7 แนวโน้มเทคโนโลยีด้านป้องกันภัย
เป็นบทความที่ผู้เขียนได้ลง หนังสือ Micro Computer ประจำเดือน มกราคม 2006 เป็นแนวโน้มเทคโนโลยีป้องกันภัยข้อมูลในปี 2006 โดยแบ่งหมวดหมู่ได้ 7 แนวทาง รายละเอียดทั้งหมดสามารถอ่านได้ที่นี้
7 แนวโน้มเทคโนโลยีด้านป้องกันภัยคุกคามข้อมูลสารสนเทศ ในปี 2006
ในรอบปีที่ผ่าน อาจกล่าวได้ว่าระบบความปลอดภัยข้อมูลสารสนเทศถูกจัดให้เป็นประเด็นที่ได้รับการกล่าวอ้างและพูดถึงกันอย่างกว้างขวางที่สุด ทั้งในการเกิดขึ้นและเปลี่ยนแปลงของรูปแบบของภัยอันตรายประเภทใหม่ๆ และการเปิดตัวและแนะนำของผลิตภัณฑ์ใหม่สู่ท้องตลาด รวมทั้งในเรื่องของการควบรวมกิจการ ที่เกิดขึ้นอย่างต่อเนื่องตั้งแต่ต้นปี อาทิ บริษัท Foundstone ผู้ผลิตระบบ VA (Vulnerability Assessment) และเจ้าของตำราที่มีประโยชน์ต่อผู้ดูแลระบบอย่างมากมาย ได้ถูกบริษัท Mcafee ผู้ผลิตระบบ Anti-virus เข้าควบรวมกิจการ เมื่อต้นปีที่ผ่าน และข่าวใหญ่สำหรับวงการด้านความปลอดภัย คือบริษัท Sourcefire ผู้พัฒนา ระบบ IDS/IPS ที่เรียกว่า Snort โดนควบรวมกิจการจากบริษัท Checkpoint อันมีชื่อเสียงในเรื่องโซลูชั่นทางด้าน Firewall จึงเป็นที่น่าจับตามองว่าอันดับหนึ่งผู้ผลิต IDS/IPS จับมือกับ อันดับหนึ่งผู้ผลิต Firewall รวมด้วยกันแล้วจะเกิดอะไรขึ้นในปี 2006 การควบรวมกิจการดังกล่าว หากมองในแง่มุมของผู้บริโภคแล้ว อาจจัดได้ว่ามีประโยชน์ในแง่การใช้เทคโนโลยีที่ทันสมัยและสารพัดประโยชน์มากขึ้น ซึ่งในมุมมองของเทคโนโลยีทางด้านการรักษาความปลอดภัยที่จะเกิดขึ้นในปี 2006 ผู้เขียนขอทำนายถึงสิ่งที่จะเกิดขึ้นกับเทคโนโลยีทางด้านสารสนเทศในปี 2006 โดยจะมีเรื่องที่จะถูกกล่าวหรืออ้างถึงทั้งสิ้น 7 หัวข้อ โดยประกอบด้วยเรื่องดังนี้
• Signature Signature and Signature
ในส่วนของผลิตภัณฑ์ป้องกันภัยบนระบบเครือข่าย ณ ปัจจุบัน มีให้เลือกหลายเทคโนโลยี จากหลายผู้ผลิตซึ่งอุปกรณ์หรือโซลูชั่นจากแต่ละผู้ผลิตเองก็มีความสามารถใกล้เคียงกัน แต่สิ่งสำคัญที่จะทำให้สินค้านั้นมีข้อแตกต่างเหนือคู่แข่งนั้นคือ เรื่องฐานข้อมูลการบุกรุกต่างๆ ( Signature) ซึ่งยิ่งมีมาก ยิ่งเร็วและถูกต้อง ยิ่งมีข้อได้เปรียบเหนือคู่แข่ง หากผลิตภัณฑ์ใดสามารถตอบสนองของภัยคุกคามนั้นได้ภายในระยะเวลาที่สั้นกว่า จะเป็นผลิตภัณฑ์ที่ได้การรับเลือกใช้และชนะคู่แข่งได้ในปี 2006 ที่จะถึงนี้
