តើអ្នកកំពុងនៅលើផ្លូវដែលនឹងអាចត្រូវបានគេហេគ?
ប្រាកដណាស់ អ្នកអាចត្រូវបានហេគដោយងាយដោយមិនគិតអំពីទំហំឬភាពល្បីល្បាញរបស់អង្គភាពរបស់អ្នកឡើយ។ មានពេលខ្លះ ការដែលអ្នកខ្វៈខាតចំណេះដឹងមូលដ្ឋានអំពីការការពារ នឹងធ្វើឲ្យអ្នកទទួលរងការវាយប្រហារ, បាត់បង់ថវិការ ឬក៏ត្រូវបានឆបោកដោយអ្នកផ្តល់សេវាកម្មសន្តិសុខ ។
ជាមួយនឹងការរីកចំរើននៃពាណិជ្ជកម្មអនឡាញ ម្ចាស់អាជីវកម្មភាគច្រើនបានចាប់ផ្តើមចូលប្រឡូកនៅក្នុងវិស័យ e-Commerce ដោយសារតែវាមិនចំណាយដើមទុនច្រើន និងជាមធ្យោបាយមួយក្នុងការពង្រីកពាណិជ្ជកម្មបានលឿន។ ការធ្វើប្រតិបត្តិការតាមអនឡាញ (online transactions) គឺល្អប្រសើរណាស់ ប៉ុន្តែចំនុចមួយដែលអ្នកគួរតែចាប់អារម្មណ៍នោះគឺ Information Security! ។
អ្នកមិនចាំបាច់ក្លាយទៅជាអ្នកជំនាញការផ្នែកសន្តិសុខឡើយដើម្បីការពារណេតវើក និងអាជីវកម្មរបស់អ្នក។ អ្នកអាចជួលអ្នកដែលផ្តល់សេវាកម្មនេះដើម្បីមើលថែទាំហេដ្ឋារចនាសម្ព័ន្ធព័ត៌មានវិទ្យាឲ្យជំនួសអ្នកបាន។ ប៉ុន្តែដើម្បីឲ្យអ្នកអាចមានលទ្ធភាពក្នុងការជ្រើសរើសយកក្រុមហ៊ុនមួយដែលល្អ អ្នកត្រូវដែលដឹងនូវមូលដ្ឋានគ្រឹះនៃភាពខុសគ្នារវាងយន្តការនានានៃសន្តិសុខព័ត៌មាន។
ជាដំបូង អ្នកត្រូវតែធ្វើតេស្តទៅរាល់វេបសាយដើម្បីស្វែងរកចន្លោះប្រហោងសន្តិសុខ ឬចំណុចខ្សោយ (vulnerabilities) ។
“ចំណុចខ្សោយគឺជាច្រកផ្លូវនៃការវាយប្រហារ” វាគឺជាភាពខ្សោយ ឬចំណុចខ្សោយ ឬចំណុចខ្វៈខាតដែលមាននៅក្នុងប្រព័ន្ធដែលអាចបើកទ្វារណេតវើករបស់អ្នកទៅឲ្យអ្នកផ្សេងអាចវាយប្រហារ ។ តើចំណុចខ្សោយទាំងនេះបណ្តាលមកពីអ្វី? មានប្រព័ន្ធ និងសូហ្វវែរភាគច្រើនត្រូវបានភ្ជាប់មកជាមួយនូវចំណុចខ្សោយដែលស្គាល់ និងមិនស្គាល់ ឬក៏កំហុសឆ្គង (bug) នៅក្នុងការរៀបចំដំបូង (configuration) ។
ប្រព័ន្ធនានាត្រូវតែធ្វើការត្រួតពិនិត្យដើម្បីស្វែងរកចំណុចខ្សោយ ។ បន្ទាប់មកទៀតចំណុចខ្សោយទាំងនេះត្រូវតែត្រួតពិនិត្យថាតើវាអាចត្រូវបានជ្រៀតចូល (exploited) ដែរឬទេ? បន្ទាប់មកផលវិបាកនានាដែលកើតឡើងពីចំណុចខ្សោយទាំងនោះត្រូវតែធ្វើការប៉ាន់ស្មានជាការចាំបាច់។ ដំណាក់កាលចំនួនបីសំខាន់ផ្សេងៗគ្នាដែលត្រូវតែធ្វើគឺ ១/ ការស្វែងរកចំណុចខ្សោយ (vulnerability assessment) ២/ Penetration Test (ការធ្វើតេស្តវាយប្រហារ) និង ៣/ ការវិភាគហានិភ័យ (Risk Analysis) ។ សន្តិសុខព័ត៌មានគឺមិនមែនជាប្រតិបត្តិការមួយពេលចប់ឡើយ គឺវាត្រូវតែដំណើរការជាប្រចាំឲ្យបានទៀងទាត់។
