Blognone Quest for Modern Security: CAT Cyfence, ThaiCERT, Tarad

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 16 พฤษภาคม 2014.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    ในงาน Blognone Quest for Modern Security นอกจากวิทยากรจาก RSA และ Trend Micro แล้วยังมีวิทยากรอีก 3 ท่าน จาก CAT Cyfence ผู้ให้บริการจัดการด้านความปลอดภัย, ThaiCERT หน่วยงานประสานงานและแจ้งเดือนความปลอดภัย, และ Tarad ในฐานผู้ให้บริการอีคอมเมิร์ชขนาดใหญ่ที่เป็นเป้าโจมตี

    คุณรัตน์ติกา พรมหนู จาก CAT Cyfence มานำเสนอประสบการณ์การที่ทาง CAT Cyfence เข้าไปช่วยดูแลความปลอดภัยให้กับลูกค้า โดยตรวจสอบล็อกเมื่อมีเหตุการณ์ผิดปกติ หลังจากรวบรวมมาพบว่าปัยหาความปลอดภัยที่ลูกค้าประสบอยู่มี 5 ประเภทหลัก ได้แก่

    - Traffic Anomaly ที่ผู้ใช้ในองค์กรพยายามเข้าถึงบริการด้วยกระบวนการผิดปกติ เครื่องของผู้ใช้พยายามเชื่อมต่อไปยังพอร์ตที่ไม่ได้รับอนุญาตเอาไว้ บ่อยครั้งที่พฤติกรรมเหล่านี้เกิดจากผู้ใช้พยายามใช้งานซอฟต์แวร์ที่ไม่ได้รับอนุญาต การตรวจสอบเช่นนี้ทำให้องค์กรรู้ได้ว่ามีการละเมิดนโยบายองค์กรหรือไม่
    - Phising เป็นปัญหาที่ลูกค้าของ CAT พบเป็นอันดับสอง ที่ทาง CAT รับหน้าที่ประสานงานกับกระทรวงไอซีทีเพื่อบล็อคเว็บเหล่านี้ให้
    - Scan ลูกค้าถูกสแกนเน็ตเวิร์ค ทาง CAT จะตรวจสอบว่าผู้ที่เข้ามาแสกนเว็บมีพฤติกรรมผิดปกติหรือไม่ หากเป็นบอตสำหรับบริการค้นหาก็จะปล่อยไป หากมีพฤติกรรมเริ่มสแกนความปลอดภัยก็จะแจ้งเตือนลูกค้า
    - Virus/Malware เป็นอีกปัญหาที่ลูกค้าพบบ่อย ทาง CAT ช่วยตรวจสอบผ่านล็อกต่างๆ ทุกวันนี้ปัญหาถึง 71% ในองค์กรลูกค้ามาจากเวิร์มที่ชื่อว่า W32.Downadup อันตรายของมันคึอเครื่องที่ติดเวิร์มตัวนี้จะเริ่มยิงไปยังเซิร์ฟเวอร์ Active Directory ทำให้ทั้งระบบทำงานไม่ได้
    - ฺBruteforce ระบบของลูกค้าเริ่มถูกยิงเพื่อทดสอบรหัสผ่าน หากปล่อยไว้จะทำแฮกเกอร์สามารถเข้ามาในระบบได้เพราะได้รหัสผ่านที่ถูกต้อง กระบวนการนี้ทำให้ต้องบังคับผู้ใช้ให้เปลี่ยนรหัสผ่านเป็นระยะและปิดสิทธิผู้ใช้ระดับสูงในเครื่องที่เข้าถึงได้จากอินเทอร์เน็ต



    คุณไพชยนต์ วิมุกตะนันนทน์ จาก ThaiCERT แนะนำถึงองค์กร CERT ทั่วโลกว่ามีหน้าที่ประสานงานระหว่างหน่วยงานเป็นหลัก โดยชื่อ CERT เป็นเครื่องหมายการค้าที่ต้องขออนุญาตล่วงหน้าว่าจะตั้งหน่วยงานประเภทเดียวกัน โดยรับแจ้งจากผู้ใช้ทั่วไป หรือแหล่งข้อมูลอื่นๆ จากนั้นจึงประสานงานไปยังผู้ที่เกี่ยวข้อง

