Skip to main content

งาน Network Operation มันเกี่ยวยังไงกับ ISO27001 [part II]

ว่างจากอ่าน web app security ก็กลับมาต่อในตอนที่ 2 กัน
 
5. Communications and operations management  แผนก Network จะมีงานในส่วนนี้เยอะเลยเพราะมันเป็นงาน operation ที่ต้องทำทุกวัน รวมถึงการที่เรามีการ implement process บางอย่างขึ้นมาเพื่อ control งาน operation อีกที เช่น การทำ patch management, hardening เพื่อให้อุปกรณ์เครือข่ายทั้งหมดมีความปลอดภัยเพียงพอ รวมถึงการ backup configuration ของอุปกรณ์ไว้ในกรณีฉุกเฉินด้วย ซึ่งผมจะเล่าการทำ patch management และ hardening ไปขยายรายละเอียดในอีกบทนึงต่อไปนะครับ

6. Access control  - งานในส่วนนี้ก็จะเกี่ยวกับเรื่อง user management ซึ่งต้องคอยจัดเก็บและจัดการ user ของบุคลากรที่จะเข้าใช้ระบบ อุปกรณ์ต่างๆ โดยที่นี่จะมีการ validate user ของพนักงานทุกๆ 3 เดือน แต่เรื่องจุกจิก และยุ่งยากก็จะเกิดขึ้นเมื่ออุปกรณ์ network มีเป็นพัน เป็นหมื่นนี่ละ เพราะอุปกรณ์ของลูกค้าที่เรา provide service ให้นั้นในแต่ละ zone ก็จะมี user แตกต่างกัน และสิทธิ์ไม่เท่ากัน บางทีอยู่ใน zone เดียวกัน แต่สิทธิ์ไม่เท่ากันก็มี ความยุ่งยากบังเกิดเลยตรงนี้ คือต้องจัดเก็บ user โดยแบ่งตามอุปกรณ์แต่ละตัว และเอกสารที่ทำก็จะบอกเลยว่ามี user อะไรบ้าง และสิทธิ์เป็นอย่างไร พอครบ 3 เดือนก็ต้อง validate ใหม่ บางที user เดิมอาจมีการเปลี่ยนแปลง หรือไม่มีอยู่แล้ว หรือแม้กระทั่งสิทธิ์ที่ได้รับไม่เหมือนเดิม ก็ต้องมาคอย validate ของทุกๆอุปกรณ์อีกที (เริ่มเยอะใช่ไหม --")
แต่ ถ้าในส่วนที่เกี่ยวกับ Network service ก็จะมีเรื่องการทำ VPN และ การจัดการ policy ของ firewall ในแต่ละ zone ด้วย ซึ่งก่อนที่จะมีการเพิ่ม ลบ policy ได้ก็ต้องผ่าน process การขอ approve ต่างๆมากมาย (ไม่พูดถึง)  นั่นละมันก็จะโยงไปถึงการทำ Firewall Policy review อีกเรื่องนึงไว้จะเขียนรายละเอียดเรื่องของ Firewall Policy review ว่าทำอย่างไร มีกฏเกณฑ์อะไรบ้าง 


7. Information security incident management  เนื่องจากผมเป็น security consult ของแผนก เมื่อเวลามีปัญหาหรือ เหตุการณ์ไม่ปกติเกิดขึ้นแล้วมันเกี่ยวข้องกับเรื่องความมั่นคงปลอดภัย สารสนเทศด้วย ว่าง่ายๆ มีเรื่อง security มาเอี่ยวเนี่ย ก็จะต้องเข้าประชุมตลอด แล้วก็จะ define ปัญหากันว่าเป็น security incident หรือไม่ ซึ่งถ้าใช่ละก็ จะมี process และ เอกสารอีกยาวเลย เช่น ต้องทำอะไรบ้าง เมื่อพบเหตุ เรียงลำดับไป และใคร ต้องทำอะไร ยังไงบ้าง เพื่อให้สามารถ handle ปัญหาครั้งนั้นให้หมดไป เร็วและมีประสิทธิภาพที่สุด และต่อไปก็จะเอา incident ไปเข้า problem management อีกเพื่อหาข้อสรุปว่าจะป้องกันไม่ให้เกิดปัญหาครั้งต่อไปได้ยังไง


