分類
CISSP

全磁碟加密(Full Disk Encryption)

https://ithelp.ithome.com.tw/upload/images/20210519/20132160l8dBhua0Gk.jpg
全磁碟加密(FDE)可以是保護靜態數據的軟件或硬件解決方案。基於硬件的全磁碟加密通常稱為自加密驅動器(SED),通常符合OPAL(例如Windows的加密硬盤驅動器)和由Trusted Computing Group(TCG)開發的企業標準。“內置在驅動器中或驅動器機箱中的基於硬件的加密對用戶來說是透明的。除啟動身份驗證外,該驅動器的運行方式與任何驅動器相同,並且不會降低性能。與磁碟加密軟件不同,它沒有復雜性或性能開銷,因為所有加密對於操作系統和主機計算機處理器都是不可見的。” (維基百科

身份驗證和機密性(Authentication and Confidentiality)
SED通過鎖定驅動器和加密數據來增強安全性。開機時需要使用身份驗證密鑰(AK)來解鎖驅動器(解密DEK),然後數據加密密鑰(DEK)解密數據。SED不會將DEK存儲在可信平台模塊(TPM)中,該平台通常以母板或芯片集組件的形式實現。

數據加密密鑰(Data Encryption Key:DEK)
. 用於加密和解密數據。
. 由驅動器生成,並且永不離開驅動器(未存儲在TPM上)。
. 如果更改或擦除,則無法解密以前的現有數據。

可信平台模塊(Trusted Platform Module)
以下是維基百科的摘錄:
可信平台模塊(TPM,也稱為ISO / IEC 11889)是安全密碼處理器的國際標準,安全密碼處理器是一種專用微控制器,旨在通過集成的密碼密鑰來保護硬件。
TPM 2.0實現有五種不同類型:
. 離散TPM是專用芯片,它們在自己的防篡改半導體封裝中實現TPM功能。從理論上講,它們是TPM的最安全的類型,因為與在軟件中實現的例程相比,在硬件中實現的例程應該對錯誤(需要澄清)有更強的抵抗力,並且它們的軟件包必須具有一定的抗篡改性。
. 集成的TPM是另一個芯片的一部分。當他們使用抵抗軟件錯誤的硬件時,不需要實現防篡改功能。英特爾已在其某些芯片組中集成了TPM。
. 固件TPM是基於固件(例如UEFI)的解決方案,可在CPU的受信任執行環境中運行。英特爾,AMD和高通已實施固件TPM。
. 虛擬機管理程序TPM是由虛擬機管理程序提供並依賴於虛擬機TPM,它們處於隔離的執行環境中,該環境對於虛擬機內部運行的軟件是隱藏的,以從虛擬機中的軟件中保護其代碼。它們可以提供與固件TPM相當的安全級別。
. 軟件TPM是TPM的軟件仿真器,其運行方式與操作系統中常規程序獲得的保護一樣多。它們完全取決於運行的環境,因此它們提供的安全性沒有普通執行環境所能提供的安全高,並且容易受到滲透到普通執行環境中的自身軟件漏洞和攻擊的影響。 ]它們對於開發目的很有用。

參考
基於硬件的全磁碟加密
蛋白石存儲規範
SSD的數據安全性功能
TCG設置驅動器加密標準
您的自加密驅動器(SED)多合一指南
TCG存儲安全子系統類:蛋白石
符合TCG / Opal 2.0標準的自加密驅動器(SED)
FDE的基本原理:比較頂級的全磁碟加密產品
加密硬盤驅動器(符合TCG OPAL和IEEE 1667的自加密硬盤驅動器)
自加密驅動器
SSD加密漏洞和TPM
與TPM集成的Opal SSD
可信平台模塊–調查
實現信任的硬件根源:可信平台模塊已成時代
TPM 2.0快速教程
企業自加密驅動器
企業SED演示

