分類
Information Security

Apache Shiro

Apache Shiro(讀作「sheeroh」,即日語「」)是一個開源安全框架,提供身分驗證授權密碼學對談管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。

資料來源:https://zh.wikipedia.org/zh-tw/Apache_Shiro

分類
Information Security

IP 流資訊導出(IP Flow Information Export)

Internet 協議流信息導出(IPFIX) 是IETF協議,也是定義該協議的 IETF工作組的名稱。它是基於對來自路由器、探測器和其他設備的Internet 協議流信息的通用、通用導出標準的需要而創建的,這些設備由中介系統、計費/計費系統和網絡管理系統使用,以促進測量、計費等服務。和計費。IPFIX 標准定義瞭如何格式化 IP 流信息並將其從導出器傳輸到收集器。[1]以前,許多數據網絡運營商都依賴Cisco Systems的專有用於交通流信息導出的 NetFlow技術。

原始 RFC 3917 中概述了 IPFIX 標準要求。Cisco NetFlow版本 9 是 IPFIX 的基礎。IPFIX 的基本規範記錄在 RFC 7011 到 RFC 7015 和 RFC 5103 中。

資料來源:https://en.wikipedia.org/wiki/IP_Flow_Information_Export

分類
Information Security

CISO應優先考量的15大重點策略

資安議題動輒登上新聞版面,CISO因而處境艱難。約 64% 的CISO對未來表示擔憂,公司可能有重大網路安全風險;66% 認為組織未及準備,無法因應危機,上述數據擷取自資安軟體商Proofpoint 2021年《Voice of the CISO Report》的內容。

在 CIO Taiwan 官網閱讀全文 : CISO應優先考量的15大重點策略 https://www.cio.com.tw/ciso-to-prioritize-15-key-strategies/

分類
Information Security

CISO 研討會-Microsoft

資料來源:https://docs.microsoft.com/zh-tw/security/ciso-workshop/ciso-workshop

分類
Information Security

IPMI

智慧型平台管理介面(Intelligent Platform Management Interface)原本是一種Intel架構的企業系統的週邊裝置所採用的一種工業標準。IPMI亦是一個開放的免費標準,使用者無需支付額外的費用即可使用此標準。

IPMI 能夠橫跨不同的作業系統、韌體和硬體平台,可以智慧型的監視、控制和自動回報大量伺服器的運作狀況,以降低伺服器系統成本。

資料來源:https://zh.wikipedia.org/wiki/IPMI

分類
Information Security

什么是SSL卸载?它的工作原理是什么?有什么好处?

在学习SSL卸载之前,我们应该了解一些基本知识。

一.SSL延迟

互联网迅猛发展的背后隐藏着许多安全隐患,对此,各种加密技术应运而生。SSL(Secure Socket Layer安全套接层)协议便是一种广泛应用于保障互联网交易安全的加密通讯协议。在SSL加密通道内对HTTP进行封装,成为HTTPS,大大提高了数据传输过程中的信息安全性。如今,大量的线上交易业务,如电子商务、股票、证券交易等都采用SSL加密技术来保证敏感数据传输的安全性。

然而,随着SSL通信量规模的日益庞大,其弊端也日益显现,其首要便是SSL延迟。在HTTPS中,完成TCP握手协议后还需完成SSL握手,因此,HTTPS比HTTP耗时;同时,握手之后,服务器须使用额外的处理能力来对传输的数据进行加密和解密,于是SSL的联机加密运算不可避免会消耗服务器的处理性能,直观地说,一台服务器启用SSL加密之后,其性能往往只达到原来的20%,其余80%的计算性能都消耗在了SSL的加密运算方面。尽管TLS1.3(SSL协议的标准化版本)的发布使得系统在进行握手时只需进行一次往返,减少了耗时,并在其他方面进一步提高了性能,但在更高流量的情况下,SSL/TLS仍旧可能会增加延迟。

