【評論主題】複選題13. 近年來 MFA 身份驗證機制遭攻擊者以網路釣魚攻擊破解之趨勢上升,因此抵禦網路釣魚多因素驗證(Phishing-resistant MFA)機制受到重視,因其可有效降低前述之攻擊成功機率
【評論內容】
網路釣魚攻擊是指攻擊者偽裝成合法的網站或組織,欺騙使用者洩露其登入資訊,例如帳號、密碼等。傳統的多因素驗證(MFA)機制,通常會要求使用者在登入時提供額外的驗證資訊,例如簡訊驗證碼、OTP(One-Time Password)等。然而,攻擊者可以透過精心設計的網路釣魚網站,騙取使用者的驗證資訊,進而繞過MFA機制。
正確答案為(A),(C)
(A)FIDO Auth:FIDO Auth是一種基於公鑰加密的驗證方式,可以有效抵禦網路釣魚攻擊。在FIDO Auth中,使用者的身份驗證資訊會儲存在其個人設備中,例如智慧型手機、安全金鑰等。當使用者登入時,會使用其設備進行驗證,而無需向伺服器傳送任何驗證資訊。因此,即使攻擊者騙取了使用者的登入資訊,也無法進行驗證。
以下是FIDO Auth抵禦網路釣魚攻擊的特性:
驗證資訊不需傳送至伺服器:使用者的驗證資訊儲存在其個人設備中,而無需向伺服器傳送。因此,攻擊者無法截取驗證資訊。可使用多種驗證方式:FIDO Auth支援多種驗證方式,例如指紋辨識、臉部辨識、安全金鑰等。使用者可以根據自己的需求選擇合適的驗證方式。易於部署和使用:FIDO Auth的部署和使用都非常簡單。使用者只需在自己的設備上安裝FIDO憑證即可。(C)PKI-based MFA:PKI(Public Key Infrastructure,公鑰基礎設施)也是一種使用公鑰密碼學的身份驗證方式,類似於FIDO Auth。 PKI基於數位證書,它提供了強大的身份驗證和加密功能,使其更難受到網路釣魚攻擊的影響。
其他選項不符合抵抗網路釣魚攻擊的特性:
(B) MMS MFA:MMS MFA是透過簡訊傳送驗證碼給使用者。攻擊者可以透過攔截簡訊或偽造簡訊來取得驗證碼。(D) 增加密碼長度:增加密碼長度可以提高密碼的破解難度,但無法完全抵禦網路釣魚攻擊。攻擊者仍有可能透過其他方式騙取使用者的密碼。【評論主題】24. 情境如附圖所示,廠商 A 配合業務需求,開發新的 Web 訂票系統,請問如要進行弱點掃描,下列何項最為適合進行弱點掃描? (A) Checkmarx (B) OpenVAS (C) Hydra
【評論內容】
(B)OpenVAS 是最適合的選項。 OpenVAS 是一個開源的弱點掃描工具,可以自動發現系統中的漏洞和弱點,並提供詳細的報告,有助於改善系統的安全性。
各選項說明如下:
(A)Checkmarx 是一個靜態程式碼分析工具,用於發現程式碼中的安全漏洞和缺陷。 雖然對於開發新的 Web 訂票系統來說也是有用的,但它主要用於分析程式碼,而不是對已部署系統進行弱點掃描。
(B)OpenVAS 是一款漏洞掃描工具,可掃描網路上的主機和設備以查找漏洞。OpenVAS 是一款開源工具,可免費使用。
(C)Hydra 是一個密碼破解工具,用於暴力破解身分驗證系統的密碼,不適用於整體系統的弱點掃描。
(D)Google 是一個搜尋引擎,雖然可以用來尋找可能的弱點,但它不是專門的弱點掃描工具,也不具有自動化掃描的功能。
【評論主題】19. 某設備的日誌記錄功能依照 The Syslog Protocol(RFC5424) 標準設計,若需要較為詳盡的日誌訊息,以提供除錯(debug) 使用,而該系統只提供下列 4 種的記錄等級,請
【評論內容】
RFC 5424定義了Syslog消息中使用的八個優先級代碼,用於指定消息的重要性或緊急程度。這些優先級代碼由0到7進行編號,其中0表示最高優先級,7表示最低優先級。以下是這些優先級代碼及其對應的含義:
Emergency(緊急)(0):表示系統處於不可用狀態,需要立即採取行動。
Alert(警戒)(1):表示需要立即採取行動,但不會影響系統的完整性。
Critical(嚴重)(2):表示嚴重的系統錯誤,需要立即解決。
Error(錯誤)(3):表示非常重要的錯誤,需要被關注和解決。
Warning(警告)(4):表示發生了一些不太嚴重的問題,但需要引起關注。
Notice(注意)(5):表示一些正常但重要的事件,例如系統啟動、關閉等。
Informational(信息)(6):表示提供了一些關於系統狀態或操作的信息。
Debug(調試)(7):表示提供了用於調試目的的詳細信息。
這些優先級代碼允許系統管理員根據消息的重要性對日誌進行分類和過濾,並根據需要採取適當的響應措施。
Debug 等級的日誌訊息包含了最詳細的資訊,可供除錯使用。因此,若需要較為詳盡的日誌訊息,以提供除錯使用,則應選擇 Debug 等級。
