分類
CISSP

AES(高級加密標準)

https://ithelp.ithome.com.tw/upload/images/20210723/20132160tqxQvsYwr2.jpg
-密碼學
這兩種DES(數據加密標準)AES(高級加密標準)是美國的加密標準。傳統 DES 使用 IBM 開發的 Lucifer,而當前標準 AES 通過開放選擇指定 Rijndael。通常將 DES 和 AES 稱為密碼本身。例如,AES 和 Rijndael 的不同之處在於,“Rijndael 本身指定的塊和密鑰大小可以是 32 位的任意倍數,最小為 128 位,最大為 256 位。” 但是,AES 指定了 128 位的“固定塊大小”,但密鑰大小有 128、192 或 256 位三種選擇。(維基百科

DES 和 AES 是分組密碼。塊是一組位。塊是塊密碼的基本處理單元。DES 將數據分成 64 位塊,而 AES 以 128 位塊處理數據。但是,密鑰可能不等於數據塊。DES 密鑰大小名義上是 64 位(8 字節),但一個字節的每一位都是所謂的用於錯誤控制的奇偶校驗位。因此,有效密鑰長度為 56 位(64-8=56)。DES 塊大小比其後繼 AES 小得多,AES 使用 128 位塊。

因為分組密碼使用固定大小的塊,明文不能總是分成整個塊或塊大小的倍數。“ Padding ”是將數據加入明文中以便將其劃分為完整塊的過程。位置(開始、中間或結束)、單位(位或字節)和模式(全為零或全為 1)是填充問題。ANSI X9.23、PKCS#5、PKCS#7、ISO/IEC 7816-4 等是處理填充數據模式的標準。
ECB 模式中的 AES 可能不涉及初始化向量 (IV)。分組密碼可以在各種操作模式下工作。最著名的電子代碼簿 (ECB) 不涉及啟動向量,但可能會生成重複的模式。

DES 於 1970 年代初由 IBM 開發,基於 Horst Feistel 的早期設計。它於 1976 年被批准為美國加密標準。三重 DES (3DES/TDES) 是 DES 在 1990 年代被破壞後的一種解決方法。3DES 使用相同的 DES 算法三次以增加工作因子。3DES 需要三個密鑰(每個 DES 操作一個);但是,第一次使用的密鑰可以在第三次處理時使用。名義上,3DES 使用三個密鑰,但實際上它可以使用兩個密鑰(第一次和第三次使用相同的密鑰)。DES3-EEE 意味著使用三個不同的密鑰應用 DES 加密三次。

參考
分組密碼
高級加密標準
數據加密標準
三重DES
奇偶校驗位(維基百科)
填充(密碼學)
初始化向量
java中AES-256加密需要多大的初始化向量?
RSA 中的典型塊大小是多少?

資料來源: Wentz Wu QOTD-20210629

分類
CISSP

金鑰叢集(Key clustering)

哈希上下文中的碰撞通常是指哈希函數從兩個不同的輸入消息生成相同哈希值的情況。有些,例如維基百科,可能會在哈希語中使用聚類。在 CISSP 中,聚類特別指密碼使用兩個不同的秘密密鑰生成相同密碼的情況。因此,更具體地說,哈希碰撞或金鑰叢集。

服務器欺騙是一種干擾因素,它結合了兩個概念:服務器群和欺騙攻擊。 Pharming 是一種網絡攻擊,旨在將網站的流量重定向到另一個虛假網站。 Pharming 可以通過更改受害者計算機上的主機文件或利用 DNS 服務器軟件中的漏洞來進行。 DNS 服務器是負責將 Internet 名稱解析為其真實 IP 地址的計算機。受損的 DNS 服務器有時被稱為“中毒”。 Pharming 需要不受保護地訪問目標計算機,例如更改客戶的家用計算機,而不是公司業務服務器。資料來源:維基百科

衝突檢測也可用於網絡通信環境中,並與帶有衝突檢測的載波偵聽多路訪問 (CSMA/CD) 相關,“一種媒體訪問控制 (MAC) 方法,最顯著地用於早期的局域網以太網技術。它使用載波偵聽來推遲傳輸,直到沒有其他站正在傳輸。這與衝突檢測結合使用,其中發送站在發送幀時通過檢測來自其他站的傳輸來檢測衝突。當檢測到這種衝突情況時,該站停止發送該幀,發送一個阻塞信號,然後等待一個隨機時間間隔,然後再嘗試重新發送該幀。” (維基百科

參考
金鑰叢集和碰撞
哈希表

資料來源: Wentz Wu QOTD-20210628

分類
CISSP

模糊測試

模糊測試 (fuzz testing, fuzzing)是一種軟體測試技術。其核心思想是將自動或半自動生成的亂數據輸入到一個程式中,並監視程式異常,如崩潰,斷言(assertion)失敗,以發現可能的程式錯誤,比如記憶體流失。模糊測試常常用於檢測軟體或電腦系統的安全漏洞。

模糊測試最早由威斯康星大學的Barton Miller於1988年提出。[1][2]他們的工作不僅使用隨機無結構的測試資料,還系統的利用了一系列的工具去分析不同平台上的各種軟體,並對測試發現的錯誤進行了系統的分析。此外,他們還公開了原始碼,測試流程以及原始結果資料。

模糊測試工具主要分為兩類,變異測試(mutation-based)以及生成測試(generation-based)。模糊測試可以被用作白盒,灰盒或黑箱測試。[3]檔案格式與網路協定是最常見的測試目標,但任何程式輸入都可以作為測試物件。常見的輸入有環境變數,滑鼠和鍵盤事件以及API呼叫序列。甚至一些通常不被考慮成輸入的物件也可以被測試,比如資料庫中的資料或共享記憶體。

對於安全相關的測試,那些跨越可信邊界的資料是最令人感興趣的。比如,模糊測試那些處理任意使用者上傳的檔案的代碼比測試解析伺服器設定檔的代碼更重要。因為伺服器設定檔往往只能被有一定權限的使用者修改。

資料來源:https://zh.wikipedia.org/wiki/%E6%A8%A1%E7%B3%8A%E6%B5%8B%E8%AF%95

分類
專案管理

工具技術組 PMBOK 第 6 版

項目管理工具和技術
專案管理工具和技術

PMBOK 第 6 版根據其目的對工具和技術進行分組。組名描述了需要做的事情的意圖。組中的工具和技術代表了實現意圖的不同方法。

專案管理工具和技術組

PMBOK 第 6 版有七組 132 種不同的專案管理工具。以下列表根據它們的組列舉了這些工具的細分。

  • 09 –數據收集工具
  • 27 – 數據分析技術
  • 15 –數據表示工具和技術
  • 02 – 決策技巧
  • 02 – 溝通技巧
  • 17 – 人際關係和團隊技能
  • 60 – 未分組的工具和技術

數據收集工具

數據收集工具和技術用於從各種來源收集數據和信息。以下列表列舉了九種數據收集工具。

  • 基準測試
  • 頭腦風暴
  • 檢查表
  • 清單
  • 專門小組
  • 採訪
  • 市場調查
  • 問題和調查
  • 統計抽樣

數據分析技術

數據分析工具和技術用於組織、評估和評估數據和信息。有27種數據分析工具。以下段落列舉了重要的數據分析技術。

  • 質量成本
  • 成本效益分析
  • 決策樹分析
  • 掙值分析
  • 自製或外購分析
  • 過程分析
  • 回歸分析
  • 風險概率和影響評估
  • 根本原因分析
  • SWOT分析
  • 趨勢分析
  • 方差分析
  • 假設情景分析

另請閱讀:七種基本質量工具 PMP 考試指南

數據表示工具和技術

數據表示工具和技術以可視化格式表示數據和信息。有 15 種數據表示工具。以下列表列舉了一些重要的數據表示工具。

  • 親和圖
  • 因果圖
  • 控製圖
  • 流程圖
  • 直方圖
  • 思維導圖
  • 概率和影響矩陣
  • 散點圖
  • 利益相關者參與評估矩陣
  • 利益相關者映射/代表。

另請閱讀: 質量控制數據表示工具

決策技巧

決策技術用於從不同的備選方案中選擇行動方案。以下是兩種決策技術。

  • 多準則決策分析
  • 表決

溝通技巧

溝通技巧是用於在不同專案利益相關者之間傳遞信息的工具。以下是兩種溝通技巧。

  • 反饋
  • 演示文稿

人際關係和團隊技能

人際關係和團隊技能包括用於領導專案團隊的 17 種不同技術。以下列表列出了一些重要的人際交往能力。

  • 積極傾聽
  • 衝突管理
  • 文化意識
  • 做決定
  • 情商
  • 便利化
  • 影響
  • 領導
  • 動機
  • 談判
  • 名義組技術
  • 政治意識

未分組的工具和技術

該組包含 60 種不同工具的詳盡列表。以下列表描述了該類別中一些最重要的專案管理技術。

結論

總而言之,PMBOK 第 6 版中描述的 132 個專案管理工具是可用於成功交付專案的良好實踐。PMBOK 中的附錄 X6 將所有 132 種工具與其流程和相應的知識領域進行了映射。有關這些技術的完整列表,請參閱專案管理知識體系,第 6 版®。

資料來源:https://milestonetask.com/tools-techniques/#.YPdiThMzbMJ

分類
CISSP

錯誤接受率 (FAR) 和錯誤拒絕率 (FRR)

https://ithelp.ithome.com.tw/upload/images/20210719/20132160vWTGlq7gNh.png
-來源:(ISC)² 社區
在基於生物識別的系統中,靈敏度/閾值和 CER/EER 通常可以互換使用。交叉錯誤率 (CER) 或等錯誤率 (EER) 越低,生物識別系統犯的錯誤就越少。
更改(降低或提高)CER 或 EER 意味著更換(未配置)生物識別系統/機器。CER 或 EER 不能由客戶“配置”。客戶可以根據自己的安全需要調整或配置“靈敏度”或“閾值”來改變FAR/FRR。
. 降低靈敏度/閾值意味著接受更少的匹配生物特徵模式、增加 FAR 和降低 FRR,以及更多便利。
. 提高靈敏度/閾值意味著需要更多匹配的生物識別模式,增加 FRR 並降低 FAR,從而提高安全性。

資料來源: Wentz Wu QOTD-20210624

分類
CISSP

存取令牌(Access Token)

. “斷言”( Assertion)是 SAML(安全斷言標記語言)中使用的術語,相當於 OIDC(OpenID Connect)中的“聲明”。OIDC 將 ID Token(用於身份驗證)與 Access Token(用於授權)區分開來。OAuth2 中使用的存取令牌是“承載”令牌。擁有存取令牌作為不記名令牌的任何一方都可以存取相關資源。
. XACML 用於授權,它基於 XML,非常適合 SAML。
. 存取令牌和不記名令牌通常可以互換使用。但是,存取令牌字面上表示存取控製或授權的概念。不記名令牌是令牌的一種,它強調令牌的匿名性。

RFC 6750,OAuth 2.0 Bearer Token Usage,是一個規範,“描述瞭如何在 HTTP 請求中使用不記名令牌來存取 OAuth 2.0 受保護的資源。擁有不記名令牌(“持有者”)的任何一方都可以使用它來存取相關資源(無需證明擁有加密密鑰)。為了防止濫用,需要保護不記名代幣在存儲和運輸過程中不被洩露。”
但是,它也使用術語“存取令牌”描述了客戶端和資源服務器之間的通信,如下圖所示:
https://ithelp.ithome.com.tw/upload/images/20210718/20132160FnRDal2e90.png

參考
刷新令牌:何時使用它們以及它們如何與 JWT 交互

資料來源: Wentz Wu QOTD-20210623

分類
CISSP

VPN和EAP

https://ithelp.ithome.com.tw/upload/images/20210717/201321609I2IjOL4qp.jpg
-VPN 和 EAP
在 802.1X 中,請求者與身份驗證者通信,身份驗證者將身份驗證消息轉發到身份驗證服務器。請求者不直接向身份驗證服務器進行身份驗證。
一般而言,網絡訪問服務器(NAS)是指提供遠程訪問服務的服務器,例如撥號、VPN 等。VPN 服務器可以看作是一種類型的 NAS。

https://ithelp.ithome.com.tw/upload/images/20210717/201321604HQYq7JnZs.jpg
-EAP 協議比較

https://ithelp.ithome.com.tw/upload/images/20210717/20132160QVhg5w1Yri.jpg
-可擴展身份驗證協議 (EAP)

資料來源: Wentz Wu QOTD-20210625

分類
CISSP

ACID

ACID,是指資料庫管理系統DBMS)在寫入或更新資料的過程中,為保證事務(transaction)是正確可靠的,所必須具備的四個特性:原子性(atomicity,或稱不可分割性)、一致性(consistency)、隔離性(isolation,又稱獨立性)、持久性(durability)。

在資料庫系統中,一個事務是指:由一系列資料庫操作組成的一個完整的邏輯過程。例如銀行轉帳,從原帳戶扣除金額,以及向目標帳戶添加金額,這兩個資料庫操作的總和,構成一個完整的邏輯過程,不可拆分。這個過程被稱為一個事務,具有ACID特性。ACID的概念在ISO/IEC 10026-1:1992文件的第四段內有所說明。

四大特性[編輯]

  • Atomicity(原子性):一個事務(transaction)中的所有操作,或者全部完成,或者全部不完成,不會結束在中間某個環節。事務在執行過程中發生錯誤,會被回滾(Rollback)到事務開始前的狀態,就像這個事務從來沒有執行過一樣。即,事務不可分割、不可約簡。[1]
  • 一致性(Consistency):在事務開始之前和事務結束以後,資料庫的完整性沒有被破壞。這表示寫入的資料必須完全符合所有的預設約束觸發器級聯回滾等。[1]
  • 事務隔離(Isolation):資料庫允許多個並發事務同時對其數據進行讀寫和修改的能力,隔離性可以防止多個事務並發執行時由於交叉執行而導致數據的不一致。事務隔離分為不同級別,包括未提交讀(Read uncommitted)、提交讀(read committed)、可重複讀(repeatable read)和串行化(Serializable)。[1]
  • Durability(持久性):事務處理結束後,對數據的修改就是永久的,即便系統故障也不會丟失。[1]

資ㄌㄧㄠ

分類
CISSP

CAT-7

7類雙絞線(英語:Category 7 cable)是ISO/IEC 11801 Class F一般稱為CAT-7線。此標準定義4對各別遮蔽的雙絞線包覆在一個遮蔽內,是在萬兆乙太網路和其它向下相容CAT-6A/CAT-6的網路上所使用到的傳輸線材標準。設計能提供大於100米的10Gbps萬兆乙太網傳輸,可使用常用的8P8C連結器插頭。使用GG45TERA連結器插頭作傳輸時,傳輸頻寬寬度可達到600MHz,為CAT-5e的6倍、CAT-6的2.4倍。

Class FA

Class FA (全稱:Class F Augmented),可稱為CAT-7a線,增強了雙絞線的傳輸能力,傳輸頻寬可高達1000 MHz。能分別於50米內和15米內,提供40Gbps四萬兆乙太網和100Gbps十萬兆乙太網傳輸。[1][2]正式名稱為 ISO 11801 Amendment 1 (2008) 和 ISO 11801 Amendment 2 (2010),目前未被TIA/EIA承認。

資料來源:https://zh.wikipedia.org/wiki/CAT-7

分類
CISSP

數據丟失防護軟體

數據丟失防護軟件檢測潛在的數據洩露/數據過濾傳輸,並通過監視、[1]在使用(端點操作)、運動(網絡流量)和靜止(數據存儲)時檢測和阻止敏感數據來防止它們. [2]

術語“數據丟失”和“數據洩漏”是相關的,通常可以互換使用。[3]如果包含敏感信息的媒體丟失並隨後被未經授權的一方獲取,則數據丟失事件變成數據洩漏事件。然而,數據洩漏是可能的,而不會丟失源端的數據。與數據洩漏預防相關的其他術語是信息洩漏檢測和預防 (ILDP)、信息洩漏預防 (ILP)、內容監控和過濾 (CMF)、信息保護和控制 (IPC) 和擠壓預防系統 (EPS),而不是入侵防禦系統

類別[編輯]

處理數據洩露事件所採用技術手段可以分為:標準安全措施、高級/智能安全措施、訪問控制和加密以及指定的DLP系統,儘管目前只有後一類被認為是DLP。[4]

標準措施[編輯]

標準安全措施,例如防火牆、入侵檢測系統(IDS) 和防病毒軟件,是保護計算機免受外部和內部攻擊的常用產品。例如,防火牆的使用可防止外部人員訪問內部網絡,入侵檢測系統可檢測外部人員的入侵企圖。內部攻擊可以通過檢測發送機密信息的特洛伊木馬的防病毒掃描以及使用在客戶端 – 服務器架構中運行且客戶端設備上不存儲個人或敏感數據的瘦客戶端來避免。

高級措施[編輯]

先進的安全措施採用機器學習和時間推理算法來檢測對數據的異常訪問(例如,數據庫或信息檢索系統)或異常的電子郵件交換,用於檢測具有惡意意圖的授權人員和基於活動的驗證(例如,識別擊鍵動態)的蜜罐) 和用戶活動監控,用於檢測異常數據訪問。

指定係統[編輯]

指定的系統主要是由有權訪問敏感信息的人員有意或無意地檢測和防止未經授權的複製或發送敏感數據的嘗試。為了將某些信息歸類為敏感信息,它們使用了諸如精確數據匹配、結構化數據指紋識別、統計方法、規則和正則表達式匹配、已發布詞典、概念定義、關鍵字和上下文信息(例如數據來源)等機制。[5]

類型[編輯]

網絡[編輯]

網絡(動態數據)技術通常安裝在周邊附近的網絡出口點。它分析網絡流量以檢測違反信息安全策略發送的敏感數據。多個安全控制點可以報告要由中央管理服務器分析的活動。[3]

端點[編輯]

端點(使用中的數據)系統在內部最終用戶工作站或服務器上運行。與基於網絡的系統一樣,基於端點的技術可以處理內部和外部通信。因此,它可用於控制用戶組或用戶類型(例如“中國牆”)之間的信息流。他們還可以控制電子郵件和即時消息在他們到達公司檔案之前的通信,這樣被阻止的通信(即從未發送過的通信,因此不受保留規則的約束)在隨後的法律發現情況中不會被識別。端點系統的優勢在於它們可以監視和控制對物理設備(例如具有數據存儲功能的移動設備)的訪問,並且在某些情況下可以在信息加密之前訪問信息。端點系統還可以訪問提供上下文分類所需的信息;例如來源或作者生成的內容。一些基於端點的系統提供應用程序控制來阻止機密信息的嘗試傳輸並提供即時的用戶反饋。它們必須安裝在網絡中的每個工作站上(通常通過DLP Agent),不能在移動設備(例如手機和 PDA)上使用,也不能在實際無法安裝的地方使用(例如在網吧的工作站上)。

數據識別[編輯]

DLP 包括用於識別機密或敏感信息的技術。有時與發現混淆,數據識別是組織使用 DLP 技術確定要查找的內容的過程。

數據分為結構化或非結構化。結構化數據位於電子表格等文件中的固定字段中,而非結構化數據是指文本文檔、PDF 文件和視頻中的自由格式文本或媒體。[6]估計所有數據的 80% 是非結構化的,20% 是結構化的。[7]

數據丟失保護 (DLP) [編輯]

有時,數據分發者會無意或有意地將敏感數據提供給一個或多個第三方,或以授權方式自行使用。稍後,某些數據在未經授權的地方(例如,在網絡上或在用戶的膝上型電腦上)被發現。然後分銷商必須調查損失的來源。

靜止數據[編輯]

靜止數據”特指不移動的信息,即存在於數據庫或文件共享中的信息。企業和政府機構非常關注此信息,因為數據在存儲中未使用的時間越長,未經授權的個人就越有可能檢索到這些信息。保護此類數據涉及訪問控制、數據加密和數據保留策略等方法。[3]

使用中的數據[編輯]

使用中的數據”是指用戶當前正在與之交互的數據。保護使用中數據的 DLP 系統可以監控和標記未經授權的活動。[3]這些活動包括涉及敏感數據的屏幕捕獲、複製/粘貼、打印和傳真操作。通過通信渠道傳輸敏感數據可能是有意或無意的嘗試。

運動中的數據[編輯]

移動中的數據”是通過網絡傳輸到端點的數據。網絡可以是內部的,也可以是外部的。保護動態數據的 DLP 系統監控通過各種通信渠道在網絡上傳輸的敏感數據。[3]

資料來源:https://en.wikipedia.org/wiki/Data_loss_prevention_software

分類
CISSP

軟體保證成熟度模型(SAMM)-安全冠軍(Security Champion)

https://ithelp.ithome.com.tw/upload/images/20210716/20132160mSQuc8iswi.png
-SAMM 概述(來源:https : //owaspsamm.org
軟體保障成熟度模型(SAMM)是一個 OWASP 專案,一個規範模型和一個開放框架,使用簡單、定義完整且可衡量。SAMM 2.0 包含五個業務功能(治理、設計、實施、驗證和操作),它們主要遵循邏輯順序或映射到通用軟體開發生命週期。每個業務功能都有通過兩個流連接的三個安全實踐,將它們組織成一個層次結構以進行性能測量。換句話說,每個安全實踐的活動屬於流 A 或流 B。安全實踐的成熟度級別,作為軟體保證目標,可以分為三個級別。

[Stream B] 確定教育和指導的安全擁護者,成熟度級別 1
“確定安全冠軍”是安全實踐、教育和指導的 Stream B 活動,處於成熟度級別 1。它帶來了安全在開發組織中的基本嵌入的好處。以下摘自OWASP SAMM v2.0 – 核心模型文檔:
. 實施一個計劃,其中每個軟體開發團隊都有一名成員被視為“安全冠軍”,他是資訊安全和開發人員之間的聯絡人。
. 根據團隊的規模和結構,“安全冠軍”可能是軟體開發人員、測試人員或產品經理。
. “安全冠軍”每周有固定的小時數用於資訊安全相關活動。他們定期參加簡報會,以提高對不同安全學科的認識和專業知識。
. “安全冠軍”接受了額外的培訓,以幫助培養這些軟體安全主題專家的角色。出於文化原因,您可能需要自定義創建和支持“安全冠軍”的方式。
. 該職位的目標是提高應用程序安全和合規性的有效性和效率,並加強各個團隊與資訊安全之間的關係。為實現這些目標,“安全冠軍”協助研究、驗證和確定與安全和合規性相關的軟體缺陷的優先級。他們參與所有風險評估、威脅評估和架構審查,通過使應用程序架構更具彈性並減少攻擊威脅面來幫助確定修復安全缺陷的機會。
. 除了協助資訊安全之外,“安全冠軍”還為專案團隊定期審查所有與安全相關的問題,以便每個人都了解問題以及任何當前和未來的補救工作。通過讓整個開發團隊參與進來,這些評論被用來幫助集思廣益解決更複雜的問題。
評估問題
您是否為每個開發團隊確定了一名安全冠軍?
– 否
– 是,對於某些團隊
– 是,對於至少一半的團隊
– 是,對於大多數或所有團隊

質量標準
– 安全冠軍接受適當的培訓
– 應用程序安全和開發團隊會定期收到安全冠軍的簡報安全計劃和修復的總體狀態
——安全冠軍在添加到應用程序積壓之前審查外部測試的結果

[Stream A] 定制安全培訓、教育和指導@成熟度級別 2
安全冠軍就 SDLC 各個階段的安全主題進行培訓。他們接受與開發人員和測試人員相同的培訓,但也了解威脅建模和安全設計,以及可以集成到構建環境中的安全工具和技術。

[Stream B] 建立安全社區,教育和指導@成熟度級別 3
圍繞角色和職責形成社區,並使來自不同團隊和業務部門的開發人員和工程師能夠自由交流並從彼此的專業知識中受益。鼓勵參與,建立一個計劃來提升那些幫助最多的人成為思想領袖,並讓管理層認可他們。除了提高應用程序安全性之外,該平台還可以根據他們的專業知識和幫助他人的意願幫助確定安全軟體卓越中心的未來成員或“安全冠軍”。

[Stream B] 標準化和擴展威脅建模,威脅評估@成熟度級別 2
培訓您的架構師、安全擁護者和其他利益相關者如何進行實際威脅建模。威脅建模需要理解、清晰的劇本和模板、特定於組織的示例和經驗,這些都很難實現自動化。

[Stream B] 建立滲透測試流程,Security Testing @ Maturity Level 2
滲透測試案例包括用於檢查業務邏輯健全性的特定於應用程序的測試,以及用於檢查設計和實現的常見漏洞測試。一旦指定,精通安全的質量保證或開發人員就可以執行安全測試用例。中央軟體安全組監控專案團隊安全測試用例的首次執行,以協助和指導團隊安全冠軍。

[Stream B] 建立持續的、可擴展的安全驗證,安全測試@成熟度級別 3
安全冠軍和中央安全軟體小組在開發過程中不斷審查自動和手動安全測試的結果,將這些結果作為開發團隊安全意識培訓的一部分。整合整體劇本中的經驗教訓,以改進作為組織發展一部分的安全測試。如果有未解決的發現仍然是發布的可接受風險,利益相關者和開發經理應共同製定解決這些問題的具體時間表。

參考
OWASP SAMM 2.0
資料來源: Wentz Wu QOTD-202107014

分類
CISSP

認證程序(Authentication Procedure)

Authentication Procedure

  1. Identification: a subject confesses its identity.
  2. Validation: the authentication server (AS) validates the identity against a directory.
  3. Assertion: the AS asserts the identity through identity/access tokens.

認證程序
身份證明:對象承認其身份。
驗證:身份驗證服務器 (AS) 根據目錄驗證身份。
斷言:AS 通過身份/訪問令牌斷言身份。

分類
CISSP

OpenID Connect

https://ithelp.ithome.com.tw/upload/images/20210714/20132160uupAyeEQem.png
OAuth 2.0 指定了存取資源的存取令牌,但它沒有提供提供身份信息(ID Token)的標準方法,這就是 OpenID Connect(ODIC)出現的原因。
. (身份、認證)+ OAuth 2.0 = OpenID Connect
. OIDC 是第三代OpenID 技術,它與 OAuth 2.0 對齊並從 XML 切換到 JSON。
. OIDC 通過ID 令牌處理身份和身份驗證,而 OAuth 2.0 通過存取/承載令牌處理授權。
. 由於 OIDC 建立在 OAuth 2.0 之上,因此OpenID 提供程序與OAuth 2.0 授權服務器基本相同。

身份令牌(ID Token)
https://ithelp.ithome.com.tw/upload/images/20210714/20132160RdZJzsGb1Q.png
-理解 ID Token 由 Takahiko Kawasaki

不記名令牌(Bearer Token)
擁有不記名令牌(“持有者”)的任何一方都可以使用它來存取相關資源(無需證明擁有加密密鑰)。為了防止濫用,需要保護不記名代幣在存儲和運輸過程中不被洩露。
來源:RFC 6750
Microsoft.AspNetCore.Authentication.JwtBearer是一個軟體組件,用於處理 .NET 5.0 中的承載令牌。

OpenID Connect (OIDC) 和 OAuth 2.0
OpenID Connect 是一種基於 OAuth 2.0 系列規範的可互操作的身份驗證協議。它使用簡單的 REST/JSON 消息流,其設計目標是“讓簡單的事情變得簡單,讓複雜的事情成為可能”。與之前的任何身份協議相比,開發人員集成起來非常容易。
OpenID Connect 使開發人員無需擁有和管理密碼文件即可跨網站和應用程序驗證其用戶。對於應用程序構建器,它為以下問題提供了一個安全的可驗證答案:“當前使用與我連接的瀏覽器或本機應用程序的人的身份是什麼?”
OpenID Connect 允許所有類型的客戶端(包括基於瀏覽器的 JavaScript 和本機移動應用程序)啟動登錄流程並接收有關登錄用戶身份的可驗證斷言。
(身份、認證)+ OAuth 2.0 = OpenID Connect
來源:OpenID Connect 常見問題和問答

OpenID 的早期版本(Earlier Versions of OpenID)
OpenID Connect 是第三代 OpenID 技術。第一個是最初的 OpenID,這是一個有遠見的工具,從未獲得太多商業採用,但讓行業領導者思考什麼是可能的。OpenID 2.0考慮得更周全,提供了出色的安全性,並且在正確實施時運行良好。然而,它受到一些設計限制——其中最重要的是依賴方可以是網頁而不是本機應用程序;它還依賴於XML,導致一些採用問題。
OpenID Connect 的目標是對開發人員更加友好,同時擴展可以使用的用例集。它已經在這方面取得了成功;有大規模運行的生產部署。任何有足夠經驗通過 HTTP 發送和接收 JSON 消息的程序員(現在大多數是這樣)應該能夠使用標準的加密簽名驗證庫從頭開始實現 OpenID Connect。幸運的是,大多數甚至不必走那麼遠,因為有很好的商業和開源庫來處理身份驗證機制。
來源:OpenID Connect 常見問題和問答

OAuth 2.0 抽象協議流程(OAuth 2.0 Abstract Protocol Flow)
https://ithelp.ithome.com.tw/upload/images/20210714/20132160QsJJ897KLw.png
OAuth 2.0 Abstract Protocol Flow

OIDC 協議流程(OIDC Protocol Flow)
OpenID Connect協議,在抽象的,遵循下列步驟。

  1. RP(客戶端)向 OpenID 提供者(OP)發送請求。
  2. OP 對最終用戶進行身份驗證並獲得授權。
  3. OP 使用 ID 令牌和通常的存取令牌進行響應。
  4. RP 可以向 UserInfo Endpoint 發送帶有存取令牌的請求。
  5. UserInfo 端點返回有關最終用戶的聲明。

這些步驟如下圖所示:
https://ithelp.ithome.com.tw/upload/images/20210714/20132160vtYea3XxBE.png
OIDC Protocol Flow
參考
RFC 6749:OAuth 2.0 授權框架
RFC 6750:OAuth 2.0 授權框架:不記名令牌的使用
OAuth 2.0
歡迎使用 OpenID Connect
OpenID Connect 常見問題和問答
OAuth 2.0 / OpenID Connect 說明
了解 ID 令牌
將標識提供程序存取令牌傳遞到 Azure Active Directory B2C 中的應用程序
AccessToken Vs ID Token Vs Refresh Token – 什麼?為什麼?什麼時候?

