by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team

นับวันโปรแกรมจำพวก Malware หรือโปรแกรมที่ทำงานแบบไม่หวังดีกับระบบของเราจะมีมากขึ้นทุกทีโดย Mal ware จะทำงานในลักษณะที่เป็น Virus ทั้งประเภท Worm หรือหนอนอินเทอร์เน็ต เช่น Blaster, Nachi, CodeRed, Nimda และ พวกม้าโทรจัน (Trojan Horse) แอบดักข้อมูล (Spyware) ตลอดจนโปรแกรมขโมย Cookie และฝัง Malicious Mobile Code (MMC) ผ่านทางช่องโหว่ของอินเทอร์เน็ตเอ็กซ์โพลเรอร์ (IE Vulnerability) เพื่อคอยปรับ IE ให้เป็นไปตามความต้องการของผู้ไม่หวังดี เช่น คอยโฆษณาในลักษณะของ Pop-Up Windows เป็นระยะโดยไม่ได้ร้องขอ (เราเรียกโปรแกรมประเภทนี้ว่า Adware)

หลายๆ องค์กรในประเทศไทยเวลานี้ กำลังปวดหัวกับเรื่องการปราบเจ้า Malware เหล่านี้ให้หมดไปจากองค์กรซึ่งเราพบว่า ไม่ใช่เรื่องง่ายเลย ดังนั้นผมจึงขอสรุป ข้อควรปฏิบัติ 10 ประการที่ควรนำมาปฏิบัติในองค์กรอย่างจริงจังเพื่อจัดการกับปัญหาดังกล่าว โดยมีรายละเอียดดังนี้ครับ

1. หมั่นขยันติดตามข่าวด้าน Information Security และข่าวไวรัสใหม่ๆ ตลอดจนหมั่น Update Patch ให้กับระบบที่เราใช้งานอยู่เป็นประจำ และทำการ “Harden” ระบบให้มีการเปิดใช้บริการ (Services) ต่างๆ หรือ TCP/UDP Port เท่าที่จำเป็น ห้ามนำระบบที่ยังไม่ได้ลง Patch หรือยังไม่ได้รับการ “Harden” มาต่อเชื่อมกับระบบ LAN หรืออินเทอร์เน็ตโดยเด็ดขาด มิฉะนั้น Virus (ในลักษณะ Worm) หรือ Malware ต่างๆ อาจจะวิ่งเข้ามายังระบบของเราอย่างไม่รู้ตัว การจัดการ Update Patch ในเครื่อง Client ที่เป็น Windows Platform ควรจะมีการจัดการอย่างเป็นระบบ แนะนำให้ใช้ Microsoft SUS หรือ HFNetCheck LT จาก www.shavlik.com เพราะเป็นทางเลือกที่ไม่ต้องเสียเงินซื้อ Software และใช้งานได้จริงในองค์กร

2. ติดตั้ง Personal Firewall ให้กับเครื่อง Windows Client ที่มีความเสี่ยงจากการใช้งานอินเทอร์เน็ตโดยมีการฝึกอบรม Security Awareness ให้ผู้ใช้สามารถใช้งาน Personal Firewall ได้อย่างไม่เกิดปัญหา เพราะหากไม่มีการอบรม ผู้ใช้ก็อาจเกิดปัญหาจุกจิกตามมาจากการใช้งาน Personal Firewall เช่น ผู้ใช้จะรู้สึกรำคาญและไม่เข้าใจสิ่งที่ Personal Firewall Alert เตือนผู้ใช้ คือ การจู่โจมของ Virus และ Hacker จากทางเครือข่าย โปรแกรมที่แนะนำได้แก่ Internet Connection Firewall (ICF) ที่มากับ Windows XP อยู่แล้ว หรือใช้โปรแกรม ZoneAlarm จากwww.zonelabs.com ก็ได้เช่นกัน แต่อาจจะใช้ยากหน่อยสำหรับผู้ใช้มือใหม่

