by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
การจัดการกับระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพด้วย ISMF นั้น ประกอบไปด้วยขั้นตอนทั้ง 7 ขั้นตอน ซึ่งเราปฏิบัติตามขั้นตอนต่าง ๆ ทีละขั้น เริ่มจาก ขั้นตอนที่ 1 คือการตรวจสอบช่องโหว่และประเมินความเสี่ยงให้กับระบบของเราเอง (Risk Management / Vulnerability Assessment) จากนั้นให้ดำเนินการปิดช่องโหว่ที่มีผลกระทบกับระบบในขั้นตอนที่ 2 (Critical Hardening) และกำหนดนโยบายด้านการรักษาความปลอดภัยข้อมูลในเชิงปฏิบัติเพื่อแก้ไขปัญหาในระยะยาวในขั้นตอนที่3 (Practical Security Policy)

สำหรับขั้นตอนที่ 4 ได้แก่ “Defense-In-Depth” และ “Best Practices Implementation” เป็นขั้นตอนที่ใช้เวลานานและมีผลกับองค์กรในระยะยาว ดังนั้น ขั้นตอนนี้จึงเป็นขั้นตอนที่ค่อนข้างละเอียดและต้องการกำลังคนและเวลาในการปฏิบัติ ตลอดจนความรู้เชิงลึกในด้าน Information Security เพื่อทำให้ระบบขององค์กรมีความปลอดภัยทั้งในปัจจุบันและอนาคต เรียกได้ว่าเป็นการจัดการ Information Security แบบบูรณาการ
คำว่า ‘Defense-In-Depth” นั้นเน้นการจัดการแบบ “Layered Security” คือมีการป้องกันระบบเป็นชั้น ๆ เปรียบเสมือนมีประตูหลายชั้นก่อนจะเข้าถึงตัวระบบได้ และมีการแบ่งระบบออกเป็นหลายส่วน ในทางเทคนิคเราเรียกว่า “Compartmentalization” เช่น การทำ VLAN แยกระบบที่สำคัญออกจากกัน หรือการแบ่ง DMZ (Demilitarized Zone) ออกเป็นหลาย ๆ DMZ เช่น Web Sever ไม่ควรอยู่กับ Mail Server ใน DMZ เดียวกัน หรือ Primary DNS ไม่ควรอยู่กับ Secondary DNS ใน DMZ เดียวกันเป็นต้น เพื่อที่จะป้องกันในกรณีที่ Hacker เจาะ Server หรือ Host ใด Host หนึ่งใน DMZ สำเร็จ Hacker ก็จะเจาะ Host ที่อยู่ในบริเวณ DMZ เดียวกันได้ง่าย แต่ถ้าเราแบ่งระบบออกเป็น “หลายชั้น/หลายส่วน” Hacker ก็ต้องใช้ความพยายามมากขึ้นที่จะ “Compromised” หรือ “Hacked” ระบบของเราทั้งหมด

หัวข้อสำคัญที่เราต้องพิจารณาเวลานำยุทธศาสตร์ Defense-In-Depth” มาใช้ประกอบไปด้วย 5 หัวข้อดังนี้

