Information Security Audit

Information Security Audit

Information Security Audit เป็นการตรวจสอบ ในระดับของการรักษาความปลอดภัยข้อมูลในองค์กร ขอบเขตของการตรวจสอบความปลอดภัยของข้อมูลนั้นมีหลายประเภท รวมทั้งมีหลายวัตถุประสงค์โดยส่วนมากจะแบ่งประเภทของการควบคุมโดยแบ่งตาม เทคนิค, กายภาพ และ การจัดการ การตรวจสอบความปลอดภัยของข้อมูลครอบคลุมหัวข้อตั้งแต่การตรวจสอบความปลอดภัยทางกายภาพของศูนย์ข้อมูลไปจนถึงการตรวจสอบความปลอดภัยของฐานข้อมูล โดยเน้นองค์ประกอบสำคัญในการมองหาและมีวิธีการที่แตกต่างกันสำหรับแต่ละขอบเขตเหล่านี้

หากมอง IT ในมุมของการรักษาความปลอดภัยข้อมูลจะสามารถเห็นได้ว่า IT เป็นเพียงส่วนหนึ่งของ Information Technology Audit หรือ Computer Security Audit แต่ Information Security Audit นั้นครอบคลุมมากกว่า IT

กระบวนการตรวจสอบ

- การวางแผนการตรวจสอบและจัดเตรียม

ผู้ตรวจสอบจะต้องศึกษาอย่างเพียงพอเกี่ยวกับบริษัทและกิจกรรมทางธุรกิจที่สำคัญก่อนการดำเนินการตรวจสอบศูนย์ข้อมูล. The objective of the data center is to align data center activities with the goals of the business while maintaining the security and integrity of critical information and processes. วัตถุประสงค์ของการตรวจสอบศูนย์ข้อมูลคือการทำให้กิจกรรมของศูนย์ข้อมูลกับเป้าหมายของธุรกิจยังคงดำเนินต่อได้ ในขณะที่ข้อมูลที่สำคัญและกระบวนการยังคงมีความปลอดภัยและสมบูรณ์

- จัดตั้งวัตถุประสงค์การตรวจสอบ

ขั้นตอนถัดไปในการดำเนินการตรวจสอบของศูนย์ข้อมูลองค์กรจะถูกกำหนดเมื่อผู้ตรวจสอบแสดงวัตถุประสงค์การตรวจสอบ ผู้ตรวจสอบจะพิจารณาปัจจัยหลายตัวที่เกี่ยวข้องกับกระบวนการศูนย์ข้อมูลและกิจกรรมที่อาจระบุความเสี่ยงการตรวจสอบในระบบปฏิบัติการและประเมินการควบคุมที่จะลดความเสี่ยงเหล่านี้ หลังจากการทดสอบถี่ถ้วนและวิเคราะห์ผู้ตรวจสอบสามารถวิเคราะห์ได้ว่าศูนย์ข้อมูลการควบคุมดูแลที่เหมาะสมและมีการปฏิบัติการอย่างมีประสิทธิภาพ

- ตรวจสอบ

ขั้นตอนถัดไปคือการรวบรวมหลักฐานเพื่อสนองตอบวัตถุประสงค์การตรวจสอบศูนย์ข้อมูล โดยขั้นตอนนี้จะต้องเดินทางไปยังสถานที่ศูนย์ข้อมูลและประมวลผลการสังเกตและวิธีการดำเนินการภายในศูนย์ข้อมูล

- การส่งรายงานการตรวจสอบ

รายงานการตรวจสอบศูนย์ข้อมูลจะสรุปผลการตรวจสอบและจะคล้ายกันในรูปแบบรายงานการตรวจสอบมาตรฐาน รายงานการตรวจสอบจะต้องลงวันที่ ในรายงานควรมีการอธิบายว่าการตรวจทานนั้น รับประกันในขอบเขตจำกัด

การตรวจสอบระบบ

ช่องโหว่ของเครือข่าย (Network vulnerabilities)

การดักจับ: ข้อมูลที่ถูกส่งผ่านเครือข่ายมีความเสี่ยงที่จะถูกดักจับโดยบุคคลที่สามที่จะนำข้อมูลที่จะใช้เป็นอันตราย

ความพร้อมใช้: ปัจจุบันเครือข่ายได้ขยายเป็นวงกว้าง ข้ามหลายร้อยหรือหลายพันไมล์เพื่อเข้าถึงข้อมูลบริษัทและการขาดการเชื่อมต่ออาจทำให้เกิดการหยุดชะงักทางธุรกิจ

การเข้าใช้,จุดเชื่อมต่อ: มีเครือข่ายมากมายที่มีความเสี่ยงที่จะมีการเข้าถึงโดยไม่พึง ข้อบกพร่องในเครือข่ายสามารถทำให้ข้อมูลถูกเข้าถึงได้โดยผู้บุกรุก และยังสามารถให้จุดเชื่อมต่อให้ไวรัสและโทรจัน

