Penetration Testing + Interest = Penetrest (My Journey)

ใครที่ยังไม่ได้อ่านตอนแรก สามารถอ่านได้ที่ Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่  1 4. การ Maintenance      หลังจากที่เราทำการ implement เสร็จแล้ว ไม่ใช่ว่าจะจบกันเท่านี้ มันแค่เริ่มต้น It's just the beginning. ก็ต้องมีขั้นตอนในการที่ดูแล และ up-to-date ให้อุปกรณ์ในระบบไม่มีช่องโหว่ต่อไป รวมถึงปรับปรุง template ในการ hardening เป็นประจำด้วย จะกล่าวถึงต่อไปนะ โดยปกติที่ผมเคยทำมา จะมีการกำหนดให้คนนึงที่อาจจะเป็น Security Consult ของแต่ละ platform แต่ละแผนก ในการทำ subscribe ไปยัง vendor ต่างๆ ตามอุปกรณ์ที่ดูแลอยู่เพื่อรับข่าวสาร และได้รับ notification เวลามี security update เพื่อจะนำมาวิเคราะห์ดูว่าระบบที่เราดูแลอยู่นั้นมีช่องโหว่ใหม่ๆ ที่เกี่ยวกับอุปกรณ์ของเราเกิดขึ้นหรือไม่ ถ้ามีก็ต้องนำมาเข้าสู่กระบวนการดังที่กล่าวไปข้างต้น มีคนแล้วก็ต้องมี policy องค์กรก็ต้องมีการกำหนด policy ขึ้นมาเพื่อใช้ควบคุมระยะเวลาที่องค์กรยอมรับความเสี่ยงต่อช่องโหว่ในระดับต่างๆได้ ยกตัวอย่างให้เห็นภาพ ที่ผู้เขียนเคยทำมา เช่น ถ้ามีช่องโหว่เกิดขึ้นใหม่ในระดับ - C

post นี้ก็เช่นเกียวกับโพสต์อื่นๆที่ ผู้เขียนเขียนขึ้นจากประสบการณ์การทำงานนะครับ ส่วนในเรื่องของ ISO27001 ทางผู้เขียนยังไม่รู้ครอบคลุมขนาดนั้น ขอยังไม่กล่าวถึง คงได้เขียนหลังจากสอบ CISSP ได้แล้ว (ตอนนี้ยังอยู่ในวงการ Pentest อยู่เลยจ้า) คืออะไร ? Patch Management และ Hardening  -  เป็นส่วนนึงของ configuration management process ใน ISO27001 และมาตรฐานทางด้านความปลอดถัยอื่นๆ ด้วย  ทำไมต้องมีการทำ patch และ hardening เรื่องของ Patch management จริงๆ ก็จะเกี่ยวข้องกับการทำ Hardening นะละ นั่นคือทำเพื่อปิดช่องโหว่ให้น้อยที่สุดเพื่อลดความเสี่ยงที่จะถูกโจมตีจากผู้ไม่ประสงค์ดี มันก็ไม่ดีใช่ไหมละ ถ้าระบบของเราโดนโจมตี ซึ่งอาจจะเป็นในแง่ของการขโมยข้อมูล หรือที่องค์กรส่วนใหญ่รับไม่ค่อยได้คือการโดน dos จนทำให้อุปกรณ์ไม่สามารถให้บริการต่อได้ ก็เรื่อง Availability ไง ในบางบริษัทที่มีการทำ transaction เกี่ยวกับเงินนี่ เขาคิดค่าเสียหายเป็นนาทีเลยนะ ล่มแค่ครึ่งชั่วโมงก็เสียหายหนักแล้ว กระบวนการการทำ Patch กับ hardening ก็จะมีดังนี้ คือ เขียน flow ให้ดูกันง่ายๆ อ่านคำอธิบายต่อได้ด้า

