14
เทคโนโลยีการป้องกันความปลอดภัยข้อมูลสารสนเทศล่าสุดที่คุณควรรู้
14
IT Security Technology Update
ปริญญา
หอมเอนก , CISSP, CISA , SANS GIAC
GCFW
ACIS Professional Center
ตุลาคม
2549
ในปัจจุบันและอนาคตเทคโนโลยีความปลอดภัยข้อมูลสารสนเทศใหม่
ๆ
ได้ทยอยออกสู่ตลาดด้านความปลอดภัยข้อมูลสารสนเทศอย่างต่อเนื่องเพื่อตอบรับกับภัยอินเทอร์เน็ตและเทคนิคการโจมตีของแฮกเกอร์แบบใหม่ ทำให้ผู้บริหารระบบความปลอดภัยต้องศึกษาเคราะห์และเลือกใช้เทคโนโลยีที่มีความเหมาะสมกับระบบสารสนเทศ
และกระบวนการทางธุรกิจขององค์กร
เพื่อป้องกันระบบให้มีความมั่นคงปลอดภัยจากอาชญากรคอมพิวเตอร์และ MalWare (Malicious Software) ต่าง ๆ ที่เพิ่มขึ้นเป็นทวีคูณในช่วงสองสามปีที่ผ่านมาและมีแนวโน้มที่จะเพิ่มขึ้นอีกในปีต่อ
ๆ ไป ดังนั้นผู้บริหารระดับสูงตลอดจนผู้บริหารระบบสารสนเทศขององค์กรไม่ว่าจะเป็น CIO
หรือ IT Manager ก็ควรที่จะศึกษาและทำความเข้าใจกับเทคโนโลยีการป้องกันความปลอดภัยข้อมูลใหม่
ๆ เพื่อเป็นข้อมูลประกอบการตัดสินใจในการจัดซื้อเทคโนโลยีดังกล่าว เพื่อให้เกิดประโยชย์สูงสุดกับองค์กรและคุ้มค่ากับการลงทุนในมุมมองของค่า ROI
(Return on Investment ) เพราะหากผู้บริหารตัดสินใจผิดพลาดในการเลือกเทคโนโลยีที่ไม่เหมาะสมและยังไม่สามารถใช้งานได้จริง
ก็จะส่งผลกระทบให้องค์กรเกิดปัญหาด้านความปลอดภัยข้อมูลอย่างหลีกเลี่ยงไม่ได้
14 เทคโนโลยีการป้องกันความปลอดภัยข้อมูลสารสนเทศล่าสุด
มีรายละเอียดดังนี้
1. Network Access Control (NAC) หรือ Endpoint Security
หลายองค์กรได้มีการติดตั้ง Firewall, Anti-Virus Software รวมทั้งระบบ Patch Management ตามหลักการด้านการรักษาความปลอดภัยข้อมูลสารสนเทศอย่างถูกต้องแต่ผู้เกิดปัญหาความปลอดภัยขึ้น
เช่น มีการติด Virus หรือ Worm ในระบบ LAN
ทำให้ระบบเกิดปัญหา Denial of Service (DoS)
ซึ่งส่งผลกระบบโดยตรงต่อ Infrastructure
ของระบบเช่น Core Switching ทำให้เกิดแนวคิดในการป้องกันระบบในแนวทาง
"ให้คนดีเข้าระบบได้ และขณะเดียวกัน คนมุ่งร้ายไม่ให้เข้าระบบ" หมายถึง
ระบบ NAC จะทำการตรวจสอบผู้ที่ต้องการเข้าระบบว่าเป็นคนที่มีสิทธิในการเข้าระบบหรือไม่โดยใช้วิธีการ
Authertication กับอุปกรณ์เครือข่ายที่นิยมใช้โปรโตคอล
IEEE 802.1X ตลอดจนยังตรวจสอบสุขภาพของเครื่องลูกข่ายว่าเป็นไปตามนโยบายความปลอดภัยขององค์กรหรือไม่ก่อนที่จะให้เครื่องลูกข่ายเข้าสู่ระบบ
เช่น มีการตรวจ Anti-Virus Signature ว่ามีการ Update
ล่าสุดหรือไม่ มีการตรวจสอบ Patch ของ Windows
ว่าล่าสุดและเพียงพอหรือไม่ รวมทั้งตรวจสอบว่าเครื่องลูกข่ายมีการติดตั้ง
Personal Firewall ที่เหมาะสมหรือไม่