1.1 ระบบ NIDS/IPS (Network Intrusion Detection & Prevention) ที่ได้รับความนิยมสูงขึ้นเรื่อยๆ เนื่องจากหลายองค์กรมี การติดตั้ง Firewall แล้วแต่ยังไม่เพียงพอ การทำงานของ IDS/IPS อาศัยรูปแบบการตรวจจับในฐานข้อมูล ที่เรียกว่า Signature
1.2 โปรแกรม Anti-virus , Anti-Spyware ก็ต้องอาศัยฐานข้อมูลไวรัสชนิดใหม่ๆ
1.3 ระบบ Anti-Spam ทั้งที่เป็นรูปแบบของ software และที่เป็น Appliance (Spam Firewall) ก็ต้องอาศัยฐานข้อมูล Spam ที่เกิดขึ้นทั่วโลก
1.4 ระบบกรองเว็บที่ไม่เหมาะสม ทั้งที่เป็น software และ Appliance ก็ต้องอาศัยฐานข้อมูล
1.5 ระบบประเมินความเสี่ยงเครือข่าย ที่เรียกสั้นว่า VA (Vulnerability Assessement) ยิ่งจำเป็นต้องมี ฐานข้อมูลในการประเมินความเสี่ยง การ Scan หาช่องโหว่ที่เกิดขึ้น และ Bug ใหม่ๆ ที่ค้นพบ เพื่อทำการตรวจสอบว่าระบบนั้นมีช่องโหว่ และควรป้องกันเช่นไร
ผู้เขียนตั้งข้อสังเกตว่า ในอนาคตจะเกิดบริษัทในเชิงวิจัยและพัฒนา signature เพื่อขายฐานข้อมูลให้กับผู้ผลิตภัณฑ์ด้านความปลอดภัยจำนวนมากขึ้น รวมทั้งจะมีผู้ผลิตรายใหม่เกี่ยวกับโซลูชั่นทางด้านระบบป้องกันภัยข้อมูลทั้งที่เป็น software และ Hardware มีจำนวนเพิ่มขึ้นอย่างมากด้วย
2. Anti-Malicious Web
ระบบป้องกันเว็บที่ฝัง code ไม่เหมาะสม เป็นการบุกรุกเข้าเครื่องผู้ใช้งาน โดยอาศัยช่องโหว่ของ Application ในการท่องเว็บไซด์ นั้นคือบราวเซอร์ที่เราใช้นั้นเอง เช่น Internet Explorer (IE) , Firefox , Opera เป็นต้น ในตลอดทั้งปี 2005 ที่ผ่านเราจะได้รับข่าวที่เกิดจากช่องโหว่ของ บราวเซอร์ จำนวนมาก เช่น ล่าสุดมีข่าว Bug IE ที่ สามารถอ่านข่าวนี้ได้ http://infosec.sran.org ณ ขณะที่ได้เขียนบทความนี้ ก็ยังเป็น 0 day นั้นคือยังไม่มี patch ที่รักษาจาก Microsoft ผู้ใช้ IE มีความเสี่ยงที่เกิดขึ้นจากการท่องอินเตอร์เน็ท โดยการเปิด web ที่ไม่เหมาะสม จะรันโปรแกรมเข้าเครื่องและได้มีสิทธิที่เข้าถึงระบบปฏิบัติการเครื่องนั้นได้โดยทันที ทั้งนี้ระบบป้องกันทางเครือข่ายไม่สามารถป้องกันได้หากไม่มีการ update รูปแบบการบุกรุกในฐานข้อมูล เนื่องจากการติดต่อดังกล่าวผ่านที่ port 80 และเป็นการใช้งานที่ปกติ แต่ในความปกติ มี code ที่สามารถเข้าถึงเครื่องได้โดยอาศัยช่องโหว่ของ application บราวเซอร์ จึงเป็นการยากที่จะตรวจจับ
