SRAN Biglot ติดตั้งทั่วประเทศ

ขอบคุณหน่วยงานที่สั่ง SRAN   77 จังหวัด ที่ไว้วางใจอุปกรณ์ของเราในการจัดเก้บข้อมูลจราจรคอมพิวเตอร์ตามกฎหมาย  กว่า 15 ปี ในการยืนหยัดในการพัฒนา SRAN

SRAN เป็นมากกว่าการเก็บ Log  เนื่องจากมีความสามารถช่วยเฝ้าระวังภัยคุกคามทาง Cyber Security อีกด้วย ซึ่งนับว่าคุ้มค่าแก่การลงทุน  และช่วยส่งเสริมคนไทยด้วยกัน เพื่อความมั่นคง และยั่งยืนของชาติ

ขอขอบคุณที่เห็นคุณค่าของเรา

จากใจจิรงทีมงาน SRAN

SRAN_logo

IMG_8240

 

 

 

 

SRAN ร่วมอบรม LAB CYBER SECURITY ให้กับทาง SIPA

โครงการเสริมสร้างความรู้และทักษะบุคลากร ที่ทาง SIPA ร่วมกับมหาวิทยาลัยศรีปทุม เป็นผู้จัดขึ้น ทางผมและทีม SRAN ได้เข้าร่วมเพื่อทำการจัดฝึกอบรมในหลักสูตร LAB Cyber Security จำนวน 5 วัน


ได้รับเกียรติจากมหาวิทยาลัยศรีปทุม และ SIPA ให้เป็นวิทยากรให้ความรู้ด้าน Cyber Security และการเก็บข้อมูลจราจรคอมพิวเตอร์ตาม พ.ร.บ.คอมพิวเตอร์ ต่อหน่วยงานรัฐ สถาบันการศึกษาและเอกชน โดยในรุ่นนี้มีผู้เข้าฝึกอบรมจำนวน 56 คน” จัดทำเป็นการสอนแบบ LAB ปฎิบัติจริงจำนวน 5 วัน คือตั้งแต่วันที่ 24 – 28 พฤษภาคม 2559 นี้ โดยการฝึกปฏิบัตินี้ได้ทำให้ผู้อบรมได้รู้จัก Log files แต่ละประเภท ทั้งที่เป็น Network Log , Syslog จากอุปกรณ์ และเครื่องแม่ข่าย ตลอดจน Log จากการถอดค่า SSL (SSL Decrypt) และเสริมทักษะในการวิเคราะห์ Log แบบมืออาชีพ รวมทั้งการฝึกสังเกตการโจมตีทางไซเบอร์ (Cyber Attack) จากประสบการณ์จริง เพื่อให้ผู้เข้าร่วมอบรมได้นำความรู้ที่ได้เรียนรู้มานำไปปฏิบัติตัวได้อย่างมีประสิทธิภาพต่อองค์กรต่อไป

หลักสูตรนี้ผมออกแบบให้เน้น “การมองเห็นบนระบบเครือข่าย (Network visibility)  และ เห็น Log แต่ละชนิดหน้าตาเป็นเช่นไร เพื่อเอาไปใช้ในการวิเคราะห์และการหาสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์”

ตัวอย่าง LAB ที่ให้ผู้เข้าฝึกอบรม

นับว่าเป็นอีกการอบรมหนึ่งที่ผมประทับใจอีกครั้งหนึ่ง  เพราะ LAB ทั้งหมด Set มาจากประสบการณ์ของตนเอง สอนตามประสบการณ์  ในการอบรมในครั้งนี้ทั้งหมดนี้เป็นการเรียนฟรี  กิจกรรมดีๆ ของมหาวิทยาลัยศรีปทุม และทาง SIPA
บรรยากาศในห้องปฏิบัติการ
โดย LAB กำหนดจากประสบการณ์และวิธีการสังเกตข้อมูลบนระบบเครือข่ายคอมพิวเตอร์ รวมถึงการปฎิบัติให้เห็นจริงว่าหน้าตาของ log files แต่ละประเภทเป็นอย่างไร ตลอดระยะเวลา 5 วัน
ประธานรุ่นที่ 1 มอบของที่ระลึกให้ในวันสุดท้าย
ประทับใจครับ หลังจากหายหน้าหายตาจากการบรรยายและฝึกอบรมมานาน
ขอบคุณที่ยังจำผมได้

SRAN และศูนย์คอมพิวเตอร์มหาวิทยาลัยศิลปกร

วันที่ 26,27 และ 28 เมษายน 2559 ที่ผ่านมาทางทีมงาน SRAN ได้อบรมการใช้งาน SRAN และ Network Packet Broker ในหลักสูตรระบบเฝ้าระวังและตรวจจับภัยคุกคามเครือขายคอมพิวเตอร์โดยทางมหาวิทยาลัยศิลปกรได้ใช้ SRAN Solution ในการจัดเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์และการเฝ้าระวังภัยคุกคามที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ของมหาวิทยาลัย การอบรบมีทั้งส่วนทฤษฎีและภาคปฏิบัติ โดยถือว่าเป็นมหาวิทยาลัยที่ใช้ครบทุกคุณสมบัติ (Feature) ของ Next Generation SRAN Security Center รุ่น NetApprove

ขอขอบคุณท่านอาจารย์ที่ให้โอกาส และเชื่อมั่นฝีมือคนไทย มองเห็นความสำคัญในส่วนนี้

ขอบคุณด้วยใจจริง SRAN

ภาพถ่ายรวมกับคณะอาจารย์และผู้ดูแลระบบมหาวิทยาลัยศิลปากรและทีมงาน SRAN นับว่าเป็นภาพแห่งความประทับใจอีกครั้งที่ทีมงาน SRAN ได้ทำอย่างเต็มที่ในโครงการนี้

SRAN Next Generation >> NetApprove อุปกรณ์ออกรายงานสถานการณ์ที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์

netappr-logo

“กว่า 15 ปี SRAN ประสบการณ์ที่กลั่นกรองมาเป็นผลิตภัณฑ์การจัดเก็บบันทึกข้อมูลคอมพิวเตอร์ ที่คุ้มค่าที่สุด สำหรับผู้ใช้งาน” NetApprove เกิดจากการพัฒนาวิจัยอย่างต่อเนื่อง ยาวนานกว่า 2 ปี โดยนำสิ่งที่คิดว่าเป็นประโยชน์สูงสุดสำหรับผู้ใช้งาน บนนิยามว่า “Every thing network logging evident Record and Reporting”   เพราะเราเชื่อว่าการมองเห็นเป็นสิ่งสำคัญ  มันจะทำให้เราประเมินสถานะการณ์ต่างๆได้

ภาพรวมสถานะการณ์ข้อมูลที่เกิดขึ้นบนเครือข่ายองค์กร

บนหน้าจอของ SRAN NetApprove เพียงหน้าเดียวก็ทำให้ทราบถึงเหตุการณ์และสถานะการณ์ปัจจุบันที่เกิดขึ้น ทุกหน้าการแสดงผล กว่า 100 เมนูการแสดงผล ใน SRAN NetApprove สามารถปริ้นเป็นรายงานเพื่อผู้บริหารได้ (Print to PDF Report) รองรับค่าการแสดงผลผ่าน Web GUI และการออกแบบ Responsive Web Design ที่สามารถใช้งานได้ทั้งบนเครื่องคอมพิวเตอร์ และ มือถือ

SRAN NetApprove คือการให้แบบ Full Functional Network Security and Logging Report โดยมีคุณสมบัติ

1. การสำรวจข้อมูลแบบอัตโมมัติเพื่อระบุตัวตนอุปกรณ์บนระบบเครือข่ายคอมพิวเตอร์ (Automatic Identification Device) 
การค้นหาอุปกรณ์บนระบบเครือข่ายอย่างอัตโนมัติ เพื่อระบุตัวตนผู้ใช้งาน โดยไม่ต้องปรับค่าอื่นใดในอุปกรณ์ก็สามารถทำการค้นหาอุปกรณ์ที่อยู่บนระบบเครือข่ายคอมพิวเตอร์ได้
1.1 รายงานการคัดแยกเครื่องที่รู้จัก (Known Device) และ ไม่รู้จัก (Unknown Device) ได้โดยการยืนยัน (Approve) เป็นที่มาของชื่อ “NetApprove” เมื่อทำการยืนยันค่าแล้วหากมีอุปกรณ์แปลกปลอมเข้าสู่ระบบเครื่อข่ายก็สามารถตรวจพบได้ (Rouge Detection)
1.2 รายงาน BYOD (Bring Your Own Device) แสดงค่าอุปกรณ์พกพาที่เข้าสู่เครือข่ายคอมพิวเตอร์ขององค์กรได้โดยแยก Desktop (คอมพิวเตอร์พกพา เช่นโน้ตบุ๊ค) และมือถือ (Mobile) และรู้ว่าใครนำเครื่องพกพามาใช้งานภายในเครือข่ายองค์กร
1.3 รายงานการเก็บบันทึกเป็นค่าอุปกรณ์ (Device Inventory) โดยแยกการเก็บค่าจากอุปกรณ์ (Device) ชื่อผู้ใช้งานจากระบบ Active Directory , จาก Radius ค่าจากการ Authentication  , ค่า IP Address ผู้ใช้งาน , ค่า MAC Address ,  แผนก (Department) , ยี่ห้อรุ่นอุปกรณ์   เป็นต้น
1.4 รายงานการเก็บบันทึกค่าซอฟต์แวร์ (Software Inventory) ที่ใช้ซึ่งในส่วนซอฟต์แวร์จะทำการค้นพบประเภทซอฟต์แวร์ที่ใช้ได้แก่ ซอฟต์แวร์ประเภทเว็บบราวเซอร์ , ซอฟต์แวร์ประเภทมัลติมีเดีย , ซอฟต์แวร์ประเภทใช้งานในออฟฟิศ ซอฟต์แวร์ที่ไม่เหมาะสมเช่นโปรแกรม Bittorrent ก็สามารถตรวจและค้นพบได้
1.5 การวาดรูปความเชื่อมโยงระบบเครือข่าย (Topology)   สร้างภาพเสมือนบนระบบเครือข่ายเป็น Network topology แบบ link chart ในการติดต่อสื่อสาร   (Interconnection)
1.6 การสำรวจเครื่องที่มีโอกาสเปลี่ยนค่า Leak path เชื่อมต่อกับ gateway อื่นที่ไม่ใช่ขององค์กร 

ภาพการแสดงผลการเชื่อมต่อข้อมูลบนระบบเครือข่าย

2. การวิเคราะห์และเทคโนโลยีในการตรวจจับความผิดปกติข้อมูล (Detect and Analyzer) ประกอบด้วย
2.1  Attack Detection รายงานการตรวจจับการโจมตี ที่เป็นพฤติกรรมที่ชัดเจนว่าทำการโจมตีระบบ ได้แก่การ Brute Force รหัสผ่านที่เกิดขึ้นบนตัวอุปกรณ์ และเครื่องแม่ข่ายที่สำคัญ เช่น Active Directory , Web Server , Mail Server เป็นต้น อีกทั้งยังสามารถตรวจพบการโจมตีโดยการยิง Exploit เข้าสู่เครื่องแม่ข่ายที่สำคัญ เป็นต้น
2.2 Malware/Virus Detection รายงานการตรวจจับมัลแวร์ /ไวรัสคอมพิวเตอร์ที่เกิดขึ้นบนระบบเครือข่าย สามารถทำการตรวจจับได้โดยไม่ต้องอาศัยการลงซอฟต์แวร์ที่เครื่องลูกข่าย (Client) แต่ทำการตรวจผ่านการรับส่งค่าที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์
2.3 Botnet Detection  รายงานการตรวจบอทเน็ตภายในองค์กร และการโจมตีบอทเน็ตเข้าสู่ระบบเครือข่ายคอมพิวเตอร์ภายในองค์กร
2.4 Behavior Data Leak Detection รายงานการตรวจจับพฤติกรรมของพนักงานที่มีโอกาสสุ่มเสี่ยงในการลักลอบข้อมูลออกนอกบริษัท
2.5 Bittorrent Detection  รายงานการตรวจจับการใช้งานโปรแกรมดาวโหลดไฟล์ขนาดใหญ่ที่ส่งผลกระทบต่อการใช้งานภายรวมภายในองค์กร
2.6 Anomaly Detection รายงานการตรวจจับภัยคุกคามที่มีความผิดปกติในการติดต่อสื่อสาร
2.7 Tor/Proxy Detection รายงานการตรวจจับซอฟต์แวร์ประเภทอำพรางการสื่อสารเพื่อใช้หลบเลี่ยงการตรวจจับข้อมูลภายในระบบเครือข่ายคอมพิวเตอร์
2.8 HTTP / SSL Analyzer รายงานการตรวจวิเคราะห์การใช้งานเว็บไซต์พร้อมจัดทำสถิติการใช้งานอินเทอร์เน็ตภายในองค์กร
2.9 APT (Advanced Persistent Threat) Detection  รายงานการตรวจพฤติกรรมที่มีโอกาสเป็นภัยคุกคามประเภท APT และมีความเสี่ยงต่อองค์กร

 รายงานผลการใช้งานอินเทอร์เน็ตภายในองค์กร

3. การวิเคราะห์ข้อมูลจาก Log  (Log Analytic)

3.1 Threat event correlation รายงานการวิเคราะห์ข้อมูลจากการรวบรวมเหตุการณ์ภัยคุกคามที่เกิดขึ้นภายในระบบเครือข่ายคอมพิวเตอร์องค์กร
3.2 Risk score รายงานการวิเคราะห์ความเสี่ยงเพื่อสร้างเป็นดัชนีชี้วัด (Indicator of Compromise) ภัยคุกคามภายในองค์กร
3.3 Risk Analyzer (High , Medium , Low) รายงานการวิเคราะห์ระดับเหตุการณ์ความเสี่ยงระดับสูง ความเสี่ยงระดับกลางและความเสี่ยงระดับต่ำ เพื่อแสดงค่าและการจัดทำรายงาน
3.4 Executive summary (Hour , Daily , Monthly) รายงานการจัดสรุปสถานะการณ์ทั้งหมดให้ระดับผู้บริหารองค์กร โดยกำหนดได้ที่เป็นรายชั่วโมง รายวัน และรายเดือน
3.5 Thai Cyber Law Act รายงานความเสี่ยงที่มีโอกาสเข้าข่ายตามมาตราฐานความผิดเกี่ยวกับการใช้งานคอมพิวเตอร์ภายในองค์กร โดยแยกแยะตามมาตรา 5,6,7,8,9,10 และ 11 ซึ่งเป็นจุดเด่นสำคัญที่มีความแตกต่างกับสินค้าอื่นและช่วยให้ออกรายงานสำหรับผู้บริหารได้อย่างครบถ้วน

รายงานความเสี่ยงที่เกิดขึ้นภายในองค์กรที่สามารถออกรายงานได้ รายชั่วโมง รายวัน และรายเดือน

