虛擬局域網擴展（Virtual Extensible LAN, VXLAN）是一種網路虛擬化技術，它試圖改善大雲計算部署相關的可擴展性問題。它採用類似VLAN封裝技術封裝基於MAC含括第 4 層的UDP封包的 OSI 第2層 乙太網影格 ，使用 4789 作為預設分配的 IANA 目的地 UDP 埠號。^[1]

VXLAN 是努力覆蓋封裝協定的演變，它提高了可擴展性達 1600 萬個邏輯網路，並允許透過IP網路鄰接第 2 層。使用 HER (Head-End Replication)的 多播 或 單播 是用來淹沒 BUM (broadcast, unknown destination address, multicast) 流量

VXLAN 規格一開始是由 VMware、Arista Networks 和 Cisco 建立的 ^[2][3]，其他的 VXLAN 技術擁護者包括Huawei、Broadcom、Citrix、Pica8、Cumulus Networks、Dell、Mellanox、^[4] OpenBSD、^[5] Red Hat^[6] 和 Juniper Networks。

VXLAN 正式由 IETF 記錄在 RFC 7348 內。Open vSwitch 支援VXLAN覆蓋網路。

VXLAN的作用

VXLAN可以為網路提供以下作用：

• 突破 VLAN的最多 4096 個終端的數量限制，以滿足大規模雲計算資料中心的需求。目前因為現在虛擬化技術的發展，在資料中心裏的伺服器都類比成虛擬機 (VM)，而且 VM 一般都會需要分割成組，達成二層隔離，目前大多是透過 VLAN 技術實現的。但 VLAN 技術的缺陷是 VLAN Header 預留的長度只有12 bit，最多只能支援4096個，無法滿足日益增長的需求。目前 VXLAN 的報文 Header 內有 24 bit，可以支援 2的24次方的 VNI 個數。(VXLAN中透過 VNI 來識別，相當於VLAN ID)
• 解決 STP在大型網路裝置頻寬浪費和收斂效能變慢的缺陷。在資料中心一旦啟動 STP，將導致鏈路頻寬的浪費。此外，當拓撲增加到二百台網路裝置時，收斂效能會顯變慢。
• 解決 ToR (Top of Rack) 交換機 MAC表耗盡問題。二層網路出現後，不僅要記錄資料中心二層裝置的 MAC 位址，還得記錄其他資料中心二層範圍內的位址，這包括了海量的虛擬機器的 MAC 位址，這增加了 TOR MAC表的需求。但目前的交換機晶片遠遠無法滿足此一需求。

資料來源：https://zh.wikipedia.org/wiki/%E8%99%9B%E6%93%AC%E5%B1%80%E5%9F%9F%E7%B6%B2%E6%93%B4%E5%B1%95

Basic concepts

One of the primary concepts in access control is to understand the subject and the object.

A subject may be a person, a process, or a technology component that either seeks access or controls the access. For example, an employee trying to access his business email account is a subject. Similarly, the system that verifies the credentials such as username and password is also termed as a subject.

An object can be a file, data, physical equipment, or premises which need controlled access. For example, the email stored in the mailbox is an object that a subject is trying to access.

Controlling access to an object by a subject is the core requirement of an access control process and its associated mechanisms. In a nutshell, a subject either seeks or controls access to an object.

基本概念
訪問控制的主要概念之一是理解主體和客體。主體可以是尋求訪問或控制訪問的人、過程或技術組件。例如，試圖訪問其企業電子郵件帳戶的員工就是一個主題。同樣，驗證用戶名和密碼等憑據的系統也稱為主體。對象可以是需要受控訪問的文件、數據、物理設備或場所。例如，存儲在郵箱中的電子郵件是主題試圖訪問的對象。控制主體對對象的訪問是訪問控製過程及其相關機制的核心要求。簡而言之，主體尋求或控制對客體的訪問。

An access control mechanism can be classified broadly into the following two types:

1. If access to an object is controlled based on certain contextual parameters, such as location, time, sequence of responses, access history, and so on, then it is known as a context-dependent access control. In this type of control, the value of the asset being accessed is not a primary consideration. Providing the username and password combination followed by a challenge and response mechanism such as CAPTCHA, filtering the access based on MAC adresses in wireless connections, or a firewall filtering the data based on packet analysis are all examples of context-dependent access control mechanisms.Completely Automated Public Turing test to tell Computers and Humans Apart (CAPTCHA) is a challenge-response test to ensure that the input to an access control system is supplied by humans and not by machines. This mechanism is predominantly used by web sites to prevent Web Robots(WebBots) to access the controlled section of the web site by brute force methods

訪問控制機制可以大致分為以下兩種類型：
如果對對象的訪問是基於某些上下文參數（例如位置、時間、響應順序、訪問歷史等）來控制的，那麼它被稱為上下文相關的訪問控制。在這種類型的控制中，被訪問資產的價值不是主要考慮因素。提供用戶名和密碼組合，然後是驗證碼等質詢和響應機制，根據無線連接中的 MAC 地址過濾訪問，或基於數據包分析過濾數據的防火牆都是上下文相關訪問控制機制的示例。完全自動化的公共圖靈測試來區分計算機和人類 (CAPTCHA) 是一種挑戰-響應測試，以確保訪問控制系統的輸入由人類而非機器提供。該機制主要由網站使用，以防止網絡機器人（WebBots）通過蠻力方法訪問網站的受控部分

2.If the access is provided based on the attributes or content of an object,then it is known as a content-dependent access control. In this type of control, the value and attributes of the content that is being accessed determines the control requirements. For example, hiding or showing menus in an application, views in databases, and access to confidential information are all content-dependent.

如果訪問是基於對象的屬性或內容提供的，則稱為內容相關訪問控制。在這種類型的控制中，被訪問的內容的值和屬性決定了控制要求。例如，隱藏或顯示應用程序中的菜單、數據庫中的視圖以及對機密信息的訪問都取決於內容。

資料來源：https://hub.packtpub.com/cissp-security-measures-access-control/

資料庫的資料給不給看, 或給多少資料看, 都是一種存取控制. Context這個字, 可以解釋成subject及object以外的東西, 都是context. (ABAC以屬性為基礎的存取控制就是這樣的觀點, 依subject, object, 及context/environment的屬性來授權).
除了控制資料要揭露多少以外(content-dependent), 也可以由環境來控制(存取的時間, 位置等).

-圖片來源：TelecomWorld 101
ISO OSI 參考模型的數據鏈路層從 IEEE 的角度可以分為兩個子層：邏輯鏈路控制（LLC）和媒體訪問控制（MAC）。

邏輯鏈路控制 (LLC)
LLC處理以下問題：
. 流量控制：例如，滑動窗口
. 錯誤控制
. 錯誤檢測：例如，循環冗餘校驗 (CRC)
. 糾錯：例如，重傳

媒體訪問控制 (MAC)
以下是三種眾所周知的媒體訪問機制：
. 令牌傳遞
. CSMA/CD
. CSMA/SA

參考
. IEEE802.2 – 邏輯鏈路控制層 (LLC)
. 數據鏈路層的錯誤檢測和糾正
. 數據鏈路層的流量控制

資料來源： Wentz Wu QOTD-20210404

一次性密碼(one-time pad)和一次性密碼(one-time passoword )的首字母縮寫詞都是 OTP。然而，它們是不同的，根本沒有關係。一次性密碼是一種對稱密碼，需要一個隨機密鑰，而一次性密碼是動態生成的密碼，僅對一個且僅特定的登錄會話有效。
. RSA 數字簽名算法生成強制不可否認性的數字簽名。
. 基於時間的一次性密碼 (Time-based One-Time Password :TOTP) 是一種一次性密碼，它依賴於時間作為生成算法的輸入參數之一。
. 基於散列的消息認證碼 (Hash-based Message Authentication Codes :HMAC) 依靠散列函數和共享密鑰來計算消息認證碼以驗證真實性。

參考
. 一次性密碼 (one-time pad :OTP)
. 一次性密碼(one-time passoword)

資料來源： Wentz Wu QOTD-20210403

強制存取控制是訪問控制策略或要求；這不是一個正式的模型。相反，它可以通過正式模型來實現。模型是一個詳細描述或實體的縮放表示; 一個正式的模型是應用數學為基礎的符號和語言制定了嚴格的模型。
. **有限狀態機(Finite state machine)**是一種常見的形式模型。
. **信息流模型(information flow model)**並不是真正的模型，而是泛指能夠控制信息流的形式模型。無干擾模型(non-interference model)也是如此。但是，大多數學習指南將它們視為“模型”。這個問題遵循這個觀點。
EAL 7 產品意味著它以正式設計為後盾。

-通用標準 EAL

參考
. 模型
. 形式方法
. 可信計算機系統評估標準
. 貝爾-拉帕杜拉模型
. 認證產品清單 – 統計

資料來源： Wentz Wu QOTD-20210402

-進程的記憶體佈局
**緩衝區（Buffer）**是指用於存儲特定大小數據的一段內存。如果數據大小大於緩衝區大小，它就會溢出。它通常會導致異常受特權提升或返回到堆棧中的代碼地址。如果正確安排輸入驗證和異常處理程序，可以有效地緩解緩衝區溢出。
**記憶體洩漏（Memory leak）**是一個常見的應用程序問題。應用程序或進程在由操作系統加載和啟動時被分配了有限的記憶體大小，也就是堆。該進程可能會請求記憶體段，但不會將它們返回給操作系統。可用內存最終用完了。性能越來越差，可能會導致進程崩潰。現代運行時框架，例如 .NET、JVM，提供垃圾收集或引用計數器來解決這個問題。

資料來源： Wentz Wu 網站

摘要

“At your disposal”原來不是任你處置？Disposable income 跟丟棄又有什麼關係？這篇整理了常見幾個Dispose衍生用字與用法，像是「謀事在人，成事在天」也跟Dispose有關係！

James 的部門來了新的外籍同事，在交付工作事項之後，外籍同事對他說：“I am at your disposal.”

James 嚇了一跳，disposal 不是抛棄嗎？自己一直很和善，並沒有要抛棄這位新同事啊！

原來這是句禮貌話，和抛棄完全無關。

I am at your disposal.

（Ｘ）我任你棄置。

（Ｏ）我很樂意提供任何協助。

這麼說就好像是說：“Just let me know if you need my help.” 只是更正式一些。

在解釋 at your disposal 前，先看看 dispose 這個字。

Dispose

Dispose 是 dis 和 pose 兩個字的組合。【dis →分離 + pose→位置】，讓一個東西離開它本來位置的意思。

它有解決掉、佈置，進一步延伸就是「使人傾向於做某件事」…的意思。來看幾個例句：

I want to dispose of these old books. 我想處理掉這些舊書。（很容易漏掉of）

Man proposes, God disposes. 謀事在人，成事在天。

The good pay disposed him to take the job. 高薪促使他接受了這份工作。

Disposable income

Dispose 的形容詞 disposable，最常見的用法是「可丟棄的」，像免洗筷，就是 disposable chopsticks。但不要以為disposable income 是可丟棄的收入，那就搞不清這是什麼意思。這裡的 disposable 意思是「可任意處理的」。

（Ｘ）可丟棄的收入

（Ｏ）可支配的收入

Disposal

Disposal 是清除、處理、抛棄。所以廢棄物處理叫做 garbage disposal。

The sanitation department is in charge of garbage disposal. 環境衛生部門負責處理垃圾。

前面提過 dispose 也是佈置，它的名詞 disposal 也一樣，可以當「佈置」。

They spent quite some time on the disposal of furniture in their new restaurant. 他們在新餐廳的傢俱佈置上花了相當多的時間。

Disposal還可以延伸為「處置權」，at someone’s disposal 就是用這層意思。

用法大家可能不熟悉，來多看幾個例句：

A huge supply of books is at your disposal in the library. 圖書館裡有大量的圖書任你學習使用。

I don’t have a car at my disposal. 我剛好沒有可用的車。

資料來源：https://www.businessweekly.com.tw/careers/blog/3003725

“格是在有序理論和抽象代數的數學子學科中研究的抽象結構。它由一個偏序集合組成，其中每兩個元素都有一個唯一的上界（也稱為最小上界或連接）和唯一的下界（也稱為最大下界或相遇）。” （維基百科）
安全格通常用於控制安全級別/類別或隔間之間的信息流。分類和標記是基於格的訪問控制的兩個主要特徵。
基於晶格的訪問控制(Lattice-based Access Control)
Ravi S. Sandhu 在這篇名為 Lattice-Based Access Control Models 的論文中回顧了三種基於格的訪問控制模型（Bell-LaPadula、Biba 和 Chinese Wall），該論文展示瞭如何在格框架中執行 Chinese Wall 策略，並表示：
開發了基於晶格的訪問控制模型來處理計算機系統中的信息流。信息流顯然是保密的核心。正如我們將看到的，它在某種程度上也適用於完整性。它與可用性的關係充其量是微不足道的。因此，這些模型主要關注機密性並且可以處理完整性的某些方面。

貝爾-拉帕杜拉模型(Bell-LaPadula Model)

-貝爾-拉帕杜拉模型

比巴模型(Biba Model)

-比巴模型

布魯爾和納什模型(Brewer and Nash model)
Brewer 和 Nash 模型將數據集分類為利益衝突類並標記它們以根據主體的訪問歷史（也稱為基於歷史）動態應用訪問控制。

-布魯爾和納什模型（中國牆）

克拉克-威爾遜模型(Clark-Wilson Model)
Clark-Wilson 模型有兩個特點：格式良好的交易和職責分離。它依靠“程序”來強制執行完整性，而不是為了保密而控制信息流。
David D. Clark 和 David R. Wilson 在他們的論文《商業和軍事計算機安全政策的比較》中說：
本文提出了一種基於商業數據處理實踐的數據完整性策略，並將該策略所需的機制與強制執行信息安全點陣模型所需的機制進行了比較。我們認為格模型
不足以表徵完整性策略，需要不同的機制來控制披露和提供完整性……
首先，通過這些完整性控制，數據項不一定與特定的安全級別相關聯，而是與一組允許對其進行操作的程序相關聯。其次，用戶沒有被授予讀取或寫入某些數據項的權限，但可以對某些數據項執行某些程序……

-Clark-Wilson 誠信模型（圖片來源：Ronald Paans）
參考
. 可信計算機系統評估標準
. 貝爾-拉帕杜拉模型

資料來源： Wentz Wu QOTD-20210401

點對點隧道協定（英語：Point to Point Tunneling Protocol，縮寫為PPTP）是實現虛擬私人網路（VPN）的方式之一。PPTP使用傳輸控制協定（TCP）建立控制通道來傳送控制命令，以及利用通用路由封裝（GRE）通道來封裝對等協定（PPP）封包以傳送資料。這個協定最早由微軟等廠商主導開發，但因為它的加密方式容易被破解，微軟已經不再建議使用這個協定。

PPTP的協定規範本身並未描述加密或身分驗證的部份，它依靠對等協定（PPP）來實現這些安全性功能。因為PPTP協定內建在微軟Windows家族的各個產品中，在微軟對等協定（PPP）協定堆棧中，提供了各種標準的身分驗證與加密機制來支援PPTP ^[1]。 在微軟視窗系統中，它可以搭配PAP、CHAP、MS-CHAP v1/v2或EAP來進行身分驗證。通常也可以搭配微軟點對點加密（MPPE）或IPSec的加密機制來提高安全性^[2]。

在Windows或Mac OS平台之外，Linux與FreeBSD等平台也提供開放原始碼的版本。

資料來源：https://zh.wikipedia.org/wiki/%E9%BB%9E%E5%B0%8D%E9%BB%9E%E9%9A%A7%E9%81%93%E5%8D%94%E8%AD%B0

第二層隧道協定（英語：Layer Two Tunneling Protocol，縮寫為L2TP）是一種虛擬隧道協定，通常用於虛擬私人網路。L2TP協定自身不提供加密與可靠性驗證的功能，可以和安全協定搭配使用，從而實現資料的加密傳輸。經常與L2TP協定搭配的加密協定是IPsec，當這兩個協定搭配使用時，通常合稱L2TP/IPsec。

L2TP支援包括IP、ATM、影格中繼、X.25在內的多種網路。在IP網路中，L2TP協定使用註冊埠UDP 1701。^[1]因此，在某種意義上，儘管L2TP協定的確是一個資料鏈路層協定，但在IP網路中，它又的確是一個對談層協定。

資料來源：https://zh.wikipedia.org/wiki/%E7%AC%AC%E4%BA%8C%E5%B1%82%E9%9A%A7%E9%81%93%E5%8D%8F%E8%AE%AE

域名金鑰辨識郵件（DomainKeys Identified Mail，DKIM）是一套電子郵件認證機制，使用公開金鑰加密的基礎提供了數位簽章與身分驗證的功能，以檢測寄件者、主旨、內文、附件等部份有否被偽冒或竄改。

一般來說，發送方會在電子郵件的標頭插入DKIM-Signature及電子簽名資訊。而接收方則透過DNS查詢得到公開金鑰後進行驗證。

優點

DKIM的主要優點是可以讓寄件者有效地表明身分，讓收件者可憑藉公鑰確認寄件者並非偽冒、內文未經竄改，提高電子郵件的可信度。郵件過濾器可使用白名單及黑名單機制更可靠地檢測網路釣魚或垃圾電子郵件。

資料來源：https://zh.wikipedia.org/wiki/%E5%9F%9F%E5%90%8D%E5%AF%86%E9%92%A5%E8%AF%86%E5%88%AB%E9%82%AE%E4%BB%B6

單元測試(Unit Testing)
單元測試既是一種測試工具，也是一種開發工具。現代軟件開發人員通常在完成功能代碼之前開發單元測試，也就是測試驅動開發 (TDD) 方法。換句話說，每個軟件功能都帶有一組單元測試，以確保其正常運行。

-示例單元測試

整合測試(Integration Testing)
如今，軟件開發人員正在本地代碼存儲庫所在的桌上型電腦或筆記本電腦上編寫代碼。他們首先將代碼“提交”或“簽入”到本地代碼存儲庫中。如果本地代碼構建和測試沒有問題，它們將被推送到遠程中央代碼存儲庫進行集成。持續集成 (CI) 意味著一旦滿足 CI 標準，遠程服務器就會自動啟動服務器構建，例如，每當簽入新代碼或定期開始構建（例如，每晚構建）。如果服務器構建成功，它會自動開始（集成）測試。單元測試和 UI 測試可以在沒有用戶干預的情況下完成，例如，使用 Selenium 來支持自動化的端到端 (e2e) Web UI 測試。

回歸測試(Regression Testing)
如果服務器構建失敗，遠程代碼存儲庫的中央服務器將通知開發人員錯誤。開發人員製造錯誤或破壞構建必須修復它們並重複該過程直到沒有錯誤發生。這是一個回歸測試的過程。

參考
. 回歸測試
. 回歸測試和整合測試有什麼區別？
. 單元測試？整合測試？回歸測試？驗收測試？
. 代碼庫的安全性

資料來源： Wentz Wu QOTD-20210330

顆粒可視為測量單元。當我們說我們的軟體被測試了50%，或者測試覆蓋率是50%，這到底是什麼意思，因為軟體有10個用例，50個場景，500個測試案例，10，000行代碼，或者200，000個表達式？50% 的測試覆蓋率可能指 5 個使用案例（十分之一）測試，但 5 個測試使用案例涵蓋 10 種情況、30 個測試案例、8，000 行和 120，000 個表達式。

使用案例從使用者（參與者）的角度記錄功能要求，通常包括主要的成功場景（又名基本或陽光日流量）和擴展場景（又名擴展、特殊、替代或雨天流）（如果有）。

-從用例序列生成測試用例（圖片來源：MJ Escalona）

可根據使用案例場景開發測試方案，並由一個或多個測試案例支援。測試案例涵蓋一個或多個通常跨越原始程式碼行的軟體功能。

一行代碼可以容納一個或多個計算機語言表達式和語句。例如，下圖中的第一行有兩個語句。

-表達式和語句

參考
. 用例目標、場景和流程
. 源代碼行
. 第5章–決策結構
. 為什麼測試覆蓋率是軟件測試的重要組成部分？
. 代碼覆蓋率
. 代碼覆蓋率分析
. 表達式與語句
. 表達式與語句（視頻）

資料來源： Wentz Wu QOTD-20210329

資訊安全是透過安全管制措施來保護資訊資產免於受到危害，以達到機密性、完整性和可用性(即常聽到的CIA)之目標（第3層），進而支持業務流程（第2層）、創造和交付價值，實現組織的使命與願景（第1層）的一門學科.
資料來源：The Effective CISSP: Security and Risk Management

