สารบัญ หน้าที่ บทนำ..............................................................................................................................................................................3 บทที่ 1 การสร้างการตระหนักรู้ กฎระเบียบ ข้อปฏิบัติที่สำคัญด้านความมั่นคงปลอดภัยไซเบอร์ (Awareness, Rules and Practices).......................................................................................................................1 เส้นทางสายอาชีพด้านความมั่นคงปลอดภัยไซเบอร์ตามมาตรฐานสากล (Cybersecurity Career Pathway).........................................................................................................2 ความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ (Cybersecurity) ...................................................................4 บทที่ 2 การโจมตี ภัยคุกคาม และช่องโหว่ด้านความมั่นคงปลอดภัย (Attacks, Threats, and Vulnerabilities)...........................................................................................................10 เทคนิควิศวกรรมสังคม (Social Engineering Techniques)..................................................................13 สัญญาณบ่งชี้ประเภทการโจมตี(Indicators to determine the type of attack) ..............................15 สัญญาณบ่งชี้ที่เกี่ยวข้องกับการโจมตีเครือข่าย (Indicators associated with network attacks)......24 บทที่ 3 สถาปัตยกรรมและการออกแบบ ( Architecture and Design)...........................................................31 การออกแบบการตรวจสอบสิทธิ์และการอนุญาต (Authentication and Authorization Design)......33 บทที่ 4 การดำเนินการด้านความมั่นคงปลอดภัย (Implementation)................................................................47 การดำเนินการโดยโปรโตคอลที่ปลอดภัย (Secure protocols)..............................................................49 บทที่ 5 การปฏิบัติงานและการบริหารจัดการเหตุการณ์ไม่ปกติ(Operations and Incident Response).66 เครื่องมือประเมินการรักษาความปลอดภัยขององค์กร (Tool to assess organizational security) ...67 นโยบาย กระบวนการ ขั้นตอนการตอบสนองต่อเหตุการณ์ (Policies, processes, and procedures for incident response) .......................................................................................................................78 บทที่ 6 การกำกับดูแล การบริหารความเสี่ยงและการปฏิบัติตามข้อกำหนดความมั่นคงปลอดภัยไซเบอร์ (Governance, Risk, and Compliance)..............................................................................................................81 กรอบการบริหารจัดการความเสี่ยง (Risk Management Framework).................................................82 เอกสารอ้างอิง..............................................................................................................................................................92 คำจำกัดความ..............................................................................................................................................................93
บทนำ คู่มือการเรียนรู้ฉบับนี้ เป็นไปตามหลักสูตรพัฒนาขีดความสามารถผู้ปฏิบัติงานตามมาตรฐานสากล (Cyber Security for Government Officer) กิจกรรมพัฒนาขีดความสามารถผู้ปฏิบัติงานตามมาตรฐานสากล ภายใต้โครงการการยกระดับทักษะบุคลากรภาครัฐเพื่อตอบโจทย์ความต้องการของประเทศ มุ่งเน้นการพัฒนา ความรู้ด้านความมั่นคงปลอดภัยไซเบอร์ให้กับ บุคลากรของรัฐ ผู้ปฏิบัติงานหน่วยงานท้องถิ่น ผู้ปฏิบัติงาน หน่วยงานด้านสาธารณสุข บุคลากรด้านการศึกษา สร้างศักยภาพในการตอบสนองต่อสถานการณ์ฉุกเฉินทาง ความมั่นคงปลอดภัยไซเบอร์การประสานความร่วมมือระหว่างภาครัฐและเอกชนเพื่อความมั่นคงปลอดภัยไซเบอร์ การประสานความร่วมมือระหว่างหน่วยงานด้านไซเบอร์ทั้งภายในและต่างประเทศ และการสร้างความตระหนัก และรอบรู้ด้านความมั่นคงปลอดภัยไซเบอร์ เพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ที่อาจจะกระทบต่อการดำเนินชีวิตของประชาชนไปจนถึงความมั่นคงของรัฐ เนื้อหาภายใต้คู่มือฉบับนี้ประกอบด้วย 6 บทเรียนที่มุ่งเน้นการพัฒนาทักษะ ความรู้ ความสามารถ ด้านความมั่นคงปลอดภัยไซเบอร์ด้วยประกอบด้วย เนื้อหาดังนี้ การสร้างการตระหนักรู้ กฎระเบียบ ข้อปฏิบัติที่ สำคัญด้านความมั่นคงปลอดภัยไซเบอร์ (Awareness, Rules and Practices) การโจมตี ภัยคุกคาม และช่องโหว่ ด้านความมั่นคงปลอดภัย (Attacks, Threats, and Vulnerabilities) สถาปัตยกรรมและการออกแบบ (Architecture and Design) การดำเนินการด้านความมั่นคงปลอดภัย (Implementation) การปฏิบัติงานและ การบริหารจัดการเหตุการณ์ไม่ปกติ (Operations and Incident Response) และการกำกับดูแล การบริหาร ความเสี่ยงและการปฏิบัติตามข้อกำหนดความมั่นคงปลอดภัยไซเบอร์ (Governance, Risk, and Compliance) ผู้เรียนรู้สามารถศึกษาควบคู่กับหลักสูตรการเรียนรู้ออนไลน์ผ่านแพลตฟอร์ม NCSA MOOC เพื่อเก็บข้อมูล การพัฒนาตนเองและได้รับประกาศนียบัตรอิเล็กทรอนิกส์ (e-Certificate) และนำองค์ความรู้ไปประยุกต์ใช้กับ การปฏิบัติหน้าที่เพื่อการพัฒนางานบริการด้านเทคโนโลยีดิจิทัลของภาครัฐให้มีความมั่นคงปลอดภัยได้อย่างมี ประสิทธิภาพ
1
2
3
4
1 บทที่1 การสร้างการตระหนักรู้ กฎระเบียบ ข้อปฏิบัติที่สำคัญด้านความมั่นคงปลอดภัยไซเบอร์ (Awareness, Rules and Practices)
2 เส้นทางสายอาชีพด้านความมั่นคงปลอดภัยไซเบอร์ตามมาตรฐานสากล (Cybersecurity Career Pathway) แผนภาพเส้นทางอาชีพด้านความมั่นคงปลอดภัยไซเบอร์1 1 Skill Future SG, https://www.imda.gov.sg/cwp/assets/imtalent/skills-framework-for-ict/index.html
3 แผนภาพ IT Certification Roadmap2 2 CompTIA IT Certification Roadmap, https://www.comptia.org/
4 ความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ (Cybersecurity) ความปลอดภัยของข้อมูลเป็นสาขาวิชาที่เติบโตและมีพัฒนาการอย่างรวดเร็ว แต่ในส่วนของด้าน ความปลอดภัยเองนั้นก็ถือเป็นข้อความรู้ที่อยู่คู่กับสังคมมนุษย์มาตั้งแต่ยุคเริ่มต้น แม้ว่าปฏิบัติการโจมตีที่ พุ่งเป้าไปที่เครือข่ายและข้อมูลอาจมีเพียงช่างผู้ชำนาญเท่านั้นที่สามารถเข้าใจอย่างถ่องแท้และตอบโต้ได้อย่าง เต็มที่ แต่หลักการหลายอย่างที่จำเป็นในการรักษาความปลอดภัยของทรัพย์สินขององค์กรไม่จำเป็นต้องใช้ ความรู้พื้นฐานพิเศษใด ๆ ในการทำความเข้าใจหรือนำมาใช้เพื่อการทำความเข้าใจหลักการพื้นฐานเหล่านี้ และศัพท์เทคนิคที่เกี่ยวข้องมีความสำคัญอย่างมากในการศึกษาอย่าลงลึกไปสู่ความรู้ทางเทคนิคที่จำเป็น สำหรับผู้เชี่ยวชาญด้านความปลอดภัย สิ่งที่คุณคุณจะได้เรียนรู้: • แนวคิดพื้นฐานด้านความปลอดภัย • การวางแผนความปลอดภัยขององค์กร • วิธีสร้างโปรแกรมรักษาความปลอดภัย เกี่ยวกับทรัพย์สินและภัยคุกคาม (About assets and threats) การอภิปรายด้านความปลอดภัยจำนวนมากมุ่งเน้นไปที่อันตรายหลายอย่างที่องค์กรต้องเผชิญ ก่อนที่ คุณจะศึกษาเรื่องเหล่านี้ คุณต้องเข้าใจว่าสิ่งใดกำลังตกอยู่ในอันตรายการรักษาความปลอดภัย คือ แนวทาง ปฏิบัติในการปกป้องทรัพย์สินจากสิ่งที่อาจทำอันตราย ส่วนสินทรัพย์หมายถึงอะไรก็ตามที่มีค่าสำหรับองค์กร ของคุณ ในขณะที่การรักษาความปลอดภัยของข้อมูลมุ่งเน้นไปที่ข้อมูลและการสื่อสารที่ละเอียดอ่อน การรักษาความปลอดภัยขององค์กรโดยรวมต้องคำนึงถึงทรัพย์สิน เช่น พนักงานทรัพย์สินทางกายภาพ และความสัมพันธ์ทางธุรกิจด้วย ความล้มเหลวในการปกป้องทรัพย์สินที่สำคัญอาจเป็นหายนะ ในโลกปัจจุบัน การละเมิดข้อมูลเพียงอย่างเดียวเป็นสิ่งที่สามารถทำให้บริษัทล้มละลาย ชีวิตพังหรือแพ้สงคราม ในทางตรงกันข้าม ภัยคุกคาม คือ อะไรก็ตามที่สามารถทำอันตรายต่อสินทรัพย์ได้ การรักษาความ ปลอดภัยมุ่งเน้นไปที่การป้องกันการโจมตีที่เป็นอันตราย เช่น มัลแวร์ แฮกเกอร์ ขโมยหรือพนักงานที่ไม่พอใจ เป็นหลัก แต่นั่นไม่ใช่ภัยคุกคามประเภทเดียว ยังมีภัยคุกคามอื่น ๆ ได้แก่ การสูญเสียข้อมูลโดยไม่ได้ตั้งใจ การทำงานผิดพลาดของอุปกรณ์ ไฟไหม้ ภัยธรรมชาติหรือสิ่งอื่นใดที่อาจขัดขวางการดำเนินธุรกิจ ด้วยเหตุนี้ ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลจึงต้องทำงานอย่างใกล้ชิดกับเจ้าหน้าที่รักษาความปลอดภัย ทางกายภาพ ช่างเทคนิคคอมพิวเตอร์และเครือข่าย เจ้าหน้าที่ความปลอดภัย และใครก็ตามที่ทำหน้าที่ปกป้อง ทรัพย์สินขององค์กร มูลค่าของสินทรัพย์อาจสูงกว่าต้นทุนเริ่มต้นหรือแม้แต่ต้นทุนทดแทนอย่างมีนัยสำคัญ ลองนึกภาพว่า มีคนบุกเข้าไปในสำนักงานของคุณในช่วงสุดสัปดาห์เพื่อขโมยคอมพิวเตอร์และอุปกรณ์เครือข่ายจำนวนมาก แม้จะสมมติว่าโจรขโมยฮาร์ดแวร์ไปโดยไม่มีข้อมูลสำคัญ คุณก็ไม่เพียงแต่ต้องซื้ออุปกรณ์ใหม่และจ่ายค่าชั่วโมง พนักงานเพื่อตั้งค่าทุกอย่างอีกครั้ง เวลาที่ต้องใช้อาจจะขัดขวางการดำเนินธุรกิจของคุณ ไม่เพียงแต่ทำให้คุณ
5 เสียรายได้ แต่ยังอาจทำลายความไว้วางใจของลูกค้าหรือพันธมิตรทางธุรกิจในเรื่องของความตรงเวลาและ ความน่าเชื่อถือของคุณ ทรัพย์สินบางอย่างไม่สามารถแทนที่ได้เลย เช่น ชีวิตมนุษย์หรือความเป็นเจ้าของความลับ อย่าตีความคำศัพท์ทั่วไปนี้ในความหมายว่าทรัพย์สินและความปลอดภัยทุกประเภทเทียบเท่ากัน ความปลอดภัยของข้อมูลเป็นเรื่องที่มีความสำคัญโดยเฉพาะเนื่องจากเป็นทรัพย์สินทางข้อมูลและภัยคุกคาม ต่อทรัพย์สินเหล่านี้มีคุณสมบัติเฉพาะบางประการ โดยทั่วไปทรัพย์สินทางกายภาพสามารถถูกขโมยหรือ ทำลายได้โดยการละเมิดความปลอดภัยทางกายภาพเท่านั้น ในทางตรงกัน ข้ามเครือข่ายในปัจจุบันหมายถึงผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนขององค์กรของคุณได้จาก ทุกที่ในโลก เนื่องจากข้อมูลไม่ใช่วัตถุทางกายภาพจึงสามารถคัดลอก ย้ายหรือลบได้แม้จะเก็บไว้ในสื่อทาง กายภาพ หากมีคนขโมยบัตรเครดิตของคุณ คุณจะรู้ได้ทันทีที่คุณดูในกระเป๋าเงินของคุณ แต่หากมีคนขโ มย ข้อมูลบัตรเครดิตของคุณ คุณจะไม่มีทางรู้จนกว่าคุณจะเห็นใบแจ้งยอดรายเดือนของคุณ และอาจเป็นได้ ก็ต่อเมื่อคุณขยันพอที่จะสังเกตเห็นธุรกรรมที่ไม่ได้รับอนุญาต คุณสมบัติที่เป็นเอกลักษณ์ของสินทรัพย์ข้อมูล และวิวัฒนาการอย่างรวดเร็วของเทคโนโลยีสารสนเทศเป็นเหตุให้ความปลอดภัยของข้อมูลกลายเป็นสาขาวิชา ที่ได้รับความสนใจอย่างสูง The CIA Triad โดยทั่วไปแล้วแกนหลักของการรักษาความปลอดภัยของข้อมูลจะสรุปได้เป็นสามส่วนซึ่งเรียกว่า CIA triad การออกแบบเครือข่ายและระบบข้อมูลโดยคำนึงถึงองค์ประกอบทั้งสามจะช่วยป้องกันองค์กรจาก ภัยคุกคามที่รู้จัก และทำให้องค์กรเสี่ยงน้อยลงจากอันตรายที่ไม่รู้จัก การรักษาความลับ (Confidentiality) การตรวจสอบให้แน่ใจว่าข้อมูลสามารถดูได้โดยผู้ใช้หรือระบบที่ได้รับอนุญาตเท่านั้น และไม่สามารถ เข้าถึงได้หรือไม่สามารถอ่านได้สำหรับผู้ใช้ที่ไม่ได้รับอนุญาต การรักษาความลับมีความสำคัญมากที่สุดสำหรับ ข้อมูลที่ละเอียดอ่อนอย่างเห็นได้ชัด แต่แม้กระทั่งข้อมูลที่ไม่เป็นความลับในตัวเองก็อาจมีประโยชน์สำหรับ ผู้โจมตีที่ต้องการทำให้ผลประโยชน์ขององค์กรของคุณอยู่ในอันตราย
6 ความถูกต้อง (Integrity) การตรวจสอบให้แน่ใจว่าข้อมูลยังคงถูกต้องและครบถ้วนตลอดอายุการใช้งาน โดยเฉพาะอย่างยิ่งนี้ หมายถึงการตรวจสอบให้แน่ใจว่าข้อมูลในที่จัดเก็บหรือการส่งผ่านไม่สามารถแก้ไขได้ในลักษณะที่ตรวจไม่พบ แต่สามารถรวบรวมวิธีการทั้งหมดในการป้องกันข้อมูลสูญหายได้ ความพร้อมใช้งาน (Availability) การดูแลให้ผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงข้อมูลได้อย่างง่ายดาย นอกเหนือจากการป้องกัน การสูญหายของข้อมูลโดยเจตนาหรือโดยบังเอิญแล้ว ยังหมายถึงการตรวจสอบให้แน่ใจว่าการเชื่อมต่อ และประสิทธิภาพได้รับการบำรุงรักษาในระดับสูงสุดเท่าที่จะเป็นไปได้ และการควบคุมความปลอดภัยจะไม่ ยุ่งยากเกินไปสำหรับผู้ใช้ที่ถูกต้องตามกฎหมาย คุณอาจสังเกตเห็นว่าทั้งสามข้อนี้เป็นเป้าหมายของผู้เชี่ยวชาญด้านไอที แม้ว่าพวกเขาจะไม่มีความลับ ใด ๆ ให้รักษา ความพร้อมใช้งานและความสมบูรณ์ของข้อมูลเป็นเป้าหมายของการจัดเก็บหรือการส่งข้อมูล เสมอ และการจัดการประสิทธิภาพของเครือข่ายส่วนหนึ่งเกี่ยวกับการทำให้แน่ใจว่าข้อมูลจะไม่ถูกส่งไปไหน โดยไม่จำเป็น ไม่ว่าความปลอดภัยจะเปลี่ยนแปลงไปอย่างไร เป้าหมายการทำงานขั้นพื้นฐานก็ยังมุ่งเน้นไปที่ ความผิดพลาดของอุปกรณ์ การทำงานของระบบโดยไม่ได้ตั้งใจ หรือข้อผิดพลาดของผู้ใช้อาจส่งผลกระทบ ต่อเครือข่ายได้ แต่เป้าหมายด้านความปลอดภัยยังมีเป้าหมายอย่างชัดเจนเพื่อป้องกันอันตรายที่เกิดจาก ผู้ดักฟัง ผู้โจมตีและผู้ประสงค์ร้ายอื่น ๆ CIA triad เป็นที่ยอมรับอย่างกว้างขวาง แต่ก็ไม่ครอบคลุมทั้งหมด ผู้เชี่ยวชาญด้านความปลอดภัย บางคนแนะนำให้เพิ่มหลักการหลักอื่น ๆ สิ่งที่หลายคนเสนอเหมือนกัน คือความถูกต้องหรือความน่าเชื่อถือ ความสามารถในการตรวจสอบแหล่งที่มาของข้อมูลนอกเหนือจากความถูกต้องของข้อมูล แหล่งข้อมูลอื่น ๆ เพียงแค่พิจารณาส่วนนี้ของความถูกต้อง ในทำนองเดียวกันในขณะที่แหล่งข้อมูลหลายแห่งจะนับความเป็นส่วนตัว หรือการควบคุมข้อมูลส่วนบุคคลของผู้ใช้หรือลูกค้าเป็นส่วนหนึ่งของการรักษาความลับ แต่แหล่งอื่น ๆ ถือว่ามี ความแตกต่างกันมากพอที่จะแยกเป็นอีกหมวดหมู่หนึ่ง ประเด็นด้านความปลอดภัยอื่น ๆ ที่กล่าวถึงพร้อมกับ CIA triad นั้นมีความแตกต่างอย่างชัดเจน มากขึ้น เนื่องจากประเด็นเหล่านั้นมุ่งเน้นไปที่เรื่องอื่นมากกว่าตัวข้อมูลเอง สิ่งที่ถูกพูดถึงบ่อย ๆ ในช่วงไม่กี่ปี ที่ผ่านมาคือความรับผิดชอบ ซึ่งทำให้มั่นใจได้ว่าการดำเนินการของพนักงานที่มีส่วนดูแลความปลอดภัยจะถูก ติดตามเพื่อรับผิดชอบต่อกิจกรรมที่ไม่เหมาะสม ซึ่งเกี่ยวข้องกับการไม่ปฏิเสธ โดยที่ความถูกต้องจะได้รับ การตรวจสอบในลักษณะที่ป้องกันไม่ให้ผู้รับผิดชอบโต้แย้งได้ โดยปกติแล้วความปลอดภัยจะไม่ถูกเพิ่มเข้าไปใน CIA triad โดยตรง แต่สอดคล้องกับหลักการด้านความปลอดภัยอย่างใกล้ชิดและมักจะกล่าวถึงในแง่ที่คล้ายกัน
7 ความเสี่ยง ภัยคุกคาม และช่องโหว่ (Risk, threats, and vulnerabilities) คำศัพท์ที่ใช้อธิบายความท้าทายด้านความปลอดภัย ได้แก่ ความเสี่ยง (Risk), ภัยคุกคาม (Threats), และช่องโหว่ (Vulnerabilities) ในการใช้งานทั่วไปอาจใช้ทั้ง 3 คำอย่างไม่ชัดเจนหรือแม้กระทั่งสลับกันได้ แต่อย่างไรก็ตามในความหมายที่แท้จริงด้านความปลอดภัยทั้ง 3 คำแสดงถึงความคิดที่แตกต่างกัน ความเสี่ยง (Risk) หมายถึง โอกาสที่จะเกิดอันตรายต่อสินทรัพย์ การวัดความเสี่ยงหมายรวมถึงความเป็นไปได้ที่จะเกิด อันตราย ผลกระทบที่จะมีต่อองค์กร และค่าใช้จ่ายในการซ่อมแซมความเสียหาย การประเมินความเสี่ยง เป็นสิ่งสำคัญในการกำหนดเป้าหมายและวิธีการปรับใช้ทรัพยากรด้านความปลอดภัย ภัยคุกคาม (Threat) คือ สิ่งที่อาจก่อให้เกิดอันตรายต่อสินทรัพย์ เช่น การโจมตีที่เกิดจากผู้ประสงค์ร้ายถือเป็นภัยคุกคาม ความผิดพลาดของมนุษย์ ความผิดปกติของอุปกรณ์หรือภัยธรรมชาติก็ถือเป็นภัยคุกคามเช่นเดียวกัน กลไกของภัยคุกคามมีชื่อเฉพาะเรียกว่าผู้คุกคาม (threat vector) หรือวิธีการโจมตี (attack vector) ตัวอย่างเช่น ผู้คุกคามทั่วไปหมายรวมตั้งแต่มัลแวร์ ข้อความอีเมลหลอกลวง ถึงการพยายามเจาะรหัสผ่าน ช่องโหว่ (Vulnerability) หมายถึงจุดอ่อนใด ๆ ที่สินทรัพย์มีต่อภัยคุกคามที่อาจเกิดขึ้น ช่องโหว่อาจเป็นฮาร์ดแวร์ ซอฟต์แวร์, มนุษย์ หรือ องค์กร ในทำนองเดียวกันก็อาจหมายถึงข้อบกพร่องของระบบ หรือที่รู้จักกันดีคือการแลกเปลี่ยน คุณสมบัติที่ต้องการ การโจมตีหลายครั้งเป็นการโจมตีโดยการกำหนดเป้าหมายช่องโหว่เฉพาะที่ผู้โจมตีรู้จัก การระบุภัยคุกคาม ลดช่องโหว่และการประเมินความเสี่ยงล้วนเป็นหัวข้อกว้าง ๆ และจำเป็นที่ผู้เชี่ยวชาญ ด้านความปลอดภัยจำเป็นต้องศึกษาในเชิงลึก แต่ทั้งสามเรื่องมีความเกี่ยวพันกันอย่างแน่นหนา เป้าหมาย สุดท้ายของการรักษาความปลอดภัยคือการลดความเสี่ยงต่อทรัพย์สินที่สำคัญ ซึ่งในการประเมินความเสี่ยง ต่อทรัพย์สินเหล่านั้น ก่อนอื่นคุณต้องทราบว่าคุณเผชิญกับภัยคุกคามใดและองค์กรของคุณมีความเสี่ยงที่ใด องค์กรมาตรฐานความปลอดภัย (Security standards organizations) การรักษาความปลอดภัยและโดยเฉพาะอย่างยิ่งความปลอดภัยของข้อมูลเป็นความพยายามของ ชุมชนผู้ปฏิบัติงานด้านเทคโนโลยีสารสนทศ องค์กรต่าง ๆ ที่ใช้ประโยชน์จากเทคโนโลยีเดียวกันและเผชิญ กับภัยคุกคามแบบเดียวกันมากมาย ดังนั้นการเรียนรู้จากความสำเร็จและความล้มเหลวของกันและกัน จึงเป็น วิธีที่ดีที่สุดในการก้าวไปข้างหน้าท่ามกลางการโจมตีและความท้าทายทางเทคโนโลยี มันจึงไม่ใช่เพียงแค่เรื่องของ การแลกเปลี่ยนเรื่องราวเท่านั้น แต่ด้วยการแบ่งปันใช้มาตรฐานสำหรับเทคโนโลยีและนโยบายที่พิสูจน์แล้วและ ภาษากลางสำหรับการอภิปรายทางทฤษฎี จะช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยแบ่งปันเทคนิคของพวกเขา และเสริมสร้างความมั่นคงได้ง่ายขึ้นมาก
8 องค์กรจำนวนมากได้แบ่งปันข้อมูลและมาตรฐานที่เกี่ยวข้องกับความปลอดภัย ไม่ว่าจะเป็นภารกิจ หลักหรือเป็นหน้าที่เดียวในหลาย ๆ ภารกิจ ซึ่งรวมถึงหน่วยงานของรัฐ กลุ่มอุตสาหกรรมที่ปรึกษาด้านความ ปลอดภัย ผู้จำหน่ายซอฟต์แวร์และสมาคมอิสระของผู้เชี่ยวชาญด้านความปลอดภัย องค์กรและมาตรฐาน เหล่านี้มักปรากฏในเอกสารด้านความปลอดภัยเป็นคำย่อที่ทำให้สับสนดังนั้นคุณควรเรียนรู้ที่จะจดจำองค์กร เหล่านี้ องค์กรมาตรฐานความปลอดภัยบางส่วนที่คุณน่าจะพบในการกล่าวถึงทางด้านเทคโนโลยีมีดังต่อไปนี้: ศูนย์ความปลอดภัยทางอินเทอร์เน็ต (Center for Internet Security หรือ CIS) องค์กรไม่แสวงหาผลกำไรที่ก่อตั้งขึ้นโดยองค์กรการค้าวิชาการและภาครัฐจำนวนมาก ภารกิจของ CIS คือการระบุ พัฒนา และส่งเสริมแนวทางปฏิบัติ ที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์ ด้วยเหตุนี้ จึงได้พัฒนาเกณฑ์มาตรฐานด้านความปลอดภัยและเครื่องมือประเมินสาหรับระบบปฏิบัติการ และแอปพลิเคชัน เครือข่ายที่หลากหลาย สถาบันวิศวกรไฟฟ้าและอิเล็กทรอนิกส์ (Institute of Electrical and Electronics Engineers หรือ IEEE) สมาคมวิชาชีพของวิศวกรและนักวิทยาศาสตร์ในหลายสาขาวิชารวมถึงนักวิทยาศาสตร์คอมพิวเตอร์ นักพัฒนาซอฟต์แวร์ และผู้เชี่ยวชาญด้านไอที ภารกิจของ IEEE คือการพัฒนานวัตกรรมทางเทคโนโลยีใน ทุกประเภทและเผยแพร่มาตรฐานในสาขาเทคโนโลยีต่าง ๆ ตระกูลหนึ่งที่คุณน่าจะคุ้นเคยคือมาตรฐาน เครือข่าย IEEE 802 เช่น อีเธอร์เน็ต (802.3) และ Wi-Fi (802.11) คณะทำงานด้านวิศวกรรมอินเทอร์เน็ต (Internet Engineering Task Force หรือ IETF) องค์กรมาตรฐานเปิดภายใต้การจัดการของ Internet Society ประกอบด้วยอาสาสมัครที่อุทิศตัว ในการพัฒนาโปรโตคอลอินเทอร์เน็ตทั่วไปจำนวนมาก โดยมีฉันทามติในการแจกจ่ายเอกสารคำร้องขอความ คิดเห็น (Request For Comments -RFC) จำนวนมากผ่านทางรายชื่ออีเมล์ภายใน ข้อกำหนดที่ก้าวหน้าผ่าน กระบวนการตรวจสอบจัดเป็นมาตรฐานที่เสนอและในที่สุดก็ได้เป็นมาตรฐานอินเทอร์เน็ต องค์การระหว่างประเทศเพื่อการมาตรฐาน (International Organization for Standardization หรือ ISO) องค์กรระหว่างประเทศประกอบด้วยหน่วยงานมาตรฐานของประเทศสมาชิกกว่า 160 ประเทศ มาตรฐาน ISO รวมทุกอย่างตั้งแต่แบบจำลองเครือข่าย OSI (ISO/IEC 7498-1) ไปจนถึงทิศทางการบิดของ เส้นด้าย (ISO 2) มาตรฐานหลายอย่างเกี่ยวข้องกับเทคโนโลยีสารสนเทศ หรือมาตรฐานและแนวปฏิบัติ ด้านความปลอดภัย เมื่อมีการแก้ไขมาตรฐาน ISO จะมีการระบุปีไว้ด้วย: ในปี 2013 ISO 27001: 2013 แทนที่ ISO 27001: 2005 ที่เก่ากว่า
9 สังคมอินเทอร์เน็ต (Internet Society หรือ ISOC) องค์กรแม่ของ IETF และองค์กรและคณะกรรมการอื่น ๆ ที่เกี่ยวข้องกับการพัฒนาอินเทอร์เน็ต ISOC ไม่ได้พัฒนามาตรฐานโดยตรง แต่มุ่งเน้นไปที่การจัดประชุมสัมมนาและบริการฝึกอบรมสำหรับองค์กรสมาชิก เป็นหลัก สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology หรือ NIST) หน่วยงานรัฐบาลของสหรัฐอเมริกาที่รับผิดชอบในการพัฒนาและสนับสนุนมาตรฐานที่ใช้โดยองค์กร ของรัฐอื่น ๆ แม้ว่าหน่วยงานนี้จะส่งเสริมมาตรฐานสำหรับการใช้งานโดยรัฐบาลสหรัฐฯเป็นหลัก แต่มาตรฐาน เหล่านี้มักจะถูกใช้โดยหน่วยงานอื่นที่มีความต้องการเทคโนโลยีที่คล้ายคลึงกัน ในช่วงไม่กี่ปีที่ผ่านมามาตรฐาน ความปลอดภัยของคอมพิวเตอร์ได้กลายเป็นส่วนสำคัญของพันธกิจ NIST ในการแบ่งปันผลการวิจัยส่วนใหญ่ กับชุมชน ความปลอดภัยที่กว้างขึ้น และเผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ของซอฟต์แวร์ที่ค้นพบและแนวทาง ปฏิบัติที่ดีที่สุดด้านความปลอดภัยอย่างสม่ำเสมอ สำนักงานความมั่นคงแห่งชาติ (National Security Agency หรือ NSA) สำนักงานความมั่นคงแห่งชาติ เป็นหน่วยงานข่าวกรองระดับชาติของกระทรวงกลาโหมสหรัฐ รับผิดชอบในการรวบรวมข้อมูล การค้นหาเนื้อหาหรือวิธีการที่เข้ารหัสและการสร้างรหัส NSA พัฒนา มาตรฐานการเข้ารหัสและรักษา ความปลอดภัยของข้อมูลของรัฐบาลจากการโจมตี งานของ NSA ส่วนใหญ่ เป็นความลับ แต่ก็มีบทบาทที่มองเห็นได้ชัดเจนในการออกแบบ และกำหนดมาตรฐานการเข้ารหัสที่ใช้กันอย่าง แพร่หลายเช่น DES, AES และ SHA โครงการความปลอดภัยของแอปพลิเคชันบนเว็บสาธารณะ (Open Web Application Security Project หรือ OWASP) องค์กรระหว่างประเทศที่ไม่แสวงหาผลกำไรที่ก่อตั้งขึ้นเพื่อพัฒนาความปลอดภัยของเว็บแอปพลิเคชัน OWASP นำเสนอแนวทาง บทความ ซอฟต์แวร์ทูลส์และทรัพยากรอื่น ๆ ที่มีให้ฟรี ซึ่งทั้งหมดนี้มีไว้สำหรับ การพัฒนาและทดสอบเว็บแอปพลิเคชันที่ปลอดภัย รายการยอดนิยมสิบอันดับ ที่อัปเดตเป็นประจำเป็น แหล่งข้อมูลที่ใช้กันบ่อยสำหรับช่องโหว่ของแอปพลิเคชันเว็บทั่วไป World Wide Web Consortium (World Wide Web Consortium หรือ W3C) องค์กรมาตรฐานที่ก่อตั้งขึ้นเพื่อพัฒนาและรักษามาตรฐานที่ใช้งานร่วมกันได้สำหรับ World Wide Web (WWW) ที่ใช้โดยเว็บเบราว์เซอร์เซิร์ฟเวอร์และเทคโนโลยีอื่น ๆ มาตรฐาน W3C ได้แก่ HTML, XML, CSS และอื่น ๆ อีกมากมายที่ใช้สำหรับการสื่อสารบนเว็บ แม้ว่าสิ่งพิมพ์ของ W3C จะไม่เน้นที่เทคโนโลยีด้าน ความปลอดภัย แต่ความปลอดภัยของมาตรฐานเว็บก็เป็นหัวข้อสำคัญในการรักษาความปลอดภัยของข้อมูล
