分類
Cissp-WentzWu

題目-20250702

You are identifying business continuity requirements. Which one of the following should be identified first?
A. Critical business processes
B. High-impact informations systems
C. Products and services of interest
D. Competitors in the industry

您正在識別業務連續性需求。下列哪一項應先識別?
A. 關鍵業務流程
B. 高影響資訊系統
C. 相關的產品和服務
D. 同產業的競爭者

You have identified a couple of business continuity requirements and start to analyze them. Which one of the following is the most critical factor?
A. Criticality of business processes
B. Impact level of informations systems
C. Scope of products and services
D. Business continuity plan

您已識別了一些業務連續性需求,並開始對其進行分析。下列哪一項是最關鍵的因素?
A. 業務流程的關鍵性
B. 資訊系統的影響程度
C. 產品和服務的範圍
D. 業務連續性計畫

You are evaluating business continuity requirements. Which one of the following has the highest priority?
A. Enforcing confidentiality, integrity, and availability
B. Improving business efficiency
C. Lowering costs
D. Assuring operations

您正在評估業務連續性需求。以下哪一項優先順序最高?
A. 確保機密性、完整性和可用性
B. 提高業務效率
C. 降低成本
D. 確保營運

You are implementing solutions to meet business continuity requirements. Which one of the following should be done first?
A. Implementing alternative sites
B. Developing disaster recovery plan
C. Conducting tests and excersices
D. Detecting and handling incidents

您正在實施滿足業務連續性要求的解決方案。下列哪一項應該最先完成?
A. 實施備用站點
B. 制定災難復原計劃
C. 進行測試和演練
D. 偵測和處理事件

分類
Information Security

Directory Traversal目錄遍歷

目錄遍歷(英文:Directory traversal),又名路徑遍歷(英文:Path traversal)是一種利用網站的安全驗證缺陷或用戶請求驗證缺陷(如傳遞特定字符串至文件應用程式接口)來列出伺服器目錄的漏洞利用方式。

此攻擊手段的目的是利用存在缺陷的應用程式來獲得目標文件系統上的非授權訪問權限。與利用程序漏洞的手段相比,這一手段缺乏安全性(因為程序運行邏輯正確)。

目錄遍歷在英文世界裡又名../ 攻擊(Dot dot slash attack)、目錄攀登(Directory climbing)及回溯(Backtracking)。其部分攻擊手段也可劃分為規範化攻擊(Canonicalization attack)。

資料來源:https://zh.wikipedia.org/zh-tw/%E7%9B%AE%E5%BD%95%E9%81%8D%E5%8E%86

補充資料:https://tech-blog.cymetrics.io/posts/nick/directory/

分類
一般

threat hunting

資料來源:https://www.threathunting.net/

分類
Cissp-WentzWu

WUSON 詞彙表

價值是任何具有重要性、意義或用途的事物,可以定性或定量地衡量。

商業價值是組織或組織單位所創造的價值。

系統是「為實現一個或多個既定目的而組織起來的相互作用的元素的組合」。 (ISO/TS 14812:2022)

配置是「資訊處理系統資源的組織和互連方式」。 (ISO/IEC 20944-1:2013)

架構是描述主要元素及其關係、相互作用和邊界的產物。架構是一種精心設計的結構,注重主要元素。

結構是系統的自然形成或精心設計的形式,描述組成元素及其關係、相互作用和邊界。

設計是記錄在案的解決方案,是「設計過程的結果」(ISO/IEC/IEEE15288:2015),能夠滿足利害關係人的要求。設計過程通常從解決架構問題或所謂的「架構設計」開始。

基準是「作為變更基礎的一組或多個工作產品、專案或元素的已核准版本」。 (ISO 26262-1:2018)
註1:參閱 ISO 26262-8:2018,第 8 條。
註2:基線通常置於組態管理之下。
註3:基線是生命週期中透過變更管理流程進一步開發的基礎。

變化是「從當前狀態到未來狀態的轉變」。 (ACMP)

資料來源:https://wentzwu.com/2025/03/13/wuson-glossary/

PS:此文章經由作者同意進行翻譯

分類
Cissp-WentzWu D8-軟體開發安全

WSUON的SDLC

大家談SDLC時時常沒有釐清自己口中SDLC的S是指Software還是System! CISSP課程中所談的System預設用字情境(context)是指資訊系統(information system),而不是武器系統或其它系統。在WUSON的CISSP課程中,軟體(software)只是資訊系統的一部份(孔雀八根毛中的一根毛而已)。由於Software跟System指稱的標的物及範疇都不同,因此我們在談SDLC時一定要把自己口中的S先定義清楚,才能有效的溝通軟開發的觀念!

