K書筆記本-Access controls(02)

資訊安全的存取控制可以說是決定了整個資訊安全的完整度及強度!當未經授權的人取存了極敏感的資料，是否會產生更大的安全衝擊?
而資安存取控制中，共分為三大類型及七大控制種類，每一類型中均可以七大控制種類來進行存取控制。資安的目標是做到事事有人管
而如何管、怎麼管…等，有相當多的建議做法(ISO-27002)，但每一項算是何種控制種類，可能就比較難以分清楚。
在類型中共分為有：Administrative(行政面)、Technical; Logical(科技面、邏輯面)及Physical(實體面)，
那七大控制種類又有那幾七種呢?
Preventive(預防)：依照資訊資產的價值及其功能，預先預防可能發生的問題，而加以控制，例如：防撞立柱(Bollards)
Directive(管理)：依照訂定下來的規範告知使用者，並且做有效的管理，例如：資安條例(IS Policy)
Deterrent(嚇阻)：以告誡使用者違範規定的事項可能會受到的懲處，例如：內有惡犬(Beware of Dog)
Detective(偵測)：當未經授權的狀況要發生前，必須要能夠被記錄下來，例如：閉路電視(CCTV)
Corrective(矯正)：當已經發生風險，要做的控制措施，例如：滅火器(Fire Extinguisher)
Recovery(回復)：在處置好已發生的風險後，必須將其狀態回復至預期可用的狀況，例如：重建(Reconstruct; DRP)
Compensating(補償)：為了避免再次發生同樣的問題，必須針對現有的控制再次補強，例如：重深防禦(layered defenses)
以上的七項控制措施中，Detective與Corrective是相互搭配的，例如CCTV偵測到人員入侵時，馬上派出警衛前往處理以避免事端擴展。

以上的七大控制，Jason背訟的方法是：
意外要「預防」、事物要「管理」
放狗「嚇阻」他、雷達「偵測」到
派員去「矯正」、「回復」可用性
「補償」免發生。

而根據CISSP CBK中所舉的例中子，下表是各項控制種類及存取類型的綜合表，可供大家參考：

Controls	Administrative	Technical	Physical
Preventative	User Registration	Passwords, Tokens, IPS	Fences, Bollards
Directive	Policy	Violation Report	Security Guard
Deterrent	Demotion	Warning Banner	‘Beware of Dog’
Detective	Report Reviews	Audit Logs, IDS	Sensors, CCTV
Corrective	Employee Termination	Connection Management	Fire Extinguisher
Recovery	DRP	Backups	Reconstruct, Rebuild
Compensating	Supervision, Job Rotation	Keystroke Logging	Layered Defenses

當然，落實這一些安全控制並不是萬無一失了，各項安全存取控制一定也還有相關的感脅
我們即然已經做了這些安全存取主要就是希望在整個資訊資產的A.I.C.都能面面俱到，但是還是會受到感脅，常見的威脅如下：
DoS：我們對網路已經有做好了所有的控制，但是當你遇到DoS(Denial of Service)時，你該如何處理呢?
畢竟我們做的安全控制是由內而外，但DoS確是由外而內的造成你的服務不可用。
Password crackers：雖然我們訂義了登入密碼的長度、複雜度，但是你確躲不掉使用者以John來暴力的取出密碼，或是L0phtCrack、Brutis等等的威脅。
Spoofing/Masquerading：Spoofing(欺騙)是一種主動的攻擊手法，透過已有的可信機制，將以假的資料遞送給其它設備
使其它設備誤以為假系統所發出的資料是真系統，以取得較敏感的資訊。Masquerading(偽裝)：則是直接像其它用戶端進行攻擊，使其它用戶端誤以為假系統是真系統，而去存取假系統。
Sniffers：是一種非主動式的攻擊，透過網路上的封包傳遞的過程中，將各種封包收集至一定程度之後，進行分析出所收集到的封包中
有那一些可用的資訊是明碼傳遞，其中成有網管人員進行網路效能除錯的功能，因此雙面刃看用於殺人或救人了。
Shoulder surfing：此種攻擊方式是屬於惡意的監看有用的資訊，這種攻擊手法像是當你在提款機前輸入密碼時，從背後窺視你的PIN碼，
用在電腦中就像是帳號密碼記錄器，這種攻擊手法稱為「肩窺」。
Dumpster Diving：是一種實體威脅，顧名思義，當對手收買走我們公司的廢棄物處理廠商，而將屬於較機密的廢棄文件給取走，間接的將敏感資訊洩露於其它人，當敏感的資訊沒有監銷程序時，就容易產生，雖然有做粉碎的動作，但…若有心人人都辦的到重組文件的可能性。