รูปแบบการโจมตีชนิดนี้จะผูกพันไปกับเทคนิค หลายอย่างเข้าด้วยกัน
ตัวอย่างการผสมผสานรูปแบบการโจมตีเข้าด้วยกัน
เริ่มจาก Spam ที่เข้าสู่ E-mail ในเนื้อหา Spam นั้น หลอกคน ( social engineering ) ไปที่เว็บไซด์แห่งหนึ่ง โดยเทคนิคใช้เทคนิค Phishing หรือ Pharming เมื่อติดกับดัก ก็จะเข้าไปเว็บไซด์กลลวง โดยไซด์ดังกล่าวไม่เพียงแค่หลอก แต่ยังใส่ code เพื่อเข้าถึงระบบปฏิบัติการเครื่องที่เป็นเหยื่อด้วย เพื่อต้องการสร้าง zombie นั้นคือเมื่อเข้าถึงระบบแล้วจะรัน bot ในเครื่องที่เป็นเหยื่อ เพื่อไปเข้าใน Dark site ที่เป็น IRC server หรือรูปแบบการติดต่ออื่น จากนั้นกลุ่มอิทธิพลเครือข่าย (Mafia Net) ก็จะกำหนด zombie เหล่านี้ให้โจมตี เครือข่ายใดๆ ที่ต้องการได้ หากจำนวน zombie เยอะขึ้น เรียกว่า botnet ใช้การโจมตีชนิด Distributed Denial of Service (DDoS) กับเว็บไซด์ หรือระบบเครือข่ายที่ถูกว่าจ้างมาเพื่อทำลายให้เสียหายต่อไป
1. Spam mail à 2 . Social Engineering à 3. Phishing or Pharming à 4. Malicious Web à 5. Zombie or 6. Backdoor à 7. Botnet à 8. DDoS
เทคโนโลยี การโจมตีแบบ DDoS ยังป้องกันลำบากถึงแม้จะมีระบบป้องกันภัยอย่างดีแล้วก็ตาม เนื่องจากการโจมตีชนิดนี้ ตั้งอยู่บนพื้นฐานการติดต่อตาม OSI layers มีช่องทางการหลีกหนี การตรวจจับได้หลายๆทาง และเมื่อมีส่งข้อมูลจำนวนมาก และเป็นระยะเวลาต่อเนื่องก็ทำให้ ระบบป้องกันเองไม่ว่าเป็น Router , Firewall และ IDS/IPS จะเสียหายได้ ก็ป้องกันภัยทาง DDoS ต้องมีการเฝ้าระวังภัยจาก ISP ก็ดีและหน่วยความปลอดภัยข้อมูลสารสนเทศในองค์กรนั้นๆอีกด้วย
3. Anti Rootkit ภัยคุกคามที่ไม่ค่อยได้รับการกล่าวถึงแต่อาจกล่าวได้ว่ายากแก่การตรวจจับ นั้นคือ ภัยจาก Rootkit ในปี 2005 มีข่าวสำคัญที่จะมองข้ามเรื่องนี้ไม่ได้ นั้นคือ มีการตรวจพบ Rootkit ใน แผ่น CD ของค่าย Sony ผู้ค้นพบ Rootkit ตัวนี้คือเจ้าของเว็บ Sysinternals สามารถอ่านได้ที่
http://www.sysinternals.com/blog/ 2005/11/ more-on-sony-dangerous-decloaking.html
ในปี 2006 นอกจากมีระบบ Anti-virus, Anti-spyware และ anti-spam แล้วจะต้องมีเครื่องมือที่ช่วยหา rootkit อีกอย่าง ภัยของ rootkit น่าสนใจ และสามารถยกเป็นประเด็นที่น่าศึกษาต่อไป นั้นคือเรื่องความเป็นส่วนตัวของผู้บริโภคสื่อ ซึ่งผู้เขียนเองอยากจำแนกภัยอันเกิดจากการโจมตีโดย rootkit ว่ามีได้ทางใดบ้างโดยอาจสรุปเป็นกรณีศึกษาได้ดังนี้
