分類
CISSP

調查類型(Investigation Types)

一個調查是收集和用於特定目的的證據分析。
行政調查(Administrative Investigation)
. 行政調查是指對員工所謂的不當行為的內部調查。(法律內幕
. 行政調查由當地管理層,當地人事代表和/或員工關係進行,以應對通常與人事有關且不屬於犯罪性質的投訴或疑慮。例如,可以響應以下任何條件或指控而發起行政調查。
–申訴或投訴
–財產濫用/損壞/盜竊
–行為不端
–禁止騷擾或歧視
–威脅,恐嚇或暴力行為
–違反大學政策,規則和/或行為標準,或
–違反法律。(北卡羅來納州立大學

民事調查(Civil Investigation)
. 民事調查會發現並收集進行民事審判所需的證據。
民事審判是一種法院案件,涉及兩名個人公民,他們在與公民權利有關的問題上存在分歧。例如,如果一個人因家庭事故造成的損失提起訴訟,該案很可能會作為民事審判進行。民事調查人員有責任收集此類審判必不可少的證據。(PI NOW
. 當發生民事事件時,無論是進行審判還是試圖在法院外和解,各方都有責任適當準備捍衛自己的立場。民事案件是指當事方或當事方未能履行協議,履行服務或履行其法律義務時,在兩方之間發生的爭端。(全球情報顧問

監管調查(Regulatory Investigation)
. 監管調查是指由政府,監管,執法,專業或法定機構針對您發起的正式聽證會,官方調查,檢查,詢問,法律訴訟或任何其他類似程序。(法律內幕

刑事偵察(Criminal Investigation)
. 刑事調查是一門應用科學,涉及對事實的研究,然後將這些事實用於刑事審判。(維基百科
. 應用於犯罪領域的犯罪調查是指收集有關犯罪的信息(或證據)以達到以下目的的過程:
(1)確定是否犯罪。
(2)識別肇事者;
(3)逮捕肇事者;和
(4)提供的證據來支持一個信念在法庭上。(JRank

調查標準,準則和協議(Investigation Standards, Guidelines, and Protocols)

  1. 世衛組織–調查議定書
  2. CHS聯盟–調查指南
  3. 西澳大利亞州監察員–進行調查的準則
  4. 統一調查準則
  5. 澳大利亞政府調查標準(AGIS)
  6. 難民署調查資源手冊
  7. ISO / IEC 27043:2015 —信息技術—安全技術—事件調查的原理和過程
  8. ISO / IEC 27041:2015 —信息技術—安全技術—確保事件調查方法的適用性和適當性的指南
  9. 事故和事故徵候調查(ISO 9001:2015,ISO 14001:2015和ISO 45001:2018)

參考
DOJ民事調查和DOJ刑事調查有什麼區別?
法律證據

資料來源: Wentz Wu網站

分類
CISSP

DH金鑰協議(key agreement)技術的概念說明

分類
CISSP

SOC Reports: What’s The Difference Between SOC 1, SOC 2, and SOC 3?

分類
CISSP

什麼是零信任(What is Zero Trust)?

零信任是一種網絡安全範式,用於支持可見性的細粒度,動態和以數據為中心的訪問控制。
(訪問控制基於需要了解和最小特權的原則,通過身份驗證,授權和計費來中介資源的使用。)
零信任網絡安全範例
下圖總結了我對“零信任”的研究,該研究綜合了各種來源,例如Jericho論壇,DoD GIG / Black Core,Forrester的零信任網絡,Google的BeyondCorp,CSA的SDP和NIST SP 800-207。
https://ithelp.ithome.com.tw/upload/images/20210326/20132160tXcIEIl6p4.jpg

零信任概念(Zero Trust Concepts)
. 以數據為中心的訪問控制
. 沒有固有的信任(信任是特權;它是獲得和給予的)
. 訪問前和連續驗證
. 細粒度的規則和動態策略
. 檢查,記錄,監視和可見性

