分類
CISSP

及時生產 ( just-in-time)

及時生產 (JIT) 一詞出現在豐田生產系統中。JIT 是一種庫存管理策略,可根據需要或按需訂購庫存。在安全方面,許多活動可以及時進行——例如,身份提供、證書註冊、授權、權限提升等。
促進身份驗證以便用戶可以登錄一次並跨系統訪問資源是單點登錄 (SSO) 的描述。它與及時生產的概念無關。

參考
AWS 即時預置
AWS 即時註冊
什麼是即時 (JIT) 供應?
SAML SSO 與即時 (JIT) 供應之間的區別
什麼是即時 (JIT) 特權訪問?
什麼是即時特權訪問?
及時生產 – 豐田生產系統指南
及時生產 (JIT) 庫存管理

資料來源: Wentz Wu QOTD-20210728

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

樣本指紋與模型庫中的模板匹配(The sample fingerprint matches the template in the model repository)

https://ithelp.ithome.com.tw/upload/images/20210823/20132160Wwq8awYRWE.jpg
-零假設和替代假設(來源:PrepNuggets)
原假設和替代假設(Null and Alternative Hypotheses)
零假設是假設與正常狀態為零或沒有偏差。由於證明假設很困難,我們通常會找到反對原假設的證據並接受替代假設,而不是直接證明替代假設為真。因此,原假設和備擇假設可以寫成如下:
. 替代假設:樣本指紋與模型庫中的模板不匹配
. 零假設:樣本指紋與模型庫中的模板匹配

錯誤接受率 (FAR) 和錯誤拒絕率 (FRR) 等與生物識別相關的術語是常用的,並且對於通信非常有效。人們或書籍將 FAR/FRR 與型一和 型二錯誤(用於統計假設)或假陽性/陰性(用於二元分類)相關聯的情況並不少見。我寫這個問題是為了強調當我們談論 I/II 類錯誤時零假設的重要性。

型一和 型二錯誤(Type I and Type II Errors)
在統計學中,我們通常不會只提出一個需要足夠證據來證明的假設。相反,我們接受備擇假設,因為我們拒絕了基於具有預定義顯著性水平(例如,5%)的反對原假設的證據。
統計假設檢驗的決定是是否拒絕零假設。但是,有些決定可能是錯誤的,可分為以下幾類:
. 第一類錯誤:我們拒絕原假設,這是真的。(拒絕正常情況)
. 第二類錯誤:我們未能拒絕原假設,這是錯誤的。(接受異常情況)

假陽性和假陰性(False Positive and False Negative)
當談到機器學習中的二元分類時,模型被訓練為基於一小部分樣本數據的二元分類器,通過標籤對實例/案例進行分類(例如,0/1、垃圾郵件/非垃圾郵件、武器/無武器) .
在實現基於異常檢測的系統中,它可以使用 Imposter/No Imposter 進行分類,如下所示:
. “冒名頂替者”是正面類的標籤。
. “無冒名頂替者”是負類的標籤。

誤報意味著識別/檢測到冒名頂替者,但決定是錯誤的。假陰性意味著沒有識別/檢測到冒名頂替者,而且該決定是錯誤的。人們通常會將假陽性與 I 類錯誤聯繫起來,將假陰性與 II 類錯誤聯繫起來,即使它們在使用不同技術的上下文中使用。Li 的論文很好地將統計假設檢驗與機器學習二元分類進行了比較。
https://ithelp.ithome.com.tw/upload/images/20210823/20132160R88nv16nH8.jpg
-假設檢驗和二元分類(來源:ScienceDirect

參考
統計假設檢驗與機器學習二元分類:區別和指南
統計學中的假設檢驗簡介 – 假設檢驗統計問題和示例
假設檢驗簡介
機器學習中的 4 種分類任務
分類:真與假和正與負

資料來源: Wentz Wu QOTD-20210727

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

威脅建模-DREAD

https://ithelp.ithome.com.tw/upload/images/20210819/201321608A0CAFwjtC.jpg
-Stride、VAST、Trike 等:哪種威脅建模方法適合您的組織?

