CDIC2019 Masterclass Workshops

ภาคปฏิบัติ

ภาคปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ จำนวน 29 หัวข้อ

IT Management Workshops
สำหรับผู้บริหาร ผู้อำนวยการ ผู้จัดการ สายงานด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยสารสนเทศ


MW-01
Cybersecurity Compliance Gap Assessment
การประเมินสถานภาพความพร้อมและดำเนินการตามข้อกฎหมาย พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ (1 วัน)
  • ภาพรวมข้อกำหนดตามกฎหมาย พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์
  • ภาพรวมข้อกำหนดและสิ่งที่ต้องดำเนินการสำหรับหน่วยงาน
  • ภาพรวมข้อกำหนดสำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII)
  • เกณฑ์การประเมิน (Gap Assessment Criteria)
  • แนวทางการประเมิน (Gap Assessment Approach)
  • ข้อสรุปสำหรับการเตรียมความพร้อมและดำเนินการตามข้อกฏหมาย
MW-02
Cybersecurity Risk Assessment
การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (1 วัน)
  • ภาพรวมข้อกำหนดตามมาตรฐานและแนวปฏิบัติสำหรับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
  • กรอบการบริหารจัดการความเสี่ยง บริบท และขอบเขตสำหรับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
  • กระบวนการประเมินความเสี่ยงและแนวทางการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
  • การระบุความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ และสรุปผลการประเมินความเสี่ยง
  • การจัดทำแผนบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
MW-03
Cybersecurity Framework Implementation
การจัดทำและดำเนินการตามกรอบมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ (2 วัน)
  • ภาพรวมกรอบมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Framework: CSF)
  • CSF: Identify การระบุความเสี่ยง ประเมิน และจัดการความเสี่ยง
  • CSF: Protect การจัดทำมาตรการและแนวปฏิบัติ
  • CSF: Detect การตรวจสอบและเฝ้าระวัง
    • ตัวอย่างกระบวนการ ระบบตรวจสอบและระบบเฝ้าระวัง
    • ตัวอย่าง Cybersecurity Monitoring
    • ตัวอย่าง Cyber Drill
    • ตัวอย่าง Cyber Range
    • ตัวอย่าง Cyber Threat Intelligence
  • CSF: Response การเผชิญเหตุและการตอบสนอง
    • ตัวอย่างแนวทางการจัดทำและดำเนินการแผนรับมือภัยคุกคามไซเบอร์ (Cybersecurity incident response plan)
  • CSF: Recover การฟื้นฟูความเสียหาย
    • ตัวอย่างแนวทางการจัดทำและดำเนินการ Cyber Forensic and Investigation
    • ตัวอย่างแนวทางแผนกู้คืนระบบ
MW-04
Personal Data Protection (Privacy) Compliance Gap Assessment
การประเมินสถานภาพความพร้อมและดำเนินการตามข้อกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล(1 วัน)
  • ภาพรวมข้อกำหนดตามกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
  • ภาพรวมข้อกำหนดสำหรับผู้ควบคุมข้อมูลส่วนบุคคล (DP Controller)
  • ภาพรวมข้อกำหนดสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล (DP Processor)
  • ภาพรวมข้อกำหนดสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
  • เกณฑ์การประเมิน (Gap Assessment Criteria)
  • แนวทางการประเมิน (Gap Assessment Approach)
  • ข้อสรุปสำหรับการเตรียมความพร้อมและดำเนินการตามข้อกฎหมาย
MW-05
Privacy Impact Assessment (PIA)
การประเมินผลกระทบต่อความเป็นส่วนตัว (1 วัน)
  • หลักการพื้นฐานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Fundamental principle in privacy information)
  • ภาพรวมของการประเมินผลกระทบต่อความเป็นส่วนตัว (Overview of PIA)
  • มาตรฐานและแนวปฏิบัติสำหรับการประเมินผลกระทบต่อความเป็นส่วนตัว (International standards and leading practices)
  • กระบวนการประเมินผลกระทบต่อความเป็นส่วนตัว (Process for conducting a PIA)
  • รายงานผลการประเมินผลกระทบต่อความเป็นส่วนตัว (PIA report)
MW-06
Implementing ISO/IEC 27701 Extension to ISO/IEC 27001 and ISO/IEC 27002 for Privacy Information Management
แนวทางดำเนินการตามมาตรฐานการบริหารจัดการข้อมูลส่วนบุคคล (1 วัน)
  • From ISMS to Privacy Information Management System (PIMS)
  • Overview: Introduction
  • PIMS-specific Requirements
    • Context of the organization
    • Leadership
    • Planning
    • Support
    • Operation
    • Performance evaluation
    • Improvement
  • PIMS-specific Guidance (Information Security and Privacy)
  • Guidance for PII Controllers
  • Guidance for PII Processors
  • Relationships to Other Related Standarrds
    • ISO/IEC 29100 Privacy Framework
    • ISO/IEC 27001 ISMS Requirements
    • ISO/IEC 27002 ISMS Controls