二.SSL卸载

SSL卸载技术解决了上述问题:通过将HTTPS应用访问过程中的SSL加密解密过程转移到特定的集成电路(ASIC)处理器上,在满足高并发访问需求的同时,为程序或网站释放出处理能力,从而减少服务器端的性能压力,最终提升客户端的访问响应速度。

这一过程有时也称为负载均衡。

但由于SSL对应用层数据进行了加密,使得负载均衡器这样的设备无法提取用户会话中的cookies、URL、路径等信息。因此,通过SSL卸载技术,一方面全面卸除了系统负荷,另一方面也将SSL加密后的数据融入处理器。

三.SSL卸载的工作原理

1.SSL终结

使用SSL卸载功能的应用交付设备充当负载均衡器的角色。

将专用的SSL应用交付设备(采用专用的SSL卸载硬件芯片)置于网络服务器的前端,把所有传入的客户端请求引导到服务器,在服务器之间平衡或分配客户端的负载,使客户端只需要和SSL应用交付设备交互即可。这样,任何服务器的承载能力都不会过载;同时,客户端发起的HTTPS连接,经过SSL应用交付设备处理后,变成明文的HTTP数据,即可被WEB服务程序(例如IIS、APACHE)直接读取,无需特殊的驱动程序来传送和接受网络数据,从而提高服务器性能。

这一过程中,当客户端尝试连接到网站时,首先会连接到SSL应用交付设备——该连接是HTTPS;而交付设备和应用服务器之间的连接是HTTP。其中,SSL应用交付设备充当了SSL终结器的角色,因此这一过程又称为SSL终结。

下面是SSL终结的可视化图:

2. SSL桥接

除了通过HTTP发送流量和请求外,SSL桥接在概念上与SSL终结非常相似,它会在将所有内容发送到应用程序服务器之前,进行重新加密。

下面是SSL桥接的可视化图:

四.SSL卸载的好处

1. 提高服务器性能:通过卸载应用服务器上额外的SSL加密解密任务,使服务器专注于它们的主要功能,降低服务器负荷。
2. 降低管理员操作复杂性:无需管理和配置多个服务器的证书,只需要在前端交付设备上实现即可。

3. 根据使用的SSL应用交付设备(负载均衡器)的不同,它还可以帮助进行HTTPS检查、反向代理、cookie持久性、流量管理等等:在某些情况下,SSL卸载可以帮助进行流量检查。与加密一样重要的是,它有一个主要缺点:攻击者可以隐藏在加密流量中。由于这一点,出现了很多引人注目的漏洞,比如,Magecart就使用HTTPS流量来混淆从各种支付页面中窃取的PCI。

因此,一旦你的组织达到一定的规模,检查HTTPS流量就很有必要了。而实现这一点的最好方法之一就是进行SSL卸载处理,无论是SSL终结还是SSL桥接,都允许你执行流量检查,在处理高并发流量时可以提供极大的帮助。

五.是否使用SSL卸载?

坦率地说,这一切都取决于您网站类型及流量。

像ESPN或CNN这样大型的媒体网站应当非常适合使用负载均衡器,因为它们都能处理大量的流量;另一方面,如果你只是为当地一家面包店运营一个网站,那么让你的服务器去处理所有的事情就可以了——尤其是TLS 1.3进行了改进的情况下。

資料來源:https://www.racent.com/blog/ssl-offloading-bridging-termination

分類
Information Security

NetFlow

NetFlow是一種網路監測功能,可以收集進入及離開網路界面的IP封包的數量及資訊,最早由思科公司研發,應用在路由器交換器等產品上。經由分析Netflow收集到的資訊,網路管理人員可以知道封包的來源及目的地,網路服務的種類,以及造成網路壅塞的原因[1]

資料來源:https://zh.wikipedia.org/wiki/NetFlow

分類
Information Security

X-Forwarded-For

X-Forwarded-ForXFF)是用來辨識通過HTTP代理負載均衡方式連接到Web伺服器的客戶端最原始的IP位址HTTP頭欄位Squid快取代理伺服器的開發人員最早引入了這一HTTP頭欄位,並由IETF在HTTP頭欄位標準化草案[1]中正式提出。

