บทที่1: ระบบรักษาความ ... · «spamming web request ... ´Anti...
Transcript of บทที่1: ระบบรักษาความ ... · «spamming web request ... ´Anti...
1
บทท 1: ระบบรกษาความปลอดภยพนฐาน
ปยพร นรารกษ[email protected]@hotmail.com
หลกสตรผเชยวชาญดานความมนคงปลอดภยของระบบเครอขายและคอมพวเตอร ระดบท 3
Why do we Why do we need
Security?
2
ASSET THREAT
Assets, Threats, Vulnerabilities, Assets, Threats, Vulnerabilities, Risks, and Protective MeasuresRisks, and Protective Measures
ทรพยสนทรพยสน คกคามคกคาม
VULNERABILITY
PROTECTIVE MEASURES
จดออนจดออน
ปองกนปองกน
RISK
ความเสยงความเสยง
ความจาเปนทตองมความปลอดภยของขอมล(THE NEED FOR SECURITY)
At first, no or very little security. Until the importance of data was realizedimportance of data was realized.Examples:
Provide user id and passwordEncode information stored in the databases in some fashion.
4
3
ปจจยททาใหเกดความเสยหายตอขอมลในองคกร
คน
ฮารดแวร (Hardware)ซอฟตแวร(Software)โปรแกรมไวรส (Virus Computer)ภยธรรมชาต ภยธรรมชาต
WHAT IS SECURITY?
Physical Security.Communication SecurityEmission Security Computer SecurityNetwork Security.Internet Security.
6
4
PUTTING THESE PRIMITIVES TOGETHER TO ACHIEVE CIA
C
Confidentialityการรบรองวาจะมการเกบขอมลไวเปนความลบ และผมสทธเทานนจงจะเขาถง
I
Integrityการรบรองวาขอมลจะไมถกเปลยนแปลงหรอทาลายไมวาจะเปนโดย
A
Availabilityการรบรองวาขอมลและการรบรองวาขอมลและ
บรการการสอสารตาง ๆ บรการการสอสารตาง ๆ
พรอมทจะใชไดในเวลาทพรอมทจะใชไดในเวลาท
www.themegaller
ขอมลนนได อบตเหตหรอโดยเจตนา ตองการใชงานตองการใชงาน
SECURITY TRENDS
Number of attacks: increasingSophistication of attacks: increasingIntruder knowledge: decreasing
8
5
หลกในการสรางความมนคงปลอดภยSecurity
Management
Vulnerability &Threat
Risk
Policy, Security Standard
i.e. BS7799 /ISO27001, COBIT
Network Security, Physical Security
attackASSETS
A il bilit Physical Security,Cryptography,
Application and System Development,
Training and awareness, BCP, etc.
Security Implementation
Availability
SECURITY DOMAINS IN ISO 27001 & ISO 17799A.A.5 5 Security PolicySecurity Policy
A.A.6 6 Organization ofOrganization ofinformationinformation A.A.11 11 Access ControlAccess Control
A.A.12 12 Information Information systems acquisition,systems acquisition,developmentdevelopmentand maintenanceand maintenance
AA 99 Physical andPhysical and
A.A.8 8 Human resourcesHuman resourcessecuritysecurity
informationinformationsecuritysecurity
A.A.13 13 Information security Information security incident managementincident management
A.A.7 7 Asset Asset managementmanagement
A.A.10 10 Communications Communications and operationsand operationsmanagementmanagement
A.A.9 9 Physical and Physical and environment environment securitysecurity
A.A.14 14 Business continuity Business continuity managementmanagement
A.A.15 15 ComplianceCompliance
6
INFORMATION SECURITY STANDARD AND LAWSมาตรฐานนโยบายความปลอดภยขอมลคอมพวเตอร
ISO/IEC 17799:2000ISO/IEC 17799:2005ISO/IEC 27001:2005ISO/IEC 27001:2005BS7799-2
IT Infrastructure LibraryBS15000/ITIL
IT Governance FrameworkCOSOCobiT
ป
11
กฎหมายความปลอดภยHealth Information Portability and Accountability Act (HIPAA)Gramm-Leach- Bliley Act (GLB)Sarbanes- Oxley Act (SOX)
ATTACKS, SERVICES AND MECHANISMSATTACKS, SERVICES AND MECHANISMS
Security Attack: Any action that Security Attack: Any action that compromises the security of information.Security Mechanism: A mechanism that is designed to detect, prevent, or recover from a security attack.Security Service: A service that enhances
12
Security Service A service that enhancesthe security of data processing systems and information transfers. A security service makes use of one or more security mechanisms.
