iPAS 備考筆記 - 資訊安全工程師

TLDR

• CIA 與 AAA：CIA 是保護目標（機密性、完整性、可用性），AAA 是存取控制機制（認證、授權、記帳）。
• 資產管理：主要資產是業務價值載體，支援資產是承載手段；敏感度分級（Public/Internal/Confidential/Private）需由資產擁有者決定。
• ISO 27001：是管理系統標準（可認證），附錄 A 的控制措施需依風險評鑑結果選擇並記錄於 SoA。
• 風險管理：風險 = 威脅 × 弱點 × 資產價值；定量分析（ALE/ROSI）提供財務決策依據，定性分析（風險矩陣）用於快速篩選。
• 事件回應：圍堵（Containment）是第一優先；MTTD（偵測時間）比 MTTR（回應時間）更關鍵；數位鑑識遵循揮發性順序（RAM → Disk → Log）。
• 網路安全：ARP Spoofing 透過偽造 ARP 回應實現 MITM；BGP Hijacking 利用最長前綴匹配劫持流量；DNSSEC 透過數位簽章確保 DNS 真實性。
• 密碼學：對稱加密（AES-GCM）適合大量資料；非對稱加密（RSA/ECC）用於金鑰交換與簽章；密碼儲存必須使用慢雜湊（Argon2id/bcrypt）並搭配 Salt。
• 雲端安全：雲端服務模型（IaaS/PaaS/SaaS）共享責任模型中，資料安全與身分管理永遠是客戶責任；CNAPP 整合 CSPM/CWPP/CIEM 進行全方位防護。

---

基礎概念

資訊安全基本原理與術語

資訊安全基本原理（CIA 與 AAA）

• CIA 三元組：機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。
• AAA 框架：認證（Authentication，你是誰）、授權（Authorization，你能做什麼）、記帳/稽核（Accounting，你做了什麼）。
• 縱深防禦（Defense in Depth）：透過多層安全控制（治理、實體、網路、主機、應用、資料），即使單一層被突破，其他層仍能提供保護。

資訊倫理與資產管理

• PAPA 理論：隱私權（Privacy）、正確性（Accuracy）、財產權（Property）、存取權（Accessibility）。
• 資產分類：主要資產（業務價值本身）與支援資產（承載主要資產的手段）。
• 分級維度：敏感度（機密性導向）與關鍵性（可用性導向）。
• 角色劃分：資產擁有者（業務單位，決定分級）與資產保管者（IT 部門，落實控制）。

---

法規與合規

ISO/IEC 27001 與 ISMS

• ISO 27001：ISMS 管理系統要求，組織必須符合條款 4–10。
• SoA（適用性聲明）：依據風險評鑑結果，說明附錄 A 控制措施的選用理由。
• PDCA 循環：計畫（Plan）、執行（Do）、查核（Check）、行動（Act）是持續改善的核心。

稽核與認證

• 稽核類型：第一方（內部）、第二方（客戶/主管機關）、第三方（獨立認證機構）。
• SOC 2 Type 1 vs Type 2：Type 1 為特定時間點設計審查；Type 2 為一段時間內的運作有效性驗證。

---

風險管理

風險評鑑流程

1. 資產識別：盤點並分級。
2. 威脅與弱點識別：識別適用威脅與既有弱點。
3. 風險分析：評估發生機率與衝擊（定性或定量）。
4. 風險處理：選擇規避、修改（降低）、分擔、保有（接受）。

風險量化公式

• ALE（年化損失預期） = ARO（年化發生率）× SLE（單次損失預期）。
• SLE = AV（資產價值）× EF（曝險係數）。
• ROSI（資安投資報酬率）：衡量安全控制措施的財務合理性。

---

事件管理

資安事件回應（NIST SP 800-61）

1. 準備：建立團隊、工具與演練。
2. 偵測與分析：監控、告警分級。
3. 圍堵、清除與復原：隔離受感染系統（優先）、移除惡意程式、還原系統。
4. 事後活動：撰寫報告、經驗總結（Lessons Learned）。

數位鑑識

• 揮發性順序：CPU 快取 → RAM → 網路連線 → 暫存檔案 → 硬碟 → 遠端日誌。
• 完整性驗證：使用 Hash（如 SHA-256）確保證據副本與原始媒體一致。

---

網路安全

網路架構與攻擊

• ARP Spoofing：偽造 ARP 回應實現 MITM 攻擊。
• BGP Hijacking：宣告更長的前綴（Longest Prefix Match）劫持流量。
• DNSSEC：透過數位簽章驗證 DNS 回應的真實性，防止快取毒化。
• VPN：IPsec（L3，適合 Site-to-Site）、SSL/TLS VPN（L4-L7，適合 Remote Access）。

網路防禦

• NAC（802.1X）：連線前進行身分驗證與健康檢查。
• VLAN 安全：停用 DTP 自動協商，修改 Native VLAN 以防 Double Tagging 攻擊。
• 防火牆：NGFW 整合 DPI 與應用識別；WAF 專注於 L7 Web 攻擊防護。

---

密碼學

加密技術

• 對稱加密：AES-GCM（推薦，具備認證加密功能）。
• 非對稱加密：RSA、ECC（橢圓曲線，金鑰更短、效能更佳）。
• 雜湊函式：SHA-256（完整性校驗）、Argon2id/bcrypt（密碼儲存，慢雜湊）。
• 數位簽章：使用私鑰簽章、公鑰驗證，確保完整性與不可否認性。

---

開發與維運安全

SSDLC 與 DevSecOps

• SAST：靜態分析原始碼（如 SonarQube）。
• DAST：動態掃描執行中的應用（如 OWASP ZAP）。
• SCA：掃描第三方套件漏洞（如 Snyk）。
• SBOM：軟體物料清單，追蹤相依元件以應對供應鏈風險。

容器與雲端安全

• 容器安全：映像檔掃描、最小化 Base Image、執行期監控（Falco）。
• 雲端安全：CSPM（設定）、CWPP（執行期）、CIEM（權限）。
• IaC 安全：部署前掃描設定錯誤（Checkov）。

---

身分與存取

存取控制模型

• RBAC：基於角色授權。
• ABAC：基於屬性（時間、地點、身分）動態授權。
• 零信任（Zero Trust）：永不信任，持續驗證；身分即邊界。

認證機制

• FIDO2 / Passkey：抗釣魚的無密碼認證標準，憑證綁定 Origin。
• OAuth 2.0 / OIDC：OAuth 2.0 為授權框架，OIDC 在其上增加身分驗證層。
• PAM：管控特權帳號，提供密碼保管庫與 JIT 存取。