CCA Preparation for Organization

PTT ICT Solutions Co., Ltd.

INNOVATION CLIENT VALUE CREATION INTEGRITY CONTINUOUS LEARNING TEAMWORK

พพ..รร..บบ..ว่�าด้�ว่ยการกระทำ าคว่ามผิ�ด้เก��ยว่ก�บคอมพ�ว่เตอร� พว่�าด้�ว่ยการกระทำ าคว่ามผิ�ด้เก��ยว่ก�บคอมพ�ว่เตอร� พ..ศศ. . ๒๕๕๐๒๕๕๐Computer Crime Act B.E. 2550Computer Crime Act B.E. 2550 (2007)(2007)

““บ�คคล จะ แก�ต�ว่ว่�า ไม� ร#�กฎหมาย เพ&�อ ให� พ�น จาก คว่าม ร�บผิ�ด้บ�คคล จะ แก�ต�ว่ว่�า ไม� ร#�กฎหมาย เพ&�อ ให� พ�น จาก คว่าม ร�บผิ�ด้ทำางอาญา ไม� ได้�ทำางอาญา ไม� ได้�............” ”

ประมว่ลกฎหมายอาญา มาตรา ๖๔

โด้ย ไชยกร อภิ�ว่�ฒโนก�ล , CISSP, IRCA:ISMS Chief Security Officer , PTT ICT Solutions Co., Ltd.

Disclaimer: เนื้��อหาที่แสดงในื้เอกสารนื้�เป็�นื้เพียงตั�วอย�างแนื้วคิ�ดและการด�าเนื้�นื้งานื้เที่�านื้��นื้ ไม่�สาม่ารถนื้�าไป็ใช้$อ$างอ�งเป็�นื้คิวาม่ถ%กผิ�ดที่างกฎหม่ายได$ กร(ณาป็ร*กษาที่ป็ร*กษาที่างกฎหม่ายหร�อพีนื้�กงานื้เจ้$า

หนื้$าที่ที่เกยวข้$องเพี�อคิวาม่ถ%กตั$องและอ$างอ�งได$ ผิ%$บรรยายและบร�ษ�ที่จ้ะไม่�ร�บผิ�ดช้อบใดๆจ้ากคิวาม่เสยหายที่เก�ดข้*�นื้จ้ากการนื้�าเอาข้$อคิวาม่หร�อแนื้วที่างที่ป็รากฏอย%�ในื้เอกสารนื้�ไป็ป็ร�บใช้$ที่� �งส��นื้

ร%ป็ภาพีและเนื้��อหาบางส�วนื้ได$นื้�าม่าจ้ากเอกสารเผิยแพีร�ข้องหนื้�วยงานื้ที่ไม่�แสวงก�าไรและม่ว�ตัถ(ป็ระสงคิ2เพี�อการถ�ายที่อดคิวาม่ร% $เที่�านื้��นื้ ที่��งนื้�ผิ%$บรรยายไม่�ข้ออ$างส�ที่ธิ์�4คิรอบคิรองใดๆ ในื้ร%ป็ภาพีและเนื้��อหาเหล�านื้��นื้

© 2008 PTT ICT SOLUTIONS, ALL RIGHTS RESERVED

2

PTT ICT Solutions Company Limited


3

Agenda

1 .การเตร�ยมคว่ามพร�อมทำางเทำคน�ค• ส�ารวจ้/ป็ระเม่�นื้• ป็ร�บป็ร(ง

2. การเตร�ยมคว่ามพร�อมด้�านบร�หาร• จ้�ดเตัรยม่องคิ2กร• จ้�ดเตัรยม่กระบวนื้การ


4

พ.ร.บ . ว่�าด้�ว่ยการกระทำ าคว่ามผิ�ด้เก��ยว่ก�บคอมพ�ว่เตอร� พ.ศ . ๒๕๕๐

•ป็ระกาศเม่�อว�นื้ที่ 18 ม่�ถ(นื้ายนื้ 2550

•เร�ม่ม่ผิลบ�งคิ�บใช้$ 18 กรกฎาคิม่ 2550

•ก�าหนื้ดฐานื้คิวาม่ผิ�ด อ�านื้าจ้พีนื้�กงานื้เจ้$าหนื้$าที่ และหนื้$าที่ผิ#�ให�บร�การ

