Emerging threat
-
Upload
surachai-chatchalermpun -
Category
Technology
-
view
659 -
download
0
description
Transcript of Emerging threat
SURACHAI CHATCHALERMPUN C I S A , C I S S P , C S S L P , S S C P , C E H , E C S A / L P T , I R C A : I S M S ( I S O 2 7 0 0 1 )
S U B - C O M M I T T E E O F T ISA &
S E C R E T A R I A T O F OWASP, CSA T H A I L A N D C H A P T E R
ความเสยงทมากบเทคโนโลยอบตใหม (EMERGING TECHNOLOGY)
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
ประวตวทยากร
1. ISC2: CISSP (Certified Information Systems Security Professional )
เปนคณสมบตของผเชยวชาญในการบรหารจดการความม นคงปลอดภยระบบสารสนเทศ
2. ISC2: CSSLP (Certified Secure Software Lifecycle Professional)
เปนคณสมบตของผทสามารถตรวจรบรองคณภาพความม นคงปลอดภยวงจรการพฒนาซอฟทแวร
3. ISC2: SSCP (Systems Security Certified Practitioner) เปนคณสมบตของผเชยวชาญความม นคงปลอดภยดานเทคนค
4. EC-Council: CEH (Certified Ethical Hacker)
เปนคณสมบตของผเชยวชาญการเปน Hacker อยางมจรยธรรม
5. EC-Council: ECSA (EC-Council Certified Security Analyst)
เปนคณสมบตของผเชยวชาญความม นคงปลอดภยในการวเคราะห
6. EC-Council: LPT (Licensed Penetration Tester)
เปนคณสมบตของผเชยวชาญการเจาะระบบ
7. IRCA: ISMS (Information Security Management System) เปนคณสมบตของ Auditor ของ Project ISO27001 ได
8. ISACA: CISA (Certified Information Systems Auditor) เปนคณสมบตของ Auditor ของระบบสารสนเทศ
CERTIFICATES
1) Where Risk comes from?
2) Relationship of Risk (Threats and Vulnerabilities)
3) March 2012 Cyber Attacks Statistic Timeline (Happened!!!)
4) How Do Technology Trends Impact the Human, Business and IT
Experiences? (By Gartner Trend 2012)
5) Security Vendor Influencer Prediction
6) ISF Threat Horizon Prediction?
7) CASE STUDY FOR LESSON LEARNED
8) HOW CAN WE DETECT/CORECT/PREVENT THESE THREATS?
9) WHAT IS THE GOOD/BEST SOLUTIONS for Managing this Risks?
10) สรปสงทผตรวจสอบควรท า และ แจกตวอยางนโยบาย
AGENDA
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
CASE STUDY FOR LESSON LEARNED
1. Mobile risk
(ความเสยงจากการใชอปกรณพกพา)
2. Social network risk
(ความเสยงจากการใชเครอขายสงคมออนไลน)
3. Web application risk
(ความเสยงของเวบไซต ทอาจจะพฒนาอยางไมม นคงปลอดภย)
WHERE RISK COMES FROM?
http://tungsteninvestingnews.com/2061-bgs-risk-list-why-tungsten-is-on-it.html
Asset = ทรพยสน
Threat = ภยคกคาม Vulnerability = ชองโหว
Risk = ความเสยง
R = A * T * V
RISK RELATIONSHIP
http://blog.patriot-tech.com/blog/bid/51353/An-Introduction-to-IT-Risk-Management
THE RELATIONSHIPS AMONG THE DIFFERENT SECURITY COMPONENTS
Book: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010
Impact = ผลกระทบ
Likelihood = โอกาสทจะเกด
Risk = ความเสยง
R = I * L
แผนภมความเสยง (RISK MAP)
การเปลยนแปลงรปแบบการกระท าความผด
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
อาชญากรรมทางคอมพวเตอร อาชญากรรม
RELATIONSHIP OF THREATS AND VULNERABILITIES
Book: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010
MARCH 2012 CYBER ATTACKS TIMELINE
http://paulsparrows.files.wordpress.com/2012/03/march-2012-cyber-attacks-timeline-part-i.png?w=595&h=4338
http://i.techrepublic.com.com/blogs/gartner-2012-top-10-tech.jpg
SECURITY VENDOR INFLUENCER
PREDICTION
http://paulsparrows.files.wordpress.com/2011/05/2011-security-vendor-predictions.png
www.paulsparrows.files.wordpress.com
What is APT?
