MP32315《26大企業紅藍隊攻防演練：從企業永續報告書精進資安網路攻防框架》各章Q&A參考答案─第二章

 

Question1：在RAAS勒索軟體即服務的產業分工下，華碩有資安主管聯盟的消息分享機制，如果您是華碩的資安人員，該如何應用這個機制，以共享資源的方式，降低單一公司對資安武裝所需的投資金額並及時得知攻擊資訊。

在RAAS（Ransomware-as-a-Service，勒索軟體即服務）產業的分工下，攻擊者的技術和策略變得更為成熟和組織化，企業面臨的資安威脅也日益嚴峻。如果您是華碩的資安人員，應用資安主管聯盟的消息分享機制來降低成本並及時得知攻擊資訊，可以採取以下幾個策略：

1. 分享威脅情報：透過資安主管聯盟與其他公司分享最新的威脅情報，例如最新的攻擊模式、攻擊工具及常見的攻擊向量。這樣可以使各公司即時了解最新的威脅動態並提早防範，而不需要獨自進行昂貴的情報搜集。

2. 共享資安工具與資源：透過聯盟內部協作，共享防禦工具、威脅檢測技術和資安人員的專業知識。例如，可以共同購買威脅情報訂閱服務、協作開發自訂的防禦策略，或共享資安防護技術的使用經驗，從而減少單一公司在資安工具和技術上的投資。

3. 即時事件通報機制：聯盟內部可以建立一個快速的事件通報機制，當有成員公司遭受攻擊時，其他成員可以即時收到警示，從而加強防範。這種快速反應機制可以幫助企業在攻擊發生後快速調整防禦措施，減少潛在的損害。

4. 合作進行應急演練：聯盟可以組織跨公司合作的應急演練，模擬各類資安事件（如RAAS攻擊、DDoS攻擊等）的發生，並測試聯盟成員的反應能力與應急預案。這種合作演練不僅可以提升整個聯盟的防禦能力，還能讓成員企業學習彼此的應對策略。

5. 推動資安教育與訓練：聯盟成員可以共享資安培訓資源，針對勒索軟體和其他威脅進行定期的資安教育與訓練，並共同組織資安講座、工作坊，讓所有成員都能更有效地應對最新的威脅。

透過資安主管聯盟的共享機制，華碩可以減少資安投資成本，提升整體資安防護能力，並及時獲取重要的攻擊信息，從而更有效地保護公司免受RAAS等威脅的影響。

Quesion2：華碩路由器等硬體產品可能面臨修補頻率低、缺乏安全軟體、防禦者的可見性有限的問題，您覺得應如何改善?

華碩的路由器等硬體產品若面臨修補頻率低、缺乏安全軟體、防禦者可見性有限等問題，可以通過以下幾個措施來改善這些資安弱點：

1. 提高補丁管理與自動更新機制

自動更新功能：實現固件與安全補丁的自動更新，讓用戶無需手動下載和安裝，從而提升補丁的及時性。華碩可以設計一個強化的自動化更新機制，定期釋出並推送最新的安全更新，減少潛在漏洞的暴露時間。

增強補丁通知機制：即使部分用戶選擇手動更新，也應該提供更清晰的補丁通知機制，定期提醒用戶更新固件和安全補丁，並解釋更新的必要性。

2. 強化內建安全功能

內建安全軟體與防護機制：華碩可以在路由器中內建更多的安全軟體，例如防火牆、入侵檢測系統（IDS）和入侵防禦系統（IPS），提升設備的主動防禦能力。這些功能應該盡可能預設開啟，並且對於普通用戶保持簡單易用。

主動威脅檢測與防護：可以結合人工智能或行為分析技術，對網路活動進行實時監控與分析，檢測並阻擋異常行為或潛在的攻擊行動。

3. 提高防禦者的可見性

用戶友好的安全儀表板：為路由器用戶提供可視化的安全儀表板，顯示網路安全狀況，包括已連接設備、潛在威脅、更新狀況等。這不僅讓用戶可以更直觀地了解設備的安全狀況，還能及時作出調整。

安全報告和通知系統：路由器應提供定期的安全報告功能，讓用戶了解網路中的可疑活動、受攻擊情況以及防護狀況。此外，可以實現異常行為即時通知，讓用戶能夠快速做出應對。

4. 增加第三方安全審計與驗證

與第三方安全公司合作：定期邀請獨立的第三方安全公司進行產品安全審計與滲透測試，確保設備符合最新的安全標準並及時修補漏洞。這不僅提高了產品的安全性，也能增強消費者對產品的信心。

