Upload
nawanan-theera-ampornpunt
View
195
Download
0
Embed Size (px)
Citation preview
1
Overview of Information Security & Privacy
นพ.นวนรรน ธระอมพรพนธ
10 ส.ค. 2559
http://www.slideshare.net/nawanan
2
2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)
2554 Ph.D. (Health Informatics), Univ. of Minnesota
อาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด
ความสนใจ: Health IT, Social Media, Security & Privacy
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
แนะน ำตว
3
Outline
• ท ำไมเรำตองแครเรอง Security & Privacy?
• Security/Privacy กบขอมลผปวย
• แนวปฏบตดำน Privacy ของขอมล
• แนวปฏบตดำน Security ของระบบ
9
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
10
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
11
ภย Security กบเมองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
13
ภย Security กบเมองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood
14
Confidentiality (ขอมลควำมลบ) Integrity (กำรแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชกำรไมได)
สงทเปนเปำหมำยกำรโจมต: CIA Triad
15
Information risks Unauthorized access & disclosure of confidential information Unauthorized addition, deletion, or modification of information
Operational risks System not functional (Denial of Service - DoS) System wrongly operated
Personal risks Identity thefts Financial losses Disclosure of information that may affect employment or other personal
aspects (e.g. health information) Physical/psychological harms
Organizational risks Financial losses Damage to reputation & trust
ผลกระทบ/ควำมเสยหำย
16
ผลกระทบ/ควำมเสยหำย
• ควำมลบถกเปดเผย
• ควำมเสยงตอชวต สขภำพ จตใจ กำรเงน และกำรงำนของบคคล
• ระบบลม กำรใหบรกำรมปญหำ
• ภำพลกษณขององคกรเสยหำย
17
แหลงทมำของกำรโจมต
• Hackers
• Viruses & Malware
• ระบบทมปญหำขอผดพลำด/ชองโหว
• Insiders (บคลำกรทมเจตนำรำย)
• กำรขำดควำมตระหนกของบคลำกร
• ภยพบต
21
Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia)
Security: “The degree of protection to safeguard ... person against danger, damage, loss, and crime.” (Wikipedia)
Information Security: “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction” (Wikipedia)
Security & Privacy
25
หลกจรยธรรมทเกยวกบ Privacy
• Autonomy (หลกเอกสทธ/ควำมเปนอสระของผปวย)
• Beneficence (หลกกำรรกษำประโยชนสงสดของผปวย)
• Non-maleficence (หลกกำรไมท ำอนตรำยตอผปวย)“First, Do No Harm.”
26
Hippocratic Oath...
What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....
http://en.wikipedia.org/wiki/Hippocratic_Oath
27
กฎหมำยทเกยวของกบ Privacy
• พรบ.สขภำพแหงชำต พ.ศ. 2550
• มำตรำ 7 ขอมลดำนสขภำพของบคคล เปนควำมลบสวนบคคล ผใดจะน ำไปเปดเผยในประกำรทนำจะท ำใหบคคลนนเสยหำยไมได เวนแตกำรเปดเผยนนเปนไปตำมควำมประสงคของบคคลนนโดยตรง หรอมกฎหมำยเฉพำะบญญตใหตองเปดเผย แตไมวำในกรณใด ๆ ผใดจะอำศยอ ำนำจหรอสทธตำมกฎหมำยวำดวยขอมลขำวสำรของรำชกำรหรอกฎหมำยอนเพอขอเอกสำรเกยวกบขอมลดำนสขภำพของบคคลทไมใชของตนไมได
28
ประมวลกฎหมำยอำญำ• มำตรำ 323 ผใดลวงรหรอไดมำซงควำมลบของผอนโดยเหตทเปน
เจำพนกงำนผมหนำท โดยเหตทประกอบอำชพเปนแพทย เภสชกร คนจ ำหนำยยำ นำงผดงครรภ ผพยำบำล...หรอโดยเหตทเปนผชวยในกำรประกอบอำชพนน แลวเปดเผยควำมลบนนในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใด ตองระวำงโทษจ ำคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบำท หรอทงจ ำทงปรบ
• ผรบกำรศกษำอบรมในอำชพดงกลำวในวรรคแรก เปดเผยควำมลบของผอน อนตนไดลวงรหรอไดมำในกำรศกษำอบรมนน ในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใดตองระวำงโทษเชนเดยวกน
29
ค ำประกำศสทธและขอพงปฏบตของผปวย
7. ผปวยมสทธไดรบกำรปกปดขอมลของตนเอง เวนแตผปวยจะใหควำมยนยอมหรอเปนกำรปฏบตตำมหนำทของผประกอบวชำชพดำนสขภำพเพอประโยชนโดยตรงของผปวยหรอตำมกฎหมำย
30
ขอควำมจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ
... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"
ขอมลผปวย บน Social Media
31
แนวทำงกำรคมครอง Privacy• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations Enforcement Ongoing privacy & security assessments,
monitoring, and protection
32
เรองเลำจำกรำมำธบด #5: Enforcement
Uniform Enforcement:เรองเลำเกยวกบ
ควำมนำรก นำศรทธำของผบรหำร(ทำน ศ. นพ.รชตะ รชตะนำวน)
34
เรองเลำจำกรำมำธบด #6: PR Nightmare & Response
http://new.khaosod.co.th.khaosod.online/dek3/win.html (อนตรำย! ไมควรเขำเวบน)
ขำวนไมเปนควำมจรง
38
Attack
An attempt to breach system security
Threat
A scenario that can harm a system
Vulnerability
The “hole” that is used in the attack
Common Security Terms
41
Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something
(malware, phishing & social
engineering)Eve/Mallory
42
Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data (“Man-in-the-middle”
attacks)
- “Replay” attacksEve/Mallory
43
Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & privileges
- Attacks through software vulnerabilities
- Attacks using protocol weaknesses
- DoS / DDoS attacks Eve/Mallory
45
Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security risk management & response
- Uniform enforcement of policy & monitoring
- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)
- Legal obligations, requirements & disclaimers
46
Alice
Safeguarding Against Attacks
Server Bob
Physical Security
- Protecting physical access of clients & servers- Locks & chains, locked rooms, security cameras
- Mobile device security
- Secure storage & secure disposition of storage devices
47
Alice
Safeguarding Against Attacks
Server Bob
User Security
- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)
- Principle of Least Privilege
- “Clear desk, clear screen policy”
- Audit trails
- Education, awareness building & policy enforcement
- Alerts & education about phishing & social engineering
48
Alice
Safeguarding Against Attacks
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring
- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities
- Redundancy (avoid “Single Point of Failure”)
- Honeypots
49
Alice
Safeguarding Against Attacks
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- Software testing against failures, bugs, invalid inputs,
performance issues & attacks
- Updates to patch vulnerabilities
50
Alice
Safeguarding Against Attacks
Server Bob
Network Security
- Access control (physical & electronic) to network devices
- Use of secure network protocols if possible
- Data encryption during transit if possible
- Bandwidth monitoring & control
51
Alice
Safeguarding Against Attacks
Server Bob
Database Security
- Access control to databases & storage devices
- Encryption of data stored in databases if necessary
- Secure destruction of data after use
- Access control to queries/reports
- Security features of database management systems (DBMS)
52
Line เสยงตอกำรละเมด Privacy ผปวยไดอยำงไร?
• ขอมลใน Line group มคนเหนหลายคน• ขอมลถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได
(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทสงผาน network ไมไดเขารหส• ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ
อาจถก hack ได• มคนเดา Password ได
53
ทำงออกส ำหรบกำร Consult Case ผปวย
• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ
ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง
(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,
เชค malware ฯลฯ)
55
User Account SecuritySo, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)
56
What’s the Password?