3. ติดตั้งโปแกรม Anti-Virus ในลักษณะเป็นแบบ “Enterprise” กล่าวคือ ไม่มองเฉพาะที่เครื่อง Windows Client ที่เป็น Desktop หรือ Notebook เท่านั้น แต่ต้องลงที่ File Server ขององค์กรและลงที่ Mail Server ด้วยจึงจะครบวงจรในการป้องกันไวรัสให้ได้ผล และ ต้องคอย Update Virus Signature อยู่ตลอดเวลาให้ทันสมัยกับไวรัสใหม่ๆอยู่เสมอ อย่างไรก็ตามไม่ควรฝากความหวังไว้กับโปรแกรม Anti-Virus และการ Update Virus Signature ไปเสียทั้งหมด เนื่องจากบางครั้ง Signature ก็อาจจะออกมาไม่ทันกับไวรัสตัวใหม่ๆ ดังนั้นเราจึงต้องปฏิบัติตามข้ออื่นๆ ด้วยจึงจะได้ผล

4. ตรวจสอบความถูกต้องของไฟล์ข้อมูลและไฟล์โปรแกรม เช่น ขนาดของไฟล์และค่า Checksum ของไฟล์ว่ามีการเปลี่ยนแปลงหรือไม่หลังจากที่เปิดเครื่องใช้งานมาได้ระยะหนึ่ง เราเรียกว่าเป็นการทำ “Integrity Checking” โดยใช้โปรแกรมที่ออกแบบมาตรวจสอบ Integrity โดยเฉพาะ เช่น Tripwire มีทั้งเป็น Freeware และ Commercial หรือ ใช้ AIDE ก็เป็น Freeware อีกตัวที่น่าใช้เช่นกัน การใช้งานโปรแกรมตรวจสอบประเภทนี้ จะสามารถป้องกันพวก Rootkit สายพันธุ์ต่างๆ และป้องกันพวก Worm เข้ามาในไฟล์และติดต่อบนระบบของเรา โดยโปรแกรม Integrity Checker จะสามารถตรวจสอบได้ว่าไฟล์ไหนมีการเปลี่ยนแปลงไปจากเดิมบ้าง ทำให้เรารู้ความเคลื่อนไหวของไฟล์ต่างๆ ในระบบของเรา

5. จำกัดข้อมูลขาออก (Outgoing Traffic) ออกจากระบบของเราสู่โลกภายนอก โดยใช้ ACL หรือ Access Control List ที่ Router หรือ Switching Layer 3 ตลอดจนการสร้าง Rule ที่ Firewall ดักจับ Traffic บางอย่างก่อนจะออกสู่อินเทอร์เน็ต โดยจะดักเฉพาะ Traffic แปลกๆ ที่ไม่ปกติแต่พยายามจะต่อออกไปข้างนอกระบบเรา เช่น ติดต่อไปยัง Public IP Address ในอินเทอร์เน็ต โดยที่เราไม่ได้เป็นคนร้องขอแต่อยู่ๆ ก็มี Traffic เกิดขึ้น ซึ่งปกติแล้วลักษณะ Outgoing Traffic แบบนี้มักจะเป็นพวก Virus ประเภท Worm ที่กำลังพยายามแพร่พันธุ์ออกไปจากระบบของเรานั่นก็หมายความว่าถ้าเราตรวจพบ Traffic ที่ว่าก็แปลว่าระบบของเราติด Virus ไปเรียบร้อยแล้วนะครับ

6. เตรียมแผนฉุกเฉินนี้สำหรับเหตุการณ์เฉพาะหน้าที่จะเกิดขึ้นจากปัญหาการติด Virus ใหม่ๆ เรียกว่ามี Incident Response Plan โดยมีการตั้งทีมช่วยเหลือฉุกเฉินขึ้นเฉพาะกิจ (IR Team) ในการจัดการกับไวรัส หรืออาจจะทำสัญญา Outsourcing การดูแลเรื่องไวรัสกับ MSSP (Managed Security Service Provider) และที่สำคัญทีมฉุกเฉินต้องมีอำนาจหรือ Authority ในการจัดการแบบเบ็ดเสร็จในภาวะฉุกเฉินเช่น สามารถสั่งให้ตัดการเชื่อมต่อระบบที่ยังไม่ติดไวรัสจากระบบที่ติดไวรัสชั่วคราวจนกว่าจะแก้ปัญหาระบบที่ติดไวรัสได้ก่อนถึงจะเปิดใช้งานตามปกติได้เป็นต้น

