คำทำนายอนาคตทิศทางเทคโนโลยีและภัยด้านความปลอดภัยข้อมูล 10 ประการจากผู้เชี่ยวชาญทั่วโลก
The Ten Information Security Future Trends from The Security Experts
ปริญญา หอมเอนก , CISSP, CISA, CISM, SANS GIAC GCFW, Security+
ACIS Professional Center
prinya@acisonline.net
http://www.acisonline.net
จากการรวบรวมทัศนะของผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลจากทั่วโลก 20 ท่าน นำโดยสถาบัน SANS Technology Institute ได้ร่วมกันทำนายอนาคตของเทคโนโลยีและภัยด้านความปลอดภัยข้อมูลทั้ง 10 ประการ ในอนาคตอันใกล้นี้ไว้อย่างน่าสนใจซึ่งมีรายละเอียดดังนี้
1. อุปกรณ์คอมพิวเตอร์ไม่ว่าจะเป็น Notebook หรือ PDA รวมทั้ง Smart Phone จะต้องมีการเข้ารหัสข้อมูลเป็นค่าโดยกำหนดในอนาคต เนื่องจากหัวใจสำคัญของการรักษาความปลอดภัยข้อมูลนั้น ไม่ใช่การรักษาความปลอดภัยให้กับอุปกรณ์ที่ใช้ในการเก็บข้อมูล หากแต่เป็นการรักษาความปลอดภัยให้กับตัวข้อมูลเองต่างหาก ยกตัวอย่าง เช่น เราให้ความสำคัญกับการเข้ารหัสข้อมูลที่เก็บอยู่ในฮาร์ดดิสก์ของเครื่อง คอมพิวเตอร์แบบพกพา (Notebook) ซึ่งข้อมูลนั้นเป็นข้อมูลที่มีความสำคัญ เช่น รหัสผ่านเข้าระบบ หรือ ไฟล์ความลับของบริษัท เช่น ไฟล์เงินเดือน เป็นต้น และเนื่องจากการป้องกันที่ตัวคอมพิวเตอร์แบบพกพานั้น ทำได้ยากกว่าคอมพิวเตอร์แบบตั้งโต๊ะ (Desktop PC)
2. อัตราการขโมยอุปกรณ์คอมพิวเตอร์แบบพกพาตลอดจน PDA และ Smart Phone จะเพิ่มสูงขึ้นเรื่อย ๆ เนื่องจากมูลค่าของอุปกรณ์ที่สามารถนำมาขายทอดตลาดได้ อีกทั้งข้อมูลที่อยู่ในอุปกรณ์ดังกล่าวอาจสามารถนำไปขายหรือใช้ประโยชน์ในทางมิชอบได้ การขโมย Notebook กลายเป็นปัญหาของเมืองใหญ่ ๆ ในประเทศสหรัฐอเมริกาและในอีกหลายๆประเทศ เช่น การทุบกระจกรถเพื่อขโมย Notebook เป็นต้น ดังนั้น เราควรเก็บอุปกรณ์คอมพิวเตอร์แบบพกพา ไว้ในที่ลับตาคน ไม่ควรวางไว้ในรถให้ผู้ไม่หวังดีสังเกตุเห็นได้โดยง่าย อีกทั้งควรที่จะสำรองข้อมูลเก็บไว้ใน Removable Media อย่างสม่ำเสมอ เช่น อาทิตย์ละหนึ่งครั้ง ในกรณีที่ Notebook ถูกขโมยก็สามารถกู้ข้อมูลคืนจาก Removable Media ดังกล่าวได้
