USB Security

วันนี้ได้ความรู้ใหม่เกี่ยวกับ USB Security จากกระทู้ใน SANS ICS Community มาประมาณนี้

กรณีที่ไม่ต้องใช้ USB

  • รัน regedit แล้วไปที่ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR สร้าง REG_DWORD value ชื่อ Start แล้วใส่ค่าเป็น 4
  • disable USB port ใน BIOS และใส่พาสเวิร์ดใน BIOS ด้วย เพื่อป้องกันการแก้ไข
  • ถ้าจะให้ชัวร์ก็ทำลาย port USB ไปเลย เค้าบอกว่าพวกอุปกรณ์ที่ใช้ lock port บางทีก็แกะได้ง่ายๆ ด้วย swiss army knife

กรณีที่ยังต้องใช้ USB อยู่

  • ใช้ sheep dip PC หรือ clean kiosk แสกน USB drive ก่อนนำไปใช้ในระบบ (เพิ่งเคยได้ยินคำว่า sheep dip PC ก็วันนี้ 😅) เครื่องพวกนี้ปกติจะไม่ต่อเน็ตเวิร์ก และมีโปรแกรม antivirus มากกว่าหนึ่งยี่ห้อ เพื่อสแกนไฟล์ใน USB drive
  • ใช้วิธี transfer ข้อมูลจาก untrusted USB drive มาใส่ใน trusted USB drive ก่อนเอาไปใช้ในระบบ (USB sanitizer) ลอง google ดูพบว่ามี solution แบบ open source ที่น่าสนใจคือ CIRCLean
  • solution แบบไม่ฟรี แต่คิดว่าคอนเซปต์น่าจะคล้ายๆ กันคือ ODIX ในหน้าเว็บเค้าเรียกว่า Content Disarm & Reconstruction แต่อ่านคำอธิบายแล้วเหมือนเอา sheep dip PC กับ USB sanitizer มารวมกัน

[Read More]

Zero Trust Network

เมื่อวันก่อนอ่านเรื่อง “What It Takes to Build a Zero Trust Network” รู้สึกว่าเป็นแนวคิดที่น่าสนใจดี เลยขอจดไว้หน่อย

เค้าว่า “Zero Trust” เป็นคำที่คิดโดยบริษัท Forrester Research เมื่อประมาณปี 2010 โดยมีคอนเซปต์คร่าวๆ คือ อุปกรณ์ทุกอย่างในเน็ตเวิร์กจะถือว่าเชื่อถือไม่ได้ จนกว่าจะได้รับการยืนยันตัวตนของอุปกรณ์และผู้ใช้งาน โดยไม่สนใจว่าอุปกรณ์นั้นจะอยู่ที่ไหนในเน็ตเวิร์ก

Trust is a dangerous vulnerability that can be exploited. John Kindervag, field CTO at Palo Alto Networks

แปลว่าแนวคิดการแบ่งแยกเน็ตเวิร์กแบบเดิมๆ จะไม่มีอีกต่อไป เพราะตามแนวคิดนี้ทุกอย่างเชื่อถือไม่ได้ ไม่มี trusted netwok, trusted device, หรือ trusted people 😮

[Read More]

Holistic Security

วันนี้มีโอกาสได้ไปร่วมสัมมนา Roundtable เรื่อง “The Future of Cybersecurity is Physical” ที่จัดโดยบริษัท Accenture ในงาน Asian Utility Week 2018 ที่ Impact Exhibition Hall 1–2 ฟังโดยรวมแล้วก็เหมือนเป็นแนวคิด/Solution ที่ดี แต่ยังรู้สึกตะหงิดๆ อยู่ เลยขอจดไว้ก่อน เผื่อนึกอะไรออกวันหลัง 😑

ก่อนเริ่มการนำเสนอ เค้าเปิดวิดีโอนี้ให้ดู

TL;DW ประมาณว่าเป็นวิดีโอของกลุ่มแฮ็กเกอร์ที่ได้รับการว่าจ้างให้ลองโจมตีหน่วยงานด้านพลังงานแห่งหนึ่งในอเมริกา โดยเริ่มตั้งแต่การพยายามบุกรุกเข้าไปในตัวอาคาร ผ่านล็อก รั้ว ประตู ลองเปิดรถที่จอดทิ้งไว้อยู่เพื่อหาบัตร ฯลฯ จนสามารถเข้าไปวางอุปกรณ์/มัลแวร์ในเครื่องพีซีของบริษัทได้ มีการใช้โดรนบินสำรวจเพื่อหาจุดบอดของกล้อง Infrared CCTV อะไรทำนองนี้

[Read More]

Using SDN May Help Improve ICS Security

พอดีช่วงนี้เริ่มอ่านข้อมูลเกี่ยวกับ OT/ICS Security มากขึ้น และมีเรื่องน่าสนใจหลายอย่าง เลยคิดว่าทำเป็นโน้ตไว้ให้หาง่ายๆ และคอยอัพเดตเรื่อยๆ น่าจะเข้าท่าดี 🤔

