Please enable JavaScript.
Coggle requires JavaScript to display documents.
6012510011 นางสาวอามานะห์ มาหะมะ (บทที่1 ความมั่นคงปลอดภัยของระบบสารสนเทศ,…
6012510011 นางสาวอามานะห์ มาหะมะ
บทที่1 ความมั่นคงปลอดภัยของระบบสารสนเทศ
ความมั่นคงปลอดภัยของระบบสารสนเทศ
ความมั่นคงปลอดภัยคือการทำให้รอดพ้นจากอันตราย โดยไร้ความกังวลและความกลัว
ระบบสารสนเทศ คือ การรวมตัวของกระบวนการที่มีความสัมพันธ์และทำงานร่วมกัน
ความมั่นคงปลอดภัยของระบบสารสนเทศ คือการป้องกันข้อมูล สารสนเทศ รวมถึงองค์ประกอบอื่นๆ ที่เกี่ยวข้อง
ขอบเขตของความมั่นคงปลอดภัย
การรักษาความปลอดภัยด้านกายภาพ (Physical Security)
การรักษาความปลอดภัยด้านการสื่อสาร (Communication Security)
การรักษาความปลอดภัยการแผ่รังสี (Emissions Security)
องค์ประกอบความมั่นคงปลอดภัยของข้อมูล
1.ความลับ
2.ความสมบูรณ์
3.ความพร้อมใช้
5.เป็นของแท้
6.ความเป็นส่วนตัว
7.การระบุตัวตน
8.การพิสูจน์ทราบตัวตน
9.การอนุญาติใช้งาน
4.ความถูกต้องแม่นยำ
10.การตรวจสอบได้
อุปสรรคของความมั่นคงปลอดภัยของระบบสารสนเทศ
1.ความมั่นคงปลอดภัย คือ ความไม่สะดวก
2.มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ
3.ผู้ใช้คอมพิวเตอร์ไม่ระแวดระวัง
4.การพฒนาซอฟ์แวร์โดยคำนึงถึงความมั่นคงปลอดภัยภายหลัง
5.ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว
6.แนวโน้มเทคโนโลยีสารสนเทศคือ การแบ่งปัน ไม่ใช่ การป้องกัน
7.มีการเข้าถึงข้อมูลได้จากทุกสถานที่
8.มิจฉาชีพมักมีความเชี่ยวชาญ
9.ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย
บทบาทของบุคคากรสารสนเทศในด้านความมั่นคงปลอดภัย
ผู้สนับสนุนผู้สนับสนุน (Champion) คือ ผู้บริหารระดับสูง ทำหน้าที่ริเริ่มโครงการและให้การสนับสนุนทั้งด้านการเงินและการบริหารจัดการ
หัวหน้าทีม (Team Leader) คือ ผู้บริหารโครงการ ทำหน้าที่คอยควบคุมการดำเนินทั้งด้านการเงินและการบริหารจัดการ
นักพัฒนานโยบายความมั่นคงปลอดภัย (Security Policy Developer) เป็นผู้ที่มีความเข้าใจในวัฒนธรรมองค์กรเป็นอย่างดี นอกจากนี้ ยังเป็นผู้ที่ทราบถึงนโยบายขององค์กร เข้าใจความต้องการและการนำนโยบายไปใช้ให้ประสบผลสำเร็จด้วย
ผู้ชำนาญการประเมินความเสี่ยง Risk Assessment Specialist) ทำหน้าที่ในการประเมินความเสี่ยงทางด้านการเงินขององค์กร ต้องทราบถึงเทคนิคต่างๆ ที่ใช้ประเมินความเสี่ยงเป็นอย่างดี และสามารถเลือกเทคนิคที่มีประสิทธิภาพมากที่สุดได้
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศ (Security Professional) เป็นผู้ที่มีความรู้ ความเชี่ยวชาญในด้านความมั่นคงปลอดภัยของสารสนเทศเป็นอย่างดี
ผู้ดูแลระบบ (System Administrator) ทำหน้าที่ดูแลระบบคอมพิวเตอร์ และอุปกรณ์อื่นๆ ที่เกี่ยวข้อง
ผู้ใช้ระบบ (End User) คือ ผู้ใช้ระบบความมั่นคงปลอดภัยของสารสนเทศที่กำลังพัฒนา โดยทั่วไปนิยมให้ผู้ใช้เข้ามามีส่วนร่วมในการพัฒนาระบบด้วย เพื่อให้ระบบสามารถตอบสนองแก่ผู้ใช้งานได้อย่างถูกต้อง
ประวัติของการรักษาความปลอดภัยของข้อมูล
การรักษาความปลอดภัยคอมพิวเตอร์ (Computer Security)