3.1 ภัย Rootkit จากผู้พัฒนา software เกิดขึ้นได้ 2 มุม มุมแรกเป็นเรื่องป้องกันการละเมิดลิขสิทธิ์ เป็นส่วนหนึ่งของ DRM (Digital Right Management) http://en.wikipedia.org/wiki/Digital_rights_management ในเมื่อป้องกันลำบากจึงต้องเขียนโปรแกรมเพื่อทำลาย สำหรับคนที่ต้องการลักลอบและ Copy ข้อมูล เมื่อมีการละเมิด เพื่อทำการ Copy จะถูก Rootkit ที่ฝั่งใน software นั้นทำงานขึ้นมาทันที
อีกมุม เป็นการพัฒนาซอฟแวร์ขึ้นเพื่อมุ่งหวัง สร้างทางลัดให้กับผู้พัฒนาซอฟแวร์นั้นการติดตามผลประดิษฐ์ ของตน มุมนี้น่ากลัว เพราะเป็นการยากที่จะรู้ว่า โปรแกรมเมอร์ที่เราให้มาเขียนระบบต่างๆ ที่เกิดขึ้นจะมีการฝั่ง rootkit หรือ backdoor กับ ซอฟแวร์ที่พัฒนาหรือไม่ หากไม่มีนโยบาย และกระบวนการควบคุมการเขียนโปรแกรม ก็อาจจะทำให้เกิดมี backdoor ฝั่งอยู่ในโปรแกรมที่เราใช้อยู่ก็เป็นได้
3.2 ภัย Rootkit จากนักโจมตีระบบ นักโจมตีระบบ หรือที่เรียกว่า (Hackers) ทั้ง มักหยอด โปรแกรมที่ไม่พึ่งประสงค์ เช่น sniffer , backdoor ต่างๆ เพื่อหวังผลคืบคลานไปสู่ระบบอื่น ต่อไป ทั้งนี้ต้องใช้ Rootkit ฝั่งระบบเพื่อ ป้องกันไม่ให้ ผู้ดูแลระบบเกิดความสงสัยว่าเครื่องตน โดน Hack เสียแล้ว วิธีการป้องกัน ต้องมีเทคโนโลยีในการตรวจ integrity ใน file ที่สำคัญ เป็นต้น ดังนั้นระบบ Host Base Integrity จึงมีความสำคัญในอนาคตอย่างยิ่ง
4. Insider Attack Detection
เป็นที่ปฏิเสธไม่ได้ว่า มีผู้คนจำนวนมากที่ทำงานในองค์กรที่ใหญ่ เช่น ธนาคาร , ผู้ให้บริการสื่อสาร , เงินทุนหลักทรัพย์ และอื่นๆ จำนวนพนักงานเหล่านี้หากมีความรู้ด้านคอมพิวเตอร์ที่ดี และเกิดมีช่องโหว่ในขั้นตอนการควบคุมภายในองค์กร ก็ย่อมมีการบุกรุกและขโมยข้อมูลภายในองค์กรได้ ในงานตรวจจับผู้กระทำผิด อาชญากรรมคอมพิวเตอร์ พบว่าส่วนใหญ่การขโมยข้อมูลเกิดจากพนักงานภายในองค์กร ยิ่งสื่อการสอนและหนังสือจำนวนมากที่เปิดเผยวิธีการเข้าถึงระบบ ก็จะมีผู้คนจำนวนไม่น้อยที่ศึกษาและนำมาลองใช้ภายในองค์กรที่ตนเองทำงานอยู่ รวมถึงการใช้งานบนทรัพยากรในบริษัทที่ผิดวัตถุประสงค์ เช่น การใช้เครื่องในบริษัท เล่น P2P (Peer to Peer) คือการติดต่อโดยตรงกับเครื่องที่ทำการแชร์ข้อมูล , files ต่างๆที่ต้องการ เป็นการ สิ้นเปลือง Bandwidth เครือข่ายขององค์กร
