分類
CISSP

工業控制系統(ICS)

以下是 NIST SP 800-82 R2 的摘要:
控制系統用於許多不同的工業部門和關鍵基礎設施,包括製造、分銷和運輸。
工業控制系統(ICS)是包含幾種類型的控制系統,包括一個通用術語,監督控制和數據採集(SCADA)系統,分佈式控制系統(DCS) ,和其他控制系統的配置,例如可編程邏輯控制器(PLC)常常在工業部門和關鍵基礎設施中發現。
ICS 用於控制地理上分散的資產,通常分散在數千平方公里的範圍內,包括分配系統,例如配水和廢水收集系統、農業灌溉系統、石油和天然氣管道、電網和鐵路運輸系統。
典型的 ICS 包含大量控制迴路、人機界面以及遠程診斷和維護工具,這些工具是使用分層網路架構上的一系列網絡協議構建的。
SCADA 系統用於控制分散的資產,其中集中式數據採集與控制同等重要。
DCS 用於控制同一地理位置內的生產系統。

參考
. NIST SP 800-82 R2
ENISA ICS SCADA
OT、ICS、SCADA 和 DCS 之間有什麼區別?
ICS/SCADA 網絡安全

資料來源: Wentz Wu QOTD-20210901

分類
Information Security

NanoCore 惡意軟件信息

概要

NanoCore 遠程訪問木馬 (RAT) 於 2013 年首次在地下論壇上出售時被發現。該惡意軟件具有多種功能,例如鍵盤記錄器、密碼竊取器,可以遠程將數據傳遞給惡意軟件操作員。它還能夠篡改和查看來自網絡攝像頭的鏡頭、屏幕鎖定、下載和盜竊文件等。

當前的 NanoCore RAT 正在通過利用社會工程的惡意垃圾郵件活動傳播,其中電子郵件包含虛假的銀行付款收據和報價請求。這些電子郵件還包含帶有 .img 或 .iso 擴展名的惡意附件。磁盤映像文件使用 .img 和 .iso 文件來存儲磁盤或光盤的原始轉儲。另一個版本的 NanoCore 也在利用特製 ZIP 文件的網絡釣魚活動中分發,該 ZIP 文件旨在繞過安全電子郵件網關。某些版本的 PowerArchiver、WinRar 和較舊的 7-Zip 可以提取惡意 ZIP 文件。被盜信息被發送到惡意軟件攻擊者的命令和控制 (C&C) 服務器。

此 RAT 收集以下數據並將其發送到其服務器:

  • 瀏覽器的用戶名和密碼
  • 文件傳輸協議 (FTP) 客戶端或文件管理器軟件存儲的帳戶信息
  • 流行郵件客戶端的電子郵件憑據

能力:

  • 信息竊取
  • 後門命令
  • 漏洞利用
  • 禁用使用能力

影響:

  • 危害系統安全 – 具有可以執行惡意命令的後門功能
  • 侵犯用戶隱私 – 收集用戶憑據、記錄擊鍵並竊取用戶信息

感染詳情:

樣本垃圾郵件 – 銀行付款收據附件垃圾郵件

MITRE ATT & CK 矩陣

資料來源:https://success.trendmicro.com/tw/solution/1122912-nanocore-malware-information

分類
Information Security

IceRAT 惡意軟件

什麼是 IceRAT 惡意軟件?

儘管它的名字,IceRAT 與其說是遠程訪問木馬,不如說是一個後門。它的主要功能是針對連鎖感染和額外的惡意軟件下載,而缺少傳統的 RAT 功能(例如命令執行)。自 2020 年 1 月被發現以來,IceRAT 成功地用大量信息竊取程序、密碼挖掘程序、鍵盤記錄程序和剪報程序感染了受害者。值得注意的是,惡意軟件主要通過垃圾郵件活動和木馬化“破解程序”進行傳播。例如,第一個檢測到的 IceRAT 版本通過包含用於 CryptoTab 瀏覽器的木馬軟件下載的惡意文件感染受害者。IceRAT 的主機和 C2 服務器 hxxp://malina1306.zzz(.)com.ua 位於西里爾文網站上,這可能表明 IceRAT 開發人員可能來自東歐或俄羅斯。

