Author By: Tirayut Sripeamlap, CGEIT, ACIS Professional Center Review By: Prinya Hom-anek, CISSP, CISA, CRISC, CGEIT, ACIS Professional Center Reference Source: The Information Security Forum, ISF Threat Horizon 2016 Executive Summary จากรายงานแนวโน้มภัยคุกคามความมั่นคงปลอดภัยสารสนเทศ สำหรับปี 2016 โดย ISF ระบุทิศทางเชิงลบด้านความมั่นคงปลอดภัยทางไซเบอร์ยังคงต่อเนื่อง สู่ปลายขอบของความเชื่อถือที่องค์กรต้องรักษาไว้ให้ได้ รายงานได้ข้อสรุปหลักๆทั้งหมด 3 ประเด็น ได้แก่ 1. ไม่มีใครน่าไว้วางใจในไซเบอร์อีกต่อไป 2. ความเชื่อมั่นในระบบหรือโซลูชั่นการรักษาความมั่นคงปลอดภัยในแนวทางที่ยอมรับโดยทั่วไปเสื่อมสลาย ต้องคิดหาแนวทางใหม่ 3. ความล้มเหลวต่อการรักษาระดับการให้บริการในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ดังนั้น องค์กรทั่วโลกต้องปรับกระบวนทัศน์ให้มีความสามารถในการปรับตัวเพื่อรองรับการเปลี่ยนแปลง และผลกระทบที่อาจจะเกิดขึ้นจากภัยคุกคามไซเบอร์ในรูปแบบใหม่ รูปที่ 1: “รายงานแนวโน้มภัยคุกคามความมั่นคงปลอดภัยสารสนเทศ […]

Read more
ShellShock-688x230

Author By: Mr. Chayutm Prapassaraporn | ACIS Cyber LAB Team CISSP, SANS GIAC GPEN, OSCP, CBCI, ECSA, CEH, SMFE, CCSK, Security+, CCNA Senior Information Security Consultant, Consulting Service Department (CSD) Abstract บทความนี้จะเน้นไปที่การสร้างความเข้าใจเกี่ยวกับ Shellshock (หรือเรียกอีกอย่างว่า Bashdoor) ที่เป็นรูปแบบการทำงานที่ผิดพลาดของ Shell ที่มีชื่อว่า Bash (Bourne Again Shell) ในระบบปฏิบัติการตระกูล UNIX ซึ่งส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบในรูปแบบที่ทำให้ผู้บุกรุกสามารถรันคำสั่งเพื่อสั่งการเครื่องคอมพิวเตอร์ของเหยื่อให้กระทำการใด ๆ ได้ (Command Execution) ผ่านสิ่งที่เรียกว่า “Environment Variable” ซึ่งถูกเปิดเผยเมื่อวันที่ 24 กันยายน […]

Read more
ภัยมืดจากอาชญากรรมไซเบอร์ สะกดรอยพวก “แชต-เช็กอิน” ละเอียดยิบ!

กูรูโลกไซเบอร์แนะวิธีใช้สมาร์ทโฟน เน้นต้องปรับพฤติกรรมบนโลกออนไลน์ และรู้ทันด้วยแอปพลิเคชันป้องกันอาชญากรในยุคเปลี่ยนผ่านจากโลก 3G มาสู่ 4G ซึ่งคนไทยหลายคน มีโทรศัพท์มือถือใช้ประจำเกินกว่า 1 เครื่อง และถือเป็นปัจจัยที่ 5 เพื่ออำนวยความสะดวกในชีวิต ตลอดจนการเข้าถึงข้อมูล เช็กข้อมูล ซื้อสินค้าออนไลน์ หรือเพื่อสื่อสารกันในสังคมออนไลน์ ทั้งแชต เช็กอิน โพสต์รูปถ่าย ผ่านสมาร์ทโฟน และจากความสะดวกสบายในเทคโนโลยีนี้หลายๆ คนอาจไม่รู้เลยว่า “ภัยมืด” จากอาชญากรไซเบอร์นั้นได้เข้ามาล้วงตับข้อมูลสำคัญไปจากเครื่องสมาร์ทโฟนของเราแบบขั้นเทพ เทคโนโลยีมีทั้งคุณและโทษ ในขณะที่ทุกคนมองว่าโซเชียลมีเดียเป็นพื้นที่ส่วนตัวที่แสดงออกถึงความคิด ตัวตน รสนิยมได้อย่างเสรีนั้น กลับทำให้เราเสียความเป็นส่วนตัว และอาจนำภัยมาสู่ตนเองได้ในหลายแง่หลายมุม ทั้งในทางทรัพย์สิน ความปลอดภัย รวมทั้งคดีความต่างๆ ที่คาดไม่ถึง วันนี้เราต่างไม่รู้ว่าเรากำลังเปิดประตูให้คนมาล้วงค้นข้อมูลของเราไปได้ผ่านการใช้เฟซบุ๊ก ทวิตเตอร์ และแอปพลิเคชันต่างๆ โดยเฉพาะผู้เชี่ยวชาญได้กล่าวเตือนถึงความน่ากลัวจากอาชญากรไซเบอร์ที่สามารถสะกดรอยตามเราได้ทุกฝีก้าว ทั้งชีวิตส่วนตัว และในหน้าที่การงาน รู้ทันโปรแกรมโจร อาจารย์ปริญญา หอมเอนก ประธานและผู้ก่อตั้ง ACIS Professional Center และเลขานุการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ TISA ให้ข้อมูลกับ special scoop ถึงโปรแกรมโจรที่แฝงตัวเข้ามาในดีไวซ์ที่เราใช้ในชีวิตประจำวันว่า โปรแกรมโจรในปัจจุบันมีเป็นจำนวนมาก […]

