ReadyPlanet.com
dot dot
dot
dot
bulletคณะกรรมการบริหาร
bulletหน้าที่ของ กบร.
bulletนโยบายชมรม
bulletขอบเขตรับผิดชอบอนุกรรมการ
bulletข้อบังคับชมรมฯ
bulletธนาคาร&สถาบันการเงินสมาชิก
bulletแผนการดำเนินงาน
dot
dot
bulletข้อมูล ธปท.สำหรับสถาบันการเงิน
bullet Web App. Security (OWASP Top 10)
bullet Checklist สำหรับบริหารจัดการ Cisco Router
bulletRouter Audit Tool (RAT)
bulletweb application testing
dot
dot
bulletกระทรวงการคลัง
bulletธนาคารแห่งประเทศไทย
bulletสมาคมผู้ตรวจสอบภายในฯ
bulletสมาคมธนาคารไทย
bulletISACA Bangkok
bulletสำนักงานคณะกรรมการ กลต.
bulletInformation Technology Governance (โดย อ.เมธา )
bulletThaiCERT
bulletAudit Net




คำทำนายอนาคตทิศทางเทคโนโลยีและภัยด้านความปลอดภัยข้อมูล

คำทำนายอนาคตทิศทางเทคโนโลยีและภัยด้านความปลอดภัยข้อมูล 10 ประการจากผู้เชี่ยวชาญทั่วโลก
The Ten Information Security Future Trends from The Security Experts

ปริญญา หอมเอนก , CISSP, CISA, CISM, SANS GIAC GCFW, Security+
ACIS Professional Center
prinya@acisonline.net
http://www.acisonline.net

 จากการรวบรวมทัศนะของผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลจากทั่วโลก 20 ท่าน นำโดยสถาบัน SANS Technology Institute ได้ร่วมกันทำนายอนาคตของเทคโนโลยีและภัยด้านความปลอดภัยข้อมูลทั้ง 10 ประการ ในอนาคตอันใกล้นี้ไว้อย่างน่าสนใจซึ่งมีรายละเอียดดังนี้

1. อุปกรณ์คอมพิวเตอร์ไม่ว่าจะเป็น Notebook หรือ PDA รวมทั้ง Smart Phone จะต้องมีการเข้ารหัสข้อมูลเป็นค่าโดยกำหนดในอนาคต เนื่องจากหัวใจสำคัญของการรักษาความปลอดภัยข้อมูลนั้น ไม่ใช่การรักษาความปลอดภัยให้กับอุปกรณ์ที่ใช้ในการเก็บข้อมูล หากแต่เป็นการรักษาความปลอดภัยให้กับตัวข้อมูลเองต่างหาก ยกตัวอย่าง เช่น เราให้ความสำคัญกับการเข้ารหัสข้อมูลที่เก็บอยู่ในฮาร์ดดิสก์ของเครื่อง คอมพิวเตอร์แบบพกพา (Notebook) ซึ่งข้อมูลนั้นเป็นข้อมูลที่มีความสำคัญ เช่น รหัสผ่านเข้าระบบ หรือ ไฟล์ความลับของบริษัท เช่น ไฟล์เงินเดือน เป็นต้น และเนื่องจากการป้องกันที่ตัวคอมพิวเตอร์แบบพกพานั้น ทำได้ยากกว่าคอมพิวเตอร์แบบตั้งโต๊ะ (Desktop PC)

