Lumension® Intelligent TM Whitelisting
6
1
5
2
4
3
เครื่องมือบริหารจัดการ ดานความปลอดภัย สำหรับ อุปกรณปลายทางที่ใหประสิทธิภาพ ความยืดหยุน และความงาย ที่มากกวา P. 14
นิตยสาร เบย คอมพิวติ้ง ฉบับที่ 12 ป 2554
เพื่อการปกปองขอมูลธุรกิจของคุณที่ครอบคลุมทุกสวน ของระบบงาน SAP
EDITOR’S NOTE & CONTENTS
สวัสดีคะ ทานผูอานทุกทาน Bay’s Newsletter ฉบับนี้ เปนการนำเสนอ SAP Security Solutions สำหรับทุกองคกรที่มีการนำระบบ SAP มาใชงาน เพื่อเปนการยกระดับความปลอดภัย และเพิ่มการปองกันขอมูลสำคัญทาง ธุรกิจไปพรอมๆ กัน นอกจากนี้เรายังคงเดินหนานำเสนอขอมูลทั้งดาน IT Security และ Network Security อยางตอเนื่อง เพื่อใหทุกทานสามารถนำไปปรับใชไดอยางเหมาะสม และสำหรับผูที่ ติดตามโซลูชัน PCI-DSS Part 2 ฉบับนี้เรานำเสนอรายละเอียดของขอกำหนดที่ 1 และ 2 เรื่อง การสรางและบำรุงรักษาเครือขายที่มีความปลอดภัยรัดกุม และการหามใชรหัสที่ กำหนดโดยผู ผ ลิ ต ในตอนเริ่ ม ต น เป น รหั ส ผ า นของระบบ แล ว กลั บ มาพบกั น ใหม ใ น ฉบับหนานะคะ นิดา ตั้งวงศศิริ, ผูจัดการทั่วไป
CONTENTS
02 EDITOR’s NOTE & CONTENTS 03 NEWS UPDATE 05 COVER STORY SAP Security Solution
07 SOLUTION UPDATE PCI-DSS Solutions Part 2
10 TECHNOLOGY UPDATE
WaveIP ผูนำโซลูชันบรอดแบนดไรสายชนิด Point-to-Point และ Point-to-Multipoint ที่เหนือกวา
12 ISMS STANDARD
เสริมมาตรการความปลอดภัยไอทีดวย ISO 27001:2005 ตอนที่ 10 “Annex A”
14 Lumension Intelligent Whitelisting 15 RSA Adaptive Authentication 16 RSA NetWitness 2
Bay Computing Newsletter l 12th Issue
NEWS UPDATE เบยฯ รวมกิจกรรม 20 ปลูกปาชายเลน May 2011
เมื่อวันที่ 20 พฤษภาคมที่ผานมา บริษัท เบย คอมพิวติง้ รวมเปนสวนหนึง่ ในกิจกรรม สรางสรรคสงั คม ปลูกปาชายเลน ณ อุทยาน สิ่ ง แวดล อ มนานาชาติ สิริ น ธร จ.เพชรบุรี เพื่ อ ลดภาวะโลกร อ นและเป น แนวทาง ปองกันภัยสึนามิ ภายใตโครงการ “อุทยานฯ สีเขียวดวยพระบารมี” ซึ่งกิจกรรมดีๆ ใน ครั้งนี้จัดขึ้นโดย IBM และ CU
May 2011
25-27
เบยฯ รวมออกบูธในงาน ISMS Lead Auditor
เมื่อวันที่ 25-27 พฤษภาคมที่ผานมา บริษัท เบย คอมพิวติ้ง และบริษทั อีคอป ประเทศไทย เขารวมออกบูธงาน “ISO 27001: 2005 ISMS Lead Auditor Seminar 2011” ณ หองสกาย บอลรูม โรงแรม วินเซอร สูท สุขุมวิท 20 ซึ่งจัดขึ้นโดย ชมรม ผูต รวจสอบภายในธนาคารและสถาบันการเงิน โดยมีวตั ถุประสงค เพื่ อ ให ค วามรู ค วามเข า ใจเบื้ อ งต น ด า นความปลอดภั ย ของ ขอมูลสารสนเทศในมาตรฐาน ISO 27001 ในครั้งนี้ บริษัท เบย คอมพิวติ้ง ไดนำเสนอโซลูชัน “Guardium : Database Real Time Monitoring” ซึ่งไดรับความสนใจจากผูสอบบัญชี (Auditor) ที่เขารวมงานอยางมากมาย
June 2011
8
ICTSEC
เมือ่ วันที่ 8 มิถนุ ายนทีผ่ า นมา บริษทั เบย คอมพิวติง้ รวมออกบูธงาน ICTSEC ภายใตหัวของานสัมมนา “The Age of Mobility” ณ หอง Auditorium โรงแรมมิราเคิลแกรนด วิภาวดี จัดโดยชมรมเทคโนโลยีสารสนเทศรัฐวิสาหกิจแหงประเทศไทย เพื่อใหความรูเกี่ยวกับ Mobility กับสมาชิกในชมรมฯ และ ผูสนใจ เพื่อเปนแนวทางความรูไปพัฒนาปรับปรุงองคกรได อยางเหมาะสม ดังนั้น บริษัท เบย คอมพิวติ้ง จึงไดนำเสนอ โซลูชันที่กำลังเปนที่สนใจ คือ Mobile Security Solution, SAP Security Solution และ Cloud Security Solution โดยมี ผูเชี่ยวชาญในแตละดาน คอยใหความรูและคำแนะนำสำหรับ ผูสนใจในโซลูชันเหลานี้ไดเปนอยางดี
Bay Computing Newsletter l 12th Issue
3
COVER UPDATE STORY NEWS June 2011
9
SonicWALL Next Generation Seminar
เ ม่ื อ วั น ท่ี 9 มิ ถุ น า ย น ท่ี ผ า น ม า บ ริ ษั ท เ บ ย ค อ ม พิ ว ต้ิ ง ร ว ม จั ด ง า น สั ม ม น า กั บ SonicWALL ภายใตช่ืองาน “SonicWALL Next Generation Seminar” ณ หอง สโรชา ชน้ั 3 โรงแรมอโนมา โดยมผีเูชย่ีวชาญจาก SonicWALL Thailand เปนผใูห ความรูเร่ือง “UTM Next Generation Firewall (Virtualization & Control)” และ ผูเช่ียวชาญจาก เบย คอมพิวต้ิง เปนผูบรรยายโซลูชัน SSLVPN โดยท้ัง 2 หัวขอ ไดรบัความสนใจจากผรูวมงานอยางคบัคง่ั June 2011
14-15
TOT IT Security Day 2011
บริษัท ทีโอที ไดจัดงาน TOT IT Security Day 2011 ภายในงานมีการสัมมนา หัวขอ “การรักษาความม่ันคงและความปลอดภัยทางดานสารสนเทศ” ซ่ึงเปนการ รณรงคใหบคุลากรในองคกรตระหนกัถงึความปลอดภยัของขอมลู ทง้ัน้ี บรษิทั เบย คอมพวิตง้ิ ไดนำเสนอโซลชูนัทน่ีาสนใจของ Trend Micro เพอ่ืใหคำแนะนำ พรอมทง้ั ประชาสัมพันธใหกับพนักงานและผูสนใจในงาน โดยงานน้ีจัดข้ึนท่ี บริษัท ทีโอที (สำนกังานใหญ) แจงวฒ ั นะ อาคาร 9 ชน้ั 1
June 2011
28-29
SNSCON 2011
ส ว ท ช . ร ว ม มื อ กั บ ส ม า ค ม ค ว า ม ม่ั น ค ง ป ล อ ด ภั ย ร ะ บ บ สารสนเทศ และบริษัท เอซิส โปรเฟสช่ันนัลฯ จัดงานสัมมนา “Social Networking Security Conference 2011” และ “Mobile Computing Security Conference 2011” ณ หองแกรนดบอลรมู ชน้ั 4 โรงแรมแกรนด มิลเลนเนียม สุขุมวิท โดย บริษัท เบย คอมพิวต้ิง รวมออกบูธในงาน คร้ังน้ี เพ่ือนำเสนอ 3 โซลูชันท่ีกำลังเปนท่ีสนใจในยุคไอที ณ ปจจุบัน คือ Mobile Security Solution, SAP Security Solution และ Cloud Security Solution เพอ่ืใหผรูวมงานทราบถงึวธิกีารปองกนัภยัทางเครอืขาย สงัคมออนไลน และรบัทราบความกาวหนาทางเทคโนโลยี ซง่ึภายในบธู เรามผีเูชย่ีวชาญคอยใหความรแูละคำแนะนำกบัผทูส่ีนใจเขามาเยย่ีมชมบธู มากมาย
4
Bay Computing Newsletter l 12th Issue
July 2011
12-14
RSA South East Asia Partner Conference
RSA มอบรางวลั Country Partner of the Year (Thailand) และ Regional Breakthrough Deal Award (Thailand) ใหกบั Bay Computing ในงาน RSA South East Asia Partner Conference 2011 จดัขน้ึ ณ Courtyard by Marriott จ. ภเูกต็ ระหวางวนัท่ี 12-14 กรกฏาคม 2554 ทผ่ีานมา ภายในงานมี พารทเนอรในภูมิภาคเอเชียแปซิฟกเขารวมงานเปนจำนวน มาก และเบยฯ ไดรบัเกยีรตเิปนพารทเนอรเพยีงรายเดยีวจาก ประเทศไทยท่ีข้ึนรับรางวัลในคร้ังน้ี สรางความภูมิใจและ เปนกำลงัใจในการพฒ ั นาธรุกจิทางดานไอทใีหด ำเนนิตอไป อยางมปีระสทิธภิาพยง่ิขน้ึ
