ความปลอดภัยระบบเครือข่าย (3901-2110) Laws and Ethics in Information Technology Chapter 2 - จดุ เร่มิ ตน้ ของความมน่ั คงปลอดภยั ของสารสนเทศ
จดุ เร่ิมตน้ ของความมัน่ คงปลอดภยั ของสารสนเทศ ความม่ันคงปลอดภยั ของระบบสารสนเทศ (Information Security) มจี ุดเริ่มต้นมา จากความตอ้ งการความปลอดภัยของคอมพวิ เตอร์ (Computer Security) เพราะในยุคแรก ๆ พบว่าภัยคุกคามต่อความม่ันคงของคอมพวิ เตอร์สว่ นใหญเ่ ปน็ ภยั คกุ คามทางกายภาพ เช่น การลกั ขโมย อุปกรณ์ การก่อวินาศกรรม การโจรกรรมผลผลติ ทไี่ ด้จากระบบ เปน็ ต้น ต่อมาเม่อื เทคโนโลยคี อมพิวเตอร์ (Software, Hardware, Data) และการสอ่ื สารมี ความก้าวหนา้ มากข้นึ จึงเกิดภัยคุกคามหลากหลายรปู แบบ เช่น การโจรกรรมขอ้ มลู ท่ีเปน็ ความลับ การ ลกั ลอบเขา้ สรู่ ะบบโดยไมไ่ ด้รับอนุญาต ตลอดจนการทาลายระบบดว้ ยวิธตี ่าง ๆ ซึ่งกอ่ ใหเ้ กิดความ เสียหายทง้ั ต่อบคุ คลและทรพั ยส์ ินอย่างมาก จงึ ต้องมีการกาหนดขอบเขตของความม่ันคงปลอดภัย คอมพวิ เตอร์เพ่มิ เติม โดยให้ครอบคลุมถงึ ความปลอดภยั ของขอ้ มูล จากัดการเข้าถงึ ข้อมูล และจากัด ระดับความเกี่ยวข้องกับข้อมลู ของคนในองค์กรด้วย ซ่งึ ขอบเขตที่เพิ่มเตมิ เขา้ มาเหล่านเ้ี พอ่ื เสริม “ความ มั่นคงปลอดภยั ของสารสนเทศ”
ความม่ันคงปลอดภัยของสารสนเทศ • ความม่นั คงปลอดภัยของสารสนเทศคืออะไร • แนวคดิ หลกั ของความมน่ั คงปลอดภยั ของสารสนเทศ • แนวคดิ ของความมัน่ คงปลอดภยั ของสารสนเทศตามมาตรฐาน NSTISSC • องคป์ ระกอบของระบบสารสนเทศกบั ความมนั่ คงปลอดภัย • แนวทางในการดาเนินงานความมัน่ คงปลอดภัยของสารสนเทศ • วงจรการพฒั นาระบบความมัน่ คงปลอดภยั ของสารสนเทศ • บทบาทของบุคลากรสารสนเทศในด้านความมั่นคงปลอดภัย
ความมน่ั คงปลอดภยั ของสารสนเทศคืออะไร ความม่ันคงปลอดภยั (Security) คือ สถานะท่ีมคี วามปลอดภยั ไรก้ ังวล กล่าวคืออย่ใู นสถานะที่ไม่มีอันตรายและไดร้ ับการปอ้ งกนั จากภัยอันตรายทั้งที่เกิดขึ้น โดยต้งั ใจหรอื โดยบงั เอญิ [E. Whitman and J.Mattord, 2005] เชน่ ความมน่ั คงปลอดภยั ของประเทศ ยอ่ มเกดิ ขึ้นโดยมีระบบปอ้ งกันหลายระดบั เพื่อ ปกปอ้ งผ้นู าประเทศ ทรัพยส์ ิน ทรัพยากร และประชาชนของประเทศ เปน็ ตน้ องคก์ รตอ้ งการให้เกิดความมนั่ คงปลอดภัยย่อมต้องมรี ะบบป้องกนั หลาย ระดับเพือ่ เสริมสร้างความมัน่ คงปลอดภยั ในส่วนตา่ ง ๆ ดงั นี้
ความม่นั คงปลอดภยั ขององค์กร • ความมั่นคงปลอดภัยทางกายภาย (Physical Security) • ความมน่ั คงปลอดภัยส่วนบุคคล (Personal Security) • ความม่ันคงปลอดภยั ในการปฏิบตั ิงาน (Operations Security) • ความมนั่ คงปลอดภยั ในการตดิ ตอ่ สื่อสาร (Communication Security) เป็นการป้องกนั สอ่ื ท่ใี ชใ้ นการติดตอ่ สอ่ื สาร รวมถึงเทคโนโลยีทใี่ ชใ้ นการติดตอ่ สื่อสาร • ความม่นั คงปลอดภยั ของเครือข่าย (Network Security) เป็นการปอ้ งกัน องคป์ ระกอบ การเชือ่ มต่อ และขอ้ มูลในเครือขา่ ยคอมพวิ เตอร์ • ความมนั่ คงปลอดภัยของสารสนเทศ Information Security เปน็ การป้องกัน ระบบสารสนเทศขององค์กร
ความมนั่ คงปลอดภยั ของสารสนเทศ (Information Security) ความมั่นคงปลอดภัยของสารสนเทศ คือผลทีเ่ กดิ ขึน้ จากการนานโยบาย และระเบยี บ ปฏิบตั ิมาสร้างให้เกิดเป็นระบบการป้องกันทีใ่ ช้ในการพิสจู นท์ ราบ ควบคมุ และป้องกนั การ เปิดเผยข้อมลู โดยไมไ่ ดร้ ับอนญุ าต (http://www.thaicert.nectec.or.th) Policy, Awareness, and Training Information Network Security Security Management Computer & Data Security
ความมั่นคงปลอดภยั ของสารสนเทศ (ต่อ…) Policy, Awareness, and Training Information Network Security Security Management Computer & Data Security ความมัน่ คงปลอดภัยของสารสนเทศ ประกอบดว้ ย • ความม่นั คงปลอดภัยของข้อมูลและคอมพวิ เตอร์ (Computer and Data Security) • ความมัน่ คงปลอดภยั ของเครือข่าย (Network Security) • การจดั การความม่ันคงปลอดภัยของสารสนเทศ (Information Security Management) ทมี งานท่ีรบั ผดิ ชอบต้องดาเนนิ การทุกสว่ นรว่ มกันเพ่ือกาหนดนโยบาย (Policy) สร้างความตระหนกั ในความ มน่ั คง (Awareness) และจดั หลกั สูตรฝกึ อบรม (Training) ให้เกดิ การเรียนร้ใู นเร่ืองความม่นั คง ปลอดภยั และเทคโนโลยที ี่เกย่ี วขอ้ ง
คุณลกั ษณะของความมน่ั คงปลอดภัยของสารสนเทศ กลมุ่ อตุ สาหกรรมความม่นั คงปลอดภัยของคอมพวิ เตอร์ ได้กาหนดให้ สารสนเทศท่มี ีความมนั่ คงปลอดภัย จะต้องประกอบดว้ ยคุณลักษณะ 6 ประการ คอื 1. ความลับ (Confidentiality) 2.ความสมบูรณ์ (Integrity) 3.ความพร้อมใช้ (Availability) C.I.A Triangle 4.ความถูกตอ้ งแมน่ ยา (Accuracy) 5.เปน็ ของแท้ (Authenticity) 6.ความเปน็ ส่วนตัว (Privacy)
