Information Security การรักษาความมั่นคงของข้อมูลองค์กร

สิ่งที่มีค่ามากที่สุดขององค์กร คือ ข้อมูล หรือสารสนเทศ การปกป้องรักษาข้อมูลหรือสารสนเทศจึงเป็นสิ่งสำคัญ และจำเป็นในยุคแห่งข้อมูลข่าวสาร สารสนเทศนั้นมีความเสี่ยงที่จะถูกโจมตีจากหลายแหล่ง เช่น ผู้ใช้งานที่รู้เท่าไม่ถึงการณ์ การโจมตีจากทั้งภายในและภายนอก การแพร่กระจายของไวรัส เวริม์ โทรจันฮอร์ส หรือจากผู้ไม่หวังดี

เมื่อพูดถึง Information Security จะต้องทราบว่า Information หรือ สารสนเทศนั้นคือข้อมูลที่ผ่านการประมวลผลมาแล้ว, Securitiy หรือในภาษาเชิงวิชาการไม่ใช่ความปลอดภัย แต่หมายถึงความมั่นคง การทำให้รอดพ้นจากอันตราย ดังนั้น Information Security อาจจะหมายถึง การทำให้ข้อมูลที่ผ่านการประมวลผลแล้ว รอดพ้นจากอันตราย เพราะความเสียหายจากภัยคุกคามนับวันจะเพิ่มขึ้นเรื่อยๆ เมื่อถึงวันหนึ่งจะอยู่ตัวเพราะคนมีความตระหนักมากขึ้น หรือที่เราเรียกว่า User Awareness

“มาตรการป้องกัน 1 อย่างอาจสามารถป้องกันภัยได้มากกว่า 1 รูปแบบ แต่ภัยบางรูปแบบต้องอาศัยมาตรการป้องกันมากกว่า 1 อย่าง”

การรักษาความปลอดภัยข้อมูล

สิ่งที่มีค่ามากที่สุดขององค์กร คือ ข้อมูล หรือสารสนเทศ การปกป้องรักษาข้อมูลหรือสารสนเทศจึงเป็นสิ่งสำคัญ และจำเป็นในยุคแห่งข้อมูลข่าวสาร สารสนเทศนั้นมีความเสี่ยงที่จะถูกโจมตีจากหลายแหล่ง เช่น ผู้ใช้งานที่รู้เท่าไม่ถึงการณ์ การโจมตีจากทั้งภายในและภายนอก การแพร่กระจายของไวรัส เวริม์ โทรจันฮอร์ส หรือจากผู้ไม่หวังดีไม่มีระบบใดที่ปลอดภัย 100 % การรักษาความปลอดภัยเป็นทั้งศาสตร์ และศิลป์ การติดตั้งระบบความปลอดภัยที่ดีที่สุด จะรวมถึง

• การวิเคราะห์และบริหารความเสี่ยง (Risk) ที่เกิดจากภัยคุกคาม (Threat) และช่องโหว่หรือจุดอ่อน (Vulnerability)
• การกำหนดนโยบายการรักษาความปลอดภัย
• การบังคับใช้นโยบาย
• การเฝ้าระวังเหตุการณ์อยู่ตลอดเวลา

อดีต และปัจจุบัน

ปัญหาด้านความมั่นคงปลอดภัยเกิดขึ้นเพราะ

1. เครือข่ายถูกใช้เคลื่อนย้ายเงินจำนวนมหาศาล เช่นการทำธุรกรรมของธนาคาร หรือการใช้บัตรเครดิตในการซื้อสินค้า / บริการ
2. เมื่อเงินถูกโอนผ่านเครือข่าย ก็จะมีคนที่ใช้ประโยชน์โดยทำการหลอกลวง หรือขโมย เช่นการทำ Social Engineering  เพื่อขโมยข้อมูลบัตรเครดิต

เปรียบเทียบความเสียหายที่เกิดขึ้น

การปล้นธนาคารเกิดความเสียหาย $2,500, การโกงธนาคารเกิดความเสียหาย 25,000 ในขณะที่การก่ออาชญากรรมคอมพิวเตอร์เกิดความเสียหาย 500,000 คิดเป็น 5 – 10 billion ต่อปี