SAP เปนระบบบริหารจัดการทรัพยากรในระดับองคกร (Enterprise Resource Planning) ซึ่งไดรับความนิยม อยางกวางขวาง โดยเปนระบบที่ครอบคลุมกระบวนการและการดำเนินธุรกิจในหลายๆ ดาน ตั้งแตระดับนโยบาย ลงไปถึงระดับปฏิบัติการ ดังนั้น ในหลายๆ องคกร ระบบ SAP เปรียบเสมือนหัวใจหลักในการขับเคลื่อนองคกรใหสามารถ ดำเนินธุรกิจไดอยางมีประสิทธิภาพ ดวยความสำคัญของระบบ SAP การใหความสำคัญในการปกปองและรักษาความ ปลอดภัยขอมูลและตัวระบบเอง จึงเปนสิ่งสำคัญที่จะชวยรับรองความตอเนื่องในการดำเนินกิจการและความเชื่อถือได ของขอมูลในระบบ นอกจากนี้แนวโนมสำคัญในปจจุบัน ทั้งแงการตรวจสอบ (Audit) และ กฎ ระเบียบ มาตรฐาน ที่ใช กำกับดูแล (Compliance) ตางๆ นับวันยิ่งสำคัญและสงผลตอการดำเนินธุรกิจในระดับสากล การใหความสำคัญในการ ใหความมั่นใจกับผูถือหุน ผูบริหาร คูคา หนวยงานราชการที่กำกับดูแล และ ลูกคา วาการดำเนินธุรกิจเปนไปอยางถูกตอง ตอเนื่อง และปราศจากการตกแตงเปลี่ยนแปลงขอมูลจึงเปนสิ่งที่จำเปนอยางยิ่ง
การปองกันขอมูลธุรกิจบนระบบ SAP
โดยทัว่ ไปการทำงานของระบบ SAP จะไมรองรับการเขารหัสขอมูล ทีส่ ง ไปมาระหวางเครือ่ งไคลเอนตและเซิรฟ เวอร ผลทีต่ ามมาคือ ขอมูล ธุรกิจที่สำคัญสามารถถูก Sniff หรือดักจับ ซึ่งในกรณีนี้ Username/ Password อาจจะถูก Sniff และถูกนำไปใชแบบที่ไมเหมาะสมได ในกรณีทมี่ กี ารใชงาน Shared Account ของระบบ SAP (อาจจะ เนื่องมาจากงบประมาณที่จำกัด) องคกรจะมีวิธีการตรวจสอบการ ใชงานบัญชีผูใชงานไดอยางไร เรื่องการลดความเสี่ยงที่อาจจะทำใหขอมูลรั่วไหลได ระบบควรจะตองมีวธิ กี ารในการคนหาขอมูล เพือ่ ทีจ่ ะไดทราบวา ขอมูลสำคัญถูกจัดเก็บไวที่ใด เพี่อที่จะไดสรางนโยบายในการ เขาถึงขอมูลไดอยางถูกตอง ขอมูลตางๆ ของระบบ SAP จะถูกจัดเก็บบนระบบฐานขอมูล ซึ่ ง วิ ธี ก ารป อ งกั น อาจจะต อ งใช อุ ป กรณ ห รื อ เทคโนโลยี ที่ เฉพาะเจาะจง เชน Database Activity Monitoring (DAM) ซึ่ง เปนเทคโนโลยีทใี่ ชในการติดตาม (Monitor) และบังคับใช (Enforce) ดานความปลอดภัยบนฐานขอมูลโดยเฉพาะ นอกจากนี้ ถามีการพัฒนาแอพพลิเคชันของระบบ SAP ใหเขากับธุรกิจ (Custom Application) ขึน้ มา เราจะมีวธิ ที ำใหมนั่ ใจไดอยางไรวา ขอมูล บน Production จะไมถูกนำไปใชใน Test Environment เพื่อปองกัน ขอมูลรั่วไหลไปบุคคลที่ไมเหมาะสม และยังคงความสามารถในการ พัฒนาแอพพลิเคชันไดอยู
การปฏิบต ั ต ิ าม (Comply) กับ นโยบายขององคกร มาตรฐาน ขอบังคับ หรือกฏหมาย ที่มีการบังคับใช กับองคกร
โดยทั่วไปเราควรจะตองสามารถระบุไดวา มี Action อะไรเกิดขึ้น เมื่อไร โดยใคร ที่ไหน และดวยวิธีการหรือซอฟตแวรอะไร ในการเขาถึง ขอมูลที่สำคัญขององคกร
ตารางดานลางเปนเครือ่ งมือชวยตรวจสอบในสวนของ Compliance วาแตละขอบังคับจะตองมีการจัดเก็บ Log ของฐานขอมูลรูปแบบใดบาง
ยกตัวอยางเชน การ Comply กับ ISO 27001 Standard จะตอง ตรวจสอบ (Audit) ในสวนของการเขาถึงขอมูล, การแกไขโครงสราง ของฐานขอมูล, การแกไขขอมูล, ขอยกเวนและขอผิดพลาด (Exception and Error) ตางๆ ทีเ่ กีย่ วของกับเรือ่ งความปลอดภัย เชน Failed Logon, SQL Error เปนตน และสวนสุดทายทีต่ อ งมีการจัดเก็บก็คอื ในสวนของ การบริหารจัดการสิทธิของผูใชงาน
การลดความเสี่ยงที่จะเกิดขึ้นกับระบบ SAP
เรามีวิธีการตรวจสอบการเปลี่ยนแปลงคอนฟกูเรชันของระบบ มีการ ตรวจสอบระบบฐานขอมูลของ SAP ใหมีการกำหนดคาคอนฟกูเรชัน เปนไปตามมาตรฐานสากล อยางเชน STIG หรือ DoD เพี่อลดความ เสี่ ย งในการถู ก โจมตี ไ ด รวมถึ ง ระบบควรจะต อ งมี ค วามสามารถ ในการตรวจสอบสิทธิของผูใชงาน อยางเชน การทำ Entitlement Reports เพี่ อ ที่ จ ะได ท ราบและปรั บ เปลี่ ย นสิ ท ธิ ข องผู ใ ช ง านให Bay Computing Newsletter l 12th Issue
5
เหมาะสมกับการทำงานของตัวเอง โดยใชหลักการอยางเชน Least Privilege ได
องคประกอบของ SAP Security Solutions
02
ระบบ Secure Login and Communication ทำงานรวมกับ AD/2FA เพี่อทำใหมีความสามารถในการ เขารหัสขอมูลที่วิ่งไปมาระหวางเครื่องไคลเอนตและเซิรฟเวอร รวมถึง มีความสามารถในการทำ Single Sign On (SSO) ของระบบ SAP อีกดวย
03
ระบบ DAM/DBLP มี ห น า ที่ ใ นการตรวจสอบและป อ งกั น การเข า ถึ ง และการ ใชงาน SAP Database ไดแบบเรียลไทม
จากกราฟจะเห็นวาความเสี่ยงที่อาจเกิดขึ้นกับระบบ SAP มาจากบัญชี ผูใ ชงาน เชน DBA, Developer, SAP User และ SAP Administrators ได ในกรณีที่เราไมมีการบริหารจัดการสิทธิที่ดีพอ จากปญหาและความทาทายตางๆ ที่ไดกลาวไวขางตน บริษัท เบย คอมพิ ว ติ้ ง ได ต ระหนั ก ถึ ง ความปลอดภั ย ของระบบ SAP จึ ง ได จั ด ทำ Security Solution บนระบบ SAP โดยมี ส ว นประกอบ ดังตอไปนี้
01
ระบบ 2 Factor Authentication มีหนาที่ในการทำ 2 Factor Authentication สำหรับการ เขาถึงระบบ SAP
04
ระบบ SIEM มีหนาที่ในการจัดเก็บ Log ของอุปกรณตางๆ ที่เกี่ยวของกับ การเขาถึงระบบ SAP รวมถึงจัดเก็บ Log บนระบบ SAP เพี่อที่จะนำ ขอมูลตางๆ ทีถ่ กู จัดเก็บนำมาใชประโยชน เชน การทำ Alert, Correlation Alerts หรือการออกรายงานตางๆ เปนตน
05
ระบบ Test Data Management เปนระบบที่ใชในการสรางขอมูลทดสอบ (Test Data) ของ ระบบ SAP เพี่อที่จะนำไปใชในสภาพแวดลอม (Environment) ที่เปน การพัฒนา (Develop), การทดสอบ (Test) หรือการอบรม (Training) โดยระบบจะมีการนำขอมูลจริงบนระบบ SAP มาเปลี่ยนแปลงใหเปน Data ทีไ่ มเหมือนขอมูลเดิม แตสามารถนำไปใชงานตามสภาพแวดลอม ตางๆ ที่กลาวขางตนได
โซลู ชั น ข า งต น เป น เพี ย งส ว นหนึ่ ง ของโซลู ชั น ที่ บริษัทฯ นำเสนอ การรองรับคอนโทรลตางๆ ให ครอบคลุมยิ่งขึ้น ตองอาศัยเทคโนโลยีดานอื่นๆ ประกอบ ดังตารางดานลาง
6
Bay Computing Newsletter l 12th Issue
SOLUTION UPDATE
PCI-DSS Solution
Part 2
โดย อวริทุธ เลี้ยงศริ,ิ Technology Director, บรษิทั เบย คอมพวิติ้ง จำกดั
ทบทวน PCI คอ ื อะไร?
