ACIS Article

จับกระแสทิศทาง 10 เทคโนโลยีความปลอดภัยข้อมูลล่าสุดจากงาน RSA Conference 2007, San Francisco

Latest Update 10 Information Security Technologies from RSA Conference 2007, San Francisco
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

งานสัมมนา RSA Conference (www.rsaconference.com) จัดได้ว่าเป็นงานสัมมนาเกี่ยวกับเทคโนโลยีความปลอดภัยข้อมูลที่ใหญ่ที่สุดในโลก ซึ่งมีการจัดงานสัมมนาอย่างต่อเนื่องมาตลอด 16 ปีที่ผ่านมา ในปีนี้มีผู้เข้าร่วมสัมมนากว่า 15,000 คน ซึ่งถือว่ามีผู้สนใจเข้าชมงานมากที่สุดตั้งแต่มีการจัดงานมา นอกจากจำนวนผู้เข้าร่วมแสดงเทคโนโลยีความปลอดภัยข้อมูลมากกว่า 325 บริษัทแล้ว หน่วยงานภาครัฐและองค์กรกลางที่มีความเกี่ยวข้องกับความปลอดภัยข้อมูลของสหรัฐก็เข้าร่วมงานเช่นกัน ได้แก่ US-CERT Department of Homeland Security, NSA National Security Agency, MITRE ผู้กำหนดมาตรฐาน CVE, SEI ผู้กำหนดมาตรฐาน CMM, NIST ผู้กำหนดมาตรฐาน SP800 Series และ การเข้ารหัสแบบ AES (Advanced Encryption Standard) ตลอดจนองค์กรด้านการฝึกอบรมความปลอดภัยข้อมูล และ ออกประกาศนียบัตรรับรองด้านความปลอดภัยข้อมูล ได้แก่ (ISC)2 , ISACA และ CompTIA เป็นต้น

สำหรับเทคโนโลยีด้านความปลอดภัยข้อมูลที่น่าสนใจจากงานสัมมนา RSA Conference 2007 สรุปได้ 10 เทคโนโลยี ดังนี้

1. IdM หรือ Identity Management

เทคโนโลยี Identity Management กำลังเป็นเทคโนโลยีที่กำลังร้อนแรงอย่างมากในเวลานี้ เนื่องจากความจำเป็นในการบริหารจัดการชื่อและรหัสผ่านของผู้ใช้ระบบคอมพิวเตอร์ (User Provisioning) ที่มีความสลับซับซ้อนมากขึ้น การบริหารจัดการเกี่ยวกับรหัสผ่านของผู้ใช้งานคอมพิวเตอร์ในหลายระบบนั้น (Password Management) ค่อนข้างมีปัญหาสำหรับองค์กรใหญ่ที่มีระบบคอมพิวเตอร์หลากหลาย การนำเทคโนโลยี Identity Management มาจัดการให้ง่ายขึ้นถือเป็นแนวคิดที่น่าสนใจโดยมักจะใช้งานร่วมกับเทคโนโลยี SSO (Single Sign-On) และระบบ LDAP Directory Service ซึ่งในปัจจุบันระบบ LDAP ที่ได้รับความนิยมมากที่สุดคือ ระบบ Active Directory (AD) ของบริษัทไมโครซอฟท์นั่นเอง

จากการสังเกตุพบว่า เทคโนโลยี Identity Management นั้นมีบริษัทเข้าร่วมแสดงนวัตกรรมกว่ายี่สิบบริษัทซึ่งจะเห็นได้ว่า IdM กำลังเป็นดาวรุ่งที่องค์กรขนาดใหญ่หลายองค์กรกำลังให้ความสนใจที่จะนำมาใช้ในการบริหารจัดการชื่อและรหัสผ่านของผู้ใช้ระบบคอมพิวเตอร์ ดังกล่าว เพื่อให้องค์กรบริหารจัดการระบบสารสนเทศได้มีประสิทธิภาพมากขึ้น

