สำหรับหลายๆ คนที่ทำงานทางด้าน Security ที่เน้นแต่ด้าน Technical เป็นหลักนั้นอาจจะไม่ค่อยรู้จักและไม่ค่อยศรัทธาในมาตรฐาน ISO 27001 หรือ Information Security Management System มากนัก เนื่องจากมาตรฐาน ISO มักถูกมองว่าเป็นสิ่งที่เพิ่มงานเพราะต้องมีการจัดทำเอกสารต่างๆ มากมาย แตกต่างจากมาตรฐานหรือข้อแนะนำต่างๆ เช่น SANS Top 20 Critical Controls ที่เน้นเรื่องการจัดการด้าน Technical เป็นหลัก

ในความเป็นจริงแล้วมาตรฐาน ISO 27001 นี้มีข้อกำหนดต่างๆ ที่เกี่ยวข้องกับการปรับปรุงระบบ Security มากมายไม่เพียงมีแค่เรื่องเอกสารเท่านั้น ยังมีเรื่องของการจัดทำ Process และการปรับปรุงทางด้าน Technical ด้วยโดยบทความนี้จะมุ่งเน้นไปที่ Technical Control ของมาตรฐาน ISO 27001 เป็นหลัก เพื่อแสดงให้เห็นว่าการทำ ISO 27001 นั้นมีประโยชน์อย่างไรบ้างในเชิง Technical

ข้อกำหนด A.7 Human Resource Security

ข้อกำหนดนี้กล่าวถึงการจัดการของฝ่าย HR ซึ่งเริ่มจากการรับพนักงานจะต้องมีการตรวจสอบประวัติพนักงานก่อนเข้ารับทำงาน การให้ความรู้เกี่ยวกับ Information Security ให้กับพนักงานภายในองค์กรเพื่อไม่ให้พนักงานตกเป็นเหยื่อของอาชญากรรมทางไซเบอร์ (Cyber Crime) รวมไปถึงการจัดการต่างๆ หลังจากสิ้นสุดการจ้างงาน

สิ่งเหล่านี้จะช่วยเหลือได้อย่างไรบ้างในเชิง Technical

สำหรับในมุมมองคนทำงานทางด้าน IT ที่เน้นแต่เรื่อง Technical นั้นอาจจะเผลอมองข้ามเรื่องเหล่านี้ได้ง่าย ภัยคุกคามทางด้านเทคนิค (Technical Threat) ที่อาจเกิดขึ้นต่อองค์กรหากไม่มีการบริหารจัดการเรื่องทรัพยากรบุคคลอย่างเหมาะสมได้แก่

  • บริษัทคู่แข่งสามารถส่งพนักงานมาสมัครงาน เพื่อมาเป็นหนอนบ่อนไส้ภายในองค์กร ขโมยข้อมูลต่างๆ และส่งผลเสียต่อบริษัทได้ ซึ่งการส่งพนักงานเข้ามาแทรกซึมนี้อาจจะทำทางอ้อมได้โดยการสมัครงานเป็นพนักงานทำความสะอาด จากนั้นก็แอบเสียบอุปกรณ์ดักจับข้อมูล เช่น Key Logger ไว้เพื่อขโมยรหัสผ่านของพนักงาน
  • พนักงานของบริษัทที่ขาดความรู้ความเข้าใจในเรื่องภัยคุกคามทางไซเบอร์นั้น อาจจะมองข้ามเรื่องเล็กๆ น้อยๆ ไปเช่น ในบางการโจมตีนั้นบริษัทคู่แข่งหรือกลุ่มแฮกเกอร์ที่ต้องการโจมตีองค์กรเหยื่อ ลงทุนจัด Booth โฆษณาสินค้าและเรียกให้พนักงานขององค์กรเหยื่อมาร่วมเล่นเกม จากนั้นให้รางวัลเป็น Thumbdrive (ซึ่งมี Malware ติดอยู่ด้วย) เมื่อเหยื่อได้รับ Thumbdrive ไปแล้วก็นำไปใช้งานกับคอมพิวเตอร์ขององค์กร ซึ่งแน่นอนว่าเป็นการ Bypass Security Infrastructure ที่องค์กรลงทุนไปทั้งหมดอย่างง่ายดาย วิธีการนี้เป็นรูปแบบหนึ่งของการโจมตีที่เรียกว่า Social Engineering

