1oQKO3
1oQKO3
1oQKO3
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
2013 ThaiCERT<br />
ANNUAL REPORT<br />
รายงานประจำปีไทยเซิร์ต 2556
ชื่อเรื่อง : รายงานประจำปีไทยเซิร์ต 2556 (2013 ThaiCERT ANNUAL REPORT)<br />
เรียบเรียงโดย : สุรางคณา วายุภาพ, ชัยชนะ มิตรพันธ์, สรณันท์ จิวะสุรัตน์, ธงชัย แสงศิริ<br />
พรพรหม ประภากิตติกุล, ธงชัย ศิลปวรางกูร, ณัฐโชติ ตุสิตานนท์ และทีมไทยเซิร์ต<br />
เลข ISBN : ISBN 978-616-91910-8-7<br />
พิมพ์ครั้งที่ : 1 พฤศจิกายน 2557<br />
พิมพ์จำนวน : 1,000 เล่ม<br />
ราคา : 300 บาท<br />
สงวนลิขสิทธิ์ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537<br />
จัดพิมพ์และเผยแพร่โดย :<br />
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย<br />
(Thailand Computer Emergency Response Team)<br />
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)<br />
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร<br />
อาคารเดอะ ไนน์ ทาวเวอร์ แกรนด์ พระรามเก้า (อาคารบี) ชั้น 21 เลขที่ 33/4<br />
ถนนพระราม 9 แขวงห้วยขวาง เขตห้วยขวาง กรุงเทพมหานคร 10310<br />
โทรศัพท์ : 0 2123 1234 | โทรสาร : 0 2123 1200<br />
อีเมล : office@thaicert.or.th<br />
เว็บไซต์ไทยเซิร์ต : www.thaicert.or.th<br />
เว็บไซต์ สพธอ. : www.etda.or.th<br />
เว็บไซต์กระทรวงไอซีที : www.mict.go.th
สารจากผู้กำหนดทิศทาง “ไทยเซิร์ต”
ในขณะที่โลกกลังมุ่งสู่ยุคที่คนและเทคโนโลยีต้อง<br />
เกี่ยวพันกัน 24x7 และประเทศไทยมีผู้ใช้อินเทอร์เน็ต<br />
เกือบ 30% ของประชากร ประเทศจำเป็นต้องวาง<br />
โครงสร้างการบริหารจำัดการความมั่นคงปลอดภัย<br />
ไซเบอร์ของประเทศที่มีความชัดเจำน ในบทบาทหน้าที่<br />
“ไทยเซิร์ต” ภายใต้การกกับดูแลของ สพธอ. ถือเป็น<br />
กลังสคัญที่พร้อมให้ความช่วยเหลือดูแลงาน<br />
ความมั่นคงปลอดภัยไซเบอร์ที่สคัญนี้<br />
พรชัย รุจิประภา<br />
รัฐมนตรีว่าการกระทรวงไอซีที
บทบาทของกระทรวงไอซีทีที่จำะต้องส่งเสริมการพัฒนา<br />
และการใช้เทคโนโลยีไซเบอร์ในการบริหารจำัดการ<br />
ประเทศเพียงอย่างเดียวอาจำยังไม่เพียงพอ จำเป็นต้องมี<br />
หน่วยงานกลางที่สามารถให้ความช่วยเหลือได้รวดเร็ว<br />
ทันที แก้ปัญหาเฉพาะหน้าได้อย่างมีประสิทธิภาพ<br />
ซึ่งดิฉันเชื่อมั่นว่า “ไทยเซิร์ต” พร้อมในบทบาทนี้<br />
เมธินี เทพมณี<br />
ปลัดกระทรวงไอซีที
ในระยะ 3 ปี ที่ผ่านมา “ไทยเซิร์ต” ภายใต้ สพธอ.<br />
ได้มีส่วนดูแลและปกป้องธุรกรรมออนไลน์<br />
ของประเทศไทย ซึ่งผมและกรรมการบริหาร สพธอ.<br />
พร้อมผลักดันและสนับสนุนการทงานของ<br />
“ไทยเซิร์ต” ให้เข้มแข็งมากขึ้นและเป็นกลังสคัญ<br />
ในด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ<br />
เพื่อพร้อมเข้าสู่ AEC2015<br />
จรัมพร โชติกเสถียร<br />
ประธานกรรมการบริหาร สพธอ.
ก้าวต่อไปในอนาคตของ Cybersecurity ไทย<br />
จำะต้องมีการผลักดันให้ประเทศมี National<br />
Cybersecurity Governance โดย สพธอ.<br />
จำะยกระดับการทงานของ “ไทยเซิร์ต” ให้เป็น<br />
National CERT เพื่อให้ประเทศมีความพร้อม<br />
ในการรับมือภัยคุกคามไซเบอร์ได้ทันท่วงที<br />
สุรางคณา วายุภาพ<br />
ผอ.สพธอ.
12<br />
CONTENTS | สารบัญ<br />
สารจากผู้กำหนดทิศทาง “ไทยเซิร์ต” 4<br />
สารบัญ/ สารบัญตาราง/ สารบัญรูปภาพ/ สารบัญกราฟ 12<br />
บทนำ 20<br />
บทที่ 1 ผลงานเด่นและเหตุการณ์สำคัญ ปี 2556 22<br />
1.1 ThaiCERT 2013 Infographic 24<br />
1.2 Key Event Timeline 2013 26<br />
บทที่ 2 บริการของไทยเซิร์ต 30<br />
2.1 บริการรับมือและจัดการสถานการณ์ด้านความมั่นคงปลอดภัย 32<br />
2.2 บริการวิชาการด้านความมั่นคงปลอดภัย 33<br />
2.3 บริการแจ้งเตือนและเผยแพร่ข้อมูลข่าวสารด้านความมั่นคงปลอดภัย 34<br />
2.4 บริการตรวจพิสูจน์พยานหลักฐานดิจิทัล 35<br />
2.5 บริการตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ 36
13<br />
บทที่ 3 รายงาน Threat & Cybersecurity ปี 2556 38<br />
3.1 ภัยคุกคามที่ไทยเซิร์ตได้รับแจ้ง 39<br />
3.1.1 สถิติภัยคุกคามด้านสารสนเทศที่ได้รับแจ้งผ่านระบบอัตโนมัติ 41<br />
3.1.2 สถิติภัยคุกคามที่ได้รับการประสานและจัดการโดยไทยเซิร์ต 59<br />
3.2 ภัยคุกคามที่เป็นกรณีศึกษาที่ไทยเซิร์ตเข้าไปดำเนินการ 64<br />
3.2.1 กรณีพบการโจมตีเว็บไซต์ที่ใช้ระบบบริหารจัดการเว็บไซต์ CMS ของไทย 65<br />
3.2.2 กรณีแอปพลิเคชันธนาคารออนไลน์ปลอมในระบบปฏิบัติการแอนดรอยด์ 66<br />
3.2.3 กรณีเว็บไซต์สำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม 68<br />
3.2.4 กรณีไทยเซิร์ตพบช่องโหว่ของแอปพลิเคชัน LINE สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi 70<br />
3.2.5 กรณี Web Defacement หน่วยงานสำคัญในประเทศ 72<br />
3.2.6 กรณีการตรวจพิสูจน์พยานหลักฐานเครื่อง BitTorent Server 75<br />
บทที่ 4 การพัฒนาศักยภาพในการรับมือภัยคุกคามไซเบอร์ 76<br />
4.1 ประชุม อบรม สัมมนา และกิจกรรมอื่น ๆ 77<br />
4.1.1 ประชุมและสัมมนาที่ไทยเซิร์ตเช้าร่วม 78<br />
4.1.2 ศึกษาดูงาน 82<br />
4.1.3 กิจกรรมที่ไทยเซิร์ตเป็นเจ้าภาพ 83<br />
4.2 ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ 88<br />
4.3 ข้อตกลงความร่วมมือกับหน่วยงานทั้งในและต่างประเทศ 90
14<br />
บทที่ 5 รายงาน CERTs ของประเทศสมาชิกอาเซียน +3 94<br />
บทที่ 6 ความท้าทายในบทบาท National CERT 104<br />
ภาคผนวก<br />
ภาคผนวก ก การจัดประเภทของเหตุภัยคุกคามด้านสารสนเทศ 110<br />
ภาคผนวก ข อภิธานศัพท์และคำย่อ 114<br />
ภาคผนวก ค ข้อมูลสถิติรายงานภัยคุกคามที่ได้รับแจ้งจากระบบอัตโนมัติ 118<br />
ภาคผนวก ง รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA iSEC 136
15<br />
สารบัญตาราง<br />
ตารางที่ 1 ปีที่เริ่มพบและพฤติกรรมของมัลแวร์ประเภท Botnet ใน 10 อันดับแรก 46<br />
ตารางที่ 2 คำอธิบายของหมายเลขพอร์ตที่ถูกสแกน 58<br />
ตารางที่ 3 ข้อมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud จำแนกตามผู้เกี่ยวข้องและแหล่งที่มาของผู้เกี่ยวข้อง 61<br />
ตารางที่ 4 ข้อมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud จำแนกตามผู้เกี่ยวข้องและประเภทหน่วยงาน 62<br />
ตารางที่ 5 ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ที่บุคลากร ThaiCERT ได้รับ 88<br />
ตารางที่ 6 ข้อมูลของหน่วยงาน CERT ระดับประเทศในอาเซียน+3 95<br />
ตารางที่ 7 ประเภทภัยคุกคามของรายงานที่ได้รับแจ้งผ่านระบบอัตโนมัติ 110<br />
ตารางที่ 8 แสดงประเภทของภัยคุกคามสำหรับการประสานเพื่อรับมือและจัดการ 112<br />
ตารางที่ 9 อภิธานศัพท์และคำย่อ 114<br />
ตารางที่ 10 จำนวนหมายเลขไอพีของเครือข่าย (AS number ที่ได้รับแจ้งเหตุภัยคุกคาม) ที่ได้รับแจ้งรายงานภัยคุกคามสูงที่สุด นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ 118<br />
ตารางที่ 11 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจำนวนรายงานประเภท Botnet สูงที่สุด 120<br />
ตารางที่ 12 สถิติประเภท Open DNS Resolver นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 122<br />
ตารางที่ 13 สถิติประเภท Scanning นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 124
16<br />
สารบัญตาราง<br />
ตารางที่ 14 สถิติประเภท Spam นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 126<br />
ตารางที่ 15 สถิติประเภท Open Proxy Server นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 128<br />
ตารางที่ 16 สถิติประเภท Malware URL นับตามจำนวนURL และหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 130<br />