零信任架構(Zero Trust Architecture)
. 主題和數據,服務,設備和基礎架構
. 控制平面和數據平面
. 政策執行點
. 策略決策點(策略管理員和策略引擎)
. 信任算法及其輸入(基於屬性和風險)
https://ithelp.ithome.com.tw/upload/images/20210326/20132160ODksWoUILN.jpg

約翰·金德瓦格(John Kindervag)和零信任(Zero Trust)
約翰·金德瓦格(John Kindervag)在2010年創造了零信任(Zero Trust),以消除依賴周邊安全性的“信任”概念。他主張邊界安全性已被破壞並且不再足夠,並且將對網絡位置的盲目信任稱為“破壞性信任”。我相信“固有授權”是他的“零信任”網絡模型中“信任”的核心思想,並總結出他的“零信任”的主要思想如下:
不要依賴網絡位置(粗粒度的邊界),而要使用集成的分段網關(NGFW,下一代防火牆)將數據和相關資源(他稱為MCAP或微核和邊界)分組為較小的部分。

零信任神話(Zero Trust Myths)
他現在是Palo Alto Networks的現場CTO。該公司介紹了“零信任神話”:

  1. 零信任的目標是使系統可信。
  2. 這是複雜,昂貴且費時的。
  3. 零信任與身份有關。
  4. 您可以在第3層進行零信任。
    除第一個神話外,我都同意,第一個神話將“信任”視為“固有授權”的同義詞。我們不會構建依賴於固有授權(即上面所謂的“信任”)的系統,但我寧願將信任定義為對安全性或信任度的信任。因此,我們確實希望消除固有的授權(盲目/破碎的信任),以使系統可信(安全和可信),即交付安全可靠的系統並提供保證。

參考
NIST SP 800-207
約翰·金德瓦格
零信任的真相(Palo Alto)
將安全性構建到網絡的DNA中:零信任網絡架構(Forrester)
國防部全球信息網格(GIG)建築願景
BeyondCorp –企業安全性的新方法(Google)
軟件定義的邊界(SDP)體系結構指南(CSA))
零信任架構和解決方案(Gartner)

資料來源:Wentz Wu 網站

分類
CISSP

惡意程式-伴侶病毒( malicious program-Companion virus)

https://ithelp.ithome.com.tw/upload/images/20210325/20132160oWCj90z0HE.png
-主引導記錄(MBR)和引導扇區(來源:Syed Fahad
. 該多態病毒沉思修改整個系統,這樣的散列值變化比較簽名來躲避殺毒軟件的檢測其代碼。通過加密其代碼,加密病毒是一種多態病毒。
. 在多方病毒感染不僅文件,而且主引導記錄(MBR)。
. 該隱形病毒通常攻擊的主引導記錄(MBR)或操作系統(OS)文件要引導儘早和主宰整個系統,包括操作系統,所以它不能被殺毒軟件檢測到。
. 該伴侶病毒使用相同的文件名,但與具有如果在一個命令行界面(CLI)未指定的文件擴展名被執行更高優先級的不同的文件擴展名。在DOS或舊的Windows系統上使用的一種舊技術是.com程序優先於.exe可執行文件。

參考
主引導記錄
正在啟動
開機自檢

資料來源: Wentz Wu QOTD-2021013

分類
CISSP

會話劫持( session hijacking )

會話劫持經常通過XSS(跨站點腳本)或嗅探發生。這個問題主要集中在中間人的嗅探上。輸入驗證可防止攻擊者提交惡意代碼以通過XSS劫持用戶的會話。
. 使用TLS的端到端加密可保護郵件免受嗅探攻擊。它減少了中間人劫持會話的可能性。
. 如果會話cookie被盜並重播,則自動註銷將使會話cookie失效或使會話cookie無效,並減少影響。
. 較長且隨機的會話ID使得攻擊者更難以猜測或欺騙會話cookie,從而降低了可能性。