PCI คอื ตวัยอของคำวา Payment Card Industry ซง่ึเปน องคกรกลาง จัดต้ังเพ่ือพัฒนา ปรับปรุง และบังคับใชมาตรฐาน การรักษาความปลอดภัย เพ่ือปกปองเลขท่ีบัญชีลูกคา (เลขท่ีบน บัตรเครดิตและเดบิต) และขอมูลสวนบุคคลของผูถือบัตร กอต้ัง โดยกลมุของบรษิทัผใูหบรกิารบตัรเครดติชน้ันำ เพอ่ืรวมกนักำหนด มาตรฐานเพ่ือปกปองขอมูลสวนบุคคล (Personal Information) และมน่ัใจวามกีารรกัษาความปลอดภยัอยางเหมาะสมและเพยีงพอ สำหรบัการประมวลผลขอมลูเมอ่ืมกีารใชบตัรเพอ่ืชำระเงนิ สมาชกิ ของ PCI ทง้ัหมด ทง้ัสถาบนัการเงนิ, บรษิทัผใูหบรกิารบตัรเครดติ และผูคา (merchant) จะตองปฏิบัติตาม (comply) มาตรฐาน เหลาน้ี ถายังตองการดำเนินธุรกิจผานบัตรเครดิตตอไป การไม ปฏบิตัติามมาตรฐานทก่ีำหนด สามารถสงผลใหถกูกำหนดคาปรบั โดยกลมุผบูงัคบัใช (enforcement entities)
PCI DSS v 2.0 มาตรฐานในการรก ั ษา ความปลอดภย ั ธรุกรรมอเิลก ็ ทรอนก ิ ส
PCI DSS คอืมาตรฐานเกย่ีวกบัการรกัษาความปลอดภยัซง่ึกำหนด โดย PCI SSC ซ่ึงครอบคลุมการปกปองขอมูลท่ีมีความสำคัญ (Sensitive Data) โดยกำหนดตวัควบคมุสำหรบั การบรหิารจดัการ การรักษาความปลอดภัย, นโยบายการใชงานขอมูล, ข้ันตอน กระบวนการ, สถาปตยกรรมระบบเครอืขาย, การออกแบบซอฟตแวร และอน่ืๆ เพอ่ืปกปองขอมลูสำคญ ั ของผถูอืบตัร นอกจากน้ี PCI DSS บังคับใชกับผูเก่ียวของท้ังหมดในวงจรการ ออกบตัร ประมวลผล และสถาบนัการเงนิ และรานคาผรูับบตัร ซง่ึ ตองถูกรับรองโดยหนวยงานผูตรวจสอบท่ีไดรับการรับรองจาก PCI แลว โดยมาตรฐานบังคับใหผูเก่ียวของตองปฏิบัติตาม และ หากไมปฏิบัติตามอาจถูกระงับการใหบริการ รวมถึงหากเกิดเหตุ ขอมูลร่ัวไหล ความผิดตางๆ รวมถึงคาใชจายและความเสียหาย ท่ี เ กิ ด ข้ึ น ท้ั ง ห ม ด จ ะ ต ก เ ป น ข อ ง ผู ท่ี ไ ม ป ฏิ บั ติ ต า ม ม า ต ร ฐ า น น้ี แตเพยีงผเูดยีว แกนหลกัของ PCI DSS คอื Principle ซง่ึเกดิจากการรวมกนัของ Requirement ตางๆ โดยแบงเปน 6 Principle รวม 12 Requirement โดยในตอนท่ี 2 นจ้ีะกลาวถงึ 2 Requirement แรก ประกอบดวย
Principle 1 : Build and Maintain a Secure Network กำหนดใหม ก ี ารสรางและบำรงุรก ั ษาเครอ ื ขายที่มี ความปลอดภย ั รด ั กม ุ
Requirement 1 : Install and maintain a firewall configuration to protect cardholder data ติดต้ังและบำรุงรักษาคาคอนฟกูเรชันของไฟรวอลล เราเตอร และ อุปกรณเก่ียวของ ใหสามารถปกปองขอมูลของผูถือบัตร โดยตอง ปองกันการเขาถึงระบบ ฐานขอมูล และเคร่ืองท่ีใชประมวลผล หรอืจดัเกบ็ขอมลูของผถูอืบตัร มกีารแบงแยกขอบเขต หรอื Zone ทช่ีดัเจน พรอมทง้ัมกีระบวนการในการควบคมุการใช เปลย่ีนแปลง คาคอนฟกเูรชนัทเ่ีหมาะสม เพอ่ืปองกนัการลกัลอบแกไข และจดัให มแีผนภาพ (diagram) ระบบเครอืขายทท่ีนัสมยัอยเูสมอ Bay Computing Newsletter l 12th Issue
7
TECHNOLOGY SOLUTION UPDATE UPDATE Requirement 1 Requirement 1.1
กำหนดใหมมีาตรฐานในการตั้งคาคอนฟกเูรชนัของไฟรวอลล และเราเตอร ดงัตอไปนี้ : Requirement 1.1.1 : จัดทำกระบวนการอยางเปนทางการสำหรับการอนุมัติ แ ละการทด สอบการเ ช่ือมตอเ ครือขายท้ังห มด แ ละการ เปลย่ีนแปลงคาคอนฟกเูรชนัของไฟ รวอลลแ ละเราเตอร Requirement 1.1.2 : จัดใหมีแ ผ นภาพ ระบบเครือขายท่ีเปนปจจุบัน ซ่ึงแ สดงการเช่ือมตอท้ังหมดท่ีไปยังขอมูลผูถือบัตร ซ่ึงรวมถึงระบบ เครอืขายแ บบไรสายดวย Requirement 1.1.3 : มีขอ กำห น ด ส ำห รับ ไ ฟ รว อ ล ลเ พ ่ือ คว บ คุมการเ ขา-อ อ กข อ งขอ มูล ใ น แ ตล ะจุด ท่ีมีการเ ช่ือ มตอ อิน เ ทอ รเ น็ต และ ระหวางเขตปลอดทหาร (DMZ) กบัระบบเครอืขายภายใน Requirement 1.1.4 : ใหคำจำกัดความเก่ียวกับ กลุม, บทบาท และความรับผิดชอบ สำหรับการจัดการเชิงตรรกะของคอมโพเนนตของ เครอืขาย Requirement 1.1.5 : จัดเตรียมเอกสารและเหตุผลเชิงธุรกิจ สำหรับอธิบายการใชงาน บริการ, โพรโตคอล แ ละพ อรตท่ีไดรับอนุญาต ทง้ัหมด รวมทง้ัเอกสารประกอบการในการใชฟเจอรดานความปลอดภยัอน่ืๆ เพอ่ืจดัการโพรโตคอลทถ่ีอืวาไมปลอดภยั Requirement 1.1.6 : ทบทวนกฎตางๆ (rule sets) สำหรบัไฟ รวอลล แ ละเราเตอรอยางนอยทกุ 6 เดอืน
Requirement 1.2
ตั้งคาไฟรวอลลใหจำกดัการเชื่อมตออยางเหมาะสม ระหวางเครอืขายภายนอกและระบบใดๆ กต็ามที่มขีอมลูของผถูอืบตัรอยู Requirement 1.2.1 : จำกดัการจราจรขาเขาแ ละขาออกเทาทจ่ีำเปนสำหรบัสภาพแ วดลอมทม่ีขีอมลูผ ถูอืบตัร Requirement 1.2.2 : ซงิโครไนซ (synchronize) ไฟ ลคอนฟ กเูรชนัของเราเตอร แ ลวจดัเกบ็ใหปลอดภยั Requirement 1.2.3 : ติด ต้ัง Perimeter firewall ระหวางเครือขายไรสายใดๆ กับสภาพ แ วด ลอมท่ีมีขอมูลผ ูถือบัต ร และกำหนดคา ไ ฟ รว อ ล ลเ ห ลาน้ีใ หป ฏิเ ส ธ หรือควบคุม (ถาการจราจรดังกลาว เ ปน ส่ิงจำเ ปน ส ำห รับ วัต ถุป ระส งคทางธุรกิจ) การจราจรใดๆ ทม่ีาจากสภาพแ วดลอมแ บบไรสายไปยงัสภาพ แ วดลอมทม่ีขีอมลูผ ถูอืบตัร
Requirement 1.3
หามไมใหเขาถงึรายการสาธารณะโดยตรง ระหวางเครอืขายอนิเท อรเนต็กบัคอมโพเนนตของระบบใดๆ กต็ามที่มขีอมลูผถูอืบตัร Requirement 1.3.1 : สราง DMZ เพ ่ือจำกัดการจราจรขาเขาแ ละขาออกตามโพ รโตคอลเฉพ าะท่ีจำเปนสำหรับสภาพ แ วดลอมท่ีมีขอมูล ผถูอืบตัร Requirement 1.3.2 : จำกดัการจราจรทางอนิเทอรเนต็ขาเขาใหไปยัง IP Address ทอ่ียภูายใน DMZ ได Requirement 1.3.3 : ไมอนญ ุ าตใหใชเสนทางตรง ทง้ัขาเขาและขาออก สำหรบัการจราจรระหวางเครอืขายอนิเทอรเนต็กบัสภาพ แ วดลอม ทม่ีขีอมลูผ ถูอืบตัร Requirement 1.3.4 : ไมอนญ ุ าตให IP Address ภายใน ผ านจากเครอืขายอนิเทอรเนต็ไปยงั DMZ ได Requirement 1.3.5 : จำกัดการจราจรขาออกจากสภาพ แ วดลอมท่ีมีขอมูลผูถือบัตรไปยังเครือขายอินเทอรเน็ต โดยการจราจรขาออก สามารถเขาถงึ IP Address ภายใน DMZ ไดเทานน้ั Requirement 1.3.6 : อมิพลเีมนตฟ เจอร stateful inspection เพอ่ืกรองแ พ ก็เกต็การจราจรแ บบไดนามกิ Requirement 1.3.7 : จดัวางฐานขอมลูในโซนเครอืขายภายใน แยกจาก DMZ Requirement 1.3.8 : ทำ NAT (Network Address Translation) โดยใชเทคนคิ IP masquerading เพ อ่ืปองกนั IP Address ภายใน ถกูแ ปลแ ละเปดเผ ยบนอนิเทอรเนต็ ซง่ึเปนการใช IP Address ทส่ีงวนไวสำหรบัทำ Private IP Address ตาม RFC 1918 แ ละใชเทคโนโลยกีารทำ NAT อน่ืๆ รวมดวย เชน Port Address Translation (PAT)
