都使用它,但可能不會使用具有一致定義的它。一般而言,戰略是一項計劃(plan), 旨在實現源自組織使命和願景的長期(long-term)或總體(overall) 目標。可以由不同級別的經理在公司,業務或職能級別上進行開發。
. 計劃 實現長期或總體 目標 (ISO 9000:2015)
. 計劃 完成 組織的任務 並實現 組織的願景 (ISO 21001:2018)
. 組織的總體 發展計劃,描述了 在組織未來活動中有效使用 資源以支持組織的
事項注1:涉及設定 目標 和提出 行動計劃 (ISO / IEC / IEEE 24765:2017)
. 組織 實現其 目標的方法 (ISO 30400:2016)
戰略管理(Strategic Management)
戰略管理是公司治理的關鍵要素,包括三個階段:戰略制定/制定(戰略思維,內部和內部分析,差距分析),戰略實施/執行以及戰略評估。
-大衛的戰略管理流程模型
-資訊安全治理
策略制定(Strategy Formulation)
戰略思維(STRATEGIC THINKING)
戰略制定通常始於對組織使命和願景進行戰略思考,從而塑造了組織的長期和整體性質。戰略目標是從使命和願景中得出的。戰略思維有助於定義所需的狀態。
-戰略思維
-目標,策略和風險
-目標與目的
外部和內部分析(EXTERNAL AND INTERNAL ANALYSIS)
通常進行外部和內部分析,以掃描宏觀和微觀環境和行業,尋找機遇和威脅,確定利益相關者,了解他們的需求和要求,確定約束條件和資源,等等。SWOT分析是用於內部和外部分析的最著名的工具之一。它有助於確定當前狀態,並可能有助於達到所需狀態。
-外部和內部分析
差異分析(GAP ANALYSIS)
確定期望狀態和當前狀態之間的間隙意味著已經確定了期望狀態和當前狀態。一旦發現差距,便會定義一個具有里程碑和舉措的路線圖,以從當前狀態過渡到所需狀態。策略可以表示為計劃的組合。商業案例根據成本和收益以及其他可行性維度評估一項計劃。如果業務案例獲得批准,則該計劃將變成一個項目。通過投資回報率評估的投資組合可以包含一個或多個程序或項目。
-戰略發展
-戰略投資組合
戰略實施/執行(Strategy Implementation/Execution)
-戰略,計劃,產品和項目 -專案生命週期(來源:PMBOK)
策略評估Strategy Evaluation (績效評估Performance Measurement)
-平衡計分卡(BSC)
參考
. 什麼是“策略”?
. 戰略管理與戰略規劃過程
. 麥肯錫7-S框架
. TOWS分析:綜合指南
資料來源: Wentz Wu QOTD-20210520
Wentz Wu:
建議的答案是A.
差距分析表示”未來狀態”及”現有狀態”的分析都已完成. 因此進行差距分析之前, 必須先進行戰略思考, 內外部環境分析, 才能釐清使命及願景, 以及確立戰略目標, 這就是未來狀態. 另外, 內部外部境境也是了解現有狀態, 了解環境的變化(如PEST), 了解產業的競爭, 了解組織內部(value chane或麥肯鍚的7S模型)等. 之後才會進行差距分析, 然後訂出由現在走向未來的路線圖.
全磁碟加密(FDE)可以是保護靜態數據的軟件或硬件解決方案。基於硬件的全磁碟加密通常稱為自加密驅動器(SED),通常符合OPAL(例如Windows的加密硬盤驅動器)和由Trusted Computing Group(TCG)開發的企業標準。“內置在驅動器中或驅動器機箱中的基於硬件的加密對用戶來說是透明的。除啟動身份驗證外,該驅動器的運行方式與任何驅動器相同,並且不會降低性能。與磁碟加密軟件不同,它沒有復雜性或性能開銷,因為所有加密對於操作系統和主機計算機處理器都是不可見的。” (維基百科)
身份驗證和機密性(Authentication and Confidentiality)
SED通過鎖定驅動器和加密數據來增強安全性。開機時需要使用身份驗證密鑰(AK)來解鎖驅動器(解密DEK),然後數據加密密鑰(DEK)解密數據。SED不會將DEK存儲在可信平台模塊(TPM)中,該平台通常以母板或芯片集組件的形式實現。
數據加密密鑰(Data Encryption Key:DEK)
. 用於加密和解密數據。
. 由驅動器生成,並且永不離開驅動器(未存儲在TPM上)。
. 如果更改或擦除,則無法解密以前的現有數據。
可信平台模塊(Trusted Platform Module)
以下是維基百科的摘錄:
可信平台模塊(TPM,也稱為ISO / IEC 11889)是安全密碼處理器的國際標準,安全密碼處理器是一種專用微控制器,旨在通過集成的密碼密鑰來保護硬件。
TPM 2.0實現有五種不同類型:
. 離散TPM是專用芯片,它們在自己的防篡改半導體封裝中實現TPM功能。從理論上講,它們是TPM的最安全的類型,因為與在軟件中實現的例程相比,在硬件中實現的例程應該對錯誤(需要澄清)有更強的抵抗力,並且它們的軟件包必須具有一定的抗篡改性。
. 集成的TPM是另一個芯片的一部分。當他們使用抵抗軟件錯誤的硬件時,不需要實現防篡改功能。英特爾已在其某些芯片組中集成了TPM。
. 固件TPM是基於固件(例如UEFI)的解決方案,可在CPU的受信任執行環境中運行。英特爾,AMD和高通已實施固件TPM。
. 虛擬機管理程序TPM是由虛擬機管理程序提供並依賴於虛擬機TPM,它們處於隔離的執行環境中,該環境對於虛擬機內部運行的軟件是隱藏的,以從虛擬機中的軟件中保護其代碼。它們可以提供與固件TPM相當的安全級別。
. 軟件TPM是TPM的軟件仿真器,其運行方式與操作系統中常規程序獲得的保護一樣多。它們完全取決於運行的環境,因此它們提供的安全性沒有普通執行環境所能提供的安全高,並且容易受到滲透到普通執行環境中的自身軟件漏洞和攻擊的影響。 ]它們對於開發目的很有用。
參考
. 基於硬件的全磁碟加密
. 蛋白石存儲規範
. SSD的數據安全性功能
. TCG設置驅動器加密標準
. 您的自加密驅動器(SED)多合一指南
. TCG存儲安全子系統類:蛋白石
. 符合TCG / Opal 2.0標準的自加密驅動器(SED)
. FDE的基本原理:比較頂級的全磁碟加密產品
. 加密硬盤驅動器(符合TCG OPAL和IEEE 1667的自加密硬盤驅動器)
. 自加密驅動器
. SSD加密漏洞和TPM
. 與TPM集成的Opal SSD
. 可信平台模塊–調查
. 實現信任的硬件根源:可信平台模塊已成時代
. TPM 2.0快速教程
. 企業自加密驅動器
. 企業SED演示
資料來源: Wentz Wu QOTD-20210316
密碼驗證協議(PAP)發送未加密的密碼。它比EAP-MD5和CHAP(都使用MD5)弱。因此,在三種身份驗證協議中最不可能使用PAP。
可擴展身份驗證協議(EAP)是在其上開發基於EAP的身份驗證協議的身份驗證框架。
可擴展身份驗證協議(EAP)是網絡和Internet連接中經常使用的身份驗證框架。它在RFC 3748中定義,使RFC 2284過時,並由RFC 5247更新。EAP是用於提供對EAP方法生成的材料和參數的傳輸和使用的身份驗證框架。RFC定義了許多方法,並且存在許多特定於供應商的方法和新建議。EAP不是有線協議;相反,它僅定義來自界面和格式的信息。每個使用EAP的協議都定義了一種將用戶EAP消息封裝在該協議的消息中的方法。
EAP被廣泛使用。例如,在IEEE 802.11(WiFi)中,WPA和WPA2標準已採用IEEE 802.1X(具有各種EAP類型)作為規範認證機制。
資料來源:維基百科
參考
. 可擴展認證協議
資料來源: Wentz Wu QOTD-20210315
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-NIST SDLC和RMF
在啟動項目後進行系統分類;這意味著已經開發了一個業務案例,並且已選擇,接受,批准了替代方案並變成了項目。
安全控制的實施取決於安全措施或安全控制的確定。安全控制框架(SCM),例如NIST SP 800-53,提供了安全控制的初始範圍,然後可以對其進行定製或修改。範圍界定和剪裁是NIST RMF中“選擇控件”步驟的核心概念,其次是“實施控件”步驟。
應用緊急補丁修復高優先級漏洞意味著該系統有權運行。但是,系統分類是在系統開發生命週期(SDLC)的初始階段進行的。
範圍界定是指檢查基準安全控制並僅選擇適用於您要保護的IT系統的那些控制。例如,如果系統不允許任何兩個人同時登錄,則無需應用並發會話控件。
斯圖爾特(James M.)。CISSP(ISC)2認證的信息系統安全專業人士正式學習指南。威利。
資料來源: Wentz Wu QOTD-20210308
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-業務連續性政策
高級管理人員通過制定戰略計劃或戰略來實現組織的使命和願景,並通過政策指導戰略的實施。戰略通常包括項目組合,計劃和項目的集合。有許多類型的策略,例如,程序策略,特定於問題的策略,特定於系統的策略等。程序策略指導程序的執行。
我的書《有效的CISSP:安全和風險管理》詳細介紹了戰略管理。
政策
. 政策是指“組織的最高管理層正式表達的意圖和方向”。(ISO 21401:2018)
. 策略是反映特定管理目的的“與特定目的相關的一組規則”(ISO 19101-2:2018)。
. 政策是“在一定範圍內對人們活動的目標,規則,做法或法規的聲明。” (NISTIR 4734)
資料來源: Wentz Wu QOTD-20210310
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-滲透測試方法
滲透測試的目的是識別,分析,評估和利用漏洞,以深入了解漏洞並開發解決方案以降低風險。目標的失敗可能會導致業務損失或破壞產品或服務的交付。儘管在進行滲透測試時,詳細的開發文檔和評估開發目標的客觀性很重要,但從客戶的角度出發,業務始終是優先事項。滲透團隊應始終牢記這一點。
免入獄卡對滲透團隊至關重要,但是這個問題要問客戶的觀點或為客戶的緣故。因此,免押金卡對客戶而言並不那麼重要。
參考
. 走出免費監獄卡
. 滲透測試中的法律問題
. 滲透測試與法律
. 依法進行滲透測試
. 愛荷華州支付了一家安全公司闖入法院,然後在成功的情況下逮捕了他們的員工
. 彭特公司首席執行官被捕:“英雄不是罪犯”
. 關於滲透測試者的新文件因闖入法院而入獄
. 黑帽:當滲透測試為您贏得重罪逮捕記錄時
. 對在筆測試期間闖入法院的Coalfire安全團隊的指控被撤銷
資料來源: Wentz Wu QOTD-20210309
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
日誌是會計的工作成果。可以通過查看或檢查(審核)一組相關日誌(審核記錄)以唯一地將活動跟踪到實體來實現問責制。
會計,審計和問責制(又一個AAA)
. 問責制 是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (NIST SP 800-33)
. 審計 是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (NIST SP 800-12 Rev.1)
. 審核跟踪 是“按時間順序的記錄,用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作,程序或事件的活動順序。” (NIST SP 800-53修訂版4)
