[Day 30] 保护资讯资产

CISA书最後一章为资讯资产安全控制及安全事件管理，与CISSP内容大致重叠，差别在需以稽核角度查看资讯资产有什麽风险、有做什麽控制、是否能符合规范并有效。

隐私保护

隐私目前在国外都有很重的罚责，例如有欧盟的GDPR、美国的HIPAA，在稽核时需要考虑到法令法规问题（找法务一起合作）。
书中提到几个步骤

• 隐私保护应该从一开始就考虑，有系统的建构到政策、标准及程序中
• 隐私数据收集采用公正透明地方式，并仅收集必要的数据(收集的资料愈多要付的保管责任越重)
• 隐私数据应该有生命周期安全的保存
• 隐私数据使用或披露仅限收集时的目的
• 隐私数据应该要准确、完整、最新
• 隐私数据不需要时予以删除（生命周期时应该就要制订删除时机）

图片来源: https://www.ithome.com.tw/news/123462

资安软件名词

SOC (Security Operation Center) 资安维运中心
自建或委外，来处理资安情报收集、维运及事件处理。

图片来源:https://www.ithome.com.tw/article/139571

SIEM (security information and event management) 安全信息和事件管理
收集及分析日志数据，以识别可能表示攻击的模式，并关联不同设备之间的信息以检测任何异常活动

CTI (Cyber threat intelligence) 网络威胁情报
收集资安情资如版本漏洞、IOC(Indicator of Compromise)，用来及早修补或放置防御设备做阻挡

SOAR (Security orchestration automation and response) 资安协调自动化与回应
自动响应安全警报。将收集到的攻击情报做自动化，串接防御设备来达到更快速的防护

EDR (Endpoint Detection & Response) 端点检测和响应
检测和调查主机/端点上其他问题的可疑活动(程序行为特徵)，辅助传统防毒不足的地方
https://www.trendmicro.com/zh_tw/business/products/user-protection/sps/endpoint/detection-response.html

UEBA (User and Entity Behavior Analytics) 用户和实体的行为和分析
观察用户和实体的正常行为，并检测用户偏离这些“正常”模式的任何异常行为

图片来源: https://www.ithome.com.tw/tech/105695

NTA (Network Traffic Analysis) 网络流量分析
监视网络流量，通常使用Netflow或sflow，可以看到流量中更多资讯(协定)，让网管或资安人员更容易分析及看出网路问题。

图片来源:https://www.solarwinds.com/netflow-traffic-analyzer/use-cases/network-traffic-analysis

PAM (Privileged access management) 特权访问管理
保护特权帐户以及有权访问它们的用户，利用一个平台代替原本登入画面，使用者每次登入时需要向管理平台申请，得到许可後配发一次性密码，并记录使用者的操作行为，通常用来管控AD等重要服务登入。

图片来源:https://www.etatung.com/Home/ShowProductionInfo3Idea?ID=80b24d18-d1ff-4808-be79-23f7ac17ca47

CASB （Cloud Access Security Brokers）云端存取安全代理程序
云端服务的安全策略管理
https://secbuzzer.co/post/172

图片来源:https://managedmethods.com/blog/retire-casb-adopt-casp/

结尾

在做资讯资产防护时，通常组织会提出有通过ISOXXXX验证，然而合规是一个依据或一个要达到的标准，因为资讯变化太快，检查清单会在技术或环境改变失去作用，需要不断评估风险，不断的改进，帮助核心业务能运作且能持续达到组织目标。

The Def initive Cybersecurity Guide
https://www.securityroundtable.org/navigating-the-digital-age-3rd-edition/

“…compliance is not—repeat, not—
your goal. Or, at least it should not
be the key focus of your cybersecurity
program. And let me tell you why:
Being compliant is not the
same as being secure. “

参考资料:

https://www.fortinet.com/tw/products/ueba
https://www.paloaltonetworks.com/cyberpedia/what-is-ueba
https://www.ithome.com.tw/article/139571

延伸阅读

大数据与法律实务指南