@secure
DESCRIPTION
ACIS Magazene SECURETRANSCRIPT
PUBLICPR.CORP.53-001
¡Òû ԺѵԡÒÃÊÒÃʹà·È¡Ã³ÕÈÖ¡ÉÒ¡ÒûÃÐÂØ¡µ�㪌 “IO” ÃÐËÇ‹Ò§ “ÈÍ©.” áÅÐ “¹»ª.”
ÀÑÂ Social Engineering »‚ 2010
ËÅÑ¡Êٵüٌ¹Ó¡ÒõÃǨÊͺŧ·ÐàºÕ¹ÊÒ¡ÅÊÓ¤ÑÞËÃ×ÍäÁ‹ÊÓËÃѺ˹‹Ç§ҹ·ÕäÁ‹ä ŒÁÕ¡Òà Ѵ·ÓÃкººÃÔËÒäÇÒÁÁѹ¤§»ÅÍ´ÀÑÂÊÒÃʹà·È
¤ÇÒÁÊÓ¤ÑÞÃÐËÇ‹Ò§ “Risk Analysis”, “Risk Assessment” áÅÐ “Risk Management”
¡Ô¹ä»-à·ÕÂÇ仵͹ ÊÒÁÃŒÍÂÂÍ´ (µÍ¹·Õ 1)
¹Ô·Ò¹ÃŒÍÂàÃ×ͧ ¡Ñº àÊ×͡ѹ½¹¢Í§Ë¹Ù
Disaster Recovery Center(by CSLOXINFO)
ACIS MEDIA CENTER
A division of ACIS Professional Center
POWER BY
©ºÑº»°ÁÄ¡É� ¡Ã¡®Ò¤Á - ÊÔ§ËÒ¤Á 255301
Login
เจาของ เอซส โปรเฟสชนนล เซนเตอร จำกด | บรรณาธการบรหาร ปรญญา หอมเอนก | บรรณาธการ ณพพร ทองใบประสทธ | กองบรรณาธการ วทยา หอมเอนก, ณยฎา ชนสกล, ยงเกยรต สนเทศอดศย, เอกกร รตนเอกกวน, ศภชย ภมรชยศรกจ, นพนธ นาชน, วชรพล วงศอภย | สมาชก วราพงศ รตนวงศเวท | ถายภาพ superman.th | คอมพวเตอร กราฟก อนวฒน เนอออน | ทปรกษา ธระยศวร ศรเปยมลาภ | ดำเนนการ เอซส มเดย เซนเตอร | ขอมลการตดตอ บรษท เอซส โปรเฟสชนนล เซนเตอร จำกด เลขท 62 หอง 2101 ชนท 21 ถนนหลงสวน แขวงลมพน เขตปทมวน กรงเทพฯ 10330 โทรศพท: 0 2650 5771 โทรสาร: 0 2650 5776 อเมล: [email protected] | http://www.facebook.com/pages/acisonline/107807339239344
@SECURE ฉบบปฐมฤกษไดเปดตวขนอยางเปนทางการแลว โดยมวตถประสงคในการเผยแพร ประชาสมพนธขอมล ขาวสารซงเกยวของกบระบบรกษาความปลอดภยสารสนเทศ (IT Security) ในแงมมตางๆ ทงเชงเทคนค และเชงกระบวนการ รวมทงผลตภณฑ หรอบรการตางๆ ทเกยวของ รวมทงสรางเสรมสมพนธภาพอนดระหวางกน
ในฉบบปฐมฤกษนเราไดรวบรวมบทความจากบคลากรผทรงคณวฒหลายทาน พรอมดวยสรรสาระอนๆ เพอใหทกทานไดรบทงความร และความบนเทง รวมทงผอนคลายกบคอลมน“กนไป-เทยวไป” หรอขาวสารเพอสงคม โดยเรายนดนอมรบคำแนะนำ ตชม เพอปรบปรงเนอหาสาระใหครบถวน และเปนประโยชนมากยงขน
จากเหตการณรอนๆ รายๆ ทางการเมองเมอเดอนพฤษภาคมทผานมา หนวยงาน องคกรหลายแหงอาจไดรบผลกระทบมากบาง นอยบางแตกตางกนไป สำหรบ เอซส ซงมสำนกงานตงอยในพนท Red Zone กตองปรบตวกนขนานใหญ เพอความสะดวก และความปลอดภยเราจำเปนตองเลอนกำหนดการฝกอบรมในบางหลกสตรออกไป รวมทงใหพนกงานปฏบตงานในลกษณะ Work from Home จากสถานทปลอดภย
ปรากฏการณอกประการหนงทพบในชวงเวลาดงกลาว คอ พลงของสงคมออนไลน (Social Media) ซงมการสอสาร สงขาว พรอมรปภาพประกอบผานเครอขายอนเทอรเนตไปยง Social Network ยอดนยม เชน Facebook และ Twitter เปนตน ซงทำใหเราสามารถตดตามขาวสาร และตอบสนองไดอยางทนทวงท อยางไรกตาม “เหรยญสองดาน” หรอ “ดาบสองคม” กปรากฏในชวงเวลาเดยวกน โดยเราพบการปลอยขาวลวงใน Social Network เพอกอใหประโยชนตอฝายใดฝายหนง ตลอดจนสรางความตระหนก เพมความแตกแยกใหแกประชาชนตามหลกการของ Information Operation ซงไดนำเสนอรายละเอยด พรอมกรณตวอยางใน @SECURE ฉบบน
ผานจากเหตการณดงกลาว หลายองคกรทงในภาคสวนทไดรบผลกระทบ และยงไมไดรบผลกระทบตอการดำเนนธรกจจงไดเรงจดทำ หรอทบทวน “BCP และ DRP” ของตนเอง ซงเชอไดวาทศทาง IT ตงแตบดนเปนตนไปจะไดใหความสนใจในกระแส BCM (Business Continuity Management) กนเปนอยางสง และแมเมอองคกรอาจม BCP อยแลว การตอยอดของ BCM จะทำใหเกดการบรหารจดการอยางเปนระบบ และมการพฒนาปรบปรงอยางตอเนอง
ทายทสด ผมขอขอบคณทมงานบรรณาธการ ผเขยน และผเกยวของทกทานทไดทมเท และมสวนรวมในการผลต @SECURE ฉบบปฐมฤกษนขนมา และมากกวานน ผมขอบขอบคณทานผอานทกทานทไดใหโอกาสเปดใจตอนรบ @SECURE เปนเพอนซงคำนงถงความปลอดภยในสงคมออนไลน .
ปรญญา หอมเอนกบรรณาธการบรหาร
@SECURE เปนสอในการเผยแพร ใหขอมลความรดานการรกษาความปลอดภยสารสนเทศ การฝกอบรม ผลตภณฑ และการใหบรการซงเกยวของกบระบบการรกษาความปลอดภยสารสนเทศ เนอหา และภาพประกอบถอเปนลขสทธของบรษท เอซส โปรเฟสชนนล เซนเตอร จำกด และเจาของผลงานนนๆ ซงจดทำขนเพอประโยชนแกผอานในสงคมสวนรวม
Êͺ¶ÒÁ¢ŒÍÁÙÅ ËÃ×ÍàʹÍá¹Ð
หากทานมขอสงสยเกยวกบเนอหาบทความ หรอตองการสอบถามขอมลเพมเตม หรอมขอเสนอแนะเกยวกบเนอหา และรปแบบของ @SECURE สามารถตดตอกองบรรณาธการไดตามขอมลการตดตอของบรษท
¡ÒÃÊ‹§º·¤ÇÒÁà¾×͵վÔÁ¾�ã¹¹ÔµÂÊÒÃ
@SECURE ยนดพจารณาบทความดานความปลอดภยสารสนเทศซงสอดคลองกบแนวทางของ @SECURE จากบคคลภายนอก โดยสามารถจดสงตนฉบบในรปแบบของไฟลไมโครซอฟตเวรด พรอมภาพประกอบไดทกองบรรณาธการตามขอมลการตดตอของบรษท และกองบรรณาธการขอสงวนสทธในการตดตอ ยอสรปตนฉบบไดโดยไมตองขอความเหนจากผสง
บทความทสงมาโดยบคคลภายนอกตองไมเปนบทความทละเมดลขสทธของผอนไมวาในกรณใดๆ ทงสน และหากเปนการรวบรวม และเรยบเรยงขนใหมจากตนฉบบอนมลขสทธแหลงใด โปรดระบทมาโดยละเอยด หากมไดปฏบตตามน และมการละเมดลขสทธเกดขน บรษทจะไมรบผดชอบในความผดดงกลาวแตประการใด โดยบคคลภายนอกนนๆ จะตองเปนผรบผดชอบทางกฎหมายใดๆ ทเกดขนแตเพยงผเดยว
ทศนะ และขอคดเหนในทกบทความของ @SECURE เปนความคดเหนโดยสวนบคคลของผเขยนทานนนๆ มไดหมายความวาเปนความคดเหนของบรษทเสมอไป
ÅÔ¢ÊÔ· ÔáÅÐà¤Ã×ͧËÁÒ¡ÒäŒÒ
ดวย @SECURE ไมสามารถประกาศความเปนเจาของลขสทธ และเครองหมายการคาทมอยเปนจำนวนมาก และมการเปลยนแปลงอยตลอดเวลาใหครบถวนสมบรณได ดงนน กองบรรณาธการจงขอประกาศความเปนเจาของลขสทธเฉพาะทมการกลาวถงในบทความประกอบลงในบทความนนๆ และหากลขสทธดงกลาวเปนทรบรโดยทวไปแลว @SECURE จะไมขอกลาวซำ ทงนเพอประโยชนในการนำเสนอบทความทกระชบ และนาอาน
á Œ§¢‹ÒÇÊÒÃà¾×Íà¼Âá¾Ã‹»ÃЪÒÊÑÁ¾Ñ¹ �
บรษท องคกร หรอหนวยงานใดมความประสงคจะแจงขาวประชาสมพนธผลตภณฑ หรอบรการของตนใน @SECURE กรณาสงขอมลรายละเอยด พรอมภาพถายมาทกองบรรณาธการตามขอมลการตดตอของบรษท
¡ÒùӺ·¤ÇÒÁä»à¼Âá¾Ã‹ ËÃ×;ÔÁ¾�«Ó
บทความทเผยแพรใน @SECURE นสงวนสทธตามพระราชบญญตลขสทธ พ.ศ. 2537 ในกรณททานตองการนำสวนหนงสวนใดไปใช หรอเผยแพรโปรดตดตอทกองบรรณาธการตามขอมลการตดตอของบรษท และจะตองไดรบอนญาตจากบรษทเปนลายลกษณอกษร
3
14 พฤษภาคม 2553 - สถาบนวจยตลาดทนจดการสมมนาในหวขอ “The GRC Imperative - Strengthen your good governance with GRC : Jump to start now” ณ อาคารสถาบนวทยาการตลาดทน ถนนวภาวดรงสต โดยกจกรรมในภาคบาย อ.ปรญญา หอมเอนก ไดรบเกยรตเขารวมการเสวนาในประเดนแนวคด “GRC” ในการสราง Good Governance ใหแกองคกร, GRC เครองมอการบรหารจดการความเสยงทมประสทธภาพ และประโยชนทองคกรจะไดรบจาก GRC พรอมดวย ดร. วรภทร โตธนะเกษม, คณะอนกรรมการ ศนยพฒนาการกำกบดแลกจการบรษทจดทะเบยน ตลาดหลกทรพยแหงประเทศไทย พรอมดวยคณวารณ ปรดานนท, บรษท ไพรซวอเตอรเฮาสคเปอรส จำกด และคณภชฎา หมนทอง, บรษท ปนซเมนตนครหลวง จำกด (มหาชน)
เคานเตอร เซอรวส กาวนำคแขงดวย ISO 27001 เพอสรางความมนใจใหแกลกคาในการชำระเงนผานบรการเคานเตอร เซอรวส
4 พฤษภาคม 2553 – บรษท เคานเตอร เซอรวส จำกด ซงเปนผนำในบรการรบชำระคาสนคาและบรการ ไดแสดงศกยภาพอกระดบโดยการนำระบบการบรหารจดการรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2005 มาบรหารงานดานการรกษาความมนคงปลอดภยสารสนเทศภายในองคกร ทงน โดยไดรบความสนบสนนจากโครงการสนบสนนการพฒนาเทคโนโลยของอตสาหกรรมไทย (iTAP) ซงเปนหนวยงานภายใตสำนกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต (สวทช.) และไดจดพธรบมอบประกาศนยบตรรบรองมาตรฐาน ISO/IEC 27001:2005 จากบรษท ทฟ นอรด (ประเทศไทย) จำกด ณ สำนกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต เมอวนท 4 พฤษภาคม 2553 ทผานมา
ในการน เอซส โปรเฟสชนนล เซนเตอร โดยคณปรญญา หอมเอนก, ประธานกรรมการบรหาร รวมแสดงความยนด พรอมทงบนทกภาพรวมกบคณสนธวรรณ สภทรประธป (ผอำนวยการ iTAP), คณวรเดช อครผลพานช (ผจดการทวไป, บรษท เคานเตอร เซอรวส จำกด), คณอธตานนท อภธนทวพฒน (บรษท ทฟ นอรด (ประเทศไทย) จำกด) ตลอดจนทานผมเกยรต และคณะดำเนนงาน .
