分類方案適用於整個組織。RD負責人定義一個是不合適的。此外，由於發布了資產分類準則，這意味著分類方案已作為組織標準得以實施。
. 資產的類型很多。數據只是其中之一。以一百萬美元的價格購買的資產顯然比兩千美元的資產更有價值，並且值得採取更多的保護措施。
. 可能造成一百萬美元損失的資產比具有兩千美元損失的資產需要更多的安全控制。
. 強制訪問控制（MAC）通常在政府部門中實施；很少或一些私營企業可以實施它。但是，在Windows Vista和更高版本中，Microsoft提供了強製完整性控制（MIC），這是一種強制實施完整性的MAC實現，其中，所有主題和對像都具有MIC標籤，如下圖所示。

-Windows 10中的強製完整性控制（來源：Windows Club）
“資產分類是資產的系統的安排的通過將資產分配給一個過程命名的類基於（組，類別，層，或水平）的標準，如法律或法規的要求，靈敏度，臨界，衝擊，或商業價值來確定其保護要求。一個分類方案指的是名為類標準，並用於分類程序“。（Wentz Wu，有效的CISSP：安全和風險管理）第12356號行政命令是機密性分類方案的一個很好的例子。

12356號行政命令
第1.1節分類級別。
（a）國家安全信息（以下稱“機密信息”）應分為以下三個級別之一：
（1）“最高機密”應應用於信息，未經許可的披露在合理情況下可能會導致異常嚴重的後果。損害國家安全。
（2）“秘密”應適用於可能被合理地預期對國家安全造成嚴重損害的未經授權的披露。
（3）“機密”應適用於可能會合理地預期對國家安全造成損害的未經授權的信息披露。

參考
. 有效的CISSP：安全和風險管理
. 第12356號行政命令–國家安全信息
. Windows 10中的強製完整性控制

資料來源： Wentz Wu QOTD-20210214

“失敗不可怕，可怕是你不往前進”。
~Steven

邁向CISSP成功之路

2020/07/16 今天是我初步通過CISSP考試的一天。從2019年6月上Wentz Wu的實體課程。他只跟我說“跟他的腳步一起邁進，考取CISSP只是時間的早晚”。

從一開始的蕃茄時鐘的讀書方式，想偷懶就吃維他命，規律的讀書計畫及有效讀唸書。在這段期間我遇到很多困難，但是在Wentz Wu鼓勵下一直往考取CISSP路前進。課程中遇到Sky & Ethen & Joy這些好同學讓我再學習CISSP路上豐富許多。

我本身是從Sybex OSG的書開始閱讀起，閱讀時要讀懂，不要讀心安（不是讀很多次就會過）。每章閱讀前需要先做後面的題目，做這些題目是了解自己哪些知識不足之處，這樣在進行閱讀時就自己不懂的地方可以加強。

閱讀完成第一次時，這樣已經對於CISSP中的知識有初步的了解，並且建議規劃好自己的讀書計畫，利用PDCA來Recheck自己的讀書計畫（建議閱讀時間要有250小時以上->我本身超過250小時）。

實體課程的部分建議要上課前要預習，下課後要複習老師上過的知識（與Sybex書籍及NIST相關重要指引互相配合閱讀）。5週的時間會相當的快，不過也會大量的吸收知識，切記與同學多多討論及老師問問題，這樣會讓自己更快進入狀況。

每天跟隨Wentz Wu的QOTD做題目，這些題目會讓你思考&了解更多相關的知識（做這些題目並不是要知道答案，要本身去思考每個答案的用意有不同的思考邏輯）。加上Wentz Wu出的書“The Effective CISSP”也是釐清風險管理的一本好書。

其實CISSP的考試都隨Exam Outline來考，隨時隨地要修正自己讀書的方向，要與Exam Outline對齊，並且跟隨Wentz QOTD題目來每天做題也是重點，作題時並不是做對答案而是要經過思考，對於選擇題的其他答案也要去了解。

我本身有做完Sybex OSG考題及ISC2 官方考題 2nd Edition（作題目建議要超過3000題以上）。作題目是讓自己去了解不同觀點的知識，而且自己本身也要了解相關的知識，最後上場前”讓自己成為一間企業的CISO來思考每個考題，你的決定會成就你的成功“。

