Pages

แสดงบทความที่มีป้ายกำกับ Compliance แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ Compliance แสดงบทความทั้งหมด

วันศุกร์, กรกฎาคม 24

มารู้จักกับ Payment Card Industry Data Security Standard

มาตรฐาน Payment Card Industry Data Security Standard เป็นมาตรฐานความปลอดภัยสารสนเทศที่แพร่หลายทั่วโลก รวบรวมโดยคณะกรรมการ Payment Card Industry Security Standards Council (PCI SSC) มาตรฐานนี้สร้างขึ้นมาเพื่อช่วยให้องค์กรต่าง ๆ ที่ดำเนินการชำระเงินผ่านบัตร ให้สามารถป้องกันการฉ้อโกงบัตรเครดิตด้วยการควบคุมข้อมูลและช่องโหว่ต่าง ๆ ที่เพิ่มขึ้น ได้มีการนำมาตรฐานดังกล่าวมาใช้กับทุกองค์กรที่เก็บรักษา ดำเนินการ หรือส่งต่อข้อมูลข่าวสารเกี่ยวกับผู้ถือบัตรจากบัตรใด ๆ ก็ตามที่ประทับยี่ห้อของเครื่องหมายการค้าของบัตรเครดิตเจ้าใดเจ้าหนึ่ง

มาตรฐานนี้ดูแลรักษาโดยคณะกรรมการ Payment Card Industry Security Standards Council ซึ่งดูแลทั้งมาตรฐาน PCI DSS และมาตรฐานอื่น ๆ อาทิเช่น Payment Card Industry PIN Entry Device security requirements (PCI PED) และ Payment Application Data Security Standard (PA-DSS)

การตรวจสอบการปฏิบัติตามมาตรฐานอาจทำได้จากทั้งจากภายในหรือภายนอก ขึ้นอยู่กับปริมาณของการทำธุรกรรมของบัตรที่องค์กรนั้นจัดการ ถึงแม้ว่าองค์กรจะมีขนาดใหญ่เพียงใดก็ตาม การประเมินการปฏิบัติตามมาตรฐานจะต้องทำเป็นรายปี องค์กรที่จัดการกับการทำธุรกรรมที่มีปริมาณมากจะต้องมีการประเมินการทำตาม มาตรฐานโดยผู้ประเมินอิสระที่เรียกว่า Qualified Security Assessor (QSA) ส่วนบริษัทที่จัดการกับการทำธุรกรรมที่มีจำนวนน้อยกว่าสามารถเลือกที่จะ ทำการประเมินได้ด้วยตัวเองที่เรียกว่า Self-Assessment Questionnaire (SAQ)

ข้อกำหนด

มาตรฐานนี้ในเวอร์ชั่นปัจจุบัน (1.2) ระบุถึงข้อกำหนด 12 ข้อในการปฏิบัติตามมาตรฐาน แบ่งเป็นหกกลุ่มที่เกี่ยวข้องกัน เรียกว่า “control objectives”

Control Objectives ข้อกำหนด PCI DSS
สร้างและดูแลรักษาเครือข่ายที่ปลอดภัย 1. ติดตั้งและดูแลรักษาค่าที่ตั้งไว้ของไฟร์วอลล์เพื่อป้องกันข้อมูลของผู้ถือบัตร

2. ไม่ใช้ค่าที่ตั้งมาพร้อมกับผลิตภัณฑ์สำหรับรหัสผ่านและการรักษาความปลอดภัยอื่น ๆ ของระบบ


การป้องกันข้อมูลผู้ถือบัตร 3. ป้องกันข้อมูลผู้ถือบัตรที่เก็บรักษาอยู่

4. เข้ารหัสธุรกรรมที่ส่งผ่านเครือข่ายสาธารณะแบบเปิด


ดูแลรักษาโปรแกรมที่จัดการกับช่องโหว่ 5. ใช้และอัพเดทซอฟท์แวร์แอนตี้ไวรัสในทุกระบบที่มักจะได้รับผลกระทบจากมัลแวร์

6. พัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้ปลอดภัย


ใช้มาตรการควบคุมการเข้าถึงที่เข้มแข็ง 7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตร สำหรับผู้ที่ได้รับอนุญาตให้สามารถเข้าถึงได้เท่านั้น

8. กำหนดหมายเลขประจำตัวเฉพาะสำหรับผู้ที่สามารถเข้าถึงคอมพิวเตอร์ได้

9. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรทางกายภาพ


เฝ้าดูและทดสอบเครือข่ายต่าง ๆ อย่างสม่ำเสมอ 10. ติดตามและเฝ้าดูการเข้าถึงทรัพยากรทางเครือข่ายและข้อมูลผู้ถือบัตร

11. ทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความปลอดภัยอย่างสม่ำเสมอ


ดูแลรักษานโยบายความปลอดภัยสารสนเทศ 12. ดูแลรักษานโยบายที่กล่าวถึงความปลอดภัยสารสนเทศ

