Defense in depth strategy

概念：

• 層防禦（Defense in Depth）是安全模型的一部分，利用多層防禦來管理漏洞和降低風險。
• 類似於城堡的防禦結構，當一個障礙失效時，另一個隨之而來。

why

• Threats that penetrate one level can be contained in another.
• 分層防禦通過處理多個漏洞來降低風險Layered defenses reduce risk by addressing multiple vulnerabilities.

Q: What is the difference between the application and data layers of the defense in depth model?
A:

• The application layer secures information with controls that are programmed into the application itself.
• The data layer maintains the integrity of information with controls like encryption and hashing.

Common vulnerabilities and exposures

• Security as a Team Effort（安全是團隊的努力）:安全不僅僅是安全團隊的責任。保護資訊是集體的努力。

• Understanding Vulnerabilities and Exposures（理解漏洞與暴露）

  • a vulnerability is a weakness of a system漏洞是系統的一個弱點
  • an exposure is a mistake that can be exploited by a threat暴露是一個可能被威脅利用的錯誤。

• 最受歡迎的漏洞與暴露資料庫之一是 CVE 清單 Public Libraries for Vulnerabilities（漏洞的公共資料庫）

  • 存在線上的公共資料庫，用於分享常見漏洞與暴露。
  • 範例：重要文件可能因擺放位置不當而暴露於威脅中。
  • CVE List（CVE清單）
    • 常見漏洞與暴露清單（CVE）是一個知名的資源。
    • 由MITRE公司於1999年創建。
    • 提供標準化的方式來識別與分類漏洞。

• Reporting CVEs（回報CVE）

  • 大部分CVE由獨立研究員、廠商或道德駭客回報。researchers, technology vendors, and ethical hackers
  • 在列入清單之前，每個CVE需經過CVE編號機構（CNA）的審查。CVE Numbering Authority, or CNA.

• CNA Process（CNA流程）

  • CNA（CVE編號機構）分析並分發合格的CVE資訊。
  • 當漏洞被回報時，會進行嚴格的測試流程。

• Criteria for Assigning CVE IDs（分配CVE ID的 4 criteria 標準）

  1. 必須獨立於其他問題。該漏洞應該可以在不修復其他問題的情況下被修復。
  2. 必須被認可為潛在的安全風險。
  3. 必須提供支持證據。
  4. 必須只影響一個程式碼基（codebase）。

• Review of Vulnerabilities（漏洞的審查）

  • 漏洞會被其他資料庫（如NIST國家漏洞資料庫）審查。
  • 這些資料庫進一步測試漏洞的重要性與威脅程度。

• Common Vulnerability Scoring System (CVSS)（通用漏洞評分系統）

  • 根據嚴重性對漏洞進行0-10的評分。
  • 幫助判斷漏洞的影響與修補的緊急程度。
  • 分數低於4.0為低風險；高於9.0為關鍵風險。

• Vulnerability Management Strategy（漏洞管理策略）

  • 組織利用CVE與CVSS作為漏洞管理策略的一部分。
  • 指導安全修復的優先順序。
  • To identify exposures to internal and external threats（辨識內部及外部威脅的暴露點
  • To uncover vulnerabilities and reduce their exploitation（揭露漏洞並減少被利用的機率）
  • To review an organization’s internal security systems（審視組織內部的安全系統）

• What is the main goal of performing a vulnerability assessment?提前識別系統、應用程式或網路中的可能漏洞，以便在未遭受攻擊之前採取修補或緩解措施

  • Determine how the target can be accessed. (Correct)
  • Evaluate attack vectors that can be exploited. (Correct)