分類
CISSP

CISSP! 我們的光榮時刻!

CISSP! 我們的光榮時刻!

CISSP是我考過最有光榮感,也最有儀式性的資安專業認證考試!不像其它認證機構以賺錢為出發點,對於考試的公平性及完整性採取睜一隻眼、閉一隻眼的態度,ISC2是我接觸過最嚴格執行各項考試規範及規則的機構。在ISC2所有會員及CISSP共同努力下,CISSP這個品牌與形象在全球業界受到極高的評價及認可!身為CISSP及WUSON的同學應該一起來維護這個得之不易的成果!

WUSON的考試策略很簡單,只有以下幾個重點:

  1. 系統思考、用對方法
  2. 互助共好、持續努力
  3. 水到渠成、光榮時刻
  4. 一起努力、一起成功!

知識只有行動才能產生力量!因此,既然在準備CISSP的過程中學習了ISC2的道德守則、知識產權及合約條款等符合性(compliance)要求,我們接下來就應該盡最大的力量去實踐。例如:

  • 持續學習、用力分享、協助伙伴一起成功,以促進專業。
  • 分享文件時注意是否有版權宣告,並明確的取得著作權人的授權再分享。
  • 遵守考試的保密條款,不討論、不分享、不收集實際考試的題目。

我們學習的背後都有一定的利益動機,如升官、加薪等。然而,我們的加薪與升官並不是因為學到了知識、拿到了證照,而是我們的行動創造了更多的價值(value)而加薪,以及因為承擔了更多的責任(accountability and responsibilities)而升官。

CISSP在這個資安的大時代將獲得前所未見的重視,成為CISSP將得到更多、更好的職涯機會、獲得更大的組織授權,以及承擔更多的責任。來WUSON上課,我們不只要光榮的通過CISSP考試與取得證照,還要發揮更大的影響力、產生更多的貢獻、促進好的、向上的改變,共創美好的未來!

在CISSP之路,請大家務必認真看待以下ISC2的道德守則,並盡最大的力量去實踐它們!

  • Protect society, the common good, necessary public trust and confidence, and the infrastructure.
  • Act honorably, honestly, justly, responsibly, and legally.
  • Provide diligent and competent service to principals.
  • Advance and protect the profession.

[WUSON] 商業道德與決策 — 以我的接案經驗為例

改變世界,從我們每一個人自己作起!
讓我們一起成為CISSP! 一起迎接這個人生第二次大學聯考的光榮時刻!
一起為我們國家的資安、美好的家園,以及共同的美好未來而努力!

CISSP! 我們的光榮時刻!

資料來源:https://wentzwu.medium.com/cissp-%E6%88%91%E5%80%91%E7%9A%84%E5%85%89%E6%A6%AE%E6%99%82%E5%88%BB-b3db21ecc755

PS:此文章經過作者同意刊登

分類
Cissp-WentzWu

WISE

PS:此資料經由作者同意刊登

分類
CISSP

存取控制的基本用語

存取控制類型
  1. 存取(access)使用(use),因此有誰用什麼東西的概念。主動方(主詞)叫主體(subject),被用的資源是被動方(受詞),稱為客體(object)
  2. 主體存取客體的整個過稱必須受到管制(control),不能為所欲為,因此才有存取控制的議題。
  3. 上圖展示了存取控制的不同情境(contexts)或類型。例如:網路線如何使用、網路如何連接(區域及遠端)、電腦上的程式如何存取資源、進出建物的門禁,以及園區周邊的管制等。
  4. WUSON的CISSP課程介紹Domain 5時,主要鎖定在電腦系統上的存取控制,也就是所謂的技術類邏輯類的存取控制。

定義

電腦系統上的存取控制是指:

主體對於客體的存取行為,必須受到安全核心(Security Kernel)的3A管制。

3A是指驗證身份(Authentication)檢查授權(Authorization)記錄行為(Accounting)。然而要進行3A管制必須先有身份(idenity)才行。因此,存取控制的口訣為 I+3A

安全核心是美國國防部橘皮書(TCSEC)的用語,一般人比較不會用這個名詞。簡單的說,安全核心是一台電腦系統中,負責存取控制的元件。值得注意的是,安全核心是一個軟體、韌體及硬體總成的概念,不是單指軟體、韌體或硬體。以下是NIST對於安全核心的定義:

Hardware, firmware, and software elements of a trusted computing base implementing the reference monitor concept. Security kernel must mediate all accesses, be protected from modification, and be verifiable as correct.