หากไม่เป็นไปตามนโยบายก็จะโยกเครื่องลูกข่ายนั้นไปยังเขตกักกัน (Quarantine
Zone) หรือไม่อนุญาติให้เข้าระบบจนกว่าเครื่องลูกข่ายจะมีการปรับปรุงความปลอดภัยให้เพียงพอตามนโยบายขององค์กร
2. Web Application and Source Code
Vulnerability Security Scanner
เป็นที่ทราบกันโดยทั่วไปแล้วว่าการโจมตีของแฮกเกอร์นั้นเปลี่ยนมุมมองจาก
Network Layer Attack มาเป็น Application Layer
Attack โดยเฉพาะ Web Application Attack ตามวิธีการทั้งสิบแบบของ
Open Web Application Security Project (www.owasp.org) ยกตัวอย่าง
เช่น วิธีการที่แฮกเกอร์นิยมใช้มากที่สุดในการโจมตี
Web Site ต่าง ๆ คือ วิธี "SQL injection" เป็นต้น
การตรวจสอบช่องโหว่ของ
Web Server และ Web Application จึงเป็นเรื่องสำคัญที่องค์กรจะมองข้ามไม่ได้โดยการใช้เทคโนโลยี
Web Application Vulnerability Scanner ตรวจสอบในระดับหนึ่งจากนั้น
ควรจ้าง External Auditor ที่เรียกตนเองว่า "Penetration
Tester" มาช่วยตรวจสอบในเชิงลึกเพิ่มจากการใช้ Web
Application Scanner อีกทีหนึ่ง
สำหรับการตรวจสอบ
Source Code ของ Web Application ก็มีเทคโนโลยีออกวางจำหน่ายในตลาดแล้วเช่นกัน
โดยมักจะเชื่อมกับกระบวนการในการพัฒนา Application Software ที่เรารู้จักกันดีคือ
Software Development Life Cycle" (SDLC)
องค์กรอาจไม่จำเป็นต้องจัดซื้อ Web Application Vulnerability
Security Scanner แต่สามารถใช้เป็นการจ้างบริการ (Outsource
Service) ได้ รวมถึงการจ้างทำ "Black-Block
Penetration Testing" ยกตัวอย่าง เช่น
ธนาคารแห่งประเทศไทยมีข้อกำหนดให้ธนาคารพาณิชย์ทุกธนาคารต้องมีการทำ
"Penetration Testing" ก่อนให้บริการ High Risk
Service เช่น บริการธนาคารทางอินเทอร์เน็ต (Internet
Banking) เป็นต้น
3. Database Security and Database Activity
Monitor
หลังจากกฏหมายและกฏข้อบังคับต่าง
ๆ เริ่มเข้ามามีบทบาทสำคัญในโลกไอที ยุค "Regulatory Compliance"
ไม่ว่าจะเป็น Sarbanes - Oxley Act (SOX) หรือ
Payment Card Industry (PCI) Data Security Standard ได้มีข้อกำหนดระบุเรื่องความสำคัญของ
การรักษาความปลอดภัยของระบบฐานข้อมูล (Databese
Security) ซึ่งสามารถใช้เทคโนโลยีต่าง ๆ เช่น Database
Security Vulnerability Scanner เพื่อตรวจสอบช่องโหว่ของระบบฐานข้อมูล
หรือ Database Encryption เพื่อเข้ารหัสข้อมูลที่เก็บในระบบฐานข้อมูล
เป็นต้น การใช้ Database Security Scanner จะแตกต่างจากการใช้
Vulnerability Security Scanner โดยจะมีรายละเอียดในการตรวจสอบ
Database มากกว่าและเจาะลึก Database Vulnerability มากกว่า Vulnerability Scanner ทั่วไป
