ACIS Article

14 เทคโนโลยีการป้องกันความปลอดภัยข้อมูลสารสนเทศล่าสุดที่คุณควรรู้ 14 IT Security Technology Update
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

ในปัจจุบันและอนาคตเทคโนโลยีความปลอดภัยข้อมูลสารสนเทศใหม่ ๆ ได้ทยอยออกสู่ตลาดด้านความปลอดภัยข้อมูลสารสนเทศอย่างต่อเนื่องเพื่อตอบรับกับภัยอินเทอร์เน็ตและเทคนิคการโจมตีของแฮกเกอร์แบบใหม่ ทำให้ผู้บริหารระบบความปลอดภัยต้องศึกษาเคราะห์และเลือกใช้เทคโนโลยีที่มีความเหมาะสมกับระบบสารสนเทศ และกระบวนการทางธุรกิจขององค์กร เพื่อป้องกันระบบให้มีความมั่นคงปลอดภัยจากอาชญากรคอมพิวเตอร์และ MalWare (Malicious Software) ต่าง ๆ ที่เพิ่มขึ้นเป็นทวีคูณในช่วงสองสามปีที่ผ่านมาและมีแนวโน้มที่จะเพิ่มขึ้นอีกในปีต่อ ๆ ไป ดังนั้นผู้บริหารระดับสูงตลอดจนผู้บริหารระบบสารสนเทศขององค์กรไม่ว่าจะเป็น CIO หรือ IT Manager ก็ควรที่จะศึกษาและทำความเข้าใจกับเทคโนโลยีการป้องกันความปลอดภัยข้อมูลใหม่ ๆ เพื่อเป็นข้อมูลประกอบการตัดสินใจในการจัดซื้อเทคโนโลยีดังกล่าว เพื่อให้เกิดประโยชย์สูงสุดกับองค์กรและคุ้มค่ากับการลงทุนในมุมมองของค่า ROI (Return on Investment ) เพราะหากผู้บริหารตัดสินใจผิดพลาดในการเลือกเทคโนโลยีที่ไม่เหมาะสมและยังไม่สามารถใช้งานได้จริง ก็จะส่งผลกระทบให้องค์กรเกิดปัญหาด้านความปลอดภัยข้อมูลอย่างหลีกเลี่ยงไม่ได้

14 เทคโนโลยีการป้องกันความปลอดภัยข้อมูลสารสนเทศล่าสุด มีรายละเอียดดังนี้

1. Network Access Control (NAC) หรือ Endpoint Security

หลายองค์กรได้มีการติดตั้ง Firewall, Anti-Virus Software รวมทั้งระบบ Patch Management ตามหลักการด้านการรักษาความปลอดภัยข้อมูลสารสนเทศอย่างถูกต้องแต่ผู้เกิดปัญหาความปลอดภัยขึ้น เช่น มีการติด Virus หรือ Worm ในระบบ LAN ทำให้ระบบเกิดปัญหา Denial of Service (DoS) ซึ่งส่งผลกระบบโดยตรงต่อ Infrastructure ของระบบเช่น Core Switching ทำให้เกิดแนวคิดในการป้องกันระบบในแนวทาง "ให้คนดีเข้าระบบได้ และขณะเดียวกัน คนมุ่งร้ายไม่ให้เข้าระบบ" หมายถึง ระบบ NAC จะทำการตรวจสอบผู้ที่ต้องการเข้าระบบว่าเป็นคนที่มีสิทธิในการเข้าระบบหรือไม่โดยใช้วิธีการ Authertication กับอุปกรณ์เครือข่ายที่นิยมใช้โปรโตคอล IEEE 802.1X ตลอดจนยังตรวจสอบสุขภาพของเครื่องลูกข่ายว่าเป็นไปตามนโยบายความปลอดภัยขององค์กรหรือไม่ก่อนที่จะให้เครื่องลูกข่ายเข้าสู่ระบบ เช่น มีการตรวจ Anti-Virus Signature ว่ามีการ Update ล่าสุดหรือไม่ มีการตรวจสอบ Patch ของ Windows ว่าล่าสุดและเพียงพอหรือไม่ รวมทั้งตรวจสอบว่าเครื่องลูกข่ายมีการติดตั้ง Personal Firewall ที่เหมาะสมหรือไม่ หากไม่เป็นไปตามนโยบายก็จะโยกเครื่องลูกข่ายนั้นไปยังเขตกักกัน (Quarantine Zone) หรือไม่อนุญาติให้เข้าระบบจนกว่าเครื่องลูกข่ายจะมีการปรับปรุงความปลอดภัยให้เพียงพอตามนโยบายขององค์กร

