Upload
chaiyakorn-apiwathanokul
View
915
Download
7
Embed Size (px)
DESCRIPTION
Citation preview
PTT ICT Solutions Co., Ltd.
INNOVATION CLIENT VALUE CREATION INTEGRITY CONTINUOUS LEARNING TEAMWORK
พพ..รร..บบ..ว่�าด้�ว่ยการกระทำ าคว่ามผิ�ด้เก��ยว่ก�บคอมพ�ว่เตอร� พว่�าด้�ว่ยการกระทำ าคว่ามผิ�ด้เก��ยว่ก�บคอมพ�ว่เตอร� พ..ศศ. . ๒๕๕๐๒๕๕๐Computer Crime Act B.E. 2550Computer Crime Act B.E. 2550 (2007)(2007)
““บ�คคล จะ แก�ต�ว่ว่�า ไม� ร#�กฎหมาย เพ&�อ ให� พ�น จาก คว่าม ร�บผิ�ด้บ�คคล จะ แก�ต�ว่ว่�า ไม� ร#�กฎหมาย เพ&�อ ให� พ�น จาก คว่าม ร�บผิ�ด้ทำางอาญา ไม� ได้�ทำางอาญา ไม� ได้�............” ”
ประมว่ลกฎหมายอาญา มาตรา ๖๔
โด้ย ไชยกร อภิ�ว่�ฒโนก�ล , CISSP, IRCA:ISMS Chief Security Officer , PTT ICT Solutions Co., Ltd.
Disclaimer: เนื้��อหาที่แสดงในื้เอกสารนื้�เป็�นื้เพียงตั�วอย�างแนื้วคิ�ดและการด�าเนื้�นื้งานื้เที่�านื้��นื้ ไม่�สาม่ารถนื้�าไป็ใช้$อ$างอ�งเป็�นื้คิวาม่ถ%กผิ�ดที่างกฎหม่ายได$ กร(ณาป็ร*กษาที่ป็ร*กษาที่างกฎหม่ายหร�อพีนื้�กงานื้เจ้$า
หนื้$าที่ที่เกยวข้$องเพี�อคิวาม่ถ%กตั$องและอ$างอ�งได$ ผิ%$บรรยายและบร�ษ�ที่จ้ะไม่�ร�บผิ�ดช้อบใดๆจ้ากคิวาม่เสยหายที่เก�ดข้*�นื้จ้ากการนื้�าเอาข้$อคิวาม่หร�อแนื้วที่างที่ป็รากฏอย%�ในื้เอกสารนื้�ไป็ป็ร�บใช้$ที่� �งส��นื้
ร%ป็ภาพีและเนื้��อหาบางส�วนื้ได$นื้�าม่าจ้ากเอกสารเผิยแพีร�ข้องหนื้�วยงานื้ที่ไม่�แสวงก�าไรและม่ว�ตัถ(ป็ระสงคิ2เพี�อการถ�ายที่อดคิวาม่ร% $เที่�านื้��นื้ ที่��งนื้�ผิ%$บรรยายไม่�ข้ออ$างส�ที่ธิ์�4คิรอบคิรองใดๆ ในื้ร%ป็ภาพีและเนื้��อหาเหล�านื้��นื้
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
2
PTT ICT Solutions Company Limited
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
3
Agenda
1 .การเตร�ยมคว่ามพร�อมทำางเทำคน�ค• ส�ารวจ้/ป็ระเม่�นื้• ป็ร�บป็ร(ง
2. การเตร�ยมคว่ามพร�อมด้�านบร�หาร• จ้�ดเตัรยม่องคิ2กร• จ้�ดเตัรยม่กระบวนื้การ
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
4
พ.ร.บ . ว่�าด้�ว่ยการกระทำ าคว่ามผิ�ด้เก��ยว่ก�บคอมพ�ว่เตอร� พ.ศ . ๒๕๕๐
•ป็ระกาศเม่�อว�นื้ที่ 18 ม่�ถ(นื้ายนื้ 2550
•เร�ม่ม่ผิลบ�งคิ�บใช้$ 18 กรกฎาคิม่ 2550
•ก�าหนื้ดฐานื้คิวาม่ผิ�ด อ�านื้าจ้พีนื้�กงานื้เจ้$าหนื้$าที่ และหนื้$าที่ผิ#�ให�บร�การ
•ที่(กบร�ษ�ที่ตั$องเก3บ Log ข้องระบบตัาม่ข้$อก�าหนื้ดไม่�นื้$อยกว�า 90 ว่�น (ป็ร�บ 5 แสนื้)
•ผิ�อนื้ผิ�นื้ให$เร�ม่เก7บ Log ตั��งแตั� 23 สิ�งหาคม 2551
•แตั�ละบร�ษ�ที่ตั$องแตั�งตั��งม่อบหม่ายหนื้$าที่
• ผิ#�ประสิานงาน• ผิ#�ม�สิ�ทำธิ�เข้�าถึ8ง Log