資料來源: Wentz Wu QOTD-20210316

分類
CISSP

擴展認證協議(EAP)最不可能用於建立點對點連接

密碼驗證協議(PAP)發送未加密的密碼。它比EAP-MD5和CHAP(都使用MD5)弱。因此,在三種身份驗證協議中最不可能使用PAP。
可擴展身份驗證協議(EAP)是在其上開發基於EAP的身份驗證協議的身份驗證框架。
可擴展身份驗證協議(EAP)是網絡和Internet連接中經常使用的身份驗證框架。它在RFC 3748中定義,使RFC 2284過時,並由RFC 5247更新。EAP是用於提供對EAP方法生成的材料和參數的傳輸和使用的身份驗證框架。RFC定義了許多方法,並且存在許多特定於供應商的方法和新建議。EAP不是有線協議;相反,它僅定義來自界面和格式的信息。每個使用EAP的協議都定義了一種將用戶EAP消息封裝在該協議的消息中的方法。
EAP被廣泛使用。例如,在IEEE 802.11(WiFi)中,WPA和WPA2標準已採用IEEE 802.1X(具有各種EAP類型)作為規範認證機制。
資料來源:維基百科

參考
可擴展認證協議

資料來源: Wentz Wu QOTD-20210315

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

NIST SDLC和RMF(續)-PartII

https://ithelp.ithome.com.tw/upload/images/20210514/20132160PG2JYxUyDw.jpg
-NIST SDLC和RMF

在啟動項目後進行系統分類;這意味著已經開發了一個業務案例,並且已選擇,接受,批准了替代方案並變成了項目。
安全控制的實施取決於安全措施或安全控制的確定。安全控制框架(SCM),例如NIST SP 800-53,提供了安全控制的初始範圍,然後可以對其進行定製或修改。範圍界定和剪裁是NIST RMF中“選擇控件”步驟的核心概念,其次是“實施控件”步驟。

應用緊急補丁修復高優先級漏洞意味著該系統有權運行。但是,系統分類是在系統開發生命週期(SDLC)的初始階段進行的。
範圍界定是指檢查基準安全控制並僅選擇適用於您要保護的IT系統的那些控制。例如,如果系統不允許任何兩個人同時登錄,則無需應用並發會話控件。
斯圖爾特(James M.)。CISSP(ISC)2認證的信息系統安全專業人士正式學習指南。威利。

資料來源: Wentz Wu QOTD-20210308

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

資訊安全戰略(information security strategy)

https://ithelp.ithome.com.tw/upload/images/20210510/20132160hZWrI0FmZ9.jpg
-業務連續性政策
高級管理人員通過制定戰略計劃或戰略來實現組織的使命和願景,並通過政策指導戰略的實施。戰略通常包括項目組合,計劃和項目的集合。有許多類型的策略,例如,程序策略,特定於問題的策略,特定於系統的策略等。程序策略指導程序的執行。
我的書《有效的CISSP:安全和風險管理》詳細介紹了戰略管理。
政策
. 政策是指“組織的最高管理層正式表達的意圖和方向”。(ISO 21401:2018)
. 策略是反映特定管理目的的“與特定目的相關的一組規則”(ISO 19101-2:2018)。
. 政策是“在一定範圍內對人們活動的目標,規則,做法或法規的聲明。” (NISTIR 4734)

資料來源: Wentz Wu QOTD-20210310

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

滲透測試方法(Pen Testing Methodologies)

https://ithelp.ithome.com.tw/upload/images/20210510/20132160i4xgdSSTiL.jpg
-滲透測試方法
滲透測試的目的是識別,分析,評估和利用漏洞,以深入了解漏洞並開發解決方案以降低風險。目標的失敗可能會導致業務損失或破壞產品或服務的交付。儘管在進行滲透測試時,詳細的開發文檔和評估開發目標的客觀性很重要,但從客戶的角度出發,業務始終是優先事項。滲透團隊應始終牢記這一點。
免入獄卡對滲透團隊至關重要,但是這個問題要問客戶的觀點或為客戶的緣故。因此,免押金卡對客戶而言並不那麼重要。

參考
走出免費監獄卡
滲透測試中的法律問題
滲透測試與法律
依法進行滲透測試
愛荷華州支付了一家安全公司闖入法院,然後在成功的情況下逮捕了他們的員工
彭特公司首席執行官被捕:“英雄不是罪犯”
關於滲透測試者的新文件因闖入法院而入獄
黑帽:當滲透測試為您贏得重罪逮捕記錄時
對在筆測試期間闖入法院的Coalfire安全團隊的指控被撤銷

資料來源: Wentz Wu QOTD-20210309

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

會計,審計和問責制(Accounting, Auditing, and Accountability)& 用戶和實體行為分析(UEBA)

