iT邦幫忙

2024 iThome 鐵人賽

DAY 18
0
Security

【Google資安證書課程重點整理】系列 第 18

【Google資安證書重點整理】Day 18_資產、威脅和漏洞( 二 )

  • 分享至 

  • xImage
  •  

導讀

https://ithelp.ithome.com.tw/upload/images/20240919/20026585LZ1OsZpNQB.png
於前一篇我們討論了資產的定義與分類,解說了風險與資訊安全及安全的控管,今日的課程將安排解說加密的方式,解說資訊相關的法規及合規性,並安排實作對檔案的加解密。

#今日內容規劃

  • 最小權限原則與權限管理
  • 資料生命週期與資料治理
  • 資訊隱私與安全:法規與合規性
  • 加密的概念
  • 對檔案進行加解密
  • 加鹽的實作方式

最小權限原則與權限管理

一、最小權限原則

  • 最小權限原則(PoLP, Principle of Least Privilege):是一種安全原則,旨在讓使用者只能存取完成其所需工作所必須的資料或資源,並且限制存取範圍,以降低風險。
  • 關鍵點:
    • 降低不必要的資料存取風險。
    • 減少潛在的攻擊面。

具體方法:

  1. 限制存取權的分配。
  2. 實施基於角色的權限控管。
  3. 定期審查和調整使用者權限。

二、確定存取和授權

  • 為了實施最小權限原則,必須確定使用者需具備哪些權限。
  • 權限管理的幾個關鍵問題
    • 使用者需要的權限類型。
    • 這些權限如何授予以及使用方式。

權限管理的步驟:

  1. 定義使用者角色
  • 根據工作職責,分配不同層級的存取權限。
  • 減少不必要的權限授予,保障資源安全。
  1. 審核權限
  • 定期審核以確保使用者的權限依舊符合工作需求。
  • 避免過期的存取權限遺留。

三、審核帳戶權限

  • 定期進行帳戶審核以防止權限濫用。
  • 審核重點:
    1. 使用者是否擁有適當的權限。
    2. 帳戶是否有過期或不再需要的權限。
    3. 設定與授權流程是否一致。

四、使用多層次的驗證機制

  • 實施多層次的驗證可以更好地保護敏感資源和資料。
  • 常見的驗證方法
    • 使用者驗證。
    • 權限驗證。
    • 帳戶雙重驗證。

具體建議:

  • 使用者驗證:對於高風險操作,應實施雙重驗證,以提高系統的安全性。

資料生命週期與資料治理

一、資料生命週期

資料生命週期包含多個階段,這些階段指導資料的管理,從收集到處置的每一步驟都至關重要。資料生命週期中每個階段都關聯著資料的保護和隱私管理。

生命週期的階段:

  1. 收集(Collection)
  2. 存儲(Storage)
  3. 使用(Usage)
  4. 歸檔(Archival)
  5. 銷毀(Destruction)

二、資料治理

資料治理是確保企業能夠有序處理其所有資料的過程,確保合規、隱私保護和資料安全的管理措施得以落實。

資料治理的關鍵要素:

  1. 定義資料管理策略:確定資料收集、存儲、處置的標準和政策。
  2. 資料分類和標籤:根據敏感度分類資料,以便於識別需要特殊保護的資料。
  3. 資料存取控制:確保只有授權人員才能夠存取敏感資料。
  4. 定期審核與更新:隨著業務的變化,持續審查和更新資料的管理政策。

三、在每個階段保護敏感數據

敏感數據必須在生命週期的每一階段受到保護,包括:

  • 收集:確保資料的合法性,並取得適當的同意。
  • 存儲:使用加密技術來保護資料。
  • 使用:限制資料存取權,只有經過授權的使用者才能存取。
  • 銷毀:資料不再需要時,必須確保其被安全銷毀。

四、接受者保護的責任

資料的使用者和接受者有責任確保資料被正確使用且保護到位,包括:

  1. 個人資料(PII)保護:包括個人身份資訊,應使用標準的安全措施來保護。
  2. 健康資訊(PHI)保護:保護醫療記錄、保健相關資料等信息,遵循 HIPAA 等規範。

資訊隱私與安全:法規與合規性

一、資料隱私

資料隱私與合規性法規至關重要,要求企業必須遵守不同法規來保護資料隱私和防止濫用。

主要考量:

  1. 保障資料隱私:確保只有授權人員可存取與使用敏感資料。
  2. 資料保護規範:確保資料安全管理,包括收集、儲存、使用等層面的規範。
  3. 法律合規性:遵守資料保護法規,避免潛在的法律風險。

二、資訊安全與資料隱私保護

保護資料隱私的重要策略包括防止資料洩漏、管理存取權限、定期進行安全審查等。

保護措施:

  • 限制存取權限:僅限授權人員存取敏感資料。
  • 數據加密:對敏感資料進行加密,避免不當使用或洩漏。
  • 定期安全審查:定期檢查系統和安全防護措施,以確保資料持續安全。
  • 教育培訓:加強員工的安全意識和資料保護培訓,確保正確的資料使用行為。

三、合規性與法律要求

針對不同產業和地區,存在多項不同的法律和法規來規範資料保護,以下是常見的資料保護法規:

常見法規:

  1. 通用資料保護條例(GDPR):適用於歐盟範圍內,規定如何合法地收集、處理和儲存個人資料。
  2. 美國健康保險攜帶與責任法案(HIPAA):適用於醫療保健相關領域,保護病患健康資訊。
  3. 支付卡產業資料安全標準(PCI DSS):適用於處理支付卡交易的企業,要求保護支付資訊安全。

四、為什麼遵守合規要求很重要

合規要求的目的:

  • 確保資料隱私與安全,防止資料外洩及非法使用。
  • 避免違反法規帶來的高額罰款及法律風險。
  • 提升公司形象與信譽,增強客戶信任度。

不遵守合規可能的後果:

  • 罰款與法律訴訟。
  • 品牌損害與信譽受損。
  • 資料外洩的潛在風險。

五、安全行動與措施

為了有效保護資料隱私與防止資料洩漏,企業應該採取多層次的安全保護措施:

主要措施:

  • 多因素驗證(MFA):要求使用者在登入系統時提供多重驗證,以提高安全性。
  • 資料加密:加密敏感資料,避免未經授權的人員存取。
  • 系統監控:監控系統中的活動,偵測潛在的資料洩漏或不當使用。
  • 定期審核與更新安全政策:隨時根據業務需求及法規變化,更新資料保護政策

加密的概念

加密類型與原理

  • 對稱加密:
    • 使用單一金鑰進行加密與解密。
    • 優點:速度快。
    • 缺點:金鑰管理不易,若金鑰外洩則安全性大幅降低。
  • 非對稱加密:
    • 使用公鑰加密、私鑰解密。
    • 優點:安全性高,適合傳輸金鑰。
    • 缺點:速度較慢。

密鑰長度與安全性

  • 密鑰長度越長,安全性越高,但計算時間也越長。
  • 現代加密普遍使用較長的密鑰長度,如 AES 的 128、192 或 256 位元,RSA 的 1024、2048 或 4096 位元。

常用加密演算法

  • 對稱演算法:
    • Triple DES:較舊的演算法,因金鑰長度較短且加密資料量有限而逐漸被淘汰。
    • AES:當今最安全的對稱演算法之一,提供 128、192 或 256 位元的金鑰長度。
  • 非對稱演算法:
    • RSA:廣泛用於保護高度敏感的資料,金鑰大小為 1024、2048 或 4096 位元。
    • DSA:作為 RSA 的補充,常用於公鑰基礎設施中。

金鑰生成與管理

  • OpenSSL: 一種常用的開源工具,用於生成公鑰和私鑰。
  • 金鑰管理的重要性: 金鑰的生成、儲存和使用都必須嚴格管理,以確保安全性。

加密在實際應用中的運用

  • 網站安全: 非對稱加密用於保護登入資訊,對稱加密用於提高傳輸速度。
  • 合規性: 加密是許多資料保護法規(如 FIPS 140-3、GDPR)的必備要求。

其他重要觀點

  • 克爾喬夫原理: 加密系統的安全性不應依賴於算法的保密性,而是依賴於金鑰的安全性。
  • 自訂加密演算法的風險: 自行開發的加密演算法可能存在未知的漏洞,不如標準演算法可靠。

實際操作課程

任務 1: 讀取文件的內容

  1. 進入工作目錄
  • 目錄:/home/analyst
  1. 列出當前工作目錄中的檔案
  • 使用 ls 指令。
  • 檔案:Q1.encryptedREADME.txt
  • 子目錄:caesar
  1. 讀取 README.txt 文件內容
  • 使用 cat 指令。
  • 內容提到 caesar 子目錄包含隱藏文件。

