Home

To be completed!

此篇為個人學習筆記
課程:Play It Safe: Manage Security Risks-Google @ Coursera

主題
說明資安專業人員如何運用框架與控制措施以保護企業營運,並探討常見的資安工具。

# 資安領域

# 介紹

CISSP 8 大領域

領域一:安全與風險管理
所有組織都必須建立其安全防禦態勢(Security Posture)。安全防禦態勢是指組織管理關鍵資產與資料防禦能力,並對變化做出反應的整體能力。影響安全防禦態勢的安全與風險管理構面包括:

  • 安全目標與策略
  • 風險緩解流程
  • 合規性管理
  • 業務持續計畫(BCP)
  • 法規遵循
  • 專業與組織倫理

資訊安全(InfoSec)也屬於此領域,指的是為保障資訊而建立的一系列制度與流程。根據風險評估與實際需求,組織可能導入應變手冊(Playbooks)與教育訓練,作為其安全與風險管理計畫的一部分。常見的資訊安全設計流程包含:

  • 資安事件回應
  • 漏洞管理
  • 應用程式安全
  • 雲端安全
  • 基礎設施安全

舉例而言,資安團隊可能需依據歐盟《一般資料保護規則》(GDPR)調整對個人識別資訊(PII)的處理方式。

領域二:資產安全
資產安全涉及組織資產(包括實體與虛擬資料)的資安管理流程,涵蓋資料的儲存、維護、保留與銷毀。資產遺失或遭竊可能使組織曝露於風險之中,因此資產及其所承載資料的盤點與管理至關重要。依據各資產的風險等級,必須進行安全影響分析、建立復原計畫並妥善控管資料暴露風險。

資安分析人員可能需透過備份方式來儲存、維護與保留資料,以確保當發生資安事件時,能夠還原作業環境並維護資料完整性。

領域三:安全架構與工程
本領域著重於資料安全的管理,確保組織具備有效的工具、系統與流程來保護資產與資料,這些機制由資安架構師與工程師設計與實作。

此領域的一個核心概念是「責任共擔」(Shared Responsibility),即所有參與人員在安全系統設計過程中均應主動降低風險。此外,相關的設計原則包括:

  • 威脅建模(Threat Modeling)
  • 最小權限原則(Least Privilege)
  • 深度防禦(Defense in Depth)
  • 失效安全(Fail Securely)
  • 職責分離(Separation of Duties)
  • 簡化設計(Keep It Simple)
  • 零信任架構(Zero Trust)
  • 信任但驗證(Trust but Verify)

舉例來說,管理資料安全的一種方式是部署 SIEM(安全資訊與事件管理)系統,藉由監控異常登入或可疑用戶行為的警示,偵測潛在的威脅行為者試圖存取機密資料。

領域四:通訊與網路安全
本領域聚焦於實體網路與無線通訊的管理與防護,涵蓋內部、遠端及雲端環境的資料傳輸安全。

對於採用遠端、混合或實體辦公模式的組織而言,確保資料安全是一項基本需求。然而,管理外部連線以保障遠端員工安全存取組織網路仍具挑戰性。透過設計網路安全控制機制(例如限制網路存取權限),可在員工出差或於非辦公室地點工作時,保護使用者並維護整體網路的安全性。

領域五:身分識別與存取管理(IAM)
本領域專注於透過驗證可信使用者身分與授權存取權限,以保護資料安全。IAM 確保只有授權使用者可存取實體與邏輯資產,同時阻擋未經授權的存取行為,讓合法使用者能在安全範圍內完成工作。

IAM 的核心在於「最小權限原則」,即僅授與完成特定任務所需的最低權限。例如,資安分析人員可能需確保客服人員在處理個案時,僅能檢視客戶的私人資料(如電話號碼),並在問題解決後立即撤銷該存取權限。

領域六:安全評估與測試
本領域著重於辨識與減輕風險、威脅與系統漏洞。透過安全評估,組織能判斷其內部系統是否處於安全狀態或存在風險。常見做法包括聘請滲透測試人員(Penetration Testers,簡稱 Pen Testers)以模擬攻擊方式發掘潛在漏洞,預防惡意行為者加以利用。

