IT Security

Master Degree in IT AuditThe University of the Thai Chamber of Commerce (UTCC )

27-March-2010

Surachai Chatchalermpun

Speaker Profile

2

, CSSLP, ECSA , LPT

Highlight Certificates

Network Security AssessmentCPE KMUTT

ECSA (EC-Council Certified Security Analyst) by EC-Council

LPT (Licensed Penetration Tester) by EC-Council

by ISC2

Agenda• Updated new threat 2010

• Security Awareness (People factor)

• Secure SDLC (Technology & Process factor)

• What the methodology’s hacker?

• Audit Certification

Source: ACIS & TISA

6

People

Technology

(Tool)

Process

Confidentiality

AvailabilityIntegrity

3 Pillars of ICT 3 Pillars of SecurityDisclosure

Alteration Disruption

Key Principle

PPT CIA

Enterprise Information Security Architecture

Security Awareness

9

Executive Refresh (Top management) IT Security Awareness (End User) IT Security Policy Orientation (New Staff) IT Security Training (IT Staff) SCADA/DCS Security Awareness (Operation Staff)

คุณเคย...หรือไม่

• ตั้ง password ง่ายๆ กลัวลืม

• บอก password ของตนกับผู้อ่ืน• ให้ผู้อื่นยืมใช้เครื่องคอมพิวเตอร์และ

Login ด้วย account ของท่าน• เปิดดูข้อมูลของผู้อื่นโดยไมไ่ด้รับอนุญาต

• ไม่ล๊อคหน้าจอเมื่อไม่อยู่ที่โต๊ะ

• ส่งต่อข้อมูลที่ไม่ได้มีการพิสูจน์ยืนยันข้อเท็จจริง

• ส่งต่อภาพหรือคลิปลามก

• เปิดไฟล์ใน e-mail จากคนไม่รู้จัก

• เขียน password ติดไว้ที่โต๊ะท างาน

11

ICT Security Awareness Road Show 2008

1. ปกป้องข้อมูลให้ปลอดภัย

2. เปิดโล่งเชียวshare everyone

3. ลบแล้ว (จริงหรือ?)Clip หลุดrecovery&erase

4. Hi5 (Social Network)

5. Password ส าคัญไฉน?

6. ปกปิดหรือเปิดเผยhttp/https

7. ตกปลาด้วยเหยื่อ electronic

Phishing

8. ระวัง!อย่าให้ใครมาเสียบ (USB) autorun

9. กดอะไรก็รู้นะ Keylogger

10.ท าอะไรก็เห็นนะremote trojan

Facts:• User ส่วนใหญ่มักตั้ง Password ตามค าใน Dictionary

• User ส่วนใหญ่มักตั้ง Password ด้วยอักษรตัวเล็กทั้งหมด

• User ส่วนใหญ่มักไม่ค่อยเปลี่ยน Password

• Password เหล่านี้มักตกเป็นเหย่ือรายแรกๆของผู้ไม่หวังดีเสมอ

STRONG PASSWORD

รูไ้หม? มีใครแอบเดา Password

ง่ายๆของ คณุอยู่?”

Password Attacks• Dictionary Attack (Use words in Dictionary)

o Ant, cat, dog, frog, … , zoo

• Brute Force Attack (Use all possibilities)o 0001, 0002, 0003, …., 9999

Protections• ไม่ใช้ Password ที่คาดเดาได้ง่าย เช่น ค าที่มีใน Dictionary

• ใช้การผสมอักขระที่ซับซ้อน เช่น L0v3@1sts1ghT (Love at first sight)

• เปลี่ยน Password อย่างสม่ าเสมอเมื่อถึงเวลาที่เหมาะสม เช่น ทุกๆ 90 วัน

STRONG PASSWORD

Game Password Checker

Dictionary Attack for guess simple password !!!

• Lowercase Alphabet หรืออักษรภาษาอังกฤษตัวเล็กเช่น a b c d

• Uppercase Alphabet หรืออักษรภาษาอังกฤษตัวใหญ่เช่น A B C D

• Numeric หรือ ตัวเลขเช่น 1 2 3 4

• Special Character หรือ อักขระพิเศษเช่น ! @ # $ % ^ & * ( ) _ +

การตั้ง Password ที่ดีควรประกอบด้วย

เทคนิคการตั้ง Password (ตั้งให้ยากแต่จ าให้ง่าย)

1. Pass phraseเนื้อเพลงโปรด,ประโยคเด็ดIamSecurityOfficer2009

2. Replacement1@m$3curity0ff1c3r2oo9

3. กด Shift ค้างไว้IAMSECURITYOFFICER@))(

4. ดูแป้นไทยเรานะเด็กโง่จุ๊บส์ๆ -> iydotgfHdF’j06U[lNq

อักษรเดมิ อักษรแทน

A 4 หรือ @

E 3

I 1 หรือ !

