คลังเก็บป้ายกำกับ: DATABASE_SECURITY

พบการโจมตี MongoDB เรียกค่าไถ่ระลอกใหม่ ผู้ใช้กว่า 26,000 รายตกเป็นเหยื่อ

Dylan Katz และ Victor Gevers สองนักวิจัยด้านความมั่นคงปลอดภัยออกมาแจ้งเตือนถึงการโจมตี MongoDB เพื่อเรียกค่าไถ่หรือที่รู้จักกันในนาม MongoDB Apocalypse ระลอกใหม่ ที่เกิดขึ้นเมื่อสุดสัปดาห์ที่ผ่านมา ซึ่งขณะนี้มีผู้ตกเป็นเหยื่อแล้วมากกว่า 26,000 ราย

MongoDB Apocalypse ถูกตรวจพบครั้งแรกเมื่อช่วงปลายเดือนธันวาคม 2016 จนถึงเดือนมกราคม 2017 ที่ผ่านมา โดยกลุ่มแฮ็คเกอร์ได้สแกนระบบอินเทอร์เน็ตเพื่อค้นหาฐานข้อมูล MongoDB ที่เปิดการเชื่อมต่อจากภายนอก จากนั้นเจาะผ่านช่องโหว่เพื่อลบข้อมูลภายใน และแนบข้อความเรียกค่าไถ่แลกกับการได้ข้อมูลกลับคืนมา ซึ่งจากการตรวจสอบพบพบว่าฐานข้อมูลส่วนใหญ่ที่ถูกแฮ็คเป็นฐานข้อมูลที่ใช้ทดสอบ แต่บางระบบมีข้อมูลการใช้งานจริงอยู่ ส่งผลให้บางบริษัทยอมจ่ายค่าไถ่ อย่างไรก็ตาม ค้นพบภายหลังว่าการเรียกค่าไถ่แลกกับข้อมูลเป็นเรื่องหลอกลวง เนื่องจากข้อมูลทั้งหมดถูกลบไปเรียบร้อยแล้ว

จากเหตุการณ์ครั้งนั้นค้นพบว่ากลุ่มแฮ็คเกอร์สามารถโจมตีฐานข้อมูล MongoDB ไปเป็นจำนวนมากถึง 45,000 เครื่อง จากนั้นการโจมตีก็เริ่มลดลงจนแทบจะหายไป อย่างไรก็ตาม เมื่อสุดสัปดาห์ที่ผ่านมาพบว่ามีกลุ่มแฮ็คเกอร์อย่างน้อย 3 กลุ่มได้เริ่มโจมตี MongoDB เพื่อเรียกค่าไถ่ระลอกใหม่ โดยมีผู้ตกเป็นเหยื่อแล้วกว่า 26,000 ราย ซึ่งหนึ่งในสามกลุ่มนั้นสามารถโจมตีเป้าหมายได้มากถึง 22,000 เครื่อง

ถึงแม้ว่าจำนวนการโจมตีจะน้อยกว่าครั้งก่อน แต่ผ่านไปเพียงแค่ไม่กี่วัน กลุ่ม Cru3lty สามารถโจมตีเหยื่อได้มากถึงครึ่งหนึ่งของที่เกิดขึ้นเมื่อคราวก่อนที่ใช้เวลาถึงเกือบ 1 เดือน จึงเป็นไปได้สูงมากที่การโจมตีจะถูกแพร่กระจายไปยังเป้าหมายอื่นๆ มากกว่านี้

นอกจากนี้ Gevers ยังค้นพบอีกว่า หลังจากที่กลุ่มแฮ็คเกอร์เข้าควบคุมฐานข้อมูลของเหยื่อได้แล้ว เหยื่อพยายาม Restore ฐานข้อมูลกลับขึ้นมาใหม่จาก Backup ที่มีอยู่ ซึ่งน่าจะจบไป แต่เขากลับพบว่าฐานข้อมูลนั้นถูกโจมตีอีกครั้งในวันเดียวกัน เนื่องจากเหยื่อขาดทักษะหรือไม่สามารถหามาตรการควบคุมมาป้องกันการโจมตีของแฮ็คเกอร์ได้ทันท่วงที

ที่มา: https://www.bleepingcomputer.com/news/security/massive-wave-of-mongodb-ransom-attacks-makes-26-000-new-victims/

from:https://www.techtalkthai.com/new-wave-of-mongodb-attacks-make-26000-victims/

Advertisements

MariaDB แนะ 5 แนวทางเบื้องต้นสำหรับ Database Security

ใน Blog ของ MariaDB ได้มีการสรุปถึง 5 แนวทางพื้นฐานสำหรับ Database Security เอาไว้ ทางทีมงาน TechTalkThai เห็นว่าน่าสนใจดี จึงขอหยิบยกมาสรุปให้ได้อ่านกันดังนี้ครับ

Credit: MariaDB

 

