by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team

จากฉบับที่แล้ว Information Security Management Framework (ISMF) ประกอบด้วยขั้นตอนทั้งหมด 7 ขั้นตอน โดยที่ขั้นตอนแรกที่เราต้องทำก่อนก็คือ Risk Management/Vulnerability Assessment ซึ่งเป็นการประเมินความเสี่ยงโดยรวมของระบบ รวมถึง Penetration Testing (PEN-Test) ทั้งแบบ Black-Box และ White-Box หลังจากที่เราได้ผ่านขั้นตอนการประเมินความเสี่ยงของระบบ และได้รายงานสรุปว่าระบบของเรามีช่องโหว่ที่ถูกค้นพบ (Found Vulnerabilities) จากการตรวจสอบด้วยวิธีดังกล่าว เราต้องมาประเมินว่าช่องโหว่นั้น สามารถก่อให้เกิดความเสียหายกับระบบมากน้อยเพียงใด ช่องโหว่บางอย่างอาจไม่ใช่ช่องโหว่ที่จำเป็นต้องปิดในทันที และไม่มีผลกระทบรุนแรงกับระบบเท่าใดนักหากยังไม่ได้รับการแก้ไข แต่ช่องโหว่บางอย่างก็เป็นช่องโหว่ที่ค่อนข้างที่จะส่งผลกระทบ รุนแรงกับระบบหากเราไม่รีบแก้ไข

ดังนั้นเราจึงจำเป็นต้องมีหลักเกณฑ์ในการประเมินผลจากรายงานช่องโหว่ที่เราตรวจพบ และทำการ “Prioritize” หรือจัดลำดับความสำคัญของช่องโหว่ที่เราพบว่า ช่องโหว่แบบไหนมีความจำเป็นต้องแก้ไขโดยด่วน ซึ่งปกติเราจะเรียกช่องโหว่ในลักษณะนี้ว่า “High Risk” ซึ่งก็จะต่างกับช่องโหว่แบบ “Medium Risk” หรือ “Low Risk” ที่หมายความว่ายังไม่ก่อผลกระทบรุนแรงให้กับระบบเหมือนแบบ “High Risk”

หลักเกณฑ์ในการประเมินความเสี่ยงที่ว่าช่องโหว่แบบใดที่เป็น “High Risk” ดูได้จากผลจากรายงานของ “Vulnerability Scanner” ในเบื้องต้น ซึ่ง Vulnerability Scanner ที่ใช้ควรจะใช้หลายๆ ตัวประกอบกัน ยกตัวอย่างที่นิยมใช้กันโดยทั่วไปได้แก่ Nessus (Open Source), Retina, Internet Scanner, Shadow Security Scanner เป็นต้น
ผลจากการรายงานของ Vulnerability Scanner นั้นบางทีก็เชื่อถือไม่ได้เสมอไป เราควรที่จะรวบรวมผลจากการ Scan ที่ได้จาก Scanner หลายๆ ตัว มาประมวลผลรวมกัน โดยใช้ประสบการณ์ในการทำงานด้าน Penetration Testing ประกอบกับข้อมูลเทคนิคการ “Hack” ระบบใหม่ๆ ของพวก Hacker มาช่วยประเมินว่าเราต้องจัดการแก้ปัญหากับช่องโหว่ตัวไหนก่อนเพื่อที่จะทำให้ระบบของเรายังคงมีความปลอดภัย และมีเสถียรภาพเพียงพอที่จะต่อกรกับการโจมตีของ Hacker

วิธีการประเมินความเสี่ยงในส่วนที่เป็น “High Risk” นั้น ให้ยึดหลักของ SANS/FBI Top 20 (http://www.sans.org/top20) เป็นเกณฑ์ในการประเมินเบื้องต้น SANS/FBI Top 20 จะประกอบด้วยช่องโหว่ของ Windows Platform 10 ช่องโหว่และช่องโหว่ของ UNIX/Linux Platform อีก 10 ช่องโหว่ ที่ IT Auditor ตรวจพบอยู่เป็นประจำ ซึ่งช่องโหว่เหล่านี้ล้วนเป็นช่องโหว่ที่เหล่า Hacker ชอบใช้ในการเจาะระบบโดยทั่วไป ซึ่งช่องโหว่บางตัวนั้นก็เป็นช่องโหว่เก่าที่รู้กันมานานหลายปีแล้ว แต่ผู้ดูแลระบบก็ยังไม่ค่อยได้ระมัดระวังเท่าที่ควร