7. มีการแบ่งการป้องกันระบบออกเป็นหลายชั้น ในลักษณะ “Layer Security” หรือ “Defense In-Depth” เช่น มีการติดตั้ง Firewall ชั้นในนอกเหนือจาก Firewall ชั้นนอกที่ต่อเชื่อมกับอินเตอร์เน็ต โดย Firewall ชั้นใน ภายในระบบ LAN นั้น จะคอยป้องกันพวกเครื่อง Server ที่รวมตัวกันเป็นลักษณะ Server Farm เพื่อการใช้งานภายในเท่านั้น จะทำให้ Server มีความปลอดภัยจากไวรัสมากขึ้นกว่าตอนที่ไม่ได้ใช้ Firewall มาป้องกัน

8. ติดตั้งระบบ IDS (Intrusion Detection system) โดยเลือกตำแหน่งการติดตั้งให้เหมาะสมแก่การตรวจเช็คไวรัสใหม่ๆที่จะเกิดขึ้นในอนาคต โดยพิจารณาจากแผนผังเครือข่าย (Network Diagram) โดยเฉพาะในสภาวะแวดล้อมที่ใช้ Switching จะติดตั้งได้ยาก บางครั้งเราอาจต้องติดตั้งในลักษณะที่เป็นการ Mirror หรือ Span Port จาก Switching เพื่อให้สามารถตรวจจับ Traffic ได้โดยไม่ตกหล่น และสามารถเตือนผู้ดูแลระบบได้ทันท่วงที

9. มีการใช้โปรแกรมประเภท Packet Sniffer หรือ RMON Probe Traffic Analyzer ในการตรวจจับปริมาณ Traffic ในเครือข่าย และแยกประเภท Traffic เพื่อให้เราสามารถวิเคราะห์ปัญหาว่า เกิดจากไวรัสทำการ Denial of Service (DoS Attack) ระบบเครือข่ายเราหรือไม่และด้วย Traffic อะไรที่เป็นต้นเหตุของปัญหา

10. มีการกำหนดนโยบาย (Security Policy) การใช้งานอินเทอร์เน็ตในองค์กรอย่างรัดกุมและไม่เปิดช่องโหว่ให้ไวรัสเข้ามาติดในระบบ LAN เช่น ห้ามไม่ให้ผู้ใช้เครื่อง Client ทั่วไปใน LAN ทำการหมุน Modem ออกไปยัง ISP ในแบบ Dial-up Networking เพราะอาจทำให้ไวรัสเข้ามาทาง Serial Port ที่ต่อ Modem อยู่กับสายโทรศัพท์ในระบบ PSTN และสามารถเข้าสู่ระบบ LAN ได้อย่างง่ายดายเนื่องจากที่เครื่อง Client ที่เราหมุน Modem นั่นอีกด้านหนึ่งมีการต่อ LAN โดยผ่าน Ethernet LAN Port เป็นต้น

จะเห็นได้ว่าการแก้ปัญหาประกอบไปด้วยการฝึกอบรมให้ผู้ใช้มี Security Awareness, การเฝ้าระวังด้วย IDS, การตรวจสอบให้แก้ปัญหาด้วย Sniffer, การปราบไวรัสด้วยทีม Incident Response, การกำหนดนโยบาย (Security Policy) ใช้งานอินเทอร์เน็ตที่ถูกต้องและเข้มงวด, การจำกัด Outgoing Traffic, การใช้ Layer Security Concept, การตรวจสอบ Integrity ไปจนกระทั่งการติดตั้งโปรแกรม Anti-Virus และ Personal Firewall ตลอดจนการหมั่น Update Patch และคอยตามข่าวด้าน Security อย่างสม่ำเสมอ ถ้าคุณปฏิบัติตามบัญญัติ 10 ประการนี้ได้ครบถ้วน ผมหวังว่าปัญหาไวรัสและ Malware คงไม่ใช่เรื่องที่ทำให้คุณปวดหัวอีกต่อไปนะครับ สวัสดีครับ

จาก : หนังสือ eWeek Thailand
ปักษ์แรก เดือนธันวาคม 2546
Update Information : 28 พฤศจิกายน 2546