以下是一些常見的 Debug 日誌訊息範例:
函式呼叫軌跡:顯示函式呼叫的順序。變數值:顯示函式呼叫時變數的值。錯誤訊息:顯示錯誤訊息的詳細資訊。其他選項不適合用於提供除錯資訊:
(A) Emergency:Emergency 等級的日誌訊息只包含了最基本的資訊,不足以提供除錯使用。(B) Alert:Alert 等級的日誌訊息通常只包含了錯誤訊息的概述,也無法提供除錯使用。(C) Warning:Warning 等級的日誌訊息通常只包含了警告訊息,不包含任何除錯資訊。因此,Debug 是提供除錯資訊的最佳選擇。
【評論主題】複選題32. 關於資安測試工具用途的敘述,下列哪些正確? (A) Acunetix 為 Web 漏洞掃描程式 (B) Wireshark 提供網路協定、封包等資訊 (C) Sqlmap 用於檢測和利用
【評論內容】
答案是 (A)、(B)、(C)。
【評論主題】25. 與資訊安全風險評估相關議題的敘述,下列何者較為正確?(A) 需先進行風險評估,再將風險評鑑適用的準則予以建立(B) 風險評估會依照風險分析的結果,安排其風險處理的優先順序(C) 風險評鑑的順序
【評論內容】
答案是 (B)。
資訊安全風險評估是一種有系統的過程,用於識別、評估和處理資訊資產面臨的風險。風險評估的步驟如下:
風險識別:識別資訊資產面臨的所有潛在風險。風險評估:評估風險發生的可能性和影響。風險分析:將風險評估的結果與組織的風險容忍度進行比較,以確定風險處理的優先順序。風險處理:採取措施降低風險。因此,風險評估會依照風險分析的結果,安排其風險處理的優先順序。
(A) 錯誤,因為風險評鑑適用的準則應在風險評估之前予以建立,以作為風險評估的依據。
(C) 錯誤,風險評鑑的順序是先執行風險識別,再進行風險評估、風險分析。
(D) 錯誤,在風險評估的過程中,需要識別風險的擁有者,以便採取有效的風險處理措施。
以下是對 (A)、(C)、(D) 的說明:
(A) 需先進行風險評估,再將風險評鑑適用的準則予以建立
風險評估適用的準則,是用來衡量風險的重要性和影響程度。這些準則應在風險評估之前予以建立,以作為風險評估的依據。
如果在風險評估之後才建立風險評鑑適用的準則,則可能會導致風險評估的結果不準確。
(C) 風險評鑑的順序,是先執行風險識別、再進行風險評估、風險分析
風險評估的步驟是先執行風險識別,再進行風險評估、風險分析。
風險識別是指識別資訊資產面臨的所有潛在風險。風險評估是指評估風險發生的可能性和影響。風險分析是指將風險評估的結果與組織的風險容忍度進行比較,以確定風險處理的優先順序。
如果先進行風險評估,則可能會導致風險評估的結果不準確。
(D) 在風險評估的過程中,無需識別風險的擁有者
風險的擁有者是指對風險負有責任的人或組織。識別風險的擁有者,可以幫助組織採取有效的風險處理措施。
因此,在風險評估的過程中,需要識別風險的擁有者。
【評論主題】36. X 公司與 Y 公司進行網路服務業務合作之風險超過公司所設定之風險胃納(Risk appetite)。X 公司最後決定與 Y 公司進行合作,下列哪些項目是合適的風險回應選擇?(複選)(A) 風
【評論內容】
答案是 (C) 和 (D)。
風險規避是指完全消除風險,而風險保留是指接受風險的發生。在本題中,X 公司已經決定與 Y 公司進行合作,因此風險規避和風險保留都不合適。
風險緩解是指降低風險的發生可能性或影響程度。在本題中,X 公司可以採取風險緩解措施,例如與 Y 公司簽訂合約,明確雙方的權利和義務,以降低風險發生的可能性。
風險分擔是指將風險與他人共享。在本題中,X 公司可以與 Y 公司共同承擔風險,例如雙方共同出資購買保險,以降低風險發生的影響。
因此,(C) 和 (D) 是合適的風險回應選擇。
以下是對 (A)、(B)、(C)、(D) 的說明:
(A) 風險規避(Risk avoidance)
風險規避是指完全消除風險。在本題中,X 公司已經決定與 Y 公司進行合作,因此風險規避並不合適。
(B) 風險保留(Risk retention)
風險保留是指接受風險的發生。在本題中,X 公司已經決定與 Y 公司進行合作,因此風險保留並不合適。
(C) 風險緩解(Risk mitigation)
風險緩解是指降低風險的發生可能性或影響程度。在本題中,X 公司可以採取風險緩解措施,例如與 Y 公司簽訂合約,明確雙方的權利和義務,以降低風險發生的可能性。
(D) 風險分擔(Risk sharing)
風險分擔是指將風險與他人共享。在本題中,X 公司可以與 Y 公司共同承擔風險,例如雙方共同出資購買保險,以降低風險發生的影響。
【評論主題】20. 端點偵測與回應(Endpoint Detection and Response,EDR)係指可偵測並調查主機以及端點上的一些可疑活動,並透過自動化方式通知資安團隊進行快速回應的資安措施,關於E