การควบคุม (Controls)

ควบคุมการดักจับ: การดักจับสามารถทำได้โดยการเข้าถึงทางกายภาพที่ศูนย์ข้อมูลและสำนักงานรวมทั้งสถานที่ที่เป็นการเชื่อมต่อสื่อสาร การเข้ารหัสยังช่วยรักษาความปลอดภัยเครือข่ายไร้สาย

ควบคุมความพร้อมใช้: การควบคุมที่ดีที่สุดคือการมีสถาปัตยกรรมเครือข่ายยอดเยี่ยมและมีการเฝ้าระวัง เครือข่ายควรมีเส้นทางที่มากกว่า 1 เส้นทางระหว่างทรัพยากรทุกจุด และสามารถเปลี่ยนเส้นทางโดยอัตโนมัติ และไม่สูญเสียข้อมูลหรือเวลา

ควบคุมการเข้าใช้,จุดเชื่อมต่อ: ควบคุมเครือข่ายส่วนมากจะวางที่จุดที่เครือข่ายเชื่อมต่อกับเครือข่ายภายนอก การควบคุมเหล่านี้จำกัดการจราจรที่ผ่านเครือข่าย ซึ่งอาจจะใช้ Firewall, IPS รวมทั้งซอฟต์แวร์ป้องกันไวรัส

ผู้ตรวจสอบควรถามคำถามบางอย่างเพื่อทำความเข้าใจเครือข่ายและช่องโหว่ของ ผู้ตรวจสอบควรเริ่มประเมินสิ่งที่ขอบเขตของเครือข่ายและมีโครงสร้างเป็นอย่างไร แผนภาพเครือข่ายสามารถช่วยเหลือผู้ตรวจสอบในกระบวนการนี้คำถามต่อไปผู้ตรวจสอบควรถามคืออะไรใดเป็นข้อมูลสำคัญของเครือข่ายนี้ที่ต้องป้องกันสิ่งต่างๆเช่นระบบเซิร์ฟเวอร์ mail, เว็บเซิร์ฟเวอร์และโปรแกรมเข้าถึงเซิร์ฟเวอร์ สิ่งสำคัญที่ควรคือต้องทราบผู้ที่สามารถเข้าถึงได้ลูกค้าและผู้ขายสามารถเข้าถึงระบบเครือข่ายได้หรือไม่ พนักงานสามารถเข้าถึงข้อมูลจากบ้านได้หรือไม่ ส่วนใหญ่ผู้ตรวจสอบควรประเมินว่าเครือข่ายเชื่อมต่อกับเครือข่ายภายนอกได้รับการป้องกัน เครือข่ายส่วนใหญ่เชื่อมต่ออินเทอร์เน็ตซึ่งอาจเป็นจุดเสี่ยง สิ่งเหล่านี้เป็นคำถามสำคัญในการปกป้องเครือข่าย

การเข้ารหัสและการตรวจสอบ IT

ในการประเมินความต้องการของลูกค้าที่จะใช้นโยบายการเข้ารหัสสำหรับองค์กรของผู้ตรวจสอบควรดำเนินการวิเคราะห์ความเสี่ยงของลูกค้าและมูลค่าข้อมูล บริษัทที่มีผู้ใช้ภายนอกหลายคน หรือมีโปรแกรม e-commerce หรือมีข้อมูลลูกค้า ข้อมูลพนักงาน ควรมีการนโยบายที่เข้มงวดการเข้ารหัสที่มุ่งการเข้ารหัสข้อมูลที่ถูกต้องในขั้นที่เหมาะสมในการเก็บรวบรวมข้อมูล.

ผู้ตรวจสอบควรประเมินนโยบายการเข้ารหัสลับของลูกค้าและกระบวนการอย่างต่อเนื่อง บริษัทที่พึ่งพา e-commerce และ เครือข่ายไร้สาย มีความเสี่ยงมากต่อการขโมยและการสูญเสียข้อมูลสำคัญในการส่งผ่าน นโยบายและกระบวนการควรมีทำเป็นเอกสารเพื่อให้มั่นใจว่าข้อมูลทั้งหมดมีการป้องกัน บริษัทสามารถยึดนโยบายจาก the Control Objectives for Information and related Technology ( COBIT ), guidelines established by the IT Governance Institute ( ITGI ) และ Information Systems Audit and Control Association ( ISACA ) ผู้ตรวจสอบ IT ควรมีความรู้เพียงพอเกี่ยวกับแนวทาง COBIT.