การรักษาความปลอดภัยของคอมพิวเตอร์แบ่งออกเป็น 4 ชั้น คือ ไม่ลับ ลับ ลับมาก และลับที่สุด
การรักษาความปลอดภัยเครือข่าย (Network Security)
เมื่อคอมพิวเตอร์เชื่อมต่อกันเข้าเป็นเครือข่ายปัญหาใหม่ก็เกิดขึ้น เช่น การสื่อสารคอมพิวเตอร์เปลี่ยนจาก LAN มาเป็น WAN ซึ่งมีแบนด์วิธที่สูงมาก อาจมีหลายเครื่องที่เชื่อมต่อเข้ากับสื่อเดียวกัน การเข้ารหัสโดยใช้เครื่องเข้ารหัสเดี่ยวๆ อาจไม่ได้ผล
การรักษาความปลอดภัยข้อมูล (Information Security)
ไม่มีวิธีการใดที่สามารถแก้ปัญหาเกี่ยวกับการรักษาความปลอดภัได้ทั้งหมด
บทที่2 ภัยคุกคามช่องโห่ว
และการโจมตี
ภัยคุกคาม (Threat)
คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการกระทำอันตรายต่อทรัพย์สิน หรือ สิ่งที่อาจจะก่อให้เกิดความเสียหายต่อคุณสมบัติของข้อมูลด้านใดด้านหนึ่งหรือมากกว่าหนึ่งด้าน (ความลับ (Confidentiality), ความสมบูรณ์ (Integrity), ความพร้อมใช้ (Availability))
ความผิดพลาดที่เกิดจากบุคคล
ภัยร้ายต่อทรัพย์สินทางปัญญา
การจารกรรมหรือการรุกล้ำ
การจารกรรรม
เป็นการกระทำซึ่งใช้อุปกรณ์อิเล็กทรอนิกส์หรือตัวบุคคลในการจารกรรมสารสนเทศที่เป็นความลับ
การรุกล้ำ
คือการกระทำที่ทำให้ผู้รุกล้ำสามารถเข้าสู่ระบบเพื่อรวบรวมสารสนเทศ ที่ต้องการได้โดยไม่ได้รับอนุญาต
แฮคเกอร์ แบ่งตามระดับความสามารถเป็น 2 ประเภทได้แก่
Expert Hacker บางครั้งเรียกว่า “Elite Hacker” เป็นแฮคเกอร์ที่มีทักษะสูงทำการพัฒนาโปรแกรมขนาดเล็กหรือซอฟต์แวร์สคริปต์ที่ใช้ในการเข้าถึงสารสนเทศในระบบของผู้อื่นขึ้นมาให้แฮคเกอร์ประเภท “Unskilled Hacker” ใช้
Unskilled Hacker คือ แฮคเกอร์ที่ไม่มีทักษะหรือมีทักษะน้อย ไม่สามารถสร้างโปรแกรมเจาะระบบได้เอง จึงทำได้เพียงเป็นผู้นำโปรแกรมที่ Expert Hacker พัฒนาไว้มาใช้เข้าถึงสารสนเทศของผู้อื่น
แครกเกอร์ (Cracker)คือ ผู้ที่ทำลายหรือทำซ้ำซอฟต์แวร์รักษาความมั่นคงปลอดภัยของระบบอื่น สร้างความเสียหายให้กับระบบ
แครกเกอร์ มีจุดประสงค์หลัก คือ ต้องการทำลายระบบรักษาความมั่นคงปลอดภัยของระบบ
แฮคเกอร์ มีเป้าหมายเพื่อทดสอบความสามารถหรือต้องการความท้าทายโดยการเจาะระบบให้สำเร็จ (ไม่รวมกรณีสร้างความเสียหายแก่สารสนเทศของระบบด้วย)
การกรรโชกสารสนเทศ (Information Extortion)คือ การที่มีผู้ขโมยข้อมูลหรือสารสนเทศที่เป็นความลับจากคอมพิวเตอร์แล้วต้องการเงินเป็นค่าตอบแทนเพื่อแลกกับการคืนสารสนเทศนั้น เรียกอีกอย่างหนึ่งว่า “Blackmail”
การทำลายหรือทำให้เสียหาย (Sabotage or Vandalism)เป็นการทำลายหรือก่อให้เกิดความเสียหายต่อระบบคอมพิวเตอร์ เว็บไซต์ ภาพลักษณ์ ธุรกิจ และทรัพย์สินขององค์กร ซึ่งอาจเกิดจากบุคคลอื่นที่ไม่หวังดี หรือแม้กระทั่งจากพนักงานภายในองค์กรเองด้วย
การลักขโมย (Theft)คือ การยึดถือเอาของผู้อื่นอย่างผิดกฎหมาย ทรัพย์สินที่จับต้องไม่ได้ เช่น ข้อมูล สารสนเทศ โค้ดโปรแกรม จะต้องใช้วิธีการป้องกันที่ซับซ้อน และหากถูกลักขโมยไปแล้ว การติดตามหาผู้ร้ายจะทำได้ยากกว่าขโมยทรัพย์สินที่จับต้องได้
ซอฟต์แวร์โจมตี (Software Attack) หรือเรียกว่า “การโจมตีด้วยซอฟต์แวร์” เกิดขึ้นเมื่อมีบุคคลหรือกลุ่มบุคคลออกแบบซอฟต์แวร์ให้ทำหน้าที่โจมตีระบบ ซอฟต์แวร์ลักษณะนี้ส่วนใหญ่เรียกว่า “Malicious Code” หรือ “Malicious Software” หรือ “Malware” นั่นเอง