2. Regulatory Compliance Solution (Compliance Management)

ต้องยอมรับว่ายุคนี้เป็นยุคแห่งการปฎิบัติตามกฏข้อบังคับต่างๆ จากหน่วยงานที่มีหน้าที่ในการควบคุมให้องค์กรต่างๆมีการใช้งานระบบสารสนเทศอย่างถูกต้องตามแนวคิด IT Governance และที่สำคัญที่สุดคือ ระบบสารสนเทศขององค์กรต้อง "Comply" หรือ "ผ่าน" กฏหมายด้านสารสนเทศต่างๆ ของประเทศสหรัฐอเมริกา ได้แก่ กฏหมาย SOX, GLBA, HIPAA เป็นต้น รวมทั้งองค์กรควรปฎิบัติตามมาตรฐานอุตสาหกรรมต่างๆ (Best Practices) เช่น ISO/ IEC 27001, ITIL (ISO/IEC 20000), CobiT 4.0 และ PCI DSS เป็นต้น

เรื่องสำคัญที่ทุกกฎหมายและทุกมาตรฐานได้กำหนดไว้คือ เรื่องการบริหารความเสี่ยงระบบสารสนเทศ (IT Risk Management), การประเมินความเสี่ยงระบบสารสนเทศ (IT Risk Assessment), การฝึกอบรมให้ความรู้ด้านความปลอดภัยข้อมูล (Security Awareness Training) รวมทั้งการเก็บปูมระบบในลักษณะ Centralized Log Management เพื่อใช้ในการวิเคราะห์พิสูจน์หลักฐานทางคอมพิวเตอร์ (Computer Forensic) ในอนาคต เป็นต้น

3. SIEM (Security Information and Event Management)

เนื่องจากกระแส Regulatory Compliance ค่อนข้างมาแรงมากในประเทศสหรัฐอเมริกา ดังนั้น การจัดเก็บข้อมูลปูมระบบ หรือ Log ลงในระบบจัดเก็บ Log ส่วนกลาง จึงเป็นเรื่องที่หลีกเลี่ยงไม่ได้ ในหลายๆองค์กรที่ต้อง "Comply" กับกฏหมายและกฏระเบียบต่างๆ

เทคโนโลยี SIEM การรวมกันของ 2 เทคโนโลยี ได้แก่ เทคโนโลยี SEM (Security Event Management) เป็นเทคโนโลยีเกี่ยวกับการวิเคราะห์ Log จากอุปกรณ์ไอทีต่าง ๆ ในองค์กรเพื่อให้เห็นสัญญาณของบุกรุกแบบ Proactive และ เทคโนโลยี SIM (Security Information Management) ซึ่งเป็น เทคโนโลยีในการวิเคราะห์และนำเสนอข้อมูลในรูปแบบรายงานเพื่อให้ผู้บริหารระบบสารสนเทศได้ทราบถึงปัญหาด้านความปลอดภัยอย่างทันท่วงที ซึ่งสอดคล้องกับกฏหมายและกฏข้อบังคับในมุมมองของ Regulatory Compliance

สำหรับในประเทศไทย ร่างกฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์มาตรา 24 ได้กำหนดให้ผู้ให้บริการระบบต้องเก็บข้อมูลจราจรของระบบหรือ Log File ไว้ไม่ต่ำกว่า 30 วัน เพื่อใช้ในการวิเคราะห์พิสูจน์หลักฐานทางคอมพิวเตอร์ (Computer Forensic) จากทางฝ่ายยุติธรรม ประโยชน์ของเทคโนโลยี SIEM นั้นไม่ใช่แค่เพียง "Comply" ตามกฏหมายแต่จะทำให้องค์กรได้รู้ล่วงหน้าถึงการโจมตีระบบก่อนที่แฮกเกอร์จะสามารถบุกรุกได้สำเร็จหรือ หากแฮกเกอร์เข้าสู่ระบบได้ องค์กรสามารถก็รู้ได้ ในเวลาอันรวดเร็วเพื่อลดผลกระทบที่จะเกิดขึ้นจากการโจมตีของแฮกเกอร์ ได้ในที่สุด

เทคโนโลยี SIEM ถือเป็นนวัตกรรมในการป้องกันระบบเครือข่ายคอมพิวเตอร์ที่น่าสนใจแต่ยังต้องการผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลเข้ามาปรับแต่ง (Customize) การใช้งานเทคโนโลยี SIEM ให้เกิดประสิทธิภาพให้กับองค์กรได้มากที่สุดจึงต้องพิจารณาให้รอบคอบก่อนการลงทุนไปกับเทคโนโลยี SIEM ดังกล่าว