•ที่(กบร�ษ�ที่ตั$องเก3บ Log ข้องระบบตัาม่ข้$อก�าหนื้ดไม่�นื้$อยกว�า 90 ว่�น (ป็ร�บ 5 แสนื้)

•ผิ�อนื้ผิ�นื้ให$เร�ม่เก7บ Log ตั��งแตั� 23 สิ�งหาคม 2551

•แตั�ละบร�ษ�ที่ตั$องแตั�งตั��งม่อบหม่ายหนื้$าที่

• ผิ#�ประสิานงาน• ผิ#�ม�สิ�ทำธิ�เข้�าถึ8ง Log

•18 ก.คิ . 50 - PTT ICT แตั�งตั��งComputer Crime Coordination Committee

•PTT ICT ส�อคิวาม่และให$คิ�าแนื้ะนื้�าบร�ษ�ที่ในื้กล(�ม่เพี�อด�าเนื้�นื้การเตัรยม่พีร$อม่และจ้�ดตั��งคิณะกรรม่การป็ระสานื้งานื้ ป็ระกอบด$วย OCIO+Legal+PR ข้องบร�ษ�ที่นื้��นื้ๆ


5

การสิ&�อคว่ามต�อพน�กงาน• ระด้�บบร�หาร

• นื้�าเสนื้อเป็�นื้สาระเพี�อที่ราบในื้ที่ป็ระช้(ม่ RMC, Board และ Management Meeting อ�นื้ๆ

•ระด้�บปฏิ�บ�ต�การ และพน�กงานทำ��ว่ไป• ส�อคิวาม่ผิ�านื้ email Intranet และ Poster• งานื้ PTT Security Awareness Day 2007 (และ

2008)• Internal Security Awareness Training Course

• ร% $เฟื่9 องเร�อง พี.ร.บ. (Computer Crime)

• ใช้$ ICT อย�างป็ลอดภ�ย

พ.ร.บ . ว่�าด้�ว่ยการกระทำ าคว่ามผิ�ด้เก��ยว่ก�บคอมพ�ว่เตอร� พ.ศ . ๒๕๕๐


6

Agenda

1 .1 .การเตร�ยมคว่ามพร�อมทำางเทำคน�คการเตร�ยมคว่ามพร�อมทำางเทำคน�ค• สิ ารว่จสิ ารว่จ//ประเม�นประเม�น• ปร�บปร�งปร�บปร�ง

2 .การเตร�ยมคว่ามพร�อมด้�านบร�หาร• จ้�ดเตัรยม่องคิ2กร• จ้�ดเตัรยม่กระบวนื้การ


7

การเตร�ยมการทำางเทำคน�คHighlight

• มาตรา ๒๖ ผิ%$ให$บร�การตั$องเก7บร�กษาข้$อม่%ลจ้ราจ้รที่างคิอม่พี�วเตัอร2ไว$ไม่�นื้$อยกว�าเก$าส�บว�นื้ ...ไม่�ป็ฏ�บ�ตั�ตัาม่ม่าตัรานื้� ตั$องระวางโที่ษป็ร�บไม่�เก�นื้ห$าแสนื้บาที่• ป็ระกาศกระที่รวงเที่คิโนื้โลยสารสนื้เที่ศและการ

ส�อสารเร�อง หล�กเกณฑ์2การเก7บร�กษาข้$อม่%ลจ้ราจ้รที่างคิอม่พี�วเตัอร2ข้องผิ%$ให$บร�การ พี.ศ. ๒๕๕๐– เก7บอะไร ที่ไหนื้ เม่�อไหร� อย�างไร ใคิรเป็�นื้ผิ%$ด%แลและ