สามารถอ่าน version ภาษาไทยได้ด้านล่างเช่นเคยครับ ขอบคุณครับ Firewall audit is part of many IT security Standard audit and compliance.  From my experience, auditor can assess and audit something like following (maybe more) 1. Patch Level or OS version -- > Latest version, vulnerable version or not. 2. Configuration and parameter  --> must follow hardening document , recommend parameter which should be configured.                 Hardening document is establish from security baseline and must be approved by all related parties such as IT Security, Network Security, Management level of company before publish to use etc.   3. Audit firewall change request form (sometime this activity is in rule validate) --> If customer organization is complied with ISO27001 or other security standard eg. PCI-DSS. They will audit firewall request document , it must be as same as current rule.   Actual equal Approved. 4. Rules or ACLs revie

สามารถอ่าน version ภาษาไทยได้ด้านล่างเช่นเคยครับ Sometime it's call Firewall Rule Re-validate or Firewall Rule-base review . Firewall Rule review is part of Firewall audit process. Auditor will review Firewall Rule or ACLs on router that appropriate to network security no need rule will be removed for example permit ip any any : it's should not be placed in top of each segment of network. why ! firewall rule review From my experience, many organization will have firewall admin who is responsible for add, move, delete, modify rules but he never come back to see which rule is expired or no need, which rule can be merge or have to re-arrange sequence to improve performance and mitigate risk from attacker. what can we do 1. Duplicate object include host, ip, group, service must be removed. 2. Expired rule or no need rule must be removed. 3. Duplicate rule --> remove ^^ 4. There is rule that can be merge no bad impact to business

สามารถอ่าน version ภาษาไทยได้ด้านล่างเช่นเคยครับ In this topic, I will tell you about how to change holder's name is Cisco system and certificate. Yeah !! in my country there are many people who change their name in order to their belief.  You can guess my country ^^ hehe. OK! Let me explain . Objective : want to change my name in Certificate document and Cisco system. Open a case at  http://www.cisco.com/go/certsupport   I need to sign-in with current account and then explain my objective (change name) to Cisco. After that Cisco will response in a day and give me some reference document or evidence as email below (I copied from my email to show you example). ##### In order to make a name change, we need to receive legal identification to support the change. Legal identification includes a copy of your State Driver's License or State ID, passport or court documentation. Upon receipt of the requested documentation, please allow up to 2 business days to have your

คุณเคยสงสัยหรือป่าว เวลามีคนบอกว่าทำงาน Pentest มันคืออะไร ทำไรวะ มีด้วยเหรอ ผมจะมาเล่าให้ฟังคร่าวๆ แบบคนทั่วไปฟังรู้เรื่อง เหตุเกิดจากว่าผมจะเจอเป็นประจำเวลาเจอเพื่อน เจอคนรู้จักที่ไม่ได้ทำงานในสายนี้ มักมีคนถามว่า "มึงทำงานไรวะ Pentest ไม่เคยได้ยิน"  หรือ "เห็นบอกทำงานเจาะระบบช่วย hack เงินในเกมส์ให้หน่อย", "เฮ้ย hack เงินแทงบอล ให้กูหน่อยดิ" , บางคนก็ถามว่า "ทำ pentest กรณีคนลืม password เหรอ" หรือ "ทำไมต้องทำการทดสอบเจาะระบบ มันเป็นเรื่องผิดกฎหมายรึป่าว" บางคนว่าเป็นงานโจรก็ยังมี ก็อธิบายกันไป ^^  ไม่ว่าอะไร เพราะผมก็ไม่ได้รู้มาก่อนเหมือนกัน ก็เลยคิดว่าเขียน blog อันนี้ขึ้นมาเพื่อให้ผู้ที่ไม่รู้ได้ทราบแบบง่ายๆ เอาที่คนทั่วไปเข้าใจ -------------------------------------------------------------------------------------------------------------------------- คือเมื่อ พูดถึงการรักษาความปลอดภัยทางคอมพิวเตอร์และเครือข่าย เกือบทุกคนน่าจะคุ้นเคยเฉพาะด้านการป้องกัน หรือ Defensive Security เช่นการใช้ไฟล์วอลล์,

