ความเสี่ยงที่มากับเทคโนโลยีอบติใหม่                                           ุ ั            (EMERGING TECHNOLOGY)        ...
ประวัตวทยากร      ิิ
CERTIFICATES1. ISC2: CISSP (Certified Information Systems Security Professional )     เป็ นคุณสมบัตของผูเ้ ชี่ยวชาญในการบร...
AGENDA 1) Where Risk comes from? 2) Relationship of Risk (Threats and Vulnerabilities) 3) March 2012 Cyber Attacks Statist...
CASE STUDY FOR LESSON LEARNED1. Mobile risk   (ความเสียงจากการใช้อุปกรณ์พกพา)           ่2. Social network risk   (ความเสี...
WHERE RISK COMES FROM?                                                                 Asset = ทรัพย์ สิน                 ...
RISK RELATIONSHIPhttp://blog.patriot-tech.com/blog/bid/51353/An-Introduction-to-IT-Risk-Management
THE RELATIONSHIPS AMONG THE        DIFFERENT SECURITY COMPONENTS                                                          ...
แผนภูมิความเสี่ยง (RISK MAP)
การเปลียนแปลงรู ปแบบการกระทาความผิด             ่                 อาชญากรรม                                               ...
RELATIONSHIP OF THREATS AND                  VULNERABILITIESBook: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan....
MARCH 2012 CYBER ATTACKS TIMELINEhttp://paulsparrows.files.wordpress.com/2012/03/march-2012-cyber-attacks-timeline-part-i....
http://i.techrepublic.com.com/blogs/gartner-2012-top-10-tech.jpg
SECURITY VENDOR INFLUENCER                        PREDICTIONhttp://paulsparrows.files.wordpress.com/2011/05/2011-security-...
www.paulsparrows.files.wordpress.com
What is APT?• Advanced   • All possible available techniques (or new)   • Coordinated   • Both well-know and UKNOWN (0-day...
APT is used for …• Political objectives that include continuing to suppress    its own population in the name of "stabilit...
Some Characteristic of APT    • Named in 2008 by US Air Force    • As security jargon when Google      describe the attack...
Some Characteristic of APT• Phases of the operation        • Target selection        • Vulnerability identification       ...
Spear-Phishing                                                                       การเลือกเหยื่อแบบ “เฉพาะเจาะจง”      ...
VDO Security Awareness                                                                                                ทายซ...
Security Awareness >> Show Case                                                                Can you trust this file?   ...
Trojan Horse             ่             ิ่ ่ความอันตรายทีแฝงเข ้ามากับสงทีเหมือนจะไม่มอะไร                                 ...
©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document be...
ตัวอย่าง การหลอกล่อเหยื่อให้ตกใจ!!!     แล้วให้ตดกับดัก ด้วยการเสนอวิธีช่วยเหลือ โดยการให้ลงโปรแกรม AV โจร             ิ  ...
STUXNET    • Discovered late June 2010    • A computer worm that infects Windows computers    • It primarily spreads via U...
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
WHO ADDRESS THE EMERGING THREAT?http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
HOW WE DETECT/CORECT/PREVENT THESE THREATS?     http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011....
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
CASE STUDY FOR LESSON LEARNED1. Mobile risk   (ความเสียงจากการใช้อุปกรณ์พกพา)           ่2. Social network risk   (ความเสี...
MOBILE RISK                              (ความเสียงจากการใช้อุปกรณ์พกพา)                                      ่           ...
[ยิ่งทันสมัย ยิ่งมีภย(ตามติดเป็ นเงา)]                                   ั                                            แล้ว...
©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document be...
ใครลง Antivirus                                                                                             ที่มือถือบ้าง…...
ระวังถูกล้วงความลับและดักฟังโทรศัพท์มือถือด้วย SPY PHONE                                                   ©2012 All right...
ภัยคุกคามต่อความเป็ นส่วนตัว !!!                                                  โดยทีคุณไม่รูตัว…                       ...
HOW TO SURVIVE• Raise security awareness• Always lock your mobile’s screen with PinCode• Install mobile’s antivirus• Don’t...
SOCIAL NETWORK RISK                        (ความเสียงจากการใช้เครือข่ายสังคมออนไลน์)                                ่ •   ...
©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document be...