1. ป้องกันการโจมตีด้วยการใช้ Database Proxy

การใช้ Database Proxy เป็นกลางคั่นระหว่าง Application และ Database ก่อนจะทำให้สามารถควบคุมและเสริมความมั่นคงปลอดภัยในการเข้าถึง Database ได้ โดยทาง MariaDB แนะนำให้ใช้ MaxScale ที่จะช่วยคัดกรองการเข้าถึง, รองรับการติดตั้งโมดูลเสริมสำหรับความสามารถต่างๆ เช่น การเพิ่มความมั่นคงปลอดภัย, การเพิ่มความทนทาน, การรองรับการเพิ่มขยาย และการเสริมประสิทธิภาพของระบบ เป็นต้น

MaxScale Database Firewall Filter เป็นความสามารถหนึ่งที่ทาง MariaDB แนะนำเป็นอย่างมาก โดยผู้ใช้งานสามารถทำการกำหนด Whitelist ของ Query รูปแบบต่างๆ เอาไว้ได้ ทำให้ Query ที่ผิดไปจากที่กำหนดไม่สามารถเข้าถึง Database ได้เลย อีกทั้ง MaxScale ยังสามารถใช้ปกป้อง Database จากการถูก DDoS ได้อีกด้วย

 

2. ตั้งค่าระบบ Audit Log ให้เรียบร้อย

การเปิด Audit Log จะช่วยให้มีข้อมูลในการตรวจสอบค้นหาพฤติกรรมต้องสงสัยและวิเคราะห์ต้นเหตุของปัญหาต่างๆ ได้มากขึ้น อีกทั้งยังตอบโจทย์การทำ Compliance อย่างเช่น GDPR, PCI, HIPAA และ SOX ได้ โดยทาง MariaDB แนะนำให้ใช้ MariaDB Audit Plugin ที่สามารถช่วยบันทึกข้อมูลจำนวนมากได้ ไม่ว่าจะเป็น Incoming Connection, Query Execution และการเข้าถึง Table ทั้งหมด ทำให้ทราบข้อมูลทั้งหมดว่าใครทำอะไรกับฐานข้อมูลบ้าง และยังสามารถเลือกได้ว่าจะบันทึก Log ทั้งหมดนี้ลง File หรือจะส่งออกไปทาง Syslog ก็ได้

 

3. จัดการกับ Account ของผู้ใช้งานให้ดี

ประเด็นนี้เป็นสิ่งที่ทาง MariaDB แนะนำว่าให้ทำอย่างระมัดระวัง โดยใช้หลักการเหมือนกับการจัดการ User Account อย่างมั่นคงปลอดภัยตามวิธีมาตรฐาน และแบ่งคำแนะนำออกเป็น 4 ข้อหลักๆ ด้วยกัน ดังนี้

  • อนุญาตให้เกิด Root Access ได้จากเฉพาะใน Local Client เท่านั้น
  • ตั้งรหัสผ่านให้เข้มแข็ง มั่นคงปลอดภัย
  • สร้าง User Account แยกสำหรับแต่ละ Application ให้ชัดเจน
  • จำกัด IP Address ที่สามารถเชื่อมต่อมายัง Database Server ได้ให้เหลือเท่าที่จำเป็น

 

4. หมั่นอัปเดต Database และ OS ให้เป็นรุ่นล่าสุดอยู่เสมอ

MariaDB กล่าวว่าการอัปเดตระบบเหล่านี้ให้เป็นรุ่นล่าสุดอยู่เสมอ เป็นหนทางเดียวที่จะปกป้องระบบจากภัยคุกคามล่าสุดที่ปรากฏขึ้นมาใหม่ได้ โดยการอัปเดตนี้ต้องทำทั้ง Database Software และที่ Operating System (OS) เลย รวมถึง Server Software อื่นๆ ที่มีการใช้งานอยู่ด้วยเช่นกัน

 

5. เข้ารหัสข้อมูลสำคัญทั้งหมด ตั้งแต่ภายใน Application, ระหว่างส่งผ่านเครือข่าย และการเข้ารหัสสำหรับ Data at Rest

ข้อนี้เป็นข้อที่ MariaDB เห็นว่ามีคนนำไปปฏิบัติน้อยที่สุด แต่ก็ถือว่ามีความสำคัญเพราะทำให้ Hacker นั้นทำงานได้ยากขึ้นมาก และถึงแม้จะขโมยข้อมูลไปได้สำเร็จ ก็ต้องวุ่นวายกับการหาทางถอดรหัสข้อมูลเหล่านั้นอีกอยู่ดี โดย MariaDB ได้แบ่งการเข้ารหัสในระบบ Database ออกเป็น 3 ส่วนด้วยกัน ได้แก่

  1. การเข้ารหัสภายใน Application ตั้งแต่ก่อนถูกบันทึกลงไปยัง Database ทำให้ถึงแม้ Hacker จะเจาะระบบ Database ได้สำเร็จ ก็จะยังเข้าถึงข้อมูลที่แท้จริงไม่ได้อยู่ดี
  2. การเข้ารหัสที่ระบบเครือข่าย เพื่อให้การส่งข้อมูลจาก Client ไปยัง Database นั้นมีความมั่นคงปลอดภัยมากขึ้น
  3. การเข้ารหัสสำหรับ Data at Rest เช่น การเข้ารหัส InnoDB Table Space, InnoDB Redo Log และ Binary Log ซึ่งความสามารถเหล่านี้สนับสนุนใน MariaDB 10.1 เป็นต้นไป

