คลังเก็บป้ายกำกับ: NIST

Forescout ได้รับเลือกให้เข้าร่วมโครงการ Zero Trust Architecture ของ NIST

Forescout ผู้นำทาง Enterprise of Things Security ได้รับเลือกให้เข้าร่วมโครงการ Zero Trust Architecture ของ NIST เตรียมร่าง Practice Guide อย่างเป็นทางการ

Credit: Forescout Technologies

Forescout เป็นหนึ่งใน Vendor ทั้งหมด 18 รายที่รับเลือกให้เข้าร่วมโครงการ Zero Trust Architecture ของ NIST หรือสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐอเมริกา โดยโครงการนี้ถูกมอบหมายให้ National Cyber Security Center of Excellence (NCCoE) ซึ่งเป็นหน่วยงานภายใน NIST เป็นผู้ดูแลอีกทอดหนึ่ง

Zero Trust Architecture ถือว่าเป็นระบบรักษาความปลอดภัยเครือข่ายที่หลายองค์กรกำลังให้ความสนใจ อย่างไรก็ตาม การที่จะเริ่มต้นใช้งานระบบ Zero Trust ในองค์กรนั้นค่อนข้างมีความซับซ้อน เนื่องจากจะต้องเชื่อมต่อระบบ Core Component จำนวนมากเข้าด้วยกันเพื่อที่จะทำให้การรักษาความปลอดภัยครอบคลุมทั้งระบบเครือข่าย ทำให้ NIST ได้เริ่มโครงการติดตั้ง Zero Trust Architecture ขึ้นมา โดยดึง Vendor หลายรายและ Open Source หลายตัวเข้ามาร่วมกันพัฒนา โดยมีจุดประสงค์ดังนี้

  • เพื่อเป็นการติดตั้งใช้งานระบบ Zero Trust โดยอ้างอิงตามมาตรฐาน NIST Special Publication (SP) 800-207, “Zero Trust Architecture”
  • เพื่ออธิบายแนวทางการสร้างระบบ Zero Trust ที่ใช้งานได้จริง โดยรองรับทั้งภายในองค์กร, Cloud และ Remote Worker
  • สร้างเป็น Practice Guide ระบุแนวทางการสร้างระบบ Zero Trust อย่างละเอียด เพื่อให้หน่วยงานราชการและเอกชนได้นำไปศึกษาและประยุกต์ใช้

ที่ผ่านมา Forescout ได้พัฒนาโซลูชัน Device Visibility, Policy Enforcement และ Network Segmentation ออกมา โดยมีจุดเด่นในการทำงานร่วมกับระบบอื่นๆภายในองค์กรหลากหลาย ช่วยให้องค์กรสามารถเริ่มต้นใช้งาน Zero Trust Architecture ได้รวดเร็วยิ่งขึ้น โดยก่อนหน้านี้ Forescout เคยร่วมมือกับ NIST ในการพัฒนา IoT Security Guide มาแล้ว

ผู้ที่สนใจสามารถอ่านรายละเอียดของโครงการได้ที่ https://www.nccoe.nist.gov/zerotrust

 

เกี่ยวกับ Throughwave Thailand

Throughwave Thailand เป็นตัวแทนจำหน่าย (Distributor) สำหรับผลิตภัณฑ์ Enterprise IT ครบวงจรทั้ง Server, Storage, Network และ Security พร้อมโซลูชัน VMware และ Microsoft ที่มีลูกค้าเป็นองค์กรชั้นนำระดับหลายหมื่นผู้ใช้งานมากมาย โดยทีมงาน Throughwave Thailand ได้รับความไว้วางใจจากลูกค้าจากทีมงาน Engineer มากประสบการณ์ ที่คอยสนับสนุนการใช้งานของลูกค้าตลอด 24×7 ร่วมกับ Partner ต่างๆ ทั่วประเทศไทย https://www.throughwave.co.th

ที่มา: https://www.forescout.com/company/news/press-releases/nist-national-cybersecurity-center-of-excellence-selects-forescout-to-shape-zero-trust-architecture/

from:https://www.techtalkthai.com/forescout-joins-nist-zero-trust-architecture-project/

NIST วางการทดสอบซอฟต์แวร์ขั้นต่ำ: รันเทสอัตโนมัติ, ใช้โปรแกรมตรวจสอบโค้ด

NIST ประกาศแนวปฎิบัติสำหรับการทดสอบซอฟต์แวร์ขั้นต่ำ (Guidelines on Minimum Standards for Developer Verification of Software) ตามคำสั่งของรัฐบาลโจ ไบเดนที่ให้ NIST วางแนวทางที่เกี่ยวข้องเพื่อปรับปรุงความปลอดภัยไซเบอร์

แม้จะเป็นคำสั่งสำหรับเพิ่มความปลอดภัยไซเบอร์ แต่แนวทางปฎิบัติของ NIST ก็เป็นแนวทางสำหรับกระบวนการพัฒนาซอฟต์แวร์ที่ดี โดยกำนหนดเงื่อนไขการพัฒนาซอฟต์แวร์ไว้หลายอย่าง เช่น

