Skip to main content

งาน Network Operation มันเกี่ยวยังไงกับ ISO27001 [part II]

ว่างจากอ่าน web app security ก็กลับมาต่อในตอนที่ 2 กัน
 
5. Communications and operations management  แผนก Network จะมีงานในส่วนนี้เยอะเลยเพราะมันเป็นงาน operation ที่ต้องทำทุกวัน รวมถึงการที่เรามีการ implement process บางอย่างขึ้นมาเพื่อ control งาน operation อีกที เช่น การทำ patch management, hardening เพื่อให้อุปกรณ์เครือข่ายทั้งหมดมีความปลอดภัยเพียงพอ รวมถึงการ backup configuration ของอุปกรณ์ไว้ในกรณีฉุกเฉินด้วย ซึ่งผมจะเล่าการทำ patch management และ hardening ไปขยายรายละเอียดในอีกบทนึงต่อไปนะครับ

6. Access control  - งานในส่วนนี้ก็จะเกี่ยวกับเรื่อง user management ซึ่งต้องคอยจัดเก็บและจัดการ user ของบุคลากรที่จะเข้าใช้ระบบ อุปกรณ์ต่างๆ โดยที่นี่จะมีการ validate user ของพนักงานทุกๆ 3 เดือน แต่เรื่องจุกจิก และยุ่งยากก็จะเกิดขึ้นเมื่ออุปกรณ์ network มีเป็นพัน เป็นหมื่นนี่ละ เพราะอุปกรณ์ของลูกค้าที่เรา provide service ให้นั้นในแต่ละ zone ก็จะมี user แตกต่างกัน และสิทธิ์ไม่เท่ากัน บางทีอยู่ใน zone เดียวกัน แต่สิทธิ์ไม่เท่ากันก็มี ความยุ่งยากบังเกิดเลยตรงนี้ คือต้องจัดเก็บ user โดยแบ่งตามอุปกรณ์แต่ละตัว และเอกสารที่ทำก็จะบอกเลยว่ามี user อะไรบ้าง และสิทธิ์เป็นอย่างไร พอครบ 3 เดือนก็ต้อง validate ใหม่ บางที user เดิมอาจมีการเปลี่ยนแปลง หรือไม่มีอยู่แล้ว หรือแม้กระทั่งสิทธิ์ที่ได้รับไม่เหมือนเดิม ก็ต้องมาคอย validate ของทุกๆอุปกรณ์อีกที (เริ่มเยอะใช่ไหม --")
แต่ ถ้าในส่วนที่เกี่ยวกับ Network service ก็จะมีเรื่องการทำ VPN และ การจัดการ policy ของ firewall ในแต่ละ zone ด้วย ซึ่งก่อนที่จะมีการเพิ่ม ลบ policy ได้ก็ต้องผ่าน process การขอ approve ต่างๆมากมาย (ไม่พูดถึง)  นั่นละมันก็จะโยงไปถึงการทำ Firewall Policy review อีกเรื่องนึงไว้จะเขียนรายละเอียดเรื่องของ Firewall Policy review ว่าทำอย่างไร มีกฏเกณฑ์อะไรบ้าง 


7. Information security incident management  เนื่องจากผมเป็น security consult ของแผนก เมื่อเวลามีปัญหาหรือ เหตุการณ์ไม่ปกติเกิดขึ้นแล้วมันเกี่ยวข้องกับเรื่องความมั่นคงปลอดภัย สารสนเทศด้วย ว่าง่ายๆ มีเรื่อง security มาเอี่ยวเนี่ย ก็จะต้องเข้าประชุมตลอด แล้วก็จะ define ปัญหากันว่าเป็น security incident หรือไม่ ซึ่งถ้าใช่ละก็ จะมี process และ เอกสารอีกยาวเลย เช่น ต้องทำอะไรบ้าง เมื่อพบเหตุ เรียงลำดับไป และใคร ต้องทำอะไร ยังไงบ้าง เพื่อให้สามารถ handle ปัญหาครั้งนั้นให้หมดไป เร็วและมีประสิทธิภาพที่สุด และต่อไปก็จะเอา incident ไปเข้า problem management อีกเพื่อหาข้อสรุปว่าจะป้องกันไม่ให้เกิดปัญหาครั้งต่อไปได้ยังไง


8. Business continuity management  - ผมจะพูดคร่าวๆ ในประเด็นของการทำ DRP testing นะ เพราะเป็นส่วนที่เกี่ยวข้องและได้ involve
ในส่วนงานแผนก network ก็จะมีการ test ระบบเครือข่ายที่ DR site ทุกปี ปีละ 1 ครั้ง ก็ทำพร้อมๆกับแผนกอื่นๆนะละ 
โดย แต่ละรอบ ก็จะทำการ cut network และ redirect traffic ที่วิ่งไปที่ HQ ให้ไปยัง DR มีการเปลี่ยน routing กันสนุกสนาน รวมถึงพวกอุปกรณ์ network security ด้วย ที่จะต้องมีการ add policy ต่างๆให้รองรับการทดสอบ BCP ซึ่งแผนก Network ก็จะต้องดำเนินการก่อนแผนกอื่นๆ และกลับหลังแผนกอื่นๆ เพราะเราเป็นตัวกลางในการติดต่อของอุปกรณ์ computer ทั้งหมด
ทำ ไปทำไม - การทำ DRP test ก็เพื่อให้มั่นใจว่าถ้าเกิดมีปัญหาร้ายแรง หรือภัยธรรมชาติที่มีผลกระทบให้ HQ หรือสาขาอื่นๆที่สำคัญไม่สามารถดำเนินงานได้ ก็สามารถย้ายพนักงานหรือคนที่เกี่ยวข้องไปปฏิบัติงานที่ BCP site ได้ทันที ธุรกิจก็จะดำเนินต่อไป ไม่หยุดชะงัก 

