emerging threat

SURACHAI CHATCHALERMPUN C I S A , C I S S P , C S S L P , S S C P , C E H , E C S A / L P T , I R C A : I S M S ( I S O 2 7 0 0 1 )

S U B - C O M M I T T E E O F T ISA &

S E C R E T A R I A T O F OWASP, CSA T H A I L A N D C H A P T E R

ความเสยงทมากบเทคโนโลยอบตใหม (EMERGING TECHNOLOGY)

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.

©2012 All rights reserved

ประวตวทยากร

1. ISC2: CISSP (Certified Information Systems Security Professional )

เปนคณสมบตของผเชยวชาญในการบรหารจดการความม นคงปลอดภยระบบสารสนเทศ

2. ISC2: CSSLP (Certified Secure Software Lifecycle Professional)

เปนคณสมบตของผทสามารถตรวจรบรองคณภาพความม นคงปลอดภยวงจรการพฒนาซอฟทแวร

3. ISC2: SSCP (Systems Security Certified Practitioner) เปนคณสมบตของผเชยวชาญความม นคงปลอดภยดานเทคนค

4. EC-Council: CEH (Certified Ethical Hacker)

เปนคณสมบตของผเชยวชาญการเปน Hacker อยางมจรยธรรม

5. EC-Council: ECSA (EC-Council Certified Security Analyst)

เปนคณสมบตของผเชยวชาญความม นคงปลอดภยในการวเคราะห

6. EC-Council: LPT (Licensed Penetration Tester)

เปนคณสมบตของผเชยวชาญการเจาะระบบ

7. IRCA: ISMS (Information Security Management System) เปนคณสมบตของ Auditor ของ Project ISO27001 ได

8. ISACA: CISA (Certified Information Systems Auditor) เปนคณสมบตของ Auditor ของระบบสารสนเทศ

CERTIFICATES

1) Where Risk comes from?

2) Relationship of Risk (Threats and Vulnerabilities)

3) March 2012 Cyber Attacks Statistic Timeline (Happened!!!)

4) How Do Technology Trends Impact the Human, Business and IT

Experiences? (By Gartner Trend 2012)

5) Security Vendor Influencer Prediction

6) ISF Threat Horizon Prediction?

7) CASE STUDY FOR LESSON LEARNED

8) HOW CAN WE DETECT/CORECT/PREVENT THESE THREATS?

9) WHAT IS THE GOOD/BEST SOLUTIONS for Managing this Risks?

10) สรปสงทผตรวจสอบควรท า และ แจกตวอยางนโยบาย

AGENDA



CASE STUDY FOR LESSON LEARNED

1. Mobile risk

(ความเสยงจากการใชอปกรณพกพา)

2. Social network risk

(ความเสยงจากการใชเครอขายสงคมออนไลน)

3. Web application risk

(ความเสยงของเวบไซต ทอาจจะพฒนาอยางไมม นคงปลอดภย)

WHERE RISK COMES FROM?

http://tungsteninvestingnews.com/2061-bgs-risk-list-why-tungsten-is-on-it.html

Asset = ทรพยสน

Threat = ภยคกคาม Vulnerability = ชองโหว

Risk = ความเสยง

R = A * T * V

RISK RELATIONSHIP

http://blog.patriot-tech.com/blog/bid/51353/An-Introduction-to-IT-Risk-Management

THE RELATIONSHIPS AMONG THE DIFFERENT SECURITY COMPONENTS

Book: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010

Impact = ผลกระทบ

Likelihood = โอกาสทจะเกด

Risk = ความเสยง

R = I * L

แผนภมความเสยง (RISK MAP)

การเปลยนแปลงรปแบบการกระท าความผด



อาชญากรรมทางคอมพวเตอร อาชญากรรม

RELATIONSHIP OF THREATS AND VULNERABILITIES


MARCH 2012 CYBER ATTACKS TIMELINE

http://paulsparrows.files.wordpress.com/2012/03/march-2012-cyber-attacks-timeline-part-i.png?w=595&h=4338

http://i.techrepublic.com.com/blogs/gartner-2012-top-10-tech.jpg

SECURITY VENDOR INFLUENCER

PREDICTION

http://paulsparrows.files.wordpress.com/2011/05/2011-security-vendor-predictions.png

www.paulsparrows.files.wordpress.com

What is APT?