มาตรฐาน PCI DSS ที่มีใน SRAN Data Safehouse

ระบบของ Data Safehouse ในส่วนของการประเมินการปฏิบัติตามมาตรฐานของ PCI DSS จะเน้นที่การตรวจสอบปัญหาต่าง ๆ ที่พบใน web server เป็นหลัก

หน้ารายงานในส่วนของ PCI DSS สามารถเปิดดูได้จากเมนู Status > Security scan เมื่อเข้ามาที่หน้า Security scan แล้วให้คลิกที่ลิงค์ PCI DSS Compliance check

จากนั้นจึงเลือกเปิดดูรายงานตามวันที่ที่ต้องการโดยคลิกที่ลิงค์ view report

จะปรากฏหน้าที่บอกรายละเอียดการประเมินผล พร้อมทั้งผลที่บอกว่า web server ของคุณผ่านมาตรฐาน PCI DSS หรือไม่ ซึ่งคุณสามารถอ่านรายละเอียดได้จากรายงานที่บอกถึงรายละเอียดที่อยู่ข้าง ล่าง

ตัวอย่างรายงานที่บอกรายละเอียดว่าเหตุใด server ที่ตรวจสอบถึงไม่ผ่านตามมาตรฐาน PCI DSS

เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

วันอาทิตย์, มิถุนายน 8

สิ่งที่เราต้องพิจารณาในการทำ Log Compliance ตอนที่ 2


Log เป็นการบันทึกข้อมูลของเหตุการณ์ที่เกิดขึ้นภายในของระบบและเครือข่าย Log จะประกอบด้วย log entry ซึ่งแต่ละ entry จะบรรจุข้อมูลที่มีความสัมพันธ์กับเหตุการณ์แบบเจาะจงที่เกิดขึ้นบนระบบหรือเครือข่าย โดย logs จะถูกบรรจุรวบรวม และบันทึกไว้ในความปลอดภัยทางคอมพิวเตอร์ การบันทึกข้อมูลการใช้งานเพื่อความปลอดภัยทางคอมพิวเตอร์มีที่มาจากหลายแหล่ง ประกอบด้วยความปลอดภัยทางด้านซอร์ฟแวร์ เช่น ซอร์ฟแวร์ป้องกันไวรัส firewall การตรวจสอบการบุกรุก และการป้องกันการบุกรุกของระบบ การปฏิบัติงานของระบบบนเครื่องแม่ข่าย เครื่องคอมพิวเตอร์ เครื่องมือทางเครือข่าย และโปรแกรมประยุกต์ต่างๆ
หมายเลข จำนวน และความเปลี่ยนแปลงของการบันทึกข้อมูลการใช้งานความปลอดภัยทางคอมพิวเตอร์จะมีจำนวนเพิ่มขึ้น ซึ่งสร้างตามความต้องการของการจัดการการบันทึกข้อมูลการใช้งานเพื่อความปลอดภัยทางคอมพิวเตอร์ กระบวนการสร้าง การสื่อสาร การเก็บข้อมูล การวิคราะห์ และกำหนดข้อมูลการบันทึกการใช้งานเพื่อความปลอดภัยทางคอมพิวเตอร์ การจัดการการเก็บข้อมูลเป็นปัจจัยที่แน่นอนของการบันทึกข้อมูลความปลอดภัยคอมพิวเตอร์และเก็บรายละเอียดที่เพียงพอเป็นช่วงเวลา การวิเคราะห์ข้อมูลที่มีแบบแผนเป็นผลดีสำหรับระบุเหตุการณ์ที่มีความปลอดภัย การกระทำความผิด การกระทำการฉ้อโกง และปฏิบัติงานได้ทุกปัญหา การบันทึกข้อมูลนั้นยังมีประโยชน์เมื่อต้องการตรวจสอบการกระทำ และใช้วิเคราะห์ในศาลยุติธรรม รับรองในเรื่องการสืบสวน เป็นหลักฐานที่แน่นอน และระบุทิศทางการใช้งานและปัญหาในระยะยาวได้ การรวบรวมอาจจะเก็บข้อมูลและวิเคราะห์ข้อมูลที่บันทึกตามที่รัฐบาลกำหนดและออกกฎหมายบังคับ รวมถึง Federal Information Security Management Act of 2002 (FISMA), Health Insurance Portability and Accountability Act of 1996 (HIPAA), Sarbanes-Oxley Act of 2002 (SOX), Gramm-Leach-Bliley Act (GLBA) และ Payment Card Industry Data Security Standard (PCI DSS) ด้วย
ซึ่งจากตอนที่แล้วได้กล่าวถึงมาตราฐาน GLBA จึงขออธิบายต่อเพื่อให้องค์กรแต่ละองค์กรมีการวางแผนนโยบายและระเบียบการเกี่ยวกับการจัดการบันทึกการใช้งาน

