網路安全概述 - NIST SP800 - ISO27001

1>NIST SP800 - ISO27001

美國國家標準與技術研究所（NIST）推出的網路安全架構()

 由NIST推出的網路安全框架，已經受到全球多國組織與企業的認可，臺灣企業也能夠利用，可從五大防護構面快速找到方向，將內部有限的資源，能充分運用在需要優先強化的地方

NIST.網路安全框架（Cybersecurity Framework，CSF）的應用

對許多企業而言，擔心資安防護不知從何著手，或是推動多年難以評估成效，近年來，NIST網路安全框架（Cybersecurity Framework，CSF）的應用，正成為企業關注的焦點，最大原因是，它能夠快速幫助企業找到方向，並具有靈活彈性、易於實施的特性，為企業在規畫與執行網路安全時，能有一個容易遵循的方式。

為了能夠建立通用的網路安全架構，其實，美國國家標準與技術研究所（NIST）做了不少的努力，像是在這個核心框架中，是以風險為基礎來設計，與ISO 27001精神相同，並是基於現有標準、指引與最佳實務作法而成，是一個通用且易於單位實施的架構，進而幫助組織與企業，都能依據自身環境彈性使用，更好地管理與降低網路安全風險。

NIST.CSF是由三個需要持續的要素組成，分別是：

● 框架核心（Framework Core）
● 框架層級（Framework Tiers）
● 框架輪廓（Framework Profiles）

[框架核心]中，內容條列結構較清晰的資安工作檢核表談起，幫助大家能夠更好去理解，再來一步步說明如何使用。

關於NIST網路安全框架，主要包含5大功能面向，提供一個網路安全生命週期的管理策略。在此資安工作檢核表中，5大功能下具有23個類別與108個子類別，方便企業或組織能夠依循這些項目，評估各子類別可採行的安全措施與行動，並提供了許多參考資訊，可以對應到國際共通的標準與指引。同時，NIST也提供了Excel檔案格式的內容，方便組織或企業可以直接下載使用。

這裡呈現的5大核心功能就是重點，定義了企業建構網路安全防護時，所需要重視的5大構面，讓企業在管理安全風險時，能夠對應到事前、事中與事後的環節，提供網路安全生命週期的管理策略。

而實施層級方面，則是可以幫助組織評估執行的程度。基本上，NIST也為了此框架，定義了4個實施層級（Tier），來代表各項子類別的落實程度，第一層是部份實施，第二層為察覺風險，第三層為重複評估，第四層為完全適應。

簡單來說，透過實施層級，企業就可以大概知道現有的資安現況與樣貌。因此，企業可以針對108項子類別去檢視與落實，瞭解自己是部分完成，還是已經實施，更進一步，或是已經能重複進行，甚至可以做到最佳化。

透過使用CSF，將可以看出組織現有的資安現況，之後，就能依照組織特性，考量風險與企業現有的資源，再訂出目標，決定日後要採取補強的策略。

在這個NIST網路安全框架的使用上，NIST還有提供了7個建議步驟，讓組織能持續落實。簡單來說，這7個步驟就是從優先級別與範圍、業務流程目標確認，到建立現況輪廓、風險評估、建立目標輪廓，再從優先級別與差異來分析與決定，並實施行動計畫。

對於這個檢核表的規畫方式，其實NIST也提供了簡單的說明，以便將組織資安防禦落實的現況，以及目標進行比較，並了解兩者之間的差距。例如，可以建立優先級別（Priority）、風險差異（Gap）、估計成本（Budget），以及每年活動（Activities）的欄位。

2>DREAD(rish assessment model)

DREAD is part of a system for risk-assessing computer security threats that was formerly used at Microsoft.^[1] It provides a mnemonic for risk rating security threats using five categories.

The categories are:

• Damage – how bad would an attack be?
• Reproducibility – how easy is it to reproduce the attack?
• Exploitability – how much work is it to launch the attack?
• Affected users – how many people will be impacted?
• Discoverability – how easy is it to discover the threat?

3>OWASP - Web漏洞及攻擊趨勢 

在 IIS 使用偵錯模式- 顯示 source 行數,錯在那一行

OWASP是由「開放式Web應用程式安全專案 (OWASP) 基金會」，針對 Web應用程式漏洞和攻擊趨勢進行深入研究，
建立了一套軟體安全行業指南和標準。其中，OWASP Top 10 是最受歡迎和使用最廣泛的Web應用程式安全意識指南。
而這份列表也成了當前十個最關鍵的Web安全風險指標。

--> Log 很重要,記錄 Admin 處理的歷程 

4>安全測試 - 測試計畫  - OWASP 公版的測試計畫

  OWASP(  Open Web Application Security Project )

5>APT

APT 進階持續性滲透攻擊(Advanced Persistent Threat, APT)可能持續幾天，幾週，幾個月，甚至更長的時間。APT攻擊可以從蒐集情報開始，這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊，這可能很快速或持續一段時間。

6>zero-day attack

在電腦領域中，零日漏洞或零時差漏洞（英語：zero-day vulnerability、0-day vulnerability）通常是指還沒有修補程式的安全漏洞，而零日攻擊或零時差攻擊（英語：zero-day exploit、zero-day attack）則是指利用這種漏洞進行的攻擊。提供該漏洞細節或者利用程式的人通常是該漏洞的發現者。零日漏洞的利用程式對網路安全具有巨大威脅，因此零日漏洞不但是駭客的最愛，掌握多少零日漏洞也成為評價駭客技術水準的一個重要參數。

7>Google Hacking

仰賴強大的 Google Search Engine ，探勘敏感資訊或存在錯誤頁面的網站不再是難事，運用關鍵字從 Google 查詢出可能包含弱點的網站即稱為 "Google Hacking" 。