【評論內容】
答案是 (A)、(C)、(D)。
EDR 的主要功能是主動監控端點,並針對具有威脅跡象的活動收集資料,以識別是否有任何已知或未知的威脅。EDR 還可以針對已識別威脅產生自動回應,以移除或遏止威脅。此外,EDR 還可以利用分析和鑑識工具,針對可能導致其他可疑活動的已識別威脅執行研究。
以下是對 (A)、(B)、(C)、(D) 的說明:
(A) 主動監控端點,並針對具有威脅跡象的活動收集資料
這是 EDR 的基本功能,EDR 會收集端點上的各種資料,包括系統事件、檔案變更、網路活動等,以識別是否有任何可疑活動。
(B) 對蒐集的主機弱點執行分析,以識別是否有任何未知的威脅模式
EDR 可以對蒐集的主機弱點執行分析,以識別是否有任何未知的威脅模式。這可以幫助資安團隊更有效地防範未知的威脅。
(C) 針對所有已識別威脅產生自動回應,以移除或遏止威脅
EDR 可以針對已識別威脅產生自動回應,以移除或遏止威脅。這可以幫助資安團隊快速應對威脅,降低損失。
(D) 利用分析和鑑識工具,針對可能導致其他可疑活動的已識別威脅執行研究
EDR 可以利用分析和鑑識工具,針對可能導致其他可疑活動的已識別威脅執行研究。這可以幫助資安團隊深入了解威脅,並採取更有效的防範措施。
因此,(A)、(C)、(D) 是 EDR 所提供的主要功能。
針對(B)再做以下說明:
(B) 對蒐集的主機弱點執行分析,以識別是否有任何未知的威脅模式
EDR 可以對蒐集的主機弱點執行分析,但這不是 EDR 的主要功能。EDR 的主要功能是主動監控端點,並針對具有威脅跡象的活動收集資料,以識別是否有任何已知或未知的威脅。
主機弱點分析是一種被動式防禦措施,可以幫助資安團隊識別可能被攻擊的弱點。EDR 可以對蒐集的主機弱點執行分析,以識別是否有任何未知的威脅模式。這可以幫助資安團隊更有效地防範未知的威脅。
但是,主機弱點分析並不是 EDR 的必備功能。有些 EDR 產品可能不具備主機弱點分析功能。
因此,(B) 不是 EDR 所提供的主要功能。
以下是 EDR 與主機弱點分析的比較:
【評論主題】【題組】40. 【題組 5 背景描述如附圖】因人事單位發包的員工入口網弱點事件,發現公司內部的系統發包規範未有一個有效的管理規範,以導致本項問題,在公司組織內無設置 CIO/CISO 及資安專責人員的
【評論內容】
根據題目描述,公司內部目前沒有有效的資訊安全管理制度,因此需要建立合約範本和設立資安專責單位,以提升資訊軟體取得之前的安全強度。
(A) 建立合約範本,將相關檢測需求明文規範
合約範本可以明確規定資訊安全檢測的要求,包括檢測範圍、檢測標準、檢測方法和檢測結果的處理方式。這可以確保所有發包專案都符合資訊安全需求。
(C) 設立資安專責單位並將相關需求交由該專責單位查驗
資安專責單位可以專注於資訊安全相關工作,並提供專業意見。這可以幫助組織更好地管理資訊安全風險。
(B) 定期執行已發包專案合約內容審查
這可以幫助發現合約內容中的資訊安全漏洞,並要求廠商進行修正。但是,這無法確保所有發包專案都符合資訊安全需求。
(D) 驗收後定期執行各項檢測並要求廠商辦理技術移轉教育訓練
這可以確保資訊軟體在使用過程中仍能保持安全。但是,這無法有效提升資訊軟體取得之前的安全強度。
因此,正確答案是 (A) 和 (C)。
【評論主題】19. 關於 NIST SP 800-207 零信任架構(Zero Trust Architecture,ZTA)的基本規則敘述,下列何項錯誤?(A) 所有的通訊都需被保護,無論其所在之網路位置(B)
【評論內容】
NIST SP 800-207 零信任架構(Zero Trust Architecture, ZTA)的基本規則包括:
**資源最小化存取:**所有存取請求都應受到檢查,並根據使用者、裝置和資源的狀態進行授權。**零信任假設:**任何人或裝置都應視為不受信任,直到其身份和意圖得到驗證。**持續驗證:**所有存取權限都應定期重新驗證,以確保仍符合安全要求。因此,(D) 敘述「應先蒐集資產、網路架構等現狀,建立資產清冊」並非零信任架構的基本規則,而是零信任架構實施時應遵循的步驟之一。
【評論主題】4. 常見的資訊安全標準中,下列哪些標準可以為個人資訊保護或隱私資訊管理提供指引?(A) ISO 27001(B) ISO 27701(C) BS 10012(D) IEC 62443
【評論內容】
答案為 (B)(C)。
(A) ISO 27001 是資訊安全管理系統 (ISMS) 的國際標準,涵蓋了資訊安全的三大要素:機密性、完整性和可用性。ISO 27001 的實施可以幫助組織保護其資訊資產,包括個人資訊。然而,ISO 27001 並非專門針對個人資訊保護,因此無法提供全面的個人資訊保護指引。
