Home

To be completed!

此篇為個人學習筆記
課程:Foundations of Cybersecurity-Google @ Coursera

主題
探討資安專業領域的演進歷程,包含驅動資安產業發展的重要事件,以及資安對於組織營運持續性與風險管理的重要性。深入了解初階資安職位的職責範疇與角色定位。

# 簡介

Cybersecurity (資安), or security, 是透過保護網路、裝置、人員與資料,以防止未經授權的存取或惡意利用,從而確保資訊的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)之實務。

威脅行為者(Threat Actor)是指對資安構成風險的個人或團體。

資安的效益

  • 防範外部與內部威脅
  • 符合法規遵循要求
  • 維持並提升業務生產力
  • 降低營運成本
  • 維護品牌信任與聲譽

常見職稱

  • (網路) 資安分析師或資安專員(Security analyst or specialist)
  • 資安監控中心分析師(Security operations center (SOC) analyst)
  • 資訊安全分析師(Information security analyst)
  • 數位鑑識調查員 (Digital forensic investigators) 負責在網路、電腦及電子設備中識別、分析並保存犯罪證據。

資安分析師負責監控並防護資訊與系統的安全。職責包括

  • 保護電腦與網路系統
  • 安裝防護軟體
  • 定期執行資安稽核

關鍵資安術語

  • 合規 (Compliance): 遵循內部標準與外部法規的過程,有助於組織避免罰款與資安事件。
  • 資安框架 (Security frameworks): 用於制定計畫的指引,有助於降低資料與隱私風險與威脅。
  • 資安控制措施 (Security controls): 為降低特定資安風險而設計的防護機制,通常與資安框架搭配使用,以建立穩固的資安防禦態勢。
  • 資安防禦態勢 (Security posture): 指組織管理關鍵資產與資料防護能力,以及應對變化的能力。穩健的資安防禦態勢能有效降低組織風險。
  • 內部威脅 (Internal threat): 可能來自員工、供應商或合作夥伴,對組織資安造成風險。這些威脅有時是無意的,如員工誤點惡意連結,也可能是蓄意的,如未經授權存取資料。
  • 網路安全 (Network security): 指維護組織網路基礎架構免於未授權存取的作法,涵蓋組織網路中所儲存的資料、服務、系統及設備。
  • 雲端安全 (Cloud security): 確保雲端資產正確配置,且只有授權使用者能存取的過程。雲端由位於資料中心的伺服器組成,透過網路遠端存取。雲端安全是快速發展的資安子領域,專注保護雲端的資料、應用和基礎設施。
    • malicious: 惡意的
    • vulnerability: 漏洞

核心技能

  • Security information and event management (SIEM) tools 的使用
  • Intrusion detection systems (入侵偵測系統,IDSs) 的使用:它們是每個組織用於保護資產和數據的關鍵工具。

重要資產

  • 個人識別資訊 (Personally identifiable information, PII): 可用來辨識個人身分的資料,例如姓名、出生日期、住址、電話、電子郵件和 IP 位址等。
  • 敏感性個人識別資訊 (Sensitive PII, SPII): 特別類型的 PII,須以更高標準保護。常見例子包括社會安全號碼、醫療與財務資料,以及臉部辨識等生物特徵。

# 演進

# 歷史

病毒 (viruses) 現常被統稱為惡意軟體(Malware),旨在破壞裝置或網路的正常運作。

Brain virus
起因:保護醫學用軟體的著作權才寫這個病毒

Equifax breach

Morris 蠕蟲(Morris Worm)

  • 發生時間:1988 年
  • 攻擊方式:利用多個 UNIX 系統漏洞自我複製散播
    • 例如 sendmailfingerrsh 等服務漏洞
  • 感染方式:
    • 在網路上掃描其他主機
    • 藉由弱密碼或系統漏洞入侵
    • 重複自我複製導致系統過載
  • 影響範圍:
    • 約 6000 台主機(當時規模已非常大)
  • 歷史意義:
    • 第一個大規模在網路上傳播的蠕蟲
    • 導致美國建立了 CERT(Computer Emergency Response Team)
  • 創作者:Robert Tappan Morris(當時是康奈爾大學學生)

