Introduction
由 Professor Messer 提供的線上免費課程,想要考取網路證照的人可以參考這個網站的影片及相關書籍,跟1101相比內容偏軟體相關
網址 :https://www.professormesser.com/free-a-plus-training/220-1102/220-1102-video/220-1102-training-course/#
程式碼:NA
Section 2: Security
2.1 Security Measures
Physical Security
實體安全- Access control vestibule
控制門廊通常是一個位於入口處的小房間,當前一位人員進入門廊,在人員完成身份驗證並進入到下一區前,其他人無法進入門廊,使組織得以控制進出該區域的人員,門廊內通常配備基於 RFID 或 NFC 感應的門禁系統、鏡頭以及警報系統。通常建置於需要高度安全性的環境,如資料中心、研發實驗室…等。 - Video surveillance
影像監控系統有時也被稱為CCTV(Closed Circuit TeleVision),用於監視區域內的人員及狀況,近幾年這類系統開始內建移動偵測功能,或是與自行開發的影像辨識程式進行整合,實現更進階的手勢偵測或人臉辨識等功能 - Alarm system
警報系統的觸發方式有很多種,常見如基於電路的門窗警報器、動態偵測警報或是需要人員手動觸發
- Door locks
門鎖的種類有很多,常見如下: - Conventional
傳統門鎖 - Deadbolt
滑動上鎖,讓外側無法開啟 - Electronic
電子鎖,需要輸入密碼 - Token-based
電子鎖,需要狗牌 - Biometric
使用指紋或視網膜掃描 - Multi-factor
同時使用以上多種方式
- Equipment Locks
在資料中心的機櫃通常具有門鎖,以避免具有機房進入權限的其他單位人員擅自開啟機櫃進行操作 - Guards and access lists
保全人員通常會監視區域,並對進入該區域的人員進行身份驗證。 - Barricades
路障可阻止車輛通過特定區域,確保車輛進入的行進路線並保護行人 - Fences
柵欄可用於降低人員透過非正當管道入侵的風險
Physical Security for Staff- Smart Card
在許多企業內,ID卡通常也用於身分驗證 - Key
鑰匙雖然傳統,但容易以借用登記進行管理 - Biometric
由於每個人的指紋及視網膜都有其特徵存在,透過掃描其特徵並轉換成數學表示 - Lighting
光線充足使得員工在晚上從車輛進入到建築物內更安全 - Magnetometers
金屬探測器通常以安檢門的形式出現,大部份廠牌都可以設定敏感度,以識別特定體積以上的金屬物件,會受周遭環境影響準確程度 - MDM
在公司內兼顧資料保護及手機便利性時,通常使用 MDM 管控手機功能,例如無線網路及攝影功能,這些 MDM 軟體可以在手機上創建一個安全分區,讓企業資訊留在安全區內不得向外傳遞
Logical Security
邏輯安全,用以增強企業網路的安全性- Least Privilege
授予使用者的權限應基於最小權限原則,以降低惡意程式或惡意行為的影響 - Access Control Lists (ACLs)
ACL 的功能為允許或阻擋流量,通常搭配NAT、QoS 使用,可依據流量的來源端 IP、目的端IP、使用的連接埠…等資訊判斷流量是否可通過。而在檔案系統上也有 ACL ,不過其功能是判斷使用者能否存取檔案
- Multi-Factor Authentication (MFA)
使用多種因素進行驗證,這些因素大致上可分為五類: - 你是什麼
指紋、視網膜…等 - 你有什麼
硬體令牌、軟體令牌、手機 - 你知道什麼
密碼 - 你在哪裡
IP、MAC、網域…等 - 你做了什麼
手勢、觸摸
- Short Message Service (SMS)
使用簡訊進行驗證,但目前已知有許多攻擊方式,不建議採用 - Voice Call
使用電話進行驗證,但目前已知有許多攻擊方式,不建議採用 - Email Filtering
在信件到達使用者手上之前,透過郵件閘道過濾釣魚郵件、惡意程式及廣告垃圾信,減少攻擊路徑
Active Directory (AD)
AD是許多企業網路的基礎,你可將AD視為一個含有使用者、端點電腦、印表機及其他設備訊息的資料庫,使用者帳號登入網域時都需經過 AD 檢查- Domain
我們可以將使用者、電腦、影印機以及網路上的任何裝置與網域相關聯。這些訊息都會被儲存在該網域的資料庫中。管理者會透過 Active Directory 服務存取該資料庫進行操作,例如將電腦加入網域,重置使用者密碼…等。而Active Directory 及 Windows Domain 在名詞概念上經常被互換使用 - Organizational Unit (OU)
OU 是 AD 中的一個容器,其中可以包含同一個網域內的對象,例如電腦、使用者、群組及其他容器 ,管理員可將群組原則連結到 OU,或是將權限透過OU分配給使用者或群組。 - Security Groups
安全性群組是一個集合了使用者和電腦帳戶的群組,管理者可將授予安全性群組特定權限,再把需要該權限的 OU 加入群組內,簡化管理作業
- Group Policy
群組原則是一套用於組織中電腦和使用者行為的設定檔,管理員可將群組原則連結至 OU,並透過委派決定哪些安全性群組或使用者、電腦可以套用原則,集中管理並配置這些設定。 - 強制電腦更新所有群組原則:gpupdate /force
- Login Scripts
登入腳本可讓使用者登入時自動執行指令碼,常見用法為掛載共用目錄、設定環境變數及回傳電腦資訊…等,設定路徑為:User Configuration→Scripts→Logon - Folder Redirection