10 บทที่ 2 การโจมตี ภัยคุกคาม และช่องโหว่ด้านความมั่นคงปลอดภัย (Attacks, Threats, and Vulnerabilities)
11
12
13 เทคนิควิศวกรรมสังคม (Social Engineering Techniques) การโจมตีด้วยวิธีทางวิศวกรรมสังคม (Social Engineering Tactics by Attackers) คือ ปฏิบัติการจิตวิทยาซึ่งเป็นวิธีที่ง่ายที่สุดในการโจมตี เนื่องจากไม่จำเป็นต้องใช้ความรู้ความชำนาญเกี่ยวกับ คอมพิวเตอร์มากนัก และส่วนใหญ่จะใช้ได้ผลดี การโจมตีแบบวิศวกรรมสังคมจะเกี่ยวกับการหลอกให้บางคน หลงกลเพื่อเข้าระบบ เช่น การหลอกถามรหัสผ่าน การหลอกให้ส่งข้อมูลที่สำคัญให้ ซึ่งการโจมตีประเภทนี้ ไม่จำต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์หรือการเจาะระบบเลย วิศวกรรมสังคมเป็นจุดอ่อน ที่ป้องกันยากเพราะเกี่ยวข้องกับคน การหลอกลวงทางโทรศัพท์รูปแบบการโจมตีแบบวิศวกรรมสังคมโดยส่วนใหญ่จะใช้โทรศัพท์ถามข้อมูล โดยหลอกว่าตนเป็นผู้ได้รับอนุญาตหรือเป็นผู้มีอำนาจ การบอกให้ผู้ถูกโจมตีโอนเงินไปให้ผู้โจมตี มีการหลอกล่อ หลายรูปแบบโดนการอาศัยวิธีทางจิตวิทยา เช่น หลอกลวงว่าผู้ถูกโจมตีเป็นผู้โชคดีได้รับรางวัล โดยอาจใช้ เทคนิคการซ่อนหมายเลขโทรศัพท์ เพื่อปิดบังหมายเลขโทรศัพท์ส่งผลให้ไม่สามารถยืนยันผู้ที่โทรศัพท์เข้ามาได้ จนทำให้หลงเชื่อและแจ้งข้อมูลส่วนบุคคลของผู้ถูกโจมตีให้แก่ผู้โจมตีได้ รวมทั้งการหลอกให้ไปยืนยันการได้รับ รางวัลที่เครื่อง ATM และให้ดำเนินการตามที่ผู้โจมตีบอกขั้นตอน ซึ่งเป็นการหลอกให้โอนเงินไปให้ ตัวอย่างเช่น แก๊งคอลเซ็นเตอร์ ที่หลอกลวงประชาชน ซึ่งจะดำเนินการอยู่ใน 2 ลักษณะ คือ จะโทรศัพท์เข้ามา แจ้งว่า ได้รับคืนเงินภาษี หรือ ได้รับรางวัล และการหลอกลวงโดยขู่ว่า เป็นหนี้บัตรเครดิต และฐานข้อมูลกำลัง ถูกเจาะเข้าระบบ และจะพูดจาหว่านล้อมให้ไปทำธุรกรรมทางตู้เอทีเอ็ม การค้นข้อมูลจากถังขยะ (Dumpster Diving) การค้นข้อมูลจากถังขยะ (Dumpster Diving) เพื่อค้นหาข้อมูลจากเอกสารที่ทิ้ง ซึ่งในนั้นอาจมีคู่มือการใช้งาน รหัสผ่านที่เขียนไว้ในกระดาษ เป็นต้น ถังขยะ นั้นอาจจะไม่ใช่ถังขยะในสายตาของนักเจาะระบบ ถังขยะปกติแล้วจะประกอบไปด้วยเอกสารชิ้นเล็กชิ้นน้อย และข้อมูลที่ไม่สมบูรณ์ ผู้บุกรุกอาจนำข้อมูลแต่ละชิ้นจากถังขยะเหล่านั้นมาปะติดปะต่อเป็นข้อมูลที่สมบูรณ์ และทำให้สามารถเข้าถึงระบบได้จากวิธีการนี้ หรือบางครั้งข้อมูลที่ได้อาจทำให้การปลอมแปลงตัวของผู้บุกรุก นั้นแนบเนียนน่าเชื่อถือมากยิ่งขึ้น ฟิชชิง (Phishing) ฟิชชิง (อังกฤษ: phishing) คือการหลอกลวงทางอินเทอร์เน็ต เพื่อขอข้อมูลที่ สำคัญเช่น รหัสผ่าน หรือหมายเลขบัตรเครดิต โดยการส่งข้อความผ่านทางอีเมลหรือเมสเซนเจอร์ ตัวอย่างของ การฟิชชิง เช่น ผู้โจมตีอาจส่งอีเมลและบอกว่ามาจากองค์กรที่ถูกกฎหมายแล้วหลอกให้คลิกเข้าไปยังเว็บไวต์ แทนที่จะเป็นเว็บจริง ๆ แต่กลับเป็นเว็บไซต์หลอกที่มีหน้าตาเหมือนเว็บไซต์จริง ผู้ใช้จะถูกถามให้กรอก ยูสเซอร์เนม และพาสเวิร์ดเพื่อยืนยันเจ้าของบัญชีธนาคาร หรือข้อมูลเกี่ยวกับบัตรเครดิต ซึ่งผู้โจมตีก็จะได้ ข้อมูลนั้นไป
14 การแก้ปัญหาเทคนิควิศวกรรมสังคม หากมีการแจ้งว่าเว็บไซต์ของคุณมีวิศวกรรมสังคม (เนื้อหาหลอกลวง) โปรดตรวจสอบว่าหน้าเว็บไม่ได้ มีส่วนเกี่ยวข้องกับแนวทางปฏิบัติใดๆ จากนั้นทำตามขั้นตอนต่อไปนี้ 1. ตรวจสอบใน Search Console - ยืนยันว่าคุณเป็นเจ้าของเว็บไซต์ใน Search Console และไม่มีการเพิ่มเจ้าของรายใหม่ที่น่าสงสัย - ดูรายงานปัญหาด้านความปลอดภัยว่าเว็บไซต์ของคุณอยู่ในรายการที่มีเนื้อหาหลอกลวงหรือไม่ (คำที่ใช้รายงานสำหรับวิศวกรรมสังคม) ไปที่ URL ตัวอย่างที่ได้รับแจ้งซึ่งระบุไว้ในรายงาน โดยให้ใช้ คอมพิวเตอร์ที่ไม่ได้อยู่ในเครือข่ายที่ให้บริการเว็บไซต์ของคุณ (แฮ็กเกอร์ที่ฉลาดจะปิดการโจมตีของ ตนได้ หากคาดว่าผู้เข้าชมนั้นเป็นเจ้าของเว็บไซต์) 2. นำเนื้อหาที่หลอกลวงออก ตรวจสอบว่าไม่มีหน้าใดในเว็บไซต์ที่มีเนื้อหาหลอกลวง หากคุณเชื่อว่า Google Safe Browsing จัดประเภทหน้าเว็บผิดพลาด โปรดรายงาน 3. ตรวจสอบทรัพยากรของบุคคลที่สามที่อยู่ในเว็บไซต์ ตรวจดูว่าโฆษณา รูปภาพ หรือทรัพยากรบุคคลที่สาม อื่น ๆ ที่ฝังอยู่ในหน้าเว็บไซต์ไม่มีลักษณะที่หลอกลวง - โปรดทราบว่าเครือข่ายโฆษณาอาจหมุนเวียนโฆษณาที่แสดงอยู่ในหน้าเว็บไซต์ ดังนั้น คุณอาจต้อง รีเฟรชหน้าเว็บ 2-3 ครั้ง จึงจะเห็นโฆษณาวิศวกรรมสังคมปรากฏขึ้น - โฆษณาบางอย่างอาจแสดงต่างกันบนอุปกรณ์เคลื่อนที่และคอมพิวเตอร์เดสก์ท็อป คุณอาจใช้ เครื่องมือตรวจสอบ URL เพื่อดูเว็บไซต์ทั้งในมุมมองอุปกรณ์เคลื่อนที่และเดสก์ท็อป - ทำตามหลักเกณฑ์สำหรับบริการของบุคคลที่สามสำหรับบริการของบุคคลที่สามทั้งหมดที่คุณใช้ใน เว็บไซต์ เช่น บริการการชำระเงิน 4. ขอรับการตรวจสอบ หลังจากที่นำเนื้อหาวิศวกรรมสังคมทั้งหมดออกจากเว็บไซต์แล้ว คุณสามารถส่งคำขอ ให้เราตรวจสอบความปลอดภัยได้ในรายงาน "ปัญหาด้านความปลอดภัย" การตรวจสอบอาจใช้เวลาหลายวัน
15 สัญญาณบ่งชี้ประเภทการโจมตี(Indicators to determine the type of attack) หนึ่งในภัยคุกคามด้านความปลอดภัยที่พบบ่อยและชัดเจน คือ ซอฟต์แวร์ที่เป็นอันตรายที่ติดตั้งบน คอมพิวเตอร์ คุณอาจได้ยินเกี่ยวกับ Viruses, worms, trojan horse, spyware, adware, rootkits, หรือภัย คุกคามอื่น ๆ อีกมากมายที่อาจเกิดขึ้นในระบบของคุณเรียกรวมกันว่ามัลแวร์ (Malware) พบได้ง่ายและ มีตั้งแต่น่ารำคาญเล็กน้อยไปจนถึงสร้างความเสียหายอย่างมาก แม้จะพยายามต่อสู้กับมันมายาวนานและ เพิ่มมากขึ้นเรื่อย ๆ แต่มัลแวร์ก็ยังคงเป็นหนึ่งในภัยคุกคามที่ยิ่งใหญ่ที่สุดในการรักษาความปลอดภัย คุณจะได้เรียนรู้: • เกี่ยวกับความหลากหลายของมัลแวร์ • มัลแวร์แพร่กระจายอย่างไร • มัลแวร์สร้างความเสียหายต่อระบบที่ติดไวรัสอย่างไร • วิธีที่มัลแวร์หลีกเลี่ยงการตรวจจับ เวกเตอร์มัลแวร์ (Malware vectors) มัลแวร์เป็นอันตรายต่อ Workstation แต่ละเครื่อง แต่ในองค์กรสมัยใหม่มัลแวร์เป็นภัยคุกคามเครือข่ายมาก เท่ากับหนึ่งต่อโฮสต์แต่ละราย ผู้โจมตีที่มีความเชี่ยวชาญจะใช้มัคแวร์เพื่อแพร่เชื้อในระบบที่สามารถเข้าถึงและ มีช่อง โหว่มากที่สุดบนเครือบ่าย เช่น endpoints แล้วใช้เป็นฐานในการแพร่กระจายผ่านเครือข่ายไปยัง เป้าหมายที่ต้องการมากขึ้น คุณมักจะเห็นคำศัพท์ เช่น Viruses, Worms, และ Trojan horse ซึ่งใช้แทนซึ่งกันกกันเพื่ออธิบายมัลแวร์ แต่สิ่งสำคัญ คือ อย่าเกิดการสับสน ในขณะที่ทั้งสามชนิดใช้ช่องโหว่ด้านความปลอดภัยเพื่อทำให้ระบบ ติดไวรัส แต่ละชนิดนั้นใช้ Vectors ที่แตกต่างกัน กำหนดเป้าหมายช่องโหวที่แตกต่างกัน และบ่งบอกถึงปัญหา ที่แตกต่างกัน เหล่านี้ไม่ใช่แค่เวกเตอร์เพียงอย่างเดียวที่ถูกใช้ ทุกวันนี้ยังมีอีกหลายวิธีที่มัลแวร์สามารถ แพร่กระจายได้ ไวรัส (Virus) แนบ Malicious codes ไปยังไฟล์อื่น โดยทั้งสามารถสร้างความเสียหายโดยตรงและแพร่กระจายตัวเอง ไปยังโปรแกรมอื่น ๆ ที่กำลังทำงานอยู่ ไวรัสด้วยตัวมันเองนั้นสามารถแบ่งเป็นประเภทตามสิ่งที่แพร่ระบาด ได้อย่างชัดเจน • ไวรัสโปรแกรม (Program viruses) จะติดในไฟล์ปฏิบัติการและจะเปิดใช้งานเมื่อคุณเรียกใช้ โปรแกรม
16 • Boot sector viruses จะติดอยู่ในบูตเซกเตอร์ของไดรฟ์และจะเปิดใช้งานเมื่อเข้าถึงไดรฟ์ครั้งแรก • ไวรัสมาโครและไวรัสสคริปต์ (Macro viruses and script viruses) จะติดอยู่ในไฟล์ข้อมูลที่ใช้ โดย แอปพลิเคชันที่มีภาษาสคริปต์ในตัวเช่น Microsoft Office จะเปิดใช้งานเมื่อคุณเปิดไฟล์ • Multipartite viruses สามารถแพร่กระจายได้หลายวิธีและติดไฟล์ได้หลายประเภท • ไม่ว่าจะเป็นประเภทใดไวรัสส่วนใหญ่ต้องอาศัยการกระทำของมนุษย์ในการเปิด: มีคนเรียกใช้แอป พลิเคชันเปิดเอกสารหรือแทรกสื่อที่ติดไวรัส นอกเหนือจากอันตรายอื่น ๆ แล้วไวรัสทั่วไปจะจำลอง แบบโดยการติดไฟล์อื่น ๆ เมื่อมันเริ่มทำงาน บ่อยครั้งที่ Active virus จะยังคงอยู่ในหน่วยความจำ แม้ว่าแอปพลิเคชันที่ติดไวรัสที่ติดตั้งไว้จะไม่ทำงานอีกต่อไป เวิร์ม (Worm) จำลองตัวเองโดยใช้ช่องโหว่ของระบบ เวิร์มอาจติดไฟล์แอปพลิเคชัน แต่เมื่อเริ่มทำงานแล้วสามารถ แพร่กระจายผ่านเครือข่ายที่ไม่ได้รับการช่วยเหลือโดยใช้ประโยชน์จากโปรโตคอลหรือบริการที่มีช่องโหว่ ตัวอย่างเช่น ก่อนที่ Service Pack 2 จะออกสำหรับ Windows XP ระบบปฏิบัติการไม่มีไฟร์วอลล์และ บริการที่มีช่องโหว่สูงที่กำหนดเป้าหมายโดยเวิร์มจำนวนมาก เพียงแค่เชื่อมต่อกับอินเทอร์เน็ตอาจทำให้ คอมพิวเตอร์ติดไวรัสได้ในเวลาไม่นาน โดยปราศจากการดำเนินการใด ๆ ของมนุษย์ปัจุบันเวิร์มเหล่านี้ได้ รวมถึงการโจมตีเบราว์เซอร์ที่สามารถทำให้ระบบของคุณติดเชื้อแม้ว่าคุณจะไม่รู้ดาวโหลดไฟล์หรือไฟล์ ปฏิบัติการที่ถูกเรียกใช้ก็ตาม เนื่องจากวิธีการแพร่กระจายของพวกมัน เวิร์มจึงถูกพิจารณาว่าเป็นการโจมตี เครือข่ายเช่นเดียวกับมัลแวร์ โทรจัน (Trojan) การปลอมแปลงเป็นโปรแกรมที่ไม่เป็นอันตรายหรือมีประ โยชน์ เช่น เกมหรือแม้แต่แอปพลิเคชันป้องกัน ไวรัส เช่นเดียวกับ Trojan horse ที่ทำจากไม้ในตำนานกรีก "นำมันเข้าไปข้างใน-takes it inside" และ เรียกใช้โปรแกรม ฟังก์ชันที่เป็นอันตรายจะเข้ายึดครอง บ่อยครั้งที่โปรแกรมดูเหมือนจะทำงานได้ตามที่ โฆษณาภายนอก ในขณะที่ฟังก์ชันที่เป็นอันตรายจะยังคงมองไม่เห็นอย่างน้อยชั่วคราว เช่นเดียวกับการ เป็นมัลแวร์ โทรจันยังเป็นการโจมตีทางวิศวกรรมสังคมโดยอาศัยความไว้วางใจของมนุษย์ในการ แพร่กระจาย โปรแกรมที่อาจไม่ต้องการ (Potentially unwanted program หรือ PUP) ป้ายกำกับอัตนัยที่ใช้โดยแอปพลิเคชันป้องกันไวรัสจำนวนมากสำหรับโปรแกรมที่ไม่ใช่โทรจันอย่าง เคร่งครัด แต่มีคุณสมบัติและความเสี่ยงด้านความปลอดภัยที่ผู้ใช้อาจไม่ต้องการหรือตระหนักถึง พวกมัน มักถูกเรียกว่า grayware โดยทั่วไปแล้ว PUP จะถูกติดตั้งเป็นส่วนเสริมหรือ Wrapper พร้อมกับ