WUSON課程非常講究用字精準,以明確表達軟體開發的相關觀念。我們課程中的軟體工程所談的SDLC當然是指軟體的SDLC。以下是WUSON課程談SDLC所強調的重點,摘要如下:

  1. WUSON課程SDLC的各個階段強調動作,而且各階段的命名不是直接選用動詞,而是把動作名詞化的名詞。例如:我們說開發軟體要先作好規劃,再來分析需求。如果用動詞來表達這些動作,英文是用Plan, Analyze. 但我們強調要去作【規劃這件事】及要去作【分析需求這件事】。因此,我們的英文用字是採用planning及analysis. 其它階段的命名都是同樣的概念.
  2. 談【分析需求】時,我們選字是強調分析這個動作,而不是被分析的東西(即需求),所以在我們的SDLC是命名為【分析】階段,而不是【需求】階段。這樣命名的原因主跟【規劃】、【設計】、【開發】、【測試】、【交付】、【維護】這些動作相呼應,以保持語言結構的一致性。
  3. 【軟體】跟【資訊系統】(在CISSP可簡稱系統)是二個不同的東西,具有不同的範疇及議題。我們的SDLC在選字上強調【交付(delivery)軟體給客戶】,而不是強調【部署(deployment)軟體到系統】。因此,我們談CI/CD時所指稱的CD是指連續交付,不是連續部署。因為部署是【安裝】的概念,而業界談CD常是指將軟體安裝到正式環境(production)。 這樣作會涉及到【授權系統】(NIST的A&A或早期的C&A)的問題,而且連續授權(continuous authorization)也是DevSecOps要解決的核心問題,把軟體拉到系統層次容易把軟體開發的概念複雜化及混淆了二者的邊界。為了明確區分及強調軟體與資訊系統的差異,我們的課強調【軟體只是”資訊系統】的一部份,主管授權上線的標的物是【整個資訊系統,而不是只有軟體】。所以我們的課程刻意只從軟體的角度談軟體【交付】,SDLC的階段命名是【交付】階段而不是部署階段。
  4. 如第3點所強調的概念:軟體及資訊系統是不同的東西,有不同的範疇及議題,所以我們課程的SDLC也不用【維運】這樣的詞。因為維運是【維護+運作】,英文是maintenance and operations,這個詞是資訊系統的概念。主管授權上線運作的【標的物】是資訊系統,軟體只是隨附在資訊系統一起上線運作。因此,我們軟體的SDLC的用字是【軟體的維護】, 而不是【資訊系統的維運】,以明確區分軟體與資訊系統的概念。

資料來源:https://wentzwu.medium.com/wsuon%E7%9A%84sdlc-0123e8b2117b

PS:經作者同意轉載

分類
D3-安全架構与工程

系統工程 (Engineering)

系統工程(engineering)是發展系統作為解決方案(solution),以滿足利害關係人(stakeholder)需求(requirement)的學問。系統(system)泛指為了達成特定目的而一起協調運作的元素總成。結構(structure)是指一個系統的組成元素以及這些元素之間的關係。結構可能是自然生成,也可以出自人為的精心設計。一個結構的主要元素及其關係若出自於人為精心設計則稱為架構(architecture)。所謂的設計(design)是指書面的解決方案。

發展系統作為一個滿足利害關係人需求的解決方案,必須先了解整體環境(contexts)並識別出利害關係人,並了解他們的需求,才能提出有效的解決方案。提出解決方案並予以文件化的過程就是設計的過程;設計過程產出的書面化的解決方案稱作設計。在【設計過程】必須考量安全性並提出相對應解決方案的原則叫作Security by desgin. 在【系統發展的生命週期】都必須考量安全性並提出相對應解決方案的原則叫作Security by default. 系統的組態都預設為安全級別,以便在系統部署時無須額外人力進行安全設定的原則稱為Security by deployment.