ILOVEYOU 病毒(LoveLetter 攻擊)

  • 發生時間:2000 年
  • 攻擊方式:透過電子郵件散播
    • 郵件主旨為:「ILOVEYOU
    • 附件名稱為:「 LOVE-LETTER-FOR-YOU.txt.vbs
  • 感染方式:
    • 使用者開啟附件後,病毒執行
    • 自動寄送相同病毒郵件給聯絡人 (蠕蟲)
    • 破壞或覆蓋系統中的檔案(如圖片、文件等)
    • 嘗試收集用戶密碼
  • 影響範圍:
    • 全球超過 1000 萬台電腦感染
    • 經濟損失高達數十億美元
  • 特點:
    • 利用社交工程(情感誘導)吸引使用者點擊

Morris 蠕蟲與 ILOVEYOU 病毒皆為資訊安全發展歷程中的重要事件,讓全球開始正視網路安全問題。其中一項成果是設立了電腦安全事件應變小組(CSIRT,Computer Security Incident Response Team)。

常見攻擊手法及其成效

網路釣魚(Phishing)
利用數位通訊手段誘使受害者洩露敏感資訊或安裝惡意軟體的社交工程攻擊手法。

常見的網路釣魚類型:

  • 商業電子郵件詐騙(BEC,Business Email Compromise): 偽造來自可信來源的電子郵件,以取得財務利益所需資訊。
  • 魚叉式網路釣魚(Spear phishing): 針對特定目標發送,且看似來自可信寄件者的電子郵件。
  • 高層釣魚(Whaling): 針對企業高階主管的精準釣魚,目標為敏感資料。
  • 語音釣魚(Vishing): 透過語音通話竊取資訊或冒充可信來源。
  • 簡訊釣魚(Smishing): 利用簡訊欺騙用戶或冒充可信來源。
  • 補充:域名詐欺 (pharming)

惡意軟體(Malware)
旨在破壞裝置或網路,通常用於竊取金錢或情報的軟體。

常見惡意軟體類型:

  • 病毒(Virus): 由威脅行為者透過惡意附件或下載傳播,下載後潛藏於其他檔案中。當使用者開啟感染檔案時,病毒會將惡意程式碼 (payload, 負載程式) 插入其他程式中,以破壞或毀損資料。
  • 蠕蟲(Worm): 可自我複製並自動在系統間擴散,無需使用者介入,而是從已感染的電腦出發,自動在同一網路中的其他裝置間擴散。
  • 勒索軟體(Ransomware): 對資料進行加密,並要求支付贖金以恢復存取權。
  • 間諜軟體(Spyware): 未經同意收集個人資料,包括電子郵件、簡訊、錄音及位置資訊。

Social Engineering
利用人為錯誤來獲取資訊、存取權限或財物,常透過建立虛假信任來欺騙目標。

常見手法包括:

  • 社群媒體釣魚: 利用社群媒體蒐集目標資訊後發動攻擊。
  • 水坑攻擊(Watering hole attack): 攻擊特定族群常訪問的網站。
  • USB 誘餌(USB baiting): 故意放置含惡意程式的 USB,誘使員工插入感染網路。
  • 實體社交工程: 假扮員工、顧客或廠商以進入限制區域。

原則:
社交工程之所以有效,是因為人們傾向信任他人並服從權威。隨著社群媒體的普及,越來越多個人資料變得容易取得且可被濫用。

其有效性的關鍵因素包括:

  • 權威(Authority): 冒充具權力地位的人物以利用他人服從心理。
  • 威嚇(Intimidation): 透過威脅或施壓迫使目標配合。
  • 從眾/社會證明(Consensus/Social Proof): 宣稱他人已配合,以增加行為的正當性。
  • 稀缺性(Scarcity): 製造資源有限的緊迫感,引導快速決策。
  • 熟悉感(Familiarity): 假裝與目標有情感連結以降低戒心。
  • 信任(Trust): 長期建立關係以套取資訊。
  • 緊急性(Urgency): 施加時間壓力,迫使受害者在未核實前做出行動。

