การสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ ศักติพงษ์ สิบหมื่นเปี่ยม

52 สถาปัตยกรรมของโครงสร้าง พื้นฐานมีความซับซ้อนมากขึ้น ทั้ง Intranet, On Premise, Cloud เป็นต้น ความก้าวหน้าทางเทคโนโลยี เทคนิคการหลอกลวงโดยใช้ จิตวิทยาผ่านระบบคอมพิวเตอร์และ โทรศัพท์มือถือ ซึ่งปัจจุบันมีอัตรา เพิ่มขึ้นมากกว่า 6 เท่า Phishing และแก๊งคอลเซ็นเตอร์ COVID-19 ท าให้เกิดกระแสการ ท างานที่บ้าน (Work from Home) และก่อให้เกิดแนวคิด Work from Anywhere ที่เปิดให้ พนักงานในบริษัทสามารถ remote มาท างานได้จากทุกที่ Work from anywhere การน าอุปกรณ์ส่วนบุคคลมา ใช้ในที่ท างาน Bring Your Own Device (BYOD) BYOD ความท้าทายของการรักษาความมั่นคงปลอดภัยไซเบอร์ ขาดบุคลากรและงบประมาณ ⚬ขาคบุคลากรที่มีความ เชี่ยวชาญด้านไซเบอร์ ⚬บุคลากรด้านไอทีขาดความ ตระหนัก ⚬งบประมาณมีอยู่อย่างจ ากัด

53 พ.ร.ก. มาตรการป้องกันและปราบอาญากรรมทางเทคโนโลยี

54 • เปิดบัญชีบัตร เป็นบัญชีม้า • E - Wallet เป็นบัญชีม้า • จ าคุก 2-5 ปี • ปรับตั้งแต่200,000-500,000 บาท • หรือทั้งจ าทั้งปรับ โฆษณาเพื่อให้มีการซื้อขาย บัญชีม้า/ซิมม้า โทษของบัญชีม้าหนักขึ้น สามารถแลกเปลี่ยนข้อมูลให้ กับหน่วยงานที่เกี่ยวข้อง สามารถแจ้งเหตุผ่านทางออนไลน์หรือ สน.ใกล้เคียงเผื่อให้ต ารวจแจ้งให้ ธนาคารระงับธุรกรรมต่อได้อีก 7 วัน ระหว่างด าเนินการสอบสวน สามารถแจ้งเหตุhotline หรือ สาขาให้ท าการระงับธุรกรรมชั่วคราว เพื่อช่วยตัดเส้นทางการเงิน เมื่อถูกหลอก ให้ด าเนินการดังนี้ ติดต่อธนาคารทันที แจ้งต ารวจอย่างรวดเร็ว หมายเหตุ: ธนาคารสามารถระงับได้ชั่วคราว 72 ชั่วโมง พรก.ปราบปรามอาชญากรรมทางเทคโนโลยีพ.ศ.2566 กฏหมายปราบปรามแก๊งคอลเซ็นเตอร์มีผลบังคับใช้แล้ว ธนาคาร ต ารวจ DSI ปปง. ผู้ให้บริการเคลือข่ายโทรศัพท์/ โทรคมนาคม ต้องโทษ • จ าคุกไม่เกิน 3ปี • ประบไม่เกิน 300,000 บาท • ทั้งจ าทั้งปรับ 3 เรื่องต้องรู้ หากตกเป็นเหยื่อ #ตกเป็นเหยื่อต้องรีบแจ้ง #NCSA

55 #NCSA AWN DTN TUC NT รวม 32003 22568 7962 809 63342 26505 22672 53048 2049 104274 58508 45240 61010 2858 167616 SMS Voice รวม ข้อมูลรายงานตั้งแต่วันที่ 27 กันยายน 2564 ถึงวันที่26 เมษายน 2566 สรุปการรายงานการหลอกลวง SMS/Voice ส านักงาน ปปง. ได้ก าหนดรายชื่อบุคคลที่เกี่ยวข้องกับการกระท าความผิดมูลฐาน หรือเป็นเจ้าของบัญชีเงินฝากธนาคารที่ถูกใช้ในการกระท าความผิดมูลฐาน กรณี พนักงานสอบสวนยังไม่เป็นเลขคดีอาญา จ านวน 1,581 รายชื่อ และน ารายชื่อดังกล่าว เข้าสู่ระบบ APS เฉพาะกลุ่มธนาคารแล้วจ านวน 988 รายชื่อ 1 ม.ค.66 - 16 มี.ค.66 เฉลี่ย 790 เรื่อง/วัน รวม 59,258 59,258 เรื่อง 17 ม.ค.66 - 26 มี.ค.66 เฉลี่ย 661 เรื่อง/วัน ลดลง 129 เรื่อง/วัน รวม18,77518,7เรื่อง ก่อนมีพ.ร.ก. หลังมีพ.ร.ก พ.ร.ก.ปราบปรามอาชญากรรมทางเทคโนโลยีพ.ศ.2566

56 เป้าหมาย ของ Cyberattackers •ข้อมูลส่วนบุคคล : ผู้โจมตีอาจพยายามขโมยข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น ข้อมูล รับรองการเข้าสู่ระบบ ข้อมูลทางการเงิน และหมายเลขประกันสังคม เพื่อขายในตลาดมืดหรือ ใช้เพื่อขโมยข้อมูลประจ าตัว •ทรัพย์สินทางปัญญา : ผู้โจมตีอาจพยายามขโมยข้อมูลที่เป็นกรรมสิทธิ์เช่น ความลับทางการ ค้าและเทคโนโลยีที่เป็นกรรมสิทธิ์เพื่อให้ได้เปรียบในการแข่งขันหรือขายข้อมูลให้กับบุคคลอื่น •โครงสร้างพื้นฐานที่ส าคัญ : การโจมตีทางไซเบอร์บนโครงสร้างพื้นฐานที่ส าคัญ เช่น โครงข่ายไฟฟา้ โรงบ าบัดน้ า และระบบขนส่ง สามารถส่งผลกระทบร้ายแรงและท าให้การท างาน ของการบริการที่จ าเป็นหยุดชะงักได้ •หน่วยงานรัฐบาลและองค์กรทางการเมือง : ผู้โจมตีอาจก าหนดเป้าหมายหน่วยงานรัฐบาล และองค์กรทางการเมืองเพื่อขโมยข้อมูลที่ละเอียดอ่อนหรือขัดขวางการด าเนินงานของ หน่วยงาน •ธุรกิจ : การโจมตีทางไซเบอร์ต่อธุรกิจอาจท าให้สูญเสียข้อมูลที่ละเอียดอ่อน สูญเสียทาง การเงิน และท าลายชื่อเสียงของบริษัท •บุคคล : ผู้โจมตีอาจก าหนดเป้าหมายเป็นรายบุคคลเพื่อผลประโยชน์ส่วนตัว เช่น โดยการ ขโมยข้อมูลรับรองการเข้าสู่ระบบหรือเรียกค่าไถ่ข้อมูลส่วนบุคคล

