CISSP領域重要名詞釋疑 - 風險評估與計算

Risk = Threat × Vulnerability
會有風險，總是因為漏洞與威脅產生連結。
此關係開始藉由以下公式：

Risk = Threat × Vulnerability

你可以根據以上公式給與風險一個值。填入威脅與漏洞後就能計算出風險值。我們總是使用1-5之間的值(此範圍可以是任意的，但是保持一定的值，便於比較不同種類的風險)。

LEARN BY EXAMPLE: EARTHQUAKE DISASTER RISK INDEX
風險總是違背常理。當你詢問波士頓或舊金山兩個城市之間哪個城市較容易發生大地震時，你總是能得到舊金山這個答案。如果是在加州位於環太平洋火山地震帶上則過去曾發生大規模地震。由於波士頓東北方從殖民時期以來就不曾發生過大地震。

雷切爾、戴維森 創造評估地震風險的指數，這是用來判斷國際城市間主要地震的風險。詳細資料可見：http://www.sciencedaily.com/releases/1997/08/970821233648.htm

她發現，波士頓與舊金山地震風險大致上是相同的。因為波士頓的地震危險性大於舊金山，雖然在波士頓發生大規模地震的可能性較低。原因在於波士頓擁有許多1975年以前的建築物，在他們納入地震安全規範建築物前。

相較於波士頓，舊金山發生地震威脅的可能較高(較高的地震頻率)，但他們的漏洞較少(較為嚴謹的地震建築規範)；而波士頓的地震威脅較小(較低的地震頻率)，但他們具有較多的漏洞(較弱的建築物強度)。


根據公式，我們可以得到地震風險(Risk = Threat × Vulnerability)。

舊金山威脅指數：4
舊金山的漏洞指數：2
舊金山的風險為：4 × 2 = 8

波士頓計算
波士頓的威脅指數：2
波士頓的漏洞指數：4
波士頓的風險指數為：2 × 4 = 8

意味著兩個城市風險差不多。

CISSP領域重要名詞釋疑 - Risk Analysis(風險分析)、Assets(資產)、Threats and Vulnerabilities(威脅與漏洞)

Risk Analysis
所有專業的資訊安全人員都會進行風險評估：總是進行此項直到它變成一種習慣。有一個更新在周二被釋出。你的公司通常會在安裝前測試兩周時間，但是一個以網際網路散播為基礎的蠕蟲它會直接感染未更新的系統。如果你立即安裝了這個更新，則你風險時間會下降到測試未完成前。如果你等待測試，你將有風險會感染蠕蟲。哪一個風險較大？你應該怎麼作？風險分析會幫助你做出決定。

一般人無法精確的評估風險：如果你害怕在旅途中死亡，從紐約開車到佛羅里達州取代坐飛機的風險，你就作出了較差的風險評估。這是一個長距離的旅途評估，開車的死亡風險高於飛機。

準確的評估風險是資訊專業人員的重要技能。我們必須保持自己以更高的標準進行風險判斷。我們進行風險評估使用安全機制去佈署資產保護，我們花掉了這些錢和資源量。糟糕的決定結果會導致浪費錢，而更糟的結果是妥協的資料。

Assets
資產是我們嘗試去保護的有價值資源。資產可以是資料、系統、人、建築、物業，其他等等。資產的價值與重要性決定我們如何作出防禦機制。人總是我們最有價值的資產。

Threats and Vulnerabilities
威脅是潛在的災害，就像地震，停電，或者是以網路為基礎的蠕蟲病毒例如：Conficker worm，當他開始攻擊最後版本的Windows OS 2008。威脅是一個非正向的行為並且造成系統損害。

漏洞指的是一個弱點並讓威脅造成損害。漏洞例如沒有按照防震基準的建築物，沒按照正確備份作業的資料中心，或者是微軟的Windows XP沒有進行近年來的更新。

舉一個蠕蟲的案例，有一個威脅是Conficker蠕蟲。 Conficker蠕蟲傳播通過三種途徑(由於缺少了MS08-067 Patch，請參考http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)，透過Windows系統感染USB的AutoRun，網路分享由於較弱的密碼。

有連接上網路的Windows作業系統在缺此更新上是屬於較脆弱的一環，他們會藉由USB中的”自動執行”感染入侵Windows平台的作業系統，或者是經有簡易密碼的網路分享。如果以上三個條件都存在，你就具有風險。一個Linux的系統並沒有漏洞感染Conficker，因此Conficker對它來說沒有風險。

CISSP領域重要名詞釋疑 - Defense-of-Depth (縱深防禦)

Defense-of-Depth (縱深防禦)
縱深防禦(也被稱為層級防禦)套用在多層的安全閘(也被稱為控制：意指降低風險)去保護一項資產。任何一個安全性控制如果失敗：藉由佈屬多層控制，你可以增強其保密性、完整性與你的資料可用性。