資安事件發生時,首先要做的事情是遏止事件擴散。

data breach: 資料外洩

# CISSP 資安領域

CISSP(Certified Information Systems Security Professional, 資訊系統安全認證專家)被譽為資訊安全界的至高標準。

CISSP 八大資安領域可協助組織及其資安團隊強化防禦並準備應對資料外洩事件。

定義了八大資安領域如下:

  1. 安全與風險管理(Security and Risk Management)
    涉及資安治理、合規性、風險管理、業務連續性與災難復原、道德與法律議題等。
  2. 資產安全(Asset Security)
    涉及資訊分類、資料擁有權、資料保護措施、資料生命週期管理等。
  3. 資安架構與工程(Security Architecture and Engineering)
    包含安全模型、安全設計原則、系統架構、漏洞管理、密碼學、防火牆、物理安全等。
  4. 通訊與網路安全(Communication and Network Security)
    探討網路架構、安全通訊、網路攻擊防禦技術等。
  5. 身分與存取管理(Identity and Access Management, IAM)
    包含身份驗證、授權、帳號管理、存取控制模型與技術等。
  6. 安全評估與測試(Security Assessment and Testing)
    涉及資安測試方法、弱點評估、滲透測試、安全稽核等。
  7. 安全營運(Security Operations)
    包括事件回應、監控與日誌管理、變更管理、調查處理、災難復原等。
  8. 軟體開發安全(Software Development Security)
    涵蓋安全開發生命週期、程式碼審查、安全程式設計原則、應用程式漏洞防範等。

攻擊類型

密碼攻擊
旨在取得受密碼保護的裝置、系統、網路或資料存取權。屬於通訊與網路安全領域,常見類型包括:

  • 暴力破解
  • 彩虹表 (Rainbow table) 攻擊

社交工程攻擊
透過操弄人為疏失,竊取資訊、存取權或財物。屬於安全與風險管理領域,常見類型包括:

  • 網路釣魚(Phishing)
  • 簡訊釣魚(Smishing)
  • 語音釣魚(Vishing)
  • 精準釣魚(Spear phishing)
  • 高層釣魚(Whaling)
  • 社群媒體釣魚
  • 商業電子郵件詐騙(BEC)
  • 水坑攻擊(Watering hole attack)
  • USB 誘餌攻擊(USB baiting)
  • 實體社交工程

實體攻擊
針對數位及實體環境發動。屬於資產安全領域,常見類型包括:

  • 惡意 USB 連接線
  • 惡意隨身碟
  • 卡片複製與側錄

對抗性人工智慧 (Adversarial artificial intelligence)
透過操控人工智慧與機器學習技術,以提升攻擊效能。此類攻擊涉及通訊與網路安全及身份與存取管理領域。

供應鏈攻擊 (Supply-chain attack)
針對系統、應用程式、硬體或軟體漏洞進行惡意軟體植入。由於每個產品均涉及第三方,資安事件可能發生於供應鏈的任何環節。此類攻擊代價高昂,影響多個組織及其員工,涵蓋安全與風險管理、資安架構與工程,以及安全營運等多個領域。

密碼學攻擊 (Cryptographic attack)
針對發送者與接收者間的安全通訊進行攻擊。屬於通訊與網路安全領域,常見類型包括:

  • 生日時攻擊(Birthday Attack)
  • 碰撞攻擊(Collision Attack)
  • 降級攻擊(Downgrade Attack)

威脅行為者類型

高階持續性威脅(APT)
高階持續性威脅(Advanced Persistent Threats,APTs)為具高度技術能力的攻擊者,能未經授權侵入網路,針對企業或政府等目標進行長期潛伏且不易被偵測。其目標包括:

  • 破壞關鍵基礎設施(如電力網、自然資源)
  • 竊取智慧財產權(如商業機密、專利)