•18 ก.คิ . 50 - PTT ICT แตั�งตั��งComputer Crime Coordination Committee
•PTT ICT ส�อคิวาม่และให$คิ�าแนื้ะนื้�าบร�ษ�ที่ในื้กล(�ม่เพี�อด�าเนื้�นื้การเตัรยม่พีร$อม่และจ้�ดตั��งคิณะกรรม่การป็ระสานื้งานื้ ป็ระกอบด$วย OCIO+Legal+PR ข้องบร�ษ�ที่นื้��นื้ๆ
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
5
การสิ&�อคว่ามต�อพน�กงาน• ระด้�บบร�หาร
• นื้�าเสนื้อเป็�นื้สาระเพี�อที่ราบในื้ที่ป็ระช้(ม่ RMC, Board และ Management Meeting อ�นื้ๆ
•ระด้�บปฏิ�บ�ต�การ และพน�กงานทำ��ว่ไป• ส�อคิวาม่ผิ�านื้ email Intranet และ Poster• งานื้ PTT Security Awareness Day 2007 (และ
2008)• Internal Security Awareness Training Course
• ร% $เฟื่9 องเร�อง พี.ร.บ. (Computer Crime)
• ใช้$ ICT อย�างป็ลอดภ�ย
พ.ร.บ . ว่�าด้�ว่ยการกระทำ าคว่ามผิ�ด้เก��ยว่ก�บคอมพ�ว่เตอร� พ.ศ . ๒๕๕๐
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
6
Agenda
1 .1 .การเตร�ยมคว่ามพร�อมทำางเทำคน�คการเตร�ยมคว่ามพร�อมทำางเทำคน�ค• สิ ารว่จสิ ารว่จ//ประเม�นประเม�น• ปร�บปร�งปร�บปร�ง
2 .การเตร�ยมคว่ามพร�อมด้�านบร�หาร• จ้�ดเตัรยม่องคิ2กร• จ้�ดเตัรยม่กระบวนื้การ
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
7
การเตร�ยมการทำางเทำคน�คHighlight
• มาตรา ๒๖ ผิ%$ให$บร�การตั$องเก7บร�กษาข้$อม่%ลจ้ราจ้รที่างคิอม่พี�วเตัอร2ไว$ไม่�นื้$อยกว�าเก$าส�บว�นื้ ...ไม่�ป็ฏ�บ�ตั�ตัาม่ม่าตัรานื้� ตั$องระวางโที่ษป็ร�บไม่�เก�นื้ห$าแสนื้บาที่• ป็ระกาศกระที่รวงเที่คิโนื้โลยสารสนื้เที่ศและการ
ส�อสารเร�อง หล�กเกณฑ์2การเก7บร�กษาข้$อม่%ลจ้ราจ้รที่างคิอม่พี�วเตัอร2ข้องผิ%$ให$บร�การ พี.ศ. ๒๕๕๐– เก7บอะไร ที่ไหนื้ เม่�อไหร� อย�างไร ใคิรเป็�นื้ผิ%$ด%แลและ
ป็ระสานื้
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
8
การเตร�ยมการทำางเทำคน�ค1 .ประเม�น-ระบ�จ�ด้เช&�อมต�อ และจ�ด้เข้�าออกระบบเคร&อ
ข้�าย
Outbound Traffic
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
9
Inbound Traffic
การเตร�ยมการทำางเทำคน�ค
Company’s Computing Facilities
www
Web Server
eMail Server
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
10
2 .ประเม�นคว่ามสิามารถึในการจ�ด้เก3บ Log ตามข้�อก าหนด้เพ&�อให�เป;นไปตามว่�ตถึ�ประสิงค�(มาตรา ๒๖:…ผิ%$ให$บร�การจ้ะตั$องเก7บร�กษาข้$อม่%ลข้องผิ%$ใช้$บร�การเทำ�าทำ��จ าเป;นเพ&�อให�สิามารถึระบ�ต�ว่ผิ#�ใช�บร�การ...)• เก7บที่ Server แตั�ละตั�ว (นื้��าหนื้�กหล�กฐานื้อ�อนื้)• เก3บแบบ Centralize SOC (SIEM)• พี��นื้ที่จ้�ดเก7บเพียงพีอถ*ง 90 ว�นื้หร�อไม่�• แผินื้ส�าหร�บการจ้�ดเก7บกรณพี�เศษ
