安全行事：管理安全風險

網路安全領域Security domains

您將深入了解 CISSP 的八個安全領域。接著，您會學習到對企業營運的主要威脅、風險和漏洞。此外，您還將探討國家標準與技術研究院 (NIST) 的風險管理框架 (RMF) 以及風險管理的步驟。

Get started with the course

影片：Introduction to Course 2

Ashley 老師自我介紹，她是 Google 安全營運銷售部門的客戶工程導入主管 (Customer Engineering Enablement Lead for Security Operation Sales)。
回顧課程到目前為止的內容：

定義資訊安全 (Security)
探討入門級分析師 (analyst) 的工作職責
分析師需要具備的核心技能和知識
介紹「愛蟲病毒」(LoveLetter) 和「莫里斯蠕蟲」(Morris attacks) 等事件，及其如何推動資訊安全領域的發展
介紹用於降低風險的框架 (framework)、控制 (control) 和 CIA 三要素 (CIA triad)

預告接下來的課程內容：

討論 CISSP (Certified Information Systems Security Professional，資訊系統安全專業認證) 八大安全領域 (security domain)
深入探討安全框架和控制，重點介紹 NIST (美國國家標準與技術研究院) 的風險管理框架 (Risk Management Framework)
探討安全審計 (security audit)，包括內部審計 (internal audit) 的常見要素
介紹一些基本的資訊安全工具 (security tool)，並讓學員有機會探索如何使用這些工具來保護資產 (asset) 和資料，使其免受威脅 (threat)、風險 (risk) 和漏洞 (vulnerability) 的影響。

More about the CISSP security domains

影片：Welcome to module 1

資訊安全 (Cybersecurity) 領域非常廣泛，這門課程將提供你成功駕馭這個領域所需的知識、技能和工具。
你將會學到 CISSP 八大安全領域 (Security Domains) 的重點。
接著會深入探討威脅 (Threats)、風險 (Risks) 和弱點 (Vulnerabilities)。
你也會認識網路的三個層級 (Three Layers of the Web)，並透過一些範例來理解課程中會討論到的不同攻擊類型 (Types of Attacks)。
最後，你將學習如何使用美國國家標準與技術研究院的風險管理架構 (NIST RMF) 來管理風險。
持續學習這些核心知識，將有助於你減輕和管理組織每天面臨的風險和威脅。

影片：Explore the CISSP security domains, Part 1

安全狀態（security posture）是指組織管理其關鍵資產和數據防禦並應變(change)的能力。這就像組織對潛在安全威脅的防禦準備程度。

影片回顧了由國際資訊系統安全認證聯盟 (CISSP) 所定義的八個安全領域中的前四個。這些領域幫助安全團隊組織日常工作、找出潛在的安全漏洞，並建立安全狀態。

前四大安全領域：

安全與風險管理 (Security and Risk Management):

定義安全目標和目標：組織藉由設定明確的目標，可以降低關鍵資產和資料（如個人識別資訊 (PII)）的風險。
風險降低 (Risk Mitigation): 制定適當的程序和規則，以便在發生安全事件（如資料外洩）時迅速採取行動，將損失降到最低。
合規性 (Compliance): 遵循內部安全政策、法規要求和獨立標準，確保組織符合相關法規和最佳實務。
業務持續性 (Business Continuity): 建立災難復原計畫，確保組織在遭遇突發事件時能夠維持日常運作。
法律法規 (Legal Regulations): 了解並遵守全球各地與安全和資料保護相關的法律法規，避免因疏忽、濫用或詐欺行為而面臨法律責任。

資產安全 (Asset Security):

保護數位和實體資產：採取適當的安全措施，保護組織的數位資產（如資料、系統和應用程式）和實體資產（如硬體、設備和設施）。
資料的儲存、維護、保留和銷毀：制定政策和程序，確保資料在整個生命週期中得到妥善管理，包括安全儲存、定期維護、依法保留和安全銷毀。

安全架構與工程 (Security Architecture and Engineering):

優化資料安全：設計和實施安全架構，確保所有系統、網路和應用程式都符合安全標準，並能有效抵禦威脅。
共享責任 (Shared Responsibility): 培養安全意識文化，讓組織中的每個人都了解自身在維護安全方面的責任，並積極參與安全實務。