มาถึงตรงนี้คงพอเห็นว่างานในส่วน Operation ก็มีเรื่องของ Security มาเกี่ยวเยอะเหมือนกัน
ก็ขอจบ post นี้เพียงเท่านี้ วันหน้าจะมารับใช้ในรายละเอียดส่วนที่บอกไปอีก ฝากติดตามและแนะนำถ้ามีอะไรผิดพลาดด้วยนะครับ
Labels:

Comments

Post a Comment

Popular posts from this blog

CesarFTP BOF Review / Review การทำ Buffer Overflow CesarFTP

version ภาษาไทย ไว้มีเวลาจะมา update ภายหลังครับ Today I would like to review my old one lesson about buffer overflow before I take the OSCP exam in 2015. I wish you learn basic BOF from this post. CesarFTP is the one ftp software which is vulnerabled to BOF (buffer overflow). 1. The first step I download vulnerabled software from internet and install on WinXP (vm) and then 2. Try to search for exploit in my kali linux  (No, I don't exploit by metasploit just find the start code and try to make it overflow) This original python 1906.py code is as picture below. I have to change "host" ip before do next step. ***Let's take a look at "buffer". That is something I have to modify later.*** but right now I begin with Fuzzing to find how many characters can crash this application ? 3. Control EIP address - try to replace character after  "\n" * 671 by "A" 350 characters and found that Cesar not be crashed. - Let&
Post a Comment
Read more

My OSCP Review <-> รีวิว ประสบการณ์การสอบ OSCP ( It is just the beginning)

เนื้อหาภาษาไทยสามารถดูได้ด้านล่างนะครับ About me I would like to tell you before that my english writing skill is not good, ^^", but I will try . I was Network Engineer and System Engineer with 10 years working experience and have CCNP, CCNP Security, CCDP, ITIL, MCP and I have experience in ISO27001 for 4 years. Right now I move to be a Penetration Tester in new company for 6 months. Inspiration Actually before getting a new job as pentester I would like to take CEH or ECSA certificate. But after do a new job, my three colleagues have OSCP and they are my model. All of them have an awesome skill. Then I try to find more information about OSCP and found that OSCP is very difficult to pass, no exam dump, no one answer you. Although I have a few experience on hacking but I think I can try and TRY HARDER. OSCP Course There are two course manual, pdf and video that are dependent. After I got them I tried to read from PDF only but not enough, many technics ar
14 comments
Read more

Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่ 1

post นี้ก็เช่นเกียวกับโพสต์อื่นๆที่ ผู้เขียนเขียนขึ้นจากประสบการณ์การทำงานนะครับ ส่วนในเรื่องของ ISO27001 ทางผู้เขียนยังไม่รู้ครอบคลุมขนาดนั้น ขอยังไม่กล่าวถึง คงได้เขียนหลังจากสอบ CISSP ได้แล้ว (ตอนนี้ยังอยู่ในวงการ Pentest อยู่เลยจ้า) คืออะไร ? Patch Management และ Hardening  -  เป็นส่วนนึงของ configuration management process ใน ISO27001 และมาตรฐานทางด้านความปลอดถัยอื่นๆ ด้วย  ทำไมต้องมีการทำ patch และ hardening เรื่องของ Patch management จริงๆ ก็จะเกี่ยวข้องกับการทำ Hardening นะละ นั่นคือทำเพื่อปิดช่องโหว่ให้น้อยที่สุดเพื่อลดความเสี่ยงที่จะถูกโจมตีจากผู้ไม่ประสงค์ดี มันก็ไม่ดีใช่ไหมละ ถ้าระบบของเราโดนโจมตี ซึ่งอาจจะเป็นในแง่ของการขโมยข้อมูล หรือที่องค์กรส่วนใหญ่รับไม่ค่อยได้คือการโดน dos จนทำให้อุปกรณ์ไม่สามารถให้บริการต่อได้ ก็เรื่อง Availability ไง ในบางบริษัทที่มีการทำ transaction เกี่ยวกับเงินนี่ เขาคิดค่าเสียหายเป็นนาทีเลยนะ ล่มแค่ครึ่งชั่วโมงก็เสียหายหนักแล้ว กระบวนการการทำ Patch กับ hardening ก็จะมีดังนี้ คือ เขียน flow ให้ดูกันง่ายๆ อ่านคำอธิบายต่อได้ด้า
Post a Comment
Read more