I T Security Risk
-
Upload
won-ju-jub -
Category
Documents
-
view
536 -
download
2
description
Transcript of I T Security Risk
![Page 1: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/1.jpg)
IT Security
Master Degree in IT AuditThe University of the Thai Chamber of Commerce (UTCC )
27-March-2010
Surachai Chatchalermpun
![Page 2: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/2.jpg)
Speaker Profile
2
, CSSLP, ECSA , LPT
![Page 3: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/3.jpg)
Highlight Certificates
Network Security AssessmentCPE KMUTT
ECSA (EC-Council Certified Security Analyst) by EC-Council
LPT (Licensed Penetration Tester) by EC-Council
by ISC2
![Page 4: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/4.jpg)
Agenda• Updated new threat 2010
• Security Awareness (People factor)
• Secure SDLC (Technology & Process factor)
• What the methodology’s hacker?
• Audit Certification
![Page 5: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/5.jpg)
Source: ACIS & TISA
![Page 6: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/6.jpg)
6
People
Technology
(Tool)
Process
Confidentiality
AvailabilityIntegrity
3 Pillars of ICT 3 Pillars of SecurityDisclosure
Alteration Disruption
Key Principle
PPT CIA
![Page 7: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/7.jpg)
Enterprise Information Security Architecture
![Page 8: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/8.jpg)
Security Awareness
![Page 9: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/9.jpg)
9
Executive Refresh (Top management) IT Security Awareness (End User) IT Security Policy Orientation (New Staff) IT Security Training (IT Staff) SCADA/DCS Security Awareness (Operation Staff)
![Page 10: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/10.jpg)
คุณเคย...หรือไม่
• ตั้ง password ง่ายๆ กลัวลืม
• บอก password ของตนกับผู้อ่ืน• ให้ผู้อื่นยืมใช้เครื่องคอมพิวเตอร์และ
Login ด้วย account ของท่าน• เปิดดูข้อมูลของผู้อื่นโดยไมไ่ด้รับอนุญาต
• ไม่ล๊อคหน้าจอเมื่อไม่อยู่ที่โต๊ะ
• ส่งต่อข้อมูลที่ไม่ได้มีการพิสูจน์ยืนยันข้อเท็จจริง
• ส่งต่อภาพหรือคลิปลามก
• เปิดไฟล์ใน e-mail จากคนไม่รู้จัก
• เขียน password ติดไว้ที่โต๊ะท างาน
![Page 11: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/11.jpg)
11
![Page 12: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/12.jpg)
ICT Security Awareness Road Show 2008
1. ปกป้องข้อมูลให้ปลอดภัย
2. เปิดโล่งเชียวshare everyone
3. ลบแล้ว (จริงหรือ?)Clip หลุดrecovery&erase
4. Hi5 (Social Network)
5. Password ส าคัญไฉน?
6. ปกปิดหรือเปิดเผยhttp/https
7. ตกปลาด้วยเหยื่อ electronic
Phishing
8. ระวัง!อย่าให้ใครมาเสียบ (USB) autorun
9. กดอะไรก็รู้นะ Keylogger
10.ท าอะไรก็เห็นนะremote trojan
![Page 13: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/13.jpg)
Facts:• User ส่วนใหญ่มักตั้ง Password ตามค าใน Dictionary
• User ส่วนใหญ่มักตั้ง Password ด้วยอักษรตัวเล็กทั้งหมด
• User ส่วนใหญ่มักไม่ค่อยเปลี่ยน Password
• Password เหล่านี้มักตกเป็นเหย่ือรายแรกๆของผู้ไม่หวังดีเสมอ
STRONG PASSWORD
รูไ้หม? มีใครแอบเดา Password
ง่ายๆของ คณุอยู่?”