ការដែលយើងមានការយល់ដឹងអំពីយន្តការសន្តិសុខទាំងនេះ គឺមានសារៈសំខាន់គួរសមនៅពេលដែលអ្នកធ្វើការសម្រេចចិត្តយកនូវវិធីសាស្ត្រដ៏ល្អណាមួយក្នុងការ ធ្វើឲ្យមានសន្តិសុខចំពោះណេតវើក និងប្រព័ន្ធ។
ការស្វែងរកចំណុចខ្សោយ (Vulnerability Assessment)
ជារឿយៗការស្វែងរកចំណុចខ្សោយគឺមានការភាន់ច្រលំជាមួយនឹងការធ្វើតេស្តវាយប្រហារ (penetration test)។ ប៉ុន្តែវាជាដំណើការពីរខុសគ្នាទាំងស្រុង ហើយបើសិនជាអ្នកផ្គត់ផ្គង់សេវាកម្មសន្តិសុខណាថាវាដូចគ្នានោះ គឺអ្នកមិនត្រូវទុកចិត្តដល់អ្នកទាំងនោះឡើយ។
ភាគច្រើន ការស្វែងរកចំណុចខ្សោយគឺសម្រាប់អង្គភាពណាដែលមិនទាន់ស្គាល់នូវកម្រិតសន្តិសុខរបស់ខ្លួននៅឡើយ ហើយចង់កំណត់ឲ្យបាននូវចំនុចខ្សោយរបស់ខ្លួន។ ការស្វែងរកចំណុចខ្សោយនេះ វានឹងធ្វើការស្កេននូវ IP address ឬបណ្តុំនៃ IPs ជាមួយនឹងការប្រើប្រាស់កម្មវិធីដូចជា Nessus និង OpenVas ជាដើម។ កម្មវិធីទាំងនេះមាននូវ signatures របស់ខ្លួនសម្រាប់ស្វែងរកចំនុចខ្សោយដូចជា Heartbleed bug, shellshock, Apache Web, …ល។ បើសិនជាប្រព័ន្ធរបស់អ្នកមាននូវចំណុចខ្សោយណាមួយដែលស្គាល់ កម្មវិធីទាំងនោះនឹងបញ្ចេញព័ត៌មាន (alert) ឲ្យយើងបានដឹង ហើយបន្ទាប់មកនឹងបញ្ចេញនូវរបាយការណ៍ជាមួយនឹងបញ្ជីឈ្មោះនៃចំណុចខ្សោយដែលរកឃើញ, កម្រិតនៃភាពធ្ងន់ធ្ងរ និងជំហាននៃការជួសជុល ។ ដោយសារតែកម្មវិធីទាំងនេះវាប្រើប្រាស់នូវ signatures វានឹងមិនរកឃើញនូវចំណុចខ្សោយដែលមិនស្គាល់នោះឡើយ (unknown vulnerabilities) ។
ការធ្វើតេស្តវាយប្រហារ (Penetration Test)
មានអ្នកធ្វើតេស្តការវាយប្រហារជាច្រើនដែលនឹងធ្វើការស្វែងរកចំណុចខ្សោយ (vulnerability assessment) ហើយតាំងខ្លួនថាបានធ្វើការការងារធ្វើតេស្តវាយប្រហារ (pentest) ។ អ្នកគួរតែដឹងថាការងារនេះគ្រាន់តែជាដំណាក់កាលដំបូងបំផុតនៃការធ្វើតេស្តវាយប្រហារប៉ុណ្ណោះ។ ការធ្វើតេស្តវាយប្រហារពិតប្រាកដគឺការយករបាយការណ៍ពីការស្កេនណេតវើក ឬស្វែងរកចំណុចខ្សោយ ហើយវាយប្រហារទៅកាន់ port ណាមួយឬចំនុចខ្សោយដែលបានរកឃើញ ដើម្បីរកមើលថាតើវាអាចជ្រៀតចូលតាមចំនុចខ្សោយនោះបានដែរឬទេ?