ความลบั Confidentiality เปน็ การรบั ประกันว่าผมู้ สี ิทธแ์ิ ละไดร้ บั อนญุ าตเท่าน้ันทส่ี ามารถเข้าถึงข้อมูลได้ องคก์ รตอ้ งมีมาตรการปอ้ งกนั การเขา้ ถงึ สารสนเทศท่เี ปน็ ความลับ เชน่ • การจดั ประเภทของสารสนเทศ • การรักษาความปลอดภยั ในกับแหล่งจัดเกบ็ ข้อมลู • กาหนดนโยบายรักษาความมนั่ คงปลอดภัยและนาไปใช้ • ให้การศกึ ษาแกท่ มี งานความมน่ั คงปลอดภัยและผใู้ ช้ ภัยคุกคามทเ่ี พิม่ มากขน้ึ ในปจั จุบนั มสี าเหตมุ าจากความกา้ วหน้าทางเทคโนโลยี ประกอบกบั ความตอ้ งการความสะดวกสบายในการสั่งซ้ือสนิ คา้ ของลกู ค้า โดยการยอมให้ สารสนเทศสว่ นบุคคลแก่ website เพื่อการทาธุรกรรมตา่ ง ๆ ออนไลน์ โดยลืมไปวา่ เวบ็ ไซต์ เปน็ แหลง่ ขอ้ มูลท่สี ามารถขโมยสารสนเทศไปได้ไมย่ ากนัก
ความสมบรู ณ์ (Integrity) ความสมบรู ณ์ คือ ความครบถ้วน ถกู ต้อง และไมม่ ีสิ่งปลอมปน ดังนัน้ สารสนเทศ ทมี่ ีความสมบรู ณจ์ งึ เปน็ สารสนเทศท่นี าไปใชป้ ระโยชน์ได้อย่างถกู ตอ้ งครบถ้วน สารสนเทศจะขาดความสมบรู ณ์ ก็ต่อเม่อื สารสนเทศนนั้ ถูกนาไป เปลย่ี นแปลง ปลอมปนด้วยสารสนเทศอ่ืน ถกู ทาให้เสียหาย ถูกทาลาย หรอื ถกู กระทา ในรูปแบบอนื่ ๆ เพือ่ ขัดขวางการพสิ ูจน์การเป็นสารสนเทศด้งั เดมิ จากแหลง่ กาเนิด ภัยคุกคามสาคญั ต่อความสมบรู ณข์ องสารสนเทศ สามารถเกดิ ข้นึ ไดท้ ัง้ จาก ภายในและภายนอกองคก์ ร เชน่ Virus และ Worm ซง่ึ ถูกพฒั นาขน้ึ มาเพ่ือ ปลอมปนข้อมูลทก่ี าลงั เคลอ่ื นย้ายไปมาในเครือขา่ ย หรอื ทถี่ กู จดั เกบ็ ในเครอ่ื ง คอมพิวเตอร์
ความพร้อมใช้ Availability ความพร้อมใช้ หมายถึง สารสนเทศจะถกู เขา้ ถึงหรือเรยี กใชง้ านไดอ้ ยา่ ง ราบรื่น โดยผ้ใู ชห้ รือระบบอ่นื ทีไ่ ดร้ บั อนุญาตเทา่ นนั้ หากเป็นผใู้ ช้หรือระบบทไี่ ม่ไดร้ ับ อนุญาต การเข้าถึงหรอื เรยี กใช้งานจะถูกขัดขวางและล้มเหลวในทสี่ ุด เชน่ การป้องกนั สารสนเทศส่วนบคุ คลของนิสิต กล่าวคอื ขอ้ มูลการศึกษาจะตอ้ งพรอ้ มใช้งานต่อผูใ้ ช้ท่ี ได้รับอนญุ าต ซ่ึงเป็นสมาชิกของคณะหน่งึ ๆ ของวทิ ยาเขตฯ ดงั นั้น กอ่ นเข้าถึงขอ้ มลู จงึ ตอ้ งมีการระบุตัวตน (Identification) วา่ เป็นนิสิตในสังกดั และพสิ ูจน์ได้ว่าได้รับ อนญุ าตจรงิ (Authorization) สมาชกิ จึงสามารถเขา้ ถงึ และเรียกใชข้ อ้ มลู ไดต้ าม ลกั ษณะ รูปแบบ และระดบั สิทธิน์ น้ั ได้
ความถกู ตอ้ งแมน่ ยา (Accuracy) ความถกู ต้องแม่นยา หมายถงึ สารสนเทศตอ้ งไม่มคี วามผิดพลาด และตอ้ งมีค่าตรงกบั ความ คาดหวังของผ้ใู ช้เสมอ เมื่อใดก็ตามท่ีสารสนเทศมคี ่าผิดเพย้ี นไปจากความคาดหวังของผใู้ ช้ ไมว่ า่ จะเกิด จากการแก้ไขดว้ ยความต้งั ใจหรือไม่กต็ าม เมอื่ นัน้ จะถือวา่ สารสนเทศ “ไม่มีความถูกตอ้ งแม่นยา” ความเปน็ ของแท้ (Authenticity) สารสนเทศทเ่ี ปน็ ของแท้ คอื สารสนเทศท่ีถกู จดั ทาข้นึ จากแหลง่ ทีถ่ ูกตอ้ ง ไมถ่ ูกทาซ้าโดย แหล่งอนื่ ท่ไี ม่ไดร้ ับอนญุ าต หรอื แหล่งทไ่ี ม่คนุ้ เคยและไม่เคยทราบมาก่อน เชน่ การไดร้ ับ E-mail จากผู้สง่ ซึง่ ผูร้ ับทราบแนน่ อนว่าเป็นใคร (ไม่รวม Forward Mail ซงึ่ ไมท่ ราบแหลง่ กาเนิด สารสนเทศใน E-mail ทแี่ ทจ้ รงิ ) เป็นตน้ ความเป็นสว่ นตัว (Privacy) ความเปน็ ส่วนตวั คือ สารสนเทศท่ถี กู รวบรวม เรียกใช้ และจัดเกบ็ โดยองคก์ ร จะต้องถูก ใชใ้ นวัตถุประสงค์ที่ผูเ้ ป็นเขา้ ของสารสนเทศรับทราบ ณ ขณะทม่ี กี ารรวบรวมสารสนเทศนั้นมฉิ ะน้ัน จะถือว่าเป็นการละเมดิ สทิ ธิสว่ นบคุ คลดา้ นสารสนเทศ
หลกั ความมัน่ คงปลอดภยั ของสารสนเทศตามมาตรฐาน NSTISSC คณะกรรมการ NSTISSC (The National Security Telecommunications and Information Systems Security Committee) คอื คณะกรรมการด้านความมัน่ คงโทรคมนาคมและ ระบบสารสนเทศแหง่ ชาติของต่างประเทศ NSTISSC was established by President Bush under National Security Directive 42 (NSD 42) entitled, \"National Policy for the Security of National Security Telecommunications and Information Systems,\" dated 5 July 1990. (พ.ศ. 2533)
คณะกรรมการ NSTISSC (The National Security Telecommunications and Information Systems Security Committee) The NSTISSC provides a forum for the discussion of policy issues, sets national policy, and promulgates (ประกาศแถลง) direction, operational procedures, and guidance for the security of national security systems which contain the following classified information : a) involves intelligence activities ; b) involves cryptographic activities related to national security; c) involves command and control of military forces ; d) involves equipment that is an integral part of a weapon or weapons system(s); or e) is critical to the direct fulfillment of military or intelligence missions (not including routine administrative and business applications).
หลักความม่นั คงปลอดภยั ของสารสนเทศตามมาตรฐาน NSTISSC คณะกรรมการ NSTISSC ได้กาหนดหลักความมัน่ คงปลอดภัยของสารสนเทศ ขนึ้ มา ซ่ึงมีคุณลกั ษณะของ C.I.A Triangle เปน็ แกนหลัก และต่อมากไ็ ดก้ ลายเปน็ มาตรฐานการประเมินความมั่นคงของระบบสารสนเทศ Confidentiality Technology Integrity Education Policy Confidentiality Integrity Availability Availability Storage Processing Transmission Storage Processing Transmission
