ก่อนเข้ามาสู่การเจาะระบบ ระบบเครือข่ายที่ดีคือการควบคุมได้จากส่วนกลาง ซึ่งในทางกลับกันถ้าผู้ควบคุมเกิดไม่ใช่เรา แล้วอะไรจะเกิดขึ้น
ดังนั้นก่อนที่เราจะเริ่ม เราต้องถามตัวเองก่อนว่าเราสามารถป้องกันเครือข่ายของเราได้หรือไม่ โดยที่ตรวจสอบช่องโหว่ต่างๆเพื่อไม่ให้บุคคลที่ไม่ต้องการเข้ามาใช้
ความหมายของ Hacker ในมุมมองของผมคือผู้ที่ไม่ได้ทำให้ระบบเสียหาย แต่การเจาะระบบเพื่อให้ได้การควบคุม ซึ่งการควบคุมนี้เป็นความหมายของการแฮก แต่ถ้าเป็นการทำลายระบบจะใช้คำว่าการแครก
แต่หลายครั้งที่ผู้อ่านรู้เทคนิคการแครกระบบแล้วจะทำให้ถูกสาปภายใต้มนต์ดำ นี้ คือถอนตัวไม่ขึ้นอาจเนื่องมาจากความคิดโดยส่วนตัว หรือแรงดันจากภายนอก
สิ่งที่ต้องระวัง เกี่ยวกับกฎหมายที่ลงโทษถ้าผู้อ่านแฮก หรือแครกระบบ
โดยส่วนตัวเราไม่แนะนำให้ทำการแฮกระบบ แต่ถ้าข้อมูลนี้เป็นประโยชน์ในการทำงานก็จำเป็นที่ต้องรู้ ในหลายๆเทคนิคเป็นที่นิยมใช้แต่ยังไม่มีชื่อเสียงณขณะนี้ และหลายๆเทคนิคเป็นเครื่องมือที่ใครๆก็รู้จัก และใช้งานได้
การแครกระบบหลายๆครั้งเป็นเหตุเนื่องจากสงครามทั้งในระดับส่วนตัว หรือองค์กร ซึ่งเน้นเป้าหมายเพื่อให้ระบบเสียหาย และปัจจุบันก็มีการโจมตีอยู่อย่างมากมายในเครือข่ายอินเตอร์เน็ตทุกวันนี้ ตัวอย่างเช่น ถ้ามีคนมาแครกคุณ แล้วคุณมีสิทธิที่แครกเขา คุณคิดว่าจะทำอย่างไร
รัฐบาลหลายๆแห่งพยายามที่จะทำต่อต้านกับกลุ่มความคิดอิสระบน www, แต่สิ่งเหล่านี้ก็ยังถูกเปิดกว้างรวมถึงการเจาะระบบเครือข่ายต่างๆด้วยITM633 การจัดการความมั่นคงปลอดภัยสารสนเทศ
นายอดิศักดิ์ แพงมาลา รหัสนักศึกษา 5107521
การป้องกันการเจาะระบบ
ประวัติ พ.อ.เศรษฐพงศ์ มะลิสุวรรณ (Mobile : 081-8709621 email : settapong_m@hotmail.com) จบการศึกษาระดับปริญญาตรีด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม จากโรงเรียนนายร้อยพระจุลจอมเกล้า (เกียรตินิยมเหรียญทอง) ปริญญาโทและเอกด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคมจากGeorgia Institute of Technology และ State University System of Florida (Florida Atlantic University)ประเทศสหรัฐอเมริกาโดยทุนกองทัพไทย จบการศึกษาหลักสูตรเสนาธิการทหารบก ในระหวางรับราชการในกองบัญชาการกองทัพไทยได้รับคัดเลือกจากกระทรวงกลาโหม สหรัฐอเมริกา เพื่อเข้ารับการฝึกอบรมในหลักสูตรต่อต้านก่อการร้ายสากล(counter Terrorism Fellowship Program) ที่ National Defense University, Washignton D.C. และหลักสูตรการบริหารทรัพยากรเพื่อความมั่นคง (Defense Resource Management) ที่ Naval Postgraduate School, Monterey, CA ประเทศสหรัฐอเมริกา มีประสบการณ์การวิจัยหลายด้านเช่น Electromagnetic Interference and Compatibility (EMI/EMC), Mobile Cellular Communication, Satellite Communication, Broadband Communication และ ICTManagement and Policy โดยมีผลงานตีพิมพ์ระดับนานาชาติทั้งในวารสารการประชุมระดับนานาชาติและ วารสารวิจัยระดับนานาชาติที่เป็นที่ยอมรับมากกว่า 80 ฉบับ มีประสบการณ์การทำงานที่หลากหลายเช่น อาจารย์โรงเรียนนายร้อยพระจุลจอมเกล้า,เลขานุการประธานกรรมการ บริษัท กสท โทรคมนาคม จำกัด (มหาชน) โดยมี พลเอกมนตรี สังขทรัพย์ เป็นประธานบอร์ด, คณะกรรมการกำกับดูแล การดำเนินงานและโครงการของ บริษัท กสท โทรคมนาคม จำกัด(มหาชน), นายทหารฝ่ายเสนาธิการประจำเสนาธิการทหารบก, คณะกรรมการร่างหลักเกณฑ์ใบอนุญาตประกอบกิจการโทรคมนาคมผ่านดาวเทียมสื่อสาร และโครงข่ายสถานีวิทยุคมนาคมภาคพื้นดิน กทช., คณะกรรมการเทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานตรวจเงินแผ่นดิน คณะทำงานวางระบบเทคโนโลยีสารสนเทศ C4ISR กองทัพบก, ผู้พิพากษาสมทบศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง, คณะอนุกรรมการ การประชาสัมพันธ์ สื่อทางอินเทอร์เน็ต ศาลยุติธรรม, ที่ปรึกษาคณะอนุกรรมาธิการพิจารณาศึกษาหามาตรการในการป้องกันการแพร่ระบาด ของเกมส์คอมพิวเตอร์ สภาผู้แทนราษฎร, คณะอนุกรรมาธิการทรัพยากรน้ำในคณะกรรมาธิการทรัพยากรธรรมชาติและสิ่งแวดล้อม สนช.,ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัย พัฒนาและวิศวกรรม ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ(NECTEC), ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัยและพัฒนา กระทรวงกลาโหม, ที่ปรึกษาโครงการดาวเทียมเพื่อความมั่นคง ศูนย์พัฒนากิจการอวกาศเพื่อความมั่นคง กระทรวงกลาโหม, นักวิจัย (Visiting Researcher), Asian Center for Research on Remote Sensing (ACRoRS); Asian Institue of Technology และกรรมการพิจารณาผลงานวิจัยในวารสารวิจัยระดับนานาชาติหลายแห่ง ปัจจุบันปฏิบัติหน้าที่ในตำแหน่ง นายทหารฝ่ายเสนาธิการประจำรองผู้บัญชาการทหารสูงสุด กองบัญชาการกองทัพไทย (พลเอกมนตรี สังขทรัพย์), อาจารย์พิเศษโรงเรียนายร้อยพระจุลจอมเกล้า,กองบรรณาธิการ NGN Forum กทช., คณะอนุกรรมการบริหารโปรแกรมเทคโนโลยีเพื่อความมั่นคง ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC), และ Associate Professor of New Hampshire University, USA.
การเจาะระบบหรือการแฮค (Hacking) คือ อะไร ? ความหมายจากพจนานุกรมออนไลน์ (www.dictionary.com) ให้ความหมายอยู่ 2 ความหมาย คือ
1. To write or refine computer programs skillfully
2. To use one’s skill in computer programming to gain illegal or unauthorized access to a file or network: hacked into the company’s intranet.