  • ใช้ระบบรันเทสอัตโนมัติ ที่อาจจะเป็นแค่สคริปต์ง่ายๆ แต่การรันอัตโนมัติก็ทำให้รันเทสได้บ่อย
  • เคสทดสอบซอฟต์แวร์ควรครอบคลุมโค้ด (code coverage) เกิน 80%
  • ใช้ซอฟต์แวร์วิเคราะห์โค้ด (static analysis) เครื่องมือวิเคราะห์โค้ด เพื่อหาบั๊กเพิ่มเติม
  • ใช้ซอฟต์แวร์ค้นหา รหัสผ่านและกุญแจต่างๆ ที่อาจจะเผลอฝังอยู่ในซอร์สโค้ด
  • รันตัวทดสอบที่สร้างอินพุตแบบสุ่ม (fuzzer) หากเป็นเว็บใช้ซอฟต์แวร์สแกนเว็บด้วย

คำแนะนำยังระบุให้เปิดใช้ฟีเจอร์ความปลอดภัยของภาษาและคอมไพล์เลอร์ เช่น GCC มีฟีเจอร์เพิ่มความปลอดภัยหน่วยความจำหลายตัวในช่วงหลัง รวมถึงใช้ซอฟต์แวร์ในกลุ่ม lint เพื่อหาบั๊กเพิ่มเติม

นอกจากตัวซอฟต์แวร์หลักที่กำลังพัฒนาแล้ว เอกสารยังระบุว่าไลบรารี, แพ็กเกจซอฟต์แวร์, และบริการอื่นๆ ในโครงการก็ควรมีมาตรฐานการทดสอบที่เท่าเทียมกัน

เอกสารนี้เป็นส่วนหนึ่งของชุดเอกสารจากคำสั่งของโจ ไบเดน โดยเอกสารฉบับแรกคือการนิยามซอฟต์แวร์สำคัญยิ่งยวด เอกสารต่อๆ ไปในชุดที่กำลังออกมาได้แก่ แนวทางการปรับปรุงความปลอดภัยซอฟต์แวร์, แนวทางการพัฒนาซอฟต์แวร์สำหรับอุปกรณ์ IoT, และเอกสารเพิ่มเติมอื่นๆ คาดว่าจะเสร็จทั้งหมดภายในเดือนพฤษภาคมปี 2022 โดยตอนนี้เอกสารทั้งหมดยังเป็นแนวปฎิบัติโดยสมัครใจ หลังจากเอกสารทั้งหมดเสร็จสมบูรณ์แล้วฝ่ายบริหารสามารถใช้เป็นแนวทางสำหรับบังคับให้หน่วยงานรัฐซื้อซอฟต์แวร์ที่ทำตามแนวปฎิบัติเหล่านี้แล้วเท่านั้น

ที่มา – NIST

No Description

from:https://www.blognone.com/node/123676

NIST ออกแนวทางการจัดการความเสี่ยง Ransomware ระบุให้แยกเครื่องทำงานจากเครื่องส่วนตัว, จำกัดการใช้งาน

NIST ออกร่างเอกสารเฟรมเวิร์คการจัดการความเสี่ยงมัลแวร์เรียกค่าไถ่ NISTIR-8374 ระบุถึงแนวทางการจัดการความเสี่ยงมัลแวร์เรียกค่าไถ่หรือ ransomware วางแนวทางให้องค์กร

เนื้อหาในเอกสารส่วนใหญ่ระบุถึงความเสี่ยงต่างๆ ของมัลแวร์เรียกค่าไถ่แล้วน้อยกลับไปถึงแนวทางการจัดการความปลอดภัยไซเบอร์รูปแบบอื่นๆ ที่มีเอกสารแนวทางมาก่อนหน้านี้แล้ว แต่ต้วเอกสารเองก็มีคำแนะนำโดยรวม เช่น

  • ใช้ซอฟต์แวร์ป้องกันไวรัส
  • ติดตั้งแพตช์ใหม่สุดเสมอ พร้อมเปิดระบบตรวจสอบการอัพเดตตามรอบเวลา
  • ใช้บริการบล็อคเว็บมัลแวร์
  • จำกัดการใช้งานแอปพลิเคชั่นเฉพาะที่ได้รับอนุญาตล่วงหน้า
  • จำกัดการใช้อุปกรณ์ส่วนตัวบนเครือข่ายของบริษัท
  • หลีกเลี่ยงการใช้งานส่วนตัวกับคอมพิวเตอร์องค์กร เช่น อีเมล, แชต, หรือเครือข่ายสังคมออนไลน์

นอกจากนี้แล้วยังแนะนำให้องค์กรวางแผนรับมือเมื่อเกิดเหตุถูกมัลแวร์โจมตี, สำรองข้อมูลและซักซ้อมการกู้ข้อมูลเสมอ รวมถึงป้องกันและแยกข้อมูลออกจากระบบปกติ, และเตรียมรายชื่อติดต่อผู้เกี่ยวข้องเมื่อเกิดเหตุมัลแวร์เรียกค่าไถ่