ว่างจากอ่าน web app security ก็กลับมาต่อในตอนที่ 2 กัน   5.  Communications and operations management   แผนก Network จะมีงานในส่วนนี้เยอะเลยเพราะมันเป็นงาน operation ที่ต้องทำทุกวัน รวมถึงการที่เรามีการ implement process บางอย่างขึ้นมาเพื่อ control งาน operation อีกที เช่น การทำ patch management, hardening เพื่อให้อุปกรณ์เครือข่ายทั้งหมดมีความปลอดภัยเพียงพอ รวมถึงการ backup configuration ของอุปกรณ์ไว้ในกรณีฉุกเฉินด้วย ซึ่งผมจะเล่าการทำ patch management และ hardening ไปขยายรายละเอียดในอีกบทนึงต่อไปนะครับ 6.  Access control   - งานในส่วนนี้ก็จะเกี่ยวกับเรื่อง user management ซึ่งต้องคอยจัดเก็บและจัดการ user ของบุคลากรที่จะเข้าใช้ระบบ อุปกรณ์ต่างๆ โดยที่นี่จะมีการ validate user ของพนักงานทุกๆ 3 เดือน แต่เรื่องจุกจิก และยุ่งยากก็จะเกิดขึ้นเมื่ออุปกรณ์ network มีเป็นพัน เป็นหมื่นนี่ละ เพราะอุปกรณ์ของลูกค้าที่เรา provide service ให้นั้นในแต่ละ zone ก็จะมี user แตกต่างกัน และสิทธิ์ไม่เท่ากัน บางทีอยู่ใน zone เดียวกัน แต่สิทธิ์ไม่เท่ากันก็มี ความยุ่งยากบังเกิดเลยตรงนี้ ค

Post นี้เขียนเรื่องงานที่ที่เกี่ยวกับ security ในอีกมุม คือด้าน policy and management ซึ่งเป็นประสบการณ์การทำงานและสิ่งที่เคยสัมผัสสมัยตอนที่ทำงานอยู่ที่บริษัทใหญ่แห่งนึง ในประเทศไทย เป็นระยะเวลา 4 ปีกว่า (ไม่ได้เขียนครอบคลุมเรื่อง ISO27001 ทั้งหมดนะครับ จะเขียนเฉพาะที่เกี่ยวกับงานในแผนกที่เคยทำโยงกับ ISO27001 เพื่อให้เห็นภาพว่างานเกี่ยวข้องยังไง) เกี่ยวกับงานที่จะเล่า              ณ ตอนนั้น เป็นพนักงานประจำ แต่ถูกส่งไปปฏิบัติงานเป็น outsource ให้แบงค์ใหญ่อันดับต้นๆ ถึง 2 แบงค์ โดยที่เ ป็น Security consult ของแผนก Network อธิบายนิดนึงคือทางบริษัทผม ให้ชื่อว่า บริษัท A จะมีพนักงานที่ไปประจำลูกค้าแต่ละแห่งแบ่งเป็นแผนก เช่น ทำ Server, Network, Application และอื่นๆ ซึ่งแต่ละทีมก็จะต้องรับผิดชอบหน้า เช่น Network ก็ดูแลอุปกรณ์ network cisco, hp, checkpoint, etc. ทั้งหมด ถ้าเป็น Server ก็จะดูเครื่อง Server Windows, Linux, Unix ประมาณนี้ ทีนี้หน้าที่อีกอย่างนึงของพนักงาน ก็คือต้องส่งมอบงานทั้งหมดตามมาตรฐานของ ISO27001 แต่ในบริษัทเองจะเลี่ยงไม่ใช้คำว่า ISO27001 นะ จะเรียกว่าเป็น securit

เนื้อหาภาษาไทยสามารถดูได้ด้านล่างนะครับ About me I would like to tell you before that my english writing skill is not good, ^^", but I will try . I was Network Engineer and System Engineer with 10 years working experience and have CCNP, CCNP Security, CCDP, ITIL, MCP and I have experience in ISO27001 for 4 years. Right now I move to be a Penetration Tester in new company for 6 months. Inspiration Actually before getting a new job as pentester I would like to take CEH or ECSA certificate. But after do a new job, my three colleagues have OSCP and they are my model. All of them have an awesome skill. Then I try to find more information about OSCP and found that OSCP is very difficult to pass, no exam dump, no one answer you. Although I have a few experience on hacking but I think I can try and TRY HARDER. OSCP Course There are two course manual, pdf and video that are dependent. After I got them I tried to read from PDF only but not enough, many technics ar