Risk-Based Security and Self-Protection โดย อ.นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล Cybersecurity Expert

นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล (อ.ฝน)

2

อ.นรินทร์ฤทธิ์ (ไชยกร) เปรมอภิวัฒโนกุลCISSP, CSSLP, GCFA, (ISC)2:ISLA, (IRCA:ISMS) Cybersecurity Expert

3

• SCADA Engineer since 1997 • เริ่มทำงานด้าน IT Security ตั้งแต่ปี 1999 กับบริษัท IBM (15 ปี) • ได้รับรางวัลเชิดชูเกียรติจากหลายสถาบันที่เป็นที่รู้จักในระดับสากล

เช่น Information Security Leadership Achievement (ISLA) โดย (ISC)2 และ ASEAN CSO Award 2010 โดย IDG เป็นต้น

• เป็นวิทยากรด้าน IT Security ที่เป็นที่รู้จักทั้งในและต่างประเทศ บรรยายให้ความรู้แก่หน่วยงานชั้นนำและในงานสัมมนาต่างๆ

• เป็นที่ปรึกษาคดีพิเศษ กรมสอบสวนคดีพิเศษ • เป็นที่ปรึกษาด้านความมั่นคงปลอดภัยไซเบอร์

กรมเทคโนโลยีสารสนเทศและอวกาศกลาโหม กระทรวงกลาโหม • เป็นกรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ หรือ TISA

Agenda

1. Risk-Based Security• Risk management recap • Current RISK review

2. S

4

How much SECURITY is enough? How much budget should I allocate for SECURITY?

Which level of SECURITY should my organization consider? [Military, banks, pharmaceutical or etc.]

Which standard should I use?

How much RISK is acceptable by your organization?

Risk-based Security

Security Management = Risk Management

Risk-based Security

What is the goal of doing “Risk Management”?

To minimize all possible “Risk” if unlimited budget and resources can be provided!!!

which is not practical in real life.

With limited budget and resources, then is to keep “RISK” below the “ACCEPTABLE RISK LEVEL”

Risk-based Security

Is there a RISK to consider?RISK = THREAT x VULNERABILITY

How much is the RISK? (quantification) RISK = IMPACT x POSSIBILITY

The amount of risk is proportionally varies to the POSSIBILITY of a THREAT to exploit a VULNERABILITY and the amount of IMPACT caused by that exploitation.

Risk-based Security

Ex: A case study of budgeting for a security solution Solution Name: Application Patch Management System (APMS)

Why? Now a day, intelligent Internet worm looks for security hole in unpatched or outdated software within a computer in order to exploit, propagate and take-over such system.

How? APMS will watch for latest update and released version of software used within the enterprise and make sure that all computer migrate to the latest released version in order to avoid security incident.This will help reduce the chance of infection and propagation of computer virus & worm by 80%.

This organization has 1,000 users with average of 1,000 infections reported each year. Each infection will cost about 2,000THB (productivity and resolution cost)

Question? 1. If the APMS for this enterprise will cost 3 MTHB with 20% MA & subscription, is this a good

investment? 2. If “YES”, how much that the enterprise will gain from investing in this solution?3. If “NO”, at how much of the investment should the enterprise budget for?

Risk-based Security

Ex: A case study of budgeting for a security solution Solution Name: Application Patch Management System (APMS)

Risk-based Security

Year # 1 2 3 4 5 Total

SGcost APMS Cost 3M 600K 600K 600K 600K 5.4M

AROxSLE = ALE(before)

RISK Cost? (before)

1,000x2,000 = 2M

2M 2M 2M 2M 2M 10M

AROxSLE = ALE(after)

rRISK Cost? (after)

200x2,000 =400K

400K 400K 400K 400K 400K 2M

Gain/Loss -1.4M +1M +1M +1M +1M +2.6M

1. Pain-point2. Compliance Requirement3. Business Best-Practices

Corporate GovernanceRisk Management

Now that risk management is part of compliance requirement to all government agencies and state-enterprises.

Key Drivers to Security Implementation (in Thailand)

Business AspectCOSO : Enterprise Risk Management Integrated FrameworkISO 31000 : Risk ManagementISO/มอก. 22301 : Business Continuity ManagementBS 25999 : Business Continuity Management

IT AspectCobiT : IT GovernanceISO 20000 : IT Service ManagementISO 27001 : Information Security ManagementISO 27005 : Information Security Risk ManagementBS 25777 : IT Continuity Management

Risk Management Frameworks

Security experts confirmed … “you will be hacked”

Security Risk to Address Today

The Heartbleed Case

8 Apr. 2014CVE-2014-0160

What is Heartbleed Attack ?