ข้อกำหนด A.9 Access Control

ข้อกำหนดนี้กล่าวถึง Logical Security ของการเข้าใช้งานของ User ซึ่งจะต้องมีการสรุปนโยบายการเข้าใช้งาน, นโยบายการกำหนดรหัสผ่าน, กระบวนการต่างๆ ในการควบคุมจัดการ User, การจัดการสิทธิ์ของ User

สิ่งเหล่านี้จะช่วยเหลือได้อย่างไรบ้างในเชิง Technical

เรื่องของการจัดการ Access Control นั้นดูเหมือนเป็นเรื่องง่ายสำหรับผู้ที่มีประสบการณ์ทางด้าน Technical ทั้งนี้เพราะอุปกรณ์ หรือ ระบบใหม่ๆ มักมีระบบ Access ControlBuilt-in มาอยู่แล้ว แต่จริงๆ แล้วเรื่องการจัดการ Access Control มีเรื่องจุกจิกที่จะต้องใส่ใจอยู่อีกมาก เพราะการ Enforce Policy ต่างๆ นั้นจะกระทบกับผู้ใช้งานทั้งองค์กร อาจทำให้เกิดการต่อต้านได้ ซึ่งหากไม่มีการควบคุมจัดการให้ดีอาจเกิดปัญหา เช่น

  • การกำหนดวิธีการตรวจสอบตัวตน (Authentication) ก่อนอนุญาตให้เข้าใช้งานโดยทั่วไปที่ใช้กันคือการใช้รหัสผ่าน ซึ่งถือว่าเป็นการตรวจสอบตัวตนที่มีความปลอดภัยต่ำสุด และใช้เงินลงทุนน้อยที่สุด หากไม่มีการบังคับควบคุมจัดการรหัสผ่านอย่างเหมาะสม เช่น การบังคับใช้ Password policy, การตั้ง clipping level ก็จะอำนวยความสะดวกให้กับผู้ร้ายสามารถโจมตีระบบได้อย่างง่ายดายขึ้น โดยเฉพาะระบบที่สามารถเข้าถึงได้จาก Internet ผู้ร้ายก็สามารถใช้วิธีการพรางตัวต่างๆ นานา ร่วมกับการทำ Brute force attack หรือ Dictionary attack ก็มีโอกาสสูงที่จะโจมตีได้สำเร็จและยากที่จะติดตามหาตัวคนร้ายได้ ซึ่งวิธีการ Brute force นี้ได้มีการกล่าวถึงในรายงานที่ชื่อว่า “World War C: Understanding Nation-State Motives Behind Today’s Advanced Cyber Attack” ของบริษัท FireEye ซึ่ง Report นี้วิเคราะห์ถึงเทคนิค และการแรงจูงใจของแต่ละประเทศที่มีการทำสงครามทางไซเบอร์ ว่าประเทศจีนซึ่งเป็นประเทศที่มีคนเยอะแต่ความสามารถยังไม่สูงมากนักชอบใช้วิธีนี้ในการโจมตีเป้าหมาย หากใครสนใจเรื่อง Cyber Warfare รายงานฉบับนี้ถือว่าน่าสนใจมากครับ

ข้อกำหนด A.11 Physical and environmental security

ข้อกำหนดนี้กล่าวถึงการจัดการทางด้านกายภาพ ทั้งในเรื่องของการควบคุมพื้นที่ที่เกี่ยวข้องกับบุคลากรที่อยู่ใน Scope รวมถึงพื้นที่ของ Data Center, พื้นที่เข้าออกที่สำคัญขององค์กร, พื้นที่ทำงานของบุคลากร และเรื่องการจัดการทางกายภาพของอุปกรณ์ต่างๆ ที่เกี่ยวข้อง

สิ่งเหล่านี้จะช่วยเหลือได้อย่างไรบ้างในเชิง Technical

เรื่องของการควบคุมการเข้าถึงอุปกรณ์ต่างๆ นั้น ผู้ที่ทำงานที่เกี่ยวกับ Technical เป็นหลักนั้นอาจจะเน้นไปที่ Logical Security อย่างเดียว แต่ในความจริงนั้น Physical Security เองก็มีความสำคัญเช่นเดียวกัน หากไม่บริหารจัดการให้เรียบร้อยอาจเกิดปัญหาได้ เช่น

