ยุทธการทหารจีนจาก World War C: ตอนที่ 2

การทำ Brute Force Attack กับ Security ในประเทศไทย

Screen Shot 2557-09-07 at 8.12.55 PM

ไม่น่าเชื่อเหมือนกันว่าวิธีการที่มักใช้แล้วประสบผลสำเร็จในการบุกเข้าระบบนั่นคือการเดารัวๆแบบ Brute Force Attack โดย Practical แล้วไม่ค่อยมีใครทำ Brute Force Attack กันเท่าไรยกเว้นกรณีที่ต้องการ Crack File ในการบุกรุกเข้าระบบนั้นมักจะใช้วิธีการที่เรียกว่า Dictionary Attack ซึ่งคือแทนที่จะเดารัวๆทุก Combination ของตัวอักษร ก็เลือกคำที่น่าจะเป็น Password มาเดาแทน ทำให้ลดเวลาในการเดาได้มากทีเดียว

ซึ่งโดยส่วนมากปราการด่านแรกที่สำคัญของระบบต่างๆ มักจะถูกปกป้องด้วย Username และ Password เท่านั้นเอง ทำให้มีโอกาสสูงมากที่จะโจมตีสำเร็จด้วยวิธีการเดารัวๆ

วิธีการป้องกันการโจมตีประเภทนี้ไม่ได้ยากอะไรเลย เพียงแค่

  1. Display Consistent Error คือ ไม่ต้องอธิบายสาเหตุของการ Login ไม่สำเร็จให้กับ User รู้หรอก เนื่องจากว่า นั่นอาจจะหมายถึงการอนุญาตให้ผู้ร้ายสามารถทำ User Enumeration ได้
  2. Password Policy คือ มีการกำหนด และ บังคับใช้ Password Policy ที่ดี (ไว้โอกาสหน้าจะมาคุยเรื่อง Password)

ต่อให้องค์กรที่ไม่ได้ทำ 2 อย่างข้างต้นเลย เวลามีการทำ Brute Force Attack ก็ควรที่จะมีการตรวจสอบถึงความผิดปกติของ Network ได้บ้าง IDS/IPS ควรจะ Alert อะไรได้บ้าง แต่ในโลกความเป็นจริงที่โหดร้ายนี้คือ องค์กรที่ลงทุนในอุปกรณ์ Security หลายๆล้านบาทก็ไม่สามารถหลุดรอดจากยุทธการทหารจีนนี้ เพราะว่าอุปกรณ์เหล่านี้ไม่ได้ช่วยป้องกันในกรณีที่ใช้ Password ง่าย นอกจากนี้ในระหว่างการทำ Brute Force Attack นั้น Network Bandwidth มีการ Spike ขึ้นมา IDS/IPS มีการ Trigger แต่ดันไม่มี คน Monitor หรือ คนที่จะ Response ดังนั้นนี่จึงเป็นจุดอ่อนที่ทำให้การโจมตีแบบเน้น Quantity over Quality นั้นประสบผลสำเร็จมากทีเดียว

ภาพรวมการบริหารจัดการระบบ Security ในประเทศไทยนั้นยังอ่อนแออยู่มาก (ไม่นับ Banking Sector ที่ดูจะแข็งพอสมควร โดยเฉพาะอันที่ให้ลูกค้าใช้) หลายๆ องค์กรมีอุปกรณ์ Security ที่ใหม่ๆ เจ๋งๆ ดูดี มากมาย หรือ ศัพท์ที่เรียกในวงการว่าพวกอุปกรณ์ Next Gen แต่ละปี องค์กร หรือ บริษัท ได้ทุ่มเทงบประมาณไปในการซื้ออุปกรณ์เหล่านี้หลายล้านบาท แต่ผลตอบแทนที่ได้รับนั้นอาจจะไม่คุ้มกับเงินที่ลงทุนไป หากยังไม่สามารถจัดการกับปัญหาพื้นฐานให้เรียบร้อยซะก่อน

คนส่วนใหญ่พูดถึง People, Process, Technology (PPT) เจ้าอุปกรณ์ที่เราทุ่มเงินซื้อไปเป็นเพียงแค่ 1 ใน 3 ขององค์ประกอบทั้งหมดเท่านั้นเอง การทำ Security ให้ดีนั้นควรจะทำให้ดีครบทุกด้าน ดังเช่นประโยคสุดคลาสสิกของวงการคือ “Security is as strong as its weakest link”

