作者: stevencho
從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品等專業證照。此外,平常除了喜歡透過ITHelp平台及個人部落格分享文章,亦常擔任社群活動主辦者及志工,連結資安同好聯誼及共好學習,並協助對於CISSP有興趣的同學與同好準備認證考試。
WUSON是一個CISSP課程的品牌,也是一個註冊商標,但很少人知道WUSON。即使聽過WUSON,對它的印象也多半僅止於Google搜尋常出現、是一個教CISSP的補習班,或者是一個摘金率很高的補習班。但其實WUSON不是補習班,而是一個私塾班。我們自詡不只是在教考試,而是志在發展與建立一套能讓國際採用的資安觀念架構(WISE Model)、分享學習方法與知識、傳播良善的價值觀、建立專家網絡與互助共好的平台,並為發展台灣所需的資安種子人員/安全冠軍(Security Champions)而努力!期待能為我們的產業、社會、國家,乃至國際社會作出貢獻!
CISSP也不只是一個考試,而是一個資安的專家資格及榮譽的象徵!ISC2是目前維持證照制度最用心的單位,是一隻真的會咬人的老虎!過去中國、韓國及台灣等亞洲地區的考生,普遍都有收集考古題或洩題的陋習,這完全違背美國(其實是普世)對於誠實正直(integrity)及榮譽(honor)的價值觀!昨天ISC2暫時取消簡體中文的考試,如果不是系統失誤,就是簡體中文的考區出現了異常,因此採取了斷然的措施。這就是ISC2的鐵腕風格,這樣的斷然措施不是第一次,我相信也不會是最後一次。
WUSON的CISSP課程每班【最多】只有九位同學!為了達到最佳的學習效果,建議即將開課的同學:
課前預習:第一天上課前先把資安定義背起來(最好是整個資安起手式都記起來)。 每次上課前都先把WUSON的講義先翻閱過(看看有那些主題、圖片或不懂的英文單字即可。
課中學習:把重點放在課程的"觀念架構"及聽懂上課的主要觀念及掌握讀書方法即可,不用急著抄筆記。
課後複習:準時完成課後評鑑及適度的複習。
跟上腳步:開課後週一至週五每天晚上會進行daily scrum及sprint review,請大家保持【持續而穩定】的學習節奏。
互助共好:與同學及教練盡可能保持良好互動,讓在WUSON學習資安及準備考試的過程,也能成為一個創造機會與延續友誼的善緣!
光榮考試:資安即國安!資安人員在未來是連結國家安全的重要力量之一,誠實正直(integrity)格外重要! 因此,請大家務必要遵循ISC2的道德守則,尤其是與考生最相關的考試規定,千萬不要收集考古題、討論上場考試所遇到的真實題目。
台灣需要1500位CISSP!想要改變環境,需要從我們自己作起!
讓我們一起從WUSON啟程!一起努力!一起成功喔!
資料來源:https://wentzwu.medium.com/wuson%E7%9A%84cissp%E8%AA%B2%E7%A8%8B%E8%88%87%E5%83%B9%E5%80%BC%E8%A7%80-f5904fb7ce0a
PS:經作者同意轉載
保證(assurance): 消除疑慮、提升信心的過程. 常用的方法有: 自我宣告、見證、能力驗證或產品檢驗。
安全職能:組織處理安全事務的能力,通常與資安部門與人員在組織內的定位、角色與職責有關。因此會討論到資安專職及專責單位及人員的問題, 以及資安主管的位階問題.
PS:非商業使用 僅推廣CSM
我將網路安全概念以及以下定義組織到思維導圖中:
“資訊安全是一門通過安全控制保護資產免受威脅的學科,以實現機密性、完整性和可用性 (CIA)、支持業務、創造價值並實現組織使命和願景。”
定義和思維導圖統稱為WISE模型。希望它對您的 CISSP 之旅有所幫助!
