บทท 1: ระบบร กษาความปลอดภ ยพ นฐาน

(1)

บทที่

1:

ระบบรักษาความปลอดภัยพื้นฐาน

ปยพร

นุรารักษ

[email protected]@hotmail.com หลักสูตรผูเชี่ยวชาญดานความมั่นคงปลอดภัยของระบบเครือขายและคอมพิวเตอร ระดับที่3

Why do we

need

Security?

(2)

ASSET THREAT

Assets, Threats, Vulnerabilities, Assets, Threats, Vulnerabilities, Risks, and Protective Measures Risks, and Protective Measures

ทรัพยสิน

คุกคาม

VULNERABILITY PROTECTIVE MEASURES

จุดออน

ปองกัน

RISK

ความเสี่ยง

ความจําเปนที่ตองมีความปลอดภัยของขอมูล

(THE NEED FOR SECURITY)

´At first, no or very little security. Until the

importance of data was realized importance of data was realized.

´Examples:

«Provide user id and password

«Encode information stored in the databases in

(3)

ปจจัยที่ทําใหเกิดความเสียหายตอขอมูลในองคกร

«

คน

«

ฮารดแวร

(Hardware)

«

ซอฟตแวร

(Software)

«

โปรแกรมไวรัส

(Virus Computer)

«

ภัยธรรมชาติ

«

ภยธรรมชาต

WHAT IS SECURITY?

´Physical Security. Ćommunication Security Émission Security Ćomputer Security

(4)

PUTTING THESE PRIMITIVES TOGETHER TO ACHIEVE CIA C Confidentiality การรับรองวาจะมีการเก็บ ขอมูลไวเปนความลับ และ ผูมีสิทธิเทานั้นจึงจะเขาถึง ้ I Integrity การรับรองวาขอมูลจะไม ถูกเปลี่ยนแปลงหรือ ทําลายไมวาจะเปนโดย A Availability การรับรองวาขอมูลและ การรับรองวาขอมูลและ บริการการสื่อสารตางๆ บริการการสื่อสารตางๆ พรอมที่จะใชไดในเวลาที่ พรอมที่จะใชไดในเวลาที่ www.the megaller ขอมูลนั้นได _{อุบัติเหตุหรือโดยเจตนา} _{ตองการใชงาน}_{ตองการใชงาน}

SECURITY TRENDS

´Number of attacks: increasing

´Sophistication of attacks: increasing ´Intruder knowledge: decreasing

(5)

หลักในการสรางความมั่นคงปลอดภัย

Security Management Vulnerability & Threat Risk Policy, Security Standard i.e. BS7799 /ISO27001, COBIT Network Security, Physical Security attack ASSETS

A il bilit Physical Security, Cryptography, Application and System Development, Training and awareness,

BCP, etc.

Security Implementation

Availability

SECURITY DOMAINS IN ISO 27001 & ISO 17799

A.

A.5 5 Security PolicySecurity Policy

A.

A.6 6 Organization ofOrganization of information

information A.A.11 11 Access ControlAccess Control A.

A.12 12 Information Information systems acquisition, systems acquisition, development development and maintenance and maintenance information information security security A. A.7 7 Asset Asset

management management

(6)

INFORMATION SECURITY STANDARD AND LAWS ´

มาตรฐานนโยบายความปลอดภัยขอมูลคอมพิวเตอร

«

ISO/IEC 17799:2000

«

ISO/IEC 17799:2005

«

ISO/IEC 27001:2005

«

ISO/IEC 27001:2005

«

BS7799-2

´

IT Infrastructure Library

«

BS15000/ITIL

´

IT Governance Framework

«

COSO

«

CobiT

´

ป

ั

11 ´

กฎหมายความปลอดภย

«

Health Information Portability and Accountability Act (HIPAA)

«

Gramm-Leach- Bliley Act (GLB)

«

Sarbanes- Oxley Act (SOX)

ATTACKS, SERVICES AND MECHANISMS ATTACKS, SERVICES AND MECHANISMS

´Security Attack: Any action that ´Security Attack: Any action that

compromises the security of information.

´Security Mechanism: A mechanism that is

designed to detect, prevent, or recover from a security attack.

´Security Service: A service that enhances ´Security Service A service that enhances

the security of data processing systems and information transfers. A security service makes use of one or more security mechanisms.

(7)

SECURITY ATTACK

´Any action that compromises the security of

information information

´Often threat & attack used to mean same thing ´Many different attacks

´Can be classified as P i tt k «Passive attacks «Active attacks 13

SECURITY ATTACKS

(8)

SECURITY ATTACKS

´Interruption: This is an attack on

availability availability

´Interception: This is an attack on

confidentiality

´Modification: This is an attack on

integrity

F b i i Thi i k

15

´Fabrication: This is an attack on

authenticity

SECURITY GOALS

Confidentiality Integrity Availability Authenticity

(9)

17

PASSIVE ATTACKS

´Reading contents of messages ´Observing traffic flows

´Difficult to detect passive attacks ´Defense: to prevent their success

(10)

ACTIVE ATTACKS

´ Modification or creation of data stream

Four categories: modification of messages replay

´ Four categories: modification of messages, replay,

masquerade, denial of service

´ Easy to detect but difficult to prevent

´ Defense: detect attacks and recover from damages

(11)

21

(12)

23

SECURITY SERVICES

´ Confidentiality (privacy)

´ Authentication (who created or sent the data) ´ Integrity (data has not been altered)