考取CISSP是一條艱辛的路，但是沒有辛苦過哪來甜蜜的果實，

“失敗不可怕，可怕是你不往前進”。
~Steven

文章的最後只想說一句話”跟隨Wentz Wu老師的腳步來走，取得CISSP證照只是時間早晚的問題“。最後感謝Wentz Wu帶領我成為CISSP，當然考取證照只是一開始，接下也要好好經營資安之路。

每個人唸書的方式不同僅提供大家參考。

PS. 讓我深刻的一片文章”CISSP很難考嗎？“

Steven在IT邦幫忙的中文部落格

---

Steven於2020/07/21補充:

本身考取cissp提供以下幾點的方式提供大家參考：

書籍：

1.  (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, the 8th Edition
2. (ISC)2 CISSP Official Practice Tests, 2nd Edition
3. The Effective CISSP: Security and Risk Management

網站

1. Wentz QOTD
2. 太陽花筆記
3. Sybex官方學習指南附贈線上題庫

YouTube

1. Destination Certification

課程

1. 吳文智老師的CISSP課程

社群

1. CISSP Exam Preparation – Study Notes and Theory
2. Effective CISSP

考試重點

1. CISSP考試大綱
2. NIST的相關重要指引

---

Today, 2020/7/16 is the day I provisionally passed the CISSP exam. I started Wentz’s CISSP Exam Prep course last June. He told me, “follow me and don’t give up! You definitely will pass the CISSP exam sooner or later.”

I followed my plan regularly, studied effectively, and used the tomato clock to control the pace of study. If I was exhausted someday, I would browse or pretend to study CISSP books for minutes to fool my brain and impress myself that I kept studying every day. We call it “taking the vitamin for the day.”

I have encountered difficulties in these two years, but Wentz has been encouraging me to keep moving towards my goal to succeed in the CISSP exam. I also met Sky, Ethen & Joy in the course. They enrich my journey in CISSP.

I followed Wentz’s QOTDs (CISSP Question Of The Day). These questions provoke thinking, and you can learn more detailed knowledge (practicing these questions is not to know the answer but to think about the intention of each option and the answer by different thinking logic).

Wentz’s book, The Effective CISSP: Security and Risk Management, is a good one to clarify concepts of risk management.

Finally, thanks to Wentz Wu for guiding me to CISSP. It is only the beginning to pass the CISSP exam and about time for me to plan for my professional career in cybersecurity.

For those who are preparing for the CISSP exam, I would say:
“Failure is not terrible; the truly terrible is you stop moving.”

PS: I am deeply impressed by the post “Is the CISSP Exam Hard?“

一個調查是收集和用於特定目的的證據分析。
行政調查（Administrative Investigation）
. 行政調查是指對員工所謂的不當行為的內部調查。（法律內幕）
. 行政調查由當地管理層，當地人事代表和/或員工關係進行，以應對通常與人事有關且不屬於犯罪性質的投訴或疑慮。例如，可以響應以下任何條件或指控而發起行政調查。
–申訴或投訴
–財產濫用/損壞/盜竊
–行為不端
–禁止騷擾或歧視
–威脅，恐嚇或暴力行為
–違反大學政策，規則和/或行為標準，或
–違反法律。（北卡羅來納州立大學）

民事調查(Civil Investigation)
. 民事調查會發現並收集進行民事審判所需的證據。
民事審判是一種法院案件，涉及兩名個人公民，他們在與公民權利有關的問題上存在分歧。例如，如果一個人因家庭事故造成的損失提起訴訟，該案很可能會作為民事審判進行。民事調查人員有責任收集此類審判必不可少的證據。（PI NOW）
. 當發生民事事件時，無論是進行審判還是試圖在法院外和解，各方都有責任適當準備捍衛自己的立場。民事案件是指當事方或當事方未能履行協議，履行服務或履行其法律義務時，在兩方之間發生的爭端。（全球情報顧問）

監管調查(Regulatory Investigation)
. 監管調查是指由政府，監管，執法，專業或法定機構針對您發起的正式聽證會，官方調查，檢查，詢問，法律訴訟或任何其他類似程序。（法律內幕）