2. Compliance Audit Reports สำหรับ Health Insurance Portability and Accountability Act (HIPAA)

กฎหมาย Health Insurance Portability and Accountability Act (HIPAA) มีผลกระทบกับสถานพยาบาลที่แลกเปลี่ยนข้อมูลคนไข้แบบอิเล็กทรอนิกส์ กฎหมาย HIPAA มีขึ้นเพื่อปกป้องความสมบูรณ์และความมั่นคงของข้อมูลสุขภาพ รวมทั้งป้องกันไม่ให้มีการใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต HIPAA ระบุไว้ว่าจะต้องมีกระบวนการในการจัดการความปลอดภัยเพื่อป้องกันการเข้าถึง ใช้ เปิดเผย แก้ไข หรือรบกวนข้อมูลของคนไข้ หรือความพยายามดังกล่าวโดยไม่ได้รับอนุญาต พูดอีกอย่างหนึ่งคือ สามารถเฝ้าสังเกต รายงาน และเตือนถึงความพยายามหรือความสำเร็จในการเข้าถึงระบบและแอพพลิเคชั่นต่าง ๆ ที่มีข้อมูลข่าวสารที่เป็นความลับ
ชนิดของรายงานที่ EventLog Analyzer สนับสนุนเพื่อการทำ HIPAA Audit มีดังต่อไปนี้คือ
- รายงานการเข้าใช้ระบบของผู้ใช้
- รายงานการออกจากระบบของผู้ใช้
- รายงานการเข้าถึงระบบที่ล้มเหลว
- รายงานการเข้าถึง audit log
- รายงานการเข้าถึงอ็อบเจค
บอกได้ว่าเมื่อใดที่อ็อบเจคที่กำหนด (เช่น ไฟล์ ไดเร็กทอรี และอื่น ๆ) ถูกเข้าถึง ชนิดของการเข้าถึง (เช่น อ่าน เขียน ลบ) การเข้าถึงนั้นสำเร็จหรือไม่ และใครเป็นคนทำ
- รายงานเหตุการณ์ของระบบ บอกถึงขั้นตอนที่เกิดขึ้นในระบบ เช่น การเริ่มต้นและปิดการทำงานของระบบ และการเปลี่ยนแปลงเวลาในระบบหรือ audit log
- รายงานสถานะ host session
บอกให้รู้เมื่อมีคนเชื่อมต่อเข้ามายัง terminal server session ที่ตัดการเชื่อมต่อแล้ว (เกิดขึ้นเฉพาะในเครื่องที่มีบริการ terminal service อยู่เท่านั้น)
- รายงานการพิสูจน์ตัวผู้ใช้ที่สำเร็จ บอกให้รู้ถึงเหตุการณ์การเข้าถึงระบบที่ทำได้สำเร็จ เกิดขึ้นเมื่อมีการพิสูจน์ตัวผู้ใช้โดเมนในโดเมนคอนโทรลเลอร์
- รายงานการพิสูจน์ตัวผู้ใช้ที่ไม่สำเร็จ บอกให้รู้ถึงเหตุการณ์การเข้าถึงระบบที่ทำไม่สำเร็จ เกิดขึ้นเมื่อมีการพิสูจน์ตัวผู้ใช้โดเมนในโดเมนคอนโทรลเลอร์

3. Compliance Audit Reports สำหรับ Payment Card Industry Data Security Standard (PCI-DSS)

EventLog Analyzer สนับสนุนมาตรฐาน Payment Card Industry Data Security Standard (PCI-DSS) ข้อ 10 ซึ่งช่วยให้ผู้ให้บริการการจ่ายเงินและผู้จำหน่ายสามารถติดตามและรายงานการเข้าถึงทั้งหมดให้กับระบบในเครือข่าย และข้อมูลผู้ถือบัตรผ่านทางบันทึกกิจกรรมในระบบได้ ถ้ามีความผิดปกติเกิดขึ้น การมีบันทึก (log) ในสภาพแวดล้อมแบบเครือข่ายช่วยทำให้สามารถวิเคราะห์หลักฐานทางคอมพิวเตอร์ได้ ถ้าไม่มีบันทึกกิจกรรมในระบบจะทำให้การค้นหาต้นเหตุของการบุกรุกทำได้ยาก
ชนิดของรายงานที่ EventLog Analyzer สนับสนุนเพื่อการทำ PCI Audit มีดังต่อไปนี้คือ
- รายงานการเข้าใช้ระบบของผู้ใช้
- รายงานการออกจากระบบของผู้ใช้
- รายงานการเข้าถึงระบบที่ล้มเหลว
การเข้าถึงระบบที่มีการรักษาความปลอดภัย ได้แก่ การบันทึกความพยายามในการล็อกอินเข้าใช้งานที่ล้มเหลว ชื่อผู้ใช้ วันเดือนปี รวมถึงเวลาในรายงานนี้ด้วยทุกครั้ง
- รายงานการเข้าถึง audit log
มาตรฐาน PCI-DSS กำหนดให้มีขั้นตอนในตรวจสอบบันทึกข้อมูลกิจกรรมของระบบสารสนเทศ เช่น audit log อย่างสม่ำเสมอ
- รายงานการเข้าถึงอ็อบเจค
บอกได้ว่าเมื่อใดที่อ็อบเจคที่กำหนด (เช่น ไฟล์ ไดเร็กทอรี และอื่น ๆ) ถูกเข้าถึง ชนิดของการเข้าถึง (เช่น อ่าน เขียน ลบ) การเข้าถึงนั้นสำเร็จหรือไม่ และใครเป็นคนทำ
- รายงานการเปลี่ยนแปลงของนโยบายในการ audit
มาตรฐาน PCI-DSS กำหนดให้ติดตาม event log หาสิ่งที่เปลี่ยนแปลงในนโยบายการทำ security audit
- รายงานการทำงานของผู้ใช้แต่ละคน
มาตรฐาน PCI-DSS กำหนดให้ติดตามการทำงานของผู้ใช้แต่ละคน