風險敞口是根據可能性、後果和其他風險因素用貨幣價值、分數或尺度值評估的潛在損失的量度。風險暴露通常被簡化為後果的概率和幅度的乘積;即預期價值或預期暴露。例如,假設有 50% 的風險可能導致 1,000,000 美元的財務損失,則風險敞口為 500,000 美元。
DREAD 是損害、可再現性、可利用性、受影響用戶和可發現性的首字母縮寫詞。首字母縮略詞的每個字母代表可能性或影響。它們被一起考慮以評估風險敞口。
STRIDE 是一種風險分類工具,具有預定義的類別:欺騙、篡改、否認、信息披露、拒絕服務特權提升。它不分析威脅的可能性或影響。
https://ithelp.ithome.com.tw/upload/images/20210819/20132160LrOqIyt7WU.jpg
-威脅建模(來源:CSSLP CBK)
https://ithelp.ithome.com.tw/upload/images/20210819/20132160YsD3ZCXeIX.jpg

參考
Stride、VAST、Trike 等:哪種威脅建模方法適合您的組織?

資料來源: Wentz Wu QOTD-20210726

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

證書籤名請求 (CSR)

您應該生成公鑰和私鑰的密鑰對,並將私鑰保密。CSR 包含有關主題的信息、公鑰、由私鑰簽名以避免欺騙 CSR 的簽名以及其他信息。“CSR 最常見的格式是 PKCS #10 規範;另一個是由某些 Web 瀏覽器生成的簽名公鑰和質詢 SPKAC 格式。” (維基百科
證書籤名請求 (CSR) 完全由您自己創建並提交給註冊機構 (RA)。RA 不可能在您的 CSR 上添加時間戳。
https://ithelp.ithome.com.tw/upload/images/20210818/20132160IPD7TvlXHd.jpg
-openssl req -text -in file.csr(來源:Hallo zusammen)

參考
證書籤名請求
如何查看和解碼 CSR
證書籤名請求 (CSR) 示例

資料來源: Wentz Wu QOTD-20210725

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

CIA安全目標

曾就「資訊本身的破壞」和「資訊或資訊系統獲取或使用中斷」進行了辯論。然而,FISMA和FIPS 199明確而準確地區分了兩者。

以下投影片是 FIPS 199 中有關安全目標的摘錄,該摘錄與 FISMA 一致:
https://ithelp.ithome.com.tw/upload/images/20210423/20132160A5qQHjWQ5Y.jpg
-CIA作為安全目標

完整性(Integrity)
以下是 FISMA 中有關完整性的摘錄:
‘防止不當的資訊修改或銷毀,包括確保資訊不被否定和真實性。。。。。。'[44 U.S.C., Sec. 3542]]

可用性(Availability)
可用性是關於’確保及時性和可靠地存取和使用資訊。。。'[44 U.S.C., SEC. 3542
FIPS 199寫道:可用性損失是資訊或資訊系統存取或使用中斷。

數據消毒方法(Data Sanitization Methods)
‘銷毀’是 NIST SP 800-88 R1 中引入的數據消毒方法,而’破壞’是一種可以’破壞’介質的技術(例如破壞性技術)。然而,破壞性技術通常可以’摧毀’媒體,但他們不能保證媒體可以完全摧毀。
破壞(Destroy)、破壞(destruction)和破壞( disruption )可能具有類似的含義,但它們可能在各種上下文中提及不同的東西。

資料來源: Wentz Wu QOTD-20210302

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

將傳統 IPX/SPX 網路連接到 IP 網路,最合適的設備為閘道器

https://ithelp.ithome.com.tw/upload/images/20210816/20132160nLz9rukGpr.jpg
一個網路通過傳輸介質連接兩個或多個節點,共享資源;它有兩種架構視圖:物理視圖和邏輯視圖。網路的邏輯部分在物理層之上工作。邏輯網路由網路層協議表示,例如IP。使用 32 位 IP 地址和子網路遮罩的 IP 協議編號(地址)節點和網路。執行相同協議的所有網路都是同構的。IP 網路和 IPX 網路的混合是異構的。路由器通常連接均相邏輯網路。閘道器在該上下文中是指連接同構網路的設備,其典型地需要協議轉換。一個防火牆旨在過濾數據包或篩選消息。下一代防火牆強調的只是它處理越來越多的新興需求並提供更多解決方案的想法。