หากพีนื้�กงานื้เจ้$าหนื้$าที่ส� งให$ตั$องเก7บ 1 ป็? (เฉพีาะกรณ)• ระบ(คิวาม่ส�ม่พี�นื้ธิ์2ข้อง Log เพี�อระบ(ตั�วบ(คิคิล ในื้กรณที่ไม่�
สาม่ารถระบ(ได$จ้าก Log ข้องตั�วเอง
การเตร�ยมการทำางเทำคน�ค
23 สิ�งหาคม 2551Deadline!!!
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
11
สิร�ปสิ��งทำ��ต�องจ�ด้เก3บเพ&� อ Comply Computer Crime Law( ส�าหร�บผิ%$ใ ห$บร�การตัาม่ ๕ (๑) ข้. และ คิ.)
Who: user id When: time stamp IP info System Specificก. Access Log yes yes assigned IP CLIข้. eMail Server yes yes client IP email server log:message
POP3/IMAP4คิ. FTP Server yes yes source IP FTP server log
File and Pathง. Web Server yes yes URIจ้. UseNet ? ? ? ?ฉ. IRC & IM yes yes
การเตร�ยมการทำางเทำคน�ค
23 สิ�งหาคม 2551Deadline!!!
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
12
การเตร�ยมการทำางเทำคน�ค
23 สิ�งหาคม 2551Deadline!!!
Must Have (Common) Entries
1. Log ข้อง web proxy ที่(กตั�วข้อง 5 บร�ษ�ที่ ส�งม่าที่ SOC2. Log ข้อง web proxy ด�งกล�าวม่ข้$อม่%ล credential หร�อบอกได$
ว�าแตั�ละ session เป็�นื้ข้อง user คินื้ใด3. Log ข้อง email server ข้องที่��ง 5 บร�ษ�ที่ ส�งม่าที่ SOC4. Log ข้อง Corporate Internet web server ทำ�กต�ว่ สิ�งมาทำ��
SOC[OS<security+system event>+IIS]
5. Access log ข้อง VPN และ RADIUS ข้องที่��ง 5 บร�ษ�ที่
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
13
3 .ปร�บปร�งมาตรการและสิถึาป<ตยกรรมข้องเคร&อข้�ายหากจ าเป;น• User ตั$อง login ก�อนื้เข้$าใช้$งานื้ระบบ • User ตั$อง login ก�อนื้ออก Internet• DHCP, NAT, Proxy and etc.
4. จ�ด้ทำ ามาตรการด้�านคว่ามปลอด้ภิ�ยในการเก3บร�กษาข้�อม#ล Log
• Integrity • Identification and Authentication• Confidentiality with access control
(authorization)
การเตร�ยมการทำางเทำคน�ค
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
14
• เก3บ Log (พ.ร.บ.)•รว่มศ#นย�•Analysis
การเตร�ยมการทำางเทำคน�ค
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
15
Log Consolidate
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
16
Correlation Engines
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
17
Real-Time Monitoring
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
18
5. จ�ด้ทำ ามาตรฐานและบ�งค�บใช� เร&�องการต�?งค�าเว่ลาข้องเคร&�องคอมพ�ว่เตอร�• Sync จ้ากข้$างนื้อก• ตั��ง NTP Server
การเตร�ยมการทำางเทำคน�ค
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
19
Time
1 ว่�นาทำ� = ?