Security is as strong as its weakest link

Security is as strong as its weakest link

ถ้าคนของคุณคือจุดอ่อน คุณควรจะพัฒนาคนให้มีความรู้

  1. พนักงานทั่วๆไป อย่างน้อยควรจะต้องรู้เรื่องความเป็นไปเกี่ยวกับ Security จะต้องมีการให้ความรู้ความเข้าใจ หรือ จัดทำ Security Awareness Training ให้บ้าง
  2. พนักงานที่มีหน้าที่รับผิดชอบโดยตรงเกี่ยวกับงาน Security ควรจะต้องมีการพัฒนาให้ทราบ Concept แนวคิดกระบวนการต่างๆ ของ Security ไม่ใช่ให้ Training แต่อุปกรณ์ที่ซื้อมาเท่านั้น ไป Training อุปกรณ์ก็ได้ Skill พอใช้งานเป็น แต่อาจจะไม่เข้าใจ Security Concept ภาพรวมอยู่ดี สุดท้ายระบบก็อ่อนแออยู่ดี

สรุปสั้นๆคือ อยากให้หันกลับมามอง Concept ที่เป็นพื้นฐานของ Security ให้มากขึ้น

  1. Solution ต่างๆที่มีอยู่ในองค์กรปัจจุบัน อาจจะเหมาะสมกับองค์กรอยู่แล้ว หากคนที่ดูแลมีความสามารถในการบริหารจัดการอย่างเหมาะสม ลองพิจารณาใช้เงินเพิ่มคุณค่าของคน แทนที่จะใช้เงินไปซื้อ Solution ใหม่ๆมาแล้วใช้ได้ไม่เต็มที่
  2. พิจารณาเรื่องการทำ Security อย่างรอบด้าน People, Process และ Technology สำคัญทั้งหมด

ยุทธการทหารจีน จาก World War C: ตอนที่ 1

Report จาก FireEye ออกมาเมื่อปีที่แล้วชื่อว่า “World War C: Understanding Nation-State Motives Behind Today’s Advanced Cyber Attacks” ซึ่งไม่ใช่ว่าเพิ่งอ่านเจอนะครับ เรามีแนะนำไปบน Facebook ตั้งแต่ตอนออกใหม่ๆแล้วล่ะ แต่ที่จะเขียนในบทความนี้คือสิ่งที่อยากจะเล่าจากประสบการณ์ในด้าน Security

World War C:

เริ่มจากรายงาน World War C ที่ตั้งชื่อให้เลียนเสียง World War Z หนังสือ และ หนังดังประจำปี 2013 ที่เป็นเรื่องเกี่ยวกับ “ซอมบี้” ซึ่งในหนังเองก็จะเห็นถึงวิธีการรับมือกับปัญหาที่ของรัฐบาลประเทศต่างๆ ซึ่งการตัดสินใจที่ไม่เหมือนกันนั้นส่วนหนึ่งคงเป็นเรื่องของ วัฒนธรรม ที่แตกต่างกันในแต่ละเชื้อชาตินั่นเอง

world-war-z-poster

เอ๊ะ แล้ว World War Z เกี่ยวอะไรกับ World War C ในรายงานของ FireEye ฉบับนี้ได้พยายามวิเคราะห์รูปแบบการทำ Cyber Attack ของประเทศต่างๆ (C ในชื่อรายงานย่อมาจาก Cyber) ซึ่งจะมีพูดถึงหลายประเทศ เช่น จีน รัสเซีย อเมริกา ฯลฯ

การทำสงครามบนโลก Cyber นั้นแน่นอนว่าจะต้องแตกต่างจากการทำสงครามธรรมดา แต่ Tactic ของแต่ละประเทศที่ใช้นั้นก็ได้รับการสะท้อนมาจากการทำสงครามแบบปกติเช่นกัน ทั้งนี้รูปแบบที่ใช้ในการทำสงครามนั้นมีสาเหตุมากมายที่หล่อหลอมประเทศต่างๆ ให้เลือก Tactic นั้นๆ ไม่ว่าจะเป็น วัฒนธรรม การใช้ชีวิต เหตุผลทางด้านการเมือง ทรัพยากรที่มี เป็นต้น