เรื่อง SDN (Software-Defined Network) อันนี้น่าสนใจเพราะด้วยแนวโน้มของเทคโนโลยี องค์กรส่วนใหญ่น่าจะมีแผนการย้ายระบบขึ้นคลาวด์กันแล้ว ซึ่งโดยปกติมันก็จะมาพร้อม SDN ด้วย

Disclaimer: ณ เวลาที่เขียนโน้ตนี้ ความรู้เกี่ยวกับ SDN ของผมมีน้อยมาก ดังนั้นข้อความข้างล่างคือการสรุปจาก discussion ตามความเข้าใจของผมเอง อาจจะมีผิดพลาดหรือมั่วบ้าง ต้องขออภัยไว้ล่วงหน้า 😆

[Read More]

Risks vs Resources

You need to evaluate the short-term, medium-term, and long-term risk, and ask, how willing are you to tolerate that risk? Then invest limited security resources to deal with risks you are least likely to tolerate. Betsy Cooper, executive director of the Center for Long-Term Cybersecurity at UC Berkeley (via CSO Online)

Insider Threat

The biggest threat to corporate security is corporate employees – whether malicious or not. Jason Hill, Director of Strategic Services, Cybriant

Redpill 2017

เมื่อวานมีโอกาสไปร่วมงานสัมมนา Redpill 2017 ที่ห้องประชุม 117 ตึก 3 คณะวิศวกรรมศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ปีนี้เป็นการจัดงานร่วมกันระหว่าง 2600Thailand และสมาคมโปรแกรมเมอร์ไทย โดยมีธีมของงานคือ “Offensive Security” หัวข้อทั้งหมดในงานและรายชื่อ speaker ดูได้ในตารางท้ายบล็อกครับ

แน่นอนว่าไปสายตามระเบียบ 😅 ไปถึงก็กลางๆ session 3 เข้าไปแล้ว แถมเป็นเรื่องแนวที่ผมไม่ค่อยมีความรู้ด้วย เท่าที่พอจับใจความมาได้ก็ประมาณนี้

[Read More]

12 Reasons that Companies are Attacked

เมื่อวันศุกร์ที่ 4 กรกฎาคม ที่ผ่านมา ผมได้มีโอกาสไปร่วมงานสัมมนาวิชาการเนื่องในโอกาสวันสื่อสารแห่งชาติประจำปี 2560 หรือ NET 2017 ที่จัดโดย กสทช. และได้ฟัง keynote ของ Richard A. Clarke (เริ่มประมาณนาทีที่ 1:35:00) อดีตที่ปรึกษาด้าน Cybersecurity ของประธานาธิบดีสหรัฐฯ ในหัวข้อ “Cybersecurity: Challenges and Opportunities in the Digital Economy” พูดถึงสาเหตุหลักๆ 12 ประการที่ทำให้บริษัทหรือองค์กรถูกโจมตีด้านไซเบอร์ สรุปได้คร่าวๆ ดังนี้

[Read More]

My APrIGF 2017 Post is on APNIC

เกิดมาเพิ่งจะมีโอกาส go inter กับเค้าบ้างก็วันนี้ 😎 เพราะ APNIC ได้แปลบล็อกที่ผมเขียนถึง workshop ในงาน APrIGF 2017 เป็นภาษาอังกฤษ และโพสต์ไว้ที่ APrIGF 2017, Bangkok: Cybersecurity Incident Role Play

[Read More]

APrIGF Bangkok 2017 Cybersecurity Incident Role Play

วันนี้ได้มีโอกาสไปร่วมงาน APrIGF Bangkok 2017 ที่อาคารมหิตลาธิเบศร จุฬาลงกรณ์มหาวิทยาลัย ในช่วง session Cybersecurity Incident Role Play พบว่าเป็นประสบการณ์ที่ดี (แม้ว่าจะไม่ได้มีส่วนร่วมแชร์อะไรกับชาวโลกเค้าเลยก็ตาม 😆)

ลักษณะของ session จะเป็นแบบให้ผู้เข้าร่วม workshop มาเล่นสวมบทบาทเป็นหน่วยงานต่างๆ ในบริษัทแห่งหนึ่ง ซึ่งในบริษัทนี้จะประกอบด้วยสี่กลุ่มคือ Management, IT, Legal, และ Communication ตัวผมเองได้ไปนั่งงงๆ อยู่ในกลุ่ม Communication 😵

ส่วนผู้ดำเนินรายการมีทั้งหมด 5 คน โดยผู้ดำเนินรายการหลัก คือ @adliwahid คนนี้ฮามาก เป็น Security Specialist จาก APNIC และจะมีอีก 4 คนประจำอยู่แต่ละกลุ่ม หนึ่งในสี่คนนี้คือ @kitisak ซึ่งปัจจุบันเป็นที่ปรึกษาด้าน information security ให้กับ Thai Banker’s Association และเป็นผู้แนะนำให้ผมมาร่วมงานนี้ด้วย

[Read More]