3. ปัญหาเรื่องข้อมูลสำคัญและข้อมูลส่วนตัวรั่วไหลออกจากองค์กร เช่น ข้อมูลบัตรเครดิตของลูกค้าธนาคาร หรือ ข้อมูลประวัติคนไข้ในโรงพยาบาล กลายเป็นปัญหาใหญ่สำหรับวันนี้ เพราะ อุปกรณ์ในการเก็บข้อมูลแบบพกพา เช่น USB Drive, MP3 Player, iPod หรือ Removable Harddisk สามารถหาได้ง่ายทั่วไป ผู้ไม่หวังดี สามารถสำเนาข้อมูลเข้ามาเก็บในอุปกรณ์ดังกล่าว ได้อย่างง่ายดาย ซึ่งองค์กรแทบจะตรวจสอบไม่ได้เลยว่ามีการแอบทำสำเนาข้อมูลเข้าสู่อุปกรณ์เก็บข้อมูลแบบพกพาดังกล่าว และยังไม่รวมถึงการเข้าใช้ข้อมูลแบบไร้สายโดยไม่ได้รับอนุญาต เช่น การเข้าใช้ข้อมูลผ่านทาง Bluetooth, WiFi และ Infrared ซึ่งในปัจจุบันแฮกเกอร์สามารถใช้เสาอากาศ High-gain Antenna ที่ออกแบบมาโดยเฉพาะ แอบขโมยข้อมูลในระยะไกลกว่า 3 ไมล์ หรือ 4.83 KM. ในกรณีของ WiFi และ ระยะไกลกว่า 500 เมตรในกรณีของ Bluetooth การเจาะระบบ WiFi ดังกล่าวนิยมเรียกว่า War Driving ส่วนการเจาะ Bluetooth เรียกว่า Bluedriving
การแก้ปัญหาข้อมูลรั่วไหลกำลังกลายเป็นประเด็นสำหรับรัฐบาลในหลาย ๆ ประเทศ ที่ต้องออกกฏหมายคุ้มครองข้อมูลส่วนบุคคล (Data Privacy Law) เพื่อบังคับใช้กับ ธนาคาร, สถาบันการเงิน, โรงพยาบาล ตลอดจนบริษัทที่จดทะเบียนในตลาดหลักทรัพย์ให้ปฏิบัติตามกฏหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หน่วยงานดังกล่าวต้องมีความรับผิดชอบในการป้องกันข้อมูลลูกค้าไม่ให้รั่วไหลโดยที่ลูกค้าไม่ได้อนุญาตซึ่งจำเป็นต้องใช้เทคโนโลยีเข้ามาเกี่ยวข้องเช่น เทคโนโลยี Digital Right Management (DRM) หรือ เทคโนโลยี Data Loss Prevention
4. การโจมตีเป้าหมายแบบกำหนดไว้ล่วงหน้าหรือ Targeted Attack กำลังเป็นที่นิยมของแฮกเกอร์ในวันนี้และอนาคต เนื่องจากแฮกเกอร์ในปัจจุบันมุ่งหวังที่จะเจาะระบบเพื่อประโยชน์จากด้านการเงิน มากกว่าการเจาะระบบเพื่อความสนุกเท่านั้น (Hack for Profit, not Hack for Fun) ดังนั้น การเจาะระบบของแฮกเกอร์จึงต้องมีการวางแผนไว้ล่วงหน้าเป็นอย่างดี เช่น การโจมตีรัฐบาลฝ่ายตรงข้าม, การขโมยข้อมูลบริษัทคู่แข่ง, การโจมตีโปรแกรมกำจัดไวรัสและมัลแวร์เฉพาะยี่ห้อ, การโจมตีที่ถูกออกแบบมาเป็นอย่างดีดังกล่าวสามารถรอดพ้นจากการตรวจจับของโปรแกรมกำจัดไวรัสและมัลแวร์ได้อย่างไม่ยากเย็นนัก ดังนั้น ภัยจากเทคนิค Targeted Attack จึงเป็นภัยมืดที่น่ากลัวกว่าที่คิด เนื่องจากกลไกในการป้องกันข้อมูลของเราไม่สามารถใช้การได้เมื่อถูกโจมตีในลักษณะดังกล่าว ทางแก้ปัญหาก็คือ ต้องรู้ให้เท่าทันเทคนิคใหม่ๆของแฮกเกอร์ และเตรียมการแก้ปัญหาเฉพาะกรณีไป ซึ่งในปัจจุบันต้องคอยตามปรับปรุงโปรแกรมกำจัดไวรัสและมัลแวร์ให้มีความสามารถในการตรวจจับและทำลายโปรแกรมดังกล่าว ตลอดจนต้องฝึกอบรมผู้ใช้คอมพิวเตอร์ ให้ตระหนักและเข้าใจถึงลักษณะการโจมตีแบบ Targeted Attack โดยวิธีการทำ Security Awareness Training ในองค์กรจะช่วยแก้ปัญหาเรื่องมัลแวร์และไวรัสได้อย่างมีประสิทธิภาพ เพราะมัลแวร์สมัยใหม่นิยมใช้เทคนิค Social Engineering ในการโจมตีผู้ใช้คอมพิวเตอร์ที่ยังขาดความรู้ความเข้าใจเกี่ยวกับภัยอันตรายที่มาจากทางอินเทอร์เน็ตซึ่งทำให้ผู้ใช้ตกเป็นเหยื่อได้ง่าย การฝึกอบรมจะช่วยให้ผู้ใช้ระมัดระวังตัวมากขึ้น และ สามารถแยกแยะระหว่าง ไฟล์มัลแวร์ และ ไฟล์ข้อมูลปกติที่มากับอิเล็กโทรนิคส์เมล์ หรือ การดาวน์โหลดผ่านทาง Web Site
5. ไวรัสและมัลแวร์จะเข้าโจมตีเครือข่ายโทรศัพท์เคลื่อนที่เพิ่มขึ้นโดยสามารถแพร่กระจายผ่านทางโทรศัพท์เคลื่อนที่ด้วยกันเองในเครือข่ายแบบไร้สาย เนื่องจากในปัจจุบันโทรศัพท์เคลื่อนที่มีความสามารถเพิ่มสูงขึ้นมาก เรียกได้ว่าย่อเครื่องคอมพิวเตอร์ลงมาให้เล็กลงก็ไม่ผิดนัก เช่น PDA Phone ที่ใช้ Windows Mobile เป็นต้น วัตถุประสงค์ของไวรัสและมัลแวร์บนเครือข่ายโทรศัพท์เคลื่อนที่มักจะหวังผลทางด้านการเงิน เช่น ทำให้ผู้ใช้โทรศัพท์เคลื่อนที่ส่ง SMS หรือ MMS โดยไม่รู้ตัว ซึ่งทำให้เสียค่าบริการในการส่ง SMS หรือ MMS ไปโดยเปล่าประโยชน์ อีกทั้งยังสามารถเป็นช่องทางในการแพร่กระจายโฆษณาข่าวสารต่าง ๆ ผ่านทาง SMS หรือ MMS อีกด้วย
6. การโจมตีเครือข่ายระบบ Voice Over IP (VoIP) เนื่องจากในปัจจุบันระบบ VoIP กำลังได้รับความนิยมเพิ่มขึ้นอย่างต่อเนื่อง ตู้สาขา PABX รุ่นใหม่ส่วนใหญ่สนับสนุนระบบ VoIP และสามารถทำงานร่วมกับระบบเครือข่าย LAN ภายในองค์กรได้ ปัญหาก็คือ ภัยต่าง ๆ ที่มากับเครือข่าย IP ก็สามารถส่งผลกระทบต่อระบบ Voice ที่ทำงานอยู่บน เครือข่าย IP อย่างหลีกเลี่ยงไม่ได้ ดังนั้นการออกแบบระบบ VoIP ให้ปลอดภัยจากการโจมตีเครือข่าย IP จึงเป็นเรื่องสำคัญที่ไม่ควรจะมองข้าม รวมทั้งการทำ Vulnerability Assessment และ Penetration Testing ให้กับระบบ VoIP ก็เป็นสิ่งที่องค์กรควรจัดทำก่อนใช้บริการระบบ VoIP
