ISC2- CC-Domain 1 Security Principle

理想很豐滿，現實很骨感

26 min readSep 24, 2023

現實世界中我們需要理解各種利害關係人的觀點與考量(TOGAF的架構視圖、觀點與利害關係人)。

本文重點:

Information security, IT security與Cybersecurity 的不同之處
C.I.A三角與IAAA
隱私
風險與事故(incident)管理
存取控制(Access Control)
治理、管理、法律與監管
ISC2 倫理(ethic)

Information security, IT security與Cybersecurity

資訊安全(Information Security)是有關於我們所擁有的資訊(不是資料)，包含實體或電子或是人員腦袋中的。IT安全(IT Security)則是指我們的軟硬體與資料。網路安全(Cybersecurity)是指可透過網路存取的 IT 安全的一切內容。所以範圍的包含如下圖所示:

C.I.A三角: 機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)

這是IT Security的基礎。

機密性

大部分的人會認為的IT security，因為要保護資料與機密(secrets)是安全的，並且未經授權的人不可以存取該資料。也就是我們要達成存取資料是要right person/right time/ right place。

通常會在資料處於三種狀態時進行保護:

data at rest — 可能用AES256加密或整個HD加密
data in motion — 通常用SSL/TLS加密
data in use — 通常使用防窺鏡片螢幕、電腦鎖定（自動鎖定和離開時鎖定）。

外搭配複雜的強密碼、MFA、資料遮罩(masking)、存取控制、need-to-know還有least privilege。

機密性會受到的威脅(Threats)有:

密碼分析(如果密碼不夠strong的話)
社交工程(偷你的密碼)
key logger(軟體或硬體)/ cameras/ steganography(把資訊藏起來傳送出去)

完整性

防止資料/系統被未經授權的人竄改。哪如何保護完整性呢?

加密(Cryptography)
Check sums(可能使用CRC-Cyclic redundancy check循環冗餘校驗)
訊息摘要(Message Digests)，也稱為hash(hash的方法 — MD5/SHA1.SHA2)
數位簽章(Digital Signatures) — 不可否認性
存取控制(Access Control)

完整性會受到的威脅有:

資料修改(Alterations)
Code injections
加密分析

可用性

在資料/系統在需要用時是可以被存取的。保護可用性的方式:

IPS/IDS
補丁管理(Patch Management)
Redundancy)— 從硬體、HVAC、人員、High Availability等等，通常會用ROI判斷。
SLA

可用性會受到的威脅有:

惡意攻擊 — DoS/DDoS、實體、system compromise、人員
軟體失效 — 有Bug
組件失效 (Component failure)— 通常是硬體

C.I.A的反三角 — D.A.D

洩漏(Disclosure) — 未經授權的人存取資料/系統
修改(Alteration) — 未經授權的人修改資料/系統
破壞(Destruction) — 某人破壞資料/系統(可能有意或無意)

IAAA (Identification/Authentication/Authorization /Accountability)

Identification

你的身份 — 可能是username/ID number/ 員編/SSN(Social Security Number)

Authentication

證明你的身分 — 現在基本應該要使用MFA。證明的方式分為以下三種:

Type 1(Something you know)
密碼/pass phrase/PIN等，也稱Knowledge factors。

這是最弱的驗證方式，因為只有你有這個資訊哪就代表你就是你所宣稱的哪一個人。有些網站會用問問題的方式來證明，像是"你的初戀女友是誰?"。而猜測或竊取密碼總是比破解加密更容易。

而通常強化方式就是有Password Policy。例如，強化密碼的複雜度(最小長度、大小寫字母、數字和符號，不應包含完整的單字，可對抗Brute Force Attacks)。另外是使用者再次更改密碼之前的到期日、密碼重複使用政策和最低使用次數。

另外其他密碼的其他議題有:

Brute Force Attacks（對應措施:限制錯誤登入次數）：
使用整個key space（每個可能的金鑰），只要有足夠的時間就可以解密任何密文(ciphertext)。它對除一次性密碼(one-time pad)之外的所有基於金鑰的密碼都有效，因為最終還是會解密，但它也會產生很多的誤報，導致資料毫無用處。另外可以用Key Stretching的方式強化weak password。
Clipping Levels：
這一個設定是為了防止管理開銷(administrative overhead)。例如，允許忘記或錯誤輸入密碼的授權使用者仍然可以進行幾次額外的嘗試。或是將使用者帳戶鎖定一定時間（一小時）或直到管理員解鎖來防止密碼猜測。