´ Non-repudiation (the order is final – cannot deny) ´ Access control (prevent misuse of resources) ´ Availability (permanence non-erasure)

´ Availability (permanence, non erasure) « Denial of Service Attacks

(13)

X.800 SECURITY SERVICES (1)

25

(14)

X.800 SECURITY SERVICES (3)

27

(15)

SECURITY SERVICES VERSUS ATTACKS

29

(16)

X.800 SECURITY MECHANISMS (2)

31

(17)

SERVICES AND MECHANISMS

33

COMPUTER SECURITY RISKS

´ความเสี่ยงตอการเกิดความเสียหายตอคอมพิวเตอรและขอมูล

ื ื ใ ี่ ใ ี

«_{คือเหตุการณหรือการใชงานทีกอใหเกิดความเสียหายตอฮารดแวร, ซอฟทแวร, ขอมูล, และ}

ความสามารถในการประมวลผลขอมูล

(18)

รูปแบบของ

COMPUTER SECURITY RISK

• Internet and network attacks • Unauthorized access and use • Unauthorized access and use • Hardware theft & vandalism • Software theft • Information theft • System failure

รูปแบบของผูกระทําผิด

´Hacker «_{บคคลที่บกรกเขาใชคอมพิวเตอรหรือเนทเวิรคอยางผิดกฏหมาย} «_{บุคคลทบุกรุกเขาใชคอมพวเตอรหรอเนทเวรคอยางผดกฏหมาย} «มีความความรูดานคอมพิวเตอรและเนทเวิรคขั้นสูง ´Cracker «_{เหมือน}hacker _{และตองการเขาทําลายขอมูล, ขโมยขอมูล, หรือกระทําสิ่งที่สอในทางประสงค} ราย «_{มีความความรูดานคอมพิวเตอรและเนทเวิรคขั้นสูง}

(19)

(

ตอ

)

´Script kiddie «เหมือน cracker แตไมมีความรดานเทคนิเคิล «เหมอน cracker แตไมมความรูดานเทคนเคล «_{โดยมากจะเปนวัยรุน ที่ใชเครื่องมือหรือซอฟตแวรที่เขียนโดย}hacker _หรือcracker _ใน การบุกรุกเขาใชงานคอมพิวเตอร ´Corporate spies «_{บุคคลที่รับจางบุกรุกเขาจารกรรมขอมูลของบริษัท ฝายตรงขาม เพื่อหวังผลความไดเปรียบ} ทางดานธุรกิจ «_{มีความความรูดานคอมพิวเตอรและเนทเวิรคขั้นสูง}

(

ตอ

)

´Unethical employees ี่ โ ั ื่ ั ใ ํ ั ใ ั «_{ลูกจางทีเขาขโมยขอมูลของบริษัท เพือหวังผลในการขายขอมูลสําคัญใหกับฝายตรงขาม} ´Cyberextortionist «_{การใช}email _{เพื่อขูบังคับใหบุคคลหรือองคกรจายเงิน โดยหากไมทําตามจะทําการสราง}

(20)

CLASSICATION OF SECURITY VIOLATION

´Cracking S fi ´Spoofing ´Snooping ´Social Engineering ´Denial of Service

CRACKING

´Often called as “Hacking”

´Break through the security by using the

knowledge of «Software Engineer «Computer Network «Operating System «Operating System «etc.

(21)

SPOOFING

´Act as the others, e.g.

f k il di il b di

«fake e-mail: e.g. sending an e-mail by pretending to

be other (theoritical can be any name)

«fake IP: e.g. to gain accesses to the prohibit area

http://www.data.com/roundups/images/vpn_servers_figure1.html

SPOOFING

´Starting point for other security violation

F l i f i

´False information ´protected by

(22)

SNOOPING

´Steal information during transmission

H d

´Hardware:

«Packet Sniffer

«usually need access to the physical network

´Software: «capture keystroke «capture keystroke

SNOOPING CONT.

´Other: T hi (h d t dit d b )

«Trashing (happened to credit card number)

´protected by:

«encryption

(23)

SOCIAL ENGINEERING

´Talking between user and cracker

S i d C

´Serious and Common ´protected by:

«policy

«knowledge of users

DENIAL OF SERVICE

´attack the weakness of the network, e.g.

i il ( il b b)

«spamming e-mail (mail bomb)

«spamming web request

(24)

ประเด็นเกี่ยวกับความปลอดภัยบนเครือขายในปจจุบัน

´ Virus and Worm Attacks ´ Spyware Attacks

´ Spyware Attacks ´ Malware Attacks ´ SPAM Mail

´ Web Server Attacks ´ Zero Day Threats ´ Web Browser Threats

47

´ SPIM

´ P2P

´ Phishing and Pharming Attacks

PHISHING

(25)

PHISHING

49

PHISHING

(26)

PHARMING

51

METHODS OF DEFENCE

´Encryption ---(Steganography)

´Software Controls (access limitations in a data

base, in operating system protect each user from other users)

´Hardware Controls (smartcard)

´Policies (frequent changes of passwords) ´Policies (frequent changes of passwords) ´Physical Controls (locked in a secure room,

(27)

GENERAL

RULES

FOR

PROTECTION

´software current & update

H tFi & P t h & d

«HotFix & Patch & upgrade

´encrypt sensitive information ´trainning user & administrator

«password & security

«policy

´monitoring: ₁₀₀% monitor --> ₁₀₀% secure

GENERAL

RULES

FOR

PROTECTION

(CON.)

´Personal firewall

´Anti virus & Update Virus Signature ´AntiMalware AntiSpyware