分類
CISSP

OWASP SAMM-安全冠軍(Security Champion)

https://ithelp.ithome.com.tw/upload/images/20210708/20132160RNc4aOFNZ3.png
-SAMM 概述(來源:https : //owaspsamm.org)
文化有不同的背景或層次,例如安全文化、組織文化或民族文化。高級管理層是在組織層面提升安全意識和文化的好人選;然而,安全冠軍在軟體開發中是更合適的角色。

安全冠軍和 OWASP SAMM(Security Champion and OWASP SAMM)
安全冠軍是軟體安全主題專家,他們在 OWASP 軟體保障成熟度模型 (SAMM) 中組織和文化的成熟度級別 1 中發揮著關鍵作用。提名一名成員,例如軟體開發人員、測試人員或產品經理,作為安全擁護者,有助於將安全嵌入到開發組織中。
. 安全冠軍接受適當的培訓。
. 應用程序安全和開發團隊會定期收到安全冠軍關於安全計劃和修復整體狀態的簡報。
. 安全冠軍在添加到應用程序積壓之前審查外部測試的結果。

高級管理人員(Senior Management)
高級管理人員是攻擊的高優先級目標。為高級管理層制定安全意識計劃至關重要。他們必須以身作則,理解和遵守安全政策,絕不應該被發現說壞話或自相矛盾的政策。

安全文化(Security Culture)
. 文化本質上是“一組用語言表達的共同理解”或“意義的共享模式”或“與組織結構和控制系統相互作用以產生行為規範的共享價值觀和信念”。如果可以證明文化會影響安全結果,那麼文化在安全環境中就會引起人們的興趣。( IEEE )
. 資訊安全文化指導組織在資訊安全方面的工作,以保護資訊資產和影響員工的安全行為。( IEEE )

參考
SAMM 敏捷指南
OWASP聚寶盆
IT 安全培訓和意識計劃的遊戲化
從上到下發展安全文化的 6 種方法
國際民航組織 AVSEC2018
安全文化
嵌入資訊安全文化 新出現的問題和挑戰
如何建立安全文化

資料來源: Wentz Wu QOTD-202104019

分類
CISSP

瀏覽器向 Web 服務器提交用戶密碼最可行的方法-原始密碼(Raw password )

“原始密碼(Raw password)”和“散列密碼(hashed password)”是可行的解決方案。但是,HTTPS 下的原始密碼更常用,例如 Google 和 Facebook。以下原因解釋了為什麼原始密碼更可行,因為信息安全應該與業務需求保持一致:
. 在瀏覽器中,散列密碼是通過自定義 JavaScript 模塊計算的;如果客戶關閉 JavaScript 功能或防病毒軟件干擾操作,則無法正常工作。這將對市場份額、客戶滿意度和客戶服務成本產生負面影響。
. 如果攻擊者可以破壞 HTTPS 連接,發送原始密碼或散列密碼沒有任何區別,因為他可以竊取訪問令牌並劫持會話。剩餘風險幾乎相同。
. 此外,發送散列密碼意味著用戶的密碼必須被散列或加鹽,並且變得不可逆轉。但是,有些網站可能需要支持“找回密碼”功能,對密碼進行加密,客戶可以查詢自己忘記的密碼。

鹽密碼(Salted Password)
加鹽密碼是指根據原始密碼和鹽的串聯計算得出的哈希值,鹽是“作為輔助輸入合併到單向或加密函數中的隨機變量,用於派生密碼驗證數據”。(ISO/IEC 11770-4:2017) 加鹽通常在服務器端生成並且對客戶端保密,因此客戶端不可能提交加鹽密碼。

電子簽名(Digital Signature)
數字簽名在技術上是可行的,但對於電子商務網站要求客戶安裝數字證書進行身份驗證來說實際上是不可行的。
參考
為什麼客戶端對密碼的散列如此不常見?
為什麼幾乎沒有網頁在提交之前在客戶端散列密碼(並在服務器上再次散列它們),以“防止”密碼重用?
你(可能)做錯了登錄系統

資料來源: Wentz Wu QOTD-202104018

分類
CISSP

治理結構(Governance Structure)-稽核委員會(Audit Committee)

https://ithelp.ithome.com.tw/upload/images/20210706/20132160OXeDXJ9SGz.png
-治理結構(Governance Structure)

稽核委員會(Audit Committee)
稽核委員會是組織董事會的一個委員會,負責監督財務報告流程、選擇獨立稽核師以及接收內部和外部稽核結果。
美國上市公司在證券交易所上市需要一個合格的(參見下面的“組成”段)稽核委員會……隨著薩班斯 – 奧克斯利法案的通過,稽核委員會的作用繼續發展. 許多稽核委員會還監督監管合規和風險管理活動。
資料來源:維基百科