下面為美國國防部與微軟的密碼管理要求:

密碼歷史 — 記憶前24個密碼
密碼最長效期為90天
密碼最短效期為2天(防止User大量產生密碼蓋過前面24個)
最少14個字元
密碼複雜度要求要設立為True
可逆加密(reversible encryption)儲存密碼設定為false

Type 2(Something you have)
ID/ 護照/token/電腦中的cookie，這稱為佔有因素(Possession factors)。

Subject使用這些來驗證他們的身份，如果他們擁有該物品，那麼他們一定是他們所說的人。
簡單的形式可以是信用卡，你擁有該卡，而且知道密碼，這就是多因素身份驗證。
大多數人也假設有一個共同的信任(shared trust)，你有護照，看起來像照片上的你，我們信任簽發者，所以我們假設護照是真的。

一次性密碼(Single-Use Passwords):

擁有一次有效的密碼會使許多潛在的攻擊變得無效，就像one-time pads一樣。
雖然它們是密碼，但它是something you have，而不是something you know。
有些是帶有challenge-response的one-time-pads，像是發出一code到你的手機或email(很多金融交易現在都如此)。被稱為TANs (Transaction Authentication Numbers)。
大多數用戶發現一次性密碼非常不方便。但只要講到錢，多數的使用者都不會在那邊"番"。

Smart card / Token(contact or contactless)

使用 ICC（Integrated Circuit Chip）
Contact Cards — 插卡讀取
例如信用卡插卡或通用存取卡DOD CAC (Common Access Card)
Contactless Cards — 非接觸式讀取
使用 RFID tag(transponder)，然後由 RFID 收發器讀取

Magnetic Stripe Cards(磁條卡):

直接讀取磁條，沒有使用電路，且容易複製

Token:

HOTP(HMAC-based One-time Password)與TOTP(Time-based One-Time Password)演算法可以是硬體也可以是軟體。手機中的Token現在比較受歡迎，像是Google Authenticator或微軟Authenticator。

HOTP是shared secret和incremental counter，在需要時產生code，使用時會保持有效狀態。TOTP是Time-based 的shared secret通常每 30 或 60 秒產生一次，同步時鐘至關重要。

Type 3(Something you are)
生物特徵，指紋/手紋/虹膜掃描/臉部辨識。

Subject(也就是人類)使用這些來驗證他們的身份，這對每個人來說是獨一無二的，這個因素比其他兩個常見的身份驗證因素帶來更多問題。因為:

如果我們錯誤地接受了某人，我們可能會允許未經授權的人員進入設施或系統。 (這稱為False Accept)
如果我們錯誤地拒絕授權人員進入設施，這樣授權人員就無法進入設施或系統。 (這稱為False Reject)。

生物特徵驗證的錯誤(重要)

這些生物特徵可能會因為人員的生病/受傷/懷孕而改變。

Type 1 Error也稱FRR (False rejection rate)：

準確性如果設定可能太高（如準確度為 99%），哪授權者被拒絕的可能性會很高可能需要多試幾次。

Type 2 error也稱FAR (False accept rate)：

準確性如果設定可能太低（如準確度為 50%），哪未經授權者被接受的可能性會很高。而這是非常嚴重的錯誤。所以我們需要一個甜蜜點 — CER (Crossover Error Rate)。而生物辨識標識通常分為生理和行為特徵，生物特徵如上述所述的。而行為特徵會像是：打字節奏、走路方式、簽名和聲音。

生物驗證的問題：

人員的資料隱私權 —
有些指紋與染色體疾病有關。虹膜可以揭示遺傳性別，視網膜掃描可以顯示一個人是否懷孕或患有糖尿病，而手部靜脈模式可以揭示血管疾病。
大多數行為生物辨識技術可以揭示神經系統疾病等。
雖然密碼和智慧卡可能是安全的，因為人員通常對它們保密且安全，但生物辨識技術本質上並不安全，而且其他人很容易發現。
攻擊者可以拍攝臉部、指紋、手、耳朵的照片，並列印足夠好的副本以透過生物辨識掃描。像是常在照片中比YA。
打字方式、簽名方式和聲音模式都會被記錄下來，如果回報夠大的話，欺騙生物辨識技術也不是太難。
有些類型本質上仍然更安全，但它們通常也更具侵入性。
遺失的密碼和身分證可以用新的不同的密碼和身分證替換，而生物辨識則不能。
這讓大家對生物辨識資料的大規模收集產生更多質疑。因為可能沒有保護好或被濫用。