2. Web Application and Source Code Vulnerability Security Scanner

เป็นที่ทราบกันโดยทั่วไปแล้วว่าการโจมตีของแฮกเกอร์นั้นเปลี่ยนมุมมองจาก Network Layer Attack มาเป็น Application Layer Attack โดยเฉพาะ Web Application Attack ตามวิธีการทั้งสิบแบบของ Open Web Application Security Project (www.owasp.org) ยกตัวอย่าง เช่น วิธีการที่แฮกเกอร์นิยมใช้มากที่สุดในการโจมตี Web Site ต่าง ๆ คือ วิธี "SQL injection" เป็นต้น

การตรวจสอบช่องโหว่ของ Web Server และ Web Application จึงเป็นเรื่องสำคัญที่องค์กรจะมองข้ามไม่ได้โดยการใช้เทคโนโลยี Web Application Vulnerability Scanner ตรวจสอบในระดับหนึ่งจากนั้น ควรจ้าง External Auditor ที่เรียกตนเองว่า "Penetration Tester" มาช่วยตรวจสอบในเชิงลึกเพิ่มจากการใช้ Web Application Scanner อีกทีหนึ่ง

สำหรับการตรวจสอบ Source Code ของ Web Application ก็มีเทคโนโลยีออกวางจำหน่ายในตลาดแล้วเช่นกัน โดยมักจะเชื่อมกับกระบวนการในการพัฒนา Application Software ที่เรารู้จักกันดีคือ Software Development Life Cycle" (SDLC)

องค์กรอาจไม่จำเป็นต้องจัดซื้อ Web Application Vulnerability Security Scanner แต่สามารถใช้เป็นการจ้างบริการ (Outsource Service) ได้ รวมถึงการจ้างทำ "Black-Block Penetration Testing" ยกตัวอย่าง เช่น ธนาคารแห่งประเทศไทยมีข้อกำหนดให้ธนาคารพาณิชย์ทุกธนาคารต้องมีการทำ "Penetration Testing" ก่อนให้บริการ High Risk Service เช่น บริการธนาคารทางอินเทอร์เน็ต (Internet Banking) เป็นต้น

3. Database Security and Database Activity Monitor

หลังจากกฏหมายและกฏข้อบังคับต่าง ๆ เริ่มเข้ามามีบทบาทสำคัญในโลกไอที ยุค "Regulatory Compliance" ไม่ว่าจะเป็น Sarbanes - Oxley Act (SOX) หรือ Payment Card Industry (PCI) Data Security Standard ได้มีข้อกำหนดระบุเรื่องความสำคัญของ การรักษาความปลอดภัยของระบบฐานข้อมูล (Databese Security) ซึ่งสามารถใช้เทคโนโลยีต่าง ๆ เช่น Database Security Vulnerability Scanner เพื่อตรวจสอบช่องโหว่ของระบบฐานข้อมูล หรือ Database Encryption เพื่อเข้ารหัสข้อมูลที่เก็บในระบบฐานข้อมูล เป็นต้น การใช้ Database Security Scanner จะแตกต่างจากการใช้ Vulnerability Security Scanner โดยจะมีรายละเอียดในการตรวจสอบ Database มากกว่าและเจาะลึก Database Vulnerability มากกว่า Vulnerability Scanner ทั่วไป