หลกั ความมน่ั คงปลอดภัยของสารสนเทศตามมาตรฐาน NSTISSC Confidentiality Technology Education Policy Integrity Confidentiality Availability Integrity Storage Processing Transmission Availability Storage Processing Transmission รูปทางซา้ ย เป็นแกนหลกั ความม่ันคงฯ ตามมาตรฐาน NSTISSC มลี กั ษณะ 3 มิติ ดังน้ี • C.I.A Triangle เป็นแกนตงั้ • ความม่ันคงทางดา้ นแหล่งจัดเก็บข้อมูล (Storage) การประมวลผล (Processing) และการ ขนส่งข้อมลู (Transmission) เป็นแกนนอน • การกาหนดนโยบาย (Policy) การใหก้ ารศึกษาเรียนรู้ (Education) และเทคโนโลยี (Technology) เป็นแกนมิตทิ ่ี 3
หลักความมนั่ คงปลอดภยั ของสารสนเทศตามมาตรฐาน NSTISSC Confidentiality Technology Integrity Education Policy Confidentiality Integrity Availability Availability Storage Processing Transmission Storage Processing Transmission รปู ทางขวา อธิบายในมมุ มองรปู ลูกบาศก์ 3 x 3 x 3 ซง่ึ ประกอบดว้ ย 27 เซลล์ ถ้าแต่ละเซลลเ์ ป็นตัวแทนของ สว่ นประกอบต่าง ๆ ของความม่นั คงของระบบสารสนเทศ สามารถอธบิ ายดงั ตวั อย่างตอ่ ไปนี้ ถา้ ตอ้ งการใหร้ ะบบสารสนเทศมีความปลอดภัยทั้ง 27 เซลล์ จะตอ้ งไดร้ บั การจดั การ และการจัดสรร ความม่ันคงปลอดภยั อยา่ งเหมาะสม เชน่ ช่องทีเ่ กดิ จากการตดั กนั ระหวา่ ง Technology, Integrity, และ Storage นัน้ ต้องการกนั ควบคมุ ป้องกันโดยใช้เทคโนโลยีเพอื่ ปกป้องความสมบรู ณ์ของสารสนเทศท่จี ดั อยูใ่ น แหลง่ จดั เกบ็ (Storage) จาเป็นต้องกาหนดนโยบายการปอ้ งกนั เพอื่ เปน็ แนวทางการปฏิบตั งิ านดว้ ยเทคนิควิธี ทเ่ี ลอื กใช้
ความมั่นคงปลอดภัยขององค์ประกอบตา่ ง ๆ ของระบบสารสนเทศ 1. ซอฟตแ์ วร์ (Software) ในโครงการพฒั นาซอฟตแ์ วรใ์ ด ๆ ยอ่ มตอ้ งอย่ภู ายใต้เงื่อนไขของการบริหาร โครงการ ภายใต้เวลา ตน้ ทนุ และกาลังคนทีจ่ ากัด ส่วนใหญจ่ ะพบว่าการเพิ่มความปลอดภยั ใหก้ ับ ซอฟต์แวร์มกั จะทาภายหลงั จากพัฒนาซอฟต์แวร์เสรจ็ แลว้ ไม่ได้ทาในตอนต้นของกระบวนการพฒั นา (เชน่ การ Patch ภายหลัง เพ่อื แกไ้ ขปญั หาชอ่ งโหว่) ทาให้ซอฟต์แวร์มจี ดุ ออ่ นงา่ ยต่อการโจมตี ซึง่ จะ สง่ ผลกระทบตอ่ ข้อมลู ของระบบสารสนเทศดว้ ย Patch หรือ Software Patch คอื ซอฟตแ์ วรห์ รอื โปรแกรมคอมพวิ เตอร์ ท่ีถกู เขยี นออกมาเพ่ือซ่อมแซมหรอื แกไ้ ขจุดบกพร่องของซอฟต์แวรเ์ วอรช์ นั่ เดิม การเขยี น Patch ออกมาน้ัน มักมวี ัตถุประสงค์เพ่ือการแกไ้ ขปญั หาเรง่ ดว่ น การแก้บัก (Bug) หรือ เพ่อื ปดิ ช่องโหว่ของซอฟตแ์ วรท์ ่ีอาจจะถกู โจมตจี ากผ้ไู ม่หวงั ดีหรือจากไวรัสคอมพวิ เตอรไ์ ด้งา่ ย โดยมกั จะไม่ไดถ้ กู เขียนออกมาเพือ่ เพ่มิ ฟังก์ชน่ั การทางาน ท่ีเรยี กว่า Software update หรือการออก Service Pack ตวั อยา่ งการออก Software patch เช่น WordPress โปรแกรมสร้างเว็บไซตป์ ระเภท CMS ได้ออกซอฟต์แวร์ของตนเวอร์ชั่น 3.9 ออกมาเพอ่ื ให้ Webmaster นาไปสรา้ งเว็บไซต์ แต่ปรากฏว่ามผี ู้ตรวจพบ ชอ่ งโหว่ของซอฟต์แวร์ซ่งึ ชอ่ งโหว่นจี้ ะเปดิ โอกาศใหถ้ ูกโจมตีจาก Hacker ไดง้ า่ ย ดงั นนั้ ผพู้ ัฒนา WordPress จึงรบี ทาการแกไ้ ขโดยการออก Patch มาแก้ไข โดยเรียกชุดท่ีแก้ไขแลว้ วา่ WordPress 3.9.1
Patch นัน้ สามารถทาออกมาได้ 2 รปู แบบใหญ่ๆคอื 1. ทาเปน็ ซอฟต์แวรช์ ุดใหม่ เวอรช์ ่ันใหมอ่ อกมาแบบท้งั ชุด เพ่อื นาไปติดต้งั หรืออพั เกรดทบั ซอฟต์แวรช์ ดุ เดิม 2. ทาเป็น Patch file ขนาดเล็กๆ เพือ่ ให้ตรวจสอบซอฟต์แวรท์ ่ีตดิ ตั้งไปแลว้ เม่ือเจอจดุ ที่มีปญั หากจ็ ะเขียนชดุ คาสงั่ ลงไปแก้ไข หรอื Copy ชดุ คาสั่งทถ่ี กู ต้องลงไปทบั ชดุ คาสง่ั เดมิ ทม่ี ี ปัญหา ตวั อย่าง Patch สาหรบั อัพเกรด iPhone
ผลกระทบของชอ่ งโหวใ่ นซอฟต์แวร์ ชอ่ งโหว่นี้มผี ลกระทบทงั้ ผใู้ ช้และระบบท่ใี ห้บรกิ าร ซง่ึ ทั้งสองกลมุ่ น้มี ีโอกาสท่จี ะถกู โจมตีจากช่องโหว่ ดังกล่าว เพอื่ สง่ั ให้ประมวลผลคาสั่งอันตรายจากระยะไกล หรอื ท่เี รียกวา่ Remote Code Execution [ตวั อย่างผลกระทบท่ีเกิดกับผู้ใช้] 1. ผู้ใชง้ านทใ่ี ช้ระบบปฏิบัตกิ ารทไ่ี ด้รับผลกระทบเชือ่ มต่อกับ WiFi ที่ผไู้ ม่หวงั ดีเตรยี มไว้ กม็ ีโอกาสทีผ่ ใู้ ชง้ านจะ ถกู โจมตีผ่าน DHCP โดยผ้ไู มห่ วังดสี ามารถใช้วธิ ีการฝังคาสั่งอนั ตรายและส่งเข้ามาทางพารามเิ ตอรข์ อง DHCP ซ่ึงเครือ่ งผใู้ ชง้ านจะรบั คาส่ังดังกล่าวมาประมวลผลในทันที DHCP ทาหน้าท่ีอะไร หนา้ ท่ีหลกั ๆของ DHCP (Dynamic Host Configuration Protocol) คือคอยจดั การ และแจกจ่ายเลขหมายไอพีให้กับลูกข่ายที่มาเช่ือมตอ่ กบั แมข่ ่ายไม่ให้หมายเลขไอพีของลูกข่ายมีการซา้ กันอย่าง เด็ดขาด อาทิ เคร่อื งคอมพวิ เตอรต์ วั หนง่ึ ไดท้ าการเชื่อมตอ่ กบั DHCP Server เครือ่ งเซฟเวอร์ก็จะให้ หมายเลขไอพีกับเครือ่ งคอมพวิ เตอรท์ ี่มาทาการตอ่ เชือ่ มแบบอตั โนมัติ ซ่งึ ไม่วา่ จะมเี ครือ่ งคอมพิวเตอร์เชอ่ื มตอ่ มากเทา่ ไร DHCP Server กจ็ ะออกเลขหมายไอพีใหค้ อมพวิ เตอรแ์ ต่ละเครอ่ื งไม่ซา้ กันทาใหเ้ ครือข่ายนน้ั ไม่ เกิดปัญหาในการใช้งาน
