by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team

ทุกวันนี้ความเสี่ยง (Risk) ของระบบข้อมูลคอมพิวเตอร์มีเพิ่มมากขึ้นทุกวัน เนื่องจากระบบที่เราใช้อยู่ไม่ว่าจะเป็นค่าย Microsoft หรือค่าย Unix ตลอดจนระบบ Open Source ที่ใช้ Linux เป็นหลัก ล้วนมีช่องโหว่ (Vulnerability) ด้วยกันทั้งสิ้น ช่องโหว่เหล่านี้เกิดขึ้นทุกวัน โดยเฉลี่ยแต่ละเดือนมีมากกว่า 10 ช่องโหว่ขึ้นไป (ข้อมูลเพิ่มเติมดูที่ http://www.securityfocus.com และ http://www.cert.org) จนต้องมีหน่วยงานกลาง ทำหน้าที่รวบรวมช่องโหว่ต่างๆ ไว้เพื่ออ้างอิงอย่างเป็นทางการ ที่ websitehttp://cve.mitre.org

ข้อมูลช่องโหว่ที่ถูกค้นพบของระบบปฏิบัติการต่างๆ จะถูกรวบรวมและให้ชื่อว่า CVE ย่อมาจาก (Common Vulnerabilities and Exposures) ถ้าเราเข้าไปดูจะพบว่าช่องโหว่ เกิดขึ้นอย่างต่อเนื่องโดยเฉพาะช่องโหว่ Buffer Overflow ซึ่งเป็นที่มาของ Virus ต่างๆ ตั้งแต่ CodeRed, Nimda, จนถึง Blaster และ Nachi Worm ซึ่งกำลังทำให้หลายองค์กรในประเทศไทยมีปัญหาอยู่ในเวลานี้ เนื่องจากเจ้า Nachi Worm อาศัยช่องโหว่ของระบบปฏิบัติการตระกูล Windows ตั้งแต่ NT,2000,XP จนถึง 2003 ทำการเข้ายึดครองเครื่องตระกูล Windows ที่มีช่องโหว่แต่ไม่ได้รับการแก้ไขที่ถูกต้อง ในทางเทคนิคเราเรียกว่า ยังไม่ได้ Patch ซึ่งเครื่อง Windows ในองค์กรนั้นมีใช้อยู่มากมาย บางองค์กรมีมากกว่าหนึ่งพันเครื่อง การเข้าไป Patch ระบบ Windows ทุกตัว ในทางปฏิบัติจึงทำได้ยากมาก (วิธีการแก้ปัญหา Blaster/Nachi Worm) ให้ได้ผลนั้นติดตามอ่านได้ใน eWeek นะครับ)
ข้อมูลเิพิ่มเติมของ Nachi Worm อ่านได้

จากhttp://thaicert.nectec.or.th/advisory/alert/nachi.php
จากข้อมูลข้างต้น เราพบว่าการที่จะให้บุคลากรในองค์กรจัดการกับปัญหาเรื่องระบบความปลอดภัยข้อมูลนั้นไม่ใช่เรื่องง่าย ต้องอาศัยความรู้ทางด้านเทคนิคขั้นสูงจากผู้เชี่ยวชาญด้าน Information Security โดยตรง การติดตั้ง Firewall และ IDS (Intrusion Detection System) นั้นเป็นแต่เพียงการผ่อนหนักให้เป็นเบาแต่ไม่สามารถป้องกันความเสี่ยงให้กับระบบของเราได้ทั้งหมด ยังไงก็ต้องอาศัย “คน” ที่มีความเชี่ยวชาญมาดูแลระบบของเราอยู่ดี ดังนั้น กระแสการจัดจ้างบริษัทมาดูแลระบบที่เรานิยมเรียกว่า IT Outsourcing จึงค่อนข้างมาแรงในช่วง 2-3 ปีให้หลัง และมีแนวโน้มที่จะเพิ่มขึ้นอย่างต่อเนื่อง โดยเฉพาะการ Outsourcing Managed Security Services (MSS) ดูเหมือนจะเป็นทางออกที่ดีสำหรับผู้บริหารที่ต้องการโอนความเสี่ยง (Transfer Risk)

ทางด้านการจัดการ Information Security ไปให้กับผู้ให้บริการรับดูแลที่เรียกว่า Managed Security Service Provider (MSSP) อย่างไรก็ตาม การเลือก MSSP นั้นก็เป็นเรื่องสำคัญที่ต้องนำมาคิดเช่นเดียวกัน และก่อนที่เราจะเลือก MSSP มาให้บริการนั้น เราควรทำการตรวจสอบระบบของเราเองเสียก่อนว่าพร้อมที่จะให้ MSSP มาดูแลหรือไม่
การวิเคราะห์ (Analyze) และ ตรวจสอบ (Audit) ระบบ ถือเป็นการประเมินความเสี่ยง (Risk Assessment) ให้กับระบบของเรา เพื่อดูว่าระบบของเรานั้นมีความแข็งแกร่งต่อการโจมตีของ Hacker เพียงใด และระบบได้รับการติดตั้งอย่างถูกต้องหรือไม่ ซึ่งการทำ Risk Assessment นั้นถือเป็นขั้นตอนที่ 1 ที่เราควรทำเป็นการเริ่มต้นของInformation Security Management Framework (ISMF) ซึ่งมีทั้งหมด 7 ขั้นตอน โดยมีรายละเอียดดังนี้

