分類
CISM

關鍵成功因素CSF

關鍵成功因素(英語:Critical success factor,CSF)是一個術語,描述使組織或項目實現其宗旨所需的因素。是確保一個公司或一個組織成功所需的關鍵因素或活動。例如,一個成功的IT項目的關鍵成功因素是用戶的參與。[1]這個詞最初用在數據分析業務分析領域。

不應把「關鍵成功因素」與「成功標準」(Success criteria)相混淆。成功標準是一個項目的成果或一個組織的成就,是由目標定義的,並且可以用關鍵績效指標(KPI)來定量。

歷史[編輯]

「成功因素」的概念是由麥肯錫公司的D. Ronald Daniel於1961年開發的。[2]1979年[3]至1981年期間[4],這個過程被John F. Rockart精煉為關鍵成功因素。

與關鍵績效指標的關係[編輯]

關鍵成功因素與關鍵績效指標(KPI)相比:

  • 關鍵成功因素是對於成功的戰略至關重要的要素。
  • 關鍵成功因素帶動戰略的推進,它致使或打破了戰略的成功(所以「關鍵」)。
  • 戰略制定者應該問自己「為什麼客戶選擇我們?」。答案通常是成功的關鍵因素。

另一方面,關鍵績效指標是量化目標管理的措施,結合了目標或閾值,並確保戰略績效可衡量。 例如:

  • API = 新客戶數量。(可衡量量、可量化的)+ 閾值 = 10/周 [如果有10個或更多的新客戶,KPI達到;如果 < 10,KPI失敗]
  • CSF = 為了提供優質的客戶服務(和間接影響——通過客戶滿意度獲得新客戶)而設立一個呼叫中心。

資料來源:https://zh.wikipedia.org/wiki/%E5%85%B3%E9%94%AE%E6%88%90%E5%8A%9F%E5%9B%A0%E7%B4%A0

分類
CISM

受保護的內容: CISM_考試重點

這篇內容受到密碼保護。如需檢視內容,請於下方欄位輸入密碼:

分類
CISSP

威脅建模(Threat modeling)

“從概念上講,大多數人在日常生活中都採用了某種形式的威脅建模,甚至沒有意識到這一點。” (維基百科)勒索軟件攻擊的發生並不是因為該公司沒有進行威脅建模。相反,公司必須改進威脅建模過程。
此外,由於相關公司已經完成了調查,這意味著威脅建模已經到位並且正在進行中。勒索軟件攻擊已被識別、分析和確認。現在是評估消除問題的特定解決方案或減輕風險的對策的時候了。因此,無需提出將威脅建模作為主動性或解決方案的建議。
在這個問題中,攻擊者無需用戶交互即可在網絡中四處移動。結果,技術安全控制比諸如意識培訓的行政管理更有效。

細粒度與粗粒度訪問控制(Fine-Grained vs. Coarse-Grained Access Control)
訪問控制可能不是防止勒索軟件攻擊再次發生的最終解決方案。但是,它是四個選項中最好的。
. 自主訪問控制 (DAC) 是一種粗粒度的訪問控制機制,而基於風險的訪問控制(基於標准或基於分數)是一種細粒度的訪問控制,通常依賴於基於屬性的訪問控制 (ABAC)。
. 基於風險的訪問控制是“零信任”的核心要素,可以有效緩解橫向移動和數據洩露。
https://ithelp.ithome.com.tw/upload/images/20210531/20132160dp7fzh7u1H.jpg
-細粒度、動態和可見性

勒索軟件(Ransomware)
勒索軟件可以像需要用戶交互的病毒(特洛伊木馬)一樣被動運行,也可以像蠕蟲一樣主動傳播,無需用戶交互即可感染其他計算機(WannaCry)。
勒索軟件是一種來自密碼病毒學的惡意軟件,除非支付了贖金,否則就威脅要發布受害者的數據或永久阻止對其的訪問。”
勒索軟件攻擊通常是使用偽裝成合法文件的特洛伊木馬進行的,當它作為電子郵件附件到達時,用戶會被誘騙下載或打開。然而,一個引人注目的例子是 WannaCry 蠕蟲,它在沒有用戶交互的情況下自動在計算機之間傳播。
資料來源:維基百科

