แนวโน้มด้านความปลอดภัยในปี 2010
ความปลอดภัยคอมพิวเตอร์คืออะไร
ความปลอดภัยคอมพิวเตอร์เป็นกระบวนการที่เกี่ยวข้องกับการป้องกัน และตรวจสอบการเข้าใช้งานเครื่องคอมพิวเตอร์โดยไม่ได้รับอนุญาต ขั้นตอนการป้องกันจะช่วยให้ผู้ที่ใช้งานสกัดกั้นไม่ให้เครื่องคอมพิวเตอร์ถูกเข้าใช้งานโดยผู้ที่ไม่ได้รับสิทธิ์ (นิยมเรียกว่า ผู้บุกรุก) ส่วนการตรวจสอบจะทำให้ทราบได้ว่ามีใครกำลังพยายามที่จะบุกรุกเข้ามาในระบบหรือไม่ การบุกรุกสำเร็จหรือไม่ และผู้บุกรุกทำอะไรกับระบบบ้าง
ทำไมจึงต้องให้ความสนใจต่อความปลอดภัยคอมพิวเตอร์
ในทุกวันนี้ คอมพิวเตอร์ถูกใช้งานเพื่อการทำธุรกรรมต่างๆ ทั้งด้านการเงินการลงทุน รวมไปถึงการใช้เพื่อติดต่อสื่อสารไปยังบุคคลอื่นผ่าน E-mail และโปรแกรมสนทนาต่างๆ ถึงแม้ว่าผู้ใช้งานอาจจะไม่คิดว่า การติดต่อสื่อสารทั้งหมดนี้ถือเป็นข้อมูลที่ "ลับที่สุด" แต่ผู้ใช้ก็คงไม่อยากให้ผู้ที่ไม่เกี่ยวข้องอ่าน e-mail ของตน นำเครื่องคอมพิวเตอร์ของตนไปใช้ในการบุกรุกระบบอื่นๆ ต่อ ส่ง e-mail จากเครื่องของตน หรือเข้ามาอ่านข้อมูลส่วนตัวที่อยู่ในเครื่อง (เช่น เอกสารทางการเงิน)
ใครต้องการบุกรุกเครื่องคอมพิวเตอร์ที่ใช้งานที่บ้าน
ผู้บุกรุก (ซึ่งอาจจะหมายความถึง Hacker, attacker และ cracker) อาจจะไม่สนใจว่าเจ้าของเครื่องเป็นใคร บ่อยครั้งที่คนเหล่านั้นต้องการเข้ามาควบคุมเครื่องคอมพิวเตอร์ เพื่อที่จะนำไปใช้ในการบุกรุกระบบอื่นๆ อีกต่อหนึ่ง
การได้รับสิทธิ์ในการควบคุมเครื่องคอมพิวเตอร์จะทำให้ผู้บุกรุกสามารถปกปิดตัวตน และแหล่งที่อยู่จริงที่ใช้ในการโจมตีได้ มักนำไปใช้ในการโจมตีระบบที่มีการเก็บข้อมูลผู้บุกรุกอย่างละเอียด เช่น ระบบของรัฐบาล หรือระบบของสถาบันการเงิน ถึงแม้ว่าผู้ใช้บางคนอาจจะเชื่อมต่อเครื่องของตน เข้าสู่เครือข่ายอินเทอร์เน็ตเพียงเพื่อเล่นเกมส์ หรือส่ง E-mail ไปหาเพื่อนและครอบครัวก็ตาม เครื่องคอมพิวเตอร์เครื่องนั้นก็อาจตกเป็นเป้าหมายในการโจมตีของผู้บุกรุกได้
ผู้บุกรุกสามารถเข้ามาดูว่าผู้ใช้งานกำลังทำอะไรอยู่ หรืออาจจะสร้างความเสียหาย หรือทำลายคอมพิวเตอร์ที่บุกรุกได้โดยการ Format ฮาร์ดดิสก์หรือแก้ไขข้อมูลที่อยู่ในเครื่อง
การบุกรุกเข้ามาใช้งานเครื่องคอมพิวเตอร์ที่บ้านเป็นเรื่องง่ายมาก จริงหรือไม่
เป็นความโชคร้ายของผู้ใช้งาน เนื่องจากผู้บุกรุกมักจะค้นพบช่องโหว่ใหม่ๆ ของซอฟต์แวร์ในเครื่องคอมพิวเตอร์ได้ตลอดเวลา โดยที่ผู้ใช้ไม่สามารถทดสอบความปลอดภัย ให้ครอบคลุมระบบทั้งหมดได้เลย เพราะซอฟต์แวร์เหล่านั้นมีความซับซ้อนมาก
เมื่อรูรั่วของระบบถูกค้นพบ ผู้ผลิตซอฟต์แวร์ก็จะพัฒนา Patch ขึ้นมาเพื่อแก้ไขปัญหาที่เกิดขึ้น อย่างไรก็ตาม ผู้ใช้จะเป็นผู้ตัดสินในว่าจะรับเอา patch ดังกล่าวมาติดตั้งในเครื่อง หรือจะแก้ไขค่าการทำงานของซอฟต์แวร์ให้มีความปลอดภัยยิ่งขึ้นหรือไม่ ถ้าผู้ดูแลระบบและผู้ใช้งานคอยดูแลให้เครื่องคอมพิวเตอร์ของตนได้รับการติดตั้ง patch และแก้ไขปัญหาด้านความปลอดภัยให้ทันสมัยอยู่ตลอดเวลา จะช่วยป้องกันระบบ จากเหตุการณ์ละเมิดความปลอดภัยคอมพิวเตอร์ ทำให้จำนวนเหตุการณ์ที่เกิดขึ้นลดลง
นอกจากนี้ ซอฟต์แวร์ที่ใช้ในงานแอพลิเคชันบางโปรแกรมได้ถูกตั้งค่าเริ่มต้นในการติดตั้ง เป็นค่าที่อนุญาตให้บุคคลภายนอกเข้าถึงเครื่องคอมพิวเตอร์ของผู้ใช้ได้ ผู้ใช้จำเป็นจะต้องแก้ไขค่าให้ปลอดภัยขึ้นด้วยตนเอง ตัวอย่างที่กล่าวถึงนี้ รวมทั้งโปรแกรมสนทนาที่ค่าเริ่มต้นของโปรแกรมถูกกำหนดให้อนุญาตให้ผู้อื่นเข้ามาเรียกใช้งานคำสั่ง บนเครื่องของผู้ใช้ หรือโปรแกรมเว็บบราวเซอร์ที่อนุญาตให้ภายนอกเข้ามาติดตั้งโปรแกรม ที่อันตรายไว้บนเครื่องของผู้ใช้ โดยโปรแกรมดังกล่าวจะทำงานทันทีที่ผู้ใช้เลือก
นิยามและคำจำกัดความของความปลอดภัยสารสนเทศ
การรักษาความมั่นคงปลอดภัยด้านไอซีที ประกอบด้วยการรักษาคุณค่าพื้นฐาน สามประการ ได้
แก่ การรักษาความลับ (Confidentiality) บูรณภาพ (Integrity) และความพร้อมใช้งาน (Availability)
ซึ่งมีคำจำกัดความที่สำคัญดังนี้
“เทคโนโลยีสารสนเทศ (IT)” หมายถึง เทคโนโลยีสำหรับการประมวลผลสารสนเทศ ซึ่งจะ
ครอบคลุมถึงการรับส่ง แปลง ประมวลผล และสืบค้นสารสนเทศ โดยมีองค์ประกอบ 3 ส่วนคือ
คอมพิวเตอร์ การสื่อสารและสารสนเทศ ซึ่งต้องอาศัยการทำงานร่วมกัน
“ความลับ (Confidentiality)” คือ การรับรองว่าจะมีการเก็บรักษาข้อมูลไว้เป็นความลับและจะมี
เพียงผู้มีสิทธิเท่านั้นที่จะสามารถเข้าถึงข้อมูลเหล่านั้นได้
“บูรณภาพ (Integrity)” คือการรับรองว่าข้อมูลจะไม่ถูกกระทำการใดๆ อันมีผลให้เกิดการ
เปลี่ยนแปลงหรือแก้ไขจากผู้ซึ่งไม่มีสิทธิ ไม่ว่าการกระทำนั้นจะมีเจตนาหรือไม่ก็ตาม
“ความพร้อมใช้งาน (Availability)” คือการรับรองได้ว่าข้อมูลหรือระบบเทคโนโลยีสารสนเทศ
ทั้งหลายพร้อมที่จะให้บริการในเวลาที่ต้องการใช้งาน
“การพิสูจน์ฝ่าย (Authentication)” คือการตรวจสอบและการพิสูจน์สิทธิของการขอเข้าใช้
ระบบของผู้ใช้บริการจากรายชื่อผู้มีสิทธิ สำหรับอุปกรณ์ไอที รวมถึงแอพพลิเคชันทั้งหลาย
“การพิสูจน์สิทธิ์ (Authorization)” หมายถึงการตรวจสอบว่า บุคคล อุปกรณ์ไอที หรือ
แอพพลิเคชัน นั้นๆ ได้รับอนุญาตให้ดำเนินการอย่างหนึ่งอย่างใดต่อระบบสารสนเทศหรือไม่
“การเก็บสำรองข้อมูล (Data backup)” หมายถึง ในระหว่างการเก็บสำรอง สำเนาของชุดข้อมูล
ปัจจุบันจะถูกสร้างขึ้นมา เพื่อป้องกันการสูญหาย
“การปกป้องข้อมูล (Data protection)” หมายถึงการป้องกันข้อมูลส่วนบุคคลต่อการประสงค์
ร้ายของบุคคลที่สาม
“การรักษาความมั่นคงปลอดภัยของข้อมูล (Data security)” หมายถึง การป้องกันข้อมูลใน
บริบทของ การรักษาความลับ บูรณภาพ และความพร้อมใช้งานของข้อมูล ซึ่งสามารถใช้แทน การ
รักษาความมั่นคงปลอดภัยของสารสนเทศได้
“การประเมินความเสี่ยง หรือการวิเคราะห์ความเสี่ยง (Risk assessment or analysis)” ของ
ระบบสารสนเทศ หมายถึง การตรวจสอบโอกาสของผลลัพธ์ใดๆ ที่ไม่พึงประสงค์ ต่อระบบฯ และ
ผลเสียที่อาจจะเกิดขึ้นตามมาได้
“นโยบายด้านความมั่นคงปลอดภัย (Security policy)” หมายถึงนโยบายที่แสดงเป้าหมายที่จะ
ต้องปกป้อง และขั้นตอนทั่วไปของกระบวนการรักษาความมั่นคงปลอดภัย ในบริบทของความ
ต้องการอย่างเป็นทางการขององค์กร รายละเอียดของวิธีการด้านความมั่นคงปลอดภัยมักจะอธิบาย
แยกไว้ในรายงานต่างหาก
ประเภทของภัยคุกคาม (Threat)
แบ่งได้เป็น 7 ประเภทภัยคุกคาม
ภัยคุกคามที่ 1 การเข้าใช้ระบบเครือข่ายคอมพิวเตอร์ภายในองค์กรโดยไม่ได้รับอนุญาต (Unauthorized LAN access) หมายถึง การที่บุคคลเข้าไปในเครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาต โดยสาเหตุที่ทำให้เกิดการเข้าใช้เครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาตอาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ดังต่อไปนี้
1.1 ไม่มีระบบป้องกันการเข้าใช้ ระบบ LAN โดยไม่ได้รับอนุญาต
1.2 อนุญาตให้ผู้ใช้อื่นใช้รหัสผ่าน (Password) ของตนเอง
1.3 มีการจัดการเรื่องรหัสผ่านที่ไม่ดีหรือรหัสผ่านนั้นง่ายต่อการคาดเดา
1.4 มีการแสวงหาผลประโยชน์จากช่องโหว่ของระบบ LAN
1.5 ไม่มีการป้องกันการเข้าใช้เครื่องคอมพิวเตอร์โดยการใส่รหัสผ่าน
1.6 ไม่มีการป้องกันการใช้งานเครื่องคอมพิวเตอร์โดยไม่ได้รับอนุญาต
1.7 รหัสผ่านเข้าใช้ระบบ LAN ถูกบันทึกในเครื่องคอมพิวเตอร์
1.8 ขาดการควบคุมผู้ใช้จากการเชื่อมต่ออุปกรณ์กับระบบ LAN
1.9 ไม่มีการป้องกันการเข้าใช้โมเด็มโดยไม่ได้รับอนุญาต
1.10 ไม่มีการกำหนดเวลาเข้า-ออกระบบ LAN
1.11 รหัสผ่านเข้าระบบยังคงติดอยู่ที่หน้าจอมอนิเตอร์หลังจากใช้งานแล้ว
1.12 ไม่มีการลงบันทึกวัน-เวลาการเข้าใช้ระบบ
1.13 ไม่มีการกำหนดเวลาเข้า-ออกระบบ LAN
ภัยคุกคามที่ 2 การเข้าใช้ทรัพยากรของเครือข่ายคอมพิวเตอร์ภายในองค์กรอย่างไม่เหมาะสม (Inappropriate access to LAN resources) หมายถึง การที่มีบุคคลทั้งที่ได้รับอนุญาตและไม่ได้รับอนุญาตเข้าไปใช้ทรัพยากรภายในเครือข่ายคอมพิวเตอร์อย่างไม่เหมาะสม โดยสาเหตุที่ทำให้เกิดการเข้าใช้ทรัพยากรของเครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาตอาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ต่อไปนี้
2.1 มีการอนุญาตให้ผู้ใช้บางรายเข้าใช้ระบบได้โดยไม่จำเป็น
2.2 มีการใช้สิทธิพิเศษของผู้บริหารและผู้จัดการระบบที่ไม่เหมาะสม
2.3 ไม่มีการป้องกันข้อมูลจากการนำไปใช้ที่ไม่เหมาะสม
2.4 ขาดการระบุสิทธิการเข้าใช้ระบบ (ก่อนเข้าระบบ)
2.5 เครื่องคอมพิวเตอร์ไม่มีการควบคุมการเข้าใช้ไฟล์ข้อมูลที่ไม่เหมาะสม
ภัยคุกคามที่ 3 การนำข้อมูลไปเปิดเผย (Disclosure of data) หมายถึง การที่มีบุคคลเข้าไปในเครือข่ายคอมพิวเตอร์หรืออ่านข้อมูลในเครือข่ายคอมพิวเตอร์ขององค์กร และอาจจะนำเอาข้อมูลที่ทราบมานั้นไปเปิดเผยทั้งโดยเจตนาและไม่เจตนา โดยสาเหตุที่ทำให้เกิดการนำข้อมูลไปเปิดเผยโดยไม่ได้รับอนุญาตอาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ต่อไปนี้
3.1 ขาดการควบคุมการเข้าใช้ระบบ LAN ที่ไม่เหมาะสม
3.2 ขาดการสร้างความปลอดภัยให้กับข้อมูล
3.3 จอมอนิเตอร์ที่ตั้งในสถานที่พลุกพล่านซึ่งถูกผู้ใช้อื่นมองเห็นได้
3.4 เครื่องพริ้นท์เตอร์ตั้งอยู่ในที่สถานที่พลุกพล่าน
3.5 ข้อมูลและสำเนา (Backup copies) ถูกเก็บในสถานที่เปิดเผย
ภัยคุกคามที่ 4 การดัดแปลงข้อมูลและซอฟท์แวร์ของเครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาต (Unauthorized Modification to data and software) หมายถึง การที่มีบุคคลเข้าไปดัดแปลง แก้ไข ลบ หรือทำลายข้อมูลและซอฟท์แวร์ในเครือข่ายคอมพิวเตอร์โดยที่ไม่ได้รับอนุญาตหรือด้วยความไม่เจตนา โดยสาเหตุที่ทำให้เกิดการดัดแปลงข้อมูลและซอฟท์แวร์ของเครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาตอาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ต่อไปนี้
4.1 ไม่อนุญาตให้ผู้ใช้แก้ไขข้อมูลระบบ LAN
4.2 ไม่มีการป้องกันการแก้ไขซอฟท์แวร์
4.3 ขาดการสร้างความปลอดภัยข้อมูลที่ถูกจัดเก็บไว้ (Cryptographic)
4.4 ให้สิทธิผู้ใช้แก้ไขข้อมูลเกินความจำเป็น
4.5 ขาดเครื่องมือป้องกันหรือตรวจจับไวรัส
ภัยคุกคามที่ 5 การนำข้อมูลไปเปิดเผยจากการอาศัยช่องว่างของการสื่อสารในเครือข่ายคอมพิวเตอร์ (Disclosure of LAN traffic) หมายถึง การที่มีบุคคลเข้ามาในเครือข่ายคอมพิวเตอร์ เมื่อมีโอกาสหรือช่องโหว่ให้เข้ามาได้ และอาจจะนำเอาข้อมูลที่ทราบมานั้นไปเปิดเผยทั้งโดยเจตนาและไม่เจตนา โดยสาเหตุที่ทำให้เกิดการนำข้อมูลไปเปิดเผยจากการอาศัยช่องว่างของการสื่อสารในเครือข่ายคอมพิวเตอร์อาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ต่อไปนี้
5.1 ขาดการป้องกันการใช้อุปกรณ์ต่อพ่วง (Device) ในระบบ LAN โดยไม่ได้รับอนุญาต
5.2 มีการส่งผ่านข้อมูลแบบกระจายให้ผู้ใช้เครือข่ายทุกคนทราบ
5.3 การส่งผ่านข้อมูลไม่มีการเปลี่ยนให้เป็นรหัสก่อน
ภัยคุกคามที่ 6 การแอบอ้างว่าเป็นบุคคลอื่นเมื่อเข้ามาในเครือข่ายคอมพิวเตอร์ (Spoofing of LAN traffic) หมายถึง การที่มีข้อความส่งมายังผู้รับโดยอ้างว่าส่งมาจากบุคคลที่ใกล้ชิดกับผู้รับซึ่งอันที่จริงแล้วไม่ได้เป็นเช่นนั้น โดยสาเหตุที่ทำให้เกิดการแอบอ้างว่าเป็นบุคคลอื่นเมื่อเข้ามาในเครือข่ายคอมพิวเตอร์อาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ต่อไปนี้
6.1 ขาดการสร้างความปลอดภัยข้อมูลขณะรับ-ส่ง (Encryption)
6.2 ขาดการระบุวันเวลาที่ส่งและรับข้อมูลผ่านระบบ LAN
6.3 ขาดการยืนยันความเป็นเจ้าของเอกสาร (Digital Signature)
6.4 ขาดการยืนยันสถานภาพผู้ใช้ระบบ (หลังเข้าระบบ)
ภัยคุกคามที่ 7 การเข้ามาทำลายการทำงานของเครือข่ายคอมพิวเตอร์ (Disruption of LAN functions) หมายถึง การที่มีการกระทำอันคุกคามต่อระบบเครือข่ายคอมพิวเตอร์ที่ทำให้ระบบถูกปิดกั้นและไม่สามารถที่จะเข้าใช้งานได้ในเวลาที่ต้องการ โดยสาเหตุที่ทำให้เกิดการเข้ามาทำลายการทำงานของเครือข่ายคอมพิวเตอร์อาจเกิดจากสิ่งต่อไปนี้
