Choson資安大小事從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品等專業證照。此外,平常除了喜歡透過ITHelp平台及個人部落格分享文章,亦常擔任社群活動主辦者及志工,連結資安同好聯誼及共好學習,並協助對於CISSP有興趣的同學與同好準備認證考試。
由於管理是實現一個或多個目標的系統方法,我根據維基百科和NIST CSRC 術語表中的定義定義漏洞管理,並將它們擴展如下:
漏洞管理是識別、分類、優先排序、修復和驗證資訊系統、系統安全程序、內部控製或實施中的漏洞以降低風險的周期性實踐。
維基百科
漏洞管理是“識別、分類、確定優先級、修復和緩解”軟件漏洞的循環實踐。(維基百科)
NIST CSRC術語表
狹義上,漏洞可能是指那些被列入常見漏洞和暴露 (CVE) 的漏洞。
例如,漏洞管理是“一種識別設備上的漏洞 [常見漏洞和暴露 (CVE)] 的 ISCM 功能,這些漏洞可能被攻擊者用來破壞設備,並將其用作將破壞擴展到網絡的平台。” (NIST CSRC術語表)
從更廣泛的意義上講,漏洞是“資訊系統、系統安全程序、內部控製或實施中可能被威脅源利用或觸發的弱點”。(NIST CSRC術語表)
內部安全控制是資訊系統內的硬體、分位或軟體功能,將資源訪問權限限制為僅授權主體。[NIST CSRC術語表)]
資料來源:Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-戰略層次
通常,CEO 負責制定公司戰略或大戰略,董事會的意見和高級管理團隊的支持。
CISO 不是製定企業戰略的主要角色,而是與企業戰略保持一致以創造價值並實現組織願景和使命的信息安全戰略。此外,他還必須定位安全職能(部門),確定其組織、角色和職責,將安全融入組織流程,支持產品和服務的持續交付(所謂的“業務連續性”),並保護信息資產以加強安全。信息安全管理系統 (ISMS) 可確保有效地制定和實施安全策略。
CISO 的匯報路線因組織而異,各有利弊,但 CISO 向 CFO 或其他高級官員匯報並非不可能。
. CISO 向 CIO 報告的安排可能會導致利益衝突。
. CISO 向 CFO 報告的安排可能會花費更多時間來交流技術內容。
. CISO 向審計職能報告的安排將對其獨立性產生不利影響。
參考
. 什麼是安全功能
. 信息安全職能和職責
. 管理安全功能:診斷版本 1 摘要
. 企業安全
. 組織中安全管理的角色
. 如何組織您的安全團隊:網絡安全角色和職責的演變
. 萬豪-數據洩露
. ICO 因未能保證客戶個人數據安全而對萬豪國際進行罰款
. 什麼是企業戰略?
. 誰負責制定公司的戰略計劃?
. 如何制定企業戰略(CEO 分享最佳技巧和工具)
. 多元化公司的戰略規劃
. 如何評估企業戰略
資料來源: Wentz Wu QOTD-202104015
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
微服務(Microservices)
微服務是一個低耦合的架構,可以通過以下方式實現重構一個單片應用,即,轉向進程內的應用程序組件成自包含的網絡服務適於被部署在可伸縮或彈性容器或無服務器環境。
託管環境(Hosting Environment)
微服務可以通過兩種方式部署:容器化和無服務器。
容器化(Docker 主機或節點)(Containerization (Docker hosts or nodes))
容器化用於捆綁應用程序或應用程序的功能、所有依賴項及其在容器映像中的配置。此映像部署在主機操作系統上,捆綁的應用程序作為一個單元工作。
容器鏡像的概念允許我們在幾乎不做任何修改的情況下跨環境部署這些鏡像。通過這種方式,可以輕鬆快速地擴展微服務,因為新容器可以輕鬆部署用於短期目的。
Docker將用於向我們的微服務添加容器化。Docker 是一個開源項目,用於創建可以在雲端或本地的 docker 主機上運行的容器。
-來源:使用 ASP.NET Core 3.1 的微服務
無服務器(Serverless)(FaaS)
微服務具有“可擴展”的特點,但由於接口的細粒度,會導致微服務管理的高度複雜性。一個API網關或立面緩解這個問題。
無服務器減少了安裝和維護服務器作為託管環境的負擔。AWS Lambda是一種功能即服務 (FaaS) 產品,是無服務器計算中最著名的雲服務之一。
-資料來源:AWS 的無服務器微服務模式
參考
. Kubernetes 與 Docker:入門
. Node.js 中的無服務器:初學者指南
. Node.js 中的無服務器架構:開源應用的案例研究
. 無服務器和微服務:天作之合?
