Choson資安大小事

日誌是會計的工作成果。可以通過查看或檢查（審核）一組相關日誌（審核記錄）以唯一地將活動跟踪到實體來實現問責制。

會計，審計和問責制（又一個AAA）
. 問責制 是“安全性目標，它產生了將實體的操作唯一地追溯到該實體的要求。” （NIST SP 800-33）
. 審計 是“獨立審查和檢查記錄和活動，以評估系統控制的充分性，以確保遵守既定的政策和操作程序。” （NIST SP 800-12 Rev.1）
. 審核跟踪 是“按時間順序的記錄，用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作，程序或事件的活動順序。” （NIST SP 800-53修訂版4）

安全信息和事件管理(SIEM)
安全信息和事件管理（SIEM）是指支持審核和跟踪責任制的收集，分析，關聯和相關活動。SIEM服務器是支持安全信息和事件管理的服務器。

用戶和實體行為分析（UEBA）
Gartner定義的用戶行為分析（UBA）是一個有關檢測內部威脅，針對性攻擊和財務欺詐的網絡安全流程。UBA解決方案著眼於人類行為模式，然後應用算法和統計分析從這些模式中檢測出有意義的異常，即表明潛在威脅的異常。
UBA技術的發展促使Gartner將類別擴展到用戶和實體行為分析（“ UEBA”）。2015年9月，Gartner發布了由副總裁兼傑出分析師Avivah Litan撰寫的《用戶和實體分析市場指南》，其中提供了詳盡的定義和解釋。在早期的Gartner報告中提到了UEBA，但沒有深入探討。從UBA擴展定義包括設備，應用程序，服務器，數據或任何具有IP地址的內容。它超越了以欺詐為導向的UBA的重點，而涵蓋了更廣泛的範圍，其中包括“惡意和濫用行為，否則現有的安全監視系統（如SIEM和DLP）不會注意到。” 增加的“實體”反映出設備可能在網絡攻擊中起作用，並且在發現攻擊活動中也可能很有價值。“當最終用戶受到威脅時，惡意軟件可能會處於休眠狀態，並且幾個月都不會被發現。
資料來源：維基百科

參考
. 用戶行為分析
. 安全信息和事件管理

資料來源： Wentz Wu QOTD-20210308

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

構架(Frameworks)

-NIST網絡安全框架(NIST Cybersecurity Framework)

. NIST網絡安全框架（CSF）
. 認識到美國的國家和經濟安全取決於關鍵基礎設施的可靠功能，總統於2013年2月發布了第13636號行政命
令，“改善關鍵基礎設施網絡安全”。
. 該命令指示NIST與利益相關者合作，根據現有標準，指南和做法，開發一個自願框架，以減少關鍵基礎設施
的網絡風險。2014年的《網絡安全增強法》加強了NIST的EO 13636角色。
. OWASP網絡防禦矩陣
. 網絡防禦矩陣通過邏輯結構幫助我們了解我們需要組織的內容，因此，當我們進入安全供應商市場時，我們可
以快速識別出哪些產品可以解決哪些問題，並可以了解給定產品的核心功能是什麼。
. 儘管最初創建了網絡防禦矩陣來幫助組織安全技術，但仍發現了許多其他用例來幫助構建，管理和運行安全程
序。
. 網絡防禦矩陣的基本構建始於兩個維度。
. 第一維度捕獲的5操作功能的的NIST網絡安全框架：鑑別，保護，檢測，響應，和恢復。
. 第二個維度捕獲了我們嘗試確保的五個資產類別：設備，應用程序，網絡，數據和用戶。