Read more
A New International Standard on Cloud and PII

The protection of personally identifiable information (PII) is a global issue that affects everyone. PII being processed by ICT systems can be especially vulnerable to various forms of threats and cyber risks unless adequate and effective protection is implemented. One area in which the protection of PII has raised concerns is that of PII in […]

Read more
image1

จากบทความในฉบับที่แล้วเราได้ทำความเข้าใจเกี่ยวกับกรอบดำเนินงานการบริหารบุคคลากรด้าน Cybersecurity ที่เรียกว่า National Cybersecurity Workforce Framework ของประเทศสหรัฐอเมริกา ซึ่งมีส่วนช่วยให้องค์กรเข้าใจถึงองค์ประกอบที่สำคัญในการวางแผนพัฒนาบุคคลากรด้าน Cybersecurity ให้มีความรู้ ทักษะ และ ความสามารถ ในการช่วยป้องกันภัยคุกคามทางไซเบอร์ที่นับวันจะมีจำนวนที่เพิ่มขึ้น และ ซับซ้อนมากขึ้นโดยลำดับ บทความฉบับนี้ ผมขอกล่าวถึงแนวทางในการใช้ National Cybersecurity Workforce Framework นี้ในรายละเอียด ที่องค์กรสามารถนำมาประยุกต์ใช้เพื่อตอบสนองความต้องการบุคคลากรทางด้าน Cybersecurity จากการที่ NICE’s National Cybersecurity Workforce Framework ได้มีการแบ่งความชำนาญพิเศษ (specialty area) ออกเป็นทั้งหมด 31 หัวข้อ และจัดความชำนาญพิเศษที่มีความเกี่ยวข้องกันให้อยู่ในกลุ่มหน้าที่เดียวกัน ซึ่งทาง NICE ได้จัดแบ่งกลุ่มหน้าที่ของงานด้าน Cybersecurity ออกเป็น 7 กลุ่มหน้าที่ ดังนี้ กลุ่มหน้าที่ จัดทำและส่งมอบ “SECURELY PROVISION” ประกอบด้วยความชำนาญพิเศษ ด้านการออกแบบ และ จัดสร้างระบบ […]

Read more

  ปัจจุบันเทคโนโลยีด้านคอมพิวเตอร์ และ อินเทอร์เน็ต ได้ก้าวหน้าไปอย่างรวดเร็ว และ มีการใช้งานที่แพร่หลายทั้งในส่วนภาครัฐ เอกชน ประชาชนทั่วไปสามารถเข้าถึงข้อมูลข่าวสารผ่านอุปกรณ์พกพาที่เชื่อมโยงกับระบบอินเทอร์เน็ตตลอด 24 ชั่วโมง ได้อย่างรวดเร็ว ก่อให้เกิดประโยชน์ต่อองค์กร และ สังคม BYOD (Bring Your Own Device) และ BYOD (Bring Your Own Cloud) กำลังได้รับความนิยมอย่างมาก แต่ก็มาพร้อมกับความเสี่ยงที่เพิ่มมากขึ้นทั้งปริมาณและความสลับซับซ้อน โดยเฉพาะความเสี่ยงด้าน Cybersecurity ทั้ง 3 ด้านได้แก่ People, Process และ Technology ซึ่งจุดอ่อนที่สุดก็คือ “People” ดังนั้นจึงเป็นความท้าทายอย่างมากของทุกองค์กรในทุกประเทศ ที่จะต้องเตรียมความพร้อมในด้านบุคลากรให้มีความรู้ ทักษะความสามารถ ในการวิเคราะห์ วางแผน และ จัดการ ความเสี่ยงด้าน Cybersecurity ได้อย่างมีประสิทธิผล และ ประสิทธิภาพ   เนื่องจากงานทางด้าน Cybersecurity มีความหลากหลาย […]

