10 อันดับภัยอินเทอร์เน็ตล่าสุดประจำปี พ.ศ. 2551

[nin]

ผมเข้าไปอ่านบทความที่ acisonline.net อยู่บ่อยๆ
เห็นว่าน่าจะเป็นประโยชน์กับชาว อวป. ซึ่งเราก็ใช้อินเตอร์เน็ตกันอยู่เป็นประจำ

บทความค่อนข้างยาว คัดลอกมาจากที่นี่ครับ
http://www.acisonline.net/article_prinya_eleader_0251.htm



10 อันดับภัยอินเทอร์เน็ตล่าสุดประจำปี พ.ศ. 2551
Top Ten Cyber Security Threats Year 2008
by A.Pinya Hom-anek,
GCFW, CISSP, SSCP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center


เราต้องยอมรับว่าทุกวันนี้การดำเนินชีวิตประจำวันของคนไทยมีความเกี่ยวพันกับระบบสารสนเทศและระบบอินเทอร์เน็ตอยู่ตลอดเวลาไม่ว่าจะเป็น การใช้โทรศัพท์มือถือ, การค้นหาข้อมูลในระบบอินเทอร์เน็ตจากเว็บไซต์ต่างๆ, การใช้อิเล็กทรอนิกส์เมล์ในการติดต่อสื่อสารกันระหว่างเพื่อนฝูง ญาติมิตร และใช้ในการติดต่องานระหว่างองค์กรทั้งภาครัฐและเอกชน ในนามบัตรของทุกคนจำเป็นต้องมีอิเล็กทรอนิกส์เมล์แอดเดรสเป็นอย่างน้อยซึ่งปกตินิยมใช้ฟรีอีเมลกัน เช่น ฮ๊อตเมล หรือจีเมลเป็นต้น ในปัจจุบัน สำนักงานคณะกรรมการพัฒนาระบบราชการ (ก.พ.ร.) ได้ออกประกาศห้ามหน่วยงานราชการใช้ฟรีอีเมล์แล้ว เนื่องจากเป็นการป้องกันข้อมูลความลับราชการรั่วไหลไปเก็บอยู่ในเครื่องแม่ข่ายของผู้ให้บริการฟรีอีเมล์ หรือ ถ้าเป็นนามบัตรขององค์กรส่วนใหญ่ก็มักจะมี ทั้งอิเล็กทรอนิกส์เมลแอดเดรส และ URL แสดงเว็บไซต์ขององค์กร เป็นต้น

จากความนิยมในการใช้อินเทอร์เน็ตที่เพิ่มขึ้นทั่วโลก สถิติอาชญากรรมคอมพิวเตอร์ที่มีการใช้งานอินเทอร์เน็ตเป็นสื่อกลางในการติดต่อก็มีสถิติเพิ่มขึ้นเป็นเงาตามตัวเช่นกัน เหล่าอาชญากรคอมพิวเตอร์ในปัจจุบันล้วนอาศัยช่องทางการโจมตีเหยื่อ หรือ เป้าหมายผ่านทางระบบเครือข่ายอินเทอร์เน็ตซึ่งถือเป็นเครือข่ายสาธาณะ จากการโจมตีดังกล่าวทำให้หลายองค์กรตลอดจนบุคคลทั่วไปเกิดความเสียหายทางด้านเศรษฐกิจและสังคม ทำให้องค์กรเสียชื่อเสียง เสียความน่าเชื่อถือ ปัจจุบันกลายเป็นปัญหาระดับชาติ และ ระดับโลกที่ทุกคนต้องทำความเข้าใจ และ ร่วมกันแก้ปัญหาให้ถูกจุด

จากปัญหาภัยอินเทอร์เน็ตดังกล่าว ทำให้ประเทศไทยจึงจำเป็นต้องมีการควบคุมปัญหาอาชญากรรมคอมพิวเตอร์อย่างเป็นระบบ และ เป็นที่มาของกฎหมายพระราชบัญญัติการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 ที่ประกาศบังคับใช้ตั้งแต่วันที่ 18 กรกฎาคม พ.ศ.2550 ทำให้หลายคนเกิดความตื่นตัวเรื่องการปฏิบัติตามพระราชบัญญัติ (Regulatory Compliance) ตลอดจนตระหนักถึงปัญหาจากภัยอินเทอร์เน็ตที่นับวันจะใกล้ตัวมากขึ้นทุกที ดังนั้น เราควรรู้เท่าทันกลโกงและวิธีการของเหล่าแฮกเกอร์และอาชญากรคอมพิวเตอร์ว่าเขามีวิธีการในการโจมตีเราอย่างไร และ ระบบคอมพิวเตอร์ที่เราใช้อยู่ทุกวันนั้นมีช่องโหว่ (Vulnerability) ที่แฮกเกอร์สามารถโจมตีได้หรือไม่ ถ้าเราพบว่าระบบมีช่องโหว่ เราควรแก้ปัญหาอย่างไรเพื่อปิดช่องโหว่ (Hardening) ไม่ให้ผู้ไม่หวังดีแอบใช้เป็นช่องทางในการเจาะระบบของเรา

ในปัจจุบัน ภัยอินเทอร์เน็ตได้มีการเปลี่ยนแปลงปรับปรุงรูปแบบวิธีการโดยการใช้เทคนิคใหม่ๆ ในการโจมตีเป้าหมาย ซึ่งเป้าหมายหลักของเหล่าแฮกเกอร์กลับไม่ใช่ระบบคอมพิวเตอร์ที่เราใช้อยู่แต่เป็นตัวบุคคลเองที่กลายเป็นเป้าหมายหลักในการโจมตีด้วยวิธีการยอดนิยมที่เรียกว่า "Social Engineering" หรือ การใช้หลักจิตวิทยาในการหลอกล่อเหยื่อให้หลงเชื่อในข้อความหลอกลวงผ่านทางเว็บไซต์หรือ อิเล็กทรอนิกส์เมล์ ดังนั้น การให้ความรู้แก่ผู้ใช้งานคอมพิวเตอร์ทั่วไปสำหรับองค์กรที่เรียกว่า "Information Security Awareness Program" นั้นถือเป็นเรื่อง "สำคัญอย่างยิ่งยวด" ในการเพิ่มภูมิคุ้มกันให้กับผู้ใช้คอมพิวเตอร์ที่ส่วนใหญ่ยังไม่ทราบถึงวิธีการโจมตีในรูปแบบใหม่ๆ ดังกล่าว เมื่อผู้ใช้คอมพิวเตอร์เกิดความเข้าใจและมีความตระหนักถึงภัยอินเทอร์เน็ตมากขึ้นก็จะช่วยลดผลกระทบจากปัญหาที่เกิดขึ้นได้ในทางปฏิบัติในที่สุด

ในปี คศ.2008 เราสามารถจัดอันดับภัยอินเทอร์เน็ตได้ 10 อันดับ ดังต่อไปนี้


1. ภัยจากการถูกขโมยชื่อผู้ใช้และรหัสผ่านในการเข้าใช้งานระบบออนไลน์ผ่านทางอินเทอร์เน็ต (Username/Password and Identity Theft)

