任何事物如果存在於世界上,無論其形式如何——抽象概念或物理事物——並且具有將其與其他事物區分開來的身份(或簡稱ID),則被稱為實體。簡而言之,每個實體都有一個身分或簡稱 ID。例如,使用者、電腦、裝置、應用程式、服務、網路等都是實體,因為它們都具有唯一標識它們的身分。實體的固有特徵稱為屬性。身分是一個實體的屬性或屬性的組合,用於將一個實體與其他實體區分開來。能夠發起或回應操作的實體是安全主體,而不能發起或回應操作的實體是資源。發起動作的主動方稱為主體,而回應主動方或資源的被動方稱為客體。
實體或安全性主體將帳戶儲存在目錄(帳戶資料庫)中。帳戶是代表實體的技術手段;目錄中帳戶的欄位代表實體的屬性。 ID提供者是一個實體,它保存和管理目錄、回應查詢、透過身份驗證器驗證主體的身份,並透過令牌或票證提供斷言或聲明,以確保有關實體的陳述是真實的。在 Microsoft 的 Active Directory 中,出於效能或管理目的,目錄可以分為一個或多個實體分割區或邏輯網域。儲存帳戶資料庫的機器是網域控制器,網域控制站上管理目錄的服務稱為目錄服務。
身份驗證基於身份驗證器的保密性以及對 ID 提供者頒發的令牌和票據的信任;這 是 ID 提供者透過一個或多個身份驗證器透過搜尋帳戶並將資料與目錄進行比較來驗證實體身分的過程。身分驗證過程中的主體是主動向 ID 提供者表明其身分的實體; 主體顯示其身分的過程稱為身分認同。但是,當 ID 提供者搜尋目錄並找到代表實體的帳戶時,也稱為識別。身份驗證器是用來證明實體身分的秘密。身份驗證器分為三種類型,也稱為身份驗證因素:您知道的東西、您擁有的東西和您是什麼。
多重身份驗證 (MFA)是指使用兩種或多種身份驗證器類型的身份驗證過程。主體的身份及其驗證器的組合統稱為憑證。斷言或聲明是關於實體的始終正確的聲明,由 ID 提供者在驗證實體的身份後發出。在 SAML 或 OIDC 中,斷言或聲明是以 XML 或 JSON 表示的屬性和值對或鍵值對。代幣和票據是傳達斷言或主張的技術或物理手段。
單一登入(SSO)是一種系統功能,使用者只需登入一次,即可根據商定的協議和令牌或票證的格式存取各個系統的資源。 SAML 和 OIDC 是基於聯合的 SSO 中常用的協定。聯合是共享通用協議以促進 SSO 功能的系統的集合。
資料來源:https://wentzwu.com/2024/08/08/authentication-101/
ps:經作者同意翻譯並轉載
不要再說零信任(Zero Trust)是永不信任(Never Trust)了!如果永不信任,那就網路線拔掉作實體隔體(air-gapped),或者放棄使用網路,回歸人工作業就好了!因為沒有信心(confidence)與信任(trust)的世界是無法運作的!
Zero Trust不是永不信任(Never Trust)或不可/禁止信任(No Trust),相反的,零信任強調信任,只是信任要從零開始累積,也就是Trust but verify。簡單的說,就是不要因為網路位置而輕易的信任一個實體(entity)的行為,而是要經過層層的驗證來建立信心與累積信任!
在WUSON的CISSP課程,我們把零信任(Zero Trust)定義為存取控制2.0 (Access Control 2.0), 也就是【以資料為中心,畫定虛擬邊界,進行更細膩/細顆粒、更動態、更透明的存取控制】。那什麼是Access Control 1.0呢? Access Control 1.0的主要內涵是強調【主體(Subject)使用客體(Object)的行為必須受到3A的管制】。這邊的3A是指驗證身份(Authentication)、檢查授權(Authorization)與記錄行為(Accounting)。
零信任的主要的重點不是把3A作到【更細膩、更動態、更透明】而已,因為【把3A升級再優化】只是【次要】的重點。零信任最主要、最重要的重點或改變,在於放棄以網路位置為中心的繼承式信任(inherent trust),改成在【以資料為中心,畫定虛擬邊界】所形成的安全區域(security domain),進行【更細膩、更動態、更透明】的存取控制。這種強調以零為基礎(zero-based)、經過層層驗證所累積而來的信任才是零信任的核心精神!