執行委員會(Executive Committee)
執行委員會的組織和授權代表整個董事會,因為董事會成員,尤其是大型董事會,親自聚集以做出決策並採取一些必要的行動並不總是可行的。
執行委員會是一個常設委員會,常作為指導運作委員會和組成的高層管理人員和董事會人員,例如:首席執行官,以及管理人員和董事的一個子集,以代表的基板時的整個董事會不能開會。
資料來源:有效的 CISSP:安全和風險管理

參考
治理委員會
治理委員會 (ACFID)
公司治理委員會和章程
治理委員會:非營利董事會的新趨勢

資料來源: Wentz Wu QOTD-202104017

分類
CISSP

漏洞管理(Vulnerability Management)

https://ithelp.ithome.com.tw/upload/images/20210704/20132160nfeY26ZUns.jpg
由於管理是實現一個或多個目標的系統方法,我根據維基百科NIST CSRC 術語表中的定義定義漏洞管理,並將它們擴展如下:
漏洞管理是識別、分類、優先排序、修復和驗證資訊系統、系統安全程序、內部控製或實施中的漏洞以降低風險的周期性實踐。

維基百科
漏洞管理是“識別、分類、確定優先級、修復和緩解”軟件漏洞的循環實踐。(維基百科

NIST CSRC術語表
狹義上,漏洞可能是指那些被列入常見漏洞和暴露 (CVE) 的漏洞。
例如,漏洞管理是“一種識別設備上的漏洞 [常見漏洞和暴露 (CVE)] 的 ISCM 功能,這些漏洞可能被攻擊者用來破壞設備,並將其用作將破壞擴展到網絡的平台。” (NIST CSRC術語表
從更廣泛的意義上講,漏洞是“資訊系統、系統安全程序、內部控製或實施中可能被威脅源利用或觸發的弱點”。(NIST CSRC術語表
內部安全控制是資訊系統內的硬體、分位或軟體功能,將資源訪問權限限制為僅授權主體。[NIST CSRC術語表)]

資料來源:Wentz Wu網站

分類
Information Security

HTTP強制安全傳輸技術

HTTP嚴格傳輸安全英語:HTTP Strict Transport Security,縮寫:HSTS)是一套由網際網路工程任務組發布的網際網路安全策略機制。網站可以選擇使用HSTS策略,來讓瀏覽器強制使用HTTPS與網站進行通信,以減少連線劫持風險。

資料來源:https://zh.wikipedia.org/wiki/HTTP%E4%B8%A5%E6%A0%BC%E4%BC%A0%E8%BE%93%E5%AE%89%E5%85%A8

分類
CISSP

戰略層次(Levels of Strategy)

https://ithelp.ithome.com.tw/upload/images/20210703/20132160GUaj6oJC0O.jpg
-戰略層次
通常,CEO 負責制定公司戰略或大戰略,董事會的意見和高級管理團隊的支持。
CISO 不是製定企業戰略的主要角色,而是與企業戰略保持一致以創造價值並實現組織願景和使命的信息安全戰略。此外,他還必須定位安全職能(部門),確定其組織、角色和職責,將安全融入組織流程,支持產品和服務的持續交付(所謂的“業務連續性”),並保護信息資產以加強安全。信息安全管理系統 (ISMS) 可確保有效地制定和實施安全策略。
CISO 的匯報路線因組織而異,各有利弊,但 CISO 向 CFO 或其他高級官員匯報並非不可能。
. CISO 向 CIO 報告的安排可能會導致利益衝突。
. CISO 向 CFO 報告的安排可能會花費更多時間來交流技術內容。
. CISO 向審計職能報告的安排將對其獨立性產生不利影響。

參考
什麼是安全功能
信息安全職能和職責
管理安全功能:診斷版本 1 摘要
企業安全
組織中安全管理的角色
如何組織您的安全團隊:網絡安全角色和職責的演變
萬豪-數據洩露
ICO 因未能保證客戶個人數據安全而對萬豪國際進行罰款
什麼是企業戰略?
誰負責制定公司的戰略計劃?
如何制定企業戰略(CEO 分享最佳技巧和工具)
多元化公司的戰略規劃
如何評估企業戰略

資料來源: Wentz Wu QOTD-202104015

分類
Information Security

什麼是HSTS,為什麼要使用它?

翻譯自: What Is HSTS and Why Should I Use It?

