I T Security Risk

1. IT Security
Master Degree in IT Audit
The University of the Thai Chamber of Commerce (UTCC )
27-March-2010
Surachai Chatchalermpun

2. Speaker Profile
, CSSLP, ECSA , LPT
2

3. Highlight Certificates
2
Network Security Assessment by ISC
CPE KMUTT
ECSA (EC-Council Certified Security Analyst) by EC-Council
LPT (Licensed Penetration Tester) by EC-Council

4. Agenda
• Updated new threat 2010
• Security Awareness (People factor)
• Secure SDLC (Technology & Process factor)
• What the methodology’s hacker?
• Audit Certification

5. Source: ACIS & TISA

6. Key Principle
3 Pillars of ICT 3 Pillars of Security
Disclosure
People Confidentiality
PPT CIA
Process Technology Integrity Availability
(Tool) Alteration Disruption
6

7. Enterprise Information Security Architecture

8. Security Awareness

9.  Executive Refresh (Top management)
 IT Security Awareness (End User)
 IT Security Policy Orientation (New Staff)
 IT Security Training (IT Staff)
 SCADA/DCS Security Awareness (Operation Staff)
9

10. คุณเคย...หรือไม่
• เขียน password ติดไว้ที่โต๊ะทางาน
• ตั้ง password ง่ายๆ กลัวลืม
• บอก password ของตนกับผู้อื่น
• ให้ผู้อื่นยืมใช้เครื่องคอมพิวเตอร์และ
Login ด้วย account ของท่าน
• เปิดดูข้อมูลของผู้อื่นโดยไม่ได้รับอนุญาต
• ไม่ล๊อคหน้าจอเมื่อไม่อยู่ที่โต๊ะ
• ส่งต่อข้อมูลที่ไม่ได้มีการพิสูจน์ยืนยันข้อเท็จจริง
• ส่งต่อภาพหรือคลิปลามก
• เปิดไฟล์ใน e-mail จากคนไม่รู้จัก

11. 11

12. ICT Security Awareness Road Show 2008
1. ปกป้องข้อมูลให้ปลอดภัย
2. เปิดโล่งเชียว 7. ตกปลาด้วยเหยื่อ electronic
share everyone Phishing
3. ลบแล้ว (จริงหรือ?) 8. ระวัง!อย่าให้ใครมาเสียบ
Clip หลุด (USB) autorun
recovery&erase
9. กดอะไรก็รู้นะ Keylogger
4. Hi5 (Social Network)
10.ทาอะไรก็เห็นนะ
5. Password สาคัญไฉน?
remote trojan
6. ปกปิดหรือเปิดเผย
http/https

13. STRONG PASSWORD
รูไหม? มีใครแอบเดา Password
้
ง่ายๆของ คุณอยู่?”
Facts:
• User ส่วนใหญ่มักตั้ง Password ตามคาใน Dictionary
• User ส่วนใหญ่มักตั้ง Password ด้วยอักษรตัวเล็กทั้งหมด
• User ส่วนใหญ่มักไม่ค่อยเปลี่ยน Password
• Password เหล่านี้มักตกเป็นเหยื่อรายแรกๆของผู้ไม่หวังดีเสมอ

14. STRONG PASSWORD
Password Attacks
• Dictionary Attack (Use words in Dictionary)
o Ant, cat, dog, frog, … , zoo
• Brute Force Attack (Use all possibilities)
o 0001, 0002, 0003, …., 9999
Protections
• ไม่ใช้ Password ที่คาดเดาได้ง่าย เช่น คาที่มีใน Dictionary
• ใช้การผสมอักขระที่ซับซ้อน เช่น L0v3@1sts1ghT (Love at first sight)
• เปลี่ยน Password อย่างสม่าเสมอเมื่อถึงเวลาที่เหมาะสม เช่น ทุกๆ 90 วัน

15. Dictionary Attack for
guess simple password !!!
Game Password Checker

16. การตั้ง Password ที่ดีควรประกอบด้วย
• Lowercase Alphabet หรืออักษรภาษาอังกฤษตัวเล็ก
เช่น a b c d
• Uppercase Alphabet หรืออักษรภาษาอังกฤษตัวใหญ่
เช่น A B C D
• Numeric หรือ ตัวเลข
เช่น 1 2 3 4
• Special Character หรือ อักขระพิเศษ
เช่น ! @ # $ % ^ & * ( ) _ +

17. เทคนิคการตั้ง Password (ตั้งให้ยากแต่จาให้ง่าย)
อักษรเดิม อักษรแทน
1. Pass phrase
เนื้อเพลงโปรด,ประโยคเด็ด A 4 หรือ @
IamSecurityOfficer2009 E 3
2. Replacement I 1 หรือ !
1@m$3curity0ff1c3r2oo9 O 0
3. กด Shift ค้างไว้ S $
IAMSECURITYOFFICER@))( And &
4. ดูแป้นไทย for 4 (four)
เรานะเด็กโง่จุ๊บส์ๆ -> iydotgfHdF’j06U[lNq