(B) ISO 27701 是 ISO 27001 的附加標準,專門針對個人資訊保護。ISO 27701 提供了一套控制措施,幫助組織保護其個人資訊資產,包括個人資料的蒐集、使用、處理和儲存。
(C) BS 10012 是個人資訊管理系統 (PIMS) 的英國標準,涵蓋了個人資訊的蒐集、使用、處理和儲存。BS 10012 的實施可以幫助組織確保其個人資訊管理符合法規要求。
(D) IEC 62443 是工業控制系統 (ICS) 的安全標準,涵蓋了 ICS 的安全性評估、安全設計、安全實施和安全運作。IEC 62443 的實施可以幫助組織保護其 ICS 免受攻擊,但並非專門針對個人資訊保護。
【評論主題】【題組 3】某醫療機構日前發生多起駭客入侵事件,經查發現其行動式醫療車及行動加護病房的雲端即時監護系統皆遭到駭客入侵,駭客並且透過遠端設定改變點滴流速超出原本設定的 50 倍。為了解決行動式醫療設備及
【評論內容】
答案是 (B)。
零信任架構(Zero Trust Architecture)是一種安全架構,其假設任何人或裝置都應視為不受信任,直到其身份和意圖得到驗證。因此,在導入零信任架構之前,首先要瞭解現行的架構、設備與流程,以便了解現行的安全風險和需求。
(A) 建立零信任架構是導入零信任的最終目標,但在建立架構之前,需要先瞭解現行的架構、設備與流程,以便建立符合現況的架構。
(C) 建立政策決策點(PDP)和政策落實點(PEP)是零信任架構的重要組成部分,但在建立 PDP 和 PEP 之前,需要先瞭解現行的架構、設備與流程,以便確定 PDP 和 PEP 的功能和位置。
(D) 建立政策落實點(PEP)是零信任架構的最後一步,但在建立 PEP 之前,需要先瞭解現行的架構、設備與流程,以便確定 PEP 的功能和位置。
因此,答案是 (B)。
以下是導入零信任架構的一般步驟:
瞭解現行的架構、設備與流程建立零信任架構的目標和範圍設計零信任架構實施零信任架構監控和調整零信任架構在導入零信任架構的過程中,需要注意以下事項:
零信任架構是一個持續的過程,需要不斷調整以適應新的威脅和風險。零信任架構需要整合現有的安全措施,以提供更全面的安全保護。零信任架構需要考慮業務需求,以避免對業務造成不必要的影響。【評論主題】20. 關於 NIST SP 800-207 零信任架構(Zero Trust Architecture,ZTA)的邏輯元件敘述,下列哪些正確?(A) 威脅情資(TI)來源:提供外部資訊給政策落實點(
【評論內容】
NIST SP 800-207 零信任架構(Zero Trust Architecture, ZTA)的邏輯元件包括:
**政策落實點(PEP):**負責對存取請求進行評估和授權。**身份和存取管理(IAM)系統:**負責管理使用者的身份和權限。**持續診斷緩解(CDM)系統:**收集資產目前狀態,並套用更新至設定與軟體元件。**安全資訊事件管理(SIEM)系統:**收集以安全為主 的資訊,並用於日後分析。因此,(B)(C)(D) 敘述均符合 NIST SP 800-207 零信任架構(Zero Trust Architecture, ZTA)的邏輯元件。
(A) 威脅情資(TI)來源:提供外部資訊給政策落實點 (PEP),以進行存取決策
威脅情資(TI)來源雖然可以提供有關潛在威脅的資訊,但並非 NIST SP 800-207 零信任架構(Zero Trust Architecture, ZTA)的邏輯元件之一。威脅情資(TI)來源可以由組織自行建立,也可以由第三方提供。
因此,答案是 (BCD)。
【評論主題】3.下列選項何者作為金鑰分配(KeyDistribution)的安全性較佳?(A)3DES(B)MD5(C)Blowfish(D)ECC
【評論內容】
答案是 (D)。
3DES、MD5 和 Blowfish 都是對稱加密演算法,而 ECC 是非對稱加密演算法。在金鑰分配的場景中,需要使用非對稱加密演算法來安全地傳輸金鑰。
ECC 是一種基於橢圓曲線的非對稱加密演算法,具有較高的安全性和效率。在相同的密鑰長度下,ECC 的安全性比 RSA 和 DSA 等其他非對稱加密演算法更高。
因此,ECC 作為金鑰分配的安全性較佳。
以下是對 (A)、(B)、(C)、(D) 的說明:
(A) 3DES
3DES 是一種對稱加密演算法,使用三個密鑰來加密資料。3DES 的安全性較高,但在傳輸金鑰時,仍存在安全風險。
(B) MD5
MD5 是一種雜湊演算法,用於產生資料的摘要。MD5 的安全性較低,不適合用於金鑰分配。
(C) Blowfish
Blowfish 是一種對稱加密演...