ตัวอย่างเช่น ประเทศอเมริกา ซึ่งมักจะใช้วิธีการสุดไฮเทคทั้งหลายในการทำสงคราม ซึ่งในการทำสงครามทาง Cyber ก็เช่นกัน ว่ากันว่ามีการกักตุนช่องโหว่ 0-day exploit (Zero Day Exploit) ไว้มากมาย โดย 0-day exploit เหล่านี้จะถูกนำมาใช้ในกรณีที่โจมตีเป้าหมายที่สำคัญมากจริงๆ ซึ่งนี่ก็เป็นหนึ่งในสาเหตุสำคัญว่าทำไมถึงมีการซื้อขาย 0-day exploit กันใน Black Market

อีกตัวอย่างคือ ประเทศจีน ซึ่งเรียกได้ว่าเป็นประเทศที่มีประชากรเยอะมากๆๆๆ การทำสงครามในสมัยก่อนอาศัยปริมาณคนมากกว่าคุณภาพ การทำสงครามบนโลก Cyber ก็เช่นกัน หนึ่งใน Tactic ที่ชอบใช้คือการทำ “Brute Force Attack”

Brute Force Attack คือการทดลองใส่ Password โดยพยายามลองทุก Combination ที่เป็นไปได้ ซึ่งโดยทฤษฏีแล้ว 100% Success Rate แต่อาจจะใช้เวลานานมากๆๆ และ ใช้ทรัพยากรเยอะมาก ซึ่งนี่ก็ไม่เป็นปัญหาสำหรับประเทศจีน ซึ่งมีทรัพยากรมหาศาลอยู่แล้ว

brute-force

หลายๆคนอาจจะมองว่าการทำ Brute Force Attack นี้เป็นการโจมตีที่อ่อนหัด ดูไม่ Cool เลย ใช้เวลานานมาก จะสำเร็จจริงหรือไม่ก็ไม่รู้

เดี๋ยวในบทความนี้ตอนที่ 2 ผมจะขอพูดถึงการทำ Brute Force Attack กับ Security ในบ้านเรากันนะครับ

Ref: http://www.fireeye.com/resources/pdfs/fireeye-wwc-report.pdf

Rubber Ducky in action Quack!! Quack!!

1 ในอุปกรณ์สุดฮิตที่ Hacker ทั้งหลายควรจะต้องมี คงจะหนีไม่พ้นเจ้า USB Rubber Ducky

อุปกรณ์นี้ไม่ได้น่ารักใสซื่อเหมือนชื่อมันเท่าไรนัก เพราะว่ามันสามารถ Bypass Security Control ทั้งหลายได้อย่างง่ายดาย หลักการของ USB Rubber Ducky นั้นคือ ให้คิดว่ามันเป็น USB Keyboard 1 อัน ที่สามารถ Load Key Sequence ล่วงหน้าได้ ดังนั้น Hacker ก็สามารถเตรียมคำสั่งอันร้ายกาจไว้ได้นั่นเอง ข้อดีที่สำคัญสุดๆของ Rubber Ducky นั้นคือ พวก Antivirus จะไม่สามารถตรวจจับได้ว่ามันเป็นอุปกรณ์ที่อันตรายได้ เพราะมันถูกมองว่าเป็นเพียง Keyboard 1 ตัวเท่านั้นเอง

นี่คือหน้าตาของ Rubber Ducky ดูไปก็คล้าย USB Flash Drive ธรรมดาๆ

rubber ducky core

Concept การใช้งานของ Rubber Ducky นั้นง่ายมาก มี 4 ส่วน ได้แก่ Write, Encode, Load, Deploy

rubber ducky manual

  • Write เขียนคำสั่งต่างๆ หรือ Key Sequence ต่างๆ ที่ต้องการจะ Run บนเครื่องเหยื่อ
  • Encode คือแปลงพวก Key Sequence ที่เราเตรียมไว้ให้เป็น Payload ของเจ้า Rubber Ducky
  • Load ก็คือเอา Payload ไปใส่บน memory card ของเจ้าเป็ดเหลือง
  • Deploy คือการจิ้มเจ้า Rubber Ducky ใส่เครื่องเหยื่อ หลังจากนั้นคำสั่งบน Rubber Ducky ก็จะ Execute บนเครื่องเหยื่อ ถ้าอยากจะ Execute Payload ซ้ำ ก็สามารถกดปุ่ม Replay บน Rubber Ducky ได้