刑事偵察(Criminal Investigation)
. 刑事調查是一門應用科學，涉及對事實的研究，然後將這些事實用於刑事審判。（維基百科）
. 應用於犯罪領域的犯罪調查是指收集有關犯罪的信息（或證據）以達到以下目的的過程：
（1）確定是否犯罪。
（2）識別肇事者；
（3）逮捕肇事者；和
（4）提供的證據來支持一個信念在法庭上。（JRank）

調查標準，準則和協議(Investigation Standards, Guidelines, and Protocols)

1. 世衛組織–調查議定書
2. CHS聯盟–調查指南
3. 西澳大利亞州監察員–進行調查的準則
4. 統一調查準則
5. 澳大利亞政府調查標準（AGIS）
6. 難民署調查資源手冊
7. ISO / IEC 27043：2015 —信息技術—安全技術—事件調查的原理和過程
8. ISO / IEC 27041：2015 —信息技術—安全技術—確保事件調查方法的適用性和適當性的指南
9. 事故和事故徵候調查（ISO 9001：2015，ISO 14001：2015和ISO 45001：2018）

參考
. DOJ民事調查和DOJ刑事調查有什麼區別？
. 法律證據

資料來源： Wentz Wu網站

零信任是一種網絡安全範式，用於支持可見性的細粒度，動態和以數據為中心的訪問控制。
（訪問控制基於需要了解和最小特權的原則，通過身份驗證，授權和計費來中介資源的使用。）
零信任網絡安全範例
下圖總結了我對“零信任”的研究，該研究綜合了各種來源，例如Jericho論壇，DoD GIG / Black Core，Forrester的零信任網絡，Google的BeyondCorp，CSA的SDP和NIST SP 800-207。

零信任概念(Zero Trust Concepts)
. 以數據為中心的訪問控制
. 沒有固有的信任（信任是特權；它是獲得和給予的）
. 訪問前和連續驗證
. 細粒度的規則和動態策略
. 檢查，記錄，監視和可見性

零信任架構(Zero Trust Architecture)
. 主題和數據，服務，設備和基礎架構
. 控制平面和數據平面
. 政策執行點
. 策略決策點（策略管理員和策略引擎）
. 信任算法及其輸入（基於屬性和風險）

約翰·金德瓦格（John Kindervag）和零信任（Zero Trust）
約翰·金德瓦格（John Kindervag）在2010年創造了零信任（Zero Trust），以消除依賴周邊安全性的“信任”概念。他主張邊界安全性已被破壞並且不再足夠，並且將對網絡位置的盲目信任稱為“破壞性信任”。我相信“固有授權”是他的“零信任”網絡模型中“信任”的核心思想，並總結出他的“零信任”的主要思想如下：
不要依賴網絡位置（粗粒度的邊界），而要使用集成的分段網關（NGFW，下一代防火牆）將數據和相關資源（他稱為MCAP或微核和邊界）分組為較小的部分。

零信任神話(Zero Trust Myths)
他現在是Palo Alto Networks的現場CTO。該公司介紹了“零信任神話”：

1. 零信任的目標是使系統可信。
2. 這是複雜，昂貴且費時的。
3. 零信任與身份有關。
4. 您可以在第3層進行零信任。
   除第一個神話外，我都同意，第一個神話將“信任”視為“固有授權”的同義詞。我們不會構建依賴於固有授權（即上面所謂的“信任”）的系統，但我寧願將信任定義為對安全性或信任度的信任。因此，我們確實希望消除固有的授權（盲目/破碎的信任），以使系統可信（安全和可信），即交付安全可靠的系統並提供保證。

參考
. NIST SP 800-207
. 約翰·金德瓦格
. 零信任的真相（Palo Alto）
. 將安全性構建到網絡的DNA中：零信任網絡架構（Forrester）
. 國防部全球信息網格（GIG）建築願景
. BeyondCorp –企業安全性的新方法（Google）
. 軟件定義的邊界（SDP）體系結構指南（CSA））
. 零信任架構和解決方案（Gartner）