Security Incidents

Electronic Crime มีหลายรูปแบบ แบ่งได้เป็น 2 ประเภทคือ

1. อาชญากรรมที่มีคอมพิวเตอร์เป็นเป้าหมายในการโจมตี
2. อาชญากรรมที่มีการใช้คอมพิวเตอร์เป็นเครื่องมือในการกระทำผิดกฎหมาย

ภัยคุกคามด้านความปลอดภัย (Threats of Security)

สามารถแบ่งภัยคุกคามได้ 4 ประเภทคือ

• การเปิดเผย (Disclosure)
• การหลอกลวง (Deception) คือการให้ข้อมูลที่เป็นเท็จ
• การขัดขวาง (Disruption)
• การควบคุมระบบ (Usurpation)
• การเข้าควบคุมบางส่วนหรือทั้งหมดของระบบโดยไม่ได้รับอนุญาต

ตัวอย่างของภัยคุกคาม

Virus และ Worms

เป็นปัญหาสามัญที่องค์กรจะต้องประสบพบเจอ ซึ่งจะโจมตีแบบไม่แบ่งชั้นวรรณะ (non-discriminating)  คือไม่เจาะจงเป้าหมาย หรือองค์กรใด (โจมตีไม่เลือกหน้า ขอแค่มีจุดอ่อน)

ภัยคุกคามทาง Net ไม่มีการแบ่งชั้นวรรณะ Non Discriminating โจมตีแบบไม่เจาะจงเป้าหมาย

• Virus คือโปรแกรมที่ทำลายระบบคอมพิวเตอร์ โดยจะแพร่กระจายไปยังไฟล์อื่น ๆ ในเครื่องเดียวกัน การแพร่กระจายต้องอาศัยพาหะ เช่น มนุษย์, แผ่นดิสก์ ต้องอาศัยคนเปิดไฟล์ที่ติดไวรัสจึงจะทำงาน ตัวอย่างของ Virus, Melissa Virus (1999) เป็นไวรัสมาโคร ซึ่งจะฝังตัวเองอยู่ในเอกสาร Word 97 และ 2000 เมื่อเหยื่อเปิดไฟล์ ไวรัสจะทำการส่งตัวเองไปกับ e-mail ใน address book 50 ชื่อแรก
• Worm (Morris Worm ผู้ให้กำเนิด Internet worm) คือโปรแกรมที่เป็นอันตรายต่อระบบคอมพิวเตอร์ สามารถแพร่กระจายตัวเองไปยังคอมอื่น ๆ ที่อยู่ในเครือข่ายได้ด้วยตนเอง ตัวอย่างของ Worm,  Love Letter Worm (May 2000) เป็นหนอนที่มากับ e-Mail โดยจะใช้ชื่อ subject ว่า “ILOVEYOU” คล้ายกับ Melissa ที่จะทำการแพร่กระจายผ่าน e-Mail Attachment สร้างขึ้นด้วย VBScript Program, Code-Red Worm (2001) โจมตีทางช่องโหว่ของระบบปฏิบัติการ สร้างความเสียหายได้มากกว่า 2.5 billion

Hacking

คือคนที่เข้าถึงระบบคอมพิวเตอร์โดยไม่มีสิทธิ (ทำการ Hacking) หรือใช้เกินสิทธิ์ที่มี มักจะเป็นผู้บุกรุกจากภายนอก ซึ่งมักจะความอดทนสูง คือจะพยายามจนกว่าจะสามารถเข้าถึงระบบได้