ใน Package ของ Rubber Ducky นั้นมีอุปกรณ์อื่นๆอีกมากมาย ซึ่งส่วนใหญ่เป็นอุปกรณ์ ช่วยในการ ลับ ลวง พลาง ด้านขวานี่ก็ตัวช่วยประกอบให้หน้าตาดูเป็น Flash Drive ทั่วๆไป แต่ด้านซ้ายสุดนี่สิ หัวแปลง USB  ซึ่งทำให้สามารถใช้ Rubber Ducky กับ Android ได้ และ 1 ใน Payload ที่เคยฮิตมากเกี่ยวกับ Android คือ การทำ Brute Force Passcode ที่ Login Screen

rubber ducky parts

มาดูกันดีกว่าว่าพอเสียบ USB Rubber Ducky เข้าไปในเครื่องแล้วจะเป็นอย่างไร

อันนี้เป็น Payload ง่ายๆสำหรับการ Add User ใหม่บน Windows พร้อมทั้ง Add เข้า Administrators Group ด้วยครับ (ใน Video จะมีบางช่วงที่หยุดซักระยะนึงนั้นคือการตั้ง Delay ว่าอยากให้ช้าหรือเร็วแค่ไหน ถ้าตั้งเร็วเกินไปเดี๋ยวจะดูไม่ทันครับ)

อยากให้เจ้า Rubber Ducky ทำงานได้ซับซ้อนแค่ไหนก็ขึ้นอยู่กับความสามารถในการเขียน Script ของแต่ละคนแล้ว เช่น สั่ง Capture Screen ทุกๆ 1 นาที พร้อมส่ง Mail มาให้เรา หรือ สั่งให้ Download Malware มา Install ที่เครื่องก็เป็นไปได้

เจอแบบนี้แล้วใครบอกว่า Physical Security และ Security Awareness ไม่สำคัญก็คิดดูใหม่ได้นะครับ

ปล. ถ้าใครคิดว่าเรื่องพวกนี้สำคัญ และ อยากให้เพื่อนๆ หรือ คนที่ทำงาน มีความตระหนักในเรื่อง Security ก็อย่าลืมกด Like กด Share นะครับ รับรองว่ามีอะไรตื่นเต้นอีกเยอะ ส่วนใครที่สนใจและอยากให้ทีมงานไปแชร์ความรู้เกี่ยวกับ Security Awareness ให้กับองค์กรของท่านก็สามารถติดต่อเราได้เช่นกันครับ ขอบคุณครับ

แนะนำ!! หนังสือที่เขย่าวงการ Security ปี 2014

ผมเป็นคนหนึ่งที่ชอบสะสมหนังสือ Security ดังนั้นจึงอดไม่ได้ที่จะแนะนำหนังสือ Security ที่น่าสนใจที่เพิ่งออกมาในปี 2014 ซึ่งหนังสือ 2 เล่มนี้ได้แก่

RTFM and Blue Team Handbook

1. RTFM: Red Team Field Manual เหมาะสำหรับคนที่สนใจด้าน Offensive เป็นหนังสือที่รวบรวม Command ที่สำคัญๆ ที่ใช้ในการเจาะระบบ ซึ่งนับเป็น Reference Book ที่ดีมากเล่มนึงครับ ผู้แต่งคือ Ben Clark

2. Blue Team Handbook: Incident Response Edition เหมาะสำหรับคนที่สนใจด้าน Defensive ซึ่งรวบรวมเนื้อหาเกี่ยวกับการป้องกัน ไม่ว่าจะเป็นการทำ Incident Response, Forensics, Intrusion Analysis ซึ่งผู้แต่งหนังสือเล่มนี้คือ Don Murdoch หนึ่งในผู้ครอบครอง Certificate ระดับโลกอย่าง GSE (GIAC Security Expert)

ขณะนี้ Don Murdoch ก็มีโครงการที่จะเขียนหนังสือเล่มใหม่ออกมาหลังจาก Blue Team Handbook ได้รับการตอบรับอย่างดีครับ ซึ่งในวงการ Security เองก็มีการแซวกันว่านี่อาจจะเป็น “Modern Day Rainbow Series” เลยทีเดียว

Rainbow Series คืออะไร?