簡單的說,【從零開始累積信任】是Zero Trust的【目的】,而【更細膩、更動態、更透明的存取控制】則是Zero Trust的【手段】。有人(含CISSP考試大綱)說Zero Trust是Trust but verify!我覺得這真的是直指核心,是Zero Trust的最佳註解!因此,不要再說零信任是永不信任了!換一種說法,把Zero Trust的觀念改成【信任從零開始】,所以要【驗證、驗證、再驗證!】,也就是不斷的內驗、外確 (Verify and Validate, 簡稱V&V)!
最後,資安作到最後只剩下信心(confidence)與信任(trust),而我們大多數人都需要獲得資訊安全的保證(assurance)!針對人員、流程、產品與服務,以及組織不斷的V&V,才能建立信心與累積信任!擁有自信、口碑及公正的背書,才能消除疑慮、提升信心,達到保證的效果!
常聽到大家提到零信任時, 總是跟【永不信任】畫上等號而深感憂心!當大家如火如荼的在推動所課的【零信任】時,卻無法把自己口中的零信任解釋, 甚至定義清楚,怎麼可能作好溝通及推動零信任呢!?
除了在WUSON的CISSP課程談這個問題, 今天我也把自己的看法寫成這篇文章. 如果大家也認同的話, 歡迎大家自由分享喔!
資料來源:https://wentzwu.medium.com/%E4%B8%8D%E8%A6%81%E5%86%8D%E8%AA%AA%E9%9B%B6%E4%BF%A1%E4%BB%BB%E6%98%AF%E6%B0%B8%E4%B8%8D%E4%BF%A1%E4%BB%BB%E4%BA%86-b1113503c777
PS:經作者同意轉載
開門見山先說結論:風險因子(Risk Factor)就是指構成一個風險的基本組成元素。
因子(Factor)就是組成元素,也常被稱為因素。在資安領域除了風險因子,我們也常提到多因子驗證(Multi-Factor Authentication)。在身份驗證的過程,使用者除了輸入自己的帳號或使用者名稱(學名叫作身份, ID或Identity),還要輸入密碼(學名叫作信物,Authenticator)。所謂的信物是指用來證明自己身份的東西,它有不同的類型,而密碼只是成本最低、最方便,也是最常被使用的一種信物而已。信物通常是記在腦中(Something You Know)、握在手中(Something You Have)或長在身上(Something You Are)。若身份驗證(Authentication)過程使用了二種以上的信物類型(Authentication Factor),就可稱之為多因子驗證(MFA)。
在數學上,所有的整數都是由質數(Prime Number)組成,例如:18 = 2 x 3² ,透過質因數分解(Prime Factorization或Factoring)我們可以看出18是由2跟3二個質因數(Prime Factor)組成,因此中國把Prime Number翻譯成【素數】更能反應出Factor是組成元素的本質。RSA的非對稱式加密技術的原理就是利用了連電腦都難以分解一個超大數值的數學問題(Factoring Problem)。例如:我們可以透過質因數分解輕易地把18轉換為18 = 2 x 3² 這個恆等式(Algebraic Identities),但要分解188,951,534,532,423,434,6547,547這樣大的數值就算是用電腦都要跑相當久才能成功。
從多因子驗證(Multi-Factor Authentication)及質因數(Prime Factor)理解了因子(Factor)的概念後,要了解風險因子(Risk Factor)的概念就很簡單了。根據ISO 31000的定義,風險是不確定性對目標所造成的影響(effect of uncertain on objectives),從這個定義來看,風險由三個因子(元素或要素)所組成,也就是:
風險=目標+不確定性+影響
Risk = Objectives + Uncertainty + Effect
不過因為風險的影響來自於各種不確定的事件或因素,所以我們把中譯略作調整,也就是把Uncertainty譯為不確定因素,並且把目標放在第一位,以及強調不確定因素成真才會帶來影響。最後的中文翻譯為:
風險是影響目標達成的不確定因素。
分治法(Divide-and-Conquer)是我們實務上處理複雜問題的常用手法,換句話說,這就是一種離散分化、各個擊破的作法。當我們要了解一個風險多大或多小,只要將風險拆解就可看到{目標,不確定性,影響}這三個組成元素(風險因子),當我們愈確信A風險比B風險還可能發生,而且A風險發生時所帶來的影響比B風險高時,我們就可以說A風險比B風險大。風險的大小的學名稱之為曝險(Risk Exposure)。
最後,風險帶來的影響不總是壞的,它也會有好的一面,塞翁失馬焉知非福就是這個道理。在WUSON的CISSP課程談風險管理,主要是基於ISO 31000的觀念,強調風險帶來的影響總是有好有壞,帶來負面影響的風險可視為威脅(Threat),而帶來正面影響的風險則可稱之為機會(Opportunity)。
ISO 31000的風險觀念也提醒我們人生總是福禍相倚,所以居安思危、常想一二就格外的重要!