ภัยธรรมชาติ (Forces of Nature)ภัยธรรมชาติชนิดต่างๆ สามารถทำลายหรือสร้างความเสียหายให้กับสารสนเทศขององค์กรได้
คุณภาพของบริการที่เบี่ยงเบนไป (Deviations in Quality of Service)เป็นภัยคุกคามต่อความพร้อมใช้ เกิดขึ้นในกรณีที่บริการใดๆ ที่องค์กรได้รับมาเพื่อการทำงานของระบบสารสนเทศไม่เป็นไปตามความคาดหวัง ซึ่งอาจเกิดจากการผิดพลาดในขณะให้บริการ ที่เกี่ยวเนื่องมาจากอุปกรณ์ในระบบให้บริการผิดพลาด
ความผิดพลาดทางเทคนิคด้านฮาร์ดแวร์ (Technical Hardware Failures/Errors)เกิดขึ้นเมื่อผู้ผลิตปล่อยฮาร์ดแวร์ที่มีข้อบกพร่องออกสู่ตลาด ทำให้องค์กรที่ซื้อฮาร์ดแวร์ดังกล่าวมา ได้รับผลกระทบจากการทำงานบกพร่องของฮาร์ดแวร์ ซึ่งอาจทำให้ระบบต้องหยุดชะงัก ไม่สามารถให้บริการแก่ลูกค้าขององค์กรได้
ความผิดพลาดทางเทคนิคด้านซอฟต์แวร์ (Technical Software Failures/Errors)หากองค์กรซื้อซอฟต์แวร์มาโดยไม่ทราบว่าซอฟต์แวร์นั้นมีข้อผิดพลาด ก็อาจสร้างความเสียหายแก่องค์กรได้
ความล้าสมัยของเทคโนโลยี (Technical Obsolescence)เทคโนโลยีพื้นฐานของระบบคอมพิวเตอร์หรือระบบสารสนเทศ หากล้าสมัยจะส่งผลให้ระบบไม่น่าไว้ใจ และอาจเกิดความเสี่ยงต่อการรักษาความมั่นคงสารสนเทศ เนื่องจากเทคโนโลยีที่ล้าสมัยสามารถถูกโจมตีได้โดยง่ายด้วยเทคโนโลยี ที่ทันสมัยกว่า
ช่องโหว่ (Vulnerability)
ช่องโหว่ (Vulnerabilities) หรือ “ความล่อแหลม” หมายถึง ความอ่อนแอของระบบคอมพิวเตอร์หรือระบบเครือข่ายที่เปิดโอกาสให้สิ่งที่เป็นภัยคุกคามสามารถเข้าถึงสารสนเทศในระบบได้ ซึ่งนำไปสู่ความเสียหายแก่สารสนเทศหรือแม้แต่การทำงานของระบบ
การจัดการบัญชีรายชื่อผู้ใช้ไม่มีประสิทธิภาพการป้องกันสารสนเทศให้เกิดความมั่นคงปลอดภัยในเบื้องต้น คือ การจัดทำรายชื่อผู้ใช้ (User Account) เพื่อล็อกอินเข้าสู่ระบบ ชื่อผู้ใช้ทุกคนจะต้องมี User ID และ Password
Software Bugsจัดเป็นช่องโหว่หลักที่ควรให้ความสำคัญ เนื่องจากเป็นช่องทางที่ผู้บุกรุกนิยมใช้เจาะระบบขององค์กร Software Bugs ส่วนใหญ่เกิดจากการทำงานบางหน้าที่ไม่เหมาะสมนั่นคือ มีข้อบกพร่อง
ระบบปฏิบัติการไม่ได้รับการซ่อมเสริมอย่างสม่ำเสมอโดยทั่วไป ผู้พัฒนาแอปพลิเคชั่นและระบบปฏิบัติการจะพัฒนาโปรแกรมซ่อมเสริมระบบ ที่เรียกว่า “Patch” ซึ่งทำหน้าที่ในการซ่อมแซมระบบ แก้ไขข้อบกพร่อง และเพิ่มระบบรักษาความมั่นคงปลอดภัยให้กับระบบสม่ำเสมอ
ไม่มีการอัพเดตโปรแกรม Anti – virus อย่างสม่ำเสมอการอัพเดทโปรแกรม Anti – virus เป็นการเพิ่มข้อมูลรายละเอียดคุณลักษณะของไวรัสชนิดใหม่ๆ ในฐานข้อมูลโปรแกรม ซึ่งจะช่วยให้โปรแกรมสามารถตรวจจับไวรัสชนิดใหม่ได้
การปรับแต่งค่าคุณสมบัติของระบบผิดพลาดกรณีที่ผู้ดูแลระบบต้องปรับแต่งค่าคุณสมบัติต่างๆ ของระบบด้วยตนเอง จะเสี่ยง ต่อการกำหนดค่าผิดพลาดได้สูงกว่าการที่ระบบกำหนดให้เองอัตโนมัติ
การโจมตี (Attack)
การโจมตี (Attack) คือ การกระทำบางอย่างที่อาศัยความได้เปรียบจากช่องโหว่ของระบบ
1.เพื่อเข้าควบคุมการทำงานของระบบ
2.เพื่อทำให้ระบบเกิดความเสียหาย
3.เพื่อโจรกรรมสารสนเทศ