![Page 14: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/14.jpg)
Password Attacks• Dictionary Attack (Use words in Dictionary)
o Ant, cat, dog, frog, … , zoo
• Brute Force Attack (Use all possibilities)o 0001, 0002, 0003, …., 9999
Protections• ไม่ใช้ Password ที่คาดเดาได้ง่าย เช่น ค าที่มีใน Dictionary
• ใช้การผสมอักขระที่ซับซ้อน เช่น L0v3@1sts1ghT (Love at first sight)
• เปลี่ยน Password อย่างสม่ าเสมอเมื่อถึงเวลาที่เหมาะสม เช่น ทุกๆ 90 วัน
STRONG PASSWORD
![Page 15: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/15.jpg)
Game Password Checker
Dictionary Attack for guess simple password !!!
![Page 16: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/16.jpg)
• Lowercase Alphabet หรืออักษรภาษาอังกฤษตัวเล็กเช่น a b c d
• Uppercase Alphabet หรืออักษรภาษาอังกฤษตัวใหญ่เช่น A B C D
• Numeric หรือ ตัวเลขเช่น 1 2 3 4
• Special Character หรือ อักขระพิเศษเช่น ! @ # $ % ^ & * ( ) _ +
การตั้ง Password ที่ดีควรประกอบด้วย
![Page 17: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/17.jpg)
เทคนิคการตั้ง Password (ตั้งให้ยากแต่จ าให้ง่าย)
1. Pass phraseเนื้อเพลงโปรด,ประโยคเด็ดIamSecurityOfficer2009
2. Replacement1@m$3curity0ff1c3r2oo9
3. กด Shift ค้างไว้IAMSECURITYOFFICER@))(
4. ดูแป้นไทยเรานะเด็กโง่จุ๊บส์ๆ -> iydotgfHdF’j06U[lNq
อักษรเดมิ อักษรแทน
A 4 หรือ @
E 3
I 1 หรือ !
O 0
S $
And &
for 4 (four)
![Page 18: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/18.jpg)
Security Awareness Poster
![Page 19: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/19.jpg)
ICT Security AwarenessRoad Show ‘08
Security Awareness VDO
![Page 20: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/20.jpg)
Security Awareness >> ShowCase
![Page 21: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/21.jpg)
พ.ร.บ. คอมพิวเตอร์ 2550ฐานความผิดและบทลงโทษที่เกี่ยวกับ User
ฐานความผิด โทษจ าคุก โทษปรับ
มาตรา ๕ เข้าถึงคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๖ เดือน ไม่เกิน ๑๐,๐๐๐ บาท
มาตรา ๖ ล่วงรู้มาตรการป้องกัน ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท
มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอรโ์ดยมิชอบ ไม่เกิน ๒ ปี ไม่เกิน ๔๐,๐๐๐ บาท
มาตรา ๘ การดักข้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท
มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์
มาตรา ๑๑ สแปมเมล์
ไม่เกิน ๕ ปี
ไม่มี
ไม่เกิน ๑๐๐,๐๐๐ บาท
ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๒ การกระท าต่อความมั่นคง
(๑) ก่อความเสียหายแก่ข้อมูลคอมพิวเตอร์
(๒) กระทบต่อความมั่นคงปลอดภัยของประเทศ/เศรษฐกิจ
วรรคท้าย เป็นเหตุให้ผู้อื่นถึงแก่ชีวิต
ไม่เกิน ๑๐ ปี
๓ ปี ถึง ๑๕ ปี
๑๐ ปี ถึง ๒๐ ปี
+ ไม่เกิน ๒๐๐,๐๐๐ บาท
๖๐,๐๐๐-๓๐๐,๐๐๐ บาท
ไม่มี
มาตรา ๑๓ การจ าหน่าย/เผยแพร่ชุดค าสั่ง ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท
มาตรา ๑๔ การเผยแพร่เน้ือหาอันไมเ่หมาะสม ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๕ ความรับผิดของ Tel Co, ISP,อ่ืนๆ Internet Access)
ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๖ การตัดตอ่ภาพผู้อ่ืน ถ้าสุจริต ไม่มีความผิด ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท
![Page 22: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/22.jpg)
IC ICT PEOPLE EXCELLENCE
E-mail [email protected] Website: www.pttict.com/security ©2008 PTT ICT Solutions All Right Reserved.
