ดาวน์โหลดงานนำเสนอ
1
Laws and Ethics in Information Technology
Chapter 2 - จุดเริ่มต้นของความมั่นคงปลอดภัยของสารสนเทศ
2
จุดเริ่มต้นของความมั่นคงปลอดภัยของสารสนเทศ
ความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security) มีจุดเริ่มต้นมาจากความต้องการความปลอดภัยของคอมพิวเตอร์ (Computer Security) เพราะในยุคแรก ๆ พบว่าภัยคุกคามต่อความมั่นคงของคอมพิวเตอร์ส่วนใหญ่เป็นภัยคุกคามทางกายภาพ เช่น การลักขโมยอุปกรณ์ การก่อวินาศกรรม การโจรกรรมผลผลิตที่ได้จากระบบ เป็นต้น ต่อมาเมื่อเทคโนโลยีคอมพิวเตอร์ (Software, Hardware, Data) และการสื่อสารมีความก้าวหน้ามากขึ้นจึงเกิดภัยคุกคามหลากหลายรูปแบบ เช่น การโจรกรรมข้อมูลที่เป็นความลับ การลักลอบเข้าสู่ระบบโดยไม่ได้รับอนุญาต ตลอดจนการทำลายระบบด้วยวิธีต่าง ๆ ซึ่งก่อให้เกิดความเสียหายทั้งต่อบุคคลและทรัพย์สินอย่างมาก จึงต้องมีการกำหนดขอบเขตของความมั่นคงปลอดภัยคอมพิวเตอร์เพิ่มเติม โดยให้ครอบคลุมถึงความปลอดภัยของข้อมูล จำกัดการเข้าถึงข้อมูล และจำกัดระดับความเกี่ยวข้องกับข้อมูลของคนในองค์กรด้วย ซึ่งขอบเขตที่เพิ่มเติมเข้ามาเหล่านี้เพื่อเสริม “ความมั่นคงปลอดภัยของสารสนเทศ”
3
ความมั่นคงปลอดภัยของสารสนเทศ
ความมั่นคงปลอดภัยของสารสนเทศคืออะไร แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ แนวคิดของความมั่นคงปลอดภัยของสารสนเทศตามมาตรฐาน NSTISSC องค์ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย แนวทางในการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศ วงจรการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ บทบาทของบุคลากรสารสนเทศในด้านความมั่นคงปลอดภัย
4
ความมั่นคงปลอดภัยของสารสนเทศคืออะไร
ความมั่นคงปลอดภัย (Security) คือ สถานะที่มีความปลอดภัย ไร้กังวล กล่าวคืออยู่ในสถานะที่ไม่มีอันตรายและได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือโดยบังเอิญ [E. Whitman and J.Mattord, 2005] เช่น ความมั่นคงปลอดภัยของประเทศ ย่อมเกิดขึ้นโดยมีระบบป้องกันหลายระดับ เพื่อปกป้องผู้นำประเทศ ทรัพย์สิน ทรัพยากร และประชาชนของประเทศ เป็นต้น องค์กรต้องการให้เกิดความมั่นคงปลอดภัยย่อมต้องมีระบบป้องกันหลายระดับเพื่อเสริมสร้างความมั่นคงปลอดภัยในส่วนต่าง ๆ ดังนี้
5
ความมั่นคงปลอดภัยขององค์กร
ความมั่นคงปลอดภัยทางกายภาย (Physical Security) ความมั่นคงปลอดภัยส่วนบุคคล (Personal Security) ความมั่นคงปลอดภัยในการปฏิบัติงาน (Operations Security) ความมั่นคงปลอดภัยในการติดต่อสื่อสาร (Communication Security) เป็นการป้องกันสื่อที่ใช้ในการติดต่อสื่อสาร รวมถึงเทคโนโลยีที่ใช้ในการติดต่อสื่อสาร ความมั่นคงปลอดภัยของเครือข่าย (Network Security) เป็นการป้องกันองค์ประกอบ การเชื่อมต่อ และข้อมูลในเครือข่ายคอมพิวเตอร์ ความมั่นคงปลอดภัยของสารสนเทศ Information Security เป็นการป้องกันระบบสารสนเทศขององค์กร
6
ความมั่นคงปลอดภัยของสารสนเทศ (Information Security)
ความมั่นคงปลอดภัยของสารสนเทศ คือผลที่เกิดขึ้นจากการนำนโยบาย และระเบียบปฏิบัติมาสร้างให้เกิดเป็นระบบการป้องกันที่ใช้ในการพิสูจน์ทราบ ควบคุม และป้องกันการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต ( Policy, Awareness, and Training Information Security Management Network Security Computer & Data Security
7
ความมั่นคงปลอดภัยของสารสนเทศ (ต่อ…)
Policy, Awareness, and Training Information Security Management Network Security Computer & Data Security ความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย ความมั่นคงปลอดภัยของข้อมูลและคอมพิวเตอร์ (Computer and Data Security) ความมั่นคงปลอดภัยของเครือข่าย (Network Security) การจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management) ทีมงานที่รับผิดชอบต้องดำเนินการทุกส่วนร่วมกันเพื่อกำหนดนโยบาย (Policy) สร้างความตระหนักในความมั่นคง (Awareness) และจัดหลักสูตรฝึกอบรม (Training) ให้เกิดการเรียนรู้ในเรื่องความมั่นคงปลอดภัยและเทคโนโลยีที่เกี่ยวข้อง
8
คุณลักษณะของความมั่นคงปลอดภัยของสารสนเทศ
กลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์ ได้กำหนดให้สารสนเทศที่มีความมั่นคงปลอดภัย จะต้องประกอบด้วยคุณลักษณะ 6 ประการ คือ 1. ความลับ (Confidentiality) 2.ความสมบูรณ์ (Integrity) 3.ความพร้อมใช้ (Availability) 4.ความถูกต้องแม่นยำ (Accuracy) 5.เป็นของแท้ (Authenticity) 6.ความเป็นส่วนตัว (Privacy) C.I.A Triangle
9
ความลับ Confidentiality
เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ องค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น การจัดประเภทของสารสนเทศ การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้ ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้ ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบัน มีสาเหตุมาจากความก้าวหน้าทางเทคโนโลยี ประกอบกับความต้องการความสะดวกสบายในการสั่งซื้อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อการทำธุรกรรมต่าง ๆ ออนไลน์ โดยลืมไปว่าเว็บไซต์เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก
10
ความสมบูรณ์ (Integrity)
ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งปลอมปน ดังนั้น สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน สารสนเทศจะขาดความสมบูรณ์ ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลง ปลอมปนด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศดั้งเดิมจากแหล่งกำเนิด ภัยคุกคามสำคัญต่อความสมบูรณ์ของสารสนเทศ สามารถเกิดขึ้นได้ทั้งจากภายในและภายนอกองค์กร เช่น Virus และ Worm ซึ่งถูกพัฒนาขึ้นมาเพื่อปลอมปนข้อมูลที่กำลังเคลื่อนย้ายไปมาในเครือข่าย หรือที่ถูกจัดเก็บในเครื่องคอมพิวเตอร์
11
ความพร้อมใช้ Availability
ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้นหากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลวในที่สุด เช่น การป้องกันสารสนเทศส่วนบุคคลของนิสิต กล่าวคือ ข้อมูลการศึกษาจะต้องพร้อมใช้งานต่อผู้ใช้ที่ได้รับอนุญาต ซึ่งเป็นสมาชิกของคณะหนึ่ง ๆ ของวิทยาเขตฯ ดังนั้น ก่อนเข้าถึงข้อมูลจึงต้องมีการระบุตัวตน (Identification) ว่าเป็นนิสิตในสังกัด และพิสูจน์ได้ว่าได้รับอนุญาตจริง (Authorization) สมาชิกจึงสามารถเข้าถึงและเรียกใช้ข้อมูลได้ตามลักษณะ รูปแบบ และระดับสิทธิ์นั้น ได้
12
ความถูกต้องแม่นยำ (Accuracy)
ความถูกต้องแม่นยำ หมายถึง สารสนเทศต้องไม่มีความผิดพลาด และต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้ ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตาม เมื่อนั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ” ความเป็นของแท้ (Authenticity) สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน เช่น การได้รับ จากผู้ส่งซึ่งผู้รับทราบแน่นอนว่าเป็นใคร (ไม่รวม Forward Mail ซึ่งไม่ทราบแหล่งกำเนิดสารสนเทศใน ที่แท้จริง) เป็นต้น ความเป็นส่วนตัว (Privacy) ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเข้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้นมิฉะนั้นจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ
13
หลักความมั่นคงปลอดภัยของสารสนเทศตามมาตรฐาน NSTISSC
คณะกรรมการ NSTISSC (The National Security Telecommunications and Information Systems Security Committee) คือ คณะกรรมการด้านความมั่นคงโทรคมนาคมและระบบสารสนเทศแห่งชาติของต่างประเทศ NSTISSC was established by President Bush under National Security Directive 42 (NSD 42) entitled, "National Policy for the Security of National Security Telecommunications and Information Systems," dated 5 July (พ.ศ. 2533)
14
คณะกรรมการ NSTISSC (The National Security Telecommunications and Information Systems Security Committee) The NSTISSC provides a forum for the discussion of policy issues, sets national policy, and promulgates (ประกาศแถลง) direction, operational procedures, and guidance for the security of national security systems which contain the following classified information : involves intelligence activities ; involves cryptographic activities related to national security; involves command and control of military forces ; involves equipment that is an integral part of a weapon or weapons system(s); or is critical to the direct fulfillment of military or intelligence missions (not including routine administrative and business applications).