    • Mapping to ISO/IEC 27018 (Code of Practice for Protection of PII in Public Clouds Acting as PII Processors
    • Mapping to ISO/IEC 29151 (Code of Practice for PII Protection)
    • Mapping to the General Data Protection Regulation (GDPR)
MW-07
IoT Security Management
การบริหารจัดการความมั่นคงปลอดภัยของ Internet of Things (IoT) (1 วัน)
  • IoT Challenges
  • IoT Service and Endpoint Ecosystem
  • IoT Security Model
  • IoT Security Assessment Checklist
  • IoT Privacy Consideration
MW-08
Introduction to PCI DSS Implementation
การพัฒนามาตรฐานความปลอดภัยของข้อมูลสำหรับอุตสาหกรรมที่เกี่ยวข้องกับบัตรชำระเงิน (1 วัน)
  • The Purpose of the PCI DSS and the Requirement for Protection of Cardholder Data
    • PCI DSS Objectives and Intention
    • Related PCI Standards and Programmes
  • Understand How PCI DSS Compliance is Enforced by the Payment Brands
    • Compliance Needs for Merchants and Service Providers.
    • Explanation of the Different Levels
  • Understand How Compliance Must be Reported by Merchants and Service Providers
    • Overview of the 12 Standard Requirements
    • Scoping and Applicability of the PCI DSS
    • Technical Implementation of the Requirements
    • Maintaining Compliance
MW-09
Social Media Intelligence Analysis and Investigation
เทคนิคการวิเคราะห์ข้อมูลสื่อสังคมออนไลน์ (1 วัน)
  • Twitter Investigation and Intelligence
  • Uncover and Discover Email Id from Name and Domain
  • Identify LinkedIn Profile by using on Open Source Advance Search Intelligence
  • OSINT for Pinterest
  • Reddit Forensics Investigation and accumulate actionable Intelligence
  • Instagram Forensics, Investigation, and Reconnaissance
  • Perform Facebook Investigation and Forensics with Zero Cost
  • Case Studies
MW-10
Implementing Cybersecurityecurity Incident Handling and Response
การจัดการและตอบสนองอุบัติการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ (1 วัน)
  • Introduction
  • Preparation
  • Preparation of People and Policy
  • Blue Team Building and Management
  • Identification
  • Where Does Identification Occur?
  • What to Check?
  • Containment
  • Deployment and Categorization
  • Short-term and Long-term Actions
  • Eradication
  • Restoring and Improving Defenses
  • Recovery
  • Validation and Monitoring
  • Lessons Learned
  • Meet, Fix, and Share
MW-11
GDPR, Cybersecurity Law & Data Protection Law Update
ตามติดกฎหมายความมั่นคงปลอดภัยไซเบอร์หมายความมั่นคงปลอดภัยไซเบอร์ กฎหมายคุ้มครองข้อมูลส่วนบุคคล และ GDPR(1 วัน)
  • Overview of the Future Trend of Regulatory Compliance and Upcoming Thailand IT-related & Digital Laws
  • Understanding the Differentiation and Relationship of Laws
    • Electronics Transaction Laws
    • Computer Crime Laws
    • Cybersecurity Laws
    • Data Protection Laws
  • Key Matters of Cybersecurity Laws
  • Key Matters of Data Protection Laws
  • Key Matters of GDPR and Data Protection Laws
MW-12
Building Cyber Resilience for the Enterprises Hands-on Workshop
สร้างภูมิคุ้มกันด้านความมั่นคงปลอดภัยไซเบอร์ผ่านการปฏิบัติจริง (1 วัน)
  • Risk-based Standards and Best Practices for Cybersecurity
  • Understanding Cybersecurity/Cyber Resilience vs. Business Continuity
  • Establishing Cybersecurity Framework
  • Cybersecurity Risk Management
  • Cybersecurity Incident Response
  • Cybersecurity and Cyber Resilience Review (CRR)
MW-13
Data Governance Framework and Guidelines
กรอบและแนวทางการธรรมาภิบาลของข้อมูล (2 วัน)
  • Introduction
  • Data Governance Fundamentals and Concept
  • Data Management Fundamentals
  • International Data Governance Framework
  • Data Definition
  • Data Rule
  • Data Governance Structure
  • Thailand Data Governance Framework
    • Exercise #1 Data Governance Readiness Assessment
  • Introduce DAMA DMBOK2
  • Data Management Overview
    • Data Governance
    • Data Architecture
    • Data Modeling and Design
    • Data Storage and Operations
    • Data Security
    • Reference and Master Data
    • Data Warehousing and Business Intelligence
    • Data Integration and Interoperability
    • Documents and Content
    • Metadata
    • Data Quality