此領域建議實施安全控制測試,並蒐集與分析相關數據。同時強調定期進行安全稽核,以監控潛在風險並降低資料外洩的可能性。資安人員在此領域中常負責審核使用者權限,以確認其對內部系統的存取符合授權原則。

領域七:安全營運
本領域聚焦於資安事件發生後的調查處理與後續預防措施的執行,透過各項策略、流程與工具來強化整體防禦,包括:

  • 資安訓練與意識提升
  • 報告撰寫與紀錄管理
  • 入侵偵測與防禦系統(IDS/IPS)
  • SIEM 工具運用
  • 日誌管理
  • 資安事件處理流程
  • 應變手冊(Playbooks)
  • 事後鑑識分析
  • 經驗回顧與改進

參與此領域的資安專業人員以團隊形式運作,負責管理、預防與調查各類威脅、風險與漏洞。他們受過處理即時攻擊的訓練,例如偵測非上班時段內部網路大量資料存取等異常行為。一旦威脅被識別,團隊會即刻啟動防護措施,以確保敏感資料不受攻擊者入侵。

領域八:軟體開發安全
本領域著重於運用安全的程式撰寫準則與實務,開發具備資安防護能力的應用程式,以確保服務的安全性與可靠性,進而保護組織與使用者。

資安應整合至軟體開發生命週期(SDLC)的每個階段,從設計、開發、測試到釋出,皆須將安全性納入考量,不能事後補強。

應用程式安全測試可協助發現並修補漏洞。此過程須涵蓋程式規範、可執行檔與內嵌安全機制的檢驗,並由品質保證(QA)與滲透測試人員確認軟體符合安全與效能標準。

例如,某製藥公司之初階分析師可能需檢查新醫療裝置的加密功能是否正確設定,以確保病患隱私資料受到保護。

本篇內容介紹了八大 CISSP 資安領域的重點範疇,並闡述了資訊安全(InfoSec)及最小權限原則。熟悉這些資安領域與相關概念,有助於深化對資安領域的理解與認識。

風險管理

組織的主要目標之一是保護其資產。資產 是指對組織具有價值的項目,可能是數位的也可能是實體的。

數位資產範例:

  • 員工、客戶或供應商的個人資料,如:社會安全碼(SSN)、出生日期、銀行帳戶號碼、郵寄地址

實體資產範例:

  • 繳費機、自有伺服器、桌上型電腦、辦公空間

常見風險管理策略:

  • 接受(Acceptance):接受風險以維持業務連續性
  • 避免(Avoidance):制定規劃以完全避開風險
  • 轉移(Transference):將風險轉嫁給第三方處理
  • 緩解(Mitigation):降低已知風險的影響

組織常依循業界公認的風險管理框架來保護其資產,例如:

  • NIST 風險管理框架(NIST RMF)
  • HITRUST CSF

今日常見的威脅、風險與漏洞

威脅(Threats)
威脅是任何可能對資產造成負面影響的情況或事件,例如:

  • 內部威脅:授權人員濫用權限(如員工或供應商)
  • 進階持續性威脅(APT):攻擊者長期潛伏在系統中並維持未授權存取權限

風險(Risks)
風險是指任何可能影響資產「機密性、完整性、可用性」的因素。基本公式為: 風險 = 威脅的可能性 × 影響程度

常見風險類型:

  • 外部風險:來自組織外部,如駭客試圖存取敏感資料
  • 內部風險:來自內部人員或已離職員工、供應商等
  • 舊系統(Legacy Systems):未更新或未納入管理的老舊系統仍可能造成風險
  • 多方風險(Multiparty Risk):外包導致第三方存取機密資訊
  • 軟體合規性問題:未及時安裝更新、補丁,或使用未授權軟體

補充資源:

  • NIST 資安風險清單
  • OWASP Top 10 攻擊風險

提示:OWASP 在 2017–2021 年間更新的三項新風險為:不安全設計、軟體與資料完整性失敗、伺服器端請求偽造(SSRF)

