IT Security Risk [Guest Speaker It Audit Class@Utcc]
-
Upload
surachai-chatchalermpun -
Category
Technology
-
view
4.125 -
download
1
description
Transcript of IT Security Risk [Guest Speaker It Audit Class@Utcc]
![Page 1: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/1.jpg)
IT Security
Master Degree in IT AuditThe University of the Thai Chamber of Commerce (UTCC )
27-March-2010
Surachai Chatchalermpun
![Page 2: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/2.jpg)
Speaker Profile
2
, CSSLP, ECSA , LPT
![Page 3: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/3.jpg)
Highlight Certificates
Network Security AssessmentCPE KMUTT
ECSA (EC-Council Certified Security Analyst) by EC-Council
LPT (Licensed Penetration Tester) by EC-Council
by ISC2
![Page 4: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/4.jpg)
Agenda• Updated new threat 2010
• Security Awareness (People factor)
• Secure SDLC (Technology & Process factor)
• What the methodology’s hacker?
• Audit Certification
![Page 5: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/5.jpg)
Source: ACIS & TISA
![Page 6: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/6.jpg)
6
People
Technology
(Tool)
Process
Confidentiality
AvailabilityIntegrity
3 Pillars of ICT 3 Pillars of SecurityDisclosure
Alteration Disruption
Key Principle
PPT CIA
![Page 7: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/7.jpg)
Enterprise Information Security Architecture
![Page 8: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/8.jpg)
Security Awareness
![Page 9: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/9.jpg)
9
Executive Refresh (Top management) IT Security Awareness (End User) IT Security Policy Orientation (New Staff) IT Security Training (IT Staff) SCADA/DCS Security Awareness (Operation Staff)
![Page 10: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/10.jpg)
คุณเคย...หรือไม่
• ตั้ง password ง่ายๆ กลัวลืม
• บอก password ของตนกับผู้อ่ืน• ให้ผู้อื่นยืมใช้เครื่องคอมพิวเตอร์และ
Login ด้วย account ของท่าน• เปิดดูข้อมูลของผู้อื่นโดยไมไ่ด้รับอนุญาต
• ไม่ล๊อคหน้าจอเมื่อไม่อยู่ที่โต๊ะ
• ส่งต่อข้อมูลที่ไม่ได้มีการพิสูจน์ยืนยันข้อเท็จจริง
• ส่งต่อภาพหรือคลิปลามก
• เปิดไฟล์ใน e-mail จากคนไม่รู้จัก
• เขียน password ติดไว้ที่โต๊ะท างาน
![Page 11: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/11.jpg)
11
![Page 12: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/12.jpg)
ICT Security Awareness Road Show 2008
1. ปกป้องข้อมูลให้ปลอดภัย
2. เปิดโล่งเชียวshare everyone
3. ลบแล้ว (จริงหรือ?)Clip หลุดrecovery&erase
4. Hi5 (Social Network)
5. Password ส าคัญไฉน?
6. ปกปิดหรือเปิดเผยhttp/https
7. ตกปลาด้วยเหยื่อ electronic
Phishing
8. ระวัง!อย่าให้ใครมาเสียบ (USB) autorun
9. กดอะไรก็รู้นะ Keylogger
10.ท าอะไรก็เห็นนะremote trojan
![Page 13: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/13.jpg)
Facts:• User ส่วนใหญ่มักตั้ง Password ตามค าใน Dictionary
• User ส่วนใหญ่มักตั้ง Password ด้วยอักษรตัวเล็กทั้งหมด
• User ส่วนใหญ่มักไม่ค่อยเปลี่ยน Password
• Password เหล่านี้มักตกเป็นเหย่ือรายแรกๆของผู้ไม่หวังดีเสมอ
STRONG PASSWORD
รูไ้หม? มีใครแอบเดา Password
ง่ายๆของ คณุอยู่?”