資料夾重定向可以讓特定資料夾(我的文件、下載、桌面…等)的位置從本機移至網路共享位置。以實現資料的集中管理和備份,若筆電啟用該項設定,通常會與離線檔案模式一起使用,以避免在外使用筆電無法取得檔案,設定路徑為:User Configuration→Policies→Windows settings→Folder Redirection
- Home Folder
家目錄是儲存使用者個人資料和文件的目錄。管理者可以透過AD使用者管理介面將使用者的家目錄設定為遠端目錄
Physical Security
實體安全
實體安全
- Access control vestibule 控制門廊通常是一個位於入口處的小房間,當前一位人員進入門廊,在人員完成身份驗證並進入到下一區前,其他人無法進入門廊,使組織得以控制進出該區域的人員,門廊內通常配備基於 RFID 或 NFC 感應的門禁系統、鏡頭以及警報系統。通常建置於需要高度安全性的環境,如資料中心、研發實驗室…等。
- Video surveillance
影像監控系統有時也被稱為CCTV(Closed Circuit TeleVision),用於監視區域內的人員及狀況,近幾年這類系統開始內建移動偵測功能,或是與自行開發的影像辨識程式進行整合,實現更進階的手勢偵測或人臉辨識等功能 - Alarm system
警報系統的觸發方式有很多種,常見如基於電路的門窗警報器、動態偵測警報或是需要人員手動觸發 - Door locks
門鎖的種類有很多,常見如下: - Conventional
傳統門鎖 - Deadbolt
滑動上鎖,讓外側無法開啟 - Electronic
電子鎖,需要輸入密碼 - Token-based
電子鎖,需要狗牌 - Biometric
使用指紋或視網膜掃描 - Multi-factor
同時使用以上多種方式 - Equipment Locks
在資料中心的機櫃通常具有門鎖,以避免具有機房進入權限的其他單位人員擅自開啟機櫃進行操作 - Guards and access lists
保全人員通常會監視區域,並對進入該區域的人員進行身份驗證。 - Barricades
路障可阻止車輛通過特定區域,確保車輛進入的行進路線並保護行人 - Fences
柵欄可用於降低人員透過非正當管道入侵的風險
Physical Security for Staff
- Smart Card
在許多企業內,ID卡通常也用於身分驗證 - Key
鑰匙雖然傳統,但容易以借用登記進行管理 - Biometric
由於每個人的指紋及視網膜都有其特徵存在,透過掃描其特徵並轉換成數學表示 - Lighting
光線充足使得員工在晚上從車輛進入到建築物內更安全 - Magnetometers
金屬探測器通常以安檢門的形式出現,大部份廠牌都可以設定敏感度,以識別特定體積以上的金屬物件,會受周遭環境影響準確程度 - MDM
在公司內兼顧資料保護及手機便利性時,通常使用 MDM 管控手機功能,例如無線網路及攝影功能,這些 MDM 軟體可以在手機上創建一個安全分區,讓企業資訊留在安全區內不得向外傳遞
Logical Security
邏輯安全,用以增強企業網路的安全性
邏輯安全,用以增強企業網路的安全性
- Least Privilege
授予使用者的權限應基於最小權限原則,以降低惡意程式或惡意行為的影響 - Access Control Lists (ACLs)
ACL 的功能為允許或阻擋流量,通常搭配NAT、QoS 使用,可依據流量的來源端 IP、目的端IP、使用的連接埠…等資訊判斷流量是否可通過。而在檔案系統上也有 ACL ,不過其功能是判斷使用者能否存取檔案 - Multi-Factor Authentication (MFA)
使用多種因素進行驗證,這些因素大致上可分為五類: - 你是什麼
指紋、視網膜…等 - 你有什麼
硬體令牌、軟體令牌、手機 - 你知道什麼
密碼 - 你在哪裡
IP、MAC、網域…等 - 你做了什麼
手勢、觸摸 - Short Message Service (SMS)
使用簡訊進行驗證,但目前已知有許多攻擊方式,不建議採用 - Voice Call
使用電話進行驗證,但目前已知有許多攻擊方式,不建議採用 - Email Filtering
在信件到達使用者手上之前,透過郵件閘道過濾釣魚郵件、惡意程式及廣告垃圾信,減少攻擊路徑
Active Directory (AD)
AD是許多企業網路的基礎,你可將AD視為一個含有使用者、端點電腦、印表機及其他設備訊息的資料庫,使用者帳號登入網域時都需經過 AD 檢查
AD是許多企業網路的基礎,你可將AD視為一個含有使用者、端點電腦、印表機及其他設備訊息的資料庫,使用者帳號登入網域時都需經過 AD 檢查
- Domain
我們可以將使用者、電腦、影印機以及網路上的任何裝置與網域相關聯。這些訊息都會被儲存在該網域的資料庫中。管理者會透過 Active Directory 服務存取該資料庫進行操作,例如將電腦加入網域,重置使用者密碼…等。而Active Directory 及 Windows Domain 在名詞概念上經常被互換使用 - Organizational Unit (OU)
OU 是 AD 中的一個容器,其中可以包含同一個網域內的對象,例如電腦、使用者、群組及其他容器 ,管理員可將群組原則連結到 OU,或是將權限透過OU分配給使用者或群組。 - Security Groups
安全性群組是一個集合了使用者和電腦帳戶的群組,管理者可將授予安全性群組特定權限,再把需要該權限的 OU 加入群組內,簡化管理作業 - Group Policy
群組原則是一套用於組織中電腦和使用者行為的設定檔,管理員可將群組原則連結至 OU,並透過委派決定哪些安全性群組或使用者、電腦可以套用原則,集中管理並配置這些設定。 - 強制電腦更新所有群組原則:gpupdate /force
- Login Scripts
登入腳本可讓使用者登入時自動執行指令碼,常見用法為掛載共用目錄、設定環境變數及回傳電腦資訊…等,設定路徑為:User Configuration→Scripts→Logon - Folder Redirection