Trusted Components
User must always beware, not careless
Make sure computer is safe, can trust to use
Connect via trust network
Access to trust services
![Page 23: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/23.jpg)
Web Application Security Assessment
![Page 24: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/24.jpg)
Web Application Hacking
Outer
Inner
DMZ Zone
Server farm ZoneSource: Whitehat Security
![Page 25: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/25.jpg)
Ou
ter Firew
all
Hardened OS
Web Server
App Server
Inn
er Firew
all
Dat
abas
es
Lega
cy S
yste
ms
We
b S
erv
ice
s
Dir
ect
ori
es
Hu
man
Re
sou
rce
Bill
ingCustom Developed
Application Code
APPLICATIONATTACK
You can’t use network layer protection (Firewall, SSL, IDS, hardening)to stop or detect application layer attacks
Ne
two
rk L
aye
rA
pp
licat
ion
Lay
er Your security “perimeter” has huge
holes at the “Application layer”
Your “Code” is Part of Your Security Perimeter
Source: Whitehat Security
![Page 26: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/26.jpg)
Source: WHID
![Page 27: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/27.jpg)
Source: WHID
![Page 28: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/28.jpg)
Source: WHID
![Page 29: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/29.jpg)
Hacking Incidents (Defacement)
Source: Zone-h
![Page 30: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/30.jpg)
Hacking Incidents (Defacement)
Source: Zone-h
![Page 31: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/31.jpg)
31
Secure Application Development
Training on Secure Application Development Improve Application Development processWeb Application Security Assessment (Pre-Production) POC Web Application Firewall (For Production)
![Page 32: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/32.jpg)
Microsoft Development framework
CSSLP* Training
CSSLP Certified
PTT ICT Application development standard
OWASP Top 10 2007
2550 2552…2549 2553
Secure SDLC Process Improvement
Security Documentsfor consideration
Application Security Roadmap
CSSLP* - Certified Secure Software Lifecycle Professional
OWASP Top 10 2010
Change management
POC Web App & DB Firewall
2555
CMMI
Yesterday Today Tomorrow
Centralize Document Management
![Page 33: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/33.jpg)
Source: ISC2
![Page 34: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/34.jpg)
Training on Secure Application Development(ISC)² CSSLP CBK Domains1. Secure Software Concepts2. Secure Software Requirements3. Secure Software Design4. Secure Software Implementation/Coding5. Secure Software Testing6. Software Acceptance7. Software Deployment, Operations,
Maintenance, and Disposal
![Page 35: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/35.jpg)
35
Improve Application Development process
![Page 36: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/36.jpg)
36Source: OWASP
![Page 37: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/37.jpg)
Source: OWASP
![Page 38: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/38.jpg)
Source: OWASP
![Page 39: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/39.jpg)
Source: OWASP
![Page 40: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/40.jpg)
Source: OWASP
![Page 41: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/41.jpg)
1. Application Request Form
Gathering requirementDesign Phase,Development Phase,
UAT Phase, Security Assessment,Production
Functional test, Unit test, Integration test, Performance test
![Page 42: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/42.jpg)
2. Security Checklist
![Page 43: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/43.jpg)
3. Security Questionnaire
![Page 44: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/44.jpg)
4. System diagram
![Page 45: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/45.jpg)
45Web Application Risk Report Server Risk Report
Web Application Security Assessment (Pre-Production)
![Page 46: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/46.jpg)
The OWASP Top 10 Risks Report
![Page 47: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/47.jpg)
The OWASP Top 10 Risks Report
![Page 48: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/48.jpg)
Audit Certification
![Page 49: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/49.jpg)
Source: TISA
![Page 50: I T Security Risk](https://reader035.fdocuments.in/reader035/viewer/2022081401/5565bc03d8b42a48268b4d45/html5/thumbnails/50.jpg)
Source: TISA