漏洞(Vulnerabilities)
漏洞是可被威脅利用的弱點。定期掃描與修補漏洞是基本資安防護措施。

常見漏洞範例:

  • ProxyLogon:影響 Microsoft Exchange 的預先驗證漏洞,可遠端執行惡意程式
  • ZeroLogon:影響 Netlogon 驗證協定,讓攻擊者繞過身分驗證
  • Log4Shell:遠端執行 Java 程式碼,攻擊者可控制受害主機
  • PetitPotam:利用 NTLM 協定進行憑證竊取攻擊
  • 記錄與監控不足:導致攻擊行為無法即時發現
  • 伺服器端請求偽造(SSRF):可操控伺服器訪問後端資源或竊取資料

初階分析師的角色:可能負責漏洞管理,監控系統、識別與緩解漏洞。即使已有修補程式,若未更新,仍可能遭入侵,因此持續監控至關重要。

RMF (Risk Management Framework): NIST 風險管理框架,有以下七個步驟:

  1. 準備(Prepare)
    準備階段包含在資安事件發生前,預先執行的風險管理與隱私保護作業。作為初階分析師,這個階段通常涉及風險監控,以及識別可用以降低風險的控制措施。
  2. 分類(Categorize)
    此階段用於建立風險管理流程與任務,重點在評估系統與資訊之機密性、完整性、可用性(CIA) 在面對風險時的受影響程度。初階分析師須理解如何依照組織所訂流程,降低對關鍵資產(如客戶個資)的風險。
  3. 選擇(Select)
    在此階段,資安人員需選取、客製化並記錄適用的安全控制措施。舉例而言,協助維護應變手冊(Playbook)或其他控制文件,即屬於此步驟的實作範疇,有助於提升團隊處理事件的效率。
  4. 實施(Implement)
    根據前一步驟所制定的安全與隱私計畫,實作對應的控制機制。例如,若觀察到員工頻繁重設密碼,可調整密碼政策來改善安全與使用體驗。
  5. 評估(Assess)
    此階段用以確認已部署的控制措施是否正確實作並發揮預期效果。分析師需評估目前流程、工具與政策是否達成組織安全需求,並識別潛在弱點,提出調整建議以優化風險管理。
  6. 授權(Authorize)
    授權代表對組織中存在的資安與隱私風險負責。初階分析師在此階段可能參與生成報告、制定行動計畫與設定專案里程碑,確保所有工作符合組織的資安策略。
  7. 監控(Monitor)
    監控是持續追蹤系統運作狀況的重要活動,分析師需每日維運技術作業,並確保系統能持續支持資安目標。若現有系統未能達成目標,則需進行調整或改善。

延伸閱讀:

  • NIST 漏洞資料庫(NVD)
  • CISA 已知漏洞目錄

本章說明了風險管理的基本策略與框架,並介紹了當今常見的威脅、風險與漏洞。了解這些概念將有助於你預防與降低潛在的資安問題,保護組織與個人不受威脅行為者影響。

補充資源

  • OWASP Top Ten
  • NIST RMF

# 安全框架與控制措施

本篇將進一步探討這些框架和控制措施 (如 NIST 的 RMF 和 CSF,以及 CIA 三元組) 如何協同減輕風險。

Frameworks and controls

  • 安全框架:提供減少風險與威脅的指導,並幫助組織遵守合規法規;例如醫療行業遵守 HIPAA 要求。
  • 安全控制:則是針對特定風險設計的防護措施,例如要求病人使用多重身份驗證來保護醫療紀錄,減少隱私數據風險。

特定的框架

  • 網絡威脅框架 (CTF): 提供描述和交流網絡威脅活動的通用語言,幫助專業人員更有效地分享信息並提升應對能力。
  • ISO/IEC 27001: 一個國際認可的框架,幫助組織管理資產安全,這些資產包括財務信息、知識產權、員工數據以及托管給第三方的信息。雖然 ISO/IEC 27001 框架並不要求使用特定的控制措施,但它提供了一套可供組織選擇並用來提升其安全態勢的控制措施。