คำศัพท์เดิม หมายถึง การเจาะเข้าใช้ระบบอย่างไม่ได้รับอนุญาต คือ คำว่า “แคร็คกิง (Cracking)” ในขณะที่ แฮคกิง (Hacking)
หมาย ถึง ผู้ที่ใช้คอมพิวเตอร์และซอฟต์แวร์อย่างชำนาญ แต่ที่ผ่านมาสังคมได้ใช้คำว่า “แฮคกิง” ในความหมายของการกระทำในทางลบ หรือหมายถึง คนที่ขโมยข้อมูลหรือโจมตีระบบอื่น ๆ แฮคเกอร์ จึงหมายถึง คนที่พยายามเจาะเข้าระบบคอมพิวเตอร์หรือเครือข่ายอื่น(อ้างอิงจาก หนังสือ Master in Security แต่งโดย น.ต.จตุชัย แพงจันทร์ จำหน่ายโดย บ.ไอดีซีอินโฟดิสทริบิวเตอร์เซ็นเตอร์จก. พิมพ์ครั้งที่ 1 มีค.50)
และ แฮกเกอร์ (hacker) หรือนักเจาะระบบข้อมูล ใช้หมายถึงผู้เชี่ยวชาญในสาขาคอมพิวเตอร์ บางครั้งยังใช้หมายถึงผู้เชี่ยวชาญในสาขาอื่นนอกจากคอมพิวเตอร์ด้วย โดยเฉพาะผู้ที่มีความรู้ในรายละเอียดหรือ ผู้ที่มีความเฉลียวในการแก้ปัญหาจากข้อจำกัด ความหมายที่ใช้ในบริบทของคอมพิวเตอร์นั้นได้เปลี่ยนแปลงไปจากความดั้งเดิม ในปัจจุบัน “แฮกเกอร์” นั้นใช้ใน 2 ความหมายหลัก ในทางที่ดี และไม่ค่อยดีนัก ความหมายที่เป็นที่นิยม และพบได้บ่อยในสื่อนั้น มักจะไม่ดี โดยจะหมายถึง อาชญากรคอมพิวเตอร์ ส่วนในทางที่ดีนั้น “แฮกเกอร์” ยังใช้ในลักษณะของคำติดปาก หมายถึง ความเป็นพวกพ้อง หรือ สมาชิกของกลุ่มคอมพิวเตอร์ นอกเหนือจากนี้ คำว่า “แฮกเกอร์” ยังใช้หมายถึงกลุ่มของผู้ใช้คอมพิวเตอร์ โดยเฉพาะโปรแกรมที่มีความสามารถในระดับผู้เชี่ยวชาญ (อ้างอิงจาก http://th.wikipedia.org/wiki )
รูปแบบของการโจมตี
สิ่งที่ทำให้เกิดการโจมตีเนื่องจากการที่ผุ้โจมตีมีแรงจูงใจ ดังนั้น สิ่งแรกที่นักเจาะระบบจะทำคือการตัดสินใจในจุดมุ่งหมายของเขา ขั้นตอนนี้เป็นกระบวนการคิดที่มีสติ แต่บางครั้งเขาก็รู้เพียงแต่ว่าเขาต้องการที่จะโจมตีเป้าหมายที่ไม่มีเหตุผล ที่ชัดเจน รูปแบบของการโจมตีนั้นก็เปลี่ยนแปลงไปตามธรรมชาติของคอมพิวเตอร์และเครือ ข่ายที่มีวิวัฒนาการอย่างต่อเนื่อง ในช่วงปี 1980 นั้นเป้าหมายส่วนใหญ่จะเป็นคอมพิวเตอร์แต่ละเครื่องแต่ในช่วงปี 1990 นั้นเป้าหมายหลักก็กลายมาเป็นระบบเครือข่าย ปัจจุบันเป้าหมายหลักคือ ระบบเครือข่ายที่เป็นโครงสร้างของอินเทอร์เน็ตทั่วโลก โดยทั่วไปนักโจมตีนั้นมีความรู้ความชำนาญสูง และการโจมตีนั้นจะเปลี่ยนจากการค้นหาบัก หรือช่องโหว่ของซอฟต์แวร์หรือแอพพลิเคชั่นเฉพาะไปเป็นการโจมตีช่องโหว่ของ ซอฟต์แวร์หรือฮาร์ดแวร์ที่เป็นโครงสร้างของระบบ นอกจากนั้นการโจมตีบางอย่างก็ยากต่อการตรวจพบได้ แทนที่จะโจมตีระบบคอมพิวเตอร์ที่เป็นโครงสร้างโดยตรง การโจมตีนั้นอาจแอบแฝงมากับข้อมูล ซึ่งทำให้การตรวจจับนั้นทำได้ยาก รูปแบบของการโจมตีนั้นมีความซับซ้อนมากขึ้น ดังนั้นผู้ดูแลระบบต้องพยายามตามให้ทันเพื่อจะได้หาวิธีป้องกันหรือแก้ไขได้ ทันเวลา ต่อไปนี้เป็นรูปแบบการโจมตีที่มักได้ยินเป็นประจำ