資料來源: Wentz Wu QOTD-20210622

分類
CISSP

RESTful API 操作對數據完整性的影響最小-Get

https://ithelp.ithome.com.tw/upload/images/20210713/20132160YSmkOgzVdF.jpg
-RESTful HTTP 方法
HTTP 方法/動詞 GET 通常用於檢索數據,這會影響機密性。

HTTP 方法
https://ithelp.ithome.com.tw/upload/images/20210713/20132160thVeNLNDjh.png
-Semantics of HTTP methods (Source: RFC 7231)

RESTful 風格架構
2000 年,Roy Fielding 在他的博士論文中引入並定義了表徵狀態轉移這一術語。Fielding 的論文解釋了 REST 原則,這些原則從 1994 年開始被稱為“HTTP 對像模型”,並用於設計 HTTP 1.1 和統一資源標識符 (URI) 標準。該術語旨在讓人聯想到精心設計的 Web 應用程序的行為方式:它是一個 Web 資源網絡(虛擬狀態機),用戶通過選擇資源標識符(例如http://www)在應用程序中前進.example.com/articles/21和資源操作,例如 GET 或 POST(應用程序狀態轉換),導致下一個資源的表示(下一個應用程序狀態)被傳輸給最終用戶供他們使用。
資料來源:維基百科

參考
FRC 7231:超文本傳輸協議 (HTTP/1.1):語義和內容
為 RESTful 服務使用 HTTP 方法
HTTP 請求方法

資料來源: Wentz Wu QOTD-20210621

分類
CISSP

WPA 使用 RC4 作為保密的底層密碼(WPA uses RC4 as the underlying cipher for confidentiality)

. RC4 在 WEP 中用於強制保密。然而,“在 2001 年 8 月,Scott Fluhrer、Itsik Mantin 和 Adi Shamir 發表了 WEP[14] 的密碼分析,它利用了 WEP 中使用 RC4 密碼和 IV 的方式,導致被動攻擊可以恢復 RC4 密鑰後竊聽網絡。” (維基百科
. WPA3 使用 HMAC 來確保真實性;不可否認性由數字簽名強制執行。
. WPA 使用 TKIP,使用 RC4 作為底層密碼,以確保機密性。
. WPA2 在 CCM 模式下使用 AES,一種分組密碼(CBC-MAC 計數器)。

參考
Wi-Fi 保護訪問
有線等效保密
CCMP(密碼學)
分組密碼操作模式
Wi-Fi Alliance® Wi-Fi® 安全路線圖和 WPA3™ 更新
WPA3 和增強型開放:下一代 WI-FI 安全
WPA3 解釋

資料來源: Wentz Wu QOTD-202104021

分類
CISSP

有線等效加密(Wired Equivalent Privacy:WEP)

有線等效加密(英語:Wired Equivalent Privacy,縮寫:WEP),又稱無線加密協定(英語:Wireless Encryption Protocol,縮寫:WEP),是個保護無線網路資料安全的體制。因為無線網路是用無線電把訊息傳播出去,它特別容易被竊聽。WEP的設計是要提供和傳統有線的區域網路相當的機密性,而依此命名的。不過密碼分析學家已經找出有線等效加密幾個弱點,因此在2003年被實現大部分IEEE 802.11i標準的Wi-Fi Protected Access淘汰,又在2004年由實現完整IEEE 802.11i標準的WPA2所取代。有線等效加密雖然有些弱點,亦足以嚇阻非專業人士的窺探。

資料來源:https://zh.wikipedia.org/wiki/%E6%9C%89%E7%B7%9A%E7%AD%89%E6%95%88%E5%8A%A0%E5%AF%86

分類
CISSP

SAMM 敏捷指南

概述

本文檔解釋了 SAMM 安全實踐如何為敏捷工作以在軟件開發過程中持續構建足夠的安全性。它以最佳實踐和陷阱的形式構建。

為什麼是 SAMM 敏捷指南

軟件保證成熟度模型(SAMM)是如何建立和發展安全發展過程中OWASP旗艦項目。它與開發方法無關,這就是為什麼沒有明確涵蓋敏捷的原因。儘管如此,業界似乎強烈需要有關如何在敏捷環境中進行安全軟件開發的指導。您如何將所有必要的活動壓縮到衝刺中,例如需求選擇、威脅建模、驗證?你如何處理故事、虐待故事和完成的定義?您如何讓安全團隊和開發人員合作,而不僅僅是設置質量門?

SAMM敏捷指南的三個主要原因:

  1. 它提供了有關敏捷活動(略有)不同的細節。
  2. 此外,它還提供了有關如何在敏捷中實施活動的更多詳細信息(例如,如何使代碼審查漸進式),以及要注意哪些陷阱。在進行軟件安全時,在實踐中會犯很多錯誤,尤其是在敏捷情況下。
  3. 它可以防止 SAMM 被視為“瀑布過多”。

資料來源:https://owaspsamm.org/guidance/agile/

分類
CISSP

OWASP SAMM-安全冠軍(Security Champion)

https://ithelp.ithome.com.tw/upload/images/20210708/20132160RNc4aOFNZ3.png
-SAMM 概述(來源:https : //owaspsamm.org)
文化有不同的背景或層次,例如安全文化、組織文化或民族文化。高級管理層是在組織層面提升安全意識和文化的好人選;然而,安全冠軍在軟體開發中是更合適的角色。

安全冠軍和 OWASP SAMM(Security Champion and OWASP SAMM)
安全冠軍是軟體安全主題專家,他們在 OWASP 軟體保障成熟度模型 (SAMM) 中組織和文化的成熟度級別 1 中發揮著關鍵作用。提名一名成員,例如軟體開發人員、測試人員或產品經理,作為安全擁護者,有助於將安全嵌入到開發組織中。
. 安全冠軍接受適當的培訓。
. 應用程序安全和開發團隊會定期收到安全冠軍關於安全計劃和修復整體狀態的簡報。
. 安全冠軍在添加到應用程序積壓之前審查外部測試的結果。

高級管理人員(Senior Management)
高級管理人員是攻擊的高優先級目標。為高級管理層制定安全意識計劃至關重要。他們必須以身作則,理解和遵守安全政策,絕不應該被發現說壞話或自相矛盾的政策。

安全文化(Security Culture)
. 文化本質上是“一組用語言表達的共同理解”或“意義的共享模式”或“與組織結構和控制系統相互作用以產生行為規範的共享價值觀和信念”。如果可以證明文化會影響安全結果,那麼文化在安全環境中就會引起人們的興趣。( IEEE )
. 資訊安全文化指導組織在資訊安全方面的工作,以保護資訊資產和影響員工的安全行為。( IEEE )

參考
SAMM 敏捷指南
OWASP聚寶盆
IT 安全培訓和意識計劃的遊戲化
從上到下發展安全文化的 6 種方法
國際民航組織 AVSEC2018
安全文化
嵌入資訊安全文化 新出現的問題和挑戰
如何建立安全文化

資料來源: Wentz Wu QOTD-202104019

分類
CISSP

瀏覽器向 Web 服務器提交用戶密碼最可行的方法-原始密碼(Raw password )

“原始密碼(Raw password)”和“散列密碼(hashed password)”是可行的解決方案。但是,HTTPS 下的原始密碼更常用,例如 Google 和 Facebook。以下原因解釋了為什麼原始密碼更可行,因為信息安全應該與業務需求保持一致:
. 在瀏覽器中,散列密碼是通過自定義 JavaScript 模塊計算的;如果客戶關閉 JavaScript 功能或防病毒軟件干擾操作,則無法正常工作。這將對市場份額、客戶滿意度和客戶服務成本產生負面影響。
. 如果攻擊者可以破壞 HTTPS 連接,發送原始密碼或散列密碼沒有任何區別,因為他可以竊取訪問令牌並劫持會話。剩餘風險幾乎相同。
. 此外,發送散列密碼意味著用戶的密碼必須被散列或加鹽,並且變得不可逆轉。但是,有些網站可能需要支持“找回密碼”功能,對密碼進行加密,客戶可以查詢自己忘記的密碼。

鹽密碼(Salted Password)
加鹽密碼是指根據原始密碼和鹽的串聯計算得出的哈希值,鹽是“作為輔助輸入合併到單向或加密函數中的隨機變量,用於派生密碼驗證數據”。(ISO/IEC 11770-4:2017) 加鹽通常在服務器端生成並且對客戶端保密,因此客戶端不可能提交加鹽密碼。

電子簽名(Digital Signature)
數字簽名在技術上是可行的,但對於電子商務網站要求客戶安裝數字證書進行身份驗證來說實際上是不可行的。
參考
為什麼客戶端對密碼的散列如此不常見?
為什麼幾乎沒有網頁在提交之前在客戶端散列密碼(並在服務器上再次散列它們),以“防止”密碼重用?
你(可能)做錯了登錄系統

資料來源: Wentz Wu QOTD-202104018

分類
CISSP

治理結構(Governance Structure)-稽核委員會(Audit Committee)

https://ithelp.ithome.com.tw/upload/images/20210706/20132160OXeDXJ9SGz.png
-治理結構(Governance Structure)

稽核委員會(Audit Committee)
稽核委員會是組織董事會的一個委員會,負責監督財務報告流程、選擇獨立稽核師以及接收內部和外部稽核結果。
美國上市公司在證券交易所上市需要一個合格的(參見下面的“組成”段)稽核委員會……隨著薩班斯 – 奧克斯利法案的通過,稽核委員會的作用繼續發展. 許多稽核委員會還監督監管合規和風險管理活動。
資料來源:維基百科

執行委員會(Executive Committee)
執行委員會的組織和授權代表整個董事會,因為董事會成員,尤其是大型董事會,親自聚集以做出決策並採取一些必要的行動並不總是可行的。
執行委員會是一個常設委員會,常作為指導運作委員會和組成的高層管理人員和董事會人員,例如:首席執行官,以及管理人員和董事的一個子集,以代表的基板時的整個董事會不能開會。
資料來源:有效的 CISSP:安全和風險管理

參考
治理委員會
治理委員會 (ACFID)
公司治理委員會和章程
治理委員會:非營利董事會的新趨勢

資料來源: Wentz Wu QOTD-202104017

分類
CISSP

漏洞管理(Vulnerability Management)

https://ithelp.ithome.com.tw/upload/images/20210704/20132160nfeY26ZUns.jpg
由於管理是實現一個或多個目標的系統方法,我根據維基百科NIST CSRC 術語表中的定義定義漏洞管理,並將它們擴展如下:
漏洞管理是識別、分類、優先排序、修復和驗證資訊系統、系統安全程序、內部控製或實施中的漏洞以降低風險的周期性實踐。

維基百科
漏洞管理是“識別、分類、確定優先級、修復和緩解”軟件漏洞的循環實踐。(維基百科

NIST CSRC術語表
狹義上,漏洞可能是指那些被列入常見漏洞和暴露 (CVE) 的漏洞。
例如,漏洞管理是“一種識別設備上的漏洞 [常見漏洞和暴露 (CVE)] 的 ISCM 功能,這些漏洞可能被攻擊者用來破壞設備,並將其用作將破壞擴展到網絡的平台。” (NIST CSRC術語表
從更廣泛的意義上講,漏洞是“資訊系統、系統安全程序、內部控製或實施中可能被威脅源利用或觸發的弱點”。(NIST CSRC術語表
內部安全控制是資訊系統內的硬體、分位或軟體功能,將資源訪問權限限制為僅授權主體。[NIST CSRC術語表)]

資料來源:Wentz Wu網站

分類
Information Security

HTTP強制安全傳輸技術

HTTP嚴格傳輸安全英語:HTTP Strict Transport Security,縮寫:HSTS)是一套由網際網路工程任務組發布的網際網路安全策略機制。網站可以選擇使用HSTS策略,來讓瀏覽器強制使用HTTPS與網站進行通信,以減少連線劫持風險。

資料來源:https://zh.wikipedia.org/wiki/HTTP%E4%B8%A5%E6%A0%BC%E4%BC%A0%E8%BE%93%E5%AE%89%E5%85%A8

分類
CISSP

戰略層次(Levels of Strategy)

https://ithelp.ithome.com.tw/upload/images/20210703/20132160GUaj6oJC0O.jpg
-戰略層次
通常,CEO 負責制定公司戰略或大戰略,董事會的意見和高級管理團隊的支持。
CISO 不是製定企業戰略的主要角色,而是與企業戰略保持一致以創造價值並實現組織願景和使命的信息安全戰略。此外,他還必須定位安全職能(部門),確定其組織、角色和職責,將安全融入組織流程,支持產品和服務的持續交付(所謂的“業務連續性”),並保護信息資產以加強安全。信息安全管理系統 (ISMS) 可確保有效地制定和實施安全策略。
CISO 的匯報路線因組織而異,各有利弊,但 CISO 向 CFO 或其他高級官員匯報並非不可能。
. CISO 向 CIO 報告的安排可能會導致利益衝突。
. CISO 向 CFO 報告的安排可能會花費更多時間來交流技術內容。
. CISO 向審計職能報告的安排將對其獨立性產生不利影響。

參考
什麼是安全功能
信息安全職能和職責
管理安全功能:診斷版本 1 摘要
企業安全
組織中安全管理的角色
如何組織您的安全團隊:網絡安全角色和職責的演變
萬豪-數據洩露
ICO 因未能保證客戶個人數據安全而對萬豪國際進行罰款
什麼是企業戰略?
誰負責制定公司的戰略計劃?
如何制定企業戰略(CEO 分享最佳技巧和工具)
多元化公司的戰略規劃
如何評估企業戰略

資料來源: Wentz Wu QOTD-202104015

分類
Information Security

什麼是HSTS,為什麼要使用它?

翻譯自: What Is HSTS and Why Should I Use It?

作者: Tomasz Andrzej Nidecki ,一位非常專業的 Technical Content Writer ,目前是 Acunetix 的技術內容撰寫人,他是一名擁有 25 年 IT 經驗的記者、翻譯和技術撰稿人,Tomasz 早年曾擔任《 hakin9 IT Security 》雜誌的總編輯,並曾經運營過一個專門針對電子郵件安全的主要技術部落格。

HSTS 是 HTTP 嚴格傳輸安全(HTTP Strict Transport Security) 的縮寫。 這是一種網站用來宣告他們只能使用安全連線(HTTPS)訪問的方法。 如果一個網站聲明瞭 HSTS 策略,瀏覽器必須拒絕所有的 HTTP 連線並阻止使用者接受不安全的 SSL 證書。 目前大多數主流瀏覽器都支援 HSTS (只有一些移動瀏覽器無法使用它)。

在 2012 年的 RFC 6797 中,HTTP嚴格傳輸安全被定義為網路安全標準。 建立這個標準的主要目的,是為了避免使用者遭受使用 SSL stripping(剝離) 的 中間人攻擊(man-in-The-middle,MITM) 。 SSL stripping 是一種攻擊者強迫瀏覽器使用 HTTP 協議連線到站點的技術,這樣他們就可以嗅探資料包,攔截或修改敏感資訊。 另外,HSTS 也是一個很好的保護自己免受 cookie 劫持(cookie hijacking)的方法。

HSTS 工作原理

通常,當您在 Web 瀏覽器中輸入 URL 時,您會跳過協議部分。 例如,你輸入的是 www.acunetix.com ,而不是 http://www.acunetix.com 。 在這種情況下,瀏覽器假設你想使用 HTTP 協議,所以它在這個階段發出一個 HTTP 請求 到 www.acunetix.com ,同時,Web Server 會返回 301 狀態碼將請求重定向到 HTTPS 站點。 接下來瀏覽器使用 HTTPS 連線到 www.acunetix.com 。 這時 HSTS 安全策略保護開始使用 HTTP 響應頭:批踢踢實業坊推薦Line: k98888
有各大電商平臺都買不到的好貨哦!
產品均是國際頂級品牌,有包包、名表、衣服、鞋子、皮帶、飾品、眼鏡、圍巾等等。
長期供應(LV)(古奇)(愛馬仕)(香奈兒)(普拉達)(迪奧)(百達翡麗)(江詩丹唐)(卡地亞)(勞力士)(歐米茄)等世界名品。
支持貨到付款,收到貨後再付款,購物零風險。
批踢踢實業坊推薦Line: k98888

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

響應頭的 Strict-Transport-Security 給瀏覽器提供了詳細的說明。 從現在開始,每個連線到該網站及其子域的下一年(31536000秒)從這個頭被接收的時刻起必須是一個 HTTPS 連線。 HTTP 連線是完全不允許的。 如果瀏覽器接收到使用 HTTP 載入資源的請求,則必須嘗試使用 HTTPS 請求替代。 如果 HTTPS 不可用,則必須直接終止連線 。

此外,如果證書無效,將阻止你建立連線。 通常來說,如果 HTTPS 證書無效(如:過期、自簽名、由未知 CA 簽名等),瀏覽器會顯示一個可以規避的警告。 但是,如果站點有 HSTS,瀏覽器就不會讓你繞過警告。 若要訪問該站點,必須從瀏覽器內的 HSTS 列表中刪除該站點 。

響應頭的 Strict-Transport-Security 是針對一個特定的網站傳送的,並且覆蓋一個特定的域名(domain)。 因此,如果你有 HSTS 的 www.acunetix.com ,它不會覆蓋 acunetix. com ,而只覆蓋 www 子域名。 這就是為什麼,為了完全的保護,你的網站應該包含一個對 base domain 的呼叫(在本例中是 acunetix. com) ,並且接收該域名的 Strict-Transport-Security 頭和 includeSubDomains 指令。

HSTS 是否完全安全?

不幸的是,你第一次訪問這個網站,你不受 HSTS 的保護。 如果網站向 HTTP 連線新增 HSTS 頭,則該報頭將被忽略。 這是因為攻擊者可以在中間人攻擊(man-in-the-middle attack)中刪除或新增頭部。 HSTS 報頭不可信,除非它是通過 HTTPS 傳遞的。

你還應該知道,每次您的瀏覽器讀取 header 時,HSTS max-age 都會重新整理,最大值為兩年。 這意味著保護是永久性的,只要兩次訪問之間不超過兩年。 如果你兩年沒有訪問一個網站,它會被視為一個新網站。 與此同時,如果你提供 max-age 0 的 HSTS header,瀏覽器將在下一次連線嘗試時將該站點視為一個新站點(這對測試非常有用)。

你可以使用稱為 HSTS 預載入列表(HSTS preload list)的附加保護方法。 Chromium 專案維護一個使用 HSTS 的網站列表,該列表通過瀏覽器釋出 。 如果你把你的網站新增到預載入列表中,瀏覽器會首先檢查內部列表,這樣你的網站就永遠不會通過 HTTP 訪問,甚至在第一次連線嘗試時也不會。 這個方法不是 HSTS 標準的一部分,但是它被所有主流瀏覽器(Chrome、 Firefox、 Safari、 Opera、 IE11 和 Edge)使用。

目前唯一可用於繞過 HSTS 的已知方法是基於 NTP 的攻擊。 如果客戶端計算機容易受到 NTP 攻擊( NTP-based attack) ,它可能會被欺騙,使 HSTS 策略到期,並使用 HTTP 訪問站點一次。

如何將域名新增到 HSTS 預載入列表?

要將域新增到 HSTS 預載入列表,該域的站點必須滿足幾個要求。 以下是新增域名所需的步驟:

  1. 確保你的網站擁有有效的證書和最新的密碼
  2. 如果你的網站可以通過 HTTP 訪問,請將所有請求重定向到 HTTPS
  3. 確保以上第 1 點和第 2 點適用於你的所有域名和子域名(根據您的 DNS 記錄)
  4. 通過 HTTPS 服務返回 Strict-Transport-Security header ,帶上 base domain 和 max-age , max-age 至少為31536000 (1 年),另外還有 includeSubDomains 指令和 preload 指令。 可以參考上面的 HSTS header。
  5. 訪問 hstspreload.org ,並使用表格提交你的域名。如果符合條件,您的域名將被加入佇列。

為了提高安全性,瀏覽器不能訪問或下載 預載入列表(preload list)。 它作為硬編碼資源(hard-coded resource)和新的瀏覽器版本一起分發。 這意味著結果出現在列表中需要相當長的時間,而域從列表中刪除也需要相當長的時間。 如果你希望將你的站點新增到列表中,則必須確保您能夠在較長時間內保持對所有資源的完全 HTTPS 訪問。 如果不這樣做,你的網站可能會完全無法訪問 。

如何從瀏覽器的 HSTS 快取中刪除域?

在設定 HSTS 並測試它時,可能需要清除瀏覽器中的 HSTS 快取。 如果你設定 HSTS 不正確,你可能會訪問網站出錯,除非你清除資料。 下面是幾種常用瀏覽器的方法。 還要注意,如果你的域在 HSTS 預載入列表中,清除 HSTS 快取將是無效的,並且無法強制進行 HTTP 連線。

要從 Chrome HSTS 快取中刪除一個域名,請按照以下步驟操作:

chrome://net-internals/#hsts
Delete domain security policies

之後,你可以檢查移除是否成功:

Query HSTS/PKP domain

Mozilla Firefox 、Safari 和 Microsoft Edge 自行檢視原文吧。

資料來源:https://www.gushiciku.cn/pl/pHGF/zh-tw

分類
CISSP

微服務、容器化和無服務器(Microservices, Containerization, and Serverless)

https://ithelp.ithome.com.tw/upload/images/20210702/20132160MgmFcEspvK.png
微服務(Microservices)
微服務是一個低耦合的架構,可以通過以下方式實現重構一個單片應用,即,轉向進程內的應用程序組件成自包含的網絡服務適於被部署在可伸縮或彈性容器或無服務器環境。

託管環境(Hosting Environment)
微服務可以通過兩種方式部署:容器化和無服務器。
容器化(Docker 主機或節點)(Containerization (Docker hosts or nodes))
容器化用於捆綁應用程序或應用程序的功能、所有依賴項及其在容器映像中的配置。此映像部署在主機操作系統上,捆綁的應用程序作為一個單元工作。
容器鏡像的概念允許我們在幾乎不做任何修改的情況下跨環境部署這些鏡像。通過這種方式,可以輕鬆快速地擴展微服務,因為新容器可以輕鬆部署用於短期目的。
Docker將用於向我們的微服務添加容器化。Docker 是一個開源項目,用於創建可以在雲端或本地的 docker 主機上運行的容器。
https://ithelp.ithome.com.tw/upload/images/20210702/20132160vGUz97BAY9.png
-來源:使用 ASP.NET Core 3.1 的微服務

無服務器(Serverless)(FaaS)
微服務具有“可擴展”的特點,但由於接口的細粒度,會導致微服務管理的高度複雜性。一個API網關或立面緩解這個問題。
無服務器減少了安裝和維護服務器作為託管環境的負擔。AWS Lambda是一種功能即服務 (FaaS) 產品,是無服務器計算中最著名的雲服務之一。
https://ithelp.ithome.com.tw/upload/images/20210702/20132160GJ4KKxrXt9.png
-資料來源:AWS 的無服務器微服務模式
參考
Kubernetes 與 Docker:入門
Node.js 中的無服務器:初學者指南
Node.js 中的無服務器架構:開源應用的案例研究
無服務器和微服務:天作之合?
使用容器部署微服務
什麼是無服務器微服務?| 無服務器微服務解釋
適用於 AWS 的無服務器微服務模式
使用 ASP.NET Core 3.1 的微服務

資料來源: Wentz Wu網站

分類
CISSP

可信路徑和可信通道(Trusted Path and Trusted Channel)

https://ithelp.ithome.com.tw/upload/images/20210701/20132160Jmzc6RhptU.jpg
-可信路徑和可信通道
可信計算機系統(Trusted Computer System)
具有必要的安全功能並保證安全策略將得到執行並且可以同時處理一系列敏感信息(即機密、受控非機密信息 (CUI) 或非機密公共信息)的系統。(CNSSI 4009-2015)
可信計算庫 (TCB)( Trusted Computing Base)
計算機系統內保護機制的總和,包括硬件、固件和軟件,負責執行安全策略的組合。(CNSSI 4009-2015)
安全內核(Security Kernel)
實現參考監視器概念的可信計算基礎的安全內核硬件、固件和軟件元素。安全內核必須調解所有訪問,防止修改,並且可以驗證是否正確。(CNSSI 4009-2015)
可信路徑(Trusted Path)
一種機制,用戶(通過輸入設備)可以通過這種機制直接與信息系統的安全功能進行通信,並有必要的信心來支持系統安全策略。該機制只能由用戶或信息系統的安全功能激活,不可被不可信軟件模仿。(CNSSI 4009-2015)
可信通道(Trusted Channel)
端點已知且數據完整性在傳輸過程中受到保護的通道。根據所使用的通信協議,數據隱私可能在傳輸過程中受到保護。示例包括傳輸層安全 (TLS)、IP 安全 (IPSec) 和安全物理連接。(CNSSI 4009-2015)
可信平台模塊 (TPM)( Trusted Platform Module)
一種內置於某些計算機主板中的防篡改集成電路,可以執行加密操作(包括密鑰生成)並保護少量敏感信息,例如密碼和加密密鑰。(NIST SP 800-147)
可信恢復(Trusted Recovery)
確保在系統故障後不受影響地恢復的能力。(CNSSI 4009-2015) Common Criteria (CC) 定義了四種類型的可信恢復:手動恢復、自動恢復、沒有過度丟失的自動恢復和功能恢復。

資料來源: Wentz Wu 網站

分類
CISSP

NIST 對 ICT 供應鏈的常見風險

https://ithelp.ithome.com.tw/upload/images/20210701/201321604LXVpGk37I.jpg
-ICT SCRM 支柱和可見性(來源:NIST SP 800-161)
僅當購買正版產品時,生命週期終止 (EOL) 和支持終止 (EOS) 才是關鍵問題。OEM 或供應商將不支持假冒產品。符合通用標準 (CC) 的產品固然很好,但在大多數組織中並不是強制性的。而且,仿冒也沒有意義。
以下是 NIST 對 ICT 供應鏈的常見風險:

  1. 插入假冒產品
  2. 未經授權的生產
  3. 篡改
  4. 盜竊
  5. 插入惡意軟件和硬件
  6. 糟糕的製造和開發實踐
    這些 ICT 供應鏈風險可能包括假冒產品的插入、未經授權的生產、篡改、盜竊、惡意軟件和硬件的插入,以及ICT 供應鏈中不良的製造和開發實踐。這些風險與組織對他們獲得的技術如何開發、集成和部署以及用於確保完整性、安全性、彈性和彈性的流程、程序和實踐的可見性和理解降低有關。產品和服務的質量。
    來源:NIST SP 800-161

產品銷售和支持(Product Sales and Support****)
終止產品銷售和支持的政策因供應商而異。下圖是產品 EOL 和 EOS 的示例。
https://ithelp.ithome.com.tw/upload/images/20210701/201321600sL8BblJjM.jpg
-EOL 和 EOS:產品銷售和支持
參考
霍尼韋爾(Honeywell)
什麼是生命週期終止 (EOL) 與服務/支持生命週期終止 (EOSL)?
產品生命週期和支持管理 – Evolis 公司政策
EVOLIS 目錄產品:停產日期
思科產品生命週期終止政策

資料來源: Wentz Wu QOTD-202104014

分類
CISSP

(ISC)² 道德規範(Code of Ethics Canons)

https://ithelp.ithome.com.tw/upload/images/20210630/20132160MknpMFrl31.jpg
-道德在新的 CISSP 考試大綱中名列前茅

道德規範(Code of Ethics Canons)
. 保護社會、共同利益、必要的公眾信任和信心以及基礎設施。
. 以光榮、誠實、公正、負責任和合法的方式行事。
. 為校長(principals)提供勤勉和稱職的服務。
. 推進和保護職業。

道德投訴程序(Ethics Complaint Procedures)
以下摘自(ISC)² 道德規範:
. 該倫理委員會是由董事會成立聽到所有的道德投訴和提出建議董事會。
. 委員會將只考慮具體說明我們的 (ISC)² 道德準則中已被違反的投訴。
. 雖然任何公眾都可以投訴Canons I 或 II的違規行為,但只有負責人(與證書持有者有雇主/承包商關係的人)可以投訴Canons III 的違規行為,並且只有其他專業人士(那些獲得認證或獲得專業執照並遵守道德準則)可能會投訴違反佳能 IV 的行為。
. 僅接受聲稱因所指控的行為而受傷的人的投訴。
. 所有投訴必須以書面形式提出。投訴必須採用宣誓書的形式。委員會不會考慮任何其他形式的指控。
. 如果表面證據確鑿,道德委員會將審查並向董事會提出建議。

參考
(ISC)² 道德準則
(ISC)² 活動行為準則
你有足夠的道德成為 CISSP 嗎?
網絡安全倫理簡介
事件響應和安全團隊的道德規範
共同利益
什麼是同行評審團?
為您的組織製定道德準則
Surna Inc. 商業行為與道德準則
3 信息安全專業人員的道德困境
網絡安全倫理的嚴峻挑戰

資料來源: Wentz Wu QOTD-202104013

分類
CISSP

EAP-TLS身份驗證協議最能支持零信任原則

https://ithelp.ithome.com.tw/upload/images/20210629/201321606LSh4quZTe.jpg
-零信任網路安全範式
EAP-TLS、EAP-TTLS 和 PEAP 是 WPA2 中使用的合法身份驗證協議。EAP-TLS 需要基於服務器和客戶端的證書進行相互身份驗證,並在三者中呈現最高的安全級別。EAP-TTLS 和 PEAP 支持相互認證,無需在客戶端安裝證書以減輕系統管理開銷。由於零信任強調驗證和細粒度訪問控制,因此 EAP-TLS 比 EAP-TTLS 或 PEAP 更適合。

