ACIS Article

ยุทธศาสตร์การเตรียมพร้อมป้องกันภัยจากมัลแวร์อย่างได้ผลในทางปฏิบัติ Understanding MalWare Point-of-Entry and How to protect by implementing practical Anti-Malware strategy
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

ทำไมปัญหาไวรัสคอมพิวเตอร์รวมถึงปัญหาภัยจากมัลแวร์ (MalWare=Malicious Software) ถึงยังไม่หมดไปจากระบบสารสนเทศของเราเสียที? เป็นคำถามของผู้บริหารระบบสารสนเทศหลายคนที่ต้องการคำตอบ เพราะ ไวรัสคอมพิวเตอร์นั้นถือกำเนิดขึ้นมาในโลกนี้กว่ายี่สิบปีแล้ว เรายังไม่สามารถกำจัดไวรัสคอมพิวเตอร์ให้หมดไปจากระบบ แถมซ้ำยังมีภัยแบบใหม่เกิดขึ้นไม่ว่าจะเป็น สแปม หรือ สปายแวร์ ภัยทั้งสามนี้เราเรียกโดยรวมว่า ภัยจากมัลแวร์ (Malware) ซึ่งหมายถึง เราต้องมีโปรแกรมกำจัดมัลแวร์ และกระบวนการที่ถูกต้องในการป้องกันภัยจากไวรัสคอมพิวเตอร์, ภัยจากสปายแวร์ และภัยจากสแปม (ดูรูปที่ 1) สรุปได้ง่าย ๆ ว่า โปรแกรมกำจัดไวรัสคอมพิวเตอร์อย่างเดียวนั้นไม่เพียงพอต่อการป้องกันมัลแวร์ เพราะสปายแวร์และสแปมนั้นมีการโจมตีในรูปแบบที่แตกต่างจากไวรัสคอมพิวเตอร์ แต่ก็มีบางอย่างที่คล้ายคลึงกัน ดังนั้น เราต้องเรียนรู้และเข้าใจพฤติกรรมของภัยจากมัลแวร์ดังกล่าวให้ทราบถึงสาเหตุ หรือที่มา (Root-caused) ของปัญหา เราจึงจะสามารถลดความเสี่ยงจากมัลแวร์ได้อยู่ในระดับที่เรายอมรับได้ในที่สุด (Risk Acceptance Level)

วิเคราะห์พฤติกรรมของมัลแวร์วันนี้และในอนาคต

เส้นทางในการโจมตีระบบของมัลแวร์นั้นมีอยู่ทั้งหมด 6 เส้นทาง ได้แก่

1. การโจมตีผ่านทางอิเล็กโทรนิคส์เมล์ (email attack)

การโจมตีผ่านทางอิเล็กโทรนิคส์เมล์นั้น เป็นวิธีการโจมตีที่มัลแวร์นิยมใช้มากที่สุด เนื่องจากทุกวันนี้ผู้ใช้คอมพิวเตอร์ทุกคนต้องอ่านอิเล็กโทรนิกส์เมล์เป็นประจำ โอกาสที่ผู้ใช้จะเปิด email ที่ไม่หวังดีจึงมีความเป็นไปได้สูง การโจมตีมักจะมาในรูปแบบของไฟล์แนบ (Attached File) หรือ มาในรูปของ Hyperlink หลอกให้ผู้ใช้คลิ๊กเพื่อไปดาวน์โหลดมัลแวร์ลงมาในเครื่องคอมพิวเตอร์โดยปกติแล้วไฟล์แนบดังกล่าวจะใช้นามสกุลที่เราไม่ค่อยคุ้น เช่น *.VBS, *.HTA, *.CMD, *.PIF และมักจะมาในรูป executable file เช่น *.EXE หรือ .*.COM หากเราพบไฟล์แนบนามสกุลดังกล่าว ให้สงสัยว่าเป็นมัลแวร์ไว้ก่อน เพราะคนปกติส่วนใหญ่จะไม่ส่งไฟล์แนบโดยใช้นามสกุลไฟล์ดังกล่าว ในปัจจุบันผู้สร้างมัลแวร์หันมานิยมใช้ไฟล์แนบนามสกุล *.ZIP ที่เรานิยมใช้กันทั่วไป ทำให้ผู้ใช้งานโดยหลอกง่ายขึ้นโดยการแต่งข้อความใน email ให้ดูน่าเชื่อถือ วิธีการนี้เรียกว่า Social Engineering เพื่อหลอกผู้อ่าน email ให้ตายใจนึกว่าเป็น email จากคนรู้จักก็มักจะเปิดโดยไม่ระวังทำให้ถูกมัลแวร์โจมตี ได้อย่างง่ายดาย ดังนั้น การให้ความรู้กับผู้ใช้คอมพิวเตอร์ที่เราเรียกว่า "Security Awareness Training" โดยเฉพาะกับผู้ใช้ที่ไม่ใช่คนไอทีโดยตรงเช่น ผู้บริหารระดับสูง หรือ พนักงานทั่วไป จะช่วยได้มาก เพราะ ใช้ที่ไม่ใช่คนไอทีโดยตรง ล้วนเป็นเป้าของผู้ไม่หวังดี จึงควรได้รับการฝึกอบรมให้เกิดความตระหนักในภัยของมัลแวร์ที่มากับ email ดังที่กล่าวมาแล้วในตอนต้น