4. Database Monitoring, Assessment and In-depth Audit

ในอดีตการตรวจสอบระบบสารสนเทศ หรือ IT Audit นั้นแน้นไปที่การตรวจสอบระบบปฎิบัติการ เช่น ระบบปฎิบัติการ Microsoft Windows หรือ ระบบปฎิบัติการ Unix/Linux เป็นหลัก แต่ไม่ได้เจาะลึกไปที่ตัวระบบฐานข้อมูล RDBMS เช่น Oracle หรือ SQL Server ในปัจจุบันพบว่าแฮกเกอร์สามารถเจาะระบบได้โดยผ่านทางช่องโหว่ของ ระบบฐานข้อมูล เช่น การตั้งรหัสผ่านแบบง่ายๆ หรือใช้รหัสผ่านเป็นค่าโดยกำหนด (Default) ตั้งแต่เริ่มติดตั้ง ทำให้ระบบฐานข้อมูลมีความอ่อนแอ ถูกเจาะได้ง่าย เมื่อถูกเจาะระบบฐานข้อมูลแล้ว ระบบปฎิบัติการก็พลอยมีผลกระทบไปด้วย ดังนั้น เทคโนโลยีในการตรวจสอบ (Audit), การประเมินความเสี่ยง (Assessment) และการเฝ้าระวัง (Monitoring) ระบบฐานข้อมูล (RDBMS) จึงเหมาะสำหรับองค์กรที่ระบบฐานข้อมูลมีความสำคัญกับการดำเนินธุรกิจธุรกรรมขององค์กร โดยเฉพาะองค์กรขนาดใหญ่ที่ต้องเก็บขัอมูลสำคัญของลูกค้า เช่น บริษัทผู้ให้บริการบัตรเครดิต หรือ ธนาคารพาณิชย์ เป็นต้น

5. Department of Defense (DOD) Directive 8570.1 ; Standard for Security Certified Professional

ท่ามกลาง Security Certification จากหลายๆค่าย ทางกระทรวงกลาโหมสหรัฐ (DOD) ได้ออกมาตรฐานขั้นต่ำเกี่ยวกับประกาศนียบัตรผู้เชี่ยวชาญด้านความปลอดภัยขัอมูลสำหรับข้าราชการประจำ และ Contractor ต่างๆที่การปฎิบัติงานมีความจำเป็นต้องเข้าถึงข้อมูลของ DOD ซึ่งแบ่งลักษณะของประกาศนียบัตรออกเป็น 2 ระดับคือ ระดับเทคนิค และระดับบริหาร (Technical and Management) ซึ่งในระดับเทคนิคยังแบ่งออกอีกเป็น 3 ระดับย่อย ได้แก่ Technical I, II, III และระดับบริหารแบ่งย่อยเป็น Management I, II, III เช่นกัน สำหรับ Security Certification ที่ได้รับการยอมรับจาก DOD ยกตัวอย่าง เช่น CompTIA Security + และ (ISC)2 SSCP อยู่ในระดับ Technical II ส่วน CISSP, CISA และ GIAC อยุ่ในระดับ Technical III สำหรับระดับ Management I ได้แก่ Security + และระดับ Management II และ III ได้แก่ CISSP, CISM และ GIAC ดังนั้นการเลือกสอบ Security Certification ต่างๆ ควรอาศัย DOD Directive 8570.1 มาเป็นแนวทางในการกำหนดมาตรฐานและทิศทางในการฝึกอบรม และพัฒนาศักยภาพของบุคลากรด้านความปลอดภัยข้อมูลขององค์กร

กล่าวโดยสรุป จะเห็นว่า เราควรติดตามกระแสทิศทางของเทคโนโลยี และมาตรฐานใหม่ๆด้านความปลอดภัยข้อมูลล่าสุด เพื่อนำมาประยุกต์ใช้กับการปฎิบัติงานด้านความปลอดภัยข้อมูลในองค์กรให้มีประสิทธิภาพและมีความปลอดภัยมากขึ้น

สำหรับอีก 5 เทคโนโลยีที่น่าสนใจ ผมขอยกยอดไปต่อใน eLeader ฉบับหน้า อย่าลืมติดตามนะครับ

Link to conference pictures : http://www.rsaconference.com/2007/us/content/photos/

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนกุมภาพันธ์
Update Information : 24 กุมภาพันธ์ 2550