8
Bay Computing Newsletter l 12th Issue
SOLUTION UPDATE Requirement 1.4
ติดตังซอฟตแวรไฟรวอลลสวนบุคคลบนอุปกรณโมบาย และ/หรือ เครืองคอมพิวเตอรทีพนักงานเปนเจาของ ซึงมีการเชือมตอ โดยตรงกับอินเทอรเน็ต (เชน แลปทอปทีใชโดยพนักงาน) แลวนำมาใชเขาถึงเครือขายขององคกร
Requirement 2 : Do not use vendor-supplied defaults for system passwords and other security parameters หามใชรหัสผานของระบบ/แอพพลิเคชัน/คอนฟกูเรชัน เปนรหัสผานที่กำหนดโดยผูผลิตในตอนเริ่มตน (default password) รวมถึงการตั้งคาอื่นๆ เชน IP address 192.168.1.1 หรือ Username : admin และ Password : password หรือ วางเปลา (blank), Wireless encryption key, SNMP community string เปนตน รวมถึงปรับใช มาตรฐานในการกำหนดคาคอนฟกูเรชันที่เหมาะสม โดยอางอิงจากสถาบันและมาตรฐานซึ่งเปนที่ยอมรับ เชน Center for Internet Security, NIST, ISO, SANS institute เปนตน
Requirement 2 Requirement 2.1
เปลียน รหัสผาน, SNMP community string และอืน ๆ ทีสามารถใชเขาสูระบบผานเครือขายได โดยหามใชคาเริมตน (default) ทีมากับระบบ กอนนำระบบนันๆ เขาไปติดตังในเครือขาย Requirement 2.1.1 : สำหรับสภาพแวดลอมแบบไรสายทีเชือมตอกับสภาพแวดลอมทีมีขอมูลผูถือบัตรหรือการสงขอมูลผูถือบัตร ให เปลียนคาเริมตนทีผูผลิตอุปกรณไรสายกำหนดไว ซึงไมจำกัดเพียงคาเริมตนไรสายในสวนของคียการเขารหัส (encryption keys) รหัสผาน และ SNMP community strings แตตองตังคาความปลอดภัยใหแนใจวาอุปกรณไรสายมีการใชงานเทคโนโลยีการเขารหัสทีแข็งแกรงสำหรับ การตรวจสอบและการสงผานขอมูล
Requirement 2.2
จัดทำมาตรฐานคอนฟกูเรชัน สำหรับแตละคอมโพเนนตของระบบ เพือใชเปนมาตรฐานเปรียบเทียบ นอกจากนีมาตรฐานทีจัดทำ ขึนตองตระหนักถึงชองโหวตางๆ ทีมีในระบบ ทังความปลอดภัยและอางอิงตามมาตรฐานสากลทีเปนทียอมรับ เชน CIS, DISA STIG, ผูผลิตกำหนด (best practice) เปนตน Requirement 2.2.1 : ใชเพียงหนึงฟงกชันหลักตอเซิรฟเวอร Requirement 2.2.2 : ปดการใชงานบริการและโพรโตคอลทีไมจำเปนและไมปลอดภัยทังหมด (บริการและโพรโตคอลทีไมจำเปนโดยตรงตอ การทำงานของฟงกชันเฉพาะของอุปกรณ) Requirement 2.2.3 : กำหนดคาพารามิเตอรในการรักษาความปลอดภัยระบบ เพือปองกันการใชผิดประเภท Requirement 2.2.4 : ลบทุกฟงกชันการทำงานทีไมจำเปน เชน สคริปต ไดรเวอร ฟเจอร ระบบยอย ระบบไฟล (file systems) และเว็บ เซิรฟเวอรทไี มจำเปน
Requirement 2.3
เขารหัสการเขาถึงในระดับสิทธิผูดูแลระบบทีไมผานคอนโซลทังหมด และใชเทคโนโลยีอยาง SSH, VPN หรือ SSL/TLS สำหรับ การจัดการแบบเว็บเบสและการเขาถึงในระดับสิทธิผูดูแลระบบทีไมผานคอนโซลอืนๆ
Requirement 2.4
ผูใหบริการโฮสติงทีใชรวมกันจะตองปกปองสภาพแวดลอมการโฮสตของแตละองคกร และขอมูลผูถือบัตร
ในตอนตอไป เราจะลงลึกในรายละเอียดของระบบทีส่ ามารถนำมาใช เพือ่ ชวยตอบขอกำหนดตางๆ (Requirement 3 และตอๆ ไป) ของ PCI-DSS เพื่อใหสามารถผานการตรวจสอบไดอยางสะดวก มากขึ้น และชวยใหเพิ่มความมั่นใจแกคูคา รวมถึงลูกคาวา ขอมูลสำคัญจะไดรับการปกปองและ ใหความสำคัญเปนอยางดีตามมาตรฐานโลก และการตระหนักถึงความสำคัญของลูกคาเชนกัน Bay Computing Newsletter l 12th Issue
9
ในปจจุบันการใหบริการเครือขายไรสายเขามามีบทบาทตอผูใหบริการและผูใชบริการอยางรวดเร็ว เปนการยากที่ผูใชจะหาอุปกรณที่รองรับการใชงานประเภทจุดตอจุดหรือจุดตอหลายๆ จุด ซึ่งจะตอง ตอบโจทยในแงระยะทางการใหบริการที่ไกล ความเร็วในการใหบริการ การจัดการเรื่องกำลังสง การจัดสรร ความถี่หรือวิธีการสงแบบอัตโนมัติ รวมทั้งการจัดการเรื่องระบบความปลอดภัยในการรับสงขอมูล อุปกรณยี่หอ WaveIP รุน WipAir Series จึงเขามาตอบโจทยนี้ไดอยางชัดเจน ดวยการเปนผูนำทางดานอุปกรณ การรับสงชนิด Point-to-Point หรือ Point-to-Multipoint ในตัวเดียวกัน โดย WipAir Series เปนอุปกรณระดับ Carrier-Grade และมีประสิทธิภาพดีที่สุดเมื่อเทียบในระดับเดียวกัน มีความนาเชื่อถือในการรับสงขอมูล ให ความเร็วในการใชงานที่สูงในขณะที่คา Latency ต่ำ มีความทนทานตอการใชงานประเภท Outdoor และราคา ไมสูงมากสำหรับการลงทุนติดตั้งอุปกรณ
Backhaul Solution for Multiple Applications
IP data Backhaul เหมาะสำหรั บ ผู ใ ห บ ริ ก าร WiMAX ในประเทศ, Metro WiFi Network, Cellular and 3G Network Video Surveillance ระบบการเฝาระวังดวยกลอง ผาน เครือขายไรสายความเร็วสูง Multiple Backhaul Solution ระบบเครื อ ข า ยไร ส ายที่ เหมาะกับการใหบริการสำนักงานใหญและสาขาตางๆ
10
Bay Computing Newsletter l 12th Issue
High bandwidth campus solution เหมาะกับผูใชบริการที่ตองการความเร็วสูง Temporary and Emergency Systems เหมาะกับการใชงานประเภทเครือขายไรสาย ชั่วคราว ในกรณีเครือขายหลักมีปญหา
ประสิทธิภาพที่เหนือกวาอุปกรณโดยทั่วไป
Advanced OFDM 2x2 MIMO ซึ่งจะชวยเพิ่ม Bandwidth Capacity ในการรับสง ขอมูลที่มากกวา High capacity จะรองรับความเร็วสูงสุดที่ 270 Mbps รองรับการใชงานประเภทการรับสงแบบ Point-to-Point และ Point-to-Multipoint ภายในอุปกรณตัวเดียวกัน Best latency ที่ 1 ms เหมาะกับการใชงานประเภท Voice, Video และ Interactive Applications The only Hitless ACM รับประกันการเกิด Error ขึ้นในการใหบริการ รองรับการสงขอมูลไดสูงกวา 70,000 แพ็กเก็ตตอวินาที Dynamic asymmetric capacity สามารถปรับคาการ Upload หรือ Download ได ตามการใชงานทราฟฟกจริง