風險是“影響目標達成的不確定因素”。在資訊安全的背景下，威脅是任何可能對目標帶來負面影響的風險，通常涉及威脅來源發起一個或多個威脅事件，以利用漏洞並導致不利的影響。

漏洞(Vulnerability)“包括可以被威脅所利用的一個或一組資產的弱點(weakness)”（ISO / IEC 21827），或是“可以被威脅利用或觸發的IT系統安全上的弱點。” (ISO/TR 22100-4)

• 弱點是一種“不足”。(ISO 81001-1)
• 資產是有價值且值得保護的東西。
• 保護是指努力防止目標偏離。保護意味著在風險管理中進行風險處置或在資訊安全的場合中實施安全控制（又名安全措施）。
• 保護人的生命永遠是當務之急。
  

資訊系統，又常被稱為IT系統，是一組離散的收集組織的資訊資源，加工，維修，使用，共享，傳播或資訊的處置。在本出版物的上下文中，該定義包括資訊系統運行的環境（即人員、流程、技術、設施和網絡空間）。(NIST SP 800-39)

CISSP是一位被ISC2所認證的專家，很了解如何保護資訊系統。

Wentz 的著作The Effective CISSP: Security and Risk Management幫助 CISSP 和 CISM 有志者建立了一個可靠的概念安全模型。它是資訊安全教程和 CISSP 和 CISM 考試官方學習指南的補充，也是安全專業人員的資訊參考。

參考

• ISO/IEC 21827:2008
• ISO/TR 22100-4:2018
• ISO 81001-1:2021

原始來源: Information Security 101

密鑰分發是將加密密鑰從一方發送到另一方的過程。對稱和非對稱密碼術都面臨著密鑰分發的挑戰。這個問題詢問對稱密碼學中的共享密鑰分發。
. 由信任網絡或 X.509公鑰基礎設施(PKI)管理的證書中的收件人公鑰通常用於加密預先確定的而非協商或商定的共享密鑰。證書和基礎設施管理是主要開銷。
. Diffie-Hellman 是一種基於公鑰的協議，支持密鑰協商（生成並同意共享密鑰），而無需證書管理的開銷。

秘鑰的分配
密鑰可以由一方預先確定並發送給另一方，也可以由雙方協商和商定。作者將前者預先確定的方式稱為“密鑰交換”，將後者約定的方式稱為“密鑰協商”。然而，人們將“密鑰交換”稱為涵蓋這兩種方法的總稱並不少見。
. 密鑰交換：一方生成密鑰並發送給另一方；對方不影響密鑰。例如，公鑰加密。
. 密鑰協商：雙方都可以就密鑰達成一致，從而影響結果。例如，迪菲-赫爾曼。

-對稱密碼學中的密鑰分配

公鑰的分配
非對稱密碼學中使用的公鑰的分發可以通過以下一般方案來實現：
. 公示（信任網）
. 公開目錄
. 公鑰權限
. 公鑰證書（信任鏈）

Diffie-Hellman 協議

https://www.youtube.com/embed/QPD3IgCUkVY

參考
. NIST 密碼標準和指南
. Diffie Hellman 組 (IBM)
. 公鑰分發
. Diffie-Hellman 協議
. Diffie-Hellman (輝煌)
. Diffie-Hellman 密鑰交換的代數推廣
. Diffie Hellman – 數學位 – Computerphile
. Diffie-Hellman 密鑰交換的數學 | 無限系列
. 此視頻未使用 RSA 加密 | 無限系列
. 如何破解密碼學。無限系列
. 您是否需要特殊類型的證書才能使用 Diffie Hellman 作為 SSL 中的密鑰交換協議？

資料來源： Wentz Wu QOTD-20210328

產品壽命結束（英語：End-of-life，縮寫EOL）是一個用於提供給用戶產品的術語，表示該產品的生命周期結束，供應商計劃停止市場行銷、銷售等，產品服務也可能隨之受限甚至終止。供應商可能會用像產品銷售結束（end-of-sale）等更明確的詞語。一般在供應商產品壽命結束前會發出產品壽命結束公告，之後的一段時間為最後訂購日期，最多可到90天。

資料來源：https://zh.wikipedia.org/wiki/%E7%94%A2%E5%93%81%E5%A3%BD%E5%91%BD%E7%B5%90%E6%9D%9F

冷站點沒有適當的計算機設備，因此它不提供異地數據存儲、保留替代計算能力或響應電子發現請求。
冷站點是替代或備份站點的最便宜的形式。與暖站點或熱站點相比，恢復計算機設施和恢復業務運營需要更多時間。但是，一般來說，冷站點確實縮短了搬遷時間。例如，它可以節省尋找合適地點、進行現場調查（例如，通過環境設計預防犯罪）、與房東談判合同以及準備活動地板、空調、電力和通信線路等基本設施的時間， 等等。

替代網站(Alternative Sites)
“一般來說，備用站點是指人員和他們需要工作的設備在一段時間內重新安置的站點，直到正常的生產環境，無論是重建還是更換，都可用。” （維基百科）
冷站點(Cold site)：具有計算機設施必需的電氣和物理組件但沒有計算機設備的備用設施。該站點已準備好在用戶必須從其主要計算位置移動到備用站點的情況下接收必要的替換計算機設備。
暖站點(Warm site:)：一個環境條件良好的工作空間，部分配備信息系統和電信設備，以在發生重大中斷時支持搬遷操作。
熱站點(Hot site)：配備硬件和軟件的全面運行的異地數據處理設施，可在信息系統中斷時使用。
資料來源：NIST SP 800-34 修訂版 1

電子發現(E-discovery)
電子取證（也稱為電子取證或電子取證）是指在訴訟、政府調查或信息自由法請求等法律程序中的取證，其中所尋求的信息採用電子格式（通常稱為電子存儲信息或 ESI）。
資料來源：[維基百科]

參考
. 數據保管
. 什麼是數據保險箱？- 所有你必須知道的
. 數據保險庫基礎知識
. 服務局
. 按需計算：服務局的重生
. 電子發現
. 備份站點

資料來源： Wentz Wu QOTD-20210327

-NIST SP 800-160 V1 和 ISO 15288

工程（Engineering）
. 工程 是一種涉及開發解決方案的一組流程的方法，該解決方案可以是系統、軟件或任何可交付成果，從利益相關者的需求轉換而來，並在解決方案的整個生命週期中提供支持。（精簡版）
. 工程 是一種方法，它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案，以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。（長版）
. 系統和軟件工程 是將系統或軟件作為解決方案交付的工程方法。

系統工程（Systems Engineering）
系統工程 是一種跨學科的方法和手段，可以實現成功的系統。
– 它側重於在開發週期的早期定義利益相關者的需求和所需的功能，記錄需求，然後在考慮完整問題的同時進行設計綜合和系統驗證。
– 將所有學科和專業組整合到一個團隊中，形成從概念到生產再到運營的結構化開發流程.
– 它考慮了 所有利益相關者的業務和技術需求，目標是提供 滿足用戶和其他適用利益相關者需求的優質產品。這個 生命週期跨越了想法的概念 ，直到系統的退役 。– 它提供了獲取和供應系統的流程 。– 它有助於改善創建、利用和管理現代系統的各方之間的溝通與合作，以便他們能夠以集成、連貫的方式工作。
來源： ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程

-SDLC：系統還是軟件？

生命週期(Life Cycle)
每個人都有自己的生活，系統或軟件也是如此。系統或軟件的生命週期不同。系統或軟件生命週期通常包括從開始到工程退役的跨階段（或階段）進行的一系列過程（也稱為生命週期過程）。
系統或軟件開發生命週期 (SDLC) 中的“開發”一詞具有誤導性，因為它暗示“構建”、“製作”、“構建”或“實施”某物。然而，如今一個組織在沒有任何採購或收購的情況下單獨“發展”是不可能的。採購意味著從供應商那裡購買東西，而從更廣泛的意義上講，收購是指從任何一方付費或免費獲取任何東西。

階段(Stages)
生命週期的階段各不相同。組織傾向於根據工程方法定制生命週期階段，並可能在項目中迭代生命週期。ISO/IEC 15288 提出了生命週期過程，但 沒有規定 係統生命週期 (SLC) 的六個階段。

流程(Processes)
跨生命週期執行的流程不時變化，這種情況並不少見。但是，修訂後的 ISO/IEC/IEEE 15288:2015 和 ISO/IEC/IEEE 12207:2017 旨在實現系統和軟件生命週期過程的完全協調視圖。
一個過程通常以不同的程度在整個生命週期中進行。驗證和確認是在眾所周知的“測試”或“測試”(“testing” or “test”)階段進行的主要過程。然而，需求、設計、工作產品、可交付成果、最終產品等，可以而且應該在不同階段進行驗證和確認。

-Rational Unified Process 的 4 個階段和 9 個學科（圖片來源：Humberto Cervantes）

參考
. ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程
. ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程
. ISO/IEC 15288
. 什麼是工程？
. 安全架構與工程
. CISSP 實踐問題 – 20210514
. 墨西哥某小型IT企業網絡管理應用開發經驗報告

資料來源： Wentz Wu 網站

最長可容忍停機時間或 MTD 指定了在組織的生存面臨風險之前給定業務流程可能無法運行的最長時間。”
資料來源：BCM 研究所
最大可容忍停機時間 (MTD) 是對信息系統和其他資源支持的關鍵業務流程的約束。換句話說，MTD 對一個或多個信息系統施加約束，如下圖所示。

-業務影響分析 (NIST)

最大可容忍停機時間 (MTD) 是推動目標設定的業務限製或要求。服務交付目標 (SDO)、恢復點目標 (RPO) 和恢復時間目標 (RTO) 是目標，因為術語“目標”明確表示字面意思。有關詳細信息，請參閱這篇文章，常見 BIA 術語。

-MTD、RTP 和 RPO

參考
. 常見的 BIA 術語
. CISSP 實踐問題 – 20200406
. CISSP 實踐問題 – 20201217
. CISSP 實踐問題 – 20200407
. CISSP 實踐問題 – 20210215
. CISSP 實踐問題 – 20210116

資料來源： Wentz Wu QOTD-20210326

-測試類型
. 靜態測試是一種測試，其中被測軟件 (software under test:SUT) 作為源代碼或二進制代碼不加載到內存中執行。靜態二進制代碼掃描器、源代碼安全分析器、手動源代碼分析（例如代碼審查）等，都是靜態測試的常用工具。可以通過靜態測試識別維護掛鉤和活板門。
. 被動測試是指測試人員不直接與 SUT 交互的測試。
. 黑盒測試意味著測試一無所知SUT。
. 集成測試強調將單個單元或模塊組合為 SUT。

參考
. 測試
. 測試線束
. 測試自動化
. 集成測試
. 主動測試和被動測試的區別

資料來源： Wentz Wu QOTD-20210324

-圖片來源：CSA

在雲安全聯盟（CSA）劃分安全，信任和保證註冊（STAR）計劃分為三個層次：

1. CSA STAR 1 級：自我評估
2. CSA STAR 2 級：第三方認證
   . CSA STAR Attestation是 CSA 和 AICPA 之間的一項合作，旨在為 CPA 提供指南，以使用 AICPA
   （信任服務原則，AT 101）和 CSA 雲控制矩陣中的標准進行 SOC 2 參與。
   . 該CSA STAR認證是一種安全的嚴格的第三方獨立評估雲服務提供商。
3. CSA STAR 3 級：全雲保障和透明度
   雲安全聯盟是一個非營利組織，其使命是“促進最佳實踐的使用以在雲計算中提供安全保證，並提供有關雲計算使用的教育，以幫助保護所有其他形式的計算。”
   CSA 的安全、信任和保證註冊計劃 (CSA STAR) 旨在通過自我評估、第三方審計和持續監控的三步計劃幫助客戶評估和選擇雲服務提供商。
   資料來源：谷歌

系統和組織控制 (System and Organization Controls:SOC)
根據 AICPA，“系統和組織控制 (SOC) 是 CPA 可能提供的一套服務產品，與服務組織的系統級控製或其他組織的實體級控制有關。” (AICPA)
SOC 3 指的是“服務組織的系統和組織控制 (SOC)：一般使用報告的信任服務標準”。SOC 3 報告旨在滿足用戶的需求，這些用戶需要對服務組織中與安全性、可用性、處理完整性機密性或隱私相關的控制措施進行保證，但不具備有效利用SOC 2® 報告。因為它們是通用報告，所以可以免費分發 SOC 3® 報告。（美國註冊會計師協會：SOC3）

-服務組織控制 (SOC)

ISO/IEC 27001:2013
“ISO/IEC 27001:2013 規定了在組織範圍內建立、實施、維護和持續改進信息安全管理體系的要求。它還包括根據組織的需要對信息安全風險進行評估和處理的要求。ISO/IEC 27001:2013 中規定的要求是通用的，旨在適用於所有組織，無論其類型、規模或性質如何。” ( ISO )

-ISMS 和 PIMS

自我評估和 NIST CSF（Self-assessment and NIST CSF）
基於自我評估的自我聲明似乎很愚蠢。但是，它是一種合法手段，並且確實提供了一定程度或低程度的保證。而且，這是一種普遍的做法。NIST網絡安全框架 (CSF)是一個自願性框架，由總統行政命令 (EO) 13636 於 2013 年 2 月發起，改進關鍵基礎設施網絡安全。到目前為止，還沒有評估 NIST CSF 合規性的認證計劃，因此使用它是合理的自我評估和自我聲明。

-保證、證明和審計（圖片來源：CheggStudy）

什麼是保證？（What is Assurance?）
對於安全工程，“保證”被定義為系統安全需求得到滿足的置信度。…通過審查通過開發、部署和操作期間的評估過程和活動以及通過使用 IT 系統獲得的經驗獲得的保證證據，可以實現信心。任何可以通過產生證明 IT 系統屬性的正確性、有效性和質量的證據來減少不確定性的活動，都有助於確定安全保證。
資料來源：哈里斯·哈米多維奇

保證服務（Assurance Services）
國際會計師聯合會 (IFAC) 對鑑證業務的定義：
從業者旨在獲得充分、適當的證據
以表達旨在提高除責任方以外的預期用戶對主題信息的信心程度的一種參與。

保證方法（Asurance Methods）
保證方法根據其技術和生命週期重點產生特定類型的保證。針對給定焦點的一些更廣為人知的保證方法包括：
ISO/IEC 21827——保證專注於質量和開發過程
開發者的血統——保證專注於品牌；認識到一個公司生產的優質交付（基於歷史關係或數據）
保證專注於保險，以製造商承諾糾正可交付成果
供應商聲明中的缺陷為支持——保證專注於自我聲明
專業認證和許可——保證專注於人員的專業知識和知識
ISO / T18905.1-2002信息技術軟件產品評價第1部分：總體概述為保證，注重交付的直接評估
ISO / IEC27001——保障重點安全管理

資料來源：哈里斯·哈米多維奇

參考
. CSA STAR 級別
. 安全、信任和保證註冊 (STAR)
. CSA STAR 認證
. 雲安全聯盟 (CSA) STAR 認證
. CSA之星
. 誰可以執行 SOC 2 審核？
. IT安全保障的基本概念
. 了解認證、鑑證和審計在註冊會計師行業中的含義
. 什麼是保證和證明第一部分
. 審計和保證

資料來源： Wentz Wu QOTD-20210324

“從概念上講，大多數人在日常生活中都採用了某種形式的威脅建模，甚至沒有意識到這一點。” （維基百科）勒索軟件攻擊的發生並不是因為該公司沒有進行威脅建模。相反，公司必須改進威脅建模過程。
此外，由於相關公司已經完成了調查，這意味著威脅建模已經到位並且正在進行中。勒索軟件攻擊已被識別、分析和確認。現在是評估消除問題的特定解決方案或減輕風險的對策的時候了。因此，無需提出將威脅建模作為主動性或解決方案的建議。
在這個問題中，攻擊者無需用戶交互即可在網絡中四處移動。結果，技術安全控制比諸如意識培訓的行政管理更有效。

細粒度與粗粒度訪問控制(Fine-Grained vs. Coarse-Grained Access Control)
訪問控制可能不是防止勒索軟件攻擊再次發生的最終解決方案。但是，它是四個選項中最好的。
. 自主訪問控制 (DAC) 是一種粗粒度的訪問控制機制，而基於風險的訪問控制（基於標准或基於分數）是一種細粒度的訪問控制，通常依賴於基於屬性的訪問控制 (ABAC)。
. 基於風險的訪問控制是“零信任”的核心要素，可以有效緩解橫向移動和數據洩露。

-細粒度、動態和可見性

勒索軟件（Ransomware）
勒索軟件可以像需要用戶交互的病毒（特洛伊木馬）一樣被動運行，也可以像蠕蟲一樣主動傳播，無需用戶交互即可感染其他計算機（WannaCry）。
勒索軟件是一種來自密碼病毒學的惡意軟件，除非支付了贖金，否則就威脅要發布受害者的數據或永久阻止對其的訪問。”
勒索軟件攻擊通常是使用偽裝成合法文件的特洛伊木馬進行的，當它作為電子郵件附件到達時，用戶會被誘騙下載或打開。然而，一個引人注目的例子是 WannaCry 蠕蟲，它在沒有用戶交互的情況下自動在計算機之間傳播。
資料來源：維基百科

威脅建模（Threat Modeling）
本節介紹具體的定義和眾所周知的威脅建模方法。
. “威脅建模是一種風險評估形式，它對特定邏輯實體的攻擊和防禦方面進行建模，例如一段數據、一個應用程序、一個主機、一個系統或一個環境。” （NIST SP 800-154，草案）
. 在系統和軟件工程中，威脅建模是一種“系統的探索技術，以暴露任何可能以破壞、披露、修改數據或拒絕服務的形式對系統造成損害的情況或事件。” (ISO 24765:2017)
. 威脅建模是捕獲、組織和分析影響應用程序安全性的所有信息的過程。( OWASP )
. 威脅建模是“一種工程技術，可用於幫助您識別可能影響您的應用程序的威脅、攻擊、漏洞和對策。您可以使用威脅建模來塑造應用程序的設計、滿足公司的安全目標並降低風險。” （微軟）
“威脅模型本質上是影響應用程序安全性的所有信息的結構化表示。從本質上講，它是通過安全眼鏡查看應用程序及其環境的視圖。” (OWASP)
從 ISO 3100 的角度來看，威脅建模是系統和軟件工程背景下的一種“風險管理”形式。風險管理包括如下圖所示的活動：

-ISO 31000

NIST 以數據為中心的系統威脅建模
本出版物中介紹的以數據為中心的系統威脅建模方法有四個主要步驟：

1. 識別和表徵感興趣的系統和數據；
2. 識別並選擇要包含在模型中的攻擊向量；
3. 表徵用於減輕攻擊向量的安全控制；和
4. 分析威脅模型。

微軟威脅建模
威脅建模應該是您日常開發生命週期的一部分，使您能夠逐步完善您的威脅模型並進一步降低風險。有五個主要的威脅建模步驟：

1. 定義安全要求。
2. 創建應用程序圖。
3. 識別威脅。
4. 減輕威脅。
5. 驗證威脅已得到緩解。
   
   -圖片來源：微軟

參考
. 勒索軟體
. NIST SP 800-154（草稿）：數據中心系統威脅建模指南
. 微軟威脅建模
. OWASP 威脅建模備忘單
. OWASP 威脅建模
. 粗粒度與細粒度訪問控制——第一部分
. 粗粒度和細粒度授權
. 適應風險的訪問控制（RAdAC）

資料來源： Wentz Wu QOTD-20210322

-圖片來源：gunther.verheyen

業務人員更了解監管要求和市場，因此IT和安全功能都應與業務需求保持一致，“系統應在經過全面測試後提交認證。”
. 監管機構通常會頒布特定的合規要求和 C&A 流程。瀑布是計劃驅動的，適用於有特定要求的項目，目前仍被廣泛採用。項目生命週期決策可以基於眾所周知的 Stacey 矩陣做出，如上圖所示。
. 此外，敏捷不是靈丹妙藥；它適合具有高度不確定性或複雜性的上下文。由於 IT 團隊遵循了通常涉及增量開發（價值）和持續交付（自動化）的敏捷方法，但這不起作用並導致 CEO 辭職。因此，應該實施瀑布來解決問題。

-敏捷心態 (PMI ACP)

敏捷(Agile)
敏捷是一種由一組價值觀、原則和實踐組成的思維方式。它強調交付可工作的軟件/價值（在Scrum 中也稱為“增量” ）、人員協作和風險適應。
. 增量開發是敏捷的一部分。它指的是頻繁發布以交付價值和適應風險。
. 持續交付是敏捷中的一種常見做法，它意味著軟件開發的“自動化”工作流程以加速工作軟件的交付。
. “迭代”和“增量”是敏捷交付工作軟件（價值）的關鍵概念。敏捷開發是迭代開發和增量開發的結合。

參考
. 敏捷軟件開發宣言
. 為採用 Scrum 鋪平道路：（2）產品人員
. CISSP 實踐問題 – 20201119
. CISSP 實踐問題 – 20201228
. CISSP 實踐問題 – 20200423

資料來源： Wentz Wu QOTD-20210321

-用例和濫用案例（來源：https://en.wikipedia.org/wiki/Misuse_case)

用例（Use Case）
用例描述了一個或多個場景，這些場景表示參與者（用戶，代理，系統或實體）如何與系統交互。用例最適合傳達功能需求或從用戶角度出發。用例可以用結構文本或圖表表示。用例的標題可以以Subject + Verb的模式編寫，例如，客戶下訂單。

濫用案例(Misuse Case)
相反，濫用案例通常從惡意或無意的用戶的角度記錄對功能的威脅。當用戶使用功能時，開發人員會構建功能。用例或濫用案例通常不會記錄開發人員的構建過程或工作。
人非聖賢孰能。開發人員構建帶有錯誤的API並不少見。開發人員可能會為了系統監視目的而創建一個錯誤的API，但沒有一個濫用案例，這描述了參與者與系統進行交互的步驟（事件和響應），這是有風險的。

SQL注入(SQL Injection)
黑客在登錄表單中鍵入SQL表達式是一種典型的濫用情況。

-SQL注入（來源：PortSwigger）

路徑/目錄遍歷(Path/Directory Traversal)
路徑/目錄遍歷作為攻擊非常依賴於相對路徑。這是一個漏洞或指示器，會導致濫用案例，即用戶使用相對路徑在資源之間導航。

-資料來源：Paul Ionescu

Web參數篡改/操縱(Web Parameter Tampering/Manipulation)
允許客戶通過輸入URL進入產品列表的特定頁面，這是一個糟糕的設計。如果用戶輸入了無效的頁碼怎麼辦？說-1或65535。

-什麼是網址？

參考
. 目錄遍歷
. 遠程文件路徑遍歷攻擊帶來樂趣和收益
. 攻擊克
. TRC技術講座：目錄遍歷攻擊與防禦–第1部分
. Unix文件結構
. 什麼是網址？
. Web參數篡改

資料來源： Wentz Wu QOTD-20210319

DD/DC: Due Diligence與Due Care問題

CISSP社群在談DD/DC問題, 都沒有一致的定義, 基本上大家隨便講,隨便對.
練習題也是差不多, 都是要看那個作者對DD/DC的觀念到那邊或想法是什麼.
所以請大家要多留意網路或不明來源的說法.

