New IT Audit Paradigm Using Vulnerability Management and Patch Management System
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
ในยุคที่อินเทอร์เน็ตกลายเป็นสาธารณูปโภคเหมือนระบบโทรศัพท์ที่ทุกบ้านทุกองค์กรต้องมีไว้ใช้บริการในการติดต่อสื่อสารกับโลกภายนอก การติดต่อสื่อสารทั่วโลกกลายเป็น เครือข่ายโปรโตคอล TCP/IP ขนาดมหึมาประกอบด้วยเครื่องคอมพิวเตอร์หลายพันล้านเครื่อง เครื่องคอมพิวเตอร์เหล่านี้มีการต่อเชื่อมโยงถึงกัน ผ่านเครือข่ายใยแก้วนำแสงความเร็วสูงซึ่งสามารถส่งข้อมูลข้ามโลกได้ภายในพริบตา ดังนั้น ภัยอินเทอร์เน็ตก็สามารถโจมตีเครือข่ายของเราได้อย่างรวดเร็วเช่นกัน สังเกตุจากแนวโน้มความเสียหายที่เกิดจากไวรัสคอมพิวเตอร์ในอดีตอาจใช้เวลาเป็นวันในการโจมตี แต่ในปัจจุบันนั้น ไวรัสใช้เวลาแค่ไม่กี่นาทีก็สามารถกระจายไปได้ทั่วโลก ขณะที่ไวรัสกำลังกระจายตัวสร้างความเสียหายให้กับระบบของเรานั้น หลายครั้งที่บริษัทผู้ผลิตไวรัสยังไม่มี “Virus Signature” หรือโปรแกรมกำจัดไวรัสที่สามารถปราบไวรัสเหล่านั้นได้ ช่วงเวลาอย่างนี้ในทางเทคนิคเราต้องป้องกันโดยวิธีที่เรียกว่า “Outbreak Prevention” กล่าวคือ เราต้องรีบหาข้อมูลการทำงานของไวรัสให้เร็วที่สุด เมื่อเข้าใจว่าไวรัสทำงานอย่างไร เช่น ใช้ Port TCP หรือ Port UDP อะไรในการแพร่กระจายไวรัสไปยังคอมพิวเตอร์ตัวอื่น ๆ เราก็สามารถป้องกันระบบของเราโดยปิด Port อันตรายที่ไวรัสใช้ในการแพร่พันธ์เสีย ซึ่งเราสามารถปิดได้หลายที่เช่น ปิดที่ Border Router โดยเขียนเป็น ACL (Access Control List) ปิดที่ Firewall หลักขององค์กรโดยแก้ไข Firewall Rule เพิ่มเติมหรือ ปิดที่ Personal Firewall ที่ติดตั้งอยู่ในเครื่องลูกข่าย (Client/Workstation) ดังแนวคิด”End-Node Security” หรือ “Client Security” เป็นต้น
จะเห็นได้ว่าหัวใจสำคัญของระบบความปลอดภัยข้อมูลคอมพิวเตอร์นั้นอยู่ที่ความสามารถขององค์กรในการแก้ปัญหาที่เกิดขึ้นกับระบบอย่างทันท่วงที ซึ่งเราเรียกว่า “Incident Response” จากตัวอย่างเรื่องไวรัสข้างต้นพบว่า ยิ่งเรารู้ข้อมูลข่าวสารเรื่องไวรัสเร็วเท่าใด เราก็สามารถป้องกันระบบของเราได้มีประสิทธิภาพมากขึ้นเท่านั้น แม้ว่ายังไม่มีโปรแกรมกำจัดไวรัสออกมาให้เราใช้ เราก็สามารถผ่อนหนักให้เป็นเบาได้และทำให้องค์กรรอดปลอดภัยจากภัยอินเทอร์เน็ตไร้พรมแดน ดังกล่าว