作者: Tomasz Andrzej Nidecki ,一位非常專業的 Technical Content Writer ,目前是 Acunetix 的技術內容撰寫人,他是一名擁有 25 年 IT 經驗的記者、翻譯和技術撰稿人,Tomasz 早年曾擔任《 hakin9 IT Security 》雜誌的總編輯,並曾經運營過一個專門針對電子郵件安全的主要技術部落格。

HSTS 是 HTTP 嚴格傳輸安全(HTTP Strict Transport Security) 的縮寫。 這是一種網站用來宣告他們只能使用安全連線(HTTPS)訪問的方法。 如果一個網站聲明瞭 HSTS 策略,瀏覽器必須拒絕所有的 HTTP 連線並阻止使用者接受不安全的 SSL 證書。 目前大多數主流瀏覽器都支援 HSTS (只有一些移動瀏覽器無法使用它)。

在 2012 年的 RFC 6797 中,HTTP嚴格傳輸安全被定義為網路安全標準。 建立這個標準的主要目的,是為了避免使用者遭受使用 SSL stripping(剝離) 的 中間人攻擊(man-in-The-middle,MITM) 。 SSL stripping 是一種攻擊者強迫瀏覽器使用 HTTP 協議連線到站點的技術,這樣他們就可以嗅探資料包,攔截或修改敏感資訊。 另外,HSTS 也是一個很好的保護自己免受 cookie 劫持(cookie hijacking)的方法。

HSTS 工作原理

通常,當您在 Web 瀏覽器中輸入 URL 時,您會跳過協議部分。 例如,你輸入的是 www.acunetix.com ,而不是 http://www.acunetix.com 。 在這種情況下,瀏覽器假設你想使用 HTTP 協議,所以它在這個階段發出一個 HTTP 請求 到 www.acunetix.com ,同時,Web Server 會返回 301 狀態碼將請求重定向到 HTTPS 站點。 接下來瀏覽器使用 HTTPS 連線到 www.acunetix.com 。 這時 HSTS 安全策略保護開始使用 HTTP 響應頭:批踢踢實業坊推薦Line: k98888
有各大電商平臺都買不到的好貨哦!
產品均是國際頂級品牌,有包包、名表、衣服、鞋子、皮帶、飾品、眼鏡、圍巾等等。
長期供應(LV)(古奇)(愛馬仕)(香奈兒)(普拉達)(迪奧)(百達翡麗)(江詩丹唐)(卡地亞)(勞力士)(歐米茄)等世界名品。
支持貨到付款,收到貨後再付款,購物零風險。
批踢踢實業坊推薦Line: k98888

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

響應頭的 Strict-Transport-Security 給瀏覽器提供了詳細的說明。 從現在開始,每個連線到該網站及其子域的下一年(31536000秒)從這個頭被接收的時刻起必須是一個 HTTPS 連線。 HTTP 連線是完全不允許的。 如果瀏覽器接收到使用 HTTP 載入資源的請求,則必須嘗試使用 HTTPS 請求替代。 如果 HTTPS 不可用,則必須直接終止連線 。

此外,如果證書無效,將阻止你建立連線。 通常來說,如果 HTTPS 證書無效(如:過期、自簽名、由未知 CA 簽名等),瀏覽器會顯示一個可以規避的警告。 但是,如果站點有 HSTS,瀏覽器就不會讓你繞過警告。 若要訪問該站點,必須從瀏覽器內的 HSTS 列表中刪除該站點 。

響應頭的 Strict-Transport-Security 是針對一個特定的網站傳送的,並且覆蓋一個特定的域名(domain)。 因此,如果你有 HSTS 的 www.acunetix.com ,它不會覆蓋 acunetix. com ,而只覆蓋 www 子域名。 這就是為什麼,為了完全的保護,你的網站應該包含一個對 base domain 的呼叫(在本例中是 acunetix. com) ,並且接收該域名的 Strict-Transport-Security 頭和 includeSubDomains 指令。

HSTS 是否完全安全?

不幸的是,你第一次訪問這個網站,你不受 HSTS 的保護。 如果網站向 HTTP 連線新增 HSTS 頭,則該報頭將被忽略。 這是因為攻擊者可以在中間人攻擊(man-in-the-middle attack)中刪除或新增頭部。 HSTS 報頭不可信,除非它是通過 HTTPS 傳遞的。

你還應該知道,每次您的瀏覽器讀取 header 時,HSTS max-age 都會重新整理,最大值為兩年。 這意味著保護是永久性的,只要兩次訪問之間不超過兩年。 如果你兩年沒有訪問一個網站,它會被視為一個新網站。 與此同時,如果你提供 max-age 0 的 HSTS header,瀏覽器將在下一次連線嘗試時將該站點視為一個新站點(這對測試非常有用)。