7.1 ไม่สามารถตรวจจับการสื่อสารที่มีรูปแบบผิดปกติ
7.2 ขาดแผนรองรับระบบฮาร์ดแวร์ (Hardware) ที่ล้มเหลว
7.3 มีการปรับแต่งหรือแก้ไขระบบ LAN ส่งผลให้ไม่สามารถใช้งานระบบได้
7.4 มีการแก้ไของค์ประกอบของฮาร์ดแวร์โดยไม่ได้รับอนุญาต
7.5 มีการซ่อมแซมอุปกรณ์ฮาร์ดแวร์โดยไม่เหมาะสม
7.6 ขาดการรักษาความปลอดภัยระบบฮาร์ดแวร์
รูปแบบการโจมตีระบบ
มีรูปแบบการโจมตีในแบบต่างๆดังนี้
1. ทำลายระบบ (Destructive method)
วิธีนี้คือการใช้ซอฟต์แวร์เข้ามาก่อกวนหรือสร้างภาระงานหนักให้ระบบ เช่น ใช้โปรแกรมสร้างภาระให้เราเตอร์หรือเมล์เซิร์ฟเวอร์หยุดการทำงานจนกระทั่งผู้ใช้ไม่สามารถเข้าใช้บริการได้ วิธีนี้ถึงแม้ไม่ได้บุกรุกเข้ามาเพื่อให้ได้สิทธิ์การใช้ระบบ แต่ก็สร้างปัญหาให้ระบบไม่สามารถดำเนินการต่อไปได้ วิธีที่นิยมใช้โดยทั่วไปคือ
- การส่งอีเมล์ขนาดใหญ่จำนวนมาก หรือ เมล์บอมบ์(Mail bomb) ผู้เปิดอ่านจดหมายจะเสียเวลาอย่างมากเมื่อต้องอ่านจดหมายซึ่งอาจมีจำนวนมหาศาลและมีขนาดใหญ่ เซิร์ฟเวอร์ที่ถูกโจมตีด้วยเมล์บอมบ์ปริมาณมากมักหยุดการทำงานลงในชั่วระยะเวลาสั้น ๆ เนื่องจากต้องใช้ทรัพยากรระบบในการรับจดหมายที่เข้ามา วิธีการป้องกันการโจมตีด้วยเมล์บอมบ์มีหลายวิธี เช่น ติดตั้งเมล์ที่จำกัดขนาดที่จะรับการติดตั้งตัวกรองเมล์ และการตรวจจับและกำจัดเมล์ที่ได้รับ เป็นต้น
- การโจมตีจุดบกพร่องแบบ ดอส (Dos : Denial-of-Service) แครกเกอร์ใช้วิธีเข้าไปขอใช้บริการที่เครือข่ายมีให้ โดยการของจองทรัพยากรที่มีในระบบแบบสะสมด้วยอัตราที่รวดเร็วจนกระทั่วระบบไม่มีทรัพยากรเหลือเพื่อให้บริการผู้ใช้รายอื่น วิธีการที่นิยมใช้คือการสร้างแพ็กเกตขอเชื่อมต่อโปรโตคอลทีซีพีจำนวนมาก(เรียกว่า TCP SYN Flooding) หรือการสร้างแพ็กเกตขนาดใหญ่ส่งไปยังบริการไอซีเอ็มพีด้วยคำสั่ง ping (เรียกว่า ping of death) การแก้ปัญหาการโจมตีแบบนี้จะต้องติดตั้งซอฟต์แวร์ทีซีพีซึ่งไม่กันทรัพยากรระบบไว้นานเกินไปนอกจากนี้ยังมีการโจมตีในลักษณะอื่นที่เป็นที่รู้จักในหมู่แครกเกอร์
2. การโจมตีแบบรูทฟอร์ซ (Brute-force attack)
ผู้บุกรุกจะใช้โปรแกรมเชื่อมต่อด้วยเทลเน็ตไปยังเซิร์ฟเวอร์ปลายทาง โปรแกรมจะคาดเดาชื่อบัญชีจากชื่อมาตรฐานทั่วไปที่มีอยู่และสร้างรหัสผ่านขึ้นมาเพื่อเข้าใช้บัญชีนั้นโดยอัตโนมัติ โปรแกรมจะมีดิคชันนารีเพื่อเป็นฐานสำหรับใช้สร้างรหัสผ่านที่ตรงกับชื่อบัญชีหรือรหัสที่เขียนย้อนกลับ หรือรหัสผ่านที่เป็นคำที่พบได้ในดิคชันนารี หรือคำประสม เป็นต้น การโจมตีแบบนี้มักนิยมใช้ในหมู่แครกเกอร์มือใหม่เนื่องจากมีเครื่องมือที่หาได้ง่ายและใช้งานสะดวกแต่ก็เป็นวิธีที่ตรวจสอบและค้นหาต้นตอได้ง่ายเช่นกันเนื่องจากเซิร์ฟเวอร์ปลายทางจะมีระบบบันทึกการเข้าใช้งานทั้งที่สำเร็จและไม่สำเร็จ
3. การโจมตีแบบพาสซีพ (Passive attack)
แครกเกอร์อาจไม่จำเป็นต้องใช้วิธีเจาะเข้าไปยังเครื่องปลายทางโดยตรง หากแต่ติดตั้งโปรแกรมตรวจจับแพ็กเกต (packet sniffing) ไว้ในที่ใดที่หนึ่ง (หรือที่รู้จักกันดีในชื่อของสนิฟเฟอร์) เมื่อมีการเชื่อมขอใช้บริการไปยังเซิร์ฟเวอร์อื่น ชื่อบัญชีและรหัสผ่านที่ป้อนผ่านแป้นพิมพ์จะถูกบันทึกเก็บไว้และรายงานไปยังแครกเกอร์เนื่องจากข้อมูลที่วิ่งอยู่ในเครือข่ายนั้นมักเป็นข้อมูลดิบที่ไม่มีการเข้ารหัสลับ แครกเกอร์สามารถจะดักจับรหัสผ่านของทุกคนที่เข้าใช้งานระบบได้ไม่เว้นแม้แต่ผู้ดูแลระบบเองไม่ว่าผู้ใช้ใดจะเปลี่ยนรหัสผ่านไปกี่ครั้งก็ตาม แครกเกอร์ก็จะได้รหัสใหม่นั้นทุกครั้ง เทคนิคของการใช้สนิฟเฟอร์จำเป็นต้องใช้ความรู้ขั้นก้าวหน้าขึ้นมาอีกระดับหนึ่ง โดยปกติแล้วการตรวจหาว่าเซิร์ฟเวอร์มีสนิฟเฟอร์ซ่อนอยู่หรือไม่อาจทำได้โดยไม่ยากนัก แต่แครกเกอร์ที่เชี่ยวชาญมักวางหมากขั้นที่สองโดยการเปลี่ยนแปลงโปรแกรมตรวจสอบเพื่อไม่ให้รายงานผลว่ามีสนิฟเฟอร์ซ่อนอยู่ วิธีการป้องกันสนิฟเฟอร์อีกรูปแบบหนึ่งก็คือการใช้เซลล์ที่ผ่านการเข้ารหัสลับทำให้ไม่สามารถดูข้อมูลดิบได้
4. เครื่องมือแครกเกอร์ (Cracker Tools)
เทคนิคการเจาะเข้าสู่ระบบยูนิกซ์มีตั้งแต่วิธีพื้น ๆ ที่ไม่ได้ใช้เทคนิคหรือเครื่องใด เรื่อยไปจนกระทั่งเทคนิคที่ซับซ้อน แต่เป็นที่น่าสังเกตว่าพวกแครกเกอร์เพียงแต่ใช้วิธีพื้นฐานง่าย ๆ ก็สามารถเจาะเข้าสู่ระบบได้
5. สนิฟเฟอร์ (Sniffer)
สนิฟเฟอร์เป็นชื่อเครื่องหมายทางการค้าของระบบตรวจจับแพ็กเกตเพื่อนำมาวิเคราะห์และตรวจหาปัญหาในเครือข่าย ตัวระบบจะประกอบด้วยคอมพิวเตอร์ที่มีการ์ดเครือข่ายสมรรถนะสูงและซอฟต์แวร์ตรวจวิเคราะห์แพ็กเกต แต่ในปัจจุบันมีซอฟต์แวร์จำนวนมากที่มีขีดความสามารถระดับเดียวกับสนิฟเฟอร์ และทำงานได้โดยไม่ต้องพึ่งฮาร์ดแวร์เฉพาะ อีกทั้งมีแพร่หลายในแทบทุกระบบปฎิบัติการ ชื่อสนิฟเฟอร์ในปัจจุบันจึงนิยมใช้เป็นชื่อเรียกของโปรแกรมใด ๆ ที่สามารถตรวจจับและวิเคราะห์แพ็กเกตไปโดยปริยาย
6. แครกเกอร์ (Cracker)
เรามักจะเรียกพวกที่มีความสามารถเจาะเข้าสู่ระบบคอมพิวเตอร์ว่า "แฮกเกอร์" (Hacker) ซึ่งความหมายดั้งเดิมที่แท้จริงแล้ว แฮกเกอร์สื่อความหมายถึงผู้เชี่ยวชาญด้านโอเอสหรือระบบ สามารถเข้าไปแก้ไข ดัดแปลงการทำงานระดับลึกได้ หรือในสารบบความปลอดภัยแล้ว แฮกเกอร์เป็นอาชีพหนึ่งที่ทำหน้าที่เจาะระบบและค้นหาจุดอ่อนเพื่อหาหนทางแก้ไขป้องกัน ส่วนพวกที่เจาะระบบเข้าไปโดยไม่ประสงค์ดีมีชื่อเรียกโดยเฉพาะว่า "แครกเกอร์" (Cracker) พวกหลังนี้เข้าข่ายจารชนอิเล็กทรอนิกส์ที่มักชอบก่อกวนสร้างความวุ่นวายหรือทำงานเป็นมืออาชีพที่คอยล้วงความลับหรือข้อมูลไปขาย แต่จะทำอย่างไรได้เมื่อคำว่าแฮกเกอร์ใช้ผิดความหมายจนติดปากไปโดยปริยายเสียแล้ว
7. ม้าโทรจัน (Trojan horse)
โปรแกรมม้าโทรจันเป็นโปรแกรมที่ลวงให้ผู้ใช้งานเข้าใจผิดว่าเป็นโปรแกรมปกติโปรแกรมหนึ่งที่ใช้งานอยู่เป็นประจำ แต่การทำงานจริงกลับเป็นการดักจับข้อมูลเพื่อส่งไปให้แครกเกอร์ ตัวอย่างเช่นโปรแกรมโทรจันที่ลวงว่าเป็นโปรแกรมล็อกอินเข้าสู่ระบบ เมื่อผู้ใช้ป้อนบัญชีและรหัสผ่านก็จะแอบส่งรหัสผ่านไปให้แครกเกอร์
8. แบ็คดอร์ (Backdoors)
แครกเกอร์ใช้ ประตูลับ (Backdoors) ซึ่งเป็นวิธีพิเศษเข้าสู่ระบบโดยไม่ได้รับอนุญาต ความหมายของประตูลับอาจรวมไปถึงวิธีการที่ผู้พัฒนาโปรแกรมทิ้งรหัสพิเศษหรือเปิดทางเฉพาะไว้ในโปรแกรมโดยไม่ให้ผู้ใช้ล่วงรู้ แครกเกอร์ส่วนใหญ่จะมีชุดซอฟต์แวร์ซึ่งสร้างขึ้นเพื่อเจาะเข้าสู่ระบบตามจุดอ่อนที่มีอยู่ด้วยวิธีการต่าง ๆ
9. ซอฟต์แวร์ตรวจช่องโหว่ระบบ (Vulnerability Scaner)
ในอินเทอร์เน็ตมีซอฟต์แวร์เป็นจำนวนมากที่ใช้ในการตรวจวิเคราะห์หารูโหว่ของระบบรักษาความปลอดภัยซอฟต์แวร์เหล่านี้เผยแพร่โดยไม่คิดมูลค่าและเป็นเสมือนดาบสองคมที่ทั้งแฮกเกอร์และแครกเกอร์นำไปใช้ด้วยจุดประสงค์ที่ต่างกัน
มาตรฐานความปลอดภัยของระบบสารสนเทศ
มาตรฐานความปลอดภัยของข้อมูล
ทั้งนี้เราสามารถจัดเก็บข้อมูลได้หลากหลายรูปแบบ ไม่ว่าจะเป็นทั้งในรูปแบบกระดาษ แผ่นดิสก์ ซีดี เทปเสียง หรือเทปวิดีทัศน์ แต่การดูแลรักษาให้ข้อมูลขององค์กรคงไว้นั้นต้องมีคุณสมบัติ ดังนี้
- การรักษาความลับของข้อมูล (Confidentiality) หมายถึง การอนุญาตให้ผู้มีสิทธิเท่านั้นที่สามารถเรียกดูข้อมูลได้
- การคงไว้ซึ่งความถูกต้องและครบถ้วนของข้อมูล (Integrity) หมายถึง ข้อมูลที่ถูกประมวลผลและจัดเก็บจะต้องคงไว้ซึ่งความถูกต้องและครบถ้วน ไม่มีการสูญเสียหรือแก้ไขจากผู้ที่ไม่มีสิทธิ
- การพร้อมให้ใช้งานเมื่อต้องการ (Availability) หมายถึง ผู้ที่มีสิทธิจะต้องสามารถเข้าถึงข้อมูลได้ทุกเมื่อที่ต้องการใช้งาน
การรักษาความปลอดภัยทางข้อมูล (Information Security)
Information: สารสนเทศ คือ ข้อมูลในรูปแบบของตัวเลข ข้อความ หรือภาพกราฟิก ที่ได้นำมารวบรวม จัดเป็นระบบ และนำเสนอในรูปแบบที่ผู้ใช้สามารถเข้าใจได้อย่างแจ่มชัด ไม่ว่าจะเป็นรายงาน ตาราง หรือแผนภูมิต่างๆ
Security: ความปลอดภัย คือ สภาพที่เกิดขึ้นจากการจัดตั้งและดำรงไว้ซึ่งมาตราการการป้องกันที่ทำให้เกิดความมั่นใจว่าจะไม่มีผู้ที่ไม่หวังดีจะบุกรุกเข้ามาได้
Information Security คือ การศึกษาถึงความไม่ปลอดภัยในการใช้งานสารสนเทศที่เกี่ยวข้องกับคอมพิวเตอร์ การวางแผนและการจัดระบบความปลอดภัยในคอมพิวเตอร์ โดยศึกษาถึงสิ่งต่างๆ ดังนี้
- การรักษาความปลอดภัยในคอมพิวเตอร์ส่วนบุคคล
- การรักษาความปลอดภัยในระบบฐานข้อมูล
- การรักษาความปลอดภัยในเครือข่ายการสื่อสารข้อมูล
- การป้องกันทางกายภาพ
- การวิเคราะห์ความเสี่ยง
- ประเด็นในแง่กฎหมาย
- จรรยาบรรณในเรื่อง "ความปลอดภัยในระบบคอมพิวเตอร์"
สำหรับการรักษาความปลอดภัยของข้อมูลสามารถแบ่งเป็นการรักษาความปลอดภัยของข้อมูล “ด้านเทคนิค” (Technicalmethod) และการรักษาความปลอดภัยของข้อมูลโดยใช้ “ระบบการจัดการความปลอดภัยของข้อมูล” หรือระบบ ISMS (Information Security Management Systems)
โดยแบบแรก คือ การใช้อุปกรณ์ ฮาร์ดแวร์และซอฟต์แวร์ติดตั้งกับระบบคอมพิวเตอร์ เพื่อตรวจจับสิ่งผิดปกติในระบบคอมพิวเตอร์และเครือข่าย เช่น การใช้โปรแกรม Anti-virus, Firewall, Intrusion Detection Systems และ Intrusion Prevention Systems
ส่วนวิธีที่ 2 จะเน้นที่ระบบการจัดการความปลอดภัยของข้อมูลที่ดีให้เกิดขึ้นในองค์กร เพื่อให้องค์กรสามารถจัดเก็บข้อมูลและนำข้อมูลไปใช้ได้อย่างปลอดภัย มีแนวทางการปฏิบัติที่ถูกต้องและเหมาะสมให้กับพนักงาน
ระบบการจัดการความปลอดภัยของข้อมูลนี้ มีลักษณะเป็นระบบการบริหารจัดการที่คล้ายคลึงกับ ISO 9001ซึ่งเป็นระบบการบริหารจัดการด้านคุณภาพ (Quality Management Systems), ISO 14001 ซึ่งเป็นระบบการบริหารจัดการสิ่งแวดล้อม (Environmental Management Systems) และ OHSAS 18001 ซึ่งเป็นระบบการบริหารจัดการด้านสุขภาพและความปลอดภัย (Occupational Health and Safety Assessment Specification)
สำหรับรายละเอียดของระบบการจัดการความปลอดภัยของข้อมูลนั้น BS 7799 และ ISO/IEC 17799 คือ มาตรฐานการจัดการด้านความปลอดภัยของข้อมูลให้แก่องค์กรอีกวิธีหนึ่ง ที่เน้น ระบบการบริหารจัดการ ไม่ใช่เน้ที่การใช้เทคโนโลยีฮาร์ดแวร์หรือซอฟต์แวร์ต่างๆ เข้ามาช่วยนั่นหมายความว่า มาตรฐานนี้จะมีข้อกำหนดต่างๆ เพื่อให้การรักาความปลอดภัยของข้อมูลครอบคลุมกระบวนการทำงานในองค์กรในส่วนที่เกี่ยวข้องกับการนำข้อมูลมาใช้และจัดเก็บข้อมูลทั้งหมด รวมถึงการมีแผนรับมือเมื่อเกิดเหตุฉุกเฉินขึ้นกับข้อมูล เช่น ไฟฟ้าดับ ฮาร์ดดิสก์เสีย หรือเกิดภัยธรรมชาติต่างๆ เพื่อให้องค์กรสามารถรับมือได้อย่างถูกต้อง และมีความสูญเสียน้อยที่สุด โดยสามารถกู้ข้อมูลกลับมาดำเนินงานตามปกติได้เร็วที่สุดด้วย
ในปัจจุบัน มีการนำมาตรฐาน BS 7799 ไปใช้งานกันอย่างแพร่หลายทั่วโลก โดยเฉพาะญี่ปุ่น อังกฤษและแถบยุโรปเป็นเรื่องที่น่าสนใจว่าในอนาคตมาตรฐานด้านความปลอดภัยของข้อมูลนี้อาจได้รับการยอมรับ และนำไปใช้งานกันอย่างแพร่หลายในประเทศไทย ไม่แพ้ระบบการบริหารจัดการคุณภาพ (ISO 9001) ก็เป้นได้ เพราะการพัฒนา IT ที่เจริญรุดหน้าอย่างรวดเร็วและการดำเนินธุรกิจแบบดิจิตอลที่แพร่หลายอยู่ในประเทศไทย
จุดเด่นที่สำคัญอีกอย่างหนึ่งของมาตรบานการจัดการด้านความปลอดภัยของข้อมูลของ BS 7799 ได้ถูกปรับปรุงขึ้นเพื่อให้สามารถเข้ากันได้กับมาตรฐาน ISO 9001 หรือ ISO 14001 ซึ่งจะทำให้องค์กรที่มี ISO 9001 หรือ ISO 14001 อยู่แล้วสามารถใช้ระบบเอกสารที่องค์กรคุ้นเคยอยุ่แล้วร่วมกับมาตรฐาน BS 7799 ได้และยังมีระบบการทบทวนโดยผู้บริหาร (Management Review) และการตรวจติดตามระบบภายใน (Internal Audit) ที่มีแนวปฏิบัติคล้ายคลึงกันอีกด้วย
การรักษาความปลอดภัยข้อมูล ระบบคอมพิวเตอร์ และระบบเครือข่าย (Information and Network Security)
