分類
CISSP

風險的決策應在投資評估過程中行使(The risk-based decision should be exercised in the evaluation process of the investment.)

https://ithelp.ithome.com.tw/upload/images/20210331/20132160LmpYE4GJnb.jpg
-什麼是風險?
選項B提供了最佳視角,但正確的版本應為“剩餘風險低於董事會的風險承受能力。”

基於風險的決策應在投資評估過程中行使。地震可能會頻繁發生,並導致電力和通信中斷,建築物毀壞,業務中斷,財產損失和人員傷亡等。
. “確保數據中心的可靠性”意味著要考慮並評估一些風險處理措施,以使數據中心能夠承受可接受的地震級別。它降低了風險,或更具體地說,降低了災難的可能性。
. 僅當災難恢復不會一次又一次地進行時,這項投資才是可行的。董事會對今年重建或恢復設施或服務不滿意,該公司將在來年再次這樣做。
. 此外,每個災難恢復都必須達到RTO,RPO(如果有)和SDO(服務交付目標)之類的目標;並且RTO“應”小於MTD。換句話說,選項C和D是必要的,但還不夠。從風險管理的角度來看,災難恢復減少了損失或影響;它不會處理可能性或可能性。

參考
環太平洋火山帶

資料來源: Wentz Wu QOTD-20210215

分類
Information Security

新世代主動式防禦興起,牽制駭客也成攻防手段之一(下)

MITRE將主動式防禦的各種技術手法進行系統性的歸納,整理成一套知識庫,有助於我們理解主動式防禦中,可採用的戰略與技術手法

為了更好應對攻擊者的入侵行為,MITRE在2020年8月時,公布全新的主動式防禦知識庫,稱之為MITRE Shield,他們並在2021年3月於RSAC 365線上議程透露更多細節,當中指出他們希望進一步透過Shield的戰略與技術手法,扭轉過去網路攻防都是由攻擊者選擇時間、地點與交戰方式的劣勢。

對於MITRE Shield主動式防禦知識庫的發展,連續兩年參與ATT&&CK評估計畫的奧義智慧,也關注此一知識庫的發展,他們認為,在處理資安事件回應(IR)時,就有用到類似的概念。該公司資深研究員陳仲寬指出,欺敵確實在Shield佔了很大的部分,不過他也強調,整個過程的觀察,以及攻擊的互動,同樣是關鍵,尤其是在互動方面。

欺敵、觀察與互動是重點,可視為企業進階的防禦戰略

就以往的資安框架來看,大部分都是聚焦保護、偵測與回應,但都沒有將互動這個要素放進去,因此,也許會需要有一個面向,像是偵測時同時需要互動,才能做到比較好的回應。

更進一步而言,陳仲寬指出Shield的最大意義,是開啟了戰術層級的畫分。比如先引導、監控、互動、持續,再監控,MITRE從防禦者角度,將戰術層級拆分出來。

而這樣的作法,顯然MITRE也是希望能夠複製ATT&CK的成功經驗。現在,MITRE將主動式防禦的各種技術手法有了系統性的歸納,同樣整理為一套知識庫,如此一來,將有助於我們理解主動式防禦中,可採用的戰略與技術手法。

對於這套主動式防禦知識庫的理解,陳仲寬認為,搭配ATT&CK是更好的使用方式。他指出,單獨瞭解主動式防禦的技術手法也行得通,只是缺乏全局觀,雖然知道可採用這些主動式防禦的技術手法,但不知道做這些事情,可以防禦那些攻擊,因此同時參照ATT&CK來應用是更好的作法。而且,目前這個知識庫有許多部分是專注在欺敵,涵蓋面還不夠全面,例如仍缺乏最後階段通常要有的減緩與清除,而在Shield當中,目前只有牽制與破壞的概念較為接近。

他提醒,主動式防禦只是一個面向,並不能完全代表整個防禦體系。更具體一點來看,Shield屬於較進階的防禦手法,所以可能不會是企業第一步就採用的防禦手段。

對此,該公司共同創辦人叢培侃也指出,當企業IT架構與資安防護都已經成熟,想要更進階更主動一點,就可以往這方面思考。

綜合而言,從一開始MITRE對於主動式防禦範圍的定義,我們除了看到欺敵與交戰的部分,同時也包含基本防禦技術與能力。若連基本的安全控制、隔離與監控等都沒有,單使用欺敵方面的技術手法,並不實際。

特別的是,叢培侃也提及,當他們在看這樣的防禦戰略時,其實是倍感親切,原因在於,他們處理很多攻擊事件調查時,也會運用類似欺敵的方式,而他們會使用的場景,就是在處理資安事件回應時——當駭客已經入侵當前這個單位,因此接下來可能會與駭客有直接交戰的機會,就很適合使用,可以讓攻擊範圍及規模限縮,並迫使攻擊者拿出更多壓箱寶的手段。

面對入侵攻擊手法,Shield與ATT&CK可交互運用驗證

另一方面,自從MITRE拓展ATT&CK框架與知識庫,解析了入侵攻擊面,現在他們更是認為,從ATT&CK發展到Shield是自然而然的過程,防禦方若同時使用兩者,其實更是可以有效增強防護能力,畢竟,針對攻擊者行動的ATT&CK,可經常提供防禦者反制的機會,而對於Shield的使用方式,MITRE現在已將主動式防禦的技術手法,對應到ATT&CK的攻擊技術手法,而且可以從攻擊者組織的角度來切入。

