1

มาตรฐานความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001/17799 Information Security Management Standard

บรรจง หะรังษีThai Computer Emergency Response Team (ThaiCERT)T-NETNational Electronics and Computer Technology Center (NECTEC)

Date: September 11, 2008

2

Presentation topics

Current Cyber ThreatsSecurity Incidents, Analysis and Potential Preventive Solutions ISO/IEC 27001 & ISO/IEC 17799 Standard and Audit Findings

3

Current Cyber Threats

Big problems Today: Spyware, Phishing, SPAM, and Peer-to-Peer Exploit

4

ตัวอยาง: การถูกเปลี่ยนหนาเว็บไซต (Web Defacement)

5

วิธีปองกันที่เปนไปได

เปนปญหาการเปลี่ยนหนาเว็บไซตเฝาระวังหนาเว็บไซตเพื่อปองกันการเปลี่ยนแปลงแกไขชองโหวในระบบอยางสม่ําเสมอ

6

ตัวอยาง: อันตรายจากนักเจาะระบบ

7

วิธีปองกันที่เปนไปได

เปนปญหาที่เรียกกันวา identity theft (การสวมรอยโดยใชรหัสผาน)ใชรหัสผานแบบ one-time password สําหรับระบบที่มีความสําคัญ ซึ่งรวมถึงพวก biometricตรวจสอบธุรกรรมที่เกิดขึ้นในแตละวันเพื่อดูความผิดปกติ อาจจะตองมีการตั้งหนวยงาน fraud detectionเตือนใหพนักงานเห็นถึงบทลงโทษหากละเมิดนโยบายความปลอดภัย

8

ตัวอยาง: เว็บไซตผูจัดการถูกแฮก

9

วิธีปองกันที่เปนไปได

เปนปญหาทางเทคนิคที่เรียกกนัวา DNS Attackแกไขชองโหวในระบบ DNS (กรณีนี้ ISP ตองเปนคนแก)เฝาระวังหนาเว็บไซตเพื่อปองกันการเปลี่ยนแปลง

10

ตัวอยาง: ไวรัสถลมเว็บไซตผูจัดการ

11

วิธีปองกันที่เปนไปได

เปนปญหาการติดไวรัสจากเว็บไซตติดตั้งโปรแกรมปองกันไวรัสและสปายแวรและปรับปรุงใหทันสมัยอยูเสมอสรางความตระหนักใหผูใชงานระมัดระวังไวรัสที่ติดทางการดาวนโหลด (สิ่งที่ดาวนโหลดมาอาจมีโปรแกรมที่มีไวรัสซึ่งผูใชอาจสั่งรัน)หลีกเลี่ยงการเขาเว็บไซตที่ไมคุนเคยหลีกเลี่ยงการคลิกลิ้งกที่ไดรับทางอีเมล/msn/หรืออื่นๆ เพื่อเขาไปในเว็บไซตตามลิ้งก

12

ตัวอยาง: เว็บไซตกระทรวงยุติธรรมถูกแฮก

13

วิธีปองกันที่เปนไปได

เปนปญหาเว็บไซตถูกแฮ็กเฝาระวังหนาเว็บไซตเพื่อปองกันการเปลี่ยนแปลงแกไขชองโหวในระบบแกไขปญหาทางเทคนิคในการพัฒนาระบบ เชน SQL injection, input data validation เปนตน

14

ตัวอยาง: ขอมูลลบัของ CIA รั่วไหล

15

วิธีปองกันที่เปนไปได

เปนปญหาขอมูลสําคัญรั่วไหลระมัดระวังเรื่องการจัดการกบัขอมูลที่มีความสําคัญ เชน จัดหมวดหมูไวและปองกันตางหากควบคุมการเขาถึงขอมูลสําคัญอาจเกิดจากระบบถูกแฮ็ก ซึ่งทางแกอาจใชวิธีตามที่กลาวมาแลว

16

A-net, O-net……….and NO-NET

17

วิธีปองกันที่เปนไปได

เขาใจวาเปนปญหาเรื่องทรัพยากรระบบไมพอตอการเขาใชงานของผูเขาเว็บไซตประเมินปริมาณหรือจํานวนผูเขาใชระบบจัดหาเครื่องใหบริการเพื่อใหรองรับตามจํานวนผูใชงานที่ประมาณการณไวเตรียมชองทางการเขาถึงบนเครือขาย (bandwidth) ใหมีขนาดเพียงพอตอจํานวนผูใชงานที่ประมาณการณไว