資料來源：Wentz Wu 網站

-主引導記錄（MBR）和引導扇區（來源：Syed Fahad）
. 該多態病毒沉思修改整個系統，這樣的散列值變化比較簽名來躲避殺毒軟件的檢測其代碼。通過加密其代碼，加密病毒是一種多態病毒。
. 在多方病毒感染不僅文件，而且主引導記錄（MBR）。
. 該隱形病毒通常攻擊的主引導記錄（MBR）或操作系統（OS）文件要引導儘早和主宰整個系統，包括操作系統，所以它不能被殺毒軟件檢測到。
. 該伴侶病毒使用相同的文件名，但與具有如果在一個命令行界面（CLI）未指定的文件擴展名被執行更高優先級的不同的文件擴展名。在DOS或舊的Windows系統上使用的一種舊技術是.com程序優先於.exe可執行文件。

參考
. 主引導記錄
. 正在啟動
. 開機自檢

資料來源： Wentz Wu QOTD-2021013

會話劫持經常通過XSS（跨站點腳本）或嗅探發生。這個問題主要集中在中間人的嗅探上。輸入驗證可防止攻擊者提交惡意代碼以通過XSS劫持用戶的會話。
. 使用TLS的端到端加密可保護郵件免受嗅探攻擊。它減少了中間人劫持會話的可能性。
. 如果會話cookie被盜並重播，則自動註銷將使會話cookie失效或使會話cookie無效，並減少影響。
. 較長且隨機的會話ID使得攻擊者更難以猜測或欺騙會話cookie，從而降低了可能性。

參考
. 什麼是會話劫持以及如何防止它？
. 會話劫持攻擊：了解和預防

資料來源： Wentz Wu QOTD-20210212

每次您訪問網站時，從登錄到退出之間的時間稱為“會話”。大多數用戶每天都會發起數十個會話，而不會出現問題。但是，並非每次會議都是安全的，因為網絡犯罪分子會找到理由和方法來接管他們。

儘管所謂的會話劫持攻擊已經發生了多年，但隨著越來越多的人在遠程工作並依靠網站和應用程序來履行職責，人們對這種威脅有了新的認識。這種會議攻擊的一種常見形式是接管視頻會議。例如，聯邦調查局（FBI）在2020年3月報告說，在馬薩諸塞州的在線高中課堂上，一個身份不明的人撥入虛擬教室，“大聲褻瀆，然後大喊老師的家庭住址”。儘管像這樣的視頻會議攻擊現在已經引起了所有人的關注，但它們只是冰山一角。

會話劫持攻擊的目標

EC-Council解釋說，當黑客通過竊取或劫持維護會話所需的HTTP cookie破壞活動會話時，就會發生會話接管。還可以通過預測劫持者已經擁有其訪問憑據的特定用戶何時進行活動會話來接管會話。這使攻擊者可以更深入地進入用戶的網絡。

入侵者的目標是擁有對該會話的完全訪問權限，並賦予他們與實際授權用戶相同的權限。同時，在會話中，黑客可以修改服務器中的信息，從而使其易於返回。

會話接管以幾種不同的方式發生。這些包括：

• 中間人/瀏覽器人攻擊：攔截兩個連接或系統之間的通信。
• 會話嗅探：查找未加密的通信以查找會話ID。
• 跨站點腳本攻擊：使用惡意代碼竊取會話ID。
• 可預測的會話ID：已經通過身份驗證的會話；用戶長時間保持登錄狀態，或者攻擊者已經可以訪問用戶的憑據。

除了入侵視頻會議之外，黑客還利用會話接管來控制在線銀行業務，在電子商務網站上進行購買並竊取諸如知識產權或個人身份信息之類的敏感數據。會話接管還通過允許入侵者加密敏感文件並要求付費以對其進行解密來設置勒索軟件風格的攻擊。一旦進入會話，黑客就可以真正做他們想做的任何事情，使公司服務器和設備上的所有內容都處於危險之中。2020年3月，一個漏洞懸賞獵人阻止了針對Slack的會話劫持行為，該漏洞發現者以HTTP處理請求的方式發現了一個漏洞，該漏洞可能暴露了數百家公司的私人數據。