ONTHEMOVE
à»�´µÑÇ˹ѧÊ×Í“360° IT Security àÃ×ͧ·Õ¤¹äÍ·ÕµŒÍ§ÃÙŒ”
13 พฤษภาคม 2553 - เอซส รวมกบ บรษท เออารไอพ จำกด (มหาชน) จดกจกรรมแถลงขาวเปดตวหนงสอ “360° IT Security เรองทคนไอทตองร” ณ รานเจลาโตน, ด เอสพลานาด รชดาภเษก ทงน โดยไดรบความสนใจจากสอมวลชนอยางทวมทน
“360° IT Security เรองทคนไอทตองร” มเน �อหาสาระท�หลากหลาย ทำใหรจกการใชเครอขายสงคมออนไลนอยางถกตอง และปลอดภยเหมาะสำหรบผบรหาร ผใชอนเตอรเนต และเปนคมอสำหรบคนไอท เพ�อความเทาทนในอนตรายจากการใชงานอนเตอรเนต และสรางตระหนกถงการปองกนตวเอง มใหตกเปนเหย�อของผ ไมประสงคด
on the move
àÍ«ÔÊ à¾ÔÁª‹Í§·Ò§ãËÁ‹ã¹¡ÒÃÊ×ÍÊÒÃ
เอซส ทดลองเพมชองทางในการตดตอสอสาร และเผยแพรกจกรรม การใหบรการ และขาวสารดานความปลอดภยสารสนเทศผานเครอขาย Facebook และ Twitter ตงแตบดนเปนตนไป โดยผสนใจสามารถตดตามรบขาวสารไดตงแตบดนเปนตนไป
เอแลดานFaโด
http://twitter.com/acisonlinehttp://www.facebook.com/pages/
acisonline/107807339239344
4
PTTICT และ ACIS พฒนาจากคคาทางธรกจ สพนธมตรทแขงแกรงทางธรกจ (Business Alliance) เพอมงสความเปนเลศในการใหบรการ และความเปนหนงอยางยงยน
11 มถนายน 2553 - นายไชยเจรญ อตแพทย กรรมการผจดการ บรษท พทท ไอซท โซลชนส จำกด และนายปรญญา หอมเอนก ในฐานะประธานกรรมการผจดการ บรษท เอซส โปรเฟสชนแนล เซนเตอร จำกด ไดรวมลงนามบนทกขอตกลงความรวมมอ (MOU) รวมกน เพอมงสความเปนเลศดานการใหบรการเทคโนโลยสารสนเทศ
ทงน ตลอดระยะเวลากวา 20 ปทผานมาจนถงในปจจบน การแขงขนในโลกธรกจมเพมสงขนอยางมาก ซงเปนผลมาจากการคาเสร และโลกการตดตอสอสารทไรพรมแดน ทำใหแตละบรษทพยายามหาจดแขงเพอสรางความไดเปรยบทางธรกจ หรอ Competitive Advantage ใหแกบรษทของตนเอง ซงรวมถงบรษทในเครอของ ปตท. ดวยเชนกน โดยไดประยกตใชระบบเทคโนโลยสารสนเทศททนสมยตงแตปจจยพนฐาน จนถงเปนตวแปรทสำคญอนกอใหเกดความไดเปรยบทางธรกจ
อยางไรกตามทกสงในโลกเปรยบเสมอนเหรยญสองดาน ระบบเทคโนโลยสารสนเทศเองกเชนกน ความสะดวกของการใชงาน การลดระยะเวลาของการปฏบตงานนน กลบทำใหเกดชองวางหรอละเลยในเรองทสำคญทสดซงเปนหวใจสำคญของความปลอดภยของขอมลไป นนกคอ CIA หรอ Confi dentiality, Integrity และ Availability ของขอมล
ดงนน บรษท พทท ไอซท โซลชนส จำกด และบรษท เอซส โปรเฟสชนนล เซนเตอร จำกด ไดผนกกำลงเปนพนธมตรทางธรกจ (Business Alliance) เพอแบงปนขอมลดานวชาการ ประสบการณในการเปนทปรกษา รวมทงฝกอบรมบคลากรใหแกกนและกน เปนการแลกเปลยนและถายทอดซงกนและกน (Knowledge Transfer) ในองคความรสำคญของการเปนทปรกษาในการบรหารงานดานเทคโนโลยสารสนเทศและความมนคงปลอดภยสารสนเทศ ซงการรวมมอในครงน สามารถกอใหเกดแรงผลกดนในการพฒนาเพอยกระดบการใหบรการของ บรษท พทท ไอซท โซลชนส จำกด ใหมประสทธภาพ รวมทงเปนการเพมขดความสามารถทางธรกจในการประกอบธรกจของ บรษท พทท ไอซท โซลชนส จำกด และเพมศกยภาพ และคณภาพระดบมาตรฐานสากลดานความมนคงปลอดภยสารสนเทศในการใหบรการดานเทคโนโลยสารสนเทศ ใหกบลกคาในกลม ปตท. ทงในประเทศและตางประเทศ
15 มถนายน 2553 - เอซส จดกจกรรมแถลงขาวสำหรบงานสมมนา “Social Network Security Conference 2010” หรอ “SNSCON 2010” ณ หองทพยอบล โรงแรมอโนมา กรงเทพฯ
SNSCON 2010 เปนกจกรรมสมมนาซงเกยวกบการรกษาความปลอดภยของเครอขายสงคม (Social Networking) ครงแรกในประเทศไทย ดำเนนการโดยเขตอตสาหกรรมซอฟตแวรประเทศไทย ศนยบรหารจดการเทคโนโลย ภายใตสำนกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต (สวทช.) รวมกบ สมาคมความมนคงปลอดภยระบบสารสนเทศ (Thailand Information Security Association - TISA) และบรษท เอซส โปรเฟสชนนล เซนเตอร จำกด
ทงน สบเนองจากพฤตกรรมในการปฏสมพนธของผคนในสงคมปจจบนกำลงจะเปลยนไปดวยแรงขบเคลอนของกลไกดานความกาวหนาทางเทคโนโลย โดยการใชงานอนเทอรเนตทมเพมขน อนเปนปจจยสำคญในการทำใหสงคมเปดกวางขนอยางไรขอบเขต ปจจบน Social Network ในโลกแหงยคโลกาภวฒนคงไมมใครทไมรจก Twitter หรอ Facebook และอกหลากหลายโปรแกรมทเปดใหใชงาน Free Download รวมทงโปรแกรมทตดตงมากบ Mobile Phone กนอยางแพรหลาย ซงสงเหลานกลายเปนเครองมอสำคญในการสอสารยคใหมอนพรงพรอมไปดวยอรรถประโยชนมากมาย แตทวากลบแฝงไวดวยมหนตภนทใครตอใครอาจจะคาดไมถง จงเปนหนงในทมาของความเสยงทตองพงระวงเปนอยางยงชนดทไมอาจหลกเลยงได เพราะผลทตามมานนไมเพยงแตกระทบตอการเปดเผยขอมลความเปนสวนตว (Information Privacy) ของผใชเทานน แตอาจหมายถงองคกร หรอหนวยงานทผใชงาน Social Network รายนนๆ สงกดอย ตองรบความเสยงนนไปดวย ดงทไดเคยเกดขนหลายครงในหลายองคกร ทงในและตางประเทศ
พรอมกนน สมาคมความมนคงปลอดภยระบบสารสนเทศ โดย ดร.รอม หรญพฤกษ นายกสมาคมฯ ไดรวมแถลงผลการดำเนนงานของสมาคมฯ และการสอบตามโครงการ TISET ครงท 1 อกดวย
SNSCON 2010 มกำหนดการจดกจกรรมขนในวนท 21 กรกฎาคม 2553 ณ หองแกรนดบอลรม, โรงแรมอโนมา กรงเทพฯ
5
Information Warfare (IW)Information Operation (IO)
¡Òû ԺѵԡÒÃÊÒÃʹà·È (Information Operation) ã¹ÂؤáË‹§Ê§¤ÃÒÁÊÒÃʹà·È (Information Warfare)
áÅСóÕÈÖ¡ÉÒ¡ÒûÃÐÂØ¡µ�㪌 “IO” ÃÐËÇ‹Ò§ “ÈÍ©.” áÅÐ “¹»ª.”
