date time comments 2 pageviews

TWCSA 群組看到 OWASP 台灣分會會長 Henry 大人分享好文 - 資安名詞大全:用故事學會 200+ 資訊安全核心概念 by 飛飛,超級淺顯好讀,如獲至寶。這兩年跟資安聊天時遇到不少第一次聽到爬文才知的陌生名詞,這篇幾乎都有涵蓋。如果你需要跟資安打交道,真心推薦!!

儘管文章已算精簡易讀,本著「看過沒筆記,等於沒看過」原則,我還是決定手工整理一次。這篇是從我的知識基礎出發,整理中英名詞及簡要註釋備忘(還有一些發自內心的批註 XD),方便日後速查。大家若想了解更多細節,可參考原文或自行爬文深入。

thumbnail

  • CIA 三元組:機密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability)
    相反是 DAD 三元組:洩露 (Disclosure)、篡改 (Alteration)、破壞 (Destruction/Denial)
  • 縱深防禦 (Defense in Depth):設下多層防線,迫使駭客必須層層突破
  • 最小權限原則 (Principle of Least Privilege)
  • 零信任架構 (Zero Trust Architecture, ZTA):永不信任,始終驗證 (註:誰都不相信,比曹操還多疑就對了)
  • AAA 模型:認證 (Authentication) 你是誰、 授權 (Authorization) 你能做什麼、稽核 (Accounting) 你做了什麼
  • 身分識別 (Identification):使用者聲稱自己是誰
  • 認證 (Authentication):驗證使用者聲稱身分的真實性
  • 認證因素 (Authentication Factors):Something you know、Something you have、Something you are、Somewhere you are (註:新學到一個)
  • 多因素認證 (MFA – Multi-Factor Authentication):同時採用上述兩種(含)以上的認證因素進行認證
  • 生物辨識 (Biometrics):生理 - 指紋、虹膜、視網膜、臉型、手掌紋路 | 行為特徵 - 打字節奏、走路姿態、簽名方式
  • 單一登入 (SSO – Single Sign-On):常見協定 Kerberos、SAML、OAuth、OIDC (OpenID Connect)
  • Kerberos 協定:以 Ticket 為中心,關鍵元件有 KDC (Key Distribution Center) 票務中心、TGT (Ticket-Granting Ticket) 通行票、Service Ticket 特定服務入場券
  • 存取控制模型 (Access Control Model):MAC、DAC、RBAC、ABAC....
  • 強制存取控制 (MAC – Mandatory Access Control):系統強制控制存取,安全標籤決定,如「密」級人員不能看「機密」文件,無彈性,最嚴格
  • 自主存取控制 (DAC – Discretionary Access Control):使用者可自己決定資源授權對象
  • 角色基礎存取控制 (RBAC – Role-Based Access Control):授權給組織中的角色而非個人
  • 屬性基礎存取控制 (ABAC – Attribute-Based Access Control):根據主體、資源、環境等多種屬性動態決定存取權限,例:拒絕管理者在可疑時間從國外登入
  • 規則基礎存取控制 (Rule-Based Access Control):根據預先定義的 if-then 規則控制存取
  • 加密 (Encryption)、解密 (Decryption)、演算法 (Algorithm)、金鑰 (Key)
  • 柯克霍夫原則 (Kerckhoff's Principle):即使大家都用同款鎖(演算法公開),只要密碼不同(金鑰保密),就是安全的
    【反例】Security by Obscurity 策略,透過不取公開演算法及協定細節防止外界找到破解方法 為何悠遊卡這麼容易被破解,連高中生也會?
  • 對稱式加密 (Symmetric Encryption):DES、3DES、AES、Blowfish
  • 非對稱式加密 (Asymmetric Encryption):RSA、Diffie-Hellman、ECC (橢圓曲線)、ElGamal
    數位簽章知識補充包 - ECC 橢圓曲線密碼學、Ed25519、Curve 25519
  • 雜湊函數 (Hash Function):MD5、SHA-1、SHA-256、SHA-3
  • 數位簽章 (Digital Signature)
  • PKI (Public Key Infrastructure) 公鑰基礎建設:管理數位憑證和公私鑰的一整套系統,包含政策、程序、硬體、軟體和人員
    CA (Certificate Authority) 發放和簽署數位憑證、RA (Registration Authority) 驗證申請者身分、Digital Certificate 包含公鑰和擁有者資訊的電子文件、CRL (Certificate Revocation List) 列出已被撤銷的憑證、OCSP (Online Certificate Status Protocol) 即時查詢憑證是否有效
  • 加密傳輸:TLS/SSL、VPN、IPSec
