Your SlideShare is downloading. ×
0
IT Security
                Master Degree in IT Audit
The University of the Thai Chamber of Commerce (UTCC )
             ...
Speaker Profile



      , CSSLP, ECSA , LPT




                            2
Highlight Certificates


                                                                         2
Network Security Asses...
Agenda
• Updated new threat 2010

• Security Awareness (People factor)

• Secure SDLC (Technology & Process factor)

• Wha...
Source: ACIS & TISA
Key Principle
     3 Pillars of ICT             3 Pillars of Security
                                               Discl...
Enterprise Information Security Architecture
Security Awareness
 Executive Refresh                (Top management)
 IT Security Awareness            (End User)
 IT Security Policy Ori...
คุณเคย...หรือไม่
•   เขียน password ติดไว้ที่โต๊ะทางาน
•   ตั้ง password ง่ายๆ กลัวลืม
•   บอก password ของตนกับผู้อื่น
• ...
11
ICT Security Awareness Road Show 2008


  1. ปกป้องข้อมูลให้ปลอดภัย
  2. เปิดโล่งเชียว            7. ตกปลาด้วยเหยื่อ elect...
STRONG PASSWORD
           รูไหม? มีใครแอบเดา Password
             ้
                 ง่ายๆของ คุณอยู่?”




Facts:
•   U...
STRONG PASSWORD
Password Attacks
• Dictionary Attack (Use words in Dictionary)
    o Ant, cat, dog, frog, … , zoo
• Brute ...
Dictionary Attack for
                        guess simple password !!!




Game Password Checker
การตั้ง Password ที่ดีควรประกอบด้วย

• Lowercase Alphabet หรืออักษรภาษาอังกฤษตัวเล็ก
  เช่น a b c d
• Uppercase Alphabet ห...
เทคนิคการตั้ง Password (ตั้งให้ยากแต่จาให้ง่าย)
                                         อักษรเดิม อักษรแทน
1. Pass phrase...
Security Awareness Poster
ICT Security Awareness
       Road Show ‘08



Security Awareness VDO
Security Awareness >> ShowCase
พ.ร.บ. คอมพิวเตอร์ 2550
        ฐานความผิดและบทลงโทษที่เกี่ยวกับ User
                  ฐานความผิด                        ...
Trusted Components




                                                         Access to trust services

                ...
Web Application Security Assessment
Web Application Hacking

Outer

         DMZ Zone




Inner


 Server farm Zone
                    Source: Whitehat Secur...
Your “Code” is Part of Your
                                       Security Perimeter
                      APPLICATION   ...
Source: WHID
Source: WHID
Source: WHID
Hacking Incidents (Defacement)




                       Source: Zone-h
Hacking Incidents (Defacement)




                      Source: Zone-h
Secure Application Development
 Training on Secure Application Development
 Improve Application Development process
 We...
Application Security Roadmap
                      Yesterday                                                    Today     ...
Source: ISC2
Training on Secure Application Development
   (ISC)² CSSLP CBK Domains
   1. Secure Software Concepts
   2. Secure Softwar...
Improve Application Development process




                                          35
36
Source: OWASP
Source: OWASP
Source: OWASP
Source: OWASP
Source: OWASP
1. Application Request Form
                          Gathering
                          requirement
                    ...
2. Security Checklist
3. Security Questionnaire
4. System diagram
Web Application Security Assessment (Pre-Production)




Web Application Risk Report           Server Risk Report   45
The OWASP Top 10 Risks Report
The OWASP Top 10 Risks Report
Audit Certification
Source: TISA
Source: TISA
Question & Answer
   Thank You
     Surachai Chatchalermpun
      surachai.c@pttict.com
Upcoming SlideShare
Loading in...5
×

IT Security Risk [Guest Speaker It Audit Class@Utcc]

4,146

Published on

IT Security Risk
For education only.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,146
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
160
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "IT Security Risk [Guest Speaker It Audit Class@Utcc]"