其它的威脅像是有： Buffer Overflow(緩衝溢位)、 Mobile code(行動碼)、 Malware(惡意軟體)、 Eavesdroppers( 竊取)、 Emanations(列舉)、 Tapping(掛線)、 Data Remanence(資料殘餘)、 Unauthorized Data Mining(未授權的資料採礦)、 Back Door/Trap Door(後門/活門)…等等，都是常見的存取控制的威脅。

覺的有點浪費錢的新物一枚-Passed CIW Security Analyst

唉~~!基於業務需求，必須短期內取得CIW Security Analyst，自從pass Security+後(覺的它其實不難)
被要求要去拿CIW就覺的其實不太必要，但是有鑑於對岸(傳說中的祖國)這張認證還小有一點點的名氣
只好再多準備一張紙，參考書的部份我是看Sybex所出版的CIW: Security Professional Study Guide
其實…Jason還看到睡著了，而且多數是跳著看，因為…比較偏像是教科書一樣…無言

考試的內容嘛!!其實在官網上就有特別提出來了，共分為三個領域：
Network Security and Firewalls(網路安全及防火牆，考22題)
Operating Systems Security(作業系統安全，考16題)
Security Auditing, Attacks and Threat Analysis(安全稽核、攻擊及威脅分析，考22題)
在考試規則中，與其它的認證給分比較不同的，它的這三個領域每個領域對題率不得少於70%
而總平均則必須高於75%才算pass，請看這個連結有詳細的說明：http://www.ciwcertified.com/exams/1d0470.asp

比較扯的是，它在OS的部份有考UNIX、LINUX及Windows，但是Windows竟然只有考到 2000的部份，超級無言…
攻擊的部份，較多的是考症狀，再來就是各種協定的問題及其防治方法
而分析稽核的部份就是一些程序問題和一些處理問題最佳建議…等等
然而在考試用詞的部份較會使用一些不常見的措詞用語，所以要花一些時間去適應一下

開始考試前會要先做問卷，問問你為何考試、教育層度、考試過了有沒有加薪、考試費用誰出…
然後開始考試，你也不會知道考試的內容屬於那個領域(其實…看題目也知道)
成績單上會有你的對題數及對題百分比

如果你pass CIW Security Professional，就可以申請Security Analyst
要申請Security Analyst有三個需求：
1.首先必須pass CIW Security Professional(1D0-470)
2.完成簽署CIS認證協議(必須登錄 CIW Candidate Information Center)
3.完成取得Networking administration認證或是取得其它CIW認同的認證。
CIW承認的認證詳情請看這個連結：http://www.ciwcertified.com/certifications/security-analyst.asp
直接將你的CIW Security Professional升格成為Security Analyst認證
因為Jason還沒收到通知書，所以…沒辦法很準確的告訴大家怎麼申請，等Jason收到通知再跟各位報告…

更新囉~~!

