สำหรับภัยอินเทอร์เน็ตประจำปี ค.ศ. 2009 ต่อจากฉบับที่แล้ว มีรายละเอียดดังต่อไปนี้ครับ
7. ภัยจากช่องโหว่ในโปรแกรมประยุกต์ที่ถูกพัฒนาขึ้นอย่างไม่ปลอดภัย (Application Security Threat)
ข้อมูลจาก Gartner Research ระบุว่า การโจมตีของแฮกเกอร์ในปัจจุบันและอนาคตกว่า 70% มุ่งไปที่การโจมตีช่องโหว่ด้านความปลอดภัยข้อมูลในระดับโปรแกรมประยุกต์ (Application Level Attack) ซึ่งในปัจจุบันโปรแกรมเมอร์ หรือ Software Developer ไม่ค่อยได้ให้ความสำคัญกับเรื่องความปลอดภัยข้อมูลมากนัก หรือ อาจจะยังขาดความรู้ด้าน ”Application Security” ทำให้เกิดเป็นช่องโหว่ที่สำคัญยิ่งกว่าช่องโหว่ของโปรแกรมประยุกต์เองเสียอีก โปรแกรมประยุกต์ หรือ Application ส่วนใหญ่ในปัจจุบันล้วนพัฒนาเป็น ”Web Application” ซึ่งปกติจะทำงานผ่านทาง Internet Browser เช่น Internet Explorer, Firefox, Safari โดย Web Server นิยมใช้ Microsoft IIS หรือ Apache และ ภาษาที่นิยมใช้ได้แก่ ASP.NET, JSP และ PHP การเข้าถึง Web Application ผ่านทางพอร์ต TCP 80 (http) และ พอร์ตTCP 443 (https) โดยไฟล์วอลส์ไม่สามารถป้องกันการโจมตี Web Application ผ่านทางพอร์ตทั้งสองได้เลย เพราะไฟล์วอลส์ส่วนใหญ่ไม่เข้าใจ Attack Pattern ในระดับ Application Layer และ พอร์ตทั้งสองเป็นพอร์ตที่จำเป็นต้องเปิดใช้งานอยู่แล้ว (ดูรูปที่ 2) โดยการโจมตีของแฮกเกอร์นิยมใช้ช่องโหว่ทั้ง 10 ประเภทของ Web Application จาก Open Web Application Security Project (www.owasp.org) หรือ อาจหาข้อมูลจาก Web Hacking Incident Database ของ Web Application Security Consortium (www.webappsec.org) มาใช้ในการโจมตี Web Application

รูปที่ 2

สำหรับช่องโหว่ที่แฮกเกอร์นิยมใช้ในการเจาะระบบมากที่สุดตามรายงานจาก OWASP คือ Cross-Site Scripting หรือ XSS Attack และ Injection Flaw หรือ SQL Injection ที่เรารู้จักกันดี (ดูรูปที่ 3)

รูปที่ 3

นอกจากนี้แฮกเกอร์ยังนิยมใช้เทคนิค ”Google Hacking” ในการโจมตีเป้าหมายอีกด้วย ดูข้อมูลเพิ่มเติมได้ที่ Google Hacking Database (http://johnny.ihackstuff.com/ghdb.php)
วิธีการป้องกันภัยจาก Application Security Threat มีรายละเอียดดังนี้
7.1 ติดตั้ง Web Application Firewall (WAF)
เพื่อป้องกันการโจมตีของแฮกเกอร์ในกรณีที่เราไม่สามารถแก้ไขช่องโหว่ของ Web Application ได้อย่างทันท่วงที และเรายังไม่มีการฝึกอบรมให้โปรแกรมเมอร์เข้าใจในเรื่องการเขียนโปรแกรมให้ปลอดภัย (How to write a secured code) ข้อเสียคือเราต้องลงทุนเพิ่มสำหรับการจัดซื้อ WAF
7.2 ตรวจสอบช่องโหว่ของ Web Application ด้วย Web Application Scanner หรือตรวจสอบ Source Code ด้วย Source Code Analysis Tool
