Friday, July 24

มารู้จักกับ Payment Card Industry Data Security Standard

มาตรฐาน Payment Card Industry Data Security Standard เป็นมาตรฐานความปลอดภัยสารสนเทศที่แพร่หลายทั่วโลก รวบรวมโดยคณะกรรมการ Payment Card Industry Security Standards Council (PCI SSC) มาตรฐานนี้สร้างขึ้นมาเพื่อช่วยให้องค์กรต่าง ๆ ที่ดำเนินการชำระเงินผ่านบัตร ให้สามารถป้องกันการฉ้อโกงบัตรเครดิตด้วยการควบคุมข้อมูลและช่องโหว่ต่าง ๆ ที่เพิ่มขึ้น ได้มีการนำมาตรฐานดังกล่าวมาใช้กับทุกองค์กรที่เก็บรักษา ดำเนินการ หรือส่งต่อข้อมูลข่าวสารเกี่ยวกับผู้ถือบัตรจากบัตรใด ๆ ก็ตามที่ประทับยี่ห้อของเครื่องหมายการค้าของบัตรเครดิตเจ้าใดเจ้าหนึ่ง

มาตรฐานนี้ดูแลรักษาโดยคณะกรรมการ Payment Card Industry Security Standards Council ซึ่งดูแลทั้งมาตรฐาน PCI DSS และมาตรฐานอื่น ๆ อาทิเช่น Payment Card Industry PIN Entry Device security requirements (PCI PED) และ Payment Application Data Security Standard (PA-DSS)

การตรวจสอบการปฏิบัติตามมาตรฐานอาจทำได้จากทั้งจากภายในหรือภายนอก ขึ้นอยู่กับปริมาณของการทำธุรกรรมของบัตรที่องค์กรนั้นจัดการ ถึงแม้ว่าองค์กรจะมีขนาดใหญ่เพียงใดก็ตาม การประเมินการปฏิบัติตามมาตรฐานจะต้องทำเป็นรายปี องค์กรที่จัดการกับการทำธุรกรรมที่มีปริมาณมากจะต้องมีการประเมินการทำตาม มาตรฐานโดยผู้ประเมินอิสระที่เรียกว่า Qualified Security Assessor (QSA) ส่วนบริษัทที่จัดการกับการทำธุรกรรมที่มีจำนวนน้อยกว่าสามารถเลือกที่จะ ทำการประเมินได้ด้วยตัวเองที่เรียกว่า Self-Assessment Questionnaire (SAQ)

ข้อกำหนด

มาตรฐานนี้ในเวอร์ชั่นปัจจุบัน (1.2) ระบุถึงข้อกำหนด 12 ข้อในการปฏิบัติตามมาตรฐาน แบ่งเป็นหกกลุ่มที่เกี่ยวข้องกัน เรียกว่า “control objectives”

Control Objectives ข้อกำหนด PCI DSS
สร้างและดูแลรักษาเครือข่ายที่ปลอดภัย 1. ติดตั้งและดูแลรักษาค่าที่ตั้งไว้ของไฟร์วอลล์เพื่อป้องกันข้อมูลของผู้ถือบัตร

2. ไม่ใช้ค่าที่ตั้งมาพร้อมกับผลิตภัณฑ์สำหรับรหัสผ่านและการรักษาความปลอดภัยอื่น ๆ ของระบบ


การป้องกันข้อมูลผู้ถือบัตร 3. ป้องกันข้อมูลผู้ถือบัตรที่เก็บรักษาอยู่

4. เข้ารหัสธุรกรรมที่ส่งผ่านเครือข่ายสาธารณะแบบเปิด


ดูแลรักษาโปรแกรมที่จัดการกับช่องโหว่ 5. ใช้และอัพเดทซอฟท์แวร์แอนตี้ไวรัสในทุกระบบที่มักจะได้รับผลกระทบจากมัลแวร์

6. พัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้ปลอดภัย


ใช้มาตรการควบคุมการเข้าถึงที่เข้มแข็ง 7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตร สำหรับผู้ที่ได้รับอนุญาตให้สามารถเข้าถึงได้เท่านั้น