  • 密碼學攻擊:暴力破解 (Brute Force)、字典攻擊 (Dictionary)、彩虹表攻擊 (Rainbow Table)、生日攻擊 (Birthday) 嘗試用不同輸入形成雜湊碰撞、中間人攻擊 (MITM)、重放攻擊 (Replay)
  • 網路基本知識:OSI 七層模型、TCP vs UDP、DNS (DNS 毒化/DNS 劫持/DNSSEC 防護)、DHCP (Rogue DHCP 惡意攻擊)、ARP (ARP Spoofing,假冒 IP)
  • 防火牆 (Firewall):封包過濾 (Packet Filtering,OSI Layer 3-4)、狀態檢查 (Stateful Inspection,L3-L4)、應用層防火牆 (Application Layer,L7)、次世代防火牆 (NGFW,加 IPS)、WAF (Web Application Firewall)
  • IDS (Intrusion Detection System) 入侵偵測系統、IPS (Intrusion Prevention System) 入侵防禦系統:除了偵測還能阻擋
    偵測方式:特徵比對 (Signature-based)、行為分析 (Behavior-based)
    部署方式:NIDS/NIPS(裝在網路)、HIDS/HIPS (裝在主機)
  • DMZ (Demilitarized Zone) / 非軍事區:內部網路和外部網路之間的緩衝區
  • VLAN (Virtual LAN) 虛擬區域網路:實體網路劃分邏輯隔離的網路
  • VPN (Virtual Private Network) 虛擬私人網路:Site-to-Site (辦公室對辦公室)、Remote Access (員工連回公司)、SSL VPN
  • 無線安全協定:WEP(RC4)、WPA(TKIP)、WPA2(AES-CCMP)、WPA3(SAE)
  • 無線網路攻擊:惡意存取點 (Rogue AP)、邪惡雙胞胎 (Evil Twin,模仿合法 Wi-Fi 名稱)、戰爭駕駛 (War Driving,開車去找開放 Wi-Fi)、去認證攻擊 (Deauthentication,強制斷開使用者連線)
  • 社交工程 (Social Engineering):釣魚 (Phishing)、魚叉式釣魚 (Spear Phishing,鎖定特定目標)、鯨釣 (Whaling,鎖定高階主管)、語音釣魚 (Vishing)、簡訊釣魚 (Smishing)、尾隨 (Tailgating,跟著進入管制區)、肩窺 (Shoulder Surfing)、垃圾翻找 (Dumpster Diving)、假冒 (Pretexting,編造情境騙信任)、誘餌 (Baiting)
  • 惡意軟體 (Malware):病毒 (Virus)、蠕蟲 (Worm)、木馬 (Trojan)、勒索軟體 (Ransomware)、間諜軟體 (Spyware)、廣告軟體 (Adware)、Rootkit (隱藏自己並獲取管理員權限)、鍵盤側錄器 (Keylogger)、殭屍網路 (Botnet)、邏輯炸彈 (Logic Bomb,特定條件觸發的惡意程式)、RAT (Remote Access Trojan)、後門 (Backdoor)
  • DoS (Denial of Service) 阻斷服務攻擊:SYN Flood、Ping of Death (超大 ICMP 封包)、Smurf Attack (廣播位址反射攻擊)、Teardrop (破碎的封包碎片)
  • 老梗中的老梗,不懂別寫程式以免禍害人間:SQL 注入 (SQL Injection)、XSS (Cross-Site Scripting) 跨站腳本攻擊
  • 零日攻擊 (Zero-Day)
  • 繞過破解的密碼攻擊手法:密碼噴灑 (Password Spraying) 用少數密碼嘗試多個帳號、憑證填充 (Credential Stuffing) 用其他網站洩漏的帳密嘗試登入(俗稱「撞庫」)、Pass-the-Hash 不需要知道原始密碼用雜湊值登入
  • 威脅情報 (Threat Intelligence):收集、分析和應用關於現有或潛在威脅的資訊,用於做出資安決策。關鍵框架有 MITRE ATT&CK,完整攻擊手法知識庫
  • 網路殺傷鏈 (Cyber Kill Chain):偵察 (Reconnaissance)、武器化 (Weaponization)、遞送 (Delivery)、漏洞利用 (Exploitation)、安裝 (Installation)、命令與控制 (Command & Control)、目標行動 (Actions on Objectives)
  • 風險管理:風險 = 威脅 × 漏洞 × 資產價值
    資產 (Asset)、威脅 (Threat)、漏洞 (Vulnerability)、風險 (Risk)、控制措施 (Control)
    AV Asset Value、EF Exposure Factor (出事會損失 %)、SLE Single Loss Expectancy (單次損失預期)、ARO Annualized Rate of Occurrence (年化發生率)、ALE Annualized Loss Expectancy (年化損失預期)
    SLE = AV × EF 、 ALE = SLE × ARO
    (碎念:這概念超好 DER,但感覺一堆資安措施從沒算過 ALE,成天要你開戰鬥機去趕鴿子)
  • 風險處理策略:風險迴避 (Avoidance)、風險緩解 (Mitigation)、風險轉移 (Transfer)、風險接受 (Acceptance)、風險拒絕 (Rejection)