การตรวจสอบทั้ง 2 แบบเป็นวิธีการที่ผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) นิยมใช้ในการตรวจหาช่องโหว่ของ Web Application เพื่อเตือนให้ทราบแต่ไม่สามารถแก้ไขหรือป้องกันปัญหาได้เมื่อเปรียบเทียบกับการใช้ Web Application Firewall (WAF) ข้อเสียคือ ได้แค่เพียงข้อมูล Vulnerability แต่ไม่ลึกระดับ Penetration Testing และยังไม่สามารถป้องกันการโจมตีได้
7.3 ตรวจสอบเชิงลึกด้านวิธีการ Black-box Penetration Testing
เป็นการจ้างผู้เชี่ยวชาญจากภายนอกทำการเจาะระบบ Web Application ขององค์กรดูว่ามีช่องโหว่ที่แฮกเกอร์สามารถใช้ในการเจาะระบบเพื่อเข้าถึงข้อมูลสำคัญได้หรือไม่ ผู้เชี่ยวชาญจำเป็นต้องเป็นผู้เชี่ยวชาญพิเศษที่มีความรู้ด้านการทำ Penetration Testing ในระดับสูง มี Certification ที่เกี่ยวข้องกับการทำ Penetration Testing มี Hacking Skill และ มีประสบการณ์ในการทำ Penetration Testing มาแล้วจะทำให้มีมุมมองกว้างขึ้น
การตรวจสอบเชิงลึกด้วยวิธีการ Black-box Penetration Testing ไม่สามารถใช้เพียงแค่ Web Application Scanner มาเจาะระบบได้ ต้องใช้จินตนาการของ Pen-Tester ในการเจาะระบบ หรือจะเรียกว่าต้องคิดแบบเดียวกับแฮกเกอร์ก็ไม่ผิดนัก
7.4 การฝึกอบรม Software Developer ให้เกิดความเข้าใจในการเขียนโปรแกรมให้มีความปลอดภัย
วิธีการนี้เป็นวิธีการแก้ปัญหาที่ยั่งยืนคือเป็นการแก้ปัญหาที่ต้นเหตุของปัญหา (Root Causes of Application Insecurity) คือ การแก้ปัญหาที่ ”คน” (people) และ “กระบวนการ” (process) เสริมไปกับการแก้ปัญหาที่ ”เทคโนโลยี” (technology) ดังที่กล่าวมาแล้ว “คน” จำเป็นต้องเข้ารับการอบรมวิธีการเขียนโปรแกรมให้ปลอดภัย (How to Write a Secured Code) เพราะผู้บริหารควรศึกษากระบวนการในการบริหารความเสี่ยงที่อาจเกิดขึ้นกับการพัฒนาโปรแกรมประยุกต์ที่ไม่ปลอดภัย
ในปัจจุบัน (ISC)² เป็นสถาบันที่จัดสอบและออกใบรับรองผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลคอมพิวเตอร์ที่เรารู้จักกันดี ได้แก่ CISSP และ SSCP ได้ออกมาตรฐาน CSSLP CBK (Certified Secure Software Lifecycle Professional Common Body of Knowledge) (ดูรูปที่ 4 และ รูปที่ 5) ตลอดจนทำการจัดสอบ ฝึกอบรมมาตรฐานในผู้เชี่ยวชาญด้านการพัฒนาโปรแกรมประยุกต์ให้ปลอดภัย ได้แก่ ใบรับรอง Certified Secure Software Lifecycle Professional (CSSLP) โดยเน้นไปที่การแก้ปัญหาด้านความปลอดภัยของโปรแกรมประยุกต์ในทุกขั้นตอนของการพัฒนาโปรแกรมประยุกต์ไม่ว่าจะเป็น SDLC Software Development Model หรือ Non-SDLC Software Development Model เช่น Waterfall Model Spiral Model หรือ Agile Development