Authorization(授權)

我們可以存取什麼？我們使用存取控制模型(Access Control models)。我們實施什麼以及如何實施取決於組織以及我們的安全目標是什麼。以下介紹 DAC、MAC、RBAC、ABAC 和 RUBAC 等控制方式，這些控制方式很重要。

而在授權之前，我們需要知道人員做工作時他們的Least Privileg 與 Need to Know.

Least Privilege(最低必要存取權限) —
為使用者/系統提供他們所需的存取權限，不多也不少。
Need to Know —
即使有權存取，如果業務上不需要知道，那麼就不應該存取該資料

DAC (Discretionary Access Control) — 可用度是比較重要的:

物件(Object)的存取權由Object owner自行決定分配。如google driver就可以這麼做，但商業版可以進行依定程度的控制。
擁有者可以新增、刪除大多數OS常用的權限。
根據使用者身分使用 DACL(Discretionary ACL)。

MAC (Mandatory Access Control —機密性是比較重要的:
對Object的存取由labels和clearance(許可)決定，這通常用於軍事或機密性非常重要的組織。 Object有分配給它們的labels； Subject的許可必須能主導object的labels。

Clearance是分配給Subject的。基於對Subject當前和未來可信度的正式決定。許可度越高，背景調查應該越深入。

RBAC (Role-Based Access Control) — 完整性是比較重要的(也是絕大部分的企業與解決方案使用的):

這是圍繞著角色和權限定義的政策中立(Policy neutral)的存取控制機制。角色被分配了權限，並且該角色中的Subject將被加到到群組中，如果他們轉換職位，他們將被移動到該職位的權限群組。它使管理 1,000 個使用者和 10,000 個權限變得更加容易。如果實施得當，它還可以強制執行職責分離(separation of duties)並防止授權/特權蔓延(authorization/privilege creep)。

ABAC (Attribute-Based Access Control) —
基於屬性的存取控制機制。

對Object的存取是根據Subject、object和環境條件給予的。屬性(Attribute)可以是：

Subject(使用者或系統) — Name/role/ID/clearance等等
Object(資源) — Name/owner/建立日期
Environment(環境) — 位置/時間/威脅等級來決定存取

在雲端運算非常多服務使用此種控制機制，例如AWS S3。ABAC也可以稱為policy-based access control (PBAC) 或claims-based access control (CBAC)。

Context-Based Access Control(零信任)
對物件的存取是根據某些背景脈絡參數(contextual parameters)進行控制的，例如位置、時間、回應順序、存取歷史記錄。提供使用者名稱和密碼組合，然後採用驗證碼等challenge and response機制，根據wireless MAC address過濾訪問，或防火牆根據流量包分析過濾資料(在Internet上使用SASE解決方案，如palo alto)，這些都是背景脈絡相關存取控制機制的範例。

存取是基於物件的屬性或內容(content)來提供的，因此稱為content-dependent access control。在這種類型的控制中，正在存取的內容的value和屬性決定了控制要求。隱藏或顯示應用程式中的選單、資料庫中的視圖以及對機密資訊的存取都與內容相關。

Accountability(問責制) — 通常稱為稽核(Auditing)：

追蹤Subject Identity的操作：

證明誰執行特定操作，它提供了不可否認性(non-repudiation)。
群組或共享帳戶永遠都不好，因為不知道誰幹的。
使用audit trial和logs，將Subject與其操作關聯起來(這在很多log management解決方案都有提供)。

不可否認性(non-repudiation)同時有著Authenication與Integrity的特性。Subject是主動的，Object是被動的。所謂是Subject還是Object是要看條件與狀況的，例如Ａ服務去存去B服務，Ａ是Subject，B就是Object。但是B卻也可能去存取C服務。