附言。我交替使用“資訊安全”和“網絡錄安全”,儘管總統網路安全政策、CISM 和許多其他來源可能會以不同的方式對待它們。我所說的“資訊安全”是廣義的資產安全。
資料來源:https://wentzwu.com/2023/08/14/wise-model-mind-map-v2-7-2/
PS:經過作者同意轉意此文章
安全功能不是業務功能的孤島。正如CISSP 考試大綱所述,如上所示,資訊安全策略應與其他業務職能部門協作,並與業務和組織的使命、目標和戰略保持一致。
資訊安全計劃策略指導資訊安全策略的實施或執行。制定標準、程序和指南是為了支持政策。基線是遵守標準的手段。
資料來源: Wentz Wu QOTD-20220101
My Blog: https://choson.lifenet.com.tw/
PS:此文章經作者同意翻譯轉載
這個問題旨在指出滲透測試方法有多種,並且滲透測試人員使用的術語或行話可能不一致。然而,以下條款通常被接受:
. 指紋識別是一種識別主機或服務的技術。例如,生存時間 (TTL)、標頭或橫幅等信息可以確定操作系統、服務或守護程序名稱和版本以及其他信息。
. 端口掃描是一種確定哪些 TCP 或 UDP 端口打開或關閉的技術。
列舉
滲透測試人員通常在收集信息/情報、掃描 IP、確定設備和操作系統的類型、掃描端口並發現可用服務後,列舉主機上的服務提供的資源。
根據InfoSec Institute 的說法,枚舉用於收集以下內容:
. 用戶名、組名
. 主機名
. 網絡共享和服務
. IP表和路由表
. 服務設置和審核配置
. 應用程序和橫幅
. SNMP 和 DNS 詳細信息
偵察
然而,偵察(Reconnaissance),簡稱Recon,是一個常用但沒有一致定義的術語。大多數滲透測試人員可能會同意這種情況發生在滲透測試的早期階段。有些人可能將其等同於 OSINT,有些人可能將其視為一個階段,而不是一種技術,而另一些人可能將其視為方法的組合。
. 偵察情報。這是一種從開源收集信息或情報的更為被動的方法,稱為 OSINT(開源情報)。
. 偵察目標信息。有些人可能會採取更積極的方法通過與評估目標互動來收集信息來進行偵察。鑑於此,可以使用指紋識別技術。
參考
. 滲透測試階段的完整指南
. 什麼是枚舉?[2021 年更新]
. 第 2 階段 – 列舉:查找攻擊向量
. 安全測試——列舉
. 網路安全指紋技術和操作系統網路指紋工具
資料來源: Wentz Wu QOTD-20210201
My Blog: https://choson.lifenet.com.tw/
PS:此文章經過作者同意而翻譯
【安全】的概念要從【保護】的角度談起。因此,談安全的概念必須思考四個議題:
為什麼要保護?因為有風險。
人類有慾望、願景、目標,但卻有影響目標達成的不確定因素(風險)存在。
保護什麼東西?資產 。
資產是有價值且值得保護的東西。要實現目標必須投入資源,這些資源都是我們覺得重要、有意義或有用的東西(即有價值東西,也就是資產)。
如何保護?安全控制措施(security controls)。
從風險管理的角度,當們作了風險評鑑(識別、分析、評估)後,下個步驟就是進行風險處置。在資安,安全控制措施則是風險處置的具體手段。
保護到什麼程度或達成什麼目標?資安有三階目標。
除了最基礎的CIA,還要能支持組織業務、創造價值,實現組織的使命與願景。
因此,【資訊安全】從字面意義來看,就是指【保護資訊】。同理,【國家安全】就是在談【保護國家】。但保護資訊若只談保護【資訊】本身將不夠全面,必須將處理資料/資訊的相關元素考慮進來,也就是從【資訊系統】的角度來思考資訊安全的議題;這也就是為什麼CISSP的全名是Certified 【Information Systems】 Security Professional. 然而,當代的安全議題,除了從資訊升級到資訊系統,更納入了OT, IoT, Infrastructure等資產,進而升級到【資產】安全;這也是為什麼CISSP的Domain 2的標題叫作Asset Security的原因。
也就是說,我們中文的【資安】一詞,全稱是【資訊安全】,若只從字面意義來看,其範圍就只有保護資訊本身;其它如網路安全、電腦安全…. 大概都可以用【保護】的概念去思考。若從CISSP的全名去看【資訊安全】,也就是從資訊系統(孔雀八根毛)的角度去看,它的範圍會更全面。但若我們從CISSP的Domain 2或實務的觀點去看資安,它探討的則是資產安全的議題。
結論:我們中文的【資訊安全】或【資安】一詞,其實是一個簡約的說法,它並不是真的只討論如何保護資料,而是將【範圍】擴大到資產,以及將【目標與定位】升級到業務及組織的層級,也就是由傳統的CIA目標,升級到三階目標:亦即支持組織業務、創造價值,實現組織的使命與願景。
資料來源:https://medium.com/the-effective-cissp/%E9%87%8D%E6%96%B0%E8%AA%8D%E8%AD%98%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8-33bdc11fcf6b
PS:經作者同意轉載此文章