基本用語

  1. 身份只是用來唯一識別(uniquely identity)一個實體(entity)屬性(attribute)
  2. 實體是指實際存在且可以唯一識別的個體。一個實體通常擁有多個屬性,並且具備一或多個身份。
  3. 屬性是用來描述實體特色性質的資料項目。
  4. 帳號(account)是代表實體的技術手段,因此帳號與實體密不可分。
  5. 身份用來唯一識別實體,因此管理身份就是管理實體。然而不論身份管理或實體管理,實務上都是透過帳號管理來實現。

身份管理 (Identity Management)

  1. 帳號管理從技術的角度來看,就是進行帳號的新增、查詢、修改及刪除(CRUD)等動作。
  2. 專門存放帳號的資料庫稱作目錄(directory)
  3. 服務(service)即程式,負責管理目錄的程式就程為目錄服務
  4. 儲存在目錄的帳號可以用X.500的表示法來表達它儲存的位置。
  5. 程式可以透過LDAP來要對目錄進行CRUD等動作。
  6. 提供目錄服務的Server也可稱為身份提供者(IdP, Identity Provider)

零信任

WUSON CISSP的課程將零信任(Zero Trust)定位為Access Control 2.0, 也就是:

資料為中心劃定虛擬邊界,進行更細膩/粒更動態更透明存取控制

資料來源:https://wentzwu.medium.com/%E5%AD%98%E5%8F%96%E6%8E%A7%E5%88%B6%E7%9A%84-%E5%9F%BA%E6%9C%AC%E7%94%A8%E8%AA%9E-cf9f94d29f28

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

主體的安全許可 (security clearance) 與自主訪問模型 (DAC) 的相關性最小

https://ithelp.ithome.com.tw/upload/images/20221108/20132160kV5tOGOiIX.jpg
-安全核心
在自主訪問模型 (DAC) 中,數據所有者負責保護委託數據、對其進行分類,並根據需要知道和最小權限原則做出授權決策。
數據保管人負責執行數據所有者做出的授權決定。受信任的計算機系統將授權保存在稱為訪問控制矩陣 (ACM) 的數據結構中。Take-Grant保護模型是操縱ACM的理論之一。
可信計算機系統中的安全核心強制執行訪問控制(身份驗證、授權和記帳)。符合 TCSEC C 部門標準的可信計算機系統支持 DAC,而符合 B 部門標準的可信計算機系統支持 MAC。DAC 系統基於身份並依賴於 ACM。它不會引用對象的安全許可或對象的標籤。

資料來源: Wentz Wu QOTD-20211107

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

資產分類

此文章來至Wentzwu網站QOTD 20111106,文章如下:
https://ithelp.ithome.com.tw/upload/images/20221027/20132160jA10mb28xF.jpg
-CIA 和 DAD(圖片來源:Thor Pedersen
資產分類通常根據商業價值確定資產的重要性或優先級,可以從機密性、完整性、可用性、購買/歷史成本、收入損失、機會成本等方面進行評估。分類方案是關鍵工具對資產進行分類。在資產被正確分類後,安全控制的範圍和定制。
這個問題中提到的分類方案(機密性、私人性、敏感性和公共性)是以機密性為中心的,並且在私營部門中普遍使用。鑑於分類方案,洩露機密性的信息是主要關注點。
https://ithelp.ithome.com.tw/upload/images/20221027/20132160MLuCqqiOX4.jpg
-分類方案

參考
CISSP – CIA Triad及其對立面

資料來源: Wentz Wu QOTD-20211106

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

Kerberos-客戶端將使用者 ID 的明文消息發送到代表用戶請求服務的 AS(身份驗證服務器)

https://ithelp.ithome.com.tw/upload/images/20221013/20132160GwLDmygb9P.jpg
-Kerberos 操作(來源:Fulvio Ricciardi
第一個 Kerberos 消息是 AS_REQ,如上圖所示。根據維基百科,“客戶端將用戶 ID 的明文消息發送到代表用戶請求服務的 AS(身份驗證服務器)。(注意:密鑰和密碼都不會發送到 AS。)”
Fulvio Ricciardi詳細解釋了 Kerberos 的工作原理。

參考
Kerberos(協議)
RFC 4120:Kerberos 網路身份驗證服務 (V5)
Kerberos(Wireshark 捕獲文件)
加密類型
Kerberos 版本 5 身份驗證協議的工作原理