取得安全認證：為產品取得國際通用的安全認證，如ISO/IEC 27001或Common Criteria，展示華碩對產品安全性的承諾。

5. 提升開發與支援的協作機制

開放式漏洞回報計劃：設置漏洞獎勵計劃（Bug Bounty），鼓勵外部安全研究人員提交發現的漏洞並給予獎勵，促進漏洞的及時修補。

增強開發人員的安全意識：在產品開發階段強化安全開發生命週期（Secure Development Lifecycle，SDL），將安全性作為產品設計的核心，確保硬體和軟體在設計和開發階段就考慮到安全風險。

6. 加強用戶教育

用戶教育計劃：針對消費者推出更多的安全教育和指導，例如如何正確設置路由器、如何防範潛在的網路威脅，以及如何定期更新設備。這樣可以增強消費者的安全意識，從而更好地保護其網路環境。

透過這些措施，華碩可以提升硬體產品的安全性，縮短漏洞修補時間，並增強用戶的可見性與防禦能力，使得路由器等產品在面對資安威脅時具備更好的防護效能。

新心資安講座2024─第十四講（聯發科延伸思考）

 

MP32315《26大企業紅藍隊攻防演練：從企業永續報告書精進資安網路攻防框架》各章Q&A參考答案─第一章

CH1：2022年版聯發科永續報告書

Question1：大部分企業保存機密的方法有二，一個是申請專利，一個是列為營業秘密。請就您的觀點，建議聯發科應該將機密資料多申請專利還是多列為營業機密加以管控。

參考答案：

1. 專利申請：

• 優點：

  • 法律保護強度高：一旦申請成功，專利提供了法定的壟斷權，可以防止他人在專利期內使用、製造或銷售相同的技術。
  • 公開透明：專利申請過程公開，有助於樹立公司的創新形象，並且能吸引投資者。
  • 對抗侵權：專利權可以用來對抗侵權者，並可以在法律上對侵權行為提出索賠。

• 缺點：

  • 公開披露：申請專利時，技術細節必須公開。一旦專利期過後，這些技術將失去保護，並且成為公共財。
  • 成本高：專利申請過程費時費力，並且申請和維護專利都需要一定的費用。
  • 技術生命周期：在一些技術快速發展的領域，專利申請的時間可能過長，當專利獲批時，技術可能已經過時。

2. 營業秘密：

• 優點：

  • 無需公開：營業秘密不需要對外公開，可以永久保密，只要能夠維持其秘密性。
  • 成本相對較低：不需要支付專利申請和維護的費用，僅需投入必要的保密措施和管理。
  • 應對快速變化：對於快速演變的技術，營業秘密可以立即生效，無需等待審批。

• 缺點：

  • 法律保護較弱：營業秘密的保護依賴於公司的保密措施，一旦被洩露，法律追訴可能比較困難。
  • 容易被反向工程：對於容易被反向工程的技術，營業秘密可能不足以保護公司的核心技術。
  • 內部風險：需要嚴格控制內部員工的接觸範圍，防止內部洩密。

建議：

• 混合策略：
  • 核心創新專利化：對於那些具有長期價值並且難以通過反向工程破解的核心技術，建議申請專利，以獲得較強的法律保護。
  • 快速變化的技術與商業秘密：對於那些快速演變的技術或商業策略，可以考慮將其列為營業秘密，以避免因專利公開而失去競爭優勢。
  • 制定保密政策：即使選擇申請專利，聯發科仍應建立嚴格的保密政策，確保在申請專利前和申請過程中的技術細節不被洩露。

這樣的混合策略可以幫助聯發科在保護其創新技術的同時，最大限度地保持競爭力和靈活性。

Question2：如果您是聯發科的資安人員，發現新發布了一個漏洞，但是據新聞報導，修補後災情頻傳，那您要如何處理這個漏洞？

如果我是聯發科的資安人員，發現新發布的漏洞修補後導致災情頻傳，以下是我會採取的處理步驟：

1. 立即調查與評估：

• 評估影響範圍：首先，需要迅速評估漏洞的影響範圍，確定受影響的產品、版本和客戶群體。
• 災情分析：針對報導中的災情，進行具體的問題分析，確認災情是否與漏洞修補直接相關，並評估修補過程中可能產生的連帶問題。