ปัจจุบันระบบป้องกันมัลแวร์ที่บริเวณ Internet Perimeter หรือบริเวณ Gateway นั้นสามารถดักจับ email ที่มีมัลแวร์แอบแฝงอยู่ได้อย่างมีประสิทธิภาพในระดับหนึ่งถึงแม้จะไม่ร้อยเปอร์เซ็นต์แต่ก็เป็นสิ่งที่องค์กรต้องให้ความสำคัญกับอุปกรณ์ ANTI-SPAM/ANTI-VIRUS ที่บริเวณดังกล่าวในลำดับต้น ๆ หากองค์กรมีระบบป้องกันในบริเวณ Gateway ไม่ดีพอจะทำให้เกิดความเสี่ยงต่อถูกโจมตีโดยมัลแวร์ค่อนข้างสูง

ด้วยความสามารถของอุปกรณ์ดังกล่าวทำให้ผู้ไม่หวังดีต้องหาทางอื่นในการส่งมัลแวร์มายังระบบเครือข่ายของเราโดยวิธีการอื่นที่ไม่ใช่การส่งผ่านมาทาง email เพียงวิธีเดียวเท่านั้น

2. การโจมตีผ่านทางการดาวน์โหลดไฟล์หรือจากการเข้าสู่เว็บไซต์ที่ไม่เหมาะสม (Web Attack)