-網絡防禦矩陣（來源：OWASP）

成熟度模型(Maturity Models)
. ISACA能力成熟度模型集成（CMMI）
. 它是由ISACA的子公司CMMI Institute管理的，由卡內基梅隆大學（CMU）開發。
. 許多美國政府合同都要求這樣做，尤其是在軟件開發中。
. 2016年3月，CMMI研究所被ISACA收購。
. 網絡安全成熟度模型認證（CMMC）
. 國防部負責收購和維持事務的副秘書長辦公室（OUSD（A＆S））認識到，安全是收購的基礎，不應與安全，
日程和績效一起進行交易。
. 美國國防部致力於與國防工業基地（DIB）部門合作，以加強對供應鏈中受控非機密信息（CUI）的保護。
. ISO / IEC 21827，系統安全工程—能力成熟度模型（SSE-CMM）
. ISO / IEC 21827：2008描述了組織的安全工程過程的基本特徵，這些特徵必須存在以確保良好的安全工
程。
. ISO / IEC 21827：2008沒有規定特定的過程或順序，而是記錄了行業中普遍觀察到的實踐。
. OWASP軟件保障成熟度模型（SAMM）
. 我們的使命是為您提供一種有效且可衡量的方法，以分析和改善安全的開發生命週期。
. SAMM支持完整的軟件生命週期，並且與技術和過程無關。我們建立了SAMM，使其本質上具有發展性和風險驅
動性，因為沒有一種適用於所有組織的方法。
. 軟件保障成熟度模型（SAMM）是一個開放框架，可幫助組織製定和實施針對組織所面臨的特定風險量身定制
的軟件安全策略。
. RIMS風險成熟度模型
. RIMS風險成熟度模型（RMM）既是企業風險管理的最佳實踐框架，又是針對風險專業人員的免費在線評估工
具。
. RMM允許您評估ERM計劃的實力，並根據結果制定改進計劃。

-CMMI星座（來源：https : //www.plays-in-business.com）

-SAMM概述（來源：https : //owaspsamm.org）

-CMMC級別，流程和實踐（來源：AWS）

參考
. 了解網絡安全成熟度模型認證（CMMC）
. 如何規劃網絡安全成熟度模型認證（CMMC）
. CMMC模型v1.0

資料來源： Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

在計算機取證中搜索妥協（IoC）的指示器，是網路或操作系統中觀察到的神器，它具有很高的可信度，表示電腦入侵。

典型 IOC 的指示類型是病毒簽名和 IP 位址、惡意軟體檔的 MD5 哈希，或殭屍網路命令和控制伺服器的網址或功能變數名稱。通過事件回應和計算機取證過程識別 IoC 後，它們可用於使用入侵檢測系統和防病毒軟體對未來的攻擊嘗試進行早期檢測。

資料來源：https://en.wikipedia.org/wiki/Indicator_of_compromise

妥協指標 （IOC） 是主機系統或網路可能受到入侵的法醫證據。這些人工製品使資訊安全 （InfoSec） 專業人員和系統管理員能夠檢測入侵企圖或其他惡意活動。安全研究人員使用IOC來更好地分析特定惡意軟體的技術和行為。IOC 還提供可在社區內共用的可操作的威脅情報，以進一步改進組織的事件回應和補救策略。

其中一些文物在系統中的事件日誌和時間戳條目以及其應用程式和服務上找到。InfoSec 專業人員和 IT/系統管理員還使用各種工具監控 IOC，以幫助減輕（如果不是防止）違規或攻擊。

以下是一些危害資訊安全專業人員和系統管理員注意的指標：

1.異常流量進出網路
2.系統中的未知檔、應用程式和流程
3.管理員或特權帳戶中的可疑活動
4.非正常活動，如在組織不與之開展業務的國家/地區的流量
5.可疑的登錄、訪問和其他網路活動，表明探測或暴力攻擊
6.公司文件中請求和讀取量異常激增
7.在異常常用埠中穿越的網路流量
8.篡改檔、功能變數名稱伺服器 （DNS） 和註冊表配置以及系統設置（包括行動裝置中的更改）的變化
9.大量的壓縮檔和數據無法解釋地發現在它們不應該的位置

資料來源：https://www.trendmicro.com/vinfo/us/security/definition/indicators-of-compromise

這個問題是根據痛苦金字塔設計的。它不是一個行業標準，但它提供了一個很好的基礎，以評估在威脅源中提供的妥協指標 （IOC）。

並非所有妥協指標（IOC）都是平等的。如果您被告知，受破壞的系統檔將產生特定的哈希值，它可能會產生較少的價值，因為它太瑣碎。相反，如果您被告知來自 someone.hackers.com（10.10.10.1）的攻擊可能包含系統檔，如果成功，可能會產生特定的哈希值。

