安全框架和控制(Security frameworks and controls)

-

安全框架和控制
Security frameworks and controls

您將專注於安全框架與控制措施,並深入了解機密性、完整性和可用性 (CIA) 三元組的核心組成部分。您將學習開放網頁應用程式安全計畫 (OWASP) 的安全原則以及安全審核。

More about frameworks and controls

影片:Welcome to module 2

影片主要在說明網路安全分析師 (Security Analyst) 的重要性,他們的工作不僅僅是保護組織,更重要的是保護人們的安全。

  • 資料外洩會影響客戶、供應商和員工,造成財務和聲譽上的損害。
  • 網路安全分析師的日常工作就是透過安全框架 (Security Frameworks)、控制 (Controls) 和設計原則來保護組織和人們。
  • 影片中以 Google 為例,提到 Google 使用 NIST Cybersecurity Framework 來確保客戶工具和個人工作設備的安全性和合規性。

接下來的課程將會更詳細地探討安全框架、控制措施和設計原則,以及如何將它們應用於安全審核,保護組織和個人安全。

影片:Frameworks

影片在討論安全框架 (Security Frameworks) 的重要性。

  • 組織運用各種計畫來防範威脅 (threats)、風險 (risks) 和弱點 (vulnerabilities)。
  • 安全框架能幫助組織建立計畫,降低資料和隱私方面的風險。
  • 人員是安全 (security) 的最大威脅。
  • 員工訓練 (employee training) 有助於降低資安風險。

影片:Controls

影片在討論如何使用控制措施 (controls) 來降低資安風險。

  • 框架 (frameworks) 用於制定計畫來處理資安風險、威脅和弱點,而 控制措施 (controls) 則是用於降低特定風險。
  • 加密 (Encryption) 是將資料從可讀格式轉換為編碼格式的過程,能保護敏感資料的機密性。
  • 驗證 (Authentication) 是驗證某人或某事物身分的過程,例如使用使用者名稱和密碼登入網站。
  • 授權 (Authorization) 是指授予存取系統內特定資源的權限的概念,確保只有獲得授權的人才能存取特定資源。

影片中也提到了生物辨識 (biometrics) 和網路釣魚 (vishing) 等與資安相關的概念,並簡單介紹了 CIA 資訊安全鐵三角模型 (CIA triad)。

  • 網路釣魚 (Phishing) 和語音網路釣魚 (Vishing) 都是社交工程攻擊的形式,但它們利用不同的溝通管道來欺騙受害者。
    • 網路釣魚 (Phishing):  網路釣魚通常透過電子郵件、簡訊或社群媒體訊息等文字形式進行。攻擊者會偽裝成可信任的實體,例如銀行、政府機構或知名公司,誘騙受害者點擊惡意連結、下載惡意軟體或洩露個人資訊。
    • 語音網路釣魚 (Vishing): 語音網路釣魚則利用電話進行攻擊。攻擊者會假冒銀行人員、技術支援人員或其他可信任的角色,透過電話誘騙受害者提供敏感資訊,例如信用卡號碼、帳戶密碼或社會安全號碼。
  • 總之,網路釣魚和語音網路釣魚的主要區別在於它們使用的溝通管道:網路釣魚使用文字,而語音網路釣魚使用語音。但兩者都是為了欺騙受害者並竊取他們的個人資訊。

閱讀:The relationship between frameworks and controls

這個資料主要在討論如何使用資安框架 (Security Frameworks) 和控制措施 (Security Controls) 來降低組織的資安風險。

  • 資安框架 (Security Frameworks):提供組織一套指引,幫助建立降低風險和威脅的計畫,並確保符合法規遵循 (Compliance) 的要求。例如,醫療產業使用 HIPAA (Health Insurance Portability and Accountability Act) 框架來保護病患資訊安全。
  • 資安控制措施 (Security Controls):用於降低特定資安風險的防護措施。例如,多因素驗證 (MFA, Multi-Factor Authentication) 就是一種常見的控制措施,可以用來驗證身分,降低資料遭到威脅的風險。
資料中提到了幾個重要的框架和控制措施:
  • 框架 (Frameworks):
    • 網路威脅框架 (CTF, Cyber Threat Framework):由美國政府開發,提供一個描述和溝通網路威脅活動的通用語言,幫助資安專業人員更有效率地分析和分享資訊。
    • ISO/IEC 27001:國際標準化組織 (ISO, International Organization for Standardization) 制定,提供資訊安全管理系統的要求、最佳實務和控制措施,幫助組織管理風險。
  • 控制措施 (Controls):
    • 實體控制 (Physical Controls):例如門禁、警衛、監視器等。
    • 技術控制 (Technical Controls):例如防火牆、多因素驗證、防毒軟體等。
    • 管理控制 (Administrative Controls):例如職責分離、授權、資產分類等。