2. อัตราการขโมยอุปกรณ์คอมพิวเตอร์แบบพกพาตลอดจน PDA และ Smart Phone จะเพิ่มสูงขึ้นเรื่อย ๆ เนื่องจากมูลค่าของอุปกรณ์ที่สามารถนำมาขายทอดตลาดได้ อีกทั้งข้อมูลที่อยู่ในอุปกรณ์ดังกล่าวอาจสามารถนำไปขายหรือใช้ประโยชน์ในทางมิชอบได้ การขโมย Notebook กลายเป็นปัญหาของเมืองใหญ่ ๆ ในประเทศสหรัฐอเมริกาและในอีกหลายๆประเทศ เช่น การทุบกระจกรถเพื่อขโมย Notebook เป็นต้น ดังนั้น เราควรเก็บอุปกรณ์คอมพิวเตอร์แบบพกพา ไว้ในที่ลับตาคน ไม่ควรวางไว้ในรถให้ผู้ไม่หวังดีสังเกตุเห็นได้โดยง่าย อีกทั้งควรที่จะสำรองข้อมูลเก็บไว้ใน Removable Media อย่างสม่ำเสมอ เช่น อาทิตย์ละหนึ่งครั้ง ในกรณีที่ Notebook ถูกขโมยก็สามารถกู้ข้อมูลคืนจาก Removable Media ดังกล่าวได้

3. ปัญหาเรื่องข้อมูลสำคัญและข้อมูลส่วนตัวรั่วไหลออกจากองค์กร เช่น ข้อมูลบัตรเครดิตของลูกค้าธนาคาร หรือ ข้อมูลประวัติคนไข้ในโรงพยาบาล กลายเป็นปัญหาใหญ่สำหรับวันนี้ เพราะ อุปกรณ์ในการเก็บข้อมูลแบบพกพา เช่น USB Drive, MP3 Player, iPod หรือ Removable Harddisk สามารถหาได้ง่ายทั่วไป ผู้ไม่หวังดี สามารถสำเนาข้อมูลเข้ามาเก็บในอุปกรณ์ดังกล่าว ได้อย่างง่ายดาย ซึ่งองค์กรแทบจะตรวจสอบไม่ได้เลยว่ามีการแอบทำสำเนาข้อมูลเข้าสู่อุปกรณ์เก็บข้อมูลแบบพกพาดังกล่าว และยังไม่รวมถึงการเข้าใช้ข้อมูลแบบไร้สายโดยไม่ได้รับอนุญาต เช่น การเข้าใช้ข้อมูลผ่านทาง Bluetooth, WiFi และ Infrared ซึ่งในปัจจุบันแฮกเกอร์สามารถใช้เสาอากาศ High-gain Antenna ที่ออกแบบมาโดยเฉพาะ แอบขโมยข้อมูลในระยะไกลกว่า 3 ไมล์ หรือ  4.83 KM. ในกรณีของ WiFi และ ระยะไกลกว่า  500 เมตรในกรณีของ Bluetooth การเจาะระบบ WiFi ดังกล่าวนิยมเรียกว่า “War Driving” ส่วนการเจาะ Bluetooth เรียกว่า “Bluedriving”

การแก้ปัญหาข้อมูลรั่วไหลกำลังกลายเป็นประเด็นสำหรับรัฐบาลในหลาย ๆ ประเทศ ที่ต้องออกกฏหมายคุ้มครองข้อมูลส่วนบุคคล (Data Privacy Law) เพื่อบังคับใช้กับ ธนาคาร, สถาบันการเงิน, โรงพยาบาล ตลอดจนบริษัทที่จดทะเบียนในตลาดหลักทรัพย์ให้ปฏิบัติตามกฏหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หน่วยงานดังกล่าวต้องมีความรับผิดชอบในการป้องกันข้อมูลลูกค้าไม่ให้รั่วไหลโดยที่ลูกค้าไม่ได้อนุญาตซึ่งจำเป็นต้องใช้เทคโนโลยีเข้ามาเกี่ยวข้องเช่น เทคโนโลยี Digital Right Management (DRM) หรือ เทคโนโลยี Data Loss Prevention