陳仲寬舉例,以Chimera這個駭客組織為例,MITRE已經匯整該組織在入侵過程,曾使用過的各式攻擊技術手法,例如Scheduled Task/Job(T1053)就是其一,而要對應這個攻擊來做到主動式防禦的話,就可以使用Decoy System(DTE0017),透過這樣的欺敵技法來應對該攻擊手法。

較特別的是,他還提到另一個由第三方研究人員提出的DeTTECT專案,與Shield的作用有些類似,目的是提供防禦者將ATT&CK攻擊技術手法,與防禦者技術手法作對應,因此也是企業在關注ATT&CK應用時,可以參考的資源。

複製ATT&CK成功模式,Shield盼成進階防禦新利器

而其他臺灣業者又是如何看待Shield的應用呢?臺灣KPMG(安侯建業)顧問服務部執行副總經理謝昀澤表示,他們同樣關注Shield的發展,主要原因是,先前ATT&CK辨識了駭客可能的攻擊手法,相對地,企業防守方就可以透過ATT&CK的技術手法,反推組織內防禦縱深是否足夠,而這樣的思維,有如防火牆規則設計的反向表列的方式,例如設定拒絕的連線,除拒絕的連線外,其他都接受等。因此,如果攻擊者採用了比較奇特的攻擊方式,甚至是ATT&CK中尚未辨別的技術手法,此一攻擊就有可能實現。

而就Shield而言,此一框架提供組織更積極的防守思維,比如臺灣目前的軍事戰略是「戰力防護、濱海決勝、灘岸殲敵」,與Shield裡面針對防守方「殲敵」的方式有共通性,有別於其他如NIST CSF等框架,MITRE Shield提出了Cyber Deception欺敵的概念,此種戰術就是要把敵人引進防禦框架中,除了可辨識敵人使用的工具、排程的作業等,更積極的將攻擊者加以隔絕與殲滅。

因此,KPMG現在除了關注Shield知識庫所提及的機會空間(Opportunity space),也就是在對手採用攻擊技術時,將對方引導至高階主動式防禦的可能性,他們同時也關注使用情境,以及 Shield下一版本的發展。

無論如何,目前MITRE Shield的發展還不到一年,過去ATT&CK在2015年發起後,也是直到2018年才開始廣受市場重視。而在ATT&CK的成功經驗後,Shield在此基礎之上的應用發展,確實也備受企業資安界關注。

就現階段而言,此一主動式防禦在戰術與技術手法層面,都已經有了初步的統整,讓防禦者可以利用,更好地去建立主動式防禦解決方案,而MITRE也表示,未來將持續改進,甚至針對特定駭客組織建立主動式防禦的自動化腳本,因此,未來發展值得企業追蹤與關注。

MITRE ATT&CK整合Pre-ATT&CK, 技術手法分類更細 

在關注MITRE Shield發展的同時,MITRE ATT&CK最近一年的新變化,同樣受到重視。最明顯的改變,就是將原先的Pre-ATT&CK,整合到ATT&CK Enterprise,成為最前兩個階段,分別是偵察(Reconnaissance)與資源開發(Resource Development),因此ATT&CK現在總共畫分14個戰術階段。

而且,這裡同樣提供Shield與ATT&CK的對應,例如在偵察階段的攻擊技法Gather Victim Identity Information(T1589),其對應的主動式防禦技法,包含三種:分別是Decoy Account(DTE0010)、Decoy Persona(DTE0015),以及Network Monitoring(DTE0027)。 

在這樣的整合之下,顯然MITRE正持續將ATT&CK涵蓋面向擴大,不過,奧義智慧資深研究員陳仲寬提醒,日後企業組織在使用ATT&CK時可能需要注意,因為過去的ATT&CK主要聚焦端點偵測與反應(EDR)領域,而Pre-ATT&CK是聚焦威脅情資領域,比較像是與OSINT(Open source intelligence)相關,而使用者要能區分其差異,看待整體ATT&CK才不會誤解。

同時,我們也看到MITRE在將各種攻擊技術手法,有了子項目的細分方式。舉例來說,像是在Phishing(T1566)網釣攻擊手法之下,依據性質不同又可再區分為三種子項目,包含了Spearphishing Attachment(T1566.001)、Spearphishing Link(T1566.002),以及Spearphishing Via Service(T1566.003),而這樣具體的畫分,看起來是可以讓攻擊手法的資訊,能有更直觀的展現方式。

附帶一提的是,ATT&CK評估計畫第三輪在2020年下半已經展開,設想的攻擊對象是Carbanak與FIN7,兩者均是專門攻擊金融業的駭客組織,奧義智慧共同創辦人叢培侃表示,今年參與的資安業者又比上一輪更多,在3月底後應該就會發表評估結果。 

資料來源:https://www.ithome.com.tw/tech/143478

分類
Information Security

新世代主動式防禦興起,牽制駭客也成攻防手段之一(上)

