www.cioworldmagazine.com

 Breaking News

ICT Trend Watch (ตอนที่ 35) สิ่งที่ควรรู้สำหรับองค์กรในการรับมือการโจมตีทางไซเบอร์

ICT Trend Watch (ตอนที่ 35) สิ่งที่ควรรู้สำหรับองค์กรในการรับมือการโจมตีทางไซเบอร์
September 05
15:53 2016
ดร.ไพโรจน์ ธรรมศีลสุวรร
ดร.ไพโรจน์ ธรรมศีลสุวรร

NEC Corporation (Thailand) &Technology Coordinator of TTC, JAPAN ผู้เชี่ยวชาญด้านไอทีและการสื่อสาร ผ่านประสบการณ์มากกว่า 10 ปี ดำรงตำแหน่งคณะอนุกรรมการวิจัยวิจัยโทรคมนาคม TRIDI และอาจารย์มหาวิทยาลัยชั้นนำของประเทศ

“ถึงเวลากลับมาพูดถึงเรื่องการรักษาความปลอดภัยข้อมูลขององค์กรอีกครั้ง ซึ่งต้องยอมรับว่าระบบการรักษาความปลอดภัยไม่ว่าจะมีฮาร์ดแวร์ ซอฟต์แวร์ดีแค่ไหน ก็ไม่สามารถมั่นใจได้ถึงความปลอดภัยได้ 100%ผู้บริหารควรต้องกำหนดทิศทางและแผนปฏิบัติการในการรับมือกรณีที่ถูกโจมตีเพื่อจำกัดวงความเสียหายให้เหลือน้อยที่สุด”

1ในปัจจุบันเราคงได้ยินข่าวเกี่ยวกับความเสียหายที่มีส่วนเกี่ยวข้องกับการโจมตีทางไซเบอร์ที่เกิดขึ้นกับระบบขององค์กรต่างๆ เป็นระยะๆ ซึ่งท่านผู้อ่านบางท่านอาจเคยมีข้อสงสัยว่าในยุคปัจจุบัน ซึ่งองค์กร(ที่ไม่ใช่องค์กรขนาดเล็กมากๆ ) โดยปกติน่าจะได้มีการลงโปรแกรมป้องกันไวรัสไว้ในคอมพิวเตอร์สำหรับพนักงานหรือผู้ปฎิบัติรวมถึงมีการติดตั้งอุปกรณ์ที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์อย่าง Firewall ไว้เป็นอย่างน้อยแล้วยังเผชิญกับการโจมตีทางไซเบอร์อยู่อีก (อย่างเช่น อยู่มาวันหนึ่งคอมพิวเตอร์ที่ใช้ก็ดูเหมือนจะทำงานหรือตอบสนองช้าลงกว่าเดิมมาก เป็นต้น)

นั่นหมายความว่าถึง มาตรการพื้นฐานอย่างเช่นโปรแกรมป้องกันไวรัส หรือแม้แต่อุปกรณ์เฉพาะทางสำหรับป้องกันการโจมตีอย่างFirewall ก็ไม่สามารถป้องกันการโจมตีได้อย่างเบ็ดเสร็จ ทำไมจึงเป็นเช่นนั้น และถ้าความจริงเป็นเช่นแล้ว ผู้บริหารขององค์กรควรมีความเข้าใจและกำหนดทิศทางในการรับมือกับการโจมตีทางไซเบอร์อย่างไรบ้าง ในครั้งนี้เราจะมากล่าวถึงประเด็นเหล่านี้กันครับ

