emerging threat

SURACHAI CHATCHALERMPUN C I S A , C I S S P , C S S L P , S S C P , C E H , E C S A / L P T , I R C A : I S M S ( I S O 2 7 0 0 1 )

S U B - C O M M I T T E E O F T ISA &

S E C R E T A R I A T O F OWASP, CSA T H A I L A N D C H A P T E R

ความเสยงทมากบเทคโนโลยอบตใหม (EMERGING TECHNOLOGY)

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.

ประวตวทยากร

1. ISC2: CISSP (Certified Information Systems Security Professional )

เปนคณสมบตของผเชยวชาญในการบรหารจดการความม นคงปลอดภยระบบสารสนเทศ

2. ISC2: CSSLP (Certified Secure Software Lifecycle Professional)

เปนคณสมบตของผทสามารถตรวจรบรองคณภาพความม นคงปลอดภยวงจรการพฒนาซอฟทแวร

3. ISC2: SSCP (Systems Security Certified Practitioner) เปนคณสมบตของผเชยวชาญความม นคงปลอดภยดานเทคนค

4. EC-Council: CEH (Certified Ethical Hacker)

เปนคณสมบตของผเชยวชาญการเปน Hacker อยางมจรยธรรม

5. EC-Council: ECSA (EC-Council Certified Security Analyst)

เปนคณสมบตของผเชยวชาญความม นคงปลอดภยในการวเคราะห

6. EC-Council: LPT (Licensed Penetration Tester)

เปนคณสมบตของผเชยวชาญการเจาะระบบ

7. IRCA: ISMS (Information Security Management System) เปนคณสมบตของ Auditor ของ Project ISO27001 ได

8. ISACA: CISA (Certified Information Systems Auditor) เปนคณสมบตของ Auditor ของระบบสารสนเทศ

CERTIFICATES

1) Where Risk comes from?

2) Relationship of Risk (Threats and Vulnerabilities)

3) March 2012 Cyber Attacks Statistic Timeline (Happened!!!)

4) How Do Technology Trends Impact the Human, Business and IT

Experiences? (By Gartner Trend 2012)

5) Security Vendor Influencer Prediction

6) ISF Threat Horizon Prediction?

7) CASE STUDY FOR LESSON LEARNED

8) HOW CAN WE DETECT/CORECT/PREVENT THESE THREATS?

9) WHAT IS THE GOOD/BEST SOLUTIONS for Managing this Risks?

10) สรปสงทผตรวจสอบควรท า และ แจกตวอยางนโยบาย

AGENDA

CASE STUDY FOR LESSON LEARNED

1. Mobile risk

(ความเสยงจากการใชอปกรณพกพา)

2. Social network risk

(ความเสยงจากการใชเครอขายสงคมออนไลน)

3. Web application risk

(ความเสยงของเวบไซต ทอาจจะพฒนาอยางไมม นคงปลอดภย)

WHERE RISK COMES FROM?

http://tungsteninvestingnews.com/2061-bgs-risk-list-why-tungsten-is-on-it.html

Asset = ทรพยสน

Threat = ภยคกคาม Vulnerability = ชองโหว

Risk = ความเสยง

R = A * T * V

RISK RELATIONSHIP

http://blog.patriot-tech.com/blog/bid/51353/An-Introduction-to-IT-Risk-Management

THE RELATIONSHIPS AMONG THE DIFFERENT SECURITY COMPONENTS

Book: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010

Impact = ผลกระทบ

Likelihood = โอกาสทจะเกด

Risk = ความเสยง

R = I * L

แผนภมความเสยง (RISK MAP)

การเปลยนแปลงรปแบบการกระท าความผด

อาชญากรรมทางคอมพวเตอร อาชญากรรม

RELATIONSHIP OF THREATS AND VULNERABILITIES

MARCH 2012 CYBER ATTACKS TIMELINE

http://paulsparrows.files.wordpress.com/2012/03/march-2012-cyber-attacks-timeline-part-i.png?w=595&h=4338

http://i.techrepublic.com.com/blogs/gartner-2012-top-10-tech.jpg

SECURITY VENDOR INFLUENCER

PREDICTION

http://paulsparrows.files.wordpress.com/2011/05/2011-security-vendor-predictions.png

www.paulsparrows.files.wordpress.com

What is APT?

