分類
CISA

風險抑制(Risk Reduction)

風險抑制是指在風險損失出現時或出現後,採取相應措施減少風險損失發生的範圍或風險損失程度的風險應對技術。風險抑制不能降低風險事件發生的概率,只 能降低風險損失的程度。

分類
Cissp-WentzWu

Marking& labeling

Security Marking > 給人看讀的標籤
Security labeling > 給資訊系統內部資料結構的安全屬性使用

Data marking(對某一特定資料所加註的標示符號,)也加強了數據的機密性。它適用於打印的報告或文檔(靜態數據)|| 安全標籤labeling 更適合數字數據。此外,標籤意味著實施強制訪問控制(MAC)

NIST對於marking及labeling有嚴格的區分(但很多資料來源把這二者幾乎視為同義):
marking: 給人看的標示, 如貼標籤, 寫字, 標示語言(<最高機密>007情報員的真實姓名為李先機)等
labeling: 專指主體(subject)登入後, 支援強制型存取控制(MAC)的系統用來代表這個主體機密等級的資料結構. 也就是主體在系統中, 都會被貼上一個機密等級的label(以便跟客體的label作比對)

分類
CISSP

資訊系統和網路安全

https://ithelp.ithome.com.tw/upload/images/20220613/201321605BUEIlJqog.jpg
-孔雀作為資訊系統的隱喻

系統(System)
系統是“為實現一個或多個既定目的而組織起來的相互作用元素的組合”。(ISO/IEC 15288: 2015)
“本國際標準中考慮的系統是人造的、創建的和用於在定義的環境中為用戶和其他利益相關者提供產品或服務的系統。這些系統可以配置有以下系統元素中的一個或多個:硬體、軟體、資料、人員、流程(例如,為用戶提供服務的流程)、程序(例如,操作員指令)、設施、材料和自然發生的實體.。在用戶看來,它們被視為產品或服務。” (ISO/IEC 15288: 2015)

資訊系統(Information System)
“資訊系統”是指為收集、處理、維護、使用、共享、傳播或處置資訊而組織起來的一組離散的資訊資源
(44 USC,第 3502 節)
資訊系統是指“存儲、處理和提供資訊訪問的硬體、軟體、供應品、政策、程序和人員的有組織的集合”。(ISO/TS 22220)

資產(Asset)
資產意味著“任何對組織有價值的東西”。
注 1:在資訊安全的背景下,可以區分兩種資產:
主要資產(the primary assets):
. 資訊;
. 業務流程和活動;
所有類型的支持資產(主要資產所依賴的),例如:
. 硬體;
. 軟體;
. 網路;
. 人員;
. 站點;
. 組織結構。
(ISO/IEC 27002:2022)

網路安全(Cybersecurity)
“網路安全”是指防止損壞、保護和恢復計算機、電子通信系統、電子通信服務、有線通信和電子通信,包括其中包含的資訊,以確保其可用性、完整性、身份驗證、機密性和不可否認性. ( NSPD-54/HSPD-23 )
通過預防、檢測和響應攻擊來保護資訊的過程。(NIST 網路安全框架 1.1 版)

資訊保障 (Information Assurance:IA)
通過確保資訊和資訊系統的可用性、完整性、身份驗證、機密性和不可否認性來保護和防禦資訊和資訊系統的措施。這些措施包括通過結合保護、檢測和反應能力來恢復資訊系統。( CNSSI 4009 )
注意:DoDI 8500.01 已從術語資訊保證 (IA) 過渡到術語網路安全。這可能會影響 IA 相關條款。

資訊安全(Information Security)
保護資訊和資訊系統免受未經授權的訪問、使用、披露、中斷、修改或破壞,以提供機密性、完整性和可用性。
(44 USC,第 3542 節)

資料來源: Wentz Wu 網站

分類
Information Security

Apache Shiro

Apache Shiro(讀作「sheeroh」,即日語「」)是一個開源安全框架,提供身分驗證授權密碼學對談管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。

資料來源:https://zh.wikipedia.org/zh-tw/Apache_Shiro

分類
CISSP

交通燈協議 (Traffic Light Protocol :TLP) 對可能共享的威脅進行了分類和控制共享情報的範圍

https://ithelp.ithome.com.tw/upload/images/20220608/20132160ElPZ03VI40.jpg
-圖片來源:socradar
紅綠燈協議 (TLP) 是一個用於對敏感資訊進行分類的系統,該系統由英國政府的國家基礎設施安全協調中心 (NISCC;現為國家基礎設施保護中心,CPNI) 創建,以鼓勵更多地共享敏感資訊。
基本概念是發起者表明他們希望他們的資訊在直接接收者之外傳播的範圍有多廣。它旨在以受控和受信任的方式改善個人、組織或社區之間的資訊流。處理帶有 TLP 標記的通信的每個人都必須理解並遵守協議的規則,這一點很重要。只有這樣,才能建立信任並實現資訊共享的好處。TLP 基於發起者標籤資訊的概念,使用四種顏色中的一種來指示接收者可以進行哪些進一步的傳播(如果有的話)。如果需要更廣泛的傳播,接收者必須諮詢發起者。