15
หลักความมั่นคงปลอดภัยของสารสนเทศตามมาตรฐาน NSTISSC
คณะกรรมการ NSTISSC ได้กำหนดหลักความมั่นคงปลอดภัยของสารสนเทศขึ้นมา ซึ่งมีคุณลักษณะของ C.I.A Triangle เป็นแกนหลัก และต่อมาก็ได้กลายเป็นมาตรฐานการประเมินความมั่นคงของระบบสารสนเทศ Technology Education Policy Confidentiality Policy Education Technology Confidentiality Integrity Integrity Availability Availability Storage Processing Transmission Storage Processing Transmission
16
หลักความมั่นคงปลอดภัยของสารสนเทศตามมาตรฐาน NSTISSC
Technology Education Confidentiality Policy Policy Education Technology Confidentiality Integrity Integrity Availability Availability Storage Processing Transmission Storage Processing Transmission รูปทางซ้าย เป็นแกนหลักความมั่นคงฯ ตามมาตรฐาน NSTISSC มีลักษณะ 3 มิติ ดังนี้ C.I.A Triangle เป็นแกนตั้ง ความมั่นคงทางด้านแหล่งจัดเก็บข้อมูล (Storage) การประมวลผล (Processing) และการขนส่งข้อมูล (Transmission) เป็นแกนนอน การกำหนดนโยบาย (Policy) การให้การศึกษาเรียนรู้ (Education) และเทคโนโลยี (Technology) เป็นแกนมิติที่ 3
17
หลักความมั่นคงปลอดภัยของสารสนเทศตามมาตรฐาน NSTISSC
Technology Education Confidentiality Policy Policy Education Technology Confidentiality Integrity Integrity Availability Availability Storage Processing Transmission Storage Processing Transmission รูปทางขวา อธิบายในมุมมองรูปลูกบาศก์ 3 x 3 x 3 ซึ่งประกอบด้วย 27 เซลล์ ถ้าแต่ละเซลล์เป็นตัวแทนของส่วนประกอบต่าง ๆ ของความมั่นคงของระบบสารสนเทศ สามารถอธิบายดังตัวอย่างต่อไปนี้ ถ้าต้องการให้ระบบสารสนเทศมีความปลอดภัยทั้ง 27 เซลล์ จะต้องได้รับการจัดการ และการจัดสรรความมั่นคงปลอดภัยอย่างเหมาะสม เช่น ช่องที่เกิดจากการตัดกันระหว่าง Technology, Integrity, และ Storage นั้น ต้องการกันควบคุมป้องกันโดยใช้เทคโนโลยีเพื่อปกป้องความสมบูรณ์ของสารสนเทศที่จัดอยู่ในแหล่งจัดเก็บ (Storage) จำเป็นต้องกำหนดนโยบายการป้องกันเพื่อเป็นแนวทางการปฏิบัติงานด้วยเทคนิควิธีที่เลือกใช้
18
ความมั่นคงปลอดภัยขององค์ประกอบต่าง ๆ ของระบบสารสนเทศ
1. ซอฟต์แวร์ (Software) ในโครงการพัฒนาซอฟต์แวร์ใด ๆ ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลา ต้นทุน และกำลังคนที่จำกัด ส่วนใหญ่จะพบว่าการเพิ่มความปลอดภัยให้กับซอฟต์แวร์มักจะทำภายหลังจากพัฒนาซอฟต์แวร์เสร็จแล้ว ไม่ได้ทำในตอนต้นของกระบวนการพัฒนา (เช่น การ Patch ภายหลัง เพื่อแก้ไขปัญหาช่องโหว่) ทำให้ซอฟต์แวร์มีจุดอ่อนง่ายต่อการโจมตี ซึ่งจะส่งผลกระทบต่อข้อมูลของระบบสารสนเทศด้วย Patch หรือ Software Patch คือ ซอฟต์แวร์หรือโปรแกรมคอมพิวเตอร์ ที่ถูกเขียนออกมาเพื่อซ่อมแซมหรือแก้ไขจุดบกพร่องของซอฟต์แวร์เวอร์ชั่นเดิม การเขียน Patch ออกมานั้น มักมีวัตถุประสงค์เพื่อการแก้ไขปัญหาเร่งด่วน การแก้บัก (Bug) หรือเพื่อปิดช่องโหว่ของซอฟต์แวร์ที่อาจจะถูกโจมตีจากผู้ไม่หวังดีหรือจากไวรัสคอมพิวเตอร์ได้ง่าย โดยมักจะไม่ได้ถูกเขียนออกมาเพื่อเพิ่มฟังก์ชั่นการทำงาน ที่เรียกว่า Software update หรือการออก Service Pack ตัวอย่างการออก Software patch เช่น WordPress โปรแกรมสร้างเว็บไซต์ประเภท CMS ได้ออกซอฟต์แวร์ของตนเวอร์ชั่น 3.9 ออกมาเพื่อให้ Webmaster นำไปสร้างเว็บไซต์ แต่ปรากฏว่ามีผู้ตรวจพบช่องโหว่ของซอฟต์แวร์ซึ่งช่องโหว่นี้จะเปิดโอกาศให้ถูกโจมตีจาก Hacker ได้ง่าย ดังนั้นผู้พัฒนา WordPress จึงรีบทำการแก้ไขโดยการออก Patch มาแก้ไข โดยเรียกชุดที่แก้ไขแล้วว่า WordPress 3.9.1
19
Patch นั้นสามารถทำออกมาได้ 2 รูปแบบใหญ่ๆคือ
1. ทำเป็นซอฟต์แวร์ชุดใหม่ เวอร์ชั่นใหม่ออกมาแบบทั้งชุด เพื่อนำไปติดตั้งหรืออัพเกรดทับซอฟต์แวร์ชุดเดิม 2. ทำเป็น Patch file ขนาดเล็กๆ เพื่อให้ตรวจสอบซอฟต์แวร์ที่ติดตั้งไปแล้ว เมื่อเจอจุดที่มีปัญหาก็จะเขียนชุดคำสั่งลงไปแก้ไข หรือ Copy ชุดคำสั่งที่ถูกต้องลงไปทับชุดคำสั่งเดิมที่มีปัญหา ตัวอย่าง Patch สำหรับอัพเกรด iPhone
20
ผลกระทบของช่องโหว่ในซอฟต์แวร์
ช่องโหว่นี้มีผลกระทบทั้งผู้ใช้และระบบที่ให้บริการ ซึ่งทั้งสองกลุ่มนี้มีโอกาสที่จะถูกโจมตีจากช่องโหว่ดังกล่าว เพื่อสั่งให้ประมวลผลคำสั่งอันตรายจากระยะไกล หรือที่เรียกว่า Remote Code Execution [ตัวอย่างผลกระทบที่เกิดกับผู้ใช้] 1. ผู้ใช้งานที่ใช้ระบบปฏิบัติการที่ได้รับผลกระทบเชื่อมต่อกับ WiFi ที่ผู้ไม่หวังดีเตรียมไว้ ก็มีโอกาสที่ผู้ใช้งานจะถูกโจมตีผ่าน DHCP โดยผู้ไม่หวังดีสามารถใช้วิธีการฝังคำสั่งอันตรายและส่งเข้ามาทางพารามิเตอร์ของ DHCP ซึ่งเครื่องผู้ใช้งานจะรับคำสั่งดังกล่าวมาประมวลผลในทันที DHCP ทำหน้าที่อะไร หน้าที่หลักๆของ DHCP (Dynamic Host Configuration Protocol) คือคอยจัดการและแจกจ่ายเลขหมายไอพีให้กับลูกข่ายที่มาเชื่อมต่อกับแม่ข่ายไม่ให้หมายเลขไอพีของลูกข่ายมีการซ้ำกันอย่างเด็ดขาด อาทิ เครื่องคอมพิวเตอร์ตัวหนึ่งได้ทำการเชื่อมต่อกับ DHCP Server เครื่องเซฟเวอร์ก็จะให้ หมายเลขไอพีกับเครื่องคอมพิวเตอร์ที่มาทำการต่อเชื่อมแบบอัตโนมัติ ซึ่งไม่ว่าจะมีเครื่องคอมพิวเตอร์เชื่อมต่อมากเท่าไร DHCP Server ก็จะออกเลขหมายไอพีให้คอมพิวเตอร์แต่ละเครื่องไม่ซ้ำกันทำให้เครือข่ายนั้นไม่เกิดปัญหาในการใช้งาน
21
ผลกระทบของช่องโหว่ในซอฟต์แวร์ (ต่อ ……..)