Social Network คืออะไร   เป็ น Social Media ชนิดหนึ่ง ที่ทำให้เกิดกำรเชื่อมต่อกัน    ของบุคคลเข้ำเป็ นสังคมอย่ำงกว้ำงขวำง...
ประเด็นน่ าสนใจ                                Impersonation (กำรแอบอ้ำงสวมรอยบุคคล)                                 จะทำ...
Social Networking Risk                                   Social Networking                                                ...
Web 1.0 vs. Web 2.0©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part ...
VDO Security Awareness©2012 All rights reserved                                                                           ...
หาก สาว? คนนี!!! มาขอคุณเป็ นเพือนใน Facebook จะทาอย่ างไร?                                     ้                  ่      ...
Reconnaissance personal information                                                                                       ...
การค้ นหาข้ อมูลส่ วนบุคคล(อืน) ด้วยอำวุธทำง Cyber                                                                    ่©20...
ตัวอย่ าง การหลอกเหยือให้ บอก Password                                                  ่                                 ...
เสร็จโจร  http://www.soccersuck.com/soccer/viewtopic.php?t=419484©2012 All rights reservedFor education purpose only. Shal...
©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document be...
©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document be...
Important Trick for Account Recovery                                                                                      ...
คาแนะนาเพือการป้ องกัน                                                                                         ่          ...
Security Awareness Poster©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any...
บทสรุป             •                   Social Network มีท้ งประโยชน์ และโทษ                                               ...
WEB APPLICATION RISK            (ความเสียงของเว็บไซต์ ทีอาจจะพัฒนาอย่างไม่มนคงปลอดภัย)                    ่               ...
WEB APPLICATION HACKING              Outer                             DMZ Zone               Inner                 Server...
Your “Code” is Part of Your Security Perimeter                                   APPLICATION                    Your secur...
THE WEB APPLICATION SECURITY RISK   • Web Applications are vulnerable:      • exposing its own vulnerabilities.      • Cha...
THREAT IS DIFFICULT TO ASSESS  • Web Attacks are    Stealth:     • Victims hide breaches.     • Incidents are not       de...
Source: Web Hacking Incidents Database
Source: Web Hacking Incidents Database
AVAILABLE ONLINE SOURCES• Zone-H (The Hacker Community) • http://www.zone-h.org • The most comprehensive attack repository...
Hacking Incidents (Defacement)
Hacking Incidents (Defacement)
Hacking Incidents (Defacement)
SDLC & OWASP GUIDELINESSource: OWASP
8) HOW CAN WE DETECT/CORECT/PREVENT                         THESE THREATS?http://www.isaca.org.uk/northern/Docs/ISF%20TH_2...
9) WHAT IS THE GOOD/BEST SOLUTIONS                         for Managing the Risks?http://www.isaca.org.uk/northern/Docs/IS...
สรุป สาหรับผู้ตรวจสอบ (AUDITOR)AUDIT PRINCIPLE : 3 E1       Exist (มีอยู่แล้วหรือยัง?)    2     Execute (ได้ใช้อยู่หรือเปล...
Policy, Standard, Procedure & Work Instruction                                              นโยบายด้านความปลอดภัยสารสนเทศ ...
Information Security Policy and Policy Hierarchy                                               Ref: ISO/IEC 27003:2010 (IS...
สรุป สาหรับผู้ตรวจสอบ (AUDITOR)                            1. Policy (นโยบาย):                               สารวจว่าในองค...
You Need …• Vision• Knowledge• Policy• Strategy                    It’s not just how to secure it.• Technology            ...
Next step : Solutions• Vision     Top management support• Policy      นโยบายการใช้ งานสมาร์ ทโฟนและแท็บเล็ทในองค์กร• Strat...
สิ่งทีต้องคำนึงถึงในกำรกำกับดูแล                        ่ให้ เชื่อมต่อหรื อไม่ให้ เชื่อมต่อ    อุปกรณ์ที่จะเชื่อมต่อนัน อง...
สิ่งทีต้องคำนึงถึงในกำรกำกับดูแล                       ่อาจมีการจัดระดับการใช้ งานตามความสามารถในการกากับบดูแล เช่น      ร...
Credited by : TISA
แจก ตัวอย่างนโยบาย1. นโยบายการใช้เครือข่ายสังคมออนไลน์2. นโยบายว่าด้วยการรักษาความมันคงปลอดภัยสาหรับอุปกรณ์พกพา           ...