4. การเฝ้าติดตามปริมาณการใช้งานข้อมูลภายในองค์กร (Bandwidth Monitoring)
4.1 Country / City monitoring (In-out organization) รายงานผลการเฝ้าติดตามปริมาณการใช้งานข้อมูลระดับประเทศ ระดับเมือง ที่ส่งข้อมูลเข้าในองค์กรเรา และที่องค์กรของเราติดต่อไปยังโลกภายนอก
เป็นการตรวจสอบข้อมูลวิ่งเข้าสู่องค์กร (Incoming data) และข้อมูลที่ถูกนำออกนอกองค์กร (Out going data) โดยผ่านเทคโนโลยี GeoData

 

 

ภาพ SRAN ได้นำเทคโนโลยี GeoData เข้ามาเพื่อแสดงผลเหมาะสำหรับการเฝ้าระวังผ่านห้อง War room เพื่อประเมินสถานะการณ์ที่เกิดขึ้นภายในองค์กร

4.2 Protocol and Service Bandwidth monitor จะสามารถคำนวณค่าปริมาณ Bandwidth ที่เกิดขึ้นบนระบบเครือข่ายได้โดยแยก Protocol TCP, UDP,ICMP และ Service ตาม well know port service จะทำให้ทราบถึงปริมาณการใช้งานข้อมูลได้อย่างละเอียดและประเมินสถานการณ์ได้อย่างแม่นยำ
4.3 Application Monitoring (Software bandwidth usage) รายงานการใช้แอพลิเคชั่นและปริมาณการใช้ข้อมูลภายในองค์กรกว่า 1,000 ชนิด ได้แก่ SAP , ERP , Orcal , Skyp, Microsoft และ Enterprise แอพลิเคชั่น  SRAN รู้จักทำการเฝ้าติดตามและรายงานผ่านหน้าจอเพื่อดูปริมาณการใช้งานที่มีผลกระทบต่อองค์กร
4.4 Social Network Monitoring (Facebook , Line ,Youtube , Google Video , Twitter , Pantip) รายงานการใช้งานเครือข่ายสังคมออนไลน์เพื่อให้รู้ถึงปริมาณข้อมูลที่ใช้ภายในองค์กร ได้แก่ Facebook , Line , Youtube , Google Video , Twitter และ Pantip  ทำให้ผู้บริหารองค์กรสามารถทราบความเคลื่อนไหวและการใช้ปริมาณข้อมูลภายในองค์กร

 

ภาพ Facebook Monitoring ทำให้ทราบถึงการใช้ปริมาณการใช้งานข้อมูลเครือข่ายสังคมออนไลน์

4.5  User Monitoring  รายงานและจัดอันดับการใช้งาน Bandwidth ภายในองค์กร โดยจะเห็นรายชื่อผู้ใช้จากคุณสมบัติข้อ 1 ทำให้เราทราบถึงชื่อผู้ใช้งานและค่า Bandwidth ที่สูงสุดและทำเป็นรายงานผลได้เป็นรายชั่วโมง รายวัน และรายเดือน

 รายงานปริมาณการใช้งาน Bandwidth ภายในองค์กร


5. การค้นหาข้อมูลในเชิงลึก (Deep Search)
5.1 การพิสูจน์หลักฐานทางข้อมูลสารสนเทศ (Network Forensic Evident data) ค้นหาเหตุการณ์ที่เกิดขึ้น แบ่งตามเนื้อหา (content search)  ดังนี้  Web Access ,  Files Access , Network connection , SSL , Mail , Data Base , Syslog , VoIP , Remote Desktop , Radius  และ Active Directory  เหล่านี้สามารถค้นหา RAW Log ที่เกิดขึ้นได้ ทั้งแบบปัจจุบัน และ ย้อนหลังตามกฎหมาย
5.2  การค้นหาข้อมูลเชิงลึกสำหรับผู้บริหารและทรัพยากรบุคคล (HR /Top Manager query sensitivity data)  การค้นหาเชิงลึกสำหรับผู้บริหารระดับสูง ที่ระบุถึงพฤติกรรมการใช้งานและการสื่อสารผ่านระบบอินเทอร์เน็ตและเครือข่ายคอมพิวเตอร์ภายในองค์กร
5.3 การค้นหารวดเร็ว และสามารถใช้เงื่อนไขในการค้นหา เช่น  AND OR NOT เข้ามาเกี่ยวข้องเพื่อให้การค้นเป็นไปอย่างมีประสิทธิภาพที่สุด


6. การบริหารจัดการค่าการประเมินความเสี่ยง (Vulnerability Management) 
6.1 Passive Vulnerability scanner : เป็นการทำงานต่อเนื่องเพื่อตรวจสอบและประเมินความเสี่ยงโดยทำการตรวจสอบจากค่า CVE (Common Vulnerabilities and Exposures)  การค่า SSL Heartbleed Poodle, Shellsock ที่พบเครื่องแม่ข่ายและลูกข่ายภายในองค์กรที่มีโอกาสเกิดความเสี่ยงจากช่องโหว่นี้, การตรวจสอบการรับใบ Certification ที่ไม่ถูกต้อง ที่อาจตกเป็นเหยื่อการทำ MITM (Man in The Middle Attack) การตรวจสอบการรับใบ Certification ที่หมดอายุ expired date SSL certification) การตรวจสอบการรับส่งไฟล์ขนาดใหญ่ที่เกิดขึ้นในองค์กร , การตรวจสอบ backdoor และการสื่อสารที่ผิดวิธีจากมาตรฐาน และทำการแจ้งเตือนผ่าน Incident response notices
6.2 Active Vulnerability scanner : การตรวจสอบโดยตั้งค่า ตรวจสอบความปลอดภัยให้กับเครื่องแม่ข่ายที่ใช้ทำเป็น Active Directory การตรวจสอบรายชื่อผู้ใช้งาน ค่าความปลอดภัย รวมถึงการตรวจสอบเครื่องที่มีโอกาสติดเชื้อและมีช่องโหว่ตาม CVE
6.3 IPv6 checklist : การตรวจสอบค่า IPv6 โดยทำการส่งค่าตรวจสอบแบบ Broadcast เพื่อสำรวจเครือข่ายว่าอุปกรณ์ไหนที่รองรับค่า IPv6 และจัดทำรายงานการสำรวจ

7. การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์และดูย้อนหลัง (Log Record and Archive)
7.1 การเก็บบันทึกข้อมูลแบบ Raw full data การเก็บข้อมูลที่เป็นประโยชน์ในการสืบสวนสอบสวนและการหาผู้กระทำความผิด ด้วยการเก็บบันทึกที่สามารถทำได้แบบ Hybrid ซึ่ง SRAN เป็นต้นฉบับของการทำวิธีนี้ คือการรับข้อมูลจราจรคอมพิวเตอร์แบบ Passive mode และ รับค่าจากอุปกรณ์อื่นได้
7.2 รองรับค่า Log จาก  AD (Active Directory) , Router / Firewall / VPN ,Mail Server (Support Exchange , Lotus note) , DHCP , DNS, SNMP , Radius Wi-Fi Controller และทำการแยกแยะค่าการเก็บ Log โดยแบ่งเป็นหมวดให้ได้โดยอัตโนมัติ
7.3 รองรับ SCP , sFTP และการ mount files log จากเครื่องอื่นมาเก็บแบบรวมศูนย์ (Centralization Log) และมีความสามารถใน Export Data ออกเพื่อใช้ในการพิสูจน์หาหลักฐาน การ Export ข้อมูลเรียงตามชั่วโมง วันและเดือนปี
7.4 การเก็บบันทึกข้อมูลสามารถเก็บได้ยาวนายกว่า 90 วันตามกฎหมายกำหนด มีซอฟต์แวร์ SRAN Logger Module รวมอยู่ในอุปกรณ์  ผ่านมาตรฐาน   NECTEC มศอ.๔๐๐๓.๑ – ๒๕๕๒ (NECTEC STANDARD NTS 4003.1-2552) ระบบเก็บบันทึกข้อมูลจราจร ตาม พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ปี 2550
7.5 การเก็บบันทึกข้อมูลมีการยืนยันความถูกต้องข้อมูล Integrity hashing confidential files

ภาพการเก็บบันทึกข้อมูลจาก Syslog มีการทำ File integrity เพื่อยืนยันความถูกต้องข้อมูล ผู้ที่เข้าถึงไฟล์ได้ต้องเป็นระดับ Data Keeper ที่องค์กรได้มอบหมายรับผิดชอบในส่วนนี้
8. การเก็บบันทึกค่าสำหรับให้ IT Audit ในการตรวจสอบข้อมูลและใช้เป็นหลักฐาน (Log Audit)
8.1  การเก็บบันทึกค่า Active Directory Login active / Login fail
8.2 การเก็บบันทึกค่า SSH Login active / Login fail
*8.3 การเก็บบันทึกค่า Active Directory user security check ตาม AAA Authentication เพื่อตรวจสอบรายชื่อพนักงาน รหัสผ่านที่ยังไม่ได้ทำการแก้ไข และอายุระยะเวลาของรายชื่อ (Account) , Authorization สิทธิในการเข้าถึงข้อมูล
รายงานการ Login ผิดพลาดที่เกิดขึ้นจากการใช้

9. การวิเคราะห์ไฟล์ที่ติดเชื้อจากการติดต่อสื่อสารบนระบบเครือข่ายคอมพิวเตอร์ (Malware Analytic)

9.1 Files Integrity monitoring การตรวจสอบค่าความถูกต้องจากการสื่อสาร โดยสามารถมองเห็นประเภทของไฟล์ที่เกิดขึ้นบนระบบเครือข่าย  ไฟล์ประเภทเอกสาร (pdf,doc,docx,xls ,ppt เป็นต้น) , ไฟล์ประเภทมัลติมีเดีย (mp3,mp4 เป็นต้น) , ไฟล์ประเภทบีบอัดข้อมูล (zip , rar เป็นต้น) , ไฟล์ประเภททำงานได้ในตัว (exe ,dll เป็นต้น), ไฟล์เกี่ยวกับภาพ (jpg,png,gif เป็นต้น)
*9.2  นำค่าการตรวจพบในข้อ 9.1 เข้ามาทำการวิเคราะห์เพื่อหามัลแวร์  (Malware Analytic file with virustotal) โดยใช้การตรวจสอบไฟล์ผ่านโปรแกรมแอนตี้ไวรัสกว่า 50 ชนิด ผ่าน API Virustotal
10. การป้องกันภัยคุกคามที่เกิดขึ้นจากการใช้งานอินเทอร์เน็ต (Internet Protection)

10.1 Passive internet blocking ทำงานอย่างต่อเนื่องและตรวจจากการ Query ข้อมูลผ่านระบบเครือข่าย

10.2 Blacklist blocking การป้องกันภัยคุกคามจากค่าบัญชีดำ (Blacklist)

ทั้ง 10 ข้อที่กล่าวมาบรรจุลงบนเครื่อง SRAN Appliance ที่พร้อมใช้งาน
สามารถติดตั้งและเห็นผลภายใน 5 นาที   ไม่จำเป็นต้องใช้ผู้เชี่ยวชาญก็สามารถติดตั้งได้ และเมื่อใช้อุปกรณ์ SRAN NetApprove ก็เปรียบเสมือนกับมีผู้เชี่ยวชาญระดับมืออาชีพทำงานให้เรา ทำงานรายงานผล สรุปให้ผู้บริหาร เฝ้าระวังและคุ้มครองให้องค์กรและหน่วยงานเรามีความมั่นคงและปลอดภัยทางข้อมูล 24 x 7  โดยไม่มีวันเหนื่อยล้า

หมายเหตุ ค่า * คือเป็น Feature ที่ทดลองใช้งานจริง

Nontawattana  Saraman
นนทวรรธนะ  สาระมาน

SRAN Dev Team
10/3/58

แนวโน้มเทคโนโลยีในอนาคต ปี 2559 จากทัศนะของเข้าพเจ้า

ในยุคที่อินเทอร์เน็ตกลายเป็นส่วนหนึ่งของชีวิต
มือถือที่ทำหน้าที่เอนกประสงค์ เช่น โทรศัพท์ บันเทิง แสดงความคิด ความรู้สึก การรับรู้ข่าวสาร จนทำบางสิ่งบางอย่างได้เปลี่ยนไป เช่น หนังสือพิมพ์ เริ่มกลายเป็นของโบราณ และมีแนวโน้มที่จะทำรายได้ไม่เหมือนก่อน เพราะสามารถอ่านได้บนอินเทอร์เน็ตมีทั้งภาพและเสียง แม้แต่ทีวียังลำบาก เพราะอินเทอร์เน็ตจะดูเมื่อไหร่ ย้อนหลังเท่าไหร่ ปีไหนก็ได้ ทีวีอาจไม่มีความหมาย ในเมื่อคนยุคใหม่ดูแต่มือถือ ที่เรียกได้ว่า “สังคมก้มหน้า”

ข้อมูลข่าวสาร ที่ปะทะเราโดยตรงมีทั้งแบบมองเห็นและที่มองไม่เห็นคือข้อมูลที่ส่งผ่าน อุปกรณ์มือถือของเราไปสู่ระบบอินเทอร์เน็ตนั้นมีการเกิดขึ้นตลอดเวลา  เมื่ออุปกรณ์นั้นได้ทำการเปิดการเชื่อมต่อระบบเครือข่าย ข้อมูลที่เรามองเห็น เช่น ข้อความ ที่เขียนในเครือข่ายสังคมออนไลน์ (Social Network) การส่งภาพ การแชร์ข้อมูล การคลิก Like ชอบ

และที่เราไม่ได้สังเกต มันทำงานอยู่หลังฉากเสมือนเงาติดตามตัวเรา เป็นสิ่งที่คนเรามองไม่เห็นซึ่งในทางเทคนิคนั้นข้อมูลการตรวจสอบทั้งผู้ให้ บริการเครือข่ายเอง เช่น ค่า Protocol ค่าระบบเครือข่าย มีทั้งค่า IP Address ต้นทาง ปลายทาง Port Service ที่เกิดขึ้น การ Query DNS (Domain Name System) และอื่นๆ ที่พอเหมาะสมกับการสื่อสารนั้น ซึ่งมีมากกว่านี้มาก การตรวจสอบของระบบปฏิบัติการ (Android , iOS , windows) กว่าหมื่นล้านเครื่องที่บรรจุระบบปฏิบัติเหล่านี้ลงไป จะมีการตรวจสอบและการปรับปรุงผ่านเครือข่ายอินเทอร์เน็ต อยู่ตลอดเวลายามเมื่อเราเผลอ
นี้ยังไม่รวม Application ที่เราชอบโหลดชอบลงกัน  มี 10 App ก็ตรวจ 10 App
พวกนี้ก็ตรวจสอบและปรับปรุงผ่านเครือข่ายอินเทอร์เน็ต อย่างต่อเนื่อง  แม้แบบที่เราไม่เต็มใจก็ตาม ก็ยังมีอัพเดทส่งค่าไปแจ้งที่ส่วนกลาง บนก้อนเมฆแห่งข้อมูล (Cloud)  ซึ่งไม่ค่อยสนุกเลยถ้ารู้ความจริงว่าข้อมูลใดบ้างที่หลุดไป  (คนที่เคยทำงานพวก Log Analysis  และอ่าน Log ดิบเป็นจะรู้ดี)

