คู่มือการเรียนรู้ Cyber Security - NCSA v3.2.1 - Pocket Book

43 การสแกนลายนิ้วมือ (Fingerprint scanning) วัดรูปแบบเฉพาะของลายนิ้วมือมนุษย์ เครื่องสแกนฝ่ามือที่ใหญ่กว่าอาจวัดได้ทั้งมือ การสแกนจอประสาทตา (Retinal scanning) ตรวจวัดรูปแบบเฉพาะของเส้นเลือดที่อยู่ด้านในของดวงตาโดยการส่องแสงอินฟราเรดเข้าไปในรูม่านตา การสแกนม่าน (Iris scanning) วัดรูปแบบที่ละเอียดอ่อนของม่านตาโดยปกติจะใช้รังสีอินฟราเรดช่วงคลื่นสั้นเพื่อให้รูปแบบต่าง ๆ แสดงได้ ชัดเจนแม้ในดวงตาสีน้ำตาลเข้ม บางครั้งเรียกว่า “เครื่องสแกนม่านตา” อย่างไม่ถูกต้องเครื่องสแกนม่านตา ได้รับความนิยมมากกว่าเนื่องจากมีการรบกวนน้อยกว่าและใช้งานง่ายกว่า การจดจำใบหน้า (Facial recognition) เปรียบเทียบภาพของใบหน้าทั้งหมดกับภาพถ่ายที่รู้จักอุปกรณ์ใด ๆ ที่มีกล้องดิจิทัลสามารถจดจำใบหน้าได้ แต่ความน่าเชื่อถือนั้นขึ้นอยู่กับซอฟต์แวร์ที่ใช้ สำหรับกล้อง IR (กล้องวงจรปิดแบบ Infrared) จะมี ความสามารถเพิ่มเติม การจดจำเสียง (Voice recognition) วัดลักษณะของเสียงมนุษย์เทียบกับตัวอย่างที่บันทึกไว้ โดยใช้การผสมผสานระหว่างลักษณะทาง ไบโอเมตริกและพฤติกรรมในทางทฤษฎีสามารถทำงานกับอุปกรณ์ใด ๆ ที่มีไมโครโฟน การจดจำหลอดเลือดดำ (Vein recognition) วัดหลอดเลือดที่มองเห็นได้จากผิวหนังโดยทั่วไปที่นิ้วหรือฝ่ามือหรือที่เรียกว่า ไบโอเมตริกซ์ของหลอดเลือด ได้รับความสนใจเมื่อไม่นานมานี้เนื่องจากลักษณะภายในของเส้นเลือดทำให้รูปแบบยากต่อการจับภาพ จากกล้องหรือลายนิ้วมือมีความเบี่ยงเบน การวิเคราะห์การเดิน (Gait analysis) วัดการเคลื่อนไหวของร่างกายเมื่อคนเดินโดยได้รับอิทธิพลจากกายวิภาค นิสัย และปัจจัยส่วนบุคคลอื่น ๆ สามารถทำได้โดยใช้กล้องวีดีโอ พรมปูพื้น หรือเครื่องวัดความเร่งในอุกรณ์พกพา ข้อจำกัดของไบโอเมตริกซ์ (Biometric Limitations) หลายคนยังไม่ชัดเจนนัก เกี่ยวกับสิ่งที่อาจผิดพลาดกับไบโอเมตริกซ์ เนื่องจากนิยายอาชญากรรมในรอบ ศตวรรษที่เชื่อมโยงลายนิ้วมือและการสแกนเรตินา ด้วยการระบุตัวตนที่ไม่สามารถหลอกลวงได้ เทคโนโลยี ไบโอเมตริกซ์ที่แท้จริงไม่มีอะไรเช่นนั้น เรื่องราวของสายลับบางเรื่องก็เป็นเรื่องที่ใกล้ตัวมากขึ้น เครื่องสแกน ลายนิ้วมือจริง ๆ อาจถูกหลอกโดยวิธีง่าย ๆ เพียงแค่ใช้แถบเทปที่กดลงบนลายนิ้วมือจริง และเครื่องสแกน ใบหน้าหรือม่านตาก็อาจถูกโกงด้วยภาพถ่ายของผู้ใช้ที่ได้รับการยืนยันตัวตน ปัญหาที่ลึกกว่า คือ เครื่องสแกนไบโอเมตริกซ์ใด ๆ ใช้การวัดทางกายภาพที่ค่อนข้างคลุมเครือ ดังนั้น การทำงาน จุขึ้นอยู่กับความไวของเครื่องสแกน ลองนึกภาพ อุปกรณ์จดจำใบหน้าที่จำเป็นต้องชดเชยความ่ไม่แม่นยำ

44 ของมุม ระยะการแสดงออก การแต่งหน้า และการเปลี่ยนแปลงเล็กน้อยในรูปลักษณ์ของมนุษย์ในแต่ละวัน ซึ่งอาจพบข้อผิดพลาดสองประเภท ประเภทที่ 1: การปฏิเสธที่เป็นเท็จ (False Rejection) เรื่องที่ถูกต้องถูกปฏิเสธ เนื่องจากเครื่องอ่านไม่มั่นใจว่าใบหน้าตรงกัน การปฏิเสธ ที่ผิดพลาดทำให้ผู้ใช้ถูกต้องตามกฎหมายเสียประโยนชน์ ซึ่งเกิดขึ้นบ่อยครั้งเมื่อมี ความคลาดเคลื่อนจำนวนมาก ประเภทที่ 2: การยอมรับเท็จ (Faise Acceptance) เรื่องที่ไม่ถูกต้องจะได้รับอนุญาตไห้เข้าถึงได้ เนื่องจากเครื่องอ่านเข้าใจผิดว่า เป็นเรื่องจริง หรือเรื่องจริงถูกตรวจสอบอย่างผิดพลาดว่าเป็นผู้ใช้ที่ไม่ถูกต้อง การยอมรับผิดช่วยให้เข้าถึงโดยไม่ได้รับอนุญาติและบ่อยขึ้นเมื่อความคลาดเคลื่อน จำนวนมาก สำหรับอุปกรณ์ใด ๆ คุณสามารถจับคู่อัตราการปฏิเสธเท็จ (false Rejection Rate หรือ FRR) และอัตราการ ยอมรับเท็จ (False Acceptance Rate หรือ FAR) บนเส้นโค้งสองเส้นที่ตรงข้ามกันโดยอิงตามวิธีการตรวจสอบ สิทธิ์และความไวของอุปกรณ์ จุดที่พวกมันติดกัน เรียกว่า อัตราความผิดพลาดแบบไขว้ (Crossover Error Rate หรือ CER) หรืออัตราความผิดพลาดที่เท่ากัน (Equal Error Rate หรือ EER) โดยทั่วไปคุณสามารถวัด ประสิทธิภาพของระบบ ไบโอเมตริกซ์ได้ว่า CER มีค่าต่ำเพียงใด อย่างไรก็ตามการตั้งค่าความไวของระบบ ให้ตรงตาม CER นั้น ไม่ดีที่สุดเสมอไป ตัวอย่างเช่น ในระบบที่มีมูลค่าสูง ผลกระทบของการยอมรับเท็จจะ สูงกว่าการปฏิเสธเท็จ ดังนั้น คุณอาจต้องการความอ่อนไหวที่สูงขึ้น อีกหนึ่งความท้าทายของการพิสูจน์ตัวตนด้วยไบโอเมตริกซ์ คือการลงทะเบียน ขั้นตอนการลงทะเบียนที่ในการ วัดผลเบื้องต้นและจัดเก็บผลลัพธ์ รวมทั้งระยะเวลาที่ระบบใช้ในการตรวจสอบสิทธิ์ หากเครื่องสแกนต้องใช้ กระบวนการลงทะเบียนที่ยาวนานสำหรับผู้ใช้ใหม่ หรือต้องการให้ผู้ใช้รูดนิ้วเพียงแค่นั้น ก็มีแนวโน้มที่จะทำให้ ผู้คนรู้สึกแปลกแยก

45 การยืนยันระยะไกล (Remote attestation) อุปกรณ์และแอปพลิเคชันสามารถใช้พิสูจน์ตัวตนได้เช่นเดียวกับผู้ใช้คอมพิวเตอร์ สามารถมีรหัสผ่าน คีย์เข้ารหัส หรือใบรับรองอิเล็กทรอนิกส์ที่จัดเก็บไว้ในฮาร์ดไดรฟ์ในเฟิร์มแวร์ หรือบนอุปกรณ์ฮาร์ดแวร์ เช่น TPM (Trusted Platform Module) แอปพลิเคชันสามารถทำสิ่งเดียวกันได้มาก แม้ว่าการตรวจสอบฮาร์ดแวร์จะมี แนวโน้มที่จะเป็น USB dongle อย่างไรก็ตาม ข้อมูลประจำตัวเป็นเพียงสิ่งเดียวที่ระบบพิสูจน์ตัวตนทาง เครือข่าย อาจต้องการทราบเกี่ยวกับไคลเอนต์ที่เชื่อมต่อ ตัวอย่างเช่น แล็ปท็อปไม่ควรเชื่อมต่อกับเครือข่ายที่ ปลอดภัยหากปิดใช้งานการควบคุมความปลอดภัยหรือติดมัลแวร์ หากคุณจะใช้การสื่อสารที่ปลอดภัยคุณต้อง แน่ใจว่าไม่มีใครใช้ไคลเอนต์ที่แก้ไขซึ่งอาจทำให้ระบบเสียหายได้ วิธีแก้ปัญหานี้ คือ การยืนยันระยะไกลซึ่งจะวัดและตรวจสอบความสมบูรณ์ของการกำหนดค่าฮาร์ดแวร์และ ซอฟต์แวร์ของไคลเอนต์ที่เชื่อมต่อ โดยปกติการยืนยันระยะไกลจะดำเนินการโดยใช้ใบรับรองอิเล็กทรอนิกส์ รวมกับแฮชการเข้ารหัสของไฟล์ระบบและแปพลิเคชั้นที่เกี่ยวข้องและการตั้งค่า วิธีการที่ปลอดภัยที่สุด ได้รับการบันทึกในฮาร์ดแวร์ เช่น การป้องกั้นการเข้ารหัสของ TPM การลงชื่อเพียงครั้งเดียว (Single Sign-on) โดยทั่วไปบริการเครือข่ายแต่ละบริการจะจัดการการพิสูจน์ตัวตนของตนเอง แต่เครือข่ายขนาดใหญ่และ บริการที่เกี่ยวข้องกันทำให้ผู้ใช้และผู้ดูแลระบบต้องพบปัญหาเหมือนกัน โซลูชันยอดนิยมคือระบบการลงชื่อ เพียงครั้งเดียว (SSO) ซึ่งอนุญาตให้ผู้ใช้เข้าถึงบริการจำนวนมากด้วยข้อมูลรับรองชุดเดียว พวกมันสามารถ ทำงานได้สองวิธีหลัก • ในแง่ที่เคร่งครัดที่สุด SSO อนุญาตให้ผู้ใช้ลงชื่อเข้าใช้หนึ่งในกลุ่มของบริการที่ไว้วางใจซึ่งกันและกัน จากนั้นสลับระหว่างบริการได้อย่างราบรื่นโดยไม่ต้องขอข้อมูลรับรองอีกครั้ง เมื่อคุณลงชื่อเข้าใช้ Gmail คุณสามารถเปลี่ยนไปใช้บริการอื่น ๆ ของ Google เช่น YouTube หรือ Google+ ได้อย่าง อิสระ และคุณจะได้รับแจ้งให้ป้อนรหัสผ่านอีกครั้งหากคุณพยายามเข้าถึงการตั้งค่าบัญชีที่

46 ละเอียดอ่อน เบื้องหลังเซิร์ฟเวอร์ทั้งหมดสื่อสารผ่าน โทเค็นและใบรับรองเพื่อยืนยันตัวตนของคุณ โดยไม่รบกวน • นอกจากนี้ SSO ยังสามารถใช้เพื่ออธิบรายระบบที่บริการอิสระหลายบริการที่ใช้เซิร์ฟเวอร์การพิสูจน์ ตัวตนร่วมกัน ตัวอย่างเช่น Facebook Connect อนุญาตให้เว็บไซต์ของบุคคลที่สามเสนอตัวเลือก “เข้าสู่ระบบด้วย Facebook” คุณยังต้องลงชื่อเข้าใช้แต่ละไซต์แต่คุณสามารถใช้ข้อมูลรับรอง Facebook ของคุณแทนการสร้างบัญชีใหม่สำหรับแต่ละไซต์ที่ถูกต้องที่สุดแล้ว วิธีนี้เรียกว่าการลงชื่อ เข้าใช้แบบเดียวกัน วิธีที่เกี่ยวข้องกับ SSO คือ การลงชื่อออกเพียงครั้งเดียว (single sign-off) เช่นเดียวกัน เมื่อออกจากบริการหนึ่ง ก็จะเป็นการปิดการใช้งานบริการที่เกี่ยวข้องทั้งหมดด้วย

47 บทที่ 4 การดำเนินการด้านความมั่นคงปลอดภัย (Implementation)

48

49 การดำเนินการโดยโปรโตคอลที่ปลอดภัย (Secure protocols) การเข้ารหัสและแบบจำลอง OSI (Cryptography and the OSI model) เมื่อโปรโตคอลพื้นฐานจำนวนมากของเครือข่ายในปัจจุบันได้รับการพัฒนาแล้วนั้น ความปลอดภัย ก็ไม่ใช่เรื่องใหญ่ โดยเฉพาะอย่างยิ่งความปลอดภัยในการเข้ารหัสมีสาเหตุสองสามประการสำหรับเรื่องนี้ หนึ่ง คือ การโจมตีมีน้อยลงและไม่ซับซ้อน อีกประการหนึ่ง คือ การเข้ารหัสเป็นแบบดั้งเดิม ไม่มีเทคนิค สมัยใหม่มากมายและเทคนิคที่ทำนั้น มีราคำแพงในเชิงคำนวณและได้รับการควบคุมอย่างถูกกฎหมาย ประการที่สาม คือ วิศวกรเครือข่ายมีเวลาน้อยเกินไปในการสร้างเครือข่ายให้ทำงานได้อย่างน่าเชื่อถือตั้งแต่แรก บางโปรโตคอลใช้รหัสผ่านสำหรับการตรวจสอบสิทธิ์ แต่ถูกส่งเป็นข้อความธรรมดาและการตรวจสอบ ความสมบูรณ์ของข้อมูลไม่ได้รับการเข้ารหัสอย่างปลอดภัย ปัจจุบันการเข้ารหัสถือเป็นเรื่องปกติและใช้กันอย่างแพร่หลายโดยมีมาตรฐานและโปรโตคอลที่ ปลอดภัยที่ได้รับความอย่างนิยมมากมายอย่างไรก็ตามเนื่องจากเครือข่ายมีการพัฒนามากกว่าที่จะถูกแทนที่ ทั้งหมดจึงยังไม่ได้รับการออกแบบมาเพื่อความปลอดภัยตั้งแต่ต้น การออกแบบในแบบเก่าหมายความว่า เป็นการเพิ่มความปลอดภัยในขณะที่รักษาความเข้ากันได้ ซึ้งอาจเป็นความท้าทายที่แท้จริง OSI ในแต่ละเลเยอร์มีชุดของบทบาทและโปรโตคอลของตัวเอง ซึ่งจะห่อหุ้มข้อมูลที่ใช้โดยโปรโตคอล ในชั้นที่สูงขึ้น การรักษาความปลอดภัยในการเข้ารหัสไม่ได้เชื่อมโยงกับเลเยอร์ใด ๆ ตามทฤษฎีแล้ว คุณสามารถใช้กับเลเยอร์ใดก็ได้เพื่อปกป้องข้อมูลในระดับนั้น คุณสามารถใช้การเข้ารหัสในทุกเลเยอร์ในทาง ทฤษฎีได้ แต่การทำเช่นนั้น อาจทำลายความเข้ากันได้และประสิทธิภาพอย่างมากการเข้ารหัสบนเลเยอร์ ตามมีประโยชน์และข้อเสียที่แตกต่างกันในแง่ของสิ่งที่ปลอดภัย และผลกระทบที่อาจเกิดขึ้นกับความเข้ากันได้ และประสิทธิภาพ ตัวอย่างเช่น การเข้ารหัสที่ใช้ในเลเยอร์ที่สูงกว่าของเครือข่าย เช่น โปรโตคอล HTTPS ที่ใช้ โดยเว็บไซต์ที่มีความปลอดภัยจะเลือกป้องกันการรับส่งข้อมูลโดยใช้โปรโตคอลที่ถูกเลือกนั้น การเข้ารหัส จำเป็นต้องได้รับการสนับสนุนโดยแอปพลิเคชันซอฟตแ์วร์ที่ปลายทั้งสองด้านของการเชื่อมต่อ แต่ไม่ จำเป็นต้องใช้โดยฟังก์ชัน ระบบปฏิบัติการหรือฮาร์ดแวร์เครือข่ายสำหรับเหล่านี้ข้อมูลแอปพลิเคชัน คือ ข้อมูล แอปพลิเคชัน หากคุณต้องการใช้การป้องกันประเภทนี้กับหลาย ๆ แอปพลิเคชัน บนเครือข่ายคุณต้องมี โปรโตคอลที่ปลอดภัยที่ใช้สำหรับแต่ละแอปพลิเคชัน ในทางกลับกันมีการเข้ารหัสแบบ end-to-end ซึ่งช่วย ปกป้องการติดต่อทั้งหมด ในอีกด้านหนึ่งลองนึกภาพการเข้ารหัสที่ใช้ในเลเยอร์ที่ต่ำกว่าของเครือข่าย เช่น การเข้ารหัส WPA ที่ใช้โดยจุดเชื่อมต่อ Wi-Fi WPA ปกป้องการรับส่งข้อมูลทั้งหมดที่ผ่านเครือข่าย Wi-Fi ไม่ว่าจะใช้โปรโตคอล แอปพลิเคชันที่ปลอดภัย หรือไม่ก็ตามดังนั้นผู้ดักฟังจึงไม่สามารถขโมยรหัสผ่าน FTP ข้อความธรรมดาของคุณ ได้โดยการฟังสัญญาณไร้สายของคุณ มันทำให้สับสนด้วยซ้ำว่าคุณกำลังใช้โปรโตคอลระดับสูงขนาดไหน ดังนั้น

50 นักดักฟังจึงไม่จำเป็นต้องบอกว่าเป็นการรับส่ง FTP ตั้งแต่เริ่มแรกนั่นอาจฟังดูดีกว่าแต่ก็มีข้อเสีย ไม่จำเป็นต้อง ปกป้องคุณจากผู้โจมตีภายในบนเครือข่ายที่ปลอดภัยเดียวกัน แต่ที่สำคัญกว่านั้น คือ การเข้ารหัสที่ขึ้นอยู่กับ ลิ้งค์ (link-based encryption) ซึ่งใช้กับส่วนหนึ่งของเส้นทางผ่านเครือข่ายเท่านั้น การเข้ารหัส บน Wi-Fi Hot spot จะไม่ป้องกันข้อมูลที่ส่งผ่านจาก AP ไปยังเครือข่ายแบบใช้สายที่ไม่ได้เข้ารหัส ไม่มีเหตุผล ทางเทคนิคที่คุณไม่สามารถเข้ารหัสเซ็กเมนต์แบบใช้สายได้ แต่เราเตอร์และสวิตช์ทุกตัวจะต้องมีโปรโตคอลที่ เข้ากันได้ข้อมูลประจำตัวที่เหมาะสมและพลังการประมวลผลที่เพียงพอเพื่อจัดการกับปริมาณงานที่มีอยู่ มีผลกระทบอื่น ๆ อีกเล็กน้อยจากการใช้การเข้ารหัสบนชั้นเครือข่ายที่แตกต่างกัน ส่วนหัวอาจต้อง ถูกปล่อยทิ้งไว้โดยไม่ได้เข้ารหัส เพื่อให้อ่านได้ง่าย แม้แต่การตรวจสอบความถูกต้องอาจเป็นปัญหากับช่องส่วน หัวที่อาจต้องเปลี่ยนระหว่างการส่ง เครือข่ายบางเครือข่ายอาจใช้ตัวกรองการรับส่งข้อมูลหรือตัวกรองเนื้อหาที่ ทำงานโดยการอ่านเนื้อหาแพ็คเก็ต หากเนื้อหาดังกล่าวมีการเข้ารหัสการรับส่งข้อมูลอาจถูกส่งผิดหรือ แม้กระทั่งถูกบล็อกแม้ว่าเครือข่ายดั้งเดิม จะไม่ได้รับผลกระทบก็ตาม SSL และ TLS มาตรฐานที่แพร่หลายที่สุดสำหรับการรักษาความปลอดภัย upper layer ของ stack เครือข่าย คือ Secure Sockets Layer (SSL) พร้อมกับ Transport Layer Security (TLS) ที่สืบทอดมา ในทางเทคนิค ในรูปแบบ OSI ทั้งสองถูกจัดประเภทเป็น session protocol (เลเยอร์5) หรือการนำเสนอ (เลเยอร์ 6) แต่การ นำไปใช้งานมักจะขยายไปสู่ Application layer สิ่งสำคัญ คือ เลเยอร์เหล่านี้จะอยู่ที่ไหนสักแห่งระหว่าง โปรโตคอลของแอปพลิเคชันและโปรโตคอล transportation layer ที่ใช้โดย TCP/IP stack เดิมที Netscape พัฒนา SSL เพื่อเพิ่มความปลอดภัยภายใต้โปรโตคอล HTTP และยังคงเป็นหนึ่ง ในการใช้งานที่ได้รับความนิยมมากที่สุด SSL เวอร์ชัน 1 และ 2 มีข้อบกพร่องด้านความปลอดภัยที่ร้ายแรง และถูกแทนที่อย่างรวดเร็วในปี 1996 โดยมาตรฐานขั้นสุดท้ายคือ SSL 3.0 แม้ว่าในที่สุด SSL 3.0 จะได้รับ การเผยแพร่เป็นมาตรฐาน IETF แต่ในวันนี้ถือว่ามีช่องโหว่ในการเข้ารหัสและได้เลิกใช้อย่างเป็นทางการ ในเดือนมิถุนายน 2015 SSL ยังคงมีการใช้งานอย่างแพร่หลาย แต่จะถูกแทนที่ด้วย TLS และไม่ควรใช้ใน การติดตั้งใหม่ ในปี 1999 TLS 1.0 ถูกนำมาใช้โดยมี TLS 1.1 ตามมาในปี 2006 1.2 ในปี 2008 และ 1.3 ในปี 2018 รองรับมาตรฐานการเข้ารหัสที่ใหม่กว่าและแก้ไขปัญหาด้านความปลอดภัยอื่น ๆ แม้ว่าทั้ง สองจะไม่ สามารถใช้งานร่วมกันได้ โดยตรง แต่ TLS ก็เป็นวิวัฒนาการต่อไปของ SSL ได้อย่างมีประสิทธิภาพ: การเปลี่ยนชื่อส่วนใหญ่เพื่อบ่งบอกว่ามันกลายเป็นมาตรฐานเปิดแทนที่จะเป็นโครงการ Netscape ที่เป็น กรรมสิทธิ์ตามปกติแล้วผู้ใช้งานและแม้แต่เอกสารบางส่วนก็ไม่สนใจเรื่องเทคนิคมากนัก ดังนั้น คุณจะยังคง