4. การโจมตีเป้าหมายแบบกำหนดไว้ล่วงหน้าหรือ “Targeted Attack” กำลังเป็นที่นิยมของแฮกเกอร์ในวันนี้และอนาคต เนื่องจากแฮกเกอร์ในปัจจุบันมุ่งหวังที่จะเจาะระบบเพื่อประโยชน์จากด้านการเงิน มากกว่าการเจาะระบบเพื่อความสนุกเท่านั้น (Hack for Profit, not Hack for Fun) ดังนั้น การเจาะระบบของแฮกเกอร์จึงต้องมีการวางแผนไว้ล่วงหน้าเป็นอย่างดี เช่น การโจมตีรัฐบาลฝ่ายตรงข้าม, การขโมยข้อมูลบริษัทคู่แข่ง, การโจมตีโปรแกรมกำจัดไวรัสและมัลแวร์เฉพาะยี่ห้อ, การโจมตีที่ถูกออกแบบมาเป็นอย่างดีดังกล่าวสามารถรอดพ้นจากการตรวจจับของโปรแกรมกำจัดไวรัสและมัลแวร์ได้อย่างไม่ยากเย็นนัก ดังนั้น ภัยจากเทคนิค “Targeted Attack” จึงเป็นภัยมืดที่น่ากลัวกว่าที่คิด เนื่องจากกลไกในการป้องกันข้อมูลของเราไม่สามารถใช้การได้เมื่อถูกโจมตีในลักษณะดังกล่าว ทางแก้ปัญหาก็คือ ต้องรู้ให้เท่าทันเทคนิคใหม่ๆของแฮกเกอร์ และเตรียมการแก้ปัญหาเฉพาะกรณีไป ซึ่งในปัจจุบันต้องคอยตามปรับปรุงโปรแกรมกำจัดไวรัสและมัลแวร์ให้มีความสามารถในการตรวจจับและทำลายโปรแกรมดังกล่าว  ตลอดจนต้องฝึกอบรมผู้ใช้คอมพิวเตอร์ ให้ตระหนักและเข้าใจถึงลักษณะการโจมตีแบบ “Targeted Attack” โดยวิธีการทำ “Security Awareness Training” ในองค์กรจะช่วยแก้ปัญหาเรื่องมัลแวร์และไวรัสได้อย่างมีประสิทธิภาพ เพราะมัลแวร์สมัยใหม่นิยมใช้เทคนิค “Social Engineering” ในการโจมตีผู้ใช้คอมพิวเตอร์ที่ยังขาดความรู้ความเข้าใจเกี่ยวกับภัยอันตรายที่มาจากทางอินเทอร์เน็ตซึ่งทำให้ผู้ใช้ตกเป็นเหยื่อได้ง่าย การฝึกอบรมจะช่วยให้ผู้ใช้ระมัดระวังตัวมากขึ้น และ สามารถแยกแยะระหว่าง ไฟล์มัลแวร์ และ ไฟล์ข้อมูลปกติที่มากับอิเล็กโทรนิคส์เมล์ หรือ การดาวน์โหลดผ่านทาง Web Site

5. ไวรัสและมัลแวร์จะเข้าโจมตีเครือข่ายโทรศัพท์เคลื่อนที่เพิ่มขึ้นโดยสามารถแพร่กระจายผ่านทางโทรศัพท์เคลื่อนที่ด้วยกันเองในเครือข่ายแบบไร้สาย เนื่องจากในปัจจุบันโทรศัพท์เคลื่อนที่มีความสามารถเพิ่มสูงขึ้นมาก เรียกได้ว่าย่อเครื่องคอมพิวเตอร์ลงมาให้เล็กลงก็ไม่ผิดนัก เช่น PDA Phone ที่ใช้ Windows Mobile เป็นต้น วัตถุประสงค์ของไวรัสและมัลแวร์บนเครือข่ายโทรศัพท์เคลื่อนที่มักจะหวังผลทางด้านการเงิน เช่น ทำให้ผู้ใช้โทรศัพท์เคลื่อนที่ส่ง SMS หรือ MMS โดยไม่รู้ตัว ซึ่งทำให้เสียค่าบริการในการส่ง SMS หรือ MMS ไปโดยเปล่าประโยชน์ อีกทั้งยังสามารถเป็นช่องทางในการแพร่กระจายโฆษณาข่าวสารต่าง ๆ ผ่านทาง SMS หรือ MMS อีกด้วย