你可以使用稱為 HSTS 預載入列表(HSTS preload list)的附加保護方法。 Chromium 專案維護一個使用 HSTS 的網站列表,該列表通過瀏覽器釋出 。 如果你把你的網站新增到預載入列表中,瀏覽器會首先檢查內部列表,這樣你的網站就永遠不會通過 HTTP 訪問,甚至在第一次連線嘗試時也不會。 這個方法不是 HSTS 標準的一部分,但是它被所有主流瀏覽器(Chrome、 Firefox、 Safari、 Opera、 IE11 和 Edge)使用。

目前唯一可用於繞過 HSTS 的已知方法是基於 NTP 的攻擊。 如果客戶端計算機容易受到 NTP 攻擊( NTP-based attack) ,它可能會被欺騙,使 HSTS 策略到期,並使用 HTTP 訪問站點一次。

如何將域名新增到 HSTS 預載入列表?

要將域新增到 HSTS 預載入列表,該域的站點必須滿足幾個要求。 以下是新增域名所需的步驟:

  1. 確保你的網站擁有有效的證書和最新的密碼
  2. 如果你的網站可以通過 HTTP 訪問,請將所有請求重定向到 HTTPS
  3. 確保以上第 1 點和第 2 點適用於你的所有域名和子域名(根據您的 DNS 記錄)
  4. 通過 HTTPS 服務返回 Strict-Transport-Security header ,帶上 base domain 和 max-age , max-age 至少為31536000 (1 年),另外還有 includeSubDomains 指令和 preload 指令。 可以參考上面的 HSTS header。
  5. 訪問 hstspreload.org ,並使用表格提交你的域名。如果符合條件,您的域名將被加入佇列。

為了提高安全性,瀏覽器不能訪問或下載 預載入列表(preload list)。 它作為硬編碼資源(hard-coded resource)和新的瀏覽器版本一起分發。 這意味著結果出現在列表中需要相當長的時間,而域從列表中刪除也需要相當長的時間。 如果你希望將你的站點新增到列表中,則必須確保您能夠在較長時間內保持對所有資源的完全 HTTPS 訪問。 如果不這樣做,你的網站可能會完全無法訪問 。

如何從瀏覽器的 HSTS 快取中刪除域?

在設定 HSTS 並測試它時,可能需要清除瀏覽器中的 HSTS 快取。 如果你設定 HSTS 不正確,你可能會訪問網站出錯,除非你清除資料。 下面是幾種常用瀏覽器的方法。 還要注意,如果你的域在 HSTS 預載入列表中,清除 HSTS 快取將是無效的,並且無法強制進行 HTTP 連線。

要從 Chrome HSTS 快取中刪除一個域名,請按照以下步驟操作:

chrome://net-internals/#hsts
Delete domain security policies

之後,你可以檢查移除是否成功:

Query HSTS/PKP domain

Mozilla Firefox 、Safari 和 Microsoft Edge 自行檢視原文吧。

資料來源:https://www.gushiciku.cn/pl/pHGF/zh-tw

分類
CISSP

微服務、容器化和無服務器(Microservices, Containerization, and Serverless)

https://ithelp.ithome.com.tw/upload/images/20210702/20132160MgmFcEspvK.png
微服務(Microservices)
微服務是一個低耦合的架構,可以通過以下方式實現重構一個單片應用,即,轉向進程內的應用程序組件成自包含的網絡服務適於被部署在可伸縮或彈性容器或無服務器環境。

託管環境(Hosting Environment)
微服務可以通過兩種方式部署:容器化和無服務器。
容器化(Docker 主機或節點)(Containerization (Docker hosts or nodes))
容器化用於捆綁應用程序或應用程序的功能、所有依賴項及其在容器映像中的配置。此映像部署在主機操作系統上,捆綁的應用程序作為一個單元工作。
容器鏡像的概念允許我們在幾乎不做任何修改的情況下跨環境部署這些鏡像。通過這種方式,可以輕鬆快速地擴展微服務,因為新容器可以輕鬆部署用於短期目的。
Docker將用於向我們的微服務添加容器化。Docker 是一個開源項目,用於創建可以在雲端或本地的 docker 主機上運行的容器。
https://ithelp.ithome.com.tw/upload/images/20210702/20132160vGUz97BAY9.png
-來源:使用 ASP.NET Core 3.1 的微服務

