การทำ Brute Force Attack กับ Security ในประเทศไทย
ไม่น่าเชื่อเหมือนกันว่าวิธีการที่มักใช้แล้วประสบผลสำเร็จในการบุกเข้าระบบนั่นคือการเดารัวๆแบบ Brute Force Attack โดย Practical แล้วไม่ค่อยมีใครทำ Brute Force Attack กันเท่าไรยกเว้นกรณีที่ต้องการ Crack File ในการบุกรุกเข้าระบบนั้นมักจะใช้วิธีการที่เรียกว่า Dictionary Attack ซึ่งคือแทนที่จะเดารัวๆทุก Combination ของตัวอักษร ก็เลือกคำที่น่าจะเป็น Password มาเดาแทน ทำให้ลดเวลาในการเดาได้มากทีเดียว
ซึ่งโดยส่วนมากปราการด่านแรกที่สำคัญของระบบต่างๆ มักจะถูกปกป้องด้วย Username และ Password เท่านั้นเอง ทำให้มีโอกาสสูงมากที่จะโจมตีสำเร็จด้วยวิธีการเดารัวๆ
วิธีการป้องกันการโจมตีประเภทนี้ไม่ได้ยากอะไรเลย เพียงแค่
- Display Consistent Error คือ ไม่ต้องอธิบายสาเหตุของการ Login ไม่สำเร็จให้กับ User รู้หรอก เนื่องจากว่า นั่นอาจจะหมายถึงการอนุญาตให้ผู้ร้ายสามารถทำ User Enumeration ได้
- Password Policy คือ มีการกำหนด และ บังคับใช้ Password Policy ที่ดี (ไว้โอกาสหน้าจะมาคุยเรื่อง Password)
ต่อให้องค์กรที่ไม่ได้ทำ 2 อย่างข้างต้นเลย เวลามีการทำ Brute Force Attack ก็ควรที่จะมีการตรวจสอบถึงความผิดปกติของ Network ได้บ้าง IDS/IPS ควรจะ Alert อะไรได้บ้าง แต่ในโลกความเป็นจริงที่โหดร้ายนี้คือ องค์กรที่ลงทุนในอุปกรณ์ Security หลายๆล้านบาทก็ไม่สามารถหลุดรอดจากยุทธการทหารจีนนี้ เพราะว่าอุปกรณ์เหล่านี้ไม่ได้ช่วยป้องกันในกรณีที่ใช้ Password ง่าย นอกจากนี้ในระหว่างการทำ Brute Force Attack นั้น Network Bandwidth มีการ Spike ขึ้นมา IDS/IPS มีการ Trigger แต่ดันไม่มี คน Monitor หรือ คนที่จะ Response ดังนั้นนี่จึงเป็นจุดอ่อนที่ทำให้การโจมตีแบบเน้น Quantity over Quality นั้นประสบผลสำเร็จมากทีเดียว
ภาพรวมการบริหารจัดการระบบ Security ในประเทศไทยนั้นยังอ่อนแออยู่มาก (ไม่นับ Banking Sector ที่ดูจะแข็งพอสมควร โดยเฉพาะอันที่ให้ลูกค้าใช้) หลายๆ องค์กรมีอุปกรณ์ Security ที่ใหม่ๆ เจ๋งๆ ดูดี มากมาย หรือ ศัพท์ที่เรียกในวงการว่าพวกอุปกรณ์ Next Gen แต่ละปี องค์กร หรือ บริษัท ได้ทุ่มเทงบประมาณไปในการซื้ออุปกรณ์เหล่านี้หลายล้านบาท แต่ผลตอบแทนที่ได้รับนั้นอาจจะไม่คุ้มกับเงินที่ลงทุนไป หากยังไม่สามารถจัดการกับปัญหาพื้นฐานให้เรียบร้อยซะก่อน
คนส่วนใหญ่พูดถึง People, Process, Technology (PPT) เจ้าอุปกรณ์ที่เราทุ่มเงินซื้อไปเป็นเพียงแค่ 1 ใน 3 ขององค์ประกอบทั้งหมดเท่านั้นเอง การทำ Security ให้ดีนั้นควรจะทำให้ดีครบทุกด้าน ดังเช่นประโยคสุดคลาสสิกของวงการคือ “Security is as strong as its weakest link”
Security is as strong as its weakest link
ถ้าคนของคุณคือจุดอ่อน คุณควรจะพัฒนาคนให้มีความรู้
- พนักงานทั่วๆไป อย่างน้อยควรจะต้องรู้เรื่องความเป็นไปเกี่ยวกับ Security จะต้องมีการให้ความรู้ความเข้าใจ หรือ จัดทำ Security Awareness Training ให้บ้าง
- พนักงานที่มีหน้าที่รับผิดชอบโดยตรงเกี่ยวกับงาน Security ควรจะต้องมีการพัฒนาให้ทราบ Concept แนวคิดกระบวนการต่างๆ ของ Security ไม่ใช่ให้ Training แต่อุปกรณ์ที่ซื้อมาเท่านั้น ไป Training อุปกรณ์ก็ได้ Skill พอใช้งานเป็น แต่อาจจะไม่เข้าใจ Security Concept ภาพรวมอยู่ดี สุดท้ายระบบก็อ่อนแออยู่ดี
สรุปสั้นๆคือ อยากให้หันกลับมามอง Concept ที่เป็นพื้นฐานของ Security ให้มากขึ้น
- Solution ต่างๆที่มีอยู่ในองค์กรปัจจุบัน อาจจะเหมาะสมกับองค์กรอยู่แล้ว หากคนที่ดูแลมีความสามารถในการบริหารจัดการอย่างเหมาะสม ลองพิจารณาใช้เงินเพิ่มคุณค่าของคน แทนที่จะใช้เงินไปซื้อ Solution ใหม่ๆมาแล้วใช้ได้ไม่เต็มที่
- พิจารณาเรื่องการทำ Security อย่างรอบด้าน People, Process และ Technology สำคัญทั้งหมด
