Breaking News

แนะนำ ‘PentestCrowd’ แพลตฟอร์มล่าบั๊กแห่งแรกในประเทศไทยโดยทีมงานมืออาชีพจาก ACinfotec

สำหรับนักเจาะระบบทั้งหลายไม่ว่าจะเป็น นิสิต นักศึกษา นักวิจัยอิสระ หรือผู้มีอาชีพในสายงาน Pentest วันนี้เวทีของท่านมาถึงแล้วซึ่งเป็นครั้งแรกในประเทศไทยกับโครงการ Bug Bounty เมื่อ ACinfotec หนึ่งในบริษัทด้าน Security Consulting รายใหญ่ได้ออกมาเปิดตัวแพลตฟอร์มที่ชื่อ ‘PentestCrowd’ (เพ็นเทสต์คราวด์) โดยเปิดรับสมัครผู้สนใจรอบแรกแล้ว อนึ่งเวทีนี้ยังเป็นโอกาสอันดีขององค์กรต่างๆ ทั้งจากภาครัฐและเอกชนให้มาเข้าร่วมเปิดระบบเพื่อทดสอบความแข็งแกร่งกับ Pentester มืออาชีพภายใต้กติกาที่รัดกุม อีกทั้งยังสามารถควบคุมค่าใช้จ่ายอย่างมีประสิทธิภาพเพราะเป็นการ ‘จ่ายเมื่อเจอ'(ช่องโหว่) เท่านั้น

Read More »

[Guest Post] การบริหารความเสี่ยง (Risk Management) คืออะไร?

ในปัจจุบันนั้นเทคโนโลยีของการเงินการธนาคาร (Fintech หรือ Financial technology) หรือสถาบันการเงินนั้นได้มีการพัฒนาและมีการปรับตัวเข้าสู่ยุคดิจิตอลมากขึ้นเรื่อย ๆ ซึ่งเราจะเห็นได้จากปริมาณของการทำธุรกรรมการเงินออน์ไลน์ ที่มีปริมาณมากแบบก้าวกระโดด จนธนาคารและสถาบันการเงินต่าง ๆ เริ่มที่จะมีการปรับตัวในส่วนการทำธุรกรรมในรูปแบบใหม่ ๆ ที่ให้บริการทางการเงินบนโลกออนไลน์ เพื่อให้มีความรวดเร็ว และปลอดภัยมากยิ่งขึ้น ซึ่งทำให้ในปัจจุบันนั้น เราจะได้ยินคำว่าบล็อกเชน (Blockchain) กันมากขึ้นเรื่อย ๆ

Read More »

[Guest Post] วิเคราะห์ Certifications ที่เกี่ยวข้องกับกลุ่มประกันภัย

หลังจากที่ทาง คปภ. ออกประกาศฉบับใหม่เรื่อง “หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงิน หรือค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ. 2560” โดยบริษัทประกันจะต้องผ่านการตรวจประเมินด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security/ Cyber Security) โดยผู้ตรวจสอบอิสระที่มี Certificate CISSP, CISA, CISM, ISO 27001 หรือ โดย CB (Certification Body) เชื่อว่าหลายคนที่อยู่ในวงการคงสนใจ Certificate เหล่านี้มากขึ้น บทความนี้ขอนำ Certificate ที่เป็นที่นิยมอย่าง CISSP, CISA, CISM มาวิเคราะห์กันครับ เผื่อใครกำลังคิดว่าจะสอบอะไรดี

Read More »

ACInfotec เปิดหลักสูตร PECB Certified ISO31000 Risk Manager เรียน 1-3 มีนาคม 2017

เมื่อธุรกิจต้องปรับตัวอยู่เสมอ คุณรับมืออย่างไรกับความเสี่ยงที่องค์กรต้องเผชิญ ? ACTC ขอเสนอหลักสูตร “PECB Certified ISO31000:2009 Risk Manager” ระหว่างวันที่ 1-3 มีนาคม 2017

Read More »

[Guest Post] บล็อกเชน (Blockchain)