• Advanced • All possible available techniques (or new)

• Coordinated • Both well-know and UKNOWN (0-day)

vulnerabilities • Multiple phases

• Persistent • Here to stay

• Not by accident (targeted) • Specific mission • Polymorphic (for signature-base evasion) • Dormant(able)

• Threat • Organized and funded and motivated

• dedicated "crews" with various missions • State-sponsored • Cyberwarfare

• Highly sophisticated

• Targeted • Steal Information

http://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554

APT is used for …

• Political objectives that include continuing to suppress its own population in the name of "stability.“

• Economic objectives that rely on stealing intellectual property from victims. Such IP can be cloned and sold, studied and underbid in competitive dealings, or fused with local research to produce new products and services more cheaply than the victims.

• Technical objectives that further their ability to accomplish their mission. These include gaining access to source code for further exploit development, or learning how defenses work in order to better evade or disrupt them. Most worringly is the thought that intruders could make changes to improve their position and weaken the victim.

• Military objectives that include identifying weaknesses that allow inferior military forces to defeat superior military forces. The Report on Chinese Government Sponsored Cyber Activities addresses issues like these.

Some Characteristic of APT

• Named in 2008 by US Air Force

• As security jargon when Google describe the attack on 2009

• Advanced • Coordinated

• Multi-phases

• High expertise/knowledge/skill in each phase unlikely to be in one single individual

• Highly crafted for specific target organization or individual

• Period of operation in weeks, months or years

• Not easy to detect

Some Characteristic of APT

• Phases of the operation • Target selection

• Vulnerability identification

• Domain contamination

• Information ex-filtration

• Intelligence analysis

• Exploitation

Spear-Phishing

ผบรหารระดบสง

เลขา

ผดแลระบบ (Admin)

การเลอกเหยอแบบ “เฉพาะเจาะจง”

VDO Security Awareness

ทายซวา เกดอะไรขน !!! บนหนาจอคอมฯ

Security Awareness >> Show Case

Can you trust this file? Click or Not ?

ความอนตรายทแฝงเขามากบสงทเหมอนจะไมมอะไร

Trojan Horse

ตวอยาง การหลอกลอเหยอใหตกใจ!!!

แลวใหตดกบดก ดวยการเสนอวธชวยเหลอ โดยการใหลงโปรแกรม AV โจร

STUXNET

• Discovered late June 2010

• A computer worm that infects Windows computers

• It primarily spreads via USB sticks, which allows it to

get into computers and networks not normally

connected to the Internet

• Use both known and patched vulnerabilities, and

four "zero-day exploits”

• Target Siemens PLC

• Reads and changes particular bits of data in the

• It’s claimed to target Iranian powerplant

http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf

WHO ADDRESS THE EMERGING THREAT?

HOW WE DETECT/CORECT/PREVENT THESE THREATS?

CASE STUDY FOR LESSON LEARNED

1. Mobile risk

2. Social network risk

3. Web application risk

(ความเสยงของเวบไซต ทอาจจะพฒนาอยางไมม นคงปลอดภย)

MOBILE RISK

[ยงทนสมย ยงมภย(ตามตดเปนเงา)]

โรงแรม(ในกรงเทพ) ทส งทกอยางไดดวยปลายนว ไฮเทคมากๆเลย

ทกอยางส งงานผานทางมอถอ Andriod ดวยเทคโนโลย NFC

และ Wifi (+3G) และเปนเสมอน key card เขาหอง

หากมอถอนหาย จะเกดอะไรขน?

ถาถกขโมย หรอ ถาถก hack?

[ยงทนสมย ยงมภย(ตามตดเปนเงา)]

แลวถาแบตหมดหละ?

แตขอดคอ ถาลม กโทรเขาได ยงดทหาเจอ ^^

ใครลง Antivirus

ทมอถอบาง…?