IceRAT 後門規避策略

IceRAT 的深入分析表明,它是有史以來第一個用 JPHP 編寫的惡意軟件,JPHP 是一種運行在 Java VM 上的 PHP 實現。因此,IceRAT 依賴於 .phb 文件而不是傳統的 Java .class 文件。由於 .php 文件通常不受 AV 引擎支持,因此這種特性允許威脅在 VirusTotal 上達到極低的檢測率。另一個有助於成功規避的不常見功能是 IceRAT 的架構。該實現高度分散,避免將所有功能放在一個文件中。特別是,IceRAT 惡意軟件使用多個文件分別執行每個信號功能。因此,萬一下載器組件被發現,它可能被認為是良性的,因為缺少惡意內容。

資料來源:https://socprime.com/blog/icerat-malware-detection-catch-me-if-you-can/

分類
CISSP

惡意程式(malware)

蠕蟲可以主動利用網路服務漏洞或被動使用群發郵件來傳播自身。但是,只有當用戶執行附加到電子郵件的惡意代碼時,它才會變為活動狀態。
. 病毒不會自我複制;它可以被操作系統(例如編譯病毒)或應用程序(例如巨集病毒)加載和執行。
. “惡意移動代碼是具有惡意意圖的軟體,從遠程主機傳輸到本地主機,然後在本地主機上執行,通常沒有用戶的明確指令。惡意移動代碼的流行語言包括 Java、ActiveX、JavaScript 和 VBScript。” (NIST SP 800-83 R1)
惡意移動代碼不涉及移動應用程序,並且在沒有用戶明確指示的情況下穿越移動設備。
. 特洛伊木馬不會自我複制。這是一個自成一體的程式,似乎是良性的,但實際上有一個隱藏的惡意目的。

參考
. NIST SP 800-83 R1

資料來源: Wentz Wu QOTD-20210831

分類
Cissp-WentzWu

治理

治理就是管理, 它只是強調經營高層(董事會及高階主管)的管理作為. 皇帝只會用”朕”, 不會用”我”這個字. 只要是高階主管的管理作為, 就可以說是治理.

如果你是CISO, 那就可以說是在治理資安. 但本質就是在管理資安而已.

CISSP只是一個資格, 要知道治理的意義. 但不是取得CISSP就會當上CISO或成為經營高層的一員. 所以CISSP可能懂治理是什麼, 但可能沒有實權去治理資安.

經營高層如何治理資安?

1. 想東想西: 戰略管理

2. 出一張嘴: 政策指示

治理的目標就是創造價值, 實現組織的使命與願景. 白話文就是: 作生意賺錢, 永續經營, 善盡社會責任.

然後, 經營高層就要晝大餅(願景), 想辦法(戰略)帶大家(領導)往目標邁進, 以實現願景.

簡單說, 經營高層要把公司管好(治理好), 才能賺錢, 實現使命與願景.

經營高層如何管好(治理好)公司? 要有一套辦法(戰略), 要叫人家去作(政策)

這些都是同一回事, 也是很簡單的道理. 只是簡單的東西被複雜化而已.

分類
CISSP

電路級(Circuit-level)授權策略不是常見的服務網格授權策略類型

以下是 NIST SP 800-204B 的摘錄:
可以通過配置身份驗證和存取控制策略來實施對微服務的細粒度存取控制。這些策略在服務網格的控制平面中定義,映射到低級配置,並推送到構成服務網格數據平面的邊車代理(sidecar proxies)中。
授權策略,就像它們的身份驗證對應物一樣,可以在服務級別和最終用戶級別指定。此外,授權策略是基於存取控制模型的構造來表達的,並且可能會根據應用程序和企業級指令的性質而有所不同。此外,存取控制數據的位置可能因企業中的身份和存取管理基礎設施而異。這些變化導致以下變量:
● 兩個授權級別——服務級別和最終用戶級別
● 用於表達授權策略的存取控制模型
● 存取控制數據在集中或外部授權服務器中的位置或作為頭數據攜帶
服務網格中支持的存取控制使用抽象來分組一個或多個策略組件(在第 4.5.1 節中描述),用於指定服務級別或最終用戶級別的授權策略。由於基於微服務的應用程序被實現為 API(例如,表現層狀態轉換(REST)ful API),使用鍵/值對描述的授權策略組件將具有與 API 相關的屬性,包括相關的網絡協議。授權策略的類型有:
● 服務級授權策略
● 最終用戶級授權策略
● 基於模型的授權策略

