Thursday, August 25, 2011

資安管理十誡 - The 10 deadly sins of information security management

近日查閱資安管理(information security management)資料,不時看到 Ten Deadly Sin 字眼出現,今晨看過往Business Management 雜誌對現在公司所在領域的幾個原廠總字輩大佬的專訪,又看到文末列出這十宗罪(十宗罪好像是大陸習慣用法?)。

透過谷歌,很快就查到,原來這十誡典出學者 B. von Solms and R. von Solms 於 2004年7月發表在 Computer & Security 的文章。此十誡言簡意賅,強調資安管理不是技術部門獨有的責任,旨哉斯言,爰執鍵(盤)為之記。
  1. Not realizing that information security is a corporate governance responsibility (the buck stops right at the top)
  2.  Not realizing that information security is a business issue and not a technical issue
  3. Not realizing the fact that information security governance is a multi-dimensional discipline (information security governance is a complex issue, and there is no silver bullet or single ‘off the shelf’ solution)
  4. Not realizing that an information security plan must be based on identified risks
  5. Not realizing (and leveraging) the important role of international best practices for information security management
  6. Not realizing that a corporate information security policy is absolutely essential
  7. Not realizing that information security compliance enforcement and monitoring is absolutely essential
  8. Not realizing that a proper information security governance structure (organization) is absolutely essential
  9. Not realizing the core importance of information security awareness amongst users
  10. Not empowering information security managers with the infrastructure, tools and supporting mechanisms to properly perform their responsibilities
[書目資訊]

B. von Solms and R. von Solms, "The 10 deadly sins of information security management," Computers & Security, vol. 23, no. 5, pp. 371-376, Jul. 2004. [Online]. Available: http://dx.doi.org/10.1016/j.cose.2004.05.002

Wednesday, August 24, 2011

Size Matters - 機器學習的分散式和平行處理議題

John Langford的個人部落格看到這個消息:由 Ron Bekkerman (LinkedIn),John Langford (Yahoo! Research)和 Misha Bilenko(Microsoft Research)共同編輯的 Scaling up Machine Learning 將在今年底出版。而且他們將在 KDD 2011 以這本書為基礎發表 Scaling Up Machine Learning 的 Tutorial

依照 John Langford 的介紹:
This tutorial focuses on providing an integrated overview of state-of-the-art platforms and algorithm choices. These span a range of hardware options (from FPGAs and GPUs to multi-core systems and commodity clusters), programming frameworks (including CUDA, MPI, MapReduce, and DryadLINQ), and learning settings (e.g., semi-supervised and online learning). The tutorial is example-driven, covering a number of popular algorithms (e.g., boosted trees, spectral clustering, belief propagation) and diverse applications (e.g., speech recognition and object recognition in vision).

不在現場的我,是沒有機會親聆這場盛會啦,不過稍微瞄了下簡報檔,覺得這本書裡面的題材都蠻有意思的,比如說下面第一個圖提到克服隱私權疑慮的嘗試,和第二個圖 Tree Ensembles 的說明。

期待這本書的上市,不過看到價格實在是讓人有點遲疑啊,哈哈!




Monday, August 22, 2011

Defense in Depth 的解釋

在資通訊安全領域,有個源於軍事領域的術語 defense in depth (DID), 在軍事上,DID 是一種策略理念,防禦不能只靠一道強大的防線(比如說中國的長城和法國的 Maginot Line ),必須用多層次(multi-layer)、多角度、多點、多面的防禦,提高攻擊者的成本與難度,延遲破解防禦的時間,讓防守者有足夠的時間、空間找出破解攻擊的方案。

有人是這樣詮釋的:在建立防禦據點時,整個防禦工事的部署一定要具備足夠的縱深,才能提高攻堅的難度與拉長敵軍的攻擊時程,以避免一下子就被長驅直入。縱深的另一層意義就是要有重重的關卡,就像洋蔥或高麗菜那般地一層一層地把核心包裹得密不透風

以上的說法,把多層次的防禦和 in depth 的物理意義,說的精闢通透,但是沒有點出多點、多面的策略意義,而且把 DID 和資安領域另外一個詞彙 layered security 畫上等號。這兩個觀念雖然有很多重疊的地方,但畢竟不是同一件事,而且 layered defense 僅是 defense in depth 策略的一部分而已。

TechRepulibc 上有一篇 Chad Perrin 寫的短文,把這兩個很易於混淆的名詞間的差異解釋的很清楚。理解這兩個名詞最大的障礙就是望文生義造成的誤解,就像數學歸納法不是歸納,階層式防禦不只是千層派或高麗菜的層次,DID 裡的 depth 也不只是物理上的距離。