การตรวจจับผู้กระทำผิดภัยในองค์กรได้นั้น ต้องมีทั้งเทคโนโลยีตรวจจับผู้บุกรุกเช่น HIDS (Host Base Intrusion Detection) และ NIDS (Network Base Intrusion Detection) เข้ามาใช้ภายในองค์กรโดยว่างตามโซนระบบเครือข่ายและเครื่อง PC พนักงานเอง เปรียบเสมือนกล้องวงจรปิดที่ติดตามอาคารนั้นเอง ทั้งนี้ต้องอาศัยนโยบายด้านความปลอดภัยที่ดี ที่ควบคุมการใช้งานของพนักงานได้ และจิตสำนึกของพนักงานด้วยถึงสามารถป้องกันภัยคุกคามชนิดนี้ได้
5. Digital Identity การระบุภัยคุกคามที่เกิดขึ้น และตรวจได้ว่ามาจากที่ใด ทำเมื่อไหร่ และทำสิ่งใด แบ่งได้ดังนี้
5.1 ระบบการเข้าใช้งาน Authentication บน Network , Wireless LAN และ การใช้งานคอมพิวเตอร์ในองค์กรเพื่อทำการ login สู่ระบบ ต้องมีการระบุตัวตน เช่นกัน
5.2 DRM (Digital Right Management) การสามารถตรวจหาการ Copy และลบ file ที่เป็นเอกสารสำคัญ ภายในองค์กร และเรื่องลิขสิทธิ์ ซอฟแวร์ เพลง หนัง และอื่นๆ ซึ่งเป็นเรื่องอ่อนไหว ต่อความมั่นคง ด้านข้อมูล เนื่องจากบ้างข้อมูลในบริษัทอาจมีค่าเกินที่ประมาณเป็นราคาได้
5.3 การระบุภัยคุกคามที่เกิดขึ้นบนระบบเครือข่าย (Network Security Identity) เป็นการระบุตำแหน่ง และชนิดการบุกรุก ไม่ว่าเป็นการโจมตีบนระบบปฏิบัติการ , การพยายมที่เข้าถึงระบบโดยการเดา password , การแพร่ระบบ Virus/worm ในเครือข่าย เป็นต้น สามารถอ่านเพิ่มเติมได้ที่ http://www.sran.org/index_html/NetworkIDs
6. Human Firewall
เมื่อมีการใช้ข้อมูลมากขึ้น มีผู้คนที่เชื่อมต่ออินเตอร์เน็ทจนกลายเป็นส่วนหนึ่งของการใช้ชีวิต สิ่งที่จำเป็นอย่างมากนั้นคือการสร้างความตะหนักในการใช้ข้อมูลสารสนเทศ Human Firewall การสร้างภูมิต้านทานภัยคุกคามที่เกิดจากการใช้ระบบสารสนเทศ ประกอบด้วย
6.1 การเข้าใจถึงภัยคุกคาม ในการใช้งานระบบสารสนเทศ
6.2 การป้องกันตัวเบื้องต้นเมื่อเกิดปัญหากับการบุกรุกบนระบบสารสนเทศ และการเลือกใช้สื่ออินเตอร์เน็ท อย่างปลอดภัย เพื่อหลีกเลี่ยงภัยคุกคามที่อาจจะเกิดขึ้นกับตนเอง
6.3 การมีจิตสำนึกที่ใช้ สื่อสารสนเทศอย่างถูกต้องและมีจริยธรรม
หลายองค์กรที่ลงทุนด้านเทคโนโลยีด้านความปลอดภัยไปแล้วต้องใช้ คนในองค์กรควบคุมเทคโนโลยี บน กรอบนโยบายด้านความปลอดภัยข้อมูลที่กำหนดขึ้น ถึงจะเกิดประโยชน์สูงสุดสำหรับองค์กรและการคุ้มค่าการลงทุนเทคโนโลยีให้ได้มากที่สุด