17 แอปพลิเคชันซอฟต์แวร์ฟรีที่ถูกต้องตามกฎหมายซึ่งบางครั้งก็มาจากเว็บไซต์ดาวน์โหลดขอดนิยม พวกมัน มักจะสร้างความเสียหายโดยตรงน้อยกว่าโทรจัน แต่สามารถขโมยข้อมูล ใช้ทรัพยากรระบบ หรือทำให้ เกิดช่องโหว่ด้านความปลอดภัย ดาวน์โหลด Drive-by (Drive-by download) เว็บไซต์บุกรุกหรือเป็นอันตรายซึ่งออกแบบมาเพื่อแพร่กระจายมัลแวร์ไปยังผู้เยี่ยมชม บางส่วนมีสคริปต์ที่ เป็นอันตรายซึ่งใช้ประโยชน์จากช่องโหว่ในเบราว์เซอร์หรือใน plug-in เช่น โปรแกรมอ่าน Flash, Java และ PDF reader โน้มน้าวให้ผู้เยี่ยมชมดาวน์โหลดไฟล์ที่ติดไวรัสแล้วแพร่กระจายเช่นเดียวกันกับไวรัส หรือโทรจัน ไม่ว่าจะด้วยวิธีใดก็ตามการเยี่ยมชมไซต์อาจเพียงพอที่จะทำให้คอมพิวเตอร์ของผู้ใช้ติดไวรัสได้ บางครั้งลิงก์หรือการเปลี่ยนเส้นทางการเข้าถึงที่เป็นอันตรายอาจส่งผู้ใช้ไปยังไซต์โดยไม่รู้ว่าคืออะไรหรือ แม้กระทั่งว่าพวกเขาเคยเข้าชมมาแล้วก็ตาม Watering hole การโจมตีสองขั้นตอนที่ซับซ้อนยิ่งขึ้นซึ่งเกี่ยวข้องกับการดาวน์โหลด Drive-by แต่กำหนดเป้าหมายไปที่ กลุ่มหรือหมวดหมู่เฉพาะของผู้ใช้ ผู้โจมตีจะเริ่มด้วยการบุกรุกเว็บไซต์หรือบริการที่ใช้งานและได้รับความ เชื่อถือจากกลุ่มเป้าหมาย เมื่อผู้ใช้เหล่านั้นมาถึง "Watering hole" พวกเขาจะติดเชื้อจากการโจมตีด้วย drive-by-download Watering hole อาจมีผลอย่างยิ่งกับผู้ใช้ที่ใช้การตั้งคำและพฤติกรรมการรักษาความปลอดภัยที่เข้มงวด กับไซต์ที่ไม่คุ้นเคย แต่ปล่อยให้พวกเขาดูแลป้องกันค้านเทคนิคหรือพฤติกรรมในสถานที่ที่เชื่อถือได้ การโจมตีแบบ watering hole ที่ซับซ้อนซึ่งกำหนดเป้าหมายเป็นสมาชิกขององค์กรใด ๆ ที่เฉพาะเจาะจง เพื่อส่งผลกระทบต่อระบบขององค์กรเป็นเพียงตัวอย่างหนึ่งของการพัฒนาเวกเตอร์ภัยคุกคามของมัลแวร์ เพื่อตอบสนองความปลอดภัยของเครือข่ายที่เพิ่มขึ้น ลอจิกบอมบ์ (Logic bomb) โค้ดที่เป็นอันตรายซึ่งอยู่เฉย ๆ จนกว่าจะตรงตามเงื่อนไขที่กำหนด เช่น Trigger date หรือกิจกรรม ที่เฉพาะเจาะจงบางอย่างของระบบ Logic bomb สามารถแพร่กระจายได้เช่นเดียวกับ ไวรัส เวิร์ม หรือ ม้าโทรจัน แต่เป็นที่นิยมโดยเฉพาะอย่างยิ่งสำหรับผู้โจมตีภายในที่มีสิทธิพิเศษในการเข้าถึง เช่น พนักงาน ที่ไม่พึงพอใจ Logic bomb ที่มีชื่อเสียงที่สุด คือ หนึ่งในสิ่งแรกที่ถูกบันทึกไว้: โปรแกรมเมอร์ของ บริษัท ประกันแห่งหนึ่งใส่รหัสในระบบที่จะถูกกระตุ้นให้ไวรัสทำงานหากเขาถูกไล่ออก สองปีต่อมาเมื่อเขาถูก เลิกจ้างด้วยเหตุผลด้านพฤติกรรม Logic bomb ก็ดับลงและลบบันทึกการจ่ายเงินเดือนหลายพันรายการ ที่เกี่ยวข้องกับ Logic bomb คือ Easter cgg ซึ่งเป็นรหัสที่ซ่อนอยู่ซึ่งอยู่เฉย จนกว่าจะถูกกระตุ้น
18 แต่โดยปกติแล้วจะไม่เป็นพิษเป็นภัยใด ๆ ตัวอย่างเช่น Faster egg ซึ่งอาจตอบสนองด้วยเรื่องตลกขบขัน ต่อข้อมูลที่ไม่น่าจะเป็นไปได้ อุปกรณ์ที่ถอดออกได้ (Removable device) อุปกรณ์ที่ถอดออกได้ถูกใช้เพื่อแพร่กระจายไวรัสตั้งแต่สมัยของ floppy drives ทำให้สามารถติดไวรัสใน off-line hosts ได้ปัจจุบันนี้ส่วนใหญ่หมายถึง USB drive วิศวกร โซเชียลมักทำการโจมตีด้วยวิธี USB key drop โดยทิ้ง flash drive ที่ "สูญหาย" ไว้ที่ไหนสักแห่งและหวังว่าจะมีคนเสียบเข้ากับระบบที่ ปลอดภัย อุปกรณ์ Malicious USB อาจติดไวรัสที่ทำหน้าที่เชื่อมต่อหรือเมื่อผู้ใช้พยายามดูไฟล์ อีกวิธีหนึ่ง คือ การปลอมแปลง Human Interface Device (HID) ซึ่งอุปกรณ์ดังกล่าวมีคอมพิวเตอร์ฝังตัวขนาดเล็กที่ ระบุว่าตัวเองเป็นอุปกรณ์อินพุดเช่นแป้นพิมพ์ USB ส่งสคริปต์เป็นอินพุตแป้นพิมพ์ควบคุมคอมพิวเตอร์ โดยไม่เสี่ยงต่อการตอบสนองของโปรแกรมป้องกันไวรัส การปลอมแปลง HID ไม่ได้จำกัดเฉพาะแฟลชไดรฟ์ เท่านั้น วงจรที่จำเป็นสามารถซ่อนอยู่ภายในสาย USB ธรรมดาที่ใช้เชื่อมต่อกับอุปกรณ์อื่น ๆ ได้เช่นกัน เพย์โหลดมัลแวร์ (Malware payloads) เพย์โหลดของมัลแวร์ใด ๆ จะกำหนดการกระทำที่เป็นอันตรายและผลกระทบที่เกิดขึ้น ผลกระทบ จากมัลแวร์อาจมีตั้งแต่การทำงานช้าลงและสร้างความรำคาญเล็กน้อยไปจนถึงการละเมิดข้อมูลทำให้ ระบบล้มเหลว หรือแม้แต่ความเสียหายทางกายภาพ แม้แต่มัลแวร์ที่ไม่มี payloads เลยก็สามารถทำ อันตรายได้ Worm ที่มีผลตัวแรก เรียกว่า Morris worm ไม่ได้ถูกออกแบบมาเพื่อสร้างความเสียหาย แต่อย่างใด แต่เพื่อวัดขนาดของอินเทอร์เน็ตในช่วงปลายทศวรรษที่ 1980 ปัญหา คือ มันจำลองตัวเอง บ่อยครั้งและใช้ทรัพยากรจำนวนมากจนทำให้เซิร์ฟเวอร์หลายพันเครื่องใช้งานไม่ได้จนกว่าจะได้รับการ ซ่อมแซมและต้องใช้อินเทอร์เน็ตที่ไม่มีการป้องกันในขณะนั้นเพื่อแบ่ง partition และทำความสะอาดทีละชิ้น แบ็คดอร์ (Backdoor) วิธีใด ๆ ที่ซ่อนอยู่ในระบบหรือแอปพลิเคชันที่ข้ามกระบวนการรับรองความถูกต้องมาตรฐาน เดิมที่แบ็คดอร์ หมายถึงวิธีการเข้าถึงที่เป็นความลับที่สร้างขึ้นโดย application programmer เพื่อเหตุผลในการแก้ไข ปัญหาที่เป็นอันตรายหรือที่ถูกต้องตามกฎหมาย ในกรณีของมัลแวร์นั้นหมายถึงเพย์โหลดที่สร้างแบ็คดอร์ ขึ้นเมื่อติดเชื้อในระบบทำให้ผู้โจมตีสามารถใช้ประโยชน์ได้ในภายหลัง แบ็คดอร์สามารถใช้เพื่อรวบรวม ข้อมูลควบคุมคอมพิวเตอร์จากระยะไกล ส่งอีเมลขยะหรือเกือบทุกอย่างที่คอมพิวเตอร์ทำได้ประเภทหนึ่ง ที่ได้รับความนิยมคือโทรจันการเข้าถึงระยะไกล (remote access trojan หรือ RAT) ซึ่งติดตั้งโปรแกรม
19 การเข้าถึงระยะไกลอย่างมองไม่เห็น โดยผู้โจมตีสามารถใช้เพื่อเข้าถึงคอมพิวเตอร์ของคุณในการควบคุม หรือสอดแนมกิจกรรมของคุณได้ในภายหลัง คำสั่งและการควบคุม (Command and control หรือ C2) แบ็คดอร์ในรูปแบบที่ล้ำหน้ากว่าที่ใช้กระบวนการอัตโนมัติเพื่อสร้างและรักษาการควบคุมระยะไกลของ ระบบที่ติดไวรัส โดยทั่วไปมัลแวร์ที่มีฟังก์ชัน C2 จะส่งข้อความ beacon โดยมองหาเซิร์ฟเวอร์ C2 ที่เป็น ของผู้โจมตี เมื่อทำการติดต่อแล้วเครื่องจะรอคำแนะนำเพิ่มเติม เช่น การควบคุมระยะไกลการขุดเจาะ ข้อมูลหรือการโจมตีภายในเครือข่ายท้องถิ่น บอตเน็ต (Botnet) แบ็คดอร์บางชนิดถูกออกแบบมาเพื่อให้คอมพิวเตอร์จำนวนมากถูกควบคุมจากส่วนกลาง โดยปกติแล้ว ผู้สร้างมัลแวร์เพื่อบรรลุเป้าหมายร่วมกัน เครือข่ายที่เกิดขึ้นเรียกว่าบ็อตเน็ตและระบบที่ติดเชื้อแต่ละระบบ เรียกว่า ซอมบี้ (Zombies) ตัวควบคุมของบ็อตเน็ตสามารถสั่งให้ซอมบี้ส่งอีเมล ทำการโจมตีแบบ denial-of-service แบบกระจาย รวบรวมข้อมูล หรือแม้กระทั่งทำงานด้านคอมพิวเตอร์แบบกระจาย เช่น การขุด Bitcoin ทั้งหมดนี้ปราศจากการรับรู้ของเจ้าของระบบที่แท้จริง การโจมตีเครือข่ายขนาดใหญ่ จำนวนมากในปัจจุบันและการดำเนินการกับสแปมดำเนินการ โดยฝูงซอมบี้ที่มีจำนวนเป็นหลักพันหรือ หลายล้านตัว แรนชัมแวร์ (Ransomware) พยายามรีดไถเงินจากเหยื่อเพื่อยกเลิกการทำหรือป้องกันความเสียหายเพิ่มเดิม บางครั้ง Ransomware เองก็ยังปลอมเป็นบริการที่ถูกกฎหมาย เช่น โปรแกรม "Free antivirus" ตัวปลอมโดยอ้างว่าตรวจพบ การติดไวรัส แต่คุณต้องใช้เวอร์ชันที่ต้องชำระเงินเพื่อลบออก อย่างอื่นที่ตรงไปตรงมามากกว่า เช่น มัลแวร์เข้ารหัสลับที่เข้ารหัสไดรฟ์ส่วนตัวหรือใดรฟ์ทั้งหมดที่มี จากนั้นก็เรียกร้องให้ทำการชำระเงิน (บ่อยครั้งมักจะเป็นกับ Bitcoin) เพื่อแลกกับคีย์การถอดรหัส Trojan horse และ Drive by download โดยทั่วไปจะกระจาย ransomware สามารถใช้แนวทางที่สร้างสรรค์ในการเข้าถึงและกำลังได้รับความ นิยมและมีความซับซ้อนเพิ่มมากขึ้น สปายแวร์ / การขโมยข้อมูล (Spyware / Data exfiltration) เกี่ยวข้องกับแบ็ดดอร์ แต่แทนที่จะเป็นการเข้าถึงแบบระยะไกล มันถูกออกแบบมาโดยเฉพาะ เพื่อรวบรวมข้อมูลเกี่ยวกับกิจกรรมของผู้ใช้และคอมพิวเตอร์เพื่อส่งไปยังบุคคลอื่น สปายแวร์สามารถใช้ เพื่อติดตามกิจกรรมของเบราว์เซอร์ เปลี่ยนเส้นทางเครือข่ายการรับส่งข้อมูล ขโมยข้อมูลทางการเงินหรือ บัญชีผู้ใช้หรือดักจับข้อมูลของผู้ใช้ บางครั้งการติดตามคุกกี้ที่ใช้โดยเว็บเบราว์เซอร์ถูกจัดประเภทเป็น
20 สปายแวร์ แม้ว่าจะมีความสามารถที่จำกัดมากกว่าก็ตาม สปายแวร์คลาสสิกชนิดหนึ่ง คือ คีย์ล็อกเกอร์ (keylogger) ซึ่งรวบรวมข้อมูลที่ผู้ใช้ป้อนรวมถึงรหัสผ่านและข้อมูลที่ะเอียดอ่อนอื่น ๆ คีย์ล็อกเกอร์ สมัยใหม่สามารถจับภาพและส่งหน้าจอทั้งหมดได้เช่นกัน และ โปรแกรมที่เกี่ยวข้องสามารถบันทึกอินพุต ของกล้องและไมโครโฟนได้แม้ว่าผู้ใช้จะคิดว่าอุปกรณ์ปิดอยู่ก็ตาม แอดแวร์ (Adware) จัดส่งโฆษณาไปยังระบบที่ติดไวรัส โดยปกติจะอยู่ภายในเบราว์เซอร์หรือหน้าต่างแอปพลิเคชันอื่น ๆ แอดแวร์ มักมีส่วนประกอบของสปายแวร์แม้ว่าจะเป็นเพียงเพื่อติดตามกิจกรรมของผู้ใช้และเลือกโฆษณาที่ตรง เป้าหมายก็ตาม ทั้งสองอย่างเป็น "คุณสมบัติ" ทั่วไปของ PUP โดยเฉพาะ Browser security compromises มัลแวร์มักจะจัดการพฤติกรรมของคอมพิวเตอร์เพื่อหลีกเลี่ยงการตรวจสอบความปลอดภัยมาตรฐานและ เปิดใช้งานการโจมตีอื่น ๆ กับเบราว์เซอร์และ network clients ตัวอย่างเช่น การแก้ไขรายการไฟล์โฮสต์ หรือการตั้งค่าเบราว์เซอร์สามารถใช้สำหรับ DNS ที่เป็นพิษหรือ pharming โดยทั่วไปแล้ว PUP จะติดตั้ง ใบรับรองหลักเพื่อให้สามารถแจกจ่ายโฆษณาหรือรวบรวมข้อมูลได้อย่างมีประสิทธิภาพมากขึ้น การเปลี่ยนแปลงใด ๆ เหล่านี้สามารถเปิดใช้งานการโจมตีอื่น ๆ ได้ มัลแวร์ที่ไม่มีไฟล์ (Fileless malware) มัลแวร์ stealth ที่ไม่ได้บันทึกไฟล์ที่เป็นอันตรายลงในฮาร์ดไดรฟ์ของระบบอย่างถาวร จะหลบเลี่ยง การตรวจจับโดยการสแกนมัลแวร์ตามไฟล์ทั่วไป ตัวอย่างที่เห็นได้ชัด ได้แก่ คริปด์ที่เป็นอันตรายที่โหลดลงใน RAM และการใช้รหัสการประมวลผลแบบไม่เฉพาะเจาะจงหลังจากการ memory exploit โดยปกติ แล้วมัลแวร์ที่ไม่มีไฟล์จะไม่เหลืออยู่หลังจากรีบูตระบบ แต่อาจจะยังมีคุณสมบัติการคงอยู่ที่สามารถทำให้ ระบบติดเชื้ออีกได้ รูทคิท (Rootkit) ได้รับการตั้งชื่อตามเวอร์ชันก่อนหน้าซึ่งอนุญาตให้ผู้ดูแลระบบสามารถเข้าถึงแบบ "Roo" สู่ "Uni" ที่เหมือนระบบปฏิบัติการได้หลังจากนั้นรูทคิทได้พัฒนาคุณสมบัติการซ่อนตัวที่ออกแบบมาเพื่อซ่อนตัว โดยไม่ให้ตรวจพบ รูทคิทสมัยใหม่บุกรุกเข้า bootsystem และฟังก์ชันระบบปฏิบัติการหลักเพื่อ การเข้าถึงระดับสูง โดยซ่อนตัวจากวิธีการตรวจจับส่วนใหญ่ พวกมันยังสามารถแพร่สู่ firmware ของอุปกรณ์ได้ ซึ่งต้องใช้อุปกรณ์พิเศษในการลบหรือทำให้อุปกรณ์ใช้งานไม่ได้อย่างถาวร รูทคิทและ คุณสมบัติที่คล้ายกันยังถูกใช้ในซอฟต์แวร์เชิงพาณิช ถึงแม้ว่าจะไม่มีเจตนาร้ายจากผู้ขาย แต่ก็สามารถ ลดทอนความปลอดภัยด้วยวิธีอื่นได้