如何防止會話接管

會話接管並非無害。它們可能導致組織和個人用戶的數據洩露和財務損失。採取一些戰略性安全措施可以防止會話接管，包括：

• 加密網頁上傳輸的所有數據。
• 在網站上使用HTTPS認證。
• 完成會話後，請正確註銷會話；如果未積極使用它們，則關閉網站將打開。
• 使用網絡安全工具保護網站免受潛在威脅。
• 保持瀏覽器更新和修補。

儘管會話劫持已經存在了很長時間，但隨著2020年遠程工作的增加，它已成為一種新的緊迫性。保護您的網站不受入侵者的侵害，並使客戶和消費者對您的站點的訪問更加安全應該是當務之急。

了解Verizon的DNS安全防護如何能夠幫助保護您的公司免受會話劫持和其他威脅。

資料來源：https://enterprise.verizon.com/resources/articles/how-to-prevent-session-hijacking-attacks/

會話是Internet通訊的重要組成部分，大部分都是基於Web的。會話劫持是通過利用活動的Web會話進行的Web攻擊。會話是兩個計算機系統之間進行通信的時間段。Web服務器需要身份驗證，因為通過網站進行的每個用戶通信都使用多個TCP / IP通道。

身份驗證的一種常見形式始終是使用用戶名和密碼，它們通常是預定義的。身份驗證成功後，Web服務器將會話令牌發送給用戶，然後將其存儲在啟用會話的用戶計算機中。會話ID可以作為cookie存儲在HTTP標頭或URL中。

會話劫持如何工作？

當入侵者通​​過劫持或竊取用於在大多數網站上維護會話的HTTP cookie來利用受到威脅的活動會話時，就會發生會話劫持。另一種方法是通過預測活動會話，以在未經檢測的情況下獲得對遠程Web服務器中信息的未授權訪問，因為入侵者使用了特定用戶的憑據。會話令牌或HTTP標頭可以通過多種方式進行洩露和操縱，包括：

• 會話嗅探：當Web服務器和用戶之間存在未加密的通信，並且會話ID以純文本形式發送時，嗅探可用於劫持會話。因此，如果入侵者正在監視網絡，則他或她可以獲取會話ID，然後他們可以使用該會話ID自動向Web服務器進行身份驗證。在監視網絡時，可以使用符合道德規範的黑客工具（例如Wireshark和Kismet）從網絡捕獲敏感數據包（例如會話ID）。
• 跨站點腳本（XSS）：OWASP將跨站點腳本命名為十大Web應用程序安全風險之一。服務器可能容易受到跨站點腳本攻擊的攻擊，從而使攻擊者能夠從用戶端執行惡意代碼，從而收集會話信息。攻擊者可以鎖定受害者的瀏覽器為目標，並發送腳本化的JavaScript鏈接，該鏈接在用戶打開後會在瀏覽器劫持會話中運行惡意代碼。

會話劫持對策

使用安全的HTTP或SSL在用戶瀏覽器和Web服務器之間進行端到端加密，以防止未經授權訪問會話ID。VPN也可以用於加密所有內容，而不僅僅是使用個人VPN解決方案工具對網絡服務器的流量進行加密。

Web服務器可以生成長而隨機的會話cookie，從而減少了對手猜測或預測會話cookie可能是什麼的機會。

會話ID監視器還可以用於監視是否正在使用這些ID，並且可以使用諸如Blacksheep之類的實用程序將偽造的會話ID發送到網絡並監視入侵者是否正在嘗試使用該會話ID。

如果會話終止使用，應該自動註銷，並且應該要求客戶端使用其他會話ID重新進行身份驗證。另外，可以指示服務器從客戶端計算機中刪除會話cookie，以最大程度地減少會話cookie在網絡中暴露的時間。

如何成為一名道德黑客

成為一名合格的道德黑客（CEH）當然不是一件容易的事。本課程將使您沉浸在Hacker Mindset中，以便您能夠防禦將來的攻擊。在完成“道德認證黑客”培訓後，您將已掃描，測試，黑客攻擊並保護了自己的網絡和系統。有了這些知識，您就可以使組織放心，因為他們知道當今最大和最嚴峻的網絡犯罪分子的網絡更加安全。

資料來源：https://blog.eccouncil.org/what-is-session-hijacking-and-how-to-prevent-it/