資料來源: https://wentzwu.medium.com/%E4%BD%95%E8%AC%82%E9%A2%A8%E9%9A%AA%E5%9B%A0%E5%AD%90-risk-factor-189ec4ae2284
PS:此文章經作者同意轉載
稽核與保證 (Audit and Assurance)
稽核(audit)又稱為審計,是一個能提供保證(assurance)的組織功能(function)或職能(WUSON的翻譯)。保證是透過有力的證據(grounds)讓我們對某個東西(產品、服務或流程等)能消除疑慮、提升信心的過程。以財務稽核為例,會計師受託查核簽證財務報表,投資人對於組織財報編列是否允當才會有一定的信心。另外,ISO 9001的品質管理系統(QMS)或ISO 27001的資安管理系統(ISMS)等管理系統的驗證稽核(certification audit)也是保證制度的一環。
稽核單位
為什麼稽核可以帶來消除疑慮、提升信心的保證效果?除了稽核單位的獨立性(independence)外,稽核的過程講求客觀的(objective)證據(evidence)、明確的稽核準則(audit criteria)、協議的程序(agreed upon procedures)及文件化(documented)的過程也是主要的信心來源。稽核單位可分為第一方(first-party)、第二方(second-party)與第三方(third-party)。第一方是組織內部的稽核單位,而第二方(如客戶)與第三方(如ISO的驗證單位)則是組織外部的稽核單位。由於第二方稽核也是外部稽核(外稽),實務上常把外稽等同於第三方稽核是不正確的說法。值得一提的是,依據法令授權而進行稽核的主管機關或稽核單位可視為第三方。
內部稽核與治理 (Governance)
內部稽核通常是組織內部的稽核單位所進行。但為什麼組織內部的稽核單位能具備獨立性呢?這主要來自於治理(governance)與管理(management)分離的概念。管理是指達成目標(objectives)的系統化方法(如PDCA),組織內的每一個人都需要重視管理。然而,從狹義的觀點來看,組織最高階層的管理作為才能稱為治理。
以公司為例,公司的最高階層是董事會(board of directors),董事會的管理才稱為治理。董事會以外的東西則屬於管理的範疇,通常會交給董事會聘請來的CEO、總經理及其它高階主管所組成的高階管理團隊(senior/executive management)來進行。然而在WUSON的課程,我們的治理採廣義的說法,把董事會及高階管理團隊都視為治理階層,並統稱為”經營高層”。
稽核單位或部門的報告路線(reporting line)通常是對董事會下的稽核委員會(audit committee)報告;因此,稽核主管的選任通常也都是由稽核委員會所決定。換句話說,稽核可以視為代表董事會來確保組織能依法規及制度運作的單位,所以稽核主管對於CEO或總經理不是稽核業務的隸屬關係,其報告路線也只是行政上的報告(例如預算或場地需求等),而不是稽核業務的實質報告。
稽核專案集與專案 (Audit Program and Projects)
稽核單位每年會進行一次或多次的稽核。每一次的稽核都是一個專案(project),一個以上的稽核專案(audit project)就可進一步規劃成稽核專案集(audit program)。因此,如何作好稽核專案集管理(audit program management)是稽核單位的重頭戲。當然,小的組織一年可能只有進行一項、一次的稽核專案,它的audit program就等於audit project。每一次的稽核專案都必須作好應該有的稽核計畫(audit plan),詳列該次稽核的目標、範圍、準則、地點、方法、角色與職掌、所需的資源,以及是否需要先了解受稽方場地、設施與流程等議題。另外,在稽核計畫中亦可載明稽核報告除了符合及不符合事項外,亦需提供建議。
稽核委員會與稽核指導委員會
此外,重大的專案亦可以成立專案指導委員會(project steering committee)來指導專案的進行,以提供方向、決策及監督。稽核專案的指導委員會則稱為稽核指導委員會(audit steering committee)。有別於董事會常設之稽核委員會,稽核指導委員會是專案層級、視需要成立的非常設性委員會。以下為二個稽核指導委員會的例子:
- “The Audit Committee has on numerous occasions highlighted these matters in our meetings as well as in internal audit steering committee meetings.” (George Municipality)
- “The Audit Steering Committee continued to meet on a needs basis during the period in an endeavour to facilitate the audit process effectively. These meetings have addressed such matters as audit planning, coordination and related processes.” (WHO)
稽核的實施
實際稽核的進行通常是稽核團隊(audit team)從眾多的資訊來源(sources of information)進行抽樣(sampling)以取得稽核所需的證據(audit evidence),將其與稽核準則(audit criteria)進行比對後產出符合(conformity)或不符合(nonconformity)的稽核發現(audit finding),最後再根據稽核發現與考量稽核目標(audit objectives)後作出稽核結論(audit conclusion)與產出稽核報告。