總之,資安框架和控制措施是組織建立資安防護的基礎,透過實施這些措施,組織可以降低風險、保護重要資產,並確保符合相關法規的要求。 

The CIA triad: Confidentiality, integrity, and availability

影片:Explore the CIA triad

影片在說明 CIA Triad (CIA 三要素),這是資安領域中的一個重要模型。

  • Confidentiality (機密性): 只有被授權的使用者才能夠存取特定資訊或資料。
  • Integrity (完整性): 資料必須正確、真實且可靠。
  • Availability (可用性): 資料必須在需要時,提供給被授權的使用者存取。

影片中也用銀行作為例子,說明如何應用 CIA Triad 來保護客戶的個資和金融資訊。

  • 機密性、完整性、可用性 (CIA) 三元組是一個模型,協助組織在設置系統和制定安全政策時考量風險(Risk)

閱讀:Use the CIA triad to protect organizations

閱讀資料在說明網路安全分析師如何應用「機密性」、 「完整性」 和「可用性」三元素,也就是所謂的 CIA 模型,來保護組織的系統和資料安全。

  • 機密性 (Confidentiality): 確保只有授權的使用者才能夠存取特定的資訊或系統。
  • 完整性 (Integrity): 確保資料是準確、真實且可靠的,沒有被竄改。
  • 可用性 (Availability): 確保資料在需要時可以被授權的使用者存取。

網路安全分析師會利用 CIA 模型來設計和實施安全策略,以建立一個安全的網路環境,並保護組織的重要資產和資料。

NIST frameworks

影片:NIST frameworks

影片主要在介紹網路安全的框架(framework)。

  • 組織運用框架來制定計畫,以降低敏感資料和資產的風險(risks)、威脅(threats)和弱點(vulnerabilities)。
  • NIST(美國國家標準與技術研究院,National Institute of Standards and Technology)制定了許多安全規範,其中兩個重要的框架分別是:
    • NIST Cybersecurity Framework(CSF):適用於各種組織,包含營利事業、非營利事業和政府機關。
    • NIST SP 800-53:專注於保護美國聯邦政府資訊系統的安全。
  • NIST CSF 的五個核心功能:識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)和復原(Recover)。影片中也用一個員工使用受感染手機充電的例子,說明了這五個功能如何應用在實際情況中。

總而言之,了解 NIST CSF 對於大多數的資安人員來說非常重要,而 NIST SP 800-53 則是想進入美國聯邦政府工作的人需要熟悉的框架。

影片:Explore the five functions of the NIST Cybersecurity Framework

這個影片主要在講解 NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) 的五個核心功能,它可以幫助企業組織管理網路安全風險。

NIST CSF 的五個核心功能:

  • Identify (識別): 找出組織內部的人員和資產所面臨的網路安全風險。
  • Protect (保護): 制定策略並實施相關政策、程序、訓練和工具來保護組織,降低網路安全威脅。
  • Detect (偵測): 找出潛在的資安事件並提升監控能力,以更快更有效率地偵測威脅。
  • Respond (回應): 確保使用正確的程序來控管、消除和分析資安事件,並改善安全流程。
  • Recover (復原): 將受影響的系統恢復到正常運作狀態的過程。

OWASP principles and security audits

影片:OWASP security principles

影片主要在講解 OWASP (Open Web Application Security Project) 的安全原則,這些原則可以幫助資安分析師 (security analyst) 保護組織的資料和資產。以下幫您整理重點:

  • 減少攻擊面 (Minimize Attack Surface): 盡量減少潛在的攻擊管道 (attack vectors),例如釣魚郵件 (phishing emails) 和弱密碼 (weak passwords)。
  • 最小權限原則 (Principle of Least Privilege): 只給予使用者執行日常任務所需的最低限度權限,降低資安漏洞帶來的損害。
  • 縱深防禦 (Defense in Depth): 建立多層次的安全控制 (security controls),例如多重身分驗證 (multi-factor authentication, MFA)、防火牆 (firewalls) 等,增加攻擊者入侵的難度。
  • 職責分離 (Separation of Duties): 避免單一使用者擁有過多權限,防止詐欺或非法活動的發生。
  • 保持安全措施簡潔 (Keep Security Simple): 避免過於複雜的安全控制,方便管理和團隊合作。
  • 正確修復安全問題 (Fix Security Issues Correctly): 發生資安事件時,應找出根本原因並修復漏洞,並進行測試確保修復成功。

閱讀:More about OWASP security principles

OWASP (Open Worldwide Application Security Project®) 安全原則是一套指導方針,幫助開發者建立更安全的應用程式。這些原則提供一個框架,讓開發者可以思考並解決各種安全問題。

文章提到的 OWASP 安全原則:

  • 最小化攻擊面 (Minimize attack surface area): 減少應用程式中可能被攻擊者利用的漏洞數量。
  • 最小權限原則 (Principle of least privilege): 使用者只擁有執行必要任務所需的最低權限。
  • 縱深防禦 (Defense in depth): 使用多層次的安全控制措施來降低風險和威脅。
  • 職責分離 (Separation of duties): 重要操作應該由多個人共同完成,每個人都遵循最小權限原則。
  • 保持安全簡單 (Keep security simple): 避免不必要的複雜解決方案,因為複雜性會增加安全風險。
  • 正確修復安全問題 (Fix security issues correctly): 當安全事件發生時,找出根本原因、控制影響範圍、識別漏洞並進行測試以確保修復成功。
  • 建立安全的預設值 (Establish secure defaults): 應用程式的預設狀態應該是安全的,需要額外操作才能使其變得不安全。
  • 安全地失敗 (Fail securely): 當控制措施失效或停止時,應該預設為最安全的選項。例如,當防火牆失效時,應該關閉所有連線並阻止所有新連線,而不是開始接受所有連線。
  • 不要信任服務 (Don't trust services): 許多組織與第三方合作夥伴合作,這些外部合作夥伴通常有不同的安全策略。組織不應該完全信任合作夥伴的系統是安全的。
  • 避免隱晦的安全 (Avoid security by obscurity): 關鍵系統的安全性不應該依賴於隱藏細節。

重點:

網路安全專業人員不斷應用安全原則來保護組織和人們。作為一名入門級安全分析師,你可以使用這些安全原則來促進安全的開發實務,從而降低公司和使用者的風險。

影片:Wajih: Stay up-to-date on the latest cybersecurity threats

影片中,在 Google 數位鑑識部門工作的資安工程師 Wajih (Security Engineer) 分享了他的職涯歷程。

  • 不需要資安背景:Wajih 以前在水上樂園和電影院工作,大學一開始還主修生物。
  • 保持更新的策略:他主要透過閱讀線上論壇(例如 Medium)的文章來了解最新的資安趨勢,並建議想建立人脈的人參加相關會議。
  • 給想進入資安領域者的建議:
    • 不要試圖一次就了解所有資安專業,可以先專注於幾個感興趣的領域。
    • 不要因為別人的話而卻步,只要掌握好基礎並堅持下去,就能成功!

影片:Plan a security audit

影片在討論內部安全稽核(Internal Security Audit)。

  • 內部安全稽核的目的是改善組織的安全狀況並確保符合規範,避免因為不合規而被罰款。
  • 稽核範圍(Scope)包含識別人員、資產、政策、程序和技術。
  • 稽核目標(Goals)則列出組織想要達成的安全目標,例如實作 NIST CSF 框架的核心功能、建立政策和程序以確保合規性,以及加強系統控制。
  • 風險評估(Risk Assessment)著重於識別潛在威脅、風險和漏洞,例如影片中的範例提到缺乏對實體和數位資產的妥善管理。

影片:Complete a security audit

影片在討論內部安全稽核(Internal Security Audit)的最後幾個步驟:

  • 控制措施評估(Controls Assessment):
    • 行政控制(Administrative Controls):與人員操作相關的安全措施,例如密碼政策。
    • 技術控制(Technical Controls):利用軟硬體保護資產,例如入侵偵測系統(IDS)和加密技術。
    • 實體控制(Physical Controls):防止實體入侵的措施,例如監視器和門鎖。
  • 合規性評估(Compliance Assessment):確認組織是否遵守相關法規,例如歐盟的 GDPR 和 PCI DSS。
  • 結果溝通(Communication):將稽核結果和建議傳達給利害關係人,包括風險程度、合規性問題和改進建議。

影片中也提到,之後的課程會讓學員有機會實際操作內部安全稽核,並將成果放入作品集,這對未來求職非常有幫助!

閱讀:More about security audits

  • 安全稽核(Security Audit): 

    • 目的是檢視組織的安全控制(Security Controls)、政策和程序是否符合預期標準。
    • 可分為內部稽核和外部稽核,內部稽核著重於組織內部規範,外部稽核則關注法規遵循等外部標準。
    • 稽核有助於確保安全檢查的執行,例如每日監控安全資訊和事件管理儀表板,以及識別威脅、風險和漏洞。
  • 稽核的目標和目的:
    • 確保組織的資訊科技(IT)實務符合產業和組織標準。
    • 找出需要改善和發展的面向。
    • 稽核透過識別當前缺失並制定糾正計畫,來提供方向和明確性。
  • 影響稽核的因素:
    • 產業類型
    • 組織規模
    • 與適用的政府法規的關係
    • 企業的地理位置
    • 企業決定遵守特定的法規遵循
  • 架構和控制在稽核中的作用:
    • NIST CSF 和 ISO 27000 等架構(Frameworks)旨在幫助組織準備法規遵循安全稽核。
    • 架構與控制(Controls)一起使用時,可以支援組織的能力,使其與法規遵循要求和標準保持一致。
  • 稽核清單(Audit Checklist):
    • 識別稽核範圍
    • 完成風險評估(Risk Assessment)
    • 執行稽核
    • 制定緩解計畫(Mitigation Plan)
    • 將結果傳達給利害關係人