參考
. NIST SP 800-204B

資料來源: Wentz Wu QOTD-20210830

分類
CISSP

表現層狀態轉換REST

表現層狀態轉換英語Representational State Transfer縮寫REST)是Roy Thomas Fielding博士於2000年在他的博士論文[1]中提出來的一種全球資訊網軟體架構風格,目的是便於不同軟體/程式在網路(例如網際網路)中互相傳遞資訊。表現層狀態轉換是根基於超文字傳輸協定(HTTP)之上而確定的一組約束和屬性,是一種設計提供全球資訊網絡服務的軟體構建風格。符合或相容於這種架構風格(簡稱為 REST 或 RESTful)的網路服務,允許使用者端發出以統一資源標識符存取和操作網路資源的請求,而與預先定義好的無狀態操作集一致化。因此表現層狀態轉換提供了在網際網路的計算系統之間,彼此資源可互動使用的協作性質(interoperability)。相對於其它種類的網路服務,例如SOAP服務,則是以本身所定義的操作集,來存取網路上的資源。

目前在三種主流的Web服務實現方案中,因為REST模式與複雜的SOAPXML-RPC相比更加簡潔,越來越多的Web服務開始採用REST風格設計和實現。例如,Amazon.com提供接近REST風格的Web服務執行圖書查詢;雅虎提供的Web服務也是REST風格的。

資料來源:https://zh.wikipedia.org/wiki/%E8%A1%A8%E7%8E%B0%E5%B1%82%E7%8A%B6%E6%80%81%E8%BD%AC%E6%8D%A2

分類
CISSP

XACML

XACML代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策略語言、[2]架構和描述如何根據策略中定義的規則評估訪問請求的處理模型。

作為已發布的標準規範,XACML 的目標之一是促進多個供應商的訪問控制實現之間的通用術語和互操作性。XACML 主要是一種基於屬性的訪問控制系統 (ABAC),也稱為基於策略的訪問控制 (PBAC) 系統,其中與用戶或操作或資源相關聯的屬性(數據位)被輸入到決定是否給定用戶可以以特定方式訪問給定資源。基於角色的訪問控制(RBAC) 也可以作為 ABAC 的特化在 XACML 中實現。

XACML 模型支持並鼓勵將執行 (PEP) 與決策 (PDP) 與授權的管理/定義 (PAP) 分離。當訪問決策在應用程序中硬編碼(或基於本地機器用戶 ID 和訪問控制列表(ACL))時,很難在管理策略發生變化時更新決策標準,並且很難實現對訪問決策的可見性或審計。授權到位。當客戶端與訪問決策分離時,授權策略可以即時更新並立即影響所有客戶端。

資料來源:https://en.wikipedia.org/wiki/XACML

分類
CISA

X/Open XA

在計算技術上,XA規範開放群組關於分布式事務處理 (DTP)的規範。規範描述了全局的事務管理器與局部的資源管理器之間的接口。XA規範的目的是允許多個資源(如資料庫,應用伺服器,消息隊列,等等)在同一事務中訪問,這樣可以使ACID屬性跨越應用程式而保持有效。XA使用兩階段提交來保證所有資源同時提交或回滾任何特定的事務。

XA規範描述了資源管理器要支持事務性訪問所必需做的事情。遵守該規範的資源管理器被稱為XA compliant

資料來源:https://zh.wikipedia.org/wiki/X/Open_XA

分類
CISSP

Confusion and diffusion混淆與擴散

密碼學當中,混淆(confusion)與擴散(diffusion)是設計密碼學演算法的兩種主要方法。這樣的定義最早出現在克勞德·夏農1945年的論文《密碼學的數學理論》當中[1]

在克勞德·夏農的定義之中,混淆主要是用來使密文和對稱式加密方法中金鑰的關係變得盡可能的複雜;而擴散則主要是用來使用明文和密文關的關係變得盡可能的複雜,明文中任何一點小更動都會使得密文有很大的差異。 混亂用於掩蓋明文與密文之間的關係。這可以挫敗通過研究密文以取得冗餘度和統計模式的企圖。做到這一點最容易的方法是「代替」。 擴散通過將明文冗餘度分散到密文中使之分散開來。即將單個明文或金鑰位的影響儘可能擴大到更多的密文中去。產生擴散最簡單的方法是換位(置換)。