4. Compliance Audit Reports สำหรับ Sarbanes-Oxley (SOX) Act

มาตรา 404 - Management Assessment of Internal Controls และมาตรา 302 - Corporate Responsibility for Financial Reports ของกฎหมาย SOX ซึ่งเป็นส่วนหนึ่งของ Risk Management การบริหารความเสี่ยง และมีผลกับสถาบันที่เกี่ยวข้องกับการทำธุรกรรมการเงิน ตลาดหลักทรัพย์ เป็นต้น
ชนิดของรายงานที่ EventLog Analyzer สนับสนุนเพื่อการทำ SOX Audit มีดังต่อไปนี้คือ
- รายงานการเข้าใช้ระบบของผู้ใช้
- รายงานการออกจากระบบของผู้ใช้
- รายงานการเข้าถึงระบบที่ล้มเหลว
- รายงานการเข้าถึง audit log
- รายงานการเข้าถึงอ็อบเจค
บอกได้ว่าเมื่อใดที่อ็อบเจคที่กำหนด (เช่น ไฟล์ ไดเร็กทอรี และอื่น ๆ) ถูกเข้าถึง ชนิดของการเข้าถึง (เช่น อ่าน เขียน ลบ) การเข้าถึงนั้นสำเร็จหรือไม่ และใครเป็นคนทำ
- รายงานเหตุการณ์ของระบบ
บอกถึงขั้นตอนที่เกิดขึ้นในระบบ เช่น การเริ่มต้นและปิดการทำงานของระบบ และการเปลี่ยนแปลงเวลาใน- --- ระบบหรือ audit log
- รายงานสถานะ host session
บอกให้รู้เมื่อมีคนเชื่อมต่อเข้ามายัง terminal server session ที่ตัดการเชื่อมต่อแล้ว (เกิดขึ้นเฉพาะในเครื่องที่มีบริการ terminal service อยู่เท่านั้น)
- รายงานการเปลี่ยนแปลงเกี่ยวกับการจัดการแอคเคาท์
- รายงานการเปลี่ยนแปลงการกำหนดค่าที่เกี่ยวกับความปลอดภัย เช่น การเพิ่มหรือลบผู้ใช้จากกลุ่มผู้ดูแลระบบ ใน event log
รายงานการเปลี่ยนแปลงเกี่ยวกับกลุ่มผู้ใช้
ติดตาม event log หาการเปลี่ยนแปลงการกำหนดค่าทางด้านความปลอดภัย เช่นการเพิ่มหรือลบกลุ่ม global หรือ local การเพิ่มหรือลบสมาชิกออกจากกลุ่ม global หรือ local เป็นต้น
รายงานการเปลี่ยนแปลงของนโยบายในการ audit ติดตาม event log หาการเปลี่ยนแปลงในนโยบายการทำ security audit
- รายงานการพิสูจน์ตัวผู้ใช้ที่สำเร็จ บอกให้รู้ถึงเหตุการณ์การเข้าถึงระบบที่ทำได้สำเร็จ เกิดขึ้นเมื่อมีการพิสูจน์ตัวผู้ใช้โดเมนในโดเมนคอนโทรลเลอร์
- รายงานการพิสูจน์ตัวผู้ใช้ที่ไม่สำเร็จ บอกให้รู้ถึงเหตุการณ์การเข้าถึงระบบที่ทำไม่สำเร็จ เกิดขึ้นเมื่อมีการพิสูจน์ตัวผู้ใช้โดเมนในโดเมนคอนโทรลเลอร์
- รายงานการทำงานของผู้ใช้แต่ละคน สามารถติดตามการทำงานของผู้ใช้แต่ละคน
ติดตามการเข้าถึงของแอพพลิเคชั่น สามารถติดตามขั้นตอนการทำงานของแอพพลิเคชั่นได้