以下是我根據工作經驗, 對法律的了解及研究後所歸納的說法:

Due是”應該作的事情,” Diligence是指”勤勞.” 也就是作事要照起工, 不要偷懶. 例如, 合約要看清楚才簽名, 不要偷懶不看清楚就簽名.

Due Diligence既然是強調”應該要勤勞作到基本功,” 但要作到那些基本功? 每個行業有不同的要求. 但有一點是大家都認同的, 就是要作到”事先的調查及了解.” 所以中文常將Due Diligence翻作”盡職調查”還算不錯.

除了一般性的”事先調查及了解”, 法律條文或每個行業的行規可能會針對Due Diligence訂定標準. 因此, 有沒有作到Due Diligence是比較好判斷的. 例如, 以下美國的法律就針對”消費者資料的廢棄作業,” 訂定應有的Due Diligence標準:
https://www.law.cornell.edu/cfr/text/16/682.3

Care就是”小心”的意思. Due Care是指”作事情時要盡到應該有的注意/小心.” 但什麼叫有作到”應該有的小心”並沒有一定的標準, 通常都需要依賴法官的心證. 例如, 送貨的貨車司機撞到人, 在法院上跟法官說他開車的時候都很小心, 有特別注意左右來車及行人. 而且昨天很早睡, 所以開車時精神也很好. 法官說你有作到Due Care就有, 說沒有就沒有. 若沒有作到Due Care, 台灣叫作”應注意而未注意.”

簡單說:
Due Diligence強調事先的調查, 制度的建立, 以及制度的持續性及有效性等, 通常有較明確的標準.
Due Care則是強調事中, 把事情作好. 它沒有客觀的判斷標準, 所以都是有法官判定, 也因此法院的判決常出現未作到Due Care的字眼, 但我找了美國判例, 極少出現Due Diligence.

老外背DD/DC都用一個口訣:
Due Diligenct (DD): Do Detect;
Due Care (DC): Do Correct.
也就是事前的偵測, 事中把事情作正確.

通用變更管理流程

任何變更請求都必須記錄，評估，批准，實施，報告和傳達，以便可以管理變更風險，以防止不必要的安全性降低。記錄變更後，可以對其進行審查以汲取經驗教訓或進行持續改進。

Zero Trust第一原則就是不要再用”實體網路”的分隔來保護資源. 傳統的外網/DMZ/內網就是用”網路位置”來判斷安不安全, 所以都會認為內網最安全, DMZ次之, 然後外網最危險. 這種想就是”信任”內網的機器是安全的. Zero Trust第一件事, 就是不要用”實體”的網路邊界來思考, 而是以資源(資料)為中心, 透過”軟體定義”的”虛擬”邊界來思考, 並且提供更細膩且動態, 並且高可視(除了有log, 還可以記錄封包/資料的內容)的存取控制機制. 我整合了Zero Trust教父(John Kindervag), 美國國防部, Google, CSA及NIST等觀點, 把Zero Trust簡稱為存取控制2.0.

我在這篇文章中介紹戰略管理。我的書《有效的CISSP：安全和風險管理》中有詳細信息。 政策(Policy)代表管理意圖。一旦制定或製定了戰略，就會發布策略來指導戰略的執行/實施。

-戰略水平

戰略(Strategy)
戰略是一個流行詞。每個人都使用它，但可能不會使用具有一致定義的它。一般而言，戰略是一項計劃(plan)， 旨在實現源自組織使命和願景的長期（long-term）或總體(overall) 目標。可以由不同級別的經理在公司，業務或職能級別上進行開發。
. 計劃 實現長期或總體 目標 （ISO 9000：2015）
. 計劃 完成 組織的任務 並實現 組織的願景 （ISO 21001：2018）
. 組織的總體 發展計劃，描述了 在組織未來活動中有效使用 資源以支持組織的
事項注1：涉及設定 目標 和提出 行動計劃 （ISO / IEC / IEEE 24765：2017）
. 組織 實現其 目標的方法 （ISO 30400：2016）

戰略管理(Strategic Management)
戰略管理是公司治理的關鍵要素，包括三個階段：戰略制定/制定（戰略思維，內部和內部分析，差距分析），戰略實施/執行以及戰略評估。

-大衛的戰略管理流程模型

-資訊安全治理

策略制定(Strategy Formulation)
戰略思維(STRATEGIC THINKING)
戰略制定通常始於對組織使命和願景進行戰略思考，從而塑造了組織的長期和整體性質。戰略目標是從使命和願景中得出的。戰略思維有助於定義所需的狀態。

-戰略思維

-目標，策略和風險

-目標與目的

外部和內部分析(EXTERNAL AND INTERNAL ANALYSIS)
通常進行外部和內部分析，以掃描宏觀和微觀環境和行業，尋找機遇和威脅，確定利益相關者，了解他們的需求和要求，確定約束條件和資源，等等。SWOT分析是用於內部和外部分析的最著名的工具之一。它有助於確定當前狀態，並可能有助於達到所需狀態。

-外部和內部分析

差異分析(GAP ANALYSIS)
確定期望狀態和當前狀態之間的間隙意味著已經確定了期望狀態和當前狀態。一旦發現差距，便會定義一個具有里程碑和舉措的路線圖，以從當前狀態過渡到所需狀態。策略可以表示為計劃的組合。商業案例根據成本和收益以及其他可行性維度評估一項計劃。如果業務案例獲得批准，則該計劃將變成一個項目。通過投資回報率評估的投資組合可以包含一個或多個程序或項目。

-戰略發展

-戰略投資組合

戰略實施/執行(Strategy Implementation/Execution)

-戰略，計劃，產品和項目 -專案生命週期（來源：PMBOK）

策略評估Strategy Evaluation (績效評估Performance Measurement)

-平衡計分卡（BSC）

參考
. 什麼是“策略”？
. 戰略管理與戰略規劃過程
. 麥肯錫7-S框架
. TOWS分析：綜合指南

資料來源： Wentz Wu QOTD-20210520

Wentz Wu:

建議的答案是A.
差距分析表示”未來狀態”及”現有狀態”的分析都已完成. 因此進行差距分析之前, 必須先進行戰略思考, 內外部環境分析, 才能釐清使命及願景, 以及確立戰略目標, 這就是未來狀態. 另外, 內部外部境境也是了解現有狀態, 了解環境的變化(如PEST), 了解產業的競爭, 了解組織內部(value chane或麥肯鍚的7S模型)等. 之後才會進行差距分析, 然後訂出由現在走向未來的路線圖.

全磁碟加密（FDE）可以是保護靜態數據的軟件或硬件解決方案。基於硬件的全磁碟加密通常稱為自加密驅動器（SED），通常符合OPAL（例如Windows的加密硬盤驅動器）和由Trusted Computing Group（TCG）開發的企業標準。“內置在驅動器中或驅動器機箱中的基於硬件的加密對用戶來說是透明的。除啟動身份驗證外，該驅動器的運行方式與任何驅動器相同，並且不會降低性能。與磁碟加密軟件不同，它沒有復雜性或性能開銷，因為所有加密對於操作系統和主機計算機處理器都是不可見的。” （維基百科）

身份驗證和機密性(Authentication and Confidentiality)
SED通過鎖定驅動器和加密數據來增強安全性。開機時需要使用身份驗證密鑰（AK）來解鎖驅動器（解密DEK），然後數據加密密鑰（DEK）解密數據。SED不會將DEK存儲在可信平台模塊（TPM）中，該平台通常以母板或芯片集組件的形式實現。

數據加密密鑰（Data Encryption Key:DEK）
. 用於加密和解密數據。
. 由驅動器生成，並且永不離開驅動器（未存儲在TPM上）。
. 如果更改或擦除，則無法解密以前的現有數據。

可信平台模塊(Trusted Platform Module)
以下是維基百科的摘錄：
可信平台模塊（TPM，也稱為ISO / IEC 11889）是安全密碼處理器的國際標準，安全密碼處理器是一種專用微控制器，旨在通過集成的密碼密鑰來保護硬件。
TPM 2.0實現有五種不同類型：
. 離散TPM是專用芯片，它們在自己的防篡改半導體封裝中實現TPM功能。從理論上講，它們是TPM的最安全的類型，因為與在軟件中實現的例程相比，在硬件中實現的例程應該對錯誤（需要澄清）有更強的抵抗力，並且它們的軟件包必須具有一定的抗篡改性。
. 集成的TPM是另一個芯片的一部分。當他們使用抵抗軟件錯誤的硬件時，不需要實現防篡改功能。英特爾已在其某些芯片組中集成了TPM。
. 固件TPM是基於固件（例如UEFI）的解決方案，可在CPU的受信任執行環境中運行。英特爾，AMD和高通已實施固件TPM。
. 虛擬機管理程序TPM是由虛擬機管理程序提供並依賴於虛擬機TPM，它們處於隔離的執行環境中，該環境對於虛擬機內部運行的軟件是隱藏的，以從虛擬機中的軟件中保護其代碼。它們可以提供與固件TPM相當的安全級別。
. 軟件TPM是TPM的軟件仿真器，其運行方式與操作系統中常規程序獲得的保護一樣多。它們完全取決於運行的環境，因此它們提供的安全性沒有普通執行環境所能提供的安全高，並且容易受到滲透到普通執行環境中的自身軟件漏洞和攻擊的影響。 ]它們對於開發目的很有用。

參考
. 基於硬件的全磁碟加密
. 蛋白石存儲規範
. SSD的數據安全性功能
. TCG設置驅動器加密標準
. 您的自加密驅動器（SED）多合一指南
. TCG存儲安全子系統類：蛋白石
. 符合TCG / Opal 2.0標準的自加密驅動器（SED）
. FDE的基本原理：比較頂級的全磁碟加密產品
. 加密硬盤驅動器（符合TCG OPAL和IEEE 1667的自加密硬盤驅動器）
. 自加密驅動器
. SSD加密漏洞和TPM
. 與TPM集成的Opal SSD
. 可信平台模塊–調查
. 實現信任的硬件根源：可信平台模塊已成時代
. TPM 2.0快速教程
. 企業自加密驅動器
. 企業SED演示

資料來源： Wentz Wu QOTD-20210316

密碼驗證協議（PAP）發送未加密的密碼。它比EAP-MD5和CHAP（都使用MD5）弱。因此，在三種身份驗證協議中最不可能使用PAP。
可擴展身份驗證協議（EAP）是在其上開發基於EAP的身份驗證協議的身份驗證框架。
可擴展身份驗證協議（EAP）是網絡和Internet連接中經常使用的身份驗證框架。它在RFC 3748中定義，使RFC 2284過時，並由RFC 5247更新。EAP是用於提供對EAP方法生成的材料和參數的傳輸和使用的身份驗證框架。RFC定義了許多方法，並且存在許多特定於供應商的方法和新建議。EAP不是有線協議；相反，它僅定義來自界面和格式的信息。每個使用EAP的協議都定義了一種將用戶EAP消息封裝在該協議的消息中的方法。
EAP被廣泛使用。例如，在IEEE 802.11（WiFi）中，WPA和WPA2標準已採用IEEE 802.1X（具有各種EAP類型）作為規範認證機制。
資料來源：維基百科

參考
. 可擴展認證協議

資料來源： Wentz Wu QOTD-20210315

PEST分析是利用環境掃描分析總體環境中的政治（Political）、經濟（Economic）、社會（Social）與科技（Technological）等四種因素的一種模型。這也是在作市場研究時，外部分析的一部份，能給予公司一個針對總體環境中不同因素的概述。這個策略工具也能有效的了解市場的成長或衰退、企業所處的情況、潛力與營運方向。

資料來源：https://zh.wikipedia.org/wiki/PEST%E5%88%86%E6%9E%90

-NIST SDLC和RMF

在啟動項目後進行系統分類；這意味著已經開發了一個業務案例，並且已選擇，接受，批准了替代方案並變成了項目。
安全控制的實施取決於安全措施或安全控制的確定。安全控制框架（SCM），例如NIST SP 800-53，提供了安全控制的初始範圍，然後可以對其進行定製或修改。範圍界定和剪裁是NIST RMF中“選擇控件”步驟的核心概念，其次是“實施控件”步驟。

應用緊急補丁修復高優先級漏洞意味著該系統有權運行。但是，系統分類是在系統開發生命週期（SDLC）的初始階段進行的。
範圍界定是指檢查基準安全控制並僅選擇適用於您要保護的IT系統的那些控制。例如，如果系統不允許任何兩個人同時登錄，則無需應用並發會話控件。
斯圖爾特（James M.）。CISSP（ISC）2認證的信息系統安全專業人士正式學習指南。威利。

資料來源： Wentz Wu QOTD-20210308

需要知道（need-to-know）
定義：根據該命令發布的指令在行政部門內做出的確定，即准予接受者需要訪問特定的機密信息才能執行或協助合法和授權的政府職能。
資料來源：https://csrc.nist.gov/glossary/term/need_to_know

最小特權（least privilege）
定義：設計安全體系結構的原則，以使每個實體都獲得該實體執行其功能所需的最少系統資源和授權。
資料來源：https://csrc.nist.gov/glossary/term/least_privilege

-業務連續性政策
高級管理人員通過制定戰略計劃或戰略來實現組織的使命和願景，並通過政策指導戰略的實施。戰略通常包括項目組合，計劃和項目的集合。有許多類型的策略，例如，程序策略，特定於問題的策略，特定於系統的策略等。程序策略指導程序的執行。
我的書《有效的CISSP：安全和風險管理》詳細介紹了戰略管理。
政策
. 政策是指“組織的最高管理層正式表達的意圖和方向”。（ISO 21401：2018）
. 策略是反映特定管理目的的“與特定目的相關的一組規則”（ISO 19101-2：2018）。
. 政策是“在一定範圍內對人們活動的目標，規則，做法或法規的聲明。” （NISTIR 4734）

資料來源： Wentz Wu QOTD-20210310

-滲透測試方法
滲透測試的目的是識別，分析，評估和利用漏洞，以深入了解漏洞並開發解決方案以降低風險。目標的失敗可能會導致業務損失或破壞產品或服務的交付。儘管在進行滲透測試時，詳細的開發文檔和評估開發目標的客觀性很重要，但從客戶的角度出發，業務始終是優先事項。滲透團隊應始終牢記這一點。
免入獄卡對滲透團隊至關重要，但是這個問題要問客戶的觀點或為客戶的緣故。因此，免押金卡對客戶而言並不那麼重要。

參考
. 走出免費監獄卡
. 滲透測試中的法律問題
. 滲透測試與法律
. 依法進行滲透測試
. 愛荷華州支付了一家安全公司闖入法院，然後在成功的情況下逮捕了他們的員工
. 彭特公司首席執行官被捕：“英雄不是罪犯”
. 關於滲透測試者的新文件因闖入法院而入獄
. 黑帽：當滲透測試為您贏得重罪逮捕記錄時
. 對在筆測試期間闖入法院的Coalfire安全團隊的指控被撤銷

資料來源： Wentz Wu QOTD-20210309

日誌是會計的工作成果。可以通過查看或檢查（審核）一組相關日誌（審核記錄）以唯一地將活動跟踪到實體來實現問責制。

會計，審計和問責制（又一個AAA）
. 問責制 是“安全性目標，它產生了將實體的操作唯一地追溯到該實體的要求。” （NIST SP 800-33）
. 審計 是“獨立審查和檢查記錄和活動，以評估系統控制的充分性，以確保遵守既定的政策和操作程序。” （NIST SP 800-12 Rev.1）
. 審核跟踪 是“按時間順序的記錄，用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作，程序或事件的活動順序。” （NIST SP 800-53修訂版4）

安全信息和事件管理(SIEM)
安全信息和事件管理（SIEM）是指支持審核和跟踪責任制的收集，分析，關聯和相關活動。SIEM服務器是支持安全信息和事件管理的服務器。

用戶和實體行為分析（UEBA）
Gartner定義的用戶行為分析（UBA）是一個有關檢測內部威脅，針對性攻擊和財務欺詐的網絡安全流程。UBA解決方案著眼於人類行為模式，然後應用算法和統計分析從這些模式中檢測出有意義的異常，即表明潛在威脅的異常。
UBA技術的發展促使Gartner將類別擴展到用戶和實體行為分析（“ UEBA”）。2015年9月，Gartner發布了由副總裁兼傑出分析師Avivah Litan撰寫的《用戶和實體分析市場指南》，其中提供了詳盡的定義和解釋。在早期的Gartner報告中提到了UEBA，但沒有深入探討。從UBA擴展定義包括設備，應用程序，服務器，數據或任何具有IP地址的內容。它超越了以欺詐為導向的UBA的重點，而涵蓋了更廣泛的範圍，其中包括“惡意和濫用行為，否則現有的安全監視系統（如SIEM和DLP）不會注意到。” 增加的“實體”反映出設備可能在網絡攻擊中起作用，並且在發現攻擊活動中也可能很有價值。“當最終用戶受到威脅時，惡意軟件可能會處於休眠狀態，並且幾個月都不會被發現。
資料來源：維基百科

參考
. 用戶行為分析
. 安全信息和事件管理

資料來源： Wentz Wu QOTD-20210308

重放攻擊（英語：replay attack，或稱為回放攻擊）是一種惡意或欺詐的重複或延遲有效資料的網路攻擊形式。 這可以由發起者或由攔截資料並重新傳輸資料的對手來執行，這可能是通過IP封包替換進行的欺騙攻擊的一部分。 這是「中間人攻擊」的一個較低階別版本。

這種攻擊的另一種描述是： 「從不同上下文將訊息重播到安全協定的預期（或原始和預期）上下文，從而欺騙其他參與者，致使他們誤以為已經成功完成了協定執行。」

重放攻擊工作原理[編輯]

重播攻擊的範例圖。Alice（A）將她的雜湊密碼傳送給Bob（B）。Eve（E）嗅探並重新播放雜湊。

假設Alice 想向Bob 證明自己的身分。 Bob 要求她的密碼作為身分證明，愛麗絲應盡全力提供（可能是在經過諸如雜湊函式的轉換之後）； 與此同時，Eve竊聽了對話並保留了密碼（或雜湊）。交換結束後，Eve（冒充Alice）連接到Bob。當被要求提供身分證明時，Eve傳送從Bob接受的最後一個對談中讀取的Alice的密碼（或雜湊），從而授予Eve存取權限。^[1]

