Please enable JavaScript.
Coggle requires JavaScript to display documents.
5812510002 ภัทรสิทธิ์ (บทที่ 2 :star:ภัยคุกคาม ช่องโหว่ และการโจมตี…
5812510002 ภัทรสิทธิ์
บทที่ 1 :star: ความปลอดภัยและความมั่นคงของระบบสารสนเทศ
คือ การป้องกันข้อมูล สารสนเทศ รวมถึงองค์ประกอบอื่นๆ ที่เกี่ยวข้อง เช่น ระบบและฮาร์ดแวร์ที่ใช้ในการจัดเก็บและถ่ายโอนข้อมูล สารสนเทศนั้น ให้รอดพ้นจากอันตรายอยู่ในสถานะที่มีความปลอดภัย ไร้ความกังวลและความกลัว
อุปสรรคของความมั่นคงปลอดภัยของระบบสารสนเทศ
:red_flag:
“ความมั่นคงปลอดภัย” คือ “ความไม่สะดวก”
ผู้ใช้คอมพิวเตอร์ทั่วไป มักมีความคิดเห็นว่าการรักษาความมั่นคงปลอดภัยของระบบคอมพิวเตอร์นั้นทำให้การทำงานไม่สะดวก เนื่องจากต้องเสียเวลาในการป้อนรหัสผ่าน และกระบวนการอื่นๆ ในการพิสูจน์ตัวตนผู้ใช้
มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ
เช่น Registry, Port และ Service ต่างๆ ที่จะทราบเฉพาะในแวดวงของโปรแกรมเมอร์หรือผู้ดูแลระบบ ทำให้ผู้ใช้คอมพิวเตอร์ทั่วไปไม่ได้ระมัดระวังความปลอดภัยในด้านนี้
ผู้ใช้คอมพิวเตอร์ไม่ระแวดระวัง
ผู้ใช้ทั่วไปที่ไม่มีความชำนาญหรือไม่มีความรู้ความสามารถด้านคอมพิวเตอร์มากพอ มักใช้คอมพิวเตอร์อย่างไม่ระวัง จึงตกเหยื่อของการโจมตีเสมอ
การพัฒนาซอฟต์แวร์โดยคำนึงถึงความมั่นคงปลอดภัยภายหลังโครงการพัฒนาซอฟต์แวร์ส่วนใหญ่มักจะให้ความสำคัญกับการดำเนินงานให้ทันตามกำหนดเวลา ในกระบวนการทดสอบบางครั้งจึงอาจมีการละเลยหรือขาดตกบกพร่องไป ทำให้ซอฟต์แวร์มีช่องโหว่เป็นจุดอ่อนในการถูกโจมตีได้ในที่สุด
ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว
การรักษาความมั่นคงปลอดภัยของสารสนเทศเป็นงานที่เป็น “กระบวนการ” ต้องอาศัยความร่วมมือจากผู้ใช้ทั้งองค์กร มีนโยบายบังคับให้ผู้ใช้มุ่งไปสู่การรักษาความมั่นคงปลอดภัยด้วยเป้าหมายเดียวกัน
แนวโน้มเทคโนโลยีสารสนเทศคือการ “แบ่งปัน” ไม่ใช่ “การป้องกัน”
เทคโนโลยีอินเทอร์เน็ตในปัจจุบันเน้นการสร้างการเชื่อมโยงของผู้ใช้จากทุกมุมโลก ที่นิยมในปัจจุบันคือ “Social Network” เกิดสังคมแบ่งปันข้อมูลโดยขาดความระมัดระวัง ทำให้เกิดช่องโหว่ของการโจมตีได้
มีการเข้าถึงข้อมูลได้จากทุกสถานที่
ปัจจุบันอุปกรณ์คอมพิวเตอร์แบบพกพา หรือโทรศัพท์มือถือแบบ Smart Phone สามารถเข้าถึงเว็บไซต์หรือแหล่งข้อมูลขององค์กรได้
มิจฉาชีพมักมีความเชี่ยวชาญ
มิจฉาชีพมีความเชี่ยวชาญและชำนาญการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ จึงทำให้เทคโนโลยีการป้องกันย่อมล้าหลังเทคโนโลยีของมิจฉาชีพเสมอ
ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย
เนื่องจากงานความมั่นคงปลอดภัยสร้างผลตอบแทนที่ไม่ใช่ตัวเงิน ดังนั้นงานด้านความมั่นคงปลอดภัยขององค์กรโดยทั่วไป จึงมักถูกพิจารณาภายหลัง หรือถูกพิจารณาเมื่อองค์กรถูกโจมตีจากภัยคุกคาม และเกิดความเสียหายจำนวนมาก
บทบาทของบุคลากรสารสนเทศในด้านความมั่นคงปลอดภัย :red_flag:
. ผู้สนับสนุน . หัวหน้าทีม นักพัฒนานโยบายความมั่นคงปลอดภัย ผู้ชำนาญการประเมินความเสี่ยง . ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศ ผู้ดูแลระบบ . ผู้ใช้ระบบ
บทที่ 2 :star:ภัยคุกคาม ช่องโหว่ และการโจมตี
การโจมตี :red_flag:
เช่น ระบบล็อกอินที่ไม่มีกลไกการตรวจสอบชื่อผู้ใช้และรหัสผ่านที่ดี ทำให้มิจฉาชีพสามารถคาดเดารหัสผ่านและลักลอบเข้าสู่ระบบโดยไม่ได้รับอนุญาตได้อย่างง่ายดายTrap Door คือ เส้นทางลับที่จะช่วยให้ผู้โจมตีหรือผู้บุกรุกเข้าสู่ระบบได้โดยไม่ผ่านกระบวนการตรวจสอบของระบบ โดย ไวรัส เวิร์ม และโทรจันจะเปลี่ยนแปลงค่าบางอย่างให้เกิดช่องโหว่ในระบบ
มัลแวร์ :red_flag:
คือ ซอฟต์แวร์หรือโปรแกรมที่มุ่งร้ายต่อเป้าหมาย ถูกออกแบบมาให้ทำหน้าที่สร้างความเสียหายทำลาย หรือระงับการให้บริการของระบบเป้าหมาย มัลแวร์ เรียกได้อีกอย่างหนึ่งว่า “Malicious Software” หรือ “Malicious Code”
ช่องโหว่ :red_flag:
หมายถึง ความอ่อนแอของระบบคอมพิวเตอร์หรือระบบเครือข่ายที่เปิดโอกาสให้สิ่งที่เป็นภัยคุกคามสามารถเข้าถึงสารสนเทศในระบบได้ ซึ่งนำไปสู่ความเสียหายแก่สารสนเทศหรือแม้แต่การทำงานของระบบ เช่น ระบบล็อกอินที่ไม่มีกลไกการตรวจสอบชื่อผู้ใช้และรหัสผ่านที่ดี ทำให้มิจฉาชีพสามารถคาดเดารหัสผ่านและลักลอบเข้าสู่ระบบโดยไม่ได้รับอนุญาตได้อย่างง่ายดาย
ภัยคุกคาม :red_flag:
คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการกระทำอันตรายต่อทรัพย์สิน หรือ สิ่งที่อาจจะก่อให้เกิดความเสียหายต่อคุณสมบัติของข้อมูลด้านใดด้านหนึ่งหรือมากกว่าหนึ่งด้าน (ความลับ (Confidentiality), ความสมบูรณ์ (Integrity), ความพร้อมใช้ (Availability))
เครื่องมือสำหรับการรักษาความปลอดภัย
:red_flag:
เครื่องมือในการรักษาความปลอดภัย สามารถแบ่งได้เป็น 2 ประเภท
Software ได้แก่ Firewall, IDS, Data Encryption, Anti Virus Software
Hardware ได้แก่ Smart Card, Retina Scanner, Finger Print
บทที่ 3 :star:ระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ
การบริหารความเสี่ยง (Risk Management)
:red_flag:
ความเสี่ยง (Risk) เป็นพื้นฐานที่ทำให้ต้องมีการรักษาความปลอดภัย (Security) ความเสี่ยงคือ ความเป็นไปได้ที่อาจก่อให้เกิดผลเสียหายต่อข้อมูลสำคัญและระบบ รวมถึงอุปกรณ์ที่สนับสนุนการทำงานให้กับข้อมูลสำคัญนั้นกระบวนการในการบริหารจัดการความเสี่ยงตามมาตรฐาน ISO/IEC 27001 ประกอบด้วย 2 ส่วนหลักๆ คือ
การประเมินความเสี่ยง (Risk Assessment)
การรักษาความเสี่ยง (Risk Treatment)
อาชญากรรมทางคอมพิวเตอร์
:red_flag:
ความซับซ้อนของการโจมตี
การแฮค แคร็ค และโจมตีระบบคอมพิวเตอร์มีอัตราเพิ่มขึ้นทุกปี ภาครัฐและเอกชนมีความพยายามในการป้องกันปัญหานี้ผู้โจมตีส่วนใหญ่มักถูกจับไม่ได้เนื่องจากเขาปลอมตัวหรือซ่อนชื่อ ที่อยู่ หรือมักใช้วิธีการล็อกอินไปยังระบบอื่นเป็นทอดๆ ก่อนใช้ระบบสุดท้ายในลูกโซ่นั้นโจมตีเป้าหมาย
นโยบายความมั่นคงปลอดภัยของสารสนเทศ
:red_flag:
นโยบาย (Policy) คือ แผนงานหรือกลุ่มของข้อปฏิบัติที่องค์กรใช้เป็นตัวกลางในการถ่ายทอดคำสั่งจากผู้บริหารระดับสูงไปยังบุคลากรในระดับตัดสินใจ ระดับปฏิบัติการ และระดับอื่นๆ
นโยบายเป็นเสมือนกฎหมายที่บังคับใช้ในองค์กร เนื่องจากนโยบายได้ระบุข้อปฏิบัติที่ถูกและผิดไว้ภายใต้กรอบวัฒนธรรมขององค์กรนั้นๆ รวมทั้งยังได้มีการกำหนดบทลงโทษสำหรับผู้ที่มีความประพฤติขัดต่อนโยบายด้วย
จริยธรรมกับความมั่นคงปลอดภัยของสารสนเทศ :red_flag:
จริยธรรมกับความมั่นคงปลอดภัยของสารสนเทศ
“กฏหมาย” ถูกกำหนดขึ้นจากจารีตประเพณีและจริยธรรมอันดีงามที่บุคคล พึงปฏิบัติเมื่ออยู่ในสังคม
“จริยธรรม” คือ หลักของความถูกต้องและไม่ถูกต้อง ซึ่งถูกใช้เป็นตัวแทนทางศีลธรรมในการปฏิบัติตนของบุคคลใดๆ