階層式的安全防禦理念說來單純,每個人(工具)都有優、缺點,寸有所長尺有所短,只用一種工具或技術來防禦顯然是不夠的,所以要應用各種技術布置在攻擊的路徑上,以達到最佳防禦效果。這個理念的精髓是工具間優劣互補(be used to cover the gaps in the others’ protective capabilities.),而不是用車輪戰累死攻擊方(當然,這是附帶的效果)。比如說,一個家計用戶,在上網的時候,可能採用的工具包括:
  • 防毒軟體
  • 防火牆
  • 親子內容控制(Parental Control)
  • 隱私權控制軟體、
像這樣從網路到內容,把安全防禦的網張到最大,就是典型的 layered security

DID 所圖則更遠大,防禦不僅要從技術面來考量,人員素質與觀念、工作標準程序都在策略範圍內,甚至還要考慮到反制手段(means tofight back actively)。美國政府的 Information Assurance Technology Analysis Center (IATAC) 出版的電子雜誌 IAnewletter 在 1999 年討論 Defense in Depth 時就提到:
The Defense in Depth approach employs and integrates the abilities of people, operations, and technology to establish multilayer,  multidimensional protection — like the defenses of a  castle. The approach employs successive layers, using a variety of methods at multiple, key locations,to prevent the potential breakdown of barriers and penetration to the innermost areas of the system.

透過技術,設下層層壁壘(successive barriers),僅是整個防禦策略的一個組成元素,還有制度與流程,有了規章律令,徒法不足以自行,人員的自覺與訓練也不能落下。在美國國家安全局(NSA)出版的白皮書中,很清楚的說明 Defense in Depth 是達成 Information Assurance 的策略,策略中包含人員、技術與作業流程三個構面。



在 NSA 白皮書中,還列出每個構面所需涵蓋處理的最小子集:
  • People
    • Policies and Procedures 
    • Training and Awareness
    • System Security Administration
    • Physical Security
    • Personnel Secuirty
    • Facilities Countermeasures
  • Technology
    • IA Architecture
    • IA Criteria (Security, Interoperability & PKI, etc)
    • Acquisition/Integration of Evaluated Products
    • System Risk Assessment
  • Operations
    • Security Policy
    • Security Management
    • Ceritification and Accreditation
    • Key Management
    • Readiness Assessments
    • Attack Sensing, Warning and Response
    • Recovery and Reconstitution
簡而言之,Defense in Depth 的目的是為保障資料安全與品質,它是一個全面性的策略指導原則。就像之前提到的,望文生義容易產生誤解,in depth 不是一維空間的距離,它根本是立體空間裡每個維度(dimension)的深度探討。Layered defense 是 DID 策略裡面的戰術之一,但不是全部。

[延伸閱讀]

Sunday, August 21, 2011

人心早就不古!

今年(2011年)才開始,澳洲的 Vodafone Australia 就爆出资料外洩事件,接著一個又一個大型資安事故的新聞接踵而至。

先是 Sony Play Station 網路被駭,然後韓國最大的社群網路 Cyworld 三千五百萬筆客戶資料外洩,還有不要忘了惡名昭彰的駭客團體  Anonymous 宣佈攻破 Exxon Mobil, ConocoPhillips, Canadian Oil Sands Ltd., Imperial Oil, the Royal Bank of Scotland 的消息。上半年才結束,立刻傳來國際貨幣基金(IMF)資料外洩的消息,相形下,衛生署對萬芳醫院病歷外洩裁罰五萬的消息,根本就是不成話的小兒科。

Ponemon Institute 和 Symantec 每年做資料外洩事故成本(cost of data breach)分析,以美國企業為樣本空間的報告顯示:資料外洩事故逐年增加,且處理的成本也逐年升高。今年四月份,Verizon Business 發布年度 Data Breach Investigations Report (DBIR) 的副標題 Breaches Increased Dramatically 更是為這些資安事故的蓬勃「發展」下了「畫龍點睛」的註腳

不過,資料外洩的事故,真的是如旭日東昇,一天比一天多嗎?資安領域著名的顧問公司 Securosis LLC 技術長 Adrian Lane 不這麼認為,他在 Dark Reading 發表的短文《Data Breach On The Rise?》以他自身輔導企業的經驗和媒體公佈的新聞相參照,斷言並沒有足夠的統計證據支持現在的資安事故比以前多(There is no statistical evidence that breaches are on the rise.)。

Andrian Lane 的論點很簡單,現在的資料庫技術和工具,確實比以前進步,但是人性並沒有改變、企業裡面便宜行事的流程沒有改善、為公司股價著想壓下資安(還包括工安)事故新聞的例子也沒有增減。僅憑登上媒體的公司的有名程度,就斷言現在的事故數比以前多,在論證上是站不住腳的。