參考
. 痛苦金字塔
. 仲裁協議指標的定義
. 威脅源還是威脅情報？（實際上，您同時需要兩者）
. 免費和開源威脅情報源
. SANA威脅源
. 威脅情報源：領先於攻擊者
. 威脅情報源：為什麼上下文是關鍵
. 妥協指標
. SolarWinds IoC連接到網絡資產：我們發現的結果
. LogRhythm-Labs / sunburst_iocs

資料來源： Wentz Wu QOTD-20200924

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

這個問題描述了常見的SQL注入場景，該場景採用了像1 = 1這樣的所謂“身份方程式”。攻擊者可以輸入SQL表達式來利用開發不良的後端程序的漏洞。SELECT是數據操作語言（DML）的關鍵字，是身份驗證過程中最常用的一種。
反射跨站點腳本（XSS）是XSS攻擊的一種類型，但它不會從網絡服務器下載惡意代碼/ javascript，而是提交HTTP請求，其中URL包含惡意代碼，然後該惡意代碼又被擺回到瀏覽器中。XSS通常使用惡意JavaScript，而不是SQL語句。

身份方程式作為SQL表達式

-攻擊者將身份方程式輸入為SQL表達式（來源：Guru99）

後端程序開發欠佳

-後端程序開發不完善（來源：Guru99）

SQL命令的類型

-SQL命令的類型（來源：geeksforgeeks）

參考
. 反映的XSS
. SQL注入教程：學習示例

資料來源： Wentz Wu QOTD-20210306

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

IPv6節點使用本地鏈接地址（前綴為FE80 :: / 10）引導，並使用多播與DHCP服務器聯繫。它們不同於IPv4主機，後者使用默認地址（0.0.0.0）引導並使用廣播（DHCP Discover）與DHCP服務器聯繫。

-DHCPv4操作（來源：WizNet）

本地鏈接地址是使用前綴FE80 :: / 10和修改後的EUI-64格式自動配置的。

-48位MAC到64位EUI-64地址（來源：StackExchange）

-48位MAC地址的結構（來源：Wikipedia）

以下是IBM IPv6 Introduction and Configuration的摘錄：
IPv6地址協議在RFC 4291 – IPv6地址體系結構中指定。IPv6使用128位地址而不是IPv4的32位地址。它定義了三種主要的地址類型：單播地址，多播地址和任意播地址。IPv6中沒有廣播地址。

單播地址(Unicast Address)
單播地址是分配給單個接口的標識符。發送到該地址的數據包
僅傳遞到該接口。特殊用途的單播地址定義如下：
–環回地址（:: 1）
–未指定地址（：:)
–鏈接本地地址
–站點本地地址
– IPv4兼容地址（：:)
– IPv4映射的地址（： ：FFFF 🙂

廣播地址(Multicast Address)
多播地址是分配給多個主機上的一組接口的標識符。
發送到該地址的數據包將傳遞到與該地址對應的所有接口。
IPv6中沒有廣播地址，其功能已被多播地址取代。
指示多播範圍的4位值。可能的值為：
0保留。
1僅限於本地節點（node-local）上的接口。
2僅限於本地鏈接（link-local）上的節點。
5限於本地站點。
8僅限於組織。
E全球範圍。
F保留。

任播地址（Anycast Address）
任播地址是一種特殊類型的單播地址，分配給
多個主機上的接口。發送到該地址的數據包將被發送到具有
該地址的最近接口。路由器根據其距離的定義來確定最近的接口，例如，在RIP情況下是躍點，在OSPF情況下是鏈路狀態。
任播地址使用與單播地址相同的格式，並且與它們沒有區別。
RFC 4291 – IPv6地址體系結構當前對
任播地址規定了以下限制：
-任播地址不得用作數據包的源地址。
-任何任播地址都只能分配給路由器。

參考
. RFC 2450：擬議的TLA和NLA分配規則
. RFC 2737：IP版本6尋址架構
. IBM IPv6簡介和配置
. IPv6簡介
. 鏈接本地地址
. 了解IPv6鏈接本地地址
. 了解IPv6 EUI-64位地址
. EUI-64
. MAC地址
. IEEE 802.1中的MAC地址問題

