將新手可能會不懂的資安基礎知識,利用 🥝 的符號,讓大家可以識別一些基礎內容。
企業安全當中要針對是否有做好基礎的盤點,以及了解自己可能會有哪一些被攻擊的目標之後,再來談最新的安全概念與趨勢,對於企業可能才不會無故花大錢。
比如說需要有漏洞修復的機制與流程,不然找到漏洞也沒有用處。
以及企業內部需要有資訊安全的最低標準 Baseline 用來滿足安全需求中的最低要求。
很像法律一樣是道德的最低標準。
Baseline 的概念,可以參考政府推廣的推廣政府組態基準(Government Configuration Baseline,簡稱GCB)
目的在於規範資通訊設備(如個人電腦、伺服器主機及網通設備等) 的一致性安全設定(如密碼長度、更新期限等),以降低成為駭客入侵管道,進而引發資安事件之風險。 ~ 國家資通安全研究院
常見的安全基準又可以稱規範、標準、參考,比如 OWASP 鍾的 OWASP Application Security Verification Standard 是一個針對應用程式安全驗證與開發人員安全開發的要求清單。
在前幾篇的內容,了解「知道駭客攻擊手法」的重要性,在過去的業界經驗當中,很多人苦於「不知道駭客會攻擊哪裡」導致忙著盤點,卻總是盤不到那個被駭客攻擊的工具。
但因為現在有許多自動化的工具可以協助與幫忙,因此盤點的價值會在「是否有效梳理真正會被攻擊的資產」。
也許企業短期或是初期先專注在「會被攻擊的資產」,再來一步一步建構更安全的企業環境。
攻擊面代表一個系統可以被駭客利用的所有因素。
假設一家電商平台有很多個線上服務,包括一個客戶購買物品的網站、一個管理員後台,以及一個 API 服務來管理庫存。
這家公司的攻擊面將包括所有這些服務,以及背後的伺服器器、資料庫、網路結構等。
根據 ATT&CK 中的 Reconnaissance 策略來收集必要的資訊,收集方式可分成主動收集、被動收集兩大方向,收集的內容包含企業內部的人員、使用系統、程式語言等,收集完畢之後會制定對應的下一步攻擊方向。
偵察的行為包括涉及駭客主動或被動收集可用來支持攻擊目標目標定位的資訊的技術。
比如說企業內部人員資料,透過 LinkedIn 來找出企業的關鍵人物並企圖欺騙他們透露敏感資訊。或是使用的系統和程式碼,企業使用的是知名的開源軟體,攻擊者可以尋找這個軟體的已知漏洞來進行攻擊。
不管是對外使用還是內部網路使用,都可以利用列表維護 IP、端口、服務的列表,但尤其內部網路中,開發部門可能所使用的 IP、端口與服務會常常變更。
因此短期可以先建立外部服務的伺服器,所使用的 IP、端口與服務。
人工維護資產列表是一件很困難的事情,尤其還有變更快速的問題,因此可以選擇「資產掃描器」來協助企業內部盤點對應的內容。
可以參考已經開源的工具,或是選擇自製相關的資產管理系統。
2001:0db8:85a3:0000:0000:8a2e:0370:7334
比較 | 內網 IP(Private IP Address) | 外網 IP(Public IP Address) |
---|---|---|
範疇 | 區域網路(LAN) | 廣域網路(WAN/Internet) |
唯一/不重複 | 在其所屬的區域域網内是唯一的,但在全球範疇上會有重複 | 在全球範疇上是唯一的 |
地址分配 | 通常由本地網路的路由器或 DHCP 伺服器分配 | 由服務提供商(ISP)分配 |
可存取性 | 只能在私有網路(例如家庭、企業)内部存取 | 可以從網路上的任何地方存取 |
0~65535
比較 | 知名端口 (Well-Known Ports) | 註冊端口 (Registered Ports) | 動態/私有端口 (Dynamic/Private Ports) |
---|---|---|---|
端口範圍 | 0-1023 | 1024-49151 | 49152-65535 |
誰可以使用 | 通常由系統或已知的應用服務使用 | 通常由廠商開發的應用程式使用,向http://www.iana.org 註冊專屬的Port | 通常是使用者端啟動使用者端程式時使用 |
多半都是跟保全公司合作,可以思考如果保全公司的系統有漏洞,是否也會威脅企業的安全性。
這個功能如果不需要用到,就不要開啟。
存取控制的策略
應用程式隔離