ISC2 CC Notes 4 Network Security

好的，這是有關您提供的來源中關於 領域 4 (Domain 4) 的詳細資訊。這是一個非常廣泛的領域，涵蓋了網路、系統、雲端、恢復以及一些核心的安全原則。

領域 4：營運安全 (Security Operations)

雖然來源標題標示為 Domain 4，但內容涵蓋了廣泛的營運安全主題，包括網路安全、雲端安全、復原原則、硬體安全和一些通用安全設計原則。

網路基礎與定義 (Network Basics and Definitions)

• 網路 (Networking)：是一組共享資源或資料的電腦集合。
• 縱深防禦 (Defense-in-depth)：用於保護內部網路以及通過網際網路傳輸的資料。
• 通訊類型 (Communication Types)：
  • 單工 (Simplex)：單向通訊。
  • 半雙工 (Half-Duplex)：一次只能發送或接收。
  • 全雙工 (Full-Duplex)：可同時發送和接收。
• 網路類型 (Network Types)：
  • 基頻 (Baseband)：單一通道，一次傳輸一個訊號 (例如：乙太網路)。
  • 寬頻 (Broadband)：多個通道，可同時傳輸多個訊號。
• 網路範圍 (Network Scope)：
  • 區域網路 (LAN)：在有限區域內連接設備。
  • 廣域網路 (WAN)：連接地理上分散的 LANs。
  • 網際網路 (Internet)：全球互連的 WAN 網路集合。
  • 內部網路 (Intranet)：組織私有的網路。
  • 外部網路 (Extranet)：連接不同組織內部網路的連線。
• 交換方式 (Switching Methods)：
  • 電路交換 (Circuit Switching)：昂貴但始終可用，建立專用通訊通道，保證頻寬。
  • 分組交換 (Packet Switching)：資料被分成封包傳輸。

OSI 與 TCP/IP 模型 (The OSI and TCP/IP Model)

• OSI 模型 (OSI Model)：一個具有 7 層抽象的模型。
  • 層級 (從低到高)：實體層 (Physical)、資料連結層 (Datalink)、網路層 (Network)、傳輸層 (Transport)、會話層 (Session)、表示層 (Presentation)、應用層 (Application)。
  • 記憶法 (1-7)：Please Do Not Throw Sausage Pizza Away。
  • 記憶法 (7-1)：All People Seem To Need Data Processing。
  • 協定資料單元 (PDU)：每一層的資料單位名稱，從高到低為 Data, Segments, Packets, Frames, Bits。
  • 層級特性：層級越高越智慧但速度越慢。
  • 各層協定與威脅 (Protocols and Threats per Layer)：
    • Layer 1 (Physical)：硬體、纜線、無線電波、集線器。威脅包括資料洩漏、竊盜、竊聽、干擾。
    • Layer 2 (Data Link)：同一網路上的節點間傳輸資料，處理 MAC 位址、錯誤偵測。協定如 ARP, CSMA/CD, CSMA/CA。威脅包括 MAC 欺騙、泛洪。
    • Layer 3 (Network)：處理 IP 通訊，連接不同網路。協定如 IP, ICMP, IPSEC。威脅包括死亡之 Ping、IP 修改、DHCP 攻擊。
    • Layer 4 (Transport)：提供可靠 (TCP) 或不可靠 (UDP) 的資料傳輸。協定如 TCP, UDP, SSL/TLS (跨越 4-7 層)。威脅如 SYN 泛洪、Fraggle 攻擊。
    • Layer 5 (Session)：管理應用程式間的會話。
    • Layer 6 (Presentation)：格式化、壓縮、加密資料 (檔案層級)。
    • Layer 7 (Application)：與使用者應用程式互動。協定如 HTTP, HTTPS, FTP, SMTP, DNS, DHCP。威脅包括病毒、蠕蟲、應用程式漏洞。
  • 封裝 (Encapsulation)：每一層都會添加或移除協定資訊。
• TCP/IP 模型 (TCP/IP Model)：也稱為網際網路協定套件，提供端到端資料通訊。
  • 4 層：網路存取層 (Network access)、網際網路層 (Internet)、傳輸層 (Transport)、應用程式層 (Application)。或 連結層 (Link)、網際網路層 (Internet)、傳輸層 (Transport)、應用程式層 (Application)。
  • 對應 OSI 層級。

IP 位址、埠號與 MAC 位址 / IP 支援協定 (IP Addresses, Port Numbers, and MAC Addresses / IP Support Protocols)