參考
什麼是會話劫持以及如何防止它?
會話劫持攻擊:了解和預防

資料來源: Wentz Wu QOTD-20210212

分類
CISSP

會話劫持攻擊:了解和預防

每次您訪問網站時,從登錄到退出之間的時間稱為“會話”。大多數用戶每天都會發起數十個會話,而不會出現問題。但是,並非每次會議都是安全的,因為網絡犯罪分子會找到理由和方法來接管他們。

儘管所謂的會話劫持攻擊已經發生了多年,但隨著越來越多的人在遠程工作並依靠網站和應用程序來履行職責,人們這種威脅有了新的認識。這種會議攻擊的一種常見形式是接管視頻會議。例如,聯邦調查局(FBI)在2020年3月報告說,在馬薩諸塞州的在線高中課堂上,一個身份不明的人撥入虛擬教室,“大聲褻瀆,然後大喊老師的家庭住址”。儘管像這樣的視頻會議攻擊現在已經引起了所有人的關注,但它們只是冰山一角。

會話劫持攻擊的目標

EC-Council解釋說,當黑客通過竊取或劫持維護會話所需的HTTP cookie破壞活動會話時,就會發生會話接管。還可以通過預測劫持者已經擁有其訪問憑據的特定用戶何時進行活動會話來接管會話。這使攻擊者可以更深入地進入用戶的網絡。

入侵者的目標是擁有對該會話的完全訪問權限,並賦予他們與實際授權用戶相同的權限。同時,在會話中,黑客可以修改服務器中的信息,從而使其易於返回。

會話接管以幾種不同的方式發生。這些包括:

  • 中間人/瀏覽器人攻擊:攔截兩個連接或系統之間的通信。
  • 會話嗅探:查找未加密的通信以查找會話ID。
  • 跨站點腳本攻擊:使用惡意代碼竊取會話ID。
  • 可預測的會話ID:已經通過身份驗證的會話;用戶長時間保持登錄狀態,或者攻擊者已經可以訪問用戶的憑據。

除了入侵視頻會議之外,黑客還利用會話接管來控制在線銀行業務,在電子商務網站上進行購買並竊取諸如知識產權或個人身份信息之類的敏感數據。會話接管還通過允許入侵者加密敏感文件並要求付費以對其進行解密來設置勒索軟件風格的攻擊。一旦進入會話,黑客就可以真正做他們想做的任何事情,使公司服務器和設備上的所有內容都處於危險之中。2020年3月,一個漏洞懸賞獵人阻止了針對Slack會話劫持行為,該漏洞發現者以HTTP處理請求的方式發現了一個漏洞,該漏洞可能暴露了數百家公司的私人數據。

如何防止會話接管

會話接管並非無害。它們可能導致組織和個人用戶的數據洩露和財務損失。採取一些戰略性安全措施可以防止會話接管,包括:

  • 加密網頁上傳輸的所有數據。
  • 在網站上使用HTTPS認證。
  • 完成會話後,請正確註銷會話;如果未積極使用它們,則關閉網站將打開。
  • 使用網絡安全工具保護網站免受潛在威脅。
  • 保持瀏覽器更新和修補。

儘管會話劫持已經存在了很長時間,但隨著2020年遠程工作的增加,它已成為一種新的緊迫性。保護您的網站不受入侵者的侵害,並使客戶和消費者對您的站點的訪問更加安全應該是當務之急。

了解Verizon的DNS安全防護如何能夠幫助保護您的公司免受會話劫持和其他威脅。

資料來源:https://enterprise.verizon.com/resources/articles/how-to-prevent-session-hijacking-attacks/

分類
CISSP

什麼是會話劫持?如何預防?(WHAT IS SESSION HIJACKING AND HOW TO PREVENT IT?)