= 1/(24x60x60) ข้อง 1 ว่�น Astronomical Definition (until 1956)
แต� 1 ว่�นยาว่ไม�เทำ�าก�น ???
ทำ าให� 1 ว่�นาทำ�ยาว่ไม�เทำ�าก�นตามค าน�ยามแบบน�?
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
20
Time[Since 1967]Astronomical Definition Atomic Definition
1 Second (SI Unit) = ?
1 13Resolution No. of The th CGPM: The second is the duration of 9192631770 perio ds of the radiation corresponding to the transition
between the two hyperfine levels of the ground st ate of the -133caesium atom.
http://www.bipm.org
1 ว่�น = 24x60x60 = 86400 ว่�นาทำ� WRONG!!
=86400+[Leap Seconds] Correct!!
ทำ��มาข้อง Atomic Clock
หร&อ Caesium Atomic Clock
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
21
เร&�องข้องเว่ลาในระบบคอมพ�ว่เตอร�เอกสิารอ�างอ�ง: http://www.bipm.org/en/scientific/tai/tai.html
การค านว่ณหาค�า International Atomic Time (TAI)
>250 Caesium Atomic Clock จากสิถึาบ�นมาตรฐานแห�งชาต�มากกว่�า 50 ประเทำศทำ��ว่โลก สิ�งค�าไปร�ว่มค านว่ณ TAI ทำ�� BIPM ใน Paris
NIMT yesNECTEC noNavy no (until 2007)
NIST
NIMT
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
22
CaesiumsTAIUTC
TAI = International Atomic Time
UTC=TAI ± Leap Second (since 1972)
UTC – TAI = -33 sec. (since 1 Jan. 2006)
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
23
Time
เว่ลามาตรฐานประเทำศไทำย•โด้ยกรมอ�ทำกศาสิตร� กองทำ�พเร&อ CS-133 ต�?งแต� 2515
(ไม่�ได$ร�วม่คิ�านื้วณ TAI ก�บ BIPM เพี�งที่�า MOU ก�บ NIMT ป็? 2550 เพี�อส�งคิ�าไป็ร�วม่คิ�านื้วณที่ Paris) http://www.navy.mi.th/hydro/time/
•โด้ยสิถึาบ�นมาตรว่�ทำยา (NIMT) CS-133
(พ . ร . บ . พ�ฒนาระบบมาตรว่�ทำยา แห�งชาต� พ . ศ . 2540) http://www.nimt.or.th
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
24
Thailand Stratum-1 NTP Servers
InstituteStratum-1
(NTP Server)
Stratum-0
(Clock Device)
NIMT time1.nimt.or.th [CS-133]
Royal Thai Navy time.navy.mi.th [CS-133]
NECTEC clock.nectec.or.th [GPS]
ThaiCERT clock.thaicert.org [GPS]
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
25
Computer TimeComputer TimeSynchronization Synchronization
SchemeScheme
time.pttgrp.com
DC(PTT,EP,TOP,AR,CH)
Client
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
26
Agenda
1 .การเตร�ยมคว่ามพร�อมทำางเทำคน�ค• สิ ารว่จ/ประเม�น• ปร�บปร�ง
2 .2 .การเตร�ยมคว่ามพร�อมด้�านบร�หารการเตร�ยมคว่ามพร�อมด้�านบร�หาร• จ�ด้เตร�ยมองค�กรจ�ด้เตร�ยมองค�กร• จ�ด้เตร�ยมกระบว่นการจ�ด้เตร�ยมกระบว่นการ
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
27
1.Who: โครงสิร�าง ค าสิ��ง หน�าทำ�� การประสิานงาน• ภายในื้• ภายนื้อก
2.How: กระบว่นการ3.Competency
การเตร�ยมการทำางบร�หาร
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
28
การพ�จารณาจ�ด้ต�?งและด้ าเน�นการComputer Crime
Coordination Organizationประเด้3นในการพ�จารณา
•Speed• Pre-defined Org + Adequate Competency• Pre-defined Process
•Competency• To close the gap between technical and legal issue• To mind human right and employee right and discipline
• Impact• แพี�ง/อาญา/ล�ข้ส�ที่ธิ์�4/เศรษฐก�จ้/เยาวช้นื้/ส�ที่ธิ์�ม่นื้(ษยช้นื้/
ระหว�างป็ระเที่ศ• Group/Company LG• Image/Reputation PR• Management Executives• Employees HR
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
29
ประโยชน�ในการจ�ด้ต�?งคณะกรรมการฯ