• MAC 位址 (MAC Addresses)：網卡獨特的識別碼。48 位 (MAC-48) 或 64 位 (EUI-64)。前 24 位是製造商識別碼，其餘識別主機。容易被欺騙 (spoofed)。
• IP 位址 (IP Addresses)：
  • IPv4：32 位元，約 42 億個位址。無連線，不保證傳輸。
  • IPv6：128 位元，位址空間龐大，包含 IPSec。
  • 公有 IP (Public IPs)：可在網際網路路由。
  • 私有 IP (Private IPs)：不可路由 (例如：10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)。
• 埠號 (Ports)：
  • 周知埠 (Well-known Ports)：0-1023，多用於協定。
  • 註冊埠 (Registered Ports)：1024-49151，多用於供應商特定應用程式。
  • 動態、私有或臨時埠 (Dynamic, Private or Ephemeral Ports)：49152-65535，任何人皆可使用。
  • 常用埠號：HTTP 80, HTTPS 443, SSH 22, FTP 20/21, SMTP 25, RDP 3389 等。
• IP 支援協定 (IP Support Protocols)：
  • ARP (Address Resolution Protocol)：將 IP 位址轉譯為 MAC 位址。容易受到 ARP 投毒攻擊。
  • ICMP (Internet Control Message Protocol)：用於故障排除 (例如：Ping, Traceroute)。
  • HTTP/HTTPS：HTTP 使用 TCP 埠 80，未加密；HTTPS 使用 TCP 埠 443，已加密。
  • DHCP (Dynamic Host Configuration Protocol)：動態分配 IP 位址，使用 UDP 埠 67/68。

纜線 (Cables)

• 類型：銅纜 (雙絞線 TP) 較便宜，但安全性較低，容易被竊聽、干擾、竊取資料；光纖更安全，不易受竊聽。
• 安全漏洞：電磁干擾 (EMI) 可能破壞資料可用性和完整性；串擾 (Crosstalk) 是訊號從一條纜線洩漏到另一條。
• 速率單位：Kbps, Mbps, Gbps, Tbps, Pbps。

LAN 拓樸 (LAN Topologies)

• 常見類型：匯流排 (Bus)、星狀 (Star)、環狀 (Ring)、網狀 (Mesh)。
• 網狀拓樸 (Mesh Topology)：分為部分網狀 (Partial Mesh) 和全網狀 (Full Mesh)。全網狀冗餘度最高，常用於高可用性 (HA) 環境。

Wi-Fi 與其他無線網路 (Wi-Fi and Other Wireless Networks)

• Wi-Fi (IEEE 802.11)：在有限區域內無線連接設備。
• 安全疑慮：比有線連接更容易被入侵。
• 威脅：
  • 干擾 (Interference)：可能破壞完整性和可用性。
  • 惡意雙胞胎 (Evil Twin)：建立偽造的熱點 (rogue access point)，誘騙使用者連線，竊取資料。
• 藍牙 (Bluetooth)：短距離無線技術 (2.4 GHz)，建立個人區域網路 (PAN)。裝置分類 (Class 1/2/3)，距離不同。使用 E0 串流加密 (較弱)。漏洞：Bluejacking, Bluesnarfing, Bluebugging。對策：不使用時停用、關閉探索模式、更新韌體。
• Li-Fi：使用光進行高速資料傳輸，適用於易受 EMI 影響的區域。
• Zigbee：低功耗、低資料速率的網狀網路，範圍約 10-100 米。
• 衛星網路 (Satellite)：透過衛星連線。
• 蜂巢式網路 (Cellular Networks)：分為不同區域的基地台，提供行動通訊服務 (3G, 4G, 5G)。5G 使用高頻短距離訊號，需要更多基地台且易受實體障礙物阻擋。

VLANs 與路由器 / VPNs, NAC, 第三方連線 (VLANs and Routers / VPNs, NAC, and Third-Party Connectivity)

• VLAN (Virtual LAN)：在 Layer 2 隔離廣播域，將交換器上的特定埠分配到 VLAN。VLAN Trunk 連接交換器以跨越 VLAN。
• VXLAN (Virtual eXtensible Local Area Network)：用於雲端運算，解決 VLAN 數量限制 (4094) 的問題。
• 路由器 (Routers)：Layer 3 裝置，根據 IP 位址和埠轉發流量，連接 LANs 到 WANs，使用路由表。包括靜態路由、預設閘道、動態路由協定 (OSPF, EIGRP, BGP)。
• VPN (Virtual Private Network)：透過專用連線、虛擬通道協定或流量加密建立虛擬點對點連線。
• NAC (Network Access Control)：自動確保系統符合安全政策。
• 第三方連線 (Third-Party Connectivity)：與供應商、合作夥伴的連線。必須進行徹底的風險評估，確保其安全狀態符合組織政策。可以使用 MOUs/MOAs 和 ISAs 作為安全協定。