資料夾重定向可以讓特定資料夾(我的文件、下載、桌面…等)的位置從本機移至網路共享位置。以實現資料的集中管理和備份,若筆電啟用該項設定,通常會與離線檔案模式一起使用,以避免在外使用筆電無法取得檔案,設定路徑為:User Configuration→Policies→Windows settings→Folder Redirection - Home Folder
家目錄是儲存使用者個人資料和文件的目錄。管理者可以透過AD使用者管理介面將使用者的家目錄設定為遠端目錄
2.2 Wireless Security
Wireless Encryption
透過無線網路發送訊息之前,必須對傳輸內容進行加密,以避免有心人士繞過身分驗證監聽散佈在空間中的封包。除此之外,也需要確保我們在無線網路上收到的訊息未經過竄改。- MIC (Message Integrity Check)
MIC 是一種檢測數據在傳輸過程中是否遺失、被修改或竄改的技術,通常與加密算法一起使用。 - WPA2 (Wi-Fi Protected Access II)
WPA2 是一種無線網路安全協議,其使用 CCMP 塊加密模式。透過 AES 加密算法進行數據加密,同時使用基於 CBC-MAC 算法驗證數據的一致性。 - Issue
使用者在 連線到 WPA2 時會進行4次交握,若有心人士監聽到這些封包,即可獲得離線暴力破解 Pre-Shared Key (Wi-Fi密碼) 所需的所有資訊,隨著電腦算力的提升與字典檔建立,破解密碼所需的時間也越來越短
- WPA3
WPA3 是 WPA2 的後繼標準,在 2018 年導入,其使用了更強大的GCMP(Galios/Counter Mode Protocol)塊加密模式,透過 AES 加密算法進行數據加密,同時使用基於 GMAC 算法驗證數據的一致性,除此之外,WPA3 在Pre-Shared Key的部份使用 SAE (Simultaneous Authentication of Equals) 驗證,使得離線暴力破解成為非常困難的一件事。
- 在企業內部,通常使用 WPA2/3-Enterprise 模式,當使用者連線到此類型的無線網路時,使用者需提供個人帳密,系統會與後端的 RADIUS (Remote Authentication Dial-In User Service) 伺服器使用 802.1X 進行身份驗證
Authentication Methods
- RADIUS
RADIUS是一種用於驗證和授權網路設備和用戶的網路協議,透過 UDP 運行。它提供集中式的身份驗證和授權服務,通常用於無線網路、VPN和其他網路設備 - TACACS+ (Terminal Access Controller Access-Control System)
TACACS+ 也是一種網路認證協議,透過 TCP 49 port 運行,通常用於 Cisco 的設備。 - Kerberos
Kerberos 常用於Windows環境中,特別是在Windows 網域控制器中,以確保用戶端和伺服器之間的安全通信。使用者在登入網域後會取得票證,並在存取其他服務 (例如:網路共享及印表機) 時出示該票證,藉此實現單點登入(SSO)。
- MFA
同 2.1 說明
Wireless Encryption
透過無線網路發送訊息之前,必須對傳輸內容進行加密,以避免有心人士繞過身分驗證監聽散佈在空間中的封包。除此之外,也需要確保我們在無線網路上收到的訊息未經過竄改。
透過無線網路發送訊息之前,必須對傳輸內容進行加密,以避免有心人士繞過身分驗證監聽散佈在空間中的封包。除此之外,也需要確保我們在無線網路上收到的訊息未經過竄改。
- MIC (Message Integrity Check)
MIC 是一種檢測數據在傳輸過程中是否遺失、被修改或竄改的技術,通常與加密算法一起使用。 - WPA2 (Wi-Fi Protected Access II)
WPA2 是一種無線網路安全協議,其使用 CCMP 塊加密模式。透過 AES 加密算法進行數據加密,同時使用基於 CBC-MAC 算法驗證數據的一致性。 - Issue
使用者在 連線到 WPA2 時會進行4次交握,若有心人士監聽到這些封包,即可獲得離線暴力破解 Pre-Shared Key (Wi-Fi密碼) 所需的所有資訊,隨著電腦算力的提升與字典檔建立,破解密碼所需的時間也越來越短 - WPA3
WPA3 是 WPA2 的後繼標準,在 2018 年導入,其使用了更強大的GCMP(Galios/Counter Mode Protocol)塊加密模式,透過 AES 加密算法進行數據加密,同時使用基於 GMAC 算法驗證數據的一致性,除此之外,WPA3 在Pre-Shared Key的部份使用 SAE (Simultaneous Authentication of Equals) 驗證,使得離線暴力破解成為非常困難的一件事。 - 在企業內部,通常使用 WPA2/3-Enterprise 模式,當使用者連線到此類型的無線網路時,使用者需提供個人帳密,系統會與後端的 RADIUS (Remote Authentication Dial-In User Service) 伺服器使用 802.1X 進行身份驗證
Authentication Methods
- RADIUS
RADIUS是一種用於驗證和授權網路設備和用戶的網路協議,透過 UDP 運行。它提供集中式的身份驗證和授權服務,通常用於無線網路、VPN和其他網路設備 - TACACS+ (Terminal Access Controller Access-Control System)
TACACS+ 也是一種網路認證協議,透過 TCP 49 port 運行,通常用於 Cisco 的設備。 - Kerberos
Kerberos 常用於Windows環境中,特別是在Windows 網域控制器中,以確保用戶端和伺服器之間的安全通信。使用者在登入網域後會取得票證,並在存取其他服務 (例如:網路共享及印表機) 時出示該票證,藉此實現單點登入(SSO)。 - MFA
