iPAS 資訊安全工程師 考試重點

IS221 惡意程式防護與弱點管理
主題分類
1
惡意程式類型與行為
2
防毒軟體與偵測技術
3
弱點管理與掃描
4
滲透測試與安全評估
5
Honeypot 與誘捕技術
#1
★★★★★
惡意程式類型與行為 (Malware Types and Behaviors)
核心概念
  • 病毒 (Virus):寄生於其他程式/檔案,需使用者觸發,具感染潛伏破壞特性。
  • 蠕蟲 (Worm):獨立程式,自我複製並利用網路主動傳播
  • 木馬程式 (Trojan Horse):偽裝成合法程式,執行惡意行為(如建立後門)。
  • 勒索軟體 (Ransomware):加密使用者檔案,要求支付贖金才能解密。
  • 多態病毒 (Polymorphism Virus):每次感染/複製時會改變自身程式碼,躲避偵測。
病毒需要透過使用者操作傳播,蠕蟲則會自行擴散。(資料來源:111初級-技術概論 Q13, 110初級-技術概論 Q14, 109初級-技術概論 Q32, 108初級-技術概論 Q13, 108初級-技術概論 Q31, 112初級-技術概論 Q32)
#2
★★★★
防毒軟體偵測技術 (Antivirus Detection Techniques)
核心概念
防毒軟體主要使用以下技術來偵測惡意程式:
  • 特徵碼比對 (Signature-based Detection):將檔案或程式碼與已知的惡意程式特徵碼資料庫進行比對。優點是準確率高、誤判率低;缺點是無法偵測未知或變種的惡意程式。
  • 啟發式掃描 (Heuristic Scanning):分析檔案的行為、結構或指令,判斷其是否具有惡意程式的可疑特徵。優點是能偵測未知病毒;缺點是誤判率較高
  • 行為偵測 (Behavioral Detection):監控程式執行時的行為,如修改系統檔案、網路連線等,判斷是否為惡意行為。
  • 沙箱 (Sandboxing):在隔離的環境中執行可疑程式,觀察其行為。
啟發式掃描的主要優點在於偵測全新病毒的能力。(資料來源:108初級-技術概論 Q33, 110初級-技術概論(11月) Q28)
#3
★★★★
零時差漏洞 (Zero-Day Vulnerability)
核心概念
零時差漏洞是指已經被發現或被利用,但軟體開發商尚未發布修補程式的安全漏洞。
  • 由於沒有官方補丁,系統管理員無法立即修補,導致系統處於高風險狀態。
  • 弱點掃描工具通常基於已知的漏洞資料庫,因此難以偵測到未知的零時差漏洞。
  • 防禦零時差攻擊需要更進階的技術,如IPS、行為偵測、沙箱等。
(資料來源:110初級-技術概論 Q28, 108初級-技術概論 Q30)
#4
★★★★
弱點掃描 (Vulnerability Scanning)
核心概念
弱點掃描是一種自動化的過程,用於識別電腦系統、網路或應用程式中已知的安全漏洞
  • 使用工具(如 Nessus, OpenVAS)掃描目標,並將其與已知的漏洞資料庫進行比對。
  • 有助於找出系統設定錯誤、缺少修補程式、預設密碼等問題。
  • 無法偵測零時差漏洞
  • 掃描過程本身可能觸發 IDS/IPS 的警報。
  • 屬於主動防禦的一環,用於事前發現問題。
(資料來源:110初級-技術概論 Q29)
#5
★★★★
滲透測試 (Penetration Testing / Pentest)
核心概念
滲透測試是由授權的安全專家模擬駭客的攻擊方法和技術,對目標系統、網路或應用程式進行實際攻擊測試,以評估其安全性並找出可被利用的漏洞。
與弱點掃描的區別:
  • 弱點掃描:自動化,找出已知漏洞列表。
  • 滲透測試:手動為主,實際利用漏洞,評估實際風險,可能發現未知漏洞或邏輯缺陷。
測試類型:
  • 黑箱測試 (Black-Box Testing):測試人員沒有目標系統的內部知識。
  • 白箱測試 (White-Box Testing):測試人員擁有目標系統的完整知識(如原始碼、架構圖)。
  • 灰箱測試 (Gray-Box Testing):測試人員擁有部分目標系統的知識。
黑箱測試更容易鑑別出軟體部署後的問題,但較難發現邏輯性缺失。(資料來源:110初級-技術概論 Q24, 109初級-技術概論 Q28, 109初級-管理概論 Q44, 108初級-技術概論 Q40)
#6
★★★
蜜罐 (Honeypot)
核心概念
蜜罐是一種安全機制,它設置一個看似有價值但實際上是陷阱的系統或資源(誘餌系統),用來誘騙偵測轉移分析未經授權的存取行為(攻擊者)。
目的:
  • 偵測與警示:任何對蜜罐的存取通常都是可疑的,可觸發警報。
  • 收集情資:分析攻擊者的手法、工具和意圖。
  • 延遲與轉移:將攻擊者引導到蜜罐,遠離真正有價值的系統。
蜜罐不會設置在正式的產品運作環境中,而是作為一個獨立的誘捕系統。(資料來源:110初級-技術概論 Q15, 109初級-管理概論(11月) Q45, 108初級-技術概論 Q40)
沒有找到符合條件的重點。