跳到主要內容

發表文章

DevSecOps 方法論與理念 - 白帽觀點

 資料來源:https://secview.io/posts/6-devsecops/ DevSecOps 方法論與理念 2019.6.18 我個人其實蠻高興 DevSecOps 開始被關注,越來越多開發者和企業重視資安。但 DevSecOps 中的這個「Sec」其實不好實踐,背後連結到非常多東西。 這也是我會想來寫 DevSecOps 的原因,雖然無法一篇文章就寫完,但就一起慢聊 DevSecOps 裡面所含的大千世界。 如果你說 DevOps 拆開來會是開發(Development)、維運(Operations)和品質保證(Quality Assurance),那 DevSecOps 就是在這三者都加上資安。從程式碼安全、基礎建設(Infrastructure)、雲端服務、部署環境都考慮到資安,當然包含「人」也是。 儘管看起來不容易,至少我們相信持續發展 DevSecOps 會讓企業帶來好處:「讓資安跟上開發速度、並且讓產品更安全」。 今天這篇是一篇概覽,來跟大家分享 DevSecOps 的做法和挑戰。 DevSecOps 的定義 單純表述的話其實就是「在你所認為的 DevOps 中導入 Security」。 我曾經嘗試去問人什麼是 DevOps,雖然每個人都給我不同的答案,但 DevOps 有幾個特點是大家一致認同的:「敏捷和自動化」,也有人會再提到這是一個「文化」。我覺得 DevSecOps,其實就是在這樣 DevOps 的敏捷、自動化、文化下, 讓大家都有權力和責任來實踐資安 。 而且資安是被內化的,而不再像傳統方式只是一個外掛模組後續加上這個資安功能。像是門匠已經不是先做好門板然後在外面加釘一個栓頭,而是把門和鎖一起考慮設計並且實作。 資安風險 有體驗過 DevOps 的人會知道,開發速度不一定會跟安全性成正比,可能還會成反比。而潛在資安風險就跟技術債一樣,慢慢累積最後一次爆發。 就以企業角度來說一定會有資安風險,只是你選擇忽略它、或是控制它。 例如對大公司來說,有價值的東西通常是那些「被洩漏出來的話」會很難善後的、或是主管會被釘在牆上的那些機密和 Know-How。對小公司或新創來說,客戶資料外洩(失去客戶信用)、MVP 核心價值和功能原始碼洩漏會是潛在資安風險。 為什麼會需要 DevSecOps 但敏捷開發下,生存都來不及了怎麼顧資安? 且就算新
最近的文章

IPSec 筆記 - Kakashi's Blog

資料來源: https://kkc.github.io/2018/03/21/IPSEC-note/ IPSec 筆記 Posted by Kakashi on 2018-03-21 前言 這篇筆記是用來記錄 IPSec protocal 的一些細節,前陣子在架設 AWS VPN 的時候,遇到了一些小問題,主要還是防火牆擋到需要走的 port ,而當時就在想自己對於 IPSec protocal 也太不熟悉了,所以才有這篇文章來稍微紀錄一下。 ℬ 為什麼需要 IPSec IP is not secure,我想這點學過計算機網路的同學應該都會知道這點,而有可能受到以下的風險 source spoofing replay packets data integrity (資料受到竄改) 基本上使用 VPN 走 IPSec protocal 可以確保 CIA (似乎跟資安有關的都會提到這三個詞) Confidentiality: 利用演算法將資料加密 (DES, 3DES, AES & Blowfish) Integrity: 資料完整性,利用 hashing algorithm 保證資料沒有受到竄改 Authentication: 認證 ℬ IPSec security architecture 使用 Layer3 Network layer 這層 Application 層的大家可以無感的享受其 CIA 的好處 Components Authentication Header (AH) Encapsulation Security Payload (ESP) Security Associations (SA) 基本上我覺得要懂 IPSec,可以先來弄懂 AH & ESP 會比較重要,因為這兩個東西有對 IP packet 動手腳 ℬ Authentication Header AH 主要提供的是驗證 Data integrity & data origin source,然後沒有提供任何 加密 的功能,使用 HMAC 算法,把 payload & header 和 IKE 定義好的 key 一起拿來 hash,但這邊要小心因為 NAT 會改變 header,而被改變的話,另外一邊就沒辦法解析正確,所以