EAP 傳輸層安全 (EAP Transport Layer Security :EAP-TLS)
EAP 傳輸層安全 (EAP-TLS) 在 RFC 5216 中定義,是使用傳輸層安全 (TLS) 協議的 IETF 開放標準,並在無線供應商中得到很好的支持。EAP-TLS 是原始的標準無線局域網 EAP 身份驗證協議。
EAP-TLS 仍然被認為是最安全的 EAP 標準之一,儘管 TLS 僅在用戶了解有關虛假憑據的潛在警告時才提供強大的安全性,並且得到所有無線 LAN 硬件和軟件製造商的普遍支持。直到 2005 年 4 月,EAP-TLS 是唯一需要認證 WPA 或 WPA2 徽標的 EAP 類型供應商。
客戶端證書的要求,無論它多麼不受歡迎,都賦予了 EAP-TLS 其身份驗證強度,並說明了經典的便利性與安全性的權衡。使用客戶端證書,破解密碼不足以入侵啟用 EAP-TLS 的系統,因為入侵者仍然需要擁有客戶端證書;實際上,甚至不需要密碼,因為它僅用於加密客戶端證書以進行存儲。最高的安全性是客戶端證書的“私鑰”存放在智能卡中。
資料來源:維基百科

EAP 隧道傳輸層安全 (EAP Tunneled Transport Layer Security:EAP-TTLS)
EAP 隧道傳輸層安全 (EAP-TTLS) 是一種擴展 TLS 的 EAP 協議。它由 Funk Software 和 Certicom 共同開發,並得到了跨平台的廣泛支持。
客戶端可以但不必通過 CA 簽署的 PKI 證書向服務器進行身份驗證。這極大地簡化了設置過程,因為並非每個客戶端都需要證書。
資料來源:維基百科

受保護的可擴展身份驗證協議 (Protected Extensible Authentication Protocol:PEAP)
受保護的可擴展身份驗證協議,也稱為受保護的 EAP 或簡稱為 PEAP,是一種將 EAP 封裝在潛在加密和身份驗證的傳輸層安全 (TLS) 隧道中的協議。目的是糾正 EAP 中的缺陷;EAP 假設了一個受保護的通信通道,例如由物理安全提供的通道,因此沒有提供保護 EAP 對話的設施。
資料來源:維基百科

輕量級可擴展身份驗證協議 (Lightweight Extensible Authentication Protocol :LEAP)
Cisco LEAP 是 802.1X 在無線網路中使用的基於 EAP 的身份驗證協議。它支持相互認證並在遺留的破解 WEP 中工作。

NIST:零信任原則(Tenets of Zero Trust)

  1. 所有數據源和計算服務都被視為資源。
  2. 無論網路位置如何,所有通信都是安全的。
  3. 按會話授予對單個企業資源的訪問權限。
  4. 對資源的訪問由動態策略決定——包括客戶端身份、應用程序/服務和請求資產的可觀察狀態——並且可能包括其他行為和環境屬性。
  5. 企業監控和衡量所有自有資產和相關資產的完整性和安全狀況。
  6. 所有資源認證和授權都是動態的,並且在允許訪問之前嚴格執行。
  7. 企業盡可能多地收集有關資產、網路基礎設施和通信的當前狀態的信息,並使用這些信息來改善其安全狀況。

NIST:網路的零信任視圖(A Zero Trust View of a Network)

  1. 整個企業專用網路不被視為隱式信任區域。
  2. 網路上的設備可能不由企業擁有或配置。
  3. 沒有資源是天生可信的。
  4. 並非所有企業資源都位於企業擁有的基礎架構上。
  5. 遠程企業主體和資產無法完全信任其本地網路連接。
  6. 在企業和非企業基礎設施之間移動的資產和工作流應該具有一致的安全策略和狀態。

參考
WPA2-企業認證協議比較
了解更新的 WPA 和 WPA2 標準
轉向 WPA/WPA2-企業 Wi-Fi 加密
802.1X 概述和 EAP 類型
思科LEAP
資料來源: Wentz Wu QOTD-202104012

分類
CISSP

不是使用專用的、標準化的設備清理命令的清除方法:消磁(Degaussing)

清理方法(The sanitization method),清除(purge),將使數據恢復不可行,但介質是可重複使用的。消磁(Degaussing)會使媒體永久無法使用。

消磁,也稱為消磁,意思是“通過施加反向磁化場將磁通量降低到虛擬零。對任何當前一代的硬盤(包括但不限於 IDE、EIDE、ATA、SCSI 和 Jaz)消磁將導致驅動器永久無法使用,因為這些驅動器將磁道位置信息存儲在硬盤驅動器上。”
來源:NIST SP 800-88 R1

ATA 清理命令旨在清除數據;它們應用特定於媒體的技術來繞過典型讀寫命令中固有的抽象。以下是 ATA 清理 I/O 命令:
. CRYPTO SCRAMBLE EXT(D. 更改用於用戶數據的內部加密密鑰)
. OVERWRITE EXT(C. 用常數值覆蓋內部媒體)
. BLOCK ERASE EXT(A.使用塊擦除方法)
https://ithelp.ithome.com.tw/upload/images/20210628/20132160iIJiXhMs6F.jpg
-ATA 消毒操作
參考
CISSP 實踐問題 – 20200209
數據殘留和清理

資料來源: Wentz Wu QOTD-202104011

分類
專案管理

工具技術組 PMBOK 第 6 版(Tools Techniques Group PMBOK 6th Edition)

PMBOK 第 6 版根據其目的對工具和技術進行分組。組名描述了需要做的事情的意圖。組中的工具和技術代表了實現意圖的不同方法。

項目管理工具和技術組

PMBOK 第 6 版有七組 132 種不同的項目管理工具。以下列表根據它們的組列舉了這些工具的細分。

  • 09 –數據收集工具
  • 27 – 數據分析技術
  • 15 –數據表示工具和技術
  • 02 – 決策技巧
  • 02 – 溝通技巧
  • 17 – 人際關係和團隊技能
  • 60 – 未分組的工具和技術

數據收集工具

數據收集工具和技術用於從各種來源收集數據和信息。以下列表列舉了九種數據收集工具。

  • 基準測試
  • 頭腦風暴
  • 檢查表
  • 清單
  • 專門小組
  • 採訪
  • 市場調查
  • 問題和調查
  • 統計抽樣

數據分析技術

數據分析工具和技術用於組織、評估和評估數據和信息。有27種數據分析工具。以下段落列舉了重要的數據分析技術。

  • 質量成本
  • 成本效益分析
  • 決策樹分析
  • 掙值分析
  • 自製或外購分析
  • 過程分析
  • 回歸分析
  • 風險概率和影響評估
  • 根本原因分析
  • SWOT分析
  • 趨勢分析
  • 方差分析
  • 假設情景分析

另請閱讀:七種基本質量工具 PMP 考試指南

數據表示工具和技術

數據表示工具和技術以可視化格式表示數據和信息。有 15 種數據表示工具。以下列表列舉了一些重要的數據表示工具。

  • 親和圖
  • 因果圖
  • 控製圖
  • 流程圖
  • 直方圖
  • 思維導圖
  • 概率和影響矩陣
  • 散點圖
  • 利益相關者參與評估矩陣
  • 利益相關者映射/代表。

另請閱讀: 質量控制數據表示工具

決策技巧

決策技術用於從不同的備選方案中選擇行動方案。以下是兩種決策技術。

  • 多準則決策分析
  • 表決

溝通技巧

溝通技巧是用於在不同項目利益相關者之間傳遞信息的工具。以下是兩種溝通技巧。

  • 反饋
  • 演示文稿

人際關係和團隊技能

人際關係和團隊技能包括用於領導項目團隊的 17 種不同技術。以下列表列出了一些重要的人際交往能力。

  • 積極傾聽
  • 衝突管理
  • 文化意識
  • 做決定
  • 情商
  • 便利化
  • 影響
  • 領導
  • 動機
  • 談判
  • 名義組技術
  • 政治意識

未分組的工具和技術

該組包含 60 種不同工具的詳盡列表。以下列表描述了該類別中一些最重要的項目管理技術。

資料來源:https://milestonetask.com/tools-techniques/#.YNlAGRMzbMI

分類
CISSP

美國的吹哨人保護

吹哨人(whistleblower)是指揭露某個私人或公共組織中任何被認為非法的、違反道德的和不正當的行為或信息的人。《吹哨人保護法》(Whistleblower Protection Act)在1989年被寫入美國聯邦法律。

吹哨人保護的相關法律法規保障某些特定情況下雇員和承包商的言論自由。如果員工或申請人有理由相信信息披露證明違反了任何法律、規則或條例,或嚴重管理不善,嚴重浪費資金,濫用職權,或對公共衛生或安全構成實質性和具體的危險,吹哨人將受到保護,免遭報復。

資料來源:https://zh.wikipedia.org/wiki/%E7%BE%8E%E5%9B%BD%E7%9A%84%E5%90%B9%E5%93%A8%E4%BA%BA%E4%BF%9D%E6%8A%A4

分類
CISSP

DevOps

DevOpsDevelopment和Operations的組合詞)是一種重視「軟體開發人員(Dev)」和「IT運維技術人員(Ops)」之間溝通合作的文化、運動或慣例。透過自動化「軟體交付」和「架構變更」的流程,來使得構建、測試、發布軟體能夠更加地快捷、頻繁和可靠。

傳統的軟體組織將開發、IT運維和品質保障設為各自分離的部門,在這種環境下如何採用新的開發方法(例如敏捷軟體開發),是一個重要的課題。按照從前的工作方式,開發和部署,不需要IT支援或者QA深入的跨部門的支援;而現在卻需要極其緊密的多部門協同運作。而DevOps考慮的還不止是軟體部署,它是一套針對這幾個部門間溝通與協同運作問題的流程和方法。

資料來源:https://zh.wikipedia.org/wiki/DevOps

分類
CISSP

橢圓曲線數字簽名算法 (Elliptic Curve Digital Signature Algorithm:ECDSA)

橢圓曲線數字簽名算法 (ECDSA) 是FIPS 186-4批准的合法數字簽名算法。這意味著 ECDSA 在技術上足夠強大並且具有法律約束力。
本標准定義了數字簽名生成方法,可用於保護二進制數據(通常稱為消息),以及驗證和確認這些數字簽名。批准了三種技術。
(1)本標準規定了數字簽名算法(DSA)。該規範包括域參數的生成、公鑰和私鑰對的生成以及數字簽名的生成和驗證的標準。
(2) RSA數字簽名算法在美國國家標準 (ANS) X9.31 和公鑰密碼學標準 (PKCS) #1 中指定。FIPS 186-4 批准使用這些標準中的一個或兩個的實現,並指定附加要求。
(3)橢圓曲線數字簽名算法 (ECDSA)在 ANS X9.62 中指定。FIPS 186-4 批准使用 ECDSA 並指定附加要求。此處提供了供聯邦政府使用的推薦橢圓曲線。
ECDSA 密鑰對由私鑰d 和與特定 ECDSA 域參數集相關聯的公鑰Q 組成;d、Q 和域參數在數學上相互關聯。私鑰通常使用一段時間(即cryptoperiod);只要使用關聯私鑰生成的數字簽名需要驗證(即,公鑰可以在關聯私鑰的加密期之後繼續使用),就可以繼續使用公鑰。有關進一步指導,請參閱 SP 800-57。
ECDSA 密鑰只能用於 ECDSA 數字簽名的生成和驗證。
來源:FIPS 186-4

使用密鑰對的非對稱加密(Asymmetric Encryption Using Key Pairs)
非對稱加密中使用的密鑰對中的私鑰或公鑰只是一個二進制位序列。給定一個公鑰,你永遠不知道它屬於誰。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。因此,單獨的公鑰不能用於身份驗證和不可否認性。

IPsec 和不可否認性(IPsec and Non-repudiation)
. 不可否認包從技術角度來看是遠離的不可抵賴性的消息從法律的角度。
. 在早期,Cisco 和 RFC 1826 聲明 IPsec 支持不可否認性。但是,隨後的 RFC(RFC 2403 和 RFC 4302)顛覆了這一點:

RFC 1826 不可否認性(RFC 1826 for Non-repudiation)
認證頭是一種為 IP 數據報提供強完整性和認證的機制。它還可能提供不可否認性,具體取決於使用哪種加密算法以及如何執行密鑰。例如,使用非對稱數字簽名算法(如 RSA)可以提供不可否認性。( RFC 1826 )
但是,RFC 2403 和 RFC 4302 顛覆了 AH 提供不可否認性的說法。

用於身份驗證的 RFC 2402(RFC 2402 for Authentication)
IP 認證頭 (AH) 用於為 IP 數據報提供無連接完整性和 數據源認證(以下簡稱“認證”),並提供防止重放的保護。 (RFC 2402 )

RFC 4302 完整性(RFC 4302 for Integrity)
IP 認證頭 (AH) 用於 為 IP 數據報(以下簡稱“完整性”)提供無連接完整性和 數據源認證,並提供防止重放的保護。( RFC 4302 )
有關詳細信息,請參閱IPsec 和不可否認性

參考
酒店評分
RSA(密碼系統)
不可否認性
IPsec 和不可否認性

資料來源: Wentz Wu QOTD-20210409

分類
CISSP

金鑰管理(生命週期)

分類
CISSP

數字證書(Digital Certificate)

證書申請和回應

證書籤名請求

在公鑰基礎結構(PKI)系統中,證書籤名請求(也稱為CSR或證書請求)是從申請人發送到證書頒發機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰,標識信息(例如域名)和完整性保護(例如數字簽名)。CSR最常見的格式是PKCS10規範;另一種是由某些Web瀏覽器生成的簽名的公鑰和挑戰” SPKAC格式。

資料來源:維基百科

使用OpenSSL生成CSR

$ sudo apt install openssl [Debian / Ubuntu]
$ openssl req -new -newkey rsa
2048 -nodes -keyout server.key -out server.csr

上傳證書籤名請求

X.509證書

安裝證書

TLS / SSL

參考

資料來源: Wentz Wu網站

分類
CISSP

公開金鑰基礎建設(PKI)

公開金鑰基礎建設(英語:Public Key Infrastructure,縮寫PKI),又稱公開金鑰基礎架構公鑰基礎建設公鑰基礎設施公開密碼匙基礎建設公鑰基礎架構,是一組由硬體、軟體、參與者、管理政策與流程組成的基礎架構,其目的在於創造、管理、分配、使用、儲存以及復原數位憑證

密碼學上,公開金鑰基礎建設藉著數位憑證認證機構(CA)將使用者的個人身分跟公開金鑰鏈結在一起。對每個憑證中心使用者的身分必須是唯一的。鏈結關係通過註冊和發布過程建立,取決於擔保級別,鏈結關係可能由CA的各種軟體或在人為監督下完成。PKI的確定鏈結關係的這一角色稱為註冊管理中心(Registration Authority,RA)。RA確保公開金鑰和個人身分鏈結,可以防抵賴。在微軟的公開金鑰基礎建設之下,註冊管理中心(RA)又被叫做從屬數字憑證認證機構(Subordinate CA)。[1]

可信賴的第三者(Trusted third party,TTP)也常被用來指憑證中心。PKI有時被錯誤地拿來代表公開金鑰密碼學或公開金鑰演算法。

資料來源:https://zh.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E5%9F%BA%E7%A4%8E%E5%BB%BA%E8%A8%AD

分類
CISSP

進階加密標準(Advanced Encryption Standard)

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES),又稱Rijndael加密法荷蘭語發音:[ˈrɛindaːl],音似英文的「Rhine doll」),是美國聯邦政府採用的一種區塊加密標準。這個標準用來替代原先的DES,已經被多方分析且廣為全世界所使用。經過五年的甄選流程,進階加密標準由美國國家標準與技術研究院(NIST)於2001年11月26日發布於FIPS PUB 197,並在2002年5月26日成為有效的標準。現在,進階加密標準已然成為對稱金鑰加密中最流行的演算法之一。

資料來源:https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

分類
CISSP

數位簽章(Digital Sign)與電子簽名(Electronic Sign)的差別

 在凡事走向數位化的年代,透過『電子簽名』我們可以在實體的紙本文件轉變成數位電子文件的過程中,根據文件的重要程度、屬性及應用的不同,使用『電子簽名』來證明電子文件的效力。那麼『數位簽章Digital Sign』又是甚麼呢?其與『電子簽名Electronic Sign』之間的差異為何?


一. 電子簽名

    電子簽名出現的背景,始因於網路的普及化,網路打破時間及空間限制,電商網站遍地開花,為求更高的曝光度及提供客戶更便利的服務,企業也進而將經營模式由實體銷售拓展到線上經營。越來越多的商務活動逐漸在網路世界展開,各式交易、互動都朝著無紙化的方向進行,此時能為我們在網路上的行為做認證,具有保障及認定資格的電子簽名就佔了舉足輕重的地位。電子簽名在雙方有合約文件,需要表訂雙方約定、權益,要具有能確認身分且不得任意竄改之特性時,尤其重要,而在2001年台灣也通過了《電子簽章法》讓在網路上的簽署行為也有了法律的保障。



二. 電子簽名的等級?1. 電子簽名 (Electronic Signature)  
在電子文件上產出一個簡單的簽名圖檔,時間戳記也只是讀取本機端的時間,並無任何認證與防竄改技術。

2. 電子簽名+軌跡紀錄 (Biometric Signature)
只是將簽名圖檔放在文件上非常容易仿造,於是出現了加入X 、 Y向量值、筆觸壓力、書寫速度等能代表軌跡的數據,進而證實電子簽名的真實性。

3. 數位簽章(Digital Signature)

  • 防竄改,利用公私鑰交換的非對稱加密技術來實現,當文件遭到竄改時會看見非常明顯的警告。
  • 身份認證,透過公正第三方數位憑證頒發機構(CA)來驗證個人/企業/機關身份後,得到核發的的數位憑證,它就像是電子身分證,能作為身份依據。
  • 長期驗證LTV (Long Time Validation),正式文件根據不同行業別都要保存至少八到十五年,有LTV的數位簽章可以使電子文件具有長期保存的效力。
  • AATL (Adobe Approved Trust List),屬於Adobe信任清單內的CA可在Adobe軟體上看到被信任的數位簽章,不會像自簽憑證跳出不信任警告。

4. 數位簽章+軌跡紀錄 (Biometric Digital Signature)
利用擁有公鑰基礎建設的數位簽核服務,對文件簽核負予最高完整效力的電子簽名,內含數位憑證與軌跡數據。  

5. 許多人因不理解電子簽名(Electronic Signature)與數位簽章(Digital Signature)其中差異,故會混著使用,但明白後會發現是兩種截然不同的行為。

使用簽名的等級取決於文件的類型與對期望的真實性級別,兩者雖兼具法律效力,但以安全性作為考量的話,數位簽章會是更好的選擇。

資料來源:https://www.digielk.com/news_detail.php?uid=4

分類
CISSP

戰略思考與規劃(Strategic Thinking and Planning)

https://ithelp.ithome.com.tw/upload/images/20210626/2013216060MWdYWMan.png

使命與願景(Mission and Vision)
. 一個組織不是無緣無故存在的。它是為目的而建立的,並肩負著使命。它由領導者創造的願景激勵人們按照目標進行活動,並根據指標和指標進行衡量,以創造價值、實現(戰略)目標並實現願景和使命。
. 業務是指創造價值的活動的集合。它由組織的內部和外部環境驅動,這些環境施加了條件和約束以及表達期望、需求和要求的利益相關者。

治理與管理(Governance and Management)
治理是指由最高管理層或最高管理層進行的整體活動,對業務成果、組織的生存和發展以及願景和使命的實現負責。政策是最高管理層意圖的表達。
管理是實現目標或目的的系統方法。PDCA 循環是最著名的管理方法之一。

資訊安全(Information Security)
資訊安全是一門通過保障措施保護資訊資產免受威脅的學科,以實現機密性、完整性和可用性(第 3 層)或 CIA 的目標,支持業務(第 2 層)並創造和交付價值(第 1 層) .
. 資訊安全治理是最高管理層的一門學科,以 1) 承擔保護組織資訊資產的責任,2) 指導資訊安全的實施以實現機密性、完整性和可用性的安全目標,以及 3) 遵守法律和強制性的和其他需求。
. 資訊安全管理是PDCA循環,實施資訊安全戰略,實現戰略目標,落實資訊安全政策。
https://ithelp.ithome.com.tw/upload/images/20210626/20132160hvrnVkG4aP.jpg

資料來源: Wentz Wu 網站

分類
CISSP

容器化的安全原則(the security principles of containerization)

https://ithelp.ithome.com.tw/upload/images/20210625/20132160Q6Ws7TAFVV.jpg
-容器技術架構
容器映像是由開發人員創建和註冊的包,其中包含在容器中運行所需的所有文件,通常按層組織。映像通常包括層,例如最小操作系統核心(又名基礎層)、應用程序框架和自定義代碼。
儘管主機可以直接聯繫註冊中心獲取鏡像並將其部署到容器中,但協調器(例如Kubernetes(K8S)、Docker Swarm、Mesos等)可以自動執行部署過程,從註冊中心拉取鏡像,並將其部署到容器中,並管理容器運行時。

不變性和彈性(Immutability and Elasticity)
正如寵物中的雞、牛、雞和昆蟲類比,部署容器是為了彈性,具有自動“橫向擴展”和“縱向擴展”的能力。
我們很好地照顧我們的寵物,但殺死和吃掉像牛和雞這樣的動物而不會後悔。虛擬機和容器是可以隨時銷毀、替換和添加的工作負載。不變性和無狀態是容器實現彈性的兩個關鍵屬性。

不變性意味著“隨時間不變或無法改變”。(Google) 我們可以將容器視為只讀的;更新容器的唯一方法是用新容器替換它。無狀態意味著容器不會在其本地存儲中保留數據;但是,遠程存儲庫用於跨容器持久化和共享狀態。
大多數應用程序容器技術都實現了不變性的概念。換句話說,容器本身應該作為已部署但未更改的無狀態實體運行。當正在運行的容器需要升級或更改其內容時,它會被簡單地銷毀並替換為具有更新的新容器。
資料來源: NIST SP 800-192

覆蓋網絡(Overlay Networks)
覆蓋網絡通常用於隔離節點之間的流量。相反,可能會導致非容器感知防禦工具難以監控流量。

對容器進行分段和分組(Segmenting and Grouping Containers)
在某些情況下,適合將具有相同用途、敏感性和威脅態勢的容器分組在單個主機上。儘管如此,它並不適用於所有不具有相同安全要求的容器。
僅將具有相同用途、敏感性和威脅態勢的容器分組到單個主機操作系統內核上,以實現額外的縱深防禦。
按用途、敏感性和威脅態勢分割容器提供了額外的縱深防禦。這種分段可以通過使用多個物理服務器來提供,但現代虛擬機管理程序也提供了足夠強大的隔離來有效地降低這些風險。
資料來源: NIST SP 800-192

NIST 應用程序容器安全指南(NIST Application Container Security Guide)
NIST 建議組織應遵循以下建議,以幫助確保其容器技術實施和使用的安全性:

  1. 定制組織的運營文化和技術流程,以支持容器使開發、運行和支持應用程序成為可能的新方式。
  2. 使用特定於容器的主機操作系統而不是通用操作系統來減少攻擊面。
  3. 僅在單個主機操作系統內核上將具有相同目的、敏感性和威脅態勢的容器分組,以實現額外的縱深防禦。
  4. 為鏡像採用特定於容器的漏洞管理工具和流程,以防止受到損害。
  5. 考慮使用基於硬件的對策為可信計算提供基礎。
  6. 使用容器感知運行時防禦工具。

參考
什麼是容器安全?
NIST SP 800-192(應用容器安全指南)
容器安全指南——你需要知道的一切
寵物和牛的類比展示了無服務器如何融入軟件基礎設施領域
寵物與牛的歷史以及如何正確使用類比
彈性
自動化彈性

資料來源: Wentz Wu QOTD-20210408

分類
CISSP

零信任(Zero Trust)

零信任的概念早在 2003 年就出現了,當時去邊界化、移除物理網絡位置盛行。許多組織開始實施類似的概念。NIST 於 2020 年 8 月發布了專刊 800-207,統一了各種觀點,介紹了零信任概念和環境,並提出了零信任架構。
從不信任,始終驗證。零信任的基本概念是不依賴物理位置來隱式授權訪問(信任)。每次訪問都必須經過身份驗證、明確授權和記錄;數據流需要加密和記錄。應實施細粒度的動態機制來支持訪問控制。因此,我得出的結論是,零信任是一種用於訪問控製或訪問控制 2.0 的新網絡安全範式,具有以數據為中心、細粒度、動態和可見性的特點。
. 記帳和記錄網絡流量提供了可見性。
. 零信任與位置無關。使用 IPSec 加密 LAN 上的流量,就像 WAN 中發生的那樣。
. 端口敲門在端口級別應用身份驗證並支持動態策略。此外,我們還在應用程序級別使用網絡訪問控制(例如,802.1X)和用戶身份驗證。從不信任,始終驗證。
. 多層防火牆意味著安全性由物理網絡位置實施,例如外部、DMZ 和內部網絡。它不是零信任風格,它以數據或資產為中心,並使用邏輯邊界或軟件定義的邊界。
https://ithelp.ithome.com.tw/upload/images/20210625/201321608chxfFE2v4.jpg
-零信任概念的演變
https://ithelp.ithome.com.tw/upload/images/20210625/20132160zBrArbWLhT.jpg
-零信任網絡安全範式

參考
零信任創建者談論實施、誤解、戰略
敲端口

資料來源: Wentz Wu QOTD-20210407
My Blog: https://choson.lifenet.com.tw/

分類
CISSP

常見的隧道協議(Common Tunneling Protocols)

常見的隧道協議
以下是常見的隧道協議:
. GRE(協議 47):通用路由封裝
. SSTP(TCP 端口 443):安全套接字隧道協議
. IPSec(協議 50/ESP和 51/AH):互聯網協議安全
. L2TP(協議 115):第 2 層隧道協議
. VXLAN(UDP 端口 4789):虛擬可擴展局域網
封裝安全負載 (ESP)
封裝安全負載 (ESP),IP 協議編號 50,是 IPsec 協議套件的成員。它可以在主機到主機傳輸模式以及站點到站點隧道模式中實現:
. 在傳輸模式下,只對IP數據包的有效載荷進行加密或認證,通常在使用其他隧道協議(如GRE、L2TP)先封裝IP數據包時使用,然後使用ESP保護隧道數據包。(Juniper
. 在隧道模式下,整個 IP 數據包都經過加密和認證。

第2層轉發協議 (L2F)
L2F 或第 2 層轉發是 Cisco Systems, Inc. 開發的隧道協議,用於在 Internet 上建立虛擬專用網絡連接。L2F 本身不提供加密或機密性;它依賴於被隧道傳輸的協議來提供隱私。L2F 專門設計用於隧道點對點協議 (PPP)流量。
資料來源:維基百科

點對點隧道協議 (PPTP)
由於許多眾所周知的安全問題,主要由Microsoft支持的點對點隧道協議 (PPTP)是一種過時的用於實現虛擬專用網絡 (VPN) 的方法。
. PPTP 使用 TCP 控制通道和通用路由封裝隧道來封裝點對點協議 (PPP)數據包。
. PPTP 規範不描述加密,Microsoft 點對點加密 (MPPE)支持加密。

VXLAN 問題陳述
目前的VLAN數量有限,為4094,無法滿足數據中心或云計算的需求,具有基於租戶隔離網絡的共同特點。例如,Azure 或 AWS 的客戶遠多於 4094。

VXLAN (RFC 7348) 旨在解決以下問題:

  1. 生成樹和 VLAN 範圍施加的限制
  2. 多租戶環境
  3. ToR(架頂式)交換機的表尺寸不足
    VXLAN 將傳統的 VLAN 幀封裝為 IP 負載或 MAC-over-IP,以支持主幹交換機和葉交換機之間的通信。Leaf-Spine架構採用葉子交換機和骨幹交換機組成的兩層網絡拓撲結構。

https://ithelp.ithome.com.tw/upload/images/20210623/20132160uIiJ8sl9Cf.png
底層網絡 或所謂的 物理網絡 ,傳統協議在其中發揮作用。底層網絡是物理基礎設施,在其上構建覆蓋網絡。它是負責跨網絡傳輸數據包的底層網絡。

  • 底層協議:BGP、OSPF、IS-IS、EIGRP

一個 覆蓋網絡 是一個 虛擬的網絡 ,其路由在底層網絡基礎設施之上,路由決定將發生在軟件的幫助。

  • 覆蓋協議:VXLAN、NVGRE、GRE、OTV、OMP、mVPN

覆蓋網絡是一種使用軟件創建網絡抽象層的方法,可用於在物理網絡之上運行多個獨立的、離散的虛擬化網絡層,通常提供新的應用程序或安全優勢。
來源:Underlay Network 和 Overlay Network

參考
隧道協議
第 2 層轉發協議 (L2F)
通用路由封裝 (GRE)
點對點隧道協議
虛擬可擴展局域網 (VXLAN)
VPN隧道解釋
什麼是 VPN 隧道?
什麼是 VPN 隧道及其工作原理
什麼是 IKEv2?
互聯網協議安全 (IPsec)

資料來源: Wentz Wu QOTD-20210405

分類
CISSP

IDS 的檢測閾值(The detection threshold of IDS)