มัลแวร์สามารถถูกดาวน์โหลดโดยอัตโนมัติจากการที่เราใช้ IE หรือ Firefox Browser เข้าสู่เว็บไซต์ที่ไม่เหมาะสมโดยเว็บไซต์ดังกล่าวมักจะมีการตกลงธุรกิจร่วมกันกับผู้ผลิตมัลแวร์ เรียกว่ามีผลประโยชน์ร่วมกันอยู่ ทำให้มัลแวร์สามารถถูกดาวน์โหลดโดยที่เราเองยังไม่ได้สั่งดาวน์โหลดเลยด้วยซ้ำ (ในกรณีที่ Browser เรามีช่องโหว่) หรือ บางครั้งเราเองก็เผลอดาวน์โหลดไฟล์มัลแวร์โดยไม่ทราบว่าโปรแกรมดังกล่าวนั้นเป็นมัลแวร์ บางทีก็หลอกมาว่าเป็น โปรแกรมอัตถประโยชน์ (Utility Program) เป็นต้น ในกรณีที่เราเรียกโปรแกรมเหล่านี้ว่า "ม้าโทรจัน" (Trojan Horse) ซึ่งดูเหมือนจะเป็นโปรแกรมที่ดีแต่จริง ๆ แล้วเป็นโปรแกรมมัลแวร์ที่ไม่ประสงค์ดี เป็นต้น ยุทธศาสตร์ในการแก้ปัญหาให้ถูกจุดก็คือการใช้เทคโนโลยีป้องกันความปลอดภัยที่รู้จักกันดีในแวดวงความปลอดภัยข้อมูล คือ URL Filtering และ Content Filtering มาช่วยในการ "Block" หรือ ปิดกั้น การเข้าสู่เว็บไซต์ที่ไม่ควรไป (URL Filtering) และ ช่วยในการตรวจเนื้อหาของข้อมูล (Payload) ในโปรโตคอล http ในระดับ Application Layer ว่ามีองค์ประกอบของมัลแวร์มาด้วยหรือไม่ (Content Filtering) การตรวจสอบนั้นนิยมกันอยู่สองวิธีคือ วิธีการตรวจสอบด้วย Pattern-based หรือ Signature-based ของมัลแวร์ซึ่งต้องการอัพเดตอย่างสม่ำเสมอเพื่อให้รู้จักมัลแวร์ใหม่ ๆ อีกวิธีหนึ่งคือการตรวจสอบด้วยพฤติกรรมหรือ Behavior-based โดยไม่ต้องอัพเดต Signature บ่อย ๆ เหมือน วิธีแรก จะช่วยตรวจจับมัลแวร์ใหม่ที่ยังไม่มี Signature (Zero Pay Attack) หรือ Variant ต่าง ๆ ของมัลแวร์ ที่อาจเกิดขึ้นในอนาคต แนะนำว่าเราควรใช้วิธีการทั้งสองวิธีในการตรวจจับมัลแวร์จะเกิดประสิทธิภาพมากที่สุด ข้อควรระวังก็คือการตรวจจับมัลแวร์มักจะทำที่บริเวณ Primeter หรือ Gateway อาจจะส่งผลให้การตอบสนองผู้ใช้งานเว็บค่อนข้างช้าและทำให้ผู้ใช้เข้าสู่บางเว็บไซต์ไม่ได้ ดังนั้นการฝึกอบรม (Security Awareness Training) จึงเป็นวิธีที่ดีสุดที่จะอธิบายให้ผู้ใช้ได้เข้าใจว่าทำไมองค์กรถึงต้อง "Block" บางเว็บไซต์และอาจมีผลเรื่องการตอบสนองบ้าง ก็ต้องขอความร่วมมือจากทางผู้ใช้ด้วย

ปัจจุบันเทคโนโลยี URL Filtering และ Content Filtering ค่อนข้างจะอยู่ตัวและสามารถ ใช้งานได้จริงอย่างมีประสิทธิภาพ ดังนั้น ผู้ผลิตมัลแวร์จึงต้องหาทางใหม่ในการโจมตี เช่นกัน

3. การโจมตีผ่านทาง เครือข่ายโปรแกรมประเภท Instant Messaging (IM attack)

ปัจจุบันผู้ใช้คอมพิวเตอร์ทั่วไปนิยมใช้โปรแกรม IM (Instant Messaging) เช่น MSN หรือ Yahoo Messaging ในการติดต่อ "chat" ระหว่างเพื่อนฝูงตลอดจนคนรู้ใจ ซึ่งนิยมกันมากในกลุ่มวัยรุ่นด้วยความนิยมที่เพิ่มขึ้นอย่างสูง ของโปรแกรมประเภท IM ทำให้ผู้ไม่หวังดีเห็นช่องทางใหม่ในการโจมตีคอมพิวเตอร์และระบบเครือข่ายผ่านทางผู้ใช้ IM ที่ไม่ทราบถึงภัยจากมัลแวร์ผ่านทาง IM ยกตัวอย่างเช่น ผู้ผลิตมัลแวร์ หรือไวรัสคอมพิวเตอร์ออกแบบโปรแกรมไวรัสให้ส่งไฟล์ที่มีชื่อไฟล์ที่น่าสนใจ เช่น Sexy_Bedroom.pif หรือ Naked_party.pif เพื่อหลอกให้ผู้ใช้ IM เช่น MSN ที่มักจะอยากรู้อยากเห็นไฟล์ที่คิดว่าเพื่อนส่งมาให้ เผลอเปิดไฟล์โดยไม่รู้ตัว ไฟล์ดังกล่าวจริง ๆ แล้วคือ ไวรัสที่ทำงานในลักษณะหนอนอินเทอร์เน็ตที่มีชื่อว่า "Bropia Worm" (ดูรูปที่ 2)