A COMPLETE SECURITY PROGRAM              CONTAINS MANY ITEMS                                                              ...
BLUEPRINTS MUST MAP THE SECURITY        AND BUSINESS REQUIREMENTS.Book: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Editio...
A COMPREHENSIVE AND EFFECTIVE SECURITY             MODEL HAS MANY INTEGRATED PIECES.Book: McGraw.Hill.CISSP.All-in-One.Exa...
Trusted Components                                                                  เข้าสูบริการที่น่าเชื่อถือและไว้ใจได้ ...
Contact Me                                        หากมีข้อสงสัยหรื อคาถามเพิ่มเติมติดต่ อได้ ที่ :                        ...
TH@NK Y0U                                                   ©2012 All rights reservedFor education purpose only. Shall not...
Emerging threat
Upcoming SlideShare
Loading in …5
×

Emerging threat

1,112 views

Published on

ได้รับเชิญจาก เนคเทค (NSTDA Academy)
ในฐานะ "อนุกรรมการ สมาคมความมั่นคงปลอดภัยสารสนเทศ TISA"
ไปบรรยาย เรื่อง "ความเสี่ยงที่มากับเทคโนโลยีอุบัติหม่ (Emerging Technology)ศึกษาถึงความเสี่ยงที่จะแฝงตัวมาพร้อมกับเทคโนโลยีอุบัติใหม่"
http://www.nstdaacademy.com/itaudit2012/

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,112
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
48
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Emerging threat

  1. 1. ความเสี่ยงที่มากับเทคโนโลยีอบติใหม่ ุ ั (EMERGING TECHNOLOGY) SURACHAI CHATCHALERMPUN CISA, CISSP, CSSLP, SSCP, CEH, ECSA/LPT, IRCA:ISMS(ISO27001) SUB-COMMITTEE OF TISA & SECRETARIAT OF OWASP, CSA THAILAND CHAPTER ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  2. 2. ประวัตวทยากร ิิ
  3. 3. CERTIFICATES1. ISC2: CISSP (Certified Information Systems Security Professional ) เป็ นคุณสมบัตของผูเ้ ชี่ยวชาญในการบริหารจัดการความมันคงปลอดภัยระบบสารสนเทศ ิ ่2. ISC2: CSSLP (Certified Secure Software Lifecycle Professional) เป็ นคุณสมบัตของผูทสามารถตรวจรับรองคุณภาพความมันคงปลอดภัยวงจรการพัฒนาซอฟท์แวร์ ิ ้ ่ี ่3. ISC2: SSCP (Systems Security Certified Practitioner) เป็ นคุณสมบัตของผูเ้ ชี่ยวชาญความมันคงปลอดภัยด้านเทคนิค ิ ่4. EC-Council: CEH (Certified Ethical Hacker) เป็ นคุณสมบัตของผูเ้ ชี่ยวชาญการเป็ น Hacker อย่างมีจริยธรรม ิ5. EC-Council: ECSA (EC-Council Certified Security Analyst) เป็ นคุณสมบัตของผูเ้ ชี่ยวชาญความมันคงปลอดภัยในการวิเคราะห์ ิ ่6. EC-Council: LPT (Licensed Penetration Tester) เป็ นคุณสมบัตของผูเ้ ชี่ยวชาญการเจาะระบบ ิ7. IRCA: ISMS (Information Security Management System) เป็ นคุณสมบัตของ Auditor ของ Project ISO27001 ได้ ิ8. ISACA: CISA (Certified Information Systems Auditor) เป็ นคุณสมบัตของ Auditor ของระบบสารสนเทศ ิ
  4. 4. AGENDA 1) Where Risk comes from? 2) Relationship of Risk (Threats and Vulnerabilities) 3) March 2012 Cyber Attacks Statistic Timeline (Happened!!!) 4) How Do Technology Trends Impact the Human, Business and IT Experiences? (By Gartner Trend 2012) 5) Security Vendor Influencer Prediction 6) ISF Threat Horizon Prediction? 7) CASE STUDY FOR LESSON LEARNED 8) HOW CAN WE DETECT/CORECT/PREVENT THESE THREATS? 9) WHAT IS THE GOOD/BEST SOLUTIONS for Managing this Risks? 10) สรุปสิงที่ผูตรวจสอบควรทา และ แจกตัวอย่างนโยบาย ่ ้ ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  5. 5. CASE STUDY FOR LESSON LEARNED1. Mobile risk (ความเสียงจากการใช้อุปกรณ์พกพา) ่2. Social network risk (ความเสียงจากการใช้เครือข่ายสังคมออนไลน์) ่3. Web application risk (ความเสียงของเว็บไซต์ ที่อาจจะพัฒนาอย่างไม่มนคงปลอดภัย) ่ ่ั