18. Security Awareness Poster

19. ICT Security Awareness
Road Show ‘08
Security Awareness VDO

20. Security Awareness >> ShowCase

21. พ.ร.บ. คอมพิวเตอร์ 2550
ฐานความผิดและบทลงโทษที่เกี่ยวกับ User
ฐานความผิด โทษจาคุก โทษปรับ
มาตรา ๕ เข้าถึงคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๖ เดือน ไม่เกิน ๑๐,๐๐๐ บาท
มาตรา ๖ ล่วงรู้มาตรการป้องกัน ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท
มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๒ ปี ไม่เกิน ๔๐,๐๐๐ บาท
มาตรา ๘ การดักข้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท
มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๑ สแปมเมล์ ไม่มี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๒ การกระทาต่อความมั่นคง
(๑) ก่อความเสียหายแก่ข้อมูลคอมพิวเตอร์ ไม่เกิน ๑๐ ปี + ไม่เกิน ๒๐๐,๐๐๐ บาท
(๒) กระทบต่อความมั่นคงปลอดภัยของประเทศ/ ๓ ปี ถึง ๑๕ ปี ๖๐,๐๐๐-๓๐๐,๐๐๐ บาท
เศรษฐกิจ ๑๐ ปี ถึง ๒๐ ปี ไม่มี
วรรคท้าย เป็นเหตุให้ผู้อื่นถึงแก่ชีวิต
มาตรา ๑๓ การจาหน่าย/เผยแพร่ชุดคาสั่ง ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท
มาตรา ๑๔ การเผยแพร่เนื้อหาอันไม่เหมาะสม ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๕ ความรับผิดของ Tel Co, ISP,อื่นๆ Internet ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
Access)
มาตรา ๑๖ การตัดต่อภาพผู้อื่น ถ้าสุจริต ไม่มีความผิด ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท

22. Trusted Components
Access to trust services
Connect via trust network
Make sure computer is safe, can trust to use
User must always beware, not careless
E-mail security@pttict.com Website: www.pttict.com/security ©2008 PTT ICT Solutions All Right Reserved.
IC ICT PEOPLE EXCELLENCE

23. Web Application Security Assessment

24. Web Application Hacking
Outer
DMZ Zone
Inner
Server farm Zone
Source: Whitehat Security

25. Your “Code” is Part of Your
Security Perimeter
APPLICATION Your security “perimeter” has huge
Application Layer
ATTACK
holes at the “Application layer”
Legacy Systems
Web Services
Human Resource
Directories
Databases
Custom Developed
Billing
Application Code
App Server
Network Layer
Web Server
Hardened OS
Inner Firewall
Outer Firewall
You can’t use network layer protection (Firewall, SSL, IDS, hardening)
to stop or detect application layer attacks
Source: Whitehat Security

26. Source: WHID

27. Source: WHID

28. Source: WHID

29. Hacking Incidents (Defacement)
Source: Zone-h

30. Hacking Incidents (Defacement)
Source: Zone-h

31. Secure Application Development
 Training on Secure Application Development
 Improve Application Development process
 Web Application Security Assessment (Pre-Production)
 POC Web Application Firewall (For Production)
31

32. Application Security Roadmap
Yesterday Today Tomorrow
CSSLP* CMMI
Training
OWASP Top 10 2010
CSSLP Certified
Change management
Secure SDLC
Process Improvement Centralize Document
Management
OWASP Top 10 2007
Security Documents
for consideration
POC Web App
Microsoft PTT ICT
Development Application
& DB Firewall
framework development
standard
…2549 2550 2552 2553 2555
CSSLP* - Certified Secure Software Lifecycle Professional

33. Source: ISC2

34. Training on Secure Application Development
(ISC)² CSSLP CBK Domains
1. Secure Software Concepts
2. Secure Software Requirements
3. Secure Software Design
4. Secure Software Implementation/Coding
5. Secure Software Testing
6. Software Acceptance
7. Software Deployment, Operations,
Maintenance, and Disposal

35. Improve Application Development process
35

36. 36
Source: OWASP

37. Source: OWASP

38. Source: OWASP

39. Source: OWASP

40. Source: OWASP

41. 1. Application Request Form
Gathering
requirement
Design Phase,
Development
Phase,
Functional test, Unit test,
Integration test, Performance test
UAT Phase,
Security Assessment,
Production

42. 2. Security Checklist

43. 3. Security Questionnaire

44. 4. System diagram

45. Web Application Security Assessment (Pre-Production)
Web Application Risk Report Server Risk Report 45

46. The OWASP Top 10 Risks Report

47. The OWASP Top 10 Risks Report

48. Audit Certification

49. Source: TISA

50. Source: TISA

51. Question & Answer
Thank You
Surachai Chatchalermpun
surachai.c@pttict.com