O 0

S $

And &

for 4 (four)

Security Awareness Poster

ICT Security AwarenessRoad Show ‘08

Security Awareness VDO

Security Awareness >> ShowCase

พ.ร.บ. คอมพิวเตอร์ 2550ฐานความผิดและบทลงโทษที่เกี่ยวกับ User

ฐานความผิด โทษจ าคุก โทษปรับ

มาตรา ๕ เข้าถึงคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๖ เดือน ไม่เกิน ๑๐,๐๐๐ บาท

มาตรา ๖ ล่วงรู้มาตรการป้องกัน ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท

มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอรโ์ดยมิชอบ ไม่เกิน ๒ ปี ไม่เกิน ๔๐,๐๐๐ บาท

มาตรา ๘ การดักข้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท

มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท

มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์

มาตรา ๑๑ สแปมเมล์

ไม่เกิน ๕ ปี

ไม่มี

ไม่เกิน ๑๐๐,๐๐๐ บาท

ไม่เกิน ๑๐๐,๐๐๐ บาท

มาตรา ๑๒ การกระท าต่อความมั่นคง

(๑) ก่อความเสียหายแก่ข้อมูลคอมพิวเตอร์

(๒) กระทบต่อความมั่นคงปลอดภัยของประเทศ/เศรษฐกิจ

วรรคท้าย เป็นเหตุให้ผู้อื่นถึงแก่ชีวิต

ไม่เกิน ๑๐ ปี

๓ ปี ถึง ๑๕ ปี

๑๐ ปี ถึง ๒๐ ปี

+ ไม่เกิน ๒๐๐,๐๐๐ บาท

๖๐,๐๐๐-๓๐๐,๐๐๐ บาท

ไม่มี

มาตรา ๑๓ การจ าหน่าย/เผยแพร่ชุดค าสั่ง ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท

มาตรา ๑๔ การเผยแพร่เน้ือหาอันไมเ่หมาะสม ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท

มาตรา ๑๕ ความรับผิดของ Tel Co, ISP,อ่ืนๆ Internet Access)

ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท

มาตรา ๑๖ การตัดตอ่ภาพผู้อ่ืน ถ้าสุจริต ไม่มีความผิด ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท

IC ICT PEOPLE EXCELLENCE

E-mail security@pttict.com Website: www.pttict.com/security ©2008 PTT ICT Solutions All Right Reserved.

Trusted Components

User must always beware, not careless

Make sure computer is safe, can trust to use

Connect via trust network

Access to trust services

Web Application Security Assessment

Web Application Hacking

Outer

Inner

DMZ Zone

Server farm ZoneSource: Whitehat Security

Ou

ter Firew

all

Hardened OS

Web Server

App Server

Inn

er Firew

all

Dat

abas

es

Lega

cy S

yste

ms

We

b S

erv

ice

s

Dir

ect

ori

es

Hu

man

Re

sou

rce

Bill

ingCustom Developed

Application Code

APPLICATIONATTACK

You can’t use network layer protection (Firewall, SSL, IDS, hardening)to stop or detect application layer attacks

Ne

two

rk L

aye

rA

pp

licat

ion

Lay

er Your security “perimeter” has huge

holes at the “Application layer”

Your “Code” is Part of Your Security Perimeter

Source: Whitehat Security

Source: WHID

Source: WHID

Source: WHID

Hacking Incidents (Defacement)

Source: Zone-h

Hacking Incidents (Defacement)

Source: Zone-h

31

Secure Application Development

Training on Secure Application Development Improve Application Development processWeb Application Security Assessment (Pre-Production) POC Web Application Firewall (For Production)

Microsoft Development framework

CSSLP* Training

CSSLP Certified

PTT ICT Application development standard

OWASP Top 10 2007

2550 2552…2549 2553

Secure SDLC Process Improvement

Security Documentsfor consideration

Application Security Roadmap

CSSLP* - Certified Secure Software Lifecycle Professional

OWASP Top 10 2010

Change management

POC Web App & DB Firewall

2555

CMMI

Yesterday Today Tomorrow

Centralize Document Management

Source: ISC2

Training on Secure Application Development(ISC)² CSSLP CBK Domains1. Secure Software Concepts2. Secure Software Requirements3. Secure Software Design4. Secure Software Implementation/Coding5. Secure Software Testing6. Software Acceptance7. Software Deployment, Operations,

Maintenance, and Disposal

35

Improve Application Development process

36Source: OWASP

Source: OWASP

Source: OWASP

Source: OWASP

Source: OWASP

1. Application Request Form

Gathering requirementDesign Phase,Development Phase,

UAT Phase, Security Assessment,Production

Functional test, Unit test, Integration test, Performance test

2. Security Checklist

3. Security Questionnaire

4. System diagram

45Web Application Risk Report Server Risk Report

Web Application Security Assessment (Pre-Production)

The OWASP Top 10 Risks Report

The OWASP Top 10 Risks Report

Audit Certification

Source: TISA

Source: TISA

Question & AnswerThank You

Surachai Chatchalermpunsurachai.c@pttict.com