เมื่อผู้ใช้เปิดไฟล์ดังกล่าวจะมีผลกระทบต่อระบบเครือข่ายภายในขององค์กร และ เครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อตลอดจน โปรแกรมหนอน Bropia จะส่งไฟล์ไวรัสกระจายไปยังผู้ใช้ MSN ที่อยู่ใน Contact List ทุกคน ปัญหาของการใช้โปรแกรม IM อย่างไม่ระมัดระวังก็คือ โปรแกรมหนอนดังกล่าวสามารถทำให้ระบบเครือข่ายใช้งานไม่ได้ หรือทำให้เกิดข้อมูลจราจรมาหาศาลซึ่งมีผลถึงจุดที่ทำให้ระบบล่มได้ในไม่กี่นาที เพราะฉะนั้น องค์กรจำเป็นต้องออกนโยบายมาตรการในการป้องกันความปลอดภัยของระบบเครือข่ายภายในองค์กรอย่างเข้มงวด เริ่มจากไม่อนุญาติให้ใช้โปรแกรมประเภท IM ซึ่งอาจจะทำให้เกิดปัญหาข้อพิพาทกับผู้ใช้โปรแกรม IM ได้ง่าย จึงอาจต้องปรับนโยบายให้ผ่อนปรนในระดับที่เรียกว่า พบกันครึ่งทางระหว่างความปลอดภัยขององค์กรกับความสะดวกในการติดต่อสื่อสารระหว่างผู้ใช้โปรแกรม IM เช่น อนุญาติให้ใช้โปรแกรม IM ได้แก่ไม่อนุญาติให้มีการแลกเปลี่ยนไฟล์ข้อมูลเข้า-ออก จากเครือข่ายเป็นต้น แต่ปัญหาที่อาจเกิดขึ้นได้ก็คือ ผู้ใช้โปรแกรม IM ยังคงมีความต้องการรับ-ส่งไฟล์ระหว่างผู้ใช้ IM ด้วยกันอยู่ดังนั้น การฝึกอบรม "Security Awareness Training" ให้กับผู้ใช้โปรแกรม IM จึงมีความจำเป็นอย่างยิ่งโดยควรทำการอบรมก่อนการประกาศใช้นโยบายดังกล่าว เพื่อทำความเข้าใจกับผู้ใช้ตลอดจนทำให้ผู้ใช้ตระหนักถึงภัยมัลแวร์ที่ในปัจจุบันและอนาคต สามารถเข้าโจมตีผู้ใช้คอมพิวเตอร์และระบบเครือข่ายผ่านทางเครือข่าย IM ดังที่กล่าวมาแล้วในตอนต้น

4. การโจมตีผ่านทางเครือข่ายโปรแกรมประเภท P2P (Peer-To-Peer) (P2P Attack)