對於資安防禦的強化,企業過去面臨攻擊都是處於被動的局面,近年MITRE新提出了主動式防禦知識庫Shield,成為資安領域新的焦點,目的更是要扭轉攻防不對等的局面

近年資安防護策略的重點,除了從事前防護,延伸到事中偵測與回應,還有一股趨勢正隱隱成形,就是新世代的主動式防禦概念,而且這樣的防禦策略其實更是要與駭客鬥智。

關於主動式防禦(Active Defense)一詞,很早就有不少人使用,來強調與傳統被動式防禦的不同。

舉例來說,過去的定義中,主動式防禦多半強調主動察覺入侵者,而且不只是偵查,還要進行威脅獵捕,而有些基於國家安全的主動式防禦,會從攔截對方攻擊,進一步變成直接反擊破壞,癱瘓對方的基礎架構,然而這種作法並不普及,多數企業存在的本質是營利,而不是資安攻防,因此所謂的主動式防禦仍是處於兵來將擋的反應式處理。

最近,我們看到新一代主動式防禦戰略被提出,雖然仍是採取在防禦範圍內採取有限的行動,但最特別的一點,就是試圖要改變傳統攻防不對等的問題。

企業過去種種的主動式防禦,往往必須大費周章勞師動眾,駭客卻只是略施小計,針對共通性弱點就能大舉入侵,防不勝防。因此,企業除了基本的防護之外,就是要進一步採取主動的方式,透過偵測技術、資料分析與威脅獵捕等,找出入侵資訊或即將發生的網路攻擊,或是搭配威脅情資識別並瞭解攻擊者是誰,再針對敵人採行預防反制行動。然而,兵不厭詐,防禦端也有讓攻擊端摸不著頭緒的作法,例如欺敵技術,但先前只有少數廠商能提供此類解決方案,最近一年來,協助全球進行多項資安相關研究的美國非營利組織MITRE,有了新的答案,可能是扭轉敵暗我明的新機會。

初探MITRE Shield主動式防禦,試圖打破傳統防守劣勢

這兩三年來,MITRE ATT&CK框架在資安界當紅,之所以受到重視,主要原因,該資安框架彙整了現實世界的駭客組織入侵技術,並建立共通語言,整合成一個攻擊知識庫,讓企業與資安產業都受益,值得關注的是,在2020年8月,MITRE又公布了一個關於主動式防禦(Active Defense)的知識庫,稱之為MITRE Shield,再次成為資安防護的新焦點。

關於Shield知識庫的發展,MITRE指出,這個知識庫首先是從2019年由他們的交戰小組(engagement team)建立,目的是要改善作戰計畫,而當他們在整理這些技術手法清單時,他們有了進一步將之組織結構化的念頭。顯然,之前ATT&CK的經驗讓他們有很好的基礎。

關於這個主動式防禦知識庫的不同,我們可從其定義看出差異。根據MITRE定義的主動式防禦範圍,分為三大構面,從基本的網路防護能力(General Cyber Defense),到網路欺敵(Cyber Deception),以及與攻擊對手的交戰行動(Adversary Engagement)。

在今年3月,MITRE更是闡述了Shield的更多內涵。MITRE資安長William Hill在一場線上專題演講表示,他們一直在尋找主動式防禦的真正含意,但卻發現,不論是在網路或其他領域,都沒有完全適合的一種。

而根據MITRE的經驗,他們在十年前處理一起APT事件時,由於對攻擊者的運作瞭解甚少,因此當時他們做出兩個重要的決定。首先,就是學習與觀察,到了足夠瞭解時可提高機會將攻擊者聚於門外,其次,一旦做到第一步,如果還想繼續學習又不希望本身的系統資料有危害,因此,他們建立了攻擊者交戰計畫(Adversary engagement program),目的是要幫助自己成為更好的防守者。

隨著現在主動式防禦知識庫的建立,MITRE正試圖打破舊的「遊戲規則」。因為,過去的資安攻防,往往是攻擊者可以選擇時間、地點與交戰方式,同時攻擊者也會在入侵時,學習摸索企業組織的防禦環境,而William Hill指出,他們現在想要做的,是挑戰控制對手並開始影響時間、地點與交戰方式,然後盡可能最大化自己的學習,並拒絕對手的學習。顯然,要在防禦範圍內進一步控制對手,主動在內部網路環境與之互動及抗衡,就是MITRE對於主動式防禦的一大重點。

剖析主動式防禦技術手法,已歸納8個戰略與36個不同技法

基本上,MITRE將主動式防禦的各種技術做了歸納,在他們提出的Shield矩陣(matrix)中,仿效了ATT&CK矩陣的設計,由戰略與技術手法構成,將主動式防禦的戰略分成8個階段,包括引導管道(Channel)、收集(Collect)、牽制(Contain)、偵測(Detect)、破壞(Disrupt)、促成(Facilitate)、合法化(Legitimize)、測試(Test)。

