by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
ทิศทาง Information Security ในปี 2005 มีหลายเรื่องที่เปลี่ยนแปลงไปจากปี 2004 แต่ยังคงมีบางเรื่องที่ต่อเนื่องมาจากปี 2004 และมีการพัฒนาการทางเทคนิคเพิ่มขึ้น การจู่โจมของแฮกเกอร์และไวรัสคอมพิวเตอร์มีการเปลี่ยนแปลงไปอย่างมากเมื่อเทียบกับปี 2004 แฮกเกอร์หันมาเจาะระบบผ่านทางผู้ใช้งานคอมพิวเตอร์ทั่วไป หรือ ที่เราเรียกว่ากลุ่ม “Users” ซึ่งแฮกเกอร์จะใช้เทคนิคการหลอกลวงสารพัดรูปแบบ เพื่อตบตาผู้ใช้คอมพิวเตอร์ที่ยังไม่ค่อยมีความรู้เรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ ในทางเทคนิคการใช้เทคนิคหลอกลวงผู้ใช้คอมพิวเตอร์ที่แบบนี้ เราเรียกว่าวิธี “Social Engineering” เช่น การจู่โจมโดย email หลอกลวงด้วยวิธียอดนิยมของแฮกเกอร์ในเวลานี้ ได้แก่วิธี “Phishing Attack”

เรียกได้ว่า ปี 2005 เป็นปีแห่ง “Social Engineering Attack”
ดังนั้น การหันมาฝึกอบรมให้ความรู้แก่ผู้ใช้คอมพิวเตอร์ทั่วไปให้ตระหนักถึงภัยจากอินเทอร์เน็ต หรือ ที่เราเรียกว่า “Security Awareness Training” นั้น เป็นเรื่องสำคัญอย่างมากในปี 2005 และ ปีต่อ ๆ ไป เพราะจุดอ่อนที่เปราะบางที่สุดของระบบรักษาความปลอดภัยเครือข่ายคอมพิวเตอร์ก็คือ “มนุษย์” หรือ “ผู้ใช้งานคอมพิวเตอร์ทั่วไป” ที่ใช้คอมพิวเตอร์โดยไม่ระมัดระวัง และไม่เข้าใจถึงภัยอินเตอร์เน็ต ซึ่งนับวันจะเปลี่ยนแปลงรูปแบบในหลากหลายสารพัดวิธีที่จะหลอกลวงผู้ใช้งานคอมพิวเตอร์ทำให้ระบบเครือข่ายคอมพิวเตอร์ขององค์กรมีความเสี่ยงทางด้านสารสนเทศ หรือ “IT Risk” ถึงแม้ว่าเราจะได้ติดตั้ง Hardware และ Software เพื่อป้องกันระบบความปลอดภัยขององค์กรแล้วก็ตามแฮกเกอร์ก็ยังคงอาศัยช่องโหว่ที่ “คน” ไม่ว่าเป็นผู้ใช้คอมพิวเตอร์ทั่วไป หรือ การเจาะระบบผ่านทางช่องโหว่จากการเขียนโปรแกรม Web application ที่ไม่ปลอดภัยเท่าที่ควรของโปรแกรมเมอร์เป็นต้น

Top 10 Information Security Trend 2005
1. “PHISHING attack/Identity Theft” : Hackers attack on computer by using Social Engineering Technics 
การหลอกลวงทางอินเทอร์เน็ตผ่านทาง email ที่ปลอมให้ดูเหมือนว่าถูกส่งมาจากหน่วยงานให้บริการ on-line ที่ดูแล้วน่าจะเชื่อถือได้ เช่น อินเทอร์เน็ตแบงค์กิ้ง (ยกตัวอย่าง CITIBANK) หรือการซื้อขายของผ่านอินเทอร์เน็ต (ยกตัวอย่าง เช่น ebay) เพื่อจะหลอกให้ผู้ใช้บริการหลงเข้าไปใน Web site ที่ถูกจัดทำปลอมขึ้นมาให้ใกล้เคียงของจริงมากถ้าไม่สังเกตุให้ดี จุดมุ่งหมายของแฮกเกอร์ก็คือหลอกให้เราใส่ username และ password ในการเข้าระบบ on-line ดังกล่าว ทำให้แฮกเกอร์ได้ข้อมูล username และ password ของเราอย่างง่ายดาย และสามารถที่จะยึด account ของเรา เรียกว่าเป็นการขโมยความเป็นตัวตนของเราไปเลย (Identity Theft) เมื่อแฮกเกอร์ยึด account เราได้แล้ว ก็จะ Log-in เป็นตัวเราใน web site จริง และ ทำการใช้จ่ายเงินหรือทำธุรกรรมอย่างอื่นเพื่อเป็นประโยชน์แก่แฮกเกอร์ในนามของเรา วิธีการแก้ไขปัญหาคือ ต้องคอยระมัดระวังเรื่องการรับ email คือ ต้องตรวจดูให้ดีเสียก่อนที่จะตกเป็นเหยื่อภัยจากการจู่โจมด้วยวิธี “PHISHING” การฝึกอบรม Security Awareness Training ผู้ใช้งานคอมพิวเตอร์ทั่วไปให้มีความรู้ความเข้าใจภัยจาก “PHISHING” ก็เป็นวิธีที่แนะนำและสามารถใช้ในการแก้ปัญหาอย่างได้ผล เพราะ “PHISHING” เป็นการโจมตีที่ “คน” ไม่ใช่การโจมตีที่ Host หรือ Network Devices แต่อย่างใด
2. SPAM, SPIM and IM (Instant Messaging) Security Attack
จากข้อมูลการศึกษาวิจัยปัญหาของระบบ email ทั่วโลก พบว่า ปัญหา SPAM Mail สูงเป็นอันดับหนึ่ง ทุกคนที่ใช้คอมพิวเตอร์คงเคยพบปัญหาว่าเมื่ออ่าน email ก็ได้พบกับ email ไม่พึงประสงค์ (Unsolicited email) อยู่เป็นประจำวันละหลายฉบับ ทำให้เราต่างเสียเวลาในการคัด email ที่เราต้องการ และ ลบ SPAM Mail ที่มาในรูปของ JUNK Mail เสียเป็นส่วนใหญ่ การ SPAM ไม่ได้มีเฉพาะระบบ email อย่างเดียวยังมีการ SPAM Instant Messaging หรือที่เราเรียกว่า “SPIM” อีกด้วย โปรแกรม IM ยอดนิยมได้แก่ MSN และ ICQ ก็มีโอกาสโดนจู่โจมด้วยวิธี “SPIM” ตลอดจนการหลอกให้ “click link” หรือ “download file” ผ่านทาง Instant Messaging อีกด้วยจึงต้องมีนโยบายและการเฝ้าระวังที่ดี
3. Wireless and Mobile device attack : “War Driving and War Chalking”
การใช้ Wi-Fi หรือ Wireless LAN ได้รับความนิยมเพิ่มขึ้นเรื่อย ๆ ควบคู่ไปกับการใช้บริการ Broadband Internet ซึ่งต่อเชื่อมกับอินเทอร์เน็ตตลอดยี่สิบสี่ชั่วโมง ทำให้โอกาสที่จะติดไวรัสหรือการแพร่กระจายของไวรัสเร็วขึ้น เพราะมี bandwidth ที่เพิ่มมากขี้น ตลอดจนลักษณะการต่อเชื่อมไม่เหมือนแบบเดิมที่เป็น Dial-Up connection แฮกเกอร์กำลังนิยมวิธีที่เรียกว่า “War Driving” คือการ Scan หาตำแหน่งของ Access Point ที่เปิดใช้ Wi-Fi อย่างไม่ระมัดระวังเรื่องความปลอดภัย เช่น มีการใช้ค่า Default SSID, ไม่มีการ FIX ค่า MAC Address และ ไม่มีการเข้ารหัสด้วย WEB key เป็นต้น ทำให้แฮกเกอร์สามารถเข้ามาใช้งานระบบ Wireless LAN ของเราได้อย่างง่ายดาย
วิธีการใช้งาน Wireless LAN ให้ถูกวิธีและปลอดภัยจากการถูกโจมตีโดยแฮกเกอร์ด้วยวิธี “War Driving” สามารถดูรายละเอียดได้ที่ www.acisonline.net ส่วน “War Chalking” หมายถึงการทำแผนที่ Wi-Fi ที่ถูกตรวจพบโดยวิธี “War Driving” เพื่อให้แฮกเกอร์สามารถกลับมาใช้งาน Wi-Fi ในบริเวณที่เคยเจาะเข้ามาใช้งานได้และเพื่อให้แฮกเกอร์รายอื่น ๆ สามารถเข้ามาใช้ได้ด้วย ดูตัวอย่างที่ www.wigle.net
การโจมตีระบบ Mobile อื่น ๆ เช่น ระบบโทรศัพท์มือถือไม่ว่าจะเป็น GSM/GPRS หรือระบบ EDGE ที่เร็วกว่าเดิม ตลอดจนระบบใหม่ คือ CDMA และ EV-DO ก็มีแนวโน้มที่เพิ่มขึ้นเช่นกัน การส่ง SMS เข้ามาก่อกวน โดยคนหรือไวรัส ตลอดจนไวรัสที่ติดมาทาง Bluetooth ก็เริ่มมีให้เห็นกันแล้ว ดังนั้นเราควรใช้อุปกรณ์ไร้สายต่าง ๆ ด้วยความระมัดระวัง และเปิดใช้งานโดยทำตามคำแนะนำด้านความปลอดภัยอย่างเคร่งครัด