ตารางที่ 17 สถิติประเภท Web Defacement นับตามจำนวน URL และหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 130<br />
ตารางที่ 18 สถิติประเภท Phishing ที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 134<br />
ตารางที่ 19 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง iSEC-M 136<br />
ตารางที่ 20 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง iSEC-T 137
17<br />
สารบัญรูปภาพ<br />
รูปที่ 1 ลักษณะการโจมตีด้วยเทคนิค DNS amplification attack (ที่มา: secureworks com) 50<br />
รูปที่ 2 ตัวอย่างเว็บไซต์ที่ถูกโจมตี Web Defacement 65<br />
รูปที่ 3 ตัวอย่างแอปพลิเคชันปลอม 66<br />
รูปที่ 4 โครงสร้างของไฟล์ภายในแอปพลิเคชันปลอม 67<br />
รูปที่ 5 พฤติกรรมของการส่ง SMS ที่ตรวจสอบได้ 67<br />
รูปที่ 6 การดาวน์โหลด Java Applet ไม่พึงประสงค์ 68<br />
รูปที่ 7 เว็บไซต์ของธนาคารที่ถูกเพิ่มเนื้อหาเข้าไปโดยโปรแกรมไม่พึงประสงค์ 69<br />
รูปที่ 8 แสดงการจำลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ผู้ใช้งานแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows เมื่อมีการส่งข้อความ 70<br />
รูปที่ 9 แสดงหน้าต่างแจ้งเตือนการอัปเดต 70<br />
รูปที่ 10 ตัวอย่างการโจมตีในลักษณะ Web defacement กับเว็บไซต์ของกระทรวงศึกษาธิการ 74<br />
รูปที่ 11 อันดับความสามารถในการแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์ในรายงาน World Competitiveness Rankings 2013 ของ IMD 105
18<br />
สารบัญกราฟ<br />
กราฟที่ 1 จำนวนหมายเลขไอพีที่ไม่ซ้ำที่ได้รับรายงานในแต่ละประเภทภัยคุกคามในช่วงทุกครึ่งปี 41<br />
กราฟที่ 2 10 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจำนวนรายงานที่ได้รับแจ้งโดยเฉลี่ยสูงสุด นับเฉพาะหมายเลขไอพีที่ไม่ซ้ำ 42<br />
กราฟที่ 3 จำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุภัยคุกคามสูงสุด นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ 42<br />
กราฟที่ 4 สัดส่วนของภัยคุกคามแต่ละประเภทที่ผู้ให้บริการอินเทอร์เน็ตแต่ละรายได้รับแจ้ง 43<br />
ชุดกราฟที่ 1 สัดส่วนจำนวนหมายเลขไอพีไม่ซ้ำของเครือข่ายต่างๆ จำแนกตามประเภทภัยคุกคาม 44<br />
กราฟที่ 5 10 อันดับแรกของมัลแวร์ประเภท Botnet ที่ได้รับแจ้ง 46<br />
กราฟที่ 6 เปรียบเทียบการบุกรุกเว็บไซต์แบบต่าง ๆ 52<br />
กราฟที่ 7 เปรียบเทียบการโจมตีเว็บไซต์แบบต่าง ๆ โดยจำแนกตามประเภทของเว็บไซต์ 53<br />
กราฟที่ 8 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Malware URL สูงที่สุด 54<br />
กราฟที่ 9 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Web Defacement สูงที่สุด 55<br />
กราฟที่ 10 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Phishing สูงที่สุด 56<br />
กราฟที่ 11 10 อันดับแรกของหมายเลขพอร์ตที่ถูกสแกนสูงสุด นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ 57<br />
กราฟที่ 12 จำนวนเหตุภัยคุกคามที่ไทยเซิร์ตดำเนินการระหว่างปี 2547 - 2556 59
19<br />
สารบัญกราฟ<br />
กราฟที่ 13 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 60<br />
กราฟที่ 14 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 จำแนกตามประเทศของผู้แจ้ง 61<br />
กราฟที่ 15 สัดส่วนโดเมนที่ได้ถูกแจ้งซ้ำภัยคุกคามประเภท Fraud และ Intrusions โดยจำแนกตามประเภทของเว็บไซต์ 63<br />
กราฟที่ 16 จำนวนรายงานมัลแวร์ที่ได้รับแจ้งจาก Microsoft ในแต่ละเดือนในปี 2556 นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ 64<br />
กราฟที่ 17 สถิติภัยคุกคามประเภท Web Defacement จำแนกเฉพาะหน่วยงานของรัฐในภูมิภาคอาเซียนในปี 2556 72<br />
กราฟที่ 18 สถิติภัยคุกคามประเภท Web Defacement ปี 2556 จำแนกตามประเภทหน่วยงาน (เฉพาะ .th) 73<br />
กราฟที่ 19 จำนวนรายงานภัยคุกคามด้านสารสนเทศที่หน่วยงาน CERT ของประเทศในอาเซียน+3 ได้รับแจ้งระหว่างปี 2550-2555 101<br />
กราฟที่ 20 สัดส่วนของภัยคุกคามแต่ละประเภทที่ถูกแจ้งไปยังหน่วยงาน CERT ของแต่ละประเทศในกลุ่มอาเซียน+3 ในปี 2554 และ 2555 102
20<br />
บทนำ<br />
ไทยเซิร์ตภายใต้การนำของสำนักงานพัฒนา<br />
ธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ได้เปิดให้<br />
บริการต่อเนื่องมาเป็นปีที่ 3 แล้วนับตั้งแต่ที่มีมติคณะ<br />
รัฐมนตรีเมื่อปี 2554 ให้โอนย้ายภารกิจมาจากศูนย์<br />
เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติหรือ<br />
NECTEC โดยทำหน้าที่เป็นหน่วยงานภาครัฐหลักที่ตอบ<br />
สนองและจัดการกับเหตุการณ์ความมั่นคงปลอดภัย<br />
คอมพิวเตอร์ และให้การสนับสนุนที่จำเป็นและคำ<br />
แนะนำในการแก้ไขภัยคุกคามความมั่นคงปลอดภัย<br />
รวมทั้งติดตามและเผยแพร่ข่าวสารและเหตุการณ์ทาง<br />
ด้านความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ต่อ<br />
สาธารณชน ตลอดจนทำการศึกษาและพัฒนาเครื่อง<br />
มือและแนวทางต่าง ๆ ในการปฏิบัติเพื่อเพิ่มความ<br />
มั่นคงปลอดภัยในการใช้คอมพิวเตอร์และเครือข่าย<br />
อินเทอร์เน็ต ซึ่งที่ผ่านมาก็ประสบผลสำเร็จโดยอาศัย<br />
ช่องทางความร่วมมือระหว่างเครือข่าย CERT ที่มีทั้ง<br />
ภายในประเทศไทยและต่างประเทศช่วยเหลือซึ่งกัน<br />
และกัน บริการของไทยเซิร์ตเป็นช่องทางสำคัญ<br />
ที่ช่วยให้คำปรึกษาและบรรเทาความเดือดร้อน
21<br />
ในเบื้องต้นให้แก่ประชาชนที่ได้รับผลกระทบจากโปรแกรมไม่<br />
พึงประสงค์ การบุกรุกเข้าระบบ ความพยายามรวบรวมข้อมูล<br />
การโจมตีสภาพความพร้อมใช้งาน การฉ้อโกง ฯลฯ ก่อนที่จะ<br />
เข้าสู่การดำเนินการโดยผู้รักษากฎหมายต่อไป<br />
ปัจจุบันเจ้าหน้าที่ไทยเซิร์ตสามารถรักษาระดับคุณภาพ<br />
การให้บริการโดยดำเนินการตรวจสอบและวิเคราะห์เหตุเพื่อ<br />
ประสานงานไปยังหน่วยงานที่เกี่ยวข้องได้ภายใน 6 ชั่วโมงหลัง<br />
จากที่ได้รับแจ้งเหตุในช่วงวันเวลาทำการและได้ให้บริการตรวจ<br />
พิสูจน์พยานหลักฐานดิจิทัลด้วยเจ้าหน้าที่ ผู้เชี่ยวชาญที่ได้รับ<br />
ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ใน<br />
ระดับสากล โดยใช้เครื่องมือและกระบวนการที่สอดคล้องกับ<br />
มาตรฐานสากลซึ่งจะได้รับการยอมรับทั่วโลกและสามารถ<br />
รองรับการปฏิบัติงานในรูปแบบ e-Court ต่อไปในอนาคต<br />
ไฮไลต์ที่สำคัญในรอบปี 2556 นั้น ไทยเซิร์ตได้<br />
ประสานงานและแจ้งเตือนภัยคุกคามที่เกิดขึ้นในประเทศไทย<br />
จากข้อมูลที่ได้รับผ่านเครือข่าย CERT จำนวนสูงถึง 65 ล้าน<br />
รายการ และรับมือและจัดการภัยคุกคามที่ได้รับแจ้งหรือ<br />
ตรวจพบจำนวน 1,745 เรื่อง (เพิ่มจากปีที่แล้ว 2 เท่า) เป็น<br />
เหตุการณ์ประเภทเจาะระบบเว็บไซต์ที่ตั้งอยู่ในประเทศไทย<br />
1,450 เว็บไซต์ และได้ให้บริการตรวจพิสูจน์พยานหลักฐาน<br />
ดิจิทัล จำนวน 11 เคส รวมปริมาณข้อมูลที่ทำสำเนาและ<br />
ตรวจวิเคราะห์ 14 เทราไบต์ นอกจากนี้ ไทยเซิร์ต ยังมี<br />
บทบาทเป็นผู้ที่ผลักดันการพัฒนาบุคลากรให้แก่หน่วยงาน<br />
รัฐให้มีโอกาสได้เรียนและสอบประกาศนียบัตรวิชาชีพฯ เช่น<br />
Certified Ethical Hacker (CEH) จัดการอบรมและบรรยาย<br />
โดยผู้เชี่ยวชาญจากต่างประเทศ เช่น หลักสูตรเทคนิคการ<br />
ตรวจพิสูจน์พยานหลักฐานดิจิทัลประเภทโทรศัพท์มือถือ<br />
ร่วมกับสำนักงานตำรวจแห่งชาติ หลักสูตรอบรม OWASP<br />
Open Web and Application Security Day ให้แก่ผู้พัฒนา<br />
เว็บไทย จัดอบรมและประเมินสมรรถนะด้าน Security ให้<br />
กับบุคลากรด้านความมั่นคงปลอดภัยด้วยมาตรฐาน Local<br />
Certification ที่พัฒนาร่วมกับ Thailand Information<br />
Security Association (TISA)<br />
หนังสือรายงานประจำปีของไทยเซิร์ตฉบับนี้จัดทำขึ้นเพื่อ<br />
รวบรวมผลการปฏิบัติงานและเผยแพร่ข้อมูลที่เป็นประโยชน์<br />
ต่อสาธารณะ และคาดหวังว่าจะเป็นประโยชน์ทั้งในแง่ข้อมูล<br />