ดังนั้น แนวคิดใหม่ในการตรวจสอบระบบสารสนเทศหรือ “IT Audit” จึงได้เปลี่ยนจากแนวคิดเดิมได้แก่ “Detect and Correct” เปลี่ยนเป็น “Prevent and Monitor” แนวคิดเดิม ก็คือ ผู้ตรวจสอบสารสนเทศหรือ “IT Auditor” จะเข้ามาตรวจสอบระบบตามช่วงเวลาที่ได้ถูกกำหนดไว้ ทางผู้ตรวจสอบจะตรวจว่าระบบเป็นไปตาม “Best Practice” หรือ “Compliance” ตามมาตรฐานต่าง ๆ หรือไม่ ถ้าระบบยังไม่ Compliance ทางผู้ตรวจสอบก็จะเสนอแนวทางในการแก้ไขปัญหาให้แก่ผู้ที่รับผิดชอบดูแลระบบ แต่ผู้ตรวจสอบจะไม่แก้ไขระบบให้แต่อย่างใด ในทางปฏิบัติ ระบบจึงมักจะไม่ได้รับการแก้ไขที่ถูกต้องและถูกละเลยในบางเรื่อง กว่าจะรู้อีกทีก็ต้องรอให้ผู้ตรวจสอบ มาตรวจใหม่ในครั้งหน้า หรือ ระบบอาจล่มเพราะถูกโจมตีจากแฮกเกอร์หรือ ไวรัส แล้วจึงค่อยรู้ตัวว่าการตรวจสอบระบบที่ผ่านมานั้นไม่ได้ผลอย่างที่ควรจะเป็น การตรวจสอบระบบสารสนเทศปีละครั้ง หรือปีละ 2 ครั้ง ก็ยังถือว่า “ไม่เพียงพอ” ต่อสถานะการณ์ความปลอดภัยข้อมูลในปัจจุบัน กล่าวคือช่องโหว่ หรือ Vulnerability ของระบบที่เราใช้อยู่ไม่ว่าจะเป็นอุปกรณ์เครือข่าย เครื่องแม่ข่ายที่ใช้ Windows หรือ UNIX/LINUX มีจำนวนช่องโหว่เพิ่มขึ้นอยู่ตลอดเวลา ยกตัวอย่าง ระบบ Windows จะเกิดช่องโหว่ประมาณ 5 ถึง 10 ช่องโหว่ในแต่ละเดือน ขณะที่ระบบ UNIX/LINUX และ อุปกรณ์เครือข่ายเช่น Cisco Router/Switching ก็ล้วนมีช่องโหว่ โดยทางการของสหรัฐอเมริกาจะสรุปไว้ที่ Web Site http://www.cert.org เพื่อเตือนให้ผู้ใช้งานระบบดังกล่าวต้องคอยระวังและรีบติดตั้ง “Patch” เพื่อปิดช่องโหว่ ดังกล่าวให้เร็วที่สุด
ระบบจัดการบริหารตรวจสอบช่องโหว่ หรือ “Vulnerability Management System” เป็นแนวคิดใหม่ในการจัดการบริหารความเสี่ยงด้านสารสนเทศ (IT Risk Management) ให้ได้ผลในลักษณะ “Proactive Security Management” หมายถึง เราไม่ต้องรอให้แฮกเกอร์หรือไวรัสเข้ามาโจมตีระบบเราก่อนแล้วค่อยแก้ไข เพราะผลเสียหายที่เกิดขึ้นอาจประเมินค่าได้ยาก บางทีอาจแก้ไขไม่ได้เลยก็มี ทำให้เกิดผลกระทบกับองค์กรอย่างชัดเจนโดยเฉพาะองค์กรที่ไม่มีแผนรับเหตุการณ์ฉุกเฉินที่อาจเกิดขึ้นเมื่อใดก็ได้ (Incident Response Planning)
ระบบ “Vulnerability Management System” มีหน้าที่ตรวจสอบช่องโหว่ของระบบในลักษณะ “Continuous Audit” หมายถึง ตรวจสอบระบบอยู่ตลอดเวลาอย่างสม่ำเสมอ ยกตัวอย่างเช่น ตรวจสอบวันละ 2 ครั้ง เช้าหนึ่งรอบ และเย็นหนึ่งรอบ เป็นต้น เพราะช่องโหว่ของระบบนั้นอาจเกิดขึ้นวันละสองช่องโหว่ขึ้นไปก็เป็นไปได้และเคยมีมาแล้ว ถ้าเราทราบถึงช่องโหว่ของระบบเราก่อนที่จะเกิดการโจมตีของแฮกเกอร์ หรือ ไวรัส เราก็สามารถที่จะแก้ปัญหาได้ทันท่วงที โดยปกติแล้วระบบ Vulnerability Management