ระวงถกลวงความลบและดกฟงโทรศพทมอถอดวย SPY PHONE

ภยคกคามตอความเปนสวนตว !!! โดยทคณไมรตว…

• Can read SMS…

• Can read & send e-mail…

• Can see Call logs

• Can see & stolen your data in Phone or SD Card

• Can record & download your voice …

• Can see your WebCam…

• Can know Location where you are…

HOW TO SURVIVE

• Raise security awareness

• Always lock your mobile’s screen with PinCode

• Install mobile’s antivirus

• Don’t use free Wi-fi, if you not sure it is can trust

• Always check your list of Application

• Change default password of web server

ไปด VDO กน!!!

“A LIFE ON FACEBOOK” (Diary online)

SOCIAL NETWORK RISK

Social Network คออะไร เปน Social Media ชนดหนง ทท ำใหเกดกำรเชอมตอกน

ของบคคลเขำเปนสงคมอยำงกวำงขวำง

Social Media คอ สอทำงเลอกใหมทเกดขน ท ำใหบคคลสำมำรถเผยแพรหรอน ำเสนอขอมลขำวสำรตอสงคม ในวงกวำง

ประเดนนาสนใจ Impersonation (กำรแอบอำงสวมรอยบคคล)

จะท ำอยำงไรหำกคณหรอหนวยงำนถกสวมรอย Privacy (ขอมลสวนบคคล)

ใสขอมลมำกมำย แลวควำมเปนสวนตวอยทไหน Intelligent Internet Data Mining (ระบบสบคนขอมลอจฉรยะ)

คนหำขอมลบคคลจำกเครอขำยสงคมออนไลน Marketing tool or Brand destruction (เครองมอทำงกำรตลำดหรอชองทำงท ำลำย

ภำพลกษณ) กำรสงขำวสำรถงประชำชนไดเรวยอมด แตหำกมผไมประสงคด สงขอมลผดๆ ใหประชำชน ภำครฐจะท ำอยำงไร

Social Network and Information Warfare (เครอขำยสงคมกบสงครำมขอมลขำวสำร)

Social Networking Hi5 MySpaces Facebook Tagged Linkedin Twitter

ความเสยง เปดเผยขอมลสวนตวมำกเกนไป อำจเปนขอมลเทจ ถกท ำ Social Engineer จำก

ขอมลทเปดเผย ตดไวรส หรอ Malware ตดกบดก Phishing

Social Networking Risk

Web 1.0 vs. Web 2.0

VDO Security Awareness

หาก สาว? คนน!!! มาขอคณเปนเพอนใน Facebook จะท าอยางไร?

ภำพหรอขอมลทอยภำยในน ใชเพอกำรศกษำเทำนนและเปนอทำหรณสอนใจอนเปนประโยชนแกคนสวนรวม มไดมวตถประสงคลวงเกนทำนแตอยำงใด หำกเหนวำไมเหมำะสม รบกวนแจงกลบเพอน ำออก

Reconnaissance personal information

การคนหาขอมลสวนบคคล(อน) ดวยอำวธทำง Cyber

ตวอยาง การหลอกเหยอใหบอก Password (Social Engineering)

http://www.soccersuck.com/soccer/viewtopic.php?t=419484

เสรจโจร

Important Trick for Account Recovery

Email x Password x

Email x Password z

Email y Password y

Email n Password n

ค าแนะน าเพอการปองกน

• ไมหลงเชอขอมลตำงๆ โดยงำย • ไมเปดเผยขอมลสวนตวมำกเกนไป • ไม Click หรอ Download โดยไมระมดระวง • Update News • Update latest Patch • Update latest Anti-Virus/Anti-Malware • เตรยมแผนรองรบเมอ Account ถกขโมย

Security Awareness Poster

บทสรป

• Social Network มทงประโยชน และโทษ • มมจฉำชพและภยมำกมำยทอำศยชองทำงน • ตองใชอยำงมสต รเทำทน และระมดระวง

WEB APPLICATION RISK

(ความเสยงของเวบไซต ทอาจจะพฒนาอยางไมมนคงปลอดภย)

• Easiest way to compromise hosts, networks and users.