當今多數快取伺服器的使用者為大型ISP,為了通過快取的方式來降低他們的外部頻寬,他們常常通過鼓勵或強制使用者使用代理伺服器來接入網際網路。有些情況下,這些代理伺服器是透明代理,使用者甚至不知道自己正在使用代理上網。

如果沒有XFF或者另外一種相似的技術,所有通過代理伺服器的連接只會顯示代理伺服器的IP位址,而非連接發起的原始IP位址,這樣的代理伺服器實際上充當了匿名服務提供者的角色,如果連接的原始IP位址不可得,惡意存取的檢測與預防的難度將大大增加。XFF的有效性依賴於代理伺服器提供的連接原始IP位址的真實性,因此,XFF的有效使用應該保證代理伺服器是可信的,比如可以通過建立可信伺服器白名單的方式。

資料來源:https://zh.wikipedia.org/wiki/X-Forwarded-For

分類
Information Security

新版ISO 27002:2022出爐,資安控制措施正式修訂為4大類93項

距離2013年版相隔已8年,新版ISO 27002:2022將控制措施集中於組織層與技術層,控制項目數量則有進一步的綜合整理歸納,並因應網路攻擊手法與樣態新增11項控制,同時提供屬性標籤能讓控制項目更容易使用。

去年底,傳出國際資安標準ISO 27002改版在即的消息,在2月15日,新版ISO 27002:2022悄悄發布。在國際標準組織(ISO)網站上,我們可看到此標準目前已邁入60.60修訂階段,這也是ISO27002推出後的第二度改版——在此之前,這套標準有最初發布的2005年版,以及後續改進的2013年版。

同時,ISO 27001的改版動向也備受關注,雖然ISO官網上未顯示2022版資訊,但根據英國標準協會臺灣BSI表示,後續新版將進行部分修訂,改版時間不會太長,目前預估是今年下半就會發布。

新版管控項目將結構精簡,聚焦讓組織採用更容易

基本上,ISO 27002是資訊安全管理系統(ISMS)的實務指導文件,並作為ISO/IEC 27001國際標準附錄A的詳細參考資訊,提供控制措施選擇的具體參考。

這次ISO 27002改版計畫,從2018年開始啟動,直到去年草案版本發布,開始受到各界關注,畢竟距離上一版本的推出相隔8年,如今ISO 27002:2022版修訂完成,正式發布。

關於新版的變化,BSI表示,首先,標準名稱改為「資訊安全、網路安全及隱私保護-資訊安全控制措施」,以更符合現代的資安管理需求。

其次,在內容的修訂上,ISO 27002:2022的修訂目標,聚焦於讓組織更容易採用,並確保必要控制措施不會忽略。

簡單來說,新版簡化控制措施架構,從原有的14條款類別,重新調整為4大類別,分別是組織控制、人員控制、實體控制與技術控制,而整體控制項目則從114個減到93個,藉此強化資安管控有效性,並將不適合當前環境的內容刪除,當中更新58個控制項目,並將多個控制項目併為24個控制項目,並新增11個控制項目。

這些新增項目,主要是為對應當前的網路攻擊手法與樣態,控制項目包含了威脅情資、雲端服務使用的資安、資通訊技術營運持續整備、實體安全監控、組態管理、資訊刪除、資料遮罩、資料外洩防護、活動檢視、網站過濾與安全程式碼撰寫,以確保組織能持續具有能力,控制自身的資訊安全。

新版現在也增加屬性標籤,包括控制類型(預防、偵測與矯正)、資安特性(機密性、完整性、可用性,CIA)、網路安全概念(識別、保護、偵測、回應、復原,NIST CSF)、執行能力,以及安全領域。讓企業組織可從不同角度,快速過濾相關控制措施,以及執行排序呈現,讓組織更方便找出相關控制要求。