Scrum 指南

Scrum 指南: https://scrumguides.org/docs/scrumguide/v2020/2020-Scrum-Guide-Chinese-Traditional.pdf Scrum 指南的目的   我們在 1990 年代初期開發出 Scrum 。為了協助全世界的人們了解 Scrum ,我們於 2010 年間撰寫了 Scrum 指南的首版。自那時起,我們透過小的功能更新對 Scrum 指南進行了演進。我們是 Scrum 指南的共同後盾。   Scrum 指南包含了 Scrum 的定義。為了實現 Scrum 中的全部價值和成果,框架內的各種元素都具有其特定用途。改變 Scrum 的核心設計或 Scrum 的各種理念,遺漏其中任何元素,或是不遵照 Scrum 的規則,是在掩蓋問題,並限制了 Scrum 的各種好處,甚至可能使其變得毫無用處。   我們關注到 Scrum 在錯綜複雜( complex )的世界中應用越來越廣泛。我們很榮幸地看到 Scrum 在許多本質上錯綜複雜( complex )的工作領域中被採用,超越了原本 Scrum 的起源領域 -- 軟體產品開發。隨著 Scrum 的應用範圍逐漸擴大, developers 、研究人員、分析師、科學家與其他專家都能以其工作。我們在 Scrum 中使用 「 developers 」 一詞不是為了排除其他使用者,而是為了簡化統稱。 如果您從 Scrum 當中獲得價值,那麼您可以將自己視為其中一員。   在使用 Scrum 時,可能可以找到、應用和設計符合本文所描述的 Scrum 框架內的模式、流程、見解等。它們的描述超出了本指南的宗旨,因為其中的差異跟您的 Scrum 使用環境有關。這些使用 Scrum 框架內的戰術技巧有很大的變化,因此不在此描述。   Ken Schwaber & Jeff Sutherland 2020 年 11 月  

SQL 注入 - 定義

  資料來源:https://www.trendmicro.com/vinfo/us/security/definition/sql-injection SQL 注入 ,也稱為插入,是一種惡意技術,它通過注入惡意 SQL 語句或利用錯誤輸入來利用目標網站基於 SQL 的應用軟件中的漏洞。 2013 年,開放 Web 應用程序安全項目 [OWASP] 將注入列為易受攻擊的 Web 應用程序最普遍的威脅。 SQL 注入是攻擊者用來攻擊網站的最常見的代碼注入技術之一。 一旦網站被利用,攻擊者就會嘗試獲得對服務器的 root 訪問權限,從而允許他們收集信息以及訪問網絡中的數據庫和其他設備。 2011 年 3 月,SQL 注入被用於破壞眾多網站並註入惡意腳本,觸發重定向到某些 URL,從而導致 FAKEAV 等惡意軟件。 與跨站腳本的區別 雖然這兩個漏洞都可能由網站/應用程序用戶和管理員發送的惡意代碼或數據引起,但它們的影響不同。 CSS/XSS 通常會在客戶端或訪問者端造成中斷,並可用於劫持會話、破壞網站、下載惡意內容和重定向 URL。 另一方面,注入會嚴重影響服務器端,並可能導致數據丟失等後果。 如何防止 SQL 注入攻擊 視頻:Trend Micro Tech-TV:演示和防止 SQL 注入漏洞 相關術語:跨站腳本(CSS/XSS)、網站篡改、漏洞、漏洞利用 對於企業: 使用測試工具確保部署的代碼是安全的。 企業和組織可能會投資於測試工具,例如 Web 應用程序掃描器、漏洞掃描器和靜態代碼分析器。 這些工具可幫助 IT 團隊在部署之前、期間和之後測試和評估代碼。 考慮使用 Web 應用程序防火牆。 這些在 Web 應用程序級別提供防火牆保護。 練習安全編碼。 擁有網站的公司必須採用並實施安全編碼標準。 開放 Web 應用程序安全項目 (OWASP) 是一個非營利組織,它通過社區反饋幫助 Web 開發人員、管理員和所有者練習安全編碼。 相應地修補系統和網絡。 IT 管理員應特別注意確保網絡中的所有系統都打了補丁,因為一個未打補丁的系統可能會帶來災難。 這可以防止網絡犯罪分子利用未修補/過時軟件中的漏洞。 掃描 Web 應用程序是否存在漏洞:企業需要檢查其 Web 應用程序是否存在漏洞,因為這些漏洞可能導致 S