ผมขออธิบายแนวโน้มดังนี้

1. คนไม่มีตัวตน ไม่มีสิทธิ  

ผมมองว่า เรื่องการระบุตัวตนผู้ใช้งานอินเทอร์เน็ต (Identity) ที่เราคุ้นเคยคือผ่าน E-mail จะถูกผูกขาด กับชาติมหาอำนาจอย่างมาก เราจำเป็นต้องใช้ E-mail  เพื่อพิสูจน์การใช้สิทธิเข้าถึงข้อมูลต่างๆ ในหลายรูป และมีนโยบายของผู้ให้บริการ (Content Provider) ต้องการให้เราบอกมากว่า E-mail เช่น เบอร์โทรศัพท์ โดยอ้างถึงความปลอดภัย  สำหรับ Application ที่ใช้อยู่จำเป็นต้องยืนยันตัวตน เช่น Facebook เราถูกบังคับให้ตรวจสอบย้อนกลับได้ มันเป็นการ Identity ประชากรอินเทอร์เน็ตโลกทีเดียว
ตัวอย่างที่เห็นได้ชัดคือมือถือของเราเมื่อซื้อเครื่องสิ่งแรกที่คุณ ต้องกรอกข้อมูลคือ e-mail  เพื่อที่ใช้งานได้ต่อทั้งโหลด app ต่างๆ และการยืนยันการเข้าถึงข้อมูลของ App ที่เราสนใจ

ต่อไปคนไม่มีตัวตน ที่ไม่ใช่ กลุ่ม Anonymous  ก็คือคนที่ระมัดระวังตัวสุดๆในโลกอินเทอร์เน็ต ที่เข้าใจกันติดต่อสื่อสารมากพอควร ซึ่งคนกลุ่มนี้มีหลายประเภท เช่น ผู้รู้ทางเทคนิค , คนที่ต่อต้านรัฐบาล , กลุ่มก่อการร้าย เป็นต้น พวกนี้ใช้วิธีการอำพรางการสื่อสารแน่นอนเพื่อไม่ให้ตรวจหาเส้นทางการสื่อสาร ค่าไอพีแอดเดรส IP Address ของตนเองอำพรางการ Login บน Social Network ที่ไม่สามารถระบุได้ว่าเป็นใคร หรือหาความสัมพันธ์เชื่อมกับบุคคลอื่นได้ยาก หรือทำให้เกิดการสับสน ของข้อมูลเพื่อไม่ให้สืบถึงตัวได้ว่าเป็นใคร เป็นต้น

และ อีกพวก คือคนที่เข้าไม่ถึง เช่น คนยากไร้ และยังขาดการเข้าถึงการใช้งานอินเทอร์เน็ต ซึ่งปัจจุบันยังมีจำนวนอีกมากที่ยังไม่ได้เข้าถึงโลกแห่งนี้ ผมจะไม่ขอกล่าวถึง
เอาเป็นว่า คนไม่มีตัวตน ไม่มีสิทธิ นี้คือคนที่เข้าสู่โลกอินเทอร์เน็ตแล้ว อย่างน้อยที่สุดมี E-mail เป็นของตนเอง

การระบุตัวตน (Identity) ไม่ได้หมายถึงแค่ คือ ใคร (Who)  แต่รู้ถึงการกระทำ ประวัติการใช้งาน  พฤติกรรมที่ใช้งาน  ภาพถ่าย คลิป ทั้งภาพและเสียง อื่นๆ Timeline ตั้งแต่คุณเริ่มแรกที่เข้าสู่อินเทอร์เน็ตจนถึงปัจจุบันที่คุณทำ    มันจะทำงานทุกครั้งเมื่ออุปกรณ์สื่อสารของคุณติดต่อออกสู่โลกภายนอก บนก้อนเมฆแห่งข้อมูล (Cloud ซึ่งส่่วนใหญ่ไม่ได้อยู่ในประเทศไทย)   อ่านแล้วอย่าพึ่งกลัวจนเกินไป แต่จงใช้อุปกรณ์ที่อยู่ข้างกายคุณให้เป็นและคุณเป็นผู้ใช้งานปกติก็ยิ่งไม่ ต้องกลัว สิ่งที่จะถูกเฝ้าติดตาม (Monitor) ได้ ก็เพราะกลุ่มคน หรือบุคคลที่เป็นเป้าหมายของมหาอำนาจเท่านั้น

ปัจจุบันมีความพยายามของ Application ที่ติดตลาดแล้ว ทำการบังคับให้ Login ก่อนใช้งาน หากสังเกตดูง่ายๆ ทำไมเขาถึงต้องบังคับเรา เพียงแค่เรา Login เข้าไป  มีข้อมูลอีกมากมายที่ทำให้ รู้และระบุตัวตนเราได้ ถึงแม้ E-mail ที่สมัครนั้นแทบไม่โยงความเป็นตัวตนของเราเลย  สิ่งที่กล่าวมาไม่ได้มาลอยๆ แต่ภาพสะท้อนการแฉข้อมูลระดับโลก อย่าง เอ็ดเวิร์ด สโนว์เดน ก็ออกมากล่าวถึง NSA ที่อยู่เบื้องหลัง หากใครสนใจลองดูหนังสารคดีเรื่อง Citizenfour  ดู แต่เมื่อดูหนังสารคดีเรื่องนี้แล้วก็อย่าพึ่งตัดสินใจเชื่อ ก็ให้ใช้หลัก “กาลามสูตร” ด้วยมิใช่เชื่อทุกอย่างที่เห็น
เพราะเหล่านี้ล้วนเป็นเกมส์ระหว่างประเทศและกลุ่มทุนเอกชนขนาดใหญ่ ย่อมต้องการให้ตนเองได้เปรียบคนอื่น

สรุปในอนาคตอันใกล้จะมีการระบุตัวตนผู้ใช้งานอินเทอร์เน็ต  ซึ่งเป็นประโยชน์ในหลายส่วน แต่ส่วนหนึ่งที่อาจสูญเสียไปก็คือความเป็นส่วนตัว (Privacy)

2. ด้วย Big Data  จะทำให้รู้จักคุณ มากกว่า คุณรู้จักตัวเอง

ข้อนี้เป็นข้อขยายความต่อจากข้อ 1 ที่เขียนด้านบน รถยนต์ของเราบอกเส้นทางได้ แถมยังบอกได้ว่าเส้นทางไหนมีรถหนาแน่น ให้หลีกเลี่ยง (ปัจจุบันก็เป็นอยู่จาก Google Map และลงไปมากกว่าเส้นทางรถติดที่ขึ้นสีแดง คือสามารถบอกร้านอาหารไหนที่มีคนเข้าร้านหนาแน่มาก พวกนี้เกิดจากการประมวลผลผ่าน Big data ที่ได้แรงสนับสนุนจากประชาชนคนไทยที่พร้อมใช้เปิดเครื่องมือสื่อสาร ที่แชร์แบบตั้งใจ และ โดนส่งข้อมูลออกแบบที่ไม่รู้ตัว เพราะระบบปฏิบัติการ OS มือถือ Android ของ Google ส่วน App แผนที่ ก็ Google map ก็จะให้ไม่รู้ได้อย่างไง ปิดตรงไหนจะไม่ได้รั่วบ้าง ?)

เมื่อ Application บนสมาร์ทโฟน ที่บรรจุในมือถือ แต่กับแปลงร่างย่อยส่วนไปอยู่ในอุปกรณ์ (Device) ต่างๆ เช่น นาฬิกา ,  ข้อมือเพื่อสุขภาพ ตรวจวัดระดับของความดันโลหิต ชีพจร อัตราการเต้นของหัวใจ อันจะประมวลผลจากก้อนเมฆแห่งข้อมูล (Cloud) เพื่อส่งรายงานต่อผู้ใช้โดยตรงว่า สุขภาพของท่านเป็นเช่นไร ?  เมื่อ sensor ไร้สายติดตั้งในรถยนต์ ที่สามารถบ่งบอกได้ว่า ยางรถของคุณได้เวลาเปลี่ยน พร้อมมีความ สึกหรอ ไปมากเพียงใดแล้ว หลอดไฟหน้าซ้าย เริ่มมีระดับแสงสว่างที่น้อยเกินกว่าความปลอดภัย จะถูกส่งเตือนเข้าอุปกรณ์มือถือของเรา  ให้เราทราบถึงการซ่อมบำรุงที่มีประสิทธิภาพ กับผู้ให้บริการที่มีพันธิมิตรมากกว่าเก่า (ที่อย่างน้อยต้องมีโปรแกรมเมอร์ช่วยสร้าง App) เพราะเวลานั้นมีค่าสำหรับทุกคน ดังนั้นการซ่อมแซมที่มีประสิทธิภาพ จะมาพร้อมกับการแจ้งเตือนเข้าสู่ตัวคุณ โดยที่ไม่ต้องรอ
คุณหมอ และ ช่างซ่อม มีส่วนหนึ่งที่ทำให้การบริการเป็นเลิศ เพราะคุณคือ “Individual”  บริการนี้เจาะจงเพื่อคุณคนเดียว

Individual Services จะทำให้คุณแปลกใจว่าทำไมสินค้าและบริการที่เข้า มาเสนอขายคุณตรงผ่านช่องออนไลน์ ช่างเข้าใจอุปนิสัยใจคอของคุณมากกว่าคนใกล้ตัวคุณเสียอีก
Individual Services ยังทำให้คุณเหมือนเป็นคนพิเศษและตกลงปลงใจที่เลือกสินค้าและบริการได้อย่าง รวดเร็ว ที่ทำอย่างงี้ได้ก็เพราะยุคนี้เท่านั้นแหละก้อนเมฆแห่งข้อมูล (Cloud) ที่มีคลังข้อมูลขนาดใหญ่ (Big Data) มันทำให้แยกแยะข้อมูล ประมวลผลและจัดการให้ผลลัพธ์ดีที่สุดสำหรับผู้ให้บริการที่เรียกว่า “Content Provider” อย่าแปลกใจหลายประเทศก็รู้ทันว่าทำอย่างไร แต่ไม่ทันการที่มหาอำนาจก้าวไปไกลเกินกว่าจะตามทัน  จนต้องอุทานไปว่า “ช่าง..่งมัน”  เลยจำใจต้องจ้าง Hackers มืออาชีพเพื่อทำการล้วงใส้ หรือที่เป็นที่นิยมอย่างมากคือซื้อข้อมูลผ่านเส้นทางสายไหมแห่งยุคไซเบอร์ (Silk Road : Marketplace ) ผ่าน Deepweb ตลาดมืดที่มีทั้งองค์กรสนับสนุน และกลุ่มที่ซ่อนตัวใต้ภูเขาน้ำแข็งที่ลึกกว่าตามองเห็น

เครือข่ายสังคมออนไลน์ ที่เก็บประวัติของคุณตั้งแต่เด็กพึ่งหัดเดิน ได้เข้าสู่ปฐมวัย และก้าวสู่วัยรุ่น Timeline เหล่านี้ไม่เคยหายไปไหน แต่ยังไปเก็บที่ก้อนเมฆแห่งข้อมูล (Cloud สักที่ ที่ไม่ใช่ประเทศไทย)  สายลัดข้อมือและมือถือ ที่ส่งข้อมูล อัตราการเต้นของหัวใจ ข้อมูลด้านสุขภาพที่เราตั้งใจกรอก เพื่อได้ผลลัพธ์ที่ดีที่สุดสำหรับตัวเอง ทุกข้อมูล Profile ที่กรอกข้อมูลเต็มที่เพื่อ ที่ใช้ประโยชน์กับเพื่อนเก่าๆ ที่หายไปนาน ทุกอารมณ์ความรู้สึก  ทุกข้อความ ทั้งที่เผยแพร่ (public) และ ลบออกไปไม่เสนอสาธารณะ ยังคงอยู่  และพร้อมใช้งานเมื่อมีคนต้องการสืบค้น ประเมินพฤติกรรม ของบุคคลนั้น นิสัยใจคอ อารมณ์ความรู้สึก วุฒิการศึกษา สถานที่อยู่อาศัย เครือข่ายกลุ่มเพื่อนในชีวิตของเขา สุขภาพของเขา ซึ่งเหล่านี้คือฝันที่เป็นจริงของหน่วยงานด้านความมั่นคง (ที่ไม่ใช่ประเทศไทย)

สรุป Big Data  ข้อมูลการสื่อสารจากอุปกรณ์มือถือของเราคอมพิวเตอร์ของเรา ผ่านระบบเครือข่ายของเรา และของคนอื่นที่กระจายอยู่ทั่วโลกนั้น ด้วยเทคนิค CDN (Content Derivery Network) มันถูกเชื่อมเข้าสู่ส่วนกลาง ที่เต็มไปด้วยข้อมูล และเต็มไปด้วยเรื่องราวจากอดีตจนถึงปัจจุบัน มันทำให้รู้เรื่องของเรา มากกว่าเรารู้เรื่องของตนเอง  เพราะคนเรานั้นมีโอกาสที่จะลืม แต่ก้อนเมฆแห่งข้อมูล (Cloud) ความเสถียรระดับหากโลกไม่ดับสูญ ยังทำงานอยู่ คลังข้อมูล (Big data) ถูกย่อยและจัดเก็บบน Storage ที่ใหญ่พอเก็บข้อมูลคนทั้งโลกได้  เดินหน้าต่อ และพร้อมขยายตัวแบบไร้ขอบเขต
เป็น “Eye in the sky” สำหรับใคร ? ที่ต้องการเข้าถึงข้อมูล ?  เรื่องนี้ให้ท่านผู้อ่านวิเคราะห์เอาเอง

3. IoT เปลี่ยนชีวิต
  
IoT (Internet of Things)  ต่อจากข้อ 2  แต่ว่าด้วยการเป็นอุปกรณ์ ที่จะอยู่รอบๆ ตัวเรา  จะส่งข้อมูลได้ ไม่ว่าเป็น ทีวี (ปัจจุบันเป็นแล้ว )  , มิเตอร์ไฟฟ้า,ประปา  ตู้เย็น หลอดไฟ  เสาให้สัญญาณไฟ ก็เป็น รวมถึง ชิ้นส่วนเล็กๆ บนรถยนต์  ในอนาคตอันใกล้มีโอกาสเห็นรถยนต์ไร้คนขับ
อุปกรณ์ IoT ดังกล่าวจะทำการ Convergence ผ่าน Infrastructure ของระบบเครือข่ายได้แก่ ระบบเครือข่ายภายใน (LAN)  ระบบเครือข่ายภายนอกเพื่อเชื่อมต่อินเทอร์เน็ต  ส่งข้อมูลไปยัง  Cloud Computer ที่มี Big Data อยู่  ซึ่งจะเชื่อมโยงกันแทนที่สิ่งของเดิมที่เราใช้งาน