1. “Re-Design Network Perimeter Architectures” / “ออกแบบระบบป้องกันอย่างรัดกุมและให้ความปลอดภัยสูงสุด“หมายถึง ในกรณีที่มีการใช้สถาปัตยกรรมป้องกันระบบ (Network Perimeter Architecture) แบบเดิมอยู่แล้วให้พิจารณาอย่างละเอียดว่า มีการออกแบบที่ได้ความปลอดภัยสูงสุดแล้วหรือยัง เช่น ภายใน DMZ เดียวกันมีทั้ง Web Server, Applications Server และ Database Server แม้จะอยู่หลัง Firewall ถ้า Hacker เจาะ Web Server ได้ก็มีโอกาสที่จะเจาะ Applications Server และ Database Serverได้อย่างไม่ยากนัก ดังนั้นเราควรแยกออกเป็น 3 ส่วนคือ แยก Applications Server ออกจาก Zone ของ Web Server และแยก Database Server ไปอยู่ใน Zone เฉพาะของ Database Server เท่านั้น เพราะข้อมูลที่อยู่ใน Database Server นั้น ถือเป็นข้อมูลที่มีผลกระทบกับองค์กรอย่างมาก และมีความสำคัญกว่าข้อมูลที่อยู่ใน Web Server หาก Hacker เจาะ Web Server ได้ ข้อมูลใน Database Server ก็ยังไม่มีผลกระทบในทันที Hacker จะต้องใช้ความพยายามในการเจาะผ่านเข้าสู่ DMZ ของ Database Server อีกทีหนึ่งเป็นต้นจะเห็นว่าสถาปัตยกรรมที่ใช้หลักการ “Defense-In-Depth” นั้นจะต้องใช้งบประมาณในการติดตั้งและออกแบบระบบค่อนข้างสูงกว่าสถาปัตยกรรมแบบปกติ แต่ก็ให้ผลลัพธ์ที่น่าพอใจในมุมมองของความปลอดภัยข้อมูล
2. “In-Depth Host and Network Devices Hardening”/”ปรับแต่ง Host และ Network Devices ให้มีช่องโหว่น้อยที่สุดเท่าที่จะทำได้”หมายถึง การป้องกันที่ Firewall อย่างเดียวคงไม่เพียงพอ การป้องกันที่ดีที่สุดคือทำในระดับ Host หรือ Network Devices โดยตรงเลย การปิดช่องโหว่ตลอดจน การลง Patch/Hot Fix ให้กับ Host หรือ Network Devices นั้น เป็นเรื่องจำเป็นที่ต้องทำอย่างต่อเนื่องและทำ อย่างเป็นระบบ เพราะช่องโหว่ (Vulnerability) ของระบบนั้น มีให้เห็นในอินเทอร์เน็ตเป็นประจำทุกเดือน
3. “Change Management/Log Monitoring” / “การจัดการกับความเปลี่ยนแปลง“”Change Management” นั้นถือเป็นเรื่องสำคัญที่อยู่ใน ISMF ขั้นตอนที่ 4 เพราะถ้ามีการเปลี่ยนแปลงเกิดขึ้นในระบบ เราก็ควรที่จะบันทึก Event ลง Audit Trail (Audit Log) เพื่อสามารถนำมาตรวจสอบหรือ ทำ “Forensics” ในภายหลังได้ ปัญหาที่เราพบเป็นประจำก็คือ เราไม่ค่อยได้บันทึกความเปลี่ยนแปลงที่เกิดขึ้นในระบบทำให้เราไม่สามารถที่จะตรวจสอบหรือ “Audit” ระบบได้อย่างมีประสิทธิภาพ ดังนั้น “Change Management” เป็นเรื่องที่ไม่สามารถที่จะมองข้ามได้เลยการใช้ Software จัดการกับ “Integrity” ของระบบ เช่น TripWire ว่านับเป็นความคิดที่ดีในการทำ “Change Management” ตลอดจนการใช้ Software ประเภท “Application Firewall” เช่น URLScan/IISLockDown ของ Microsoft หรือ SecureIIS ของ Eeye ก็เป็นวิธีที่สามารถป้องกันระบบในเชิงลึกได้ดีเช่นกัน การติดตั้ง IDS (Intrusion Detection Systems) และ การจัดการกับ Log อย่างเป็นระบบ (Centralized Logging Systems) ก็เป็นสิ่งที่แนะนำให้ทำให้หัวข้อนี้เช่นกัน
