ARIES

Communication and Network Security 通信與網絡安全 4.1 評估和實施網絡架構中的安全設計原則 Assess and implement secure design principles in network architectures 開放系統互連 (OSI) 和傳輸控制協議 / 互聯網協議 (TCP/IP) 模型 Open System Interconnection (OSI) and Transmission Control Protocol/Internet Protocol (TCP/IP) models 允許控制吞吐量、處理線路噪聲以及各種其他電氣接口和信號要求的電氣規範、協議和標準屬於 OSI 第一層。 EIA/TIA-232 & EIA/TIA-449 X.21 HSSI SONET V.24 & V.25 ARP 、 RARP 、L2F、L2TP 、PPTP   和 Frame Relay  屬於 OSI 第二層。 SLIP PPP ISDN OUI 組織唯一標示符, 即前六碼 MAC, 網卡製造商 ICMP、IGMP、RIP(距離矢量)、IPSec 和 NAT  屬於 OSI 第三層。 OSPF(鏈路狀態) BGP IP IPX SKIP SSL、TLS、SPX 和 TCP/UDP  屬於 OSI 第四層。 segments(TCP)、datagrams(UDP) 、 sequencing, and error checking 分段、排序和錯誤檢查皆屬於 OSI 第四層。 TCP 表頭的最小長度是 20 bytes. UDP 表頭的長度是 8 bytes. 管理單工、半雙工和全雙工通信屬於 OSI 第五層。 NFS(TCP 2049) : 文件共享使用 SQL RPC JPEG/MPEG、ASCII 和 MIDI  屬於 OSI 第六層。 EBCDICM TIFF SMTP/POP3/IMAP(TCP 143)、HTTP 和 SNMP 屬於 OSI 第七層 。 FTP/TFTP(UDP 69) LPD(TCP 515) : 列印使用 Telnet EDI NNTP S-RPC SET SMTP 協...

Security Architecture and Engineering 安全架構與工程 3.1 使用安全設計原理來研究、實施與管理工程過程 Research, implement and manage engineering processes using secure design principles 威脅建模 Threat modeling 最小權限 Least privilege Maintenance hooks :  維護掛鉤，也稱為後門，使開發人員可以輕鬆訪問系統，繞過正常的安全控制。如果在完成代碼之前沒有將其刪除，那麼如果攻擊者發現了維護掛鉤，它們就會構成重大的安全漏洞。一般是開發人員為了測試目的而試圖方便自己訪問他們開發的軟件 。 最小特權原則指出，只有絕對需要內核級訪問的進程才能在監督模式下運行。 縱深防禦  Defense in depth 縱深防禦原則建議使用多個重疊的安全控制來實現相同的控制目標。 網絡和主機防火牆同時佈署與啟用都旨在限製網絡流量，因此是縱深防禦的一個例子。 默認安全配置 Secure defaults Take-Grant model :  授予 保護模型 take rule 採取規則 : 允許主體獲得另一個客體的權利（添加源自主體） grant rule  授予規則 : 允許主體將自己的權利授予另一個對象（添加源自主體） create rule 創建規則 : 允許主體創建新對象（主體添加一個 object, 例如帳號） remove rule 刪除規則 : 允許主體刪除它對另一個對象的權限（刪除源自主體） 失效安全 Fail securely 職責分離 (SoD) Separation of Duties (SoD) 保持簡單 Keep it simple 零信任 Zero Trust 在零信任網絡架構中，決不能根據系統在網絡上的位置來做出訪問控制決策。因此，永遠不應使用 IP 地址。 通過設計保護隱私 Privacy by design 隱私設計模型的七項原則： 主動，而不是被動； 預防，而非補救 隱私作為默認...