Read more
รูปที่ 1 : “National Cybersecurity Workforce Framework”

ในปัจจุบัน รัฐบาลหลายประเทศกำลังมองว่าไซเบอร์สเปซ (Cyberspace) คือ โดเมนที่ห้าแห่งการทำสงครามทางการทหาร (The Fifth Domain of Warfare) นอกเหนือจาก พื้นดิน, ผืนฟ้า, อากาศ และ อวกาศ แล้ว “ไซเบอร์สเปซ” ถือเป็นอีกโดเมนหนึ่งที่มีความสำคัญในการสู้รบเพื่อเอาชนะฝ่ายตรงข้าม จะเห็นว่าประเทศสหรัฐอเมริกาและประเทศจีนให้ความสำคัญกับเรื่อง Cyberwarfare ถึงขนาดให้การสนับสนุนให้มีนักรบไซเบอร์ (Cyber Army หรือ Cyber Warrior) อย่างไม่เป็นทางการ และจากแหล่งข่าวที่น่าเชื่อถือได้ หลายประเทศได้พัฒนาโปรแกรมเจาะระบบในรูปแบบม้าโทรจันขึ้นด้วยวิธี APT (Advanced Persistent Threats) ในการเจาะระบบของรัฐบาลฝ่ายตรงข้าม ถือเป็นการเจาะระบบระดับประเทศอย่างลับๆ เพื่อความมั่นคงของชาติ (National Security) รัฐบาลในอีกหลายประเทศจึงจำเป็นต้องติดตั้งระบบดักฟังประชาชนของตนเองอย่างหลีกเลี่ยงไม่ได้ เรียกว่าระบบ “Lawful Inception”เช่น NSA’s PRISM เพื่อเป็นการป้องกันความมั่นคงของชาติที่ต้องแลกมาด้วยความเป็นส่วนตัวของประชาชน ซึ่งปกติรัฐบาลของหลายประเทศจะทำในเชิงลับไม่บอกกล่าวต่อประชาชนของตน ทำให้รัฐบาลสามารถรู้ความเคลื่อนไหวต่างๆในโลกไซเบอร์ เพื่อป้องกันการโจมตีทางกายภาพต่อโครงสร้างพื้นฐานที่สำคัญ เช่น โรงไฟฟ้า, เขื่อน, สนามบิน ตัวอย่างการโจมตี ได้แก่ […]

Read more
รูปที่ 2: ตัวอย่างข้อมูลสำคัญที่ได้

โดย สมาคมผู้ดูแลเว็บไทย, สมาคม eCommerce, TISA, และ ACIS Cyber Lab. Heartbleed Bug คืออะไร? Heartbleed Bug เป็นช่องโหว่ความเสี่ยงสูงที่มีอยู่ใน OpenSSL Library ซึ่งเว็บไซต์นับล้านทั่วโลกใช้งาน Library นี้อยู่ โดยที่ OpenSSL Library นี้จะถูกเรียกใช้งานโดย Application ที่ต้องการเข้ารหัสการรับส่งข้อมูลโดยใช้ SSL/TLS (เช่น HTTPS, VPN, EMAIL) ผลกระทบที่เกิดจาก Heartbleed Bug คือการที่ผู้โจมตีสามารถเข้าถึงข้อมูลที่อยู่ในหน่วยความจำหลัก (หรือ RAM นั่นเอง) ได้จากระยะไกล ซึ่งเป็นที่ทราบกันดีอยู่แล้วว่าข้อมูลในระหว่างการรับ-ส่ง นั้น จะถูกเข้ารหัสโดย SSL/TLS แต่เมื่อข้อมูลถูกส่งมาถึงผู้รับและเข้าไปอยู่ใน RAM นั้นจะเป็น plaintext หรือพูดง่าย ๆ ว่า ไม่ได้ถูกเข้ารหัสแล้วนั่นเอง เป็นเหตุให้ข้อมูลความลับ ไม่ว่าจะเป็น key ที่ใช้ถอดรหัสข้อมูล […]

Read more

ACIS Professional Center

ACIS Professional Consulting Services offers a fully integrated information system and information security consulting service conform to the “One-Stop-Shop” concept.

ACIS Onair

Acis Photos

© Copyright 2019. Powered by ACIS Professional Center | Privacy Policy

Our website uses both essential and non-essential cookies to analyze use of our products and services. This agreement applies to non-essential cookies only. By accepting, you are agreeing to third parties receiving information about your usage and activities. If you choose to decline this agreement, we will continue to use essential cookies for the operation of the website. View Policy