ISC2 CC Notes 5 Security Operations

Domain 5 涵蓋了我們日常工作中確保安全的各項措施。這是關於組態、修補程式、變更管理，密碼學和雜湊，以及對密碼學的攻擊，資料處理、分類、標記、保留、銷毀/處置，管理（指導性）控制，安全意識訓練和社交工程。

組態管理 (Configuration Management)

組態管理涉及建立和維護系統和應用程式的標準化配置。這確保了環境的一致性。

修補程式管理 (Patch Management)

修補程式管理是用來解決系統和應用程式中的已知漏洞。更新修補程式是修正這些弱點的控制措施。

變更管理 (Change Management)

變更管理是組織處理環境變更的正式流程。如果做得正確，變更管理應該具備完整的文件記錄、對變更的理解，並將變更傳達給相關方。變更審查委員會應由 IT 和組織內的其他營運部門組成。

變更管理的步驟包括：

• Request (請求)
• Review (審查)
• Approve or Reject (批准或拒絕)
• Test (測試)
• Implement (實施)
• Document (記錄)
  這通常縮寫為 RRA/RTID。

密碼學 (Cryptography)

密碼學是保護通訊安全的科學。密碼學幫助我們：

• 保護我們的秘密 (機密性) - 確保未經授權的人員無法存取資料。大多數人認為密碼學就只是做這件事。
• 保持資料不被篡改 (完整性)。
• 提供驗證主體身份的方法 (身份驗證)，它還可以提供不可否認性。

歷史密碼 (Historical Ciphers) 包括：

• 斯巴達密碼棒 (Spartan Scytale)：訊息通過將羊皮紙纏繞在木棍上進行解密。
• 凱撒密碼 (Caesar Cipher)：通過將字母表中的字母移動一定數量的位置進行替換。
• 書籍密碼 (Book Cipher)：使用一本書作為金鑰，並使用座標（例如，頁碼、句子、單詞）進行加密。
• 連續金鑰密碼 (Running-Key Cipher)：使用已知文本和短語進行加密。

加密類型 (Encryption Types)：

• 非對稱加密 (Asymmetric / Public Key Encryption)：使用一對公鑰和私鑰。
  • 優點：不需要預共享金鑰；可擴展。
  • 缺點：速度較慢；每位元的強度較弱。
• 對稱加密 (Symmetric)：使用相同的金鑰進行加密和解密。
  • 優點：速度較快；每位元的強度較強。
  • 缺點：需要預共享金鑰；用戶多時複雜。
• 混合加密 (Hybrid)：結合非對稱加密和對稱加密。使用非對稱加密來共享對稱工作階段金鑰，然後使用對稱加密進行資料傳輸。

雜湊 (Hashing)

雜湊函數從可變長度的輸入產生固定長度的雜湊值。即使資料發生微小的變化，也會產生完全不同的雜湊值。雜湊用於確保資料的完整性。具有 “HA” 或 “MD” 字樣的名稱通常表示雜湊算法。例如，訊息摘要也稱為雜湊。

對密碼學的攻擊 (Attacks on Cryptography)

對密碼學的攻擊可能包括：

• 竊取金鑰 (Steal the Key)：由於現代加密很難破解，攻擊者發現從系統或金鑰儲存庫中恢復私鑰更容易。執法部門有時會通過搜查令恢復金鑰。
• 暴力破解 (Brute Force)：嘗試所有可能的金鑰來解密資料。除了單次墊以外，暴力破解對基於金鑰的密碼是有效的。
• 金鑰延展 (Key Stretching)：延遲密碼驗證以阻止暴力破解嘗試。
• 中間人攻擊 (Man-in-the-Middle Attack - MITM)：攻擊者截取並可能篡改兩方之間的通訊。這需要存取通訊管道。
• 側通道攻擊 (Side Channel Attacks)：利用物理數據（例如 CPU 週期、功耗）來破解加密。
• 社交工程 (Social Engineering)：這比破解金鑰容易得多，它是說服金鑰持有者將其交給冒充「幫助台」的人。社交工程利用說服技巧來獲取敏感資訊。這部分更詳細的內容將在後面涵蓋。

資料處理、分類、標記、保留、銷毀/處置 (Data Handling, Classification, Labeling, Retention, Destruction/Disposal)

敏感資訊管理 (Sensitive Information Management) 包括：

• 資料處理 (Data Handling)：只有信任的個人應該處理資料。應該制定關於如何、何處、何時以及為何處理資料的政策，並應建立日誌以顯示這些指標。
• 資料儲存 (Data Storage)：敏感資料應儲存在安全、氣候控制的設施中。最好位於地理位置較遠的地方，以防止單一事件影響多個設施。應避免不安全的做法，例如無人監控的磁帶備份。
• 資料保留 (Data Retention)：僅在必要時或法律要求的情況下保留資料。法規（例如 HIPAA、PCI-DSS）規定了保留期限；必須確保合規。資料保留政策規定了需要保留數據的時間長度，通常由法規或業務需求決定。
• 資料銷毀 (Data Disposal)：
  • 紙質文件銷毀：應使用安全的方法，例如交叉碎紙，以防止重組。
  • 數位資料銷毀：
    • 軟性銷毀 (Soft Destruction)：包括刪除、格式化和覆寫。刪除文件只是刪除了指標，而資料仍然存在，可以使用資料恢復軟體恢復。格式化也做同樣的事情，但它會在舊文件結構上放置一個新的文件結構，大多數情況下仍然可以恢復。覆寫是通過寫入 0 或隨機字符覆寫資料。這些方法並非萬無一失。
    • 清理 (Sanitization)：一個過程，使媒體上的目標資料難以在給定的恢復努力程度下恢復。
    • 清除 (Purge)：將敏感資料從系統或設備中移除到即使在實驗室環境中也無法恢復資料的程度。
    • 消磁 (Degaussing)：通過暴露在非常強的磁場中來銷毀磁性媒體。這也會很可能破壞媒體的完整性。
    • 物理銷毀 (Physical Destruction)：這是比軟性銷毀更安全的方法。包括磁碟壓碎（用於傳統硬碟）、碎紙（用於金屬）、焚燒、粉碎、熔化和酸處理。通常與軟性方法一起使用。對敏感資料執行多種資料銷毀類型（例如消磁和磁碟壓碎/碎紙）是很常見的。