Malicious Code หรือ Malware คือ โค้ดที่มุ่งร้ายหรือเป็นอันตราย (ซึ่ง ไวรัส เวิร์ม และม้าโทรจัน จัดเป็น Malicious Code ชนิดหนึ่ง) รวมถึง ภาษาสคริปต์บนเว็บ (Web Script) ที่มีวัตถุประสงค์มุ่งร้ายต่อผู้ใช้ด้วย
สแกนหมายเลข IP Address ระบบที่มี Malicious Code ฝังตัวอยู่ จะทำการสแกนหมายเลข IP Address เพื่อหาหมายเลขที่พบช่องโหว่ แล้วทำการติดตั้งโปรแกรม Back Door เพื่อเปิดช่องทางลับให้กับแฮคเกอร์
การท่องเว็บไซต์ ระบบที่มี Malicious Code ฝังตัวอยู่ จะสร้างไฟล์เว็บเพจชนิดต่างๆ เช่น .html, .asp, .cgi เป็นต้น โดยจะฝัง Malicious Code ไว้ด้วย เมื่อผู้ใช้เข้าชมเว็บเพจที่มีอันตรายดังกล่าว ก็จะติดเชื้อ Malicious Code ไปด้วย
ไวรัส คัดลอกตัวเองไปฝังอยู่กับโปรแกรม/ไฟล์ที่สามารถฝังตัวได้ของเครื่องคอมพิวเตอร์ใดๆ ที่ผู้ใช้รันโปรแกรม/ไฟล์ดังกล่าว
อีเมล์ โดยการส่งอีเมล์ที่มี Malicious Code ฝังตัวหรือแนบอยู่ด้วยไปยังที่อยู่อีเมล์ที่พบในเครื่อง ทันทีที่ผู้รับอีเมล์เปิดอ่าน Malicious Code ก็จะเริ่มทำงาน
Hoaxes
คือ การปล่อยข่าวหลอกลวง เรื่องการแพร่ระบาดของไวรัสคอมพิวเตอร์ที่ไม่มีอยู่จริง และในอีเมล์ข่าวหลอกลวงยังได้แนบโปรแกรมไวรัสไปด้วย ทำให้ผู้รับเมล์ติดไวรัสคอมพิวเตอร์ทันทีที่เปิดอ่าน
Back Doorsหรือ Trap Door
คือ เส้นทางลับที่จะช่วยให้ผู้โจมตีหรือผู้บุกรุกเข้าสู่ระบบได้โดยไม่ผ่านกระบวนการตรวจสอบของระบบ โดย ไวรัส เวิร์ม และโทรจันจะเปลี่ยนแปลงค่าบางอย่างให้เกิดช่องโหว่ในระบบ
การเจาะรหัสผ่าน (Password Cracking)
Cracking
คือ การบุกรุกเข้าไปในระบบคอมพิวเตอร์ของผู้ใช้
Password Cracking
จะเป็นการบุกรุกโดยใช้วิธีเจาะรหัสผ่าน เริ่มจากคัดลอกไฟล์ SAM (Security Account Manager) ซึ่งเป็นไฟล์ที่ใช้เก็บรหัสผ่านของผู้ใช้ในรูปแบบที่ถูกเข้ารหัส (Encrypt) จากนั้นผู้บุกรุกจะทำการถอดรหัส (Decrypt) ด้วยอัลกอริธึมถอดรหัสชนิดต่างๆ จนกว่าจะได้รหัสผ่านที่ถูกต้อง เพื่อเข้าใช้ระบบ
Brute Force Attack
เป็นการพยายามคาดเดารหัสผ่าน โดยนำคีย์ที่เป็นไปได้มาจัดหมู่ (Combination) โดยการคำนวณซ้ำหลายๆ รอบ เพื่อให้ได้กลุ่มรหัสผ่านที่ถูกต้อง จึงต้องพัฒนาโปรแกรม Brute Force มาช่วยในการคำนวณให้ทำได้เร็วขึ้น
Dictionary Attack
เป็นการพยายามคาดเดารหัสผ่านจากขอบเขตที่แคบลง โดยคาดเดาจากคำในพจนานุกรม เนื่องจากผู้ใช้งานบางส่วนมักกำหนดรหัสผ่านจากคำง่ายๆ ที่มีไม่กี่พยางค์เหมือนคำในพจนานุกรม ทำให้วิธีนี้สามารถเจาะรหัสผ่านได้เร็วขึ้น
Denaial-of-Service (DoS)
คือ การปฏิเสธการให้บริการของระบบ เป็นการโจมตีโดยใช้วิธีส่งข้อมูลจำนวนมากไปยังเป้าหมาย ทำให้แบนวิดธ์เต็มจนไม่สามารถให้บริการต่อไปได้
Denaial-of-Service มีลักษณะการโจมตีมี 3 รูปแบบ
การโจมตีโดยการส่ง Message หรือ Packet จำนวนมากไปยังเป้าหมาย เพื่อให้ Server หรือ Router ต้องจัดการกับ Message จำนวนมากจนไม่สามารถให้บริการแก่ Client อื่นได้
การโจมตีโดยการส่ง Message หรือ Packet เดียว โดยให้ Message ดังกล่าวทำลายระบบการทำงานของ Server หรือ Router ซึ่ง Message หรือ Packet จะต้องมีประสิทธิภาพเพียงพอที่จะทำให้ระบบล่มได้