การรักษาความปลอดภัยข้อมูลและระบบคอมพิวเตอร์มีวัตถุประสงค์เพื่อควบคุมบุคคลที่ไม่เกี่ยวข้องมิให้เข้าถึง ล่วงรู้ (Access risk) หรือแก้ไขเปลี่ยนแปลง (integrity risk) ข้อมูลหรือการทำงานของระบบคอมพิวเตอร์ในส่วนที่มิได้มีอำนาจหน้าที่เกี่ยวข้อง ส่วนการป้องกันการบุกรุกผ่านระบบเครือข่ายมีวัตถุประสงค์เพื่อป้องกันบุคคล ไวรัส รวมทั้ง malicious code ต่างๆ มิให้เข้าถึง (access risk) หรือสร้างความเสียหาย (availability risk) แก่ข้อมูลหรือการทำงานของระบบคอมพิวเตอร์ โดยมีเนื้อหาครอบคลุมรายละเอียดเกี่ยวกับแนวทางในการรักษาความปลอดภัยข้อมูล ระบบคอมพิวเตอร์ เครื่องแม่ข่าย และระบบเครือข่าย
แนวทางปฏิบัติ
1. การบริหารจัดการข้อมูล
o ต้องกำหนดชั้นความลับของข้อมูล วิธีปฏิบัติในการจัดเก็บข้อมูลแต่ละประเภทชั้นความลับ และวิธีปฏิบัติในการควบคุมการเข้าถึงข้อมูลแต่ละประเภทชั้นความลับทั้งการเข้าถึงโดยตรงและการเข้าถึงผ่านระบบงาน รวมถึงวิธีการทำลายข้อมูล
แต่ละประเภทชั้นความลับ
o การรับส่งข้อมูลสำคัญผ่านเครือข่ายสาธารณะ ต้องได้รับการเข้ารหัส (encryption) ที่เป็นมาตรฐานสากล เช่น การใช้ SSL การใช้ VPN เป็นต้น
o ต้องมีมาตรการควบคุมความถูกต้องของข้อมูลที่จัดเก็บ (storage) นำเข้า (input) ประมวลผล (operate) และแสดงผล (output) นอกจากนี้ ในกรณีที่มีการจัดเก็บ
ข้อมูลเดียวกันไว้หลายที่ (distributed database) หรือมีการจัดเก็บชุดข้อมูลที่มีความสัมพันธ์กัน ต้องมีการควบคุมให้ข้อมูลมีความถูกต้องครบถ้วนตรงกัน
o ควรมีมาตรการรักษาความปลอดภัยข้อมูลในกรณีที่นำเครื่องคอมพิวเตอร์ออกนอกพื้นที่ของบริษัท เช่น ส่งซ่อม หรือทำลายข้อมูลที่เก็บอยู่ในสื่อบันทึกก่อน เป็นต้น
2. การควบคุมการกำหนดสิทธิให้แก่ผู้ใช้งาน (user privilege)
o ต้องกำหนดสิทธิการใช้ข้อมูลและระบบคอมพิวเตอร์ เช่น สิทธิการใช้โปรแกรม
ระบบงานคอมพิวเตอร์ (application system) สิทธิการใช้งานอินเทอร์เนต เป็นต้น
ให้แก่ผู้ใช้งานให้เหมาะสมกับหน้าที่และความรับผิดชอบ โดยต้องให้สิทธิเฉพาะ
เท่าที่จำเป็นแก่การปฏิบัติหน้าที่ และได้รับความเห็นชอบจากผู้มีอำนาจหน้าที่เป็น
ลายลักษณ์อักษร รวมทั้งทบทวนสิทธิดังกล่าวอย่างสม่ำเสมอ
o ในกรณีมีความจำเป็นต้องใช้ user ที่มีสิทธิพิเศษ ต้องมีการควบคุมการใช้งานอย่างรัดกุม
ทั้งนี้ ในการพิจารณาว่าการควบคุม User ที่มีสิทธิพิเศษมีความรัดกุมเพียงพอ
หรือไม่นั้น สำนักงานจะใช้ปัจจัยดังต่อไปนี้ประกอบการพิจารณาในภาพรวม
§ ควรได้รับความเห็นชอบจากผู้มีอำนาจหน้าที่
§ ควรควบคุมการใช้งาน user ที่มีสิทธิพิเศษอย่างเข้มงวด เช่น กำหนดให้
มีการควบคุมการใช้งาน User ดังกล่าวในลักษณะ dual control โดยให้
เจ้าหน้าที่ 2 รายถือรหัสผ่านคนละครึ่ง หรือเก็บซอง password ไว้ใน
ตู้เซฟ เป็นต้น และจำกัดการใช้งานเฉพาะกรณีจำเป็นเท่านั้น
§ ควรกำหนดระยะเวลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้น
ระยะเวลาดังกล่าว
§ ควรมีการเปลี่ยนรหัสผ่านอย่างเคร่งครัด เช่น ทุกครั้งหลังหมดความจำเป็นในการใช้งาน หรือในกรณีที่มีความจำเป็นต้องใช้งานเป็นระยะเวลานาน
ก็ควรเปลี่ยนรหัสผ่านทุก 3 เดือน เป็นต้น
o ในกรณีที่ไม่มีการปฏิบัติงานอยู่ที่หน้าเครื่องคอมพิวเตอร์ ต้องมีมาตรการป้องกันการใช้งานโดยบุคคลอื่นที่มิได้มีสิทธิและหน้าที่เกี่ยวข้อง เช่น กำหนดให้ผู้ใช้งานออกจากระบบงาน (log out) ในช่วงเวลาที่มิได้อยู่ปฏิบัติงานที่หน้าเครื่องคอมพิวเตอร์ เป็นต้น
o ในกรณีที่มีความจำเป็นที่ผู้ใช้งานซึ่งเป็นเจ้าของข้อมูลสำคัญมีการให้สิทธิผู้ใช้งาน
รายอื่นให้สามารถเข้าถึงหรือแก้ไขเปลี่ยนแปลงข้อมูลของตนเองได้ เช่น การ share files เป็นต้น จะต้องเป็นการให้สิทธิเฉพาะรายหรือเฉพาะกลุ่มเท่านั้น และต้องยกเลิกการให้สิทธิดังกล่าวในกรณีที่ไม่มีความจำเป็นแล้ว และเจ้าของข้อมูลต้องมีหลักฐานการให้สิทธิดังกล่าว และต้องกำหนดระยะเวลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้นระยะเวลาดังกล่าว
o ในกรณีที่มีความจำเป็นต้องให้สิทธิบุคคลอื่น ให้มีสิทธิใช้งานระบบคอมพิวเตอร์ในลักษณะฉุกเฉินหรือชั่วคราว ต้องมีขั้นตอนหรือวิธีปฏิบัติ และต้องมีการขออนุมัติจากผู้มีอำนาจหน้าที่ทุกครั้ง บันทึกเหตุผลและความจำเป็น รวมถึงต้องกำหนดระยะเวลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้นระยะเวลาดังกล่าว
3. การควบคุมการใช้งานบัญชีรายชื่อผู้ใช้งาน (user account) และรหัสผ่าน (password)
o ต้องมีระบบตรวจสอบตัวตนจริงและสิทธิการเข้าใช้งานของผู้ใช้งาน (identification and authentication) ก่อนเข้าสู่ระบบงานคอมพิวเตอร์ที่รัดกุมเพียงพอ เช่น กำหนดรหัสผ่านให้ยากแก่การคาดเดา เป็นต้น และต้องกำหนดให้ผู้ใช้งานแต่ละรายมี user account เป็นของตนเอง
ทั้งนี้ การพิจารณาว่าการกำหนดรหัสผ่านมีความยากแก่การคาดเดาและการควบคุมการใช้รหัสผ่านมีความรัดกุมหรือไม่นั้น สำนักงานจะใช้ปัจจัยดังต่อไปนี้ประกอบการพิจารณาในภาพรวม
§ ควรกำหนดให้รหัสผ่านมีความยาวพอสมควร ซึ่งมาตรฐานสากลโดยส่วนใหญ่แนะนำให้มีความยาวขั้นต่ำ 6 ตัวอักษร
§ ควรใช้อักขระพิเศษประกอบ เช่น : ; < > เป็นต้น
§ สำหรับผู้ใช้งานทั่วไป ควรเปลี่ยนรหัสผ่านอย่างน้อยทุก ๆ 6 เดือน
ส่วนผู้ใช้งานที่มีสิทธิพิเศษ เช่น ผู้บริหารระบบ (system administrator) และผู้ใช้งานที่ติดมากับระบบ (default user) เป็นต้น ควรเปลี่ยนรหัสผ่านอย่างน้อยทุก ๆ 3 เดือน
§ ในการเปลี่ยนรหัสผ่านแต่ละครั้ง ไม่ควรกำหนดรหัสผ่านใหม่ให้ซ้ำ
ของเดิมครั้งสุดท้าย
§ ไม่ควรกำหนดรหัสผ่านอย่างเป็นแบบแผน เช่น “abcdef” “aaaaaa” “123456” เป็นต้น
§ ไม่ควรกำหนดรหัสผ่านที่เกี่ยวข้องกับผู้ใช้งาน เช่น ชื่อ นามสกุล
วัน เดือน ปีเกิด ที่อยู่ เป็นต้น
§ ไม่ควรกำหนดรหัสผ่านเป็นคำศัพท์ที่อยู่ในพจนานุกรม
§ ควรกำหนดจำนวนครั้งที่ยอมให้ผู้ใช้งานใส่รหัสผ่านผิด ซึ่งในทางปฏิบัติโดยทั่วไปไม่ควรเกิน 5 ครั้ง
§ ควรมีวิธีการจัดส่งรหัสผ่านให้แก่ผู้ใช้งานอย่างรัดกุมและปลอดภัย เช่น การใส่ซองปิดผนึก เป็นต้น
§ ผู้ใช้งานที่ได้รับรหัสผ่านในครั้งแรก (default password) หรือได้รับ
รหัสผ่านใหม่ ควรเปลี่ยนรหัสผ่านนั้นโดยทันที
§ ผู้ใช้งานควรเก็บรหัสผ่านไว้เป็นความลับ ทั้งนี้ ในกรณีที่มีการล่วงรู้
รหัสผ่านโดยบุคคลอื่น ผู้ใช้งานควรเปลี่ยนรหัสผ่านโดยทันที
o ต้องมีระบบการเข้ารหัส (encryption) ไฟล์ที่เก็บรหัสผ่านเพื่อป้องกันการล่วงรู้หรือแก้ไขเปลี่ยนแปลง
o ต้องตรวจสอบรายชื่อผู้ใช้งานของระบบงานสำคัญ อย่างสม่ำเสมอ และดำเนินการตรวจสอบบัญชีรายชื่อผู้ใช้งานที่มิได้มีสิทธิใช้งานระบบแล้ว เช่น บัญชีรายชื่อของพนักงานที่ลาออกแล้ว บัญชีรายชื่อที่ติดมากับระบบ (default user) เป็นต้น พร้อมทั้งระงับการใช้งานโดยทันทีเมื่อตรวจพบ เช่น disable ลบออกจากระบบ หรือ เปลี่ยน password เป็นต้น
4. การรักษาความปลอดภัยระบบคอมพิวเตอร์แม่ข่าย (Server)
o ต้องมีขั้นตอนหรือวิธีปฏิบัติในการตรวจสอบการรักษาความปลอดภัยระบบคอมพิวเตอร์แม่ข่าย และในกรณีที่พบว่ามีการใช้งานหรือเปลี่ยนแปลงค่า parameter ในลักษณะที่ผิดปกติ จะต้องดำเนินการแก้ไข รวมทั้งมีการรายงาน
โดยทันที
o ต้องเปิดใช้บริการ (service) เท่าที่จำเป็น ทั้งนี้ หากบริการที่จำเป็นต้องใช้
มีความเสี่ยงต่อระบบรักษาความปลอดภัย ต้องมีมาตรการป้องกันเพิ่มเติม
o ต้องดำเนินการติดตั้ง patch ที่จำเป็นของระบบงานสำคัญ เพื่ออุดช่องโหว่ต่าง ๆ ของโปรแกรมระบบ (system software) เช่น ระบบปฏิบัติการ DBMS และ web server เป็นต้น อย่างสม่ำเสมอ
o ควรทดสอบ system software เกี่ยวกับการรักษาความปลอดภัย และประสิทธิภาพการใช้งานโดยทั่วไปก่อนติดตั้ง และหลังจากการแก้ไขหรือบำรุงรักษา
o ควรมีแนวทางปฏิบัติในการใช้งาน software utility เช่น personal firewall password cracker เป็นต้น และตรวจสอบการใช้งาน software utility อย่างสม่ำเสมอ
o ควรกำหนดบุคคลรับผิดชอบในการกำหนด แก้ไข หรือเปลี่ยนแปลงค่า parameter ต่างๆ ของโปรแกรมระบบอย่างชัดเจน
5. การบริหารจัดการและการตรวจสอบระบบเครือข่าย (Network)
o ต้องแบ่งแยกระบบเครือข่ายให้เป็นสัดส่วนตามการใช้งาน เช่น ส่วนเครือข่ายภายใน ส่วนเครือข่ายภายนอก ส่วน DMZ เป็นต้น
o ต้องมีระบบป้องกันการบุกรุก เช่น firewall เป็นต้น ระหว่างเครือข่ายภายในกับ
เครือข่ายภายนอก
o ต้องมีระบบตรวจสอบการบุกรุกและการใช้งานในลักษณะที่ผิดปกติผ่านระบบ
เครือข่าย โดยอย่างน้อยต้องมีการตรวจสอบในเรื่องดังต่อไปนี้อย่างสม่ำเสมอ
§ ความพยายามในการบุกรุกผ่านระบบเครือข่าย
§ การใช้งานในลักษณะที่ผิดปกติ
§ การใช้งาน และการแก้ไขเปลี่ยนแปลงระบบเครือข่ายโดยบุคคลที่ไม่มีอำนาจหน้าที่เกี่ยวข้อง
o ต้องจัดทำแผนผังระบบเครือข่าย (network diagram) ซึ่งมีรายละเอียดเกี่ยวกับขอบเขตของเครือข่ายภายในและเครือข่ายภายนอก และอุปกรณ์ต่างๆ พร้อมทั้งปรับปรุงให้เป็นปัจจุบันอยู่เสมอ
o ต้องตรวจสอบเกี่ยวกับความปลอดภัยของอุปกรณ์คอมพิวเตอร์ก่อนเชื่อมต่อกับระบบเครือข่าย เช่น ตรวจสอบไวรัส ตรวจสอบการกำหนดค่า parameter ต่างๆ เกี่ยวกับการรักษาความปลอดภัย เป็นต้น และต้องตัดการเชื่อมต่อเครื่องคอมพิวเตอร์ (physical disconnect) และจุดเชื่อมต่อ (disable port) ที่ไม่มีความ
จำเป็นต้องเชื่อมต่อกับระบบเครือข่าย ออกจากระบบเครือข่ายโดยสิ้นเชิง
o ในกรณีที่มีการเข้าถึงระบบเครือข่ายในลักษณะ remote access หรือการเชื่อมต่อเครือข่ายภายนอกโดยใช้ modem (dial out) ต้องได้รับการอนุมัติจากผู้มีอำนาจหน้าที่และมีการควบคุมอย่างเข้มงวด เช่น การใช้ระบบ call back การควบคุม
การเปิดปิด modem การตรวจสอบตัวตนจริงและสิทธิของผู้ใช้งาน การบันทึก
รายละเอียดการใช้งาน และในกรณี dial out ก็ควรตัดการเชื่อมต่อเครื่องคอมพิวเตอร์ที่ใช้เชื่อมต่อออกจากระบบเครือข่ายภายใน เป็นต้น รวมทั้งต้อง
ตัดการเชื่อมต่อการเข้าถึงดังกล่าวเมื่อไม่ใช้งานแล้ว
o ควรกำหนดบุคคลรับผิดชอบในการกำหนด แก้ไข หรือเปลี่ยนแปลงค่า parameter ต่างๆ ของระบบเครือข่าย และอุปกรณ์ต่างๆ ที่เชื่อมต่อกับระบบเครือข่ายอย่าง
ชัดเจน และควรมีการทบทวนการกำหนดค่า parameter ต่างๆ อย่างน้อยปีละครั้ง นอกจากนี้ การกำหนด แก้ไข หรือเปลี่ยนแปลงค่า parameter ก็ควรแจ้งบุคคลที่
เกี่ยวข้องให้รับทราบทุกครั้ง
o การใช้เครื่องมือต่างๆ (tools) เพื่อตรวจเช็คระบบเครือข่าย ควรได้รับการอนุมัติจากผู้มีอำนาจหน้าที่ และจำกัดการใช้งานเฉพาะเท่าที่จำเป็น
6. การบริหารการเปลี่ยนแปลงระบบคอมพิวเตอร์ (configuration management)
o ก่อนการเปลี่ยนแปลงระบบและอุปกรณ์คอมพิวเตอร์ ควรมีการประเมินผลกระทบที่เกี่ยวข้อง และบันทึกการเปลี่ยนแปลงให้เป็นปัจจุบันอยู่เสมอ รวมถึง
สื่อสารให้ผู้ที่เกี่ยวข้องได้รับทราบ
o ควรติดตั้งซอฟต์แวร์เท่าที่จำเป็นแก่การใช้งาน และถูกต้องตามลิขสิทธิ์
7. การวางแผนการรองรับประสิทธิภาพของระบบคอมพิวเตอร์ (capacity planning)
o ต้องประเมินการใช้งานระบบคอมพิวเตอร์สำคัญไว้ล่วงหน้า เพื่อรองรับการ
ใช้งานในอนาคต
8. การป้องกันไวรัส และ malicious code
o ต้องมีมาตรการป้องกันไวรัสที่มีประสิทธิภาพและปรับปรุงให้เป็นปัจจุบัน
อยู่เสมอสำหรับเครื่องคอมพิวเตอร์แม่ข่ายและเครื่องคอมพิวเตอร์ของผู้ใช้งานที่เชื่อมต่อกับระบบเครือข่ายทุกเครื่อง เช่น ติดตั้งซอฟต์แวร์ป้องกันไวรัส เป็นต้น
o ฝ่ายคอมพิวเตอร์ควรจัดทำคู่มือในการป้องกันไวรัสให้แก่ผู้ใช้งานเพื่อใช้เป็น
แนวทางปฏิบัติ รวมทั้งแจ้งและให้ความรู้แก่ผู้ใช้งานเกี่ยวกับไวรัสชนิดใหม่ๆ อย่างสม่ำเสมอ
o ควรควบคุมมิให้ผู้ใช้งานระงับการใช้งาน (disable) ระบบป้องกันไวรัสที่ได้ติดตั้งไว้ และควรแจ้งบุคคลที่เกี่ยวข้องทันทีในกรณีที่พบว่ามีไวรัส
9. บันทึกเพื่อการตรวจสอบ (audit logs)