51 เห็นการอ้างอิงถึง “ SSL” อยู่บ่อยครั้งแม้ในซอฟต์แวร์สมัยใหม่ที่ย้ายไปยัง TLS ทั้ง หมดก็ตามและใบรับรอง คีย์สาธารณะจะเรียกโดยทั่วไปว่า“ SSL certificates ” แม้กระทั่งว่าจะไม่ได้ใช้งาน SSL เลยก็ตาม เซิร์ฟเวอร์ต้องการข้อมูลประจำตัวของคุณคุณจะต้องมีรหัสผ่านหรือข้อมูลประจำตัวอื่น ๆ SSL และ TLS ยังสามารถทำการพิสูจน์ตัวตนแบบสองทางโดยที่ทั้ง client และ server จะต้องมีใบรับรองเพื่อแสดงต่อ อีกฝ่าย ชุดการเข้ารหัส (Cipher suites) การรักษาความปลอดภัยในการเข้ารหัสกำหนดให้ทุกฝ่ายต้องใช้อัลกอริทึมที่เข้ากันได้และปลอดภัย ซึ่งมักจะเป็นหลาย ๆ แบบภายในโปรโตคอลเดียว TLS session ต้องการการเข้ารหัสคีย์สาธารณะสำหรับ การแลกเปลี่ยนคีย์ การเข้ารหัสแบบสมมาตรสำหรับการเข้ารหัสจำนวนมากอัลกอริธึมการแฮชเพื่อตรวจสอบ ใบรับรองและตัวสร้างหมายเลขหลอกเพื่อสร้างคีย์เซสชันและ nonces เซิร์ฟเวอร์สามารถกำหนดการรวมกัน ของอัลกอริทึมที่แน่นอนได้ แต่จะไม่ยืดหยุ่นมากนักสำหรับผู้ใช้ที่แตกต่างกันที่มีความต้องการด้านความ ปลอดภัยที่แตกต่างกันหรือติดตามความต้องการด้านความปลอดภัยโดยรวมของเครือข่ายที่เปลี่ยนแปลง ตลอดเวลาได้อย่างง่ายดาย SSL และ TLS ให้ความยืดหยุ่นผ่าน cipher suites ซึ่งตั้งชื่อชุดของอัลกอริทึมที่รองรับสำหรับ แต่ละหมวดหมู่ตามลำดับความต้องการ เมื่อสองโฮสต์สร้างการเชื่อมต่อ SSL แล้ว client จะแสดงรายการ ชุดการเข้ารหัสที่รองรับและเซิร์ฟเวอร์จะเลือกหนึ่งในนั้น ชุดการเข้ารหัสเฉพาะประกอบด้วยชุดอัลกอริทึมที่สมบูรณ์และเซิร์ฟเวอร์ต้องใช้ชุดการเข้ารหัสหนึ่ง ชุดโดยรวมแทนที่จะรวมอัลกอริทึมที่เข้ากันได้จากชุดต่าง ๆ ตัวอย่างเช่น หากตัวเลือกแรกของ client ของชุด การเข้ารหัสและของเซิร์ฟเวอร์ใช้การเข้ารหัสแบบสมมาตรเดียวกัน แฮช และ PRNG แต่ลูกค้าต้องการ แลกเปลี่ยนคีย์โดยใช้กลุ่ม DH ที่เซิร์ฟเวอร์ไม่รองรับเซิร์ฟเวอร์จะไม่เพียงมองหาวิธีการแลกเปลี่ยนคีย์ที่ดีกว่า ในรายการของลูกค้า แต่ต้องหาชุดการเข้ารหัสที่ตรงกับรหัสตัวเองทั้งหมดไม่ว่าจะเป็นอัลกอริทึมอื่น ๆ ก็ตาม คุณสามารถกำหนดค่ารายการชุดการเข้ารหัสของโฮสต์และลำดับความต้องการได้ด้วยจำนวน อัลกอริทึมของแต่ละหมวดหมู่ TLS ช่วยให้สามารถใช้ชุดค่าผสมที่เป็นไปได้หลายร้อยรายการแม้ว่าบางส่วนจะ มีโอกาสมากกว่าประเภทอื่นก็ตาม เพื่อเพิ่มความปลอดภัยสูงสุดคุณสามารถใส่ชุดค่าผสมที่แข็งแกร่งที่สุดไว้ที่ ด้านบนสุดของรายการได้อย่างแน่นอน แต่สำหรับ compatability ได้โปรดทราบว่าโฮสต์อื่น ๆ น่าจะใช้ suite และรวมถึงค่าผสมที่เป็นมาตรฐาน แต่มีความปลอดภัยเพียงพอแม้จะเป็นเพราะความเข้ากันได้แบบย้อนกลับก็ ตามรวมถึง suite ที่ไม่ปลอดภัยก็เปิดโอกาสให้คุณลดระดับการโจมตีได้

52 โปรโตคอล SSL/TLS การใช้ SSL/ TLS ที่มองเห็นได้ชัดเจนที่สุดและการแทนที่อย่างปลอดภัยที่มองเห็นได้ชัดเจนที่สุด สำหรับโปรโตคอลรุ่นเก่าโดยทั่วไป คือ HTTP Secure (HTTPS) ซึ่งเป็นมาตรฐานที่ใช้โดยเว็บไซต์ที่ปลอดภัย HTTP ทำงานในรูปแบบข้อความธรรมดาโดยไม่มีความปลอดภัยดังนั้นจึงไม่เหมาะสำหรับการเชื่อมต่อที่ ปลอดภัย เมื่อคุณใช้ HTTPS แถบที่อยู่ของเบราว์เซอร์ของคุณจะเริ่มต้นด้วย https: // แทนที่จะเป็น http: // และคุณจะเห็นไอคอนรูปแม่กุญแจหรือพื้นหลังสีเขียวซึ่งแสดงว่าไซต์นั้นปลอดภัยและได้รับการยืนยัน รายละเอียดที่แม่นยำขึ้นอยู่กับเบราว์เซอร์ที่คุณใช้และประเภทของใบรับรองที่ไซต์มีคุณสามารถคลิกเพื่อดู ข้อมูลเพิ่มเติมเกี่ยวกับ server certificate แม่กุญแจ SSL แสดง valid certificates เมื่อมีปัญหาเกี่ยวกับใบรับรองกับไซต์ HTTPS เบราว์เซอร์ของคุณจะแจ้งเตือนบางประเภท โดยปกติ ก่อนอื่นคุณจะเห็นหน้าคำเตือนโดยถามว่าคุณต้องการดำเนินการต่อหรือไม่ แม้ว่าคุณจะทำเช่นนั้นโดยทั่วไป แถบที่อยู่จะแสดงข้อผิดพลาดบางประเภท อย่างน้อยที่สุดหมายความว่าไซต์ไม่ได้รับการกำหนดค่าอย่างถูกต้อง หรือมีใบรับรองที่ล้าสมัย นอกจากนี้ยังอาจบ่งบอกถึงปัญหาด้านความปลอดภัยเพิ่มเติมหรือแม้แต่ไซต์ หลอกลวง ไวยากรณ์และฟังก์ชัน HTTPS เหมือนกับ HTTP ทุกประการ ความแตกต่าง คือ ทั้งเบราว์เซอร์และ เซิร์ฟเวอร์ส่งทราฟฟิก HTTP ผ่าน SSL หรือ TLS ด้วยเหตุนี้จึงมีการกล่าวว่า HTTPS หมายถึง HTTP ผ่าน SSL การรับส่งข้อมูล HTTPS จะแยกจากการรับส่งข้อมูล HTTP ที่ไม่ได้เข้ารหัสโดยใช้พอร์ตเซิร์ฟเวอร์อื่น: 443 สำหรับ HTTPS เทียบกับ 80 สำหรับ HTTP

53 ตามทฤษฎีแล้ว SSL/TLS สามารถทำการตรวจสอบและเข้ารหัสสำหรับการรวมกันของโปรโตคอล Application layer และโปรโตคอล transportation layer วิธีนี้ทำให้เป็นวิธีที่ได้รับความนิยมเพิ่มความ ปลอดภัยให้กับโปรโตคอลของแอปพลิเคชันที่ไม่ปลอดภัย บางครั้งก็มีการตั้งชื่ออย่างชัดเจน ตัวอย่างเช่น FTPS คือ โปรโตคอล FTP ที่ทำงานผ่าน SSL หรือ TLS บางครั้งก็เป็นเพียงตัวเลือกการกำหนดค่าในแอปพลิเคชันที่ใช้ email protocol ที่ไม่ปลอดภัยเช่น SMTP, POP และ IMAP สามารถรักษาความปลอดภัยได้หากทั้ง client และ server รองรับ SSL/TLS แม้ว่าการตั้งชื่อจะไม่แตกต่างกัน แต่เซิร์ฟเวอร์ที่ยอมรับทั้งการเชื่อมต่อ ที่ปลอดภัยและไม่ปลอดภัยมักจะใช้พอร์ตเซิร์ฟเวอร์ที่แตกต่างกันสำหรับทั้งสองพอร์ต บางครั้งยังใช้ SSL/TLS เป็นวิธีอื่นสำหรับโปรโตคอลที่มีมาตรการรักษาความปลอดภัยอยู่แล้ว แม้ว่าเวอร์ชัน 3 ของ Simple Network Management Protocol (SNMP) จะมีการเข้ารหัสด้วยตัวเอง แต่ตัวแปรบางตัวก็ใช้ TLS ในทำนองเดียวกัน EAP-TLS ใช้ TLS กับ Extensible Authentication Protocol ที่ใช้กันอย่างแพร่หลายในการเชื่อมต่อแบบจุดต่อจุดและแบบไร้สาย SSL/TLS เป็นพื้นฐานสำหรับเทคโนโลยี VPN ที่ทันสมัยและมีคุณสมบัติครบถ้วน การใช้งาน SSL/TLS (SSL/TLS implementations) การใช้ระบบเข้ารหัสเป็นเรื่องยากและมีแนวโน้มที่จะเกิดข้อผิดพลาดดังนั้น client และ server ส่วนใหญ่จึงต้องใช้ SSL/TLS library ของ third-party เพื่อทำหน้าที่ในการเข้ารหัส บริษัท ขนาดใหญ่หลายแห่ง มีการนำไปใช้งานในองค์กร เช่น SChannel ของ Microsoft, การขนส่งที่ปลอดภัยของ Apple และ BSAFE ของ RSA Security นอกจากนี้ยังมีไลบรารีโอเพ่นซอร์สจำนวนมากที่พัฒนาโดย บริษัท หรือชุมชน ที่รู้จักกันดี คือ OpenSSL แต่อื่น ๆ ได้แก่ LibreSSL, wolfSSL และ Bouncy Castle แม้จะมีชื่อ แต่การใช้งานสมัยใหม่ จำนวนมากเป็นแบบ TLS เท่านั้นโดยที่โปรโตคอล SSL ตัวเก่าและไม่ปลอดภัยจะไม่ได้รับการสนับสนุนหรือ ถูกปิดการใช้งานโดยตั้งแต่ค่า default OpenSSL นั้นเป็นไลบรารีการเข้ารหัสที่ใช้งานทั่วไปซึ่งมีฟังก์ชันต่าง ๆ มากมาย หัวใจสำคัญ คือ API ที่นักพัฒนาสามารถใช้สำหรับแอปพลิเคชันของตนเองได้ คุณสามารถใช้เพื่อดำเนินการต่อไปนี้: • การจัดเก็บและตรวจสอบใบรับรองและลายเซ็นดิจิทัล • การสร้างคีย์และการเข้ารหัสสำหรับการเข้ารหัสคีย์สาธารณะและคีย์ลับ • การสร้างใบรับรองที่ลงนามด้วยตนเองหรือคำขอลงนามใบรับรอง (CSR) ไปยัง CA • การสร้าง root ส่วนตัวหรือ CA ที่อยู่ภายใต้ หากคุณไม่ใช่นักพัฒนาซอฟต์แวร์คุณสามารถโต้ตอบกับ API ได้โดยใช้ยูทิลิตี้บรรทัดคำสั่ง open ssl ในฐานะผู้เชี่ยวชาญด้านความปลอดภัยคุณสามารถใช้เพื่อสร้างคีย์หรือแฮชการตรวจสอบแฮชหรือใบรับรอง กำหนดเวอร์ชันของ SSL/TLS ที่เว็บเซิร์ฟเวอร์รองรับหรือแม้แต่เข้ารหัสไฟล์ด้วยรหัสผ่าน สำหรับการทำงาน

54 ที่กว้างขึ้นคุณสามารถเรียกใช้งานได้จากสคริปต์ สคริปต์ที่สร้างไว้ล่วงหน้าสำหรับงานที่ใช้บ่อยจะรวมอยู่ ในแพ็คเกจ OpenSSL และพร้อมใช้งานจาก third-party SSL Appliances โดยทั่วไปแล้ว SSL/TLS ไม่ใช่เรื่องยากสำหรับคอมพิวเตอร์สมัยใหม่แม้จะใช้การเข้ารหัสที่แข็งแกร่ง โปรเซสเซอร์รุ่นใหม่จำนวนมากรองรับฟังก์ชันการเร่งความเร็ว AES ดังนั้นการเข้ารหัสแบบสมมาตรจึงมี ผลกระทบต่อประสิทธิภาพการทำงานน้อยที่สุดและส่วนที่มีราคำแพงที่สุดในการคำนวณ คือ การแลกเปลี่ยน คีย์เริ่มต้น ที่กล่าวว่ามีหลายครั้งที่อุปกรณ์ฮาร์ดแวร์หรือเครื่องใช้เพิ่มเติมยังคงเป็นที่ต้องการ ประการแรกเพียงเพราะ SSL มีผลกระทบต่อประสิทธิภาพเพียงเล็กน้อยไม่ได้หมายความว่าไม่มีเลย เซิร์ฟเวอร์ปริมาณมากสามารถใช้ประโยชน์จากตัวเร่งความเร็ว SSL/TLS หรือ HSM ทั่วไปในรูปแบบของการ์ด เสริมหรืออุปกรณ์เครือข่ายแยกต่างหาก การถ่ายโอนการเข้ารหัส/ถอดรหัสไปยังอุปกรณ์พิเศษจะช่วยลด ความเครียดจากเว็บหรือแอปพลิเคชันเซิร์ฟเวอร์ ประการที่สองบางครั้งการเข้ารหัสเป็นสิ่งที่ไม่พึงปรารถนาในเครือข่ายอุปกรณ์ SSL ที่เชื่อถือได้ การรับส่งข้อมูลที่เข้ารหัสสามารถใช้สำหรับการขุดเจาะข้อมูล นอกจากนี้ยังสามารถทำให้เสียการตรวจสอบ และกำหนดรูปแบบเครื่องมือซึ่งส่งผลเสียต่อประสิทธิภาพการทำงาน วิธีแก้ปัญหานี้ คือ การวางตัวถอดรหัส SSL บนขอบเขตเครือข่ายหรือตำแหน่งสำคัญอื่น ๆ ซึ่งสามารถเปิดและตรวจสอบการรับส่งข้อมูลของ SSL/TLS ได้ อุปกรณ์เหล่านี้บางส่วนสร้างไว้ใน proxy server และอื่น ๆ ใน firewall ไม่ว่าจะด้วยวิธีใดก็ตาม อุปกรณ์เหล่านี้จะทำงานโดยการตรวจสอบบนเส้นทางที่ถูกต้องโดยทำหน้าที่เป็นปลายทางท้องถิ่นของการ เชื่อมต่อ SSL ในเครือข่ายที่เชื่อถือได้พวกเขาอาจตั้งค่าการเชื่อมต่อ SSL แยกต่างหากกับ internal host เพื่อป้องกันการดักฟังโดยผู้โจมตี ภายในตัวถอดรหัส SSL มีปัญหาทางเทคนิค จริยธรรม และกฎหมายบาง ประการ ในทางเทคนิคใบรับรอง SSL ของ proxy ต้องลงทะเบียนบน local client มิฉะนั้นจะได้รับคำเตือน ใบรับรองที่ไม่ถูกต้องจากไซต์ภายนอก ตามหลักจริยธรรมและความถูกต้องตามกฎหมาย หากนโยบาย เครือข่ายของคุณอนุญาตให้เข้าถึงอินเทอร์เน็ตส่วนบุคคล เช่น อีเมลส่วนตัวหรือการธนาคารออนไลน์นโยบาย ความเป็นส่วนตัวของคุณจะต้องระบุว่าการสื่อสารใดที่สามารถดักจับได้และการคำดหวังว่าข้อมูลนั้นจะได้รับ การปกป้องอย่างไร

55 บริการเครือข่ายทั่วไป (Common network services) เครือข่ายระดับองค์กรโดยทั่วไปต้องอาศัยโปรโตคอลจำนวนมากสำหรับบริการที่สำคัญหรือแบบเดิม ทั่วไป คุณควรเรียนรู้ที่จะเข้าใจความเสี่ยงด้านความปลอดภัยและคุณลักษณะต่าง ๆ ทางเลือกที่ปลอดภัย สามารถแทนที่โปรโตคอลที่ไม่ปลอดภัยบางอย่างได้ สำหรับผู้อื่นอาจมีการควบคุมความปลอดภัยอื่น ๆ ที่คุณ สามารถนำไปใช้ได้ DHCP Dynamic Host Configuration Protocol (DHCP) ใช้เพื่อกำหนด IP Address แบบไดนามิก และการกำหนดค่าเครือข่ายอื่น ๆ ให้กับ Client ที่เข้าร่วมเครือข่าย เป็นโปรโตคอลที่ไม่สามารถ กำหนดเส้นทางได้ซึ่งใช้ได้เฉพาะกับส่วนภายในเท่านั้น เว้นแต่ router จะได้รับการกำหนดค่า เป็น relay DHCP DHCP ทำงานบนพอร์ต UDP67 สำหรับเซิร์ฟเวอร์และพอร์ต UDP 68 สำหรับ client DHCP ไม่มีความปลอดภัยโดยธรรมชาติ ดังนั้น จึงเป็นเรื่องง่ายสำหรับผู้โจมตีในการปรับใช้ เซิร์ฟเวอร์ DHCP ที่ไม่พึงประสงค์ จากนั้นใช้เพื่อเปิดใช้งานการโจมตีอื่น ๆ วิธีแก้ปัญหาหนึ่ง คือ การใช้สวิตช์ที่มีคุณสมบัติการสอดแนม DHCP สามารถกำหนดค่าให้รู้จักและ block เซิร์ฟเวอร์ DHCP ที่ไม่ได้รับอนุญาต NS โปรโตคอล Domain Name System จะถูกใช้เพื่อแก้ไขชื่อโดเมนให้เป็น IP Address ที่สอดคล้องกันและสื่อสารข้อมูลอื่น ๆ ที่เกี่ยวข้องกับโดเมนผ่านลำดับชั้น DNS ส่วนตัวหรือ สาธารณะ คำขอ DNS client-server โดยทั่วไปจะใช้พอร์ต UDP 53 แต่การถ่ายโอน Zone server ที่ใหญ่กว่าจากเซิร์ฟเวอร์ไปยังเซิร์ฟเวอร์จะใช้พอร์ต TCP 53 DNS ไม่มีการรักษาความปลอดภัยโดยธรรมชาติดังนั้นจึงสามารถตรวจสอบได้และลักษณะแบบ ไดนามิกของมันทำให้การโจมตีที่เป็นพิษของ DNS จะใส่ข้อมูลที่เป็นเท็จลงในไคลเอนต์หรือ เซิร์ฟเวอร์ด้วยข้อมูลที่ผิดพลาด

56 • เพื่อป้องกัน DNS เป็นพิษ ให้เปิดใช้งานส่วนขยายความปลอดภัย DNS (DNSSEC) ซึ่งตรวจสอบการตอบสนองของ DNS ด้วยลายเซ็นการเข้ารหัส • หากต้องการป้องกันการสอดแนม DNS ให้ส่งคำขอ tunnel ผ่านโปรโตคอลที่ปลอดภัย นอกเหนือจากเทคโนโลยี VPN แล้วตัวแก้ไข DNS ที่ปลอดภัยบางตัวยังมี DNS-overTLS (DoT) และตอนนี้เว็บเบราว์เซอร์ Firefox รวมถึง DNS ผ่านตัวแก้ไข HTTPS (DoH) NTP Network Time Protocol Synchronize นาฬิการะหว่างคอมพิวเตอร์และอุปกรณ์ในเครือข่าย แทนที่จะถ่ายโอนข้อมูลผู้ใช้แอปพลิเคชันของผู้ใช้แทบจะไม่สามารถเข้าถึง NTP ได้โดยตรง แต่นาฬิกาของระบบมีความสำคัญต่อฟังก์ชันการรักษาความปลอดภัยหลายอย่าง เช่น บันทึก ระบบที่ถูกต้อง การตรวจสอบใบรับรองวิธีการตรวจสอบสิทธิ์บางอย่างและอื่น ๆ การโจมตีด้วย NTP สามารถใช้สำหรับการโจมตี DoS, MitM หรือการเข้าถึงระบบโดยไม่ได้รับอนุญาต NTP มีคุณสมบัติหลายประการที่สามารถป้องกันไม่ให้นำข้อมูลเวลาที่ผิดพลาดมาใช้ แต่จำเป็นต้องมี ซอฟต์แวร์ที่อัปเดตและการกำหนดค่าบริการเวลาที่ปลอดภัย NTP ใช้พอร์ต UDP 123 LDAP Lightweight Directory Access Protocol จัดการบริการข้อมูลไดเร็กทอรีแบบกระจายผ่าน เครือข่าย ระบบนี้ใช้โดยระบบบริการไดเรกทอรีจำนวนมากจากผู้ขายหลายราย เช่น eDirectory ของ Novel และ Active Directory ของ Microsoft LDAP ช่วยให้ clients สามารถสืบค้น ฐานข้อมูลเครือข่ายกลางเพื่อดูข้อมูลเกี่ยวกับบัญชีผู้ใช้เครื่องพิมพ์และทรัพยากรเครือข่ายอื่น ๆ เนื่องจาก LDAP ไม่ปลอดภัย LDAP ผ่าน SSL (LDAPS) จึงเตรียมพร้อมให้มีความปลอดภัย เพิ่มเติม โดยทั่วไปถือว่ายังไม่ปลอดภัยเพียงพอสำหรับการใช้งานอินเทอร์เน็ต แต่จะช่วยเพิ่ม ความปลอดภัยอย่างมากในเครือข่ายภายใน โดยค่าเริ่มต้น LDAP จะใช้พอร์ต TCP 389 ในขณะที่ LDAPS ใช้พอร์ต TCP 636 NetBIOS API ของ session-layer สำหรับแอปพลิเคชันเครือข่ายแทนที่จะเป็นโปรโตคอลของแอปพลิเคชัน เป็นที่รู้จักกันดีที่สุดสำหรับการใช้งานโดยระบบ Microsoft Windows ซึ่งเรียกอีกอย่างว่า NetBEUI และใช้สำหรับการแชร์ไฟล์และเครื่องพิมพ์ตลอดจนการระบุคอมพิวเตอร์ในส่วน เครือข่ายท้องถิ่น NetBIOS ใช้พอร์ต TCP และ UDP 137-139 เนื่องจากช่องโหว่ด้านความ ปลอดภัยที่ร้ายแรงหลายประการจึงควรปิดใช้งานเมื่อเป็นไปได้และใช้เฉพาะบนเครือข่าย ที่เชื่อถือได้ เครือข่าย Windows สมัยใหม่สามารถใช้โปรโตคอลอื่น ๆ ได้ แต่ไม่ใช่แอปพลิเคชัน แบบเดิม