1. วิศวกรรมสังคม (Social Engineering)
การโจมตีแบบวิศวกรรมสังคม คือ ปฏิบัติการจิตวิทยาซึ่งเป็นวิธีที่ง่ายที่สุดในการโจมตี เนื่องจากไม่จำเป็นต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์มากนัก และส่วนใหญ่จะใช้ได้ผลดี การโจมตีแบบวิศวกรรมสังคมจะเกี่ยวกับการหลอกให้บางคนหลงกลเพื่อเข้าถึงระบบ เช่นการหลอกถามรหัสผ่าน การหลอกให้ส่งข้อมูลที่สำคัญให้ วิศวกรรมสังคมเป็นจุดอ่อนที่ป้องกันยากเพราะเกี่ยวกับคน
การป้องกันวิศวกรรมสังคมสามารถทำได้สองทาง คือ วิธีแรกก็โดยการทำให้องค์กรมีขั้นตอนการปฏิบัติที่เข้มงวด หรือนโยบายที่เข้มงวดเกี่ยวกับการบอกรหัสผ่านให้คนอื่นทราบ ส่วนอีกวิธีหนึ่งก็โดยการจัดให้มีการอบรมพนักงานเกี่ยวกับนโยบาย และการบังคับให้เป็นไปตามนโยบายการรักษาความปลอดภัย
2. การเดารหัสผ่าน (Password Guessing)
รหัสผ่าน (Password) คือ กลุ่มตัวอักษรและเลขที่ใช้สำหรับการพิสูจน์ทราบตัวจริงของผู้ใช้ และเป็นความลับที่เฉพาะเจ้าของเท่านั้นที่ควรทราบ รหัสผ่านจะใช้คู่กับชื่อผู้ใช้หรือยูสเซอร์เนม (Username) สำหรับล็อคอินเข้าสู่ระบบ ถึงแม้รหัสผ่านจะเป็นกลไกการรักษาความปอลดภัยแรก แต่บางครั้งก็เป็นขั้นตอนเดียวที่ใช้ป้องกันระบบ รหัสผ่านนั้นอาจถือได้ว่าเป็นจุดอ่อน จึงเป็นการยากที่คนๆหนึ่งจะสามารถจดจำรหัสผ่านได้มากมาย ด้วยเหตุผลเหล่านี้ทำให้ผู้ใช้หลายคนเลือกที่จะมีรหัสผ่านที่ง่ายต่อการจำ ซึ่งทำให้เป็นจุดอ่อนของระบบการรักษาความปลอดภัย รหัสผ่านที่ถือว่าง่ายต่อการเดานั้นมีคุณสมบัติคือ
รหัสผ่านที่สั้น เช่น XYZ, abc เป็นต้น
คำที่รู้จักและคุ้นเคย เช่น password, blue, admin เป็นต้น
มีข้อมูลส่วนตัวในรหัสผ่าน เช่น ชื่อ หมายเลขโทรศัพท์ วันเกิด เป็นต้น
ใช้รหัสผ่านเดียวกันกับทุกๆ ระบบที่ใช้
เขียนรหัสผ่านไว้บนแผ่นกระดาษแล้วเก็บไว้ในที่ ๆ หาได้ง่าย
ไม่เปลี่ยนรหัสผ่านเป็นประจำถ้าไม่ถูกบังคับ
ผู้โจมตีนั้นจะใช้ประโยชน์จากจุดอ่อนนี้โดยใช้เทคนิคการเดารหัสผ่าน (Password Guessing)
3. การโจมตีแบบปฏิเสธการให้บริการ (Denial of Service)
การโจมตีที่มีความเสี่ยงน้อยที่สุดคือ การโจมตีแบบปฏิเสธการให้บริการ (Denial of Service) โดยการโจมตีนั้นจะใช้คอมพิวเตอร์ที่ไม่มีระบบการรักษาความปลอดภัยที่แข็ง แกร่ง และทำให้เห็นผลทันทีและทำให้ผู้โจมตีพอใจ เช่น การทำให้เว็บเซิร์ฟเวอร์ล่ม เป็นต้น อย่างไรก็ตามการโจมตีแบบปฏิเสธการให้บริการนี้ก็ทำอะไรได้ไม่มากนัก และอีกอย่างคือ การโจมตีแบบนี้ส่วนใหญ่ผู้โจมตีจะไม่ค่อยได้ประโยชน์อะไรมากนัก การกระทำเช่นนี้จะไม่เห็นในกลุ่มแฮกเกอร์สองประเภทแรก เนื่องจากมันต้องเกี่ยวข้องกับคนและยากที่จะทำได้สำเร็จ ยิ่งแฮคเกอร์มีความชำนาญมากการโจมตีนั้นจะค่อนข้างเฉียบแหลมและได้ผลสูง