SDN, SD-WAN, SDX (Software-Defined Networking, SD-WAN, SDX)

• SDN：透過軟體實現動態網路管理，將控制層與資料層分離。
• SD-WAN：在 WAN 上建立疊加網路，抽象化傳輸，提供流量管理、敏捷性。
• SDX：泛指軟體定義一切。

攻擊與攻擊者 (Attacks and Attackers)

• 攻擊者：可分為外部攻擊者 (Outsiders) 和內部攻擊者 (Insiders)。
• 惡意軟體 (Malware)：惡意程式碼的統稱。
• 殭屍程式/殭屍網路 (Bots/Botnets)：受控於殭屍網路主機 (bot-herders) 的命令與控制 (C&C) 網路，可發送垃圾郵件、竊取資料等。
• 誘捕系統 (Honeypots)：設計成看似合法目標，用於吸引攻擊者以研究漏洞和攻擊策略。
• 誘捕網路 (Honeynets)：誘捕系統的網路，模擬整個伺服器群，最佳實踐是將其與主要網路隔離 (使用 DMZ/防火牆)。從誘捕網路收集的資料由 SIEM/SOAR 系統分析。
• 防火牆 (Firewalls)：在信任的安全內部網路與外部非信任網路 (如網際網路) 之間建立屏障。
  • 類型：封包過濾防火牆 (L1-3)、狀態檢測防火牆 (L1-4)、代理伺服器 (Proxy servers, L7, 特定應用程式閘道)、應用層防火牆 (L7, 理解應用程式和協定，可檢查酬載)。
  • 設計：DMZ (非軍事區)，物理或邏輯子網路，用於暴露外部服務給非信任網路。通常使用兩個防火牆構成屏障，也可使用一個防火牆構成三腳 DMZ。DMZ 為 LAN 增加了額外的安全層。
• 零日攻擊 (0-day Attacks)：利用未知漏洞的攻擊。
• 漏洞掃描/測試 (Vulnerability Scanning/Testing)：掃描網路或系統中預定義的漏洞 (如錯誤配置、過時軟體、未修補系統)。理解掃描結果非常重要，報告可能非常長。必須分析漏洞與威脅和風險的關係 (風險 = 威脅 x 漏洞)。基於風險評估規劃有效的緩解措施。

虛擬化、雲端與分散式運算 (Virtualization, Cloud, and Distributed Computing)

• 虛擬化 (Virtualization)：在單一硬體平台 (主機) 上運行多個虛擬伺服器 (客戶機)。
  • 優點：降低成本、易於設置伺服器、資源分配、縮小實體空間。
  • 虛擬化監管程式 (Hypervisors)：Type 1 (裸金屬型，直接運行在硬體上)、Type 2 (運行在現有作業系統上)。
  • 安全疑慮：虛擬機逃逸 (VM escape)、虛擬化監管程式存取、資源耗盡。客戶機應像實體伺服器一樣在邏輯上隔離。
• 分散式系統 (Distributed Systems)：一組獨立系統共同工作以支援資源或提供服務，使用者通常視其為單一實體。
  • 優點：水平擴展性、模組化成長、容錯能力、成本效益、低延遲。
  • 應用廣泛：網際網路、P2P 網路、區塊鏈等。
  • 高效能運算 (HPC)：聚合計算節點以高速解決複雜計算。
• 雲端運算 (Cloud Computing)：外包部分 IT 基礎設施、儲存或應用程式，本質上是遠端的電腦。
  • 類型：私有雲 (Private)、公有雲 (Public, 共用租戶)、混合雲 (Hybrid)、社群雲 (Community)。
  • 模型：IaaS (基礎設施即服務，提供硬體到作業系統以下)、PaaS (平台即服務，提供作業系統以上)、SaaS (軟體即服務，提供作業系統及應用程式)。
  • 共享責任 (Shared Responsibility)：雲端提供商和客戶共同分擔安全責任。

物聯網 (IoT) / 資產追蹤與硬體強化 (Asset Tracking and Hardware Hardening)

• 物聯網 (IoT)：涵蓋廣泛的裝置和系統。
• 資產追蹤 (Asset Tracking)：手動或自動化方式追蹤資產。
• 硬體強化 (Hardware Hardening)：對伺服器和工作站等硬體設備進行安全配置。包括應用所有修補程式、封鎖不需要的埠、刪除預設使用者等。停用埠 (USB, CD) 可通過物理或邏輯 (如 Active Directory) 方式實現。