สถิติเชิงวิชาการที่จะนำไปอ้างอิงและเป็นประโยชน์ต่อการ<br />
สร้างความตระหนักแก่ประชาชนทั่วไป และสร้างความสนใจ<br />
ให้มีผู้ที่ประกอบอาชีพด้านความมั่นคงปลอดภัยสารสนเทศใน<br />
ประเทศไทยเพิ่มมากขึ้น อีกทั้งยังเป็นประโยชน์ต่อผู้บริหาร<br />
ที่มีหน้าที่กำหนดนโยบายหรือแผนปฏิบัติของหน่วยงานหรือ<br />
ตัดสินใจเกี่ยวกับนโยบายการใช้ระบบสารสนเทศอย่างมั่นคง<br />
ปลอดภัย<br />
สุรางคณา วายุภาพ<br />
ผู้อำนวยการ<br />
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)<br />
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
22<br />
บทที่ 1.<br />
ผลงานเด่นและเหตุการณ์ส คัญ ปี 2556
ThaiCERT 2013 INFOGAPHIC<br />
1)<br />
ผลงานดานการพัฒนาบุคลากร<br />
200<br />
พัฒนาบุคลากรดาน Cybersecuriy กวา<br />
• CEH ใหเจาหนาที่ของรัฐ 20 คน<br />
• OWASP ใหนักพัฒนาเว็บไทย 38 คน<br />
จาก 18 หนวยงาน<br />
• อบรมและจัดประเมินสมรรถนะ<br />
ดาน Security ในประเทศ จำนวน 120 คน<br />
• รวมกับ สตช. อบรม Mobile Forensics 20 คน<br />
• อบรมจัดตั้ง LaoCERT 20 คน<br />
บุคลากรไทยเซิรต<br />
ใบรับรอง<br />
ไดรับ สากลในป<br />
252 013<br />
เจาภาพประชุม<br />
สัมมนานานาชาติ 2 งาน<br />
มีผูเขารวมงานรวมกวา จาก<br />
550<br />
คน<br />
59 ประเทศ<br />
• ก.พ. : ASEAN-Japan Information Security<br />
Workshop ผูเขารวมงาน จาก 7 ประเทศ<br />
• มิ.ย. : 25 th Annual FIRST Conference 2013<br />
ผูเขารวมงานจาก 59 ประเทศ<br />
คน<br />
• Security Techniques 13 Certs<br />
• Digital Forensics 8 Certs<br />
• Security Mgt& Audit 4 Certs<br />
24<br />
ผลงานดานสถิติของสถานการณ<br />
2) ดานความมั่นคงปลอดภัย<br />
รับมือและจัดการ<br />
ภัยคุกคามไซเบอร<br />
2012<br />
ประสานงานและ<br />
แจงเตือนภัยคุกคาม<br />
ที่เกิดขึ้นในประเทศไทย<br />
จากเครือขาย CERT ทั้งสิ้น<br />
1,745 เรื่อง<br />
ไดรับแจง 850 เรื่อง 65<br />
ลาน<br />
รายการ<br />
ตรวจพบเอง 895 เรื่อง<br />
เพิ่มขึ้นจาก<br />
ป<br />
953เรื่อง<br />
ลาน<br />
ซึ่งเกี่ยวของกับจำนวนไอพี<br />
5.4หมายเลข
กรณี<br />
3)<br />
ผลงานดานกิจกรรม<br />
และบริการตาง ๆ<br />
4)<br />
25<br />
ผลงานดานดิจิทัลฟอเรนสิกส<br />
ขยายเครือขายผาน<br />
MoU 6 ฉบับ<br />
• LaoCERT<br />
• Computer Crime Institute<br />
(Dixie State University)<br />
• SANS Institute<br />
• EC-Council<br />
• Ministry of Internal Affairs and<br />
Communications (Japan)<br />
• สตช.<br />
จัด Cyber Drill<br />
2<br />
ครั้ง<br />
จำลองการโจมตีดวย Malware<br />
มีหนวยงานภาครัฐและรัฐวิสาหกิจ<br />
26<br />
หนวยงาน<br />
เวลาเฉลี่ยแกไขปญหา<br />
คาเฉลี่ยในการปด Phishing Site<br />
31:23 ชั่วโมง<br />
ตรวจสอบ<br />
ชองโหวใหกับ<br />
28<br />
หนวยงาน<br />
Phishing<br />
ตรวจพบและ<br />
ใหคำแนะนำ<br />
ในการแกไขชองโหว<br />
14<br />
และสถาบัน<br />
การเงิน<br />
ธนาคาร<br />
เขารวม<br />
ชองโหว<br />
ตรวจพิสูจนพยาน<br />
หลักฐานดิจิทัล<br />
11<br />
32<br />
รวมปริมาณ<br />
ขอมูลตรวจพิสูจน<br />
อุปกรณ<br />
14<br />
เทราไบต
26<br />
2013 KEY EVENT TIMELINE<br />
กิจกรรมที่สำคัญ<br />
เหตุการณ์ภัยคุกคามและการแจ้งเตือนที่สำคัญ<br />
• เข้าร่วมซักซ้อมรับมือภัยคุกคามกับเครือข่าย<br />
APCERT (APCERT Drill)<br />
• แจ้งเตือน Web Defacement ไทยทีวีสีช่อง 3<br />
(www.thaitv3.com)<br />
• แจ้งเตือน Web Defacement กระทรวงวัฒนธรรม<br />
(www.m-culture.go.th)<br />
• เจ้าภาพจัดการประชุม “ASEAN-Japan<br />
Information Security Policy Workshop”<br />
• ลงนาม MoU ด้าน Cybersecurity กับ Ministry of<br />
Internal Affairs and Communications<br />
ประเทศญี่ปุ่น<br />
• แจ้งเตือนและให้คาแนะนาในการแก้ไข Web<br />
Defacement สานักงานคณะกรรมการธุรกรรมทาง<br />
อิเล็กทรอนิกส์ (www.etcommission.go.th)<br />
• จัดซักซ้อมรับมือภัยคุกคามให้หน่วยงานของรัฐ<br />
(Government Cyber Drill)<br />
• ลงนาม MoU ด้าน Digital Forensics กับ Dixie<br />
State College of Utah’s Southwest Regional<br />
Computer Crime Institute (SWRCCI) ประเทศ<br />
สหรัฐอเมริกา<br />
JANUARY FEBRUARY MARCH<br />
• แจ้งเตือนและให้คาแนะนาในการแก้ไข Web<br />
Defacement กระทรวงศึกษาธิการ<br />
(www.moe.go.th)<br />
• แจ้งเตือน ภัยมัลแวร์ Android หลอกขโมยเงินจาก<br />
ธนาคารไทย
27<br />
• ตรวจสอบช่องโหว่ให้กับหน่วยงานภาครัฐ 28 หน่วยงาน<br />
APRIL<br />
• แจ้งเตือน ระวังภัย ช่องโหว่ในแอปพลิเคชัน Viber<br />
ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึงข้อมูล<br />
ในระบบปฏิบัติการ Android<br />
• ร่วมกับ Thailand Information Security Association<br />
(TISA) จัดอบรมและสอบประเมินสมรรถนะบุคลากรด้าน<br />
ความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย<br />
• ลงนาม MoU กับ EC-Council ด้านการพัฒนาบุคลากร<br />
ด้านไซเบอร์<br />
MAY<br />
• ให้คาแนะนาในการแก้ไข Web Defacement สานักงาน<br />
ปลัดสานักนายกรัฐมนตรี (www.opm.go.th)<br />
• ตรวจพบ แจ้งเตือน และให้คาแนะนาในการแก้ไขช่องโหว่<br />
ของระบบบริหารจัดการเว็บโอสติ้งของไทย<br />
• แจ้งเตือน ระวังภัย ช่องโหว่ ใน Internet Explorer 8<br />
(CVE-2013-1347) หน่วยงานในสหรัฐถูกโจมตีแล้ว<br />
• ให้การสนับสนุนข้อมูลเชิงเทคนิค การประชุมคณะ<br />
กรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ครั้งที่ 1<br />
• เจ้าภาพจัดงาน 25 th Annual FIRST Conference<br />
Bangkok 2013<br />
JUNE<br />
• แจ้งเตือน ระวังภัย เว็บไซต์สานักข่าวหลายแห่งใน<br />
ประเทศไทยถูกโจมตีและฝัง e-Banking Trojan
28<br />
KEY EVENTS TIMELINE 2556<br />
กิจกรรมที่สำคัญ<br />
เหตุการณ์ภัยคุกคามและการแจ้งเตือนที่สำคัญ<br />
• ร่วมกับ OWASP จัดอบรม ETDA and OWASP:<br />
Open Web and Application Security Day<br />
• ลงนาม MoU กับ LaoCERT ด้านการรับมือและ<br />
จัดการภัยคุกคามไซเบอร์<br />
JULY<br />
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Samsung Galaxy<br />
S3 และ Galaxy S4 เปิดให้แอปพลิเคชันใด ๆ<br />
สามารถสร้าง SMS ปลอมหรือแอบส่ง SMS ได้<br />
• ร่วมกับ EC-Council จัดอบรมหลักสูตร Certified<br />
Ethical Hacker v8 (CEH) ให้ผู้เชี่ยวชาญไทย<br />
AUGUST<br />
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Joomla ผู้ไม่หวังดี<br />
สามารถอัปโหลดไฟล์อันตราย เข้ามาในระบบได้<br />
• จัดซักซ้อมรับมือภัยคุกคามให้สถาบันการเงิน<br />
(Financial Cyber Drill)<br />
• ลงนาม MoU กับ สานักงานตารวจแห่งชาติ<br />
ด้านการพัฒนาศักยภาพบุคลากร และมาตรฐาน<br />
การตรวจพิสูจน์พยานหลักฐานดิจิทัล<br />
SEPTEMBER<br />
• แจ้งเตือน ระวังภัย Firefox for Android มีช่องโหว่<br />
ดาวน์โหลดแอปพลิเคชันอันตรายมาติดตั้งทันที<br />
ที่เข้าเว็บไซต์
29<br />
• จัดอบรมการจัดตั้ง CERT ให้กับ LaoCERT<br />
• ลงนาม MoU กับ SANS Institute ในด้านการพัฒนา<br />
บุคลากรด้านไซเบอร์<br />
• เข้าร่วมซักซ้อมรับมือภัยคุกคามไซเบอร์ในภูมิภาค<br />
ASEAN (ASEAN CERT Incident Drill)<br />
OCTOBER<br />
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Internet Explorer<br />
ทุกเวอร์ชัน Microsoft ทาให้ผู้ไม่หวังดีสามารถสั่ง<br />
ประมวลผลคาสั่งอันตรายได้ (CVE-2013-3893)<br />
• เข้าร่วมและเผยแพร่ภารกิจของไทยเซิร์ต ในงาน ITU<br />
Telecom World 2013 Bangkok<br />
NOVEMBER<br />