Unstructured Threats

มักจะเป็นการโจมตีโดยบุคคล หรือกลุ่มเล็ก ๆ ไม่มีการร่วมมือจากคนภายใน

Intruder

คือผู้ที่กระทำการบุกรุก

Script Kiddies

ใช้เพวก Tools ต่าง ๆ ที่ D/L ได้ ไม่ต้องใช้ความรู้ทางเทคนิคมาก โดยทั่วไปพวก Script Kiddies จะไม่สนใจที่จะโจมตีเป้าหมายแบบเจาะจง แต่จะค้นหาหน่วยงานที่ยังไม่ได้ทำการ Patched ช่องโหว่ใหม่ ๆ ที่เพิ่งค้นพบ ซึ่งจะทำให้พวกเขาสามารถใช้ script ในการ exploit ได้

Sophisticated Intruders

เป็นคนที่มีความชำนาญ สามารถเขียน Script เพื่อโจมตีช่องโหว่ที่มีการค้นพบแล้วได้ (know vulnerabilities) มีความเชี่ยวชาญทางเทคนิคมากกว่า Script Kiddies

Elite Hackers

เป็นคนที่มีความเชี่ยวชาญทางเทคนิคสูง สามารถเขียน Script เพื่อโจมตี (exploit) ช่องโหว่ได้ด้วยตนเอง และสามารถค้นพบช่องโหว่ใหม่ ๆ ได้ (มักจะเจอก่อนเจ้าของ Product เสมอ)

Insider Threats

อันตรายกว่าคนข้างนอก เพราะรู้ข้อมูลในองค์กรเป็นอย่างดี จึงสามารถก่อให้เกิดความเสียหายฉับพลันต่อองค์กรได้

สรุป

การโจมตีจะสำเร็จได้ถ้า Admin ไม่ได้อุดช่องโหว่ เช่น Hacker อาจทำการ Port Scan เพื่อดูว่าเราเปิด Port ใดไว้บ้าง ซึ่งถ้าไม่ได้ใช้ให้ปิด Port เพื่อปิดช่องโหว่ (เหมือนเปิดประตูทิ้งไว้นั่นเอง)

Security Incident (ความไม่มั่นคง)

• คอมพิวเตอร์เป็นเป้าหมายในการโจมตี (คนเห็นโอกาส)
• ใช้คอมพิวเตอร์เป็นเครื่องมือในการก่ออาชญากรรม (มี Tools ช่วยเยอะทำให้คนที่มีความรู้น้อยก่ออาชญากรรมได้)

วัตถุประสงค์ของการโจมตี (Hack)

1. เพื่อประโยชน์ทางทหาร
2. เพื่อลองความรู้
3. เพื่อผลประโยชน์ (ตัวเงิน)
4. เพื่อล้างแค้น
5. เพื่ออุดมการณ์ (ผู้ก่อการร้าย)

ศัพท์เทคนิคที่ควรรู้

• Vulnerability คือจุดอ่อน, ช่องโหว่ ที่มีอยู่ใน Application Software, OS ซึ่งไวรัส, Hacker และ Worm ฯลฯ จะโจมตีโดยอาศัยช่องโหว่เหล่านี้ เช่น 
  • Code Red, Nashi จะโจมตี Windows XP ที่มี Service ต่ำกว่า 2 ได้
  • ไวรัส Slammer โจมตีโดยอาศัยช่องโหว่จาก Buffer-Overflow ใน Computer ที่ใช้ SQL Server
  • VB Script Virus สามารถโจมตีระบบปฏิบัติการของ Microsoft (Windows XP, 2k, 2k3) ได้โดยอาศัยช่องโหว่ของระบบปฏิบัติการที่อนุญาตให้ทำการ Execute VB Script ได้โดยอิสระ (ปราศจากการควบคุมใด ๆ โดยสิ้นเชิง)

• Exploited คือการใช้ในทางที่ไม่ดี เช่นเมื่อ Hacker คนหนึ่งรู้ว่าระบบ A มีช่องโหว่เกิดขึ้น ก็จะทำการ Exploited ระบบเข้ามาเพื่อขโมยข้อมูล เป็นต้น
• Day Zero คือระยะเวลาตั้งแต่ที่พบจุดโหว่ จนกระทั่ง Security Patch ออกมา ซึ่งหาก Day Zero มีระยะเวลานาน จะทำให้เกิดความเสียหายได้ในวงกว้าง
• Compromised ความลับของข้อมูลถูกทำลาย หรือข้อมูลถูกเปิดเผยนั่นเอง