From: Wikipedia

From: Wikipedia

ในอดีตเมื่อนานมาแล้ว Department of Defense (DoD) ของ US ได้ตีพิมพ์หนังสือที่เกี่ยวกับ Security Standard โดยเล่มแรกนั้นชื่อว่า “Trusted Computer System Evaluation Criteria” (TCSEC) ซึ่งเป็นมาตรฐานในการประเมิน Security ของระบบ โดยหน้าปกของ TCSEC นี้จะเป็นสีส้ม ดังนั้นจึงมี Code name ว่า “Orange Book” หลังจากนั้นก็ได้มีการตีพิมพ์หนังสือที่เกี่ยวกับ Security Standard อีกมากมายโดยแต่ละเล่มก็มีสีต่างกัน จนสุดท้ายจึงเรียก Series ของหนังสือ Set นี้ว่า Rainbow Series ครับ

ในปัจจุบัน Security System มักจะอ้างอิง Common Criteria (CC) แทนนะครับ ซึ่งจะมีค่าของ EAL Level อยู่จะมีตั้งแต่ EAL 1 ถึง EAL 7 เลขยิ่งเยอะแปลว่าระบบยิ่งแข็งนะครับ

Ref:
1. http://www.amazon.com/Rtfm-Red-Team-Field-Manual/dp/1494295504
2. http://www.amazon.com/Blue-Team-Handbook-condensed-Responder/dp/1500734756/
3. http://en.wikipedia.org/wiki/Rainbow_Series

Take a deep breath with Heartbleed

สำหรับเรื่อง Heartbleed ผมขอเขียนให้กระชับที่สุดก็แล้วกันครับ (เพราะมีแหล่งข้อมูลเยอะแล้ว และอีกอย่างไอ้ Heartbleed ทำเอาเลือดสาดเลยทีเดียว)

heartbleed

Heartbleed bug หรือ CVE-2014-0160 ทำให้ใครก็ตามสามารถเห็นข้อมูลใน memory ครั้งละประมาณ 64K ได้ต่อ 1 ครั้ง อยากเห็นกี่ครั้งก็ได้ตามสบาย แล้วอะไรที่เห็นได้บ้างหรอครับ? เพียบเลยเช่น content ที่ไม่ต้อง authenticate ก่อนก็ดูได้, ข้อมูล session, Private Key, username และ passwords ส่วนใครอยากทราบรายละเอียดเพิ่มเติม ลองดูจากรายการด้านล่างได้เลยนะครับ

- ถ้าใครยังไม่รู้จักให้ลองอ่านจาก heartbleed.com

- หากใครไม่สันทัดภาษาอังกฤษ ThaiCERT ก็เขียนบทความออกมาอธิบายแล้วครับ ระวังภัย ช่องโหว่ใน OpenSSL ผู้ไม่หวังดีสามารถขโมยข้อมูลใน Memory จากเครื่องของเหยื่อได้ (Heartbleed, CVE-2014-0160)

- คุณ Phitchayaphong Tantikul ทำ VDO ภาษาไทยเอาไว้สามารถไปดูเพิ่มความเข้าใจได้ที่ ช่องโหว่ OpenSSL Heartbleed

เอาล่ะครับ เข้าเรื่องเลยดีกว่า

ปัญหาคือมันมีอะไรที่มากกว่านั้น

opensslhttps://www.openssl.org/news/secadv_20140407.txt

เพียงแค่ update เรื่องมันยังไม่จบนะครับ สาเหตุก็คือ

1. เราไม่รู้ว่าโดนเอาอะไรออกไปแล้วบ้าง ถ้าหากมีการ implement Extrusion Detection ก็ลองไปดูเลยนะครับว่ามีอะไรถูกเอาออกไปแล้วบ้างหรือไม่(ผมจัดว่าวิธีนี้ยากเกินไป อาจจะต้องรอ vendor ทำ flow analysis ออกมาโดยเฉพาะ ซึ่งช้าไปแล้ว)

2. สืบเนื่องจากข้อ 1 มันไม่มี log ปรากฎครับ หากเราดูแต่ web server log เราจะตอบคำถามใครไม่ได้ว่ามันเสียหากมากน้อยแค่ไหน เป็นสถานการณ์ที่เราเสียเปรียบเป็นอย่างยิ่ง

3. คุณ Update และแก้ปัญหาฝั่ง server-side ได้ก็จริง แล้วฝั่ง client-side ล่ะครับ ชิบหายครับ ลองคิดดูว่าถ้าเราบังคับให้ client connect กับ server ที่เรา control ได้ client-side attack ก็สามารถเกิดขึ้นได้ซึ่งจะทำให้เราสามารถอ่านข้อมูลใน memory ของ client ได้ ซึ่งตอนนี้นักวิจัยเค้าออกมา confirm แล้วครับว่า Android versions 4.1.0 และ 4.1.1a มีโอกาสโดน heartbleed bug เล่นงาน
(SSL บน Window ไม่เป็นไร ไม่งั้นตายหมู่แน่นอนครับ)