• ตรวจพบช่องโหว่และประสานงานกับ บ. Naver เพื่อ<br />
แก้ไขแอปพลิเคชัน LINE ป้องกันแฮกเกอร์สามารถดักรับ<br />
ข้อมูล และอ่านบทสนทนาได้<br />
• แจ้งเตือน ระวังภัย ATM Skimmer และข้อควรระวัง<br />
ในการใช้งานตู้ ATM<br />
• เฝ้าระวังการโจมตีเว็บไซต์ของหน่วยงานสาคัญ และ<br />
สนับสนุนบริการระบบสารองสาหรับหน่วยงานที่ถูกปิด<br />
ล้อม ในช่วงสถานการณ์ไม่ปกติ<br />
DECEMBER<br />
• แจ้งเตือน ระวังภัย ช่องโหว่ของแอปพลิเคชัน LINE ผู้ใช้<br />
งานควรอัปเดตเวอร์ชันใหม่<br />
• แจ้งเตือน ระวังภัย ระวังภัย Microsoft แจ้งเตือน<br />
ช่องโหว่ 0-Day ใน Windows XP/2003 โจมตีผ่าน<br />
Adobe Reader
30<br />
บทที่ 2.<br />
บริการของไทยเซิร์ต
31<br />
ในปี 2556 ไทยเซิร์ต<br />
รับมือและจัดการภัยคุกคาม<br />
1,745 กรณี นอกจากนี้ยังให้<br />
บริการสำรองข้อมูลและสำรองระบบ<br />
เมื่อบางหน่วยงานถูกปิดล้อม<br />
ไทยเซิร์ต (ThaiCERT) หรือศูนย์ประสานการรักษาความมั่นคง<br />
ปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ภายใต้การกำกับดูแล<br />
ของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์(องค์การมหาชน)<br />
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เริ่มให้บริการใน<br />
เดือนธันวาคม 2554 มีบทบาทที่สำคัญในการรับมือและจัดการ<br />
สถานการณ์ด้านความมั่นคงปลอดภัยทางออนไลน์ในขอบเขต<br />
ครอบคลุมระบบเครือข่ายอินเทอร์เน็ตภายในประเทศไทย และ<br />
ระบบคอมพิวเตอร์ภายใต้โดเมนเนม ประเทศไทย (.th) เป็น<br />
ศูนย์กลางในการประสานความร่วมมือเพื่อแก้ไขและระงับ<br />
เหตุภัยคุกคามด้านสารสนเทศ เพื่อรักษาความต่อเนื่องของการ<br />
ดำเนินภารกิจของหน่วยงาน (Business Continuity) และการ<br />
ให้บริการของหน่วยงานต่าง ๆ โดยเฉพาะหน่วยงานที่ถือเป็น<br />
โครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure)<br />
รวมถึงให้การสนับสนุนด้านเทคนิคกับหน่วยงานในสายยุติธรรม<br />
เป้าหมายการดเนินงานของไทยเซิร์ต<br />
• เป็นศูนย์กลางของประเทศในการประสานความ<br />
ร่วมมือและสนับสนุนหน่วยงานในการรักษาความมั่นคง<br />
ปลอดภัยด้านสารสนเทศ<br />
• สามารถให้บริการรับมือและจัดการภัยคุกคามด้าน<br />
ความมั่นคงปลอดภัย เพื่อรักษาความต่อเนื่องของการ<br />
ดำเนินภารกิจของหน่วยงาน โดยเฉพาะหน่วยงานที่<br />
เป็นโครงสร้างพื้นฐานสำคัญของประเทศ<br />
• จัดเตรียมบุคลากรให้มีความพร้อมและความสามารถ<br />
ที่ได้รับการยอมรับในระดับสากล ในการรับมือและ<br />
จัดการเหตุภัยคุกคามด้านสารสนเทศ<br />
• สนับสนุนหน่วยงานในสายยุติธรรมในการตรวจพิสูจน์<br />
พยานหลักฐานดิจิทัลเพื่อติดตามตัวผู้กระท ำผิดมาลงโทษ<br />
• ส่งเสริมและสร้างความตระหนักในการรักษาความมั่นคง<br />
ปลอดภัยด้านสารสนเทศให้กับหน่วยงานและประชาชน<br />
นอกจากนี้ การดำเนินงานของไทยเซิร์ต ยังสอดคล้องกับ<br />
กรอบปฏิบัติที่กำหนดไว้ใน ASEAN Economic Community<br />
Blueprint ในข้อ B4 รายการที่ 51 และ 52 ในการสร้างความ<br />
เชื่อมั่นให้กับภาคธุรกิจและประชาชนในการทำธุรกรรมทาง<br />
อิเล็กทรอนิกส์ และลดความเสี่ยงในการเกิดความเสียหายจาก<br />
ภัยคุกคามด้านสารสนเทศ
บริการรับมือ<br />
และจัดการสถานการณ์<br />
ด้านความมั่นคงปลอดภัย<br />
32<br />
ไทยเซิร์ต เป็น Computer Emergency Response<br />
Team (CERT) ระดับประเทศที่ได้รับการยอมรับเป็นตัวแทน<br />
ประเทศไทยในเครือข่าย CERT ระหว่างประเทศ เช่น<br />
Asia Pacific CERT (APCERT) และ Forum of Incident<br />
Response and Security Teams (FIRST) ทำหน้าที่รับแจ้ง<br />
เหตุภัยคุกคาม ตรวจสอบ วิเคราะห์หาสาเหตุของปัญหา และ<br />
ประสานงานกับหน่วยงานที่เกี่ยวข้องเพื่อระงับเหตุและแก้ไข<br />
ปัญหานั้น ๆ ปัจจุบันกำหนดระดับคุณภาพการให้บริการ<br />
(Service Level Agreement: SLA) ในการวิเคราะห์และ<br />
แจ้งเตือนภัยคุกคามให้กับหน่วยงานที่เกี่ยวข้องทราบภายใน<br />
2 วันทำการ เพื่อจำกัดความเสียหายที่อาจเกิดขึ้น และฟื้นฟู<br />
ระบบและการให้บริการโดยเร็วที่สุด ซึ่งจะยกระดับการดำเนิน<br />
การขึ้นเป็นขั้นตอนการรับมือและจัดการภัยคุกคามในระดับ<br />
ประเทศ (National Incident Response Flow) ในปี 2556<br />
ไทยเซิร์ตได้ดำเนินการรับมือและจัดการสถานการณ์ด้าน<br />
ความมั่นคงปลอดภัยไปแล้ว 1,745 กรณี แบ่งเป็นประเภท<br />
การฉ้อฉล (Fraud) สูงสุดคิดเป็นร้อยละ 39.77 การบุกรุก<br />
หรือเจาะระบบได้สำเร็จ (Intrusions) ร้อยละ 36.16 และ<br />
ความพยายามจะบุกรุกเข้าระบบ (Intrusion Attempts)<br />
ร้อยละ 18.11 ในจำนวนนี้รวมถึงการให้คำปรึกษาแก่หน่วย<br />
งานของรัฐที่ถูกเจาะระบบเว็บไซต์เพื่อแก้ไขปัญหา นอกจาก<br />
นี้ในช่วงเหตุการณ์ไม่ปกติทางการเมืองในปลายปี 2556<br />
ไทยเซิร์ตได้ให้ความช่วยเหลือในการสำรองข้อมูล และจัดหา<br />
สถานที่สำหรับติดตั้งระบบให้แก่หน่วยงานของรัฐสำคัญหลาย<br />
แห่งที่ถูกปิดล้อมและไม่สามารถทำงานได้ตามปกติด้วย
33<br />
บริการวิชาการ<br />
ด้านความมั่นคงปลอดภัย<br />
ไทยเซิร์ตให้ความสำคัญกับการพัฒนาบุคลากรเพื่อเสริม<br />
สร้างทักษะในด้านการรักษาความมั่นคงปลอดภัย ในปัจจุบัน<br />
ไทยเซิร์ตถือเป็นหนึ่งในองค์กรที่มีจำนวนผู้เชี่ยวชาญด้าน<br />
ความมั่นคงปลอดภัยที่สูงมากที่สุดแห่งหนึ่งของประเทศ ได้รับ<br />
ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ใน<br />
ระดับสากล32 ใบจากสถาบันที่ได้รับยอมรับในระดับสากล เช่น<br />
ISC 2 , SANS, EC-Council และ IRCA เป็นต้น ซึ่งเจ้าหน้าที่<br />
ของไทยเซิร์ตได้นำเอาความรู้และประสบการณ์ด้านความ<br />
มั่นคงปลอดภัยมาถ่ายทอดผ่านกิจกรรมบรรยาย สัมมนา และ<br />
อบรมความรู้ให้กับบุคลากรหน่วยงานภายในประเทศ รวมถึง<br />
ได้จัดกิจกรรมซักซ้อมรับมือภัยคุกคามร่วมให้กับหน่วยงาน<br />
ภาครัฐที่สำคัญและภาคการเงินการธนาคารเป็นประจำทุก<br />
ปี อย่างน้อยปีละ 1 ครั้ง นอกจากนี้ยังได้ร่วมมือกับสมาคม<br />
ความมั่นคงปลอดภัยระบบสารสนเทศหรือ TISA (Thailand<br />
Information Security Association) จัดฝึกอบรมและสอบ<br />
วัดระดับเพื่อพัฒนามาตรฐานการรับรองบุคลากรด้านความ<br />
มั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย และให้การ<br />
รับรองผู้ที่สอบประเมินผ่านเกณฑ์การรับรองอีก 20 คนในปี<br />
แรก (2556)
บริการแจ้งเตือนและเผยแพร่ข้อมูลข่าวสาร<br />
ด้านความมั่นคงปลอดภัย<br />
34<br />
ไทยเซิร์ตติดตามภัยคุกคามด้านสารสนเทศจากเครือข่าย<br />
CERT ทั่วโลก รวมถึงแหล่งข่าวอื่น ๆ และนำข้อมูลมาตรวจ<br />
สอบและวิเคราะห์ผลกระทบก่อนที่จะประกาศแจ้งเตือนภัย<br />
ล่วงหน้า เพื่อให้หน่วยงานและประชาชนตระหนักและพร้อม<br />
ที่จะรับมือกับเหตุการณ์ภัยคุกคามที่อาจเกิดขึ้น ผลงานใน<br />
รอบปี ได้แก่ (1) รายงานประจำปีไทยเซิร์ต ที่รวบรวมและ<br />
วิเคราะห์สถิติทั้งปีกับกรณีศึกษาภัยคุกคามที่น่าสนใจ (2)<br />
หนังสือ Cyber Threat Alerts 2013 ซึ่งแจ้งเตือนภัยคุกคาม<br />
ที่่ส่งผลกระทบเป็นวงกว้างต่อผู้ใช้งานในประเทศ (3) หนังสือ<br />
ThaiCERT Security Articles 2013 ซึ่งเป็นการรวมบทความ<br />
ด้านความมั่นคงปลอดภัยด้านสารสนเทศ (4) ข้อมูลเชิงสถิติ<br />
ภัยคุกคามที่ไทยเซิร์ตประสานงานรับมือและจัดการภัยคุกคาม<br />
ในแต่ละเดือน (5) เว็บไซต์ของไทยเซิร์ต ยังให้บริการเผยแพร่<br />
ข้อมูลข่าวสารด้านความมั่นคงปลอดภัย ทางออนไลน์ การแจ้ง<br />
เตือนภัยคุกคามต่าง ๆ ที่มีผลกระทบต่อผู้ใช้ในประเทศไทย<br />
จำนวนกว่า 50 เรื่อง เช่น การแจ้งเตือน ระวังภัย เว็บไซต์<br />
สำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอก<br />
ให้ดาวน์โหลดแอนตี้ไวรัสปลอม การแจ้งเตือน ระวังภัย ATM<br />