จากประสบการณ์ที่ผมได้ทำงานด้าน Risk Assessment มาพอสมควร พบว่าองค์กรต่างๆ ในประเทศไทยส่วนใหญ่จะตรวจพบช่องโหว่ที่ติดอันดับอยู่ใน SANS/FBI Top 20 ทั้งสิ้น ไม่ว่าจะเป็น Windows Platform หรือ UNIX/Linux Platform ซึ่งแสดงให้เห็นว่าช่องโหว่เหล่านี้ ยังไม่ได้รับการแก้ไขและดูแลอย่างจริงจังจากผู้ดูแลระบบ อาจเกิดจากการที่ไม่เคยประเมินความเสี่ยงของระบบเลยไม่รู้ว่าระบบนั้นมีช่องโหว่ติดอยู่ใน SANS/FBI Top 20 หรือไม่ก็อาจจะทราบว่าระบบมีช่องโหว่ แต่ระบบกำลังใช้งานจริงอยู่จึงเกิดความรู้สึกกลัวว่าเมื่อแก้ไขช่องโหว่ของระบบอาจทำให้ระบบมีปัญหาได้เป็นต้น

Information Security Management Framework (ISMF) ในขั้นตอนที่ 2 จะเน้นไปที่การปิดช่องโหว่หรือการ “Harden” ระบบ ซึ่งเราเน้นไปที่ช่องโหว่ที่เป็นแบบ “High Risk” ก่อน เพราะมีผลกระทบกับระบบมากที่สุดหากเราละเลยไม่ปิดช่องโหว่เหล่านั้น หลักการในการ “Harden” ระบบนั้นหัวใจสำคัญก็คือไม่เปิดใช้บริการที่เราไม่มีความจำเป็นต้องใช้ เช่น ถ้าเราใช้เครื่องทำเป็น Web Server อย่างเดียว เราก็ควรเปิดใช้บริการเฉพาะพอร์ต 80 (http) และพอร์ต 443 (https) เท่านั้น แต่ปัญหาก็คือ เครื่องที่เรานำมาใช้งานเป็น Web Server นั้น ยกตัวอย่างเช่น Windows Platform มีการเปิดใช้งานบริการอื่นๆ โดยเป็นค่า “Default” มาจากการติดตั้งระบบในตอนแรก เช่น จะมีการเปิดพอร์ต TCP 135 ซึ่งเป็น RPC (Remote Procedure Call) Service เป็นผลให้ติด Virus Worm Blaster หรือ Nachi เป็นต้น นอกจากนี้ ยังเปิดพอร์ต TCP139 และ TCP/IP445 เป็นค่าโดยกำหนด ซึ่งเป็นการให้บริการ “File & Print Sharing” เช่นการ Map Network Drive เป็นต้น จะเห็นว่าไม่มีความจำเป็นต้องเปิดพอร์ตดังกล่าว ถ้าเรานำเครื่องมาใช้เป็น Web Server

ดังนั้นการ “Harden” ก็คือการปิดพอร์ตที่ผมได้กล่าวมาแล้วในตอนต้น วิธีการก็มีหลายวิธีเช่น การไป “Stop Service” ที่เราไม่มีความจำเป็นต้องใช้งาน หรือใช้ TCP Filter ซึ่งเป็นความสามารถที่ Windows NT/2000/2003 Server มีมาให้เราใช้งานอยู่แล้ว เรียกได้ว่าเป็น Firewall ให้กับเครื่องแบบไม่ต้องลงทุน บางท่านอาจจะใช้โปรแกรมประเภท Personal Firewall ในการป้องกันและตรวจจับ IP Address ของผู้บุกรุก หรือพวก Virus Worm ทั้งหลายก็จะช่วยได้อีกระดับหนึ่ง

