分類
CISSP

RESTful API

用戶或資源所有者向身份提供者而不是聯合系統中的資源或 API 服務器進行身份驗證。身份提供者向客戶端提供令牌,以便它可以訪問 API 服務器。
HTTPS 強制保密,但 POST 方法沒有。使用 POST 方法的 HTTP 請求以明文形式傳輸。
API 有一個漏洞,可以在設計階段通過威脅建模儘早識別。
RESTful API
RESTful API 通常可以通過基本 URI 訪問,使用標準 HTTP 方法並返回媒體類型。HTTP 請求 GET https://api.WentzWu.com/user/ {username}/{password} 看起來像一個 RESTful API 請求。但是,我們不知道 API 如何返回結果,也不能斷定它是 RESTful。

以下是維基百科關於 RESTful API 的總結:
表現層狀態轉換(REST) 是一種軟體架構風格,旨在指導萬維網架構的設計和開發。REST 已被整個軟件行業採用,並且是一套被廣泛接受的用於創建無狀態、可靠的 Web API 的指南。
遵守 REST 架構約束的 Web 服務 API 稱為 RESTful API。基於 HTTP 的 RESTful API 的定義有以下幾個方面:
–基本 URI,例如http://api.example.com/;
–標準 HTTP 方法(例如,GET、POST、PUT 和 DELETE);
–定義狀態轉換數據元素的媒體類型(例如,Atom、微格式、application/vnd.collection+json、[13]:91-99 等)。當前表示告訴客戶端如何編寫轉換到所有下一個可用應用程序狀態的請求。這可以像 URI 一樣簡單,也可以像 Java 小程序一樣複雜。

參考
表象狀態轉移
一個不好的例子:裸奔的帳密就在你我身邊

資料來源: Wentz Wu QOTD-20210909

分類
CISSP

風險評鑑(risk assessment)

https://ithelp.ithome.com.tw/upload/images/20211129/20132160Vu6KW3p74V.jpg
-NIST SDLC 和 RMF
NIST RMF 的第一步,Categorize System,通過評估系統處理的資訊類型的高水位來確定係統的影響級別,以便根據系統特定的要求選擇和定製或修改一組基線控制,作為風險評估的結果。
資訊安全政策是關鍵和高水平的。它沒有直接定制安全控制的詳細或特定要求。

資料來源: Wentz Wu QOTD-20210908

分類
CISSP

(ISC)² 道德準則

(ISC)² 道德準則僅適用於 (ISC)² 會員。垃圾郵件發送者的身份不明或匿名,這些垃圾郵件發送者不請自來,吹捧代理考生在 CISSP 考試中作弊。換句話說,他們不一定是 (ISC)² 成員。作為 CISSP,只有在您確定垃圾郵件發送者是 (ISC)² 成員的情況下,您才能向 (ISC)² 提交投訴,說明違反了道德規範的規範。

所有獲得 (ISC)² 認證的信息安全專業人員都承認,此類認證是一項必須獲得和維護的特權。為了支持這一原則,所有 (ISC)² 成員都必須承諾完全支持本道德準則(“準則”)。(ISC)² 成員故意或故意違反本準則的任何條款將受到同行評審小組的製裁,這可能會導致認證被撤銷。(ISC)² 會員有義務在發現 (ISC)² 會員違反本準則的任何行為後遵守道德投訴程序。不這樣做可能會被視為違反Canon IV 的準則。
資料來源: (ISC)²

參考
(ISC)² 道德準則
Hack-Back:邁向網絡自衛的法律框架
回擊利弊:反擊前您需要了解的內容

資料來源: Wentz Wu QOTD-20210907

分類
Information Security

EDR、NDR、XDR、MDR – 檢測和響應的不同概念

“威脅檢測和響應”現在被認為是保護企業網絡不可或缺的手段。由於環境規模大,需求日益複雜,因此應盡可能主動、快速、高效、自動地發現或預防潛在的危險和威脅,並恢復或清理相應的系統。

一組三個字母可以隱藏市場上提供的幾種類型的“檢測和響應”模型。這些首字母縮略詞代表什麼?一種解決方案與另一種解決方案的區別是什麼?