Skimmer และข้อควรระวังในการใช้งานตู้ ATM และการแจ้ง<br />
เตือนช่องโหว่ของแอปพลิเคชัน LINE
35<br />
บริการตรวจพิสูจน์<br />
พยานหลักฐานดิจิทัล<br />
ศูนย์ดิจิทัลฟอเรนสิกส์ของ ไทยเซิร์ต ให้บริการตรวจพิสูจน์<br />
พยานหลักฐานที่สอดคล้องกับมาตรฐานสากลและรองรับการก้าว<br />
ไปสู่ e-Court ในอนาคต ทั้งนี้เพื่อให้สามารถน ำรายงานผลการ<br />
ตรวจพิสูจน์ฯ ไปใช้อ้างอิงในศาลได้อย่างมั่นใจ มีผู้เชี่ยวชาญที่ได้<br />
รับประกาศนียบัตรจากสถาบันที่ได้รับการยอมรับทั่วโลก ในปี<br />
2556 ให้บริการรวมจำนวนทั้งสิ้น 11 กรณี จากหน่วยงาน เช่น<br />
สำนักงานตำรวจแห่งชาติ กองบังคับการปราบปรามการกระ<br />
ทำความผิดเกี่ยวกับเทคโนโลยี (ปอท.) กองบังคับการปราบปรามการ<br />
กระทำความผิดเกี่ยวกับอาชญากรรมทางเศรษฐกิจ (ปอศ.) และ<br />
สำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร<br />
รวมปริมาณข้อมูลที่ตรวจพิสูจน์ 14 เทราไบต์ ประเภทของพยาน<br />
หลักฐานดิจิทัลที่ได้รับมามีหลายรูปแบบ เช่น เครื่องคอมพิวเตอร์<br />
ตั้งโต๊ะ โทรศัพท์มือถือ ไฟล์อิมเมจของเครื่องแม่ข่าย ฮาร์ดดิสก์ที่<br />
ถอดมาจากเครื่องคอมพิวเตอร์ผู้ต้องสงสัย หรือแม้แต่การไปเก็บ<br />
พยานหลักฐานจากสถานที่เกิดเหตุ เพื่อวิเคราะห์หาร่องรอยและ<br />
ที่มาของผู้เจาะระบบ ค้นหาพยานหลักฐานการกระท ำผิดละเมิด<br />
ทรัพย์สินทางปัญญา ในหลายกรณีต้องใช้เทคนิคและเครื่องมือ<br />
ที่มีความซับซ้อนมาช่วยตรวจวิเคราะห์และหาความเชื่อมโยง<br />
ของพยานหลักฐานที่ตรวจพบ เช่น การอ่านข้อมูลจากชิปหน่วย<br />
ความจำของโทรศัพท์มือถือโดยตรง การตรวจสอบพฤติกรรม<br />
ของมัลแวร์ในระบบจำลองภายในห้องปฏิบัติการ เป็นต้น
บริการตรวจสอบและประเมิน<br />
ช่องโหว่ของระบบสารสนเทศ<br />
36<br />
การตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ<br />
อย่างสม่ำเสมอโดยผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย<br />
ช่วยให้หน่วยงานรู้สภาพของปัญหาและช่องโหว่ของระบบ<br />
สารสนเทศ และเป็นข้อมูลสำคัญประกอบการวางแผนและ<br />
จัดทำแผนบริหารจัดการความเสี่ยง (Risk Management<br />
Plan: RMP) และแผนบริหารจัดการความต่อเนื่องทางธุรกิจ<br />
(Business Continuity Management: BCM) ของหน่วย<br />
งาน ในปี 2556 ไทยเซิร์ตได้เปิดให้บริการตรวจสอบและ<br />
ประเมินช่องโหว่ (Vulnerability Assessment) ของ<br />
ระบบสารสนเทศให้แก่ส่วนราชการที่เป็นโครงสร้างพื้นฐาน<br />
สำคัญของประเทศไทยจำนวน 28 แห่งใน 2 ลักษณะ ได้แก่<br />
(1) การตรวจสอบและประเมินช่องโหว่ในระดับระบบปฏิบัติ<br />
การและบริการ และ (2) การตรวจสอบช่องโหว่บนเว็บแอป<br />
พลิเคชัน ผลพบว่ามีถึง 1,089 ช่องโหว่ที่ต้องได้รับการแก้ไข<br />
ซึ่งไทยเซิร์ตร่วมกับสำนักมาตรฐาน สพธอ. อยู่ระหว่างการจัด<br />
ทำร่างเอกสารมาตรฐานการรักษาความมั่นคงปลอดภัยของ<br />
เว็บไซต์ เพื่อให้หน่วยงานในประเทศเป็นแนวทางสำหรับการ<br />
บริหารจัดการและพัฒนาเว็บไซต์ให้มีความมั่นคงปลอดภัย
38<br />
บทที่ 3<br />
รายงาน THREAT & CYBERSECURITY ปี 2556
39<br />
ในปี 2556 พบว่าภัย<br />
คุกคามประเภท Botnet<br />
และ Open DNS<br />
Resolver มีจำนวน<br />
หมายเลขไอพีที่ไม่ซ้ำกัน<br />
และเกี่ยวข้องกับภัยคุกคาม<br />
ทั้ง 2 ประเภทนี้สูงขึ้น<br />
ประมาณ 10 เท่าตัว<br />
3.1 ภัยคุกคาม<br />
ที่ไทยเซิร์ตได้รับแจ้ง<br />
ไทยเซิร์ตได้รับแจ้งเหตุภัยคุกคามที่เกิดขึ้น<br />
ในขอบเขตการดำเนินงาน (Constituency)<br />
ของไทยเซิร์ต ครอบคลุมระบบเครือข่าย<br />
อินเทอร์เน็ตภายในประเทศไทย และระบบ<br />
คอมพิวเตอร์ภายใต้โดเมนเนมของประเทศไทย<br />
(.th) ผ่าน 2 ช่องทาง ประกอบด้วย ผู้เสียหาย<br />
หรือผู้ที่มีส่วนได้ส่วนเสีย เช่น หน่วยงานของ<br />
เครือข่าย CERT ในต่างประเทศ หรือหน่วย<br />
งานผู้ให้บริการการรักษาความมั่นคงปลอดภัย<br />
สารสนเทศกับผู้เสียหาย แจ้งเหตุภัยคุกคาม<br />
โดยตรงกับไทยเซิร์ตผ่านทางอีเมลหรือโทรศัพท์<br />
และหน่วยงานในเครือข่าย CERT ส่งข้อมูลภัย<br />
คุกคามที่ตรวจพบในขอบเขตการดำเนินงาน<br />
ของไทยเซิร์ตให้ผ่านระบบอัตโนมัติ ซึ่งในปี<br />
2556 ไทยเซิร์ต ได้รับแจ้งเหตุภัยคุกคามผ่าน<br />
ระบบอัตโนมัติ (Automatic Feed) เพิ่มเติม<br />
จากปี 2555 ประกอบด้วย ข้อมูลภัยคุกคาม<br />
Botnet และรายการระบบเว็บไซต์ที่ถูกเจาะ<br />
ระบบสำเร็จ ทำให้ไทยเซิร์ตสามารถวิเคราะห์<br />
ข้อมูลเกี่ยวกับสถานการณ์ภัยคุกคามของระบบ<br />
เครือข่ายอินเทอร์เน็ตภายในประเทศไทย ได้<br />
ครอบคลุมและแม่นยำมากขึ้น ซึ่งข้อมูลที่<br />
ได้รับแจ้งทั้งหมด ไทยเซิร์ตจะดำเนินการ<br />
วิเคราะห์ เพื่อยืนยันว่าเหตุภัยคุกคามที่ได้รับ<br />
แจ้งได้เกิดขึ้นจริงหรือยืนยันว่าเหตุภัยคุกคาม<br />
ได้รับแจ้งจากแหล่งข้อมูลที่น่าเชื่อถือ ก่อนจะ<br />
ประสานไปยังผู้ที่เกี่ยวข้องเพื่อให้ด ำเนินการแก้<br />
ปัญหาภัยคุกคามที่ได้รับแจ้งข้างต้น อีกทั้งยัง<br />
นำข้อมูลสถานการณ์ด้านความมั่นคงปลอดภัย<br />
ที่ได้รับแจ้งทั้งหมดในปี 2556 มาวิเคราะห์<br />
แนวโน้มภัย คุกคามด้านสารสนเทศที่เกิดขึ้น และ<br />
จัดทำบทวิเคราะห์สถิติสถานการณ์ด้านความ<br />
มั่นคงปลอดภัยคอมพิวเตอร์ ในภาพรวมของ<br />
ประเทศไทย ซึ่งสามารถนำสรุปประเด็นที่น่า<br />
สนใจได้ ดังนี้<br />
• รายงานภัยคุกคามที่ได้รับมากที่สุด<br />
ผ่านระบบอัตโนมัติ เป็นภัยคุกคามประเภท<br />
Botnet โดยมีจำนวนถึง 41,046,337 รายการ<br />
คิดเป็นหมายเลขไอพีที่ไม่ซ้ำกันถึง 2,829,348<br />
หมายเลข รองลงมาคือ Open DNS Resolver<br />
และ Spam มีจำนวนหมายเลขไอพีที่ไม่ซ้ำกัน<br />
1,695,783 และ 848,976 หมายเลข ตาม<br />
ลำดับ<br />
• เมื่อเปรียบเทียบกับข้อมูลในปี 2555<br />
พบว่าภัยคุกคามประเภท Botnet และ Open<br />
DNS Resolver มีจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
กันและเกี่ยวข้องกับภัยคุกคามทั้ง 2 ประเภท<br />
นี้สูงขึ้นอย่างมีนัยสำคัญ (สูงขึ้นประมาณ 10
40<br />
เท่าตัว) ชี้ให้เห็นถึงเครื่องคอมพิวเตอร์ในระดับ<br />
ผู้ใช้งานในประเทศไทย ที่ยังคงเป็นจุดอ่อน<br />
และเป็นเป้าหมายหลักของการโจมตีด้วยมัลแวร์<br />
รวมถึงปัญหาการตั้งค่าให้บริการ DNS ซึ่งมีอยู่<br />
เป็นจำนวนมาก<br />
• ในปี 2556 ประเทศไทยมีจำนวน<br />
เครื่องคอมพิวเตอร์ที่ตรวจพบว่าตกเป็นเหยื่อ<br />
ของการติดมัลแวร์ประเภท Botnet เฉลี่ย<br />
อยู่ที่ 60,000 เครื่องต่อวัน โดยในวันที่ได้รับ<br />
รายงานมากที่สุด (11 เม.ย. 2556) พบเครื่อง<br />
ติดมัลแวร์ประเภท Botnet อยู่ประมาณ<br />
100,000 เครื่อง โดยปัจจุบัน ไทยเซิร์ต ได้<br />
ส่งข้อมูลเครื่องที่ตรวจพบว่าติดมัลแวร์ให้กับ<br />
ผู้ให้บริการอินเทอร์เน็ตรายที่พบว่า มีเครื่อง<br />
ติดมัลแวร์จ ำนวนมาก ในเครือข่ายเป็นรายวัน รวม<br />
ถึงได้ให้คำปรึกษาวิธีการแก้ไขปัญหาดังกล่าว<br />
• จาก 10 อันดับแรกของผู้ให้บริการ<br />
อินเทอร์เน็ตที่เป็นเจ้าของหมายเลขไอพี ที่<br />
ได้รับแจ้งภัยคุกคามที่เกิดขึ้นใน เครือข่ายสูง<br />
ที่สุด พบว่าใน 4 อันดับแรก ได้แก่ TOT, True<br />
Internet, Triple T Broadband และ Jastel<br />
Network มีจำนวนหมายเลขไอพีที่ได้รับการ<br />
แจ้งรวมกันเป็นสัดส่วนสูงถึง 91%<br />
• เมื่อพิจารณาภัยคุกคาม ที่เกี ่ยวกับ<br />
การบุกรุกเว็บไซต์ ซึ่งได้แก่ Phishing, Web<br />
Defacement และ Malware URL พบว่ามี<br />
เครื่องคอมพิวเตอร์ที่ให้บริการเว็บไซต์ถูกบุกรุก<br />
ประมาณ 3,000 เครื่อง โดยมากกว่าร้อยละ 50<br />
เป็นการบุกรุกในลักษณะ Web Defacement<br />
ในขณะที่เว็บที่เผยแพร่มัลแวร์ (Malware<br />
URL) มีจำนวนกว่า 12,000 รายการ แสดง<br />
ให้เห็นว่าจุดประสงค์ของผู้โจมตีไม่ได้ต้องการ<br />