而在這8項戰略階段之下,列出了各階段可使用的技術手法,目前MITRE總共歸納了36種。與ATT&CK矩陣相同的是,各項技術手法也可能同時出現在不同戰略階段當中。

值得注意的是,在這36項技術手法中,我們發現有多個與欺敵誘餌有關,包括誘餌帳號、誘餌內容、誘餌帳密、誘餌多樣性、誘餌網路,以及誘餌角色、誘餌過程與誘餌系統等,不僅如此,從戰略階段的初期來看,就是要將敵人引導至特定路徑或特定方向,收集對手的工具、觀察戰術、活動與相關情報,之後再進行一連串的動作。顯然,引導與欺敵是主動式防禦的主軸之一。

同時,MITRE網路智慧戰略長Christina Fowler也提出相關說明,她指出,前五個戰略階段可以適合所有人使用,而在與對手交戰之際,如果你想讓攻擊者留在環境中,以便做到更多的觀察,獲取更多對方攻擊戰術流程(Tactics、Techniques與Procedures,TTP)的資訊,之後可能就會需要使用後面三個戰略階段。

綜合來看,這樣的主動式防禦更是要與入侵的攻擊者鬥智,當對方規避了防禦、進而滲透至內部網路環境之際,幫助企業組織可以更早發現,並在受到入侵時,因應上更具主導權。

在Shield主動式防禦矩陣中,MITRE依據ATT&CK的經驗,將主動式防禦的戰略與技術手法歸納與整理,目前包含8個戰略階段,以及36項技術手法,當中可以看出除了安全控制、隔離、監控與分析,引導與誘餌,更是這個當中的一大焦點。(資料來源:MITRE,iThome整理,2021年3月)

資料來源:https://www.ithome.com.tw/tech/143477

分類
CISSP

公開金鑰認證

公開金鑰認證(英語:Public key certificate),又稱數位憑證(digital certificate)或身分憑證(identity certificate)。是用於公開金鑰基礎建設的電子檔案,用來證明公開金鑰擁有者的身分。此檔案包含了公鑰資訊、擁有者身分資訊(主體)、以及數位憑證認證機構(發行者)對這份檔案的數位簽章,以保證這個檔案的整體內容正確無誤。擁有者憑著此檔案,可向電腦系統或其他使用者表明身分,從而對方獲得信任並授權存取或使用某些敏感的電腦服務。電腦系統或其他使用者可以透過一定的程序核實憑證上的內容,包括憑證有否過期、數位簽章是否有效,如果你信任簽發的機構,就可以信任憑證上的金鑰,憑公鑰加密與擁有者進行可靠的通訊。

簡而言之,認證機構用自己的私鑰對需要認證的人(或組織機構)的公鑰施加數位簽章並生成憑證,即憑證的本質就是對公鑰施加數位簽章。[1]

數位憑證的其中一個最主要好處是在認證擁有者身分期間,擁有者的敏感個人資料(如出生日期、身分證號碼等)並不會傳輸至索取資料者的電腦系統上。透過這種資料交換模式,擁有者既可證實自己的身分,亦不用過度披露個人資料,對保障電腦服務存取雙方皆有好處。

人們透過信任數位憑證認證機構的根憑證、及其使用公開金鑰加密作數位簽章核發的公開金鑰認證,形成信任鏈架構,已在TLS實作並在全球資訊網HTTPS、在電子郵件的SMTPS和STARTTLS廣泛應用。業界現行的標準是國際電信聯盟電信標準化部門制定的X.509[2],並由IETF發行的RFC 5280詳細述明。而在不少國家/地區,都已立法承認使用數位憑證所作的數位簽章擁有等同親筆簽章的法律效力(如歐洲聯盟[3][4]香港[5][6]台灣[7]美國加拿大)。

憑證種類[編輯]

根憑證(自簽憑證)、中介憑證和終端實體(TLS伺服器/客戶端)憑證的關係

自簽憑證[編輯]

在用於小範圍測試等目的的時候,使用者也可以自己生成數位憑證,但沒有任何可信賴的人簽章,這種自簽章憑證通常不會被廣泛信任,使用時可能會遇到電腦軟體的安全警告[8]

根憑證[編輯]

主條目:根憑證

根憑證獲得廣泛認可,通常已預先安裝在各種軟體(包括作業系統瀏覽器電子郵件軟體等),作為信任鏈的起點,來自於公認可靠的政府機關(如香港郵政[9]台灣網路資訊中心)、軟體公司(如Google[10]Let’s Encrypt)、憑證頒發機構公司(如VeriSign)等,與各大軟體商透過嚴謹的核認程序才在不同的軟體廣泛部署。由於部署程序複雜費時,需要行政人員的授權及機構法人身分的核認,一張根憑證有效期可能長達十年以上。在某些企業,也可能會在內部電腦自行安裝企業自簽的根憑證,以支援內部網路企業級軟體;但是這些憑證可能未被廣泛認可,只在企業內部適用。

中介憑證[編輯]

認證機構的一個重要任務就是為客戶簽發憑證,雖然廣泛認可的認證機構都已擁有根憑證,相對應的私鑰可用以簽署其他憑證,但因為金鑰管理和行政考慮,一般會先行簽發中介憑證,才為客戶作數位簽署。中介憑證的有效期會較根憑證為短,並可能對不同類別的客戶有不同的中介憑證作分工。

授權憑證[編輯]