វាអាចទៅរួចក្នុងការដំណើរការ pentest ដោយប្រើប្រាស់កម្មវិធីស្វ័យប្រវត្តិមានដូចជា Metasploit ។ ប៉ុន្តែអ្នកជំនាញពិតប្រាកដនឹងធ្វើការសរសេរនូវ exploits ខ្លួនឯងហើយធ្វើការវាយប្រហារតែម្តង ។ ឧទាហរណ៍ថា បើសិនជាវេបសាយរបស់អ្នកមានចំណុចខ្សោយ Heartbleed ហើយអ្នកដែលធ្វើតេស្តវាយប្រហារមានលទ្ធភាពជ្រៀតចូលតាមចំណុចខ្សោយនោះ និងធ្វើការកំណត់នូវផលប៉ៈពាល់ថាតើព័ត៌មានណាខ្លះដែលអាចជ្រាបចេញ។ វាមានន័យថា ណេតវើករបស់អ្នកនឹងអាចធ្វើការវាយប្រហារក្នុងទម្រង់ដូចជាហេគឃ័រពិតប្រាកដ ។
ចូរចងចាំថា អ្នកធ្វើតេស្តវាយប្រហារ (Penetration Testers) ឬ White Hat Hackers / Ethical Hackers តែងតែធ្វើការវាយលុកចូលក្នុងប្រព័ន្ធរបស់អ្នកក្នុងទម្រង់ដ៏មានសុវត្ថិភាព និងគ្រប់គ្រងបាន ហើយនឹងធ្វើការសំអាតវាបន្ទាប់ពីការធ្វើតេស្តត្រូវបានបញ្ចប់។ តេស្តនឹងធ្វើទៅតាមនីតិវិធីត្រឹមត្រូវ ហើយតែងតែមានការចុះហត្ថលេខាទៅលើ DNA (non-Disclosure Agreement) ជាមុន ។
ការវិភាគហានិភ័យ (Risk Analysis)
ការវិភាគហានិភ័យគឺជាមូលដ្ឋានគ្រឹះនៃសន្តិសុខព័ត៌មានរបស់អង្គភាព ហើយការវិភាគហានិភ័យបានត្រឹមត្រូវវានឹងជួយយើងការពារនូវការលួចយកទិន្នន័យ (data breaches), កាត់បន្ថយផលប៉ៈពាល់នៃការវាយប្រហារ និងការពារអង្គភាពរបស់អ្នក។ ការវិភាគហានិភ័យយើងត្រូវពិចារណាទៅលើទ្រព្យសម្បត្តិព័ត៌មាន (information asset), ចំណុចខ្សោយ (vulnerability), ការគំរាមគំហែង (threat) និងផលប៉ៈពាល់ចំពោះក្រុមហ៊ុន។ វាមិនពាក់ព័ន្ធទៅនឹងការងារ scanning, penetrating ឬក៏ការប្រើប្រាស់កម្មវិធីណាឡើយ។ វាគឺជាក្របខណ្ឌដែលធ្វើការវិភាគទៅលើចំណុចខ្សោយជាក់លាក់ណាមួយដូចជា ការកំណត់នៅហានិភ័យនានានៅពេលដែលត្រូវទទួលរងការវាយប្រហារ។ ហានិភ័យត្រូវបានគេវាយតម្លៃនៅក្នុងបរិបទហិរញ្ញវត្ថុ កេត្តនាម ប្រតិបត្តិការអាជីវកម្ម និងបទបញ្ញត្តិអនុលោមភាព។
នៅចុងបញ្ចប់ ការដាក់ចំណាត់ថ្នាក់ហានិភ័យជាមួយនឹងយន្តការឆ្លើយតប (mitigate controls) ដើម្បីធ្វើការកត់បន្ថយហានិភ័យនឹងត្រូវបានដាក់ចេញ។ អ្នកគ្រប់គ្រងអាចប្រើប្រាស់របាយការណ៍នេះក្នុងការសំរេចចិត្តជាមួយនឹងយន្តការឆ្លើយតប ថាតើគួរតែអនុវត្តន៍ ឬមិនអនុវត្តន៍ ។
សរុបសេចក្តី
យន្តការសន្តិសុខចំនួនបី (03) ត្រូវបានលើកយកមកពន្យល់យ៉ាងលំអិតខាងលើមិនមែនដាច់មុខនិមួយៗនោះទេ វាគឺបំពេញឲ្យគ្នាទៅវិញទោមក។ នៅក្នុងការវាយតម្លៃលើសន្តិសុខព័ត៌មាន ភាគច្រើនគឺ vulnerability assessment ត្រូវបានធ្វើដើម្បីរកនូវ network bugs, misconfigurations និង missing patches ។ បន្ទប់មកការធ្វើ penetration test ឬការវិភាគហានិភ័យត្រូវបានធ្វើបន្ទាប់ ។
ការវិភាគហានិភ័យអាចធ្វើឡើងមុន ទោះបីជាមិនជាបានធ្វើ vulnerability analysis ឬ penetration ក៏ដោយ។ នៅកន្លែងណាដែលមានវត្តមាន asset ជាមួយនឹងការ threat, ការវិភាគហានិភ័យអាចធ្វើឡើងបាន។
ការវាយតម្លៃចំនុចខ្សោយ ការធ្វើតេស្តវាយប្រហារ និងការវិភាគហានិភ័យគឺមាននីតិវិធីខុសៗគ្នា និងលទ្ធផលខុសៗគ្នា ៕