57 โปรโตคอลการเข้าถึงระยะไกล (Remote access protocol) นับตั้งแต่สมัยก่อนของ Mainframe และ Terminal เป็นที่นิยมในการล็อกอินเข้าสู่คอมพิวเตอร์หรือ จัดการอุปกรณ์จากที่ห่างไกล มีโปรโตคอลการเข้าถึงระยะไกลจำนวนมากโดยมีระดับความซับซ้อนและความ ปลอดภัยที่แตกต่างกัน เมื่อใช้สิ่งเหล่านี้คุณต้องตระหนักถึงความเสี่ยงด้านความปลอดภัยของแต่ละบุคคล Telnet อนุญาตให้ใช้ Terminal interfaces บรรทัดคำสั่งกับ Remote system, Telnet ถูกสร้างขึ้น ในปี 1969 เป็นหนึ่งในมาตรฐานอินเทอร์เน็ตที่เก่าแก่ที่สุดและใช้พอร์ต TCP 23 คุณสมบัติ ของมันเป็นพื้นฐานง่าย ๆ และไม่มีความปลอดภัย ดังนั้น จึงควรปิดการใช้งานเมื่อเป็นไปได้ โปรโตคอลที่คล้ายกับ telnet คือ rlogin มีช่องโหว่ที่คล้ายกันมากและควรหลีกเลี่ยงด้วย SSH Secure shell ได้รับการพัฒนาเพื่อเป็นทางเลือกที่ปลอดภัยสำหรับ Telnet และ rlogin: ช่วยให้สามารถตรวจสอบความถูกต้องและเข้ารหัสได้ดียิ่งขึ้น นอกจากนี้ยังช่วยให้คุณสมบัติ อื่น ๆ เช่น การถ่ายโอนไฟล์ SSH ใช้พอร์ต TCP 22 RDP Remote Desktop Protocol เป็นวิธีการเข้าถึงระยะไกลที่เป็นกรรมสิทธิ์ของ Microsoft ไม่เพียงแต่ให้การเข้ารหัสและการรับรองความถูกต้องเท่านั้น แต่ยังช่วยให้คุณสามารถลงชื่อ เข้าใช้เดสก์ท็อป Windows ที่สมบูรณ์ผ่านเครือข่ายได้, RDPจะใช้พอร์ต TCP 3389 VNC Virtual Network Computing เป็นชุดมาตรฐานแบบเปิดที่ใช้โปรโตคอล Remote Frame Buffer (RFB) เช่นเดียวกับ RDP VNC ช่วยให้คุณเข้าถึงเดสก์ท็อปแบบกราฟิกที่สมบูรณ์ แต่ต่างจาก RDP ตรงที่แชร์อินพุตและเอาต์พุตโดยตรงแทนที่จะสร้างเซสชันผู้ใช้ระยะไกล สิ่งนี้ทำให้มีประโยชน์อย่างยิ่งสำหรับการแชร์หน้าจอและการนำเสนอ ตลอดจนการเข้าถึง ระยะไกล มีตัวแปร VNC มากมาย เช่น RealVNC, TightVNC และ UltraVNC แต่ละอย่าง อาจมีคุณสมบัติพิเศษ เช่น ความปลอดภัยหรือการเพิ่มประสิทธิภาพระบบปฏิบัติการเฉพาะ ตามค่า default, VNC ใช้พอร์ต TCP 5900+N โดยที่ N คือ หมายเลขที่แสดง HTTP/ HTTPS เว็บแอปพลิเคชันสามารถจัดเตรียม Shell-interface แบบกราฟิกหรือบรรทัดคำสั่งได้ แต่แนวทางที่ใช้กันทั่วไป คือ แผงควบคุมบนเว็บสำหรับอุปกรณ์เครือข่ายหรือบริการ HTTP เองไม่มีความปลอดภัยที่แท้จริงดังนั้น HTTPS จึงดีกว่ามากสำหรับการใช้งานบนเครือข่าย ที่ไม่น่าเชื่อถือ SNMP Simple Network Management Protocol ใช้เพื่อจัดการและตรวจสอบอุปกรณ์เครือข่าย จากระยะไกล เช่น router และ switch แทนที่จะใช้การเข้าสู่ระบบโดยตรง SNMP จะสร้าง

58 มาตรฐานการสื่อสารระหว่างอุปกรณ์ที่มีการจัดการและแอปพลิเคชันในการจัดการส่วนกลาง SNMP ใช้พอร์ต UDP 161 และ 162 SNMPv1 ไม่มีคุณสมบัติด้านความปลอดภัยที่แท้จริง ในขณะที่เวอร์ชัน 2 มีการเพิ่มบางส่วน แต่ก็ไม่ได้มีการนำไปใช้อย่างแพร่หลาย SNMPv3 เพิ่มการรองรับสำหรับการรักษา ความปลอดภัยการเข้ารหัสเต็มรูปแบบและควรใช้ทุกครั้งที่ทำได้ โปรโตคอลการแบ่งปันทรัพยากร (Resource sharing protocols) มีการใช้โปรโตคอลที่หลากหลายเพื่อแชร์ files และ media ผ่านเครือข่ายบางส่วนใช้ผ่านอินเทอร์เน็ต แต่ส่วนใหญ่ใช้สำหรับบริการ LAN เป็นหลัก ช่องโหว่ในการใช้โปรโตคอลเหล่านี้สามารถถูกใช้โดยผู้โจมตี ในการรวบรวมข้อมูลหรือบุกรุกระบบ ดังนั้น คุณควรเรียนรู้ที่จะรักษาความปลอดภัยให้กับโปรโตคอลเหล่านี้ SMB Server Message Block อนุญาตให้แชร์ Folders หรือ Hard drives ผ่านเครือข่ายและเข้าถึง ได้เหมือนกับไดรฟ์ภายในเครื่อง ไม่เพียง แต่ใช้โดย File server เท่านั้น แต่ยังใช้กับไคลเอนต์ ที่แชร์โฟลเดอร์บนเครือข่ายแบบ peer-to-peer, SMB ได้รับการพัฒนาและเป็นที่นิยม โดย Microsoft เป็นหลัก แต่ผู้ขายจำนวนมากใช้มันในปัจจุบัน SMB สมัยใหม่ทำงานโดยตรง ผ่านพอร์ต TCP 445 SMB บางเวอร์ชันเรียกว่า CIFS และการใช้งาน Linux เรียกว่า Samba SMB ซึ่งมีไว้สำหรับใช้งานบน LAN หรือ VPN เป็นหลักแทนที่จะใช้ผ่านอินเทอร์เน็ต NFS Network File System ได้รับการพัฒนาโดย Sun Microsystems แต่ปัจจุบันเป็นมาตรฐาน เปิดของ IETF ซึ่งถูกมักใช้งานโดย Linux และระบบปฏิบัติการอื่น ๆ ที่คล้าย Unix อนุญาตให้ ไคลเอนต์หลายตัวติดตั้งระบบไฟล์ที่แชร์โดยเซิร์ฟเวอร์ระยะไกล NFS ใช้พอร์ต TCP และ UDP 111 และ TCP/UDP 2049 FTP หนึ่งในโปรโตคอลอินเทอร์เน็ตที่เก่าแก่ที่สุด File Transfer Protocol ช่วยให้เครือข่ายสามารถ เข้าถึงไฟล์ได้ ซึ่งมันจะไม่ปลอดภัยมากและไม่เหมือนกับการเข้าถึงไฟล์ในเครื่อง ดังนั้นจึงค่อย ๆ ถูกแทนที่ด้วยทางเลือกที่ปลอดภัยมากขึ้น เช่น SFTP (ส่วนหนึ่งของ SSH) หรือ FTPS (โดยใช้ SSL/TLS) อย่างไรก็ตาม FTP เองมักถูกใช้ในการเตรียมพร้อมการเข้าถึงอินเทอร์เน็ตไปยังไฟล์ เมื่อความปลอดภัยไม่ใช่ประเด็นสำคัญ FTP ใช้พอร์ต TCP 20 และ 21 TFTP Trivial File Transfer Protocol เป็น FTP เวอร์ชันที่เรียบง่ายซึ่งออกแบบมาสำหรับแอปพลิเคชัน ที่มีน้ำหนักเบามากซึ่งส่วนใหญ่จะใช้โดยโฮสต์และอุปกรณ์ที่กำหนดให้บูตค่าจากเครือข่าย ไม่เพียงมีคุณสมบัติบางส่วนน้อยกว่า FTP แต่ยังมีคุณสมบัติด้านความปลอดภัยน้อยกว่าด้วย เช่นกัน ดังนั้น จึงควรเปิดใช้งานเมื่อจำเป็นเท่านั้นและไม่ควรใช้ผ่านเครือข่ายที่ไม่น่าเชื่อถือ TFTP ใช้พอร์ต UDP 69

59 RTP Real-time Transfer Protocol ใช้ในการสตรีมเสียงและวิดีโอผ่านเครือข่ายร่วมกับโปรโตคอล RTP Control Protocol (RTCP) ของโปรโตคอลย่อยของมันเป็นที่นิยมสำหรับสื่อสตรีมมิ่ง ทุกประเภทรวมถึง VoIP การประชุมทางไกลและบริการโทรทัศน์ โปรโตคอลทั้งสองทำผ่าน UDP แต่แทนที่จะใช้พอร์ตที่กำหนดไว้อย่างดีแล้ว แต่ละเซสชันกลับใช้คู่ของพอร์ตที่กำหนด แบบไดนามิกผ่านโปรโตคอลการส่งสัญญาณ เช่น SIP หรือ H.245 RTP เป็นโปรโตคอล ที่ไม่ปลอดภัย SRTP Secure Real-time Transfer Protocol เป็นส่วนขยายความปลอดภัยของ RTP ประกอบด้วย โปรโตคอลย่อยที่เกี่ยวข้อง Secure RTCP (SRTCP) SRTP ให้การตรวจสอบสิทธิ์ผ่าน TLS หรือ HMAC-SHA1 และการเข้ารหัสผ่าน TLS เช่นเดียวกับ RTP จะใช้พอร์ต UDP แบบไดนามิก Secure shell SSH มีความคล้ายคลึงบางประการกับ SSL ในเรื่องของชื่อวัตถุประสงค์ และเทคโนโลยีพื้นฐาน แต่ทั้งสองมีความแตกต่างกันอย่างมากในเรื่องที่มาของแอปพลิเคชันและข้อมูลจำเพาะอื่น ๆ เช่นเดียวกับ SSL SSH ถูกใช้เป็นครั้งแรกเพื่อใช้ในการรักษาความปลอดภัยกับโปรโตคอลรุ่นเก่า เดิมทีมีจุดประสงค์เพื่อแทนที่ telnet, rlogin และ terminal applications ระยะไกลอื่น ๆ ที่มีการพิสูจน์ตัวตนที่อ่อนแอและไม่มีการ เข้ารหัส นอกจากนี้ยังรวมโปรโตคอลการถ่ายโอนไฟล์แบบปลอดภัย (secure copy protocol หรือ SCP), rsync และ SSH File Transfer Protocol (SFTP) เพื่อแทนโปรโตคอลการถ่ายโอนไฟล์รุ่นเก่า โปรโตคอล เหล่านี้ไม่ได้เป็นเพียงโปรโตคอลที่มีอยู่แล้วที่รันผ่าน SSH tunnel แต่ได้รับการออกแบบมาตั้งแต่ต้นเพื่อแทนที่ ฟังก์ชันการทำงานของโปรโตคอลรุ่นเก่าเหล่านั้นจากภายในของ SSH, SSH ใช้พอร์ต TCP 22 SSH ใช้การเข้ารหัสคีย์สาธารณะเพื่อพิสูจน์ตัวตนในการเชื่อมต่อการใช้งานบางอย่างใช้ใบรับรอง X.509 ที่ตรวจสอบผ่าน CA แต่ต่างจาก SSL ตรงที่รองรับวิธีการอื่น ๆ วิธีการตรวจสอบสิทธิ์ SSH แบบดั้งเดิม และยังคงได้รับการสนับสนุนนั้นขึ้นอยู่กับผู้ใช้ในการตรวจสอบความถูกต้องด้วยตนเองผ่านการแลกเปลี่ยนคีย์ สาธารณะวงนอกก่อนที่จะสร้างการเชื่อมต่อ client-server เป็นครั้งแรก คุณสามารถใช้เพื่อรักษา ความสัมพันธ์ SSH ได้แม้ไม่มี PKI นอกเหนือจาก application protocol หลักแล้ว SSH ยังสามารถใช้เป็น tunnelling protocol ในการนำเข้าข้อมูลแอปพลิเคชันที่หลากหลายหรือแม้แต่สร้าง VPN โดยหลักแล้วจะใช้เพื่อเชื่อมต่อกับ เซิร์ฟเวอร์ที่มีลักษณะคล้าย Unix โดยเฉพาะ แต่ก็สามารถใช้ได้กับระบบ Windows ได้เช่นกัน

60 การเข้ารหัสแบบไร้สาย (Wireless encryption) ตรงกันข้ามกับ SSL และสิ่งที่เกี่ยวข้อง การใช้การเชื่อมต่อที่เข้ารหัสอื่น ๆ ที่เห็นได้ชัดเจนที่สุด คือเครือข่าย Wi-Fi 802.11 ในขณะที่เครือข่ายอีเทอร์เน็ตจำนวนมากมีความปลอดภัยภายในเพียงเล็กน้อย สำหรับทุกคนที่สามารถเสียบปลั๊กได้ในโลกของ Wi-Fi แม้แต่ผู้ใช้มือใหม่ก็เรียนรู้ที่จะเปิดใช้งานฮอตสปอต ที่ปลอดภัยด้วยการเข้ารหัสที่รัดกุมและรหัสผ่านที่ยาว เหตุผลที่ง่ายในการคาดเดานั้น คือลักษณะของสัญญาณ ไร้สายทำให้ยากที่จะบรรลุประเภทของการควบคุมการเข้าถึงทางกายภาพและการแบ่งส่วนเครือข่าย Ethernet เกือบจะเป็นค่าเริ่มต้น การรักษาความปลอดภัยการเข้ารหัสบนเครือข่าย Wi-Fi ได้รับการจัดการที่ Layer 2 (Data Link) ในรูปแบบ OSI ดังนั้นจึงทำงานแตกต่างจากการเข้ารหัส upper-level มากเช่น SSL เนื่องจากใช้กับเฟรม Layer 2 ในตัวเอง จึงเข้ารหัสข้อมูลทั้งหมดบนเครือข่าย แต่เป็นแบบโลคัลแทนที่จะเป็นแบบ end-to-end ข้อมูลระดับสูงที่ส่งผ่านไปยังเครือข่ายแบบใช้สายหรือฮอตสปอตอื่นจะใช้การตั้งค่าความปลอดภัย (หรือไม่มี) สำหรับเครือข่ายนั้น ๆ โปรดทราบว่าในขณะที่เฟรมซึ่ง payload ในตัวเองถูกเข้ารหัส แต่ส่วนหัวของเลเยอร์ 2 ไม่ทำ ซึ่งหมายความว่าทั้งหมดจะเชื่อมต่อกับ MAC Address ตลอดจน SSID ของเครือข่ายที่ผู้ดักฟังสามารถ อ่านได้ไม่ว่าเครือข่ายจะปลอดภัยแค่ไหนก็ตาม ในทำนองเดียวกันการรักษาความปลอดภัย Wi-Fi จะถูกจัดการโดย hardware, firmware, และ driver ของ wireless adapter และ access point ในตัวเองแทนที่จะเป็นระบบปฏิบัติการหรือแอปพลิเคชัน ซอฟต์แวร์แยกต่างหาก การตั้งค่าความปลอดภัยเฉพาะที่ใช้โดยจุดเชื่อมต่อต้องได้รับการสนับสนุนโดยอุปกรณ์ ต่าง ๆ ที่ต้องการเชื่อมต่อกับเครือข่ายและการเข้ารหัสและการตั้งค่าความปลอดภัยที่มีอยู่นั้นเป็นชุดที่ค่อนข้าง มีข้อจำกัดซึ่งกำหนดโดยมาตรฐาน 802.11 Wi-Fi ในทางปฏิบัติแล้ว ข้อจำกัดทั้งสองนี้ต่างก็มีข้อดี ในการตั้งค่า WAP บางอย่างสามารถรองรับมาตรฐานของ client หลายมาตรฐานพร้อมกันและอุปกรณ์ Wi-Fi จำนวนมาก ใช้การเข้ารหัสแบบมีฮาร์ดแวร์เป็นตัวเร่ง ดังนั้น แม้ว่ามีการเข้ารหัสที่แข็งแกร่งในอุปกรณ์ที่ช้าก็ไม่ส่งผล กระทบต่อประสิทธิภาพการทำงาน การรับรองความถูกต้อง WPA (WPA authentication) ในตอนแรก WPA และ WPA2 ได้เสนอวิธีการตรวจสอบสิทธิ์และการกระจายคีย์จำนวนสามวิธี ในปี 2018 ได้มีการเพิ่มตัวเลือกใหม่สองตัวพร้อมกับ WPA3 เครือข่ายแบบเปิดอาจต้องมีการตรวจสอบสิทธิ์ แต่ไม่ใช่ส่วนหนึ่งของมาตรฐาน Wi-Fi คีย์ที่แชร์ล่วงหน้ำ (Pre-shared Key หรือ PSK) สามารถเรียกอีกอย่างหนึ่งว่า WPA-Personal ถูกใช้งานโดย WPA และ WPA2 โดยใช้คีย์ 256 บิต แจกจ่ายให้กับผู้ใช้ที่ได้รับอนุญาตแต่ละรายด้วยตนเอง คีย์สามารถป้อนโดยตรงเป็นเลขฐานสิบหก 64 หลัก

61 หรือในรูปแบบของรหัสผ่าน ASCII ระหว่าง 8 ถึง 63 อักขระ หากใช้รหัสผ่าน ASCII จะแฮชโดยใช้ SSID ทำหน้าที่เป็น Salt ในการสร้างคีย์, WPA-Personal มีความสะดวกสำหรับเครือข่ายขนาดเล็กที่มีผู้ใช้ไม่กี่คน และถ้ารหัสผ่านมีความยาวและการสุ่มที่เพียงพอและ SSID ผิดปกติก็จะปลอดภัยเท่ากับวิธีการใด ๆ ข้อเสีย คือ ผู้ใช้ทุกคนใช้คีย์เดียวกันซึ่งไม่เพียงหมายความว่าจะต้องมีการเปลี่ยนคีย์หากผู้ใช้รายใดรายหนึ่งถูกบุกรุก แต่คีย์ใหม่ยังต้องส่งต่อไปยังผู้ใช้แต่ละรายด้วยตนเอง การรับรองความถูกต้องของความเท่าเทียมในเวลาเดียวกัน (Simultaneous Authentication of Equals หรือ SAE) เวอร์ชันปรับปรุงของ WPA-Personal ที่ใช้โดย WPA3 ยังคงเป็นไปตามรหัสผ่านที่ใช้ร่วมกัน ซึ่งแจกจ่ายให้กับผู้ใช้ที่ได้รับอนุญาตแต่ละราย แต่จะไม่มีการใช้รหัสผ่านในการสร้างคีย์หรือเปิดเผยในเครือข่าย ในรูปแบบแฮช แทนที่จะใช้การตรวจสอบสิทธิ์ PSK แบบ 4 ทิศทางที่หาประโยชน์ได้ SAE ใช้การจับมือของ Dragonfly ที่ได้รับการปรับปรุงซึ่งเป็นข้อตกลงหลักของ Diffie-Hellman พร้อมกับการเพิ่มการพิสูจน์ความรู้ ที่เป็นศูนย์ตามรหัสผ่าน เนื่องจากคีย์เซสชันถูกสร้างขึ้นโดย DH จึงให้เกิดการก้าวหน้าของความลับ การพิสูจน์ ความรู้ที่เป็นศูนย์ทำให้ การพิสูจน์ตัวตนมีความทนทำนมากขึ้นจากการโจมตีแบบ passive และ dictionary ต่อรหัสผ่านที่ไม่รัดกุม อย่างไรก็ตามการโจมตีแบบ downgrade และ side-channel ได้ถูกค้นพบแล้ว ดังนั้นจึงยังเป็นความ ปลอดภัยที่ไม่สมบูรณ์แบบ WPA Enterprise/ 802.1x Mode ไคลเอ็นต์ที่ใช้ในการเชื่อมต่อได้รับการยินยอมให้สื่อสารกับเซิร์ฟเวอร์เฉพาะการพิสูจน์ตัวตนภายนอก โดยใช้ EAP โดยค่าเริ่มต้นจะใช้ EAP-TLS แต่รองรับมาตรฐานอื่น ๆ เช่น PEAP, EAP-TTLS หรือโปรโตคอล ที่เป็นกรรมสิทธิ์ต่าง ๆ เช่น EAP-FAST เมื่อตรวจสอบสิทธิ์ไคลเอ็นต์แล้วจะสามารถเข้าถึงเครือข่ายได้อย่าง สมบูรณ์ แต่จะไม่เห็นคีย์การเข้ารหัส WPA ได้โดยตรง ดังนั้นจึงไม่สามารถแชร์ออกไปได้ WPA-Enterprise นั้นสามารถทำงานได้ดีกว่าในการตั้งค่า แต่เนื่องจากข้อมูลรับรองของผู้ใช้แต่ละรายสามารถเปลี่ยนแปลงหรือ ลบออกได้จึงง่ายต่อการดูแลรักษาและรักษาความปลอดภัย เครือข่าย WPA Enterprise สามารถขยายเพื่อยินยอมให้มีการโรมมิ่งระหว่าง AP หลายตัวได้โดยการมี RADIUS federation ตัวเดียวรับรองความถูกต้องของไคลเอ็นต์บน AP ทั้งหมดด้วย SSID ที่ใช้ร่วมกัน ไคลเอนต์สามารถพิสูจน์ตัวตนได้ครั้งหนึ่ง จากนั้นยังคงสามารถเข้าร่วมเครือข่ายไม่ว่าพวกเขาจะอยู่ใกล้กับ AP ใดมากที่สุด การโรมมิ่ง Wi-Fi ทำได้ดีที่สุดกับ thin APs หรือ controllerless APs ที่ถูกออกแบบมาเพื่อ ปฏิบัติการเป็นส่วนหนึ่งของเครือข่ายที่มีความครอบคลุมมากขึ้น

