it security risk [guest speaker it audit class@utcc]
DESCRIPTION
IT Security Risk For education only.TRANSCRIPT
IT Security
Master Degree in IT AuditThe University of the Thai Chamber of Commerce (UTCC )
27-March-2010
Surachai Chatchalermpun
Speaker Profile
2
, CSSLP, ECSA , LPT
Highlight Certificates
Network Security AssessmentCPE KMUTT
ECSA (EC-Council Certified Security Analyst) by EC-Council
LPT (Licensed Penetration Tester) by EC-Council
by ISC2
Agenda• Updated new threat 2010
• Security Awareness (People factor)
• Secure SDLC (Technology & Process factor)
• What the methodology’s hacker?
• Audit Certification
Source: ACIS & TISA
6
People
Technology
(Tool)
Process
Confidentiality
AvailabilityIntegrity
3 Pillars of ICT 3 Pillars of SecurityDisclosure
Alteration Disruption
Key Principle
PPT CIA
Enterprise Information Security Architecture
Security Awareness
9
Executive Refresh (Top management) IT Security Awareness (End User) IT Security Policy Orientation (New Staff) IT Security Training (IT Staff) SCADA/DCS Security Awareness (Operation Staff)
คุณเคย...หรือไม่
• ตั้ง password ง่ายๆ กลัวลืม
• บอก password ของตนกับผู้อ่ืน• ให้ผู้อื่นยืมใช้เครื่องคอมพิวเตอร์และ
Login ด้วย account ของท่าน• เปิดดูข้อมูลของผู้อื่นโดยไมไ่ด้รับอนุญาต
• ไม่ล๊อคหน้าจอเมื่อไม่อยู่ที่โต๊ะ
• ส่งต่อข้อมูลที่ไม่ได้มีการพิสูจน์ยืนยันข้อเท็จจริง
• ส่งต่อภาพหรือคลิปลามก
• เปิดไฟล์ใน e-mail จากคนไม่รู้จัก
• เขียน password ติดไว้ที่โต๊ะท างาน
11
ICT Security Awareness Road Show 2008
1. ปกป้องข้อมูลให้ปลอดภัย
2. เปิดโล่งเชียวshare everyone
3. ลบแล้ว (จริงหรือ?)Clip หลุดrecovery&erase
4. Hi5 (Social Network)
5. Password ส าคัญไฉน?
6. ปกปิดหรือเปิดเผยhttp/https
7. ตกปลาด้วยเหยื่อ electronic
Phishing
8. ระวัง!อย่าให้ใครมาเสียบ (USB) autorun
9. กดอะไรก็รู้นะ Keylogger
10.ท าอะไรก็เห็นนะremote trojan
Facts:• User ส่วนใหญ่มักตั้ง Password ตามค าใน Dictionary
• User ส่วนใหญ่มักตั้ง Password ด้วยอักษรตัวเล็กทั้งหมด
• User ส่วนใหญ่มักไม่ค่อยเปลี่ยน Password
• Password เหล่านี้มักตกเป็นเหย่ือรายแรกๆของผู้ไม่หวังดีเสมอ
STRONG PASSWORD
รูไ้หม? มีใครแอบเดา Password
ง่ายๆของ คณุอยู่?”
Password Attacks• Dictionary Attack (Use words in Dictionary)
o Ant, cat, dog, frog, … , zoo
• Brute Force Attack (Use all possibilities)o 0001, 0002, 0003, …., 9999
Protections• ไม่ใช้ Password ที่คาดเดาได้ง่าย เช่น ค าที่มีใน Dictionary
• ใช้การผสมอักขระที่ซับซ้อน เช่น L0v3@1sts1ghT (Love at first sight)
• เปลี่ยน Password อย่างสม่ าเสมอเมื่อถึงเวลาที่เหมาะสม เช่น ทุกๆ 90 วัน
STRONG PASSWORD
Game Password Checker
Dictionary Attack for guess simple password !!!
• Lowercase Alphabet หรืออักษรภาษาอังกฤษตัวเล็กเช่น a b c d
• Uppercase Alphabet หรืออักษรภาษาอังกฤษตัวใหญ่เช่น A B C D
• Numeric หรือ ตัวเลขเช่น 1 2 3 4
• Special Character หรือ อักขระพิเศษเช่น ! @ # $ % ^ & * ( ) _ +
การตั้ง Password ที่ดีควรประกอบด้วย
เทคนิคการตั้ง Password (ตั้งให้ยากแต่จ าให้ง่าย)
1. Pass phraseเนื้อเพลงโปรด,ประโยคเด็ดIamSecurityOfficer2009
2. Replacement1@m$3curity0ff1c3r2oo9
3. กด Shift ค้างไว้IAMSECURITYOFFICER@))(
4. ดูแป้นไทยเรานะเด็กโง่จุ๊บส์ๆ -> iydotgfHdF’j06U[lNq
อักษรเดมิ อักษรแทน
A 4 หรือ @
E 3
I 1 หรือ !