以下是您需要了解的內容的概述。

EDR

…代表’端點檢測和響應’。連接到網絡的每台設備都代表來自 Internet 的威脅的潛在攻擊媒介,並且這些連接中的每一個都是通往您的數據的潛在網關。一般而言,EDR 解決方案從端點收集數據,使用它來識別潛在威脅,並提供有用的方法來調查和響應這些潛在威脅——現代解決方案甚至可以通過後續報告實現自動化。

  • 範圍:端點和主機
  • 意圖:端點/接入區域保護免受滲透、監控和緩解、漏洞評估、警報和響應
  • 方法:惡意行為、攻擊指標 (IoA)、妥協指標 (IoC)、簽名、機器學習
  • 挑戰:高級持續威脅 (APT)、勒索軟件、惡意腳本等。

NDR

…是“網絡檢測和響應”。這是從傳統的網絡安全演變而來的,是 NTA(網絡流量分析)的一個子領域。它確保全面了解通過網絡的已知和未知威脅。這些解決方案通常提供集中的、基於機器的網絡流量分析和響應解決方案,包括高效的工作流程和自動化。網絡中的定位和機器學習的幫助提供了對網絡的全面洞察和分析,以識別和消除特別是橫向運動。

  • 範圍:網絡和設備間流量
  • 意圖:網絡流量的可見性/透明度、已知和未知威脅和橫向移動的檢測、警報和響應
  • 方法:攻擊指標 (IoA)、異常檢測、用戶行為、機器學習
  • 挑戰:高級攻擊和入侵、無惡意軟件攻擊

MDR

…代表’託管檢測和響應‘。這裡的重點不是技術,而是服務。作為 MDR 的一部分,客戶將他們的安全運營外包,並從全年、24 小時的可靠安全中受益。

安全提供商為他們的 MDR 客戶提供訪問他們專門從事網絡監控、事件分析和安全事件響應的安全分析師和工程師池的權限。

由於所需的技能和資源,該服務在SOC(安全運營中心)和 SIEM(安全信息和事件管理)領域尤其受歡迎。

  • 範圍:組織
  • 意向:安全專業知識外包、安全信息集中、高質量諮詢和安全合規
  • 方法:通過各種接口(API、日誌、DataLake 等)集成客戶系統
  • 挑戰:組織內缺乏安全技能/資源、xDR 工具的部署、日常安全的簡化:警報/事件的處理/最小化

探索耐多藥

XDR

…借助更強大的人工智能和自動化方法,擴展了 EDR 的潛力,因此“擴展檢測和響應”。

XDR 不僅集成端點,而且通過超越單向量點解決方案,將設備間流量以及用於分析和評估的應用程序包括在內,從而提供對企業網絡的可見性。

由此產生的海量數據庫/數據湖實現了基於機器的精確分析和高效檢測,主要是通過使用部署的組件對數據進行深度集成和關聯。

結合使用SIEM,可以進一步增強這種相關性和可見性。可以向指示和事件提供進一步的(元)數據,以促進惡意軟件的緩解(攻擊預防)和/或補救(攻擊後系統的恢復)。

  • 範圍:端點、主機、網絡和設備間流量、應用程序
  • 意圖:多個安全級別(網絡、端點、應用程序)的可見性/透明度、在橫向級別檢測已知和未知威脅,包括所有組件、整體監控和緩解、漏洞評估、警報和響應、事件的簡化和整合,以及活動和有針對性的反應
  • 方法:機器學習、攻擊指標 (IoA)、異常檢測、用戶行為、惡意行為、妥協指標
  • 挑戰:製造商的集成可能性/接口、透明度差距、部分 EDR 典型和 NDR 典型挑戰

資料來源:https://www.nomios.com/news-blog/edr-ndr-xdr-mdr/

分類
CISSP

最大可容忍停機時間(MTD)

https://ithelp.ithome.com.tw/upload/images/20211122/20132160CZhX8PXc30.jpg
-業務影響分析 (NIST)
支持產品或服務交付的業務流程通常取決於一個或多個資源。作為約束的業務流程的最大可容忍停機時間由業務人員決定,這推動了依賴資源恢復目標的設置。
https://ithelp.ithome.com.tw/upload/images/20211122/20132160Tmb44jT1qP.jpg
-常見的 BIA 術語

資料來源: Wentz Wu QOTD-20210906

分類
CISSP

EDRM(電子發現參考模型)

https://ithelp.ithome.com.tw/upload/images/20211119/20132160TU1LKeCL50.jpg
-電子發現參考模型
證據開示,在英美法關係法域中,是訴訟中的一種預審程序,當事人通過民事訴訟法,可以通過詢問、請求等開示手段從對方或多方取得證據用於製作文件、要求承認和作證。可以使用傳票從非當事人那裡獲得發現。當證據開示請求遭到反對時,請求方可以通過提出強制開示請求的動議來尋求法院的協助。
資料來源:維基百科

重要記錄(Vital Records)
重要記錄是政府當局保存的生活事件記錄,包括出生證、結婚證(或結婚證明)、分居協議、離婚證或離婚證和死亡證。在某些司法管轄區,重要記錄還可能包括民事結合或家庭夥伴關係的記錄。
請注意,只有生活事件的含義僅限於政府;本文中記錄管理的含義適用於政府和非政府組織。
資料來源:重要記錄

參考
重要記錄
發現(法)
什麼是 EDRM(電子發現參考模型)?
什麼是信息治理參考模型 (IGRM)?