ดังนั้นเวลาตอบคำถามใครก็ตามอย่าลืมประเด็นเรื่องพวกนี้ด้วยนะครับ

heartbleed2

คำแนะนำเพิ่มเติมที่พวกเราอยากบอกทุกท่าน

1. ทดสอบดูว่า Server ทั้งที่อยู่ใน internal network และ DMZ zone มีช่องโหว่หรือไม่ มีจัดการแก้ bug
ก่อนเลยครับ รีบๆทำด้วย
2. Generate Certificate ใหม่เลยครับ อย่าคิดว่าเปลืองแรง ถ้าหากระบบของเราเป็นระบบสำคัญต้องทำทันที
3. เช่นเดียวกันกับข้อ 2 จัดการ reset password ของผู้ใช้งานทุกคน ไม่ใช่เรื่องน่าอายเพราะโดนกันทั้งโลกนะครับ
4. Application ที่เอาไป plug กับคนอื่นๆ ลองถามเค้าด้วยนะครับว่าระบบของเค้า OK กับ heartbleed หรือยัง ไม่ว่าจะเป็นการ implement โดยใช้ library ที่ใช้ openssl หรือเอา application ไปคุยกับ application อื่นๆ
5. สำหรับ Client-side จัดเป็นเรื่องใหญ่ครับ ผมหวังว่าอย่างน้อย browser vendor อาจจะทำอะไรได้บ้าง (ตอนนี้ก็มี plugin ช่วย check แต่เราไม่ค่อยชอบใช้พวก plugin ครับ)
6. Cloud Service ที่เราใช้กันอยู่มีใครโดนเล่นหรือไม่ ไปดูได้ที่ The Heartbleed Hit List: The Passwords You Need to Change Right Now
7. ช่วงนี้ระวัง Phishing ด้วยครับ ถ้ามี mail ส่งมาให้ reset password ขอให้มีสติ
8. สำหรับการตรวจดูว่า Web นั้นๆโดน heartbleed หรือไม่ สามารถตรวจได้หลายที่ เช่น

9. ผมว่าตรวจด้วย script เห็นชัดสุดครับ internal test ภายใน private network ก็สามารถทำได้ หากใครต้องการข้อมูลเพิ่มเติมว่าจะ check Heartbleed ของเครื่องในองค์กรได้อย่างไรสามารถสอบถามมาได้เลยนะครับ เดี๋ยวจะเอา script ไปให้ลองใช้ดู แต่ผมเชื่อว่าหลายๆคนทำได้อยู่แล้ว :)

Stay safe and get secured!!

Enterprise IT Security Investment

ห่างหายไปซะนานกับการเขียนบทความ วันนี้อยากพูดถึงประเด็นของการลงทุนเกี่ยวกับ Security ในองค์กรทั้งหลาย

งบ Security Training ของบริษัทคุณถ้าหารต่อหัวแล้ว แต่ละคนเรียนจะได้แค่ Course เคมีอาจารย์อุ๊ใช่ไหมครับ ถ้าใช่เชิญอ่านต่อได้ครับ!!

จากประสบการณ์ของเราที่ผ่านงานองค์กรใหญ่ ๆ มาหลาย ๆ ที่พบว่าปัจจุบันองค์กรใหญ่ ๆ ในประเทศไทยนั้นมีงบลงทุนเกี่ยวกับระบบ IT รวมไปถึงเรื่อง Security ที่สูงขึ้น ซึ่งงบในการลงทุนนี้มักจะครอบคลุม 3 ประเภทคือ

  1. Implement Solution ใหม่ ๆ เพื่อให้องค์กรมีระบบ Security ที่ดีขึ้น
  2. Preventive Maintenance สำหรับค่าใช้จ่ายค่า MA และ Licence ของอุปกรณ์ต่าง ๆ
  3. Training เพื่อพัฒนา Skill ของพนักงาน

ประเด็นที่น่าสนใจคือการลงทุนส่วนใหญ่เน้นลงทุนในประเภทที่ 1 และ 2 เป็นหลัก ซึ่งหลาย ๆ องค์กรมักมองว่า Solution ที่องค์กรวางแผนจะ Implement นั้นสามารถช่วยในการปรับปรุง Security ขององค์กรให้ดีมากขึ้น และการมีระบบใหม่ ๆ เข้ามาจะช่วยให้งานเป็น Automated มากขึ้น รวมไปถึงเป็นการ “ยิงปืนนัดเดียวได้นกสองตัว” ด้วย เพราะว่า องค์กรมองว่าพนักงานก็จะได้รับการ Training เพิ่มเติม จากหลักสูตรที่ Vendor มีแถมมา ซึ่งมักเป็นหลักสูตร Training สำหรับการใช้งานระบบ หรือ Solution นั้น ๆ