ความซับซ้อนของการโจมตี

• Script Kidder
• Elite hacker

แนวโน้มการโจมตี

1. ความเร็วในการโจมตี: เพิ่มขึ้นเรื่อย ๆ
2. ความซับซ้อนในการโจมตี: เพิ่มมากขึ้นเรื่อย ๆ เครื่องมือที่ใช้โจมตีมีความหลากหลาย
3. ความเร็วในการค้นหาจุดอ่อน: ช่องโหว่ หรือจุดอ่อน เพิ่มขึ้นเป็นสองเท่าทุกปี จนบางครั้งทำให้ปิดช่องโหว่ได้ไม่ทัน
4. การโจมตีแบบกระจาย: เพิ่มมากขึ้น

หลักการยับยั้งภัย (Breaking Down Threats)

1. ต้องจำแนกภัยคุกคามภายใน / นอก เพื่อจะได้ดูแล ป้องกันได้
2. ตรวจสอบในหลายระดับ เพื่อจะได้ป้องกันได้ตั้งแต่ Script Kiddies ไปจนถึง elite hackers
3. ตรวจสอบระดับความมั่นคงขององค์การ จากการโจมตีของภัยหลายรูปแบบ ทั้งที่เป็นแบบไม่มีโครงสร้าง และแบบมีโครงสร้างแน่นอน

ผลของการโจมตี (General consequences)

• ทำให้สูญเสียความลับ (loss confidentiality) ข้อมูลถูกเปิดเผยโดยคนที่ไม่มีสิทธิ
• สูญเสียบูรณภาพ (loss of integrity) ข้อมูลถูกแก้ไขโดยคนที่ไม่มีสิทธิ
• สูญเสียความพร้อมใช้งาน (loss of availability) ข้อมูล หรือระบบไม่สามารถให้บริการแก่ผู้ที่มีสิทธิได้ (ในช่วงเวลาเปิดให้บริการ)

Security Goal : (CIA)

• รักษาความลับ (Confidential) เน้นที่ตัวข้อมูล – ผู้ที่มีสิทธิเท่านั้นที่ดูข้อมูลได้ 
  • การเข้ารหัสข้อมูล (Cryptography / Encryption) ซึ่งจะทำให้อ่านไม่เข้าใจถ้าไม่รู้วิธี
  • การถอดรหัสการควบคุมการเข้าถึง (Access Control) เช่น การใช้ล็อกอินการซ่อนหรือปกปิดทรัพยากร ถ้าไม่รู้ว่ามีข้อมูลก็จะไม่เกิดความพยายามที่จะขโมย
• รักษาบูรณภาพ (Integrity) เน้นที่ตัวข้อมูล  ผู้ที่มีสิทธิเท่านั้นที่เปลี่ยนแปลงแก้ไขได้
• การป้องกัน (Prevention) สามารถใช้การพิสูจน์ตัวตน (Authentication) และการควบคุมการเข้าถึง (Access Control) ในการป้องกันผู้ไม่มีสิทธิมาแก้ไขตัวข้อมูลได้
• การตรวจสอบ (Detection) ใช้การตรวจสอบสิทธิ์ (Authorization) เพื่อตรวจสอบว่าผู้แก้ไขมีสิทธิหรือไม่
• รักษาความพร้อมใช้งาน (Availability) ทั้งข้อมูล และตัวระบบ (process) เช่นการทำ Load Balancing

สรุป

เราต้องมีการรักษาความมั่นคงทั้ง Computer และ Network เพื่อให้มีความปลอดภัย ประสิทธิภาพ (Efficiency) เน้นที่ Process และ ประสิทธิผลที่ดี (Productivity) เน้นที่ Output

ซุนวู กล่าวไว้ว่า "ความลับที่รู้โดยคนมากกว่าหนึ่งคนก็ไม่ถือเป็นความลับอีกต่อไป"