無服務器(Serverless)(FaaS)
微服務具有“可擴展”的特點,但由於接口的細粒度,會導致微服務管理的高度複雜性。一個API網關或立面緩解這個問題。
無服務器減少了安裝和維護服務器作為託管環境的負擔。AWS Lambda是一種功能即服務 (FaaS) 產品,是無服務器計算中最著名的雲服務之一。
https://ithelp.ithome.com.tw/upload/images/20210702/20132160GJ4KKxrXt9.png
-資料來源:AWS 的無服務器微服務模式
參考
Kubernetes 與 Docker:入門
Node.js 中的無服務器:初學者指南
Node.js 中的無服務器架構:開源應用的案例研究
無服務器和微服務:天作之合?
使用容器部署微服務
什麼是無服務器微服務?| 無服務器微服務解釋
適用於 AWS 的無服務器微服務模式
使用 ASP.NET Core 3.1 的微服務

資料來源: Wentz Wu網站

分類
CISSP

可信路徑和可信通道(Trusted Path and Trusted Channel)

https://ithelp.ithome.com.tw/upload/images/20210701/20132160Jmzc6RhptU.jpg
-可信路徑和可信通道
可信計算機系統(Trusted Computer System)
具有必要的安全功能並保證安全策略將得到執行並且可以同時處理一系列敏感信息(即機密、受控非機密信息 (CUI) 或非機密公共信息)的系統。(CNSSI 4009-2015)
可信計算庫 (TCB)( Trusted Computing Base)
計算機系統內保護機制的總和,包括硬件、固件和軟件,負責執行安全策略的組合。(CNSSI 4009-2015)
安全內核(Security Kernel)
實現參考監視器概念的可信計算基礎的安全內核硬件、固件和軟件元素。安全內核必須調解所有訪問,防止修改,並且可以驗證是否正確。(CNSSI 4009-2015)
可信路徑(Trusted Path)
一種機制,用戶(通過輸入設備)可以通過這種機制直接與信息系統的安全功能進行通信,並有必要的信心來支持系統安全策略。該機制只能由用戶或信息系統的安全功能激活,不可被不可信軟件模仿。(CNSSI 4009-2015)
可信通道(Trusted Channel)
端點已知且數據完整性在傳輸過程中受到保護的通道。根據所使用的通信協議,數據隱私可能在傳輸過程中受到保護。示例包括傳輸層安全 (TLS)、IP 安全 (IPSec) 和安全物理連接。(CNSSI 4009-2015)
可信平台模塊 (TPM)( Trusted Platform Module)
一種內置於某些計算機主板中的防篡改集成電路,可以執行加密操作(包括密鑰生成)並保護少量敏感信息,例如密碼和加密密鑰。(NIST SP 800-147)
可信恢復(Trusted Recovery)
確保在系統故障後不受影響地恢復的能力。(CNSSI 4009-2015) Common Criteria (CC) 定義了四種類型的可信恢復:手動恢復、自動恢復、沒有過度丟失的自動恢復和功能恢復。

資料來源: Wentz Wu 網站

分類
CISSP

NIST 對 ICT 供應鏈的常見風險

https://ithelp.ithome.com.tw/upload/images/20210701/201321604LXVpGk37I.jpg
-ICT SCRM 支柱和可見性(來源:NIST SP 800-161)
僅當購買正版產品時,生命週期終止 (EOL) 和支持終止 (EOS) 才是關鍵問題。OEM 或供應商將不支持假冒產品。符合通用標準 (CC) 的產品固然很好,但在大多數組織中並不是強制性的。而且,仿冒也沒有意義。
以下是 NIST 對 ICT 供應鏈的常見風險:

  1. 插入假冒產品
  2. 未經授權的生產
  3. 篡改
  4. 盜竊
  5. 插入惡意軟件和硬件
  6. 糟糕的製造和開發實踐
    這些 ICT 供應鏈風險可能包括假冒產品的插入、未經授權的生產、篡改、盜竊、惡意軟件和硬件的插入,以及ICT 供應鏈中不良的製造和開發實踐。這些風險與組織對他們獲得的技術如何開發、集成和部署以及用於確保完整性、安全性、彈性和彈性的流程、程序和實踐的可見性和理解降低有關。產品和服務的質量。
    來源:NIST SP 800-161

產品銷售和支持(Product Sales and Support****)
終止產品銷售和支持的政策因供應商而異。下圖是產品 EOL 和 EOS 的示例。
https://ithelp.ithome.com.tw/upload/images/20210701/201321600sL8BblJjM.jpg
-EOL 和 EOS:產品銷售和支持
參考
霍尼韋爾(Honeywell)
什麼是生命週期終止 (EOL) 與服務/支持生命週期終止 (EOSL)?
產品生命週期和支持管理 – Evolis 公司政策
EVOLIS 目錄產品:停產日期
思科產品生命週期終止政策

資料來源: Wentz Wu QOTD-202104014