ในปัจจุบันนั้นเทคโนโลยีของการเงินการธนาคาร (Fintech หรือ Financial technology) นั้นได้มีการพัฒนาและมีการปรับตัวเข้าสู่ยุคดิจิตอลมากขึ้นเรื่อย ๆ ซึ่งเราจะเห็นได้จากปริมาณของการทำธุรกรรมการเงินออน์ไลน์ ที่มีปริมาณมากแบบก้าวกระโดด จนธนาคารและสถาบันการเงินต่าง ๆ เริ่มที่จะมีการปรับตัวในส่วนการทำธุรกรรมในรูปแบบใหม่ ๆ ที่ให้บริการทางการเงินบนโลกออนไลน์ เพื่อให้มีความรวดเร็ว และปลอดภัยมากยิ่งขึ้น ซึ่งทำให้ในปัจจุบันนั้น เราจะได้ยินคำว่าบล็อกเชน (Blockchain) กันมากขึ้นเรื่อย ๆ ตัวอย่างเช่น ธนาคารชั้นนำของประเทศสวิสเซอร์แลนด์อย่าง UBS หรือแม้กระทั่งบริษัทเทคโนโลยีชั้นนำอย่าง IBM เอง ก็เริ่มออกผลิตภัณฑ์ด้านการให้บริการบล็อกเชนออกมาสำหรับในหลาย ๆ ภาคอุตสาหกรรม

Read More »

[Guest Post] รู้จักกับ Covert Channel

Covert (adj.) = Hidden or Secret คำว่า Covert Channel ในมุมของ Security หมายถึง วิธีการส่งข้อมูลระหว่างเครื่องโดยวิธีการที่ทำให้ผู้ที่ดูแล Network นั้นอยู่ไม่รู้ตัว (หรือว่าตรวจสอบได้ยากมาก)

Read More »

TechTalk Webinar: วิดีโอย้อนหลังเรื่อง รู้จักมาตรฐานต่างๆ ในวงการ IT สำหรับองค์กร และภาพรวมของ ISO/IEC27001:2013

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “รู้จักมาตรฐานต่างๆ ในวงการ IT สำหรับองค์กร และภาพรวมของ ISO/IEC27001:2013 ” โดยคุณจริญญา จันทร์ปาน Sales and Solution Delivery Director บริษัท เอซีอินโฟเทค จำกัดและบริษัท โซลเวนเจอร์ จำกัด ซึ่งเป็นการปูพื้นฐานด้านมาตรฐานต่างๆ ในสาย IT ที่เกี่ยวข้องกับการทำงานในระดับองค์กร และรูจักกับมาตรฐาน ISO/IEC27001:2013 เบื้องต้น สามารถดูวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Read More »

ลุ้นรับสิทธิ์เข้าร่วมงาน ACinfotec C-SEC 2016 อัปเดตเทรนด์ทางด้านการรักษาความปลอดภัยสำหรับองค์กร

ACinfotec จับมือ Bureau Veritas จัดงาน C-SEC 2016 | Plan to Win: Getting Ahead of Cyber Threats เพื่ออัปเดตความรู้และเทรนด์ทางด้านการรักษาความปลอดภัยสำหรับองค์กร โดยทาง TechTalkThai ได้รับโควต้าเข้าร่วมงานมาแจกจำนวนหนึ่ง จึงขอนำมาแจกพร้อมรายละเอียดดังนี้ครับ

Read More »

[Guest Post] PCI DSS เวอร์ชั่น 3.2 มีอะไรใหม่บ้าง?

หลายๆ ท่านที่อยู่ในวงการความปลอดภัยข้อมูลสารสนเทศ หรือแม้แต่อยู่ในวงการเงินการธนาคารเอง คงจะทราบถึงหรือรู้จักเจ้ามาตรฐาน Payment Card Industry Data Security Standard หรือ PCI DSS กันเป็นอย่างดี เพราะ PCI DSS นั้น ถือว่าเป็นมาตรฐานหลัก ที่ได้ถูกออกแบบโดย Payment Card Industry Security Standards Council หรือ PCI SSC มาเพื่อควบคุมการใช้งานข้อมูล ของผู้ใช้บัตรอิเล็กทรอนิกส์ เช่น บัตรเครดิต บัตรเดบิต และบัตรเงินสด เพื่อเข้ามาช่วยในการป้องกันการใช้งานข้อมูลบัตรอย่างเหมาะสม และเพื่อลดการเกิดการฉ้อโกงการใช้จ่ายผ่านบัตรอิเล็กทรอนิกส์เหล่านั้น ซึ่งจะรวมถึงบัตรประเภท Visa, MasterCard, American Express, Discovery และ JCB นั่นเอง

Read More »

ACinfotec เปิดรับสมัคร Penetration Tester จำนวน 2 ตำแหน่ง ทำงานด้าน Cybersecurity ในกรุงเทพ

ACinfotec บริษัทชั้นนำทางด้าน IT Consult ที่มีความเชี่ยวชาญทางด้าน Cybersecurity ครบวงจรทั้งการ Consult, Training และนำเสนอโซลูชันต่างๆ ได้เปิดรับสมัคร Penetration Tester จำนวน 2 ตำแหน่ง โดยมีรายละเอียดดังนี้