控制措施
用於減少安全威脅或風險的可能性,並包括物理、技術與行政三種形式。通常用來預防、檢測或糾正安全問題。

物理控制的例子:

  • 門禁、圍欄和鎖具
  • 安全人員
  • 閉路電視(CCTV)、監控攝像頭和運動偵測器
  • 進入辦公空間的門禁卡或徽章

技術控制的例子:

  • 防火牆
  • 多重身份驗證(MFA)
  • 防毒軟體

行政控制的例子:

  • 職責分離
  • 授權管理
  • 資產分類

如需了解更多,特別是用於保護健康相關資產的控制措施,請參閱美國健康與人類服務部的物理訪問控制簡報

網絡安全框架與控制 共同幫助組織建立安全態勢,實現安全目標並遵守規範,雖然是自願性,但建議積極實施以保障關鍵資產安全。

CIA 三元組 幫助組織考量風險並設計符合機密性、完整性和可用性要求的系統和政策,從而建立有效的安全態勢。

  • 機密性:確保只有授權使用者能訪問特定數據,最小特權原則有助於限制訪問權限。
  • 完整性:保證數據的正確性、真實性和可靠性。加密技術是驗證數據完整性的一種方式。加密可以防止未經授權的訪問,並確保數據(例如組織內部聊天平台上的消息)不會被篡改。
  • 可用性:確保授權使用者能在需要時訪問數據,但訪問權限會根據工作需求進行限制。

NIST CSF 核心功能

幫助組織管理網絡安全風險並確保安全。安全操作中,NIST CSF 功能是確保組織防範潛在威脅、風險和漏洞的關鍵。

六個核心功能包括:

  1. 識別(Identify):管理資訊安全風險及其對組織的影響,並監控系統和設備識別潛在安全問題。
  2. 保護(Protect):通過政策、程序、訓練和工具,減少網絡安全威脅的影響。
  3. 檢測(Detect):識別潛在安全事件,提升檢測效率與速度。
  4. 響應(Respond):依規程遏制和分析安全事件,並改進流程防止再次發生。
  5. 恢復(Recover):將受影響系統恢復到正常運行。
  6. 治理(Govern):確保全組織層級的網絡安全治理,並持續改善風險管理策略。

安全事件必然會發生,但組織必須具備快速恢復能力,以最小化事件帶來的風險。

本文將介紹 OWASP (Open Worldwide Application Security Project®) 的安全原則及初級分析師如何應用這些原則。

在工作中,安全原則融入日常任務,如分析日誌、監控 SIEM 儀表板或使用漏洞掃描器。已介紹的 OWASP 安全原則包括:

  • 最小化攻擊面:指潛在漏洞。
  • 最小權限原則:用戶只需最少權限。
  • 深度防禦:多層安全措施降低風險。
  • 職責分離:關鍵操作需多人執行。
  • 簡化安全設計:避免複雜解決方案。
  • 正確修復問題:識別原因並測試修復。

以下是四個額外的 OWASP 安全原則:

  • 建立安全預設值:應用程式的最佳安全狀態應為預設狀態,需額外操作才能不安全。
  • 安全地失敗:控制措施失效時,應自動恢復到最安全選項。
  • 不要信任服務:不應明確信任第三方系統,需確保合作夥伴的安全。
  • 避免依賴安全隱蔽性:系統安全不應僅依賴於隱藏源代碼,應包括多重安全因素。

資安稽核
是對組織的安全控制、政策和程序的審查,確保符合內外部標準。稽核有助於識別風險、威脅及漏洞,並確保有修復流程來處理安全問題。

稽核的目標是確保 IT (資訊技術) 實踐符合標準,並識別需改進的領域。資安稽核有助於保障資料安全並避免政府罰款,頻率依當地法規及合規要求而定。

影響稽核類型的因素包括行業、組織規模、政府法規、業務地理位置及是否遵守特定法規。

框架與控制在資安稽核中扮演重要角色,能幫助組織為合規性稽核做準備,並提高稽核效率。稽核時需審查行政 (或管理控制)、技術及物理控制。

在進行資安稽核前,首先要建立稽核清單,並包括以下幾個重點:

  1. 確定稽核範圍:列出需要評估的資產,並確保這些資產能幫助組織達成預期目標,且有規劃稽核頻率。
  2. 完成風險評估:識別並評估與預算、控制、內部流程和法規相關的風險。
  3. 進行稽核:評估稽核範圍內的資產安全性。
  4. 建立緩解計劃:設計策略來降低風險和潛在負面影響。
  5. 結果報告:向利益相關者提供詳細的報告,提出需要改進的地方,並確保遵守必要的法規。

以下是有助於深入了解資安稽核的資源:

  • 評估與稽核資源
  • IT 災難恢復計劃

資安稽核練習資料

  • Botium Toys: Scope, goals, and risk assessment report
  • Controls and compliance checklist
  • Control categories
  • Audit Scope and Goals

攻擊向量:攻擊者用以滲透安全防護的途徑

驗證(Authentication):確認身份的過程
授權(Authorization):系統中授予特定資源存取權限的概念
生物特徵(Biometrics):可用來驗證個人身份的獨特生理特徵

# 資安工具導論

Logs 常見出處

  • Firewall logs
  • Network logs: 記錄進出網路的裝置,以及裝置與服務間的連線活動。
  • Server logs: 記錄網站、郵件與檔案分享等服務的使用行為,如登入與帳密驗證請求。

SIEM(Security Information and Event Management)工具是一種用於彙整與分析日誌資料的應用程式,旨在監控組織內部的關鍵活動。具備即時監控與追蹤功能,可用於分析潛在資安威脅、風險或弱點。SIEM 工具提供儀表板,協助資安專業人員組織並聚焦安全工作,使分析師能及時識別、分析並處理最高優先風險,達成風險降低。但目前仍需人工進行事件分析。

SIEM 工具正持續進化,以支援雲端託管與雲端原生架構。兩者皆由供應商管理,使用者透過網路存取,雲端原生工具則具備更高的可用性、彈性與擴展性。

隨 IoT 裝置普及,攻擊面與需處理的資料量急遽增加。AI/ML 技術進步亦強化 SIEM 在威脅識別、資料視覺化與儲存方面的能力。

導入自動化(如 SOAR)可加速事件回應、減少人力負擔,使資安人員可專注於處理複雜事件。資安平台間的整合與互通也將成為未來發展重點,雖相關技術仍在成熟中。

未來發展重點包含雲端運算、應用整合與自動化。

專有工具 (Proprietary tools)
相對於開源軟體,專有工具由企業擁有並限制原始碼存取,使用者需付費授權,更新與維護需依賴廠商。可自訂功能有限,常見例子包括 Splunk® 與 Google SecOps(Chronicle)。

一項常見誤解是開源工具效能與安全性不如專有工具。實際上,開源專案多已成業界標準,原始碼公開可加速漏洞修補,反而更能降低安全風險。

在資安領域,常見的開源工具包括 Linux 與 Suricata。

Suricata
Suricata 是開源的網路流量分析與威脅偵測工具,用於檢測網路異常行為並產出日誌。可識別來自使用者、主機或 IP 的潛在威脅與弱點。支援與 SIEM 等資安工具整合。

Splunk
Splunk 透過儀表板整合並分析各種日誌資料,協助資安人員全面掌握組織運作狀況。

  • Security posture 儀表板:供 SOC (資安營運中心) 使用,顯示 24 小時內的重大資安事件與趨勢,協助即時監控可疑活動並評估防禦成效。
  • Executive summary 儀表板:呈現組織整體資安狀況與長期趨勢,支援風險分析與策略建議,適用於對高層報告。
  • Incident review 儀表板:辨識事件相關的可疑行為並標示高風險項目,提供視覺化時間軸以協助事件調查。
  • Risk analysis 儀表板:分析使用者、主機或 IP 的風險行為變化,協助評估並優先處理關鍵資產的潛在風險。