ด้วยวิธีการตามแนวคิดนี้จะลดความเสี่ยงในการพัฒนาโปรแกรมประยุกต์ที่ไม่ปลอดภัยด้วยการลดความเสี่ยงในทุกขั้นตอนของการพัฒนาโปรแกรม ไม่ใช่การแก้ปัญหาหลังจากที่โปรแกรมถูกพัฒนาเสร็จแล้ว ทำให้สายเกินไปที่จะแก้ปัญหาได้ทันท่วงที ยังเป็นบ่อเกิดของปัญหา Web Application Hacking ตามมาในที่สุด ดังนั้นกระบวนการในการพัฒนาโปรแกรมให้ปลอดภัย “Secured Software Development Process” จึงจำเป็นต้องศึกษาและถูกนำมาใช้ในองค์กรเพื่อแก้ปัญหาจากสาเหตุที่แท้จริง จะส่งผลให้เกิดความมั่นคงปลอดภัยแก่ Web Application ขององค์กรได้ในระยะยาวเชิงบูรณาการ

รูปที่ 4

รูปที่ 5

8. ภัยจากการใช้งานระบบไร้สาย (Threat from using Mobile and Wireless Systems)
ชีวิตประจำวันของเราในวันนี้จะปฏิเสธไม่ได้เลยว่าเราไม่ได้ใช้งานระบบไร้สาย เช่น การใช้งานโทรศัพท์มือถือ การใช้งาน Wireless LAN ที่บ้านและที่ทำงาน ตลอดจนการใช้งาน Wireless ตามศูนย์การค้าและสนามบิน เป็นต้น จากความนิยมของการใช้งานเครือข่ายไร้สายด้วย 1.Notebook 2.PDA 3.Smart Phone และ 4.iPhone ทำให้เรื่องความปลอดภัยของเครือข่ายไร้สายกลายเป็นประเด็นสำคัญขึ้นมา เพราะข้อมูลที่ถูกส่งผ่าน ”อากาศ” อาจถูกแอบดักข้อมูลได้โดยเจ้าของข้อมูลไม่รู้ตัวเลย อีกทั้งอาจถูกโจมตีโครงสร้างพื้นฐานของระบบ เช่น โจมตี Access Point ด้วยวิธี Denial of Service ทำให้ Access Point ล่ม เป็นต้น
การแก้ปัญหาด้านความปลอดภัยในการใช้งานระบบไร้สาย สามารถสรุปได้ดังนี้
8.1 ควรมีการเข้ารหัสเวลารับส่งข้อมูลระหว่าง Mobile Device และ Base Station หรือ ระหว่างเครื่องลูกข่าย Wireless LAN กับ Access Point เพื่อป้องกันการถูกแอบดักข้อมูลโดยไม่ได้รับอนุญาต เช่น การใช้ Packet Sniffer แอบดักข้อมูล เป็นต้น Algorithm ที่ควรนำมาใช้ในการเข้ารหัสที่ แนะนำในปัจจุบันคือ WPA Version 2 ขึ้นไป โดยเข้ารหัสแบบ AES Encryption
8.2 ควรมีการตรวจสอบชื่อผู้ใช้ (Authentication) ก่อนการใช้งานระบบไร้สาย ร่วมกับการเข้ารหัสข้อมูลในข้อ 8.1 และ ควรใช้โปรโตคอลที่มีการเข้ารหัสเวลาทำการตรวจสอบชื่อผู้ใช้ เช่น โปรโตคอล https หรือ ใช้ Token Device ร่วมกับการใช้รหัสผ่านในรูปแบบของ ”Two Factor Authentication”
8.3 ควรทำการปิดช่องโหว่ด้วยการปิดช่องโหว่ (Hardening) ระบบให้เรียบร้อยก่อนใช้งาน เพราะ ระบบไร้สายอาจมีช่องโหว่ที่สามารถถูกโจมตีแบบ Denial of Service (DoS) Attack ทำให้ระบบไม่สามารถใช้งานได้ตามปกติ จึงควรปิดช่องโหว่ก่อนนำมาใช้งานจริง
8.4 ติดตั้ง Wireless IPS เพื่อป้องกันผู้บุกรุกแบบไร้สาย โดยอุปกรณ์ Wireless IPS จะถูกออกแบบมาพิเศษในการป้องกันการโจมตีอุปกรณ์ไร้สายได้ในหลากหลายรูปแบบและเหมาะสำหรับใช้ในองค์กรมากกว่าที่จะถูกนำมาใช้งานตามบ้าน เนื่องจากมีราคาค่อนข้างสูง
8.5 มีการกำหนดนโยบายและมาตรฐาน (Security Policy and Standard) และ สร้างความตระหนักในการใช้งาน Wirelessอย่างปลอดภัย (Security Awareness Training Program) ในการใช้งานระดับองค์กร และ มีการประชาสัมพันธ์ให้ผู้ใช้ในองค์กรเกิดความเข้าใจและรับทราบวิธีการใช้งานเครือข่ายไร้สายอย่างปลอดภัยโดยผ่านการฝึกอบรม Security Awareness Training และ เซ็นรับทราบเอกสารยินยอมรับเงื่อนไขนโยบายเกี่ยวกับความปลอดภัยระบบสารสนเทศ Acceptable Use Policy (AUP) จะเป็นการแก้ปัญหาแบบบูรณาการและเหมาะกับองค์กรที่มีการใช้งานเครือข่ายไร้สายอย่างจริงจัง