Information Operation
คำวา “Information Operation” (นยมเรยกกนโดยยอวา “IO”) คออะไร? ทำไมหลายฝายจงเอยถงคำนใหไดยนกนบอยๆ ทางโทรทศนและหนาหนงสอพมพจนกลายเปนคำยอดฮตของวนน จะสงเกตไดวาหลายเดอนทผานมา เราไดยนคำนอยเปนประจำไมวาจะเปนบนเวทเสอแดง หรอ บนจอโทรทศนเวลาท ศอฉ. ออกมาแถลง แมกระทงในการอภปรายไมไววางใจนายกฯ ในรฐสภากยงมการพดถงคำวา “IO” เชนกน
คำวา “อนฟอรเมชน โอเปอรเรชน” หมายถง “การปฏบตการสารสนเทศ” ตรงกบภาษาองกฤษวา “Information Operations” (เรยกยอวา Info Ops หรอ IO) เปนการนาเอาพนธกจการปฏบตการทางทหารหลายประการมาบรณาการเพอสรางผลกระทบตอการคด การตดสนใจของฝายตรงขาม หรอสรางอทธพลตอการคด การตกลงใจ จากขอมลขาวสารและระบบสารสนเทศของฝายตรงขาม แมวา กองทพอากาศไทย จะเรยกวา “การปฏบตสารสนเทศ” สวน กองทพบกไทย จะเรยกตางกนเลกนอยวา “การปฏบตการขาวสาร” กตาม แตความหมายกคอ “Information Opera-tions” เหมอนกน
“IO” เปนสวนหนงของ “Information Warfare” หรอ “สงครามสารสนเทศ” ซงบางทานเรยกวา “สงครามขาวสาร” ซงอาจเรยกวา “Cyber War” หรอ “Net War” โดยคำวา “Information Operation” หรอ “การปฏบตการสารสนเทศ” นน เปนหลกการทออกเปนเอกสารอยางเปนทางการครงแรกโดยกระทรวงกลาโหมสหรฐอเมรกาในป 2003 อนมตหลกการโดย นายโดนล รมเฟล (Donald Rumsfeld) รฐมนตรกระทรวงกลาโหมสหรฐฯ และเปนเอกสารทเปดเผย (Declassifi ed) ในเดอนมกราคม 2006 ซงเปนการขยายผลจากหลกการทเกยวของกบ สงครามสารสนเทศ (Information Warfare) ในมมมองของกองทพสหรฐฯ
โดยหลกการแลว “IO” มความเกยวพนธกบหลกการการปฏบตการดานการขาวทางทหาร ซงเปนแนวคดจากการบรณาการสงครามการควบคมบงคบบญชา (Command and Control Warfare) และสงครามสารสนเทศ (Information Warfare) ของกองทพสหรฐฯ โดยการนำเอาบทเรยนจากการรบกบอรกในสงครามอาว (Gulf Wars) หรอทนยมเรยกกนวา “CNN Eff ect” มาเปนกรอบแนวคดในการพฒนา อาจกลาวไดวา
“การปฏบตการสารสนเทศ” คอ การสนธการปฏบตตางๆ เพอทำใหมอทธพล ทำลาย ลดประสทธภาพ ในการตดสนใจและการปฏบตการของฝายตรงขาม รวมทงดำเนนการปองกนการกระทำของฝายตรงขามตอฝายเราในลกษณะเดยวกน
การปฏบตตางๆ ทใชในการปฏบตการขาวสาร (IOs) ซงอาจเรยกวา “ขดความสามารถ” นน ไดถกแบงออกเปน 3 กลมคอ
การปฏบตหลก หรอขดความสามารถหลก (Core Capabilities)1. การปฏบตสนบสนน หรอขดความสามารถสนบสนน 2. (Supporting Capabilities) และ การปฏบตทเกยวของ หรอขดความสามารถทเกยวของ3. (Related Capabilities)
¡Òû ԺѵÔËÅÑ¡: ËÑÇã¨ËÅÑ¡¢Í§ IO
สวนทเปนหวใจหลกของ “IO” ทเปนการปฏบตหลก หรอ ขดความสามารถหลก (Core Capabilities) ประกอบดวยการปฏบต 5 ประการ ไดแก
การปฏบตการจตวทยา (Psychological Operations หรอ 1. “PSYOP”) การลวงทางทหาร (Military Deception หรอ “MILDEC”) 2. การรกษาความปลอดภยในการปฏบตการ (Operations Secu-3. rity หรอ “OPSEC”) การสงครามอเลกทรอนกส (Electronic Warfare: EW) และ 4. การปฏบตการเครอขายคอมพวเตอร (Computer Network 5. Operations: CNO)
โดยเมอเราไดใชการปฏบตหลกทง 5 ประการน รวมกบการปฏบตสนบสนน (Supporting Capabilities) และการปฏบตทเกยวของ (RelatedCapabilities) แลว จะกลายเปนเครองมอหลกในการสรางอทธพลตอบคคล หรอกลมบคคลเปาหมาย (Target Audiences) โดยจะสรางอทธพลผลในแงความคด ความเชอ และการตดสนใจของฝายตรงขามใหเปนไปตามทฝายเราตองการ
ปรญญา หอมเอนก | [email protected]
CGEIT, CISSP, SSCP, CISA, CISM, SANS GIAC GCFW, Security+, ITIL Foundation V3
OPENING
6
รปท 1 Information Operations Core Capabilities
“การปฏบตการสารสนเทศ” (Information Operation) เพยงลำพงไมสามารถเอาชนะฝายตรงขามได แตตองสนธอยางประสานสอดคลอง และกลมกลนเขากบการปฏบตการดานอนๆ เชน การทำลายทางกายภาพ (Physical Destruction) การตอตานการโฆษณาชวนเชอ (Counter-Propaganda) การรกษาความมนคงปลอดภยสารสนเทศ (Information Assurance) การตอตานขาวกรอง (Counter-Intelligence) การตอตานการลวง (Counter Deception) ฯลฯ
รปท 2 CNO Components
ในสวนของการปฏบตการทางดานเครอขายคอมพวเตอร (Computer Network Operations หรอ “CNO”) จะประกอบดวย 3 สวนหลกๆ (ดรปท 2) ไดแก
การโจมตเครอขายคอมพวเตอรเพอทำลายระบบเครอขาย1. ของฝายตรงขามใหลมหรอใชงานไมได (Computer Network Attack หรอ “CNA”) การปองกนการโจมตเครอขายคอมพวเตอรจากฝายตรงขาม 2. (Computer Network Defense หรอ “CND”) การเจาะแอบเอาขอมลจากเครอขายคอมพวเตอรของฝาย3. ตรงขาม (Computer Network Exploitation หรอ “CNE”)
¡Òû ԺѵÔʹѺʹع ËÃ×Í¢Õ ¤ÇÒÁÊÒÁÒö㹡ÒÃʹѺʹع(IO Supporting Capabilities)
หวใจหลกของการปฏบตการสนบสนน ไดแก Information Assurance (IA), Physical Security, Physical Attack, CI และ COMCAM ซงมรายละเอยดดงน
Information Assurance (IA) มวตถประสงคในการปองกน (Protect) และปกปองคมครอง (Defend)
สารสนเทศ (Information) และระบบสารสนเทศ (Information System) ของฝายเราใหปลอดภย เพอใหแนใจไดวาเราสามารถ รกษาคณสมบตทง 3 ประการ ดานความมนคงปลอดภยสารสนเทศ ไดแก การรกษาความลบ (Confi dentially), การรกษาความถกตองสมบรณ (Integrity) และการรกษาความพรอมใชของสารสนเทศเมอตองการเขาถง (Availability) รวมทงการพสจนตวตน (Authentication) และการหามปฏเสธความรบผดชอบในการทำธรกรรม (Non-Repudiation) ซงจะเหนไดวา “IA” ไมไดครอบคลมเฉพาะ “CIA” แตยงครอบคลมถง Authentication และ Non-Repudiation อกดวย
โดย IA ใชหลกการ Defense-In-Depth หรอ Multi-Layer Defense ในการปองกนทงดานบคลากร (People) ดานกระบวนการการปฏบตการ (Process) และดานเทคโนโลย (Technology) ในการเขาถงสารสนเทศ จำเปนตองมระบบควบคมปองกนการเขาถงทด (Access Control)
การปฏบตการสารสนเทศ (IO) จำเปนตองม IA เปนตวชวยเสรมซงกน อยางหลกเลยงไมได จงจำเปนตองมองใหครบทงสองดานทง IA และ IO
Physical Securityการรกษาความปลอดภยทางกายภาพเปนเรองสำคญทจำเปนในการ
ปองกนการโจมตบคลากรและทรพยสนของฝายเรา และเปนการปองกนการเขาถงอปกรณและเอกสารตางๆ ของฝายเราเพอใหรอดพนจากการ จารกรรม, การขโมย และการทำลายลาง การปองกนดานกายภาพจะเนนไปทการปองกนทศนยคอมพวเตอร (Physical Facilities) การปองกนอาคารสถานทตางๆ โดยจะไมอนญาตใหผทไมมสวนเกยวของเขามาในบรเวณททางฝายเราไดจำกดการเขาถงในทางกายภาพ
Physical Attack (Physical Destruction) เนนไปทการทำลายลางเปาหมายเชงกายภาพของฝายตรงขาม
เพอไมใหสามารถบญชาการรบไดอยางมประสทธภาพ การทำลายและโจมตเปาหมายทางกายภาพนนสามารถปฏบตการรวมกนกบ “PSYOP” หรอ “การปฏบตการจตวทยา” ไดเพอใหบรรลเปาหมายในการโจมต ใหมประสทธภาพมากขน
Counter Intelligence (CI)“การตอตานขาวกรอง” เปนการรวบรวมขอมลขาวสารเพอปองกน
การจารกรรมขอมลและสารสนเทศของฝายเราจากแฮกเกอรของฝายตรงขาม ในปจจบนรฐบาลหลายประเทศ ไดวาจางแฮกเกอรในประเทศของตนอยางเปนเรองเปนราว เปนหนวยรบใตดนทมวตถประสงคในการเจาะระบบของรฐบาลในประเทศฝายตรงขาม โดย CI สามารถปฏบตการรวมกบ “OPSEC” ไดอยางกลมกลน และจำเปนตองใช CNO “Computer Net-work Operation” ในการปองกนระบบสารสนเทศของฝายเราและโจมตฝายตรงขามในขณะเดยวกน
7
รปท 3
Public Aff airs (PA)เปนการประชาสมพนธทงในประเทศ และตางประเทศ เพอใหเกด
ความรสกทดตอภาพลกษณของฝายเรา ตามหลกการ “Principle of Public Information” ดรปท 4
Civil Military Operations (CMO)
เปนการทำงานรวมกนระหวางทหารและพลเรอนสามารถทำไดในชวงเวลาสงบทไมมสงคราม (Peace) ทงกอน และหลงสงคราม (ดรปท 5) เปนการสนบสนนทง PSYOP, CNO และ CI เพอสรางความเชอมน ปรองดองสมานฉนท พงพาอาศยกน เพอใหมเอกภาพในการอยรวมกน และสรางแนวคดใหสนบสนนการปฏบตการสารสนเทศในระยะยาว
รปท 4 Principle of Public Information
รปท 5 Big Picture of IO
Combat Camera (COMCAM)กลองถายภาพการรบเปนสวนสนบสนนทมความสำคญในการปฏบต
การสารสนเทศเชนกนกลาวคอ ภาพถายจากกลองสามารถนำไปสนบสนนการทำ “PSYOP” และ “MILDEC” ไดดวย เพราะถาหากถกฝายตรงขามเจาะขอมลภาพถายกจะตกเปนฝายเสยเปรยบทนท
¡Òû ԺѵԷÕà¡ÕÂÇ¢ŒÍ§ ËÃ×Í¢Õ´¤ÇÒÁÊÒÁÒö·Õà¡ÕÂÇ¢ŒÍ§ (IO Related Capabilities)
การปฏบตทเกยวของ ประกอบไปดวย 3 เรอง ไดแกPA (Public Aff air) การประชาสมพนธ 1. CMO (Civil Military Operation) การปฏบตการรวมกนระหวาง2. ทหารและพลเรอนDSPD (Defense Support to Public Diplomacy) กลาโหม3. สนบสนนตอการทตสาธารณะ
DSPD (Defense Support to Public Diplomacy)เปนการสนบสนนในการทำ “PSYOP” ตอรฐบาลในประเทศตางๆ
ทางดานการทต โดยทางกระทรวงกลาโหม ตองปฏบตการรวมกบกระทรวงการตางประเทศ เพอเสรมสราง ภาพลกษณทดและการไดรบการสนบสนนจากนานาประเทศ .