Security Assessment and Testing 安全評估與測試 6.1 設計和驗證評估、測試和審計策略 Design and validate assessment, test, and audit strategies 內部 Internal 安全評估報告應提交給組織的管理層。 安全評估包括旨在識別漏洞的多種類型的測試，評估報告通常包括緩解建議。但是，評估不包括對這些漏洞的實際緩解。 外部 External BAS : Breach and Attack Simulation --> 突破與攻擊模擬 --> 結合紅隊與藍隊的自動化測試 SSAE-18 : Audit Standard 第三方 Third-party  6.2 進行安全控制測試 Conduct security control testing 漏洞評估 Vulnerability assessment 漏洞描述 : CVE / CVSS / CCE / CPE / XCCDF / OVAL 漏洞掃描 網路發現掃描 : 例如 nmap Nmap 默認只掃描 1,000 個 TCP 和 UDP 端口，包括 0-1,024 範圍之外的“知名(well-known)”端口。 網路 漏洞掃描 : 例如 Nessus 漏洞利用 工具 : 例如 Metasploit Web 應用漏洞掃描 : 例如 Nessus 數據庫漏洞掃描 : 例如 sqlmap 漏洞管理工作流程 檢測 驗證 修復 滲透測試 Penetration testing 步驟 : 規劃 --> 信息收集和發現 --> 漏洞掃描 --> 漏洞利用 --> 報告 白箱(盒)滲透測試 (White BOX Penetration Test) 向攻擊者提供目標系統的詳細資訊 Statement Coverage Testing :  語句覆蓋測試 --> 屬於白箱中的一種測試, 會測試到 Code 的每一行 全面測試代碼，完整覆蓋率。 黑箱(盒)滲透測試 (Black BOX Penetration Test) 攻擊之前不會向測試人員透漏任何信息 灰箱(盒)滲透測試 (Gray BOX Penetra...

 Identity and Access Management (IAM) 身份識別訪問管理 5.1 控制對資產的物理和邏輯訪問 Control physical and logical access to assets 信息 Information 在 專用系統(dedicated system) 中，所有用戶必須對系統處理的最高級別信息具有有效的安全許可，必須對系統處理的所有信息具有訪問權限，並且必須有 了解所有處理信息 的有效需求。 內容相關(Content-dependent)的訪問控制側重於每個字段的內部數據。例如 :  關注字段存儲的數據。 SOAP 的全名為 Simple Object Access Protocol (簡易物件通訊協定)，是一種以XML為基礎的通訊協定，其作用是編譯網路服務所需的要求或回應後，再將編譯後的訊息送出到網路，簡單來說就是應用程式和用戶之間傳輸資料的一種機制。  系統 Systems Ring 0 可以直接訪問最多的資源。 設備 Devices 設施 Facilities 應用程序 Applications 5.2 管理對人員、設備和服務的身份認證與驗證 Manage identification and authentication of people, devices, and services 實施施身份管理 (IdM) Identity Management (IdM) implementation 單/多因子驗證 (MFA) Single/Multi-Factor Authentication (MFA) 虹膜掃描比許多其他類型的生物特徵因素具有更長的使用壽命，因為它們在人的一生中不會改變（除非眼睛本身受損）。虹膜是位於黑色瞳孔和白色鞏膜之間的圓環狀部分，在胎兒發育階段形成後，在整個生命歷程中將是保持不變的。 視網膜掃描可以揭示其他信息，包括高血壓和懷孕，從而引起隱私問題。 視網膜掃描是十分精確的，但它要求使用者注視接收器並盯著一點。這對於戴眼鏡的人來說很不方便，而且與接受器的距離很近，也讓人不太舒服。 是一種非主流的生物識別產品。由於需雷射照射, 可能會給用戶帶來健康損壞, 因而還需進一步研究，視...

Software Development Security   軟件開發安全 圖片來源 :  sdlc.jpg (1280×720) (wp.com) 8.1 理解安全並將其融入軟件開發生命週期 (SDLC) 中 Understand and integrate security in the Software Development Life Cycle (SDLC) 開發方法（例如，Agile、Waterfal、DevOps、DevSecOps) Development methodologies (e.g., Agile, Waterfall, DevOps, DevSecOps) Planning : 先寫計劃書, 規劃是為了達標, 變更管理程序&採購管理程序交代清楚 計劃書, 當中的軟體採購要注意 CMMI 選擇安全的開發方法 團隊建立, 整合型的團隊 IPT (Integrate Product Team) Analysis : 分析利害關係人需求 收集, 分析且要文件化並進行管理 Need 是講出來的, 寫下來文件化才會成為 Requirement 逐項寫下來, User Story 是一個很好的案例 V&V 內驗外確 簽名(確認範圍), 不能再改變, 改變要走變更管理程序 Design : 設計規格 --> 設計符合需求的書面解決方案 從架構設計開始 細部設計 威脅塑模 (STRIDE) 於此階段發生 PASTA (Process for Attack Simulation and Threat Analysis) : 攻擊模擬和威脅分析過程, 是一種以風險為中心的方法。 一旦威脅建模過程，PASTA 會帶來對已識別威脅的詳細分析。此模型的目標是識別威脅，枚舉它們並分配分數。 下圖列出了 PASTA 方法的七個步驟： Define the Objectives 定義目標 Define the Technical Scope 定義技術範圍 Decompose the Application 分解應用程序 Analyze the Threats 分析威脅 Vulnerability Analysis 漏洞分析 Attack Analysis 攻擊分析 Risk and Imp...