內部人員威脅 (Insider threats)
指濫用授權存取權限以損害組織者。動機包括:

  • 破壞行為
  • 貪污
  • 間諜活動
  • 未經授權的資料存取或外洩

駭客行動者(Hacktivists)
駭客行動者為具有政治動機的威脅行為者,利用數位工具進行:

  • 示威行動
  • 宣傳活動
  • 社會變革運動
  • 爭取知名度

駭客類型

駭客 (hacker) 利用電腦存取系統、網路或資料,技術層級從初學者到專家不等,主要分為三類:

  • 授權駭客(倫理駭客,ethical hackers): 遵守法律與倫理,透過滲透測試協助組織強化資安。
  • 半授權駭客(研究人員): 發現漏洞但不加以利用。
  • 未授權駭客(非倫理駭客,unethical hackers): 惡意行為者,竊取並販售資料以牟利。

註:部分駭客身兼多重角色。

新手或技術不足的駭客通常目標為:

  • 學習並提升技能
  • 報復行為
  • 利用現成惡意軟體或腳本發動攻擊

部分駭客合法或非法受雇工作,另有些則以義警身份抵禦非倫理駭客。

欲了解資安團隊如何保護組織與人員,請參考 Hacking Google 影音系列。

重點
威脅行為者以惡意意圖為定義,駭客則以技術能力與動機區分。了解他們的動機,有助於更有效地保護組織及其成員免受攻擊。

# 防範威脅、風險與弱點

# 架構與控制

CIA triad (CIA 三元組) 是資安中的基本模型,協助組織在系統建置與政策制定時進行風險評估,並建立控制措施以降低威脅、風險與漏洞的影響。包含

  • 機密性(Confidentiality):僅授權使用者能存取特定資產或資料。
  • 完整性(Integrity):資料須保持正確性、真實性與可靠性。
  • 可用性(Availability):授權使用者在需要時應能順利存取資料。

安全控制 (security controls) 是為降低特定風險而設計的機制,常配合安全框架使用,以落實安全目標與流程,並協助符合法規要求。

安全框架 (security frameworks) 是建構資訊安全計畫的指導方針,目標是減輕資料與隱私風險,其核心包含:

  1. 識別安全目標
  2. 訂定達成目標的作業準則
  3. 建置安全流程
  4. 持續監控與回報實施成果

法規遵循 (compliance) 是指組織依循內外部政策與法規的過程。

舉例

美國國家標準與技術研究院(NIST)制定多種自願性法規遵循框架,協助全球組織進行風險管理。與法規契合度越高,風險通常越低。常見框架包括:

  • NIST CSF:網路安全框架
  • NIST RMF:風險管理框架

注意:規範適用性可能因組織類型不同而異。

FERC-NERC (聯邦能源管理委員會-北美電力可靠性公司)
FERC-NERC 法規適用於電力相關業務或參與北美電網運作的組織,要求其預防、緩解並通報可能影響電網的安全事件,並遵守 FERC 所制定的關鍵基礎設施保護(CIP)可靠性標準。

FedRAMP®(聯邦風險與授權管理計畫)
FedRAMP 是美國政府推行的計畫,旨在標準化雲端服務的安全評估、授權與監控流程,建立政府部門與供應商間一致的安全基準與規範。

CIS®(網際網路安全中心)
CIS 是專注於資安的非營利組織,提供用於防禦系統與網路攻擊的安全控制項,協助組織建立防禦計畫,並提供可執行的應變措施供資安人員參考。

General Data Protection Regulation (GDPR)(一般資料保護規則)
GDPR 是歐盟制定的資料保護法,保障歐盟居民個資與隱私權,適用於所有處理歐盟公民資料的組織。若未透明告知資料用途,組織將面臨罰款。資料外洩須在 72 小時內通報當事人。

PCI DSS (支付卡產業資料安全標準)
PCI DSS 是一項國際性安全標準,旨在確保組織在儲存、接受、處理及傳輸信用卡資訊時,能於安全的環境下進行。該標準的目標在於降低信用卡詐欺風險。