換句話說,這年頭,好人沒有比過去少,壞人也沒有比過去多,人性如此,貪婪和犯罪企圖依舊。我們沒有活在比過去壞的世界裡,只是犯罪的技術與工具變了,媒體的報導風格變了,如是而已。以前的人沒有比較高尚,在企業裡撞鐘的和尚不多不少,行事風格依然故我,所以說 on the rise 言過其實,因為以前大過小錯就很多,只是沒有說給你聽而已

這篇短文讓我想起「人心早就不古」的老段子,坦白說,我還蠻認同  Andrian Lane 的觀點。

讀文章有感,是為記。

Friday, August 19, 2011

這回唱給未來的自己聽

好一陣子,讀書筆記寫的不多,倒是傷春悲秋的東西炮製了不少,於是不得不面對師友親人的「關注」和「提醒」。面對大家的關心,鄙人當然是虛心檢討,從此少說廢話啦。不過,今日在 Scientific American 看到傷春悲秋有益身心的最佳辯護,心理學家 James W. Pennebaker 說,他在 1980 年代發現,把自己的情緒變化寫下來,對書寫者的健康有益。

啊哈,感謝親友團的關心,往後鄙人要是在此胡言亂語,純粹是為了健康著想啦。

坦白說,今年三月底到六月初一場莫名而來的病,給我莫大的困擾,身心都受到極大的磨礪摧折。但職場裡面碰到的周折,除了事件發生當下的不快,我倒不是這麼看重,只是慨嘆人性果真如此,奢求奇迹例外不可得而已。

奇妙的是,當初那些人與事的負面猜測,都在心有所感後不久直接、間接的證實。不知是該高興自己始終心明眼亮,或是隨著年紀益發洞燭世情,還是有超強的第六感(grin)。

四月初,聽過 Bob Dylan 演唱會後,寫了篇《給未來的自己》,提醒自己莫忘本心(還有,莫做爛好人)。今晨,博士班同學在 FB 上分享梁靜茹唱的《給未來的自己》,反正都是借他人酒杯,澆自己塊壘,用唱的也不錯。


Tuesday, August 16, 2011

又一碗字母湯( Another Bowl of Alphabet Soup)

雖然走進資安領域,不在原本的規劃裏,但既然被機緣牽進這村徑,總要好好逛遍這山林,庶幾不負這不可言、不可測的緣法。既然要逛逛這原未涉足的土地,那就得認真閱讀此處的風土誌,要認懂這裡的地圖,就得認得這裡的方言俚語,於是得再服一碗字母湯

  • ACL - Access Control List
  • APWG - Anti-phishing Working Group
  • BASEL - Basel Accords
  • BSI - British Standards Institution
  • CA - Continuous Auditing
  • CA - Certificate Authority
  • CC - Common Criteria
  • CCM - Continuous Control Monitoring
  • CCM-AC - CCM for Application Configuration
  • CCM-MD - CCM for Master Data
  • CCM-T - CCM for Transaction
  • CEH - Certified Ethical Hacker
  • CERT - Community Emergency Response Team
  • CM - Continuous Monitoring
  • CME - Common Malware Enumeration
  • COBIT - Control Objectives for Information and related Technology
  • DAD - Database Access Descriptors
  • DAM - Database Activity Monitoring
  • DMZ - Demilitarized Zone
  • DLP - Data Loss Prevention
  • DOS - Denial of Service
  • DDoS - Distributed DOS
  • FERPA - Federal Educational Rights and Privacy Act
  • FGAC- Fine-Grained Access Control
  • GLBA - Gramm–Leach–Bliley Act
  • GPG - GNU Privacy Guard
  • GRC - Governance, Risk and Control
  • GTAG - Global Technology Audit Guide
  • HIPAA -Health Insurance Portability and Accountability Act
  • IDS - Intrusion Detection  System
  • IPS - Intrusion Prevention System
  • IIA - The Institute of Internal Auditors
  • ISACA - Information Systems Audit and Control Association
  • ISMS - Information Security Management System
  • ITIL - Information Technology Infrastructure  Library
  • KRI - Key Risk Indicator
  • MLS - Multi Level Security
  • NIST - National Institute of Standards and Technolog
  • PCI-DSS - Payment Card Industry Data Security Standard
  • PII - Personally Identifiable Information
  • SOAP - Simple Object Access Protocol
  • SOX - Sarbanes-Oxley Act
  • SSH - Secure Shell
  • SSO - Single Sign-On
  • VPD - Virtual Private Database
  • XSS - Cross Site Scripting


Monday, August 8, 2011

I can do the same.