o ต้องกำหนดให้มีการบันทึกการทำงานของระบบคอมพิวเตอร์แม่ข่ายและเครือข่าย บันทึกการปฏิบัติงานของผู้ใช้งาน (application logs) และบันทึกรายละเอียดของระบบป้องกันการบุกรุก เช่น บันทึกการเข้าออกระบบ (login-logout logs) บันทึกการพยายามเข้าสู่ระบบ (login attempts) บันทึกการใช้ command line และ firewall log เป็นต้น เพื่อประโยชน์ในการใช้ตรวจสอบ และต้องเก็บบันทึก
ดังกล่าวไว้อย่างน้อย 3 เดือน
o ควรมีการตรวจสอบบันทึกการปฏิบัติงานของผู้ใช้งานอย่างสม่ำเสมอ
o ต้องมีวิธีการป้องกันการแก้ไขเปลี่ยนแปลงบันทึกต่างๆ และจำกัดสิทธิการเข้าถึงบันทึกต่างๆ ให้เฉพาะบุคคลที่เกี่ยวข้องเท่านั้น
องค์ประกอบหลัก 5 ประการสำหรับแผนรักษาความปลอดภัยคอมพิวเตอร์
การปกป้องข้อมูลทางธุรกิจส่วนบุคคลจากโลกภายนอกเป็นเรื่องที่สำคัญ แต่ไม่ควรมองข้ามบุคคลที่อยู่ภายในด้วย ต่อไปนี้เป็นข้อควรพิจารณา 5 ประการที่ควรให้ความสำคัญ
หากไม่มีการวางแผนการรักษาความปลอดภัยให้กับเครื่องคอมพิวเตอร์ภายใน ผู้ที่อยู่สำนักงานจะสามารถดูไฟล์ทั้งหมดที่อยู่ในเครื่องคอมพิวเตอร์ของบริษัทได้ ข้อมูลเหล่านั้นอาจรวมถึงเอกสารด้านกลยุทธ์ ไฟล์ข้อมูลทางการเงิน และข้อมูลพนักงาน
นั่นย่อมไม่ใช่สิ่งที่ต้องการเป็นแน่ แต่เจ้าของธุรกิจขนาดเล็กจำนวนมากกลับไม่สามารถจัดทำแผนดังกล่าวขึ้นมาได้ และต้องแบกรับผลที่จะเกิดขึ้นตามมา ไม่เพียงแต่ข้อมูลทางธุรกิจที่ตกอยู่ในความเสี่ยง แต่ยังหมายถึงข้อตกลงที่เป็นความลับซึ่งให้ไว้กับพนักงานและลูกค้าอีกด้วย
จะต้องมีแผนการรักษาความปลอดภัยสำหรับเครื่องคอมพิวเตอร์ที่เป็นระบบซึ่งสามารถเข้าใจได้ง่าย รวมทั้งพนักงานสามารถให้การสนับสนุนและความช่วยเหลือได้
ควรรวมข้อมูลพื้นฐาน 5 ประการต่อไปนี้ไว้เป็นส่วนหนึ่งของแผนการรักษาความปลอดภัย
1. การใช้การป้องกันด้วยรหัสผ่าน
การป้องกันไฟล์ด้วยการใช้รหัสผ่านจะช่วยให้แน่ใจได้ว่าผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเปิดไฟล์ข้อมูลได้ ระบบปฏิบัติการโดยส่วนใหญ่จะมีระบบการป้องกันด้วยรหัสผ่านในตัว และโปรแกรมประยุกต์โดยส่วนใหญ่ เช่น Microsoft Office จะให้ใช้รหัสผ่านในการป้องกันไฟล์และโฟลเดอร์ได้
2. การเลือกรหัสผ่านอย่างชาญฉลาด
ไม่ควรใช้ชื่อคู่สมรส บุตร หรือสุนัขของเป็นรหัสผ่าน เนื่องจากบุคคลที่ทำงานในสำนักงานจะรู้จักชื่อเหล่านี้ และสามารถเดาได้ว่าอาจใช้ชื่อดังกล่าวเป็นรหัสผ่าน ในทำนองเดียวกัน ไม่ควรใช้วันเกิด ที่อยู่ ชื่อวงดนตรีหรือนักร้องคนโปรด รวมทั้งชื่อเรียกหรือคำอื่นๆ ที่บุคคลอื่นสามารถเชื่อมโยงถึงตัวได้ นอกจากนี้ การใช้รหัสผ่านที่ผสมกันระหว่างตัวเลข และตัวอักษรทั้งตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก รวมทั้งการเปลี่ยนรหัสผ่านบ่อยๆ จะทำให้คาดเดาได้ยากกว่า ควรให้ความช่วยเหลือในการใช้รหัสผ่านโดยการให้คำแนะนำกับบุคคลต่างๆ ในบริษัทให้ทราบถึงวิธีการสร้างรหัสผ่าน เวลาที่ควรเปลี่ยนรหัสผ่าน และวิธีการป้องกันไฟล์และโฟลเดอร์
3. การใช้การเข้ารหัสข้อมูล
วิธีการหนึ่งในการป้องกันข้อมูลที่มีค่าในเครื่องคอมพิวเตอร์ที่ใช้ในธุรกิจของคือการเข้ารหัสข้อมูล ซอฟต์แวร์การเข้ารหัสจะเปลี่ยนข้อมูลเป็นสตริงที่ไม่สามารถอ่านได้ ซึ่งจะต้องมีคีย์ซอฟต์แวร์ที่ถูกต้องเพื่อถอดรหัสข้อมูล ซอฟต์แวร์การเข้ารหัสมีการใช้กันอย่างกว้างขวางเพื่อจำกัดการเข้าถึงไฟล์ที่เป็นความลับ เช่น ข้อมูลทางการเงินและรายชื่อลูกค้า ป้องกันข้อมูลในเครื่องแล็ปท็อปที่ใช้ภายนอกสำนักงาน และปกปิดอีเมลที่เป็นความลับ
4. อย่าเปิดข้อมูลทิ้งไว้เมื่อไม่อยู่
การกระตุ้นให้พนักงานปิดไฟล์ก่อนลุกไปจากโต๊ะจะช่วยลดความเสี่ยงด้านความปลอดภัยลงได้ หากไม่มีการระมัดระวัง ในช่วงเวลาพักกลางวัน ผู้ที่เดินผ่านอาจเห็นไฟล์ที่เปิดค้างอยู่ได้ สามารถเพิ่มความปลอดภัยให้เครื่องคอมพิวเตอร์ได้โดยการกำหนดกฎเกณฑ์ให้พนักงานปิดเอกสารทั้งหมดเมื่อไม่ใช้งาน
5. การจำกัดการลักลอบใช้งานเครื่องแล็ปท็อป
การใช้เครื่องแล็ปท็อปจะช่วยเพิ่มประสิทธิผลในการทำงาน แต่ก็เพิ่มความเสี่ยงด้านความปลอดภัยหากไม่มีการระมัดระวังอย่างเพียงพอ การกระตุ้นให้พนักงานที่ทำงานระยะไกลให้ระมัดระวังในเรื่องความปลอดภัยเมื่ออยู่ภายนอกสำนักงาน โดยการใช้แบบอักษรขนาดเล็กเมื่อใช้งานเอกสารที่เป็นความลับในที่สาธารณะ เช่น คอฟฟี่ช็อปและบนเครื่องบิน หากพนักงานของใช้บริการเทคโนโลยีสาธารณะ จะต้องให้คำแนะนำถึงวิธีการในการตรวจสอบเพื่อเก็บเอกสารนั้นไว้ในฮาร์ดดิสก์ของเครื่องแล็ปท็อปแทนที่จะเป็นคอมพิวเตอร์สาธารณะ การเข้ารหัสยังสามารถป้องกันข้อมูลในเครื่องแล็ปท็อปที่ใช้งานภายนอกสำนักงานได้ หากมีการใช้งานซอฟต์แวร์การเข้ารหัสในเครื่องคอมพิวเตอร์ที่ถูกขโมย ผู้ที่ขโมยเครื่องไปจะไม่สามารถอ่านเอกสารที่อยู่ในเครื่องได้
แนวโน้มด้านความปลอดภัยในปี 2010
เทคโนโลยีด้านการรักษาความปลอดภัยบนระบบเทคโนโลยีสารสนเทศนับว่าเป็นเทคโนโลยีที่พัฒนาไปอย่างรวดเร็ว ซึ่งเป็นผลเนื่องมาจากการแข่งขันกันระหว่างกลุ่มแฮกเกอร์ที่พยายามหาเทคนิคเจาะระบบแบบใหม่กับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยที่พยายามหาวิธีป้องกันเทคนิคการเจาะระบบเหล่านั้น อย่างไรก็ตามผู้เชี่ยวชาญด้านการรักษาความปลอดภัยต่างรู้สึกว่า รูปแบบดังกล่าวเปรียบเสมือนการเล่นเกมที่ต้องตกเป็นฝ่ายรับอยู่เพียงฝ่ายเดียวเนื่องจากต้องตามแก้ไขสิ่งที่เกิดอยู่ตลอดเวลา ดังนั้นเพื่อที่จะสามารถกลับกลายเป็นฝ่ายรุกผู้เชี่ยวชาญด้านการรักษาความปลอดภัยจึงได้มีการคาดการณ์ถึงแนวโน้มด้านความปลอดภัยที่อาจเกิดขึ้นในอนาคตอันใกล้ เพื่อที่จะสามารถป้องกันหรือหาทางแก้ไขไม่ให้สิ่งที่เป็นอันตรายเหล่านั้นเกิดขึ้นได้
แนวโน้มด้านความปลอดภัยที่สำคัญที่คาดว่าจะเกิดขึ้นในอนาคต
SANS (SysAdmin, Audit, Network, Security) Institute ซึ่งเป็นสถาบันเผยแพร่ความรู้และจัดสอบประกาศนียบัตรด้านความปลอดภัยที่ใหญ่ที่สุดแห่งหนึ่งของโลก ได้คาดการณ์ถึงแนวโน้มด้านปลอดภัยที่คาด
ว่าจะเกิดขึ้นในอนาคต โดย SANS ได้รวบรวมผู้เชี่ยวชาญจากสาขาต่างๆมากมายไม่ว่าจะเป็นด้านไฟร์วอลล์
ระบบตรวจจับการบุกรุก ระบบป้องกันการบุกรุก มัลแวร์ ระบบเครือข่ายไร้สาย และอื่นๆมาช่วยกันวิเคราะห์ถึง
แนวโน้มด้านความปลอดภัยที่คาดว่าจะเกิดขึ้นในอีก 2 – 3 ปีข้างหน้า สิ่งที่ SANS คาดว่าจะเกิดขึ้นในอนาคต
อันใกล้มีดังต่อไปนี้
1. การเข้ารหัสเครื่องคอมพิวเตอร์ Laptop กลายเป็นข้อบังคับในหลายหน่วยงาน
คอมพิวเตอร์ Laptop กำลังได้รับความนิยมมากขึ้นสำหรับการใช้งานในหน่วยงานหรือองค์กรต่างๆ เนื่องจากประสิทธิภาพการทำงานของ Laptop ในปัจจุบันเรียกได้ว่าใกล้เคียงกับเครื่องคอมพิวเตอร์แบบตั้งโต๊ะ
(Desktop) นอกจากนี้ด้วยขนาดที่เล็กกว่าเครื่องคอมพิวเตอร์แบบตั้งโต๊ะ ทำให้ผู้ใช้สามารถเปลี่ยนสถานที่
ทำงานได้อย่างสะดวกไม่ว่าจะเป็นที่บ้าน ที่ทำงาน หรือสถานที่ต่างๆ ด้วยข้อดีเหล่านี้ทำให้หลายหน่วยงาน
ตัดสินใจนำ Laptop เข้ามาใช้งานแทนที่คอมพิวเตอร์ตั้งโต๊ะที่มีอยู่เดิม
การขโมย Laptop นับว่าเป็นภัยคุมคามที่สำคัญอย่างหนึ่งสำหรับผู้ใช้และหน่วยงานที่มีการใช้ Laptop ความเสียหายที่เกิดขึ้นจากการที่ Laptop ถูกขโมยไปนอกจากการสูญเสียตัวเครื่องคอมพิวเตอร์เอง โปรแกรมที่ติด
ตั้งอยู่บน Laptop รวมทั้งข้อมูลที่อยู่ในเครื่องคอมพิวเตอร์ซึ่งยังไม่ได้ทำการสำรองข้อมูลแล้ว โดยปกติ
ผู้ใช้งาน Laptop ไม่ได้ทำการเข้ารหัสข้อมูลที่สำคัญที่อยู่ในเครื่องคอมพิวเตอร์ไม่ว่าจะเป็น ชื่อผู้ใช้ หรือ
รหัสผ่าน รวมทั้งข้อมูลต่างๆที่แสดงตัวตนของผู้ใช้ไว้ ดังนั้นคนร้ายที่ขโมย Laptop ไปจึงสามารถเข้าถึงข้อมูล
เหล่านี้ได้ทันที ทำให้ข้อมูลเหล่านี้อาจถูกนำไปใช้เพื่อประโยชน์ในทางมิชอบได้ นอกจากกรณีที่ Laptop ถูก
ขโมยแล้ว การสูญเสียข้อมูลอาจเกิดขึ้นได้จากการที่ Laptop ได้ถูกส่งไปซ่อมแซมยังบริษัทตัวแทนจำหน่าย
การที่ผู้ใช้ไม่ได้เข้ารหัสข้อมูลของ Laptop ไว้ ทำให้ช่างซ่อมคอมพิวเตอร์สามารถเข้าถึงข้อมูลได้โดยตรง
เช่นกัน ตัวอย่างของเหตุการณ์การสูญเสียข้อมูลที่เกี่ยวข้องกับ Laptop มีดังต่อไปนี้
• การขโมย Laptop ของพนักงานบริษัท Enrst & Young ซึ่งในเครื่องคอมพิวเตอร์ดังกล่าวมีข้อมูล
ของลูกค้า Hotels.com ถึง 243,000 ราย
• การขโมย Laptop ของบริษัท American International Group ซึ่งเป็นบริษัทประกันภัยรายใหญ่ของ
สหรัฐอเมริกามีข้อมูลส่วนบุคคลของลูกค้าอยู่ถึง 970,000 ราย
• สำหรับในกรณีของประเทศไทยซึ่งมีคลิปวีดีโอของดาราดังถูกเผยแพร่ออกทางอินเตอร์เน็ต ซึ่งจาก
การตรวจสอบในภายหลังพบว่าคลิปวีดีโอดังกล่าวได้ถูกเผยแพร่จากช่างซ่อมคอมพิวเตอร์ที่ร้านซึ่ง
ดาราคนดังกล่าวได้นำเครื่อง Laptop ไปซ่อมไว้
จากกรณีศึกษาของการสูญเสียข้อมูลบน Laptop ในอดีตที่ผ่านมา ทำให้หลายหน่วยงานตัดสินใจใช้มาตรการรวมทั้งข้อบังคับต่างๆเพื่อให้พนักงานมีความระมัดระวังในการใช้งาน Laptop มากขึ้น มาตรการเหล่านี้ได้รวมถึงการเข้ารหัสข้อมูลที่อยู่บน Laptop ซึ่งเป็นการช่วยปกป้องข้อมูลในกรณีที่ Laptop ถูกคนร้ายขโมยไป
ตัวอย่างของหน่วยงานที่มีการบังคับใช้การเข้ารหัส Laptop คือรัฐบาลของประเทศสหรัฐอเมริกา ซึ่งได้
กำหนดให้เจ้าหน้าที่รัฐผู้ถือครอง Laptop ต้องทำการเข้ารหัสข้อมูลที่อยู่บนเครื่อง รวมทั้งการใช้งานการ
ตรวจสอบตัวตนแบบ Two-factor ในการล็อกอินเข้าเครื่อง Laptop การที่รัฐบาลของประเทศสหรัฐอเมริกาได้
ตัดสินใจใช้ข้อบังคับเหล่านี้จะเป็นการช่วยผลักดันให้หน่วยงานอื่นๆไม่ว่าจะเป็นนอกหรือในประเทศ
สหรัฐอเมริกาหันมาให้ความสนใจกับการออกกฎหรือนโยบายในการใช้งาน Laptop ให้มีปลอดภัยมากขึ้น
รวมทั้งยังผลักดันให้บริษัทผู้ผลิต Laptop หันมาพัฒนาผลิตภัณฑ์ของตนเองให้สนับสนุนการเข้ารหัสข้อมูล
โดยไม่จำเป็นต้องใช้ซอฟต์แวร์ภายนอกอีกด้วย
2. ปัญหาความปลอดภัยด้าน Physical ของ PDA และ Smart Phone
ในปัจจุบันความสามารถของ PDA และ Smart Phone ได้ถูกพัฒนาไปอย่างรวดเร็ว ไม่ว่าจะเป็นในเรื่อง
ความสามารถในการเก็บข้อมูลที่สามารถจุข้อมูลได้มากขึ้น โปรแกรมต่างๆที่สนับสนุนการทำงานบน PDA และ
Smart Phone รวมทั้งความสามารถในการเชื่อมต่อกับเครือข่ายอินเตอร์เน็ต ทำให้ผู้ใช้ไม่รู้สึกถึงความ
แตกต่างในด้านการใช้งานระหว่างอุปกรณ์พกพาเหล่านี้กับเครื่องคอมพิวเตอร์แต่อย่างใด ดังนั้นจึงมีผู้ใช้หลาย
คนนิยมเก็บข้อมูลสำคัญไว้ในอุปกรณ์เหล่านี้เพื่อความสะดวกในการใช้งาน ด้วยบทบาทที่มากขึ้นนี้ ทำให้
อุปกรณ์ดังกล่าวกลายเป็นที่หมายตาของเหล่าคนร้าย จนทำให้ผู้เชี่ยวชาญด้านการรักษาความปลอดภัย
คาดการณ์กันว่าแนวโน้มคดีที่เกี่ยวข้องกับการขโมยอุปกรณ์แบบพกพา PDA และ Smart Phone จะทวีความ
รุนแรงมากขึ้นในอนาคต
หากเปรียบเทียบการขโมย PDA และ Smart Phone กับคอมพิวเตอร์ Laptop แล้ว ต้องยอมรับว่าการขโมย PDA และ Smart Phone สามารถทำได้ง่ายกว่ามาก เนื่องจากอุปกรณ์แบบพกพาเหล่านี้มีขนาดเล็กกว่า
Laptop ดังนั้นโอกาสที่คนร้ายจะหยิบฉวยอุปกรณ์เหล่านี้ไปโดยไม่ถูกคนอื่นสังเกตเห็นจึงมีมากกว่า คนร้าย
สามารถนำ PDA และ Smart Phone ที่ขโมยมาไปขายต่อตามแหล่งต่างๆที่รับซื้ออุปกรณ์เหล่านี้ได้ นอกจาก
ตัวเครื่องของ PDA และ Smart Phone ที่ทำเงินให้กับคนร้ายแล้ว ข้อมูลที่อยู่ในอุปกรณ์เหล่านี้ก็อาจจะ
สามารถทำเงินให้กับคนร้ายได้อีกเช่นกัน
จากการสำรวจของ PointSec ซึ่งเป็นบริษัทเกี่ยวกับผลิตภัณฑ์การป้องกันข้อมูลบนอุปกรณ์พกพาเช่น PDAหรือ Smart Phone พบว่าผู้ใช้ส่วนใหญ่นั้นนิยมเก็บข้อมูลส่วนบุคคลที่สำคัญไว้ในอุปกรณ์เหล่านี้ไม่ว่าจะเป็นชื่อผู้ใช้และรหัสผ่าน หมายเลข PIN หมายเลขบัญชีและข้อมูลอื่นๆที่เกี่ยวข้องกับการทำธุรกรรม นอกจากนี้
การสำรวจยังพบว่าผู้ใช้ส่วนใหญ่ไม่ได้ทำการเข้ารหัสข้อมูลที่เก็บอยู่ใน PDA และ Smart Phone ซึ่งทำให้
คนร้ายสามารถเข้าถึงข้อมูลได้โดยตรงหลังจากที่ขโมยอุปกรณ์ ข้อมูลที่ได้นี้อาจถูกใช้เพื่อสวมรอยเป็น
