Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
1
มาตรฐานความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001/17799 Information Security Management Standard
บรรจง หะรังษีThai Computer Emergency Response Team (ThaiCERT)T-NETNational Electronics and Computer Technology Center (NECTEC)
Date: September 11, 2008
2
Presentation topics
Current Cyber ThreatsSecurity Incidents, Analysis and Potential Preventive Solutions ISO/IEC 27001 & ISO/IEC 17799 Standard and Audit Findings
3
Current Cyber Threats
Big problems Today: Spyware, Phishing, SPAM, and Peer-to-Peer Exploit
4
ตัวอยาง: การถูกเปลี่ยนหนาเว็บไซต (Web Defacement)
5
วิธีปองกันที่เปนไปได
เปนปญหาการเปลี่ยนหนาเว็บไซตเฝาระวังหนาเว็บไซตเพื่อปองกันการเปลี่ยนแปลงแกไขชองโหวในระบบอยางสม่ําเสมอ
6
ตัวอยาง: อันตรายจากนักเจาะระบบ
7
วิธีปองกันที่เปนไปได
เปนปญหาที่เรียกกันวา identity theft (การสวมรอยโดยใชรหัสผาน)ใชรหัสผานแบบ one-time password สําหรับระบบที่มีความสําคัญ ซึ่งรวมถึงพวก biometricตรวจสอบธุรกรรมที่เกิดขึ้นในแตละวันเพื่อดูความผิดปกติ อาจจะตองมีการตั้งหนวยงาน fraud detectionเตือนใหพนักงานเห็นถึงบทลงโทษหากละเมิดนโยบายความปลอดภัย
8
ตัวอยาง: เว็บไซตผูจัดการถูกแฮก
9
วิธีปองกันที่เปนไปได
เปนปญหาทางเทคนิคที่เรียกกนัวา DNS Attackแกไขชองโหวในระบบ DNS (กรณีนี้ ISP ตองเปนคนแก)เฝาระวังหนาเว็บไซตเพื่อปองกันการเปลี่ยนแปลง
10
ตัวอยาง: ไวรัสถลมเว็บไซตผูจัดการ
11
วิธีปองกันที่เปนไปได
เปนปญหาการติดไวรัสจากเว็บไซตติดตั้งโปรแกรมปองกันไวรัสและสปายแวรและปรับปรุงใหทันสมัยอยูเสมอสรางความตระหนักใหผูใชงานระมัดระวังไวรัสที่ติดทางการดาวนโหลด (สิ่งที่ดาวนโหลดมาอาจมีโปรแกรมที่มีไวรัสซึ่งผูใชอาจสั่งรัน)หลีกเลี่ยงการเขาเว็บไซตที่ไมคุนเคยหลีกเลี่ยงการคลิกลิ้งกที่ไดรับทางอีเมล/msn/หรืออื่นๆ เพื่อเขาไปในเว็บไซตตามลิ้งก
12
ตัวอยาง: เว็บไซตกระทรวงยุติธรรมถูกแฮก
13
วิธีปองกันที่เปนไปได
เปนปญหาเว็บไซตถูกแฮ็กเฝาระวังหนาเว็บไซตเพื่อปองกันการเปลี่ยนแปลงแกไขชองโหวในระบบแกไขปญหาทางเทคนิคในการพัฒนาระบบ เชน SQL injection, input data validation เปนตน
14
ตัวอยาง: ขอมูลลบัของ CIA รั่วไหล
15
วิธีปองกันที่เปนไปได
เปนปญหาขอมูลสําคัญรั่วไหลระมัดระวังเรื่องการจัดการกบัขอมูลที่มีความสําคัญ เชน จัดหมวดหมูไวและปองกันตางหากควบคุมการเขาถึงขอมูลสําคัญอาจเกิดจากระบบถูกแฮ็ก ซึ่งทางแกอาจใชวิธีตามที่กลาวมาแลว
16
A-net, O-net……….and NO-NET
17
วิธีปองกันที่เปนไปได
เขาใจวาเปนปญหาเรื่องทรัพยากรระบบไมพอตอการเขาใชงานของผูเขาเว็บไซตประเมินปริมาณหรือจํานวนผูเขาใชระบบจัดหาเครื่องใหบริการเพื่อใหรองรับตามจํานวนผูใชงานที่ประมาณการณไวเตรียมชองทางการเขาถึงบนเครือขาย (bandwidth) ใหมีขนาดเพียงพอตอจํานวนผูใชงานที่ประมาณการณไว
18
ตัวอยาง: ฐานขอมลูบัตรเครดิตของลกูคาสูญหาย
19
วิธีปองกันที่เปนไปได
เปนปญหาขอมูลสวนบุคคลรั่วไหล (เปนการปองกันขอมูลสวนบุคคลจากการสญูหายหรืออาจถูกเขาถึงโดยไมไดรับอนุญาต)กําหนดและปฏิบัตติามนโยบายปองกันขอมูลสวนบุคคลใหความสําคัญกับการจัดการกับสื่อบันทึกขอมูลสําคัญซึ่งรวมถึงการจดัสงสื่อบันทึกขอมูลดวย วิธีการปลอดภัยในการสง การสําเนา การกระจาย การเขาถึง การเซ็นรับสื่อ เปนตน
20
Spoofed e-mails +
Faked websites
