by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
จากแนวคิดเรื่อง “IT Governance” และ “IT Internal Control” ซึ่งกำลังเป็นที่นิยมและกลายเป็นกฎข้อบังคับในหลายๆองค์กรในขณะนี้ โดยเฉพาะสถาบันการเงินและบริษัทหลักทรัพย์ ล้วนต้องมีการจัดเตรียมความพร้อมของระบบสารสนเทศภายในองค์กรเพื่อให้เป็นไปตามกฏ ข้อบังคับของ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ กลต. เป็นต้น สำหรับองค์กรอื่นๆ ที่ไม่ได้ถูกบังคับโดยกฏระเบียบดังกล่าว ก็เริ่มมีแนวคิดของการควบคุมภายในด้านสารสนเทศ (IT Internal Control) ไม่ว่าจะเป็นเรื่องของการพัฒนานโยบายด้านความปลอดภัยโดยนำแนวทาง “Best Practices” ต่างๆมาใช้ไม่ว่าจะเป็น ISO/ IEC17799 หรือ CobiT/COSO Framework”

ประเด็นการบริหารความเสี่ยงและการประเมินความเสี่ยง (Risk Management & Risk Assessment) เป็นข้อบังคับของ ISO/ IEC17799 และ CobiT Framework หากองค์กรต้องการ Compliance ตามมาตรฐานดังกล่าว
การสำรวจช่องโหว่ของระบบ (Vulnerability Assessment) เป็นขั้นตอนสำคัญในกระบวนการการประเมินความเสี่ยงระบบ สารสนเทศ (Risk Assessment) ทำให้เราทราบว่าองค์กรของเรามีช่องโหว่ในระบบสารสนเทศหรือไม่ ถ้าเราตรวจพบช่องโหว่ ก็จะนำเข้าสู่กระบวนการต่อไปกับการปิดช่องโหว่หรือ Hardening Process
ปัญหาก็คือ หลังจากที่เราได้ปิดช่องโหว่ของระบบแล้ว ยกตัวอย่างเช่นการติดตั้ง Patch หรือ Service Pack ลงในระบบปฏิบัติการที่เราใช้อยู่ เมื่อเวลาผ่านไป เช่น หนึ่งหรือสองสัปดาห์หลังจากการปิดช่องโหว่ เราพบว่ามีการค้นพบช่องโหว่ใหม่ขึ้นกับระบบ (New Vulnerability Discovered) และมีการแจ้งเตือนให้เราทราบว่าเราต้องทำการติดตั้ง Patch ใหม่เพิ่มอีก หลังจากติดตั้ง Patch เพิ่มเติมก็เกิดการค้นพบ Vulnerability ใหม่ๆ อยู่ตลอดเวลาเกิดขึ้นเป็นวัฏจักรที่ไม่รู้จักจบสิ้น เลยเกิดคำถามว่า “เมื่อไรระบบสารสนเทศของเราจะปลอดภัยเสียที” ซึ่งคำตอบก็คือ “ไม่มีวันปลอดภัย100% แต่เราสามารถควบคุมและลดความเสี่ยงให้กับระบบของเราได้มากที่สุดเท่าที่เราสามารถทำได้

Reactive Vulnerability Assessment Vs. Proactive Vulnerability Management
“Vulnerability Assessment” เป็นกระบวนการที่กระทำในลักษณะ Reactive หรืออาจจะเป็น Proactive ได้ ถ้ามีการจัดตารางให้ทำเป็นประจำเช่นทุก 3 เดือน หรือปีละ 2 ครั้ง ซึ่งหลังจากที่เราทำ Vulnerability Assessment แล้วระบบเราไม่ได้ปิดช่องโหว่ การทำ Vulnerability Assessment ก็ไม่มีความหมายและไม่ส่งผลใดๆ ให้ระบบของเราดีขึ้น
“Vulnerability Management” หมายถึง การบริหารจัดการความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่ต่างๆ ของระบบสารสนเทศที่เราใช้อยู่ไม่ใช่แค่เพียงการทำ Vulnerability Assessment ปีละครั้งสองครั้งแต่เป็นการบริหารจัดการความเสี่ยงและช่องโหว่ต่างๆ ของระบบในลักษณะ Proactive หรือ Real Time Vulnerability Assessment กล่าวคือมีการตรวจสอบช่องโหว่ใหม่ๆ ที่อาจเกิดขึ้นอยู่ตลอดเวลาเรียกว่าทำ Vulnerability Assessment ทุกวันก็ว่าได้ การทำ Vulnerability Management ต้องอาศัย “Intelligence Tools” มาจัดการบริหารการตรวจสอบช่องโหว่ใหม่ๆ ที่ถูกค้นพบในแต่ละวัน หลังจากช่องโหว่ถูกค้นพบ และ ขณะนั้นยังไม่มี “Patch” ออกมาแก้ไขในช่วงเวลานั้นถือเป็นช่วงเวลาอันตรายของระบบเราเพราะหากมีแฮกเกอร์บุกรุกเข้ามาสร้างโปรแกรม “Exploit” หรือ โปรแกรมไวรัสคอมพิวเตอร์ขึ้นระบบที่เราใช้อยู่ก็สามารถถูกโจมตีได้อย่างง่ายดาย เนื่องจากยังไม่มี “Patch” ออกมาปิดช่องโหว่ดังกล่าว เราเรียกว่าช่วง Zero-Day
หนทางแก้ปัญหาในช่วงเวลาอันตรายแบบนี้ก็คือเราต้องป้องกันระบบของเราด้วยการปิดบริการ(ports/services) ที่มีช่องโหว่ไม่ว่าจะเป็นการใช้ “Application Layer IPS” หรือ “Router/Switching Access List” เพื่อปิดกั้นบริการหรือ TCP/UDP Port ที่เปิดช่องโหว่อยู่ ตลอดจนใช้ “In-Line IPS” ในการหยุดการทำงานของ “Zero-day Exploit” ที่อาจถูกแฮกเกอร์ยิงเข้ามาในระบบของเราเพื่อเจาะช่องโหว่