IoT  อุปกรณ์จะทำให้มีการเปลี่ยนแปลงการใช้ชีวิต จนถึงขั้นที่ไม่เชื่อว่าจะเป็นไปได้  เมื่อทุกอุปกรณ์ในอนาคตจะมีการเชื่อมต่ออินเทอร์เน็ต (มีค่าไอพีแอดเดรส คิดว่าถึงเวลานั้นคงเป็น IPv6 กันหมด)

สัญญาณนี้มาตั้งแต่ 2 ปีแล้วแต่จะเห็นชัดขึ้นเรื่อยๆ  เนื่องมาจาก ทุุกคนมีสมาร์ทโฟน สะท้อนตามจำนวนประชากรที่มีโทรศัพท์มือถือ และผู้ที่มีก็มีการเชื่อมต่อข้อูลผ่านโครงข่าย  3G และ 4G รวมทั้ง Wifi ตามสถานที่ เพื่อเชื่อมต่ออินเทอร์เน็ตตลอดเวลา  และความเร็วของอินเทอร์เน็ต ยุค 4G ที่ทุกคนคงกลายเป็นสังคมก้มหน้า อย่างถาวร นั้นเป็นสัญญาณหนึ่งที่บอกได้ว่า IoT มาแน่นอน และอีกสัญญาณหนึ่งที่เห็นได้ชัด คือ ฮาร์ดแวร์มีราคาถูกลงและมีประสิทธิภาพมากขึ้น ตั้งแต่ Rasberry pi พัฒนา และบอร์ดอิเล็คทรอนิค อย่าง Arduino ซึ่งทำให้เกิดนักประดิษฐ์มากขึ้น ซึ่งทำให้ IoT ไม่เป็นเพียงความฝัน เพราะชิปอุปกรณ์อิเล็คทรอนิคเหล่านี้จะไปฝังตามอุปกรณ์ต่างๆ ในชีวิตประจำวัน แบบคาดไม่ถึง และประมวลผลผ่านสัญญาณไร้สาย และเชื่อมกับอินเทอร์เน็ต ผ่านไป Cloud computer ซึ่งเป็นคลังประมวลผลระดับใหญ่  ระดับบริษัท ระดับชาติ และระดับโลกตามมา ซึ่งเมื่อเวลานั้นมาถึง ความเป็นส่วนตัวก็จะลดลงเพราะมีคลังข้อมูลขนาดใหญ่ (Big data) ที่ชาญฉลาด สามารถจัดแจงข้อมูล สรุปสถิติประมวลความน่าจะเป็น และแนวโน้มที่จะเกิดขึ้นได้อีกด้วย

ในมุมด้านความมั่นคงปลอดภัยจะมีการนำไปใช้งานจาก IoT มากขึ้น ที่เห็นกันแล้วในปัจจุบันคืออากาศยานไร้คนขับ (Unmanned Aerial Vehicle , UAV หรือรู้จักกันในชื่อว่า Drone) ที่ถูกนำมาใช้มากขึ้นทั้งด้านการลาดตระเวน การสอดแนม จะใช้งานแทนผู้ปฏิบัติงาน (คน)  โดยควบคุมระยะไกล ผ่านช่องทางอินเทอร์เน็ต และการสื่อสารไร้สาย ที่เป็นรูปแบบ Protocol เฉพาะของประเทศที่เป็นมหาอำนาจ (ยกเว้นประเทศที่ซื้ออย่างเดียวไม่คิดทำ จะเสียเปรียบ)  หรือผ่านอุปกรณ์สื่อสาร เช่นคอมพิวเตอร์ หรือแม้กระทั่งมือถือ เพื่อใช้ปฎิบัติภาระกิจต่างๆ มีความเป็นไปได้สูงที่เราจะเห็น Drone ขนาดเล็ก เล็กเสมือนแมลงวัน โดยสามารถควบคุมผ่านมือถือของเราได้
การนำ IoT ไปใช้กับชีวิตประจำวันจะค่อยๆ มา จนเป็นส่วนหนึ่งของชีวิต และทุกคนจะชินกับมันเหมือนกับปรากฎสมาร์ทโฟน ที่ทุกเพศทุกวัย ตั้งแต่เด็กไม่เกิน 2 ขวบ จนถึงคนแก่ อายุ 90 ก็สามารถใช้งานได้

4. Startup กลับบ้าน  

กลับบ้านในที่นี้ ผมมี 2 ความหมาย  และ 2 ระยะ
ระยะแรก ความหมายแรก  ก็คือ  ปัจจุบันนี้จนถึงอนาคตอีกไม่เกิน 5 ปี ต่อจากนี้ ผู้ประกอบการขนาดเล็กจะมีจำนวนมาก ที่เรียกว่า “สตาร์ตอัพ (Startup)”   ในระยะเวลาไม่เกิน 5 ปีนี้จะไม่แปลกเลยที่บริษัทหนึ่งจะมีคนทำงานไม่เกิน 3 คน หรือ แม้กระทั่งเพียงคนเดียวก็ได้
เนื่องมาจากความรอบรู้  และ กล้าที่จะเสี่ยงมากขึ้น
ด้วยความรอบรู้ : เนื่องจากคนยุคใหม่ ค้นหาข้อมูล ผ่าน Search engine  google เป็นหลัก ทำให้อยากรู้เรื่องอะไร ก็ศึกษาเอาเอง แม้กระทั่งการทำบัญชี การทำเว็บ (ใช้ CMS สำเร็จรูปที่ติดตั้งสะดวก) แทนตั้งร้านค้าขายเหมือนสมัยก่อน แต่ขายผ่านระบบ  E-commerce  และทำการประชาสัมพันธ์ ผ่าน Social network  มี Known how สาระพัดที่เผยแพร่บนโลกอินเทอร์เน็ต
ใครขยัน ช่างฝัน และกล้าลงมือทำ มีโอกาสเป็นจริงได้  คนรุ่นใหม่ค้นหาเก่งจะเป็นคนรอบรู้

ดังนั้น  Startup กลับบ้านในระยะแรกคือ ไม่จำเป็นต้องมี office ในเมืองหลวงอีกต่อไป  เขาสามารถทำงานที่บ้านเกิดเขาได้เลย  เขาสามารถใช้ชีวิตแบบมีคุณภาพ กับท้องทุ่งที่สัญญาณอินเทอร์เน็ตเข้าถึง  เขาสามารถใช้ชีวิตแบบ “Slow life” ได้ (ถ้าไม่หวังสูง)   เพราะการค้นหาข้อมูล จากความรู้ความสามารถที่ตนเองถนัด รักในงานที่ทำและการลงมือได้เอง ด้วยตัวเอง จะทำให้เขาสามารถเป็น Startup ที่มีคุณภาพได้ แม้ไม่ได้อยู่ในเมืองหลวง

แต่ระยะที่ 2 เมื่อพบว่า Starup มีมากมาย และทำในเรื่องเหมือนๆ กัน ซึ่งสร้างรายได้ไม่ได้มากอย่างที่คิด เพราะมีความคล้ายคลึงกัน จนไม่รู้ว่าใครเป็นคนทำดั่งเดิม หรืออันดี work สุด มันเหมือนกันไปหมด เมื่อกาลเวลาผ่านไป จึงทำให้ความฝันนั้นก็สลายไปได้ เพราะโลกความจริงนั้นแข่งขันกันสูง จะอยู่ได้เฉพาะคนที่รู้จริง ละเอียด (ลง Detail)  และ ที่สำคัญ ต้องมี Connection นานาประการ ซึ่งเป็นเรื่องลำบากที่ Startup จะ Start ไปได้ต่อ และต่อเนื่อง Starup ช่างฝัน โลกสวยได้ไม่นาน ก็จำต้องตกเป็นอยู่ วงแขนของผู้ที่มีความพร้อม ซึ่งระยะที่ 2 ในความหมายของกลับบ้าน คือ ผมคาดการณ์ว่า Startup ที่เกิดขึ้น ภายใน 5 ปี จะมีส่วนหนึ่ง อาจจะหลายส่วน จะกลับเขาสู่บริษัทขนาดใหญ่ (ปลาใหญ่สายป่านยาว)  หรือ องค์กรจากภาครัฐที่สนับสนุน ซึ่งองค์กรภาครัฐดังกล่าวต้องมีความโปร่งใส และ ต้องการให้เกิดผลลัพธ์  มิใช่ทำเพื่อประโยชน์ในระยะสั้น จะอ้าแขนรับคนช่างฝัน และมีศักยภาพกลุ่มนี้  ที่พร้อมพลักดันความฝันเขาให้เป็นจริงได้

สรุปว่า Startup เป็นเรื่องดี แต่สุดท้าย ประโยชน์ที่ได้จะตกอยู่กับบริษัทขนาดใหญ่ ที่สามารถเลือกช้อปช่องทางธุรกิจใหม่ของตนเองได้อย่างมั่นคงในอนาคต

โลกเรามันก็เป็นวัฐจักรแบบนี้แหละครับ  มันเหมือนเหล้าเก่าในขวดใหม่ แต่สุดท้ายมันก็จะจบแบบเดิมๆ ทุกที

5.  HTTPS เข้ารหัสเพื่อการเป็นมหาอำนาจอย่างแท้จริง

ข้อนี้เป็นเทคนิคมากหน่อย แต่ต้องอธิบายเพราะมีนัยะอย่างมาก
Https คือ เว็บไซต์ที่มีการเข้ารหัส SSL (Secure Socket Layer) โดย ค่าการเข้ารหัสนั้นจะมีเพียงเจ้าของผู้ให้บริการเท่านั้นที่มี กุญแจสำคัญดอกนี้ (Private key) ถึงแม้จะสร้างหลอกกันได้ แต่สุดท้าย บราวเซอร์ และ OS ที่เราใช้จะไม่ยอมให้เข้าใช้งานอย่างอิสระ  จึงเป็นเครื่องสำคัญสำหรับชาติมหาอำนาจที่ คิดได้ในการเชิงความได้เปรียบในเชิงข้อมูล ค่า Cipher ที่เป็นการเข้ารหัสจะเฉพาะเจาะจงเฉพาะบริษัทที่ทำการเผยแพร่ เช่น Google หรือ Facebook  ก็จะการเข้ารหัสเฉพาะหากทำเลียนแบบจะได้ชั่วคราวเท่านั้น ดังนั้นเทคนิคที่ว่าแน่ MITM  (Man in The Middle Attack) จะได้ชั่วคราว
ชิงการได้เปรียบทางข้อมูลไม่พอ  เทคนิคดังกล่าวจะเหลือผลิตภัณฑ์ด้านการป้องกันภัยยี่ห้อจากฝั่งประเทศมหา อำนาจเท่านั้นที่ทำเรื่องพวกนี้ได้ ดังนั้นเทคโนโลยีการถอดรหัส (Decrypt) ข้อมูลเหล่านี้ จึงถูกผูกขาด (คนในวงการหากเอ่ยชื่อผลิตภัณฑ์นำเข้าเหล่านี้ก็จะรู้ดีว่ามี Feature ดังกล่าวแทนที่คนอื่นประเทศอื่นยากที่จะตามทัน)  บอกได้ว่ามีแต่ได้กับได้สำหรับประเทศมหาอำนาจ ยิ่งมีเรื่องนี้มาเสริมกับชีวิตเราที่กำลังเดินบนเส้นทาง IoT (Internet of Things) สังคมก้มหน้าด้วย ยิ่งเข้าทางเขาเลยเพราะจะเชื่อมผ่าน SSL (HTTPS) เพื่อเชื่อมต่อก้อนเมฆแห่งข้อมูล (Cloud) ทั้งหมดจะเป็นการสื่อสารแบบนี้ในโลกอนาคต HTTP จะกลายเป็นเพียงอดีต ผู้ที่ได้เปรียบคือผู้ที่ถือ Key

ทำไมผมถึงต้องเอาเรื่องนี้มาพูด  ผมไม่ได้มองแค่ HTTPS เป็นแค่แฟชั่นความปลอดภัย และความน่าเชื่อถือ เพราะเว็บธรรมดา หรือ App ธรรมดา ที่ไม่มีหน้า Login  ก็ไม่จำเป็นต้องเป็น HTTPS ก็ได้

HTTPS สร้างขึ้นเพื่อป้องกันการดักรับข้อมูล (Sniffer) บนระบบเครือข่าย
ในอดีตที่ผ่าน การดักรับข้อมูลเกิดขึ้นเป็นอันมาก โดยเฉพาะฝั่งรัฐบาลของประเทศต่างๆ  ดังนั้นเขาสามารถ Monitor พฤติกรรมประชาชนของเขาได้  สามารถสืบหาผู้กระทำความผิดได้ โดยง่ายดาย  แต่ตอนนี้กลับตรงข้าม เพราะรายใหญ่ Google , Facebook , Twitter  เครือข่ายสังคมออนไลน์ ที่มีโอกาส ที่คนกระทำการหมิ่นประมาทกันมากที่สุด และมีอิสระมากนั้นไม่สามารถควบคุมได้จากภาครัฐอีกต่อไป เพราะ เป็น HTTPS   ประโยชน์กับเป็นประเทศเจ้าของเนื้อหา (Content)  ซึ่งเป็นเรื่องที่ลำบากมากที่รัฐจะเข้าไปเกี่ยวข้องและดูพฤติกรรมดังกล่าว ได้อย่างในอดีต

ประเทศที่จะมีปัญหาคือประชาชนใช้งานพวกนี้มาก จะถูกเป็นเครื่องมือต่อรอง และในที่สุดก็จะเสียเปรียบ

ผมจึงมองว่า HTTPS โดยเฉพาะ Log files ที่มีการกระทำความผิดกฎหมาย โดยเฉพาะกฎหมายเฉพาะของแต่ละประเทศนั้นไม่เหมือนกัน นั้นจะถูกเปิดเผยได้เฉพาะผู้ให้บริการเนื้อหา (Content Provider เช่น google , facebook เท่านั้น)  ยิ่งเราติดกับดักมากเท่าไหร่ เราก็ยิ่งหมดหนทางที่ไขปริศนาต่างๆ ไม่ว่าเรื่องการก่อการร้าย  การโพสข้อมูล  การส่งข้อมูล และอื่นๆ