18

ตัวอยาง: ฐานขอมลูบัตรเครดิตของลกูคาสูญหาย

19

วิธีปองกันที่เปนไปได

เปนปญหาขอมูลสวนบุคคลรั่วไหล (เปนการปองกันขอมูลสวนบุคคลจากการสญูหายหรืออาจถูกเขาถึงโดยไมไดรับอนุญาต)กําหนดและปฏิบัตติามนโยบายปองกันขอมูลสวนบุคคลใหความสําคัญกับการจัดการกับสื่อบันทึกขอมูลสําคัญซึ่งรวมถึงการจดัสงสื่อบันทึกขอมูลดวย วิธีการปลอดภัยในการสง การสําเนา การกระจาย การเขาถึง การเซ็นรับสื่อ เปนตน

20

Spoofed e-mails +

Faked websites

Deceive recipients into revealing confidential information such as

• credit card numbers • account usernames and passwords• identification number

Phishing

21

Phishing

Hacker(Fisher= ผูตกปลา)

Spam mail(bait=เหยื่อ)

Fake website(fishhook=ตะขอ)

Customer(fish=ปลา)

22

Sample fake e-mail to Citibank customers

23

Sample fake web site of Citibank

24

25

วิธีปองกันที่เปนไปได

เปนปญหาที่เรียกกันวา Social Engineering สรางความตระหนักใหลูกคาของธนาคารไดเขาใจในปญหาดังกลาวและการปองกันธนาคารประสานงานกับ CERT กรณีที่เว็บไซตปลอมที่ตั้งขึ้นมาอยูในตางประเทศ (CERT ซึ่งรวมถึง ThaiCERT มีเครือขายของการประสานงานกันทั่วโลก) เพื่อขอใหชวยประสานงานนําเว็บไซตปลอมลงเพื่อลดผลกระทบตอลูกคาของธนาคาร

26

Electronic TransactionSecurity Standard (version 1)

Developed from ISO/IEC 17799:2000 Security Standard

27

Electronic TransactionSecurity Standard (version 2)

Developed from ISO/IEC 17799:2005 Security Standard

28

Security Standard (version 2.5)

Developed from ISO/IEC 17799:2005 Security Standard

29

ISO/IEC 27001 -

PDCA Model applied

to ISMS processes

Establish the ISMS

Implement and operate the ISMS

Maintain and improve the ISMS

Monitor and review the ISMS

Development, maintenance

and improvement

cycle

Plan

ActDo

Check

Information security requirements and expectations

Managed information

security

Interested

Parties

Interested

Parties

30

Security Domains in ISO/IEC 27001 & ISO/IEC 17799-2005

A.5 Security PolicyA.5 Security Policy

A.12 Information A.12 Information systems acquisition,systems acquisition,developmentdevelopmentand maintenanceand maintenance

A.10 Communications A.10 Communications and operationsand operationsmanagementmanagement

A.9 Physical and A.9 Physical and environment environment securitysecurity

A.8 Human resourcesA.8 Human resourcessecuritysecurity

A.6 Organization ofA.6 Organization of

informationinformationsecuritysecurity

A.11 Access ControlA.11 Access Control

A.13 Information security A.13 Information security incident managementincident management

A.14 Business continuity A.14 Business continuity managementmanagement

A.7 Asset A.7 Asset managementmanagement

133 Controls

A.11.1.1A.11.1.1

A.11.7.1A.11.7.1

A.11.7.2A.11.7.2

A.15 ComplianceA.15 Compliance

39 Control Objectives

A.11.1A.11.1

A.11.7A.11.7

11 Security Domains (Areas)

31

A.5. Security Policy

A.5.1. Information Security PolicyInformation security policy documentReview of the information security policy

Security Policy

Definition of information security:

……..

Objective:………….

Scope:………….

Goal:……………

Requirements:…….

Approved by:……….

32

Example: Lack of Information security policy and document (A.5)

ผูบริหารระดับสูง

หัวหนาฝาย

พนักงานทั่วไป

นโยบายการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ

คํานิยามของการรักษาความปลอดภัยระบบสารสนเทศ (จุดมุงหมาย ขอบเขตและ กลไก

………….………..

นโยบายการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ

คํานิยามของการรักษาความปลอดภัยระบบสารสนเทศ (จุดมุงหมาย ขอบเขตและ กลไก

………….………..