7
SECURITY ATTACK
Any action that compromises the security of information information Often threat & attack used to mean same thingMany different attacksCan be classified as
P i tt kPassive attacksActive attacks
13
SECURITY ATTACKSSECURITY ATTACKS
14
8
SECURITY ATTACKSSECURITY ATTACKS
Interruption: This is an attack on availabilityavailabilityInterception: This is an attack on confidentialityModification: This is an attack on integrityF b i i Thi i k
15
Fabrication: This is an attack on authenticity
SECURITY GOALSSECURITY GOALS
Confidentiality
16
Integrity AvailabilityAuthenticity
9
17
PASSIVE ATTACKS
Reading contents of messages Observing traffic flowsDifficult to detect passive attacksDefense: to prevent their success
18
10
ACTIVE ATTACKS
Modification or creation of data streamFour categories: modification of messages replay Four categories: modification of messages, replay, masquerade, denial of serviceEasy to detect but difficult to preventDefense: detect attacks and recover from damages
19
20
11
21
ACTIVE ATTACK (3)
22
12
23
SECURITY SERVICESSECURITY SERVICES
Confidentiality (privacy)Authentication (who created or sent the data)Integrity (data has not been altered)Non-repudiation (the order is final – cannot deny)Access control (prevent misuse of resources)Availability (permanence non-erasure)
24
Availability (permanence, non erasure)Denial of Service AttacksVirus that deletes files
13
X.800 SECURITY SERVICES (1)
25
X.800 SECURITY SERVICES (2)
26
14
X.800 SECURITY SERVICES (3)
27
X.800 SECURITY SERVICES (4)
28
15
SECURITY SERVICES VERSUS ATTACKS
29
X.800 SECURITY MECHANISMS (1)
30
16
X.800 SECURITY MECHANISMS (2)
31
X.800 SECURITY MECHANISMS (3)
32
17
SERVICES AND MECHANISMS
33
COMPUTER SECURITY RISKS
ความเสยงตอการเกดความเสยหายตอคอมพวเตอรและขอมล
ใ ใ คอเหตการณหรอการใชงานทกอใหเกดความเสยหายตอฮารดแวร, ซอฟทแวร, ขอมล, และ
ความสามารถในการประมวลผลขอมล
รปแบบของความเสยงเหลานอาจอยในรปของอบตเหต หรอความตงใจ
หากเปนความเสยหายทเกดจากความตงใจของบคคลหรอกลมคน และเปนการกระทาทผด
กฏหมาย เราจะเรยกวา อาชญากรรมทางอนเทอรเนต (computer crime หรอ cyber crime)
18
รปแบบของ COMPUTER SECURITY RISK
• Internet and network attacks• Unauthorized access and use• Unauthorized access and use• Hardware theft & vandalism• Software theft• Information theft• System failure
รปแบบของผกระทาผด
Hackerบคคลทบกรกเขาใชคอมพวเตอรหรอเนทเวรคอยางผดกฏหมายบคคลทบกรกเขาใชคอมพวเตอรหรอเนทเวรคอยางผดกฏหมาย
มความความรดานคอมพวเตอรและเนทเวรคขนสง
Crackerเหมอน hacker และตองการเขาทาลายขอมล, ขโมยขอมล, หรอกระทาสงทสอในทางประสงคราย
มความความรดานคอมพวเตอรและเนทเวรคขนสง
19
รปแบบของผกระทาผด (ตอ)
Script kiddieเหมอน cracker แตไมมความรดานเทคนเคลเหมอน cracker แตไมมความรดานเทคนเคลโดยมากจะเปนวยรน ทใชเครองมอหรอซอฟตแวรทเขยนโดย hacker หรอ cracker ในการบกรกเขาใชงานคอมพวเตอร