การตรวจสอบความปลอดภัย Logical

ขั้นตอนแรกในการตรวจสอบระบบใดๆคือการแสวงหาเพื่อทำความเข้าใจส่วนประกอบและโครงสร้างของมัน เมื่อทำการตรวจสอบความปลอดภัยแบบ Logical ผู้ตรวจสอบควรตรวจสอบสิ่งที่ควบคุมความปลอดภัยในสถานที่เมื่อและวิธีการทำงาน โดยเฉพาะรายการต่อไปนี้เป็นจุดสำคัญในการตรวจสอบความปลอดภัยทาง Logical

รหัสผ่าน: ทุกบริษัทควรมีการเขียนนโยบายเกี่ยวกับรหัสผ่านและบังคับใช้พนักงานของพวกเขา รหัสผ่านไม่ควรใช้ร่วมกันและพนักงานควรจะมีข้อบังคับกำหนดระยะเวลาในการเปลี่ยนรหัสผ่าน พนักงานควรมีสิทธิ์ที่จะเข้าใช้ในสิ่งที่สอดคล้องกับการทำงานของพวกเขา

กระบวนการพ้นสภาพ: ขั้นตอนการสิ้นสุดเหมาะสมเพื่อให้พนักงานเก่าไม่สามารถเข้าใช้เครือข่ายสามารถทำได้โดยการเปลี่ยนรหัสผ่านและรหัส รวมไปถึง cards id

บัญชีผู้ใช้พิเศษ: บัญชีผู้ใช้และบัญชีสิทธิพิเศษอื่นๆควรจะตรวจสอบและควบคุมให้เหมาะสม

Remote Access: การเข้าถึงระยะไกลมักจะเป็นจุดที่ผู้บุกรุกสามารถเข้าระบบ เครื่องมือรักษาความปลอดภัยที่ใช้สำหรับการเข้าถึงระยะไกลควรจะเข้มงวดมาก การเข้าถึงระยะไกลควรจะบันทึก.

เครื่องมือเฉพาะที่ใช้ในการรักษาความปลอดภัยเครือข่าย

การรักษาความปลอดภัยเครือข่ายทำได้โดยใช้เครื่องมือต่างๆไม่ว่าจะเป็น Firewall และ เซิร์ฟเวอร์พร็อกซี่, การเข้ารหัส การควบคุมการเข้าถึง, ซอฟต์แวร์ป้องกันไวรัส และระบบการตรวจสอบเช่นการจัดการ log

Firewall เป็นส่วนขั้นพื้นฐานของการรักษาความปลอดภัยเครือข่ายซึ่งมักจะอยู่ระหว่างเครือข่ายภายในและอินเทอร์เน็ต Firewall ควบคุมไหลผ่านของข้อมูลโดยสามารถตรวจสอบสิทธิ์, เฝ้าระวัง, บันทึกและรายงาน ประเภทของ Firewall มีหลายประเภทได้แก่ network layer firewalls, screened subnet firewalls, packet filter firewalls, dynamic packet filtering firewalls, hybrid firewalls, transparent firewalls และ application-level firewalls

การเข้ารหัสลับเกี่ยวกับการแปลงข้อความให้เป็นชุดของตัวอักษรอ่านไม่ได้เรียกว่า ciphertext หากข้อความที่เข้ารหัสถูกขโมย เนื้อหาจะอ่านไม่ได้ เป็นการรับประกันว่าการส่งนั้นปลอดภัยและเป็นประโยชน์อย่างมากให้กับบริษัทในการส่ง / รับข้อมูลสำคัญ เมื่อข้อมูลที่เข้ารหัสมาถึงผู้รับกระบวนการถอดรหัสก็จะใช้งานเพื่อเรียกคืน ciphertext ให้เป็น plaintext ที่สามารถอ่านได้

เซิร์ฟเวอร์ Proxy ซ่อนที่อยู่ที่แท้จริงของเวิร์กสเตชันลูกค้า (IP Address) และบางครั้งยังสามารถทำหน้าที่คล้าย Firewall โดย Firewall Proxy server มีซอฟต์แวร์พิเศษที่บังคับใช้การตรวจสอบ (Authentication)

โปรแกรมป้องกันไวรัสเช่น McAfee และ Symantec เป็นซอฟต์แวร์ค้นหาและกำจัดของเนื้อหาที่เป็นอันตราย โปรแกรมป้องกันไวรัสเหล่านี้ต้องทำให้แน่ใจว่ามีข้อมูลล่าสุดเกี่ยวกับการจัดการไวรัสคอมพิวเตอร์.

Logical ซอฟต์แวร์รักษาความปลอดภัยขององค์กร รวมทั้ง ID และใช้รหัสผ่านในการตรวจสอบสิทธิการเข้าถึงและระดับการเข้าใช้ มาตรการเหล่านี้เพื่อให้แน่ใจว่าเฉพาะผู้ใช้อำนาจสามารถดำเนินการหรือการเข้าถึงข้อมูลในเครือข่ายหรือเวิร์กสเตชัน.