日誌是會計的工作成果。可以通過查看或檢查(審核)一組相關日誌(審核記錄)以唯一地將活動跟踪到實體來實現問責制。

會計,審計和問責制(又一個AAA
. 問責制 是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (NIST SP 800-33)
. 審計 是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (NIST SP 800-12 Rev.1)
. 審核跟踪 是“按時間順序的記錄,用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作,程序或事件的活動順序。” (NIST SP 800-53修訂版4)

安全信息和事件管理(SIEM)
安全信息和事件管理(SIEM)是指支持審核和跟踪責任制的收集,分析,關聯和相關活動。SIEM服務器是支持安全信息和事件管理的服務器。

用戶和實體行為分析(UEBA)
Gartner定義的用戶行為分析(UBA)是一個有關檢測內部威脅,針對性攻擊和財務欺詐的網絡安全流程。UBA解決方案著眼於人類行為模式,然後應用算法和統計分析從這些模式中檢測出有意義的異常,即表明潛在威脅的異常。
UBA技術的發展促使Gartner將類別擴展到用戶和實體行為分析(“ UEBA”)。2015年9月,Gartner發布了由副總裁兼傑出分析師Avivah Litan撰寫的《用戶和實體分析市場指南》,其中提供了詳盡的定義和解釋。在早期的Gartner報告中提到了UEBA,但沒有深入探討。從UBA擴展定義包括設備,應用程序,服務器,數據或任何具有IP地址的內容。它超越了以欺詐為導向的UBA的重點,而涵蓋了更廣泛的範圍,其中包括“惡意和濫用行為,否則現有的安全監視系統(如SIEM和DLP)不會注意到。” 增加的“實體”反映出設備可能在網絡攻擊中起作用,並且在發現攻擊活動中也可能很有價值。“當最終用戶受到威脅時,惡意軟件可能會處於休眠狀態,並且幾個月都不會被發現。
資料來源:維基百科

參考
用戶行為分析
安全信息和事件管理

資料來源: Wentz Wu QOTD-20210308

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

安全框架和成熟度模型(Security Frameworks and Maturity Models)

構架(Frameworks)
https://ithelp.ithome.com.tw/upload/images/20210504/20132160mYV1DMpjbQ.jpg
-NIST網絡安全框架(NIST Cybersecurity Framework)

NIST網絡安全框架(CSF
. 認識到美國的國家和經濟安全取決於關鍵基礎設施的可靠功能,總統於2013年2月發布了第13636號行政命
令,“改善關鍵基礎設施網絡安全”。
. 該命令指示NIST與利益相關者合作,根據現有標準,指南和做法,開發一個自願框架,以減少關鍵基礎設施
的網絡風險。2014年的《網絡安全增強法》加強了NIST的EO 13636角色。
. OWASP網絡防禦矩陣
. 網絡防禦矩陣通過邏輯結構幫助我們了解我們需要組織的內容,因此,當我們進入安全供應商市場時,我們可
以快速識別出哪些產品可以解決哪些問題,並可以了解給定產品的核心功能是什麼。
. 儘管最初創建了網絡防禦矩陣來幫助組織安全技術,但仍發現了許多其他用例來幫助構建,管理和運行安全程
序。
. 網絡防禦矩陣的基本構建始於兩個維度。
. 第一維度捕獲的5操作功能的的NIST網絡安全框架:鑑別,保護,檢測,響應,和恢復。
. 第二個維度捕獲了我們嘗試確保的五個資產類別:設備,應用程序,網絡,數據和用戶。
https://ithelp.ithome.com.tw/upload/images/20210504/20132160cfZSXAOiIu.png
-網絡防禦矩陣(來源:OWASP

成熟度模型(Maturity Models)
ISACA能力成熟度模型集成(CMMI)
. 它是由ISACA的子公司CMMI Institute管理的,由卡內基梅隆大學(CMU)開發。
. 許多美國政府合同都要求這樣做,尤其是在軟件開發中。
. 2016年3月,CMMI研究所被ISACA收購。
網絡安全成熟度模型認證(CMMC)
. 國防部負責收購和維持事務的副秘書長辦公室(OUSD(A&S))認識到,安全是收購的基礎,不應與安全,
日程和績效一起進行交易。
. 美國國防部致力於與國防工業基地(DIB)部門合作,以加強對供應鏈中受控非機密信息(CUI)的保護。
ISO / IEC 21827,系統安全工程—能力成熟度模型(SSE-CMM)
. ISO / IEC 21827:2008描述了組織的安全工程過程的基本特徵,這些特徵必須存在以確保良好的安全工
程。
. ISO / IEC 21827:2008沒有規定特定的過程或順序,而是記錄了行業中普遍觀察到的實踐。
OWASP軟件保障成熟度模型(SAMM)
. 我們的使命是為您提供一種有效且可衡量的方法,以分析和改善安全的開發生命週期。
. SAMM支持完整的軟件生命週期,並且與技術和過程無關。我們建立了SAMM,使其本質上具有發展性和風險驅
動性,因為沒有一種適用於所有組織的方法。
. 軟件保障成熟度模型(SAMM)是一個開放框架,可幫助組織製定和實施針對組織所面臨的特定風險量身定制
的軟件安全策略。
RIMS風險成熟度模型
. RIMS風險成熟度模型(RMM)既是企業風險管理的最佳實踐框架,又是針對風險專業人員的免費在線評估工
具。
. RMM允許您評估ERM計劃的實力,並根據結果制定改進計劃。