8. กำหนดหมายเลขประจำตัวเฉพาะสำหรับผู้ที่สามารถเข้าถึงคอมพิวเตอร์ได้

9. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรทางกายภาพ


เฝ้าดูและทดสอบเครือข่ายต่าง ๆ อย่างสม่ำเสมอ 10. ติดตามและเฝ้าดูการเข้าถึงทรัพยากรทางเครือข่ายและข้อมูลผู้ถือบัตร

11. ทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความปลอดภัยอย่างสม่ำเสมอ


ดูแลรักษานโยบายความปลอดภัยสารสนเทศ 12. ดูแลรักษานโยบายที่กล่าวถึงความปลอดภัยสารสนเทศ

มาตรฐาน PCI DSS ที่มีใน SRAN Data Safehouse

ระบบของ Data Safehouse ในส่วนของการประเมินการปฏิบัติตามมาตรฐานของ PCI DSS จะเน้นที่การตรวจสอบปัญหาต่าง ๆ ที่พบใน web server เป็นหลัก

หน้ารายงานในส่วนของ PCI DSS สามารถเปิดดูได้จากเมนู Status > Security scan เมื่อเข้ามาที่หน้า Security scan แล้วให้คลิกที่ลิงค์ PCI DSS Compliance check

จากนั้นจึงเลือกเปิดดูรายงานตามวันที่ที่ต้องการโดยคลิกที่ลิงค์ view report

จะปรากฏหน้าที่บอกรายละเอียดการประเมินผล พร้อมทั้งผลที่บอกว่า web server ของคุณผ่านมาตรฐาน PCI DSS หรือไม่ ซึ่งคุณสามารถอ่านรายละเอียดได้จากรายงานที่บอกถึงรายละเอียดที่อยู่ข้าง ล่าง

ตัวอย่างรายงานที่บอกรายละเอียดว่าเหตุใด server ที่ตรวจสอบถึงไม่ผ่านตามมาตรฐาน PCI DSS

Friday, July 3

มีข่าวดีมาบอก

คุณสมบัติที่หลายคนรอคอย หลังจากทีมงาน SRAN ได้พัฒนาปรับปรุงคุณสมบัติของอุปกรณ์ให้เป็นไปตามความต้องการของลูกค้าพบว่า ลูกค้าต้องการค้นหาพฤติกรรมของ IP Address หรือค่า MAC Address ให้ตรงกับรายชื่อพนักงานในองค์กรได้ โดยไม่ต้องเพิ่มเติมอุปกรณ์อื่น

เร็วๆนี้ทางทีมพัฒนา SRAN ได้พัฒนาเทคโนโลยีใหม่ที่เรียกว่า HBW (Human Behaviror Warning System) ขึ้น โดยการผสมผสานจากเทคนิค Intrusion Detection System ในระดับ Network Base และ การทำ Passive Inventory ในการตรวจจับรายชื่อพนักงาน ชื่อแผนกของหน่วยงาน ค่า MAC Address มาเชื่อมโยงกับ IP Address (ทั้งแบบ Dynamic และ static IP) ได้โดยไม่ต้องลงอุปกรณ์เสริม มาใช้สำหรับการเฝ้าระวังพฤติกรรมการใช้งานไอซีทีภายในองค์กร โดยรวมเทคโนโลยีไว้ในเครื่องเดียว ไม่ต้องติดตั้งอุปกรณ์เพิ่มเติมเพื่อความสะดวกในการใช้งาน และคุ้มค่าแก่การลงทุนส่วนการเฝ้าระวังพฤติกรรมการใช้งานถูกออกแบบไม่ให้มี การละเมิดสิทธิความเป็นส่วนตัวพนักงานในองค์กร โดยสามารถกำหนด Rule Policy ตามนโยบายบริษัทได้ ซึ่งจะสามารถตรวจจาก Protocol ที่สำคัญและอาจมีความเสี่ยงที่จะใช้เป็นเครื่องมือในการก่อให้เกิดความเสีย หาย และเกิดภัยคุกคามขึ้น เนื่องจากเป็น Protocol ที่ใช้งานกันอย่างแพร่หลาย เช่น

Web : HTTP, HTTPS

Email : SMTP, POP3, IMAP, Web Mail, Lotus Note, POP3S, SMTPS, IMAPS ซึ่งจะดูเฉพาะ Subject e-mail ในการรับส่ง