安全信息和事件管理(SIEM)
安全信息和事件管理(SIEM)是指支持審核和跟踪責任制的收集,分析,關聯和相關活動。SIEM服務器是支持安全信息和事件管理的服務器。
用戶和實體行為分析(UEBA)
Gartner定義的用戶行為分析(UBA)是一個有關檢測內部威脅,針對性攻擊和財務欺詐的網絡安全流程。UBA解決方案著眼於人類行為模式,然後應用算法和統計分析從這些模式中檢測出有意義的異常,即表明潛在威脅的異常。
UBA技術的發展促使Gartner將類別擴展到用戶和實體行為分析(“ UEBA”)。2015年9月,Gartner發布了由副總裁兼傑出分析師Avivah Litan撰寫的《用戶和實體分析市場指南》,其中提供了詳盡的定義和解釋。在早期的Gartner報告中提到了UEBA,但沒有深入探討。從UBA擴展定義包括設備,應用程序,服務器,數據或任何具有IP地址的內容。它超越了以欺詐為導向的UBA的重點,而涵蓋了更廣泛的範圍,其中包括“惡意和濫用行為,否則現有的安全監視系統(如SIEM和DLP)不會注意到。” 增加的“實體”反映出設備可能在網絡攻擊中起作用,並且在發現攻擊活動中也可能很有價值。“當最終用戶受到威脅時,惡意軟件可能會處於休眠狀態,並且幾個月都不會被發現。
資料來源:維基百科
資料來源: Wentz Wu QOTD-20210308
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
在計算機取證中搜索妥協(IoC)的指示器,是網路或操作系統中觀察到的神器,它具有很高的可信度,表示電腦入侵。
典型 IOC 的指示類型是病毒簽名和 IP 位址、惡意軟體檔的 MD5 哈希,或殭屍網路命令和控制伺服器的網址或功能變數名稱。通過事件回應和計算機取證過程識別 IoC 後,它們可用於使用入侵檢測系統和防病毒軟體對未來的攻擊嘗試進行早期檢測。
資料來源:https://en.wikipedia.org/wiki/Indicator_of_compromise
妥協指標 (IOC) 是主機系統或網路可能受到入侵的法醫證據。這些人工製品使資訊安全 (InfoSec) 專業人員和系統管理員能夠檢測入侵企圖或其他惡意活動。安全研究人員使用IOC來更好地分析特定惡意軟體的技術和行為。IOC 還提供可在社區內共用的可操作的威脅情報,以進一步改進組織的事件回應和補救策略。
其中一些文物在系統中的事件日誌和時間戳條目以及其應用程式和服務上找到。InfoSec 專業人員和 IT/系統管理員還使用各種工具監控 IOC,以幫助減輕(如果不是防止)違規或攻擊。
以下是一些危害資訊安全專業人員和系統管理員注意的指標:
1.異常流量進出網路
2.系統中的未知檔、應用程式和流程
3.管理員或特權帳戶中的可疑活動
4.非正常活動,如在組織不與之開展業務的國家/地區的流量
5.可疑的登錄、訪問和其他網路活動,表明探測或暴力攻擊
6.公司文件中請求和讀取量異常激增
7.在異常常用埠中穿越的網路流量
8.篡改檔、功能變數名稱伺服器 (DNS) 和註冊表配置以及系統設置(包括行動裝置中的更改)的變化
9.大量的壓縮檔和數據無法解釋地發現在它們不應該的位置
資料來源:https://www.trendmicro.com/vinfo/us/security/definition/indicators-of-compromise
這個問題是根據痛苦金字塔設計的。它不是一個行業標準,但它提供了一個很好的基礎,以評估在威脅源中提供的妥協指標 (IOC)。
並非所有妥協指標(IOC)都是平等的。如果您被告知,受破壞的系統檔將產生特定的哈希值,它可能會產生較少的價值,因為它太瑣碎。相反,如果您被告知來自 someone.hackers.com(10.10.10.1)的攻擊可能包含系統檔,如果成功,可能會產生特定的哈希值。
參考
. 痛苦金字塔
. 仲裁協議指標的定義
. 威脅源還是威脅情報?(實際上,您同時需要兩者)
. 免費和開源威脅情報源
. SANA威脅源
. 威脅情報源:領先於攻擊者
. 威脅情報源:為什麼上下文是關鍵
. 妥協指標
. SolarWinds IoC連接到網絡資產:我們發現的結果
. LogRhythm-Labs / sunburst_iocs
資料來源: Wentz Wu QOTD-20200924
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
這個問題描述了常見的SQL注入場景,該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數據操作語言(DML)的關鍵字,是身份驗證過程中最常用的一種。
反射跨站點腳本(XSS)是XSS攻擊的一種類型,但它不會從網絡服務器下載惡意代碼/ javascript,而是提交HTTP請求,其中URL包含惡意代碼,然後該惡意代碼又被擺回到瀏覽器中。XSS通常使用惡意JavaScript,而不是SQL語句。
身份方程式作為SQL表達式
-攻擊者將身份方程式輸入為SQL表達式(來源:Guru99)
後端程序開發欠佳
-後端程序開發不完善(來源:Guru99)
SQL命令的類型
-SQL命令的類型(來源:geeksforgeeks)
參考
. 反映的XSS
. SQL注入教程:學習示例
資料來源: Wentz Wu QOTD-20210306
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
IPv6節點使用本地鏈接地址(前綴為FE80 :: / 10)引導,並使用多播與DHCP服務器聯繫。它們不同於IPv4主機,後者使用默認地址(0.0.0.0)引導並使用廣播(DHCP Discover)與DHCP服務器聯繫。
-DHCPv4操作(來源:WizNet)
本地鏈接地址是使用前綴FE80 :: / 10和修改後的EUI-64格式自動配置的。
-48位MAC到64位EUI-64地址(來源:StackExchange)
-48位MAC地址的結構(來源:Wikipedia)
以下是IBM IPv6 Introduction and Configuration的摘錄:
IPv6地址協議在RFC 4291 – IPv6地址體系結構中指定。IPv6使用128位地址而不是IPv4的32位地址。它定義了三種主要的地址類型:單播地址,多播地址和任意播地址。IPv6中沒有廣播地址。
單播地址(Unicast Address)
單播地址是分配給單個接口的標識符。發送到該地址的數據包
僅傳遞到該接口。特殊用途的單播地址定義如下:
–環回地址(:: 1)
–未指定地址(::)
–鏈接本地地址
–站點本地地址
– IPv4兼容地址(::)
– IPv4映射的地址(: :FFFF 🙂
廣播地址(Multicast Address)
多播地址是分配給多個主機上的一組接口的標識符。
發送到該地址的數據包將傳遞到與該地址對應的所有接口。
IPv6中沒有廣播地址,其功能已被多播地址取代。
指示多播範圍的4位值。可能的值為:
0保留。
1僅限於本地節點(node-local)上的接口。
2僅限於本地鏈接(link-local)上的節點。
5限於本地站點。
8僅限於組織。
E全球範圍。
F保留。
任播地址(Anycast Address)
任播地址是一種特殊類型的單播地址,分配給
多個主機上的接口。發送到該地址的數據包將被發送到具有
該地址的最近接口。路由器根據其距離的定義來確定最近的接口,例如,在RIP情況下是躍點,在OSPF情況下是鏈路狀態。
任播地址使用與單播地址相同的格式,並且與它們沒有區別。
RFC 4291 – IPv6地址體系結構當前對
任播地址規定了以下限制:
-任播地址不得用作數據包的源地址。
-任何任播地址都只能分配給路由器。
參考
. RFC 2450:擬議的TLA和NLA分配規則
. RFC 2737:IP版本6尋址架構
. IBM IPv6簡介和配置
. IPv6簡介
. 鏈接本地地址
. 了解IPv6鏈接本地地址
. 了解IPv6 EUI-64位地址
. EUI-64
. MAC地址
. IEEE 802.1中的MAC地址問題
資料來源: Wentz Wu QOTD-20210305
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-VLAN組(來源:Cisco Press)
VLAN是一種創建其廣播域的網絡分段和隔離機制。路由器通常跨VLAN轉發節點之間的通信。中繼線是用於連接交換機和路由器的鏈接。換句話說,訪問中繼可以捕獲跨VLAN的流量。
. VLAN跳變實際上是交換機欺騙。攻擊主機操縱中繼協議以通過中繼線連接到交換機。它捕獲流量並成為中間人,從而使會話劫持更加容易。
. “ IP地址欺騙最常用於拒絕服務攻擊中,其目的是以壓倒性的流量淹沒目標,並且攻擊者並不關心接收對攻擊數據包的響應。” (Wikipedia)儘管攻擊者可以使用它劫持用戶會話,但TCP序列號通常可以減輕攻擊。
. ARP欺騙和DNS欺騙是用於重定向或轉移流量並劫持用戶會話的常用技術。
主幹(Trunk)
. “ VLAN中繼線或中繼線是承載多個VLAN的兩個網絡設備之間的點對點鏈接。VLAN中繼將VLAN擴展到兩個或多個網絡設備上。” (思科)
. “中繼端口是交換機之間的鏈接,支持與多個VLAN相關的流量的傳輸。” (思科)
VLAN跳變(VLAN Hopping)
VLAN跳頻是一種計算機安全漏洞,是一種攻擊虛擬LAN(VLAN)上的網絡資源的方法。所有VLAN跳躍攻擊背後的基本概念是VLAN上的攻擊主機可以訪問通常無法訪問的其他VLAN上的流量。VLAN跳躍的主要方法有兩種:交換機欺騙和雙重標記。正確的交換機端口配置可以緩解這兩種攻擊方式。(維基百科)
參考
. 會話劫持
. IP地址欺騙
. ARP欺騙
. DNS欺騙
. VLAN跳變
資料來源: Wentz Wu QOTD-20210304
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
- 高級持久威脅(APT)
- 多向量多態攻擊
- 拒絕服務
- 緩衝區溢出
- 流動碼
- 惡意軟件(惡意軟件)
- 偷渡式下載攻擊
- 間諜軟件
- 特洛伊木馬
- 鍵盤記錄器
- 密碼破解者
- 欺騙/偽裝
- 監聽,竊聽和竊聽
- 輻射和“ TEMPEST ”電磁輻射的自發發射”(EMR)受到TEMPEST的監聽
- 肩衝浪
- 尾板(Tailgating)
- 帶(Piggybacking)
- 對象重用(Object Reuse)
- 數據剩餘
- 未經授權的目標數據挖掘
- 垃圾箱潛水
- 後門/活板門
- 維修鉤
- 邏輯炸彈
- 社會工程學
- 網絡釣魚
- 域欺騙
網絡攻擊意在一個網站的流量重定向到另一個,假冒網站。 - 隱蔽通道
未經授權的數據傳輸通道 - IP欺騙/偽裝
IP欺騙是惡意的,而偽裝是網絡地址轉換(NAT)的一種特定形式,並且可以有效。 - 特權提升/特權升級
- 篡改
- 破壞
- SQL注入
- 跨站腳本(XSS)
- 會話劫持和中間人攻擊
- 零日漏洞利用
零日漏洞利用是在宣布或發現網絡漏洞之後但在實施修補程序或解決方案之前發生的。
資料來源: Wentz Wu 網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
OWASP SAMM
什麼是OWASP SAMM?