[ตัวอย่างผลกระทบที่เกิดกับระบบ] 2. ผู้ให้บริการที่มีการใช้งานเว็บแอปพลิเคชันประเภท CGI เช่น PHP-CGI ที่มีการรับส่งค่าผ่านซอฟต์แวร์ Bash สามารถถูกโจมตีได้ โดยผู้ไม่หวังดีสามารถใช้วิธีการส่งคำสั่งอันตรายผ่านพารามิเตอร์ของ HTTP Header และเครื่องให้บริการเว็บจะรับคำสั่งดังกล่าวมาประมวลผลในทันที อย่างไรก็ตามจากการตรวจสอบพบว่าการใช้งานของ PHP ผ่าน Mod PHP ของ Apache ในรูปแบบปกติ หรือลักษณะอื่นๆที่คล้ายคลึงกันจะไม่ได้รับผลกระทบ เนื่องจากไม่ได้ใช้วิธีการส่งค่าพารามิเตอร์ในลักษณะเดียวกับ CGI อย่างไรก็ตามรูปแบบของการโจมตีด้วยช่องโหว่ดังกล่าวอาจไม่ได้จำกัดอยู่ในกรณีที่ระบุมาเท่านั้น และอาจจะไม่ได้ถูกค้นพบในทันที ณ ช่วงเวลาปัจจุบัน โดยปกติหากมีความคืบหน้าเกี่ยวกับช่องโหว่ในซอฟต์แวร์ระบบปฏิบัติการใดๆ ทางไทยเซิร์ตจะอัปเดตให้ทราบต่อไป
22
2. ฮาร์ดแวร์ (Hardware นโยบายความมั่นคงปลอดภัยที่มีต่อฮาร์ดแวร์ ใช้นโยบายเดียวกับสินทรัพย์ที่จับต้องได้ขององค์กร คือการป้องกันฮาร์ดแวร์จากการลักขโมยหรือภัยอันตรายต่าง ๆ เช่น การจำกัดการใช้งานอุปกรณ์เหล่านั้น การจัดสถานที่ที่ปลอดภัยให้กับอุปกรณ์ รวมถึงการจัดสถานที่ที่ปลอดภัยให้กับอุปกรณ์หรือฮาร์ดแวร์ เพื่อลดโอกาสการเข้าถึงสารสนเทศได้ในระดับหนึ่ง 3. ข้อมูล (Data) ข้อมูล/สารสนเทศ เป็นทรัพยากรที่มีค่ามาก และเป็นเป้า หมายหลักของการโจมตีโดยเจตนา ถึงแม้ว่าสารสนเทศในปัจจุบันจะมีระบบปฏิบัติการฐานข้อมูลที่มีเครื่องมือรักษาความมั่นคงปลอดภัยในเบื้องต้นที่มีประสิทธิภาพอยู่แล้วก็ตาม แต่การป้องกันที่แน่นหนาขึ้นก็มีความจำเป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยทั้งนโยบายและกลไกป้องกันที่ดีควบคู่กัน การเป็นเจ้าของข้อมูล (Data Ownership) แบ่งออกเป็น 3 กลุ่ม
23
การเป็นเจ้าของข้อมูล (Data Ownership) แบ่งออกเป็น 3 กลุ่ม
ผู้ดูแลข้อมูล (Data Custodians) ทำงานร่วมกับ Data Owners โดยตรง ทำหน้าที่จัดเก็บรักษาข้อมูล รวมถึงป้องกันภัยคุกคาม ทำการสำรองข้อมูล ดำเนินการตามขั้นตอนที่ระบุไว้ในนโยบายและแผนงานความมั่นคงปลอดภัย ผู้ใช้ข้อมูล (Data Users) คือผู้ใช้ปลายทางที่ทำงานกับข้อมูลโดยตรง ดังนั้น End User ก็คือพนักงานทุกคนในองค์กร ต้องปฏิบัติตามขั้นตอนการรักษาความปลอดภัยที่ถูกกำหนดไว้
24
4. บุคคลากร (People) บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมากที่สุด โดยเฉพาะบุคลากรที่ไม่มีจิตสำนึกและจรรยาบรรณในอาชีพ ก็เป็นจุดอ่อนที่สุดของการโจมตีได้ เนื่องจากผู้ไม่หวังดีสามารถเกลี้ยกล่อมให้บุคคลากรขององค์กรเปิดระบบให้โดยไม่จำเป็นต้องใช้เครื่องมือใด ๆ วิธีการนี้คือ Social Engineering ด้วยวิธการดังกล่าว บุคคลากรอาจถูกหลอกลวงเพื่อให้ข้อมูลบางอย่างแก่มิจฉาชีพได้ จึงได้มีการศึกษา Social Engineering นี้อย่างจริงจัง เพื่อเป็นการป้องการการหลอกหลวงบุคลากรให้เปิดเผยข้อมูลบางอย่างที่ทำให้เข้าสู่ระบบได้ โดยอาศัยลักษณะนิสัยที่เป็นจุดอ่อนของบุคคลากร
25
ช่องทางการโจมตีระบบความมั่นคงปลอดภัยของคอมพิวเตอร์
ตามบทความนี้ บทความไอที 24 ชั่วโมง, รายการไอที 24 ชั่วโมง ได้มีการจัดช่องทางการโจมตีระบบความมั่นคงปลอดภัยของคอมพิวเตอร์ไว้ 2 แบบใหญ่ ๆ การโจมตีด้วยช่องทางทางเทคนิค 1.1 ผ่านช่องโหว่ของโปรแกรม หรือ ระบบ (Vulnerability) ถ้าอ่านข่าวจากเว็บต่างประเทศ จะใช้ศัพท์คำว่า Exploit (คือโปรแกรม หรือชุดคำสั่งที่การอาศัยช่องโหว่ของระบบในการโจมตี) หรือ Zero-day(หมายถึงการโจมตีที่ช่องโหว่ของโปรแกรมหรือระบบ ที่ไม่มีใครรู้มาก่อนว่ามีช่องโหว่นั้นอยู่ หรือรู้แล้วแต่ยังไม่มี patch สำหรับอุดช่องโหว่ หรือยังไม่มี signature ของโปรแกรมด้าน security สำหรับตรวจหาการโจมตีที่ว่าในเวลานั้น) จัดเป็นการโจมตีทางเทคนิค ซึ่งไม่ว่าจะเป็น IP Spoofing, DoS (Denial of Service), DDoS (Distributed Denial of Service), Man-in-the-Middle ฯลฯ ล้วนอาศัยช่องโหว่ของโปรแกรมระบบปฏิบัติการ ช่องโหว่ของโปรแกรมเว็บบราวเซอร์ หรือช่องโหว่ของโปรแกรมเว็บเซอร์ฟเวิร์ เป็นช่องทางผ่านสำหรับการเข้าโจมตี ทั้งนั้น ซึ่งแฮกเกอร์อาจต้องมีความรู้ความชำนาญสูงเพื่อพัฒนาซอฟต์แวร์มาใช้เอง หรือดาวน์โหลดพวก Toolkits ต่างๆ มาใช้
26
ช่องทางการโจมตีระบบความมั่นคงปลอดภัยของคอมพิวเตอร์
1.2 ผ่านทางช่องทางการฝังตัวเองไว้กับไฟล์ (File-infector) หรือเซคเตอร์ระบบ (System Sector) ภายในหน่วยความจำ ของเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ ต่อมาเมื่อมีการเรียกโปรแกรมที่ติดไวรัส ส่วนของไวรัสจะทำงานก่อนและจะถือโอกาสนี้ฝังตัวเข้าไปอยู่ในหน่วยความจำ โปรแกรมพวก malware ประเภท virus จะใช้ช่องทางนี้ในการโจมตี 1.3 ผ่านทางช่องทางการแฝงตัวเองไว้ไว้ในโปรแกรมที่ดูน่าสนใจ เช่นโปรแกรมยูทิลิตี้ให้ใช้งาน หลอกให้ผู้ใช้หลงคิดว่าเป็นซอฟต์แวร์ถูกกฎหมายและใช้งานฟรี เมื่อโปรแกรมถูกเปิดใช้งาน malware ก็จะเริ่มทำงาน โปรแกรมพวก malware ประเภทม้าโทรจัน จะใช้ช่องทางนี้ในการโจมตี