57 เบื้องหลัง Cyber Attack Hacktivists บุคคลหรือกลุ่มที่ใช้การแฮ็กเพื่อส่งเสริมสาเหตุทางการเมืองหรือสังคม hacktivists อาจท าการโจมตีทาง ไซเบอร์เพื่อขัดขวางการด าเนินงานขององค์กรที่พวกเขาเห็นว่าไม่เห็นด้วยกับสาเหตุของพวกเขา หรือเพื่อเปิดเผย ข้อมูลที่เชื่อว่าควรเปิดเผยต่อสาธารณะ Cybercriminals บุคคลหรือกลุ่มที่ท าการโจมตีทางไซเบอร์เพื่อผลประโยชน์ทางการเงิน พวกเขาอาจใช้มัลแวร์หรือการโจมตี แบบฟิชชิงเพื่อขโมยข้อมูลที่ละเอียดอ่อนหรือเพื่อเรียกค่าไถ่ Nation-states รัฐชาติอาจใช้การโจมตีทางไซเบอร์เป็นวิธีการจารกรรม เพื่อรวบรวมข้อมูลข่าวกรองเกี่ยวกับประเทศอื่น ๆ หรือเพื่อขัดขวางการด าเนินงานของพวกเขาคนวงใน: คนวงใน เช่น พนักงานปัจจุบันหรืออดีต อาจท าการโจมตีทางไซ เบอร์กับองค์กรของตนเองเพื่อผลประโยชน์ส่วนตัวหรือการแก้แค้น Insiders คนวงใน เช่น พนักงานปัจจุบันหรืออดีต อาจท าการโจมตีทางไซเบอร์กับองค์กรของตนเองเพื่อ ผลประโยชน์ส่วนตัวหรือการแก้แค้น

58 Cyber Attack ที่พบบ่อย Malware Malware ย่อมาจาก “Malicious software” และหมายถึงซอฟต์แวร์ใดๆ ที่ออกแบบมาเพื่อ ท าลายระบบคอมพิวเตอร์ ซึ่งอาจรวมถึงไวรัส เวิร์ม โทรจัน และซอฟต์แวร์ที่เป็นอันตรายประเภทอื่นๆ Ransomware Ransomware เป็นมัลแวร์ประเภทหนึ่งที่เข้ารหัสไฟล์ของเหยื่อ ท าให้ไม่สามารถเข้าถึงได้ จนกว่าจะมีการจ่ายค่าไถ่ให้กับผู้โจมตี Phishing เป็นการโจมตีทางไซเบอร์ประเภทหนึ่งที่เกี่ยวข้องกับการส่งอีเมลหลอกลวง หรือ ข้อความที่ดู เหมือนว่ามาจากแหล่งที่น่าเชื่อถือ โดยมีเป้าหมายเพื่อหลอกลวงให้เหยื่อให้ข้อมูลที่ละเอียดอ่อน หรือ ติดตั้ง มัลแวร์ Denial of service (DoS) การโจมตีแบบ DoS เป็นการโจมตีทางไซเบอร์ประเภทหนึ่งที่เกี่ยวข้องกับเว็บไซต์ หรือเซิร์ฟเวอร์ที่มีทราฟฟิกมากเกินไป เพื่อท าให้ผู้ใช้ไม่สามารถใช้งานได้

59 Cyber Attack ที่พบบ่อย Man-in-the-middle (MITM) การโจมตีแบบ MITM เกิดขึ้นเมื่อผู้โจมตีสกัดกั้นการสื่อสารระหว่างสองฝ่าย และสามารถดู หรือแก้ไขข้อมูลที่ส่งได้ SQL injection SQL injection เกี่ยวข้องกับการใส่ code ที่เป็นอันตรายลงในฐานข้อมูลของเว็บไซต์ เพื่อให้ได้รับการเข้าถึงโดยไม่ได้รับอนุญาตหรือขโมยข้อมูลที่ละเอียดอ่อน Cross-site scripting (XSS) การโจมตี XSS เกี่ยวข้องกับการแทรกโค้ดที่เป็นอันตรายลงในเว็บไซต์ สามารถใช้เพื่อขโมยข้อมูล ที่ละเอียดอ่อนหรือแพร่กระจายมัลแวร์ Password cracking การถอดรหัสรหัสผ่านเกี่ยวข้องกับการพยายามเดา หรือ brute force เพื่อเข้าถึงระบบ

60 บทบาทภายในองค์กร ในการด าเนินการด้าน Cybersecurity

61 ความแท้จริงของข้อมูล Integrity CIA Triad Risk Management Process Business VS. Cybersecurity Security Security Functionality Usability Functionality Usability

62 Are You Spending Enough on Cybersecurity? No Existing Standard เนื่องจากการรักษาความมั่นคงปลอดภัย ไซเบอร์มีหลายปัจจัยที่เกี่ยวข้อง • ความร่วมมือระหว่างฝ่ายไอที • ความเสี่ยง • การรักษาความปลอดภัยทางกายภาพ • การปฏิบัติตามข้อก าหนด และหน้าที่ทางกฎหมาย • สายธุรกิจ • อื่น ๆ

63 ความท้าทายในการท างานของ Cybersecurity = การขอรับการสนับสนุนจากคณะกรรมการผู้บริหาร Cyber Leader Security-Focused Executives ผู้บริหารด้านการรักษาความมั่นคงปลอดภัย 1. การจัดล าดับความส าคัญของความมั่นคงปลอดภัยไซเบอร์ใน การตัดสินใจทางธุรกิจ ➢ เข้าใจเกี่ยวกับการด าเนินธุรกิจที่ส าคัญอย่างลึกซึ้ง ➢ บูรณาการ Cybersecurity ให้สอดคล้องกับ วัตถุประสงค์ทางธุรกิจขององค์กร ➢ เปลี่ยนความเสี่ยงทางไซเบอร์เป็นผลกระทบทางธุรกิจ 2. การมีส่วนร่วมในการตัดสินใจ ➢ ต าแหน่ง Security-Focused Executives ควรรวมอยู่ ในบอร์ดบริหาร หรือแต่งตั้งสมาชิกในคณะกรรมการให้มี KPI ส่วนบุคคล (ตัวชี้วัดประสิทธิภาพหลัก) ด้าน Cybersecurity ขององค์กร Source: World Economic Forum – Global Cybersecurity Outlook 2022 Link: https://www.weforum.org/reports/global-cybersecurity-outlook-2022/

64 ผลส ารวจความเห็นในด้านบทบาทของคณะกรรมการผู้บริหารที่เกี่ยวข้องกับ Cybersecurity 50% 41% 23% 14% Source: Harvard Business Review 50% ของผู้ตอบแบบสอบถาม ระบุว่ามีการหารือในประเด็นนี้ แต่ยังไม่มีความเห็นเอกฉันท์ ว่าบทบาทควรเป็นอย่างไร 41% ของผู้ตอบแบบสอบถาม เห็นว่าคณะกรรมการมีบทบาทให้ค าแนะน าแก่ผู้บริหาร ระดับ C-Level 23% ของผู้ตอบแบบสอบถาม เห็นว่าคณะกรรมการมีบทบาทส่งเสริมการสร้างความ ตระหนักและการเตรียมความพร้อมส าหรับการตอบสนองต่อเหตุการณ์ภัยคุกคาม 14% ของผู้ตอบแบบสอบถาม เห็นว่าคณะกรรมการต้องเข้าร่วม Table Top Exercise (TTX) 5 ข้อที่ต้องตระหนักรู้และ 7 ค าถามส าคัญ เกี่ยวกับการบริหาร ความมั่นคงปลอดภัยทางไซ เบอร์ บทบาทของคณะกรรมการผู้บริหาร