หลายท่านคงเคยได้ชมภาพยนตร์แนว Sci-Fi ที่เกี่ยวกับแฮกเกอร์ที่เจาะข้อมูลของเหยื่อ ยกตัวอย่างเช่น ภาพยนตร์เรื่อง "The Net" หรือ "Firewall" แฮกเกอร์จะทำการขโมยชื่อผู้ใช้และรหัสผ่านของเหยื่อเพื่อแอบโอนเงินจากบัญชีของเหยื่อ หรือ แอบนำบัตรเครดิตของเหยื่อไปใช้โดยที่เหยื่อไม่รู้ตัว ซึ่งกว่าเหยื่อจะทราบว่าโดนขโมยบัตรเครดิต หรือ ถูกโอนเงินในบัญชีไปโดยไม่รู้ตัว ก็พบว่าเงินหมดบัญชีไปแล้ว หรือ บางรายถึงขั้นล้มละลายเลยก็มี เป็นต้น

การขโมย "Identity" หรือ ความเป็นตัวตนของเหยื่อดังกล่าวนั้นเกิดขึ้นจริงแล้วในปัจจุบันไม่ใช่การแสดงเฉพาะในภาพยนตร์เท่านั้น การขโมยเงินจากบัตรเครดิตหรือบัตรเอทีเอ็มมีคดีเกิดขึ้นมากมายในประเทศไทยในช่วงสองสามปีทีผ่านมา และ มีเนวโน้มที่จะเพิ่มขึ้นในอนาคต เป้าหมายของเหล่าผู้ไม่หวังดีก็คือ ระบบอินเทอร์เน็ตแบงค์กิ้งหรือระบบการให้บริการธนาคารผ่านทางอินเทอร์เน็ต

ซึ่งในปัจจุบันทางธนาคารแห่งประเทศไทยได้ออกกฎระเบียบให้ธนาคารพาณิชย์ทุกธนาคารต้องมีกระบวนการในการตรวจสอบความปลอดภัยของระบบออนไลน์ของตนเองด้วยการทดสอบเจาะระบบของตนที่เรียกว่า "Penetration Testing" ก่อนการให้บริการกับประชาชน ถือว่าเป็นการบริหารความเสี่ยง (Risk Management) ที่ถูกต้องตามหลักวิชาการ

ในปัจจุบันหลายธนาคารในประเทศไทยตกเป็นเป้าหมายของแฮกเกอร์ในการเจาะข้อมูลของลูกค้าธนาคาร ซึ่งแฮกเกอร์มีเทคนิคใหม่ๆ มากมายในการเจาะระบบ ทางธนาคารจึงมีความจำเป็นอย่างยิ่งที่ต้องทดสอบและตรวจสอบระบบด้วยการทำ Vulnerability .sment และ Penetration Testing ก่อนการให้บริการ

อีกธุรกิจหนึ่งที่ตกเป็นเป้าหมายของแฮกเกอร์ก็คือ เกมส์ออนไลน์ ซึ่งแฮกเกอร์จะเรียกตัวเองว่า "Gold Farmer" หรือ "นักขุดทองออนไลน์" โดยจะพยายามเจาะข้อมูลของผู้เล่นเกมส์ แล้วเข้าไปในเกมส์เพื่อขโมยทรัพย์สินภายในเกมส์แล้วนำมาขายทอดตลาดในโลกจริง ทำให้ผู้เล่นเกมส์เกิดความเสียหาย เช่น การเสียทรัพย์ เสียทั้งเงินและเวลาในการสะสมทรัพย์สินในเกมส์เหล่านั้นให้ได้มาเหมือนเดิมก่อนที่จะถูกขโมยดังกล่าวซึ่งจะมีผลกระทบกับเด็กวัยรุ่นที่ยังไม่สามารถหาเงินได้เอง ต้องเดือดร้อนถึงคุณพ่อคุณแม่อย่างหลีกเลี่ยงไม่ได้

จะเห็นได้ว่า การโจมตีในโลกออนไลน์หรือในระบบเกมส์บนอินเทอร์เน็ตที่เราเรียกว่า "Virtual World" ได้มีผลกระทบกับโลกแห่งความเป็นจริง "Real World" ทั้งทางตรงและทางอ้อม ดังนั้นเราควรเรียนรู้ถึงวิธีการโจมตีในรูปแบบต่างๆ ของแฮกเกอร์เพื่อที่เราจะได้สามารถป้องกันตนเองและญาติพี่น้อง ตลอดจนบริษัทหรือองค์กรที่เราทำงานอยู่ได้อย่างปลอดภัยจากภัยอินเทอร์เน็ตดังต่อไปนี้

1.1 Phishing Attack

วิธีการโจมตีแบบ "Phishing" นั้นกำลังเป็นที่นิยมของแฮกเกอร์ในช่วงหลายปีที่ผ่านมา โดยจะเน้นการโจมตีไปที่กลุ่มผู้ใช้บริการออนไลน์และผู้ใช้บริการ eCommerce เช่น eBay, Amazon หรือ PayPal เป็นต้น และ แฮกเกอร์ยังนิยมโจมตีกลุ่มผู้ใช้บริการอินเทอร์เน็ตแบงค์กิ้งอีกด้วย

วิธีการของเหล่ามิจฉาชีพก็คือ การส่งอิเล็กทรอนิกส์เมล์หลอกมายังผู้ใช้บริการออนไลน์ต่างๆ เช่น ผู้ใช้บริการอินเทอร์เน็ตแบงค์กิ้งว่าอิเล็กทรอนิกส์เมล์นั้นถูกส่งมาจากธนาคารที่ผู้ใช้บริการติดต่อใช้บริการอยู่ โดยมีการปลอมแปลงชื่อผู้ส่งและที่อยู่ของผู้ส่งว่ามาจากธนาคารดังกล่าว และมีเนื้อความในอิเล็กทรอนิกส์เมล์หลอกให้เหยื่อหลงเข้าไป "Log-on" หรือ "Sign-on" เข้าไปในหน้าเว็บหลอกที่มี URL ปรากฎอยู่ในรูปของ Link ที่อยู่ในเนื้อความของอิเล็กทรอนิกส์เมล์ ซึ่ง Link ดังกล่าวก็จะเชื่อมไปยังเว็บไซต์หลอกที่แฮกเกอร์ได้ทำไว้เพื่อดักชื่อผู้ใช้และรหัสผ่านของเหยื่อ เมื่อเหยื่อหลงเข้าไป "Log-on" ก็เท่ากับว่าไปบอกชื่อผู้ใช้และรหัสผ่านซึ่งเป็นความลับ ให้กับแฮกเกอร์โดยรู้เท่าไม่ถึงการณ์

สำหรับทางแก้ไขที่ได้ประสิทธิภาพก็คือการนำระบบ "Two-Factor Authentication" หรือ ระบบการพิสูจน์ตัวตนโดยการใช้อุปกรณ์ Token หรือ Smart Card ร่วมกับรหัสผ่าน หรือ ใช้ระบบรหัสผ่านแบบ "One Time Password" (OTP) ซึ่งจะมีความปลอดภัยมากกว่าระบบที่ใช้เพียงแค่ "ชื่อผู้ใช้" และ "รหัสผ่าน" แบบเดิมๆ ที่ไม่สามารถป้องกันวิธีการโจมตีแบบ "Phishing" ได้