• Advanced • All possible available techniques (or new)
• Coordinated • Both well-know and UKNOWN (0-day)
vulnerabilities • Multiple phases
• Persistent • Here to stay
• Not by accident (targeted) • Specific mission • Polymorphic (for signature-base evasion) • Dormant(able)
• Threat • Organized and funded and motivated
• dedicated "crews" with various missions • State-sponsored • Cyberwarfare
• Highly sophisticated
• Targeted • Steal Information
http://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
APT is used for …
• Political objectives that include continuing to suppress its own population in the name of "stability.“
• Economic objectives that rely on stealing intellectual property from victims. Such IP can be cloned and sold, studied and underbid in competitive dealings, or fused with local research to produce new products and services more cheaply than the victims.
• Technical objectives that further their ability to accomplish their mission. These include gaining access to source code for further exploit development, or learning how defenses work in order to better evade or disrupt them. Most worringly is the thought that intruders could make changes to improve their position and weaken the victim.
• Military objectives that include identifying weaknesses that allow inferior military forces to defeat superior military forces. The Report on Chinese Government Sponsored Cyber Activities addresses issues like these.
http://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
Some Characteristic of APT
• Named in 2008 by US Air Force
• As security jargon when Google describe the attack on 2009
• Advanced • Coordinated
• Multi-phases
• High expertise/knowledge/skill in each phase unlikely to be in one single individual
• Highly crafted for specific target organization or individual
• Period of operation in weeks, months or years
• Not easy to detect
http://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
Some Characteristic of APT
• Phases of the operation • Target selection
• Vulnerability identification
• Domain contamination
• Information ex-filtration
• Intelligence analysis
• Exploitation
http://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
Spear-Phishing
http://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
ผบรหารระดบสง
เลขา
ผดแลระบบ (Admin)
การเลอกเหยอแบบ “เฉพาะเจาะจง”
VDO Security Awareness
ทายซวา เกดอะไรขน !!! บนหนาจอคอมฯ
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
Security Awareness >> Show Case
Can you trust this file? Click or Not ?
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
ความอนตรายทแฝงเขามากบสงทเหมอนจะไมมอะไร
Trojan Horse
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
ตวอยาง การหลอกลอเหยอใหตกใจ!!!
แลวใหตดกบดก ดวยการเสนอวธชวยเหลอ โดยการใหลงโปรแกรม AV โจร
STUXNET
• Discovered late June 2010
• A computer worm that infects Windows computers
• It primarily spreads via USB sticks, which allows it to
get into computers and networks not normally
connected to the Internet
• Use both known and patched vulnerabilities, and
four "zero-day exploits”
• Target Siemens PLC
• Reads and changes particular bits of data in the
PLCs
• It’s claimed to target Iranian powerplant
http://www.slideshare.net/TISAProTalk/apt-sharing-tisa-protalk-22554
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
WHO ADDRESS THE EMERGING THREAT?
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
HOW WE DETECT/CORECT/PREVENT THESE THREATS?
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
CASE STUDY FOR LESSON LEARNED
1. Mobile risk
(ความเสยงจากการใชอปกรณพกพา)
2. Social network risk
(ความเสยงจากการใชเครอขายสงคมออนไลน)
3. Web application risk
(ความเสยงของเวบไซต ทอาจจะพฒนาอยางไมม นคงปลอดภย)
MOBILE RISK
(ความเสยงจากการใชอปกรณพกพา)
[ยงทนสมย ยงมภย(ตามตดเปนเงา)]
โรงแรม(ในกรงเทพ) ทส งทกอยางไดดวยปลายนว ไฮเทคมากๆเลย
ทกอยางส งงานผานทางมอถอ Andriod ดวยเทคโนโลย NFC
และ Wifi (+3G) และเปนเสมอน key card เขาหอง
หากมอถอนหาย จะเกดอะไรขน?
ถาถกขโมย หรอ ถาถก hack?
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
[ยงทนสมย ยงมภย(ตามตดเปนเงา)]
แลวถาแบตหมดหละ?