Deceive recipients into revealing confidential information such as
• credit card numbers • account usernames and passwords• identification number
Phishing
21
Phishing
Hacker(Fisher= ผูตกปลา)
Spam mail(bait=เหยื่อ)
Fake website(fishhook=ตะขอ)
Customer(fish=ปลา)
22
Sample fake e-mail to Citibank customers
23
Sample fake web site of Citibank
24
25
วิธีปองกันที่เปนไปได
เปนปญหาที่เรียกกันวา Social Engineering สรางความตระหนักใหลูกคาของธนาคารไดเขาใจในปญหาดังกลาวและการปองกันธนาคารประสานงานกับ CERT กรณีที่เว็บไซตปลอมที่ตั้งขึ้นมาอยูในตางประเทศ (CERT ซึ่งรวมถึง ThaiCERT มีเครือขายของการประสานงานกันทั่วโลก) เพื่อขอใหชวยประสานงานนําเว็บไซตปลอมลงเพื่อลดผลกระทบตอลูกคาของธนาคาร
26
Electronic TransactionSecurity Standard (version 1)
Developed from ISO/IEC 17799:2000 Security Standard
27
Electronic TransactionSecurity Standard (version 2)
Developed from ISO/IEC 17799:2005 Security Standard
28
Security Standard (version 2.5)
Developed from ISO/IEC 17799:2005 Security Standard
29
ISO/IEC 27001 -
PDCA Model applied
to ISMS processes
Establish the ISMS
Implement and operate the ISMS
Maintain and improve the ISMS
Monitor and review the ISMS
Development, maintenance
and improvement
cycle
Plan
ActDo
Check
Information security requirements and expectations
Managed information
security
Interested
Parties
Interested
Parties
30
Security Domains in ISO/IEC 27001 & ISO/IEC 17799-2005
A.5 Security PolicyA.5 Security Policy
A.12 Information A.12 Information systems acquisition,systems acquisition,developmentdevelopmentand maintenanceand maintenance
A.10 Communications A.10 Communications and operationsand operationsmanagementmanagement
A.9 Physical and A.9 Physical and environment environment securitysecurity
A.8 Human resourcesA.8 Human resourcessecuritysecurity
A.6 Organization ofA.6 Organization of
informationinformationsecuritysecurity
A.11 Access ControlA.11 Access Control
A.13 Information security A.13 Information security incident managementincident management
A.14 Business continuity A.14 Business continuity managementmanagement
A.7 Asset A.7 Asset managementmanagement
133 Controls
A.11.1.1A.11.1.1
A.11.7.1A.11.7.1
A.11.7.2A.11.7.2
A.15 ComplianceA.15 Compliance
39 Control Objectives
A.11.1A.11.1
A.11.7A.11.7
11 Security Domains (Areas)
31
A.5. Security Policy
A.5.1. Information Security PolicyInformation security policy documentReview of the information security policy
Security Policy
Definition of information security:
……..
Objective:………….
Scope:………….
Goal:……………
Requirements:…….
Approved by:……….
32
Example: Lack of Information security policy and document (A.5)
ผูบริหารระดับสูง
หัวหนาฝาย
พนักงานทั่วไป
นโยบายการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
คํานิยามของการรักษาความปลอดภัยระบบสารสนเทศ (จุดมุงหมาย ขอบเขตและ กลไก
………….………..
นโยบายการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
คํานิยามของการรักษาความปลอดภัยระบบสารสนเทศ (จุดมุงหมาย ขอบเขตและ กลไก
………….………..
