知識內容

• PR.PS-04
  產生日誌記錄
  並提供用於持續監控

  • 目的

    • 確保所有系統活動都被記錄下來

    • 並且這些記錄可供安全監控使用

    • 以便及時發現和應對潛在的安全事件

  • 核心

    • 記錄檔

      • 系統活動時間序記錄
        含使用者行為、系統事件與告警

    • 持續監控

      • 持續收集、分析和審查記錄檔
        以識別潛在安全事件的過程

  • 措施

    • 所有資產與設定產生紀錄檔

      • 作業系統

      • 應用程式

      • 服務（含雲端）

    • 安全將日誌傳輸到集中式日誌管理系統

      • 存取日誌的權限

    • 設定記錄檔產生器以記錄零信任所需資料

      • 詳細日誌紀錄

      • 執行安全策略

  • 舉例

    • 金融機構使用記錄檔和持續監控來檢測詐騙

    • 識別異常的交易模式，在造成損失之前採取行動

• PR.PS-05
  防止安裝和執行未經授權的軟體

  • 目的

    • 防止在組織的系統上安裝和執行未經授權的軟體

    • 軟體可能會帶來安全風險或違反組織政策

  • 核心

    • 禁止未經組織明確批准安裝或使用的任何軟體

      • 惡意軟體

      • 盜版軟體

  • 措施

    • 使用白名單與黑名單限制軟體的執行

    • 安裝新軟體前先驗證其來源和完整性

    • 使用白名單與黑名單限制軟體連線的 DNS

    • 只使用白名單安裝組織允許與批准的軟體

  • 舉例

    • 醫療機構實施應用程式白名單的安全措施

    • 防止儲存患者個資的系統出現未經授權的軟體

• PR.PS-06
  整合安全的軟體開發實務
  並在整個軟體開發生命週期中
  監控其效能

  • 目的

    • 透過 SSDLC 流程進行開發並減少應用程式漏洞

  • 核心

    • 透過實務方法，確保軟體的安全性與彈性

    • 常見的方法：威脅建模、程式碼審查、滲透測試

  • 措施

    • 遵循 SSDLC 開發安全流程

    • 保護組織開發的軟體元件

      • 不被竄改

      • 未經授權存取

    • 降低組織開發的軟體漏洞

    • 維護環境所使用的軟體，不需要時要移除

  • 舉例

    • 採用 SSDLC 助於在軟體發佈之前識別漏洞

小試身手

• 下列哪一項措施 無法有效 達成 PR.PS-04「記錄檔的產生與持續監控」所要實現的安全性？

  • (A) 設定所有系統與應用程式產生詳細的記錄檔，包含日期、時間、使用者活動和系統事件。

  • (B) 將所有記錄檔集中儲存至一個安全的中央系統，並限制只有授權人員才能存取這些記錄檔。

  • (C) 定期刪除記錄檔，以避免儲存空間不足，並降低記錄檔被未經授權存取的風險。

  • (D) 使用安全工具和技術，例如安全資訊與事件管理（SIEM）系統，持續監控記錄檔中是否有任何可疑的活動或事件。

  • 答案

    • C

      • PR.PS-04 的目標是確保所有系統活動都被記錄下來，並且這些記錄可供安全監控使用，以便及時發現和應對潛在的安全事件。定期刪除記錄檔可能會導致重要的安全事件資訊遺失，並妨礙事件調查和鑑識分析。

• 下列哪一項是 PR.PS-05「防止安裝和執行未經授權的軟體」的最主要目的？

  • (A) 降低軟體授權成本。

  • (B) 簡化軟體安裝流程。

  • (C) 降低安裝未經授權軟體帶來的資安風險。

  • (D) 確保所有軟體版本都保持最新狀態。

  • 答案

    • C

      • PR.PS-05 強調防止在組織的系統上安裝和執行未經授權的軟體。未經授權的軟體可能帶有惡意程式碼、漏洞或後門程式，可能被攻擊者利用來竊取資料、破壞系統或進行其他惡意活動。

• 下列哪一項是 PR.PS-06「整合安全的軟體開發實務並在整個軟體開發生命週期中監控其效能」的核心概念？

  • (A) 縮短軟體開發週期。

  • (B) 減少軟體開發成本。

  • (C) 在軟體開發過程中及早發現並修復漏洞。

  • (D) 提升軟體開發人員的程式設計能力。

  • 答案

    • C

      • PR.PS-06 旨在確保在軟體開發過程中，將安全性融入每個階段，而非僅在開發完成後才進行測試。透過在整個軟體開發生命週期（SDLC）中整合安全措施，例如威脅建模、程式碼審查和滲透測試，可以及早發現並修復漏洞，從而降低軟體的安全風險。

• 下列關於 PR.PS-04「記錄檔的產生與持續監控」的敘述，何者錯誤？

  • (A) 詳細的記錄檔有助於安全事件的調查和鑑識分析。

  • (B) 只有在發生安全事件時，才需要產生和儲存記錄檔。

  • (C) 持續監控記錄檔可以協助組織及時發現和應對潛在的安全事件。

  • (D) 組織應該將記錄檔視為重要的安全資產，並採取適當的安全措施來保護它們。

  • 答案

    • B

      • 記錄檔的產生與持續監控應該是一個持續進行的過程，而非僅在發生安全事件時才進行。這是因為許多安全威脅，例如進階持續性威脅（APT），可能在被發現之前已經潛伏在目標系統中很長時間。如果沒有持續產生和監控記錄檔，組織可能無法及時發現和應對這些威脅。

• 以下哪個情境最能突顯 PR.PS-05「防止安裝和執行未經授權的軟體」的重要性？

  • (A) 員工在未經授權的情況下，將公司提供的電腦連接到公共 Wi-Fi 網路。

  • (B) 員工想要使用未經授權的軟體來簡化工作流程。

  • (C) 員工想要在公司電腦上安裝遊戲軟體。

  • (D) 員工在未經授權的情況下，將公司資料複製到個人隨身碟。

  • 答案

    • A

      • 雖然其他選項也可能造成資安風險，但選項 (A) 最能直接反映 PR.PS-05 要解決的問題。當員工將公司電腦連接到未受保護的公共 Wi-Fi 網路時，惡意軟體更容易入侵電腦。如果電腦沒有安裝和執行未經授權軟體的保護措施，例如應用程式白名單或黑名單，則更容易受到惡意軟體的攻擊。