主條目:授權憑證

授權憑證又稱屬性憑證,本身沒有公鑰,必須依附在一張有效的數位憑證上才有意義,其用處是賦予相關擁有人簽發終端實體憑證的權力;某些情況下,如果只在短期內授予憑證機構簽發權力,便可以不改變(縮短)該機構本身持有的憑證的有效期。這種情況,類似於某人持有長達十年期的護照,而只透過簽發短期入境簽證,來個別賦予護照持有人額外權力。

終端實體憑證[編輯]

其他不會用作簽發其他憑證的,都可稱為終端實體憑證,在實際的軟體中部署,以便建立加密通道時應用。

TLS伺服器憑證[編輯]

伺服器通常以域名形式在網際網路上提供服務,伺服器憑證上主體通用名稱就會是相應的域名,相關機構名稱則寫在組織單位一欄上。伺服器憑證(包括公鑰)和私鑰會安裝於伺服器(例如Apache),等待客戶端連接時協定加密細節。客戶端的軟體(如瀏覽器)會執行認證路徑驗證演算法以確保安全,如果未能肯定加密通道是否安全(例如憑證上的主體名稱不對應網站域名、伺服器使用了自簽憑證、或加密演算法不夠強),可能會警告使用者。

萬用字元憑證[編輯]

主條目:萬用字元憑證

如果伺服器憑證上主體的通用名稱(或主體別名)一欄以萬用字元前綴,則該憑證可以用於旗下的所有子域名,特別適合較具規模、或設有多個子網站的機構一次過申領,套用於多個伺服器上;即使未來建立新的子域名,也可以套用。但萬用字元不可用於擴展認證憑證上。

內容欄位[編輯]

一般遵從X.509格式規範的憑證,會有以下的內容,它們以欄位的方式表示[12]

  • 版本:現行通用版本是 V3
  • 序號:用以辨識每一張憑證,特別在復原憑證的時候有用
  • 主體:擁有此憑證的法人自然人身分或機器,包括:
    • 國家(C,Country)
    • 州/省(S,State)
    • 地域/城市(L,Location)
    • 組織/單位(O,Organization)
    • 通用名稱(CN,Common Name):在TLS應用上,此欄位一般是網域
  • 發行者:以數位簽章形式簽署此憑證的數位憑證認證機構
  • 有效期開始時間:此憑證的有效開始時間,在此前該憑證並未生效
  • 有效期結束時間:此憑證的有效結束時間,在此後該憑證作廢
  • 公開金鑰用途:指定憑證上公鑰的用途,例如數位簽章、伺服器驗證、使用者端驗證等
  • 公開金鑰
  • 公開金鑰指紋
  • 數位簽章
  • 主體別名:例如一個網站可能會有多個網域(www.wikipedia.org, zh.wikipedia.org, zh.m.wikipedia.org 都是維基百科)、一個組織可能會有多個網站(*.wikipedia.org, *.wikibooks.org, *.wikidata.org 都是維基媒體基金會旗下的網域),不同的網域可以一併使用同一張憑證,方便實作應用及管理

申領及使用[編輯]

向憑證機構申領簽發電子憑證的過程

數位憑證一般由數位憑證認證機構簽發,簡單的程序如下:

申領[編輯]

  1. 鮑伯在自己的機器上使用密碼學安全偽亂數生成器產生一對足夠強的密鑰,鮑伯的私鑰不會向任何人傳送。
  2. 鮑伯把他的公鑰,連同主體訊息、使用目的等組成憑證簽署請求,傳送給認證機構伊凡
  3. 伊凡(用另外一些管道)核實鮑伯的身分。
  4. 如果伊凡信任這個請求,他便使用鮑伯的公鑰和主體訊息,加上憑證有效期、用途等限制條件,組成憑證的基本資料。
  5. 伊凡用自己的私鑰對鮑勃的公鑰加上數位簽章並生成憑證。
  6. 伊凡把生成的憑證傳送給鮑伯(伊凡也可以透過憑證透明度公布他簽發了新的憑證)。

使用[編輯]

主條目:公開金鑰加密 § 加密過程

  1. 鮑伯可以隨便把憑證向外發布。
  2. 鮑伯與愛麗絲事先可能互不認識,但鮑伯與愛麗絲都信任伊凡,愛麗絲使用認證機構伊凡的公鑰驗證數位簽章,如果驗證成功,便可以信任鮑勃的公鑰是真正屬於鮑伯的。[1]
  3. 愛麗絲可以使用憑證上的鮑勃的公鑰加密明文,得到密文並傳送給鮑伯。
  4. 鮑伯可以可以用自己的私鑰把密文解密,得到明文。

資料來源:https://zh.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E8%AA%8D%E8%AD%89