27
ช่องทางการโจมตีระบบความมั่นคงปลอดภัยของคอมพิวเตอร์
การโจมตีโดยใช้เทคนิคทางจิตวิทยาสังคม ที่เรียกว่าวิธี วิศวกรรมสังคม (Social Engineering) ซึ่งเป็นวิธีการที่มีมานานแล้ว เมื่อพูดถึงเรื่องความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ (Computer Security) ผู้ใช้งานคอมพิวเตอร์จำนวนไม่น้อย ที่มีพื้นฐานด้านคอมพิวเตอร์ไม่มาก มักถูกปลูกฝังความเชื่อเอาไว้ว่า หากมีการติดตั้งโปรแกรมป้องกันไวรัส (หรือที่เรียกว่า แอนตี้ไวรัส [Anti-virus]) แล้วจะปลอดภัยจากไวรัส แต่ในความเป็นจริงแล้ว “กุญแจล็อกดีปานใดก็ไร้ประโยชน์ หากเจ้าของบ้านเปิดประตูบ้านเชิญขโมยเข้าไป”
28
ระวัง! การโจมตีโดยใช้เทคนิคจิตวิทยา”Social Engineering” บทความไอที 24 ชั่วโมง, รายการไอที 24 ชั่วโมง ในโลกแห่งความจริง ช่องทางในการโจมตีจากผู้ไม่หวังดี เพื่อให้เครื่องคอมพิวเตอร์ของเรา มีโปรแกรมไม่พึงประสงค์ที่เรียกว่ามัลแวร์ (Malware) ไปติดตั้งมีหลายช่องทาง ไม่ว่าจะเป็นการอาศัยสื่อพาหะต่าง เช่นในอดีตเคยใช้แผ่นดิสก์ ปัจจุบันก็เป็นอีเมล์ และพวกแฟลชไดร์ฟ หรือแพร่กันผ่านทางระบบเครือข่าย หรือเพียงแค่เปิดเว็บก็โดนเจาะระบบได้เช่นกัน
29
วิศวกรรมสังคม (Social Engineering)
หากเปรียบระบบคอมพิวเตอร์เป็นเหมือนกับที่อยู่อาศัยแล้ว พวกซอฟต์แวร์และฮาร์ดแวร์ด้านความมั่นคงปลอดภัยต่างๆ ไม่ว่าจะเป็น แอนตี้ไวรัส, ไฟร์วอลล์ (Firewall), Intrusion Detection System (IDS) ฯลฯ ก็เหมือนกับแม่กุญแจล็อก หรือระบบป้องกันขโมยต่างๆ และไม่ว่าระบบจะมีประสิทธิภาพดีเพียงใดก็ตาม ย่อมมีช่องโหว่ให้ผู้ไม่หวังดีเจาะเข้ามาได้ไม่ทางใดก็ทางหนึ่ง แต่อาจต้องใช้ความรู้ความสามารถและความพยายามมาก บางครั้ง การพยายามเจาะระบบต้องใช้เวลานานมากเกินจนไม่คุ้มที่จะทำ และบางครั้งเจาะครั้งแรกเข้าไปได้แล้ว แต่พอจะเจาะครั้งที่สอง อาจมีการอัพเกรดระบบความมั่นคงปลอดภัยแล้ว วิธีเดิมใช้ไม่ได้แล้ว ผู้ไม่ประสงค์ดีจึงคิดใหม่ทำใหม่ … หากไม่อยากเสียเวลาไปสะเดาะกุญแจเพื่อหาทางเข้าบ้านที่ล็อกเอาไว้ วิธีง่ายที่สุด คือ หลอกให้เจ้าของบ้านเปิดประตูเชิญเข้าไปเอง เพราะถ้าเป็นแบบนี้ ไม่ว่าจะอัพเกรดกุญแจเป็นแบบไหนก็ตาม หากหลอกให้เจ้าของบ้านเปิดประตูให้เข้ามาได้ ระบบและกลไก และมาตรการใด ๆ ก็ไม่สามารถป้องกันความมั่นคงปลอดภัยได้
30
SOCIAL ENGINEERING SPECIALIST
Because there is no patch for human stupidity คำกล่าวด้านบนชัดเจนมาก … “ไม่มี patch ใด (หมายถึง ซอฟต์แวร์ที่ถูกทำขึ้นมาเพื่อปิดช่องโหว่ของโปรแกรมหลักหรือระบบ) มาแก้ไขความโง่ของมนุษย์ได้” เทคนิควิศวกรรมสังคมนั้นมีประสิทธิภาพมาก เพราะผู้ไม่ประสงค์ดีไม่จำเป็นต้องมีความรู้ด้านคอมพิวเตอร์ในเชิงเทคนิคมาก ที่สำคัญคือ ระบบป้องกันใดๆ ก็ไร้ผล เพราะการโจมตีไม่ได้โจมตีที่ระบบ แต่เป็นการโจมตีที่ผู้ใช้ระบบต่างหาก เทคนิคนี้ถูกนำไปใช้เพื่อเป้าหมายหลายๆ อย่าง ดังตัวอย่างต่อไปนี้
31
หลอกเอาบัญชีผู้ใช้งานและรหัสผ่าน
แฮกเกอร์จะพยายามหาวิธีหลอกให้เรากรอกข้อมูล ชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password) เช่น อาศัยโปรแกรม Windows Live Messenger ส่งที่อยู่เว็บ (URL) มาให้ โดยบอกว่าเป็นเว็บฝากรูปที่เพิ่งถ่ายไว้ พอเข้าไปดู จะปรากฏหน้าจอให้ต้องล็อกอินเข้าไปก่อนด้วยบัญชีของ mail ถึงจะเข้าดูรูปได้ บางทีก็สร้างหน้าเว็บหลอกให้คนหลงคิดว่าเป็นเว็บจริง แล้วหลอกให้กรอกข้อมูล ดังรูป เป็นการหลอกให้หลงเชื่อว่า Gmail กำลังจะย้ายข้อมูลไปไว้เซิร์ฟเวอร์อื่น ขอให้กรอกข้อมูล Username และ Password ของเราลงไป เพื่อทำการย้ายข้อมูลด้วย (สังเกตว่าปุ่มเป็น Move ไม่ใช่ Login เหมือนปกติ)
32
อีกวิธีหนึ่งที่ใช้หลอก คือ หลอกว่าเป็นโปรแกรมสำหรับแฮก Gmail เพียงแต่ต้องใส่ชื่อผู้ใช้งานและรหัสผ่าน Gmail ของเรา พร้อมกับ Gmail Address ของคนที่เราต้องการจะแฮก จากนั้นคลิก Hack Them แล้วรหัสผ่านของคนที่เราต้องการจะแฮกจะโผล่มา แต่จริงๆ แล้วเบื้องหลัง กลับกลายเป็นว่า หากเราใส่ชื่อผู้ใช้งานและรหัสผ่านของ Gmail เราเข้าไปแล้ว ข้อมูลจะถูกส่งไปให้กับแฮกเกอร์ที่หลอกเราแทน วิธีนี้ก็ได้ผลไม่น้อย เพราะมีบางคนมีนิสัยอยากแฮกเมล์คนอื่น (พวกแก๊ง Call Center ที่หลอกเอาข้อมูลบัตรเครดิตหรือบัญชีธนาคาร หรือหลอกให้เราโอนเงินให้ ก็อยู่ในหมวดหมู่นี้เช่นกัน)
33
หลอกให้ติดตั้งโปรแกรม