62 Wi-Fi Protected Setup (WPS) คุณลักษณะถูกออกแบบมาเพื่อให้ง่ายสำหรับผู้ใช้เครือข่ายภายในบ้านที่ไม่ใช้เทคนิคในการควบคุม การเข้าถึงเครือข่ายเป็นโหมดเพิ่มเติมของโหมด PSK ที่ช่วยให้สามารถแชร์คีย์กับอุปกรณ์ใหม่ด้วยวิธีการอื่น ๆ เช่น PIN กลไกการจับคู่ปุ่มกดหรือการจับคู่ NFC สะดวก แต่กลับกลายเป็นว่ามีข้อบกพร่องด้านความปลอดภัย ที่สำคัญ วิธีการ PIN ซึ่งเป็นส่วนบังคับของมาตรฐานกลับกลายเป็นว่ามีความเสี่ยงต่อการโจมตีแบบ brute force โดยไม่คาดคิดผู้โจมตีสามารถแก้ PIN ได้ภายในเวลาไม่กี่ชั่วโมง แม้ว่าสิ่งนี้จะป้องกันฟรีโหลดแบบไม่เป็น ทางการ แต่ก็ไม่มีเวลาสำหรับผู้บุกรุกที่มีความมุ่งมั่น ดังนั้นจึงไม่แนะนำให้ใช้ WPS เพื่อความปลอดภัย ที่แท้จริง Wi-Fi Easy Connect โปรโตคอลการเชื่อมต่อแบบใหม่สำหรับเครือข่าย WPA2 และ WPA3 ซึ่งออกแบบมาเพื่อแก้ปัญหา ด้านความปลอดภัยของ WPS และเพิ่มความคล่องตัวในการเพิ่มอุปกรณ์ IoT ไปยังเครือข่าย Wi-Fi Easy Connect WAP และอุปกรณ์แต่ละเครื่องจะมีรหัส QR ที่ไม่ซ้ำกันซึ่งพิมพ์อยู่บนแชสซี (chassis) หรือ แผ่นกระดาษในบรรจุภัณฑ์ ผู้ใช้สามารถใช้กล้องสมาร์ทโฟนเพื่อเพิ่มอุปกรณ์ในเครือข่าย ในขณะที่เผยแพร่ซึ่ง ถือว่าปลอดภัย แต่อาจมีการเปลี่ยนแปลงได้ Captive Portal โดยทั่วไปจะพบในฮอตสปอตเชิงพาณิชย์แบบเปิดโดยไม่มีการกำหนดค่า WPA, Captive portal จะเปลี่ยนเส้นทางคำขอจากอุปกรณ์ที่เชื่อมต่อใหม่ไปยังหน้าเว็บเกตเวย์ ผู้ใช้ไม่สามารถเข้าถึงเครือข่ายได้อย่าง อิสระจนกว่าจะเป็นไปตามเงื่อนไขของพอร์ทัล เช่น ยอมรับเงื่อนไขการบริการหรือเข้าสู่ระบบบัญชี พอร์ทัลแบบแคปทีฟไม่ได้เป็นส่วนหนึ่งของข้อกำหนด Wi-Fi และไม่ต้องพึ่งพาเทคโนโลยีเฉพาะแบบ ไร้สาย ส่วนใหญ่ทำโดยการเปลี่ยนเส้นทาง HTTP, ICMP หรือ DNS สามารถข้ามได้และให้การเข้ารหัสเฉพาะ เมื่อใช้กับคุณสมบัติการเข้ารหัสไร้สายที่ฉวยโอกาส (OPE) ของ WPA3 ดังนั้นคุณควรถือว่ามันเป็นเครื่องมือ ทางการตลาดและลดความเป็นไปได้ แทนที่จะเป็นความปลอดภัยของเครือข่าย ด้วยค่าเริ่มต้น WEP จะใช้รหัสผ่านที่แชร์ล่วงหน้าสำหรับการตรวจสอบสิทธิ์ แม้ว่าจะไม่ใช่ส่วนหนึ่ง ของมาตรฐาน Wi-Fi แต่อุปกรณ์ WEP จาก Cisco และผู้จำหน่ายรายอื่นบางรายสนับสนุนระบบการตรวจสอบ ความถูกต้องโดยใช้ Lightweight Extensible Access Protocol (LEAP) นอกเหนือจากการเพิ่มข้อมูลรับรอง ส่วนบุคคลและการรับรองความถูกต้องร่วมกัน LEAP ยังเปิดใช้งานคีย์การเข้ารหัสแบบไดนามิกสำหรับ WEP เอง แม้ว่าจะยังคงมีช่องโหว่อยู่บ้างและความปลอดภัยโดยรวมยังด้อยกว่า WPA-Enterprise แต่อย่างน้อย

63 LEAP ก็มีความปลอดภัยมากกว่า WEP การแทนที่ LEAP, EAP-FAST ที่ปลอดภัยยิ่งขึ้นช่วยแก้ไขช่องโหว่ส่วน ใหญ่ของ LEAP ในขณะที่ยังคงกำหนดค่าได้ง่ายกว่า PEAP หรือตัวแปร EAP อื่น ๆ เครือข่ายส่วนตัวเสมือน (Virtual private networks) ตามความเชื่อแล้ว หากคุณต้องการสร้างการเข้าถึงระยะไกลไปยัง LAN อย่างปลอดภัยหรือเป็น วงกว้างเข้าด้วยกันLAN สองชุดที่แยกจากกันเป็นวงกว้างเข้าด้วยกันคุณต้องใช้การเชื่อมต่อ WAN แบบจุดต่อจุด การเชื่อมต่อตามวงจรให้ความเป็นส่วนตัวในระดับหนึ่งในเครือข่ายที่ไม่น่าเชื่อถือและ PPP สามารถเป็น วงกว้างเข้าด้วยกันโปรโตคอลหรือบริการใด ๆ ที่ LAN สามารถทำได้ สิ่งนี้ใช้ได้ผลดีเมื่อผู้ใช้แต่ละรายมีโมเด็ม และธุรกิจเป็นวงกว้างเข้าด้วยกันหรือสิ่งที่คล้ายเป็นวงกว้างเข้าด้วยกันอยู่แต่ในสถานการณ์ปัจจุบันเมื่อการ สั่งซื้ออินเทอร์เน็ตบรอดแบนด์เร็วขึ้นและถูกลงวิธีการเดิมนั้นมีราคาแพงและไม่มีประสิทธิภาพ ในทางกลับกัน การสื่อสารทางอินเทอร์เน็ตโดยตรงไม่ค่อยมีความปลอดภัย ปัจจุบันเครือข่ายส่วนตัวเสมือน เป็นวงกว้างเข้าด้วยกันช่วยให้สามารถสื่อสารผ่านอินเทอร์เน็ตได้ อย่างปลอดภัยทำให้การเชื่อมต่อแบบจุดต่อจุดเสมือนจริงเป็นไปอย่างมีประสิทธิภาพ การเชื่อมต่อนี้สามารถ อนุญาตให้มีการตรวจสอบสิทธิ์และการเข้ารหัสที่ไม่ได้ใช้โดยทั่วไปบนอินเทอร์เน็ต นอกจากนี้ยังสามารถ รองรับการทำ tunneling เพื่อรับ-ส่งโปรโตคอลทั้งแบบไม่กำหนดเส้นทางหรือไม่ใช้ TCP/IP ผ่านอินเทอร์เน็ต ในความเป็นจริงมันไม่จำเป็นต้องเป็นอินเทอร์เน็ตด้วยซ้ำ: คุณสามารถใช้ VPN เพื่อเข้าสู่ระบบ LAN ที่ปลอดภัยจากเครือข่ายองค์กรขนาดใหญ่หรือเพื่อรักษาความปลอดภัยการรับส่งข้อมูลทั้งหมดไปยังหรือ จากคอมพิวเตอร์บนเครือข่ายไร้สายแบบเปิด VPN ทำหน้าที่สองอย่างได้แก่ เพิ่มความปลอดภัยในเครือข่ายสาธารณะและช่วยให้การรับส่งข้อมูล LAN สามารถดำเนินการผ่านเครือข่ายสาธารณะได้อย่างโปร่งใสโดยใช้โปรโตคอลหรือการกำหนดแอดเดรส ที่แตกต่างกัน ที่ผ่านมาฟังก์ชันทั้งสองสามารถแบ่งออกเป็นหลายองค์ประกอบและสถานการณ์และทุก ๆ VPN จะมีข้อกำหนดที่แตกต่างกันสำหรับแต่ละเป้าหมาย คุณสามารถแบ่งประเภท VPN ตามลักษณะทางกายภาพของระบบเครือข่าย (Topology) หรือตาม โปรโตคอลที่ใช้ การจัดประเภท topology นั้นตรงไปตรงมาที่สุดเนื่องจากมันสะท้อนให้เห็นถึงวิธีที่คุณ สามารถใช้การเชื่อมต่อ PPP แบบเดิมได้

64 โฮสต์ต่อโฮสต์ (Host-to-host) เชื่อมต่อคอมพิวเตอร์สองเครื่องโดยต่อสายเข้าด้วยกันโดยตรง โฮสต์ไปยังไซต์ (Host-to-site) อนุญาตให้คอมพิวเตอร์เครื่องเดียวเข้าร่วมเครือข่ายที่เชื่อถือได้จากระยะไกลหรือ ที่เรียกว่าการเข้าถึงระยะไกล สามารถแทนที่เทคโนโลยีการโทรเข้ารุ่นเก่าได้ ไซต์ต่อไซต์ (Site-to-site) เชื่อมต่อเครือข่ายที่เชื่อถือได้สองเครือข่ายผ่านเครือข่ายที่ไม่น่าเชื่อถือ สามารถเข้ามา แทนที่การเชื่อมต่อ WAN leased-line WAN รุ่นเก่าได้ แต่ละจุดสิ้นสุดการเชื่อมต่อ PPP เสมือนแต่ละครั้งจำเป็นต้องมีวิธีการใช้งานฟังก์ชัน VPN ได้จริง ในส่วนของโฮสต์นี่เป็นบริการซอฟต์แวร์หรือแอปพลิเคชันทั่วไป ในส่วนท้ายของไซต์ Client application อาจถูกสร้างขึ้นในฟังก์ชันของ Router หรืออาจเป็นอุปกรณ์ฮาร์ดแวร์เฉพาะที่เรียกว่า VPN concentrator โดยเฉพาะอย่างยิ่ง VPN แบบ site-to-site นั้นมีความโปร่งใสสำหรับโฮสต์ที่ใช้งาน router หรือ concentrator จะจัดการฟังก์ชัน VPN และรักษาความปลอดภัยการรับส่งข้อมูลทั้งหมดที่ส่งผ่านลิงค์โดย อัตโนมัติ วิธีการสร้างอุโมงค์ข้อมูล (Tunneling methods) คุณยังสามารถจัดหมวดหมู่ VPN ได้ตามการสื่อสารของเครือข่ายที่ส่งผ่านอุโมงค์ การเชื่อมต่อ VPN แบบดั้งเดิม คือ สิ่งที่เรียกว่าการเชื่อมต่อแบบ full tunnel เมื่อคุณเชื่อมต่อกับ VPN การรับส่งข้อมูลเครือข่าย ทั้งหมดของคุณจะถูกกำหนดเส้นทางผ่านอุโมงค์ VPN ไม่ว่าจะไปที่ใดก็ตาม หากคุณใช้ช่องสัญญาณแบบเต็ม (full tunnel) สำหรับการเข้าถึงระยะไกลไปยังที่ทำของคุณ คำขอเครือข่ายทั้งหมดของคุณจะถูกส่งไปยัง เครือข่ายที่ทำของคุณเช่นเดียวกับที่คุณเชื่อมต่อทางกายภาพโดยทำที่นั่นช่องสัญญาณแบบเต็มมีความ ปลอดภัยมากสำหรับการเข้าถึงทรัพยากรในเครือข่ายงานของคุณ แต่อาจมีข้อเสียสำหรับการเข้าถึง อินเทอร์เน็ต ที่สำคัญที่สุดก็หมายความว่าการเชื่อมต่อเครือข่าย “ ภายนอก” ทั้งหมดของคุณจะเพิ่มภาระ ให้กับ VPN ไม่ว่าจะต้องมีการรักษาความปลอดภัยหรือไม่ก็ตาม หากคุณกาลังเล่นวีดีโอสตรีมมิ่ง (streaming video) ในขณะที่ซิงค์อีเมลบริษัทของคุณผ่าน VPN , VPN concentrator ในที่ทำของคุณจะต้องเชื่อมต่อกับ Streaming server ดาวน์โหลดวิดีโอและส่งวีดีโอเหล่านั้นผ่านอุโมงค์ นั่นไม่เพียงทำให้เกิดภาระบนเครือข่าย โดยไม่จำเป็นในที่ทำของคุณ แต่อาจทำให้เกิดปัญหาคอขวด Bottlenecks และระยะเวลาแฝงสูง high latency จากมุมมองการทำของคุณ

65 วิธีแก้ปัญหาอย่างหนึ่ง คือ VPN แบบแยกอุโมงค์ (split-tunnel VPN) ซึ่งเจาะจงทราฟฟิกที่ส่งไปยัง ช่วงปลายทางที่ระบุไว้เท่านั้น เช่นเดียวกับ VPN router จะอ่านปลายทางของแต่ละแพ็กเก็ต จากนั้น จึงตัดสินใจว่าจะส่งผ่านอุโมงค์หรือผ่านการเชื่อมต่ออินเทอร์เน็ตแบบเปิด การเชื่อมต่อแบบแยกอุโมงค์ โดยทั่วไปส่งไปยังสถานที่ทำอาจเจาะเฉพาะการสื่อสารกับที่ Addresses ที่อยู่บนอินทราเน็ตของ บริษัทเท่านั้นในขณะที่การรับส่งข้อมูลอื่น ๆ ทั้งหมดไปที่อินเทอร์เน็ตโดยตรง อุโมงค์แยกมีประสิทธิภาพ มากกว่า แต่ไม่สามารถใช้ได้กับ client หรือการกำหนดค่าเครือข่ายทั้งหมด นอกจากนี้ยังไม่มีประโยชน์หาก คุณต้องการปกป้องการรับส่งข้อมูลทั้งหมดตัวอย่าง เช่น ใช้เครือข่าย Wi-Fi ที่ไม่ได้ทำการเข้ารหัสอย่าง ปลอดภัย โซลูชันการสร้างอุโมงค์บางอย่างมีจุดมุ่งหมายเพื่อใช้งานได้กับพอร์ตเดียวหรือการเชื่อมต่อเท่านั้น โดยปกติแล้วการกำหนดค่าดังกล่าวจะไม่เรียกว่า “VPN” แต่ก็อาจเป็นได้โดยเฉพาะอย่างยิ่งเมื่อมีการใช้งาน เพื่อวัตถุประสงค์ที่คล้ายคลึงกัน เช่น เพื่อเข้าถึงทรัพยากรของ LAN เพียงเท่านั้นทางอินเทอร์เน็ต คำอธิบาย ดังกล่าวช่วยลดผลกระทบที่ไม่พึงประสงค์ของ VPN แต่ยังรวมถึงฟังก์ชันการทำด้วย

66 บทที่ 5 การปฏิบัติงานและการบริหารจัดการเหตุการณ์ไม่ปกติ (Operations and Incident Response)

67 เครื่องมือประเมินการรักษาความปลอดภัยขององค์กร (Tool to assess organizational security) ในการจัดการโปรแกรมการรักษาความปลอดภัยทางไซเบอร์อย่างมีประสิทธิภาพ คุณต้องดูการ ควบคุมความปลอดภัยและฟังก์ชันไอทีโดยทั่วไปผ่านเลนส์ ของกระบวนการจัดการความเสี่ยงทั่วทั้งองค์กร ในทำนองเดียวกันคุณต้องดูการดำเนินการด้านความปลอดภัยเพื่อให้บรรลุเป้าหมายทางธุรกิจในวงกว้าง เช่น การเติบโตหรือความยืดหยุ่นต่อเหตุการณ์ไม่พึงประสงค์และเงื่อนไขที่เปลี่ยนแปลง แนวปฏิบัตินี้เรียกว่า การกำกับดูแลความปลอดภัย เป็นส่วนหนึ่งของ ระเบียบวินัยการกำกับดูแลกิจการในวงกว้างซึ่งใช้สำหรับ การจัดการองค์กร การกำกับดูแลไอทีเป็นหลักการเดียวกับที่ใช้กับการดำเนินงานด้านไอที การกำกับดูแล ด้านไอทีและการกำกับดูแลความปลอดภัยนั้นแยกจากกัน แต่มีความเกี่ยวพันกันมากพอ ๆ กับการดำเนินงาน ด้านไอทีและการรักษาความปลอดภัย ในโลกไซเบอร์ การกำกับดูแลเป็นแนวทางปฏิบัติที่เป็นทางการและขับเคลื่อนด้วยนโยบายซึ่งออกแบบมาเพื่อให้ ฟังก์ชันการปฏิบัติงาน เช่น การรักษาความปลอดภัยสอดคล้องกับกลยุทธ์ทางธุรกิจโดยรวม นโยบายทั้งหมด ต้องตอบสนองเป้าหมายของผู้มีส่วนได้ส่วนเสียและกำหนดช่องทางที่ชัดเจนสำหรับการควบคุมและ ความรับผิดชอบ สิ่งนี้ทำให้การกำกับดูแลด้านความปลอดภัยแตกต่างจากการจัดการความเสี่ยง โปรแกรม การจัดการความเสี่ยงที่มีประสิทธิภาพสามารถช่วยคุณเลือกการควบคุม ความปลอดภัยได้ ในขณะที่การกำกับ ดูแลคือวิธีที่คุณตรวจสอบให้แน่ใจว่าได้นำไปใช้อย่างถูกต้อง ทั้งสองแนวคิดมักได้รับการกล่าวถึงพร้อมกับ การปฏิบัติตามกฎ ระเบียบมากจนหัวข้อโดยรวมมักเรียกว่าการกำกับดูแล ความเสี่ยงและการปฏิบัติตาม ข้อกำหนดหรือ GRC (governance, risk, and compliance) GRC ไม่ใช่คำที่เน้นด้านไอที แต่เมื่อคุณทำงาน ด้านไอทีหรือความปลอดภัยในโลกไซเบอร์คุณมักจะทำงานกับสิ่งหล่านั้นเป็นด้านหลัก การกำกับดูแลความปลอดภัยดูเหมือนเป็นส่วนหนึ่งของความปลอดภัยในโลกไซเบอร์ขององค์กร แต่ในทางปฏิบัติมักไม่ได้ผลเช่นนั้น ผู้บริหารระดับสูงมักจะไม่รวมการบริหารความเสี่ยงไว้ในกลยุทธ์ทางธุรกิจ อย่างเต็มรูปแบบ ซึ่งหมายความว่าความปลอดภัยและการตัดสินใจทางธุรกิจอาจขัดแย้งกัน ในบางครั้ง ความต้องการด้านความปลอดภัยจะได้รับการจัดการในลักษณะเฉพาะกิจโดยมีกลยุทธ์การจัดการความเสี่ยง ที่แตกต่างกันสำหรับแต่ละแผนกหรือระบบข้อมูล ผลก็คือไม่มีใครมีความรู้หรืออำนาจที่จะนำพวกเขาปฏิบัติ อย่างสอดคล้องกันได้ นอกจากนี้ยังง่ายที่จะลืมว่า “ผู้มีส่วนได้ส่วนเสีย” ไม่ได้หมายถึง “ผู้ถือหุ้น” แต่หมายถึงกลุ่มคน ทั้งหมดที่ให้การสนับสนุนและมีความสำคัญต่อการดำรงอยู่ขององค์กร ได้แก่เจ้าของและนักลงทุน ลูกค้า พนักงาน หน่วยงานกำกับดูแลสหภาพแรงงาน ซัพพลายเออร์และอื่น ๆ การกำกับดูแลด้านความปลอดภัยจะ พิจารณาว่าการดำเนินการ ด้านความปลอดภัยทางไซเบอร์สามารถดำเนินการเพื่อผลประโยชน์ของผู้มีส่วนได้ ส่วนเสียทั้งหมดได้อย่างไร มากกว่าที่จะเอื้อประโยชน์หรือสร้างภาระให้กับอีก ฝ่ายหนึ่ง

68 การวางแผนองค์กร (Organizational planning) องค์กรจะประสบความสำเร็จก็โดยการกำหนดเป้าหมายทางธุรกิจที่เป็นไปได้ และการออกแบบแผนที่ จะช่วยให้บรรลุเป้าหมายเหล่านั้น ส่วนสำคัญของแผนใด ๆ ก็ตาม ได้แก่ เป้าหมายระยะเวลาในการบรรลุ เป้าหมาย และสิ่งที่ส่งมอบให้กับผู้มีส่วนได้ส่วนเสีย สิ่งที่จะส่งมอบในส่วนของแผนการรักษาความปลอดภัย อาจเป็นชุดควบคุม การทำงานรายงานการประเมินความเสี่ยง หรือผลลัพธ์อื่นใดที่เกิดขึ้นจากแผน การกำกับ ดูแลที่มีประสิทธิภาพจำเป็นต้องมีการวางแผนหลายระดับ แผนกลยุทธ์ (Strategic plan) แผนทั้งธุรกิจตามวิสัยทัศน์ค่านิยมและวัตถุประสงค์ขององค์กร จัดทำขึ้นโดยผู้บริหารระดับสูง แผนกลยุทธ์ได้รับการออกแบบมาเพื่อให้บรรลุเป้าหมายระยะยาวของ บริษัท ดังนั้นพวกเขาจึงอาจมองไปใน อนาคตอีกหลายปี บ่อยครั้งที่คำพูดเหล่านี้เป็นหลักการที่ฟังดูยากยากและรวดเร็ว แต่มันก็ถูกใช้เพื่อกำหนด แผนในทุกระดับขององค์กร แผนความปลอดภัยเชิงกลยุทธ์อาจรวมถึงองค์ประกอบต่าง ๆ เช่น “ตรวจสอบให้ แน่ใจว่าลูกค้าของเรารู้ว่าข้อมูลของ พวกเขาปลอดภัยและมีการนาไปใช้อย่างไร” แผนยุทธวิธี (Tactical plan) แผนระดับกลางที่ออกแบบมาเพื่อให้บรรลุวัตถุประสงค์บางประการที่กำหนดโดยแผนกลยุทธ์ แผนยุทธวิธีมีแนวโน้มที่จะทำงานไปสู่เป้าหมายที่เฉพาะเจาะจงโดยมีระยะเวลาที่กำหนดและทรัพยากร ที่จัดสรรไว้ บ่อยครั้งการสร้างหรือการกำกับดูแลของแผนถูกมอบหมายให้เป็นหน้าที่ของผู้บริหารระดับกลาง แผนยุทธวิธีที่เกี่ยวข้องกับความปลอดภัยอาจเป็น “นำฐานข้อมูลลูกค้าและขั้นตอนที่เกี่ยวข้องไปปฏิบัติตาม กฎหมายความเป็นส่วนตัวฉบับใหม่ก่อนที่จะมีผลบังคับใช้ในวันที่ 1 มกราคม” แผนการดำเนินงาน (Operational plan) แผนอธิบายวิธีปฏิบัติงานประจำวันเพื่อบรรลุเป้าหมายที่อธิบายไว้ในแผนกลยุทธ์หรือยุทธวิธี แผนการ ดำเนินงานรวมถึงนโยบายและขั้นตอนซึ่งสามารถสร้างหรือบริหารโดยผู้บริหารระดับล่างและปฏิบัติตาม โดยพนักงานโดยตรง อาจเป็นเหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียวหรือการดำเนินการต่อเนื่องซึ่งสามารถทำได้ บ่อยเท่าที่ต้องการ แผนการดำเนินงานเพื่อให้บรรลุแผนกลยุทธ์และยุทธวิธีข้างต้นอาจรวมถึงการอัปเดต ซอฟต์แวร์ฐานข้อมูลเพื่อให้แน่ใจว่าสอดคล้องกับกฎระเบียบใหม่หรือนโยบายการตรวจสอบใหม่เพื่อตรวจจับ การละเมิดความเป็นส่วนตัวของพนักงาน การกำกับดูแลจำเป็นต้องมีแผนทั้งสามระดับเพื่อให้สอดคล้องกับเป้าหมายเชิงกลยุทธ์ขององค์กร โดยเฉพาะอย่างยิ่งสำหรับการรักษาความปลอดภัยซึ่งหากมีความคลาดเคลื่อนเพียงเล็กน้อยก็สามารถส่งผล กระทบต่อทั้งองค์กรได้ การวางแผนจะเป็นลักษณะจากบนลงล่างทั้งในแง่ของการวางแผนและในสาย การบังคับบัญชา ผู้บริหารระดับสูงต้องกำหนดเป้าหมาย และดูแลผู้บริหารระดับกลาง และที่ปรึกษาที่ ออกแบบแผนยุทธวิธีโดยละเอียด ในทางกลับกันผู้บริหารระดับกลางและที่ปรึกษาจะสั่งการเจ้าหน้าที่ ปฏิบัติงานที่จัดการความปลอดภัยแบบวันต่อวัน ในทุกกรณีผู้ที่อยู่ในระดับสูงจะทำการตัดสินใจจัดหา ทรัพยากรและตรวจสอบการปฏิบัติตามข้อกำหนด

