Choson資安大小事從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品等專業證照。此外,平常除了喜歡透過ITHelp平台及個人部落格分享文章,亦常擔任社群活動主辦者及志工,連結資安同好聯誼及共好學習,並協助對於CISSP有興趣的同學與同好準備認證考試。
-ISO 31000
本問題旨在推廣 ISO 31000 風險評估的概念。年化預期損失 (ALE) 是一種定量風險分析技術,用於確定風險暴露作為風險評估過程的輸入。
風險優先排序是風險評估的核心任務之一。在此之前,應用風險接受標準來確定要處理哪些風險。一旦確定了要處理的風險,就會應用風險評估標準來確定這些風險的優先級。因此,風險評估是比定量風險分析和風險優先級更好的選擇,因為它更全面。
-風險評估
資料來源: Wentz Wu QOTD-20210710
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-ISO 31000
“風險評估/分析”是什麼意思?
請注意,在 CISSP 考試大綱、OSG 和 NIST 中,風險評估和風險分析被視為同義詞,通常表示為“風險評估/分析”。
識別、分析和評估H風險意味著使用 ISO 標准進行風險管理,例如 ISO 31000 或 ISO 27005,並且您正在進行風險評估。風險熱圖是表達風險評估結果的常用工具。
. 在估計影響時,可以在風險分析過程中使用資產估值,例如,單一損失預期(SLE)=資產價值(AV)x風險因子(EF)。
. 成本和收益分析通常在風險處理(而不是風險評估)過程中進行,以證明風險處理選項(ISO 術語)或風險應對策略(PMI 術語)的合理性。
. 風險暴露的確定是風險分析的結論。風險敞口是可能性、影響和其他因素的函數。
風險熱度地圖(Risk Heat Map)
-來源:巴比克斯
風險熱度地圖(或風險熱圖)是網路風險數據的圖形表示,其中包含在矩陣中的各個值表示為表示含義的顏色。風險熱圖用於以易於理解、視覺吸引力和簡潔的格式呈現網路風險評估結果。
來源:巴比克斯
參考
. 風險熱度地圖——強大的可視化工具
資料來源:https://wentzwu.com/2021/07/09/cissp-practice-questions-20210709/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-ISO 31000
在 ISO 31000 中,風險評鑑包括三個步驟:風險識別、風險分析和風險評鑑;威脅是一種帶來負面影響的風險。在 NIST 的世界中,風險評鑑和風險分析是同義詞。但是,它們具有相同的性質,即風險處理和響應遵循風險評鑑。安全控制是特定的風險處理或緩解風險的響應。
脆弱性是威脅的一個因素。NIST 的通用風險模型具體定義了威脅因素:
-NIST 通用風險模型 (NIST SP 800-30 R1)
安全評鑑(Security Assessment)
安全評鑑可以指安全控制評鑑(SCA)或資訊安全評鑑(ISA)。然而,它們有細微的差別。SCA 是 ISA 的一個子集。本題中的安全評鑑是指安全控制評鑑。
. 安全控制評鑑(SCA)的意思是“測試或評鑑的安全控制,以確定該控制是否正確執行,按預期方式操作的程度,並產生相對於所期望的結果滿足用於資訊系統或組織的安全性要求。” (NIST SP 800-53 R4)
. 一種資訊安全評鑑(ISA)是“確定實體被如何有效評鑑的過程中(例如,主機,系統,網絡,程序,人知的作為評鑑對象)滿足特定安全目標。” (NIST SP 800-115)
參考
. 安全評鑑
資料來源: Wentz Wu QOTD-20210708
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
縱深防禦是一種“整合人員、技術和運營能力的資訊安全戰略,以在組織的多個層次和維度之間建立可變的屏障”。(NIST 術語表)
. 人:提升安全意識
. 運營:幫助人力資源人員審查招聘流程
. 技術:實施入侵檢測系統以回應安全事件和基於生物識別的存取控制
基於風險的存取控制(Risk-based Access Control)
存取控制是指“授予或拒絕特定請求的過程:
1)獲取和使用資訊及相關資訊處理服務;和
2) 進入特定的物理設施(例如,聯邦建築物、軍事機構、邊境口岸)。(NIST 術語表)
有兩類存取控制方法:傳統的和動態的。傳統的存取控制方法利用嚴格且預先確定的策略來確定存取決策。或者,動態存取控制方法不僅採用靜態策略,還採用動態和實時特性來做出存取決策。這些動態特徵可能涉及上下文、信任、歷史事件、位置、時間和安全風險。基於風險的存取控制模型是利用與每個存取請求相關的安全風險值作為判斷存取決策的標準的動態方法之一。
資料來源:MDPI
完全調解(Complete Mediation)
“完全調解的原則要求檢查對對象的所有存取,以確保它們被允許。” (CISA)
參考
. 縱深防禦
. 基於風險的存取控制模型:系統文獻綜述
. 完全調解
資料來源: Wentz Wu QOTD-20210707
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
專有資料和個人資料(或 PII)是資料治理的重要主題。由於個人資料通常對隱私敏感,因此在網絡安全上下文中將信息/資料安全和隱私分開處理。例如,NIST SP 800-53 R5 提供了安全控制和隱私控制;ISO 27001 (ISMS) 處理信息安全,而 ISO 27701 處理隱私信息。
專有資料角色
. 資料所有者(Data Owner):分類、授權和問責
. 資料管家(Data Steward):資料質量
. 資料保管人(Data Custodian):實施和日常工作