    ในปี 2013 ThaiCERT ได้รับแจ้งประมาณ 1700 กรณี กรณีที่ได้รับแจ้ง กรณีนี้พบเยอะมากคือการเจาะระบบเพื่อแปลงหน้าเว็บ กรณีทั่วไปคือการเปลี่ยนหน้าเว็บให้เป็นหน้าอื่นๆ ที่อาจจะเพื่อประกาศตัวว่าสามารถแฮกสำเร็จ แต่อีกจำนวนมากเป็นการปลอมหน้าเว็บเพื่อใส่หน้า phishing ของธนาคารลงไป โดยแฮกเกอร์ที่ต้องการทำ phishing มักไม่ใช่เซิร์ฟเวอร์ของตนเองเพื่อทำ phishing แต่จะมุ่งเจาะเซิร์ฟเวอร์คนอื่นเพื่อลบร่องรอยตัวเอง กรณีการแฮกระบบนี้รวมนับพันกรณี

    ปัญหาหนึ่งที่ปริมาณการแฮกสูงเช่นนี้เกิดจากกระบวนการทางกฎหมายใช้เวลานาน จนทุกวันนี้การดำเนินคดีกับแฮกเกอร์ต่างชาติที่เข้ามาเจาะระบบในประเทศไทยยังทำไม่ได้

    กรณีที่ ThaiCERT ต้องรับแจ้งปัญหา เช่น การแฮกเว็บจำนวนมาก มีกรณีหนึ่งที่เป็นช่องโหว่ของ CMS ที่ทำเองและได้รับความนิยม ส่งผลกระทบเป็นวงกว้างในประเทศไทย

    ThaiCERT ตรวจสอบการเชื่อมต่อของ LINE และพบว่า LINE บนวินโดวส์สามารถดักฟังข้อความด้วยการโจมตี man-in-the-middle ได้ หลังจากแจ้งไปไม่นานทาง LINE ก็แก้ปัญหาอย่างรวดเร็ว

    อีกครั้งหนึ่งคือการเจาะ OpenX ที่ให้บริการแบนเนอร์กับเว็บหนังสือพิมพ์ขนาดใหญ่ และดึงผู้ใช้ไปยังเว็บต่างประเทศดึงให้ดาวน์โหลดไฟล์ jar เพื่อเจาะช่องโหว่จาวาและใช้ช่องโหว่นี้ไปดาวน์โหลดไฟล์เพิ่มมาอีกที

    ช่องโหว่ของเราท์เตอร์ มีช่องโหว่ของเราท์เตอร์บางรุ่นมีช่องโหว่สามารถดาวน์โหลดไฟล์คอนฟิกออกไปจากเครื่องได้ ทำให้รหัสผ่านแอดมินหลุดออกไปด้วย เมื่อทาง ThaiCERT พบปัญหานี้ก็ทดลองสแกนอินเทอร์เน็ตในประเทศไทยเพื่อนับจำนวนเครื่องที่มีปัญหา จนทุกวันนี้ยังพบว่าเครื่องที่มีปัญหานี้และยังไม่ได้แก้ปัญหาด้วยทางใดทางหนึ่ง เช่น การปิดการเข้าถึงเราท์เตอร์จากภายนอก ก็ยังคงมีปริมาณเท่าเดิม



    คุณศินวัชร แจ่มใส จาก Rakuten Tarad แนะนำถึงนโยบายความปลอดภัยภายในของเว็บ Tarad ภายในของ Rakuten เองมีหน่วยงานความปลอดภัยของตัวเองที่กำหนดนโยบายมาจากส่วนกลาง

    นโยบายส่วนแรกคือการกำหนดระดับของข้อมูล เพื่อควบคุมการเข้าถึงข้อมูล เช่น รายงาน, ซอร์สโค้ด, รวมไปถึงข้อมูลที่พิมพ์ออกมาว่าต้องมีกำหนดการเข้าถึงข้อมูลเหล่านี้ไม่ต่างกัน

    ตัวอย่างหนึ่งของการกำหนดนโยบาย เช่น การประชุมสรุปยอดขายประจำวันเป็นข้อมูลสำคัญที่รั่วไหลไม่ได้ ทำให้ออฟฟิศต้องมีการกำหนดสิทธิว่าข้อมูลสำคัญต้องใช้งานในพื้นที่ปลอดภัยสูงที่กันคนที่มีสิทธิจึงเข้าถึงได้เท่านั้น

    นโยบายอย่างหนึ่ง คือ Rakuten มีรอบการอบรมกับพนักงานใหม่เป็นระยะและมีการทดสอบความเข้าใจว่าสามารถแยกระดับความสำคัญของข้อมูล และสามารถใช้ข้อมูล แม้อย่างนั้นก็ยังมีกรณีการฝ่าฝืนนโยบาย เช่นการติดตั้งซอฟต์แวร์ให้เครื่องสามารถรีโมตจากภายนอกได้ และกลายเป็นช่องโหว่ขององค์กรในที่สุด



    Blogone, Security
     

แบ่งปันหน้านี้