9. ภัยจากปัจจัยภายนอก ได้แก่ การโจมตีจากแฮกเกอร์ระดับมืออาชีพ (Threat from the BlackHAT/Cyber Terrorist)
เราคงเคยได้ยินคำว่า ”Cyber Warfare” หรือ”Cyber War” กันมาบ้าง ซึ่งหมายถึงสมรภูมิรบได้เปลี่ยนจากการรบกันด้วยรถถัง หรือ เครื่องบินรบ มาเป็นการรบกันบน Cyber Space หรือ รบกันบนอินเตอร์เน็ต การจารกรรมข้อมูล หรือ “Cyber Espionage” สามารถจารกรรมผ่านทางอินเตอร์เน็ตโดยไม่ต้องเดินทางไปยังเป้าหมาย หรือ การโจมตีเว็บไซต์ของฝ่ายตรงข้าม ด้วยการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (Web Defacement) หรือ การถล่มเป้าหมายโดยให้เว็บไซต์นั้นใช้งานไม่ได้ ด้วยวิธี การโจมตีแบบ DoSหรือ DDoS Attack นอกจากนี้แฮกเกอร์ที่มีความเชี่ยวชาญสูง ในหลายประเทศ เช่น รัสเซีย หรือ สาธารณรัฐประชาชนจีน ยังรับเป็น “มือปืนรับจ้าง” ในการเจาะระบบของเหยื่อหรือเป้าหมายโดยรับเงินค่าจ้างจากผู้ว่าจ้าง เปรียบเสมือนการจ้างมือปืนไปยิงคู่อริในโลกปัจจุบัน โดยบางครั้งผู้จ้างกับผู้ว่าจ้างอาจยังไม่เคยเห็นหน้ากันเลยด้วยซ้ำ การว่าจ้างส่วนใหญ่จะเป็นการว่าจ้างให้ล้วงข้อมูลของฝ่ายตรงข้ามด้วยวิธีการ “Hack”แบบต่างๆ หรือเป็นการว่าจ้างให้ถล่มเว็บไซต์ของฝ่ายตรงข้ามก็เคยเกิดขึ้นมาแล้วในหลายๆประเทศที่มีปัญหาทางการเมืองระหว่างกัน
การป้องกันภัยจากกลุ่มแฮกเกอร์ (ทางวิชาการเรียกนักเจาะระบบว่าแคร็กเกอร์ แต่คนทั่วไปเข้าใจว่าแคร็กเกอร์คือแฮกเกอร์) หรือ องค์กรของพวกแฮกเกอร์ (Organized Crime) ที่มีเป้าหมายการโจมตีชัดเจน (Targeted Attack) นั้น เราไม่สามารถป้องกันได้ง่ายๆ เพราะแฮกเกอร์เหล่านี้เป็นมืออาชีพที่มีความสามารถสูง ดังนั้น เราควรใช้หลัก “กันไว้ดีกว่าแก้” กล่าวคือ เราควร ประเมิน (Assess) และ ตรวจสอบ (Audit) ระบบขององค์กรในเชิงลึกด้วยวิธีการ “Penetration Testing” โดยผู้เชี่ยวชาญเฉพาะทาง (Pen-Tester) โดยการจำลองการโจมตีของแฮกเกอร์ให้ใกล้เคียงที่สุด (ขึ้นกับฝีมือของผู้เชี่ยวชาญ) เมื่อเราทราบผลจากการโจมตีว่าเรามีช่องโหว่ที่ทำให้ระบบอาจเกิดปัญหาได้ในอนาคตเราก็ควรรีบดำเนินการปิดช่องโหว่ดังกล่าว(Hardening) โดยเร็ว รวมทั้งการติดตั้ง Patch ด้วยระบบ Patch Management และ หมั่นตรวจสอบระบบเป็นระยะๆ อย่างน้อยปีละหนึ่งครั้งหรือทุกครั้งที่มีการเปลี่ยนแปลงในระบบ (Change Management) จะทำให้เรานำหน้าแฮกเกอร์อยู่หนึ่งก้าวเสมอและเพิ่มความปลอดภัยให้ระบบมากขึ้น
10. ภัยจากการใช้เทคโนโลยีและแนวคิดแบบใหม่ ได้แก่ เทคโนโลยี “Virtualization” และ แนวคิด “Cloud Computing” (Threat from using New Technology and New IT Concept)