21 การลบมัลแวร์ที่มีการป้องกันอย่างดีอาจเป็นเรื่องที่ท้าทาย คุณอาจต้องใช้แอปพลิคชันการสแกนและทำความ สะอาดหลาย ๆ ตัวหรือแม้แต่เครื่องมือกำจัดเฉพาะทางที่ออกแบบมา สำหรับมัลแวร์บางตัว ด้วยการโจมตี แบบต่อเนื่องโดยเฉพาะอย่างยิ่งหรือที่เพิ่งค้นพบใหม่ ทางเลือกเดียวที่อาจจะเป็นไปได้คือการติดตั้งระบบใหม่ ทั้งหมด สคริปต์ที่เป็นอันตราย (Malicious scripts) เป็นเรื่องง่ายที่จะมุ่งเน้นไปที่ไฟล์ปฏิบัติการเมื่อคุณคิดถึงมัลแวร์ แต่สคริปต์ที่เป็นอันตรายนั้นมีประโยชน์ สำหรับการโจมตีหลาย ๆ ครั้ง สคริปต์เหล่านี้สามารถทำการเขียนหรือแก้ไขได้ง่าย และมักจะเสี่ยงการควบคุม ที่ออกแบบมาเพื่อป้องกันไฟล์ปฏิบัติการที่เป็นอันตรายได้ การโจมตีด้วยมัลแวร์แบบไม่ใช้ไฟล์จำนวนมาก เกิดขึ้นเมื่อผู้โจมตีใช้ช่องโหว่ในการอัปโหลดและเรียกใช้สคริปต์บนคอมพิวเตอร์ที่มีช่องโหว่ เนื่องจากเป็นเพียง โปรแกรมที่ดำเนินการภายในสภาพแวดล้อมการเขียนสริปต์แทนที่จะเป็นไฟล์บนดิสก์จึงไม่สามารถตรวจพบได้ สคริปต์ที่เป็นอันตรายสามารถเขียนไว้เพื่อสภาพแวดล้อมการเขียนสคริปต์ต่าง ๆ แต่บางส่วนของสคริปต์ที่ใช้ บ่อยที่สุดในการ โจมตีมีดังต่อไปนี้: PowerShell สคริปต์ที่ออกแบบมาเพื่อทำงานในตัวแปลคำสั่ง PowerShell ของ Microsoft ในรูปแบบไฟล์มักมี นามสกุล .ps1 PowerShell ขึ้นอยู่กับ .NET framework และมีประสิทธิภาพมากกว่า Command Prompt รุ่นเก่า สคริปต์ของ PowerShell บ่อยครั้งจะช้าสำหรับงานการดูแลระบบและงานอัตโนมัติ ที่หลากหลายในระบบของ Windows ดังนั้นมัลแวร์ที่ไม่มีไฟล์ซึ่งใช้งานยากในการจำแนกความแตกต่าง จากกิจกรรมทั่วไป Bash สคริปต์ที่ออกแบบมาให้ทำงานในสภาพแวดล้อมบรรทัดคำสั่งที่เหมือน Unix เช่น bash หรือ csh เรียกอีกอย่างว่า shellcode และบางครั้งไฟล์จะมีนามสกุล .sh พวกมันมีความเสี่ยงคล้ายกันกับสคริปต์ PowerShell โดยที่ผู้โจมตีที่สามารถดำเนินการตามสิทธิ์ที่มีอย่างเหมาะสมสามารถทำงานได้เกือบ ทุกอย่างในระบบ พวกมันมักใช้ในการติดตั้งหรือเรียกใช้ซอฟต์แวร์จากการเลือกของผู้โจมตี Windows รุ่นใหม่ ๆ ที่รวม Windows subsystem ไว้ด้วยสำหรับ Linux (WSL) ก็ยังมีความเปราะบางต่อ bash scripts เช่นกัน Python สคริปต์ที่เขียนด้วยกาษาโปรแกรม Python มักมีนามสกุล .py ตัวแปลภาษา Python มีไว้ให้ใช้ในเกือบ ทุกระบบปฏิบัติการและยังได้รับการติดตั้งโดยค่าเริ่มต้นในการกระจายจำนวนมาก ดังนั้น จึงเป็นช่องทาง
22 ที่ง่ายสำหรับการโจมตีข้ามแพลตฟอร์ม Windows ไม่ได้รวมตัวแปลกภาษา Python ด้วยคำเริ่มต้น แต่โปรแกรม Python สามารถที่จะประมวลให้อยู่ในรูปแบบที่ปฏิบัติการได้สำหรับระบบที่ไม่มีตัวแปร มาโคร (Macros) แอปพลิเคชันจำนวนมากมีภาษาสคริปต์เพื่อทำให้งานประจำเป็นไปโดยอัตโนมัติ ตัวอย่างทั่วไปคือเครื่อง บันทึกมาโครที่สร้างขึ้นในแอปพลิเคชัน Microsoft Office ซึ่งดำเนินการชุดของงานที่บันทึกไว้ล่วงหน้า ตามคำสั่ง สามารถฝั่งมาโครลงในเอกสาร office และสามารถเรียกใช้โดยอัตโนมัติเมื่อเปิดไฟล์ การตั้งค่า ความปลอดภัยของแอปพลิเคชันมักจะป้องกันไม่ให้เรียกใช้มาโครที่ไม่น่าเชื่อถือโดยไม่ได้รับการอนุมัติ จากผู้ใช้ แต่บางครั้งอาจถูกปิดใช้งานหรือสามารถหลีกเลี่ยงได้ Visual Basic for Applications (VBA)/ Visual Basic Script (VBS) สคริปต์ที่เขียนขึ้นสำหรับภาษามาโคร Visual Basic ของ Microsoft หรือชุดย่อยภาษาสคริปต์ที่มีน้ำหนักเบา สคริปต์ VBA ในเอกสาร Office อนุญาตให้ใช้มาโครที่ซับซ้อนและมีประสิทธิภาพมากกว่าการบันทึกโดยใช้ UI และสคริปต์ VBS ยังสามารถดำเนินการผ่าน Windows Scripting Host หรือ IIS Web Server JavaScript สคริปต์ที่เขียนขึ้นเพื่อดำเนินการในเว็บเบราว์เซอร์หรือเซิร์ฟเวอร์ JavaScript ที่เป็นอันตรายจะถูกใช้เป็นหลัก ในการโจมตีฝั่งไคลเอ็นต์ต่อเว็บเบราว์เซอร์และแอปพลิเคชัน ดังนั้นจึงมักฝังอยู่ในลิงก์หรือไฟล์แนบที่ตั้งใจ ให้เปิดในเบราว์เซอร์ เป็นไฟล์แบบ stand alone มีนามสกุล. Js
23
24 สัญญาณบ่งชี้ที่เกี่ยวข้องกับการโจมตีเครือข่าย (Indicators associated with network attacks) การจำแนกการโจมตีเครือข่าย (Classifying network attacks) เนื่องจากการโจมตีเครือข่ายมีความหลากหลายและครอบคลุมภัยคุกคามที่แตกต่างกันจำนวนมาก จึงมีหลายวิธีในการจัดหมวดหมู่ วิธีหนึ่งก็คือการจำแนกตามโดยส่วนหนึ่งของ CIA Triad ที่ตกเป็นเป้าหมาย การโจมตีที่ละเมิดความลับเป็นที่ชื่นชอบของแฮกเกอร์ที่ต้องการเข้าถึงข้อมูลที่ละเอียดอ่อน ความถูกต้อง ถูกกำหนดเป้าหมายโดยผู้ที่ต้องการเปลี่ยนแปลงข้อมูล และความพร้อมใช้งานของผู้ที่ต้องการทำให้การใช้งาน เครือข่ายของผู้อื่นลดลง บางครั้งการโจมตีหรือการโจมตีแบบต่อเนื่องสามารถกำหนดเป้าหมายองค์ประกอบ ของการรักษาความปลอดภัยหลายส่วนพร้อมกันหรือตามลำดับ ตัวอย่างเช่น การหาประโยชน์หลายอย่าง เกี่ยวข้องกับการโจมตีความถูกต้อง หรือช่องโหว่ความพร้อมใช้งาน ซึ่งเป็นเพียงขั้นตอนเดียวในการทำลาย มาตรการรักษาความลับที่เข้มงวด อีกวิธีหนึ่งในการจัดประเภทการโจมตี คือ ตามชั้นของเครือข่ายที่ถูกกำหนดเป้าหมาย การโจมตี บางอย่างกำหนดเป้าหมายไปที่ฮาร์ดแวร์ทางกายภาพ หรือเทคโนโลยีการเชื่อมต่อของเครือข่าย ส่วนโปรโตคอลระดับกลางของอุปกรณ์เครือข่ายอื่น ๆ และยังมีช่องโหว่อื่น ๆ ในแอปพลิเคชันหรือ ระบบปฏิบัติการโฮสต์โดยตรง ประเภทหลังมักถูกจัดประเภทเป็นการโจมตีแอปพลิเคชัน แต่ถึงอย่างนั้น บทบาทของเครือข่ายในการอนุญาต (หรือป้องกัน) การป้องกันการโจมตี ดังกล่าวก็ไม่สามารถละเลยได้ คุณยังสามารถจำแนกการโจมตีตามโปรโตคอลและพฤติกรรมที่กำหนดเป้าหมายได้อีกด้วย โปรโตคอลบางอย่างไม่ปลอดภัยโดยธรรมชาติ ดังนั้นจึงเสี่ยงต่อการถูกโจมตีได้มาก คุณสม บัติอื่น ๆ มีคุณสมบัติด้านความปลอดภัย แต่มีช่องโหว่ที่ผู้โจมตีสามารถใช้ประโยชน์ได้ บ่อยครั้งที่โปรโตคอลที่แตกต่างกัน ซึ่งทำงานในเครือข่ายคล้ายกัน ยังคงมีความคล้ายคลึงกันในการสื่อสารผ่านเครือข่าย ทำให้เสี่ยงต่อการโจมตี ที่คล้ายกันเช่นการดักฟัง การสอดแนมของฝ่ายตรงข้าม (Adversary reconnaissance) ทุกเครือข่ายมีช่องโหว่ที่แตกต่างกันซึ่งกำหนดโดยโฮสต์และโครงสร้างพื้นฐาน ช่องโหว่บนโหนดที่ กำหนดมีรูปร่างตามระบบปฏิบัติการ เวอร์ชันของแอปพลิเคชัน ผู้จำหน่ายฮาร์ดแวร์หรือรุ่น การกำหนดค่า ตำแหน่งในเครือข่าย และการติดมัลแวร์ ผู้โจมตีที่มีประสิทธิภาพและมุ่งมั่นต้องการทราบข้อมูลเกี่ยวกับพวกมัน ให้มากที่สุดก่อนที่จะทำการเคลื่อนไหวอย่างจริงจัง ด้วยวิธีนี้จะง่ายกว่าในการที่จะรู้ว่าจะโจมตีบริการหรือ โปรโตคอลใด ช่องโหว่ส่วนใหญ่ไม่ใช่เรื่องง่ายสำหรับคนนอกหรือผู้ใช้ภายในที่จะมองเห็น ผู้โจมตีที่พยายามเข้าสู่ เครือข่ายเฉพาะอาจเริ่มต้นด้วยการรวบรวม OSINT แบบพาสซีฟ จากนั้นก็จะไปที่การสแกนเครือข่ายและ เครื่องมือแจงนับ การสแกนสามารถทำได้ด้วยแอปพลิเคชันไคลเอนต์ธรรมดาและเครื่องมือ TCP/IP แต่จะมี
25 ประสิทธิภาพมากกว่าโดยใช้โปรแกรมพิเศษ เช่น เครื่องสแกนพอร์ตที่ใช้เพื่อค้นหาพอร์ตที่เปิดอยู่พร้อมกับ บริการที่ใช้งานอยู่ การตอบสนองบนพอร์ต ยังสามารถเปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับบริการเฉพาะ โปรแกรมเฉพาะทางช่วยให้การตรวจสอบมีประสิทธิภาพมากขึ้น ตัวอย่างเช่น แอปพลิเคชันการสแกน พอร์ตจะส่งแพ็กเก็ตไปยังช่วงของหมายเลขพอร์ต ทั้งหมดบนโฮสต์เพื่อค้นหาพอร์ตที่เปิดอยู่พร้อมกับบริการ ที่ใช้งานอยู่ การตอบสนองจะบอกผู้โจมตีว่าพอร์ตใดอยู่ในสถานะ listening และอาจมีข้อมูลเพิ่มเติมเกี่ยวกับ บริการเฉพาะ เครื่องสแกนพอร์ตแบบธรรมดาใช้แพ็กเก็ตทั่วไป TCP (Transmission Control Protocol เป็นโปรโตคอล เครือข่ายที่ถ่ายโอนข้อมูลผ่านอินเทอร์เน็ตจากอุปกรณ์ไปยังเว็บเซิร์ฟเวอร์) หรือ UDP (User Datagram Protocol เป็นโปรโตคอลเครือข่ายที่ใช้ในสถานการณ์ที่ความเร็วสูงขึ้นเป็นสิ่งสำคัญ เช่น ในการสตรีมหรือเล่น เกม) เหมือนการสื่อสารบนเครือข่ายทั่วไปตัวอย่างเช่นการส่งแพ็กเก็ต SYN หรือพยายามทำ TCP 3-way handshakes เต็มรูปแบบ เครื่องมือที่ซับซ้อนมากขึ้นอาจใช้คำขอพิเศษหรือไม่ได้มาตรฐานซึ่งสามารถส่งคืน ข้อมูลเพิ่มเติมได้ เทคนิคเฉพาะบางอย่าง ได้แก่: Xmas attack แพ็กเก็ต TCP พร้อมชุดค่าสถานะทั้งหมดเรียกว่าแพ็กเก็ตต้นคริสต์มาสเนื่องจากมันทั้งหมดจะ “สว่างขึ้น” พร้อมกับตัวเลือกต่าง ๆ ที่ไม่เคยใช้ในการสื่อสารตามปกติ การโจมตีแบบดั้งเดิมของ Xmas ใช้แพ็คเก็ต ที่มีการตั้งค่าสถานะ Urgent, Push และ FIN วิธีการที่เกี่ยวข้องใช้แพ็กเก็ต null โดยไม่มีการตั้งค่า FLag วิธีที่โฮสต์ระยะไกลตอบสนองต่อการสแกน Xmas หรือ null สามารถเปิดเผยข้อมูลเกี่ยวกับการทำงานภายใน และพอร์ตที่เปิดได้ นอกจากนี้การประมวลผลแพ็กเก็ตดังกล่าวอาจใช้เวลาในการประมวลผลเพิ่มขึ้น ทำให้มี ประโยชน์ในการโจมตีแบบปฏิเสธการให้บริการ (DOS) Fuzzing คล้ายกับการโจมตีด้วย Xmas แต่จะแทรกข้อมูลแบบสุ่มหรือไม่ถูกต้องลงในช่องส่วนหัวที่ซับซ้อนมากขึ้น หรืออินพุตข้อมูลของแอปพลิเคชัน ในกรณีที่รุนแรงการโจมตี Fuzzing อาจทำให้แอปพลิเคชันหรือทั้งระบบ ขัดข้องหรืออาจได้รับสิทธิ์ในการเข้าถึง โดยทั่วไปแล้วมันเป็นวิธีการที่ทำให้เรียนรู้ว่า บริการหรือแอปพลิเคชัน ตอบสนองต่ออินพุตที่ไม่ได้มาตรฐานอย่างไรที่ทำให้เกิดการโจมตีในอนาคต
26 Banner grabbing การส่งแพ็กเก็ตประจำไปยังบริการเครือข่ายเช่นการร้องขอการเชื่อมต่อและการดูว่ามีการส่งคืนข้อมูล ใดบ้าง นั่นอาจฟังดูไม่มีพิษมีภัย แต่เนื่องจากบริการจำนวนมากรายงานซอฟต์แวร์และเวอร์ชันโปรโตคอลของตน อย่างเปิดเผยพร้อมกับข้อมูลอื่น ๆ ผู้โจมตีจึงสามารถใช้เพื่อค้นหาแอปพลิเคชัน หรือระบบปฏิบัติการที่มีช่องโหว่ ที่เป็นที่รู้จัก การสแกนส่วนใหญ่ไม่ได้สร้างความเสียหายโดยตรงเว้นแต่ตัวบริการจะมีความละเอียดอ่อนผิดปกติ แต่ก็ยังคงทำให้เกิดโจมตีให้เครือข่ายเสียหาย โดยการเปิดเผยช่องโหว่ที่อาจเกิดขึ้น นอกจากนี้ยังเป็นการโจมตี ที่ใช้งานอยู่โดยธรรมชาติ ในขณะที่ probe บางตัวแยกความแตกต่างจากการรับส่งข้อมูล เครือข่ายที่ไม่เป็น อันตรายได้ยาก แต่คนอื่น ๆ จะมองเห็นได้โดยผู้ดูแลระบบการแจ้งเตือน การปลอมแปลง (Spoofing) การสื่อสารเกือบทุกประเภทจำเป็นต้องระบุไม่เพียงแค่ปลายทางเท่านั้น แต่ยังต้องระบุจุดกำเนิดด้วย ด้วยวิธีนี้ผู้รับจะรู้ว่าควรคาดหวังอะไรและต้องตอบสนองอย่างไรการปลอมแปลงเป็นเทคนิคที่ผู้โจมตี ปลอมแปลงข้อมูลแหล่งที่มาเพื่ออำนวยความสะดวกในการโจมตี โปรโตคอลจำนวนมากไม่มีวิธีตรวจสอบที่อยู่ ต้นทาง ดังนั้นการปลอมแปลงจึงทำได้ค่อนข้างง่ายมีหลายประเภทที่คุณอาจเห็น การปลอมแปลง IP (IP spoofing) เปลี่ยน IP address ต้นทางที่ใช้เพื่อกำหนดเส้นทางแพ็กเก็ตบนเครือข่าย IP มักใช้ เพื่อแอบอ้างเป็นอุปกรณ์อื่นในเครือข่าย การปลอมแปลง MAC (MAC spoofing) เปลี่ยน MAC address ต้นทางที่ใช้ในการระบุอุปกรณ์ทางกายภาพบนเครือข่าย ท้องถิ่น ถูกกำหนดไว้ในฮาร์ดแวร์ แต่สามารถเปลี่ยนแปลงได้ในซอฟต์แวร์ การโคลน MAC (MAC cloning) รูปแบบของการปลอมแปลง MAC ที่ใช้เพื่อแอบอ้างเป็นอุปกรณ์อื่นในเครือข่าย เดียวกัน โดยการคัดลอก MAC address การโคลน MAC สามารถใช้เพื่อเอาชนะ การควบคุมการเข้าถึงเครือข่ายบางรูปแบบ MAC flooding รูปแบบของการปลอมแปลง MAC ที่ใช้เพื่อลดทอนความปลอดภัยของสวิตช์ เครือข่ายโดยการเขียนทับแคชของตาราง MAC ซึ่งแตกต่างจากการโคลน MAC เพราะมันคือการปลอมแปลงที่อยู่ต้นทางต่าง ๆ เพื่อเขียนทับแคชของ สวิตช์ MAC Flooding สามารถใช้เพื่อช่วยในการดักฟังหรือเปลี่ยนเส้นทางการโจมตี