คนที่ไม่ค่อยมีพื้นฐานคอมพิวเตอร์กลัวมากอย่างหนึ่งก็คือ ไวรัส และพวกมัลแวร์ต่างๆ เพราะมักจะได้ข่าวความเสียหายแรงๆ อยู่เสมอ ผู้ไม่หวังดีจะอาศัยจากความกลัวของคนให้เป็นประโยชน์ โดยหลักๆ แล้ว เทคนิควิศวกรรมสังคมในการหลอกให้คนติดตั้งโปรแกรม มักมาในรูปของซอฟต์แวร์ป้องกันไวรัสปลอมๆ (Fake Antivirus หรือ Fake AV) พวกนี้มักจะเป็นหน้าต่างป๊อบอัพขึ้นมาเวลาเปิดเว็บ (หรือบางทีมาจากพวกมัลแวร์ตัวอื่นที่อยู่ในเครื่องของเรา) โดยทำหน้าตาให้เหมือนกับโปรแกรมป้องกันไวรัสชื่อดังๆ แล้วทำเป็นเหมือนกับว่ากำลังสแกนเครื่องคอมพิวเตอร์ของเราอยู่ แล้วพบไวรัสจำนวนมาก Fake AV จะบอกว่า หากต้องการกำจัด ก็ต้องไปดาวน์โหลด (และอาจเสียเงินด้วย) ตัวเต็ม มาจัดการ หากใครเผลอไปดาวน์โหลดมาจะได้มัลแวร์ตัวจริงเต็มๆ มาไว้ในเครื่อง แทนที่จะได้โปรแกรมป้องกัน
34
หลอกให้ลบ ความพยายามในการโจมตีระบบคอมพิวเตอร์ ส่วนใหญ่อยากได้ข้อมูลของเราไปขาย หรืออยากจะเข้ามาฝากพวกมัลแวร์ไว้ในเครื่องคอมพิวเตอร์ของเรา เพื่อใช้ในการอย่างอื่นที่จะทำให้ได้เงินมา เช่น เอาไปใช้ส่งอีเมล์ขยะ เอาไปใช้ยิงถล่มเครื่องเซิร์ฟเวอร์ของบริษัทใหญ่ๆ เป็นต้น เทคนิควิศวกรรมสังคมเพื่อ “หลอกให้ลบ” ให้ผลในลักษณะของความเสียหายของระบบ และไม่ค่อยพบมากนัก เช่น ย้อนกลับไปเมื่อ 9 ปีก่อน พบอีเมล์หลอกลวงว่าพบไวรัสตุ๊กตาหมี (Teddy Bear) อยู่ในไฟล์ชื่อว่า jdbgmgr.exe อยู่ในไดร์ฟ C ของ ให้ลองไปค้นหาไฟล์ชื่อนี้ในไดรฺ์ฟ C แล้วเราจะเห็นไฟล์ไวรัสนี้ ข้อสังเกตคือ ถ้าเจอ อย่าไปเปิด ให้ลบทิ้งไป และบอกเพื่อนๆ ต่อไปด้วย แม้ว่ามันอาจจะดูไม่น่าเชื่อ แต่ก็อาจจะมีบางคนลองหาไฟล์นี้ดู แล้วก็ต้องเชื่อ เพราะเขาเจอไฟล์ jdbgmgr.exe จริงๆ และมีคนส่งอีเมล์มาเตือนด้วย พอทำตามก็พบไฟล์ดังกล่าวเลย ก็จัดการลบทิ้งเลย โชคดีที่ไฟล์ jdbgmgr.exe นั้นแม้จะเป็นไฟล์ของ Windows จริงๆ (ในสมัยนั้น) แต่มันก็ไม่ใช่ไฟล์ระบบสำคัญที่คนทั่วๆ ไปใช้กัน เพราะมันคือ Java Debug Manager ใครที่ไม่ได้ใช้ส่วนนี้ก็จะไม่พบผลกระทบอะไร แต่นักพัฒนาที่ใช้โปรแกรม Microsoft Visual J++ v.1.1 จะมีปัญหา เพราะส่วนของ Debug โปรแกรมเสียหายไป
35
บทส่งท้ายของวิศวกรรมสังคม
จุดที่น่ากลัวอีกอย่างของวิศวกรรมสังคมก็คือ นอกเหนือจากการทำให้ผู้ไม่หวังดีได้สิ่งที่พวกเขาอยากได้โดยผ่านทะลุทุกการป้องกันแล้ว ก็คือ เทคนิคบางอย่าง มันใช้ซ้ำแล้วซ้ำอีก แต่ก็ยังมีคนหลงกลเชื่อได้ตลอด และยังจะมีเพิ่มขึ้นมาอีกมากในอนาคตอีกด้วย AVG Technologies ผู้พัฒนาซอฟต์แวร์ป้องกันไวรัส AVG Antivirus ได้เผยตัวเลขสถิติที่น่าสนใจพบว่าผู้ใช้งานมีโอกาสเจอกับการโจมตีด้วยเทคนิควิศวกรรมสังคมนั้น มีมากกว่าการโจมตีที่อาศัยช่องโหว่ของซอฟต์แวร์ถึง 4 เท่า [ที่มา: Virus Bulletin 2010] โดย การโจมตีด้วยวิศวกรรมสังคม พบ 1,985,377 ครั้ง การโจมตีด้วยช่องโหว่ของซอฟต์แวร์ พบ 415,697 ครั้ง ทางป้องกันของผู้ใช้งานก็คือ การหมั่นติดตามข่าวสารด้านความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ ผ่านทางรายการข่าวไอทีต่างๆ เว็บไซต์ข่าวไอทีต่างๆ และพยายามทำตัวให้หนักแน่น และพินิจพิจารณาให้ถี่ถ้วนก่อนที่จะเชื่อข่าวใดๆ จากแหล่งข่าวที่เราไม่คุ้นเคย หรือแม้แต่เพื่อนเราเอง ควรรับข่าว แล้วตรวจสอบข้อมูลนั้นกับแหล่งข่าวไอทีที่น่าเชื่อถืออื่นๆ เสมอทุกครั้งครับ
36
5. ขั้นตอนการทำงาน (Procedure) เป็นองค์ประกอบหนึ่งของระบบสารสนเทศที่ถูกมองข้ามในด้านความมั่นคงปลอดภัย โดยหากมิจฉาชีพทราบขั้นตอนการทำงานอย่างใดอย่างหนึ่งครบถ้วนแล้ว ก็จะสามารถค้นหาจุดอ่อนเพื่อนกระทำการอันก่อนให้เกิดความเสียหายต่อองค์กรและลูกค้าขององค์กรได้ 6. เครือข่ายคอมพิวเตอร์ (Network) การเชื่อมต่อระหว่างคอมพิวเตอร์และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้เกิดอาชญากรรมและภัยคุกคามคอมพิวเตอร์ชนิดใหม่จำนวนมาก โดยเฉพาะการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเตอร์เน็ต จัดว่ามีความเสี่ยงต่อภัยคกคามสูงมาก องค์กรจึงต้องเพิ่มมาตรการรักษาความมั่นคงปลอดภัยที่แน่นหนาขึ้นจนกลายเป็นวาระแห่งชาติที่ต้องมีพระราชบัญญัติว่าด้วยการระทำความผิดทางคอมพิวเตอร์
37
อุปสรรคของงานความมั่นคงปลอดภัยของสารสนเทศ
1. “ความมั่นคงปลอดภัย” คือ “ความไม่สะดวก” ผู้ใช้มักเห็นว่าการรักษาความมั่นคงปลอดภัยทำให้การทำงานไม่สะดวกเนื่องจากต้องเสียเวลาในการป้อน password และกระบวนการอื่น ๆ ในการพิสูจน์ตัวผู้ใช้ บางครั้งต้องป้อนรหัสผ่านมากกว่า 1 ครั้ง 2. มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry , Port, Service ที่จะทราบเฉพาะในแวดวง Programmer หรือผู้ดูแลระบบ ซึ่งผู้ใช้ทั่วไปไม่ได้ให้ความสำคัญ 3. ผู้ใช้คอมพิวเตอร์ไม่ระแวดระวัง เพราะไม่มีความรู้ในด้านคอมพิวเตอร์มากพอ จึงตกเป็นเหยื่อของการโจมตีเสมอ
38
อุปสรรคของงานความมั่นคงปลอดภัยของสารสนเทศ (ต่อ …)
4. การพัฒนาซอฟต์แวร์โดยคำนึงถึงความมั่นคงปลอดภัยภายหลัง เพราะผู้พัฒนาเน้นความสำคัญไปที่การพัฒนาซอฟต์แวร์ให้งานเสร็จทันเวลา ภายในงบประมาณที่ตั้งไว้ ดังนั้น จึงไม่ลงรายละเอียดในกระบวนการทดสอบ ทำให้ซอฟต์แวร์มีช่องโหว่เป็นจุดอ่อนให้โจมตีได้ 5. แนวโน้มเทคโนโลยีสารสนเทศคือการ “แบ่งปัน” ไม่ใช่ “การป้องกัน” เน้นการสร้างการเชื่อมโยงของผู้ใช้ เช่น Social Networks ต่าง ๆ เกิดสังคมการแบ่งปันข้อมูลโดยขาดความระมัดระวังการให้ข้อมูลส่วนบุคคลบนเว็บไซต์เหล่านั้น