同 2.1 說明
2.3 Malware
Malware- Trojan Horse
木馬是一種偽裝成看似無害,實際上卻在背後執行惡意操作的軟體,當使用者執行含有木馬的程式,只能祈禱防毒軟體能識別並阻止其運行。 - Rootkits
Rootkits最初是Unix系統中使用的技術,名稱來由是 root 為系統上的管理員帳戶,其特徵是隱藏在操作系統的 Kernal 中並提供攻擊者訪問權限,防毒軟體很難去偵測到rootkit,但管理者仍能從作業系統的紀錄中找到一些跡象。
如今電腦的 BIOS 中通常都有 Secure Boot 的機制,在啟動階段檢查作業系統以及 Kernal 的相關檔案,因此 Rootkit 在現今較為少見。 - Virus
病毒是一個非常籠統的術語,統稱能夠在未經授權的情況下自我複製並侵入電腦的軟體。 - Boot sector virus
引導磁區病毒是一種特定類型的病毒,這類病毒通常會在計算機開機時執行,並在操作系統加載之前攔截控制權。與 Rootkit 一樣,在 Secure Boot 機制逐漸普及後較為少見。 - Spyware
間諜軟體被用於秘密收集用戶的個人訊息和網路活動。它通常在系統背後運行並監控用戶的瀏覽習慣、鍵入的敏感資訊以及個人帳密等。 - Keyloggers
鍵盤記錄器被用於記錄使用者鍵入的所有操作,攻擊者可以使用這些訊息進行身份盜竊、金融詐騙等。 - Ransomware
勒索病毒被用於加密受害者的數據,並藉此向受害者勒索贖金以恢復文件,對個人用戶和企業造成重大損失。 - Cryptominers
加密貨幣挖礦軟體在系統背後運行,利用受害者電腦的運算能力和資源挖掘加密貨幣,通常導致電腦運行緩慢。
Anti-Malware Tools- Windows Recovery Environment
Windows 系統中的還原功能,用於修復和恢復損壞的系統。使用者可按住Shift點擊重新啟動,或是在系統的Settings → Upgrade and Security → Recovery → Advanced Startup 中找到選項,使用者可以在其中執行故障排除工具、恢復系統備份及開機修復…等功能。 - Anti-Virus Software
防毒軟體旨在檢測、防止和刪除作業系統中的病毒。這類軟體通常透過病毒碼檢測和即時監控功能識別已知病毒。 - Software Firewall
軟體防火牆可用於監控和控制網路流量,基於設定好的規則,允許或阻止特定的網路通信,保護系統免受未經授權的訪問和網路攻擊 - Anti-Phishing Training
透過內部教育訓練,教育使用者識別釣魚攻擊。避免員工的個人訊息、帳戶資訊或其他敏感資訊外流。
Malware
- Trojan Horse
木馬是一種偽裝成看似無害,實際上卻在背後執行惡意操作的軟體,當使用者執行含有木馬的程式,只能祈禱防毒軟體能識別並阻止其運行。 - Rootkits
Rootkits最初是Unix系統中使用的技術,名稱來由是 root 為系統上的管理員帳戶,其特徵是隱藏在操作系統的 Kernal 中並提供攻擊者訪問權限,防毒軟體很難去偵測到rootkit,但管理者仍能從作業系統的紀錄中找到一些跡象。
如今電腦的 BIOS 中通常都有 Secure Boot 的機制,在啟動階段檢查作業系統以及 Kernal 的相關檔案,因此 Rootkit 在現今較為少見。 - Virus
病毒是一個非常籠統的術語,統稱能夠在未經授權的情況下自我複製並侵入電腦的軟體。 - Boot sector virus
引導磁區病毒是一種特定類型的病毒,這類病毒通常會在計算機開機時執行,並在操作系統加載之前攔截控制權。與 Rootkit 一樣,在 Secure Boot 機制逐漸普及後較為少見。 - Spyware
間諜軟體被用於秘密收集用戶的個人訊息和網路活動。它通常在系統背後運行並監控用戶的瀏覽習慣、鍵入的敏感資訊以及個人帳密等。 - Keyloggers
鍵盤記錄器被用於記錄使用者鍵入的所有操作,攻擊者可以使用這些訊息進行身份盜竊、金融詐騙等。 - Ransomware
勒索病毒被用於加密受害者的數據,並藉此向受害者勒索贖金以恢復文件,對個人用戶和企業造成重大損失。 - Cryptominers
加密貨幣挖礦軟體在系統背後運行,利用受害者電腦的運算能力和資源挖掘加密貨幣,通常導致電腦運行緩慢。
Anti-Malware Tools
- Windows Recovery EnvironmentWindows 系統中的還原功能,用於修復和恢復損壞的系統。使用者可按住Shift點擊重新啟動,或是在系統的Settings → Upgrade and Security → Recovery → Advanced Startup 中找到選項,使用者可以在其中執行故障排除工具、恢復系統備份及開機修復…等功能。
- Anti-Virus Software
防毒軟體旨在檢測、防止和刪除作業系統中的病毒。這類軟體通常透過病毒碼檢測和即時監控功能識別已知病毒。 - Software Firewall
軟體防火牆可用於監控和控制網路流量,基於設定好的規則,允許或阻止特定的網路通信,保護系統免受未經授權的訪問和網路攻擊 - Anti-Phishing Training
透過內部教育訓練,教育使用者識別釣魚攻擊。避免員工的個人訊息、帳戶資訊或其他敏感資訊外流。
2.4 Social Engineering
Social Engineering- Phishing
攻擊者冒充合法機構或組織,透過電子郵件、簡訊或社交媒體等方式傳播,並製作看起來與合法機構相似的偽造網站或頁面,引誘人們提供個人或企業敏感資訊。 - Shoulder Surfing
攻擊者在受害者使用電腦、手機或其他設備時,從背後或是安裝鏡頭觀察他們的螢幕或鍵盤,以偷窺他們的敏感資訊。 - Impersonation
假冒他人身份或角色,以獲取未授權的訪問或進行欺騙行為。例如偽裝成公司資訊人員、客戶及管理階層…等。 - Dumpster diving