Unknown Internet sources, via
http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,
via Facebook page “สอนแฮกเวบแบบแมวๆ”
57
Access control Selective restriction of access to the system
Role-based access control Access control based on the person’s role (rather than
identity)
Audit trails Logs/records that provide evidence of sequence of
activities
User Security
58
Identification Identifying who you are
Usually done by user IDs or some other unique codes
Authentication Confirming that you truly are who you identify
Usually done by keys, PIN, passwords or biometrics
Authorization Specifying/verifying how much you have access
Determined based on system owner’s policy & system configurations
“Principle of Least Privilege”
User Security
59
Nonrepudiation Proving integrity, origin, & performer of an activity without
the person’s ability to refute his actions
Most common form: signatures
Electronic signatures offer varying degrees of nonrepudiation
PIN/password vs. biometrics
Digital certificates (in public key infrastructure - PKI) often used to ascertain nonrepudiation
User Security
61
ควำมยำว 8 ตวอกษรขนไป
ควำมซบซอน: 3 ใน 4 กลมตวอกษร Uppercase letters
Lowercase letters
Numbers
Symbols
ไมมควำมหมำย (ปองกน “Dictionary Attacks”)
ไมใช simple patterns (12345678, 11111111)
ไมเกยวกบขอมลสวนตวทคนสนทอำจร (เชน วนเกด ชอคนในครอบครว ชอสตวเลยง)
Passwords
62
เรองเลำจำกรำมำธบด #8: Password ทองงำย (แตก Hack งำย)
Dictionary Attack: เรองเลำจำกกำรเรยน
กำร Hack ระบบ ท USA
64
แลวจะจ ำ Password ไดยงไง?คดประโยคภำษำองกฤษสก 1 ประโยคประโยคนควรมค ำ 8 ค ำขนไป และควรมตวเลข
หรอสญลกษณพเศษดวย ใชตวอกษรตวแรกของแตละค ำ เปน Password
65
ตวอยำงกำรตง Password
http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/
70
Logout After Use
อยำลม Logout หลงใชงำนเสมอ โดยเฉพำะเครองสำธำรณะ
(หำกไมอยทหนำจอ แมเพยงชวคร ให Lock Screen เสมอ)
72
Mobile Securityตง PIN ส ำหรบ Lock Screen เอำไว ไมเกบขอมลส ำคญเอำไว ระวงไมใหสญหำย หำกสญหำยรบแจงระงบ
81
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
82
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
85
ลกษณะส ำคญทควรสงสย PhishingGrammar หวยแตกตวสะกดผดเยอะพยำยำมอยำงยงใหเปดไฟลแนบ หรอกด link
หรอตอบเมล แตไมคอยใหรำยละเอยดE-mail ทมำจำกคนรจก ไมไดปลอดภยเสมอไป
87
Don’t be too trusting of people
Always be suspicious & alert
An e-mail with your friend’s name & info doesn’t have to come from him/her
Look for signs of phishing attacks
Don’t open attachments unless you expect them
Scan for viruses before opening attachments
Don’t click links in e-mail. Directly type in browser using known & trusted URLs
Especially cautioned if ask for passwords, bank accounts, credit card numbers, social security numbers, etc.