  1. 1. IT Security Master Degree in IT Audit The University of the Thai Chamber of Commerce (UTCC ) 27-March-2010 Surachai Chatchalermpun
  2. 2. Speaker Profile , CSSLP, ECSA , LPT 2
  3. 3. Highlight Certificates 2 Network Security Assessment by ISC CPE KMUTT ECSA (EC-Council Certified Security Analyst) by EC-Council LPT (Licensed Penetration Tester) by EC-Council
  4. 4. Agenda • Updated new threat 2010 • Security Awareness (People factor) • Secure SDLC (Technology & Process factor) • What the methodology’s hacker? • Audit Certification
  5. 5. Source: ACIS & TISA
  6. 6. Key Principle 3 Pillars of ICT 3 Pillars of Security Disclosure People Confidentiality PPT CIA Process Technology Integrity Availability (Tool) Alteration Disruption 6
  7. 7. Enterprise Information Security Architecture
  8. 8. Security Awareness
  9. 9.  Executive Refresh (Top management)  IT Security Awareness (End User)  IT Security Policy Orientation (New Staff)  IT Security Training (IT Staff)  SCADA/DCS Security Awareness (Operation Staff) 9
  10. 10. คุณเคย...หรือไม่ • เขียน password ติดไว้ที่โต๊ะทางาน • ตั้ง password ง่ายๆ กลัวลืม • บอก password ของตนกับผู้อื่น • ให้ผู้อื่นยืมใช้เครื่องคอมพิวเตอร์และ Login ด้วย account ของท่าน • เปิดดูข้อมูลของผู้อื่นโดยไม่ได้รับอนุญาต • ไม่ล๊อคหน้าจอเมื่อไม่อยู่ที่โต๊ะ • ส่งต่อข้อมูลที่ไม่ได้มีการพิสูจน์ยืนยันข้อเท็จจริง • ส่งต่อภาพหรือคลิปลามก • เปิดไฟล์ใน e-mail จากคนไม่รู้จัก
  11. 11. 11
  12. 12. ICT Security Awareness Road Show 2008 1. ปกป้องข้อมูลให้ปลอดภัย 2. เปิดโล่งเชียว 7. ตกปลาด้วยเหยื่อ electronic share everyone Phishing 3. ลบแล้ว (จริงหรือ?) 8. ระวัง!อย่าให้ใครมาเสียบ Clip หลุด (USB) autorun recovery&erase 9. กดอะไรก็รู้นะ Keylogger 4. Hi5 (Social Network) 10.ทาอะไรก็เห็นนะ 5. Password สาคัญไฉน? remote trojan 6. ปกปิดหรือเปิดเผย http/https
  13. 13. STRONG PASSWORD รูไหม? มีใครแอบเดา Password ้ ง่ายๆของ คุณอยู่?” Facts: • User ส่วนใหญ่มักตั้ง Password ตามคาใน Dictionary • User ส่วนใหญ่มักตั้ง Password ด้วยอักษรตัวเล็กทั้งหมด • User ส่วนใหญ่มักไม่ค่อยเปลี่ยน Password • Password เหล่านี้มักตกเป็นเหยื่อรายแรกๆของผู้ไม่หวังดีเสมอ
  14. 14. STRONG PASSWORD Password Attacks • Dictionary Attack (Use words in Dictionary) o Ant, cat, dog, frog, … , zoo • Brute Force Attack (Use all possibilities) o 0001, 0002, 0003, …., 9999 Protections • ไม่ใช้ Password ที่คาดเดาได้ง่าย เช่น คาที่มีใน Dictionary • ใช้การผสมอักขระที่ซับซ้อน เช่น L0v3@1sts1ghT (Love at first sight) • เปลี่ยน Password อย่างสม่าเสมอเมื่อถึงเวลาที่เหมาะสม เช่น ทุกๆ 90 วัน
  15. 15. Dictionary Attack for guess simple password !!! Game Password Checker
  16. 16. การตั้ง Password ที่ดีควรประกอบด้วย • Lowercase Alphabet หรืออักษรภาษาอังกฤษตัวเล็ก เช่น a b c d • Uppercase Alphabet หรืออักษรภาษาอังกฤษตัวใหญ่ เช่น A B C D • Numeric หรือ ตัวเลข เช่น 1 2 3 4 • Special Character หรือ อักขระพิเศษ เช่น ! @ # $ % ^ & * ( ) _ +
  17. 17. เทคนิคการตั้ง Password (ตั้งให้ยากแต่จาให้ง่าย) อักษรเดิม อักษรแทน 1. Pass phrase เนื้อเพลงโปรด,ประโยคเด็ด A 4 หรือ @ IamSecurityOfficer2009 E 3 2. Replacement I 1 หรือ ! 1@m$3curity0ff1c3r2oo9 O 0 3. กด Shift ค้างไว้ S $ IAMSECURITYOFFICER@))( And & 4. ดูแป้นไทย for 4 (four) เรานะเด็กโง่จุ๊บส์ๆ -> iydotgfHdF’j06U[lNq
  18. 18. Security Awareness Poster
  19. 19. ICT Security Awareness Road Show ‘08 Security Awareness VDO
  20. 20. Security Awareness >> ShowCase