會話是Internet通訊的重要組成部分,大部分都是基於Web的。會話劫持是通過利用活動的Web會話進行的Web攻擊。會話是兩個計算機系統之間進行通信的時間段。Web服務器需要身份驗證,因為通過網站進行的每個用戶通信都使用多個TCP / IP通道。

身份驗證的一種常見形式始終是使用用戶名和密碼,它們通常是預定義的。身份驗證成功後,Web服務器將會話令牌發送給用戶,然後將其存儲在啟用會話的用戶計算機中。會話ID可以作為cookie存儲在HTTP標頭或URL中。

會話劫持如何工作?

當入侵者通​​過劫持或竊取用於在大多數網站上維護會話的HTTP cookie來利用受到威脅的活動會話時,就會發生會話劫持。另一種方法是通過預測活動會話,以在未經檢測的情況下獲得對遠程Web服務器中信息的未授權訪問,因為入侵者使用了特定用戶的憑據。會話令牌或HTTP標頭可以通過多種方式進行洩露和操縱,包括:

  • 會話嗅探:當Web服務器和用戶之間存在未加密的通信,並且會話ID以純文本形式發送時,嗅探可用於劫持會話。因此,如果入侵者正在監視網絡,則他或她可以獲取會話ID,然後他們可以使用該會話ID自動向Web服務器進行身份驗證。在監視網絡時,可以使用符合道德規範的黑客工具(例如Wireshark和Kismet)從網絡捕獲敏感數據包(例如會話ID)。
  • 跨站點腳本(XSS):OWASP將跨站點腳本命名為十大Web應用程序安全風險之一。服務器可能容易受到跨站點腳本攻擊的攻擊,從而使攻擊者能夠從用戶端執行惡意代碼,從而收集會話信息。攻擊者可以鎖定受害者的瀏覽器為目標,並發送腳本化的JavaScript鏈接,該鏈接在用戶打開後會在瀏覽器劫持會話中運行惡意代碼。

會話劫持對策

使用安全的HTTP或SSL在用戶瀏覽器和Web服務器之間進行端到端加密,以防止未經授權訪問會話ID。VPN也可以用於加密所有內容,而不僅僅是使用個人VPN解決方案工具對網絡服務器的流量進行加密。

Web服務器可以生成長而隨機的會話cookie,從而減少了對手猜測或預測會話cookie可能是什麼的機會。

會話ID監視器還可以用於監視是否正在使用這些ID,並且可以使用諸如Blacksheep之類的實用程序將偽造的會話ID發送到網絡並監視入侵者是否正在嘗試使用該會話ID。

如果會話終止使用,應該自動註銷,並且應該要求客戶端使用其他會話ID重新進行身份驗證。另外,可以指示服務器從客戶端計算機中刪除會話cookie,以最大程度地減少會話cookie在網絡中暴露的時間。

如何成為一名道德黑客

成為一名合格的道德黑客(CEH)當然不是一件容易的事。本課程將使您沉浸在Hacker Mindset中,以便您能夠防禦將來的攻擊。在完成“道德認證黑客”培訓後,您將已掃描,測試,黑客攻擊並保護了自己的網絡和系統。有了這些知識,您就可以使組織放心,因為他們知道當今最大和最嚴峻的網絡犯罪分子的網絡更加安全。

資料來源:https://blog.eccouncil.org/what-is-session-hijacking-and-how-to-prevent-it/

分類
CISSP

身份驗證,授權和會計(authentication, authorization, and accounting (AAA))Part II

通過審核(查看日誌)來跟踪“誰做了什麼”來確定或確定責任制。記帳記錄“已完成的工作”,而身份驗證則標識並驗證“誰做了”。不管活動是否被授權,都應記錄或記錄該活動,如下圖/ OSG問題所示。
但是,懲罰措施是基於責任確認後的授權。授權的行為將不會受到懲罰,而未經授權的行為將受到懲罰。
https://ithelp.ithome.com.tw/upload/images/20210322/20132160nbDFTCEet3.jpg
-圖片來源:CISSP官方學習指南(OSG)在線測試銀行