預防與對策

所有重放攻擊的一般對策

通過使用對談ID和組件編號標記每個加密的組件，可以防止重放攻擊。之所以可行，是因為為程式的每次執行建立了唯一的隨機對談ID，因此先前的結果更加難以複製。 由於每個對談的ID不同，攻擊者無法執行重放。

資料來源：https://zh.wikipedia.org/wiki/%E9%87%8D%E6%94%BE%E6%94%BB%E5%87%BB

在計算機取證中搜索妥協（IoC）的指示器，是網路或操作系統中觀察到的神器，它具有很高的可信度，表示電腦入侵。

典型 IOC 的指示類型是病毒簽名和 IP 位址、惡意軟體檔的 MD5 哈希，或殭屍網路命令和控制伺服器的網址或功能變數名稱。通過事件回應和計算機取證過程識別 IoC 後，它們可用於使用入侵檢測系統和防病毒軟體對未來的攻擊嘗試進行早期檢測。

資料來源：https://en.wikipedia.org/wiki/Indicator_of_compromise

妥協指標 （IOC） 是主機系統或網路可能受到入侵的法醫證據。這些人工製品使資訊安全 （InfoSec） 專業人員和系統管理員能夠檢測入侵企圖或其他惡意活動。安全研究人員使用IOC來更好地分析特定惡意軟體的技術和行為。IOC 還提供可在社區內共用的可操作的威脅情報，以進一步改進組織的事件回應和補救策略。

其中一些文物在系統中的事件日誌和時間戳條目以及其應用程式和服務上找到。InfoSec 專業人員和 IT/系統管理員還使用各種工具監控 IOC，以幫助減輕（如果不是防止）違規或攻擊。

以下是一些危害資訊安全專業人員和系統管理員注意的指標：

1.異常流量進出網路
2.系統中的未知檔、應用程式和流程
3.管理員或特權帳戶中的可疑活動
4.非正常活動，如在組織不與之開展業務的國家/地區的流量
5.可疑的登錄、訪問和其他網路活動，表明探測或暴力攻擊
6.公司文件中請求和讀取量異常激增
7.在異常常用埠中穿越的網路流量
8.篡改檔、功能變數名稱伺服器 （DNS） 和註冊表配置以及系統設置（包括行動裝置中的更改）的變化
9.大量的壓縮檔和數據無法解釋地發現在它們不應該的位置

資料來源：https://www.trendmicro.com/vinfo/us/security/definition/indicators-of-compromise

這個問題是根據痛苦金字塔設計的。它不是一個行業標準，但它提供了一個很好的基礎，以評估在威脅源中提供的妥協指標 （IOC）。

並非所有妥協指標（IOC）都是平等的。如果您被告知，受破壞的系統檔將產生特定的哈希值，它可能會產生較少的價值，因為它太瑣碎。相反，如果您被告知來自 someone.hackers.com（10.10.10.1）的攻擊可能包含系統檔，如果成功，可能會產生特定的哈希值。

參考
. 痛苦金字塔
. 仲裁協議指標的定義
. 威脅源還是威脅情報？（實際上，您同時需要兩者）
. 免費和開源威脅情報源
. SANA威脅源
. 威脅情報源：領先於攻擊者
. 威脅情報源：為什麼上下文是關鍵
. 妥協指標
. SolarWinds IoC連接到網絡資產：我們發現的結果
. LogRhythm-Labs / sunburst_iocs

資料來源： Wentz Wu QOTD-20200924

這個問題描述了常見的SQL注入場景，該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數據操作語言（DML）的關鍵字，是身份驗證過程中最常用的一種。
反射跨站點腳本（XSS）是XSS攻擊的一種類型，但它不會從網絡服務器下載惡意代碼/ javascript，而是提交HTTP請求，其中URL包含惡意代碼，然後該惡意代碼又被擺回到瀏覽器中。XSS通常使用惡意JavaScript，而不是SQL語句。

身份方程式作為SQL表達式

-攻擊者將身份方程式輸入為SQL表達式（來源：Guru99）

後端程序開發欠佳

-後端程序開發不完善（來源：Guru99）

SQL命令的類型

-SQL命令的類型（來源：geeksforgeeks）

參考
. 反映的XSS
. SQL注入教程：學習示例

資料來源： Wentz Wu QOTD-20210306

IPv6節點使用本地鏈接地址（前綴為FE80 :: / 10）引導，並使用多播與DHCP服務器聯繫。它們不同於IPv4主機，後者使用默認地址（0.0.0.0）引導並使用廣播（DHCP Discover）與DHCP服務器聯繫。

-DHCPv4操作（來源：WizNet）

本地鏈接地址是使用前綴FE80 :: / 10和修改後的EUI-64格式自動配置的。

-48位MAC到64位EUI-64地址（來源：StackExchange）

-48位MAC地址的結構（來源：Wikipedia）

以下是IBM IPv6 Introduction and Configuration的摘錄：
IPv6地址協議在RFC 4291 – IPv6地址體系結構中指定。IPv6使用128位地址而不是IPv4的32位地址。它定義了三種主要的地址類型：單播地址，多播地址和任意播地址。IPv6中沒有廣播地址。

單播地址(Unicast Address)
單播地址是分配給單個接口的標識符。發送到該地址的數據包
僅傳遞到該接口。特殊用途的單播地址定義如下：
–環回地址（:: 1）
–未指定地址（：:)
–鏈接本地地址
–站點本地地址
– IPv4兼容地址（：:)
– IPv4映射的地址（： ：FFFF 🙂

廣播地址(Multicast Address)
多播地址是分配給多個主機上的一組接口的標識符。
發送到該地址的數據包將傳遞到與該地址對應的所有接口。
IPv6中沒有廣播地址，其功能已被多播地址取代。
指示多播範圍的4位值。可能的值為：
0保留。
1僅限於本地節點（node-local）上的接口。
2僅限於本地鏈接（link-local）上的節點。
5限於本地站點。
8僅限於組織。
E全球範圍。
F保留。

任播地址（Anycast Address）
任播地址是一種特殊類型的單播地址，分配給
多個主機上的接口。發送到該地址的數據包將被發送到具有
該地址的最近接口。路由器根據其距離的定義來確定最近的接口，例如，在RIP情況下是躍點，在OSPF情況下是鏈路狀態。
任播地址使用與單播地址相同的格式，並且與它們沒有區別。
RFC 4291 – IPv6地址體系結構當前對
任播地址規定了以下限制：
-任播地址不得用作數據包的源地址。
-任何任播地址都只能分配給路由器。

參考
. RFC 2450：擬議的TLA和NLA分配規則
. RFC 2737：IP版本6尋址架構
. IBM IPv6簡介和配置
. IPv6簡介
. 鏈接本地地址
. 了解IPv6鏈接本地地址
. 了解IPv6 EUI-64位地址
. EUI-64
. MAC地址
. IEEE 802.1中的MAC地址問題

資料來源： Wentz Wu QOTD-20210305

連線劫持（Session hijacking），是一種網路攻擊手段，駭客可以通過破壞已建立的資料流而實現劫持。

資料來源：https://zh.wikipedia.org/wiki/%E4%BC%9A%E8%AF%9D%E5%8A%AB%E6%8C%81

-VLAN組（來源：Cisco Press）
VLAN是一種創建其廣播域的網絡分段和隔離機制。路由器通常跨VLAN轉發節點之間的通信。中繼線是用於連接交換機和路由器的鏈接。換句話說，訪問中繼可以捕獲跨VLAN的流量。
. VLAN跳變實際上是交換機欺騙。攻擊主機操縱中繼協議以通過中繼線連接到交換機。它捕獲流量並成為中間人，從而使會話劫持更加容易。
. “ IP地址欺騙最常用於拒絕服務攻擊中，其目的是以壓倒性的流量淹沒目標，並且攻擊者並不關心接收對攻擊數據包的響應。” （Wikipedia）儘管攻擊者可以使用它劫持用戶會話，但TCP序列號通常可以減輕攻擊。
. ARP欺騙和DNS欺騙是用於重定向或轉移流量並劫持用戶會話的常用技術。

主幹（Trunk）
. “ VLAN中繼線或中繼線是承載多個VLAN的兩個網絡設備之間的點對點鏈接。VLAN中繼將VLAN擴展到兩個或多個網絡設備上。” （思科）
. “中繼端口是交換機之間的鏈接，支持與多個VLAN相關的流量的傳輸。” （思科）

VLAN跳變(VLAN Hopping)
VLAN跳頻是一種計算機安全漏洞，是一種攻擊虛擬LAN（VLAN）上的網絡資源的方法。所有VLAN跳躍攻擊背後的基本概念是VLAN上的攻擊主機可以訪問通常無法訪問的其他VLAN上的流量。VLAN跳躍的主要方法有兩種：交換機欺騙和雙重標記。正確的交換機端口配置可以緩解這兩種攻擊方式。（維基百科）

參考
. 會話劫持
. IP地址欺騙
. ARP欺騙
. DNS欺騙
. VLAN跳變

資料來源： Wentz Wu QOTD-20210304

1. 高級持久威脅（APT）
2. 多向量多態攻擊
3. 拒絕服務
4. 緩衝區溢出
5. 流動碼
6. 惡意軟件（惡意軟件）
7. 偷渡式下載攻擊
8. 間諜軟件
9. 特洛伊木馬
10. 鍵盤記錄器
11. 密碼破解者
12. 欺騙/偽裝
13. 監聽，竊聽和竊聽
14. 輻射和“ TEMPEST ”電磁輻射的自發發射”（EMR）受到TEMPEST的監聽
15. 肩衝浪
16. 尾板（Tailgating）
17. 帶（Piggybacking）
18. 對象重用（Object Reuse）
19. 數據剩餘
20. 未經授權的目標數據挖掘
21. 垃圾箱潛水
22. 後門/活板門
23. 維修鉤
24. 邏輯炸彈
25. 社會工程學
26. 網絡釣魚
27. 域欺騙
    網絡攻擊意在一個網站的流量重定向到另一個，假冒網站。
28. 隱蔽通道
    未經授權的數據傳輸通道
29. IP欺騙/偽裝
    IP欺騙是惡意的，而偽裝是網絡地址轉換（NAT）的一種特定形式，並且可以有效。
30. 特權提升/特權升級
31. 篡改
32. 破壞
33. SQL注入
34. 跨站腳本（XSS）
35. 會話劫持和中間人攻擊
36. 零日漏洞利用
    零日漏洞利用是在宣布或發現網絡漏洞之後但在實施修補程序或解決方案之前發生的。

資料來源： Wentz Wu 網站

羅卡定律（英文：Locard exchange principle, Locard’s theory），也稱羅卡交換定律，是法國法醫學家、犯罪學家埃德蒙·羅卡（Edmond Locard）創建的，其理論在於「凡兩個物體接觸，必會產生轉移現象」（with contact between two items, there will always be an exchange）。其用於犯罪現場調查中，行為人（犯罪嫌疑者）必然會帶走一些東西，亦會留下一些東西。即現場必會留下微量跡證^[1]。

資料來源：https://zh.wikipedia.org/wiki/%E7%BD%97%E5%8D%A1%E5%AE%9A%E5%BE%8B

什麼是OWASP SAMM？
以下是OWASP SAMM的摘要 ：
. SAMM代表軟體保障成熟度模型。
. 我們的使命是為所有類型 的組織提供一種有效且可衡量的方法， 以分析和改善其 軟體安全狀況。
. 我們想通過我們的自我評估模型來提高認識並教育組織如何設計，開發和部署安全軟件。
. SAMM支持 完整的軟體生命週期， 並且與 技術和過程無關。
. 我們建立了SAMM，使其本質上具有發展性和風險驅動性，因為沒有一種適用於所有組織的方法。

SAMM成熟度級別
SAMM將三個成熟度級別定義為目標。

-SAMM模型結構

OWASP SAMM模型2.0
SAMM是一種規範性模型，是一種易於使用，完全定義且可測量的開放框架。即使對於非安全人員，解決方案詳細信息也很容易遵循。它可幫助組織分析其當前的軟件安全性實踐，按定義的迭代構建安全性程序，顯示安全性實踐的逐步改進，定義和評估與安全性相關的活動。
定義SAMM時要考慮到靈活性，以便使用任何開發風格的小型，中型和大型組織都可以自定義和採用它。它提供了一種方法，可以了解您的組織在實現軟件保證的過程中所處的位置，並了解為達到下一個成熟水平而建議採取的措施。
SAMM並不堅持要求所有組織在每個類別中都達到最大成熟度。每個組織都可以確定最適合和適應每個安全實踐的目標成熟度級別
資料來源：OWASP SAMM 2.0

SAMM的由來
軟件保障成熟度模型（SAMM）最初是由獨立軟件安全顧問Pravir Chandra（chandra-at-owasp-dot-org）開發，設計和編寫的。通過Fortify Software，Inc.的資助，可以創建第一稿。目前，此文件是通過Pravir Chandra領導的OpenSAMM項目進行維護和更新的。從SAMM的最初發行版開始，該項目已成為Open Web Application Security Project（OWASP）的一部分。
資料來源：OpenSAMM

Pravir Chandra（強化軟體）
Pravir Chandra是Fortify戰略服務總監，他與客戶合作建立和優化軟件安全保證程序。Pravir以其在軟件安全性和代碼分析方面的專業知識以及從業務角度戰略性地應用技術知識的能力而在業界獲得廣泛認可。在加入Fortify之前，他是Cigital的首席顧問，在那裡他領導了《財富》 500強公司的大型軟件安全計劃。在被Fortify Software收購之前，Pravir還是Secure Software，Inc.的聯合創始人兼首席安全架構師。他的書《使用OpenSSL的網絡安全》是有關通過加密和安全通信保護軟件應用程序的熱門參考。他的各種特殊項目經驗包括與開放Web應用程序安全性項目（OWASP）基金會一起創建和領導開放軟件保證成熟度模型（OpenSAMM）項目。此外，普拉維爾目前還是OWASP全球項目委員會的成員。
資料來源：CMU-SEI

OWASP SAMM版本
. OWASP SAMM版本2 –公開發布
. OWASP SAMM v2.0於2020年2月11日星期二發布
. OWASP SAMM v1.5發布，2017年4月13日
. OWASP SAMM v1.1發布，2016年3月16日
. OpenSAMM的原始版本，2009年3月25日

參考
. 成熟度模型
. OWASP SAMM v2.0發布
. OpenSAMM項目

資料來源： Wentz Wu 網站

歐洲GDPR設計，這就要求隱私被考慮納入隱私貫穿整個設計過程。（維基百科）隱私影響分析甚至在開始階段進行的前一個工程項目啟動，如圖所示NIST SDLC。

-NIST SDLC和RMF

威脅建模（Threat Modeling）
在系統工程的背景下，威脅建模可被視為專門的風險管理。由於存在許多威脅建模實踐和方法，人們可能會以多種方式不一致地實施它們。有人認為應在整個工程過程中進行，而大多數人則在設計階段進行。

信任但要驗證（Trust But Verify）
1987年12月8日，羅納德·裡根（Ronald Reagan）總統在INF條約上簽字後，“信任但核實”一詞被翻譯成俄語，並廣為人知。有些人將其與“零信任”相同，但其他人則不同。有人認為今天還不夠，應該用“驗證，驗證，驗證”或“零信任”代替。IMO，信任但驗證與零信任相同。

共同責任（Shared Responsibility）
共享責任是在雲計算中使用的模型，該模型定義了雲客戶與雲服務提供商之間的責任邊界。

-微軟共同責任模式

參考
. 設計隱私
. 威脅模型
. 信任但要驗證
. IS審核基礎知識：信任，但要驗證
. 信任但核實：軍備控制條約和其他國際協議中的信息生產
. 信任，但驗證…為您的數據中心保護遠程監控
. 3家不信任“信任但驗證”的網絡安全公司
. “信任但要驗證…”
. 零信任網絡安全–信任但要驗證！
. 與其說是“信任，而是要驗證”，不如說是“零信任”
. 當“信任但不能驗證”還不夠時：零信任世界中的生活
. 信任但要驗證：為什麼網絡安全對建築承包商很重要
. 共同責任模式解釋
. 共同責任模式
. 雲中的共同責任
. 吻原理

資料來源： Wentz Wu QOTD-20210303

曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而，FISMA和FIPS 199明確而準確地區分了兩者。

以下幻燈片是 FIPS 199 中有關安全目標的摘錄，該摘錄與 FISMA 一致：

-CIA作為安全目標

完整性
以下是 FISMA 中有關完整性的摘錄：
‘防止不當的資訊修改或破壞，包括確保資訊不被否定和真實性。。。。。。'[44 U.S.C., Sec. 3542]]

可用性
可用性是關於’確保及時和可靠地訪問和使用資訊。。。'[44 U.S.C., SEC. 3542
FIPS 199 寫道：「可用性損失是資訊或資訊系統訪問或使用中斷。

數據消毒方法
‘銷毀’是 NIST SP 800-88 R1 中引入的數據消毒方法，而’破壞’是一種可以’破壞’介質的技術（例如破壞性技術）。然而，破壞性技術通常可以’摧毀’媒體，但他們不能保證媒體可以完全摧毀。
破壞(Destroy)、破壞(destruction)和破壞( disruption )可能具有類似的含義，但它們可能在各種上下文中提及不同的東西。

資料來源： Wentz Wu QOTD-20210302

零信任
零信任是一種用於訪問控制的網絡安全範例，具有以數據為中心，細粒度，動態且具有可見性的特徵。
. 取消邊界刪除會刪除物理網絡邊界。
. XACML提供細粒度的訪問控制，例如基於風險或基於屬性的訪問控制。
. 完全調解強制執行每個請求的驗證，無論請求來自內部還是外部網絡。
零信任概念的演變
零信任的概念可以追溯到早在2003年的Jericho論壇中就討論的反邊界化概念。反邊界化提倡了消除對物理網絡分段的依賴以確保網絡安全的想法。通常認為，受防火牆保護的內部網絡比外部網絡更安全，因此內部網絡中實施的安全控制較少。但是，去周邊化並不意味著根本就不存在周邊。它可以減少對物理邊界的依賴，但是虛擬，軟件或細粒度的邏輯邊界都可以發揮作用。例如，國防信息系統局（DISA）於2007年左右推出的全球信息網格（GIG）黑芯網絡計劃引入了軟件定義的邊界（SDP）。
Forrest的John Kindervag在2010年創造了“零信任”一詞，很好地融合了這些想法。然後，雲安全聯盟（CSA）會基於GIG SDP促進和擴大對零信任的認識和採用。Google和許多大型科技公司和組織也開始了他們的零信任計劃。
由於2015年人事管理辦公室數據洩露，零信任引起了美國國會的注意。NIST隨後開始草擬零信任架構指南SP 800-207，該指南於2020年8月最終確定。

-零信任概念的演變

-零信任網絡安全範例

零信任作為訪問控制2.0

-零信任作為訪問控制2.0

-訪問控制

-以數據為中心的訪問控制

-細粒度，動態和可見性

參考
. 零信任即訪問控制2.0
. InfoSec台灣2020
. 什麼是零信任？
. 零信任架構（ZTA）

資料來源： Wentz Wu QOTD-20210228

-圖片來源：DO SON
為了準備測試數據以驗證後端API是否暗示被測系統（SUT）是一個數據驅動的系統，該系統處理和處理傳輸，靜止和使用中的各種數據，這就是數據完整性很重要的原因。語義完整性是與用戶數據含義相關的最常見問題。例如，系統接受諸如1912/02/31或“美國得克薩斯州”之類的出生日期值是沒有意義的。甲模糊器可以生成隨機在所謂的使用的測試數據模糊測試。zzuf是最著名的模糊器之一。

作為安全經理或CISO，您不必了解內在的技術知識，但必須了解最常用的安全評估工具或實用程序。
. 網絡映射器Nmap是一個必須了解的免費安全掃描程序，它為測試人員提供靈活的參數或參數，以掃描TCP / UDP端口或IP。
. “ Nessus是Tenable，Inc.（NASDAQ：TENB）開發的專有漏洞掃描程序。”（Wikipedia）
. Metasploit框架是眾所周知的工具，用於進行滲透測試以及針對遠程目標計算機開發和執行漏洞利用代碼。它是Metasploit項目的開源子項目，“ Metasploit項目是一個計算機安全項目，它提供有關安全漏洞的信息，並有助於滲透測試和IDS簽名開發。它歸馬薩諸塞州波士頓的安全公司Rapid7所有。” （維基百科）
參考
. zzuf：透明的應用程序輸入模糊器
. zzuf –多用途模糊器
. 地圖
. Nessus
. Metasploit項目

