Skip to main content

งาน Network Operation มันเกี่ยวยังไงกับ ISO27001 [part I]

Post นี้เขียนเรื่องงานที่ที่เกี่ยวกับ security ในอีกมุม คือด้าน policy and management ซึ่งเป็นประสบการณ์การทำงานและสิ่งที่เคยสัมผัสสมัยตอนที่ทำงานอยู่ที่บริษัทใหญ่แห่งนึง ในประเทศไทย เป็นระยะเวลา 4 ปีกว่า (ไม่ได้เขียนครอบคลุมเรื่อง ISO27001 ทั้งหมดนะครับ จะเขียนเฉพาะที่เกี่ยวกับงานในแผนกที่เคยทำโยงกับ ISO27001 เพื่อให้เห็นภาพว่างานเกี่ยวข้องยังไง)

เกี่ยวกับงานที่จะเล่า

             ณ ตอนนั้น เป็นพนักงานประจำ แต่ถูกส่งไปปฏิบัติงานเป็น outsource ให้แบงค์ใหญ่อันดับต้นๆ ถึง 2 แบงค์ โดยที่เป็น Security consult ของแผนก Network อธิบายนิดนึงคือทางบริษัทผม ให้ชื่อว่า บริษัท A จะมีพนักงานที่ไปประจำลูกค้าแต่ละแห่งแบ่งเป็นแผนก เช่น ทำ Server, Network, Application และอื่นๆ ซึ่งแต่ละทีมก็จะต้องรับผิดชอบหน้า เช่น Network ก็ดูแลอุปกรณ์ network cisco, hp, checkpoint, etc. ทั้งหมด ถ้าเป็น Server ก็จะดูเครื่อง Server Windows, Linux, Unix ประมาณนี้ ทีนี้หน้าที่อีกอย่างนึงของพนักงาน ก็คือต้องส่งมอบงานทั้งหมดตามมาตรฐานของ ISO27001 แต่ในบริษัทเองจะเลี่ยงไม่ใช้คำว่า ISO27001 นะ จะเรียกว่าเป็น security & compliance แทน คนที่ทำงานส่วนนี้จะต้องมี email account เพื่อติดต่อไปยังต่างประเทศ (ดูอินเตอร์นิดนึง) แต่ส่วนใหญ่จะเป็นการส่งเมล์และ chat ไม่ค่อยได้สนทนา ( skill พูด ฟังภาษาอังกฤษเลยยังง่อยอยู่จนถึงทุกวันนี้ --")
ทีนี้มาว่ากันถึงเนื้องานที่ทำในส่วนของ  ISO27001 นี่ โดยผมจะเล่าไปตามงานที่เคยทำ โดยรวมเรื่องของ process และ human เข้าไปเลย โดยจะแบ่งออกเป็นตาม domain ของ iso27001 ดังนี้ (อันไม่เกี่ยวข้องจะไม่พูดถึงนะครับ)


1. Organizational of information security  หน้าที่ของผมก็คือส่วนนึงที่เกิดจาก organization ข้อนี้ละครับ อย่างที่บอกว่าแต่ละแผนกจะมี Security consult เป็นผู้ที่คอย manage และ control งาน และพนักงานในแผนกให้สามารถปฏิบัติงานโดยคำนึงถึงความมั่นคงไปด้วย  
โดยปกติ เท่าที่เห็นถ้าเป็นแผนกอื่นๆ จะให้คนที่เป็นระดับ manager หรืออย่างน้อยก็คือ Lead ทำงานในจุดนี้  (ตัวผมตำแหน่งธรรมดา เวลาประชุมทีนั่งกับ manager ตลอดนะฮ้าฟ)


2. Asset management  ในส่วนของที่ทำให้แผนก network เอง ก็จะมีการทำทะเบียนของอุปกรณ์ทั้งหมด ในการทำทะเบียนทรัพย์สินนี่ แต่ละ item ก็จะเก็บข้อมูลหลายๆอย่าง ยกตัวอย่างเช่น S/N, ชื่อเครื่อง (hostname), รุ่นของทั้ง hardware และ software, ip address, เป็นอุปกรณ์ประเภทอะไร ฯลฯ อีกมากมาย (คือมากมายจริงๆ) ซึ่งบางคนอาจจะมองว่าเป็นงานเอกสารที่น่าเบื่อ แต่จริงๆ แล้วรายละเอียดบางอย่าง ก็ต้องใช้ Engineer ในการเข้าไปรวบรวมมา และไฟล์เอกสารฉบับนี้คือสิ่งสำคัญในการทำงาน security เลย เพราะถ้าเราไม่มี list ของอุปกรณ์ทั้งหมดที่มีอยู่ เราจะรู้ได้อย่างไรว่าเรามีการลง patch ครบทุกเครื่ีองที่มีช่องโหว่หรือป่าว ทำ harden ครบไหม มีอุปกรณ์อะไรบ้าง ซึ่งสำหรับแผนก network ที่มีอุปกรณ์เป็นหลายพันถึงหมื่นตัว (ที่เคยอยู่มา) มันเป็นเรื่องยากพอสมควรเลยนะ เพราะจำนวน asset เหล่านี้จะเคลื่อนไหวตลอดด้วย มีติดตั้งใหม่ ถอดถอนตัวปัจจุบัน หรือติดตั้งทดแทนของเก่า  ฯลฯ