分類
CISSP

資產分類準則(asset classification guideline)

https://ithelp.ithome.com.tw/upload/images/20210330/201321609rb1sAudz9.jpg
分類方案適用於整個組織。RD負責人定義一個是不合適的。此外,由於發布了資產分類準則,這意味著分類方案已作為組織標準得以實施。
. 資產的類型很多。數據只是其中之一。以一百萬美元的價格購買的資產顯然比兩千美元的資產更有價值,並且值得採取更多的保護措施。
. 可能造成一百萬美元損失的資產比具有兩千美元損失的資產需要更多的安全控制。
. 強制訪問控制(MAC)通常在政府部門中實施;很少或一些私營企業可以實施它。但是,在Windows Vista和更高版本中,Microsoft提供了強製完整性控制(MIC),這是一種強制實施完整性的MAC實現,其中,所有主題和對像都具有MIC標籤,如下圖所示。
https://ithelp.ithome.com.tw/upload/images/20210330/201321602KnXCPJEcN.jpg
-Windows 10中的強製完整性控制(來源:Windows Club
“資產分類是資產的系統的安排的通過將資產分配給一個過程命名的類基於(組,類別,層,或水平)的標準,如法律或法規的要求,靈敏度,臨界,衝擊,或商業價值來確定其保護要求。一個分類方案指的是名為類標準,並用於分類程序“。(Wentz Wu,有效的CISSP:安全和風險管理)第12356號行政命令是機密性分類方案的一個很好的例子。

12356號行政命令
第1.1節分類級別。
(a)國家安全信息(以下稱“機密信息”)應分為以下三個級別之一:
(1)“最高機密”應應用於信息,未經許可的披露在合理情況下可能會導致異常嚴重的後果。損害國家安全。
(2)“秘密”應適用於可能被合理地預期對國家安全造成嚴重損害的未經授權的披露。
(3)“機密”應適用於可能會合理地預期對國家安全造成損害的未經授權的信息披露。

參考
有效的CISSP:安全和風險管理
第12356號行政命令–國家安全信息
Windows 10中的強製完整性控制

資料來源: Wentz Wu QOTD-20210214

分類
CISSP

CISSP考試心得 – 卓建全 (Steven Cho)

卓建全 (Steven Cho), CISSP, CEH, CHFI, PMP
卓建全 (Steven Cho), CISSP, CEH, CHFI, PMP

“失敗不可怕,可怕是你不往前進”。
~Steven

邁向CISSP成功之路

2020/07/16 今天是我初步通過CISSP考試的一天。從2019年6月上Wentz Wu實體課程。他只跟我說“跟他的腳步一起邁進,考取CISSP只是時間的早晚”。

從一開始的蕃茄時鐘的讀書方式,想偷懶就吃維他命,規律的讀書計畫及有效讀唸書。在這段期間我遇到很多困難,但是在Wentz Wu鼓勵下一直往考取CISSP路前進。課程中遇到Sky & Ethen & Joy這些好同學讓我再學習CISSP路上豐富許多。

我本身是從Sybex OSG的書開始閱讀起,閱讀時要讀懂,不要讀心安(不是讀很多次就會過)。每章閱讀前需要先做後面的題目,做這些題目是了解自己哪些知識不足之處,這樣在進行閱讀時就自己不懂的地方可以加強。

閱讀完成第一次時,這樣已經對於CISSP中的知識有初步的了解,並且建議規劃好自己的讀書計畫,利用PDCA來Recheck自己的讀書計畫(建議閱讀時間要有250小時以上->我本身超過250小時)。

實體課程的部分建議要上課前要預習,下課後要複習老師上過的知識(與Sybex書籍及NIST相關重要指引互相配合閱讀)。5週的時間會相當的快,不過也會大量的吸收知識,切記與同學多多討論及老師問問題,這樣會讓自己更快進入狀況。

每天跟隨Wentz Wu的QOTD做題目,這些題目會讓你思考&了解更多相關的知識(做這些題目並不是要知道答案,要本身去思考每個答案的用意有不同的思考邏輯)。加上Wentz Wu出的書“The Effective CISSP”也是釐清風險管理的一本好書。

其實CISSP的考試都隨Exam Outline來考,隨時隨地要修正自己讀書的方向,要與Exam Outline對齊,並且跟隨Wentz QOTD題目來每天做題也是重點,作題時並不是做對答案而是要經過思考,對於選擇題的其他答案也要去了解。

我本身有做完Sybex OSG考題及ISC2 官方考題 2nd Edition(作題目建議要超過3000題以上)。作題目是讓自己去了解不同觀點的知識,而且自己本身也要了解相關的知識,最後上場前”讓自己成為一間企業的CISO來思考每個考題,你的決定會成就你的成功“。

考取CISSP是一條艱辛的路,但是沒有辛苦過哪來甜蜜的果實,

失敗不可怕,可怕是你不往前進”。
~Steven

文章的最後只想說一句話”跟隨Wentz Wu老師的腳步來走,取得CISSP證照只是時間早晚的問題“。最後感謝Wentz Wu帶領我成為CISSP,當然考取證照只是一開始,接下也要好好經營資安之路

每個人唸書的方式不同僅提供大家參考。

PS. 讓我深刻的一片文章”CISSP很難考嗎?

Steven在IT邦幫忙的中文部落格

IT邦幫忙

Steven於2020/07/21補充:

本身考取cissp提供以下幾點的方式提供大家參考:

書籍:

  1.  (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, the 8th Edition
  2. (ISC)2 CISSP Official Practice Tests, 2nd Edition
  3. The Effective CISSP: Security and Risk Management

網站

  1. Wentz QOTD
  2. 太陽花筆記
  3. Sybex官方學習指南附贈線上題庫

YouTube

  1. Destination Certification

課程

  1. 吳文智老師的CISSP課程

社群

  1. CISSP Exam Preparation – Study Notes and Theory
  2. Effective CISSP

考試重點

  1. CISSP考試大綱
  2. NIST的相關重要指引

Today, 2020/7/16 is the day I provisionally passed the CISSP exam. I started Wentz’s CISSP Exam Prep course last June. He told me, “follow me and don’t give up! You definitely will pass the CISSP exam sooner or later.”