1.2 Pharming Attack

เป็นการโจมตีที่ไม่ต้องใช้วิธีการส่งอิเล็คโทรนิกส์เมล์มาหลอกเหยื่อแบบ Phishing แต่จะใช้วิธีการโจมตีที่ระบบ Domain Name System (DNS) หรือ โจมตีที่ไฟล์ HOSTS ของเครื่องลูกข่าย โดยการ "Re-Direct" หรือ "ย้าย" ชื่อของเว็บไซต์ให้ชี้ไปยัง "IP Address ลวง" ที่ไม่ตรงกับ "IP Address จริง" ของเว็บไซต์นั้นๆ ซึ่งเหยื่อจะแยกความแตกต่างแทบไม่ออกเลยระหว่างเว็บไซต์จริงกับเว็บไซต์ปลอมที่ทางแฮกเกอร์ได้เตรียมไว้ เพราะ URL ของเว็บไซต์ไม่มีการเปลี่ยนแปลง ดังนั้นทางแก้จึงมีเพียงทางเดียวที่ได้ผล นอกจากการป้องกันระบบ DNS ให้ปลอดภัยจากการโจมตี กล่าวคือ การใช้ระบบ Two Factor Authentication ดังที่กล่าวมาแล้วในตอนต้น

1.3 Vishing หรือ Voice SPAM Attack

เป็นการโจมตีโดยการใช้ระบบโทรศัพท์เข้ามาเกี่ยวข้อง เราคงเคยได้ยินเรื่อง "แก็งค์โทรตุ๋น ไม่โชว์เบอร์" พฤติกรรมของแก็งค์นี้มีการใช้ระบบ "Automated Calling" หรือระบบ "Voice Over IP" มาใช้ในการโทรหลอกเหยื่อให้หลงคิดว่าเป็นระบบโทรอัตโนมัติจากธนาคารสถาบันการเงิน หรือบริษัทบัตรเครดิต เพื่อทำการหลอกเหยื่อให้หลงเชื่อ จากนั้นก็จะหลอกถามข้อมูลส่วนตัวหรือข้อมูลทางด้านการเงินของเหยื่อ เพื่อนำไปใช้ในการทำบัตรเครดิตปลอม หรือนำไปใช้ในทางมิชอบทางอื่น ทำให้เหยื่อเกิดความเสียหายได้โดยกว่าจะรู้ตัวก็พบว่าเงินได้ออกจากบัญชีไปแล้ว หรือ มีการแอบใช้บัตรเครดิตของเราโดยที่เราไม่ได้เป็นคนใช้จ่าย ดังนั้น เราจึงควรระวังตัวเวลาได้รับโทรศัพท์จากแก็งค์ดังกล่าว อย่าเผลอไปหลงเชื่อวิธีการ "Social Engineering" ดังที่กล่าวมาแล้ว และควรใช้วิจารณญาณวิเคราะห์ทุกครั้งที่ได้รับโทรศัพท์จากคนแปลกหน้า

1.4 Spyware / Keylogger Attack

โปรแกรมดักข้อมูลจากคีย์บอร์ด หรือ Keylogger จักได้ว่าเป็นโปรแกรมประเภท "Spyware" โดยมีจุดประสงค์ในการดักข้อมูลโดยที่เหยื่อไม่รู้ตัว เกิดจากการที่เหยื่อมักจะเปิดเครื่องทิ้งไว้โดยไม่ได้ Lock หน้าจอคอมพิวเตอร์ เป็นเหตุให้ผู้ไม่หวังดีสามารถทำการติดตั้งโปรแกรม Spyware หรือ Keylogger ผ่านทางการใช้ Thumb Drive หรือ USB Drive ที่ทุกคนใช้กันโดยทั่วไป หลังจากนั้นไม่ว่าเหยื่อจะพิมพ์อะไรก็จะถูกดักข้อมูลบนคีย์บอร์ดและข้อมูลหน้าจอส่งไปยังฟรีอีเมล์ของแฮกเกอร์เป็นระยะๆ ทำให้ข้อมูลส่วนตัวของเหยื่อหลุดเข้าไปอยู่ในมือคนร้ายอย่างง่ายดาย ดังนั้น เราควรล็อกหน้าจอคอมพิวเตอร์ทุกครั้งเวลาที่เราไม่ได้อยู่หน้าเครื่องและการใช้โปรแกรมประเภท Anti-Malware ด้วย

1.5 Remote Access Trojan (RAT) Attack

เป็นการโจมตีระยะไกลโดยใช้โปรแกรมประเภทม้าโทรจันส่งผ่านมาทางอีเมล์ โดยหลอกว่าเป็นโปรแกรมประยุกต์ทั่วไป เช่น โปรแกรมเกมส์ หรือ โปรแกรมที่ใช้ในการฆ่าไวรัส เป็นต้น เมื่อเหยื่อหลงเข้าใจผิดแล้วสั่ง "Run" โปรแกรมดังกล่าว เหยื่อก็จะถูกควบคุมคอมพิวเตอร์ของตนจากระยะไกล (Remote Access) โดยไม่รู้ตัว ทำให้แฮกเกอร์สามารถเข้ามาล้วงความลับของเหยื่อได้อย่างง่ายดาย การป้องกันที่ได้ผลที่สุดก็คือ การฝึกอบรม "Security Awareness Training" ให้กับผู้ใช้คอมพิวเตอร์ให้รู้เท่าทันวิธีการโจมตีดังกล่าวและมีวินัยในการเปิดใช้งานโปรแกรมเฉพาะโปรแกรมประยุกต์ที่ใช้ในการทำงานเท่านั้น โดยไม่เข้าไปเปิด หรือ "Run" โปรแกรมที่ไม่ปลอดภัยจะได้ไม่ต้องตกเป็นเหยื่อดังที่กล่าวมาแล้ว

1.6 HOAX/SCAM หรือจดหมายหลอกลวง

HOAX หรือ SCAM ถือเป็นการ "SPAM" อย่างหนึ่งผ่านทางอีเมล์ มีวัตถุประสงค์ในการส่งอีเมล์หลอกให้เหยื่อเข้าใจผิดว่าได้รับรางวัลหรือได้รับเงินผ่านทางอินเทอร์เน็ต ซึ่งเหยื่อจะเกิดความโลภที่จะได้รับเงินก้อนโต จากนั้นมิจฉาชีพก็จะหลอกให้เหยื่อโอนเงินค่าธรรมเนียม (เงินก้อนเล็ก) เพื่อให้ได้รางวัล (เงินก้อนโต) ดังกล่าว ดังนั้น อีเมล์ประเภทนี้เราควรลบทิ้งทันทีไม่ต้องไปสนใจ

1.7 Theft of Notebook/PC or Mobile Device

เป็นการขโมยแบบดั้งเดิมทางกายภาพโดยไม่ต้องใช้เทคนิคทางคอมพิวเตอร์เลย กล่าวคือ การขโมย PC,Notebook,PDA หรือ โทรศัพท์มือถือ จากนั้นก็นำไปถอดเอาฮาร์ดดิสก์หรือ SIM Card ออกจากเครื่องเพื่อนำไป "Copy" ข้อมูลของเหยื่อเพื่อวัตถุประสงค์บางอย่าง หรือนำอุปกรณ์คอมพิวเตอร์ของเราไปจำหน่ายต่อในตลาดมือสอง ทำให้เราต้องเสียทั้งข้อมูลในเครื่องและตัวเครื่อง วิธีการป้องกันก็คือ อย่าวางอุปกรณ์พกพา หรือ อุปกรณ์คอมพิวเตอร์ ไว้ในที่ที่ไม่ปลอดภัยและควร Backup ข้อมูลไว้เป็นระยะๆ หรือ ควรมีการเข้ารหัสข้อมูล (Data Encryption) เพื่อที่จะป้องกันข้อมูลถึงแม้จะถูกขโมยฮาร์ดแวร์ไป แฮกเกอร์ก็ไม่สามารถเข้าถึงข้อมูลที่เราเข้ารหัสไว้ได้ ทำให้เรายังคงรักษาความลับของข้อมูลไว้ได้