• Advanced • All possible available techniques (or new)

• Coordinated • Both well-know and UKNOWN (0-day)

vulnerabilities • Multiple phases

• Persistent • Here to stay

• Not by accident (targeted) • Specific mission • Polymorphic (for signature-base evasion) • Dormant(able)

• Threat • Organized and funded and motivated

• dedicated "crews" with various missions • State-sponsored • Cyberwarfare

• Highly sophisticated

• Targeted • Steal Information

http://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554

APT is used for …

• Political objectives that include continuing to suppress its own population in the name of "stability.“

• Economic objectives that rely on stealing intellectual property from victims. Such IP can be cloned and sold, studied and underbid in competitive dealings, or fused with local research to produce new products and services more cheaply than the victims.

• Technical objectives that further their ability to accomplish their mission. These include gaining access to source code for further exploit development, or learning how defenses work in order to better evade or disrupt them. Most worringly is the thought that intruders could make changes to improve their position and weaken the victim.

• Military objectives that include identifying weaknesses that allow inferior military forces to defeat superior military forces. The Report on Chinese Government Sponsored Cyber Activities addresses issues like these.


http://taosecurity.blogspot.com/2009/10/report-on-chinese-government-sponsored.html

Some Characteristic of APT

• Named in 2008 by US Air Force

• As security jargon when Google describe the attack on 2009

• Advanced • Coordinated

• Multi-phases

• High expertise/knowledge/skill in each phase unlikely to be in one single individual

• Highly crafted for specific target organization or individual

• Period of operation in weeks, months or years

• Not easy to detect


Some Characteristic of APT

• Phases of the operation • Target selection

• Vulnerability identification

• Domain contamination

• Information ex-filtration

• Intelligence analysis

• Exploitation


Spear-Phishing


ผบรหารระดบสง

เลขา

ผดแลระบบ (Admin)

การเลอกเหยอแบบ “เฉพาะเจาะจง”

VDO Security Awareness

ทายซวา เกดอะไรขน !!! บนหนาจอคอมฯ



Security Awareness >> Show Case

Can you trust this file? Click or Not ?



ความอนตรายทแฝงเขามากบสงทเหมอนจะไมมอะไร

Trojan Horse





ตวอยาง การหลอกลอเหยอใหตกใจ!!!

แลวใหตดกบดก ดวยการเสนอวธชวยเหลอ โดยการใหลงโปรแกรม AV โจร

STUXNET

• Discovered late June 2010

• A computer worm that infects Windows computers

• It primarily spreads via USB sticks, which allows it to

get into computers and networks not normally

connected to the Internet

• Use both known and patched vulnerabilities, and

four "zero-day exploits”

• Target Siemens PLC

• Reads and changes particular bits of data in the

PLCs

• It’s claimed to target Iranian powerplant


http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf

WHO ADDRESS THE EMERGING THREAT?


HOW WE DETECT/CORECT/PREVENT THESE THREATS?


CASE STUDY FOR LESSON LEARNED

1. Mobile risk


2. Social network risk


3. Web application risk

(ความเสยงของเวบไซต ทอาจจะพฒนาอยางไมม นคงปลอดภย)

MOBILE RISK


[ยงทนสมย ยงมภย(ตามตดเปนเงา)]

โรงแรม(ในกรงเทพ) ทส งทกอยางไดดวยปลายนว ไฮเทคมากๆเลย

ทกอยางส งงานผานทางมอถอ Andriod ดวยเทคโนโลย NFC

และ Wifi (+3G) และเปนเสมอน key card เขาหอง

หากมอถอนหาย จะเกดอะไรขน?

ถาถกขโมย หรอ ถาถก hack?



[ยงทนสมย ยงมภย(ตามตดเปนเงา)]

แลวถาแบตหมดหละ?

แตขอดคอ ถาลม กโทรเขาได ยงดทหาเจอ ^^



ใครลง Antivirus

ทมอถอบาง…?