Heartbleed เป็นชื่อเรียกการบุกรุกรูปแบบหนึ่งซึ่งใช้ bug ในการทำ heartbeat ของ library ชื่อ “OpenSSL” ซึ่งถูกนำไปใช้ในการ implement SSL บนเว็บไซต์ต่างๆ

Bug นี้ทำให้ผู้บุกรุกสามารถเข้าถึงข้อมูลต่างๆ ที่อยู่ใน RAM บน server ได้ ทำให้สามารถขโมยข้อมูลต่างๆ เช่น username และ password ของผู้ที่เข้าใช้ระบบ ตลอดจน secret key และ private key ของ server ได้ ทำให้ hacker สามารถนำ key ที่ได้ ไปใช้ถอดรหัสการสนทนาและการเชื่อมต่อต่างๆ ที่ถูกเข้ารหัวด้วย SSL (https) ได้ และสามารถใช้ certificate ที่ถูกขโมยไปแอบอ้างตั้งเป็น server ปลอมขึ้นมาได้

“หน่วยงานด้านความมั่นคงของสหรัฐอเมริการู้จักและใช้ช่อโหว่นี้มาไม่น้อยกว่า 2 ปีแล้ว” …Bloomberg

คำถามคือ 1. ผู้ผลิตและผู้ให้บริการไม่

ทราบจริงๆ หรือเป็นความร่วมมือในทางลับ (conspiracy)

2. ยังมีช่องโหว่แบบนี้อีกเท่าไรในระบบที่เราใช้อยู่

Cyberspace is a new war domain

“ยุทธบริเวณ” หรือ พื้นที่การรบใหม่ทางการทหาร

ในหลายประเทศได้มีการก่อตั้งกองบัญชาการไซเบอร์และมีการพัฒนาและเพิ่มจำนวนนักรบไซเบอร์มากขึ้นในทุกๆ ปี

สหรัฐอเมริกาตั้งเป้าสร้างนักรบไซเบอร์ไม่น้อยกว่า 5,000 นาย ประจำการศูนย์บัญชาการไซเบอร์ตั้งอยู่ตอนเหนือของนครวอชิงตัน

17

Let

18

Cyber missiles are being launched all

the time. The Internet has

never been “PEACEFUL”.

1. มีการวิจัยหาช่องโหว่ในการเจาะระบบใหม่ๆ2. มีไวรัสคอมพิวเตอร์ใหม่ๆ3. มีการเจาะระบบเพื่อหาข้อมูลการข่าวและงานวิจัยโดยหน่วย

งานลับของต่างชาติ4. มีคนพยายามใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในระบบของเรา

เพื่อใช้เป็นทรัพยากรสำคัญในการร่วมทำสงคราม5. หากมีธุรกิจอยู่ในกลุ่มที่เกี่ยวข้องกับระบบสาธารณูปโภคหลัก

ของประเทศไฟฟ้าความเสี่ยงสูงต่อการเป็นเป้าหมายโจมตีเมื่อมีแรงจูงใจในการสร้างความเสียหายต่อระบบเศรษฐกิจของประเทศเป้าหมาย

ผลจากสงครามไซเบอรแ์ละอาชญากรรมทางไซเบอร ์ที7สง่ผลกระทบตอ่ธรุกจิ

• เว็บไซต์และระบบงานขององค์กรไม่สามารถใช้งานได้ หรือถูกเปลี่ยนหน้าหรือใส่ข้อความทำให้ดูเสื่อมเสียหรือไม่น่าไว้วางใจ

• ระบบควบคุมความปลอดภัย (Security & Safety) ไม่ทำงาน หรือไม่แจ้งเตือน

• งานที่ควบคุมด้วยระบบคอมพิวเตอร์ไม่สามารถทำงานได้ หรือทำได้แบบมีข้อผิดพลาด

• เครื่องจักรเสียหายหรือถูกทำลาย • ข้อมูลทรัพย์สินทางปัญญา สูตรการผลิต แผนการผลิต ต้นทุน ฐาน

ข้อมูลลูกค้า ฯลฯ ถูกโจรกรรม • มีช่องโหว่ให้เกิดการกระทำทุจริตภายในองค์กรได้ • ผู้บริหารหรือพนักงานถูกคุกคามหรือละเมิดความเป็นส่วนตัว