39
อุปสรรคของงานความมั่นคงปลอดภัยของสารสนเทศ (ต่อ …)
6. การเข้าถึงข้อมูลได้จากทุกสถานที่ ด้วยอุปกรณ์สื่อสารแบบพกพา ประกอบกับ Online Storage ที่ผู้ให้บริการได้จัดไว้เพื่อให้ผู้ใช้บริการสามารถฝากไฟล์ไว้ได้ ซึ่งมีความเสี่ยงสูงมากต่อการถูกโจมตี 7. ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์ และฮาร์ดแวร์เพียงอย่างเดียว แต่การรักษาความมั่นคงปลอดภัยของสารสนเทศเป็นงานที่เป็นกระบวนการ (Process) ต้องอาศัยความร่วมมือจากผู้ใช้ทั้งองค์กร อาศัยนโยบายและมาตรการบังคับให้เกิดการปฏิบัติที่มุ่งไปสู่เป้าหมายเดียวกัน อาศัยกิจกรรมที่เสริมสร้างความเข้าใจแก่ผู้ใช้ เช่น การฝึกอบรมเพื่อเสริมสร้างการเรียนรู้ และสร้างจิตสำนึกในวิชาชีพ
40
อุปสรรคของงานความมั่นคงปลอดภัยของสารสนเทศ (ต่อ …)
8. มิจฉาชีพมีความเชี่ยวชาญ ทำให้เทคโนโลยีและการออกมาตรการป้องกันการโจมตี ตามหลังมิจฉาชีพเสมอ กล่าวคือระบบมักถูกโจมตีก่อนเสมอ จึงเกิด Patch ตามมา 9. การให้ความสำคัญกับงานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศมักถูกนำมาพิจารณาเป็นเรื่องรอง หรือเมื่อระบบถูกโจมตีไปแล้ว
41
วงจรการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ
วงจรการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ (Security Systems Development Life Cycle : SecSDLC) มีขั้นตอนการพัฒนาใกล้เคียงกับวงจรการพัฒนาแอพพลิเคชันระบบสารสนเทศ (System Development life Cycle: SDLC) โดยแต่ละ Phase ของ SDLC สามารถนำมาปรับใช้กับการดำเนินโครงการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศได้ วงจร SecSDLC ประกอบด้วย 6 phases แต่ละเฟสประกอบด้วยกิจกรรมย่อย ดังต่อไปนี้
42
วงจรการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ (Security Systems Development Life Cycle : SecSDLC)
Investigation Analysis Logical Design Physical Design Implementation Repeat Maintenance And Change
43
วงจรการ SecSDLC (ต่อ……)
ขั้นตอนการสำรวจ (Investigate) : 1.1 CIO กำหนดนโยบาย และผลลัพธ์ของการพัฒนาระบบการรักษาความมั่นคงปลอดภัยในระดับองค์กร 1.2 กลุ่มผู้รับผืดชอบดำเนินการสำรวจ เก็บข้อมูล วิเคราะห์ปัญหา กำหนดขอบเขต เป้าหมาย กระบวนการ จัดสรรบุคคลากร งบประมาณ ระยะเวลา และศึกษาความเป็นไปได้ของโครงการ 2. การวิเคาระห์ (Analysis) : 2.1 ศึกษาภัยคุกคามในปัจจุบันและวิธีป้องกันตามที่ระบุในนโยบายการพัฒนาระบบการรักษาความมั่นคงปลอดภัย 2.2 วิเคราะห์ประเด็นด้านกฎหมายที่เกี่ยวข้องกับวิธีการ/มาตรการป้องกัน ได้แก่ พรบ ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ ข้อกฎหมายว่าด้วยสิทธิส่วนบุคคล กฎหมายลิขสิทธิ์ ฯลฯ 2.3 วิเคราะห์ระดับความเสี่ยง พิจารณาถึงโอกาส (Likelihood)ที่จะเกิด และผลกระทบ (Impact) ที่จะเกิดขึ้นเพื่อเป็นพื้นฐานการจัดการกับความเสี่ยงนั้นๆ 2.4 วางแผนดำเนินการลดระดับความร้ายแรงลงมาอยู่ในระดับที่สามารถควบคุมได้ 2.5 จัดเตรียมมาตรการป้องกันไม่ให้เกิดความเสี่ยงต่างๆ ได้อีก
44
วงจรการ SecSDLC (ต่อ……)
3. การออกแบบระดับตรรกะ (Logical Design) : 3.1 จัดทำโครงร่างของระบบรักษาความมั่นคงปลอดภัยของสารสนเทศ 3.2 จัดทำแผนรับมือภัยพิบัติ หรือเหตุการณ์ไม่คาดคิด (Incident Response Action Plan) ซึ่งจะต้องสามารถตอบคำถามต่าง ๆ ได้ ดังนี้ ธุรกิจจะสามารถดำเนินงานต่อไปได้อย่างไรในกรณีที่เกิดความเสียหาย ต้องดำเนินการแก้ไข ป้องกัน และควบคุม อย่างไรเมื่อถูกโจมตี จะต้องฟื้นฟูระบบอย่างไรหลังจากได้รับความเสียหาย 4. การออกแบบระดับกายภาพ (Physical Design) : 2.1 กำหนด ประเมิน และคัดเลือกเทคโนโลยีที่จะนำมาใช้สนับสนุนโครงร่างของระบบรักษาความมั่นคงปลอดภัย *** ขั้นตอนนี้ อาจมีการแก้ไขโครงร่างที่ออกแบบไว้เพื่อความลงตัวและความพอดีในเฟสการพัฒนาจริงติอไป 2.2 ขอความคิดเห็นจากผู้เชี่ยวชาญ และผู้ให้การสนับสนุนเพื่อพิจารณาอนุมัติโครงการ
45
วงจรการ SecSDLC (ต่อ……)
5. การพัฒนา (Implementation) : 3.1 พัฒนาระบบรักษาความมั่นคงปลอดภัยของสารสนเทศตามโครงร่างที่ออกแบบไว้ ซึ่งองค์กรอาจพัฒนาเอง หรือจ้าง Outsource 3.2 ทดสอบระบบจนกว่าจะไม่พบข้อผิดพลาด 3.3 ฝึกอบรม ให้ความรู้ แก่ผู้ใช้ที่เกี่ยวข้องทั้งหมด 6. การบำรุงรักษาและเปลี่ยนแปลง (Maintenance and Change) : 2.1 ติดตาม ทดสอบ ปรับปรุง ตลอดเวลา เพราะในระหว่างการใช้งานอาจมีภัยคุกคามรูปแบบใหม่เกิดขึ้นอยู่เสมอ 2.2 ปรับรายละเอียดของภัยคุกคามให้ทันสมัยอยู่เสมอ เพราะภัยคุกคามที่เกิดขึ้นใหม่อาจสัมพันธ์กับภัยคุกคามเดิมที่เคยระบุไว้ในโครงร่างของระบบรักษาความมั่นคงปลอดภัยฯ ที่ได้ออกแบบไว้