以下是OWASP SAMM的摘要 :
. SAMM代表軟體保障成熟度模型。
. 我們的使命是為所有類型 的組織提供一種有效且可衡量的方法, 以分析和改善其 軟體安全狀況。
. 我們想通過我們的自我評估模型來提高認識並教育組織如何設計,開發和部署安全軟件。
. SAMM支持 完整的軟體生命週期, 並且與 技術和過程無關。
. 我們建立了SAMM,使其本質上具有發展性和風險驅動性,因為沒有一種適用於所有組織的方法。
SAMM成熟度級別
SAMM將三個成熟度級別定義為目標。
-SAMM模型結構
OWASP SAMM模型2.0
SAMM是一種規範性模型,是一種易於使用,完全定義且可測量的開放框架。即使對於非安全人員,解決方案詳細信息也很容易遵循。它可幫助組織分析其當前的軟件安全性實踐,按定義的迭代構建安全性程序,顯示安全性實踐的逐步改進,定義和評估與安全性相關的活動。
定義SAMM時要考慮到靈活性,以便使用任何開發風格的小型,中型和大型組織都可以自定義和採用它。它提供了一種方法,可以了解您的組織在實現軟件保證的過程中所處的位置,並了解為達到下一個成熟水平而建議採取的措施。
SAMM並不堅持要求所有組織在每個類別中都達到最大成熟度。每個組織都可以確定最適合和適應每個安全實踐的目標成熟度級別
資料來源:OWASP SAMM 2.0
SAMM的由來
軟件保障成熟度模型(SAMM)最初是由獨立軟件安全顧問Pravir Chandra(chandra-at-owasp-dot-org)開發,設計和編寫的。通過Fortify Software,Inc.的資助,可以創建第一稿。目前,此文件是通過Pravir Chandra領導的OpenSAMM項目進行維護和更新的。從SAMM的最初發行版開始,該項目已成為Open Web Application Security Project(OWASP)的一部分。
資料來源:OpenSAMM
Pravir Chandra(強化軟體)
Pravir Chandra是Fortify戰略服務總監,他與客戶合作建立和優化軟件安全保證程序。Pravir以其在軟件安全性和代碼分析方面的專業知識以及從業務角度戰略性地應用技術知識的能力而在業界獲得廣泛認可。在加入Fortify之前,他是Cigital的首席顧問,在那裡他領導了《財富》 500強公司的大型軟件安全計劃。在被Fortify Software收購之前,Pravir還是Secure Software,Inc.的聯合創始人兼首席安全架構師。他的書《使用OpenSSL的網絡安全》是有關通過加密和安全通信保護軟件應用程序的熱門參考。他的各種特殊項目經驗包括與開放Web應用程序安全性項目(OWASP)基金會一起創建和領導開放軟件保證成熟度模型(OpenSAMM)項目。此外,普拉維爾目前還是OWASP全球項目委員會的成員。
資料來源:CMU-SEI
OWASP SAMM版本
. OWASP SAMM版本2 –公開發布
. OWASP SAMM v2.0於2020年2月11日星期二發布
. OWASP SAMM v1.5發布,2017年4月13日
. OWASP SAMM v1.1發布,2016年3月16日
. OpenSAMM的原始版本,2009年3月25日
參考
. 成熟度模型
. OWASP SAMM v2.0發布
. OpenSAMM項目
資料來源: Wentz Wu 網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
歐洲GDPR設計,這就要求隱私被考慮納入隱私貫穿整個設計過程。(維基百科)隱私影響分析甚至在開始階段進行的前一個工程項目啟動,如圖所示NIST SDLC。
-NIST SDLC和RMF
威脅建模(Threat Modeling)
在系統工程的背景下,威脅建模可被視為專門的風險管理。由於存在許多威脅建模實踐和方法,人們可能會以多種方式不一致地實施它們。有人認為應在整個工程過程中進行,而大多數人則在設計階段進行。
信任但要驗證(Trust But Verify)
1987年12月8日,羅納德·裡根(Ronald Reagan)總統在INF條約上簽字後,“信任但核實”一詞被翻譯成俄語,並廣為人知。有些人將其與“零信任”相同,但其他人則不同。有人認為今天還不夠,應該用“驗證,驗證,驗證”或“零信任”代替。IMO,信任但驗證與零信任相同。
共同責任(Shared Responsibility)
共享責任是在雲計算中使用的模型,該模型定義了雲客戶與雲服務提供商之間的責任邊界。
-微軟共同責任模式
參考
. 設計隱私
. 威脅模型
. 信任但要驗證
. IS審核基礎知識:信任,但要驗證
. 信任但核實:軍備控制條約和其他國際協議中的信息生產
. 信任,但驗證…為您的數據中心保護遠程監控
. 3家不信任“信任但驗證”的網絡安全公司
. “信任但要驗證…”
. 零信任網絡安全–信任但要驗證!
. 與其說是“信任,而是要驗證”,不如說是“零信任”
. 當“信任但不能驗證”還不夠時:零信任世界中的生活
. 信任但要驗證:為什麼網絡安全對建築承包商很重要
. 共同責任模式解釋
. 共同責任模式
. 雲中的共同責任
. 吻原理
資料來源: Wentz Wu QOTD-20210303
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而,FISMA和FIPS 199明確而準確地區分了兩者。
以下幻燈片是 FIPS 199 中有關安全目標的摘錄,該摘錄與 FISMA 一致:
-CIA作為安全目標
完整性
以下是 FISMA 中有關完整性的摘錄:
‘防止不當的資訊修改或破壞,包括確保資訊不被否定和真實性。。。。。。'[44 U.S.C., Sec. 3542]]
可用性
可用性是關於’確保及時和可靠地訪問和使用資訊。。。'[44 U.S.C., SEC. 3542
FIPS 199 寫道:「可用性損失是資訊或資訊系統訪問或使用中斷。
數據消毒方法
‘銷毀’是 NIST SP 800-88 R1 中引入的數據消毒方法,而’破壞’是一種可以’破壞’介質的技術(例如破壞性技術)。然而,破壞性技術通常可以’摧毀’媒體,但他們不能保證媒體可以完全摧毀。
破壞(Destroy)、破壞(destruction)和破壞( disruption )可能具有類似的含義,但它們可能在各種上下文中提及不同的東西。
資料來源: Wentz Wu QOTD-20210302
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
零信任
零信任是一種用於訪問控制的網絡安全範例,具有以數據為中心,細粒度,動態且具有可見性的特徵。
. 取消邊界刪除會刪除物理網絡邊界。
. XACML提供細粒度的訪問控制,例如基於風險或基於屬性的訪問控制。
. 完全調解強制執行每個請求的驗證,無論請求來自內部還是外部網絡。
零信任概念的演變
零信任的概念可以追溯到早在2003年的Jericho論壇中就討論的反邊界化概念。反邊界化提倡了消除對物理網絡分段的依賴以確保網絡安全的想法。通常認為,受防火牆保護的內部網絡比外部網絡更安全,因此內部網絡中實施的安全控制較少。但是,去周邊化並不意味著根本就不存在周邊。它可以減少對物理邊界的依賴,但是虛擬,軟件或細粒度的邏輯邊界都可以發揮作用。例如,國防信息系統局(DISA)於2007年左右推出的全球信息網格(GIG)黑芯網絡計劃引入了軟件定義的邊界(SDP)。
Forrest的John Kindervag在2010年創造了“零信任”一詞,很好地融合了這些想法。然後,雲安全聯盟(CSA)會基於GIG SDP促進和擴大對零信任的認識和採用。Google和許多大型科技公司和組織也開始了他們的零信任計劃。
由於2015年人事管理辦公室數據洩露,零信任引起了美國國會的注意。NIST隨後開始草擬零信任架構指南SP 800-207,該指南於2020年8月最終確定。
-零信任概念的演變
-零信任網絡安全範例
零信任作為訪問控制2.0
-零信任作為訪問控制2.0
-訪問控制
-以數據為中心的訪問控制
-細粒度,動態和可見性
參考
. 零信任即訪問控制2.0
. InfoSec台灣2020
. 什麼是零信任?