4. การถอดรหัสข้อมูล
การเข้ารหัสข้อมูล หรือ Cryptography เป็นคำที่มีรากศัพท์มาจากภาษากรีก 2 คำคือ Crypto ซึ่งหมายความว่า “ซ่อน” และคำว่า “graph” หมายถึง การเขียน ซึ่งหมายถึง ศาสตร์ในการแปลงข้อมูลเพื่อให้ปลอดภัยเมื่อมีการสื่อสารหรือจัดเก็บไว้ที่ใด ที่หนึ่ง ความสำเร็จหรือความปลอดภัยของการเข้ารหัสข้อมูลนั้นขึ้นอยู่กับกระบวนการที่ ใช้สำหรับการเข้าและถอดรหัสข้อความ กระบวนการนี้ขึ้นอยู่กับขั้นตอนที่เรียกว่า “อัลกอริธึม (Algorithm)” โดยอัลกอริธึมจะใช้ค่าที่เรียกว่า “คีย์ (Key)” ที่ต้องใช้ในการเข้าและถอดรหัส ดังนั้น อัลกอริธึมในการเข้ารหัสข้อมูลในปัจจุบันนั้นจะมีความซับซ้อนมากกว่า และก็ขั้นตอนหรืออัลกอริธึมในการเข้ารหัสข้อมูลนั้นจะเป็นที่รู้จักกันดีโดย ทั่วไป แต่สิ่งที่ปกปิดให้เป็นความลับของการเข้ารหัสคือ คีย์ ความยาวของคีย์นั้นจะเป็นสิ่งที่บอกถึงความแข็งแกร่งของการเข้ารหัส ยิ่งคีย์มีความยาวมากยิ่งทำให้กระบวนการในการค้นหาคีย์ยากมากขึ้นแต่ในทาง ตรงกันข้าม ยิ่งคีย์มีความยาวมากก็ยิ่งใช้เวลานานขึ้นในการเข้าและถอดรหัสข้อมูล
สำหรับคีย์ที่สร้างรูปแบบข้อมูลที่เหมือนกันหลายๆครั้งจนทำให้สามารถ วิเคราะห์ได้ว่า ถ้าข้อมูลมีรูปแบบนี้แสดงว่าใช้คีย์นี้แน่นอน คีย์ประเภทนี้จะเรียกว่า “คีย์อ่อน” (Week Key)” วิธีที่ดีที่สุดในการป้องกันก็คือ การระวังที่ไม่ให้คีย์อ่อน โดยทั่วไปคีย์ที่มีความยาวอย่างน้อย 128 บิต นั้นจะถือว่าปลอดภัยเพียงพอในการเข้ารหัสข้อมูล การโจมตีการเข้ารหัส (Cryptanalysis) เป็นกระบวนการที่จะให้ได้มาซึ่งคีย์ในการเข้ารหัสข้อมูล ซึ่งมีหลากหลายวิธี วิธีหนึ่งคือ การใช้กระบวนการทางคณิตศาสตร์ (Mathematical Attack) ซึ่งเกิดจากการใช้การวิเคราะห์ทางสถิติของตัวอักษรที่พบในข้อความที่เข้า รหัสแล้ว แล้วใช้วิธีทางสถิติเพื่อวิเคราะห์หาคีย์ที่ใช้เข้ารหัส แล้วก็ถอดรหัสข้อมูล
การป้องกันการโจมตีทางคณิตศาสตร์นี้ป้องกันได้โดยการไม่ส่งข้อมูลเหมือนกัน หลายครั้ง ถ้าผู้โจมตีรู้ข้อมูลดั้งเดิมการส่งข้อมูลเดียวกันก็อาจทำให้วิเคราะห์หาคีย ได้ง่าย
5. การโจมตีวันเกิด (Birthday Attacks)
เมื่อเราเจอใครครั้งแรก ก็มีโอกาส 1 ใน 365 (0.27%) ที่จะมีวันเกิดเดียวกัน ในการเข้ารหัสข้อมูลนั้นปรากฎการณ์วันเกิดนั้นมีนัยสำคัญอย่างมาก เมื่อเราเข้ารหัสข้อมูลเราอาจจะคิดว่าวิธีที่ดีที่สุดในการเลือกคีย์ที่แตก ต่างคือ การเลือกใช้คีย์แบบสุ่มเลือก อย่างไรก็ตามถ้าเราเลือกคีย์แบบสุ่มเลือก โอกาสที่จะได้คียเหมือนกันนั้นมีมากกว่าที่เราคาดเหมือนกับปรากฎการณ์
