iT邦幫忙

2024 iThome 鐵人賽

DAY 5
0

H1Day5:機密性

H31.1.1. 機密性

根據NIST 800-66 定義,機密性是「一項資訊資產,無論是以資料或資訊的方式存在,都能免於被未經授權的人員(系統)使用或揭露」 。而為了達到機密性的要求,使用者必須:

  1. 提供正確的使用者名稱
  2. 提供正確的密碼證明你是你
  3. 驗證身份後確認你自己在系統可存取的清單上
  4. 留下跡核軌跡

機密性的圖示

圖 1 1 機密性的圖示
設定帳號和密碼,防止駭客入侵,即為機密性。然而除密碼外,組織還可以設定多因子認證(例如結合密碼和指紋),而使用預設帳號密碼(不安全的配置)與弱密碼(過短、字典有)就會和組織的存取控制政策有關。最後,像圖中所示,鎖是紙做的(如圖 1 1所示),這很有可能是組織特別設立的密罐(Honey Pot),用來吸引駭客入侵以掌握對手(駭客) 的入侵手法,並保護真正的資訊資產。

CC考點
(D)1.關於保護資料之機密性、完整性與可用性描述,下列何項正確?
(A) 應用系統的可用性對組織而言,皆為同等級重要
(B) 公司內部員工的個人資訊,不在機密性的保護範圍
(C) 對所有資訊資料而言,機密性最為重要
(D) 組織之公開資訊對外公布時,資料的完整性需審查後再開放
說明:
組織應重視機密性、完整性、可用性三要素,利用人員、管理制度、技術等方式,確定得以達成這三個要素。
2.如果駭客攻入Honey Pot,應該要引導駭客進入非軍事區(DMZ)嗎?
說明:
答案為否,組織應將駭客所攻入網段隔離,藉此保障其他資訊資產

CC考點
破壞機密性的方式(舉例,另外請注意筆者選的單字都是資安領域用的):
1.肩窺(shoulder surfing):(站在別人身後)越過肩膀探看別人操作獲取資訊的做法。這種方式在填表、在POS機上輸密碼等人多擁擠的場合更為常見。筆者以前服務過一家公司,人資人員因為人資資料的敏感性,所以不願意其他同仁從左右方接近她,只能從前方(看不到電腦營幕)的方向先跟她打招呼。並且在她的電腦營幕上裝有「防窺片」(一個塑膠片,只有正面面向電腦的操作者才能看到電腦營幕)。7-11的提款機,在輸入密碼時,有用一個塑膠框框住密碼鍵盤,也可以防止肩窺。
2.垃圾桶搜尋(dumpster diving):印有員工姓名、身份證字號的廢紙、有銀行帳號的ATM提款單、公司給客戶印壞的文件、列印出來然後廢棄的電子郵件。對於一個有耐心的駭客而言,尤其是你要攻破金融業、航空公司、賭場、醫療機構、虛擬貨幣交易商等非常重視資安的公司,要從google去找他們的資訊不容易。但是他們的員工,平常常常接觸到很多業務往來的資料,一不小心就丟進垃圾桶。垃圾桶搜尋的手法,就是到對手(駭客的目標)公司去翻垃圾桶,然後找有用的資訊。再配合社交工程(比方找到印有姓名電話電子郵件的廢紙),攻入企業。防止的方法就是繁感文件要用碎紙機碎掉,或者採用水解方式(這個通常要和簽約廠商合作)比方筆者之前服務的一家公司,有客戶帳單的資訊,依法保存十年,十年後就會整門送去水解(用水和攪拌機把紙變成紙漿)。
3.竊聽(Eavesdropping):假設Alice和Bob在講電話、傳訊息、寫電子郵件往來、在網路上傳檔,竊聽就是指二者中間還有一個人(假設叫Eaves),在中間攔截二人的對話,這樣的行為就叫竊聽。又例如駭客在手機的APP中植入惡意程式,用麥克風和錄音功能,將Bob和Alice之間的通話都錄下來,然後收集到資訊再攻擊,這也是傷害了機密性 
4.社交工程(Social Engineering):利用人性弱點,對權威的信任、恐嚇、從眾稀缺、緊急、喜歡或有相同點,然後透過人(駭客的目標)獲得金錢或機敏資訊。例如透過AI變臉再加上聲紋掃描模仿,假裝CEO的身份,要求財務部門匯款至某一帳戶;又或者利用釣魚郵件,以吸引人的標題和內容讓被釣魚的對象點選後輸入機密、敏感資訊。


上一篇
Day4:Domain1安全原則─瞭解資訊安全確保
下一篇
Day6:完整性
系列文
繁體中文的第一本CC書─Certified in Cybersecurity30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
ali88code
iT邦新手 5 級 ‧ 2024-08-08 14:22:12

沒看到圖11

我要留言

立即登入留言