Software Development Workshops
สำหรับนักพัฒนาซอฟต์แวร์ และโปรแกรมเมอร์


SW-01
How to Securing RESTful API
การสร้าง RESTful API อย่างไรให้ปลอดภัยจากการโจมตีในโลกไซเบอร์ (1 วัน)
  • Cross-Origin Resource Sharing (CORS)
  • JWT Authentication
  • Alternative for Securing API
  • Perform Access Control
  • XXE Attack
  • Best practice for RESTful API
SW-02
Understanding DevSecOps Foundations
พื้นฐานสำหรับผู้ที่ต้องการเข้าใจกระบวนการ DevSecOps ที่จะทำให้ Software มีความปลอดภัยสูงสุด (1 วัน)
  • Intro to DevSecOps
  • Continuous Integration
  • Docker and Deployment
  • Continuous Deployment
  • Automated Security Testing
SW-03
How to Secure Your Container
หลักสูตรการรักษาความปลอดภัยให้กับ Container (1 วัน)
  • OWASP Docker TOP 10
  • How to secure your container
  • Setup docker private registry
  • How to monitoring your container
SW-04
Automated Security Testing
หลักสูตรการทดสอบความปลอดภัยแบบอัตโนมัติ (2 วัน)
  • Introduction to ASVS 4.0
  • Automated Security Testing with Gauntlt
  • Automated Security Testing with OWASP ZAP
  • Manage Dependencies with Dependency Check
SW-05
Agile Application Security
หลักสูตรการผลิตซอฟต์แวร์ที่มีความปลอดภัยด้วย Agile(2 วัน)
  • Introduction to Agile methodology
  • How to inject security into Agile
  • Security requirements
  • Vulnerabilities Management
  • Code Review for security

IT Audit Workshops
สำหรับผู้ตรวจสอบระบบเทคโนยีสารสนเทศ

AW-01
IT Audit for Non-IT Auditor
การตรวจสอบระบบเทคโนโลยีสารสนเทศสำหรับบุคลากรด้านไอทีและผู้สนใจทั่วไป (1 วัน)
  • บทบาทหน้าที่ของ IT Auditor (Role and Responsibilities of IT Audit)
  • มาตรฐานสำหรับการทำงานของ IT Audit (IT Audit standards and Best practices)
  • กระบวนการทำงานของ IT Audit (IT Audit process)
    • ภาพรวมของกระบวนการทำงานของ IT Audit (Overview of IT Audit Process)
    • แนวทางการตรวจสอบของ IT Auditor และสิ่งที่ IT Auditor มองหา (How to review IT components or what is the thing that IT Audit looking for?)
  • ใบรับรองคุณวุฒิด้าน IT Audit และเส้นทางสายอาชีพ IT Audit (IT Audit certification and career path)
AW-02
IT General Controls Audit
การตรวจสอบเรื่องการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (2 วัน)
  • หลักการและเหตุผล
  • ความรู้พื้นฐานด้านคอมพิวเตอร์ที่จำเป็นสำหรับการตรวจสอบ ITGC
  • แนวทางการตรวจสอบ ITGC
    • นโยบายด้านการรักษาความปลอดภัยของระบบสารสนเทศ (IT Security Policy)
    • โครงสร้างองค์กรและตำแหน่งงานของฝ่าย IT (IT Organization)
    • การพัฒนา จัดหาและบำรุงรักษาระบบสารสนเทศ (IT Change Management)
    • การรักษาความปลอดภัยทางกายภาพ และมาตรการควบคุมสภาพแวดล้อม (Physical Access and Environmental Controls)
    • การควบคุมการเข้าถึงระบบและข้อมูล (Logical Access Controls)
    • การสำรองข้อมูล การกู้ข้อมูล การจัดลำดับงานและการจัดการกับปัญหา (IT Operation Controls)
    • การฟื้นฟูระบบเมื่อเกิดเหตุการณ์ฉุกเฉิน (BCP/DRP: Business Continuity Plan and Disaster Recovery Plan)
  • Workshop (Case Study)