. 零信任架構(ZTA)
資料來源: Wentz Wu QOTD-20210228
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
模糊測試工具-zzuf
-圖片來源:DO SON
為了準備測試數據以驗證後端API是否暗示被測系統(SUT)是一個數據驅動的系統,該系統處理和處理傳輸,靜止和使用中的各種數據,這就是數據完整性很重要的原因。語義完整性是與用戶數據含義相關的最常見問題。例如,系統接受諸如1912/02/31或“美國得克薩斯州”之類的出生日期值是沒有意義的。甲模糊器可以生成隨機在所謂的使用的測試數據模糊測試。zzuf是最著名的模糊器之一。
作為安全經理或CISO,您不必了解內在的技術知識,但必須了解最常用的安全評估工具或實用程序。
. 網絡映射器Nmap是一個必須了解的免費安全掃描程序,它為測試人員提供靈活的參數或參數,以掃描TCP / UDP端口或IP。
. “ Nessus是Tenable,Inc.(NASDAQ:TENB)開發的專有漏洞掃描程序。”(Wikipedia)
. Metasploit框架是眾所周知的工具,用於進行滲透測試以及針對遠程目標計算機開發和執行漏洞利用代碼。它是Metasploit項目的開源子項目,“ Metasploit項目是一個計算機安全項目,它提供有關安全漏洞的信息,並有助於滲透測試和IDS簽名開發。它歸馬薩諸塞州波士頓的安全公司Rapid7所有。” (維基百科)
參考
. zzuf:透明的應用程序輸入模糊器
. zzuf –多用途模糊器
. 地圖
. Nessus
. Metasploit項目
資料來源: Wentz Wu QOTD-20210227
-電子發現參考模型
證人(Witnesses )和證據(evidence)決定了司法結果。及時的電子發現行動將收集證據,而健全的數據治理將確定證據是否可以接受。
. 行政調查是指對員工所謂的不當行為的內部調查。(《法律內幕》)此事件可能需要多種形式的調查,例如民事,刑事和行政調查。
. 黑客組織可能會進行現場調查,觀察,垃圾箱潛水,尾隨航行等。遵守CPTED(通過環境設計預防犯罪)原則可能有助於設施和人身安全。
審判(Trial)
經過數週或數月的準備,檢察官已準備好完成其工作中最重要的部分:審判。審判是一個結構化的過程,將案件的事實提交陪審團,由陪審團決定被告是否有罪。
庭審過程中,檢察官使用證人和證據向陪審團證明被告犯罪。以律師為代表的被告人還使用證人和證據講述了他的故事。
在審判中,法官(審判的公正人)決定向陪審團提供哪些證據。法官類似於比賽中的裁判,他們不是在一側或另一側進行比賽,而是要確保整個過程都公平進行。
資料來源:美國司法部
發現(Discovery)
“發現”是一個法律術語,指的是查找和披露可能構成訴訟證據的任何信息的預審手段。及時的電子發現是指採取法律行動,要求對手生產和提交以電子格式存儲的信息。您的對手還可能進行電子發現以要求您提供證據。
“即使不經意間也未能公開證據是犯罪,如果可以證明該組織未能故意公開證據,則處罰會更高。” (本州馬里索夫)電子發現參考模型可幫助組織與電子發現要求保持一致。
以下是常見的發現手段:
- 要求詢問質詢
- 要求出示文件和物品
- 入學要求
- 存款
發現 是 訴訟的預審階段,在這一階段中,每一方通過民事訴訟規則 ,通過從對方和其他方獲得證據的方式,通過包括請求訊問答复,請求詢問在內的發現設備 ,來調查案件的事實。 用於文件和物品的生產,要求入場和交存。
資料來源: HG.org
為了獲得對手擁有的信息,或者即使在其他地方也可以從對手那裡獲得的信息,也很容易從對手那裡獲得,一方可以宣誓面談另一方,這稱為證言;提出書面問題,稱為審訊;要求出示文件或其他物理證據;要求另一方進行身體檢查;並要求另一方承認與訴訟有關的事實真相。
資料來源: Feinman,Jay M.。Law 101(p。120)。牛津大學出版社。Kindle版。
停止銷毀通知,認股權證和傳票(Cease Destruction Notice, Warrant, and Subpoena)
在法律領域,術語“發現”是查找和披露可能構成證據的任何信息的概念。發現可以用於收集刑事或民事訴訟的證據。例如,當一個組織收到來自監管機構/執法實體的授權書或傳票以披露與X有關的任何信息時,或者當該組織收到原告的通知,稱該組織正在被起訴X時,該組織必須依法進行,仔細檢查所有數據,找到與X有關的材料,然後將其交付給代理商/原告。即使不經意間也沒有公開證據是犯罪,如果可以證明該組織沒有故意公開證據,則處罰會更高。
電子調查的過程甚至在調查/訴訟開始之前就已經開始;一旦組織收到通知,表示正在調查或提起訴訟(即在收到逮捕令或傳票之前),則組織必須開始進行電子發現的準備工作。該通知稱為許多事項:停止銷毀通知,記錄保留通知,訴訟保留通知,合法保留,以及類似的字詞。通知組織後,它必須停止組織中的所有數據銷毀活動。這包括法規,內部政策或其他法律規定的所有數據銷毀要求。在美國,在起訴/訴訟期間,由國會決定的聯邦證據規則將取代所有其他指示,並且該組織無法銷毀任何數據。銷毀被視為證據的數據或被認為是證據的數據被稱為“誹謗”,也屬於犯罪行為。
資料來源:馬里索,本。如何通過INFOSEC考試:通過SSCP,CISSP,CCSP,CISA,CISM,Security +和CCSK的指南(第31-32頁)。調整不良的作品。Kindle版。
電子發現(Electronic discovery)
電子發現或“電子發現”是指發現以電子格式存儲的信息(通常稱為電子存儲信息或ESI)。
證據(Evidence)
“可接納性”的概念
可接受的證據應具有相關性,實質性和能力。
基本上,如果要在法庭上接納證據,則證據必須是相關的,重要的和有能力的。要被認為是相關的,它必須具有某種合理的趨勢來幫助證明或反對某些事實。它不必確定事實,但是至少它必須傾向於增加或減少某些事實的可能性。
一旦被認定為相關證據,事實發現者(法官或陪審團)將確定適當的權重以提供特定的證據。如果提供給定的證據來證明案件中有爭議的事實,則該證據被認為是重要的。如果證據符合某些傳統的可靠性概念,則被認為是“有能力的”。法院正在通過使與證據權重有關的問題逐步減少證據的勝任力規則。
資料來源:湯森路透
舉證責任(BURDEN OF PROOF)
說服力的標準不盡相同,從 大量的證據(只有足夠的證據來彌補這一平衡)到 無可置疑的證據(例如美國刑事法院)。
資料來源: 維基百科
參考
. 法律證據
. 調查類型
. 什麼是民事案件中的發現?
. 證據:“可接納性”的概念
. 美國律師»司法101
. 發現請求和懇求準備
資料來源: Wentz Wu QOTD-20210226
即使HTTP基本身份驗證確實使用Base64來編碼用戶ID和密碼,HTTP仍以明文形式傳輸編碼,並依靠HTTPS來實施安全性。
密碼(Cipher)和代碼(Codes)不同。從字面上看,代碼取決於代碼簿(codebook)的保密性,而不是取決於密鑰的混淆。Base64使用公共映射表。
哈希或消息身份驗證代碼(MAC)是分別保護數據完整性和真實性的典型加密功能。它們通常用於身份驗證過程中。
Base64使用的下表摘自Wikipedia:
資料來源: Wentz Wu QOTD-20210225
在這四個選項中,開發信息安全管理系統(ISMS)是最合適,最關鍵的。ISMS從管理承諾和政策開始,這些承諾和政策推動信息安全,以滿足利益相關者(或利益相關方)的保護需求和安全要求。它涵蓋了網絡訪問控制,IT流程以及業務連續性的信息安全方面。
. 實施全面的網絡訪問控制是必要的,但還不夠,也不是優先事項。
. 將安全性集成到IT流程中是必要的,但還不夠。無論CISO向哪個角色報告,他(她)都應確保安全功能支持業務,並將安全集成到“所有”組織流程中,而不僅僅是IT流程中。
. 除非CISO非常了解業務並得到充分授權和委派,否則他或她發起並指導業務連續性計劃不是一個好主意。業務連續性是指持續交付涉及組織流程的產品和服務,而不僅僅是IT,安全或保證流程。首席執行官,首席運營官或委員會更合適。如下圖所示,CISSP考試大綱和ISO 27001甚至都不能滿足所有業務連續性要求。
資料來源: Wentz Wu QOTD-20210224
證書簽名請求(CSR)
一些證書提供者可能會向客戶提供一個生成密鑰對的網頁。但是,這不是一個好主意,因為證書提供者可能會記錄或託管您的私鑰。您應將私鑰保密。因此,請使用本地實用程序生成密鑰對,例如OpenSSL,ssh_keygen,IIS管理器,MMC的證書管理單元(Microsoft管理控制台)。
僅將包含公共密鑰(不包含密鑰對)的證書籤名請求發送到CA(或專門用於註冊機構),因為密鑰對包含私有密鑰。
即使您可以將帶有證書的私鑰打包到文件中,但證書僅包含公鑰。例如,“ PKCS#12定義了用於將許多加密對象存儲為單個文件的存檔文件格式。它通常用於將私鑰與其X.509證書捆綁在一起或將信任鏈的所有成員捆綁在一起。” (維基百科)
證書簽名請求(CSR)
在公鑰基礎結構(PKI)系統中,證書籤名請求(也是CSR或證明請求)是從申請人發送到公鑰基礎結構的註冊機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰,標識信息(例如域名)和完整性保護(例如數字簽名)。
在創建CSR之前,申請人首先生成一個密鑰對,將私鑰保密。CSR包含標識申請人的信息(例如,在X.509證書的情況下為專有名稱),該信息必須使用申請人的私鑰進行簽名。CSR還包含申請人選擇的公鑰。CSR可能隨附證書頒發機構要求的其他憑據或身份證明,證書頒發機構可以聯繫申請人以獲取更多信息。
資料來源:維基百科
X.509證書
-X.509證書格式
資料來源: Wentz Wu QOTD-20210223
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
儘管夾層玻璃比鋼化玻璃更安全,但價格更高。儘管如此,法規要求仍可能會影響各國安全玻璃的安裝。而且,作者沒有具體的統計數據來支持夾層玻璃比鋼化玻璃更常見。結果,最初的問題是:“以下哪個是店面或購物櫥窗中最常用的安全玻璃?” 更改為“以下哪項在店面或購物櫥窗中提供最高的安全性?”