65 1. ตระหนักว่าความปลอดภัยทางไซเบอร์เป็นมากกว่าการปกป้องข้อมูล 2. BOD ต้องประกอบด้วยผู้ที่มีความรู้ในการก ากับดูแลความมัน่คงปลอดภัยทางไซเบอร์ 3. ให้ความส าคัญกับความเสี่ยง ชื่อเสียง และความต่อเนื่องทางธุรกิจ 4. มีแนวทางในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ในเชิงลึก (Defense-in-Depth) 5. มีแนวคิดว่าการรักษาความมั่นคงปลอดภัยทางไซเบอร์ไม่ใช่แค่ปัญหาทางเทคนิค แต่เป็นปัญหาขององค์กร 5 ข้อที่ต้องตระหนักรู้ ส าหรับการบริหารงานเกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ Source: Harvard Business Review Link: https://hbr.org/2022/03/7-pressing-cybersecurity-questions-boards-need-to-ask

66 1. ทรัพย์สินที่ส าคัญที่สุดคอือะไร และมีวิธีปกป้องอย่างไร ? 2. มีการจัดเตรียมการป้องกันอะไรไว้บ้าง ? 3. รู้ได้อย่างไรว่าถูกละเมิดและตรวจจับการละเมิดอย่างไร ? 4. นโยบายและแผนการรับมือในกรณีเกิดอุบัติการณ์เป็นอย่างไร ? 5. บทบาทของคณะกรรมการในกรณีเกิดเหตุคืออะไร ? 6. แผนการกู้คืนธุรกิจในกรณีที่เกิดเหตุการณ์ทางไซเบอร์มีอะไรบ้าง ? 7. การลงทุนด้านความปลอดภัยทางไซเบอร์เพียงพอหรือไม่ ? 7 ค าถาม ส าหรับการบริหารงานเกี่ยวกับความมั่นคงปลอดภัย ทางไซเบอร์ Source: Harvard Business Review Link: https://hbr.org/2022/03/7-pressing-cybersecurity-questions-boards-need-to-ask

67 แนวทางการรักษาความมั่นคงปลอดภัยไซเบอร์ ส าหรับหน่วยงาน CIS Control 10: Malware Defenses CIS Control 11: Data Recovery CIS Control 12: Network Infrastructure Management CIS Control 13: Network Monitoring and Defense CIS Control 14: Security Awareness and Skills Training CIS Control 15: Service Provider Management CIS Control 16: Application Software Security CIS Control 17: Incident Response Management CIS Control 18: Penetration Testing CIS Control 1: Inventory and Control of Enterprise Assets CIS Control 2: Inventory and Control of Software Assets CIS Control 3: Data Protection CIS Control 4: Secure Configuration of Enterprise Assets and Software CIS Control 5: Account Management CIS Control 6: Access Control Management CIS Control 7: Continuous Vulnerability Management CIS Control 8: Audit Log Management CIS Control 9: Email and Web Browser Protections The 18 CIS Critical Security Controls

68 ความ ปลอดภัย ระดับแอปพลิเคชัน เป็นส่วนส าคัญของวงจรการพัฒนาซอฟต์แวร์ เป็นแนวทางปฏิบัติ ในการปกป้องแอปพลิเคชันจากการโจมตีที่เป็นอันตรายโดยการตรวจจับ และแก้ไขจุดอ่อนด้านความปลอดภัยในโค้ดของแอปพลิเคชัน ความปลอดภัยของแอปพลิเคชันมีความส าคัญ เนื่องจากแอปพลิเคชันยังคงเป็นลิงก์ ความปลอดภัยที่อ่อนแอที่สุด ผลการวิจัยจาก รายงานการวิจัยอุตสาหกรรมชั้นน าแสดงให้เห็นว่าการโจมตีจุดอ่อนของแอปพลิเคชัน และช่องโหว่ของซอฟต์แวร์ยังคงเป็นวิธีการโจมตีภายนอกที่พบบ่อยที่สุด

69 #ตกเป็นเหยื่อต้องรีบแจ้ง #NCSA รายงานการตรวจสอบการละเมิดข้อมูลปี 2022 ของ Verizon รายงานสถานะความปลอดภัยของแอปพลิเคชันปี 2022 ของ Forrester

70 ความเสี่ยงที่เพิ่มขึ้นต่อแอปพลิเคชันระดับองค์กร รายงานการวิจัยแสดงให้เห็นว่า "มีช่องว่างที่ส าคัญระหว่างระดับความเสี่ยงของแอปพลิเคชันและสิ่งที่บริษัท ต่างๆใช้จ่ายเพื่อปกป้อง แอปพลิเคชันของพวกเขา

71 ความปลอดภัยของแอปพลิเคชันท างาน Cybersecurity Framework (CSF) ระบุความเสี่ยงด้านความปลอดภัย ปกป้อง โดยการทดสอบความปลอดภัยและใช้เครื่องมือที่เหมาะสม เพื่อปกป้องรหัสแอปพลิเคชันข้อมูลและระบบของคุณ ตรวจจับ ซึ่งเกี่ยวข้องกับการใช้เครื่องมือเพื่อค้นหาและแจ้งเตือน คุณเกี่ยวกับภัยคุกคามและช่องโหว่ ตอบสนอง โดยด าเนินการที่จ าเป็นเพื่อหยุดหรือลดข้อบกพร่อง ช่องโหว่หรือภัยคุกคามเมื่อตรวจพบ กู้คืน โดยการแก้ไขปัญหาใด ๆ ที่เกิดขึ้นและเรียกคืนความสามารถ ในการด าเนินงานปกติ

72 ระบบคลาวด์มุ่งเน้นไปที่การรักษาความปลอดภัยแอปพลิเคชันในสภาพแวดล้อมคลาวด์โดยเน้นที่การจัดการการเข้าถึงการปกป้อง ข้อมูลความปลอดภัยของโครงสร้างพื้นฐานการบันทึกและการตรวจสอบการตอบสนองต่อเหตุการณ์และการบรรเทาช่องโหว่และการ วิเคราะห์การก าหนดค่า มีองค์ประกอบที่แข็งแกร่งของการด าเนินการตามนโยบายและกระบวนการที่นี่ ประเภทของการทดสอบความปลอดภัยของแอปพลิเคชัน มือถือ ได้รับการออกแบบมาเพื่อประเมินความเสี่ยงของแอปพลิเคชันที่ท างานบนแพลตฟอร์มมือถือส าหรับโทรศัพท์และแท็บเล็ตโดยเฉพาะ Android, iOS และ Windows Phone มันประเมินแอปส าหรับช่องโหว่ตามสภาพแวดล้อมที่พวกเขาท างานและระบุปัญหาที่อาจเกิดขึ้นจาก พฤติกรรมของผู้ใช้การทดสอบท าได้โดยสวมบทบาทเป็นแฮ็กเกอร์หรือผู้ประสงค์ร้ายและพยายามโจมตีแอป ความปลอดภัยของแอพมือถือ รวมการวิเคราะห์แบบคงที่และแบบไดนามิกและการทดสอบการเจาะ เว็บ แอปพลิเคชันเกี่ยวข้องกับการสร้างความมั่นใจว่าการควบคุมความปลอดภัยถูกสร้างขึ้นในเว็บไซต์เพื่อป้องกันการโจมตีและการระบุและ แก้ไขข้อบกพร่องและข้อบกพร่องในการออกแบบแอปพลิเคชันสิ่งนี้ท าได้โดยการสแกนหาช่องโหว่อัปเดตรหัสและหากเป็นไปได้แก้ไขช่องโหว่ โดยใช้เครื่องมือและโซลูชันความปลอดภัยของแอปพลิเคชันตลอดวงจรการพัฒนาซอฟต์แวร์เช่น SAST (การทดสอบความปลอดภัยของแอป พลิเคชันแบบคงที่) DAST (การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก), IAST (การทดสอบความปลอดภัยของแอปพลิเคชัน แบบโต้ตอบ), การวิเคราะห์องค์ประกอบของซอฟต์แวร์ SCA, การทดสอบการเจาะและการทดสอบแอปพลิเคชันรันไทม์(RASP)

