Mr. W 電腦村莊

相信大家多多少少在電視上聽到＂資訊安全＂成為國家發展重點．．．

我也因為公司開始導入 ISO 27001 認證，下班後開始大補資安的知識。

假日在書店挑呀挑，最後選擇這本資安書籍，念起來很容易上手：）

我擷取一些作者提到的重點，分享給大家！

1. 保護＂資訊資產＂

作者提到，其實資訊安全的最大目的，就是要盡可能地＂保護資訊資產＂。

在公司內部，像是系統開發文件、資料庫等，都是資訊資產的一種。

再補充一個例子，電腦、伺服器屬於＂物理性（實體）資產＂。

另外，我們會從 CIA 的資安鐵三角，分析這個資訊資產的重要性：

(1) Confidiential（機密性）

這個資產的隱私程度有多高，決定了機密性的高低。

舉例來說，Database 的 Member 資料表，存放 Password 資料，故機密性高。

(2) Integrity（完整性）

這個資產若被竄改，影響程度有多大？

例如，上述的 Password 被駭客竄改，導致會員不能順利登入，故完整性高。

(3) Availability（可用性）

這個資產是否隨時可以被取用？

如果員工需要不定時存取 Database，代表可用性高。

由此可知，Database 是一個＂重要的＂資訊資產。

參考資料：

如何透過 ISMS(ISO27001) 評估資訊資產的好與壞

2. 資訊外洩有 8 成是＂人為因素＂

從 2021 政府機關的資安事件來看，有將近 80% 來自人為因素。

而作者也在書中提到人為＂管理不當＂，可見我們必須＂降低犯錯率＂。

根據 HENNGE 資安公司的看法，我們可以．．．

(1) 建立手冊

對於剛進公司的同事，可以藉由文件讓他知道，在資安上需要注意什麼。

例如，網頁表單需要＂檢核＂使用者填寫的資料，避免遭到 SQL Injection 的攻擊。

(2) 建立標準程序

把必要的作業流程做＂標準化＂，可以降低＂同一件事情卻有不同做法＂的現象。

像是在 ASP.NET Web Form 的 Web.config 中，工程師不當設定 Exception，

導致專案的 Source Code 直接暴露在公開網路上，駭客就可以擁有更多機密資訊。

(3) 使用 IT 系統（軟體）

之前常聽到的＂弱密碼＂或是把＂密碼存在電腦上＂，就是一個經典範例。

俗話說：寧願把密碼寫在紙上，也不要儲存在電腦。

以我來說，我是用 Bitwarden 密碼管理工具來儲存密碼，

這樣就可以降低密碼外洩的機會。

參考資料：

2021 政府機關資安現況揭露，近年三級事件通報人為疏失是主因。

企業如何降低人為疏失？創建資訊安全系統是關鍵！

3. 認證與授權

要記得：先有認證，才有授權的機會。

所以認證、授權的差別是什麼？我想應該是這樣．．．

(1) 認證：確認登入身分為本人

例如，使用者 A 登入客戶管理系統，輸入帳號與密碼後，成功登入！

(2) 授權：已經認證，給予一定程度的控制權。

假設剛才已登入，系統賦予修改客戶資料的權利給使用者 A。

4. 密碼破解法：暴力＆字典攻擊（密碼清單攻擊）

作者在書中提到常見的兩種密碼破解法，我會特別提出來，是因為跟大家息息相關。

怎麼說呢，因為大家一定都看過＂登入＂頁面，輸入帳號、密碼應該是家常便飯。

(1) 暴力破解（Brute Force Attack）

駭客透過不同數字、字母、符號的＂組合＂，嘗試破解你的密碼。

舉例：假設駭客知道密碼為 3 位數字，可能是 000、010、001 等組合。

(2) 字典攻擊（Dictionary Attack）

駭客從目標系統竊取＂密碼清單＂，然後開始逐一嘗試，直到破解為止。

例如：

密碼清單有 000、010、001，如果你的密碼剛好是 001，

駭客又幸運挑到 001，密碼就被破解了。

參考資料：

什麼是暴力攻擊？

當廠商都說密碼該又臭又長，微軟卻告訴你：太亂的密碼根本沒用

字典攻擊

Day 11 - 密碼攻擊方式

5. 單一登入 SSO（Single Sign On）

在很久以前，我曾經聽過這個名詞，它很常跟 OAuth 一起出現。

直到最近又在這本書看到，該是時候補充 Knowledge 了．．．

我們先看到下面這張圖片：

這是我在公司所用的專案管理工具 Trello，你看它有提供 Microsoft、

Google、Apple 等不同的登入方式。