69 บางครั้งอาจเป็นเรื่องที่น่าผิดหวังสำหรับผู้เชี่ยวชาญด้านความปลอดภัย การรักษาความปลอดภัยใน โลกไซเบอร์ไม่เคยเป็นเป้าหมายสำคัญเพียงอย่างเดียว การลดความเสี่ยงซึ่งความปลอดภัยในโลกไซเบอร์เป็น ส่วนหนึ่ง คือ เป้าหมายเดียวที่ทุกองค์กรต้องเผชิญ เป้าหมายที่สำคัญอื่น ๆ ได้แก่ การลดต้นทุนการดำเนินงาน การเพิ่มประสิทธิภาพการทำงานของพนักงาน การเติบโตของบริษัท หรือสิ่งอื่นใดที่ฝ่ายบริหารเห็นว่าจำเป็น เป้าหมายทั้งหมดเหล่านี้อาจเป็นข้อจำกัดการวางแผนด้านความปลอดภัยและเพิ่มความเสี่ยง ดังนั้นการกำกับ ดูแลที่มีประสิทธิภาพจึงต้องสร้างความสมดุลให้กับวัตถุประสงค์หลายประการ การปฏิบัติตามกฎข้อบังคับ (Regulatory compliance) ในท้ายที่สุดเป้าหมายของนโยบายความปลอดภัยก็คือ เพื่อให้แน่ใจว่าองค์กรปฏิบัติตามแนวทางที่ดี ที่สุดในการปกป้องสินทรัพย์ข้อมูล ในโลกที่เรียบง่ายนี่เป็นเพียงเรื่องของการคำนวณความเสี่ยงและค้นหา การควบคุมและขั้นตอนที่ช่วยลดความเสี่ยง แนวทางง่าย ๆ นี้ใช้ได้เฉพาะในโลกที่สมบูรณ์แบบ ที่ไม่มีใครเข้าใจ ผิดเกี่ยวกับสิ่งที่จำเป็นไม่มีใครทำอะไรลวก ๆ และไม่มีใครกระทำการโดยไม่สุจริตในการดำเนินการตาม ขั้นตอนการรักษาความปลอดภัย เป็นโลกที่ความปลอดภัยทางไซเบอร์อาจไม่จำเป็นอีกต่อไป ด้วยเหตุนี้ นโยบายความปลอดภัยมักจะอยู่ภายใต้ข้อกำหนดภายนอก โดยเฉพาะอย่างยิ่งเมื่อองค์กรของคุณจัดการกับ ข้อมูลที่บุคคลอื่นเป็นเจ้าของแนวทางตามหลักธรรมาภิบาลเพื่อตอบสนองความต้องการด้านความปลอดภัย จำเป็นต้องมีตัวเลือกด้านความปลอดภัยที่ตรงตามการตัดสินใจด้านนโยบายที่กำหนดไว้ภายใน และเป็นไปตาม ข้อกำหนดที่กำหนดโดยผู้มีส่วนได้ส่วนเสียภายนอก เนื่องจากคุณสามารถสร้างข้อผิดพลาดหรือลัดขั้นตอนได้ ง่ายมาก GRC จึงต้องมีขั้นตอน ที่เป็นทางการในการพิจารณาและปฏิบัติตามข้อกำหนดภายนอกสำหรับ แนวทางปฏิบัติทางธุรกิจรวมถึงการรักษาความปลอดภัยของข้อมูล ข้อกำหนดภายนอกที่ซับซ้อนและใช้เวลามากที่สุดอาจเป็นข้อบังคับที่กำหนดโดยหน่วยงานของรัฐ หรือหน่วยงานอุตสาหกรรม คุณมีหน้าที่ต้องรู้และปฏิบัติตามกฎหมาย ของประเทศ รัฐ หรือเขตแดนทั้งหมดใน สถานที่ที่คุณทำธุรกิจ โดยเฉพาะในยุคอินเทอร์เน็ตซึ่งอาจรวมถึงสถานที่ที่ลูกค้าของคุณอยู่ ตลอดจนสำนักงาน หรือศูนย์ข้อมูล ของคุณ นอกจากนี้คุณต้องปฏิบัติตามคำสั่งจากหน่วยงานกำกับดูแลที่ไม่ใช่ของรัฐบาลหากคุณ อยู่ในข้อตกลงทางธุรกิจที่จำเป็น Sarbanes-Oxley Act of 2002 (SOX) กฎหมายของรัฐบาลกลางที่ออกแบบมาเพื่อปกป้องนักลงทุนจากการทำบัญชีขององค์กรที่ฉ้อโกง ใช้กับบริษัทที่ซื้อขายในตลาดหลักทรัพย์และบริษัทบัญชีสาธารณะทั้งหมดที่ทำธุรกิจในสหรัฐอเมริกา บทบัญญัติบางประการใช้กับบริษัทเอกชนด้วยซ้ำ จากมุมมองด้านไอที Sarbanes-Oxley ควบคุมดูแลการเก็บ รักษาการตรวจสอบและการเปิดเผยบันทึกทางการเงินและการสื่อสารที่เกี่ยวข้องเป็นหลัก ข้อมูลที่ได้รับการ ปกป้องโดยการกระทำนี้ ไม่สามารถลบออกได้ในช่วงเวลาที่กำหนดหลังจากถูกสร้างขึ้นมา และไม่สามารถ แก้ไขข้อมูลหรือซอฟต์แวร์การบัญชีได้ หากไม่มีกระบวนการ ทางเอกสารที่เหมาะสม

70 กฎหมายการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลาง (Federal Information Security Management Act หรือ FISMA) กฎหมายที่บังคับใช้กับหน่วยงานของรัฐบาลกลางทั้งหมด กำหนดให้ทุกหน่วยงานต้องพัฒนาการ จัดทำเอกสาร และดำเนินโครงการด้านความปลอดภัยและการป้องกันข้อมูล แต่ละหน่วยงานสามารถสร้าง โปรแกรมของตนเองได้ แต่กฎหมายดังกล่าวให้แนวทางสำหรับมาตรฐานขั้นต่ำและความคุ้มทุน นอกจากนี้ยังมี แนวทางสำหรับการตรวจสอบความปลอดภัยของ ข้อมูลและการรายงานไปยังสำนักงานการจัดการและ งบประมาณ (OMB) กฎหมายความสามารถในการเข้าถึงและความรับผิดชอบของการประกันสุขภาพ (Health Insurance Portability and Accountability Act หรือ HIPAA) กฎหมายของรัฐบาลกลางที่ออกแบบมาเพื่อคุ้มครองการประกันสุขภาพของคนงานที่เปลี่ยนหรือ ตกงาน ส่วนสำคัญจากมุมมองด้านไอที คือ จะให้การปกป้องความเป็นส่วนตัวของบันทึกผู้ป่วยอย่างไร HIPAA กำหนดข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) และควบคุมวิธีการใช้หรือเปิดเผยข้อมูล นอกจากนี้ยังกำหนด มาตรฐานความปลอดภัยสำหรับการจัดเก็บและการเข้าถึง PHI กฎหมายสิทธิการศึกษาของครอบครัวและความเป็นส่วนตัว (Family Educational Rights and Privacy Act หรือ FERPA) กฎหมายความเป็นส่วนตัวของรัฐบาลกลางที่ควบคุมการเข้าถึงประวัติการศึกษาที่จัดขึ้นโดยโรงเรียน หรือสถาบันการศึกษาอื่น ๆ กฎหมายฉบับนี้ กำหนดให้นักเรียนที่เป็นผู้ใหญ่หรือผู้ปกครองของนักเรียน ชั้นผู้เยาว์สามารถเข้าถึงประวัติของพวกเขาและจำกัดวิธีการอย่างเคร่งครัดในการแบ่งปันแชร์ข้อมูลประวัติ เหล่านั้นกับผู้อื่นโดยไม่ได้รับความยินยอมจากพวกเขา FERPA อธิบายแนวทางสำหรับข้อมูลที่ต้องได้รับการ ปกป้องและวิธีการเปิดเผยข้อมูล กฎหมาย Gramm-Leach-Bliley (Gramm-Leach-Bliley Act หรือ GLBA) กฎหมายที่ออกแบบมาเพื่อคุ้มครองลูกค้าของสถาบันการเงิน กำหนดให้สถาบันดังกล่าวมีคุณสมบัติ ตามมาตรฐานขั้นต่ำเพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้าและผู้ซื้อบริการของตน นอกจากนี้ ยังกำหนดให้ สถาบันการเงินต้องแจ้งให้ลูกค้าทราบเกี่ยวกับวิธีการจัดเก็บใช้หรือแบ่งปันข้อมูล ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR หรือ GDPR) กฎหมายความเป็นส่วนตัวของสหภาพยุโรปที่ออกใหม่ซึ่งควบคุมข้อมูลส่วนบุคคลทั้งหมดที่เกี่ยวข้อง กับผู้อยู่อาศัยในสหภาพยุโรป ระบุถึงความปลอดภัยความเป็นส่วนตัวและการส่งออกข้อมูลดังกล่าว GDPR มีความสำคัญต่อบริษัทอเมริกันเนื่องจากใช้เฉพาะองค์กรต่างประเทศที่ทำธุรกิจด้วยหรือทำการตลาดกับผู้อยู่ อาศัยในสหภาพยุโรป รวมทั้งการค้าทางอินเทอร์เน็ตซึ่งหมายความว่ากฎหมายนี้อาจนำไปใช้กับองค์กรที่ไม่มี ตัวตนอยู่จริงในสหภาพยุโรป มาตรฐานการรักษาความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (Payment Card Industry Data Security Standard หรือ PCI DSS)

71 มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงินไม่ใช่กฎหมาย แต่เป็นชุดของกฎที่ใช้ ร่วมกันซึ่งพัฒนาโดย บริษัท บัตรเครดิตรายใหญ่ของโลกและบริหารงานโดย PCI Council การปฏิบัติตาม PCI DSS เป็นส่วนหนึ่งของสัญญาที่องค์กรต้องลงนามก่อนการจัดทำบัตรชาระเงิน มาตรฐานนี้กำหนดวิธีการ จัดเก็บประมวลผลและส่งข้อมูลการชำระเงิน นอกจากนี้ยังต้องมีมาตรฐานเฉพาะของการสแกนช่องโหว่ การไม่ปฏิบัติตามกฎระเบียบไม่เพียง แต่ทำร้ายชื่อเสียงองค์กรของคุณเท่านั้น แต่อาจนำไปสู่ค่าปรับ ที่เข้มงวดและบทลงโทษทางกฎหมายอื่น ๆ แม้ว่าคุณจะไม่เคยประสบกับการโจมตีที่ทำให้ข้อมูลที่ได้รับ การคุ้มครองเสียหายก็ตาม การปฏิบัติตามกฎข้อบังคับเป็นงานที่ซับซ้อน แต่เป็นสิ่งที่ต้องดำเนินการไ ม่ว่า กฎระเบียบเฉพาะจะช่วยเพิ่มความปลอดภัยในแง่ที่ใช้งานได้จริงหรือไม่ หากคุณมีบทบาทในการกำหนด นโยบายคุณมีหน้าที่ในการค้นคว้าและเรียนรู้อย่างชัดเจนว่ากฎระเบียบใดบังคับใช้กับข้อมูลของคุณ หากคุณ ไม่ได้มีหน้าที่นั้นคุณก็ควรทราบข้อมูลเบื้องต้นเกี่ยวกับกฎข้อบังคับที่ใช้กับองค์กรของคุณ ความรู้ดังกล่าว จะช่วยให้คุณเข้าใจอย่างถ่องแท้ว่าเหตุใดนโยบายและขั้นตอนการรักษา ความปลอดภัยขององค์กรของคุณจึงมี ความสำคัญและจะปฏิบัติตามอย่างไรทั้งในด้านจิตสำนึกและตามลายลักษณ์อักษร การปฏิบัติตาม PCI DSS (PCI DSS compliance) สำหรับตัวอย่างทั่วไปของการปฏิบัติตามกฎระเบียบ PCI DSS กำหนดเป้าหมายด้านความปลอดภัย 6 ประการและการควบคุมที่ได้รับคาสั่ง 12 รายการที่จำเป็นเพื่อให้บรรลุเป้าหมายดังกล่าว เป้าหมาย การควบคุม สร้างและดูแลเครือข่ายที่ ปลอดภัย 1. ติดตั้งและดูแลการกำหนดค่าไฟร์วอลล์เพื่อปกป้องข้อมูลผู้ถือบัตร 2.อย่าใช้ค่าเริ่มต้นที่ผู้จำหน่ายจัดหาให้สำหรับรหัสผ่านระบบและ พารามิเตอร์ความปลอดภัยอื่น ๆ ปกป้องข้อมูลผู้ถือบัตร 3. ปกป้องข้อมูลผู้ถือบัตรที่เก็บไว้ 4. เข้ารหัสการส่งข้อมูลของผู้ถือบัตรผ่านเครือข่ายสาธารณะแบบเปิด ดูแลโปรแกรมจัดการช่องโหว่ 5. ใช้และอัปเดตซอฟต์แวร์หรือโปรแกรมป้องกันไวรัสเป็นประจำ 6. พัฒนาและบำรุงรักษาระบบและแอปพลิเคชันที่ปลอดภัย ใช้มาตรการควบคุมการ เข้าถึงที่เข้มงวด 7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรโดยธุรกิจจาเป็นต้องทราบ 8. กำหนด ID ที่ไม่ซ้ำกันให้กับแต่ละคนที่มีการเข้าถึงคอมพิวเตอร์ 9. จำกัดการเข้าถึงข้อมูลทางกายภาพของผู้ถือบัตร ตรวจสอบและทดสอบ เครือข่ายเป็นประจำ 10.ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูล ผู้ถือบัตรทั้งหมด 11. ทดสอบระบบและกระบวนการรักษาความปลอดภัยอย่าง สม่ำเสมอ รักษานโยบายความปลอดภัย ของข้อมูล 12. รักษานโยบายที่เน้นเรื่องความปลอดภัยของข้อมูลสำหรับ บุคลากรทุกคน

72 ข้อกำหนดฉบับเต็มจะกล่าวถึงรายละเอียดเพิ่มเติมสำหรับประเภทการควบคุมที่จำเป็นแต่ละประเภท เช่น ประเภทของข้อมูลรับรองผู้ใช้หรือการเข้ารหัสที่คุณควรใช้ แม้แต่รายชื่อที่สมบูรณ์ก็ยังให้รายละเอียด มากมายสำหรับแต่ละองค์กร ดังนั้นหากคุณออกแบบระบบที่สอดคล้องกับ PCI DSS คุณจะมีอิสระในการเลือก ระหว่างการนำไปใช้งานหลาย ๆ ตัวของแต่ละการควบคุม กฎระเบียบยังใช้กับการควบคุมที่คุณต้องการ ในระบบและเครือข่ายที่มีข้อมูลผู้ถือบัตรเท่านั้น ดังนั้นคุณจะต้องมีเกณฑ์เฉพาะองค์กรทั้งหมดสำหรับ การเลือกส่วนควบคุมที่เหลือของคุณ การสอบทานธุรกิจ (Due diligence) ส่วนหนึ่งของ GRC คือ แนวคิดของการตรวจสอบสถานะทางธุรกิจ (Due Diligence) ซึ่งเป็นคำศัพท์ ทางกฎหมายมากกว่าที่จะเป็นอะไรที่เฉพาะเจาะจงสำหรับการรักษาความปลอดภัย ความหมายที่แท้จริงนั้น ขึ้นอยู่กับขอบเขตของกฎหมายที่กำลังกล่าวถึง แต่หลักการก็คล้ายกันสำหรับทุกองค์กร ก่อนที่คุณจะลงนามใน สัญญาใด ๆ คุณต้องดำเนินการตามกฎข้อบังคับ หรือสิ่งอื่นใดที่อาจนำคุณไปสู่ความรับผิดทางกฎหมาย คุณต้องตรวจสอบสถานการณ์ที่คุณกาลังจะเข้าไปทำความเข้าใจความเสี่ยงและภาระผูกพันที่เกิดขึ้น จากนั้น ใช้ความระมัดระวังตามสมควรในการดำเนินการต่อไปนี้ ตัวอย่างทางกฎหมายของการตรวจสอบสถานะ ได้แก่ การตรวจสอบว่าอาคารของคุณเป็นไปตามมาตรฐานความปลอดภัยขั้นพื้นฐานก่อนที่จะอนุญาตให้ ผู้เยี่ยมชมเข้าไปในอาคาร หรือตรวจสอบสถานะทางการเงินของธุรกิจก่อนที่คุณจะซื้อ หากมีสิ่งผิดปกติเกิดขึ้น การตรวจสอบสถานะทางธุรกิจจะช่วยให้คุณสามารถระบุได้ว่าคุณใช้มาตรการ ป้องกันที่เหมาะสมทั้งหมด เพื่อป้องกันการบาดเจ็บของแขก หรือเพื่อหาข้อมูลเกี่ยวกับใบเรียกเก็บเงินที่สำคัญใด ๆ ที่เจ้าของคนก่อนไม่ได้ ชำระ อีกแนวคิดหนึ่งที่เกี่ยวข้อง คือ การดูแลที่เหมาะสม (Due care) แต่มันมักจะไม่ตรงกันตามตัวบท กฎหมายกับการสอบทานทาง ธุรกิจเสมอไป ความแตกต่างก็คือการเอาใจใส่อย่างเหมาะสม (Due care) ก็จะ ใช้ข้อมูลที่ค้นคว้าไว้ล่วงหน้าน้อยลงรวมทั้งข้อมูลเพิ่มเติมเกี่ยวกับการดำเนินการต่อเนื่องที่คุณดำเนินการกับ ทรัพย์สินใด ๆ ที่คุณต้องรับผิดชอบ ตัวอย่างเช่นการรักษามาตรฐานความปลอดภัยของทรัพย์สินของคุณตาม เวลาที่ผ่านไป หรือการตัดสินใจทางธุรกิจที่สมเหตุสมผลสำหรับบริษัทที่คุณจัดการให้กับผู้อื่นเป็นตัวอย่างของ การดูแลที่เหมาะสม หากมีสิ่งผิดปกติเกิดขึ้นการดูแลอย่างเหมาะสมจะช่วยให้คุณสามารถระบุได้ว่า คุณทำงาน ด้วยความสุจริตใจเพื่อปกป้องบริษัทและทรัพย์สินของบริษัทจากอันตราย เมื่อพูดถึงความปลอดภัยทางไซเบอร์การตรวจสอบสถานะทางธุรกิจและการดูแลที่เหมาะสมจะมีผล บังคับใช้เมื่อคุณปฏิบัติตามข้อกำหนดภายในหรือภายนอก นโยบายขององค์กร กฎระเบียบของรัฐบาล และข้อตกลงกับบุคคลที่สามเป็นข้อตกลงที่มีผลผูกพัน ดังนั้นคุณจะต้องเรียนรู้ภาระหน้าที่ของคุณและปฏิบัติ ตามโดยสุจริตใจ การตรวจสอบสถานะความปลอดภัยทางไซเบอร์เกี่ยวข้องกับการทำความเข้าใจความเสี่ยง ที่องค์กรของคุณต้องเผชิญ ทำให้มั่นใจว่าบุคลากรเข้าใจเรื่องเหล่านี้และออกแบบนโยบายความปลอดภัยที่ช่วย