73 เครื่องมือทดสอบความปลอดภัยของแอปพลิเคชัน SAST เป็นชุดของเทคโนโลยีที่ออกแบบมาเพื่อวิเคราะห์ซอร์สโค้ดของ แอปพลิเคชันรหัสไบต์และไบนารีส าหรับการเข้ารหัสและการออกแบบ เงื่อนไขที่บ่งบอกถึงช่องโหว่ด้านความปลอดภัย โซลูชัน SAST วิเคราะห์ แอปพลิเคชันจาก "ภายในสู่ภายนอก" ในสถานะไม่ท างาน IDENTIFY | SAST| DAST | IAST| SCA DAST ได้รับการออกแบบมาเพื่อตรวจจับเงื่อนไขที่บ่งบอกถึงช่องโหว่ด้านความ ปลอดภัยในแอปพลิเคชันในสถานะก าลังท างานโซลูชัน DAST ส่วนใหญ่ทดสอบ เฉพาะอินเทอร์เฟซHTTP และ HTML ที่เปิดเผยของแอปพลิเคชันที่เปิดใช้งานเว็บ เท่านั้น IAST เป็นเครื่องมือทดสอบความปลอดภัยของแอปพลิเคชัน ที่ออกแบบมาส าหรับ เว็บและแอปพลิเคชันมือถือที่ทันสมัยซึ่งท างานจากภายในแอปพลิเคชันเพื่อ ตรวจจับและรายงานปัญหาในขณะที่แอปพลิเคชันก าลังท างาน SCA จัดการการใช้ส่วนประกอบโอเพนซอร์ส เครื่องมือ SCA ท าการสแกนฐานโค้ดของ แอปพลิเคชันโดยอัตโนมัติรวมถึงสิ่งประดิษฐ์ที่เกี่ยวข้องเช่นคอนเทนเนอร์และรีจิ สตรี เพื่อระบุส่วนประกอบโอเพนซอร์สทั้งหมด ข้อมูลการปฏิบัติตามใบอนุญาต และ ช่องโหว่ด้านความปลอดภัยใดๆ นอกเหนือจากการให้การมองเห็นการใช้งานโอเพ่น ซอร์สแล้วเครื่องมือ SCA บางอย่างเช่น Mend SCA ยังช่วยแก้ไขช่องโหว่ของโอเพ่น ซอร์สผ่านการจัดล าดับความส าคัญและการแก้ไขอัตโนมัติ

74 การโจมตีเว็บแอปพลิเคชัน เทคนิคต่าง ๆ ที่ใช้ในการโจมตีเว็บแอปพลิเคชัน • Cookie Poisoning • Backdoors and debug options • Application buffer overflows • Stealth commanding • 3rd party misconfigurations • Known vulnerabilities • Parameter tempering • Cross site scripting • Forceful browsing • Hacking over SSL • Sourcecode Disclosure • Web Server Architecture Attack • SQL Injection • Java Script Injection และ Hidden Field Manipulation

75 การสร้างความปลอดภัยในระบบ 1. System Scanner and Security Infrastructure Software การตรวจสอบความผิดพลาดจากการตั้งค่าต่างๆ ในระบบ เครื่องมือที่ช่วยตรวจสอบเรียกว่า System Scanner จะตรวจสอบ การตั้งค่าต่าง ๆ ไม่ว่าจะเป็น permission ต่างๆการตั้งค่าความปลอดภัยในระบบ และ web server 2.Secure Coding ปัญหาในการเขียนโค้ดในเว็บแอปพลิเคชัน ซึ่งอยู่ที่ โปรแกรมเมอร์ผู้พัฒนาไม่ค านึงถึงการป้องกันการท างาน ที่ ไม่ได้อยู่ในการควบคุมของโปรแกรม เช่น การควบคุม พารามิเตอร์บางอย่าง และการตรวจสอบข้อมูลที่รับเข้ามา input & output validation ในการท างานโดยปกติของเว็บแอปพลิเคชั่น จะมีการรอรับข้อมูลบาง อย่างจากยูสเซอร์ เพื่อใช้ในการท างานแล้ว จึงส่งผลลัพธ์ไปให้ยูสเซอร์ ซึ่งอินพุทจากยูสเซอร์ก็เป็นสาเหตุ หลัก ที่จะท าให้ระบบเกิดความไม่ปลอดภัยได้โดยผู้เขียนเว็บแอปพลิเคชันพึงระลึกไว้เสมอ ว่าไม่ควรเชื่อ ถือข้อมูลใดๆ ที่ส่งมาจากฝั่ งไคลเอนต์(NEVER TRUST CLIENT SIDE DATA) การใช้ SSL โพรโตคอล HTTP ที่ใช้งานกันอยู่ในปัจจุบันมีจุดบกพร่องในด้านการรักษา ความปลอดภัย 2 ประการ หลักๆ คือข้อมูล HTTP เป็นข้อมูล Plaintext ซึ่งสามารถดักจับ ได้โดยโปรแกรม Sniffer ต่างๆ และโพรโตคอล HTTP ยังไม่สามารถตรวจสอบความ ถูกต้องของข้อมูลที่รับส่งนั้นๆในการรักษาความปลอดภัยในโพรโตคอล HTTP SSL (Secure Socket Layer) เป็นระบบการรักษาความปลอดภัยในการ สื่อสารระหว่าง Web Client กับ Web Server