ปัญหาโดยทั่วไปของการจัดการกับการบันทึกข้อมูลการใช้นั้นเกิดขึ้นในการรวบรวมหลายข้อมูลเป็นการจำกัดจำนวนความสมดุลของผลประโยชน์ที่จะได้รับของข้อมูลการจัดการที่บันทึกการใช้งานกับข้อมูลการใช้งานที่มีอยู่ การสร้างการบันทึกข้อมูลการใช้งานและการเก็บบันทึกข้อมูลการใช้งานสามารถทำให้ซับซ้อนได้ด้วยปัจจัยหลายอย่าง รวมถึงจำนวนข้อมูลที่มีปริมาณสูงของบันทึกข้อมูลการใช้งาน ความไม่แน่นอนของจำนวนของบันทึกการใช้งาน การจัดรูปแบบ timestamp ระหว่างแหล่งที่มา และการเพิ่มปริมาณขนาดใหญ่ของบันทึกข้อมูลการใช้งาน การจัดการกับบันทึกการใช้งานนั้นเป็นการตรวจสอบที่ได้รับการวางไว้วางใจ มีความสมบูรณ์ และเหมาะสำหรับใช้การบันทึกการใช้งาน ปัญหาอื่นๆที่เกี่ยวกับการจัดการกับบันทึกการใช้งานคือ การรับประกันความปลอดภัย ระบบ และผู้จัดการเครือข่ายทั่วไปในการวิเคราะห์ข้อมูลบันทึกการใช้งาน ได้ประกาศให้มีจัดเตรียมการแนะนำสำหรับการประชุมและการสแดงความคิดเห็น
อุปกรณ์ เครื่องมือ ที่แนะนำควรจะมีส่วนที่ช่วยให้ง่าย มีประสิทธิภาพและมีประโยชน์ต่อการจัดการการบันทึกการใช้งานสำหรับรัฐบาลและบริษัท


ในเมืองไทยตอนนี้เรายังไม่มีมาตรฐานในการเก็บ Log ตาม GLBA , SOX , PCI/DSS แต่เริ่มประกาศพระราชบัญญัติการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี 2550 ขึ้น และหลายส่วนมีการผสมผสานการเก็บ Log ตามมาตราฐานสากลอยู่บ้าง ที่จำเป็นต้องทำกันทุกหน่วยงานคือต้องเก็บบันทึกข้อมูลจราจร ตามมาตรา 26 อย่างน้อย 90 วัน โดยปกติ เป็น Log ดิบ ที่ยังไม่ได้มีการวิเคราะห์ใด จำเป็นต้องผ่านการวินิฉัยข้อมูล หรือเรียกว่า Forensic จากเจ้าหน้าที่พนักงาน หรือตำรวจ ที่กำกับและดูแลเรื่องนี้ เป็นผู้วิเคราะห์ และส่วนใหญ่ที่พบ Log ดิบดังกล่าว จะหาผู้กระทำความผิดได้ค่อนข้างยาก และหลักฐานที่พบ อาจจะมีการโต้แย้งในชั้นศาลได้ ดังนั้นหากเราเข้าใจว่า สาระสำคัญของกฏหมายการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มีไว้เพื่อหาผู้กระทำความผิดแล้ว เราควรจะสรรหาระบบที่ระบุถึงภัยคุกคาม และความเสี่ยงที่อาจจะเกิดจากมาตราต่างๆ ที่กล่าวไว้ อีกทั้งมีระบบป้องกันภัยเพื่อไม่ให้เกิดเหตุการณ์ที่มีผลต่อความเสี่ยงที่ผิดกฏหมายได้ หรือหากมีการเก็บบันทึก Log นั้น ถ้าให้ดีควรเลือกเทคโนโลยีที่เปลี่ยนแปลง Log ดิบ ให้เป็น Log ที่สุก ได้จะเป็นการดี Log ที่สุก ในที่นี้คือ ผ่านการวิเคราะห์แล้วและมีความน่าเชื่อถือ


หน้าตา Log ที่พบบนอุปกรณ์ SRAN

นนทวรรธนะ สาระมาน
Nontawattana Saraman
05/06/2008
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