เจ้าของข้อมูลในการทำธุรกรรมต่างๆ หรือในกรณีที่คนร้ายได้ชื่อผู้ใช้และรหัสผ่านของผู้ใช้ไป คนร้ายอาจ
สามารถเข้าถึงระบบเครือข่ายที่เจ้าของข้อมูลทำงานอยู่ได้ ทำให้ความเสียหายที่เกิดขึ้นลุกลามใหญ่โตได้
3. การออกกฎหมายที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล
ในปี 2007 ที่ผ่านมาได้มีหลายประเทศประกาศใช้หรือปรับปรุงกฎหมายที่เกี่ยวกับการกระทำผิดทาง
คอมพิวเตอร์ทั้งประเทศเยอรมัน หรือประเทศไทยเอง การประกาศใช้หรือปรับปรุงกฎหมายใหม่งผลกระทบต่อ
วิถีการดำเนินชีวิตของประชากรที่อยู่ในประเทศเหล่านั้น รวมทั้งแนวโน้มทางธุรกิจที่ตอบรับกระแสที่เกิดจาก
การบังคับใช้กฎหมาย ตัวอย่างเช่น
• กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ฉบับใหม่ของเยอรมันมีหัวข้อหนึ่งได้กล่าวถึงการพัฒนา
หรือแจกจำหน่ายซอฟต์แวร์รวมทั้งข้อมูลต่างๆที่อาจถูกนำไปใช้ในการบุกรุกระบบถือว่าเป็นความผิด
ทำให้นักวิจัยด้านการรักษาความปลอดภัยไม่สามารถเผยแพร่ความรู้ด้านความปลอดภัยที่อาจถูก
นำไปใช้ในการโจมตีระบบได้ เช่น Stefan Esser ผู้เชี่ยวชาญเกี่ยวกับความปลอดภัยของ PHP ชาว
เยอรมัน ซึ่งเคยเผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ของการพัฒนาภาษา PHP โดยตั้งชื่อว่า Month of
PHP Bugs ได้ปิดเว็บไซต์ส่วนหนึ่งของตัวเองลงไป เนื่องจากการเผยแพร่ข้อมูลดังกล่าวเป็นสิ่งที่ผิด
กฎหมายสำหรับประเทศเยอรมัน เป็นต้น
• กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ของประเทศไทยได้กล่าวถึงการเก็บล็อคของระบบอย่าง
น้อยเป็นเวลา 90 วัน ทำให้เกิดธุรกิจรูปแบบใหม่คือการให้บริการเก็บรักษาล็อค เพื่อตอบสนองความ
ต้องการของหน่วยงานต่างๆซึ่งมีทรัพยากรไม่เพียงพอในการสร้างระบบจัดการบริหารล็อคด้วยตนเอง
การที่หลายประเทศได้มีการประกาศใช้กฎหมายเกี่ยวกับการกระทำผิดทางคอมพิวเตอร์ออกมานับว่าเป็นสัญญาณที่ดีอย่างหนึ่ง และมีความเป็นไปได้ที่จะมีกฎหมายอื่นๆที่เกี่ยวข้องออกมาอีก ด้วยเหตุนี้ทำให้
ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยได้คาดการณ์กันว่าภายในอนาคตอันใกล้แนวโน้มการออกกฎหมายจะ
เน้นไปทางด้านการปกป้องข้อมูลส่วนบุคคลเป็นหลัก ไม่ว่าจะเป็นการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับ
อนุญาต หรือการบังคับให้บริษัทหรือหน่วยงานที่ทำงานเกี่ยวกับข้อมูลส่วนบุคคลต้องมีมาตรฐานการป้องกัน
ข้อมูลที่ดีเพียงพอ
เนื่องจากปัญหาการขโมยข้อมูลส่วนบุคคลมีความรุนแรงขึ้นทุกวัน ทำให้กฎหมายการปกป้องข้อมูลส่วนบุคคลนี้ถูกคาดการณ์ว่าจะเป็นกฎหมายที่ถูกผลักดันออกมาใช้ในอนาคตอันใกล้ โดยคาดว่าจะมีบทลงโทษที่รุนแรงมากขึ้นสำหรับการขโมยข้อมูลส่วนบุคคล นอกจากนี้กฎหมายอาจมีการกล่าวถึงบริษัทหรือหน่วยงานที่ทำงานเกี่ยวกับข้อมูลส่วนบุคคล ไม่ว่าจะเป็น ธนาคาร โรงพยาบาล หรือบริษัทประกันภัย จะต้องมีมาตรการป้องกันการเข้าถึงข้อมูลส่วนบุคคลที่ดีพอและได้มาตรฐาน กฎหมายดังกล่าวจะเป็นเหมือนข้อบังคับให้หน่วยงานและบริษัททั้งหลายเหล่านี้ซึ่งไม่ได้สนใจกับเรื่องนี้นัก หันมาใส่ใจกับการป้องกันข้อมูลส่วนบุคคลมากขึ้น
4. แฮกเกอร์เลือกเป้าหมายในการโจมตีเป็นหน่วยงานรัฐและภาคเอกชนที่สำคัญ
หน่วยงานที่ตกเป็นเป้าหมายในการโจมตีของแฮกเกอร์ในรอบปีที่ผ่านมาและคาดว่ามีแนวโน้มจะตกเป็นเป้าหมายสูงขึ้นในอนาคตคือหน่วยงานรัฐต่างๆ เหตุผลที่แฮกเกอร์เลือกโจมตีหน่วยงานรัฐมีอยู่หลากหลาย
เช่น ความปลอดภัยของระบบเครือข่ายคอมพิวเตอร์ในหน่วยงานรัฐมีน้อยกว่าเมื่อเทียบกับหน่วยงานเอกชน
ทำให้โอกาสที่จะบุกรุกสำเร็จนั้นมีมากกว่า หรือด้านชื่อเสียงของตัวแฮกเกอร์ที่ว่าหากบุกรุกระบบของ
หน่วยงานรัฐได้สำเร็จจะได้รับชื่อเสียงมากกว่า รวมทั้งยังมีเหตุผลด้านการก่อการร้ายและการเมืองด้วย เป็นต้น
ตัวอย่างเหตุการณ์บุกรุกระบบของหน่วยงานรัฐในประเทศไทยคือการบุกรุกเว็บเซิร์ฟเวอร์ของกระทรวงไอซีที
โดยแฮกเกอร์ได้ทำการเปลี่ยนหน้าเว็บไซต์ของกระทรวง ซึ่งถือได้ว่าเป็นการท้าทายกระทรวงไอซีทีและอีก
หลายหน่วยงานเป็นจำนวนมาก เนื่องจากการบุกรุกนั้นเกิดขึ้นหลังจากมีการประกาศใช้พระราชบัญญัติว่าด้วย
การกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 เพียงวันเดียว
นอกจากระบบเครือข่ายของหน่วยงานรัฐจะเป็นเป้าหมายหลักในการโจมตีของแฮกเกอร์แล้ว ระบบโครงสร้างพื้นฐาน (Infrastructure) และระบบสาธารณูปโภคต่างๆ ก็กลายเป็นเป้าหมายหลักในการโจมตีด้วย
โดยเฉพาะอย่างยิ่งสำหรับกลุ่มแฮกเกอร์ที่มีเป้าหมายทางด้านการก่อการร้ายและการเมือง ตัวอย่างของการ
โจมตีระบบโครงสร้างพื้นฐานที่เรียกได้ว่าเป็นกรณีศึกษาสำหรับหลายๆ ประเทศคือ การโจมตีระบบเครือข่าย
ของประเทศเอสโตเนียด้วยวิธีการ DDoS (Distributed Denial of Services) ซึ่งคาดว่าเป็นฝีมือของกลุ่มแฮก
เกอร์หัวรุนแรงชาวรัสเซีย ทำให้ระบบเครือข่ายของประเทศเอสโตเนียไม่สามารถใช้งานได้เป็นระยะเวลานาน
กว่า 2 ถึง 3 สัปดาห์ เหตุการณ์ดังกล่าวทำให้ประเทศเอสโตเนียจำเป็นต้องขอความช่วยเหลือจากหลาย
หน่วยงานในต่างประเทศ รวมทั้งทีม CERT (Computer Emergency Response Team) จากประเทศเยอรมัน
สหรัฐอเมริกา ฟินแลนด์ ซึ่งเป็นทีมที่อยู่ใน FIRST (Forum of Incident Response Team) ทั้งสิ้น จาก
เหตุการณ์ที่เกิดขึ้นกับประเทศเอสโตเนียแสดงให้เห็นถึงความสำคัญของ CERT ที่มีอยู่ในประเทศ รวมทั้ง
ความร่วมมือกันระหว่าง CERT ของแต่ละประเทศดังเช่นรูปแบบของ FIRST ด้วย
หน่วยงานเอกชนที่ทำงานเกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้าไม่ว่าจะเป็นธนาคารหรือโรงพยาบาล
รวมทั้งบริษัทประกันภัย เป็นอีกหนึ่งเป้าหมายหลักในการโจมตีของแฮกเกอร์ เนื่องจากการขายข้อมูลส่วน
บุคคลไปให้กับกลุ่มที่ต้องการนั้นให้ผลตอบแทนที่สูง การโจมตีเว็บไซต์ของ Bank of India เพื่อขโมยข้อมูล
ของลูกค้านับเป็นอีกตัวอย่างหนึ่ง เว็บไซต์ Bank of India ถูกแฮกเกอร์บุกรุกเข้าไปได้สำเร็จแล้วได้ทำการ
เปลี่ยนแปลงโค้ดของเว็บไซต์บางส่วน เมื่อลูกค้าทำการเยี่ยมชมเว็บไซต์ของ Bank of India โค้ดซึ่งแฮก
เกอร์ฝังไว้จะดาวน์โหลดมัลแวร์ ลงไปยังเครื่องคอมพิวเตอร์ของลูกค้า มัลแวร์เหล่านี้จะคอยเก็บข้อมูลต่างๆ
ไม่ว่าจะเป็นรายชื่อผู้ใช้ รหัสผ่าน หมายเลขบัตรเครดิต และข้อมูลอื่นที่แสดงตัวตนของลูกค้า ซึ่งเหตุการณ์
ดังกล่าวทำให้ชื่อเสียงของ Bank of India ได้รับความเสียหายเป็นอย่างมาก
5. หนอนอินเตอร์เน็ต (Worms) บนโทรศัพท์มือถือ
ทาง SANS ได้คาดการณ์ไว้ว่าภายในอนาคตอันใกล้อาจมีการแพร่กระจายของหนอนอินเตอร์เน็ตผ่านทางระบบเครือข่ายไร้สายของโทรศัพท์มือถือ ซึ่งจำนวนของเครื่องโทรศัพท์มือถือที่โดนหนอนอินเตอร์เน็ตโจมตี
นั้นจะมีจำนวนถึง 100,000 เครื่องเลยทีเดียว สาเหตุที่โทรศัพท์มือถือกลายเป็นแหล่งแพร่กระจายของหนอน
อินเตอร์เน็ตก็เนื่องมาจากความสามารถที่มากขึ้นของโทรศัพท์มือถือนั่นเอง โดยในปัจจุบันโทรศัพท์มือถือ
จำนวนมากได้ถูกติดตั้งระบบปฏิบัติการลงไปเสมือนเป็นเครื่องคอมพิวเตอร์เครื่องหนึ่ง ตัวอย่างเช่น iPhone
ซึ่งเป็นโทรศัพท์มือถือรุ่นล่าสุดจากบริษัท Apple ได้ใช้ระบบปฏิบัติการ Mac OS X เป็นระบบปฏิบัติการของ
เครื่องโทรศัพท์ หรือ O2 ซึ่งเป็นโทรศัพท์มือถือชื่อดังก็ใช้ระบบปฏิบัติการ Microsoft Windows Mobile 5.0
เป็นระบบปฏิบัติการ เป็นต้น
สิ่งที่สนับสนุนแนวคิดเรื่องหนอนอินเตอร์เน็ตบนโทรศัพท์มือถือของ SANS คือการพัฒนาโปรแกรมบุกรุก (exploit) ใช้สำหรับโจมตีช่องโหว่ของ TIFF library ซึ่งเป็นชุดคำสั่งที่ใช้สำหรับพัฒนาโปรแกรมรูปภาพแบบหนึ่ง ช่องโหวดั่งกล่าวนสี้ ามารถใช้โจมตี iPhone ตั้งแต่รุ่น 1.1.1 ลงมาผา่ นทางโปรแกรมเว็บบราวเซอร์ของ iPhone ที่ชื่อว่า MobileSafari ได้ หากผู้ใช้ iPhone ทำการเรียกดูเว็บที่มีการฝังไฟล์รูปภาพแบบ TIFF ของ
แฮกเกอร์ไว้ แฮกเกอร์จะสามารถเข้าควบคุม iPhone ของผู้ใช้ได้ทันที
ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยคาดการณ์ว่า แฮกเกอร์จะสามารถใช้ช่องโหว่ของ TIFF library ทำ
การสร้างหนอนอินเตอร์เน็ตบน iPhone
การแพร่กระจายของหนอนอินเตอร์เน็ตบน iPhone นั้นมีลักษณะคล้ายคลึงกับการ
แพร่กระจายของหนอนอินเตอร์เน็ตบนเครื่องคอมพิวเตอร์ผ่านทางเว็บบราวเซอร์ซึ่งเป็นการแพร่กระจายที่เกิด
ขึ้นอยู่ในปัจจุบัน ทำให้โอกาสการแพร่กระจายสำเร็จมีสูงมาก แสดงให้เห็นว่าหนอนอินเตอร์เน็ตบน
โทรศัพท์มือถือมีพัฒนาการมากขึ้นและไม่ใช่เรื่องไกลตัวสำหรับผู้ใช้อีกต่อไป
6. VoIP (Voice over IP) อีกเป้าหมายหนึ่งของแฮกเกอร์
VoIP ได้กลายเป็นเทคโนโลยีอีกทางเลือกหนึ่งสำหรับองค์กรที่มีการใช้งานโทรศัพท์ระหว่างประเทศเป็นประจำ เนื่องจากค่าใช้จ่ายในการส่งข้อมูลเสียงโดยใช้ VoIP นั้นน้อยกว่าอัตราค่าบริการโทรศัพท์ระหว่าง
ประเทศเป็นจำนวนมาก ไม่เพียงแต่เฉพาะโทรศัพท์ระหว่างประเทศเท่านั้น ในบางประเทศอัตราค่าใช้จ่ายของ
VoIP นั้นยังถูกว่าค่าโทรศัพท์ภายในประเทศอีกด้วย แม้ว่า VoIP ได้ถูกนำมาใช้งานแล้วในหลายๆองค์กรและ
มีแนวโน้มจะได้รับความนิยมมากขึ้น แต่มีอยู่เพียงจำนวนน้อยเท่านั้นที่ศึกษาและทำความเข้าใจเกี่ยวกับความ
ปลอดภัยในการใช้งาน VoIP
VoIP ใช้เทคโนโลยีการส่งข้อมูลเสียงบน IP โปรโตคอล ซึ่งนั่นหมายความว่า VoIP มีความเสี่ยงในการถูกโจมตีเหมือนกับเทคโนโลยีอื่นที่ใช้ IP โปรโตคอลในการทำงาน นอกจากนี้ลักษณะการใช้งาน VoIP เรียกได้
ว่ายังอยู่ในระยะเริ่มต้น ดังนั้นเจ้าของผลิตภัณฑ์รวมทั้งผู้ใช้ต่างไม่ได้ใส่ใจเรื่องความปลอดภัยของ VoIP กัน
มากนัก ซึ่งตรงกันข้ามกับบรรดาแฮกเกอร์ที่พยายามหาช่องโหว่ด้านความปลอดภัยของเทคโนโลยีใหม่อยู่
เสมอ ด้วยเหตุนี้จึงทำให้องค์กรที่ใช้งาน VoIP ตกอยู่ในความเสี่ยง หากไม่เข้าใจเรื่องความปลอดภัยในการใช้
งาน VoIP อย่างดีพอ
การโจมตี VoIP สามารถแบ่งออกเป็นสองประเภทหลักคือ
• การทำให้ระบบ VoIP ไม่สามารถทำงานได้
จุดประสงค์หลักของการโจมตีด้วยวิธีนี้คือ ทำให้ระบบ VoIP ของเป้าหมายไม่สามารถทำงานได้ ซึ่ง
การโจมตีแบบนี้สามารถทำได้หลายวิธี เช่น การส่งข้อมูลจำนวนมหาศาลไปยังระบบเครือข่าย ทำให้
VoIP ในระบบเครือข่ายที่ถูกโจมตีไม่สามารถส่งข้อมูลได้ หรือแฮกเกอร์อาจส่งข้อมูลไปรบกวน
ข้อมูลเสียงบนระบบ VoIP ทำให้ผู้ใช้งานไม่สามารถฟังเสียงที่ถูกส่งมาได้ เป็นต้น
• การขโมยข้อมูลเสียงที่ถูกส่งโดย VoIP
จุดประสงค์หลักของการโจมตีด้วยวิธีนี้คือ เพื่อขโมยข้อมูลเสียงที่ถูกส่งโดย VoIP หรือแม้กระทั่งทำ
การเปลี่ยนแปลงข้อมูลเสียงที่ถูกส่งโดย VoIP ก่อนที่จะไปถึงผู้ใช้ การโจมตีแบบนี้สามารถทำได้
หลายวิธี เช่น การดักจับข้อมูลบนระบบ VoIP ซึ่งแฮกเกอร์ต้องอยู่ในระบบเครือข่ายเดียวกันกับ
เป้าหมาย หรือสวมรอยเป็นผู้ใช้ VoIP เพื่อให้ระบบทำการส่งข้อมูลเสียงของผู้ใช้มาให้แฮกเกอร์ เป็น
ต้น
สังเกตว่าเทคนิคที่ใช้ในการโจมตี VoIP ไม่ใช่เทคนิคที่คิดค้นขึ้นมาใหม่ แต่เป็นการนำเทคนิคและแนวคิดที่
เคยใช้กับเทคโนโลยีอื่นมาดัดแปลงให้สามารถใช้งานได้กับ VoIP นั่นเอง
7. การโจมตีโดยใช้สปายแวร์ยังคงมีอยู่ต่อไป
ปัญหาเรื่องสปายแวร์ยังคงเป็นปัญหาที่คุกคามความปลอดภัยของผู้ใช้งานอินเตอร์เน็ตต่อไป การขายข้อมูลของผู้ใช้อินเตอร์เน็ตให้แก่องค์กรอาชญากรรมนั้นให้ผลตอบแทนที่สูงสำหรับแฮกเกอร์ ถึงแม้ว่าในปัจจุบัน
ผู้เชี่ยวชาญได้หาวิธีการป้องกันสปายแวร์ แต่ทว่าแฮกเกอร์ก็ได้พัฒนาสปายแวร์ให้มีขีดความสามารถมากขึ้น
เพื่อหลบหลีกกลไกการป้องกันเหล่านั้น
รูปแบบของการแพร่กระจายสปายแวร์ได้เปลี่ยนแปลงไปในช่วง 2 ถึง 3 ปีที่ผ่านมา เมื่อก่อนแฮกเกอร์จะทำการฝังสปายแวร์ลงไปในเครื่องของผู้ใช้งานอินเตอร์เน็ตโดยตรง ซึ่งวิธีการดังกล่าวมักถูก Anti-virus ตรวจพบดังนั้นแฮกเกอร์จึงได้เปลี่ยนวิธีใหม่โดยใช้สปายแวร์คู่กับโปรแกรมอีกประเภทหนึ่งซึ่งจะถูกฝังโดยตรงลงไปในเครื่องคอมพิวเตอร์ โปรแกรมเหล่านี้ถูกเรียกว่า Dropper