ผลจากการไมมีนโยบายฯ จากผูบริหารขององคกรพนกังานขององคกรไมมี

แนวทางปฏิบัติที่เหมาะสมและอาจทําการละเมิดความปลอดภัยของระบบสารสนเทศในองคกร

ไมมีนโยบายความมั่นคงปลอดภัยจากระดับผูบริหารสูพนักงานระดับลาง

33

A.6. Organizational security

A.6.1. Internal organization A.6.2. External parties

Human Resource

I.T. Marketing

SteeringCommittee

Third party agreement

34

Example: Lack of addressing security in third party agreements (A.6.2.3 )

Unauthorized accessUnauthorized access

Information Theft, etc.Information Theft, etc.

สญัญาไมครอบคลุม พอเพียง

35

A.7. Asset management

A.7.1. Responsibility for assets

Software:

software, application, tools, etc.

Hardware: Computer, communication equipment, etc.

People: IT staff, manager, etc.

Information: Database, File, etc.

Processes

and

services

:

Applications etc.

36

Printer Types

No. of PC connected

Location Responsible Person

Other Details

HP LaserJet 4050 Series

3 5th

Floor John Memory 8 MB, DWS:5.90 I/O Buffering : 100 KB Allocated of 4000 KB Available PS Wait Time-out 300S , Resolution : 1200x1200 dpi

HP LaserJet 1300

3 5th

Floor Kitti Memory 16 MB, Resolution 1200 x 1200 dpi PS Wait Time-out 300S 20 ppm

blackIT Manager Room

HP LaserJet 4200 dtn

34 4th

Floor Mary Model Number : 56057 AMemory 64 MB , 8 MB Flash ROM , Idle Time-out 90 s

HP LaserJet 2200 Series

11 6th

Floor Jennifer Resolution 1200 x 1200 dpi , 19 ppm

(letter) , 18 ppm

(A4)

Supports HP PCL 6 , Memory 16 MB 3rd

Floor

HP Deskjet1220C

5 2nd

Floor Mike 11 ppm

black (600x600 dpi) up to 9.5 ppm

colour(2400x1200 dpi)

HP Designj

et

500

2 1st

Floor Michale Model Number : C7770B, 42 inches , RAM 160 MB Ink Use : Black 2 cc, Cyan 1 cc, Magenta 3 cc , Yellow 2

ccEngine F/W : A.02.06

Printer Inventory

มีชื่อบุคคลที่รับผิดชอบ

37

Top Secret

Secret

Confidential

Restricted

Restricted until

1/12/2005

‘Protectively Marked’

A.7.2 Information classificationClassification guidelinesInformation labelling and handling

A.7. Asset management (Cont.)

38

Example: Lack of Information classification (A.7.2)

สูง

กลาง

ต่ํา

เอกสารลับ

เอกสารลับมาก

เอกสารทั่วไป

เอกสารลับที่สุด

39

A.8. Human resources security

A.8.1. Prior to employment

A.8.2. During employment

A.8.3. Termination or change of employment

40อางอิง www.aoema.org

During Employment (A.8.2) Lack of security awareness training and education

41

Example: Lack of signing NDA (Prior to employment) (A.8.1.3)

A New Face Employee/Contractor

Bank of Non Security

Two days later

สารสนเทศ

ขอมูลลูกคา

42

Example: Lack of removal of access rights (A.8.3.3)

Remove logical access rights

(Access to System or Network)

Remove physical access rights

(Access to the sensitive areas)

Terminated staff

43

A.9. Physical and environmental security

A.9.1.6 Public access, delivery and loading areas

A.9.1 Secure areasA.9.1.1 Physical security perimeter

A.9.1.2 Physical entry controls

A.9.2 Equipment security A.9.2.1 Equipment siting and protection

A.9.2.2 Supporting utilities

A.9.2.4 Equipment maintenance

A.9.2.7 Removal of property

44

Example: Lack of Physical and environmental security (A.9)

Visitor

45

A.10. Communications and operations managementA.10.1 Operational procedures and responsibilities

A.10.1.1 Documented operating procedures

…………

A.10.1.4 Separation of development, test and operational facilities

A.10.6 Network security management

A.10.3

System planning and acceptance

A.10.8

Exchange of information

A.10.7 Media handling

A.10.7.1 Management of removable media

A.10.7.2 Disposal of media

A.10.7.3…….