![Page 14: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/14.jpg)
Password Attacks• Dictionary Attack (Use words in Dictionary)
o Ant, cat, dog, frog, … , zoo
• Brute Force Attack (Use all possibilities)o 0001, 0002, 0003, …., 9999
Protections• ไม่ใช้ Password ที่คาดเดาได้ง่าย เช่น ค าที่มีใน Dictionary
• ใช้การผสมอักขระที่ซับซ้อน เช่น L0v3@1sts1ghT (Love at first sight)
• เปลี่ยน Password อย่างสม่ าเสมอเมื่อถึงเวลาที่เหมาะสม เช่น ทุกๆ 90 วัน
STRONG PASSWORD
![Page 15: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/15.jpg)
Game Password Checker
Dictionary Attack for guess simple password !!!
![Page 16: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/16.jpg)
• Lowercase Alphabet หรืออักษรภาษาอังกฤษตัวเล็กเช่น a b c d
• Uppercase Alphabet หรืออักษรภาษาอังกฤษตัวใหญ่เช่น A B C D
• Numeric หรือ ตัวเลขเช่น 1 2 3 4
• Special Character หรือ อักขระพิเศษเช่น ! @ # $ % ^ & * ( ) _ +
การตั้ง Password ที่ดีควรประกอบด้วย
![Page 17: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/17.jpg)
เทคนิคการตั้ง Password (ตั้งให้ยากแต่จ าให้ง่าย)
1. Pass phraseเนื้อเพลงโปรด,ประโยคเด็ดIamSecurityOfficer2009
2. Replacement1@m$3curity0ff1c3r2oo9
3. กด Shift ค้างไว้IAMSECURITYOFFICER@))(
4. ดูแป้นไทยเรานะเด็กโง่จุ๊บส์ๆ -> iydotgfHdF’j06U[lNq
อักษรเดมิ อักษรแทน
A 4 หรือ @
E 3
I 1 หรือ !
O 0
S $
And &
for 4 (four)
![Page 18: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/18.jpg)
Security Awareness Poster
![Page 19: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/19.jpg)
ICT Security AwarenessRoad Show ‘08
Security Awareness VDO
![Page 20: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/20.jpg)
Security Awareness >> ShowCase
![Page 21: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/21.jpg)
พ.ร.บ. คอมพิวเตอร์ 2550ฐานความผิดและบทลงโทษที่เกี่ยวกับ User
ฐานความผิด โทษจ าคุก โทษปรับ
มาตรา ๕ เข้าถึงคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๖ เดือน ไม่เกิน ๑๐,๐๐๐ บาท
มาตรา ๖ ล่วงรู้มาตรการป้องกัน ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท
มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอรโ์ดยมิชอบ ไม่เกิน ๒ ปี ไม่เกิน ๔๐,๐๐๐ บาท
มาตรา ๘ การดักข้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท
มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์
มาตรา ๑๑ สแปมเมล์
ไม่เกิน ๕ ปี
ไม่มี
ไม่เกิน ๑๐๐,๐๐๐ บาท
ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๒ การกระท าต่อความมั่นคง
(๑) ก่อความเสียหายแก่ข้อมูลคอมพิวเตอร์
(๒) กระทบต่อความมั่นคงปลอดภัยของประเทศ/เศรษฐกิจ
วรรคท้าย เป็นเหตุให้ผู้อื่นถึงแก่ชีวิต
ไม่เกิน ๑๐ ปี
๓ ปี ถึง ๑๕ ปี
๑๐ ปี ถึง ๒๐ ปี
+ ไม่เกิน ๒๐๐,๐๐๐ บาท
๖๐,๐๐๐-๓๐๐,๐๐๐ บาท
ไม่มี
มาตรา ๑๓ การจ าหน่าย/เผยแพร่ชุดค าสั่ง ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท
มาตรา ๑๔ การเผยแพร่เน้ือหาอันไมเ่หมาะสม ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๕ ความรับผิดของ Tel Co, ISP,อ่ืนๆ Internet Access)
ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๖ การตัดตอ่ภาพผู้อ่ืน ถ้าสุจริต ไม่มีความผิด ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท
![Page 22: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/22.jpg)
IC ICT PEOPLE EXCELLENCE
E-mail [email protected] Website: www.pttict.com/security ©2008 PTT ICT Solutions All Right Reserved.