Security รองรับการเขารหัสการรับสงขอมูลแบบ AES 256-Bit The only stable solution มีเทคโนโลยีที่ทันสมัยในการจัดการสัญญาณรบกวนที่เกิดขึ้น Long range รองรับระยะทางไดไกลถึง 130 km Versatile radio เพิ่มความยืดหยุนในการจัดการเรื่อง Channel Bandwidth ไดตั้งแต 5/10/20/40 MHz การ Modulation ไดตั้งแต BPSK, QPSK, 16QAM และ 64QAM รองรับการใชความถี่แบบ Licensed และ Unlicensed ที่ 700-900 MHz, 2.3-2.7 GHz, 3.3-3.8 GHz, 4.9-6.0 GHz, 6.0-7.0 GHz Real time synchronization ดวย GPS หรือ Internal Clock มีพอรตที่เชื่อมตอกับระบบ Local ดวยความเร็ว 1,000 Mbps สามารถจัดการเรื่อง VLANs Tagging และการรับประกันคุณภาพในการรับสงขอมูลไดดวย QoS สามารถเชื่ อ มต อ กั บ อุ ป กรณ ส ายอากาศภายนอกหรื อ ชุ ด อุ ป กรณ ที่ มี ส ายอากาศมาให ดวยกำลังสงที่สูง ควบรวมดวยระบบ Power Redundancy ผานพอรตการเชื่อมตอของ RJ45 x 2 และ 1 + 1 Solution การติดตั้งและดูแลรักษางายดวยฟงกชัน Built in RSSI buzzer, RF Sniffer อัตราการใชกำลังไฟฟาที่นอยกวา 6 Watt การจัดการที่งายผาน Web User Interface หรือการจัดการผาน Software Link Manager และวิเคราะหตรวจสอบคาตางๆ ดวย View Air Software
Bay Computing Newsletter l 12th Issue
11
ISMS STANDARD
เสรม ิ มาตรการความปลอดภย ั ไอที ดวย ISO 27001:2005 ตอนที่ 10
“Annex A”
โดย ภคัณฏัฐ โพธิ์ทองบวรภคั Senior Network and Security Engineer บรษิทั เบย คอมพวิติ้ง จำกดั
มาตรฐานความปลอดภยัขอมลูสารสนเทศ ISO 27001:2005 ในฉบบัน้ี ไดเดนิทาง มาถงึตอนท่ี 10 แลว โดยเรายงัคงพดูถงึ Annex A ในขอ A.11 การควบคมุการ เขาถงึ (Access control) สวนทเ่ีหลอื และขอ A.12 การจดัหา การพฒ ั นา และการบำรงุรกัษา ระบบสารสนเทศ (Information systems acquisition, development and maintenance) ครบั
A.11.5 การควบคม ุ การเขาถงึ ระบบปฏบ ิ ต ั ก ิ าร (Operating system access control)
วตัถปุระสงค : ปองกนัการเขาถงึระบบปฏบิตักิาร โดยไมไดรบัอนญ ุ าต
A.11.5.1 ขน้ัตอนปฏบิตัใินการเขาถงึระบบอยาง มน่ัคงปลอดภยั (Secure log-on procedures) ตวัควบคมุ : ตองจดัใหมขีน้ัตอนปฏบิตัทิม่ีคีวาม มน่ัคงปลอดภยัสำหรบัการเขาถงึหรอืการเขาใชงาน ระบบปฏบิตักิาร A.11.5.2 การระบแุละพสิจูนตวัตนของผใูชงาน (User identification and authentication) ตวัควบคมุ : ตองจดัใหผใูชงานมขีอมลูสำหรบัระบุ ตวัตนในการเขาใชงานระบบทไ่ีมซำ้ซอนกนั และตอง จัดใหมีกระบวนการพิสูจนตัวตนกอนเขาใชงาน ระบบตามขอมลูระบตุวัตนทไ่ีดรบั A.11.5.3 ระบบบรหิารจดัการรหสัผาน (Password management system) ตัวควบคุม : ตองจัดทำหรือจัดใหมีระบบบริหาร จดัการรหสัผานทม่ีกีารควบคมุการกำหนดรหสัผาน ทม่ีคีณ ุ ภาพ A.11.5.4 การใชงานโปรแกรมประเภทยทูลิติ้ี (Use of system utilities) ตัวควบคุม : ตองจำกัดและควบคุมการใชงาน โปรแกรมประเภทยทูลิติ้ี เพอ่ืปองกนัการละเมดิหรอื หลกีเลย่ีงมาตรการความมน่ัคงปลอดภยัทก่ีำหนดไว หรอืมอียแูลว
ตวัควบคมุ : ตองกำหนดใหระบบตดัการใชงานผใูช เม่ือผูใชไมไดใชงานระบบมาเปนระยะเวลาหน่ึง ตามทก่ีำหนดไว A.11.5.6 การจำกดัระยะเวลาการเชอ่ืมตอระบบ สารสนเทศ (Limitation of connection time) ตวัควบคมุ : ตองจำกดัระยะเวลาในการเชอ่ืมตอ ระบบสารสนเทศทม่ีคีวามสำคญ ั สงู
A.11.6 การควบคม ุ การเขาถงึ แอปพลเิคชน ั และสารสนเทศ (Application and information access control)
วัตถุประสงค : เพ่ือปองกันการเขาถึงสารสนเทศ ของแอปพลเิคชนัโดยไมไดรบัอนญ ุ าต A.11.6.1 การจำกดัการเขาถงึสารสนเทศ (Information access restriction) ตวัควบคมุ : ตองจำกดัการเขาถงึสารสนเทศและ ฟงกชนัตางๆ ของแอปพลเิคชนัตามนโยบายควบคมุ การเขาถึงสารสนเทศท่ีไดกำหนดไว การเขาถึงจะ ตองแยกตามประเภทของผใูชงาน A.11.6.2 การแยกระบบสารสนเทศท่ีมีความ สำคญ ั สงู (Sensitive system isolation) ตัวควบคุม : ตองแยกระบบสารสนเทศท่ีมีความ สำคญ ั สงูไวในบรเิวณทแ่ียกตางหากออกมาสำหรบั ระบบนโ้ีดยเฉพาะ
A.11.7 การควบคม ุ อป ุ กรณ สื่อสารประเภทพกพาและการ ปฏบ ิ ต ั งิานจากภายนอกองคก ร (Mobile computing and A.11.5.5 การหมดเวลาการใชงานระบบสารสนเทศ teleworking) (Session time-out)
12
Bay Computing Newsletter l 12th Issue
วัตถุประสงค : เพ่ือสรางความม่ันคงปลอดภัย ส ำ ห รั บ อุ ป ก ร ณ ส่ื อ ส า ร ป ร ะ เ ภ ท พ ก พ า แ ล ะ ก า ร ปฏบิตังิานจากภายนอกองคกร A.11.7.1 การปองกนัอปุกรณสอ่ืสารประเภท พกพา (Mobile computing and communications) ตวัควบคมุ : ตองกำหนดนโยบายเพอ่ืควบคมุหรอื ปองกนัอปุกรณสอ่ืสารชนดิพกพา (เชน notebook, palm และ laptop เปนตน) และตองกำหนดมาตรการ ปองกนัโดยพจิารณาจากความเสย่ีงทม่ีตีออปุกรณ เหลาน้ี A.11.7.2 การปฏบิตังิานจากภายนอกสำนกังาน (Teleworking) ตวัควบคมุ : ตองกำหนดนโยบาย แผนงาน และ ข้ั น ต อ น ป ฏิ บั ติ ส ำ ห รั บ บุ ค ล า ก ร ท่ี จ ำ เ ป น ต อ ง ปฏิ บั ติ ง านขององค ก รจากภายนอกสำนั ก งาน มลูการตรวจประเมนิโดยไมไดรบัอนญ ุ าต
A.12 การจด ั หา การพฒ ั นา และการบำรงุรกัษาระบบ สารสนเทศ (Information systems acquisition, development and maintenance) A.12.1 ขอกำหนดดานความมัน่ คง ปลอดภย ั สำหรบ ั ระบบสารสนเทศ (Security requirements of information systems)
วัตถุประสงค : เพ่ือใหการจัดหาและการพัฒนา ระบบสารสนเทศไดพิจารณาถึงประเด็นทางดาน ความม่ันคงปลอดภัยเปนองคประกอบพ้ืนฐานท่ี สำคญ ั
A.12.1.1 การวเิคราะหและการระบขุอกำหนด ทางดานความมน่ัคงปลอดภยั (Security requirements analysis and specification) ตวัควบคมุ : ตองวเิคราะหและระบขุอกำหนดดาน
ISMS STANDARD ความม่ันคงปลอดภัยสำหรับระบบสารสนเทศใหม หรอืระบบทป่ีรบัปรงุจากระบบทม่ีอียแูลว