微軟研究院的研究員 danah boyd 在  Google Plus 發表了一篇頗長的文章, 談她對最近她發表幾篇談社群網路實名制和相關議題文章(比如說這個這個)的讀者反響的想法,深感讚佩。抄錄其中幾段於後,因為,就像文章後某個讀者的留言,我希望自己也能做到I can do the same):
My arguments are not coming from a point of hatred towards any company or individual, but stemming from a determination to speak up for those who are voiceless in many of these discussions and to provide a different perspective with which to understand the issues.

And when I get pissed off about something, I rant. And that can be both good and bad. But I've found that my rants often make people think. That's what motivates me to keep ranting.

[Video] Are you ready for next thing

Clifford Stoll 根本就是好萊塢電影中科學怪人的原型,總是穿著粗布襯衫、休閑褲與球鞋。神經質的眼神,稀疏蓬鬆而張揚的頭髮,隨著走動而飛揚。說話的語氣熱切,似乎總是想用最快的方式,讓你明白「一切」他想表達的東西。

在講台上,他常因為語速跟不上思緒,雙手十指互絞,然後從講台這頭跳躍奔走到那頭,蓬鬆張揚的頭髮,就飄動的更厲害了。當我放映他的演講影片給小朋友看,他們總是一口咬定,愛因斯坦就(應該)是這樣子的。

如果你只從 Nick Bilton 的書《一位數位移民的告白》認識 Clifford Stoll,你可能會因為 Clifford 在 1995 年發表在新聞週刊的文章 Why Web Won't Be Nirvana - The Internet? Bah! 而認為他個是老朽、自大的蛋頭學者,不懂網路卻卻偏要大放厥辭,這下丟臉丟到家了吧。如果你真的這樣想,那就大錯特錯了。

其實 Clifford 真是個很難用三言兩語概括完的人,他是天文學家,也是電腦安全領域的先驅人物之一,1986 年在網路上和 KGB 駭客鬥法,他把過程寫在《The Cuckoo's Egg 》(中文書名叫 捍衛網路)裡,一直到最近幾年,還是很多教電腦安全的老師們指定的參考讀物之一。

1995 年,他出版了另外一本書《Silicon Snake Oil》,書的副標題叫做 Second Thoughts on the Information Highway,大約也就是那時候他投書給新聞週刊,談他對網際網路的憂心(The Internet? Bah!)。

也許他沒能正確預言後來網路技術的發展,和人類如何面對、使用這些技術的場景,但是他始終堅持著,他曾講過一段話 :
While I admire the insights of many of the people in the world of computing, I get this cold feeling that I speak a different language. 

下面的嵌入的影片是他在 TED 2006 的演講,就像他始終堅持的,他再次告訴大家 - 新事物,不代表未來。他不是科學怪人,也不是「從來不學什麼,也不忘記什麼」的蛋頭學者,他是始終對 explore next thing 抱著無比熱情的 Clifford Stoll。

TED 中文網站是這麼介紹這場演講的:Clifford Stoll 用一個又一個狂野有活力的軼事、觀察、演說甚至是科學實驗深深的擄獲他的聽眾,當然,用他對自我的評價:我是一位科學家。"當我正在著手一件事情時,我已經在想下一件事情了"

他可能會預言錯誤,但是他從不放棄探索,從這部影片,我們才能稍微認識一個人、一個熱情洋溢的探索者、一個科學家。

看影片之前,我們再看一句 Clifford 的名言:
Why is it drug addicts and computer afficionados are both called users


Saturday, August 6, 2011

[Video] 下雨天的週末


我好喜歡週末 我好喜歡雨天
我好喜歡 下雨天的週末
因為那小雨 我才可以和你
共撐一把雨傘 靠得好近 好近
因為那週末 我才可以和你
聊得好晚 好晚

[詩戀] 我們底戀啊 像雨絲

感謝+老貓+Jyh-Ming Yang+Mulberry He,若不是他們,我幾乎忘了詩戀的味道,七夕凌晨,聽 鄭愁予的《雨絲》正好

我們底戀啊 像雨絲
在星斗與星斗間的路上
我們底車輿是無聲的
曾嬉戲於透明的大森林
曾濯足於無水的小溪

那是
擠滿著蓮葉燈的河床啊
是有牽牛和鵲橋的故事
遺落在那裡的
遺落在那裡的

我們底戀啊 像雨絲

斜斜地 斜斜地織成淡的記憶
而是否淡的記憶
就永留於星斗之間呢

如今已是摔碎的珍珠 流滿人世了




如果我的心是一朵蓮花

~ 林徽因 · 馬雁散文集 · 蓮燈 ~ 馬雁 在她的散文《高貴一種,有詩為證》裡,提到「十多年前,還不知道林女士的八卦及成就前,在期刊上讀到別人引用的《蓮燈》」 覺得非常喜歡,比之卞之琳、徐志摩,別說是毫不遜色,簡直是勝出一籌。前面的韻腳和平仄的處理顯然高於戴...