สำหรับ
Database
Activity Monitor นั้นเป็นหลักการของการตรวจสอบแบบต่อเนื่อง (Continuous
Audit) คือ คอยจับตาเฝ้าระวัง Activity ต่าง ๆ
ใน Database จาก Log file ของระบบ Database
จากนั้น นำ Log file มาวิเคราะห์ว่ามีเหตุการณ์ผิดปกติเกิดขึ้นกับ
Database หรือไม่ ถ้ามีก็จะรีบแจ้งเตือนผู้บริหารระบบฐานข้อมูลหรือ
DBA โดยเร่งด่วน
เพื่อป้องกันและแก้ไขปัญหาด้านความปลอดภัยต่อไป
4. Converged Client Security Technology
หมายถึง การรวมกันของ 3 เทคโนโลยีภายในผลิตภัณฑ์เดียว
ได้แก่ เทคโนโลยี Anti-Virus, Anti-Spyware และ Personal Firewall ในบางผลิตภัณฑ์อาจรวมถึงเทคโนโลยี
Host-Based Intrusion Prevention System (HIPS) ด้วย เหตุผลก็คือการใช้ Anti-Virus Software อย่างเดียวนั้น
ถือว่าไม่เพียงพอต่อการป้องกันภัยอินเทอร์เน็ตในยุคนี้ องค์กรมีความจำเป็นต้องใช้ Anti-Spyware Software และ Personal Firewall
Software เพิ่มเติมเพื่อเพิ่มระดับของความปลอดภัยของเครื่องลูกข่าย
(client security) มากขึ้น
ความเปลี่ยนแปลงครั้งใหญ่ของอุตสาหกรรมที่เราเห็นได้ชัดเจนคือ
บริษัทผู้ผลิต Anti-Virus
Software หลายราย ได้รวมเทคโนโลยีดังกล่าวเข้าด้วยกันเป็นผลิตภัณฑ์เดียวเพื่อง่ายต่อการบริหารจัดการและเพิ่มประสิทธิภาพในการป้องกันระบบได้ดียิ่งขึ้น
5. Instant Messaging (IM) and Peer-to-peer
(P2P) Security
การโจมตีของไวรัสและวอร์มในปัจจุบัน
มีการเปลี่ยนแปลงเพิ่มเติมจากการโจมตีจากทางอิเล็คโทรนิคส์เมล์
(email attack) ที่ไวรัสมักจะมากับ Attached
File และ การโจมตีจากการที่เราดาวน์โหลดไฟล์ของไวรัสผ่านทางโปรโตคอล
http หรือทาง Web Site ต่างๆ
มาเป็นการโจมตีเพิ่มขึ้นอีกทางการใช้งาน Instant Messaging (IM) เช่น MSN หรือ Yahoo Messenger และ การใช้โปรแกรมดาวน์โหลดยอดนิยมแบบ Peer to Peer (P2P) เช่น Bittorrent หรือ Limewire ไวรัสและวอร์มจะอาศัยช่องทางทั้ง IM และ P2P ในการแพร่กระจายตนเองโดยอาศัยเทคนิค "Social
Engineering" ซึ่งมักจะส่งไฟล์มาหลอกผู้ใช้โดยใช้ชื่อไฟล์ที่สื่อไปทางที่ผู้ใช้คอมพิวเตอร์ให้ความสนใจเพื่อผู้ใช้หลงเข้าใจผิดก็จะดาวน์โหลดไฟล์ดังกล่าวมายังเครื่องคอมพิวเตอร์ทำให้ติดไวรัสได้อย่างง่ายดาย
เทคโนโลยี
IM และ P2P Security จะช่วยในการควบคุมการใช้งาน IM
และ P2P ให้อยู่ในกฏระเบียบ
Security Policy ขององค์กรหากผู้ใช้คอมพิวเตอร์ไม่ปฏิบัติตาม
ระบบ IM และ P2P Security มีความสามารถในการ
"Block" ผู้ใช้งานได้ตามกฏเกณฑ์ที่ได้ตั้งไว้ตามนโยบายความปลอดภัยของบริษัท