จากภัยทั้งเจ็ด เราพบว่าสาเหตุหลักของการถูกโจมตีดังกล่าวก็คือ การที่ผู้ใช้คอมพิวเตอร์ขาดความรู้ความเข้าใจเรื่องเทคนิคการโจมตีของแฮกเกอร์ ทำให้ขาดความระมัดระวัง (No Information Security Awareness) ในการใช้งานอินเทอร์เน็ตโดยรู้เท่าไม่ถึงการณ์ ซึ่งวิธีการแก้ไขที่ได้ผลมากที่สุดก็คือ การ "Update" ข้อมูลใหม่ๆ ให้กับผู้ใช้คอมพิวเตอร์ด้วยการจัดทำโปรแกรม "Information Security Awareness Training" ขึ้นในองค์กร เพื่อให้เกิดความตระหนักและรู้เท่าทันถึงภัยดังกล่าว รวมถึงการใช้กระบวนการ เช่น ISO/IEC2 7001 และเทคโนโลยีที่ทันสมัยมาแก้ปัญหาในระยะยาว เช่น เทคโนโลยี Two Factor Authentication หรือ การเข้ารหัสข้อมูล (Data Encryption) เป็นต้น

2. ภัยจากการโจมตี Web Server และ Web Application

เป็นที่ทราบกันโดยทั่วไปในทางเทคนิคว่าในปัจจุบัน Firewall ไม่สามารถป้องกันการโจมตี Web Server และ Web Application ได้เพราะ Firewall จำเป็นต้องเปิดช่องให้ผู้คนสามารถเข้ามาเยี่ยมชม Web Site ได้นั่นเอง โดยที่การโจมตีของแฮกเกอร์นั้นเกิดจากช่องโหว่ 10 ประเภท ที่เรียกว่า "The Ten Most Critical Web Application Security Vulnerabilities" (ดูได้ที่ web site : www.owasp.org) ซึ่งจากสถิติพบว่า การโจมตีแบบ "Cross-Site Scripting" และ "Injection Flaw" มีสถิติสูงที่สุด ปัญหาส่วนใหญ่เกิดจาก การเขียนโปรแกรม Web application ที่ไม่ปลอดภัยจากความรู้เท่าไม่ถึงการณ์ของโปรแกรมเมอร์ที่นิยมใช้ภาษา ASP,JSP หรือ PHP ซึ่งเปิดช่องโหว่ทางด้าน "Application Security" ให้แก่แฮกเกอร์ที่มีความเชี่ยวชาญในการพัฒนาโปรแกรมด้วยเช่นกัน ดังนั้น ปัญหาที่เกิดจากการเขียนโปรแกรมไม่ปลอดภัยเพียงพอนั้น จะแก้โดยการใช้ Firewall แบบธรรมดาไม่ได้ จำเป็นต้องใช้ "Web Application Firewall (WAF)" หรือ จำเป็นต้อง "Educate" โปรแกรมเมอร์เกี่ยวกับการเขียน code ที่ปลอดภัย (How to Write A Secure Code) เพื่อป้องกันการโจมตีดังกล่าว

สำหรับกลยุทธ์ของแฮกเกอร์ในปีนี้ คาดว่าเป้าหมายจะมีอยู่ 2 ประเภท ดังนี้

2.1 Popular Web Site Attack

เว็บไซต์ดังๆ ที่กำลังเป็นที่นิยมในหมู่คนเล่นเน็ต มีโอกาสที่จะถูกแฮกเกอร์เข้ามาโจมตีและแอบฝังโปรแกรมไวรัสหรือม้าโทรจันเพื่อที่จะเป็นที่ปล่อยไวรัสเข้าสู่ผู้เข้าเยี่ยมชมเว็บไซต์ดังกล่าว ยกตัวอย่าง เว็บไซต์ของ Super Bowl ก็เคยถูกโจมตีในลักษณะนี้มาแล้ว ทำให้ผู้ที่เข้าชมเว็บไซต์ Super Bowl ติดไวรัสไปตามๆ กัน เว็บไซต์ที่น่าจะเป็นเป้าหมายของปีนี้ คาดว่าจะเป็นเว็บไซต์ของกีฬาโอลิมปิคที่กรุงปักกิ่ง เป็นต้น ดังนั้น เว็บไซต์ดังๆ มีโอกาสที่จะกลายเป็นจุดเริ่มต้นในการปล่อยไวรัสของเหล่าแฮกเกอร์ได้ หากเว็บมาสเตอร์ไม่มีความใส่ใจในเรื่องความปลอดภัยมากเพียงพอ

2.2 Web 2.0 and Social Network Attack

จากความนิยมของการนำเทคโนโลยี Web 2.0 มาใช้ เช่น Blogs, Wikis, RSS หรือ AJAX มาใช้ในเว็บไซต์ประเภท "Social Network" เช่น Opensocial ของ Google , Widgets ของ Facebook ตลอดจนเว็บไซต์ Myspace หรือ Youtube ที่นิยมใช้เทคนิค "Mash-ups" อนุญาติให้ผู้เล่นเว็บสามารถที่จะพัฒนา "Application" เล็กๆ ในการติดต่อสื่อสารกับผู้ใช้คนอื่นๆ ได้ ซึ่ง "Application" ดังกล่าวมีโอกาสที่จะเกิดช่องโหว่หรือ อาจเป็น "Trojan Application" ที่แฮกเกอร์มาสร้างไว้ให้คนหลงเข้ามา Download Application ไปใช้งานก็มีความเป็นไปได้ ดังนั้น ถึงแม้ว่าเทคโนโลยี Web 2.0 จะเข้ามาเปลี่ยนแปลงโลกอินเทอร์เน็ต เราก็ควรระวังในการเข้าใช้งานเว็บไซต์ประเภท "Social Network" ด้วยเพราะอาจมีโอกาสติดไวรัสหรือโทรจันจากเว็บไซต์ยอดฮิตดังกล่าวได้

3. ภัยข้ามระบบ (Cross-platform/Multi-platform Attack)