Chronicle
Chronicle 是 Google 的雲端原生 SIEM 工具,可依資產、網域、使用者或 IP 進行日誌分析,並提供多項儀表板協助資安監控。

  • Enterprise insights 儀表板:顯示最新警示與可疑網域(即攻擊指標,IOC),標示信賴分數與嚴重性,協助即時掌握高風險行為。
  • Data ingestion and health 儀表板:呈現日誌來源、數量與處理成功率,確認資料正確匯入,確保分析基礎完整。
  • IOC matches 儀表板:觀察與 IOC 符合的高風險活動趨勢,協助分析師鎖定需優先處理的威脅。
  • Main 儀表板:總覽日誌、警示與事件活動,透過時間軸觀察威脅趨勢,如登入異常等行為。
  • Rule detections 儀表板:統計觸發最多的偵測規則與事件,協助制定風險緩解對策與處理重複性事件。
  • User sign in overview 儀表板:監控使用者登入行為,辨識異常登入模式,如同時來自多地登入,減少帳號風險。

指標(Metrics):用於評估軟體應用效能的關鍵技術屬性,例如回應時間、可用性與故障率

安全協同、自動化與回應(SOAR, Security Orchestration, Automation, and Response):一套應用程式、工具與工作流程的集合,透過自動化來處理資安事件

# 運用應變劇本處理資安事件

Playbook 概述

Playbook(應變手冊)是一份定義事件應對流程的標準作業程序,提供預先定義並持續更新的處理步驟。

每份 Playbook 包含策略(定義人員職責與期望)與執行計畫(規範任務完成方式)。此類文件應作為「活文件」,由資安團隊協作更新,以因應產業變化與新興威脅。

更新時機包括:

  • 發現政策、流程或 Playbook 本身存在缺陷。
  • 法規或合規標準發生變更。
  • 攻擊手法與威脅情勢發生演進。

Playbook 類型

Playbook 可針對特定事件與漏洞(如勒索軟體、vishing、BEC 等)進行設計,其中事件與漏洞應變類型最為常見。各組織會依地區法規與合規要求,設計符合自身需求的流程與責任分工。

事件與漏洞應變 Playbook
此類 Playbook 通常依據營運持續計畫(BCP)設計,供初階資安人員使用,提供即時更新的應變步驟,以符合法規與降低錯誤。

事件風險與其發生機率與影響程度相關,因此需即時處置;若涉及取證,須嚴格遵循流程以避免證據失效。

常見步驟包括:

  • 準備 (Preparation)
  • 偵測和分析 (Detection & Analysis): 資安人員運用工具與策略確認是否發生事件,並評估影響程度。
  • 抑制 (Containment): 旨在防止進一步損害,降低即時衝擊。
  • 根除 (Eradication)
  • 復原 (Recovery from an incident)
  • 事後處理與跨部門協調 (Coordination)

Playbook 有助於制度化流程並確保法規遵循。

延伸資源

若擬於非美國地區從事資安工作,建議參考以下國際資源:

  • 英國 NCSC - 事件管理
  • 澳洲政府 - 資安事件應變計畫
  • 日本 JPCERT/CC - 漏洞處理指南
  • 加拿大政府 - 勒索軟體 Playbook
  • 蘇格蘭政府 - Playbook 模板

Playbook 與 SIEM 工具

Playbook 可確保資安事件應變流程一致,無論執行人員為誰,皆依既定步驟處理。內容可含流程圖與表格,亦用於勒索軟體復原。每類事件對應專屬 Playbook,明確定義誰該做什麼、何時執行。

Playbook 常與 SIEM 工具結合使用,例如 SIEM 偵測異常行為時,Playbook 可引導分析人員進行處理。

Playbook 與 SOAR 工具

SOAR 工具可自動化 SIEM 或 MDR (Managed Detection and Response) 觸發的重複性任務。Playbook 搭配 SOAR 可用於自動防禦後的人工處置流程,例如帳號因登入失敗過多而被 SOAR 自動封鎖帳號以防止入侵後,分析人員依照 Playbook 處理後續。