退火玻璃不屬於安全玻璃。以下安全玻璃描述摘自Wikipedia:
“夾層玻璃通常用於可能造成人身傷害或玻璃破碎時掉落的地方。天窗玻璃和汽車擋風玻璃通常使用夾層玻璃。在要求抗颶風建築的地理區域,夾層玻璃通常用於外部店面,幕牆和窗戶。
-破碎的夾層安全玻璃,中間層暴露在圖片的頂部(來源:維基百科)
鋼化玻璃用於各種苛刻的應用中,包括乘用車窗戶,淋浴門,建築玻璃門和桌子,冰箱托盤(作為防彈玻璃的組成部分),潛水面罩以及各種類型的盤子和炊具。
-破碎的鋼化玻璃顯示出顆粒狀的形狀(來源:維基百科)
近年來,已經出現了既可以提供防火等級又可以提供安全等級的新材料,因此在全世界範圍內繼續討論使用有線玻璃的問題。美國國際建築法規於2006年有效禁止了有線玻璃。
參考
. 安全玻璃
. 什麼是安全玻璃?
. 砸玻璃!比較層壓與回火
. 有線玻璃
. 夾絲玻璃,安全嗎?
. 傳統夾絲玻璃的危害
. 破碎玻璃
. 退火(玻璃)
. 退火與回火
. CM 113 –第30章
. 夾層安全玻璃
資料來源: Wentz Wu QOTD-20210222
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
知識產權具有所有者,否則它將屬於公共領域。“商業秘密是指可以出售或許可的機密信息的知識產權(IP)。” (WIPO)您的公司可能沒有製造參數作為知識產權的所有權,因為OEM客戶通常在合同中要求所有權。如果是這樣,您的公司可能會被要求承擔保護生產參數保密性的義務,而不是商業秘密權。因此,在主張知識產權之前,應首先考慮所有權。
. 參數的保密性意味著商業秘密。
. 參數的創新意味著專利。
. 參數的表達表示版權。
通常,必須完成三個步驟,才能使某項信息成為商業秘密:
–保密:該信息必須具有足夠的機密性,即通常不為人所知或難以編譯的信息。請注意,與公司客戶有關的機密個人信息受隱私法保護,不受商業秘密法保護。
–具有商業價值:信息必須為所有者提供競爭優勢或某種經濟利益,因為它是秘密的-而不是因為其固有的優點。
–合理措施:所有者必須採取合理的安全措施來維護信息的保密性。
資料來源:WIPO
參考
. 獲取知識產權:商業秘密
. 常見問題:商業秘密基礎
資料來源: Wentz Wu QOTD-20210221
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
資料分類是評估資料的業務價值或其重要性和對利益相關者的意義,以確定適當的保護級別的過程。可以從各種角度評估數據的業務價值,例如保密性,完整性,可用性,收入損失,購買成本,機會成本等。分類方案,最高機密,機密,機密是一項法規要求(執行命令) 12356)。
. 未經授權的信息披露意味著保密。
. 未經授權對信息的修改或破壞意味著完整性。
. 信息或信息系統的訪問或使用中斷意味著可用性。
參考
. 外國所有權控製或影響:FOCI補充資料表
. CMMI:國防部的觀點
. 什麼是CMMI?優化開發流程的模型
. 了解和利用供應商的CMMI®努力:收購者指南(V1.3修訂版)
資料來源: Wentz Wu QOTD-20210220
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
關於資料治理中的安全性,適用於 歐盟的《通用數據保護條例》(GDPR) 和《 金融工具市場指令II》(MiFID II) ,以及US 31 USC 310,這是一項針對金融犯罪中的數據的法規。
在更大範圍內,《 美國多德-弗蘭克法案》 解決了保存記錄的透明度問題。在 美國首都的綜合分析和審查(CCAR) 的框架地址的資料質量和管理。在歐洲,MiFID II解決了資料收集過程,而巴塞爾協議III則包含了風險管理和資本充足性方面的資料治理規定。
在中國, 銀行和保險監督管理委員會(CBIRC) 於2018年5月發布了準則,其中包括針對金融公司的規定,分配建立資料治理系統,資料質量控制以及相關激勵和問責制的責任。在中國, 銀行和保險監督管理委員會(CBIRC)於2018年5月發布了準則,其中包括針對金融公司的規定,分配建立資料治理系統,資料質量控制以及相關激勵和問責制的責任。
儘管 針對風險資料匯總的MiFID II,Basel III和 BCBS 239規則來自歐洲,但它們確實會影響整個亞洲乃至全球的合規性。此外, 由國際會計準則理事會(IASB)創建 的 國際財務報告準則(IFRS ) 設置了可用於資料治理的分類和會計規則。任何形成其治理框架的公司都應了解這些規定。
因此,如果能夠很好地處理資料治理的特徵和規則,公司還可以部署 企業資料管理(EDM)和主資料管理(MDM) 系統,以執行資料治理中的規定。這些系統對資料進行清理,豐富和整理,以標準化資料定義方式,並生成元數據,該元數據以完整性,問責性和安全性幫助實施數據治理框架。
有了資料治理要素的知識,這既是公司本機工作的一部分,又是其合規要求的一部分,管理層將更有能力在市場上開展業務,並降低其運營和監管風險。
資料來源:GoldenSource
相關讀物
. 資料治理
. 什麼是資料治理?
. 什麼是資料治理,為什麼重要?
. 隱私,保密性和合規性資料治理指南
. 企業信息管理:資料治理的最佳實踐
. 如何創建資料治理計劃以控制您的資料資產
. 什麼是資料治理?管理資料資產的最佳實踐框架
. 資料治理的定義,挑戰和最佳實踐
. 什麼是資料治理(以及為什麼需要它)?
. 資料監管–為何,為什麼,如何,誰以及15種最佳做法
資料來源: Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
職位描述是職位設計的輸出之一,它考慮了“分工”的原則,需要人力資源部和研發部進行協作。職位描述是確定需要了解的最重要信息之一,因為它包含職位的職責和職責。
背景調查或安全檢查是在僱用之前進行的,通常對某些級別的員工或職位進行定期檢查。安全檢查是政府部門或機構的正式背景檢查程序;它支持基於標籤或網格的強制訪問控制(MAC)。此外,您的授權意味著根據需要知道的自由訪問控制(DAC)。
-職位描述內容(來源:Prachi M)
工作設計是將工作組織成執行特定工作所需的任務的過程。工作設計涉及將任務,職責和責任組織到一個工作單元中以實現某些目標的自覺努力。人力資源經理應該對組織內各個職位的設計和規格有濃厚的興趣。(拉傑古(K Rajguru))
-工作設計決策(來源:http : //www.whatishumanresource.com/job-design)
參考
. 工作設計
. 什麼是工作設計?