混淆矩陣中的敏感性是評估 IDS 性能的常用方法。
. 一旦 IDS 發送警報,就應該對其進行調查和驗證,並且工作量會增加。減少誤報的數量減少了調查工作量。
. 然而,減少誤報警報可能會增加誤報案例,導致更多的零日漏洞利用,利用組織獲利害關西人未知的漏洞進行攻擊。
. “一般來說,提高入侵檢測系統的靈敏度會導致更高的誤報率,而降低靈敏度會降低誤報率。” ( Chapple ) 降低這裡的“敏感度”可能是指配置 IDS 以降低檢測的積極性和響應性並發送更少的警報。然而,IDS 系統的敏感度究竟是多少?二元分類中靈敏度的操作定義是TP/(TP+FN)。降低靈敏度意味著 FN(假陰性)增加。
. 選項 D 在二元分類器中有意義,如下圖所示。IDS的檢測閾值是影響靈敏度的實現參數,實現方式各不相同。基於異常的 IDS 可以採用二元或多標籤分類器/算法來對事件進行分類,例如 {Attack, Non-attack} 或 { Normal, Suspicious, Attack }。由於存在各種類型的基於異常的 IDS,因此在每種算法中可能會或可能不會使用閾值。此外,在不同算法中提高閾值可能會以不同方式影響靈敏度。
https://ithelp.ithome.com.tw/upload/images/20210624/20132160BYV7e3l2wX.png
-二元分類模型的分數分佈(來源:亞馬遜

S-IDS 和 A-IDS
入侵檢測系統按檢測方法可分為基於簽名(S-IDS)和基於異常(A-IDS)。S-IDS擅長檢測已知攻擊,而 A-IDS 擅長未知攻擊。異常,又名異常值、新奇、噪音、偏差和異常,是指“偏離標準、正常或預期的東西”。(谷歌)
下圖很好地總結了異常檢測方法。但是,請注意它有一個錯字(簽名IDS應該是“S-IDS”),大多數CISSP學習指南將基於知識的IDS(K-IDS)視為與簽名IDS(S-IDS)相同。
https://ithelp.ithome.com.tw/upload/images/20210624/20132160clD74SmQxk.jpg
-Laszka、Aron & Abbas、Waseem & Sastry、S & Vorobeychik、Yevgeniy & Koutsoukos、Xenofon。(2016)。入侵檢測系統的最佳閾值。10.1145/2898375.2898399。

分類(Classification)
如果事件或流量是使用二元分類器的攻擊,則 IDS 可以使用模型(分類器)來確定事件或流量,或者使用多標籤分類器對其進行分類,例如正常、可疑或攻擊。在分類過程中可以使用作為模型參數的閾值。
將預測概率或評分轉換為類別標籤的決策由稱為“決策閾值”、“判別閾值”或簡稱為“閾值”的參數控制。對於在 0 或 1 之間的範圍內的標準化預測概率或分數,閾值的默認值為 0.5。(Brownlee

ROC曲線(ROC Curve)
ROC 曲線(接收器操作特性曲線)是顯示分類模型在所有分類閾值下的性能的圖表。該曲線繪製了兩個參數:真陽性率和假陽性率。(谷歌)
https://ithelp.ithome.com.tw/upload/images/20210624/2013216061vIETP7gL.png
-資料來源:谷歌

混淆矩陣(Confusion Matrix)
混淆矩陣是一種評估 IDS 使用的模型性能的工具。它包含有關使用二元或多標籤分類器進行的實際和預測分類的信息,例如 {Attack, Non-attack} 或 { Normal, Suspicious, Attack }。
https://ithelp.ithome.com.tw/upload/images/20210624/2013216084RUoTPUFu.jpg
-混淆矩陣(圖片來源:數據科學和機器學習
https://ithelp.ithome.com.tw/upload/images/20210624/20132160KkA5nGTp0S.jpg
-混淆矩陣和決策樹(圖片來源:Judy Shamoun-Baranes

參考
準確率和召回率
敏感性和特異性
精確召回
入侵檢測系統的最佳閾值
入侵檢測系統 – IDS 性能調優 (YouTube)
網絡入侵檢測系統:機器學習和深度學習方法的系統研究
大數據環境下使用機器學習算法的入侵檢測模型
機器學習中的分類算法:它們是如何工作的
7種分類算法
統計異常檢測
異常檢測
靈敏度、特異性、準確性、相關置信區間和 ROC 分析與實用 SAS® 實施
評估和調整入侵檢測系統
什麼是入侵檢測系統?最新類型和工具
不平衡分類的評估指標之旅
不平衡分類的閾值移動簡介
多標籤分類的閾值選擇研究
分類:閾值(谷歌)
多標籤分類
多類分類(亞馬遜)
二元分類(亞馬遜)
在 scikit-learn 中微調分類器
機器學習:神經網絡

資料來源: Wentz Wu QOTD-20210406

分類
CISSP

虛擬局域網擴展VXLAN

虛擬局域網擴展(Virtual Extensible LAN, VXLAN)是一種網路虛擬化技術,它試圖改善大雲計算部署相關的可擴展性問題。它採用類似VLAN封裝技術封裝基於MAC含括第 4 層的UDP封包的 OSI 第2層 乙太網影格 ,使用 4789 作為預設分配的 IANA 目的地 UDP 埠號。[1]

VXLAN 是努力覆蓋封裝協定的演變,它提高了可擴展性達 1600 萬個邏輯網路,並允許透過IP網路鄰接第 2 層。使用 HER (Head-End Replication)的 多播 或 單播 是用來淹沒 BUM (broadcast, unknown destination address, multicast) 流量

VXLAN 規格一開始是由 VMwareArista Networks 和 Cisco 建立的 [2][3],其他的 VXLAN 技術擁護者包括HuaweiBroadcomCitrix、Pica8、Cumulus Networks、Dell、Mellanox、[4] OpenBSD、[5] Red Hat[6] 和 Juniper Networks

VXLAN 正式由 IETF 記錄在 RFC 7348 內。Open vSwitch 支援VXLAN覆蓋網路。

VXLAN的作用

VXLAN可以為網路提供以下作用:

  • 突破 VLAN的最多 4096 個終端的數量限制,以滿足大規模雲計算資料中心的需求。目前因為現在虛擬化技術的發展,在資料中心裏的伺服器都類比成虛擬機 (VM),而且 VM 一般都會需要分割成組,達成二層隔離,目前大多是透過 VLAN 技術實現的。但 VLAN 技術的缺陷是 VLAN Header 預留的長度只有12 bit,最多只能支援4096個,無法滿足日益增長的需求。目前 VXLAN 的報文 Header 內有 24 bit,可以支援 2的24次方的 VNI 個數。(VXLAN中透過 VNI 來識別,相當於VLAN ID)
  • 解決 STP在大型網路裝置頻寬浪費和收斂效能變慢的缺陷。在資料中心一旦啟動 STP,將導致鏈路頻寬的浪費。此外,當拓撲增加到二百台網路裝置時,收斂效能會顯變慢。
  • 解決 ToR (Top of Rack) 交換機 MAC表耗盡問題。二層網路出現後,不僅要記錄資料中心二層裝置的 MAC 位址,還得記錄其他資料中心二層範圍內的位址,這包括了海量的虛擬機器的 MAC 位址,這增加了 TOR MAC表的需求。但目前的交換機晶片遠遠無法滿足此一需求。

資料來源:https://zh.wikipedia.org/wiki/%E8%99%9B%E6%93%AC%E5%B1%80%E5%9F%9F%E7%B6%B2%E6%93%B4%E5%B1%95

分類
CISSP

Content-Dependent Control 依賴內容的控制 &Context-Dependent Control 依賴上下文的控 制

Basic concepts

One of the primary concepts in access control is to understand the subject and the object.

subject may be a person, a process, or a technology component that either seeks access or controls the access. For example, an employee trying to access his business email account is a subject. Similarly, the system that verifies the credentials such as username and password is also termed as a subject.

An object can be a file, data, physical equipment, or premises which need controlled access. For example, the email stored in the mailbox is an object that a subject is trying to access.

Controlling access to an object by a subject is the core requirement of an access control process and its associated mechanisms. In a nutshell, a subject either seeks or controls access to an object.

基本概念
訪問控制的主要概念之一是理解主體和客體。主體可以是尋求訪問或控制訪問的人、過程或技術組件。例如,試圖訪問其企業電子郵件帳戶的員工就是一個主題。同樣,驗證用戶名和密碼等憑據的系統也稱為主體。對象可以是需要受控訪問的文件、數據、物理設備或場所。例如,存儲在郵箱中的電子郵件是主題試圖訪問的對象。控制主體對對象的訪問是訪問控製過程及其相關機制的核心要求。簡而言之,主體尋求或控制對客體的訪問。

An access control mechanism can be classified broadly into the following two types:

  1. If access to an object is controlled based on certain contextual parameters, such as location, time, sequence of responses, access history, and so on, then it is known as a context-dependent access control. In this type of control, the value of the asset being accessed is not a primary consideration. Providing the username and password combination followed by a challenge and response mechanism such as CAPTCHA, filtering the access based on MAC adresses in wireless connections, or a firewall filtering the data based on packet analysis are all examples of context-dependent access control mechanisms.Completely Automated Public Turing test to tell Computers and Humans Apart (CAPTCHA) is a challenge-response test to ensure that the input to an access control system is supplied by humans and not by machines. This mechanism is predominantly used by web sites to prevent Web Robots(WebBots) to access the controlled section of the web site by brute force methods

訪問控制機制可以大致分為以下兩種類型:
如果對對象的訪問是基於某些上下文參數(例如位置、時間、響應順序、訪問歷史等)來控制的,那麼它被稱為上下文相關的訪問控制。在這種類型的控制中,被訪問資產的價值不是主要考慮因素。提供用戶名和密碼組合,然後是驗證碼等質詢和響應機制,根據無線連接中的 MAC 地址過濾訪問,或基於數據包分析過濾數據的防火牆都是上下文相關訪問控制機制的示例。完全自動化的公共圖靈測試來區分計算機和人類 (CAPTCHA) 是一種挑戰-響應測試,以確保訪問控制系統的輸入由人類而非機器提供。該機制主要由網站使用,以防止網絡機器人(WebBots)通過蠻力方法訪問網站的受控部分

2.If the access is provided based on the attributes or content of an object,then it is known as a content-dependent access control. In this type of control, the value and attributes of the content that is being accessed determines the control requirements. For example, hiding or showing menus in an application, views in databases, and access to confidential information are all content-dependent.

如果訪問是基於對象的屬性或內容提供的,則稱為內容相關訪問控制。在這種類型的控制中,被訪問的內容的值和屬性決定了控制要求。例如,隱藏或顯示應用程序中的菜單、數據庫中的視圖以及對機密信息的訪問都取決於內容。

資料來源:https://hub.packtpub.com/cissp-security-measures-access-control/

資料庫的資料給不給看, 或給多少資料看, 都是一種存取控制. Context這個字, 可以解釋成subject及object以外的東西, 都是context. (ABAC以屬性為基礎的存取控制就是這樣的觀點, 依subject, object, 及context/environment的屬性來授權).
除了控制資料要揭露多少以外(content-dependent), 也可以由環境來控制(存取的時間, 位置等).

分類
CISSP

ISO OSI 參考模型的數據鏈路層(Data Link layer)-邏輯鏈路控制(logic link control)

https://ithelp.ithome.com.tw/upload/images/20210622/201321606xSgGi0csg.png
-圖片來源:TelecomWorld 101
ISO OSI 參考模型的數據鏈路層從 IEEE 的角度可以分為兩個子層:邏輯鏈路控制(LLC)和媒體訪問控制(MAC)。

邏輯鏈路控制 (LLC)
LLC處理以下問題:
流量控制:例如,滑動窗口
錯誤控制
. 錯誤檢測:例如,循環冗餘校驗 (CRC)
. 糾錯:例如,重傳

媒體訪問控制 (MAC)
以下是三種眾所周知的媒體訪問機制:
. 令牌傳遞
. CSMA/CD
. CSMA/SA

參考
IEEE802.2 – 邏輯鏈路控制層 (LLC)
數據鏈路層的錯誤檢測和糾正
數據鏈路層的流量控制

資料來源: Wentz Wu QOTD-20210404

分類
CISSP

一次性密碼 (One-time pad:OTP)

一次性密碼(one-time pad)和一次性密碼(one-time passoword )的首字母縮寫詞都是 OTP。然而,它們是不同的,根本沒有關係。一次性密碼是一種對稱密碼,需要一個隨機密鑰,而一次性密碼是動態生成的密碼,僅對一個且僅特定的登錄會話有效。
. RSA 數字簽名算法生成強制不可否認性的數字簽名。
. 基於時間的一次性密碼 (Time-based One-Time Password :TOTP) 是一種一次性密碼,它依賴於時間作為生成算法的輸入參數之一。
. 基於散列的消息認證碼 (Hash-based Message Authentication Codes :HMAC) 依靠散列函數和共享密鑰來計算消息認證碼以驗證真實性。

參考
一次性密碼 (one-time pad :OTP)
一次性密碼(one-time passoword)

資料來源: Wentz Wu QOTD-20210403

分類
CISSP

強制存取控制(Mandatory access control)

強制存取控制是訪問控制策略或要求;這不是一個正式的模型。相反,它可以通過正式模型來實現。模型是一個詳細描述或實體的縮放表示; 一個正式的模型是應用數學為基礎的符號和語言制定了嚴格的模型。
. **有限狀態機(Finite state machine)**是一種常見的形式模型。
. **信息流模型(information flow model)**並不是真正的模型,而是泛指能夠控制信息流的形式模型。無干擾模型(non-interference model)也是如此。但是,大多數學習指南將它們視為“模型”。這個問題遵循這個觀點。
EAL 7 產品意味著它以正式設計為後盾。
https://ithelp.ithome.com.tw/upload/images/20210619/20132160Abx7dUYNFr.jpg
-通用標準 EAL

參考
模型
形式方法
可信計算機系統評估標準
貝爾-拉帕杜拉模型
認證產品清單 – 統計

資料來源: Wentz Wu QOTD-20210402

分類
CISSP

緩衝區溢出和記憶體洩漏(Buffer Overflow and Memory Leak)

https://ithelp.ithome.com.tw/upload/images/20210618/20132160vH7blOlAPj.jpg
-進程的記憶體佈局
**緩衝區(Buffer)**是指用於存儲特定大小數據的一段內存。如果數據大小大於緩衝區大小,它就會溢出。它通常會導致異常受特權提升或返回到堆棧中的代碼地址。如果正確安排輸入驗證和異常處理程序,可以有效地緩解緩衝區溢出。
**記憶體洩漏(Memory leak)**是一個常見的應用程序問題。應用程序或進程在由操作系統加載和啟動時被分配了有限的記憶體大小,也就是堆。該進程可能會請求記憶體段,但不會將它們返回給操作系統。可用內存最終用完了。性能越來越差,可能會導致進程崩潰。現代運行時框架,例如 .NET、JVM,提供垃圾收集或引用計數器來解決這個問題。

資料來源: Wentz Wu 網站

分類
CISSP

別會錯意!“I am at your disposal.” 不是「任你處置」

摘要

“At your disposal”原來不是任你處置?Disposable income 跟丟棄又有什麼關係?這篇整理了常見幾個Dispose衍生用字與用法,像是「謀事在人,成事在天」也跟Dispose有關係!

James 的部門來了新的外籍同事,在交付工作事項之後,外籍同事對他說:“I am at your disposal.”

James 嚇了一跳,disposal 不是抛棄嗎?自己一直很和善,並沒有要抛棄這位新同事啊!

原來這是句禮貌話,和抛棄完全無關。

I am at your disposal.

(X)我任你棄置。

(O)我很樂意提供任何協助。

這麼說就好像是說:“Just let me know if you need my help.” 只是更正式一些。

在解釋 at your disposal 前,先看看 dispose 這個字。

Dispose

Dispose 是 dis 和 pose 兩個字的組合。【dis →分離 + pose→位置】,讓一個東西離開它本來位置的意思。

它有解決掉、佈置,進一步延伸就是「使人傾向於做某件事」…的意思。來看幾個例句:

I want to dispose of these old books. 我想處理掉這些舊書。(很容易漏掉of)

Man proposes, God disposes. 謀事在人,成事在天。

The good pay disposed him to take the job. 高薪促使他接受了這份工作。

Disposable income

Dispose 的形容詞 disposable,最常見的用法是「可丟棄的」,像免洗筷,就是 disposable chopsticks。但不要以為disposable income 是可丟棄的收入,那就搞不清這是什麼意思。這裡的 disposable 意思是「可任意處理的」。

(X)可丟棄的收入

(O)可支配的收入

Disposal

Disposal 是清除、處理、抛棄。所以廢棄物處理叫做 garbage disposal。

The sanitation department is in charge of garbage disposal. 環境衛生部門負責處理垃圾。

前面提過 dispose 也是佈置,它的名詞 disposal 也一樣,可以當「佈置」。

They spent quite some time on the disposal of furniture in their new restaurant. 他們在新餐廳的傢俱佈置上花了相當多的時間。

Disposal還可以延伸為「處置權」,at someone’s disposal 就是用這層意思。

用法大家可能不熟悉,來多看幾個例句:

A huge supply of books is at your disposal in the library. 圖書館裡有大量的圖書任你學習使用。

I don’t have a car at my disposal. 我剛好沒有可用的車。

資料來源:https://www.businessweekly.com.tw/careers/blog/3003725

分類
CISSP

基於格的訪問控制模型(a lattice-based access control model)

“格是在有序理論和抽象代數的數學子學科中研究的抽象結構。它由一個偏序集合組成,其中每兩個元素都有一個唯一的上界(也稱為最小上界或連接)和唯一的下界(也稱為最大下界或相遇)。” (維基百科
安全格通常用於控制安全級別/類別或隔間之間的信息流。分類和標記是基於格的訪問控制的兩個主要特徵。
基於晶格的訪問控制(Lattice-based Access Control)
Ravi S. Sandhu 在這篇名為 Lattice-Based Access Control Models 的論文中回顧了三種基於格的訪問控制模型(Bell-LaPadula、Biba 和 Chinese Wall),該論文展示瞭如何在格框架中執行 Chinese Wall 策略,並表示:
開發了基於晶格的訪問控制模型來處理計算機系統中的信息流。信息流顯然是保密的核心。正如我們將看到的,它在某種程度上也適用於完整性。它與可用性的關係充其量是微不足道的。因此,這些模型主要關注機密性並且可以處理完整性的某些方面。

貝爾-拉帕杜拉模型(Bell-LaPadula Model)
https://ithelp.ithome.com.tw/upload/images/20210617/201321609mcxyq6hoP.jpg
-貝爾-拉帕杜拉模型

比巴模型(Biba Model)
https://ithelp.ithome.com.tw/upload/images/20210617/201321605F48VHrzVI.jpg
-比巴模型

布魯爾和納什模型(Brewer and Nash model)
Brewer 和 Nash 模型將數據集分類為利益衝突類並標記它們以根據主體的訪問歷史(也稱為基於歷史)動態應用訪問控制。
https://ithelp.ithome.com.tw/upload/images/20210617/201321604tCMZksBGL.jpg
-布魯爾和納什模型(中國牆)

克拉克-威爾遜模型(Clark-Wilson Model)
Clark-Wilson 模型有兩個特點:格式良好的交易和職責分離。它依靠“程序”來強制執行完整性,而不是為了保密而控制信息流。
David D. Clark 和 David R. Wilson 在他們的論文《商業和軍事計算機安全政策的比較》中說:
本文提出了一種基於商業數據處理實踐的數據完整性策略,並將該策略所需的機制與強制執行信息安全點陣模型所需的機制進行了比較。我們認為格模型
不足以表徵完整性策略,需要不同的機制來控制披露和提供完整性……
首先,通過這些完整性控制,數據項不一定與特定的安全級別相關聯,而是與一組允許對其進行操作的程序相關聯。其次,用戶沒有被授予讀取或寫入某些數據項的權限,但可以對某些數據項執行某些程序……
https://ithelp.ithome.com.tw/upload/images/20210617/20132160ovia2WiOeK.png
-Clark-Wilson 誠信模型(圖片來源:Ronald Paans
參考
可信計算機系統評估標準
貝爾-拉帕杜拉模型

資料來源: Wentz Wu QOTD-20210401

分類
CISSP

點對點隧道協定(PPTP)&第二層隧道協定(L2TP)

點對點隧道協定(英語:Point to Point Tunneling Protocol,縮寫為PPTP)是實現虛擬私人網路(VPN)的方式之一。PPTP使用傳輸控制協定(TCP)建立控制通道來傳送控制命令,以及利用通用路由封裝(GRE)通道來封裝對等協定(PPP)封包以傳送資料。這個協定最早由微軟等廠商主導開發,但因為它的加密方式容易被破解,微軟已經不再建議使用這個協定。

PPTP的協定規範本身並未描述加密身分驗證的部份,它依靠對等協定(PPP)來實現這些安全性功能。因為PPTP協定內建在微軟Windows家族的各個產品中,在微軟對等協定(PPP)協定堆棧中,提供了各種標準的身分驗證與加密機制來支援PPTP [1]。 在微軟視窗系統中,它可以搭配PAPCHAPMS-CHAP v1/v2或EAP來進行身分驗證。通常也可以搭配微軟點對點加密(MPPE)或IPSec的加密機制來提高安全性[2]

WindowsMac OS平台之外,Linux與FreeBSD等平台也提供開放原始碼的版本。

資料來源:https://zh.wikipedia.org/wiki/%E9%BB%9E%E5%B0%8D%E9%BB%9E%E9%9A%A7%E9%81%93%E5%8D%94%E8%AD%B0

第二層隧道協定(英語:Layer Two Tunneling Protocol,縮寫為L2TP)是一種虛擬隧道協定,通常用於虛擬私人網路。L2TP協定自身不提供加密與可靠性驗證的功能,可以和安全協定搭配使用,從而實現資料的加密傳輸。經常與L2TP協定搭配的加密協定是IPsec,當這兩個協定搭配使用時,通常合稱L2TP/IPsec。

L2TP支援包括IPATM影格中繼X.25在內的多種網路。在IP網路中,L2TP協定使用註冊埠UDP 1701。[1]因此,在某種意義上,儘管L2TP協定的確是一個資料鏈路層協定,但在IP網路中,它又的確是一個對談層協定。

資料來源:https://zh.wikipedia.org/wiki/%E7%AC%AC%E4%BA%8C%E5%B1%82%E9%9A%A7%E9%81%93%E5%8D%8F%E8%AE%AE

分類
CISSP

域名金鑰辨識郵件(DomainKeys Identified Mail,DKIM)

域名金鑰辨識郵件DomainKeys Identified Mail,DKIM)是一套電子郵件認證機制,使用公開金鑰加密的基礎提供了數位簽章身分驗證的功能,以檢測寄件者、主旨、內文、附件等部份有否被偽冒或竄改。

一般來說,發送方會在電子郵件的標頭插入DKIM-Signature及電子簽名資訊。而接收方則透過DNS查詢得到公開金鑰後進行驗證。

優點

DKIM的主要優點是可以讓寄件者有效地表明身分,讓收件者可憑藉公鑰確認寄件者並非偽冒、內文未經竄改,提高電子郵件的可信度。郵件過濾器可使用白名單及黑名單機制更可靠地檢測網路釣魚垃圾電子郵件

資料來源:https://zh.wikipedia.org/wiki/%E5%9F%9F%E5%90%8D%E5%AF%86%E9%92%A5%E8%AF%86%E5%88%AB%E9%82%AE%E4%BB%B6

分類
CISSP

單元測試&整合測試&迴歸測試

單元測試(Unit Testing)
單元測試既是一種測試工具,也是一種開發工具。現代軟件開發人員通常在完成功能代碼之前開發單元測試,也就是測試驅動開發 (TDD) 方法。換句話說,每個軟件功能都帶有一組單元測試,以確保其正常運行。
https://ithelp.ithome.com.tw/upload/images/20210615/201321600lKIJvGvtH.jpg
-示例單元測試

整合測試(Integration Testing)
如今,軟件開發人員正在本地代碼存儲庫所在的桌上型電腦或筆記本電腦上編寫代碼。他們首先將代碼“提交”或“簽入”到本地代碼存儲庫中。如果本地代碼構建和測試沒有問題,它們將被推送到遠程中央代碼存儲庫進行集成。持續集成 (CI) 意味著一旦滿足 CI 標準,遠程服務器就會自動啟動服務器構建,例如,每當簽入新代碼或定期開始構建(例如,每晚構建)。如果服務器構建成功,它會自動開始(集成)測試。單元測試和 UI 測試可以在沒有用戶干預的情況下完成,例如,使用 Selenium 來支持自動化的端到端 (e2e) Web UI 測試。

回歸測試(Regression Testing)
如果服務器構建失敗,遠程代碼存儲庫的中央服務器將通知開發人員錯誤。開發人員製造錯誤或破壞構建必須修復它們並重複該過程直到沒有錯誤發生。這是一個回歸測試的過程。

參考
回歸測試
回歸測試和整合測試有什麼區別?
單元測試?整合測試?回歸測試?驗收測試?
代碼庫的安全性

資料來源: Wentz Wu QOTD-20210330

分類
CISSP

軟件測試覆蓋率分析(測試粒度最細)-表達式(expressions)和決策結構

顆粒可視為測量單元。當我們說我們的軟體被測試了50%,或者測試覆蓋率是50%,這到底是什麼意思,因為軟體有10個用例,50個場景,500個測試案例,10,000行代碼,或者200,000個表達式?50% 的測試覆蓋率可能指 5 個使用案例(十分之一)測試,但 5 個測試使用案例涵蓋 10 種情況、30 個測試案例、8,000 行和 120,000 個表達式。

使用案例從使用者(參與者)的角度記錄功能要求,通常包括主要的成功場景(又名基本或陽光日流量)和擴展場景(又名擴展、特殊、替代或雨天流)(如果有)。
https://ithelp.ithome.com.tw/upload/images/20210614/20132160UKZfOb2jzi.png
-從用例序列生成測試用例(圖片來源:MJ Escalona

可根據使用案例場景開發測試方案,並由一個或多個測試案例支援。測試案例涵蓋一個或多個通常跨越原始程式碼行的軟體功能。

一行代碼可以容納一個或多個計算機語言表達式和語句。例如,下圖中的第一行有兩個語句。
https://ithelp.ithome.com.tw/upload/images/20210614/20132160GpCPTaSy0C.jpg
-表達式和語句

參考
用例目標、場景和流程
源代碼行
第5章–決策結構
為什麼測試覆蓋率是軟件測試的重要組成部分?
代碼覆蓋率
代碼覆蓋率分析
表達式與語句
表達式與語句(視頻)

資料來源: Wentz Wu QOTD-20210329

分類
CISSP

資安入門

資訊安全是透過安全管制措施來保護資訊資產免於受到危害,以達到機密性、完整性和可用性(即常聽到的CIA)之目標(第3層),進而支持業務流程(第2層)、創造和交付價值,實現組織的使命與願景(第1層)的一門學科.
資料來源:The Effective CISSP: Security and Risk Management

什麼是風險?
風險是“影響目標達成的不確定因素”。在資訊安全的背景下,威脅是任何可能對目標帶來負面影響的風險,通常涉及威脅來源發起一個或多個威脅事件,以利用漏洞並導致不利的影響。
NIST 通用風險模型 (NIST SP 800-30 R1)
漏洞(Vulnerability)“包括可以被威脅所利用的一個或一組資產的弱點(weakness)”(ISO / IEC 21827),或是“可以被威脅利用或觸發的IT系統安全上的弱點。” (ISO/TR 22100-4)

  • 弱點是一種“不足”。(ISO 81001-1)
  • 資產是有價值且值得保護的東西。
  • 保護是指努力防止目標偏離。保護意味著在風險管理中進行風險處置或在資訊安全的場合中實施安全控制(又名安全措施)。
  • 保護人的生命永遠是當務之急。
    ISO 31000

資訊系統,又常被稱為IT系統,是一組離散的收集組織的資訊資源,加工,維修,使用,共享,傳播或資訊的處置。在本出版物的上下文中,該定義包括資訊系統運行的環境(即人員、流程、技術、設施和網絡空間)。(NIST SP 800-39)

CISSP是一位被ISC2所認證的專家,很了解如何保護資訊系統。

孔雀作為資訊系統的隱喻

Wentz 的著作The Effective CISSP: Security and Risk Management幫助 CISSP 和 CISM 有志者建立了一個可靠的概念安全模型。它是資訊安全教程和 CISSP 和 CISM 考試官方學習指南的補充,也是安全專業人員的資訊參考。

參考

  • ISO/IEC 21827:2008
  • ISO/TR 22100-4:2018
  • ISO 81001-1:2021

原始來源: Information Security 101

分類
CISSP

密鑰協商-Diffie-Hellman

密鑰分發是將加密密鑰從一方發送到另一方的過程。對稱和非對稱密碼術都面臨著密鑰分發的挑戰。這個問題詢問對稱密碼學中的共享密鑰分發。
. 由信任網絡或 X.509公鑰基礎設施(PKI)管理的證書中的收件人公鑰通常用於加密預先確定的而非協商或商定的共享密鑰。證書和基礎設施管理是主要開銷。
. Diffie-Hellman 是一種基於公鑰的協議,支持密鑰協商(生成並同意共享密鑰),而無需證書管理的開銷。

秘鑰的分配
密鑰可以由一方預先確定並發送給另一方,也可以由雙方協商和商定。作者將前者預先確定的方式稱為“密鑰交換”,將後者約定的方式稱為“密鑰協商”。然而,人們將“密鑰交換”稱為涵蓋這兩種方法的總稱並不少見。
. 密鑰交換:一方生成密鑰並發送給另一方;對方不影響密鑰。例如,公鑰加密。
密鑰協商:雙方都可以就密鑰達成一致,從而影響結果。例如,迪菲-赫爾曼。
https://ithelp.ithome.com.tw/upload/images/20210612/20132160PSFBVbDT2f.jpg
-對稱密碼學中的密鑰分配

公鑰的分配
非對稱密碼學中使用的公鑰的分發可以通過以下一般方案來實現:
. 公示(信任網
. 公開目錄
. 公鑰權限
. 公鑰證書信任鏈

Diffie-Hellman 協議

https://www.youtube.com/embed/QPD3IgCUkVY

參考
NIST 密碼標準和指南
Diffie Hellman 組 (IBM)
公鑰分發
Diffie-Hellman 協議
Diffie-Hellman (輝煌)
Diffie-Hellman 密鑰交換的代數推廣
Diffie Hellman – 數學位 – Computerphile
Diffie-Hellman 密鑰交換的數學 | 無限系列
此視頻未使用 RSA 加密 | 無限系列
如何破解密碼學。無限系列
您是否需要特殊類型的證書才能使用 Diffie Hellman 作為 SSL 中的密鑰交換協議?

