資訊安全讀書會筆記
第一章:身分驗證、備援與災難復原
AAA 授權 (AAA Authorization)
AAA 是資訊安全中一個重要的框架,用於智慧地控制使用者對電腦網路資源的存取、實施策略、審計使用情況以及為基本服務計費。
- **Authentication (驗證)**:確認使用者是其所聲稱的身分。常見的驗證方式有密碼、PIN碼、生物辨識、安全權杖等。
- **Authorization (授權)**:在使用者成功驗證後,決定該使用者擁有存取哪些資源的權限。這一步驟定義了使用者的權限範圍。
- **Accounting (稽核)**:記錄使用者在存取網路資源期間所做的操作。這些紀錄可用於管理、規劃、計費或安全審計。
備援站點 (Backup Sites)
為了確保業務連續性,在主要機房發生災難時,備援站點能夠接管營運。根據其建置程度與回復速度,可分為以下幾種類型:
| 備援類型 | 冷備援 (Cold Site) | 暖備援 (Warm Site) | 熱備援 (Hot Site) |
|---|---|---|---|
| 定義 | 只有基礎設施(如電力、空調、網路線路)的空機房。 | 除了基礎設施外,還預先安裝好部分或全部的硬體設備,但資料通常不是即時同步的。 | 擁有與主機房幾乎完全相同的硬體、軟體及即時同步的資料。 |
| 建置成本 | 最低 | 中等 | 最高 |
| 回復時間 | 最長(數週至數月) | 中等(數小時至數天) | 最短(數分鐘至數小時) |
| 資料同步 | 無 | 定期備份(非即時) | 即時或近即時同步 |
| 適用情境 | 對回復時間要求不高的非核心業務。 | 對回復時間有一定要求,但能容忍數小時中斷的業務。 | 絕對無法容忍服務中斷的核心關鍵業務(如金融交易、電商)。 |
第二章:安全控制與風險管理
安全控制種類 (Security Control Types)
安全控制是為了降低風險而採取的對策,可依其功能與目的分類:
- **威懾控制 (Deterrence Control)**:旨在「嚇阻」攻擊者,使其放棄攻擊念頭。例如:警告標語(如 “內有監控”)、嚴格的法律罰則公告。
- **預防控制 (Preventive Control)**:旨在「防止」威脅事件的發生。這是最主要且最有效的控制措施。例如:防火牆、防毒軟體、門禁系統、加密、身分驗證。
- **偵測控制 (Detective Control)**:當預防措施失效時,用於「偵測」已發生或正在發生的威脅。例如:入侵偵測系統 (IDS)、監視器、系統日誌監控。
- **矯正控制 (Corrective Control)**:在偵測到威脅後,採取措施以「修正」損害、根除原因,並回復到正常狀態。例如:從備份中還原資料、系統更新修補漏洞。
- **回復控制 (Recovery Control)**:在災難發生後,協助系統或業務「回復」到災前運作狀態的長期措施。例如:啟動備援站點、執行災難復原計畫。
機房實體防護 (Data Center Physical Protection)
- 實體存取控制:門禁卡、生物辨識、警衛。
- 環境控制:不斷電系統 (UPS)、備用發電機、溫度與濕度控制、消防系統(如氣體滅火)。
- 網路攻擊防護:
- **MAC Flooding (MAC位址洪水攻擊)**:一種網路攻擊手法,攻擊者發送大量帶有不同偽造MAC位址的網路封包給交換器 (Switch),耗盡交換器內部MAC位址表的儲存空間。當MAC位址表滿溢時,交換器會進入 “Fail-Open” 模式,像集線器 (Hub) 一樣將所有接收到的封包廣播到所有連接埠,使得攻擊者可以輕易地竊聽網路上所有人的通訊內容。
第三章:稽核、演練與合規性
稽核活動類型 (Audit Activity Types)
稽核是確保組織遵循法規、政策和標準的關鍵活動。
- 第一方稽核 (First-party Audit):由組織內部的稽核人員進行的自我查核。目的在於內部改進與管理審查。
- 第二方稽核 (Second-party Audit):由客戶或供應商等利害關係人對組織進行的稽核。例如,客戶為了確保其供應商符合其資安要求而進行的稽核。
- 第三方稽核 (Third-party Audit):由獨立、公正的第三方機構(如會計師事務所、驗證機構)進行的稽核。目的通常是為了取得正式的認證(如 ISO 27001)或出具公信力的報告。
- **聯合稽核 (Joint Audit)**:由兩個或多個不同的稽核組織合作,共同對一個被稽核對象進行稽核。
ABCD 演練 (Business Continuity/Disaster Recovery Drill)
這是指業務連續性或災難復原計畫的演練方法,用以驗證計畫的有效性。其複雜度與投入程度由 A 至 D 遞增。
- **A (Plan Review / Walkthrough)**:計畫審查/桌面演練。
- **B (Simulation)**:模擬演練。
- **C (Component Test)**:元件測試。
- **D (Full-scale Exercise)**:全面演練。
SOC 報告 (System and Organization Controls Reports)