ที่มา – NIST

No Description

ภาพโดย heladodementa

Topics: 

from:https://www.blognone.com/node/123406

NIST ออกเอกสารคำแนะนำสำหรับองค์กรในการจัดการกับแรนซัมแวร์

เอกสารร่างฉบับนี้พูดถึงเรื่องการบริหารจัดการความเสี่ยงเกี่ยวกับแรนซัมแวร์ในองค์กร

เอกสารร่าง “Cybersecurity Framework Profile for Ransomware Risk Management” จะเปิดรับฟังความคิดเห็นจนถึง 9 กรกฏาคมนี้ โดยความคาดหวังคือเป็นเฟรมเวิร์กช่วยเหลือให้องค์กรนำไปจัดการความเสี่ยงจากการโจมตีของแรนซัมแวร์ เพื่อลดโอกาสมิให้องค์กรตกเป็นเหยื่อของแรนซัมแวร์ ซึ่งครอบคลุมไปถึง วิธีการป้องกัน การบริหารจัดการความเสี่ยง การแพตช์ปกป้องระบบ บล็อกไซต์ที่เกี่ยวข้องกับแรนซัมแวร์ อนุญาตใช้แอปพลิเคชันที่อนุมัติ ควบคุมการใช้อุปกรณ์ส่วนบุคคล ตรวจสอบอีเมลและการใช้งานแฟลชไดร์ฟ ไปจนถึงการให้ความรู้พนักงานเป็นต้น

ทั้งนี้สำหรับผู้สนใจสามารถดาวน์โหลดเพื่อศึกษาเพิ่มเติมได้ที่ https://csrc.nist.gov/CSRC/media/Publications/nistir/draft/documents/NIST.IR.8374-preliminary-draft.pdf

ที่มา : https://www.infosecurity-magazine.com/news/nist-publishes-ransomware-guidance/

from:https://www.techtalkthai.com/nist-cybersecurity-framework-profile-for-ransomware-risk-management/

CISA และ NIST แนะนำวิธีป้องกัน ‘Supply Chain Attack’

จากเหตุการณ์ Supply Chain Attack หลายต่อหลายครั้งเมื่อไม่นานมานี้ ซึ่งกลายเป็นว่า Vendor ถูกโจมตีก่อน จากนั้นใช้ขยายมาสู่ลูกค้าอีกทีทำให้วันนี้ทาง CISA จึงร่วมมือกับ NIST เพื่อให้คำแนะนำหนทางการป้องกันเหตุดังกล่าว

credit : wikipedia

Defending Against Software Supply Chain Attacks เป็นความร่วมมือกันระหว่างหน่วยงานด้านความมั่นคงปลอดภัย ซึ่งกล่าวถึงเรื่องความเสี่ยงจากการโจมตี พร้อมทั้งแนะนำผู้ใช้งานซอฟต์แวร์และผู้ให้บริการว่าจะสามารถใช้ Framework อย่าง NIST Cyber Supply Chain Risk Management (C-SCRM) และ Secure Software Development Framework (SSDF) เพื่อค้นหาและบรรเทาความเสี่ยงในซอฟต์แวร์ได้อย่างไร ศึกษาเพิ่มเติมได้ที่ https://www.cisa.gov/publication/software-supply-chain-attacks

ที่มา : https://www.securitymagazine.com/articles/95103-cisa-and-nist-release-new-interagency-resource-defending-against-software-supply-chain-attacks 

from:https://www.techtalkthai.com/cisa-and-nist-guide-how-to-mitigate-supply-chain-attack/

สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password ล่าสุดจาก NIST

บทความนี้ได้สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password จากเอกสาร NIST Special Publication 800-63B Rev3 ของ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ หรือ NIST ได้แก่ การสร้างรหัสผ่านใหม่ การพิสูจน์ตัวตนด้วยรหัสผ่าน และการจัดเก็บรหัสผ่าน รวมไปถึงสาเหตุว่าทำไม เพื่อให้องค์กรเข้าใจและนำไปประยุกต์ใช้กับการออกนโยบายด้านรหัสผ่านของตนเองได้ ดังนี้

Credit: ShutterStock.com

คำแนะนำในการสร้างรหัสผ่านใหม่

การรักษาความมั่นคงปลอดภัยสำหรับรหัสผ่านเริ่มต้นด้วยการสร้างรหัสผ่านให้แข็งแกร่ง นี่ไม่ใช่แค่ความรับผิดชอบของผู้ใช้ฝ่ายเดียว แต่องค์กรจำเป็นต้องกำหนดนโยบายรหัสผ่านที่แข็งแกร่งเพียงพอ แล้วนำไปบังคับใช้กับผู้ใช้ด้วย โดยคำแนะนำในการสร้างรหัสผ่านใหม่มี 2 ข้อ คือ