Messenger : ICQ, MSN, IRC, AIM, Yahoo, ebuddy, Camfrog ใน Mode Chat สามารถควบคุมได้ว่าจะให้แสดงข้อความการสนทนาได้ ซึ่งเป็นการป้องกันเรื่องความเป็นส่วนตัวพนักงาน

File Transfer : FTP, TFTP ,Files Sharing (Netbios)

P2P : napster, GNUtella, DirectConnect, Bittorrent, eDonkey, MANOLITO, Ares, ed2k, kaaza, soulseek และ VoIP ชนิด P2P เช่น Skype เป็นต้น

Others : Telnet, Remote Desktop, VNC, Radius

โดย เทคนิคดังกล่าวสามารถทำงานได้โดยไม่ต้องลง agent software ที่เครื่อง client ทำให้เกิดความสะดวกในการติดตั้งอุปกรณ์เป็นอย่างมาก การติดตั้ง SRAN Security Center ยังคงเหมือนเดิมคือสามารถติดตั้งได้3 รูปแบบ คือ แบบแรก In-line (ซึ่งทำให้ป้องกันภัยคุกคามในระดับ Application Layer ได้ คือสามารถทำตัวอุปกรณ์เป็น NIPS นั้นเอง) , แบบที่สอง Transparent (สามารถป้องกันภัยคุกคามในระดับ L3-L4) , และแบบที่สาม Passive Mode คือเป็นการเฝ้าระวังอย่างเดียว ทั้ง 3 Mode ในการติดตั้งขึ้นกับขนาดปริมาณข้อมูลในแต่ละองค์กรและตามขนาดรุ่นการใช้งาน ของ SRAN ซึ่งสามารถอ่านได้เพิ่มเติมที่ http://www.gbtech.co.th/th/product/usm

แนวคิด เทคโนโลยีใหม่ HBW (Human Behaviror Warning) ที่ ทีมงานนำมาใช้ ก็เพื่อเป็นประโยชน์สำหรับองค์กรในการในการเฝ้าระวังภัยคุกคามภายใน หรือที่เรียกว่า "Insider Threat" ที่มีสถิติมากขึ้นทุกๆปี และการสืบค้นหาประวัติเหตุการณ์เพื่อหาผู้กระทำความผิดได้สะดวกมากขึ้น อีกทั้งยังสามารถเชื่อมกับงาน ทรัพยากรบุคคล HR (Human Resource) ได้ถึงพฤติกรรมการใช้งาน IT ภายในองค์กร ว่ามีพฤติกรรมการใช้งานอันไม่เหมาะสมในเวลางานหรือไม่ หรือมีการลักลอบขโมยข้อมูลภายในองค์กรส่งไปยังที่อื่นนอกเวลางานหรือไม่ ซึ่งทำให้รู้ทันปัญหาการโกง (Fraud) จากคนภายในองค์กรได้อย่างทันเวลาและมีหลักฐานในการประกอบรูปคดี รวมถึงการสร้างเป็นดัชนีชี้วัดรายแผนก รายบุคคล ที่ส่งผลให้สามารถพยากรณ์ถึงการลงทุนระบบไอซีทีในองค์กรให้มีประสิทธิภาพมากขึ้น

ความสามารถมีคุณสมบัติใหม่ ดังนี้คือ

1. สามารถมองเห็นค่า IP Address เชื่อมโยงกับข้อมูลรายชื่อพนักงานในบริษัท

ภาพ หน้าจอ SRAN Security Center ที่เปลี่ยนไปสามารถเชื่อมโยง IP Address กับชื่อพนักงานบริษัทได้ โดยสามารถได้ทั้งองค์กรที่เป็นระบบ IP แบบ DHCP และ Static IP เนื่องจากเทคโนโลยี HBW ที่ทีมงาน SRAN ได้คิดค้นขึ้นจะสามารถเชื่อมความสัมผัสรายชื่อพนักงานและ IP Address ได้บนระบบเครือข่าย

หากเปรียบเทียบกับการสืบสวนตาม chain of event คือพิจารณาจาก

Who พบว่า SRAN สามารถบอกได้ถึง ชื่อพนักงาน รูปพนักงาน ชื่อแผนก ค่า IP Address ตลอดจนค่า MAC Address ระบบปฏิบัติการของผู้ใช้งานได้