เพียงแค่ประกาศตัวว่าสามารถเจาะเว็บไซต์ได้<br />
แต่มีจุดประสงค์ที่จะให้ผู้ใช้งานติดมัลแวร์เพื่อ<br />
แสวงหาผลประโยชน์ในด้านอื่น ๆ ด้วย<br />
• ในปี 2556 ไทยเซิร์ตได้รับมือและ<br />
จัดการภัยคุกคามทั้งหมด 1,745 รายงาน<br />
เพิ่มขึ้นมาประมาณ 2 เท่าจากปีก่อนหน้าที่<br />
มีเพียง 792 รายงาน โดยประเภทภัยคุกคาม<br />
ส่วนใหญ่คือ Phishing 694 รายงาน และ<br />
Web Defacement 631 รายงาน รวมกัน<br />
เป็นสัดส่วนกว่า 76% ของจำนวนรายงาน<br />
ทั้งหมด ซึ่งรายงาน Web Defacement เพิ่ม<br />
ขึ้นจากปีที่แล้วกว่า 98% เนื่องจาก ไทยเซิร์ต<br />
มีการรวบรวมข้อมูลการเจาะระบบเว็บไซต์ใน<br />
ประเทศไทยจากหน่วยงานในเครือข่าย CERT<br />
เพิ่มขึ้นจากช่องทางการรับแจ้งจากหน่วยงาน<br />
ที่ได้รับผลกระทบเพียงอย่างเดียว<br />
ผู้โจมตีไม่ได้ต้องการเพียงแค่<br />
ประกาศตัวว่าสามารถเจาะ<br />
เว็บไซต์ได้ แต่มีจุดประสงค์<br />
ที่จะให้ผู้ใช้งานติดมัลแวร์ <br />
เพื่อแสวงหาผลประโยชน์<br />
ในด้านอื่น ๆ ด้วย
41<br />
3.1.1 สถิติภัยคุกคาม<br />
ด้านสารสนเทศที่ได้รับ<br />
แจ้งผ่านระบบอัตโนมัติ<br />
Botnet<br />
Open DNS Resolver<br />
Spam<br />
Scanning<br />
Open Proxy Server<br />
Web Defacement<br />
Malware URL<br />
Phishing<br />
Brute Force<br />
DDoS<br />
0 20 40 60 80 100<br />
สัดสวน (รอยละ)<br />
จากการศึกษาข้อมูลจำนวน ผู้ที่ได้รับ<br />
ผลกระทบจากภัยคุกคามประเภทต่าง ๆ โดย<br />
นับจากหมายเลขไอพีที่ได้รับแจ้งในช่วงทุกครึ่ง<br />
ปี พบจุดที่น่าสนใจคือ จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำของ Botnet ในครึ่งแรกของปี 2556<br />
เพิ่มขึ้นจากช่วงเวลาก่อนหน้าถึง 8 เท่า และ<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำของ Open DNS<br />
Resolver ในครึ่งหลังของปี 2556 เพิ่มขึ้น<br />
จากช่วงเวลาก่อนหน้าถึง 9 เท่า เนื่องจาก<br />
ไทยเซิร์ตเริ่มได้รับข้อมูลประเภท Botnet จาก<br />
ShadowServer ในเดือนมกราคม 2556 และ<br />
เริ่มได้รับข้อมูลประเภท Open DNS Resolver<br />
จาก ShadowServer ในเดือนสิงหาคม 2556<br />
ก.ค. - ธ.ค. 2555 ม.ค. - มิ.ย. 2556 ก.ค. - ธ.ค. 2556<br />
กราฟที่ 1 จำนวนหมายเลขไอพีที่ไม่ซ้ำที่ได้รับรายงานในแต่ละประเภทภัยคุกคามในช่วงทุกครึ่งปี
42<br />
True Internet: 2,249,472<br />
TOT: 1,355,520<br />
Jastel Network: 1,094,656<br />
Triple T Broadband: 1,069,056<br />
TT&T: 403,456<br />
CAT Telecom: 308,224<br />
DTAC: 266,240<br />
SBN: 207,616<br />
AWN: 102,400<br />
Real Move: 65,536<br />
True Internet: 2,249,472<br />
TOT: 1,355,520<br />
Jastel Network: 1,094,656<br />
Triple T Broadband: 1,069,056<br />
TT&T: 403,456<br />
CAT Telecom: 308,224<br />
DTAC: 266,240<br />
SBN: 207,616<br />
AWN: 102,400<br />
Real Move: 65,536<br />
กราฟที่ 2 10 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจำนวนรายงานที่ได้รับแจ้งโดยเฉลี่ยสูงสุด<br />
นับเฉพาะหมายเลขไอพีที่ไม่ซ้ำ<br />
จากกราฟที่ 2 พบว่า ผู้ให้บริการอินเทอร์เน็ตที่พบกับปัญหาด้านความมั่นคงปลอดภัย<br />
มากที่สุดคือ TOT ซึ่งมีจำนวนรายงานคิดเป็นสัดส่วนถึง 30% รองลงมาคือ True Internet<br />
(22%) Triple T Broadband (21%) และ Jastel Network (20%) โดยจำนวนรายงานจาก<br />
บริษัททั้ง 4 รายนี้สามารถคิดเป็นสัดส่วนรวมกันได้ถึง 93% ของจำนวนรายงานทั้งหมด และ<br />
ยังจัดอยู่ในกลุ่มของโครงข่ายเครื่องคอมพิวเตอร์ทั้งสิ้น ในขณะที่บริษัทที่มีโครงข่ายโทรศัพท์<br />
กราฟที่ 3 จำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุภัยคุกคามสูงสุด<br />
นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
มือถืออย่าง Real Move, DTAC และ Advanced Wireless Network นั้น แม้จะติดอยู่ใน 10<br />
อันดับแรกด้วย แต่มีสัดส่วนของจำนวนรายงานรวมกันอยู่เพียง 4% เท่านั้น ในขณะที่กราฟที่<br />
3 เป็นการแสดงจำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุ<br />
ภัยคุกคามสูงสุด เมื่อนับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ
43<br />
TOT<br />
True Internet<br />
Triple T Broadband<br />
Jastel Network<br />
CAT Telecom<br />
SBN<br />
Real Move<br />
AWN<br />
DTAC<br />
TT&T<br />
0 20 40 60 80 100<br />
จากสถิติภัยคุกคามเมื่อจำแนกตามผู้ให้บริการ<br />
อินเทอร์เน็ต พบว่าในบรรดาผู้ให้บริการ 4 อันดับ<br />
แรกที่มีจำนวนหมายเลขไอพีที่ได้รับแจ้งสูงที่สุดนั้น<br />
มีรายงานภัยคุกคามประเภท Botnet เป็นสัดส่วน<br />
สูงสุด รองลงมาเป็น Open DNS Resolver และ<br />
Spam ตามลำดับ ในขณะที่ผู้ให้บริการที่มีโครงข่าย<br />
โทรศัพท์มือถือส่วนใหญ่จะพบรายงานภัยคุกคาม<br />
ประเภท Spam กับ Botnet เป็นส่วนใหญ่ โดย<br />
เฉพาะ Real Move และ Advanced Wireless<br />
Network ที่มีรายงานที่ได้รับแจ้งเป็นภัยคุกคาม<br />
ประเภท Botnet ทั้งหมด ทั้งนี้เมื่อนับจำนวน<br />
รายงานของภัยคุกคามประเภท Botnet, Open<br />
DNS Resolver และ Spam รวมกันแล้ว พบว่า<br />
มีมากกว่า 90% ของจำนวนรายงานทั้งหมดใน<br />
แต่ละผู้ให้บริการเครือข่าย<br />
Botnet Open DNS Resolver Spam (Other)<br />
กราฟที่ 4 สัดส่วนของภัยคุกคามแต่ละประเภทที่ผู้ให้บริการอินเทอร์เน็ตแต่ละรายได้รับแจ้ง
44<br />
Botnet<br />
Open DNS resolver<br />
Spam<br />
TOT: 30.8%<br />
True Internet: 21.4%<br />
Triple T Broadband: 20.4%<br />
Jastel Network: 19.1%<br />
CAT Telecom: 1.9%<br />
SBN: 1.5%<br />
Real Move: 1.1%<br />
AWN: 0.9%<br />
DTAC: 0.8%<br />
TT&T: 0.4%<br />
(Other): 1.8%<br />
TOT: 42.2%<br />
True Internet: 38.4%<br />
Jastel Network: 9.1%<br />
Triple T Broadband: 5.7%<br />
CAT Telecom: 3.2%<br />
ADC: 0.2%<br />
CS Loxinfo: 0.2%<br />
KSC: 0.1%<br />
MoE: 0.1%<br />
TT&T: 0.1%<br />
(Other): 0.6%<br />
TOT: 62.1%<br />
Triple T Broadband: 15.8%<br />
True Internet: 14.1%<br />
SBN: 2.7%<br />
DTAC: 1.7%<br />
Jastel Network: 1.0%<br />
ADC: 0.4%<br />
UniNet: 0.4%<br />
PROEN: 0.4%<br />
CAT Telecom: 0.2%<br />
(Other): 1.1%<br />
Brute Force<br />
Scanning<br />
Open proxy server<br />
True Internet: 24.6%<br />
TOT: 18.9%<br />
CAT Telecom: 10.7%<br />
Triple T Broadband: 9.5%<br />
MoE: 6.6%<br />
UniNet: 6.3%<br />
Jastel Network: 5.0%<br />
CS Loxinfo: 2.5%<br />
INET: 1.9%<br />
KMUTNB: 0.9%<br />
(Other): 12.9%<br />
True Internet: 29.9%<br />
Triple T Broadband: 26.8%<br />
TOT: 21.8%<br />
Jastel Network: 15.0%<br />
CAT Telecom: 1.4%<br />
CS Loxinfo: 0.9%<br />
MoE: 0.7%<br />
UniNet: 0.5%<br />
BB Broadband: 0.3%<br />
DTAC: 0.2%<br />
(Other): 2.4%:<br />
Triple T Broadband: 43.8%<br />
Jastel Network: 27.1%<br />
CAT Telecom: 14.0%<br />
TOT: 10.8%<br />
True Internet: 2.3%<br />
SBN: 0.7%<br />
MoE: 0.4%<br />
UniNet: 0.2%<br />
CS Loxinfo: 0.1%<br />
Chiang Mai U.: 0.1%<br />
(Other): 0.5%<br />
Phishing<br />
Malware URL<br />
Web defacement<br />
CAT Telecom: 26.7%<br />
TOT: 14.7%<br />
CS Loxinfo: 13.1%<br />
MoE: 5.9%<br />
Metrabyte: 5.1%<br />
INET: 4.7%<br />
UniNet: 3.8%<br />
True Internet: 2.1%<br />
ISSP: 2.0%<br />
Siamdata Communication: 2.0%<br />
(Other): 19.8%<br />
CAT Telecom: 35.0%<br />
CS Loxinfo: 15.2%<br />
MoE: 6.2%<br />
INET: 5.7%<br />
Metrabyte: 4.8%<br />
UniNet: 3.2%<br />
