分類
CISSP

成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。
成熟度模型中的安全構建 (BSIMM) 是對當前軟件安全計劃或程序的研究。它量化了跨行業、規模和地域的不同組織的應用程式安全 (appsec) 實踐,同時確定了使每個組織獨一無二的變化。

BSIMM 包括:
對組織當前的appsec 計劃 提供客觀、數據驅動的評估的評估
成為提供協作、最佳實踐和獨家內容的安全同行社區的成員
全球會議 ,包括來自安全領導者的主題演講、交流機會以及交流技術和實踐的論壇
一份年度報告 (目前為 BSIMM12),提供對現實世界軟件安全計劃、實踐和活動的數據驅動分析
資料來源:BSIMM

參考
OWASP SAMM
網絡安全成熟度模型認證
負責採辦和維持的國防部副部長辦公室 (OUSD(A&S))
關於 BSIMM
能力成熟度模型集成 (CMMI)

資料來源: Wentz Wu QOTD-20211022

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

網路功能虛擬化(NFV)、軟體定義網路(SDN)、軟體定義邊界 (SDP) 和零信任(Zero Trust)

網路功能虛擬化 (NFV) 通常使用專有服務器來運行網路服務以提高性能。
根據Wikipedia的說法,“NFV 部署通常使用商品服務器來運行以前基於硬體的網路服務軟體版本。”
https://ithelp.ithome.com.tw/upload/images/20220411/20132160I7mF1gb8cP.jpg
-SDN架構
https://ithelp.ithome.com.tw/upload/images/20220411/20132160sxIHnjir1m.jpg
-SDP架構
https://ithelp.ithome.com.tw/upload/images/20220411/20132160OexcWsGxaz.jpg
-核心零信任邏輯組件(來源:NIST SP 800-207)

參考
軟體定義網路
軟體定義的邊界:SDP 的架構視圖
SDP 和零信任
軟體定義邊界 (SDP):創建新的網路邊界
SDP(軟體定義定義)讓SDN更安全,你的對面不能是一條狗!

資料來源: Wentz Wu QOTD-20211018

分類
CISSP

XACML 可擴展存取控制標記語言

https://ithelp.ithome.com.tw/upload/images/20220301/20132160JMbwM8Q85Q.jpg
-示例 XACML 實現
XACML主要用於授權而不是身份驗證。可以實施 PKI 以支持相互身份驗證。802.1X,又名 EAP over LAN,是一種基於 EAP 的網路存取控制標準。HTTP Basic Authentication 是一種純文本的身份驗證方案;但是,它可以受到 TLS/SSL 的保護。

XACML 代表“可擴展存取控制標記語言”。該標准定義了一種聲明性的細粒度、基於屬性的存取控制策略語言、一種體系結構和一個處理模型,描述瞭如何根據策略中定義的規則來評估存取請求。
作為已發布的標準規範,XACML 的目標之一是促進多個供應商的存取控制實現之間的通用術語和互操作性。XACML 主要是基於屬性的存取控制系統 (ABAC),也稱為基於策略的存取控制 (PBAC) 系統,其中與用戶或操作或資源相關聯的屬性(數據位)被輸入到決定是否給定用戶可以以特定方式存取給定資源。基於角色的存取控制 (RBAC) 也可以在 XACML 中實現,作為 ABAC 的專門化。
XACML 模型支持並鼓勵將執行 (PEP) 與決策 (PDP) 與授權的管理/定義 (PAP) 分離。當訪問決策在應用程序中硬編碼(或基於本地機器用戶 ID 和存取控制列表 (ACL))時,當管理策略發生變化時很難更新決策標準,並且很難實現對應用程序的可見性或審計授權到位。當客戶端與存取決策分離時,授權策略可以即時更新並立即影響所有客戶端。
資料來源:維基百科

資料來源: Wentz Wu QOTD-20211010

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

X.509 標準中未定義可分辨編碼規則(Distinguished encoding rules)