76 การใช้ HTML Forms การใช้ hidden form element นั้นช่วยให้การท างาน หลายๆ อย่างท าได้ สะดวกมากขึ้น โดยระบบจะมองข้อมูลที่อยู่ใน hidden เป็นเหมือนกับข้อมูลที่รับมาจากยูสเซอร์ แต่ การใช้งาน hidden element ไม่ควรใช้กับข้อมูลที่มีความส าคัญมากๆ เช่น ราคาสินค้า รหัสที่แทน ผู้ใช้งานค่าพารามิเตอร์ต่างๆที่มีผลต่อการท างานของเว็บแอปพลิเคชั่น การใช้ Cookies Cookies เป็นเนื้อที่ในการเก็บข้อมูลในการท างานบางส่วนไว้ที่ไคลเอนต์โดย Cookie มีอยู่ 2 ประเภท คือ persistent : เป็น Cookie ที่ไม่มีการลบข้อมูลออกแม้ว่าจะปิดแอปพลิเคชั่นไปแล้ว non-persistent : เป็น Cookie ที่จะลบข้อมูลออกจากไคลเอนต์เมื่อหมดเวลาหรือเมื่อปิด แอปพลิเคชั่นไปแล้ว การใช้ POST & GET method ไม่ควรใช้ method GET ในการส่งข้อมูลที่มีความส าคัญ เนื่องจากข้อมูลจะไปปรากฏในอุปกรณ์หลายๆ อย่างในเส้นทางที่แพ็กเก็ตผ่านไป เช่น Proxy Server, Firewall , Web Servers log เป็นต้นในกรณีที่เว็บแอปพลิเคชั่นมีการใช้งาน POST เท่านั้น ก็ควรตั้งค่าให้เว็บเซิร์ฟเวอร์ตอบสนองเฉพาะ POST เท่านั้น และไม่ตอบสนองต่อ method อื่นๆ เลย การ ท าเช่นนี้สามารถป้องกันการโจมตีโดยใช้ client side script ได้ ถึงแม้ว่า POST method จะใช้งานได้ดีและปลอดภัย มากกว่า GET แต่ก็ยังไม่สามารถป้องกันการดักจับข้อมูลได้ logout (logout machanism) การเพิ่มกระบวนการในการ logout ในการท างานต่างๆ ในเว็บแอปพลิเคชั่นนั้น มีประโยชน์ในการลบ Cookies หรือท าให้ Cookies ที่ฝั่ งไคลเอนต์ไม่สามารถ ท างานได้ จัดการกับ session ทางฝั่ งเซิร์ฟเวอร์เพื่อ ป้องกันการขโมย session ในกรณีที่ Cookies ที่ไคลเอนต์ยังไม่หมดอายุ Error Handling Mechanism การท า Error Handling ที่มีการแจ้ง Error Description นั้นเป็นประโยชน์ในการดีบักปัญหาต่างๆ แต่ไม่ควรส่ง Error Description ต่างๆไปให้ยูสเซอร์เนื่องจากจะท าให้ผู้ บุกรุกสามารถรู้รายละเอียดในระบบได้ในกรณีที่จ าเป็นต้องส่ง Error Description ต่างๆไปให้ยูสเซอร์ ก็ควรมีการกรองข้อมูลก่อนที่จะส่งด้วยในการแจ้ง Error Description ก็ไม่ควรแจ้งลงรายละเอียดมากเกินไปจนท าให้ผู้บุกรุกสามารถคาดเดาได้ว่าระบบมีข้อมูลและการท างานอย่างไร

77 •ใช้การรักษาความปลอดภัยตั้งแต่เริ่มต้น ควรพิจารณาความปลอดภัยตัง้แต่เริ่มต้นกระบวนการพัฒนาซอฟต์แวร์ ซึ่งรวมถึงการระบุความเสี่ยงและช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นด าเนินการประเมินและทดสอบความปลอดภัย และรวมการควบคุมความปลอดภัยเข้ากับการออกแบบและสถาปัตยกรรมของแอปพลิเคชัน •ใช้แนวทางตามความเสี่ยง จัดล าดับความส าคัญของความพยายามด้านความปลอดภัยตามความเสี่ยงและผลกระทบที่อาจเกิดขึ้นกับองค์กร ท าการประเมินความเสี่ยงเพื่อระบุสินทรัพย์ช่องโหว่และภัยคุกคามที่ส าคัญที่สุดและจัดสรรทรัพยากรตามนั้น •มีส่วนร่วมกับผู้มีส่วนได้ส่วนเสีย มีส่วนร่วมกับผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องทั้งหมดรวมถึงนักพัฒนาผู้เชี่ยวชาญด้านความปลอดภัย เจ้าของธุรกิจและผู้ใช้ปลายทางในกระบวนการรักษาความปลอดภัยแอปพลิเคชัน ก าหนดบทบาทและความรับผิดชอบที่ชัดเจน และตรวจสอบให้ แน่ใจว่าทุกคนตระหนักถึงข้อก าหนดด้านความปลอดภัยและความเสี่ยง •ใช้การควบคุมความปลอดภัย ใช้การควบคุมความปลอดภัยที่หลากหลายเช่นไฟร์วอลล์ระบบตรวจจับและป้องกันการบุกรุกการเข้ารหัสและ การควบคุมการเข้าถึงเพื่อป้องกันและตรวจจับภัยคุกคามด้านความปลอดภัย •ทดสอบและประเมินผลอย่างสมําเสมอ ด าเนินการทดสอบและประเมินความปลอดภัยเป็นประจ าเพื่อระบุช่องโหว่และพื้นที่ส าหรับการปรับปรุง ซึ่งอาจรวมถึงการทดสอบการเจาะการตรวจสอบรหัสและการสแกนช่องโหว่ •ตรวจสอบและตอบสนองต่อเหตุการณ์ที่เกิดขึ้น ใช้กระบวนการเพื่อตรวจสอบเหตุการณ์ด้านความปลอดภัยและตอบสนองอย่างรวดเร็วและ มีประสิทธิภาพเมื่อเกิดเหตุการณ์ขึ้น ซึ่งรวมถึงการวางแผนการตอบสนองต่อเหตุการณ์การตรวจสอบข่าวกรองภัยคุกคามและการตรวจสอบ และบันทึกอย่างต่อเนื่อง •ติดตามข่าวสารล่าสุดเกี่ยวกับภัยคุกคามที่เกิดขึ้นใหม่ติดตามภัยคุกคามและช่องโหว่ด้านความปลอดภัยล่าสุด และปรับการควบคุมและ กระบวนการด้านความปลอดภัยให้เหมาะสม ซึ่งรวมถึงการตรวจสอบการอัปเดตความปลอดภัยและการมีส่วนร่วมในชุมชนการแบ่งปันข้อมูล ธรรมภิบาลระบบ

78 การจัดการผู้ใช้งาน การจัดการผู้ใช้เป็นระบบในการจัดการกิจกรรมที่เกี่ยวข้องกับการเข้าถึงอุปกรณ์ซอฟต์แวร์และบริการ ของบุคคล มันมุ่งเน้นไปที่การจัดการสิทธิ์ส าหรับการเข้าถึงและการด าเนินการตลอดจนการตรวจสอบการ ใช้งาน ฟังก์ชั่นของการจัดการผู้ใช้รวมถึง: •ให้สิทธิ์การเข้าถึงทไี่ด้รบัการรบัรองความถูกตอ้งแก่ผู้ใช้ •รองรับการตั้งค่าการออกใหม่และการยกเลิกข้อมูลรับรองการเข้าถึงของผู้ใช้ •การสร้างสิทธิ์การเข้าถึงตามสิทธิ์

79 การจัดการผู้ใช้และระบบคลาวด์ 1. Identity and Access Management (IAM)ชุดเทคโนโลยี นโยบาย และกระบวนการนี้ใช้เพื่อจัดการบัญชี และการเข้าถึงที่เกี่ยวข้องส าหรับผู้ใช้ (เช่น มนุษย์) และบทบาท (เช่น บริการหรือสคริปต์) IAM เชื่อมโยงกับผู้ใช้หรือบทบาท การควบคุมการเข้าถึงตามบทบาทหรือ RBAC ใช้เพื่อก าหนดสิทธิ์ตามงานของผู้ใช้ 2. นโยบายการจัดการการเข้าถึงทรัพยากร (RAM) ระบุว่าใครสามารถเข้าถึงทรัพยากรและด าเนินการใดได้บ้าง RAM เชื่อมโยงกับทรัพยากรมากกว่าผู้ใช้หรือบทบาท