ระบบตรวจสอบติดตามและบันทึกสิ่งที่เกิดขึ้นผ่านทางเครือข่ายองค์กร ระบบ Log Management มักถูกใช้เป็นตัวกลางในการรวบรวมเส้นทางการตรวจสอบจากระบบที่ต่างกันเพื่อวิเคราะห์ Log Management มีความสามารถในการติดตามและระบุผู้ใช้ที่ไม่ได้รับอนุญาตอาจจะมีการพยายามเข้าถึงเครือข่ายและสิ่งที่ผู้มีอำนาจในการเข้าถึงเครือข่ายและการเปลี่ยนแปลงเจ้าหน้าที่ผู้ใช้

จากการสำรวจผู้ใช้ Nmap จำนวน 3,243 รายโดย Insecure.Org ในปี 2006

Nessus, Wireshark, Snort เป็น network security tool ที่ได้รับความนิยมสูงสุด

BackTrack Live CD เป็นเครื่องมือในการตรวจสอบความปลอดภัยข้อมูลที่ได้รับความนิยมสูงสุด

- Nessus เป็น Remote Security Scanner ที่มีรายการการตรวจสแบความปลอดภัยมากกว่า 1,200 รายการสำหรับ Linux, BSD และ Solaris

- Wireshark เป็น Network Protocol Analyzer สำหรับทั้ง Unix และ Windows

- Snort เป็นตัวตรวจจับการบุกรุก

ทั้ง Nessus, Wireshark, Snort นั้นเป็น Freeware ส่วนผลิตภัณฑ์ที่นิยมอื่นๆได้แก่

- OmniGuard เป็น Firewall ที่มีบริการป้องกัน Virus

- Guardian เป็น Software ประเภทเดียวกับ OmniGuard

- LANGuard ให้ตรวจสอบเครือข่ายตรวจจับการบุกรุกและการบริหารเครือข่าย

รูปแบบและเทคนิคของการตรวจสอบ

ขั้นตอนที่ 1 Best Practices Checklist or Interview Technics

ขั้นตอนนี้เป็นขั้นตอนพื้นฐานที่ควรทำในเบื้องต้นก่อน บางครั้งเรานิยมเรียกว่า “Gap Analysis” โดยใช้ ISO/IEC 27001 Best Practice หรือ CobiT Framework นำมาประยุกต์เป็น Audit Checklist เพื่อนำไปสัมภาษณ์ (Interview session) การตรวจสอบในขั้นตอนนี้มุ่งเน้นไปที่ PP (People and Process) ใน PPT (People, Process and Technology) Concept กล่าวคือ ทำให้ผู้ตรวจสอบระบบสารสนเทศได้เข้าใจแนวคิดและความตระหนักเรื่องความปลอดภัยข้อมูลของผู้บริหารองค์กร ผู้ดูแลระบบสารสนเทศ ตลอดจน ผู้ใช้งานคอมพิวเตอร์ทั่วไปที่อยู่ในตารางการสัมภาษณ์ (Interview Schedule) ซึ่งปกติไม่ควรเกิน 10 คน ซึ่งแต่ละคนไม่ควรสัมภาษณ์เกิน 1 ชั่วโมง และทำให้ผู้ตรวจสอบระบบสารสนเทศได้เห็นว่า องค์กรได้นำ Information Security Best Practice หรือ Framework มาประยุกต์ใช้ในองค์กรหรือไม่ ซึ่งทางองค์กรอาจจะยังไม่ “Comply” ตาม Best Practice ดังกล่าวในบางหัวข้อ ทำให้องค์กรได้รับทราบจุดอ่อนของตนเอง เพื่อเป็นแนวทางในการตรวจสอบในขั้นตอนต่อไป

ขั้นตอนที่ 2 Vulnerability Assessment Technics

ขั้นตอนนี้มุ่งเน้นการตรวจสอบในมุมมองของ T (Technology) ใน PPT (People, Process and Technology) Concept เป็นการตรวจสอบทางเทคนิคที่ลึกกว่าการสัมภาษณ์โดยใช้ Best Practices Checklist (ในขั้นตอนที่ 1) ซึ่งจะช่วยให้ผู้ตรวจสอบระบบสารสนเทศได้เจาะลึกถึงช่องโหว่ (Vulnerability) หรือ จุดอ่อนของระบบสารสนเทศที่สามารถตรวจสอบโดยใช้ Vulnerability Scanner เช่น Nessus (Opensource Scanner) เพื่อให้ผู้ดูแลระบบสารสนเทศเกิดความตระหนักและเห็นถึงปัญหาที่เกิดจากช่องโหว่ของระบบที่ยังไม่ได้รับการแก้ไข โดยควรนำเสนอในรูปแบบของ ระดับความเสี่ยงเช่น High Risk, Medium Risk หรือ Low Risk เป็นต้น