Corporate spiesบคคลทรบจางบกรกเขาจารกรรมขอมลของบรษท ฝายตรงขาม เพอหวงผลความไดเปรยบ
ทางดานธรกจ
มความความรดานคอมพวเตอรและเนทเวรคขนสง
รปแบบของผกระทาผด(ตอ)
Unethical employees โ ใ ใ ลกจางทเขาขโมยขอมลของบรษท เพอหวงผลในการขายขอมลสาคญใหกบฝายตรงขาม
Cyberextortionistการใช email เพอขบงคบใหบคคลหรอองคกรจายเงน โดยหากไมทาตามจะทาการสรางความเสยหายใหกบคอมพวเตอรหรอเนทเวรค
CyberterroristCyberterroristกลมคนทใชอนเทอรเนตหรอเนทเวรคในการทาลายหรอสรางความเสยหายใหกบคอมพวเตอรเพอ
ผลประโยชนทางการเมอง
20
CLASSICATION OF SECURITY VIOLATION
CrackingS fiSpoofingSnoopingSocial EngineeringDenial of Service
CRACKING
Often called as “Hacking”
Break through the security by using the knowledge of
Software EngineerComputer NetworkOperating SystemOperating Systemetc.
21
SPOOFING
Act as the others, e.g.f k il di il b di fake e-mail: e.g. sending an e-mail by pretending to be other (theoritical can be any name)fake IP: e.g. to gain accesses to the prohibit area
http://www.data.com/roundups/images/vpn_servers_figure1.html
SPOOFING
Starting point for other security violationF l i f iFalse informationprotected by
digital signaturedigital certification
22
SNOOPING
Steal information during transmissionH dHardware:
Packet Snifferusually need access to the physical network
Software:capture keystrokecapture keystroke
SNOOPING CONT.
Other:T hi (h d t dit d b )Trashing (happened to credit card number)
protected by:encryptionsecurity access control
23
SOCIAL ENGINEERING
Talking between user and crackerS i d CSerious and Commonprotected by:
policyknowledge of users
DENIAL OF SERVICE
attack the weakness of the network, e.g.i il ( il b b)spamming e-mail (mail bomb)
spamming web requestWinNuke
protected by:hot fixes & patcheshot fixes & patchesfirewalllogging system
24
ประเดนเกยวกบความปลอดภยบนเครอขายในปจจบน
Virus and Worm AttacksSpyware AttacksSpyware AttacksMalware AttacksSPAM MailWeb Server Attacks Zero Day ThreatsWeb Browser Threats
47
SPIMP2P Phishing and Pharming Attacks
PHISHINGPHISHING
48
25
PHISHINGPHISHING
49
PHISHINGPHISHING
50
26
PHARMINGPHARMING
51
METHODS OF DEFENCE
Encryption -----(Steganography)
Software Controls (access limitations in a data base, in operating system protect each user from other users)Hardware Controls (smartcard)Policies (frequent changes of passwords)Policies (frequent changes of passwords)Physical Controls (locked in a secure room, case, box)
52
27
GENERAL RULES FOR PROTECTION
software current & updateH tFi & P t h & dHotFix & Patch & upgrade
encrypt sensitive informationtrainning user & administrator
password & securitypolicypolicy
monitoring: 100% monitor --> 100% secure
GENERAL RULES FOR PROTECTION (CON.)
Personal firewall
Anti virus & Update Virus SignatureAntiMalware AntiSpywareBeware of e-mail content & downloadBackup