8
จากตวอยางสงครามระหวางอรก และสหรฐอเมรกา รวมถงปรากฎการณ “CNN eff ect” จะเหนไดวา การใชสอมความสำคญเทยบเทาการใชอาวธในการโจมตฝายตรงขาม โดยอาจกลาวไดวา “การปฏบตการขาวสารเปนอาวธรายทเราไมควรมองขาม” และขาวสารเปรยบเสมอนกระสนทพงออกจากปนของสอเขาไปเจาะทะลวงจตใจ และความคดของผรบขาวสารนนๆ ยอมมผลกระทบตอกระบวนการในการตดสนใจของผรบขาวสาร เพอใหเปนไปตามความตองการทแอบแฝงของแตละฝาย
ทง นปช. และ ศอฉ. ลวนใช “IO” ในการโจมตฝายตรงขามเพอใหมวลชนคลอยตามฝงของตน ตามหลกการ “IO” ทางรฐบาลเนนวามผกอการรายอยในกลมผชมนม และออกมาสงหารทหาร เมอวนท 10 เมษายน 2553 ขณะเดยวกน นปช. กกลาววาทหารฆาประชาชน เชน ปญหาผเสยชวตในวดปทมวนารามทสอนำรปทหารยงปนหนไปทางวดมาขนปกนตยสารในหลายฉบบ เปนตวอยางของการปฏบตการจตวทยา (PSYOP) ซงเปนสวนหลกของ “IO”
ในสวนของการลวงทางทหาร (MILDEC) ยกตวอยาง เรองการปลอยขาวบนเวท นปช. วาจะปดถนนสลมในวนรงขน ทางฝายรฐบาลกสงทหารเขามาปดบรเวณสลมในทนทททราบขาว ซงสลมเลยกลายเปนบรเวณทถกปดโดยรฐบาลไมใชฝาย นปช. และการทฝาย นปช. สามารถเคลอนกำลงเขายดแยกราชประสงคอยางทรฐไมทนตงตวนน ถอไดวาเปนปฏบตการทสามารถรกษาความปลอดภยของฝงตนไวไดเขากรณของ “OPSEC” ซงการรกษาความปลอดภยในการปฏบตการนนเปนเรองทสำคญเพอไมใหขาวรวกอนการปฏบตการ ซงในชวงหลง ศอฉ. กมความรดกมในการปฎบตการมากขน
สำหรบตวอยางของสงครามอเลกโทรนคส (EW) กคอ การปดสญญาณดาวเทยมของ People Channel ไมใหสามารถถายทอดผานดาวเทยมได แตกยงมหลดลอดผานวทยชมชน และผานทางสถานสงคลนความถตำในบรเวณกรงเทพมหานคร เพอการถายทอดสดจากเวทของ นปช. ทแยกราชประสงค
สงครามขาวสารทรฐบาลตองกลบมาทบทวนผลการปฏบตงาน กคอ “การปฏบตการของระบบเครอขายคอมพวเตอร” หรอ “CNO” ซงเปนสงครามไซเบอร หรอ สงครามบนระบบเครอขายอนเทอรเนตอยางเตมรปแบบ ซงทาง นปช. ถอวาทำไดสำเรจผลในระดบหนง มการใชเทคโนโลยใหมๆ ทางอนเทอรเนตอยางเตมรปแบบ เชน Media Streaming (Flash Media Server), Cloud Computing ของ Google และ Microsoft (Google Appspot/App Engine และ Microsoft Horizon) รวมทงการถายทอดสดผานทาง Peer-To-Peer Broadcasting Software จะเหนวาการปดกนเวบไซตของกระทรวง ICT นนไดผลเพยงระดบหนงไมสามารถปดกนขาวสารของทาง นปช. ไดทงหมด 100%
จากองคความรดงกลาวจะเหนวา “สงความสารสนเทศ” โดยการใชหลก “การปฏบตการสารสนเทศ” นน เปนเรองทมความสำคญตอความมนคงของชาตในระดบทนายกรฐมนตร และรฐมนตรทเกยวของควรตองใหความสำคญและจดตงหนวยงานดาน “National Cyber Security” ขนอยางเปนทางการเพอการกำหนดยทธศาสตร นโยบายและกจกรรมตางๆ ทเกยวของกบการรกษาไวซงความมงคงของชาตในยคทสมรภมรบไมไดอยเฉพาะบนบก, ในนำ หรอบนอากาศอกตอไป แตสมรภมรบนนอยใน “cyberspace” หรอ “Cyber Domain” ทผนำแตละประเทศจะมองขามเรองนไมไดเปนอนขาด มเชนนน จะสงผลกระทบตอความมนคงของชาตในระยะยาวอยางหลกเลยงไมได
“IO” เปนศาสตรและศลป (Art and Science) ทจำเปนตองศกษา และเรยนรอยางเปนระบบตามหลกวชาการ เพอเปนพนฐานในการพฒนา “Nation Cyber Security” ของประเทศไทยในอนาคต .
¡Ã³ÕÈÖ¡ÉÒ ¹»ª. áÅÐ ÈÍ©.ã¹àÃ×ͧ Information Operations (IO)
« ผเขยนมความเปนกลาง และไมตองการโจมตใคร ทง นปช. และ ศอฉ. มวตถประสงคตองการเพอใหเปนตวอยางในการทำความเขาใจเรอง IO เทานน
DRC (Disaster Recovery Center) ตวชวยยามฉกเฉนของทกกจกรรมขององคกรเพอบรหารความเสยงทอาจเกดขนไดโดยทเราไมคาดคด และมบททดสอบทเกดขนจรงกบเหตการณยานธรกจจนทำให DRC เขามาเปนตวชวยกบหลายๆ องคกร โดยมบทบาทหนาทในการเปนสำนกงานสำรอง หรอศนยสำรองขอมล เพอใหดำเนนธรกจไดอยางตอเนอง จนทำใหเปนกระแสยอดฮตขนมาในชวงไมกเดอนทผานมา ซงเราจะเหนไดจากหลายองคกร เรมหาสำนกงานสำรองไวตามชานเมอง หรอลงระบบ Backup Site ไวสำรองขอมลเพมขน จนทำใหเราตองหนมาใหความสนใจวา DRC มประโยชนอยางไร, DRC ควรประกอบดวยอะไรบาง และถาจะเรมตองคำนงถงอะไรกนบาง โดยเบองตนนน DRC จะตองพรอมรองรบในการโอน และถายขอมลจากศนยแรกทลมหรอเกดการเสยหายไดทนท ในกรณทบคคลากรตองการเขามาปฏบตงานกตองพรอมซงสงอำนวยความสะดวกใหสามารถปฎบตงานได ประโยชนทเหนไดชดทสดกเพอใหธรกจสามารถดำเนนตอไปไดตามปกตและสงผลกระทบนอยมากทสดเทาทจะทำได
ซงเรา ซเอส ลอกซอนโฟ ผใหบรการ Internet Data Center ไดเปดใหบรการ Disaster Recovery Center (บรการใหเชาพนทสำรองเพอเชอมตอโครงขายอนเทอรเนตภายในศนยอนเทอรเนต ดาตา เซนเตอร) ใหบรการพนทสำนกงานสำรอง พรอมดวยสงอำนวยความสะดวกตางๆ เหมาะสำหรบลกคาทไมประสงคจะ Implement ออฟฟศสำรองขนเปนของตนเอง เนองจากตองลงทนสง และการใชงานสำนกงานสำรองไมบอยนก โดยบรษทจะจดเตรยมพนท รวมถงสงอำนวยความสะดวก เพอพรอมใหใชบรการ อาท อปกรณ โตะ เกาอสำนกงาน ระบบปรบอากาศ รวมระบบกลองวงจรปด พรอมผเชยวชาญคอยใหคำปรกษาแนะนำ เตรยมพรอม 24 x 7 ใหกบลกคา ทงกรณเหตการณปกต หรอเมอมเหต Disaster ขน โดยเราจะนำเครองและอปกรณทเตรยมพรอมไว ไปตดตงให ณ หองทลกคาไดทำการสำรองไว พรอมการเชอมตออปกรณผานเครอขายอนเทอรเนตความเรวสงทมความเสถยรภาพใหกบลกคา จนถงขนตอนทดสอบการทำงาน โดยมผเชยวชาญคอยตรวจสอบระบบ ชวยเหลอ และใหการดแลอยางใกลชดเพอรองรบการใชงานทเหมาะสมตามทลกคาตองการดวยบรการทดเยยม ภายใตมาตรฐานของผใหบรการอนเทอร-เนตคณภาพชนนำของประเทศ
ตดตอสอบถามขอมลเพมเตมไดทศนยบรการ Internet Data Center โทร 0-2622-5678 ตอ 3353, 3354 ตลอด 24 ชวโมง เวบไซต www.csloxinfo.com
Disaster Recovery Center
9
TECHCONNER
อนนต โซน | [email protected]
CISA, IRCA: ISMS, ITSMS, BCMS, ITIL-F V3
หากจะใหอธบายสนๆ เกยวกบความหมายของ Social Engineering เปนภาษาไทย ผเขยนขอนยาม วาเปนภยจากการตมตน การหลอกลวง หรอการอำจากเหลามจฉาชพ ภยจาก Social Engineering มทงการหลอกลวงทเหลามจฉาชพไมจำเปนตองใชคอมพวเตอร หรอเครองมอไฮเทคใดๆ จะใชเพยงแตการพดคยหรอการโทรศพทเทานน และการหลอกลวงทอาศยเครองคอมพวเตอรและเครองมอไฮเทคตางๆ เขามารวมดวย
ชวงป 2009 ทผานมา ภยจาก Social Engineering ในประเทศไทย มกเปนลกษณะของการตมตนเพอลอลวงเงนจากเหยอทรเทาไมถงการณ ซงเหตการณทพบเปนประจำ เชน การหลอกลวงวาเปนเจาหนาทของกรมสรรพากร และลอลวงเหยอวาหากตองการไดเงนภาษคนใหไปทตเอทเอม และกดตามคำแนะนำของเจาหนาท ซงแทนทจะไดเงนภาษคนกลบกลายเปนวาเหยอไดโอนเงนกลบไปใหเหลามจฉาชพ อกกรณหนงทพบไดบอยไมแพกน คอ การหลอกลวงวาเปนเจาหนาทจากบรษทบตรเครดต ซงโทรมาหา และสอบถามวาเหยอไดนำบตรเครดตไปใชตามสถานทตางๆหรอไม เมอเหยอไดยนขอมลดงกลาวกมกจะหลงเชอ คดวาบตรถกขโมย หรอถกปลอมแปลงและนำไปใชยงสถานทตางๆ จากนนเหลามจฉาชพกจะอางวาหากลกคาตองการระงบการใชบตรจะตองดำเนนการตามคำแนะนำของเจาหนาท ซงเหลามจฉาชพกจะใชโอกาสดงกลาวในการหลอกลอเพอขอขอมลสวนตว หรอหลอกลอใหเหยอโอนเงนกลบมาใหเหลามจฉาชพ