資料來源: Wentz Wu QOTD-20210328

分類
CISSP

Product Sales and Support(EOL & EOS)

分類
CISSP

產品壽命結束EOL

產品壽命結束(英語:End-of-life,縮寫EOL)是一個用於提供給用戶產品的術語,表示該產品的生命周期結束,供應商計劃停止市場行銷銷售等,產品服務也可能隨之受限甚至終止。供應商可能會用像產品銷售結束(end-of-sale)等更明確的詞語。一般在供應商產品壽命結束前會發出產品壽命結束公告,之後的一段時間為最後訂購日期,最多可到90天。

資料來源:https://zh.wikipedia.org/wiki/%E7%94%A2%E5%93%81%E5%A3%BD%E5%91%BD%E7%B5%90%E6%9D%9F

分類
CISSP

替代網站(Alternative Sites)- 冷站點的最大好處

冷站點沒有適當的計算機設備,因此它不提供異地數據存儲、保留替代計算能力或響應電子發現請求。
冷站點是替代或備份站點的最便宜的形式。與暖站點或熱站點相比,恢復計算機設施和恢復業務運營需要更多時間。但是,一般來說,冷站點確實縮短了搬遷時間。例如,它可以節省尋找合適地點、進行現場調查(例如,通過環境設計預防犯罪)、與房東談判合同以及準備活動地板、空調、電力和通信線路等基本設施的時間, 等等。

替代網站(Alternative Sites)
“一般來說,備用站點是指人員和他們需要工作的設備在一段時間內重新安置的站點,直到正常的生產環境,無論是重建還是更換,都可用。” (維基百科
冷站點(Cold site):具有計算機設施必需的電氣和物理組件但沒有計算機設備的備用設施。該站點已準備好在用戶必須從其主要計算位置移動到備用站點的情況下接收必要的替換計算機設備。
暖站點(Warm site:):一個環境條件良好的工作空間,部分配備信息系統和電信設備,以在發生重大中斷時支持搬遷操作。
熱站點(Hot site):配備硬件和軟件的全面運行的異地數據處理設施,可在信息系統中斷時使用。
資料來源:NIST SP 800-34 修訂版 1

電子發現(E-discovery)
電子取證(也稱為電子取證或電子取證)是指在訴訟、政府調查或信息自由法請求等法律程序中的取證,其中所尋求的信息採用電子格式(通常稱為電子存儲信息或 ESI)。
資料來源:[維基百科]

參考
數據保管
什麼是數據保險箱?- 所有你必須知道的
數據保險庫基礎知識
服務局
按需計算:服務局的重生
電子發現
備份站點

資料來源: Wentz Wu QOTD-20210327

分類
CISSP

工程、生命週期階段和過程(Engineering, Life Cycle Stages, and Processes)

https://ithelp.ithome.com.tw/upload/images/20210610/20132160fMsOyOUCv0.jpg
-NIST SP 800-160 V1 和 ISO 15288

工程(Engineering)
. 工程 是一種涉及開發解決方案的一組流程的方法,該解決方案可以是系統、軟件或任何可交付成果,從利益相關者的需求轉換而來,並在解決方案的整個生命週期中提供支持。(精簡版)
. 工程 是一種方法,它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案,以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。(長版)
. 系統和軟件工程 是將系統或軟件作為解決方案交付的工程方法。

系統工程(Systems Engineering)
系統工程 是一種跨學科的方法和手段,可以實現成功的系統。
– 它側重於在開發週期的早期定義利益相關者的需求和所需的功能,記錄需求,然後在考慮完整問題的同時進行設計綜合和系統驗證。
– 將所有學科和專業組整合到一個團隊中,形成從概念到生產再到運營的結構化開發流程.
– 它考慮了 所有利益相關者的業務和技術需求,目標是提供 滿足用戶和其他適用利益相關者需求的優質產品。這個 生命週期跨越了想法的概念 ,直到系統的退役 。– 它提供了獲取和供應系統的流程 。– 它有助於改善創建、利用和管理現代系統的各方之間的溝通與合作,以便他們能夠以集成、連貫的方式工作。
來源: ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程
https://ithelp.ithome.com.tw/upload/images/20210610/20132160whjGsHNArL.jpg
-SDLC:系統還是軟件?

生命週期(Life Cycle)
每個人都有自己的生活,系統或軟件也是如此。系統或軟件的生命週期不同。系統或軟件生命週期通常包括從開始到工程退役的跨階段(或階段)進行的一系列過程(也稱為生命週期過程)。
系統或軟件開發生命週期 (SDLC) 中的“開發”一詞具有誤導性,因為它暗示“構建”、“製作”、“構建”或“實施”某物。然而,如今一個組織在沒有任何採購或收購的情況下單獨“發展”是不可能的。採購意味著從供應商那裡購買東西,而從更廣泛的意義上講,收購是指從任何一方付費或免費獲取任何東西。

階段(Stages)
生命週期的階段各不相同。組織傾向於根據工程方法定制生命週期階段,並可能在項目中迭代生命週期。ISO/IEC 15288 提出了生命週期過程,但 沒有規定 係統生命週期 (SLC) 的六個階段。

流程(Processes)
跨生命週期執行的流程不時變化,這種情況並不少見。但是,修訂後的 ISO/IEC/IEEE 15288:2015 和 ISO/IEC/IEEE 12207:2017 旨在實現系統和軟件生命週期過程的完全協調視圖。
一個過程通常以不同的程度在整個生命週期中進行。驗證和確認是在眾所周知的“測試”或“測試”(“testing” or “test”)階段進行的主要過程。然而,需求、設計、工作產品、可交付成果、最終產品等,可以而且應該在不同階段進行驗證和確認。
https://ithelp.ithome.com.tw/upload/images/20210610/20132160m6B1S9iCp7.png
-Rational Unified Process 的 4 個階段和 9 個學科(圖片來源:Humberto Cervantes)

參考
ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程
ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程
ISO/IEC 15288
什麼是工程?
安全架構與工程
CISSP 實踐問題 – 20210514
墨西哥某小型IT企業網絡管理應用開發經驗報告

資料來源: Wentz Wu 網站

分類
CISSP

最大可容忍停機時間 (MTD)

最長可容忍停機時間或 MTD 指定了在組織的生存面臨風險之前給定業務流程可能無法運行的最長時間。”
資料來源:BCM 研究所
最大可容忍停機時間 (MTD) 是對信息系統和其他資源支持的關鍵業務流程的約束。換句話說,MTD 對一個或多個信息系統施加約束,如下圖所示。
https://ithelp.ithome.com.tw/upload/images/20210609/20132160HMHKYUGDbU.jpg
-業務影響分析 (NIST)

最大可容忍停機時間 (MTD) 是推動目標設定的業務限製或要求。服務交付目標 (SDO)、恢復點目標 (RPO) 和恢復時間目標 (RTO) 是目標,因為術語“目標”明確表示字面意思。有關詳細信息,請參閱這篇文章,常見 BIA 術語
https://ithelp.ithome.com.tw/upload/images/20210609/20132160KDhh2HuZLr.jpg
-MTD、RTP 和 RPO

參考
常見的 BIA 術語
CISSP 實踐問題 – 20200406
CISSP 實踐問題 – 20201217
CISSP 實踐問題 – 20200407
CISSP 實踐問題 – 20210215
CISSP 實踐問題 – 20210116

資料來源: Wentz Wu QOTD-20210326

分類
專案管理

專案管理基本功

戰略

組織戰略通常包括一系列旨在實現長期目標和實現願景和使命的舉措。

戰略投資組合

一個專案可能在三種情況下進行管理:作為一個獨立的專案(投資組合或計劃外),一個內部程序,或內組合。(PMBOK 6th)

商業案例

  • 一個商業案例評估舉措替代的可行性,成本和效益方面。
  • 證明計劃合理的已批准業務案例會將其轉變為由專案發起人讚助並由專案經理管理的專案。

專案生命週期

專案是為創造獨特的產品、服務或成果而進行的臨時努力。

專案生命週期是專案從開始到完成所經歷的一系列階段。這些階段可以是連續的、迭代的或重疊的。專案的生命週期可以是預測性或適應性。

資料來源:PMBOK 6th

開發生命週期

在專案生命週期內,通常有一個或多個與產品、服務或成果的開發相關的階段。這些被稱為開發生命週期。開發生命週期可以是預測的、迭代的、增量的、自適應的或混合模型。

資料來源:PMBOK 6th

敏捷思維

敏捷是一種思維模式,它專注於通過一系列預定義的原則和經過驗證的實踐來頻繁地創造和交付價值。

管理

專案管理

專案管理是將知識、技能、工具和技術應用於專案活動以滿足專案要求。

專案管理使組織能夠有效和高效地執行專案。

資料來源:PMBOK 6th

原始出處: Project Management 101

分類
CISM

業務層面策略分析(Analysis of Business-Level Strategies)

Michael Porter提供的通用策略實際上是一個框架,可以應用於單個業務級策略的策略。波特認為,公司的優勢可以分為兩個標題,即差異化和成本優勢。當這兩個優勢在廣泛和狹窄的範圍內應用時,會出現三個結果,即成本領先、差異化和專注戰略。下表說明了波特的通用策略。(波特,1998 年)

下表說明了公司如何在戰略目標內獲得戰略優勢。如果一家公司在這三個戰略中的任何一個都沒有取得成功,它實際上就被夾在了中間。(阿里亞斯,2009 年)

通用策略的特徵可以在波特五力的情況下進行比較,如下表所示。(波特,1998 年)

通用策略和行業力量

參考

資料來源:https://mbaglobalmarketing.wordpress.com/2011/05/17/analysis-of-business-level-strategies/

分類
Information Security

SSL VPN vs VDI

Desktop一般指作業系統的呈現層(使用者介面). Desktop虛擬化可分為遠端(remote)及本地(local)。遠端的Desktop虛擬化的技術有二種: 以VM為基礎(常被稱為VDI)以及與Session為基礎. 這二種方式都可以提供完整的Desktop體驗. 微軟的RDS(Remote Destktop Services)這二種方式都支援. 簡單的說, 遠端桌面的服務可用VM實現(VDI),也可用終端機方式實現(類似傳統的大型電腦). 另外, 本地的Desktop虛擬化大家最熟悉, 就是使用VMWare Workstation或VirtualBox在Windows上裝Linux。

VPN是指利用現有網路建立一個點對點(point-to-point)的虛擬連結(link), 這個虛擬連結專業說法叫作tunnel。L2F,PPTP,L2TP都是傳統建立tunnel的協定(不含加密). 在PPTP通道上傳輸的資料, 最常用微軟的MPPE來加密, 而L2TP則是使用IPsec來作加密. SSL VPN則是使用SSL/TLS來建立通道(client-to-site only)以及作加密,並具有使用browser即可連線及存取資源的方便性。

VDI主要提供使用者桌面服務(可以開放以public IP連線,但較不安全)。SSL VPN只是多加了一層網路存取控制, 也就是從遠端要使用VDI時多作了VPN連線的身份驗證、路由控制及安全傳輸等.

分類
CISSP

軟體測試類型

https://ithelp.ithome.com.tw/upload/images/20210602/20132160HgW3TuPzAA.jpg
-測試類型
靜態測試是一種測試,其中被測軟件 (software under test:SUT) 作為源代碼或二進制代碼不加載到內存中執行。靜態二進制代碼掃描器、源代碼安全分析器、手動源代碼分析(例如代碼審查)等,都是靜態測試的常用工具。可以通過靜態測試識別維護掛鉤和活板門。
被動測試是指測試人員不直接與 SUT 交互的測試。
黑盒測試意味著測試一無所知SUT。
集成測試強調將單個單元或模塊組合為 SUT。

參考
測試
測試線束
測試自動化
集成測試
主動測試和被動測試的區別

資料來源: Wentz Wu QOTD-20210324

分類
CISSP

雲安全聯盟(CSA)-安全信任和保證註冊(STAR)

https://ithelp.ithome.com.tw/upload/images/20210601/20132160L55KPMRWa6.png
-圖片來源:CSA

雲安全聯盟(CSA)劃分安全,信任和保證註冊(STAR)計劃分為三個層次:

  1. CSA STAR 1 級:自我評估
  2. CSA STAR 2 級:第三方認證
    . CSA STAR Attestation是 CSA 和 AICPA 之間的一項合作,旨在為 CPA 提供指南,以使用 AICPA
    (信任服務原則,AT 101)和 CSA 雲控制矩陣中的標准進行 SOC 2 參與。
    . 該CSA STAR認證是一種安全的嚴格的第三方獨立評估雲服務提供商。
  3. CSA STAR 3 級:全雲保障和透明度
    雲安全聯盟是一個非營利組織,其使命是“促進最佳實踐的使用以在雲計算中提供安全保證,並提供有關雲計算使用的教育,以幫助保護所有其他形式的計算。”
    CSA 的安全、信任和保證註冊計劃 (CSA STAR) 旨在通過自我評估、第三方審計和持續監控的三步計劃幫助客戶評估和選擇雲服務提供商。
    資料來源:谷歌

系統和組織控制 (System and Organization Controls:SOC)
根據 AICPA,“系統和組織控制 (SOC) 是 CPA 可能提供的一套服務產品,與服務組織的系統級控製或其他組織的實體級控制有關。” (AICPA)
SOC 3 指的是“服務組織的系統和組織控制 (SOC):一般使用報告的信任服務標準”。SOC 3 報告旨在滿足用戶的需求,這些用戶需要對服務組織中與安全性、可用性、處理完整性機密性或隱私相關的控制措施進行保證,但不具備有效利用SOC 2® 報告。因為它們是通用報告,所以可以免費分發 SOC 3® 報告。(美國註冊會計師協會:SOC3
https://ithelp.ithome.com.tw/upload/images/20210601/20132160krp12I9Zdg.jpg
-服務組織控制 (SOC)

ISO/IEC 27001:2013
“ISO/IEC 27001:2013 規定了在組織範圍內建立、實施、維護和持續改進信息安全管理體系的要求。它還包括根據組織的需要對信息安全風險進行評估和處理的要求。ISO/IEC 27001:2013 中規定的要求是通用的,旨在適用於所有組織,無論其類型、規模或性質如何。” ( ISO )
https://ithelp.ithome.com.tw/upload/images/20210601/20132160VCUrmlWWhw.jpg
-ISMS 和 PIMS

自我評估和 NIST CSF(Self-assessment and NIST CSF)
基於自我評估的自我聲明似乎很愚蠢。但是,它是一種合法手段,並且確實提供了一定程度或低程度的保證。而且,這是一種普遍的做法。NIST網絡安全框架 (CSF)是一個自願性框架,由總統行政命令 (EO) 13636 於 2013 年 2 月發起,改進關鍵基礎設施網絡安全。到目前為止,還沒有評估 NIST CSF 合規性的認證計劃,因此使用它是合理的自我評估和自我聲明。
https://ithelp.ithome.com.tw/upload/images/20210601/20132160NbxrMkk7lY.png
-保證、證明和審計(圖片來源:CheggStudy

什麼是保證?(What is Assurance?)
對於安全工程,“保證”被定義為系統安全需求得到滿足的置信度。…通過審查通過開發、部署和操作期間的評估過程和活動以及通過使用 IT 系統獲得的經驗獲得的保證證據,可以實現信心。任何可以通過產生證明 IT 系統屬性的正確性、有效性和質量的證據來減少不確定性的活動,都有助於確定安全保證。
資料來源:哈里斯·哈米多維奇

保證服務(Assurance Services)
國際會計師聯合會 (IFAC) 對鑑證業務的定義:
從業者旨在獲得充分、適當的證據
以表達旨在提高除責任方以外的預期用戶對主題信息的信心程度的一種參與。

保證方法(Asurance Methods)
保證方法根據其技術和生命週期重點產生特定類型的保證。針對給定焦點的一些更廣為人知的保證方法包括:
ISO/IEC 21827——保證專注於質量和開發過程
開發者的血統——保證專注於品牌;認識到一個公司生產的優質交付(基於歷史關係或數據)
保證專注於保險,以製造商承諾糾正可交付成果
供應商聲明中的缺陷為支持——保證專注於自我聲明
專業認證和許可——保證專注於人員的專業知識和知識
ISO / T18905.1-2002信息技術軟件產品評價第1部分:總體概述為保證,注重交付的直接評估
ISO / IEC27001——保障重點安全管理

資料來源:哈里斯·哈米多維奇

參考
CSA STAR 級別
安全、信任和保證註冊 (STAR)
CSA STAR 認證
雲安全聯盟 (CSA) STAR 認證
CSA之星
誰可以執行 SOC 2 審核?
IT安全保障的基本概念
了解認證、鑑證和審計在註冊會計師行業中的含義
什麼是保證和證明第一部分
審計和保證

資料來源: Wentz Wu QOTD-20210324

分類
CISM

關鍵成功因素CSF

關鍵成功因素(英語:Critical success factor,CSF)是一個術語,描述使組織或項目實現其宗旨所需的因素。是確保一個公司或一個組織成功所需的關鍵因素或活動。例如,一個成功的IT項目的關鍵成功因素是用戶的參與。[1]這個詞最初用在數據分析業務分析領域。

不應把「關鍵成功因素」與「成功標準」(Success criteria)相混淆。成功標準是一個項目的成果或一個組織的成就,是由目標定義的,並且可以用關鍵績效指標(KPI)來定量。

歷史[編輯]

「成功因素」的概念是由麥肯錫公司的D. Ronald Daniel於1961年開發的。[2]1979年[3]至1981年期間[4],這個過程被John F. Rockart精煉為關鍵成功因素。

與關鍵績效指標的關係[編輯]

關鍵成功因素與關鍵績效指標(KPI)相比:

  • 關鍵成功因素是對於成功的戰略至關重要的要素。
  • 關鍵成功因素帶動戰略的推進,它致使或打破了戰略的成功(所以「關鍵」)。
  • 戰略制定者應該問自己「為什麼客戶選擇我們?」。答案通常是成功的關鍵因素。

另一方面,關鍵績效指標是量化目標管理的措施,結合了目標或閾值,並確保戰略績效可衡量。 例如:

  • API = 新客戶數量。(可衡量量、可量化的)+ 閾值 = 10/周 [如果有10個或更多的新客戶,KPI達到;如果 < 10,KPI失敗]
  • CSF = 為了提供優質的客戶服務(和間接影響——通過客戶滿意度獲得新客戶)而設立一個呼叫中心。

資料來源:https://zh.wikipedia.org/wiki/%E5%85%B3%E9%94%AE%E6%88%90%E5%8A%9F%E5%9B%A0%E7%B4%A0

分類
CISSP

威脅建模(Threat modeling)

“從概念上講,大多數人在日常生活中都採用了某種形式的威脅建模,甚至沒有意識到這一點。” (維基百科)勒索軟件攻擊的發生並不是因為該公司沒有進行威脅建模。相反,公司必須改進威脅建模過程。
此外,由於相關公司已經完成了調查,這意味著威脅建模已經到位並且正在進行中。勒索軟件攻擊已被識別、分析和確認。現在是評估消除問題的特定解決方案或減輕風險的對策的時候了。因此,無需提出將威脅建模作為主動性或解決方案的建議。
在這個問題中,攻擊者無需用戶交互即可在網絡中四處移動。結果,技術安全控制比諸如意識培訓的行政管理更有效。

細粒度與粗粒度訪問控制(Fine-Grained vs. Coarse-Grained Access Control)
訪問控制可能不是防止勒索軟件攻擊再次發生的最終解決方案。但是,它是四個選項中最好的。
. 自主訪問控制 (DAC) 是一種粗粒度的訪問控制機制,而基於風險的訪問控制(基於標准或基於分數)是一種細粒度的訪問控制,通常依賴於基於屬性的訪問控制 (ABAC)。
. 基於風險的訪問控制是“零信任”的核心要素,可以有效緩解橫向移動和數據洩露。
https://ithelp.ithome.com.tw/upload/images/20210531/20132160dp7fzh7u1H.jpg
-細粒度、動態和可見性

勒索軟件(Ransomware)
勒索軟件可以像需要用戶交互的病毒(特洛伊木馬)一樣被動運行,也可以像蠕蟲一樣主動傳播,無需用戶交互即可感染其他計算機(WannaCry)。
勒索軟件是一種來自密碼病毒學的惡意軟件,除非支付了贖金,否則就威脅要發布受害者的數據或永久阻止對其的訪問。”
勒索軟件攻擊通常是使用偽裝成合法文件的特洛伊木馬進行的,當它作為電子郵件附件到達時,用戶會被誘騙下載或打開。然而,一個引人注目的例子是 WannaCry 蠕蟲,它在沒有用戶交互的情況下自動在計算機之間傳播。
資料來源:維基百科

威脅建模(Threat Modeling)
本節介紹具體的定義和眾所周知的威脅建模方法。
. “威脅建模是一種風險評估形式,它對特定邏輯實體的攻擊和防禦方面進行建模,例如一段數據、一個應用程序、一個主機、一個系統或一個環境。” (NIST SP 800-154,草案)
. 在系統和軟件工程中,威脅建模是一種“系統的探索技術,以暴露任何可能以破壞、披露、修改數據或拒絕服務的形式對系統造成損害的情況或事件。” (ISO 24765:2017)
. 威脅建模是捕獲、組織和分析影響應用程序安全性的所有信息的過程。( OWASP )
. 威脅建模是“一種工程技術,可用於幫助您識別可能影響您的應用程序的威脅、攻擊、漏洞和對策。您可以使用威脅建模來塑造應用程序的設計、滿足公司的安全目標並降低風險。” (微軟
“威脅模型本質上是影響應用程序安全性的所有信息的結構化表示。從本質上講,它是通過安全眼鏡查看應用程序及其環境的視圖。” (OWASP)
從 ISO 3100 的角度來看,威脅建模是系統和軟件工程背景下的一種“風險管理”形式。風險管理包括如下圖所示的活動:
https://ithelp.ithome.com.tw/upload/images/20210531/201321604igM5F7njW.jpg
-ISO 31000

NIST 以數據為中心的系統威脅建模
本出版物中介紹的以數據為中心的系統威脅建模方法有四個主要步驟:

  1. 識別和表徵感興趣的系統和數據;
  2. 識別並選擇要包含在模型中的攻擊向量;
  3. 表徵用於減輕攻擊向量的安全控制;和
  4. 分析威脅模型。

微軟威脅建模
威脅建模應該是您日常開發生命週期的一部分,使您能夠逐步完善您的威脅模型並進一步降低風險。有五個主要的威脅建模步驟:

  1. 定義安全要求。
  2. 創建應用程序圖。
  3. 識別威脅。
  4. 減輕威脅。
  5. 驗證威脅已得到緩解。
    https://ithelp.ithome.com.tw/upload/images/20210531/20132160dvoMB07zYd.png
    -圖片來源:微軟

參考
勒索軟體
NIST SP 800-154(草稿):數據中心系統威脅建模指南
微軟威脅建模
OWASP 威脅建模備忘單
OWASP 威脅建模
粗粒度與細粒度訪問控制——第一部分
粗粒度和細粒度授權
適應風險的訪問控制(RAdAC)

資料來源: Wentz Wu QOTD-20210322

分類
CISM

成本效益分析

成本效益分析cost-benefit analysis,簡稱「CBA」)是經濟學理論的一種常見應用,指一個人或者組織做決策時有系統性地考慮所有可能方案,並且逐個逐個方案想想的方案的利弊,最後按照分析結果決定到底應該採取哪個方案[1][2]。運用經濟學來做成本效益分析的過程大致上如下[1]

  1. 搜集相關數據,例如這間公司手頭上的財政資源和每一個方案的成本等[3];
  2. 按照數據同經濟學理論(以及別的相關的知識),列出每一個方案的優點和缺點;
  3. 按照數據同經濟學理論(以及別的相關的知識),估計每一個優點會造成的得益和每一個缺點會造成的損失,得益和損失要用某些數位量度,在實際應用上,得失大多是用錢來量度的;
  4. 按照匯整後的資訊,估計每一個方案的投資報酬率 ( return on investment;ROI,指純利和成本所成的比例);
  5. 選擇對自己最有利(投資報酬率最高)的方案。

資料來源:https://zh.wikipedia.org/wiki/%E6%88%90%E6%9C%AC%E6%95%88%E7%9B%8A%E5%88%86%E6%9E%90

分類
CISSP

瀑布(Waterfall)& 敏捷(Agile)

https://ithelp.ithome.com.tw/upload/images/20210530/20132160sS5o2XYphm.jpg
-圖片來源:gunther.verheyen

業務人員更了解監管要求和市場,因此IT和安全功能都應與業務需求保持一致,“系統應在經過全面測試後提交認證。”
. 監管機構通常會頒布特定的合規要求和 C&A 流程。瀑布是計劃驅動的,適用於有特定要求的項目,目前仍被廣泛採用。項目生命週期決策可以基於眾所周知的 Stacey 矩陣做出,如上圖所示。
. 此外,敏捷不是靈丹妙藥;它適合具有高度不確定性或複雜性的上下文。由於 IT 團隊遵循了通常涉及增量開發(價值)和持續交付(自動化)的敏捷方法,但這不起作用並導致 CEO 辭職。因此,應該實施瀑布來解決問題。
https://ithelp.ithome.com.tw/upload/images/20210530/201321606xgCXVzh2C.jpg
-敏捷心態 (PMI ACP)

敏捷(Agile)
敏捷是一種由一組價值觀、原則和實踐組成的思維方式。它強調交付可工作的軟件/價值(在Scrum 中也稱為“增量” )、人員協作和風險適應。
. 增量開發是敏捷的一部分。它指的是頻繁發布以交付價值和適應風險。
. 持續交付是敏捷中的一種常見做法,它意味著軟件開發的“自動化”工作流程以加速工作軟件的交付。
. “迭代”和“增量”是敏捷交付工作軟件(價值)的關鍵概念。敏捷開發是迭代開發和增量開發的結合。

參考
敏捷軟件開發宣言
為採用 Scrum 鋪平道路:(2)產品人員
CISSP 實踐問題 – 20201119
CISSP 實踐問題 – 20201228
CISSP 實踐問題 – 20200423

資料來源: Wentz Wu QOTD-20210321

分類
CISSP

濫用案例(misuse cases)

https://ithelp.ithome.com.tw/upload/images/20210528/20132160e4i4PZ6zSw.png
-用例和濫用案例(來源:https://en.wikipedia.org/wiki/Misuse_case)

用例(Use Case)
用例描述了一個或多個場景,這些場景表示參與者(用戶,代理,系統或實體)如何與系統交互。用例最適合傳達功能需求或從用戶角度出發。用例可以用結構文本或圖表表示。用例的標題可以以Subject + Verb的模式編寫,例如,客戶下訂單。

濫用案例(Misuse Case)
相反,濫用案例通常從惡意或無意的用戶的角度記錄對功能的威脅。當用戶使用功能時,開發人員會構建功能。用例或濫用案例通常不會記錄開發人員的構建過程或工作。
人非聖賢孰能。開發人員構建帶有錯誤的API並不少見。開發人員可能會為了系統監視目的而創建一個錯誤的API,但沒有一個濫用案例,這描述了參與者與系統進行交互的步驟(事件和響應),這是有風險的。

SQL注入(SQL Injection)
黑客在登錄表單中鍵入SQL表達式是一種典型的濫用情況。
https://ithelp.ithome.com.tw/upload/images/20210528/20132160UKeLwNFDGz.png
-SQL注入(來源:PortSwigger

路徑/目錄遍歷(Path/Directory Traversal)
路徑/目錄遍歷作為攻擊非常依賴於相對路徑。這是一個漏洞或指示器,會導致濫用案例,即用戶使用相對路徑在資源之間導航。
https://ithelp.ithome.com.tw/upload/images/20210528/20132160k4W4dmPU2G.png
-資料來源:Paul Ionescu

Web參數篡改/操縱(Web Parameter Tampering/Manipulation)
允許客戶通過輸入URL進入產品列表的特定頁面,這是一個糟糕的設計。如果用戶輸入了無效的頁碼怎麼辦?說-1或65535。
https://ithelp.ithome.com.tw/upload/images/20210528/20132160wC0Pa27HGE.png
-什麼是網址?

參考
目錄遍歷
遠程文件路徑遍歷攻擊帶來樂趣和收益
攻擊克
TRC技術講座:目錄遍歷攻擊與防禦–第1部分
Unix文件結構
什麼是網址?
Web參數篡改

資料來源: Wentz Wu QOTD-20210319

分類
CISM

總擁有成本(TCO)

總體擁有成本TCO)是一種財務估算,旨在幫助購買者和所有者確定產品或服務的直接和間接成本。它是一種管理會計概念,可用於包括社會成本在內的全額成本會計甚至生態經濟學

資料來源:https://en.wikipedia.org/wiki/Total_cost_of_ownership

分類
CISM

投資回報率(ROI)

投資回報率ROI)或成本回報率(ROC)是淨收入(一段時間內)與投資(在某個時間點上某些資源的投資所產生的成本)之間的比率。高投資回報率意味著投資收益與其成本相比具有優勢。作為一項績效指標,ROI用於評估一項投資的效率或比較幾種不同投資的效率。[1]從經濟角度講,這是將利潤投資資本聯繫起來的一種方法。

資料來源:https://en.wikipedia.org/wiki/Return_on_investment

分類
CISM

心理帳戶(Mental accounting)

心理帳戶(心理會計學),最早由 2017 年的諾獎得主理察·塞勒提出。 塞勒認為,每個人都有心理帳戶,通過該心理帳戶來進行各種各樣的經濟決策

通過心理帳戶,可以解釋人的不理性經濟決策。

心理賬戶是芝加哥大學行為科學教授理察·薩勒(Richard Thaler)提出的概念。他認為,除了荷包這種實際賬戶外,在人的頭腦里還存在著另一種心理賬戶。人們會把在現實中客觀等價的支出或收益在心理上劃分到不同的賬戶中。比如,我們會把工資劃歸到靠辛苦勞動日積月累下來的「勤勞致富」賬戶中;把年終獎視為一種額外的恩賜,放到「獎勵」賬戶中;而把買彩票贏來的錢,放到「天上掉下的餡餅」賬戶中。

  對於「勤勞致富」賬戶里的錢,我們會精打細算,謹慎支出。而對「獎勵」賬戶里的錢,我們就會抱著更輕鬆地態度花費掉,比如買一些平日捨不得買的衣服,作為送給自己的新年禮物等。「天上掉下的餡餅」賬戶里的錢就最不經用了。通常是來也匆匆,去也匆匆型。想想那些中了頭彩的人,不論平日多麼的節儉,一旦中了500萬,也會立馬變得豪情萬丈,義薄雲天。這時的他們通常會有一些善舉,比如捐出一部分給貧困兒童。這就是心理賬戶在起用。當然,他們對社會的貢獻是值得稱頌的。

  實際上,絕大多數的人都會受到心理賬戶的影響,因此總是以不同的態度對待等值的錢財,並做出不同的決策行為。從經濟學的角度來看,一萬塊的工資、一萬塊的年終獎和一萬塊的中獎彩票並沒有區別,可是普通人卻對三者做出了不同的消費決策。

  所以知曉心理賬戶的存在,是精明理財的第一步,它會幫助你理性地消費。有個方法——換位思考,有助於培養一種好的思維習慣。精明的理財者會換一個角度來考慮自己的決策,比如,如果這一萬塊是我的辛苦勞動換來的工資,而不是彩票中的獎,我還會這麼大手大腳地花掉嗎?