ดังนั้นกฏระเบียบนโยบายในการใช้งานระบบคอมพิวเตอร์และเครือข่ายอย่างปลอดภัยนั้นมีความสำคัญอย่างยิ่งยวดในการรักษาความปลอดภัยข้อมูลสารสนเทศที่ผู้บริหารระดับสูงทุกองค์กรต้องใส่ใจอย่างจริงจังและเป็นผู้นำในการปฏิบัติเองเสียก่อน
เพื่อเป็นตัวอย่างที่ดี ต่อพนักงานในองค์กร
6. Security Information and Event
Management (SIEM)
เทคโนโลยีการวิเคราะห์ Log จากอุปกรณ์ไอทีต่าง ๆ
ในองค์กรเพื่อให้เห็นสัญญาณของบุกรุกแบบ Proactive ได้แก่ SEM (Security
Event Management) ส่วนเทคโนโลยีในการวิเคราะห์และนำเสนอข้อมูลในรูปแบบรายงานเพื่อให้ผู้บริหารระบบสารสนเทศได้ทราบถึงปัญหาด้านความปลอดภัยอย่างทันท่วงที
ได้แก่ SIM (Security Information Management) ในปัจจุบันได้มีการรวมเทคโนโลยีเข้าด้วยกันเรียกว่า
(SIEM) Security Information and Event Management ซึ่งสอดคล้องกับกฏหมายและกฏข้อบังคับในมุมมองของ Regulatory
Compliance ต่าง ๆ ด้วย
ขณะที่ร่างกฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ของประเทศไทยมาตรา 24
ได้กำหนดให้ผู้ให้บริการระบบต้องเก็บข้อมูลจราจรของระบบหรือ Log File ไว้ไม่ต่ำกว่า 30 วัน
เพื่อใช้ในการวิเคราะห์พิสูจน์หลักฐานทางคอมพิวเตอร์ (Computer Forensic) จากทางฝ่ายยุติธรรม ประโยชน์ของ SIEM นั้นไม่ใช่แค่เพียง
"Comply" ตามกฏหมายแต่จะทำให้องค์กรได้รู้ล่วงหน้าถึงการโจมตีระบบก่อนที่แฮกเกอร์จะสามารถบุกรุกได้สำเร็จหรือ หากแฮกเกอร์เข้าสู่ระบบได้องค์กรสามารถรู้ได้
ในเวลาอันรวดเร็วเพื่อลดผลกระทบที่จะเกิดขึ้นจากการโจมตีของแฮกเกอร์
เทคโนโลยี
SIEM ถือเป็นนวัตกรรมในการป้องกันระบบเครือข่ายคอมพิวเตอร์ที่น่าสนใจแต่ยังต้องการผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลเข้ามา
"Customize" หรือปรับแต่งการใช้งานเทคโนโลยี
SIEM ให้เกิดประสิทธิภายให้กับองค์กรได้มากที่สุด
7. Data-at-Rest Encryption Appliance
ถือเป็นนวัตกรรมใหม่ล่าสุดด้าน Storage Security โดยหลักการทำงานของ
Data-at-Rest Encryption Security Appliance จะถูกนำมาวางขวางระหว่าง
Host หรือ Server และ Storage ไม่ว่าจะเป็น NAS หรือ SAN เพื่อทำการเข้ารหัสข้อมูลในลักษณะ
"Real-time" หรือ "On-The-Fly" ระหว่าง Server และ Storage เพื่อป้องกันความปลอดภัยของข้อมูลในมุมมองของความลับของข้อมูล
(Confidentiality) เพื่อไม่ให้แฮกเกอร์หรือผู้ไม่หวังดีแอบนำข้อมูลใน
Storage ของเราไปใช้ โดยข้อมูลที่อยู่ใน Storage จะถูกเข้ารหัสทั้งหมดและต้องถูกถอดรหัสผ่านทาง Key ที่เก็บอยู่ใน
Data-at-Rest Encryption Appliance เท่านั้นถึงจะถูกนำกลับมาเป็นข้อมูลปกติได้
การเข้ารหัสข้อมูลในระดับ Storage นั้นเป็นข้อกำหนดของกฎหมายจึงถือเป็นการ
Comply ตาม Regulatory Compliance ด้วย
8.