จากความนิยมที่เพิ่มขึ้นของการใช้งานอินเทอร์เน็ตบรอดแบนด์ซึ่งส่วนใหญ่ใช้เทคโนโลยี ADSL ในทุกประเทศทั่วโลกทำให้แบนด์วิท (Bandwidth) ในการใช้งานอินเทอร์เน็ตเพิ่มมากขึ้นหลายเท่าตัวจากการใช้โมเด็ม 56K มาเป็นระบบ ADSL ในลักษณะ "Always On" เรียกได้ว่าเชื่อมโยงกับอินเทอร์เน็ตได้ตลอด 24 ชั่วโมง ทำให้การดาวน์โหลดข้อมูลและโปรแกรมต่าง ๆ ในอินเทอร์เน็ตมีความรวดเร็วมากขึ้นจากพฤติกรรมการใช้งานอินเทอร์เน็ตที่เปลี่ยนไปดังกล่าวทำให้ผู้ไม่หวังดีเช่น บรรดาเหล่าแฮกเกอร์ "Black Hat" ได้อาศัยช่องโหว่ของเครื่องคอมพิวเตอร์ผู้ใช้งานอินเทอร์เน็ตบรอดแบนด์โดยเฉพาะผู้ใช้งานอินเทอร์เน็ตตามบ้าน เข้ามาโจมตีและยึดเครื่องคอมพิวเตอร์เหล่านั้น เพื่อประโยชน์ของแฮกเกอร์โดยเราเรียกกลุ่มเครื่องที่ตกเป็นเหยื่อว่า "Botnet" หรือ "Robot Network" ที่แฮกเกอร์สามารถควบคุมได้ ถ้าหากผู้ใช้ตามบ้านติดตั้งโปรแกรม Personal Firewall ก็สามารถป้องกันการโจมตีแบบ Remote Exploint ดังกล่าวได้ แฮกเกอร์จึงเปลี่ยนวิธีในการโจมตีโดยการสร้างโปรแกรมประเภท P2P ขึ้นมาเพื่อให้ผู้ใช้สามารถดาวน์โหลดข้อมูลระหว่างผู้ใช้อินเทอร์เน็ตด้วยกันได้ง่ายยิ่งขึ้น ขณะเดียวกันก็แอบแฝงติดตั้งโปรแกรมมัลแวร์นำพวกสปายแวร์เข้ามาด้วย โปรแกรม P2P หลายโปรแกรมมาพร้อมกับสปายแวร์ในตัว ขณะเดียวกันก็สร้างไฟล์โดยตั้งชื่อไฟล์หลอกผู้ใช้ให้ดาวน์โหลดไฟล์โดยคิดว่าเป็นไฟล์ที่ผู้ใช้ต้องการ แต่แท้จริงแล้วเป็นโปรแกรมมุ่งร้ายหรือมัลแวร์ในลักษณะของม้าโทรจัน (Trogan Horse) หลังจากผู้ใช้ดาวน์โหลดและติดตั้งโปรแกรมดังกล่าวผู้ใช้อาจถูกขโมยข้อมูลส่วนตัวเช่น ชื่อผู้ใช้และรหัสผ่านโดยโปรแกรมประเภท "Key Logger" จะคอยดักข้อมูลผู้ใช้โดยไม่รู้ตัวจากนั้นแฮกเกอร์ก็สามารถนำชื่อและรหัสผ่าน ไปใช้งานแทนตัวผู้ใช้โดยที่ผู้ใช้กว่าจะรู้ตัวก็เกิดความเสียหายไปเรียบร้อยแล้ว เช่น ถูกขโมยเงินจากการใช้งานบริการธนาคารทางอินเทอร์เน็ต เป็นต้น

ภัยจากโปรแกรม P2P นอกจากจะทำให้เราติดไวรัสหรือมัลแวร์ได้ง่าย และ ขโมยข้อมูลส่วนตัวของเราแล้ว ยังมีภัยอีกรูปแบบหนึ่งที่ถือได้ว่า เป็นภัยระดับองค์กร ได้แก่ ภัยมืดจากการใช้แบนด์วิทจำนวนมากของโปรแกรม P2P ขณะที่ผู้ใช้ดาวน์โหลดข้อมูลระหว่างโปรแกรม P2P ด้วยกันจะทำให้มีการใช้งานแบนด์วิทของเครือข่ายที่เชื่อมต่อกับระบบอินเทอร์เน็ตซึ่งมีปริมาณข้อมูลจราจรจำนวนมาก ทำให้เกิดความล่าช้าต่อผู้ใช้บริการอินเทอร์เน็ตในองค์กรคนอื่น ๆ ไม่สามารถใช้งานอินเทอร์เน็ตได้ตามปกติ ในบางรายโปรแกรม ANTI-VIRUS ทำงานผิดพลาดเพราะไม่สามารถอัพเดต VIRUS Signature ได้เพราะแบนด์วิทไม่เพียงพอในการดาวน์โหลด จะเห็นได้ว่าการใช้งานโปรแกรม P2P ทั้งโดยที่ตั้งใจและไม่ตั้งใจของผู้ใช้อินเทอร์เน็ตนั้น ก่อให้เกิดภัยมืดกับองค์กรโดยไม่รู้ตัว เราควรมีมาตรการ หรือนโยบายในการควบคุมการใช้งานโปรแกรม P2P ในองค์การอย่างเข้มงวด หนทางปฏิบัติที่ดีที่สุดคือการห้ามใช้โปรแกรม P2P ในองค์กรซึ่งอาจทำได้ยาก เพราะผู้ใช้ยังมีความต้องการในการใช้โปรแกรมเหล่านี้ ไม่ว่าจะเป็นโปรแกรม Bittorrent, Emule, Edonkey หรือโปรแกรมยอดนิยม Skype ที่สามารถโทรศัพท์ทางไกลฟรีทั่วโลกภายในเครือข่ายของ Skype ด้วยกัน ตลอดจนโปรแกรมประเภท Webcam ที่กำลังได้รับความนิยมอย่างต่อเนื่อง ทุกโปรแกรม P2P ดังกล่าวล้วนใช้งานแบนด์วิทองค์กรอย่างมหาศาลเราจำเป็นต้องมีการควบคุมโดยทางสายกลางก็คือ จำกัดปริมาณการใช้งานแบนด์วิทเครือข่ายของโปรแกรมเหล่านี้โดยใช้อุปกรณ์ประเภท Bandwidth Shaper หรือ Bandwidth Management ที่มีความสามารถในการปิดกั้นหรือ จำกัด ปริมาณการใช้งานข้อมูลในระดับหนึ่ง เช่น ให้ใช้ Skype ได้ แต่จำกัดแบนด์วิทไว้เพียง 10% ของทั้งหมดเป็นต้น