由美國會計師協會 (AICPA) 制定的標準,主要用於評估服務組織(如雲端服務提供商、資料中心)的內部控制。
- SOC 1:**財務報告相關的內部控制 (ICFR)**。主要給服務組織的客戶及其稽核人員使用,以評估該服務組織的控制措施對客戶財務報表的影響。
- Type 1:報告服務組織在「特定日期」的控制措施設計是否恰當。
- Type 2:報告服務組織在「特定期間」內,其控制措施的設計與執行是否有效。
- SOC 2:作業與合規性相關的控制。基於五項「信賴服務準則 (Trust Services Criteria)」進行稽核:安全性 (Security)、可用性 (Availability)、處理完整性 (Processing Integrity)、機密性 (Confidentiality) 與 **隱私性 (Privacy)**。
- SOC 3:也是基於信賴服務準則,但報告內容較為簡潔,不包含詳細的測試過程與結果。通常是公開的,可作為行銷用途,向大眾證明其系統控制的健全性。
第四章:新興技術與倫理
物聯網網路安全 (IoT Security)
物聯網架構通常分為三層,每一層都有其獨特的資安挑戰。
- 感知層 (Perception Layer):由各種感測器、攝影機、RFID標籤等終端設備組成,負責收集和識別物理世界的資訊。資安挑戰:設備物理安全、弱密碼、韌體漏洞、資料竊取。
- 網路層 (Network Layer):負責將感知層收集到的資料,透過網際網路、藍牙、Zigbee、5G等網路技術傳輸到應用層。資安挑戰:資料傳輸的機密性與完整性(如被竊聽、篡改)、DDoS攻擊。
- 應用層 (Application Layer):包含雲端平台、伺服器和應用程式,負責處理、分析和呈現資料,並提供各種服務給使用者。資安挑戰:應用程式漏洞、不安全的API、資料隱私洩漏、身分驗證與授權機制薄弱。
資訊倫理 (Cybersecurity Ethics)
資訊專業人員在工作中應遵循的道德準則,通常圍繞四大核心議題 (PAPA)。
- **Privacy (隱私)**:個人資訊應該在何種程度上被收集、儲存與揭露?個人對自己的資訊有多大的控制權?
- **Accuracy (準確)**:誰該為資訊的真實性與準確性負責?不準確的資訊可能造成的傷害該由誰承擔?
- **Property (所有權)**:資訊是一種資產,誰擁有它?誰可以從中獲利?智慧財產權(如專利、版權)如何保護?
- **Accessibility (存取權)**:誰有權利存取資訊?存取資訊的費用該如何訂定?數位落差 (Digital Divide) 是否造成不平等?
OECD 個資保護八大原則 (OECD Privacy Principles)
經濟合作暨發展組織 (OECD) 於1980年發布的指導原則,是許多國家個人資料保護法的基礎。
- **收集限制原則 (Collection Limitation)**:個資的收集應有其限制,且應在合法、公正的手段下,並在適當時取得當事人的知悉或同意。
- **資料品質原則 (Data Quality)**:個資應與其使用目的相關,並在必要的範圍內,保持其正確、完整及更新。
- **目的明確原則 (Purpose Specification)**:收集個資的目的應在收集時就明確指定,後續的利用不得逾越原指定的目的。
- **使用限制原則 (Use Limitation)**:非經當事人同意或法律授權,不得將個資揭露或使用於目的以外的用途。
- **安全保護原則 (Security Safeguards)**:應以合理的安全防護措施,保護個資免於遺失、未經授權的存取、破壞、使用、修改或揭露等風險。
- **公開原則 (Openness)**:對於個資相關的政策與實務作法,應保持公開透明,讓民眾能輕易了解。
- **個人參與原則 (Individual Participation)**:當事人有權查詢、確認其個資是否被持有,並能請求更正或刪除不正確的資料。
- **責任歸屬原則 (Accountability)**:資料控管者有責任確實遵守上述各項原則。
預防無用論
這是一種資訊安全領域的思維轉變。它並非指預防措施完全沒有用,而是強調「僅僅依賴預防是不足夠的」。因為攻擊手法日新月異,再強的防禦系統也可能被繞過或攻破。因此,現代資安策略強調:
- **假設已被入侵 (Assume Breach)**:將思維從「如何防止入侵」轉變為「假設已經被入侵了,我該如何快速偵測、應變並回復」。
- 強化偵測與應變能力:投入更多資源在入侵偵測 (IDS/IPS)、端點偵測與應變 (EDR)、安全資訊與事件管理 (SIEM) 以及事件應變 (Incident Response) 計畫上。
第五章:攻防演練與雲端安全
藍隊、紅隊、紫隊 (Blue/Red/Purple Teaming)
這是透過模擬攻防來提升組織整體安全性的演練模式。
- 紅隊 (Red Team):攻擊方。由一群資安專家組成,模擬真實駭客的思維與工具,從外部或內部對組織發動攻擊,旨在找出防禦的弱點與盲點。
- 藍隊 (Blue Team):防守方。負責組織日常的資安防禦工作,包括監控、偵測、事件應變等。在演練中,藍隊的任務是偵測並阻擋紅隊的攻擊。