在垃圾桶或其他廢棄物中尋找有價值訊息的行為,並用於進一步的社交工程攻擊。 - Wireless evil twins
攻擊者透過創建具有重複 SSID 的無線AP,引誘人們連接到這個惡意網路,進而窺探或竊取敏感信息。在公共場所,例如咖啡廳、機場或酒店,以吸引用戶連接。
Denial of Service (DoS)
DoS 旨在使目標系統、網路或服務對其預期用戶不可用,常見類型如下:- Internal
- 人員占用過多頻寬
- 網路設備連接產生迴圈
- 機房環境異常
- DDoS (Distributed Denial of Service)
攻擊者利用多台被入侵的電腦(又稱作僵屍網絡) 向目標系統發送大量流量,藉此癱瘓目標系統,許多網路服務供應商(ISP) 已開始提供過濾 DDoS 攻擊的服務。
Zero-Day Attacks
Zero-Day 是指已存在,但尚未被軟體供應商發現或修補的安全漏洞,因此沒有任何公開資訊或更新檔可以被利用修復,2021年的 Log4j RCE 漏洞即是一個例子。
On-Path Attacks
攻擊者在電腦通信的路徑上進行監聽或干擾數據傳輸的攻擊方式。- ARP Poisoning
攻擊者透過欺騙同一區網中的電腦或路由器,改變它們的 ARP(Address Resolution Protocol)Cache,進而將設備間的流量導向到攻擊者控制的系統,進而竊取其中傳輸的帳號密碼等機敏資訊。
- Keylogger or Spywares
透過預先在電腦中安裝惡意程式,攻擊者可以在瀏覽器中攔截到傳輸的流量,由於訊息尚未被加密,攻擊者可以看到所有發送的訊息
Password Attacks
試圖破解密碼的方式- Plaintext
永遠不要將密碼以明文儲存。若有人獲取含有明文密碼的文件或資料庫,將可直接獲得所有人的憑據 - Hashing
雜湊是將任意長度的字串轉換為固定長度的字串的過程,一個好的雜湊算法應盡可能不產生重複的輸出。密碼通常以雜湊的形式儲存在系統中,攻擊者無法直接回推原始字串,常見的雜湊算法包括MD5、SHA-1、SHA-256…等。 - Brute force
攻擊者通過遍歷所有可能的密碼組合,直到找到正確的密碼。 - Online
攻擊者直接對目標系統進行密碼攻擊,但大多數系統會因大量登入失敗而把帳戶進行鎖定,進而導致行動暴露。 - Offline
攻擊者獲取儲存在目標系統上的密碼雜湊,在離線環境中對其進行破解。 - Dictionary Attack
攻擊者使用預先準備好的詞彙表進行密碼攻擊。
Insider Threats
防止內部攻擊的方法與防止任何其他類型的攻擊的方法相同。建立安全的網路環境,並且擁有良好的數據備份。
SQL Injection
攻擊者利用應用程式未對使用者輸入進行適當的驗證或處理,將惡意的 SQL 語句插入到輸入中並執行,從而對資料庫進行非法操作或獲取未授權的資料。管理員除了對使用者輸入進行預處理,應只授予使用者執行必要操作的最小權限。
Cross-Site Scripting (XSS)
跨站腳本攻擊是一種常見的網站應用程式安全漏洞,攻擊者利用這種漏洞在受害者的瀏覽器執行惡意腳本。XSS 攻擊通常發生在網站未能適當處理使用者輸入的資料,將該輸入直接或間接地呈現在網頁上,使得攻擊者可以利用受害者的瀏覽器執行各種惡意操作,例如竊取個人資訊、登錄憑證或在受害者帳戶下執行未授權的操作。常見攻擊方式有以下三種:- Reflected XSS
攻擊者將惡意腳本注入到URL參數或表單輸入中,當受害者點擊包含惡意腳本的 URL 或提交含有腳本的表單時,該腳本就會被執行,通常透過釣魚郵件進行攻擊。 - Stored XSS
攻擊者將惡意腳本儲存在網站的資料庫中,當其他用戶訪問該網站時,腳本就會被呈現在網頁上,並在其瀏覽器中執行。 - DOM-based XSS
攻擊者通過修改網頁的Document Object Model (DOM) 來注入並執行惡意腳本。這種類型的攻擊不涉及網站的伺服器端,而是利用網頁上的 JavaScript 代碼來實現攻擊。 - Protection
- 對於所有從使用者獲取的輸入,包括表單輸入、URL參數和Cookie,應該進行驗證和過濾,以移除或轉譯特殊字元。
- 避免使用不安全的 JavaScript API,例如 eval() 和 innerHTML,以及直接操作 DOM 節點。
- HTTP表頭設置:設置Content Security Policy (CSP) 和 X-XSS-Protection 表頭,以提供額外的保護層。
- 教育使用者不要點擊郵件中的任何不明連結
Security Vulnerabilities
為了應對安全漏洞,管理人員應對裝置進行合規性檢查、補丁管理以及瞭解產品開發商所訂下的生命週期
Social Engineering
- Phishing
攻擊者冒充合法機構或組織,透過電子郵件、簡訊或社交媒體等方式傳播,並製作看起來與合法機構相似的偽造網站或頁面,引誘人們提供個人或企業敏感資訊。 - Shoulder Surfing
攻擊者在受害者使用電腦、手機或其他設備時,從背後或是安裝鏡頭觀察他們的螢幕或鍵盤,以偷窺他們的敏感資訊。 - Impersonation
假冒他人身份或角色,以獲取未授權的訪問或進行欺騙行為。例如偽裝成公司資訊人員、客戶及管理階層…等。 - Dumpster diving
在垃圾桶或其他廢棄物中尋找有價值訊息的行為,並用於進一步的社交工程攻擊。 - Wireless evil twins
攻擊者透過創建具有重複 SSID 的無線AP,引誘人們連接到這個惡意網路,進而窺探或竊取敏感信息。在公共場所,例如咖啡廳、機場或酒店,以吸引用戶連接。
Denial of Service (DoS)
DoS 旨在使目標系統、網路或服務對其預期用戶不可用,常見類型如下:
DoS 旨在使目標系統、網路或服務對其預期用戶不可用,常見類型如下:
- Internal
- 人員占用過多頻寬
- 網路設備連接產生迴圈