I followed my plan regularly, studied effectively, and used the tomato clock to control the pace of study. If I was exhausted someday, I would browse or pretend to study CISSP books for minutes to fool my brain and impress myself that I kept studying every day. We call it “taking the vitamin for the day.”

I have encountered difficulties in these two years, but Wentz has been encouraging me to keep moving towards my goal to succeed in the CISSP exam. I also met Sky, Ethen & Joy in the course. They enrich my journey in CISSP.

I followed Wentz’s QOTDs (CISSP Question Of The Day). These questions provoke thinking, and you can learn more detailed knowledge (practicing these questions is not to know the answer but to think about the intention of each option and the answer by different thinking logic).

Wentz’s book, The Effective CISSP: Security and Risk Management, is a good one to clarify concepts of risk management.

Finally, thanks to Wentz Wu for guiding me to CISSP. It is only the beginning to pass the CISSP exam and about time for me to plan for my professional career in cybersecurity.

For those who are preparing for the CISSP exam, I would say:
“Failure is not terrible; the truly terrible is you stop moving.”

PS: I am deeply impressed by the post “Is the CISSP Exam Hard?

分類
專案管理

Agile 跟 Scrum 差在哪?導入敏捷,開發就會變快?敏捷式管理的常見誤解

Agile 跟 Scrum 兩個差別是什麼 ?

1. 導入敏捷就會開發很快嗎?

不會。就是這個翻譯沒翻好,員工真的會被「敏捷」這兩個字害死。

老闆最愛說:我們不是在敏捷嗎?應該可以做很快吧!(不是疑問而是肯定)

如果去把敏捷方針拿出來讀的話,沒有一個快字 。導入敏捷會讓你的團隊知道目前以及未來要幹嘛,可以更有彈性的去迎接臨時的改變、頻繁的交付,可以想像是所有人有規律的划船,無論前方有小波大浪大家不會驚慌失措。

2. 導入敏捷要全員都參與,不是產品經理或工程師在自嗨

很重要也是大家時常犯的致命錯誤,測試一直沒歸納到敏捷開發實行的一環。工作這幾年,真的時常覺得測試是產品做後把關的守門員,卻在產品改動或是各種 flow 制定把測試忘記,這樣產品的品質以及專案的估時都不會準確。

每日的晨會務必大家都要參與,並且快速同步,昨天做什麼(確定到一個任務而不是大範圍的,不然一個禮拜都聽到 RD 說在修 Bug, 也不知道目前 Bug 的情況)、今天預計做什麼以及遇到什麼問題,而主持會議的 scrum master 在會議上要知道大家進度,並且幫忙解決問題或是找到可以解決問題的人。

3. 敏捷只是一個精神,不是素描本拿來造抄

很多人開始敏捷一定從他的推廣者傑夫.薩瑟蘭的《Scrum:用一半的時間做兩倍的事》那本書開始讀起,讀完開始覺得人生好光明。但跟你打賭能夠真的跑起來得 10% 不到。

把大的東西拆小,小到可以可開發可測試可發佈。聽起來很容易,真的做起來工程師說不能這樣拆,設計師說又想改一些細節、測試跟你說沒有及時的 data 讓他測試怎麼辦…等等。如果你為了要達成「為了跑 scrum 而先去做把所有內外在環境設定好」的想法,不到一個月就會放棄。

先做再去優化吧!

把敏捷的精神不只投入到專案,也投入到你正在實行的敏捷。所以說每個 Sprint 結束的回顧會議是非常重要的。

敏捷就是快?什麼樣的公司可以跑敏捷? Agile 跟 Scrum 兩個差別是什麼 ?

相信看了幾十篇文章後,好像還是一知半解。Agile(敏捷)是一種精神,而 Scrum 是一實現 Agile 的一個方法,還有其他的方法,例如常常拿來跟 Scrum 做比較的 Kanban (看板);所以 Agile 跟 Scrum 是不同層級的東西。

1. 導入敏捷就會開發很快嗎?

不會。就是這個翻譯沒翻好,員工真的會被「敏捷」這兩個字害死。

老闆最愛說:我們不是在敏捷嗎?應該可以做很快吧!(不是疑問而是肯定)

如果去把敏捷方針拿出來讀的話,沒有一個快字 。導入敏捷會讓你的團隊知道目前以及未來要幹嘛,可以更有彈性的去迎接臨時的改變、頻繁的交付,可以想像是所有人有規律的划船,無論前方有小波大浪大家不會驚慌失措。沒受過財務訓練,要如何著手編列預算?2堂課,看數字、懂盈虧,掌握獲利!延伸閱讀