  21. 21. พ.ร.บ. คอมพิวเตอร์ 2550 ฐานความผิดและบทลงโทษที่เกี่ยวกับ User ฐานความผิด โทษจาคุก โทษปรับ มาตรา ๕ เข้าถึงคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๖ เดือน ไม่เกิน ๑๐,๐๐๐ บาท มาตรา ๖ ล่วงรู้มาตรการป้องกัน ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๒ ปี ไม่เกิน ๔๐,๐๐๐ บาท มาตรา ๘ การดักข้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท มาตรา ๑๑ สแปมเมล์ ไม่มี ไม่เกิน ๑๐๐,๐๐๐ บาท มาตรา ๑๒ การกระทาต่อความมั่นคง (๑) ก่อความเสียหายแก่ข้อมูลคอมพิวเตอร์ ไม่เกิน ๑๐ ปี + ไม่เกิน ๒๐๐,๐๐๐ บาท (๒) กระทบต่อความมั่นคงปลอดภัยของประเทศ/ ๓ ปี ถึง ๑๕ ปี ๖๐,๐๐๐-๓๐๐,๐๐๐ บาท เศรษฐกิจ ๑๐ ปี ถึง ๒๐ ปี ไม่มี วรรคท้าย เป็นเหตุให้ผู้อื่นถึงแก่ชีวิต มาตรา ๑๓ การจาหน่าย/เผยแพร่ชุดคาสั่ง ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท มาตรา ๑๔ การเผยแพร่เนื้อหาอันไม่เหมาะสม ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท มาตรา ๑๕ ความรับผิดของ Tel Co, ISP,อื่นๆ Internet ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท Access) มาตรา ๑๖ การตัดต่อภาพผู้อื่น ถ้าสุจริต ไม่มีความผิด ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท
  22. 22. Trusted Components Access to trust services Connect via trust network Make sure computer is safe, can trust to use User must always beware, not careless E-mail security@pttict.com Website: www.pttict.com/security ©2008 PTT ICT Solutions All Right Reserved. IC ICT PEOPLE EXCELLENCE
  23. 23. Web Application Security Assessment
  24. 24. Web Application Hacking Outer DMZ Zone Inner Server farm Zone Source: Whitehat Security
  25. 25. Your “Code” is Part of Your Security Perimeter APPLICATION Your security “perimeter” has huge Application Layer ATTACK holes at the “Application layer” Legacy Systems Web Services Human Resource Directories Databases Custom Developed Billing Application Code App Server Network Layer Web Server Hardened OS Inner Firewall Outer Firewall You can’t use network layer protection (Firewall, SSL, IDS, hardening) to stop or detect application layer attacks Source: Whitehat Security
  26. 26. Source: WHID
  27. 27. Source: WHID
  28. 28. Source: WHID
  29. 29. Hacking Incidents (Defacement) Source: Zone-h
  30. 30. Hacking Incidents (Defacement) Source: Zone-h
  31. 31. Secure Application Development  Training on Secure Application Development  Improve Application Development process  Web Application Security Assessment (Pre-Production)  POC Web Application Firewall (For Production) 31
  32. 32. Application Security Roadmap Yesterday Today Tomorrow CSSLP* CMMI Training OWASP Top 10 2010 CSSLP Certified Change management Secure SDLC Process Improvement Centralize Document Management OWASP Top 10 2007 Security Documents for consideration POC Web App Microsoft PTT ICT Development Application & DB Firewall framework development standard …2549 2550 2552 2553 2555 CSSLP* - Certified Secure Software Lifecycle Professional
  33. 33. Source: ISC2
  34. 34. Training on Secure Application Development (ISC)² CSSLP CBK Domains 1. Secure Software Concepts 2. Secure Software Requirements 3. Secure Software Design 4. Secure Software Implementation/Coding 5. Secure Software Testing 6. Software Acceptance 7. Software Deployment, Operations, Maintenance, and Disposal
  35. 35. Improve Application Development process 35
  36. 36. 36 Source: OWASP
  37. 37. Source: OWASP
  38. 38. Source: OWASP
  39. 39. Source: OWASP
  40. 40. Source: OWASP
  41. 41. 1. Application Request Form Gathering requirement Design Phase, Development Phase, Functional test, Unit test, Integration test, Performance test UAT Phase, Security Assessment, Production
  42. 42. 2. Security Checklist
  43. 43. 3. Security Questionnaire
  44. 44. 4. System diagram
  45. 45. Web Application Security Assessment (Pre-Production) Web Application Risk Report Server Risk Report 45
  46. 46. The OWASP Top 10 Risks Report
  47. 47. The OWASP Top 10 Risks Report
  48. 48. Audit Certification
  49. 49. Source: TISA
  50. 50. Source: TISA
  51. 51. Question & Answer Thank You Surachai Chatchalermpun surachai.c@pttict.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×