การโจมตีที่เรียกว่า Distributed Denaial-of-Service (DDoS)โดยใช้เครื่องคอมพิวเตอร์มากกว่าหนึ่งเครื่องโจมตีพร้อมกัน ซึ่งการส่ง Message หรือ Packet จากหลายเครื่องพร้อมกันนั้นมีจำนวนมหาศาลทำให้ระบบเครือข่ายล่มอย่างรวดเร็ว
Denaial-of-Service (DoS) เป็นรูปแบบการโจมตีที่หาวิธีป้องกันและแก้ไขได้ยาก เนื่องจากระบบอาจถูกโจมตีมาจากสถานที่ต่างกัน
การป้องกัน คือ ใช้อุปกรณ์หรือเครื่องมือที่สามารถตรวจจับการส่งข้อมูลที่ซ้ำๆ กันจาก IP หมายเลขเดียวกัน และทำการบล็อกไม่ให้ส่งข้อมูลเข้ามาในระบบได้อีก
Spoofing
คือ เทคนิคที่ทำให้เข้าถึงระบบเป้าหมายที่ไม่ได้รับอนุญาตได้โดยใช้ IP Address ของ Server/Host ที่เชื่อถือได้เป็นตัวหลอกล่อ
TCP Hijacking Attack
หรือ Man-in-the-Middle เป็นการโจมตีที่ผู้โจมตีจะใช้วิธีคอยติดตาม Packet จากเครือข่าย และดักจับ Packet นั้นมาดัดแปลงเป็นของตนเอง แล้วส่งกลับไปยังเครือข่าย เมื่อฝั่งรับได้รับ Packet แล้วตอบกลับโดยส่งข้อมูลกลับไป จะทำให้ผู้โจมตีได้รับข้อมูลนั้นด้วย
Spam
เป็นการใช้อีเมล์เพื่อการโฆษณาหรือประชาสัมพันธ์สินค้าและบริการต่างๆ จัดเป็นการกระทำที่สร้างความรำคาญมากกว่าการสร้างความเสียหายหรือโจมตีเพื่อหวังผลทำลาย
Mail Bombing
เป็นการโจมตีทางอีเมล์ มีลักษณะการทำลายแบบ DoS คือการโจมตีจะส่งอีเมล์จำนวนมหาศาลไปยังระบบเป้าหมาย เพื่อให้ระบบไม่สามารถให้บริการคำร้องขอรายอื่นได้
Sniffers
เป็นโปรแกรมหรืออุปกรณ์ที่สามารถอ่าน ติดตาม และดักจับข้อมูลที่วิ่งอยู่ในเครือข่ายได้ โดยอาจนำข้อมูลที่ดักจับมาได้ไปใช้ประโยชน์ในทางที่ผิด หรือสร้างความเสียหายให้กับระบบ
Social Engineering
หรือ วิศวกรรมทางสังคม คือการใช้ทักษะทางสังคมในการหลอกลวงเหยื่อให้เปิดเผยข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับ เพื่อนำไปใช้ในทางที่ผิดกฎหมาย เช่น การโทรศัพท์เพื่อหลอกขอ Username และ Password
Buffer Overflow
หรือ บัฟเฟอร์ล้น เป็นการโจมตีโดยส่งข้อมูลเข้าสู่ระบบจำนวนมากเกินกว่าเนื้อที่ในบัฟเฟอร์ และฉวยโอกาสในการสั่งให้ระบบทำตามคำสั่งที่ส่งไปควบคุม
Timing Attack
เป็นการโจมตีโดยการขโมยข้อมูลที่จัดเก็บอยู่ใน Cache ของโปรแกรม Web Browser โดยผู้โจมตีจะสร้างไฟล์ Cookies ที่เป็นอันตราย และบันทึกไว้ในเครื่องทันทีที่เราเข้าเว็บไซต์ที่มีไฟล์ Cookies นั้นอยู่ จากนั้นไฟล์ Cookies จะคอยส่งข้อมูลใน Cache ไปให้ผู้โจมตี หากผู้ใช้กำหนดให้เครื่องคอมพิวเตอร์จดจำรหัสผ่านเข้าระบบต่างๆ ไว้ ผู้โจมตีก็จะได้ข้อมูลนั้นไปด้วย
Zero-day Attack
เป็นการโจมตีโดยการพยายามเจาะช่องโหว่ที่องค์กรยังไม่ได้เผยแพร่การค้นพบช่องโหว่นั้นต่อสาธารณะ แฮคเกอร์หรือผู้โจมตีจึงอาศัยจังหวะดังกล่าวชิงโจมตีระบบก่อนที่ผู้พัฒนาซอฟต์แวร์จะผลิตโปรแกรมซ่อมแซมออกมาได้ทัน
มัลแวร์ (Malware)
คือ ซอฟต์แวร์หรือโปรแกรมที่มุ่งร้ายต่อเป้าหมาย ถูกออกแบบมาให้ทำหน้าที่สร้างความเสียหายทำลาย หรือระงับการให้บริการของระบบเป้าหมาย มัลแวร์ เรียกได้อีกอย่างหนึ่งว่า “Malicious Software” หรือ “Malicious Code”
