Penetration testing (การทดสอบเจาะระบบ)

Pentest: Penetration testing เป็นการทดสอบเจาะระบบความปลอดภัยขององค์กร เพื่อค้นหาและโจมตี (exploit) ไปยังช่องโหว่ทางด้านความปลอดภัยใน application 

รูปแบบของการทดสอบเจาะระบบแบ่งออกเป็น 3 รูปแบบ คือ 

1. Black Box เป็นการทดสอบเจาะระบบเสมือนจริง โดยการทดสอบ ผู้ทดสอบหรือ Pentester จะไม่ทราบข้อมูลของเป้าหมาย 
2. White Box เป็นการทดสอบเจาะระบบที่เน้นมุมมองของภัยคุกคามจากภายในองค์กรมากที่สุด ผู้ทดสอบหรือ Pentester จะทราบข้อมูลภายในขององค์กรทั้งหมดไม่ว่าจะเป็นระบบโครงสร้างเครือข่าย ข้อมูลการให้บริการต่าง ๆ เป็นต้น
3. Grey Box เป็นการทดสอบโดยที่ผู้ทดสอบหรือ Pentester จะทราบข้อมูลภายในบางส่วน 

ความคลาดเคลื่อนทางยา (Medication Error)

ความคลาดเคลื่อนทางยา หมายถึง เหตุการณ์ความผิดพลาดเกี่ยวกับยาซึ่งเกิดขึ้นขณะที่ยาอยู่ในความควบคุมของบุคลากรวิชาชีพด้านสุขภาพ อันอาจเป็นสาเหตุที่นำไปสู่การใช้ยาไม่เหมาะสมหรือเป็นอันตรายต่อผู้ป่วย แต่เป็นเหตุการณ์ที่สามารถป้องกันได้ เหตุการณ์ที่เกิดขึ้นอาจเป็นความผิดพลาดที่เกิดจากตัวบุคคลที่หน้างาน (active หรือ human error) หรืออาจเป็นความล้มเหลวในเชิงระบบที่ฝังตัวมานานแล้ว (latent error) แต่ไม่มีใครสังเกต จนกระทั่งเป็นสาเหตุให้เกิดความผิดพลาดที่หน้างานโดยตัวบุคคล ซึ่งเมื่อวิเคราะห์หาสาเหตุเชิงลึกแล้วพบว่ามีความเกี่ยวโยงกัน ต้องแก้ไขหรือวางระบบใหม่ จึงจะป้องกันการเกิดความคลาดเคลื่อนซ้ำได้อย่างยังยืน

Data life cycle — วงจรชีวิตข้อมูล

Data life cycle & Security requirement

Encoding, Encryption และ Hashing: ความแตกต่างที่สำคัญ

Encoding

Encoding เป็นการแปลงข้อมูลให้อยู่ในรูปแบบที่ระบบสามารถเข้าใจได้. จุดประสงค์หลักคือเพื่อความสะดวกในการรับส่งข้อมูล ไม่ใช่เพื่อความปลอดภัย.

เช่น: 

• ASCII: แปลงตัวอักษรเป็นตัวเลข เช่น 'A' เป็น 65
• Base64: ใช้ในการส่งข้อมูลผ่านอีเมล เช่น "Hello" เป็น "SGVsbG8="

Encoding สามารถถอดกลับเป็นข้อมูลต้นฉบับได้ง่าย โดยไม่ต้องใช้กุญแจพิเศษ

Encryption

Encryption เป็นการเข้ารหัสข้อมูลเพื่อรักษาความลับ. จุดประสงค์หลักคือป้องกันไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้าถึงข้อมูล.

เช่น:

• AES: ใช้ในการเข้ารหัสข้อมูลในฮาร์ดดิสก์
• RSA: ใช้ในการเข้ารหัสการสื่อสารทางอินเทอร์เน็ต
• Caesar Cipher: วิธีการเข้ารหัสอย่างง่าย โดยเลื่อนตัวอักษรไปตามจำนวนที่กำหนด

การถอดรหัส Encryption จำเป็นต้องใช้กุญแจ (key) ที่ถูกต้อง.

