時光飛逝,很快就邁入第三屆鐵人競賽,
抱持每年都應將新的技術成長收穫做整體輸出的期許,
結合工作實際經歷跟資訊安全技術發展技術底層,
也是對自己的一種全面性的輸入、輸出的腦力鍛鍊。
前面兩屆鐵人賽,分別分享關於 SIEM 和 DAM 的技術乾貨
今年則挑選 【30 天成為 IAM 達人】作為今年的競賽主題。
資訊安全自資訊科技發展至今,
著眼的都是希望透過維持既有基礎設施,補強原有設計的技術缺陷,
透過提供系統可信賴、機敏性保護與資訊完整的 C.I.A 元素,
來讓現今資訊的運行更加順遂安全。
身份安全 (Identity and Access Management, IAM)
是自最初系統誕生之時,即應運而生的技術,
包含從最基本的管控「誰」能夠存取「系統」開始衍伸而來。
而細觀近年資安事件發展趨勢,除了直接利用系統漏洞之外,
透過社交工程手段或資料外洩過程獲得的憑據 (Credentials),
更是多發生在直接利用合法身份直接進行系統入侵,進而產生後續一連串負面影響。
雖然身份安全涵蓋面向多元,但還是希望透過 30 天的文章篇幅,
將其基本元素、技術發展、應用情況、當前發展與威脅風險進行多面向的介紹。
以下為接下來每日文章的主題預計規劃,也邀請各位邦友一起共襄盛舉、多多支持。
Day 1: 身份安全 (IAM) 初章
Day 2: 身份管理核心:認證、授權與資源
Day 3: 身份管理元素:帳號密碼與角色權限
Day 4: 身份安全基石:背後的密碼安全原理
Day 5: 身份安全技術:SSO 與 MFA 機制
Day 6: 身份安全威脅:因應身份威脅的身份治理
Day 7: 身份安全框架:零信任核心策略
Day 8: 身份安全挑戰:資料隱私與資料主權
Day 9: 身份安全應用:身份即服務 (IDaaS)
Day 10: 身份管理基礎:目錄服務(Directory)
Day 11: 身份管理基礎:認證與授權機制(IAM)
Day 12: 身份管理基礎:身份治理與管理(IGA)
Day 13: 身份管理基礎:特權帳號管理(PAM)
Day 14: 身份管理基礎:身份編排(Orchestration)
Day 15: 身份管理進階:單一登入 (SSO) 技術
Day 16: 身份管理進階:多因子認證 (MFA) 機制
Day 17: 身份管理進階:驗證碼機制 (CAPTCHA)
Day 18: 身份管理進階:API 安全管控機制
Day 19: 身份管理技術機制總結
Day 20: 身份安全威脅:憑證 (Credential) 威脅
Day 21: 身份安全威脅:社交工程威脅
Day 22: 身份安全威脅:SQL Injection 風險
Day 23: 身份安全威脅:APT 漏洞攻擊
Day 24: 身份安全威脅:供應鏈攻擊威脅
Day 25: 身份安全威脅:物聯網(IoT)身份威脅
Day 26: 身份安全威脅:《X-Force Threat Intelligence Index 2024》
Day 27: 身份安全威脅:《Cost of a data breach 2024》
Day 28: 身份安全實例(一):數位身分證(New eID)
Day 29: 身份安全實例(二):數位身分證(SingPass)
Day 30: 身份安全總結(存取、治理、保護、威脅、趨勢)