定義不一致(Inconsistent Definitions)
此問題旨在促使AAA,身份驗證,授權和計費的定義保持一致。用“審計”或“問責制”代替“會計”的最後一個“ A”並不少見。我強烈建議使用“會計”,因為無法進行審計,並且如果不進行會計就無法得出問責制。我的帖子《另一個AAA》也談到了這個問題。
無論我們從字面上解釋它還是將其與NIST詞彙表或RFC等權威資料進行比較,官方學習指南(OSG)中對審計和會計的以下描述在邏輯上都是不合理的。
審核記錄與系統和主題相關的事件和活動的日誌記帳(也稱為問責制)審核日誌文件以檢查合規性和違規性,以使主題對其行為負責

斯圖爾特(James M.)查普,邁克;吉布森,達里爾。CISSP(ISC)2認證的信息系統安全專業人士官方學習指南(Kindle位置1737-1739)。威利。Kindle版。

會計(Accounting)
在財務會計中,“會計是記錄與業務有關的財務交易的過程。會計過程包括匯總,分析這些交易並將其報告給監督機構,監管機構和稅收實體。”(investopedia)
在IT中,記帳是“出於趨勢分析,審計,計費或成本分配目的而收集有關資源使用情況的信息的行為。” (RFC 3539)
簡而言之,會計跟踪活動並記錄日誌。審計跟踪是用於審計的相關日誌的集合,或“按時間順序的記錄,用於重建和檢查與安全相關的事務(從開始到最終結果)中圍繞或導致特定操作,過程或事件的活動順序。” (CNSSI 4009)

稽核(Auditing)
稽核是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (CNSSI 4009)
問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (CNSSI 4009)

驗證(Authorization)
驗證請求的身份的行為,它是來自相互已知的名稱空間的預先存在的標籤形式的消息,它是消息的始發者(消息身份驗證)或通道的端點(實體身份驗證)。(RFC 3539)

授權(Authorization)
確定特定權利(例如對某些資源的訪問權)是否可以授予特定憑證的提交者。(RFC 3539)
參考
基於風險的稽核
什麼是會計?
RFC 3539:身份驗證,授權和會計(AAA)傳輸配置文件
RFC 2866:RADIUS記帳

資料來源: Wentz Wu QOTD-20210211

分類
CISSP

另一個AAA(Yet Another AAA)-AAA Part I

https://ithelp.ithome.com.tw/upload/images/20210322/20132160OMRGiJWT0v.jpg
訪問控制機制
通常通過三種機制來管理或控制訪問:身份驗證,授權和會計(AAA)。
. 身份驗證是“驗證用戶,進程或設備的身份的過程,通常將其作為允許訪問信息系統中的資源的先決條件”。(FIPS 200)
識別是主體聲明或聲稱具有身份以便身份驗證過程可以繼續進行的過程。
. 授權是“驗證請求的操作或服務是否已批准用於特定實體的過程。” (NIST SP 800-152)
. 會計是記錄主題和對象活動的條目或日誌的過程,就像保留財務會計日記帳一樣。

會計,審計和問責制(又是AAA)
日誌是會計的工作成果。可以通過查看或檢查(審核)一組相關日誌(審核記錄)以唯一地將活動跟踪到實體來實現問責制。
. 問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (NIST SP 800-33)
. 審計是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (NIST SP 800-12 Rev.1)
. 審核跟踪是“按時間順序的記錄,用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作,程序或事件的活動順序。” (NIST SP 800-53修訂版4)

定義不一致
我以與Sybex CISSP官方學習指南相反的方式對待會計和審計。它將審核定義為“記錄與系統和主題相關的事件和活動的日誌”,而將會計(也稱為問責制)定義為“查看日誌文件以檢查合規性和違規性,以使主體對其行為負責。”

資料來源: Wentz Wu 網站