การโจมตีระบบคอมพิวเตอร์ของไวรัสหรือมัลแวร์ ส่วนใหญ่นั้นเกิดขึ้นบนระบบปฏิบัติการ Microsoft Windows แต่ในปัจจุบันผู้ใช้คอมพิวเตอร์มีความนิยมใช้ Platform อื่นๆ ที่ไม่ใช่ Microsoft Windows เช่น OS X ของ Mac และ iPhone รวมถึง Symbian ของ Nokia เป็นต้น โปรแกรมไม่ประสงค์ดี (Malware) ในปัจจุบันได้มีการเปลี่ยนแปลงตัวเองให้สามารถทำงานบน Platform อื่นๆ ที่ไม่ใช่ Microsoft Windows ได้ อีกทั้งระบบปฏิบัติการ Linux หรือ Unix ที่หลายคนเข้าใจว่าปลอดภัยกว่าระบบปฏิบัติการของ Microsoft Windows นั้น เป็นเรื่องความเข้าใจผิดกันอยู่พอสมควร กล่าวคือ แฮกเกอร์ทั่วโลกส่วนใหญ่กว่า 80 เปอร์เซ็นต์เป็นผู้เชี่ยวชาญระบบปฏิบัติการ Unix/Linux ซึ่งระบบปฏิบัติการดังกล่าวก็มีช่องโหว่ในการโจมตีเหมือนระบบปฏิบัติการ Microsoft Windows เช่นเดียวกัน ยกตัวอย่าง ระบบปฏิบัติการของ Mac และ iPhone ก็มีรากฐานมากจากระบบปฏิบัติการ Unix ซึ่งสามารถใช้ Command Line Mode เหมือนกับระบบปฏิบัติการ Unix ทุกประการ

การโจมตีแบบ Cross-platform นั้นจะเป็นการโจมตีผ่านทาง Web Browser เป็นส่วนใหญ่ เพราะทุก Platform ล้วนใช้ Web Browser เหมือนๆกัน เช่น Firefox หรือ Safari เป็นต้น โปรแกรมไม่ประสงค์ดีส่วนใหญ่เขียนด้วยภาษา Java หรือ JavaScript ที่สามารถทำงานบน Web Browser ดังกล่าวได้เป็นอย่างดี

แฮกเกอร์ในปัจจุบันพยายามที่จะมุ่งเป้าหมายมาโจมตีอุปกรณ์พกพาและโทรศัพท์เคลื่อนที่มากขึ้น ดังนั้น เราจึงควรระมัดระวังเวลาใช้อุปกรณ์ดังกล่าวในการเข้า Web Site หรือ Download โปรแกรมต่างๆ เข้ามาทำงานบนอุปกรณ์พกพา เพราะถ้าไม่ระมัดระวังอาจทำให้เครื่องมีปัญหาในการทำงานจากการรบกวนของโปรแกรมไวรัสหรือมัลแวร์ได้ การติดตั้ง Patch และโปรแกรมป้องกันมัลแวร์ก็สามารถช่วยป้องกันความเสี่ยงที่จะเกิดขึ้นได้เช่นกัน

4. ภัยจากการถูกขโมยข้อมูล หรือ ข้อมูลความลับรั่วไหลออกจากองค์กร (Data Loss/Leakage and Theft)

ปัญหาด้านความปลอดภัยที่ตัวไฟล์ข้อมูล หรือ "Data Security" นั้นกำลังกลายเป็นปัญหาใหญ่ในปัจจุบัน เนื่องจากข้อมูลขององค์กรส่วนใหญ่แล้วจะถูก "Digitize" หรือ จัดเก็บในรูปแบบของไฟล์ที่อยู่ในรูปแบบดิจิตอลฟอร์แมตเก็บไว้ในฮาร์ดดิสก์ หรือสื่อทางด้านดิจิตอลต่างๆ ไม่ว่าจะเป็น CD,DVD หรือ เก็บไว้ใน Storage ขนาดใหญ่เช่น ระบบ NAS หรือ SAN ก็สามารถถูกผู้ไม่หวังดีแอบทำสำเนา หรือ "Copy" ข้อมูลออกไปได้โดยง่าย สังเกตจากการนิยมใช้ Thumb Drive หรือ USB Drive ตลอดจน iPhone/iPod หรืออุปกรณ์ MP3 ต่างๆ ในองค์กร ที่มีความจุข้อมูลค่อนข้างสูง ดังนั้น การป้องกันข้อมูลรั่วไหลจึงทำได้ค่อนข้างยากในทางเทคนิค จำเป็นต้องใช้เทคโนโลยีขั้นสูง เช่น เทคโนโลยี Digital Right Management (DRM) และเทคโนโลยี Data Loss Prevention (DLP) ในการบริหารจัดการไฟล์ข้อมูลต่างๆ ให้เข้าถึงเฉพาะผู้ใช้ที่ถูกกำหนดสิทธิไว้แล้วเท่านั้น ผู้ใช้ที่ไม่มีสิทธิ์ไม่สามารถเข้าถึง (Access) หรือทำสำเนา (Copy) ไฟล์ดังกล่าวได้

จากสถิติพบว่า การขโมยข้อมูลโดยคนในองค์กรเองหรือ Insider Threat นั้นมีเปอร์เซ็นต์สูงกว่าการขโมยโดยคนนอก และส่วนใหญ่เกิดจากพนักงานที่ไม่ซื่อสัตย์ หรือมีทัศนคติไม่ดีกับบริษัท (Disgruntled Employee)

การเข้ารหัสข้อมูล (Data Encryption) ก็เป็นอีกวิธีหนึ่งในการป้องกันข้อมูลรั่วไหลได้ แต่ในขณะเดียวกันกลับกลายเป็นเทคนิคของแฮกเกอร์ในการแอบซ่อนข้อมูลไม่ให้เราสามารถทราบได้ว่าแฮกเกอร์กำลังแอบส่งข้อมูลกันอยู่ในกลุ่มของแฮกเกอร์ด้วยกันเอง ซึ่งมักนิยมใช้เทคโนโลยีที่เรียกว่า "Steganography" ยกตัวอย่าง การเข้ารหัสข้อมูลของกลุ่มผู้ก่อการร้ายในการถล่มตึก World Trade ที่มหานครนิวยอร์ค (911) เมื่อหลายปีก่อน เป็นต้น

[nin]

5. ภัยจากมัลแวร์และสามเหลี่ยมแห่งความชั่วร้าย (SPAM , VIRUS and SPYWARE)



โปรแกรมมุ่งร้ายหรือโปรแกรมไม่ประสงค์ดีที่เราเรียกกันว่ามัลแวร์ (Malware) นั้น มีรุปแบบของการทำงานที่แตกต่างกันในรายละเอียด จึงทำให้บางครั้งเราเรียกมัลแวร์ในชื่ออื่นๆ เช่น ไวรัส สปายแวร์ หรือแอดแวร์ เป็นต้น

ความสัมพันธ์ของโปรแกรมมุ่งร้ายนั้นมีความเกี่ยวโยงกับ Spam Mail ที่เราได้รับกันเป็นประจำทุกวัน กล่าวคือ Spam Mail เป็นยานพาหนะหรือตัวนำมาซึ่งมัลแวร์ในรูปแบบต่างๆ ดังนั้น ภัยจาก Spam Mail จึงไม่ใช่แค่ความรำคาญ หากแต่ยังนำมาซึ่งโปรแกรมมุ่งร้ายที่อาจแนบมากับไฟล์แนบ (Attached File) หรือ อยู่ในรูปแบบของ Download Link ที่หลอกให้ผู้รับอีเมล์เข้าไป Download โปรแกรมมุ่งร้ายดังกล่าว

