分類
CISSP

DD/DC: Due Diligence and Due Care

DD/DC: Due Diligence與Due Care問題

CISSP社群在談DD/DC問題, 都沒有一致的定義, 基本上大家隨便講,隨便對.
練習題也是差不多, 都是要看那個作者對DD/DC的觀念到那邊或想法是什麼.
所以請大家要多留意網路或不明來源的說法.

以下是我根據工作經驗, 對法律的了解及研究後所歸納的說法:

Due是”應該作的事情,” Diligence是指”勤勞.” 也就是作事要照起工, 不要偷懶. 例如, 合約要看清楚才簽名, 不要偷懶不看清楚就簽名.

Due Diligence既然是強調”應該要勤勞作到基本功,” 但要作到那些基本功? 每個行業有不同的要求. 但有一點是大家都認同的, 就是要作到”事先的調查及了解.” 所以中文常將Due Diligence翻作”盡職調查”還算不錯.

除了一般性的”事先調查及了解”, 法律條文或每個行業的行規可能會針對Due Diligence訂定標準. 因此, 有沒有作到Due Diligence是比較好判斷的. 例如, 以下美國的法律就針對”消費者資料的廢棄作業,” 訂定應有的Due Diligence標準:
https://www.law.cornell.edu/cfr/text/16/682.3

Care就是”小心”的意思. Due Care是指”作事情時要盡到應該有的注意/小心.” 但什麼叫有作到”應該有的小心”並沒有一定的標準, 通常都需要依賴法官的心證. 例如, 送貨的貨車司機撞到人, 在法院上跟法官說他開車的時候都很小心, 有特別注意左右來車及行人. 而且昨天很早睡, 所以開車時精神也很好. 法官說你有作到Due Care就有, 說沒有就沒有. 若沒有作到Due Care, 台灣叫作”應注意而未注意.”

簡單說:
Due Diligence強調事先的調查, 制度的建立, 以及制度的持續性及有效性等, 通常有較明確的標準.
Due Care則是強調事中, 把事情作好. 它沒有客觀的判斷標準, 所以都是有法官判定, 也因此法院的判決常出現未作到Due Care的字眼, 但我找了美國判例, 極少出現Due Diligence.

老外背DD/DC都用一個口訣:
Due Diligenct (DD): Do Detect;
Due Care (DC): Do Correct.
也就是事前的偵測, 事中把事情作正確.

分類
CISSP

變更管理

通用變更管理流程

任何變更請求都必須記錄,評估,批准,實施,報告和傳達,以便可以管理變更風險,以防止不必要的安全性降低。記錄變更後,可以對其進行審查以汲取經驗教訓或進行持續改進。

更換管理層
分類
CISSP

零信任(Zero Trust)

Zero Trust第一原則就是不要再用”實體網路”的分隔來保護資源. 傳統的外網/DMZ/內網就是用”網路位置”來判斷安不安全, 所以都會認為內網最安全, DMZ次之, 然後外網最危險. 這種想就是”信任”內網的機器是安全的. Zero Trust第一件事, 就是不要用”實體”的網路邊界來思考, 而是以資源(資料)為中心, 透過”軟體定義”的”虛擬”邊界來思考, 並且提供更細膩且動態, 並且高可視(除了有log, 還可以記錄封包/資料的內容)的存取控制機制. 我整合了Zero Trust教父(John Kindervag), 美國國防部, Google, CSA及NIST等觀點, 把Zero Trust簡稱為存取控制2.0.