ระเบิดเวลา (Logic Bomb)เป็นโค้ดโปรแกรมที่ถูกฝังอยู่ในโปรแกรมอื่น รอเวลาจนกว่าจะเกิดเหตุการณ์ใดๆ ที่ถูกกำหนดไว้ จึงจะทำการแทรกตัวเองไปกับแอปพลิเคชันหรือระบบปฏิบัติการ อาจไม่ทำลายระบบโดยตรง แต่จะใช้วิธีแจ้งข้อความไปยังผู้โจมตีแทน เพื่อให้ส่งโค้ดโจมตีมาสร้างความเสียหานแก่เป้าหมายในทันทีที่เป้าหมายเชื่อมต่อเข้ากับอินเทอร์เน็ต
ม้าโทรจัน (Trojan Horse)คือโปรแกรมที่ไม่สามารถแพร่กระจายตัวเองไปยังคอมพิวเตอร์เครื่องอื่นได้ แต่จะใช้วิธีแฝงตัวอยู่ในลักษณะของไฟล์หรือโปรแกรม เพื่อหลอกให้ผู้ใช้เปิดไฟล์หรือดาวน์โหลดมาใช้ จากนั้นก็จะทำงานที่เป็นอันตรายต่อเครื่องคอมพิวเตอร์
ประตูลับ (Back Door)หรือ Trap Door คือ เส้นทางลับที่จะช่วยให้ผู้โจมตีหรือผู้บุกรุกเข้าสู่ระบบได้โดยไม่ผ่านกระบวนการตรวจสอบของระบบ โดย ไวรัส เวิร์ม และโทรจันจะเปลี่ยนแปลงค่าบางอย่างให้เกิดช่องโหว่ในระบบ ก็คือการสร้าง Back Door ไว้ให้ผู้โจมตีเข้ามาควบคุมระบบได้นั้นเอง
ไวรัส (Virus)หรือ ไวรัสคอมพิวเตอร์ (Computer Virus) คือโค้ดหรือโปรแกรมคอมพิวเตอร์ที่มุ่งร้ายต่อโปรแกรมหรือไฟล์อื่น โดยจะฝังหรือสำเนาตัวเองไปกับโปรแกรมหรือไฟล์ข้อมูลที่เป็นเป้าหมาย เมื่อโปรแกรมหรือไฟล์ข้อมูลนั้นถูกรัน ไวรัสก็จะเริ่มทำงาน ตามคำสั่งที่บรรจุอยู่ในโค้ด เช่น ลบไฟล์หรือแก้ไขค่าของไฟล์
คุณลักษณะของไวรัสคอมพิวเตอร์
1.ประกอบด้วยโค๊ดหรือชุดคำสั่งที่ฝังอยู่ในแหล่งฝังตัว (Host Program/File)
2.จะเริ่มทำงานก็ต่อเมื่อ (Host Program/File) ถูกรัน ซึ่งสามารถแพร่เชื่อติดต่อไปยังโปรแกรมหรือไฟล์อื่นได้ด้วยการแก้ไขโค้ดโปรแกรมหรือไฟล์นั้น
3.โดยจะสำเนาหรือคัดลอกตัวเองเมื่อ (Host Program/File) ถูกรัน ก็จะฝังตัวไปกับโปรแกรมหรือไฟล์ดังกล่าว
วงจรชีวิตของไวรัสคอมพิวเตอร์
ระยะไม่เคลื่อนไหว (Dormant Phase) เป็นระยะที่ไม่ถูกกระตุ้นให้ทำงาน
ระยะแพร่กระจาย (Propagation Phase) เป็นระยะที่ไวรัสคัดลอกตัวเอง
ระยะถูกกระตุ้น (Triggering Phase) เป็นระยะที่ถูกกระตุ้นให้ทำงาน
ระยะทำงาน (Execution Phase) เป็นระยะเห็นผลการทำงานของไวรัส
กายวิภาคของไวรัสคอมพิวเตอร์
โครงสร้างของไวรัสคอมพิวเตอร์ ประกอบด้วย 4 ส่วน
Mark ทำหน้าที่ป้องกันการติดเชื้อไวรัสอื่น
Infection Mechanism เป็นกลไกที่ทำหน้าที่คัดลอกตัวเองไปฝังหรือแนบกับโปรแกรมหรือไฟลือื่น คือ ทำหน้าที่แพร่กระจาย
Trigger คือ เงื่อนไขในการกระตุ้นให้ไวรัสทำงาน
Playload การกระทำที่มุ่งร้ายต่อเป้าหมาย
ชนิดของไวรัสคอมพิวเตอร์
Memory Resident Virus เป็นไวรัสที่ฝังตัวอยู่ในหน่วยความจำหลัก โดยแฝงตัวอยู่กับโปรแกรมที่จัดเก็บอยู่ในหน่วยความจำหลัก
Program File Virus เป็นไวรัสที่ฝังตัวอยู่กับไฟล์โปรแกรมใดๆ เช่น ไฟล์นามสกุล .exe, .com, .sys เป็นต้น
Polymorphic Virus เป็นไวรัสที่สามารถซ่อนลักษณะและเปลี่ยนพฤติกรรมไปเรื่อยๆ เช่น เปลี่ยนขนาดของไฟล์ เพื่อหลีกเลี่ยงการตรวจจับของซอฟต์แวร์ Anti Virus
Stealth Virus เป็นไวรัสที่ถูกออกแบบมาให้สามารถซ่อนตัวเองจากการตรวจจับได้ เมื่อไวรัสถูกโหลดเข้าสู่หน่วยความจำแล้ว ไวรัสจะคอยดักจับการเรียก (Call) ไฟล์และเข้าถึงข้อมูลในดิสก์ของระบบ เมื่อดักจับ Call ได้แล้ว ไวรัสจะดัดแปลง Call ดังกล่าว แล้วส่งกลับคืนระบบตามเดิม รอให้ระบบเรียกใช้ Call นั้นอีกครั้ง ไวรัสก็จะทำงานทันที