  • การทำลายหรือการลบข้อมูลที่ไม่เหมาะสมบนอุปกรณ์เก็บข้อมูล เช่น Harddisk, Thumbdrive ถ้าลบข้อมูลด้วยวิธีการปกติจะมีโอกาสสูงมากที่จะกู้ข้อมูลเหล่านั้นกลับขึ้นมาได้ ซึ่งวิธีการกู้ข้อมูลเหล่านี้เป็นวิธีหนึ่งในกระบวนการทำ Forensics แต่มักถูกนำมาใช้ในทางไม่ดี เช่น กรณีที่มี Clip ส่วนตัวหลุดจากโทรศัพท์มือถือที่นำไปซ่อม หรือขายมือสองตามร้าน สำหรับคนที่ขาดความรู้ไม่ระมัดระวัง อาจพลั้งเผลอทำอุปกรณ์เก็บข้อมูลหายไป แล้วคิดว่าไม่น่าจะมีปัญหาอะไร เนื่องจากได้ลบข้อมูลที่สำคัญออกเรียบร้อยแล้ว คงจะต้องคิดใหม่เพราะนั่นอาจเป็นสิ่งที่นำความเสียหายมาสู่องค์กรก็เป็นได้
  • อีกปัญหาที่หลายองค์กรเจอกันเป็นประจำนั่นก็คือ พนักงานทำเครื่อง Laptop ที่มีข้อมูลขององค์กรอยู่หาย หรือ อาจจะถูกขโมย ในความเป็นจริงแล้วหากบริษัทคู่แข่งต้องการขโมยข้อมูลขององค์กร มีหลายวิธีให้เลือกใช้ อาจจะไม่จำเป็นต้องจ้าง Hacker ราคาแพงเพื่อขโมยข้อมูลผ่านทาง Internet ในทางกลับกันบริษัทคู่แข่งอาจเลือกใช้วิธีการสร้างสถานการณ์ให้ดูเหมือนเป็นการวิ่งราว หรือ อาจจะถึงขั้นลงมือทำร้ายร่างกาย (อย่าลืมว่าผู้ร้ายไม่จำเป็นต้องเลือกวิธีใช้ในการโจมตี) ทำให้ดูเหมือนเป็นการวิ่งราวปกติ แต่เป้าหมายที่แท้จริงคือการขโมย Laptop เพื่อนำมาวิเคราะห์หาข้อมูลที่สำคัญก็เป็นได้ หากองค์กรไม่มีการป้องกันที่ดีพอ เช่น การใช้ Harddisk Encryption Solution ข้อมูลที่สำคัญขององค์กรอาจจะตกอยู่ในมือของบริษัทคู่แข่งได้อย่างง่ายดาย
  • การเดินสาย Network Cable ไม่เรียบร้อยในองค์กร อาจทำให้องค์กรเสี่ยงต่อการดักจับข้อมูล (Sniffing Data) เนื่องจากผู้ร้ายสามารถใช้อุปกรณ์ประเภท Vampire Tap ซึ่งเป็นอุปกรณ์พิเศษที่สามารถเจาะเข้าสาย LAN เพื่อทำการดักจับข้อมูลที่ส่งผ่าน Network Cable
  • อีกรูปแบบการโจมตี หรือ วิธีการค้นหาข้อมูล ที่น่าสนใจที่เรียกว่า OSINT (Open Source Intelligence) ซึ่งหมายถึงวิธีการใช้ข้อมูลจาก Public Database ต่างๆ เพื่อทำการวิเคราะห์ Security Control ของบริษัท เช่น การใช้ Google Street View เพื่อสอดส่องดู Physical Security ของพื้นที่เป้าหมาย หรือ ค้นหาข้อมูลที่น่าสนใจก่อนการเข้าโจมตี ซึ่งด้วยวิธีการนี้เป้าหมายจะไม่สามารถรู้ตัวได้เลยว่ามีผู้ร้ายกำลังเฝ้าดูอยู่ การทำ Physical Security Control จะช่วยให้มีการตรวจสอบว่ารอบๆ องค์กรนั้นมีเอกสารหรือมีอะไรที่แพร่งพรายข้อมูลขององค์กรออกไปหรือไม่ เช่น มีอะไรที่บ่งบอกว่า Data Center อยู่ที่ไหนของตึกเป็นต้น

ข้อกำหนด A.12 Operations Security

ข้อกำหนดนี้กล่าวถึงการปฏิบัติงานอย่างมั่นคงปลอดภัย ซึ่งกล่าวถึงกระบวนการต่างๆ ที่ต้องจัดทำเพื่อให้เกิดความมั่นคงปลอดภัย เช่น การทำ Change Management, การทำ Data Backup, การจัดเก็บและตรวจสอบ Log อย่างสม่ำเสมอ ถ้าขาดกระบวนการเหล่านี้ไปอาจก่อให้เกิดความเสียหายต่อองค์กรได้