เหตรุา้ยแรงที7อาจเกดิขึCนไดจ้ากการโจมตีทางไซเบอร ์“ระดบัองคก์ร”

Cyber Threats in A Plant

SCADA System

23source: http://www.pwc.com/gx/en/consulting-services/information-security-survey/

24source: http://www.pwc.com/gx/en/consulting-services/information-security-survey/

25source: http://www.pwc.com/gx/en/consulting-services/information-security-survey/

26source: http://www.pwc.com/gx/en/consulting-services/information-security-survey/

Understand the paradigm Before:

If no prove of “not ok” then “ok”. Assumption: we are clean

until any evidence of compromise is foundNow:

If no prove of “ok” then “not ok”. Assumption: we are compromised

until none of evidence of compromise can be found

Self-Protection

–Johnny Appleseed

“Type a quote here.”

–Johnny Appleseed

“Type a quote here.”

To consider right now: “prove that you hadn’t been HACKED”

and determine “clean-up strategy”

Self-Protection

You may not be hacked if and only if all below are TRUE: - no network connectivity- can address all known threats and unknown threats very

VERY well- all employees are at high awareness with perfect security

behaviour- know every bit of the applications being use within your

organization- know exactly what is passing through your network

To consider right now!!! “prove that you hadn’t been HACKED”

and determine “clean-up strategy”

Self-Protection

ระบบ IT ของคุณจะอยู่รอด

ปลอดภัยดีถ้า... ทุกข้อต่อไปนี้

“เป็นจริง”

- ไม่มีการเชื่อมต่อเครือข่ายOnce you are connected, you become a target.

- มีการจัดการภัยคุกคามที่ “รู้” และ “ไม่รู้” อย่างดีเยี่ยม “known threats” are already hard to handle, and there are still “unknown threats” out there.

- เจ้าหน้าที่ทุกคนมีความตระหนักสูงและไม่มีพฤติกรรมเสี่ยงIs you employee still clicking on links sent to their email or instant messaging?

- รู้ดีว่า software แต่ละตัวทำงานอย่างไรและไม่มีอะไรแอบแฝงมาด้วย How certain that there is no backdoor in any of the software you are using?

- รู้ดีว่ามีอะไรวิ่งผ่านเข้า-ออกเครือข่ายบ้างDo you have total awareness of what is it that passed through your network?

อ.ฝน นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล http://www.narinrit.com

“Preventive is IDEAL Detective is a MUST”

Visibility and situational awareness is very important in order to provide appropriate response and resiliency.

It’s harder to prevent the unknown threat than to detect the abnormality within your enterprise.

- Do you know your normality? -

Self-Protection

1. Awarenessraise awareness of everyone in the organization from top management to the very low level workforce within the organization

2. Educateprovide necessary education to each group of employee according to their role & responsibility

3. Assessknow your situation and where you are, and use expert when necessary

4. Improveclose all prioritised gaps, and keep do it better

Self-Protection : Suggest Formula

Security Awareness is unavoidably the most important in implementing a security program in an organisation

• People always be the weakest link.

• People is the most important factor in any implementation.

• New threats are evolving everyday.

• Proper communication will lead to understanding and finally lead to behavioural “CHANGE”.

Security Awareness Training vs. Secure-Culture Development Program

• Security awareness training once a year may be “ENOUGH” for compliance audit, but “NOT ENOUGH” to be effective

• Effectiveness can be achieved when behaviour of IT users changes in the measurable way which the once-a-year training can not give you that.

• Whole-year communication program and activities that fit well with the organizational culture and random assessment to record and compare statistical change can yield the effective result. This is what we called ”Secure-Culture Development Program”

5 Characteristic of A Good Secure-Culture Development Program

1. Content is relevant to daily business and life 2. Cover all or most of IT users 3. Regularly and continuously 4. Attractive methodology of content delivery that fit to

the organisational culture 5. Measurable improvement

PEOPLE is most essential in the trial of IT management - [People, Process &

Technology]

Get the RIGHT people to do the RIGHT job.

If you cannot find the RIGHT people,MAKE him/her the RIGHT people through

training, certification, coaching, mentorship

Self-Protection

– Narinrit Prem-apiwathanokul -

“No one can management the RISK that they do not understand. Continuous learning and improving is essential as

growing the business.”

Thank You

www.Narinrit.com Narinrit.P@gmail.com

https://www.facebook.com/narinrit.prem