威脅建模(Threat Modeling)
本節介紹具體的定義和眾所周知的威脅建模方法。
. “威脅建模是一種風險評估形式,它對特定邏輯實體的攻擊和防禦方面進行建模,例如一段數據、一個應用程序、一個主機、一個系統或一個環境。” (NIST SP 800-154,草案)
. 在系統和軟件工程中,威脅建模是一種“系統的探索技術,以暴露任何可能以破壞、披露、修改數據或拒絕服務的形式對系統造成損害的情況或事件。” (ISO 24765:2017)
. 威脅建模是捕獲、組織和分析影響應用程序安全性的所有信息的過程。( OWASP )
. 威脅建模是“一種工程技術,可用於幫助您識別可能影響您的應用程序的威脅、攻擊、漏洞和對策。您可以使用威脅建模來塑造應用程序的設計、滿足公司的安全目標並降低風險。” (微軟
“威脅模型本質上是影響應用程序安全性的所有信息的結構化表示。從本質上講,它是通過安全眼鏡查看應用程序及其環境的視圖。” (OWASP)
從 ISO 3100 的角度來看,威脅建模是系統和軟件工程背景下的一種“風險管理”形式。風險管理包括如下圖所示的活動:
https://ithelp.ithome.com.tw/upload/images/20210531/201321604igM5F7njW.jpg
-ISO 31000

NIST 以數據為中心的系統威脅建模
本出版物中介紹的以數據為中心的系統威脅建模方法有四個主要步驟:

  1. 識別和表徵感興趣的系統和數據;
  2. 識別並選擇要包含在模型中的攻擊向量;
  3. 表徵用於減輕攻擊向量的安全控制;和
  4. 分析威脅模型。

微軟威脅建模
威脅建模應該是您日常開發生命週期的一部分,使您能夠逐步完善您的威脅模型並進一步降低風險。有五個主要的威脅建模步驟:

  1. 定義安全要求。
  2. 創建應用程序圖。
  3. 識別威脅。
  4. 減輕威脅。
  5. 驗證威脅已得到緩解。
    https://ithelp.ithome.com.tw/upload/images/20210531/20132160dvoMB07zYd.png
    -圖片來源:微軟

參考
勒索軟體
NIST SP 800-154(草稿):數據中心系統威脅建模指南
微軟威脅建模
OWASP 威脅建模備忘單
OWASP 威脅建模
粗粒度與細粒度訪問控制——第一部分
粗粒度和細粒度授權
適應風險的訪問控制(RAdAC)

資料來源: Wentz Wu QOTD-20210322

分類
CISM

成本效益分析

成本效益分析cost-benefit analysis,簡稱「CBA」)是經濟學理論的一種常見應用,指一個人或者組織做決策時有系統性地考慮所有可能方案,並且逐個逐個方案想想的方案的利弊,最後按照分析結果決定到底應該採取哪個方案[1][2]。運用經濟學來做成本效益分析的過程大致上如下[1]

  1. 搜集相關數據,例如這間公司手頭上的財政資源和每一個方案的成本等[3];
  2. 按照數據同經濟學理論(以及別的相關的知識),列出每一個方案的優點和缺點;
  3. 按照數據同經濟學理論(以及別的相關的知識),估計每一個優點會造成的得益和每一個缺點會造成的損失,得益和損失要用某些數位量度,在實際應用上,得失大多是用錢來量度的;
  4. 按照匯整後的資訊,估計每一個方案的投資報酬率 ( return on investment;ROI,指純利和成本所成的比例);
  5. 選擇對自己最有利(投資報酬率最高)的方案。

資料來源:https://zh.wikipedia.org/wiki/%E6%88%90%E6%9C%AC%E6%95%88%E7%9B%8A%E5%88%86%E6%9E%90

分類
CISSP

瀑布(Waterfall)& 敏捷(Agile)

https://ithelp.ithome.com.tw/upload/images/20210530/20132160sS5o2XYphm.jpg
-圖片來源:gunther.verheyen