通訊與網路安全 (Communication and Network Security):

保護實體網路：實施安全措施，保護組織的內部網路免受未經授權的訪問、資料洩露和其他安全威脅。
保護無線通訊：確保所有無線網路都經過適當保護，並使用強大的加密和身份驗證機制，防止未經授權的訪問。
遠端連線安全：為遠端員工提供安全連線選項，例如虛擬私人網路 (VPN)，以保護敏感資料在傳輸過程中的安全。

影片：Explore the CISSP security domains, Part 2

影片介紹了八個安全領域 (Security Domains) 中的最後四個：

身分辨識與存取管理 (Identity and Access Management, IAM)：確保只有授權使用者才能存取特定資料和資源，以降低風險。這部分也說明了 IAM 的四個主要組成部分：

識別 (Identification)：使用者透過提供使用者名稱、存取卡或生物識別資料（例如指紋）來驗證自己的身份。
驗證 (Authentication)：驗證使用者身份的過程，例如輸入密碼或 PIN 碼。
授權 (Authorization)：在確認使用者身份後進行，與其存取級別相關，具體取決於其在組織中的角色。
責任 (Accountability)：監控和記錄使用者操作，例如登入嘗試，以證明系統和資料得到正確使用。

安全評估與測試 (Security Assessment and Testing)：透過安全控制測試、資料收集與分析以及安全稽核來識別並減輕風險、威脅和漏洞。
安全營運 (Security Operations)：著重於事件調查和預防措施的實施，包含事件發生時的應變、調查取證以及持續改進。
軟體開發安全 (Software Development Security)：強調在軟體開發生命週期 (Software Development Lifecycle) 的每個階段都融入安全實務，例如安全程式碼審查和滲透測試，以確保軟體的安全性。

閱讀：Security domains cybersecurity analysts need to know

八大 CISSP 資訊安全網域 (Security Domains)

這份資料主要介紹了 CISSP 認證定義的八個資訊安全網域，涵蓋了資訊安全分析師所需了解的各個面向：

網域一：安全與風險管理 (Security and Risk Management)

建立和維護組織的資安狀態 (Security Posture)
制定資安目標、風險減輕流程、合規性政策、商業持續性計畫等
資訊安全 (InfoSec) 的設計與實施，例如事件應變、弱點管理等

網域二：資產安全 (Asset Security)

管理組織的有形和虛擬資產，包括儲存、維護、保留和銷毀
進行安全影響分析、建立復原計畫、管理資料外洩風險

網域三：安全架構與工程 (Security Architecture and Engineering)

設計和維護資料安全工具、系統和流程
強調共同責任 (Shared Responsibility) 和最小權限原則 (Principle of Least Privilege)

網域四：通訊與網路安全 (Communication and Network Security)

保護實體和無線網路，包括現場、遠端和雲端環境
設計網路安全控制措施，例如限制網路存取

網域五：身分辨識與存取管理 (Identity and Access Management, IAM)

確保只有授權使用者才能存取資產和資料
使用最小權限原則，僅授予完成任務所需的最低限度權限

網域六：安全評估與測試 (Security Assessment and Testing)

識別和減輕風險、威脅和弱點
進行安全評估、滲透測試、安全控制測試和安全稽核

網域七：安全營運 (Security Operations)

調查潛在的資料外洩事件並在事件發生後採取預防措施
使用各種策略、流程和工具，例如訓練、報告、入侵偵測和事件管理

網域八：軟體開發安全 (Software Development Security)

使用安全的程式設計實務和準則來建立安全的應用程式
在軟體開發生命週期的每個階段都納入安全性考量

影片：Ashley: My path to cybersecurity

Ashley 在 Google 擔任 SecOps 銷售部門的 CE Enablement Lead（客戶工程師賦能主管）。她的職責是為支援 Google 產品的客戶工程師安排培訓。
Ashley 從小就對科技感興趣，但她的職業道路並非一帆風順。她在高中時表現不佳，輟學加入了軍隊。
Ashley 在軍隊中接受了 IT 方面的再培訓，這為她之後的科技職業生涯奠定了基礎。退伍後，她做過各種工作，最終在社區大學找到了網路安全相關的學位課程。
參加 DEFCON 黑客大會讓 Ashley 找到了方向，意識到自己想在網路安全領域發展。
Ashley 在 2017 年獲得了第一份安全分析師的工作。她在前公司參加了一個退伍軍人培訓計畫，並在培訓結束後被錄用。
Ashley 強調，即使沒有傳統的計算機科學背景，也可以在網路安全領域取得成功。軟技能，例如團隊合作、溝通和分析能力，在這個領域同樣重要。
Ashley 鼓勵對網路安全感興趣的人不要害怕跳脫框架思考，尋找進入這個領域的機會。