. 使用容器部署微服務
. 什麼是無服務器微服務?| 無服務器微服務解釋
. 適用於 AWS 的無服務器微服務模式
. 使用 ASP.NET Core 3.1 的微服務
資料來源: Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-可信路徑和可信通道
. 可信計算機系統(Trusted Computer System)
具有必要的安全功能並保證安全策略將得到執行並且可以同時處理一系列敏感信息(即機密、受控非機密信息 (CUI) 或非機密公共信息)的系統。(CNSSI 4009-2015)
. 可信計算庫 (TCB)( Trusted Computing Base)
計算機系統內保護機制的總和,包括硬件、固件和軟件,負責執行安全策略的組合。(CNSSI 4009-2015)
. 安全內核(Security Kernel)
實現參考監視器概念的可信計算基礎的安全內核硬件、固件和軟件元素。安全內核必須調解所有訪問,防止修改,並且可以驗證是否正確。(CNSSI 4009-2015)
. 可信路徑(Trusted Path)
一種機制,用戶(通過輸入設備)可以通過這種機制直接與信息系統的安全功能進行通信,並有必要的信心來支持系統安全策略。該機制只能由用戶或信息系統的安全功能激活,不可被不可信軟件模仿。(CNSSI 4009-2015)
. 可信通道(Trusted Channel)
端點已知且數據完整性在傳輸過程中受到保護的通道。根據所使用的通信協議,數據隱私可能在傳輸過程中受到保護。示例包括傳輸層安全 (TLS)、IP 安全 (IPSec) 和安全物理連接。(CNSSI 4009-2015)
. 可信平台模塊 (TPM)( Trusted Platform Module)
一種內置於某些計算機主板中的防篡改集成電路,可以執行加密操作(包括密鑰生成)並保護少量敏感信息,例如密碼和加密密鑰。(NIST SP 800-147)
. 可信恢復(Trusted Recovery)
確保在系統故障後不受影響地恢復的能力。(CNSSI 4009-2015) Common Criteria (CC) 定義了四種類型的可信恢復:手動恢復、自動恢復、沒有過度丟失的自動恢復和功能恢復。
資料來源: Wentz Wu 網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-ICT SCRM 支柱和可見性(來源:NIST SP 800-161)
僅當購買正版產品時,生命週期終止 (EOL) 和支持終止 (EOS) 才是關鍵問題。OEM 或供應商將不支持假冒產品。符合通用標準 (CC) 的產品固然很好,但在大多數組織中並不是強制性的。而且,仿冒也沒有意義。
以下是 NIST 對 ICT 供應鏈的常見風險:
產品銷售和支持(Product Sales and Support****)
終止產品銷售和支持的政策因供應商而異。下圖是產品 EOL 和 EOS 的示例。
-EOL 和 EOS:產品銷售和支持
參考
. 霍尼韋爾(Honeywell)
. 什麼是生命週期終止 (EOL) 與服務/支持生命週期終止 (EOSL)?
. 產品生命週期和支持管理 – Evolis 公司政策
. EVOLIS 目錄產品:停產日期
. 思科產品生命週期終止政策
資料來源: Wentz Wu QOTD-202104014
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-道德在新的 CISSP 考試大綱中名列前茅
道德規範(Code of Ethics Canons)
. 保護社會、共同利益、必要的公眾信任和信心以及基礎設施。
. 以光榮、誠實、公正、負責任和合法的方式行事。
. 為校長(principals)提供勤勉和稱職的服務。
. 推進和保護職業。
道德投訴程序(Ethics Complaint Procedures)
以下摘自(ISC)² 道德規範:
. 該倫理委員會是由董事會成立聽到所有的道德投訴和提出建議董事會。
. 委員會將只考慮具體說明我們的 (ISC)² 道德準則中已被違反的投訴。
. 雖然任何公眾都可以投訴Canons I 或 II的違規行為,但只有負責人(與證書持有者有雇主/承包商關係的人)可以投訴Canons III 的違規行為,並且只有其他專業人士(那些獲得認證或獲得專業執照並遵守道德準則)可能會投訴違反佳能 IV 的行為。
. 僅接受聲稱因所指控的行為而受傷的人的投訴。
. 所有投訴必須以書面形式提出。投訴必須採用宣誓書的形式。委員會不會考慮任何其他形式的指控。
. 如果表面證據確鑿,道德委員會將審查並向董事會提出建議。
參考
. (ISC)² 道德準則
. (ISC)² 活動行為準則
. 你有足夠的道德成為 CISSP 嗎?