73 ลดความเสี่ยงดังกล่าวได้อย่างสมเหตุสมผล การดูแลที่เหมาะสมเป็นกระบวนการที่ทำให้เป็นไปตามมาตรฐาน ที่กำหนดโดยนโยบายเหล่านั้น ความล้มเหลวในการดำเนินการอย่างใดอย่างหนึ่งถือได้ว่าเป็นความประมาท และอาจนำไปสู่ความรับผิดทางแพ่งหรือทางอาญาสำหรับความเสียหายที่เกิดขึ้น มาตรฐานที่คุณต้องปฏิบัติตามนั้นขึ้นอยู่กับนโยบายและข้อตกลงภายนอกที่คุณต้องปฏิบัติและเป็น ความรับผิดชอบของคุณที่จะต้องเรียนรู้ว่ามาตรฐานเหล่านี้คืออะไรและปฏิบัติตาม คุณไม่จำเป็นต้องฝ่าฝืน กฎระเบียบโดยตรงมันจะทำให้คุณสูญเสียจากการฟ้องร้องทางแพ่งที่มีค่าใช้จ่ายสูง แม้ว่าคุณจะไม่ต้องรับผิด ทางกฎหมายในบางสิ่งบางอย่าง แต่ลูกค้าและคู่ค้าของคุณจะคาดหวังให้คุณรักษามาตรฐานบางประการ เกี่ยวกับข้อมูลที่เกี่ยวข้องกับพวกเขา การไม่ทำเช่นนั้นจะทำให้คุณสูญเสียทางธุรกิจแม้ว่าจะไม่ ต้องขึ้นศาลก็ตาม ด้วยเหตุผลทั้งหมดนี้การวางแผน GRC ของคุณจำเป็นต้องมีผู้เชี่ยวชาญด้านกฎหมายและประเด็นด้าน การปฏิบัติตามกฎระเบียบที่เกี่ยวข้องกับความ ปลอดภัยทางไซเบอร์และสาขาธุรกิจเฉพาะของคุณ เครื่องมือตรวจสอบ (Monitoring tools) เครือข่ายเป็นเส้นทางหรือวิธีการสำหรับการโจมตี ขณะเดียวกันมันก็เป็นช่องทางสำคัญใน การตรวจจับภัยคุกคามต่อทรัพยากรขององค์กร ไม่เพียงแต่คุณสามารถตรวจพบปัญหาด้านความปลอดภัย โดยใช้ส่วนประกอบความปลอดภัยของเครือข่ายและการตรวจสอบการรับส่งข้อมูลที่น่าสงสัย แต่คุณสามารถ ใช้เครือข่ายเพื่อตรวจสอบโฮสต์แต่ละโฮสต์จากส่วนกลาง แม้กระทั่งเหตุการณ์ด้านความปลอดภัยที่ไม่ได้อิงกับ เครือข่าย นอกจากระบบเฉพาะด้านความปลอดภัย เช่น NIDS (Network Instrusion Detection System) แล้วยังมีเครื่องมืออีกมากมายที่คุณสามารถใช้ ร่วมกับผู้ดูแลระบบเครือข่ายเพื่อเฝ้าระวังปัญหาด้าน ประสิทธิภาพ การโจมตี หรือความล้มเหลวของเครือข่ายที่กำลังจะเกิดขึ้น เครื่องมือตรวจสอบอาจเป็น ฮาร์ดแวร์เฉพาะ หรืออาจเป็นซอฟต์แวร์ที่ติดตั้งบนอุปกรณ์เครือข่ายหรือโฮสต์ ทั้งนี้ขึ้นอยู่กับฟังก์ชันที่แน่นอน ไม่ว่าจะด้วยวิธีใดฟังก์ชันต่าง ๆ อาจรวมกันเป็น เครื่องมือเดียว ในทำนองเดียวกันอาจเป็นส่วนถาวร ของเครือข่าย หรือเชื่อมต่อชั่วคราวเพื่อวัตถุประสงค์ในการวินิจฉัยเท่านั้น ส่วนใหญ่ยังสามารถวางหรือเข้าถึง ได้โดยผู้โจมตีที่มีการเข้าถึงที่เพียงพอ เครื่องวิเคราะห์เครือข่าย (Network analyzer) ตรวจจับและวิเคราะห์ปริมาณการใช้งานเครือข่าย สามารถอ่านแพ็กเก็ตเฮดเดอร์เพื่อกำหนดรูปแบบ การรับส่งข้อมูล หรือดูข้อมูลโปรโตคอลในเชิงลึก มีชื่อเรียกอีกอย่างว่าตัววิเคราะห์แพ็กเก็ตหรือตัววิเคราะห์ โปรโตคอล การตรวจสอบแบนด์วิดท์ (Bandwidth monitor) ตรวจสอบระดับการรับส่งข้อมูลโดยรวมบนเครือข่ายหรืออุปกรณ์และอินเทอร์เฟซเฉพาะ สามารถใช้ เพื่อค้นหาปัญหาด้านประสิทธิภาพ หรือตรวจจับ ปริมาณการใช้งานที่ไม่คำดคิด

74 Port mirror พอร์ตบนสวิตช์หรืออุปกรณ์เครือข่ายอื่นที่กำหนดค่าให้คัดลอกทราฟฟิกในลิงก์อื่น และส่งต่อไปยังระบบบันทึก หรือวิเคราะห์ในอุปกรณ์ Cisco ฟีเจอร์นี้ เรียกว่า Switched Port Analyzer (SPAN) แต่ผู้ให้บริการรายอื่นใช้ ชื่อเรียกที่แตกต่างกัน Network tap อุปกรณ์ฮาร์ดแวร์ที่ออกแบบมาเพื่อทำการพอร์ตมิเรอร์ Port tap ทั่วไปจะมีพอร์ต A พอร์ต B และ พอร์ตตรวจติดตาม โดยสามารถวางระหว่าง อุปกรณ์สองเครื่องใดก็ได้โดยใช้สายเคเบิลเสริม Traffic aggregator อุปกรณ์ซึ่งโดยปกติแล้วเป็นอุปกรณ์เครือข่ายราคำไม่แพง ที่รวมอินพุตจากพอร์ตมิเรอร์และ tap ข้ามเครือข่าย จากนั้นกรองข้อมูลดิบก่อนป้อนเข้า สู่ระบบการตรวจสอบ Collector อุปกรณ์ฮาร์ดแวร์หรือบริการซอฟต์แวร์ที่รับจัดเก็บและประมวลผลข้อมูลการตรวจสอบเครือข่าย ล่วงหน้า โดยเฉพาะในบริบทของการวิเคราะห์ NetFlow collector อาจอยู่ระหว่าง Traffic aggregator และ ซอฟต์แวร์วิเคราะห์ เครื่องวิเคราะห์ไร้สาย (Wireless analyzers) ใช้เพื่อค้นหาความแออัดและการรับสัญญาณบนเครือข่ายไร้สาย นอกจากนี้ยังมีประโยชน์สำหรับ การทำแผนที่พื้นที่ครอบคลุมและการตรวจจับ AP (Access Point) ที่หลอกลวง SNMP (Simple Network Management Protocol) มักใช้สำหรับการจัดการอุปกรณ์เครือข่ายจากระยะไกล แต่ก็มีประโยชน์เช่นเดียวกับการรวบรวม ข้อมูลเครือข่าย Logs การบันทึกที่โฮสต์เครือข่ายและอุปกรณ์เกี่ยวกับเหตุการณ์เครือข่ายที่ผิดปกติ หรือแม้แต่กิจวัตร ประจำวัน และเหตุการณ์ต่าง ๆ บนเครือข่าย Syslog รวบรวมบันทึกของระบบจากอุปกรณ์เครือข่ายบนเซิร์ฟเวอร์ส่วนกลางเพื่อการวิเคราะห์ ข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (Security Information and Event Management หรือ SIEM) โซลูชันส่วนกลางที่คอยตรวจสอบและรายงานข้อมูลที่รวบรวมโดยเครื่องมือบันทึก เซ็นเซอร์ทางกายภาพ (Physical sensor) อุปกรณ์แบบใช้สายหรือไร้สายที่รายงานสภาพทางกายภาพที่อาจส่งผลต่อการทำงานของเครือข่าย เช่น อุณหภูมิ ความชื้น หรือคุณภาพของพลังงานไฟฟ้า มักเป็นส่วนหนึ่งของระบบควบคุมสิ่งแวดล้อมหรือ ระบบความปลอดภัย

75 เครื่องมือตรวจสอบจำนวนมากสามารถกำหนดค่าให้ส่งการแจ้งเตือนทางอีเมลหรือ SMS เมื่อมีเหตุการณ์ตาม เงื่อนไขฉุกเฉินที่กำหนดไว้ล่วงหน้า แต่การตรวจ สอบเครือข่ายจะมีประสิทธิภาพสูงสุดเสมอเมื่อผู้ดูแลระบบ คอยตรวจสอบปัญหาอยู่เสมอ เครื่องวิเคราะห์เครือข่าย (Network analyzers) เครื่องวิเคราะห์เครือข่าย ไม่ว่าคุณจะเรียกว่าอะไรก็ตาม มันเป็นหนึ่งในเครื่องมือที่ทรงพลังและ หลากหลายที่สุดสำหรับการตรวจสอบและแก้ไขปัญหาเครือข่าย มันอาจเป็นอุปกรณ์ฮาร์ดแวร์ แต่โดยทั่วไป แล้วเครื่องวิเคราะห์ คือ แอปพลิเคชันซอฟต์แวร์ที่ติดตั้งไว้ในโฮสต์เช่นแล็ปท็อป โดยตั้งค่า NIC (Network Interface Card) เป็นโหมดรับทุกแพ็คเก็ตข้อมูล มีแอปพลิเคชันการดักจับแพ็คเก็ตทั่วไปหลายตัว ได้แก่ Wireshark, tcpdump และ Microsoft Message Analyzer Wireshark เครื่องวิเคราะห์เครือข่ายยอดนิยม คุณสามารถใช้ตัววิเคราะห์เพื่อตรวจสอบอินเทอร์เฟซเดียว แต่เพื่อเพิ่มปริมาณการรับส่งข้อมูล ที่มัน สามารถรวบรวมได้ คุณควรเชื่อมต่อกับพอร์ตการตรวจสอบ บนสวิตช์ หรือกับฮาร์ดแวร์แท็ปที่ตั้งค่าไว้ในส่วน เครือข่ายที่ไม่ว่าง ไม่ว่าจะด้วยวิธีใดการวิเคราะห์แพ็คเก็ตมีประโยชน์สำหรับงานจำนวนเท่าใดก็ได้ คุณสามารถ แมปโครงสร้างเครือข่ายเชิงตรรกะ ค้นหาระบบการโกง ตรวจสอบกิจกรรมของเครือข่ายเพื่อติดตาม ประสิทธิภาพหรือรับรู้ปัญหา ระบุโปรโตคอลที่ผิดปกติหรือ การโจมตีที่อาจเกิดขึ้น และแก้ไขปัญหาเครือข่าย ตัววิเคราะห์เครือข่ายบางตัวยังอนุญาตให้มีการดำเนินการกับเครือข่ายที่ซับซ้อนและหลากหลายมากขึ้น เช่น การถ่ายโอนไฟล์และการเข้าถึงระยะไกล อย่างที่คุณอาจเดาได้ว่า ฟีเจอร์เดียวกันกับที่ทำให้เครื่องวิเคราะห์เครือข่ายเหมาะอย่างยิ่งสำหรับ ผู้ดูแลระบบในการค้นหาปัญหา แต่มันก็ยังทำให้ผู้โจมตีหรือ สายลับรวบรวมข้อมูลที่ละเอียดอ่อนหรือข้อมูล ส่วนตัวบนเครือข่ายได้ง่าย จึงควรติดตั้งและใช้งานโดยได้รับการอนุมัติและการกำกับดูแลที่เหมาะสมกับ

76 นโยบาย ความปลอดภัยของเครือข่ายเท่านั้น ผู้ดูแลระบบเครือข่ายควรเฝ้าระวังการใช้งานตัววิเคราะห์ เครือข่ายภายนอกหรือภายในเครือข่ายโดยไม่ได้รับอนุญาต SNMP (Simple Network Management Protocol) นับตั้งแต่มีการพัฒนาในช่วงปลายทศวรรษที่ 1980 SNMP ได้กลายเป็นมาตรฐานที่ได้รับความนิยม สูงสุดสำหรับการตรวจสอบและจัดการอุปกรณ์ เครือข่ายจากระยะไกล ระบบ SNMP ประกอบด้วย ส่วนประกอบหลายประเภท Agent ซอฟต์แวร์ SNMP ที่ทำงานบนอุปกรณ์ที่มีการจัดการ แต่เดิมอุปกรณ์ที่มีการจัดการคืออุปกรณ์ เครือข่าย เช่น สวิตช์ เราเตอร์ หรือเซิร์ฟเวอร์ ทุกวันนี้สามารถเป็นอุปกรณ์ IP เกือบทุกชนิดรวมถึงโทรศัพท์ กล้อง และโฮสต์อื่น ๆ Manager แอปพลิเคชันซอฟต์แวร์ที่ใช้ในการจัดการ agent ตัว Manager เองบางครั้ง เรียกว่า ระบบการจัดการ เครือข่าย (NMS) และโฮสต์ ที่เรียกใช้มันว่าสถานีจัดการเครือข่าย Object Identifier (OID) หมายเลขเฉพาะที่เกี่ยวข้องกับคุณสมบัติออบเจ็กต์ที่ตรวจสอบได้บนอุปกรณ์ที่มีการจัดการ ตัวอย่างเช่น บนสวิตช์สถานะขึ้นหรือลง ของอินเทอร์เฟซเฉพาะอาจเป็นออบเจ็กต์ เช่นเดียวกับอัตราการรับส่ง ข้อมูลขาเข้า (ค่าที่แท้จริงของออบเจ็กต์เรียกว่าตัวแปร)

77 ฐานข้อมูลการจัดการ (Management Information Base หรือ MIB) ฐานข้อมูลที่มี OID สำหรับอุปกรณ์ที่มีการจัดการซึ่งจัดเรียงตามลำดับชั้นแบบต้นไม้ MIB ถูกสร้างขึ้นใน agent และสำเนาของโครงสร้างจะถูกอิมพอร์ต ไปยัง NMS โครงสร้างแบบมิเรอร์ช่วยให้ทั้งสองสื่อสารกันได้ อย่างชัดเจนเกี่ยวกับฟังก์ชั่นของอุปกรณ์ โดยทั่วไปแล้ว แพ็กเก็ต SNMP จะใช้ UDP บนพอร์ต 161 และ 162 แต่ละส่วนประกอบด้วยเฮดเดอร์ ที่มีหมายเลขเวอร์ชัน SNMP ชื่อชุมชนที่กำหนด เครือข่าย SNMP และ PDU ที่มีการสื่อสาร SNMP มี PDU หลายประเภทแม้ว่ารายละเอียดจะแตกต่างกันไปบ้างตามเวอร์ชันของโปรโตคอล • ในพอร์ต 161 ผู้จัดการสามารถใช้ข้อความ Get และ Set เพื่อดูข้อมูล agent หรือทำการเปลี่ยนแปลง การตั้งค่า ในขณะที่ agent ตอบกลับด้วยข้อความตอบกลับ การสำรวจจาก NMS มีประโยชน์สำหรับ การดูสภาพเครือข่าย • รายงาน agent ถึง manager ที่ไม่ได้ร้องขอ เรียกว่า Traps และใช้พอร์ต 162 Traps มีประโยชน์ สำหรับการแจ้ง NMS ถึงปัญหาหรือเหตุการณ์สำคัญ เวอร์ชันของ SNMP (SNMP versions) มี SNMP สามเวอร์ชันหลักที่ใช้งานทั่วไป ตามทฤษฎีแล้ว SNMPv3 ใหม่ล่าสุดเท่านั้นที่เป็นมาตรฐาน IETF ปัจจุบัน และเวอร์ชันเก่าทั้งหมดล้าสมัย ในทางปฏิบัติการใช้งาน SNMP ที่กำหนดอาจรองรับสองหรือทั้ง สามเวอร์ชัน SNMPv1 เวอร์ชันดั้งเดิมของโปรโตคอล SNMPv1 ไม่มีฟีเจอร์ด้านความปลอดภัยที่แท้จริง community name ของสตริงทำหน้าที่เป็นรูปแบบการ ตรวจสอบสิทธิ์ที่เรียบง่ายมาก ซึ่งคล้ายคลึงกับรหัสผ่าน เนื่องจากมีการ ส่งผ่านข้อความที่ชัดเจนจึงง่ายต่อการบุกรุกแม้ว่าจะเดาได้ไม่ยาก SNMPv2c ปรับปรุงฟังก์ชันการทำงานและประสิทธิภาพมากกว่า v1 แต่ใช้รูปแบบข้อความที่แตกต่างกันและ เพิ่มประเภท PDU มากขึ้น ดังนั้น จึงไม่สามารถใช้งาน ร่วมกันได้โดยตรง SNMPv2 ดั้งเดิมมีฟีเจอร์ด้านความ ปลอดภัย แต่ไม่เป็นที่นิยมเนื่องจากความซับซ้อนจึงไม่เคยถูกนำมาใช้อย่างแพร่หลาย SNMPv2c มีฟังก์ชัน v2 อื่น ๆ แต่ใช้การพิสูจน์ตัวตน ที่มีcommunity name เดียวกันกับ v1 SNMPv3 เพิ่มความปลอดภัยในการเข้ารหัสเต็มรูปแบบให้กับฟังก์ชันโปรโตคอลของ SNMPv2c นอกเหนือจาก การพิสูจน์ตัวตนและการเข้ารหัสแล้วยังไม่มี การเปลี่ยนแปลงที่แท้จริงกับโปรโตคอลหรือรูปแบบข้อความ

78 อย่างไรก็ตาม SMNPv3 กำหนดองค์ประกอบของระบบบางอย่างแตกต่างกันไปตาม วัตถุประสงค์ด้านแนวคิด และเอกสารประกอบ นโยบาย กระบวนการ ขั้นตอนการตอบสนองต่อเหตุการณ์ (Policies, processes, and procedures for incident response) บทบาทและความรับผิดชอบขององค์กร (Organizational roles and responsibilities) คุณอาจเคยมีงานที่สามารถอธิบายบทบาทของคุณในองค์กรได้หลายวิธี ไม่ว่าจะเป็นตำแหน่งงาน ผู้บังคับบัญชาความรับผิดชอบของคุณคืออะไร การจัดหมวดหมู่ของคุณภายใต้ข้อบังคับบางอย่าง เป็นต้น จากมุมมองด้านการกำกับดูแลความปลอดภัยบทบาทของคุณคือส่วนที่คุณมีบทบาทในการพัฒนาและรักษา ความปลอดภัยขององค์กรโดยรวม และปกป้องทรัพย์สินขององค์กร ตำแหน่งงานและลำดับชั้นขององค์กรควรสะท้อนถึงบทบาทด้านความปลอดภัย (Security role) หากเป็นไปได้ แต่ไม่มีวิธีเดียวในการจัดโครงสร้าง Security role บางอย่างที่คุณอาจจะเคยเห็นมีดังต่อไปนี้: ผู้จัดการ (Manager) บุคคลที่รับผิดชอบต่อทรัพย์สินขององค์กรและผู้ที่มีอำนาจในการตัดสินใจเกี่ยวกับวิธีปกป้องทรัพย์สิน เหล่านั้น การจัดการมีกี่ระดับขึ้นอยู่กับองค์กร แต่สุดท้ายแล้วผู้บริหารระดับสูงจะต้องอนุมัติการตัดสินใจ ด้านความปลอดภัยทั้งหมด และจะต้องรับผิดชอบต่อความล้มเหลวด้านความปลอดภัย ฝ่ายบริหารมัก มอบหมายการตัดสินใจทางเทคนิคให้กับบุคคลอื่น แต่ยังคงต้องฝึกฝน Due diligence และ Due care เพื่อให้ แน่ใจว่านโยบายความปลอดภัยได้รับการออกแบบอย่างเหมาะสมและนาไปใช้อย่างซื่อตรง ผู้เชี่ยวชำญด้านความปลอดภัย (Security professional) พนักงานที่ได้รับการฝึกอบรมทางเทคนิคซึ่งมีหน้าที่รับผิดชอบในการดำเนินการควบคุมความปลอดภัย ตามที่ผู้บริหารระดับสูงกำหนด ผู้เชี่ยวชาญด้านความปลอดภัยทุกระดับมีหน้าที่รับผิดชอบในการปฏิบัติงาน ด้านความปลอดภัย ดูแลผู้ใช้และตระหนักถึงการละเมิดนโยบายหรือเหตุการณ์ด้านความปลอดภัย แม้ว่าพวก เขาจะให้คำแนะนาผู้บริหารระดับสูงได้ แต่ก็ไม่ได้ตัดสินใจด้านนโยบายด้วยตนเอง ผู้ใช้ (User) บุคคลที่สามารถเข้าถึงเนื้อหาที่ละเอียดอ่อน แต่ไม่ได้อยู่ในบริบทของการรักษาความปลอดภัยโดยตรง ผู้ใช้จะได้รับการเข้าถึงและให้คำแนะนาโดยผู้เชี่ยวชาญด้านความปลอดภัยตามทิศทางของการจัดการ ผู้ใช้ต้อง ได้รับการฝึกอบรมและตระหนักถึงความปลอดภัยเพียงพอที่จะปฏิบัติตามนโยบายของผู้ใช้อย่างชาญฉลาดและ ละเว้นจากการกระทำใด ๆ ที่อาจส่งผลต่อความปลอดภัย ผู้ตรวจสอบ (Auditor) บุคคลที่รับผิดชอบในการตรวจสอบและตรวจสอบประสิทธิภาพของนโยบายความปลอดภัย ผู้ตรวจสอบอาจเป็นที่ปรึกษาภายนอกหรือผู้เชี่ยวชาญด้านความปลอดภัยอิสระภายในองค์กร เป้าหมายของ การตรวจสอบคือเพื่อให้แน่ใจว่านโยบายความปลอดภัยได้รับการออกแบบมาอย่างเหมาะสม ผู้เชี่ยวชาญด้าน