O 0
S $
And &
for 4 (four)
Security Awareness Poster
ICT Security AwarenessRoad Show ‘08
Security Awareness VDO
Security Awareness >> ShowCase
พ.ร.บ. คอมพิวเตอร์ 2550ฐานความผิดและบทลงโทษที่เกี่ยวกับ User
ฐานความผิด โทษจ าคุก โทษปรับ
มาตรา ๕ เข้าถึงคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๖ เดือน ไม่เกิน ๑๐,๐๐๐ บาท
มาตรา ๖ ล่วงรู้มาตรการป้องกัน ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท
มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอรโ์ดยมิชอบ ไม่เกิน ๒ ปี ไม่เกิน ๔๐,๐๐๐ บาท
มาตรา ๘ การดักข้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท
มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์
มาตรา ๑๑ สแปมเมล์
ไม่เกิน ๕ ปี
ไม่มี
ไม่เกิน ๑๐๐,๐๐๐ บาท
ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๒ การกระท าต่อความมั่นคง
(๑) ก่อความเสียหายแก่ข้อมูลคอมพิวเตอร์
(๒) กระทบต่อความมั่นคงปลอดภัยของประเทศ/เศรษฐกิจ
วรรคท้าย เป็นเหตุให้ผู้อื่นถึงแก่ชีวิต
ไม่เกิน ๑๐ ปี
๓ ปี ถึง ๑๕ ปี
๑๐ ปี ถึง ๒๐ ปี
+ ไม่เกิน ๒๐๐,๐๐๐ บาท
๖๐,๐๐๐-๓๐๐,๐๐๐ บาท
ไม่มี
มาตรา ๑๓ การจ าหน่าย/เผยแพร่ชุดค าสั่ง ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท
มาตรา ๑๔ การเผยแพร่เน้ือหาอันไมเ่หมาะสม ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๕ ความรับผิดของ Tel Co, ISP,อ่ืนๆ Internet Access)
ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๖ การตัดตอ่ภาพผู้อ่ืน ถ้าสุจริต ไม่มีความผิด ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท
IC ICT PEOPLE EXCELLENCE
E-mail [email protected] Website: www.pttict.com/security ©2008 PTT ICT Solutions All Right Reserved.
Trusted Components
User must always beware, not careless
Make sure computer is safe, can trust to use
Connect via trust network
Access to trust services
Web Application Security Assessment
Web Application Hacking
Outer
Inner
DMZ Zone
Server farm ZoneSource: Whitehat Security
Ou
ter Firew
all
Hardened OS
Web Server
App Server
Inn
er Firew
all
Dat
abas
es
Lega
cy S
yste
ms
We
b S
erv
ice
s
Dir
ect
ori
es
Hu
man
Re
sou
rce
Bill
ingCustom Developed
Application Code
APPLICATIONATTACK
You can’t use network layer protection (Firewall, SSL, IDS, hardening)to stop or detect application layer attacks
Ne
two
rk L
aye
rA
pp
licat
ion
Lay
er Your security “perimeter” has huge
holes at the “Application layer”
Your “Code” is Part of Your Security Perimeter
Source: Whitehat Security
Source: WHID
Source: WHID
Source: WHID
Hacking Incidents (Defacement)
Source: Zone-h
Hacking Incidents (Defacement)
Source: Zone-h
31
Secure Application Development
Training on Secure Application Development Improve Application Development processWeb Application Security Assessment (Pre-Production) POC Web Application Firewall (For Production)
Microsoft Development framework
CSSLP* Training
CSSLP Certified
PTT ICT Application development standard
OWASP Top 10 2007
2550 2552…2549 2553
Secure SDLC Process Improvement
Security Documentsfor consideration
Application Security Roadmap
CSSLP* - Certified Secure Software Lifecycle Professional
OWASP Top 10 2010
Change management
POC Web App & DB Firewall
2555
CMMI
Yesterday Today Tomorrow
Centralize Document Management
Source: ISC2
Training on Secure Application Development(ISC)² CSSLP CBK Domains1. Secure Software Concepts2. Secure Software Requirements3. Secure Software Design4. Secure Software Implementation/Coding5. Secure Software Testing6. Software Acceptance7. Software Deployment, Operations,
Maintenance, and Disposal
35
Improve Application Development process
36Source: OWASP
Source: OWASP
Source: OWASP
Source: OWASP
Source: OWASP
1. Application Request Form
Gathering requirementDesign Phase,Development Phase,
UAT Phase, Security Assessment,Production
Functional test, Unit test, Integration test, Performance test
2. Security Checklist
3. Security Questionnaire
4. System diagram
45Web Application Risk Report Server Risk Report
Web Application Security Assessment (Pre-Production)
The OWASP Top 10 Risks Report
The OWASP Top 10 Risks Report
Audit Certification
Source: TISA
Source: TISA
Question & AnswerThank You
Surachai [email protected]