โปรแกรมไวรัสหรือเวอร์มที่มีผลกระทบรุนแรงในปีที่ผ่านมาได้แก่ โปรแกรม "Storm Worm" หรือ "Nuwar@MM Worm" ซึ่งมาในรูปแบบของจดหมายลูกโซ่ที่กล่าวถึงผู้เสียชีวิตชาวยุโรปจากพายุ โดยอาศัยชื่อพายุดึงความสนใจ คนอ่านเมล์พบว่าคนยุโรปตกเป็นเหยื่อสูงสุด ขณะนี้ชาวอเมริกันและเอเชียกลับพบน้อยกว่า เนื่องจากถือเป็นเหตุไกลตัว ถ้าเปลี่ยนชื่ออีเมล์เป็น 'สึนามิ" อาจมีคนเอเชียติดไวรัสมากกว่านี้ก็เป็นได้

โปรแกรมไวรัส "Storm Worm" นั้น ไม่ใช่ไวรัสคอมพิวเตอร์ธรรมดาๆ แต่เป็นไวรัสที่ทำการยึดเครื่องของเราให้กลายเป็น "BOT" ในเครือข่าย "BOTNET" ของแฮกเกอร์อีกด้วย ทำให้แฮกเกอร์สามารถเข้ามาควบคุมเครื่องคอมพิวเตอร์ของเราได้จากระยะไกล ซึ่งขณะนี้มีการตรวจพบ BOT ที่เกิดจากไวรัส "Storm Worm" แล้วทั่วโลกกว่า 50 ล้านเครื่องที่ถูกโจมตี นับว่าเป็นการโจมตีครั้งใหญ่อีกครั้งหนึ่งของแฮกเกอร์ที่สามารถนำการโจมตีหลายๆ แบบมารวมกันทั้ง BOTNET และ Malware รวมถึง SPAM Mail ด้วย

ดังนั้น เราจึงควรหมั่น Update ข้อมูลข่าวสารใหม่ๆ เกี่ยวกับการแพร่กระจายของไวรัส เพื่อจะได้รุ้เท่าทันวิธีการหลอกแบบใหม่ๆ ของกลุ่มผู้ไม่หวังดี จะได้สามารถป้องกันระบบคอมพิวเตอร์ของเราได้อย่างทันท่วงที โดยเฉพาะเวลาที่ยังไม่มีโปรแกรม ANTI-Malware ที่สามารถกำจัดไวรัสดังกล่าวได้ เรียกว่า "Zero-Day Attack"

6. ภัยจากการใช้โปรแกรมประเภท Peer-to-Peer (P2P) และ Instant Messaging (IM)

จากความนิยมในการใช้โปรแกรม Download ภาพยนตร์และบทเพลงต่างๆ ในรูปแบบของไฟล์ DIVX หรือ MP3 ทำให้โปรแกรมประเภท P2P มีสถิติการใช้ Bandwidth ของเครือข่ายอินเทอร์เน็ตที่สูงมาก ผู้ใช้อินเทอร์เน็ตตามบ้านล้วนนิยมใช้โปรแกรม P2P เช่น Bittorrent , eMule , Limewire , eDonkey หรือ Kazaa กันอย่างแพร่หลาย ปัญหาก็คือ โปรแกรม P2P เหล่านี้นอกจากจะใช้ Bandwidth ขององค์กรในการ Download ไฟล์ต่างๆ แล้ว (ในกรณีที่ผู้ใช้โปรแกรม P2P ในองค์กร) โปรแกรม P2P ยัง "Share" ไฟล์ต่างๆ ที่อยู่ในฮาร์ดดิสก์ของเราอีกด้วย หลายคนรู้เท่าไม่ถึงการณ์ทำให้ข้อมูลส่วนตัวในฮาร์ดดิสก์ถูกนำไป "Share" ให้คนหลายร้อยล้านคนทั่วโลกที่ใช้โปรแกรม P2P ด้วยกันสามารถเข้ามา Download ไฟล์ได้อย่างง่ายดาย นอกจากนี้ โปรแกรมไม่ประสงค์ดีหรือมัลแวร์ยังถูกปล่อยอยู่ตามเครือข่าย P2P โดยจะตั้งชื่อโปแกรมให้มีความน่าสนใจ เพื่อหลอกล่อให้ผู้อ่านโปรแกรม P2P ทำการ Download ไปใช้งาน โดยที่ผู้ใช้ไม่ทราบว่าโปรแกรมเหล่านั้น ถูกเขียนขึ้นมาเพื่อวัตถุประสงค์ในการลักลอบดักข้อมูล (Keylogger) หรือเป็นเครื่องข่ายของ BOTNET ทำให้แฮกเกอร์สามารถเข้ามาควบคุมเครื่องคอมพิวเตอร์ของเราได้จากระยะไกลโดยเราไม่รู้ตัว ดังนั้น การใช้งานโปรแกรมประเภท P2P จำเป็นต้องมีการควบคุมไม่ให้ผู้ใช้ในองค์กรสามารถใช้งานได้ตามใจชอบ เพราะอาจส่งผลกระทบกับเครือข่ายขององค์กรจากการถูกโจมตีโดยไวรัสและแฮกเกอร์ในที่สุด องค์กรควรออกประกาศนโยบายด้านความปลอดภัยสารสนเทศและให้ผู้ใช้งานคอมพิวเตอร์ในองค์กรลงนามในเอกสารหนังสือยินยอมการใช้งานระบบสารสนเทศขององค์กรอย่างปลอดภัยหรือที่รู้จักกันทั่วไปว่า เอกสาร Acceptable use Policy (AUP) ประกอบไปกับการจัดให้มีโปรแกรมฝึกอบรมให้ผู้ใช้คอมพิวเตอร์ตระหนักถึงภัยทางอินเทอร์เน็ตที่มากับโปแกรมประเภท P2P ดังกล่าว

โปรแกรมประเภท Instant Messaging หรือ IM เช่น AIM , YIM และโปแกรมยอดฮิต MSN ก็จัดอยู่ในประเภทเดียวกันกับโปรแกรม P2P ซึ่งผู้ใช้งานโปรแกรม IM ก็มีโอกาสจะติดไวรัสที่ถูกส่งมาจากคู่สนทนาที่กำลัง "Chat" กันอยู่ เนื่องจากคู่สนทนาของเราติดไวรัสก่อน จึงทำให้เครื่องของคู่สนทนาทำการส่งไวรัสออกไปยังทุกคนที่กำลัง "Online" อยู่ในระบบ Instant Messaging ด้วยวิธีการนี้ ทำให้ไวรัสหรือวอร์มสามารถแพร่กระจายได้ด้วยความรวดเร็วเป็นทวีคูณจนสร้างความเสียหายให้กับเครือข่ายขององค์กรได้ในที่สุด ดังนั้น องค์กรจึงจำเป็นต้องควบคุมการใช้งานโปรแกรมประเภท IM โดยเฉพาะควบคุมการ Upload/Download ไฟล์ผ่านทางโปรแกรมดังกล่าว ก็จะช่วยแก้ปัญหาความปลอดภัยได้ในระดับหนึ่ง

7. ภัยจากแฮกเกอร์มืออาชีพข้ามชาติ (Professional International Blackhat Attack)