業務人員更了解監管要求和市場,因此IT和安全功能都應與業務需求保持一致,“系統應在經過全面測試後提交認證。”
. 監管機構通常會頒布特定的合規要求和 C&A 流程。瀑布是計劃驅動的,適用於有特定要求的項目,目前仍被廣泛採用。項目生命週期決策可以基於眾所周知的 Stacey 矩陣做出,如上圖所示。
. 此外,敏捷不是靈丹妙藥;它適合具有高度不確定性或複雜性的上下文。由於 IT 團隊遵循了通常涉及增量開發(價值)和持續交付(自動化)的敏捷方法,但這不起作用並導致 CEO 辭職。因此,應該實施瀑布來解決問題。
https://ithelp.ithome.com.tw/upload/images/20210530/201321606xgCXVzh2C.jpg
-敏捷心態 (PMI ACP)

敏捷(Agile)
敏捷是一種由一組價值觀、原則和實踐組成的思維方式。它強調交付可工作的軟件/價值(在Scrum 中也稱為“增量” )、人員協作和風險適應。
. 增量開發是敏捷的一部分。它指的是頻繁發布以交付價值和適應風險。
. 持續交付是敏捷中的一種常見做法,它意味著軟件開發的“自動化”工作流程以加速工作軟件的交付。
. “迭代”和“增量”是敏捷交付工作軟件(價值)的關鍵概念。敏捷開發是迭代開發和增量開發的結合。

參考
敏捷軟件開發宣言
為採用 Scrum 鋪平道路:(2)產品人員
CISSP 實踐問題 – 20201119
CISSP 實踐問題 – 20201228
CISSP 實踐問題 – 20200423

資料來源: Wentz Wu QOTD-20210321

分類
CISSP

濫用案例(misuse cases)

https://ithelp.ithome.com.tw/upload/images/20210528/20132160e4i4PZ6zSw.png
-用例和濫用案例(來源:https://en.wikipedia.org/wiki/Misuse_case)

用例(Use Case)
用例描述了一個或多個場景,這些場景表示參與者(用戶,代理,系統或實體)如何與系統交互。用例最適合傳達功能需求或從用戶角度出發。用例可以用結構文本或圖表表示。用例的標題可以以Subject + Verb的模式編寫,例如,客戶下訂單。

濫用案例(Misuse Case)
相反,濫用案例通常從惡意或無意的用戶的角度記錄對功能的威脅。當用戶使用功能時,開發人員會構建功能。用例或濫用案例通常不會記錄開發人員的構建過程或工作。
人非聖賢孰能。開發人員構建帶有錯誤的API並不少見。開發人員可能會為了系統監視目的而創建一個錯誤的API,但沒有一個濫用案例,這描述了參與者與系統進行交互的步驟(事件和響應),這是有風險的。

SQL注入(SQL Injection)
黑客在登錄表單中鍵入SQL表達式是一種典型的濫用情況。
https://ithelp.ithome.com.tw/upload/images/20210528/20132160UKeLwNFDGz.png
-SQL注入(來源:PortSwigger

路徑/目錄遍歷(Path/Directory Traversal)
路徑/目錄遍歷作為攻擊非常依賴於相對路徑。這是一個漏洞或指示器,會導致濫用案例,即用戶使用相對路徑在資源之間導航。
https://ithelp.ithome.com.tw/upload/images/20210528/20132160k4W4dmPU2G.png
-資料來源:Paul Ionescu

Web參數篡改/操縱(Web Parameter Tampering/Manipulation)
允許客戶通過輸入URL進入產品列表的特定頁面,這是一個糟糕的設計。如果用戶輸入了無效的頁碼怎麼辦?說-1或65535。
https://ithelp.ithome.com.tw/upload/images/20210528/20132160wC0Pa27HGE.png
-什麼是網址?