資料所有者對其“擁有”的資料負責,因此管理團隊的成員通常承擔此角色。但是,他可以將職責委派給任何人(例如,資料管家或資料保管人),但仍需對結果負責。
在 NIST 指南中,資料管理員通常等同於資料所有者(或由資料所有者委託),因為資料所有者並不真正擁有“個人資料”的所有權。他們似乎通過不使用有爭議的術語來迴避個人資料所有權的爭論。
在私營部門,資料角色可以更明確地實施。組織可以在資料治理計劃中添加更多角色以滿足他們的要求。資料角色不限於上述三種。此外,組織可以使用他們喜歡的任何角色名稱。
個人資料角色
. 資料主體(Data Subject)/主體(Principal)
. 資料控制器(Data Controller)
. 資料處理器(Data Processor)
在我看來,個人資料的所有權應該屬於資料主體。組織並不“擁有”它們,而只是控制和處理它們。資料控制者決定處理的目的和方式;資料處理者代表資料控制者並根據資料控制者確定的目的和方式處理個人資料。
參考
. 隱私
資料來源: Wentz Wu QOTD-20210706
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-使用私鑰和公鑰對強大的程序集進行簽名和驗證
(來源:https://flylib.com/books/en/4.253.1.138/1/)
數位簽章可確保不可否認性,其中還包括資料完整性和真實性。從技術上講,數位簽章只不過是由主體的私鑰簽名的對象的哈希值。
哈希(值)、摘要和指紋是同義詞。消化代碼實際上是對代碼進行散列,不需要公鑰。
使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數位簽章的改寫。
只有代碼的指紋需要通過您的私鑰進行加密。簽名時不需要加密代碼。
參考
. 審查的前 5 名最受歡迎的 SSL 證書頒發機構
. 什麼是代碼簽名?
. FIPS PUB 186-4
. ClickOnce 和 Authenticode
. ClickOnce 應用程序的代碼訪問安全
. 配置 ClickOnce 可信發布者
資料來源: Wentz Wu QOTD-20210705
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-NIST SDLC 和 RMF
對系統進行分類意味著識別其處理的資料類型,以通過資料類型在機密性、完整性和可用性方面的影響級別的高水印來確定其影響級別。
安全控制框架,例如 NIST SP 800-53 R5,通常提供安全控制集作為基線。組織可以使用安全控制基線作為初始範圍,並根據風險評估產生的安全需求和要求對其進行調整。
資訊系統所有者應準備一個授權包,其中包含安全和隱私計劃、安全和隱私評估報告以及行動計劃和里程碑(用於糾正措施和改進),並將其提交給適當的授權操作授權 (ATO) .
參考
. NIST 風險管理框架
資料來源: Wentz Wu QOTD-20210704
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-NIST SDLC 和 RMF
資訊系統所有者應準備授權包並將其提交給適當的 授權操作(ATO)機構。授權包通常包含:
參考
. NIST SP 800-37,修訂版 2
. NIST SP 800-18 修訂版 1
資料來源: Wentz Wu QOTD-20210702
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
如今,“秘密”(secret)是認證的基礎。我們通常使用密碼(您知道的東西)、令牌中的加密密鑰(您擁有的東西)或帶有 PIN 的 1 對 1 生物特徵識別(您是的東西)進行身份驗證。
. 拆分知識、基於仲裁的身份驗證和 M of N 控制是控制對機密的訪問的常用方法。
. 職責分離 (SOD) 是一種在設計職位時控制流程或工作流程的措施。
參考
. 硬體安全模組
. 什麼是 N 中的 M?
. N 中的 M,關於
. 分裂知識
. 可信路徑
. 職責分離 (SOD)
資料來源: Wentz Wu QOTD-20210701
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
MTTF(Mean Time To Failure):平均故障壽命(一次性):出廠到失效之間平均時間
MTBF(Mean Time Between Failures):平均故障間隔(多久壞一次)
MTTR(Mean Time To Repair):平均修復時間:產品由故障轉為工作狀態時,修理時間的平均值。
平均無故障時間 (MTTF) 和平均無故障時間 (MTBF) 交替使用的情況並不少見。但是,MTTF 適用於不可修復的項目,而 MTBF 適用於可修復的項目。
老化的 UPS 電池通常是更換而不是維修。因此,在這種情況下,MTTF 優於 MTBF。
平均無故障時間 (MTTF) 是一種維護指標,用於衡量不可修復資產在發生故障之前運行的平均時間。由於 MTTF 僅與無法或不應修復的資產和設備相關,因此 MTTF 也可被視為資產的平均壽命。
平均無故障時間聽起來很像平均無故障時間 (MTBF),但它們並不相同。
主要區別在於計算中使用的資產類型。MTTF 使用不可修復的資產,而 MTBF 處理可修復的資產——當它們發生故障時,它們可以輕鬆修復而無需花費太多。
來源:修復軟件
資料來源:https://wentzwu.com/2019/12/25/cissp-practice-questions-20191226/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文