WUSON的安全評鑑與稽核
WUSON課程談的稽核主要是安全控制措施的稽核,簡稱安全稽核;我們把安全稽核視為一種安全評鑑(security assessment),並把安全評鑑定義如下:
安全評鑑是一個透過查驗(examination)、訪談(interviewing)、測試(testing)等方法,來確保安全控制措施(security control)之符合性(compliance)與有效性(effectiveness),並且產出報告以作為改善(kaizen)依據的過程。
ISO 29011
最後,附上ISO 29011:2018, Guidelines for auditing management systems, 的定義供大家參考:
- Audit
systematic, independent and documented process for obtaining objective evidence and evaluating it objectively to determine the extent to which the audit criteria are fulfilled - Audit criteria
set of requirements used as a reference against which objective evidence is compared - Objective evidence
data supporting the existence or verity of something - Audit evidence
records, statements of fact or other information, which are relevant to the audit criteria and verifiable - Audit findings
results of the evaluation of the collected audit evidence (3.9) against audit criteria - Audit conclusion
outcome of an audit, after consideration of the audit objectives and all audit findings
References
- Assurance vs Audit
- Ground expression
- Argument: Claims, Reasons, Evidence
- What do you mean by “legal grounds” in the context of divorce?
- 會計師受託查核簽證財務報表規則
- REPORT OF THE AUDIT AND PERFORMANCE AUDIT COMMITTEE OF GEORGE MUNICIPALITY FOR THE FINANCIAL YEAR ENDED 30 JUNE 2017
- WHO Unaudited interim financial report for the year 2000
- 7040 Audit Conclusion
- AU Section 150 Generally Accepted Auditing Standards
資料來源:https://medium.com/the-effective-cissp/%E7%A8%BD%E6%A0%B8-audit-%E5%9F%BA%E6%9C%AC%E6%A6%82%E5%BF%B5-315c937c0824
PS:此文章經由作者同意轉載。
自2024/04/15正式推出的新版CISSPC中文CAT考試,將中文CISSP考試的門檻推到了另一個高點!主要原因如下:
改成題目更少的CAT考試,也就是由原先的250題減至125~175題(到五月時會再進一步降到100~150題)。這代表每一題都必須放入更多的知識點,形成必須融會貫通的情境題。這樣的考法對觀念通的同學是大利多,但對於未能掌握觀念架構、讀書方法,以及單打獨鬥的同學會是重大挑戰。
中文版限定只能每季的最後一個月考,這其實是在限制中文考生的上場考試頻率及進行人數的總量管制。從我個人的角度來看,這樣的舉措某種程度代表著ISC2對於中文考生的不信任,也覺得這樣作的目的主要是打擊考試的作弊行為(如討論題目及考古題等)。透過縮減上場考試的人數與限制3個月才能考一次,這樣就能減少題目外洩的數量。而且3個月後題庫翻新之後,再搭配CAT考試來對付硬背考題的作弊者,才能維持住CISSP考試的完整性及公平性。在此同時也要呼籲大家務必要發揮資安專業人員應有的風範、遵守考試規定,光榮考試、光榮摘金!
從上述中文版CISSP考試的變革,大家就可以看出中文版CISSP的門檻提升了多少!(我直覺認為至少比以前高出50%以上)因此,如果沒有足夠的決心及實際的行動及付出,以及不管是抱團取暖也好、互助共好也好,只靠單打獨鬥要通過考試的機會是愈來愈小!對於WUSON的同學來說,在這麼多教練的無私付出及大力協助下,若大家還無法拿出決心好好拼一番,說實在的,要考過CISSP真的是會有N倍的挑戰!
最後,對我而言,CISSP不只是一個考試,而是一個磨錬心智的過程。學習想望美好的未來(visioning),學習如何領導、溝通、協作及有效執行;學習看見資安的時代意義,以及時代賦予我們的使命,從個人去發揮正面的影響力,讓我們的社群、產業與國家社會可以更好!