Hashing

Hashing เป็นการแปลงข้อมูลให้เป็นค่าคงที่ที่ไม่สามารถแก้ไขหรือถอดกลับได้. จุดประสงค์หลักคือเพื่อตรวจสอบความถูกต้องของข้อมูล.

เช่น:

• SHA-256: ใช้ในการตรวจสอบความถูกต้องของไฟล์ดาวน์โหลด
• MD5: ใช้ในการตรวจสอบความถูกต้องของข้อมูลในฐานข้อมูล
• bcrypt: ใช้ในการเก็บรหัสผ่านของผู้ใช้ในระบบ

ตัวอย่างการใช้งาน Hashing:

• ตรวจสอบความถูกต้องของไฟล์: เปรียบเทียบค่า hash ของไฟล์ที่ดาวน์โหลดกับค่า hash ที่ผู้ให้บริการระบุไว้.
• เก็บรหัสผ่าน: ระบบเก็บเฉพาะค่า hash ของรหัสผ่าน ไม่ใช่รหัสผ่านจริง เพื่อความปลอดภัย.

การ Hashing มีคุณสมบัติสำคัญคือ:

• Input เดิมจะได้ output เดิมเสมอ
• Input ต่างกันจะได้ output ต่างกัน
• ไม่สามารถย้อนกลับจาก output เป็น input ได้
• การเปลี่ยนแปลง input เพียงเล็กน้อยจะส่งผลให้ output เปลี่ยนแปลงอย่างมาก
• 
  

NOTE:

• Encoding ใช้เพื่อความสะดวกในการส่งข้อมูล 
• Encryption ใช้เพื่อรักษาความลับของข้อมูล 
• Hashing ใช้เพื่อตรวจสอบความถูกต้องของข้อมูล. 

โดยในการการเลือกใช้แต่ละวิธีขึ้นอยู่กับวัตถุประสงค์ในการใช้งานข้อมูลนั้น ๆ

Firewall Policy - การตั้งค่าความปลอดภัยสำหรับไฟร์วอล

ซื้อไฟร์วอลมาโครตแพง แต่ Allow all ก็ไม่ได้ช่วยให้เกิดความปลอดภัยมากนัก ซึ่งส่วนใหญ่แล้วมักจะไม่ค่อยเห็นความสำคัญ 

หลักการที่สำคัญในการตั้งค่าให้กับไฟร์วอล คือ เปิดเฉพาะที่จำเป็น เช่น ผู้ใช้ภายในส่วนใหญ่ก็จะใช้งานแค่  HTTP, HTTPS, SSH, DNS, SMTP, POP3 เราก็เปิดแค่นั้น, ในส่วนของการสื่อสารระหว่าง Server ก็มาดูทีละส่วนทีละเครื่องว่าจะเปิดให้เข้าถึงอะไรได้บ้าง และที่สำคัญคือควรจะต้องมีการทบทวน Firewall Policy อย่างน้อยปีละ 1 ครั้ง เพื่อนำพอร์ท หรืออะไรที่ไม่ได้ใช้งานแล้วออก (ปกติถ้าไม่ได้ใช้แล้วก็ควรนำออกเลย แต่มันก็มีผิดพลาด หรือลืมกันได้ เพราะฉะนั้นปีนึงก็มาทบทวนอีกซักรอบว่ายังจำเป็นอยู่หรือปล่าว)

ตัวอย่างการตั้งค่า Access control list: ACL

BCP Exercise - การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ

การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ เป็นขั้นตอนในการทดสอบและประเมินความพร้อมของแผนปฏิบัติการ และกระบวนการในการตอบโต้สถานการณ์เมื่อเกิดเหตุที่ไม่คาดคิด เพื่อให้ทราบถึงข้อบกพร่องของแผน, ทรัพยากร, กระบวนการทำงาน, ช่องว่างในการประสานงานต่าง ๆ ทั้งภายในและภายนอกหน่วยงาน ตลอดจนประสิทธิภาพของกระบวนการสื่อสาร   โดยมีรูปแบบที่นิยมใช้ในการฝึกซ้อม 3 รูปแบบ คือ

• การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise)
• การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise)
• การฝึกซ้อมเสมือนจริง (Full scale Exercise)

การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการทำความเข้าใจเกี่ยวกับแผน บทบาทหน้าที่ และความร่วมมือต่าง ๆ  โดยใช้การอภิปรายแบบกลุ่มบนสถานะการณ์จำลองที่กำหนดขึ้น โดยผู้บริหาร และผู้ที่มีส่วนเกี่ยวข้อง ข้อดีของการฝึกซ้อมแผนบนโต๊ะคือประหยัด เหมาะสำหรับใช้ในการเตรียมการฝึกซ้อมที่มีความซับซ้อนมากขึ้น

การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการประเมินความสามารถของบุคลากร การสั่งการ และทรัพยากรที่จำเป็น โดยการจำลองสถานะการเฉพาะจุด หรือเฉพาะบทบาทหน้าที่นั้น ๆ ข้อดีของการฝึกซ้อมการฝึกซ้อมเฉพาะหน้าที่ คือความสมจริงของเหตุการณ์ภายไต้งบประมาณที่จำกัด มักถูกใช้ในการเตรียมความพร้อมรับมือเหตุการณ์ต่าง ๆ เช่น การทดสอบการสื่อสารผ่าน Call tree, การทดสอบ hot site เป็นต้น

การฝึกซ้อมเสมือนจริง (Full scale Exercise) เป็นการฝึกซ้อมที่ซับซ้อนและใช้ทรัพยากรมากที่สุดเนื่องจากต้องมีการเคลื่อนย้ายทรัพยากร และบุคลากรที่เกี่ยวข้องเพื่อให้เกิดความสมจริงในการตอบสนองต่อเหตุการณ์ โดยมุ่งเน้นการปฏิบัติตามแผนงานที่ได้กำหนดไว้ ซึ่งรวมทั้งกระบวนการสั่งการ การสื่อสาร การเคลื่อนย้าย การตั้งค่า การรายงาน ฯลฯ โดยใช้สถานการณ์สมมติ

การที่องค์กรจะเลือกรูปแบบการซ้อมแบบไหนก็ขึ้นอยู่กับบริบท และความพร้อมขององค์กรในการดำเนินการ แต่อย่างน้อยควรจะมีการซ้อมปีละ 1 ครั้ง เพื่อให้มั่นใจว่าเมื่อเกิดเหตุขึ้นแผนนี้จะสามารถรับมือได้ 

Document Action Request Form | DAR -- (แบบคำร้องขอให้ดำเนินการเกี่ยวกับเอกสารควบคุม)

 

สนใจนำไปประยุกต์ใช้ในหน่วยงาน > https://docs.google.com/document/d/1azwXuAdg5EoBCyCT1-OfiD8zYk1GEyNDwc7HEJ78hBk/edit?usp=sharing

SWOT Analysis Template

สนใจนำไปประยุกต์ใช้ในองค์กร > https://docs.google.com/presentation/d/1VyI6d8BbCbdXCteA5HZw25MzOAiUGQeCokZrZOd9-nA/edit?usp=sharing

โรงพยาบาล: สถานที่แห่งความหวัง แฝงความเสี่ยง

โรงพยาบาล เปรียบเสมือนบ้านหลังที่สองสำหรับผู้ป่วย ยามเจ็บป่วยผู้คนต่างมุ่งหน้าไปเพื่อขอรับการรักษาพยาบาล เพื่อบรรเทาความทุกข์ทรมานที่เกิดขึ้น  แต่ว่าภายใต้ภาพลักษณ์ของสถานที่แห่งความหวัง  ยังแฝงไปด้วยความเสี่ยงที่หลายคนอาจมองข้าม ความเสี่ยงที่อาจได้เผชิญในการเข้ารับบริการที่โรงพยาบาลเมื่อลองแบ่งเป็นกลุ่ม อาจแบ่งได้ประมาณนี้ คือ