1. ความยาวสำคัญกว่าความยาก

แนวคิดสมัยก่อนเชื่อว่ายิ่งรหัสผ่านซับซ้อนเท่าไหร่ ยิ่งแข็งแกร่งมากเท่านั้น แต่ที่จริงแล้ว ปัจจัยสำคัญของความแข็งแกร่งของรหัสผ่านขึ้นกับความยาวมากกว่า เนื่องจากยิ่งรหัสผ่านยาว ยิ่งเดารหัสผ่านได้ยาก นอกจากนี้ จากการวิจัยเพิ่มเติมพบว่า การบังคับให้รหัสผ่านใหม่มีความยากกลับยิ่งทำให้ความมั่นคงปลอดภัยลดลง เนื่องจากผู้ใช้หลายคนมักเพิ่มความยากให้รหัสผ่านตัวเองแบบง่ายๆ เช่น เพิ่ม “1” ไว้ด้านหน้าหรือ “!” ไว้ตอนท้าย แม้ในทางทฤษฎีจะทำให้รหัสผ่านแข็งแกร่งยิ่งขึ้น แต่เมื่อเหล่าแฮ็กเกอร์ทราบรูปแบบตรงนี้แล้ว กลับเป็นการช่วยลดเวลาในการเดารหัสผ่านให้แฮ็กเกอร์แทน ที่น่าเป็นห่วงยิ่งกว่า คือ ยิ่งรหัสผ่านซับซ้อนเท่าไหร่ ยิ่งทำให้ผู้ใช้ใช้รหัสผ่านเดิมซ้ำๆ กับหลายๆ บัญชี ซึ่งเพิ่มความเสี่ยงในการถูกโจมตีแบบ Credential Stuffing Attacks มากยิ่งขึ้น

ด้วยเหตุนี้ NIST จึงไม่บังคับเรื่องความยากของรหัสผ่าน แต่กลับบังคับเรื่องความยาวที่ต้องมีขั้นต่ำ 8 ตัวอักษรแทน

2. ตัดการรีเซ็ตรหัสผ่านใหม่ทุก 3 เดือนหรือ 6 เดือนทิ้งไป

หลายองค์กรยังคงยึดติดกับการบังคับให้ผู้ใช้รีเซ็ตรหัสผ่านบ่อยๆ เช่น ทุก 3 เดือนหรือทุก 6 เดือน โดยเข้าใจว่าเป็นการป้องกันเผื่อกรณีที่รหัสผ่านหลุดออกไป จะได้ไม่สามารถล็อกอินเข้ามาได้อีก อย่างไรก็ตาม การเปลี่ยนรหัสผ่านบ่อยๆ กลับเป็นการทำให้ความมั่นคงปลอดภัยแย่ลง เนื่องจาก ในชีวิตจริง การจดจำรหัสผ่านดีๆ สักอันไปทั้งปีถือเป็นเรื่องยากอยู่แล้ว เมื่อต้องมีหลายๆ รหัสผ่านที่จำเป็นต้องจำ ผู้ใช้จึงมักเปลี่ยนรหัสผ่านเป็นรูปแบบที่คาดเดาได้ไม่ยาก เช่น เพิ่มตัวอักษรอีก 1 ตัวต่อท้ายรหัสผ่านล่าสุดที่ใช้ หรือแทนที่ตัวอักษรบางตัวด้วยสระ เช่น “$” แทน “S” เป็นต้น เมื่อแฮ็กเกอร์รู้รหัสผ่านก่อนหน้านี้ จึงไม่ใช่เรื่องยากอะไรที่จะเดารหัสผ่านใหม่ NIST จึงแนะนำให้ตัดการรีเซ็ตรหัสผ่านใหม่เมื่อเวลาผ่านไปออกจากนโยบายขององค์กร

Credit: watcharakun/ShutterStock

คำแนะนำในการพิสูจน์ตัวตนด้วยรหัสผ่าน

วิธีที่องค์กรใช้พิสูจน์ตัวตนด้วยรหัสผ่านเมื่อผู้ใช้ทำการล็อกอินส่งผลกระทบอย่างใหญ่หลวงกับความมั่นคงปลอดภัยของรหัสผ่าน ซึ่ง NIST ได้ให้คำแนะนำในส่วนนี้ดังนี้

1. เปิดใช้งาน “แสดงรหัสผ่านขณะพิมพ์”

การพิมพ์รหัสผ่านผิดถือเป็นเรื่องปกติที่เราพบเจอ เนื่องจากสิ่งที่เราพิมพ์จะแสดงผลเป็นจุดดำหรือเครื่องหมายดอกจันทร์ ซึ่งเป็นเรื่องยากที่จะระบุได้ว่าพิมพ์ผิดตรงไหน นี่เป็นหนึ่งในเหตุผลที่ทำให้ผู้ใช้หลายรายเลือกใช้รหัสผ่านสั้นๆ เพื่อที่จะหลีกเลี่ยงปัญหานี้ โดยเฉพาะอย่างยิ่งกับเว็บไซต์ที่ยอมให้ใส่รหัสผ่านได้ไม่กี่ครั้ง ดังนั้น ควรเปิดให้มีฟีเจอร์ “แสดงรหัสผ่านขณะพิมพ์” เพื่อเพิ่มโอกาสให้ผู้ใช้พิมพ์รหัสผ่านยาวๆ ได้ถูกต้องในทีเดียว