【評論主題】4.下列何者「不」屬於主動式攻擊(ActiveAttack)?(A)DDoSAttack(分散式阻斷服務攻擊)(B)BufferOverflow(緩衝區溢位)(C)TyposquattingAttac
【評論內容】
答案是 (C)。
主動式攻擊是指攻擊者主動向目標系統發起攻擊,以達到破壞或竊取資料的目的。
DDoS 攻擊、緩衝區溢位和暴力破解都是主動式攻擊。攻擊者會向目標系統發送大量請求或惡意程式碼,以癱瘓系統或竊取資料。
而 Typosquatting 攻擊是指攻擊者註冊與目標域名相似的域名,誘騙使用者輸入個人資訊或點擊惡意連結。Typosquatting 攻擊是一種被動式攻擊,攻擊者不需要主動向目標系統發起攻擊。
因此,Typosquatting 攻擊不屬於主動式攻擊。
以下是對 (A)、(B)、(C)、(D) 的說明:
(A) DDoS 攻擊(分散式阻斷服務攻擊)
DDoS 攻擊是指攻擊者向目標系統發送大量請求,以癱瘓系統或阻斷正常使用。DDoS 攻擊是一種主動式攻擊。
(B) BufferOverflow...
【評論主題】1.在ISO27000系列標準中,下列何者為建置資訊安全管理系統的實作指引(Informationsecuritymanagementsystems—Guidance)?(A)ISO/IEC27001
【評論內容】
ISO/IEC27001 是資訊安全管理系統的國際標準,規定了資訊安全管理系統的一般要求。ISO/IEC27002 是資訊安全控制措施的國際標準,提供了資訊安全控制措施的建議。ISO/IEC27003 是資訊安全管理系統的實施指南,提供了資訊安全管理系統的實施方法。ISO/IEC27004 是資訊安全管理系統的量化指南,提供了資訊安全管理系統的量化方法。
因此,在 ISO27000 系列標準中,ISO/IEC27003 是建置資訊安全管理系統的實作指引。
以下是對 (A)、(B)、(C)、(D) 的說明:
(A) ISO/IEC27001:資訊安全管理系統—要求
ISO/IEC27001 是資訊安全管理系統的國際標準,規定了資訊安全管理系統的一般要求。組織可以根據 ISO/IEC27001 的要求,建立、實施、運作、監控、審查...
【評論主題】25. 與資訊安全風險評估相關議題的敘述,下列何者較為正確?(A) 需先進行風險評估,再將風險評鑑適用的準則予以建立(B) 風險評估會依照風險分析的結果,安排其風險處理的優先順序(C) 風險評鑑的順序
【評論內容】
答案是 (B)。
資訊安全風險評估是一種有系統的過程,用於識別、評估和處理資訊資產面臨的風險。風險評估的步驟如下:
風險識別:識別資訊資產面臨的所有潛在風險。風險評估:評估風險發生的可能性和影響。風險分析:將風險評估的結果與組織的風險容忍度進行比較,以確定風險處理的優先順序。風險處理:採取措施降低風險。因此,風險評估會依照風險分析的結果,安排其風險處理的優先順序。
(A) 錯誤,因為風險評鑑適用的準則應在風險評估之前予以建立,以作為風險評估的依據。
(C) 錯誤,風險評鑑的順序是先執行風險識別,再進行風險評估、風險分析。
(D) 錯誤,在風險評估的過程中,需要識別風險的擁有者,以便採取有效的風險處理措施。
以下是對 (A)、(C)、(D) 的說明:
(A) 需先進行風險評估,再將風險評鑑適用的準則予以建立
風險評估適用的準則,是用來衡量風險的重要性和影響程度。這些準則應在風險評估之前予以建立,以作為風險評估的依據。
如果在風險評估之後才建立風險評鑑適用的準則,則可能會導致風險評估的結果不準確。
(C) 風險評鑑的順序,是先執行風險識別、再進行風險評估、風險分析
風險評估的步驟是先執行風險識別,再進行風險評估、風險分析。
風險識別是指識別資訊資產面臨的所有潛在風險。風險評估是指評估風險發生的可能性和影響。風險分析是指將風險評估的結果與組織的風險容忍度進行比較,以確定風險處理的優先順序。
如果先進行風險評估,則可能會導致風險評估的結果不準確。
(D) 在風險評估的過程中,無需識別風險的擁有者
風險的擁有者是指對風險負有責任的人或組織。識別風險的擁有者,可以幫助組織採取有效的風險處理措施。
因此,在風險評估的過程中,需要識別風險的擁有者。
【評論主題】36. X 公司與 Y 公司進行網路服務業務合作之風險超過公司所設定之風險胃納(Risk appetite)。X 公司最後決定與 Y 公司進行合作,下列哪些項目是合適的風險回應選擇?(複選)(A) 風