6. การโจมีแบบคนกลาง (Man-in-Middle Attacks)
อีกรูปแบบหนึ่งของการโจมตีคือ การพยายามที่จะใช้บัญชีผู้ใช้ที่ถูกต้องในการล็อคอินเข้าไปในระบบ ซึ่งการให้ได้มาซึ่งข้อมูลเหล่านี้ก็โดยการใช้การโจมตีแบบคนกลาง การโจมตีแบบคนกลางของการสื่อสารผ่านระบบคอมพิวเตอร์ เป็นรูปแบบที่พบเห็นได้ทั่วไป การโจมตีประเภทนี้จะทำให้คอมพิวเตอร์สองเครื่องดูเหมือนว่าจะสื่อสารกันอยู่ โดยที่ไม่รู้ว่ามีคนกลางคอยเปลี่ยงแปลงข้อมูลอยู่
การป้องกันการโจมตีแบบคนกลางก็อาจใช้วิธีการเข้ารหัสข้อมูลควบคู่กับการ พิสูจน์ทราบตัวจริงของคู่รับคู่ส่ง การโจมตีแบบคนกลางแบ่งออกเป็น 2 ประเภท คือ แบบแอ็คทีฟ (Active) และแบบพาสซีฟ (Passive) สำหรับแบบแอ็คทีฟนั้นข้อความที่ส่งถึงคนกลางจะถูกเปลี่ยนแปลงแล้วค่อยส่งต่อ ถึงผู้รับ ส่วนแบบพาสซีฟนั้นจะส่งต่อข้อความเดิมที่ได้รับ
การป้องกันการถูกเจาะระบบ
การสแกนเพื่อหาจุดอ่อน (Vulnerability Scanning) และการอัพเดตแพตช์เพื่อปิดช่องโหว่หรือจุดอ่อนนั้นเป็นส่วนที่สำคัญสำหรับ การป้องกัน และการรักษาความปลอดภัยให้กับเครือข่าย เครื่องมือที่ใช้สำหรับการจัดการและอัพเดตแพตช์เป็นส่วนที่สำคัญ และมีประโยชน์อย่างมากในช่วงหลังๆต่อไปนี้เป็นตัวอย่างของเครื่องมือที่ได้ รับความนิยม และนอกจากนี้ยังได้มีการเปรียบเทียบข้อดีข้อเสียเพื่อเป็นข้อมูลสำหรับจัด ซื้อเครื่องมือเหล่านี้มาใช้งานในระบบ
การสแกนเครือข่ายเพื่อค้นหาจุดอ่อน หรือช่องโหว่เป็นสิ่งสำคัญที่จะช่วยทำไห้เครือข่ายปลอดภัยมากยิ่งขึ้น ผู้ดูแลระบบจำเป็นที่ต้องรู้ว่าเครือข่ายมีช่องโหว่หรือจุดอ่อนตรงไหนบ้าง การใช้เครื่องมือด้านการรักษาความปลอดภัยเป็นวิธีที่ง่ายและเป็นวิธีเดียว ที่ใช้ได้ผล การสแกนนั้นควรทำจากหลายๆจุด เช่น จากภายนอกหรืออินเทอร์เน็ต เพื่อทดสอบไฟร์วอลระบบป้องกันจากภายนอก สแกนจากภายในโดยทั้งที่ใช้สิทธิ์และไม่ใช้สิทธิ์ของผู้ดูแลระบบ และสแกน DMZ โซนด้วย
หลังจากที่สแกนเครือข่ายและพบจุดอ่อนหรือช่องโหว่แล้ว ขั้นตอนต่อไปคือ การปิดช่องโหว่ ซึ่งในทางไอทีเราจะเรียกว่า “การอัพเดตแพตช์ (Patch)” ดังนั้น วิธีสแกนหาช่องโหว่หรือจุดอ่อนวิธีหนึ่งก็โดยการสแกนเพื่อเช็คดูว่าระบบนั้น ได้อัพเดตแพตช์นั้นๆหรือยัง ถ้ายังก็สามารถสรุปได้ว่าระบบนั้นยังมีช่องโหว่อยู่ เครื่องมือที่ใช้สำหรับการสแกนหาช่องโหว่ส่วนใหญ่จะมีฟีเจอร์ที่สามารถ อัพเดตแพตช์ให้กับระบบได้ทันที การไม่อัพเดตแพตช์ทันทีอาจเป็นการเพิ่มความเสี่ยงเป็นสองเท่า เพราะนอกจากช่องโหว่ที่ยังไม่ถูกปิดแล้ว การสแกนนั้นอาจถูกประกาศให้สาธารณะทราบ เมื่อมีคนรู้มากขึ้นว่าระบบมีช่องโหว่ก็อาจเป็นเหตุให้ผู้ที่ไม่หวังดี พยายามที่จะเจาะเข้ามาทำลายระบบก็ได้