. 職位設計(WhatIsHumanreSource)
. 職位描述與職位規格
資料來源: Wentz Wu QOTD-20210219
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
跨站請求偽造(Cross-Site Request Forgery:CSRF)
跨站請求偽造(CSRF)是一個很好的選擇。傳統的CSRF攻擊會發生以下先決條件:
- 受害用戶已登錄到系統(例如,在線銀行)。
- 受害用戶單擊帶有偽造或操縱參數的惡意超鏈接。
- 受害系統接受作為HTTP GET請求發送的URL。
以下是緩解CSRF攻擊的技巧: - 系統不應接受通過GET進行的交易請求。而是應通過POST,PUT或DELETE完成事務。RESTful API通過以下方式使用HTTP動詞/方法:GET用於查詢,POST用於插入,PUT用於修改,DELETE用於刪除。
- CSRF攻擊也可以通過iframe內的HTTP形式觸發。因此,應執行同源政策。現代Web瀏覽器默認情況下啟用同源策略。
- 攻擊者可以從攻擊工具發送CSRF攻擊。減輕這種風險的最終方法是以每種HTTP形式實現存儲在隱藏輸入中的身份驗證代碼。Microsoft ASP.NET MVC很好地支持此功能。
重播(Replay)
重播可能由中間人,惡意用戶或無意行為觸發。重播消息可能會或可能不會被操縱。該問題並不建議緩解重放攻擊。
參考
. 跨站點腳本(XSS)
. 跨站請求偽造(CSRF)
. 防止ASP.NET MVC應用程序中的跨站點請求偽造(CSRF)攻擊
. 財務導向的Web應用程序中的常見安全問題
. 同源政策
. 同源策略:現代瀏覽器中的評估
. 現代瀏覽器中的原始策略執行
. 同源政策的權威指南
. 靜默提交POST表單(CSRF)的示例
資料來源: Wentz Wu QOTD-20200520
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
通用標準(ISO 15408)指定了評估IT產品而不是供應商資格的標準。
-通用標準評估
FOCI(外國所有權,控制權和影響力)
FOCI(外國所有權,控制權和影響力)是常見的法規要求,例如32 CFR§2004.34和4.30.30。在加拿大的外國所有權,控制權或影響力。CFR是美國聯邦法規(Code of Federal Regulations)的首字母縮寫。
CMMI(能力成熟度模型集成)
作為收單方,您可以通過有效地使用從供應商的CMMI-DEV的開發計劃中獲得的信息,從供應商的CMMI-DEV的使用中受益,並避免與不切實際的期望相關的陷阱。(Osiecki)
“ CMMI可以使用兩種不同的方法進行評估:分階段和連續。分階段方法得出的評估結果是五個成熟度級別之一。連續方法產生四個能力級別之一。” (維基百科)
-CMM和CMMI成熟度級別比較
OWASP SAMM(軟件保障成熟度模型)
鑑於ISACA收購了CMMI Institute,並且材料擁有版權,因此OWASP的SAMM(軟件保證成熟度模型)是一個開放項目。
-SAMM模型結構
參考
. 外國所有權控製或影響:FOCI補充數據表
. CMMI:國防部的觀點
. 什麼是CMMI?優化開發流程的模型
. 了解和利用供應商的CMMI®努力:收購者指南(V1.3修訂版)
資料來源: Wentz Wu QOTD-20210218
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
根據機密性,應將要求國家安全資訊的第12356號行政命令分類為“最高機密”,“機密”或“機密”只是對數據進行分類的一種方法。
計算機,軟體,網路等是資產。可以根據不同的標准或觀點對它們進行分類或分類。該問題介紹了FIPS 199所要求的方式。一般而言,可以根據“業務價值”對資產進行分類或分類。Wentz Wu的書 《有效的CISSP:安全和風險管理》中有詳細資訊。
-分類系統
如果您在NIST SP 800-60 V2 R1中查找有問題的資訊類型,則表明航空運輸的安全類別為“低”。但是,您可以證明評估的合理性並修改建議值。在這篇文章中,此航空運輸的可用性等級為“中等”僅用於演示目的。
NIST RMF中的“分類系統”步驟需要兩個文檔:FIPS 199和NIST SP 800-60。
. FIPS 199定義了確定資訊系統的安全類別及其處理的資訊類型的標準和過程。
.資訊類型的高水位標記(high water mark)確定了有關機密性,完整性和可用性的系統安全類別。
就機密性而言,“公共”和“機密”是常見的數據分類方案。這不是FIPS 199和RMF中採用的方式。“災難性”是用於評估潛在影響的因素。
-NIST RMF–風險管理框架(NIST SP 800-12 R1)
-安全目標的潛在影響定義(來源:FIPS 199)
-任務資訊的安全分類(來源:NIST SP 800-60 V2 R1)
資料來源: Wentz Wu QOTD-20210217
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-具有關鍵風險因素的通用風險模型(NIST SP 800-30 R1)
關鍵風險因素(Key Risk Factors)
風險(Risk)
風險是威脅事件發生的可能性(likelihood)以及事件發生時潛在不利影響(impact)的函數。
可能性(LIKEIHOOD)
在評估可能性,組織檢查的漏洞是威脅事件可以利用,也是使命/業務功能的敏感性,為其中沒有安全控件或安全控制的可行的實現存在的事件(例如,由於函數依賴,尤其是外部依賴性)。
影響(IMPACT)
威脅事件的影響程度是指由於未經授權披露信息,未經授權修改信息,未經授權破壞信息,或丟失信息或信息系統可用性而可能導致的危害程度。
風險模型(Risk Model)
風險模型(Risk Model)在識別威脅事件的詳細程度和復雜程度上有所不同。當威脅事件被高度明確地識別後,就可以對威脅情景進行建模,開發和分析。
威脅(Threat)
任何情況或事件(circumstance or event)都可能通過信息系統通過未經授權的訪問,破壞,披露,修改信息等對信息系統,組織資產,個人,其他組織或國家產生不利影響的 組織活動(包括使命,職能,形像或聲譽)和/或拒絕服務。威脅事件(Threat events )是由威脅來源(threat sources.)引起的。
威脅來源(Threat Source)
旨在有意利用漏洞或可能偶然觸發漏洞的情況和方法的意圖和方法。威脅代理(threat agent.)的同義詞。
威脅演員(THREAT ACTOR)
構成威脅的個人或團體。
威脅事件(Threat Event)
可能導致不良後果或影響的事件或情況。
脆弱性(Vulnerability)
應用程序,系統,設備或服務的錯誤,缺陷,弱點或暴露,可能導致機密性,完整性或可用性失敗
NIST特殊出版物800-39提供了有關風險管理層次結構中所有三個級別的漏洞以及如果威脅利用此類漏洞可能發生的潛在不利影響的指南。
威脅場景(THREAT SCENARIO)
通常,風險是一系列威脅事件的結果,每個威脅事件都利用一個或多個漏洞。組織定義威脅情景,以描述由威脅源引起的事件如何造成或造成傷害。威脅情景的開發在分析上很有用,因為除非並且直到利用了其他漏洞,否則某些漏洞可能不會受到利用。
威脅情景講述了一個故事,因此對於風險交流和分析都非常有用。
預處置條件(Predisposing Condition)
預處置條件是組織,任務或業務流程,企業體系結構,信息系統或運營環境中存在的條件,該條件會影響(即增加或減少)威脅事件一旦引發就導致不利後果的可能性。對組織運營和資產,個人,其他組織或國家產生影響。
預處置的概念也與術語易感性或暴露有關。如果威脅無法利用漏洞來造成不利影響,則組織不會受到風險(或承受風險)的影響。例如,不使用數據庫管理系統的組織不容易受到SQL注入的威脅,因此不容易受到這種風險的影響。
資料來源
. NIST CSRC詞彙表
. NIST SP 800-30 R1
需要知道(Need-to-know)
授權的官方信息持有人做出的決定,即預期的接收者需要訪問特定的官方信息才能執行公務。
最低特權(Least privilege)
一種安全原則,將授權人員的訪問權限(例如,程序執行權限,文件修改權限)限制為執行其工作所需的最低限度。
職責分離(Separation of Duty :SOD)
一種安全原則,將關鍵職能劃分給不同的工作人員,以確保沒有人擁有足夠的信息或訪問特權來進行破壞性欺詐。
雙重控制(Dual control)
使用兩個或多個單獨的實體(通常是個人)共同運行以保護敏感功能或信息的過程。沒有一個實體能夠訪問或使用這些材料,例如,加密密鑰。
拆分知識(Split knowledge)
將加密密鑰分為n個密鑰組件的過程,每個組件都不提供原始密鑰的知識。隨後可以組合這些組件以重新創建原始的加密密鑰。如果需要了解k個(其中k小於或等於n個)組成部分的知識來構造原始密鑰,則任何k – 1個密鑰組成部分的知識都不會提供有關原始密鑰的信息,但可能會提供其長度。注意,在本建議書中,拆分知識並不旨在涵蓋關鍵份額,例如門限或多方簽名中使用的份額。
取證(Forensics)
以保持數據完整性的方式收集、保留和分析計算機相關數據以用於調查目的的做法。
資料來源: Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
NIST SP 800-88 R1引入了三種清消方法:清理(clear),清除(Purge)和銷毀(destory)。“銷毀(Destory)”是一種清消方法,使用最先進的實驗室技術使數據恢復和媒體重用變得不可行。
物理破壞可以“破壞”介質,但“不能”完全破壞介質,從而無法恢復數據。切碎是物理破壞的一個很好的例子,但是可以恢復“一些”數據。
Sutapa Sarkar有一個很好的解釋,如下:
參考
. 盡職調查:16 CFR§682.3 –正確處理消費者信息。
資料來源: Wentz Wu QOTD-20210216
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
分類方案適用於整個組織。RD負責人定義一個是不合適的。此外,由於發布了資產分類準則,這意味著分類方案已作為組織標準得以實施。
. 資產的類型很多。數據只是其中之一。以一百萬美元的價格購買的資產顯然比兩千美元的資產更有價值,並且值得採取更多的保護措施。
. 可能造成一百萬美元損失的資產比具有兩千美元損失的資產需要更多的安全控制。
. 強制訪問控制(MAC)通常在政府部門中實施;很少或一些私營企業可以實施它。但是,在Windows Vista和更高版本中,Microsoft提供了強製完整性控制(MIC),這是一種強制實施完整性的MAC實現,其中,所有主題和對像都具有MIC標籤,如下圖所示。
-Windows 10中的強製完整性控制(來源:Windows Club)
“資產分類是資產的系統的安排的通過將資產分配給一個過程命名的類基於(組,類別,層,或水平)的標準,如法律或法規的要求,靈敏度,臨界,衝擊,或商業價值來確定其保護要求。一個分類方案指的是名為類標準,並用於分類程序“。(Wentz Wu,有效的CISSP:安全和風險管理)第12356號行政命令是機密性分類方案的一個很好的例子。
12356號行政命令
第1.1節分類級別。
(a)國家安全信息(以下稱“機密信息”)應分為以下三個級別之一:
(1)“最高機密”應應用於信息,未經許可的披露在合理情況下可能會導致異常嚴重的後果。損害國家安全。
(2)“秘密”應適用於可能被合理地預期對國家安全造成嚴重損害的未經授權的披露。
(3)“機密”應適用於可能會合理地預期對國家安全造成損害的未經授權的信息披露。
參考
. 有效的CISSP:安全和風險管理
. 第12356號行政命令–國家安全信息
. Windows 10中的強製完整性控制
資料來源: Wentz Wu QOTD-20210214
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
一個調查是收集和用於特定目的的證據分析。
行政調查(Administrative Investigation)
. 行政調查是指對員工所謂的不當行為的內部調查。(法律內幕)
. 行政調查由當地管理層,當地人事代表和/或員工關係進行,以應對通常與人事有關且不屬於犯罪性質的投訴或疑慮。例如,可以響應以下任何條件或指控而發起行政調查。
–申訴或投訴
–財產濫用/損壞/盜竊
–行為不端
–禁止騷擾或歧視
–威脅,恐嚇或暴力行為
–違反大學政策,規則和/或行為標準,或
–違反法律。(北卡羅來納州立大學)
民事調查(Civil Investigation)
. 民事調查會發現並收集進行民事審判所需的證據。
民事審判是一種法院案件,涉及兩名個人公民,他們在與公民權利有關的問題上存在分歧。例如,如果一個人因家庭事故造成的損失提起訴訟,該案很可能會作為民事審判進行。民事調查人員有責任收集此類審判必不可少的證據。(PI NOW)
. 當發生民事事件時,無論是進行審判還是試圖在法院外和解,各方都有責任適當準備捍衛自己的立場。民事案件是指當事方或當事方未能履行協議,履行服務或履行其法律義務時,在兩方之間發生的爭端。(全球情報顧問)
監管調查(Regulatory Investigation)
. 監管調查是指由政府,監管,執法,專業或法定機構針對您發起的正式聽證會,官方調查,檢查,詢問,法律訴訟或任何其他類似程序。(法律內幕)
刑事偵察(Criminal Investigation)
. 刑事調查是一門應用科學,涉及對事實的研究,然後將這些事實用於刑事審判。(維基百科)
. 應用於犯罪領域的犯罪調查是指收集有關犯罪的信息(或證據)以達到以下目的的過程:
(1)確定是否犯罪。
(2)識別肇事者;
(3)逮捕肇事者;和
(4)提供的證據來支持一個信念在法庭上。(JRank)
調查標準,準則和協議(Investigation Standards, Guidelines, and Protocols)
- 世衛組織–調查議定書
- CHS聯盟–調查指南
- 西澳大利亞州監察員–進行調查的準則
- 統一調查準則
- 澳大利亞政府調查標準(AGIS)
- 難民署調查資源手冊
- ISO / IEC 27043:2015 —信息技術—安全技術—事件調查的原理和過程
- ISO / IEC 27041:2015 —信息技術—安全技術—確保事件調查方法的適用性和適當性的指南
- 事故和事故徵候調查(ISO 9001:2015,ISO 14001:2015和ISO 45001:2018)
參考
. DOJ民事調查和DOJ刑事調查有什麼區別?