- 紫隊 (Purple Team):協調方。扮演紅隊與藍隊之間的橋樑,確保雙方在演練過程中的溝通順暢。紫隊會促進雙方分享攻擊手法與防禦策略,不斷地迭代改進,以最大化演練的價值,提升組織整體的防禦能力。
雲端運算 (Cloud Computing)
五大特徵 (Essential Characteristics)
- **隨需自助服務 (On-demand Self-service)**:使用者可以隨時隨地、不需要人為介入,就能自行取得所需的運算資源(如虛擬機、儲存空間)。
- **廣泛網路存取 (Broad Network Access)**:使用者能透過標準的網路協定,使用各種不同的終端設備(如電腦、手機、平板)來存取雲端服務。
- **資源池 (Resource Pooling)**:雲端服務供應商將大量的實體運算資源(如CPU、記憶體、儲存)整合起來,以多租戶 (Multi-tenant) 的模式服務眾多客戶。客戶通常不知道資源的確切物理位置。
- **快速彈性 (Rapid Elasticity)**:運算資源可以根據需求快速、彈性地擴充 (Scale-out) 或縮減 (Scale-in),對使用者而言,資源彷彿是無限的。
- **可量測的服務 (Measured Service)**:雲端系統會自動監控與量測資源的使用量(如CPU時數、儲存GB數),並根據用量向使用者收費,實現「用多少、付多少」的模式。
三大服務類型 (Service Models)
- **SaaS (軟體即服務, Software as a Service)**:提供立即可用的應用程式。使用者只需透過瀏覽器或App即可使用,不需管理底層的任何設施。例如:Gmail, Salesforce, Microsoft 365。
- **PaaS (平台即服務, Platform as a Service)**:提供應用程式開發與部署所需的平台與環境(如作業系統、資料庫、開發框架)。開發者可以專注於開發程式,不需管理底層的硬體與作業系統。例如:Google App Engine, Heroku。
- **IaaS (基礎設施即服務, Infrastructure as a Service)**:提供最底層的運算、儲存與網路資源。使用者可以自行安裝作業系統與應用程式,擁有最高的控制權。例如:Amazon EC2, Google Compute Engine, Microsoft Azure VM。
四大部署模型 (Deployment Models)
- **私有雲 (Private Cloud)**:雲端基礎設施由單一組織專屬使用,可以自行建置維運,或委由第三方管理。提供最高的控制權與安全性。
- **公有雲 (Public Cloud)**:由雲端服務供應商(如AWS, Azure, GCP)建置並開放給大眾或廣大產業使用。優點是成本效益高、彈性大。
- **混合雲 (Hybrid Cloud)**:結合了公有雲與私有雲的架構。組織可以將核心或敏感的資料放在私有雲,同時利用公有雲的彈性資源來應對突發的流量高峰。
- **社群雲 (Community Cloud)**:由多個具有共同利益或目標的組織(如政府機關、學術單位)共同建立與分享的雲端基礎設施。
第六章:攻擊者類型
駭客類型 (Hacker Types)
依據其動機與行為,可分為以下幾種:
- **白帽駭客 (White Hat Hacker)**:也稱為「道德駭客 (Ethical Hacker)」。他們受組織雇用或授權,利用與黑帽駭客相同的技術來測試系統的安全性,並將發現的漏洞回報給組織以便修補。他們的行為是合法且有益的。
- **黑帽駭客 (Black Hat Hacker)**:出於惡意動機(如金錢利益、報復、間諜活動)而非法入侵他人電腦系統的攻擊者。他們的行為會對受害者造成損害。
- **灰帽駭客 (Gray Hat Hacker)**:介於白帽與黑帽之間。他們可能會在未經授權的情況下入侵系統,但動機不一定是惡意的。他們有時會將漏洞公之於眾,或向受害者索取費用以協助修復。其行為遊走在法律與道德的灰色地帶。
- **腳本小子 (Script Kiddie)**:技術能力較低的攻擊者。他們通常不是自己開發攻擊工具,而是使用網路上現成的腳本或軟體來發動攻擊,目的常常是為了炫耀或惡作劇,但仍可能造成嚴重破壞。
資訊安全三原則 CIA
- 機密性 (Confidentiality)
保護資訊以免資訊和資源爆露於無權限的人員中 - 完整性 (Integrity)
只有具備全縣的人才能修改,確保資料維持原本的面貌,隨著時間的變化,內容應該一致 - 可用性 (Availability)
確保資訊系統能夠正常運作,合法用戶要求使用資訊能夠正常運作
資訊管理系統
需要掌握PCDA的原則,持續經由Plan、Do、Check、Act的流程進行管理
以ISO27001:2023為準
- 規劃 (Plan): 內外部議題/關注方需求及期望(組織),風險以及機會/目標(規劃)
- 執行 (Do):運作規劃以及控制、資安風險評鑑
- 檢查 (Check):效能評估
- 行動 (Act):校正措施
Mason 的資訊倫理
Luc Chang
菜機工程師努力便強大
10
0
9