A.12.2 การประมวลผลสารสนเทศ ในแอปพลเิคชน ั (Correct processing in applications)
วั ต ถุ ป ระสงค : เ พ่ื อ ป อ ง กั น ค ว า ม ผิ ด พ ล า ด ใ น สารสนเทศ การสู ญ หายของสารสนเทศ การ เปล่ียนแปลงสารสนเทศโดยไมไดรับอนุญาต หรือ การใชงานสารสนเทศผดิวตัถปุระสงค A.12.2.1 การตรวจสอบขอมลูนำเขา (Input data validation) ตัวควบคุม : ตองกำหนดกลไกสำหรับตรวจสอบ ขอมูลนำเขาของแอปพลิเคชันวาขอมูลน้ันมีความ ถูกตองและเหมาะสมกอนท่ีจะนำไปประมวลผล ตอไป A.12.2.2 การตรวจสอบขอมลูทอ่ียใูนระหวาง การประมวลผล (Control of internal processing) ตวัควบคมุ : ตองกำหนดกลไกสำหรบัการตรวจสอบ วาขอมูลท่ีอยูในระหวางการประมวลผลเกิดความ ผิดพลาดข้ึนหรือไม เชน อาจมีสาเหตุจากความ ผดิพลาดในการประมวลผล การกระทำโดยเจตนา ของผทูเ่ีกย่ีวของ เปนตน A.12.2.3 การตรวจสอบความถกูตองของขอความ (Message integrity) ตวัควบคมุ : ตองระบขุอกำหนดสำหรบัการตรวจสอบ ความถูกตองของขอความสำหรับแอปพลิเ คชัน (เพอ่ืใหสามารถตรวจสอบไดวาเปนขอความตนฉบบั ท่ี ถู ก ต อ ง ) ร ว ม ท้ั ง ก ำ ห น ด ม า ต ร ก า ร ร อ ง รั บ เ พ่ื อ ป อ ง กั น ก า ร เ ป ล่ี ย น แ ป ล ง ห รื อ แ ก ไ ข ข อ ค ว า ม น้ั น โดยไมไดรบัอนญ ุ าต A.12.2.4 การตรวจสอบขอมลูนำออก (Output data validation) ตวัควบคมุ : ตองกำหนดกลไกสำหรบัการตรวจสอบ ขอมลูนำออกจากแอปพลเิคชนัเพอ่ืเปนการทบทวน วาการประมวลผลของสารสนเทศท่ีเก่ียวของเปน ไปอยางถกูตองและเหมาะสม
A.12.3 มาตรการการเขารหส ั ขอ มล ู (Cryptographic controls)
วตัถปุระสงค : เพอ่ืรกัษาความลบัของขอมลู ยนืยนั ตั ว ต น ข อ ง ผู ส ง ข อ มู ล ห รื อ รั ก ษ า ค ว า ม ถู ก ต อ ง สมบรูณของขอมลูโดยใชวธิกีารการเขารหสัขอมลู
A.12.3.1 นโยบายการใชงานการเขารหสัขอมลู (Policy on the use of cryptographic controls) ตัวควบคุม : ตองกำหนดใหมีนโยบายควบคุม การใชงานการเขารหัสขอมูล และใหมีผลบังคับ ใชงานภายในองคกร A.12.3.2 การบรหิารจดัการกญ ุ แจเขารหสัขอมลู (Key management) ตัวควบคุม : ตองกำหนดใหมีการบริหารจัดการ สำหรับกุญแจท่ีใชในการเขาหรือถอดรหัสขอมูล โ ด ย กุ ญ แ จ เ ห ล า น้ี จ ะ ใ ช ง า น ร ว ม กั บ เ ท ค นิ ค ก า ร เขารหสัขอมลูทก่ีำหนดเปนมาตรฐานขององคกร
A.12.4 การสรางความมั่นคง ปลอดภย ั ใหก บ ั ไฟลของระบบที่ ใหบ รก ิ าร (Security of system files)
วตัถปุระสงค : เพอ่ืสรางความมน่ัคงปลอดภยัให กบัไฟลตางๆ ของระบบทใ่ีหบรกิาร A.12.4.1 การควบคมุการตดิตง้ัซอฟตแวรลงไป ยงัระบบทใ่ีหบรกิาร (Control of operational software) ตวัควบคมุ : ตองจดัใหมขีน้ัตอนปฏบิตัเิพอ่ืควบคมุ การตดิตง้ัซอฟตแวรตางๆ ลงไปยงัระบบทใ่ีหบรกิาร ทง้ันเ้ีพอ่ืลดความเสย่ีงทจ่ีะทำใหระบบใหบรกิารนน้ั เกิดความเสียหายทำงานผิดปกติ หรือไมสามารถ ใชงานได
(Security in development and support processes)
วัตถุประสงค : เพ่ือรักษาความม่ันคงปลอดภัย สำหรบัซอฟตแวรและสารสนเทศของระบบ A.12.5.1 ขน้ัตอนปฏบิตัสิำหรบัควบคมุการ เปลย่ีนแปลงหรอืแกไขระบบ (Change control procedures) ตวัควบคมุ : ตองกำหนดขน้ัตอนปฏบิตัอิยางเปน ทางการสำหรับควบคุมการเปล่ียนแปลงหรือแกไข ระบบสารสนเทศ ทง้ันเ้ีพอ่ืลดความเสย่ีงทจ่ีะทำให ระบบเกิดความเสียหาย ทำงานผิดปกติ หรือไม สามารถใชงานได A.12.5.2 การตรวจสอบการทำงานของ แอปพลเิคชนัภายหลงัจากทเ่ีปลย่ีนแปลงระบบ ปฏบิตักิาร (Technical review of applications after operating system changes) ตัวควบคุม : ตองทำการตรวจสอบทางเทคนิค ภายหลังจากท่ีเปล่ียนแปลงระบบปฏิบัติการเพ่ือ ดวูาแอปพลเิคชนัทท่ีำงานอยบูนระบบปฏบิตักิารนน้ั ทำงานผดิปกติ ไมสามารถใชงานได หรอืมปีญ หา ทางดานความมน่ัคงปลอดภยัเกดิขน้ึหรอืไม A.12.5.3 การจำกดัการเปลย่ีนแปลงแกไขตอ ซอฟตแวรทม่ีาจากผผูลติ (Restrictions on changes to software packages) ตวัควบคมุ : ตองหลกีเลย่ีงการเปลย่ีนแปลงแกไข ตอซอฟตแวรทม่ีาจากผผูลติ หากจำเปนตองแกไข ตองแกไขตามความจำเปนเทาน้ัน และตองมีการ ควบคมุการแกไขนน้ัอยางเขมงวดดวย
A.12.4.2 การปองกนัขอมลูทใ่ีชสำหรบัการทดสอบ (Protection of system test data) ตวัควบคมุ : ตองหลกีเลย่ีงการใชขอมลูจรงิทใ่ีชงาน อยบูนระบบใหบรกิาร สำหรบัทำการทดสอบระบบ หากมีความจำเปนตองใช ตองกำหนดใหมีการ ป อ ง กั น แ ล ะ ค ว บ คุ ม ก า ร ใ ช ง า น เ ช น ค ว ร ล บ ท้ิ ง บางสวนของขอมูลท่ีเปนความลับ ขอมูลสวนตัว หรอืขอมลูสำคญ ั
A.12.5.4 การปองกนัการรว่ัไหลของสารสนเทศ (Information leakage) ตัวควบคุม : ตองกำหนดมาตรการเพ่ือปองกัน การรว่ัไหลของสารสนเทศขององคกร หรอืลดโอกาส ทจ่ีะทำใหสารสนเทศเกดิการรว่ัไหลออกไป
A.12.4.3 การควบคมุการเขาถงึซอรสโคดสำหรบั ระบบ (Access control to program source code) ตวัควบคมุ : ตองจำกดัการเขาถงึซอรสโคดสำหรบั ระบบทใ่ีหบรกิาร ทง้ันเ้ีพอ่ืปองกนัการเปลย่ีนแปลง ทอ่ีาจเกดิขน้ึโดยไมไดรบัอนญ ุ าต หรอืไมไดเจตนา
A.12.5.5 การพฒ ั นาซอฟตแวรโดยหนวยงาน ภายนอก (Outsourced software development) ตัวควบคุม : ตองกำหนดมาตรการเพ่ือควบคุม และตรวจสอบ การพฒ ั นาซอฟตแวรโดยหนวยงาน ภายนอก
A.12.5 การสรางความมั่นคง ปลอดภย ั สำหรบ ั กระบวนการ ในการพฒ ั นาระบบและกระบวนการ สนบ ั สนน ุ
ฉบับหนาเราจะกลั บมาทำความเขาใจ ในสวนของ Annex A ขอท่ี 12.6 ทเ่ีหลอื กนัตอ พบกนัใหมในฉบบัหนาครบั
Bay Computing Newsletter l 12th Issue
13
Lumension Intelligent Whitelisting ®
TM