การของบสำหรับประเภทที่ 1 เพื่อใช้ซื้อ Solution นั้นสำหรับผู้บริหารบางท่านอาจมองว่าสามารถที่จะของบจากองค์กรได้ง่าย เพราะเป็นการซื้อ Physical asset เข้ามา (เหมือนว่าซื้อสิ่งของที่จับต้องได้ เห็นมูลค่าชัดเจน รวมไปถึงสามารถนำไปคิดค่าเสื่อมราคา [Depreciation Expense] เพื่อคิดเป็นค่าใช้จ่ายของกิจการสำหรับเรื่องของการทำงบบัญชีขององค์กรได้)  และงบในประเภทที่ 2 เรื่อง Maintenance นั้นมักถูกเรียกว่างบผูกพันธ์ ก็ขอได้ง่ายเช่นกันเนื่องจากส่วนใหญ่มักจะเป็นงบที่ตั้งไว้ตั้งแต่เริ่ม Implement Project หรือ Solution  แต่สำหรับงบประเภทที่ 3 ในเรื่องของการ Training นั้น งบที่จะใช้ในการลงทุนประเภทนี้ เป็นงบ Service ซึ่งเป็นสิ่งที่จับต้องได้ยาก ไม่มี Physical asset ไม่มีของที่มีมูลค่าทางบัญชี รวมไปถึงการวัดผลของการ Training นั้นทำได้ยาก ซึ่งเป็นสาเหตุหนึ่งที่ทำให้องค์กรส่วนใหญ่ไม่ค่อยส่งพนักงานไป Training หรือหากได้รับการ Training ก็มักจะได้เรียนแต่หลักสูตรที่แถมมากับการซื้ออุปกรณ์

ซึ่งหลักสูตรที่แถมกับการซื้ออุปกรณ์นั้น มักเน้นไปที่การเรียนรู้วิธีการใช้งานอุปกรณ์ สอนให้ผู้เรียนสามารถใช้งานอุปกรณ์เป็น แต่มักมีข้อเสียคือ เรื่องทฤษฏีพื้นฐานทางด้าน Security เกี่ยวกับอุปกรณ์นั้น ๆ ไม่ได้ถูกสอนเจาะลึกในรายละเอียด สอนแต่ทฤษฏีเบื้องต้น เพื่อให้สามารถควบคุมจัดการอุปกรณ์ได้เท่านั้น ซึ่งสิ่งที่จะตามมาต่อในอนาคตคือ ความรู้ที่มีไม่สามารถนำไปต่อยอดในระดับที่สูงขึ้นไปได้ รวมถึงในกรณีที่มีการสอนการใช้งานให้กับบุคคลอื่นในองค์กร ก็มักจะเป็นการสอนแค่วิธีการใช้งานอุปกรณ์เท่านั้น สุดท้ายแล้วพนักงานที่ไม่ได้กระตือรือร้นหาความรู้เพิ่มเอง ก็จะมีความสามารถในการใช้งานในระดับ Operation ให้ระบบสามารถทำงานไปได้ในแต่ละวันเท่านั้น

education = $ written on blackboard with apple, books

ผลกระทบจาก Skill ของพนักงานที่มีไม่มากพอนั้น อาจส่งผล เช่น Security ขององค์กรไม่ดีพอ ถึงแม้ว่าองค์กรมีการ Implement อุปกรณ์ Security ต่าง ๆ มากมาย รวมถึงมีพนักงานคอย Monitor สิ่งผิดปกติ อยู่ตลอด 24 ชั่วโมง แต่ก็ยังมีรูรั่วอยู่ดี ซึ่งรูรั่วต่าง ๆ เหล่านี้มักจะเกิดจากการที่ Skill ในการจัดการภาพรวมของ Security ภายในองค์กรไม่ดี รวมไปถึง Skill ในการบริหารจัดการอุปกรณ์แต่ละชิ้นนั้นไม่มากพอ ทำให้ไม่สามารถใช้ความสามารถของอุปกรณ์ได้เต็มที่

