(Top 10 Cyber Threats latest update and Security Tactics How to defense against them)PART I
by A.Pinya Hom-anek,
GCFW, CISSP, SSCP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
ปัญหาด้านความปลอดภัยข้อมูลระบบสารสนเทศยังคงเป็น ปัญหาคาใจของผู้บริหารระบบสารสนเทศจากอดีตจนถึงปัจจุบัน เนื่องจากหลายองค์กรได้ทำการติดตั้งทั้งฮาร์ดแวร์และซอฟท์แวร์สำหรับป้องกันภัยคุกคามทางอินเทอร์เน็ตไม่ว่าจะเป็น Firewall, IPS/IDS, ANTI-SPAM, ANTI-VIRUS หรือ VPN แต่องค์กรก็ยังคงประสบกับปัญหาเดิมๆ ด้านความปลอดภัยข้อมูล เช่น ติดไวรัสทั้งที่มีโปรแกรม ANTI-VIRUS หรือ ถูกแฮกเกอร์ เข้ามาโจมตีระบบทั้ง ๆที่มี Firewall และ IPS ในการป้องกันระบบ รวมทั้งระบบยังถูกรบกวนด้วย SPAM Mail เป็นจำนวนมากทั้งที่มีโปรแกรม ANTI-SPAM อยู่แล้วก็ตาม
สาเหตุเนื่องมาจากภัยอินเทอร์เน็ตนั้นมีหลากหลายรูปแบบทั้งยังมีความสลับซับซ้อนในการโจมตีเป้าหมาย และ มุ่งเน้นที่จะโจมตีไปที่ “คน” มากกว่า “เครื่อง” เพราะฉะนั้น การแก้ไขปัญหาที่ต้นเหตุ (Root cause analysis) จึงจำเป็นต้องมองทั้งภาพรวม โดยต้องแก้ที่ “คน” และ “กระบวนการ” (People and Process) ไม่สามารถแก้ไขได้โดยใช้เทคโนโลยี (Technology) เพียงอย่างเดียว สอดคล้องกับปรัชญาด้านความปลอดภัยข้อมูลคือ “PPT Concept” (People, Process, Technology)
ในปัจจุบันภัยอินเทอร์เน็ตทั้ง 10 รูปแบบล่าสุด ที่องค์กรควรทราบและวางแผนอย่างเป็นระบบในการป้องกันภัยดังกล่าวได้แก่
อันดับที่ 1: ภัยจากกลยุทธ “Social Engineering”
ไม่น่าเชื่อว่าภัยหมายเลขหนึ่งก็คือ “ตัวเราเอง” แฮกเกอร์และมัลแวร์ต่าง ๆ ในปัจจุบันมุ่งเน้นการโจมตีเป้าหมายโดยการหลอกผู้ใช้คอมพิวเตอร์ให้เข้าใจผิดไปต่าง ๆ นานา และหลงกลแฮกเกอร์ในที่สุด เราต้องใช้ “สติ” ในการใช้งานอินเทอร์เน็ตด้วยความระมัดระวังเช่น ไม่เปิดไฟล์นามสกุลแปลก ๆ เป็นต้น และ ก่อนที่เราจะ download ไฟล์ หรือ Click ลิงค์ต่าง ๆ ในอินเทอร์เน็ตต้องอ่านและพิจารณาให้รอบคอบก่อน จะได้ไม่ตกเป็นเหยื่อภัย Social Engineering ดังกล่าว
อันดับที่ 2: ภัยจาก SPAM Mail
Spam Mail นอกจากจะก่อความรำคาญแล้วยังนำมาซึ่งภัยอินเทอร์เน็ตในรูปแบบอื่น ๆ เช่น Malware หรือ Virus attack แม้กระทั่ง BOTNET attackหรือ Rootkit attack ก็มีโอกาสมากับ Spam Mail เช่นกัน โดยมาทั้งรูปแบบของไฟล์แนบ (attached file) หรือ เป็นลักษณะ Web Link ให้ผู้ใช้คอมพิวเตอร์เปิดหรือ Click ร่วมกับแนวทางการโจมตีแบบ Social Engineering
อันดับที่ 3: ภัยจาก Virus เจ้าเก่า