資料來源:https://wentzwu.medium.com/%E7%B3%BB%E7%B5%B1%E5%B7%A5%E7%A8%8B-engineering-dbde95255854

ps:經作者同意轉載

分類
Cissp-WentzWu

Microwave Mindset (微波爐心態)

今天學到了一句英文用語: Microwave Mindset (微波爐心態)。

微波爐心態跟過去的”速食主義”的概念有點類似。意思是指一個人追求以最輕省、快速的方式來取得成果,就像是用微波爐加熱或準備餐點一樣簡單且快速。這個心態在當今強調”天下武功唯快不破”,以及”這世界唯一不變的就是改變”的VUCA年代,反而變成一個主流的思唯。

VUCA是volatility(易變性)、uncertainty(不確定性)、complexity(複雜性)、ambiguity(模糊性)的縮寫。

不過凡事都有它的物理規律。違反自然與規律,過度強調眼前利益而忽略長期綜效、只重速度與效率而不重效能(有效性)、只看結果而不守原則,最終得到的不一定是一個快樂的結果,取而代之的反而可能是我們人生中的遺憾與後悔。

學習是一個動態的歷程而不是一個靜態的里程碑。準備CISSP考試是一個學習的旅程而不是學習的終點,因此我們並不會因為達到通過考試的階段性目標(里程碑)而停止學習!更重要的是,準備CISSP考試需要時間(2至4個月),我們需要摒棄微波爐心態,一步一腳印的把WISE Model的觀念架構建立起來,按部就班的透過作題目、研讀、討論及分享把知識細節補足,以建構一個包含點、線、面的完整知識體系。當我們紮紮實實的經過這條資安天堂路的考驗,成就感光榮感即會油然而生!

資料來源:https://wentzwu.medium.com/microwave-mindset-%E5%BE%AE%E6%B3%A2%E7%88%90%E5%BF%83%E6%85%8B-dfea67e6cee0

PS:經作者同意轉載

分類
AI

人工智慧

分類
Cissp-WentzWu

認證101(Authentication 101)

任何事物如果存在於世界上,無論其形式如何——抽象概念或物理事物——並且具有將其與其他事物區分開來的身份(或簡稱ID),則被稱為實體。簡而言之,每個實體都有一個身分或簡稱 ID。例如,使用者、電腦、裝置、應用程式、服務、網路等都是實體,因為它們都具有唯一標識它們的身分。實體的固有特徵稱為屬性。身分是一個實體的屬性或屬性的組合,用於將一個實體與其他實體區分開來能夠發起或回應操作的實體是安全主體,而不能發起或回應操作的實體是資源。發起動作的主動方稱為主體而回應主動方或資源的被動方稱為客體

實體或安全性主體將帳戶儲存在目錄(帳戶資料庫)中。帳戶代表實體的技術手段;目錄中帳戶的欄位代表實體的屬性。 ID提供者是一個實體,它保存和管理目錄、回應查詢、透過身份驗證器驗證主體的身份,並透過令牌或票證提供斷言或聲明,以確保有關實體的陳述是真實的。在 Microsoft 的 Active Directory 中,出於效能或管理目的,目錄可以分為一個或多個實體分割區或邏輯網。儲存帳戶資料庫的機器是網域控制器,網域控制站上管理目錄的服務稱為目錄服務

身份驗證基於身份驗證器的保密性以及對 ID 提供者頒發的令牌和票據的信任;這 是 ID 提供者透過一個或多個身份驗證器透過搜尋帳戶並將資料與目錄進行比較來驗證實體身分的過程。身分驗證過程中的主體是主動向 ID 提供者表明其身分的實體 主體顯示其身分的過程稱為身分認同。但是,當 ID 提供者搜尋目錄並找到代表實體的帳戶時,也稱為識別。身份驗證器是用來證明實體身分的秘密。身份驗證器分為三種類型,也稱為身份驗證因素:您知道的東西、您擁有的東西和您是什麼。