แตขอดคอ ถาลม กโทรเขาได ยงดทหาเจอ ^^
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
ใครลง Antivirus
ทมอถอบาง…?
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
ระวงถกลวงความลบและดกฟงโทรศพทมอถอดวย SPY PHONE
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
ภยคกคามตอความเปนสวนตว !!! โดยทคณไมรตว…
• Can read SMS…
• Can read & send e-mail…
• Can see Call logs
• Can see & stolen your data in Phone or SD Card
• Can record & download your voice …
• Can see your WebCam…
• Can know Location where you are…
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
HOW TO SURVIVE
• Raise security awareness
• Always lock your mobile’s screen with PinCode
• Install mobile’s antivirus
• Don’t use free Wi-fi, if you not sure it is can trust
• Always check your list of Application
• Change default password of web server
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
•
ไปด VDO กน!!!
“A LIFE ON FACEBOOK” (Diary online)
SOCIAL NETWORK RISK
(ความเสยงจากการใชเครอขายสงคมออนไลน)
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
Social Network คออะไร เปน Social Media ชนดหนง ทท ำใหเกดกำรเชอมตอกน
ของบคคลเขำเปนสงคมอยำงกวำงขวำง
Social Media คอ สอทำงเลอกใหมทเกดขน ท ำใหบคคลสำมำรถเผยแพรหรอน ำเสนอขอมลขำวสำรตอสงคม ในวงกวำง
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
ประเดนนาสนใจ Impersonation (กำรแอบอำงสวมรอยบคคล)
จะท ำอยำงไรหำกคณหรอหนวยงำนถกสวมรอย Privacy (ขอมลสวนบคคล)
ใสขอมลมำกมำย แลวควำมเปนสวนตวอยทไหน Intelligent Internet Data Mining (ระบบสบคนขอมลอจฉรยะ)
คนหำขอมลบคคลจำกเครอขำยสงคมออนไลน Marketing tool or Brand destruction (เครองมอทำงกำรตลำดหรอชองทำงท ำลำย
ภำพลกษณ) กำรสงขำวสำรถงประชำชนไดเรวยอมด แตหำกมผไมประสงคด สงขอมลผดๆ ใหประชำชน ภำครฐจะท ำอยำงไร
Social Network and Information Warfare (เครอขำยสงคมกบสงครำมขอมลขำวสำร)
Social Networking Hi5 MySpaces Facebook Tagged Linkedin Twitter
ความเสยง เปดเผยขอมลสวนตวมำกเกนไป อำจเปนขอมลเทจ ถกท ำ Social Engineer จำก
ขอมลทเปดเผย ตดไวรส หรอ Malware ตดกบดก Phishing
Social Networking Risk
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
Web 1.0 vs. Web 2.0
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
VDO Security Awareness
54
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved 55
หาก สาว? คนน!!! มาขอคณเปนเพอนใน Facebook จะท าอยางไร?
ภำพหรอขอมลทอยภำยในน ใชเพอกำรศกษำเทำนนและเปนอทำหรณสอนใจอนเปนประโยชนแกคนสวนรวม มไดมวตถประสงคลวงเกนทำนแตอยำงใด หำกเหนวำไมเหมำะสม รบกวนแจงกลบเพอน ำออก
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
Reconnaissance personal information
56
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
การคนหาขอมลสวนบคคล(อน) ดวยอำวธทำง Cyber
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
ตวอยาง การหลอกเหยอใหบอก Password (Social Engineering)
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
http://www.soccersuck.com/soccer/viewtopic.php?t=419484
เสรจโจร
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
Important Trick for Account Recovery
Email x Password x
Email x Password z
Email y Password y
Email n Password n
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
ค าแนะน าเพอการปองกน
• ไมหลงเชอขอมลตำงๆ โดยงำย • ไมเปดเผยขอมลสวนตวมำกเกนไป • ไม Click หรอ Download โดยไมระมดระวง • Update News • Update latest Patch • Update latest Anti-Virus/Anti-Malware • เตรยมแผนรองรบเมอ Account ถกขโมย
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
Security Awareness Poster
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2012 All rights reserved
บทสรป
• Social Network มทงประโยชน และโทษ • มมจฉำชพและภยมำกมำยทอำศยชองทำงน • ตองใชอยำงมสต รเทำทน และระมดระวง
WEB APPLICATION RISK
(ความเสยงของเวบไซต ทอาจจะพฒนาอยางไมมนคงปลอดภย)
• Easiest way to compromise hosts, networks and users.