ผู้ตรวจสอบสารสนเทศจึงจำเป็นต้องมีความรู้พื้นฐานด้าน Information Security ในระดับหนึ่ง และควรมีทักษะในการใช้ Vulnerability Scanner ซึ่งถือเป็น “Tool” หรือเครื่องมือในการตรวจสอบ ที่ผู้ตรวจสอบฯ จำเป็นต้องมีไว้ใช้งาน การแปลผลจาก Vulnerability Scanner และนำเสนอผลในรูปแบบที่เข้าใจง่ายเป็นจุดสำคัญของการทำ VA หรือ Vulnerability Assessment เพราะหากแปลผลผิด เช่น ไม่ยึดตามมาตรฐาน SANS TOP 20 หรือ OWASP Web Application Security Standard ก็จะทำให้ผิดวัตถุประสงค์ในการอ้างอิงกับมาตรฐานสากล ดังนั้นการแปลผลจาก Vulnerability Scanner ควรนำมาตรฐานต่างๆ มาช่วยในการนำเสนอในรูปแบบ PowerPoint ที่ผู้บริหารสามารถเข้าใจได้ง่าย เห็นภาพปัญหาที่อาจเกิดขึ้นกับระบบสารสนเทศได้อย่างชัดเจน

ขั้นตอนที่ 3 Penetration Testing (Pen-test) Technics

ขั้นตอนนี้เป็นขั้นตอนสุดท้ายที่ควรจะทำต่อจากขั้นตอนที่ 2 เนื่องจากให้ผลลัพธ์ที่ลึกซึ้งและละเอียดอ่อน กว่าการทำ Vulnerability Assessment หลักการของการทำ Pen-Test หรือ การลองเจาะระบบคล้ายกับการเจาะระบบของไวรัส หรือ แฮกเกอร์ (Ethical Simulated Hacking) ทำให้ผู้ดูแลระบบเกิดความตื่นตัวในการป้องกันระบบของตน เพราะผู้ตรวจสอบฯ สามารถเข้าไปถึงข้อมูลสำคัญๆ ในระบบโดยที่ผู้ตรวจสอบฯ ไม่มี Username หรือ Password แต่อย่าง

Penetration Test คือวิธีการประเมิน ความปลอดภัย ของ ระบบคอมพิวเตอร์ หรือ เครือข่าย โดยจำลองการโจมตีจากแหล่งที่อาจเป็นอันตรายที่รู้จักกันเป็น Black Hat แฮกเกอร์ หรือ Cracker กระบวนการนี้เกี่ยวกับการใช้งานของระบบสำหรับช่องโหว่ที่อาจเกิดขึ้นที่อาจเป็น ผลมาจากการกำหนดค่าระบบไม่ดีหรือไม่เหมาะสม หรือจุดอ่อนปฏิบัติงานในกระบวนการหรือเทคนิค countermeasures การวิเคราะห์นี้ช่วยนำจุดของการโจมตีเป้าหมายออกจากระบบและสามารถช่วยหาช่องโหว่ความปลอดภัย

เจตนาของการทดสอบ Penetration Test คือการพิจารณาความเป็นไปได้ของการโจมตีและปริมาณของผลกระทบของธุรกิจ Penetration Test เป็นส่วนประกอบหนึ่งของ Security Audit

Black box และ White box

Penetration สามารถดำเนินการในหลายวิธี ซึ่งสิ่งที่แตกต่างกันมากที่สุดคือจำนวนความรู้ในรายละเอียดการใช้งานของระบบที่มีการทดสอบที่มีการทดสอบ การทดสอบแบบ Black box ถือว่าไม่มีความรู้ก่อนของโครงสร้างพื้นฐานที่จะทดสอบ การทดสอบต้องทราบสถานที่และขอบเขตของระบบก่อนที่จะเริ่มการวิเคราะห์ของพวกเขา ส่วน White box ข้อมูลของระบบจะถูกส่งให้ผู้ทดสอบก่อนทั้ง ไม่ว่าจะเป็น Network Diagram, Source Code รวมถึงข้อมูล IP Address นอกจากนี้ยัง ทดสอบ Gray Box การทดสอบเจาะอาจอธิบาย "เปิดเผยเต็ม", "การเปิดเผยบางส่วน" หรือ "การซ่อนข้อมูล" ที่ให้กับบุคคลที่ทดสอบ.

วิธี (Methodologies)

Open Source Security Testing Methodology Manual (OSSTMM) เป็นวิธีการหนึ่งสำหรับการทดสอบความปลอดภัย OSSTMM แบ่งกรณีทดสอบออกเป็นห้าช่องทาง: ข้อมูลและการควบคุมข้อมูล, บุคลากรระดับความตระหนักความปลอดภัย, การหลอกลวง และวิธีการ Social Engineering, คอมพิวเตอร์และ ครือข่ายโทรคมนาคม, อุปกรณ์ไร้สาย, อุปกรณ์โทรศัพท์เคลื่อนที่, ควบคุมการรักษาความปลอดภัยทางกายภาพ, กระบวนการรักษาความปลอดภัยและตำแหน่งทางกายภาพเช่นอาคารปริมณฑลและฐานทหาร.