2. เปิดให้ “วาง” รหัสผ่านในช่องที่ต้องกรอกได้

ยิ่งการใส่รหัสผ่านทำได้ง่ายเท่าไหร่ ผู้ใช้ยิ่งมีแนวโน้มที่จะตั้งรหัสผ่านยาวๆ และมีความยากมากยิ่งขึ้น การเปิดให้ “คัดลอก” และ “วาง” รหัสผ่านในช่องที่ต้องกรอกได้จึงเป็นผลดีมากกว่า โดยเฉพาะในยุคดิจิทัลที่ผู้ใช้จำเป็นต้องมีรหัสผ่านเป็นจำนวนมากและเริ่มหันไปใช้เครื่องมือจำพวก Password Manager มากขึ้น

3. ใช้การป้องกันรหัสผ่านรั่วไหล

คำแนะนำด้านรหัสผ่านล่าสุดของ NIST ระบุว่า ต้องมีการตรวจสอบรหัสผ่านใหม่กับรายการแบล็กลิสต์ เช่น คำในพจนานุกรม, คำที่ใช้ตัวอักษรเรียงกัน, คำที่ใช้เป็นชื่อต่างๆ , ข้อความที่มักใช้บ่อย หรือรหัสผ่านที่เคยหลุดออกมาสู่สาธารณะ การใช้เครื่องมือสำหรับตรวจสอบรหัสผ่านที่เคยรั่วไหลก็เป็นทางเลือกที่ช่วยให้การตั้งรหัสผ่านใหม่มีความมั่นคงปลอดภัยมากยิ่งขึ้น

4. ห้ามใช้ “Password Hints”

บางองค์กรพยายามช่วยให้ผู้ใช้จำรหัสผ่านยากๆ ได้ผ่านทางการใช้ “Password Hints” หรือให้ตอบคำถามส่วนบุคคลบางอย่าง อย่างไรก็ตาม การมีอยู่ของโซเชียลมีเดียในปัจจุบันทำให้แฮ็กเกอร์สามารถใช้ Social Engineering เพื่อหาคำตอบของข้อมูลส่วนบุคคลเหล่านั้นได้ไม่ยาก NIST จึงไม่แนะนำให้มีฟีเจอร์ในในการพิสูจน์ตัวตน

5. จำกัดจำนวนครั้งในการใส่รหัสผ่าน

แฮ็กเกอร์หลายรายใช้วิธีลองเดารหัสผ่านไปเรื่อยๆ จนกว่าจะเดาถูก (Brute-force Attack) วิธีป้องกันแบบง่ายๆ คือ การจำกัดจำนวนครั้งในการพยายามล็อกอิน และล็อกบัญชีไม่ให้ล็อกอินอีกเมื่อใส่รหัสผ่านผิดครบจำนวนครั้งที่กำหนด

6. ใช้การพิสูจน์ตัวตนแบบ 2FA

2-Factor Authentication (2FA) จะใช้การยืนยันตัวตน 2 จาก 3 วิธีดังต่อไปนี้เพื่อทำการพิสูจน์ตัวตน

  • สิ่งที่คุณรู้ เช่น รหัสผ่าน
  • สิ่งที่คุณมี เช่น มือถือ
  • สิ่งที่คุณเป็น เช่น ลายนิ้วมือ

NIST แนะนำให้ใช้การพิสูจน์ตัวตนแบบ 2FA เพื่อปกป้องข้อมูลส่วนบุคคลที่สามารถเข้าถึงได้แบบออนไลน์

Credit: ShutterStock.com

คำแนะนำในการจัดเก็บรหัสผ่าน

สำหรับการจัดเก็บรหัสผ่านให้มั่นคงปลอดภัย NIST มีคำแนะนำดังนี้

1. ปกป้องฐานข้อมูลให้มั่นคงปลอดภัย

รหัสผ่านของผู้ใช้มักถูกเก็บในฐานข้อมูล วิธีการที่ง่ายที่สุดในการปกป้องฐานข้อมูลนี้คือการจำกัดสิทธิ์ให้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงได้ รวมไปถึงทำให้มั่นใจว่าฐานข้อมูลสามารถป้องกันการโจมตีที่พบทั่วไปอย่าง SQL Injection หรือ Buffer Overflow ได้

2. แฮชรหัสผ่านของผู้ใช้

การแฮชรหัสผ่านก่อนจัดเก็บลงในฐานข้อมูลเป็นหนึ่งในกลไกสำคัญสามารถป้องกันรหัสผ่านรั่วไหลสู่สาธารณะได้ แม้แฮ็กเกอร์จะสามารถเจาะเข้ามาขโมยรหัสผ่านที่แฮชในฐานข้อมูลได้ แต่ก็ไม่สามารถถอดรหัสกลับไปเป็นรหัสผ่านปกติที่นำไปใช้ประโยชน์ต่อได้

