www.cioworldmagazine.com

 Breaking News

ICT Trend Watch (ตอนที่39) มาตรการพื้นฐานในการรับมือภัยคุกคามทางไซเบอร์ที่องค์กรควร(ต้อง)ทำ

ICT Trend Watch (ตอนที่39)  มาตรการพื้นฐานในการรับมือภัยคุกคามทางไซเบอร์ที่องค์กรควร(ต้อง)ทำ
January 11
14:23 2017
ดร.ไพโรจน์ ธรรมศีลสุวรร
ดร.ไพโรจน์ ธรรมศีลสุวรร

NEC Corporation (Thailand) &Technology Coordinator of TTC, JAPAN ผู้เชี่ยวชาญด้านไอทีและการสื่อสาร ผ่านประสบการณ์มากกว่า 10 ปี ดำรงตำแหน่งคณะอนุกรรมการวิจัยวิจัยโทรคมนาคม TRIDI และอาจารย์มหาวิทยาลัยชั้นนำของประเทศ

“การสร้างมาตรการมาตรการพื้นฐานในการรับมือภัยคุกคามทางไซเบอร์ เป็นสิ่งจำเป็นสำหรับรากฐานอันมั่นคง และเป็นก้าวแรกขององค์กรที่มีความมั่นคงปลอดภัยทางข้อมูลและระบบคอมพิวเตอร์ ผู้เขียนขอประมวลจากประสบการณ์และองค์ความรู้ที่สรุปได้เป็นมาตรการหรือแนวปฏิบัติสำหรับองค์กรเพื่อวางรากฐานให้องค์กรของคุณ”

ในปัจจุบันคงปฏิเสธไม่ได้ว่า ภัยคุกคามจากการถูกโจมตีทางไซเบอร์เป็นหนึ่งในสิ่งที่ผู้บริหารขององค์กรต้องคำนึงถึงและเตรียมหามาตรการในการรับมือ เนื่องจากการโจมตีรวมถึงความเสียหายที่มีต่อองค์กรต่างๆ ทั่วโลกทั้งเรื่องทรัพย์สินและชื่อเสียงได้ขยายวงกว้างขึ้นอย่างต่อเนื่อง นอกจากนี้แล้วประเภทของภัยคุกคามที่เกิดขึ้นเป็นจำนวนมากในแต่ละปีก็แตกต่างกันไป

ถึงแม้ว่าประเภทของภัยคุกคามหลักๆ ในแต่ละปีจะเปลี่ยนไป แต่เป้าหมายสำหรับความปลอดภัยของข้อมูลขององค์กรและมาตรการพื้นฐานในการรับมือแล้วก็ยังคงเหมือนเดิมในสาระสำคัญ กล่าวคือมีเป้าหมายอยู่ที่การปกป้องทรัพยากรข้อมูลที่สำคัญขององค์กร ไม่ให้มีการรั่วไหลหรือแก้ไข รวมถึงการทำให้ระบบข้อมูลขององค์กรสามารถใช้งานได้อย่างต่อเนื่องรวมถึงผู้ใช้ระบบสามารถใช้ได้อย่างปลอดภัย ไม่ทำให้ธุรกิจและการทำงานขององค์กรต้องหยุดชะงัก เป็นต้น

1ส่วนเรื่องมาตรการพื้นฐานในการรับมือก็จะสามารถยกตัวอย่างประเด็นหลักๆ ซึ่งเป็นสิ่งจำเป็นเพราะถ้าหากไม่ได้มีการดำเนินการในมาตรฐานพื้นฐานเหล่านี้ให้ดีแล้ว ถึงแม้จะนำระบบทางความปลอดภัยใหม่ๆ ราคาแพงมาใช้ก็ไม่อาจจะไม่สามารถใช้ป้องกันได้อย่างเต็มที่ผู้เขียนได้รวมรวมมาตรการต่างๆ ได้ดังต่อไปนี้

มาตรการแรกที่ต้องคิดในการวางมาตรการพื้นฐานเพื่อรับมือคือ ต้องทราบก่อนว่าในระบบข้อมูลขององค์กรเรา ข้อมูลที่เราต้องการปกป้องมีอะไรบ้างและอยู่ที่ใด จากนั้นเพื่อลดความเสี่ยงจากการถูกโจมตี เราควรพยายามนำข้อมูลสำคัญเหล่านั้นมาจัดเก็บไว้ในส่วนเดียวกันของระบบและทำการแยกวงของเน็ตเวิร์คสำหรับส่วนนี้ออกมา