IT Technical & Professional Workshop
สำหรับผู้จัดการและผู้ปฏิบัติงานด้านระบบเครือข่าย ระบบปฏิบัติการ เทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยสารสนเทศ และผู้สนใจด้านเทคนิคขั้นสูง


TW-01
Introduction to Hacking Smart Contracts
การตรวจสอบและแนวทางป้องกันการเจาะสมาร์ทคอนแทรคแพล็ตฟอร์ม (1 วัน)
  • Reentrancy
  • Integer Underflows/Overflows
  • Predictable Randomness
  • Insecure Authorization
  • Unchecked Low Level Function Calls
  • Denial of Service
  • Identifying and Avoiding Client-Side Protections
  • Communicating with a Smart Contracts Directly Using a Tool Like MyEtherWallet
  • Understanding and Constructing an ABI
  • Code Reviewing Solidity Projects for Vulnerabilities
  • Writing and Deploying Attack Contracts Written in Solidity on the Test Network
TW-02
Basic Mobile Application Penetration Testing for Android
การทดสอบเจาะระบบปฏิบัติการแอนดรอยด์เบื้องต้น (2 วัน)
  • Overview Architecture & Attack Vector
  • Reversing APK
  • Static Analysis
  • Dynamic Analysis
TW-03
Basic Web Application Penetration Testing
การทดสอบเจาะระบบผ่านเว็บแอพพลิเคชั่นเบื้องต้น (2 วัน)
  • Penetration Testing Process
  • Introduction to Web Applications
  • Cross Site Scripting
  • SQL Injection
  • Broken Access Control
  • Other Attacks
TW-04
Internet of Things Penetration Testing
การเจาะระบบอุปกรณ์ Internet of Things (IoT) ขั้นสูง (2 วัน)
  • Introduction to IoT:
    • Security Architecture
    • Getting Familiar with IoT Security and Components
    • Case Studies of IoT Vulnerabilities
  • Hardware Analysis:
    • Hardware Hacking 101
    • Analyzing Boards and Components
    • Identifying Serial Interfaces
    • UART, SPI and JTAG Primer
    • Extracting Firmware from a Real Device
    • Common Techniques to Prevent Hardware Attacks
    • Bypassing Hardware Protections
    • Side Channel Attack Techniques
  • Firmware Analysis:
    • Understanding File Systems
    • Firmware Extraction Techniques
    • Analyzing and Backdooring Firmwares
    • Simulating and Running
    • Firmwares and Binaries
    • Debugging Firmware Binaries
    • Identifying Vulnerabilities in Firmwares
  • Exploitation:
    • ARM Architecture Introduction
    • Registers and Flags
    • Disassembling and Debugging Binaries
    • Common Exploitation Techniques
    • Ret2Libc Techniques for ARM Based Architectures
    • Gadget Hunting and Chaining
    • ROP Exploitation
  • Mobile Application Hacking:
    • Introduction to Android and iOS App Security
    • Reversing and Analyzing Android Applications
    • Real time Debugging Android Applications
    • Analyzing Native code and Libraries for Security Issues
    • Automating Application Analysis
    • iOS App Reversing and Decryption
    • Runtime Manipulation of iOS Applications
    • Obfuscation Techniques and Bypassing Protections
  • Radio Hacking:
    • Getting Started with SDR
    • Radio Interfaces and Architecture
    • Setting up the Pentesting Lab for Radio Hacking
    • Getting familiar with GNURadio and Other Tools
    • Capturing and Streaming Radio Signals
    • Overview of Bluetooth and Wifi Connections
    • Attacking BLE and Wifi
TW-05
Active Directory Attacks
การโจมตี Active Directory และแนวทางการป้องกัน(2 วัน)
  • Extensive AD Enumeration
  • Active Directory Trust Mapping and Abuse
  • Privilege Escalation (User Hunting, Delegation Issues and More)
  • Kerberos Attacks and Defense (Golden, Silver Ticket, Kerberoast and More)
  • Abusing Cross Forest Trust (Lateral Movement Across Forest, PrivEsc and More)
  • Attacking Azure Integration and Components
  • Abusing SQL Server Trust in AD (Command Execution, Trust Abuse, Lateral Movement)
  • Credentials Replay Attacks (Over-PTH, Token Replay etc.)
  • Persistence (WMI, GPO, ACLs and More)
  • Defenses (JEA, PAW, LAPS, Deception, App Whitelisting, Advanced Threat Analytics etc.)
  • Bypassing Defenses
TW-06
Adaptive Network-based Infrastructure Attacking
เทคนิคและการทดสอบเจาะระบบเครือข่าย (3 วัน)
  • TCP/IP basics
  • The Art of Port scanning
  • Target Enumeration
  • Brute-forcing
  • Metasploit Basics
  • Hacking recent Unix Vulnerabilities
  • Hacking Databases
  • Hacking Application Servers
  • Hacking third party applications (Wordpress, Joomla, Drupal)
  • Windows Enumeration
  • Hacking recent Windows Vulnerabilities
  • Client-Side Attack
  • Post Exploitation: Dumping Secrets
  • Hacking Windows Domains
  • Effective Assessment Management
  • External Network Footprinting
  • Network Enumeration
  • Vulnerability Identification
  • Gaining Access Through Network Exploitation
  • Password Cracking
  • Gaining Access Through Social Engineering
  • Internal Network Attacks
  • Gaining Situational Internal Awareness
  • Escalation of Access
  • Internal Lateral Movement
  • Impact Demonstration
TW-07
Introduction to Data Science & Big Data Analytics Software Development
การพัฒนาโปรแกรมสำหรับ Data Science และ การวิเคราะห์ Big Data (3 วัน)
  • Introduction to Big Data Analytics
    • Overview
    • Big Data Analytic Ecosystem & Platforms
  • Introduction to Apache Hadoop
    • Software Requirement
    • Installation & Setup
    • Software Architecture & Ecosystem
    • Process Workflow
    • Installation workshop
  • Hadoop Essential Components
    • Hadoop Distributed File System (HDFS)
  • Introduction to Parallel Distributed Computing with MapReduce
    • Basic concepts
    • Software development process
    • MapReduce workshop
  • Introduction to Apache Spark (high speed analytics platform)
    • Software Requirement
    • Installation & Setup
    • Software Architecture
    • Process Workflow
    • Installation workshop
  • Introduction to Data Science & Machine Learning
    • Basic Concepts & Machine Learning Types
    • Essential Machine Learning Algorithms
    • Predictive Analytics Workflow and Modeling
    • Predictive Model Evaluation
  • Introduction to Machine Learning with Apache Spark using MLlib
    • Predictive Analytic with Unsupervised Learning
    • Predictive Analytic with Supervised Learning
TW-08
Introduction to Blockchain and Smart Contract Development with Ethereum