• Widely deployed.

• No Logs! (POST Request payload)

• Incredibly hard to defend against or detect.

• Most don’t think of locking down web applications.

• Intrusion detection is a joke.

• Firewall? What firewall? I don’t see no firewall…

• SSL Encrypted transport layer does nothing.

Source: White Hat Security

WEB APPLICATION HACKING

DMZ Zone

Server farm Zone

Hardened OS

Web Server

App Server

Billin

Custom Developed Application Code

APPLICATION ATTACK

You can’t use network layer protection (Firewall, SSL, IDS, hardening) to stop or detect application layer attacks

er Your security “perimeter” has huge

holes at the “Application layer”

Your “Code” is Part of Your Security Perimeter

• Web Applications are vulnerable:

• exposing its own vulnerabilities.

• Change frequently, requiring constant tuning of

application security.

• Complex and feature rich with the advent of AJAX, Web

Services and Web 2.0. (and Social Network)

• Web Applications are threatened: • New business models drive “for profit” hacking.

• Performed by Black hat professionals enabling complex attacks.

• Potential impact may be severe: • Web applications are used for sensitive information

and important transactions.

THE WEB APPLICATION SECURITY RISK

• Web Attacks are Stealth: • Victims hide breaches.

• Incidents are not detected.

• Statistics are Skewed: • Number of incident

reported is statistically insignificant.

THREAT IS DIFFICULT TO ASSESS

Source: Breach Security

Source: Web Hacking Incidents Database

• Zone-H (The Hacker Community) • http://www.zone-h.org • The most comprehensive attack repository, very

important for public awareness. • Reported by hackers and focus on defacements.

• WASC Statistics Project • http://www.webappsec.org

• OWASP top 10 • http://www.owasp.org

AVAILABLE ONLINE SOURCES

Hacking Incidents (Defacement)

SDLC & OWASP GUIDELINES

Source: OWASP

8) HOW CAN WE DETECT/CORECT/PREVENT THESE THREATS?

9) WHAT IS THE GOOD/BEST SOLUTIONS

for Managing the Risks?

สรป ส าหรบผตรวจสอบ (AUDITOR)

AUDIT PRINCIPLE : 3 E

Exist (มอยแลวหรอยง?)

Execute (ไดใชอยหรอเปลา?)

Effective (ไดผลม ย?)

Policy

Procedure or SOP (Standard Operating Procedure)

WI (Work Instruction), Form,

Supporting Document

วธการท างานแบบรายละเอยด, แบบฟอรมทเกยวของ , หรอ เอกสาร support “Procedure” ชนดอนๆ

อธบายขนตอนการปฏบตงาน (Process)

นโยบายดานความปลอดภยสารสนเทศ

ระดบ high level และ ระดบ practical level

Standard มาตรฐานทเปนขอก าหนดดานความปลอดภยสารสนเทศ

Policy, Standard, Procedure & Work Instruction

Credited by : TISA

Information Security Policy and Policy Hierarchy Ref: ISO/IEC 27003:2010 (ISMS implementation guidance)

ISMS Policy

Social Network Security Policy

Mobile Device Security Policy

Other Specific Policy

Social Network Acceptable Use

Policy

Mobile Device Acceptable Use

Policy

Other Acceptable Use

Policy

Credited by : TISA

สรป ส าหรบผตรวจสอบ (AUDITOR)

1. Policy (นโยบาย):

ส ารวจวาในองคกร/บรษท ของทานม ครอบคลมทกเรองความเสยง* แลวหรอยง?

(จ าเปนตองม และ ตองท าตาม)

2. Standard (มาตรฐาน): ส ารวจวาในองคกร/บรษท ของทาน มเฉพาะแตละเรอง แลวหรอยง?

(จ าเปนตองม และ ตองท าตาม)

3. Procedure (ข นตอนการปฏบตงาน): ส ารวจวาในองคกร/บรษท ของทาน มเฉพาะแตละเรอง แลวหรอยง?

(ควรม และ ตองท าตาม)

4. Guideline (ขอควรปฏบต): ส ารวจวาในองคกร/บรษท ของทาน มเฉพาะแตละเรอง แลวหรอยง?

(ควรม และ ควรท าตาม)

You Need …

• Vision

• Knowledge

• Policy

• Strategy

• Technology It’s not just how to secure it.