分類
CISSP

戰略管理(strategic management)

我在這篇文章中介紹戰略管理。我的書《有效的CISSP:安全和風險管理》中有詳細信息。 政策(Policy)代表管理意圖。一旦制定或製定了戰略,就會發布策略來指導戰略的執行/實施。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160OPuoDlxjHb.jpg
-戰略水平

戰略(Strategy)
戰略是一個流行詞。每個人都使用它,但可能不會使用具有一致定義的它。一般而言,戰略是一項計劃(plan), 旨在實現源自組織使命和願景的長期(long-term)或總體(overall) 目標。可以由不同級別的經理在公司,業務或職能級別上進行開發。
. 計劃 實現長期或總體 目標 (ISO 9000:2015)
. 計劃 完成 組織的任務 並實現 組織的願景 (ISO 21001:2018)
. 組織的總體 發展計劃,描述了 在組織未來活動中有效使用 資源以支持組織的
事項注1:涉及設定 目標 和提出 行動計劃 (ISO / IEC / IEEE 24765:2017)
. 組織 實現其 目標的方法 (ISO 30400:2016)

戰略管理(Strategic Management)
戰略管理是公司治理的關鍵要素,包括三個階段:戰略制定/制定(戰略思維,內部和內部分析,差距分析),戰略實施/執行以及戰略評估。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160ZEQC0oS4bP.jpg
-大衛的戰略管理流程模型
https://ithelp.ithome.com.tw/upload/images/20210521/20132160I7u9nZj971.jpg
-資訊安全治理

策略制定(Strategy Formulation)
戰略思維(STRATEGIC THINKING)
戰略制定通常始於對組織使命和願景進行戰略思考,從而塑造了組織的長期和整體性質。戰略目標是從使命和願景中得出的。戰略思維有助於定義所需的狀態。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160lpHB3m1WXt.jpg
-戰略思維
https://ithelp.ithome.com.tw/upload/images/20210521/20132160eK2WcAldtQ.jpg
-目標,策略和風險
https://ithelp.ithome.com.tw/upload/images/20210521/20132160hPsPUpRX87.jpg
-目標與目的

外部和內部分析(EXTERNAL AND INTERNAL ANALYSIS)
通常進行外部和內部分析,以掃描宏觀和微觀環境和行業,尋找機遇和威脅,確定利益相關者,了解他們的需求和要求,確定約束條件和資源,等等。SWOT分析是用於內部和外部分析的最著名的工具之一。它有助於確定當前狀態,並可能有助於達到所需狀態。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160CQEIztPirp.jpg
-外部和內部分析

差異分析(GAP ANALYSIS)
確定期望狀態和當前狀態之間的間隙意味著已經確定了期望狀態和當前狀態。一旦發現差距,便會定義一個具有里程碑和舉措的路線圖,以從當前狀態過渡到所需狀態。策略可以表示為計劃的組合。商業案例根據成本和收益以及其他可行性維度評估一項計劃。如果業務案例獲得批准,則該計劃將變成一個項目。通過投資回報率評估的投資組合可以包含一個或多個程序或項目。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160ou1oOREHJ7.png
-戰略發展
https://ithelp.ithome.com.tw/upload/images/20210521/20132160pKAIiqMU1f.jpg
-戰略投資組合

戰略實施/執行(Strategy Implementation/Execution)
https://ithelp.ithome.com.tw/upload/images/20210521/20132160nDMp8I9kPZ.jpg
-戰略,計劃,產品和項目 -專案生命週期(來源:PMBOK)

策略評估Strategy Evaluation (績效評估Performance Measurement)
https://ithelp.ithome.com.tw/upload/images/20210521/20132160pdNQUzrmWs.jpg
-平衡計分卡(BSC)

參考
什麼是“策略”?
戰略管理與戰略規劃過程
麥肯錫7-S框架
TOWS分析:綜合指南

資料來源: Wentz Wu QOTD-20210520

Wentz Wu:

建議的答案是A.
差距分析表示”未來狀態”及”現有狀態”的分析都已完成. 因此進行差距分析之前, 必須先進行戰略思考, 內外部環境分析, 才能釐清使命及願景, 以及確立戰略目標, 這就是未來狀態. 另外, 內部外部境境也是了解現有狀態, 了解環境的變化(如PEST), 了解產業的競爭, 了解組織內部(value chane或麥肯鍚的7S模型)等. 之後才會進行差距分析, 然後訂出由現在走向未來的路線圖.