สำหรับ Database Activity Monitor นั้นเป็นหลักการของการตรวจสอบแบบต่อเนื่อง (Continuous Audit) คือ คอยจับตาเฝ้าระวัง Activity ต่าง ๆ ใน Database จาก Log file ของระบบ Database จากนั้น นำ Log file มาวิเคราะห์ว่ามีเหตุการณ์ผิดปกติเกิดขึ้นกับ Database หรือไม่ ถ้ามีก็จะรีบแจ้งเตือนผู้บริหารระบบฐานข้อมูลหรือ DBA โดยเร่งด่วน เพื่อป้องกันและแก้ไขปัญหาด้านความปลอดภัยต่อไป

4. Converged Client Security Technology

หมายถึง การรวมกันของ 3 เทคโนโลยีภายในผลิตภัณฑ์เดียว ได้แก่ เทคโนโลยี Anti-Virus, Anti-Spyware และ Personal Firewall ในบางผลิตภัณฑ์อาจรวมถึงเทคโนโลยี Host-Based Intrusion Prevention System (HIPS) ด้วย เหตุผลก็คือการใช้ Anti-Virus Software อย่างเดียวนั้น ถือว่าไม่เพียงพอต่อการป้องกันภัยอินเทอร์เน็ตในยุคนี้ องค์กรมีความจำเป็นต้องใช้ Anti-Spyware Software และ Personal Firewall Software เพิ่มเติมเพื่อเพิ่มระดับของความปลอดภัยของเครื่องลูกข่าย (client security) มากขึ้น ความเปลี่ยนแปลงครั้งใหญ่ของอุตสาหกรรมที่เราเห็นได้ชัดเจนคือ บริษัทผู้ผลิต Anti-Virus Software หลายราย ได้รวมเทคโนโลยีดังกล่าวเข้าด้วยกันเป็นผลิตภัณฑ์เดียวเพื่อง่ายต่อการบริหารจัดการและเพิ่มประสิทธิภาพในการป้องกันระบบได้ดียิ่งขึ้น

5. Instant Messaging (IM) and Peer-to-peer (P2P) Security

การโจมตีของไวรัสและวอร์มในปัจจุบัน มีการเปลี่ยนแปลงเพิ่มเติมจากการโจมตีจากทางอิเล็คโทรนิคส์เมล์ (email attack) ที่ไวรัสมักจะมากับ Attached File และ การโจมตีจากการที่เราดาวน์โหลดไฟล์ของไวรัสผ่านทางโปรโตคอล http หรือทาง Web Site ต่างๆ มาเป็นการโจมตีเพิ่มขึ้นอีกทางการใช้งาน Instant Messaging (IM) เช่น MSN หรือ Yahoo Messenger และ การใช้โปรแกรมดาวน์โหลดยอดนิยมแบบ Peer to Peer (P2P) เช่น Bittorrent หรือ Limewire ไวรัสและวอร์มจะอาศัยช่องทางทั้ง IM และ P2P ในการแพร่กระจายตนเองโดยอาศัยเทคนิค "Social Engineering" ซึ่งมักจะส่งไฟล์มาหลอกผู้ใช้โดยใช้ชื่อไฟล์ที่สื่อไปทางที่ผู้ใช้คอมพิวเตอร์ให้ความสนใจเพื่อผู้ใช้หลงเข้าใจผิดก็จะดาวน์โหลดไฟล์ดังกล่าวมายังเครื่องคอมพิวเตอร์ทำให้ติดไวรัสได้อย่างง่ายดาย เทคโนโลยี IM และ P2P Security จะช่วยในการควบคุมการใช้งาน IM และ P2P ให้อยู่ในกฏระเบียบ Security Policy ขององค์กรหากผู้ใช้คอมพิวเตอร์ไม่ปฏิบัติตาม ระบบ IM และ P2P Security มีความสามารถในการ "Block" ผู้ใช้งานได้ตามกฏเกณฑ์ที่ได้ตั้งไว้ตามนโยบายความปลอดภัยของบริษัท ดังนั้นกฏระเบียบนโยบายในการใช้งานระบบคอมพิวเตอร์และเครือข่ายอย่างปลอดภัยนั้นมีความสำคัญอย่างยิ่งยวดในการรักษาความปลอดภัยข้อมูลสารสนเทศที่ผู้บริหารระดับสูงทุกองค์กรต้องใส่ใจอย่างจริงจังและเป็นผู้นำในการปฏิบัติเองเสียก่อน เพื่อเป็นตัวอย่างที่ดี ต่อพนักงานในองค์กร