4. MalWare Attack : SPYWare, Ad-Ware, Trojans, Key-Logger, Cookies Hijacking and Viruses/Worms
โปรแกรมมุ่งร้ายที่นอกจากไวรัสคอมพิวเตอร์ที่มักจะมาในรูปของหนอนอินเทอร์เน็ต (Internet Worm) แล้วยังมาในรูปแบบของ SPYWare คือ โปรแกรมดักข้อมูลส่วนตัวของเราเพื่อล้วงความลับและจับตาดูพฤติกรรมการใช้งานอินเทอร์เน็ตของเราเพื่อนำประโยชน์จากข้อมูลเหล่านี้ไปใช้ทางธุรกิจ เช่น การส่ง SPAM Mail มาตามลักษณะการใช้งานอินเทอร์เน็ตของเราเป็นต้น โปรแกรมเหล่านี้สามารถดักจับ Key Stroke และ หน้าจอภาพ (Screen Capture) ของเราได้ เราควรจะหาโปรแกรมประเภท ANTI-SPYWare มาใช้เช่น AD-Aware หรือ Spybot-Search & Destroy (ดาวน์โหลดได้ที่ www.download.com) มาลองตรวจสอบเครื่องคอมพิวเตอร์ของเราเป็นระยะ ๆ
5. P2P Exploit : P2P comes with SPYWare
โปรแกรมประเภท P2P หรือ Peer-To-Peer File Sharing Program กำลังได้รับความนิยมอย่างสูงในกลุ่มผู้ใช้อินเทอร์เน็ตโดยเฉพาะ Broadband Internet เพื่อใช้ในการ “Download” เพลง MP3 หรือ หนังสือในรูปแบบ PDF หรือ Help File ตลอดจนการ downdoad software ผิดกฎหมาย จาก Harddrive ในคอมพิวเตอร์ที่ใช้โปรแกรมประเภท P2P ทั่วโลก เช่น โปรแกรม eDonkey2000 และ eMule เป็นต้น โปรแกรม P2P บางตัวมีการติดตั้ง SPYWare แอบมาด้วยและยัง Share Harddrive C: ของเราให้ถูกเข้าถึงได้จากทางอินเทอร์เน็ตด้วย ข้อเสียของโปรแกรม P2P นั้นนอกจากจะกิน bandwidth มหาศาลแล้ว ยังแอบ “SPY” พฤติกรรมใช้งานของเราและยังเป็นแหล่งที่มาของไวรัสและเวิร์ม ในรูปแบบต่าง ๆ อีกด้วย จึงต้องมีการใช้งานอย่างระมัดระวังและ ไม่แนะนำให้ใช้ในองค์กร เพราะจะทำให้จราจรอินเทอร์เน็ตติดขัดตลอดจนมีผลกระทบกับระบบด้านความปลอดภัยขององค์กร
6. End Node/End Point Security : Client Security
จุดปลายทางของระบบเครือข่าย (End Node/End Point) ส่วนใหญ่แล้วก็คือ เครื่องคอมพิวเตอร์ PC หรือ Notebook ที่เราใช้งานกันอยู่ในทุกวันนี้ ซึ่งกลายเป็นเป้าหมายหลักของแฮกเกอร์และไวรัส ดังนั้นการป้องกันความปลอดภัยที่ตัวเครื่องคอมพิวเตอร์เอง จึงเป็นเรื่องจำเป็นไม่ว่าจะเป็นการติดตั้งโปรแกรม ANTI-Virus, ANTI-SPYWare, ANTI-SPAM ตลอดจนการติดตั้ง Personal Firewall หรือใช้ Windows Firewall ที่มากับ Windows XP SP2 และ ติดตั้งโปรแกรมประเภท Host-Based IPS เพื่อป้องกันและปิดกั้นการทำงานของโปรแกรมไวรัสที่พยายามเจาะเข้ามาจากระบบอินเทอร์เน็ตและระบบเครือข่ายภายในของเราด้วย
7. PROACTIVE Information Security Management : IPS (Intrusion Prevention System, Vulnerability Management and Patch Management