Content Monitoring and Filtering
ปัญหาใหม่ทางด้านความปลอดภัยขององค์กรวันนี้และอนาคต
คือ ปัญหาเรื่องข้อมูลรั่วไหลออกจากองค์กรอย่างไม่ถูกต้องผ่านทางอินเทอร์เน็ต ดังนั้น
องค์กรควรมีการเฝ้าระวังข้อมูลเข้า-ออก
จากองค์กรว่ามีข้อมูลที่สำคัญหรือเป็นความลับรั่วไหลออกจากองค์กรหรือไม่
ในทางเทคนิค เรียกว่า Extrusion Detection ซึ่งแตกต่างจาก Intrusion
Detection ที่เรารู้จักกันดีอยู่แล้ว เทคโนโลยี Content
Monitoring and Filtering จะคอยเฝ้าตรวจสอบกระแสข้อมูลที่ผ่านทางระบบเครือข่ายและระบบอินเทอร์เน็ต
โดยจะทำการวิเคราะห์ลักษณะของข้อมูลว่าอยู่ในข่ายข้อมูลที่ไม่อนุญาตให้รับ-ส่งตามเงื่อนไขที่กำหนดไว้ในนโยบายหรือกฎเกณฑ์ที่ทางองค์กรได้กำหนดขึ้น
โดยปกติเทคโนโลยีนี้จะถูกนำไปใช้เกี่ยวกับการป้องกันทรัพย์สินทางปัญญา
(Intellectual Property) แต่สามารถนำไปประยุกต์ใช้ในการตรวจสอบข้อมูลรั่วไหล
เช่น สามารถตรวจสอบได้ว่ามีคนในองค์กรพยายามที่จะขโมยข้อมูลความลับทางธุรกิจขององค์กรผ่านทางอินเทอร์เน็ตหรือไม่
เป็นต้น
อย่างไรก็ตาม
หากผู้ไม่หวังดีต้องการขโมยข้อมูลจริงๆแล้ว ก็สามารถทำได้จากทางอื่นๆ เช่น
การสำเนาข้อมูลเก็บเข้า
9.
Digital Right Management (DRM)
Digital
Right Management (DRM) เป็นเทคโนโลยีที่กำลังได้รับความนิยมเพิ่มขึ้น
เนื่องจากปัญหาเรื่องการขโมยความลับขององค์กร และ การละเมิดทรัพย์สินทางปัญญา เช่น
การแอบขโมยสำเนา เพลง หรือ ภาพยนตร์โดยไม่ถูกต้องตามลิขสิทธิ์ เทคโนโลยี DRM จะทำหน้าที่ในการป้องกันการลักลอบขโมยข้อมูล โดยไม่ได้รับอนุญาต
ไม่ว่าจะตั้งใจหรือ ไม่ตั้งใจ (เกิดจากโปรแกรมโทรจันเป็นตัวจัดการ)
โดยสามารถเตือนให้ทราบว่ามีผู้ละเมิดกำลังสำเนาข้อมูลดังกล่าว หรือ หยุดการกระทำของผู้ละเมิดได้โดยอัตโนมัติ
ในปัจจุบันเทคโนโลยี DRM
สามารถทำงานร่วมกับระบบฮาร์ดแวร์ของเครื่องคอมพิวเตอร์ที่ใช้เทคโนโลยีของ Trusted
Computing Group (TCG) ที่เก็บรหัสผ่าน หรือ Digital
Certificate ไว้ในฮาร์ดแวร์ชิพที่เรียกว่า TPM chip หรือ Trusted Platform Module chip เพื่อให้เกิดความปลอดภัยกับข้อมูลสารสนเทศเพิ่มขึ้นในอีกระดับหนึ่ง
10.