(อ้างอิงจากหนังสือ Master in Security แต่งโดย น.ต.จตุชัย แพงจันทณื จำหน่ายโดย บ.ไอดีซีอินโฟดิสทริบิวเตอร์ เซ็นเตอร์จก.พิมพ์ครั้งที่ 1 มีค.50)
5 ขั้นตอนในการบริหารจัดการช่องโหว่ในระบบสารสนเทศเพื่อการป้องกันระบบอย่างมีประสิทธิภาพ
เราสามารถเชื่อถือระบบความปลอดภัยข้อมูลของเราได้มากน้อยแค่ไหน ? ระบบของเราปลอดภัยจากแฮกเกอร์และไวรัสคอมพิวเตอร์แล้วหรือยัง ? เป็น FAQ หรือ Frequently Ask Question ที่ถูกถามบ่อยครั้งภายในองค์กร ซึ่งผู้บริหารระบบสารสนเทศก็ยังไม่แน่ใจความปลอดภัยของระบบว่าถึงร้อย เปอร์เซ็นต์หรือไม่ เพราะระบบสารสนเทศนั้นย่อมมี “ช่องโหว่” หรือ “Vulnerability” ที่เกิดขึ้นได้อยู่ตลอดเวลา ไม่ว่าจะเกิดขึ้นจากคนดูแลที่ไม่มีความเข้าใจดีพอ (People) เกิดขึ้นจากกระบวนการจัดการบริหารที่ผิดพลาด (Process) และ เกิดขึ้นจากการเลือกใช้เทคโนโลยีที่ผิดพลาดหรือยังไม่มีเทคโนโลยี (Technology) จะเห็นได้ว่าช่องโหว่นั้นเกิดขึ้นถึง 3 องค์ประกอบคือ PPT (People, Process and Technology) ดังนั้น เราควรมีแผนบริหารจัดการช่องโหว่ ในระบบสารสนเทศจาก 3 องค์ประกอบนี้อย่างบูรณาการ ซึ่งทางบริษัทที่ปรึกษาวิจัย Gartner ได้กล่าวไว้อย่างชัดเจน และนำเสนอวงจรที่แสดงให้เห็นถึงการบริหารจัดการช่องโหว่ในระบสารสนเทศอย่าง ได้ผลจริงในสภาพแวดล้อมปัจจุบันที่เราใช้งานระบบอยู่ ขั้นตอนในการจัดการบริหารช่องโหว่ให้ได้ผลและมีประสิทธิภาพนั้น แบ่งออกเป็น 5 ขั้นตอนดังต่อไปนี้
ขั้นตอนที่ 1 Baseline/Discover
หมายถึง เราต้องกำหนด “Baseline” หรือ “มาตรฐานขั้นต่ำ” ของระบบให้ได้เสียก่อน โดยอาจจะเปรียบเทียบกับมาตรฐานโลกต่าง ๆ ด้านความปลอดภัยข้อมูลคอมพิวเตอร์ที่หลายองค์กรนิยมเอามาใช้ในการตรวจสอบ ระบบ เราต้องเริ่มจากการทำ “Vulnerability Assessment” เพื่อประเมินความเสี่ยงของช่องโหว่โดยการตรวจสอบระบบ (Audit) ว่ามีช่องโหว่อะไรอยู่บ้าง หลังจากนั้นก็ควรทำ “Inventory” เพื่อเก็บข้อมูลจากการตรวจสอบระบบให้เป็นระเบียบเพื่อนำไปใช้ในขั้นตอนที่ 2 ต่อไป การตรวจสอบระบบควรตรวจสอบระบบ Microsoft Windows และระบบ UNIX/Linux ที่ตัว Network Operation System นั้นๆ ตลอดจนตรวจสอบอุปกรณ์เครือข่ายและอุปกรณ์รักษาความปลอดภัยด้วย
ขั้นตอนที่ 2 Prioritize
