網路

The web網路實際上是一個互聯的在線內容網絡，由三個層次組成：表面網路、深網和暗網。

• Surface web表面網路是大多數人使用的層級。它包含可以使用網頁瀏覽器訪問的內容。
• Deep web深網通常需要授權才能訪問。組織的內部網絡是一個深網的例子，因為只有員工或其他已獲授權的人才能訪問。
• Dark web 暗網只能透過特殊軟體來訪問。由於提供的隱秘性，深網一般帶有負面含義，因為它是犯罪分子首選的網絡層。

Threats Risks vulnerabilities

威脅 Threats

定義：威脅是任何可能對資產產生負面影響的情況或事件。
例如：One example of a threa is engineering attack.社會工程是一種操控技術，利用人的錯誤來獲取私人信息、存取權限或貴重物品。
例如：phishing-Malicious links,phishing is a technique that is used to acquire sensitive data, such as user names, passwords, or banking information.

常見的威脅

常見的威脅包括：

• 內部威脅 Insider threats:：員工或供應商濫用其授權訪問來獲取可能對組織造成傷害的數據。
• 先進持續威脅 Advanced persistent threats (APTs)：威脅行為者在系統中保持未經授權的訪問一段長時間。

風險 Risks

定義：風險是任何可能影響資產的機密性、完整性或可用性的事物。將風險視為威脅發生的可能性。風險是這些事發生的可能性，對於一個組織來說，一個風險的例子可能是缺乏備份協議，以確保其存儲的信息在事故或安全事件發生時可以恢復。

• 低風險資產Low-risk asset:是指不會損害組織的聲譽或持續運營，且若被洩露不會造成財務損失的信息。這包括網站內容或已發表的研究數據等公共信息。
• 中等風險資產Medium-risk asset:可能包括不對外公開的信息，這些信息可能對組織的財務、聲譽或持續運營造成一定損害。
• 高風險資產High-risk asset:是任何受到法規或法律保護的信息，如果遭到泄露，將對組織的財務、持續運營或聲譽造成嚴重的負面影響。

風險因素

風險因素包括

• 外部風險 External risk:任何組織外部的事物，具有潛在危害組織資產的能力，例如威脅行為者試圖獲取私人信息的情況。
• 內部風險 Internal risk:可能對安全構成威脅的現任或前任員工、供應商或受信任的合作夥伴。
• 舊系統的影響 Legacy systems:未更新或未考慮的舊系統，但仍可能影響資產，如工作站或舊大型主機系統。例如，組織可能擁有一台仍在使用信用卡支付的舊自動販賣機或仍連接到舊會計系統的工作站。
• 第三方外包風險Multiparty risk:外包工作給第三方供應商可能使其獲得知識產權，如商業機密、軟件設計和發明。
• 軟件合規性問題:軟體合規/許可Software compliance/licensing：未及時更新或不符合要求的軟體，或未及時安裝的補丁。

脆弱性 vulnerabilities

• 脆弱性(漏洞)是可以被威脅利用的弱點。而且值得注意的是，脆弱性和威脅必須同時存在，才能形成風險。
• 漏洞的例子包括：過時outdated的防火牆,、軟體或應用程式；弱密碼；或未保護的機密資料,人員也可以被視為一種脆弱性。
• 各種系統漏洞，包括 ProxyLogon、ZeroLogon、Log4Shell、PetitPotam，以及安全日誌和監控失敗和伺服器端請求偽造等漏洞，這些漏洞可被攻擊者利用來執行惡意代碼、竊取信息或發起身份驗證請求。組織必須定期檢查系統漏洞以保護自身安全
  • ProxyLogon:
    • 背景：ProxyLogon 是一組影響 Microsoft Exchange Server 的漏洞。
    • 漏洞：這些漏洞允許攻擊者在不需要驗證的情況下遠程執行代碼，進而訪問電子郵件和其他敏感數據。
    • 影響：攻擊者可以利用此漏洞來竊取數據，安裝惡意軟件，甚至進一步滲透內部網絡。
  • ZeroLogon：
    • 背景：Netlogon 是一個用於身份驗證的協議。
    • 漏洞：ZeroLogon 是 Netlogon 協議中的一個漏洞，允許攻擊者在不需要驗證的情況下獲取對域控制器的完全訪問權限。
    • 影響：攻擊者可以利用此漏洞來接管整個 Windows 網絡環境。
  • Log4Shell:它可以讓攻擊者在他人的電腦上運行 Java 代碼或洩漏敏感資訊,通過使遠程攻擊者能夠控制連接到互聯網的設備並運行惡意代碼來實現。
  • PetitPotam:這是針對Windows新技術區域網路管理器（NTLM）的一種攻擊手段
    • 影響對象：PetitPotam專門影響NTLM，這是一種微軟的身份驗證協議。NTLM被廣泛應用於各種Windows服務，負責驗證用戶的身份，確保數據和資源的安全性。
    • 盜竊技巧：PetitPotam被描述為一種盜竊技巧，意指它可以被用來發起攻擊以竊取敏感信息或獲得未經授權的訪問權限
    • 發起認證請求:本地區域網攻擊者的角色：這個漏洞允許位於同一區域網路的攻擊者發起認證請求。這意味著如果攻擊者能夠在同一個網絡內部，他們可以利用這個漏洞來從目標系統中獲取敏感信息或提供不當訪問權限
  • 安全日誌:不足的日誌記錄和監控能力導致攻擊者在組織不知情的情況下利用漏洞
  • 監控失敗:缺乏足够的日志记录和监控能力，导致攻击者在组织不知情的情况下利用漏洞。
  • 伺服器端請求偽造:允許攻擊者操控伺服器端應用程式來訪問和更新後端資源。它還可以讓威脅行為者竊取數據。