วันอาทิตย์, พฤษภาคม 25

สิ่งที่เราต้องพิจารณาในการทำ Log Compliance ตอนที่ 1

สำหรับมาตราฐานในการเก็บบันทึก Log หลายคนยังขาดความเข้าใจ ผมจึงขอนำมาเขียนเพื่อสร้างความเข้าใจสำหรับผู้กำลังหาข้อมูลในด้านนี้มากขึ้น
Log คือ ข้อมูลเหตุการณ์ที่เกิดขึ้นแล้ว และมีผลต่อการเปลี่ยนแปลงในปัจจุบัน (อ่านเพิ่มเติมได้ที่ Log คืออะไร http://nontawattalk.blogspot.com/2008/03/log.html)
ดังนั้น Log ที่เกิดขึ้นจะเกิดได้จาก
1. เหตุการณ์ที่เกิดขึ้นภายในเครื่อง (LocalHost Log)
1.1 เหตุการณ์ที่เกิดจากระบบเครื่อง (System) จะเรียกว่า System Log ซึ่งแบ่งแยกเป็น การเกิดจากค่า Error ที่พบ , การเข้าถึงระบบปฏิบัติการ (Operating System) สำหรับรายชื่อผู้ใช้งานในเครื่อง และ การตั้งค่ารีโมตผ่านทางระบบเครือข่าย (Network) , เหตุการณ์ที่ส่งผลกระทบกับระบบ Kernel เหล่านี้เป็นต้น
1.2 เหตุการณืที่เกิดขึ้นจากการใช้งาน Application โปรแกรม ซึ่งแบ่งแยกตามโปรแกรมที่เราทำการติดตั้งลงในเครื่อง ไม่ว่าเป็นระบบ Web Server , Mail Server , Proxy Server หรือเป็นโปรแกรมเกี่ยวกับการสนทนาออนไลท์ โปรแกรมอื่นๆ ที่ลงบนเครื่อง รวมถึงผลการเข้าใช้งาน Application User ในแต่ละ Application
ค่าเหล่านี้จะถูกบันทึกขึ้นเรียกว่าค่า syslog

สรุป LocalHost Log มีค่า Log ที่พบ คือ System Log ที่ประกอบไปด้วยอย่างน้อยคือ OS error log , Authentication OS log , Kernel Log และ Application Log ที่ประกอบด้วย Log ที่เกิดขึ้นตาม Application ที่ลงในเครื่อง รวมถึง Authentication Application Log รวม system log และ application log ทั้งหมดเรียกว่า syslog

2. เหตุการณ์ที่เกิดขึ้นบนระบบเครือข่าย (Network Log) คือ การเก็บบันทึกการไหลเวียนข้อมูลสารสนเทศบนระบบเครือข่าย ทั้งข้อมูลที่ออกจากระบบภายในสู่ภายนอก (ไม่ว่าเป็นระบบ Extranet หรือ Internet)
ข้อมูลจากภายนอกองค์กรเข้าสู่ระบบภายในองค์กร ข้อมูลที่กล่าวถึงคือ ระบบงานที่ใช้ตาม Protocol มาตราฐาน เช่น การเปิดเว็บ (HTTP,HTTPS) , การส่ง files (Upload/Download) , การรับ ส่งอีเมลล์ (SMTP ,POP3,IMAP เป็นต้น) การใช้โปรแกรมสนทนาออนไลท์ เป็นต้น การไหลเวียนข้อมูลนี้เองจะเป็นไปตามกฏเกณฑ์ OSI Layer (Open System Interconnection) ผ่่านจากระดับเครื่องที่ใช้งาน สู่ระบบเครือข่ายภายใน และออกสู่ระบบอินเตอร์เน็ต และข้อมูลที่ติดต่อจากอินเตอร์เน็ต จะเข้าสู่ระบบเครือข่ายภายใน ลงสู่เครื่องคอมพิวเตอร์ที่ใช้งานตามลำดับ
ซึ่งผมมักจะกล่าวถึงรูปที่สร้างความเข้าใจง่ายได้ชัดขึ้นคือ หลักการ 3 - in 3 - out




อ่่านเพิ่มเติมได้ที่ http://nontawattalk.blogspot.com/2007/05/3-in-3-out.html
เพื่อให้เกิดประโยชน์ในการเก็บบันทึกข้อมูลจราจรที่พบไม่ว่าเป็นทางระบบเครือข่ายหรือในเครื่องคอมพิวเตอร์นั้น จึงมีหน่วยงานในการตั้งมาตราฐานในการเก็บบันทึกข้อมูล โดยออกเป็นกฏเกณฑ์ดังนี้
1. GLBA Compliance
มาตรา 501 ของ Gramm-Leach-Bliley Act (GLBA) ระบุถึงกฎที่บังคับให้สถาบันทางการเงินต้องป้องกัน "ข้อมูลข่าวสารส่วนตัวที่ไม่เป็นสาธารณะ" จากการเป็นส่วนหนึ่งของข้อบังคับของ GLBA จำเป็นที่จะต้องมีกระบวนการในการจัดการความปลอดภัยเพื่อป้องกันการเข้าถึง ใช้ เปิดเผย แก้ไข หรือรบกวนข้อมูลของลูกค้า หรือความพยายามดังกล่าวโดยไม่ได้รับอนุญาต พูดอีกอย่างหนึ่งคือ สามารถเฝ้าสังเกต รายงาน และเตือนถึงความพยายามหรือความสำเร็จในการเข้าถึงระบบและแอพพลิเคชั่นต่าง ๆ ที่มีข้อมูลข่าวสารที่เป็นความลับ

ชนิดของรายงานที่ EventLog Analyzer สนับสนุนเพื่อการทำ GLBA Audit มีดังต่อไปนี้คือ