ป็ระสานื้


8

การเตร�ยมการทำางเทำคน�ค1 .ประเม�น-ระบ�จ�ด้เช&�อมต�อ และจ�ด้เข้�าออกระบบเคร&อ

ข้�าย

Outbound Traffic


9

Inbound Traffic

การเตร�ยมการทำางเทำคน�ค

Company’s Computing Facilities

www

Web Server

eMail Server

Email


10

2 .ประเม�นคว่ามสิามารถึในการจ�ด้เก3บ Log ตามข้�อก าหนด้เพ&�อให�เป;นไปตามว่�ตถึ�ประสิงค�(มาตรา ๒๖:…ผิ%$ให$บร�การจ้ะตั$องเก7บร�กษาข้$อม่%ลข้องผิ%$ใช้$บร�การเทำ�าทำ��จ าเป;นเพ&�อให�สิามารถึระบ�ต�ว่ผิ#�ใช�บร�การ...)• เก7บที่ Server แตั�ละตั�ว (นื้��าหนื้�กหล�กฐานื้อ�อนื้)• เก3บแบบ Centralize SOC (SIEM)• พี��นื้ที่จ้�ดเก7บเพียงพีอถ*ง 90 ว�นื้หร�อไม่�• แผินื้ส�าหร�บการจ้�ดเก7บกรณพี�เศษ

หากพีนื้�กงานื้เจ้$าหนื้$าที่ส� งให$ตั$องเก7บ 1 ป็? (เฉพีาะกรณ)• ระบ(คิวาม่ส�ม่พี�นื้ธิ์2ข้อง Log เพี�อระบ(ตั�วบ(คิคิล ในื้กรณที่ไม่�

สาม่ารถระบ(ได$จ้าก Log ข้องตั�วเอง


23 สิ�งหาคม 2551Deadline!!!


11

สิร�ปสิ��งทำ��ต�องจ�ด้เก3บเพ&� อ Comply Computer Crime Law( ส�าหร�บผิ%$ใ ห$บร�การตัาม่ ๕ (๑) ข้. และ คิ.)

Who: user id When: time stamp IP info System Specificก. Access Log yes yes assigned IP CLIข้. eMail Server yes yes client IP email server log:message

POP3/IMAP4คิ. FTP Server yes yes source IP FTP server log

File and Pathง. Web Server yes yes URIจ้. UseNet ? ? ? ?ฉ. IRC & IM yes yes




12



Must Have (Common) Entries

1. Log ข้อง web proxy ที่(กตั�วข้อง 5 บร�ษ�ที่ ส�งม่าที่ SOC2. Log ข้อง web proxy ด�งกล�าวม่ข้$อม่%ล credential หร�อบอกได$

ว�าแตั�ละ session เป็�นื้ข้อง user คินื้ใด3. Log ข้อง email server ข้องที่��ง 5 บร�ษ�ที่ ส�งม่าที่ SOC4. Log ข้อง Corporate Internet web server ทำ�กต�ว่ สิ�งมาทำ��

SOC[OS<security+system event>+IIS]

5. Access log ข้อง VPN และ RADIUS ข้องที่��ง 5 บร�ษ�ที่


13

3 .ปร�บปร�งมาตรการและสิถึาป<ตยกรรมข้องเคร&อข้�ายหากจ าเป;น• User ตั$อง login ก�อนื้เข้$าใช้$งานื้ระบบ • User ตั$อง login ก�อนื้ออก Internet• DHCP, NAT, Proxy and etc.

4. จ�ด้ทำ ามาตรการด้�านคว่ามปลอด้ภิ�ยในการเก3บร�กษาข้�อม#ล Log

• Integrity • Identification and Authentication• Confidentiality with access control

(authorization)



14

• เก3บ Log (พ.ร.บ.)•รว่มศ#นย�•Analysis



15

Log Consolidate


16

Correlation Engines


17

Real-Time Monitoring


18

5. จ�ด้ทำ ามาตรฐานและบ�งค�บใช� เร&�องการต�?งค�าเว่ลาข้องเคร&�องคอมพ�ว่เตอร�• Sync จ้ากข้$างนื้อก• ตั��ง NTP Server



19

Time

1 ว่�นาทำ� = ?