The National Institute of Standards and Technology (NIST) กล่าวถึงการทดสอบ penetration testing ใน SP800-115 วิธีการ NIST ไม่ครอบคลุมเท่า OSSTMM แต่มีโอกาสที่จะรับการยอมรับจากหน่วยงานกำกับดูแล ด้วยเหตุผลนี้ NIST ยังอ้างถึง OSSTMM ด้วย

The Information Systems Security Assessment Framework (ISSAF) เป็นกรอบโครงสร้างจาก the Open Information Systems Security Group ที่แบ่งกลุ่มข้อมูลการประเมินระบบรักษาความปลอดภัยในโดเมนต่างๆและรายละเอียดการประเมิน หรือการทดสอบเกณฑ์สำหรับแต่ละโดเมนเหล่านี้ มันมีวัตถุประสงค์เพื่อให้ข้อมูล inputs ในการประเมินความปลอดภัยที่สะท้อนถึงสถานการณ์จริง

มาตรฐานและการรับรอง

การดำเนินการทดสอบการเจาะสามารถเปิดเผยข้อมูลที่สำคัญเกี่ยวกับองค์กร นี่เป็นเหตุผลว่าบริษัทรักษาความปลอดภัยเป็นส่วนใหญ่ที่แสดงว่าพวกเขาไม่จ้างอดีต แฮกเกอร์ มีหลายอาชีพและการรับรองรัฐบาลที่แสดงความเชื่อถือของบริษัท เพื่อการปฏิบัติที่ดีที่สุด.

Information Assurance Certification Review Board (IACRB) จัดการใบรับรองการทดสอบการรุกที่เรียกว่า Certified Penetration Tester (CPT) CPT กำหนดให้ผู้สมัครสอบผ่านการสอบเลือกหลายแบบรวมทั้งผ่านการสอบภาคปฏิบัติที่ต้องสมัครการทดสอบการเจาะกับเซิร์ฟเวอร์จริง

สามใบรับรองที่ออกโดย the International Council of E-Commerce consultants (EC-Council)ได้แก่ Certified Ethical Hacker course, Computer Hacking Forensics Investigator program และ License Penetration Tester program The EC-Council Network Security Administrator (ENSA) training ได้เป็นรายที่ 12 ของ Colloquium for Information Systems Security Education (CISSE) โดย National Security Agency (NSA) และ the Committee on National Security Systems (CNSS) มีหน้าที่ออก Certified ของ the Critical National Security System (CNSS)

SANS ให้หลากหลายเวทีฝึกอบรมการรักษาความปลอดภัยคอมพิวเตอร์ชั้นนำจำนวนคุณวุฒิ SANS ในปี 1999 SANS ก่อตั้ง โดย Giac, Global Information Assurance Certification Two of the GIAC certifications are penetration testing specific, namely the GIAC Certified Penetration Tester (GPEN) certification, and the the GIAC Web Application Penetration Tester (GWAPT) certification. การรับรอง Giac กำลังทดสอบเจาะเฉพาะได้แก่ Giac Certified Penetration Tester (GPEN) และ Giac Web Application Penetration Tester (GWAPT)

การทดสอบของภาครัฐยังอยู่ในสหรัฐอเมริกามีหลายมาตรฐานเช่น NSA Infrastructure Evaluation Methodology (IEM)

สำหรับการใช้งานเว็บ Open Web Application Security Project (OWASP) ให้กรอบของคำแนะนำที่สามารถใช้เป็นมาตรฐาน

Web Application Firewall

Web Application Firewall

ในปัจจุบันการโจมตีของแฮกเกอร์กว่า 70 % มุ่งไปที่การโจมตีช่องโหว่ด้านความปลอดภัยข้อมูลในระดับโปรแกรมประยุกต์ ( Application Level Attack ) ซึ่งในปัจจุบันโปรแกรมเมอร์ หรือ Software Developer ไม่ค่อยได้ให้ความสำคัญกับเรื่องความปลอดภัยข้อมูลมากนัก หรือ อาจจะยังขาดความรู้ด้าน “Application Security” ทำให้เกิดเป็นช่องโหว่ที่สำคัญยิ่งกว่าช่องโหว่ของโปรแกรมประยุกต์เองเสียอีก โปรแกรมประยุกต์ หรือ Application ส่วนใหญ่ในปัจจุบันล้วนพัฒนาเป็น “Web Application” ซึ่งปกติจะทำงานผ่านทาง Internet Browser เช่น Internet Explorer, Firefox, Chrome, Safari โดย Web Server นิยมใช้ Microsoft IIS หรือ Apache และ ภาษาที่นิยมใช้ได้แก่ ASP.NET, JSP และ PHP การเข้าถึง Web Application ผ่านทางพอร์ต TCP 80 (http) และ พอร์ต TCP 443 (https) โดย Firewallไม่สามารถป้องกันการโจมตี Web Application ผ่านทางพอร์ตทั้งสองได้เลย เพราะ Firewall ส่วนใหญ่ไม่เข้าใจ Attack Pattern ในระดับ Application Layer และ พอร์ตทั้งสองเป็นพอร์ตที่จำเป็นต้องเปิดใช้งานอยู่แล้ว โดยการโจมตีของแฮกเกอร์นิยมใช้ช่องโหว่ทั้ง 10 ประเภทของ Web Application จาก Open Web Application Security Project (www.owasp.org) หรือ อาจหาข้อมูลจาก Web Hacking Incident Database ของ Web Application Security Consortium ( www.webappsec.org ) มาใช้ในการโจมตี Web Application