ดวย Lumension® Intelligent WhitelistingTM คุณจะไดรับทั้งประสิทธิภาพ ความยืดหยุน และความงายในการบริหารจัดการดานความ ปลอดภัยใหกับอุปกรณปลายทาง (Endpoint) ที่มากกวา ซึ่งจะชวยลดความเสี่ยงจากมัลแวร และลดคาใชจายโดยรวมในการเปนเจาของ (TCO) อุปกรณปลายทางได โดยไมสงผลกระทบตอประสิทธิผลทางธุรกิจ ทั้งนี้ดวยสภาพแวดลอมดานภัยคุกคามในปจจุบัน องคกร ทั้งหลายตางก็สุมเสี่ยงที่จะถูกโจมตีไดงายจากมัลแวรที่มีความซับซอนและมีวัตถุประสงคบางอยางแอบแฝงอยูมากขึ้นเรื่อยๆ อันเกิดจากเหลา อาชญากรบนเครือขายคอมพิวเตอร ที่มีผลประโยชนทางธุรกิจหรือทางการเงินเปนแรงจูงใจ ซึ่งการตอบสนองสภาพแวดลอมทางดานไอที ยุคใหมนั้น องคกรตางๆ จะตองมั่นใจในการควบคุมการกำหนดคาคอนฟกูเรชันตางๆ ของอุปกรณปลายทางจากศูนยกลางไดดีพอ เพื่อ ปรับปรุงความปลอดภัยใหดีขึ้น โดยไมสงผลกระทบตอประสิทธิผลในการทำงานของพนักงานทั่วไป
ประโยชนที่สำคัญ
• ลดความเสี่ยงจากมัลแวร โดยการหยุดมัลแวรที่รูจักทั้งหมด และชวยปองกัน การโจมตีแบบ Zero-day Attack รวมถึงปองกันแอพพลิเคชันที่ประสงคราย (malicious applications) ไมใหสามารถเขาถึงสภาพแวดลอมไอทีของคุณได • ลดความเสี่ยงจาก 3rd Party Application โดยการใหแอพพลิเคชันตางๆ ที่ กระจายอยูในองคกร อยูภายใตการสอดสองดูแลตลอดเวลา และปองกันไมให แอพพลิเคชันที่ไมเปนที่ตองการ (unwanted applications) หรือแอพพลิเคชัน ที่ไมไดรับอนุญาตตางๆ (unauthorized applications) สามารถทำงานได (executing) • ปกปองแอพพลิเคชันที่ไมมีลิขสิทธิ์ (unlicensed applications) หรือไม สนับสนุนใหมีการใชงาน (unsupported applications) จากการใชงานบน อุปกรณปลายทาง และอนุญาตใหซอฟตแวรที่จำเปนตองใชดวยเหตุผลทาง ธุรกิจ และไดรับการอนุมัติจากฝายไอทีแลวเทานั้น ที่สามารถทำงานได
วิธีการทำงานของ
Lumension Intelligent Whitelisting ®
1 ทำความสะอาด (Clean) 2 ตรวจสอบ (Discover) 3 ระบุปญหา (Define)
4 ติดตาม (Monitor) 5 บังคับใช (Enforce) 6 จัดการ (Manage)
TM
• จัดเตรียมความปลอดภัยใหกับอุปกรณปลายทางอยางมีประสิทธิภาพ โดยไมตองแลกกับการลดประสิทธิผลจากการทำงานของพนักงาน • ลดคาใชจายโดยรวมในการเปนเจาของ (TCO) ระบบบริหารจัดการ อุปกรณปลายทาง รวมไปถึงคาใชจายตางๆ ที่เกี่ยวกับมัลแวรดวย เชน คาใชจายในการชวยเหลือผูใชงาน (help desk) และคาใชจายในการกูคืน สภาพการใชงานตามปกติ (re-imaging) เปนตน ขณะเดียวกันก็ชวยให จัดการแอพพลิเคชันตางๆ ที่อยูใน Whitelist ไดอยางมีประสิทธิภาพ มากยิ่งขึ้น • ควบคุมผูใชงานดวยสิทธิ์ระดับ Local Admin ซึ่งจะชวยใหพวกเขา สามารถติดตั้งและรันแอพพลิเคชันที่เชื่อถือได (trusted applications) ในขณะที่สามารถจำกัดสิทธิ์การดำเนินการอยางใดอยางหนึ่งของพวกเขา ที่จะมีผลตอนโยบายไดดวย • สนับสนุนผลิตภัณฑและการดำเนินการตางๆ ดานความปลอดภัยจาก ผูคารายอื่น (third party) ผานสถาปตยกรรมแบบเปด • ลดภาระในการจัดการดานไอที โดยการทำใหนโยบาย Whitelist ทำงานได อัตโนมัติ โดยตัง้ อยูบ นพืน้ ฐานของสิง่ ทีก่ อ ใหเกิดการเปลีย่ นแปลงทีส่ ามารถ เชือ่ ถือได (เชน แอพพลิเคชัน ผูค า โปรแกรมทีอ่ พั เดตตัวเองได สถานที่ (Location) และสิทธิแ์ บบโลคอล (Local Authorization) ทีเ่ ชือ่ ถือได เปนตน)
คุณสมบัติเดน ปกปองไวรัสแบบองครวม
ชวยใหมั่นใจวาอุปกรณปลายทางจะปลอดจากมัลแวรที่ รูจ กั กอนทีอ่ ปุ กรณเหลานัน้ จะถูกจำกัดสิทธิก์ ารใชงาน และถูกบังคับใช นโยบาย Whitelist ดวยโมดูล Lumension® AntiVirus ซึ่งเปน เครื่องมือปองกันไวรัสที่ถูกรวมไวในผลิตภัณฑอยางสมบูรณ 6
ควบคุมและดำเนินการดานโยบาย Whitelist กับแอพพลิเคชัน
1
5
2
4
3
ระบุซอฟตแวรทเี่ ชือ่ ถือไดโดยอัตโนมัติ ซึง่ ซอฟตแวรดงั กลาวจะไดรบั สิทธิใ์ นการทำงานบนอุปกรณปลายทาง รวมถึงการปกปองแอพพลิเคชัน อื่นๆ นอกจากที่กำหนดไมใหสามารถทำงานได ไมวาแอพพลิเคชัน เหลานั้นจะมีเจตนาราย ไมเปนที่ตองการ หรือไมนาไววางใจก็ตาม โดยการควบคุมดวย Lumension® Application Control
บริหารจัดการแพตชแบบองครวม
บริหารจัดการความเสี่ยงเกี่ยวกับชองโหวตางๆ ของ แอพพลิเคชันจาก 3rd Party และระบบปฏิบตั กิ าร รวมถึงการจัดการคา คอนฟกเู รชันตางๆ ดานความปลอดภัยภายในโมดูล Lumension® Patch and Remediation ที่มีการจัดการแบบองครวม สนใจขอมูลเพิ่มเติมติดตอไดที่
บริษัท เบย คอมพิวติ้ง จำกัด อีเมล info@baycoms.com
RSA Adaptive Authentication
Balancing Risk, Cost and Convenience RSA Adaptive Authentication คอื ระบบการยนืยนัตวับคุคลทใ่ีชงานงาย สะดวก และปลอดภยั ประกอบดวย แพลตฟอรมของการบรหิารความเสย่ีง สำหรบัผใูชองคกรระดบัเอน็เตอรไพรส โดยระบบ Adaptive Authentication จะชวยเฝาดแูละยนืยนัตวัตนของผใูชทง้ักอนและระหวางการใชงานของ ผใูช โดยพจิารณาจากระดบัความเสย่ีงทป่ีระเมนิไดวาเพม่ิขน้ึหรอืนอยลง และสามารถควบคมุผานนโยบาย (policy base) รวมถงึแยกกลมุของผใูชงาน ไดดวย ระบบนย้ีงัสามารถทำงานรวมกบัการยนืยนัตวับคุคลอน่ืๆ ทอ่ีงคกรอาจมใีชอยแูลวได และสามารถเพม่ิชนดิและขอมลูทใ่ีชในการยนืยนัตวับคุคลได หลายรปูแบบ เชน Device profiling การใชขอมลูจากอปุกรณของผใูชงานมาชวยระบตุวัตน การยืนยันแบบ Site-to-user authentication ระบบน้ีจะชวยใหผูใชงานม่ันใจไดวา กำลงัทำงานกบัเวบ็ไซตทถ่ีกูตองจรงิๆ ไมใช phishing site การยนืยนัตวัตนแบบ Out-of-band เชน การโทรศพัทเขายงัมอืถอืของผใูชงานเพอ่ื ยนืยนัตวัตน หรอืสงรหสัผานแบบใชงานครง้ัเดยีวผาน SMS หรอื e-mail เปนตน การใชงานรวมกบั Token เชน Hardware token, Software token หรอื OTP token การถามคำถามเพ่ิมเติม ซ่ึงผูใชเปนคนกำหนดคำถามคำตอบไวลวงหนา และนาจะเปน ผเูดยีวทท่ีราบคำตอบ
ประโยชนทอ่ีงคกรจะไดรบัจาก RSA Adaptive Authentication
ยกระดบัความปลอดภยัในการเขาใชงานของผใูช เปนไปตามขอกำหนดเรอ่ืง regulation เรอ่ืงมาตรฐานความปลอดภยั ใชงานงาย ไมยงุยาก และใชรวมกบัระบบ Authentication เดมิทม่ีอียไูด มี ค ว า ม ยื ด ห ยุ น ใ น ก า ร ก ำ ห น ด น โ ย บ า ย ใ ห กั บ ผู ใ ช ง า น แ ต ล ะ ป ร ะ เ ภ ท ห รื อ กลมุธรุกจิ มคีวามคมุคาในการบรหิารจดัการผใูชในองคการขนาดใหญ
Challenge Questions
Out-of-band Phone call
Site-to-user
?