資料來源: Wentz Wu QOTD-20211103

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

不同代的編程語言具有不同的功能,使用 C 的基於客戶端的應用程序最容易受到緩衝區溢出(buffer overflow)攻擊

https://ithelp.ithome.com.tw/upload/images/20221011/20132160fwdRX6uBWC.jpg
-軟體運行環境

與 JavaScript、C# 和 Java 不同,C 語言提供編程結構來直接控制硬體並調用操作系統提供的服務。例如,“指針(pointer)”用於操作靜態或動態分配的內存。
使用 JavaScript、C# 和 Java 開發的應用程序是託管應用程序,並在運行時環境或沙箱中執行。例如,基於 .NET 框架的 C# 應用程序(編譯為 MSIL)、Java 虛擬機 (JVM) 中的 Java 應用程序以及瀏覽器或 Node.js 運行時中的 JavaScript。
託管應用程序中可能會發生緩衝區溢出。但是,它們通常由運行時或沙箱很好地管理。C 應用程序自己管理內存;它們更容易受到緩衝區溢出攻擊。

參考
編程語言世代
緩衝區溢出

資料來源: Wentz Wu QOTD-20211102

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
Cissp-WentzWu

Wentz Wu QOTD-20210922

安全框架(framework)的目的之一是根據安全要求指導控制措施(control)的選擇,以保護資訊系統。 關於安全框架,以下哪項是正確的? (Wentz QOTD)
A. 框架設定了組織要遵循的標準
B. 框架應盡可能詳盡
C. 框架可能導致強制性實踐
D. 各種框架不應同時採用

One of the security framework’s purposes is to guide the selection of controls based on security requirements to secure information systems. Which of the following is correct about security frameworks? (Wentz QOTD)
A. A framework sets the standard for organizations to follow
B. A framework should be as exhaustive as possible
C. A framework may lead to mandatory practices
D. Various frameworks should not be adopted simultaneously

老師的回覆:

A. A framework sets the standard for organizations to follow => framework是範本/懶人包, 不是標準
B. A framework should be as exhaustive as possible => 應儘量簡單, 易用, 不要太繁索
C. A framework may lead to mandatory practices => framework可能最後會導致/發展出強制性的實務作法
D. Various frameworks should not be adopted simultaneously => 一個組織實際上反而都是導入多個框架, 解決不同需求.

資料來源: Wentz Wu QOTD-20210922

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
Cissp-WentzWu

CISSP PRACTICE QUESTIONS – 20220321

According to Bruce Schneier, there are four general types of cryptanalytic attacks, each of which assumes that the cryptanalyst has complete knowledge of the encryption algorithm. Which of the following emphasizes that the cryptanalyst’s job is to recover the plaintext of as many messages as possible, or better yet to deduce the key (or keys) used to encrypt the messages, in order to decrypt other messages encrypted with the same keys? (Wentz QOTD)
A. Ciphertext-only attack
B. Known-plaintext attack
C. Chosen-plaintext attack
D. Chosen-ciphertext attack

根據 Bruce Schneier 的說法,有四種一般類型的密碼分析攻擊,每一種都假設破密分析者完全了解加密算法。 以下哪項強調破碼分析員的工作是盡可能多地恢復消息的明文,或者更好地推斷用於加密消息的密鑰(或多個密鑰),以便解密使用相同密鑰加密的其他消息? (Wentz QOTD)
A. 只有密文攻擊
B. 已知明文攻擊
C. 選擇明文攻擊
D. 選擇密文攻擊

建議答案為A

根據密碼學大學Bruce Schneier的說法, 只有密文攻擊, 已知明文攻擊, 選擇明文攻擊, 及選擇密文攻擊等都可以用來破解Key(即deduce the key), 但有二個是比較特別的:

  1. 只有密文攻擊: 雖然可用來破解key, 但它主要是還原明文為主.
  2. 選擇密文攻擊: 破解key, 但主要是針對非對稱式加密

資料來源:https://wentzwu.com/2022/03/21/cissp-practice-questions-20220321/

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

WentzWu-20210926

以下哪個是可路由協議? (Wentz QOTD)
A. SPX
B. NetBEUI
C. IPv4
D. BGP

我建議的答案是C. IPv4。

Routing跟routed,前者是主動,後者是被動。rip, ospf是routing protocol, 而ip是routed protocol.

資料來源:https://wentzwu.com/2021/09/26/cissp-practice-questions-20210926/

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文