Dropper เป็นโปรแกรมที่หน้าที่ดาวน์โหลดมัลแวร์ประเภทอื่นไม่ว่าจะเป็น ไวรัส โทรจัน หรือสปายแวร์ เข้าสู่เครื่องคอมพิวเตอร์หลังจากที่ได้ฝังตัวเองลงไปเรียบร้อยแล้ว เนื่องจาก Dropper ส่วนใหญ่ไม่มีลักษณะการทำงานเหมือนมัลแวร์ ดังนั้น Anti-virus จึงไม่ลบ Dropper ออกจากระบบ หน้าที่หลักของ Dropper ในกรณีนี้
คือ หลังจากถูกติดตั้งลงไปเรียบร้อยแล้ว มันจะหยุดการทำงานของ Anti-virus รวมทั้งไฟร์วอลล์ของเครื่อง
คอมพิวเตอร์ที่ฝังตัวอยู่ จากนั้น Dropper จะดาวน์โหลดสปายแวร์ลงมาติดตั้งที่เครื่องคอมพิวเตอร์ของผู้ใช้
เนื่องจาก Anti-virus ถูกหยุดการทำงานไป ดังนั้นสปายแวร์ที่ถูกดาวน์โหลดมาจึงไม่ถูกตรวจสอบ รูปแบบการ
ใช้งานสปายแวร์คู่กับ Dropper
การใช้งานสปายแวร์คู่กับ Dropper ช่วยเพิ่มโอกาสในการติดตั้งสปายแวร์ลงไปในเครื่อง
คอมพิวเตอร์ของผู้ใช้ได้สำเร็จ จากรายงานของ Sophos เมื่อเดือนมกราคมปี 2007 พบว่าการใช้งานสปาย
แวร์แบบเก่านั้นลดลงจาก 50.43% เหลือ 41.87% ในขณะที่อัตราการใช้งานสปายแวร์คู่กับ Dropper นั้น
เพิ่มขึ้นจาก 40.32% เป็น 51.24% และแนวโน้มการใช้งานสปายแวร์คู่กับ Dropper และมัลแวร์อื่นๆ จะเพิ่ม
มากขึ้นในอนาคต
8. ภัยร้ายจากช่องโหว่แบบ Zero-Day
ช่องโหว่แบบ Zero-Day คือช่องโหว่ของระบบปฏิบัติการหรือซอฟต์แวร์ต่างๆ ที่ถูกแฮกเกอร์นำไปใช้ในการโจมตีระบบ แต่ยังไม่มีโปรแกรมซ่อมแซมช่องโหว่จากทางเจ้าของผลิตภัณฑ์ ปัญหาเรื่องช่องโหว่แบบ Zero-Day เป็นปัญหาที่ผู้เชียวชาญทั้งหลายต่างให้ความสำคัญ เนื่องจากปัญหานี้เป็นปัญหาที่ไม่สามารถหาวิธีการ
ป้องกันได้อย่างมีประสิทธิภาพ นอกจากนี้ปัญหาช่องโหว่ Zero-Day เป็นปัญหาที่สามารถเกิดขึ้นได้ทุกยุคทุก
สมัย ตราบใดที่ผู้ผลิตซอฟต์แวร์ยังพัฒนาซอฟต์แวร์ที่มีช่องโหว่ออกมา ตราบนั้นก็ยังมีปัญหาช่องโหว่แบบ
Zero-Day เกิดขึ้นอยู่
โดยปกติแล้วผู้ที่ค้นพบช่องโหว่แบบ Zero-Day จะอยู่ในกลุ่มของแฮกเกอร์ใต้ดินมากกว่านักวิจัยด้านความปลอดภัย ซึ่งเมื่อเหล่าแฮกเกอร์ค้นพบช่องโหว่ดังกล่าว ก็จะทำการพัฒนาโปรแกรมบุกรุกขึ้นมา แล้วนำ
โปรแกรมเหล่านี้ไปใช้ในการโจมตีเหยื่อ หรือนำโปรแกรมบุกรุกดังกล่าวไปขายให้กับกลุ่มอาชญากรรมต่างๆ
ซึ่งหันมาประกอบอาชญากรรมบนอินเตอร์เน็ตมากขึ้น ด้วยเหตุนี้เองจึงได้มีบริษัทเจ้าของผลิตภัณฑ์เกี่ยวกับ
ความปลอดภัยของข้อมูลได้คิดธุรกิจแบบใหม่ขึ้นมา ธุรกิจดังกล่าวคือการรับซื้อช่องโหว่แบบ Zero-Day จาก
ผู้ที่ค้นพบช่องโหว่ ซึ่งตัวอย่างของบริษัทดังกล่าวคือ TippingPoint (3Com) และ iDefense
Zero Day Initiative (ZDI) ของ TippingPoint และ Vulnerability Contributor Program (VCP) ของ
iDefense เป็นโครงการที่ถูกตั้งขึ้นมาเพื่อรับซื้อข้อมูลเกี่ยวกับช่องโหว่แบบ Zero-Day รวมทั้งโปรแกรมบุกรุก
ของช่องโหว่ดังกล่าว เมื่อโครงการเหล่านี้ได้รับข้อมูลจากผู้ที่ค้นพบช่องโหว่แล้วก็จะติดต่อไปยังเจ้าของ
ผลิตภัณฑ์ที่มีช่องโหว่เพื่อช่วยกันแก้ไขปัญหาต่อไป
รูปแบบธุรกิจดังกล่าวถือเป็นอีกทางเลือกหนึ่งสำหรับผู้ที่ต้องการขายข้อมูลของช่องโหว่ต่างๆ แทนที่การขายช่องโหว่ให้กับกลุ่มอาชญากรรมเหมือนที่แล้วมา แต่อย่างไรก็ตามรูปแบบธุรกิจดังกล่าวช่วยลดความรุนแรงที่เกิดจากช่องโหว่แบบ Zero-Day ได้เพียงส่วนหนึ่งเท่านั้น ยังมีโอกาสที่แฮกเกอร์เลือกที่จะไม่ขายข้อมูล
เกี่ยวกับช่องโหว่ Zero Day แล้วใช้ประโยชน์จากช่องโหว่ดังกล่าวด้วยวิธีการของแฮกเกอร์เอง ดังนั้นผู้ดูแล
ระบบยังคงต้องมีความพร้อมในการรับมือการโจมตีด้วยช่องโหว่แบบ Zero-Day อยู่ต่อไป
9. ความสามารถของ Bots ที่มีมากขึ้น
ในช่วงหลายปีที่ผ่านมา Bots ได้กลายเป็นปัญหาสำคัญเรื่องหนึ่งที่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยต่างก็ให้ความสำคัญและพยายามที่จะหาวิธีการป้องกัน แก้ไข และตรวจจับลักษณะการทำงานหรือการโจมตีของ Bots แต่อย่างไรก็ตามผู้ที่พัฒนา Bots ก็พยายามหาทางเอาชนะกลไกการป้องกันเหล่านั้น โดยการเพิ่ม
ประสิทธิภาพและความสามารถของตัว Bots เอง ไม่ว่าจะเป็นความสามารถในการหลบหลีกการตรวจจับของ
Anti-Virus หรือแม้กระทั่งสั่งให้ Anti-Virus หยุดการทำงาน ความสามารถในการตรวจสอบว่าตัว Bots เองนั้น
ได้รันอยู่บนเครื่องคอมพิวเตอร์จริงๆ หรือว่ารันอยู่บนเครื่องคอมพิวเตอร์ที่ถูกจำลองโดยการใช้ซอฟต์แวร์
(Virtual Machine) ซึ่งผู้เชี่ยวชาญด้านการรักษาความปลอดภัยนิยมนำมาใช้วิเคราะห์การทำงานของ Bots
แต่ความสามารถของ Bots แบบใหม่ที่ถูกเพิ่มขึ้นมาและนับว่าเป็นอันตรายต่อระบบอย่างยิ่งคือการเพิ่ม
ความสามารถของ Rootkit เข้าไปไว้ในตัว Bots
Rootkit คือโปรแกรมแบบหนึ่งที่รวบรวมความสามารถของม้าโทรจัน (Trojan Horse – โปรแกรมที่ภายนอกดูเหมือนไม่มีอันตราย แต่แท้จริงแล้วมีจุดประสงค์แอบแฟงไว้ในการทำงาน) และ Backdoor (โปรแกรมที่ทำให้แฮกเกอร์สามารถเข้าสู่ระบบได้ในภายหลังโดยที่ไม่ต้องทำการพิสูจน์ตัว) อยู่ในตัวเอง จุดประสงค์หลักที่แฮกเกอร์ใช้งาน Rootkit คือเพื่อซ่อนตัวตนของแฮกเกอร์บนระบบที่ถูกบุกรุก ไม่ว่าจะเป็นโปรแกรมหรือไฟล์ต่างๆของแฮกเกอร์ รายชื่อผู้ใช้ที่แฮกเกอร์สร้างขึ้น รวมทั้งช่องทางที่ทำให้แฮกเกอร์สามารถกลับเข้าสู่ระบบได้ใน
ภายหลัง หลักการทำงานของ Rootkit คือเข้าไปเปลี่ยนแปลงการทำงานของระบบปฏิบัติการเพื่อให้
ระบบปฏิบัติการตอบสิ่งที่แฮกเกอร์ต้องการให้กับผู้ใช้ เช่น เมื่อผู้ใช้รันคำสั่งเพื่อเรียกดูไฟล์บนระบบ
ระบบปฏิบัติการ รายชื่อไฟล์ทั้งหมดจะถูกแสดงออกมา ยกเว้นไฟล์ของแฮกเกอร์ เป็นต้น
การที่ Bots ได้รวมความสามารถของ Rootkit เข้ามานั้น ทำให้การตรวจจับ Bots เป็นไปได้ยากขึ้น วิธีการกู้ระบบหลังจากที่โดนแฮกเกอร์ฝัง Bots ประเภทนี้ลงไปนั้นมีเพียงทางเดียวคือทำการฟอร์แมทระบบและทำการติดตั้งระบบปฏิบัติการใหม่ เนื่องจากผู้ดูแลระบบไม่สามารถแน่ใจได้เลยว่าแฮกเกอร์ได้ซ่อนเครื่องมือต่างๆ
ไว้ตรงส่วนไหนของระบบบ้าง การที่ต้องติดตั้งระบบปฏิบัติการลงไปใหม่ทำให้เกิดความเสียหายอย่างมาก ไม่
ว่าจะเป็นในเรื่องของเวลาและค่าใช้จ่ายในการกู้ระบบ รวมทั้งความเสียหายที่เกิดขึ้นในช่วงที่ระบบไม่สามารถ
ให้บริการได้อีกด้วย
10. บทบาทที่สำคัญมากขึ้นของ Network Access Control (NAC)
Network Access Control (NAC) เป็นเทคโนโลยีที่กำลังได้รับความสนใจจากหลายองค์กร ความสามารถของ NAC นั้นมีมากมาย แต่ความสามารถหนึ่งซึ่งเรียกได้ว่าถูกใจองค์กรต่างๆ เป็นจำนวนมากได้แก่
ความสามารถในการช่วยแบ่งเบาภาระขององค์กรในการจัดการปัญหาเกี่ยวกับการที่พนักงานภายในองค์กรนำ
เครื่องคอมพิวเตอร์ที่ไม่ได้รับอนุญาต เช่น คอมพิวเตอร์ Laptop ส่วนบุคคลของพนักงาน เข้ามาเชื่อมต่อกับ
ระบบเครือข่ายภายในขององค์กร การกระทำดังกล่าวของพนักงานอาจทำให้ระบบเครือข่ายภายในองค์กรถูก
บุกรุกผ่านทางเครื่องคอมพิวเตอร์ส่วนบุคคลของพนักงานได้หากเครื่องดังกล่าวไม่มีความปลอดภัยเพียงพอ
ซึ่ง NAC นับว่าเป็นทางเลือกที่น่าสนใจอีกทางเลือกหนึ่งในแก้ไขปัญหาตรงจุดนี้
แนวคิดหลักในการทำงานของ NAC คือคอมพิวเตอร์หรืออุปกรณ์ทุกอย่างต้องถูกควบคุมให้ตรงตามนโยบายขององค์กรก่อนที่จะนำไปเชื่อมต่อเข้ากับระบบเครือข่ายขององค์กร หากไม่ตรงตามนโยบายแล้วเครื่อง
คอมพิวเตอร์หรืออุปกรณ์นั้นจะไม่สามารถใช้งานระบบเครือข่ายได้ เทคโนโลยีต่างๆ ได้ถูกรวบรวมไว้ใน NAC
เพื่อใช้ในการควบคุมอุปกรณ์ให้ตรงตามนโยบายไม่ว่าจะเป็น Anti-Virus, ระบบป้องกันการบุกรุก (IPS)
รวมทั้งไฟร์วอลล์ นอกจาก NAC จะช่วยจัดการปัญหาในเรื่องของการนำอุปกรณ์หรือเครื่องคอมพิวเตอร์เข้ามา
เชื่อมต่อกับเครือข่ายภายในขององค์กรโดยไม่ได้รับอนุญาตแล้ว NAC ยังมีประโยชน์ในการสืบหาเครื่อง
คอมพิวเตอร์ที่ติดมัลแวร์หรือถูกบุกรุกอีกด้วย
เนื่องจากแนวโน้มการใช้งาน NAC ที่ได้รับความนิยมมากขึ้น ด้วยเหตุนี้บริษัทยักษ์ใหญ่หลายแห่งจึงได้หันมาให้ความสนใจในการพัฒนาผลิตภัณฑ์ NAC ออกสู่ตลาดไม่ว่าจะเป็น Network Admission Control ของ
Cisco, Network Access Protection ของไมโครซอฟท์ หรือ Infranet ของ Juniper โดยผลิตภัณฑ์ของแต่
ละบริษัทต่างมีจุดเด่นคนละแบบ ดังนั้นการเลือกซื้อผลิตภัณฑ์ NAC ของบริษัทไหนนั้นควรคำนึงถึงการใช้งาน
ที่สามารถนำมาติดตั้งและประยุกต์ใช้งานภายในองค์กรได้อย่างมีประสิทธิภาพ ปัจจุบันได้มีหลายองค์กรใน
ประเทศไทยได้นำ NAC มาทดลองใช้งานภายในระบบเครือข่ายขององค์กรแล้ว และคาดว่าจะมีอีกหลาย
องค์กรให้ความสนใจและนำ NAC เข้ามาใช้งานเพิ่มมากขึ้น
สำหรับแนวโน้มของวงการความปลอดภัยในปี 2010 มี 13 ข้อดังนี้
1. วิธีแก้ไวรัสแบบเดิมๆ เช่น การสแกน เริ่มไม่พอแล้ว อาจต้องเริ่มมองวิธีรักษาความปลอดภัยแบบใหม่ๆ เช่น Reputation-based security หรือการรักษาความปลอดภัยจากตัวโครงสร้าง
2. การหลอกลวงหรือโจมตีโดยใช้วิธีทางสังคม (Social engineering เช่น จดหมายหลอกลวงที่บอกว่าเป็นโน่นนี่) จะเป็นวิธีการโจมตีที่สำคัญเพราะมันได้ผล
3. ระวังซอฟต์แวร์ด้านความปลอดภัยปลอม ซึ่งเอาจริงมันจะขโมยข้อมูลของเราแทน
4. แอพพลิเคชันใน Social network ก็เป็นอีกจุดที่หลอกลวงผู้ใช้ได้
5. Windows 7 จะเริ่มกลายเป็นเป้าหมายในการถูกโจมตีมากขึ้น
6. Botnet จะมีเทคนิคใหม่ๆ เข้ามามากขึ้น เช่น fast flux
7. บริการย่อ URL จะเป็นช่องทางที่ใช้ทำ phishing ได้เช่นกัน
8. มัลแวร์สำหรับแมคและโทรศัพท์มือถือจะเพิ่มขึ้น
9. สแปมเมอร์จะเลี่ยงกฎหมายสแปม อันเป็นเหตุมาจากช่องโหว่และการบังคับใช้ที่หย่อนยาน
10. จากข้อ 9. สแปมจะเยอะขึ้นได้อีก
11. มัลแวร์เฉพาะทาง เฉพาะอุปกรณ์ เช่น ATM
12. CAPTCHA จะพัฒนาขึ้น ส่งผลให้เกิดการจ้างคนมาแกะ CAPTCHA มากตามไปด้วย
13. สแปมผ่าน IM จะเพิ่มขึ้น
เทคโนโลยีด้านความมั่นคงความปลอดภัยในปี 2009-2010
จากการศึกษารายงานการวิเคราะห์เทคโนโลยีด้านความมั่นคงปลอดภัยจากข้อมูลหลายแหล่งพบว่า ผู้เชี่ยวชาญด้านความปลอดภัยส่วนใหญ่ได้คาดการณ์เทคโนโลยีที่จะเกิดขึ้น ไว้โดยในที่นี้ได้รวบรวมข้อมูลที่ได้จากการศึกษาในรายงาน IBM Security Technology Outlook: An outlook on emerging security technology trends, รายงาน Security Trends of 2008 and Predictions for 2009 ของไซแมนเทค และรายงานเทคโนโลยีความปลอดภัยปี 2009 ของบริษัท โกลบอลเทคโนโลยี อินทิเกรด จำกัด ดังรายละเอียดต่อไปนี้
1. เทคโนโลยีเพื่อการบริหารจัดการการระบุตัวตนผู้ใช้
ปัจจุบัน เราจะเห็นได้ว่า การระบุตัวตนผู้ใช้หรือการพิสูจน์ตัวตนทางดิจิตอล (Authentication) ต่อจำนวนผู้ใช้งานมีแนวโน้มเพิ่มมากขึ้น แต่วิธีการส่วนใหญ่โดยเฉพาะการใช้งานระบบเครือข่ายหรือการเข้าถึงข้อมูล ผู้ใช้งานยังนิยมใช้เพียงรหัสประจำตัว (Username) และรหัสผ่าน (Password) เท่านั้น ซึ่งในการเข้าสู่ระบบนั้นมีแพร่หลายอยู่ด้วยกัน 3 วิธีคือ
1) สิ่งที่คุณรู้ (Something you know) เช่น Password, PIN เป็นต้น 2) สิ่งที่คุณมี (Something you have) เช่น โทรศัพท์มือถือ, Security Token เป็นต้น
3) สิ่งที่คุณเป็น (Something you are) เช่น ลายนิ้วมือ, การสแกนม่านตา, biometric เป็นต้น
ซึ่งปัจจุบันวิธีการ Authentication โดยใช้เพียง Username และ Password เพียงอย่างเดียวนับเป็นจุดอ่อนสำคัญที่ทำให้กลุ่มมิจฉาชีพสามารถขโมยข้อมูลและปลอมตัวเพื่อแสวงหาประโยชน์ได้ (Identity Threat) ดังจะพบได้จากสถิติการถูกขโมยข้อมูลออนไลน์ที่เพิ่มสูงขึ้น โดยเฉพาะจากการล่อลวงด้วยเทคนิคฟิชชิ่ง (Phishing) โดยกลุ่มมิจฉาชีพจะสร้างเว็บไซต์และอีเมล์ปลอมขึ้นมาแล้วทำการส่งอีเมล์ที่มี link เว็บไซต์ที่ได้ทำการปลอมแปลงในลักษณะเชิญชวนไปยังเจ้าของอีเมล์ให้ทำการกรอกข้อมูลส่วนตัวที่สำคัญ โดยเฉพาะ Username และ Password ผ่านทางเว็บไซต์ปลอมดังกล่าว จากนั้นมิจฉาชีพจะทำการลักลอบเข้าระบบเพื่อทำกระทำการทุจริตเพื่อลักลอบขโมยข้อมูลต่างๆ โดยง่าย ซึ่งกลลวงดังกล่าวส่วนใหญ่จะมาในรูปของตัวแทนบริษัท องค์กรหรือสถาบันการเงินที่มีชื่อเสียง เช่น ธนาคาร eBay PayPal เป็นต้น ดังนั้น การใช้วิธีการพิสูจน์ตัวตนแบบเดิมอาจไม่ปลอดภัยสำหรับหลายองค์กรที่อาจเสี่ยงต่อการโดนเจาะระบบโดยง่ายจากความไม่แน่นอนซึ่งเราไม่สามารถระบุตัวตนของผู้ใช้ระบบได้ว่าเจ้าของเป็นผู้ใช้งานจริงหรือไม่