จากนั้นก็กำหนดมาตรการจำกัดการเข้าถึงข้อมูลในส่วนนี้โดยไม่ให้ใครก็ตามสามารถเข้าถึงข้อมูลเหล่านี้ได้จากที่ไหนก็ตามโดยยกตัวอย่างเช่น จำกัดผู้ใช้และเครื่องที่สามารถเข้าถึงข้อมูลที่ถูกเก็บในส่วนนี้ของระบบไว้แค่ผู้ใช้ที่เกี่ยวข้องซึ่งล็อคอินจากกลุ่มเครื่องที่ได้รับอนุญาตเท่านั้น การทำเช่นนี้ก็เปรียบเหมือนการที่เรานำเอาทรัพย์สินมีค่าของเราใส่ไว้ในตู้เซฟที่มีการป้องกันการเข้าถึงได้เฉพาะคนที่รู้ที่ตั้งของตู้และมีรหัสที่สามารถเปิดตู้เข้าได้นั่นเอง แทนที่จะวางไว้ในที่ที่ใครก็ตามสามารถเห็นและจับต้องได้โดยง่าย

มาตรการต่อมาถือว่ามีประสิทธิภาพมากในการป้องกันการโจมตีทางไซเบอร์คือ เราต้องทราบว่าเครื่องผู้ใช้ เซิร์ฟเวอร์ต่างๆ ที่มีอยู่ รวมถึงอุปกรณ์โครงข่ายเช่นบรอดแบนด์เราท์เตอร์ มีการใช้ซอฟต์แวร์หรือแอพพลิเคชั่นอะไรบ้าง และเป็นเวอร์ชั่นอะไรบ้าง ถ้าไม่ใช่เวอร์ชั่นล่าสุดก็ต้องมีมาตรการในการอัพเดทให้เป็นเวอร์ชั่นล่าสุด

นอกจากมาตรการดังกล่าวข้างต้นแล้ว องค์กรควรมีการป้องกันเครื่องผู้ใช้(ทั้งพีซีและสมาร์ทโฟน) รวมถึงเซิร์ฟเวอร์และอุปกรณ์ที่เกี่ยวข้องต่างๆ จากการติดมัลแวร์ ด้วยการลงโปรแกรมจำพวกแอนตี้ไวรัสให้ครอบคลุมทั้งระบบ เพื่อป้องกันไวรัสที่เป็นที่รู้จักแล้ว (โปรแกรมจำพวกแอนตี้ไวรัสในปัจจุบันบางตัว สามารถที่จะตรวจพบไวรัสที่ยังไม่เป็นที่รู้จักได้จากการดูจากพฤติกรรมของโปรแกรมที่น่าสงสัยได้ด้วย)

แต่อย่างไรก็ตามเราไม่สามารถป้องกันการติดไวรัสทุกชนิดได้ร้อยเปอร์เซ็นต์จากการลงโปรแกรมจำพวกแอนตี้ไวรัสนี้เพียงอย่างเดียว สิ่งสำคัญอีกประการหนึ่งที่ทีมที่ดูแลความปลอดภัยขององค์กรจำเป็นต้องทำอยู่เสมอคือการติดตามข่าวสารภัยคุกคามทางไซเบอร์ที่เกิดขึ้นทั้งในและต่างประเทศอย่างสม่ำเสมอเพื่อให้ทราบถึงโอกาสถูกโจมตีใหม่ๆ ที่เกิดขึ้นเพื่อจะได้เตรียมการรวมถึงแจ้งคนในองค์กรให้ทราบเพื่อป้องกันไม่ให้ถูกโจมตีโดยวิธีแบบเดียวกันไว้ล่วงหน้าเป็นต้น

สิ่งต่อมาที่ควรทำคือการป้องกันไม่ให้เกิดการแอบล็อคอินเข้าระบบได้อย่างง่ายดายด้วยการออกข้อบังคับในการตั้งรหัสผ่านให้สามารถคาดเดาได้ยาก ซึ่งก็มีจุดหลักๆ อย่างที่เป็นที่ทราบกันดี(แต่อาจไม่ได้บังคับใช้อย่างเป็นทางการ ทำให้เกิดช่องโหว่ในการสามารถเข้าระบบได้) เช่น ไม่ควรตั้งรหัสผ่านที่สั้นและคาดเดาได้ง่ายเช่น ชื่อ วันเกิด ควรตั้งรหัสผ่านให้มีทั้งตัวอักษรใหญ่และเล็กผสมกัน รวมถึงต้องมีตัวเลขหรือสัญลักษณ์อยู่ด้วยเป็นต้น