6. การโจมตีเครือข่ายระบบ Voice Over IP (VoIP) เนื่องจากในปัจจุบันระบบ  VoIP กำลังได้รับความนิยมเพิ่มขึ้นอย่างต่อเนื่อง ตู้สาขา PABX รุ่นใหม่ส่วนใหญ่สนับสนุนระบบ VoIP และสามารถทำงานร่วมกับระบบเครือข่าย LAN ภายในองค์กรได้ ปัญหาก็คือ ภัยต่าง ๆ ที่มากับเครือข่าย IP ก็สามารถส่งผลกระทบต่อระบบ Voice ที่ทำงานอยู่บน เครือข่าย IP อย่างหลีกเลี่ยงไม่ได้ ดังนั้นการออกแบบระบบ VoIP ให้ปลอดภัยจากการโจมตีเครือข่าย IP จึงเป็นเรื่องสำคัญที่ไม่ควรจะมองข้าม รวมทั้งการทำ Vulnerability Assessment และ Penetration Testing ให้กับระบบ VoIP ก็เป็นสิ่งที่องค์กรควรจัดทำก่อนใช้บริการระบบ VoIP

7. ปัญหาสปายแวร์ยังคงรบกวนผู้ใช้คอมพิวเตอร์ต่อไปอีกนานเพราะผู้ผลิตสปายแวร์นั้นได้รับเงินจากการสร้างสปายแวร์เพื่อขโมยข้อมูลหรือล้วงความลับของเหยื่อที่ไม่ได้ติดต้งโปแกรมกำจัดสปายแวร์ ซึ่งโปรแกรมกำจัดไวรัสบางโปรแกรมไม่สามารถกำจัดสปายแวร์ได้ จึงเป็นช่องทางของสปายแวร์ในการโจมตีระบบของผู้ใช้โดยที่ผู้ใช้ไม่รู้ตัว

8. ปัญหา Zero Day Attack เกิดจากการที่ช่องโหว่ของระบบถูกค้นพบก่อนที่โปรแกรมแก้ไขช่องโหว่จะถูกพัฒนาขึ้น ช่องโหว่ของระบบถูกค้นพบในลักษณะนี้เราเรียกว่า “Zero Day Vulnerability” ซึ่งมีผลกระทบทำให้องค์กรเกิดปัญหาจากการโจมตีโดยการใช้ “Zero Day Exploit” ที่ยังไม่มีโปรแกรมแก้ไขช่องโหว่ดังกล่าว โดยปกติแล้วกลุ่มแฮกเกอรที่เรียกตัวเองว่า นักวิจัยความปลอดภัยข้อมูลหรือ “Security Researcher” มักจะสร้างโปรแกรมเจาะระบบ หรือ “Exploit” ขึ้นมาในรูปแบบของ POC หรือ “Proof of Concept” Program จากนั้นจึงค่อยขายข้อมูลให้กับผู้ผลิตโปรแกรมกำจัดไวรัส หรือ ผู้ผลิตระบบ IDS/IPS ตลอดจนเจ้าของโปรแกรมที่ถูกค้นพบช่องโหว่ ทำให้เกิดช่วงเวลาแห่งความเสี่ยงขึ้นในช่วงระยะเวลาดังกล่าว