หลังจากการประเมินความเสี่ยงในขั้นตอนที่หนึ่ง จะทำให้เราทราบถึงระดับความเสี่ยง (Risk Level) ว่ามีระบบใดบ้างที่มีผลกระทบสูง (High Impact) และมีโอกาสเกิดความเสี่ยงสูง (High Probability) เราควรต้องนำระบบดังกล่าวมาจัดลำดับเป็นลำดับต้นๆ เพื่อที่จะได้แก้ไขปัญหาก่อนระบบอื่น ๆ เพราะระบบมีระดับความเสี่ยงสูง (High Risk Level) จากนั้นค่อยมาจัดการระบบที่เหลือที่ยังมีความเสี่ยงกับองค์กรต่อไป สรุปได้ว่าระบบที่มีความเสี่ยงสูง เราจะเลือกมาแก้ไขปัญหาก่อนนั่นเอง
ขั้นตอนที่ 3 Shield and Mitigate
ขั้นตอนนี้คือ “Action Plan” ในการปิดช่องโหว่ที่เราได้ค้นพบจากการตรวจสอบในขั้นตอนที่ 1 และได้จัดระดับความสำคัญในขั้นตอนที่ 2 เรียบร้อยแล้ว การปิดช่องโหว่ให้ทำได้ในหลายวิธีตั้งแต่การเปลี่ยนรหัสผ่าน (Change Weak Password) ที่อ่อนแอ จนถึงการ “Hardening” ระบบ โดยการเปลี่ยนแปลงแก้ไข Configuration ของระบบเสียใหม่ การนำเทคโนโลยีชั้นสูงมาใช้ เช่น IPS (Intrusion Prevention System) หรือ “Scan and Block Technology” ก็เป็นทางออกหนึ่งของการแก้ปัญหาเช่นกัน
ขั้นตอนที่ 4 Control/Eliminate the Root Cause
ขั้นตอนนี้ทำเพื่อที่ไม่ให้ช่องโหว่ที่ถูกค้นพบนั้นกลับมาอีก หมายถึง การแก้ปัญหาที่ต้นเหตุที่แท้จริง การปิดช่องโหว่ในทางเทคนิค เช่นการทำ “Hardening” ให้กับระบบนั้นถือเป็นเรื่องสำคัญที่ต้องรีบทำโดยด่วน แต่ยังไม่ใช่คำตอบสุดท้าย การแก้ปัญหาที่ได้ผล ก็คือ การแก้ไขที่ต้นเหตุที่แท้จริงของปัญหา ชเน การติดตั้ง Patch โดยใช้ระบบ “Patch Management System” หรือการปรับเปลี่ยน workflow ขั้นตอนในการทำงาน เป็นต้น การแก้ปัยหาใหระบบไม่ใช่เพียงการติดตั้ง Patch เพียงอย่างเดียว เราต้องปรับแต่งแก้ไขการติดตั้งค่าระบบ (Change Configuration) ที่ผิดพลาดด้วย หรือเราอาจต้องแก้ไขขั้นตอนการทำงาน (Process) ที่ผิดพลาดเช่นกัน
ขั้นตอนที่ 5 Maintain and Monitor
เราควรติดตั้งระบบ “Change management” หรือ “Configuration Management” เพื่อจัดการกับความเปลี่ยนแปลงที่เกิดขึ้นตลอดเวลา และควรมีการตรวจสอบระบบอย่างต่อเนื่อง (Continuous Audit) โดยเราสามารถ Outsource ให้ MSSP (Managed Security Service Provider) มาดูแลให้เรา จากนั้น เราต้องกลับไปสู่ขั้นตอนที่ 1 คือ การคอยตรวจสอบหาช่องโหว่ของระบบอย่างต่อเนื่อง ดังนั้น เราจะเห็นแล้วว่า เราบริหารจัดการช่องโหว่และการป้องกันผลกระทบที่อาจเกิดจากความเสี่ยงที่เรา มีช่องโหว่ของระบบอยู่นั้น เป็นแนวคิดใหม่ที่เรียกว่า “Proactive Security Management” คือ แก้ไขระบบก่อนที่จะสายเกินแก้ และทำการแก้ไขอย่างรวดเร็วที่สุดเท่าที่จะทำได้ ทั้งนี้ก็เพื่อลดความเสี่ยงโดยรวมให้แก่องค์กร และทำให้เรื่องการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์เป็นเรื่องที่เราสามารถ ควบคุมบริหารจัดการได้อย่างมีประสิทธิภาพในที่สุด.
ไม่มีความคิดเห็น:
แสดงความคิดเห็น