World Net & Services: 2.7%<br />
ISSP: 2.6%<br />
PROEN: 2.5%<br />
Triple T Broadband: 2.3%<br />
(Other): 19.8%<br />
CAT Telecom: 29.9%<br />
CS Loxinfo: 13.9%<br />
MoE: 6.4%<br />
INET: 5.5%<br />
UniNet: 5.4%<br />
Metrabyte: 4.4%<br />
World Net & Services: 2.3%<br />
True Internet: 2.2%<br />
TOT: 2.1%<br />
ISSP: 1.9%<br />
(Other): 26.0%<br />
ชุดกราฟที่ 1 สัดส่วนจำนวนหมายเลขไอพีไม่ซ้ำของเครือข่ายต่าง ๆ จำแนกตามประเภทภัยคุกคาม
45<br />
จุดที่น่าสังเกตคือมี<br />
เครือข่ายของภาคการศึกษา<br />
ได้แก่ MoE (กระทรวง<br />
ศึกษาธิการ) และ UniNet<br />
(เครือข่ายสารสนเทศเพื่อ<br />
พัฒนาการศึกษา) ติดอยู่<br />
ใน 10 อันดับแรกของแหล่ง<br />
เกิดเหตุภัยคุกคามประเภท<br />
Phishing และ Web<br />
Defacement ด้วย<br />
เมื่อพิจารณาสัดส่วนจำนวนหมายเลขไอพี<br />
ไม่ซ้ำของเครือข่ายต่าง ๆ จำแนกตามประเภท<br />
ภัยคุกคามแล้ว กลุ่มบริษัทที่ติดอันดับต้น ๆ ส่วน<br />
ใหญ่แล้วจะเป็นผู้ให้บริการเครือข่ายรายใหญ่<br />
เช่น TOT, True และ Triple T Broadband<br />
ซึ่งไม่น่าแปลกใจเนื่องจากผู้ให้บริการเหล่านี้มี<br />
หมายเลขไอพีอยู่ในการครอบครองเป็นจำนวน<br />
มาก แต่มีจุดที่น่าสังเกตคือมีเครือข่ายของภาค<br />
การศึกษา ได้แก่ MoE (กระทรวงศึกษาธิการ)<br />
และ UniNet (เครือข่ายสารสนเทศเพื่อ<br />
พัฒนาการศึกษา) ติดอยู่ใน 10 อันดับแรกของ<br />
แหล่งเกิดเหตุภัยคุกคามประเภท Phishing<br />
และ Web Defacement ด้วย<br />
อีกประเด็นหนึ่งที่สังเกตเห็นได้ชัดก็คือ ผู้ให้<br />
บริการอินเทอร์เน็ต บริษัท กสท โทรคมนาคม<br />
จำกัด (มหาชน) หรือ CAT Telecom ซึ่งครอบ<br />
ครองจำนวนหมายเลขไอพี เพียง 308,224<br />
หมายเลข แต่กลับได้รับผลกระทบจากปัญหา<br />
ภัยคุกคามใกล้เคียงกับกลุ่มบริษัทที่มีหมายเลข<br />
ไอพีจำนวนมากเป็นอันดับต้น ๆ โดยเฉพาะ<br />
อย่างยิ่งในภัยคุกคามประเภท Malware URL,<br />
Phishing และ Web Defacement ที่ CAT<br />
Telecom มีจำนวนหมายเลขไอพีที่ได้รับแจ้ง<br />
เป็นอันดับหนึ่ง นอกจากนี้ เครือข่ายของ CAT<br />
Telecom ยังประสบปัญหาภัยคุกคามประเภท<br />
Open proxy Server มากกว่า TOT ทั้งที่มี<br />
หมายเลขไอพีน้อยกว่าถึง 4 เท่า โดยสาเหตุ<br />
นั้นสันนิษฐานว่าเกิดจากรูปแบบการให้บริการ<br />
ของ CAT Telecom ที่ส่วนใหญ่จะเปิดให้<br />
บริการสำหรับองค์กร สอดคล้องกับลักษณะ<br />
ของประเภทภัยคุกคามที่กล่าวมาข้างต้น ที่<br />
จะเกิดเฉพาะกับเครื่องแม่ข่าย<br />
ภัยคุกคามเกือบทุกประเภทจะมีการ<br />
แจ้งรายงานกระจายไปยังบริษัทหลายแห่ง<br />
ในสัดส่วนที่แตกต่างกันไป ยกเว้นภัยคุกคาม<br />
ประเภท Spam เท่านั้นที่มีสัดส่วนการแจ้ง<br />
รายงานเกิดขึ้นกับผู้ให้บริการอินเทอร์เน็ตเพียง<br />
รายเดียวมากกว่าครึ่งหนึ่ง ซึ่งก็คือ TOT ที่มี<br />
สัดส่วนสูงถึง 62%
46<br />
3.1.1.1 Botnet<br />
มัลแวร<br />
ปที่เริ่มพบ<br />
ความสามารถ<br />
DoS สง Spam ขโมยขอมูล ติดตั้งมัลแวรอื่น อื่น ๆ<br />
Conficker<br />
2551<br />
Zeus<br />
2550<br />
ZeroAccess<br />
2554<br />
Sality<br />
2546<br />
Pushdo<br />
2550<br />
Conficker: 46.2%<br />
Zeus: 13.5%<br />
ZeroAccess: 11.8%<br />
Sality: 11.6%<br />
Pushdo: 7.6%<br />
Citadel: 5.8%<br />
Slenfbot: 1.5%<br />
Gameover: 0.6%<br />
Kelihos: 0.3%<br />
Dorkbot: 0.2%<br />
(Other): 0.9%<br />
Citadel<br />
Slenfbot<br />
Gameover<br />
Kelihos<br />
2554<br />
2550<br />
2554<br />
2553<br />
กราฟที่ 5 10 อันดับแรกของมัลแวร์ประเภท Botnet ที่ได้รับแจ้ง<br />
Dorkbot<br />
2546<br />
ตารางที่ 1 ปีที่เริ่มพบและพฤติกรรมของมัลแวร์ประเภท Botnet ใน 10 อันดับแรก
47<br />
ความสามารถของมัลแวร์ที่จำแนกไว้ในตารางข้างต้นนั้น<br />
แบ่งออกเป็น 5 หัวข้อ โดยมีรายละเอียดดังต่อไปนี้<br />
1. ความสามารถในการโจมตีแบบดอส (DoS) ตัวอย่าง<br />
เช่น Pushdo สามารถโจมตีเว็บไซต์ที่ใช้ SSL โดยใช้<br />
วิธีส่งข้อมูลที่ผิดปกติเข้าไปจำนวนมาก ทำให้เครื่อง<br />
บริการเว็บต้องทำงานหนักจนไม่สามารถให้บริการได้<br />
2. ความสามารถในการเป็นเครื่องมือส่งสแปม (Spam)<br />
ตัวอย่างเช่น Kelihos ที่แพร่กระจายในปี 2011 ถูกผู้<br />
ไม่หวังดีใช้เป็นเครื่องมือในการส่งสแปมเกี่ยวกับการ<br />
เคลื่อนไหวทางการเมืองในยุโรป เป็นต้น<br />
3. ความสามารถในการขโมยข้อมูลต่าง ๆ (โจรกรรม<br />
ข้อมูล) ที่เก็บไว้ในเครื่องคอมพิวเตอร์แล้วส่งกลับไป<br />
ให้กับผู้ไม่หวังดี รวมถึงการลักลอบบันทึกประวัติการ<br />
กดแป้นพิมพ์ที่เรียกกันว่า Key Logging ตัวอย่างที่<br />
เป็นที่รู้จัก คือ Zeus ซึ่งถือว่าเป็น Banking Malware<br />
เพราะมีพฤติกรรมขโมยชื่อผู้ใช้และรหัสผ่านของ<br />
บริการธนาคารออนไลน์เป็นหลัก<br />
4. ความสามารถในการติดตั้งมัลแวร์อื่น ๆ ซึ่งเรียก<br />
พฤติกรรมนี้ว่า Dropper เช่น Pushdo ที่มีการ<br />
รายงานว่า มีการใช้เป็นเครื่องมือเพื่อติดตั้งมัลแวร์<br />
Cutwail ซึ่งมีพฤติกรรมในการส่งสแปม<br />
5. ความสามารถอื่น ๆ ที่ไม่สอดคล้องกับ 4 กลุ่มข้างต้น<br />
เช่น การปิด Windows Update หรือรบกวนการ<br />
ทำงานของโปรแกรมแอนตี้ไวรัส ตัวอย่างของมัลแวร์<br />
ที่มีพฤติกรรม เช่น นี้ได้แก่ Sality ที่สามารถปิดการ<br />
ทำงานของ Windows Firewall เป็นต้น<br />
สำหรับภัยคุกคามประเภท Botnet ซึ่ง 97% ของรายงาน<br />
มีระบุชื่อมัลแวร์นั้น พบว่ามัลแวร์ที่ได้รับแจ้งมากที่สุดคือ<br />
Conficker กว่า 46% รองลงมาคือ Zeus (14%), ZeroAccess<br />
(12%), Sality (12%) และ Pushdo (8%) ซึ่งใน 5 อันดับแรก<br />
นี้นอกจาก ZeroAccess ที่ถูกค้นพบครั้งแรกเมื่อปี 2554 แล้ว<br />
มัลแวร์ตัวอื่น ๆ นั้นล้วนเป็นมัลแวร์ที่ถูกค้นพบมาเป็นเวลา<br />
นานมากกว่า 5 ปีขึ้นไปทั้งสิ้น โดยเฉพาะ Conficker ที่ทาง<br />
Microsoft ได้ออกประกาศแจ้งเตือน รวมถึงออกแพทช์และ<br />
วิธีแก้ไขช่องโหว่ที่มัลแวร์ใช้ในการโจมตีมาตั้งแต่ปี 2551 1 ซึ่ง<br />
1 Microsoft, https://technet.microsoft.com/en-us/library/<br />
security/ms08-067.aspx<br />
เป็นไปได้ว่า เครื่องคอมพิวเตอร์อาจติดมัลแวร์เหล่านี ้มาเป็น<br />
เวลานานแล้ว หรือระบบยังคงมีช่องโหว่เก่า ๆ ที่เคยไม่ได้<br />
รับการแก้ไข จึงเป็นช่องทางให้มัลแวร์ไม่ว่าจะเป็นสายพันธุ์<br />
เก่าหรือใหม่ สามารถเข้ามาโจมตีระบบได้ ซึ่งแสดงให้เห็นว่า<br />
ประเทศไทยมีเครื่องคอมพิวเตอร์จำนวนมากที่ยังขาดการดูแล<br />
รักษาด้านความมั่นคงปลอดภัย<br />
เครื่องคอมพิวเตอร์ยังคงมีช่องโหว่<br />
เก่า ๆ ที่ไม่ได้รับการแก้ไข เปิดโอกาส<br />
ให้มัลแวร์ไม่ว่าจะเป็นสายพันธุ์เก่า<br />
หรือใหม่สามารถเข้ามาโจมตีระบบได้<br />
แสดงให้เห็นว่าประเทศไทยมีเครื่อง<br />
คอมพิวเตอร์จำนวนมากที่ยังขาดการ<br />
ดูแลรักษาด้านความมั่นคงปลอดภัย
48<br />
Botnet ที่ได้รับแจ้ง<br />
เป็นมัลแวร์ที่มีเป้าหมายในการ<br />
ขโมยข้อมูลส่วนบุคคลที่ใช้ในการ<br />
19%ของรายงาน<br />
ทำธุรกรรมออนไลน์โดยตรง เช่น<br />
รหัสผ่านของบัญชีผู้ใช้และเลขบัตรเครดิต<br />
อีกประเด็นหนึ่งที่น่าสนใจก็คือ 19% ของ<br />
รายงาน Botnet ที่ได้รับแจ้ง เป็นมัลแวร์ที่มี<br />
เป้าหมายในการขโมยข้อมูลส่วนบุคคลที่ใช้ใน<br />
การทำธุรกรรมออนไลน์โดยตรง เช่น รหัสผ่าน<br />
ของบัญชีผู้ใช้และเลขบัตรเครดิต โดยมัลแวร์<br />
ที่ได้รับแจ้งสูงที่สุด 5 อันดับแรกคือ Zeus,<br />
Citadel, Gameover (พัฒนาต่อยอดมาจาก<br />
Zeus), Bamital และ Black Energy รายงาน<br />
ของ Kaspersky ที่ระบุว่ามัลแวร์ประเภทนี้<br />
รวมถึงมัลแวร์ตัวอื่น ๆ มีจุดประสงค์ในการ<br />