สำหรับช่องโหว่ที่แฮกเกอร์นิยมใช้ในการเจาะระบบมากที่สุดตามรายงานจาก OWASP คือ Cross Site Scripting หรือ XSS Attack และ Injection Flaw หรือ SQL Injection ที่เรารู้จักกันดี

นอกจากนี้แฮกเกอร์ยังนิยมใช้เทคนิค ” Google Hacking ” ในการโจมตีเป้าหมายอีกด้วย ดูข้อมูลเพิ่มเติมได้ที่ Google Hacking Database ( http://johnny.ihackstuff.com/ghdb.php )

Web Application Firewall ( WAF )

เพื่อป้องกันการโจมตีของแฮกเกอร์ในกรณีที่เราไม่สามารถแก้ไขช่องโหว่ของ Web Application ได้อย่างทันท่วงที และเรายังไม่มีการฝึกอบรมให้โปรแกรมเมอร์เข้าใจในเรื่องการเขียนโปรแกรมให้ปลอดภัย (How to write a secured code) จึงได้มีการพัฒนา Web Application Firewall หรือ WAF ขึ้นมา

WAF เป็นอาจจะเป็นได้ทั้ง software ที่เอามาลงไว้ใน server หรือเป็นพวกอุปกรณ์ appliance ที่หน้าตาคล้าย Firewall แต่ระบบภายในจะทำหน้าทีจับพวก HTTP Traffic ต่างๆเช่นพวกข้อมูลที่เป็น web services ที่วิ่งผ่าน port 80 กับ port 443 ส่วนข้อมูลที่อื่นๆมันก็จะไม่สนใจและปล่อยผ่านไป แต่ความเก่งกาจของมันนั้นก็คือการที่มันถูกออกแบบมาเฉพาะเจาะจงในการป้องกันการโจมตีที่เกิดขึ้นกับ Web Application นั่นเอง ซึ่งลำดับการทำงานของระบบจะเป็นวงจรดังภาพ

ประเมินระบบ : ระบบ WAF จะทำการ crawling หรือเข้าไปอ่าน web app ของเราทุกหน้า ตามที่เราได้ระบุ server ไว้ให้และจดจำไว้รวมทั้งเก็บข้อมูลพฤติกรรมการใช้งานของ user ทุกคน แล้วก็เก็บเอาไว้ทำ white-list เพื่อใช้ในการเปรียบเทียบแยกกันระหว่างการโจมตีกับการใช้งานธรรมดา และ หลังจากนั้นมันก็จะทำการประเมินความเสี่ยงของระบบ web app ของเรา ซึ่งในช่วงของการประเมินนี้ มักจะ config ระบบ WAF ให้ทำการ monitor traffic อย่างเดียวหรือยังไม่มีการ block traffic ใดๆทั้งสิ้น

ทำ Policy : หลังจากที่ระบบทำการประเมินมาระยะหนึ่งแล้วก็มาถึงการทำ Policy ระบบส่วนใหญ่จะทำ Policy แบบ auto มาให้เราระดับหนึ่งแล้วแต่จะต้องระวังให้ดีเพราะว่าหลังจากทำ Policy เสร็จเราจะเปิด active mode เพื่อให้ Firewall ทำการ block traffic ที่เป็นการโจมตีกันแล้ว ถ้าหากไม่ระวังให้ดี อาจจะ block คำสั่งการใช้งานปกติได้ซึ่งจะทำให้เกิดความยุ่งยากในภายหลัง

Monitor ระบบ: ทำ policy เสร็จแล้วก็จะถึงเวลาที่เรามาจัดกลุ่ม users ที่จะเข้ามาใช้งานระบบ WAF ที่ต้องจัดกลุ่มก็เพราะว่าระบบ WAF หนึ่งระบบก็จะสามารถป้องกันระบบ web app ในองค์กรตั้งแต่หนึ่งระบบ จนถึงหลายร้อยระบบคราวนี้ทีมที่จะเข้ามาเกี่ยวข้องก็อาจจะมีหลายทีมครับ เราก็จัด group user ให้เหมาะสม แล้วก็จัดการเปิด active mode ให้มัน block traffic การโจมตีต่างๆ ระหว่างนี้เราอาจจะต้องดูแลใกล้ชิด เผื่อมีอะไรผิดพลาด หลังจากนั้นเราก็ลอง monitor ระบบเพื่อดูรายละเอียดการทำงานต่างๆ