จะเห็นได้ว่าหากเราไม่มีการทำ “Proactive Vulnerability Management” เราอาจจะช้าเกินไปที่จะปิดช่องโหว่ใหม่ๆ ที่เกิดขึ้นกับระบบ การรอคอย “Patch” จากผู้ผลิตขณะที่ระบบยังคงมีช่องโหว่อยู่นั้นเป็นความเสี่ยงที่เราไม่สามารถที่จะมองข้ามได้ โดยเฉพาะถ้าช่องโหว่นั้นเป็นระดับ “High Severity” หมายถึงมีผลกระทบรุนแรงกับระบบ การปิดช่องโหว่หรือการ “Harden” ระบบอย่างทันท่วงทีถือเป็นเรื่องจำเป็นเร่งด่วนที่ผู้ดูแลระบบต้องรีบจัดการ หลังจากได้รับสัญญาณเตือนจากระบบ “Vulnerability Management” หรือ ถ้าองค์กรใช้วิธี “Outsource” การดูแล Vulnerability Management ให้แก่ “Managed Security Services Provider (MSSP)” ก็ถือว่าเป็นความรับผิดชอบของ MMSP ในการแจ้งเตือนช่องโหว่ใหม่ๆ ตลอดยี่สิบสี่ชั่วโมง เพื่อที่องค์กรจะได้เตรียมรับมือกับสถานการณ์ที่อาจเกิดขึ้นได้

จุดมุ่งหมายขององค์กรทุกองค์กร ก็คือ ความปลอดภัยของระบบที่สามารถป้องกันตัวเองจากแฮกเกอร์ สปายแวร์ และ ไวรัสต่างๆ ได้อย่างมีประสิทธิภาพ การปิดช่องโหว่อย่างทันท่วงทีเป็นวิธีที่ดีที่สุดในการจัดการกับระบบสารสนเทศที่ในทุกวันนี้เกิดช่องโหว่ใหม่ๆ อยู่ตลอดเวลา

ระบบการติดตั้ง “Patch” แบบอัตโนมัติหรือ “Patch Management Systems” เป็นเรื่องที่ต้องทำต่อจาก “Vulnerability Management” โดยเฉพาะในองค์กรที่มีเครื่องคอมพิวเตอร์เป็นจำนวนมาก ลำพังผู้ดูแลระบบเพียงไม่กี่คนไม่สามารถที่จะ “Patch” ระบบได้อย่างทันท่วงที บางองค์กรใช้เวลาหลายสัปดาห์ในการปิดช่องโหว่ด้านการติดตั้ง “Service Pack” แบบ “Manual” ซึ่งใช้เวลาค่อนข้างมาก ทางแก้ปัญหาที่ดีคือควรจัดเตรียมระบบ “Patch Management” ที่ดีและใช้กำลังคนน้อยที่สุด โดย Microsoft เองมีโปรแกรม Microsoft SUS แจกฟรีเพื่อช่วยให้การติดตั้ง “Patch” ง่ายขึ้น แต่ยังมีปัญหาจุกจิกในบางเรื่อง Microsoft ได้นำเสนอโปรแกรมตัวใหม่คือ Microsoft WUS ซึ่งทำงานบน Windows Server 2003 ซึ่งเพิ่มประสิทธิภาพในการทำงานให้ดีขึ้นกว่าโปรแกรม Microsoft SUS ลองนำมาทดสอบดูหากเราต้องการโปรแกรม “Patch Management” ที่ไม่มีค่าใช้จ่าย (ฟรี) และ สำหรับโปรแกรม “Patch Management” อื่นๆ ที่ไม่ใช่ของ Microsoft นั้นจะเป็นโปรแกรม Commercial ที่เราจะต้องจ่ายค่าลิขสิทธิ์ (Licensing) แต่โปรแกรม Commercial จะมีประสิทธิภาพการทำงานดีกว่าโปรแกรมแจกฟรีอยู่พอสมควร

กล่าวโดยสรุป “Proactive Vulnerability Management” และ “Patch Management” เป็นเรื่องที่ต้องทำไปด้วยกันและทำอย่างต่อเนื่อง เพื่อให้ระบบของเรามีความปลอดภัยสอดคล้องกับมาตรฐานต่างๆ ตามหลักการ “IT Governance” นั่นเอง

จาก : หนังสือ eWeek Thailand
ปักษ์หลัง เดือนกันยายน 2547
Update Information : 27 กันยายน 2547