Boot Sector Virus เป็นไวรัสที่ฝังตัวอยู่ใน Boot Sector ของฮาร์ดดิสที่จัดเก็บระบบปฏิบัติการ โดยไวรัสจะถูกโหลดไปที่หน่วยความจำหลักเมื่อเปิดเครื่อง และเริ่มทำการประมวลผลตามคำสั่งมุ่งร้ายที่ได้กำหนดไว้พร้อมกับฝังตัวในหน่วยความจำหลัก
E-mail Virus เป็นไวรัสที่แนบตัวเองไปกับอีเมล์ เช่น อาจแนบไฟล์ไปกับเนื้อหาในอีเมล์ หรือฝังตัวเองไปกับไฟล์ที่แนบไปกับอีเมล์ เมื่อผู้ใช้เปิดดูไฟล์ไวรัสก็จะทำสำเนาตัวเองลงในเครื่องผู้ใช้ และสามารถส่งตัวเองไปยังผู้รับอีเมล์รายอื่นตาม E-mail Address ที่จัดเก็บอยู่ในเครื่อง
Macro Virus คือ ชุดคำสั่งที่ทำงานได้เองโดยอัตโนมัติบนโปรแกรมหรือแอปพลิเคชัน จะติดกับไฟล์ซึ่งใช้เป็นต้นแบบ (template) ในการสร้างเอกสาร (documents หรือ spreadsheet) หลังจากที่ต้นแบบในการใช้สร้างเอกสารติดไวรัสแล้ว ทุกๆเอกสารที่เปิดขึ้นใช้ด้วยต้นแบบนั้นจะเกิดความเสียหายขึ้น
เวิร์ม (Worm)
คือ โปรแกรมที่มุ่งร้ายที่สามารถสำเนาหรือทำซ้ำตัวเองไปยังคอมพิวเตอร์เครื่องอื่นได้โดยไม่ต้องอาศัยพาหะ แต่อาศัยการเดินทางผ่านเครือข่าย เข้ามาตามช่องโหว่ของระบบปฏิบัติการ ไฟล์ข้อมูล อีเมล์ต่างๆ เน้นการโจมตีเครือข่ายมากกว่าสร้างความเสียหายให้กับไฟล์
Mark ทำหน้าที่ป้องกันการติดเชื้อไวรัสอื่น
Infection Mechanism ทำหน้าที่ค้นหาช่องโหว่หรือจุดอ่อนของคอมพิวเตอร์ในเครือข่าย
Trigger คือ เงื่อนไขในการกระตุ้นให้ Playload ทำงาน
Playload การกระทำที่มุ่งร้ายต่อเป้าหมาย คือการติดตั้ง Trojan Horse, Back Door หรือ Virus ลงในเครื่องเป้าหมาย
ซอมบี้ (Zombie)
คือ เป็นโปรแกรมที่เข้าควบคุมการทำงานของคอมพิวเตอร์ที่ตนเองฝังตัวอยู่ จากนั้นจึงใช้คอมพิวเตอร์ที่ดังกล่าวเป็นเครื่องมือ ในการโจมตีเป้าหมายเพื่อกระทำการใดๆ ที่เป็นประโยชน์ต่อผู้สั่งโจมตี (Attacker) ซึ่งขัดต่อกฎหมายและจริยธรรม
สปายแวร์ (Spyware)
มีลักษณะและพฤติกรรมคล้ายโทรจันคือ ไม่แพร่เชื้อไปติดไฟล์อื่นๆ อาศัยการหลอกผู้ใช้ให้ติดตั้งโปรแกรมลงบนเครื่องของตนเอง หรืออาศัยช่องโหว่ของ Web Browser ในการติดตั้งตัวเองลงบนเครื่องเหยื่อ และเข้าไปเปลี่ยนค่าต่างๆ เพื่อสร้างความรำคาญให้กับผู้ใช้
ข่าวไวรัสหลอกลวง (Virus and Worm Hoaxes)
คือ วิธีการสร้างความสับสนให้กับผู้ใช้ด้วยข่าวไวรัสหลอกลวง ที่ส่งต่อกันมาในรูปแบบอีเมล์ ทำให้องค์กรต้องเสียเวลาและค่าใช้จ่ายไปกับการค้นหาวิธีกำจัดไวรัสที่ไม่มีอยู่จริง
เครื่องมือสำหรับการรักษาความปลอดภัย
เครื่องมือในการรักษาความปลอดภัย สามารถแบ่งได้เป็น 2 ประเภท
Software ได้แก่ Firewall, IDS, Data Encryption, Anti Virus Software
Hardware ได้แก่ Smart Card, Retina Scanner, Finger Print
ไฟร์วอล (Firewall)
คือ Firewall เป็นระบบควบคุมการเข้าออกเครือข่าย ซึ่งจะใช้สำหรับปกป้องเครือข่ายภายในองค์กร จากการโจมตีจากภายนอก
ระบบตรวจจับการบุกรุก
(IDS : Intrusion Detection System)คือ ระบบตรวจจับการบุกรุก หรือ IDS เป็นระบบที่ใช้สำหรับการเฝ้าระวัง และแจ้งเตือนภัยถ้ามีการบุกรุก หรือมีสิ่งผิดปกติเกิดขึ้นในระบบ ซึ่งบางระบบนั้นสามารถตรวจจับและหยุดการบุกรุกได้
