2024 iThome 鐵人賽

DAY 17

Security

【Google資安證書課程重點整理】系列第 17 篇

【Google資安證書重點整理】Day 17_資產、威脅和漏洞( 一 )

16th鐵人賽

greenmaple

2024-09-18 10:25:32

179 瀏覽

分享至

導讀

目前，我們進入到了第五門課資產、威脅和漏洞，目標為了解安全控制和培養威脅行為者心態的重要性，以保護和防禦組織的資產免受各種威脅、風險和漏洞的影響。

本章內容安排

模組 1：資產安全簡介

您將了解組織如何確定要保護的資產。透過探索保護實體和數位資產的獨特挑戰，您將了解管理風險和資產分類之間的關聯。您還將了解美國國家標準與技術研究院 (NIST) 的框架標準、指南和管理網路安全風險的最佳實踐。

模組 2：保護組織資產

您將專注於保護組織資產的安全控制。您將探索隱私如何影響資產安全，並了解加密在維護數位資產隱私方面所發揮的作用。您還將探索身份驗證和授權系統如何幫助驗證使用者的身份。

模組 3：系統中的漏洞

您將了解漏洞管理流程。您將了解常見漏洞，並透過檢查漏洞被利用後如何成為資產安全威脅來培養攻擊者思維。

**模組 4：資產安全威脅 **

最後，您將探索數位資產安全的常見威脅類型。您還將研究網路犯罪分子用來瞄準資產的工具和技術。此外，您還將了解威脅建模流程，並了解安全專業人員如何領先於安全漏洞。

今日課程內容

在當今數位化的時代，組織所面臨的安全風險變得愈加複雜且多樣化。為了能夠有效地應對這些挑戰，我們必須充分理解「風險」、「威脅」以及「漏洞」三者之間的關係。這些關鍵術語是我們防範安全事件、制定風險管理策略的基礎。

風險並非單一孤立的現象，它涉及了企業資產的機密性、完整性和可用性。一旦安全威脅成功利用漏洞，將可能導致業務運作中斷或敏感數據洩露。只有透過了解這些概念，並在各個階段正確應用它們，我們才能為企業建立健全的資產保護措施，並確保資訊安全的穩定性。

接下來，我們將更深入地探討這些術語的具體意涵及其在實際安全管理中的應用。

了解風險、威脅和漏洞

當安全事件發生時，您需要與其他人密切協調以解決問題。要快速應對，清晰的溝通至關重要，這能確保您和團隊能夠有效完成工作。

在之前的課程中，您已經了解了三個基本的安全術語：

風險：任何可能影響資產的機密性、完整性或可用性的因素。
威脅：任何可能對資產產生負面影響的情況或事件。
漏洞：可被威脅利用的弱點。

這些術語在日常生活中可能常被互換使用，但在資訊安全領域，它們有著非常具體的定義與應用。理解這些術語，並在回應與規劃安全事件時正確使用它們，將有助於提升您的應對能力。在接下來的內容中，您將更深入了解每個術語的具體意涵以及它們之間的相互關係。

安全風險

安全計畫的核心在於組織如何定義風險。然而，這個定義可能因組織而異。正如您可能記得，風險是指任何可能影響資產的機密性、完整性或可用性的因素。由於每個組織擁有特定的重點資產，因此他們在解釋和處理風險的方式上往往會有所不同。

解釋風險的一種方法是考慮負面事件對企業可能產生的潛在影響。另一種表達方式是透過以下公式計算：

可能性 × 影響 = 風險

舉例來說，當您開車上班時，您有可能會遲到。如果途中輪胎漏氣，這種負面事件就變得更加可能。影響可能非常嚴重，例如失去工作。所有這些因素都會影響您每天的上班方式。企業在處理安全風險時也是如此。

通常，我們計算風險的目的是為了幫助：

防止高成本的破壞性事件
確定系統和流程可以改進的地方
評估可承受的風險範圍
優先處理需要關注的關鍵資產

負面事件對業務的影響取決於具體資產和情況。作為安全專業人員，您的主要任務是處理那些會增加問題可能性的因素，從而控制風險等式中的可能性部分。

危險因子

在本課程中，您將會發現兩個主要的風險因素需要特別關注：

威脅
漏洞

資產受到損害或破壞的風險，在很大程度上取決於威脅是否能夠利用漏洞。

讓我們將這個概念應用到上班遲到的風險上。假設威脅是一根釘子刺穿了您的輪胎，因為輪胎容易在鋒利的物體上行駛。在這種情況下，為了降低風險，您可能會選擇在乾淨的道路上行駛，以避免輪胎被刺穿。