任務 2: 尋找隱藏文件

  1. 進入 caesar 子目錄
  • 使用 cd caesar 指令。
  1. 列出所有檔案(包括隱藏文件)
  • 使用 ls -a 指令。
  • 顯示:., .., 和 .leftShift3
  1. 讀取 .leftShift3 文件內容
  • 使用 cat 指令。
  • 文件內容被凱撒密碼加密,需進行解密。
  1. 解密 .leftShift3 文件內容
  • 使用 tr 指令:

    bash

    複製程式碼

    cat .leftShift3 | tr "d-za-cD-ZA-C" "a-zA-Z"

  • 這個指令將凱撒密碼向左移動三個位置進行解密。

  1. 返回主目錄
  • 使用 cd ~ 指令。

任務 3: 解密文件

  1. 解密 Q1.encrypted 文件
  • 使用 openssl 指令:

    bash

    複製程式碼

    openssl aes-256-cbc -pbkdf2 -a -d -in Q1.encrypted -out Q1.recovered -k ettubrute

  • 說明:

    • aes-256-cbc:加密算法
    • -pbkdf2:金鑰加密
    • -a:指定編碼
    • -d:解密模式
    • -in:輸入文件
    • -out:輸出文件
    • -k:密碼
  1. 檢查解密後的文件
  • 使用 ls 指令查看新檔案 Q1.recovered
  • 使用 cat 指令讀取 Q1.recovered 文件內容。

結論

  • 熟悉使用基本的 Linux Bash shell 命令來:
    • 列出隱藏文件
    • 解密凱撒密碼
    • 解密加密檔案

雜湊函數的演變

  1. 雜湊函數的重要性
  • 關鍵的控制措施
  • 用於身份驗證和不可否認性(資訊的真實性無法被否認)
  1. 雜湊函數的基本概念
  • 產生無法解密的程式碼
  • 將資訊轉換為唯一值,確保資訊的完整性
  1. 哈希演算法的歷史
  • 早期的哈希函數
    • 用於快速搜尋資料
    • 將資料表示為固定大小的值或摘要
    • 使用雜湯表儲存和引用雜湊值
  • MD5
    • 開發者:Ronald Rivest
    • 20世紀90年代初開發
    • 將資料轉換為128位元值,顯示為32個字元的字串
    • 發現缺陷:128位元摘要存在安全漏洞
  1. 哈希衝突
  • 定義:不同輸入產生相同雜湊值
  • 問題:雜湊值的長度有限,可能產生碰撞
  • 攻擊方式:碰撞攻擊模仿真實資料
  1. 下一代哈希演算法
  • SHA(安全雜湊演算法)
    • NIST 批准的演算法
    • SHA 系列:
      • SHA-1(160位元)
      • SHA-224
      • SHA-256
      • SHA-384
      • SHA-512
    • 抗衝突,但仍可能受到其他漏洞攻擊
  1. 安全的密碼存儲
  • 密碼儲存於資料庫,並與使用者名稱映射
  • 憑證驗證:伺服器比對密碼,授予存取權限
  • 散列增加安全層,防止明文密碼被竊取
  1. 彩虹表
  • 預先產生的雜湊值及其關聯明文
  • 類似於弱密碼的字典
  • 攻擊者可使用彩虹表進行比對
  1. 加鹽技術
  • 額外保護:在散列前添加隨機字串
  • 增強雜湊值的唯一性,抵禦彩虹表攻擊
  • 示例:加鹽的“password”會生成不同的雜湊值
  1. 鹽的長度和唯一性
  • 長度和複雜度影響破解難度
  • 隨著加鹽的普及,對密碼和敏感資料的保護變得更強

加鹽的實作方式

任務 1: 產生檔案的雜湊值

  1. 工作目錄設置
  • 進入主目錄 /home/analyst
  • 目錄內有兩個文件 file1.txtfile2.txt,每個文件包含不同數據。
  1. 顯示檔案內容
  • 使用 ls 指令列出目錄內容,確認兩個文件存在。
  • 使用 cat 指令顯示 file1.txtfile2.txt 內容。
  • 檔案內容看起來相同,但需要產生雜湊值以確定是否不同。
  1. 產生雜湊值
  • 使用 sha256sum 指令產生 file1.txtfile2.txt 的雜湊值:
    • file1.txt 的雜湊值:131f95c51cc819465fa1797f6ccacf9d494aaaff46fa3eac73ae63ffbdfd8267
    • file2.txt 的雜湊值:2558ba9a4cad1e69804ce03aa2a029526179a91a5e38cb723320e83af9ca017b
  • 結果顯示兩個檔案的雜湊值不同。
  1. 驗證任務
  • 點擊「檢查我的進度」以確認任務是否正確完成。