การเปลี่ยนแปลงหลักการในการแก้ปัญหาด้านความรักษาความปลอดภัย มีการเปลี่ยนมุมมองจาก “Detect and Correct” มาเป็นมุมมองใหม่ “Prevent and Monitor” มีเทคนิคใหม่ ๆ เกิดขึ้น เช่น “Scan and Block” เพื่อป้องกันไม่ให้เครื่องคอมพิวเตอร์ที่ติดไวรัสสามารถแพร่กระจายไวรัสไปยังเครื่องคอมพิวเตอร์ตัวอื่นเหมือนในอดีตที่ผ่านมา ซี่งยังไม่มีเทคโนโลยีใหม่ ๆ มาป้องกัน
เทคโนโลยีที่กำลังมาแรง และมีแนวโน้มที่จะมาแทนระบบ IDS (Intrusion Detection System) ก็คือ เทคโนโลยี IPS (Intrusion Prevention System) ที่มีความสามาถในการป้องกันผู้บุกรุกในลักษณะ In-Line Real-Time Protection
การประเมินความเสี่ยงด้วยวิธี “Vulnerability Assessment” นั้นมีการพัฒนาเป็น “Vulnerability Management” คือ การประเมินความเสี่ยงอยู่ตลอดเวลา เรียกว่า แทบทุกวันก็ว่าได้เพราะช่องโหว่ หรือ “Vulnerability” ใหม่ ๆ ถูกค้นพบกันแทบทุกวันเช่นกัน เมื่อเราพบว่ามีช่องโหว่แล้วเราก็ควรที่จะ Patch หรือ Harden ระบบที่มีช่องโหว่เหล่านั้นเพื่อป้องกันไม่ให้แฮกเกอร์และไวรัสมาโจมตีได้ เทคนิค “Patch Management” ช่วยให้เราติดตั้ง Patch ได้สะดวกและง่ายยิ่งขึ้นและสามารถตรวจสอบว่าเครื่องใดยังไม่ได้ลง Patch ได้เช่นกัน
8. Risk Management and Information Security Awareness Training
การแก้ปัญหาด้านความปลอดภัยที่ถูกต้องและได้ผลจะต้องประกอบด้วย 2 เรื่องที่สำคัญคือ การบริหารและประเมินความเสี่ยง (Risk Management/Assessment) และ การฝึก อบรมให้ผู้ใช้คอมพิวเตอร์มีความเข้าใจ และ ความตระหนักในภัยอินเทอร์เน็ต (Security Awareness Training) โดยในประเทศสหรัฐอเมริกาได้ถูกกำหนดไว้ในกฎหมายด้านสารสนเทศ เช่น Gramm-Leach-Bliley (GLB) Act และ Sarbanes-Oxley (SOX) Act เป็นต้น การทำ IT Risk Assessment ต้องประกอบด้วย 2 วิธีหลัก ๆ คือ Vulnerability Assessment และ Penetration Testing (Ethical Hacking) เพื่อพิสูจน์ว่าระบบของเรามีความแข็งแกร่งและสามารถต่อต้านการโจมตีของแฮกเกอร์และไวรัสในรูปแบบ ต่าง ๆ ได้
9. Outsourcing IT Security to MSSP (Managed Security Services Provider) using “Security Information Management” (SIM) : 24×7 “Real time Monitoring /Correlation Log Analysys/Root Cause Analysys using Certralized Log Management System” 
การ Outsource เรื่องการดูแลรักษาความปลอดภัยระบบสารสนเทศกำลังได้รับความนิยมมากขึ้น เนื่องจากเป็นการประหยัดลดต้นทุนให้องค์กรโดยรวม ตลอดจน MSSP นั้นมีความชำนาญในการเฝ้าระวังการบุกรุกมากกว่าองค์กรธุรกิจทั่วไป ระบบที่จำเป็นต้องใช้สำหรับ MSSP ก็คือ ระบบ “Certralized Log Management System” เพื่อเก็บข้อมูล log จากทุกระบบที่สามารถเก็บ log ได้ กฎหมายสมัยใหม่มีการกำหนดให้ผู้ให้บริการเก็บ log ของระบบไว้ด้วย และ MSSP มีหน้าที่ในการวิเคราะห์ log ด้วยวิธี Correlation Analysis และ Root Cause Analysis เพื่อหาที่มาของการบุกรุกตลอดจน สามารถแจ้งเตือนการบุกรุกได้อย่างทันท่วงที เป็นต้น