HIPAA (健康保險攜帶與責任法案)
HIPAA 是 1996 年美國聯邦法,保護病患健康資訊,禁止未經同意分享。主要規範包括隱私、安全及資料外洩通知。儲存病患資料的組織須在資料外洩時通知病患,因洩露的受保護健康資訊(PHI, Protected Health Information)可能引發身份盜用與詐欺。資安人員也應熟悉健康資訊信賴聯盟(HITRUST®)框架,協助符合 HIPAA 要求。

ISO (國際標準化組織)
ISO 成立的目的是制定跨國界的技術、製造及管理相關國際標準,協助組織提升人員留任率、規劃、減少浪費及服務流程的改善與優化。

System and Organizations Controls (SOC 1 型和 SOC 2 型)(系統與組織控制報告)
SOC 報告由美國註冊會計師協會(AICPA)制定,評估組織在不同層級使用者 (如:員工、主管、經理、執行長、供應商及其他) 的存取政策,涵蓋財務合規、風險層級、機密性、隱私、完整性、可用性與安全性。控制失效可能導致詐欺。

建議:持續關注法規更新,並了解如《葛蘭 - 李奇 - 布萊利法案》(GLBA)及《薩班斯 - 奧克斯利法案》(SOX)等相關法規。

作為資安分析師,持續掌握常見的安全框架、控制措施及法規要求,並關注資安環境的變化,對於確保組織與使用者的安全至關重要。

# 資安倫理

指導資安決策的倫理概念

安全倫理 (Security ethics) 是資安專業人員做出適當決策的指導原則。具備倫理意識意味著保持公正,並保護個人資料安全與機密。良好倫理幫助應對不斷變化的威脅,做出正確判斷,減緩風險。本章將介紹重要倫理概念,協助依法且道德地回應攻擊,保障組織與個人安全。

反擊行動的倫理與法律規範

美國立場
美國法律(如 1986 年《電腦詐欺與濫用法案》與 2015 年《網路安全資訊共享法》)禁止個人或組織反擊威脅者,只能採取防禦。反擊被視為自力救濟,可能導致攻擊升級和更嚴重損害,尤其若對手為國家支持的駭客活動者,還可能引發國際政治風波。只有經核准的聯邦政府或軍事人員可執行反擊行動。

國際立場
國際法院(ICJ)指導原則允許在以下條件下進行反擊:

  • 反擊只影響首要攻擊方
  • 反擊為直接溝通,要求停止攻擊
  • 不致使情勢升級
  • 影響可逆轉

因條件難以精確判定,組織通常不採取反擊。反擊合法性不明且風險高,非專業人員反擊常導致更嚴重後果。建議參考 Tallinn Manual 以了解最新國際觀點與倫理議題。

倫理原則與方法論

反擊行動通常違法,資安領域透過多種框架與控制(如 CIA 三元組)來因應機密性、隱私及法律議題。以下關鍵概念有助理解資安倫理義務:

  • 機密性:只有授權者能存取資產,強調尊重隱私與保護資料安全。
  • 隱私保護:防止個人資訊(PII)與敏感個人資訊(SPII)遭未授權使用,資安人員有責任保護資料安全、識別漏洞並管理風險。
  • 法律:由主管機關強制執行的規範,資安人員須公正、誠實且尊重法律,透明依據事實行事,持續提升技能並倫理地處理問題。

以 HIPAA 為例,該法保護患者健康資訊(PHI),禁止未經同意分享,並規定外洩時須通知患者。資安專業人員需協助組織依法且合乎倫理履行義務。

重點摘要

作為未來的資安專業人員,倫理將在您的日常工作中扮演重要角色。理解倫理與法律,將有助於您在面對資安威脅或導致資料外洩的事件時,做出正確的判斷與決策。

When you're faced with difficult decisions, it's good to think about what would be the consequences of your decision.

