6. Key Principle
3 Pillars of ICT 3 Pillars of Security
Disclosure
People Confidentiality
PPT CIA
Process Technology Integrity Availability
(Tool) Alteration Disruption
6
16. การตั้ง Password ที่ดีควรประกอบด้วย
• Lowercase Alphabet หรืออักษรภาษาอังกฤษตัวเล็ก
เช่น a b c d
• Uppercase Alphabet หรืออักษรภาษาอังกฤษตัวใหญ่
เช่น A B C D
• Numeric หรือ ตัวเลข
เช่น 1 2 3 4
• Special Character หรือ อักขระพิเศษ
เช่น ! @ # $ % ^ & * ( ) _ +
17. เทคนิคการตั้ง Password (ตั้งให้ยากแต่จาให้ง่าย)
อักษรเดิม อักษรแทน
1. Pass phrase
เนื้อเพลงโปรด,ประโยคเด็ด A 4 หรือ @
IamSecurityOfficer2009 E 3
2. Replacement I 1 หรือ !
1@m$3curity0ff1c3r2oo9 O 0
3. กด Shift ค้างไว้ S $
IAMSECURITYOFFICER@))( And &
4. ดูแป้นไทย for 4 (four)
เรานะเด็กโง่จุ๊บส์ๆ -> iydotgfHdF’j06U[lNq
25. Your “Code” is Part of Your
Security Perimeter
APPLICATION Your security “perimeter” has huge
Application Layer
ATTACK
holes at the “Application layer”
Legacy Systems
Web Services
Human Resource
Directories
Databases
Custom Developed
Billing
Application Code
App Server
Network Layer
Web Server
Hardened OS
Inner Firewall
Outer Firewall
You can’t use network layer protection (Firewall, SSL, IDS, hardening)
to stop or detect application layer attacks
Source: Whitehat Security
31. Secure Application Development
Training on Secure Application Development
Improve Application Development process
Web Application Security Assessment (Pre-Production)
POC Web Application Firewall (For Production)
31
32. Application Security Roadmap
Yesterday Today Tomorrow
CSSLP* CMMI
Training
OWASP Top 10 2010
CSSLP Certified
Change management
Secure SDLC
Process Improvement Centralize Document
Management
OWASP Top 10 2007
Security Documents
for consideration
POC Web App
Microsoft PTT ICT
Development Application
& DB Firewall
framework development
standard
…2549 2550 2552 2553 2555
CSSLP* - Certified Secure Software Lifecycle Professional
41. 1. Application Request Form
Gathering
requirement
Design Phase,
Development
Phase,
Functional test, Unit test,
Integration test, Performance test
UAT Phase,
Security Assessment,
Production