ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

តើអ្នកកំពុងនៅលើផ្លូវដែលនឹងអាចត្រូវបានគេហេគ?

ប្រាកដណាស់ អ្នកអាចត្រូវបានហេគដោយងាយដោយមិនគិតអំពីទំហំឬភាពល្បីល្បាញរបស់អង្គភាពរបស់អ្នកឡើយ។ មានពេលខ្លះ ការដែលអ្នកខ្វៈខាតចំណេះដឹងមូលដ្ឋានអំពីការការពារ នឹងធ្វើឲ្យអ្នកទទួលរងការវាយប្រហារ, បាត់បង់ថវិការ ឬក៏ត្រូវបានឆបោកដោយអ្នកផ្តល់សេវាកម្មសន្តិសុខ ។

ជាមួយនឹងការរីកចំរើននៃពាណិជ្ជកម្មអនឡាញ ម្ចាស់អាជីវកម្មភាគច្រើនបានចាប់ផ្តើមចូលប្រឡូកនៅក្នុងវិស័យ e-Commerce ដោយសារតែវាមិនចំណាយដើមទុនច្រើន និងជាមធ្យោបាយមួយក្នុងការពង្រីកពាណិជ្ជកម្មបានលឿន។ ការធ្វើប្រតិបត្តិការតាមអនឡាញ (online transactions) គឺល្អប្រសើរណាស់ ប៉ុន្តែចំនុចមួយដែលអ្នកគួរតែចាប់អារម្មណ៍នោះគឺ Information Security! ។

អ្នកមិនចាំបាច់ក្លាយទៅជាអ្នកជំនាញការផ្នែកសន្តិសុខឡើយដើម្បីការពារណេតវើក និងអាជីវកម្មរបស់អ្នក។ អ្នកអាចជួលអ្នកដែលផ្តល់សេវាកម្មនេះដើម្បីមើលថែទាំហេដ្ឋារចនាសម្ព័ន្ធព័ត៌មានវិទ្យាឲ្យជំនួសអ្នកបាន។ ប៉ុន្តែដើម្បីឲ្យអ្នកអាចមានលទ្ធភាពក្នុងការជ្រើសរើសយកក្រុមហ៊ុនមួយដែលល្អ អ្នកត្រូវដែលដឹងនូវមូលដ្ឋានគ្រឹះនៃភាពខុសគ្នារវាងយន្តការនានានៃសន្តិសុខព័ត៌មាន។

ជាដំបូង អ្នកត្រូវតែធ្វើតេស្តទៅរាល់វេបសាយដើម្បីស្វែងរកចន្លោះប្រហោងសន្តិសុខ ឬចំណុចខ្សោយ (vulnerabilities) ។

“ចំណុចខ្សោយគឺជាច្រកផ្លូវនៃការវាយប្រហារ” វាគឺជាភាពខ្សោយ ឬចំណុចខ្សោយ ឬចំណុចខ្វៈខាតដែលមាននៅក្នុងប្រព័ន្ធដែលអាចបើកទ្វារណេតវើករបស់អ្នកទៅឲ្យអ្នកផ្សេងអាចវាយប្រហារ ។ តើចំណុចខ្សោយទាំងនេះបណ្តាលមកពីអ្វី? មានប្រព័ន្ធ និងសូហ្វវែរភាគច្រើនត្រូវបានភ្ជាប់មកជាមួយនូវចំណុចខ្សោយដែលស្គាល់ និងមិនស្គាល់ ឬក៏កំហុសឆ្គង (bug) នៅក្នុងការរៀបចំដំបូង (configuration) ។

ប្រព័ន្ធនានាត្រូវតែធ្វើការត្រួតពិនិត្យដើម្បីស្វែងរកចំណុចខ្សោយ ។ បន្ទាប់មកទៀតចំណុចខ្សោយទាំងនេះត្រូវតែត្រួតពិនិត្យថាតើវាអាចត្រូវបានជ្រៀតចូល (exploited) ដែរឬទេ? បន្ទាប់មកផលវិបាកនានាដែលកើតឡើងពីចំណុចខ្សោយទាំងនោះត្រូវតែធ្វើការប៉ាន់ស្មានជាការចាំបាច់។ ដំណាក់កាលចំនួនបីសំខាន់ផ្សេងៗគ្នាដែលត្រូវតែធ្វើគឺ ១/ ការស្វែងរកចំណុចខ្សោយ ​(vulnerability assessment) ២/ Penetration Test (ការធ្វើតេស្តវាយប្រហារ) និង ៣/ ការវិភាគហានិភ័យ (Risk Analysis) ។ សន្តិសុខព័ត៌មានគឺមិនមែនជាប្រតិបត្តិការមួយពេលចប់ឡើយ គឺវាត្រូវតែដំណើរការជាប្រចាំឲ្យបានទៀងទាត់។