27 การปลอมแปลงอีเมล (E-mail spoofing) แก้ไขที่อยู่ของผู้ส่งในอีเมล ใช้บ่อยในการโจมตีแบบ phishing การปลอมแปลง ID ผู้โทร (Caller ID spoofing) การปลอมแปลงที่มาของการโทรลักษณะทั่วไปในการโจมตีแบบฉกฉวย บางครั้งการปลอมแปลงจะใช้สำหรับวิศวกรรมสังคมเช่นในการโจมตีแบบ phishing และ vishing ซึ่งการมองเห็นที่อยู่ที่ไม่คุ้นเคยจะทำให้เป้าหมายสงสัย นอกจากนี้ยังเป็นเรื่องปกติที่อุปกรณ์รักษาความ ปลอดภัยเครือข่ายจะควบคุมการรับส่งข้อมูลตามแหล่งที่มา การปลอมแปลงสามารถหลีกเลี่ยงมาตรการ บางอย่าง เหล่านี้ได้ • โดยทั่วไปแล้วจุดเชื่อมต่อไร้สายจะได้รับการกำหนดค่าเพื่อให้ MAC address ที่รู้จักและได้รับอนุญาต ให้เชื่อมต่อเท่านั้น การโคลน MAC ทำให้ผู้โจมตีสามารถข้ามมาตรการนี้ได้แม้ว่าการตอบกลับของ WAP จะถูกส่งไปยังที่อยู่ที่ถูกปลอมแปลง แต่ผู้โจมตีก็ยังอ่านได้ • เราเตอร์และไฟร์วอลล์มักอนุญาตหรือปิดกั้นการรับส่งข้อมูลตาม IP address ต้นทาง ผู้โจมตีสามารถ ปลอมแปลงที่อยู่ต้นทางเพื่อข้ามการควบคุมเหล่านี้ ข้อเสียของวิธีนี้คือผู้โจมตีอาจไม่ได้รับการตอบกลับ ที่ส่งไปยัง IP ที่ปลอมแปลง แต่สำหรับการโจมตีบางอย่างนั่นไม่ใช่ปัญหา การปลอมแปลงมักจะเป็นการโจมตีในตัวเองน้อยกว่าการใช้เป็นเครื่องมือเพื่อเปิดใช้งาน หรือทำให้ การโจมตีอื่น ๆ มีประสิทธิภาพมากขึ้น มันยังสามารถใช้เพื่อซ่อนการโจมตีจากการบันทึกหรือการตรวจสอบ รูปแบบการรับส่งข้อมูลที่น่าสงสัยจากแหล่งเดียวอาจดูไม่เป็นอันตรายอย่างยิ่งหาก มีการแพร่กระจายออกไป จากผู้ส่งหลายราย คุณจะพบว่าการปลอมแปลงแบบใดแบบหนึ่งนั้นเกือบจะเป็นองค์ประกอบทั่วไปในการ โจมตีเครือข่าย เนื่องจากการแอบอ้างบุคคลอื่น ก็คือ วิศวกรรมสังคม การเปลี่ยนเส้นทาง (Redirection) ในทางตรงกันข้ามแต่เกี่ยวข้องกับการปลอมแปลงเทคนิคการเปลี่ยนเส้นทาง จะเปลี่ยนเส้นทางการ รับส่งข้อมูลจากผู้ส่งเป้าหมายไปยังตำแหน่งที่ผู้โจมตีเลือก เหตุผลในการเปลี่ยนเส้นทางรวมถึงการส่งทราฟฟิก ไปยังที่ที่ผู้ดักฟังสามารถอ่านได้ บังคับให้เป้าหมายเชื่อมต่อกับไซต์ที่หลอกลวงหรือเป็นอันตราย หรือเปิดเผย ให้พวกเขาถูกโจมตีอื่น ๆ ในเครือข่าย การเปลี่ยนเส้นทางมักเริ่มต้นด้วยการโจมตีแบบหลอก ๆ ที่ใช้เพื่อทำลาย องค์ประกอบทิศทางการรับส่งข้อมูล บนเครือข่าย แต่ก็สามารถอาศัยมัลแวร์หรือวิธีการอื่น ๆ ได้เช่นกัน การโจมตีทั่วไปบางอย่างที่เน้นการเปลี่ยนเส้นทางมีดังต่อไปนี้:
28 ARP poisoning การใช้ข้อความ ARP ที่ปลอมแปลงเพื่อแก้ไขแคช ARP ของโฮสต์เป้าหมายหรือสวิตช์โดยเชื่อมโยงที่อยู่ IP ที่กำหนดกับอุปกรณ์ทางกายภาพที่ผู้โจมตีเลือก ผู้โจมตีสามารถ ARP poisoning เพื่อดักฟังอย่างเงียบ ๆ แก้ไขข้อมูลระหว่างการขนส่ง หรือแม้แต่บล็อกการรับส่งข้อมูล ในเครือข่ายทั้งหมด ARP ใช้งานได้เฉพาะ กับกลุ่มเครือข่ายท้องถิ่น ดังนั้นโดยทั่วไป ARP poisoning สามารถทำได้โดยผู้โจมตีภายในเท่านั้น DNS poisoning การบุกรุกหรือแอบอ้างเป็นเซิร์ฟเวอร์ DNS เพื่อแก้ไขแคช DNS ของโฮสต์เป้าหมายหรือเซิร์ฟเวอร์ DNS โดยปกติจะเชื่อมโยงโฮสต์หรือชื่อโดเมนที่ถูกต้องกับที่อยู่ IP ที่ผู้โจมตีเลือก ตัวอย่างเช่น แคช DNS poisoning อาจเปลี่ยนเส้นทางคำขอของเครื่องมือ ค้นหายอดนิยมไปยังไซต์โฆษณาหรือมัลแวร์ ผู้โจมตีที่บุกรุก โฮสต์สามารถแก้ไขไฟล์โฮสต์ที่ใช้เพื่อลบล้างการสืบค้น DNS มัลแวร์มักใช้รายการโฮสต์ ที่เปลี่ยนแปลง เพื่อเปลี่ยนเส้นทางคำขอเครือข่าย การเปลี่ยนเส้นทาง URL เว็บไซต์สามารถเปลี่ยนเส้นทางเบราว์เซอร์ไปยัง URL อื่นโดยปกติจะใช้สคริปต์ฝั่งเซิร์ฟเวอร์ ไซต์ที่ ถูกต้องมักจะทำเมื่อเพจหรือไซต์สามารถเข้าถึงได้โดยใช้ชื่อหลายชื่อ แต่ต้องการเปลี่ยนเส้นทางผู้ใช้ไปยัง โครงสร้างข้อมูลเริ่มต้น หน้าเว็บที่ถูกบุกรุกหรือไซต์ที่ออกแบบอย่างไม่ปลอดภัยซึ่งจัดการโดยผู้โจมตีสามารถ เปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ที่เป็นอันตรายซึ่งติดตั้งมัลแวร์หรือทำการโจรกรรมข้อมูลส่วนตัว การโจมตีแบบ Phishing มักใช้วิธีนี้ ทำให้ลิงก์ที่ผู้ใช้คลิกดูเหมือนจะไปยังไซต์ที่ถูกต้อง แต่จะเปลี่ยนเส้นทางไปยัง URL ที่ผู้โจมตีควบคุม Pharming การโจมตีด้วย DNS poisoning ซึ่งผู้โจมตีจะเปลี่ยนเส้นทางการรับส่งข้อมูลของเว็บไซต์ที่ถูกต้องไปยัง ผู้ลอกเลียนแบบที่เป็นอันตรายซึ่งมีชื่อที่เป็นการรวมกันของคำว่าว่า “การทาฟาร์ม” และ “Phishing” เช่นเดียวกับ Phishing ผู้โจมตีใช้ไซต์เพื่อเผยแพร่มัลแวร์หรือเก็บเกี่ยวข้อมูลที่ละเอียดอ่อน การโจมตีแบบ Pharming ขนาดใหญ่อาจเป็นไปได้ แต่ยากเกินกว่าที่จะเกิดขึ้นได้ ไฟล์โฮสต์และเซิร์ฟเวอร์ DNS ที่สร้างไว้ใน เราเตอร์ระดับผู้บริโภคมีความเสี่ยงมากกว่า การลักลอบใช้โดเมน ชื่อโดเมนที่เข้าถึงอินเทอร์เน็ตจะต้องลงทะเบียนกับหน่วยงานที่มีอำนาจรับผิดชอบในการจัดเก็บ ข้อมูลของการจดทะเบียนโดเมนการลงทะเบียนโดเมนที่หมดอายุซ้ำอย่างรวดเร็วหรือการบุกรุกบัญชีที่ควบคุมนั้น ผู้โจมตีสามารถเปลี่ยนเส้นทางการเข้าชมที่มีไว้สำหรับไซต์เดิมไปยังไซต์ของผู้ลอกเลียนแบบได้ ผลลัพธ์ที่ได้ ก็เหมือนกับการ pharming แต่ไม่ต้องการ DNS poisoning มันเพียงแค่เปลี่ยนที่อยู่ “ที่ถูกต้อง” ของไซต์ VLAN hopping สวิตช์มักใช้ Virtual LAN (VLAN) เพื่อแบ่งกลุ่มทราฟฟิกทั้งเพื่อประสิทธิภาพและความปลอดภัย โฮสต์บน VLAN ที่แตกต่างกันไม่สามารถสื่อสารกันโดยตรง แม้ว่าจะเชื่อมต่อกับสวิตช์เดียวกันก็ตาม การบุกรุก
29 โปรโตคอลที่ใช้ในการกำหนดและควบคุม VLAN ช่วยให้ผู้โจมตีสามารถเปลี่ยนการรับส่งข้อมูลไปยัง VLAN ที่ไม่ถูกต้องโดยเปิดเผยให้โจมตีได้ การถอดรหัสรหัสผ่าน (Password cracking) เมื่อผู้โจมตีที่ไม่สามารถขโมยรหัสผ่านพวกเขาก็ยังสามารถลองเดาได้ ในกระบวนการที่เรียกว่า การแคร็กรหัสผ่าน อาจเป็นเรื่องง่ายอย่างน่าประหลาดใจ เนื่องจากจำนวนผู้ใช้เลือก 12345 หรือ “ฟุตบอล” คนอื่นใช้รหัสผ่านเดียวกันในทุกระบบ เว็บไซต์ หรือทุกบริการที่ใช้ ดังนั้นการค้นพบหมายความว่า คุณสามารถ เข้าถึงรหัสผ่านทั้งหมดได้ อุปกรณ์และบริการเครือข่ายมักจะมาพร้อมกับรหัสผ่านเริ่มต้นซึ่งผู้ดูแลระบบอาจ ไม่ต้องกังวลกับการเปลี่ยนรหัส การถอดรหัสรหัสผ่านสามารถทำได้เป็นกระบวนการออนไลน์โดยพยายามเข้าสู่ระบบหรือเซิร์ฟเวอร์ ที่ใช้งานอยู่ นอกจากนี้ยังสามารถดำเนินการเป็นกระบวน การออฟไลน์ เช่น เพื่อเปิดฐานข้อมูลที่มีการป้องกัน ด้วยรหัสผ่านหรือไฟล์ฮาร์ดไดรฟ์ การแคร็กออนไลน์สามารถถูกจำกัดได้ด้วยความเร็วของเครือข่าย หรือการ ควบคุมความปลอดภัย ระบบบางระบบจะล็อกผู้ใช้ไม่ให้เข้าใช้งานหรือแจ้งเตือนผู้ดูแลระบบหลังจากความ พยายามที่ล้มเหลวหลายครั้ง แต่ระบบอื่น ๆ จะใช้เฉพาะการหน่วงเวลาซึ่งจะทำให้ช้าลง แต่ไม่สามารถหยุด การโจมตีที่กำหนดได้ระบบอื่น ๆ และสถานการณ์การแคร็กออฟไลน์ทำให้ผู้โจมตีสามารถดำเนินการต่อไปได้ โดยเร็วที่สุดเท่าที่พวกเขาสามารถป้อนรหัสผ่านใหม่ได้ นอกเหนือจากรหัสผ่านของผู้ใช้ แคร็กเกอร์ยังสามารถ โจมตีข้อมูลที่เข้ารหัส ซึ่งสามารถปลดล็อกได้ด้วยคีย์ที่เหมาะสม เทคนิคการถอดรหัสรหัสผ่าน Brute force แครกเกอร์จะพยายามใช้รหัสผ่านทุกรหัสที่เป็นไปได้ตามลำดับอย่างเป็นระบบจนกว่าจะพบรหัสที่ ถูกต้อง เช่น A ถึง Z ในทางทฤษฎี Brute force สามารถถอดรหัสรหัสผ่านใด ๆ ก็ได้ แต่จะช้าลงเมื่อเทียบกับ รหัสผ่านที่ยาว Dictionary attack แครกเกอร์ใช้รายการคำเช่นพจนานุกรมตามตัวอักษรหรือรายการรหัสผ่านทั่วไปที่ดาวน์โหลดจาก อินเทอร์เน็ต Dictionary attack ไม่พบสตริงอักขระแบบสุ่ม แต่ทำงานได้ดีกับรหัสผ่านแบบคำหรือชื่อที่ผู้ใช้ หลายคนเลือกเพื่อความสะดวกในการจดจำ Dictionary attack สามารถป้องกันได้โดยใช้รหัสผ่านที่มีทั้ง ตัวอักษรตัวเลขและสัญลักษณ์ อย่างไรก็ตาม Dictionary attack แบบไฮบริดบางอย่างจะเพิ่มรูปแบบทั่วไป เช่นตัวเลขที่เพิ่มหรือการแทนที่อักขระ Password spraying การโจมตีโดยปกติจะใช้พจนานุกรมซึ่งกำหนดเป้าหมายชื่อผู้ใช้ที่แตกต่างกันจำนวนมากในระบบ เดียวกันในครั้งเดียว การลองใช้รายการรหัสผ่านทั่วไปสั้น ๆ กับหลาย ๆ บัญชีผู้โจมตีสามารถเพิ่มโอกาสในการ ค้นหาผู้ใช้ที่มีรหัสผ่านที่ไม่รัดกุม Password spraying มีประสิทธิภาพโดยเฉพาะอย่างยิ่งกับระบบที่มีฐานผู้ใช้ จำนวนมากและข้อจากัด ในการล็อกโดยเฉพาะอย่างยิ่งเมื่อดำเนินการในอัตราที่ค่อนข้างช้า
30 Credential stuffing Dictionary attack แบบหนึ่งที่ “พจนานุกรม” ประกอบด้วยคู่ชื่อผู้ใช้และรหัสผ่านที่ถูกขโมยจาก ระบบอื่นที่ถูกบุกรุก เช่นเดียวกับ Password spraying ผู้โจมตีจะกำหนดเป้าหมายหลายบัญชีพร้อมกัน Credential stuffing ใช้ประโยชน์จากข้อเท็จจริงที่ว่าหลายคนใช้ชื่อผู้ใช้และ รหัสผ่านเดียวกัน ในหลายระบบ หรือหลายไซต์และเป็นการยากที่จะป้องกันด้วยนโยบายรหัสผ่านเพียงอย่างเดียว แม้ว่าผู้โจมตีสามารถขโมยข้อมูลรหัสผ่านได้ทันทีจากบางอย่าง เช่นไฟล์ฐานข้อมูลผู้ใช้หรือแพ็คเก็ต การตรวจสอบความถูกต้องของเครือข่าย พวกเขาก็ยังอาจต้องถอดรหัสร รหัสผ่านมักจะถูกจัดเก็บหรือส่งใน รูปแบบของแฮชการเข้ารหัสที่สร้างขึ้นจากรหัสผ่านนจริงเท่านั้น เมื่อนำไปใช้อย่างเหมาะสม แฮชจะให้การ พิสูจน์ตัวตนที่ปลอดภัยโดยไม่ต้องเปิดเผยรหัสผ่านเพื่อดูอย่างไรก็ตาม แฮชเองยังสามารถถอดรหัสแบบ ออฟไลน์หรือใช้เป็นส่วนหนึ่งของความพยายามในการถอดรหัสรหัสผ่าน
31 บทที่ 3 สถาปัตยกรรมและการออกแบบ (Architecture and Design)
32
33 การออกแบบการตรวจสอบสิทธิ์และการอนุญาต (Authentication and Authorization Design) หลักการสำคัญประการเดียวในการรักษาความปลอดภัยของข้อมูล หลักจากนั้น การควบคุมการเข้าถึงเพื่อให้ คนที่ได้รับอนุญาตดูหรือแก้ไขข้อมูล ที่ละเอียดอ่อนเท่านนั้น ในทางกลับกันหากมีหลักการอย่างหนึ่งที่ทำให้ การควบคุมการเข้าถึงเป็นไปได้นั่นคือ การพิสูจน์ตัวตนซึ่งก็คือการตรวจสอบว่าคน ที่อ้างว่าเป็น “คนที่ใช่” กำลังพูดความจริง คุณจะได้เรียนรู้เกี่ยวกับ • กระบวนการ AAA (AAA process) • ปัจจัยการพิสูจน์ตัวตนและข้อมูลประจำตัว (Authentication factors and credentials) • การลงชื่อเพียงครั้งเดียว (Single sign-on) กระบวนการ AAA (AAA process) การเข้ารหัสที่ยอดเยี่ยม คือ การทำให้แน่ในว่าการสื่อสารของคุณจะไม่ถูกดักฟังระหว่างการส่งข้อมูล แต่แค่นี้ เพียงอย่างเดียวก็ยังไม่สามารถทำให้แน่ใจได้ว่า คุณกำลังคุยกับคนที่ใช่ตั้งแต่แรก ซึ่งอาจเป็นเรื่องยาก พอสมควรอย่างที่พวกเขาพูดกันว่า “ในอินเทอร์เน็ตไม่มีใครรู้ว่าใครเป็นใคร คุณอาจเป็นสุนัขหรือไม่” (จากคำ บรรยายภาพการ์ตูน ของปีเตอร์ สไตเนอร์ “on the internet, no one knows if you’re a dog” ตีพิมพ์ใน เดอะนิวยอร์กเกอร์ เมื่อวันที่ 5 กรกฎาคม 2536) ดังนั้นถ้ามีใครเดินผ่านหลังคุณไป คุณต้องลดความเสียงหายที่ อาจเกิดขึ้นให้น้อยที่สุด นี่คือเหตุผลที่การตั้งค่าการสื่อสารที่ปลอดภัยต้องใช้ กระบวนการสามขั้นตอนอย่าง เข้มงวด ซึ่งโปรโตคอลบางอย่างที่เรียกว่า AAA นี้มีความสำคัญสำหรับระบบล็อกออนภายใน หรือสถานการณ์ อื่น ๆ ที่มีการรักษาความปลอดภัยในการเข้าถึง กระบวนการเริ่มต้นเมื่อบุคคล ระบบ หรือหน่วยงานอื่น ต้องการเริ่มต้นการสื่อสารหรือเข้าถึงทรัพยากร บุคคล ระบบหรือหน่วยงาน เหล่านี้มักเรียกว่า security principal หรือเรียกง่าย ๆ ว่าผู้ใช้ Authentication การพิสูจน์ตัวตนด้วยหลักการระบุตัวตน เช่น ชื่อผู้ใช้/รหัสผ่าน หรือบัตรประจำตัว ประชาชน Authorization การระบุทรัพยากรที่แน่นอนที่ผู้ใช้ที่ได้รับการพิสูจน์ตัวตนได้รับอนุญาตให้เข้าถึง Accounting การบันทึกบัญชี ติดตามการดำเนินการของผู้ใช้ที่ได้รับการยืนยันตัวตนเพื่อการตรวจสอบ ในภายหลัง *** หมายเหตุ: การระบุตัวตนในตัวเองเป็นเพียงการอ้างสิทธิ์ในตัวตนที่สร้างขึ้นโดยหลัก เช่น ชื่อผู้ใช้เป็น ขั้นตอนสำคัญก่อนการตรวจสอบสิทธิ์ แต่ไม่ได้พิสูจน์อะไรด้วยตัวเอง
