by A.Pinya Hom-anek,
GCFW, CISSP, SSCP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center

จากการเยี่ยมชมงาน RSA Conference 2008 และ Silicon Valley ของโครงการอบรมหลักสูตร Strategic IT Governance for Executives โดย Software Park สวทช. และ สถาบัน ACIS Professional Center ณ กรุงซานฟรานซิสโก ประเทศสหรัฐอเมริกา คณาจารย์และผู้เข้าร่วมอบรมซึ่งส่วนใหญ่เป็นผู้บริหารระบบสารสนเทศ (CIO) และผู้บริหารระบบรักษาความปลอดภัยข้อมูล (CISO หรือ CSO) จำนวน 37 ท่านได้มีโอกาสเข้าร่วมงานสัมมนาด้านความปลอดภัยข้อมูล RSA Conference 2008 ระหว่างวันที่ 7-11 เมษายน 2550 โดยที่งาน RSA Conference 2008 นั้นเป็นงานที่มีผู้เข้าร่วมชมงานมากที่สุดในโลกกว่า 17,000 คน บรรยากาศโดยรวมในงานสัมมนานั้นมีผู้ผลิตและหน่วยงานต่างๆ เข้าร่วมงานกว่า 350 Booths โดยที่ Theme ของงานจะเน้นไปที่เรื่องการปฏิบัติตามกฎหมายต่างๆ ที่บังคับใช้ในประเทศสหรัฐอเมริกา (Regulatory Compliance) เช่น กฎหมาย SOX , HIPAA, และ GLBA ตลอดจนมาตรฐานด้านความปลอดภัยข้อมูลที่สำคัญ เช่น มาตรฐาน ISO/IEC 27001 รวมถึงมาตรฐานด้านความปลอดภัยของธุรกิจบัตรเครดิตได้แก่ มาตรฐาน PCI DSS (Payment Card Industry, Data Security Standard) เป็นมาตรฐานที่ผู้ผลิตหลายรายนำมาเป็นจุดขายผลิตภัณฑ์ด้านความปลอดภัยข้อมูลที่นำมาเสนอในงานสัมมนา สืบเนื่องจาก การที่บริษัทบัตรเครดิตการ์ดชั้นนำได้แก่ VISA, Master, AMEX ได้ประสบปัญหากับการปลอมแปลงบัตรเครดิตจึงมีความจำเป็นที่จะต้องกำหนดมาตรฐานขึ้นเพื่อป้องกันข้อมูลของผู้ถือบัตรเครดิต โดยจะมีการตรวจสอบจาก PCI DSS Qualified Security Associate (QSA) ซึ่งรับบทเป็นผู้ตรวจสอบหรือ PCI DSS Auditor และ ได้รับการ Approved โดย PCI Security Standard Council

จะเห็นได้ว่ากฎหมายและมาตรฐานต่างๆ กำลังกลายเป็นปัจจัยสำคัญในการเลือกซื้อผลิตภัณฑ์ด้านความปลอดภัยข้อมูลตามยุคสมัยที่จำนวนการโจมตีจากอินเทอร์เน็ตกำลังเพิ่มจำนวนขึ้นอย่างรวดเร็ว สำหรับเทคโนโลยีที่น่าสนใจในปีนี้นอกจากเรื่องของ “Regulatory Compliance” แล้ว ได้แก่ เรื่อง Web Application Security หรือ เรื่องความปลอดภัยของการพัฒนา Web Application และ ความปลอดภัยของ Web Site ขององค์กรโดยเน้นไปที่ WAF หรือ Web Application Firewall รวมถึง Code Review หรือ Source Code Analysis (SCA) เนื่องจากสาเหตุหลักของการโจมตี Web Application ก็คือ การเขียนโปรแกรม Web Application ที่ไม่ปลอดภัยโดยความรู้เท่าไม่ถึงการณ์ของ Web Programmer หรือ อาจเกิดจากปัจจัยอื่น คือ การรีบนำโปรแกรมมาใช้เพื่อการตลาด (Time to Market) โดยที่ไม่มีเวลามากพอที่จะตรวจสอบด้านความปลอดภัยข้อมูลให้ดีเสียก่อน ความจำเป็นในการตรวจสอบ Source Code ของ Web Application และ ในการติดตั้งใช้งาน Web Application Firewall กลายเป็นข้อบังคับของ PCI DSS ในหัวข้อที่ 6.6 Information Firewall Clarified จากข้อกำหนดดังกล่าวซึ่งทำให้ตลาดของ WAF และ Code Review Software มีการเติบโตเพิ่มขึ้นในปี 2008-2009