ผลกระทบของชอ่ งโหว่ในซอฟตแ์ วร์ (ตอ่ ……..) [ตวั อย่างผลกระทบทีเ่ กิดกบั ระบบ] 2. ผใู้ ห้บริการท่ีมีการใช้งานเวบ็ แอปพลิเคชันประเภท CGI เช่น PHP-CGI ทม่ี กี ารรับสง่ ค่าผ่าน ซอฟต์แวร์ Bash สามารถถกู โจมตีได้ โดยผู้ไมห่ วงั ดสี ามารถใช้วธิ กี ารส่งคาส่ังอนั ตรายผา่ น พารามิเตอร์ของ HTTP Header และเคร่อื งให้บริการเว็บจะรับคาสง่ั ดังกล่าวมาประมวลผล ในทันที อย่างไรกต็ ามจากการตรวจสอบพบว่าการใชง้ านของ PHP ผ่าน Mod PHP ของ Apache ในรูปแบบปกติ หรือลกั ษณะอน่ื ๆท่คี ล้ายคลึงกนั จะไม่ได้รับผลกระทบ เน่ืองจากไม่ไดใ้ ช้ วิธีการสง่ ค่าพารามิเตอรใ์ นลกั ษณะเดียวกับ CGI อยา่ งไรกต็ ามรูปแบบของการโจมตีด้วยชอ่ งโหวด่ ังกล่าวอาจไมไ่ ดจ้ ากัดอย่ใู นกรณที ี่ระบุ มาเทา่ นนั้ และอาจจะไมไ่ ด้ถกู คน้ พบในทันที ณ ช่วงเวลาปจั จบุ ัน โดยปกตหิ ากมคี วามคบื หน้า เก่ยี วกับช่องโหวใ่ นซอฟตแ์ วรร์ ะบบปฏิบัตกิ ารใดๆ ทางไทยเซิรต์ จะอัปเดตให้ทราบต่อไป
2. ฮาร์ดแวร์ (Hardware นโยบายความมน่ั คงปลอดภยั ที่มตี ่อฮาร์ดแวร์ ใชน้ โยบายเดียวกับ สินทรพั ยท์ ่ีจบั ต้องได้ขององคก์ ร คอื การป้องกันฮารด์ แวร์จากการลักขโมยหรอื ภัยอนั ตรายตา่ ง ๆ เช่น การจากัดการใชง้ านอปุ กรณเ์ หลา่ นัน้ การจัดสถานทที่ ่ีปลอดภัยให้กบั อุปกรณ์ รวมถึงการจัดสถานทีท่ ี่ ปลอดภยั ให้กบั อปุ กรณ์หรือฮาร์ดแวร์ เพอื่ ลดโอกาสการเข้าถึงสารสนเทศไดใ้ นระดบั หนง่ึ 3. ขอ้ มูล (Data) ข้อมูล/สารสนเทศ เปน็ ทรัพยากรท่มี ีค่ามาก และเป็นเป้า หมายหลักของการโจมตีโดยเจตนา ถงึ แมว้ ่าสารสนเทศในปจั จุบนั จะมรี ะบบปฏบิ ัติการฐานขอ้ มูลท่ีมี เคร่อื งมอื รักษาความม่ันคงปลอดภัยในเบื้องตน้ ที่มีประสทิ ธิภาพอยูแ่ ล้วกต็ าม แตก่ ารป้องกันทีแ่ นน่ หนาขึ้น ก็มีความจาเปน็ สาหรบั ขอ้ มลู ที่เปน็ ความลับซ่งึ ต้องอาศัยทัง้ นโยบายและกลไกปอ้ งกันท่ดี ีควบคกู่ นั การเป็นเจ้าของข้อมูล (Data Ownership) แบ่งออกเป็น 3 กล่มุ
การเป็นเจา้ ของขอ้ มูล (Data Ownership) แบง่ ออกเป็น 3 กลุ่ม 1. เจา้ ของข้อมลู (Data Owners) คือผู้มสี ิทธใิ นการใช้ขอ้ มลู และตอ้ งทาหนา้ ท่ีในการรักษา ความปลอดภัยของขอ้ มูลดว้ ย โดยทั่วไปผมู้ ีสทิ ธด์ิ งั กล่าวจะเป็นผู้บริหารสารสนเทศในระดับสูง หรือสมาชกิ ในกล่มุ น้ีซ่ึงตอ้ งทางานกับผู้บรหิ ารและผู้ปฏบิ ัติการในระดบั รองลงมา คอยกากับการใช้ งานสารสนเทศให้เปน็ ไปตามนโยบายความมัน่ คงปลอดภยั รวมถึงคอยจาแนกประเภทและระดับ ของข้อมูลทจี่ ะใช้ดว้ ย 2. ผู้ดูแลขอ้ มูล (Data Custodians) ทางานร่วมกับ Data Owners โดยตรง ทาหนา้ ที่ จดั เก็บรกั ษาข้อมลู รวมถงึ ป้องกนั ภัยคุกคาม ทาการสารองขอ้ มลู ดาเนนิ การตามขัน้ ตอนทร่ี ะบุไว้ ในนโยบายและแผนงานความมนั่ คงปลอดภัย 3. ผู้ใชข้ ้อมูล (Data Users) คือผ้ใู ชป้ ลายทางท่ีทางานกบั ข้อมูลโดยตรง ดังนัน้ End User ก็ คือพนักงานทกุ คนในองค์กร ตอ้ งปฏบิ ตั ิตามขัน้ ตอนการรกั ษาความปลอดภยั ทถี่ กู กาหนดไว้
4. บุคคลากร (People) บุคลากร คอื ภัยคกุ คามตอ่ สารสนเทศทถ่ี ูกมองขา้ มมากที่สุด โดยเฉพาะ บุคลากรทีไ่ ม่มจี ติ สานึกและจรรยาบรรณในอาชีพ ก็เปน็ จดุ ออ่ นทีส่ ุดของการโจมตไี ด้ เนอ่ื งจากผ้ไู ม่หวัง ดสี ามารถเกลย้ี กล่อมใหบ้ ุคคลากรขององคก์ รเปิดระบบใหโ้ ดยไมจ่ าเป็นต้องใชเ้ คร่ืองมือใด ๆ วธิ กี ารน้ี คือ Social Engineering ดว้ ยวิธการดังกลา่ ว บคุ คลากรอาจถูกหลอกลวงเพื่อใหข้ ้อมลู บางอย่างแกม่ จิ ฉาชพี ได้ จึงได้ มกี ารศึกษา Social Engineering น้ีอยา่ งจรงิ จัง เพือ่ เป็นการปอ้ งการการหลอกหลวงบคุ ลากรให้ เปิดเผยข้อมูลบางอย่างทที่ าให้เขา้ สูร่ ะบบได้ โดยอาศยั ลักษณะนิสัยทเ่ี ป็นจุดอ่อนของบคุ คลากร
ช่องทางการโจมตรี ะบบความม่นั คงปลอดภัยของคอมพิวเตอร์ ตามบทความนี้ บทความไอที 24 ชั่วโมง, รายการไอที 24 ช่ัวโมง https://www.it24hrs.com/2011/social-engineering/ ได้มกี ารจดั ชอ่ งทางการโจมตรี ะบบความมน่ั คงปลอดภัยของคอมพิวเตอร์ไว้ 2 แบบใหญ่ ๆ การโจมตีด้วยชอ่ งทางทางเทคนิค 1.1 ผ่านชอ่ งโหว่ของโปรแกรม หรือ ระบบ (Vulnerability) ถา้ อา่ นข่าวจากเว็บ ต่างประเทศ จะใช้ศพั ท์คาว่า Exploit (คอื โปรแกรม หรอื ชดุ คาส่ังที่การอาศัยช่องโหวข่ องระบบในการ โจมตี) หรอื Zero-day(หมายถงึ การโจมตที ีช่ อ่ งโหว่ของโปรแกรมหรือระบบ ทไ่ี ม่มใี ครรู้มากอ่ นว่ามี ช่องโหวน่ ั้นอยู่ หรอื รู้แล้วแต่ยังไมม่ ี patch สาหรับอดุ ช่องโหว่ หรือยงั ไม่มี signature ของโปรแกรม ดา้ น security สาหรบั ตรวจหาการโจมตที ี่ว่าในเวลาน้ัน) จัดเปน็ การโจมตีทางเทคนคิ ซ่งึ ไม่ว่าจะเป็น IP Spoofing, DoS (Denial of Service), DDoS (Distributed Denial of Service), Man-in-the-Middle ฯลฯ ล้วนอาศัยชอ่ งโหวข่ องโปรแกรมระบบปฏบิ ตั ิการ ชอ่ ง โหว่ของโปรแกรมเว็บบราวเซอร์ หรือชอ่ งโหว่ของโปรแกรมเว็บเซอร์ฟเวิร์ เป็นชอ่ งทางผา่ นสาหรับการเข้า โจมตี ทงั้ นนั้ ซึง่ แฮกเกอร์อาจต้องมีความรคู้ วามชานาญสูงเพ่ือพฒั นาซอฟตแ์ วร์มาใช้เอง หรือดาวน์ โหลดพวก Toolkits ต่างๆ มาใช้