. 法律證據
資料來源: Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
零信任是一種網絡安全範式,用於支持可見性的細粒度,動態和以數據為中心的訪問控制。
(訪問控制基於需要了解和最小特權的原則,通過身份驗證,授權和計費來中介資源的使用。)
零信任網絡安全範例
下圖總結了我對“零信任”的研究,該研究綜合了各種來源,例如Jericho論壇,DoD GIG / Black Core,Forrester的零信任網絡,Google的BeyondCorp,CSA的SDP和NIST SP 800-207。
零信任概念(Zero Trust Concepts)
. 以數據為中心的訪問控制
. 沒有固有的信任(信任是特權;它是獲得和給予的)
. 訪問前和連續驗證
. 細粒度的規則和動態策略
. 檢查,記錄,監視和可見性
零信任架構(Zero Trust Architecture)
. 主題和數據,服務,設備和基礎架構
. 控制平面和數據平面
. 政策執行點
. 策略決策點(策略管理員和策略引擎)
. 信任算法及其輸入(基於屬性和風險)
約翰·金德瓦格(John Kindervag)和零信任(Zero Trust)
約翰·金德瓦格(John Kindervag)在2010年創造了零信任(Zero Trust),以消除依賴周邊安全性的“信任”概念。他主張邊界安全性已被破壞並且不再足夠,並且將對網絡位置的盲目信任稱為“破壞性信任”。我相信“固有授權”是他的“零信任”網絡模型中“信任”的核心思想,並總結出他的“零信任”的主要思想如下:
不要依賴網絡位置(粗粒度的邊界),而要使用集成的分段網關(NGFW,下一代防火牆)將數據和相關資源(他稱為MCAP或微核和邊界)分組為較小的部分。
零信任神話(Zero Trust Myths)
他現在是Palo Alto Networks的現場CTO。該公司介紹了“零信任神話”:
- 零信任的目標是使系統可信。
- 這是複雜,昂貴且費時的。
- 零信任與身份有關。
- 您可以在第3層進行零信任。
除第一個神話外,我都同意,第一個神話將“信任”視為“固有授權”的同義詞。我們不會構建依賴於固有授權(即上面所謂的“信任”)的系統,但我寧願將信任定義為對安全性或信任度的信任。因此,我們確實希望消除固有的授權(盲目/破碎的信任),以使系統可信(安全和可信),即交付安全可靠的系統並提供保證。
參考
. NIST SP 800-207
. 約翰·金德瓦格
. 零信任的真相(Palo Alto)
. 將安全性構建到網絡的DNA中:零信任網絡架構(Forrester)
. 國防部全球信息網格(GIG)建築願景
. BeyondCorp –企業安全性的新方法(Google)
. 軟件定義的邊界(SDP)體系結構指南(CSA))
. 零信任架構和解決方案(Gartner)
資料來源:Wentz Wu 網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-主引導記錄(MBR)和引導扇區(來源:Syed Fahad)
. 該多態病毒沉思修改整個系統,這樣的散列值變化比較簽名來躲避殺毒軟件的檢測其代碼。通過加密其代碼,加密病毒是一種多態病毒。
. 在多方病毒感染不僅文件,而且主引導記錄(MBR)。
. 該隱形病毒通常攻擊的主引導記錄(MBR)或操作系統(OS)文件要引導儘早和主宰整個系統,包括操作系統,所以它不能被殺毒軟件檢測到。
. 該伴侶病毒使用相同的文件名,但與具有如果在一個命令行界面(CLI)未指定的文件擴展名被執行更高優先級的不同的文件擴展名。在DOS或舊的Windows系統上使用的一種舊技術是.com程序優先於.exe可執行文件。
資料來源: Wentz Wu QOTD-2021013
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
會話劫持經常通過XSS(跨站點腳本)或嗅探發生。這個問題主要集中在中間人的嗅探上。輸入驗證可防止攻擊者提交惡意代碼以通過XSS劫持用戶的會話。
. 使用TLS的端到端加密可保護郵件免受嗅探攻擊。它減少了中間人劫持會話的可能性。
. 如果會話cookie被盜並重播,則自動註銷將使會話cookie失效或使會話cookie無效,並減少影響。
. 較長且隨機的會話ID使得攻擊者更難以猜測或欺騙會話cookie,從而降低了可能性。
參考
. 什麼是會話劫持以及如何防止它?
. 會話劫持攻擊:了解和預防
資料來源: Wentz Wu QOTD-20210212
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
會話是Internet通訊的重要組成部分,大部分都是基於Web的。會話劫持是通過利用活動的Web會話進行的Web攻擊。會話是兩個計算機系統之間進行通信的時間段。Web服務器需要身份驗證,因為通過網站進行的每個用戶通信都使用多個TCP / IP通道。
身份驗證的一種常見形式始終是使用用戶名和密碼,它們通常是預定義的。身份驗證成功後,Web服務器將會話令牌發送給用戶,然後將其存儲在啟用會話的用戶計算機中。會話ID可以作為cookie存儲在HTTP標頭或URL中。
會話劫持如何工作?
當入侵者通過劫持或竊取用於在大多數網站上維護會話的HTTP cookie來利用受到威脅的活動會話時,就會發生會話劫持。另一種方法是通過預測活動會話,以在未經檢測的情況下獲得對遠程Web服務器中信息的未授權訪問,因為入侵者使用了特定用戶的憑據。會話令牌或HTTP標頭可以通過多種方式進行洩露和操縱,包括:
- 會話嗅探:當Web服務器和用戶之間存在未加密的通信,並且會話ID以純文本形式發送時,嗅探可用於劫持會話。因此,如果入侵者正在監視網絡,則他或她可以獲取會話ID,然後他們可以使用該會話ID自動向Web服務器進行身份驗證。在監視網絡時,可以使用符合道德規範的黑客工具(例如Wireshark和Kismet)從網絡捕獲敏感數據包(例如會話ID)。
- 跨站點腳本(XSS):OWASP將跨站點腳本命名為十大Web應用程序安全風險之一。服務器可能容易受到跨站點腳本攻擊的攻擊,從而使攻擊者能夠從用戶端執行惡意代碼,從而收集會話信息。攻擊者可以鎖定受害者的瀏覽器為目標,並發送腳本化的JavaScript鏈接,該鏈接在用戶打開後會在瀏覽器劫持會話中運行惡意代碼。
會話劫持對策
使用安全的HTTP或SSL在用戶瀏覽器和Web服務器之間進行端到端加密,以防止未經授權訪問會話ID。VPN也可以用於加密所有內容,而不僅僅是使用個人VPN解決方案工具對網絡服務器的流量進行加密。
Web服務器可以生成長而隨機的會話cookie,從而減少了對手猜測或預測會話cookie可能是什麼的機會。
會話ID監視器還可以用於監視是否正在使用這些ID,並且可以使用諸如Blacksheep之類的實用程序將偽造的會話ID發送到網絡並監視入侵者是否正在嘗試使用該會話ID。
如果會話終止使用,應該自動註銷,並且應該要求客戶端使用其他會話ID重新進行身份驗證。另外,可以指示服務器從客戶端計算機中刪除會話cookie,以最大程度地減少會話cookie在網絡中暴露的時間。
如何成為一名道德黑客
成為一名合格的道德黑客(CEH)當然不是一件容易的事。本課程將使您沉浸在Hacker Mindset中,以便您能夠防禦將來的攻擊。在完成“道德認證黑客”培訓後,您將已掃描,測試,黑客攻擊並保護了自己的網絡和系統。有了這些知識,您就可以使組織放心,因為他們知道當今最大和最嚴峻的網絡犯罪分子的網絡更加安全。
資料來源:https://blog.eccouncil.org/what-is-session-hijacking-and-how-to-prevent-it/
通過審核(查看日誌)來跟踪“誰做了什麼”來確定或確定責任制。記帳記錄“已完成的工作”,而身份驗證則標識並驗證“誰做了”。不管活動是否被授權,都應記錄或記錄該活動,如下圖/ OSG問題所示。
但是,懲罰措施是基於責任確認後的授權。授權的行為將不會受到懲罰,而未經授權的行為將受到懲罰。
-圖片來源:CISSP官方學習指南(OSG)在線測試銀行
定義不一致(Inconsistent Definitions)
此問題旨在促使AAA,身份驗證,授權和計費的定義保持一致。用“審計”或“問責制”代替“會計”的最後一個“ A”並不少見。我強烈建議使用“會計”,因為無法進行審計,並且如果不進行會計就無法得出問責制。我的帖子《另一個AAA》也談到了這個問題。
無論我們從字面上解釋它還是將其與NIST詞彙表或RFC等權威資料進行比較,官方學習指南(OSG)中對審計和會計的以下描述在邏輯上都是不合理的。
審核記錄與系統和主題相關的事件和活動的日誌記帳(也稱為問責制)審核日誌文件以檢查合規性和違規性,以使主題對其行為負責
斯圖爾特(James M.)查普,邁克;吉布森,達里爾。CISSP(ISC)2認證的信息系統安全專業人士官方學習指南(Kindle位置1737-1739)。威利。Kindle版。
會計(Accounting)
在財務會計中,“會計是記錄與業務有關的財務交易的過程。會計過程包括匯總,分析這些交易並將其報告給監督機構,監管機構和稅收實體。”(investopedia)
在IT中,記帳是“出於趨勢分析,審計,計費或成本分配目的而收集有關資源使用情況的信息的行為。” (RFC 3539)
簡而言之,會計跟踪活動並記錄日誌。審計跟踪是用於審計的相關日誌的集合,或“按時間順序的記錄,用於重建和檢查與安全相關的事務(從開始到最終結果)中圍繞或導致特定操作,過程或事件的活動順序。” (CNSSI 4009)
稽核(Auditing)
稽核是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (CNSSI 4009)
問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (CNSSI 4009)
驗證(Authorization)
驗證請求的身份的行為,它是來自相互已知的名稱空間的預先存在的標籤形式的消息,它是消息的始發者(消息身份驗證)或通道的端點(實體身份驗證)。(RFC 3539)
授權(Authorization)
確定特定權利(例如對某些資源的訪問權)是否可以授予特定憑證的提交者。(RFC 3539)
參考
. 基於風險的稽核
. 什麼是會計?