เนื่องจากเป็นที่ทราบกันดีว่า การป้องกันความปลอดภัยแบบหนึ่งร้อยเปอร์เซ็นต์ไม่มีในโลกนี้ เราจึงควรหมั่นติดตามข่าวสารข่องโหว่ ใหม่ ๆ อยู่อย่างสม่ำเสมอเพื่อเตรียมพร้อมรับมือกับปัญหา “Zero Day Attack” ได้อย่างทันท่วงที ปกติ เราเรียกวิธีการป้องกัน  “Zero Day Attack” ว่า “Outbreak Prevention” ซึ่งมีลักษณะการป้องกันที่แตกต่างกันในแต่ละผลิตภัณฑ์เราจึงควรศึกษาโดยละเอียดก่อนตัดสินใจซื้อผลิตภัณฑ์ดังกล่าว ว่าสามารถป้องกัน “Zero Day Attack” ได้จริงหรือไม่

9. ปัญหาการโจมตีจาก Bot หรือ BotNet จะทวีความรุนแรงมากขึ้น เพราะผู้ใช้อินเทอร์เน็ต BroadBand โดยส่วนใหญ่ที่ใช้เทคโนโลยี ADSL มักจะต่อเชื่อมกับเครือข่ายอินเทอร์เน็ตอยู่ตลอดเวลาเพราะการคิดเงินค่าใช้บริการเป็นแบบเหมาจ่าย ทำให้เครื่องคอมพิวเตอร์ “ออนไลน์” อยู่เป็นระยะเวลาหลายชั่วโมง ผู้ใช้บางท่านเปิดเครื่องโหลดเพลงโหลดภาพยนต์ทิ้งไว้หลาย ๆ วันก็มี จึงเป็นเหตุให้โปรแกรมไวรัส และมัลแวร์ ตลอดจนแฮกเกอร์ อาศัยช่องโหว่ที่ผู้ใช้คอมพิวเตอร์ไม่ได้ระวัง เช่น ไม่มีการติดตั้งโปรแกรม Personal Firewall หรือ Windows Firewall ตลอดจนการไม่ลง Patch ทำให้แฮกเกอร์สามารถเข้ามายึดเครื่องได้โดยง่าย จากนั้นแฮกเกอร์จะอาศัยเครื่องของเหยื่อในการโจมตีเครื่องอื่น ๆ ต่อในรูปแบบของ “BotNet” ซึ่งเทคโนโลยีของ BotNet นั้นจะใช้เทคนิคหลบซ่อนโปรแกรม Bot จากการตรวจจับของโปรแกรมกำจัดไวรัส ที่เรียกว่า “Rootkit” ซึ่งจะทำให้เครื่องของเหยื่อดูเหมือนปกติแต่ในความจริงเครื่องของเหยื่อถูกแฮกเกอร์ยึดไปเรียบร้อยแล้ว เราจึงจำเป็นต้องหาโปรแกรมที่สามารถตรวจพบและกำจัด Rootkit ออกจากระบบ มาใช้งานเพื่อแก้ปัญหา Rootkit ที่กำลังเป็นที่นิยมในหมู่แฮกเกอร์อยู่ในเวลานี้
การแก้ปัญหา Rootkit ที่ดีที่สุด คือ การ Format Hard disk และติดตั้งระบบปฏิบัติการใหม่ จากแผ่นต้นฉบับ เพื่อให้แน่ใจว่าได้กำจัด Rootkit อย่างหมดสิ้นแล้ว