資料來源： Wentz Wu QOTD-20210227

-電子發現參考模型

證人（Witnesses ）和證據（evidence）決定了司法結果。及時的電子發現行動將收集證據，而健全的數據治理將確定證據是否可以接受。
. 行政調查是指對員工所謂的不當行為的內部調查。（《法律內幕》）此事件可能需要多種形式的調查，例如民事，刑事和行政調查。
. 黑客組織可能會進行現場調查，觀察，垃圾箱潛水，尾隨航行等。遵守CPTED（通過環境設計預防犯罪）原則可能有助於設施和人身安全。

審判（Trial）
經過數週或數月的準備，檢察官已準備好完成其工作中最重要的部分：審判。審判是一個結構化的過程，將案件的事實提交陪審團，由陪審團決定被告是否有罪。
庭審過程中，檢察官使用證人和證據向陪審團證明被告犯罪。以律師為代表的被告人還使用證人和證據講述了他的故事。
在審判中，法官（審判的公正人）決定向陪審團提供哪些證據。法官類似於比賽中的裁判，他們不是在一側或另一側進行比賽，而是要確保整個過程都公平進行。
資料來源：美國司法部

發現（Discovery）
“發現”是一個法律術語，指的是查找和披露可能構成訴訟證據的任何信息的預審手段。及時的電子發現是指採取法律行動，要求對手生產和提交以電子格式存儲的信息。您的對手還可能進行電子發現以要求您提供證據。
“即使不經意間也未能公開證據是犯罪，如果可以證明該組織未能故意公開證據，則處罰會更高。” （本州馬里索夫）電子發現參考模型可幫助組織與電子發現要求保持一致。
以下是常見的發現手段：

1. 要求詢問質詢
2. 要求出示文件和物品
3. 入學要求
4. 存款
   發現 是 訴訟的預審階段，在這一階段中，每一方通過民事訴訟規則 ，通過從對方和其他方獲得證據的方式，通過包括請求訊問答复，請求詢問在內的發現設備 ，來調查案件的事實。 用於文件和物品的生產，要求入場和交存。
   資料來源： HG.org

為了獲得對手擁有的信息，或者即使在其他地方也可以從對手那裡獲得的信息，也很容易從對手那裡獲得，一方可以宣誓面談另一方，這稱為證言；提出書面問題，稱為審訊；要求出示文件或其他物理證據；要求另一方進行身體檢查；並要求另一方承認與訴訟有關的事實真相。
資料來源： Feinman，Jay M.。Law 101（p。120）。牛津大學出版社。Kindle版。

停止銷毀通知，認股權證和傳票（Cease Destruction Notice, Warrant, and Subpoena）
在法律領域，術語“發現”是查找和披露可能構成證據的任何信息的概念。發現可以用於收集刑事或民事訴訟的證據。例如，當一個組織收到來自監管機構/執法實體的授權書或傳票以披露與X有關的任何信息時，或者當該組織收到原告的通知，稱該組織正在被起訴X時，該組織必須依法進行，仔細檢查所有數據，找到與X有關的材料，然後將其交付給代理商/原告。即使不經意間也沒有公開證據是犯罪，如果可以證明該組織沒有故意公開證據，則處罰會更高。
電子調查的過程甚至在調查/訴訟開始之前就已經開始；一旦組織收到通知，表示正在調查或提起訴訟（即在收到逮捕令或傳票之前），則組織必須開始進行電子發現的準備工作。該通知稱為許多事項：停止銷毀通知，記錄保留通知，訴訟保留通知，合法保留，以及類似的字詞。通知組織後，它必須停止組織中的所有數據銷毀活動。這包括法規，內部政策或其他法律規定的所有數據銷毀要求。在美國，在起訴/訴訟期間，由國會決定的聯邦證據規則將取代所有其他指示，並且該組織無法銷毀任何數據。銷毀被視為證據的數據或被認為是證據的數據被稱為“誹謗”，也屬於犯罪行為。
資料來源：馬里索，本。如何通過INFOSEC考試：通過SSCP，CISSP，CCSP，CISA，CISM，Security +和CCSK的指南（第31-32頁）。調整不良的作品。Kindle版。

電子發現（Electronic discovery）
電子發現或“電子發現”是指發現以電子格式存儲的信息（通常稱為電子存儲信息或ESI）。

證據（Evidence）
“可接納性”的概念
可接受的證據應具有相關性，實質性和能力。
基本上，如果要在法庭上接納證據，則證據必須是相關的，重要的和有能力的。要被認為是相關的，它必須具有某種合理的趨勢來幫助證明或反對某些事實。它不必確定事實，但是至少它必須傾向於增加或減少某些事實的可能性。
一旦被認定為相關證據，事實發現者（法官或陪審團）將確定適當的權重以提供特定的證據。如果提供給定的證據來證明案件中有爭議的事實，則該證據被認為是重要的。如果證據符合某些傳統的可靠性概念，則被認為是“有能力的”。法院正在通過使與證據權重有關的問題逐步減少證據的勝任力規則。
資料來源：湯森路透

舉證責任(BURDEN OF PROOF)
說服力的標準不盡相同，從 大量的證據（只有足夠的證據來彌補這一平衡）到 無可置疑的證據（例如美國刑事法院）。
資料來源： 維基百科

參考
. 法律證據
. 調查類型
. 什麼是民事案件中的發現？
. 證據：“可接納性”的概念
. 美國律師»司法101
. 發現請求和懇求準備

資料來源： Wentz Wu QOTD-20210226

即使HTTP基本身份驗證確實使用Base64來編碼用戶ID和密碼，HTTP仍以明文形式傳輸編碼，並依靠HTTPS來實施安全性。
密碼（Cipher）和代碼(Codes)不同。從字面上看，代碼取決於代碼簿(codebook)的保密性，而不是取決於密鑰的混淆。Base64使用公共映射表。

哈希或消息身份驗證代碼（MAC）是分別保護數據完整性和真實性的典型加密功能。它們通常用於身份驗證過程中。
Base64使用的下表摘自Wikipedia：

參考
. 基本訪問認證
. Base64
. 代碼（密碼學）

資料來源： Wentz Wu QOTD-20210225

計算機應急響應小組（英語：Computer Emergency Response Team，縮寫CERT），又名計算機安全事件應急響應小組（英語：Computer Security Incident Response Team，縮寫CSIRT），是對一個固定範圍的客戶群內的安全事件進行處理、協調或提供支持的一個團隊 ^[1]。

資料來源：https://zh.wikipedia.org/wiki/%E8%AE%A1%E7%AE%97%E6%9C%BA%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E5%B0%8F%E7%BB%84

在這四個選項中，開發信息安全管理系統（ISMS）是最合適，最關鍵的。ISMS從管理承諾和政策開始，這些承諾和政策推動信息安全，以滿足利益相關者（或利益相關方）的保護需求和安全要求。它涵蓋了網絡訪問控制，IT流程以及業務連續性的信息安全方面。
. 實施全面的網絡訪問控制是必要的，但還不夠，也不是優先事項。
. 將安全性集成到IT流程中是必要的，但還不夠。無論CISO向哪個角色報告，他（她）都應確保安全功能支持業務，並將安全集成到“所有”組織流程中，而不僅僅是IT流程中。
. 除非CISO非常了解業務並得到充分授權和委派，否則他或她發起並指導業務連續性計劃不是一個好主意。業務連續性是指持續交付涉及組織流程的產品和服務，而不僅僅是IT，安全或保證流程。首席執行官，首席運營官或委員會更合適。如下圖所示，CISSP考試大綱和ISO 27001甚至都不能滿足所有業務連續性要求。

資料來源： Wentz Wu QOTD-20210224

一些證書提供者可能會向客戶提供一個生成密鑰對的網頁。但是，這不是一個好主意，因為證書提供者可能會記錄或託管您的私鑰。您應將私鑰保密。因此，請使用本地實用程序生成密鑰對，例如OpenSSL，ssh_keygen，IIS管理器，MMC的證書管理單元（Microsoft管理控制台）。
僅將包含公共密鑰（不包含密鑰對）的證書籤名請求發送到CA（或專門用於註冊機構），因為密鑰對包含私有密鑰。
即使您可以將帶有證書的私鑰打包到文件中，但證書僅包含公鑰。例如，“ PKCS＃12定義了用於將許多加密對象存儲為單個文件的存檔文件格式。它通常用於將私鑰與其X.509證書捆綁在一起或將信任鏈的所有成員捆綁在一起。” （維基百科）

證書簽名請求（CSR）
在公鑰基礎結構（PKI）系統中，證書籤名請求（也是CSR或證明請求）是從申請人發送到公鑰基礎結構的註冊機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰，標識信息（例如域名）和完整性保護（例如數字簽名）。
在創建CSR之前，申請人首先生成一個密鑰對，將私鑰保密。CSR包含標識申請人的信息（例如，在X.509證書的情況下為專有名稱），該信息必須使用申請人的私鑰進行簽名。CSR還包含申請人選擇的公鑰。CSR可能隨附證書頒發機構要求的其他憑據或身份證明，證書頒發機構可以聯繫申請人以獲取更多信息。
資料來源：維基百科

X.509證書

-X.509證書格式

參考
. 證書籤名請求
. PKCS 12

資料來源： Wentz Wu QOTD-20210223

儘管夾層玻璃比鋼化玻璃更安全，但價格更高。儘管如此，法規要求仍可能會影響各國安全玻璃的安裝。而且，作者沒有具體的統計數據來支持夾層玻璃比鋼化玻璃更常見。結果，最初的問題是：“以下哪個是店面或購物櫥窗中最常用的安全玻璃？” 更改為“以下哪項在店面或購物櫥窗中提供最高的安全性？”

退火玻璃不屬於安全玻璃。以下安全玻璃描述摘自Wikipedia：
“夾層玻璃通常用於可能造成人身傷害或玻璃破碎時掉落的地方。天窗玻璃和汽車擋風玻璃通常使用夾層玻璃。在要求抗颶風建築的地理區域，夾層玻璃通常用於外部店面，幕牆和窗戶。

-破碎的夾層安全玻璃，中間層暴露在圖片的頂部（來源：維基百科）

鋼化玻璃用於各種苛刻的應用中，包括乘用車窗戶，淋浴門，建築玻璃門和桌子，冰箱托盤（作為防彈玻璃的組成部分），潛水面罩以及各種類型的盤子和炊具。

-破碎的鋼化玻璃顯示出顆粒狀的形狀（來源：維基百科）

近年來，已經出現了既可以提供防火等級又可以提供安全等級的新材料，因此在全世界範圍內繼續討論使用有線玻璃的問題。美國國際建築法規於2006年有效禁止了有線玻璃。
參考
. 安全玻璃
. 什麼是安全玻璃？
. 砸玻璃！比較層壓與回火
. 有線玻璃
. 夾絲玻璃，安全嗎？
. 傳統夾絲玻璃的危害
. 破碎玻璃
. 退火（玻璃）
. 退火與回火
. CM 113 –第30章
. 夾層安全玻璃

資料來源： Wentz Wu QOTD-20210222

知識產權具有所有者，否則它將屬於公共領域。“商業秘密是指可以出售或許可的機密信息的知識產權（IP）。” （WIPO）您的公司可能沒有製造參數作為知識產權的所有權，因為OEM客戶通常在合同中要求所有權。如果是這樣，您的公司可能會被要求承擔保護生產參數保密性的義務，而不是商業秘密權。因此，在主張知識產權之前，應首先考慮所有權。
. 參數的保密性意味著商業秘密。
. 參數的創新意味著專利。
. 參數的表達表示版權。
通常，必須完成三個步驟，才能使某項信息成為商業秘密：
–保密：該信息必須具有足夠的機密性，即通常不為人所知或難以編譯的信息。請注意，與公司客戶有關的機密個人信息受隱私法保護，不受商業秘密法保護。
–具有商業價值：信息必須為所有者提供競爭優勢或某種經濟利益，因為它是秘密的-而不是因為其固有的優點。
–合理措施：所有者必須採取合理的安全措施來維護信息的保密性。
資料來源：WIPO

參考
. 獲取知識產權：商業秘密
. 常見問題：商業秘密基礎

資料來源： Wentz Wu QOTD-20210221

802.1X 概述

802.1X 是一種連接埠存取通訊協定，保護經由驗證的網路。因此，由於此類媒體的本質，這種驗證方法的類型在 Wi-Fi 網路環境中非常好用。如果有某個 Wi-Fi 使用者經由 802.1X 驗證進行網路存取，在存取點上就會開啟一個允許通訊的虛擬連接埠。如果授權不成功，就不會提供虛擬連接埠，而通訊就會受到阻擋。

802.1X 驗證有三項基本要件：

1. 申請者在 Wi-Fi 工作站上執行的軟體用戶端
2. 驗證者 Wi-Fi 存取點
3. 驗證伺服器驗證資料庫，通常是一個 RADIUS 伺服器，例如 Cisco ACS*、Steel-Belted RADIUS* 或 Microsoft IAS*

申請者 (Wi-Fi 工作站) 與驗證伺服器 (Microsoft IAS 或其他) 之間會使用可延伸的驗證通訊協定 (EAP) 來傳遞驗證資訊。EAP 類型實際上處理和定義身份驗證。作為驗證者的存取點只是一個代理者，讓申請者與驗證伺服器能夠進行通訊。

我應該使用哪些？

要實施哪一種 EAP 類型，或是到底要不要實施 802.1X，取決於公司需要的安全性等級，以及願意投入的管理間接成本和功能。希望這裡的敘述說明以及對照表，有助於您瞭解各種不同可用的 EAP 類型。

可延伸驗證通訊協定 (EAP) 驗證類型

因為 Wi-Fi 區域網路 (WLAN) 的安全性非常重要，且 EAP 驗證類型提供了一種較好的方法來保護無線區域網路連線的安全，所以各家廠商正為無線區域網路存取點積極開發並增加 EAP 驗證類型。EAP 驗證類型很多，其中最常部署的類型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast 及 Cisco LEAP。

• EAP-MD-5 (訊息摘要) 盤問是提供基本等級 EAP 支援的一種 EAP 驗證類型。通常不建議將 EAP-MD-5 用在 Wi-Fi 區域網路的實際配置上，因為有可能推斷出使用者的密碼。它只適合作為單向的驗證；Wi-Fi 用戶端與網路之間沒有相互驗證的機制。而且，非常重要的是，它不提供導出根據每次連接作業的動態有線等效保密 (WEP) 金鑰。
• EAP-TLS (傳輸層安全性) 提供用戶端與網路之間根據憑證的共同驗證。它根據用戶端及伺服器端的憑證來執行驗證，而且可以用來動態地產生根據使用者及根據連接作業的 WEP 金鑰，進而保護無線區域網路用戶端與存取點之間後續通訊的安全。EAP-TLS 的缺點之一，就是用戶端與伺服器端都必須管理相關的憑證。對於大型的無線區域網路系統而言，這可能是非常累贅而麻煩的工作。
• EAP-TTLS (隧道式傳輸層安全性) 是由 Funk Software* 與 Certicom* 開發的類型，作為 EAP-TLS 的一項延伸。這種安全性方法透過一個加密的通道 (或「隧道」)，為用戶端與網路提供採用憑證的共同驗證，也提供了推導根據每一使用者、每一連線作業的動態 WEP 金鑰的方法。與 EAP-TLS 不同的是，EAP-TTLS 只需要伺服器端的憑證。
• EAP-FAST (經由安全通道的可延伸驗證) 是由 Cisco 所開發。而不是使用憑證執行相互驗證。EAP-FAST 透過 PAC (受保護的存取憑據) 進行驗證，而 PAC 可透過驗證伺服器動態管理。PAC 可以透過手動方式或自動提供 (一次性發佈) 給用戶端。手動提供方式是經由磁碟或安全的網路散佈方式提供給用戶端。自動提供則是在頻帶內，透過無線方式進行散佈。
• GSM 用戶識別模組 (EAP-SIM) 的「可延伸驗證通訊協定方式」是驗證機制和作業階段金鑰分配。它使用全球行動通訊系統 (GSM) 訂用者身分模組 (SIM)。EAP-SIM 使用從用戶端介面卡和 RADIUS 伺服器衍生出的動態作業階段為基礎的 WEP 金鑰來加密資料。EAP-SIM 需要您輸入使用者驗證碼或 PIN，才能與用戶識別模組 (SIM) 卡通訊。SIM 卡是特別的智慧卡，用於 “全球行動通訊系統” (GSM) 數位行動網路。
• EAP-AKA (適用 UMTS 驗證與金鑰協議的延伸驗證通訊協定方法) 是驗證與作業階段金鑰分配的 EAP 機制，使用全球行動通訊系統 (UMTS) 用戶識別模組 (USIM)。USIM 卡是使用行動網路的特殊智慧卡，使用網路來驗證指定的使用者。
• LEAP (輕量型可延伸的驗證通訊協定) 是主要用於 Cisco Aironet* WLAN 的一種 EAP 驗證類型。它使用動態產生的 WEP 金鑰將資料傳輸加密，並且支援共同的驗證。LEAP 以前屬於專利技術，但 Cisco 已透過其 Cisco 相容擴充方案授權給許多其他製造廠商。
• PEAP (防護型可延伸的驗證通訊協定) 提供了一種經由 802.11 Wi-Fi 網路來安全地傳輸驗證資料 (包括舊型的密碼式通訊協定) 的方法。PEAP 達到此一目標的方式，是在 PEAP 用戶端與驗證伺服器之間使用隧道功能。就像競爭的標準型「隧道式傳輸層安全性」(TTLS)，PEAP 只使用伺服器端的憑證來驗證 Wi-Fi 區域網路用戶端，因此可以簡化安全 Wi-Fi 區域網路的實施與管理。PEAP 是由 Microsoft、Cisco 及 RSA Security 共同開發。

回顧以上討論與對照表，通常可以得出下列結論：

• MD5 通常不使用，因為它只提供單向的驗證，也許更重要的是它不支援 WEP 金鑰的自動分配與輪轉，因此完全無法減輕手動維護 WEP 金鑰的管理負擔。
• TLS 雖然非常安全，但需要在每台 Wi-Fi 工作站上安裝用戶端憑證。PKI 基礎架構的維護，除了維護無線區域網路本身的需求外，還要額外的系統管理專業與時間。
• TTLS 利用穿隧 TLS 的方式來處理憑證的問題，因此用戶端上面不需要有憑證。因此這是一般人比較願意使用的選擇。Funk Software* 是 TTLS 的主要提倡者，要求者和驗證伺服器軟體均收取費用。
• LEAP 的歷史最悠久，而且雖然以前屬於 Cisco 的專利 (只能搭配 Cisco Wi-Fi 網路卡使用)，但 Cisco 已透過其 Cisco 相容擴充方案將 LEAP 授權給許多其他製造廠商。使用 LEAP 驗證的時候，應該強制執行複雜密碼的政策。
• 對於無法強制執行複雜密碼政策，也不想要部署憑證進行驗證的企業，如今可以選擇使用 EAP-FAST。
• 最近推出的 PEAP 與 EAP-TTLS 類似之處在於用戶端不需要有憑證。PEAP 有 Cisco 與 Microsoft 的支持，並且可從 Microsoft 取得而不需要額外付費。如果希望從 LEAP 轉變到 PEAP，Cisco 的 ACS 驗證伺服器兩者都可以執行。

另一個選擇是 VPN

許多企業並不仰賴 Wi-Fi 區域網路進行驗證與隱私保護 (加密)，而是執行 VPN。這個方法是在企業防火牆外面放置存取點，並且讓使用者經由「VPN 閘道」穿進來，就像遠端使用者一樣。實施 VPN 解決方案也有一些不利的因素，包括高成本、初步安裝非常複雜，並且在管理方面會不斷需要額外的成本。

資料來源：https://www.intel.com.tw/content/www/tw/zh/support/articles/000006999/wireless/legacy-intel-wireless-products.html

資料分類是評估資料的業務價值或其重要性和對利益相關者的意義，以確定適當的保護級別的過程。可以從各種角度評估數據的業務價值，例如保密性，完整性，可用性，收入損失，購買成本，機會成本等。分類方案，最高機密，機密，機密是一項法規要求（執行命令） 12356）。
. 未經授權的信息披露意味著保密。
. 未經授權對信息的修改或破壞意味著完整性。
. 信息或信息系統的訪問或使用中斷意味著可用性。

參考
. 外國所有權控製或影響：FOCI補充資料表
. CMMI：國防部的觀點
. 什麼是CMMI？優化開發流程的模型
. 了解和利用供應商的CMMI®努力：收購者指南（V1.3修訂版）