2. 暫停補丁部署：

• 暫停補丁更新：如果確認修補導致災情頻發，應立即暫停該補丁的進一步部署，以防止更多系統受影響。
• 通知相關方：通知內部團隊及受影響的客戶或合作夥伴，說明情況並建議暫停使用或回滾補丁。

3. 問題溯源與修復：

• 回溯分析：召集開發、測試及安全團隊進行回溯分析，深入了解補丁導致問題的原因。這可能涉及到代碼審查、測試環境重建及模擬測試等步驟。
• 開發新的修補方案：根據分析結果，開發新的修補方案，並進行嚴格的測試和驗證，確保不會再引發相同或新的問題。

4. 溝通與協作：

• 與受影響方保持溝通：定期向受影響的客戶和內部利益相關者更新進展，提供臨時解決方案或指導，協助他們度過危機。
• 與媒體和公眾說明：若事件影響廣泛，應通過適當的渠道與媒體和公眾溝通，透明地說明問題並提供解決方案，減少不必要的恐慌。

5. 回顧與改進：

• 事後分析：在問題解決後，進行全面的事後分析，總結經驗教訓，找出流程中的不足之處。
• 強化測試和審查流程：加強未來補丁開發和發布前的測試及審查流程，確保類似問題不再發生。
• 定期安全審計：建立定期的安全審計流程，及早發現潛在問題，並在問題發生前予以修復。

6. 長期策略與防範措施：

• 漏洞管理流程：優化現有的漏洞管理流程，包括漏洞的發現、評估、修補、發布及後續監控，確保每個步驟都能有效執行。
• 多層次的防禦策略：結合不同的防禦層次，減少漏洞影響的風險，如強化防火牆、入侵檢測系統等。

通過這些步驟，我將確保在修復漏洞的同時，最大限度地減少對客戶和公司運營的影響，並建立更加穩健的安全管理機制。

Question3：請您練習查詢CVE資料庫，了解漏洞的描述，並檢視受影響的軟體版本與可能的攻擊路徑。

https://cve.mitre.org/

輸入CVE-2020-11023做為範例



Search Results

There are 3 CVE Records that match your search.

Name Description

CVE-2020-23064 ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2020-11023. Reason: This candidate is a duplicate of CVE-2020-11023. Notes: All CVE users should reference CVE-2020-11023 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.

CVE-2020-11023 In jQuery versions greater than or equal to 1.0.3 and before 3.5.0, passing HTML containing <option> elements from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.

CVE-2020-11022 In jQuery versions greater than or equal to 1.2 and before 3.5.0, passing HTML from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.

可以看到相關的漏洞都是jQuery未更新至最新版本。

繁體中文的第一本CC書圖示

 

金管會發布「金融業導入零信任架構參考指引」，鼓勵深化資安防護

 

金管會發布「金融業導入零信任架構參考指引」，鼓勵深化資安防護

2024 / 07 / 19 

金管會新聞稿

金管會於 2024 年 7 月 18 日發布「金融業導入零信任架構參考指引」，鼓勵金融業以零信任思維深化資安防護。參考指引建議金融機構採風險導向，擇高風險場域為優先導入零信任架構之標的，例如遠距辦公、雲端存取、重要系統主機及資料庫等。
 
「金融業導入零信任架構參考指引」參考美國CISA零信任成熟度模型，並依據我國金融業屬性及既有資安防護能量進行調適，區分四階段分級指標：

·         第一級為靜態指標，著重在既有資安防護機制之優化及整合，包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等，由關鍵資源存取路徑強化防護縱深。

·         第二級融入動態指標，主要參採零信任「永不信任、持續驗證」概念，將資源存取時的動態屬性（如時間、地點、設備合規狀態等）增納為授權審核條件，可針對異常樣態動態撤銷、限縮存取授權或即時告警。

·         第三級以即時指標為主，建議整合資安監控機制，於安全資訊與事件管理平台(SIEM)收容及整合資源存取相關事件日誌，對入侵指標(IOC)或攻擊行為樣態(如Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。

·         第四級為最佳化的整合指標，建立可依資安政策快速調適之一致性且自動化之管理機制，確保安全性及合規性。

金管會表示，參考指引屬行政指導，金融機構於導入實務仍得考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調適，或另為適切之規劃。金管會亦將鼓勵金融機構分享實務案例，供金融同業交流研討最佳實務，並透過定期調查各金融機構之導入規劃及進程，適時納入資安規範，提升整體資安防禦水準。