80 ประโยชน์ของการจัดการผู้ใช้ •ประโยชน์ด้านประสิทธิภาพการท างานด้วยซอฟต์แวร์การจัดการผู้ใช้ การจัดการผู้ใช้อัตโนมตั ิด้วยซอฟต์แวรช์ ่วยประหยัดเวลาและเพิ่มประสิทธิภาพโดยการจา ลองการ เปลี่ยนแปลงที่เกิดขึ้น (เช่นการสร้างการอัปเดตการลบผู้ใช้) ทั่วทั้งระบบ นอกจากนี้ยังเร่งกระบวนการตั้งค่าผู้ใช้บทบาท และกลุ่มลดปริมาณงานส าหรับทีมผู้ดูแลระบบ •ประโยชน์ที่ประหยัดค่าใช้จ่ายด้วยซอฟต์แวร์การจัดการผู้ใช้ ซอฟต์แวร์การจัดการผู้ใช้อ านวยความสะดวกในการติดตามการใช้งานซอฟต์แวร์เพื่อให้แน่ใจว่ามีการออก ใบอนุญาตที่ดีที่สุด สิทธิ์การใช้งานทไี่ม่จา เปน ็ อีกต่อไปสามารถมอบหมายใหมไ่ด้ข้อตกลงส าหรับซอฟต์แวร์ที่ไม่จ าเป็น อีกต่อไปสามารถยุติได้ การมองเห็นจ านวนอุปกรณท์ ี่ผู้ใช้เปดิ ใช้งานภายใตใ้บอนุญาตช่วยให้องค์กรเพิ่มประสิทธิภาพ การกระจายสิทธิ์การใช้งาน นอกจากนยี้ังช่วยในการวางแผนส าหรับการจัดท างบประมาณซอฟต์แวร์ในอนาคต •ประโยชน์ในการปฏิบัติตามสิทธิ์การใช้งานซอฟต์แวร์ด้วยซอฟต์แวร์การจดัการผู้ใช้ ด้วยซอฟต์แวร์การจัดการผู้ใช้องค์กรสามารถรับรองการปฏิบัติตามข้อตกลงสิทธิ์การใช้งานโดยการตดิตาม ผู้ใช้และการใช้งาน นอกจากนี้ยังช่วยลดความยุ่งยากในการรายงานในกรณีของการตรวจสอบ •ประโยชน์ด้านความปลอดภัยด้วยซอฟต์แวร์การจัดการผู้ใช้ ซอฟต์แวร์การจัดการผู้ใช้ให้ประโยชน์ด้านความปลอดภัยที่ส าคัญ ด้วยการสนับสนุนการควบคุมการเข้าถึงที่ เข้มงวดสามารถป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตได้ นอกจากนี้ความสามารถในการล็อกดาวน์หรือลบผู้ใช้อย่าง รวดเร็วยังช่วยลดความเสี่ยงจากคนวงใน ซอฟต์แวร์การจัดการผู้ใช้ยังสนับสนุนการตรวจสอบทางนิติวิทยาศาสตร์ ส าหรับความพยายามด้านความปลอดภัยเชิงรุกการวิเคราะห์สาเหตุที่แท้จริงและการแก้ไขในกรณีที่มีการละเมิดข้อมูล

81 ซอฟต์แวร์การจัดการผู้ใช้ •การตั้งค่าบัญชีผู้ใช้ •การจัดการข้อมูลประจ าตัวและการเข้าถึงแอปพลิเคชัน •การเปลี่ยนคุณสมบัติผู้ใช้ •การรีเซ็ตรหัสผ่าน •การปิดใช้งานและรื้อถอนผู้ใช้ •การใช้การรับรองความถูกต้องแบบไร้รหัสผ่านแบบหลายปัจจัย การจัดการผู้ใช้อัตโนมัติ 3. Lightweight Directory Access Protocol โปรโตคอลการเข้าถึงไดเรกทอรีที่มีนําหนักเบาหรือที่เรียกกันทั่วไปว่า LDAP เป็นกลไกแอปพลิเคชันที่เป็นกลางตามมาตรฐานของผู้ขายซึ่งรองรับการ เชื่อมต่อและการโต้ตอบกับเซิร์ฟเวอร์ไดเรกทอรีแบบกระจาย ใช้เพื่อ สนับสนุนการรับรองความถูกต้องตลอดจนจัดเก็บข้อมูลเกี่ยวกับผู้ใช้กลุ่ม และแอปพลิเคชัน 1. Active Directory Active Directory หรือ AD เป็นบริการไดเรกทอรีที่เป็นกรรมสิทธิ์ของ Microsoft มันท างานบนเซิร์ฟเวอร์ Microsoft Windows ให้ผู้ดูแลระบบมีเครื่องมือในการจัดการสิทธิ์และอ านวยความสะดวก ในการเข้าถึงทรัพยากรเครือข่าย ใน Active Directory ผู้ใช้ กลุ่ม แอปพลิเคชัน และ อุปกรณ์จะถูกจัดเก็บเป็นข้อมูลเป็นวัตถุ โดยแต่ละประเภทจะจัดประเภทตามชื่อและแอตทริ บิวต์ 2. Single Sign-On Single sign-on หรือ SSO เป็นวิธีการตรวจสอบสิทธิ์ส าหรับการจัดการการเข้าถึง ช่วยให้ ผู้ใช้สามารถรับรองความถูกต้องได้อย่างปลอดภัยด้วยข้อมูลประจ าตัวชุดเดียว การใช้การ ลงชื่อเข้าระบบครั้งเดียวผู้ใช้สามารถเข้าถึงแอปพลิเคชันและเว็บไซต์ต่างๆ ได้อย่างรวดเร็ว นอกจากนี้ผู้ใช้ไม่ต้องยุ่งยากในการจัดการชื่อผู้ใช้และรหัสผ่านหลายรายการ

82 CIA/SFU GRC: NIST, ISO 27001 PPT: PEOPLE: SKA, MICE, ETA PROCESS: Policy, Regulation, Procedure, Cyber Drill+Practice Technology: IAAA, FW, SIEM, SOAR, EDR

83

84 Confidentiality Integrity Availability Security CIA & SFU

85 ที่มา : เอกสารประกอบการบรรยายหลักสูตรเสริมสร้างการรับรู้ที่แข็งแกร่งด้านความมั่นคงปลอดภัยทางไซเบอร์ Trend Micro การรักษาความมั่นคงปลอดภัยทางไซเบอร์ นโยบาย, กระบวนการ, เครื่องมือ และความพร้อมของบุคลากรที่มีความ จ าเป็นทั้งหมด ถูกเตรียมพร้อมและก าหนดขึ้นเพื่อจุดประสงค์ในการรับมือ, ตรวจจับ, ป้องกัน, โต้ตอบและลดความเสี่ยงที่จะส่งผลกระทบรุนแรงต่อทรัพย์สิน, ข้อมูล, ระบบสารสนเทศ และโครงสร้างพื้นฐานขององค์การจากการโจมตีที่เกิดขึ้น จากภัยคุมทางไซเบอร์ที่หลากหลายในทุกรูปแบบ เพื่อเป็นการรักษาความน่าเชื่อถือ ภาพลักษณ์และยกระดับการน าเทคโนโลยีทางดิจิทัลมาใช้ให้เกิดประโยชน์อันสูงสุด กับองค์การอย่างมีประสิทธิภาพ ความรู้ทั่วไปเกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์