. 網絡安全倫理簡介
. 事件響應和安全團隊的道德規範
. 共同利益
. 什麼是同行評審團?
. 為您的組織製定道德準則
. Surna Inc. 商業行為與道德準則
. 3 信息安全專業人員的道德困境
. 網絡安全倫理的嚴峻挑戰
資料來源: Wentz Wu QOTD-202104013
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-零信任網路安全範式
EAP-TLS、EAP-TTLS 和 PEAP 是 WPA2 中使用的合法身份驗證協議。EAP-TLS 需要基於服務器和客戶端的證書進行相互身份驗證,並在三者中呈現最高的安全級別。EAP-TTLS 和 PEAP 支持相互認證,無需在客戶端安裝證書以減輕系統管理開銷。由於零信任強調驗證和細粒度訪問控制,因此 EAP-TLS 比 EAP-TTLS 或 PEAP 更適合。
EAP 傳輸層安全 (EAP Transport Layer Security :EAP-TLS)
EAP 傳輸層安全 (EAP-TLS) 在 RFC 5216 中定義,是使用傳輸層安全 (TLS) 協議的 IETF 開放標準,並在無線供應商中得到很好的支持。EAP-TLS 是原始的標準無線局域網 EAP 身份驗證協議。
EAP-TLS 仍然被認為是最安全的 EAP 標準之一,儘管 TLS 僅在用戶了解有關虛假憑據的潛在警告時才提供強大的安全性,並且得到所有無線 LAN 硬件和軟件製造商的普遍支持。直到 2005 年 4 月,EAP-TLS 是唯一需要認證 WPA 或 WPA2 徽標的 EAP 類型供應商。
客戶端證書的要求,無論它多麼不受歡迎,都賦予了 EAP-TLS 其身份驗證強度,並說明了經典的便利性與安全性的權衡。使用客戶端證書,破解密碼不足以入侵啟用 EAP-TLS 的系統,因為入侵者仍然需要擁有客戶端證書;實際上,甚至不需要密碼,因為它僅用於加密客戶端證書以進行存儲。最高的安全性是客戶端證書的“私鑰”存放在智能卡中。
資料來源:維基百科
EAP 隧道傳輸層安全 (EAP Tunneled Transport Layer Security:EAP-TTLS)
EAP 隧道傳輸層安全 (EAP-TTLS) 是一種擴展 TLS 的 EAP 協議。它由 Funk Software 和 Certicom 共同開發,並得到了跨平台的廣泛支持。
客戶端可以但不必通過 CA 簽署的 PKI 證書向服務器進行身份驗證。這極大地簡化了設置過程,因為並非每個客戶端都需要證書。
資料來源:維基百科
受保護的可擴展身份驗證協議 (Protected Extensible Authentication Protocol:PEAP)
受保護的可擴展身份驗證協議,也稱為受保護的 EAP 或簡稱為 PEAP,是一種將 EAP 封裝在潛在加密和身份驗證的傳輸層安全 (TLS) 隧道中的協議。目的是糾正 EAP 中的缺陷;EAP 假設了一個受保護的通信通道,例如由物理安全提供的通道,因此沒有提供保護 EAP 對話的設施。
資料來源:維基百科
輕量級可擴展身份驗證協議 (Lightweight Extensible Authentication Protocol :LEAP)
Cisco LEAP 是 802.1X 在無線網路中使用的基於 EAP 的身份驗證協議。它支持相互認證並在遺留的破解 WEP 中工作。
NIST:零信任原則(Tenets of Zero Trust)
NIST:網路的零信任視圖(A Zero Trust View of a Network)
參考
. WPA2-企業認證協議比較
. 了解更新的 WPA 和 WPA2 標準
. 轉向 WPA/WPA2-企業 Wi-Fi 加密
. 802.1X 概述和 EAP 類型
. 思科LEAP
資料來源: Wentz Wu QOTD-202104012
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
清理方法(The sanitization method),清除(purge),將使數據恢復不可行,但介質是可重複使用的。消磁(Degaussing)會使媒體永久無法使用。
消磁,也稱為消磁,意思是“通過施加反向磁化場將磁通量降低到虛擬零。對任何當前一代的硬盤(包括但不限於 IDE、EIDE、ATA、SCSI 和 Jaz)消磁將導致驅動器永久無法使用,因為這些驅動器將磁道位置信息存儲在硬盤驅動器上。”
來源:NIST SP 800-88 R1
ATA 清理命令旨在清除數據;它們應用特定於媒體的技術來繞過典型讀寫命令中固有的抽象。以下是 ATA 清理 I/O 命令:
. CRYPTO SCRAMBLE EXT(D. 更改用於用戶數據的內部加密密鑰)
. OVERWRITE EXT(C. 用常數值覆蓋內部媒體)