7. Standard Compliance : Centralized Data Management
คือการนำข้อมูลด้านเทคโนโลยีความปลอดภัยมารวมศูนย์ (Centralized Data Management) เพื่อเป็นส่วนหนึ่งในการจัดการข้อมูลเพื่อเปรียบเทียบตามกรอบและนโยบายด้านความปลอดภัยอย่างเป็นระบบและตามมาตรฐาน โดยทั่วไประบบรวมศูนย์ข้อมูลทางความปลอดภัยจะประกอบด้วยการรวม log ที่เกิดจาก Firewall , Router , IDS/IPS , Anti-virus/Spam/Spyware/ Phishing และ VA เป็นต้น มาทำการประมวลผลหาค่าความเสี่ยง และออกรายงานผลให้ผู้บริหารระบบเครือข่าย ให้ได้รับความสะดวก ทั้งหมดนี้เรียกเทคโนโลยีนี้ว่า SIM (Security Information Management) แต่ในปี 2006 องค์กรทั่วไปโดยเฉพาะในภาคธนาคารและการเงิน รวมถึงหน่วยงานหรือองค์กรขนาดใหญ่ จะเริ่มให้ความสำคัญของการจัดเตรียมองค์กรเพื่อให้ผ่านมาตรฐานสากล โดย แต่ละองค์กรที่ต้องการได้รับการรับรองมาตรฐานสากล ไม่เพียงแต่ จะต้องรวบรวม Log จาก SIM เท่านั้น แต่จะต้องรวมถึง log ที่เกิดขึ้นจากการ Infrastructure และ Application อื่นๆอีก อาทิเช่น Log จาก Operating System , Database , Web/App Server/ File Server/Third party หรือแม้กระทั่ง Log จากระบบ ERP/Financial/HR/Patient Management แล้วทำการรวบรวมและออกรายงานผล จากนั้นทำการ Compliance ให้ตรงกับมาตรฐาน ISO17799 , FFIEC, HIPAA, SOX และอื่นๆเป็นต้น ยกตัวอย่าง โรงพยาบาล ต้องมีการ Compliance ตาม HIPAA Framework เพื่อรักษาความลับข้อมูลคนไข้ ระบบ Centralized Data Management ก็จัดการรวบรวม log ด้านการรักษาความปลอดภัย มาเพื่อทำการ Compliance ให้ตรงกับมาตรฐาน HIPAA และออกรายงานว่าไม่เป็นตามข้อกำหนดในด้านใดบ้าง ซึ่งเทคโนโลยีนี้ ทำให้สะดวกแทนที่จะจ้างที่ปรึกษามานั่งเขียนนโยบายด้านความปลอดภัย และกำหนดกระบวนการปฏิบัติ ซึ่งค่อนข้างสิ้นเปลืองเวลาและบุคลากร และที่สำคัญคือต้องจ้างคนระดับมืออาชีพและประสบการณ์สูงในสาขานี้มา ซึ่งเป็นเรื่องลำบากและซับซ้อน เสียเวลาในการปฏิบัติงานค่อนข้างมาก
ทั้ง 7 เทคโนโลยี ที่กล่าวมา เป็นแนวโน้ม อีกก้าวหนึ่งของการรักษาความปลอดภัยระบบข้อมูลสารสนเทศ ที่เราจะพบเจอในปี 2006 ที่ใกล้จะถึงนี้
27 / 11 / 48
นนทวรรธนะ สาระมาน
Nontawattana Saraman
ลงในหนังสือ Micro Computer ประจำเดือน มกราคม 2549