86 Asset + Threat + Vulnerability = Risk ที่มา : เอกสารประกอบการบรรยายหลักสูตรเสริมสร้างการรับรู้ที่แข็งแกร่งด้านความมั่นคงปลอดภัยทางไซเบอร์ Trend Micro

87 การโจมตีและภัยคุกคามที่ส าคัญทางไซเบอร์ ที่มา : เอกสารประกอบการบรรยายหลักสูตรเสริมสร้างการรับรู้ที่แข็งแกร่งด้านความมั่นคงปลอดภัยทางไซเบอร์ Trend Micro

88 จุดสุ่มเสี่ยงที่เป็น Points of Entry ทั้งหมด

89 การโจมตีด้วยมัลแวร์ “มัลแวร์” (Malware) คือ “ซอฟต์แวร์ที่ไม่ประสงค์ดี” หรือ “ซอฟต์แวร์ที่ไม่พึงประสงค์” (Malicious Software) การโจมตีด้วยมัลแวร์เป็นการสร้างความเสียหายให้กับระบบ คอมพิวเตอร์ โดยมีวัตถุประสงค์เพื่อการโจรกรรมข้อมูล ค าว่ามัลแวร์เป็นค า ที่ครอบคลุมถึงไวรัสคอมพิวเตอร์ หนอนคอมพิวเตอร์ และซอฟต์แวร์อื่น ๆ ที่เป็นอันตรายต่อระบบคอมพิวเตอร์ ซึ่งเรียกโดยรวมว่า “ซอฟต์แวร์ ที่ไม่ประสงค์ดี” หรือ “ซอฟต์แวร์ที่ไม่พึงประสงค์” (Malicious Software) มัลแวร์ส่วนมากจะแพร่กระจายผ่านทางอีเมล การใช้สื่อบันทึกข้อมูล ร่วมกัน เช่น แฟลชไดรฟ์การดาวน์โหลดไฟล์หรือโปรแกรมต่าง ๆ จากอินเทอร์เน็ต และการคลิกลิงก์ที่ไม่รู้จักแหล่งที่มา เป็นต้น

90 ตัวอย่างประเภทมัลแวร์ โดยแบ่งแยกได้ตามลักษณะการท างาน และพฤติกรรมของการแพร่เชื้อเข้าสู่คอมพิวเตอร์ ไวรัสคอมพิวเตอร์ เป็นมัลแวร์ชนิดแรกที่ เกิดขึ้นและจ าเป็นต้องอาศัย โฮสต์ในการแพร่กระจาย Virus หนอนคอมพิวเตอร์ เป็นไวรัสรูปแบบหนึ่งที่มี ความสามารถใน การแพร่กระจายผ่านระบบ เครือข่ายได้อย่างรวดเร็ว Worm โปรแกรมที่ออกแบบขึ้น เพื่อลักลอบเก็บข้อมูลบน เครื่องคอมพิวเตอร์ เช่น ชื่อบัญชีผู้ใช้ (Username) รหัสผ่าน หมายเลขบัตรเครดิต เป็นต้น Trojan Horse มัลแวร์ที่เข้ารหัสไฟล์ ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วิดีโอเพื่อเรียกค่าไถ่ หากผู้ใช้ไม่จ่ายค่าไถ่ จะไม่สามารถเปิดไฟล์นั้นได้ หากไม่มีคีย์ Ransomware มัลแวร์ที่ใช้ช่องโหว่ บนเบราว์เซอร์ในการติดตั้ง โปรแกรมลงในคอมพิวเตอร์ เพื่อดักจับข้อมูลกิจกรรมของผู้ใช้ หรือลักลอบแก้ไขการตั้งค่า คอมพิวเตอร์ท าให้ฮาร์ดแวร์ และการเชื่อมต่อเครือข่ายช้าลง Spyware ประเภทมัลแวร์

91 ความแตกต่างของมัลแวร์ประเภทต่าง ๆ สามารถแบ่งแยกได้ตามลักษณะการท างาน และพฤติกรรมของการแพร่เชื้อเข้าสู่คอมพิวเตอร์ ประเภทมัลแวร์

92 ไวรัสคอมพิวเตอร์ (Computer Virus) ไวรัสคอมพิวเตอร์ เป็นแอปพลิเคชัน หรือ Code ขนาดเล็กที่ถูก ออกแบบขึ้นมาเพื่อสร้างความเสียหายให้กับคอมพิวเตอร์ความสามารถของ ไวรัสคอมพิวเตอร์คือ การจ าลองตัวเอง โดยการแนบตัวส าเนา ของไวรัสไปกับ Code ของแอปพลิเคชัน ไวรัสคอมพิวเตอร์บางชนิดจะสร้างความเสียหายให้กับคอมพิวเตอร์ ทันทีเมื่อ Code ถูกเรียกใช้งาน แต่บางชนิดจะฝังตัวอยู่ในโปรแกรมเฉยๆ จะเริ่มท างานก็ต่อเมื่อเข้าเงื่อนไขที่ผู้โจมตีได้เขียนไว้ การโจมตีด้วยมัลแวร์ จุดประสงค์การท างานของ Virus แต่ละชนิดขึ้นอยู่กับผู้เขียนโปรแกรมไวรัสนั้น เช่น สร้างให้ไปท าลายข้อมูลหรือโปรแกรมอื่น

93 หนอนคอมพิวเตอร์เป็นแอปพลิเคชันขนาดเล็กแบบ Stand-alone ที่ถูกออกแบบขึ้นมาให้แพร่กระจาย จากคอมพิวเตอร์เครื่องหนึ่งไปยังคอมพิวเตอร์อีกเครื่องหนึ่งผ่านทางระบบเครือข่ายด้วยตัวเอง หนอนคอมพิวเตอร์ (Worm) Worm สามารถจ าลองตัวเองและแพร่กระจายได้อย่างรวดเร็ว การโจมตีด้วยมัลแวร์

94 ความแตกต่างระหว่าง Virus vs. Worm ไวรัสคอมพิวเตอร์ (Virus) หนอนคอมพิวเตอร์ (Worm) ฝังตัวในระบบ โดยการแทรกตัวเองลงในไฟล์หรือ โปรแกรมปฏิบัติการ ติดเชื้อในระบบ โดยใช้ช่องโหว่ในระบบปฏิบัติการ หรือแอป พลิเคชัน โดยการจ าลองตัวเอง อาจลบหรือแก้ไขเนื้อหาในไฟล์ หรือเปลี่ยนต าแหน่ง ของไฟล์ในระบบ โดยปกติแล้ว จะไม่แก้ไขโปรแกรมที่จัดเก็บไว้ ใช้ประโยชน์จาก CPU และหน่วยความจ าเท่านั้น เปลี่ยนแปลงวิธีการท างานของระบบคอมพิวเตอร์ โดย ไม่ได้รับรู้หรือความยินยอมจากผู้ใช้ ใช้แบนด์วิธเครือข่ายหน่วยความจ าระบบ ฯลฯ เซิร์ฟเวอร์และระบบคอมพิวเตอร์มากเกินไป ไม่สามารถแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นได้ เว้นแต่จะมีการจ าลองไฟล์ที่ติด Virus และส่งไปยัง คอมพิวเตอร์เครื่องอื่น หลังจากติดตั้ง Worm ในระบบแล้ว สามารถจ าลองตัวเอง และแพร่กระจายได้ โดยใช้ IRC, Outlook หรือโปรแกรมส่ง จดหมายอื่น ๆ แพร่กระจายด้วยความเร็วสม่ าเสมอตามที่ตั้ง โปรแกรมไว้ แพร่กระจายอย่างรวดเร็วยิ่งกว่า Virus ยากที่จะลบออกจากเครื่องที่ติดไวรัส เมื่อเปรียบเทียบกับ Virus แล้ว สามารถก าจัด Worm ออก จากระบบได้ง่ายกว่า การก าจัด Virus ออกจากระบบคอมพิวเตอร์ได้ยากกว่า / Worm สามารถจ าลองตัวเองและแพร่กระจายได้อย่างรวดเร็ว การโจมตีด้วยมัลแวร์