. RFC 3539:身份驗證,授權和會計(AAA)傳輸配置文件
. RFC 2866:RADIUS記帳
資料來源: Wentz Wu QOTD-20210211
訪問控制機制
通常通過三種機制來管理或控制訪問:身份驗證,授權和會計(AAA)。
. 身份驗證是“驗證用戶,進程或設備的身份的過程,通常將其作為允許訪問信息系統中的資源的先決條件”。(FIPS 200)
識別是主體聲明或聲稱具有身份以便身份驗證過程可以繼續進行的過程。
. 授權是“驗證請求的操作或服務是否已批准用於特定實體的過程。” (NIST SP 800-152)
. 會計是記錄主題和對象活動的條目或日誌的過程,就像保留財務會計日記帳一樣。
會計,審計和問責制(又是AAA)
日誌是會計的工作成果。可以通過查看或檢查(審核)一組相關日誌(審核記錄)以唯一地將活動跟踪到實體來實現問責制。
. 問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (NIST SP 800-33)
. 審計是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (NIST SP 800-12 Rev.1)
. 審核跟踪是“按時間順序的記錄,用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作,程序或事件的活動順序。” (NIST SP 800-53修訂版4)
定義不一致
我以與Sybex CISSP官方學習指南相反的方式對待會計和審計。它將審核定義為“記錄與系統和主題相關的事件和活動的日誌”,而將會計(也稱為問責制)定義為“查看日誌文件以檢查合規性和違規性,以使主體對其行為負責。”
資料來源: Wentz Wu 網站
-HTTP請求(來源:Chua Hock-Chuan)
測試人員在HTTP請求中操縱URL的查詢字符串是一個濫用案例,例如GET / customer / delete?country = all。甚至最終用戶也可以通過添加或修改瀏覽器地址欄中的URL和查詢參數來提交HTTP GET請求。在RESTful API流行之前,使用HTTP謂詞GET實現CRUD(創建,檢索,更新和刪除)數據操作並不罕見,該行為容易受到濫用/濫用攻擊。
誤用/濫用案例(Misuse/Abuse Case)
濫用案例可以定義為:
一種使用實現者不期望的功能的方法,允許攻擊者根據攻擊者的動作(或輸入)影響功能或使用功能的結果。
資料來源:OWASP
Synopsys定義了一個濫用案例,如下所示:
–濫用和濫用案例描述了用戶如何濫用或利用軟件功能控件的弱點來攻擊應用程序。
–當對業務功能的直接攻擊(可能帶來收入或提供積極的用戶體驗)受到攻擊時,這可能會導致切實的業務影響。
–濫用案例也可以成為提高安全性要求的有效方法,從而可以對這些關鍵業務用例提供適當的保護。
資料來源:OWASP
模糊測試(Fuzz Testing)
模糊測試用於通過提供隨機生成的測試數據來測試接受結構輸入的應用程序。我們沒有看到測試中使用了任何隨機數據。
壓力測試(Stress Testing)
壓力測試側重於性能和可伸縮性;網絡,CPU,內存的工作量逐漸增加,以一定程度的工作量和系統上限來觀察系統性能。測試中沒有關於性能和可伸縮性的任何提示。
綜合交易(Synthetic Transaction)
從嚴格意義上講,合成交易是一種主動的網站“監視”技術,通過在網絡瀏覽器中部署行為腳本來模擬真實客戶(或最終用戶)通過網站的路徑來完成。但是,合成交易對於高流量站點(例如電子商務)在發布之前進行測試至關重要。(monitis)
參考
. HTTP(超文本傳輸協議)基礎
. 代碼審查
. 模糊測試
. 回歸測試
. 什麼是綜合事務監控(誰需要它?…)
. 濫用案例備忘單
資料來源: Wentz Wu QOTD-20210209
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
費根檢查是一種依靠組檢查方法的正式檢查,即使它可以針對有限的一組預先確定的常見軟件錯誤自動進行。
- 模糊測試或模糊測試(Fuzzing or fuzz testing)是一種自動化的軟件測試技術,涉及將由模糊器生成的無效,意外或隨機數據作為輸入提供給計算機程序。然後監視程序是否存在異常,例如崩潰,內置代碼斷言失敗或潛在的內存洩漏。通常,模糊器用於測試採用結構化輸入的程序。(維基百科)
- 用戶界面測試(User interface testing)可以自動化。本文“ GUI測試工具的比較”中有詳細信息。
- 代碼檢查(Code review)(有時稱為對等檢查)是一種軟體質量保證活動,其中一個或幾個人主要通過查看和讀取程序的部分源代碼來檢查程序,他們在實施後或中斷實施時進行檢查。在靜態代碼分析中(static code analysis),主要檢查由自動化程序執行。(維基百科)
費根檢查(Fagan Inspection)
費根檢查是試圖在軟體開發過程的各個階段中發現文檔中的缺陷(例如源代碼或正式規範)的過程。它以邁克爾·法根(Michael Fagan)的名字命名,後者被認為是正式軟體檢查的發明者。
儘管已證明費根檢查方法非常有效,但已有多個研究人員提出了改進建議。例如,Genuchten一直在研究電子會議系統(EMS)的使用,以提高會議的效率並取得積極成果。
其他研究人員提出了使用軟體的功能,該軟件可以保留檢測到的錯誤的數據庫,並自動掃描程序代碼以查找這些常見錯誤。這又將導致生產率的提高。
資料來源:維基百科
參考
資料來源: Wentz Wu QOTD-20210208
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
系統工程(engineering)是發展系統作為解決方案(solution),以滿足利害關係人(stakeholder)之需求(requirement)的學問。系統(system)泛指為了達成特定目的而一起協調運作的元素總成。結構(structure)是指一個系統的組成元素以及這些元素之間的關係。結構可能是自然生成,也可以出自人為的精心設計。一個結構的主要元素及其關係若出自於人為精心設計則稱為架構(architecture)。所謂的設計(design)是指書面的解決方案。
發展系統作為一個滿足利害關係人需求的解決方案,必須先了解整體環境(contexts)並識別出利害關係人,並了解他們的需求,才能提出有效的解決方案。提出解決方案並予以文件化的過程就是設計的過程;設計過程產出的書面化的解決方案稱作設計。在【設計過程】必須考量安全性並提出相對應解決方案的原則叫作Security by desgin. 在【系統發展的生命週期】都必須考量安全性並提出相對應解決方案的原則叫作Security by default. 系統的組態都預設為安全級別,以便在系統部署時無須額外人力進行安全設定的原則稱為Security by deployment.
資料來源:https://wentzwu.medium.com/%E7%B3%BB%E7%B5%B1%E5%B7%A5%E7%A8%8B-engineering-dbde95255854
ps:經作者同意轉載
今天學到了一句英文用語: Microwave Mindset (微波爐心態)。
微波爐心態跟過去的”速食主義”的概念有點類似。意思是指一個人追求以最輕省、快速的方式來取得成果,就像是用微波爐加熱或準備餐點一樣簡單且快速。這個心態在當今強調”天下武功唯快不破”,以及”這世界唯一不變的就是改變”的VUCA年代,反而變成一個主流的思唯。
VUCA是volatility(易變性)、uncertainty(不確定性)、complexity(複雜性)、ambiguity(模糊性)的縮寫。
不過凡事都有它的物理規律。違反自然與規律,過度強調眼前利益而忽略長期綜效、只重速度與效率而不重效能(有效性)、只看結果而不守原則,最終得到的不一定是一個快樂的結果,取而代之的反而可能是我們人生中的遺憾與後悔。
學習是一個動態的歷程而不是一個靜態的里程碑。準備CISSP考試是一個學習的旅程而不是學習的終點,因此我們並不會因為達到通過考試的階段性目標(里程碑)而停止學習!更重要的是,準備CISSP考試需要時間(2至4個月),我們需要摒棄微波爐心態,一步一腳印的把WISE Model的觀念架構建立起來,按部就班的透過作題目、研讀、討論及分享把知識細節補足,以建構一個包含點、線、面的完整知識體系。當我們紮紮實實的經過這條資安天堂路的考驗,成就感與光榮感即會油然而生!
PS:經作者同意轉載