การพัฒนา Blockchain และ Smart Contract ด้วย Ethereum (3 วัน)
  • Introduction to Cryptocurrency & Blockchain Technology
    • Peer-to-Peer Network
    • Centralized vs Distributed Ledger Model
    • Blockchain 1.0 & Bitcoin
    • Alternative coins (Altcoins)
  • Introduction to Ethereum (Blockchain 2.0) Platform
    • Ethereum Network
    • Ethereum Wallet
    • Ethereum Virtual Machine (EVM)
    • Smart contract & Initial Coin Offering
  • Basic of Ethereum Blockchain Development
    • Full client node (Geth) installation
    • Development Tools, Setup & Configuration
  • Introduction to Smart Contract Programming with Solidity
    • Language Syntaxes
    • Smart Contract Structure
    • Expression & Statement
    • Data types
    • Variable
    • Function
    • Event
  • Introduction to Smart Contract Programming with Solidity (continued)
    • Simple Contract development
    • OOP & Inheritance
    • Contract interaction
  • Smart contract Applications
    • Custom Currency
    • ICO Token & ERC20 standard
    • Decentralized Autonomous Organization/Corporation (DAO/DAC)
    • Distributed/Decentralized Application (DApp)
  • Introduction to DApp Development with Truffle Framework
    • Setup & configuration
    • Using DApp web3 library
    • DApp front-end development
    • DApp & Blockchain Integration
TW-09
Introduction to AI and Deep Learning with Python and TensorFlow
ทำความเข้าใจ AI และ Deep Learning ด้วย Python และ TensorFlow (3 วัน)
  • Introduction to TensorFlow
    • Setup and installation
  • Basic components
    • Tensor
    • Graph
    • Variable
    • Placeholder
    • Session
  • Tensor operations
  • TensorFlow model development related concepts
    • Loss function
    • Gradient descent
    • Epoch and batch
  • Predictive model development with Tensorflow
    • Linear regression
    • Linear classification with logistic regression
  • Introduction to Artificial Neural Network (ANN)
    • Building predictive model with ANN
  • Using Estimator
    • Pre-built classifier
    • Pre-built Dense Neural Network (DNN)
  • Convolutional Neural Network (CNN)
    • Basic concepts
    • Kernel
    • Feature Map
    • Layer configuration
  • Image recognition with predictive model
  • CNN network variations

Co-Host

logo