 6. ระบบอัตโนมัติ (Automate Robot)
ผมมองว่า ระบบอัตโนมัติ เสมือนกับ Robot จะมาแย่งงานคนที่ไร้ฝีมือมากขึ้น งาน ที่ต้องทำแบบซ้ำๆ ปัจจุบันในโรงงานก็จะมีเครื่องกลทำงานให้แทน แต่ในอนาคตอันใกล้ เอาเฉพาะสายงานด้านความมั่นคงปลอดภัยข้อมูล (Information Security) มีความเป็นไปได้สูงที่จะเห็นคนที่มีใบ Certification ดังๆ หลายใบ แต่ขาดความรู้และประสบการณ์ จะตกงานกัน  โดย เฉพาะงาน MSSP (Management Security Services Provider)  จะใช้คนดูแลน้อยลงมาก เพราะมีระบบที่ชาญฉลาด วิเคราะห์ข้อมูลให้ คัดแยกข้อมูลอันตราย และทำงานเชื่อมโยงกันเพื่อการป้องกันชนิดที่ไม่จำเป็นต้องใช้งานวิเคราะห์ ได้แล้ว  หลังๆ จะเห็น ศัพท์ IoC (Indicator of Compromise) เข้ามาตรวจในระบบ SIEM (Security Information Event Management) เพื่อคัดกรอกเหตุการณ์เอาเฉพาะใช่ภัยคุกคามจริงๆ จะทำให้ลดเรื่อง False positive (การเข้าใจผิดว่าเป็นการบุกรุก) ซึ่งในอดีตต้องอาศัยคนที่ประสบการณ์วิเคราะห์ แต่ปัจจุบันมี robot ช่วยวิเคราะห์ มีความแม่นยำ และสู้งาน ขยัน 24 ชั่วโมงไม่พักผ่อน

IoC จะทำการแยกว่าใช่การโจมตีจริงเมื่อเกิดเหตุการณ์ ก็จะเรียนรู้และเข้าสู่ระบบ Automation Incident Response ซึ่งในอดีต Incident Response เป็นงานของคน แต่ปัจจุบันและอนาคตกับมี robot ที่บรรจุลงในฮาร์ดแวร์ (Appliance จะเห็นได้จาก Next Gen Firewall ก็เริ่มมีทุกอย่างแล้ว) การแก้ไขปัญหายากๆ มีความซับซ้อน robot ก็เข้ามาแทนที่คนได้ ซึ่งเห็นว่าปีที่แล้ว 2558 รายใหญ่ในต่างประเทศก็ทำเรื่องนี้ ดังนั้นจึงมองว่า ในอนาคตงานเหล่านี้อาจจะใช้คนจำนวนไม่ต้องมากแต่ต้องเป็นคนเก่งจริง
แล้วคนที่ตกงานเหล่านี้จะไปอยู่ไหนทั้งที่ก็ควรจะมีอนาคตที่ดีเพราะมี Certification ก็คงต้องไปเป็น Startup ชั่วคราวสักระยะ

ระบบอัตโนมัติ ที่กล่าวยังไม่รวมถึงการโจมตีแบบอัตโนมัติ ที่เรียกว่า botnet ทำงานauto มานานแล้วแต่จะทวีความฉลาดและเน้นที่เจาะระบบเครื่องแม่ข่าย (Public IP) ชนิดที่พลาดนิดเดียวก็โดน hack ได้เพราะ robot พวกนี้ทำงานตลอดเวลาไม่มีวันหยุด ส่วนใหญ่เป็น Brute Force รหัสผ่าน  ผ่าน Service ที่ส่วนใหญ่ Server ชอบเปิด โดยเฉพาะ SSH (Secure Shell) เหล่า  System admin หรือกลุ่ม Research ที่เคยทำพวก Honeypot หรือเคย Monitor พวก Log คงทราบดี   ส่วนใหญ่ก็ลงประเทศพี่ใหญ่เราทั้งนั้น  พวกนี้ทำเพื่ออะไร ? ผมไม่ขอขยายความไว้เล่าต่อยามที่มีโอกาส

7. คุณภาพชีวิตจะดีขึ้น  เมื่อเราค้นหาข้อมูลและปฏิบัติจริง

เมื่อเราเข้าถึงข้อมูล  เรารู้จักอ่านข้อมูล รู้จักวิเคราะห์ข้อมูลที่ได้รับ รู้จักอันเลือกข้อมูล อันไหนมีสาระ มีประโยชน์กับตัวเราและผู้อื่นที่อยู่รอบข้างเรา จะทำให้คนยุคใหม่เป็นคนที่ฉลาดขึ้น รอบรู้ขึ้น จนผมเห็นแนวโน้มการมีคุณภาพชีวิตที่ดี ดังนี้
(1) เรื่องอาหารการกิน   คุนยุคใหม่ ที่เข้าถึงข้อมูล จะเลือกกินอาหารมากขึ้น จะเลือกกินเฉพาะอาหารที่มีประโยชน์ต่อร่างกาย
คนยุคใหม่มีโอกาสที่ทำอาหารกินเองสูง จะเห็นได้ว่าคนที่ดูแล้วเก่ๆๆกั่งๆ เข้าครัว หรือ ปลุกผักกินเองในพื้นที่ ที่อยู่อาศัยของตนเอง เพื่อทำอาหารกินเองเริ่มมีให้เห็นมากขึ้น (รายงานแนะนำ ค้นหาใน google “ความสุขปลูกได้”) เพราะมีความรู้สึกว่าอาหารมีราคาแพงขึ้น และไม่คุ้มค่า อาหารที่ได้รับประทานมีคุณภาพที่ด้อยลง ด้วยเป็นผลพ่วงการผลิตแบบอุตสาหกรรม การผลิตที่เน้นปริมาณ ซึ่งมีโอกาสสูงที่มีสารเคมีตกค้าง นั้นมันอาจจะทำให้เราป่วยได้  คนส่วนหนึ่งที่แบ่งเวลาได้ จึงต้องเปลี่ยนตัวเองมาทำอาหารกินเอง ก็แนวโน้มคนรักสุขภาพที่ทำอาหารกินเอง นอกจากกระแสที่เกิดขึ้นแล้วอย่างเ่นปั่นจักรยาน และออกกำลังกาย เพื่อการชลอวัย

(2) เมื่อเราเข้าถึงข้อมูล การทำงานที่สามารถทำที่ไหนก็ได้ ทำให้เราได้กลับไปอยู่บ้านเกิด อยู่กับครอบครัวเราได้ ที่เรียกว่า “บ้านหลังใหญ่” ที่มีคนทั้ง 3 วัย อยู่ร่วมกัน  ซึ่งมีโอกาสเป็นไปได้ ซึ่งจะทำให้คุณภาพชีวิตดีขึ้นต่อไป  แต่ต้องทำความเข้าใจว่าการกลับไปทำงานที่บ้าน ก็ใช่ว่าจะทำให้ประสบความสำเร็จได้เพราะยุคสมัยที่แข่งขันกันสูงมากเช่นนี้  แต่มันจะขึ้นกับคนที่รู้จักออกแบบ วางแผน และมีวินัย รู้จักการใช้เวลาให้เกิดคุณค่าและประโยชน์มากที่สุด  และที่สำคัญต้องรู้จักประมาณตน ไม่โอเวอร์เกินไป

(3) การศึกษาเรียนรู้  ถือได้ว่าคนยุคใหม่ที่เข้าถึงข้อมูลมีโอกาสที่ค้นคว้าหาความรู้นอกตำรา ซึ่งแล้วแต่บุคคลนั้นที่สนใจสามารถเจาะลึก หากลงมือปฏิบัติด้วยตนเอง และต่อยอดในสิ่งที่ทำได้จะเกิดประโยชน์อย่างมาก

ทั้ง 3 ข้อที่เขียนมา นั้นอาจดูสวย แต่ในความเป็นจริงอาจทำได้เพียงครั้งคราว อย่างไรก็ดี ถือว่าเป็นเรื่องที่ดี สำคัญที่สุดและถือว่าเป็นบทสรุป ที่ใช้ได้ทั้งปัจจุบัน และ อนาคต คือ “เราควรจะอยู่อย่างพอเพียง ให้พอดีกับตัวเราเอง”  แบ่งเวลาเพื่อการให้  จะเป็นการให้ความรู้ ให้อภัย ให้โอกาส ทั้งหมดด้วยใจที่บริสุทธิเมื่อทุกคนรู้จักการให้ คุณภาพชีวิตเราจะดี เป็นสังคมที่น่าอยู่ขึ้น

สวัสดีปีใหม่  2559 ขอให้โชคดีมีความสุข

นนทวรรธนะ  สาระมาน
พ่อบ้าน

31 / 12 / 2558

เขียนให้อ่าน หากชอบโปรดแชร์ ระบุที่มา
จะขอบคุณ

SRAN มองเห็น HTTPS แล้ว

ข้อความจาก http://nontawattalk.blogspot.com/2015/01/https.html

ก่อนหน้านี้ผมได้กล่าวไปแล้วเรากำลังอยู่ในยุคจุดจบ sniffer การดักรับข้อมูลทางระบบเครือข่าย จะไม่สามารถมองเห็นได้ง่ายอีกต่อไป เนื่องจากทุก Application ในอนาคตจะมีการเข้ารหัสผ่าน Protocol ที่ปลอดภัยมากขึ้น

จึงเป็นโจทย์ใหญ่ที่เราต้องเตรียมตัวรับมือ

– ไม่ว่าการเข้ารหัสของมัลแวร์บางชนิดที่ส่งข้อมูลผ่าน SSL หรือ HTTPS ออกไปนอกองค์กร

– การที่ไม่สามารถยืนยันการกระทำความผิดได้ภายในองค์กรและหน่วยงานที่ยังต้อง ใช้พวก Social Network ในการทำงาน อันเนื่องจากไม่สามารถส่ง ค่า syslog จาก Content Provider ในต่างประเทศส่งมาให้เราเก็บข้อมูลได้

– การไม่สามารถปิดกั้นเว็บเพจ URI ผ่าน HTTPS ได้

ผมและทีมงานได้ค้นคว้าและคิดว่าเราต้องทำอะไรสักอย่างเพื่อการมองเห็นสิ่งนี้

และการมองเห็นนี้จะไม่ได้ไปใช้ในทางที่ผิด แต่กลับเป็นประโยชน์กับหน่วยงาน องค์กร และบริษัท ที่จำเป็นต้องมองเห็นพฤติกรรมดังกล่าว

“HTTPS ควรมองเห็น” เพราะ เราไม่มีทางได้ Log จากต่างประเทศได้ตลอดทุกกรณี มันเป็นเกมส์ด้านความมั่นคงระดับประเทศ แต่การมองเห็น HTTPS มันควรเกิดขึ้นกับองค์กร หรือบริษัท มิใช่ระดับประเทศเพราะนั้นมีคนอีกมากมายอาจได้รับผลกระทบทั้งที่เขาเสียค่า บริการ แต่อย่างไรก็ดีเสรีภาพก็ย่อมมาด้วยความรับผิดชอบ

ซึ่งผมชัดเจนว่า “ไม่ส่งเสริมให้ทำที่ Gateway ระดับประเทศนะครับ”  แต่ควรจะทำในระดับองค์กรการเก็บ Log ที่ควรระบุตัวตนผู้ใช้งานที่แท้จริงได้ หรือไม่ก็ปิดกั้นการเข้าถึง Application ที่ไม่สามารถมองเห็นได้ไปเลย ซึ่งจะทำได้เฉพาะในระดับองค์กร ห้างร้าน โรงเรียน บริษัทขนาดเล็ก และขนาดกลาง  หรือพื้นที่มีความเสี่ยงในการกระทำความผิด อันได้แก่ Free wifi ร้านอินเทอร์เน็ต เป็นต้น ส่วนองค์กรขนาดใหญ่ต้องมีการศึกษาและออกแบบระบบก่อนติดตั้งเครื่องมือ

“ระดับองค์กรทำได้เลย แต่ระดับประเทศยังไม่แนะนำ

ภาพ ห้องปฎิบัติการ (LAB) เล็กๆจากงบประมาณจำกัดของเรา ที่ใช้ทำการทดสอบ SSL Capture บนระบบเครือข่าย

ภาพการติดตั้งยังคงเป็นแบบ Transparent โดยใช้อุปกรณ์เสริมเช่น อุปกรณ์ Net optics /Network TAP

เรา พัฒนาบน SRAN รุ่น Hybrid  แต่เราไม่ทำการรับ syslog มีการเปลี่ยน Function การทำงานให้มีการระบุตัวตนการใช้งานก่อนถึงจะเข้าถึงอินเทอร์เน็ตได้

เรา ตั้งชื่อตัวใหม่นี้ว่า “Net Approve” ผมตั้งใจเป็นชื่อนี้ เนื่องจากมันต้องยืนยันบางสิ่งบางอย่างก่อนได้รับการเข้าถึงข้อมูลหรือออ นไลน์

โดยมีฟังชั่นการทำงานที่เพิ่มมา ดังนี้คือ

(1) การ Redirect traffic เพื่อการ Authentication  โดยต้องมี accounting ในระบบและยืนยันการใช้งานโดย Data Owner ในองค์กร

(2) ตรวจความเคลื่อนไหวและเครื่องผิดปกติ (Rouge Detection) เครื่องแปลกปลอมในองค์กร

ทั้งนี้รวมถึงเครื่องที่มีโอกาสติดเชื้อมัลแวร์ (Malware) และ บอตเน็ต (Botnet) ด้วยเทคนิค “Passive Inventory”

(3) การมองเห็นข้อมูลจราจรแบบ SSL  ที่ผ่าน HTTPS พร้อมการระบุตัวตน ด้วยเทคนิค “SSL Capture” โดยไม่ทำให้บราวเซอร์ของผู้ใช้งานมองเห็นว่าเป็นใบรับรองความปลอดภัยที่ถูก ต้อง (หน้าจอ https เป็นสีเขียว)

(4) การเก็บบันทึกข้อมูลจราจรที่รองรับได้ตาม พรบ. คอมพิวเตอร์ ทั้งฉบับเก่าและฉบับร่างใหม่ พร้อมการยืนยันการเข้าถึงและสิทธิในการเข้าถึงชั้นข้อมูล

(5) การสรุปปริมาณ Application Traffic ที่ใช้ในองค์กร  เป็นเมนูใหม่เรียกว่า “Application Monitoring” จะทำให้เราทราบถึงปริมาณ Bandwidth แต่ละ Application ที่ใช้ในองค์กรได้

ภาพฮาร์ดแวร์ต้นแบบ {{ Net Approve }}

 ภาพหน้าแสดงข้อมูลของ SRAN : {{ Net Approve }} ผลิตภัณฑ์ใหม่ของกลุ่ม SRAN กับการมองเห็น HTTPS หรือ SSL ได้

จากภาพจะพบว่าตอบได้ครบถ้วน Who , What , Where , When Why (How)

ใน บริษัทแห่งหนึ่งที่ต้องการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ ตามกฎหมาย ไม่ว่าเป็นกฎหมายเก่าหรือที่จะเกิดขึ้นใหม่  สิ่งสำคัญก็คือการระบุตัวผู้กระทำได้ ไม่เช่นนั้นก็ไม่เกิดประโยชน์ในการหาหลักฐานเมื่อเกิดเหตุการณ์ที่ต้องการขอ ดู Log file ย้อนหลัง

บริษัท หรือ หน่วยงานต่างๆ ก็ถือได้ว่าเป็นผู้ให้บริการ โดยมีพนักงาน หรือบุคลากรในองค์กรนั้น เป็นผู้ใช้บริการ IP ที่ได้รับจาก ISP นั้นเมื่อใช้งานต้องสามารถระบุได้ว่าใคร ทำอะไร ที่ไหน อย่างไร  ถึงเป็น Log file ที่มีคุณภาพ