- 機房環境異常
- DDoS (Distributed Denial of Service)
攻擊者利用多台被入侵的電腦(又稱作僵屍網絡) 向目標系統發送大量流量,藉此癱瘓目標系統,許多網路服務供應商(ISP) 已開始提供過濾 DDoS 攻擊的服務。
Zero-Day Attacks
Zero-Day 是指已存在,但尚未被軟體供應商發現或修補的安全漏洞,因此沒有任何公開資訊或更新檔可以被利用修復,2021年的 Log4j RCE 漏洞即是一個例子。
Zero-Day 是指已存在,但尚未被軟體供應商發現或修補的安全漏洞,因此沒有任何公開資訊或更新檔可以被利用修復,2021年的 Log4j RCE 漏洞即是一個例子。
On-Path Attacks
攻擊者在電腦通信的路徑上進行監聽或干擾數據傳輸的攻擊方式。
攻擊者在電腦通信的路徑上進行監聽或干擾數據傳輸的攻擊方式。
- ARP Poisoning攻擊者透過欺騙同一區網中的電腦或路由器,改變它們的 ARP(Address Resolution Protocol)Cache,進而將設備間的流量導向到攻擊者控制的系統,進而竊取其中傳輸的帳號密碼等機敏資訊。
- Keylogger or Spywares
透過預先在電腦中安裝惡意程式,攻擊者可以在瀏覽器中攔截到傳輸的流量,由於訊息尚未被加密,攻擊者可以看到所有發送的訊息
Password Attacks
試圖破解密碼的方式
試圖破解密碼的方式
- Plaintext
永遠不要將密碼以明文儲存。若有人獲取含有明文密碼的文件或資料庫,將可直接獲得所有人的憑據 - Hashing
雜湊是將任意長度的字串轉換為固定長度的字串的過程,一個好的雜湊算法應盡可能不產生重複的輸出。密碼通常以雜湊的形式儲存在系統中,攻擊者無法直接回推原始字串,常見的雜湊算法包括MD5、SHA-1、SHA-256…等。 - Brute force
攻擊者通過遍歷所有可能的密碼組合,直到找到正確的密碼。 - Online
攻擊者直接對目標系統進行密碼攻擊,但大多數系統會因大量登入失敗而把帳戶進行鎖定,進而導致行動暴露。 - Offline
攻擊者獲取儲存在目標系統上的密碼雜湊,在離線環境中對其進行破解。 - Dictionary Attack
攻擊者使用預先準備好的詞彙表進行密碼攻擊。
Insider Threats
防止內部攻擊的方法與防止任何其他類型的攻擊的方法相同。建立安全的網路環境,並且擁有良好的數據備份。
防止內部攻擊的方法與防止任何其他類型的攻擊的方法相同。建立安全的網路環境,並且擁有良好的數據備份。
SQL Injection
攻擊者利用應用程式未對使用者輸入進行適當的驗證或處理,將惡意的 SQL 語句插入到輸入中並執行,從而對資料庫進行非法操作或獲取未授權的資料。管理員除了對使用者輸入進行預處理,應只授予使用者執行必要操作的最小權限。
攻擊者利用應用程式未對使用者輸入進行適當的驗證或處理,將惡意的 SQL 語句插入到輸入中並執行,從而對資料庫進行非法操作或獲取未授權的資料。管理員除了對使用者輸入進行預處理,應只授予使用者執行必要操作的最小權限。
Cross-Site Scripting (XSS)
跨站腳本攻擊是一種常見的網站應用程式安全漏洞,攻擊者利用這種漏洞在受害者的瀏覽器執行惡意腳本。XSS 攻擊通常發生在網站未能適當處理使用者輸入的資料,將該輸入直接或間接地呈現在網頁上,使得攻擊者可以利用受害者的瀏覽器執行各種惡意操作,例如竊取個人資訊、登錄憑證或在受害者帳戶下執行未授權的操作。常見攻擊方式有以下三種:
- Reflected XSS
攻擊者將惡意腳本注入到URL參數或表單輸入中,當受害者點擊包含惡意腳本的 URL 或提交含有腳本的表單時,該腳本就會被執行,通常透過釣魚郵件進行攻擊。 - Stored XSS
攻擊者將惡意腳本儲存在網站的資料庫中,當其他用戶訪問該網站時,腳本就會被呈現在網頁上,並在其瀏覽器中執行。 - DOM-based XSS
攻擊者通過修改網頁的Document Object Model (DOM) 來注入並執行惡意腳本。這種類型的攻擊不涉及網站的伺服器端,而是利用網頁上的 JavaScript 代碼來實現攻擊。 - Protection
- 對於所有從使用者獲取的輸入,包括表單輸入、URL參數和Cookie,應該進行驗證和過濾,以移除或轉譯特殊字元。
- 避免使用不安全的 JavaScript API,例如 eval() 和 innerHTML,以及直接操作 DOM 節點。
- HTTP表頭設置:設置Content Security Policy (CSP) 和 X-XSS-Protection 表頭,以提供額外的保護層。
- 教育使用者不要點擊郵件中的任何不明連結
Security Vulnerabilities
為了應對安全漏洞,管理人員應對裝置進行合規性檢查、補丁管理以及瞭解產品開發商所訂下的生命週期
為了應對安全漏洞,管理人員應對裝置進行合規性檢查、補丁管理以及瞭解產品開發商所訂下的生命週期
2.5 Windows Security
Defender Antivirus
Windows 10, 11內建防毒軟體Microsoft Defender Antivirus (Windows Defender),不必額外付費,管理者可以設定即時防護及更新時間,通常在企業環境會安裝第三方防毒,可參考微軟官方說明確認防毒軟體之間是否相容及如何關閉或停用Windows Defender
Windows Firewall
Windows 中內建軟體防火牆,可以讓管理者定義流量進出的規則,控制進入和離開電腦的網路連接,例如限制服務或端口的訪問權限、允許或阻止特定 IP 位址的連線…等,有時在排查應用程式問題時會需要暫時關閉防火牆
Windows Security Settings
Windows提供許多功能確保資料的安全性,像是多種身分驗證的方式、檔案目錄及共用權限、使用者帳戶控制、BitLocker 及加密文件系統…等,管理者可依需求啟用這些功能。
Defender Antivirus