ขั้นตอนที่ 1 Risk Management / Vulnerability Assessment / Penetration Testing
การวิเคราะห์และประเมินความเสี่ยงของระบบ IT ที่เราใช้งานอยู่ (Risk Assessment and Risk Analysis) ถือเป็นขั้นตอนแรกที่ต้องปฏิบัติ เริ่มจากการทำ Inventory ของระบบ, การทำ Revised Network Diagram ทั้ง Logical และ Physical Diagram ตลอดจนดูขั้นตอนในการปฏิบัติงานของพนักงาน และช่องทางเข้าออกระบบทั้งด้านกายภาพและทางเครือข่าย LAN และ WAN ที่เชื่อมต่อกับระบบ Internet ในบริเวณที่เรียกว่า Perimeter Network ขั้นตอนนี้จะมีการทดสอบเจาะระบบดูช่องโหว่ว่าระบบเรามีช่องโหว่ให้ผู้บุกรุกเข้ามาโจมตี หรือไม่ เราเรียกขั้นตอนนี้ว่า “Vulnerability Assessment” จากนั้น เราควรลองเจาะระบบเพื่อนำเอาข้อมูลหรือ username/password ของระบบออกมาเพื่อดูความแข็งแกร่งในการป้องกันตนเองของระบบด้วย ขั้นตอนนี้เราเรียกว่า “Penetration Testing” จากนั้นเราจะได้รายงานสรุป (Risk Assessment Summary Report) ที่ทำให้เรารู้ถึงจุดอ่อนของระบบเรา ตลอดจนวิธีการที่จะทำให้ระบบของเราปลอดภัยต่อไป

ขั้นตอนที่ 2 Critical Hardening/Patching/Fixing
หลังจากที่เราได้ประเมินความเสี่ยงในขั้นตอนที่หนึ่งไปแล้วนั้น เราพบว่ามีช่องโหว่ที่จัดอยู่ในระบบ Critical คือ สามารถก่อความเสียหายให้กับองค์กร เราจึงต้องควรทำการปิดช่องโหว่เหล่านั้น โดยการ Hardening ระบบของเรา หมายถึงการปิด Port ต่างๆ ที่ไม่จำเป็นต้องใช้, การติดตั้ง Firewall เพิ่มเติม หรือ การแก้ไข Rules ที่ Firewall ให้ถูกต้องตลอดจนการติดตั้ง Patch หรือ Hotfix เพื่อแก้ปัญหาช่องโหว่ต่างๆ ที่เราสามารถ download patch ได้จาก Web site ของผู้ผลิต การติดตั้ง Patch นั้นควรมีกรรมวิธีในการจัดการ เราไม่อาจติดตั้ง Patch ทั้งหมดได้ เนื่องจาก Patch มีจำนวนมาก ตลอกจน Workstation และ Server ที่เราใช้งานอยู่ก็มีจำนวนมาก อาจเกิดผลกระทบจากการติดตั้ง Patch เราควรปฏิบัติตามคำแนะนำของผู้เชี่ยวชาญ หรือใช้ Tools ในการช่วยติดตั้ง Patch จะทำให้เราของเราง่ายขึ้นมาก

ขั้นตอนที่ 3 Practical Security Policy
ขณะที่เราจัดการกับระบบในขั้นตอนที่ 2 ซึ่งต้องใช้เวลาพอสมควร เราสามารถทำงานขนานกับขั้นตอนที่ 2 ได้ โดยการจัดทำ Practical Information Security Policy ให้กับองค์กรของเรา โดยนำหลักการนโยบายด้าน INFOSEC มาจากหลายๆ หน่วยงาน เช่น ISO17799, CBK (Common Body of Knowledge) ของ ISC2 ตลอดจน CobiT ของ ISACA และ SANS/FBI Top 20 ของสถาบัน SANS ร่วมกับ FBI มาใช้ในการทำ “Practical Security Policy” หมายถึง การนำมาประยุกต์ใช้ให้ตรงกับความต้องการขององค์กร ซึ่ง Policy ต้องมีการปรับแต่ง แก้ไขให้เหมาะสมกับองค์กรด้วย

ขั้นตอนที่ 4 Defense In-Depth / Best Practices Implementation
คำว่า “Defense In-Depth” หมายถึง การจัดการกับระบบความปลอดภัยข้อมูลขององค์กรอย่างละเอียดรอบคอบ โดยพิจารณาตั้งแต่ Border Router ที่ต่อเชื่อม Internet จาก ISP ผ่านมาที่ Firewall หลักขององค์กร ตลอดจนการติดตั้ง IDS หรือ IPS (Intrusion Prevention System) และ การจัดการภายใน LAN ของระบบ การแก้ไขปัญหาภายใน LAN ที่อุปกรณ์เครือข่าย เช่น Core Switching/Core Router ตลอดจน Server ต่างๆ ที่อยู่ใน LAN ซึ่งถือว่าเป็นภายในแต่ยังไม่ปลอดภัยจาก Virus ต่างๆ ในเวลานี้ที่จะโจมตีเครือข่าย LAN ภายในมากขึ้น