วัดผล & ทำรายงาน : หลังจากที่เปิดให้ WAF ทำงานกันเต็มที่แล้วเราก็จะได้เห็นรายงานในเชิงลึกของการทำงานในด้านการ block traffic ที่เป็นการโจมตีหรือพวกพฤติกรรมการใช้งานของ user แปลกๆ เช่นมี user คนหนึ่งพยายาม log-in หน้าแรกแล้วกระโดดไปหน้าทำรายการดึงข้อมูลใน database แบบนี้ก็ผิดปกติจากที่ระบบเคยเก็บพฤติกรรมเป็น white-list ไว้ และสุดท้ายก็เป็นการปรับแต่งรายงานให้ได้ข้อมูลตามที่เราต้องการ ส่วนใหญ่ระบบหลายๆยี่ห้อก็จะมี template มาไว้ให้รวมทั้งพวก Compliance ต่างๆเช่น HIPPA, PCI, และอื่นๆ

มาตรฐานที่ถูกนำมาใช้ใน Web Application Firewall

1. Top 10 OWASP Vulnerabilities โดย Open Web Application Security Project (OWASP)

เป็นการสรุปวิธีการโจมตี Web Application ทั้งหมด 10 วิธีที่ถูกแฮกเกอร์นิยมนำมาใช้ โดย OWASP หรือ Open Web Application Security Project ซึ่งเป็นกลุ่มที่ตั้งขึ้นมา จุดประสงค์เพื่อทำให้การป้องกัน web application ได้ทำสรุปขึ้นมา โดย 10 วิธีดังกล่าวได้แก่

A1 - Cross Site Scripting (XSS)

A2 - Injection Flaws

A3 - Malicious File Execution

A4 - Insecure Direct Object Reference

A5 - Cross Site Request Forgery (CSRF)

A6 - Information Leakage and Improper Error Handling

A7 - Broken Authentication and Session Management

A8 - Insecure Cryptographic Storage

A9 - Insecure Communications

A10 - Failure to Restrict URL Access

2. PCI DSS 1.2 Section 6.6 โดย Payment Card Industry Security Standards Council (PCI SSC)

มาตรฐาน PCI DSS ย่อมาจาก “Payment Card Industry Data Security Standard” เป็นมาตรฐานความปลอดภัยสารสนเทศที่แพร่หลายทั่วโลก รวบรวมโดยคณะกรรมการ Payment Card Industry Security Standards Council (PCI SSC) มาตรฐานนี้ถูกกำหนดขึ้นเพื่อช่วยให้องค์กรต่างๆ ที่มีการรับชำระเงินด้วยบัตรเครดิต สามารถป้องกันการฉ้อโกงบัตรเครดิต โดยการควบคุมข้อมูลและช่องโหว่ต่างๆ ให้เข้มงวดมากยิ่งขึ้น และได้นำไปใช้กับทุกองค์กรที่เก็บรักษา ประมวลผล หรือรับส่งข้อมูลของผู้ถือบัตรเครดิต ไม่ว่าจะเป็นบัตรของค่ายใดก็ตาม

โดยใน Section 6 จะพูดถึงเรื่องการพัฒนาและการดูแลความปลอดภัยของระบบและความปลอดภัยของ Application

3. Web Application Firewall Evaluation Criteria โดย (Web Application Security Consortium)

โดยกลุ่ม Web Application Security Consortium ได้กำหนดหัวข้อและรายละเอียดในการเลือกใช้ Web Application Firewall โดยมีทั้งหมด 9 หัวข้อ ดังนี้

Section 1 - Deployment Architecture

Section 2 - HTTP and HTML Support

Section 3 - Detection Techniques

Section 4 - Protection Techniques

Section 5 - Logging

Section 6 - Reporting

Section 7 - Management

Section 8 - Performance

Section 9 – XML

Web Application Firewall Product

ปัจจุบันมี Web Application Firewall อยู่มากมายทั้งแบบ Open Source และแบบ Commercial เช่น

Open Source Tools

· AQTronix – WebKnight

· Breach – ModSecurity

Commercial Tools

· art of defence - hyperguard

· Breach - WebDefend

· Deny All - rWeb

· Fortify Software - Defender

· Imperva - SecureSphere™

· Applicure - DotDefender

· Armorlogic - Profense

· Barracuda Networks - Application Firewall

· Bee-Ware - iSentry

· BinarySec - Application Firewall

· BugSec - WebSniper

· Cisco - ACE Web Application Firewall

· Citrix - Application Firewall

· eEye Digital Security - SecureIIS

· F5 - Application Security Manager

· Forum Systems - Xwall, Sentry

· mWEbscurity - webApp.secure

· Phion / Visonys - Airlock

· Protegrity - Defiance TMS - Web Application Firewall

· Xtradyne - Application Firewalls