ในปัจจุบันการโจมตีของแฮกเกอร์นั้นมักจะมีจุดมุ่งหมายชัดเจน เพื่อโจมตีบุคคลหรือองค์กรที่แฮกเกอร์ได้ทำการบ้านและวางแผนล่วงหน้ามาเป็นอย่างดี เรียกได้ว่าแฮกเกอร์ได้ทำการสืบข้อมูลของเหยื่อก่อนที่จะลงมือโจมตีเหยื่อ ซึ่งส่วนใหญ่แฮกเกอร์หวังผลทางด้านการเงิน ดังนั้นบุคคลระดับมหาเศรษฐีของโลกหลายคนล้วนเคยตกเป็นเหยื่อของแฮกเกอร์มาแล้วทั้งนั้น นอกจากวัตถุประสงค์ทางด้านการเงินแล้ว แฮกเกอร์ในบางประเทศก็มีวัตถุประสงค์ทางด้านการเมือง กล่าวคือ โจมตีเป้าหมายประเทศคู่แข่งโดยการเข้ามาล้วงความลับ หรือ "Spy" เพื่อหวังผลทางการเมืองระหว่างประเทศ ปีที่แล้วมีกรณีโจมตีรัฐบาลของประเทศสหรัฐ ประเทศอังกฤษ และประเทศเยอรมัน จากแฮกเกอร์ในประเทศแถบเอเชียมาแล้ว แฮกเกอร์ที่น่ากลัวและมีศักยภาพในการโจมตีสูงได้แก่ แฮกเกอร์จากประเทศจีนและรัสเซีย ดังนั้น ภัยจากแฮกเกอร์นั้นยังเป็นภัย "Classic" ที่เรายังมองข้ามไม่ได้ ยิ่งเป็นเรื่องของมั่นคงของชาติยิ่งต้องเพิ่มระดับของความปลอดภัยให้กับระบบของตนมากขึ้นเท่านั้น

8. ภัยไร้สายจากการใช้งานอุปกรณ์ Mobile และ Wireless (Mobile/Wireless Attack)

การโจมตีผ่านทางระบบไร้สายกำลังเป็นที่นิยมมากขึ้นในหมู่แฮกเกอร์ เนื่องจากเป็นการยากที่จะแกะรอยแฮกเกอร์และง่ายที่จะเข้าระบบ Wireless LAN ที่ไม่มีความปลอดภัยเพียงพอ ในปัจจุบันหลายองค์กรในกรุงเทพมหานครมีการเปิดใช้ Wireless LAN กันอย่างไม่ปลอดภัย รวมถึงผู้ใช้ ADSL ตามบ้านก็เช่นกัน เป็นเหตุให้แฮกเกอร์สามารถใช้สิ่งที่เรียกว่า " War Driving" และ "War Chalking" ในการเข้าโจมตีเครือข่าย Wireless LAN ผ่านทาง Access Point ที่ไม่ได้เข้ารหัส หรือมีการเข้ารหัสที่อ่อนแอเกินไป เช่น เข้ารหัสด้วย WEP Algorithm

ดังนั้น การใช้งาน Wireless LAN จำเป็นต้องมีการเข้ารหัสที่ปลอดภัย ในปัจจุบันนิยมใช้ WPA version 2 Algorithm และควรมีการทำ Authentication เพื่อตรวจสอบชื่อผู้ใช้และรหัสผ่านก่อนการใช้งานทุกครั้ง นอกจากจะทำให้ปลอดภัยขึ้นแล้ว ยังเป็นการปฏิบัติตามประกาศกระทรวง ICT ตามพรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 อีกด้วย

อุปกรณ์ประเภท Handheld เช่น อุปกรณ์ PDA , Smart Phone หรือ Mobile Phone เองก็มีโอกาสถูกโจมตีแบบไร้สายเช่นกัน โดยส่วนใหญ่จะเป็นการโจมตีผ่านทาง WiFi หรือ Bluetooth ทำให้เจ้าของเครื่องถูกแอบขโมยโทรศัพท์ฟรีโดยเจ้าของเครื่องต้องเป็นคนจ่ายค่าโทรศัพท์เอง หรือ ถูกแอบดึงข้อมูล address book หรือ SMS/MMS ออกจากเครื่องโดยที่เจ้าของไม่รู้ตัวเลย นอกจากนี้อาจทำให้เครื่องแฮงค์โดยไม่ทราบสาเหตุ หรือ โทรเข้า / ออกไม่ได้ เป็นต้น กล่าวได้ว่าภัยดังกล่าวนับวันก็จะใกล้ตัวมากขึ้นทุกที

9. ภัยจากการโจมตีด้วยเทคนิค DoS (Denial of Services) หรือ DDoS (Distributed Denial of Services) Attack

วัตถุประสงค์หลักของแฮกเกอร์หรือผู้ไม่หวังดีส่วนใหญ่ หากไม่ใช่เรื่องการขโมยข้อมูล(ละเมิด Confidentiality) หรือแอบแก้ไขข้อมูลแล้ว (ละเมิด Integrity) ก็คงหนีไม่พ้นการโจมตีเพื่อให้ระบบเป้าหมายไม่สามารถทำงานได้ตามปกติ (ละเมิด Availability) โดยวิธีการที่เรียกว่า DoS หรือ DDoS Attack ซึ่งโดยปกติแล้วเว๊บไซค์ประเภทออนไลน์เซอร์วิสหรืออีคอมเมอรส์ล้วนตกเป็นเป้าหมายการโจมตีในลักษณะนี้ ทำให้เว็ปไซด์ดังกล่าวไม่สามารถให้บริการได้ ส่งผลให้ลูกค้าเกิดความไม่พอใจ หรือ ทำให้ธุรกิจขาดรายได้ที่ควรจะได้ตามปกติ

ปัจจุบันการแก้ปัญหาDoS หรือ DDoS Attack นิยมแก้ปัญหาโดยการใช้อุปกรณ์ IPS (Intrusion Prevention System) บางรุ่นที่มีความสามารถในการป้องกัน DoS หรือ DDoS Attack ได้เป็นอย่างดี

การโจมตีในลักษณะนี้เป็นที่นิยมของผู้ก่อการร้ายไฮเทค(Cyber Terrorism) เรียกได้ว่าเป็นการก่อวินาศกรรมในโลกไซเบอร์ แต่มีผลกระทบในโลกของความเป็นจริงยกตัวอย่าง เช่น แฮกเกอร์บุกเข้าโจมตีระบบ SCADA ของการไฟฟ้าหรือการประปา เพื่อให้ไฟฟ้าดับหรือน้ำไม่ไหล หรือโจมตีเขื่อน เพื่อสั่งปล่อยน้ำออกจากเขื่อนโดยไม่ได้รับอนุญาติ เป็นต้น

ในประเทศออสเตรเลีย เคยมีผู้ไม่หวังดีเข้าเจาะระบบ SCADA โดยผ่านทางอุปกรณ์ไร้สาย (Wireless LAN) เพื่อเข้ามาสั่งให้ระบบปล่อยน้ำเสียลงในแม่น้ำทำให้สัตว์น้ำต้องเสียชีวิตเป็นจำนวนมาก เป็นต้น นอกจากพวกผู้ก่อการร้ายทางไซเบอร์ดังกล่าว ก็ยังมีพวก Valdalism ที่คอยป่วนระบบของเราอยู่เป็นระยะๆ ทำให้ระบบเกิดความเสียหายจากความซนของเหล่า Valdalism ที่ชอบทำลายข้อมูลสาธารณะ โดยเฉพาะการทำลายทรัพย์สินของภาครัฐ