เราจึงต้องมีการนำ “Best Practices” ซึ่งเป็นสูตรสำเร็จในการจัดการกับอุปกรณ์เครือข่าย ตลอดจน Workstation และ Server ที่เราใช้งานอยู่ทั้งใน DMZ และบริเวณ LAN ภายใน ขั้นตอนนี้จะใช้เวลานานกว่าเมื่อเทียบกับขั้นตอนที่ 1 และ 2

ขั้นตอนที่ 5 Security Awareness/Technical/Know-how Transfer Training
ขั้นตอนนี้เป็นขั้นตอนที่หลายๆ คนมองข้าม และ ไม่ค่อยให้ความสนใจ แต่ในทางปฏิบัตินั้น ถือเป็นเรื่องสำคัญที่ต้องทำ และกระทำอย่างต่อเนื่องทุกปีในองค์กร ได้แก่การจัดฝึกอบรมให้บุคลากรในองค์กรมีความเข้าใจที่ถูกต้องกับปัญหาเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ การฝึกอบรมควรเริ่มจาก กลุ่มผู้บริหารระดับสูง และ กลุ่มผู้บริหารระดับกลางก่อน แล้วตามด้วย กลุ่มผู้ดูแลระบบ และ กลุ่มผู้รับผิดชอบเรื่อง Information Security โดยตรง, กลุ่ม Internal Audit ตลอดจน กลุ่มผู้ใช้คอมพิวเตอร์ทั่วไป เพื่อจะได้ไม่หลงเป็นเหยื่อพวก Virus, AdWare/Spyware และ Trojan ต่างๆ ที่มักจะมากับ e-Mail Attachment และ จากการเข้าชม Web Site ที่ไม่เหมาะสม

ขั้นตอนที่ 6 Internal/External Audit
หลังจากที่เราได้ปฏิบัติตามขั้นตอนที่ 1 จนถึง ขั้นตอนที่ 5 แล้ว เราควรทำการ Audit ระบบอีกครั้งหนึ่งว่า ผลจากการ Assessment ในขั้นตอนที่ 1 เปรียบเทียบกับผลการ Re-Assessment ระบบในขั้นตอนที่ 6 นั้นมีความแตกต่างกันอย่างไร ซึ่งผลที่ได้ ช่องโหว่ควรจะลดลงอยู่ในระดับที่เราพอใจและเชื่อใจระบบได้ เราสามารถตรวจสอบโดยทีม Internal Audit ขององค์กรเราเอง หรือ ใช้บริการ External Audit Service ที่มีความเชี่ยวชาญด้าน Information Security มาตรวจสอบให้เราก็ได้เช่นกัน

ขั้นตอนที่ 7 Managed Security Services (MSS) / Real time Monitoring using IDS/IPS
จากที่กล่าวมาแล้วในตอนต้น หลังจาก ขั้นตอนที่ 1 และ 6 เรียบร้อยแล้ว เนื่องจากระบบนั้นสามารถเกิดช่องโหว่ใหม่ๆ ได้ตลอดเวลา เราจึงควร Outsourcing การดูแลปัญหาด้านระบบความปลอดภัยข้อมูลคอมพิวเตอร์ให้กับ Managed Security Services Provider (MSSP)

ดังนั้น ขั้นตอนที่จำเป็นคือ วิธีการที่จะคัดเลือก MSSP ที่เหมาะสมมาดูแลระบบให้เรา และพิจารณา Services Level Agreement (SLA) ว่าจะให้ดูแลในระดับใดเช่น 5×8 หรือ 24×7 เป็นต้น การดูแลระบบนั้นควรมีการดูแลในลักษณะ Real time Monitoring 24×7 อย่างต่อเนื่อง และ ต้องใช้บุคลากรที่มีความชำนาญผลัดเปลี่ยนกันดูแลตลอด 24 ชั่วโมง เพื่อจะได้สามารถเตือนองค์กรเราได้อย่างทันท่วงทีในกรณีที่เกิดปัญหาและช่องโหว่ใหม่ๆ และ เพื่อไม่ไห้มีผลกระทบในระยะสั้นกับองค์กรของเรา ตลอดจนให้ MSSP รับผิดชอบปัญหาเรื่อง Hacker และ Virus ไปด้วย จะทำให้องค์กรมีความคล่องตัวในการบริหารงานด้าน IT Security มากขึ้น

ใน eLeader ฉบับต่อไป ผมจะกล่าวถึงขั้นตอนต่างๆ โดยละเอียด อย่าลืมติดตามนะครับ

จาก : หนังสือ eLeaderThailand
ฉบับที่176 ประจำเดือนตุลาคม 2546
Update Information : 1 ตุลาคม 2546