 

สำหรับผู้ที่ยังต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับ Database Security ทาง MariaDB ก็ได้ทิ้งท้ายเอาไว้ว่าให้ไปโหลด Whitepaper ที่ http://go.mariadb.com/GLBL-WC2017AdvancedSecurityWhitePaper_LP-Registration.html อ่านเพิ่มเติมครับ โดยในนี้จะสรุปถึงแนวโน้มเกี่ยวกับการโจมตี Database, การเข้ารหัสข้อมูล, เทคโนโลยี Database Firewall และ Data Masking, การป้องกัน DoS, การนำ RBAC/PAM และ User/Group Mapping มาใช้, การทำ Audit และการทำ Database Event Monitoring ครับ

 

ที่มา: https://mariadb.com/resources/blog/5-essential-practices-database-security

from:https://www.techtalkthai.com/5-practices-for-database-security-by-mariadb/

Database Activity Monitoring: 5 สิ่งที่ควรทำได้และไม่ควรทำ

Imperva ผู้ให้บริการโซลูชัน Database Security ชื่อดัง ออกมาให้คำแนะนำเกี่ยวกับสิ่งที่พึงกระทำและไม่พึงกระทำในการติดตามและเฝ้าระวังระบบฐานข้อมูล รวมไปถึงสรุปฟีเจอร์สำคัญที่เครื่องมือ Database Activity Monitoring ควรมีจากเอกสาร Understanding and Selecting a Database Activity Monitoring Solution โดย Rich Mogull จาก SANS Institute เพื่อให้ผู้ดูแลระบบฐานข้อมูลสามารถนำไปปรับใช้กับองค์กรของตนได้

Credit: macro vectors/Shutterstock

ก่อนที่จะเข้าสู่เนื้อหา ทำความรู้จัก Database Activity Monitoring (DAM) สักเล็กน้อย … Gartner ได้นิยาม DAM ไว้ว่า “เป็นชุดเครื่องมือที่ … รองรับความสามารถในการตรวจจับและรายงานการหลอกลวง การกระทำที่ผิดกฎหมาย หรือพฤติกรรมที่ไม่พึงประสงค์อื่นๆ ซึ่งส่งผลกระทบต่อการปฏิบัติงานของผู้ใช้และผลิตภาพน้อยที่สุด” หรืออาจกล่าวได้ว่าเป็นเครื่องมือที่พัฒนาจากการวิเคราะห์การกระทำของผู้ใช้ กลายเป็นเครื่องมือชี้วัดด้านความมั่นคงปลอดภัยของข้อมูล เช่น การค้นหาและจำแนกประเภทข้อมูล การบริหารจัดการสิทธิ์ของผู้ใช้ การติดตามการใช้สิทธิ์ระดับสูง การปกป้องข้อมูล และการป้องกันการรั่วไหลของข้อมูล เป็นต้น

Imperva ได้สรุปรายการฟีเจอร์ขั้นต่ำที่เครื่องมือ DAM ควรมี ดังนี้

  • ติดตาม (Monitor) และตรวจสอบ (Audit) การกระทำบนฐานข้อมูลทั้งหมดอย่างอิสระ ทั้งการกระทำที่ต้องใช้สิทธิ์ Admin และ SELECT Query Transactions เครื่องมือที่ใช้ต้องสามารถบันทึก SQL Transactions ได้ทั้งหมด ไม่ว่าจะเป็น DML, DDL, DCL (และบางกรณีอาจจะมี TCL ด้วย) โดยไม่จำเป็นต้องพึงหา Log ของ Local Database ซึ่งช่วยให้ประสิทธิภาพของฐานข้อมูลตกลงน้อยกว่า 0 – 2%
  • จัดเก็บ Audit Log แบบรวมศูนย์ภายนอกฐานข้อมูลที่ทำการตรวจสอบ และต้องเก็บอย่างมั่นคงปลอดภัย
  • ติดตาม รวบรวม และเชื่อมความสัมพันธ์ของการกระทำจากหลายๆ Database Management System (DMBS) ที่แตกต่างกันได้ เช่น Oracle, Microsoft SQL Server และ IBM DB2 รวมไปถึงสามารถแปลง Transaction ให้กลายเป็นรูปมาตรฐานทั่วไปที่นำไปใช้วิเคราะห์ต่อได้ (ทำ Normalization)
  • กำหนดหมายเลข IP ที่อนุญาตให้ใช้งาน Service Account เพื่อเข้าถึงฐานข้อมูล รวมไปถึงกำหนดสิทธิ์เฉพาะเท่าที่จำเป็น
  • บังคับให้มีการแบ่งแยกหน้าที่การทำงาน (Segegration of Duties) ผ่านทางการติดตามและบันทึกหลักฐานการกระทำของ DBA
  • สร้างระบบแจ้งเตือนแบบ Rule-based หรือ Heuristic-based เมื่อมีการละเมิดนโยบายด้านความมั่นคงปลอดภัย เช่น แจ้งเตือนเมื่อผู้มีสิทธิ์ระดับสูงส่ง SQL Query ซึ่งคืนค่าข้อมูลบัตรเครดิตกลับคืนมาเกิน 5 รายการ เป็นต้น เพื่อช่วยแจ้งเตือนผู้ดูแลระบบเมื่อแอพพลิเคชันถูกแฮ็คหรือถูก SQL Injection