資料來源:https://zh.wikipedia.org/wiki/%E5%BF%83%E7%90%86%E8%B4%A6%E6%88%B7

分類
CISSP

DD/DC: Due Diligence and Due Care

DD/DC: Due Diligence與Due Care問題

CISSP社群在談DD/DC問題, 都沒有一致的定義, 基本上大家隨便講,隨便對.
練習題也是差不多, 都是要看那個作者對DD/DC的觀念到那邊或想法是什麼.
所以請大家要多留意網路或不明來源的說法.

以下是我根據工作經驗, 對法律的了解及研究後所歸納的說法:

Due是”應該作的事情,” Diligence是指”勤勞.” 也就是作事要照起工, 不要偷懶. 例如, 合約要看清楚才簽名, 不要偷懶不看清楚就簽名.

Due Diligence既然是強調”應該要勤勞作到基本功,” 但要作到那些基本功? 每個行業有不同的要求. 但有一點是大家都認同的, 就是要作到”事先的調查及了解.” 所以中文常將Due Diligence翻作”盡職調查”還算不錯.

除了一般性的”事先調查及了解”, 法律條文或每個行業的行規可能會針對Due Diligence訂定標準. 因此, 有沒有作到Due Diligence是比較好判斷的. 例如, 以下美國的法律就針對”消費者資料的廢棄作業,” 訂定應有的Due Diligence標準:
https://www.law.cornell.edu/cfr/text/16/682.3

Care就是”小心”的意思. Due Care是指”作事情時要盡到應該有的注意/小心.” 但什麼叫有作到”應該有的小心”並沒有一定的標準, 通常都需要依賴法官的心證. 例如, 送貨的貨車司機撞到人, 在法院上跟法官說他開車的時候都很小心, 有特別注意左右來車及行人. 而且昨天很早睡, 所以開車時精神也很好. 法官說你有作到Due Care就有, 說沒有就沒有. 若沒有作到Due Care, 台灣叫作”應注意而未注意.”

簡單說:
Due Diligence強調事先的調查, 制度的建立, 以及制度的持續性及有效性等, 通常有較明確的標準.
Due Care則是強調事中, 把事情作好. 它沒有客觀的判斷標準, 所以都是有法官判定, 也因此法院的判決常出現未作到Due Care的字眼, 但我找了美國判例, 極少出現Due Diligence.

老外背DD/DC都用一個口訣:
Due Diligenct (DD): Do Detect;
Due Care (DC): Do Correct.
也就是事前的偵測, 事中把事情作正確.

分類
CISSP

變更管理

通用變更管理流程

任何變更請求都必須記錄,評估,批准,實施,報告和傳達,以便可以管理變更風險,以防止不必要的安全性降低。記錄變更後,可以對其進行審查以汲取經驗教訓或進行持續改進。

更換管理層
分類
CISSP

零信任(Zero Trust)

Zero Trust第一原則就是不要再用”實體網路”的分隔來保護資源. 傳統的外網/DMZ/內網就是用”網路位置”來判斷安不安全, 所以都會認為內網最安全, DMZ次之, 然後外網最危險. 這種想就是”信任”內網的機器是安全的. Zero Trust第一件事, 就是不要用”實體”的網路邊界來思考, 而是以資源(資料)為中心, 透過”軟體定義”的”虛擬”邊界來思考, 並且提供更細膩且動態, 並且高可視(除了有log, 還可以記錄封包/資料的內容)的存取控制機制. 我整合了Zero Trust教父(John Kindervag), 美國國防部, Google, CSA及NIST等觀點, 把Zero Trust簡稱為存取控制2.0.

分類
CISSP

戰略管理(strategic management)

我在這篇文章中介紹戰略管理。我的書《有效的CISSP:安全和風險管理》中有詳細信息。 政策(Policy)代表管理意圖。一旦制定或製定了戰略,就會發布策略來指導戰略的執行/實施。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160OPuoDlxjHb.jpg
-戰略水平

戰略(Strategy)
戰略是一個流行詞。每個人都使用它,但可能不會使用具有一致定義的它。一般而言,戰略是一項計劃(plan), 旨在實現源自組織使命和願景的長期(long-term)或總體(overall) 目標。可以由不同級別的經理在公司,業務或職能級別上進行開發。
. 計劃 實現長期或總體 目標 (ISO 9000:2015)
. 計劃 完成 組織的任務 並實現 組織的願景 (ISO 21001:2018)
. 組織的總體 發展計劃,描述了 在組織未來活動中有效使用 資源以支持組織的
事項注1:涉及設定 目標 和提出 行動計劃 (ISO / IEC / IEEE 24765:2017)
. 組織 實現其 目標的方法 (ISO 30400:2016)

戰略管理(Strategic Management)
戰略管理是公司治理的關鍵要素,包括三個階段:戰略制定/制定(戰略思維,內部和內部分析,差距分析),戰略實施/執行以及戰略評估。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160ZEQC0oS4bP.jpg
-大衛的戰略管理流程模型
https://ithelp.ithome.com.tw/upload/images/20210521/20132160I7u9nZj971.jpg
-資訊安全治理

策略制定(Strategy Formulation)
戰略思維(STRATEGIC THINKING)
戰略制定通常始於對組織使命和願景進行戰略思考,從而塑造了組織的長期和整體性質。戰略目標是從使命和願景中得出的。戰略思維有助於定義所需的狀態。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160lpHB3m1WXt.jpg
-戰略思維
https://ithelp.ithome.com.tw/upload/images/20210521/20132160eK2WcAldtQ.jpg
-目標,策略和風險
https://ithelp.ithome.com.tw/upload/images/20210521/20132160hPsPUpRX87.jpg
-目標與目的

外部和內部分析(EXTERNAL AND INTERNAL ANALYSIS)
通常進行外部和內部分析,以掃描宏觀和微觀環境和行業,尋找機遇和威脅,確定利益相關者,了解他們的需求和要求,確定約束條件和資源,等等。SWOT分析是用於內部和外部分析的最著名的工具之一。它有助於確定當前狀態,並可能有助於達到所需狀態。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160CQEIztPirp.jpg
-外部和內部分析

差異分析(GAP ANALYSIS)
確定期望狀態和當前狀態之間的間隙意味著已經確定了期望狀態和當前狀態。一旦發現差距,便會定義一個具有里程碑和舉措的路線圖,以從當前狀態過渡到所需狀態。策略可以表示為計劃的組合。商業案例根據成本和收益以及其他可行性維度評估一項計劃。如果業務案例獲得批准,則該計劃將變成一個項目。通過投資回報率評估的投資組合可以包含一個或多個程序或項目。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160ou1oOREHJ7.png
-戰略發展
https://ithelp.ithome.com.tw/upload/images/20210521/20132160pKAIiqMU1f.jpg
-戰略投資組合

戰略實施/執行(Strategy Implementation/Execution)
https://ithelp.ithome.com.tw/upload/images/20210521/20132160nDMp8I9kPZ.jpg
-戰略,計劃,產品和項目 -專案生命週期(來源:PMBOK)

策略評估Strategy Evaluation (績效評估Performance Measurement)
https://ithelp.ithome.com.tw/upload/images/20210521/20132160pdNQUzrmWs.jpg
-平衡計分卡(BSC)

參考
什麼是“策略”?
戰略管理與戰略規劃過程
麥肯錫7-S框架
TOWS分析:綜合指南

資料來源: Wentz Wu QOTD-20210520

Wentz Wu:

建議的答案是A.
差距分析表示”未來狀態”及”現有狀態”的分析都已完成. 因此進行差距分析之前, 必須先進行戰略思考, 內外部環境分析, 才能釐清使命及願景, 以及確立戰略目標, 這就是未來狀態. 另外, 內部外部境境也是了解現有狀態, 了解環境的變化(如PEST), 了解產業的競爭, 了解組織內部(value chane或麥肯鍚的7S模型)等. 之後才會進行差距分析, 然後訂出由現在走向未來的路線圖.

分類
CISM

風險承受能力和風險偏好(Risk Capacity and Risk Appetite)

https://ithelp.ithome.com.tw/upload/images/20210520/20132160nBRZN4aVXe.jpg
. 風險暴露(Risk Exposure)是指風險給個人,項目或組織帶來的潛在損失。(ISO 16085:2006)
. 風險容忍度(Risk Tolerance)是管理層在企業追求其目標時願意允許的任何特定風險的可接受的變化水平(ISACA,2019年)
. 風險閾值(Risk Threshold)是指風險暴露水平,高於該水平即可解決風險,低於該水平則可以接受。
(PMBOK指南—第六版)
. 風險處理(Risk Treatment)是消除風險或將其降低到可以容忍的水平的過程。(ISO 15026-3:2015)
. 風險偏好(Risk Appetite)是組織願意承擔或保留的風險的數量和類型。(ISO /指南73:2009)
. 風險承受能力(Risk Capacity)是指組織能夠承受的最大風險量。

資料來源:WenTz Wu網站

分類
CISSP

全磁碟加密(Full Disk Encryption)

https://ithelp.ithome.com.tw/upload/images/20210519/20132160l8dBhua0Gk.jpg
全磁碟加密(FDE)可以是保護靜態數據的軟件或硬件解決方案。基於硬件的全磁碟加密通常稱為自加密驅動器(SED),通常符合OPAL(例如Windows的加密硬盤驅動器)和由Trusted Computing Group(TCG)開發的企業標準。“內置在驅動器中或驅動器機箱中的基於硬件的加密對用戶來說是透明的。除啟動身份驗證外,該驅動器的運行方式與任何驅動器相同,並且不會降低性能。與磁碟加密軟件不同,它沒有復雜性或性能開銷,因為所有加密對於操作系統和主機計算機處理器都是不可見的。” (維基百科

身份驗證和機密性(Authentication and Confidentiality)
SED通過鎖定驅動器和加密數據來增強安全性。開機時需要使用身份驗證密鑰(AK)來解鎖驅動器(解密DEK),然後數據加密密鑰(DEK)解密數據。SED不會將DEK存儲在可信平台模塊(TPM)中,該平台通常以母板或芯片集組件的形式實現。

數據加密密鑰(Data Encryption Key:DEK)
. 用於加密和解密數據。
. 由驅動器生成,並且永不離開驅動器(未存儲在TPM上)。
. 如果更改或擦除,則無法解密以前的現有數據。

可信平台模塊(Trusted Platform Module)
以下是維基百科的摘錄:
可信平台模塊(TPM,也稱為ISO / IEC 11889)是安全密碼處理器的國際標準,安全密碼處理器是一種專用微控制器,旨在通過集成的密碼密鑰來保護硬件。
TPM 2.0實現有五種不同類型:
. 離散TPM是專用芯片,它們在自己的防篡改半導體封裝中實現TPM功能。從理論上講,它們是TPM的最安全的類型,因為與在軟件中實現的例程相比,在硬件中實現的例程應該對錯誤(需要澄清)有更強的抵抗力,並且它們的軟件包必須具有一定的抗篡改性。
. 集成的TPM是另一個芯片的一部分。當他們使用抵抗軟件錯誤的硬件時,不需要實現防篡改功能。英特爾已在其某些芯片組中集成了TPM。
. 固件TPM是基於固件(例如UEFI)的解決方案,可在CPU的受信任執行環境中運行。英特爾,AMD和高通已實施固件TPM。
. 虛擬機管理程序TPM是由虛擬機管理程序提供並依賴於虛擬機TPM,它們處於隔離的執行環境中,該環境對於虛擬機內部運行的軟件是隱藏的,以從虛擬機中的軟件中保護其代碼。它們可以提供與固件TPM相當的安全級別。
. 軟件TPM是TPM的軟件仿真器,其運行方式與操作系統中常規程序獲得的保護一樣多。它們完全取決於運行的環境,因此它們提供的安全性沒有普通執行環境所能提供的安全高,並且容易受到滲透到普通執行環境中的自身軟件漏洞和攻擊的影響。 ]它們對於開發目的很有用。

參考
基於硬件的全磁碟加密
蛋白石存儲規範
SSD的數據安全性功能
TCG設置驅動器加密標準
您的自加密驅動器(SED)多合一指南
TCG存儲安全子系統類:蛋白石
符合TCG / Opal 2.0標準的自加密驅動器(SED)
FDE的基本原理:比較頂級的全磁碟加密產品
加密硬盤驅動器(符合TCG OPAL和IEEE 1667的自加密硬盤驅動器)
自加密驅動器
SSD加密漏洞和TPM
與TPM集成的Opal SSD
可信平台模塊–調查
實現信任的硬件根源:可信平台模塊已成時代
TPM 2.0快速教程
企業自加密驅動器
企業SED演示

資料來源: Wentz Wu QOTD-20210316

分類
CISSP

擴展認證協議(EAP)最不可能用於建立點對點連接

密碼驗證協議(PAP)發送未加密的密碼。它比EAP-MD5和CHAP(都使用MD5)弱。因此,在三種身份驗證協議中最不可能使用PAP。
可擴展身份驗證協議(EAP)是在其上開發基於EAP的身份驗證協議的身份驗證框架。
可擴展身份驗證協議(EAP)是網絡和Internet連接中經常使用的身份驗證框架。它在RFC 3748中定義,使RFC 2284過時,並由RFC 5247更新。EAP是用於提供對EAP方法生成的材料和參數的傳輸和使用的身份驗證框架。RFC定義了許多方法,並且存在許多特定於供應商的方法和新建議。EAP不是有線協議;相反,它僅定義來自界面和格式的信息。每個使用EAP的協議都定義了一種將用戶EAP消息封裝在該協議的消息中的方法。
EAP被廣泛使用。例如,在IEEE 802.11(WiFi)中,WPA和WPA2標準已採用IEEE 802.1X(具有各種EAP類型)作為規範認證機制。
資料來源:維基百科

參考
可擴展認證協議

資料來源: Wentz Wu QOTD-20210315

分類
CISSP

PEST分析

PEST分析是利用環境掃描分析總體環境中的政治Political)、經濟Economic)、社會Social)與科技Technological)等四種因素的一種模型。這也是在作市場研究時,外部分析的一部份,能給予公司一個針對總體環境中不同因素的概述。這個策略工具也能有效的了解市場的成長或衰退、企業所處的情況、潛力與營運方向。

資料來源:https://zh.wikipedia.org/wiki/PEST%E5%88%86%E6%9E%90

分類
CISSP

NIST SDLC和RMF(續)-PartII

https://ithelp.ithome.com.tw/upload/images/20210514/20132160PG2JYxUyDw.jpg
-NIST SDLC和RMF

在啟動項目後進行系統分類;這意味著已經開發了一個業務案例,並且已選擇,接受,批准了替代方案並變成了項目。
安全控制的實施取決於安全措施或安全控制的確定。安全控制框架(SCM),例如NIST SP 800-53,提供了安全控制的初始範圍,然後可以對其進行定製或修改。範圍界定和剪裁是NIST RMF中“選擇控件”步驟的核心概念,其次是“實施控件”步驟。

應用緊急補丁修復高優先級漏洞意味著該系統有權運行。但是,系統分類是在系統開發生命週期(SDLC)的初始階段進行的。
範圍界定是指檢查基準安全控制並僅選擇適用於您要保護的IT系統的那些控制。例如,如果系統不允許任何兩個人同時登錄,則無需應用並發會話控件。
斯圖爾特(James M.)。CISSP(ISC)2認證的信息系統安全專業人士正式學習指南。威利。

資料來源: Wentz Wu QOTD-20210308

分類
CISSP

需要知道(need-to-know)&最小權限(least privilege)

需要知道(need-to-know)
定義:根據該命令發布的指令在行政部門內做出的確定,即准予接受者需要訪問特定的機密信息才能執行或協助合法和授權的政府職能。
資料來源:https://csrc.nist.gov/glossary/term/need_to_know

最小特權(least privilege)
定義:設計安全體系結構的原則,以使每個實體都獲得該實體執行其功能所需的最少系統資源和授權。
資料來源:https://csrc.nist.gov/glossary/term/least_privilege

分類
CISM

總擁有成本(Total cost of ownership)

總體擁有成本TCO)是一種財務估算,旨在幫助購買者和所有者確定產品或服務的直接和間接成本。它是一種管理會計概念,可用於包括社會成本在內的全額成本會計甚至生態經濟學

資料來源:https://en.wikipedia.org/wiki/Total_cost_of_ownership

分類
Information Security

MITRE ATT&CK第三轮评估结果发布

https://www.freebuf.com/articles/paper/271494.html

分類
CISSP

資訊安全戰略(information security strategy)

https://ithelp.ithome.com.tw/upload/images/20210510/20132160hZWrI0FmZ9.jpg
-業務連續性政策
高級管理人員通過制定戰略計劃或戰略來實現組織的使命和願景,並通過政策指導戰略的實施。戰略通常包括項目組合,計劃和項目的集合。有許多類型的策略,例如,程序策略,特定於問題的策略,特定於系統的策略等。程序策略指導程序的執行。
我的書《有效的CISSP:安全和風險管理》詳細介紹了戰略管理。
政策
. 政策是指“組織的最高管理層正式表達的意圖和方向”。(ISO 21401:2018)
. 策略是反映特定管理目的的“與特定目的相關的一組規則”(ISO 19101-2:2018)。
. 政策是“在一定範圍內對人們活動的目標,規則,做法或法規的聲明。” (NISTIR 4734)

資料來源: Wentz Wu QOTD-20210310

分類
CISSP

滲透測試方法(Pen Testing Methodologies)

https://ithelp.ithome.com.tw/upload/images/20210510/20132160i4xgdSSTiL.jpg
-滲透測試方法
滲透測試的目的是識別,分析,評估和利用漏洞,以深入了解漏洞並開發解決方案以降低風險。目標的失敗可能會導致業務損失或破壞產品或服務的交付。儘管在進行滲透測試時,詳細的開發文檔和評估開發目標的客觀性很重要,但從客戶的角度出發,業務始終是優先事項。滲透團隊應始終牢記這一點。
免入獄卡對滲透團隊至關重要,但是這個問題要問客戶的觀點或為客戶的緣故。因此,免押金卡對客戶而言並不那麼重要。

參考
走出免費監獄卡
滲透測試中的法律問題
滲透測試與法律
依法進行滲透測試
愛荷華州支付了一家安全公司闖入法院,然後在成功的情況下逮捕了他們的員工
彭特公司首席執行官被捕:“英雄不是罪犯”
關於滲透測試者的新文件因闖入法院而入獄
黑帽:當滲透測試為您贏得重罪逮捕記錄時
對在筆測試期間闖入法院的Coalfire安全團隊的指控被撤銷

資料來源: Wentz Wu QOTD-20210309

分類
CISSP

會計,審計和問責制(Accounting, Auditing, and Accountability)& 用戶和實體行為分析(UEBA)

日誌是會計的工作成果。可以通過查看或檢查(審核)一組相關日誌(審核記錄)以唯一地將活動跟踪到實體來實現問責制。

會計,審計和問責制(又一個AAA
. 問責制 是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (NIST SP 800-33)
. 審計 是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (NIST SP 800-12 Rev.1)
. 審核跟踪 是“按時間順序的記錄,用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作,程序或事件的活動順序。” (NIST SP 800-53修訂版4)

安全信息和事件管理(SIEM)
安全信息和事件管理(SIEM)是指支持審核和跟踪責任制的收集,分析,關聯和相關活動。SIEM服務器是支持安全信息和事件管理的服務器。

用戶和實體行為分析(UEBA)
Gartner定義的用戶行為分析(UBA)是一個有關檢測內部威脅,針對性攻擊和財務欺詐的網絡安全流程。UBA解決方案著眼於人類行為模式,然後應用算法和統計分析從這些模式中檢測出有意義的異常,即表明潛在威脅的異常。
UBA技術的發展促使Gartner將類別擴展到用戶和實體行為分析(“ UEBA”)。2015年9月,Gartner發布了由副總裁兼傑出分析師Avivah Litan撰寫的《用戶和實體分析市場指南》,其中提供了詳盡的定義和解釋。在早期的Gartner報告中提到了UEBA,但沒有深入探討。從UBA擴展定義包括設備,應用程序,服務器,數據或任何具有IP地址的內容。它超越了以欺詐為導向的UBA的重點,而涵蓋了更廣泛的範圍,其中包括“惡意和濫用行為,否則現有的安全監視系統(如SIEM和DLP)不會注意到。” 增加的“實體”反映出設備可能在網絡攻擊中起作用,並且在發現攻擊活動中也可能很有價值。“當最終用戶受到威脅時,惡意軟件可能會處於休眠狀態,並且幾個月都不會被發現。
資料來源:維基百科

參考
用戶行為分析
安全信息和事件管理

資料來源: Wentz Wu QOTD-20210308

分類
Information Security

Mitre ATT&CK v9

https://attack.mitre.org/versions/v9/

分類
CISM

風險價值(Value at Risk)

風險價值Value at Risk,縮寫VaR),資產組合在持有期間內在給定的置信區間內由於市場價格變動所導致的最大預期損失的數值。由此衍生出來的「風險價值」方法是風險管理中應用廣泛、研究活躍的風險定量分析方法之一。

對風險價值方法的評價

相對優點

相比於以標準差為代表的傳統風險測度,VaR著重於考慮更重要的資產下行風險,特別是極端情況下的損失規模。

局限或批評

VaR未有考慮超出該門限值的損失情況;不滿足次可加性(因此不是一致風險測度)等。

資料來源:https://zh.wikipedia.org/wiki/%E9%A3%8E%E9%99%A9%E4%BB%B7%E5%80%BC

分類
Information Security

戴夫寇爾執行長翁浩正為何不想再當技術狂?溝通與管理才是他資安技能樹的新焦點

戴夫寇爾(Devcore)執行長翁浩正,在今年臺灣資安大會活動上,以自身經驗分享資安人才成長術,指出要成為傑出資安人才,需發展自己的資安技能成長樹,還得以遊戲化的學習方法來精進資安技能團
文/翁芊儒 | 2021-05-05發表

戴夫寇爾(Devcore)執行長翁浩正,今年作為臺灣資安大會資安人才系列活動的開場講者,在活動上以自身經驗為例,分享資安人才成長術。

戴夫寇爾(Devcore)執行長翁浩正,今年作為臺灣資安大會資安人才系列活動的開場講者,在活動上以自身經驗為例,分享要成為傑出資安人才可參考的幾種方法與心態。他尤其聚焦在資安技能的學習上,認為正在學習資安技能的人,應逐步找到自己在產業中的定位,並同步發展適合自己的資安技能樹;而在學習過程中,若以遊戲化的學習方法來精進技能,就能降低因缺乏動力而導致半途而廢的機會。

從自身經驗出發,每一位資安人才都應該找到自己的定位,培養資安技能樹

「Allen,你不再玩技術了嗎?」翁浩正一開始就以他人對他的疑問,來說明自己技能樹的轉變。他表示,自己十年前也是個資安技術的狂熱研究者,近年來雖然仍會花時間研究技術,但在開始經營公司後,受到工作需求驅使,也開始發展策略面、管理面的技能,在原有的技能樹上,長出其他能力。

過程中,他逐步尋找自己的定位,更遭遇了挫折。他在活動上詢問現場與會者,身邊是否有一個天才朋友,對於某項技能的天賦極高,且令人絕望的事,這位天才朋友還比自己還更努力,「遇到這種情況,你要如何贏過他?」

翁浩正點明,在這個情況下,其實可以轉念思考,如果無法在單一技能贏過對方,那何不與對方合作,比如推廣對方的研究成果讓更多人看見,「如何把天才的話語,翻譯成人類看得懂的話?這是我覺得我可以做的事。」他因此開始盤點自己的技能,找出可著力的方向。

翁浩正十年前的技能樹,有攻擊技術、防禦技術、事件調查、程式開發、專案管理、溝通演講、教育訓練、系統網管等技能。

比如說,翁浩正發現,技術成果最終一定要靠溝通、演講來傳遞給更多人了解,因此,他強迫自己要培養溝通的技能,從過去至今累積發表超過300場演講,從5人到上千人規模的研討會皆有,希望透過更精確、易理解的話語來對話與溝通,「讓大家都能聽得懂、感興趣。」

同時,翁浩正也意識到:「相較於一個人作戰,團體戰一定可以走的更遠。」因此,從學生時期開始,他就與學弟妹籌組相關社團,後來也加入HITCON帶領社群,更創辦了戴夫寇爾,參與臺灣駭客協會。過程中,他也重新思考自己的定位,開始精進領導、組織、管理、策略規劃等技能,促成資安圈用打群架的方式,增進群體的資安實力。

「資安人才應去思考自己的優勢在哪裡?」從自身的經驗出發,翁浩正鼓勵,欲從事資安工作的人,應先盤點自己擁有的技能,找出自己的專長,尤其資安領域的技術範疇非常廣闊,從事滲透測試、資安研究、戰略擬定等不同工作者,所需的技能與知識素養都不同,「你要知道你感興趣的領域是什麼,才能專精技能來獲得更高的成就。」

培養資安技能的工具與方法

資安人才在發展自己技能樹的過程中,也有些資料與工具能利用。比如翁浩正就分享了中國一家駭客公司定出來的通用技能樹,其中不只有技術面的必備專業能力,也列出了做事方法的準則、自我成長的心態要點、甚至對於任職企業的信念等,他鼓勵,資安人才可以透過表格來檢視自己,還有哪些不足的能力需要補強。

至於在專業技能的部分,則有一份在Github上的 Hack with Github文件,其中有一個Awesome Hacking專區,當中羅列了不同資安相關技術可使用的工具、可參考的技術文章或書籍,讓資安人才可在了解自己感興趣的領域後,能針對該領域所需的技能來精進自己。

在學會相關技能後,資安人員可能會透過考取相關證照,來證明自己的能力,但翁浩正也提醒,在考照之前,要先了解每張證照的定位,比如透過一份美國資安專家Paul Jerimy製作的資安證照地圖,就能比對每一張證照分屬哪個技能類別,來了解每張證照的定位,「不是考了CEH(Certificated Ethical Hacker,道德駭客認證),就可以去當資安顧問或研究員了,這是不足的。」

發展出自己的資安技能樹後,翁浩正認為,下一步,則是要盤點自己的能力,找出在資安業界的定位,才能了解自己適合哪種類型的企業,進而發揮所長。但客觀盤點自身能力的方法,不是靠自己嘴巴上說:「我很強!」而是要透過與身邊朋友或合作夥伴的對談,來了解自己在合作過程中展現了哪些更突出的能力,同時也要去思考:「有什麼事非我做不可?」來找出自己獨特的定位。

翁浩正建議,可以用三個面向來找出自己在產業中的定位。首先,是盤點自己的資安能力,找出自己與他人差異化的技能。找出這項技能後,同時,也要從市場需求的角度來看業界是否具有這類職位,是否需要這類人才。最後,則是要對這項工作懷抱熱情,尤其在資安領域,每天都有新攻擊手法、技術的演進,「如果沒有熱情,就難以追求新知識,把資安當成職業來做。」

靠遊戲化學習方法,找出精進資安技能的動力

翁浩正也分享,在學習資安技能的過程中,如何能持續不斷的學習?「回想一下,你在做哪些事情的時候可以廢寢忘食?打遊戲就是一個例子。」他指出,遊戲讓人沈迷的原因,在於遊戲具有某些特質吸引人持續性地玩,比如每天都要登入領獎勵、角色被賦予神聖的任務等,讓人感覺自己比別人厲害,從中獲得成就感是一大關鍵。同理,若能將資安技能的學習「遊戲化」,持續學習並精進資安能力,就會變得更容易。

翁浩正以自己學Python的經驗為例,指出自己本來沒有動力學Python,但一位朋友在網路投票的活動上請他幫忙灌票,在這個需求驅使之下,由於用Python寫程式的速度快、複雜性低,他也就以Python來協助完成這項任務。另一個動力,則是來自於過去看網路漫畫下載圖片速度慢,但用Python一次將漫畫抓下來,後續就能更順暢的閱讀。換句話說,學習Python帶來的使命感與成就感,就成為翁浩正精進Python技能的動力。

「我覺得作為一個駭客的駭客精神,不只是要駭入一個系統,更要駭入你的人生(Life Hack)。」翁浩正指出,用遊戲化的精神來進行Life Hack,就能在人生中學習各種技能時,都能更加有動力,且這個論述不僅能套用在資安技能的學習,更可以套用在各類技能學習以及習慣的培養上,「為了健康去運動、跑步、健身房,大家一定都有失敗的經驗,但如果在過程中獲得成就感,就能更容易將習慣養成。」