【評論內容】
答案是 (C) 和 (D)。
風險規避是指完全消除風險,而風險保留是指接受風險的發生。在本題中,X 公司已經決定與 Y 公司進行合作,因此風險規避和風險保留都不合適。
風險緩解是指降低風險的發生可能性或影響程度。在本題中,X 公司可以採取風險緩解措施,例如與 Y 公司簽訂合約,明確雙方的權利和義務,以降低風險發生的可能性。
風險分擔是指將風險與他人共享。在本題中,X 公司可以與 Y 公司共同承擔風險,例如雙方共同出資購買保險,以降低風險發生的影響。
因此,(C) 和 (D) 是合適的風險回應選擇。
以下是對 (A)、(B)、(C)、(D) 的說明:
(A) 風險規避(Risk avoidance)
風險規避是指完全消除風險。在本題中,X 公司已經決定與 Y 公司進行合作,因此風險規避並不合適。
(B) 風險保留(Risk retention)
風險保留是指接受風險的發生。在本題中,X 公司已經決定與 Y 公司進行合作,因此風險保留並不合適。
(C) 風險緩解(Risk mitigation)
風險緩解是指降低風險的發生可能性或影響程度。在本題中,X 公司可以採取風險緩解措施,例如與 Y 公司簽訂合約,明確雙方的權利和義務,以降低風險發生的可能性。
(D) 風險分擔(Risk sharing)
風險分擔是指將風險與他人共享。在本題中,X 公司可以與 Y 公司共同承擔風險,例如雙方共同出資購買保險,以降低風險發生的影響。
【評論主題】20. 端點偵測與回應(Endpoint Detection and Response,EDR)係指可偵測並調查主機以及端點上的一些可疑活動,並透過自動化方式通知資安團隊進行快速回應的資安措施,關於E
【評論內容】
答案是 (A)、(C)、(D)。
EDR 的主要功能是主動監控端點,並針對具有威脅跡象的活動收集資料,以識別是否有任何已知或未知的威脅。EDR 還可以針對已識別威脅產生自動回應,以移除或遏止威脅。此外,EDR 還可以利用分析和鑑識工具,針對可能導致其他可疑活動的已識別威脅執行研究。
以下是對 (A)、(B)、(C)、(D) 的說明:
(A) 主動監控端點,並針對具有威脅跡象的活動收集資料
這是 EDR 的基本功能,EDR 會收集端點上的各種資料,包括系統事件、檔案變更、網路活動等,以識別是否有任何可疑活動。
(B) 對蒐集的主機弱點執行分析,以識別是否有任何未知的威脅模式
EDR 可以對蒐集的主機弱點執行分析,以識別是否有任何未知的威脅模式。這可以幫助資安團隊更有效地防範未知的威脅。
(C) 針對所有已識別威脅產生自動回應,以移除或遏止威脅
EDR 可以針對已識別威脅產生自動回應,以移除或遏止威脅。這可以幫助資安團隊快速應對威脅,降低損失。
(D) 利用分析和鑑識工具,針對可能導致其他可疑活動的已識別威脅執行研究
EDR 可以利用分析和鑑識工具,針對可能導致其他可疑活動的已識別威脅執行研究。這可以幫助資安團隊深入了解威脅,並採取更有效的防範措施。
因此,(A)、(C)、(D) 是 EDR 所提供的主要功能。
針對(B)再做以下說明:
(B) 對蒐集的主機弱點執行分析,以識別是否有任何未知的威脅模式
EDR 可以對蒐集的主機弱點執行分析,但這不是 EDR 的主要功能。EDR 的主要功能是主動監控端點,並針對具有威脅跡象的活動收集資料,以識別是否有任何已知或未知的威脅。
主機弱點分析是一種被動式防禦措施,可以幫助資安團隊識別可能被攻擊的弱點。EDR 可以對蒐集的主機弱點執行分析,以識別是否有任何未知的威脅模式。這可以幫助資安團隊更有效地防範未知的威脅。
但是,主機弱點分析並不是 EDR 的必備功能。有些 EDR 產品可能不具備主機弱點分析功能。
因此,(B) 不是 EDR 所提供的主要功能。
以下是 EDR 與主機弱點分析的比較:
【評論主題】【題組】40. 【題組 5 背景描述如附圖】因人事單位發包的員工入口網弱點事件,發現公司內部的系統發包規範未有一個有效的管理規範,以導致本項問題,在公司組織內無設置 CIO/CISO 及資安專責人員的
【評論內容】
根據題目描述,公司內部目前沒有有效的資訊安全管理制度,因此需要建立合約範本和設立資安專責單位,以提升資訊軟體取得之前的安全強度。
(A) 建立合約範本,將相關檢測需求明文規範
合約範本可以明確規定資訊安全檢測的要求,包括檢測範圍、檢測標準、檢測方法和檢測結果的處理方式。這可以確保所有發包專案都符合資訊安全需求。