นอกจากนั้นแล้วควรต้องหลีกเลี่ยงการใช้ชื่อผู้ใช้และรหัสผ่านชุดเดียวกันสำหรับหลายๆ กรณี เช่นใช้ชื่อผู้ใช้และรหัสผ่านชุดเดียวกันกับการเข้าเว็บไซต์หลายๆ เว็บไซต์ หรือใช้ชื่อผู้ใช้และรหัสผ่านชุดเดียวกันกับlocal adminของคอมพิวเตอร์หลายๆ เครื่องในองค์กร(ซึ่งอาจจะสะดวกสำหรับผู้ดูแลระบบขององค์กรในการเปลี่ยนการตั้งค่าต่างๆ สำหรับคอมพิวเตอร์ในองค์กร แต่ในทางกลับกันถ้าเกิดการโจมตีเข้ามายังคอมพิวเตอร์เครื่องใดเครื่องหนึ่ง ผู้โจมตีก็จะสามารถขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่นๆ ได้โดยง่าย ทำให้ความเสียหายขยายวงกว้างได้อย่างรวดเร็ว) นอกจากนี้ทางองค์กรยังสามารถนำวิธี authentication อื่นๆ เช่น วันไทม์พาสเวิร์ด หรือหนังสือรับรองอิเล็กทรอนิกส์ มาใช้ประกอบเพื่อเพิ่มความปลอดภัยได้ด้วย

อีกมาตรการพื้นฐานหนึ่งที่องค์กรควรตรวจสอบคือการดูว่ามีการตั้งค่าซอฟต์แวร์และเซิร์ฟเวอร์ ตลอดจนอุปกรณ์ที่เกี่ยวข้องอื่นๆ เช่นอุปกรณ์โครงข่ายว่ามีการตั้งค่าอะไรที่ทำให้เกิดช่องโหว่หรือไม่ เช่นมีการเปิดฟังก์ชั่นที่ไม่จำเป็นทิ้งไว้หรือ ไม่มีการตั้งค่าจำกัดการเข้าถึงฟังก์ชั่นบางอย่างไว้ เป็นต้น ซึ่งบางครั้งอาจเป็นการตั้งค่าเริ่มต้นติดมากับอุปกรณ์โดยที่ผู้ดูแลระบบในองค์กรที่ทำการติดตั้งไม่ได้ตระหนักถึง

เรื่องนี้สามารถป้องกันได้ด้วยการตรวจสอบการตั้งค่าเริ่มต้นเมื่อเริ่มนำซอฟต์แวร์และเซิร์ฟเวอร์ ตลอดจนอุปกรณ์ที่เกี่ยวข้องอื่นๆ มาใช้ ตลอดจนมีการตรวจสอบการตั้งค่าต่างๆ เหล่านี้เป็นระยะๆ หลังเริ่มเปิดใช้งานเพื่อทบทวนและเปลี่ยนแปลงค่าให้เหมาะกับนโยบายและสถานการณ์ปัจจุบันขององค์กร ยกตัวอย่างเช่นอาจจะมีซอฟต์แวร์หรืออุปกรณ์ในระบบที่มีการตั้งค่าให้ทุกคนสามารถใช้ฟังก์ชั่นสำหรับadminรวมถึงข้อมูลได้ ซึ่งสิ่งที่องค์กรสามารถทำได้ก็เช่น การเปิดฟังก์ชั่นในการจำกัดการเข้าถึง การสร้างบัญชีผู้ใช้รวมถึงขอบเขตในการเข้าถึงตามผู้ใช้งานแต่ละคน

นอกจากนี้เวลาที่มีการเปลี่ยนแปลงเกิดขึ้นในองค์กรเช่นมีพนักงานลาออก หรือย้ายแผนกเกิดขึ้น ก็ต้องมีการแก้ไขที่เกี่ยวข้องอย่างทันท่วงทีเช่น ลบบัญชีผู้ใช้ที่ลาออก หรือทบทวนขอบเขตในการเข้าถึงของผู้ใช้เมื่อมีการโยกย้าย เป็นต้น

นอกจากการตั้งค่าที่ทำให้เกิดช่องโหว่แล้ว ยังมีการตั้งค่าที่ควรทำเพื่อให้สามารถตรวจพบไวรัสได้ง่ายขึ้น เช่นให้ทางผู้ดูแลระบบขององค์กรตั้งค่าให้มีการแสดงประเภทของไฟล์ต่างๆ ไว้เสมอเพื่อป้องกันการโจมตีที่เกิดจากความพยายามตั้งชื่อและไอคอนของไฟล์ตระกูล .exeที่ใช้ในโจมตีให้ดูเหมือนว่าเป็นไฟล์ภาพโดยมีคำว่า .jpgและไอคอนเหมือนภาพ หรือพยายามทำให้ดูเหมือนว่าเป็นfolder โดยใช้ไอคอนเหมือนfolder เป็นต้น

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

BannerWeb_CIOworld_3
SDWAN NSS Lab
CEBIT 300x250

Like Us On Facebook

Facebook Pagelike Widget
communication

Categories

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com