7. ปัญหาสปายแวร์ยังคงรบกวนผู้ใช้คอมพิวเตอร์ต่อไปอีกนานเพราะผู้ผลิตสปายแวร์นั้นได้รับเงินจากการสร้างสปายแวร์เพื่อขโมยข้อมูลหรือล้วงความลับของเหยื่อที่ไม่ได้ติดต้งโปแกรมกำจัดสปายแวร์ ซึ่งโปรแกรมกำจัดไวรัสบางโปรแกรมไม่สามารถกำจัดสปายแวร์ได้ จึงเป็นช่องทางของสปายแวร์ในการโจมตีระบบของผู้ใช้โดยที่ผู้ใช้ไม่รู้ตัว
8. ปัญหา Zero Day Attack เกิดจากการที่ช่องโหว่ของระบบถูกค้นพบก่อนที่โปรแกรมแก้ไขช่องโหว่จะถูกพัฒนาขึ้น ช่องโหว่ของระบบถูกค้นพบในลักษณะนี้เราเรียกว่า Zero Day Vulnerability ซึ่งมีผลกระทบทำให้องค์กรเกิดปัญหาจากการโจมตีโดยการใช้ Zero Day Exploit ที่ยังไม่มีโปรแกรมแก้ไขช่องโหว่ดังกล่าว โดยปกติแล้วกลุ่มแฮกเกอรที่เรียกตัวเองว่า นักวิจัยความปลอดภัยข้อมูลหรือ Security Researcher มักจะสร้างโปรแกรมเจาะระบบ หรือ Exploit ขึ้นมาในรูปแบบของ POC หรือ Proof of Concept Program จากนั้นจึงค่อยขายข้อมูลให้กับผู้ผลิตโปรแกรมกำจัดไวรัส หรือ ผู้ผลิตระบบ IDS/IPS ตลอดจนเจ้าของโปรแกรมที่ถูกค้นพบช่องโหว่ ทำให้เกิดช่วงเวลาแห่งความเสี่ยงขึ้นในช่วงระยะเวลาดังกล่าว
เนื่องจากเป็นที่ทราบกันดีว่า การป้องกันความปลอดภัยแบบหนึ่งร้อยเปอร์เซ็นต์ไม่มีในโลกนี้ เราจึงควรหมั่นติดตามข่าวสารข่องโหว่ ใหม่ ๆ อยู่อย่างสม่ำเสมอเพื่อเตรียมพร้อมรับมือกับปัญหา Zero Day Attack ได้อย่างทันท่วงที ปกติ เราเรียกวิธีการป้องกัน Zero Day Attack ว่า Outbreak Prevention ซึ่งมีลักษณะการป้องกันที่แตกต่างกันในแต่ละผลิตภัณฑ์เราจึงควรศึกษาโดยละเอียดก่อนตัดสินใจซื้อผลิตภัณฑ์ดังกล่าว ว่าสามารถป้องกัน Zero Day Attack ได้จริงหรือไม่
9. ปัญหาการโจมตีจาก Bot หรือ BotNet จะทวีความรุนแรงมากขึ้น เพราะผู้ใช้อินเทอร์เน็ต BroadBand โดยส่วนใหญ่ที่ใช้เทคโนโลยี ADSL มักจะต่อเชื่อมกับเครือข่ายอินเทอร์เน็ตอยู่ตลอดเวลาเพราะการคิดเงินค่าใช้บริการเป็นแบบเหมาจ่าย ทำให้เครื่องคอมพิวเตอร์ ออนไลน์ อยู่เป็นระยะเวลาหลายชั่วโมง ผู้ใช้บางท่านเปิดเครื่องโหลดเพลงโหลดภาพยนต์ทิ้งไว้หลาย ๆ วันก็มี จึงเป็นเหตุให้โปรแกรมไวรัส และมัลแวร์ ตลอดจนแฮกเกอร์ อาศัยช่องโหว่ที่ผู้ใช้คอมพิวเตอร์ไม่ได้ระวัง เช่น ไม่มีการติดตั้งโปรแกรม Personal Firewall หรือ Windows Firewall ตลอดจนการไม่ลง Patch ทำให้แฮกเกอร์สามารถเข้ามายึดเครื่องได้โดยง่าย