ชอ่ งทางการโจมตีระบบความม่นั คงปลอดภัยของคอมพิวเตอร์ 1.2 ผ่านทางชอ่ งทางการฝังตัวเองไว้กับไฟล์ (File-infector) หรือเซคเตอร์ ระบบ (System Sector) ภายในหนว่ ยความจา ของเคร่อื งคอมพิวเตอร์ท่ีตกเปน็ เหยอ่ื ต่อมาเม่ือมี การเรยี กโปรแกรมที่ตดิ ไวรสั สว่ นของไวรัสจะทางานก่อนและจะถือโอกาสนฝ้ี งั ตวั เขา้ ไปอยใู่ น หนว่ ยความจา โปรแกรมพวก malware ประเภท virus จะใช้ช่องทางน้ีในการโจมตี 1.3 ผ่านทางช่องทางการแฝงตวั เองไว้ไวใ้ นโปรแกรมทดี่ ูนา่ สนใจ เชน่ โปรแกรมยทู ิลติ ้ใี หใ้ ช้ งาน หลอกให้ผูใ้ ช้หลงคดิ ว่าเปน็ ซอฟต์แวรถ์ กู กฎหมายและใชง้ านฟรี เม่ือโปรแกรมถกู เปดิ ใช้งาน malware กจ็ ะเร่มิ ทางาน โปรแกรมพวก malware ประเภทมา้ โทรจนั จะใชช้ ่องทางนใี้ นการ โจมตี
ช่องทางการโจมตรี ะบบความมั่นคงปลอดภยั ของคอมพวิ เตอร์ การโจมตีโดยใชเ้ ทคนิคทางจติ วทิ ยาสงั คม ทเี่ รยี กวา่ วิธี วศิ วกรรมสังคม (Social Engineering) ซึง่ เป็นวิธีการท่ีมมี านานแล้ว เมอื่ พูดถงึ เรือ่ งความม่นั คงปลอดภยั ของระบบคอมพวิ เตอร์ (Computer Security) ผู้ใชง้ าน คอมพวิ เตอรจ์ านวนไม่น้อย ท่ีมีพนื้ ฐานดา้ นคอมพวิ เตอร์ไมม่ าก มกั ถกู ปลกู ฝังความเชอ่ื เอาไว้วา่ หากมกี ารตดิ ต้งั โปรแกรมป้องกนั ไวรสั (หรือท่ีเรียกวา่ แอนตไ้ี วรัส [Anti-virus]) แลว้ จะปลอดภยั จากไวรสั แต่ในความเปน็ จรงิ แลว้ “กุญแจลอ็ กดปี านใดกไ็ ร้ประโยชน์ หากเจ้าของบ้านเปดิ ประตูบา้ นเชญิ ขโมยเข้าไป”
ระวัง! การโจมตีโดยใช้เทคนิคจติ วทิ ยา”Social Engineering” บทความไอที 24 ชั่วโมง, รายการไอที 24 ชัว่ โมง https://www.it24hrs.com/2011/social- engineering/ ในโลกแห่งความจรงิ ช่องทางในการโจมตีจากผู้ไมห่ วังดี เพื่อใหเ้ ครื่องคอมพิวเตอร์ของเรา มี โปรแกรมไม่พึงประสงค์ท่เี รยี กว่ามลั แวร์ (Malware) ไปตดิ ตัง้ มีหลายช่องทาง ไม่ว่าจะเป็นการอาศยั สอ่ื พาหะตา่ ง เชน่ ในอดตี เคยใช้แผ่นดสิ ก์ ปจั จุบันกเ็ ป็นอเี มล์ และพวกแฟลชไดร์ฟ หรือแพร่กันผา่ นทาง ระบบเครือขา่ ย หรอื เพียงแคเ่ ปดิ เวบ็ กโ็ ดนเจาะระบบได้เชน่ กัน
วศิ วกรรมสังคม (Social Engineering) หากเปรยี บระบบคอมพวิ เตอรเ์ ปน็ เหมอื นกับทีอ่ ยอู่ าศยั แลว้ พวกซอฟต์แวร์และฮารด์ แวร์ ดา้ นความมั่นคงปลอดภัยต่างๆ ไมว่ ่าจะเปน็ แอนต้ไี วรสั , ไฟร์วอลล์ (Firewall), Intrusion Detection System (IDS) ฯลฯ ก็เหมือนกบั แมก่ ญุ แจล็อก หรอื ระบบป้องกันขโมยตา่ งๆ และ ไม่ว่าระบบจะมปี ระสิทธภิ าพดีเพียงใดก็ตาม ย่อมมีชอ่ งโหวใ่ ห้ผู้ไม่หวงั ดีเจาะเขา้ มาได้ไม่ทางใดกท็ าง หนง่ึ แตอ่ าจต้องใช้ความรคู้ วามสามารถและความพยายามมาก บางครงั้ การพยายามเจาะระบบ ต้องใชเ้ วลานานมากเกนิ จนไมค่ ้มุ ที่จะทา และบางครงั้ เจาะครัง้ แรกเขา้ ไปได้แลว้ แต่พอจะเจาะครั้งท่ี สอง อาจมีการอพั เกรดระบบความม่นั คงปลอดภยั แล้ว วธิ เี ดิมใชไ้ มไ่ ด้แล้ว ผไู้ ม่ประสงคด์ ีจึงคดิ ใหม่ทาใหม่ … หากไมอ่ ยากเสียเวลาไปสะเดาะกญุ แจเพ่อื หาทางเขา้ บ้านที่ลอ็ ก เอาไว้ วิธงี ่ายทส่ี ดุ คือ หลอกใหเ้ จา้ ของบ้านเปิดประตูเชิญเขา้ ไปเอง เพราะถา้ เป็นแบบน้ี ไมว่ ่าจะ อพั เกรดกุญแจเป็นแบบไหนกต็ าม หากหลอกให้เจา้ ของบา้ นเปดิ ประตูให้เขา้ มาได้ ระบบและกลไก และมาตรการใด ๆ กไ็ ม่สามารถปอ้ งกันความม่ันคงปลอดภัยได้
SOCIAL ENGINEERING SPECIALIST Because there is no patch for human stupidity คากลา่ วดา้ นบนชดั เจนมาก … “ไมม่ ี patch ใด (หมายถึง ซอฟต์แวร์ทถี่ กู ทาขน้ึ มาเพื่อปิดชอ่ ง โหวข่ องโปรแกรมหลกั หรอื ระบบ) มาแกไ้ ขความโงข่ องมนุษยไ์ ด้” เทคนิควศิ วกรรมสังคมนัน้ มปี ระสิทธภิ าพมาก เพราะผไู้ ม่ประสงคด์ ีไม่จาเป็นต้องมี ความรู้ด้านคอมพิวเตอร์ในเชงิ เทคนคิ มาก ท่สี าคญั คอื ระบบปอ้ งกนั ใดๆ ก็ไร้ผล เพราะการโจมตี ไม่ได้โจมตที รี่ ะบบ แต่เป็นการโจมตีทผ่ี ใู้ ช้ระบบตา่ งหาก เทคนคิ นถี้ ูกนาไปใชเ้ พื่อเปา้ หมาย หลายๆ อย่าง ดงั ตวั อยา่ งต่อไปน้ี
หลอกเอาบัญชีผู้ใชง้ านและรหสั ผา่ น แฮกเกอรจ์ ะพยายามหาวิธีหลอกให้เรากรอกข้อมูล ชอื่ ผู้ใชง้ าน (Username) และรหสั ผา่ น (Password) เชน่ อาศยั โปรแกรม Windows Live Messenger สง่ ทีอ่ ยเู่ ว็บ (URL) มาให้ โดยบอกวา่ เป็นเวบ็ ฝากรปู ท่ีเพง่ิ ถา่ ยไว้ พอเขา้ ไปดู จะปรากฏหนา้ จอให้ต้องลอ็ กอนิ เข้าไปกอ่ นด้วยบญั ชีของ mail ถงึ จะเขา้ ดู รปู ได้ บางทกี ็สร้างหนา้ เว็บหลอกใหค้ นหลงคิดว่าเป็นเว็บจรงิ แล้วหลอกให้กรอกข้อมูล ดงั รปู เป็นการหลอกให้ หลงเช่ือว่า Gmail กาลงั จะยา้ ยข้อมูลไปไวเ้ ซิร์ฟเวอรอ์ นื่ ขอใหก้ รอกขอ้ มลู Username และ Password ของเราลงไป เพอ่ื ทาการย้ายขอ้ มลู ด้วย (สังเกตวา่ ปมุ่ เปน็ Move ไมใ่ ช่ Login เหมอื นปกติ)
อกี วธิ ีหนึง่ ท่ีใชห้ ลอก คอื หลอกวา่ เปน็ โปรแกรมสาหรบั แฮก Gmail เพียงแต่ตอ้ งใสช่ ่อื ผใู้ ชง้ านและรหัสผา่ น Gmail ของเรา พรอ้ มกบั Gmail Address ของคนท่ีเราตอ้ งการจะแฮก จากนัน้ คลกิ Hack Them แล้ว รหัสผา่ นของคนท่เี ราต้องการจะแฮกจะโผล่มา แต่จรงิ ๆ แล้วเบ้ืองหลงั กลับกลายเปน็ วา่ หากเราใสช่ ่ือผู้ใช้งานและรหสั ผา่ นของ Gmail เราเข้าไปแลว้ ข้อมลู จะถกู ส่งไปให้กับแฮกเกอร์ทหี่ ลอกเราแทน วิธีนี้ก็ได้ผลไม่น้อย เพราะมบี างคนมนี สิ ัยอยากแฮกเมล์คนอนื่ (พวกแก๊ง Call Center ทห่ี ลอกเอาข้อมลู บัตรเครดติ หรอื บญั ชธี นาคาร หรือหลอกใหเ้ ราโอนเงนิ ให้ กอ็ ยูใ่ นหมวดหม่นู ี้เช่นกนั )