資料來源： Wentz Wu QOTD-20210220

關於資料治理中的安全性，適用於 歐盟的《通用數據保護條例》（GDPR） 和《 金融工具市場指令II》（MiFID II） ，以及US 31 USC 310，這是一項針對金融犯罪中的數據的法規。

在更大範圍內，《 美國多德-弗蘭克法案》 解決了保存記錄的透明度問題。在 美國首都的綜合分析和審查（CCAR） 的框架地址的資料質量和管理。在歐洲，MiFID II解決了資料收集過程，而巴塞爾協議III則包含了風險管理和資本充足性方面的資料治理規定。

在中國， 銀行和保險監督管理委員會（CBIRC） 於2018年5月發布了準則，其中包括針對金融公司的規定，分配建立資料治理系統，資料質量控制以及相關激勵和問責制的責任。在中國， 銀行和保險監督管理委員會（CBIRC）於2018年5月發布了準則，其中包括針對金融公司的規定，分配建立資料治理系統，資料質量控制以及相關激勵和問責制的責任。
儘管 針對風險資料匯總的MiFID II，Basel III和 BCBS 239規則來自歐洲，但它們確實會影響整個亞洲乃至全球的合規性。此外， 由國際會計準則理事會（IASB）創建 的 國際財務報告準則（IFRS ） 設置了可用於資料治理的分類和會計規則。任何形成其治理框架的公司都應了解這些規定。
因此，如果能夠很好地處理資料治理的特徵和規則，公司還可以部署 企業資料管理（EDM）和主資料管理（MDM） 系統，以執行資料治理中的規定。這些系統對資料進行清理，豐富和整理，以標準化資料定義方式，並生成元數據，該元數據以完整性，問責性和安全性幫助實施數據治理框架。
有了資料治理要素的知識，這既是公司本機工作的一部分，又是其合規要求的一部分，管理層將更有能力在市場上開展業務，並降低其運營和監管風險。
資料來源：GoldenSource

相關讀物
. 資料治理
. 什麼是資料治理？
. 什麼是資料治理，為什麼重要？
. 隱私，保密性和合規性資料治理指南
. 企業信息管理：資料治理的最佳實踐
. 如何創建資料治理計劃以控制您的資料資產
. 什麼是資料治理？管理資料資產的最佳實踐框架
. 資料治理的定義，挑戰和最佳實踐
. 什麼是資料治理（以及為什麼需要它）？
. 資料監管–為何，為什麼，如何，誰以及15種最佳做法

資料來源： Wentz Wu網站

容器映像(container image)是開發人員創建並註冊的程序包(package)，包含在容器中運行所需的所有文件（通常採layering分層方式組織）。映像(image) 通常包含很多 層(layer)，例如最小化的作業系統(OS)核心（又稱基礎層base layer），應用程序框架和自定義的代碼。

即使容器 主機(host) 可以直接聯繫一個 登錄中心(registry) 以取得映像並將其部署到一個容器中，容器的 協調器(orchestrators)，如Kubernetes (K8S)、Docker Swarm及Mesos等，可以自動化部署過程，從登錄中心下載映像、將其部署到容器，並管理容器運行等。

不變性(Immutability)和彈性(Elasticity)

容器就像是”寵物、牛、雞和昆蟲“這個比喻中的雞，它的部署主要是為了彈性(Elasticity)。所謂的彈性是指“規模可以自動放大並縮小(scale out and scale in)”和“性能可以自動升級與降級(scale up and scale down)”的能力。

我們會細心地照顧我們的寵物(pets)，但會毫不後悔地殺死並吃掉了牛與雞等動物。虛擬主機(VM)和容器都像是動物一樣，可以根據我們的決定隨時銷毀、更換和增加的工作負載(workload)。然而，不變性(Immutability) 和 無狀態(stateless) 是容器實現 彈性(Elasticity) 的兩個關鍵屬性。

不變性是指“隨著時間的流逝不變或無法改變。”(Google) 我們可以將容器視為唯讀；更新容器的唯一方法是用新容器將舊的取代。無狀態意味著容器不會在其本地存儲中保留數據；但是，遠程存儲庫可用於在容器之間保留(persist)和共享狀態。

大多數應用程序容器技術都實現了不變性的概念。換句話說，容器本身應作為已部署但未更改的無狀態實體進行操作。當需要升級正在運行的容器或更改其內容時，只需將其銷毀並替換為具有更新的新容器即可。
資料來源： NIST SP 800-192

疊加網路 (Overlay Network)

覆蓋網絡通常用於隔離節點之間的流量。然而，這可能會導致非容器感知防禦工具難以監控流量。

分割(Segmenting)和分組(Grouping)容器

在某些情況下，適合將相同目的、敏感性和 威脅態勢(threat posture) 的容器分組後，部署在同一個主機(host)上。但是，它並不適用於不具有相同安全要求的容器。

僅將具有相同目的，敏感性和威脅狀態的容器分組在一個主機OS內核上，以允許進行深度防禦。
按用途，敏感度和威脅狀態對容器進行細分，可以提供更多的深度防禦。可以通過使用多個物理服務器來提供此分段，但是現代虛擬機管理程序還提供了足夠強大的隔離度，可以有效地緩解這些風險。
資料來源： NIST SP 800-192

NIST應用程序容器安全性指南

NIST建議組織應遵循以下建議，以幫助確保其容器技術實施和使用的安全性：

1. 量身定制組織的運營文化和技術流程，以支持通過容器實現的新的開發，運行和支持應用程序的方式。
2. 使用容器特定的主機操作系統而不是通用的主機操作系統來減少攻擊面。
3. 僅將具有相同目的，敏感性和威脅狀態的容器分組在單個主機OS內核上，以允許進行進一步的防禦。
4. 為映像採用 特定於容器(container-specific) 的漏洞管理工具和過程，以防止資安事故。
5. 考慮使用基於硬件的對策為可信計算提供基礎。
6. 使用 容器感知(container-aware) 的運行時防禦工具。

參考

1. 什麼是容器安全性？
2. NIST SP 800-192（應用程序容器安全性指南）
3. 容器安全指南–您需要知道的一切
4. 寵物和牛的比喻展示了無服務器如何適應軟件基礎架構的前景
5. 寵物與牛的歷史以及如何正確使用類比
6. 彈性
7. 自動化彈性

原始來源: The Basics of Containerization

資料來源：https://ithelp.ithome.com.tw/articles/10256113

職位描述是職位設計的輸出之一，它考慮了“分工”的原則，需要人力資源部和研發部進行協作。職位描述是確定需要了解的最重要信息之一，因為它包含職位的職責和職責。
背景調查或安全檢查是在僱用之前進行的，通常對某些級別的員工或職位進行定期檢查。安全檢查是政府部門或機構的正式背景檢查程序；它支持基於標籤或網格的強制訪問控制（MAC）。此外，您的授權意味著根據需要知道的自由訪問控制（DAC）。

-職位描述內容（來源：Prachi M）
工作設計是將工作組織成執行特定工作所需的任務的過程。工作設計涉及將任務，職責和責任組織到一個工作單元中以實現某些目標的自覺努力。人力資源經理應該對組織內各個職位的設計和規格有濃厚的興趣。（拉傑古（K Rajguru））

-工作設計決策（來源：http : //www.whatishumanresource.com/job-design）
參考
. 工作設計
. 什麼是工作設計？
. 職位設計（WhatIsHumanreSource）
. 職位描述與職位規格

資料來源： Wentz Wu QOTD-20210219

跨站請求偽造（Cross-Site Request Forgery：CSRF）
跨站請求偽造（CSRF）是一個很好的選擇。傳統的CSRF攻擊會發生以下先決條件：

1. 受害用戶已登錄到系統（例如，在線銀行）。
2. 受害用戶單擊帶有偽造或操縱參數的惡意超鏈接。
3. 受害系統接受作為HTTP GET請求發送的URL。
   以下是緩解CSRF攻擊的技巧：
4. 系統不應接受通過GET進行的交易請求。而是應通過POST，PUT或DELETE完成事務。RESTful API通過以下方式使用HTTP動詞/方法：GET用於查詢，POST用於插入，PUT用於修改，DELETE用於刪除。
5. CSRF攻擊也可以通過iframe內的HTTP形式觸發。因此，應執行同源政策。現代Web瀏覽器默認情況下啟用同源策略。
6. 攻擊者可以從攻擊工具發送CSRF攻擊。減輕這種風險的最終方法是以每種HTTP形式實現存儲在隱藏輸入中的身份驗證代碼。Microsoft ASP.NET MVC很好地支持此功能。

重播(Replay)
重播可能由中間人，惡意用戶或無意行為觸發。重播消息可能會或可能不會被操縱。該問題並不建議緩解重放攻擊。
參考
. 跨站點腳本（XSS）
. 跨站請求偽造（CSRF）
. 防止ASP.NET MVC應用程序中的跨站點請求偽造（CSRF）攻擊
. 財務導向的Web應用程序中的常見安全問題
. 同源政策
. 同源策略：現代瀏覽器中的評估
. 現代瀏覽器中的原始策略執行
. 同源政策的權威指南
. 靜默提交POST表單（CSRF）的示例

資料來源： Wentz Wu QOTD-20200520

通用標準（ISO 15408）指定了評估IT產品而不是供應商資格的標準。

-通用標準評估

FOCI（外國所有權，控制權和影響力）
FOCI（外國所有權，控制權和影響力）是常見的法規要求，例如32 CFR§2004.34和4.30.30。在加拿大的外國所有權，控制權或影響力。CFR是美國聯邦法規（Code of Federal Regulations）的首字母縮寫。

CMMI（能力成熟度模型集成）
作為收單方，您可以通過有效地使用從供應商的CMMI-DEV的開發計劃中獲得的信息，從供應商的CMMI-DEV的使用中受益，並避免與不切實際的期望相關的陷阱。（Osiecki）
“ CMMI可以使用兩種不同的方法進行評估：分階段和連續。分階段方法得出的評估結果是五個成熟度級別之一。連續方法產生四個能力級別之一。” （維基百科）

-CMM和CMMI成熟度級別比較

OWASP SAMM（軟件保障成熟度模型）
鑑於ISACA收購了CMMI Institute，並且材料擁有版權，因此OWASP的SAMM（軟件保證成熟度模型）是一個開放項目。

-SAMM模型結構

參考
. 外國所有權控製或影響：FOCI補充數據表
. CMMI：國防部的觀點
. 什麼是CMMI？優化開發流程的模型
. 了解和利用供應商的CMMI®努力：收購者指南（V1.3修訂版）

資料來源： Wentz Wu QOTD-20210218

根據機密性，應將要求國家安全信息的第12356號行政命令分類為“最高機密”，“機密”或“機密”只是對數據進行分類的一種方法。
計算機，軟件，網絡等是資產。可以根據不同的標准或觀點對它們進行分類或分類。該問題介紹了FIPS 199所要求的方式。一般而言，可以根據“業務價值”對資產進行分類或分類。Wentz Wu的書 《有效的CISSP：安全和風險管理》中有詳細信息。

-分類系統
如果您在NIST SP 800-60 V2 R1中查找有問題的信息類型，則表明航空運輸的安全類別為“低”。但是，您可以證明評估的合理性並修改建議值。在這篇文章中，此航空運輸的可用性等級為“中等”僅用於演示目的。

NIST RMF中的“分類系統”步驟需要兩個文檔：FIPS 199和NIST SP 800-60。
. FIPS 199定義了確定信息系統的安全類別及其處理的信息類型的標準和過程。
. 信息類型的高水位標記(high water mark)確定了有關機密性，完整性和可用性的系統安全類別。
就機密性而言，“公共”和“機密”是常見的數據分類方案。這不是FIPS 199和RMF中採用的方式。“災難性”是用於評估潛在影響的因素。

-NIST RMF–風險管理框架（NIST SP 800-12 R1）

-安全目標的潛在影響定義（來源：FIPS 199）

-任務信息的安全分類（來源：NIST SP 800-60 V2 R1）

資料來源： Wentz Wu QOTD-20210217

-具有關鍵風險因素的通用風險模型（NIST SP 800-30 R1）

關鍵風險因素(Key Risk Factors)
風險(Risk)
風險是威脅事件發生的可能性(likelihood)以及事件發生時潛在不利影響(impact)的函數。

可能性(LIKEIHOOD)
在評估可能性，組織檢查的漏洞是威脅事件可以利用，也是使命/業務功能的敏感性，為其中沒有安全控件或安全控制的可行的實現存在的事件（例如，由於函數依賴，尤其是外部依賴性）。

影響(IMPACT)
威脅事件的影響程度是指由於未經授權披露信息，未經授權修改信息，未經授權破壞信息，或丟失信息或信息系統可用性而可能導致的危害程度。

風險模型(Risk Model)
風險模型(Risk Model)在識別威脅事件的詳細程度和復雜程度上有所不同。當威脅事件被高度明確地識別後，就可以對威脅情景進行建模，開發和分析。

威脅(Threat)
任何情況或事件(circumstance or event)都可能通過信息系統通過未經授權的訪問，破壞，披露，修改信息等對信息系統，組織資產，個人，其他組織或國家產生不利影響的 組織活動（包括使命，職能，形像或聲譽）和/或拒絕服務。威脅事件（Threat events ）是由威脅來源（threat sources.）引起的。

威脅來源（Threat Source）
旨在有意利用漏洞或可能偶然觸發漏洞的情況和方法的意圖和方法。威脅代理（threat agent.）的同義詞。

威脅演員（THREAT ACTOR）
構成威脅的個人或團體。

威脅事件（Threat Event）
可能導致不良後果或影響的事件或情況。

脆弱性（Vulnerability）
應用程序，系統，設備或服務的錯誤，缺陷，弱點或暴露，可能導致機密性，完整性或可用性失敗
NIST特殊出版物800-39提供了有關風險管理層次結構中所有三個級別的漏洞以及如果威脅利用此類漏洞可能發生的潛在不利影響的指南。

威脅場景（THREAT SCENARIO）
通常，風險是一系列威脅事件的結果，每個威脅事件都利用一個或多個漏洞。組織定義威脅情景，以描述由威脅源引起的事件如何造成或造成傷害。威脅情景的開發在分析上很有用，因為除非並且直到利用了其他漏洞，否則某些漏洞可能不會受到利用。
威脅情景講述了一個故事，因此對於風險交流和分析都非常有用。

預處置條件（Predisposing Condition）
預處置條件是組織，任務或業務流程，企業體系結構，信息系統或運營環境中存在的條件，該條件會影響（即增加或減少）威脅事件一旦引發就導致不利後果的可能性。對組織運營和資產，個人，其他組織或國家產生影響。
預處置的概念也與術語易感性或暴露有關。如果威脅無法利用漏洞來造成不利影響，則組織不會受到風險（或承受風險）的影響。例如，不使用數據庫管理系統的組織不容易受到SQL注入的威脅，因此不容易受到這種風險的影響。
資料來源
. NIST CSRC詞彙表
. NIST SP 800-30 R1

需要知道（Need-to-know）
授權的官方信息持有人做出的決定，即預期的接收者需要訪問特定的官方信息才能執行公務。

最低特權（Least privilege）
一種安全原則，將授權人員的訪問權限（例如，程序執行權限，文件修改權限）限制為執行其工作所需的最低限度。

職責分離（Separation of Duty ：SOD）
一種安全原則，將關鍵職能劃分給不同的工作人員，以確保沒有人擁有足夠的信息或訪問特權來進行破壞性欺詐。

雙重控制（Dual control）
使用兩個或多個單獨的實體（通常是個人）共同運行以保護敏感功能或信息的過程。沒有一個實體能夠訪問或使用這些材料，例如，加密密鑰。

拆分知識（Split knowledge）
將加密密鑰分為n個密鑰組件的過程，每個組件都不提供原始密鑰的知識。隨後可以組合這些組件以重新創建原始的加密密鑰。如果需要了解k個（其中k小於或等於n個）組成部分的知識來構造原始密鑰，則任何k – 1個密鑰組成部分的知識都不會提供有關原始密鑰的信息，但可能會提供其長度。注意，在本建議書中，拆分知識並不旨在涵蓋關鍵份額，例如門限或多方簽名中使用的份額。

取證（Forensics）
以保持數據完整性的方式收集、保留和分析計算機相關數據以用於調查目的的做法。

資料來源： Wentz Wu網站

軟件工程學院（SEI），1984年

軟件工程學院（SEI）於1984年 在卡內基梅隆大學成立， 是由聯邦政府資助的研發中心（FFRDC），致力於推進軟件工程實踐並提高依賴軟件的系統的質量。（2000年6月21日•SEI新聞稿）

能力成熟度模型（CMM），1986〜1995

能力成熟度模型（CMM）是 在對與資助該研究的美國國防部簽約的組織收集的數據進行研究後於1986年 創建 的 開發模型。

1986年，漢弗萊（Humphrey ）從IBM退休後加入賓夕法尼亞州匹茲堡卡內基梅隆大學的軟件工程學院，此後美國國防部軟件工程學院（SEI）積極開發了該模型 。應美國空軍的要求，他開始正式製定其流程成熟度框架，以幫助美國國防部評估軟件承包商的能力，以此作為授予合同的一部分。

瓦茨·漢弗萊（Watts Humphrey）的能力成熟度模型（CMM）於1988年出版，並於1989年作為一本書出版在《管理軟件過程》中。1991 年啟動 了功能成熟度模型在五個 成熟度級別 上的完整定義，即一組已定義的 過程域 和 實踐 ，而 版本1.1在1993年1月完成 。CMM由其主要作者Mark C. Paulk，Charles V. Weber，Bill Curtis和Mary Beth Chrissis於1995年 出版 。美利堅合眾國美國紐約。

資料來源：  CMM，維基百科

五個成熟水平

以下摘要摘自文章 “軟件的能力成熟度模型的歷史”：

• 在最初的 級別1， 軟件過程的特徵是臨時的，有時甚至是混亂的。很少定義過程，而成功取決於 個人的努力和英勇。“特設”有時被貶義使用，但是“特設”僅表示“特殊”。
• 在級別2的 可重複 級別上，建立了基本的項目管理流程來跟踪成本，進度和功能。必要的過程規程已經到位，可以在具有類似應用程序的項目上重複早期的成功。
• 在定義的 級別3上， 記錄並標準化了用於管理和工程活動的軟件過程，並將其集成到組織的一組標準軟件過程中。
• 在管理 級別4上， 收集了軟件過程和產品質量的詳細度量。軟件過程和產品都得到了定量的理解和控制。
• 在優化 級別5上，通過 過程反饋以及試行創新思想和技術的反饋，可以實現持續的過程改進。

能力成熟度模型集成（CMMI）

能力成熟度模型集成（CMMI）是一個過程級改進培訓和評估程序。CMMI是功能成熟度模型（CMM）或軟件CMM的後繼產品。它是由卡內基梅隆大學（CMU）開發並由CMMI研究所管理，於2016年3月1日收購併成為ISACA的子公司。

進化

• 1988年：軟件CMM
• 1991年：軟件版本1.0的CMM
• 1993年：軟件版本1.1的CMM
• 2002年：CMMI版本1.1
• 2006年：CMMI 1.2版
• 2010年：CMMI版本1.3
• 2016年：CMMI Institute被ISACA收購
• 2018年：CMMI 2.0
  版CMMI 2.0版將CMMI-DEV，CMMI-ACQ和CMMI-SVC合併為一個模型，其中每個過程區域都可能專門引用這三個方面中的一個或多個。

最初，CMMI涉及三個感興趣的領域：

• CMMI-DEV：CMMI用於開發（產品和服務開發）
• CMMI-SVC：用於服務的CMMI（服務建立，管理）
• CMMI-ACQ：用於採購的CMMI（產品和服務的採購）

五個成熟水平

參考

• 軟件功能成熟度模型的歷史
• ISACA®-CMMI®研究所獲得的常見問題解答
• 能力成熟度模型
• 版本1.1的軟件功能成熟度模型
• 能力成熟度模型集成
• CMMI —能力成熟度模型集成
• CMMI v2.0
• CMMI for Development，版本1.3
• CMMI V2.0與V1.3有何不同？
• 能力成熟度模型（CMM）的級別
• 什麼是軟件屋？

資料來源：https://wentzwu.com/2020/11/27/cmm-and-cmmi/

• 

當使用Rainbow表時，它幾乎將上下文限制為攻擊散列的密碼文件/存儲庫。但是，攻擊者可以發起暴力攻擊，以手動或自動嘗試針對系統輸入用戶密碼，或者在沒有字典或Rainbow表支持的情況下破解密碼文件/存儲庫。換句話說，無論密碼如何存儲，暴力密碼攻擊都可以應用於系統或密碼文件/存儲庫。
密碼通常可以以下格式存儲：