  • รายงานการเข้าใช้ระบบของผู้ใช้
กฎหมาย GLBA กล่าวไว้อย่างชัดเจนว่าต้องมีบันทึกการเข้าถึงระบบของผู้ใช้งานและเฝ้าสังเกตถึงการใช้งานในทางที่ผิด โปรดจำไว้ว่ากฎข้อนี้ไม่ได้มีไว้เพียงจับผู้บุกรุกเท่านั้น แต่ยังมีเพื่อบันทึกการเข้าถึงข้อมูลโดยผู้ใช้ที่มีสิทธิ์ถูกต้อง เหมือนกับการใช้กล้องวิดีโอรักษาความปลอดภัยในที่จอดรถนั้นเอง ซึ่งประกอบด้วยการเก็บบันทึกข้อมูลดังนี้
  • รายงานการออกจากระบบของผู้ใช้
  • รายงานการเข้าถึงระบบที่ล้มเหลว
  • รายงานการเข้าถึง audit log
โปรดติดตามตอนต่อไป
นนทวรรธนะ สาระมาน
Nontawattana Saraman
24/05/08
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

วันจันทร์, กุมภาพันธ์ 18

แนวทางการสร้างเครือข่ายตื่นรู้ Energetic Network ตอนที่ 1

เมื่อวันที่ 24 มกราคม 2550 ผมได้ร่วมสัมนากับทาง สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (SIPA) ในหัวข้อการใช้โอเพนซอร์สกับภาครัฐ ตัวผมได้บรรยายหัวข้อซอฟต์แวร์โอเพนซอร์สกับความมั่นคงปลอดภัยของข้อมูลในภาครัฐ ให้กับตัวแทนในแต่ละกระทรวงได้รับฟัง ซึ่งเป็นที่แรกที่ได้กล่าวถึงแนวคิดเครือข่ายตื่นรู้ หรือที่เรียกเป็นภาษาอังกฤษที่เรียกว่า Energetic Network หลังการบรรยายเสร็จสิ้นได้มี ผู้สนใจจำนวนมาก ผมจึงถือโอกาสนี้มาเรียบเรียงการบรรยายในครั้งนั้นเป็นการเขียนบทความในครั้งนี้ ซึ่งบางท่านคงได้รับอ่านบทคามนี้มาบ้างแล้วจากนิตยสารบางเล่มที่จำหน่ายในปัจจุบัน

1. สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี พ.ศ. 2550
เมื่อมีการประกาศใช้ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ขึ้น โดยการประกาศนี้มีโครงสร้างดังนี้

- คำนิยาม ชนิดการใช้งานคอมพิวเตอร์ ที่ใช้ใน พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ฯ

- หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์

- หมวดที่ 2 พนักงานเจ้าหน้าที่

ในส่วนคำนิยาม อยู่ใน มาตรา 3 ซึ่งให้ความหมายและคำจำกัดความ ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรคอมพิวเตอร์ , ผู้ให้บริการ ซึ่งประกอบด้วย ผู้ให้บริการแก่ผู้อื่นในการเข้าสู่อินเตอร์เน็ท , ผู้ให้บริการเก็บรักษาคอมพิวเตอร์เพื่อประโยชน์กับบุคคลอื่น และ ผู้ใช้บริการ

หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ ประกอบด้วยมาตรา 5 ,6,7,8,9,10,12 และ การใช้คอมพิวเตอร์ในการกระทำผิด ได้แก่ มาตรา 11,13,14,15,16

หมวดที่ 2 พนักงานเจ้าหน้าที่ ซึ่งในมาตรา 26 ผู้ให้บริการต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ (ที่ได้ระบุไว้ในมาตรา 3) ไว้ไม่น้อยกว่า 90 วัน ซึ่งชนิดของผู้ให้บริการประกอบด้วย 4 ประเภทได้แก่

- ผู้ประกอบกิจการโทรคมนาคม

- ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ได้แก่ ISP , หน่วยงานราชการ , บริษัท , สถาบันการศึกษา , ผู้ให้บริการในการเข้าถึงระบบเครือข่ายในหอพัก , ร้านอาหาร , โรงแรม

- ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือที่เรียกว่า Hosting Services Provider

- ผู้ให้บริการร้านอินเตอร์เน็ท

โดยมีประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ปี 2550 ซึ่งมีสาระสำคัญกล่าวว่า "ข้อมูลจราจรทางคอมพิวเตอร์นับเป็นพยานหลักฐานสำคัญในการดำเนินคดี อันเป็นประโยชน์อย่างยิ่งต่อการสืบสวน สอบสวน เพื่อนำตัวผู้กระทำความผิดมาลงโทษ จึงสมควรกำหนดให้ผู้ให้บริการมีหน้าที่ในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ดังกล่าว" ซึ่งระบบเก็บรักษาความลับของข้อมูลที่จัดเก็บ มีการกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือ Data Hashing