Windows 10, 11內建防毒軟體Microsoft Defender Antivirus (Windows Defender),不必額外付費,管理者可以設定即時防護及更新時間,通常在企業環境會安裝第三方防毒,可參考微軟官方說明確認防毒軟體之間是否相容及如何關閉或停用Windows Defender
Windows 10, 11內建防毒軟體Microsoft Defender Antivirus (Windows Defender),不必額外付費,管理者可以設定即時防護及更新時間,通常在企業環境會安裝第三方防毒,可參考微軟官方說明確認防毒軟體之間是否相容及如何關閉或停用Windows Defender
Windows Firewall
Windows 中內建軟體防火牆,可以讓管理者定義流量進出的規則,控制進入和離開電腦的網路連接,例如限制服務或端口的訪問權限、允許或阻止特定 IP 位址的連線…等,有時在排查應用程式問題時會需要暫時關閉防火牆
Windows 中內建軟體防火牆,可以讓管理者定義流量進出的規則,控制進入和離開電腦的網路連接,例如限制服務或端口的訪問權限、允許或阻止特定 IP 位址的連線…等,有時在排查應用程式問題時會需要暫時關閉防火牆
Windows Security Settings
Windows提供許多功能確保資料的安全性,像是多種身分驗證的方式、檔案目錄及共用權限、使用者帳戶控制、BitLocker 及加密文件系統…等,管理者可依需求啟用這些功能。
Windows提供許多功能確保資料的安全性,像是多種身分驗證的方式、檔案目錄及共用權限、使用者帳戶控制、BitLocker 及加密文件系統…等,管理者可依需求啟用這些功能。
2.6 Security Best Practices
Security Best Practices
在 Windows 中內建許多安全功能,以下簡略介紹- 檔案加密
Windows 內建 Bitlocker 可以對硬碟或隨身碟進行加密 - 密碼安全性原則
Windows可設置密碼的生命週期,並記住使用過的密碼 - 螢幕鎖定原則
Windows 可設定系統閒置的時間 - 帳號鎖定原則
設定帳號在幾次驗證失敗後自動鎖定 - 限制網路存取時間
限制物件在一天當中可被存取的時間 - 禁用不必要的帳號
禁用來賓或系統預設帳號 - 更改預設密碼
絕對不要使用任何預設密碼 - 禁用 Autorun
在可攜式儲存裝置在連接到電腦時禁用自動執行
Security Best Practices
在 Windows 中內建許多安全功能,以下簡略介紹
在 Windows 中內建許多安全功能,以下簡略介紹
- 檔案加密
Windows 內建 Bitlocker 可以對硬碟或隨身碟進行加密 - 密碼安全性原則
Windows可設置密碼的生命週期,並記住使用過的密碼 - 螢幕鎖定原則
Windows 可設定系統閒置的時間 - 帳號鎖定原則
設定帳號在幾次驗證失敗後自動鎖定 - 限制網路存取時間
限制物件在一天當中可被存取的時間 - 禁用不必要的帳號
禁用來賓或系統預設帳號 - 更改預設密碼
絕對不要使用任何預設密碼 - 禁用 Autorun
在可攜式儲存裝置在連接到電腦時禁用自動執行
2.7 Mobile Device Security
Mobile Device Security- 螢幕鎖定
使用者可以利用密碼、圖形、指紋或臉部識別將設備上鎖,若持續驗證失敗次數過多,iOS及Android 都將清除裝置所有資料 - 定位及遠程擦除
行動裝置通常都有內建 GPS,擁有者可藉由定位資訊尋找設備,若是設備無法取回可將裝置標記為遺失、遠端移除所有資料 - 系統更新
應盡可能保持裝置在最新狀態,若 MDM 支援暫緩更新功能,建議可設定為60~90 天 - 加密
目前的裝置加密功能大多與裝置上的登入帳號連動,登入帳號即默認加密設備 - 備份
大部分行動裝置目前都支援雲端備份,使用者只需在新裝置上登錄帳號即可將檔案復原至新裝置 - 防毒
手機上的APP都在OS內的沙箱中運行,這代表它們無法訪問行動裝置上的所有資料,藉此保護其他APP和系統免受惡意程式的侵害,也因此很多惡意程式會偽裝成合法的應用程式,詢問使用者是否授予權限,故在手機上安裝防毒軟體仍有其必要性 - 防火牆
由於手機操作大部分是對外連線,很少手機會內建防火牆APP - MDM
在企業內部管控行動裝置通常依賴於MDM方案,例如管理裝置的相機及USB傳輸功能 - IoT
如今越來越多物聯網設備,如感測器、智慧家電、穿戴式裝置等,但這些系統通常由不同製造商製造且不具有效的資安防護,可考慮限制可存取這些設備的管道
Mobile Device Security
- 螢幕鎖定
使用者可以利用密碼、圖形、指紋或臉部識別將設備上鎖,若持續驗證失敗次數過多,iOS及Android 都將清除裝置所有資料 - 定位及遠程擦除
行動裝置通常都有內建 GPS,擁有者可藉由定位資訊尋找設備,若是設備無法取回可將裝置標記為遺失、遠端移除所有資料 - 系統更新
應盡可能保持裝置在最新狀態,若 MDM 支援暫緩更新功能,建議可設定為60~90 天 - 加密
目前的裝置加密功能大多與裝置上的登入帳號連動,登入帳號即默認加密設備 - 備份
大部分行動裝置目前都支援雲端備份,使用者只需在新裝置上登錄帳號即可將檔案復原至新裝置 - 防毒
手機上的APP都在OS內的沙箱中運行,這代表它們無法訪問行動裝置上的所有資料,藉此保護其他APP和系統免受惡意程式的侵害,也因此很多惡意程式會偽裝成合法的應用程式,詢問使用者是否授予權限,故在手機上安裝防毒軟體仍有其必要性 - 防火牆
由於手機操作大部分是對外連線,很少手機會內建防火牆APP - MDM
在企業內部管控行動裝置通常依賴於MDM方案,例如管理裝置的相機及USB傳輸功能 - IoT
如今越來越多物聯網設備,如感測器、智慧家電、穿戴式裝置等,但這些系統通常由不同製造商製造且不具有效的資安防護,可考慮限制可存取這些設備的管道
2.8 Data Destruction
Data Destruction