Trusted Computing Platform
เกิดจากการริเริ่มของบริษัทยักษ์ใหญ่ ได้แก่ Intel, AMD, IBM,
Microsoft, HP, Sun และ Infineon ที่เรียกกลุ่มของตนเองว่า
Trusted Computing Group หรือ TCG โดยมีวัตถุประสงค์ต้องการให้เป็นมาตรฐานกลางของอุตสาหกรรมฮาร์ดแวร์ที่ช่วยส่งเสริมให้ระปฏิบัติการหรือ
Operating System มีความปลอดภัยมากยิ่งขึ้นจากการทำงานร่วมกันระหว่างซอฟท์แวร์และฮาร์ดแวร์ที่เป็นไปตาม
Specification ของ TCG ที่เรียกว่า Trusted Computing Platform
ซึ่งจะครอบคลุมถึง Server, PC Client, Mobile Device และ Storage โดยอาศัยชิพที่ออกแบบมาเฉพาะในการทำงานตามข้อกำหนดของ
TCG คือ TPM (Trusted Platform Module) chip ซึ่งในปัจจุบันผู้ผลิตฮาร์ดแวร์ เช่น ผู้ผลิต Notebook ใช้
TPM Chip ใน Version 1.1 และ 1.2 เป็นต้น
เราสามารถพบเห็นการนำ TPM Chip
มาใช้ในอุปกรณ์รุ่นใหม่ๆ ที่มีเทคโนโลยีการเข้ารหัสข้อมูลในระดับฮาร์ดแวร์เพื่อป้องกันการสำเนาข้อมูลโดยตรงจากฮาร์ดดิสค์
หรือ ป้องกันการทำ Forensic พิสูจน์หลักฐานทางคอมพิวเตอร์
ซึ่งจะทำให้การทำ Forensic นั้นทำได้ยากขึ้นกว่าเก่า
เพราะกุญแจที่ใช้การเข้ารหัสข้อมูลนั้นถูกเก็บใน TPM Chip ทำให้ยากแก่การถอดรหัส หากไม่ใช่เจ้าของกุญแจที่รู้รหัสผ่านในการเข้าถึงข้อมูล
เทคโนโลยี
Trusted Computing Platform
ยังถือว่าเป็นเทคโนโลยีใหม่ที่ต้องรอฮาร์ดแวร์และซอฟแวร์ระบบปฏิบัติการใหม่ๆเช่น Microsoft
11. URL Filtering
การป้องกันไม่ให้ผู้ใช้อินเตอร์เน็ตในองค์กรเข้าเว็ปไซต์ที่ไม่เหมาะสมกำลังได้รับความนิยมเพิ่มขึ้นในหลายๆองค์กร
เทคโนโลยี URL Filtering มีหน้าที่ในการปิดกั้นเว็บไซต์ที่ไม่ปลอดภัยและไม่เหมาะสม
โดยมีการกำหนดประเภทของเว็บไซต์ต่างๆออกเป็นหลายประเภท เช่น เว็บภาพโป๊, เว็บสปายแวร์,
เว็บการพนัน เป็นต้น
เทคโนโลยี URL Filtering ยังมีประโยชน์ในการเตือนหรือตรวจสอบผู้ใช้งานอินเตอร์เน็ตที่ไม่ประพฤติปฏิบัติตามนโยบายด้านความปลอดภัยและกฎระเบียบขององค์กร
(Security Policy) โดยสามารถออกรายงานสรุปการใช้งานอินเตอร์เน็ตของผู้ใช้อินเตอร์เน็ตในองค์กรซึ่งผู้ตรวจสอบสามารถตามร่องรอยในการเข้าเว๊ปไซต์ต่างๆของผู้ใช้งานอินเตอร์เน็ตในองค์กรได้อย่างง่ายๆ จากรายงานสรุปดังกล่าว
ปัญหาของเทคโนโลยี
URL Filtering ก็คือ มีการตอบสนองผู้ใช้งานอินเตอร์เน็ตค่อนข้างช้ากว่าการใช้งานปกติถ้าหากออกแบบระบบไม่ดี
และมีปัญหาที่ผู้ใช้งานอินเตอร์เน็ตยังไม่เข้าใจวัตถุประสงค์ที่แท้จริงขององค์กรในการปิดกั้นเว็ปไซต์ต่างๆ ดังนั้นควรทำ Security Awareness
Training ก่อนเพื่อให้ผู้ใช้ร่วมมือปฏิบัติเพื่อความปลอดภัยขององค์กรในที่สุด
การปิดกั้นเว๊บไซด์โดยดูจาก
URL ที่อยู่ในฐานข้อมูลของระบบ URL Filtering
นั้นสามารถเพิ่มประสิทธิภาพในการตรวจจับไวรัสและมัลแวร์ต่างๆ