อีกเทคโนโลยีที่ได้รับความสนใจมากพอสมควรได้แก่ เทคโนโลยีในการจัดเก็บ Log (Centralized Log Management) และเทคโนโลยีในการวิเคราะห์ข้อมูลจาก Log หรือที่เรารู้จักกันดีในชื่อเทคโนโลยี SIM (Security Information Management) หรือ SIEM (Security Information & Event Management) ซึ่งในประเทศไทยกำลังตื่นตัวกับเรื่องกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ในช่วงโค้งสุดท้ายก่อนวันที่ 23 สิงหาคม สิงหาคม 2550 ทุกองค์กรที่ให้บริการอินเตอร์เน็ตทั้งภาครัฐและเอกชน จะต้องมีการจัดเก็บ Log การเข้าถึงระบบอินเตอร์เน็ตไว้ไม่ต่ำกว่า 90 วันมิฉะนั้นจะมีโทษปรับไม่เกิน 500,000 บาท ปัญหาในบ้านเราก็คือหลายองค์กรยังไม่เข้าใจหลักการในการจัดเก็บ Log ให้ถูกต้องตามพรบ. เพราะเนื่องจากการจัดเก็บ Log นั้นไม่ใช่แค่เพียงซื้อผลิตภัณฑ์ที่เป็น Centralized Log Management เท่านั้นแต่หากเป็นการติดตั้งให้อุปกรณ์ต่างๆ มีการจัดส่ง Log เข้ามายังส่วนกลางอย่างเป็นระบบต่างหาก ดังนั้นจึงเน้นไปที่การติดตั้งอย่างถูกต้องมากกว่าแค่เพียงการจัดซื้อผลิตภัณฑ์เท่านั้น อีกปัญหาที่พบบ่อยก็คือทางองค์กรเข้าใจว่าการจัดซื้อระบบ SIM นั้นหมายถึงการจัดซื้อระบบ Log ไปด้วยในตัว ซึ่งเป็นความเข้าใจผิดเนื่องจากระบบ ไปด้วยในตัว ซึ่งเป็นความเข้าใจผิดเนื่องจากระบบ SIM ไม่ได้ออกแบบมาใช้ในการจัดเก็บ Log แต่อย่างใด ระบบ SIM ออกแบบมาเพื่อใช้ในการวิเคราะห์ซึ่งต้องการผู้เชี่ยวชาญเฉพาะทางมาจัดการวิเคราะห์ Log ซึ่งองค์กรเองมักจะขาดผู้เชี่ยวชาญดังกล่าวทำให้การจัดซื้อ SIM ไม่ได้ประโยชน์ตามที่ตั้งใจว่าและเป็นการสิ้นเปลืองงบประมาณโดยใช่เหตุ ดังนั้นการแก้ไขที่ถูกต้องคือควรจัดจ้างผู้เชี่ยวชาญในลักษณะ Outsource ยกตัวอย่างเช่น MSSP (Managed Security Service Provider) มาช่วยบริหารจัดการอย่างมืออาชีพในลักษณะสัญญารายเดือนหรือรายปี จะเป็นทางออกที่คุ้มค่าแก่การลงทุนในแง่ของ ROI มากกว่าการที่จะจัดซื้อจัดจ้างและทำการวิเคราะห์ Log จากระบบ SIM ด้วยตัวเอง

เทคโนโลยีใหม่ๆ ในงาน RSA Conference 2008 ในปีนี้ส่วนใหญ่เน้นไปที่เครื่องมือในการบริหารจัดการระบบความปลอดภัยข้อมูลและเน้นไปที่การพัฒนาความรู้ของบุคลากรด้านความปลอดภัยข้อมูลให้เป็นผู้เชี่ยวชาญมากยิ่งขึ้นสังเกตุได้จากทาง (ISC)2 และ ISACA มาออกบู้ธเรื่อง CISSP และ CISA certification ซึ่งเป็นการจัดสอบผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลในระดับสูง มีผู้เข้าร่วมให้การมากกว่าปีก่อนๆ สังเกตุได้จากจำนวนครั้งการจัดสอบ CISSP และ CISA ที่เพิ่มขึ้นในประเทศไทยในช่วง 2-3 ปีที่ผ่านมา สำหรับเทคโนโลยีอื่นๆ ผมขอยกไปกล่าวถึงใน eEnterprise ฉบับหน้าอย่าลืมติดตามนะครับ

จาก : หนังสือ eEnterprise (Thailand)
ประจำ เดือนพฤษภาคม 2551
Update Information : 29 เมษายน 2551