電力與備份 (Electricity and Backups)

• 電力：對於系統正常運行至關重要。
  • UPS (不間斷電源)：提供持續穩定的電源，並在停電時提供暫時備用電源，兼具浪湧保護功能。
  • 發電機 (Generators)：在停電時自動或手動啟動，提供更長的備用電源。
  • PDU (電源分配單元)：在機架或設施內分配電源。
• 備份 (Backups)：對於容錯、高可用性和冗餘至關重要。但經常被忽視。
  • 類型：
    • 完整備份 (Full Backup)：備份政策中的所有內容，清除存檔位元，恢復最簡單但耗時。
    • 增量備份 (Incremental Backup)：備份自上次備份以來的更改，清除存檔位元，執行速度快但恢復需要多個備份。
    • 差異備份 (Differential Backup)：備份自上次完整備份以來的更改，不清除存檔位元，恢復需要完整備份和最後一個差異備份。不要對同一份資料同時使用增量備份和差異備份。

容錯、冗餘與彈性 (Fault Tolerance, Redundancy, and Resiliency)

• 容錯 (Fault Tolerance)：確保高可用性和冗餘。
• 冗餘 (Redundancy)：提供備援能力。
  • RAID (磁碟陣列)：透過磁碟分條 (Striping) 提高速度，透過鏡像 (Mirroring) 或同位元 (Parity) 提供冗餘。
    • RAID 0：分條，無冗餘，需要至少 2 個磁碟。
    • RAID 1：鏡像，提供冗餘，需要 2 個磁碟。
    • RAID 5：帶有分散式同位元的塊級分條，提供速度和冗餘，需要至少 3 個磁碟。
  • RAID 在單一磁碟故障時提供幫助 (對於容錯類型)，但多個磁碟故障時需要從備份恢復。
  • 其他冗餘範例：網路路徑、電源、HVAC (空調系統)、人員。
  • 高可用性 (HA) 環境使用集群和負載平衡。
  • 日誌記錄 (Journaling)：遠端或電子方式將交易日誌發送到遠端站點。
• 彈性 (Resiliency)：系統從故障中恢復的能力。

消防 (Fire Suppression)

• 火災三要素 (Fire Requirements)：需要氧氣、熱源和燃料。撲滅火災需要移除其中一個要素。
• 滅火方法 (Methods of Suppression)：移除氧氣 (使用 Halon, FM200, Argon 等氣體)、移除熱源 (使用化學物質或水)、移除燃料 (很少見，因為設備常是燃料)。
• 火災類別 (Fire Classes)：A (可燃物)、B (液體)、C (電器)、D (金屬)、K (廚房油/脂)。來源強調從安全角度和自上而下的組織結構考慮火災類別。
• 自動滅火系統 (Automatic Fire Suppression Systems)：
  • 水 (Water)：透過降溫移除熱源，是最安全的滅火劑，但對資料中心硬體有害；應在用水前斷開電源。
  • 氣體 (Gas)：透過取代氧氣滅火，不留殘餘物。
• 手提滅火器 (Portable Fire Extinguishers)：應標明適用火災類型。使用 PASS 方法：Pull (拉插銷)、Aim (對準火源底部)、Squeeze (壓下手把)、Sweep (左右掃射)。

安全設計原則 (Secure Design Principles)

• 最小權限 (Least Privilege)：賦予員工或系統僅完成其職責所需的最低限度存取權限。
• 需要知道 (Need to Know)：即使擁有存取權限，如果工作不需要，就不應存取該資訊。
• 職責分離 (Separation of Duties)：將任務分配給多個人員，以防止欺詐和錯誤。如果不可行，需要補償性控制。
• 縱深防禦 (Defense in Depth)：使用多個重疊的安全控制措施保護資產，包括物理、行政和邏輯措施。
• 安全預設 (Secure Defaults)：系統在實施時應盡可能安全，然後根據可用性需求調整安全性。
• 故障安全 (Fail Securely)：系統設計應確保在故障時也能維持安全狀態。
• 保持簡單 (Keep It Simple)：簡單的安全措施更容易管理和理解。
• 信任但驗證 (Trust but Verify)：在信任的基礎上進行驗證。
• 零信任 (Zero Trust)：不對裝置或使用者給予隱含信任，在建立企業資源會話之前，始終對主體和裝置進行身份驗證和授權。
• 隱私設計 (Privacy by Design)：主動而非被動，預設即隱私，將隱私嵌入設計，全程安全，透明可見，尊重使用者隱私。