เราเคยเห็นพัฒนาการของวงการคอมพิวเตอร์ในอดีตจนถึงปัจจุบัน จากความนิยมในระบบ Mainframe หรือ Mini Computer มาเป็นระบบ Client/ Server โดยใช้ UNIX Server และ Windows Server เป็นหลัก ในปัจจุบันเป็นการเข้าสู่ยุคของ Web Applications Web Services และ Web 2.0 ตามลำดับ ตามมาด้วยการพัฒนาของ Hardware เช่น Blade Server Multi-Core Processor และ การนำแนวคิด Grid Computing มาใช้งานจริง รวมทั้งการทำงานในลักษณะ High-performance Computing (HPC) หรือ cluster-based computing
ปัจจุบันเกิดแนวคิดใหม่ที่เรียกว่า “Cloud Computing” ซึ่งต่อยอดมาจากแนวคิด Software as a Service (SaaS) และ แนวคิด Web 2.0 โดยมีการนำเทคโนโลยี “Virtualization” เข้ามาประยุกต์ใช้ร่วมกับแนวคิด Everything as a Service (EaaS)
ลักษณะการให้บริการตามแนวคิด “Cloud Computing” ยกตัวอย่าง เช่น การให้บริการ Software ในลักษณะ Software as a Service (SaaS) หรือ การใช้บริการ Infrastructure ในลักษณะ Infrastructure as a Service (IaaS) ยกตัวอย่าง เช่น Amazon Elastic Compute Cloud (EC2) หรือ GoGridรวมทั้งการให้บริการ Platform เพื่อพัฒนาโปรแกรม Web Application และ Web Services ที่เรียกว่า Platform as a Service (PaaS) หรือ “Cloud Ware” เช่น 1. Amazon Web Services 2. Microsoft Azure Service Platform 3. Google Apps Engine จะเห็นว่าการใช้บริการทั้ง 3 รูปแบบ ผู้ใช้บริการไม่ต้องลงทุนในการซื้อเครื่องแม่ข่าย (Servers) อุปกรณ์จัดเก็บข้อมูล (Storage) และ อุปกรณ์โครงสร้างพื้นฐานด้าน Network และ Security รวมทั้งไม่ต้องซื้อ Software อย่างที่เคยทำมาในอดีต เรียกได้ว่าเป็นการ “เช่าใช้” แทบทุกอย่าง เข้ายุคสมัยที่องค์กรต้องรัดเข็มขัด ประหยัดค่าใช้จ่ายในการบำรุงรักษาระบบ ทั้งค่าใช้จ่ายของบุคลากร ตลอดจนฮาร์ดแวร์และซอฟท์แวร์ต่างๆ ซึ่งผู้ให้บริการ “Cloud Computing providers” เป็นผู้รับผิดชอบค่าใช้จ่ายทั้งหมด โดยจะคิดค่าใช้จ่ายในลักษณะการให้บริการเป็นรายวัน รายเดือน หรือ รายปีกับผู้ใช้บริการ ทำให้ผู้ใช้บริการมีความคล่องตัวและมีอิสระในการเลือกใช้ Infrastructure และ Platform ต่างๆทั้ง Hardware และ Software เพราะทุกอย่างถูกมองเป็น Service ทั้งสิ้น เรียกว่า Everything as a Service (EaaS)
สำหรับเทคโนโลยี Virtualization นั้นมีหลายประเภท โดยเทคโนโลยี Virtualization ประเภทที่กำลังได้รับความนิยมมากขึ้นเรื่อยๆ คือ การทำ Server Consolidation สังเกตุได้จาก Data Center ทั่วโลกกำลังพยายามลดการใช้พลังงาน และ ลดจำนวน Server ลงตามแนวคิด Green IT โดยการนำเทคโนโลยี “Network Virtualization” และ “Server Virtualization” มาใช้ใน Data Center สำหรับฝั่ง client ในมุมมองของ Endpoint Security ก็มีการนำเทคโนโลยี