Log files ที่ดีต้องระบุตัวตนผู้ใช้งานพร้อมทั้งทราบถึงการกระทำสิ่งใดอยู่ได้ หากเก็บเยอะ แต่ระบุส่วนนี้ไม่ได้ จะไม่เกิดประโยชน์เลย

“สำคัญที่สุดคือเมื่อเกิดเหตุอันไม่พึ่งประสงค์ ต้องรู้ให้ได้ว่าคือใคร เป็นผู้กระทำ”

ภาพหน้าจอผู้ใช้งานในองค์กรเมื่อเข้า facebook (เพจ https://www.facebook.com/Defamily.Router จะไม่พบความผิดปกติ

ภาพ แสดงหน้าจอ Passive Inventory เทคนิคใหม่ที่เราไม่จำเป็นต้องใช้ Protocol ประเภท Network Management หรือ SNMP เราใช้แบบ Agent less คือไม่ต้องลงซอฟต์แวร์ใดๆ แต่สามารถเก็บข้อมูลบนระบบเครือข่ายได้

หน้า จอ Application Monitoring ที่สามารถบ่งบอกถึง Application ที่ผู้ใช้งานระบบสารสนเทศในองค์กรใช้ปริมาณ Bandwidth ซึ่งจะทำให้เราทราบถึงค่าการใช้งานที่เกินความจำเป็นได้

เราคาดว่า Net Approve จะพร้อมจำหน่ายในเดือนเมษายน ปีนี้

แนวโน้มการโจมตีทางอินเทอร์เน็ต ปี 2558

ห่วงโซ่อาหารในระบบนิเวศ จะมีทั้งผู้ล่าและเหยื่อ ในอินเทอร์เน็ตก็ไม่ต่างกัน เมื่อใดก็ตามที่มีระบบช่องโหว่ให้ใช้ประโยชน์ได้ ก็จะมีผู้โจมตีและผู้ตกเป็นเหยื่อได้รับความเสียหายไป แตกต่างจากธรรมชาติที่ผู้ล่ามักใช้หนทางใหม่ ๆ เพื่อหาเหยื่อเสมอ ทำให้ผู้ใช้อินเทอร์เน็ตต้องเป็นฝ่ายปรับตัวให้ทันตามเทคโนโลยีใหม่ ๆ ที่เกิดขึ้น ภัยคุกคามที่อาจจะได้พบในปี พ.ศ. 2558 ไว้ดังนี้

1. อาชญากรทางอินเทอร์เน็ตจะเข้ามาใช้ darknet และฟอรัมที่เข้าถึงได้เฉพาะตัว เพื่อแบ่งปัน และขายโปรแกรมมุ่งร้าย

ปี 2557 ได้มีการบุกทำลายเครือข่ายมัลแวร์เกิดขึ้นหลายครั้ง รวมถึงกรณีของเครือข่าย GameOver และการโจมตี Citadel ต่อธนาคารหลายแห่งในญี่ปุ่น และการจับกุมกลุ่มผู้ควบคุม SpyEye ซึ่งเป็น command-and-control server พัฒนาการเหล่านี้จะทำให้การปกปิดตัวตน เป็นสิ่งจำเป็นในการก่ออาชญากรรมทางอินเทอร์เน็ต เนื่องจากผู้วิจัยด้านความปลอดภัยและผู้บังคับใช้กฏหมาย สามารถเข้าถึงแหล่งข้อมูลใต้ดินได้อย่างรวดเร็ว โดยเฉพาะกรณีของภาพคนดังที่เก็บอยู่ใน iCloud ที่ถูกบุกรุก และเผยแพร่ในเว็บ Reddit และ 4chan และไปอยู่ใน Deep Web ในท้ายที่สุด

การใช้ Deep Web และบริการ darknet หรือการใช้เครือข่ายที่ปกปิดตัวตนและไม่สามารถตามรอยได้อย่างเช่น Tor I2P และ Freenet เพื่อแลกเปลี่ยน ขายเครื่องมือ และบริการ ไม่เป็นสิ่งใหม่อีกต่อไป เราได้เห็นอาชญากรใช้ top level domain (TLD) เพื่อเป็นโดเมนทางเลือกเพื่อในการปกปิดตลาดใต้ดินเช่น Silk Road ซึ่งถูกปิดตัวลงโดยหน่วยสืบสวนกลางของสหรัฐ ฯ​ หรือเอฟบีไอ หลังจากการดำเนินงานได้สองปีครึ่ง

เรายังได้เห็นอาชญากรทางอินเทอร์เน็ต รับเอาเทคนิค targeted attack เพื่อนำมาใช้ในการหลบหลีกการตรวจจับที่ดีขึ้น อย่างที่เราได้ทำนายไว้ในปี 2556 ในแอฟริกา แสดงให้เห็นโดยการโจมตีช่องโหว่ที่เกี่ยวข้องกับ targeted attack ผ่านทางการแจกจ่ายมัลแวร์อย่างเช่น ZeuS อาชญากรยังได้ใช้ remote access tool (RAT) อย่างเช่น Blackshades ในการโจมตีเพิ่มขึ้น

ราคาของข้อมูลที่ได้จากการจารกรรมในตลาดใต้ดินลดลง เนื่องจากปริมาณสินค้ามีมากขึ้น ราคาเฉลี่ยของข้อมูลหมายเลขบัตรเครดิตลดลง จาก 3 ดอลลาร์ในปี 2554 เป็น 1 ดอลลาร์ในปี 2556 ข้อมูลบัญชีที่ถูกบุกรุกในตลาดใต้ดินของรัสเซียก็ลดลงด้วย ข้อมูลบัญชีเฟซบุ๊คที่มีราคาอยู่ที่ 200 ดอลลาร์ในปี 2554 ก็ขายเพียง 100 ดอลลาร์ในปี 2556 เนื่องจากมีผู้เล่นเข้ามาในระบบนิเวศของอาชญากรอินเทอร์เน็ตใต้ดินเพิ่มมากขึ้น ทำให้ราคาข้อมูลข่าวสารนี้ลดราคาลง อีกไม่นาน การหาลูกค้าขึ้นได้มากน้อย อยู่กับว่าใครสามารถให้ความมั่นใจกับผู้ซื้อได้ว่าจะไม่ถูกจับคาหนังคาเขา ผู้ขายจะขยับเข้าไปใต้ดินมากกว่าเดิม

เนื่องจากคนร้ายจะมุ่งเป้าหมายไปเว็บมากกว่าขึ้น บริษัทด้านความปลอดภัยและผู้บังคับใช้กฏหมายจึงต้องเพิ่มการจับกุมให้ครอบคลุมถึง Deep Web และ darknet ซึ่งจำเป็นต้องอาศัยความพยายามและการลงทุนเพิ่มขึ้น จำเป็นต้องมีหุ้นส่วนจากภาครัฐและเอกชนที่มากกว่าเดิม ในการขัดขวางการดำเนินการของอาชญากรอินเทอร์เน็ต บริษัทด้านความปลอดภัยจึงควรจัดหาข่าวกรองด้านภัยคุกคามต่อภัย เพื่อช่วยให้ผู้บังคับใช้กฏหมายจับผู้กระทำผิด ผู้ออกกฏหมายทั่วโลก จำเป็นต้องเห็นพ้องในการบัญญัติกฏหมายอาชญากรรมทางอินเทอร์เน็ต เพื่อช่วยเหลือผู้บังคับใช้กฏหมาย ไม่ว่าเขตอำนาจศาลจะเป็นอย่างไร เพื่อนำผู้กระทำผิดมาสู่กระบวนการยุติธรรม

2. กิจกรรมทางอินเทอร์เน็ตที่เพิ่มขึ้น จะกลายเป็นเครื่องมือและความพยายามในการโจมตี ที่ดีขึ้น ใหญ่ขึ้น และประสบความสำเร็จมากขึ้น

การเติบโตอย่างต่อเนื่องของกิจกรรมอินเทอร์เน็ตทั่วโลกหมายความว่า ปัจเจกบุคคลและหน่วยงานต่าง ๆ จะยังคงพ่ายแพ้ต่อภัยคุกคามและการโจมตีออนไลน์ อย่างไรก็ตาม อาชญากรทางอินเทอร์เน็ตจะให้ความสนใจกับเป้าหมายที่ใหญ่กว่า แทนที่จะเป็นปัจเจกบุคคล เนื่องจากมีผลประโยชน์ที่สูงกว่า

เราได้เห็นอาชญากรทางอินเทอร์เน็ตใช้มัลแวร์ RAM scrapers เพื่อขโมยข้อมูลลูกค้าหลายล้านระเบียนจากร้านค้าปลีกขนาดใหญ่ทั่วโลก ก่อนจบปี 2556 Target ได้ถูกขโมยข้อมูลบัตรเครดิตของลูกค้า 70 ล้านราย จากการโจมตีโดยใช้มัลแวร์ที่โจมตีระบบ PoS ไม่ได้มีเพียงแต่ Target เท่านั้นที่ถูกโจมตี ยังมีองค์การอื่น ๆ เช่น P.F. Chang ที่ประสบชะตากรรมเดียวกัน และหลายเดือนก่อนจบปีค.ศ. 2014 Home Depot ก็ได้กลายเป็นเหยื่อที่ถูกขโมยข้อมูลที่ใหญ่ที่สุด แทนที่ Target ไป องค์การที่ถูกบุกรุกสูญเสียข้อมูลของลูกค้า ความเสียหายต่อชื่อเสียง และเสียค่าใช้จ่ายสูง

ถึงแม้การบุกรุกส่วนใหญ่จะมีผลมาจากการโจมตีภายนอก แต่มีบางแห่ง เช่น การบุกรุก Amtrak ที่เกิดจากภัยคุกคามภายใน รายงานต่าง ๆ เปิดเผยว่า มีพนักงาน Amtrak คนหนึ่งที่ได้ขายข้อมูลส่วนตัวของผู้โดยสาร (personally identifiable information (PII)) กว่าสองทศวรรษก่อนที่จะถูกจับได้

เราจะได้เห็นเหตุการณ์การขโมยข้อมูลครั้งใหญ่สองครั้งหรือมากกว่าในแต่ละเดือน ธนาคารและสถาบันทางการเงิน และหน่วยงานที่เก็บรักษาข้อมูลของลูกค้า จะเป็นเป้าหมายดึงดูดการโจมตีเสมอ ดังนั้น เราจะได้เห็นถึงการเปลี่ยนแปลงผู้บริหารระดับสูงทุกครั้งที่พวกเขาพ้ายแพ้ต่อการโจมตี

ดังนั้นองค์การและปัจเจกบุคคลจะตอบสนองอย่างไร เป็นการดีที่สุดที่จะคาดคะเนถึงการถูกโจมตี บุคคลทั่วไปควรเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ ส่วนองค์การต่าง ๆ ควรเฝ้าดูเครือข่ายของตนอย่างต่อเนื่อง เพื่อป้องกันภัยคุกคามทุกชนิด และช่องโหว่ที่อาจถูกใช้เพื่อโจมตีได้

การเฝ้ารอโซลูชั่น อย่างเช่นระบบการจ่ายเงินที่ปลอดภัยมากขึ้น และการใช้การลงโทษทางกฏหมาย ถึงแม้จะอยู่ระหว่างการดำเนินการ แต่ก็ไม่เพียงพออีกต่อไป การตระหนักถึงภัยคุกคามที่มีจึงเป็นสิ่งที่ต้องทำ รวมถึงการมีแผนบรรเทาและเยียวยาความเสียหายจากการบุกรุกที่พร้อมใช้งาน เพราะไม่มีใครปลอดภัยจากการบุกรุก

3. exploit kit จะมุ่งเป้าไปที่แอนดรอยด์ เนื่องจากช่องโหว่ในโทรศัพท์มือถือ จะเป็นบทบาทหลักในการแพร่กระจายในโทรศัพท์มือถือ

นอกจากการทำนายว่าภัยคุกคามของแอนดรอยด์ในปี 2558 จะเพิ่มขึ้นจากปัจจุบันเป็นสองเท่าแล้ว จำนวนของช่องโหว่ในโทรศัพท์มือถือ แพลตฟอร์มและแอป จะทำให้เกิดความเสี่ยงด้านความปลอดภัยมากขึ้น ข้อมูลที่เก็บอยู่ในโทรศัพท์มือถือจะตกอยู่ในมือของอาชญากรทางอินเทอร์เน็ต เพื่อใช้ในการโจมตีหรือเพื่อจำหน่ายในตลาดใต้ดิน

ช่องโหว่ที่เราได้พบไม่เพียงแต่อยู่ในอุปกรณ์เท่านั้น แต่ยังอยู่ในแพลตฟอร์มและแอป ภัยคุกคามแพลตฟอร์ม เช่นช่องโหว่เกี่ยวกับ master key ยอมให้อาชญากรอินเทอร์เน็ตสามารถแทนที่แอปที่ถูกต้อง ด้วยเวอร์ชั่นปลอมหรือมุ่งร้าย เมื่อถูกโจมตี แอปจ่ายเงินจากจากผู้ผลิตจีน จะยอมให้คนร้ายสามารถหลอกล่อขโมยข้อมูลจากผู้ใช้ได้

เราจะได้เห็นผู้โจมตีโทรศัพท์มือถือใช้เครื่องมือที่คล้ายกับ Blackhole Exploit Kit (BHEK) เพื่อใช้ประโยชน์จากปัญหาในแอนดรอยด์ เช่น ปัญหาที่เรียกว่า Android OS fragmentation ความสำเร็จของ BHEK และเครื่องมือที่คล้าย ๆ กันในการแพร่กระจายในคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการต่าง ๆ กันจะช่วยให้อาชญากรทางอินเทอร์เน็ตสามารถโจมตีอุปกรณ์ที่ใช้แอนดรอยด์ เนื่องจากผู้ใช้ส่วนใหญ่ไม่สามารถอัพเดทระบบและซอฟท์แวร์ของพวกเขาได้อย่างสม่ำเสมอ คนร้ายอาจเปลี่ยนเส้นทางของอุปกรณ์ที่มีช่องโหว่ไปยังเว็บไซต์มุ่งร้าย เช่น การโจมตีที่ทำสำเร็จอาจทำให้พวกเขาสามารถเข้าถึงข้อมูลทั้งหมดที่เก็บอยู่ในอุปกรณ์ที่ได้รับผลกระทบ ที่แย่กว่าคือ เป็นที่รู้กันว่า exploit kit สามารถแพร่กระจายได้ในหลายแพลตฟอร์ม

เราจะได้เห็นจำนวนที่เพิ่มขึ้นของมัลแวร์โจมตีบริการทางธนาคารสำหรับโทรศัพท์มือถือ ต้นปีที่ผ่านมา เราเห็นอาชญากรทางอินเทอร์เน็ตที่อยู่เบื้องหลังการโจมตีที่เรียกว่า Operational Emmental ซึ่งหลอกล่อให้ลูกค้าธนาคารในยุโรป ให้ติดตั้งแอปแอนดรอยด์มุ่งร้าย เพื่อให้สามารถเข้าถึงบัญชีของพวกเขาได้ เราจะได้เห็นการโจมตีแบบนี้อีก ท่ามกลางความนิยมในการใช้บริการทางธนาคารสำหรับโทรศัพท์มือถือที่เพิ่มขึ้น