5. การโจมตีผ่านทางเครือข่ายในขณะที่เครื่องออนไลน์ (Network Attack)

หลายท่านอาจสงสัยว่าถ้าเรายังไม่ได้ใช้โปรแกรม email หรือ Internet Browser ตลอดจนโปรแกรม IM หรือ P2P แล้วเราจะถูกโจมตีได้อย่างไร? คำตอบก็คือ เมื่อเราเปิดเครื่องคอมพิวเตอร์และต่อออนไลน์กับระบบอินเทอร์เน็ตแล้ว เราก็มีโอกาสในการถูกโจมตีได้ภายในไม่กี่นาที เคยมีงานวิจัยเรื่องภัยอินเทอร์เน็ตได้สรุปว่า แค่เพียงเราต่อเชื่อมกับระบบอินเทอร์เน็ตโดยไม่ได้มีการป้องกันเครื่องคอมพิวเตอร์โดยใช้โปรแกรมประเภท Personal Firewall เครื่องคอมพิวเตอร์อาจถูกโจมตีโดยไวรัส, วอร์ม หรือ แฮกเกอร์ภายในเวลาที่ต่ำสุดไม่ถึง 5 นาที สาเหตุมาจากเครื่องคอมพิวเตอร์ที่ถูกโจมตีนั้นไม่ได้ติดตั้ง Service Pack หรือ Hotfix ที่มีความจำเป็น (Critical Patch/Hofix) และไม่ได้เปิดใช้งาน Personal Firewall ทำให้ตกเป็นเหยื่อการโจมตีได้ง่าย ดังนั้น เราควรมีระบบในการปิดช่องโหว่ ให้กับเครื่องคอมพิวเตอร์โดยหมั่นติดตั้ง Patch/Hotfix อยู่เป็นประจำ ในระดับองค์กรควรใช้ระบบ "Patch Management" จะช่วยให้ระบบมีภูมิต้านทานต่อการโจมตีของมัลแวร์ในรูปแบบต่าง ๆ ตลอดจนควรเปิดใช้งาน Personal Firewall ที่โดยปกติ ใน Window XP Service Pack 2 ขึ้นไปก็จะมีโปรแกรม "Windows Firewall" มาให้ใช้งานอยู่แล้ว หรือเราสามารถดาวน์โหลดโปรแกรม Free Personal Firewall มาใช้สำหรับผู้ใช้ทั่วไป ในระดับองค์กรเราสามารถเปิดใช้โปรแกรม Personal Firewall ที่มากับโปรแกรม ANTI-VIRUS รุ่นใหม่ ๆ โดยสามารถควบคุมได้จากส่วนกลาง ทำให้สะดวกในการกำหนดนโยบายการใช้งานโปรแกรม Personal Firewall ได้อย่างมีประสิทธิภาพมากขึ้น

6. การโจมตีที่ไม่ได้ผ่านทางระบบเครือข่าย (Physical Security Attack)

ผู้ใช้คอมพิวเตอร์อาจติดไวรัส หรือตกเป็นเหยื่อมัลแวร์ได้จากการโจมตีทางกายภาพ (Physical Security Attack) ทั้งตั้งใจและไม่ได้ตั้งใจ ได้แก่ การที่ผู้ใช้คอมพิวเตอร์เปิดเครื่องคอมพิวเตอร์ทิ้งไว้ไม่ได้ "Lock" หน้าจอไว้ทำให้ผู้ไม่หวังดีสามารถนำโปรแกรมมัลแวร์ประเภท "Key Logger" แอบเข้ามาติดตั้งดักจับข้อมูลส่วนตัว ละเมิด "Privacy" ได้อย่างง่ายดาย หรือ อาจเกิดจากผู้ใช้คอมพิวเตอร์นำโปรแกรมที่อยู่ใน CD หรือ DVD มาใช้งานโดยไม่ได้ตั้งใจ แต่ โปรแกรมเหล่านั้นติดไวรัส หรือเป็นมัลแวร์ที่อาจแฝงมาในรูปของโปรแกรมอัตถประโยชน์ (Ultility) ก็ทำให้ตกเป็นเหยื่อของมัลแวร์ ได้เช่นกัน