ยกตัวอย่างง่ายๆ เช่น ประเด็นเกี่ยวกับข้อสงสัยว่าทำไมการลงโปรแกรมป้องกันไวรัสไว้ในคอมพิวเตอร์ที่อยู่ในระบบทุกเครื่องแล้ว ยังไม่สามารถป้องกันการโจมตีได้ในทุกกรณี คำตอบสั้นๆ โดยรวมสำหรับเรื่องนี้คือ ไม่สามารถป้องกันได้100% เนื่องจากผู้ทำการโจมตีย่อมได้ศึกษา สร้างและทดสอบไวรัสที่จะใช้ในการโจมตีเพื่อให้มั่นใจว่าโปรแกรมป้องกันไวรัสตัวล่าสุดที่มีในตลาดน่าจะไม่สามารถตรวจพบไวรัสที่กำลังจะถูกนำไปใช้เหล่านั้น

โดยในเรื่องนี้เราต้องเข้าใจกลไกหลักในการตรวจจับไวรัสของโปรแกรมเหล่านี้ก่อนว่า ปกติโปรแกรมเหล่านี้จะทำการตรวจสอบไฟล์ที่อยู่ในเครื่องอย่างเช่น กรณีที่ท่านที่เคยเปิดโปรแกรมป้องกันไวรัสเพื่อทำการสแกนตามความต้องการ หรือตั้งเวลาที่จะให้ทำการตรวจสอบในอาทิตย์หนึ่งๆ ไฟล์ที่ดาวน์โหลดมาตอนที่เราอ่านเว็บไซต์ต่างๆ หรือแม้แต่ไฟล์ที่แนบมากับอีเมล์ว่า มีลักษณะพิเศษเหมือนกับลักษณะพิเศษของไวรัสที่เป็นที่รู้จักหรือไม่ (ที่เรียกกันว่า signature อย่างที่ท่านผู้อ่านคงเคยได้ยิน)ซึ่งถ้าเป็นไวรัสตัวใหม่ๆ ก็ต้องใช้เวลาซักพักกว่าที่ตัวโปรแกรมป้องกันไวรัสจะสามารถมีข้อมูลลักษณะพิเศษของไวรัสเหล่านั้นเพื่อทำการตรวจจับได้

อย่างไรก็ตามไม่ได้หมายถึงว่า โปรแกรมป้องกันไวรัสไม่มีประโยชน์ เพราะในการโจมตีนั้นไม่จำเป็นว่าไวรัสที่ถูกใช้ต้องเป็นตัวใหม่ๆ เสมอไป นอกจากนี้โปรแกรมตรวจจับไวรัสในปัจจุบันยังมีกลไกอื่นๆ ในการช่วยตรวจจับไวรัสให้มีประสิทธิภาพยิ่งขึ้นเช่นตรวจสอบที่มาของไฟล์นั้นๆ ตรวจสอบว่าในการทำงานของโปรแกรมไฟล์ต่างๆ มีการเคลื่อนไหวอะไรที่ดูน่าสงสัยหรือไม่ อย่างไรก็ตามท้ายที่สุด ก็ไม่สามารถรับประกันได้ว่าโปรแกรมจะสามารถตรวจจับไวรัสได้ในทุกกรณีอยู่ดี

เมื่อเราได้เห็นความเป็นจริงว่าการป้องกันไวรัสอย่างสมบูรณ์แบบทุกกรณีนั้น น่าจะคาดหวังได้ยากดังยกตัวอย่างข้างต้น ผู้บริหารองค์กรควรเข้าใจในจุดนี้และกำหนดทิศทางในการรับมือในการโจมตีทางไซเบอร์ให้ครอบคลุมไม่แต่เพียงมุ่งสร้างการป้องกันการโจมตีเป็นหลักอย่างเดียว (ซึ่งอาจจะนำไปสู่การซื้ออุปกรณ์หรือบริการที่เกี่ยวกับการตรวจจับและป้องกันประเภทใหม่ๆ และซับซ้อนยิ่งขึ้นๆ โดยใช้งบประมาณจำนวนมาก และท้ายที่สุดก็ยังไม่สามารถป้องกันได้แบบร้อยเปอร์เซนต์อยู่ดี)