เมอพดถงภยจาก Social Engineering ของประเทศไทยในป 2010 พบวา ยงคงมภยในลกษณะเดยวกนกบทพบในปทผานมา ไมวาจะเปนการแอบอางวาเปนเจาหนาทของกรมสรรพากร หรอเปนเจาหนาทของบรษทบตรเครดต แตในป 2010 เหลามจฉาชพจะหลอกลอเหยอดวยวธการ
ทแนบเนยนยงขน รวมถงการนำเครองมอตางๆ เขามารวมดวย เชน การนำระบบ Interactive Voice Response (IVR) หรอระบบตอบรบอตโนมตเขามาใช เชน กรณของการแอบอางจากบรษทบตรเครดต เมอเหยอรบสายจากเหลามจฉาชพกจะพบกบเสยงตอบรบอตโนมต ในลกษณะวาบตรเครดตของเหยอถกนำไปใชยงสถานทตางๆ หากตองการระงบโปรดกดหมายเลข xxx เพอตดตอเจาหนาท ซงระหวางนนเหยอกจะตองรอสายชวงเวลาหนง เหมอนกบการโทรไปยงบรษทบตรเครดตจรงๆ จากนนเจาหนาทจะลอลวงดวยการเลาเหตการณวาบตรเครดตถกนำไปใชยงสถานทตางๆ และอางวาบรษทบตรเครดตไดประสานงานกบเจาหนาทฝายสบสวนของสำนกงานตำรวจแหงชาต ซงเจาหนาทจากสำนกงานตำรวจแหงชาตจะเปนผโทรหาเหยอดวยตวเอง และเมอเจาหนาทฝายสบสวนโทรมากจะหลอกลอเหยอเพอสอบถามเกยวกบขอมลสวนตวเชน หมายเลขบตรประชาชน, หมายเลขบตรเครดต, หมายเลขบญช และทอย เปนตน เพอนำขอมลดงกลาวไปใชหาผลประโยชนตอไป
กรณของการแอบอางจากกรมสรรพากรในประเทศไทยอาจจะยงไมมอะไรทแปลกใหมนก แตในตางประเทศจะมลกษณะของการสงอเมลแอบอางวามาจากกรมสรรพากรของประเทศนนๆ เพอหลอกลอใหเหยอกรอกขอมลสวนตวทสำคญเพอนำไปใชหาผลประโยชนตอไป ซงอาจมความเปนไปไดทประเทศไทยจะมภยลกษณะดงกลาวในเรวๆ น
นอกจากการลอลวงในลกษณะดงกลาวแลว ปจจบนเหลามจฉาชพยงมการใชเครอขายสงคมออนไลน เชน Hi5 หรอ Facebook เปนชองทางในการลอลวง เชน การสรางขอมลปลอมในเครอขายสงคมออนไลน และแอบอางวาเปนบคคลทมชอเสยงในสงคม เพอหาผลประโยชนจากการแอบอางดงกลาว หรอเมอผใชงานเครอขายสงคมออนไลนไมรเทาทนภยอนตรายจากการใชงานเครอขายสงคมออนไลน โดยอาจใสขอมลสวนตวตางๆ ไวมากเกนความจำเปน ซงเหลามจฉาชพจะใชขอมลดงกลาวในการหาผลประโยชนตางๆ
ภยจาก Social Engineering จะยงเกดขนตอไป ดงนน วธปองกนทดทสด คอ ตองเปนคนชางสงเกตและหมนตดตามขาวสาร เพอทจะรเทาทนเหลามจฉาชพ และหากตองการศกษารายละเอยดเพมเตมเกยวกบ Social Engineering และภยจากเครอขายสงคมออนไลนสามารถศกษาไดจากหนงสอ “360° IT Security เรองทคนไอทตองร” หรอเขารวมงานสมมนา Social Networking Conference 2010 เพอศกษาภยตางๆ ทพบในเครอขายสงคมออนไลน รวมถงวธการใชงานอยางปลอดภย .
Social Engineering
»‚ 2010
ายสนๆ เกยวกบความหมายของ Social Engineering ยนขอนยาม วาเปนภยจากการตมตน การหลอกลวง
ทแนบการนำร
ÀÑÂÃǺá¡�§äµŒËÇѹ ¢ºÇ¹¡ÒÃËÅÍ¡¤×¹à§Ô¹ÀÒÉÕ!
µÃ. à¼ÂÁÕ¨¹·.ÊÃþҡÃÃÙŒàËç¹
10
¹Õ¤×Í Thumb Drive ¨Ð·ÓÅÒµÑÇàͧ㹠10 ÇÔ¹Ò·Õ ...
รหสผานสามารถ Hacked ไดแตสำหรบ IronKey ไดรบการพฒนาขนมาเพอตานทานการโจมตทง Physical และหากปอนรหสผานไมถกตอง 10 ครง ชปตวการทำลายซงเตมไปดวยอพอกซจะทำลายเนอหาของแฟลชไดรฟทงหมด
โปรแกรมของ IronKey ชวยเกบรกษาขอมลสวนบคคลของคณปลอดภย เชน การจดการรหสผานโดยรหสผานของคณจะไดรบการจดเกบไวอยางปลอดภยในพนทฮารดแวรเขารหสลบทซอนไวภายในเครอง (และไมอยในระบบไฟลของไดรฟ) ซงนบเปนครงแรกทเขารหสกบ AES 256-bit โดยใชคยการสมจบเขารหสดวย SHA-256
Thumb Drive เหลานอาจเหนไดท อฟกานสถาน, เพอรกษาความลบทางการทหารใหปลอดภย และแนนอน ถาคณอยากปกปดความลบ ขอมลทสำคญ IronKey อาจเปน Thumb Drive ทคณตองการกได !!! | https://www.ironkey.com
GADGETS
[email protected] | ชาครต ปยะวานชCompTIA Security+
โปโด
โด
แนวนอน (ACROSS)5 Bar Code แบบสองมต 6 การทดสอบเจาะเขาสระบบโดยไมทราบขอมลของระบบ 7 เครองมอในการคนหา (Seach Operator) ชนดหนงของ Google ใชในการคนหาขอความใน URL 9 ISO/IEC 2700111 เครองมอปองกบการ Skimming ตดตงทต ATM 12 กลลวงเพอใหไดมาซง Username และ Password ซงมกใชหนา Login Page ปลอมเปนสอ 15 เครอขายสงคมซงเปนทนยมอนดบหนงในปจจบน 16 ชอไฟลทจะทำให Thumb Drive ปฏบตงานตามคำสงทนททเชอมตอเขากบคอมพวเตอร 17 การเรยงปมตวอกษรบนโทรศพทเคลอนทรนใหมๆ 18 Best Practice เกยวกบ IT Governance
@SECURE ฉบบนเรานำศพท 20 คำซงลวนเปนคำทเกยวของกบ IT หรอ IT Security มาจดเปน Crossword เพอใหทานผอานไดคลายเครยดกน ลองหาดซครบวามคำวาอะไรบาง
แนวตง (DOWN)1 ชองโหวทสำคญ 10 ประการของ Web
Application 2 ขอมลประชาสมพนธ, โฆษณาชวนเชอ 3 Gadget ทแนะนำใน @Secure ฉบบน 4 นตวทยาศาสตร 7 องคประกอบทสำคญของ Information
Security เนนเรองความถกตองขอมล8 ขอความทโพสผาน Twitter มความยาว
ไมเกน 140 ตวอกษร 10 สมมนาของ ACIS ในวนท 21 กรกฏาคม
2553 13 อปกรณในการสำเนาบตรแถบแมเหลก 14 Malware ททำงานแบบแอบซอนไมให
เหนวตถประสงคทแทจรง หรอหลอกใหเขาใจวาเปนโปรแกรมประสงคด
16 ภาพยนตรตางประเทศททำรายไดสงสดในประเทศไทย
QUIZTIME แนวนอน 5-QRCODE 6-BLACKBOX 7-INURL 9-ISMS 11-GREENSLEEVE 12-PHISHING 15-FACEBOOK 16-AUTORUN 17-QW
ERTY 18-COBITแนวตง 1-OW
ASP 2-PROPAGANDA 3-IRONKEY 4-FORENSIC 7-INTEGRITY 8-TWEET 10-SNSCON 13-SKIM
MER 14-TROJAN 16-AVATAR
à©ÅÂ
11
สวสดครบทานผอานทกทาน บทความปฐมบทสำหรบ @SECURE ทผเขยนจะขอนำเสนอนคอเรอง หลกสตรผนำการตรวจสอบลงทะเบยนสากลสำคญหรอไมสำหรบหนวยงานทไมไดมการจดทำระบบบรหารความมนคงปลอดภยสารสนเทศ (IRCA Lead Auditor, Does it mat-ter for non-implemented ISMS) แตกอนทจะกลาวถง หลกสตรผนำการตรวจสอบลงทะเบยนสากล (IRCA Lead Auditor) ผเขยนขอกลาวถงระบบบรหารความมนคงปลอดภยสารสนเทศหรอทรจกกนในภาษาองกฤษวา “ไอเอสเอมเอส” (ISMS) เสยกอน
คำวา “ISMS” นนยอมาจาก “Information Security Management System” ซงหมายถง สวนหนงของระบบบรหารจดการ อนจะจดสราง ดำเนนการ ปฏบตการ ตดตาม ตรวจสอบ บำรงรกษา และปรบปรง ความมนคงปลอดภยสารสนเทศ โดยอยบนพนฐานของวธการคนหาความเสยงเชงธรกจ (Overview and vocabulary, ISO/IEC 27000:2009, P.3) ทงนผเขยนขอกลาวใหเปนภาษาทเขาใจงายขน คอ ISMS นนเปนวธการบรหารจดการความเสยงของธรกจ แตมขอบเขตอยบนเรองของความมนคงปลอดภยสารสนเทศเปนหลก ซงมาตรฐานสากลหมายเลขอนกรม 27000 นน องคกรทปฏบตตามขอกำหนดจะสามารถขอรบรองจากหนวยงานอสระไดวาองคกรของตนไดปฏบต และเปนไปตามแบบสากล โดยการรบรองนนจะรบรองใหหากปฏบตตามขอกำหนดในมาตรฐานสากล 27001 ทงนเพอใหเกดความเขาใจมากยงขนผเขยนขอนำเสนอสาระสำคญของมาตรฐานสากล 27001 วาจะตองปฏบตอะไรบาง ดงน
ËÅÑ¡Êٵüٌ¹Ó¡ÒõÃǨÊͺŧ·ÐàºÕ¹ÊÒ¡ÅÊÓ¤ÑÞËÃ×ÍäÁ‹ÊÓËÃѺ˹‹Ç§ҹ·ÕäÁ‹ä ŒÁÕ¡Òà Ѵ·ÓÃкººÃÔËÒäÇÒÁÁѹ¤§»ÅÍ´ÀÑÂÊÒÃʹà·È(IRCA Lead Auditor, Does it matter for non-implemented ISMS)