  6. 6. WHERE RISK COMES FROM? Asset = ทรัพย์ สิน Threat = ภัยคุกคาม Vulnerability = ช่องโหว่ Risk = ความเสียง ่ R=A*T*Vhttp://tungsteninvestingnews.com/2061-bgs-risk-list-why-tungsten-is-on-it.html
  7. 7. RISK RELATIONSHIPhttp://blog.patriot-tech.com/blog/bid/51353/An-Introduction-to-IT-Risk-Management
  8. 8. THE RELATIONSHIPS AMONG THE DIFFERENT SECURITY COMPONENTS Impact = ผลกระทบ Likelihood = โอกาสที่จะเกิด Risk = ความเสียง ่ R=I*LBook: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010
  9. 9. แผนภูมิความเสี่ยง (RISK MAP)
  10. 10. การเปลียนแปลงรู ปแบบการกระทาความผิด ่ อาชญากรรม อาชญากรรมทางคอมพิวเตอร์ ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  11. 11. RELATIONSHIP OF THREATS AND VULNERABILITIESBook: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010
  12. 12. MARCH 2012 CYBER ATTACKS TIMELINEhttp://paulsparrows.files.wordpress.com/2012/03/march-2012-cyber-attacks-timeline-part-i.png?w=595&h=4338
  13. 13. http://i.techrepublic.com.com/blogs/gartner-2012-top-10-tech.jpg
  14. 14. SECURITY VENDOR INFLUENCER PREDICTIONhttp://paulsparrows.files.wordpress.com/2011/05/2011-security-vendor-predictions.png
  15. 15. www.paulsparrows.files.wordpress.com
  16. 16. What is APT?• Advanced • All possible available techniques (or new) • Coordinated • Both well-know and UKNOWN (0-day) vulnerabilities • Multiple phases• Persistent • Here to stay • Not by accident (targeted) • Specific mission • Polymorphic (for signature-base evasion) • Dormant(able)• Threat • Organized and funded and motivated • dedicated "crews" with various missions • Highly sophisticated • State-sponsored • Targeted • Cyberwarfare • Steal Information http://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
  17. 17. APT is used for …• Political objectives that include continuing to suppress its own population in the name of "stability.“• Economic objectives that rely on stealing intellectual property from victims. Such IP can be cloned and sold, studied and underbid in competitive dealings, or fused with local research to produce new products and services more cheaply than the victims.• Technical objectives that further their ability to accomplish their mission. These include gaining access to source code for further exploit development, or learning how defenses work in order to better evade or disrupt them. Most worringly is the thought that intruders could make changes to improve their position and weaken the victim.• Military objectives that include identifying weaknesses that allow inferior military forces to defeat superior military forces. The Report on Chinese Government Sponsored Cyber Activities addresses issues like these.http://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
  18. 18. Some Characteristic of APT • Named in 2008 by US Air Force • As security jargon when Google describe the attack on 2009 • Advanced • Coordinated • Multi-phases • High expertise/knowledge/skill in each phase unlikely to be in one single individual • Highly crafted for specific target organization or individual • Period of operation in weeks, months or years • Not easy to detecthttp://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
  19. 19. Some Characteristic of APT• Phases of the operation • Target selection • Vulnerability identification • Domain contamination • Information ex-filtration • Intelligence analysis • Exploitationhttp://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
  20. 20. Spear-Phishing การเลือกเหยื่อแบบ “เฉพาะเจาะจง” ผูบริหารระดับสูง ้ ผูดูแลระบบ (Admin) ้ เลขาhttp://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
