iPAS資安證照準備: 資安新知與術語整理

WAN Wide Area Network	廣域網路	LAN(區域網路) 和 WAN 都是由節點和連結組成的電腦網路 LAN接電腦或可上網的設備 WAN 外界網絡 可由多個互連的 LAN 組成 透過公有網際網路(ISP、VPN)進行虛擬連線，單位機構的外部連結與交換 https://ithelp.ithome.com.tw/m/articles/10320320 Router 實際網路連線的那個唯一的洞洞，就是 WAN 孔，而分配網路給其他設備的就是 LAN 孔
ISO/IEC 27001:2022	轉版	管理系統與 ISO 結構的一致性 簡化標題 新增控制項目
ISO 27014	資訊安全治理	建立全組織資訊安全：確保資訊安全涵蓋整個組織，而非僅限於 IT 部門。 採用風險導向方法：根據風險評估來制定資訊安全決策。 設定投資決策方向：確保資訊安全投資符合組織的長期目標。 確保內外部要求一致性：遵循法規與組織內部政策。 培養安全良好的環境：促進員工對資訊安全的認知與參與。 審查營運成果績效：確保資訊安全措施能有效支持業務目標。 此外，ISO/IEC 27014 提出 五大治理流程，包括評估、指導、監視、溝通與保證，以確保資訊安全治理的有效性。這項標準對於高科技、金融、醫療等高風險產業尤為重要，幫助組織提升資安成熟度並降低風險。
ISO 27017	雲端服務之資安控制措施	延伸自 ISO/IEC 27002 標準中 37 個控制措施，還增加 7 個新的雲端控制措施，以下問題： • 負責雲端服務提供者和雲端服務客戶之間關係的人是誰• 當合同終止時，資產的移除/歸還• 客戶虛擬環境的保護和分離• 虛擬機器 (Virtual Machines) 配置• 與雲端環境相關的管理操作和程序• 雲端服務客戶監控雲端活動• 虛擬和雲端網路環境的對接
ISO/IEC 27018	雲端服務個人隱私資料
ISO/IEC 27035	資安事件管理
ISO 29100:2024	隱私框架	隱私框架：提供一個標準化的隱私管理架構，幫助組織在處理 PII 時遵循適當的隱私保護措施。 角色與責任：定義 PII 處理過程中的參與者及其職責，以確保隱私保護的有效性。 隱私保護原則：包括透明度、目的限制、數據最小化、保留限制、完整性與機密性等原則，以確保 PII 的安全性。 技術與管理控制：提供隱私保護的技術與管理措施，幫助組織在資訊系統中落實隱私保護。
ISO/IEC 31000	風險管理	5.2溝通及諮詢，5.3確認內部及外部情境，5.4風險評鑑(子項要求包含5.4.2風險鑑別、5.4.3風險分析、5.4.4風險評估)，5.5風險處置及5.6監督與審查 資通系統風險評鑑參考指引(修訂)v4.1_1101231
MITRE ATT&CK		https://attack.mitre.org/matrices/enterprise/ MITRE ATT&CK 入侵流程定義成14個戰術（Tactic）  進程，以下是主要的戰術分類： 偵察（Reconnaissance）：收集目標資訊，例如網路架構、身份資料等。 資源開發（Resource Development）：建立攻擊所需的基礎設施，例如伺服器或工具。 初始存取（Initial Access）：獲得目標系統的初步存取權，例如透過釣魚攻擊。 執行（Execution）：在目標系統上執行惡意程式或指令。 持久性（Persistence）：確保攻擊者能持續存取目標系統。 特權提升（Privilege Escalation）：獲得更高的系統權限。 防禦規避（Defense Evasion）：隱藏攻擊行為以避免被偵測。 憑證存取（Credential Access）：竊取使用者憑證，例如密碼或金鑰。 探索（Discovery）：了解目標系統的結構和資源。 橫向移動（Lateral Movement）：在目標網路中移動以擴大影響範圍。 資料收集（Collection）：收集目標系統中的敏感資訊。 指揮與控制（Command and Control）：與受感染系統建立通信以控制攻擊。 資料外洩（Exfiltration）：將收集的資料傳送到外部。 影響（Impact）：對目標系統造成破壞或干擾。
NIST Cybersecurity Framework（CSF）	網路安全框架 2024年3月正式公布最新版的NIST CSF 2.0當中，額外新增了「治理」成為六大主要功能	框架核心（Framework Core） 框架輪廓（Framework Profile） 框架實施層級（Framework Implementation Tiers）。 識別 Identify 識別和評估系統、資產、資料和資源的網路安全風險。 保護 Protect 評估現有的網路安全程序和流程，以確保為組織的資產提供充分的保護。此項目包括： 偵測 Detect 偵測功能定義、開發和實施適當的網路安全活動，以快速識別威脅和漏洞。 回應 Respond 此功能引導組織對網路攻擊或識別威脅的計劃進行回應與評估。 復原 Recover 復原功能可協助組織評估其網路安全策略，以確保他們有計劃恢復和修復網路攻擊造成的損害。此項目包括：