在到CIW Candidate information center之前，如果你是直接先考試有取得成績單了
那麼就在登錄資料前可以選擇I have a Score a CIW Score Report and would like to login進去輸入成績單上的相關資訊
就可以直接登錄你的資料到CIW中，如果你和Jason一樣，是先去CIW申請一個帳號再去考試的話
直接點選want to register with the CIW Program即可申請帳號，在通過考試後，考試中心會直接將成績匯入
簽署了CTC Certified Proctor Agreement及 Candidate Agreement並確定(verified)你的個人檔案後
你會收到一封CIW Exam Result Imported，在這個時侯你的認證也在同時送出撥發
如果你有以上面CIW認同的證證將成績單及證書的證明(成績單、線上證書證明、證書掃描或影印…等等)
以mail寄到ciwcustservice@ciwcertified.com就可以了，唯一的要求，附件不要太大但沒有詳細說明要在多少以下
應該是可供識別即可，接下來就等著收證書了。

2009/8/6 更新

今天也收到CIW Security Analyst證書了，雖然，我對它沒有很看重，但是質感比起Security+好太多了
雖然看起來也像是自已用噴墨印的，但是那張紙著著實實的厚多了…開包文囉~~~
1.收到郵包…

2.打開郵包後只有看到兩張紙，一張是證書，另一張就是恭賀的文件

3.接下來把證書拿去掃描供起來給標案用…掃描出來的證書。

再一枚新物入荷-CompTIA Security+ Ver.2008 ((真是不太好意思貼出來…))

邁向CISSP的大道上，先試個水溫，但是這個水溫有點…
老闆說：「Jason!我們有個案子可能要有Security+你可以準備一下嗎?」
一個不小心就規劃進到我的人生中了，其實它也是我想要去取得的認證，我在6/28日決定想要拚CISSP時，就決定了順便來吧

7/9日完成ITIL Foundation後，緊接著花了五天的時間k完了CompTIA Security+ Deluxe Study Guide，寫的真的是『深入淺出』
不過還是偏科技面，對於事情的處理可能考量的以管理面為主但是處理方式以科技面來處理，因此對它有興趣的朋友
可以到世界各地找找這一本，考的內容函蓋的範圍比較接近PC常見的問是及Workstation常見的攻擊，較多是以症狀問你是何種攻擊
像是Worm的特徵、與病毒有何異…等等，對於管理面嘛…就比較少了，像是為了避免互相因為利益關係而要採以處理何種控制方法(職務輪調)

報名考試的部份嘛，我們的老朋友阿P和阿V都可以報名考試，因為CompTIA是比較傾向以入門的認證為主，因此沒有門檻
想考只要有錢就可以報了，如果有朋友的公司是CompTIA的menber，可以有大大的折扣喲，直接到CompTIA的網站去買認證考試卷
詳情請看https://store.comptia.org/product.aspx?product=VW_SEC

考試費用多少呢???沒會員考一科Security+要258兩美金呀!!!如果有會員，整整少了50元美金，你說多不多…

考試的時間本來是90分鐘，因為我們非英文系國家，所以…多給了三十分鐘，整整2小時的時間可以好好的答題
因為多數的題目是選擇「對」的答案，因此很明顯的就知道那兩個是錯的，而剩下來的，只要思考一下，一題三十秒內完成不是問題
考試的題數是100題，其中包含有10題是不計分的喲，分數區間是900~100，低於100就不會打分數，今天的成績是875分(小害羞)
另外，在通過以後必須到網站上去登入你的相關資訊及驗證，登入完成後才會收到證書喲，不然你就傻傻的等到天荒地老也不會收到證書的…
今天考過了Security+是有些小高興啦，只是…似乎也沒有什麼成就感的Fu…，以上經驗分享給大家，有問題可以直接討論喲…

同事們都說，我快變成考照狂魔了，其實，時機歹歹，投資一下自已嘛，不然晚上看韓劇、運動、看世運，也是這樣過去了

2009/8/5 更新
收到證書了~~~!!但是…超沒質感的啦!!像是用一張100磅的紙加上印表機印出來的一樣
一點都不像是認證的證書，比較像是自已印出來的感覺，有點沒質感，下面是開包照!!(好A喲!!!)