2. 導入敏捷要全員都參與,不是產品經理或工程師在自嗨

很重要也是大家時常犯的致命錯誤,測試一直沒歸納到敏捷開發實行的一環。工作這幾年,真的時常覺得測試是產品做後把關的守門員,卻在產品改動或是各種 flow 制定把測試忘記,這樣產品的品質以及專案的估時都不會準確。

每日的晨會務必大家都要參與,並且快速同步,昨天做什麼(確定到一個任務而不是大範圍的,不然一個禮拜都聽到 RD 說在修 Bug, 也不知道目前 Bug 的情況)、今天預計做什麼以及遇到什麼問題,而主持會議的 scrum master 在會議上要知道大家進度,並且幫忙解決問題或是找到可以解決問題的人。

3. 敏捷只是一個精神,不是素描本拿來造抄

很多人開始敏捷一定從他的推廣者傑夫.薩瑟蘭的《Scrum:用一半的時間做兩倍的事》那本書開始讀起,讀完開始覺得人生好光明。但跟你打賭能夠真的跑起來得 10% 不到。

把大的東西拆小,小到可以可開發可測試可發佈。聽起來很容易,真的做起來工程師說不能這樣拆,設計師說又想改一些細節、測試跟你說沒有及時的 data 讓他測試怎麼辦…等等。如果你為了要達成「為了跑 scrum 而先去做把所有內外在環境設定好」的想法,不到一個月就會放棄。

先做再去優化吧!

把敏捷的精神不只投入到專案,也投入到你正在實行的敏捷。所以說每個 Sprint 結束的回顧會議是非常重要的。

敏捷開發不只是專案管理法,而是整個組織的變革!拆解 7 大變革要素

所以敏捷不好嗎?

好,以實行到整個企業的話,前置作業很多,但至少要做到大家(從老闆到各個團隊的團員,甚至到跨團隊成員)都要有敏捷的知識(很重要),大家瞭解最簡可行產品 MVP(minimum viable product),有自動化測試(可以慢慢規劃),團員有顆開放適應改變的心…等等

我的心得是在一個產品的發布流程來說,其實有些是適合傳統瀑布的開發方法,比如穩定需求非常大的工業領域,並非一位的追求敏捷開發適應到所有的產業;但團隊內部每日工作是可以跑敏捷方法,小至個人的人生規劃。

資料來源:https://www.managertoday.com.tw/articles/view/62640

分類
CISSP

調查類型(Investigation Types)

一個調查是收集和用於特定目的的證據分析。
行政調查(Administrative Investigation)
. 行政調查是指對員工所謂的不當行為的內部調查。(法律內幕
. 行政調查由當地管理層,當地人事代表和/或員工關係進行,以應對通常與人事有關且不屬於犯罪性質的投訴或疑慮。例如,可以響應以下任何條件或指控而發起行政調查。
–申訴或投訴
–財產濫用/損壞/盜竊
–行為不端
–禁止騷擾或歧視
–威脅,恐嚇或暴力行為
–違反大學政策,規則和/或行為標準,或
–違反法律。(北卡羅來納州立大學

民事調查(Civil Investigation)
. 民事調查會發現並收集進行民事審判所需的證據。
民事審判是一種法院案件,涉及兩名個人公民,他們在與公民權利有關的問題上存在分歧。例如,如果一個人因家庭事故造成的損失提起訴訟,該案很可能會作為民事審判進行。民事調查人員有責任收集此類審判必不可少的證據。(PI NOW
. 當發生民事事件時,無論是進行審判還是試圖在法院外和解,各方都有責任適當準備捍衛自己的立場。民事案件是指當事方或當事方未能履行協議,履行服務或履行其法律義務時,在兩方之間發生的爭端。(全球情報顧問

監管調查(Regulatory Investigation)
. 監管調查是指由政府,監管,執法,專業或法定機構針對您發起的正式聽證會,官方調查,檢查,詢問,法律訴訟或任何其他類似程序。(法律內幕

刑事偵察(Criminal Investigation)
. 刑事調查是一門應用科學,涉及對事實的研究,然後將這些事實用於刑事審判。(維基百科
. 應用於犯罪領域的犯罪調查是指收集有關犯罪的信息(或證據)以達到以下目的的過程:
(1)確定是否犯罪。
(2)識別肇事者;
(3)逮捕肇事者;和
(4)提供的證據來支持一個信念在法庭上。(JRank

調查標準,準則和協議(Investigation Standards, Guidelines, and Protocols)

  1. 世衛組織–調查議定書
  2. CHS聯盟–調查指南
  3. 西澳大利亞州監察員–進行調查的準則
  4. 統一調查準則
  5. 澳大利亞政府調查標準(AGIS)
  6. 難民署調查資源手冊
  7. ISO / IEC 27043:2015 —信息技術—安全技術—事件調查的原理和過程
  8. ISO / IEC 27041:2015 —信息技術—安全技術—確保事件調查方法的適用性和適當性的指南
  9. 事故和事故徵候調查(ISO 9001:2015,ISO 14001:2015和ISO 45001:2018)

參考
DOJ民事調查和DOJ刑事調查有什麼區別?
法律證據

資料來源: Wentz Wu網站

分類
CISSP

DH金鑰協議(key agreement)技術的概念說明

分類
CISSP

SOC Reports: What’s The Difference Between SOC 1, SOC 2, and SOC 3?