1. 原始值（純文本）
2. 加密值（密文）
3. 哈希值（彩虹表僅適用於此格式）
4. 鹽值
   暴力攻擊適用於上述所有四種格式，而Rainbow表僅適用於哈希密碼。

定義
. 一個暴力攻擊（brute-force attack）是一種上採用了一個密碼攻擊窮舉搜索（exhaustive search）一組密鑰，密碼或其他數據。（ISO / IEC 11770-4：2017）
. 一個窮舉攻擊（exhaustive attack），又名暴力攻擊（brute-force attack），是一種“試錯嘗試，試圖違反計算機安全可能的口令或密碼的值。” （ISO / IEC 2382：2015）
. 暴力密碼攻擊（brute force password attack）是“通過試圖訪問阻塞的裝置的方法的多個數字/字母數字口令的組合。” （NIST SP 800-101修訂版1）
. 一個暴力攻擊（brute force attack）是“在密碼學中，涉及試圖攻擊所有可能的組合，以找到一個匹配。” （NISTIR 8053）
. 一個字典攻擊（dictionary attack）（基於密碼的系統）是對使用搜索的的密碼“攻擊定列表的密碼。基於密碼的系統上的字典攻擊可以使用特定密碼值的存儲列表或自然語言字典中的單詞存儲列表。”（ISO / IEC 11770-4：2017）
. 鹽值（Salt）是作為單向或加密功能的輔助輸入而合併的隨機變量，用於導出密碼驗證數據。” （ISO / IEC 11770-4：2017）

資料來源： Wentz Wu 網站

以下資料來源為：https://zh.wikipedia.org/wiki/%E8%9B%AE%E5%8A%9B%E6%94%BB%E5%87%BB

蠻力攻擊（英語：Brute-force attack）^[1]，又稱為窮舉攻擊（英語：Exhaustive attack）或暴力破解，是一種密碼分析的方法，即將密碼進行逐個推算直到找出真正的密碼為止。例如：一個已知是四位數並且全部由阿拉伯數字組成的密碼，其可能共有10000種組合，因此最多嘗試9999次就能找到正確的密碼。理論上除了具有完善保密性的密碼以外，利用這種方法可以破解任何一種密碼，問題只在於如何縮短試誤時間。有些人運用電腦來增加效率，有些人透過字典攻擊來縮小密碼組合的範圍。^[2]

字典攻擊

破譯一個相當長度並且包含各種可能字元的密碼所耗費的時間相當長，其中一個解決辦法就是運用字典。所謂「字典攻擊」就是使用預先製作好的清單，例如：英文單字、生日的數字組合、以及各種常被使用的密碼，等等，利用一般人習慣設定過短或過於簡單的密碼進行破譯，很大程度上縮短了破譯時間。

防護手段

最重要的手段是在構建系統時要將系統設計目標定為即便受到暴力破解的攻擊也難以被攻破。以下列舉了一些常用的防護手段：

• 增加密碼的長度與複雜度。
• 在系統中限制密碼嘗試的次數。
• 密碼驗證時，將驗證結果不是立即返回而是延時若干秒後返回。
• 限制允許發起請求的客戶端的範圍。
• 禁止密碼輸入頻率過高的請求。
• 將密碼設定為類似安全權杖那樣每隔一定時間就發生變化的形式。
• 當同一來源的密碼輸入出錯次數超過一定閾值，立即通過郵件或簡訊等方式通知系統管理員。
• 人為監視系統，確認有無異常的密碼試錯。
• 使用雙因子認證，例如使用者登入帳號密碼時，系統同時發送簡訊到使用者的手機，使用者需輸入簡訊內的認證碼。

NIST SP 800-88 R1引入了三種消毒方法：清除（clear），清除(Purge)和銷毀(destory)。“銷毀(Destory)”是一種消毒方法，使用最先進的實驗室技術使數據恢復和媒體重用變得不可行。
物理破壞可以“破壞”介質，但“不能”完全破壞介質，從而無法恢復數據。切碎是物理破壞的一個很好的例子，但是可以恢復“一些”數據。
Sutapa Sarkar有一個很好的解釋，如下：

參考
. 盡職調查：16 CFR§682.3 –正確處理消費者信息。

資料來源： Wentz Wu QOTD-20210216

公開金鑰認證（英語：Public key certificate），又稱數位憑證（digital certificate）或身分憑證（identity certificate）。是用於公開金鑰基礎建設的電子檔案，用來證明公開金鑰擁有者的身分。此檔案包含了公鑰資訊、擁有者身分資訊（主體）、以及數位憑證認證機構（發行者）對這份檔案的數位簽章，以保證這個檔案的整體內容正確無誤。擁有者憑著此檔案，可向電腦系統或其他使用者表明身分，從而對方獲得信任並授權存取或使用某些敏感的電腦服務。電腦系統或其他使用者可以透過一定的程序核實憑證上的內容，包括憑證有否過期、數位簽章是否有效，如果你信任簽發的機構，就可以信任憑證上的金鑰，憑公鑰加密與擁有者進行可靠的通訊。

簡而言之，認證機構用自己的私鑰對需要認證的人（或組織機構）的公鑰施加數位簽章並生成憑證，即憑證的本質就是對公鑰施加數位簽章。^[1]

數位憑證的其中一個最主要好處是在認證擁有者身分期間，擁有者的敏感個人資料（如出生日期、身分證號碼等）並不會傳輸至索取資料者的電腦系統上。透過這種資料交換模式，擁有者既可證實自己的身分，亦不用過度披露個人資料，對保障電腦服務存取雙方皆有好處。

人們透過信任數位憑證認證機構的根憑證、及其使用公開金鑰加密作數位簽章核發的公開金鑰認證，形成信任鏈架構，已在TLS實作並在全球資訊網的HTTPS、在電子郵件的SMTPS和STARTTLS廣泛應用。業界現行的標準是國際電信聯盟電信標準化部門制定的X.509^[2]，並由IETF發行的RFC 5280詳細述明。而在不少國家/地區，都已立法承認使用數位憑證所作的數位簽章擁有等同親筆簽章的法律效力（如歐洲聯盟^[3][4]、香港^[5][6]、台灣^[7]、美國、加拿大）。

憑證種類[編輯]

根憑證（自簽憑證）、中介憑證和終端實體（TLS伺服器/客戶端）憑證的關係

自簽憑證[編輯]

在用於小範圍測試等目的的時候，使用者也可以自己生成數位憑證，但沒有任何可信賴的人簽章，這種自簽章憑證通常不會被廣泛信任，使用時可能會遇到電腦軟體的安全警告^[8]。

根憑證[編輯]

主條目：根憑證

根憑證獲得廣泛認可，通常已預先安裝在各種軟體（包括作業系統、瀏覽器、電子郵件軟體等），作為信任鏈的起點，來自於公認可靠的政府機關（如香港郵政^[9]、台灣網路資訊中心）、軟體公司（如Google^[10]、Let’s Encrypt）、憑證頒發機構公司（如VeriSign）等，與各大軟體商透過嚴謹的核認程序才在不同的軟體廣泛部署。由於部署程序複雜費時，需要行政人員的授權及機構法人身分的核認，一張根憑證有效期可能長達十年以上。在某些企業，也可能會在內部電腦自行安裝企業自簽的根憑證，以支援內部網路的企業級軟體；但是這些憑證可能未被廣泛認可，只在企業內部適用。

中介憑證[編輯]

認證機構的一個重要任務就是為客戶簽發憑證，雖然廣泛認可的認證機構都已擁有根憑證，相對應的私鑰可用以簽署其他憑證，但因為金鑰管理和行政考慮，一般會先行簽發中介憑證，才為客戶作數位簽署。中介憑證的有效期會較根憑證為短，並可能對不同類別的客戶有不同的中介憑證作分工。

授權憑證[編輯]

主條目：授權憑證

授權憑證又稱屬性憑證，本身沒有公鑰，必須依附在一張有效的數位憑證上才有意義，其用處是賦予相關擁有人簽發終端實體憑證的權力；某些情況下，如果只在短期內授予憑證機構簽發權力，便可以不改變（縮短）該機構本身持有的憑證的有效期。這種情況，類似於某人持有長達十年期的護照，而只透過簽發短期入境簽證，來個別賦予護照持有人額外權力。

終端實體憑證[編輯]

其他不會用作簽發其他憑證的，都可稱為終端實體憑證，在實際的軟體中部署，以便建立加密通道時應用。

TLS伺服器憑證[編輯]

伺服器通常以域名形式在網際網路上提供服務，伺服器憑證上主體的通用名稱就會是相應的域名，相關機構名稱則寫在組織或單位一欄上。伺服器憑證（包括公鑰）和私鑰會安裝於伺服器（例如Apache），等待客戶端連接時協定加密細節。客戶端的軟體（如瀏覽器）會執行認證路徑驗證演算法以確保安全，如果未能肯定加密通道是否安全（例如憑證上的主體名稱不對應網站域名、伺服器使用了自簽憑證、或加密演算法不夠強），可能會警告使用者。

萬用字元憑證[編輯]

主條目：萬用字元憑證

如果伺服器憑證上主體的通用名稱（或主體別名）一欄以萬用字元前綴，則該憑證可以用於旗下的所有子域名，特別適合較具規模、或設有多個子網站的機構一次過申領，套用於多個伺服器上；即使未來建立新的子域名，也可以套用。但萬用字元不可用於擴展認證憑證上。

內容欄位[編輯]

一般遵從X.509格式規範的憑證，會有以下的內容，它們以欄位的方式表示^[12]：

• 版本：現行通用版本是 V3
• 序號：用以辨識每一張憑證，特別在復原憑證的時候有用
• 主體：擁有此憑證的法人或自然人身分或機器，包括：
  • 國家（C，Country）
  • 州/省（S，State）
  • 地域/城市（L，Location）
  • 組織/單位（O，Organization）
  • 通用名稱（CN，Common Name）：在TLS應用上，此欄位一般是網域
• 發行者：以數位簽章形式簽署此憑證的數位憑證認證機構
• 有效期開始時間：此憑證的有效開始時間，在此前該憑證並未生效
• 有效期結束時間：此憑證的有效結束時間，在此後該憑證作廢
• 公開金鑰用途：指定憑證上公鑰的用途，例如數位簽章、伺服器驗證、使用者端驗證等
• 公開金鑰
• 公開金鑰指紋
• 數位簽章
• 主體別名：例如一個網站可能會有多個網域（www.wikipedia.org, zh.wikipedia.org, zh.m.wikipedia.org 都是維基百科）、一個組織可能會有多個網站（*.wikipedia.org, *.wikibooks.org, *.wikidata.org 都是維基媒體基金會旗下的網域），不同的網域可以一併使用同一張憑證，方便實作應用及管理

申領及使用[編輯]

向憑證機構申領簽發電子憑證的過程

數位憑證一般由數位憑證認證機構簽發，簡單的程序如下：

申領[編輯]

1. 鮑伯在自己的機器上使用密碼學安全偽亂數生成器產生一對足夠強的密鑰，鮑伯的私鑰不會向任何人傳送。
2. 鮑伯把他的公鑰，連同主體訊息、使用目的等組成憑證簽署請求，傳送給認證機構伊凡。
3. 伊凡（用另外一些管道）核實鮑伯的身分。
4. 如果伊凡信任這個請求，他便使用鮑伯的公鑰和主體訊息，加上憑證有效期、用途等限制條件，組成憑證的基本資料。
5. 伊凡用自己的私鑰對鮑勃的公鑰加上數位簽章並生成憑證。
6. 伊凡把生成的憑證傳送給鮑伯（伊凡也可以透過憑證透明度公布他簽發了新的憑證）。

使用[編輯]

主條目：公開金鑰加密 § 加密過程

1. 鮑伯可以隨便把憑證向外發布。
2. 鮑伯與愛麗絲事先可能互不認識，但鮑伯與愛麗絲都信任伊凡，愛麗絲使用認證機構伊凡的公鑰驗證數位簽章，如果驗證成功，便可以信任鮑勃的公鑰是真正屬於鮑伯的。^[1]
3. 愛麗絲可以使用憑證上的鮑勃的公鑰加密明文，得到密文並傳送給鮑伯。
4. 鮑伯可以可以用自己的私鑰把密文解密，得到明文。

資料來源：https://zh.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E8%AA%8D%E8%AD%89

分類方案適用於整個組織。RD負責人定義一個是不合適的。此外，由於發布了資產分類準則，這意味著分類方案已作為組織標準得以實施。
. 資產的類型很多。數據只是其中之一。以一百萬美元的價格購買的資產顯然比兩千美元的資產更有價值，並且值得採取更多的保護措施。
. 可能造成一百萬美元損失的資產比具有兩千美元損失的資產需要更多的安全控制。
. 強制訪問控制（MAC）通常在政府部門中實施；很少或一些私營企業可以實施它。但是，在Windows Vista和更高版本中，Microsoft提供了強製完整性控制（MIC），這是一種強制實施完整性的MAC實現，其中，所有主題和對像都具有MIC標籤，如下圖所示。

-Windows 10中的強製完整性控制（來源：Windows Club）
“資產分類是資產的系統的安排的通過將資產分配給一個過程命名的類基於（組，類別，層，或水平）的標準，如法律或法規的要求，靈敏度，臨界，衝擊，或商業價值來確定其保護要求。一個分類方案指的是名為類標準，並用於分類程序“。（Wentz Wu，有效的CISSP：安全和風險管理）第12356號行政命令是機密性分類方案的一個很好的例子。

12356號行政命令
第1.1節分類級別。
（a）國家安全信息（以下稱“機密信息”）應分為以下三個級別之一：
（1）“最高機密”應應用於信息，未經許可的披露在合理情況下可能會導致異常嚴重的後果。損害國家安全。
（2）“秘密”應適用於可能被合理地預期對國家安全造成嚴重損害的未經授權的披露。
（3）“機密”應適用於可能會合理地預期對國家安全造成損害的未經授權的信息披露。

參考
. 有效的CISSP：安全和風險管理
. 第12356號行政命令–國家安全信息
. Windows 10中的強製完整性控制

資料來源： Wentz Wu QOTD-20210214

“失敗不可怕，可怕是你不往前進”。
~Steven

邁向CISSP成功之路

2020/07/16 今天是我初步通過CISSP考試的一天。從2019年6月上Wentz Wu的實體課程。他只跟我說“跟他的腳步一起邁進，考取CISSP只是時間的早晚”。

從一開始的蕃茄時鐘的讀書方式，想偷懶就吃維他命，規律的讀書計畫及有效讀唸書。在這段期間我遇到很多困難，但是在Wentz Wu鼓勵下一直往考取CISSP路前進。課程中遇到Sky & Ethen & Joy這些好同學讓我再學習CISSP路上豐富許多。

我本身是從Sybex OSG的書開始閱讀起，閱讀時要讀懂，不要讀心安（不是讀很多次就會過）。每章閱讀前需要先做後面的題目，做這些題目是了解自己哪些知識不足之處，這樣在進行閱讀時就自己不懂的地方可以加強。

閱讀完成第一次時，這樣已經對於CISSP中的知識有初步的了解，並且建議規劃好自己的讀書計畫，利用PDCA來Recheck自己的讀書計畫（建議閱讀時間要有250小時以上->我本身超過250小時）。

實體課程的部分建議要上課前要預習，下課後要複習老師上過的知識（與Sybex書籍及NIST相關重要指引互相配合閱讀）。5週的時間會相當的快，不過也會大量的吸收知識，切記與同學多多討論及老師問問題，這樣會讓自己更快進入狀況。

每天跟隨Wentz Wu的QOTD做題目，這些題目會讓你思考&了解更多相關的知識（做這些題目並不是要知道答案，要本身去思考每個答案的用意有不同的思考邏輯）。加上Wentz Wu出的書“The Effective CISSP”也是釐清風險管理的一本好書。

其實CISSP的考試都隨Exam Outline來考，隨時隨地要修正自己讀書的方向，要與Exam Outline對齊，並且跟隨Wentz QOTD題目來每天做題也是重點，作題時並不是做對答案而是要經過思考，對於選擇題的其他答案也要去了解。

我本身有做完Sybex OSG考題及ISC2 官方考題 2nd Edition（作題目建議要超過3000題以上）。作題目是讓自己去了解不同觀點的知識，而且自己本身也要了解相關的知識，最後上場前”讓自己成為一間企業的CISO來思考每個考題，你的決定會成就你的成功“。

考取CISSP是一條艱辛的路，但是沒有辛苦過哪來甜蜜的果實，

“失敗不可怕，可怕是你不往前進”。
~Steven

文章的最後只想說一句話”跟隨Wentz Wu老師的腳步來走，取得CISSP證照只是時間早晚的問題“。最後感謝Wentz Wu帶領我成為CISSP，當然考取證照只是一開始，接下也要好好經營資安之路。

每個人唸書的方式不同僅提供大家參考。

PS. 讓我深刻的一片文章”CISSP很難考嗎？“

Steven在IT邦幫忙的中文部落格

---

Steven於2020/07/21補充:

本身考取cissp提供以下幾點的方式提供大家參考：

書籍：

1.  (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, the 8th Edition
2. (ISC)2 CISSP Official Practice Tests, 2nd Edition
3. The Effective CISSP: Security and Risk Management

網站

1. Wentz QOTD
2. 太陽花筆記
3. Sybex官方學習指南附贈線上題庫

YouTube

1. Destination Certification

課程

1. 吳文智老師的CISSP課程

社群

1. CISSP Exam Preparation – Study Notes and Theory
2. Effective CISSP

考試重點

1. CISSP考試大綱
2. NIST的相關重要指引

---

Today, 2020/7/16 is the day I provisionally passed the CISSP exam. I started Wentz’s CISSP Exam Prep course last June. He told me, “follow me and don’t give up! You definitely will pass the CISSP exam sooner or later.”

I followed my plan regularly, studied effectively, and used the tomato clock to control the pace of study. If I was exhausted someday, I would browse or pretend to study CISSP books for minutes to fool my brain and impress myself that I kept studying every day. We call it “taking the vitamin for the day.”

I have encountered difficulties in these two years, but Wentz has been encouraging me to keep moving towards my goal to succeed in the CISSP exam. I also met Sky, Ethen & Joy in the course. They enrich my journey in CISSP.

I followed Wentz’s QOTDs (CISSP Question Of The Day). These questions provoke thinking, and you can learn more detailed knowledge (practicing these questions is not to know the answer but to think about the intention of each option and the answer by different thinking logic).

Wentz’s book, The Effective CISSP: Security and Risk Management, is a good one to clarify concepts of risk management.

Finally, thanks to Wentz Wu for guiding me to CISSP. It is only the beginning to pass the CISSP exam and about time for me to plan for my professional career in cybersecurity.

For those who are preparing for the CISSP exam, I would say:
“Failure is not terrible; the truly terrible is you stop moving.”