內容物有證書，和一張小卡，小卡很像是高鐵票的FU!同事說比較像是名片做塑膠的質感


再來一張證書的掃描

不景氣就要充實自已拚下一個景氣!!

最近不少同事、伙伴都因為人的問題，離開了公司，也因為社會的不景氣，不少人離開後，工作也沒有比較好(不過心情比較好)

尤其是不少同事說到，現在雖然說證照不見得有用，尤其像某此背就會過的東西考了也沒有太大的幫助
其實，Jason近期努力的準備各項認證(CEH, ITIL, Security+, CISSP...)為了也只是要跨過求職的門檻
之前的Jason也是對認證相當的不以為意，因為目睹一個MCSE(2004年吧)不知道什麼是GPO
連IIS設定限制IP也不知道在那裡設定，當下就覺的認證只是一張紙，也起不了什麼作用

離開了教職進到業界前，認證的準備了MCSE而且立志是要搞懂、搞會它才去考
沒聽過吧!!有人考MCSE 2000考到時，已經2003版的出來兩年多了，後來為了找工作就免為其難的升級到2003
現在又因為公司需求、標案市場競爭，不想只是個資訊黑手，不想只是這樣、也不干願只是這樣
經過恩師呂老大(前恆逸資安金牌講師)的加持、鼓勵，成為無話不談的麻吉，上台北出差偶爾還一起出來吃個飯、聊聊天…
養成自已的實力，在公司有需求時為了跨過標案門檻而升級MCDBA、MCITP
也為了往資安的大道前進規劃了一連串的神經病行為，考了CEH(為了某些標案要求做資安檢測人員必須有CEH)
考了ITIL V3 Foundation(為了讓客戶知道我們了解ISO-20000的精神)
參加了ISO-27001 Leader Auditor(保證我們不會違反客戶的資安管理)

現在也為了邁向CISSP來吃盤前菜Security+、CIW Security Analyst，說是為了公司，其實…是為了自已的前途
從對認證不屑一顧，到現在同事一直在問到底有多少認證…
以考到認證來證明自已學習的成果，聽起來似乎也只是張紙，微乎其微的紙…
但也要給新鮮人一個忠告，有認證是好事，但是太誇張的武裝自已只會得到放大鏡的檢視
不過，紙還是有個幾張，對於它的價值則是因人而異了，套句老話…不景氣，是充實自已的好時機，等著迎接景氣好來臨的一天…

新物入荷 - ITIL V3 Foundation

今天…就在今天，辛苦自修了兩個月的ITIL V3 Foundation入荷了!!!

這也就是為何Jason近期來一直無空閒的時間可以來貼文，不過接下來應該也是沒啥時間…

還有兩個偉大的目標要邁進…

先來談談Jason的準備經驗吧!!因為公司近期有一些不太好的狀況發生，所以大家也都在努力的充實自已的能力
當然Jason也是不例外的啦!一路微軟體系發展後覺的似乎不是最長久的路，進而轉換跑道學習資安知識
想必各位前輩也知道資安最大的重點在於做好管理，但在台灣資安部門永遠是第一個被幹掉的部門
即使現在資安公司一間接著一間也，當然也有那種買了一套弱點掃描軟體就到處未經授權的隨便亂掃描
有找到弱點，再向該單位詢問需不需要安全服務…這種行為履見不鮮

於是，有沒有兼具管理與科技的一門學問，直接就連想到了ITIL，雖說ITIL是條不歸路呀!!
Jason也一直在想，做好管理不是只盯著流程那裡有問題修改好了就好，而是有更多的度量方法來衡量
這個服務是否有打入顧客的心中，是不是還有持續改善的地方，讓各個IT部門成為在商業上是有價值的
而不是修修電腦、查查網路而以，Jason公司之前有派員去上了課，但是只有老闆一個人去考(畢竟上課一筆錢、考試又一筆)
Jason就向有上課的同事借了課本來翻翻，想說自已自修，在一個月過去後，我認為我應該準備夠了(背流程、背方法、背分類)
考出來大顆汗小顆汗的，因為…人家考的是每個流程之間的關係，每個方法之間的運作，並且要能清楚的知道流程與內容有什麼樣的關連，成績揭曉…failed~~~~~!