Virus Computer เป็นปัญหารายวันที่ดูเหมือนจะแก้ไม่ตกเสียทีปัจจุบันมี USB VIRUS ออกมาโจมตีเครื่อข่ายมากมาย บางครั้งมากับโปรแกรมจำพวก Instant Messaging (IM) และ Peer-to-peer (P2P) โดยที่ผู้ใช้งานคอมพิวเตอร์ไม่รู้ตัว และ มี Virus ใหม่ๆ ที่เรียกว่า “Zero Pay Threat” ที่ยังไม่มี Pattern ในการกำจัด VIRUS จากทุกค่าย ทำให้เราต้องหาเทคโนโลยี Heuristic (Non-Pattern ANTI-VIRUS technics) มาใช้ประกอบกับ เทคโนโลยี Signature ANTI-VIRUS technics ในแบบเดิมๆจะทำให้มีประสิทธิภาพมากขึ้น
อันดับที่4: ภัยจาก SPYWARE และม้าโทรจัน (Trojan Horses)
SPYWARE ไม่ใช่ VIRUS เพราะมีลักษณะในการทำงานที่แตกต่างกัน โดย SPYWARE มุ่งหวังที่จะล้วงความลับจากเป้าหมาย รุกล้ำเข้ามาค้นเรื่องส่วนตัวของเป้าหมาย ขณะที่ม้าโทรจันสามารถเข้ามาควบคุมเครื่องของเราทำให้เครื่องเรากลายเป็นส่วนหนึ่งของ BOTNET ได้ ดังนั้นโปรแกรม ANTI SPYWARE ยกตัวอย่าง เช่น Window Defender (Free) จึงมีความจำเป็นอย่างยิ่งในการใช้ป้องกันภัยดังกล่าว
อันดับ 5: ภัยจาก ADWARE
ADWARE นอกจากจะเกิดความรำคาญในการที่ต้องคอยดูโฆษณาผ่านเว็บในรูปแบบ Pop-up Windows แล้ว ยังถูกละเมิดสิทธิส่วนบุคคลโดยการแอบดูพฤติกรรมการใช้งานอินเทอร์เน็ตของเราโดยไม่รู้ตัวการใช้ โปรแกรมANTI-SPYWARE สามารถแก้ปัญหานี้ได้ในระดับหนึ่ง
อันดับ 6: ภัย Identity Theft
ภัย PHISHING และ PHARMING กำลังมีอัตราเพิ่มขึ้นอย่างน่ากลัวในช่วงสองสามปีที่ผ่านมา มีธนาคารไทยหลายแห่ง ตกเป็นเป้าโจมตีของผู้ไม่หวังดีที่หลอกให้ลูกค้าธนาคารหลงเข้าเว็บไซด์ที่ทำหลอกไว้ ให้หลงเข้าใจผิดว่าเป็นเว็บไซด์ของธนาคาร ทำให้แฮกเกอร์สามารถขโมยชื่อผู้ใช้และรหัสผ่านไปใช้งานแทนตัวเราได้ ภัยนี้รวมถึงการขโมย บัตรเอทีเอ็ม และการแอบใช้บัตรเครดิต ของเราทางอินเทอร์เน็ตด้วย ดังนั้น เราควรเน้นการป้องกันภัยในลักษณะนี้ เป็นพิเศษมิเช่นนั้นเราอาจต้องเสียทรัพย์โดยรู้เท่าไม่ถึงการณ์
อันดับที่ 7: ภัยจากการโจมตีผ่าน Web Site
ถึงแม้เราจะมีไฟร์วอลล์ในการป้องกันแล้วก็ตาม แต่แฮกเกอร์ยังใช้วิธี Top 10 Web Application Hacking จาก www.owasp.org ในการโจมตี Web site ของเราได้ ในการกลับกัน เราเผลอเข้าไปเยี่ยมชม Web site บาง web เราก็อาจติด SPYWARE หรือ ADWARE หรือแม้กระทั่งถูกควบคุมเครื่องโดยไม่รู้ตัวก็เป็นไปได้ ดังนั้น เราควรหมั่น Update Patch ให้เครื่องคอมพิวเตอร์ของเราอย่างสม่ำเสมอ เพื่อป้องกันภัยดังกล่าว
อันดับที่ 8: ภัยจากการเจาะระบบของแฮกเกอร์
