16. 2016 年美國銀行當時的首席安全科學 家 Sounil Yu 提出了 OWASP CDM (Cyber Defense Matrix),希望幫 助企業盤點目前的防禦機制,並且把盤點結果對應到 NIST CSF 五 大類別以及五種企業資產類別。你的主管請你運用 OWASP CDM 的 觀念來盤點目前的防禦機制,請問關於 OWASP CDM 描述,下列何 項「錯誤」?
(A) OWASP CDM 的縱軸有五個項目,由上到下包含設備 (Devices)、應用程式(Application)、網路(Network)、資 料(Data)與人員(User)
(B) OWASP CDM 的橫軸有五個項目,由左到右包含識別 (Identify)、保護(Protect)、偵測(Detect)、回應 (Respond)、復原(Recover)
(C) 在這個 5 乘 5 的矩陣中,橫軸下方有一個區域標示了依賴程 度,依賴程度有三個考量因素,包含科技(Technology)、 人員(People)、流程與治理(Process/Govern),其中對於 科技(Technology)的依賴程度由左至右是越來越高,對於 人員(People)的依賴程度由左至右是越來越低
(D) OWASP CDM 主要用來分類資安產品與服務所對應到的防 禦類別,無法用來分析漏洞成因

答案:登入後查看
統計: A(8), B(11), C(256), D(123), E(0) #3294496

詳解 (共 1 筆)

#6211607

ans6211336-66e91cb3e1f8d.jpg

(A) OWASP CDM 的縱軸有五個項目,由上到下包含設備 (Devices)、應用程式 (Applications)、網路 (Networks)、資料 (Data) 與人員 (Users)

此敘述是 正確 的。

在 OWASP 網路防禦矩陣(Cyber Defense Matrix, CDM)中,縱軸代表需要保護的資產類別。正確的順序從上到下為:

  1. 設備 (Devices)
  2. 應用程式 (Applications)
  3. 網路 (Networks)
  4. 資料 (Data)
  5. 人員 (Users)

選項 (A) 中列出的順序與 OWASP CDM 的縱軸一致,因此是正確的。

(B) OWASP CDM 的橫軸有五個項目,由左到右包含識別 (Identify)、保護 (Protect)、偵測 (Detect)、回應 (Respond)、復原 (Recover)

此敘述是 正確 的。

OWASP CDM 的橫軸對應 NIST 資安框架(CSF)的五大功能:

  1. 識別 (Identify)
  2. 保護 (Protect)
  3. 偵測 (Detect)
  4. 回應 (Respond)
  5. 復原 (Recover)

(C) 在這個 5×5 的矩陣中,橫軸下方有一個區域標示了依賴程度,依賴程度有三個考量因素,包含科技 (Technology)、人員 (People)、流程與治理 (Process/Governance),其中對於科技 (Technology) 的依賴程度由左至右是越來越高,對於人員 (People) 的依賴程度由左至右是越來越低

此敘述是 錯誤 的。

實際上,在 OWASP CDM 中:

  • 對科技的依賴程度:從左到右 降低。左側的「識別」和「保護」階段更依賴技術和自動化工具。

  • 對人員的依賴程度:從左到右 增加。右側的「回應」和「復原」階段需要更多人員的介入和決策。

因此,選項 (C) 中的敘述與實際情況相反,對科技的依賴程度應該是由左至右越來越低,而對人員的依賴程度是由左至右越來越高。

(D) OWASP CDM 主要用來分類資安產品與服務所對應到的防禦類別,無法用來分析漏洞成因

此敘述是 正確 的。

OWASP CDM 的主要用途是協助組織:

  • 盤點並對應現有的安全工具和能力
  • 識別在不同資產類別和安全功能上的缺口
  • 將安全投資與風險管理策略對齊

它不是設計用來分析漏洞的根本原因,分析漏洞成因需要其他專門的工具和方法。

參考資料:https://cyberdefensematrix.com/

4
0