(C) 設立資安專責單位並將相關需求交由該專責單位查驗
資安專責單位可以專注於資訊安全相關工作,並提供專業意見。這可以幫助組織更好地管理資訊安全風險。
(B) 定期執行已發包專案合約內容審查
這可以幫助發現合約內容中的資訊安全漏洞,並要求廠商進行修正。但是,這無法確保所有發包專案都符合資訊安全需求。
(D) 驗收後定期執行各項檢測並要求廠商辦理技術移轉教育訓練
這可以確保資訊軟體在使用過程中仍能保持安全。但是,這無法有效提升資訊軟體取得之前的安全強度。
因此,正確答案是 (A) 和 (C)。
【評論主題】19. 關於 NIST SP 800-207 零信任架構(Zero Trust Architecture,ZTA)的基本規則敘述,下列何項錯誤?(A) 所有的通訊都需被保護,無論其所在之網路位置(B)
【評論內容】
NIST SP 800-207 零信任架構(Zero Trust Architecture, ZTA)的基本規則包括:
**資源最小化存取:**所有存取請求都應受到檢查,並根據使用者、裝置和資源的狀態進行授權。**零信任假設:**任何人或裝置都應視為不受信任,直到其身份和意圖得到驗證。**持續驗證:**所有存取權限都應定期重新驗證,以確保仍符合安全要求。因此,(D) 敘述「應先蒐集資產、網路架構等現狀,建立資產清冊」並非零信任架構的基本規則,而是零信任架構實施時應遵循的步驟之一。
【評論主題】4. 常見的資訊安全標準中,下列哪些標準可以為個人資訊保護或隱私資訊管理提供指引?(A) ISO 27001(B) ISO 27701(C) BS 10012(D) IEC 62443
【評論內容】
答案為 (B)(C)。
(A) ISO 27001 是資訊安全管理系統 (ISMS) 的國際標準,涵蓋了資訊安全的三大要素:機密性、完整性和可用性。ISO 27001 的實施可以幫助組織保護其資訊資產,包括個人資訊。然而,ISO 27001 並非專門針對個人資訊保護,因此無法提供全面的個人資訊保護指引。
(B) ISO 27701 是 ISO 27001 的附加標準,專門針對個人資訊保護。ISO 27701 提供了一套控制措施,幫助組織保護其個人資訊資產,包括個人資料的蒐集、使用、處理和儲存。
(C) BS 10012 是個人資訊管理系統 (PIMS) 的英國標準,涵蓋了個人資訊的蒐集、使用、處理和儲存。BS 10012 的實施可以幫助組織確保其個人資訊管理符合法規要求。
(D) IEC 62443 是工業控制系統 (ICS) 的安全標準,涵蓋了 ICS 的安全性評估、安全設計、安全實施和安全運作。IEC 62443 的實施可以幫助組織保護其 ICS 免受攻擊,但並非專門針對個人資訊保護。
【評論主題】【題組 3】某醫療機構日前發生多起駭客入侵事件,經查發現其行動式醫療車及行動加護病房的雲端即時監護系統皆遭到駭客入侵,駭客並且透過遠端設定改變點滴流速超出原本設定的 50 倍。為了解決行動式醫療設備及
【評論內容】
答案是 (B)。
零信任架構(Zero Trust Architecture)是一種安全架構,其假設任何人或裝置都應視為不受信任,直到其身份和意圖得到驗證。因此,在導入零信任架構之前,首先要瞭解現行的架構、設備與流程,以便了解現行的安全風險和需求。
(A) 建立零信任架構是導入零信任的最終目標,但在建立架構之前,需要先瞭解現行的架構、設備與流程,以便建立符合現況的架構。
(C) 建立政策決策點(PDP)和政策落實點(PEP)是零信任架構的重要組成部分,但在建立 PDP 和 PEP 之前,需要先瞭解現行的架構、設備與流程,以便確定 PDP 和 PEP 的功能和位置。
(D) 建立政策落實點(PEP)是零信任架構的最後一步,但在建立 PEP 之前,需要先瞭解現行的架構、設備與流程,以便確定 PEP 的功能和位置。
因此,答案是 (B)。
以下是導入零信任架構的一般步驟:
瞭解現行的架構、設備與流程建立零信任架構的目標和範圍設計零信任架構實施零信任架構監控和調整零信任架構在導入零信任架構的過程中,需要注意以下事項:
零信任架構是一個持續的過程,需要不斷調整以適應新的威脅和風險。零信任架構需要整合現有的安全措施,以提供更全面的安全保護。零信任架構需要考慮業務需求,以避免對業務造成不必要的影響。【評論主題】20. 關於 NIST SP 800-207 零信任架構(Zero Trust Architecture,ZTA)的邏輯元件敘述,下列哪些正確?(A) 威脅情資(TI)來源:提供外部資訊給政策落實點(