สรุปได้ว่าการโจมตีแบบนี้ส่วนใหญ่มักเกิดที่ ISP หรือ ผู้ให้บริการอินเทอร์เน็ต หรือไม่ก็เกิดขึ้นกับเว็บไซด์ยอดนิยมต่างๆ เช่น เว็บข่าว, เว็บกีฬา ,เว็บบันเทิงที่คนนิยมเข้าไปชมกันบ่อยๆ ดังนั้นเว็บไซค์เหล่านี้ควรมีการป้องกันที่เป็นระบบและควรทำ "Penetration Testing" เพื่อเป็นการตรวจสอบว่าระบบมีความปลอดภัยที่แท้จริงหรือไม่ และเพื่อเป็นการพิสูจน์ความแข็งแรงของระบบ Web Server ขององค์กรว่าสามารถทนทานต่อการโจมตีแบบ DoS หรือ DDoS Attack ได้มากเพียงใด

10.ภัยที่เกิดขึ้นจากตัวของเราเอง(Negligence Information Security)

จุดอ่อนที่อ่อนที่สุดในระบบ ก็คือ ตัวของเราเอง หรือ "P" = "People" ใน PPT (People,Process and Technology) Concept การโจมตีระบบส่วนใหญ่ในปัจจุบันเน้นการใช้เทคนิค "Social Engineering" เพื่อหลอกเหยื่อให้หลงเข้าใจผิดในเรื่องที่แฮกเกอร์ปลอมแปลงแต่งขึ้นตามวัตถุประสงค์ที่จะให้เหยื่อทำตามในสิ่งที่แฮกเกอร์ได้กำหนดไว้ล่วงหน้า เช่น ให้เหยื่อเปิดไฟล์มัลแวร์ที่เป็นโปรแกรมม้าโทรจัน เป็นต้น

เราสามารถสรุปสาเหตุที่เหยื่อถูกโจมตีไว้ 10 สาเหตุหลักได้ดังนี้

10.1 ความไม่เข้าใจในเรื่องความปลอดภัยข้อมูลอย่างเพียงพอ (No or Not Enough Information Security Awareness)

10.2 ความไม่ตระหนัก และ ไม่เข้าใจเรื่องการบริหารความเสี่ยงและการประเมินความเสี่ยง (No Risk Management Awareness)

10.3 ความไม่เข้าใจในหลัก "GRC" (Governance Risk and Compliance) (No GRC Awareness)

10.4 การไม่มีแนวนโยบายและแนวทางปฏิบัติที่เกี่ยวกับความปลอดภัยข้อมูลในองค์กร (No Information Security Policy and Guideline)

10.5 ความไม่ใส่ใจปฏิบัติตามแนวนโยบายและแนวทางปฏิบัติที่เกี่ยวกับความปลอดภัยข้อมูล เนื่องจากองค์กรไม่มีการฝึกอบรม "Security Awareness Training" และไม่มีเอกสาร "Acceptable Use Policy" (No Policy Enforcement)

10.6 ผู้บริหารระดับสูงขององค์กรไม่ให้ความสำคัญเรื่องความปลอดภัยข้อมูลอย่างเพียงพอ หรือไม่จริงจังในการผลักดันเรื่องความปลอดภัยข้อมูล (Top Management Security Awareness Ignorance)

10.7 ไม่มีการนำ "Best Practices" ต่างๆ เช่น CobiT หรือ ITIL มาประยุกต์ใช้ในองค์กร ในการปรับปรุง Process ภายใน (No Best Practices Implementation)

10.8 การไม่ปฏิบัติตามมาตรฐานด้านความปลอดภัยข้อมูล เช่น ISO/IEC 27001 เป็นต้น (No Information Security Standard)

10.9 ความไม่เข้าใจในเรื่องการควบคุมภายใน (Internal Control) และการตรวจสอบระบบสารสนเทศ (IT Audit) (No IT audit and control awareness)

10.10 การที่เราไม่มีความรู้มากเพียงพอเท่าทันกับการโจมตีแบบใหม่ๆของแฮกเกอร์ (No new/update Information Security Knowledge) เนื่องจากไม่ได้ Update ข้อมูลใหม่ๆ จากการอ่าน Magazine หรือ การเข้าฟังงานสัมมนา ตลอดจนขาดการฝึกอบรมความรู้เรื่องความปลอดภัยข้อมูลอย่างสม่ำเสมอ
กล่าวโดยสรุปจะเห็นได้ว่าภัยที่เกิดขึ้นกับตัวเรานั้น สาเหตุหลักมาจากการที่เราละเลยไม่ได้ใส่ใจให้ความสำคัญเรื่องความปลอดภัยข้อมูลหรือ ""Information Security" อย่างเพียงพอนั่นเอง ทำให้เป็นต้นเหตุให้ปัญหาอีกหลายๆอย่างตามมา โดยเฉพาะถ้าเป็นความใส่ใจของผู้บริหารระดับสูงขององค์กรแล้ว ก็ยิ่งส่งผลกระทบต่อความปลอดภัยข้อมูลระบบสารสนเทศขององค์กรอย่างหลีกเลี่ยงไม่ได้ ดังนั้น การให้ความรู้ หรือ "Educate" ทุกคนตั้งแต่ ผู้บริหารระดับสูง, ผู้บริหารระดับกลาง, ผู้บริหารระบบ, ผู้ตรวจสอบภายใน รวมถึงผู้ใช้คอมพิวเตอร์ "ทุกคน" ในองค์กร ให้ "ตระหนัก" และ "เข้าใจ" ถึงภัยอินเตอร์เน็ตทั้ง 10 ภัย ดังที่กล่าวมาแล้ว จึงเป็นกุศโลบายและเป็นทางออกในการแก้ปัญหาที่ดีที่สุด และได้ผลจริงในทางปฏิบัติแก่ทุกคนองค์กร

วันนี้เราคงต้องถามตัวเองแล้วว่า "เราได้ให้ความสำคัญและความใส่ใจกับเรื่องความปลอดภัยข้อมูลมากเพียงพอแล้วหรือยัง?"

ดังนั้น "ความรู้ความเข้าใจ" ถึงภัยจากกลุ่มผู้ไม่หวังดีที่ใช้เครือข่ายอินเทอร์เน็ตเป็นเครื่องมือในการกระทำความผิดนั้น บุคคลทั่วไปที่มีความจำเป็นต้องใช้งานอินเทอร์เน็ตในชีวิตประจำวันจึง "จำเป็น" ที่จะต้องศึกษาหาความรู้เกี่ยวกับกลโกงทางอินเทอร์เน็ต ตลอดจนวิธีการโจมตีใหม่ๆในรูปแบบต่างๆ เพื่อที่จะได้ไม่ต้องตกเป็นเหยื่อของอาชญากรคอมพิวเตอร์ที่นับวันจะเพิ่มขึ้นและมีแนวโน้มจะเพิ่มความรุนแรงมากขึ้นในอนาคตอันไกล้นี้
--------------------------------------------------------------------------------
จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนกุมภาพันธ์ 2551
Update Information : 14 กุมภาพันธ์ 2551

[e.k.1911]

ขอขอบพระคุณมากๆครับ.............

[xiehua dun]

ขอบคุณมากๆครับ

[duriankuan 2499]

 

[Chanon_bigboy]

 ขอบคุณมากๆครับ

[สหายเล็กน้อย]

... ขอบคุณครับ ...