2024年8月9日星期五

MP32315《26大企業紅藍隊攻防演練:從企業永續報告書精進資安網路攻防框架》各章Q&A參考答案─第一章

CH1:2022年版聯發科永續報告書

Question1:大部分企業保存機密的方法有二,一個是申請專利,一個是列為營業秘密。請就您的觀點,建議聯發科應該將機密資料多申請專利還是多列為營業機密加以管控。

參考答案:

1. 專利申請:

  • 優點:

    • 法律保護強度高:一旦申請成功,專利提供了法定的壟斷權,可以防止他人在專利期內使用、製造或銷售相同的技術。
    • 公開透明:專利申請過程公開,有助於樹立公司的創新形象,並且能吸引投資者。
    • 對抗侵權:專利權可以用來對抗侵權者,並可以在法律上對侵權行為提出索賠。
  • 缺點:

    • 公開披露:申請專利時,技術細節必須公開。一旦專利期過後,這些技術將失去保護,並且成為公共財。
    • 成本高:專利申請過程費時費力,並且申請和維護專利都需要一定的費用。
    • 技術生命周期:在一些技術快速發展的領域,專利申請的時間可能過長,當專利獲批時,技術可能已經過時。

2. 營業秘密:

  • 優點:

    • 無需公開:營業秘密不需要對外公開,可以永久保密,只要能夠維持其秘密性。
    • 成本相對較低:不需要支付專利申請和維護的費用,僅需投入必要的保密措施和管理。
    • 應對快速變化:對於快速演變的技術,營業秘密可以立即生效,無需等待審批。
  • 缺點:

    • 法律保護較弱:營業秘密的保護依賴於公司的保密措施,一旦被洩露,法律追訴可能比較困難。
    • 容易被反向工程:對於容易被反向工程的技術,營業秘密可能不足以保護公司的核心技術。
    • 內部風險:需要嚴格控制內部員工的接觸範圍,防止內部洩密。

建議:

  • 混合策略:
    • 核心創新專利化:對於那些具有長期價值並且難以通過反向工程破解的核心技術,建議申請專利,以獲得較強的法律保護。
    • 快速變化的技術與商業秘密:對於那些快速演變的技術或商業策略,可以考慮將其列為營業秘密,以避免因專利公開而失去競爭優勢。
    • 制定保密政策:即使選擇申請專利,聯發科仍應建立嚴格的保密政策,確保在申請專利前和申請過程中的技術細節不被洩露。

這樣的混合策略可以幫助聯發科在保護其創新技術的同時,最大限度地保持競爭力和靈活性。

Question2:如果您是聯發科的資安人員,發現新發布了一個漏洞,但是據新聞報導,修補後災情頻傳,那您要如何處理這個漏洞?

如果我是聯發科的資安人員,發現新發布的漏洞修補後導致災情頻傳,以下是我會採取的處理步驟:

1. 立即調查與評估:

  • 評估影響範圍:首先,需要迅速評估漏洞的影響範圍,確定受影響的產品、版本和客戶群體。
  • 災情分析:針對報導中的災情,進行具體的問題分析,確認災情是否與漏洞修補直接相關,並評估修補過程中可能產生的連帶問題。

2. 暫停補丁部署:

  • 暫停補丁更新:如果確認修補導致災情頻發,應立即暫停該補丁的進一步部署,以防止更多系統受影響。
  • 通知相關方:通知內部團隊及受影響的客戶或合作夥伴,說明情況並建議暫停使用或回滾補丁。

3. 問題溯源與修復:

  • 回溯分析:召集開發、測試及安全團隊進行回溯分析,深入了解補丁導致問題的原因。這可能涉及到代碼審查、測試環境重建及模擬測試等步驟。
  • 開發新的修補方案:根據分析結果,開發新的修補方案,並進行嚴格的測試和驗證,確保不會再引發相同或新的問題。

4. 溝通與協作:

  • 與受影響方保持溝通:定期向受影響的客戶和內部利益相關者更新進展,提供臨時解決方案或指導,協助他們度過危機。
  • 與媒體和公眾說明:若事件影響廣泛,應通過適當的渠道與媒體和公眾溝通,透明地說明問題並提供解決方案,減少不必要的恐慌。

5. 回顧與改進:

  • 事後分析:在問題解決後,進行全面的事後分析,總結經驗教訓,找出流程中的不足之處。
  • 強化測試和審查流程:加強未來補丁開發和發布前的測試及審查流程,確保類似問題不再發生。
  • 定期安全審計:建立定期的安全審計流程,及早發現潛在問題,並在問題發生前予以修復。

6. 長期策略與防範措施:

  • 漏洞管理流程:優化現有的漏洞管理流程,包括漏洞的發現、評估、修補、發布及後續監控,確保每個步驟都能有效執行。
  • 多層次的防禦策略:結合不同的防禦層次,減少漏洞影響的風險,如強化防火牆、入侵檢測系統等。

通過這些步驟,我將確保在修復漏洞的同時,最大限度地減少對客戶和公司運營的影響,並建立更加穩健的安全管理機制。


Question3:請您練習查詢CVE資料庫,了解漏洞的描述,並檢視受影響的軟體版本與可能的攻擊路徑。


https://cve.mitre.org/


輸入CVE-2020-11023做為範例



Search Results

There are 3 CVE Records that match your search.

Name Description

CVE-2020-23064 ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2020-11023. Reason: This candidate is a duplicate of CVE-2020-11023. Notes: All CVE users should reference CVE-2020-11023 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.

CVE-2020-11023 In jQuery versions greater than or equal to 1.0.3 and before 3.5.0, passing HTML containing <option> elements from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.

CVE-2020-11022 In jQuery versions greater than or equal to 1.2 and before 3.5.0, passing HTML from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.


可以看到相關的漏洞都是jQuery未更新至最新版本。



資訊資產盤點

 https://forms.gle/KP7VuzdRgFyT3kqX9 https://docs.google.com/spreadsheets/d/1JrCSUoK8DFm4SloUYkofqvYNdy3ArDy7gQ376vT-6HQ/edit?usp=sharing