The Effective CISSP考試攻略

  資料來源: https://wentzwu.com/the-effective-cissp%e8%80%83%e8%a9%a6%e6%94%bb%e7%95%a5/ The Effective CISSP考試攻略 考試的難易 一個好的考試,通常會讓你準備的很辛苦!但通過考試後會讓你一直駡,怎麼考出來的題目沒有想像中難!但這就是一個好的考試!這種考試通常有一定的門檻及鑑別度。 到2020/07/01止,台灣有337位CISSP;2019/05/31是304位;2018/12/31是287位。 即使您在資訊軟體產業有相當的資歷,或已有資安的經驗,仍請不要忽視CISSP考試對資安治理、管理及技術的涵蓋面與勺鑽度。 一般而言,有十年以上工作經驗的朋友,可以將考試的目標訂在: 三個月到一年內 , 投入250小時到1000小時 作題目不少於2500題 考試的掌握度 CISSP考試大綱 要儘可能弄懂、裏頭的專有名詞不可以有看不懂的;必須能達到看得懂、說得出,並搭配作題目2500題以上,才能達到參加CISSP考試的基本門檻了。 作題目的最低標準:課本提供的線上題庫的全部題目,外加其它題庫1500題以上,都必須達到90%以上的水準。 答題技巧 考試的作答,基本上要以官方CBK、指定教材及NIST的指引為準。 除了K書,答題的技巧也要刻意練習及培養。 CISSP考試的題目,基本上都是透過社群運作,讓大家參與出題,所以題庫很大並且不斷在更新。因此,請著重在觀念的理解,力求以實力考過,不要迷信題目作很多或作考古題就會過。 應考策略 建議選擇在週一請假,並選在下午考試。 週六及週日可以用大塊的時間準備考試,讓自己進入戰鬥狀態。 睡個好眠後,週一上午持續複習;讓自己一直處於考試的戰鬥狀態。 下午考試當天,我個人不喝有刺激性的飲料(如咖啡)、習慣補一顆維他命B群(或考試前一個小時補充液態維他命),以及中午只吃輕食;進入考場前會先至洗手間用肥皂液洗手、深呼吸及舒展筋骨。 考試作答 作答時先刪去不可能的答案,再選一個對的或 最佳的 答案。 若是考簡體中文,不確定的題目可以標記(mark)起來,繼續作下一題,最後再回來作答。 若是考新版的英文試(CAT 1

資訊技術安全評估共同準則 (CC, ISO/IEC 15408, GB/T 18336) 產品檢測與認證服務

  資料來源: https://www.tksg.global/mod/page/view.php?id=43792 資訊技術安全評估共同準則 (CC, ISO/IEC 15408, GB/T 18336) 產品檢測與認證服務 資訊技術安全評估共同準則 資訊技術安全評估共同準則 ( Common Criteria for IT Security Evaluation, ISO/IEC 15408 ),簡稱共同準則 (Common Criteria) 或 CC,是針對實現資/通訊產品所使用 資訊技術的安全性 所進行的安全技術認證。  共同準則是資訊安全性的架構,是建立在資/通訊產品的開發者可以在安全標的 (Security Target, ST ) 檔案當中,標示安全功能需求 (Security Functional Requirements, SFR ) 及安全保障需求 (Security Assurance Requirement, SAR ),或者也可以從資/通訊產品的保護剖繪 (Protection Profile, PP ) 中取得這些資料。 開發商 CC 文件準備指南 (Guidelines for Developer Documentation)   ISO/IEC TR 15446 Information technology — Security techniques — Guidance for the production of protection profiles and security targets 加解密組認證 (Cryptographic Module Validation Programme, CMVP) - FIPS 140-3 Standards 開發商可以實現或是聲明其產品的安全屬性,檢測實驗室可以評估這些產品, 根據不同的安全保障級別 (EAL),評估與檢測的深度也不同 ,並確認其是否符合聲明的屬性。換句話說,共同準則提供了保證,資/通訊安全產品的規格、實現以及評估可以用一個嚴謹、標準化且可重覆的方式進行,而且可以與目標使用環境相稱。共同準則會維護一份已認證產品的清單,其中包括作業系統、存取控制系統、資料庫、及密鑰管理系統等。 參照相關國際標準: ISO/IEC 15408-1 Information securit