การ “Harden” ที่ได้กล่าวมาแล้วเป็นการทำที่ตัว Host หรือ Server ที่เราใช้งานอยู่โดยตรง ไม่ได้เป็นการไปปิดพอร์ตหรือบริการต่างๆ ที่ Border Firewall หรือ Border Router ของระบบ ซึ่งการที่เราทำการปิดพอร์ตที่ตัวเครื่องโดยตรงจะทำให้เครื่องมีความปลอดภัยมากกว่าการปิดเฉพาะที่ Firewall หรือ Router ลักษณะการปิดพอร์ตเฉพาะที่ตัว Host หรือ Server เราเรียกว่า การทำเครื่องให้เป็น “Bastion Host” ที่มีความปลอดภัยสูงถึงแม้ Hacker จะเจาะผ่าน Firewall มาได้ก็ยังมาติดที่ตัวเครื่องอยู่ดี การใช้งาน Border Firewall หรือ Border Router ACL (Access Control List) ในการปิดช่องโหว่นั้นก็เป็นสิ่งจำเป็นที่ยังต้องทำอยู่ เพราะจะเป็นการผ่อนหนักให้เป็นเบา โดยการ Harden เสริมที่ตัวเครื่อง จะทำให้เกิดความปลอดภัยมากขึ้น

สำหรับการ “Patch” หรือการลง “Hotfix” ให้กับระบบนั้น ก็เป็นสิ่งจำเป็นที่ต้องทำนอกเหนือจากการปิดบริการหรือพอร์ตที่เราไม่ได้ใช้งานเช่นกัน เพราะบริการที่เราใช้อยู่เช่น พอร์ต 80 ที่เปิดบริการ Web Server นั้น อาจจะมีช่องโหว่ที่ตัว Web Server เอง และเราก็จำเป็นต้องเปิดใช้บริการ ดังนั้น เราจึงต้องมีการติดตามลง “Patch” หรือโปรแกรมแก้ไขช่องโหว่ที่เกิดขึ้นในระบบ ซึ่งช่องโหว่ของระบบโดยทั่วไปจะเกิดขึ้นทุกเดือน (ดูข้อมูลได้ที่ www.cert.org หรือ www.securityfocus.com) เราจึงต้องคอยติดตามข่าวช่องโหว่ใหม่ๆ และเข้าไป Download “Patch”, “Service Pack” หรือ “Hotfix” มาลงในเครื่องของเราให้ปลอดจากช่องโหว่ที่มีการค้นพบกันทุกเดือน ยกตัวอย่างถ้าใช้ Windows Platform อยู่ ให้ไปดูที่ www.microsoft.com/securityเป็นต้น

จะเห็นได้ว่าการ Harden ระบบนั้น ไม่ใช่ทำเสร็จแล้วจะจบเลย การ Harden ครั้งแรกจนระบบปลอดจากช่องโหว่นั้นเราเรียกว่า “Get Secure” แต่ปัญหาก็คือ เราจะทำอย่างไรให้ “Stay Secure” นั่นคือ เราต้องคอยติดตามข่าวสารช่องโหว่ใหม่ๆ รายเดือน บางทีอาจเป็นรายสัปดาห์หรือรายวันก็มี และเราต้องคอยลง Patch, Horfix ตลอดจน Service Pack ต่างๆ ที่จะออกมาเป็นระยะๆ เพื่อให้ระบบของเรามีความปลอดภัยอยู่เสมอ

ในฉบับหน้า ผมจะกล่าวถึง Information Security Management Framework (ISMF) ในขั้นตอนที่ 3 ได้แก่ “Practical Information Security Policy” อย่าลืมตืดตามนะครับ

จาก : หนังสือ eLeader Thailand
ฉบับที่178 ประจำเดือนธันวาคม 2546
Update Information : 20 พฤศจิกายน 2546