當公司汰換硬碟設備時,須確保無人能夠存取其中的資料,以下是常見的幾種作法:- 物理刪除
- 大型破碎機
- 鑽頭
- 消磁
使用強磁場或磁性刷等設備,資料的磁性被完全消除,使其無法被讀取 - 焚毀
- 格式化
- 低階格式化
在以往指的是硬碟製造出廠前須執行的操作,如今大多指的是清除所有磁區並將硬碟所有可讀寫區域寫入零值。 - 標準格式化
根據使用者指定的檔案系統,清除分割區內檔案的動作,檔案復原機率較小 - 快速格式化
只清除儲存資料的索引而不清除實際資料。無法阻止資料復原。
- 軟體抹除
透過 Sdelete 或 DBAN 這些軟體覆蓋儲存資料的區域,達到邏輯上不可復原的程度。
Data Destruction
當公司汰換硬碟設備時,須確保無人能夠存取其中的資料,以下是常見的幾種作法:
當公司汰換硬碟設備時,須確保無人能夠存取其中的資料,以下是常見的幾種作法:
- 物理刪除
- 大型破碎機
- 鑽頭
- 消磁
使用強磁場或磁性刷等設備,資料的磁性被完全消除,使其無法被讀取 - 焚毀
- 格式化
- 低階格式化
在以往指的是硬碟製造出廠前須執行的操作,如今大多指的是清除所有磁區並將硬碟所有可讀寫區域寫入零值。 - 標準格式化
根據使用者指定的檔案系統,清除分割區內檔案的動作,檔案復原機率較小 - 快速格式化
只清除儲存資料的索引而不清除實際資料。無法阻止資料復原。 - 軟體抹除
透過 Sdelete 或 DBAN 這些軟體覆蓋儲存資料的區域,達到邏輯上不可復原的程度。
2.9 SOHO Networks
Securing a SOHO Network
架設小型網路時須注意的事項如下- 更改預設密碼
確保使用的網路設備無使用任何預設密碼 - 韌體更新
確保使用的網路設備韌體皆已更新到最新版本 - IP Address filtering
透過限制訪問特定IP位址,可降低電腦瀏覽至具有潛在威脅網站的風險 - DHCP 保留IP
在裝置數量少的家用網路中,透過靜態分配IP相對容易,而其中的一個方式是透過 DHCP 為特定MAC Address保留IP
- WAN Address
許多ISP 為居家網路分配動態IP,在路由器每次重新啟動時可能會被分配到不同的IP位址,若需要確保外部IP不被更改,則需要支付相應的IP租賃費用 - UPnP(Universal Plug and Play)
UPnP又被稱作零設定,當使用UPnP的應用程式啟動時,它將與路由器進行通訊,並建立一個從外部轉發的端口,這也意味著任何人都可以與你的應用程式進行通訊。
最佳的安全作法是禁用UPnP,其次則是建立DMZ區,將需要對外通訊的服務建構在無法直接連接內網的區域
- SSID 管理
更改預設 SSID,防止其他人透過SSID得知設備訊息,進而利用已知或未知漏洞 - WPA2/3-Personal(PSK)/Enterprise(802.1X)
視企業或家用網路環境啟用網路的加密類別 - 頻段管理
部分AP擁有頻段監控的功能,可找到流量最少的頻段並使用 - 訪客網路
部分AP允許配置訪客網路,其作用類似於DMZ區,建立一個可存取網際網路,但無法與內部網路通訊的無線網路 - 禁用網孔,NAC
企業環境中通常會啟用NAC,通過身分驗證才可以存取網路 - Port Forwarding(Static NAT)
NAT 可將外部IP及端口轉換為內部IP及不同端口,通常用在內部服務需要在特定端口開放給網際網路使用時
Securing a SOHO Network
架設小型網路時須注意的事項如下
架設小型網路時須注意的事項如下
- 更改預設密碼
確保使用的網路設備無使用任何預設密碼 - 韌體更新
確保使用的網路設備韌體皆已更新到最新版本 - IP Address filtering
透過限制訪問特定IP位址,可降低電腦瀏覽至具有潛在威脅網站的風險 - DHCP 保留IP
在裝置數量少的家用網路中,透過靜態分配IP相對容易,而其中的一個方式是透過 DHCP 為特定MAC Address保留IP - WAN Address
許多ISP 為居家網路分配動態IP,在路由器每次重新啟動時可能會被分配到不同的IP位址,若需要確保外部IP不被更改,則需要支付相應的IP租賃費用 - UPnP(Universal Plug and Play)
UPnP又被稱作零設定,當使用UPnP的應用程式啟動時,它將與路由器進行通訊,並建立一個從外部轉發的端口,這也意味著任何人都可以與你的應用程式進行通訊。
最佳的安全作法是禁用UPnP,其次則是建立DMZ區,將需要對外通訊的服務建構在無法直接連接內網的區域 - SSID 管理
更改預設 SSID,防止其他人透過SSID得知設備訊息,進而利用已知或未知漏洞 - WPA2/3-Personal(PSK)/Enterprise(802.1X)
視企業或家用網路環境啟用網路的加密類別 - 頻段管理
部分AP擁有頻段監控的功能,可找到流量最少的頻段並使用 - 訪客網路
部分AP允許配置訪客網路,其作用類似於DMZ區,建立一個可存取網際網路,但無法與內部網路通訊的無線網路 - 禁用網孔,NAC
企業環境中通常會啟用NAC,通過身分驗證才可以存取網路 - Port Forwarding(Static NAT)
NAT 可將外部IP及端口轉換為內部IP及不同端口,通常用在內部服務需要在特定端口開放給網際網路使用時
2.10 Browser Security
Browser Security- 透過可信的來源下載及安裝軟體,並確認雜湊值
- 不透過第三方網站及電子郵件內的連結安裝瀏覽器插件
- 除信任的網站,預設禁止彈出式視窗
- 瀏覽器內可調整隱私追蹤設定,阻止網站及瀏覽器取得瀏覽資訊
- 若第三方網站出現問題,可先嘗試清除瀏覽數據及快取
Browser Security
- 透過可信的來源下載及安裝軟體,並確認雜湊值
- 不透過第三方網站及電子郵件內的連結安裝瀏覽器插件
- 除信任的網站,預設禁止彈出式視窗
- 瀏覽器內可調整隱私追蹤設定,阻止網站及瀏覽器取得瀏覽資訊
- 若第三方網站出現問題,可先嘗試清除瀏覽數據及快取
沒有留言:
張貼留言