จากนั้นแฮกเกอร์จะอาศัยเครื่องของเหยื่อในการโจมตีเครื่องอื่น ๆ ต่อในรูปแบบของ BotNet ซึ่งเทคโนโลยีของ BotNet นั้นจะใช้เทคนิคหลบซ่อนโปรแกรม Bot จากการตรวจจับของโปรแกรมกำจัดไวรัส ที่เรียกว่า Rootkit ซึ่งจะทำให้เครื่องของเหยื่อดูเหมือนปกติแต่ในความจริงเครื่องของเหยื่อถูกแฮกเกอร์ยึดไปเรียบร้อยแล้ว เราจึงจำเป็นต้องหาโปรแกรมที่สามารถตรวจพบและกำจัด Rootkit ออกจากระบบ มาใช้งานเพื่อแก้ปัญหา Rootkit ที่กำลังเป็นที่นิยมในหมู่แฮกเกอร์อยู่ในเวลานี้
การแก้ปัญหา Rootkit ที่ดีที่สุด คือ การ Format Hard disk และติดตั้งระบบปฏิบัติการใหม่ จากแผ่นต้นฉบับ เพื่อให้แน่ใจว่าได้กำจัด Rootkit อย่างหมดสิ้นแล้ว
10. เทคนิควิธีควบคุมการเข้าใช้งานระบบเครือข่าย หรือ Network Access Control (NAC) จะกลายเป็นมาตรฐานขององค์กรขนาดใหญ่ที่ต้องคอยตรวจเครื่องคอมพิวเตอร์ลูกข่ายต่าง ๆ ก่อนเข้าใช้งานระบบเครือข่ายขององค์กร เรียกว่าเป็นการตรวจสุขภาพของเครื่องคอมพิวเตอร์ลูกข่าย เช่น ตรวจไวรัส, ตรวจ Anti-Virus Pattern, ตรวจมัลแวร์, ตรวจ Anti-MalWare Pattern, ตรวจการติดตั้ง Patch และ ตรวจการติดตั้ง Personal Firewall ตลอดจนต้องมีการ Log-on หรือ Sign-on ก่อนเข้าใช้ระบบ ซึ่งจะทำให้ผู้ใช้คอมพิวเตอร์มีขั้นตอนการเข้าสู่ระบบ เพิ่มขึ้นจากในอดีตอาจทำให้ผู้ใช้หลายคนอาจรู้สึกไม่สะดวกในการใช้งานระบบเครือข่ายในองค์กรร่วมกับระบบ NAC ดังนั้น การนำเทคโนโลยี NAC มาใช้ควรคำนึงถึงปัญหาที่อาจเกิดกับผู้ใช้งานคอมพิวเตอร์ที่ยังไม่พร้อมและไม่เข้าใจวัตถุประสงค์ที่แท้จริงของเทคโนโลยี NAC จึงควรมีการประชาสัมพันธ์และจัดฝึกอบรมให้ผู้ใช้คอมพิวเตอร์เกิดความเข้าใจก่อนการเปิดใช้งานระบบ NAC อย่างเต็มรูปแบบ
จะเห็นได้ว่าคำทำนายทั้ง 10 ประการนั้น ไม่ได้ไกลเกินกว่าความเป็นจริงในปัจจุบันเท่าใดนัก เราจึงควรตระหนักและทำความเข้าใจถึงปัญหาภัยจากอินเทอร์เน็ตอย่างถูกต้องและชัดเจน เพื่อที่จะให้เราสามารถป้องกันตนเองได้ในระดับหนึ่ง รวมทั้งการป้องกันองค์กรของเราให้รอดพ้นจากภัยร้ายดังกล่าวได้อย่างทันท่วงที และไม่ทำให้เกิดความเสียหายต่อระบบโครงสร้างพื้นฐานโดยรวม เพราะ หัวใจของระบบความปลอดภัยข้อมูลที่แท้จริงก็คือ ความเข้าใจที่ถูกต้องของผู้ใช้คอมพิวเตอร์ในเรื่องความปลอดภัยข้อมูล นั่นเอง
ข้อมูลเพิ่มเติมดูได้ที่ http://www.sans.org