資料來源： Wentz Wu QOTD-20210305

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-VLAN組（來源：Cisco Press）
VLAN是一種創建其廣播域的網絡分段和隔離機制。路由器通常跨VLAN轉發節點之間的通信。中繼線是用於連接交換機和路由器的鏈接。換句話說，訪問中繼可以捕獲跨VLAN的流量。
. VLAN跳變實際上是交換機欺騙。攻擊主機操縱中繼協議以通過中繼線連接到交換機。它捕獲流量並成為中間人，從而使會話劫持更加容易。
. “ IP地址欺騙最常用於拒絕服務攻擊中，其目的是以壓倒性的流量淹沒目標，並且攻擊者並不關心接收對攻擊數據包的響應。” （Wikipedia）儘管攻擊者可以使用它劫持用戶會話，但TCP序列號通常可以減輕攻擊。
. ARP欺騙和DNS欺騙是用於重定向或轉移流量並劫持用戶會話的常用技術。

主幹（Trunk）
. “ VLAN中繼線或中繼線是承載多個VLAN的兩個網絡設備之間的點對點鏈接。VLAN中繼將VLAN擴展到兩個或多個網絡設備上。” （思科）
. “中繼端口是交換機之間的鏈接，支持與多個VLAN相關的流量的傳輸。” （思科）

VLAN跳變(VLAN Hopping)
VLAN跳頻是一種計算機安全漏洞，是一種攻擊虛擬LAN（VLAN）上的網絡資源的方法。所有VLAN跳躍攻擊背後的基本概念是VLAN上的攻擊主機可以訪問通常無法訪問的其他VLAN上的流量。VLAN跳躍的主要方法有兩種：交換機欺騙和雙重標記。正確的交換機端口配置可以緩解這兩種攻擊方式。（維基百科）

參考
. 會話劫持
. IP地址欺騙
. ARP欺騙
. DNS欺騙
. VLAN跳變

資料來源： Wentz Wu QOTD-20210304

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

1. 高級持久威脅（APT）
2. 多向量多態攻擊
3. 拒絕服務
4. 緩衝區溢出
5. 流動碼
6. 惡意軟件（惡意軟件）
7. 偷渡式下載攻擊
8. 間諜軟件
9. 特洛伊木馬
10. 鍵盤記錄器
11. 密碼破解者
12. 欺騙/偽裝
13. 監聽，竊聽和竊聽
14. 輻射和“ TEMPEST ”電磁輻射的自發發射”（EMR）受到TEMPEST的監聽
15. 肩衝浪
16. 尾板（Tailgating）
17. 帶（Piggybacking）
18. 對象重用（Object Reuse）
19. 數據剩餘
20. 未經授權的目標數據挖掘
21. 垃圾箱潛水
22. 後門/活板門
23. 維修鉤
24. 邏輯炸彈
25. 社會工程學
26. 網絡釣魚
27. 域欺騙
    網絡攻擊意在一個網站的流量重定向到另一個，假冒網站。
28. 隱蔽通道
    未經授權的數據傳輸通道
29. IP欺騙/偽裝
    IP欺騙是惡意的，而偽裝是網絡地址轉換（NAT）的一種特定形式，並且可以有效。
30. 特權提升/特權升級
31. 篡改
32. 破壞
33. SQL注入
34. 跨站腳本（XSS）
35. 會話劫持和中間人攻擊
36. 零日漏洞利用
    零日漏洞利用是在宣布或發現網絡漏洞之後但在實施修補程序或解決方案之前發生的。

資料來源： Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

什麼是OWASP SAMM？
以下是OWASP SAMM的摘要 ：
. SAMM代表軟體保障成熟度模型。
. 我們的使命是為所有類型 的組織提供一種有效且可衡量的方法， 以分析和改善其 軟體安全狀況。
. 我們想通過我們的自我評估模型來提高認識並教育組織如何設計，開發和部署安全軟件。
. SAMM支持 完整的軟體生命週期， 並且與 技術和過程無關。
. 我們建立了SAMM，使其本質上具有發展性和風險驅動性，因為沒有一種適用於所有組織的方法。