= 1/(24x60x60) ข้อง 1 ว่�น Astronomical Definition (until 1956)

แต� 1 ว่�นยาว่ไม�เทำ�าก�น ???

ทำ าให� 1 ว่�นาทำ�ยาว่ไม�เทำ�าก�นตามค าน�ยามแบบน�?


20

Time[Since 1967]Astronomical Definition Atomic Definition

1 Second (SI Unit) = ?

1 13Resolution No. of The th CGPM: The second is the duration of 9192631770 perio ds of the radiation corresponding to the transition

between the two hyperfine levels of the ground st ate of the -133caesium atom.

http://www.bipm.org

1 ว่�น = 24x60x60 = 86400 ว่�นาทำ� WRONG!!

=86400+[Leap Seconds] Correct!!

ทำ��มาข้อง Atomic Clock

หร&อ Caesium Atomic Clock


21

เร&�องข้องเว่ลาในระบบคอมพ�ว่เตอร�เอกสิารอ�างอ�ง: http://www.bipm.org/en/scientific/tai/tai.html

การค านว่ณหาค�า International Atomic Time (TAI)

>250 Caesium Atomic Clock จากสิถึาบ�นมาตรฐานแห�งชาต�มากกว่�า 50 ประเทำศทำ��ว่โลก สิ�งค�าไปร�ว่มค านว่ณ TAI ทำ�� BIPM ใน Paris

NIMT yesNECTEC noNavy no (until 2007)

NIST

NIMT


22

CaesiumsTAIUTC

TAI = International Atomic Time

UTC=TAI ± Leap Second (since 1972)

UTC – TAI = -33 sec. (since 1 Jan. 2006)


23

Time

เว่ลามาตรฐานประเทำศไทำย•โด้ยกรมอ�ทำกศาสิตร� กองทำ�พเร&อ CS-133 ต�?งแต� 2515

(ไม่�ได$ร�วม่คิ�านื้วณ TAI ก�บ BIPM เพี�งที่�า MOU ก�บ NIMT ป็? 2550 เพี�อส�งคิ�าไป็ร�วม่คิ�านื้วณที่ Paris) http://www.navy.mi.th/hydro/time/

•โด้ยสิถึาบ�นมาตรว่�ทำยา (NIMT) CS-133

(พ . ร . บ . พ�ฒนาระบบมาตรว่�ทำยา แห�งชาต� พ . ศ . 2540) http://www.nimt.or.th


24

Thailand Stratum-1 NTP Servers

InstituteStratum-1

(NTP Server)

Stratum-0

(Clock Device)

NIMT time1.nimt.or.th [CS-133]

Royal Thai Navy time.navy.mi.th [CS-133]

NECTEC clock.nectec.or.th [GPS]

ThaiCERT clock.thaicert.org [GPS]


25

Computer TimeComputer TimeSynchronization Synchronization

SchemeScheme

time.pttgrp.com

DC(PTT,EP,TOP,AR,CH)

Client


26

Agenda

1 .การเตร�ยมคว่ามพร�อมทำางเทำคน�ค• สิ ารว่จ/ประเม�น• ปร�บปร�ง

2 .2 .การเตร�ยมคว่ามพร�อมด้�านบร�หารการเตร�ยมคว่ามพร�อมด้�านบร�หาร• จ�ด้เตร�ยมองค�กรจ�ด้เตร�ยมองค�กร• จ�ด้เตร�ยมกระบว่นการจ�ด้เตร�ยมกระบว่นการ


27

1.Who: โครงสิร�าง ค าสิ��ง หน�าทำ�� การประสิานงาน• ภายในื้• ภายนื้อก

2.How: กระบว่นการ3.Competency

การเตร�ยมการทำางบร�หาร


28

การพ�จารณาจ�ด้ต�?งและด้ าเน�นการComputer Crime

Coordination Organizationประเด้3นในการพ�จารณา

•Speed• Pre-defined Org + Adequate Competency• Pre-defined Process

•Competency• To close the gap between technical and legal issue• To mind human right and employee right and discipline