Virtualization มาใช้เช่นกัน ได้แก่ เทคโนโลยี “Desktop Virtualization” หรือ “Virtual Desktop Infrastructure” (VDI) ยกตัวอย่าง เช่น 1. CITRIX XenDesktop (พัฒนามาจาก XenSource Open source Virtualization) 2.VMware View 3. Microsoft Virtual PC และ เทคโนโลยี “Application Virtualization” ยกตัวอย่าง เช่น 1. CITRIX XenApp 2. Microsoft Application Virtualization หรือ App-V (ชื่อเก่า Microsoft SoftGrid) 3. VMware ThinAppซึ่ง Desktop Virtualization นั้นไม่เหมือนกับ Application Virtualization เพราะ Application Virtualization ไม่จำเป็นต้องจำลอง Desktop Environment ของ Operating System เหมือน Desktop Virtualization แต่เป็นการจำลองเฉพาะ Application ที่ทำงานบน Desktop เดียวกัน หรือ เรียกได้ว่า ทำงานบน Operating System เดียวกัน สำหรับผู้ให้บริการ “Cloud Computing Provider” สามารถให้บริการ Desktop Virtualization ที่เรียกว่า “Desktop as a Service” (DaaS)
ดังนั้นเรื่องของความปลอดภัยบนสภาพแวดล้อมแบบเสมือน หรือ “Virtualization Security” ตลอดจนความปลอดภัยบน “Cloud” ตามแนวคิด “Cloud Computing” หรือ “Cloud Computing Security” จึงกลายเป็นประเด็นสำคัญสำหรับองค์กรที่ต้องการนำเทคโนโลยีทั้งสองมาใช้งานอย่างจริงจัง
ประเด็นเรื่องความปลอดภัยที่ต้องระวังจากการใช้เทคโนโลยีและแนวคิดดังกล่าว สรุปได้ดังนี้
10.1 ปัญหาเรื่องความปลอดภัยจากช่องโหว่ในตัวระบบ Virtualization เอง (Virtualization Vulnerability)
ปัญหาเกิดจากการค้นพบช่องโหว่ของโปรแกรมประเภท Virtualization เช่น 1. โปรแกรม VMware Workstation และ VMware ESX Server (ปัจจุบันมีการค้นพบช่องโหว่ของ VMware แล้ว 85 ช่องโหว่ ดูที่ National Vulnerability Database (NVD) http://nvd.nist.gov/ ) 2. Xen Hypervisor และ 3. Microsoft Hypervisor (ปัจจุบันเรียกว่า Microsoft Hyper-V) มีการค้นพบช่องโหว่ (Vulnerability) ใหม่ๆอย่างต่อเนื่อง (ดูรูปที่ 6) ยกตัวอย่าง Exploit ที่ใช้ในการโจมตี Virtualization บน Windows Vista ได้แก่ “Blue Pill Exploit” หรือ “Subvert Rootkit” ดังนั้นองค์กรที่ใช้เทคโนโลยี Virtualization ควรติดตั้ง Patch ให้กับระบบ Virtualization ทุกครั้งที่มีการค้นพบช่องโหว่ใหม่ๆของโปรแกรมประเภทนี้

รูปที่ 6

10.2 ปัญหาเรื่องความปลอดภัยภายในโครงสร้างพื้นฐานของระบบ “Cloud Computing” เอง และปัญหาเรื่องการรักษาความลับและความถูกต้องของข้อมูลภายในระบบ “Cloud Computing”