46
ภัยคุกคามที่รายงานมาที่ ThaiCERT
ไทยเซิร์ตได้รับแจ้งเหตุภัยคุกคามจากหน่วยงานทั้งในและต่างประเทศโดยเฉลี่ยมากกว่า 100 เรื่องต่อเดือน ข้อมูลเชิงสถิติเกี่ยวกับเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งสามารถจาแนกเป็น 9 ประเภท ตามที่ได้กำหนดโดย The European Computer Security Incident Response Team (eCSIRT) ซึ่งเป็นเครือข่ายความร่วมมือของหน่วยงาน CSIRT ในสหภาพยุโรป ตารางดังต่อไปนี้
47
ตารางที่ 1 (1-1) ประเภทภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร โดย eCSIRT
คำอธิบาย 1 เนื้อหาที่เป็นภัยคุกคาม (Abusive Content) ภัยคุกคามที่เกิดจากการใช้/เผยแพร่ข้อมูลที่ไม่เป็นจริงหรือไม่เหมาะสม (Abusive Content) เพื่อทำลายความน่าเชื่อถือของบุคคลหรือสถาบัน เพื่อก่อให้เกิดความไม่สงบ หรือข้อมูลที่ไม่ถูกต้องตามกฎหมาย เช่น ลามก อนาจาร หมิ่นประมาทและรวมถึงการโฆษณาขายสินค้าต่างๆ ทางอีเมลที่ผู้รับไม่ได้มีความประสงค์จะรับข้อมูลโฆษณานั้นๆ (SPAM) 2 โปรแกรมไม่พึง ประสงค์ (Malicious Code) ภัยคุกคามที่เกิดจากโปรแกรมหรือซอฟต์แวร์ที่ถูกพัฒนาขึ้นเพื่อส่งให้เกิดผลลัพธ์ที่ไม่พึงประสงค์ กับผู้ใช้งานหรือระบบ(Malicious Code) เพื่อทาให้เกิดความขัดข้องหรือเสียหายกับระบบที่โปรแกรมหรือซอฟต์แวร์ประสงค์ร้ายนี้ติดตั้งอยู่ โดยปกติโปรแกรมหรือซอฟต์แวร์ประสงค์ร้ายประเภทนี้ต้องอาศัยผู้ใช้งานเป็นผู้เปิดโปรแกรมหรือซอฟต์แวร์ก่อน จึงจะสามารถติดตั้งตัวเองหรือทางานได้ เช่น Virus, Worm, Trojan หรือ Spyware ต่าง ๆ
48
ประเภทภัยคุกคาม คำอธิบาย
ตารางที่ 1 (1-1) ประเภทภัยคุกคามด้านเทคโนโลยีสารสนเทศ ประเภทภัยคุกคาม คำอธิบาย 3 ความพยายาม รวบรวมข้อมูล ของระบบ (Information Gathering) ภัยคุกคามที่เกิดจากความพยายามของผู้ไม่ประสงค์ดีในการรวบรวมข้อมูลจุดอ่อนของระบบ(Scanning) ด้วยการเรียกใช้บริการต่างๆที่อาจจะเปิดไว้บนระบบ เช่น ข้อมูลเกี่ยวกับระบบปฏิบัติการ ระบบซอฟต์แวร์ที่ติดตั้งหรือใช้งานข้อมูลบัญชีชื่อผู้ใช้งาน (User Account) ที่มีอยู่บนระบบเป็นต้น รวมถึงการเก็บรวบรวมหรือตรวจสอบข้อมูลจราจรบนระบบเครือข่าย (Sniffing) และการล่อลวงหรือใช้เล่ห์กลต่างๆ เพื่อให้ผู้ใช้งานเปิดเผยข้อมูลที่มีความสาคัญของระบบ (Social Engineering)
49
ประเภทภัยคุกคาม คำอธิบาย
ตารางที่ 1 (1-1) ประเภทภัยคุกคามด้านเทคโนโลยีสารสนเทศ ประเภทภัยคุกคาม คำอธิบาย 4 ความพยายาม จะบุกรุกเข้า ระบบ (Intrusion Attempts) ภัยคุกคามที่เกิดจากความพยายามจะบุกรุก/เจาะเข้าระบบ (Intrusion Attempts) ทั้งที่ผ่านจุดอ่อนหรือช่องโหว่ที่เป็นที่รู้จักในสาธารณะ (CVE- Common Vulnerabilities and Exposures) หรือผ่านจุดอ่อนหรือช่องโหว่ใหม่ที่ยังไม่เคยพบมาก่อน เพื่อจะได้เข้าครอบครองหรือทำให้เกิดความขัดข้องกับบริการต่างๆของระบบ ภัยคุกคามนี้รวมถึงความพยายามจะบุก รุก/เจาะระบบผ่านช่องทางการตรวจสอบบัญชีชื่อผู้ใช้งานและรหัสผ่าน (Login) ด้วยวิธีการสุ่ม/เดาข้อมูล หรือวิธีการทดสอบรหัสผ่านทุกค่า (Brute Force) 5 การบุกรุกหรือ เจาะระบบได้ สาเร็จ (Intrusions) ภัยคุกคามที่เกิดกับระบบที่ถูกบุกรุก/เจาะเข้าระบบได้สาเร็จ (Intrusions) และระบบถูกครอบครองโดยผู้ที่ไม่ได้รับอนุญาต
50
ประเภทภัยคุกคาม คำอธิบาย
ตารางที่ 1 (1-1) ประเภทภัยคุกคามด้านเทคโนโลยีสารสนเทศ ประเภทภัยคุกคาม คำอธิบาย 6 การโจมตี สภาพความ พร้อมใช้งาน ของระบบ (Availability) ภัยคุกคามที่เกิดจากการโจมตีสภาพความพร้อมใช้งานของระบบ เพื่อทาให้บริการต่างๆของระบบไม่สามารถให้บริการได้ตามปกติ มีผลกระทบตั้งแต่เกิดความล่าช้าในการตอบสนองของบริการจนกระทั่งระบบไม่สามารถให้บริการต่อไปได้ ภัยคุกคามอาจจะเกิดจากการโจมตีที่บริการของระบบโดยตรงเช่น การโจมตีประเภท DOS (Denial of Service) แบบต่างๆ หรือการโจมตีโครงสร้างพื้นฐานที่สนับสนุนการให้บริการของระบบ เช่น อาคาร สถานที่ ระบบไฟฟ้า ระบบปรับอากาศ 7 การเข้าถึงหรือ เปลี่ยนแปลง แก้ไขข้อมูล สาคัญโดยไม่ได้ รับอนุญาต (Information Security) ภัยคุกคามที่เกิดจากการที่ผู้ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลสาคัญ (Unauthorized Access) หรือเปลี่ยนแปลงแก้ไขข้อมูล (Unauthorized modification) ได้
51
ประเภทภัยคุกคาม คำอธิบาย
ตารางที่ 1 (1-1) ประเภทภัยคุกคามด้านเทคโนโลยีสารสนเทศ ประเภทภัยคุกคาม คำอธิบาย 8 การฉ้อฉล ฉ้อโกงหรือ หลอกลวงเพื่อ ผลประโยชน์ (Fraud) ภัยคุกคามที่เกิดจากการฉ้อฉล ฉ้อโกงหรือการหลอกลวงเพื่อผลประโยชน์ (Fraud) สามารถเกิดได้ในหลายลักษณะ เช่นการลักลอบใช้งานระบบหรือทรัพยากรทางสารสนเทศที่ไม่ได้รับอนุญาตเพื่อแสวงหาผลประโยชน์ของตนเอง หรือการขาย สินค้าหรือซอฟต์แวร์ที่ละเมิดลิขสิทธิ 9 ภัยคุกคามอื่นๆ นอกเหนือจาก ที่กาหนดไว้ ข้างต้น (Other) ภัยคุกคามประเภทอื่นๆ นอกเหนือจากที่กาหนดไว้ข้างต้น ระบุไว้เพื่อเป็นตัวชี้วัดถึงภัยคุกคามประเภทใหม่หรือไม่สามารถจัดประเภทได้ตามที่ระบุไว้ข้างต้น โดยถ้าจานวนภัยคุก คามอื่นๆในข้อนี้มีจานวนมากขึ้น แสดงถึงความจาเป็นที่จะต้องปรับปรุงการจัดแบ่งประเภทภัยคุกคามนี้ใหม่