หลอกใหต้ ดิ ต้ังโปรแกรม คนทไี่ ม่ค่อยมพี ื้นฐานคอมพวิ เตอร์กลัวมากอยา่ งหน่ึงก็คอื ไวรัส และพวกมัลแวร์ตา่ งๆ เพราะมกั จะได้ข่าว ความเสียหายแรงๆ อยเู่ สมอ ผู้ไมห่ วงั ดจี ะอาศยั จากความกลัวของคนให้เปน็ ประโยชน์ โดยหลักๆ แล้ว เทคนิค วศิ วกรรมสังคมในการหลอกให้คนตดิ ตง้ั โปรแกรม มักมาในรปู ของซอฟต์แวร์ป้องกนั ไวรสั ปลอมๆ (Fake Antivirus หรอื Fake AV) พวกนี้มักจะเป็นหน้าต่างป๊อบอัพข้นึ มาเวลาเปดิ เว็บ (หรอื บางทีมาจาก พวกมัลแวรต์ วั อื่นท่ีอย่ใู นเครือ่ งของเรา) โดยทาหน้าตาใหเ้ หมือนกับโปรแกรมปอ้ งกันไวรัสช่ือดังๆ แล้วทาเปน็ เหมอื นกับว่ากาลงั สแกนเครอ่ื งคอมพิวเตอรข์ องเราอยู่ แล้วพบไวรัสจานวนมาก Fake AV จะบอกวา่ หากตอ้ งการกาจัด ก็ตอ้ งไปดาวน์โหลด (และอาจเสยี เงินดว้ ย) ตัวเต็ม มาจดั การ หากใครเผลอไปดาวน์โหลดมาจะได้มัลแวร์ตัวจรงิ เต็มๆ มาไวใ้ นเครือ่ ง แทนทีจ่ ะไดโ้ ปรแกรมป้องกัน
หลอกให้ลบ ความพยายามในการโจมตีระบบคอมพิวเตอร์ ส่วนใหญอ่ ยากได้ข้อมลู ของเราไปขาย หรือ อยากจะเขา้ มาฝากพวกมลั แวรไ์ ว้ในเครื่องคอมพิวเตอร์ของเรา เพื่อใชใ้ นการอยา่ งอน่ื ที่จะทาใหไ้ ด้เงนิ มา เชน่ เอาไปใชส้ ง่ อเี มล์ขยะ เอาไปใชย้ ิงถลม่ เครื่องเซริ ฟ์ เวอรข์ องบริษทั ใหญๆ่ เปน็ ตน้ เทคนคิ วศิ วกรรมสังคมเพื่อ “หลอกให้ลบ” ให้ผลในลกั ษณะของความเสยี หายของระบบ และไม่ ค่อยพบมากนัก เช่น ย้อนกลบั ไปเมื่อ 9 ปีกอ่ น พบอเี มล์หลอกลวงวา่ พบไวรัสตุ๊กตาหมี (Teddy Bear) อยใู่ นไฟล์ ช่ือว่า jdbgmgr.exe อย่ใู นไดร์ฟ C ของ ให้ลองไปค้นหาไฟลช์ อื่ นใี้ นไดรฺ์ฟ C แล้วเราจะเห็นไฟล์ไวรัสน้ี ขอ้ สังเกตคือ ถา้ เจอ อยา่ ไปเปิด ให้ลบทง้ิ ไป และบอกเพื่อนๆ ต่อไปด้วย แม้ว่ามนั อาจจะดูไม่น่าเชอ่ื แตก่ ็ อาจจะมบี างคนลองหาไฟล์นดี้ ู แล้วกต็ ้องเชื่อ เพราะเขาเจอไฟล์ jdbgmgr.exe จริงๆ และมีคนส่งอีเมล์ มาเตอื นดว้ ย พอทาตามกพ็ บไฟลด์ ังกล่าวเลย ก็จดั การลบทิ้งเลย โชคดที ีไ่ ฟล์ jdbgmgr.exe น้นั แม้จะเป็นไฟล์ของ Windows จริงๆ (ในสมยั น้ัน) แตม่ นั ก็ไมใ่ ช่ไฟล์ ระบบสาคญั ทีค่ นทวั่ ๆ ไปใช้กนั เพราะมนั คอื Java Debug Manager ใครทไี่ มไ่ ด้ใช้สว่ นนกี้ ็จะไม่พบ ผลกระทบอะไร แตน่ กั พัฒนาท่ีใชโ้ ปรแกรม Microsoft Visual J++ v.1.1 จะมีปัญหา เพราะส่วน ของ Debug โปรแกรมเสยี หายไป
บทส่งท้ายของวศิ วกรรมสงั คม จุดทน่ี า่ กลัวอกี อย่างของวศิ วกรรมสงั คมก็คอื นอกเหนอื จากการทาให้ผู้ไมห่ วงั ดีไดส้ ่งิ ที่พวกเขาอยากได้โดยผา่ นทะลุทุก การป้องกันแลว้ ก็คือ เทคนิคบางอย่าง มนั ใช้ซา้ แล้วซ้าอีก แต่ก็ยังมคี นหลงกลเชอ่ื ไดต้ ลอด และยังจะมีเพ่ิมขึน้ มาอีกมากในอนาคตอีก ดว้ ย AVG Technologies ผู้พฒั นาซอฟต์แวรป์ ้องกนั ไวรสั AVG Antivirus ได้เผยตัวเลขสถติ ทิ ี่น่าสนใจพบวา่ ผใู้ ชง้ านมโี อกาสเจอกบั การโจมตดี ว้ ยเทคนิควศิ วกรรมสงั คมนนั้ มมี ากกว่าการโจมตที อ่ี าศัยช่องโหว่ของซอฟตแ์ วรถ์ งึ 4 เท่า [ท่มี า: Virus Bulletin 2010] https://www.virusbulletin.com/conference/vb2017/ โดย การโจมตีด้วยวศิ วกรรมสังคม พบ 1,985,377 ครั้ง การโจมตีด้วยชอ่ งโหว่ของซอฟต์แวร์ พบ 415,697 ครง้ั ทางป้องกนั ของผ้ใู ช้งานกค็ ือ การหม่ันตดิ ตามขา่ วสารดา้ นความม่ันคงปลอดภัยของระบบคอมพวิ เตอร์ ผา่ นทางรายการข่าวไอทตี ่างๆ เว็บไซตข์ า่ วไอทตี ่างๆ และพยายามทาตวั ให้หนักแนน่ และพนิ จิ พิจารณาให้ถถ่ี ว้ นก่อนทจ่ี ะเชอื่ ขา่ วใดๆ จากแหล่งขา่ วที่เราไมค่ นุ้ เคย หรือแมแ้ ตเ่ พอ่ื นเราเอง ควรรบั ขา่ ว แลว้ ตรวจสอบขอ้ มูลนนั้ กบั แหล่งข่าวไอทีทน่ี ่าเช่อื ถอื อน่ื ๆ เสมอทกุ คร้งั ครับ
5. ข้นั ตอนการทางาน (Procedure) เป็นองค์ประกอบหน่ึงของระบบสารสนเทศทถี่ กู มองขา้ มใน ดา้ นความมนั่ คงปลอดภยั โดยหากมิจฉาชพี ทราบขนั้ ตอนการทางานอยา่ งใดอย่างหนง่ึ ครบถ้วนแลว้ ก็ จะสามารถค้นหาจุดอ่อนเพอ่ื นกระทาการอนั ก่อนใหเ้ กดิ ความเสยี หายตอ่ องคก์ รและลูกคา้ ขององค์กร ได้ 6. เครอื ขา่ ยคอมพวิ เตอร์ (Network) การเชื่อมตอ่ ระหว่างคอมพวิ เตอร์และระหว่างเครือข่าย คอมพิวเตอร์ ทาให้เกิดอาชญากรรมและภยั คกุ คามคอมพวิ เตอร์ชนิดใหมจ่ านวนมาก โดยเฉพาะการ เช่อื มต่อระบบสารสนเทศเข้ากับเครอื ขา่ ยอนิ เตอร์เนต็ จดั ว่ามคี วามเสี่ยงต่อภยั คกคามสงู มาก องคก์ รจงึ ต้องเพ่มิ มาตรการรักษาความมน่ั คงปลอดภัยทแี่ นน่ หนาขนึ้ จนกลายเป็นวาระแหง่ ชาติทีต่ ้องมี พระราชบญั ญตั ิว่าดว้ ยการระทาความผิดทางคอมพวิ เตอร์