https://ithelp.ithome.com.tw/upload/images/20210504/20132160qNuCgGjTQq.jpg
-CMMI星座(來源:https : //www.plays-in-business.com
https://ithelp.ithome.com.tw/upload/images/20210504/20132160FnU5OHbniD.png
-SAMM概述(來源:https : //owaspsamm.org
https://ithelp.ithome.com.tw/upload/images/20210504/20132160Fs8jyMEdZN.png

-CMMC級別,流程和實踐(來源:AWS

參考
了解網絡安全成熟度模型認證(CMMC)
如何規劃網絡安全成熟度模型認證(CMMC)
CMMC模型v1.0

資料來源: Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

危害指標(Indicator of compromise)

在計算機取證中搜索妥協(IoC)的指示器,是網路或操作系統中觀察到的神器,它具有很高的可信度,表示電腦入侵。

典型 IOC 的指示類型是病毒簽名和 IP 位址、惡意軟體檔的 MD5 哈希,或殭屍網路命令和控制伺服器的網址或功能變數名稱。通過事件回應和計算機取證過程識別 IoC 後,它們可用於使用入侵檢測系統和防病毒軟體對未來的攻擊嘗試進行早期檢測。

資料來源:https://en.wikipedia.org/wiki/Indicator_of_compromise

妥協指標 (IOC) 是主機系統或網路可能受到入侵的法醫證據。這些人工製品使資訊安全 (InfoSec) 專業人員和系統管理員能夠檢測入侵企圖或其他惡意活動。安全研究人員使用IOC來更好地分析特定惡意軟體的技術和行為。IOC 還提供可在社區內共用的可操作的威脅情報,以進一步改進組織的事件回應和補救策略。

其中一些文物在系統中的事件日誌和時間戳條目以及其應用程式和服務上找到。InfoSec 專業人員和 IT/系統管理員還使用各種工具監控 IOC,以幫助減輕(如果不是防止)違規或攻擊。

以下是一些危害資訊安全專業人員和系統管理員注意的指標:

1.異常流量進出網路
2.系統中的未知檔、應用程式和流程
3.管理員或特權帳戶中的可疑活動
4.非正常活動,如在組織不與之開展業務的國家/地區的流量
5.可疑的登錄、訪問和其他網路活動,表明探測或暴力攻擊
6.公司文件中請求和讀取量異常激增
7.在異常常用埠中穿越的網路流量
8.篡改檔、功能變數名稱伺服器 (DNS) 和註冊表配置以及系統設置(包括行動裝置中的更改)的變化
9.大量的壓縮檔和數據無法解釋地發現在它們不應該的位置

資料來源:https://www.trendmicro.com/vinfo/us/security/definition/indicators-of-compromise

這個問題是根據痛苦金字塔設計的。它不是一個行業標準,但它提供了一個很好的基礎,以評估在威脅源中提供的妥協指標 (IOC)。

並非所有妥協指標(IOC)都是平等的。如果您被告知,受破壞的系統檔將產生特定的哈希值,它可能會產生較少的價值,因為它太瑣碎。相反,如果您被告知來自 someone.hackers.com(10.10.10.1)的攻擊可能包含系統檔,如果成功,可能會產生特定的哈希值。
https://ithelp.ithome.com.tw/upload/images/20210503/20132160Yl5dqmVN5X.png

參考
痛苦金字塔
仲裁協議指標的定義
威脅源還是威脅情報?(實際上,您同時需要兩者)
免費和開源威脅情報源
SANA威脅源
威脅情報源:領先於攻擊者
威脅情報源:為什麼上下文是關鍵
妥協指標
SolarWinds IoC連接到網絡資產:我們發現的結果
LogRhythm-Labs / sunburst_iocs