10. Internal Control with IT Internal Audit and External Audit : IT Governance by using ISO17799, CobiT and COSO Framework
การควบคุมภายใน (Internal Control) และ การตรวจสอบระบบสารสนเทศภายใน ( IT Internal Audit ) เป็นเรื่องจำเป็นเพื่อจะได้ทราบว่ามีการปฏิบัติตาม Security Policy หรือ “Conpliance” ตามนโยบายด้านความปลอดภัยที่ได้กำหนดไว้หรือไม่ การตรวจสอบโดยองค์กรภายนอก (IT External Audit) โดยบริษัทที่มีความชำนาญโดยตรงในการตรวจสอบระบบสารสนเทศก็เป็นเรื่องที่จำเป็นเช่นกัน เพื่อที่จะได้ความเห็นที่เป็นกลาง และ เราควรปฏิบัติตามคำแนะนำของ IT Auditor เพื่อแก้ไขปัญหาต่าง ๆ ที่เกิดขึ้นในระบบ และปิดช่องโหว่ที่มีผลกระทบกับระบบให้เร็วที่สุดเพื่อลดความเสี่ยงในการถูกโจมตีจากภัยต่างๆในอินเทอร์เน็ต

กล่าวโดยสรุปแนวโน้มและทิศทางของระบบความปลอดภัยข้อมูลในปี 2005 นั้น แฮกเกอร์จะมุ่งเน้นโจมตีที่ “users “หรือ “ผู้ใช้คอมพิวเตอร์ทั่วไป” เป็นหลัก การจัดการบริหารระบบความปลอดภัยอย่างมีประสิทธิภาพนั้นต้องยึดหลัก 3 ประการ ได้แก่ People, Process และ Technology (PPT concept) ผู้บริหารระบบสารสนเทศควรให้น้ำหนักของงบประมาณเฉลี่ยในทั้ง 3 เรื่อง คือ เรื่องการฝึกอบรม Security Awareness Training ให้บุคลากร (People), เรื่องการกำหนดนโยบายด้านความปลอดภัยสารสนเทศและขั้นตอนการปฎิบัติงาน (Process / Policy) ตลอดจนการเฝ้าระวังตลอด 24×7 (Real-Time Monitoring) และ การจัดซื้อจัดจ้างเทคโนโลยีที่เหมาะสม (Technology) และ ไม่ล้าสมัยให้คุ้มค่า Return On Investment (ROI) และ สอดคล้องกับแนวคิดแบบ IT Governance.

การพัฒนาการของกระบวนการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ในปัจจุบันจะสรุปได้เป็น 3 ระยะ ได้แก่ Best Practices => Regulations => Laws ระยะที่หนึ่ง คือ “Best Pratices” ได้แก่ การนำเอาสูตรสำเร็จขององค์กรอื่นที่ใช้ได้ผลมาแล้วมาปรับใช้กับองค์กรของเรา ระยะที่สอง ก็คือ การพัฒนาเป็น “Regulations” กฎข้อบังคับที่ต้องปฏิบัติซึ่งควบคุมโดยหน่วยงานที่มีอำนาจในเรื่องการควบคุมเช่น ธนาคารแห่งประเทศไทย ควบคุม ธนาคารพาณิชย์ หรือ กลต. ควบคุม บล. และ บลจ. เป็นต้น จากนั้น ก็จะพัฒนาถึงระยะที่สาม คือ ออกเป็นกฎหมายเกี่ยวกับสารสนเทศ (Laws) บังคับใช้โดยทั่วไป ซึ่งในสหรัฐอเมริกาก็มีให้เห็นแล้ว เช่น HIPAA Act, GLB Act และ SOX Act เป็นต้น

เรื่อง Information Security นั้นถือเป็นเรื่องใกล้ตัวและนับวันจะยิ่งทวีความสำคัญกับธุรกิจและการดำเนินชีวิตประจำวันของเราจึงจำเป็นต้องศึกษาและทำความเข้าใจอย่างท่องแท้เพื่อที่จะได้ไม่ตกเป็น “เหยื่อ” หรือ “แพะรับบาป” ดังตัวอย่างที่เคยเกิดขึ้นมาแล้วและจะมีกรณีแบบนี้อีกมากในอนาคต.

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนพฤศจิกายน 2547
Update Information : 3 พฤศจิกายน 2547