  21. 21. VDO Security Awareness ทายซิว่า เกิดอะไรขึ้น !!! บนหน้าจอคอมฯ ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  22. 22. Security Awareness >> Show Case Can you trust this file? Click or Not ? ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  23. 23. Trojan Horse ่ ิ่ ่ความอันตรายทีแฝงเข ้ามากับสงทีเหมือนจะไม่มอะไร ี ©2012 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  24. 24. ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  25. 25. ตัวอย่าง การหลอกล่อเหยื่อให้ตกใจ!!! แล้วให้ตดกับดัก ด้วยการเสนอวิธีช่วยเหลือ โดยการให้ลงโปรแกรม AV โจร ิ ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  26. 26. STUXNET • Discovered late June 2010 • A computer worm that infects Windows computers • It primarily spreads via USB sticks, which allows it to get into computers and networks not normally connected to the Internet • Use both known and patched vulnerabilities, and four "zero-day exploits” • Target Siemens PLC • Reads and changes particular bits of data in the PLCs • It’s claimed to target Iranian powerplanthttp://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
  27. 27. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  28. 28. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  29. 29. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  30. 30. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  31. 31. WHO ADDRESS THE EMERGING THREAT?http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  32. 32. HOW WE DETECT/CORECT/PREVENT THESE THREATS? http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  33. 33. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  34. 34. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  35. 35. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  36. 36. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  37. 37. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  38. 38. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  39. 39. CASE STUDY FOR LESSON LEARNED1. Mobile risk (ความเสียงจากการใช้อุปกรณ์พกพา) ่2. Social network risk (ความเสียงจากการใช้เครือข่ายสังคมออนไลน์) ่3. Web application risk (ความเสียงของเว็บไซต์ ที่อาจจะพัฒนาอย่างไม่มนคงปลอดภัย) ่ ่ั
  40. 40. MOBILE RISK (ความเสียงจากการใช้อุปกรณ์พกพา) ่ [ยิ่งทันสมัย ยิ่งมีภย(ตามติดเป็ นเงา)] ั โรงแรม(ในกรุงเทพ) ทีสง่ั ทุกอย่างได้ดวยปลายนิ้ว ไฮเทคมากๆเลย ่ ้ ทุกอย่างสัง่ งานผ่านทางมือถือ Andriod ด้วยเทคโนโลยี NFC และ Wifi (+3G) และเป็ นเสมือน key card เข้าห้อง หากมือถือนี้หาย จะเกิดอะไรขึ้น? ถ้าถูกขโมย หรือ ถ้าถูก hack? ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  41. 41. [ยิ่งทันสมัย ยิ่งมีภย(ตามติดเป็ นเงา)] ั แล้วถ้าแบตหมดหล่ะ? แต่ขอดีคอ ถ้าลืม ก็โทรเข้าได้ ยังดีทหาเจอ ^^ ้ ื ่ี ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  42. 42. ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  43. 43. ใครลง Antivirus ที่มือถือบ้าง…? ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  44. 44. ระวังถูกล้วงความลับและดักฟังโทรศัพท์มือถือด้วย SPY PHONE ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  45. 45. ภัยคุกคามต่อความเป็ นส่วนตัว !!! โดยทีคุณไม่รูตัว… ่ ้• Can read SMS…• Can read & send e-mail…• Can see Call logs• Can see & stolen your data in Phone or SD Card• Can record & download your voice …• Can see your WebCam…• Can know Location where you are… ©2012 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  46. 