Read More »

ความพร้อมเข้าสู่ยุค IT Governance

ทุกวันนี้หลายองค์กรชั้นนำในประเทศไทยหรือทั่วโลก กำลังกล่าวถึงคำว่า “Best Practices” หรือมาตรฐานที่ควรนำมาเป็นแนวทางในการเตรียมระบบสารสนเทศขององค์กรให้พร้อมเข้าสู่ยุค IT Governance โดยที่ “Best Practices” หรือบางองค์กรจะเรียกว่า “Good Practice” ที่นิยมนำมาประกอบใช้ร่วมกันนั้น มีหลายแบบมาก เช่น ITIL, ISO/IEC 20000, ISO/IEC 27001, Project Management หรือ CobiT เป็นต้น

Read More »

DDoS Simulation Service นิยามใหม่ DDoS ในรูปแบบที่ควบคุมได้

การโจมตีของแฮกเกอร์มีหลายรูปแบบ เช่น ต้องการเข้าถึงเครือข่ายและเครื่องเป้าหมายเพื่อขโมยข้อมูลด้วยการใช้หลากหลายเทคนิคหรือไม่ต้องการเจาะระบบแต่ต้องการทำให้ระบบเป้าหมายให้บริการไม่ได้ซึ่งรูปแบบการโจมตีแบบนี้เรียกว่า DoS (Denial-of-Service Attack) หากจำนวนเครื่องที่ถูกนำมาใช้โจมตีเป้าหมายมีจำนวนมากระดับหนึ่งถึงจะเรียก DDoS (Distributed Denial-of-Service Attack) ซึ่งกลุ่มคนในวงการ IT หรือ Security น่าจะรู้จักกันเป็นอย่างดีอยู่แล้วหรือแม้แต่อาจจะเคยถูกโจมตีในลักษณะนี้แล้วเช่นกัน

Read More »

ภัยร้ายปีวอก

รายงานการคาดการณ์ความปลอดภัยของข้อมูลหลายๆ Products หลายๆสำนักเห็นตรงกันว่าปี 2559 จะมีกระแสภัยคุกคามรูปแบบเดิมที่พัฒนามา Advance มากขึ้น รวมไปถึงภัยแบบใหม่ๆ เช่น ไวรัสเรียกค่าไถ่ชั้นสูงที่จะพัฒนามาสู่ Platform ต่างๆ ที่มากกว่า Windows ซึ่งการโจมตีจะพุ่งเป้าไปที่ระบบปฏิบัติการ iOS หรือ Android มากขึ้น รวมไปถึงช่องโหว่ใหม่ๆ เพื่อให้คนร้ายสามารถขโมยข้อมูลส่วนตัวเพื่อนำไปแอบอ้างตัวตนได้ อีกทั้งภัยคุกคามเดิมๆที่เราคุ้นเคยก็ยังคงอยู่ เช่น Email หลอกลวง เว็บไซด์ปลอม ไปจนถึง Malwares ที่แฝงตัวมากับโฆษณาต่างๆ

Read More »

สร้างคนในโลกไซเบอร์

ในช่วงหลายปีที่ผ่านมาได้พบว่าภัยคุกคามทางด้านไซเบอร์นั้นมีแนวโน้มที่จะเพิ่มขึ้นเรื่อยๆ ซึ่งประเทศไทยเป็นหนึ่งในประเทศที่กำลังพัฒนาและตั้งอยู่ในภูมิภาคอาเซียน อีกทั้งประเทศในอาเซียนส่วนใหญ่ยังมีความตระหนักถึงภัยทางด้านไซเบอร์อยู่น้อย การเตรียมการเพื่อรับมือกับภัยคุกคามรูปแบบใหม่ดังกล่าวจึงเป็นสิ่งที่สำคัญ และจะต้องเตรียมความพร้อมให้ครอบคลุมในทุกๆ ด้าน ไม่ว่าจะเป็น การพัฒนากระบวนการทางด้านความมั่นคงปลอดภัยไซเบอร์ การจัดหาเทคโนโลยีที่เหมาะสม โดยเฉพาะอย่างยิ่งการพัฒนาบุคลากรที่มีความเชี่ยวชาญทางด้านไซเบอร์ออกมาเพื่อรองรับความต้องการที่สูงขึ้นทั้งในภาครัฐและเอกชน

Read More »