分類
CISM

風險承受能力和風險偏好(Risk Capacity and Risk Appetite)

https://ithelp.ithome.com.tw/upload/images/20210520/20132160nBRZN4aVXe.jpg
. 風險暴露(Risk Exposure)是指風險給個人,項目或組織帶來的潛在損失。(ISO 16085:2006)
. 風險容忍度(Risk Tolerance)是管理層在企業追求其目標時願意允許的任何特定風險的可接受的變化水平(ISACA,2019年)
. 風險閾值(Risk Threshold)是指風險暴露水平,高於該水平即可解決風險,低於該水平則可以接受。
(PMBOK指南—第六版)
. 風險處理(Risk Treatment)是消除風險或將其降低到可以容忍的水平的過程。(ISO 15026-3:2015)
. 風險偏好(Risk Appetite)是組織願意承擔或保留的風險的數量和類型。(ISO /指南73:2009)
. 風險承受能力(Risk Capacity)是指組織能夠承受的最大風險量。

資料來源:WenTz Wu網站

分類
CISSP

全磁碟加密(Full Disk Encryption)

https://ithelp.ithome.com.tw/upload/images/20210519/20132160l8dBhua0Gk.jpg
全磁碟加密(FDE)可以是保護靜態數據的軟件或硬件解決方案。基於硬件的全磁碟加密通常稱為自加密驅動器(SED),通常符合OPAL(例如Windows的加密硬盤驅動器)和由Trusted Computing Group(TCG)開發的企業標準。“內置在驅動器中或驅動器機箱中的基於硬件的加密對用戶來說是透明的。除啟動身份驗證外,該驅動器的運行方式與任何驅動器相同,並且不會降低性能。與磁碟加密軟件不同,它沒有復雜性或性能開銷,因為所有加密對於操作系統和主機計算機處理器都是不可見的。” (維基百科

身份驗證和機密性(Authentication and Confidentiality)
SED通過鎖定驅動器和加密數據來增強安全性。開機時需要使用身份驗證密鑰(AK)來解鎖驅動器(解密DEK),然後數據加密密鑰(DEK)解密數據。SED不會將DEK存儲在可信平台模塊(TPM)中,該平台通常以母板或芯片集組件的形式實現。

數據加密密鑰(Data Encryption Key:DEK)
. 用於加密和解密數據。
. 由驅動器生成,並且永不離開驅動器(未存儲在TPM上)。
. 如果更改或擦除,則無法解密以前的現有數據。

可信平台模塊(Trusted Platform Module)
以下是維基百科的摘錄:
可信平台模塊(TPM,也稱為ISO / IEC 11889)是安全密碼處理器的國際標準,安全密碼處理器是一種專用微控制器,旨在通過集成的密碼密鑰來保護硬件。
TPM 2.0實現有五種不同類型:
. 離散TPM是專用芯片,它們在自己的防篡改半導體封裝中實現TPM功能。從理論上講,它們是TPM的最安全的類型,因為與在軟件中實現的例程相比,在硬件中實現的例程應該對錯誤(需要澄清)有更強的抵抗力,並且它們的軟件包必須具有一定的抗篡改性。
. 集成的TPM是另一個芯片的一部分。當他們使用抵抗軟件錯誤的硬件時,不需要實現防篡改功能。英特爾已在其某些芯片組中集成了TPM。
. 固件TPM是基於固件(例如UEFI)的解決方案,可在CPU的受信任執行環境中運行。英特爾,AMD和高通已實施固件TPM。
. 虛擬機管理程序TPM是由虛擬機管理程序提供並依賴於虛擬機TPM,它們處於隔離的執行環境中,該環境對於虛擬機內部運行的軟件是隱藏的,以從虛擬機中的軟件中保護其代碼。它們可以提供與固件TPM相當的安全級別。
. 軟件TPM是TPM的軟件仿真器,其運行方式與操作系統中常規程序獲得的保護一樣多。它們完全取決於運行的環境,因此它們提供的安全性沒有普通執行環境所能提供的安全高,並且容易受到滲透到普通執行環境中的自身軟件漏洞和攻擊的影響。 ]它們對於開發目的很有用。