46. HOW TO SURVIVE• Raise security awareness• Always lock your mobile’s screen with PinCode• Install mobile’s antivirus• Don’t use free Wi-fi, if you not sure it is can trust• Always check your list of Application• Change default password of web server ©2012 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  47. 47. SOCIAL NETWORK RISK (ความเสียงจากการใช้เครือข่ายสังคมออนไลน์) ่ • ไปดู VDO กัน!!! “A LIFE ON FACEBOOK” (Diary online) ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  48. 48. ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  49. 49. Social Network คืออะไร  เป็ น Social Media ชนิดหนึ่ง ที่ทำให้เกิดกำรเชื่อมต่อกัน ของบุคคลเข้ำเป็ นสังคมอย่ำงกว้ำงขวำง  Social Media คือ สื่ อทำงเลือกใหม่ที่เกิดขึ้น ทำให้ บุคคลสำมำรถเผยแพร่ หรื อนำเสนอข้อมูลข่ำวสำรต่อ สังคม ในวงกว้ำง©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  50. 50. ประเด็นน่ าสนใจ  Impersonation (กำรแอบอ้ำงสวมรอยบุคคล) จะทำอย่ำงไรหำกคุณหรื อหน่วยงำนถูกสวมรอย  Privacy (ข้อมูลส่ วนบุคคล) ่ ใส่ ขอมูลมำกมำย แล้วควำมเป็ นส่ วนตัวอยูที่ไหน ้  Intelligent Internet Data Mining (ระบบสื บค้นข้อมูลอัจฉริ ยะ) ค้นหำข้อมูลบุคคลจำกเครื อข่ำยสังคมออนไลน์  Marketing tool or Brand destruction (เครื่ องมือทำงกำรตลำดหรื อช่องทำงทำลำย ภำพลักษณ์) กำรส่ งข่ำวสำรถึงประชำชนได้เร็ วย่อมดี แต่หำกมีผไม่ประสงค์ดี ส่ งข้อมูลผิดๆ ู้ ให้ประชำชน ภำครัฐจะทำอย่ำงไร  Social Network and Information Warfare (เครื อข่ำยสังคมกับสงครำมข้อมูลข่ำวสำร)©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  51. 51. Social Networking Risk Social Networking ความเสี่ ยง  Hi5  เปิ ดเผยข้อมูลส่ วนตัวมำกเกินไป  MySpaces  อำจเป็ นข้อมูลเท็จ  Facebook  ถูกทำ Social Engineer จำก  Tagged ข้อมูลที่เปิ ดเผย  Linkedin  ติดไวรัส หรื อ Malware  Twitter  ติดกับดัก Phishing©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  52. 52. Web 1.0 vs. Web 2.0©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  53. 53. VDO Security Awareness©2012 All rights reserved 54For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  54. 54. หาก สาว? คนนี!!! มาขอคุณเป็ นเพือนใน Facebook จะทาอย่ างไร? ้ ่ ่ ภำพหรื อข้อมูลที่อยูภำยในนี้ ใช้เพื่อกำรศึกษำเท่ำนั้นและเป็ นอุทำหรณ์สอนใจอันเป็ นประโยชน์แก่คนส่วนรวม มิได้มีวตถุประสงค์ล่วงเกินท่ำนแต่อย่ำงใด หำกเห็นว่ำไม่เหมำะสม รบกวนแจ้งกลับเพื่อนำออก ั©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. 55
  55. 55. Reconnaissance personal information 56©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  56. 56. การค้ นหาข้ อมูลส่ วนบุคคล(อืน) ด้วยอำวุธทำง Cyber ่©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  57. 57. ตัวอย่ าง การหลอกเหยือให้ บอก Password ่ (Social Engineering)©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  58. 58. เสร็จโจร http://www.soccersuck.com/soccer/viewtopic.php?t=419484©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  59. 59. ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  60. 60. ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  61. 61. Important Trick for Account Recovery Email x Password x Email y Password y Email n Email x Password n Password z ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  62. 62. คาแนะนาเพือการป้ องกัน ่ • ไม่หลงเชื่อข้อมูลต่ำงๆ โดยง่ำย • ไม่เปิ ดเผยข้อมูลส่ วนตัวมำกเกินไป • ไม่ Click หรื อ Download โดยไม่ระมัดระวัง • Update News • Update latest Patch • Update latest Anti-Virus/Anti-Malware • เตรี ยมแผนรองรับเมื่อ Account ถูกขโมย ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  63. 63. Security Awareness Poster©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  64. 