Trusted Components
User must always beware, not careless
Make sure computer is safe, can trust to use
Connect via trust network
Access to trust services
![Page 23: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/23.jpg)
Web Application Security Assessment
![Page 24: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/24.jpg)
Web Application Hacking
Outer
Inner
DMZ Zone
Server farm ZoneSource: Whitehat Security
![Page 25: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/25.jpg)
Ou
ter Firew
all
Hardened OS
Web Server
App Server
Inn
er Firew
all
Dat
abas
es
Lega
cy S
yste
ms
We
b S
erv
ice
s
Dir
ect
ori
es
Hu
man
Re
sou
rce
Bill
ingCustom Developed
Application Code
APPLICATIONATTACK
You can’t use network layer protection (Firewall, SSL, IDS, hardening)to stop or detect application layer attacks
Ne
two
rk L
aye
rA
pp
licat
ion
Lay
er Your security “perimeter” has huge
holes at the “Application layer”
Your “Code” is Part of Your Security Perimeter
Source: Whitehat Security
![Page 26: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/26.jpg)
Source: WHID
![Page 27: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/27.jpg)
Source: WHID
![Page 28: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/28.jpg)
Source: WHID
![Page 29: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/29.jpg)
Hacking Incidents (Defacement)
Source: Zone-h
![Page 30: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/30.jpg)
Hacking Incidents (Defacement)
Source: Zone-h
![Page 31: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/31.jpg)
31
Secure Application Development
Training on Secure Application Development Improve Application Development processWeb Application Security Assessment (Pre-Production) POC Web Application Firewall (For Production)
![Page 32: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/32.jpg)
Microsoft Development framework
CSSLP* Training
CSSLP Certified
PTT ICT Application development standard
OWASP Top 10 2007
2550 2552…2549 2553
Secure SDLC Process Improvement
Security Documentsfor consideration
Application Security Roadmap
CSSLP* - Certified Secure Software Lifecycle Professional
OWASP Top 10 2010
Change management
POC Web App & DB Firewall
2555
CMMI
Yesterday Today Tomorrow
Centralize Document Management
![Page 33: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/33.jpg)
Source: ISC2
![Page 34: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/34.jpg)
Training on Secure Application Development(ISC)² CSSLP CBK Domains1. Secure Software Concepts2. Secure Software Requirements3. Secure Software Design4. Secure Software Implementation/Coding5. Secure Software Testing6. Software Acceptance7. Software Deployment, Operations,
Maintenance, and Disposal
![Page 35: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/35.jpg)
35
Improve Application Development process
![Page 36: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/36.jpg)
36Source: OWASP
![Page 37: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/37.jpg)
Source: OWASP
![Page 38: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/38.jpg)
Source: OWASP
![Page 39: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/39.jpg)
Source: OWASP
![Page 40: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/40.jpg)
Source: OWASP
![Page 41: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/41.jpg)
1. Application Request Form
Gathering requirementDesign Phase,Development Phase,
UAT Phase, Security Assessment,Production
Functional test, Unit test, Integration test, Performance test
![Page 42: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/42.jpg)
2. Security Checklist
![Page 43: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/43.jpg)
3. Security Questionnaire
![Page 44: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/44.jpg)
4. System diagram
![Page 45: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/45.jpg)
45Web Application Risk Report Server Risk Report
Web Application Security Assessment (Pre-Production)
![Page 46: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/46.jpg)
The OWASP Top 10 Risks Report
![Page 47: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/47.jpg)
The OWASP Top 10 Risks Report
![Page 48: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/48.jpg)
Audit Certification
![Page 49: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/49.jpg)
Source: TISA
![Page 50: IT Security Risk [Guest Speaker It Audit Class@Utcc]](https://reader034.fdocuments.in/reader034/viewer/2022042614/5565bd1dd8b42a5b488b4795/html5/thumbnails/50.jpg)
Source: TISA