ในปัจจุบันหมดยุคแล้วที่แฮกเกอร์จะเจาะระบบเพื่อความสนุก (Hack for fun) แต่แฮกเกอร์จะเจาะระบบโดยมุ่งหวังผลประโยชน์ทางด้านการเงินมากกว่า (Hack for money) ดังนั้นภัยจากแฮกเกอร์ที่มีแนวโน้มที่จะทวีความรุนแรงมากขึ้น ในขณะที่ Hacking Tools ต่างๆมีความสามารถมากขึ้นเช่นกัน
อันดับที่ 9: ภัยจากการเจาะระบบผ่านทาง Wireless Access Point
ส่วนใหญ่เรามักจะใช้ Wireless LAN โดยไม่ระมัดระวัง เช่น เปิด Access Point โดยไม่ได้เข้ารหัส หรือ ใช้วิธีการเข้ารหัสที่แฮกเกอร์สามารถเจาะได้แล้ว เช่น WEP หรือ WPA Version 1 ดังนั้นเราควรเปลี่ยนวิธีในการเข้ารหัสและ ควรมีการทำ Authentication ที่ Access Point ด้วย (เป็นการปฏิบัติตามกฎกระทรวงอ้างอิง พรบ. การกระทำผิดฯ)
อันดับที่10: ภัยจากการใช้งานโปรแกรมประเภท P2P และ IM
ปัจจุบันโปรแกรมประเภท P2P และ IM ได้รับความนิยมอย่างสูง ดังนั้นแฮกเกอร์จึงเปลี่ยนวิธีมาส่งไวรัส และ มัลแวร์ผ่านทางโปรแกรม P2P และ IM แทน หลายคนเล่นอินเทอร์เน็ตอย่างอิสระจนเคยตัว และไม่ได้ระมัดระวังในการใช้โปรแกรมดังกล่าว สำหรับองค์กรแล้วไม่ควรอนุญาตให้ใช้งานโปรแกรมประเภทนี้ ควรมีแนวนโยบาย (Information Security Policy) ประกาศบังคับใช้ให้ชัดเจนเลยว่าไม่อนุญาตให้ใช้งานโปรแกรม P2P และ IM จะช่วยแก้ปัญหาได้ในระยะยาว
จากภัยทั้งสิบภัย จะเห็นว่า เทคโนโลยีอย่างเดียวไม่สามารถแก้ปัญหาได้อย่างแน่นอน เพราะ “คน” หรือ “ผู้ใช้” ยังไม่ระมัดระวังอย่างเพียงพอ ตลอดจน “กระบวนการ” ในการพัฒนา และ การประกาศใช้นโยบายความปลอดภัย หรือ “Information Security Policy” โดยผู้บริหารระดับสูงสุดขององค์กร ต้องมีความชัดเจน และที่สำคัญต้องให้ผู้ใช้ได้รับรู้ (User Notification) ผ่านทางการจัดทำ Security Awareness Program อย่างจริงจังในองค์กรสำหรับผู้ใช้คอมพิวเตอร์ทุกคนควรได้รับการฝึกอบรมอย่างน้อยปีละสองครั้ง ครั้งละ 3-6 ชั่วโมง จากนั้นผู้ใช้คอมพิวเตอร์ควรต้องเซ็นเอกสารที่เรียกว่า “Acceptable Use Policy” หรือ “AUP” เพื่อรับทราบกฎข้อบังคับขององค์กรเพราะถ้าหากองค์กรไม่มีเอกสาร AUP การกระทำของผู้ใช้คอมพิวเตอร์ที่ขัดต่อกฎหมาย เช่น ส่ง SPAM Mail หรือ ส่ง VIRUS ตลอดจนการใช้ ซอฟท์แวร์เถื่อนที่ไม่ถูกต้องตามลิขสิทธิ์ ผู้บริหารระดับสูงขององค์กรต้องรับผิดชอบตกเป็นจำเลยที่หลีกเลี่ยงไม่ได้
ดังนั้นเอกสาร AUP จึงมีความสำคัญอย่างยิ่งต่อองค์กร ในฉบับหน้าผมจะกล่าวถึงรายละเอียดของเอกสาร AUP เพื่อเป็นแนวทางให้กับองค์กรในการนำไปใช้ต่อไป ครับ
จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนตุลาคม 2550
Update Information : 2 ตุลาคม 2550