防範威脅、風險與漏洞(Protect against threats, risks, and vulnerabilities)

-

防範威脅、風險與漏洞

Protect against threats, risks, and vulnerabilities

您將學習有關安全框架與控制措施,這些措施用於減輕組織風險。您將涵蓋 CIA 三元組的原則以及各種國家標準與技術研究院 (NIST) 的框架。此外,您還將探討安全倫理。


Frameworks and controls

影片:Welcome to module 3

  • 本影片說明組織如何保護自身免於威脅 (threats)、風險 (risks) 和弱點 (vulnerabilities)。
  • 影片以花園比喻,說明安全性 (security) 如同維護花園,需要持續改善策略和程序來保護組織。
  • 介紹安全框架 (security frameworks) 和控制 (controls) 的重要性,以及它們的核心組成部分和具體範例。
  • 說明機密性 (Confidentiality)、完整性 (Integrity) 和可用性 (Availability) 三要素 (CIA Triad) 的概念。
  • 最後討論安全倫理 (ethics) 並分享安全領域中值得注意的倫理問題。

影片:Introduction to security frameworks and controls

  • 資訊安全框架 (Security frameworks) 是用來建立計畫以降低數據和隱私風險和威脅的準則。
  • 資訊安全框架提供了一個結構化的方法來實施安全生命週期 (security lifecycle)。
  • 安全生命週期是一組不斷發展的政策和標準,定義了組織如何管理風險、遵循既定準則並滿足法規遵循(regulatory compliance)或法律。
  • 資訊安全框架的四個核心組成部分:
    • 識別和記錄安全目標
    • 制定實現安全目標的準則
    • 實施強大的安全流程
    • 監控和傳達結果
  • 安全控制 (Security controls) 是為了降低特定安全風險而設計的防護措施。

影片:Secure design

  • 資訊安全鐵三角 (CIA triad) 是確保資訊安全的重要模型,包含:
    • 機密性 (Confidentiality):確保只有授權人員可以存取資料。
    • 完整性 (Integrity):確保資料正確、真實且可靠。
    • 可用性 (Availability):確保資料在需要時可被授權人員使用。
  • 資產 (Asset) 是指對組織有價值的項目,例如儲存敏感資料的應用程式。
  • 美國國家標準與技術研究院 (NIST) 制定的網路安全框架 (Cybersecurity Framework, NIST CSF) 提供了管理網路安全風險的標準、準則和最佳實務。
  • 了解攻擊者的動機和組織中最有價值的資產對於降低風險至關重要。
  • 內部員工可能是最危險的威脅來源之一,因為他們可能擁有對敏感資訊的存取權。
  • 多元化的資安團隊有助於從不同角度識別和減輕惡意活動的影響。

閱讀:Controls, frameworks, and compliance

  • 本文旨在說明安全框架 (Security Frameworks)、控制 (Controls) 和合規性法規 (Compliance Regulations) 如何協同運作,以管理安全性並確保降低風險。
  • 文章以機密性 (Confidentiality)、完整性 (Integrity) 和可用性 (Availability) 三元組(CIA Triad)為基礎,強調其作為網路安全專業人員建立適當控制措施的重要性,以減輕威脅、風險和漏洞。
  • 文章介紹了多種安全框架、控制和合規性標準,包含:
    • NIST Cybersecurity Framework (CSF)
    • NIST Risk Management Framework (RMF)
    • FERC-NERC (Federal Energy Regulatory Commission - North American Electric Reliability Corporation)
    • FedRAMP® (Federal Risk and Authorization Management Program)
    • CIS® (Center for Internet Security)
    • GDPR (General Data Protection Regulation)
    • PCI DSS (Payment Card Industry Data Security Standard)
    • HIPAA (Health Insurance Portability and Accountability Act)
    • HITRUST® (Health Information Trust Alliance)
    • ISO (International Organization for Standardization)
    • SOC 1 & SOC 2 (System and Organizations Controls)
  • 強調持續關注最新法規和標準的重要性,例如 Gramm-Leach-Bliley Act 和 Sarbanes-Oxley Act。
  • 提及美國總統行政命令 14028 (United States Presidential Executive Order 14028)及其對改善國家網路安全的重要性。

影片:Heather: Protect sensitive data and information

  • 影片講述個人識別資訊 (Personally Identifiable Information, PII) 的重要性,以及保護 PII 的方法。
  • 隨著網路越來越發達,保護 PII 的方式也越來越複雜。
  • 在收集或處理 PII 時,需要了解相關法規和義務。
  • 若企業未盡到保護 PII 的責任,可能會面臨以下後果:
    • 政府介入調查
    • 顧客質疑和不信任
    • 法律訴訟
  • 可以透過政府網站或法律諮詢來了解各地區關於 PII 的相關法規。