4. “Securing your Database and Web Application”/”จัดการระบบความปลอดภัยใน Web Application และ Database Server ในเชิงลึก“หมายถึง หากเราเขียน Source Code เช่น ASP หรือ PHP ของ Web Application โดยไม่ระมัดระวัง เรามีโอกาสที่จะถูก Hacker เจาะระบบผ่านทาง Port 80 หรือ Web Application Security Hacking โดย Firewall และ IDS ไม่สามารถที่จะป้องกันได้เลยการใช้ SSL กับ Web Server นั้นก็ไม่สามารถที่จะป้องกัน Hacker ได้ 100% Hacker ที่ใช้วิธี Hack แบบ “Man-In-The Middle Attack” สามารถ Hijack SSL Session ของเราได้ ดังนั้นวิธีการป้องกันที่ดีที่สุดก็คือ ต้องให้ Web Programmers มี “Awareness” เรื่องความปลอดภัยของ Web Application เสียก่อน เช่น สอนให้รู้เรื่อง Session ID Hacking, Cookies Hijacking, SSL Hackings SQL injection, Cross-Site Scripting ตลอดจนช่องโหว่ต่าง ๆ ทั้ง 10 ข้อของ Web Application จาก OWASP www.owasp.org (Open Web Application Security Project) สำหรับ Database Server ไม่ว่าเราจะใช้ Oracle, IBM DB2, Microsoft SQL Server หรือ Open Source MySQL เราก็ต้องคำนึงถึงช่องโหว่ (Vulnerability) และค่าโดยกำหนด (Default Parameter) ต่าง ๆ ที่มากับตัว Database ที่ทำให้เกิดช่องโหว่ เราควรทำ “Presentation Testing” จาก ISMF ในขั้นตอนที่หนึ่ง และดำเนินการปิดช่องโหว่ในขั้นตอนนี้โดยละเอียด
5. “Thinking on Business Continuity Planning/Disaster Recovery Planning”/ “แผนกู้ระบบฉุกเฉินและแผนการจัดการกับความเสียหายของระบบสารสนเทศโดยไม่ให้กระทบกับธุรกิจ” หมายถึง เราต้องคำนึงในความจริงว่าไม่มีระบบใดที่ปลอดภัย 100% สักวันหนึ่งระบบของเราก็อาจจะถูก Hack และเกิดความเสียหายให้กับธุรกิจ ดังนั้น เราควรเตรียมแผนสำรองฉุกเฉินและดำเนินการกู้ระบบให้เร็วที่สุด (Minimized Downtime) เพื่อให้ผลเสียจากการถูก Hacker มา Compromised (Hacked) ระบบ มีผลกระทบน้อยที่สุดกับธุรกิจ DRP (Disaster Recovery Planning) นั้นเป็นแผนกู้ระบบฉุกเฉินขณะที่ BCP เป็นแผนใหญ่ที่ใช้ในการจัดการกับความปลอดภัยของระบบในระยะยาวเพื่อทำให้ระบบมี Availability ได้ตาม SLA (Services Level Agreement) ที่ฝ่าย IT ต้องทำให้ผู้ใช้คอมพิวเตอร์ตลอดจนผู้บริหารมีความพอใจในระดับหนึ่ง และ ทำให้องค์กรนำ IT มาใช้งานได้อย่างมีประสิทธิภาพ

ส่วนของ “Best Practices” นั้นเป็นส่วนหนึ่งของหลักการ “IT Governance Implementation” กล่าวคือ “Best Practices” นั้น หมายถึง การนำเอาสูตรสำเร็จ หรือ ตัวอย่างการ Implement ที่ดีมาจัดการกับระบบของเรา เช่น ถ้าเราใช้ Microsoft IIS 5.0 เป็น Web Server อยู่ เราก็ควรนำ “IIS 5.0 Best Practices” มาใช้เป็นหลักการในการติดตั้งและตรวจสอบ Web Server ของเรา ซึ่ง “Best Practices” จะประกอบไปด้วยรายละเอียดทางด้านเทคนิคของ Microsoft IIS 5.0 ที่เราควรนำมาปฏิบัติ ตั้งแต่การติดตั้งไปจนถึงการใช้งานรายวันว่าเราควรพิจารณาปิดช่องโหว่ในส่วนใดบ้าง เช่น การจัดการกับค่าโดยกำหนด (Default) ต่างๆ และ การลบไฟล์ตัวอย่าง (Examples Files) ที่ไม่จำเป็นต้องใช้งาน เป็นต้น

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนกุมภาพันธ์ 2547
Update Information : 25 มกราคม 2547