Identity and Access Management、Security Assessment and Testing、Security Operations、Software Development Security

⚠️ 免責聲明
本文為學習筆記與模擬教學，引用國際公開文件（NIST、(ISC)²、OWASP、CISA 等）與可信新聞／官方部落格整理。非正式教材或考試指定用書，實際考試請依官方 CBK 與最新考綱為準。

5. Identity and Access Management（IAM）

權威定義

數位身分管理涵蓋身分證明、註冊、驗證（Authentication）與授權（Authorization），以風險為基礎配置適當的保護強度與流程。
來源：NIST SP 800-63（Digital Identity Guidelines）（-3 已被 -4 取代；-3 仍可作理解參考）(NIST電腦安全資源中心)

國際案例（附出處）

• Uber 2022 事件 — MFA 疲勞攻擊（MFA fatigue）
  攻擊者取得員工憑證後，透過大量推送 MFA 要求與社工話術誘騙通過，進而擴大側錄與橫向移動。建議以 抗釣魚 MFA（如 FIDO2/WebAuthn）、原生風險評分與自動化封鎖降低風險。(InfoQ)
• Okta 2023 客服系統事件 — HAR 檔案 Session Token 暴露
  攻擊者取得含 Session Token 的 HAR 檔，導致可被用於 會話劫持。官方根因與客戶溝通建議已公開。重點是 最小授權、存取分層與移除敏感除錯檔案。(sec.okta.com)

（台灣脈絡）建議將 《資通安全管理法》（2024/09/24 修正） 中之「資安責任人制度」與關鍵基礎設施身分安全需求綁定，強制 MFA、分權與存取稽核。(nvlpubs.nist.gov)

IoC / IoA（偵測與跡證）

• IoA：同一帳號短時間大量 MFA Push；非常規裝置/地點登入；大量存取權限上升申請。
• IoC：短時間內多次失敗後成功登入；HAR/Debug 物件在雲端儲存桶被存取；SSO 應用出現異常 Refresh Token 交換。

SOC / IR Playbook（速用）

1. 偵測：IdP 觸發高風險登入或 MFA 疲勞模式 → SIEM 產生告警。
2. 隔離：立即 強制登出/撤銷 Token、凍結可疑帳號、鎖定來源 IP。
3. 取證：保全 IdP 稽核、VPN/WAF 日誌、HAR/開發者工具輸出檔。
4. 修復：切換至 抗釣魚 MFA（FIDO2/WebAuthn）、啟用 Token 綁定、縮短 Session 時效、清理持久性存取金鑰。
5. 溝通：內部通報、針對被影響應用與第三方進行憑證/金鑰輪替。

演練模版（可直接執行）

• MFA 疲勞演練：在測試租戶模擬 Push 轟炸，驗證 風險規則、行為限制與自動封鎖 是否生效；寫出 偵測規則（5 分鐘內 >N 次 Push） 與人員回應腳本。

6. Security Assessment and Testing（安全評估與測試）

權威定義

規劃與執行 漏洞掃描、滲透測試、稽核與評估，用以驗證控制有效性並找出缺口。
來源：NIST SP 800-115《技術性測試與評估指南》（官方文件）(NIST電腦安全資源中心)

國際案例（附出處）

• MOVEit Transfer 2023 重大弱點（SQLi/RCE 連鎖）
  CISA 與 Progress 官方警示：漏洞（含 CVE-2023-34362 / -35708）可被用於擴權、RCE 與外洩；入列「常被利用的漏洞」。測試流程需涵蓋 第三方商用軟體、修補與暴露面管理。(CISA)

（台灣脈絡）建議將 供應鏈掃描 納入評估範圍（含 MFT、VPN、WAF、核心業務系統），比照資安署/主管機關專案演練頻率。

IoC / IoA

• IoA：外網服務暴露掃描峰值；針對同一 Endpoint 重複 SQLi/XSS 字串；對已公告高危 CVE 的產品出現探測。
• IoC：WAF/IPS 記錄特徵 Payload；資產盤點顯示「未修補高危 CVE」長期存在；PoC 告警後同源 IP 嘗試升級攻擊。

SOC / IR Playbook

1. 偵測：外網掃描 → WAF/IPS 告警；資產掃描發現高危 CVE。
2. 隔離：臨時 WAF 規則 / GeoIP 封鎖；下線受影響模組或臨時迴避路由。
3. 取證：收集 HTTP/TLS 連線、應用程式與 DB 日誌，保留變更紀錄。
4. 修復：套用 Vendor Patch / Mitigation；啟動 變更管制（ISO 27001:2022 Clause 6.3）；再測與驗證。
5. 通報：必要時通報主管機關/客戶；更新 KEV/威脅情資清單。

演練模版

• 紅藍隊小演練：以 MOVEit 類案例，藍隊設計 WAF 規則與封鎖策略，紅隊用無害字串驗證偵測是否命中；最後由藍隊產出「測試 → 檢測 → 修復 → 再測」閉環報告。

可視化：外網測試流程（Mermaid）

7. Security Operations（安全營運）

權威定義

事件偵測、監控、通報、應變與復原的日常作業；需建立 SIEM/SOAR、監控與事件處理流程，並與稽核及管理層銜接。
來源：NIST SP 800-61（Incident Handling Guide） — 2012 版已於 2025/04/03 歸檔作歷史參考（更新版路線以官方為準）。(NIST電腦安全資源中心)