แต่ผู้บริหารควรต้องกำหนดทิศทางและแผนปฏิบัติการในการรับมือกรณีที่ถูกโจมตีเพื่อไม่ให้เกิดความเสียหายร้ายแรงแก่องค์กรให้ได้ดีที่สุด เช่น การที่ข้อมูลสำคัญขององค์กรหรือของลูกค้าที่องค์กรเก็บไว้เกิดการรั่วไหลออกสู่ภายนอก หรือตัวข้อมูลสำคัญเหล่านี้ถูกทำลาย หรือแม้แต่การที่ระบบขององค์กรถูกใช้เป็นฐานเพื่อไปโจมตีองค์กรอื่นๆ ซึ่งบางกรณีนอกเหนือจากความเสียหายทางด้านตัวเงินแล้ว ยังหมายถึงความเสียหายที่เกิดกับชื่อเสียงขององค์กรซึ่งต้องใช้ความพยายามอย่างมากในการทำให้ชื่อเสียงกลับมา

เพื่อให้การรับมือกรณีที่ถูกโจมตีมีประสิทธิภาพมากที่สุด เริ่มแรกเราต้องรู้เขา นั่นคือทราบถึงรูปแบบและช่องทางการโจมตีหลักต่างๆ ที่มักเกิดขึ้น จากนั้นก็พยายามหามาตรการป้องกันรูปแบบหรือช่องทางการโจมตีหลักแต่ละชนิดที่พอจะจัดหาและดำเนินการได้ในกรอบงบประมาณที่เป็นไปได้ เพื่อให้โดยรวมแล้ว องค์กรของเราสามารถรับมือการถูกโจมตีส่วนใหญ่ได้(ไม่ต้องถึง100%แต่อาจจะซัก80-90%เป็นต้น)

ยกตัวอย่างเช่น การโจมตีเพื่อพยายามเข้ามาเพื่อขโมยหรือทำลายข้อมูลในปัจจุบันนั้น มีความซับซ้อนประกอบด้วยหลายขั้นตอน โดยส่วนใหญ่แล้ว ขั้นแรก จะเริ่มจากการที่ผู้ต้องการโจมตีจะพยายามทำให้คอมพิวเตอร์ในระบบขององค์กรที่โจมตีได้ง่ายติดไวรัส โดยรูปแบบการโจมตีหลักๆ ที่ง่ายและพบได้บ่อยและยังคงได้ผลอย่างไม่น่าเชื่อ คือการติดไวรัสผ่านทางอีเมล์ โดยอาจจะตั้งชื่อหัวข้ออีเมล์ให้เกี่ยวกับเรื่องงานหรือไม่น่าสงสัย หรือในบางกรณีอาจมีการปลอมชื่อผู้ส่งให้เป็นคนที่เป้าหมายน่าจะรู้จัก อย่างกรณี การรั่วไหลของข้อมูลที่เกิดขึ้นจากการโจมตีทางไซเบอร์ต่อหน่วยงานที่ดูแลบำนาญของประเทศญี่ปุ่นเมื่อกลางปีที่แล้วก็เริ่มจากวิธีที่ง่ายๆ เช่นนี้

อีกรูปแบบหนึ่งที่พบและยังคงพบบ่อยๆ คือการโจมตีผ่านการที่ผู้ใช้ขององค์กรเป้าหมายเข้าไปดูเว็บไซต์บางเว็บที่ถูกผู้ที่ต้องการโจมตีแก้ไขเพื่อให้มีการแอบนำหรือ redirect ไปยังเซิร์ฟเวอร์ที่ใช้ในการโจมตีเพื่อดาวน์โหลดไฟล์ที่มีไวรัสอยู่ นอกจากนี้ยังมีการติดไวรัสผ่านทางอุปกรณ์หน่วยความจำภายนอกอย่าง USB ที่มีไฟล์ที่ติดไวรัสอยู่แล้วนำมาเสียบเข้ากับอุปกรณ์ของเรา ซึ่งช่องทางเหล่านี้เราท่านน่าจะพอคุ้นๆ อยู่บ้างแล้ว