多重身份驗證 (MFA)是指使用兩種或多種身份驗證器類型的身份驗證過程。主體的身份及其驗證器的組合統稱為憑證斷言或聲明是關於實體的始終正確的聲明,由 ID 提供者在驗證實體的身份後發出。在 SAML 或 OIDC 中,斷言或聲明是以 XML 或 JSON 表示的屬性和值對或鍵值對。代幣和票據是傳達斷言或主張的技術或物理手段。

單一登入(SSO)是一種系統功能,使用者只需登入一次,即可根據商定的協議和令牌或票證的格式存取各個系統的資源。 SAML 和 OIDC 是基於聯合的 SSO 中常用的協定。聯合是共享通用協議以促進 SSO 功能系統的集合。

資料來源:https://wentzwu.com/2024/08/08/authentication-101/

ps:經作者同意翻譯並轉載

分類
Cissp-WentzWu D3-安全架構与工程

不要再說零信任是永不信任了!

不要再說零信任(Zero Trust)是永不信任(Never Trust)了!如果永不信任,那就網路線拔掉作實體隔體(air-gapped),或者放棄使用網路,回歸人工作業就好了!因為沒有信心(confidence)與信任(trust)的世界是無法運作的!

Zero Trust不是永不信任(Never Trust)或不可/禁止信任(No Trust),相反的,零信任強調信任,只是信任要從零開始累積,也就是Trust but verify。簡單的說,就是不要因為網路位置而輕易的信任一個實體(entity)的行為,而是要經過層層的驗證來建立信心與累積信任!

在WUSON的CISSP課程,我們把零信任(Zero Trust)定義為存取控制2.0 (Access Control 2.0), 也就是【以資料為中心,畫定虛擬邊界,進行更細膩/細顆粒、更動態、更透明的存取控制】。那什麼是Access Control 1.0呢? Access Control 1.0的主要內涵是強調【主體(Subject)使用客體(Object)的行為必須受到3A的管制】。這邊的3A是指驗證身份(Authentication)、檢查授權(Authorization)與記錄行為(Accounting)。

零信任的主要的重點不是把3A作到【更細膩、更動態、更透明】而已,因為【把3A升級再優化】只是【次要】的重點。零信任最主要、最重要的重點或改變,在於放棄以網路位置為中心的繼承式信任(inherent trust),改成在【以資料為中心,畫定虛擬邊界】所形成的安全區域(security domain),進行【更細膩、更動態、更透明】的存取控制。這種強調以零為基礎(zero-based)、經過層層驗證所累積而來的信任才是零信任的核心精神!

簡單的說,【從零開始累積信任】是Zero Trust的【目的】,而【更細膩、更動態、更透明的存取控制】則是Zero Trust的【手段】。有人(含CISSP考試大綱)說Zero Trust是Trust but verify!我覺得這真的是直指核心,是Zero Trust的最佳註解!因此,不要再說零信任是永不信任了!換一種說法,把Zero Trust的觀念改成【信任從零開始】,所以要【驗證、驗證、再驗證!】,也就是不斷的內驗、外確 (Verify and Validate, 簡稱V&V)!

最後,資安作到最後只剩下信心(confidence)與信任(trust),而我們大多數人都需要獲得資訊安全的保證(assurance)!針對人員、流程、產品與服務,以及組織不斷的V&V,才能建立信心與累積信任!擁有自信、口碑及公正的背書,才能消除疑慮、提升信心,達到保證的效果!

常聽到大家提到零信任時, 總是跟【永不信任】畫上等號而深感憂心!當大家如火如荼的在推動所課的【零信任】時,卻無法把自己口中的零信任解釋, 甚至定義清楚,怎麼可能作好溝通及推動零信任呢!?

除了在WUSON的CISSP課程談這個問題, 今天我也把自己的看法寫成這篇文章. 如果大家也認同的話, 歡迎大家自由分享喔!

資料來源:https://wentzwu.medium.com/%E4%B8%8D%E8%A6%81%E5%86%8D%E8%AA%AA%E9%9B%B6%E4%BF%A1%E4%BB%BB%E6%98%AF%E6%B0%B8%E4%B8%8D%E4%BF%A1%E4%BB%BB%E4%BA%86-b1113503c777

PS:經作者同意轉載