資訊生命週期 (Information Life Cycle) 包括：

• 資料獲取 (Data Acquisition)：資料的建立或複製、索引和儲存。

管理（指導性）控制 (Administrative (Directive) Controls)

管理（指導性）控制是存取控制類別之一。它們包括組織政策和程序、法規以及培訓和意識。

管理控制也可以是存取控制的類型之一。它們可以是：

• 預防性 (Preventative)：防止動作發生。
• 偵測性 (Detective)：在發生過程中或之後識別動作。
• 矯正性 (Corrective)：在發生後修復問題。
• 恢復性 (Recovery)：協助事件發生後的恢復。
• 威懾性 (Deterrent)：阻止動作。
• 補償性 (Compensating)：當主要控制措施不切實際時提供替代控制措施。

政策 (Policies) 是強制性的且是高層次的。它們可以包含「修補程式、更新、強加密」等內容，但不會具體到「作業系統、加密類型、供應商技術」。

常見的政策包括：

• 可接受使用政策 (Acceptable Use Policy - AUP)：定義了網路、資料、資源等的可接受使用方式。
• 自帶設備政策 (Bring Your Own Device - BYOD Policy)：關於個人設備在一定參數範圍內使用的指南。
• 隱私政策 (Privacy Policy)：關於收集、使用和管理私人資料的詳細資訊。
• 密碼政策 (Password Policy)：規定了密碼的要求。
  • 記住最後 24 個密碼。
  • 最大密碼有效期：90 天。
  • 最小密碼有效期：2 天（防止用戶循環使用密碼）。
  • 最小密碼長度：8 個字符 (ISC2 CC® 的要求)，雖然其他建議可能為 14 個字符。
  • 複雜度要求。
  • 儲存時不使用可逆加密。
• 資料處理政策 (Data Handling Policy)：包括分類、標記、加密、儲存、備份和處置/銷毀資料。

資料的三種狀態 (3 States of Data)：

• 靜態資料 (Data at Rest)：儲存的資料。
• 傳輸中資料 (Data in Motion)：正在網路上傳輸的資料。
• 使用中資料 (Data in Use)：正在主動使用的文件/資料，通常無法加密。

訓練與意識 (Training and Awareness)

使用者往往是最大的安全風險。

• 訓練 (Training)：為使用者提供技能組合。這很好，但如果他們忽略了知識，就沒有任何作用。
• 意識 (Awareness)：旨在改變使用者的行為。這是我們想要的，我們希望他們改變他們的行為。
  我們希望通過良好的網路衛生習慣建立一種網路安全文化。

社交工程 (Social Engineering)

社交工程是說服金鑰持有者將其交給冒充「幫助台」的人，這比破解加密金鑰容易得多。社交工程是一種利用說服技巧來獲取敏感資訊的密碼學攻擊手段。

社交工程攻擊的技巧可能包括：

• 緊迫感 (Urgency)：讓受害者覺得必須立即行動，否則會發生不好的事情（例如，如果文件不按時填寫，公司將被起訴）。這常與釣魚攻擊結合使用。
• 熟悉感 (Familiarity)：提前了解受害者的一些資訊，然後在交流中提及。這可以顯著提高攻擊成功的機會。人們希望提供幫助，如果他們覺得認識你，他們就更願意提供幫助。這常在語音釣魚和面對面的社交工程中成功應用。

釣魚攻擊 (Phishing, Spear Phishing, and Whale Phishing)：「釣魚」在駭客術語中寫成 Phishing。

• 釣魚 (Phishing)：一種社交工程郵件攻擊。這類郵件發送給成千上萬的人，例如「點擊贏取」或「發送信息領取遺產」。即使只有極少數的收件人按照指示操作，攻擊者也能獲得大量受害者。
• 魚叉式網絡釣魚 (Spear Phishing)：有針對性的釣魚攻擊，而不是隨機發送的垃圾郵件，目標是特定個人。這類郵件包含了關於目標的資訊（個人或公司），熟悉度提高了成功率。
• 捕鯨式網絡釣魚 (Whale Phishing / Whaling)：針對組織高層領導的魚叉式網絡釣魚。這可能是一封郵件，聲稱「如果您不填寫附件中的文件（其中包含木馬）並在兩週內發回給我們，您的公司將被起訴」。
• 語音釣魚 (Vishing / Voice Phishing)：通過自動語音系統發起的攻擊，類似於批量垃圾郵件。這些通常是「您的稅款已到期」、「您的帳戶已被鎖定」或「輸入您的個人身份信息以防止此情況」之類的電話。