หลังจากที่ผู้โจมตีสามารถทำให้คอมพิวเตอร์ที่อยู่ในระบบขององค์กรติดไวรัสได้แล้ว ในขั้นต่อมาจะเป็นความพยายามที่จะเพิ่มจำนวนคอมพิวเตอร์ที่ติดไวรัสให้มากขึ้น โดยในขั้นนี้จะเป็นการทำงานร่วมกันของไวรัสในเครื่องคอมพิวเตอร์ที่ติดไวรัสไปแล้วร่วมกับเซิร์ฟเวอร์ภายนอกที่ใช้ในการสั่งการและควบคุมการโจมตี(โดยคอมพิวเตอร์ที่ติดไวรัสไปแล้วจะพยายามติดต่อออกไปภายนอกเพื่อรับคำสั่งเป็นระยะๆ) รวมถึงกับเซิร์ฟเวอร์ภายนอกที่ใช้ในการโจมตีเพื่อดาว์นโหลดไวรัสต่างๆ เพิ่มเติม (เพื่อเป็นการแบ่งหน้าที่ในการโจมตี ไวรัสที่ถูกนำมาติดตั้งไว้ในคอมพิวเตอร์แต่ละเครื่องก็อาจจะแตกต่างกันไปได้ ทำให้ยากต่อการตรวจจับมากขึ้น)

ขั้นตอนหลังจากนั้นจะเป็นการที่คอมพิวเตอร์ต่างๆ ที่ติดไวรัสจะเริ่มพยายามเสาะหาเซิร์ฟเวอร์ในระบบที่สามารถล็อกอินเข้าไปได้ และทำการตรวจสอบว่ามีข้อมูลสำคัญอยู่ที่ไหนบ้าง และสามารถจะขโมยเพื่อนำส่งออกไปยังจุดหมายนอกองค์กรได้หรือไม่ และขั้นตอนสุดท้าย หลังจากทราบข้อมูลสำคัญที่อยู่ในเซิร์ฟเวอร์ที่สามารถจะนำออกมาได้แล้วนั้น ก็จะเป็นการรวบรวมข้อมูลเหล่านั้นเพื่อส่งออกไปยังเป้าหมายที่อยู่ภายนอก โดยในขั้นตอนนี้เพื่อให้ไม่สามารถถูกตรวจสอบได้ง่าย ก็อาจมีการเข้ารหัสข้อมูลที่รวบรวม(ขโมย)มา ณ ที่ใดที่หนึ่งเช่นหนึ่งในคอมพิวเตอร์ที่ติดไวรัส และทำการแบ่งข้อมูลที่ถูกเข้ารหัสออกเป็นไฟล์ย่อยๆ โดยเป้าหมายสามารถเป็นได้ทั้งเซิร์ฟเวอร์ที่ผู้โจมตีตั้งขึ้น หรือในบางกรณีก็อาจจะใช้บริการออนไลน์สตอเรจที่ใช้กันโดยทั่วไปเช่น ดรอปบ็อกซ์ต่างๆ เป็นต้น

เมื่อเราทราบขั้นตอนหลักๆ ในการโจมตีดังกล่าวข้างต้น ทางองค์กรก็สามารถออกแบบและลงทุนสำหรับอุปกรณ์รวมถึงบริการโดยเน้นไปที่การรับมือรูปแบบการโจมตีต่างๆ ดังกล่าว น่าจะทำให้องค์กรได้มาตรการการป้องกันและรับมือการโจมตีส่วนใหญ่รวมถึงใช้งบประมาณได้อย่างมีประสิทธิภาพนั่นเอง

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

BannerWeb_CIOworld_3
SDWAN NSS Lab
CEBIT 300x250

Like Us On Facebook

Facebook Pagelike Widget
communication

Categories

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com