目前看來,新版正式發布內容與草案版本大致相當,不過我們發現,在這93項控制措施中,8.22 Segregation in networks,與8.23 Web filtering,兩者的順序對調,與草案版本不同。BSI表示,其實在最終草案版本時,條文順序就已變動。

另一個標準ISO 27001改版時程終於明朗

至於各界關注的ISO 27001改版時程,BSI表示,目前獲知的時間在2022年第三季到第四季,可能與後續投票時程有關,若有進展會再更新。

至於ISO 27001預估將修訂的內容,主要依據ISO/IEC 27002:2022修訂部分,反映於ISO/IEC 27001的附件A,也將涵蓋2014年與2015年發布的2個小勘誤。

由於ISO 27002:2022已經發布,新版ISO 27001也預期會在今年修訂完成,對於已取得ISO 27001驗證的企業組織而言,除了可準備轉版認證審查,確保企業驗證範圍的控制措施與資訊安全管理系統符合新版的標準,也應朝向全公司驗證範圍目標邁進;而正在導入實施ISMS或進行ISO/IEC 27001驗證的企業,現在也可選擇參考ISO/IEC 27002:2022。

BSI表示,由於每個標準改版的幅度不同,根據過往經驗,新標準正式公布後,企業組織都會有2到3年的時間來進行改版;若組織能力與預算可行,先以新版ISO 27002:2022的指引來著手接下來的資安工作,是可以這麼做。

關於ISO 27001的相關消息,後續我們在ISO官方網站找到相關資訊,目前ISO 27001:2013版已有增修1草案(DAMD 1),目前進度是2022年2月3日的40.20階段,目前正進行草案(DIS)版本投票。

資料來源:https://www.ithome.com.tw/news/149520?fbclid=IwAR23_hQ6I4xKJc27rbFDFHMyf5DGCA4hdGmT3j7P5zTZbGOJOTFesaI05IM

分類
Information Security

駭客終結者 2.0 登場!打破舊有資安概念,零信任架構 (ZTA) 引領資安新風潮

現今,人們對於網路的依賴性大,尤其是疫情影響下的社會,各家企業紛紛採取居家辦公,此外,日常中的網路銀行轉帳、購買日用品、電子信箱等功能均需利用網路。但網路便利的同時,伴隨而來的就是,個資外洩、網路上的購賣身分遭到惡意人士盜用,魔鬼藏匿於網路的角落,緊盯著各個使用者的活動,看看誰是下一個受害者。為了層層把關網路上的潛在危機,零信任架構 (Zero Trust Architecture,ZTA) 出現了!ZTA 是一種資安防護的新概念,打破了傳統以邊界(例如防火牆)區分內網及外網的資安型態。今天,想長點 ZTA 的新知識嗎?跟著查士朝教授的腳步來探索一下這個酷東西吧!

查士朝教授小簡介

查教授是台灣大學資訊管理博士,曾任職於意藍科技資深技術顧問,於資誠企業擔任資深經理。現為台灣科技大學資訊管理系教授,同時也身兼資通安全研究與教學中心主任。查教授獲得許多國際資安認證,近年致力於資訊安全相關研究,參與多項產學合作計畫,並協助政府建立資訊安全管理制度,並發掘系統資安漏洞以研擬推動智慧型手機應用程式安全與物聯網裝置安全檢測標準。查士朝教授

查士朝教授近幾年於資訊安全制度訂定及設計發想貢獻良多。圖/查士朗教授提供

ZTA 的誕生與發展

2003 及 2004 年間,傑里科論壇 (Jericho Forum) 為了達到網路資源於企業間共享的目的,因此想出了消除企業與企業間的網路邊界,但這個做法也造成了網路安全的漏洞,而解決這個漏洞的技術性方案就是 ZTA 的最初架構。可以說是無心插柳,柳成 ZTA 阿!但是,這個論壇當初提及的 ZTA 概念還是滿抽象的,因此,Forrester Research 前副總裁 John Kindervag 於 2010 年提出了具體的概念,他提出了三大核心理念:(一)裝置不再有信賴與不信賴的邊界 ,(二)不再有信賴與不信賴的網路,(三)不再有信賴與不信賴的使用者。而實際上的做法需要四大核心元件:

  1. 網路分區閘道 (Network Segmentation Gateway):當前的網路需要透過許多安全設備來保護其整體環境及數據,例如我們最常見的就是防火牆,還有為取得公司或機構內部存取權所需要用到的工具 VPN 。而 John Kindervag 想要開發出一個結合所有安全設備特性及功能的網路分區閘道(最強守衛者的概念),並將安全性構建到網路的架構當中,以安全的方式正確分割網路資源。
  2. 創建平行且安全的網路分區:打破以往防火牆只一分為二,阻隔外界及保護內部的功能。這裡運用的是微核心邊界 (Microcore and perimeter, MCAP) (圖二),你可以把它想像為「保護套」,將你想保護的資料都個別套起來,像是使用者端、網路應用、資料獲取網路都自己有一層保護套。如此一來,將資安防護不再單單只靠一層防火牆,而是個個資料、系統都有盾牌可以做自我保護。
  3. 網路後臺集中管理:承第 2 點提及的「保護套」,網路後臺是擔任管理這些微核心邊界 (MCAP) 的角色,增加操作上的便利性。
  4. 建立數據蒐集網路以掌控網路整體狀況:對於修繕故障網路的人來說,要能有效取得數據包是件非常困難的事,但在零信任網路中採用數據蒐集網路 (data acquisition network, DAN),此種方法結合網路分區閘道,能有效採集各個微核心的數據,加速數據取得以便日後故障修繕。

微核心邊界

微核心邊界 (Microcore and perimeter, MCAP) 使整體網路環境又多一層保障。圖/查士朝教授提供

此外,美國國家標準技術研究院 (NIST) 也量身打造 ZTA 的標準指南 SP 800-207,時至今年美國政府所公布的網路安全策略中也包含了零信任架構,甚至要求美國聯邦政府網路導入零信任架構的網路安全策略,足見零信任網路架構在整體資安領域上佔有一席之地。當中,SP 800-207 講究七大原則:(1) 識別可存取資源;(2) 確保連線安全;(3)妥善存取控制;(4)考量存取者狀態;(5)了解資源狀態;(6)監控裝置與資源風險;(7)持續收集資訊與改善。

現今資訊安全防護存在什麼樣的漏洞?ZTA 如何防範的資安危機?

新聞報導資安危機事件層出不窮,於個人,個人資料被盜用、信用卡被盜刷;於企業,美國淨水廠系統及最大燃油管系統、銀行 ATM、國內科技大廠都曾遭受駭客及勒索軟體襲擊;於國家,國安危機更是重大事件。查教授講道過去的資安架構,往往只是透過防火牆等相關架構,將安全與不安全網域劃清界線,並且只注重防範邊界,無法防止內部橫向擴散。然現今惡意駭客早已能夠輕鬆越過此界線,橫行於安全網域之中。駭客盜取企業內部資源

疫情下的遠距辦公,使駭客能趁機憑藉多種管道盜取企業內部資源。圖/查士朗教授提供

因此,ZTA 雖說是打破邊界,更貼近的說法則是將邊界切得更細。舉個具體的例子,即便使用者可以憑藉身分認證進入一家企業內,使用這家企業的信任網域做任何活動,而 ZTA 就像監視器一樣,會監視著使用者在網域上的一舉一動。除了監視,要防範惡意者,也必須判斷其活動並及時阻止惡意行為,因此查教授特別講解了 ZTA 的「大腦」和「手」,政策落實點 (Policy Enforcement Point,PEP) 是 ZTA 的手,當使用者發出存取公司內網資源的要求時,PEP 會先接收到這個訊息,並將此訊息傳遞給政策決策點 (Policy decision point,PDP) (也就是 ZTA 的大腦)決定是否允許這位使用者的要求,在 PDP 下達決定後,PEP 便會聽從這個決定做出相應的舉動。而 PDP 內部則是仰賴所謂的信賴演算法,它會考慮存取要求、主體資料庫及歷史、資產資料庫、資源政策要求、威脅情資與紀錄來做訓練,當然現今的 ZTA 架構會依照各個企業或機關的需求而有客製化的調整。政策落實點 (PEP)及政策決策點 (PDP)