3. Human resources security  ทางบริษัท จะจัดการตั้งแต่เริ่มรับพนักงานใหม่ จนพนักงานคนนั้นลาออกเลย ก็มีตั้งแต่การให้เซ็นยอมรับข้อตกลงต่างๆ การให้เรียน ฝึกอบรมในเรื่องของ security บลาๆ เยอะ ซึ่งพนักงานทุกคนต้องปฏิบัติตามอย่างเคร่งครัด ที่ตกลงไว้นะ เรื่องจริงก็มีหลวมๆบ้าง

4. Physical and environmental security  คือในส่วนของ datacenter นั้นไม่ใช่ทุกคนที่สามารถเข้าถึงได้ การจะเข้าไปใน datacenter จะต้องให้บุคคลที่มี authorize คอยพาบุคลากรของบริษัทเองหรือของลูกค้าเข้าไปเท่านั้น โดยต้องมีการขออนุญาตและรับรองโดยผู้ที่มีอำนาจหน้าที่ส่วนนี้เช่นกัน หน้าที่อันนี้เหมือนคนสำคัญแต่จริงๆ แล้วไม่ชอบเท่าไหร่ 55 โดยเราต้องดูแลและป้องกันให้การเข้าไปปฏิบัติงานของบุคลากรเหล่านั้นมีความปลอดภัยต่อระบบ  จะบอกว่า ผมเองนี่ละที่มี authorize เข้า datacenter ได้โดยไม่ต้องขออนุญาต --"

เรื่องยังไม่จบ มีต่อในตอนที่ 2 นะครับ - งาน Network Operation มันเกี่ยวยังไงกับ ISO27001 [part II]

Labels:

Comments

Post a Comment

Popular posts from this blog

CesarFTP BOF Review / Review การทำ Buffer Overflow CesarFTP

version ภาษาไทย ไว้มีเวลาจะมา update ภายหลังครับ Today I would like to review my old one lesson about buffer overflow before I take the OSCP exam in 2015. I wish you learn basic BOF from this post. CesarFTP is the one ftp software which is vulnerabled to BOF (buffer overflow). 1. The first step I download vulnerabled software from internet and install on WinXP (vm) and then 2. Try to search for exploit in my kali linux  (No, I don't exploit by metasploit just find the start code and try to make it overflow) This original python 1906.py code is as picture below. I have to change "host" ip before do next step. ***Let's take a look at "buffer". That is something I have to modify later.*** but right now I begin with Fuzzing to find how many characters can crash this application ? 3. Control EIP address - try to replace character after  "\n" * 671 by "A" 350 characters and found that Cesar not be crashed. - Let&
Post a Comment
Read more

Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่ 2

ใครที่ยังไม่ได้อ่านตอนแรก สามารถอ่านได้ที่ Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่  1 4. การ Maintenance      หลังจากที่เราทำการ implement เสร็จแล้ว ไม่ใช่ว่าจะจบกันเท่านี้ มันแค่เริ่มต้น It's just the beginning. ก็ต้องมีขั้นตอนในการที่ดูแล และ up-to-date ให้อุปกรณ์ในระบบไม่มีช่องโหว่ต่อไป รวมถึงปรับปรุง template ในการ hardening เป็นประจำด้วย จะกล่าวถึงต่อไปนะ โดยปกติที่ผมเคยทำมา จะมีการกำหนดให้คนนึงที่อาจจะเป็น Security Consult ของแต่ละ platform แต่ละแผนก ในการทำ subscribe ไปยัง vendor ต่างๆ ตามอุปกรณ์ที่ดูแลอยู่เพื่อรับข่าวสาร และได้รับ notification เวลามี security update เพื่อจะนำมาวิเคราะห์ดูว่าระบบที่เราดูแลอยู่นั้นมีช่องโหว่ใหม่ๆ ที่เกี่ยวกับอุปกรณ์ของเราเกิดขึ้นหรือไม่ ถ้ามีก็ต้องนำมาเข้าสู่กระบวนการดังที่กล่าวไปข้างต้น มีคนแล้วก็ต้องมี policy องค์กรก็ต้องมีการกำหนด policy ขึ้นมาเพื่อใช้ควบคุมระยะเวลาที่องค์กรยอมรับความเสี่ยงต่อช่องโหว่ในระดับต่างๆได้ ยกตัวอย่างให้เห็นภาพ ที่ผู้เขียนเคยทำมา เช่น ถ้ามีช่องโหว่เกิดขึ้นใหม่ในระดับ - C
Post a Comment
Read more

My OSCP Review <-> รีวิว ประสบการณ์การสอบ OSCP ( It is just the beginning)

เนื้อหาภาษาไทยสามารถดูได้ด้านล่างนะครับ About me I would like to tell you before that my english writing skill is not good, ^^", but I will try . I was Network Engineer and System Engineer with 10 years working experience and have CCNP, CCNP Security, CCDP, ITIL, MCP and I have experience in ISO27001 for 4 years. Right now I move to be a Penetration Tester in new company for 6 months. Inspiration Actually before getting a new job as pentester I would like to take CEH or ECSA certificate. But after do a new job, my three colleagues have OSCP and they are my model. All of them have an awesome skill. Then I try to find more information about OSCP and found that OSCP is very difficult to pass, no exam dump, no one answer you. Although I have a few experience on hacking but I think I can try and TRY HARDER. OSCP Course There are two course manual, pdf and video that are dependent. After I got them I tried to read from PDF only but not enough, many technics ar
14 comments
Read more