Ways to Protect against Phishing
89
ประกำศเตอนภย Ransomware ในรำมำธบด
ขอบคณภำพ Screen Saver จำกฝำยสำรสนเทศ คณะแพทยศำสตรโรงพยำบำลรำมำธบด
93
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
94
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
96
เรองเลำจำกรำมำธบด #14: Virus & Patch Updates
Virus/Malware Attack & Windows Update: เรองเลำจำกบทบำท
Chief IT Admin รำมำธบด(ทตองดแลระบบลม)
101
Most common reason for security bugs is invalid programming assumptions that attackers will look for
Weak input checking
Buffer overflow
Integer overflow
Race condition (Time of Check / Time of Use vulnerabilities)
Running programs in new environments
Software Security
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
102
Feeping creaturism (Creeping featurism)
Log files that contain sensitive information
Configuration bugs
Unnecessary privileges
Monoculture
Security bypass
Software Security
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
103
Consider a log-in form on a web page
Example of Weak Input Checking: SQL Injection
Source code would look
something like this:
statement = "SELECT * FROM users
WHERE name = '" + userName + "';"
Attacker would enter as username:
' or '1'='1
Which leads to this always-true query:
statement = "SELECT * FROM users
WHERE name = '" + "' or '1'='1" + "';"
statement = "SELECT * FROM users WHERE name = '' or '1'='1';"
http://en.wikipedia.org/wiki/SQL_injection
104
Economy of Mechanism Design should be small & simple
Fail-safe default
Complete mediation Check every access to every object
Open design
Separation of privilege / Least Privilege
Secure Software Design Principles
Saltzer & Schroeder (1975), Viega & McGraw (2000)Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
105
Least common mechanism Minimize complexity of shared components
Psychological acceptability If users don’t buy in to security mechanism or don’t
understand how to use it, system is insecure
Work factor Cost of attack should exceed resources attacker will
spend
Secure Software Design Principles
Saltzer & Schroeder (1975), Viega & McGraw (2000)Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
106
Compromise recording If too expensive to prevent a compromise, record it
Tamper evident vs. tamperproof
Log files
Secure Software Design Principles
Saltzer & Schroeder (1975), Viega & McGraw (2000)Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 Image source: http://www.flickr.com/photos/goobelyga/2340650133/
107
Defense in Depth Multiple layers of security defense are placed throughout
a system to provide redundancy in the event a security control fails
Secure the weakest link
Promote privacy
Trust no one
Secure Software Design Principles
Saltzer & Schroeder (1975), Viega & McGraw (2000)Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 http://en.wikipedia.org/wiki/Defense_in_depth_(computing)
108
Modular design
Check error conditions on return values
Validate inputs (whitelist vs. blacklist)
Avoid infinite loops, memory leaks
Check for integer overflows
Language/library choices
Development processes
Secure Software Best Practices
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
110
Malicious software - Any code with intentional, undesirable side effects
Virus
Worm
Trojan
Spyware
Logic Bomb/Time Bomb
Backdoor/Trapdoor
Rootkit
Botnet
Malware
111
Virus Propagating malware that requires user action to
propagate
Infects executable files, data files with executable contents (e.g. Macro), boot sectors
Worm Self-propagating malware
Trojan A legitimate program with additional, hidden functionality
Malware
112
Spyware Trojan that spies for & steals personal information
Logic Bomb/Time Bomb Malware that triggers under certain conditions
Backdoor/Trapdoor A hole left behind by malware for future access
Malware
113
Rogue Antispyware Software that tricks or forces users to pay before fixing (real or
hoax) spyware detected
Rootkit A stealth program designed to hide existence of certain processes
or programs from detection
Botnet A collection of Internet-connected computers that have been
compromised (bots) which controller of the botnet can use to do something (e.g. do DDoS attacks)
Malware
114
Installed & updated antivirus, antispyware, & personal firewall
Check for known signatures
Check for improper file changes (integrity failures)
Check for generic patterns of malware (for unknown malware): “Heuristics scan”
Firewall: Block certain network traffic in and out
Sandboxing
Network monitoring & containment
User education
Software patches, more secure protocols
Defense Against Malware
115
Social media spams/scams/clickjacking
Social media privacy issues User privacy settings
Location services
Mobile device malware & other privacy risks
Stuxnet (advanced malware targeting certain countries)
Advanced persistent threats (APT) by governments & corporations against specific targets
Crypto-Ransomware
Newer Threats
116
US-CERT U.S. Computer Emergency Readiness Team
http://www.us-cert.gov/
Subscribe to alerts & news
Microsoft Security Resources http://technet.microsoft.com/en-us/security
http://technet.microsoft.com/en-us/security/bulletin
Common Vulnerabilities & Exposures
http://cve.mitre.org/
More Information
118
Outline
• ท ำไมเรำตองแครเรอง Security & Privacy?
• Security/Privacy กบขอมลผปวย
• แนวปฏบตดำน Privacy ของขอมล
• แนวปฏบตดำน Security ของระบบ