  • 安全治理框架:NIST CSF、ISO 27001/27002、COBIT、ITIL、SABSA
  • 法律與合規:刑事法 (Criminal Law)、民事法 (Civil Law)、行政法 (Administrative Law)、GDPR 歐盟個資保護規範、HIPAA 美國醫療資訊保護、SOX 美國上市公司財務報告內控、PCI DSS 支付卡產業安全標準、CFAA 美國電腦詐欺與濫用法、DMCA 數位千禧年著作權法、著作權 (Copyright)、專利 (Patent)、商標 (Trademark)、營業秘密 (Trade Secret)
  • 安全營運中心 (SOC):監控、偵測、分析和回應資安事件的專責單位,常用工具:
    • SIEM Security Information and Event Management - 收集日誌,分析找出異常
    • SOAR Security Orchestration, Automation and Response - 自動化處理資安事件
    • EDR Endpoint Detection and Response - 監控端點設備的威脅
    • MDR Managed Detection and Response 外包的偵測與回應服務
  • 安全事件回應步驟:準備 (Preparation)、偵測與分析 (Detection & Analysis)、遏制 (Containment)、根除 (Eradication)、復原 (Recovery)、檢討 (Lessons Learned)
  • 變更管理 (Change Management)、修補程式管理 (Patch Management)、弱點管理 (Vulnerability Management)
  • CVSS (Common Vulnerability Scoring System) 弱點嚴重程度評分系統,0 ~ 10.0
  • 滲透測試 (Penetration Testing):黑箱測試 (Black Box)、白箱測試 (White Box)、灰箱測試 (Gray Box)
  • 軟體開發生命週期 (SDLC)
  • 安全程式碼原則
    • 輸入驗證 (Input Validation):檢查所有輸入資料是否符合預期格式、長度和類型
    • 輸出編碼 (Output Encoding):輸出資料前進行適當編碼,防止被瀏覽器誤解為程式碼執行
    • 最小權限:程式只要求和使用完成功能所需的最小權限
    • 失敗安全 (Fail Secure):系統發生錯誤時,應進入安全狀態而非不安全狀態。門禁系統壞掉時將門鎖住 (註:除安全外亦需考量對人身安全、健康的影響)
  • 常見程式弱點
    • 緩衝區溢位 (Buffer Overflow):寫入超過緩衝區大小的資料,覆蓋相鄰記憶體區域得以執行惡意程式
    • 競爭條件 (Race Condition):多緒爭搶資源,因時序導致非預期結果
    • TOCTOU (Time of Check to Time of Use):利用檢查與實際使用的時間差,檢查時有權,用時已被取消
    • 注入攻擊 (Injection):SQL Injection、Command Injection、 LDAP Injection、XPath Injection
  • 軟體測試方法:靜態測試 (SAST)、動態測試 (DAST)、互動式測試 (IAST,結合前二者)、模糊測試 (Fuzzing,大量隨機輸入看會不會壞)、程式碼審查 (Code Review)、滲透測試
  • 開發方法論:DevOps、DevSecOps、敏捷開發 (Agile)、瀑布開發、天神開發 (註:後兩者原文沒提,補上才貼近真實世界的模樣)
  • BCP (Business Continuity Planning) 業務持續計畫,萬一發生大事,怎麼讓公司活下去
  • BIA (Business Impact Analysis) 業務衝擊分析:MTD Maximum Tolerable Downtime (能停多久)、RTO Recovery Time Objective (必須多快恢復)、RPO Recovery Point Objective (允許丟失多少時間的資料)
  • DRP (Disaster Recovery Planning) 災難復原計畫,IT 系統怎麼救回來
    熱站點 (Hot Site)、溫站點 (Warm Site,有設備要重載資料)、冷站點 (Cold Site,要重建置)、雲端備援
    完整備份 (Full)、增量備份 (Incremental)、差異備份 (Differential)
  • 3-2-1 備份原則:3 份資料副本、2 種不同儲存媒體、1 份存放在異地
  • 高可用性 (High Availability),做法:叢集 (Clustering)、負載平衡 (Load Balancing)、RAID、容錯 (Fault Tolerance)
  • RAID 等級:RAID 0、RAID 1、RAID 5、RAID 6 (雙重奇偶校驗)、RAID 10
  • 安全評估:弱點評估、滲透測試、安全稽核、合規評估、風險評估
  • 稽核類型:內部稽核、外部稽核、第三方稽核
  • SOC 報告 (Service Organization Control):SOC 1 (財務報告內部控制)、SOC 2 ( 安全、可用性、處理完整性、保密性、隱私)、SOC 3 (SOC 2 的公開版本)


Comments

# by 樂透無名

感謝

# by Richard Tsai

天神開發 (隕石開發??)

Post a comment