ผลจากการไมมีนโยบายฯ จากผูบริหารขององคกรพนกังานขององคกรไมมี
แนวทางปฏิบัติที่เหมาะสมและอาจทําการละเมิดความปลอดภัยของระบบสารสนเทศในองคกร
ไมมีนโยบายความมั่นคงปลอดภัยจากระดับผูบริหารสูพนักงานระดับลาง
33
A.6. Organizational security
A.6.1. Internal organization A.6.2. External parties
Human Resource
I.T. Marketing
SteeringCommittee
Third party agreement
34
Example: Lack of addressing security in third party agreements (A.6.2.3 )
Unauthorized accessUnauthorized access
Information Theft, etc.Information Theft, etc.
สญัญาไมครอบคลุม พอเพียง
35
A.7. Asset management
A.7.1. Responsibility for assets
Software:
software, application, tools, etc.
Hardware: Computer, communication equipment, etc.
People: IT staff, manager, etc.
Information: Database, File, etc.
Processes
and
services
:
Applications etc.
36
Printer Types
No. of PC connected
Location Responsible Person
Other Details
HP LaserJet 4050 Series
3 5th
Floor John Memory 8 MB, DWS:5.90 I/O Buffering : 100 KB Allocated of 4000 KB Available PS Wait Time-out 300S , Resolution : 1200x1200 dpi
HP LaserJet 1300
3 5th
Floor Kitti Memory 16 MB, Resolution 1200 x 1200 dpi PS Wait Time-out 300S 20 ppm
blackIT Manager Room
HP LaserJet 4200 dtn
34 4th
Floor Mary Model Number : 56057 AMemory 64 MB , 8 MB Flash ROM , Idle Time-out 90 s
HP LaserJet 2200 Series
11 6th
Floor Jennifer Resolution 1200 x 1200 dpi , 19 ppm
(letter) , 18 ppm
(A4)
Supports HP PCL 6 , Memory 16 MB 3rd
Floor
HP Deskjet1220C
5 2nd
Floor Mike 11 ppm
black (600x600 dpi) up to 9.5 ppm
colour(2400x1200 dpi)
HP Designj
et
500
2 1st
Floor Michale Model Number : C7770B, 42 inches , RAM 160 MB Ink Use : Black 2 cc, Cyan 1 cc, Magenta 3 cc , Yellow 2
ccEngine F/W : A.02.06
Printer Inventory
มีชื่อบุคคลที่รับผิดชอบ
37
Top Secret
Secret
Confidential
Restricted
Restricted until
1/12/2005
‘Protectively Marked’
A.7.2 Information classificationClassification guidelinesInformation labelling and handling
A.7. Asset management (Cont.)
38
Example: Lack of Information classification (A.7.2)
สูง
กลาง
ต่ํา
เอกสารลับ
เอกสารลับมาก
เอกสารทั่วไป
เอกสารลับที่สุด
39
A.8. Human resources security
A.8.1. Prior to employment
A.8.2. During employment
A.8.3. Termination or change of employment
40อางอิง www.aoema.org
During Employment (A.8.2) Lack of security awareness training and education
41
Example: Lack of signing NDA (Prior to employment) (A.8.1.3)
A New Face Employee/Contractor
Bank of Non Security
Two days later
สารสนเทศ
ขอมูลลูกคา
42
Example: Lack of removal of access rights (A.8.3.3)
Remove logical access rights
(Access to System or Network)
Remove physical access rights
(Access to the sensitive areas)
Terminated staff
43
A.9. Physical and environmental security
A.9.1.6 Public access, delivery and loading areas
A.9.1 Secure areasA.9.1.1 Physical security perimeter
A.9.1.2 Physical entry controls
A.9.2 Equipment security A.9.2.1 Equipment siting and protection
A.9.2.2 Supporting utilities
A.9.2.4 Equipment maintenance
A.9.2.7 Removal of property
44
Example: Lack of Physical and environmental security (A.9)
Visitor
45
A.10. Communications and operations managementA.10.1 Operational procedures and responsibilities
A.10.1.1 Documented operating procedures
…………
A.10.1.4 Separation of development, test and operational facilities
A.10.6 Network security management
A.10.3
System planning and acceptance
A.10.8
Exchange of information
A.10.7 Media handling
A.10.7.1 Management of removable media
A.10.7.2 Disposal of media
A.10.7.3…….