威脅類別

威脅是可能對資產產生負面影響的情況或事件。威脅的類型多種多樣，但通常分為兩類：

有意的威脅：這類威脅通常是惡意的。例如，惡意駭客可能會針對配置錯誤的應用程式，以存取敏感資訊。
無意的威脅：這類威脅通常是無心的行為。例如，員工可能不小心為陌生人開門，允許他們進入禁區。

不論是有意還是無意的威脅，都可能導致需要緊急回應的事件。

漏洞類別

漏洞是可以被威脅利用的弱點。漏洞的範圍廣泛，但大致可分為兩類：

技術漏洞：例如，配置錯誤的軟體可能允許未經授權的人存取機密資料。
人為漏洞：例如，某位員工可能不小心在停車場遺失了門禁卡，這也可能成為威脅的入口。

不論是技術還是人為的漏洞，都可能導致風險增加。

常見分類要求

資產管理是追蹤資產及其影響風險的過程。這個過程背後的想法很簡單：你只能保護你知道你擁有的東西。

之前，您了解到識別、追蹤和分類資產都是資產管理的重要組成部分。在本文中，您將詳細了解資產分類的目的和好處，包括常見的分類等級。

為什麼資產管理很重要
確保資產安全是企業順利運作的基礎，這需要建立一個有效的系統來管理資產。設定這些系統的前提是對企業環境中的資產有詳細的了解。舉例來說，銀行每天必須確保有足夠的資金來為客戶提供服務，因此需要設備、裝置和流程的配合，以確保資金可用，並防止未經授權的存取。

資產的類型
組織需要保護各種不同類型的資產，這些資產包括但不限於以下幾種：

數位資產：例如客戶資料或財務記錄。
資訊系統：處理資料的網路、軟體等系統。
有形資產：例如設施、設備或用品。
無形資產：例如品牌聲譽或智慧財產權。

資產的分類與核算
無論資產的類型為何，每項資產都應進行分類和核算。資產分類的過程是根據組織的敏感性和重要性來對資產進行標記。資產的分類需要了解以下幾個關鍵問題：

您擁有什麼？
資產位於何處？
誰是資產的擁有者？
該資產有多重要？

根據這些特徵，組織可以對資產進行適當的分類，這有助於確定資產的敏感度與價值。

常見資產分類

資產分類對於組織實施有效的風險管理策略至關重要。透過分類，組織可以更好地優先配置安全資源、降低 IT 成本，並確保符合相關法律法規。

最常見的資產分類方案
資產通常根據其敏感度分為以下四類：

受限：最高級別的分類，適用於極其敏感的資產，通常只提供給特定人員（基於「需要了解」的原則）。
機密：包含可能對組織造成重大負面影響的資產，揭露這些資產會帶來嚴重後果。
僅限內部：供組織內部員工或業務夥伴使用的資產，這些資產對外公開可能帶來輕微風險。
公開：最低級別的分類，這類資產即使公開，對組織不會產生負面影響。

資產分類的應用

如何應用這些分類方案，主要取決於資產的特性。對某些組織來說，識別資產的所有者往往是資產分類中最具挑戰性的部分。

注意：儘管許多組織採用上述分類方案，但最高等級的名稱可能有所不同。例如，政府組織通常將其最敏感的資產標記為「機密」而不是「受限」。

Asset	Network access	Owner	Location	Notes	Sensitivity
Network router	Continuous	Internet service provider (ISP)	On-premises	Has a 2.4 GHz and 5 GHz connection. All devices on the home network connect to the 5 GHz frequency.	Confidential
Desktop	Occasional	Homeowner	On-premises	Contains private information, like photos.	Restricted
Guest smartphone	Occasional	Friend	On and off-premises	Connects to my home network.	Internal-only
External hard drive	Occasional	Homeowner	On-premises	Contains music and movies.	Confidential
Streaming media player	Continuous	Homeowner	On-premises	Payment card information is stored for movie rentals.	Internal-only
Portable game console	Occasional	Friend	On and off-premises	Has a camera and microphone.	Internal-only