參考
基於硬件的全磁碟加密
蛋白石存儲規範
SSD的數據安全性功能
TCG設置驅動器加密標準
您的自加密驅動器(SED)多合一指南
TCG存儲安全子系統類:蛋白石
符合TCG / Opal 2.0標準的自加密驅動器(SED)
FDE的基本原理:比較頂級的全磁碟加密產品
加密硬盤驅動器(符合TCG OPAL和IEEE 1667的自加密硬盤驅動器)
自加密驅動器
SSD加密漏洞和TPM
與TPM集成的Opal SSD
可信平台模塊–調查
實現信任的硬件根源:可信平台模塊已成時代
TPM 2.0快速教程
企業自加密驅動器
企業SED演示

資料來源: Wentz Wu QOTD-20210316

分類
CISSP

擴展認證協議(EAP)最不可能用於建立點對點連接

密碼驗證協議(PAP)發送未加密的密碼。它比EAP-MD5和CHAP(都使用MD5)弱。因此,在三種身份驗證協議中最不可能使用PAP。
可擴展身份驗證協議(EAP)是在其上開發基於EAP的身份驗證協議的身份驗證框架。
可擴展身份驗證協議(EAP)是網絡和Internet連接中經常使用的身份驗證框架。它在RFC 3748中定義,使RFC 2284過時,並由RFC 5247更新。EAP是用於提供對EAP方法生成的材料和參數的傳輸和使用的身份驗證框架。RFC定義了許多方法,並且存在許多特定於供應商的方法和新建議。EAP不是有線協議;相反,它僅定義來自界面和格式的信息。每個使用EAP的協議都定義了一種將用戶EAP消息封裝在該協議的消息中的方法。
EAP被廣泛使用。例如,在IEEE 802.11(WiFi)中,WPA和WPA2標準已採用IEEE 802.1X(具有各種EAP類型)作為規範認證機制。
資料來源:維基百科

參考
可擴展認證協議

資料來源: Wentz Wu QOTD-20210315

分類
CISSP

PEST分析

PEST分析是利用環境掃描分析總體環境中的政治Political)、經濟Economic)、社會Social)與科技Technological)等四種因素的一種模型。這也是在作市場研究時,外部分析的一部份,能給予公司一個針對總體環境中不同因素的概述。這個策略工具也能有效的了解市場的成長或衰退、企業所處的情況、潛力與營運方向。

資料來源:https://zh.wikipedia.org/wiki/PEST%E5%88%86%E6%9E%90

分類
CISSP

NIST SDLC和RMF(續)-PartII

https://ithelp.ithome.com.tw/upload/images/20210514/20132160PG2JYxUyDw.jpg
-NIST SDLC和RMF

在啟動項目後進行系統分類;這意味著已經開發了一個業務案例,並且已選擇,接受,批准了替代方案並變成了項目。
安全控制的實施取決於安全措施或安全控制的確定。安全控制框架(SCM),例如NIST SP 800-53,提供了安全控制的初始範圍,然後可以對其進行定製或修改。範圍界定和剪裁是NIST RMF中“選擇控件”步驟的核心概念,其次是“實施控件”步驟。

應用緊急補丁修復高優先級漏洞意味著該系統有權運行。但是,系統分類是在系統開發生命週期(SDLC)的初始階段進行的。
範圍界定是指檢查基準安全控制並僅選擇適用於您要保護的IT系統的那些控制。例如,如果系統不允許任何兩個人同時登錄,則無需應用並發會話控件。
斯圖爾特(James M.)。CISSP(ISC)2認證的信息系統安全專業人士正式學習指南。威利。

資料來源: Wentz Wu QOTD-20210308

分類
CISSP

需要知道(need-to-know)&最小權限(least privilege)

需要知道(need-to-know)
定義:根據該命令發布的指令在行政部門內做出的確定,即准予接受者需要訪問特定的機密信息才能執行或協助合法和授權的政府職能。
資料來源:https://csrc.nist.gov/glossary/term/need_to_know

最小特權(least privilege)
定義:設計安全體系結構的原則,以使每個實體都獲得該實體執行其功能所需的最少系統資源和授權。
資料來源:https://csrc.nist.gov/glossary/term/least_privilege