นอกจากนี้ เครื่องมือ DAM บางยี่ห้อยังมีฟีเจอร์

  • ค้นหาและตรวจสอบที่อยู่ ขนาด และบริบทของข้อมูลที่จัดเก็บอยู่ใน Data Center บนระบบ Cloud หรือบนฐานข้อมูลแบบเก่า
  • จำแนกประเภทของข้อมูล เช่น หมายเลขบัตรเครดิต อีเมล บันทึกการแพทย์ รวมไปถึงระดับความเสี่ยงของข้อมูลดังกล่าว
  • จัดทำนโยบายหรือรายงานตามข้อกำหนดต่างๆ เช่น PCI-DSS หรือ SOX ได้
  • ผสานการทำงานร่วมกับเครื่องมือทำ Change Management เพื่อติดตามการเปลี่ยนแปลงข้อมูลในฐานข้อมูล หรือติดตามการกระทำของ DBA รวมไปถึงจัดทำรายงาน Change Management
Credit: Viappy/ShutterStock

สำหรับรายการสิ่งที่พึงกระทำและไม่พึงกระทำในการติดตามและเฝ้าระวังระบบฐานข้อมูล มีทั้งหมดอย่างละ 5 ข้อ ได้แก่

สิ่งที่พึงกระทำ

  • Agent ที่ใช้ในการเก็บข้อมูลควรบริโภคทรัพยากร CPU และ Disk เพียง 1 – 3% และควรใช้ Agent เก็บข้อมูลแทนที่จะวางขวาง (Bridge) หรือดักจับข้อมูล (Sniff) เนื่องจากสามารถทำคลัสเตอร์ Gateway ได้ง่าย เพราะเพิ่มประสิทธิภาพในการทำ HA ฐานข้อมูล
    • หมายเหตุ การบริโภคทรัพยากรนี้ถือว่าน้อยมากเมื่อเทียบกับการใช้ Database Auditing บนระบบฐานข้อมูลซึ่งบริโภคทรัพยากรเครื่องมากถึง 20%
  • ติดตาม Local SQL Traffic อย่างต่อเนื่อง และอย่างเรียลไทม์ เช่น IPC และ Bequeth รวมไปถึงติดตาม SQL Traffic ที่วิ่งเข้ามายังฐานข้อมูลผ่านระบบเครือข่าย (ถ้าต้องการ)
  • ยิง TCP Reset เมื่อต้องการบล็อกเซสชัน ซึ่งจะทำให้เสมือนว่าเครื่อง Client หลุดจากการเชื่อมต่อ ผลลัพธ์คือ ฐานข้อมูลไม่มีอะไรเปลี่ยนแปลงและเครื่อง Client ที่เชื่อมต่อกับฐานข้อมูลจะถูกจัดการตามปกติ
  • ติดตาม SQL Query ขาเข้าที่จะไปยัง Gateway รวมไปถึงข้อมูล Metadata บางอย่าง เช่น เวลาที่ใช้ตอบสนอง หรือจำนวน Record ที่คืนกลับมา โดยกิน Bandwidth ของระบบเครือข่ายให้น้อยที่สุด
    • หมายเหตุ สามารถติดตามทราฟฟิกขาออกผ่านทางอีกอินเทอร์เฟสหนึ่ง แต่ต้องระวังเรื่องการดักจับข้อมูลที่เป็นความลับด้วย
  • ควรมีหน้า Dashboard ที่เป็นกราฟิกแสดงภาพรวมข้อมูลทั้งหมดไว้ในหน้าเดียว เพื่อให้สามารถแก้ปัญหาได้ง่ายและรวดเร็ว โดยต้องสามารถตรวจสอบการทำงานของ Agent และสามารถแจ้งเตือนไปยังระบบอื่นๆ เช่น SIEM เมื่อมีการบล็อกเกิดขึ้นได้

สิ่งที่ไม่พึงกระทำ

  • Agent ไม่ควรติดตั้ง Object ใดๆ บนฐานข้อมูล เช่น สคริปต์หรือข้อมูลล็อกอิน
  • Agent ต้องไม่ยุ่งเกี่ยวใดๆ กับฐานข้อมูล ไม่ว่าจะเป็นข้อมูลในฐานข้อมูล ไฟล์ที่ใช้ตั้งค่าฐานข้อมูล หรือแม้แต่พารามิเตอร์ของฐานข้อมูล
  • หลังติดตั้งหรือแก้ไขการตั้งค่า Agent ไม่ควรมีการรีสตาร์ทเครื่อง เว้นแต่ในกรณีที่หลีกเลี่ยงไม่ได้จริงๆ
  • ไม่ควรมีการสร้างชื่อบัญชีฐานข้อมูลใหม่สำหรับติดตั้ง ติดตาม หรือบล็อก SQL Traffic บน Agent
  • Agent ไม่ควรแก้ไขไฟล์ของระบบ เว้นแต่ในกรณีที่การเชื่อมต่อไปยัง Gateway ถูกตัดขาดจากการบล็อก และควรกลับไปเป็นแบบเดิมหลังจากที่การเชื่อมต่อถูกสร้างขึ้นมาใหม่