ภัยคุกคามทางคอมพิวเตอร์แบบดั้งเดิม อย่างเช่น ransomware และยุทธวิธีอย่างเช่น การใช้บริการ darknet จะมีส่วนร่วมในส่วนของโทรศัพท์มือถือ เราได้เห็น ransomware สำหรับโทรศัพท์มือถือตัวแรกไปแล้วในรูปแบบของมัลแวร์ REVETON ในปีที่ผ่านมา พร้อมกับมัลแวร์ที่ใช้ Tor เพื่อหลบหลีกการตรวจจับที่ดีกว่าเดิม

การติดตั้งแอปและการเยี่ยมชมเว็บไซต์มุ่งร้าย จะไม่เป็นเพียงหนทางเดียวในการแพร่กระจายมัลแวร์ผ่านโทรศัพท์มือถือ การโจมตีช่องโหว่ผ่านทางแพลตฟอร์มต่าง ๆ จะเป็นภัยคุกคามกับโทรศัพท์มือถือมากขึ้น ผู้จำหน่ายผลิตภัณฑ์ด้านความปลอดภัยจึงควรขยายการป้องกันการโจมตีช่องโหว่ ที่สามารถป้องกันโทรศัพท์มือถือ ในท้ายที่สุดผู้ผลิตโทรศัพท์มือถือและผู้ให้บริการ ควรทำงานใกล้ชิดกันมากขึ้น เพื่อหาโซลูชั่นในการแก้ไขช่องโหว่ เพื่อป้องกันการแพร่กระจายมัลแวร์และการขโมยข้อมูล

4. targeted attack จะเป็นอาชญากรรมทางอินเทอร์เน็ตที่เกิดขึ้นแพร่หลาย

การโจมตีแบบ targeted attack ที่ประสบความสำเร็จ และเป็นข่าวดัง จะทำให้เกิดการตระหนักว่าการโจมตีทางอินเทอร์เน็ตเป็นวิธีในการหาข่าวกรองที่ได้ผล การโจมตีแบบ targeted attack จะไม่เชื่อมโยงกับสหรัฐ​ฯ​ หรือรัสเซียเท่านั้น เราได้เห็นการโจมตีที่มีต้นกำเนิดมาจากประเทศอื่น ๆ เช่น เวียตนาม อินเดีย และสหราชอาณาจักร เราได้เห็นผู้ก่อภัยคุกคามที่มุ่งเป้าหมายการโจมตีไปที่ อินโดนีเซีย และมาเลเซียเช่นเดียวกัน

ภายในสองสามปี เราจะได้เห็นต้นตอ และเป้าหมายการโจมตีที่หลากหลายมากขึ้น โดยมีแรงจูงใจในการโจมตีที่หลากหลาย โดยเป้าหมายหลักยังคงเป็นข้อมูลรัฐบาลระดับลับสุดยอด ข้อมูลทางด้านการเงิน ทรัพย์สินทางปัญญา พิมพ์เขียวทางอุตสาหกรรม และสิ่งอื่น ๆ ที่คล้ายกัน

ถึงแม้การโจมตี targeted attack ส่วนใหญ่ที่เห็นในปัจจุบันจะเริ่มต้นด้วยการใช้อีเมลแบบ spear-phishing หรือ watering hole โซเชียลมีเดียจะถูกใช้เป็นอีกหนึ่งหนทางหนึ่งในการแพร่กระจายในอนาคตเพิ่มขึ้น ผู้ก่อภัยคุกคามจะสำรวจความเป็นไปได้ในการโจมตีช่องโหว่ในเราเตอร์ เพื่อใช้เป็นวิธีในการเข้าถึงเครือข่ายเป้าหมาย องค์การที่ตกเป็นเป้าหมายในอดีตไม่ควรประมาท เพราะว่าพวกเขาเคยถูกบุกรุกมาก่อน ไม่ได้หมายความว่าพวกเขาจะปลอดภัยจากการโจมตีในอนาคต ผู้ก่อภัยคุกคามอาจใช้เครือข่ายนี้เพื่อโจมตีเป้าหมายที่ใหญ่กว่า ซึ่งอาจเป็นหุ้นส่วนหรือลูกค้า

จะเกิดความต้องการโซลูชั่นแบบคลาวด์ ที่สามารถป้องกันตัวเองจากความเสี่ยงได้ ความนิยมของโซลูชั่นทางด้านเครือข่ายอย่างเช่นไฟร์วอลล์และ unified threat management (UTM) จะลดลง ระบบการวิเคราะห์ด้านความปลอดภัยที่ดีขึ้นจะเป็นส่วนสำคัญ​มากในการต่อสู้กับ targeted attack องค์การต่างๆ ควรตระหนักถึงสิ่งที่เป็นภาวะปกติ และตั้งไว้เป็นพื้นฐาน (baseline) เมื่อต้องเฝ้าดูภัยคุกคาม เทคโนโลยีด้านความปลอดภัยแบบดั้งเดิมหรือธรรมดาทั่วไป จะไม่เพียงเพียงพออีกต่อไป

5. วิธีใหม่ในการจ่ายเงินผ่านมือถือจะทำให้เกิดภัยคุกคามใหม่ขึ้นมา

การวางจำหน่าย Iphone 6 พร้อมกับระบบจ่ายเงินดิจิตัลแบบใหม่ที่เรียกว่า Apple Pay ในขณะเดียวกันกับการใช้งานเพิ่มขึ้นของ Google Wallet และวิธีจ่ายเงินอื่น ๆ ที่คล้ายกัน จะเป็นตัวเร่งให้การจ่ายเงินผ่านโทรศัพท์มือถือให้กลายเป็นกระแสหลัก เราจะได้เห็นภัยคุกคามใหม่ที่มุ้งเป้ามาที่แพลตฟอร์มการจ่ายเงินผ่านโทรศัพท์มือถือในไม่กี่เดือนข้างหน้า เหมือนกับช่องโหว่ FakeIP ในแอนดรอยด์ที่ยอมให้อาชญากรทางอินเทอร์เน็ตสามารถขโมยบัญชีผู้ใช้ Google Wallet ได้

ปีที่ผ่านมา แอป WeChat ยอมให้ผู้ใช้สามารถซื้อสินค้าโดยใช้ “เครดิต” (credits) ถ้าบริการนี้ได้รับความนิยม เราจะได้เห็นคนร้ายใช้ประโยชน์จากช่องโหว่จากแอปที่คล้ายกัน เพื่อขโมยเงินจากผู้ใช้

ถึงแม้เราจะยังไม่ได้เห็นความพยายามในการโจมตีระบบ Apple Pay ซึ่งประกอบด้วย NFC (near-field communications) และ Passbook ซึ่งเก็บข้อมูลบัตรเครดิตของผู้ใช้ อาจสันนิษฐานได้ว่าในขณะนี้ คนร้ายกำลังหาช่องโหว่เพื่อโจมตี Apple Pay รวมถึงกำลังตรวจสอบ NFC เช่นเดียวกัน

เพื่อให้ปลอดภัยจากภัยคุกคามที่กำลังปรากฏขึ้น ผู้ใช้งานควรปฏิบัติตามหลักความปลอดภัยในการใช้คอมพิวเตอร์ โดยเฉพาะที่เกี่ยวข้องกับการใช้ NFC บุคคลทั่วไปที่ใช้ NFC reader ผ่านทางโทรศัพท์มือถือ ควรปิดการทำงานเหล่านี้ เมื่อไม่ใช้งาน การล็อคอุปกรณ์จะช่วยป้องกันไม่ให้ตกเป็นเหยื่อ องค์การที่รับการจ่ายเงินผ่านโทรศัพท์มือถือ ควรติดตั้งและใช้โซลูชั่นด้านความปลอดภัยที่ป้องกันจากภัยคุกคามด้าน NFC และด้านอื่น ๆ ที่เกี่ยวข้อง

6. เราจะได้เห็นความพยายามค้นหา และโจมตีช่องโหว่ในซอฟท์แวร์โอเพ่นซอร์ส

ช่องโหว่ในโปรโตคอลแบบโอเพ่นซอร์สเช่น Heartbleed และการประมวลผลคำสั่งอย่าง Shellshock ที่ตรวจไม่พบมาเป็นเวลาหลายปี ได้ถูกโจมตีเป็นอย่างหนักในปีที่ผ่านมา นำไปสู่ผลเสียหายร้ายแรง ไม่กี่ชั่วโมงหลังจากมีการค้นพบช่องโหว่ Shellshock เราได้เห็น payload ของมัลแวร์ในวงกว้าง พบการโจมตีแบบ Distributed denial-of-service (DDoS) และ Internet Relay Chat (IRC) bots ที่เกี่ยวข้องกับการโจมตีช่องโหว่นี้ ซึ่งสามารถทำความเสียหายให้กับการดำเนินธุรกิจ การโจมตีนี้มีผลกระทบมากกว่าการโจมตีผ่านทางเว็บ ยังทำให้ผู้ใช้ลีนุกซ์และแอป ที่ต้องอาศัยโปรโตคอลอย่างเช่น HTTP, FTP และ DHCP ตกอยู่ในความเสี่ยงอีกด้วย

ช่องโหว่ Shellshock ทำให้นึกถึงช่องโหว่ Heartbleed ที่โจมตีผ่านทาง World Wide Web ซึ่งทำให้เว็บไซต์และแอปทางมือถือจำนวนมากที่ใช้ Open SSL ตกอยู่ในความเสี่ยงเมื่อต้นปีที่ผ่านมา การสแกน Top Level Domain (TLD) จำนวน 1 ล้านชื่อจากข้อมูลของ Alexa พบว่าร้อยละ 5 มีช่องโหว่แบบ Heartbleed เมื่อถูกโจมตี ช่องโหว่นี้จะยอมให้ผู้โจมตีสามารถอ่านส่วนของความจำในเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบ ซึ่งอาจมีข้อมูลข่าวสารที่เป็นความลับอยู่

ผู้โจมตีจะยังคงค้นหาช่องโหว่แบบเดียวกับ Heartbleed และ Shellshock ในปีที่กำลังจะมาถึง พวกเขายังคงตรวจสอบแพลตฟอร์ม โปรโตคอล และซอฟท์แวร์บ่อย ๆ และอาศัยข้อปฏิบัติในการเขียนโค้ดอย่างไม่รับผิดชอบ เพื่อเข้าถึงเป้าหมายของพวกเขา อย่างในปี 2556 เราได้เห็นช่องโหว่ในเว็บมากขึ้น รวมถึง injection, cross-site-scripting (XSS) และการโจมตีทาง web apps อื่น ๆ เพื่อขโมยข้อมูลความลับ การโจมตีเช่นที่เกิดขึ้นกับ JPMorgan Chase & CO ทำให้ข้อมูลลูกค้ากว่า 70 ล้านรายตกอยู่ในความเสี่ยง กรณีเช่นนี้จะยังคงเกิดขึ้นต่อไป

การพัฒนาความปลอดภัยอย่างต่อเนื่องใน Microsoft Windows และระบบปฏิบัติการที่มีชื่อเสียงอื่น ๆ จะนำไปสู่การลดลงของช่องโหว่ในระบบปฏิบัติการของพวกเขา จะทำให้ผู้โจมตีหันเหความสนใจไปที่การหาช่องโหว่ในแพลตฟอร์มโอเพ่นซอร์สแทน และแอพพลิเคชั่นอย่างเช่น OpenSSL v3 และ OS kernel บุคคลทั่วไป และองค์การต่าง ๆ สามารถป้องกันตัวเองโดยการ patch และอัพเดทระบบและซอฟท์แวร์ของพวกเขาอยู่เสมอ นอกจากนี้ยังมีการแนะนำให้ลงทุนในโซลูชั่นด้านความปลอดภัยแบบ intelligence-base ที่หนุนโดยแหล่งข้อมูลข่าวสารภัยคุกคามที่ได้รับความเชื่อระดับโลกมากขึ้น ซึ่งสามารถขัดขวางความพยายามในการโจมตีช่องโหว่ได้ ถึงแม้จะยังไม่มี patch สำหรับแก้ไขช่องโหว่นั้นออกมาก็ตาม

7. ความหลากหลายทางเทคโนโลยีจะช่วยป้องกันอุปกรณ์แบบ Internet of Everything / Internet of Things (IoE/IoT)

จากการโจมตีขนาดใหญ่ แต่จะไม่ช่วยป้องกันข้อมูลที่พวกมันประมวลผลได้ผู้โจมตีจะหาอุปกรณ์เป้าหมาย IoE/IoT ที่สามารถโจมตีได้ เพราะความเป็นไปได้ในการใช้งานที่ไม่จำกัดของมัน เราจะได้เห็นการนำอุปกรณ์อัจฉริยะมาใช้งานมากขึ้น อย่างเช่น กล้องถ่ายรูปและทีวีอัจฉริยะ ภายในไม่กี่ปีข้างหน้านี้ พร้อมกับการโจมตีผู้ใช้งานอุปกรณ์เหล่านี้ เนื่องจากมีการกดดันจากตลาดที่ทำให้ผู้ผลิตอุปกรณ์ต้องออกผลิตภัณฑ์อัจฉริยะ เพื่อตอบสนองกับความต้องการที่เพิ่มขึ้น ดังน้นผู้โจมตีจึงเพิ่มการค้นหาช่องโหว่เพื่อประโยชน์ของตน

ถึงแม้จะมีการทำระบบอัจฉริยะให้กับอุปกรณ์ต่าง ๆ มากมาย แต่การโจมตีอุปกรณ์อัจฉริยะที่เราจะได้เห็น รวมทั้งในอุปกรณ์สวมใส่ได้ และอุปกรณ์ IoE/IoT อื่น ๆจะไม่ได้เกิดจากแรงจูงใจด้านการเงิน แต่จะเกิดจากการค้นคว้าวิจัยจากพวก whitehat ที่ต้องการเน้นให้เห็นความเสี่ยงและช่องโหว่ด้านความปลอดภัย เพื่อให้ผู้ผลิตสามารถปรับปรุงผลิตภัณฑ์ของพวกเขาได้ โดยเฉพาะวิธีที่พวกเขาจัดการกับข้อมูล เมื่อใดก็ตามที่อุปกรณ์เหล่านี้ถูกเจาะเพื่อจุดประสงค์อื่นนอกเหนือไปจากการแสดงให้เห็นช่องโหว่ เมื่อนั้นอาชญากรทางอินเทอร์เน็ตจะใช้การโจมตีแบบ sniffer, denial-of-service (DoS – ความพยายามในการทำให้บริการออนไลน์ให้บริการไม่ได้ โดยการทำให้การจราจรในเครือข่ายท่วมท้น จากการติดต่อสื่อสารจำนวนมากมายมาที่เป้าหมาย) และ man-in-middle (MiTM – การดักจับการสื่อสารระหว่างสองระบบ)