隱私是一項人權。隱私的定義：

不受他人觀察或干擾的狀態或狀況。
免受未經授權的入侵。
身為公民和消費者，我們有權安全地保存您的個人識別資訊(PII)。
美國的隱私法規是各種法律的拼湊而成，有些法律重疊，有些領域沒有真正的保護。
歐盟法律－嚴格保護收集的內容、使用和儲存的方式。

風險管理

Risk = Threat * Vulnerability (或likelihood)。或是
Risk = Threat * Vulnerability *Impact
Total Risk = Threat * Vulnerability * Asset Value
Residual Risk = Total Risk — Countermeasures

Threat的定義是：潛在的有害事故(incident)
Vulnerability的定義是: 可能導致威脅造成傷害的弱點
DD(Due Diligence): 盡職調查，在做之前先做功課。也稱Do Detect。
Due care: 就是implementation。也稱Do Correct。

風險管理生週期是迭代(iterative)的，通常會有風險管理團隊。

Step 1: 風險辨識

什麼在範圍之內，什麼在範圍之外？
可接受的風險程度是多少，我們的企業有哪種類型的風險偏好？
辨識企業的資產。可能是有形的(碰得到的 — 硬體)也有可能是無形的(碰不到的 — 資料/商譽)。

Step 2: 風險評估

通常分為定量(Quantitative)和定性(Qualitative)風險分析。風險評估是一種不確定性分析。而這一切都是透過成本效益分析(cost-benefit analysis)來完成的。

而應對風險的方法有: Mitigation/ Transference/Acceptance/ Avoidance。Risk Rejection是絕不可接受的。我們評估目前的應對措施(countermeasures):

應對措施夠好嗎？
我們需要對應對措施進行改進嗎？
我們是否需要實施全新的應對措施？

定量(Quantitative)和定性(Qualitative)風險分析:

對於任何風險分析，我們都需要識別我們的資產。我們在保護什麼？
定性風險分析－這種情況發生的可能性有多大，如果發生的話後果有多嚴重？
定量風險分析 — 它實際上會花費我們多少$$？這是基於事實的分析，資產的總價值，需要計算。

使用風險分析矩陣進行定性風險分析(如下圖)。

L = Low, M = Medium, H = High, E = Extreme Risk

範例展示(以雲端運算為例):

運行在雲端的VM被駭客入侵資料被偷，這種可能性有多少?這一台VM資料被偷的後果會有多糟?這個情況取決於以下幾件事:

它前面有WAF/IPS/Firewall等的安全設備嗎?
OS/Application有定期更新嗎?
它裡面的資料有加密嗎?
它裡面有機敏資料或個資嗎?

假設這很可能是一個大問題，將損失歸入高風險類別。定量風險分析出現高風險和極端風險是正常的。如果實施緩解措施，我們也許可以將風險等級調整為「中」。

所以我們將資產有著相似風險進行分規城不同的風險類別。將每個風險類別給予不同的編號或簡短描述或名稱，以使風險易於討論。而事件實際發生時的衝擊（或後果）以一個整數等級來評分。以整數等級評定其發生的機率或可能性。風險評分（或風險評級）是機率和衝擊(impact)的乘積，通常用於對風險進行排名。而事件發生時的一般步驟如下:

Identify
Analyze
Plan Response
Monitor
Control

最後我們可以製作出風險登記表(risk register)(如下圖)。

而定量風險分析是我們將資產和風險數字化的地方。我們要找到資產的價值：資產受到損害的程度、每次事故的成本是多少、事故發生的頻率以及每年的成本是多少。這些都會產生以下需要計算的元素:

AV(Asset Value) — 資產價值
EF(Exposure factor) — 資產損失的百分比
SLE(Single Loss Expectancy) = AV x EF — 每次發生成本會是多少?
ARO(Annual Rate of Occurrence) — 每年這種情況會發生多少次？
ALE(Annualized Loss Expectancy) — 如果我們什麼都不做的話每年的成本
TCO(Total Cost of Ownership) — 緩解成本：前期成本+持續成本(正常維運)

讓我們繼續用剛剛上面的雲端案例:

AV = 個資($1000000)每次被偷
EF = 這是100%的損失，因為資料已經被偷了
SLE= AV x EF — 所以只要VM每次被偷資料的成本 1000000 x 100%
ARO = 這種狀況一年發生五次(歷史紀錄)
ALE = 1M x 5 = 5M
TCO = 1M