NIST แนะนำให้ Salt รหัสผ่านเป็น 32 bits และแฮชโดยใช้ 1-way Key Derivation Function เช่น PBKDF2 หรือ Balloon รวมไปถึงมีจำนวน Iteration มากที่สุดที่เป็นไปได้ (อย่างต่ำ 10,000 ครั้ง) โดยต้องไม่ส่งผลกระทบกับประสิทธิภาพของเซิร์ฟเวอร์

ผู้ที่สนใจสามารถศึกษา Password Guideline จาก NIST ได้ที่เอกสาร NIST Special Publication 800-63B Rev3

ที่มา: https://auth0.com/blog/dont-pass-on-the-new-nist-password-guidelines/

from:https://www.techtalkthai.com/latest-password-guideline-and-practices-from-nist/

[Guest Post] NDID คือ อะไรจะเป็น New normal หรือไม่

ดร.ชัยพร เขมะภาตะพันธ์ คณบดีวิทยาลัยนวัตกรรมด้านเทคโนโลยีและวิศวกรรมศาสตร์ (CITE) และผอ.หลักสูตรปริญญาโทวิศวกรรมคอมพิวเตอร์ มหาวิทยาลัยธุรกิจบัณฑิตย์ (มธบ.) หรือ DPU เปิดเผยว่า เมื่อต้นปี 2563 ธนาคารแห่งประเทศไทย (ธปท.) เริ่มทดสอบการให้บริการเปิดบัญชีเงินฝากออนไลน์ โดยใช้การพิสูจน์และยืนยันตัวตนผ่านแพลตฟอร์ม National Digital ID หรือ NDID มีธนาคารพาณิชย์ที่นำร่องให้บริการแล้วหลายแห่ง หลังจากทำการทดสอบอยู่หลายเดือน จึงเปิดให้ใช้บริการอย่างเป็นทางการแล้วทุกวันนี้ โดยมีขั้นตอนง่ายๆ เพียงแค่มีบัตรประชาชนตัวจริงและโทรศัพท์มือถือก็สามารถเปิดบัญชีผ่านแอพพลิเคชั่นของธนาคารได้แล้ว หากนับรวมกับการทำธุรกรรมผ่านโทรศัพท์มือถือแล้วก็อาจกล่าวได้ว่าเรากำลังก้าวเข้าสู่ยุค New normal และ digital transformation มากขึ้น ดังนั้นทุกคนจึงจำเป็นต้องปรับตัวเพื่อให้ก้าวทันเทคโนโลยี

 

 

ดร.ชัยพร เขมะภาตะพันธ์ คณบดีวิทยาลัยนวัตกรรมด้านเทคโนโลยีและวิศวกรรมศาสตร์ (CITE) และผอ.หลักสูตรปริญญาโทวิศวกรรมคอมพิวเตอร์ มหาวิทยาลัยธุรกิจบัณฑิตย์ (มธบ.)

 

ดร.ชัยพร กล่าวอีกว่า สำหรับแพลตฟอร์ม NDID คือ ระบบพิสูจน์และยืนยันตัวตนทางดิจิทัล ด้วยการเก็บข้อมูลที่ระบุอัตลักษณ์ของแต่ละบุคคล นำมาสร้างระบบเชื่อมต่อข้อมูลระหว่างองค์กรต่างๆ เพื่อสร้างมาตรฐานการพิสูจน์และการยืนยันตัวตนให้มีความน่าเชื่อถือมากยิ่งขึ้น ภายใต้องค์ประกอบหลัก 3 ส่วน คือ 1. Identity Provider (IDP) ทำหน้าที่พิสูจน์และยืนยันตัวตน ให้กับผู้ขอใช้ข้อมูล 2. Authoritative Source (AS) ทำหน้าที่ให้บริการข้อมูลของลูกค้าตามที่ร้องขอ ซึ่งข้อมูลจะถูกตรวจสอบ และต้องผ่านการยินยอมให้ใช้ข้อมูล 3. Relying Party (RP) ทำหน้าที่ให้บริการในการทำธุรกรรมต่างๆ ในรูปแบบดิจิทัล อย่างไรก็ตามหากต้องการเปิดบัญชีที่ธนาคารอื่น จะเชื่อมต่อกับธนาคารหลักที่เคยยืนยันตัวตนไว้แล้ว โดยขอใช้ข้อมูลการพิสูจน์และยืนยันตัวตนจาก IDP ของธนาคารที่เคยให้การยินยอมไว้ ก็สามารถเปิดบัญชีกับธนาคารอื่นได้สำเร็จ โดยไม่ต้องไปยืนยันตัวตนที่สาขา แต่ใช้วิธียืนยันตัวตนอีกครั้งด้วยข้อมูลชีวมิติเช่นการสแกนใบหน้า ลายนิ้วมือ เป็นต้น หรือจะใช้รหัส OTP ก็ขึ้นอยู่กับเงื่อนไขของธนาคารนั้นๆ ผ่านโทรศัพท์มือถือหรือร้านสะดวกซื้อใกล้บ้านแทน