เนื่องจากอุปกรณ์ IoE/IoT ยังคงมีความหลากหลายมากเกินไป และยังไม่มี “killer app” เกิดขึ้น คนร้ายจึงยังไม่สามารถเริ่มการโจมตีได้อย่างแท้จริง ผู้โจมตีจึงมีแนวโน้มจะต้องการข้อมูลที่เก็บอยู่ในอุปกรณ์เหล่านี้มากกว่า ในปี 2558 เราคาดว่าผู้โจมตีจะเจาะฐานข้อมูลของผู้ผลิตอุปกรณ์อัจฉริยะ เพื่อขโมยข้อมูลข่าวสารในรูปแบบเดียวกับการโจมตีทางอินเทอร์เน็ตทั่วไป

อย่างไรก็ตาม จากการช่วยเหลือโดยการก่อตั้ง Open Interconnect Consortium (IOC) และการเปิดตัว HomeKit เราคาดหวังจะได้เห็นการเปลี่ยนแปลง เนื่องจากมีโปรโตคอลและแพลตฟอร์มต่างๆ ปรากฏตัวออกมาอย่างช้า ๆ เนื่องจากผู้โจมตีเริ่มเข้าใจถึงระบบนิเวศของ IoE/IoT มากขึ้น พวกเขาจะใช้วิธีการที่น่ากลัวมากขึ้นโดยใช้มัลแวร์ เพื่อข่มขู่เอาเงินจากผู้ใช้อุปกรณ์เหล่านี้ ตัวอย่างเช่น พวกเขาอาจขู่กรรโชกผู้ขับขี่รถยนต์อัจฉริยะ จนกระทั่งเจ้าของรถยนต์ยอมจ่ายเงิน เมื่อรถดังกล่าวออกวางตลาดในปี 2558 ดังนั้นผู้ผลิตรถยนต์อัจฉริยะจึงควรออกแบบระบบเครือข่ายในรถยนต์อัจฉริยะ ให้มีการป้องกันผู้ใช้จากภัยคุกคามดังกล่าวด้วย

8. ภัยคุมคามธนาคารออนไลน์และทางการเงินอื่น ๆ จะเกิดขึ้น

ข้อปฏิบัติด้านความปลอดภัยที่เปราะบาง แม้แต่ในประเทศที่พัฒนาแล้วอย่างสหรัฐ ฯ​ อย่างเช่นการไม่บังคับใช้ two-factor authentication และการใช้เทคโนโลยี Chip-and-PIN มีส่วนทำให้เกิดภัยคุกคามต่อบริการธนาคารทางอินเทอร์เน็ตและทางการเงินอื่น ๆ ที่เพิ่มขึ้น

เราได้เห็นจำนวนที่เพิ่มขึ้นของมัลแวร์ที่โจมตีบริการธนาคารทางอินเทอร์เน็ต ตลอดช่วงครึ่งปีแรกของค.ศ. 2014 นอกจากมัลแวร์ ZeuS ที่ขโมยข้อมูลแล้ว VAWTRAK ยังกระทบกับลูกค้าที่ใช้บริการธนาคารทางอินเทอร์เน็ตจำนวนมากมาย โดยเฉพาะในญี่ปุ่น ปฏิบัติการการโจมตีที่ซับซ้อนอย่าง Emmental ก็ได้พิสูจน์ให้เห็นว่า แม้แต่การใช้มาตรการ two-factor authentication ที่ธนาคารใช้ก็อาจยังมีช่องโหว่ได้

ในอีกไม่กี่ปีข้างหน้า อาชญากรทางอินเทอร์เน็ตจะไม่เพียงแต่เปิดการโจมตีโดยใช้แรงจูงใจทางการเงินกับผู้ใช้คอมพิวเตอร์เพียงเท่านั้น แต่จะมุ่งมาที่ผู้ใช้โทรศัพท์มือถือเช่นเดียวกัน พวกเขามีแนวโน้มที่จะใช้แอปปลอมและ Domain Name System (DNS) และโจมตี phishing กับผู้ใช้โทรศัพท์มือถือ คล้ายกับที่เราเคยเห็นในอดีต พวกเขาจะไม่หยุดอยู่กับการเข้าถึงบัญชีธนาคารทางอินเทอร์เน็ตเท่านั้น แต่จะไปไกลถึงการขโมยเอกลักษณ์ส่วนบุคคลด้วย และจะเป็นภัยคุมคามทางโทรศัพท์มือถือที่ตรวจจับได้ยากมากยิ่งขึ้น โดยใช้เทคนิคหลบหลีกการตรวจจับคล้ายกับมัลแวร์ในคอมพิวเตอร์

ความสำเร็จของการโจมตีแบบ targeted attack ในการได้มาซึ่งข้อมูลของผู้ใช้ยังดลบัลดาลให้อาชญากรทางอินเทอร์เน็ตใช้การสอดแนมที่ดีขึ้น เพื่อให้สามารถทำเงินได้มากกว่าเดิม

ภัยคุกคามด้านบริการธนาคารทางอินเทอร์เน็ตที่กำลังเติบโตขึ้นเรื่อย ๆ ควรเป็นแรงผลักดันให้ปัจเจกบุคคลและองค์การต่าง ๆ ใช้มาตรการ two-factor authentication และ hardware หรือ session token ที่ธนาคารและสถาบันการเงินต่าง ๆ ให้มา ผู้ให้บริการบัตรจ่ายเงินในสหรัฐ ฯ​และประเทศอื่น ๆ ควรใช้การป้องกันข้อมูลโดยการใช้บัตรแบบ Chip-and-PIN

คำศัพท์ 

darknet เป็นเครือข่ายส่วนตัวซึ่งจะมีการเชื่อมโยงเกิดขึ้นจากคอมพิวเตอร์ระดับเดียวกันที่ให้ความเชื่อถือกัน บางครั้งเดียวว่า “friends” (F2F) โดยใช้โปรโตคอลและพอร์ตที่ไม่เป็นมาตรฐาน darknet แตกต่างจากเครือข่ายแบบ peer-to-peer แบบกระจาย เนื่องจากใช้การแบ่งปันกันที่ไม่เปิดเผยตัว  (ไม่มีการเปิดเผย IP address)

Deep Web (ยังเรียกด้วยว่า Deepnet หรือ Invisible Web หรือ Hidden Web) เป็นเนื้อหาส่วนหนึ่งของ World Wide Web ที่ search engine มาตรฐานไม่ได้ทำดัชนีไว้ Mike Bergman ผู้ที่คิดวลีนี้ ได้กล่าวไว้ว่า การค้นหาในอินเทอร์เน็ตอาจเปรียบได้กับการลากแหไปทั่วพื้นมหาสมุทร อาจจะพบอะไรได้มากในอินเทอร์เน็ต แต่ยังมีข้อมูลข่าวสารที่อยู่ลึกและยังไม่ค้นพบ ข้อมูลข่าวสารในเว็บโดยส่วนใหญ่จะถูกฝังลึก และ search engine มาตรฐานไม่สามารถค้นพบได้ search engine แบบดั้งเดิมไม่สามารถเห็น หรือเรียกคืนเนื้อหาใน deep web ส่วนของเว็บที่ search engine มาตรฐานทำดัชนีไว้เรียกว่า Surface Web

Tor เป็นซอฟท์แวร์แจกฟรี ทำให้ผู้ใช้สามารถท่องอินเทอร์เน็ตโดยไม่ต้องเปิดเผยตัวตน ดังนั้นหน่วยงานรัฐบาล บริษัท หรือคนอื่น ๆ จึงไม่สามารถค้นหากิจกรรมและที่ตั้งของพวกเขาได้

targeted attack เป็นการโจมตีที่มุ่งเป้าไปที่ผู้ใช้คนใดคนหนึ่ง บริษัทหนึ่ง หรือองค์การหนึ่ง การโจมตีเหล่านี้ไม่ได้แพร่ไปทั่ว แต่จะออกแบบมาเพื่อโจมตี และบุกรุกเป้าหมายหนึ่งโดยเฉพาะ

Point of Sale หรือที่เรียกกันสั้น ว่า POS นั้น คือการเก็บข้อมูลการขาย และข้อมูลการจ่ายเงินที่เกิดขึ้น เมื่อมีการขายสินค้าหรือบริการ โดยทั่วไปแล้ว POS นั้นจะมีความเกี่ยวข้องกับเทคโนโลยีหรืออุปกรณ์เช่น คอมพิวเตอร์ การอ่านบาร์โค๊ต การอ่านแถบแม่เหล็ก หรือ หลาย ๆ เทคโนโลยีผสมกัน

Android OS fragmentation การที่มีจำนวนของแพลตฟอร์มแอนดรอยด์ที่สร้างขั้นมาโดยเฉพาะเกิดขึ้นมากมาย ทำให้เกิดความกังวลว่าความสามารถในการทำงานร่วมกันจะด้อยลง เป็นผลเนื่องมาจากความเป็นไปได้ที่แอพพลิเคชั่นที่สร้างขึ้นมาสำหรับแอนดรอยด์แพลตฟอร์มหนึ่งโดยเฉพาะ หรือการที่อุปกรณ์หนึ่งไม่สามารถทำงานร่วมกันกับอุปกรณ์แอนดรอยด์อื่น ๆ ได้

Ransomware เป็นมัลแวร์ที่จำกัดการเข้าถึงคอมพิวเตอร์ที่มันเข้าไปควบคุม และเรียกร้องค่าไถ่สำหรับผู้สร้างมัลแวร์ เพื่อให้ผู้ใช้สามารถใช้งานคอมพิวเตอร์ได้ตามเดิม ransomware บางรูปแบบใช้การเข้ารหัสไฟล์ในฮาร์ดไดรฟ์ของระบบ บางแบบอาจทำเพียงแต่ยึดระบบ และแสดงข้อความเพื่อให้ผู้ใช้จ่ายเงินให้

Spear-phishing เป็นความพยายามหลอกลวงผ่านทางอีเมล โดยมีเป้าหมายที่องค์การหนึ่งโดยเฉพาะ เพื่อให้สามารถเข้าถึงข้อมูลความลับโดยไม่ได้รับอนุญาต โดยปกติแล้วจะไม่เกิดจากผู้บุกรุกทั่วไปแบบสุ่ม แต่จะเกิดจากคนร้ายที่หวังได้รับผลตอบแทนทางการเงิน หรือเพื่อขโมยความลับทางการค้า หรือข้อมูลข่าวสารทางทหาร

Watering hole เป็นกลยุทธ์หนึ่งในการโจมตีคอมพิวเตอร์ ซึ่งเหยื่อจะเป็นกลุ่มหนึ่งโดยเฉพาะ ในการโจมตีนี้ ผู้โจมตีจะเดาหรือสังเกตการณ์ว่าเว็บไซต์ใดที่กลุ่มนี้ใช้อยู่ และแพร่กระจายมัลแวร์เข้าไปในเว็บไซต์เหล่านี้ ในที่สุดสมาชิกบางคนในกลุ่มเป้าหมายก็จะถูกโจมตีด้วยมัลแวร์

UTM เป็นวิวัฒนาการของไฟร์วอลล์แบบดั้งเดิม มาเป็นผลิตภัณฑ์ที่รวมทุกอย่างเข้าไว้ด้วยกัน ที่สามารถทำงานด้านความปลอดภัยหลายอย่างในเครื่องเดียว ได้แก่  network firewalling, network intrusion prevention และ gateway antivirus (AV), gateway anti-spam, VPN, content filtering, load balancing, data leak prevention และ on-appliance reporting

NFC เป็นเทคโนโลยีสื่อสารไร้สายระยะสั้นระยะประมาณ 4 ซม. ที่ใช้ได้ดีกับโครงสร้างพื้นฐานแบบไร้สัมผัส ช่วยสนับสนุนรองรับการสื่อสารระหว่างเครื่องมืออิเล็กทรอนิกส์ในระยะใกล้ๆ การประยุกต์ใช้งานส่วนใหญ่มักนำ NFC มาใช้กับการชำระเงินที่ต้องการความรวดเร็วและมีมูลค่าไม่สูง ซึ่งจะทำให้โทรศัพท์เคลื่อนที่ สามารถใช้เพื่อการชำระเงิน โดยวิธีการแตะบนเครื่องอ่านหรือเครื่องชำระเงิน เช่น การให้บริการในร้านอาหารจานด่วน ร้านขายสินค้า ระบบการซื้อขายตั๋ว และระบบการแลกเปลี่ยนข้อมูลแบบ peer-to-peer เช่น เพลง เกม และรูปภาพ การชำระเงินค่าโดยสารในระบบขนส่งมวลชน เป็นต้น การชำระเงินแบบไร้สัมผัสนี้ก่อให้เกิดการชำระเงินที่ง่ายและรวดเร็ว ลดการเข้าคิวชำระเงินในร้านค้า ห้างสรรพสินค้า และร้านสะดวกซื้อต่างๆ

Passbook เป็น application ใน iOS ที่ยอมให้ผู้ใช้สามารถเก็บคูปอง บัตรโดยสาร ตั๋วงาน บัตรเครดิต และบัตรเดบิตผ่านทาง Apple Pay

Chip and PIN เป็นชื่อที่คิดขึ้นโดยธุรกิจธนาคารในสหราชอาณาจักรและไอร์แลนด์ ใช้เรียกระบบจ่ายเงินสำหรับบัตรเครดิต เดบิตและเอทีเอ็ม ที่ใช้ EMV smart card

 

 

แปลและเรียบเรียงโดยทีม SRAN Dev

ข้อมูลอ้างอิง

http://www.trendmicro.com/vinfo/us/security/predictions/

http://en.wikipedia.org/wiki/Darknet_%28file_sharing%29

http://en.wikipedia.org/wiki/Deep_Web

http://en.wikipedia.org/wiki/Tor_%28anonymity_network%29

http://www.webopedia.com/TERM/T/targeted_attack.html

http://www.webopedia.com/TERM/A/Android_fragmentation.html

http://en.wikipedia.org/wiki/Ransomware

http://searchsecurity.techtarget.com/definition/spear-phishing

http://en.wikipedia.org/wiki/Watering_Hole

http://en.wikipedia.org/wiki/Unified_threat_management

http://en.wikipedia.org/wiki/Chip_and_PIN

http://en.wikipedia.org/wiki/Killer_application

http://www.9t.com/library/pdf/Point_of_Sale_POS_and_Retail.pdf

http://th.wikipedia.org/wiki/เนียร์ฟีลด์คอมมูนิเคชัน

http://en.wikipedia.org/wiki/Passbook_%28application%29

http://en.wikipedia.org/wiki/White_hat_%28computer_security%29

http://clpark.rmuti.ac.th/suthep/ideas/two-factor-authentication-wordpress-google-authenticator

http://en.wikipedia.org/wiki/Packet_analyzer

http://www.digitalattackmap.com/understanding-ddos/

https://www.owasp.org/index.php/Man-in-the-middle_attack