6. Security Information and Event Management (SIEM)

เทคโนโลยีการวิเคราะห์ Log จากอุปกรณ์ไอทีต่าง ๆ ในองค์กรเพื่อให้เห็นสัญญาณของบุกรุกแบบ Proactive ได้แก่ SEM (Securtiy Event Management) ส่วนเทคโนโลยีในการวิเคราะห์และนำเสนอข้อมูลในรูปแบบรายงานเพื่อให้ผู้บริหารระบบสารสนเทศได้ทราบถึงปัญหาด้านความปลอดภัยอย่างทันท่วงที ได้แก่ SIM (Security Information Management) ในปัจจุบันได้มีการรวมเทคโนโลยีเข้าด้วยกันเรียกว่า (SIEM) Security Information and Event Management ซึ่งสอดคล้องกับกฏหมายและกฏข้อบังคับในมุมมองของ Regulatory Compliance ต่าง ๆ ด้วย

ขณะที่ร่างกฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ของประเทศไทยมาตรา 24 ได้กำหนดให้ผู้ให้บริการระบบต้องเก็บข้อมูลจราจรของระบบหรือ Log File ไว้ไม่ต่ำกว่า 30 วัน เพื่อใช้ในการวิเคราะห์พิสูจน์หลักฐานทางคอมพิวเตอร์ (Computer Forensic) จากทางฝ่ายยุติธรรม ประโยชน์ของ SIEM นั้นไม่ใช่แค่เพียง "Comply" ตามกฏหมายแต่จะทำให้องค์กรได้รู้ล่วงหน้าถึงการโจมตีระบบก่อนที่แฮกเกอร์จะสามารถบุกรุกได้สำเร็จหรือ หากแฮกเกอร์เข้าสู่ระบบได้องค์กรสามารถรู้ได้ ในเวลาอันรวดเร็วเพื่อลดผลกระทบที่จะเกิดขึ้นจากการโจมตีของแฮกเกอร์

เทคโนโลยี SIEM ถือเป็นนวัตกรรมในการป้องกันระบบเครือข่ายคอมพิวเตอร์ที่น่าสนใจแต่ยังต้องการผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลเข้ามา "Customize" หรือปรับแต่งการใช้งานเทคโนโลยี SIEM ให้เกิดประสิทธิภายให้กับองค์กรได้มากที่สุด

7. Data-at-Rest Encryption Appliance

ถือเป็นนวัตกรรมใหม่ล่าสุดด้าน Storage Security โดยหลักการทำงานของ Data-at-Rest Encryption Security Appliance จะถูกนำมาวางขวางระหว่าง Host หรือ Server และ Storage ไม่ว่าจะเป็น NAS หรือ SAN เพื่อทำการเข้ารหัสข้อมูลในลักษณะ "Real-time" หรือ "On-The-Fly" ระหว่าง Server และ Storage เพื่อป้องกันความปลอดภัยของข้อมูลในมุมมองของความลับของข้อมูล (Confidentiality) เพื่อไม่ให้แฮกเกอร์หรือผู้ไม่หวังดีแอบนำข้อมูลใน Storage ของเราไปใช้ โดยข้อมูลที่อยู่ใน Storage จะถูกเข้ารหัสทั้งหมดและต้องถูกถอดรหัสผ่านทาง Key ที่เก็บอยู่ใน Data-at-Rest Encryption Appliance เท่านั้นถึงจะถูกนำกลับมาเป็นข้อมูลปกติได้ การเข้ารหัสข้อมูลในระดับ Storage นั้นเป็นข้อกำหนดของกฎหมายจึงถือเป็นการ Comply ตาม Regulatory Compliance ด้วย

สำหรับเทคโนโลยีการป้องกันความปลอดภัยข้อมูลสารสนเทศล่าสุดอีก 7 เทคโนโลยี ผมขอกล่าวถึงในฉบับหน้า อย่าลืมติดตามนะครับ สวัสดีครับ

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนกันยายน 2549
Update Information : 18 กันยายน 2549