ที่มา: https://www.imperva.com/blog/2017/05/database-activity-monitoring-checklist/

from:https://www.techtalkthai.com/database-activity-monitoring-checklist/

พบช่องโหว่ Zero-day บน SAP HANA เสี่ยงถูกเข้าควบคุมแบบ Full Access

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ออกมาเปิดเผยถึงช่องโหว่ Zero-day ความเสี่ยงสูงบนแพลตฟอร์ม SAP HANA ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุม SAP HANA จากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อนได้ แนะนำให้ผู้ดูแลระบบ SAP HANA รีบอัปเดตแพทช์โดยเร็ว

Credit: Pavel Ignatov/ShutterStock

Sebastian Bortnik หัวหน้าทีมวิจัยของ Onapsis ระบุใน Blog เกี่ยวกับช่องโหว่ดังกล่าวว่า การเจาะช่องโหว่เพื่อเข้าควบคุมระบบ SAP HANA นี้ช่วยให้แฮ็คเกอร์สามารถดำเนินกิจกรรมได้ทุกอย่างบนข้อมูลและกระบวนการเชิงธุรกิจของ SAP HANA ไม่ว่าจะเป็นการขโมยข้อมูลออกมาจากระบบ การเปลี่ยนแปลง แก้ไข หรือลบข้อมูลทิ้ง เรียกได้ว่าเป็นช่องโหว่ความรุนแรงระดับ Critical ที่ส่งผลกระทบต่อธุรกิจอย่างใหญ่หลวง

ช่องโหว่นี้ค้นพบบนฟีเจอร์ของ SAP HANA ที่ชื่อว่า SAP HANA User Self Service ซึ่งเป็นฟีเจอร์ที่ไม่ได้เปิดใช้งานมาตั้งแต่เริ่มแรก ผู้ใช้ต้องเปิดใช้งานเอง โดยเวอร์ชันของ SAP HANA ที่ได้รับผลกระทบ ได้แก่

  • SAP HANA SPS 12 (newDB rel 1.00.121.00.1466466057)
  • SAP HANA 2 SPS0 (newDB rel 2.00.000.00.1479874437)
  • SAP HANA SPS11 (1.00.110.144775) ออกเมื่อเดือนพฤศจิการยน 2015
  • SAP HANA SPS10 (1.00.101.00.1435831848) ออกเมื่อเดือนมิถุนายน 2015
  • SAP HANA SPS09 (1.00.91.1418659308) ออกเมื่อเดือนพฤศจิการยน 2014

Onapsis ระบุว่า ช่องโหว่ดังกล่าวคาดว่ามีมาแล้วไม่ต่ำกว่า 2 ปีครึ่งนับตั้งแต่เริ่มมีฟีเจอร์ User Self Service ให้บริการ โดยค้นพบช่องโหว่ทั้งบน SAP HANA 2 เวอร์ชันใหม่ล่าสุด ไปจนถึง SAP HANA เวอร์ชันปี 2014 ซึ่งแนะนำให้ผู้ใช้ SAP HANA ตรวจสอบว่าบริษัทของตนเปิดใช้ฟีเจอร์ที่มีช่องโหว่หรือไม่ ถ้าเปิดใช้ทำงานให้รีบอัปเดตแพทช์ตาม SAP Security Note #2424173 หัวข้อ “Vulnerabilities in the User Self-Service Tools of SAP HANA” และ Security Note #2429069 โดยเร็ว

ที่มา: https://www.onapsis.com/blog/sap-security-notes-march-2017-onapsis-helps-secure-critical-bugs-sap-hana

from:https://www.techtalkthai.com/zero-day-sap-hana-vuln-allowed-full-access/

อีกเพียง 2 สัปดาห์ !! เตรียมตัวให้พร้อมกับงาน Black Hat Asia 2017

เหลืออีกเพียง 2 สัปดาห์เท่านั้นก็จะถึงเวลาเริ่มงานประชุมระดับนานาชาติ Black Hat Asia 2017 ที่ Marina Bay Sands ประเทศสิงคโปร์ ภายในงานนี้ท่านจะได้พบกับผู้เชี่ยวชาญด้าน Info Sec ชื่อดังจากหลายสถาบันทั่วโลก ซึ่งจะมาให้ความรู้และอัปเดตแนวโน้มด้านความมั่นคงปลอดภัยไซเบอร์ล่าสุด ผู้ที่สนใจรีบลงทะเบียนโดยด่วน … อย่าลืม !! โปรโมชันลดราคาบัตรเข้าร่วมงาน 15% จาก TechTalkThai เพียงแค่ใส่โค้ด “BHATTT17” ขณะลงทะเบียน

รายละเอียดงานประชุม

วันอบรม: 28 – 29 มีนาคม 2017 (ดูรายละเอียดตารางอบรม)
วันสัมมนา: 30 – 31 มีนาคม 2017 (ดูหัวข้อและบทคัดย่อการสัมมนา)
เวลา: 9.00 – 17.00 น.
สถานที่: Marina Bay Sands ประเทศสิงคโปร์
ค่าอบรม: เริ่มต้นที่ S$3,700 (ประมาณ 90,000 บาท)
ค่าเข้างานสัมมนา:

 

S$1,850 (ประมาณ 45,000 บาท) สำหรับบุคคลทั่วไป
S$800 (ประมาณ 20,000 บาท) สำหรับนักศึกษา
ลิงค์ลงทะเบียน: https://www.blackhat.com/asia-17/registration.html
โค้ดส่วนลด 15%:  BHATTT17

พบกับผู้ก่อตั้ง Net Square และผู้เชี่ยวชาญจาก Google ในเซสชัน Keynote

สำหรับเซสชัน Keynote ในงานประชุมนี้ ท่านจะได้พบกับ 2 ผู้เชี่ยวชาญด้าน Info Sec ชื่อดัง ได้แก่

  • Saumil Shah ผู้ก่อตั้งและประธานบริษัท Net square ซึ่งจะมาบรรยายในหัวข้อ “THE SEVEN AXIOMS OF SECURITY” เกี่ยวกับความจริง 7 ประการในการพัฒนากลยุทธ์สำหรับการป้องกันเชิงรุก เพื่อรับมือกับภัยคุกคามไซเบอร์ในอนาคต
  • Halvar Flake ผู้เชี่ยวชาญด้าน Big Data และ Machine Learning จาก Google ในหัวข้อ “WHY WE ARE NOT BUILDING A DEFENDABLE INTERNET” ซึ่งจะกล่าวถึงโครงสร้างด้านเศรษฐศาสตร์และแรงจูงใจทาง IT Security และสาเหตุว่าทำไมแรงจูงใจเหล่านั้นถึงประสบความล้มเหลวในการนำเสนอการรักษาความมั่นคงปลอดภัยในระดับที่องค์กรต้องการ

เกี่ยวกับงานประชุม Black Hat Asia 2017

Black Hat เป็นงานอบรมและประชุมกึ่งวิชาการระดับนานาชาติที่หมุนเวียนผลัดกันจัดที่สหรัฐฯ ยุโรป และเอเชีย โดยที่กำลังจะจัดล่าสุด คือ Black Hat Asia 2017 ซึ่งจะจัดขึ้นที่ Marina Bay Sands ประเทศสิงคโปร์ในวันที่ 28 – 31 มีนาคม 2017 รวมระยะเวลา 4 วันโดย 2 วันแรกจะเป็นการจัดคอร์สอบรมซึ่งจะเน้นไปทาง Offensive Security และ 2 วันหลังจะเป็นงานประชุมที่รวบรวมเนื้อหาทางด้าน Security หลากหลายแขนงไว้ด้วยกัน นอกจากนี้ภายในงานยังรวบรวม Vendor ด้าน Security จากทั่วโลกมาให้คำแนะนำ พร้อมอัปเดตเทคโนโลยี แนวโน้ม และเทคนิคใหม่ๆ อีกด้วย (อ่านรีวิวงาน Black Hat Asia 2016 เมื่อปีที่ผ่านมา)

ภายในงานประชุมท่านจะได้พบกับ

  • Black Hat Briefings – งานสัมมนาที่คัดเลือกหัวข้อโดย Review Board จากนักวิจัยที่มีชื่อเสียงจากทั่วโลก ครอบคลุมด้านความมั่นคงปลอดภัยและช่องโหว่สำคัญในปัจจุบัน เช่น Reverse Engineering, Malware Offense/Defense, Mobile Hacking, Network Defense, Cryptography Applied Security และอื่นๆ
    ดูรายละเอียดงานสัมมนาได้ที่: https://www.blackhat.com/asia-17/briefings/schedule/index.html
  • Black Hat Trainings – คอร์สอบรมเทคนิคเชิงลึกทางด้าน InfoSec โดยเนื้อหาการอบรมครอบคลุมการแฮ็คโครงสร้างพื้นฐาน อุปกรณ์พกพา การวิเคราะห์มัลแวร์ การทำ Pen Test รวมไปถึงเทคนิคและการปฏิบัติงานทั่วไปของแฮ็คเกอร์ ซึ่งแต่ละคอร์สจะถูกสอนโดยวิทยากรชื่อดังระดับโลกที่มีความรู้ ประสบการณ์ และเป็นผู้คร่ำหวอดทางด้านนั้นๆ
    ดูรายละเอียดคอร์สอบรมได้ที่: https://www.blackhat.com/asia-17/training/index.html
  • Black Hat Arsenal – พื้นที่สำหรับสนับสนุนนักวิจัยอิสระจากทั่วโลกให้มานำเสนอผลงาน พร้อมสาธิตเครื่องมือและผลิตภัณฑ์ของตนให้ชมกันสดๆ
  • Black Hat Business Hall – พื้นที่ที่รวบรวม Vendor ชื่อดังทางด้าน Security จากแต่ละภูมิภาคไว้ด้วยกัน ผู้เข้าร่วมงานสามารถอัปเดตเทคโนโลยีและนวัตกรรมด้านความมั่นคงปลอดภัยใหม่ล่าสุด เพื่อนำไปใช้ปกป้ององค์กรของตนจากภัยคุกคามแบบต่างๆ ในปัจจุบัน