ការដែលយើងមានការយល់ដឹងអំពីយន្តការសន្តិសុខទាំងនេះ គឺមានសារៈសំខាន់គួរសមនៅពេលដែលអ្នកធ្វើការសម្រេចចិត្តយកនូវវិធីសាស្ត្រដ៏ល្អណាមួយក្នុងការ ធ្វើឲ្យមានសន្តិសុខចំពោះណេតវើក និងប្រព័ន្ធ។

ការស្វែងរកចំណុចខ្សោយ (Vulnerability Assessment)

ជារឿយៗការស្វែងរកចំណុចខ្សោយគឺមានការភាន់ច្រលំជាមួយនឹងការធ្វើតេស្តវាយប្រហារ (penetration test)។ ប៉ុន្តែវាជាដំណើការពីរខុសគ្នាទាំងស្រុង ហើយបើសិនជាអ្នកផ្គត់ផ្គង់សេវាកម្មសន្តិសុខណាថាវាដូចគ្នានោះ គឺអ្នកមិនត្រូវទុកចិត្តដល់អ្នកទាំងនោះឡើយ។

ភាគច្រើន ការស្វែងរកចំណុចខ្សោយគឺសម្រាប់អង្គភាពណាដែលមិនទាន់ស្គាល់នូវកម្រិតសន្តិសុខរបស់ខ្លួននៅឡើយ ហើយចង់កំណត់ឲ្យបាននូវចំនុចខ្សោយរបស់ខ្លួន។ ការស្វែងរកចំណុចខ្សោយនេះ វានឹងធ្វើការស្កេននូវ IP address ឬបណ្តុំនៃ ​IPs ជាមួយនឹងការប្រើប្រាស់កម្មវិធីដូចជា ​Nessus និង OpenVas ជាដើម។ កម្មវិធីទាំងនេះមាននូវ signatures របស់ខ្លួនសម្រាប់ស្វែងរកចំនុចខ្សោយដូចជា Heartbleed bug, shellshock, Apache Web, …ល។ បើសិនជាប្រព័ន្ធរបស់អ្នកមាននូវចំណុចខ្សោយណាមួយដែលស្គាល់ កម្មវិធីទាំងនោះនឹងបញ្ចេញព័ត៌មាន (alert) ឲ្យយើងបានដឹង ហើយបន្ទាប់មកនឹងបញ្ចេញនូវរបាយការណ៍ជាមួយនឹងបញ្ជីឈ្មោះនៃចំណុចខ្សោយដែលរកឃើញ, កម្រិតនៃភាពធ្ងន់ធ្ងរ និងជំហាននៃការជួសជុល ។ ដោយសារតែកម្មវិធីទាំងនេះវាប្រើប្រាស់នូវ signatures វានឹងមិនរកឃើញនូវចំណុចខ្សោយដែលមិនស្គាល់នោះឡើយ ​(unknown vulnerabilities) ។

ការធ្វើតេស្តវាយប្រហារ (Penetration Test)

មានអ្នកធ្វើតេស្តការវាយប្រហារជាច្រើនដែលនឹងធ្វើការស្វែងរកចំណុចខ្សោយ (vulnerability assessment) ហើយតាំងខ្លួនថាបានធ្វើការការងារធ្វើតេស្តវាយប្រហារ (pentest) ។ អ្នកគួរតែដឹងថាការងារនេះគ្រាន់តែជាដំណាក់កាលដំបូងបំផុតនៃការធ្វើតេស្តវាយប្រហារប៉ុណ្ណោះ។ ការធ្វើតេស្តវាយប្រហារពិតប្រាកដគឺការយករបាយការណ៍ពីការស្កេនណេតវើក ឬស្វែងរកចំណុចខ្សោយ ហើយវាយប្រហារទៅកាន់ port ណាមួយឬចំនុចខ្សោយដែលបានរកឃើញ ដើម្បីរកមើលថាតើវាអាចជ្រៀតចូលតាមចំនុចខ្សោយនោះបានដែរឬទេ?

វាអាចទៅរួចក្នុងការដំណើរការ pentest ដោយប្រើប្រាស់កម្មវិធីស្វ័យប្រវត្តិមានដូចជា Metasploit ។ ប៉ុន្តែអ្នកជំនាញពិតប្រាកដនឹងធ្វើការសរសេរនូវ exploits ខ្លួនឯងហើយធ្វើការវាយប្រហារតែម្តង ។ ឧទាហរណ៍ថា បើសិនជាវេបសាយរបស់អ្នកមានចំណុចខ្សោយ ​Heartbleed ហើយអ្នកដែលធ្វើតេស្តវាយប្រហារមានលទ្ធភាពជ្រៀតចូលតាមចំណុចខ្សោយនោះ និងធ្វើការកំណត់នូវផលប៉ៈពាល់ថាតើព័ត៌មានណាខ្លះដែលអាចជ្រាបចេញ។ វាមានន័យថា ណេតវើករបស់អ្នកនឹងអាចធ្វើការវាយប្រហារក្នុងទម្រង់ដូចជាហេគឃ័រពិតប្រាកដ ។