閘道器(Gateway)
在 ISO OSI 參考模型的經典教科書中,閘道器通常是指應用協議轉換的第 7 層閘道器或應用程序閘道器。然而,現在人們傾向於從字面上使用術語閘道器。例如,默認閘道器可能是指 NAT 設備、路由器或防火牆;電路級閘道器是指工作在會話層的防火牆。

信號和中繼器(Signal and Repeater)
物理網路是邏輯網路的底層基礎設施。主要的物理元素是傳輸介質和承載數據的信號。信號在媒體上傳播的時間長短各不相同;無論使用哪種媒體,信號總是會衰減。模擬信號由放大器放大,而數字信號由中繼器重複,以便它們在減弱之前可以傳播得更遠。

拓撲和橋接器(Topology and Bridge)
節點通過傳輸介質(有線或無線)連接,並形成形狀或拓撲。線性總線、圓環、分層樹和網狀網路是常見的拓撲結構。橋接器連接不同的形狀或拓撲的兩個或多個網路。

數據鏈路層:MAC 和 LLC(Data Link Layer: MAC and LLC)
網路上任何形狀/拓撲的節點都可以相互通信,就像它們中的任何一對通過電纜直接連接一樣。事實上,這些節點共享相同的媒體。換句話說,它們在邏輯上而不是在物理上是相連的。我們將網路上任意一對節點之間的通信稱為邏輯鏈路。由共享媒體連接的節點的規則稱為媒體存取控制(MAC);網路上任意一對節點之間的錯誤和流量控制稱為邏輯鏈路控制 (LLC)。MAC 和 LLC 被共同視為 ISO OSI 參考模型中數據鏈路層的主要關注點。

參考
.中繼器、橋接器、路由器和閘道器:比較研究
.詳細講解中繼器、集線器、橋接器、路由器、閘道器、交換機。
.下一代防火牆

資料來源: Wentz Wu QOTD-20210720

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

組織計劃為建立一個專責的資安部門(安全功能),最不重要的考慮是“安全和隱私安全控制選擇”

https://ithelp.ithome.com.tw/upload/images/20210815/20132160XsFPkaGP1D.jpg
-外部和內部分析
存在為客戶服務的組織;他們的需要和要求很重要。組織在開始戰略計劃之前進行外部和內部分析或背景和組織分析。同時識別和分析利益相關者或利益相關方。
建立一個部門來負責安全功能是一種組織變革。法律和法規要求或客戶的需求和要求這種情況並不少見。安全功能的位置、角色和職責可能與 IT 功能重疊。例如,防火牆、端點安全、安全運營中心和服務台可能會使用共享資源,模糊了安全運營和 IT 運營的界限。
安全和隱私安全控制的選擇很重要,但它不像上面提到的其他因素那麼重要,因為可以在安全部門成立後考慮控制。此外,控制可以應用於各種級別,例如資訊系統級別、設施級別、業務流程級別或組織級別。控制是風險緩解策略的一部分。它們在風險評估後實施。因此,它更像是一個風險管理問題,而不是建立安全部門時的問題。

資料來源: Wentz Wu QOTD-20210719

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

遵守政策的管理制度

https://ithelp.ithome.com.tw/upload/images/20210814/20132160IilCUAvtXl.jpg
-政策框架
最高管理層要求加強資訊安全並通過政策表達他們的保護要求。有效的資訊安全涉及人員、流程和技術(PPT)等綜合考慮。處理數字數據的資訊系統只是資訊安全的基本要素。
資訊系統可能需要支持基於訪問控制矩陣的自由訪問控制 (DAC) 和基於格、狀態機和資訊流等形式模型的強制訪問控制 (MAC)。然而,這樣的技術解決方案是不夠的或無效的。
管理體係是“組織的一組相互關聯或相互作用的要素,用於製定政策和目標以及實現這些目標的過程”。(ISO 22886:2020) 制定相關政策、標準、程序或指南,並與相關最高管理層的政策保持一致。管理體系提供了一個整體視圖,集成了人員、流程和技術(PPT),並為資訊安全的實施提供了框架。
https://ithelp.ithome.com.tw/upload/images/20210814/20132160Q2fYDpzR8D.jpg
-ISO通用管理模型