ระวงถกลวงความลบและดกฟงโทรศพทมอถอดวย SPY PHONE



http://www.it24hrs.com/2011/spyphone-warning/

http://www.it24hrs.com/2011/spyphone-warning/

ภยคกคามตอความเปนสวนตว !!! โดยทคณไมรตว…

• Can read SMS…

• Can read & send e-mail…

• Can see Call logs

• Can see & stolen your data in Phone or SD Card

• Can record & download your voice …

• Can see your WebCam…

• Can know Location where you are…



HOW TO SURVIVE

• Raise security awareness

• Always lock your mobile’s screen with PinCode

• Install mobile’s antivirus

• Don’t use free Wi-fi, if you not sure it is can trust

• Always check your list of Application

• Change default password of web server



•

ไปด VDO กน!!!

“A LIFE ON FACEBOOK” (Diary online)

SOCIAL NETWORK RISK





Social Network คออะไร เปน Social Media ชนดหนง ทท ำใหเกดกำรเชอมตอกน

ของบคคลเขำเปนสงคมอยำงกวำงขวำง

Social Media คอ สอทำงเลอกใหมทเกดขน ท ำใหบคคลสำมำรถเผยแพรหรอน ำเสนอขอมลขำวสำรตอสงคม ในวงกวำง


ประเดนนาสนใจ Impersonation (กำรแอบอำงสวมรอยบคคล)

จะท ำอยำงไรหำกคณหรอหนวยงำนถกสวมรอย Privacy (ขอมลสวนบคคล)

ใสขอมลมำกมำย แลวควำมเปนสวนตวอยทไหน Intelligent Internet Data Mining (ระบบสบคนขอมลอจฉรยะ)

คนหำขอมลบคคลจำกเครอขำยสงคมออนไลน Marketing tool or Brand destruction (เครองมอทำงกำรตลำดหรอชองทำงท ำลำย

ภำพลกษณ) กำรสงขำวสำรถงประชำชนไดเรวยอมด แตหำกมผไมประสงคด สงขอมลผดๆ ใหประชำชน ภำครฐจะท ำอยำงไร

Social Network and Information Warfare (เครอขำยสงคมกบสงครำมขอมลขำวสำร)

Social Networking Hi5 MySpaces Facebook Tagged Linkedin Twitter

ความเสยง เปดเผยขอมลสวนตวมำกเกนไป อำจเปนขอมลเทจ ถกท ำ Social Engineer จำก

ขอมลทเปดเผย ตดไวรส หรอ Malware ตดกบดก Phishing

Social Networking Risk



Web 1.0 vs. Web 2.0


VDO Security Awareness

54

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved 55

หาก สาว? คนน!!! มาขอคณเปนเพอนใน Facebook จะท าอยางไร?

ภำพหรอขอมลทอยภำยในน ใชเพอกำรศกษำเทำนนและเปนอทำหรณสอนใจอนเปนประโยชนแกคนสวนรวม มไดมวตถประสงคลวงเกนทำนแตอยำงใด หำกเหนวำไมเหมำะสม รบกวนแจงกลบเพอน ำออก


Reconnaissance personal information

56


การคนหาขอมลสวนบคคล(อน) ดวยอำวธทำง Cyber


ตวอยาง การหลอกเหยอใหบอก Password (Social Engineering)


http://www.soccersuck.com/soccer/viewtopic.php?t=419484

เสรจโจร




Important Trick for Account Recovery

Email x Password x

Email x Password z

Email y Password y

Email n Password n


ค าแนะน าเพอการปองกน

• ไมหลงเชอขอมลตำงๆ โดยงำย • ไมเปดเผยขอมลสวนตวมำกเกนไป • ไม Click หรอ Download โดยไมระมดระวง • Update News • Update latest Patch • Update latest Anti-Virus/Anti-Malware • เตรยมแผนรองรบเมอ Account ถกขโมย



Security Awareness Poster


บทสรป

• Social Network มทงประโยชน และโทษ • มมจฉำชพและภยมำกมำยทอำศยชองทำงน • ตองใชอยำงมสต รเทำทน และระมดระวง

WEB APPLICATION RISK

(ความเสยงของเวบไซต ทอาจจะพฒนาอยางไมมนคงปลอดภย)

• Easiest way to compromise hosts, networks and users.