Navigate threats, risks, and vulnerabilities

影片：Threats, risks, and vulnerabilities

資產 (Asset)：對組織具有價值的項目，例如實體辦公室空間、電腦、客戶的 個人識別資訊 (PII)、智慧財產權（例如專利或受版權保護的數據）等等。
威脅 (Threat)：任何可能對資產產生負面影響的情況或事件。影片中舉例說明了 社會工程攻擊 (Social Engineering)，尤其是 網路釣魚 (Phishing)。
風險 (Risk)：威脅發生的可能性，會影響資產的 機密性 (Confidentiality)、完整性 (Integrity) 或可用性 (Availability)。組織通常會根據潛在威脅和資產價值將風險評估為低、中、高三種等級。
弱點 (Vulnerability)：可能被威脅利用的弱點。舉例來說，過時的防火牆、軟體或應用程式；弱密碼；或未受保護的機密數據。人員也可能被視為一種弱點。

影片強調，入門級安全分析師需要了解這些概念，並採取措施來減輕威脅、風險和弱點，以保護組織的資產。

影片：Key impacts of threats, risks, and vulnerabilities

勒索軟體 (Ransomware) 是一種惡意軟體，攻擊者會加密組織的資料，然後要求付款以恢復存取權。

勒索軟體攻擊的影響：

凍結網路系統
讓設備無法使用
加密或鎖定機密資料

攻擊者會要求贖金才提供 解密金鑰 (decryption key) 來解密資料。

影片也簡要介紹了網路的三個層級：

表面網路 (surface web): 大多數人使用的網路層級，可以使用網路瀏覽器存取。
深網 (deep web): 需要授權才能存取的網路層級，例如公司內部網路。
暗網 (dark web): 只能使用特殊軟體存取的網路層級，通常與非法活動有關。

威脅、風險和漏洞的三個主要影響：

財務影響 (financial impact)：例如業務中斷、修復成本、罰款。
身分盜竊 (identity theft)：例如竊取和洩露 個人識別資訊 (PII)。
聲譽損害 (damage to reputation)：例如失去客戶、負面新聞。

組織應採取適當的安全措施來防止威脅、風險和漏洞的重大影響。

影片：Herbert: Manage threats, risks, and vulnerabilities

赫伯特 (Herbert) 是一位在 Google 擔任資安工程師 (Security Engineer)。
他分享了自己從小就對電腦安全感興趣，並從中學時期開始接觸電腦操作。
他目前的工作內容包含分析資安風險 (security risks) 並提出解決方案 (solutions)。
資安分析師 (cybersecurity analysts) 的日常工作包含處理例外請求 (exceptions requests)，例如：分析員工是否真的需要特殊權限才能使用某些裝置或文件。
他提到常見的資安威脅 (threats) 包含系統設定錯誤 (misconfigurations) 和不必要的權限請求。
他舉例近期遇到的案例：廠商更改 OAuth 授權範圍 (OAuth scope requests)，導致他們要求更多使用 Google 服務的權限。
另一個常見問題是過時的系統 (outdated systems) 缺乏適當的裝置管理政策 (device management policies)。
他強調團隊合作 (working with a team) 的重要性，並表示良好的溝通對於完成工作至關重要。
最後，他分享了自己的職涯歷程，鼓勵大家只要努力，夢想皆有可能實現。

影片：NIST’s Risk Management Framework

美國國家標準與技術研究院 (NIST) 提供許多架構，供資安 (security) 專業人員用來管理風險 (risks)、威脅 (threats) 和弱點 (vulnerabilities)。
NIST 風險管理架構 (RMF) 有七個步驟：