ติดตามข่าวสารล่าสุดจาก Black Hat ได้ที่

Twitter: twitter.com/BlackHatEvents – hashtag #BlackHat
Facebook: facebook.com/Black-Hat-Events-107691635153/
LinkedIn: linkedin.com/groups?home=&gid=37658
Flickr: flickr.com/photos/blackhatevents/

from:https://www.techtalkthai.com/2-weeks-before-black-hat-asia-2017/

ให้เพิ่ม 2 เท่า !! Google และ Microsoft ปรับรางวัล Bug Bounty Program ใหม่

สัปดาห์ที่ผ่านมา ทั้ง Google และ Microsoft ต่างออกมาประกาศปรับรางวัลของผู้ที่รายงานช่องโหว่ผ่าน Bug Bounty Program ใหม่ โดยให้เงินตอบแทนมากกว่าเดิมสูงสุดถึง 2 เท่า มีผลแล้ววันนี้

Credit: ShutterStock.com

Google เพิ่มเงินรางวัลให้แก่ผู้ที่รายงานช่องโหว่ Remote Code Execution จาก $20,000 (700,000 บาท) ไปเป็น $31,337 (1.1 ล้านบาท) และ Unrestricted File System or Database Access จาก $100,000 (350,000 บาท) ไปเป็น $13,337 (470,000 บาท) โดยให้เหตุผลว่า ช่องโหว่ความรุนแรงระดับสูงเหล่านี้เริ่มค้นหาได้ยากขึ้นในช่วงปีที่ผ่านมา ทาง Google จึงให้ค่าตอบแทนแลกกับการเสียเวลาและความพยายามที่เพิ่มมากขึ้น

ช่องโหว่ในกลุ่ม Remote Code Execution ประกอบด้วย Command Injection Flaw, Deserialization Bugs, Sandbox Escapes และอื่นๆ ส่วนช่องโหว่ในกลุ่ม Unrestricted File System or Database Access ได้แก่ SQL Injections และ XXE (XML External Entity Attack)

ทาง Microsoft เองก็มีการเพิ่มรางวัลให้แก่ผู้ที่ค้นพบช่องโหว่บน Exchange Online และ Office 365 Admin Portal ด้วยเช่นกัน โดยมอบค่าตอบแทนให้มากกว่าเดิม 2 เท่า และมีผลตั้งแต่วันที่ 1 มีนาคม จนถึง 1 พฤษภาคม 2017

MSRC Team ระบุว่า องค์ประกอบ 2 อย่างที่กล่าวมานี้เป็นเว็บแอพพลิเคชันหลักของ Office 365 Suite การทำให้ทั้ง 2 แอพมีความมั่นคงปลอดภัยเป็นเรื่องสำคัญมาก เพราะทั้งคู่เสมือนเป็น Gateway สำหรับเข้าถึงข้อมูลสำคัญของลูกค้า ไม่ว่าจะเป็นอีเมล ปฏิทิน รายชื่อผู้ติดต่อ และอื่นๆ ทาง Microsoft จึงตัดสินใจเพิ่มเงินรางวัลให้เพื่อเชื้อเชิญให้นักวิจัยด้านความมั่นคงปลอดภัยช่วยกันค้นหาช่องโหว่ให้มากขึ้น

ที่มา: https://www.helpnetsecurity.com/2017/03/06/google-microsoft-bug-bounties/

from:https://www.techtalkthai.com/google-and-microsoft-update-bug-bounty-program-rewards/

Best Practices สำหรับลดความเสี่ยงของ Ransomware บนฐานข้อมูล

ช่วงต้นปีที่ผ่านมา มีข่าวฐานข้อมูล MongoDB กว่า 27,000 แห่งถูกเจาะ ข้อมูลถูกขโมยออกไปเพื่อเรียกค่าไถ่เป็นเงิน 0.2 Bitcoin (ประมาณ 8,200 บาท) และเมื่อสัปดาห์ที่ผ่านมานี้เอง การโจมตีก็แพร่กระจายมายัง MySQL ด้วยเช่นกัน แสดงให้เห็นว่าแฮ็คเกอร์เริ่มพุ่งเป้าการเจาะระบบฐานข้อมูลแล้วเรียกค่าไถ่มากขึ้น บทความนี้จะได้รวม Best Practices สำหรับปกป้องฐานข้อมูลของตนไม่ให้ตกเป็นเหยื่อของ Ransomware