PS: I am deeply impressed by the post “Is the CISSP Exam Hard?“

一個調查是收集和用於特定目的的證據分析。
行政調查（Administrative Investigation）
. 行政調查是指對員工所謂的不當行為的內部調查。（法律內幕）
. 行政調查由當地管理層，當地人事代表和/或員工關係進行，以應對通常與人事有關且不屬於犯罪性質的投訴或疑慮。例如，可以響應以下任何條件或指控而發起行政調查。
–申訴或投訴
–財產濫用/損壞/盜竊
–行為不端
–禁止騷擾或歧視
–威脅，恐嚇或暴力行為
–違反大學政策，規則和/或行為標準，或
–違反法律。（北卡羅來納州立大學）

民事調查(Civil Investigation)
. 民事調查會發現並收集進行民事審判所需的證據。
民事審判是一種法院案件，涉及兩名個人公民，他們在與公民權利有關的問題上存在分歧。例如，如果一個人因家庭事故造成的損失提起訴訟，該案很可能會作為民事審判進行。民事調查人員有責任收集此類審判必不可少的證據。（PI NOW）
. 當發生民事事件時，無論是進行審判還是試圖在法院外和解，各方都有責任適當準備捍衛自己的立場。民事案件是指當事方或當事方未能履行協議，履行服務或履行其法律義務時，在兩方之間發生的爭端。（全球情報顧問）

監管調查(Regulatory Investigation)
. 監管調查是指由政府，監管，執法，專業或法定機構針對您發起的正式聽證會，官方調查，檢查，詢問，法律訴訟或任何其他類似程序。（法律內幕）

刑事偵察(Criminal Investigation)
. 刑事調查是一門應用科學，涉及對事實的研究，然後將這些事實用於刑事審判。（維基百科）
. 應用於犯罪領域的犯罪調查是指收集有關犯罪的信息（或證據）以達到以下目的的過程：
（1）確定是否犯罪。
（2）識別肇事者；
（3）逮捕肇事者；和
（4）提供的證據來支持一個信念在法庭上。（JRank）

調查標準，準則和協議(Investigation Standards, Guidelines, and Protocols)

1. 世衛組織–調查議定書
2. CHS聯盟–調查指南
3. 西澳大利亞州監察員–進行調查的準則
4. 統一調查準則
5. 澳大利亞政府調查標準（AGIS）
6. 難民署調查資源手冊
7. ISO / IEC 27043：2015 —信息技術—安全技術—事件調查的原理和過程
8. ISO / IEC 27041：2015 —信息技術—安全技術—確保事件調查方法的適用性和適當性的指南
9. 事故和事故徵候調查（ISO 9001：2015，ISO 14001：2015和ISO 45001：2018）

參考
. DOJ民事調查和DOJ刑事調查有什麼區別？
. 法律證據

資料來源： Wentz Wu網站

零信任是一種網絡安全範式，用於支持可見性的細粒度，動態和以數據為中心的訪問控制。
（訪問控制基於需要了解和最小特權的原則，通過身份驗證，授權和計費來中介資源的使用。）
零信任網絡安全範例
下圖總結了我對“零信任”的研究，該研究綜合了各種來源，例如Jericho論壇，DoD GIG / Black Core，Forrester的零信任網絡，Google的BeyondCorp，CSA的SDP和NIST SP 800-207。

零信任概念(Zero Trust Concepts)
. 以數據為中心的訪問控制
. 沒有固有的信任（信任是特權；它是獲得和給予的）
. 訪問前和連續驗證
. 細粒度的規則和動態策略
. 檢查，記錄，監視和可見性

零信任架構(Zero Trust Architecture)
. 主題和數據，服務，設備和基礎架構
. 控制平面和數據平面
. 政策執行點
. 策略決策點（策略管理員和策略引擎）
. 信任算法及其輸入（基於屬性和風險）

約翰·金德瓦格（John Kindervag）和零信任（Zero Trust）
約翰·金德瓦格（John Kindervag）在2010年創造了零信任（Zero Trust），以消除依賴周邊安全性的“信任”概念。他主張邊界安全性已被破壞並且不再足夠，並且將對網絡位置的盲目信任稱為“破壞性信任”。我相信“固有授權”是他的“零信任”網絡模型中“信任”的核心思想，並總結出他的“零信任”的主要思想如下：
不要依賴網絡位置（粗粒度的邊界），而要使用集成的分段網關（NGFW，下一代防火牆）將數據和相關資源（他稱為MCAP或微核和邊界）分組為較小的部分。

零信任神話(Zero Trust Myths)
他現在是Palo Alto Networks的現場CTO。該公司介紹了“零信任神話”：

1. 零信任的目標是使系統可信。
2. 這是複雜，昂貴且費時的。
3. 零信任與身份有關。
4. 您可以在第3層進行零信任。
   除第一個神話外，我都同意，第一個神話將“信任”視為“固有授權”的同義詞。我們不會構建依賴於固有授權（即上面所謂的“信任”）的系統，但我寧願將信任定義為對安全性或信任度的信任。因此，我們確實希望消除固有的授權（盲目/破碎的信任），以使系統可信（安全和可信），即交付安全可靠的系統並提供保證。

參考
. NIST SP 800-207
. 約翰·金德瓦格
. 零信任的真相（Palo Alto）
. 將安全性構建到網絡的DNA中：零信任網絡架構（Forrester）
. 國防部全球信息網格（GIG）建築願景
. BeyondCorp –企業安全性的新方法（Google）
. 軟件定義的邊界（SDP）體系結構指南（CSA））
. 零信任架構和解決方案（Gartner）

資料來源：Wentz Wu 網站

-主引導記錄（MBR）和引導扇區（來源：Syed Fahad）
. 該多態病毒沉思修改整個系統，這樣的散列值變化比較簽名來躲避殺毒軟件的檢測其代碼。通過加密其代碼，加密病毒是一種多態病毒。
. 在多方病毒感染不僅文件，而且主引導記錄（MBR）。
. 該隱形病毒通常攻擊的主引導記錄（MBR）或操作系統（OS）文件要引導儘早和主宰整個系統，包括操作系統，所以它不能被殺毒軟件檢測到。
. 該伴侶病毒使用相同的文件名，但與具有如果在一個命令行界面（CLI）未指定的文件擴展名被執行更高優先級的不同的文件擴展名。在DOS或舊的Windows系統上使用的一種舊技術是.com程序優先於.exe可執行文件。

參考
. 主引導記錄
. 正在啟動
. 開機自檢

資料來源： Wentz Wu QOTD-2021013

會話劫持經常通過XSS（跨站點腳本）或嗅探發生。這個問題主要集中在中間人的嗅探上。輸入驗證可防止攻擊者提交惡意代碼以通過XSS劫持用戶的會話。
. 使用TLS的端到端加密可保護郵件免受嗅探攻擊。它減少了中間人劫持會話的可能性。
. 如果會話cookie被盜並重播，則自動註銷將使會話cookie失效或使會話cookie無效，並減少影響。
. 較長且隨機的會話ID使得攻擊者更難以猜測或欺騙會話cookie，從而降低了可能性。

參考
. 什麼是會話劫持以及如何防止它？
. 會話劫持攻擊：了解和預防

資料來源： Wentz Wu QOTD-20210212

每次您訪問網站時，從登錄到退出之間的時間稱為“會話”。大多數用戶每天都會發起數十個會話，而不會出現問題。但是，並非每次會議都是安全的，因為網絡犯罪分子會找到理由和方法來接管他們。

儘管所謂的會話劫持攻擊已經發生了多年，但隨著越來越多的人在遠程工作並依靠網站和應用程序來履行職責，人們對這種威脅有了新的認識。這種會議攻擊的一種常見形式是接管視頻會議。例如，聯邦調查局（FBI）在2020年3月報告說，在馬薩諸塞州的在線高中課堂上，一個身份不明的人撥入虛擬教室，“大聲褻瀆，然後大喊老師的家庭住址”。儘管像這樣的視頻會議攻擊現在已經引起了所有人的關注，但它們只是冰山一角。

會話劫持攻擊的目標

EC-Council解釋說，當黑客通過竊取或劫持維護會話所需的HTTP cookie破壞活動會話時，就會發生會話接管。還可以通過預測劫持者已經擁有其訪問憑據的特定用戶何時進行活動會話來接管會話。這使攻擊者可以更深入地進入用戶的網絡。

入侵者的目標是擁有對該會話的完全訪問權限，並賦予他們與實際授權用戶相同的權限。同時，在會話中，黑客可以修改服務器中的信息，從而使其易於返回。

會話接管以幾種不同的方式發生。這些包括：

• 中間人/瀏覽器人攻擊：攔截兩個連接或系統之間的通信。
• 會話嗅探：查找未加密的通信以查找會話ID。
• 跨站點腳本攻擊：使用惡意代碼竊取會話ID。
• 可預測的會話ID：已經通過身份驗證的會話；用戶長時間保持登錄狀態，或者攻擊者已經可以訪問用戶的憑據。

除了入侵視頻會議之外，黑客還利用會話接管來控制在線銀行業務，在電子商務網站上進行購買並竊取諸如知識產權或個人身份信息之類的敏感數據。會話接管還通過允許入侵者加密敏感文件並要求付費以對其進行解密來設置勒索軟件風格的攻擊。一旦進入會話，黑客就可以真正做他們想做的任何事情，使公司服務器和設備上的所有內容都處於危險之中。2020年3月，一個漏洞懸賞獵人阻止了針對Slack的會話劫持行為，該漏洞發現者以HTTP處理請求的方式發現了一個漏洞，該漏洞可能暴露了數百家公司的私人數據。

如何防止會話接管

會話接管並非無害。它們可能導致組織和個人用戶的數據洩露和財務損失。採取一些戰略性安全措施可以防止會話接管，包括：

• 加密網頁上傳輸的所有數據。
• 在網站上使用HTTPS認證。
• 完成會話後，請正確註銷會話；如果未積極使用它們，則關閉網站將打開。
• 使用網絡安全工具保護網站免受潛在威脅。
• 保持瀏覽器更新和修補。

儘管會話劫持已經存在了很長時間，但隨著2020年遠程工作的增加，它已成為一種新的緊迫性。保護您的網站不受入侵者的侵害，並使客戶和消費者對您的站點的訪問更加安全應該是當務之急。

了解Verizon的DNS安全防護如何能夠幫助保護您的公司免受會話劫持和其他威脅。

資料來源：https://enterprise.verizon.com/resources/articles/how-to-prevent-session-hijacking-attacks/

會話是Internet通訊的重要組成部分，大部分都是基於Web的。會話劫持是通過利用活動的Web會話進行的Web攻擊。會話是兩個計算機系統之間進行通信的時間段。Web服務器需要身份驗證，因為通過網站進行的每個用戶通信都使用多個TCP / IP通道。

身份驗證的一種常見形式始終是使用用戶名和密碼，它們通常是預定義的。身份驗證成功後，Web服務器將會話令牌發送給用戶，然後將其存儲在啟用會話的用戶計算機中。會話ID可以作為cookie存儲在HTTP標頭或URL中。

會話劫持如何工作？

當入侵者通​​過劫持或竊取用於在大多數網站上維護會話的HTTP cookie來利用受到威脅的活動會話時，就會發生會話劫持。另一種方法是通過預測活動會話，以在未經檢測的情況下獲得對遠程Web服務器中信息的未授權訪問，因為入侵者使用了特定用戶的憑據。會話令牌或HTTP標頭可以通過多種方式進行洩露和操縱，包括：

• 會話嗅探：當Web服務器和用戶之間存在未加密的通信，並且會話ID以純文本形式發送時，嗅探可用於劫持會話。因此，如果入侵者正在監視網絡，則他或她可以獲取會話ID，然後他們可以使用該會話ID自動向Web服務器進行身份驗證。在監視網絡時，可以使用符合道德規範的黑客工具（例如Wireshark和Kismet）從網絡捕獲敏感數據包（例如會話ID）。
• 跨站點腳本（XSS）：OWASP將跨站點腳本命名為十大Web應用程序安全風險之一。服務器可能容易受到跨站點腳本攻擊的攻擊，從而使攻擊者能夠從用戶端執行惡意代碼，從而收集會話信息。攻擊者可以鎖定受害者的瀏覽器為目標，並發送腳本化的JavaScript鏈接，該鏈接在用戶打開後會在瀏覽器劫持會話中運行惡意代碼。

會話劫持對策

使用安全的HTTP或SSL在用戶瀏覽器和Web服務器之間進行端到端加密，以防止未經授權訪問會話ID。VPN也可以用於加密所有內容，而不僅僅是使用個人VPN解決方案工具對網絡服務器的流量進行加密。

Web服務器可以生成長而隨機的會話cookie，從而減少了對手猜測或預測會話cookie可能是什麼的機會。

會話ID監視器還可以用於監視是否正在使用這些ID，並且可以使用諸如Blacksheep之類的實用程序將偽造的會話ID發送到網絡並監視入侵者是否正在嘗試使用該會話ID。

如果會話終止使用，應該自動註銷，並且應該要求客戶端使用其他會話ID重新進行身份驗證。另外，可以指示服務器從客戶端計算機中刪除會話cookie，以最大程度地減少會話cookie在網絡中暴露的時間。

如何成為一名道德黑客

成為一名合格的道德黑客（CEH）當然不是一件容易的事。本課程將使您沉浸在Hacker Mindset中，以便您能夠防禦將來的攻擊。在完成“道德認證黑客”培訓後，您將已掃描，測試，黑客攻擊並保護了自己的網絡和系統。有了這些知識，您就可以使組織放心，因為他們知道當今最大和最嚴峻的網絡犯罪分子的網絡更加安全。

資料來源：https://blog.eccouncil.org/what-is-session-hijacking-and-how-to-prevent-it/

通過審核（查看日誌）來跟踪“誰做了什麼”來確定或確定責任制。記帳記錄“已完成的工作”，而身份驗證則標識並驗證“誰做了”。不管活動是否被授權，都應記錄或記錄該活動，如下圖/ OSG問題所示。
但是，懲罰措施是基於責任確認後的授權。授權的行為將不會受到懲罰，而未經授權的行為將受到懲罰。

-圖片來源：CISSP官方學習指南（OSG）在線測試銀行

定義不一致（Inconsistent Definitions）
此問題旨在促使AAA，身份驗證，授權和計費的定義保持一致。用“審計”或“問責制”代替“會計”的最後一個“ A”並不少見。我強烈建議使用“會計”，因為無法進行審計，並且如果不進行會計就無法得出問責制。我的帖子《另一個AAA》也談到了這個問題。
無論我們從字面上解釋它還是將其與NIST詞彙表或RFC等權威資料進行比較，官方學習指南（OSG）中對審計和會計的以下描述在邏輯上都是不合理的。
審核記錄與系統和主題相關的事件和活動的日誌記帳（也稱為問責制）審核日誌文件以檢查合規性和違規性，以使主題對其行為負責

斯圖爾特（James M.）查普，邁克；吉布森，達里爾。CISSP（ISC）2認證的信息系統安全專業人士官方學習指南（Kindle位置1737-1739）。威利。Kindle版。

會計（Accounting）
在財務會計中，“會計是記錄與業務有關的財務交易的過程。會計過程包括匯總，分析這些交易並將其報告給監督機構，監管機構和稅收實體。”（investopedia）
在IT中，記帳是“出於趨勢分析，審計，計費或成本分配目的而收集有關資源使用情況的信息的行為。” （RFC 3539）
簡而言之，會計跟踪活動並記錄日誌。審計跟踪是用於審計的相關日誌的集合，或“按時間順序的記錄，用於重建和檢查與安全相關的事務（從開始到最終結果）中圍繞或導致特定操作，過程或事件的活動順序。” （CNSSI 4009）

稽核（Auditing）
稽核是“獨立審查和檢查記錄和活動，以評估系統控制的充分性，以確保遵守既定的政策和操作程序。” （CNSSI 4009）
問責制是“安全性目標，它產生了將實體的操作唯一地追溯到該實體的要求。” （CNSSI 4009）

驗證（Authorization）
驗證請求的身份的行為，它是來自相互已知的名稱空間的預先存在的標籤形式的消息，它是消息的始發者（消息身份驗證）或通道的端點（實體身份驗證）。（RFC 3539）

授權（Authorization）
確定特定權利（例如對某些資源的訪問權）是否可以授予特定憑證的提交者。（RFC 3539）
參考
. 基於風險的稽核
. 什麼是會計？
. RFC 3539：身份驗證，授權和會計（AAA）傳輸配置文件
. RFC 2866：RADIUS記帳

資料來源： Wentz Wu QOTD-20210211

訪問控制機制
通常通過三種機制來管理或控制訪問：身份驗證，授權和會計（AAA）。
. 身份驗證是“驗證用戶，進程或設備的身份的過程，通常將其作為允許訪問信息系統中的資源的先決條件”。（FIPS 200）
識別是主體聲明或聲稱具有身份以便身份驗證過程可以繼續進行的過程。
. 授權是“驗證請求的操作或服務是否已批准用於特定實體的過程。” （NIST SP 800-152）
. 會計是記錄主題和對象活動的條目或日誌的過程，就像保留財務會計日記帳一樣。

會計，審計和問責制（又是AAA）
日誌是會計的工作成果。可以通過查看或檢查（審核）一組相關日誌（審核記錄）以唯一地將活動跟踪到實體來實現問責制。
. 問責制是“安全性目標，它產生了將實體的操作唯一地追溯到該實體的要求。” （NIST SP 800-33）
. 審計是“獨立審查和檢查記錄和活動，以評估系統控制的充分性，以確保遵守既定的政策和操作程序。” （NIST SP 800-12 Rev.1）
. 審核跟踪是“按時間順序的記錄，用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作，程序或事件的活動順序。” （NIST SP 800-53修訂版4）

定義不一致
我以與Sybex CISSP官方學習指南相反的方式對待會計和審計。它將審核定義為“記錄與系統和主題相關的事件和活動的日誌”，而將會計（也稱為問責制）定義為“查看日誌文件以檢查合規性和違規性，以使主體對其行為負責。”

資料來源： Wentz Wu 網站

業務就是提供產品和服務以創造價值並實現組織願景和使命。一個業務驅動是指“指導或控制”的運動，活動和業務過程中創造和提供的因子或函數值。業務使能器，這間接提供價值，是支持業務驅動的輔助因子或功能。

作為業務推動者的業務職能通常直接貢獻收入。作為業務推動者，安全功能對於當今的組織至關重要，它可以間接地創造價值，並且必須集成到業務功能或流程中以支持業務驅動程序。

在Porter的價值鏈中，業務推動力是主要活動，業務推動力是支持活動。

資料來源： Wentz Wu網站

-HTTP請求（來源：Chua Hock-Chuan）

測試人員在HTTP請求中操縱URL的查詢字符串是一個濫用案例，例如GET / customer / delete？country = all。甚至最終用戶也可以通過添加或修改瀏覽器地址欄中的URL和查詢參數來提交HTTP GET請求。在RESTful API流行之前，使用HTTP謂詞GET實現CRUD（創建，檢索，更新和刪除）數據操作並不罕見，該行為容易受到濫用/濫用攻擊。

誤用/濫用案例(Misuse/Abuse Case)
濫用案例可以定義為：
一種使用實現者不期望的功能的方法，允許攻擊者根據攻擊者的動作（或輸入）影響功能或使用功能的結果。
資料來源：OWASP

Synopsys定義了一個濫用案例，如下所示：
–濫用和濫用案例描述了用戶如何濫用或利用軟件功能控件的弱點來攻擊應用程序。
–當對業務功能的直接攻擊（可能帶來收入或提供積極的用戶體驗）受到攻擊時，這可能會導致切實的業務影響。
–濫用案例也可以成為提高安全性要求的有效方法，從而可以對這些關鍵業務用例提供適當的保護。
資料來源：OWASP

模糊測試（Fuzz Testing）
模糊測試用於通過提供隨機生成的測試數據來測試接受結構輸入的應用程序。我們沒有看到測試中使用了任何隨機數據。

壓力測試（Stress Testing）
壓力測試側重於性能和可伸縮性；網絡，CPU，內存的工作量逐漸增加，以一定程度的工作量和系統上限來觀察系統性能。測試中沒有關於性能和可伸縮性的任何提示。

綜合交易（Synthetic Transaction）
從嚴格意義上講，合成交易是一種主動的網站“監視”技術，通過在網絡瀏覽器中部署行為腳本來模擬真實客戶（或最終用戶）通過網站的路徑來完成。但是，合成交易對於高流量站點（例如電子商務）在發布之前進行測試至關重要。（monitis）

參考
. HTTP（超文本傳輸協議）基礎
. 代碼審查
. 模糊測試
. 回歸測試
. 什麼是綜合事務監控（誰需要它？…）
. 濫用案例備忘單

資料來源： Wentz Wu QOTD-20210209

費根檢查是一種依靠組檢查方法的正式檢查，即使它可以針對有限的一組預先確定的常見軟件錯誤自動進行。

• 模糊測試或模糊測試(Fuzzing or fuzz testing)是一種自動化的軟件測試技術，涉及將由模糊器生成的無效，意外或隨機數據作為輸入提供給計算機程序。然後監視程序是否存在異常，例如崩潰，內置代碼斷言失敗或潛在的內存洩漏。通常，模糊器用於測試採用結構化輸入的程序。（維基百科）
• 用戶界面測試(User interface testing)可以自動化。本文“ GUI測試工具的比較”中有詳細信息。
• 代碼檢查(Code review)（有時稱為對等檢查）是一種軟體質量保證活動，其中一個或幾個人主要通過查看和讀取程序的部分源代碼來檢查程序，他們在實施後或中斷實施時進行檢查。在靜態代碼分析中（static code analysis），主要檢查由自動化程序執行。（維基百科）

費根檢查（Fagan Inspection）

費根檢查是試圖在軟體開發過程的各個階段中發現文檔中的缺陷（例如源代碼或正式規範）的過程。它以邁克爾·法根（Michael Fagan）的名字命名，後者被認為是正式軟體檢查的發明者。

儘管已證明費根檢查方法非常有效，但已有多個研究人員提出了改進建議。例如，Genuchten一直在研究電子會議系統（EMS）的使用，以提高會議的效率並取得積極成果。

其他研究人員提出了使用軟體的功能，該軟件可以保留檢測到的錯誤的數據庫，並自動掃描程序代碼以查找這些常見錯誤。這又將導致生產率的提高。

資料來源：維基百科

參考

• 代碼審查
• 模糊測試
• 回歸測試
• 法根檢查
• GUI測試工具比​​較

資料來源： Wentz Wu QOTD-20210208