Ethics in cybersecurity

影片:Ethics in cybersecurity

  • 在資訊安全 (Cybersecurity) 領域中,新科技帶來了新的挑戰。
  • 身為一個資安人員,你必須要秉持職業道德,做出正確的決策。
  • 影片中提到了三個重要的道德準則:
    • 機密性 (Confidentiality):保護機密資訊,例如個人識別資訊 (PII)。
    • 隱私保護 (Privacy Protections):保護個人資訊不被未經授權的使用。
    • 法律 (Law):遵守相關法律法規。
  • 影片中也舉例說明了違反這些道德準則可能會導致的後果,例如紀律處分、失去專業聲譽,甚至面臨法律責任。
  • 最後提醒,科技不斷演進,攻擊者的策略和技術也日新月異,資安人員必須持續思考如何應對攻擊,並堅守道德準則,才能有效降低風險。

閱讀:Ethical concepts that guide cybersecurity decisions

  • 本文探討網路安全 (Cybersecurity) 領域的道德 (Ethics)議題,特別是關於反擊 (Counterattack) 的倫理與法律規範。
  • 在美國,對網路攻擊者進行反擊是違法的,因為這被視為私刑行為,可能會導致攻擊升級,造成更大的損害。
  • 國際法庭 (International Court of Justice, ICJ) 對於反擊有嚴格的規範,只有在特定條件下才被允許。
  • 由於反擊通常不被允許或違法,網路安全領域建立了許多框架和控制措施,例如機密性、完整性和可用性三元組 (Confidentiality, Integrity, Availability, CIA triad),用於解決機密性、隱私保護和法律問題。
  • 網路安全專業人員有道德義務保護組織、其內部基礎設施和相關人員。他們必須公正、誠實、負責任地開展工作,並始終尊重法律。

影片:Holly: The importance of ethics as a cybersecurity professional

  • Holly,一位 Google Cloud 的雲端安全架構師 (Cloud Security Architect),分享了她在網路安全 (Cybersecurity) 領域的經驗。
  • 她強調證照 (Certifications) 的重要性,特別是在缺乏相關經驗的情況下,證照能為求職者增加信譽。
  • 道德 (Ethics) 是網路安全的核心 (Crux)。網路安全專業人員應具備高度的道德標準。
  • 她以自身經驗說明,即使面對上級壓力,也應堅守道德原則,不輕易妥協。
  • 網路安全專業人員扮演著保護企業、用戶和組織免受網路犯罪 (Cyber Crimes) 侵害的重要角色,這是一份很有意義的工作。


Review: Protect against threats, risks, and vulnerabilities 

影片:Wrap-up

  • 介紹資安框架(Security Frameworks)和控制措施(Controls),以及如何利用它們來制定保護組織和人員的流程和程序。
  • 探討框架的核心組成部分,例如:
    • 識別安全目標(Security Goals)。
    • 建立實現目標的準則(Guidelines)。
  • 介紹了一些常用的框架和控制措施,包含:
    • CIA 三元模型(CIA Triad)。
    • NIST 網路安全框架(NIST CSF)。
  • 討論資安倫理(Security Ethics),包含常見的倫理議題,例如:
    • 機密性(Confidentiality)。
    • 隱私保護(Privacy Protections)。
    • 法律規範(Laws)。