• Widely deployed.

• No Logs! (POST Request payload)

• Incredibly hard to defend against or detect.

• Most don’t think of locking down web applications.

• Intrusion detection is a joke.

• Firewall? What firewall? I don’t see no firewall…

• SSL Encrypted transport layer does nothing.

Source: White Hat Security

WEB APPLICATION HACKING

Outer

Inner

DMZ Zone

Server farm Zone


Ou

ter F

irew

all

Hardened OS

Web Server

App Server

Inn

er F

irew

all

Da

tab

ase

s

Leg

ac

y S

yst

em

s

We

b S

erv

ice

s

Dire

cto

rie

s

Hu

ma

n R

eso

urc

e

Billin

g

Custom Developed Application Code

APPLICATION ATTACK

You can’t use network layer protection (Firewall, SSL, IDS, hardening) to stop or detect application layer attacks

Ne

two

rk L

ay

er

Ap

plic

atio

n L

ay

er Your security “perimeter” has huge

holes at the “Application layer”

Your “Code” is Part of Your Security Perimeter


• Web Applications are vulnerable:

• exposing its own vulnerabilities.

• Change frequently, requiring constant tuning of

application security.

• Complex and feature rich with the advent of AJAX, Web

Services and Web 2.0. (and Social Network)

• Web Applications are threatened: • New business models drive “for profit” hacking.

• Performed by Black hat professionals enabling complex attacks.

• Potential impact may be severe: • Web applications are used for sensitive information

and important transactions.

THE WEB APPLICATION SECURITY RISK


• Web Attacks are Stealth: • Victims hide breaches.

• Incidents are not detected.

• Statistics are Skewed: • Number of incident

reported is statistically insignificant.

THREAT IS DIFFICULT TO ASSESS

Source: Breach Security

Source: Web Hacking Incidents Database

• Zone-H (The Hacker Community) • http://www.zone-h.org • The most comprehensive attack repository, very

important for public awareness. • Reported by hackers and focus on defacements.

• WASC Statistics Project • http://www.webappsec.org

• OWASP top 10 • http://www.owasp.org

AVAILABLE ONLINE SOURCES

http://www.zone-h.org/



http://www.webappsec.org/

http://www.owasp.org/

Hacking Incidents (Defacement)

SDLC & OWASP GUIDELINES

Source: OWASP

8) HOW CAN WE DETECT/CORECT/PREVENT THESE THREATS?



9) WHAT IS THE GOOD/BEST SOLUTIONS

for Managing the Risks?

สรป ส าหรบผตรวจสอบ (AUDITOR)

AUDIT PRINCIPLE : 3 E

Exist (มอยแลวหรอยง?)

Execute (ไดใชอยหรอเปลา?)

Effective (ไดผลม ย?)

1

2

3

Policy

Procedure or SOP (Standard Operating Procedure)

WI (Work Instruction), Form,

Supporting Document

วธการท างานแบบรายละเอยด, แบบฟอรมทเกยวของ , หรอ เอกสาร support “Procedure” ชนดอนๆ

อธบายขนตอนการปฏบตงาน (Process)

นโยบายดานความปลอดภยสารสนเทศ

ระดบ high level และ ระดบ practical level

Standard มาตรฐานทเปนขอก าหนดดานความปลอดภยสารสนเทศ

Policy, Standard, Procedure & Work Instruction

Credited by : TISA

Information Security Policy and Policy Hierarchy Ref: ISO/IEC 27003:2010 (ISMS implementation guidance)

82

ISMS Policy

Social Network Security Policy

Mobile Device Security Policy

Other Specific Policy

Social Network Acceptable Use

Policy

Mobile Device Acceptable Use

Policy

Other Acceptable Use

Policy

Credited by : TISA

สรป ส าหรบผตรวจสอบ (AUDITOR)

1. Policy (นโยบาย):

ส ารวจวาในองคกร/บรษท ของทานม ครอบคลมทกเรองความเสยง* แลวหรอยง?