準備 (Prepare)：在發生安全事件之前，你需要採取一些活動來管理資安和隱私風險。
分類 (Categorize)：發展風險管理流程 (processes) 和任務 (tasks)，並思考機密性 (confidentiality)、完整性 (integrity) 和可用性 (availability) 如何受到風險影響。
選擇 (Select)：選擇、客製化和記錄用於保護組織的控制措施 (controls)。
實施 (Implement)：為組織實施資安和隱私計畫 (plans)。
評估 (Assess)：確定已建立的控制措施是否已正確實施。
授權 (Authorize)：對組織中可能存在的資安和隱私風險負責。
監控 (Monitor)：隨時了解系統的運作方式，並評估和維護技術操作 (technical operations)。

閱讀：Manage common threats, risks, and vulnerabilities

風險管理（Risk Management）: 組織（Organization）的首要目標是保護資產（Asset）。資產是指對組織具有價值的項目，可以是數位資產（Digital Asset）或實體資產（Physical Asset）。

數位資產範例如員工、客戶或供應商的個人資訊，包括身分證字號、出生日期、銀行帳號、郵寄地址等。
實體資產範例如付款亭、伺服器、桌上型電腦、辦公空間等。

常見風險管理策略:

接受風險（Acceptance）：接受風險以避免業務中斷。
規避風險（Avoidance）：制定計畫以完全避免風險。
轉移風險（Transference）：將風險轉移給第三方管理。
減輕風險（Mitigation）：減輕已知風險的影響。

常見資安威脅（Threat）:

內部威脅（Insider Threat）：員工或供應商濫用其授權存取權限以獲取可能損害組織的數據。
進階持續性威脅（Advanced Persistent Threats，APT）：威脅行為者長時間維持對系統的未經授權存取。

風險（Risk）: 任何可能影響資產機密性（Confidentiality）、完整性（Integrity）或可用性（Availability）的因素。

風險的程度等於威脅發生的可能性。
影響風險可能性的因素：

外部風險（External Risk）：組織外部任何可能損害組織資產的因素，例如試圖獲取私人資訊的威脅行為者。
內部風險（Internal Risk）：構成安全風險的現任或前任員工、供應商或信任的合作夥伴。
舊版系統（Legacy System）：可能未被計算在內或更新的舊系統，但仍可能影響資產，例如工作站或舊的大型主機系統。
多方風險（Multiparty Risk）：將工作外包給第三方供應商可能會讓他們獲得智慧財產權，例如商業機密、軟體設計和發明。
軟體合規性/授權（Software Compliance/Licensing）：未更新或不合規的軟體，或未及時安裝的修補程式。
有許多資源，例如 NIST，提供了網路安全風險的清單。此外，開放式網頁應用程式安全計畫 (OWASP) 定期發布一份關於網頁應用程式 十大最具關鍵性安全風險 的標準認知文件，並且會定期更新。
註：OWASP 的常見攻擊類型清單中，從 2017 年到 2021 年新增了三項風險：不安全設計、軟體與資料完整性失敗，以及伺服器端請求偽造。此更新強調了安全領域的不斷發展，並展現了了解最新威脅行為者策略和技術的重要性，這樣才能更好地準備應對這些類型的風險。

弱點（Vulnerability）: 可被威脅利用的弱點。

組織需要定期檢查系統中的弱點。

Review: Security domains

影片：Wrap-up

首先，我們探討了 CISSP 八大安全領域 (Security Domains) 的重點。
接著，我們討論了威脅 (Threats)、風險 (Risks) 和弱點 (Vulnerabilities)，以及它們如何影響組織。這包括深入檢視勒索軟體 (Ransomware) 和介紹網路的三個層級。
最後，我們重點介紹了 NIST 風險管理架構 (Risk Management Framework, RMF) 的七個步驟。

您在安全分析師工具包中添加新知識方面做得非常出色！在接下來的影片中，我們將更詳細地介紹入門級安全分析師使用的一些常用工具。然後，您將有機會分析這些工具產生的數據，以識別風險、威脅或弱點。您還將有機會使用劇本 (Playbook) 來應對事件。

搜尋此網誌

Jason's Blog

網路安全領域（Security domains）