Review: Security frameworks and controls

影片:Wrap-up

影片在講解保護組織資料和資產的資訊安全概念 (Security Concepts),包含:
  • 資訊安全架構 (Security Frameworks) 如何協助組織保護重要資訊
  • 資訊安全控制 (Security Controls) 如何降低風險、威脅和弱點
  • 資訊安全鐵三角 (CIA Triad):機密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability)
  • 美國國家標準與技術研究院 (NIST) 資訊安全框架:網路安全框架 (CSF) 和特別出版品 800-53 (S.P. 800-53)
  • 開放式 Web 應用程式安全專案 (OWASP) 的安全設計原則 (Secure Design Principles)
  • 內部安全稽核 (Internal Security Audit) 的重點項目
下一個單元將會介紹資訊安全分析師 (Security Analyst) 常用的資訊安全工具 (Security Tools),以及如何運用這些工具提升組織的資訊安全狀態 (Security Posture)。

留言

張貼留言

這個網誌中的熱門文章

[RPA Starter]Introduction to the UiPath Enterprise Platform

-
圖片
https://academy.uipath.com/learningpath-viewer/1555/1/154204/2 L1.關於這個模塊 你現在熟悉RPA了。現在是時候瞭解一下UiPath在RPA領域提供了什麼。 學習目標 在本單元結束時,您應該能够: 1將UiPath解決方案與RPA旅程的每個步驟相匹配; 2描述每個UiPath解決方案的關鍵功能。 L2.UiPath企業RPA平臺概述 組織中通過RPA實現自動化可以從兩個方向進行。根據我們的經驗,最好把它們結合起來: 公司驅動的方法 一個專門的團隊(RPA卓越中心)通過以下管道集中管理自動化過程: 使用專業工具和方法尋找最佳的自動化過程; 驅動自動化迴圈的每一步。 以員工為導向的方法 每個員工都可以通過以下方式實現自動化: 檢查他們的工作並提出自動化建議; 記錄他們擅長的流程; 開發自動化。 UiPath Enterprise RPA平臺將在整個自動化旅程中為您提供支援。.  觀看下面的視訊,瞭解如何: 我們是UiPath,我們使用數字機器人實現工作自動化。 我們稱之為機器人過程自動化或RPA。 - Hyperautomation Journey -超自動化之旅 那麼你的自動化之旅在哪裡呢? 您是否計劃在您的組織中擴充套件RPA或首次實施它? 或者您是作為個人貢獻者在這裡,瞭解有關超自動化的更多資訊? - Implementation and Scaling -實施和擴充套件 無論您在自動化之旅的哪個階段,讓我們來討論一下實施和擴充套件RPA。 在此期間,我們可以看到正確的解決方案如何防止陷阱並解決自動化最常見的挑戰。 - Hyperautomation Journey -超自動化之旅 對於初學者,您必須知道RPA實施的步驟與任何IT專案沒有太大不同。 簡單地說,自動化必須被1發現、2堅實地構建、3有效地管理、4可靠地執行,5與人類使用者靈活接觸,以及6測量準確。 為什麼這一切都很重要? 嗯,這是一個多米諾骨牌效應;如果這些步驟中的任何一個管理不當,一切都可能分崩離析。 - Main ingredients of managing change -管理變革的主要要素 請記住,RPA意味著更改。 處理不好的變化可能會遇到阻力。 我們認為,在管理變革的核心,有三個主要因素: 1使RPA民主化,...
閱讀完整內容

網路架構(Network architecture)

-
Connect and Protect: Networks and Network Security 網路架構 Network architecture 您將會接觸到網路安全,並解釋其如何與持續存在的安全威脅與漏洞相關。您將學習網路架構以及保障網路安全的機制。 學習目標: 1. 定義網路類型。 2. 描述網路的實體元件。 3. 了解 TCP/IP 模型如何提供網路通訊的框架。 4. 解釋資料如何在網路上傳送與接收。 5. 說明網路架構。 Get started with the course 影片:Introduction to Course 3 這個影片介紹了網路安全以及課程內容。影片提到網路攻擊越來越頻繁且複雜,因此網路安全變得非常重要。課程會涵蓋網路架構(Network Architecture)、網路工具、網路操作(Network Operations)以及網路協定(Network Protocol)。接著會介紹常見的網路攻擊(Network Attack)以及如何防範網路入侵(Network Intrusion)。最後則會概述網路安全強化(Security Hardening)的實用方法。 
閱讀完整內容