ปัญหาเรื่องความปลอดภัยข้อมูลกลายเป็นปัญหาใหญ่สำคัญสำหรับผู้ให้บริการและผู้ใช้บริการ “Cloud” เพราะข้อมูลทุกอย่างอยู่ใน “Cloud” ทำให้ต้องมีการรักษาความปลอดภัยอย่างดีเยี่ยม เริ่มจากการรับ-ส่ง ข้อมูลใน Cloud ต้องมีการเข้ารหัสข้อมูลที่มีปลอดภัยสูง รวมทั้งการรักษาความปลอดภัยของโครงสร้างพื้นฐานใน Cloud ไม่ว่าจะเป็น Server, Storage และ Network Device ต่างๆ เพราะข้อมูลสำคัญขององค์กรล้วนถูกประมวลใน “Cloud” ทั้งสิ้น การกำหนด “User Privilege” ในการเข้าถึงข้อมูลจึงเป็นเรื่องสำคัญ รวมทั้งเรื่อง “Regulatory Compliance” หรือ การปฏิบัติตามระเบียบข้อบังคับและกฎหมาย ก็เป็นอีกเรื่องที่ไม่ควรมองข้าม เช่น การเก็บLog ตามพรบ. การกระทำผิดฯ เป็นต้น มีการเข้ารหัสข้อมูลที่เก็บอยู่ใน Cloud และ มีการบริหารจัดการที่ดี เช่น การทำ Data Classification และ Data Segregation ตลอดจนการมีระบบสำรอง (Data Backup) และ ระบบกู้คืนข้อมูล (Data Recovery) ที่ได้มาตรฐาน ประเด็นสุดท้าย คือ ความน่าเชื่อถือและความมั่นคงของ Cloud Computing Provider ก็เป็นอีกเรื่องที่ควรนำมากประเมินเวลาที่องค์กรต้องเลือกใช้บริการด้วย

กล่าวโดยสรุปจะเห็นว่าผลกระทบของภัยจากการใช้เทคโนโลยีใหม่ๆ เป็นสิ่งที่ผู้บริหารระบบสารสนเทศระดับสูงต้องคำนึงถึง โดยเริ่มจากการทำความเข้าใจ และ รับทราบถึงภัยและปัญหาด้านความปลอดภัยข้อมูล ตลอดจนสนับสนุนการดำเนินการแก้ไขปิดช่องโหว่ให้ถูกต้องตามแนวคิด GRC (Governance, Risk Management and Compliance) ที่ผู้บริหารระดับสูงควรยึดถือเป็นหลักการในการบริหารจัดการองค์กรที่ดี (เรื่อง Governance ยังแบ่งออกเป็น Corporate Governance (CG) IT Governance (ITG) และ Information Security Governance) ซึ่งความสนับสนุนจากผู้บริหารระดับสูงมีส่วนสำคัญอย่างยิ่งในการช่วยป้องกันภัยอินเตอร์เน็ตทั้งสิบประการดังที่กล่าวมาแล้วทั้งหมด เพราะหากปราศจากความช่วยเหลือและการสนับสนุนจากผู้บริหารระดับสูงขององค์กรแล้ว ปัญหาด้านความปลอดภัยข้อมูลระบบสารสนเทศก็คงยังไม่สามารถกำจัดให้หมดสิ้นไปจากองค์กรได้ และ จะส่งผลกระทบในการดำเนินธุรกิจธุรกรรมต่างๆขององค์กรที่ใช้ระบบสารสนเทศในการขับเคลื่อนอย่างหลีกเลี่ยงไม่ได้
ดังนั้นผู้บริหารระบบสารสนเทศไม่ว่าจะอยู่ในตำแหน่ง CIO, IT Director หรือ IT Manager ควร “Update” และ “Educate” ข้อมูลภัยอินเตอร์เน็ตทั้งสิบภัยให้กับผู้บริหารระดับสูงขององค์กรที่อยู่ในกลุ่ม Non-IT (CEO, CFO หรือ Board of Director) ในภาษาที่ผู้บริหารที่ไม่ใช่คนไอทีและไม่มีพื้นฐานด้านไอทีสามารถทำความเข้าใจได้ง่าย การใช้ภาษาในการ “Communicate” ระหว่าง “ผู้บริหารไอที” และ “ผู้บริหารระดับสูงที่ไม่ใช่คนไอที” หรือ “Board of Director” จึงมีความสำคัญอย่างยิ่ง เป็นศาสตร์และศิลป์ที่ผู้บริหารไอทีต้องใช้ประสบการณ์ประกอบกับการประยุกต์หลักการ “IT Governance” และ “Information Security Governance” เข้าด้วยกันจึงจะประสบความสำเร็จในการสื่อสารกับผู้บริหารระดับสูงที่อยู่ในกลุ่ม Non-IT เพื่อจะได้รับการสนับสนุนในการป้องกันแก้ปัญหาภัยอินเทอร์เน็ตทั้งสิบภัยดังกล่าวอย่างได้ผลแบบบูรณาการในที่สุด