數位資產的相關概念

資產保護的重要性

組織的資產需要受到保護。
安全團隊會根據資產的價值來分類並進行保護。
追蹤與管理資產對於組織的運作至關重要。

資產價值與數據的關聯

資產的價值通常與資訊（數據）密切相關。
數據是經過處理後的訊息，由計算機進行儲存或操作。
在現代世界中，數十億台設備互相連接，不斷交換數據。

數位資產的挑戰

數位資產面臨額外的保護挑戰。
數據的保護方式取決於其所處的狀態和使用情況。

數據的三種狀態

使用中的數據：正在被使用者存取或操作的數據。
傳輸中的數據：從一個位置傳送至另一個位置的數據。
靜態數據：未被存取，且儲存在實體設備中的數據。

資訊安全的重要性

資訊是企業最有價值的資產之一。
資訊安全（InfoSec）是防止未經授權存取的核心。
資訊安全薄弱可能導致身份盜竊、經濟損失以及名譽損害。

數位世界的變化

隨著世界日益互聯，新型漏洞不斷湧現。
即使設備處於靜止狀態，數據仍可能儲存在雲端，因此不一定完全處於靜止。

數據保護的關鍵

保護數據的方式取決於數據的位置及狀態。
了解數據的三種狀態有助於安全團隊進行風險分析，並制定相應的資產管理策略。

風險與資訊安全

1. 安全與人員、流程和技術的關聯

安全是一種文化，跨越組織各層級。
這是一個團隊的努力，涉及員工、供應商和客戶。
需要每個人參與來保護數位和實體資產。
安全計畫是應對風險的準備工具。

2. 安全計畫的核心目標

安全計畫的目標是為風險發生做好準備。
最有效的安全計畫應以人為重心，考量每個參與者的背景。
風險包括損壞、資訊外洩、遺失、攻擊和人為錯誤。
計畫的傳達方式因公司而異，但基本原則相似。

3. 安全計畫的三大要素

策略：降低風險和保護資訊的規則，是安全計畫的基礎。
- 政策範疇包括保護的對象及原因，例如可接受的使用政策（AUP）。
標準：戰術層面，指導策略的具體參考點。
- 例如，密碼管理標準規定密碼必須至少八個字元。
程序：執行特定安全任務的逐步說明，確保問責制和一致性。

4. 合規的重要性

合規指的是遵守內部標準與外部法規。
對於受到嚴格監管的產業，如醫療、能源、金融，不合規可能導致重大財務與聲譽損失。
法規保護人們及其信息，全球有許多不同的法規存在。

5. NIST 網路安全框架（CSF）

CSF 是美國國家標準與技術研究院（NIST）制定的自願性框架。
包含標準、指南和最佳實踐，幫助企業管理網路安全風險。
CSF 由三個主要元件組成：核心、層和設定檔。
- 核心：包括識別、保護、偵測、回應和恢復五大功能。
- 層：評估核心功能的執行狀況，從1級（最低）到4級（自適應）。
- 設定檔：描述當前安全狀況的快照，用於比較和分析進展。

6. 良好的安全實踐

不僅僅是避免罰款和攻擊，還表達了對人員及其訊息的關心。
安全實踐的核心功能包括：識別、保護、偵測、回應和恢復，這些都是實施安全計畫的重要步驟。

安全的控制原則

1. 安全控制的主動防護

接下來的課程將介紹用於主動保護資產的安全控制措施。
「主動」這個詞表示這些措施是用來防止問題發生的保護行動。

2. 深入探討隱私和加密技術

進一步探討隱私，介紹有效的數據處理以確保資訊安全。
了解加密和雜湊在保護資訊中的角色，以及標準存取控制系統。

3. 安全控制的壓力與重要性

組織面臨巨大壓力，需實施有效的安全控制來保護資訊免於竊取或洩漏。
安全控制可分為三種類型：技術、營運和管理。

4. 三類安全控制的定義

技術控制：使用加密、身份驗證系統等技術保護資產。
操作控制：人員執行的控制措施，如意識培訓和事件響應。
管理控制：通過政策、標準和程序來降低風險。

5. 資訊隱私的原則

資訊隱私是保護數據免於未經授權存取和分佈的重要概念。
個人和組織應該擁有決定如何共享其私人資訊的權利，安全控制技術是規範隱私的工具。

6. 實例：航班預訂中的資訊保護

當使用旅遊應用程式預訂航班時，輸入的個人資訊應僅限於相關人員存取。
為了保護隱私，安全控制會根據使用者角色和情境來限制存取，這被稱為最小特權原則。

7. 資料所有者與資料保管人的區分

資料所有者：決定誰能存取、編輯、使用或銷毀資訊。
資料保管人：負責資訊的安全處理、運輸和儲存。除了人，組織與系統也可能是資料保管人。

總結

這篇文章主要介紹了資產安全管理的重要性，並探討了「風險」、「威脅」和「漏洞」三者之間的關係。文章強調瞭解這些概念對於保護組織的資產至關重要。內容依次講解了資產的分類與管理，如何識別並應對威脅，以及減少漏洞帶來的風險。此外，文章詳細說明了威脅建模的過程，並介紹了不同類型的威脅和漏洞，特別是技術性與人為漏洞的影響。最後，通過資產分類幫助組織實施有效的風險管理策略，進一步提升資訊安全的穩定性。