64. บทสรุป • Social Network มีท้ งประโยชน์ และโทษ ั • มีมิจฉำชีพและภัยมำกมำยที่อำศัยช่องทำงนี้ • ต้องใช้อย่ำงมีสติ รู ้เท่ำทัน และระมัดระวัง©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  65. 65. WEB APPLICATION RISK (ความเสียงของเว็บไซต์ ทีอาจจะพัฒนาอย่างไม่มนคงปลอดภัย) ่ ่ ั่ • Easiest way to compromise hosts, networks and users. • Widely deployed. • No Logs! (POST Request payload) • Incredibly hard to defend against or detect. • Most don’t think of locking down web applications. • Intrusion detection is a joke. • Firewall? What firewall? I don’t see no firewall… • SSL Encrypted transport layer does nothing.Source: White Hat Security
  66. 66. WEB APPLICATION HACKING Outer DMZ Zone Inner Server farm ZoneSource: White Hat Security
  67. 67. Your “Code” is Part of Your Security Perimeter APPLICATION Your security “perimeter” has huge Network Layer Application Layer ATTACK holes at the “Application layer” Legacy Systems Human Resource Web Services Databases Directories Custom Developed Billing Application Code App Server Web Server Hardened OS Inner Firewall Outer Firewall You can’t use network layer protection (Firewall, SSL, IDS, hardening) to stop or detect application layer attacksSource: White Hat Security
  68. 68. THE WEB APPLICATION SECURITY RISK • Web Applications are vulnerable: • exposing its own vulnerabilities. • Change frequently, requiring constant tuning of application security. • Complex and feature rich with the advent of AJAX, Web Services and Web 2.0. (and Social Network) • Web Applications are threatened: • New business models drive “for profit” hacking. • Performed by Black hat professionals enabling complex attacks. • Potential impact may be severe: • Web applications are used for sensitive information and important transactions.Source: White Hat Security
  69. 69. THREAT IS DIFFICULT TO ASSESS • Web Attacks are Stealth: • Victims hide breaches. • Incidents are not detected. • Statistics are Skewed: • Number of incident reported is statistically insignificant.Source: Breach Security
  70. 70. Source: Web Hacking Incidents Database
  71. 71. Source: Web Hacking Incidents Database
  72. 72. AVAILABLE ONLINE SOURCES• Zone-H (The Hacker Community) • http://www.zone-h.org • The most comprehensive attack repository, very important for public awareness. • Reported by hackers and focus on defacements.• WASC Statistics Project • http://www.webappsec.org• OWASP top 10 • http://www.owasp.org
  73. 73. Hacking Incidents (Defacement)
  74. 74. Hacking Incidents (Defacement)
  75. 75. Hacking Incidents (Defacement)
  76. 76. SDLC & OWASP GUIDELINESSource: OWASP
  77. 77. 8) HOW CAN WE DETECT/CORECT/PREVENT THESE THREATS?http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  78. 78. 9) WHAT IS THE GOOD/BEST SOLUTIONS for Managing the Risks?http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
  79. 79. สรุป สาหรับผู้ตรวจสอบ (AUDITOR)AUDIT PRINCIPLE : 3 E1 Exist (มีอยู่แล้วหรือยัง?) 2 Execute (ได้ใช้อยู่หรือเปล่า?)3 Effective (ได้ผลมัย?) ้
  80. 80. Policy, Standard, Procedure & Work Instruction นโยบายด้านความปลอดภัยสารสนเทศ Policy ระดับ high level และ ระดับ practical level Standard มาตรฐานที่เป็ นข้อกาหนดด้านความปลอดภัย สารสนเทศ Procedure or SOP (Standard Operating Procedure) อธิบายขั้นตอนการปฏิบติงาน (Process) ั WI (Work Instruction), วิธีการทางานแบบรายละเอียด, แบบฟอร์ม Form, Supporting Document ที่เกี่ยวข้อง , หรื อ เอกสาร support “Procedure” ชนิดอื่นๆCredited by : TISA