95 การตรวจจับไวรัสคอมพิวเตอร์ การตรวจจับไวรัสคอมพิวเตอร์สามารถสังเกตได้ ดังนี้ • ระบบหรือโปรแกรมมีการท างานที่ช้ากว่าปกติ • มีไฟล์ที่ไม่รู้จักปรากฏขึ้นมา • ชื่อไฟล์มีการเปลี่ยนแปลง โดยที่ผู้ใช้ไม่ได้ท า • หน้าจอคอมพิวเตอร์แสดงผลผิดปกติ ความสัมพันธ์ด้านความมั่นคงปลอดภัยสารสนเทศ ส าหรับข้อมูล สารสนเทศ ระบบสารสนเทศ ทรัพย์สินสารสนเทศ และด้านไซเบอร์ การโจมตีด้วยมัลแวร์

96 ตัวอย่างมาตรการป้องกันไวรัสคอมพิวเตอร์ ตัวอย่างมาตรการป้องกันไวรัสคอมพิวเตอร์ ดังนี้ • ติดตั้งโปรแกรมป้องกันไวรัส และอัปเดตข้อมูลไวรัสอยู่เสมอ • ติดตั้ง patch ของซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ • สแกนหาไวรัสที่สื่อบันทึกข้อมูลก่อนเปิดใช้งานทุกครั้ง • ไม่ดาวน์โหลดไฟล์ หรือโปรแกรมจากแหล่งที่ไม่รู้จัก ความสัมพันธ์ด้านความมั่นคงปลอดภัยสารสนเทศ ส าหรับข้อมูล สารสนเทศ ระบบสารสนเทศ ทรัพย์สินสารสนเทศ และด้านไซเบอร์ การโจมตีด้วยมัลแวร์

97 #ตกเป็นเหยื่อต้องรีบแจ้ง #NCSA แนวทางปฏิบัติในการป้องกันและแก้ไข

98 Security Checklist ส าหรับ การใช้เครื่องคอมพิวเตอร์ 1. ควร Logout ทุกครัง้เมื่อไม่อยู่หน้าเครื่องคอมพิวเตอร์ 2. มีการอัปเดตแพตช์บนระบบปฏิบัติการ (OS) อย่างสม่ าเสมอ หรือตัง้ ค่าอัปเดตอัตโนมัติไปเลย 3. มีการอัพเดทซอฟต์แวร์ / โปรแกรมบนเครื่องอย่างสม่ าเสมอ เพื่อปิดช่องโหวในเวอร์ชัน่ก่อนหน้า 4. มีการติดตัง้ซอฟต์แวร์ป้องกันไวรัสบนเครื่องคอมพิวเตอร์และตัง้คา่ การอัปเดตอัตโนมัติเพื่อรับข้อมูลการป้องกันใหม่ล่าสุด 5. เปิด Windows Firewall บน OS 6. ไม่ดาวน์โหลดโปรแกรมมาจากแหล่งที่ไม่น่าเชื่อถือ และหมัน่ลบ โปรแกรมที่ไม่จ าเป็ นออกไปบา้ง

99 Security Checklist ส าหรับโทรศัพท์มือถือและแท็บเล็ต 1. เปิดการใช้งาน Passcode, Face ID และ Fingerprint ในการเข้าใช้งานอุปกรณ์ต่าง ๆ 2. มีการอัปเดตแพตช์บนระบบปฏิบัติการ (OS) อย่างสม่ าเสมอ หรือตัง้ค่าอัปเดตอัตโนมัติไปเลย 3. มีการอัปเดตซอฟต์แวร์ / โปรแกรมบนเครื่อง อย่างสม่ าเสมอเพื่อปิดช่องโหวในเวอร์ชัน่ก่อนหน้า 4. มีการติดตั้งซอฟต์แวร์ป้องกันไวรัสแบบ Mobile และตั้งค่าการอัป เดตอัตโนมัติเพื่อรับข้อมูลการป้องกันใหม่ล่าสุด 5. ไม่ติดตั้งแอปพลิเคชันที่น่าสงสัย หรือไม่ทราบผู้พัฒนา ที่แน่ชัด 6. ก าหนดสิทธิในการเข้าถึงแอปพลิเคชัน (permission) ให้เหมาะสม 7. ปิดการการแจ้งเตือนเกี่ยวกับรหัสความปลอดภัย เช่น OTP บนหน้าจอ 8. เลี่ยงการเก็บข้อมูลส าคัญเอาไว้ในโทรศัพท์มือถือ

100 1. เปลี่ยนรหัสผ่านของอุปกรณ์Wi-Fi router ที่บ้าน ไม่ใช้ค่าตัง้ต้นที่ก าหนด มาจากโรงงานผู้ผลิต (Default) 2. เปลี่ยน SSID และรหัสผ่านของ Wi-Fi ที่ก าหนดมาจากผู้ให้บริการและ ซ่อน SSID ถ้าหากเป็นไปได้ 3. ก าหนดผู้ที่สามารถเชื่อมต่อ Wi-Fi ที่บ้านของเราได้เช่น การล ็ อกให้เฉพาะ เครื่องที่มีMac address ที่ก าหนดไว้เข้าใช้งานได้เท่านัน้ 4. ไม่เชื่อมต่อ Public Wi-Fi หรือ Free hotspot ที่เปิดให้ใช้งานได้ฟรี แบบไม่มีรหัสผ่าน 5. หลีกเลี่ยงการใช้งาน Public Wi-Fi ที่ไม่ทราบแหล่งที่มาในการเปิด ให้บริการ 6. เมื่อออกจากบ้านควรปิดสัญญาณ Wi-Fi เพื่อป้องกันการเชื่อมต่อ Public Wi-Fi อัตโนมัติ Security Checklist ส าหรับการใช้งาน Wi-Fi

101 1. ใช้ Browser ที่ได้มาตรฐานและมีการอัปเดตเวอร์ชั่น ของWeb Browser เสมอ 2. ไม่ท าการจดจ าหรือบันทึกรหัสผ่าน (Password) การเข้าถึงเว็บไซต์ต่าง ๆ บน Browser 3. ไม่มีอะไรได้มาฟรี ๆ ไม่ตื่นตระหนก ไม่หลงเชื่ออะไรง่าย ๆ 4. ไม่เข้าใช้งานเว็บไซต์ที่ได้รับการแชร์จากช่องทางที่ไม่แน่ชัด เช่น จากโซเขียลมีเดีย เป็นต้น 5. สังเกต HTTPS เสมอ เมื่อต้องเข้าใช้งานเว็บไซต์ ที่เกี่ยวข้องกับการท าธุรกรรมต่าง ๆ หรือต้องมีการกรอกข้อมูลในการเข้าใช้งาน Security Checklist ส าหรับการเข้าถึงเว็บไซต์