留言

張貼留言

這個網誌中的熱門文章

[RPA Starter]Introduction to the UiPath Enterprise Platform

-
圖片
https://academy.uipath.com/learningpath-viewer/1555/1/154204/2 L1.關於這個模塊 你現在熟悉RPA了。現在是時候瞭解一下UiPath在RPA領域提供了什麼。 學習目標 在本單元結束時,您應該能够: 1將UiPath解決方案與RPA旅程的每個步驟相匹配; 2描述每個UiPath解決方案的關鍵功能。 L2.UiPath企業RPA平臺概述 組織中通過RPA實現自動化可以從兩個方向進行。根據我們的經驗,最好把它們結合起來: 公司驅動的方法 一個專門的團隊(RPA卓越中心)通過以下管道集中管理自動化過程: 使用專業工具和方法尋找最佳的自動化過程; 驅動自動化迴圈的每一步。 以員工為導向的方法 每個員工都可以通過以下方式實現自動化: 檢查他們的工作並提出自動化建議; 記錄他們擅長的流程; 開發自動化。 UiPath Enterprise RPA平臺將在整個自動化旅程中為您提供支援。.  觀看下面的視訊,瞭解如何: 我們是UiPath,我們使用數字機器人實現工作自動化。 我們稱之為機器人過程自動化或RPA。 - Hyperautomation Journey -超自動化之旅 那麼你的自動化之旅在哪裡呢? 您是否計劃在您的組織中擴充套件RPA或首次實施它? 或者您是作為個人貢獻者在這裡,瞭解有關超自動化的更多資訊? - Implementation and Scaling -實施和擴充套件 無論您在自動化之旅的哪個階段,讓我們來討論一下實施和擴充套件RPA。 在此期間,我們可以看到正確的解決方案如何防止陷阱並解決自動化最常見的挑戰。 - Hyperautomation Journey -超自動化之旅 對於初學者,您必須知道RPA實施的步驟與任何IT專案沒有太大不同。 簡單地說,自動化必須被1發現、2堅實地構建、3有效地管理、4可靠地執行,5與人類使用者靈活接觸,以及6測量準確。 為什麼這一切都很重要? 嗯,這是一個多米諾骨牌效應;如果這些步驟中的任何一個管理不當,一切都可能分崩離析。 - Main ingredients of managing change -管理變革的主要要素 請記住,RPA意味著更改。 處理不好的變化可能會遇到阻力。 我們認為,在管理變革的核心,有三個主要因素: 1使RPA民主化,...
閱讀完整內容

安全框架和控制(Security frameworks and controls)

-
安全框架和控制 Security frameworks and controls 您將專注於安全框架與控制措施,並深入了解機密性、完整性和可用性 (CIA) 三元組的核心組成部分。您將學習開放網頁應用程式安全計畫 (OWASP) 的安全原則以及安全審核。 More about frameworks and controls 影片:Welcome to module 2 影片主要在說明網路安全分析師 (Security Analyst) 的重要性,他們的工作不僅僅是保護組織,更重要的是保護人們的安全。 資料外洩會影響客戶、供應商和員工,造成財務和聲譽上的損害。 網路安全分析師的日常工作就是透過安全框架 (Security Frameworks)、控制 (Controls) 和設計原則來保護組織和人們。 影片中以 Google 為例,提到 Google 使用 NIST Cybersecurity Framework 來確保客戶工具和個人工作設備的安全性和合規性。 接下來的課程將會更詳細地探討安全框架、控制措施和設計原則,以及如何將它們應用於安全審核,保護組織和個人安全。 影片:Frameworks 影片在討論安全框架 (Security Frameworks) 的重要性。 組織運用各種計畫來防範威脅 (threats)、風險 (risks) 和弱點 (vulnerabilities)。 安全框架能幫助組織建立計畫,降低資料和隱私方面的風險。 人員是安全 (security) 的最大威脅。 員工訓練 (employee training) 有助於降低資安風險。 影片:Controls 影片在討論如何使用控制措施 (controls) 來降低資安風險。 框架 (frameworks) 用於制定計畫來處理資安風險、威脅和弱點,而 控制措施 (controls) 則是用於降低特定風險。 加密 (Encryption) 是將資料從可讀格式轉換為編碼格式的過程,能保護敏感資料的機密性。 驗證 (Authentication) 是驗證某人或某事物身分的過程,例如使用使用者名稱和密碼登入網站。 授權 (Authorization) 是指授予存取系統內特定資源的權限的概念,確保只有獲得授權的人才能存取特定資源。 影片中也提到了生物辨識 (biometrics) 和網路釣魚 (vish...
閱讀完整內容

網路架構(Network architecture)

-
Connect and Protect: Networks and Network Security 網路架構 Network architecture 您將會接觸到網路安全,並解釋其如何與持續存在的安全威脅與漏洞相關。您將學習網路架構以及保障網路安全的機制。 學習目標: 1. 定義網路類型。 2. 描述網路的實體元件。 3. 了解 TCP/IP 模型如何提供網路通訊的框架。 4. 解釋資料如何在網路上傳送與接收。 5. 說明網路架構。 Get started with the course 影片:Introduction to Course 3 這個影片介紹了網路安全以及課程內容。影片提到網路攻擊越來越頻繁且複雜,因此網路安全變得非常重要。課程會涵蓋網路架構(Network Architecture)、網路工具、網路操作(Network Operations)以及網路協定(Network Protocol)。接著會介紹常見的網路攻擊(Network Attack)以及如何防範網路入侵(Network Intrusion)。最後則會概述網路安全強化(Security Hardening)的實用方法。 
閱讀完整內容