. BLOCK ERASE EXT(A.使用塊擦除方法)
-ATA 消毒操作
參考
. CISSP 實踐問題 – 20200209
. 數據殘留和清理
資料來源: Wentz Wu QOTD-202104011
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
橢圓曲線數字簽名算法 (ECDSA) 是FIPS 186-4批准的合法數字簽名算法。這意味著 ECDSA 在技術上足夠強大並且具有法律約束力。
本標准定義了數字簽名生成方法,可用於保護二進制數據(通常稱為消息),以及驗證和確認這些數字簽名。批准了三種技術。
(1)本標準規定了數字簽名算法(DSA)。該規範包括域參數的生成、公鑰和私鑰對的生成以及數字簽名的生成和驗證的標準。
(2) RSA數字簽名算法在美國國家標準 (ANS) X9.31 和公鑰密碼學標準 (PKCS) #1 中指定。FIPS 186-4 批准使用這些標準中的一個或兩個的實現,並指定附加要求。
(3)橢圓曲線數字簽名算法 (ECDSA)在 ANS X9.62 中指定。FIPS 186-4 批准使用 ECDSA 並指定附加要求。此處提供了供聯邦政府使用的推薦橢圓曲線。
ECDSA 密鑰對由私鑰d 和與特定 ECDSA 域參數集相關聯的公鑰Q 組成;d、Q 和域參數在數學上相互關聯。私鑰通常使用一段時間(即cryptoperiod);只要使用關聯私鑰生成的數字簽名需要驗證(即,公鑰可以在關聯私鑰的加密期之後繼續使用),就可以繼續使用公鑰。有關進一步指導,請參閱 SP 800-57。
ECDSA 密鑰只能用於 ECDSA 數字簽名的生成和驗證。
來源:FIPS 186-4
使用密鑰對的非對稱加密(Asymmetric Encryption Using Key Pairs)
非對稱加密中使用的密鑰對中的私鑰或公鑰只是一個二進制位序列。給定一個公鑰,你永遠不知道它屬於誰。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。因此,單獨的公鑰不能用於身份驗證和不可否認性。
IPsec 和不可否認性(IPsec and Non-repudiation)
. 不可否認包從技術角度來看是遠離的不可抵賴性的消息從法律的角度。
. 在早期,Cisco 和 RFC 1826 聲明 IPsec 支持不可否認性。但是,隨後的 RFC(RFC 2403 和 RFC 4302)顛覆了這一點:
RFC 1826 不可否認性(RFC 1826 for Non-repudiation)
認證頭是一種為 IP 數據報提供強完整性和認證的機制。它還可能提供不可否認性,具體取決於使用哪種加密算法以及如何執行密鑰。例如,使用非對稱數字簽名算法(如 RSA)可以提供不可否認性。( RFC 1826 )
但是,RFC 2403 和 RFC 4302 顛覆了 AH 提供不可否認性的說法。
用於身份驗證的 RFC 2402(RFC 2402 for Authentication)
IP 認證頭 (AH) 用於為 IP 數據報提供無連接完整性和 數據源認證(以下簡稱“認證”),並提供防止重放的保護。 (RFC 2402 )
RFC 4302 完整性(RFC 4302 for Integrity)
IP 認證頭 (AH) 用於 為 IP 數據報(以下簡稱“完整性”)提供無連接完整性和 數據源認證,並提供防止重放的保護。( RFC 4302 )
有關詳細信息,請參閱IPsec 和不可否認性。
參考
. 酒店評分
. RSA(密碼系統)
. 不可否認性
. IPsec 和不可否認性
資料來源: Wentz Wu QOTD-20210409
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
證書申請和回應
證書籤名請求
在公鑰基礎結構(PKI)系統中,證書籤名請求(也稱為CSR或證書請求)是從申請人發送到證書頒發機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰,標識信息(例如域名)和完整性保護(例如數字簽名)。CSR最常見的格式是PKCS#10規範;另一種是由某些Web瀏覽器生成的“簽名的公鑰和挑戰” SPKAC格式。
資料來源:維基百科
使用OpenSSL生成CSR
$ sudo apt install openssl [在Debian / Ubuntu上]
$ openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
上傳證書籤名請求
X.509證書
安裝證書
TLS / SSL
參考
資料來源: Wentz Wu網站
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文