在培養資安技能的過程中,翁浩正也指出,每個人也要找出自己快速進入心流(Flow)的方法,也就是快速進入非常專注於某件事的狀態,才能更心無旁騖的追求、學習、精進技能。他也分享自己快速專注的方法,就是戴上耳機聽特定的幾首歌曲,而每個人都應有最適合自己的專注方法。

翁浩正也發表看法,指出當前許多人都會以「斜槓」學習了很多技能為榮,但他提醒,不是會下Google廣告,就可以稱為行銷人,斜槓學習了很多技能,可能對每一個領域都只是略懂皮毛而已。因此他也呼籲,在學習資安技能的過程中,不要盲目地想要斜槓學習或發展,而是應該先培養自己精通的第一專長,再根據需求培養第二技能,「每個技能都是武器,武器越鋒利,才能去打仗,獲得很棒的成果。」

跨入職場前可先評估能力與職位是否相符,更要思考興趣當工作的可行性

最後,對於要進入資安產業的求職者,翁浩正提供了相關工具,來輔助資安人才盤點各種工作所需的能力。比如透過國外Cyberseek網站,可以了解各種職業的薪資水平、所需的技能,資安人才就能藉此檢視,自己距離這個職位還有多遠,還要再學哪些技能、考取哪些證照,才能勝任這份工作,「除了薪資的部分,臺灣可能還沒跟上,但其他的資訊可以讓求職者知道自己的定位。」

又比如iThome繪製了一份資安地圖,2021年4月更新到最新版,求職者也可以從中檢視各種資安服務與產品的供應廠商,根據自己想從事的工作類型,選擇有興趣就業的公司來應徵。

翁浩正表示,資安人才的選擇工作時,也要考量到,興趣與職業的權衡,「要不要把興趣當成工作,這是沒有答案的。」他舉例說明,有些人喜歡做打網站,但當資安攻擊成為工作,就需要根據客戶要求來進行攻擊,除了有各種限制,還要公布攻擊工具、把攻擊的結果整理成報告呈現,這不一定求職者選擇這份工作的初衷。

同樣的,喜歡挖漏洞的人,將資安研究當成工作後,每天都要從事資安研究,且一年產出的漏洞數量有限,大多時間是做白工,也不是每個人都能承擔這個壓力。「不要盲目覺得這個工作好棒,要思考,當它成為你的日常生活,你是不是能接受?」

翁浩正最後也提醒:「人生中的每個歷練,都會成為成長的養分。」扣回一開始曾向觀眾提到的,他過去曾覺得自己的資安技術超強,但後來發現,許多努力的天才比自己更厲害,不過在找到自己的定位後,挫折就會成為進化的養分,重新化為成長的動力。

資料來源:https://www.ithome.com.tw/news/144191?fbclid=IwAR1PAaXsiVzh5ZV–5fgKPMYhphEFtBhteoidpjOz9opLxy9SsB4_YMpOLA

分類
CISSP

重送攻擊

重放攻擊(英語:replay attack,或稱為回放攻擊)是一種惡意或欺詐的重複或延遲有效資料的網路攻擊形式。 這可以由發起者或由攔截資料並重新傳輸資料的對手來執行,這可能是通過IP封包替換進行的欺騙攻擊的一部分。 這是「中間人攻擊」的一個較低階別版本。

這種攻擊的另一種描述是: 「從不同上下文將訊息重播到安全協定的預期(或原始和預期)上下文,從而欺騙其他參與者,致使他們誤以為已經成功完成了協定執行。」

重放攻擊工作原理[編輯]

重播攻擊的範例圖。Alice(A)將她的雜湊密碼傳送給Bob(B)。Eve(E)嗅探並重新播放雜湊。

假設Alice 想向Bob 證明自己的身分。 Bob 要求她的密碼作為身分證明,愛麗絲應盡全力提供(可能是在經過諸如雜湊函式的轉換之後); 與此同時,Eve竊聽了對話並保留了密碼(或雜湊)。交換結束後,Eve(冒充Alice)連接到Bob。當被要求提供身分證明時,Eve傳送從Bob接受的最後一個對談中讀取的Alice的密碼(或雜湊),從而授予Eve存取權限。[1]

重播攻擊的範例圖。Alice(A)將她的雜湊密碼傳送給Bob(B)。Eve(E)嗅探並重新播放雜湊。

預防與對策

所有重放攻擊的一般對策

通過使用對談ID和組件編號標記每個加密的組件,可以防止重放攻擊。之所以可行,是因為為程式的每次執行建立了唯一的隨機對談ID,因此先前的結果更加難以複製。 由於每個對談的ID不同,攻擊者無法執行重放。

資料來源:https://zh.wikipedia.org/wiki/%E9%87%8D%E6%94%BE%E6%94%BB%E5%87%BB

分類
CISSP

危害指標(Indicator of compromise)

在計算機取證中搜索妥協(IoC)的指示器,是網路或操作系統中觀察到的神器,它具有很高的可信度,表示電腦入侵。

典型 IOC 的指示類型是病毒簽名和 IP 位址、惡意軟體檔的 MD5 哈希,或殭屍網路命令和控制伺服器的網址或功能變數名稱。通過事件回應和計算機取證過程識別 IoC 後,它們可用於使用入侵檢測系統和防病毒軟體對未來的攻擊嘗試進行早期檢測。

資料來源:https://en.wikipedia.org/wiki/Indicator_of_compromise

妥協指標 (IOC) 是主機系統或網路可能受到入侵的法醫證據。這些人工製品使資訊安全 (InfoSec) 專業人員和系統管理員能夠檢測入侵企圖或其他惡意活動。安全研究人員使用IOC來更好地分析特定惡意軟體的技術和行為。IOC 還提供可在社區內共用的可操作的威脅情報,以進一步改進組織的事件回應和補救策略。

其中一些文物在系統中的事件日誌和時間戳條目以及其應用程式和服務上找到。InfoSec 專業人員和 IT/系統管理員還使用各種工具監控 IOC,以幫助減輕(如果不是防止)違規或攻擊。

以下是一些危害資訊安全專業人員和系統管理員注意的指標:

1.異常流量進出網路
2.系統中的未知檔、應用程式和流程
3.管理員或特權帳戶中的可疑活動
4.非正常活動,如在組織不與之開展業務的國家/地區的流量
5.可疑的登錄、訪問和其他網路活動,表明探測或暴力攻擊
6.公司文件中請求和讀取量異常激增
7.在異常常用埠中穿越的網路流量
8.篡改檔、功能變數名稱伺服器 (DNS) 和註冊表配置以及系統設置(包括行動裝置中的更改)的變化
9.大量的壓縮檔和數據無法解釋地發現在它們不應該的位置

資料來源:https://www.trendmicro.com/vinfo/us/security/definition/indicators-of-compromise

這個問題是根據痛苦金字塔設計的。它不是一個行業標準,但它提供了一個很好的基礎,以評估在威脅源中提供的妥協指標 (IOC)。

並非所有妥協指標(IOC)都是平等的。如果您被告知,受破壞的系統檔將產生特定的哈希值,它可能會產生較少的價值,因為它太瑣碎。相反,如果您被告知來自 someone.hackers.com(10.10.10.1)的攻擊可能包含系統檔,如果成功,可能會產生特定的哈希值。
https://ithelp.ithome.com.tw/upload/images/20210503/20132160Yl5dqmVN5X.png

參考
痛苦金字塔
仲裁協議指標的定義
威脅源還是威脅情報?(實際上,您同時需要兩者)
免費和開源威脅情報源
SANA威脅源
威脅情報源:領先於攻擊者
威脅情報源:為什麼上下文是關鍵
妥協指標
SolarWinds IoC連接到網絡資產:我們發現的結果
LogRhythm-Labs / sunburst_iocs

資料來源: Wentz Wu QOTD-20200924

分類
CISSP

Defending Against Software Supply Chain Attacks

分類
CISM

受保護的內容: Working Toward a Managed,Mature Business Continuity Plan

這篇內容受到密碼保護。如需檢視內容,請於下方欄位輸入密碼:

分類
CISSP

數據操作語言(Data manipulation language)

這個問題描述了常見的SQL注入場景,該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數據操作語言(DML)的關鍵字,是身份驗證過程中最常用的一種。
反射跨站點腳本(XSS)是XSS攻擊的一種類型,但它不會從網絡服務器下載惡意代碼/ javascript,而是提交HTTP請求,其中URL包含惡意代碼,然後該惡意代碼又被擺回到瀏覽器中。XSS通常使用惡意JavaScript,而不是SQL語句。

身份方程式作為SQL表達式
https://ithelp.ithome.com.tw/upload/images/20210430/20132160lE1NSEN4MA.png
-攻擊者將身份方程式輸入為SQL表達式(來源:Guru99

後端程序開發欠佳
https://ithelp.ithome.com.tw/upload/images/20210430/20132160KngwVSALNT.png
-後端程序開發不完善(來源:Guru99

SQL命令的類型
https://ithelp.ithome.com.tw/upload/images/20210430/20132160DghZLj4WNe.jpg
-SQL命令的類型(來源:geeksforgeeks

參考
反映的XSS
SQL注入教程:學習示例

資料來源: Wentz Wu QOTD-20210306

分類
CISSP

IPv6

IPv6節點使用本地鏈接地址(前綴為FE80 :: / 10)引導,並使用多播與DHCP服務器聯繫。它們不同於IPv4主機,後者使用默認地址(0.0.0.0)引導並使用廣播(DHCP Discover)與DHCP服務器聯繫。
https://ithelp.ithome.com.tw/upload/images/20210429/20132160luI7k5Hb5F.png
-DHCPv4操作(來源:WizNet

本地鏈接地址是使用前綴FE80 :: / 10和修改後的EUI-64格式自動配置的。
https://ithelp.ithome.com.tw/upload/images/20210429/201321609xi8V8SYH7.png
-48位MAC到64位EUI-64地址(來源:StackExchange

https://ithelp.ithome.com.tw/upload/images/20210429/2013216076gSTOipyt.png
-48位MAC地址的結構(來源:Wikipedia

以下是IBM IPv6 Introduction and Configuration的摘錄:
IPv6地址協議在RFC 4291 – IPv6地址體系結構中指定。IPv6使用128位地址而不是IPv4的32位地址。它定義了三種主要的地址類型:單播地址,多播地址和任意播地址。IPv6中沒有廣播地址。

單播地址(Unicast Address)
單播地址是分配給單個接口的標識符。發送到該地址的數據包
僅傳遞到該接口。特殊用途的單播地址定義如下:
–環回地址(:: 1)
–未指定地址(::)
–鏈接本地地址
–站點本地地址
– IPv4兼容地址(::)
– IPv4映射的地址(: :FFFF 🙂

廣播地址(Multicast Address)
多播地址是分配給多個主機上的一組接口的標識符。
發送到該地址的數據包將傳遞到與該地址對應的所有接口。
IPv6中沒有廣播地址,其功能已被多播地址取代。
指示多播範圍的4位值。可能的值為:
0保留。
1僅限於本地節點(node-local)上的接口。
2僅限於本地鏈接(link-local)上的節點。
5限於本地站點。
8僅限於組織。
E全球範圍。
F保留。

任播地址(Anycast Address)
任播地址是一種特殊類型的單播地址,分配給
多個主機上的接口。發送到該地址的數據包將被發送到具有
該地址的最近接口。路由器根據其距離的定義來確定最近的接口,例如,在RIP情況下是躍點,在OSPF情況下是鏈路狀態。
任播地址使用與單播地址相同的格式,並且與它們沒有區別。
RFC 4291 – IPv6地址體系結構當前對
任播地址規定了以下限制:
-任播地址不得用作數據包的源地址。
-任何任播地址都只能分配給路由器。

參考
RFC 2450:擬議的TLA和NLA分配規則
RFC 2737:IP版本6尋址架構
IBM IPv6簡介和配置
IPv6簡介
鏈接本地地址
了解IPv6鏈接本地地址
了解IPv6 EUI-64位地址
EUI-64
MAC地址
IEEE 802.1中的MAC地址問題

資料來源: Wentz Wu QOTD-20210305

分類
CISSP

SAML 2.0: Technical Overview

分類
CISSP

連線劫持

連線劫持(Session hijacking),是一種網路攻擊手段,駭客可以通過破壞已建立的資料流而實現劫持

資料來源:https://zh.wikipedia.org/wiki/%E4%BC%9A%E8%AF%9D%E5%8A%AB%E6%8C%81

分類
CISSP

劫持用戶會話(hijack user sessions)

https://ithelp.ithome.com.tw/upload/images/20210428/2013216012DMM1dGfX.jpg
-VLAN組(來源:Cisco Press
VLAN是一種創建其廣播域的網絡分段和隔離機制。路由器通常跨VLAN轉發節點之間的通信。中繼線是用於連接交換機和路由器的鏈接。換句話說,訪問中繼可以捕獲跨VLAN的流量。
VLAN跳變實際上是交換機欺騙。攻擊主機操縱中繼協議以通過中繼線連接到交換機。它捕獲流量並成為中間人,從而使會話劫持更加容易。
. “ IP地址欺騙最常用於拒絕服務攻擊中,其目的是以壓倒性的流量淹沒目標,並且攻擊者並不關心接收對攻擊數據包的響應。” (Wikipedia)儘管攻擊者可以使用它劫持用戶會話,但TCP序列號通常可以減輕攻擊。
ARP欺騙DNS欺騙是用於重定向或轉移流量並劫持用戶會話的常用技術。

主幹(Trunk)
. “ VLAN中繼線或中繼線是承載多個VLAN的兩個網絡設備之間的點對點鏈接。VLAN中繼將VLAN擴展到兩個或多個網絡設備上。” (思科
. “中繼端口是交換機之間的鏈接,支持與多個VLAN相關的流量的傳輸。” (思科

VLAN跳變(VLAN Hopping)
VLAN跳頻是一種計算機安全漏洞,是一種攻擊虛擬LAN(VLAN)上的網絡資源的方法。所有VLAN跳躍攻擊背後的基本概念是VLAN上的攻擊主機可以訪問通常無法訪問的其他VLAN上的流量。VLAN跳躍的主要方法有兩種:交換機欺騙和雙重標記。正確的交換機端口配置可以緩解這兩種攻擊方式。(維基百科

參考
會話劫持
IP地址欺騙
ARP欺騙
DNS欺騙
VLAN跳變

資料來源: Wentz Wu QOTD-20210304

分類
CISSP

常見攻擊(Common Attacks)

  1. 高級持久威脅(APT)
  2. 多向量多態攻擊
  3. 拒絕服務
  4. 緩衝區溢出
  5. 流動碼
  6. 惡意軟件(惡意軟件)
  7. 偷渡式下載攻擊
  8. 間諜軟件
  9. 特洛伊木馬
  10. 鍵盤記錄器
  11. 密碼破解者
  12. 欺騙/偽裝
  13. 監聽,竊聽和竊聽
  14. 輻射和“ TEMPEST ”電磁輻射的自發發射”(EMR)受到TEMPEST的監聽
  15. 肩衝浪
  16. 尾板(Tailgating)
  17. 帶(Piggybacking)
  18. 對象重用(Object Reuse)
  19. 數據剩餘
  20. 未經授權的目標數據挖掘
  21. 垃圾箱潛水
  22. 後門/活板門
  23. 維修鉤
  24. 邏輯炸彈
  25. 社會工程學
  26. 網絡釣魚
  27. 域欺騙
    網絡攻擊意在一個網站的流量重定向到另一個,假冒網站。
  28. 隱蔽通道
    未經授權的數據傳輸通道
  29. IP欺騙/偽裝
    IP欺騙是惡意的,而偽裝是網絡地址轉換(NAT)的一種特定形式,並且可以有效。
  30. 特權提升/特權升級
  31. 篡改
  32. 破壞
  33. SQL注入
  34. 跨站腳本(XSS)
  35. 會話劫持和中間人攻擊
  36. 零日漏洞利用
    零日漏洞利用是在宣布或發現網絡漏洞之後但在實施修補程序或解決方案之前發生的。

資料來源: Wentz Wu 網站

分類
CISSP

羅卡定律

羅卡定律英文Locard exchange principle, Locard’s theory),也稱羅卡交換定律,是法國法醫學家、犯罪學家埃德蒙·羅卡(Edmond Locard)創建的,其理論在於「凡兩個物體接觸,必會產生轉移現象」(with contact between two items, there will always be an exchange)。其用於犯罪現場調查中,行為人(犯罪嫌疑者)必然會帶走一些東西,亦會留下一些東西。即現場必會留下微量跡證[1]

資料來源:https://zh.wikipedia.org/wiki/%E7%BD%97%E5%8D%A1%E5%AE%9A%E5%BE%8B

分類
CISSP

OWASP SAMM

什麼是OWASP SAMM?
以下是OWASP SAMM的摘要 :
. SAMM代表軟體保障成熟度模型。
. 我們的使命是為所有類型 的組織提供一種有效且可衡量的方法, 以分析和改善其 軟體安全狀況。
. 我們想通過我們的自我評估模型來提高認識並教育組織如何設計,開發和部署安全軟件。
. SAMM支持 完整的軟體生命週期, 並且與 技術和過程無關。
. 我們建立了SAMM,使其本質上具有發展性和風險驅動性,因為沒有一種適用於所有組織的方法。

SAMM成熟度級別
SAMM將三個成熟度級別定義為目標。
https://ithelp.ithome.com.tw/upload/images/20210427/20132160HXdkoxVYeY.png
-SAMM模型結構

OWASP SAMM模型2.0
SAMM是一種規範性模型,是一種易於使用,完全定義且可測量的開放框架。即使對於非安全人員,解決方案詳細信息也很容易遵循。它可幫助組織分析其當前的軟件安全性實踐,按定義的迭代構建安全性程序,顯示安全性實踐的逐步改進,定義和評估與安全性相關的活動。
定義SAMM時要考慮到靈活性,以便使用任何開發風格的小型,中型和大型組織都可以自定義和採用它。它提供了一種方法,可以了解您的組織在實現軟件保證的過程中所處的位置,並了解為達到下一個成熟水平而建議採取的措施。
SAMM並不堅持要求所有組織在每個類別中都達到最大成熟度。每個組織都可以確定最適合和適應每個安全實踐的目標成熟度級別
資料來源:OWASP SAMM 2.0

SAMM的由來
軟件保障成熟度模型(SAMM)最初是由獨立軟件安全顧問Pravir Chandra(chandra-at-owasp-dot-org)開發,設計和編寫的。通過Fortify Software,Inc.的資助,可以創建第一稿。目前,此文件是通過Pravir Chandra領導的OpenSAMM項目進行維護和更新的。從SAMM的最初發行版開始,該項目已成為Open Web Application Security Project(OWASP)的一部分。
資料來源:OpenSAMM

Pravir Chandra(強化軟體)
Pravir Chandra是Fortify戰略服務總監,他與客戶合作建立和優化軟件安全保證程序。Pravir以其在軟件安全性和代碼分析方面的專業知識以及從業務角度戰略性地應用技術知識的能力而在業界獲得廣泛認可。在加入Fortify之前,他是Cigital的首席顧問,在那裡他領導了《財富》 500強公司的大型軟件安全計劃。在被Fortify Software收購之前,Pravir還是Secure Software,Inc.的聯合創始人兼首席安全架構師。他的書《使用OpenSSL的網絡安全》是有關通過加密和安全通信保護軟件應用程序的熱門參考。他的各種特殊項目經驗包括與開放Web應用程序安全性項目(OWASP)基金會一起創建和領導開放軟件保證成熟度模型(OpenSAMM)項目。此外,普拉維爾目前還是OWASP全球項目委員會的成員。
資料來源:CMU-SEI

OWASP SAMM版本
OWASP SAMM版本2 –公開發布
OWASP SAMM v2.0於2020年2月11日星期二發布
OWASP SAMM v1.5發布,2017年4月13日
OWASP SAMM v1.1發布,2016年3月16日
OpenSAMM的原始版本,2009年3月25日

參考
成熟度模型
OWASP SAMM v2.0發布
OpenSAMM項目

資料來源: Wentz Wu 網站

分類
CISSP

系統開發生命週期(SDLC)- 設計隱私

歐洲GDPR設計,這就要求隱私被考慮納入隱私貫穿整個設計過程。(維基百科)隱私影響分析甚至在開始階段進行的前一個工程項目啟動,如圖所示NIST SDLC。
https://ithelp.ithome.com.tw/upload/images/20210426/20132160EbM1u3vwC8.jpg
-NIST SDLC和RMF

威脅建模(Threat Modeling)
在系統工程的背景下,威脅建模可被視為專門的風險管理。由於存在許多威脅建模實踐和方法,人們可能會以多種方式不一致地實施它們。有人認為應在整個工程過程中進行,而大多數人則在設計階段進行。

信任但要驗證(Trust But Verify)
1987年12月8日,羅納德·裡根(Ronald Reagan)總統在INF條約上簽字後,“信任但核實”一詞被翻譯成俄語,並廣為人知。有些人將其與“零信任”相同,但其他人則不同。有人認為今天還不夠,應該用“驗證,驗證,驗證”或“零信任”代替。IMO,信任但驗證與零信任相同。

共同責任(Shared Responsibility)
共享責任是在雲計算中使用的模型,該模型定義了雲客戶與雲服務提供商之間的責任邊界。
https://ithelp.ithome.com.tw/upload/images/20210426/2013216055EuiDO1h9.png
-微軟共同責任模式

參考
設計隱私
威脅模型
信任但要驗證
IS審核基礎知識:信任,但要驗證
信任但核實:軍備控制條約和其他國際協議中的信息生產
信任,但驗證…為您的數據中心保護遠程監控
3家不信任“信任但驗證”的網絡安全公司
“信任但要驗證…”
零信任網絡安全–信任但要驗證!
與其說是“信任,而是要驗證”,不如說是“零信任”
當“信任但不能驗證”還不夠時:零信任世界中的生活
信任但要驗證:為什麼網絡安全對建築承包商很重要
共同責任模式解釋
共同責任模式
雲中的共同責任
吻原理

資料來源: Wentz Wu QOTD-20210303

分類
CISSP

CIA安全目標

曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而,FISMA和FIPS 199明確而準確地區分了兩者。

以下幻燈片是 FIPS 199 中有關安全目標的摘錄,該摘錄與 FISMA 一致:
https://ithelp.ithome.com.tw/upload/images/20210423/20132160A5qQHjWQ5Y.jpg
-CIA作為安全目標

完整性
以下是 FISMA 中有關完整性的摘錄:
‘防止不當的資訊修改或破壞,包括確保資訊不被否定和真實性。。。。。。'[44 U.S.C., Sec. 3542]]

可用性
可用性是關於’確保及時和可靠地訪問和使用資訊。。。'[44 U.S.C., SEC. 3542
FIPS 199 寫道:「可用性損失是資訊或資訊系統訪問或使用中斷。

數據消毒方法
‘銷毀’是 NIST SP 800-88 R1 中引入的數據消毒方法,而’破壞’是一種可以’破壞’介質的技術(例如破壞性技術)。然而,破壞性技術通常可以’摧毀’媒體,但他們不能保證媒體可以完全摧毀。
破壞(Destroy)、破壞(destruction)和破壞( disruption )可能具有類似的含義,但它們可能在各種上下文中提及不同的東西。

資料來源: Wentz Wu QOTD-20210302

分類
CISSP

零信任的特徵

零信任
零信任是一種用於訪問控制的網絡安全範例,具有以數據為中心,細粒度,動態且具有可見性的特徵。
. 取消邊界刪除會刪除物理網絡邊界。
. XACML提供細粒度的訪問控制,例如基於風險或基於屬性的訪問控制。
. 完全調解強制執行每個請求的驗證,無論請求來自內部還是外部網絡。
零信任概念的演變
零信任的概念可以追溯到早在2003年的Jericho論壇中就討論的反邊界化概念。反邊界化提倡了消除對物理網絡分段的依賴以確保網絡安全的想法。通常認為,受防火牆保護的內部網絡比外部網絡更安全,因此內部網絡中實施的安全控制較少。但是,去周邊化並不意味著根本就不存在周邊。它可以減少對物理邊界的依賴,但是虛擬,軟件或細粒度的邏輯邊界都可以發揮作用。例如,國防信息系統局(DISA)於2007年左右推出的全球信息網格(GIG)黑芯網絡計劃引入了軟件定義的邊界(SDP)。
Forrest的John Kindervag在2010年創造了“零信任”一詞,很好地融合了這些想法。然後,雲安全聯盟(CSA)會基於GIG SDP促進和擴大對零信任的認識和採用。Google和許多大型科技公司和組織也開始了他們的零信任計劃。
由於2015年人事管理辦公室數據洩露,零信任引起了美國國會的注意。NIST隨後開始草擬零信任架構指南SP 800-207,該指南於2020年8月最終確定。
https://ithelp.ithome.com.tw/upload/images/20210422/20132160oddIWOuEhj.jpg
-零信任概念的演變

https://ithelp.ithome.com.tw/upload/images/20210422/20132160ivIm2i5O15.jpg
-零信任網絡安全範例

零信任作為訪問控制2.0
https://ithelp.ithome.com.tw/upload/images/20210422/20132160NWWo1Mq7hh.jpg
-零信任作為訪問控制2.0
https://ithelp.ithome.com.tw/upload/images/20210422/20132160iqZmRiLVfm.jpg
-訪問控制
https://ithelp.ithome.com.tw/upload/images/20210422/20132160vvpOjUBcF6.jpg
-以數據為中心的訪問控制
https://ithelp.ithome.com.tw/upload/images/20210422/20132160M7n1IAJBQs.jpg
-細粒度,動態和可見性

參考
零信任即訪問控制2.0
InfoSec台灣2020
什麼是零信任?
零信任架構(ZTA)

資料來源: Wentz Wu QOTD-20210228

分類
CISSP

模糊測試工具-zzuf

https://ithelp.ithome.com.tw/upload/images/20210421/20132160VDahoTMEh4.png
-圖片來源:DO SON
為了準備測試數據以驗證後端API是否暗示被測系統(SUT)是一個數據驅動的系統,該系統處理和處理傳輸,靜止和使用中的各種數據,這就是數據完整性很重要的原因。語義完整性是與用戶數據含義相關的最常見問題。例如,系統接受諸如1912/02/31或“美國得克薩斯州”之類的出生日期值是沒有意義的。甲模糊器可以生成隨機在所謂的使用的測試數據模糊測試。zzuf是最著名的模糊器之一。

作為安全經理或CISO,您不必了解內在的技術知識,但必須了解最常用的安全評估工具或實用程序。
. 網絡映射器Nmap是一個必須了解的免費安全掃描程序,它為測試人員提供靈活的參數或參數,以掃描TCP / UDP端口或IP。
. “ Nessus是Tenable,Inc.(NASDAQ:TENB)開發的專有漏洞掃描程序。”(Wikipedia
. Metasploit框架是眾所周知的工具,用於進行滲透測試以及針對遠程目標計算機開發和執行漏洞利用代碼。它是Metasploit項目的開源子項目,“ Metasploit項目是一個計算機安全項目,它提供有關安全漏洞的信息,並有助於滲透測試和IDS簽名開發。它歸馬薩諸塞州波士頓的安全公司Rapid7所有。” (維基百科
參考
zzuf:透明的應用程序輸入模糊器
zzuf –多用途模糊器
地圖
Nessus
Metasploit項目

資料來源: Wentz Wu QOTD-20210227

分類
CISSP

電子發現參考模型(Electronic Discovery Reference Model)

https://ithelp.ithome.com.tw/upload/images/20210420/20132160oh1M113SdZ.jpg
-電子發現參考模型

證人(Witnesses )和證據(evidence)決定了司法結果。及時的電子發現行動將收集證據,而健全的數據治理將確定證據是否可以接受。
. 行政調查是指對員工所謂的不當行為的內部調查。(《法律內幕》)此事件可能需要多種形式的調查,例如民事,刑事和行政調查。
. 黑客組織可能會進行現場調查,觀察,垃圾箱潛水,尾隨航行等。遵守CPTED(通過環境設計預防犯罪)原則可能有助於設施和人身安全。

審判(Trial)
經過數週或數月的準備,檢察官已準備好完成其工作中最重要的部分:審判。審判是一個結構化的過程,將案件的事實提交陪審團,由陪審團決定被告是否有罪。
庭審過程中,檢察官使用證人和證據向陪審團證明被告犯罪。以律師為代表的被告人還使用證人和證據講述了他的故事。
在審判中,法官(審判的公正人)決定向陪審團提供哪些證據。法官類似於比賽中的裁判,他們不是在一側或另一側進行比賽,而是要確保整個過程都公平進行。
資料來源:美國司法部

發現(Discovery)
“發現”是一個法律術語,指的是查找和披露可能構成訴訟證據的任何信息的預審手段。及時的電子發現是指採取法律行動,要求對手生產和提交以電子格式存儲的信息。您的對手還可能進行電子發現以要求您提供證據。
“即使不經意間也未能公開證據是犯罪,如果可以證明該組織未能故意公開證據,則處罰會更高。” (本州馬里索夫)電子發現參考模型可幫助組織與電子發現要求保持一致。
以下是常見的發現手段:

  1. 要求詢問質詢
  2. 要求出示文件和物品
  3. 入學要求
  4. 存款
    發現 是 訴訟的預審階段,在這一階段中,每一方通過民事訴訟規則 ,通過從對方和其他方獲得證據的方式,通過包括請求訊問答复,請求詢問在內的發現設備 ,來調查案件的事實。 用於文件和物品的生產,要求入場和交存。
    資料來源: HG.org

為了獲得對手擁有的信息,或者即使在其他地方也可以從對手那裡獲得的信息,也很容易從對手那裡獲得,一方可以宣誓面談另一方,這稱為證言;提出書面問題,稱為審訊;要求出示文件或其他物理證據;要求另一方進行身體檢查;並要求另一方承認與訴訟有關的事實真相。
資料來源: Feinman,Jay M.。Law 101(p。120)。牛津大學出版社。Kindle版。