資料來源: Wentz Wu QOTD-20210905

分類
CISSP

什麼是假名化?

假名化 是歐盟通用數據保護條例 (GDPR)推動的一種數據管理程序。當數據被假名化時,可以指向主體身份的信息被“假名”或標識符替換。這可以防止數據專門指出用戶。

將假名數據與唯一的個人聯繫起來的唯一方法是將其與其他單獨存儲和保護的數據相結合。該系統允許組織分析個人數據並繼續為客戶提供服務,同時保護主體的隱私權。

在 GDPR 第 4(5) 條中,假名化過程被定義為“在不使用額外信息的情況下,個人數據無法再歸屬於特定數據主體的方式處理個人數據。” 

資料來源:https://www.trendmicro.com/vinfo/us/security/definition/pseudonymization

分類
CISSP

Bruce讀書方法

一本書, 要在1到3小時內看完第一次. 第一輪就要把書的背景, 結構及重點抓出來. 第一輪的快速看書, 就是要確定這本書值不值的繼續看下去. 值的看的書, 要看第二輪去詳讀, 第三輪去細讀. 經典等級的書不但值得收藏, 更值得看一輩子. 像心經, 短短的. 一下子就看完了, 但裏面的東西要一輩子去參.

大部份的書都是工具書, 都可以很快看完第一輪. 例如, CISSP的考試用書可以先快速看完第一輪(1~3小時), 然後就開始作題目, 再查書, 找資料, 看書, 及作題目. 如此反覆. 千萬別想等看完書再來作題目.

關於看書, 我很有心得. 學生時代, 我幾乎沒有完整看完過一本書. 因為我覺得”看完”很花時間, 而且大部份都看不懂, 所以不愛看書. 但後來, 我才知道看書是怎麼一回事: 有效看書的重點是好奇跟看懂. 不過, 好奇心不會自己產生. 我對一本書好奇, 是因為我有很多工作或長久以來的問題無法解決, 想要知道書上怎麼寫, 自然就會有好奇心. 若能找到書上的內容來解決工作上的問題, 好奇心被滿足了, 就自然覺得懂了. 因此, 看懂 = 好奇心被滿足了.

很好奇, 就會迫不急待想要快速找出書中的觀點, 所以速度就會快. 再搭配一些閱讀技巧, 很快就能找到答案. 關於閱讀技巧, 我最大的收穫就是: 只有閱讀技巧是沒有用的, 因為書的作者也要有好的寫作技巧. 若作者程度太差, 書就不會有好的結構. 還到這種寫得不好的書, 你有再好的閱讀技巧也沒有用. 這種不合格的書, 我就不會浪費時間去看了.

我上課的內容都有圖, model, 都很結構化. 其實也是這樣來的.

分類
Information Security

[專訪] 資訊安全治理(Governance) vs 資訊安全管理(Management): 為什麼需要ISO 27014?

隨著資料數位化,大數據、AI分析等技術相繼被各企業、政府單位採用,近年來企業內的資安單位,已從支援角色變成重要策略單位,單就國際標準ISO 27001資訊安全管理系統,逐漸無法完整凸顯企業競爭力。2013年發布的ISO 27014:2013資訊安全治理標準,將資訊安全「管理」進階至「治理」層級,將成為5G及雲端時代下重要的稽核標準。

從資安「管理」進階到資安「治理」

國際專業驗證機構,SGS驗證及優化事業群產品經理劉士弘,談到「過去組織通過ISO 27001驗證是魅力品質,但現在看來僅只是基本品質。」多數組織的資訊安全管理的範圍多著重於資訊單位,但若導入「治理(Governance)」的概念,需要考量的範圍與情境會豐富而且實際許多,例如除了一般常見的資訊相關風險外,就組織營運角度,也許更應該將財務、法律責任、客戶、合作夥伴、產品或服務研發、企業聲譽及形象、客戶及伙伴的信任、營收…等與組織營運策略方向直接相關的因素及風險納入考慮。