ดังนั้น ด้วยเหตุผลดังกล่าวจึงจำเป็นอย่างยิ่งที่จะต้องมีเทคโนโลยีที่นำมาใช้ในการจัดการและเพิ่มความน่าเชื่อถือ รวมถึงการควบคุมตัวตนผู้ใช้งานทั้งจากภายในและภายนอกองค์กรให้มีประสิทธิภาพดียิ่งขึ้น โดยในที่นี้จะขอกล่าวถึงแนวโน้มเทคโนโลยีที่คาดกันว่า จะยังคงได้รับความนิยมจากการคาดการณ์ของผู้เชี่ยวชาญคือ เทคโนโลยีระบบความปลอดภัยสองชั้น (Two-Factor Authentication Technology) และเทคโนโลยี Single Sign On (SSO) ดังรายละเอียดต่อไปนี้
- ระบบความปลอดภัยสองชั้น (Two-Factor Authentication Technology)
เทคโนโลยีระบบความปลอดภัยสองชั้น หรือที่เรารู้จักกันในชื่อ Two-Factor Authentication Technology นับเป็นเทคโนโลยีหนึ่งที่สามารถเข้ามาช่วยแก้ปัญหาดังกล่าวได้ เนื่องจากผู้ใช้ระบบในองค์กรจะต้องมีอุปกรณ์เพิ่มเติมด้วยการใช้ Token หรือ Smart card ID เข้ามาเสริมเพื่อใช้ในการพิสูจน์ตัวตนเมื่อต้องการเข้าสู่ระบบ ซึ่งปัจจุบันมีความจำเป็นอย่างมากในหลายองค์กรโดยเฉพาะกับองค์กรที่ต้องเกี่ยวข้องกับการทำธุรกรรมทางการเงินออนไลน์ ดังเช่น ธนาคารและสถาบันการเงิน ธุรกิจ e-Commerce เป็นต้น ซึ่งโดยทั่วไป Two-Factor Authentication จะสอบถามวิธีพิสูจน์ตัวตนจาก 2 ใน 3 วิธีที่กล่าวไปแล้วข้างต้น เช่น สิ่งที่คุณมีหรือสิ่งที่คุณเป็น (Biometrics) และสิ่งที่คุณทราบ (Password) ก่อนอนุญาตให้ผู้ใช้เข้าสู่ระบบ
ในที่นี้ขอกล่าวถึงกรณีตัวอย่างการนำ Two-Factor Authentication ไปใช้ในกรณีของธนาคารและสถาบันการเงินต่างๆ ปัจจุบันกำลังได้รับความนิยมเป็นอย่างมาก โดยมีสถาบันการเงินหลายแห่งนำเทคโนโลยีดังกล่าวมาใช้เพื่อสร้างความปลอดภัยให้กับระบบมากยิ่งขึ้น ระบบดังกล่าวนำมาใช้ในการตรวจสอบการเป็นเจ้าของบัญชีเพื่อยืนยันการทำธุรกรรมที่มีความเสี่ยง เช่น การโอนเงินไปยังบุคคลที่สาม การเพิ่มบัญชี การแก้ไขข้อมูลส่วนตัว เป็นต้น ตัวอย่างการใช้งานที่เราคุ้นเคยกันดีในชีวิตประจำวัน เช่น การใช้บัตร ATM บริการ Internet Banking เป็นต้น ในกรณีของการเข้าสู่ระบบโดยใช้บัตร ATM จะมีการพิสูจน์ตัวตนถึงสองชั้นด้วยกัน โดยสิ่งที่คุณมีคือบัตร ATM และสิ่งที่คุณทราบก็คือรหัส PIN นั่นเอง ส่วนบริการ Internet Banking ที่ผ่านมาจะสอบถามเพียงแค่ User name และ Password เท่านั้น แต่ปัจจุบันได้มีการนำเทคโนโลยีดังกล่าวเข้ามาช่วยให้มีความปลอดภัยเพิ่มขึ้น ดังตัวอย่างของธนาคารกสิกรไทย เมื่อมีการเปิดใช้บริการ K-Cyber Banking กับทางธนาคารแล้ว ผู้ใช้งานจะได้รับรหัสผ่าน (PIN 1) เพื่อเข้าสู่ระบบในการตรวจดูรายการในการทำธุรกรรมทั่วไป เช่น การดูยอดบัญชีคงเหลือ การตรวจสอบรายการเดินบัญชีปัจจุบันและย้อนหลัง เป็นต้น แต่เมื่อใดก็ตามที่ผู้ใช้งานมีการทำธุรกรรมที่มีความเสี่ยง เช่น การโอนเงินไปยังบุคคลที่สาม การเพิ่มบัญชี การแก้ไขข้อมูลส่วนตัว เป็นต้น ธนาคารจะขอให้ผู้ใช้งานกรอกรหัสรักษาความปลอดภัย (PIN2 หรือ Security password) ซึ่งเป็นการรักษาความปลอดภัยชั้นที่สอง เพื่อเป็นการตรวจสอบการเป็นเจ้าของบัญชีของผู้ใช้งานอีกครั้ง นับเป็นอีกตัวอย่างหนึ่งที่แสดงให้เห็นถึงรูปแบบการนำ Two-Factor Authentication มาใช้เพื่อสร้างความมั่นใจให้ผู้ใช้งาน Internet Banking กับธนาคารมากยิ่งขึ้น
อย่างไรก็ตาม บางครั้ง Two-factor Authentication อาจยังไม่ปลอดภัยจากการโจมตีแบบโทรจัน (Trojan) และการโจมตีที่ผู้โจมตีแทรกกลางการสื่อสารระหว่างสองระบบ (Man-in-the-Middle) เพราะมิจฉาชีพอาจยังสามารถขโมยข้อมูลบางส่วนของผู้ใช้งานได้ ดังนั้น ปัจจุบันการให้บริการผ่านระบบ Internet banking ของสถาบันการเงินในประเทศไทยจึงได้มีการนำ Two-factor Authentication มาใช้โดยการแจก Smart cards/ USB Token /Security Token ให้ลูกค้าบางกลุ่มเพื่อใช้เป็น Authentication ในรูปแบบสิ่งที่คุณมี (Something you have) รวมกับการ ใส่ Password (Something you know) เพื่อเพิ่มความปลอดภัยและปกป้องข้อมูลของลูกค้าอีกทางหนึ่ง แต่วิธีดังกล่าวอาจไม่สะดวกสำหรับลูกค้าบางคนนักเพราะอาจมีคนกลุ่มหนึ่งที่ไม่ต้องการจะพกอุปกรณ์บางอย่างติดตัวไปด้วย ด้วยเหตุนี้เองทำให้มีสถาบันการเงินบางแห่งพยายามประยุกต์ใช้หลักการดังกล่าวผ่านโทรศัพท์มือถือโดยระบบจะมีการ random รหัสและส่งผ่าน SMS ไปที่โทรศัพท์มือถือของลูกค้าแทนการแจก USB Token หรือ Security Token
- Single Sign On (SSO)
หลายองค์กรที่มีหลายระบบงานอาจกำลังประสบปัญหาสำหรับผู้ใช้งานที่ต้องมี ID และรหัสผ่านสำหรับการเข้าใช้งานแต่ละระบบ ซึ่งนับได้ว่าเป็นปัญหาหนึ่งที่สร้างความยุ่งยากในการใช้งานที่เกิดขึ้นในปัจจุบัน ด้วยเหตุนี้เอง จึงได้มีการนำเทคโนโลยี Single Sign-On (SSO) หรือที่เรารู้จักกันดีว่าเป็นเทคโนโลยีเพื่อการเข้าถึงการใช้บริการของระบบทั้งหมดได้ด้วยการพิสูจน์ตัวตนเพียงครั้งเดียว ซึ่งในปัจจุบันเราจะเห็นได้ว่าเทคโนโลยี SSOได้พัฒนาก้าวหน้าไปอย่างรวดเร็ว เนื่องจากหลายองค์กรยังจำเป็นต้องให้ผู้ใช้งานสามารถเข้าถึงหลายแอพพลิเคชันในรูปแบบต่างๆ ไม่ว่าจะเป็นวินโดวส์หรือผ่านเว็บไซต์ต่างๆ แต่การใช้งานดังกล่าวมักประสบปัญหาในการ Login เข้าสู่ระบบของผู้ใช้งาน ไม่ว่าจะเป็นปัญหาจากการลืมรหัสผ่านหรือรหัสผ่านหมดอายุทำให้เกิดความล่าช้าในการเข้าส่ระบบ ซึ่งส่งผลให้ผู้ใช้งานหรือแม้แต่ผู้ดูแลระบบเองต้องเสียเวลาไปกับความพยายามที่จะแก้ไขปัญหาที่เกิดขึ้นค่อนข้างมาก
ปัจจุบันมีหลายบริษัทได้พยายามพัฒนารูปแบบ เทคโนโลยี และผลิตภัณฑ์ที่หลากหลายออกมาเพื่อแข่งขันกันและนำเสนอเทคโนโลยี SSO ใหม่ๆ เพื่อใช้ในการแก้ไขปัญหาที่เกิดขึ้น แต่อย่างไรก็ตาม เทคโนโลยี SSO โดยทั่วไปจะมีองค์ประกอบพื้นฐาน 3 ส่วนหลักที่จะมีการผสมผสานปรับเปลี่ยนกันจนเป็นสถาปัตยกรรม SSO ที่แตกต่างกันออกไปตามการพัฒนาของแต่ละบริษัท อันประกอบด้วย
1) ส่วนอินเทอร์เฟซ เป็นส่วนของรูปแบบที่ SSO ใช้ในการโต้ตอบกับแอพพลิเคชัน มักจะอยู่ภายในเดสก์ทอปเอเจนต์
2) ส่วนดูแลจัดการ เป็นส่วนที่ใช้ในการเซตอัพ จัดการ และควบคุมดูแล SSO
3) ฐานข้อมูล จะเป็นที่เก็บข้อมูล ID และหลักฐานที่ใช้พิสูจน์ตัวผู้ใช้งานในเวลาที่ขอแอ็กเซสแอพพลิเคชันแต่ละตัว
สำหรับการนำเทคโนโลยี SSO มาใช้กำลังเป็นที่นิยมมาก โดยเฉพาะในยุคสังคมออนไลน์ (Social Networking) ที่มีการใช้งานเว็บไซต์ในรูปแบบต่างๆ ที่หลากหลาย ซึ่งเทคโนโลยีดังกล่าวกำลังจะเข้ามาช่วยให้ผู้ใช้งานไม่ต้องจำ Username หรือ Password จำนวนมากเพื่อการใช้งานผ่านบริการต่างๆ เช่น อีเมล์, chat, web page หรือแม้แต่บริการ Wi-Fi, Bluetooth, WiMAX, 3G, 802.15.4 สำหรับผู้ให้บริการ เป็นต้น ซึ่งตัวอย่างที่เห็นได้ชัดดังเช่นในการกรณีการพิสูจน์ตัวตนของสถาบันการเงินต่างๆ ที่กล่าวมาแล้วข้างต้น ที่ได้มีการพัฒนานำเทคโนโลยี SSO มาใช้ในการประยุกต์กับบริการของธนาคารให้มีความปลอดภัยเพิ่มมากขึ้น
ดังเช่นกรณีของธนาคารกสิกรไทยที่ได้พัฒนาระบบสำหรับผู้ใช้บริการระบบ K-Payment Gateway ให้มีความสามารถเพิ่มขึ้น เพื่อรองรับความต้องการของร้านค้าออนไลน์ที่มาใช้กับบริการกับธนาคาร โดยหนึ่งในการพัฒนาที่ได้เพิ่มความสามารถระบบโดยนำเทคโนโลยี SSO ไปใช้คือ การเปลี่ยนแปลงด้าน Online Merchant Report (Merchant Reporting Application) โดยเพิ่มความสะดวกในการจัดการข้อมูลรายการสั่งซื้อของลูกค้าด้วยระบบ SSO ที่ทำให้ลูกค้าสามารถจัดการข้อมูลรายการสั่งซื้อทั้งสกุลเงินบาทและสกุลเงินตราต่างประเทศอื่นๆ ด้วย Username สำหรับ Login เข้า Online Merchant Report เพียงชุดเดียว หรือแม้แต่การใช้บริการ K-Cyber Banking ที่มีการเพิ่มความปลอดภัยยิ่งขึ้นด้วยรหัสผ่านใช้ครั้งเดียว One-Time Password (OTP) โดยทุกครั้งที่มีการทำธุรกรรมออนไลน์ที่มีความเสี่ยงตามที่ธนาคารกำหนดไว้ในเงื่อนไขเกิดขึ้น ระบบจะทำการส่งรหัสผ่าน OTP ไปยังโทรศัพท์เคลื่อนที่ของลูกค้า โดยลูกค้าจะต้องทำการกรอกรหัสผ่าน OTP ภายใน 6 นาที เพื่อแสดงความเป็นเจ้าของบัญชีก่อนที่ระบบจะดำเนินการต่อไป หากเลยระยะเวลาที่กำหนดแล้ว รหัสดังกล่าวจะถูกยกเลิกการใช้งานโดยทันที และลูกค้าจะต้องทำรายการนั้นใหม่อีกครั้ง ซึ่งนับเป็นอีกตัวอย่างหนึ่งที่มีการนำเทคโนโลยี SSO มาใช้และกำลังได้รับความนิยมในสถาบันการเงินภายในประเทศอีกหลายแห่งด้วยกัน
2. เทคโนโลยีเพื่อปกป้องเครือข่ายที่มีการเปลี่ยนแปลงอย่างต่อเนื่อง
การนำเทคโนโลยีมาใช้เพื่อรักษาความปลอดภัยของระบบเครือข่ายที่มีการเปลี่ยนแปลงตลอดเวลานับเป็นสิ่งที่มีความสำคัญอย่างยิ่งในปัจจุบัน โดยคาดกันว่า องค์กรส่วนใหญ่จะต้องการระบบรักษาความปลอดภัยแบบเรียลไทม์ (Real time) มากขึ้น โดยเฉพาะอย่างยิ่งในการใช้งานผ่านเครือข่ายอินเทอร์เน็ตความเร็วสูง ซึ่งจะมีแนวโน้มที่องค์กรจะนิยมไปใช้งานเครือข่ายในรูปแบบไร้สายกันมากขึ้น โดยเราจะเห็นได้จาก อุปกรณ์พกพาเริ่มเข้ามาเป็นเครื่องมือหนึ่งที่ได้รับความนิยมในการใช้งานและเป็นส่วนหนึ่งของอุปกรณ์จำเป็นในชีวิตประจำวัน ซึ่งตัวอย่างที่เห็นได้ชัดคือในภาคธุรกิจที่ต้องการความสะดวกรวดเร็วและความคล่องตัวสูง ด้วยเหตุนี้เองจึงคาดกันว่า หลายฝ่ายจะเริ่มให้ความสำคัญในการนำเทคโนโลยีต่างๆ เข้ามาใช้ในการรักษาความปลอดภัยของระบบเครือข่ายขององค์กรกันมากขึ้นเพื่อป้องกันการโจมตีของภัยคุกคามในรูปแบบต่างๆ สำหรับเทคโนโลยีที่ผู้เชี่ยวชาญได้กล่าวถึงกันไว้มีรายละเอียดดังต่อไปนี้
- Unified Threat Management (UTM)
Unified Threat Management หรือ UTM จัดเป็นเทคโนโลยีหนึ่งที่มีแนวโน้มจะได้รับความนิยมมากขึ้น เนื่องจากแนวโน้มของธุรกิจในอนาคตจะมีผู้ประกอบการ SME มากขึ้น และเทคโนโลยีดังกล่าวนี้นับได้ว่ามีประโยชน์กับภาคธุรกิจอย่างมาก ซึ่งเทคโนโลยี UTM ดังกล่าวเป็นการป้องกันภัยคุกคามระบบเครือข่ายโดยอาศัยอุปกรณ์ที่มีประสิทธิภาพสูงเพื่อช่วยปกป้องอุปกรณ์และเครือข่ายขององค์กรจากไวรัส แฮคเกอร์ สแปมเมล์ สปายแวร์และแอดแวร์ ตลอดจนภัยร้ายไซเบอร์ทุกรูปแบบ เพื่อให้การใช้งานอินเทอร์เน็ตขององค์กรมีประสิทธิภาพและปลอดภัยมากยิ่งขึ้น ปัจจุบันหลายบริษัทได้พัฒนาอุปกรณ์ UTM โดยรวมการป้องกันในรูปแบบ Firewall, เก็ตเวย์ระบบป้องกันไวรัส (Gateway Antivirus) เทคโนโลยีการป้องกันการบุกรุก (intrusion prevention) /การโจมตีของ Malware/Virus/Worm การป้องกันข้อมูลขยะ (Spam) รวมถึงการใช้งานเว็บไซต์ที่ไม่เหมาะสม (Content filtering) รวมเข้าไว้ในอุปกรณ์เดียวกัน ดังแสดงในภาพ
- Wi-Fi Mesh Connection
จากกระแสความนิยมที่แพร่หลายในการใช้งานระบบอินเตอร์เน็ตไร้สายในปัจจุบัน โดยที่กำลังได้รับความนิยมอย่างมากคือ Wi-Fi ซึ่งการใช้งานจะต้องเชื่อมโยงผ่าน Access Point ในรูปแบบการเชื่อมต่อแบบตาข่าย (Mesh) เพื่อให้ผู้ใช้งานสามารถเข้าถึงสู่ระบบเครือข่ายอินเทอร์เน็ตได้สะดวกยิ่งขึ้น มีการคาดการณ์ไว้ว่า ผู้ให้บริการ Wi-Fi ส่วนใหญ่จะมีแนวโน้มที่จะใช้ Application ในการเก็บบันทึกการใช้งานผู้ใช้ (Accounting Billing) และนำระบบ Network Intrusion Detection System (NIDS) มาใช้งานกันมากขึ้น โดย NIDS จะทำหน้าที่ในการการเฝ้าดู packet ที่วิ่งผ่านมาทางสาย (wire) ในเครือข่าย และพยายามที่จะค้นหาว่า hacker/cracker พยายามที่จะเจาะเข้าระบบสู่ระบบหรือไม่ ซึ่งตัวอย่างที่เห็นได้ชัดคือระบบที่จะเฝ้าตรวจ TCP connection request หรือว่า SYN ที่พยายามจะเชื่อมต่อมายัง port ต่างๆ ของเครื่องเป้าหมาย ซึ่ง NIDS นั้นอาจจะถูกติดตั้งบนเครื่องเป้าหมายเอง และจะคอยตรวจทุก traffic ของตัวเอง หรืออาจจะถูกติดตั้งบนเครื่องที่แยกอยู่ต่างหากและจะคอยตรวจทุก packet ที่ผ่านมาในเครือข่าย สรุปได้ว่า NIDS จะทำหน้าที่ในการเฝ้าระวังการบุกรุกหลากรูปแบบต่างๆ ให้กับระบบนั่นเอง เช่น การดักข้อมูล, การ crack ค่า wireless เพื่อเข้าถึงระบบ การปลอมตัวเป็นบุคคลอื่นโดยมิชอบ เป็นต้น