การเข้ารหัสข้อมูล (Encryption)โดยทั่วไปข้อมูลที่ส่งผ่านเครือข่ายนั้นจะอยู่ในรูปแบบของ Clear Text ดังนั้น การเข้ารหัสข้อมูลจึงหมายถึง วิธีที่ใช้สำหรับแปลง Clear Text ให้เป็น Cipher Text หรือข้อมูลที่ได้เข้ารหัสแล้ว ซึ่งข้อมูลที่ถูกเข้ารหัสจะถูกส่งไปให้ผู้รับทำการถอดรหัสข้อมูล (Decryption) เพื่อให้ได้ข้อมูลเดิม
การเข้าและถอดรหัสข้อมูล เรียกว่า Cryptography
ซอฟต์แวร์ป้องกันไวรัส (Antivirus software) คือ โปรแกรมคอมพิวเตอร์ที่สามารถระบุ ขัดขวางและกำจัดไวรัสคอมพิวเตอร์ ซึ่งรวมไปถึงโปรแกรมที่เป็นอันตรายอื่นๆได้
ระบบการรักษาความปลอดภัยทางด้านกายภาพ (Antivirus software) คือ มาตรการที่ใช้ในการปกป้องทรัพยากรจากภัยคุกคามทางกายภาพทั้งโดยเจตนาและไม่เจตนา ลดความเสี่ยงด้านความปลอดภัย โดยการจำกัดการใช้งาน ใช้อุปกรณ์ช่วยในการพิสูจน์ตัวตนของผู้ใช้เข้ามาช่วย เช่น Smart Cards, Biometrics
บทที่3 ระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ
การบริหารหรือการจัดการความมั่นคงปลอดภัยของสารสนเทศ
1.Planning เป็นการวางแผนสำหรับการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศ เป็นแผนงานระดับปฏิบัติการ
2.Policy เป็นการกำหนดนโยบาย กฎเกณฑ์ ระเบียบ และข้อบังคับ เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศ
3.Programs คือ โครงการต่างๆ ที่จัดขึ้นเพื่องานด้านความมั่นคงปลอดภัยของสารสนเทศ เช่น การฝึกอบรม ให้ความรู้
4.Protection เป็นการกำหนดมาตรฐานการป้องกันรอดพ้นจากการโจมตีโดยภัยคุกคามชนิดต่างๆ หรือทำให้เกิดความเสียหายน้อยที่สุด
5.People คือ บุคลากรเป็นปัจจัยสำคัญต่องานบริหารทุกด้าน เป็นจุดเชื่อมโยงไปยังความสำเร็จอื่นๆ
6.Project Management ทุกโครงการในงานด้านความมั่นคงปลอดภัยของสารสนเทศ ต้องอาศัยการบริหารโครงการเป็นกรอบในการดำเนินงาน
นโยบายความมั่นคงปลอดภัยของสารสนเทศและความสำคัญ
นโยบาย (Policy) คือ แผนงานหรือกลุ่มของข้อปฏิบัติที่องค์กรใช้เป็นตัวกลางในการถ่ายทอดคำสั่งจากผู้บริหารระดับสูงไปยังบุคลากรในระดับตัดสินใจ ระดับปฏิบัติการ และระดับอื่นๆ
ในการกำหนดนโยบายต้องสอดคล้องและสนับสนุน
ภารกิจ (Mission)
วิสัยทัศน์ (Vision)
แผนกลยุทธ์ (Strategic Plan) ขององค์กร
นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy) คือ กฎข้อบังคับที่ใช้ในการป้องกันสารสนเทศขององค์กร
ข้อแนะนำในการกำหนดนโยบายความมั่นคงปลอดภัยของสารสนเทศ
ไม่ขัดต่อกฎหมาย
สามารถใช้ในชั้นศาลได้หากจำเป็น
ต้องได้รับการสนับสนุนและการบริหารจัดการที่ดี
ต้องมีส่วนช่วยให้องค์กรประสบความสำเร็จ
ฝ่ายบริหารจะต้องมั่นใจว่ามีการกำหนดข้อปฏิบัติแก่บุคลากรในการใช้งานระบบสารสนเทศได้อย่างเหมาะสม
ควรให้ผู้ใช้ระบบสารสนเทศมีส่วนร่วมในขั้นตอนกำหนดนโยบาย
นโยบายความมั่นคงปลอดภัยของสารสนเทศ จะต้องตอบสนองความต้องการขององค์กรได้อย่างแท้จริง
การบริหารความเสี่ยง (Risk Management)
การประเมินความเสี่ยง (Risk Assessment)
การรักษาความเสี่ยง (Risk Treatment)
องค์ประกอบของความเสี่ยง
ช่องโหว่ (Vulnerability)
ภัยคุกคาม
อาชญากรรมทางคอมพิวเตอร์ (Computer Crime)