LEARN BY EXAPMLE: DEFFEN-IN-DEPTH MALWARE PROTECTION
一間擁有一萬兩千名員工的公司在一天內收到二十五萬封電子郵件。其中絕大多數的電子郵件均有巨集：在一段時間內浪費資源的垃圾郵件，具有惡意軟體例如蠕蟲或是病毒。攻擊者策略改變的非常頻繁，總是嘗試逃避安全閘讓垃圾郵件與惡意軟體通過。

公司部屬了縱深防禦控制，預防網際網路以電子郵件為基礎的惡意軟體。有一組UNIX的電子郵件伺服器過濾了由網際網路進來的電子郵件，皆被執行了兩種不同的會自動更新的防毒軟體/防惡意軟體解決方案，藉由不同的主要供應商。電子郵件被掃描乾淨後轉送至內部的Microsoft Exchange Mail Server，它們會執行其他供應商的防毒軟體。郵件經過掃描後會到達使用者端，這裡會進行第四次的供應商防毒軟體掃描作業。用戶端的桌機或是筆電同樣會進行完全修補作業。

儘管有了這些防護，一些低比例的惡意軟體仍成功迴避四個不同的防毒檢測，並且感染使用者的系統。幸運的是，這間公司部屬了額外的縱深防禦控制，例如：入侵檢測系統(Intrusion Detection System, IDS)，災害處理政策，和電腦事故緊急處理小組(Computer Incident Response Team)去掌控災害。這些防禦措施，成功的識別受感染的用戶系統。

所有的控制都有可能會失敗，有時數個控制會同時失敗。佈屬不同深度的防禦控制，當所有控制失敗的時候對於您的組織會有較小的影響機會。

時區查詢小程式

Cisco ISE Install & Setup

關於利用VMWare進行ISE安裝步驟的模擬，可以詳見思科網站的連結。

請務必注意，硬碟大小建議200GB與RAM不得低於4GB，使用RedHat 5 64位元進行模擬安裝作業。

REF. http://www.cisco.com/en/US/docs/security/ise/1.1.1/installation_guide/ise_vmware.html

主要設定項目步驟

Enter hostname[]: ise-server-1 輸入主機名稱

Enter IP address[]: 10.1.1.10 輸入IP位址

Enter Netmask[]: 255.255.255.0 輸入子網路遮罩

Enter IP default gateway[]: 172.10.10.10 輸入預設閘道

Enter default DNS domain[]: cisco.com 輸入網域名稱

Enter Primary nameserver[]: 200.150.200.150 輸入DNS伺服器

Add/Edit another nameserver? Y/N: n 是否設定額外的DNS伺服器

Enter primary NTP domain[]: clock.cisco.com 輸入NTP伺服器位址

Add/Edit another NTP domain? Y/N: n 是否輸入額外的NTP伺服器

Enter system time zone[]: UTC 輸入時區，台灣請輸入Asia/Taipei

Enter username [admin]: admin 輸入登入帳號

Enter password: 輸入登入密碼[隱碼]

Enter password again: 再次輸入登入密碼[隱碼]

---以下開始進行安裝作業(時間非常漫長)---

Bringing up the network interface...

Pinging the gateway...

Pinging the primary nameserver...

Do not use `Ctrl-C' from this point on...

Virtual machine detected, configuring VMware tools...

Appliance is configured

Installing applications...

Installing ISE...

Application bundle (ise) installed successfully

===Initial Setup for Application: ise===

Welcome to the ISE initial setup. The purpose of this setup is to provision the 

internal ISE database. This setup requires you to create database administrator 

password and also create a database user password.

Please follow the prompts below to create the database administrator password.

Enter new database admin password:

Confirm new database admin password:

Successfully created database administrator password.

Please follow the prompts below to create the database user password.

Enter new database user password:

Confirm new database user password:

Successfully created database user password.

Running database cloning script...

Generating configuration...

Rebooting...

Welcome to the ISE initial setup. The purpose of this setup is to provision the 

internal database. This setup is non-interactive and will take roughly 15 

minutes to complete. Please be patient.

Running database cloning script...

Running database network config assistant tool...

Extracting ISE database contents...

Starting ISE database processes...

...