有了第一次的考試經驗後，Jason改變策略把5 Founction & 26 Process給搞懂，知道SLA的明確定義、每個角色幹些什麼好事，那種情況由誰負責處理，度量的方法，流程的銜接…等等，總算是Pass了這次的考試。

報名的部份，朋友是建議我到VUE考試(聽說比較簡單)，拿著白花花的US$165再註冊了第二次，並且很認真的做了不少份的考古題，找出問題的根本原因(發揮了資安的精神)，從過去的考古題中回想第一次考試時遇到的問題，從網路上找到ITIL的那五本聖書加一份ITIL life cycle，不懂的從裡面翻一下，有不少題目的是一看就直接知道答案是那一個了，多數都是考流程的定義、角色的義、和幾個簡單的問題例如說4P's是那四個P，他們的功能是什麼、RACI model主要的作用是什麼，選其中一個字問你最佳的解釋，如果有把教科書看熟，描敘都是原封不動的從書中出來，總知…對它有了一點皮毛的認知，希望接下來我還有動力的持續往ITIL這條百年古道前進…

2009/9/6更新

我的老天爺呀!今天是進傳奇公司辦交接(把我的事情交接給總經理)，神奇吧!!結果在進公司的時侯，總算…總算…
看到一個印有美國字的紙袋，上面寫的是EXIN，我就知道，對啦!對啦!就是這個光，就是這個光!!
總算離考試通過日期7/8到現在9/6日，整整兩個月(八周)才收到，真是太感動了，
它是我收過最有質感的證書，正面的邊框，仔細一看，哇~~~~!是Micro Dot傳說中的微點字，仔細再看看寫啥!
眼睛到快脫窗了，總算看出來了，上面寫的是EXAMINATION ISTITUTE FOR INFORMATION SCIENCE
防偽的技術除了右下角的雷射貼以外，背面還看到崁在紙裡面的貼紙脫模
而且，紙張還有螢光絲(在我的水族箱前的螢光燈發現的)，哇塞!!!這個真的是有FU的證書

光碟機、USB隨身碟自動撥放功能如何關閉!!!

相信這個問題不少人都問過，也遇到過，為了不讓自已忘了這個方法，只好寫下來…

最近Jason正在努力的準備其它認證充實自已(不景氣就要做好迎接景氣到來時的準備)，比較少上來貼文，下面是自各項裝置自動撥放的關閉及開啟的方法，如果環境之下有AD的話，可以透過GPO來派送這些管理規則。

如果是透過regedit工具關閉或開放該功能的話，請進到下列路徑"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"，接下來找到一個NoDriveTypeAutoRun字串值，開啟它後變更它的底數為十進位。

關閉所有裝置自動撥放，把數值設定為255
關閉光碟的自動撥放，把數值設定為181
關閉USB裝置的自動撥放，把數值設定為95
若要再開啟所有自動撥放的功能則設定數值為145

透過AD發佈REG檔或是懶得自已手動改的，可以使用下面的REG檔，內容如下：

關閉所有裝置的自動撥放功能

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

關閉光碟的自動撥放

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5

關閉USB裝置的自動撥放

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:0000005f

回復預設值(都會自動撥放)

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091

Vista小密技
如果你的作業系統是vista，你想要直接關閉掉所有裝置的自動撥放的話，可以直接在將 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer 底下 AutoplayHandlers 設定為 1，可關閉所有裝置的自動播放功能。若要允許所有裝置自動播放的話，只要將數值改為 0即可。