ISO 27014六大原則、五大流程

當層級提高到資安治理,資訊安全這件事不再只是由單一資訊單位或是少數單位來主導和參與,而是應該因應整個組織的策略、目標、方向與優先順序來與組織內各功能、各部門協同運作,而運作的方向須與組織營運方向一致,呈現的績效也須與組織營運績效連結且相符。

針對如何達成資訊安全治理,ISO 27014提出了「六大原則」以及「五大流程」。

六大原則包含:

  1. 建立全組織資訊安全(Establish organisation-wide information security)。
  2. 採用基於風險作法(Adopt a risk-based approach)。
  3. 設定投資決策方向(Set the direction of investment decisions)。CapEx和營運支出OpEx流程,以確保最佳化資訊安全投資以支援組織目標。
  4. 確保內、外部要求一致性(Ensure conformance with internal and external requirements)。
  5. 培養安全良好的環境(Foster a security-positive environment)。
  6. 審查相關營運成果績效(Review performance in relation to business outcomes)。 

欲達成上述六項原則, ISO 27014明定五項流程。

  1. 評估(Evaluate)。
  2. 指導(Direct)。
  3. 監視(Monitor)。
  4. 溝通(Communicate)。
  5. 保證(Assure)。 

劉士弘補充說道「政府2018年頒布的資通安全管理法,處處皆存在資安治理概念,例如:重視高階長官的參與度,要求組織投注一定比例的經費預算與人力配置。該法也將提升組織資安意識納入,強調橫向情資分享、縱向溝通、回報與監督,推行資安治理成熟度的評估等。」

資安觀念要站到前線

劉士弘說,ISO 27014主要涉及治理層面,管理階層愈高,代表跨產業的可能性愈大,整體來說,這項標準是比較通用的。但一些風險比較高的產業,或許可優先考慮滿足ISO 27014國際標準,包括高科技產業、醫療產業、金融產業、有機密資料的公務機關、關鍵基礎設施…等,劉士弘建議這些產業「要儘快將資安治理思維導入組織,以更宏觀地發現與因應可能的風險。」

席間SGS驗證及企業優化事業群部經理何星翰說,若數位智慧製造廠商參考遵循ISO 27014將資安「管理」拉高至「治理」層級後,許多IoT許多設備與應用可能發生的資安問題將可進行較為合適的處理方案。他說,目前部份廠商將智慧醫療、智慧家電系統賣給醫療院所或家庭後,由資訊單位單獨面對及管理IoT設備安全問題,銷售、設計製造或客服部門並未參與,若仍用傳統家電服務概念進行管理,而不是企業治理以涵蓋整體服務生命週期,恐發生數據外洩,隱私遭侵犯等問題。

因此,「資安觀念要站到前線」,相關業務與售後服務單位,需提升IoT安全意識,高階管理也要展現重視資安之承諾及決心,跨部門協調及整合,以整體強化資安成熟度。
 
何星翰說,2021年在資安上確有不少重要議題,如資安法修法,ISO 27001改版,「一旦改版,國內預估有800至900張證書,都需在兩、三年內完成轉版。」此外,金管會發佈金融資安行動方案,保險公司、證券業須導入資安管理系統及營運持續管理系統等,國防產業鏈是否能做到美國國防部要求的乾淨供應鏈網路,與資安相關人才需求及培訓,都是令人關注的資安議題。

資料來源:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9023

分類
CISSP

虛擬機器監視器(Hypervisor)

https://ithelp.ithome.com.tw/upload/images/20211115/20132160JUYvH34qbW.png
-虛擬機和容器部署(來源:NIST SP 800-190)
虛擬機器監視器(Hypervisor)是虛擬機管理器,如上圖所示。來賓 VM 託管一個單獨的操作系統實例,而容器與其他容器共享操作系統內核。
內存邊界(Memory bounds)是一種常見的操作系統內存管理機製或計算機語言結構,用於限制進程的內存訪問。
https://ithelp.ithome.com.tw/upload/images/20211115/20132160Y8QODVqOW4.jpg
-進程的內存佈局(Memory Layout of a Process)
解釋器( interpreter)可以被視為限制腳本行為的沙箱(sandbox)。例如,瀏覽器(browser)是解釋器作為 JavaScript 沙箱的一個很好的例子。
https://ithelp.ithome.com.tw/upload/images/20211115/20132160lSALZX9CWo.jpg
-軟體運行環境

資料來源: Wentz Wu QOTD-20210903