資料來源: Wentz Wu QOTD-20200924

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

數據操作語言(Data manipulation language)

這個問題描述了常見的SQL注入場景,該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數據操作語言(DML)的關鍵字,是身份驗證過程中最常用的一種。
反射跨站點腳本(XSS)是XSS攻擊的一種類型,但它不會從網絡服務器下載惡意代碼/ javascript,而是提交HTTP請求,其中URL包含惡意代碼,然後該惡意代碼又被擺回到瀏覽器中。XSS通常使用惡意JavaScript,而不是SQL語句。

身份方程式作為SQL表達式
https://ithelp.ithome.com.tw/upload/images/20210430/20132160lE1NSEN4MA.png
-攻擊者將身份方程式輸入為SQL表達式(來源:Guru99

後端程序開發欠佳
https://ithelp.ithome.com.tw/upload/images/20210430/20132160KngwVSALNT.png
-後端程序開發不完善(來源:Guru99

SQL命令的類型
https://ithelp.ithome.com.tw/upload/images/20210430/20132160DghZLj4WNe.jpg
-SQL命令的類型(來源:geeksforgeeks

參考
反映的XSS
SQL注入教程:學習示例

資料來源: Wentz Wu QOTD-20210306

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

IPv6

IPv6節點使用本地鏈接地址(前綴為FE80 :: / 10)引導,並使用多播與DHCP服務器聯繫。它們不同於IPv4主機,後者使用默認地址(0.0.0.0)引導並使用廣播(DHCP Discover)與DHCP服務器聯繫。
https://ithelp.ithome.com.tw/upload/images/20210429/20132160luI7k5Hb5F.png
-DHCPv4操作(來源:WizNet

本地鏈接地址是使用前綴FE80 :: / 10和修改後的EUI-64格式自動配置的。
https://ithelp.ithome.com.tw/upload/images/20210429/201321609xi8V8SYH7.png
-48位MAC到64位EUI-64地址(來源:StackExchange

https://ithelp.ithome.com.tw/upload/images/20210429/2013216076gSTOipyt.png
-48位MAC地址的結構(來源:Wikipedia

以下是IBM IPv6 Introduction and Configuration的摘錄:
IPv6地址協議在RFC 4291 – IPv6地址體系結構中指定。IPv6使用128位地址而不是IPv4的32位地址。它定義了三種主要的地址類型:單播地址,多播地址和任意播地址。IPv6中沒有廣播地址。

單播地址(Unicast Address)
單播地址是分配給單個接口的標識符。發送到該地址的數據包
僅傳遞到該接口。特殊用途的單播地址定義如下:
–環回地址(:: 1)
–未指定地址(::)
–鏈接本地地址
–站點本地地址
– IPv4兼容地址(::)
– IPv4映射的地址(: :FFFF 🙂

廣播地址(Multicast Address)
多播地址是分配給多個主機上的一組接口的標識符。
發送到該地址的數據包將傳遞到與該地址對應的所有接口。
IPv6中沒有廣播地址,其功能已被多播地址取代。
指示多播範圍的4位值。可能的值為:
0保留。
1僅限於本地節點(node-local)上的接口。
2僅限於本地鏈接(link-local)上的節點。
5限於本地站點。
8僅限於組織。
E全球範圍。
F保留。

任播地址(Anycast Address)
任播地址是一種特殊類型的單播地址,分配給
多個主機上的接口。發送到該地址的數據包將被發送到具有
該地址的最近接口。路由器根據其距離的定義來確定最近的接口,例如,在RIP情況下是躍點,在OSPF情況下是鏈路狀態。
任播地址使用與單播地址相同的格式,並且與它們沒有區別。
RFC 4291 – IPv6地址體系結構當前對
任播地址規定了以下限制:
-任播地址不得用作數據包的源地址。
-任何任播地址都只能分配給路由器。

參考
RFC 2450:擬議的TLA和NLA分配規則
RFC 2737:IP版本6尋址架構
IBM IPv6簡介和配置
IPv6簡介
鏈接本地地址
了解IPv6鏈接本地地址
了解IPv6 EUI-64位地址
EUI-64
MAC地址
IEEE 802.1中的MAC地址問題

資料來源: Wentz Wu QOTD-20210305

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文