【評論內容】
NIST SP 800-207 零信任架構(Zero Trust Architecture, ZTA)的邏輯元件包括:
**政策落實點(PEP):**負責對存取請求進行評估和授權。**身份和存取管理(IAM)系統:**負責管理使用者的身份和權限。**持續診斷緩解(CDM)系統:**收集資產目前狀態,並套用更新至設定與軟體元件。**安全資訊事件管理(SIEM)系統:**收集以安全為主 的資訊,並用於日後分析。因此,(B)(C)(D) 敘述均符合 NIST SP 800-207 零信任架構(Zero Trust Architecture, ZTA)的邏輯元件。
(A) 威脅情資(TI)來源:提供外部資訊給政策落實點 (PEP),以進行存取決策
威脅情資(TI)來源雖然可以提供有關潛在威脅的資訊,但並非 NIST SP 800-207 零信任架構(Zero Trust Architecture, ZTA)的邏輯元件之一。威脅情資(TI)來源可以由組織自行建立,也可以由第三方提供。
因此,答案是 (BCD)。
【評論主題】4.下列何者「不」屬於主動式攻擊(ActiveAttack)?(A)DDoSAttack(分散式阻斷服務攻擊)(B)BufferOverflow(緩衝區溢位)(C)TyposquattingAttac
【評論內容】
答案是 (C)。
主動式攻擊是指攻擊者主動向目標系統發起攻擊,以達到破壞或竊取資料的目的。
DDoS 攻擊、緩衝區溢位和暴力破解都是主動式攻擊。攻擊者會向目標系統發送大量請求或惡意程式碼,以癱瘓系統或竊取資料。
而 Typosquatting 攻擊是指攻擊者註冊與目標域名相似的域名,誘騙使用者輸入個人資訊或點擊惡意連結。Typosquatting 攻擊是一種被動式攻擊,攻擊者不需要主動向目標系統發起攻擊。
因此,Typosquatting 攻擊不屬於主動式攻擊。
以下是對 (A)、(B)、(C)、(D) 的說明:
(A) DDoS 攻擊(分散式阻斷服務攻擊)
DDoS 攻擊是指攻擊者向目標系統發送大量請求,以癱瘓系統或阻斷正常使用。DDoS 攻擊是一種主動式攻擊。
(B) BufferOverflow...
【評論主題】3.下列選項何者作為金鑰分配(KeyDistribution)的安全性較佳?(A)3DES(B)MD5(C)Blowfish(D)ECC
【評論內容】
答案是 (D)。
3DES、MD5 和 Blowfish 都是對稱加密演算法,而 ECC 是非對稱加密演算法。在金鑰分配的場景中,需要使用非對稱加密演算法來安全地傳輸金鑰。
ECC 是一種基於橢圓曲線的非對稱加密演算法,具有較高的安全性和效率。在相同的密鑰長度下,ECC 的安全性比 RSA 和 DSA 等其他非對稱加密演算法更高。
因此,ECC 作為金鑰分配的安全性較佳。
以下是對 (A)、(B)、(C)、(D) 的說明:
(A) 3DES
3DES 是一種對稱加密演算法,使用三個密鑰來加密資料。3DES 的安全性較高,但在傳輸金鑰時,仍存在安全風險。
(B) MD5
MD5 是一種雜湊演算法,用於產生資料的摘要。MD5 的安全性較低,不適合用於金鑰分配。
(C) Blowfish
Blowfish 是一種對稱加密演...
【評論主題】1.在ISO27000系列標準中,下列何者為建置資訊安全管理系統的實作指引(Informationsecuritymanagementsystems—Guidance)?(A)ISO/IEC27001
【評論內容】
ISO/IEC27001 是資訊安全管理系統的國際標準,規定了資訊安全管理系統的一般要求。ISO/IEC27002 是資訊安全控制措施的國際標準,提供了資訊安全控制措施的建議。ISO/IEC27003 是資訊安全管理系統的實施指南,提供了資訊安全管理系統的實施方法。ISO/IEC27004 是資訊安全管理系統的量化指南,提供了資訊安全管理系統的量化方法。
因此,在 ISO27000 系列標準中,ISO/IEC27003 是建置資訊安全管理系統的實作指引。
以下是對 (A)、(B)、(C)、(D) 的說明:
(A) ISO/IEC27001:資訊安全管理系統—要求
ISO/IEC27001 是資訊安全管理系統的國際標準,規定了資訊安全管理系統的一般要求。組織可以根據 ISO/IEC27001 的要求,建立、實施、運作、監控、審查...