โดยการใช้เทคโนโลยี Content Filling เข้ามาเพิ่มเติมในการตรวจสอบเชิงลึกในระดับคอนเท็นท์ เพื่อแก้ปัญหาเรื่องไวรัสและมัลแวร์
ตลอดจนช่วยประหยัด Bandwidth ในการใช้งานอินเตอร์เน็ตให้องค์กร
และ ยังเพิ่มประสิทธิภาพในการทำงานของพนักงานอีกด้วย
12. Spam Filtering
ปัญหา Spam Mail เป็นปัญหาอันดับหนึ่งด้านความปลอดภัยข้อมูลขององค์กรวันนี้ เพราะเราต้องเจอกับ Spam Mail
แทบทุกวันที่เราเปิดอิเล็คโทรนิคส์เมล์อ่าน
หากเราไม่มีเทคโนโลยี Spam Filtering จะทำให้เรามีโอกาสติดไวรัส มัลแวร์ หรือ ตกเป็นเหยื่อพวกสแปมเมอร์
ตลอดจนผู้ไม่หวังดีที่ใช้เทคนิค Phishing และ Pharming ในการโจมตีองค์กรโดยอาศัยอิเล็คโทรนิคส์เมล์เป็นสื่อ
เทคโนโลยี
Spam Filtering มีมานานหลายปีแล้ว และในปัจจุบันก็มีหลายผู้ผลิตให้เลือก โดยระบบ Spam
Filtering ที่ดีควรมีความแม่นยำในการคัดเลือกระหว่าง Spam eMail กับ eMail
ปกติ ตลอดจนควรมีเทคโนโลยีในการป้องกัน DHA (Directory
Harvest Attack) ที่มีประสิทธิภาพ และ มีการปรับปรุงฐานข้อมูลของสแปมเมอร์ให้ทันสมัยอยู่เสมอโดยสามารถตั้งรายชื่อ
White List และ
Black List ได้ รวมถึงมีระบบ Anti-virus ทำงานร่วมด้วยในการกำจัดไวรัสและมัลแวร์ต่างๆ
ดังนั้นการเลือกเทคโนโลยี Anti-virus ร่วมกับ Anti-SPAM
ก็เป็นเรื่องสำคัญที่ต้องคำนึงถึงด้วยในการใช้งานเทคโนโลยี Spam
Filtering
13. Vulnerability Management (VM) และ Patch
Management (PM)
เทคโนโลยี Vulnerability Management นั้น
ประยุกต์มาจากเทคโนโลยี การประเมินช่องโหว่ของระบบที่เรียกว่า Vulnerability
Assessment หรือ VA โดยการตรวจสอบระบบว่าระบบยังคงมีช่องโหว่ที่ก่อให้เกิดความเสี่ยงหรือไม่
เช่น ตรวจสอบว่าเครื่องคอมพิวเตอร์แม่ข่ายยังคงมีช่องโหว่ที่ยังไม่ได้รับการแก้ไข
เช่น การติดตั้ง Patch หรือ การ Hardening หรือไม่ เป็นต้น
จะเห็นว่าเทคโนโลยี
Vulnerability
Management นั้นมีความสลับซับซ้อนกว่าเทคโนโลยี Vulnerability
Assessment โดยมีการนำหลักการ Configuration Management และ Policy Compliance เข้ามาร่วมด้วยเทคโนโลยี Vulnerability
Management ที่ดีควรมีระบบ Workflow ในการติดตามจัดลำดับงานที่มีวัตถุประสงค์ในการปิดช่องโหว่ที่ได้จากการตรวจสอบของ
Vulnerability Scanner และ สามารถตรวจสอบระบบว่าเป็นไปตามกฎข้อบังคับขององค์กร
ตลอดจนกฎหมายที่เกี่ยวข้องในแนวทางของ Regulation Compliance และ IT Governance หรือไม่ รวมถึง
การให้คำแนะนำวิธีการแก้ปัญหาโดยระบบ Vulnerability Management ยังไม่สามารถทำให้สมบูรณ์ได้ถ้าไม่มีระบบ Patch Management
หรือ PM ซึ่งจะทำหน้าที่ในการปิดช่องโหว่ให้กับระบบที่องค์กรใช้อยู่
โดยการติดตั้ง Patch ที่จำเป็นให้กับระบบ ยกตัวอย่างเช่น ระบบที่ทำงานภายใต้