10. เทคนิควิธีควบคุมการเข้าใช้งานระบบเครือข่าย หรือ Network Access Control (NAC) จะกลายเป็นมาตรฐานขององค์กรขนาดใหญ่ที่ต้องคอยตรวจเครื่องคอมพิวเตอร์ลูกข่ายต่าง ๆ ก่อนเข้าใช้งานระบบเครือข่ายขององค์กร เรียกว่าเป็นการตรวจสุขภาพของเครื่องคอมพิวเตอร์ลูกข่าย เช่น ตรวจไวรัส, ตรวจ Anti-Virus Pattern, ตรวจมัลแวร์, ตรวจ Anti-MalWare Pattern, ตรวจการติดตั้ง Patch และ ตรวจการติดตั้ง Personal Firewall ตลอดจนต้องมีการ Log-on หรือ Sign-on ก่อนเข้าใช้ระบบ ซึ่งจะทำให้ผู้ใช้คอมพิวเตอร์มีขั้นตอนการเข้าสู่ระบบ เพิ่มขึ้นจากในอดีตอาจทำให้ผู้ใช้หลายคนอาจรู้สึกไม่สะดวกในการใช้งานระบบเครือข่ายในองค์กรร่วมกับระบบ NAC ดังนั้น การนำเทคโนโลยี NAC มาใช้ควรคำนึงถึงปัญหาที่อาจเกิดกับผู้ใช้งานคอมพิวเตอร์ที่ยังไม่พร้อมและไม่เข้าใจวัตถุประสงค์ที่แท้จริงของเทคโนโลยี NAC จึงควรมีการประชาสัมพันธ์และจัดฝึกอบรมให้ผู้ใช้คอมพิวเตอร์เกิดความเข้าใจก่อนการเปิดใช้งานระบบ NAC อย่างเต็มรูปแบบ

จะเห็นได้ว่าคำทำนายทั้ง 10 ประการนั้น ไม่ได้ไกลเกินกว่าความเป็นจริงในปัจจุบันเท่าใดนัก เราจึงควรตระหนักและทำความเข้าใจถึงปัญหาภัยจากอินเทอร์เน็ตอย่างถูกต้องและชัดเจน เพื่อที่จะให้เราสามารถป้องกันตนเองได้ในระดับหนึ่ง รวมทั้งการป้องกันองค์กรของเราให้รอดพ้นจากภัยร้ายดังกล่าวได้อย่างทันท่วงที และไม่ทำให้เกิดความเสียหายต่อระบบโครงสร้างพื้นฐานโดยรวม เพราะ หัวใจของระบบความปลอดภัยข้อมูลที่แท้จริงก็คือ “ความเข้าใจที่ถูกต้องของผู้ใช้คอมพิวเตอร์ในเรื่องความปลอดภัยข้อมูล” นั่นเอง 

ข้อมูลเพิ่มเติมดูได้ที่ http://www.sans.org




บทความการตรวจสอบภายใน

Audit Technique article
การทุจริตบัตรเครดิตโดยการดูดข้อมูลบัตรเครดิตผ่านทางสายโทรศัพท์
7 อันดับภัยอินเทอร์เน็ตในประเทศไทย
วิธีการใช้บัตรเครดิตอย่างปลอดภัย
งานวิจัยบุคคลเรื่องการทุจริตบัตรเครดิต
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
การพัฒนา การกำกับดูแลกิจการ ของต่างประเทศ
แนะนำการลงทุนในกองทุนรวมเพื่อการเลี้ยงชีพ (RMF) article
9 คำถาม สำหรับตัดสินใจเลือกลงทุน RMF และ LTF article
นโยบายการตรวจสอบสถาบันการเงิน ปี 49 ของ ธปท. article
เรื่องน่ารู้ "ทรัพย์สิน ของคู่สมรส" article
สตท. กับบริการ Quality Assurance Review article



Copyright © 2012 All Rights Reserved.
ชมรมผู้ตรวจสอบภายในธนาคาร และสถาบันการเงิน (Bank & Financial Institution Internal Auditors Club) ที่ทำการ สมาคมธนาคารไทย เลขที่ 5/13 ชั้น 4 หมู่ 3 ถนนแจ้งวัฒนะ ตำบลคลองเกลือ อำเภอปากเกร็ด จังหวัดนนทบุรี 11120 โทร. 0-2264-0883-7 โทรสาร. 0-2264-0888 สถานที่ติดต่อ ประธานและเลขาธิการกรรมการบริหารและคณะกรรมการบริหารชมรมฯ ตามระยะเวลาที่ดำรงตำแหน่งอยู่ โปรดดูรายละเอียดในหัวเรื่องคณะกรรมการ