政策落實點 (PEP)及政策決策點 (PDP)是 ZTA 的核心機制之一。圖/查士朗教授提供

ZTA的迷思

迷思一:零信任架構=完全不信任任何使用者?

ZTA 是為了防止有心人士在進入企業內網後就能肆意做出任何惡意行動,但如果你是一個正常的使用者,只要通過認證,ZTA 還是會信任你的。

迷思二:ZTA 真的方便用嗎?會不會一直需要驗證?

查教授回答道 ZTA 通常會以連線為基礎做出行動,若是新建立連線必然要經過一次驗證,之後便會自動存取使用者驗證,並依照各家企業規定設定間隔多久需再驗證一次,所以不見得都要一直驗證。

迷思三:ZTA 在驗證、授權的過程中,均需要取得使用者和其使用裝置的相關資訊,是否會引發隱私權益問題?

查教授仔細講道,若是疫情下在家工作,使用自己的私人電腦連線公司內網,ZTA 確實有可能會看見私人電腦上的隱私資料。但是最簡單的解決方法,就是使用公發電腦或設備,這樣就不怕自己電腦的東西被看光光囉!

迷思四:ZTA 可以完全取代 VPN?

查教授表示 VPN 在零信任架構中是連線工具而非安全工具,VPN 固然是遠端連線的常用工具,但它的存取權限非常有限(通常不會讓使用者從外部透過 VPN 碰到公司重要資源)。因此,ZTA 和 VPN 的作用其實是各司其職,VPN 負責連線,ZTA 則是負責公司內部重要資源保護與防範安全。

ZTA 的未來展望及挑戰

查教授認為目前主要有兩項挑戰:一、要達到零信任架構的整合,以現在的設備發展,不太可能把所有的設備都換掉,因此如何將既有設備整合到零信任架構、達到相關要求是一個重點。二、上述所提及的信賴演算法訓練程度也是一大重點,它是 ZTA 的核心,假使訓練得宜,安全防護加倍,反之,問題可就大囉~另外,ZTA 在台灣可說是百家廠商爭鳴的主推架構,但查教授認為更重要的是,普及 ZTA 的概念宣導讓社會大眾理解其運作模式,如此,對於個人,能免於受到財務或個資損失;對於企業,能成為永續運作的一環,免於資安問題而殃及利害關係人權益;對於國家,不但能領先於資訊戰,更能提供民眾穩定、信賴的服務,維護公有設施系統的穩定性。ZTA 是新型態的保護概念,不單單只局限於個人研發上的努力,更需整體社會、企業、政府的致力推動方能共創榮景。

查教授給有志投入資安產業者的勉勵

查教授真切地說道資安的領域很廣,涵蓋了技術、管理、稽核層面,當然甲方和乙方的需求也不一樣,若想知道自己適合哪個領域、哪個職位,首先必須清楚自己的個性,究竟是穩定型,還是喜歡探索開發型。但無論如何,做資安產業的人個性都要正直,並把基本功打好。

結語

很榮幸這次邀請到查士朝教授探討關於 ZTA 的概念,透過教授清楚仔細的講解,想必讀到這邊的讀者們已經收穫滿滿,ZTA 雖然起初設計的基礎是建立在企業上,但查教授認為未來也可能透過多因素身分認證 (Multi-factor authentication, MFA) 廣泛運用於個人資訊系統。ZTA 的發展指日可待! 資料來源

資料來源:https://scitechvista.nat.gov.tw/Article/C000003/detail?ID=5ad7a015-9e9a-4268-aa32-2ade792e7440