ศภชย ภมรชยศรกจ | [email protected], CISA, IRCA ISMS Lead Auditor
AUDITCONNER
1. กำหนดนโยบาย และขอบเขตในการบรหารความมนคงปลอดภยสารสนเทศ พรอมวธการในการประเมนและบรหารความเสยง
2. ประเมนความเสยง โดยวเคราะหจากปจจยอนประกอบดวย ทรพยสน ภยคกคาม ชองโหว และโอกาสเกดเหตการณ พรอมทงพจารณาวธการควบคมในปจจบน
3. พจารณาแนวทางการตอบสนองตอความเสยง และวธการลดความเสยงโดยใหเปนไปตามเกณฑการยอมรบความเสยงทไดกำหนดไว
4. นำเสนอแนวทาง และระดบความเสยงทคาดหวงวาจะคงเหลอตอฝายบรหารเพอขอสทธในการดำเนนการ และจดทำเอกสารเพอใชในการตรวจรบรอง
5. วางแผนวธการลดความเสยงในเชงรายละเอยด พรอมทงจดสรรทรพยากรใหพอเพยงตอการปฏบต
6. ฝกอบรมผเกยวของเพอใหสามารถปฏบตได พรอมทงกำหนดวธการวดประสทธผลการควบคม
7. กำหนดวธในการตดตามเหตการณดานความมนคงปลอดภย หรอความผดพลาดทเกดขน
8. จดใหมการตรวจสอบระบบบรหารความมนคงปลอดภยภายใน9. วดประสทธผลการดำเนนการ และรายงานผลตอฝายบรหาร
เพอพจารณาปรบปรงและแกไข10. ดำเนนการตดตามผลการแกไขจาก 10 ขนตอนทกลาวมาขางตนนนสามารถแบงไดเปนระยะการปฏบตตามตวแบบ P-D-C-A ซงกคอ ระยะทหนงการวางแผน ระยะทสองการดำเนนการ, ระยะทสามการตรวจสอบ และระยะทสการลงมอปรบปรง
12
ประการทสอง ความรและสาระสำคญของการอบรมการฝกอบรมในหลกสตร IRCA โดยศนยฝกอบรมแตละแหงนนอาจมความแตกตางกนบางในดานรปแบบ เอกสาร แตสงทเหมอนๆ กนกคอ เนอหาสาระ เพราะวาเนอหานของแตละทกอนจะไดการขนชอวาเปน IRCA จะตองผานการตรวจสอบและพจารณาจากทาง IRCA กอนจงไดรบการรบรองและถกตอง ไมงนหากผอบรมรายใดไปอบรมกบหลกสตร Lead Auditor ซงไมไดรบการรบรอง กจะเสยผลประโยชนทควรไดรบนนกคอ สทธในการขอขนทะเบยนเปนผตรวจสอบทไดรบการรบรองความรครบ และโดยหลกๆ แลวในการอบรมจะแบงความรเปนสองสวนคอ
ความรในขอกำหนดภายในมาตรฐานและการแปลความหมาย เชน 1. ขอกำหนดนใหทำอะไร เอกสารอะไรทจำเปนตามขอกำหนด ลกษณะแบบใดถอวาผดไปจากขอกำหนด เปนตน
ความรเบองตนเกยวกบตรวจสอบ เชน การวางแผนการตรวจสอบ 2. การเลอกผตรวจสอบ กจกรรมทผตรวจสอบตองปฏบตเพอใหการตรวจสอบไดคณภาพ เทคนคในการสอสาร เทคนคในการรายงาน เปนตน ซงหากผอบรมคนใดเคยสอบผานการอบรม (การอบรมจะมสอบ) หลกสตร Lead Auditor ของมาตรฐานอนมาแลว เชน ISO 9001, ISO 14000 กจะสามารถขามเนอหาสวนทสองไปได แตสำหรบผทไมเคยเปนผตรวจสอบหรอผานการอบรมมากอนกจะไดรบการอบรมทงสองสวน ซงโดยสวนตวของผเขยนขอบอกวาหลกสตร IRCA ไดรบการออกแบบมาดจรง ทำใหผฝกอบรมไดคดและคนเคยกบการตรวจสอบ เพราะวามการจำลองสถานการณ ผเขาฝกอบรมจะไดเลนบทบาท (Role-play) ทอาจเกดขนไดในการตรวจสอบ
ประการสดทายคอ ผลประโยชนสำหรบผผานการอบรม ในปจจบนงานตรวจสอบ (Audit) ในเชงระบบสารสนเทศและความมนคงปลอดภยเรมเขามบทบาทสง ผเขยนเองกพบวาหลายหนวยงานทรบสมครผตรวจสอบสารสนเทศ (IT Auditor) เรมมการกำหนดคณสมบต ดานความรทเกยวของกบมาตรฐาน ISO 27001 ดวยซงหากผสมครคนใดทมความรดงกลาวกจะไดรบการพจารณาเปนพเศษ ซงหากผสมครมใบประกาศฯจากหนวยงานสากลทเกยวของรบรองวาผานการอบรมความรในเรองการตรวจสอบดงกลาวแลวกคงเปนหลกฐานทยนยนไดดกวาคำพดเปนแนนอน ดงนน การอบรมกอาจเพมผลประโยชนสำหรบบคคลนน
ผเขยนหวงวาขอมลในบทความนคงชวยใหผอานสามารถตดสนใจไดวา หลกสตรผนำการตรวจสอบลงทะเบยนสากลสำคญหรอไมสำหรบหนวยงานทไมไดมการจดทำระบบบรหารความมนคงปลอดภยสารสนเทศ แตโดยสวนตวของผเขยนแลวขอแสดงความคดเหนวา การอบรมการพฒนาความรบคลากรเปนสงทสำคญอนจะทำใหหนวยงานและองคกรกาวหนาไปไดทงน การฝกอบรมและการพฒนาความรกมขอจำกดโดยธรรมชาต คอ ระยะเวลาซงตองใหเวลากบบคลากรในการเรยนรเสยกอน ไมมการอบรมอะไรทสามารถสรางคนไดเสรจสมบรณดวยระยะเวลาเพยง 3-5 วน ดงนน หากหนวยงานคดวาตองการพฒนาบคลากรใหมความรและความสามารถ หนวยงานกจำเปนทจะตองวางแผนและสงบคลากรมาอบรมแตกอนระยะเวลาทคาดวาตองการใชงาน มเชนนนสงทหนวยงานจะไดกลบไปกคอ บคลากรทยงไมพรอมใชงาน .
ผอานคงจะเรมเหนวาจรงแลวขอกำหนดของมาตรฐานกมความสลบซบซอนพอสมควร และคงเหนพองตองกนวาถาหนวยงานตองการขอรบรองมาตรฐานสากลแลว ความรเกยวกบการตรวจสอบตามมาตรฐานสากลนกคงจะปฏเสธไมได ผทจะเปนผตรวจสอบระบบบรหารความมนคงปลอดภยสารสนเทศภายในควรทจะตองไดรบการอบรมหลกสตรดงกลาว แตสำหรบในหนวยงานทไมไดตองการขอรบรองมาตรฐานสากล หรอหนวยงานทยงไมไดมการบรหารความมนคงปลอดภยสารสนเทศแลวควรจะตองมการจดสงบคลากรไปอบรมหรอไม ผเขยนไมขอเปนผใหคำตอบเอง แตจะขอนำเสนอขอมลดงตอไปนเพอใหผอานไดพจารณาและตอบคำถามดงกลาวดวยตวผอานเอง
ประการทหนง แนวโนมการเตบโตและความนยมขอมล ณ วนท 15 พฤษภาคม 2551 ประเทศไทยมรายชอหนวยงานทลงทะเบยนผานการรบรองมาตรฐานสากล ISO 27001 จำนวน 8 หนวยงาน และขอมล ณ วนท 29 พฤษภาคม 2553 ประเทศไทยมรายชอเพมขนเปน 34 หนวยงาน (ขอมลจากเวบไซต http://www.iso27001certifi cates.com) ทงนรายชอหนวยงานดงกลาวเปนหนวยงานทผานการรบรองและยอมใหมการลงเบยนขอมลเพอเปดเผยชอ ซงไมนบหนวยงานทผานแตไมเปดเผยรายชอ ถงตรงนผเขยนคดวาผอานคงจะเหนถงแนวโนมกระแสความนยมจนทำใหเกดการขยายตว และอาจจะตองกลบมาคดวาในหนวยงานของตนเองทอาจจะยงไมไดดำเนนการนนมแนวโนมเปนอยางไร หากมแนวโนมทอาจจะตองปฏบต การจดเตรยมบคลากรใหพรอมกถอเปนพนธกจหนงทจะตองรบดำเนนการ เพราะใชวาสงคนไปอบรมแลวจะสามารถกลบมาปฏบตงานไดในทนท การเรยนรสงเหลานตองใชเวลา
13
¤ÇÒÁÊÑÁ¾Ñ¹ �ÃÐËÇ‹Ò§ “Risk Analysis”“Risk Assessment” áÅÐ “Risk Management”
การบรหารความเสยง (Risk Management) เปนกระบวนการหลกในการบรหารจดการในหลายๆ ดาน เชน Corporate Governance, IT Gov-ernance, IS Governance ตลอดจน Information Security Management System เปนตน และในกระบวนการบรหารความเสยงกประกอบไปดวยกจกรรมตางๆ อกหลายกจกรรม ไดแก การประเมนความเสยง (Risk Assessment), การวเคราะหความเสยง (Risk Analysis) ซงหลายคนอาจยงสบสนและสงสยในความสมพนธของกจกรรมเหลาน
ในบทความฉบบน เราจะมาทำความเขาใจถงความสมพนธระหวางการวเคราะหความเสยง (Risk Analysis), การประเมนความเสยง (Risk Assessment) และการบรหารความเสยง (Risk Management) รวมทงตวอยางกรอบการดำเนนงาน (Framework) สำหรบการประเมนความเสยงและการวเคราะหความเสยงทนาสนในกนครบ
¡ÒûÃÐàÁÔ¹¤ÇÒÁàÊÕ§การประเมนความเสยง คอ กระบวนการในการวเคราะหภยคกคาม
และชองโหวหรอจดออนตางๆ ทอาจเกดขนไดกบทรพยสนสารสนเทศขององคกร เพอหาความเสยงในการถกเปดเผยขอมลหรอถกโจมต ผลลพธทไดจากวเคราะหน สามารถนำไปใชสำหรบกำหนดมาตรการควบคมทเหมาะสมและคมคาในการลงทน (Cost-Eff ective) เพอลดความเสยงทไดจากการประเมน
คำถามโดยทวไปสำหรบการประเมนความเสยง ไดแก:ปญหาคออะไร?1. มนมความสำคญอยางไร?2. อะไรจะเกดขนหากเราละเลยปญหาน?3.