1. Clear Role & Responsibilityม่การม่อบหม่ายภาระหนื้$าที่ร �บผิ�ดช้อบที่ช้�ดเจ้นื้
2. Clear Direction & Methodologyม่แนื้วที่างและว�ธิ์ด�าเนื้�นื้การที่ช้�ดเจ้นื้ และเป็�นื้ที่�ศที่างเดยวก�นื้ที่��ง Group
3. Structured Collaborationม่แนื้วที่างในื้การป็ระสานื้งานื้ที่ช้�ดเจ้นื้
4. Maintain Competency and Readiness to Respondม่การบร�หารจ้�ดการองคิ2คิวาม่ร% $ที่จ้�าเป็�นื้ให$คิรบถ$วนื้เพี�อคิวาม่พีร$อม่ในื้การด�าเนื้�นื้การอย�างที่�นื้ที่�วงที่
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
30
Baseline of Competency
1.PTT Group Computer Crime Handling Policy & Direction
2.Related Legislations
3.Type of Computer Crimes
4.Law Enforcement Decision Matrix
5.Evidence Chain of Custody
6.Computer Crime Response Procedure
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
31
PTT GroupComputer CrimeBureau of Advisory
Legal
Security Expert/CSO
PR
HR
OICO+ICT
PTT
PTTEP
PTTCH
PTTAR
TOP
Committee
รกญ.RMC
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
32
• PTT ICT's CSO• PTT's Legal
• PTT's PR• PTT's HR
Co
mp
ute
r-C
rim
e B
ure
au
of
Ad
vis
ory
Computer-CrimeCoordination Committee
OCIO, Legal, PR, HR
Computer-CrimeCoordination Committee
CSO, PR, HR
Computer-CrimeCoordinator
OCIO
Computer-CrimeCoordination Committee
OCIO, Legal, PR, HR
Computer-CrimeCoordination Committee
OCIO, Legal, PR, HR
Computer-CrimeCoordination Committee
OCIO, Legal, PR, HR
PTT Group Computer-CrimePTT Group Computer-CrimeCoordinative OrganizationCoordinative Organization
พน�กงานเจ�าหน�าทำ��ข้องร�ฐ
ประสิานงานหร&อข้อข้�อม#ลไปย�งแต�ละบร�ษ�ทำโด้ยตรงตามอ านาจทำ��ได้�ให�ไว่�ใน พ.ร.บ.
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
33
Subsidiary CompanySubsidiary Company
PTT Group Risk Management Committee
SOCSecurity Operation Center
CSIRTComputer Security Incident Response Team
Computer-CrimeCoordinator
AuthorizedAccess
ICT SecurityLog Manager
ICT SecurityLog Analyst
SecurityLog
Accessing to Security LogAccessing to Security Log
Required byComputer Crime Act2007
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
34
Security Log Access
Chain of Authority
Company AssignSeniorOfficer
by- Company order or- Job description
SecurityOperators
orMSSPAssign/
Transfer
by- Memo/MOU or- Service Agreement (attachment)
Request forauthority
SecurityLog
Access Acce
ss
MSSP= Managed Security Service Provider
Access Required for-Analysis-Security Monitoring-Back up/Archiving
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
35
Company X
Assign
IT Dept.Manager
orInternal Audit
and etc.
by- Company order or- Job description
by- Memo/MOU or- Service Agreement(attachment)
SecurityLog
Access
Access Required for-Analysis-Security Monitoring-Back up/Archiving
MSSP
Assign
SOC
Access
Security Log Access
Chain of Authority
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
36
Contact Decision Matrix
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
37
Computer Crime Computer Crime Response ProcessResponse Process
Phase 1: Information Gathering (Checklist)
Phase 2: Incident Assessment
Phase 3: Law Enforcement Response
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
38
ค าถึาม ?
© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED
39
Thank YouThank You