One-time Passwords
Knowledge-based authentication and shared Hardware tokens secrets
EMV/CAP Software tokens
SMS
Invisible Authentication Device identification
Personal security image and caption
RSA® Risk Engine
RSA eFraudNetworkTM
Self-learning & multi-channel
Shared data repository of suspicious identifiers
Software toolbar Digital Signature Transaction signing
Risk Policy
Authentication Policy
Adjustable risk thresholds for suspicious activities
Selection of appropriate authentication method
Policy Manager Customization of authentication usage per activity type, risk and customer segment
ทง้ัหมดทก่ีลาวมา RSA Adaptive Authentication สามารถทำได เพราะมอีงคประกอบหลกัๆ ดงัน้ี 1 2 3 4 5
RSA Device Identification RSA Risk Engine RSA Policy Manager RSA eFraudNetwork RSA Multi-credential Framework
ตองการขอมลูเพม่ิเตมิ กรณ ุ าตดิตอท่ี
บรษิทั เบย คอมพวิตง้ิ จำกดั อเีมล info@baycoms.com www.baycoms.com © 2008 สงวนสทิธท์ิง้ัหมดโดย RSA Security Inc. RSA, RSA Security, โลโก RSA และ eFraudNetwork เปนเครอ่ืงหมายการคาจดทะเบยีนหรอืเครอ่ืงหมายการคาของ RSA Security Inc. ทไ่ีดรบัการจดทะเบยีนในสหรฐัอเมรกิา และ/หรอื ประเทศอน่ืๆ สวน EMC เปน เครอ่ืงหมายการคาจดทะเบยีนของ EMC Corporation สำหรบัผลติภณ ั ฑและบรกิารอน่ืๆ ทง้ัหมดทม่ีกีารกลาวถงึ เปนเครอ่ืงหมายการคาของบรษิทัทเ่ีปนเจาของผลติภณ ั ฑและบรกิารนน้ัๆ
เน็ทวิทเนส ถือเปนการเปลีย่ นแปลงแพลตฟอรมทางดานการดูแลระบบเน็ตเวิรก ครัง้ ยิง่ ใหญในวงการ ทีช่ ว ยใหองคกรสามารถลวงรูแ ละเขาใจ กับสิง่ ตางๆ ทัง้ หมดทีเ่ กิดขึน้ ในเน็ตเวิรก ขององคกรไดอยางแมนยำทีส่ ดุ โดยโซลูชนั ของเน็ทวิทเนสถูกนำมาใชอยางกวางขวางในสภาพแวดลอม หาการคุกคามทางอิเล็กทรอนิกส รวมถึงตรวจสอบ ดูแลทางดานความปลอดภัยในเน็ตเวิรก การแกไขและปองกัน ทัง้ หมดขององคกร เพือ่ แกปญ การคุกคามที่มาจากทั้งภายในและนอกองคกร, zero-day exploits and targeted malware, advanced persistent threats, fraud, espionage และปองกันการรั่วไหลของขอมูลที่มีคา (data leakage) ออกนอกองคกร สิ่งที่องคกรสวนใหญประสบปญหา
• โครงสรางระบบความปลอดภัยทางเน็ตเวิรกที่มีอยู ไม สามารถตรวจจับการคุกคามไดหมด ไมวาจะเปน A/V, IDS/IPS เปนตน • เหตุการณที่เกิดขึ้นอันเปนภัยตอระบบขององคกร ตอง ใชเวลาคอนขางนานในการตรวจสอบ และไมมีระบบการ ตรวจเช็กความสัมพันธของเหตุการณที่เกิดขึ้นกับแหลง ขอมูลอื่นโดยอัตโนมัติ • ทรัพยสินทางปญญาหรือขอมูลความลับของลูกคาถูก สำเนา และขโมยออกนอกองคกร • ภัยคุกคามที่เกิดขึ้นถูกเปดเผยสูสาธารณะ สงผลใหเกิด ความเสียหายตอมูลคาขององคกร • เกิดการสูญเสียทางชื่อเสียงและคาใชจายตางๆ มากมาย ตามมา อันเกิดมาจากการคุกคาม เน็ทวิทเนส ประกอบดวยแอพพลิเคชันหลักๆ ทั้งสิ้น 4 สวน ดวยกัน
Spectrum
• ทำงานเลียนแบบเทคนิคของนักวิเคราะหโปรแกรมมัลแวร ชั้นนำ โดยจะถามคำถามมากมายเกี่ยวกับวัตถุ ที่ไมมีลายเซ็น (signature) หรือพฤติกรรม “รายๆ” ใหเห็น • ยกระดับความสามารถของโปรแกรม NetWitness Live ดวย การรวมขอมูลขาวสารจากบริการเฝาระวังและตรวจสอบ ประวั ติ ภั ย คุ ก คามชั้ น นำ (threat intelligence and reputation services) เพื่อประเมิน ใหคะแนน และจัดลำดับ ความสำคัญของความเสี่ยงตางๆ • ใชประโยชนจากความสามารถในการตรวจตราระบบเครือขาย ที่ครอบคลุมของเน็ตทวิทเนส เพื่อทำใหเห็นภาพรวมของ ทั้งระบบเครือขายไดชัดเจน และแยกประเภทขอมูลจาก โพรโตคอลและแอพพลิเคชันไดทุกตัว • สรางประสิทธิภาพและความกระจางชัดใหกับกระบวนการ วิเคราะหโปรแกรมมัลแวร โดยจะสงผลตรวจสอบที่ได แบบสมบูรณใหกับผูเชี่ยวชาญดานความปลอดภัยระบบ
Informer
• แสดงผล Dashboard, แผนภาพ และขอมูลสรุปอยาง ยืดหยุน เพื่อการมองภาพรวมทิศทางของภัยคุกคาม • ไดรับคำตอบอัตโนมัติสำหรับทุกคำถาม ที่เกี่ยวกับ • ความปลอดภัยของระบบเครือขาย • ฝายรักษาความปลอดภัย / ฝายบุคคล • ฝายกฎหมาย / ฝายวิจัยและพัฒนา (R&D) /เจาหนาที่ Compliance • ฝายปฏิบัติงานดานไอที • มีรายงานทั้งแบบไฟล HTML, CSV และ PDF • รองรับการ Push ขอมูลแบบ CEF, SNMP, syslog, SMTP เพื่อรวมเขากับระบบ SIEM และระบบบริหาร จัดการเหตุการณบนเครือขายอื่นๆ อยางสมบูรณ
Investigator
• วิเคราะห Session การขับเคลื่อนขอมูลโตตอบของเนื้อหาในเลเยอรที่ 2 – 7 • วิเคราะห Session ของพอรต ซึ่งเปนเทคโนโลยีที่ไดรับรางวัลและมีสิทธิบัตร • สรางเสนทางการวิเคราะหและจุดการตรวจสอบเนื้อหา/สภาพแวดลอม (content/context) แบบไมจำกัด • ขอมูลถูกนำเสนอในรูปแบบที่ผูใชงานคุนเคย (ไดแก เว็บไซต, ไฟลเสียง, ไฟลขอมูล, อีเมล, โปรแกรมแชท และอื่นๆ) • รองรับชุดขอมูลขนาดใหญ • สามารถตรวจสอบขอมูลระดับเทราไบตไดในชั่วอึดใจ • มีการวิเคราะหที่รวดเร็ว ทำใหการวิเคราะหที่เคยใชเวลาเปนวัน บัดนี้ใชเวลาเพียงแคไมกี่นาที • มีรุนที่เปนฟรีแวร ซึ่งถูกใชโดยผูเชี่ยวชาญดานระบบปลอดภัยกวา 45,000 คนทั่วโลก
Visualize
• ปฏิวัติอินเตอรเฟสแบบภาพเพื่อแสดงเนื้อหาบนเครือขาย • แยกประเภทและนำเสนอภาพ ไฟล ออปเจ็กต เสียง และออดิโอ แบบโตตอบ เพื่อการวิเคราะห • รองรับการใชงานแบบมัลติทัช การเจาะขอมูล ขอมูลไทมไลน และการแสดงขอมูลอัตโนมัติ เมื่อ บราวซหาขอมูล • รีวิวและจัดเรียงขอมูลอยางรวดเร็ว
WHY NETWITNESS ?
Netwitness NextGen เปนแพลตฟอรมที่ชวยรักษาความปลอดภัยใหกับระบบเครือขาย และได ผสมผสานเทคโนโลยีโครงสรางพื้นฐานที่ไดรับการยอมรับและมีสิทธิบัตร เขากับเครื่องมือวิเคราะห ขัน้ สูง ซึง่ จะทำใหองคกรสามารถแกปญ หาดานความปลอดภัยอันซับซอนไดอยางเฉียบขาด พรอมกับ คนหาคำตอบทีแ่ จกแจงรายละเอียดและมีความชัดเจน ทัง้ ยังเสริมขอมูลความรูใ หกบั สังคมผูเ ชีย่ วชาญ ดานระบบปลอดภัยทัว่ โลก โปรแกรมเน็ทวิทเนสนี้ ไดรบั การออกแบบมาใหเปนแพลตฟอรมทีช่ ว ยให รักษาความปลอดภัยใหกบั ระบบเครือขายแบบถึงแกน เพราะปจจุบนั เน็ทวิทเนสเปนเพียงโซลูชนั เดียว ในทองตลาดที่สามารถทำงานไดอยางรวดเร็ว ยืดหยุน และมีประสิทธิภาพพอที่จะปรับตัวและ เผชิญหนาตอสูกับภัยคุกคามที่พัฒนาความรุนแรงเพิ่มขึ้นทุกวัน และสามารถตอบสนองตอ จุดประสงคดานการบริหารจัดการความเสี่ยงระดับองคกรได
สนใจขอมูลเพิ่มเติมติดตอไดที่
บริษัท เบย คอมพิวติ้ง จำกัด อีเมล info@baycoms.com