อปุ สรรคของงานความมัน่ คงปลอดภัยของสารสนเทศ 1. “ความมนั่ คงปลอดภัย” คอื “ความไม่สะดวก” ผ้ใู ชม้ ักเห็นวา่ การรักษาความม่ันคง ปลอดภยั ทาให้การทางานไม่สะดวกเน่อื งจากตอ้ งเสียเวลาในการปอ้ น password และกระบวนการอน่ื ๆ ในการพิสูจน์ตัวผใู้ ช้ บางครงั้ ตอ้ งป้อนรหสั ผา่ นมากกว่า 1 ครง้ั 2. มคี วามซับซอ้ นบางอยา่ งในคอมพิวเตอร์ทผี่ ใู้ ช้ทวั่ ไปไม่ทราบ เชน่ Registry , Port, Service ทจ่ี ะทราบเฉพาะในแวดวง Programmer หรือผูด้ แู ลระบบ ซ่งึ ผู้ใชท้ ว่ั ไปไม่ได้ใหค้ วามสาคัญ 3. ผใู้ ช้คอมพวิ เตอรไ์ มร่ ะแวดระวัง เพราะไม่มคี วามร้ใู นดา้ นคอมพวิ เตอรม์ ากพอ จึงตก เปน็ เหย่ือของการโจมตีเสมอ
อปุ สรรคของงานความมนั่ คงปลอดภยั ของสารสนเทศ (ตอ่ …) 4. การพัฒนาซอฟตแ์ วรโ์ ดยคานงึ ถึงความมน่ั คงปลอดภัยภายหลงั เพราะผพู้ ัฒนา เนน้ ความสาคญั ไปทกี่ ารพฒั นาซอฟตแ์ วร์ใหง้ านเสรจ็ ทันเวลา ภายในงบประมาณทตี่ ั้ง ไว้ ดังนั้น จงึ ไมล่ งรายละเอียดในกระบวนการทดสอบ ทาใหซ้ อฟต์แวร์มีช่องโหวเ่ ป็น จดุ ออ่ นให้โจมตีได้ 5. แนวโนม้ เทคโนโลยีสารสนเทศคือการ “แบ่งปนั ” ไมใ่ ช่ “การปอ้ งกัน” เนน้ การ สร้างการเช่อื มโยงของผ้ใู ช้ เช่น Social Networks ต่าง ๆ เกดิ สงั คมการแบง่ ปนั ข้อมูลโดยขาดความระมัดระวังการใหข้ อ้ มลู สว่ นบคุ คลบนเวบ็ ไซต์เหลา่ น้นั
อปุ สรรคของงานความม่ันคงปลอดภัยของสารสนเทศ (ต่อ …) 6. การเข้าถงึ ขอ้ มลู ไดจ้ ากทุกสถานที่ ด้วยอุปกรณส์ ่ือสารแบบพกพา ประกอบกับ Online Storage ทผ่ี ู้ให้บริการไดจ้ ดั ไวเ้ พอ่ื ใหผ้ ใู้ ชบ้ รกิ ารสามารถฝากไฟลไ์ ว้ได้ ซึ่งมี ความเสยี่ งสงู มากตอ่ การถูกโจมตี 7. ความม่ันคงปลอดภยั ไมไ่ ดเ้ กดิ ข้นึ ทซ่ี อฟตแ์ วร์ และฮารด์ แวร์เพียงอยา่ งเดียว แต่การ รกั ษาความม่ันคงปลอดภยั ของสารสนเทศเปน็ งานท่เี ป็นกระบวนการ (Process) ตอ้ ง อาศยั ความร่วมมือจากผู้ใชท้ งั้ องค์กร อาศัยนโยบายและมาตรการบังคบั ให้เกิดการ ปฏิบตั ทิ ีม่ ่งุ ไปสู่เป้าหมายเดียวกัน อาศัยกจิ กรรมที่เสรมิ สรา้ งความเขา้ ใจแก่ผู้ใช้ เชน่ การ ฝึกอบรมเพอื่ เสริมสร้างการเรยี นรู้ และสร้างจิตสานึกในวชิ าชีพ
อปุ สรรคของงานความมัน่ คงปลอดภัยของสารสนเทศ (ตอ่ …) 8. มจิ ฉาชพี มคี วามเชี่ยวชาญ ทาให้เทคโนโลยีและการออกมาตรการปอ้ งกันการโจมตี ตามหลังมิจฉาชีพเสมอ กล่าวคือระบบมกั ถูกโจมตกี ่อนเสมอ จงึ เกดิ Patch ตามมา 9. การให้ความสาคัญกับงานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศมักถูก นามาพิจารณาเปน็ เรอื่ งรอง หรอื เมอ่ื ระบบถกู โจมตีไปแล้ว
วงจรการพัฒนาระบบความมน่ั คงปลอดภยั ของสารสนเทศ วงจรการพัฒนาระบบความม่ันคงปลอดภัยของสารสนเทศ (Security Systems Development Life Cycle : SecSDLC) มีขั้นตอนการพัฒนา ใกล้เคียงกบั วงจรการพฒั นาแอพพลิเคชนั ระบบสารสนเทศ (System Development life Cycle: SDLC) โดยแตล่ ะ Phase ของ SDLC สามารถ นามาปรับใช้กับการดาเนนิ โครงการพัฒนาระบบความม่นั คงปลอดภัยของสารสนเทศได้ วงจร SecSDLC ประกอบดว้ ย 6 phases แตล่ ะเฟสประกอบดว้ ย กจิ กรรมยอ่ ย ดังตอ่ ไปน้ี
วงจรการพัฒนาระบบความมน่ั คงปลอดภัยของสารสนเทศ (Security Systems Development Life Cycle : SecSDLC) Investigation Analysis Logical Design Physical Design Implementation Repeat Maintenance And Change
วงจรการ SecSDLC (ต่อ……) 1. ขน้ั ตอนการสารวจ (Investigate) : 1.1 CIO กาหนดนโยบาย และผลลพั ธข์ องการพัฒนาระบบการรกั ษาความม่นั คงปลอดภัยใน ระดับองค์กร 1.2 กลุ่มผ้รู ับผืดชอบดาเนนิ การสารวจ เก็บข้อมูล วเิ คราะหป์ ัญหา กาหนดขอบเขต เป้าหมาย กระบวนการ จดั สรรบุคคลากร งบประมาณ ระยะเวลา และศึกษาความเป็นไปได้ของโครงการ 2. การวเิ คาระห์ (Analysis) : 2.1 ศึกษาภยั คกุ คามในปัจจบุ นั และวธิ ีปอ้ งกนั ตามทร่ี ะบุในนโยบายการพัฒนาระบบการรักษา ความมัน่ คงปลอดภยั 2.2 วเิ คราะห์ประเด็นดา้ นกฎหมายท่เี กี่ยวขอ้ งกบั วธิ ีการ/มาตรการป้องกัน ไดแ้ ก่ พรบ วา่ ด้วย การกระทาความผดิ ทางคอมพวิ เตอร์ ข้อกฎหมายวา่ ดว้ ยสทิ ธสิ ว่ นบุคคล กฎหมายลิขสทิ ธิ์ ฯลฯ 2.3 วเิ คราะห์ระดบั ความเส่ียง พจิ ารณาถงึ โอกาส (Likelihood)ทจี่ ะเกิด และผลกระทบ (Impact) ที่จะเกดิ ข้นึ เพือ่ เป็นพ้นื ฐานการจดั การกบั ความเสีย่ งนั้นๆ 2.4 วางแผนดาเนินการลดระดบั ความร้ายแรงลงมาอยูใ่ นระดับท่ีสามารถควบคุมได้ 2.5 จัดเตรียมมาตรการปอ้ งกันไม่ใหเ้ กดิ ความเส่ยี งต่างๆ ไดอ้ ีก
วงจรการ SecSDLC (ตอ่ ……) 3. การออกแบบระดับตรรกะ (Logical Design) : 3.1 จดั ทาโครงร่างของระบบรักษาความมน่ั คงปลอดภยั ของสารสนเทศ 3.2 จดั ทาแผนรบั มอื ภยั พิบตั ิ หรอื เหตุการณ์ไมค่ าดคิด (Incident Response Action Plan) ซ่ึงจะตอ้ งสามารถตอบคาถามต่าง ๆ ได้ ดงั นี้ • ธรุ กจิ จะสามารถดาเนนิ งานต่อไปได้อย่างไรในกรณีที่เกดิ ความเสียหาย • ตอ้ งดาเนนิ การแกไ้ ข ปอ้ งกนั และควบคุม อย่างไรเมือ่ ถูกโจมตี • จะตอ้ งฟืน้ ฟูระบบอย่างไรหลงั จากไดร้ บั ความเสียหาย 4. การออกแบบระดับกายภาพ (Physical Design) : 2.1 กาหนด ประเมิน และคัดเลือกเทคโนโลยที ่ีจะนามาใช้สนบั สนุนโครงร่างของระบบรกั ษา ความมั่นคงปลอดภยั *** ขั้นตอนน้ี อาจมีการแกไ้ ขโครงร่างทอ่ี อกแบบไว้เพอื่ ความลงตัวและความพอดใี นเฟสการพัฒนาจริงติอไป 2.2 ขอความคิดเหน็ จากผู้เชย่ี วชาญ และผูใ้ ห้การสนบั สนนุ เพ่ือพิจารณาอนุมัตโิ ครงการ