REF.http://www.cisco.com/en/US/docs/security/ise/1.1.1/installation_guide/ise_ins.html#wp1128469

CISSP領域重要名詞釋疑 - Least Privilege and Need to know

Least Privilege and Need to know
最低權限意指使用者應被授予最小的存取(授權)去執行工作，但沒有其他額外的權限。需要知道沒有更小的低於最低權限：使用者在存取前必須具體知道他的資訊範圍。
Sebastion是一個護士，他工作在藥品工廠提供多種訓練。她的實習有四個醫生，她和此四個醫生合作治療。因此他的最小權限為與此四名醫生的相關資料，但是他不能存取其他醫生的治療資訊。
必須知道的是Sebastion可以存取這些資訊只有在他執行商業行為時必須去做這些事。如果有一個病人正在接受Sebastion的治療，但是他不是Sebastion本人，最小權限可能會允許存取，但是實際上則不需要。

Learn by example: real-world least privilege
藉由案例去學習:真實世界的最小權限
一間大型的健康照護中心提供商擁有60個IT員工職責是4000個運行在Microsoft Windows上的系統。該公司的員工並不具有最小權限：每個IT員工均被授予網域管理者存取權限。此類存取員工具有桌面協助、備份管理者與其他權限。所有的60個網域管理者均具有超級使用者的權限在4000台Windows系統上。

此等級的權限執行會衍生許多問題。很難藉由CIA去界定操作錯誤。因為太多人能做的工作太多，記錄會有損害。造成資料遺失，授權改變發生，系統損毀，而且難以釐清問題點。

一個新任的安全主管，而她的首要任務就是確定最小權限。基礎角色的帳號被建立：一個協助桌面的角色被同意存取系統；一個備份的角色被同意進行被份與還原，其他工作也是。網域管理者的角色被削減到只剩下所需授權的人員。

許多的前往與管理者抱怨少了超級使用者的授權，但他們都擁有足夠的存取權限做他們的工作。這是項直接且令人印象深刻的改善：運作上未經授權的改變已經停止，系統崩潰的情況也不常發生。操作上仍會發生錯誤，但是這些錯誤的影響較少。

CISSP 領域重要名詞釋疑 - AAA 與 Nonrepudiation

Identity and Authentication, Authorization, and Accountability
單詞AAA也經常被使用，描述了 驗證、授權、記錄 的概念。跳脫AAA縮寫指的就是 身分確認 ，身分驗證之前會要求這三個A被落實。

Identity and Authentication (身分確認與驗證)
驗證身分的聲稱：假如你的名字叫做X，你聲稱你自己叫做X。此種身分單一確認是薄弱的，因為並未加以證實。你可以同時聲稱你自己是Y。證實一個身分稱之為驗證，你可以驗證你自己的身分，通常會提供額外資訊或是獨有的物件，例如：密碼以及護照。
通常在機場做通關時，登機員會問你的名字(身分)。你可以說你喜歡的任何事情，但是你對於近期相貌的說謊會產生問題：登機原會要求出示駕照或是護照。換句話說，他們想要藉此驗證你的身分。

有一個使用者Deckard想要在ericconrad.com登入他的電子郵件帳號。他鍵入了”deckard”在使用者名稱欄位上；這代表他在此系統上的身分。需要注意的是Deckard可以輸入任何東西在使用者欄位框上，但此一識別是薄弱的。如果他需要證實身分，則需要驗證。Deckard之後輸入了密碼”R3plicant”。這在ericconard.com系統上是一個正確的密碼，所以Deckard的身分可以被證實並且讓他進行登入。
 

Authorization (授權)
授權描述了你可以在系統上所執行的動作，當你已驗證與已授權。動作包含了 讀取、寫入、執行檔案與程式。
假設你是公司裏面的一個資訊主管管理人力資源資料庫，你需要授權你自己與少數的員工去查閱資料庫(例如：病假與請假資訊)。你不應該被授權去看CIO的薪資。

使用者Deckard身分驗證與授權自己，並且登入該系統。他使用Linux的Cat指令去查看sebastion-address.txt檔案。Deckard是被受全去檢視該份檔案，所以具該權限是理所當然的。Deckard接著試著去看/etc/shadow，這裡存放著使用者的加密密碼。Deckard沒有被授權去檢視該檔案，因此拒絕存取。

Accountability (記錄稽核)
記錄掌握使用者所有可記錄的行動。這通常藉由登入及分析稽核資料。強制執行記錄可以幫助維持誠實者誠實。對某些使用者而言，了解資訊蒐集並不足以提供記錄；他們總是知道資料是被搜集且被稽核的，制裁可能導致違反政策。

一間健全的公司Kaiser Permanente在2009年針對違反政策(違反HIPPA條款《健康保險可攜與責任法》)的員工，開除並影響了超過20名員工後(他們非法檢視了Nadya Suleman好萊塢演員的用藥紀錄)，執行強制記錄。詳見http://www.scmagazineus.
com/octomoms-hospital-records-accessed-15-workers-fired/article/129820/
光是蒐集資料是不足的，查明侵犯與制裁違法者也是必須的。

Nonrepudiation (不可否認性)
不可否認性意指使用者不能否認已執行過的交易。它包含了授權以及完整性：不可否認性授權一個驗證身分的使用者執行交易，並且確保交易的完整性。你必須同時具有授權與完整性才具有不可否認特質：證實你簽署了一份汽車購買合約(驗證身分就是購買者)是沒有用的，如果你的汽車經銷商能夠更改價錢從20,000到40,000(合約違反資料完整性)。