Credit: Vector3D/ShutterStock

รู้จักวิธีโจมตีก่อน

การโจมตีฐานข้อมูลเรียกค่าไถ่มักเกิดจาก 2 กรณี คือ

  • แฮ็คเกอร์โจมตีที่เครื่อง Client ซึ่งเปราะบางที่สุดในระบบ โดยใช้การส่งอีเมล Phishing เพื่อหลอกให้ผู้ใช้เปิดไฟล์แนบหรือเข้าถึงเว็บไซต์ที่มีมัลแวร์แฝงอยู่ เมื่อเข้ายึดเครื่อง Client ได้แล้ว แฮ็คเกอร์จะค่อยๆ แทรกซึมเข้าไปในเครือข่ายจนกว่าจะยกระดับสิทธิ์ตัวเองให้เข้าถึงระบบฐานข้อมูลได้ จากนั้นจึงเข้ารหัส ขโมย หรือลบข้อมูลเพื่อเรียกค่าไถ่
  • แฮ็คเกอร์โจมตีเซิร์ฟเวอร์ฐานข้อมูลโดยตรง โดยอาจผ่านทางเว็บแอพพลิเคชันที่เชื่อมต่ออินเทอร์เน็ต เช่น SQL Injection หรือในกรณีที่เว็บและฐานข้อมูลอยู่บนเซิร์ฟเวอร์เครื่องเดียวกันยิ่งทำให้สามารถโจมตีได้ง่ายกว่าเดิม เพียงแค่หาช่องโหว่ของเซิร์ฟเวอร์เจอก็อาจจะยึดระบบฐานข้อมูลได้ทันที

ป้องกันและรับมือกับการโจมตีได้อย่างไร

การปกป้องระบบฐานข้อมูลให้มั่นคงปลอดภัยสามารถทำได้ไม่ยากนัก โดยอาศัยอุปกรณ์และโซลูชันบนระบบเครือข่ายที่มีอยู่ก็สามารถลดความเสี่ยงลงได้ ดังนี้

ปกป้องผู้ใช้

  • จัดอบรมเพื่อสร้างความตระหนักด้านความมั่นคงปลอดภัย โดยเฉพาะอย่างยิ่งการตรวจสอบและรับมือกับการโจมตีแบบ Phishing
  • ยกเลิกการอนุญาตให้แชร์ข้อมูลระหว่างผู้ใช้แบบ Peer-to-peer
  • วางแผนการสำรองข้อมูลไปเก็บไว้ใน External Drives หรือ Virtual Drives
  • ติดตั้งโปรแกรม Antivirus ที่เชื่อถือได้ลงบนเครื่อง Client เพื่อป้องกัน Ransowmare

ปกป้องเว็บไซต์

  • ไม่ติดตั้งเซิร์ฟเวอร์ที่ต้องเชื่อมต่อกับภายนอกและระบบฐานข้อมูลหรือระบบจัดเก็บข้อมูลไว้ในเครื่องเดียวกัน
  • ทำ Segmentation ระหว่างเซิร์ฟเวอร์ที่ให้บริการเว็บและเซิร์ฟเวอร์ฐานข้อมูลอย่างเหมาะสม
  • คอยติดตามและอัปเดตแพทช์บนเซิร์ฟเวอร์ฐานข้อมูลและเซิร์ฟเวอร์ที่ใช้จัดเก็บข้อมูลอย่างสม่ำเสมอ
  • หมั่นตรวจสอบว่าฝ่าย IT มีแผนการสำรองข้อมูลสำหรับระบบฐานข้อมูลและระบบแชร์ไฟล์หรือไม่
  • พิจารณาการสำรองข้อมูลหรือไฟล์สำคัญบนระบบ Cloud หรือ DR-as-a-Service

เพิ่มการป้องกันระดับสูง

  • มีการจัดทำแผนตอบสนองต่อสถานการณ์ผิดปกติ เพื่อเตรียมรับมือกับเหตุการณ์ไม่พึงประสงค์ที่อาจจะเกิดขึ้นในอนาคต ซึ่งช่วยให้ผู้ที่เกี่ยวข้องสามารถตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็วและเป็นระบบ
  • ศึกษาและหาข้อมูล NoMoreRansom.org ซึ่งเป็นเว็บที่บริษัทซอฟต์แวร์ Antivirus หน่วยงานบังคับใช้กฏหมาย และนักวิจัยด้านความมั่นคงปลอดภัยร่วมกันจัดตั้งขึ้นเพื่ออัปเดตข่าวสาร วิธีรับมือกับ Ransomware และรวมเครื่องมือสำหรับใช้ปลดรหัส
  • จ่ายหรือไม่จ่ายค่าไถ่ ? เป็นคำถามที่ตอบได้ยาก ผู้เชี่ยวชาญหลายคนให้ความเห็นตรงกันว่าอย่าจ่ายค่าไถ่ เพราะเหมือนเป็นการสนับสนุนแฮ็คเกอร์ให้ได้ใจ และมีเงินทุนสำหรับพัฒนามัลแวร์ให้แข็งแกร่งยิ่งขึ้น อย่างไรก็ตาม ถ้าเราตกเป็นเหยื่อของ Ransomware จริงๆ คงตอบได้ยาก แต่พึงระลึกไว้เสมอว่า ไม่มีอะไรการันตีได้ว่าพอจ่ายค่าไถ่แล้วจะได้ข้อมูลคืน

ดังนั้น วิธีการที่ดึที่สุดในการรับมือกับ Ransomware คือ การป้องกันไว้ก่อน โดยเฉพาะการสำรองข้อมูลอย่างสม่ำเสมอ

ที่มา: http://www.darkreading.com/attacks-breaches/best-practices-for-lowering-ransomware-risk/a/d-id/1328294

from:https://www.techtalkthai.com/best-practices-for-lowering-ransomare-risk/