任務 2: 比較雜湊值

  1. 將雜湊值寫入檔案
  • 使用 sha256sum 指令產生 file1.txt 的雜湊值並寫入 file1hash 檔案。
  • 使用相同步驟產生 file2.txt 的雜湊值並寫入 file2hash 檔案。
  1. 手動顯示和比較
  • 使用 cat 指令顯示 file1hashfile2hash 兩個檔案的雜湊值,並觀察差異。
  1. 使用 cmp 指令比較
  • 使用 cmp 指令逐字節比較 file1hashfile2hash 檔案。
  • 結果顯示兩檔案在第一行的第一個字元存在差異。
  1. 驗證檔案不同
  • 根據雜湊值,確認 file1.txtfile2.txt 內容不同。
  • 點擊「檢查我的進度」以確認任務是否正確完成。

資訊安全保護與控制

  1. 資料保護
  • 資料保護是安全控制的基本要素。
  • 散列與加密是強大但有限的安全工具。
  • 管理誰能存取資料是資訊保護的關鍵。

存取控制概述

  1. 存取控制的作用
  • 存取控制可以有效維護資料的機密性、完整性與可用性。
  • 存取控制還能快速提供用戶所需資訊。
  1. 三大存取控制功能
  • 存取控制系統包括三個相關功能:
    1. 身份驗證(Authentication)
    2. 授權(Authorization)
    3. 計費與問責(Accounting)

身份驗證(Authentication)

  1. 身份驗證的目的
  • 驗證試圖存取資訊的使用者身份:問「你是誰?」
  • 回答身份驗證問題的方式依據組織的安全策略,可有不同層次的徹底性。
  1. 身份驗證的三個因素
  • 知識因素:使用者知道的資訊,如密碼或安全問題的答案。
  • 所有權因素:使用者擁有的物件,如一次性密碼(OTP)。
  • 特徵因素:使用者的生物特徵,如指紋或臉部辨識。
  1. 身份驗證的作用
  • 透過提供的資訊與系統存取控制中的資料進行比對。
  • 資訊不匹配則拒絕存取,匹配則授予存取權限。

單一登入(Single Sign-On, SSO)

  1. SSO 的便利性
  • 單一登入技術能讓使用者只需一次驗證身份,便可快速存取多個系統。
  • 避免使用者重複進行身份驗證。
  1. SSO 的潛在漏洞
  • 單一因素的 SSO 存在安全漏洞,容易受到攻擊。
  • 單純依賴 SSO 可能導致錯誤授權,將存取權限授予錯誤的使用者。

多重身份驗證(Multi-Factor Authentication, MFA)

  1. MFA 的增強安全性
  • 多重身份驗證要求使用者以兩種或更多方式驗證身份。
  • 通常結合知識因素與所有權因素來證明使用者身份。
  1. SSO 與 MFA 的結合
  • SSO 與 MFA 結合使用可以在提供便捷存取的同時確保更高的安全性。

授權(Authorization)

  • 在身份驗證之後,接下來是授權的探討。

總結

文章還涵蓋了以下重要議題:
資料生命週期與資料治理: 強調了在資料生命週期的每個階段都應採取適當的保護措施,並介紹了資料治理的關鍵要素。

資訊隱私與安全: 討論了資料隱私的重要性,以及相關的法規和合規性要求。
加密技術: 介紹了加密技術的概念和應用,包括對稱加密、非實對稱加密以及雜湊函數。
存取控制: 詳細說明了身份驗證、授權和計費等存取控制的概念和實施方法。

總結來說,這篇文章系統地介紹了資訊安全中權限管理的重要性,並提供了實用的建議和方法。透過實施最小權限原則和有效的權限管理,可以有效降低資訊系統的風險,保護敏感資料的安全。


上一篇
【Google資安證書重點整理】Day 17_資產、威脅和漏洞( 一 )
下一篇
【Google資安證書重點整理】Day 19_資產、威脅和漏洞( 三 )
系列文
【Google資安證書課程重點整理】30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言