A.10.5

Back-up

A.10.4

Protection against malicious and mobile code

A.10.9

Electronic

commerce

services

A.10.10 Monitoring

A.10.2 Third party service delivery management

46

Example: Lack of information back-up procedures (A.10.5)

ฐานขอมูล

ฐานขอมูล

Virus ทําลายขอมูล

Worm ทําลายขอมูล

Hacker ทําลายขอมูล

ฟาผาทําใหไฟดับ สามารถใช

ขอมูลที่สํารองไวได

ฐานขอมูล สํารอง

(Backup)

ไมมีขอมูลใช

47

Example: Lack of capacity management (A.10.3.1)

48

Example: Lack of segregation in networks (A.11.4.5)

ผูโจมตีระบบ

ผูโจมตีระบบ

49

Example: Lack of Network routing control (A.10.6.1)

Internet

Remote

Accounting

HR

Marketing

Engineer

HR Management

Server

WebServer

MailServer

Ext DMZ

Int DMZ

DirectoryServer

MonitoringServer

E-CommerceServer

Customers

There should not be route from customer to internal DMZ and internal client zone.

Customer

Internal Client Zone

Internal DMZ

50

Computer

Computer

InformationSystem A

(Operating System)

Database

System B

(Application i.e. Application for personnel

department, sales department, etc.)

Internet

A.11.1 Business requirements for access control

A.11.4 Network access control

A.11.5 Operating system access control

11.5.1 Secure log-on procedures

……..

Tele working

Mobile Computing

A.11.7

Mobile computing and teleworking

A.11. Access Control

A.11.3 User responsibilities

A.11.3.1 Password use

…….

A.11.2 User access management

A.11.6 Application and information access control

11.6.1 Information access restriction

11.6.2 Sensitive system isolation

51

Example: Lack of access control

policy (A.11.1.1)

Authorized Access Only

Data Center

ฐานขอมูล สําคัญ

52

Example: Lack of privilege management (A.11.2.2)

ฐานขอมูลสําคัญ

Salesman

System Engineer

53

A.12. Information systems acquisition, development and maintenance

A.12.1 Security requirements of information systems

A.12.3 Cryptographic controls

A.12.3.1 Policy on the use of cryptographic controls

A.12.3.2 Key management

A.12.2

Correct processing in applications

A.12.2.1 Input data validation

……..

A.12.2.4 Output data validation

i.e.

-

Electronic money transfer

-

Contract

- Proposal

- PaymentA12.5 Security in development and support

processes

A.12.5.1 Change control procedures

…..........

A.12.4 Security of systems files

A.12.4.1 Control of operational software

………

54

Example: Lack of checking input data validation (A.12.2.1)

Buffer Overflow

Input data validation

Most of vulnerabilities cause Buffer Overflow

55

Example: Lack of control of technical vulnerabilities (A.12.6.1)

ระบบที่มีชองโหวอาจถูกโจมตี เชน การขโมยขอมูลลับ

ระบบที่ไดรับการแกไขชองโหวสามารถปองกันการถูกโจมตีได

56

A.13. Information security incident management

A.13.1 Reporting information security events and weaknessesA.13.2 Management of information security incidents and improvements

57

Example: Lack of information security incident management (A.13.2)

Call Center

58

Example: Lack of reporting information security events

(A.13.1)

Attacker

Handlers

Agents

Victim

traffic flood

Denial of Service (DoS)

59

A.14. Business continuity management

A.14.1. Information security aspects of business continuity management

Including information security in the business continuity management processBusiness continuity and risk assessmentDeveloping and implementing continuity plans including information securityBusiness continuity planning frameworkTesting, maintaining and re-assessing business continuity plans

การประเมินผลกระทบ

การกําหนดทางเลือกในการแกปญหา

การทดสอบแผนการปฏิบัติ

การวางแผนสําหรับการปฏิบัติ

การปรับปรุงแผนสรางความตอเนื่อง

60

Example: Business Continuity Management

Fired Original Site Backup Site

Move to backup site

61

Incomplete Business Continuity Plan

Lack of defining critical applicationsLack of defining maximum tolerable downtimesIncomplete backupsLack of awarenessLack of plan rehearsal

62

A.15. Compliance

A.15.1. Compliance with legal requirementsA.15.2. Compliance with security policies

and standards, and technical compliance

A.15.3 Information systems audit considerations

63

Example: Intellectual property rights (IPR) (A.15.1.2)

64

Example: Lack of information systems audit considerations (A.15.3)

65

Email: customer@tnetsecurity.comhttp://www.thaicert.nectec.or.th