  81. 81. Information Security Policy and Policy Hierarchy Ref: ISO/IEC 27003:2010 (ISMS implementation guidance) ISMS Policy Social Network Mobile Device Other Specific Security Security Policy Policy Policy Social Network Mobile Device Other Acceptable Use Acceptable Use Acceptable Use Policy Policy PolicyCredited by : TISA 82
  82. 82. สรุป สาหรับผู้ตรวจสอบ (AUDITOR) 1. Policy (นโยบาย): สารวจว่าในองค์กร/บริษท ของท่านมี ครอบคลุมทุกเรื่องความเสียง* แล้วหรือยัง? ั ่ (จาเป็ นต ้องมี และ ต ้องทาตาม) 2. Standard (มาตรฐาน): สารวจว่าในองค์กร/บริษท ของท่าน มีเฉพาะแต่ละเรื่อง แล้วหรือยัง? ั (จาเป็ นต ้องมี และ ต ้องทาตาม) 3. Procedure (ขนตอนการปฏิบ ัติงาน): ั้ สารวจว่าในองค์กร/บริษท ของท่าน มีเฉพาะแต่ละเรื่อง แล้วหรือยัง? ั (ควรมี และ ต ้องทาตาม) 4. Guideline (ข้อควรปฏิบ ัติ): สารวจว่าในองค์กร/บริษท ของท่าน มีเฉพาะแต่ละเรื่อง แล้วหรือยัง? ั (ควรมี และ ควรทาตาม) ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  83. 83. You Need …• Vision• Knowledge• Policy• Strategy It’s not just how to secure it.• Technology It’s how to unleash the power of mobility securely. Credited by : TISA
  84. 84. Next step : Solutions• Vision Top management support• Policy นโยบายการใช้ งานสมาร์ ทโฟนและแท็บเล็ทในองค์กร• Strategy เครื่ องของพนักงาน(ส่วนตัว)ทุกเครื่ องที่เกี่ยวกับงาน/ธุรกิจ ควรได้ รับการควบคุม/บริหารจัดการ โดย Policy ขององค์กร• Knowledge Annually Security awareness training• Technology Credited by : TISA
  85. 85. สิ่งทีต้องคำนึงถึงในกำรกำกับดูแล ่ให้ เชื่อมต่อหรื อไม่ให้ เชื่อมต่อ อุปกรณ์ที่จะเชื่อมต่อนัน องค์กรต้ องสามารถควบคุมและกากับการใช้ งานได้ ้ โดยไม่ละเมิดความเป็ นส่วนตัว ถ้ าไม่สามารถควบคุมหรื อกากับดูแลได้ ไม่ควรให้ เชื่อมต่อให้ ใช้ เครื่ องส่วนตัวเชื่อมต่อ หรื อต้ องใช้ เครื่ องที่องค์กรจัดหาให้ เท่านัน ้ให้ เข้ าถึงระบบงานหรื อจัดเก็บข้ อมูลประเภทใดได้ บ้างให้ เข้ าถึงระบบได้ ในช่วงเวลาใดบ้ างให้ เข้ าถึงระบบได้ จากที่ใดบ้ าง Credited by : TISA
  86. 86. สิ่งทีต้องคำนึงถึงในกำรกำกับดูแล ่อาจมีการจัดระดับการใช้ งานตามความสามารถในการกากับบดูแล เช่น ระดับ มาตรการ ระบบงานที่อนุญาต การควบคุม 0 ไม่มีการควบคุม + Not allowed 1 Antivirus + Guest WiFi + Internet Browsing 2 (1) + Anti-theft + Intranet + Corporate Email + VPN 3 (2) + Policy Enforcer + Business critical (Encryption, Password Protection) systemCredited by : TISA
  87. 87. Credited by : TISA
  88. 88. แจก ตัวอย่างนโยบาย1. นโยบายการใช้เครือข่ายสังคมออนไลน์2. นโยบายว่าด้วยการรักษาความมันคงปลอดภัยสาหรับอุปกรณ์พกพา ่ Credited by : TISA
  89. 89. A COMPLETE SECURITY PROGRAM CONTAINS MANY ITEMS Top-down approach Strategic Tactical OperationalBook: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010
  90. 90. BLUEPRINTS MUST MAP THE SECURITY AND BUSINESS REQUIREMENTS.Book: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010
  91. 91. A COMPREHENSIVE AND EFFECTIVE SECURITY MODEL HAS MANY INTEGRATED PIECES.Book: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010
  92. 92. Trusted Components เข้าสูบริการที่น่าเชื่อถือและไว้ใจได้ ่ เชื่อมต่อผ่านระบบที่น่าเชื่อถือและไว้ใจได้ เครื่องที่จะใช้ตองได้รบการดูแลและรูท่มา ้ ั ้ี ผูใช้งานต้องมีความรูเ้ ท่าทันและระแวดระวังอยูเ่ สมอ ้ ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  93. 93. Contact Me หากมีข้อสงสัยหรื อคาถามเพิ่มเติมติดต่ อได้ ที่ : Email: surachai.won[at]gmail[dot]com ติดตามผลงานได้ ที่: Slideshare: www.slideshare.net/chatsec YouTube: www.youtube.com/user/WonJuJub Blogspot: www.wonjujub.blogspot.com/ Facebook Fanpage: www.facebook.com/surachai.chatchalermpun ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  94. 94. TH@NK Y0U ©2012 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.

×