(จ าเปนตองม และ ตองท าตาม)

2. Standard (มาตรฐาน): ส ารวจวาในองคกร/บรษท ของทาน มเฉพาะแตละเรอง แลวหรอยง?

(จ าเปนตองม และ ตองท าตาม)

3. Procedure (ข นตอนการปฏบตงาน): ส ารวจวาในองคกร/บรษท ของทาน มเฉพาะแตละเรอง แลวหรอยง?

(ควรม และ ตองท าตาม)

4. Guideline (ขอควรปฏบต): ส ารวจวาในองคกร/บรษท ของทาน มเฉพาะแตละเรอง แลวหรอยง?

(ควรม และ ควรท าตาม)



You Need …

• Vision

• Knowledge

• Policy

• Strategy

• Technology It’s not just how to secure it.

It’s how to unleash the power of mobility securely.

Credited by : TISA

Next step : Solutions

• Vision

Top management support

• Policy นโยบายการใชงานสมารทโฟนและแทบเลทในองคกร

• Strategy

เครองของพนกงาน(สวนตว)ทกเครองทเกยวกบงาน/ธรกจ ควรไดรบการควบคม/บรหารจดการ โดย Policy ขององคกร

• Knowledge

Annually Security awareness training

• Technology Credited by : TISA

สงทตองค ำนงถงในกำรก ำกบดแล

ใหเชอมตอหรอไมใหเชอมตอ

อปกรณทจะเชอมตอนน องคกรตองสามารถควบคมและก ากบการใชงานได

โดยไมละเมดความเปนสวนตว

ถาไมสามารถควบคมหรอก ากบดแลได ไมควรใหเชอมตอ

ใหใชเครองสวนตวเชอมตอ หรอตองใชเครองทองคกรจดหาใหเทานน

ใหเขาถงระบบงานหรอจดเกบขอมลประเภทใดไดบาง

ใหเขาถงระบบไดในชวงเวลาใดบาง

ใหเขาถงระบบไดจากทใดบาง Credited by : TISA

สงทตองค ำนงถงในกำรก ำกบดแล

อาจมการจดระดบการใชงานตามความสามารถในการก ากบบดแล เชน

ระดบ การควบคม

มาตรการ ระบบงานทอนญาต

0 ไมมการควบคม + Not allowed

1 Antivirus + Guest WiFi + Internet Browsing

2 (1) + Anti-theft + Intranet + Corporate Email

3 (2) + Policy Enforcer (Encryption, Password Protection)

+ VPN + Business critical

system

Credited by : TISA

Credited by : TISA

แจก ตวอยางนโยบาย

1. นโยบายการใชเครอขายสงคมออนไลน

2. นโยบายวาดวยการรกษาความม นคงปลอดภยส าหรบอปกรณพกพา

Credited by : TISA

A COMPLETE SECURITY PROGRAM CONTAINS MANY ITEMS


Strategic

Tactical

Operational

Top-down approach

BLUEPRINTS MUST MAP THE SECURITY AND BUSINESS REQUIREMENTS.


A COMPREHENSIVE AND EFFECTIVE SECURITY MODEL HAS MANY INTEGRATED PIECES.


ผใชงานตองมความรเทาทนและระแวดระวงอยเสมอ

เครองทจะใชตองไดรบการดแลและรทมา

เชอมตอผานระบบทนาเชอถอและไวใจได

เขาสบรการทนาเชอถอและไวใจได

Trusted Components




หากมขอสงสยหรอค าถามเพมเตมตดตอไดท :

Email: surachai.won[at]gmail[dot]com

ตดตามผลงานไดท:

Slideshare: www.slideshare.net/chatsec YouTube: www.youtube.com/user/WonJuJub Blogspot: www.wonjujub.blogspot.com/ Facebook Fanpage:

www.facebook.com/surachai.chatchalermpun

Contact Me

mailto:[email protected]




http://www.slideshare.net/chatsec

http://www.slideshare.net/chatsec

http://www.youtube.com/user/WonJuJub

http://wonjujub.blogspot.com/

http://www.facebook.com/surachai.chatchalermpun



TH@NK Y0U