參考
目錄遍歷
遠程文件路徑遍歷攻擊帶來樂趣和收益
攻擊克
TRC技術講座:目錄遍歷攻擊與防禦–第1部分
Unix文件結構
什麼是網址?
Web參數篡改

資料來源: Wentz Wu QOTD-20210319

分類
CISSP

入侵檢測系統( intrusion detection system :IDS)

一個基於主機的IDS可以監視並通過安裝加密的網絡通信中分析活性劑在端點上。一個基於網絡的IDS,依靠傳感器被動嗅探流量,因為加密的活動通常是保護不能夠做到端到端的。

NIST SP 800-94引入了四個IDS部署參考模型:
. 基於主機
. 基於網絡
. 網絡行為分析(NBA)
. 無線的

基於網絡的IDS可以在線或被動(通過網絡竊聽或嗅探)在防火牆之前進行加固和部署。但是,更常見的是將其部署在更安全的環境中的防火牆後面。
具有網絡行為分析(NBA)功能的(基於網絡的)IDS監視通過網關的流量以及通過交換機集線器跨內部網絡的流量。
https://ithelp.ithome.com.tw/upload/images/20210525/20132160lZP5uJKqFJ.jpg
-基於被動網絡的IDPS傳感器架構示例(來源:NIST SP 800-94)

資料來源: Wentz Wu QOTD-20210317

分類
CISM

總擁有成本(TCO)

總體擁有成本TCO)是一種財務估算,旨在幫助購買者和所有者確定產品或服務的直接和間接成本。它是一種管理會計概念,可用於包括社會成本在內的全額成本會計甚至生態經濟學

資料來源:https://en.wikipedia.org/wiki/Total_cost_of_ownership

分類
CISM

投資回報率(ROI)

投資回報率ROI)或成本回報率(ROC)是淨收入(一段時間內)與投資(在某個時間點上某些資源的投資所產生的成本)之間的比率。高投資回報率意味著投資收益與其成本相比具有優勢。作為一項績效指標,ROI用於評估一項投資的效率或比較幾種不同投資的效率。[1]從經濟角度講,這是將利潤投資資本聯繫起來的一種方法。

資料來源:https://en.wikipedia.org/wiki/Return_on_investment

分類
CISM

心理帳戶(Mental accounting)

心理帳戶(心理會計學),最早由 2017 年的諾獎得主理察·塞勒提出。 塞勒認為,每個人都有心理帳戶,通過該心理帳戶來進行各種各樣的經濟決策

通過心理帳戶,可以解釋人的不理性經濟決策。

心理賬戶是芝加哥大學行為科學教授理察·薩勒(Richard Thaler)提出的概念。他認為,除了荷包這種實際賬戶外,在人的頭腦里還存在著另一種心理賬戶。人們會把在現實中客觀等價的支出或收益在心理上劃分到不同的賬戶中。比如,我們會把工資劃歸到靠辛苦勞動日積月累下來的「勤勞致富」賬戶中;把年終獎視為一種額外的恩賜,放到「獎勵」賬戶中;而把買彩票贏來的錢,放到「天上掉下的餡餅」賬戶中。

  對於「勤勞致富」賬戶里的錢,我們會精打細算,謹慎支出。而對「獎勵」賬戶里的錢,我們就會抱著更輕鬆地態度花費掉,比如買一些平日捨不得買的衣服,作為送給自己的新年禮物等。「天上掉下的餡餅」賬戶里的錢就最不經用了。通常是來也匆匆,去也匆匆型。想想那些中了頭彩的人,不論平日多麼的節儉,一旦中了500萬,也會立馬變得豪情萬丈,義薄雲天。這時的他們通常會有一些善舉,比如捐出一部分給貧困兒童。這就是心理賬戶在起用。當然,他們對社會的貢獻是值得稱頌的。

  實際上,絕大多數的人都會受到心理賬戶的影響,因此總是以不同的態度對待等值的錢財,並做出不同的決策行為。從經濟學的角度來看,一萬塊的工資、一萬塊的年終獎和一萬塊的中獎彩票並沒有區別,可是普通人卻對三者做出了不同的消費決策。

  所以知曉心理賬戶的存在,是精明理財的第一步,它會幫助你理性地消費。有個方法——換位思考,有助於培養一種好的思維習慣。精明的理財者會換一個角度來考慮自己的決策,比如,如果這一萬塊是我的辛苦勞動換來的工資,而不是彩票中的獎,我還會這麼大手大腳地花掉嗎?

資料來源:https://zh.wikipedia.org/wiki/%E5%BF%83%E7%90%86%E8%B4%A6%E6%88%B7