A.10.5
Back-up
A.10.4
Protection against malicious and mobile code
A.10.9
Electronic
commerce
services
A.10.10 Monitoring
A.10.2 Third party service delivery management
46
Example: Lack of information back-up procedures (A.10.5)
ฐานขอมูล
ฐานขอมูล
Virus ทําลายขอมูล
Worm ทําลายขอมูล
Hacker ทําลายขอมูล
ฟาผาทําใหไฟดับ สามารถใช
ขอมูลที่สํารองไวได
ฐานขอมูล สํารอง
(Backup)
ไมมีขอมูลใช
47
Example: Lack of capacity management (A.10.3.1)
48
Example: Lack of segregation in networks (A.11.4.5)
ผูโจมตีระบบ
ผูโจมตีระบบ
49
Example: Lack of Network routing control (A.10.6.1)
Internet
Remote
Accounting
HR
Marketing
Engineer
HR Management
Server
WebServer
MailServer
Ext DMZ
Int DMZ
DirectoryServer
MonitoringServer
E-CommerceServer
Customers
There should not be route from customer to internal DMZ and internal client zone.
Customer
Internal Client Zone
Internal DMZ
50
Computer
Computer
InformationSystem A
(Operating System)
Database
System B
(Application i.e. Application for personnel
department, sales department, etc.)
Internet
A.11.1 Business requirements for access control
A.11.4 Network access control
A.11.5 Operating system access control
11.5.1 Secure log-on procedures
……..
Tele working
Mobile Computing
A.11.7
Mobile computing and teleworking
A.11. Access Control
A.11.3 User responsibilities
A.11.3.1 Password use
…….
A.11.2 User access management
A.11.6 Application and information access control
11.6.1 Information access restriction
11.6.2 Sensitive system isolation
51
Example: Lack of access control
policy (A.11.1.1)
Authorized Access Only
Data Center
ฐานขอมูล สําคัญ
52
Example: Lack of privilege management (A.11.2.2)
ฐานขอมูลสําคัญ
Salesman
System Engineer
53
A.12. Information systems acquisition, development and maintenance
A.12.1 Security requirements of information systems
A.12.3 Cryptographic controls
A.12.3.1 Policy on the use of cryptographic controls
A.12.3.2 Key management
A.12.2
Correct processing in applications
A.12.2.1 Input data validation
……..
A.12.2.4 Output data validation
i.e.
-
Electronic money transfer
-
Contract
- Proposal
- PaymentA12.5 Security in development and support
processes
A.12.5.1 Change control procedures
…..........
A.12.4 Security of systems files
A.12.4.1 Control of operational software
………
54
Example: Lack of checking input data validation (A.12.2.1)
Buffer Overflow
Input data validation
Most of vulnerabilities cause Buffer Overflow
55
Example: Lack of control of technical vulnerabilities (A.12.6.1)
ระบบที่มีชองโหวอาจถูกโจมตี เชน การขโมยขอมูลลับ
ระบบที่ไดรับการแกไขชองโหวสามารถปองกันการถูกโจมตีได
56
A.13. Information security incident management
A.13.1 Reporting information security events and weaknessesA.13.2 Management of information security incidents and improvements
57
Example: Lack of information security incident management (A.13.2)
Call Center
58
Example: Lack of reporting information security events
(A.13.1)
Attacker
Handlers
Agents
Victim
traffic flood
Denial of Service (DoS)
59
A.14. Business continuity management
A.14.1. Information security aspects of business continuity management
Including information security in the business continuity management processBusiness continuity and risk assessmentDeveloping and implementing continuity plans including information securityBusiness continuity planning frameworkTesting, maintaining and re-assessing business continuity plans
การประเมินผลกระทบ
การกําหนดทางเลือกในการแกปญหา
การทดสอบแผนการปฏิบัติ
การวางแผนสําหรับการปฏิบัติ
การปรับปรุงแผนสรางความตอเนื่อง
60
Example: Business Continuity Management
Fired Original Site Backup Site
Move to backup site
61
Incomplete Business Continuity Plan
Lack of defining critical applicationsLack of defining maximum tolerable downtimesIncomplete backupsLack of awarenessLack of plan rehearsal
62
A.15. Compliance
A.15.1. Compliance with legal requirementsA.15.2. Compliance with security policies
and standards, and technical compliance
A.15.3 Information systems audit considerations
63
Example: Intellectual property rights (IPR) (A.15.1.2)
64
Example: Lack of information systems audit considerations (A.15.3)
65
Email: [email protected]://www.thaicert.nectec.or.th