以上心得跟大家分享!希望大家能把準備CISSP當成是一個資安陸戰隊員的特訓過程(資安天堂路),在經歷層層痛苦的考驗後光榮摘金,得到最大的快樂與成就感!
台灣需要1500位CISSP!
讓我們一起努力!一起成功喔!
資料來源:https://wentzwu.medium.com/cissp%E6%96%B0%E7%89%88%E4%B8%AD%E6%96%87%E7%89%88cat%E8%80%83%E8%A9%A6-62a89f2eceb9
PS:經作者同意轉載
組織(organization)由人(person)組成。它跟自然人(natural person)一樣也可以成為法律實體(legal entity)或所謂的法人,具有法律身份(identity)、享有法律上的權力與義務。組織內的人被賦予責任(responsibilities)與權力(authorities),透過彼此的協作讓組織運作(operations),來達成組織的目標。能代表組織作出決策的人在ISO的標準中稱為高階管理層(top management),在WUSON的課程中則稱為治理(governance)階層或經營高層。
經營高層對組織行為及發展方向的期待稱為管理意圖(management intent)。文件化的管理意圖就代表組織的政策(policy)。政策除了展現經營高層的管理意圖,通常會對組織人員提出要求(requirement) — 一種可衡量、文件化、強制性的需要(need)或期待(expectation)。這些強制性的政策要求或指示,通常會配套的發展出相關的標準(standard)、規則(rule)、作業程序(procedure)、參考指引(guideline),或提供指導正確行為或有效決策的原則(principle)等。政策、標準與程序這些文件在ISO 標準中常被稱為三階文件,若再加上記錄與表單則稱為四階文件。
資訊安全政策必須被充分揭露及有效溝通,讓組織的人員都能了解經營高層對於資訊安全的要求與期待。透過標準及程序的制定,讓人員都能依照制度的規範來進行決策與行動。無法白紙黑字或三言二語寫清楚的規範,可以透過指引來提供給更多的資訊、參考資料,或行事與決策原則,以賦能(empower)員工與催生當責(accountability)文化。
參考資料
資料來源:https://wentzwu.medium.com/%E7%B5%84%E7%B9%94%E6%94%BF%E7%AD%96%E8%88%87%E5%8E%9F%E5%89%87-82fb4cc1c296
PS:經作者同意轉載
企業開展業務是為了提供價值,或者說業務就是為了提供價值。影響價值交付的常見因素有人員、流程、技術等。提供價值的流程通常稱為業務流程。業務連續性概念背後的基本想法是在發生破壞性事件或災難時,在有限的企業資源範圍內恢復關鍵業務流程。
根據上述陳述,我們可以總結出一些要點:
資訊科技 (IT) 是業務連續性最關鍵的因素之一。
業務連續性規劃的範圍包括關鍵業務流程和底層資訊系統。
業務人員首先識別或確定關鍵業務流程,然後由 IT 人員識別或確定底層資訊系統。業務流程的關鍵性是透過最大可容忍停機時間(MTD)來評估;2 小時 MTD 的流程顯然比 2 天 MTD 的流程重要得多。
資訊系統應由IT人員依業務人員指定的業務需求並與IT人員協商進行復原;具體來說,復原時間目標 (RTO) 和復原點目標 (RPO)。
業務人員和 IT 人員共同努力實現業務連續性的目標。作為主計劃的業務連續性計劃 (BCP) 是業務連續性計劃的輸出,通常包括由 IT 人員準備的作為子計劃的災難復原計劃 (DRP)。
在確定關鍵業務流程之前,IT 人員進行任何災難復原規劃都是無效的,更不用說在替代站點(例如鏡像站點、熱站點、熱站點或程式碼站點)上做出決策。
業務影響分析 (BIA) 的本質是識別關鍵業務流程以及災難時的影響。業務流程的 MTD 是 BIA 最重要的產出。RTO和RPO是指導DRP的目標;它們都源自 MTD,並由業務人員和 IT 人員協商確定。換句話說,RTO和RPO是IT對業務滿足MTD要求的承諾。
那麼,業務連續性規劃流程和 CISO 的角色又如何呢?它們因企業而異。CISO 作為協調員或推動者來推動 BIA 流程的情況並不少見。這再次強調了 CISO R&R 的重要性。
資料來源: Wentz Wu QOTD-20211104
PS:經過作者(Wemtz Wu)同意翻譯刊登