            ทั้งนี้การใช้ NDID ที่มีความปลอดภัยสูงร่วมกับ National Institute of Standards and Technology หรือ NIST  ซึ่งเป็นหน่วยงานที่สนับสนุนและรักษามาตรฐานความปลอดภัยในการปกป้องระบบขององค์กรและด้านไซเบอร์ จากสหรัฐอเมริกา ได้กำหนดกรอบมาตรฐานของการยืนยันตัวตนผ่านระบบออนไลน์ ช่วยสร้างความน่าเชื่อถือมากขึ้น สำหรับข้อดีของการเปิดบัญชีออนไลน์ คือ สะดวก รวดเร็ว ลดการกรอกข้อมูลซ้ำซ้อน ไม่ต้องเดินทางมาแสดงตนที่สาขา ลดภาระงานของเจ้าหน้าที่ ไม่ต้องใช้เอกสารมากมาย และมีความปลอดภัยสูง ที่สำคัญยุคนี้เป็นยุค New normal ที่ทุกคนต้องรักษาระยะห่างทางสังคม เพื่อป้องกันการแพร่ระบาดของเชื้อไวรัสโควิด-19 ดังนั้นการทำธุรกรรมออนไลน์จะช่วยลดความแออัดในธนาคารและลดความเสี่ยงต่อการติดเชื้อได้อีกด้วย      

ขณะนี้การใช้งาน NDID กำลังคืบหน้าไปอีกระดับหนึ่ง ซึ่งกระทรวงพาณิชย์กำลังดำเนิการอยู่ได้แก่การให้บริการ NDID สำหรับนิติบุคคล เช่น บริษัท ห้าง ร้านค้าต่าง ๆ  เป็นต้น เพื่อพิสูจน์ว่าเป็นตัวแทนหรือผู้ดำเนินการสำหรับนิติบุคคลนั้นจริง ๆ หรือการมอบอำนาจทางดิจิทัล เพื่อการดำเนินการระหว่างหน่วยงานซึ่งอาจมีผลผูกพันทางกฎหมาย

 

from:https://www.techtalkthai.com/guest-post-cite-dpu-national-digital-id/

[Webinar Replay] เสริมความมั่นคงปลอดภัยให้ธุรกิจไทย – แนวทางการปรับใช้ NIST Cybersecurity Framework (CSF) ในธุรกิจองค์กร

รับชม Webinar ย้อนหลัง กับประเด็น “เสริมความมั่นคงปลอดภัยให้ธุรกิจไทย – แนวทางการปรับใช้ NIST Cybersecurity Framework (CSF) ในธุรกิจองค์กร”

CSF ที่ถูกพัฒนาขึ้นโดย National Institute of Standards and Technology (NIST) นี้ได้รวบรวมเอาแนวปฏิบัติที่ดีที่สุดอันหลากหลายเข้าไว้ด้วยกัน เพื่อช่วยให้ธุรกิจองค์กรสามารถกำหนดแนวทาง, บังคับใช้งาน แและปรับปรุงแนวทางการรักษาความมั่นคลอดภัยและมีภาษากลางสำหรับใช้ในการสื่อสารประเด็นปัญหาต่างๆ ที่เกิดขึ้นระหว่างผู้ที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ

ใน Webinar ครั้งนี้นอกจากจะเล่าถึง NIST CSF แล้ว ก็ยังจะมีการแนะนำโซลูชัน Tenable Lumin ซึ่งเป็นโซลูชันที่ช่วยวิเคราะห์, แสดงผล และวัดค่าต่างๆ ด้าน Cybersecurity ภายในองค์กร เพื่อช่วยลด Cyber Exposure ภายในองค์กรให้น้อยลงได้

ผู้ที่สนใจสามารถรับชม Webinar นี้ย้อนหลังได้ที่ https://www.tenable.com/webinars/apac-improving-cyber-security-in-thai-organisations

from:https://www.techtalkthai.com/webinar-replay-nist-cybersecurity-framework-by-tenable/

NIST แจกฟรีเอกสารแนะนำการบริหารจัดการความเสี่ยงของอุปกรณ์ IoT

NIST ได้ออกเอกสารแนะนำผู้บริหารและผู้จัดการให้เข้าใจถึงความเสี่ยงและวิธีการบริหารจัดการความเสี่ยงของอุปกรณ์ IoT

credit : nist report

เอกสารจำนวน 34 หน้าชื่อว่า “Considerations for Managing Internet of Things Cybersecurity and Privacy Risks” กล่าวถึงนิยามพื้นฐานและปัญหาร้ายแรง เช่น ความแตกต่างระหว่าง Security และ Privacy จากนั้นจะกล่าวถึงเรื่องอื่นๆ เช่น ความสามารถของ Security บนตัวฮาร์ดแวร์ด้าน IT และระบบ IoT เป็นต้น นอกจากนี้ยังพูดถึงขั้นตอน Risk Mitigation ใน 3 ส่วนด้วยคือ Device Security, Data Security และ Individual Privacy