PKI 證書編碼(PKI Certificate Encoding)
X.509 標準中未定義的一個值得注意的元素是證書內容應如何編碼以存儲在文件中。但是,通常有兩種編碼模式用於將數字證書存儲在文件中:
可分辨編碼規則 (Distinguished Encoding Rules:DER) – 最常見,因為架構處理大多數數據對象。DER 編碼的證書是二進製文件,不能被文本編輯器讀取,但可以被 Web 瀏覽器和許多客戶端應用程序處理。
隱私增強郵件 (Privacy Enhanced Mail:PEM) – 一種加密的電子郵件編碼模式,可用於將 DER 編碼的證書轉換為文本文件。
資料來源:Sectigo

參考
什麼是 X.509 證書及其工作原理?
SSL 證書文件擴展名說明:PEM、PKCS7、DER 和 PKCS#12
數字證書

資料來源:Wentz Wu QOTD-20211009

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

配置管理(Configuration management)是編排器(orchestrator )管理容器化(containerized)應用程序的最關鍵推動力

在部署基於容器的應用程序時,我們可以使用容器編排器來配置和管理容器。這意味著變更請求已獲批准和實施,集成和測試已完成,並且已授予操作授權 (ATO)。使用編排器有效地部署基於容器的應用程序依賴於良好的配置管理。
當您使用容器編排工具時,例如 Kubernetes 或 Docker Swarm(稍後會詳細介紹),您通常會在 YAML 或 JSON 文件中描述應用程序的配置,具體取決於編排工具。
這些配置文件(例如 docker-compose.yml)是您告訴編排工具在哪裡收集容器鏡像(例如,從 Docker Hub)、如何在容器之間建立網絡、如何掛載存儲卷以及在哪裡收集容器鏡像的地方。存儲該容器的日誌。
通常,團隊將對這些配置文件進行分支和版本控制,以便他們可以在不同的開發和測試環境中部署相同的應用程序,然後再將它們部署到生產集群。
資料來源:艾薩克·埃爾德里奇(Isaac Eldridge)

基礎設施即代碼 (Infrastructure as Code :IaC)
不可變的基礎設施是可編程的,可以實現自動化。基礎設施即代碼 (IaC) 是現代基礎設施的關鍵屬性之一,其中應用程序可以以編程方式提供、配置和利用基礎設施來運行自己。
資料來源:新堆棧(thenewstack)

參考
什麼是容器編排?
什麼是容器編排?(虛擬機)
什麼是容器編排?(IBM)

資料來源: Wentz Wu QOTD-20211008
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

最有效的防止 SQL 注入攻擊的技術控制-參數化 SQL 查詢

https://ithelp.ithome.com.tw/upload/images/20220211/20132160PEJoDy9ZUJ.jpg
-層與層(Layer vs Tier)
前端輸入驗證和受限用戶界面是針對錶示層中的 SQL 注入的對策,這通常發生在客戶端。但是,攻擊者可能不會從表示層發起 SQL 注入,而是直接將帶有註入代碼的輸入提交到服務器端並繞過用戶界面。
輸入驗證應在客戶端和服務器端應用。參數化的 SQL 查詢可以在業務邏輯層或數據訪問層實現;這兩層都位於服務器端。
安全意識和培訓不是技術控制。

資料來源: Wentz Wu QOTD-20211006

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

SPML用於將跨資訊系統之創建和管理實體和屬性的過程自動化

在一個電信行業的技術詞彙,它是指為了向用戶提供(新)服務的準備和安裝一個網絡的處理過程。它也包括改變一個已存在的優先服務或功能的狀態。
「服務開通」常常出現在有關虛擬化、編配、效用計算、雲計算和開放式配置的概念和項目的上下文中。例如,結構化信息標準促進組織(Organization for the Advancement of Structured Information Standards,簡稱OASIS)開通服務技術委員會(Provisioning Services Technical Committee,簡稱PSTC),為交換用戶、資源和服務開通信息定義了一個基於可擴展標記語言(Extensible Markup Language,簡稱XML)的框架,例如,用於「在機構內部或之間管理身份信息和系統資源的服務開通和分配」的服務開通標記語言(Service Provisioning Markup Language,簡稱SPML):維基百科