34 สำหรับตัวอย่าง กระบวนการ AAA ในสถานการณ์จริง ลองจินตนาการว่าคุณกำลังดูแลจุดตรวจความ ปลอดภัยที่จะไปยังพื้นที่หวงห้าม มีคนเข้ามา และพูดว่า “ฉันชื่อจิมมาจากฝ่ายขาย” (identification) ดังนั้น คุณจึงตรวจสอบบัตรประจำตัวของเขาเพื่อให้แน่ใจว่าเป็นของจริง (authentication) และตอนนี้คุณก็รู้แล้วว่า เป็นเขา จากนั้นคุณดูรายการเข้าถึงเพื่อให้แน่ใจว่าเขาได้รับอนุญาตในพื้นที่นั้น (authorization) และสุดท้ายให้ เขาลงนามในบันทึกการเข้า (accounting) ในกรณีนี้ คุณสามารถดูการระบุตัวตนของเขาบนบัตรได้ด้วย นั่นคือ สาเหตุที่บางครั้งการระบุตัวตนนำไปสู่การรับรองความถูกต้อง ในสามอย่างนั้นการลงบันทึกบัญชีผู้ใช้ (accounting) มีความสำคัญน้อยที่สุดสำหรับระบบที่ปลอดภัย อย่างไรก็ตาม มันก็ยังคงสำคัญอยู่ เมื่อมีการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย หรือใช้เพื่อติดตาม การใช้ทรัพยากรเพื่อประสิทธิภาพหรือวัตถุประสงค์ทางธุรกิจอื่น ๆ การกำหนดสิทธิ์ (authorization) มีความสำคัญโดยเฉพาะอย่างยิ่งต่อการโจมตีจากบุคคลภายใน หรือข้อมูลประจำตัวที่ถูกขโมย แต่ก็เป็นเรื่อง ตรงไปตรงมาตามแบบแนวคิด ตราบเท่าที่การเข้าถึงใด ๆ เชื่อมโยงกับผู้ใช้เฉพาะบุคคล ซึ่งผู้ใช้นั้นได้รับการ กำหนดสิทธิ์โดยเฉพาะ ส่วนที่ซับซ้อนที่สุดในเครือข่าย คือ การพิสูจน์ตัวตนผู้ใช้ตั้งแต่แรก และยังเป็นส่วนที่ ผู้ใช้มองเห็นได้บ่อยที่สุด ดังนั้น ในขณะที่ระบบควบคุมการเข้าถึงจะใช้การกำหนดสิทธิ์และการลงบันทึกบัญชีผู้ใช้ แต่การพิสูจน์ตัวตน จะให้คำอธิบายมากที่สุด เป็นเรื่องง่ายที่จะนึกถึงการยืนยันตัวตนในรูปแบบไคลเอนต์เซิร์ฟเวอร์อย่างเคร่งครัด โดยที่ทรัพยากร ที่โฮสต์เซิร์ฟเวอร์จะขอข้อมูลรับรองและไคลเอ็นต์จะส่งไปให้ การยืนยันตัวตนแบบสองทางซึ่งแต่ละฝ่ายจะ ตรวจสอบอีกฝ่ายก็เป็นเรื่องปกติเช่นกัน แม้แต่ในรูปแบบเซิร์ฟเวอร์ไคลเอนต์ที่เข้มงวด ลองนึกภาพของ ธนาคารออนไลน์ สำหรับคุณในฐานะผู้ใช้สิ่งสำคัญคือต้องรู้ว่าเว็บไซต์นี้เป็นเว็บไซต์ของธนาคารของคุณ และ คุณจะไม่ตกเป็นเป้าหมายของการโจมตีแบบ Phishing หรือ On-path การกำหนดสิทธิ์และการลงบันทึกบัญชีผู้ใช้เช่นกัน หากบริการเครือข่ายสามารถเข้าถึงไฟล์หรือบริการ บนคอมพิวเตอร์ของคุณ คุณอาจต้องการจำกัดการเข้าถึงหรือติดตามสิ่งที่เกิดขึ้นให้ชัดเจน ปัจจัยและคุณลักษณะ (Factors and attributes) การพิสูจน์ตัวตนที่ง่ายที่สุด คือ การพิสูจน์ตัวตนปัจจัยเดียว เพราะมันต้องการเพียงองค์ประกอบเดียว ที่จะต้องระบุตัวตน องค์ประกอบของการพิสูจน์นั้นอยู่ในรายการเดียวหรือปัจจัยเดียว โดยทั่วไปมีปัจจัยการ ยืนยันตัวตนสามประการ Knowledge สิ่งที่คุณรู้ เช่น รหัสผ่าน PIN หรือคำตอบสำหรับคำถามที่ท้าทาย Possession สิ่งที่คุณมี เช่น physical key ป้ายประจำตัว หรือสมาร์ทการ์ด โดยทั่วไปสิ่งนี้รวมถึงข้อมูล ดิจิทัลในรูปแบบใด ๆที่มนุษย์คาดไม่ถึงว่าจะจดจำได้
35 Inherence สิ่งที่คุณเป็นลักษณะทางกายภาพหรือพฤติกรรมที่ไม่เหมือนใคร เช่น ลายนิ้วมือ การจดจำ เสียง หรือลายเซ็น ที่เรียกว่า ไบโอเมตริกซึ่งเป็นองค์ประกอบที่สืบทอดตามลักษณะทาง กายภาพส่วนบุคคล แม้ว่าทั้งสามสิ่งนี้จะเป็นที่ได้รู้จักในการพูดถึงเกี่ยวกับการพิสูจน์ตัวตนส่วนใหญ่ แต่เทคโนโลยีที่เปลี่ยนแปลง ได้เพิ่มปัจจัยอื่น ๆ ลงในรายการ อาจเรียกปัจจัยเพิ่มเติมว่าคุณลักษณะ โดยปกติแล้วจะไม่ใช้เป็นปัจจัยหลัก ในการพิสูจน์ตัวตน แต่ใช้เพื่อเสริมสร้างกระบวนการอื่นในการพิสูจน์ตัวตนและการให้สิทธิ์ ตำแหน่งที่อยู่ (Somewhere you are) การรับรู้ตำแหน่งทางกายภาพของผู้ใช้เครือข่าย ตัวอย่างเช่น เว็บไซต์อาจอนุญาต ให้เฉพาะผู้เยี่ยมชมที่มีการกำหนด IP address ให้กับประเทศใดประเทศหนึ่งตั้งแต่ แรกแรก หรือแอบบนอุปกรณ์เคลื่อนที่อาจใช้ฟังก์ชัน GPS ของอุปกรณ์เพื่อให้การ เข้าถึงตามที่ผู้ใช้อยู่ สิ่งที่คุณสามารถทำ (Something you can do) การจดจำพฤติกรรม เช่น การวิเคราะห์รูปแบบการกดแป้นพิมพ์ของผู้อื่น เพื่อจดจำ รูปแบบการพิมพ์หมวดหมู่ที่จะรวมถึงลายเซ็นด้วยซึ่งโดยปกติแล้วเป็นปัจจัย ลักษณะทางกายภาพส่วนบุคคล สิงที่คุณแสดงออก (Something you exhibit) พฤติกรรที่มีลักษณะเป็นธรรมชาติมากขึ้น เช่น ลักษณะบุคลิกภาพ หรือแม้แต่ กิจกรรมทางระบบประสาทที่ตรวจพบได้ ซึ่งมันมีแนวโน้มที่จะเกี่ยวข้องกับการ กระทำทางกายภาพน้อยกว่าการจดจำพฤติกรรม และเปลี่ยนแปลงได้มากกว่า ไบโอเมตริก คนที่คุณรู้จัก (Someone you know) การเชื่อมต่อกับบุคคลอื่นที่ได้รับความไว้วางใจผ่านความสัมพันธ์ส่วนตัว หรือ ระบบตรวจสอบความน่าเชื่อถือ องค์ประกอบการพิสูจน์ตัวตนบางอย่าง สามารถจำแนกได้มากกว่าหนึ่งวิธี ขึ้นอยู่กับว่าคุณกำหนดของเขตระหว่าง หมวดหมู่อย่างไร เช่น ลายเซ็นหรือการวิเคราะห์ การเดินเป็นพฤติกรรมหรือไบโอเมตริกซ์ นอกจากนี้ยังไม่ใช่ ประเภทของปัจจัยที่คุณคิดเมื่อมองแวบแรกเสมอไป สลิปกระดาษที่มีรหัสผ่านเขียนไว้ไม่ใช่ปัจจัยใน การครอบครอง (Possession) เนื่องจากคาดว่าคุณจะจำรหัสผ่านและทิ้งกระดาษนั้นไป ระบบพิสูจน์ตัวตนที่แท้จริง ต้องการให้คุณพิมพ์ข้อมูลเท่านั้น ลองดูตัวอย่างการตั้งข้อสังเกตและการให้เหตุผลอื่น ๆ ด้านล่างดังนี้ • การเอนตัวเข้าไปในเครื่องสแกนการจดจำใบหน้าเป็นลักษณะทางกายภาพ (inherence) ใบหน้าของคุณ เป็นส่วนหนึ่งของตัวตนของคุณ บัตรประจำตัวที่มีรูปถ่ายของคุณยังคงเป็นเพียงการครอบครองแม้ว่า เจ้าหน้าที่จะสามารถยืนยันรูปถ่ายนั้นกับใบหน้าของคุณได้ • PIN แบบใช้ครั้งเดี่ยวที่ส่งข้อความไปยังหมายเลขโทรศัพท์ของคุณทุกครั้งที่คุณเข้าสู่ระบบไม่ใช่ องค์ประกอบความรู้ (knowledge) แม้ว่าดูเผิน ๆ จะดูความรู้อย่างหนึ่งก็ตาม เป็นการทดสอบการ ครอบครองเพื่อพิสูจน์ว่าเป็นคนที่ถือโทรศัพท์ของคุณ
36 โดยเฉพาะอย่างยิ่ง การพิสูจน์ตัวตนบนเครือข่ายเป็นกระบวนการต่อเนื่อง การโจมตีด้วยการ hijacking attacks หมายความว่าจำเป็นอย่างยิ่งที่จะต้อง ตรวจสอบว่าแต่ละแพ็กเก็ตเป็นส่วนหนึ่งของการสนทนาเดียวกันที่กำลัง ดำเนินอยู่ ในระดับหนึ่งการตั้งค่าการเข้ารหัสที่รัดกุมเพียงพอในระหว่างการ พิสูจน์ตัวตนครั้งแรกจะจัดการ สิ่งนี้ได้ ถึงกระนั้นระบบและโปรโตคอลบางอย่างจะต้องมีการยืนยันตัวตนซ้ำเป็นระยะหรือใช้มาตรการอื่น ๆ เพื่อให้แน่ใจว่ายังมีผู้ใช้รายเดิมอยู่ โดยปกติผู้ใช้จะมองไม่เห็นแต่มีข้อยกเว้นตัวอย่างหนึ่ง คือ ตู้เอทีเอ็มที่ ต้องการให้ผู้ใช้ป้อน PIN อีกครั้งหลักจากทำธุรกรรมแต่ละครั้ง หรือเว็บไซต์ให้ผู้ใช้ออกจากระบบโดยอัตโนมัติ หลังจากไม่มีการใช้งานเป็นเวลาสิบนาที การพิสูจน์ตัวตนแบบหลายปัจจัย (Multifactor authentication) การพิสูจน์ตัวตนปัจจัยเดียวทำได้ง่ายและสะดวกซึ่งเป็นเหตุผลว่าทำไมจึงมีการใช้กันอย่างแพร่หลาย ปัญหา คือ ปัจจัยการพิสูจน์ตัวตนแบบนี้ไม่สมบูรณ์ ปัจจัยด้านความรู้ เช่น รหัสผ่านสามารถแชร์หรือคาดเดา ได้ง่าย ปัจจัยการครอบครองอาจถูกขโมยหรือทำซ้ำได้ แม้กระทั่งปัจจัยลักษณะทางกายภาพก็สามารถ ปลอมแปลงได้ เครื่องสแกนลายนิ้วมืออาจถูกหลอกได้โดยใช้รอยเปื้อนของลายนิ้วมือที่มีอยู่และกาวเล็กน้อย การวิจัยพบว่าการพิสูจน์ตัวจนแบบหลายปัจจัยด้วยสองหรือสามปัจจัยนั้นรัดกุมกว่ามาก ตัวอย่างเช่น บัตร ATM และ รหัสมีความปลอดภัยมากกว่า เมื่อแยกจากกัน การที่จะรู้หมายเลข PIN พร้อมกับการได้บัตรมานั้นยากมาก เมื่อทั้งสองอย่างถูกแยกจากกัน การพิสูจน์ตัวตนแบบหลายปัจจัยทำได้ง่ายในสถานการณ์แบบตัวต่อตัว แต่จะ มีปัญหามากกว่าในการประมวลผล เพราะในที่สุดปัจจัยทั้งหมดจะต้องแสดงเป็นข้อมูลดิจิทัลและมักจะต้อง แชร์ไปในระยะไกล ตู้เอทีเอ็มมีเครื่องอ่านพิเศษเพื่อจดจำบัตรของคุณ แต่เมื่อคุณลงชื่อเข้าใช้เว็บไซต์ของ ธนาคาร คอมพิวเตอร์ของคุณอาจจะไม่สามารถจำคุณได้ นั่นคือเหตุผลที่การพิสูจน์ตัวตนของเครือข่ายมักใช้ การตรวจสอบสิทธิ์ปัจจัยเดียวโดยใช้รหัสผ่านหรือปัจจัยความรู้อื่น ๆ แต่นั่นก็ยังไม่เพียงพอและนักออกแบบ จึงต้องหาความคิดสร้างสรรค์ใหม่ ๆ มากขึ้น การยืนยันตัวตนแบบสองปัจจัยเป็นที่นิยมสำหรับแอปพลิเคชันที่มีความปลอดภัยสูงสมัยใหม่ บางครั้ง มีการใช้ปัจจัยลักษณะทางกายภาพ เช่น เครื่องสแกนลายนิ้วมือ หรือไบโอเมตริกอื่น ๆ แต่โดยปกติแล้วจะมี ปัจจัยการครอบครองบางประเภท เช่น การเข้าสู่บริการออนไลน์และระบบจะขอการยืนยันผ่าน PIN แยกต่างหากที่ ส่งไปยังหมายเลขโทรศัพท์หรือที่อยู่อีเมลของคุณ ซึ่งบางระบบอาจต้องมีการพิสูจน์ตัวตนแบบสามปัจจัยด้วยซ้ำ
37 ประเด็นสำคัญอย่างหนึ่งที่ต้องชัดเจน คือ การต้องใช้หลายองค์ประกอบไม่ได้ทำให้มีหลายปัจจัยใน กระบวนการพิสูจน์ตัวตน องค์ประกอบยังต้องแสดงถึงปัจจัยประเภทที่แตกต่างกัน ตัวอย่างเช่น คุณอาจมี เว็บไซต์ถามคุณทั้งรหัสผ่านและคำตอบสำหรับคำถามเพื่อความปลอดภัย หรือต้องป้อนทั้งหมายเลขบัตร เครดิตและ “รหัสลับ” ที่พิมพ์อยู่ด้านหลัง แม้แต่ประตูทางกายภาพก็อาจต้องใช้กุญแจสองอันแยกกัน คือ กุญแจล็อคที่ลูกบิดอันหนึ่งและอีกอันสำหรับสลักกลอนประตู ทั้งสามตัวอย่างเหล่านี้มีประโยชน์ด้านความ ปลอดภัย เนื่องจากคนที่ขโมยองค์ประกอบหนึ่งไปไม่จำเป็นต้องมีอีกองค์ประกอบหนึ่ง ในขณะเดียวกันก็ไม่ใช่ การรับรองความถูกต้องด้วยสองปัจจัยที่แท้จริงและไม่รัดกุมเท่าที่ควร เพราะการจะปลอมตัวตนสองครั้งในวิธี เดียวกันทำให้ง่ายกว่าการทำสองวิธีที่แตกต่างกัน ตัวอย่างที่แท้จริงของการพิสูจน์ตัวตนด้วยสองปัจจัย ได้แก่ • บัตร ATM และ PIN • โทเค็นและรหัสผ่านทางกายภาพ • รหัสผ่านและสแกนลายนิ้วมือ • Physical key และรหัสผ่านการเตือนภัย ข้อมูลประจำตัวดิจิทัล (Digital credentials) คุณอาจคุ้นเคยกับข้อมูลประจำตัวหลายประเภทและไม่ต้องการคำอธิบายมากนัก กุญแจ บัตรประชาชน และ รหัสผ่านเป็นหนึ่งของชีวิตประจำวันของคุณ อย่างไม่ต้องสงสัย แม้ว่าคุณจะไม่เคยเห็นเครื่องสแกนลายนิ้วมือ หรือเครื่องสแกนม่านตานอกจากในภาพยนตร์สายลับ แต่อุปกรณ์ในโกแห่งความเป็นจริงก็ปฏิบัติ ตามหลักการ เดียวกัน ซึ่งบางคนอาจจะต้องการคำอธิบายเพิ่มเติมเล็กน้อย สิ่งแรกที่ควรทราบ คือ เมื่อคุณยืนยันตัวตนกับคอมพิวเตอร์หรืออุปกรณ์อิเล็กทรอนิกส์อื่น ๆ ปัจจัยการพิสูจน์ ตัวตนใด ๆ จะต้องถูกแปลงเป็นดิจิทัล แม้ว่ามันจะอ่านข้อมูลไบโอเมตริกซ์ เช่น ลายนิ้วมือ แต่รูปแบบ