• Impact• แพี�ง/อาญา/ล�ข้ส�ที่ธิ์�4/เศรษฐก�จ้/เยาวช้นื้/ส�ที่ธิ์�ม่นื้(ษยช้นื้/

ระหว�างป็ระเที่ศ• Group/Company LG• Image/Reputation PR• Management Executives• Employees HR


29

ประโยชน�ในการจ�ด้ต�?งคณะกรรมการฯ

1. Clear Role & Responsibilityม่การม่อบหม่ายภาระหนื้$าที่ร �บผิ�ดช้อบที่ช้�ดเจ้นื้

2. Clear Direction & Methodologyม่แนื้วที่างและว�ธิ์ด�าเนื้�นื้การที่ช้�ดเจ้นื้ และเป็�นื้ที่�ศที่างเดยวก�นื้ที่��ง Group

3. Structured Collaborationม่แนื้วที่างในื้การป็ระสานื้งานื้ที่ช้�ดเจ้นื้

4. Maintain Competency and Readiness to Respondม่การบร�หารจ้�ดการองคิ2คิวาม่ร% $ที่จ้�าเป็�นื้ให$คิรบถ$วนื้เพี�อคิวาม่พีร$อม่ในื้การด�าเนื้�นื้การอย�างที่�นื้ที่�วงที่


30

Baseline of Competency

1.PTT Group Computer Crime Handling Policy & Direction

2.Related Legislations

3.Type of Computer Crimes

4.Law Enforcement Decision Matrix

5.Evidence Chain of Custody

6.Computer Crime Response Procedure


31

PTT GroupComputer CrimeBureau of Advisory

Legal

Security Expert/CSO

PR

HR

OICO+ICT

PTT

PTTEP

PTTCH

PTTAR

TOP

Committee

รกญ.RMC


32

• PTT ICT's CSO• PTT's Legal

• PTT's PR• PTT's HR

Co

mp

ute

r-C

rim

e B

ure

au

of

Ad

vis

ory

Computer-CrimeCoordination Committee

OCIO, Legal, PR, HR


CSO, PR, HR

Computer-CrimeCoordinator

OCIO


OCIO, Legal, PR, HR


OCIO, Legal, PR, HR


OCIO, Legal, PR, HR

PTT Group Computer-CrimePTT Group Computer-CrimeCoordinative OrganizationCoordinative Organization

พน�กงานเจ�าหน�าทำ��ข้องร�ฐ

ประสิานงานหร&อข้อข้�อม#ลไปย�งแต�ละบร�ษ�ทำโด้ยตรงตามอ านาจทำ��ได้�ให�ไว่�ใน พ.ร.บ.


33

Subsidiary CompanySubsidiary Company

PTT Group Risk Management Committee

SOCSecurity Operation Center

CSIRTComputer Security Incident Response Team

Computer-CrimeCoordinator

AuthorizedAccess

ICT SecurityLog Manager

ICT SecurityLog Analyst

SecurityLog

Accessing to Security LogAccessing to Security Log

Required byComputer Crime Act2007


34

Security Log Access

Chain of Authority

Company AssignSeniorOfficer

by- Company order or- Job description

SecurityOperators

orMSSPAssign/

Transfer

by- Memo/MOU or- Service Agreement (attachment)

Request forauthority

SecurityLog

Access Acce

ss

MSSP= Managed Security Service Provider

Access Required for-Analysis-Security Monitoring-Back up/Archiving


35

Company X

Assign

IT Dept.Manager

orInternal Audit

and etc.

by- Company order or- Job description

by- Memo/MOU or- Service Agreement(attachment)

SecurityLog

Access

Access Required for-Analysis-Security Monitoring-Back up/Archiving

MSSP

Assign

SOC

Access

Security Log Access

Chain of Authority


36

Contact Decision Matrix


37

Computer Crime Computer Crime Response ProcessResponse Process

Phase 1: Information Gathering (Checklist)

Phase 2: Incident Assessment

Phase 3: Law Enforcement Response


38

ค าถึาม ?


39

Thank YouThank You

Education

CCA Preparation for Organization