¡ÒÃÇÔà¤ÃÒÐË�¤ÇÒÁàÊÕ§การวเคราะหความเสยง คอ กระบวนการในการรวบรวมชองโหว
และภยคกคามทไดจากการเกบรวบรวมขอมลจากการประเมนความเสยง เพอหาความเสยงทงในดานความถ และปรมาณความเสยง โดยในการวเคราะหอาจประกอบดวยการคำนวณทางสถต เชน Value at Risk (VAR), Annual Loss Expectancy (ALE) หรอ Return on Security Investment (ROSI)
คำถามสำหรบวเคราะหความเสยงโดยทวไป ไดแก:สาเหตของปญหาคออะไร?1. มนกระทบกบอะไรบาง?2. คาใชจายสำหรบปญหามคาเทาไหร?3. ใครมหนาทในการแกไขปญหาน?4. การแกไขปญหาคมคาสำหรบการลงทนหรอไม?5.
ประสาทพร นลกำแหง | [email protected], CISSP, IRCA ISMS Lead Auditor
จากรปท 1 เปนการแสดงเฟรมเวรคของการประเมนความเสยง ขนตอนแรกจะเรมจากการระบตวทรพยสนสารสนเทศขององคกร และการประเมนคณคาของทรพยสน ซงเปนการประเมนเชงคณภาพ (Quali-tative) คาทไดเปน ตำมาก (Very Low) จนถง สงมาก (Very High) หลงจากนนเปนการประเมนหาชองโหว และภยคกคามททำใหเกดความเสยงตอตวทรพยสน เมอทราบถงระดบความเสยงทไดขนตอนตอไป คอการเลอกตวควบคมเพอลดความเสยงใหอยในระดบทยอมรบได ซงตองพจารณาถงความคมคาในการลงทนของตวควบคมทเลอกดวย (Control Evaluation) ขนตอนตอไปคอการประเมนความเสยงคงเหลอ (Residual Risk) ภายหลงจากการควบคม จากนนวางแผนเพอดำเนนการ (Action Plan) ตามมาตรการควบคมทวางไว
รปท 1 Risk Assessment Frameworkทมา: IT Governance Institute, IT Governance Implementation Guide,2nd Edition
14
รปท 2 กระบวนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ
กระบวนการทกลาวมาทงหมด (Risk Analysis, Risk Assessment) เปนกระบวนการทเกดขนในกระบวนการบรหารความเสยง (Risk Man-agement) จากภาพท 2 เปนการแสดงใหเหนถงความสมพนธทชดเจนระหวางกระบวนการประเมนความเสยง, การวเคราะหความเสยง และ การบรหารความเสยง ตามมาตรฐานของ ISO/IEC 27005:2008 ซงเปนมาตรฐานการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ
จากรปท 2 สรปไดวากระบวนการบรหารความเสยง นนประกอบดวยกระบวนการยอย 2 กระบวนการดวยกน นนคอ การประเมนความเสยง และการวเคราะหความเสยง ซง การวเคราะหความเสยงเปนสวนหนง
ของการประเมนความเสยงนนเอง .
This intensive, 10-day classroom course (4 days + 4 days + 2 days) +
50 hours of self-paced e-learning is designed for students who would
like to fast-track their ITIL Expert Certifi cation. Through a mix of self-
paced study and instructor-led interactive teaching, you can leverage
time to your advantage while working toward the highest level of inter-
nationally recognized certifi cation available in the ITIL domain.
Participants will learn about the principles and core concepts of the
Service Lifecycle approach to IT Service Management at the manage-
ment-level, according to the ITIL v3 Lifecycle approach. This includes
a focus on the management and control elements of the Service Life-
cycle and the processes associated with all Lifecycle modules, includ-
ing Service Strategy (SS), Service Design (SD), Service Transition
(ST), Service Operation (SO), and Continual Service Improvement
(CSI). The Managing Across the Lifecycle capstone course will be
started on completing the fi ve Lifecycle courses and exams.
This training course is delivered through a unique blend of self-paced
and instructor-supported e-learning and high-intensity, fast-paced
classroom delivery. ITpreneurs’ courseware is designed using an en-
gaging, scenario-based approach to learning the core disciplines of
the ITIL best practices in a highly engaging manner.
Audience for the Lifecycle Track:
This course provides guidance towards the implementation of ITSM
in an organization, and the process relationships, roles, and respon-
sibilities. This course is suitable for IT managers, process owners,
ITSM implementation teams, consultants, stakeholders and anyone
else involved in the ITSM project.
Course Prerequisite
Basic IT literacy and around 2 years’ IT experience are highly •
desirable.
ITIL v3 Foundation certifi cation or ITIL v2 Foundation plus ITIL v3 •
Foundation Bridge certifi cations.
Completion of at least 133 hours of personal study by reviewing •
the course syllabi and the associated areas of the
ITIL Service Management practice core guidance, in particular •
the Service Strategy, Service Design, Service Transition,
Service Operation, and Continual Service Improvement publica-•
tions, in preparation for the examinations.
Before starting the Managing Across the Lifecycle component of •
the program all Lifecycle Exams should have been successfully
completed.
Instructor
Abbey L. WiltseITIL Accredited Trainer, ITIL v3 Expert, ITIL Service Manager, ITIL v3 Capability Suite
(PPO, SOA, RCV, OSA), ITIL v3 Lifecycle Suite (SS, SD, ST, SO, CSI), ITIL v3 Man-
agin Across the Lifecycle, ITIL v3 Manager Bridge, ITIL v1 - v3 Foundation, ISO/IEC
20000 Consultant Certifi cation - itSMF
ITIL Expert Program(Lifecycle Track) - English
2-9, 25-26 August 2010 @ ACIS Professional Center
Tuition FeeFor more information:
Ms. Athitiya W.Sobprasong
tel. 0 2650 5771 # 151
fax 0 2650 5776 8,000 US$
(VAT EXCLUDED)
15
คณทราบหรอไมวาพนกงานในองคกรของคณกำลงใช Facebook หรอ • Twitter อยางไมปลอดภย หลายคนเสยทรพยและสญเสยความเปนสวนตว จากการใช Facebook • หรอ Twitter โดยไมระมดระวง ทำไมนโยบายของบรษทชนนำหรอองคกรขนาดใหญ จงอนญาตใหใช • Twitter แตไมอนญาตใหใช Facebook ? มความจำเปนตองใช Facebook หรอ Twitter แตจะใชอยางไรใหปลอดภย• จากภยอนเทอรเนต ปองกนขอมลรวไหล และใชอยางถกกฎหมายดวย วเคราะหประเดนใหเหน • “ประโยชน” และ “โทษ” ของการใช Social Networking และ Social Media ตอบคคลและองคกร ความเหนของผเชยวชาญดานความมนคงปลอดภยระดบโลกสำหรบ• เรองความปลอดภยของการใช Social Networking และ Social Media (ขอมลจากงานสมมนา RSA Conference 2010 สรปโดย อ.ปรญญา หอมเอนก)
มมมองดานความปลอดภยของการใช Social Networking และ Social • Media ในการเสรมภาพลกษณและเทคนคในการปองกนขอมลสวนบคคลรวไหล จากเจาของเวบไซตชอดง Kapook.com รเทาทนภยคกคามบนสงคมออนไลนผานตวอยางทนาสะพรงกลวพรอม• วธปองกนตนเองและองคกร โดยผเชยวชาญจาก ACIS Professional Center 10 สตรสำเรจ “Do and Don’t”• ในการใช Social Networking และ Social Media อยางไรจงจะปลอดภยจากภยมดในหลากหลายรปแบบ ในระดบบคคลและระดบองคกร พเศษ: แจกฟร Best Practice: “How to Use Social Networking in a • Secure Manner / ใช Social Network ครงตอไป ปลอดภยหายหวง”
ËÒ¡·‹Ò¹ÂѧäÁ‹á¹‹ã¨Ç‹Ò¨Ð㪌 Facebook ËÃ×Í Twitter ÕËÃ×ÍäÁ‹ ·Ñ§ã¹ÃРѺºØ¤¤Å áÅÐÃРѺͧ¤�¡Ã á¹Ð¹ÓNjҤس¤ÇÃࢌҿ§§Ò¹ÊÑÁÁ¹Ò㹤Ãѧ¹Õà¾×ͪ‹ÇÂ㹡ÒõѴÊÔ¹ã¨
Êͺ¶ÒÁ¢ŒÍÁÙÅ áÅÐÊÓÃͧ·Õ¹Ñ§ä Œ·Õhttp://www.acisonline.net/snscon2010 ËÃ×ͤسÇÃÒ¾§È� / ¤Ø³ÅÑ´´Òâ·Ã: 0 2650 5771 ¡´ 2ÍÕàÁÅ�: [email protected]
JULY 2010
12-16 CISSP The Offi cial CISSP CBK Review Seminar (Accredited
Training by ISC2) (CISSP Certifi cation)
12-16 PEN Professional Vulnerability Assessment and Penetra-
tion Testing Techniques
19-23 ISEC Network System and Internet Security for IT Profes-
sional
19-23 CISM CISM Examination Preparation Program (CISM
Certifi cation)
28-30 GRC Practical GRC and Information Security Governance
Implementation Workshop
28-30 IRM IT and Information Security Risk Management Using
NIST SP800-30, ISO/IEC 27005:2008 and ISACA
Risk IT Framework
AUGUST 2010
2-9, 25-26 ITILE ITIL Expert Program (Lifecycle Track) - English