8. Business continuity management  - ผมจะพูดคร่าวๆ ในประเด็นของการทำ DRP testing นะ เพราะเป็นส่วนที่เกี่ยวข้องและได้ involve
ในส่วนงานแผนก network ก็จะมีการ test ระบบเครือข่ายที่ DR site ทุกปี ปีละ 1 ครั้ง ก็ทำพร้อมๆกับแผนกอื่นๆนะละ 
โดย แต่ละรอบ ก็จะทำการ cut network และ redirect traffic ที่วิ่งไปที่ HQ ให้ไปยัง DR มีการเปลี่ยน routing กันสนุกสนาน รวมถึงพวกอุปกรณ์ network security ด้วย ที่จะต้องมีการ add policy ต่างๆให้รองรับการทดสอบ BCP ซึ่งแผนก Network ก็จะต้องดำเนินการก่อนแผนกอื่นๆ และกลับหลังแผนกอื่นๆ เพราะเราเป็นตัวกลางในการติดต่อของอุปกรณ์ computer ทั้งหมด
ทำ ไปทำไม - การทำ DRP test ก็เพื่อให้มั่นใจว่าถ้าเกิดมีปัญหาร้ายแรง หรือภัยธรรมชาติที่มีผลกระทบให้ HQ หรือสาขาอื่นๆที่สำคัญไม่สามารถดำเนินงานได้ ก็สามารถย้ายพนักงานหรือคนที่เกี่ยวข้องไปปฏิบัติงานที่ BCP site ได้ทันที ธุรกิจก็จะดำเนินต่อไป ไม่หยุดชะงัก 

มาถึงตรงนี้คงพอเห็นว่างานในส่วน Operation ก็มีเรื่องของ Security มาเกี่ยวเยอะเหมือนกัน
ก็ขอจบ post นี้เพียงเท่านี้ วันหน้าจะมารับใช้ในรายละเอียดส่วนที่บอกไปอีก ฝากติดตามและแนะนำถ้ามีอะไรผิดพลาดด้วยนะครับ
Labels:

Comments

Post a Comment

Popular posts from this blog

CesarFTP BOF Review / Review การทำ Buffer Overflow CesarFTP

version ภาษาไทย ไว้มีเวลาจะมา update ภายหลังครับ Today I would like to review my old one lesson about buffer overflow before I take the OSCP exam in 2015. I wish you learn basic BOF from this post. CesarFTP is the one ftp software which is vulnerabled to BOF (buffer overflow). 1. The first step I download vulnerabled software from internet and install on WinXP (vm) and then 2. Try to search for exploit in my kali linux  (No, I don't exploit by metasploit just find the start code and try to make it overflow) This original python 1906.py code is as picture below. I have to change "host" ip before do next step. ***Let's take a look at "buffer". That is something I have to modify later.*** but right now I begin with Fuzzing to find how many characters can crash this application ? 3. Control EIP address - try to replace character after  "\n" * 671 by "A" 350 characters and found that Cesar not be crashed. - Let...
Post a Comment
Read more

Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่ 2

ใครที่ยังไม่ได้อ่านตอนแรก สามารถอ่านได้ที่ Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่  1 4. การ Maintenance      หลังจากที่เราทำการ implement เสร็จแล้ว ไม่ใช่ว่าจะจบกันเท่านี้ มันแค่เริ่มต้น It's just the beginning. ก็ต้องมีขั้นตอนในการที่ดูแล และ up-to-date ให้อุปกรณ์ในระบบไม่มีช่องโหว่ต่อไป รวมถึงปรับปรุง template ในการ hardening เป็นประจำด้วย จะกล่าวถึงต่อไปนะ โดยปกติที่ผมเคยทำมา จะมีการกำหนดให้คนนึงที่อาจจะเป็น Security Consult ของแต่ละ platform แต่ละแผนก ในการทำ subscribe ไปยัง vendor ต่างๆ ตามอุปกรณ์ที่ดูแลอยู่เพื่อรับข่าวสาร และได้รับ notification เวลามี security update เพื่อจะนำมาวิเคราะห์ดูว่าระบบที่เราดูแลอยู่นั้นมีช่องโหว่ใหม่ๆ ที่เกี่ยวกับอุปกรณ์ของเราเกิดขึ้นหรือไม่ ถ้ามีก็ต้องนำมาเข้าสู่กระบวนการดังที่กล่าวไปข้างต้น มีคนแล้วก็ต้องมี policy องค์กรก็ต้องมีการกำหนด policy ขึ้นมาเพื่อใช้ควบคุมระยะเวลาที่องค์กรยอมรับความเสี่ยงต่อช่องโหว่ในระดับต่างๆได้ ยกตัวอย่างให้เห็นภาพ ที่ผู้เขียนเคยทำมา เช่น ถ้ามีช่องโหว่เกิดขึ้นใหม่...
Post a Comment
Read more

My OSCP Review <-> รีวิว ประสบการณ์การสอบ OSCP ( It is just the beginning)

เนื้อหาภาษาไทยสามารถดูได้ด้านล่างนะครับ About me I would like to tell you before that my english writing skill is not good, ^^", but I will try . I was Network Engineer and System Engineer with 10 years working experience and have CCNP, CCNP Security, CCDP, ITIL, MCP and I have experience in ISO27001 for 4 years. Right now I move to be a Penetration Tester in new company for 6 months. Inspiration Actually before getting a new job as pentester I would like to take CEH or ECSA certificate. But after do a new job, my three colleagues have OSCP and they are my model. All of them have an awesome skill. Then I try to find more information about OSCP and found that OSCP is very difficult to pass, no exam dump, no one answer you. Although I have a few experience on hacking but I think I can try and TRY HARDER. OSCP Course There are two course manual, pdf and video that are dependent. After I got them I tried to read from PDF only but not enough, many technics ar...
14 comments
Read more