52
ความเป็นมาของ ThaiCert
สถิติภัยคุกคาม สถิติภัยคุกคามปี 2515/2516 สถิติภัยคุกคาม ความเป็นมาของ ThaiCert ThaiCert Presentation EDTA (สพธอ) หลักการและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ภัยคุกคามทางคอมพิวเตอร์
53
สถิติภัยคุกคาม https://www.thaicert.or.th/statistics/
สถิติภัยคุกคามปี 2515
54
สถิติภัยคุกคาม https://www.thaicert.or.th/statistics/
สถิติภัยคุกคามปี 2516
55
การประเมินความเสี่ยง (Risk Assessment)
โอกาสที่ระบบสารสนเทศขององค์กรจะถูกโจมตี - เป็นการพิจารณาปัจจัยเสี่ยงที่ระบบสารสเนทศจะถูกโจมตีว่ามีโอกาสเกิดมากน้อยเพียงใด ความเสียหายที่จะกระทบต่อองค์กร - เป็นการพิจารณาปัจจัยเสี่ยงว่าหากเกิดขึ้นแล้วจะมีผลกระทบต่อหน่วยงานภายในองค์กรมากน้อยแค่ไหน ความสำคัญของความเสี่ยงที่องค์กรเผชิญอยู่ - การลำดับความสำคัญของแต่ละปัจจัยเสี่ยงเพื่อพิจารณาว่าความเสี่ยงใดควรถูกพิจารณาเป็นลำดับก่อนหลัง
56
โอกาสที่ระบบสารสนเทศขององค์กรจะถูกโจมตี และความเสียหายที่จะกระทบต่อองค์กร
โอกาสที่ระบบสารสนเทศขององค์กรจะถูกโจมตี และความเสียหายที่จะกระทบต่อองค์กรสามารถพิจารณาได้ 2 ลักษณะ ได้แก่ วิธีการประเมินความเสี่ยงเชิงคุณภาพ (Qualitative Approach) ไม่มีการระบุค่าความเสียหายออกมาเป็นตัวเลข แต่ระบุเป็นระดับความรุนแรงของความเสียหาย และระดับความเป็นไปได้ที่เหตุการณ์จะเกิดขึ้น วิธีการประเมินความเสี่ยงเชิงคุณภาพ (Quantitative Approach) ต้องระบุค่าความเสียหายออกมาเป็นตัวเลข (โดยเฉพาะตัวเงิน) และโอกาสที่เหตุการณ์นั้นจะเกิด ออกมาในลักษณะความน่าจะเป็น (possibility) ซึ่งจะแสดงเป็นตัวเลขเท่านั้น
57
โอกาสที่จะเกิดเหตุการณ์ ที่เป็นความเสี่ยง
**** ความเสี่ยงในที่นี้ หมายถึงภัยคุกคาม โอกาสที่จะเกิดความเสี่ยง ความถี่ที่เกิดขึ้น ระดับคะแนน สูงมาก 1 เดือนต่อครั้ง 5 สูง 6 เดือนต่อครั้ง 4 ปานกลาง เดือนต่อครั้ง 3 น้อย มากกว่า 1 ปีต่อครั้ง 2 น้อยมาก มากกว่า 5 ปีต่อครั้ง 1 โอกาสที่จะเกิดความเสี่ยง เปอร์เซ็นต์โอกาสที่จะเกิดขึ้น ระดับคะแนน สูงมาก มากกว่า 80% 5 สูง 70 – 79% 4 ปานกลาง 60 – 69% 3 น้อย 50 – 59% 2 น้อยมาก น้อยกว่า 50% 1
58
ผลกระทบต่อองค์กร (ด้านตัวเงิน) ผลกระทบต่อองค์กร (ด้านชื่อเสียง)
ความเสียหาย ระดับคะแนน สูงมาก มากกว่า 10 ล้านบาท 5 สูง มากกว่า 5 แสน – 10 ล้านบาท 4 ปานกลาง มากกว่า 1 แสน – 5 แสนบาท 3 น้อย 1 หมื่น – 1 แสนบาท 2 น้อยมาก น้อยกว่า 1 หมื่นบาท 1 ผลกระทบต่อองค์กร (ด้านชื่อเสียง) ผลกระทบต่อองค์กร ความเสียหาย ระดับคะแนน สูงมาก มีการเผยแพร่ข่าวทั้งจากสื่อภายในและต่างประเทศเป็นวงกว้าง 5 สูง มีการลงข่าวหนังสือพิมพ์ภายในประเทศหลายฉบับมากกว่า 15 วัน 4 ปานกลาง มีการลงข่าวหนังสือพิมพ์ภายในประเทศหลายฉบับ วัน 3 น้อย มีการลงข่าวหนังสือพิมพ์ภายในประเทศบางฉบับ 1 วัน 2 น้อยมาก ไม่มีการเผยแพร่ข่าว 1
59
ผลกระทบต่อองค์กร (ด้านเวลา)
ผลกระทบต่อองค์กร (ด้านเวลา) เป็นการพิจารณาว่า หากเกิดภัยคุกคามแล้ว ทำให้งานสำคัญที่กำลังดำเนินอยู่ต้องล่าช้าออกไปมาก – น้อย เพียงใด ผลกระทบต่อองค์กร ความเสียหาย ระดับคะแนน สูงมาก ทำให้เกิดความล่าของงานสำคัญขององค์กร มากกว่า 6 เดือน 5 สูง ทำให้เกิดความล่าของงานสำคัญขององค์กร ระหว่าง เดือน 4 ปานกลาง ทำให้เกิดความล่าของงานสำคัญขององค์กร ระหว่าง เดือน 3 น้อย ทำให้เกิดความล่าของงานสำคัญขององค์กร ระหว่าง เดือน 2 น้อยมาก ทำให้เกิดความล่าของงานสำคัญขององค์กร น้อยกว่า 2 เดือน 1 หมายเหตุ ยังมีผลกระทบด้านอื่น ๆ อีกมากมาย แล้วแต่องค์กรจะนิยามกันออกมา ซึ่งอาจมีความแตกต่างกันในรายละเอียด ตามลักษณะเฉพาะของแต่ละองค์กร
60
การจัดลำดับความเสี่ยง
การจัดลำดับความเสียง ต้องทำขั้นตอนที่ต่อเนื่องกัน 2 ขั้นตอน ดังนี้ 1. รวมคะแนนโอกาสที่จะเกิดความเสี่ยง และผลกระทบความเสียหายที่เกิดขึ้นหลาย ๆ ด้านประกอบกัน เพื่อจัดลำดับความสำคัญ และใช้ในการตัดสินใจว่าปัจจัยความเสี่ยงใดต้องเร่งจัดการก่อน 2. จัดทำแผนภูมิความเสี่ยงเพื่อให้ CIO และคนในองค์กร เห็นภาพรวมว่าความเสี่ยงมีการกระจายตัวอย่างไร
61
แผนภูมิความเสี่ยง (Risk Map)
มาก ความเสี่ยงปานกลาง ผลกระทบรุนแรงมาก โอกาสเกิดน้อย ความเสี่ยงสูง โอกาสเกิดมาก ความเสี่ยงต่ำ ผลกระทบน้อย ผล กระ ทบ น้อย น้อย โอกาสที่จะเกิด มาก
62
ความเป็นมาของ ThaiCert
สถิติภัยคุกคาม สถิติภัยคุกคามปี 2515/2516 สถิติภัยคุกคาม ความเป็นมาของ ThaiCert ThaiCertPresentation EDTA (สพธอ) หลักการและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ภัยคุกคามทางคอมพิวเตอร์