What พบว่า SRAN สามารถบอกถึงพฤติกรรมการใช้งานโดยแยกตามลักษณะ Signature ว่าเป็นการใช้งานชนิดใด เช่น เล่น Web , Mail ,Chat , Upload , download เป็นต้น

Where พบว่า SRAN สามารถบอกถึงลักษณะการสื่อสารตาม Protocol ที่สำคัญและ Port Services ที่ใช้

When พบว่า SRAN สามารถบอก วัน เวลา ที่เกิดขึ้นในแต่ละเหตุการณ์ได้

Why (How) พบว่า SRAN จะสามารถแยกแยะได้ว่าเป็นพฤติกรรมเหมาะสมหรือไม่เหมาะสมผ่านเทคนิค NIDS (Network Intrusion Detection System) ที่ดูได้ถึงระดับ Application Layer

2. สามารถจัดเก็บค่า Inventory ชนิดแบบ Passive ทางระบบเครือข่าย ซึ่งทำให้ได้ทราบถึง

- รายชื่อพนักงานบริษัท (Name)

- ชื่อแผนก (Department)

- ชื่อระบบปฏิบัติการของพนักงาน (Operating System)

- ค่า MAC Address แต่ละเครื่องในองค์กร

ภาพ การแสดงผล ค่าคลังข้อมูล (Inventory) ที่ผ่านเทคโนโลยี HBW ที่ทีมงาน SRAN ได้คิดค้นขึ้น จะสามารถเก็บประวัติการใช้งานเครื่องคอมพิวเตอร์ รายชื่อพนักงาน ชื่อแผนก ชื่อ IP ค่า MAC Address และระบบปฏิบัติการได้ โดยไม่ต้องลงซอฟต์แวร์ (agent) ใดๆ

อีกทั้งเพิ่มคุณสมบัติที่เฝ้า ระวังการที่พนักงานทำตัวเองเป็น Hacker และทำการแอบดักข้อมูล หรือใช้โปรแกรม sniffer ได้อีกด้วย เรียกเทคโนโลยีนี้ว่า Anti-sniffer ที่เป็นแบบ Passive Monitoring บนระดับเครือข่ายคอมพิวเตอร์ สามารถที่จะรู้ถึงเครื่องคอมพิวเตอร์ที่ทำการดักจับข้อมูลภายในองค์กรได้อีก ด้วย ซึ่งเป็นการรู้ทันพฤติกรรมของ Hacker ภายในองค์กรมากขึ้นอีกระดับหนึ่ง

3.รายงานผลการใช้งานข้อมูลสารสนเทศตามแผนกงาน , รายบุคคล และภาพรวมของบริษัทได้

ภาพ ประวัติการใช้งานพนักงานในองค์กรที่เป็นรายบุคคล ซึ่งทำให้วิเคราะห์ถึงพฤติกรรมการใช้งานตาม Protocol ที่ต้องสงสัยว่าจะเป็นการทุจริตภายในองค์กรได้ และสามารถเพิ่มรูปพนักงานดังกล่าวลงในระบบได้อีกด้วย

คุณสมบัติทั้งหมด เป็นการวิจัยค้นคว้าเพื่อให้ หลังจากที่ได้สอบถามจากลูกค้าที่เคยใช้ SRAN Security Center มาแล้วทั้ง 3 ข้อที่กล่าวมาจึงเป็นคุณสมบัติที่ เหมาะสม ลดความซับซ้อนของเทคโนโลยีลง และคุ้มค่าการลงทุนในการใช้งานระบบสารสนเทศในองค์กรเพื่อให้เกิดประสิทธิภาพ และประสิทธิผลมากขึ้น

คอยพบกับ SRAN Security Center ใน Version ใหม่นี้ได้เร็วๆ นี้ คิดว่าเป็นประโยชน์ในงานสืบสวนสอบสวน งานตรวจสอบ ดัชนีชี้วัดพฤติกรรมการใช้งานบุคลากรไอซีทีในองค์กร และถือว่าเป็นอุปกรณ์ยาสามัญประจำเครือข่ายที่ทุกที่องค์กรควรมีไว้ใช้งานเป็นอย่างมาก

นนทวรรธนะ สาระมาน
Nontawattana Saraman