79 ความปลอดภัยนำไปใช้อย่างถูกต้องและผู้ใช้ปฏิบัติตาม ในตอนท้ายผู้ตรวจสอบจะจัดทำรายงานสถานะที่แสดง ประสิทธิภาพของโปรแกรมความปลอดภัยและนำเสนอต่อฝ่ายบริหารเพื่อให้สามารถปรับปรุงได้ การกำหนดบทบาทเป็นสิ่งสำคัญสาหรับการรักษาการกำกับดูแลความปลอดภัย ไม่ว่าคุณจะพูดคุย เกี่ยวกับสินทรัพย์ หรือกระบวนการตัดสินใจ คุณควรระบุได้ง่ายว่าใครเป็นผู้รับผิดชอบบทบาทความปลอดภัย แต่ละอย่าง ตัวอย่างเช่น หากการป้องกันความเสี่ยงเนื่องจากโปรแกรมที่ไม่ได้รับอนุญาตเป็นเป้าหมายของ นโยบาย ผู้เชี่ยวชาญด้านความปลอดภัยจะต้องดูแลการติดตั้งแอปพลิเคชันและการกำหนดค่าและสร้างความ มั่นใจให้กับผู้ใช้ ผู้ใช้ต้องรับผิดชอบในการปฏิบัติตามนโยบาย เช่น การไม่ติดตั้งซอฟต์แวร์ที่ไม่ได้รับอนุญาต ผู้ตรวจสอบต้องรับผิดชอบในการตรวจจับการละเมิดนโยบาย ในที่สุดสิ่งนี้จะไม่สามารถเกิดขึ้นได้เลยหากไม่มี ฝ่ายบริหารอนุมัติและดูแลนโยบาย เมื่อมีสิ่งผิดปกติเกิดขึ้นบทบาท คือ วิธีที่คุณติดตามความรับผิดชอบและความรับผิด ลองนึกภาพ โปรแกรมที่ไม่ปลอดภัยซึ่งก่อให้เกิดการละเมิดข้อมูล มีการติดตั้งโดยผู้ใช้ที่ละเมิดนโยบายโดยเจตนาหรือ ไม่รู้ตัว? หรือถูกมองข้ามเนื่องจากขาดการตรวจสอบหรือไม่? แอปพลิเคชันได้รับการอนุมัติโดยผู้เชี่ยวชาญ ด้านความปลอดภัยซึ่งน่าจะรู้จักดีกว่าหรือไม่ หรือฝ่ายบริหารอนุมัติโดยไม่มีการวิจัยทางเทคนิคที่เพียงพอ ความล้มเหลวที่เกิดขึ้นไม่เพียงแต่กำหนดว่าใครจะต้องรับผิดชอบทันที แต่มีใครบ้างที่สามารถป้องกันได้ ตำแหน่งบริหาร (Management positions) การตรวจสอบสถานะและการดูแลอย่างเหมาะสมโดยผู้บริหารถือเป็นส่วนสำคัญอย่างยิ่งของการ กำกับดูแลความปลอดภัย แต่ผู้จัดการมักไม่มีพื้นฐานด้านไอทีหรือความปลอดภัยทางไซเบอร์ด้วยตนเอง แม้จะ อยู่ในลำดับชั้นของการจัดการ แต่ก็จำเป็นอย่างยิ่งที่จะต้องมีการตัดสินใจด้านความปลอดภัยผ่านบุคคลที่มี ความรู้ที่เหมาะสม หรือเข้าใจถึงความสำคัญของการรักษาความปลอดภัยมากพอที่จะทำงานอย่างใกล้ชิดกับ ผู้เชี่ยวชาญด้านความปลอดภัย ชื่อตำแหน่งบริหารอาจกำหนดโดยองค์กรหรือตามข้อกำหนดขององค์กร ในสหรัฐอเมริกาเป็นเรื่องปกติที่บริษัทต่าง ๆ จะมีการแบ่งประเภทของหัวหน้าเจ้าหน้าที่หรือผู้บริหารระดับ C ซึ่งส่วนใหญ่จะมีคำว่า “Chief” อยู่ในชื่อตำแหน่ง คุณอาจคุ้นเคยกับบางคน เช่น ประธานเจ้าหน้าที่บริหาร และประธานเจ้าหน้าที่ฝ่ายการเงิน ชื่อตำแหน่งอื่น ๆ อาจมองเห็นไม่บ่อยนักในชีวิตประจาวัน แต่อาจจะเป็น ผู้ที่จะตัดสินใจเรื่องความปลอดภัยทางไซเบอร์โดยตรง • ประธานเจ้าหน้าที่ฝ่ายสารสนเทศ (the Chief Information Officer หรือ CIO) ดูแลงานด้านไอที เป็นบทบาทที่ต้องใช้ความรู้ทางเทคนิค แต่ในองค์กรขนาดใหญ่มักจะเป็นฝ่ายกลยุทธ์มากกว่าการ ลงมือปฏิบัติ • หัวหน้าเจ้าหน้าที่รักษาความปลอดภัย (the Chief Security Officer หรือ CSO) ดูแลความต้องการ ด้านความปลอดภัยเชิงกลยุทธ์โดยให้ความสำคัญกับการจัดการความเสี่ยงขององค์กร • หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (the Chief Information Security Officer หรือ CISO) อาจมีอยู่นอกเหนือจากหรือแทนที่จะเป็น CSO หากมีทั้งสองอย่าง CISO จะมุ่งเน้นไปที่สินทรัพย์ ข้อมูลทางเทคนิคมากขึ้น

80 • ประธานเจ้าหน้าที่ฝ่ายการปฏิบัติ (the Chief Compliance Officer หรือ CCO) และหัวหน้า เจ้าหน้าที่ความเป็นส่วนตัว (the Chief Privacy Officer หรือ CPO) เป็นบทบาทที่เชี่ยวชาญมากขึ้น ซึ่งทำให้มั่นใจได้ว่ามีการปฏิบัติตามกฎระเบียบของอุตสาหกรรมและกฎหมายความเป็นส่วนตัว ตามลำดับ การบังคับใช้นโยบาย (Policy enforcement) โครงการรักษาความปลอดภัยที่ประสบความสำเร็จจำเป็นต้องมีส่วนร่วมของบุคลากรทุกคน วิธีเดียวที่ จะทำให้มั่นใจได้ คือ การบังคับใช้นโยบายจากบนลงล่าง มิฉะนั้นจะไม่มีการแก้ไขความบกพร่อง และอาจตรวจ ไม่พบตั้งแต่แรก ส่วนสำคัญของการบังคับใช้นโยบาย ได้แก่: • การดูแลให้โปรแกรมรักษาความปลอดภัยได้รับเงินสนับสนุนเพียงพอที่จะอนุญาตให้บังคับใช้ นโยบายได้ • ดำเนินการตรวจสอบเป็นระยะและการติดตามอย่างต่อเนื่องเพื่อตรวจหาปัญหาการปฏิบัติตาม นโยบาย • การจัดทำขั้นตอนการรายงานเมื่อพบปัญหาการปฏิบัติตามข้อกำหนด ผู้เชี่ยวชาญด้านความปลอดภัยมีบทบาทสำคัญในการบังคับใช้นโยบาย แต่ทำคนเดียวไม่ได้ ทรัพยากร บุคคลต้องรับผิดชอบในการฝึกอบรมทบทวนและกำหนดวินัยบุคลากร ที่สำคัญยิ่งไปกว่านั้น ผู้บริหารระดับสูง ต้องสนับสนุนการบังคับใช้นโยบายโดยตรง มีเพียงพวกเขาเท่านั้นที่สามารถตรวจสอบว่าการดำเนินการด้าน ความปลอดภัยและการฝึกอบรมได้รับทรัพยากรที่เพียงพอและมีเพียงพวกเขาเท่านั้นที่สามารถตรวจสอบให้ แน่ใจว่าการปฏิบัติตามพื้นฐานด้านความปลอดภัยเป็นสิ่งสำคัญขององค์กร หากฝ่ายบริหารไม่มีส่วนร่วมอย่าง แข็งขันในการรักษาความปลอดภัยนโยบายบนกระดาษจะไม่สามารถเชื่อถือได้ว่ามีอยู่จริง

81 บทที่ 6 การกำกับดูแล การบริหารความเสี่ยงและการปฏิบัติตามข้อกำหนด ความมั่นคงปลอดภัยไซเบอร์ (Governance, Risk, and Compliance)

82 กรอบการบริหารจัดการความเสี่ยง (Risk Management Framework) หากความปลอดภัยมีจุดเริ่มต้น มันก็คือ การคำนวณความเสี่ยง เป็นไปได้ที่จะเพิ่มการควบคุมความ ปลอดภัยโดยสุ่มสี่สุ่มห้า และหวังว่าการปฏิบัติตาม แนวทางปฏิบัติที่ดีที่สุดทั่วไปจะให้ผลลัพธ์ที่ดี แต่นั่นแสดง ว่าคุณกำลังจัดสรรทรัพยากรอย่างไม่มีประสิทธิภาพ หรือละเลยการดูแลที่สำคัญ ความเข้าใจโดยละเอียด เกี่ยวกับความเสี่ยงที่สำคัญที่สุดต่อทรัพย์สินขององค์กรของคุณจะช่วยให้คุณโฟกัสได้ถูกต้อง คุณจะได้เรียนรู้: • วิธีระบุทรัพย์สินและภัยคุกคาม • วิธีคำนวณความเสี่ยง • เกี่ยวกับกลยุทธ์การบริหารความเสี่ยง การประเมินความเสี่ยง (Risk assessments) เมื่อคุณเริ่มกำหนดกลยุทธ์ด้านความปลอดภัย คุณควรเริ่มต้นด้วยกระบวนการประเมินความเสี่ยง ที่ออกแบบมาเพื่อกำหนดความต้องการด้านความปลอดภัยของคุณ ความเกี่ยวข้องจะเป็นอย่างไรขึ้นอยู่กับ ขนาดและความซับซ้อนขององค์กรของคุณและระดับความปลอดภัยที่ต้องการ ถึงกระนั้นก็ควรดำเนินการ อย่างเป็นทางการ และเป็นระบบเสมอ การประเมินควรดำเนินการโดยเจ้าหน้าที่รักษาความปลอดภัย แต่จะต้องมีการป้อนข้อมูลจากผู้อื่นด้วย กระบวนการนี้ควรรวมถึงช่างเทคนิค และการจัดการทีมงาน สิ่งอำนวยความสะดวกเพื่อรายงานข้อกังวลด้านความปลอดภัยทางกายภาพ เจ้าหน้าที่กฎหมายเพื่อให้ คำแนะนำเกี่ยวกับปัญหาการปฏิบัติ ตามกฎระเบียบ ทุกคนที่จัดการทรัพย์สินมีค่าเป็นประจำ และอาจจะมีที่ ปรึกษาด้านความปลอดภัยภายนอก มีหลายขั้นตอนที่เกี่ยวข้องในการประเมินความเสี่ยงโดยสมบูรณ์: 1. ระบุสินทรัพย์ที่อาจมีความเสี่ยง 2. ทำการประเมินภัยคุกคามสำหรับแต่ละสินทรัพย์ 3. วิเคราะห์ผลกระทบทางธุรกิจของแต่ละภัยคุกคาม 4. พิจารณาความเป็นไปได้ที่ภัยคุกคามจะสร้างความเสียหาย 5. จัดลำดับความสำคัญของความเสี่ยง โดยการชั่งน้ำหนักความเป็นไปได้เทียบกับผลกระทบที่อาจเกิดขึ้นจาก ภัยคุกคามแต่ละอย่าง 6. สร้างกลยุทธ์การลดความเสี่ยงเพื่อกำหนดนโยบายความปลอดภัยในอนาคต โปรดจำไว้ว่าการประเมินความเสี่ยงเป็นเพียงส่วนแรกของกระบวนการรักษาความปลอดภัยในการ ปฏิบัติงานโดยรวม เมื่อคุณสร้างกลยุทธ์การลดความเสี่ยงแล้ว คุณจะต้องกำหนดนโยบายความปลอดภัยอย่างเป็น

83 ทางการและใช้การควบคุมความปลอดภัย นอกจากนี้คุณยังต้องบรรลุสถานะของการรับรู้ถึงความเสี่ยง ทั้ง องค์กรโดยที่แนวคิดเรื่องความเสี่ยงและผลกระทบถือเป็นส่วนหนึ่งของทุกกระบวนการหรือการตัดสินใจ การลงทะเบียนความเสี่ยง (Risk registers ) รายการความเสี่ยงของโครงการที่สำคัญใด ๆ อาจมีความยาวมาก และเมื่อกระบวนการประเมิน ความเสี่ยงดำเนินต่อไปจำนวนข้อมูลที่จำเป็นที่คุณต้องเปรียบเทียบ สำหรับแต่ละโครงการจะเพิ่มขึ้น ในช่วงแรก ของกระบวนการเป็นความคิดที่ดีที่จะจัดทำทะเบียนความเสี่ยง เป็นเอกสารที่เป็นทางการเกี่ยวกับความเสี่ยง ที่คุณ ค้นพบ และข้อมูลที่คุณมีความสัมพันธ์หรือคำนวณเกี่ยวกับความเสี่ยงเหล่านี้ ซึ่งขึ้นอยู่กับขอบเขตของ โครงการและจำนวนคนที่เกี่ยวข้อง คุณสามารถใช้สเปรดชีต ฐานข้อมูลที่ซับซ้อนมากขึ้น หรือแม้แต่ซอฟต์แวร์ การจัดการความเสี่ยงโดยเฉพาะ สำหรับแต่ละความเสี่ยงที่คุณระบุ ทะเบียนความเสี่ยงควรมีหลายช่องโดยมีรายละเอียดที่สอดคล้อง กับกระบวนการที่คุณใช้: • รหัสเฉพาะและคาอธิบาย • หมวดหมู่เพื่อช่วยจัดกลุ่มความเสี่ยงที่คล้ายกัน • ความเป็นไปได้ • ผลกระทบทางธุรกิจ • ลำดับความสำคัญ • ขั้นตอนและกลยุทธ์ในการบรรเทา • ความเสี่ยงที่เหลืออยู่หลังจากการบรรเทา • ภาระผูกพันที่สามารถดำเนินการได้หากการป้องกันไม่ประสบความสำเร็จ • “เจ้าของ” ความเสี่ยงซึ่งเป็นผู้รับผิดชอบในการจัดการความเสี่ยง การระบุทรัพย์สิน (Identifying assets) เมื่อคุณเริ่มการประเมินความเสี่ยงอันดับแรกคุณต้องระบุทรัพย์สินทั้งหมดขององค์กรของคุณ ตลอดจนมูลค่าของมัน คุณไม่จำเป็นต้องกังวลว่าทรัพย์สินพวกนั้น อาจเผชิญกับภัยคุกคามอะไรซึ่งเป็นเรื่องจะ ตามมาในภายหลัง แต่ให้เน้นที่การตรวจสอบให้แน่ใจว่ารายการนั้นสมบูรณ์ หากคุณพลาดทรัพย์สินที่สำคัญ คุณอาจลืมรักษาความปลอดภัยบางส่วนไปเลยก็ได้ ทรัพย์สินที่คุณมีอย่างแม่นยำนั้นขึ้นอยู่กับลักษณะของ องค์กรและการดำเนินธุรกิจของคุณ แต่องค์ประกอบทั่วไปบางประการมีดังต่อไปนี้ • Information และ data ▪ ข้อมูลลูกค้า

84 ▪ ทรัพย์สินทางปัญญาและความลับทางการค้า ▪ ข้อมูลการดำเนินงานเช่นข้อมูลทางการเงินและความปลอดภัย • ฮาร์ดแวร์และซอฟต์แวร์คอมพิวเตอร์ • สินค้าคงคลังของธุรกิจ • อาคารหรือสิ่งอานวยความสะดวกทางกายภาพอื่น ๆ • เงินสดหรือสินทรัพย์ทางการเงินอื่น ๆ • บุคลากร • การสร้างแบรนด์และชื่อเสียงทางธุรกิจ • ความสัมพันธ์ทางธุรกิจรวมถึงทรัพย์สินของพันธมิตรในองค์กรของคุณ การประเมินภัยคุกคาม (Threat assessments) เมื่อคุณทราบทรัพย์สินของคุณแล้ว คุณก็พร้อมที่จะทำการประเมินภัยคุกคามโดยพิจารณาถึง สิ่งเลวร้ายทั้งหมดที่อาจเกิดขึ้นกับทรัพย์สินแต่ละรายการของคุณ ณ จุดนี้อย่ากลัวที่จะรวมเอาความไม่น่าจะ เป็นไปได้อย่างโหดร้าย ตราบใดที่คุณรับรู้สิ่งเหล่านี้ในสิ่งที่เป็น ในภายหลังคุณจะพิจารณาถึงความเป็นไปได้ ที่จะเกิด ภัยคุกคามแต่ละครั้ง และภัยคุกคามที่น่าเชื่อถือจะมีความสำคัญมากกว่าความกลัวที่ไร้เหตุผล . เมื่อประเมินภัยคุกคามคุณควรพิจารณาจากหลาย ๆ มุม อันตรายที่อาจเกิดขึ้นกับทรัพย์สิน แหล่งที่มาของภัยคุกคาม และช่องทางโจมตี หรือวิธีการจะที่เกิดขึ้น การโจมตีโดยเจตนาอาจเป็นประเภทของ ภัยคุกคามที่หลากหลายและพัฒนาอย่างรวดเร็วที่สุด แต่ไม่ใช่ประเภทเดียวที่คุณต้องกังวล อุบัติเหตุและภัยพิบัติ (Accidents and disasters) ไฟไหม้ สถาปัตยกรรมล้มเหลว หรือสิ่งอื่นใดที่ผิดพลาดในสภาพแวดล้อมทางกายภาพ อาจสร้างความ เสียหายต่อทรัพย์สิน โดยเฉพาะอย่างยิ่งในโรงงาน อุตสาหกรรม ภัยธรรมชาติ ได้แก่ น้ำท่วมแผ่นดินไหว เฮอริเคนพายุทอร์นาโดพายุไฟฟ้าดินถล่ม และสิ่งอื่น ๆ ที่เกิดขึ้นในภูมิภาคของคุณ ภัยพิบัติที่เกิดขึ้นเองได้แก่ สงคราม การก่อความมาสงบ การก่อการร้าย หรือความล้มเหลวของโครงสร้างพื้นฐานและสาธารณูปโภค ไม่มีข้อไหนที่กำหนด เป้าหมายมาที่องค์กรของคุณแต่คุณได้รับผลกระทบแน่นอน

85 อุปกรณ์ขัดข้อง (Equipment failure) ฮาร์ดแวร์เกี่ยวกับคอมพิวเตอร์ อุปกรณ์เครือข่าย สื่อบันทึกข้อมูล และอุปกรณ์อุตสาหกรรมทั้งหมด อาจเสียหาย อย่าเพิ่งพิจารณาถึงภัยคุกคาม ต่ออุปกรณ์ที่ล้มเหลวด้วยตัวเอง ต้องพิจารณาว่าความล้มเหลว ของไดรฟ์คุกคามข้อมูลอย่างไร หรือระบบควบคุมที่ผิดพลาดสามารถสร้างความ เสียหายให้กับอุปกรณ์ อุตสาหกรรมได้อย่างไร ความล้มเหลวของห่วงโซ่อุปทาน (Supply chain failure) ทุกองค์กรต้องการสินค้า บริการ บุคคล ข้อมูลและทรัพยากรอื่น ๆ ในการทำธุรกิจและรับมือกับ เหตุการณ์ที่สร้างความเสียหาย การไม่สามารถรับทรัพยากรที่สำคัญในเวลาที่ไม่ถูกต้องอาจส่งผลกระทบ ต่อการปฏิบัติงานและความพยายามในการตอบสนองต่อเหตุการณ์ นอกจากนี้ยังเป็นไปได้ที่จะได้รับสินค้าและ ข้อมูลที่มีตำหนิ หรือถูกก่อวินาศกรรม หรือแม้กระทั่งอนุญาตให้ผู้รับเหมาหรือพนักงานที่เป็นอันตราย เข้ามา ในระหว่างโครงการ ความผิดพลาดและความประมาทของมนุษย์ (Human error and negligence) พฤติกรรมของมนุษย์โดยบังเอิญไม่เพียงแต่เสี่ยงต่อการทำลายทรัพย์สินโดยตรง นอกจากนี้ยังสามารถ ลดทอนความปลอดภัยทางอ้อม ผู้ใช้สามารถเข้าถึงหรือแจกจ่ายข้อมูลโดยไม่ได้ตั้งใจ พวกเขาไม่ได้ตระหนักว่า มีความละเอียดอ่อน หรือทำให้เกิดช่องโหว่โดยการกระทำที่ดูเหมือนไม่มีพิษภัย เป็นเรื่องง่ายสำหรับ ช่างเทคนิคที่แก้ไขปัญหาด้านประสิทธิภาพหรือความปลอดภัย เพื่อสร้างใหม่โดยไม่ได้ตั้งใจในระหว่าง กระบวนการ ความประมาทเป็นปัญหาที่คล้ายกัน ความล้มเหลวในการสร้างและรักษาสภาพแวดล้อม ที่ปลอดภัยจะเพิ่มความเสี่ยงโดยตรงและก่อให้เกิดภัยคุกคามใหม่ ๆ ของความรับผิดทางกฎหมาย บุคคลภายนอกที่เป็นอันตราย (Malicious outsiders) การโจมตีภายนอกอาจมีหลายรูปแบบ เช่น การบุกรุกทางกายภาพเพื่อจุดประสงค์ในการโจรกรรม หรือการทำลายล้าง การเข้าถึงเครือข่าย โดยไม่ได้รับอนุญาต การกระจายมัลแวร์ หรือการพยายามฉ้อโกง พนักงาน แม้แต่การโจมตีที่ไม่ทำร้ายทรัพย์สินโดยตรงก็สามารถใช้เพื่อเข้าถึง หรือได้รับความไว้วางใจ ภายใน องค์กรได้ ซึ่งเป็นการปูทางไปสู่การโจมตีภายในในภายหลัง บุคคลภายในที่เป็นอันตราย (Malicious insiders) ผู้โจมตีที่มีความไว้วางใจหรือเข้าถึงภายในองค์กรอยู่แล้วอาจเป็นภัยคุกคามประเภทที่อันตรายที่สุด เนื่องจากมักอยู่ในสถานะที่จะหลีกเลี่ยงการป้องกัน และใช้ประโยชน์จากช่องโหว่ในแบบที่บุคคลภายนอก ไม่สามารถทำได้ พวกเขาสามารถถูกกระตุ้นโดยความโลภ การแก้แค้น อุดมการณ์หรือแม้กระทั่ง ความเบื่อหน่าย

86 การวิเคราะห์ผลกระทบ (Impact analysis) เมื่อคุณได้ระบุภัยคุกคามที่องค์กรของคุณเผชิญแล้วคุณจะต้องระบุค่าใช้จ่ายที่อาจเกิดขึ้นหรือ ผลกระทบอื่นๆ หากเกิดขึ้น คุณต้องคำนวณผลกระทบทั้งทางตรง และทางอ้อม ตัวอย่างเช่นเซิร์ฟเวอร์ที่มีหน้า ร้านบนเว็บของบริษัทถูกทาลาย ไม่ได้หมายความเพียงแค่การจ่ายเงินสำหรับชิ้นส่วนและแรงงานเพื่อ ทดแทน เท่านั้น แต่คุณจะสูญเสียรายได้จากการขายไปตลอดเวลาเกิดความเสียหาย ในทำนองเดียวกันผลกระทบเป็น ทั้งสิ่งที่สามารถจับต้องได้และจับต้องไม่ได้ เช่นความเสียหายต่อรถยนต์ของบริษัทจะมีราคาเป็นตัวเงินที่ แน่นอนในขณะที่ชื่อเสียงขององค์กรที่เสียไปในเรื่องความประมาททางข้อมูลที่ละเอียด อ่อน อาจมีค่าใช้จ่ายสูง มากในระยะยาว และยากที่จะประมาณมูลค่า คุณสามารถเลือกแนวทางต่าง ๆ สำหรับการวิเคราะห์ผลกระทบ วิธีการหนึ่งคือมาตรฐาน FIPS 199 ที่กำหนดโดย FISMA (หน่วยงานของรัฐบาลกลางสหรัฐอเมริกาที่ดูแล การพัฒนาและการควบคุมการรักษาความปลอดภัยของข้อมูลสารสนเทศ) ต้องมีการประเมินระบบข้อมูลแต่ละ ระบบตามการรักษา ความลับ ความถูกต้องและความพร้อมใช้งาน จากนั้นให้คะแนนผลกระทบต่ำปานกลาง หรือสูงสำหรับแต่ละประเภท คุณสามารถแจกแจงรายละเอียดเพิ่มเติมได้ โดยการตรวจสอบส่วนประกอบ ต่าง ๆ ภายในสินทรัพย์ จากนั้นสรุปองค์ประกอบเหล่านั้นด้วยคะแนนรวมเดียวที่แสดงถึงการให้คะแนนที่สูง ที่สุดที่พบในหมวด หมู่ใด ๆ แม้ว่าวิธีนี้จะไม่ได้ให้มูลค่าทางการเงินที่ยากอย่างที่ฝ่ายบริหารต้องการ แต่ก็ช่วย ให้คุณสามารถออกแบบเมตริกเชิงคุณภาพอย่างง่ายที่คุณสามารถนา ไปใช้ทั่วทั้งองค์กรได้ เมตริกผลกระทบ FIPS 199 ถูกกำหนดไว้ใน NIST SP 800-53 และใช้รูปแบบหมวดหมู่ความปลอดภัยต่อไปนี้: SC ประเภทข้อมูล = {(การรักษาความลับ,ผลกระทบ), (ความถูกต้อง,ผลกระทบ), (ความพร้อมใช้งาน ,ผลกระทบ)} ตัวอย่างเช่น สมมติว่าหนึ่งในทรัพย์สินของคุณคือพอร์ทัลลูกค้าที่ให้การเข้าถึงข้อมูลบัญชีและการสนับสนุน ทางเทคนิค คุณแยกมันออกเป็นดังนี้: SC บัญชี = {(การรักษาความลับ,สูง), (ความถูกต้อง,สูง), (ความพร้อมใช้งาน,MODERATE)} SC การสนับสนุน = {(การรักษาความลับ, ต่ำ), (ความถูกต้อง, สูง), (ความพร้อมใช้งาน, สูง)} หากคุณต้องการพิจารณาผลกระทบของพอร์ทัลโดยรวม คุณต้องทำคะแนนสูงสุดสำหรับแต่ละองค์ประกอบ ในแต่ละหมวดหมู่ ในกรณีนี้หมายความว่าทั้งสามคะแนนสูง SC Portal = {(การรักษาความลับ, สูง), (ความถูกต้อง, สูง), (ความพร้อมใช้งาน, สูง)}