資料來源: Wentz Wu QOTD-20210718

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

聲明(claim)

https://ithelp.ithome.com.tw/upload/images/20210813/201321609JL0jxK0GZ.jpg
-身份和存取管理
典型的身份驗證過程包括三個步驟:

  1. 主體向身份提供者 (IdP) 表明其身份。
  2. IdP 根據目錄驗證用戶名和密碼。
  3. 如果主題得到驗證,IdP 會發出一個令牌。

基於聲明(或基於斷言)的身份驗證意味著您的網站接受來自外部身份提供商 (IdP) 的令牌,而不是根據服務器上的目錄對用戶名和密碼進行身份驗證。聲明或斷言通常打包在由發行人 IdP 簽名的令牌中。您作為客戶的網站依賴於 IdP 發布的聲明。
基於明文的身份驗證很常見。用戶名和密碼可以以 HTML 形式或通過 HTTP 基本身份驗證方案提交。儘管密碼本身未加密,但它通常受 TLS/SSL 會話保護。
一些 JavaScript 庫可以將密碼加密為密文並將其發佈到後端服務器,即使我們在使用 TLS/SSL 時不必這樣做。
HTTP Digest 方案實現了質詢和響應。“有效的響應包含用戶名、密碼、給定的
nonce 值、HTTP 方法和請求的 URI的校驗和(默認為 MD5 校驗和)。” (RFC 2617)

參考
HTTP 身份驗證:基本和摘要式存取身份驗證

資料來源: Wentz Wu QOTD-20210717

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

基於 SAML 的聯合身份管理 (FIM) 以支持單點登錄 (SSO)

https://ithelp.ithome.com.tw/upload/images/20210812/20132160TGnH605U5B.jpg
來源:安全斷言標記語言 (SAML) V2.0 技術概述
如上圖所示:
. 一個用戶可以在每個域中擁有一個身份,也可以在多個域之間擁有多個身份。例如,John Doe 在三個系統中註冊了三個帳戶,如下所示:
. 在airline.example.com 中的JohnDoe
. JDOE在cars.example.co.uk
. 約翰在hotels.example.ca
. 聯合身份是域之間共享的假名,用於隱藏用戶的身份。例如,化名azqu3H7和f78q9c0 均 指用戶 John Doe。
. azqu3H7是airline.example.com 和cars.example.co.uk 之間約定的化名。
. f78q9c0 是airline.example.com 和hotels.example.ca 之間約定的化名。
. 依賴方根據 SAML 中表達的斷言授權訪問請求。
. SAML 提供了一種標準方法來呈現跨系統和安全域工作的斷言。
. SAML 斷言是供依賴方或服務提供商做出授權決定的輸入。授權可以基於 XACML。
. SSO 依賴於服務提供商 (SP) 對身份提供商 (IdP) 的信任。

OASIS 安全斷言標記語言 (SAML) 標准定義了一個基於 XML 的框架,用於在在線業務合作夥伴之間描述和交換安全信息。此安全信息以可移植SAML 斷言的形式表示,跨安全網域邊界工作的應用程序可以信任這些斷言。OASIS SAML 標准定義了用於請求、創建、通信和使用這些 SAML 斷言的精確語法和規則。

聯合身份(Federated identity)
. 用戶通常在與其交互的每個合作夥伴的安全域內擁有單獨的本地用戶身份。
. 身份聯合為這些合作夥伴服務提供了一種方式來商定並建立一個通用的共享名稱標識符來引用用戶,以便跨組織邊界共享有關用戶的信息。
. 當合作夥伴就如何引用用戶建立了這樣的協議時,就稱該用戶具有聯合身份。

單點登錄(Single Sign-On)
SAML 通過提供獨立於供應商的標準語法和協議來解決多域 SSO (MDSSO) 問題,用於將用戶信息從一個 Web 服務器傳輸到另一個獨立於服務器 DNS 域的服務器。
來源:安全斷言標記語言 (SAML) V2.0 技術概述

參考
安全斷言標記語言 (SAML) V2.0 技術概述

資料來源: Wentz Wu QOTD-20200806

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文