by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
จากฉบับที่แล้ว ผมได้กล่าวถึง Information Security Management Framework ทั้ง 7 Steps ไปแล้ว

การจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพโดยนำ ISMF มาใช้นั้น เราควรปฏิบัติจาก ขั้นตอนที่ 1 ไปจนถึง ขั้นตอนที่ 7 จากการที่เราได้ปฏิบัติตาม ISMF จนครบทั้ง 7 Steps เพื่อให้ได้ผล เราควรจะทำตาม ISMF ทุกๆ 3 เดือน หรือ ขั้นต่ำ 2 ครั้งต่อปี เพื่อเป็นหลักประกันความปลอดภัยของระบบเครือข่ายคอมพิวเตอร์ที่เราใช้งานอยู่ว่ามีความน่าเชื่อถือ และ ความมั่นคง ต่อการจู่โจมของเหล่า Hacker และ Virus Computer ที่มีอยู่มากมายในเวลานี้ และ เพื่อให้สอดคล้องกับหลักการ ICT Governance คือ การนำ ICT มาใช้ในการทำงานขององค์กรอย่างมีประสิทธิภาพและ ประสิทธิผล ทำให้เพิ่มความน่าเชื่อถือ ให้กับองค์กร ในสายของพนักงานในองค์กรเอง และ สายตาของคนภายนอกให้ลูกค้า หรือ คู่ค้า เกิดความมั่นใจในระบบการรักษาความปลอดภัยข้อมูลของเราเพราะเรามีหลักการในการปฏิบัติอย่างจริงจัง และ ถูกต้องตามมาตรฐานสากล
ISMF นั้นได้นำเอาหลักการด้าน Information Security Policy ของมาตรฐานสากล ISO17799 ตลอดจน มาตรฐาน Cobit ของ ISACA (www.isaca.org) และ CBK (Common Body of Knowledge) ของ ISC2 (www.isc2.org) มาประยุกต์ใช้ให้ได้ประโยชน์สูงสุด และสามารถนำมาปฏิบัติได้จริงในสภาวะแวดล้อม ICT ในปัจจุบัน
เริ่มตั้งแต่ขั้นตอนที่ 1 คือ “Risk Management, Vulnerability Assessment และ Penetration testing”

ขั้นตอนที่ 1 จากทั้งหมด 7 ขั้นตอนนี้เป็นขั้นตอนแรกที่ต้องปฏิบัติและมีความ สำคัญส่งผลกระทบไปยังขั้นตอนต่อ ๆ ไป โดยรวมเราเรียกขั้นตอนนี้ว่า “การวิเคราะห์ และ ประเมินความเสี่ยงของระบบ ICT” ขั้นตอนนี้ จะรวมถึงการ วิเคราะห์ตรวจหาช่องโหว่ในระบบ ที่เรียกว่า “Vulnerability Assessment” และ การทดสอบเจาะระบบเพื่อนำเอาข้อมูลที่สำคัญ เช่น Username และ Password ออกมาจากระบบโดยการทดลอง Hack (Ethical Hacking) เสมือนว่า มี Hacker เ้ข้ามา เจาะระบบโดยเราเรียกขั้นตอนนี้ว่า “Penetration Testing” การทำ Penetration Testing นั้น จะรวมไปถึงการทดสอบความแข็งแกร่งของระบบโดยการจำลอง Attack แบบ “DoS Attack” หรือ Denial Of Services Attack เพื่อให้ระบบใช้งานไม่ได้ (ขั้นตอนนี้ต้องทำด้วยความระมัดระวังและควรแจ้งให้ User ทราบก่อนล่วงหน้าจะได้มีการเตรียมตัวให้พร้อมกับการทดสอบ)

การทำ Penetration Testing นั้น แบ่งออกเป็น 2 ประเภทคือ Black-Box และ White-Box
การทำ Black-Box Penetration Testing เป็นการเจาะระบบ โดยที่ผู้ที่รับจ้างเจาะระบบจะไม่ได้รับข้อมูลจากผู้ว่าจ้างนอกจากเป้าหมายที่เป็น Web Site หรือเป็น IP Address เท่านั้น ที่เหลือผู้รับจ้างต้องพยายามเจาะเข้ามาจาก Internet โดยใช้ความสามารถของผู้รับจ้างเอง

การทดสอบเจาะระบบแบบ Black-Box Penetration Testing มีข้อดี ก็คือ เราสามารถประเมินความแข็งแกร่งของระบบเราได้ จากภายนอกก็คือจากพวก Hacker ที่เจาะเข้ามาจากทาง Internet โดยตรง แต่ ข้อเสียก็คือผู้รับจ้างอาจจะไม่สามารถเจาะเข้า มาได้เพราะข้อมูลไม่เพียงพอ หรือ ความสามารถของผู้รับจ้างมีไม่มากพอที่จะเจาะเข้าสู่ระบบได้
แต่การเจาะระบบในแบบ White-box Penetration Testing นั้น จะเป็นการเจาะระบบที่ผู้รับจ้างจะต้องเข้ามาที่ Office และ On-line เข้าสู่ระบบ LAN หรือ Intranet ของผู้ว่าจ้าง เรียกว่าเป็นการเจาะจากข้างใน เพื่อเป็นการประเมินความเสี่ยงภายในองค์กร เช่น อาจจะมีผู้ใช้คอมพิวเตอร์บางคนติด Virus และ Virus สามารถแพร่กระจายใน LAN เราก็สามารถประเมินความเสียหายโดยผู้รับจ้างจะลองทดสอบ Penetrate ระบบโดยทำตัวเป็น Virus และพยายามเข้าสู่ระบบจากภายใน

ข้อดีของวิธีเจาะระบบแบบ White-Box Penetration Testing ก็คือ เราสามารถประเมินความเสี่ยงได้ใกล้เคียงกับสถานการณ์จริงมากกว่าแบบ Black-Box Penetration Testing เพราะ ผู้รับจ้างเจาะระบบ จะมีข้อมูลภายในมากกว่าแบบแรก แต่ข้อเสียก็คือ เราไม่สามารถประเมินจากภายนอกได้เหมือนแบบแรก

กล่าวโดยสรุปก็คือ เราควรทำทั้งสองแบบแล้วนำผล Summary Report จากการทำ Black-box และ White-box box Penetration Testing มาประมวลผลรวมกัน เพื่อหาแนวทางในการแก้ไขในขั้นตอนที่ 2 ของ ISMF ต่อไป ซึ่งขั้นตอนที่ 2 จะเป็นเรื่องของการปิดช่องโหว่ที่มีความสำคัญ เราเรียกว่าเป็นการทำ “Critical Hardening” ซึ่งผมจะขอกล่าวโดยละเอียดในฉบับหน้าครับ

จาก : หนังสือ eLeader Thailand
ฉบับที่177 ประจำเดือนพฤศจิกายน 2546
Update Information : 1 พฤศจิกายน 2546