แนวทางการสืบหาผู้กระทำผิด (Chain of Event) ตาม พ.ร.บ. คอมพิวเตอร์

1. Who ใคร

2. What ทำอะไร

3. Where ที่ไหน

4. When เวลาใด

5. Why อย่างไร

เนื่องจากรับส่งข้อมูลผ่านเครือข่ายคอมพิวเตอร์ เป็น Real Time ไม่สามารถดูย้อนหลังได้ การที่จะสามารถดูย้อนหลังได้ ต้องมีการเก็บบันทึกข้อมูล ที่เรียกว่า Log และเพื่อเก็บรักษาข้อมูลดังกล่าว

และป้องกันไม่ให้หลักฐานข้อมูลนั้นเปลี่ยนแปลงได้ จึงควรมีการทำ Chain of Custody คือเก็บบันทึกรักษาข้อมูลจราจรขึ้น และนี้เองคือสาระสำคัญของการออกกฏหมายฉบับนี้เพื่อป้องปราบ และเก็บบันทึกหลักฐาน เพื่อสืบสวนสอบสวน หาผู้กระทำผิดมาลงโทษ ดังนั้นการจัดหาเทคโนโลยีเพื่อเก็บรักษาหลักฐานข้อมูล เป็นเรื่องที่ซับซ้อน เราจึงมีแนวคิดเพื่อจัดหาเทคโนโลยีมาแก้ไขปัญหา และลดความซับซ้อนนี้ขึ้น เรียกว่า " การสร้างเครือข่ายตื่นรู้ "

2. คำนิยามการสร้างเครือข่ายตื่นรู้ องค์ประกอบสำคัญในด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ คือ เทคโนโลยี คน และ กระบวนการ สิ่งที่สามารถ ควบคุมได้ง่ายที่สุดคือ เรื่องเทคโนโลยี ถึงแม้จะไม่มีเทคโนโลยีใดทที่ทำงานแทนคนได้หมด และไม่มีเทคโนโลยีใดที่ป้องกันภัยคุกคามได้สมบูรณ์แบบ หากเราควบคุมเทคโนโลยีที่นำมาใช้ได้ และรู้ทันปัญหาที่เกิดขึ้น ประหยัดงบประมาณในการทุน ใช้ได้อย่างคุ้มค่า เราก็สามารถนำส่วนที่ต้องลงทุนทางเทคโนโลยีที่เหลือใช้ มาอบรมเจ้าหน้าที่พนักงานให้เกิดองค์ความรู้ และ จัดหากระบวนการเพื่อสร้างมาตรฐานด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ ได้อย่างมีทิศทางมากขึ้น ดังนั้นในการสร้างเครือข่ายตื่นรู้จึงเป็นการ สรุปการจัดหาเทคโนโลยี มารองรับเครือข่ายคอมพิวเตอร์ เพื่อจัดหาเทคโนโลยีด้านความมั่นคงปลอดภัยทางข้อมูล สมบูรณ์แบบ ที่เราสามารถระบุตัวตนของผู้ใช้งาน ระบุลักษณะการใช้งาน และบันทึกข้อมูลการใช้งานตามความเหมาะสมที่เกิดขึ้น สามารถยืนยันหลักฐานเพื่อใช้ในการสืบสวนสอบสวนหาผู้กระทำผิดทางคอมพิวเตอร์ ทั้งในองค์กร และนอกองค์กรได้อย่างมีความสะดวกมากขึ้น มีประสิทธิภาพ และมีประสิทธิผลตามมา

3. จุดประสงค์การสร้างเครือข่ายตื่นรู้
3.1 ลดค่าใช้จ่ายในการนำเทคโนโลยีด้านความปลอดภัยข้อมูล มาใช้เพื่อรองรับกับ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์

3.2 เพื่อทราบถึงที่มาที่ไปของภัยคุกคามที่อาจเกิดขึ้นภายในองค์กร

3.3 เพื่อระบุตัวตนการใช้งาน และเก็บบันทึกประวัติพฤติกรรมการใช้งานบนเครือข่ายคอมพิวเตอร์

3.4 เพื่อจัดทำเป็นโครงสร้างในการออกแบบเครือข่ายให้ปลอดภัยอย่างยั้งยืน


4. องค์ประกอบ เครือข่ายตื่นรู้ (Energetic Network)

4.1 การจัดเก็บคลังข้อมูล (Inventory)

4.2 การระบุตัวตน (Identity)

4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)

4.4 การควบคุม (Control)

4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance)

พบกันตอนหน้า จะอธิบายรายละเอียดในแ่ต่ละส่วน และแนวทางปฏิบัติ

นนทวรรธนะ สาระมาน
Nontawattana Saraman
หัวหน้าทีมพัฒนาวิจัยเทคโนโลยี SRAN
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , , ,
สมัครสมาชิก: บทความ (Atom)