Step 3: 風險回應與減緩

以上這些都是風險，為此我們必須要對風險做出回應。風險回應分為以下幾種類型:

Accept — 知道風險存在，但緩解措施的成本高於風險成本（低風險）
Mitigate(減少風險) —將VM裡的資料加密就是一個例子 — 減少到可接受的程度，但還是有residual risk
Transfer — 例如資安保險
Avoidance — 該台VM關起來不要用(但業務上是不可能的)
Rejection — 你知道風險的存在，但你卻忽略了它。這是無法接受的。（責任在你）。
Secondary Risk — 減緩的一個風險，但卻開啟第二個。如使用雲端運算的HA功能，但卻把底層硬體控制權交出去。

我們根據C-Level/客戶的決策採取行動，這些決策是他們根據我們在評估階段的建議做出的。在做出決策後，我們需要更新風險登記表、緩解措施和風險應對措施。

Step 4 : 風險與控制/回報監控

我們需要知道回應與減緩的措施做得如何。所以會有幾種指標出現:

KGI(Key Goal Indicator)老闆指標
定義衡量標準，以便事後告訴C-Level/客戶 IT 流程是否達到(reach)了其業務要求。
KPI(Key Performance Indicators)
定義衡量 IT 流程在實現目標方面執行情況(how well)的衡量標準

KRI(Key Risk Indicators)
呈現組織面臨的風險或活動風險程度的指標。它們是衡量遵守情況和建立企業風險偏好的支柱。KRI是組織用來提供各種風險暴露增加的早期信號的指標。KRI 提供早期預警，識別可能損害活動/專案連續性的潛在事件。

企業層級的IT風險，可參閱ISACA的IT風險框架。或是NIST CSF ，可參閱"NIST Cybersecurity Framework 介紹"。

Access Control Categories and Types

Access control的類別(Categories):

Administrative (Directive) Controls —
如組織的政策與程序、規定(ISO27001/COBIT/…)、教育訓練與意識培養
Technical (Logical) Controls —
軟硬體 — 如Firewall/加密等
Physical Controls —
鎖、柵欄、警衛、狗、大門、護柱

Access control的類型(Types):
有些組件或解決方案同時扮演了多個Access control types角色。

Preventative:
阻止事情發生 — Least privilege, drug tests, IPS, firewalls, encryption
Detective:
在攻擊期間或之後進行偵測 — IDS, CCTV, alarms, anti-virus
Corrective:
修正攻擊 — Anti-virus, patches, IPS
Recovery:
攻擊後回復 — DR Environment, backups, HA Environments
Deterrent:
威嚇 — 柵欄、保全、狗、燈、內有惡犬標誌
Compensating:
補償性控制－當其他控制措施不可能或實施成本太高時

ISC2與組織的道德(Ethics)

簡單來說就是 — 不.要.亂.搞。然後幫忙promote一下ISC2。

ISC2 的道德準則，這是你在考試前就同意了這一點，道德準則是非常值得檢驗的。理解序言和道德準則，但它們不應該代替專業人士的道德判斷。

道德準則序言:
社會的安全和福祉以及共同利益、對原則和彼此的責任，要求我們堅持並讓人們看到我們遵守最高的行為道德標準。因此，嚴格遵守本準則是一個條件的認證。

道德準則:

保護社會、共同利益、必要的公眾信任和信心以及基礎設施。
行事誠實、公正、負責、合法。
為原則提供勤勉、稱職的服務。
促進並保護該職業。

治理與管理(Governance and Management)

想了解較多的IT治理與管理的內容，可以"雲端運算的治理與管理"一文。

治理(戰略)

這是董事會跟C-Level的責任。評估利害關係人的需求、條件和選項，來確定：

要實現的平衡商定的企業目標
透過優先順序和決策方向
根據商定的方向和目標監控績效和合規性
風險偏好－激進、中性、保守。

管理(戰術)

這通常是中階管理這的責任。怎麼做才能達到目標。

根據治理設定的方向來規劃、建構、運作和監控活動以實現目標。
風險承受能力－我們如何實際應對我們的風險偏好和環境。

CxO

法律與監管(Laws and Regulations)