# 資安工具及程式語言

# 常用工具

SIEM (Security information and event management, 安全資訊與事件管理) tools

SIEM 是用於收集與分析日誌資料的應用程式,可用來監控企業內的關鍵活動。常見工具包含 SplunkChronicle

網路協定分析器(封包嗅探器)Network protocol analyzers (packet sniffers)

此工具可攔截並解析網路中的資料流量,用於監控與診斷網路通訊行為。

程序手冊(Playbook)詳述各項營運行動的標準流程,包括事件回應、資安與合規審查、存取管理等需完整紀錄的組織作業,並作為引導分析人員依循一系列步驟,執行特定資安任務的標準作業指引。eg:

  • chain of custody (監管鏈) playbook, 證據必須妥善保存並全程追蹤。
  • protecting and preserving evidence (保護與保存證據) playbook, 依揮發性順序 (Order of Volatility) 進行處理。應先建立資料副本,並以副本進行調查以保留原始資料完整性。

這兩者屬於數位鑑識調查初期的作業流程。

延伸資源:

  • Google 資安行動小組的《Threat Horizon Report》提供企業雲端環境面臨威脅的戰略情報。
  • 美國網路安全暨基礎設施安全局(CISA)彙整了一份免費資安工具與服務清單,內容涵蓋多種開源資安工具。

本課程會用到 Python 以及 Structured Query Language (SQL)
A data point 指一筆特定的資訊。

Web vulnerability (網頁漏洞) 是指網路應用程式中的特定弱點,攻擊者可透過惡意程式碼或行為加以利用,進而造成未授權存取、資料外洩或惡意程式植入。
參考:開放式網路應用安全專案(OWASP)十大風險清單

Antivirus software (防毒軟體) 用於預防、偵測及移除惡意程式。部分防毒軟體能掃描裝置記憶體,辨識惡意程式行為模式。

Intrusion detection system (IDS)(入侵偵測系統) 監控系統活動並警示可能入侵。透過掃描與分析網路封包,IDS 能有效辨識對敏感資料的威脅,並偵測竊盜及未授權存取等異常行為。

加密 (Encryption) 將資料轉為不可讀且難以解碼的格式,主要確保私人資料的機密性。加密是將明文 (plaintext) 轉換成密文 (ciphertext) 的過程。
註:編碼與加密不同,編碼使用公開演算法,方便不同系統間資料交換。

滲透測試 (Penetration Testing) 是透過模擬攻擊,評估系統、網路、網站、應用程式及流程的弱點,全面識別內外部風險。

技能作品集

資安專業人士透過作品集 (portfolio) 展示其教育背景、技能與知識,常用於求職時向雇主證明熱忱與能力。作品集內容較履歷更詳盡。

關於本課程的作品集可以放以下內容:

  • 撰寫專業自述
  • 執行資安稽核
  • 分析網路架構與安全性
  • 使用 Linux 指令管理檔案權限
  • 對 SQL 查詢套用過濾條件
  • 辨識小型企業的資安漏洞
  • 以事件處理日誌記錄資安事件
  • 匯入並解析與資安情境相關的文字檔
  • 製作或修改履歷

參考:

可參考以下專業自述範例作為靈感來源:

Example A: I am a highly motivated and detail-oriented cybersecurity analyst. I actively work to identify and analyze potential risks, threats, and vulnerabilities to security and ensure the confidentiality, integrity, and availability of assets, to help safeguard organizations and people alike.

Example B: I am enthusiastic about information security and enjoy finding solutions that can positively impact an organization and the people it serves. I place a high value on maintaining a strong security posture to help protect sensitive information and mitigate risk.

範例 3: My name is Melodie. I am driven and passionate about safeguarding people’s security, including their financial well being. I enjoy working with technology and analyzing and solving complex problems.

在完成此活動時,請務必涵蓋以下要點:

  • 明確表達您希望讓潛在雇主看到的專業形象
  • 誠實呈現您的優勢、價值觀,以及投入資安領域的動機
  • 隨著技能與知識的提升,定期更新您的自述內容