1. ความเสี่ยงทางคลินิก เป็นความเสี่ยงที่พบได้บ่อยที่สุด เริ่มตั้งแต่การวินิจฉัยผิดพลาด การรักษาที่ไม่ถูกต้อง การติดเชื้อในโรงพยาบาล ภาวะแทรกซ้อนจากการรักษา การแพ้ยา การพลัดตกหกล้มซึ่งมีสาเหตุทั้งมาจากอาการของโรค เป็นภาวะหลังการได้รับยา หรืออาจจะเป็นอุบัติเหตุ สิ่งเหล่านี้ล้วนเป็นสิ่งที่ผู้ป่วยอาจต้องเผชิญ ถึงแม้โรงพยาบาลจะมีระบบ และมาตรการในการป้องกัน แต่ความผิดพลาดก็อาจเกิดขึ้นได้เสมอ

เตรียมพร้อมเอกสารสำหรับ Surveillance Audit ISO27001

เวลาจะตรวจ Surveillance Audit ISO27001 ประจำปีแต่ละที ก็จะกังวลว่าเตรียมเอกสารครบหรือยัง? ลองเช็คไปพร้อมๆ  กัน

ตรวจสอบ

1. มีการเปลี่ยนแปลงของขอบเขตการบริหารจัดการ? -- Scope of ISMS (Clause 4.3) 
2. มีการเปลี่ยนแปลงของนโยบาย? -- Information Security Policy (Clause 5.2) 
3. มีการเปลี่ยนแปลงของกระบวนการประเมินความเสี่ยง และกระบวนการการจัดการความเสี่ยง? -- Information Security Risk Assessment Process (Clause 6.1.2), Information Security Risk Treatment Plan (Clause 6.1.3
4. มีการเปลี่ยนแปลงของเอกสารการประยุกต์ใช้มาตรการควบคุม? -- Statement of Applicability (Clause 6.1.3)
5. มีการเปลี่ยนแปลงเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศ? -- Information Security Objectives (Clause 6.2)
6. มีการเปลี่ยนเปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ? -- Change Management (Clause 6.3)
7. มีการเปลี่ยนแปลงของเอกสารอื่น ๆ ที่เกี่ยวข้อง? -- Documented Information Required by the Standard and Deemed Necessary by the Organization (Clause 7.5.1) 

*** ถ้ามีการเปลี่ยนแปลง 1-7 มีการจัดทำ/ทบทวน/แก้ไขเอกสารหรือยัง? ถ้าแก้ไขแล้วจัดเตรียมไว้

เตรียม

1. ใบประกาศ, แผนการอบรม ผลการอบรม ของพนักงานที่เกี่ยวข้อง -- Evidence of Competences (Clause 7.2)
2. ผลการประเมินความเสี่ยง -- Results of Information Security Risk Assessments (Clause 8.2)
3. แผนการจัดการความเสี่ยง และการติดตามผลการจัดการ -- Results of Risk Treatment (Clause 8.3)
4. ผลการติดตามและวัดผลประสิทธิผลการดำเนินการ (KPI) -- Evidence of Monitoring and Measurement Results (Clause 9.1) 
5. แผนการตรวจ, ผลการตรวจ, รายงานการตรวจ, CAR, การตอบกลับ CAR, การติดตาม CAR -- Audit Program and Results (Clause 9.2) - Schedule and outcomes of ISMS audits.
6. ผลลัพธ์ของกระบวนการที่ได้วางแผนไว้ -- Evidence that the Process Has Been Performed as Planned (Clause 8.1)
7. ผลการทบทวนของผู้บริหาร -- Evidence of Management Reviews (Clause 9.3) 
8. ผลการดำเนินการกับความไม่สอดคล้อง -- Nonconformities and Actions Taken (Clause 10.2)

หมายเหตุ: เป็นการตรวจสอบเฉพาะตามข้อกำหนด C4-10 ไม่รวมถึงเอกสารที่เกิดจากการประยุกต์ใช้มาตรการควบคุมตาม Annex A