目前存在許多 TLP 規範。
– 來自 ISO/IEC,作為跨部門和組織間通信的資訊安全管理標準的一部分
– 來自旨在提供公開可用的簡單定義的 US-CERT
– 來自事件響應和安全團隊論壇(FIRST),它於 2016 年 8 月 31 日發布了其合併 TLP 文檔的 1.0 版。它來自一個特殊興趣小組,旨在確保對 TLP 的解釋是一致的,並且在用戶社區中存在明確的期望。
資料來源:維基百科

參考
網路安全和基礎設施安全局 (CISA) 的自動指標共享 (AIS)
駕馭威脅情報規範的海洋
網路威脅搜尋框架第 1 部分:痛苦金字塔
痛苦金字塔 (DavidJBianco)
妥協指標(維基百科)
將 zveloCTI 威脅情報數據映射到妥協指標 (IOC) 的痛苦金字塔
紅綠燈協議
您需要了解的有關威脅情報中交通燈協議使用的知識

資料來源: Wentz Wu QOTD-20211027

分類
CISSP

基於晶格的存取控制(Lattice-based access control)授權機制,以防止特權傳播和控制信息流以確保機密性

https://ithelp.ithome.com.tw/upload/images/20220606/20132160GICwwauXJp.jpg
-存取控制策略、機制和模型
晶格(Lattice)是在序理論和抽象代數的數學分支學科中研究的抽象結構。它由一個偏序集合組成,其中每對元素都有一個唯一的上界(也稱為最小上限或連接)和一個唯一的下界(也稱為最大下限或滿足)。
資料來源:維基百科
自主存取控制 (DAC) 是一種授權機制,資料所有者根據需要知道和最小權限原則做出授權決定。安全管理員或資料保管人根據主體(能力表)和對象(存取控制列表)的身份對存儲在稱為存取控制矩陣的資料結構中的系統實施授權決策。但是,根據 DAC 策略授予的權限可能會傳播到其他主體。
強制存取控制(MAC)通過基於晶格理論匹配主客體標籤來控制信息流來彌補DAC的弱點。
https://ithelp.ithome.com.tw/upload/images/20220606/20132160zqPR4pU3EG.jpg
-安全核心

資料來源: Wentz Wu QOTD-2021026

分類
CISSP

永不放棄(繁體版)

資料來源:https://www.youtube.com/watch?v=kEyjdK0rJ94
分類
Cissp-WentzWu

CVE&CWE

CVE會具體指出特定廠商的特定產品有什麼弱點;CWE則是通用弱點,不會指出特定廠商或產品。
• CWE因為跟廠商及產品無關,所以通常在設計審查時會用到,以改善設計的安全性。例如:SQL injection就是一種CWE,因為不管是MySQL, PostgreSQL, MS-SQL, Oracle或DB2, 都可能遭受SQL injection攻擊。
• CVE通常是在系統上線後,實施弱點掃描及修補管理會用到; CVE的弱點評分是根據CVSS,弱點的修補可以透過SCAP來作自動化的大量部署。

分類
CISSP

憑證(certificate)

憑證(certificate)只是有寫主體(subject)名字的公鑰。憑證由申請者提出憑證簽發申請(CSR),經過身分核實後,再由憑證管理中心(CA)簽發。

CSR包含申請者公鑰及基本資料,但不包含私鑰(因為私鑰是秘密,不能給別人)。

要了解憑證如何運作,用OpenSSL玩一次就知道了(但不要用微軟的東西,它們很方便但隱藏太多細節,學不到技術內涵)

分類
CISA

固有風險(Inherent risk)

固有風險是指在不考慮內部控制結構的前提下,由於內部因素和客觀環境的影響,企業的賬戶、交易類別和整體財務報表發生重大錯誤的可能性。固 有風險是被審計單位經營過程中所固有的風險,審計人員可以通過獲取相關的信息,來評價被審計單位的固有風險,確定其對終極審計風險的影響。能夠 導致固有風險的因素可謂多種多樣,範圍已不再僅僅局限於企業的賬戶、財務報表本身,甚至擴展到了整個企業的經營管理系統及其所處客觀環境。
一般認為,影響固有風險的因素主要有以下幾個方面:
(1)被審計單位所處的外部環境;
(2)被審計單位的競爭能力;
(3)被審計單位經營管理人員的品 行和能力;
(4)被審計單位的被審計經歷;
(5)容易產生錯誤和舞弊的賬戶或交易;
(6)要利用專家工作結果予以佐證的重要交易或事項的複雜程度;(7)確定 賬戶金額時,需要運用估計和判斷的程度;
(8)容易遭受損失或被挪用的資產;
(9)會計期間,尤其是臨近會計期末發生的異常及復雜交易;
(10)在正常的會 計處理程序中容易被漏記的交易或事項。
資料來源:https://wiki.mbalib.com/wiki/%E5%9B%BA%E6%9C%89%E9%A3%8E%E9%99%A9