87 การวัดความเสี่ยง (Risk measurement) ณ จุดนี้ในกระบวนการนี้คุณควรทราบว่าองค์กรของคุณเผชิญกับภัยคุกคามอะไร มีโอกาสเกิดขึ้นได้ อย่างไร และแต่ละความเสียหายสามารถทำอะไรได้บ้าง นี่ไม่ใช่แค่การรู้ว่าคุณมีเดิมพันอะไรบ้างแต่เป็นวิธีที่คุณ สามารถระบุได้ว่าคุณต้องใช้การควบคุมความปลอดภัยที่ใดก่อนและอย่างเข้มข้นที่สุด การควบคุม ความปลอดภัยไม่ได้มาฟรีๆ ไม่ใช่แค่ว่าคุณมีทรัพยากรที่จำกัดเพื่อใช้ในการปกป้องทรัพย์สินของคุณหรือไม่ ถึงแม้ว่าคุณจะไม่มีข้อจำกัด มันก็อาจจะไม่คุ้มที่จะใช้จ่าย $1,000 เพื่อป้องกันความเสียหายที่อาจเกิดขึ้น $200 มีสองวิธีหลักในการวัดและจัดลำดับความสำคัญของความเสี่ยงซึ่งคุณควรใช้ ขึ้นอยู่กับทรัพย์สินที่คุณ กำลังปกป้องและภัยคุกคามที่คุณกำลังป้องกัน • การประเมินความเสี่ยงเชิงปริมาณจะกำหนดมูลค่าวัตถุประสงค์ ซึ่งโดยปกติจะเป็นตัวเงินของ ความเสี่ยงแต่ละครั้งโดยพิจารณาจาก ความน่าจะเป็น และต้นทุนผลกระทบของภัยคุกคามที่เกี่ยวข้อง สามารถให้การวิเคราะห์ต้นทุน-ผลประโยชน์ที่ชัดเจนสำหรับการควบคุมความปลอดภัย ที่กำหนด แต่จะแม่นยำก็ต่อเมื่อคุณสามารถกำหนดต้นทุนที่ชัดเจนและเป็นรูปธรรมสำหรับผลกระทบที่อาจ เกิดขึ้นแต่ละครั้ง • การประเมินความเสี่ยงเชิงคุณภาพก็ยังเริ่มต้นด้วยความน่าจะเป็นและต้นทุนผลกระทบของแต่ละ ภัยคุกคามด้วยเช่นกัน แต่จะใช้การตัดสินของมนุษย์ในการคำนวณและกำหนดลำดับความสำคัญ ให้กับความเสี่ยงที่เกี่ยวข้องแทน โดยธรรมชาติแล้วการประเมินความเสี่ยง เชิงคุณภาพนั้นไม่แน่นอน และขึ้นอยู่กับอคติและความเชี่ยวชาญของใครก็ตามที่ทำการวิเคราะห์ ถึงกระนั้นก็สามารถใช้ได้ แม้กระทั่งกับสินทรัพย์และ ผลกระทบที่มีต้นทุนที่จับต้องไม่ได้ ในทางปฏิบัติคุณอาจต้องการใช้ทั้งสองวิธีผสมผสานกัน โดยเฉพาะอย่างยิ่งเมื่อคุณกำลังเปรียบเทียบ แนวทางการรักษาความปลอดภัยทางเลือกสำหรับสินทรัพย์ที่จับต้องได้ของคุณ การวิเคราะห์เชิงปริมาณทำได้ ง่ายในขณะที่อาศัยการเปรียบเทียบเชิงคุณภาพสำหรับองค์ประกอบที่ตรงไปตรงมาน้อยกว่า การประเมินความเสี่ยงเชิงปริมาณ (Quantitative risk assessment) มูลค่าทางการเงินตามวัตถุประสงค์ที่สร้างขึ้นโดยการประเมินเชิงปริมาณมีความน่าสนใจด้วยเหตุผล หลายประการ ไม่เพียงแต่ช่วยให้คุณกำหนดคุณค่าของ การควบคุมความปลอดภัยได้อย่างรวดเร็ว แต่ยัง อธิบายให้ผู้อื่นเข้าใจได้ง่ายอีกด้วย เมื่อคุณนำเสนอการประเมินความเสี่ยงของคุณต่อผู้บริหารระดับสูง คำสั่งเช่น“ระบบพลังงานสำรอง 10,000 ดอลลาร์จะช่วยประหยัดรายได้ที่หายไปได้ประมาณ 50,000 ดอลลาร์ในช่วงสามปีข้างหน้า” เป็นภาษาที่พวกเขา ไม่จำเป็นต้องมีพื้นฐานด้านความปลอดภัยเพื่อทำความ เข้าใจ ความท้าทายคือการคำนวณค่าเหล่านี้อย่างแม่นยำ แนวทางทั่วไปในการประเมินเชิงปริมาณใช้ค่าต่อไปนี้

88 SLE Single loss expectancy: ความคาดหวังของการสูญเสียเพียงครั้งเดียว คือ ต้นทุนของการสูญเสีย เพียงครั้งเดียว หากภัยคุกคามทำให้ทรัพย์สินถูกทาลายโดยสิ้นเชิงเช่นแล็ปท็อปที่ถูกขโมย SLE เป็นเพียงมูลค่าทรัพย์สิน หากภัยคุกคามจะสร้าง ความเสียหายให้กับทรัพย์สินเท่านั้น เช่น น้ำท่วมที่ สร้างความเสียหายอย่างมากต่อสถานที่ แต่ปล่อยให้ซ่อมแซมได้ SLE คือมูลค่า ทรัพย์สินที่คูณด้วย ปัจจัยผลกระทบที่แสดงถึงเปอร์เซ็นต์ความเสียหายโดยประมาณ ARO Annual rate of occurrence: อัตราการเกิดรายปี คือ จำนวนครั้งที่คุณคาดว่าจะมีการสูญเสีย ประเภทหนึ่งเกิดขึ้นในแต่ละปี ไม่จำเป็นต้องเป็นจำนวนเต็ม: หากบริษัทของคุณมีแล็ปท็อปสิบ เครื่องที่ถูกขโมยในปีเฉลี่ย ARO คือ 10 หากคลังสินค้าของคุณริมแม่น้ำท่วมทุกๆ 20 ปี ARO จะเท่ากับ 0.05 ALE Annual loss expectancy: ความคาดหวังการสูญเสียรายปี คือ ค่าใช้จ่ายต่อปีที่คุณคาดหวังได้ จากภัยคุกคามหรือ SLE × ARO ในตัวอย่างก่อนหน้านี้แล็ปท็อป 10 เครื่องที่ถูกขโมยไป $ 2,500 ต่อปีออกมาเป็น ALE ที่ 25,000 ดอลลาร์ ในขณะที่ความเสียหายจากน้ำท่วม 1,000,000 ดอลลาร์ ทุก ๆ 20 ปี ทำให้เกิดความเสียหาย ALE 50,000 ดอลลาร์ เมื่อคุณทำการคำนวณเหล่านี้แล้วคุณสามารถนำไปใช้กับค่าใช้จ่ายของการควบคุมความปลอดภัย ที่กำหนดได้ หากการล็อคและติดตามซอฟต์แวร์มีซอฟต์แวร์ล็อคและการติดตามมูลค่า $5,000 ต่อปี สามารถ ลดการสูญเสียที่แล็ปท็อปของคุณสูญหายได้ครึ่งหนึ่งนั่นจะช่วยให้คุณประหยัดเงินได้ 10,000 เหรียญต่อปี ดังนั้นจึงเป็นประโยชน์ที่ชัดเจน ในทางกลับกันหากย้ายไปที่คลังสินค้าแห่งใหม่นอกเขตน้ำท่วมจะเพิ่มต้นทุน ทางธุรกิจปีละ 60,000 เหรียญต่อปีก็จะขาดทุนสุทธิ แม้ในการวิเคราะห์เชิงปริมาณตัวเลขก็เป็นค่าประมาณและคุณอาจพิจารณาปัจจัยอื่น ๆ ตัวอย่างเช่น เมื่อคุณพิจารณาถึงการหยุดชะงักทางธุรกิจที่เกิดจากน้ำท่วม หรือความจริงที่ว่าการสูญเสียครั้งใหญ่ที่และ ไม่คาดคิดอาจสร้างความเสียหายทางการเงินได้มากกว่า การวางแผนคลังสินค้าใหม่ที่มีค่าใช้จ่ายระยะยาว ที่เพิ่มขึ้นเล็กน้อยตามแผนคลังสินค้าใหม่อาจยังคงคุ้มค่ากับราคา การวิเคราะห์เชิงปริมาณจำเป็นต้องมีตัวเลขวัตถุประสงค์ แต่ไม่จำเป็นต้องเป็นมูลค่าที่เป็นตัวเงิน ตราบใดที่ตัวเลขมีความสม่ำเสมอและสามารถทำซ้ำได้ภายใน คุณสามารถทำการวิเคราะห์เชิงปริมาณโดยใช้ เมตริกประสิทธิภาพอัตโนมัติ ค่าเวลาทางานหรือสิ่งอื่นใดที่สามารถวัดปริมาณและจับคู่กับต้นทุนและ ผลประโยชน์ได้ การประเมินความเสี่ยงเชิงคุณภาพ (Qualitative risk assessment) การประเมินความเสี่ยงเชิงคุณภาพไม่ได้ขึ้นอยู่กับการมีมูลค่าทางการเงินที่เป็นรูปธรรมสำหรับ ผลกระทบของการสูญเสีย หรือเปอร์เซ็นต์ที่เข้มงวดสำหรับความ เป็นไปได้ ซึ่งมีข้อดี คือ รวดเร็วและง่ายดาย คุณสามารถนำไปใช้กับสถานการณ์ที่คุณไม่มีหรือไม่มีข้อมูลตัวเลขที่เชื่อถือได้ ในทางกลับกันผลที่ได้คือ การประเมินโดยพื้นฐานที่อาศัยการคาดเดาและลางสังหรณ์และจะดีพอ ๆ กับวิจารณญาณของผู้ประเมิน

89 ปัญหา คือ การประเมินความเสี่ยงเชิงคุณภาพยังคงใช้กระบวนการที่เป็นทางการ นอกจากนี้คุณควร หลีกเลี่ยงอคติส่วนตัวหรือจุดบอด โดยใช้ข้อมูลของผู้เชี่ยวชาญหลายคนเกี่ยวกับทรัพย์สินและภัยคุกคาม ที่เกี่ยวข้อง วิธีทั่วไปในการชดเชยกรณีนี้คือการสัมภาษณ์ผู้เชี่ยวชาญหลายคนเพื่อให้ข้อมูล หรือรวบรวม กลุ่มเป้าหมายของบุคคลที่มีประเด็นที่เกี่ยวข้องหรือความเชี่ยวชาญที่แตกต่างกัน แม้ว่าการประเมินเชิงคุณภาพจะใช้การตัดสินส่วนตัวอย่างมาก แต่ก็ยังคงจัดลำดับความสำคัญของ ภัยคุกคามโดยใช้ค่าตัวเลข สำหรับระบบง่าย ๆ คุณอาจกำหนดค่า 1-10 สำหรับความน่าจะเป็นของภัยคุกคาม และอีก 1-10 ค่าสำหรับผลกระทบที่อาจเกิดขึ้นกับองค์กร การคูณค่าสองค่าในเมทริกซ์ความน่าจะเป็นคุณ จะได้ผลลัพธ์ 1-100 ตัวอย่างเช่นการโจมตีด้วย SQL injection ที่มีแนวโน้มมากที่จะเกิดขึ้น (8) แต่กำหนด เป้าหมายฐานข้อมูลที่มีผลกระทบเพียง เล็กน้อยต่อบริษัท (5) จะมีลำดับความเสี่ยงที่ 40 การประเมินเชิงคุณภาพของความน่าจะเป็นของภัยคุกคาม ความน่าเป็น คำอธิบาย ระดับ ไม่น่าเป็นไปได้มาก มีความเป็นไปได้ทางทฤษฎีที่ควรคำนึงถึง แต่จะผิดปกติมาก 1 ไม่น่าเป็นไปได้ ภัยคุกคามที่อาจเกิดขึ้นซึ่งเป็นเรื่องผิดปกติ แต่ไม่ใช่เรื่องที่ไม่เคยได้ยิน มาก่อน 3 มีแนวโน้ม ภัยคุกคามที่พบได้บ่อย แต่ไม่บ่อยนัก 5 มีโอกาสมาก ภัยคุกคามที่พบบ่อยมากซึ่งมีโอกาสเกิดขึ้นได้สูง 8 เกือบจะแน่นอน ภัยคุกคามที่เกือบจะรับประกันได้ว่าจะเกิดขึ้นในไม่ช้าก็เร็ว 10 การประเมินเชิงคุณภาพของผลกระทบจากภัยคุกคาม ผลกระทบ คำอธิบาย ระดับ ต่ำมาก ภัยคุกคามสามารถสร้างความเสียหายได้แทบไม่มี 1 ต่ำ ภัยคุกคามอาจทำให้เกิดความเสียหายเล็กน้อย แต่สามารถวัดได้ 3 ปานกลาง ภัยคุกคามอาจทำให้เกิดความเสียหายจริงโดยมีค่าใช้จ่ายในการกู้คืน จำนวนมาก 5 สูง ภัยคุกคามอาจสร้างความเสียหายอย่างร้ายแรงต่อการดำเนินธุรกิจ โดยรวม 8 รุนแรง ภัยคุกคามอาจก่อให้เกิดความเสียหายครั้งใหญ่หรือความสูญเสียครั้ง ใหญ่ต่อองค์กร 10

90 ความเป็นไปได้สูงหรือผลกระทบสูงในตัวมันเองไม่ได้ให้ความสำคัญสูงกับความเสี่ยงสูง ตัวอย่างเช่น อีเมลขยะเชิงพาณิชย์เป็นความจริงที่หลีกเลี่ยงไม่ได้ แต่โดยปกติแล้วจะไม่ทำอันตรายมากนักเว้นแต่จะ มีมัลแวร์และลิงก์ฟิชชิ่ง ในทางตรงกันข้ามการระเบิดของก๊าซขนาดใหญ่ที่เกิดจากความผิดพลาดของพนักงาน อาจสร้างความเสียหายได้ แต่มีโอกาสเกิดขึ้นในโรงงานอุตสาหกรรมมากกว่าบริษัทการตลาด ภัยคุกคาม ที่เลวร้ายที่สุดคือภัยคุกคามที่มีโอกาสสูง และสร้างความเสียหายได้สูงซึ่งคุณต้องทางานหนักที่สุดเพื่อป้องกัน เมื่อคุณมีความเสี่ยงมากมาย ในการจัดหมวดหมู่คุณสามารถกำหนดรหัสสีของเมทริกซ์ความน่าจะเป็น ของคุณลงในแผนที่ความร้อน จากนั้น วางความเสี่ยง ในตำแหน่งที่เหมาะสมบนแผนที่เพื่อให้เห็นภาพได้ ชัดเจนยิ่งขึ้นว่ามีความรุนแรงเพียงใด และมีความแตกต่างกันอย่างไรในด้านคุณภาพ การวิเคราะห์เชิงคุณภาพในโลกแห่งความเป็นจริงมักใช้การคำนวณที่ซับซ้อนกว่าตัวอย่างข้างต้น โดยคำนวณความเสี่ยงทั้งหมดตามเมตริกหลายรายการ ตัวอย่างทั่วไปได้แก่ DREAD ระบบจัดอันดับภัยคุกคามซอฟต์แวร์ที่ออกแบบโดย Microsoft ใช้ตัวช่วยในการจำ คือ ความเสียหาย ที่อาจเกิดขึ้น, ความสามารถในการทำซ้ำ, ความสามารถในการใช้ประโยชน์, ผู้ใช้ที่ได้รับผลกระทบและ ความสามารถในการค้นพบ แต่ละปัจจัยจะได้รับค่าระหว่าง 1 ถึง 3 คุณจะได้รับมูลค่าภัยคุกคามทั้งหมด ระหว่าง 5 ถึง 15 โดยค่าที่สูงกว่าจะร้ายแรงกว่า CVSS ระบบการให้คะแนนช่องโหว่ทั่วไปได้รับการดูแลโดย NIST ซึ่งเป็นส่วนหนึ่งของมาตรฐาน Security Content Automation Protocol ที่ใช้โดยผลิตภัณฑ์การจัดการช่องโหว่จำนวนมาก CVSS ซับซ้อนกว่า DREAD มาก ในขณะที่คุณสามารถรวมข้อมูลทั้งหมดลงไปที่ระดับ 1-10 สำหรับวัตถุประสงค์ส่วนบุคคลของ คุณได้ แต่ก็เกี่ยวข้องกับการให้คะแนนเมตริกแยกกัน 14 รายการโดยมีค่าที่ไม่ใช่ตัวเลข ISO 27005 มาตรฐานการจัดการความเสี่ยงที่เผยแพร่ในฐานะที่เป็นส่วนหนึ่งของซีรี่ส์ 27000 ของ ISO ซึ่งมุ่งเน้น ไปที่การจัดการไอทีในระดับองค์กร ครอบคลุมมากในแง่ของความเสี่ยงที่ครอบคลุม แต่สำหรับการวิเคราะห์ เชิงคุณภาพโดยทั่วไปจะสร้างเมตริกความเสี่ยงทั้งหมดตั้งแต่ 0 ถึง 9

91 การประเมินการควบคุมความเสี่ยง (Risk control assessments) หากคุณกำลังทำการประเมินการควบคุมความเสี่ยง ซึ่งบางครั้งเรียกว่าการประเมินการควบคุม เป้าหมายไม่ได้อยู่ที่การวัดและจัดลำดับความสำคัญ ของความเสี่ยงในตัวเอง แต่คุณกำลังประเมินการมีอยู่และ ประสิทธิภาพของการควบคุมความปลอดภัยที่มีอยู่เพื่อระบุและแก้ไขข้อบกพร่องใด ๆ การประเมินการควบคุม เป็นแนวทางปฏิบัติที่ดีเมื่อคุณกำลังตรวจสอบประสิทธิภาพของโปรแกรมที่มีอยู่ และเป็นส่วนสำคัญของกรอบ การรักษาความปลอดภัย บางอย่างเช่น RMF, CSF หรือ COBIT ซึ่งมักให้ความสำคัญกับความเสี่ยงด้าน ปฏิบัติการโดยรวม ไม่จำกัดเฉพาะความปลอดภัยทางไซเบอร์ สำหรับองค์กรทางการเงิน “กำหนดวันสิ้นสุด การประมวลผลที่ขาดหายไป” ถือเป็นความเสี่ยงที่ถูกต้องพอ ๆ กับ “ข้อมูลส่วนตัวของลูกค้ารั่วไหล” มีหลายวิธีในการประเมินการควบคุมที่องค์กรอิสระสามารถดำเนินการได้ คุณเองก็สามารถทำได้อย่าง ไม่เป็นทางการผ่านการใช้แบบสอบถาม การประเมินตนเอง ด้านความเสี่ยงและการควบคุม (RCSA) หรือการ ควบคุมการประเมินตนเอง (CSA) ข้อหลังนี้เหมาะสมที่สุดหากคุณมีความคิดที่ดีเกี่ยวกับ ระดับความเสี่ยงเดิม ของคุณแล้ว วิธีการส่วนใหญ่มีขั้นตอนต่อไปนี้: 1. ระบุวัตถุประสงค์ทางธุรกิจไม่ว่าจะเป็นตัวแทนของเหตุการณ์สำคัญขององค์กร หรือเมตริกของ กระบวนการ 2. ระบุความเสี่ยงที่ขัดขวางการบรรลุวัตถุประสงค์เหล่านั้น 3. ระบุการควบคุมความปลอดภัยที่มีอยู่แล้วเพื่อควบคุมความเสี่ยงและผลกระทบที่ตั้งใจไว้ของแต่ละข้อ 4. ทำการวิเคราะห์ช่องว่าง (gap analysis) ที่รวมประสิทธิผลปัจจุบันของการควบคุมแต่ละส่วนเข้ากับ ประสิทธิผลที่ตั้งใจไว้ ในระดับปฏิบัติ RCSA มักจะมีลักษณะใกล้เคียงกับการประเมินความเสี่ยงเชิงคุณภาพ แต่มีขั้นตอน พิเศษอีกขั้นตอนหนึ่ง แทนที่จะเป็นเมทริกซ์เดียว หรือแผนที่ความร้อนคุณมีแนวโน้มที่จะมี 2 ความเสี่ยง อย่างแรกแสดงถึงความเสี่ยงเริ่มต้นก่อนที่จะใช้การควบคุม และอีกอันคือความเสี่ยงที่เหลือที่มีการควบคุมอยู่ ลักษณะขององค์กรขนาดใหญ่มีแนวโน้มที่จะแยกความเสี่ยงออกเป็นประเภทต่าง ๆ ได้อีกมาก คุณอาจมีเมทริกซ์ แยกต่างหาก สำหรับความเสี่ยงด้านไอที ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ ความเสี่ยงด้านชื่อเสียง และอื่น ๆ

92 1. CompTIA Security+ Certification Exam 2. NCSA หลักสูตรด้านความมั่นคงปลอดภัยไซเบอร์ ระดับผู้เชี่ยวชาญ 3. NCSA หลักสูตรด้านความมั่นคงปลอดภัยไซเบอร์ ระดับพื้นฐาน