Microsoft Windows หรือ Unix/ Linux ตลอดจนอุปกรณ์เครือข่าย
เช่น Switching Router และอุปกรณ์ด้านความปลอดภัย
เช่น Firewall และ IDS/ IPS เนื่องจากอุปกรณ์ดังกล่าวล้วนมีช่องโหว่
(Vulnerability) ที่อาจเกิดขึ้นใหม่ได้เสมอ ดังนั้นระบบ Patch
Management จึงมีความจำเป็นที่องค์กรต้องให้ความสำคัญ
และ ใช้ทำงานร่วมกับระบบ Vulnerability Management
เพื่อให้เกิดประโยชน์สูงสุด
14. Managed Security Services Provider (MSSP)
หมายถึง การใช้บริการ IT Security Outsource จาก ผู้ให้บริการในการบริหารจัดการและเฝ้าระวังความปลอดภัยระบบสารสนเทศ
หรือ Managed Security Services Provider (MSSP) เนื่องจากความจำเป็นขององค์กรในการเฝ้าระวังการโจมตีของผู้ไม่หวังดี
ตลอดจนไวรัสและมัลแวร์ต่างๆ ทำให้การใช้บริการจาก
MSSP ได้รับความนิยมเพิ่มมากขึ้นในช่วงสองสามปีที่ผ่านมา
การใช้บริการจาก MSSP ทำให้องค์กรไม่ต้องลงทุนสูง
และแก้ปัญหาเรื่องการขาดแคลนบุคคลากรผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลคอมพิวเตอร์
ตลอดจนทำให้องค์กร มีการป้องกันตนเองแบบ Proactive หรือ Preventive ทำให้องค์กรรู้ถึงปัญหาที่อาจจะเกิดขึ้นกับระบบก่อนที่ปัญหาจะเกิด เช่นการถูกแฮกเกอร์โจมตี
โดยทราบจากการแจ้งเตือนของ MSSP
ที่เฝ้าระวังระบบให้องค์กรในลักษณะ Real-time Monitoring ทำให้องค์กรสามารถปรับตัวป้องกันภัยที่อาจเกิดขึ้นล่วงหน้าได้อย่างทันท่วงที
กล่าวโดยสรุป เราจะเห็นว่าเทคโนโลยีการป้องกันความปลอดภัยข้อมูลสารสนเทศทั้ง
14 เทคโนโลยีนั้น องค์กรควรนำมาใช้ แต่อาจไม่ได้นำมาใช้ทั้งหมดทั้ง 14 เทคโนโลยี
โดยองค์กรควรจัดลำดับความสำคัญของเทคโนโลยีที่จะนำมาใช้ ยกตัวอย่าง เช่น ควรเริ่มต้นจากเทคโนโลยี
Spam Filtering
และ URL Filling รวมถึง Vulnerability
Management และ Patch
Management ตลอดจนการพิจารณาใช้บริการ IT Security
Outsource จาก MSSP ก็ควรอยู่ในแผนความปลอดภัยระบบสารสนเทศหลักขององค์กร
(IT Security Master Plan) ด้วยเช่นกัน
การประเมินความคุ้มค่าในการใช้งานเทคโนโลยีการป้องกันความปลอดภัยข้อมูลสารสนเทศให้สอดคล้องกับ
Business
Objective และ Governance Objective ตลอดจนเหมาะสมกับรูปแบบการดำเนินงานขององค์กรเป็นเรื่องสำคัญที่ผู้บริหารระดับสูงระบบสารสนเทศต้องพิจารณาอย่างรอบคอบในการตัดสินใจเลือกผลิตภัณฑ์ที่จะนำมาใช้ในองค์กร
เพื่อที่ให้แน่ใจว่าไม่ตัดสินใจผิดพลาด
ซึ่งหมายถึงเม็ดเงินและเวลาที่เสียไปกับการลงทุนกับเทคโนโลยีสมัยใหม่ที่มีทั้งข้อดีและข้อเสียตลอดจนความพร้อมใช้งานของเทคโนโลยีในปัจจุบันขององค์กรก็เป็นอีกปัจจัยหนึ่งที่ผู้บริหารระดับสูงขององค์กรต้องคำนึงถึงด้วยเช่นกัน
เพื่อให้เกิดประสิทธิภาพและความปลอดภัยในระดับที่ได้ มาตรฐานสากลต่อไป