NIST SP 800-207 ZTA	零信任架構	零信任原則：不再假設內部網路是安全的，而是要求所有存取請求都需經過驗證與授權。 動態存取控制：每次存取企業資源時，都需根據即時風險評估來決定是否允許。 身份驗證與授權：所有使用者與設備都需經過嚴格的身份驗證，並持續監控其安全狀態。 最小權限原則：僅允許必要的存取，避免過度授權導致安全漏洞。 持續監控與風險評估：透過安全資訊與事件管理（SIEM）系統，監控網路活動並即時調整安全策略。 防護措施通常要盡可能減少對資源（如資料、運算資源與應用程式/服務）的存取，只允許那些被確定為需要存取的使用者與資產存取，並對考量存取請求的身份和安全態勢，進行持續的身分識別與授權。  https://www.ithome.com.tw/tech/152242
PEP PDP	（Policy Enforcement Point，PEP） （Policy Decision Point，PDP）	當使用者或機器需要存取企業資源時，需要經過政策落實點進行把關，並由相應的政策決策點，來決定權限。 系統必須確保左邊的主體是真實的，以及請求是有效的，而中間的政策決策點（PDP）與政策落實點（PEP），需提供適當的判斷，允許主體存取資源。在PDP/PEP與資源之間，將會形成默示信任區（Implicit Trust Zone），在NIST的解釋中，這如同機場航站位於登機區的改念，通過機場安全檢查站 (PDP/PEP) 進入登機口的人員與旅客，將被視為是可信的。如何讓PDP/PEP做到嚴謹的決策，就需要透過即時且基於風險評估的結果，給出適當的判斷，以決定是否能夠存取。 零信任提供了一套原則與概念，對於企業所有主體、資產與工作流程，都做到明確的驗證與授權。並圍繞在讓PDP/PEP與資源更靠近。
NIST SP 800-61 Rev. 2	事故回應	事件處理流程：指南強調事件偵測、應對與恢復的完整流程，確保組織能夠快速反應並減少影響。 風險管理整合：建議將事件處理納入整體網路安全風險管理，提升組織的防禦能力。 資訊共享：鼓勵組織間分享網路威脅情報，以提高整體安全性。 持續改進：透過事件後分析來改進未來的應對策略，減少類似事件的發生。
NIST SP 800-37	通過持續監控促進風險管理	識別 Identify 識別和評估系統、資產、資料和資源的網路安全風險。此項目包括： 保護 Protect 評估現有的網路安全程序和流程，以確保為組織的資產提供充分的保護。此項目包括： 偵測 Detect 偵測功能定義、開發和實施適當的網路安全活動，以快速識別威脅和漏洞。此項目包括： 回應 Respond 此功能引導組織對網路攻擊或識別威脅的計劃進行回應與評估。此項目包括： 復原 Recover 復原功能可協助組織評估其網路安全策略，以確保他們有計劃恢復和修復網路攻擊造成的損害。此項目包括：
OWASP CDM	網絡防禦矩陣是2016年在美國銀行擔任首席安全科學家Sounil Yu提出的5x5的網格矩陣，	在第一維度橫軸，是以涵蓋NIST CSF的五大功能為基礎，而在第二維度的縱軸項目，則是以設備裝置、應用程式、網路、資料、及人員等五個資產類別。
L3 交換器	虛擬域網 (VLAN) 分割 IP 路由	Network Layer
CVSS Common Vulnerability Scoring System	漏洞評分標準	使用 0 到 10 的數值表示漏洞的嚴重性 採用多維度評分方式，包括基礎評分、時間評分和環境評分
CWE Top 25	最危險的軟體弱點 最重要的程式設計錯誤清單	https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html
Microsegmentation	微分段	將網路劃分為多個小區段 金融監督管理委員會（金管會）於 2024 年發布的「金融業導入零信任架構參考指引」 將每個裝置甚至每個應用程式放置在自己的部分中。檢查裝置或應用程式之間的所有流量是否有潛在的惡意內容或違反公司安全或存取控制策略的情況。
STRIDE DREAD VAST	威脅建模
SBOM
LFI	Local File Inclusion	https://ithelp.ithome.com.tw/m/articles/10241555
Remote Code Execution (RCE)	允許攻擊者在遠端裝置上執行任意程式碼	注射攻擊 解序列化攻擊 越界寫入