- Network Forensics
เทคโนโลยีเฝ้าระวังเชิงลึก (Network Forensics) เป็นอีกหนึ่งเทคโนโลยีที่มีแนวโน้มจะได้รับความสนใจในการนำมาเป็นส่วนหนึ่งของเทคโนโลยีเพื่อรักษาระบบด้านความปลอดภัยขององค์กรต่างๆ เนื่องจากปัจจุบันหลายองค์กรกำลังประสบปัญหาจากภัยคุกคามทางอินเทอร์เน็ตโดยเฉพาะการแพร่กระจายและการโจมตีในรูปแบบต่างๆ ที่ยากแก่การตรวจจับหรือวิเคราะห์โดยอาศัยเทคนิคแบบเดิม รวมถึงพนักงานในองค์กรที่มีทักษะการใช้คอมพิวเตอร์สูงขึ้นและอาจจะใช้ทรัพยากรไปในทางที่ไม่เหมาะสมนัก (Insider hacker) ดังนั้น เทคโนโลยีเฝ้าระวังเชิงลึกจึงจำเป็นอย่างยิ่งในการตรวจจับสิ่งผิดปกติที่อาจเกิดขึ้นผ่านระบบเครือข่าย เพื่อใช้ในการพิสูจน์หาหลักฐานทางอิเล็กทรอนิกส์ประกอบการดำเนินคดีต่างๆ
- Load Balancing Switch
เทคโนโลยีหนึ่งที่ใช้สำหรับ Core Network ในการป้องกันการสูญหายของข้อมูล (Data loss) โดยเฉพาะในอนาคตอันใกล้ที่ความเร็วในการรับส่งข้อมูลบนระบบเครือข่ายจะสูงขึ้น ซึ่งเทคโนโลยีดังกล่าวนี้จะช่วยกระจายโหลดไปยังอุปกรณ์ป้องกันภัยอื่นๆ ได้ เช่น Network Firewall, Network Security Monitoring เป็นต้น โดยไม่ทำให้ข้อมูลสูญหาย
3. เทคโนโลยีและทางเลือกอื่นๆ ในการรักษาความปลอดภัย
ปัจจุบันมีการพัฒนาเทคโนโลยีต่างๆ ที่เกี่ยวข้องด้านความปลอดภัยเพิ่มมากขึ้น ไม่ว่าจะเป็นการพัฒนาอุปกรณ์ที่จับต้องได้และเครื่องมือเสมือนในรูปแบบต่างๆ รวมถึงรูปแบบบริการที่กำลังเป็นที่นิยมคือ บริการ Outsourcing ด้านการรักษาความปลอดภัย รวมถึงแนวโน้มการใช้ซอฟต์แวร์ในรูปแบบบริการ SaaS (Software as a Service) ที่เพิ่มขึ้น เทคโนโลยีหนึ่งที่มีการกล่าวถึงกันมากและคาดว่าจะเข้ามาได้รับความนิยมที่จะขอนำเสนอรายละเอียดในที่นี้คือ Cloud Computing นั่นเอง
- Cloud Computing
หากจะกล่าวถึงเทคโนโลยี Cloud Computing หรือที่หลายคนเรียกว่าเป็นเทคโนโลยีที่เน้นบริการที่รองรับการประมวลผลแบบคลาวน์นั้น นับเป็นเทคโนโลยีใหม่ที่กำลังมาแรงที่หลายฝ่ายกำลังให้ความสนใจและมีการพัฒนาผลิตภัณฑ์จากหลายบริษัทออกมาแข่งกันมากขึ้น ซึ่งผู้เชี่ยวชาญหลายท่านคาดการณ์ว่า เราจะได้เห็นผลิตภัณฑ์ที่พัฒนาขึ้นบนแนวคิด Cloud Computing กันมากยิ่งขึ้น ซึ่งในโลกยุคปัจจุบันที่มีการขยายตัวเพิ่มขึ้นของระบบสารสนเทศเพื่อใช้ในการเก็บข้อมูลและใช้งาน Application ต่างๆ ที่กำลังพัฒนาไปอย่างรวดเร็ว ดังนั้น เทคโนโลยีดังกล่าวจะถูกนำมาใช้เพื่อเพิ่มประสิทธิภาพในการประมวลผลเพื่อรองรับกับการทำงานของข้อมูลที่มีขนาดใหญ่โดยอาศัยแนวคิดเทคโนโลยี Clustering เข้ามาเป็นเทคนิคที่ช่วยในการแชร์ทรัพยากรการประมวลผลที่ทำงานพร้อมกันหลายเครื่องได้ จึงมีส่วนทำให้ผู้ใช้สามารถใช้งาน Application ได้รวดเร็วยิ่งขึ้น
สำหรับเทคโนโลยี Cloud Computing นั้นเป็นการนำระบบสารสนเทศ (บางส่วนหรือทั้งหมด) ไปติดตั้งหรือโฮสต์บนอินเทอร์เน็ต โดยมีองค์กรที่สาม (Third Party) เป็นผู้จัดเตรียมทรัพยากรคอมพิวเตอร์และดูแลระบบสารสนเทศของลูกค้าที่ได้นำมาติดตั้ง โดยระบบส่วนใหญ่ของผู้ให้บริการจะพัฒนาให้สามารถปรับได้ตามภาระงานที่เกิดขึ้น เช่น ในกรณีที่มีจำนวนงานหรือโปรแกรมมีการประมวลผลมากขึ้น การรองรับจำนวนผู้เข้ามาใช้งานระบบที่เพิ่มขึ้น การเก็บข้อมูลขนาดใหญ่ เป็นต้น ซึ่งหากพิจารณากันจริงๆ แล้ว การดำเนินธุรกิจด้านนี้ไม่ต่างจากธุรกิจแบบ outsourcing หรือการจ้างบุคลากร/บริษัทภายนอกเข้ามาทำงานแทน ซึ่งปัจจุบันหลายองค์กรได้เริ่มหันมาใช้วิธีการเช่นนี้กันมากขึ้น แม้แต่ธนาคารและสถาบันการเงินต่างๆ ก็ยังมีการจ้างบริษัทอื่นมาดูแลงานด้านไอทีเช่นกัน ซึ่งในด้านพัฒนาการของเทคโนโลยีดังกล่าวนั้น มีนักวิชาการหลายท่านกล่าวว่า จริงๆ แล้ว Cloud Computing เป็นเทคโนโลยีที่มีวิวัฒการเชิงบูรณาการมาจาก Grid Computing นั่นเอง ดังแสดงในภาพ
สำหรับบริการหลักของ Cloud นั้น สามารถแบ่งได้เป็น 2 ประเภทคือ Cloud Computing ซึ่งใช้สำหรับการรันหรือประมวลผลระบบสารสนเทศบนเครือข่ายอินเทอร์เน็ต และอีกประเภทหนึ่งคือ Cloud Storage ใช้เก็บข้อมูลบนอินเทอร์เน็ต ซึ่งปัจจุบันเราจะเห็นได้ชัดว่ามีหลายบริษัทพยายามพัฒนาผลิตภัณฑ์ออกมานำเสนอกันมากมายดังเช่นบริษัทด้านไอทียักษ์ใหญ่และมีชื่อเสียงอย่างไมโครซอฟต์เองก็กำลังพัฒนาบริการ Cloud Computing ภายใต้ชื่อ "Red Dog" ไว้เป็นคู่แข่งกับ Cloud Computing ของ Google (Google App Engine) และ Amazon (Amazon EC2) และในส่วนบริการพื้นที่จัดเก็บข้อมูลออนไลน์ของทางไมโครซอฟต์ที่เปิดให้บริการในตอนนี้คือ SkyDrive ซึ่งยังไม่นับว่าเป็น Cloud Storage อย่างเต็มตัว แต่ในปัจจุบันนี้ มีบริการที่เป็น Cloud Storage อยู่หลายตัวด้วยกัน เช่น Amazon S3, Apple's MobileMe, Symantec's SwapDrive, Humyo, XDrive, และ ADrive เป็นต้น
อาจได้เห็นแนวโน้มการนำ Cloud Computing มาใช้เป็นหนึ่งเทคโนโลยีใหม่ที่จะเข้ามาเป็นอีกทางเลือกหนึ่งในด้านการบริการเพื่อรองรับการประมวลผลสำหรับงานที่เกี่ยวข้องด้านความปลอดภัยกันมากขึ้นเพื่อรองรับกับการใช้งานในยุคดิจิตอลที่ต้องอาศัย Application ที่สามารถตอบสนองความต้องการของผู้ใช้งานได้อย่างรวดเร็วและทันต่อการเปลี่ยนแปลงที่เกิดขึ้นอย่างต่อเนื่อง
รวมถึงยังเป็นช่องทางหนึ่งที่อำนวยความสะดวกให้ผู้ใช้งานสามารถเข้าสู่ยุคโลกเสมือนจริง (Virtualization) ได้โดยง่าย อีกทั้งยังช่วยลดทรัพยากรของเครื่องคอมพิวเตอร์และจัดเป็นอีกเทคโนโลยีที่เป็นมิตรกับสิ่งแวดล้อม (Green IT) ด้วย
นอกจากเทคโนโลยีที่ได้กล่าวถึงไปแล้วนั้น ยังได้มีการคาดการณ์ถึงเทคโนโลยีด้านอื่นๆ รวมถึงทางเลือกที่จะนำมาใช้ในการรักษาความปลอดภัยที่น่าสนใจไว้ดังต่อไปนี้
• การคุ้มครองสภาพแวดล้อมแบบ Virtualization
เทคโนโลยี Virtualization ได้ถูกนำมาใช้เป็นเครื่องมือหนึ่งในรักษาความปลอดภัย (Virtual Machine Security)โดยทำหน้าที่ในการแบ่งแยกและป้องกันระบบในสภาพแวดล้อมที่ต้องการความปลอดภัยสูงออกจากสภาพแวดล้อมปกติที่ใช้ระบบปฏิบัติการทั่วไป โดยเทคโนโลยีดังกล่าวจะช่วยสร้างสภาพแวดล้อมที่ปลอดภัยสำหรับระบบงานที่มีความสำคัญสูง เช่น ระบบ Internet Banking เป็นต้น อย่างไรก็ตาม เทคโนโลยีดังกล่าวส่งผลให้ปัจจุบันเกิดสภาพแวดล้อมเสมือนจริงหรือ Virtualization ขึ้น ซึ่งเป็นสิ่งที่องค์กรธุรกิจจำเป็นต้องคำนึงถึงว่าจะดำเนินการอย่างไรเพื่อให้ได้มาตรฐาน ในกรณีที่ต้องมีการคุ้มครองลักษณะการแบ่งใช้ทรัพยากรทางด้านไอทีสำหรับพนักงานในองค์กร โดยที่สภาพแวดล้อมดังกล่าวมีการเปลี่ยนแปลงอย่างต่อเนื่อง ซึ่งวิธีหนึ่งที่สามารถทำได้คือ การทำให้สภาพแวดล้อมไอทีขององค์กรมีความยืดหยุ่นสูงและสามารถตอบสนองความต้องการที่เปลี่ยนแปลงอยู่ตลอดเวลาได้อย่างปลอดภัยและมีประสิทธิภาพ
• การบริหารความเสี่ยงและการปฎิบัติตามกฎระเบียบ ซึ่งความสามารถในการบริหารและควบคุมความเสี่ยงและการปฎิบัตามระเบียบยังคงเป็นเรื่องสำคัญต่อกลยุทธ์ด้านการรักษาความปลอดภัยขององค์กร ประกอบกับบทบาทใหม่ของผู้บริหารฝ่ายรักษาความปลอดภัยสารสนเทศ (Chief Information Security Officer: CISO) จำเป็นต้องอาศัยแนวทางที่มุ่งเน้นความเสี่ยงทางธุรกิจโดยมีการใช้นโยบายและการควบคุมดูแลอย่างเหมาะสมเพื่อบริหารจัดการระบบรักษาความปลอดภัยทางด้านไอทีที่มีประสิทธิภาพ นอกจากนี้ ยังมีแนวโน้มในเรื่องการจัดทำมาตรฐานเป็นหมวดหมู่ให้สอดคล้องกับความปลอดภัยข้อมูลในองค์กร โดยนำ Log ที่เกิดขึ้นจากการใช้งานมาจัดเปรียบเทียบตามมาตรฐานต่างๆ เช่น ISO27001 สำหรับความปลอดภัยในองค์กร, PCI / DSS สำหรับการทำธุรกรรมการเงิน , HIPAA สำหรับธุรกิจโรงพยาบาล, พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ที่มีเป้าหมายเพื่อสืบหาผู้กระทำความผิดด้านอาชญากรรมคอมพิวเตอร์ เป็นต้น
ในส่วนสุดท้ายที่จะขอกล่าวถึงสำหรับแนวโน้มเทคโนโลยีด้านความปลอดภัยที่เกิดขึ้นในปี 2009 นั้น ขอนำส่วนหนึ่งของรายงานของบริษัท IBM ที่ได้กล่าวถึงปัจจัยหลัก 9 ประการที่มีความสำคัญในการผลักดันความต้องการด้านการรักษาความปลอดภัยมากล่าวถึงไว้เพื่อให้เห็นถึงบทสรุปภาพรวมของแนวโน้มที่จะเกิดขึ้นในอนาคตจากปัจจัยดังกล่าว ดังต่อไปนี้
1. สภาพแวดล้อมไอทีที่มีการเปลี่ยนแปลงอย่างต่อเนื่องและสามารถตอบสนองความต้องการที่ยืดหยุ่นและเปลี่ยนแปลงได้ตลอดเวลา
2. การแสดงตัวตนทางอิเล็กทรอนิกส์ (Electronic identity) โดยคำนึงถึงเรื่องรายละเอียดและงานหลักที่สำคัญขององค์กร
3. แนวโน้มที่พนักงานในองค์กรจะเรียกร้องการควบคุมอย่างเข้มงวดและปกป้องสิทธิส่วนบุคคลมากขึ้นโดยเฉพาะการปกป้องข้อมูลส่วนบุคคลและการแสดงตัวตนทางออนไลน์
4. Application ที่ปลอดภัย มีเสถียรภาพ ความยืดหยุ่นและปรับแต่งได้ที่สามารถช่วยเพิ่มความสะดวกในการตอบสนองต่อความต้องการทางธุรกิจที่เปลี่ยนแปลงอยู่ตลอดเวลา
5. การรองรับความต้องการขององค์กรในเรื่องการควบคุมสภาพแวดล้อมไอที
6. แนวทางการจัดการระบบรักษาความปลอดภัยทางด้านไอทีโดยมุ่งเน้นความเสี่ยงด้านการปฏิบัติงานและความเสี่ยงทางธุรกิจ
7. อุปกรณ์พกพาจะเป็นเครื่องมือที่ใช้แสดงตัวตนของบุคคล รวมทั้งเป็นเครื่องมือสำคัญทางธุรกิจ
8. การตัดสินใจในเรื่องที่มีความเสี่ยงสูงจะทำโดยอาศัยแหล่งข้อมูลที่ปลอดภัยและเชื่อถือได้
9. ระบบไอทีที่สามารถรับรู้และตอบสนองต่อสภาพแวดล้อมที่แท้จริง
บรรณานุกรม
Information security
http://en.wikipedia.org/wiki/Information_security
IT Security Cookbook
http://www.boran.com/security
Laptop theft
http://en.wikipedia.org/wiki/Laptop_theft
Network Access Control
http://en.wikipedia.org/wiki/Network_Access_Control
What You Need To Know About Botnets!
http://whitepapers.silicon.com/0,39024759,60125590p-39001181q,00.htm
Standards for Security Categorization of Federal Information and Information Systems
www.csrc.nist.gov/publications/ fips/fips199/FIPS-PUB-199-final.pdf
National Strategy to Secure Cyberspace
http://www.whitehouse.gov/pcipb
10 Steps to Creating Your Own IT Security Audit
http://www.itsecurity.com/features/it-security-audit-010407
ก้าวทัน Malware กับการใช้อุปกรณ์ IT อย่างปลอดภัย
http://pclab.nectec.or.th/Documents/Support/Article/Malware.pdf
มัลแวร์ (Malware) คืออะไร
http://support.activemedia.co.th/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=27
การรักษาความปลอดภัยในระบบเครือข่าย
http://www.kruchanpen.com/network/maintain.htm
เทคนิคการโจมตีแบบ “Phishing”
http://cc.swu.ac.th/ccnews/content/e1624/e1625/e2306/e2319/index_th.html
แนวโน้มภัยคุกคามไอทีปี 2009
http://www.manager.co.th/cyberbiz/ViewNews.aspx?NewsID=9510000150706
ภัยคุกคามและการรักษาความปลอดภัยบนระบบคอมพิวเตอร์
http://www.no-poor.com/inttotocomandcomapp/chapter7-comapp.htm
เรียนรู้วิธีการคิดให้เหนือชั้นกว่า hacker วิธีการ-hacker tools
http://www.viruscom2.com/hacker.html
10 แนวโน้มความปลอดภัย ปี 2551
http://www.thaisarn.com/th/news_reader.php?newsid=265238
Grid Computing ไปถึง Cloud Computing ตอนที่ 1
http://javaboom.wordpress.com/2008/11/27/grid2cloud_pt1/
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น