參考
服務開通

資料來源: Wentz Wu QOTD-20210929

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

資料控制者(data controller)

https://ithelp.ithome.com.tw/upload/images/20220104/20132160hg96My25TN.jpg
-資料和系統所有者
將“資料所有者“(data owner)和“資料控制者”(data controller)一視同仁的情況並不少見。然而,事實並非如此。資料控制者專門用於個人資料和隱私的上下文中,而資料所有者通常意味著組織擁有資料的所有權,並且資料所有者負責保護他所委託的資料。
這個問題都是關於個人資料資料資料的保護,引用了 GDPR 中的文字,所以“資料資料控制者”比“資料所有者”更合適。可以直接或間接識別的人意味著資料主體。
Art. 4 GDPR 定義“個人資料”是指與已識別或可識別的自然人(“數據主體”)相關的任何信息;可識別的自然人是可以直接或間接識別的自然人,特別是通過參考諸如姓名、識別號、位置資料、在線標識符或特定於身體、生理、該自然人的基因、精神、經濟、文化或社會身份;
Art. 24 GDPR 控制者的責任:考慮到處理的性質、範圍、背景和目的以及自然人權利和自由的不同可能性和嚴重程度的風險,控制者應實施適當的技術和組織措施,以確保並且能夠證明處理是按照本條例進行的。 這些措施應在必要時進行審查和更新。
資料來源:GDPR

參考
Art. 4 GDPR 定義

資料來源: Wentz Wu QOTD-20210928

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

中央處理單元 (CPU) 的立即尋址(Immediate addressing)模式中,指令本身指定了的運算元

https://ithelp.ithome.com.tw/upload/images/20211227/20132160TeTH9twhFm.jpg
-計算機架構
CPU 指令將值加載到寄存器中進行計算是很常見的。CPU 的尋址模式意味著 CPU 如何定位感興趣的值。值可以在指令中立即給出(立即尋址)、從寄存器讀取(寄存器尋址)或從主存儲器加載(直接、間接、基址+偏移)。
一條指令可以通過以下方式指示 CPU 將值加載到寄存器中:

  1. 提供值所在的內存地址(直接尋址),
  2. 提供指向值所在的另一個內存地址的內存地址(間接尋址),或
  3. 提供內存地址作為基址(起點)和值所在的偏移量(距離)(基址+偏移量尋址)。
    https://ithelp.ithome.com.tw/upload/images/20211227/20132160qomsXgESwO.jpg
    -運算符和操作數
    https://ithelp.ithome.com.tw/upload/images/20211227/20132160XJaF9ZIuSF.jpg
    -進程的內存佈局

參考
尋址方式
尋址模式和指令周期

資料來源: Wentz Wu QOTD-20210920

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

使用 802.1X 實施網路存取控制中,讓請求者(supplicant)向身份驗證者(authenticator)進行身份驗證且具有最少的系統管理負擔(overhead)的是PEAP協議

https://ithelp.ithome.com.tw/upload/images/20211221/20132160Yd5QGlc3gG.jpg
-VPN 和 EAP
https://ithelp.ithome.com.tw/upload/images/20211221/20132160ktwaFIoa9X.jpg
-EAP 協議比較

803.802.1X 使用基於 EAP 的身份驗證協議讓請求者向身份驗證器進行身份驗證,而 RAIDUS 是身份驗證器(RADIUS 客戶端)和身份驗證服務器(RADIUS 服務器)之間使用的協議。在 802.1X 的設置中不使用 Kerberos。
EAP-TLS 和 PEAP 都可以使用。但是,EAP-TLS 要求在客戶端和 AP 上都安裝證書以支持相互身份驗證。它提供了更高的安全性,但會增加證書管理的開銷。PEAP 重溫開銷;它只需要 AP 安裝證書。

資料來源: Wentz Wu QOTD-20210919

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文