停止銷毀通知,認股權證和傳票(Cease Destruction Notice, Warrant, and Subpoena)
在法律領域,術語“發現”是查找和披露可能構成證據的任何信息的概念。發現可以用於收集刑事或民事訴訟的證據。例如,當一個組織收到來自監管機構/執法實體的授權書或傳票以披露與X有關的任何信息時,或者當該組織收到原告的通知,稱該組織正在被起訴X時,該組織必須依法進行,仔細檢查所有數據,找到與X有關的材料,然後將其交付給代理商/原告。即使不經意間也沒有公開證據是犯罪,如果可以證明該組織沒有故意公開證據,則處罰會更高。
電子調查的過程甚至在調查/訴訟開始之前就已經開始;一旦組織收到通知,表示正在調查或提起訴訟(即在收到逮捕令或傳票之前),則組織必須開始進行電子發現的準備工作。該通知稱為許多事項:停止銷毀通知,記錄保留通知,訴訟保留通知,合法保留,以及類似的字詞。通知組織後,它必須停止組織中的所有數據銷毀活動。這包括法規,內部政策或其他法律規定的所有數據銷毀要求。在美國,在起訴/訴訟期間,由國會決定的聯邦證據規則將取代所有其他指示,並且該組織無法銷毀任何數據。銷毀被視為證據的數據或被認為是證據的數據被稱為“誹謗”,也屬於犯罪行為。
資料來源:馬里索,本。如何通過INFOSEC考試:通過SSCP,CISSP,CCSP,CISA,CISM,Security +和CCSK的指南(第31-32頁)。調整不良的作品。Kindle版。

電子發現(Electronic discovery)
電子發現或“電子發現”是指發現以電子格式存儲的信息(通常稱為電子存儲信息或ESI)。

證據(Evidence)
“可接納性”的概念
可接受的證據應具有相關性,實質性和能力。
基本上,如果要在法庭上接納證據,則證據必須是相關的,重要的和有能力的。要被認為是相關的,它必須具有某種合理的趨勢來幫助證明或反對某些事實。它不必確定事實,但是至少它必須傾向於增加或減少某些事實的可能性。
一旦被認定為相關證據,事實發現者(法官或陪審團)將確定適當的權重以提供特定的證據。如果提供給定的證據來證明案件中有爭議的事實,則該證據被認為是重要的。如果證據符合某些傳統的可靠性概念,則被認為是“有能力的”。法院正在通過使與證據權重有關的問題逐步減少證據的勝任力規則。
資料來源:湯森路透

舉證責任(BURDEN OF PROOF)
說服力的標準不盡相同,從 大量的證據(只有足夠的證據來彌補這一平衡)到 無可置疑的證據(例如美國刑事法院)。
資料來源: 維基百科

參考
法律證據
調查類型
什麼是民事案件中的發現?
證據:“可接納性”的概念
美國律師»司法101
發現請求和懇求準備

資料來源: Wentz Wu QOTD-20210226

分類
CISM

直連式儲存

直連式儲存(簡寫:DAS,英語:Direct-Attached Storage),是指直接和電腦相連接的資料儲存方式,與依賴於電腦網路連接記憶體的儲存區域網路(SAN)和網路附加儲存(NAS)相對的儲存方式,實際上「直連式儲存」這一名稱本身是在網路儲存方式出現以後才有的稱謂[1];像固態硬碟、機械硬碟、光碟機這一類和電腦直接相連的儲存裝置都是屬於直連式儲存裝置[2]。

概述
直連式儲存又可分為內直連式儲存和外直連式儲存。內直連式儲存是指儲存裝置與伺服器通過串行或並列SCSI匯流排接1:3電纜直接整合在一起,但SCSI匯流排自身有傳輸距離和掛載裝置的限制。外直連式儲存通過SCSI或光纖通道將伺服器和外部的儲存裝置直接連接,與內直連式儲存相比,外直連式儲存可通過光纖通道克服傳輸距離和掛載裝置的限制。對於少量PC機或伺服器,使用直連式儲存連接簡單、易於組態和管理、費用較低,但這種連接方式下,因每台電腦單獨擁有自己的儲存磁碟,所以不利於儲存容量的充分利用和伺服器間的資料共享,而且儲存系統沒有集中統一的管理方案,也不利於資料維護,因此直連式儲存不適合作為企業級的儲存解決方案[3]。

資料來源:https://zh.wikipedia.org/wiki/%E7%9B%B4%E8%BF%9E%E5%BC%8F%E5%AD%98%E5%82%A8

分類
CISM CISSP

常見的BIA術語(Common BIA Terminologies)

https://ithelp.ithome.com.tw/upload/images/20210419/20132160DoiccEIOEF.jpg

NIST SP 800-34的第一個版本使用術語最大允許中斷(Maximum Allowable Outage:MAO)來描述信息系統的停機時間閾值。為了進一步描述業務流程和信息系統的停機時間,使用了最大容許停機時間(Maximum Tolerable Downtime:MTD)和恢復時間目標( Recovery Time Objective:RTO)術語。
這裡的停機時間是指業務流程的中斷,而停機則強調信息系統的不可用性。諸如停機,中斷和中斷之類的術語可以互換使用,允許,可接受和可容忍的術語也可以互換使用。最大容許停機時間(Maximum Tolerable Downtime:MTD)也稱為最大容許中斷時間( Maximum Tolerable Period of Disruption:MTPD),最大容許中斷(Maximum Allowable Outage :MAO)也稱為最大容許中斷( Maximum Tolerable Outage :MTO)。
由於各種方法或方法可能會不同地定義這些術語並導致溝通不暢,因此本文中的圖演示了一種場景,該場景介紹了在業務影響分析中使用的通用語言。

可接受的中斷窗口(Acceptable Interruption Window:AIW)
可接受的中斷窗口(AIW)是“在損害企業業務目標的實現之前,系統不可用的最長時間。” (ISACA,2019年)
AIW也稱為最大容許停機時間(MTD)或最大容許中斷時間(MTPD)。但是,ISACA的定義強調“系統”,而MTD或MTPD是一個商業術語,著眼於業務流程或優先活動的中斷。

工作恢復時間(Work Recovery Time :WRT)
工作恢復時間(WRT)是“恢復和修復系統後,恢復丟失的數據,工作積壓和手動捕獲的工作所需的時間長度”
。(BRCCI,2019)
WRT通常與恢復點目標(RPO)有關。RPO越短;WRT越快。維修時間和WRT之和應小於恢復時間目標(RTO)。

恢復時間目標(Recovery Time Objective:RTO)
恢復時間目標(RTO)是“災難發生後恢復業務功能或資源所允許的時間。”
 (ISACA,2019年)
業務功能或資源的恢復意味著它既滿足ROP和服務交付目標(SDO),又受最大允許中斷(MTO)的約束;它會使用最新數據進行恢復,並在MTO的約束下以適當的服務水平運行。

恢復點目標(Recovery Point Objective:RPO)
恢復點目標(RPO)是“根據操作中斷情況下可接受的數據丟失來確定的“
。它指示恢復數據可接受的最早時間點。RPO有效地量化了發生中斷時允許的數據丟失量。” (ISACA,2019年)
RPO推動了恢復或備用站點和備份策略的設計。它還會影響工作恢復時間(WRT)。

服務交付目標(Service Delivery Objective :SDO)
服務交付目標(SDO)與業務需求直接相關,它是在備用模式下直到恢復正常情況之前要達到的服務水平。
(ISACA,2019年)
當系統在RTO和RPO中恢復時,它將以備用模式運行,在該模式下,系統應提供足夠的服務水平並滿足SDO。

最大容許中斷(Maximum Tolerable Outage :MTO)
最大容許中斷(MTO)是企業可以支持備用模式下的處理的最長時間。
(ISACA,2019年)
備用模式不適用於長期運行。MTO為業務連續性解決方案設定過渡到正常模式的時間段目標。

最大容許停機時間(Maximum Tolerable Downtime:MTD)
請參閱可接受的中斷窗口(AIW)。

參考
最低業務連續性目標:BIA的灰姑娘…

資料來源: Wentz Wu網站

分類
一般

什麼是「節約悖論」?(Paradox of Thrift)

節約悖論由英國經濟學家凱恩斯(John Keynes)提出,他認為「居民愈節約國家愈窮,愈消費則愈富有」,這種與一般認知「節儉是美德」相互矛盾的理論,就稱為節約悖論。

凱因斯認為,你不花錢,別人怎麼賺錢? 反過來說,別人不花錢,你怎麼賺錢?如果大家都變得節約、不消費了,將讓工廠的商品滯銷,連累到整體人民的收入急劇下降,則可導致經濟衰退。

節約悖論」給管理者的啟示

節儉確實是美德,但如果省在不該省的地方,反而是種浪費。

以企業端來說,許多企業主講究「cost down」,但成本降低是有一個極限的。《財務思維》中提及,企業千萬忍住不要為了短期利益,而大幅砍掉必要支出。

例如,Google浪費了儲存空間和運算能力,得到了更龐大的廣告收入;台積電浪費了便宜的矽,成為了全球最大的半導體龍頭。

以個人層面來看,如果只懂節儉,可能會讓自己錯失更多機會。

如果消費者只追求CP值商品,這樣的消費策略會讓大家更專注於開發低價產品,最終設計、品質變低,陷入低價競爭循環,更多優秀企業難脫穎而出,進而無法獲得更好的商品、服務。

又如,只知道省錢而不去交友,去拓展人脈關係,也不花錢去充實自己,就難以快速增長財富。既懂節儉又懂開源,才有利於財富的增長,畢竟只靠節儉致富是有一定難度的。

「節約悖論」有哪些實例?

1.台積電絕不省研發費用

以企業端來說,成本降低是有一個極限的。如果一味地降低成本,損害到品質,間接影響到客戶滿意度,對企業還會是件好事嗎?

前台積電財務高階主管郝旭烈在《財務思維》中表示,台積電在提到成本節約的時候,高層常提醒:「砍成本和費用,要砍脂肪,不要砍到肌肉」。

像研發費用,有很大部分就是企業的肌肉,代表的是未來核心競爭力,現在砍得很乾脆,未來失去競爭優勢就傷腦筋了。

美國曾經有研究報告顯示,每1元的研發費用,未來可能會帶來2元的利潤增值,甚至對公司估值會有3到5元的增幅。

2.馬雲對員工說:去花錢,去消費

馬雲曾對全體員工加薪的內部信件中,一連用了5個驚嘆號:「去花錢!!去消費!!!」

馬雲想對旗下年輕員工倡導:錢,越花越有,越省越「窮」。

他認為,適度消費過日子能增加自信,如果能穿自己喜歡的衣服、鞋子,拎著自己喜歡的包包,肯定會比現在自信很多。

而自信的價值,可能會帶來能力雙倍增長。例如,自信,可以讓一個人更樂於與人交往、更樂於表現自己,進而就會有更多人的朋友願意與你交往,獲得的機會自然也會更多。

如果一個人省錢宅在家裡吃外賣,不如花錢去參加聚會或交流會,即使沒交到朋友也算是長見識了。把錢花在開闊自己的眼界、格局上,是有必要的。

此外,馬雲曾分享他過去的貧窮經歷,他從身上只有3塊錢,到創造自己的阿里帝國,他最深的感悟是:在很窮的時候,一定不能小氣,記住,越窮越要大方。

他認為,省錢很難省出一間房子,人總是要吃飯的。但是如果你把錢花對了地方,多學習提高自己的工作技能,或是發展興趣、愛好,你對自己的投資才是有價值的,才能讓錢生錢。

資料來源:https://www.businessweekly.com.tw/management/blog/3006134

分類
CISSP

Base64

即使HTTP基本身份驗證確實使用Base64來編碼用戶ID和密碼,HTTP仍以明文形式傳輸編碼,並依靠HTTPS來實施安全性。
密碼(Cipher)和代碼(Codes)不同。從字面上看,代碼取決於代碼簿(codebook)的保密性,而不是取決於密鑰的混淆。Base64使用公共映射表。

哈希或消息身份驗證代碼(MAC)是分別保護數據完整性和真實性的典型加密功能。它們通常用於身份驗證過程中。
Base64使用的下表摘自Wikipedia
https://ithelp.ithome.com.tw/upload/images/20210419/20132160VQrklWI9Bx.png

參考
基本訪問認證
Base64
代碼(密碼學)

資料來源: Wentz Wu QOTD-20210225

分類
CISSP

計算機應急響應小組

計算機應急響應小組(英語:Computer Emergency Response Team,縮寫CERT),又名計算機安全事件應急響應小組(英語:Computer Security Incident Response Team,縮寫CSIRT),是對一個固定範圍的客戶群內的安全事件進行處理、協調或提供支持的一個團隊 [1]

資料來源:https://zh.wikipedia.org/wiki/%E8%AE%A1%E7%AE%97%E6%9C%BA%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E5%B0%8F%E7%BB%84

分類
CISSP

作為CISO最關鍵的任務-開發資訊安全性管理系統

在這四個選項中,開發信息安全管理系統(ISMS)是最合適,最關鍵的。ISMS從管理承諾和政策開始,這些承諾和政策推動信息安全,以滿足利益相關者(或利益相關方)的保護需求和安全要求。它涵蓋了網絡訪問控制,IT流程以及業務連續性的信息安全方面。
. 實施全面的網絡訪問控制是必要的,但還不夠,也不是優先事項。
. 將安全性集成到IT流程中是必要的,但還不夠。無論CISO向哪個角色報告,他(她)都應確保安全功能支持業務,並將安全集成到“所有”組織流程中,而不僅僅是IT流程中。
. 除非CISO非常了解業務並得到充分授權和委派,否則他或她發起並指導業務連續性計劃不是一個好主意。業務連續性是指持續交付涉及組織流程的產品和服務,而不僅僅是IT,安全或保證流程。首席執行官,首席運營官或委員會更合適。如下圖所示,CISSP考試大綱和ISO 27001甚至都不能滿足所有業務連續性要求。
https://ithelp.ithome.com.tw/upload/images/20210416/20132160lu9Pp3L3O4.jpg

資料來源: Wentz Wu QOTD-20210224

分類
Information Security

SEMI

SEMISEMI國際標準計劃是半導體裝置和材料國際(SEMI)為全球半導體, 光電伏打(PV), LED, MEMS和平板顯示(FPD)行業提供的關鍵服務之一. 標準提供了一種方法來應對提高生產力同時又能提供全球商業機會的挑戰. 該計劃在40多年前在北美開始, 於1985年擴大到歐洲和日本的項目, 現在在中國, 韓國和台灣也有技術委員會.https://www.semi.org/en/Standards/P_000787SEMI 6506由TSMC和ITRI帶領的台灣Fab裝置資訊保安特遣部隊專注於研發SEMI檔案草案6506: Fab裝置網路安全規格. 這份檔案界定了Fab裝置的共同最低安全要求, 將成為精靈裝置安全的基線. 所需要的重點將集中在精彩裝置的四個主要組成部分: 它的作業系統, 網路安全, 終點保護和安全監控. 隨著惡意軟體威脅的演變, 需求預計會擴大.

1. https://www.semi.org/en/about/SEMI_Standards

2.http://downloads.semi.org/……/749b1380634ba02388258……3. https://www.semi.org/……/sta……/fab-and-equip-security

分類
CISSP

證書簽名請求(CSR)

一些證書提供者可能會向客戶提供一個生成密鑰對的網頁。但是,這不是一個好主意,因為證書提供者可能會記錄或託管您的私鑰。您應將私鑰保密。因此,請使用本地實用程序生成密鑰對,例如OpenSSL,ssh_keygen,IIS管理器,MMC的證書管理單元(Microsoft管理控制台)。
僅將包含公共密鑰(不包含密鑰對)的證書籤名請求發送到CA(或專門用於註冊機構),因為密鑰對包含私有密鑰。
即使您可以將帶有證書的私鑰打包到文件中,但證書僅包含公鑰。例如,“ PKCS#12定義了用於將許多加密對象存儲為單個文件的存檔文件格式。它通常用於將私鑰與其X.509證書捆綁在一起或將信任鏈的所有成員捆綁在一起。” (維基百科

證書簽名請求(CSR)
在公鑰基礎結構(PKI)系統中,證書籤名請求(也是CSR或證明請求)是從申請人發送到公鑰基礎結構的註冊機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰,標識信息(例如域名)和完整性保護(例如數字簽名)。
在創建CSR之前,申請人首先生成一個密鑰對,將私鑰保密。CSR包含標識申請人的信息(例如,在X.509證書的情況下為專有名稱),該信息必須使用申請人的私鑰進行簽名。CSR還包含申請人選擇的公鑰。CSR可能隨附證書頒發機構要求的其他憑據或身份證明,證書頒發機構可以聯繫申請人以獲取更多信息。
資料來源:維基百科

X.509證書
https://ithelp.ithome.com.tw/upload/images/20210415/20132160hFHsc8OUiP.jpg
-X.509證書格式

參考
證書籤名請求
PKCS 12

資料來源: Wentz Wu QOTD-20210223

分類
CISM CISSP 專案管理

責任分配矩陣

責任分配矩陣[1] RAM),也被稱為RACI矩陣[2] 線性職責表[3] LRC),描述了通過各種參與角色在完成任務交付用於項目業務流程。RACI是首字母縮寫詞,它是從最常用的四個主要職責衍生而來的:負責負責諮詢告知[4] 用於澄清和定義跨職能或部門項目和流程中的角色和職責。[5] RACI模型有很多替代方案。

RACI模型中的主要責任角色[編輯]

角色區分[編輯]

角色和個人識別的人之間有一個區別:角色是一組相關任務的描述;角色是一組相關任務的描述。可能由很多人表演;一個人可以扮演許多角​​色。例如,一個組織可能有十個人可以擔任項目經理,儘管傳統上每個項目在任何時候都只有一個項目經理。能夠擔任項目經理的人也可能能夠擔任業務分析員測試員的角色。R =負責人(也是推薦人)那些完成任務的工作。[6]至少有一個角色是負責任的參與類型,儘管可以委派其他角色來協助所需的工作(另請參見下面的RASCI,以分別標識參與支持角色的人員)。A =負責(也是批准人最終批准人)一個人最終負責正確,徹底地完成可交付成果或任務,一個人確保滿足任務的先決條件,並將工作委託給負責人[6]換句話說,負責人必須簽字(批准)負責人提供的工作。這裡必須只有一個負責為每個任務或交付指定。[7]C =諮詢(有時是顧問律師)徵求意見的人,通常是主題專家;與之進行雙向交流。[6]I =知情的(也是被告)那些僅在完成任務或交付時就保持最新狀態的人員;與之只有一種單向的溝通。[6]

很多時候,這是角色負責的任務或交付也可能是負責完成它(在由具有角色的任務或交付的矩陣表示負責的,但沒有任何作用負責其完成,也就是說,它是隱含的)。除此例外之外,通常建議項目或流程中每個任務的每個角色最多只接受一種參與類型。在顯示了多個參與類型的情況下,這通常意味著參與尚未完全解決,這可能會妨礙此技術在闡明每個角色對每個任務的參與上的價值。

資料來源:https://en.wikipedia.org/wiki/Responsibility_assignment_matrix

分類
CISSP

安全玻璃(Safety Glass)

儘管夾層玻璃比鋼化玻璃更安全,但價格更高。儘管如此,法規要求仍可能會影響各國安全玻璃的安裝。而且,作者沒有具體的統計數據來支持夾層玻璃比鋼化玻璃更常見。結果,最初的問題是:“以下哪個是店面或購物櫥窗中最常用的安全玻璃?” 更改為“以下哪項在店面或購物櫥窗中提供最高的安全性?”

退火玻璃不屬於安全玻璃。以下安全玻璃描述摘自Wikipedia
“夾層玻璃通常用於可能造成人身傷害或玻璃破碎時掉落的地方。天窗玻璃和汽車擋風玻璃通常使用夾層玻璃。在要求抗颶風建築的地理區域,夾層玻璃通常用於外部店面,幕牆和窗戶。
https://ithelp.ithome.com.tw/upload/images/20210414/20132160rGETuXNa9B.jpg
-破碎的夾層安全玻璃,中間層暴露在圖片的頂部(來源:維基百科)

鋼化玻璃用於各種苛刻的應用中,包括乘用車窗戶,淋浴門,建築玻璃門和桌子,冰箱托盤(作為防彈玻璃的組成部分),潛水面罩以及各種類型的盤子和炊具。
https://ithelp.ithome.com.tw/upload/images/20210414/20132160ezGxVt3HZz.jpg
-破碎的鋼化玻璃顯示出顆粒狀的形狀(來源:維基百科)

近年來,已經出現了既可以提供防火等級又可以提供安全等級的新材料,因此在全世界範圍內繼續討論使用有線玻璃的問題。美國國際建築法規於2006年有效禁止了有線玻璃。
參考
安全玻璃
什麼是安全玻璃?
砸玻璃!比較層壓與回火
有線玻璃
夾絲玻璃,安全嗎?
傳統夾絲玻璃的危害
破碎玻璃
退火(玻璃)
退火與回火
CM 113 –第30章
夾層安全玻璃

資料來源: Wentz Wu QOTD-20210222

分類
CISSP

智慧財產的角度-保護生產參數應該思考的最關鍵問題

知識產權具有所有者,否則它將屬於公共領域。“商業秘密是指可以出售或許可的機密信息的知識產權(IP)。” (WIPO)您的公司可能沒有製造參數作為知識產權的所有權,因為OEM客戶通常在合同中要求所有權。如果是這樣,您的公司可能會被要求承擔保護生產參數保密性的義務,而不是商業秘密權。因此,在主張知識產權之前,應首先考慮所有權。
. 參數的保密性意味著商業秘密。
. 參數的創新意味著專利。
. 參數的表達表示版權。
通常,必須完成三個步驟,才能使某項信息成為商業秘密:
–保密:該信息必須具有足夠的機密性,即通常不為人所知或難以編譯的信息。請注意,與公司客戶有關的機密個人信息受隱私法保護,不受商業秘密法保護。
–具有商業價值:信息必須為所有者提供競爭優勢或某種經濟利益,因為它是秘密的-而不是因為其固有的優點。
–合理措施:所有者必須採取合理的安全措施來維護信息的保密性。
資料來源:WIPO

參考
獲取知識產權:商業秘密
常見問題:商業秘密基礎

資料來源: Wentz Wu QOTD-20210221

分類
CISSP

802.1X 概述與 EAP 類型

802.1X 概述

802.1X 是一種連接埠存取通訊協定,保護經由驗證的網路。因此,由於此類媒體的本質,這種驗證方法的類型在 Wi-Fi 網路環境中非常好用。如果有某個 Wi-Fi 使用者經由 802.1X 驗證進行網路存取,在存取點上就會開啟一個允許通訊的虛擬連接埠。如果授權不成功,就不會提供虛擬連接埠,而通訊就會受到阻擋。

802.1X 驗證有三項基本要件:

  1. 申請者在 Wi-Fi 工作站上執行的軟體用戶端
  2. 驗證者 Wi-Fi 存取點
  3. 驗證伺服器驗證資料庫,通常是一個 RADIUS 伺服器,例如 Cisco ACS*、Steel-Belted RADIUS* 或 Microsoft IAS*

申請者 (Wi-Fi 工作站) 與驗證伺服器 (Microsoft IAS 或其他) 之間會使用可延伸的驗證通訊協定 (EAP) 來傳遞驗證資訊。EAP 類型實際上處理和定義身份驗證。作為驗證者的存取點只是一個代理者,讓申請者與驗證伺服器能夠進行通訊。

我應該使用哪些?

要實施哪一種 EAP 類型,或是到底要不要實施 802.1X,取決於公司需要的安全性等級,以及願意投入的管理間接成本和功能。希望這裡的敘述說明以及對照表,有助於您瞭解各種不同可用的 EAP 類型。

可延伸驗證通訊協定 (EAP) 驗證類型

因為 Wi-Fi 區域網路 (WLAN) 的安全性非常重要,且 EAP 驗證類型提供了一種較好的方法來保護無線區域網路連線的安全,所以各家廠商正為無線區域網路存取點積極開發並增加 EAP 驗證類型。EAP 驗證類型很多,其中最常部署的類型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast 及 Cisco LEAP。

  • EAP-MD-5 (訊息摘要) 盤問是提供基本等級 EAP 支援的一種 EAP 驗證類型。通常不建議將 EAP-MD-5 用在 Wi-Fi 區域網路的實際配置上,因為有可能推斷出使用者的密碼。它只適合作為單向的驗證;Wi-Fi 用戶端與網路之間沒有相互驗證的機制。而且,非常重要的是,它不提供導出根據每次連接作業的動態有線等效保密 (WEP) 金鑰。
  • EAP-TLS (傳輸層安全性) 提供用戶端與網路之間根據憑證的共同驗證。它根據用戶端及伺服器端的憑證來執行驗證,而且可以用來動態地產生根據使用者及根據連接作業的 WEP 金鑰,進而保護無線區域網路用戶端與存取點之間後續通訊的安全。EAP-TLS 的缺點之一,就是用戶端與伺服器端都必須管理相關的憑證。對於大型的無線區域網路系統而言,這可能是非常累贅而麻煩的工作。
  • EAP-TTLS (隧道式傳輸層安全性) 是由 Funk Software* 與 Certicom* 開發的類型,作為 EAP-TLS 的一項延伸。這種安全性方法透過一個加密的通道 (或「隧道」),為用戶端與網路提供採用憑證的共同驗證,也提供了推導根據每一使用者、每一連線作業的動態 WEP 金鑰的方法。與 EAP-TLS 不同的是,EAP-TTLS 只需要伺服器端的憑證。
  • EAP-FAST (經由安全通道的可延伸驗證) 是由 Cisco 所開發。而不是使用憑證執行相互驗證。EAP-FAST 透過 PAC (受保護的存取憑據) 進行驗證,而 PAC 可透過驗證伺服器動態管理。PAC 可以透過手動方式或自動提供 (一次性發佈) 給用戶端。手動提供方式是經由磁碟或安全的網路散佈方式提供給用戶端。自動提供則是在頻帶內,透過無線方式進行散佈。
  • GSM 用戶識別模組 (EAP-SIM) 的「可延伸驗證通訊協定方式」是驗證機制和作業階段金鑰分配。它使用全球行動通訊系統 (GSM) 訂用者身分模組 (SIM)。EAP-SIM 使用從用戶端介面卡和 RADIUS 伺服器衍生出的動態作業階段為基礎的 WEP 金鑰來加密資料。EAP-SIM 需要您輸入使用者驗證碼或 PIN,才能與用戶識別模組 (SIM) 卡通訊。SIM 卡是特別的智慧卡,用於 “全球行動通訊系統” (GSM) 數位行動網路。
  • EAP-AKA (適用 UMTS 驗證與金鑰協議的延伸驗證通訊協定方法) 是驗證與作業階段金鑰分配的 EAP 機制,使用全球行動通訊系統 (UMTS) 用戶識別模組 (USIM)。USIM 卡是使用行動網路的特殊智慧卡,使用網路來驗證指定的使用者。
  • LEAP (輕量型可延伸的驗證通訊協定) 是主要用於 Cisco Aironet* WLAN 的一種 EAP 驗證類型。它使用動態產生的 WEP 金鑰將資料傳輸加密,並且支援共同的驗證。LEAP 以前屬於專利技術,但 Cisco 已透過其 Cisco 相容擴充方案授權給許多其他製造廠商。
  • PEAP (防護型可延伸的驗證通訊協定) 提供了一種經由 802.11 Wi-Fi 網路來安全地傳輸驗證資料 (包括舊型的密碼式通訊協定) 的方法。PEAP 達到此一目標的方式,是在 PEAP 用戶端與驗證伺服器之間使用隧道功能。就像競爭的標準型「隧道式傳輸層安全性」(TTLS),PEAP 只使用伺服器端的憑證來驗證 Wi-Fi 區域網路用戶端,因此可以簡化安全 Wi-Fi 區域網路的實施與管理。PEAP 是由 Microsoft、Cisco 及 RSA Security 共同開發。

回顧以上討論與對照表,通常可以得出下列結論:

  • MD5 通常不使用,因為它只提供單向的驗證,也許更重要的是它不支援 WEP 金鑰的自動分配與輪轉,因此完全無法減輕手動維護 WEP 金鑰的管理負擔。
  • TLS 雖然非常安全,但需要在每台 Wi-Fi 工作站上安裝用戶端憑證。PKI 基礎架構的維護,除了維護無線區域網路本身的需求外,還要額外的系統管理專業與時間。
  • TTLS 利用穿隧 TLS 的方式來處理憑證的問題,因此用戶端上面不需要有憑證。因此這是一般人比較願意使用的選擇。Funk Software* 是 TTLS 的主要提倡者,要求者和驗證伺服器軟體均收取費用。
  • LEAP 的歷史最悠久,而且雖然以前屬於 Cisco 的專利 (只能搭配 Cisco Wi-Fi 網路卡使用),但 Cisco 已透過其 Cisco 相容擴充方案將 LEAP 授權給許多其他製造廠商。使用 LEAP 驗證的時候,應該強制執行複雜密碼的政策。
  • 對於無法強制執行複雜密碼政策,也不想要部署憑證進行驗證的企業,如今可以選擇使用 EAP-FAST。
  • 最近推出的 PEAP 與 EAP-TTLS 類似之處在於用戶端不需要有憑證。PEAP 有 Cisco 與 Microsoft 的支持,並且可從 Microsoft 取得而不需要額外付費。如果希望從 LEAP 轉變到 PEAP,Cisco 的 ACS 驗證伺服器兩者都可以執行。

另一個選擇是 VPN

許多企業並不仰賴 Wi-Fi 區域網路進行驗證與隱私保護 (加密),而是執行 VPN。這個方法是在企業防火牆外面放置存取點,並且讓使用者經由「VPN 閘道」穿進來,就像遠端使用者一樣。實施 VPN 解決方案也有一些不利的因素,包括高成本、初步安裝非常複雜,並且在管理方面會不斷需要額外的成本。

資料來源:https://www.intel.com.tw/content/www/tw/zh/support/articles/000006999/wireless/legacy-intel-wireless-products.html

分類
CISSP

資料分類(Data classification)