4-6 ISF Information Security Fundamental for Management
5-6 SSDLC Secure Software Development Life Cycle
9-11 ITILF ITIL V3 Best Practices for IT Service Management
(ITIL Foundation Certifi cation)
19-20,23-25 PMP Project Management Professional (PMP Certifi cation)
25-27 NFA Network Forensic Analysis Workshop
26-27 ITCF Introduction to IT and Information Security Manage-
ment International Standards, Best Practices and
Frameworks
SEPTEMBER 2010
2-3 MIT Information Technology Essentials for Management
6-10 ISMS ISO/IEC 27001:2005 (ISMS) Lead Auditor (Accredited
Training by IRCA) (ISMS Certifi cation)
13-17 NAT Network Security Management, Monitoring and
Troubleshooting Workshop
13-17 CSSLP The Offi cial CSSLP CBK Review Seminar (Accredited
Training by ISC2) (CSSLP Certifi cation)
20-22 BCP Practical Business Continuity Management System
(BCMS), Business Impact Analysis (BIA), Business
Continuity Planning (BCP) and Disaster Recovery
Planning (DRP)
23-24 FRD Corporate Fraud Prevention and Detection
27-29 ACOBIT IT Assurance using CobiT 4.1 and IT Assurance
Framework (ITAF)
27-30, 1 CISA CISA Examination Preparation Program (CISA
Certifi cation)
� Public Training
“Public Training” สำหรบ @SECURE ฉบบปฐมฤกษนขอถอโอกาสแนะนำบางสวนของหลกสตรการฝกอบรมดานการรกษาความปลอดภยสารสนเทศทนาสนใจ ซงหลายหลกสตรไดรบการรบรองมาตรฐานการฝกอบรมในระดบสากล (Offi cial Training Course) โดยมกำหนดการจดการฝกอบรมระหวางเดอนกรกฎาคม - กนยายน 2553
Êͺ¶ÒÁ¢ŒÍÁÙÅ áÅÐÊÓÃͧ·Õ¹Ñ§ä Œ·Õhttp://www.acisonline.net/training ËÃ×ͤسͷԵÔÂÒ / ¤Ø³ÊÔÃÔÇÃóâ·Ã: 0 2650 5771 ¡´ 3ÍÕàÁÅ�: [email protected]
ทงหมดขางตน เปนเพยงตวอยางบางสวนของหลกสตรการฝกอบรมท “Public Training” ใครขอนำเสนอเปนขอมลทางเลอกไวใน @SECURE
ฉบบปฐมฤกษน และหากทานมความสนใจในรายละเอยดของหลกสตร หรอแนวทางการฝกอบรม กรณาตดตอสอบถามไดจากเจาหนาทซงปรากฎขอมลการตดตอทางดานลาง ... เจาหนาทของเรายนดใหบรการทกทานอยางเตมท
16
LIFESTYLE
¡Ô¹ä»-à·ÕÂÇä»รานชมววซฟด
12.815107, 99.993428 | +12° 48’ 54.39”, +99° 59’ 36.34”
Dolphin Bay Resort:12.241903, 99.984641 | +12° 14’ 30.85”, +99° 59’ 4.71”
http://www.dolphinbayresort.com
หลงจากอมกนแลวกไดเวลาออกเดนทางสจดหมายปลายทางกนท“Dolphin Bay Resort” ใชเวลาเดนทางจากชะอำราวชวโมงนดๆ สาเหตทแนะนำทพกทน กเพราะราคาไมสงมาก บรรยากาศด มสระวายนำอยตรงกลางรสอรท ลอมรอบดวยหองพก ซงมใหเลอกหลายแบบ และทสำคญ คอ ผคนไมคอยพลกพลานนก เหมาะสำหรบผทชนชอบการดมดำกบบรรยากาศ หรอตองการปลกวเวกเปนอยางยง
สำหรบการเดนทางไป Dolphin Bay Resort กไมยาก ใชเสนทาง ถนนเพชรเกษมผานชะอำ ตรงผานหวหนไปทางปราณบร/ประจวบครขนธ ผานหวหนไปอกราว 20 กโลเมตรจะถงแยกทถนนเลยงเมองเชอมตอกบถนนเพชรเกษม ใหขบตรงไป ผานสญญาณไฟจราจรแรกดานหนาคายทหารธนะรตน เมอถงไฟจราจรทสอง ใหเลยวซาย (จะเหนหางเทสโกโลตสกำลงสรางอยตรงหวมม)
สำหรบหองพกทนกมใหเลอกหลายแบบ ครงนผมเลอกพกเปนแบบหองชดสามหองนอน ซงมเฉลยงอยตดกบสระวายนำและสวน นอกจากนทนยงมหองบงกะโลและหองพกชนสอง, หองชดขนาด 1-3 หองนอน รวมทงบานพกขนาด 6 หองนอนไวคอยใหบรการอกดวย อตราคาบรการกตงแต 1,490 - 12,600 บาท/คน แตถามาพกในชวงวนหยดราคาจะเพมขน 300 - 500 บาท แลวแตประเภทของหองพก ซงราคานไมรวมอาหารเชานะครบ แตถาจะทานกจายเพมหวละ 150 บาท สำหรบเบอรตดตอ รสอรท 032- 559-333, 032-559-360
หลงจากเกบของเขาหองพกแลวลางหนาลางตากไดเวลาสบายๆ ตามสายลมและเสยงคลนกนไดแลว ใครอยากทำอะไรตามสบายไดเลย อยากนอนอานหนงสอรมทะเล หรอจะถายรป หรอจะพายเรอแคนนกเตมทกนไดเลย รอจนแดดรมลมตกกไดเวลากระโดดนำเลนกนแลว เอาแบบใหสนกกนเตมทไปเลย เพราะดวยผคนไมเยอะมากเหมอนหาดชะอำ หวหน หรอพทยา และกไมมแมคา พอคา มาเดนใหเสยอารมณ อยากทานอะไรกมรานเยอะแยะ แตวาเราตองเดนไปสงกนเองนะครบ
สำหรบมอเยน เราเลอกทจะไปทานกนท “รานชมทะเล” ซงตงอยไมไกลจากทพกของเรา จะเดนรบลมไปเรอยๆ หรอจะขบรถไปกได อาหารทะเลทนสด และอรอยทกอยาง เราเลอกสงตมยำโปะแตกนำขน กงเผา ปนง ปลาหมกไขยาง หอยนางรมสดๆ แลวกปลาเผา และขาวผดป ซงเสรฟมาพรอมกบนำจมรสเดด
อมหนำกนเปนทเรยบรอยแลวกไดเวลากลบทพก ทำกจธระสวนตว และพกผอนตามอธยาศย ... วนรงพรงนจะไดตนมารบอรณ สดโอโซนกนใหเตมปอดกอนออกเดนทางกนตอไป
เหนทจะตองพกยกไวแคนกอนนะครบ โควตาหนากระดาษเคาใหมาจำกดจรงๆ ฉบบหนา เรายงคงอยกนทปราณบร ซงผมจะพาไปเทยว วนอทยานแหงชาตปราณบร ซงสวยงาม และมอะไรมากกวาเคยคดกนไว ตดตามกนตอฉบบหนาครบ .
หลงจากทไดรอกนมานานสำหรบ @SECURE ของพวกเรา สดทายกไดคลอดฉบบปฐมฤกษออกมาแลว กอนอนตองขอสวสดอยางเปนทางการกนอกทนะครบ หลงจากทไดรบเนอหาความรทางวชาการเกยวกบ Information Security กนมาจนแนนหวกนหมดแลว เรามาอานอะไรสบายๆ คลายเครยด เบาสมองกนดกวา คอลมนน กเปนอะไรสบายๆ นะครบ จะพากนพาเทยว ทวไทย ไปเรอยๆ ตามประสบการณทไดไปมา สมผสมา กจะเอามาเขยนใหทกทานไดอานกน
สำหรบฉบบแรก เปาหมายทจะพาทกทานไปกน กคอ สามรอยยอด
ปราณบร ซงระหวางการเดนทางกจะพาแวะกน แวะเทยวไปเรอยๆ การเดนทางในทรปนเราควรมเวลาซก 2 วน พรอมกนแลวเราออกเดนทางกนเลยดกวา โดยใชเสนทางถนนพระรามท 2 ผานแยกวงมะนาว มงหนาเขาสชะอำเพอแวะหาอะไรอรอยๆ ทานกนท “รานชมววซฟด” โดยคำนวณเวลาเดนทางจากกรงเทพฯ ใหถงซกประมาณกอนเทยงเลกนอย เพอจะไดอมอรอยกบอาหารทะเลกนเตมท
รานชมววซฟดนตงอยบรเวณสะพานปลา ตดชายหาดชะอำ (ใกลวดเนรญชราราม) อาหารทะเลทนสดจรงๆ มทงป ทงปลาซงเลยงในบอเพอใหลกคาไดเลอกนำมาปรงเมนตามใจชอบ สำหรบเมนแนะนำ ไดแก หอยหวานอบเนย, ปมานง, ปลาเกานงซอว, ปลากะพงเผาเกลอ อนนผมแนะนำเองนะครบ ไมรจะถกใจใครหรอเปลานะครบ
[email protected] | ประวทย ปนเกตCompTIA Security+
17
SOCIAL
¹Ô·Ò¹ÃŒÍÂàÃ×ͧ ¡Ñº àÊ×͡ѹ½¹¢Í§Ë¹Ùเดอะสยามธาราวาลย ชวนเพอนๆ ไปเยยมนองๆ ทบานพะตหมอโจ ต.แมหละ อ.ทาสองยาง จ.ตาก กนอกครง หลงจากทรปคายปทแลว (สำรวจ 18-19 กรกฎาคม 2552 และเดนทางจรง 19-22 พฤศจกายน 2552) ซงในครงนมกำหนดการเดนทางระหวางวนท 23-27 กรกฏาคม 2553 และจะนำหนงสอนทาน และเสอกนฝนไปฝากนองๆ ดวย
"กจกรรมในครงนนอกจากจะเพอตดตามผลการดำเนนงานในปทผานมาแลว ยงมวตถประสงคเพอการแบงปนความสขใหนองๆ ชาวไทยภเขาใหไดมโอกาสสนกกบนทาน ไดฝกอานหนงสอภาษาไทย ใหเสอกนฝนเพอสขภาพของนองๆ เราไมขออะไรมากมายแคนทานสกเลม เสอกนฝนสกตว ซงหากทานใดมอยแลว หรอเปนของเกาทอยในสภาพดเรากรบ แตถาอยากเดนทางไปมอบใหนองๆ ดวยตวเองกยนดนะครบ ไดทำความดแถมยงไดเทยวอกดวย
การเดนทางในครงน เราคงไมสามารถจะนำสงของใดๆ ไปไดมากนก คงนำไปเทาทจะสามารถนำไปได เพราะการเดนทางในชวงฤดฝนนนคอนขางยากลำบากมาก และนอกจากจะไปเยยมนองๆ บานพะตหมอโจแลว เราจะไปสำรวจโรงเรยนบานทจอหลอคดวย" นายทวากร ผบรหารเดอะสยามธาราวาลยกลาว
สอบถามขอมลเพมเตม และใหความสนบสนนไดท คณทวากร ทองอนทร[email protected] | www.siamtharawalai.com | 081 494 3770
“ËÅ‹Í”ศลปะอกหนงแขนงทสบทอดกนมาอยางยาวนานคบานคเมองไทย ซงหลายๆ ทาน
อาจคาดไมถงวาประเทศไทยของเรานนเปนผผลต และสงออกงานปฏมากรรมรปปนทองเหลองหรองานสมฤทธเปนหลกของโลก แมในปจจบนจะมผลตภณฑของประเทศจนอยบาง แตความปราณตกยงสฝมอคนไทยไมได
จากอดต ชางหลอไทย ซงเปนหนงในตระกลชางสบหม ไดหลอพระพทธปฎมาองคใหญไดอยางวจตรงดงาม สบเนองกนมายาวนานนบรอยปจวบจนถงยครตนโกสนทร โรงหลอนอยใหญตงขนมากมายในยานพรานนกจนเรยกขานกนวา “เขตบานชางหลอ” ซงในขณะนกหนาแนนไปดวยประชากรผอยอาศยจำนวนมาก จนโรงหลอตองยายตวเองออกไปตามนอกเมองหรอตางจงหวด
ฝมอคนไทย กบงานศลปะเชนนยงเปนทเชดหนาชตาไดไมนอย โดยเฉพาะสำหรบนกชอปมอหนกทไปทองเทยวในประเทศ เชน หลายมองดงในยโรป ตางกตาลกวาวกบงานปฏมากรรมชนเอกทวางขายในหอศลปหร เสยดายทวางานแตละชนไมไดประทบตรา “เมดอนไทยแลนด” เทานนเอง ทำใหหลายทานไมทราบวา .. นแหละฝมอคนไทยทงสน
@SECURE ขอขอบคณภาพตวอยางสนคา และกระบวนการผลตปฏมากรรมทองเหลองจาก บรษท อศจรรย บรอนซฟาวนดร จำกด ซงเปนหนงในโรงหลอแนวหนาของประเทศไทย โดยดำเนนการผลตและจดจำหนายสตลาดสากลมากวา 10 ป
ตดตอ “อศจรรย” | [email protected] | www.asajan.com | 02 888 2955-7