威脅、風險和脆弱性對組織運作的三個主要影響。

勒索軟體

• 一種昂貴的惡意軟體，稱為勒索軟體。
• 一旦勒索病毒被攻擊者部署，它可以凍結網絡系統，使設備無法使用，並加密或鎖定機密數據，導致設備無法訪問。

3 Key Imapacts

• 財務影響 Financial impact: 當一個組織的資產因攻擊而遭到破壞，例如使用惡意軟體時，財務後果可能因多種原因而顯著。這些後果可能包括生產和服務的中斷、解決問題的成本，以及如果資產因不遵守法律和法規而受到損害則可能面臨的罰款。
• 身份盜竊 identity theft: 組織必須決定是否儲存客戶、員工和外部供應商的私人數據，以及儲存多長時間。儲存任何類型的敏感數據都會對組織造成風險。敏感數據可以包括個人可識別信息，或稱為PII，這些數據可能會在暗網上被出售或洩漏。這是因為暗網提供了一種神秘感，威脅行為者可能能夠在那裡出售數據而不面臨法律後果。
• 聲譽的損害organization's reputation:穩固的客戶基礎支持著組織的使命、願景和財務目標。被利用的漏洞可能會導致客戶尋找與競爭對手的新商業關係，或者造成負面報導，進而對組織的聲譽造成永久性損害。客戶資料的喪失不僅影響組織的聲譽和財務狀況，還可能導致法律制裁和罰款。

NIST’s Risk Management Framework(RMF)

National Institute of Standards and Technology
RMF 共有七個步驟：準備prepare、分類categorize、選擇select、實施implement、評估assess、授權authorize和監控monitor。

1. 準備 prepare: 準備是指在違規事件發生之前，管理安全和隱私風險所必要的活動。作為一名初級分析師，您可能會使用這一步來"監控"風險並"識別"可用來降低這些風險的控制措施。

2. 分類categorize: 第二步是分類，用於制定風險管理流程和任務。安全專業人士然後利用這些流程來開發任務，思考風險如何影響系統和資訊的保密性、完整性和可用性。作為一名入門級分析師，您需要理解如何遵循您組織制定的流程，以減少對關鍵資產的風險，例如私人客戶資訊。

3. 選擇select:第三步是選擇。選擇意味著挑選、自訂並捕捉保護組織的控制措施的文檔。選擇步驟的例子可能是保持操作手冊的最新狀態，或者幫助管理其他文檔，使你和你的團隊能更有效地應對問題。

4. 實施implement:第四步是為組織實施安全和隱私計畫。擁有良好的計畫對於減少持續安全風險的影響至關重要。例如，如果您注意到員工不斷需要重設密碼的模式，實施對密碼要求的更改可能有助於解決此問題。

5. 評估assess:第五步是評估。評估意味著確定既定控制措施是否正確實施。一個組織總是希望運作得盡可能高效。因此，花時間分析已實施的協定、程序和控制措施是否符合組織需求至關重要。在這一步驟中，分析師識別潛在的弱點，並確定組織的工具、程序、控制措施和協定是否應該改變，以更好地管理潛在風險。

6. 授權authorize:第六步是授權。授權意味著對組織中可能存在的安全和隱私風險負責。作為分析師，授權步驟可能涉及生成報告、制定行動計劃和建立與組織安全目標相一致的項目里程碑。

7. 監控monitor:監控是指了解系統的運作情況。分析師每天完成評估和維護技術運營的任務。保持組織風險在低水平的一部分是知道當前系統如何支持組織的安全目標。如果現有的系統無法達到這些目標，則可能需要進行變更。儘管可能不是您的工作去建立這些程序，但您需要確保它們按預期運作，以最小化對組織及其所服務人員的風險

管理常見的威脅、風險和漏洞

Manage common threats, risks, and vulnerabilities
透過對威脅環境的瞭解，組織能夠設計出具體的策略和程序，以預防和緩解安全問題。

• 數位資產的例子包括員工、客戶或供應商的個人資訊，例如：
  • 社會安全號碼（SSN），或分配給個人的唯一國家身份識別號碼
  • 出生日期
  • 銀行賬戶號碼
  • 郵寄地址
• 實體資產的例子包括：
  • 付款自動售貨機
  • 伺服器
  • 桌上型電腦
  • 辦公空間

管理風險的一些常見策略包括：

• 接受 Acceptance：接受風險以避免干擾業務連續性。
• 迴避 Avoidance：制定計劃以完全避免風險。
• 轉移 Transference：將風險轉移給第三方以進行管理。
• 減輕 Mitigation：減少已知風險的影響。