สำหรับผู้สนใจสามารถดาวน์โหลดเอกสารได้ที่นี่ (มีสีสันประกอบสวยงาม) ทั้งนี้ NIST แนะนำว่ารายงานนี้เป็นเอกสารสำหรับผู้บริหารแต่ในอนาคตจะออกรายงานเชิงเทคนิคที่เข้มข้นกว่านี้มาแจก 

ที่มา :  https://www.darkreading.com/iot/nist-issues-iot-risk-guidelines/d/d-id/1335080

from:https://www.techtalkthai.com/nist-free-report-iot-risk-management/

[Guest Post] Cybersecurity สำหรับธุรกิจขนาดเล็ก

ธุรกิจแบบไหนบ้างที่มีความเสี่ยงด้านความมั่นคงปลอดภัยบนโลกไซเบอร์

สำหรับเจ้าของธุรกิจขนาดเล็กแล้ว มีอุปสรรคมากมายที่ต้องเผชิญ รวมถึงความมั่นคงปลอดภัยของเทคโนโลยี เพราะทุกความเสี่ยงย่อมสร้างความเสียหายให้กับธุรกิจ และคำแนะนำส่วนมากก็มักเขียนสำหรับองค์กรใหญ่ๆ วันนี้เราจึงอยากพูดถึงความมั่นคงปลอดภัยไซเบอร์สำหรับธุรกิจขนาดเล็ก

ความมั่นคงปลอดภัยไซเบอร์สำหรับธุรกิจขนาดเล็กแตกต่างจากองค์กรขนาดใหญ่อย่างไร?

ในระดับพื้นฐาน เทคนิคที่ใช้สำหรับปกป้องธุรกิจขนาดเล็กนั้นแทบไม่แตกต่างจากองค์กรใหญ่ๆ อาจต่างกันเพียงแค่ ความซับซ้อน ความยืดหยุ่น และความชำนาญเท่านั้น

เครือข่ายขนาดเล็ก แน่นอนว่ามีความซับซ้อนที่น้อยกว่า นั่นก็หมายความการป้องกันทำได้ง่ายกว่า แต่ถ้าคุณไม่มีความชำนาญมากพอที่จะปกป้องอุปกรณ์และข้อมูลที่เหมาะสม หากพูดถึงเรื่องต้นทุนการป้องกันย่อมน้อยกว่า แต่ถ้าความเสียหายเกิดขึ้น สัดส่วนที่อุปกรณ์จะได้รับผลกระทบนั้นมากกว่าหากเทียบกับองค์กรที่มีขนาดใหญ่

ซึ่งทางสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้รวบรวมข้อมูลสำหรับเจ้าของธุรกิจขนาดเล็ก เป็นจุดเริ่มต้นความปลอดภัยที่ดี เข้าชมได้ที่เว็บไซต์ https://www.nist.gov/itl/smallbusinesscyber

ผมหวังว่านี่จะเป็นจุดเริ่มต้นที่ดีสำหรับคนที่พยายามนำความมั่นคงปลอดภัยเข้ามาให้ธุรกิจของตัวเอง ไม่ว่าจะเล็กหรือใหญ่และช่วยเติมเต็มความมั่นคงปลอดภัยให้กับโลกออนไลน์ เพราะการรักษาความปลอดภัยไม่ได้เพียงแต่ปกป้ององค์กรธุรกิจของคุณ แต่ก็เป็นการปกป้องลูกค้าและสภาพแวดล้อมบนโลกดิจิตอลอีกด้วย

เกี่ยวกับ ESET

ESET เป็นผู้บุกเบิกการป้องกันไวรัส ด้วยเทคโนโลยี NOD32 ที่ได้รับการพัฒนามานานกว่า 30 ปี เป็นผู้นำในอุตสาหกรรมและบริการความปลอดภัย IT ทั้งแบบบุคคลและองค์กรทั่วโลก ด้วยโซลูชันที่ครอบคลุมการใช้งานที่หลากหลายและรองรับทุกแพลตฟอร์ม ผลิตภัณฑ์ของ ESET เป็นตัวแทนของประสิทธิภาพและการใช้งานที่ง่าย ทำให้ผู้ใช้และองค์กรสามารถใข้งานเทคโนโลยีได้อย่างเต็มประสิทธิภาพ ด้วยการป้องกันตลอด 24 ชั่วโมง และสำนักงานวิจัยและพัฒนาที่คอยตรวจสอบภัยคุกคามที่เกิดขึ้นใหม่ตลอดเวลา การันตีด้วยรางวัล VB100 จาก Virus Bulletin ต่อเนื่องมากกว่า 100 รางวัล

ESET ปกป้องผู้ใช้มากกว่า 110 ล้านเครื่อง ในพื้นที่มากกว่า 200 ประเทศ

ติดตาม ESET ได้ที่ ESET Thailand และข่าวสารความมั่นคงปลอดภัยที่ Blog ESET

from:https://www.techtalkthai.com/guest-post-cybersecurity-for-small-business-by-eset/