38 ลายนิ้วมือของคุณจะกลายเป็นแผนที่ดิจิทัลที่สามารถเปรียบเทียบกับแผนที่ที่จัดเก็บไว้ในอุปกรณ์ได้ ภายใน ระบบปัจจัยการพิสูจน์ตัวตนทั้งหมดคือข้อมูลหรือความรู้ซึ่งอาจถูกขโมยหรือทำซ้ำได้ ในระบบที่มีการรักษา ความปลอดภัยที่ดี ข้อมูลที่จัดเก็บไว้ในอุปกรณ์ และโดยเฉพาะอย่างยิ่งการส่งผ่านเครือข่ายจะต้องมีการรักษา ความปลอดภัย อาจถูกเข้ารหัสหรือแม้กระทั่งกลายเป็นแฮชการเข้ารหัสซึ่งสามารถตรวจสอบได้ แต่ไม่สามารถ สร้างข้อมูลดั้งเดิมขึ้นมาได้ ด้วยเหตุผลที่คล้ายกัน การป้อนข้อมูลประจำตัวลงในระบบเป็นเรื่องง่ายที่สุดเมื่อเป็นข้อมูลดิจิทัลตั้งแต่แรก คุณจะต้องทำอย่างไรหากเว็บไซต์ของอพาร์ตเม้นต์ คอมเพล็กซ์ขอให้คุณใช้กุญแจประตูเพื่อเข้าสู่ระบบ เมื่อพิจารณาในทางปฏิบัติจริง ๆ บัตรประจำตัวที่ทันสมัย ซึ่งมีข้อมูลเป็นลายลักษณ์อักษร ภาพถ่าย โฮโลแกรม และสิ่งอื่น ๆ จะช่วยให้เจ้าหน้าที่รักษาความปลอดภัยตรวจจับของปลอมได้ การทำเครื่องสแกนบัตรทำให้เห็น ว่าเจ้าหน้าที่รักษาความปลอดภัยทำงานแตกต่างกันมาก จึงจัดเก็บข้อมูลประจำตัวดิจิทัลที่แตกต่างกัน โดยเฉพาะอย่างยิ่งเมื่องเป็นเรื่องของปัจจัยในการครอบครองมีหลายองค์ประกอบ หรือการนำไปใช้ใน การ พิสูจน์ตัวตนแบบดิจิทัลที่คุณควรทำความคุ้นเคย รหัสคงที่ (Static code) PIN รหัสผ่าน คีย์ หรือ ค่าข้อมูลอื่น ๆ ที่ไม่เปลี่ยนแปลง รหัสผ่านเหล่านี้ไม่ได้มีความปลอดภัยมากหรือ น้อยไปกว่ารหัสผ่านที่มีความซับซ้อนเท่ากัน และจะนับเป็น 2FA (Two factors Authentication) เมื่อใช้กับ ปัจจัยการครอบครองหรือลักษณะทางกายภาพ แต่ก็ยังสามารถมีค่าความปลอดภัยได้ ตัวอย่างเช่น การยืนยันตัวตนของ Windows Hello อนุญาตให้ใช้ PIN เฉพาะอุปกรณ์และรหัสผ่านที่ใช้กับระบบทั้งหมด โดยใช้บัญชี Microsoft เดียวกัน วลีรหัสผ่าน (passphrase) รหัสผ่านประเภทหนึ่งที่ใช้ลำดับข้อความเพิ่มเติมโดยปกติจะเป็นชุดคำที่มีหรือไม่มีช่องว่าง เนื่องจาก โดยทั่วไปแล้วรหัสผ่านจะใช้คำจากพจนานุกรม จึงง่ายต่อการคาดเดามากว่ารหัสผ่านทั่วไปที่มีความยาว เท่ากัน อย่างไรก็ตาม มันค่อนข้างง่ายในการออกแบบข้อความวลีรหัสผ่านที่ยาวกว่ามากซึ่งผู้ใช้ยังจำได้ ใบรับรองอิเล็กทรอนิกส์ (Digital certificate) ไฟล์ที่สร้างและลงนามโดยใช้อัลกอริทึมการเข้ารหัส ซึ่งแสดงให้เห็นว่า เอกสารหลักที่นำเสนอใบรับรอง สาธารณะมีคีย์ส่วนตัวด้วย ระบบพิสูจน์ตัวตนสามารถจัดเก็บใบรับรองที่เชื่อถือได้ หรือนำเสนอใบรับรอง ที่ไม่คุ้นเคยให้กับบุคคลที่สามที่เชื่อถือได้ เช่น ผู้ออกใบรับรองเพื่อยืนยันตัวตอนของข้าวของ รหัสผ่านครั้งเดี่ยว (One-time password หรือ OTP) PIN หรือรหัสผ่านแบบใช้ครั้งเดียวใช้ได้กับเซสชันเดียว ดังนั้น จึงไม่สามารถขโมยและนำกลับมาใช้ใหม่ได้ OTP ยังคงต้องเป็นที่รู้จักทั้งผู้สใช้และผู้รับรอง ความถูกต้อง ดังนั้น จึงเป็นเรื่องยากที่จะสร้างอย่างถูกต้อง OTP สามารถสร้างขึ้นได้อย่างอิสระจากทั้งสองฝ่ายโดยใช้อัลกอริทึมตามลำดับหรือตามเวลา นอกจากนี้ยัง
39 สามารถสร้างขึ้นโดยตัวตรวจสอบความถูกต้องและส่งไปยังผู้ใช้นอกพื้นที่ เช่น ส่งไปตามที่อยู่อีกเมลหรือ หมายเลขโทรศัพท์ รหัสโทเค็น (Token key) คือ อุปกรณ์ฮาร์ดแวร์ใด ๆ ที่ใช้เพื่อการช่วยในการยืนยันตัวตนโดยมีข้อมูลลับ โทเค็นฮาร์ดแวร์อาจมี LCD เพื่อสร้าง OTP ที่คุณสามารถพิมพ์ได้ หรืออาจเป็นใบรับรองอิเล็กทรอนิกส์ที่จัดเก็บอย่างปลอดภัยบนคีย์ USB หรือการ์ดที่สแกนได้ ด้วยการเขียนโปรแกรมที่เหมาะสมสมาร์ทโฟนหรืออุปกรณ์เคลื่อนที่อื่น ๆ ก็สามารถเป็นโทเค็นความปลอดภัยได้ แอปพลิเคชันการพิสูจน์ตัวตน (Authentication application) แอปพลิเคชันซอฟต์แวร์ที่อนุญาตให้สมาร์โฟนหรือคอมพิวเตอร์เครื่องอื่นทำหน้าที่เป็นโทเค็นฮาร์ดแวร์ ตัวเลือกยอดนิยมมีให้บริการจาก Google, Microsoft, LasPass, Authy และ Salesforce บางครั้งคุณอาจเห็น สิ่งเหล่านี้เรียกว่า “โทเค็นซอฟต์แวร์” แต่คำนี้ก็สามารถใช้กับข้อมูลที่แลกเปลี่ยนในระบบยืนยันตัวตนบน เครือข่ายได้เช่นกัน สมาร์ทการ์ด (Smart card) บัตรยืนยันตัวตนแบบดิจิทัลที่มีวงจรรวมในตัว ยอ่างน้อยที่สุดชิปของสมาร์ทการ์ดจะมีจ้อมูลระบุตัวตน เดียวกันกับแถบแม่เหล็กแต่ปลอดภัยกว่ามาก นอกจากนี้ยังสามารถเก็บใบรับรองอิเล็กทรอนิกส์ จัดเก็บ ชั่วคราว หรือแม้แต่ทำหน้าที่ประมวลผลการเข้ารหัสเพื่อรักษาข้อมูลที่ปลอดภัย โดยทั่วไปสมาร์ทการ์ดจะ ไม่มีแบตเตอรี่ แต่รับพลังงานจากเครื่องอ่านแทน • สมาร์ทการ์ดแบบสัมผัสทำการสัมผัสทางกายภาพกับเครื่องอ่านบัตรเพื่อรับพลังงานและส่งข้อมูล • สมาร์ทการ์ดแบบไม่สัมผัสใช้พลังงานจากการเหนี่ยวนำความถี่วิทยุจากเครื่องอ่านและสื่อสารด้วย NFC (Near Field Communication) ในระยะ 1-3”(2-10 ซม.) • Proximity การ์ดทำงานเหมือนการ์ดแบบไม่สัมผัส แต่ทำงานในความถี่ที่ต่างกันและเก็บข้อมูลที่น้อย กว่า ทำงานในระยะทางไม่เกิน 15”(50 ซม.) และโดยปกติจะใช้เพื่อปลดล็อกประตูเท่านั้น การ์ดการเข้าถึงทั่วไป (Common Access Card หรือ CAC) สมาร์ทการ์ดที่ใช้โดยเจ้าหน้าที่ทหารและกระทรวงกลาโหมสหรัฐที่ประจำการ เพื่อระบุตัวบุคคลและ เพื่อเข้าถึงระบบและสถานที่ที่ปลอดภัย เช่นเดียวกับการระบุตัวตนที่มนุษย์อ่านได้ บาร์โค้ดและ
40 แถบแม่เหล็กสำหรับระบบรักษาความปลอดภัยในพื้นที่ แล้วยังมีชิปที่มีฟังก์ชันการเข้ารหัสที่รัดกุม นอกเหนือจากการจัดเก็บใบรับรองอิเล็กทรอนิกส์ตั้งแต่หนึ่งรายการขึ้นไป CAC ยังช่วยให้สามารถ ตรวจสอบ PIN ของผู้ถือได้อย่างปลอดภัยโดยให้การยืนยันตัวตนสองปัจจัย (2FA) CAC ในช่วงต้น จำเป็นต้องมีการสัมผัส แต่การ์ดสมัยใหม่สามารถใช้การพิสูจน์ตัวตนแบบไม่สัมผัสได้ บัตรยืนยันตัวตนส่วนบุคคล (Personal Identification Verification Card หรือ PIV) สมาร์ทการ์ดที่ใช้โดยหน่วยงานของรัฐบาลกลางอื่น ๆ ในสหรัฐอเมริกา PIV คล้ายกับ CAC แต่เข้ากันไม่ได้ โดยตรง หน่วยงานต่าง ๆ สามารถใช้เค้าโครงบัตรและข้อมูลที่แตกต่างกันได้บ้าง และใบรับรอง อิเล็กทรอนิกส์ของพวกเขาจะออกโดยหน่วยงานรับรองที่แตกต่างจากการ์ดของกระทรวงกลาโหม การ์ด PIV-Interoperable (PIV-I) เป็นไปตามมาตรฐาน PIV แต่มีให้สำหรับองค์กรที่ไม่ใช่ของรัฐบาลกลาง ทั้งภาครัฐและเอกชน Subscriber Identity Module (SIM) สมาร์ทการ์ดแบบอิเล็กทรอนิกส์ที่จัดเก็บหมายเลขประจำตัวสมาชิกมือถือระหว่างประเทศ (international mobile subscriber identity หรือ IMSI) และคีย์ที่เชื่อมโยงกับผู้ใช้เครือข่ายมือถือ โทรศัพท์มือถือส่วนใหญ่ ทั่วโลกมีช่องใส่ซิมในตัวเพื่อระบุตัวผู้ใช้ในเครือข่าย แม้ว่าบางเครือข่ายจะเก็บ IMSI ไว้ในฮาร์ดแวร์ของ โทรศัพท์เองก็ตาม ซิมการ์ดบางแบบจะจัดเก็บข้อมูลผู้ใช้อื่น เช่น รายชื่อผู้ติดต่อ การสร้างรหัสผ่านครั้งเดียว (One-time password generation) รหัสผ่านแบบใช้ครั้งเดียวเป็นวิธีที่ดีที่สุดวิธีหนึ่งที่ไม่ต้องกังวลเกี่ยวกับการเปิดเผยและการนำมาใช้ซ้ำ เพราะเมื่อมีการใช้งานแล้วจะไม่มีประโยชน์สำหรับผู้โจมตี อย่าไรก็ตามเนื่องจากการจดจำรายการ OTP ทั้งหมดในฐานะปัจจัยด้านนความรู้จึงเป็นเรื่องยุ่งยากมากจึงมักใช้เป็นปัจจัยในการครอบครองใน 2FA โดยที่ โทเค็นฮาร์ดแวร์หรือซอฟต์แวร์จะสร้าง OTP เอง ในทำนองเดียวกันโทเค็นสามารถจัดเก็บรายการรหัสผ่านที่ตรงกันบนเซิร์ฟเวอร์ได้ แต่วิธีที่ง่ายกว่า คือ การรวม ความลับที่ใช้ร่วมกันแบบเข้ารหัสที่ไม่เคยส่งผ่าน โดยมีปัจจัยการเคลื่อนย้ายที่เปลี่ยนแปลงไปกับ OTP ใหม่ทุกครั้ง จากภายนอกดูเหมือนเป็นรหัสผ่านใหม่แบบสุ่มทุกครั้ง เคล็ดลับคือตรวจสอบให้แน่ใจว่า โทเค็นของผู้ใช้และ ตัวตรวจสอบความถูกต้องตรงกัน มีสองมาตรฐานหลักสำหรับสิ่งนี้ HOTP ด้วยรหัสผ่านครั้งเดียวที่ใช้ HMAC (การเข้ารหัสข้อมูลเพื่อใช้ในการพิสูจน์) ปัจจัยการ เคลื่อนย้ายจึงเป็นตัวนับ เมื่อใดก็ตามที่มีการรวม OTP ใหม่ โทเค็นจะสร้างรหัสรับรอง ความถูกต้องของข้อความที่ใช้การเข้ารหัสลับ จากรหัสผ่านที่จัดเก็ฐไว้และตัวนับ จากนั้นมัน จะเพิ่มตัวนับ HMAC ใช้เป็น OTP โทเค็นและตัวตรวจสอบความถูกต้องจะต้องซิงโครไนซ์ กับตัวนับในปัจจุบัน
41 TOTP รหัสผ่านครั้งเดียวตามเวลาจะขึ้นอยู่กับ HOTP ยังคงใช้ HMAC ที่สร้างขึ้นจากนความลับที่ใช้ ร่วมกันและปัจจัยการเคลื่อนย้าย แต่ปัจจัยการเคลื่อนย้ายคือการประทับเวลาที่ใช้เมื่อสร้าง OTP การเพิ่มอัตโนมัติสามารถเชื่อถือและปลอดภัยกว่า แต่ต้องใช้โทเค็นและตัวตรวจสอบ ความถูกต้องเพื่อการซิงโครไนซ์เวลาซึ่งกันและกันมีความถูกต้องตามสมควร (โดยปกติ ประมาณ 30 วินาที) การโจมตี NTP (Network Time Protocal) หรือการจัดการอื่น ๆ ของนาฬิกา ระบบอาจทำให้ผู้โจมตีสามารถถอรหัสโทเค็นที่เหลือได้ โดยใช้ brute force หรือ เพียงแค่ทำให้ โทเค็นที่ถูกต้องไม่มีประโยชน์เพื่อการโจมตีแบบ DoS การส่ง OTP แบบ Out-of-band (Out-of-band OTP transmission) เมื่อไคลเอนต์ไม่มีโทเค็นฮาร์ดแวร์หรือซอฟต์แวร์ ก็สามารถส่งโดยวิธี out-of-band ใด ๆ ก็ได้ ตัวอย่างบางส่วน ได้แก่ อีเมล โทรศัพท์ และข้อความ SMS ทางเลือกที่เพิ่งได้รับความนิยมคือการส่ง Push notification ไปยัง แอปพลิเคชันที่ปลอดภัยบนอุปกรณ์ที่เชื่อถือได้เช่นสมาร์ทโฟน วิธีการ OOB มีข้อจำกัดที่สำคัญ คือ จะไม่ใช่วิธีที่ดีถ้าผู้โจมตีสามารถเข้าถึงช่อง OOB พวกเขาจะได้รับแจ้งว่ามี การพยายามเข้าสู่ระบบโดยไม่ได้รับอนุญาต หากคุณเคยได้รับรหัสผ่าน SMS ที่คุณไม่เคยถาม คุณควร ตรวจสอบความปลอดภัยของบัญชีที่เกี่ยวข้องทันทีด้วยการขโมยซิมการ์ดของคุณอาจทำให้พวกเข่าเข้าถึง หมายเลขโทรศัพท์และข้อความ SMS ของคุณได้ แม้ว่าจะไม่มีโทรศัพท์ แต่ก็ยังสามารถทำ การสลับซิม (SIM swap) ได้โดย social engineering เพียงแค่โน้มน้าวผู้ให้บริการมือถือของคุณว่า “โทรศัพท์ของคุณหาย” และต้องการ ให้หมายเลขจองคุณเปลี่ยนไปใช้อุปกรณ์ใหม่ที่พวกเขาควบคุมในทางกลับกันประโยชน์อย่างหนึ่ง คือ หากเจ้าของบัญชียังคงควบคุมช่องทาง OOB พวกเขาจะได้รับแจ้งว่ามีการพยายามเข้าสู่ระบบโดยไม่ได้รับ อนุญาต หากคุณเคยได้รับรหัสผ่าน SMS ที่คุณไม่เคยถาม คุณควรตรวจสอบความปลอดภัยของบัญชี ที่เกี่ยวข้องทันที ปัจจัยไบโอเมตริกซ์ (Biometric factors) เมื่อพูดถึงปัจจัยลักษณะทางกายภาพ ตัวอย่างที่พบบ่อยที่สุด คือ ปัจจัยไบโอเมตริกซ์ หรือโดยพื้นฐานแล้ว คุณสมบัติทางกายภาพใด ๆ ที่เป็นเอกลักษณ์ของร่างกายมนุษย์แต่ละคน Biometrics สามารถเป็นอะไรก็ได้ ตั้งแต่ลายนิ้วมือไปจนถึงการวิเคราะห์ดีเอ็นเอไปจนถึงกลิ่น โดยปกติจะแตกต่างกันจากลักษณะ ทางพฤติกรรม ซึ่งสามารถใช้เพื่อระบุตัวตนได้ เช่น ลายเซนหรือจังหวะการพิมพ์เซ็นเซอร์พิสูจน์ตัวตนทางชีวภาพที่พบบ่อย ที่สุด ได้แก่
42