สำหรับใครที่ทำงานในสายนี้แล้วกำลังน้อยใจอยู่ ว่าทำไมที่บริษัทไม่ค่อยได้ส่งไป Training เลย ก็อย่าเพิ่งเสียใจไปนะครับ

ผู้บริหารหลาย ๆ ท่านเองก็มักจะเห็นปัญหานี้เช่นกัน ดังนั้นบางท่านจึงเลือกใช้วิธีการรวมงบสำหรับ Training เข้ากับงบ Solution โดยจะให้ Vendor จากบริษัทต่าง ๆ นำเสนอ Solution เข้ามาพร้อมกับหลักสูตร Security ที่ไม่อิงกับ Product เข้ามาด้วย

หากใครที่รอให้องค์กรส่งไป Training ไม่ไหว และเลือกที่จะลงทุนให้กับตัวเองนั้น มีข้อเสนอแนะดังนี้ครับ

1. เลือกหลักสูตร Training ที่มี Discount หรือ Special Offer ต่าง ๆ เช่น หลักสูตรของ EC-Council ที่สนับสนุนผู้ที่เป็นนักเรียน นักศึกษา โดยจะมีส่วนลดพิเศษให้มากกว่า 50%  แต่เงื่อนไขคือผู้สมัครจะต้องมีบัตรนักเรียน นักศึกษาด้วย ซึ่งการหาบัตรนักศึกษานี่คงไม่ยากเกินไปนะครับ หากใครสนใจลองเข้าไปติดตามกันได้ที่ Facebook ของศูนย์ Training ของบริษัท ACinfotec ที่ http://www.facebook.com/ACTCThailand ครับ

ราคาสำหรับนักเรียน นักศึกษา

1926787_1414196952171780_1299415941_n

2. หาเพื่อนที่สนใจในหลักสูตรเดียวกัน หรือหลักสูตรที่คล้ายกัน แล้วหาผู้เชี่ยวชาญที่มีความรู้ความสามารถมาสอนเป็นกลุ่มย่อย ซึ่งราคามักจะคุยกันได้ แล้วแต่ Deal ที่ตกลงกัน

3. การเลือกบริษัท Training ก็ลองสอบถามจากผู้ที่เคยไปเรียนมาก่อนว่าความรู้ที่ได้รับเป็นอย่างไร คนสอนมีความเชี่ยวชาญจริงหรือไม่ เพราะจากประสบการณ์ของเรา เคยเจออาจารย์ที่ไม่เคยทำงานนั้น ๆ แต่มาสอนเพราะเพียงแค่สอบ Certificate เกี่ยวกับคอร์สนั้นผ่าน นอกจากนี้ยังเคยเจออาจารย์ที่มาสายทุกวัน แถมยังเลิกก่อนเวลาเสียอีก ถ้าคุณเป็นหนึ่งในคนที่ออกมา Training ภายนอกองค์กรเพื่อที่ต้องการโดดงาน คุณคงชอบอาจารย์แบบนี้ แต่สำหรับคนที่อยากมาเรียนจริง ๆ จัง ๆ คงเซ็งน่าดูครับ

สุดท้ายนี้ ขอให้ทุกคนสนุกกับเรื่อง Security ต่อไปเรื่อย ๆ นะครับ ถึงแม้ในบางครั้งอาจจะมีปัจจัยเรื่อง Financial เข้ามาเกี่ยวข้องบ้าง แต่เชื่อเถอะครับว่ามันไม่ใช่ปัญหาเลย ถ้าเราสนใจที่จะเรียนรู้ มีวิธีหรือหลักสูตรที่ดีราคาเหมาะสม ให้เราเลือกอยู่เสมอ การลงทุนในการเรียนรู้นั้นมีความสำคัญมาก

Benjamin Franklin กล่าวว่า “An investment in knowledge pays the best interest.”

แต่สำหรับใครยังไม่พร้อมด้าน Financial ขอแนะนำให้ไปอ่านเนื้อหาจาก http://incognitolab.com/2013/11/03/from-pentesters-with-love-mut/ ครับ ซึ่งเป็น Slide ที่เรารวบรวม Resources ต่าง ๆ ที่น่าใจเกี่ยวกับ Security และเราได้มีโอกาสนำ Slide นี้ไปบรรยายแนวทางในการพัฒนาตัวเองให้กับนักศึกษาปริญญาโทที่มหาวิทยาลัยเทคโนโลยีมหานครครับ