ทางป้องกันที่ถูกต้องก็คือ การปฏิบัติตามมาตรฐาน ISO/IEC 27001 ได้แก่ การไม่นำโปรแกรมที่ไม่เกี่ยวข้องกับการปฏิบัติงานมาใช้ในองค์กร รวมถึงโปรแกรมที่ไม่ถูกลิขสิทธิ์ ตลอดจนมีการตั้งระบบให้ "Lock" หน้าจอในขณะที่เราไม่ได้นั่งอยู่หน้าเครื่องคอมพิวเตอร์เพื่อไม่ให้ผู้ไม่หวังดีมีโอกาส ในการติดตั้งโปรแกรมมัลแวร์ดังที่กล่าวมาแล้วในบทความข้างต้น เพื่อที่เราจะได้ปลอดภัยจากภัย "Identity Theft" หรือการขโมยความเป็นตัวตนของเราจากโปรแกรมสปายแวร์

กล่าวโดยสรุปจะเห็นได้ว่า เส้นทางในการโจมตีของมัลแวร์นั้น ปรับเปลี่ยนจากการโจมตีทางเว็บ และอิเล็กโทรนิคส์เมล์ มาเป็นการโจมตีทางการใช้โปรแกรม IM และ P2P มากขึ้นตามความนิยมการใช้งานอินเทอร์เน็ตของผู้ใช้ ดังนั้นนโยบายการใช้งานระบบอินเทอร์เน็ตที่เข้มงวด ตลอดจนการนำเทคโนโลยี สมัยใหม่ด้าน IM หรือ P2P Security Defense มาใช้งานในการป้องกันระบบเครือข่ายในกรณีที่องค์กรยังไม่สามารถกำหนดนโยบายในการปิดกั้นการใช้งานโปรแกรม IM หรือ P2P ได้จากการต่อต้านของผู้ใช้งานอินเทอร์เน็ต กุศโลบายที่ควรนำมาใช้คือ การฝึกอบรม "Security Awareness Training" เพื่อปรับความเข้าใจกับผู้ใช้ และ เพื่อให้ผู้ใช้มีความตระหนักถึงผลกระทบจากภัยอินเทอร์เน็ต ซึ่งจะมีผลกระทบ ใน 3 ส่วน ได้แก่ ผลกระทบกับตัวผู้ใช้ของ ผลกระทบกับองค์กร และ ผลกระทบต่อประเทศชาติโดยรวม ดังนั้น ภัยอินเทอร์เน็ตดังกล่าวไม่ใช่เรื่องที่ไกลตัวอีกต่อไป ผู้ใช้อินเทอร์เน็ตทุกคนในองค์กรควรต้องทำความเข้าใจ และ "ร่วมด้วยช่วยกัน" ในการป้องกันภัยจากมัลแวร์อย่างจริงจัง มิฉะนั้น ผู้ใช้เอง หรือ องค์กรอาจตกเป็นเหยื่อของมัลแวร์ได้ และ จะส่งผลกระทบกับการปฏิบัติงานขององค์กร ตลอดจนส่งผลกระทบกับความปลอดภัยในระดับประเทศในภาพรวมได้ ซึ่งอาจไปถึงเรื่องของความเชื่อมั่นของนานาประเทศในโลกยุคไร้พรมแดน ดังนั้นภัยมัลแวร์ ควรจัดอยู๋ในประเภทภัยระดับชาติ หรือ "National Security Threat" ได้อย่างเต็มตัว ซึ่งภาครัฐควรมีการแก้ไขอย่างเป็นรูปธรรมต่อไปในอนาคตอันใกล้นี้

จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนธันวาคม 2549
Update Information : 30 พฤศจิกายน 2549