• Widely deployed.
• No Logs! (POST Request payload)
• Incredibly hard to defend against or detect.
• Most don’t think of locking down web applications.
• Intrusion detection is a joke.
• Firewall? What firewall? I don’t see no firewall…
• SSL Encrypted transport layer does nothing.
Source: White Hat Security
WEB APPLICATION HACKING
Outer
Inner
DMZ Zone
Server farm Zone
Source: White Hat Security
Ou
ter F
irew
all
Hardened OS
Web Server
App Server
Inn
er F
irew
all
Da
tab
ase
s
Leg
ac
y S
yst
em
s
We
b S
erv
ice
s
Dire
cto
rie
s
Hu
ma
n R
eso
urc
e
Billin
g
Custom Developed Application Code
APPLICATION ATTACK
You can’t use network layer protection (Firewall, SSL, IDS, hardening) to stop or detect application layer attacks
Ne
two
rk L
ay
er
Ap
plic
atio
n L
ay
er Your security “perimeter” has huge
holes at the “Application layer”
Your “Code” is Part of Your Security Perimeter
Source: White Hat Security
• Web Applications are vulnerable:
• exposing its own vulnerabilities.
• Change frequently, requiring constant tuning of
application security.
• Complex and feature rich with the advent of AJAX, Web
Services and Web 2.0. (and Social Network)
• Web Applications are threatened: • New business models drive “for profit” hacking.
• Performed by Black hat professionals enabling complex attacks.
• Potential impact may be severe: • Web applications are used for sensitive information
and important transactions.
THE WEB APPLICATION SECURITY RISK
Source: White Hat Security
• Web Attacks are Stealth: • Victims hide breaches.
• Incidents are not detected.
• Statistics are Skewed: • Number of incident
reported is statistically insignificant.
THREAT IS DIFFICULT TO ASSESS
Source: Breach Security
Source: Web Hacking Incidents Database
Source: Web Hacking Incidents Database
• Zone-H (The Hacker Community) • http://www.zone-h.org • The most comprehensive attack repository, very
important for public awareness. • Reported by hackers and focus on defacements.
• WASC Statistics Project • http://www.webappsec.org
• OWASP top 10 • http://www.owasp.org
AVAILABLE ONLINE SOURCES
Hacking Incidents (Defacement)
Hacking Incidents (Defacement)
Hacking Incidents (Defacement)
SDLC & OWASP GUIDELINES
Source: OWASP
8) HOW CAN WE DETECT/CORECT/PREVENT THESE THREATS?
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
9) WHAT IS THE GOOD/BEST SOLUTIONS
for Managing the Risks?
สรป ส าหรบผตรวจสอบ (AUDITOR)
AUDIT PRINCIPLE : 3 E
Exist (มอยแลวหรอยง?)
Execute (ไดใชอยหรอเปลา?)
Effective (ไดผลม ย?)
1
2
3
Policy
Procedure or SOP (Standard Operating Procedure)
WI (Work Instruction), Form,
Supporting Document
วธการท างานแบบรายละเอยด, แบบฟอรมทเกยวของ , หรอ เอกสาร support “Procedure” ชนดอนๆ
อธบายขนตอนการปฏบตงาน (Process)
นโยบายดานความปลอดภยสารสนเทศ
ระดบ high level และ ระดบ practical level
Standard มาตรฐานทเปนขอก าหนดดานความปลอดภยสารสนเทศ
Policy, Standard, Procedure & Work Instruction
Credited by : TISA
Information Security Policy and Policy Hierarchy Ref: ISO/IEC 27003:2010 (ISMS implementation guidance)
82
ISMS Policy
Social Network Security Policy
Mobile Device Security Policy
Other Specific Policy
Social Network Acceptable Use
Policy
Mobile Device Acceptable Use
Policy
Other Acceptable Use
Policy
Credited by : TISA
สรป ส าหรบผตรวจสอบ (AUDITOR)
1. Policy (นโยบาย):
ส ารวจวาในองคกร/บรษท ของทานม ครอบคลมทกเรองความเสยง* แลวหรอยง?