考試涵蓋了幾種類型的法律，這些法律對作為 IT 安全專業人員的工作很重要。

刑法(Criminal Law)
「整個社會」是受害者，證據必須「排除合理懷疑」。監禁、死刑和罰款來「懲罰和威懾(Punish and deter)」。
民法(侵權法)[Civil Law (Tort Law)]:
個人、團體或組織都是受害者，證據必須是「大多數證據(The majority of proof)」。罰款“補償受害者”。
行政法（監理法）[Administrative Law (Regulatory Law)]：
政府機構頒布的法律（美國的FDA 、HIPAA、FAA 法律或台灣的個資法等）
私人法規(Private Regulations):
合約要求的合規（例如 PCI-DSS）
習慣法(習慣法):
主要處理個人行為和行為模式，它建立在該地區或地區的傳統和習俗之上
宗教法(Religious Law):
基於該地區或國家的宗教信仰，它們通常包括需要維護的道德準則

Rules/Regulations/Laws

HIPAA(Health Insurance Portability and Accountability Act) —
關於處理 PHI（(Protected Health Information）的嚴格隱私和安全規則
Security Breach Notification Laws(不是美國聯邦法而是州法)
ECPA(Electronic Communications Privacy Act) —
保護電子通訊免遭未經授權的竊聽。該法案因愛國者法案而被削弱。
PATRIOT Act of 2001 —
擴大執法電子監控能力。允許搜索和扣押而不立即披露。
CFAA(Computer Fraud and Abuse Act) — Title 18 Section 1030:
起訴電腦犯罪最常用的法律
PCI-DSS(Payment Card Industry Data Security Standard) —
從技術上講，這不是信用卡產業制定的法律。該標準適用於信用卡和記帳卡(debit cards)的持卡人資料。要求商家和其他人滿足最低限度的安全要求。PCI-DSS規定了安全政策、設備、控制技術和監控。

GDPR(General Data Protection Regulation)

GDPR 是歐盟法律中關於歐盟 (EU) 和歐洲經濟區 (EEA) 內所有個人的資料保護和隱私的法規。無論我們位於何處，如果我們在歐盟/歐洲經濟區有客戶，我們就必須遵守 GDPR。違反 GDPR 的企業可能會被處以最高 2,000 萬歐元的罰款，或最高可達上一財年全球年營業額 4% 的罰款，以較高者為準。

Restrictions:
合法攔截、國家安全、軍隊、警察、司法系統
Right to access:
如果需要，資料控制者(Data controllers)必須能夠提供個人資料的免費副本。
Personal data:
涵蓋各種資料類型，包括：姓名、電子郵件地址、地址、包含電子郵件和(或)姓名、IP 位址的取消訂閱確認 URL。
Right to erasure:
所有用戶都有「被遺忘的權利(right to be forgotten)」。
Data portability:
所有使用者都可以要求「以電子格式」存取其資料。
Data breach notification:
必須在 72 小時內向使用者和資料控制者通報資料外洩情況。
Privacy by design:
在設計資料流程時，必須注意確保個人資料的安全。公司必須確保只有資料是「完成職責所絕對必需的(absolutely necessary for the completion of duties)」。
Data protection officers:
其活動涉及資料處理和監控的公司必須任命一名資料保護人員。

Information Security Governance: Values, vision, mission, and plans

安全治理原則(Security governance principles)

根據上圖由上往下分別是:

Values:
我們的價值觀是什麼？道德、原則、信仰。
Vision:
我們渴望成為什麼？希望和野心。
Mission:
我們為誰做？動機和目的。
Strategic Objectives:
我們將如何前進？計劃、目標和順序。
Action & KPIs:
我們需要做什麼以及如何知道何時實現了目標？行動、資源、結果、擁有者和時間表(如下圖)。

Policies(Mandatory):
這是在治理層面需要訂定的，沒有特定的。例如，IT系統需要Patches,/updates/strong encryption。而不管用甚麼樣的OS或價密技術。
Standard(Mandatory):
標準設立 — 例如一定要用蘋果電腦MAC的某個型號。
Guidelines(non-Mandatory/discretionary):建議怎麼做
Procedures(Mandatory):
具體的步驟(step-by-step)。用什樣的“作業系統、加密類型、供應商技術”等。