ចូរចងចាំថា អ្នកធ្វើតេស្តវាយប្រហារ (Penetration Testers) ឬ ​White Hat Hackers / Ethical Hackers តែងតែធ្វើការវាយលុកចូលក្នុងប្រព័ន្ធរបស់អ្នកក្នុងទម្រង់ដ៏មានសុវត្ថិភាព និងគ្រប់គ្រងបាន ហើយនឹងធ្វើការសំអាតវាបន្ទាប់ពីការធ្វើតេស្តត្រូវបានបញ្ចប់។ តេស្តនឹងធ្វើទៅតាមនីតិវិធីត្រឹមត្រូវ ហើយតែងតែមានការចុះហត្ថលេខាទៅលើ DNA (non-Disclosure Agreement) ជាមុន ។

ការវិភាគហានិភ័យ (Risk Analysis)

ការវិភាគហានិភ័យគឺជាមូលដ្ឋានគ្រឹះនៃសន្តិសុខព័ត៌មានរបស់អង្គភាព ហើយការវិភាគហានិភ័យបានត្រឹមត្រូវវានឹងជួយយើងការពារនូវការលួចយកទិន្នន័យ (data breaches), កាត់បន្ថយផលប៉ៈពាល់នៃការវាយប្រហារ និងការពារអង្គភាពរបស់អ្នក។ ការវិភាគហានិភ័យយើងត្រូវពិចារណាទៅលើទ្រព្យសម្បត្តិព័ត៌មាន (information asset), ចំណុចខ្សោយ (vulnerability), ការគំរាមគំហែង ​(threat) និងផលប៉ៈពាល់ចំពោះក្រុមហ៊ុន។ វាមិនពាក់ព័ន្ធទៅនឹងការងារ scanning, penetrating ឬក៏ការប្រើប្រាស់កម្មវិធីណាឡើយ។ វាគឺជាក្របខណ្ឌដែលធ្វើការវិភាគទៅលើចំណុចខ្សោយជាក់លាក់ណាមួយដូចជា ការកំណត់នៅហានិភ័យនានានៅពេលដែលត្រូវទទួលរងការវាយប្រហារ។ ហានិភ័យត្រូវបានគេវាយតម្លៃនៅក្នុងបរិបទហិរញ្ញវត្ថុ កេត្តនាម ប្រតិបត្តិការអាជីវកម្ម និងបទបញ្ញត្តិអនុលោមភាព។

នៅចុងបញ្ចប់ ការដាក់ចំណាត់ថ្នាក់ហានិភ័យជាមួយនឹងយន្តការឆ្លើយតប (mitigate controls) ដើម្បីធ្វើការកត់បន្ថយហានិភ័យនឹងត្រូវបានដាក់ចេញ។ អ្នកគ្រប់គ្រងអាចប្រើប្រាស់របាយការណ៍នេះក្នុងការសំរេចចិត្តជាមួយនឹងយន្តការឆ្លើយតប ថាតើគួរតែអនុវត្តន៍ ឬមិនអនុវត្តន៍ ។

សរុបសេចក្តី

យន្តការសន្តិសុខចំនួនបី (03) ត្រូវបានលើកយកមកពន្យល់យ៉ាងលំអិតខាងលើមិនមែនដាច់មុខនិមួយៗនោះទេ វាគឺបំពេញឲ្យគ្នាទៅវិញទោមក។ នៅក្នុងការវាយតម្លៃលើសន្តិសុខព័ត៌មាន ភាគច្រើនគឺ vulnerability assessment ត្រូវបានធ្វើដើម្បីរកនូវ network bugs, misconfigurations និង missing patches ។ បន្ទប់មកការធ្វើ penetration test ឬការវិភាគហានិភ័យត្រូវបានធ្វើបន្ទាប់ ។

ការវិភាគហានិភ័យអាចធ្វើឡើងមុន ទោះបីជាមិនជាបានធ្វើ vulnerability analysis ឬ penetration ក៏ដោយ។ នៅកន្លែងណាដែលមានវត្តមាន asset ជាមួយនឹងការ threat, ការវិភាគហានិភ័យអាចធ្វើឡើងបាន។

ការវាយតម្លៃចំនុចខ្សោយ ​ការធ្វើតេស្តវាយប្រហារ និងការវិភាគហានិភ័យគឺមាននីតិវិធីខុសៗគ្នា និងលទ្ធផលខុសៗគ្នា ៕​

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button