國際案例（附出處）

• （延伸認知）2024–2025「常被利用漏洞」清單
  CISA 每年彙整 Top Routinely Exploited Vulnerabilities（含 MOVEit、Fortinet SSL-VPN 等），可作為 SOC 優先監控與補丁依據。(CISA)

（台灣脈絡）可結合 《資通安全管理法》 修法後的 稽核/通報/責任人 機制，將 通報時效、演練頻率 與 SOC KPI 綁定。(nvlpubs.nist.gov)

IoC / IoA

• IoA：同源多節點橫向移動；新服務帳號異常建立；權限組織架構變更不合規；備援切換未按程序。
• IoC：EDR/AV 告警與 Windows Event 4624/4670/4720 等異常聚集；DNS/TLS 指紋偏離基線；DDoS 流量 與 4xx/5xx 峰值。

SOC / IR Playbook（7 步）

1. 偵測：SIEM/EDR 觸發高嚴重度告警。
2. 分級：依業務影響與外洩可能性判定等級與 通報時限。
3. 隔離：EDR 隔離、停用憑證/金鑰、WAF/ACL 臨時封鎖。
4. 取證：保全記憶體/磁碟影像、系統與雲端日誌、網路封包；建立證物鏈。
5. 清除/修復：移除持久化、旋轉金鑰、重建服務、驗證恢復。
6. 通告：內部（管理層/法務/PR）與外部（主管機關/受影響客戶）按規定通報。
7. 事後檢討：RCA、補強控制、更新 SOP 與演練。

演練模版

• 桌上推演（Tabletop）：挑一條 Top Exploited CVE，模擬從告警到通報的 T+N 分鐘 時效達標；同步驗證 回復 RTO/RPO。

可視化：SOC 事件處理（Mermaid）

8. Software Development Security（軟體開發安全）

權威定義

將安全活動嵌入 SDLC（規劃 → 設計 → 實作 → 測試 → 部署 → 維運），以降低漏洞風險並強化供應鏈安全。
來源：NIST SP 800-218（SSDF）；也可輔以 OWASP ASVS（驗證準則）/ OWASP SAMM（成熟度框架）。(NIST電腦安全資源中心)

國際案例（附出處）

• Log4Shell（CVE-2021-44228）：廣泛使用的 Log4j 記錄元件 RCE，驅動全球 SBOM、SCA 與緊急修補。官方/政府多管齊下提供緩解與清單。(CISA)
• LastPass 2022 事件：攻擊者先取得開發環境資訊，再竊走備份與敏感資料（含加密保管庫副本）；官方後續多次更新建議與時間線。重點在 開發憑證保護、雲儲存桶權限、金鑰管理與客製化威脅建模。(The LastPass Blog)

開發安全對照（實務清單）

IoC / IoA

• IoA：依賴套件引入 post-install 腳本；CI/CD 中出現「憑證/金鑰」存放於明文變數；容器映像簽章缺失。
• IoC：SCA/容器掃描命中 高危 CVE；原始碼庫出現憑證指紋；產線映像無 Cosign/Sigstore 簽章紀錄。

SOC / IR Playbook（開發脈絡）

1. 偵測：SAST/DAST/SCA 或供應鏈簽章查驗觸發高危事件。
2. 隔離：凍結發版、撤回受影響套件/映像、封鎖外部惡意 Registry。
3. 取證：保全 Git/CI 變更、Artifact、審計日誌與 SBOM。
4. 修復：版本回退、升級安全版本、金鑰/Token 全面 Rotate、重建乾淨映像並簽章。
5. 安全門：在 PR 與 Release 加入 安全 Gate（SSDF/ASVS 控制），確保回歸驗證通過。

演練模版

• 「Log4Shell 復盤與 SBOM」：挑選一個內部系統，產出 SBOM（CycloneDX/Syft），核對是否存在 Log4j 風險；在 CI 加入 SCA + 簽章驗證，寫成 1 頁改善報告。

可視化：DevSecOps（Mermaid）

綜合比較表（下篇四域）

延伸閱讀（官方/權威）

• (ISC)² CBK：八大領域總覽（官方）(isc2.org)
• NIST SP 800-63（數位身分）（-3 舊版；網站公告已由 -4 取代）(NIST電腦安全資源中心)
• NIST SP 800-115（測試/評估）（官方）(NIST電腦安全資源中心)
• NIST SP 800-61（事件處理指南）（2012 版已歸檔，作歷史參考）(nvlpubs.nist.gov)
• NIST SP 800-218（SSDF）（官方 / CISA 轉載解讀）(NIST電腦安全資源中心)
• OWASP ASVS（官方）／OWASP SAMM（官方）(owasp.org)
• CISA：Log4j/Log4Shell 指南（含緩解）(CISA)
• LastPass 2022 事件官方更新（公告與建議）(The LastPass Blog)
• Okta 2023 事件官方根因（支援案例系統）(sec.okta.com)
• CISA：年度常被利用漏洞（含 MOVEit）(CISA)