สิ่งเหล่านี้จะช่วยเหลือได้อย่างไรบ้างในเชิง Technical

การดำเนินการควบคุมการปฏิบัติงานอย่างมั่นคงปลอดภัยให้เหมาะสมนั้นถือเป็นหัวใจหลักในการป้องกันระบบให้มีความปลอดภัย หากไม่บริหารจัดการให้เรียบร้อยอาจเกิดปัญหาได้ เช่น

  • เรื่องการเก็บข้อมูลสำรอง (Data Backup) เมื่อไม่นานมานี้มี Malware ชนิดใหม่ที่เรียกว่า Ransomware หรือ มัลแวร์ประเภทที่เรียกค่าไถ่ Ransomwareที่ว่านี้หลายคนอาจรู้จักในชื่อของ Cryptolockerซึ่งหากเครื่องคอมพิวเตอร์ติด Cryptolocker แล้ว Cryptolocker จะทำการเข้ารหัส (Encrypt) File บนเครื่องทั้งหมดยกเว้น System Files และ File ที่มีนามสกุล .exe พร้อมกับแสดงข้อความแจ้งให้ผู้ใช้งานส่งเงินไปให้ Hacker เพื่อขอ Encryption Key มาทำการ Decrypt File คืน หากไม่ส่งเงินให้ภายในจำนวนวันที่กำหนด ผู้ใช้งานจะไม่มีโอกาสกู้ File คืนได้อีก ซึ่งหาก File นั้นเป็น File ที่มีความสำคัญต่อองค์กรแล้ว มูลค่าความเสียหายอาจจะไม่สามารถนับได้ ซึ่งหลังจาก Cryptolocker ออกอาละวาด หลายองค์กรจึงเริ่มให้ความสำคัญกับการสำรองข้อมูลมากขึ้น
  • การควบคุมจัดการช่องโหว่ทางเทคนิค ต้องมีการจัดการให้เหมาะสม เช่น การทำ Hardening, การจัดการ Patch (Patch Management) หรือ การทำการทดสอบเจาะระบบ (Penetration Testing) ซึ่งสิ่งต่างๆ เหล่านี้สามารถช่วยป้องกันการโจมตีจากผู้ประสงค์ร้ายได้ หากไม่ได้มีการจัดการที่ดีพอ เครื่องขององค์กรอาจจะตกเป็นเหยื่อได้ง่ายดาย

จากข้อมูลที่ผ่านมาซึ่งเป็นแค่บางข้อกำหนดของ ISO 27001 จะเห็นได้ว่าการทำ ISO 27001 นั้นสามารถช่วยยกระดับความมั่นคงปลอดภัยในองค์กรได้ทั้งด้านงานเอกสาร กระบวนการต่างๆ และด้านเทคนิค โดยเฉพาะอย่างยิ่งการสร้างกระบวนการเพื่อบริหารจัดการการควบคุมเชิงเทคนิค (Using systematic process to manage technical security controls) นอกจากข้อกำหนดของISO 27001 แล้วองค์กรควรพิจารณาการควบคุม หรือดำเนินกิจกรรมอื่นเพิ่มเติมที่ไม่ได้กำหนดชัดเจนในข้อกำหนด เช่น การทำ Vulnerability assessment / Penetration testing (ตามข้อกำหนด A.18.2.3 Technical compliance review) และดำเนินการแก้ไขข้อบกพร่องหรือจุดอ่อนที่พบ (ตามข้อกำหนด A.12.6.1 Management of technical vulnerabilities) รวมถึงดำเนินการReview security architecture (ตามข้อกำหนด A.14.2.5 Secure system engineering principles)เพื่อเป็นการยกระดับสถาปัตยกรรมด้านความมั่นคงปลอดภัยขององค์กร ซึ่ง ACinfotec มีบริการเหล่านี้แบบครบวงจรและพร้อมให้ความช่วยเหลือแก่องค์กรของท่าน

สอบถามข้อมูลเพิ่มเติมเกี่ยวกับบริการ VA / Pentest / Security Architecture ของ ACinfotec ได้ที่  [email protected] หรือโทร 02-670-8980-3

อ่านบทความอื่นๆ ที่น่าสนใจได้ที่ www.acinfotec.com/knowledge-center/