[Guest Post] ภัยเงียบจากสงคราม Cyber

ตอนนี้ทั่วโลก รวมไปถึงประเทศไทยมีแนวโน้มกำลังเข้าสู่ยุคแห่งการทำสงครามไซเบอร์ (Cyber Warfare) โดยที่คนในวงการจะพบเจอบ่อยๆ ไม่ว่าจะเป็นการทำ DDoS Attack, Web Defacement เป็นต้น ซึ่งในการทำ Cyber War นั้นจะมีทั้งรูปแบบที่เป็น Attack และ Defense แต่จริงๆแล้วการทำ Cyber War ไม่ใช่เรื่องเทคนิคตามที่เห็นกันเพียงอย่างเดียว โดยยังมีในมุมที่เกี่ยวกับเรื่อง Information Content ด้วย ไม่ว่าจะเป็น การประชาสัมพันธ์ การโฆษณา การให้ข่าว ในปัจจุบันที่ทุกๆ องค์กรทำนื้นก็ใช้ผ่าน Cyber และ/หรือ Social network มากขึ้นเรื่อยๆ ดังนั้นการค้นหาข้อมูล การเสพข่าว การบริโภคสื่อ จึงต้องมีความระมัดระวังเป็นพิเศษ เพราะการรังแก โจมตี โดยสุดท้ายตกเป็นผู้เสียหายกันผ่านทาง Cyber นั้นยิ่งทวีความรุนแรงขึ้นเรื่อยๆ

Read More »

Scenario-based Risk Assessment เหมาะหรือไม่กับองค์กรของท่าน

การประเมินและบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เป็นกระบวนการที่สำคัญที่องค์กรทุกระดับพึงจัดให้มีขึ้น เพื่อปกป้องธุรกิจและสร้างความสอดคล้องกับกฎหมาย เพราะความเสี่ยงในธุรกิจทุกวันนี้มีการเปลี่ยนแปลงทุกวัน อีกทั้งภัยคุกคามปัจจุบันก็มีมากมายและมีความชำนาญขึ้นเรื่อยๆ วิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่นิยมใช้งานอย่างแพร่หลายในองค์กรต่างๆ ที่ Implement ISO 27001:2005 คือวิธีการที่เรียกว่า Asset-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนง่ายๆ ดังนี้

Read More »

โลกเล็กๆ และความน่ากลัวของกลุ่มเมฆ

ปัจจุบันการจัดหา จัดซื้อ อุปกรณ์คอมพิวเตอร์มาสนับสนุนการทำงานจำเป็นต้องมีการลงทุนสูงมาก ไม่ว่าจะเป็นต้องหาพื้นที่ในการติดตั้ง มีสถานที่ที่มีการควบคุมอุณหภูมิ ความชื้น มีระบบไฟฟ้าที่ดี มีการจัดการระบบสำรองต่างๆ หลังจากยุคนั้นก็มีการลดต้นทุน โดยการจัดหาทรัพยากรมีเป็นแบบเช่าใช้ ทั้งเป็นเครื่อง Server หรือแม้แต่สถานที่การติดตั้ง (Co-Location) ผ่านทาง Service Provider หลายๆราย และในปัจจุบันก็มีก็ได้มีวิธีการแก้ไขปัญหาหรือลดต้นทุนขึ้นมาในรูปแบบใหม่เกิดขึ้นมาเป็น การประมวลผลกลุ่มเมฆ (Cloud Computing) ซึ่งก็คือการนำเครื่อง Server จำนวนมากาเชื่อมโยงหากัน ผ่านเครือข่ายความเร็วสูง โดยผู้ใช้งานไม่จำเป็นต้องมี Hardware หรือ Software ใดๆ ที่เป็นข้อจำกัดอีกต่อไป อีกทั้งยังสามารถเพิ่มหรือลดจำนวนทรัพยากรได้ตามความต้องการ สะดวกสบายสุดๆ

Read More »

แผนที่ของ Tor – The Onion Router

  การโจมตีที่ดีย่อมต้องคู่กับการทำอย่างไรให้จับตัวยาก ซึงหนึ่งในวิธีการพรางตัวยอดนิยมของคนกลุ่มนี้ในโลก Online นั่นคือการใช้ Tor (The onion router) โดยทำตัวเป็น anonymous Proxy chain ทำให้ตามหาแหล่งต้นตอได้ยากและใช้เวลานานในการค้นหา เหมือนกับ “Catch me if you can” นั้นเอง ล่าสุด Luke Millanta (Software Developer จาก Austraria) ได้ทำการนำข้อมูลของ Tor node มาทำการวิเคราะห์และ Plot บนแผนที่โลกเพื่อดูว่าการกระจายตัวของ Tor node นั้นอยู่ตำแหน่งใด โดยสามารถพิจารณาข้อมูลได้จาก onionview.com ตามรูปด้านล่าง

Read More »