SAMM成熟度級別
SAMM將三個成熟度級別定義為目標。

-SAMM模型結構

OWASP SAMM模型2.0
SAMM是一種規範性模型，是一種易於使用，完全定義且可測量的開放框架。即使對於非安全人員，解決方案詳細信息也很容易遵循。它可幫助組織分析其當前的軟件安全性實踐，按定義的迭代構建安全性程序，顯示安全性實踐的逐步改進，定義和評估與安全性相關的活動。
定義SAMM時要考慮到靈活性，以便使用任何開發風格的小型，中型和大型組織都可以自定義和採用它。它提供了一種方法，可以了解您的組織在實現軟件保證的過程中所處的位置，並了解為達到下一個成熟水平而建議採取的措施。
SAMM並不堅持要求所有組織在每個類別中都達到最大成熟度。每個組織都可以確定最適合和適應每個安全實踐的目標成熟度級別
資料來源：OWASP SAMM 2.0

SAMM的由來
軟件保障成熟度模型（SAMM）最初是由獨立軟件安全顧問Pravir Chandra（chandra-at-owasp-dot-org）開發，設計和編寫的。通過Fortify Software，Inc.的資助，可以創建第一稿。目前，此文件是通過Pravir Chandra領導的OpenSAMM項目進行維護和更新的。從SAMM的最初發行版開始，該項目已成為Open Web Application Security Project（OWASP）的一部分。
資料來源：OpenSAMM

Pravir Chandra（強化軟體）
Pravir Chandra是Fortify戰略服務總監，他與客戶合作建立和優化軟件安全保證程序。Pravir以其在軟件安全性和代碼分析方面的專業知識以及從業務角度戰略性地應用技術知識的能力而在業界獲得廣泛認可。在加入Fortify之前，他是Cigital的首席顧問，在那裡他領導了《財富》 500強公司的大型軟件安全計劃。在被Fortify Software收購之前，Pravir還是Secure Software，Inc.的聯合創始人兼首席安全架構師。他的書《使用OpenSSL的網絡安全》是有關通過加密和安全通信保護軟件應用程序的熱門參考。他的各種特殊項目經驗包括與開放Web應用程序安全性項目（OWASP）基金會一起創建和領導開放軟件保證成熟度模型（OpenSAMM）項目。此外，普拉維爾目前還是OWASP全球項目委員會的成員。
資料來源：CMU-SEI

OWASP SAMM版本
. OWASP SAMM版本2 –公開發布
. OWASP SAMM v2.0於2020年2月11日星期二發布
. OWASP SAMM v1.5發布，2017年4月13日
. OWASP SAMM v1.1發布，2016年3月16日
. OpenSAMM的原始版本，2009年3月25日

參考
. 成熟度模型
. OWASP SAMM v2.0發布
. OpenSAMM項目

資料來源： Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

歐洲GDPR設計，這就要求隱私被考慮納入隱私貫穿整個設計過程。（維基百科）隱私影響分析甚至在開始階段進行的前一個工程項目啟動，如圖所示NIST SDLC。

-NIST SDLC和RMF

威脅建模（Threat Modeling）
在系統工程的背景下，威脅建模可被視為專門的風險管理。由於存在許多威脅建模實踐和方法，人們可能會以多種方式不一致地實施它們。有人認為應在整個工程過程中進行，而大多數人則在設計階段進行。

信任但要驗證（Trust But Verify）
1987年12月8日，羅納德·裡根（Ronald Reagan）總統在INF條約上簽字後，“信任但核實”一詞被翻譯成俄語，並廣為人知。有些人將其與“零信任”相同，但其他人則不同。有人認為今天還不夠，應該用“驗證，驗證，驗證”或“零信任”代替。IMO，信任但驗證與零信任相同。

共同責任（Shared Responsibility）
共享責任是在雲計算中使用的模型，該模型定義了雲客戶與雲服務提供商之間的責任邊界。

-微軟共同責任模式

參考
. 設計隱私
. 威脅模型
. 信任但要驗證
. IS審核基礎知識：信任，但要驗證
. 信任但核實：軍備控制條約和其他國際協議中的信息生產
. 信任，但驗證…為您的數據中心保護遠程監控
. 3家不信任“信任但驗證”的網絡安全公司
. “信任但要驗證…”
. 零信任網絡安全–信任但要驗證！
. 與其說是“信任，而是要驗證”，不如說是“零信任”
. 當“信任但不能驗證”還不夠時：零信任世界中的生活
. 信任但要驗證：為什麼網絡安全對建築承包商很重要
. 共同責任模式解釋
. 共同責任模式
. 雲中的共同責任
. 吻原理

資料來源： Wentz Wu QOTD-20210303

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文