(จ าเปนตองม และ ตองท าตาม)
2. Standard (มาตรฐาน): ส ารวจวาในองคกร/บรษท ของทาน มเฉพาะแตละเรอง แลวหรอยง?
(จ าเปนตองม และ ตองท าตาม)
3. Procedure (ข นตอนการปฏบตงาน): ส ารวจวาในองคกร/บรษท ของทาน มเฉพาะแตละเรอง แลวหรอยง?
(ควรม และ ตองท าตาม)
4. Guideline (ขอควรปฏบต): ส ารวจวาในองคกร/บรษท ของทาน มเฉพาะแตละเรอง แลวหรอยง?
(ควรม และ ควรท าตาม)
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
You Need …
• Vision
• Knowledge
• Policy
• Strategy
• Technology It’s not just how to secure it.
It’s how to unleash the power of mobility securely.
Credited by : TISA
Next step : Solutions
• Vision
Top management support
• Policy นโยบายการใชงานสมารทโฟนและแทบเลทในองคกร
• Strategy
เครองของพนกงาน(สวนตว)ทกเครองทเกยวกบงาน/ธรกจ ควรไดรบการควบคม/บรหารจดการ โดย Policy ขององคกร
• Knowledge
Annually Security awareness training
• Technology Credited by : TISA
สงทตองค ำนงถงในกำรก ำกบดแล
ใหเชอมตอหรอไมใหเชอมตอ
อปกรณทจะเชอมตอนน องคกรตองสามารถควบคมและก ากบการใชงานได
โดยไมละเมดความเปนสวนตว
ถาไมสามารถควบคมหรอก ากบดแลได ไมควรใหเชอมตอ
ใหใชเครองสวนตวเชอมตอ หรอตองใชเครองทองคกรจดหาใหเทานน
ใหเขาถงระบบงานหรอจดเกบขอมลประเภทใดไดบาง
ใหเขาถงระบบไดในชวงเวลาใดบาง
ใหเขาถงระบบไดจากทใดบาง Credited by : TISA
สงทตองค ำนงถงในกำรก ำกบดแล
อาจมการจดระดบการใชงานตามความสามารถในการก ากบบดแล เชน
ระดบ การควบคม
มาตรการ ระบบงานทอนญาต
0 ไมมการควบคม + Not allowed
1 Antivirus + Guest WiFi + Internet Browsing
2 (1) + Anti-theft + Intranet + Corporate Email
3 (2) + Policy Enforcer (Encryption, Password Protection)
+ VPN + Business critical
system
Credited by : TISA
Credited by : TISA
แจก ตวอยางนโยบาย
1. นโยบายการใชเครอขายสงคมออนไลน
2. นโยบายวาดวยการรกษาความม นคงปลอดภยส าหรบอปกรณพกพา
Credited by : TISA
A COMPLETE SECURITY PROGRAM CONTAINS MANY ITEMS
Book: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010
Strategic
Tactical
Operational
Top-down approach
BLUEPRINTS MUST MAP THE SECURITY AND BUSINESS REQUIREMENTS.
Book: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010
A COMPREHENSIVE AND EFFECTIVE SECURITY MODEL HAS MANY INTEGRATED PIECES.
Book: McGraw.Hill.CISSP.All-in-One.Exam.Guide.5th.Edition.Jan.2010
ผใชงานตองมความรเทาทนและระแวดระวงอยเสมอ
เครองทจะใชตองไดรบการดแลและรทมา
เชอมตอผานระบบทนาเชอถอและไวใจได
เขาสบรการทนาเชอถอและไวใจได
Trusted Components
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
หากมขอสงสยหรอค าถามเพมเตมตดตอไดท :
Email: surachai.won[at]gmail[dot]com
ตดตามผลงานไดท:
Slideshare: www.slideshare.net/chatsec YouTube: www.youtube.com/user/WonJuJub Blogspot: www.wonjujub.blogspot.com/ Facebook Fanpage:
www.facebook.com/surachai.chatchalermpun
Contact Me
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
©2012 All rights reserved
TH@NK Y0U