公司有配 Microsoft 信箱給我，每天上班我都是按下

＂繼續使用 Microsoft 註冊（登入）＂來登入 Trello。

這個好處就是，我不用額外再申請 Trello 帳號，

我直接用 Microsoft 帳號登入 Trello，也等於省去多背一組帳號與密碼的意思。

所以，SSO 到底是什麼，其實就是＂大網站提供小網站登入選擇＂的意思。

大網站就像 Google，當使用者透過 Google 登入 Trello，

Trello 會收到 Google 提供的 Token，然後使用者就成功登入 Trello 了。

但是阿，大網站其實也不少，像是 LINE、FB、Google 等．．．

它們都想要提供 SSO 的登入方式出來，整個登入流程、架構一定都不一致，

所以，最後統一標準，也就是 OAuth 誕生了，終於把登入驗證的流程弄清楚了。

參考資料：

一次搞懂OAuth與SSO在幹什麼?

6. 多層次防禦

作者提到，當我們正在打造資安環境的時候，可以用兩種角度來看：

(1) 由外到內：如何抵擋駭客入侵系統？

(2) 由內到外：假設已經入侵，如何想辦法讓檔案不被拿走？

資安防禦設備實在是令人摸不清，作者幫大家分類幾個特色：

(1) Firewall：阻擋不允許的 Port 號

(2) IPS：阻擋疑似攻擊的 Pattern

(3) WAF：阻擋 XSS 和 SQL Injection

(4) Web Server：套用 Patch 檔案修補 Vulnerability

(5) Application Server：打造 SDLC 的＂左移＂概念

(6) Database Server：維持＂最小權限原則＂

再舉一個例子，公司交換業務檔案的時候，是怎麼處理的？

有的用 LINE，或者透過 Mail，各種方式都很常見。

我自己覺得使用＂私有雲＂比較能打造一個安全的檔案交換情境

就像是 Google Drive，如果你只允許＂某人＂可以存取檔案，

你會輸入他的 Email，然後開共享給他對吧，私有雲也是同個道理。

關於私有雲，可以參考 Nextcloud 這篇文章，寫得相當好～

7. 臭蟲 vs 漏洞

這兩種名詞很容易被搞混，它們真正的意思如下：

(1) 臭蟲 (Bug)：

寫程式最常聽到＂這段 code 有 bug＂，就是指程式執行結果不如預期。

例如：輸入錯誤的密碼，卻可以正常登入．．．？

(2) 漏洞 (Vulnerability)：

程式可以正確執行，也產生正確的結果，但是可以被駭客利用。

最明顯的例子就是 SQL Injection，查詢出來的資料是正確的，

駭客卻有機會塞入不明的字串，資料可能不小心就被竊取了。

8. 進階持續性威脅 (APT)

APT 的全名是 Advanced Persistent Threat，概念其實很好懂，

重點：先把 APT 拆解成 進階 (A) + 持續 (P) + 威脅 (T)

(1) 進階：駭客不會只用一種方式攻破系統，他會嘗試各種手段，直到成功進入。

(2) 持續：這是一個長期作戰，駭客不會馬上行動，他反而會蒐集更多目標資訊。

(3) 威脅：攻擊手段包含惡意軟體、後門、木馬程式，通常是彼此結合。

更多資訊可以參考趨勢科技的這篇 APT 文章，寫得很好。

9. 零時差攻擊 (Zero-Day Attack) = 零日攻擊

同樣是＂駭客透過軟體的漏洞進行攻擊＂的意思，只不過多加了＂時間點＂的概念。

白話文：廠商發現漏洞的時候，通常沒辦法馬上修補漏洞，需要一些時間處理。

駭客會趁廠商發布 Patch 之前，想辦法找出這個漏洞的攻擊方法，然後攻破系統。

至於為什麼要叫做＂零日攻擊＂，這就跟時間有關：

因為所謂的第 1 天，是指廠商發布 Patch 的當天。

所以... 在這天之前，都算是＂第 0 天＂，也就是駭客用該漏洞攻打系統的期間。

最常見就是微軟的 Patch Tuesday (週二補丁日)，會公告這次修補了哪些漏洞。

另外趨勢這篇 Zero Day 文章也不錯，給大家參考看看。

若喜歡本文章，可以在文章「左上方按個👍」或是在「下方留言鼓勵👏」　謝謝您！

 FB 粉絲專頁

https://facebook.com/mrw.computer

IG 粉絲專頁

https://www.instagram.com/mrw.computer/