It’s how to unleash the power of mobility securely.

Credited by : TISA

Next step : Solutions

• Vision

Top management support

• Policy นโยบายการใชงานสมารทโฟนและแทบเลทในองคกร

• Strategy

เครองของพนกงาน(สวนตว)ทกเครองทเกยวกบงาน/ธรกจ ควรไดรบการควบคม/บรหารจดการ โดย Policy ขององคกร

• Knowledge

Annually Security awareness training

• Technology Credited by : TISA

สงทตองค ำนงถงในกำรก ำกบดแล

ใหเชอมตอหรอไมใหเชอมตอ

อปกรณทจะเชอมตอนน องคกรตองสามารถควบคมและก ากบการใชงานได

โดยไมละเมดความเปนสวนตว

ถาไมสามารถควบคมหรอก ากบดแลได ไมควรใหเชอมตอ

ใหใชเครองสวนตวเชอมตอ หรอตองใชเครองทองคกรจดหาใหเทานน

ใหเขาถงระบบงานหรอจดเกบขอมลประเภทใดไดบาง

ใหเขาถงระบบไดในชวงเวลาใดบาง

ใหเขาถงระบบไดจากทใดบาง Credited by : TISA

สงทตองค ำนงถงในกำรก ำกบดแล

อาจมการจดระดบการใชงานตามความสามารถในการก ากบบดแล เชน

ระดบ การควบคม

มาตรการ ระบบงานทอนญาต

0 ไมมการควบคม + Not allowed

1 Antivirus + Guest WiFi + Internet Browsing

2 (1) + Anti-theft + Intranet + Corporate Email

3 (2) + Policy Enforcer (Encryption, Password Protection)

+ VPN + Business critical

system

Credited by : TISA

แจก ตวอยางนโยบาย

1. นโยบายการใชเครอขายสงคมออนไลน

2. นโยบายวาดวยการรกษาความม นคงปลอดภยส าหรบอปกรณพกพา

Credited by : TISA

A COMPLETE SECURITY PROGRAM CONTAINS MANY ITEMS

Strategic

Tactical

Operational

Top-down approach

BLUEPRINTS MUST MAP THE SECURITY AND BUSINESS REQUIREMENTS.

A COMPREHENSIVE AND EFFECTIVE SECURITY MODEL HAS MANY INTEGRATED PIECES.

ผใชงานตองมความรเทาทนและระแวดระวงอยเสมอ

เครองทจะใชตองไดรบการดแลและรทมา

เชอมตอผานระบบทนาเชอถอและไวใจได

เขาสบรการทนาเชอถอและไวใจได

Trusted Components

หากมขอสงสยหรอค าถามเพมเตมตดตอไดท :

Email: surachai.won[at]gmail[dot]com

ตดตามผลงานไดท:

Slideshare: www.slideshare.net/chatsec YouTube: www.youtube.com/user/WonJuJub Blogspot: www.wonjujub.blogspot.com/ Facebook Fanpage:

www.facebook.com/surachai.chatchalermpun

Contact Me

TH@NK Y0U

emerging threat

Technology

경영전략...

plastics a threat

japaan nuclear threat

kaspersky threat intelligence services

metabolic syndrome an emerging threat to renal...

emerging technology

emerging and re-emerging disease kelompok 1

operational cyber threat intelligence:

2.ibm advanced threat protection platform · 2012-09-13 ·...

threat hunting with splunk

cisco cyber threat defense

bc threat intelligence_rev2.1

cyber threat alerts 2012

cb41200001201050315-oppurtunity and threat

emerging potential

emerging & re-emerging disease29

emerging markets

symantec advanced threat protection

isis emerging dan re-emerging disease

china's emerging economic relationship with southeast title...