วงจรการ SecSDLC (ตอ่ ……) 5. การพัฒนา (Implementation) : 3.1 พฒั นาระบบรักษาความม่นั คงปลอดภัยของสารสนเทศตามโครงรา่ งทอ่ี อกแบบไว้ ซ่ึงองคก์ ร อาจพัฒนาเอง หรือจ้าง Outsource 3.2 ทดสอบระบบจนกวา่ จะไม่พบขอ้ ผิดพลาด 3.3 ฝึกอบรม ให้ความรู้ แกผ่ ู้ใช้ที่เกย่ี วข้องทั้งหมด 6. การบารงุ รักษาและเปลี่ยนแปลง (Maintenance and Change) : 2.1 ติดตาม ทดสอบ ปรบั ปรงุ ตลอดเวลา เพราะในระหว่างการใช้งานอาจมีภยั คุกคามรูปแบบ ใหมเ่ กดิ ข้นึ อยูเ่ สมอ 2.2 ปรับรายละเอยี ดของภัยคุกคามให้ทันสมัยอยูเ่ สมอ เพราะภยั คกุ คามที่เกดิ ขึน้ ใหม่อาจ สมั พันธก์ ับภยั คุกคามเดมิ ทีเ่ คยระบุไวใ้ นโครงร่างของระบบรกั ษาความมั่นคงปลอดภยั ฯ ท่ไี ดอ้ อกแบบไว้
ภัยคุกคามทรี่ ายงานมาท่ี ThaiCERT ไทยเซริ ต์ ไดร้ บั แจ้งเหตภุ ัยคกุ คามจากหน่วยงานทง้ั ในและตา่ งประเทศโดยเฉล่ยี มากกวา่ 100 เรื่องต่อเดือน ขอ้ มูลเชงิ สถิตเิ กี่ยวกบั เหตภุ ยั คกุ คามท่ีไทยเซริ ์ตไดร้ ับแจง้ สามารถจาแนกเปน็ 9 ประเภท ตามท่ีได้กาหนดโดย The European Computer Security Incident Response Team (eCSIRT) ซง่ึ เป็นเครือข่ายความ ร่วมมือของหน่วยงาน CSIRT ในสหภาพยุโรป ตารางดงั ตอ่ ไปน้ี
ตารางท่ี 1 (1-1) ประเภทภัยคุกคามด้านเทคโนโลยสี ารสนเทศและการสื่อสาร โดย eCSIRT ประเภทภัยคกุ คาม คาอธิบาย 1 เน้ือหาท่เี ปน็ ภัยคุกคาม ภัยคกุ คามทเ่ี กิดจากการใช/้ เผยแพรข่ อ้ มลู ท่ีไมเ่ ปน็ จรงิ หรือไมเ่ หมาะสม (Abusive Content) (Abusive Content) เพ่ือทาลายความนา่ เชอ่ื ถือของบุคคลหรอื สถาบนั เพอื่ ก่อใหเ้ กดิ ความไม่สงบ หรอื ข้อมลู ทไ่ี มถ่ ูกต้องตามกฎหมาย เช่น ลามก อนาจาร หม่นิ ประมาทและรวมถึงการโฆษณาขายสนิ คา้ ตา่ งๆ ทางอีเมลทผี่ ้รู บั ไมไ่ ดม้ คี วามประสงคจ์ ะรับข้อมลู โฆษณาน้นั ๆ (SPAM) 2 โปรแกรมไม่พงึ ภยั คุกคามที่เกิดจากโปรแกรมหรือซอฟต์แวร์ท่ีถูกพฒั นาขน้ึ เพ่ือสง่ ให้ ประสงค์ เกดิ ผลลพั ธ์ทไ่ี ม่พงึ ประสงค์ กับผใู้ ชง้ านหรือระบบ(Malicious Code) เพื่อทาใหเ้ กิดความขัดขอ้ งหรือเสยี หายกับระบบที่โปรแกรม (Malicious หรือซอฟต์แวรป์ ระสงคร์ า้ ยนีต้ ดิ ตัง้ อยู่ โดยปกติโปรแกรมหรือซอฟต์แวร์ Code) ประสงค์รา้ ยประเภทนต้ี อ้ งอาศัยผูใ้ ชง้ านเปน็ ผเู้ ปดิ โปรแกรมหรือ ซอฟต์แวรก์ อ่ น จงึ จะสามารถตดิ ตง้ั ตวั เองหรอื ทางานได้ เช่น Virus, Worm, Trojan หรือ Spyware ตา่ ง ๆ
ตารางที่ 1 (1-1) ประเภทภยั คกุ คามด้านเทคโนโลยีสารสนเทศ ประเภทภยั คกุ คาม คาอธบิ าย 3 ความพยายาม ภัยคุกคามท่เี กดิ จากความพยายามของผู้ไมป่ ระสงค์ดีในการรวบรวมข้อมลู รวบรวมข้อมูล จดุ ออ่ นของระบบ(Scanning) ดว้ ยการเรยี กใช้บรกิ ารตา่ งๆท่อี าจจะเปดิ ไว้ ของระบบ บนระบบ เชน่ ขอ้ มลู เก่ยี วกับระบบปฏบิ ตั ิการ ระบบซอฟตแ์ วร์ท่ีตดิ ตงั้ หรอื ใช้ งานขอ้ มูลบญั ชชี อื่ ผใู้ ชง้ าน (User Account) ที่มอี ยู่บนระบบเปน็ ตน้ (Information รวมถงึ การเก็บรวบรวมหรือตรวจสอบข้อมูลจราจรบนระบบเครอื ข่าย Gathering) (Sniffing) และการล่อลวงหรอื ใช้เล่ห์กลต่างๆ เพื่อใหผ้ ู้ใช้งานเปิดเผย ขอ้ มูลทม่ี ีความสาคัญของระบบ (Social Engineering)
ตารางที่ 1 (1-1) ประเภทภยั คกุ คามดา้ นเทคโนโลยีสารสนเทศ ประเภทภยั คกุ คาม คาอธบิ าย 4 ความพยายาม ภยั คกุ คามทเี่ กดิ จากความพยายามจะบกุ รุก/เจาะเขา้ ระบบ จะบุกรกุ เข้า (Intrusion Attempts) ทง้ั ที่ผา่ นจุดออ่ นหรอื ช่องโหวท่ ี่เป็นที่รู้จัก ระบบ ในสาธารณะ (CVE- Common Vulnerabilities and Exposures) หรอื ผา่ นจุดออ่ นหรือชอ่ งโหวใ่ หม่ท่ียังไม่เคยพบมากอ่ น (Intrusion เพอ่ื จะได้เข้าครอบครองหรือทาให้เกิดความขัดข้องกบั บริการต่างๆของ Attempts) ระบบ ภัยคกุ คามนี้รวมถงึ ความพยายามจะบุก รุก/เจาะระบบผ่านช่องทางการตรวจสอบบัญชีชอ่ื ผู้ใช้งานและรหสั ผ่าน (Login) ด้วยวธิ ีการส่มุ /เดาข้อมลู หรือวิธกี ารทดสอบรหสั ผ่านทกุ คา่ (Brute Force) 5 การบุกรุกหรอื ภยั คกุ คามทเ่ี กดิ กับระบบทถ่ี กู บกุ รุก/เจาะเขา้ ระบบไดส้ าเร็จ เจาะระบบได้ (Intrusions) และระบบถกู ครอบครองโดยผู้ทีไ่ มไ่ ด้รับอนญุ าต สาเร็จ (Intrusions)
ตารางท่ี 1 (1-1) ประเภทภยั คุกคามด้านเทคโนโลยีสารสนเทศ ประเภทภยั คกุ คาม คาอธบิ าย 6 การโจมตี ภัยคุกคามท่เี กิดจากการโจมตสี ภาพความพรอ้ มใช้งานของระบบ เพือ่ ทา สภาพความ ใหบ้ รกิ ารต่างๆของระบบไมส่ ามารถให้บรกิ ารได้ตามปกติ มผี ลกระทบ พร้อมใช้งาน ต้งั แตเ่ กดิ ความล่าช้าในการตอบสนองของบรกิ ารจนกระทงั่ ระบบไม่ ของระบบ สามารถให้บริการต่อไปได้ ภัยคุกคามอาจจะเกดิ จากการโจมตีท่บี รกิ าร (Availability) ของระบบโดยตรงเช่น การโจมตีประเภท DOS (Denial of Service) แบบต่างๆ หรอื การโจมตีโครงสร้างพ้ืนฐานทีส่ นับสนุนการ ให้บริการของระบบ เชน่ อาคาร สถานท่ี ระบบไฟฟ้า ระบบปรับอากาศ 7 การเขา้ ถงึ หรือ ภัยคกุ คามทเี่ กดิ จากการทีผ่ ไู้ มไ่ ดร้ บั อนุญาตสามารถเข้าถึงขอ้ มูลสาคญั เปลี่ยนแปลง (Unauthorized Access) หรือเปลี่ยนแปลงแก้ไขข้อมลู แกไ้ ขข้อมูล (Unauthorized modification) ได้ สาคัญโดยไมไ่ ด้ รับอนุญาต (Information Security)
Search