System จะเชื่อมโยงกับระบบบริหารจัดการปิดช่องโหว่ หรือ “Patch Management System” ซึ่งมีหน้าที่ในการติดตั้ง “Service Pack”, “Patch” หรือ “Hot-Fix” ในการแก้ไขปิดช่องโหว่ที่ถูกค้นพบ และทำให้ลดความเสี่ยงที่มีอยู่ หากเราไม่รีบแก้ไขก็อาจเกิดผลเสียกับระบบได้ตลอดเวลา ในความเป็นจริงระบบสารสนเทศในปัจจุบัน กว่า 50% ล้วนถูกเจาะระบบด้วยช่องโหว่เก่า ๆ ที่เคยถูกค้นพบและแจ้งให้ทราบมาระยะเวลาหนึ่งแล้ว เช่น ช่องโหว่ Microsoft SQL Server Engine ที่ถูกแจ้งล่วงหน้ามาหลายเดือน เมื่อไวรัส Slammer ออกมาโจมตีก็ยังมีระบบที่ยังไม่ได้ “Patch” ตกเป็นเหยื่อจำนวนมาก ไม่ใช่ว่าผู้ดูแลระบบจะไม่ทราบเรื่องช่องโหว่นี้ แต่หลายคนยังไม่ได้จัดการติดตั้ง “Patch” ให้เรียบร้อย และ โดยมากผู้บริหารระดับสูงมักจะไม่ทราบรายงานว่าระบบขององค์กรกำลังตกอยู่ในความเสี่ยง การนำระบบ “Vulnerability Management System” มาใช้ เปรียบเสมือนการตรวจสอบ (Audit) ผู้ดูแลระบบ หรือ “System Administration” ว่าได้ทำหน้าที่ด้านการรักษาความปลอดภัยและลดความเสี่ยงให้กับระบบอย่างทันท่วงทีหรือไม่ โดยผู้บริหารระดับสูงสามารถดูรายงานสรุปจากระบบ “Vulnerability Management System” ได้ตลอดเวลาและสามารถเปรียบเทียบกับผลการติดตั้ง “Patch” จากระบบ “Patch Management System” ว่าได้มีการดำเนินการปิดช่องโหว่ของระบบไปแล้วกี่เปอร์เซ็นต์ ยังคงเหลือระบบที่มีความเสี่ยงอีกเป็นจำนวนเท่าไร เป็นต้น
ถึงแม้ว่าเราจะมีทั้งระบบ “Vulnerability Management System” และระบบ “Patch Management System” ก็ไม่ได้หมายความว่าระบบสารสนเทศของเราจะไม่มีความเสี่ยง เพราะถึงอย่างไร ความเสี่ยงก็ไม่มีทางเป็นศูนย์ได้ เมื่อความเสี่ยงยังคงหลงเหลืออยู่เราก็ต้องเตรียมแผนรับเหตุการณ์ฉุกเฉินให้สามารถแก้ไข และ กู้ระบบ กลับคืนมาเป็นปกติให้เร็วที่สุดเท่าที่จะทำได้ เพราะต้องการลด “Down time” ให้ต่ำที่สุด ดังนั้นเราจึงต้องคอยเฝ้าระวังดูแลความปลอดภัยของระบบอยู่ตลอดเวลา ซึ่งในปัจจุบันองค์กรทั่วโลกเริ่มนิยมใช้บริการ “IT Security Outsourcing” จาก MSSP หรือ “Managed Security Services Provider” กันมากขึ้นเพราะช่วยประหยัดค่าใช้จ่ายให้แก่องค์กรโดยรวมได้ โดยองค์กรสามารถควบคุมคุณภาพของ MSSP โดยกำหนด SLA (Service Level Agreement) ที่รัดกุม และ ชัดเจน ก็จะช่วยให้การทำงานร่วมกันระหว่างองค์กรและ MSSP เป็นไปอย่างราบรื่น และมีประสิทธิภาพในที่สุด
จาก : หนังสือ eWeek Thailand
ประจำเดือน ปักษ์หลัง เดือนกุมภาพันธ์ 2548
Update Information : 3 มีนาคม 2548