สร้างผลประโยชน์ทางการเงินให้กับผู้ไม่หวังดี<br />
นั้น มีจำนวนเพิ่มสูงขึ้นกว่า 27.6% เมื่อเทียบ<br />
กับปี 2555 2 ไทยเซิร์ตเองก็ได้รับแจ้งและตรวจ<br />
พบมัลแวร์บนระบบปฏิบัติการ Android หลาย<br />
ตัวที่มีความสามารถในลักษณะดังกล่าว ตาม<br />
บทความแจ้งเตือนที่ได้เผยแพร่บนเว็บไซต์<br />
ของไทยเซิร์ต ตลอดปี 2556 แสดงให้เห็น<br />
ว่า อัตราการเติบโตของมัลแวร์ประเภทนี้<br />
มีแนวโน้มจะเพิ่มสูงขึ้นอีกในปี 2557 โดย<br />
2 Kaspersky, http://www.kaspersky.com/<br />
about/news/virus/2014/Kaspersky-Labstatistics-attacks-involving-financialmalware-rise-to-28-million-in-2013<br />
เฉพาะบนระบบปฏิบัติการของอุปกรณ์พกพา<br />
เนื่องจากในปัจจุบันสมาร์ตโฟนและแท็บเล็ต<br />
ได้กลายเป็นอุปกรณ์ที่ผู้คนนิยมใช้งานในชีวิต<br />
ประจำวัน ในขณะที่ระบบปฏิบัติการและแอป<br />
พลิเคชันของอุปกรณ์เหล่านี้ยังไม่มีมาตรการ<br />
รักษาด้านความมั่นคงปลอดภัย ที่ดีทัดเทียม<br />
กับระบบปฏิบัติการบนคอมพิวเตอร์ทั่วไปได้<br />
ทำให้ อุปกรณ์พกพาตกเป็นเป้าหมายอันดับ<br />
แรก ๆ ในการโจมตีจากผู้ไม่หวังดี<br />
อย่างไรก็ตาม ทาง Microsoft เองก็ได้<br />
ร่วมมือกับ FBI และหน่วยงานอื่น ๆ ที่มีหน้า<br />
ที่รับผิดชอบและได้รับผลกระทบจากมัลแวร์<br />
ในการเข้ายึดเครื่องแม่ข่ายที่เป็นเครื่องควบคุม<br />
และสั่งการ Botnet หลายโครงการ ยกตัวอย่าง<br />
เช่น ในเดือนมิถุนายน 2556 ได้เข้ายึดเครื่อง<br />
แม่ข่ายที่ควบคุม Botnet ที่ติดมัลแวร์ Citadel<br />
ภายใต้ปฏิบัติการที่ชื่อ Operation b54 3 และ<br />
ในเดือนธันวาคม 2556 ก็ได้เข้ายึดเครื่องแม่ข่าย<br />
3 Microsoft, http://www.microsoft.com/eu/<br />
on-the-issues/article/microsoft-workswith-financial-services-industry-leaderslaw-enforceme.aspx<br />
ปัจจุบันสมาร์ตโฟนและแท็บเล็ตได้กลายเป็นอุปกรณ์ที่ผู้คนนิยมใช้งาน<br />
ในชีวิตประจำวัน ในขณะที่ระบบปฏิบัติการรวมถึงแอปพลิเคชันของ<br />
อุปกรณ์เหล่านี้ยังไม่มีมาตรการรักษาด้านความมั่นคงปลอดภัยที่ดี<br />
ทัดเทียมกับระบบปฏิบัติการบนคอมพิวเตอร์ทั่วไปได้<br />
ทำให้ อุปกรณ์พกพา ตกเป็น<br />
เป้าหมายอันดับแรก ๆ ในการโจมตีจากผู้ไม่หวังดี
49<br />
ที่ควบคุม Botnet ที่ติดมัลแวร์ ZeroAccess 4<br />
ซึ่งคาดว่าผลจากปฏิบัติการเหล่านี้จะทำให้<br />
จำนวน Botnet ที่พบในปี 2557 ลดลง<br />
สำหรับสถิติจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
กันของ Botnet ที่มีสูงถึง 2.8 ล้านหมายเลข<br />
นั้น พบว่าการคำนวณโดยการนับจำนวน<br />
หมายเลขไอพีที่ไม่ซ้ำตลอดปี 2556 อาจไม่<br />
สามารถสะท้อนจำนวนเครื่องคอมพิวเตอร์ที่<br />
มีปัญหา Botnet ได้อย่างถูกต้อง เนื ่องจาก<br />
รูปแบบการใช้หมายเลขไอพี ในเครือข่าย<br />
บรอดแบนด์ตามบ้านโดยส่วนใหญ่ จะไม่มีการ<br />
กำหนดหมายเลขไอพีจริงให้กับผู้ใช้แต่ละราย<br />
อย่างถาวร หมายเลขไอพีใหม่จะถูกกำหนดให้<br />
ผู้ใช้งานทุกครั้งที่เริ่มใช้งาน และมีอายุในการ<br />
ใช้งานหมายเลขไอพีนี้ เป็นเวลาจำกัดประมาณ<br />
24 ชั่วโมง โดยหลังจากหมดอายุการใช้งาน<br />
หมายเลขไอพีนี้แล้ว ผู้ให้บริการอินเทอร์เน็ต<br />
จะกำหนดหมายเลขไอพีใหม่ให้<br />
ด้วยเหตุนี้ เครื่องคอมพิวเตอร์ที่ติดมัลแวร์<br />
ประเภท Botnet อาจถูกนับว่าว่าพบ Botnet<br />
ทุกวันด้วยหมายเลขไอพีที่ต่างกัน ทำให้การ<br />
คำนวณจำนวนเครื่องคอมพิวเตอร์ที่ติดมัลแวร์<br />
ประเภท Botnet ด้วยวิธีการนับหมายเลขไอพีที่<br />
ไม่ซ้ำ ที่พบตลอดทั้งปี มีความคลาดเคลื่อน จาก<br />
ความเป็นจริงค่อนข้างมาก ดังนั้นจึงได้มีหลัก<br />
การในการคำนวณจำนวนเครื่องคอมพิวเตอร์<br />
ที่ติดมัลแวร์ประเภท Botnet อีกรูปแบบหนึ่ง<br />
คือ การใช้จำนวนสูงสุดของหมายเลขไอพีที่ ไม่<br />
ซ้ำกันในรายงานของแต่ละวันจากข้อมูลทั้งปี5<br />
ซึ่งมีจำนวนเท่ากับ 105,232 หมายเลข นั่น<br />
หมายความว่า มีเครื่องคอมพิวเตอร์จำนวน<br />
ไม่น้อยกว่าหนึ่งแสนเครื่องในประเทศไทย<br />
ที่ติด Botnet และในความเป็นจริงอาจมี<br />
จำนวนมากกว่านี้ เนื่องจากในระบบเครือ<br />
ข่ายโดยทั่วไป มักมีคอมพิวเตอร์หลายเครื่อง<br />
ที่เชื่อมต่อกับอินเทอร์เน็ตโดยใช้หมายเลขไอ<br />
พีจริงร่วมกัน ส่วนภัยคุกคามประเภท Open<br />
Proxy Server, Web Defacement, Malware<br />
URL และ Phishing นั้น ยังคงสามารถใช้<br />
วิธีการคำนวณ โดยการนับจำนวนหมายเลข<br />
ไอพีที่ไม่ซ้ำตลอดทั้งปีได้ เนื่องจากภัยคุกคาม<br />
ประเภทเหล่านี้จะเกิดกับเครื่องแม่ข่าย ซึ่ง<br />
มักได้รับการกำหนดหมายเลขไอพีจริงไว้โดย<br />
ไม่ได้มีการเปลี่ยนแปลง<br />
มีเครื่องคอมพิวเตอร์<br />
จำนวนไม่น้อยกว่า<br />
หนึ่งแสนเครื่องใน<br />
ประเทศไทยที่ติด Botnet<br />
และในความเป็นจริงอาจมี<br />
จำนวนมากกว่านี้ เนื่องจาก<br />
ในระบบเครือข่ายโดย<br />
ทั่วไป มักมีคอมพิวเตอร์<br />
หลายเครื่องที่เชื่อมต่อกับ<br />
อินเทอร์เน็ตโดยใช้หมายเลข<br />
ไอพีจริงร่วมกัน<br />
4 Microsoft, http://www.microsoft.com/<br />
en-us/news/press/2013/dec13/12-<br />
05zeroaccessbotnetpr.aspx<br />
5 CERT Polska. https://www.cert.pl/PDF/<br />
Report_CP_2013.pdf
50<br />
3.1.1.2 Open DNS Resolver นอกจาก Botnet แล้ว Open DNS<br />
Resolver ก็เป็นภัยคุกคามอีกประเภทหนึ่งที่<br />
พบเป็นจำนวนมากในประเทศไทย โดย Open<br />
DNS Resolver คือเครื่องคอมพิวเตอร์หรือ<br />
อุปกรณ์เครือข่ายใด ๆ ก็ตามที่เปิดให้บริการ<br />
Recursive DNS แก่ผู้ใช้ทุกรายที่เข้ามาขอใช้<br />
บริการ ทำให้ผู้ไม่หวังดีอาศัยหลักการทำงาน<br />
ในส่วนนี้โจมตีระบบด้วยการส่งคำร้องขอไปยัง<br />
Open DNS Resolver เป็นจำนวนมาก โดย<br />
ปลอมแปลงหมายเลขไอพีของตนให้กลายเป็น<br />
หมายเลขไอพีของระบบเป้าหมายที่จะโจมตี<br />
ทำให้เมื่อ Open DNS Resolver ดังกล่าวได้<br />
รับคำร้องขอ จะส่งคำตอบกลับไปยังระบบ<br />
เป้าหมายที่ผู้ไม่หวังดีต้องการโจมตี และเมื ่อ<br />
ระบบที่ถูกโจมตี ได้รับข้อมูลเป็นจำนวนมาก<br />
จนกระทั่งแบนด์วิดท์ของเครือข่ายมีการใช้งาน<br />
รูปที่ 1 ลักษณะการโจมตีด้วยเทคนิค DNS Amplification Attack (ที่มา: secureworks.com) จนเต็ม ก็จะส่งผลให้ระบบดังกล่าวไม่สามารถ<br />
ให้บริการตามปกติต่อไปได้<br />
ทั้งนี้สาเหตุสำคัญที่ทำให้ Open DNS<br />
Resolver สามารถนำไปใช้เป็นเครื่องมือใน<br />
การโจมตีมีอยู่ด้วยกัน 2 ส่วนคือ การเปิดให้<br />
บริการแบบสาธารณะที่ไม่ว่าใครก็ตามสามารถ<br />
เข้ามาขอใช้บริการได้ และการเปิดใช้งานฟังก์ชัน<br />
Recursive DNS ซึ่งหมายความว่าระบบที่เปิด<br />
ใช้งานฟังก์ชันดังกล่าวจะเป็นผู้ค้นหาและส่งคำ<br />
ตอบสุดท้ายกลับไปยังผู้ใช้ โดยไม่ได้ส่งคำตอบ<br />
เป็นที่อยู่ของ DNS Server ตัวอื่นเพื่อให้ผู้ใช้ไป<br />
ร้องขอข้อมูลเพิ่มเติมเอง ด้วยสาเหตุข้อแรกที่<br />
เป็นการเปิดช่องทางให้ผู้ไม่หวังดีสามารถเริ่ม<br />
ทำการโจมตีได้ ร่วมกับสาเหตุข้อที่สองที่เปิด<br />
โอกาสให้ผู้ไม่หวังดี สามารถส่งคำร้องขอที่<br />
โดยทั่วไปมีขนาดเล็ก แต่ได้คำตอบที่มีขนาด<br />
ใหญ่กว่าหลายเท่ากลับมา ทำให้การโจมตี<br />
วิธีนี้สามารถทำได้ง่าย และมีประสิทธิภาพสูง<br />
โดยไม่จำเป็นต้องใช้ทรัพยากร ระบบจำนวนมาก<br />
โดยรูปแบบการโจมตีที่ผู้ไม่หวังดีนิยมใช้คือการ
51<br />
สั่งการให้ Botnet ส่งคำร้องขอไปยัง Open<br />
DNS Resolver หลาย ๆ ตัวเพื่อทำการโจมตี<br />
ระบบเป้าหมายพร้อมกัน เกิดเป็นการโจมตีที่<br />
เรียกว่า DNS Amplification Attack ซึ่งเป็น<br />
เทคนิคหนึ่งของการโจมตีแบบ Distributed<br />
Denial-of-Service (DDoS) ที่ได้รับความ<br />
นิยมในปัจจุบัน ดังจะเห็นได้จากข่าวในเดือน<br />
มีนาคม 2556 เกี่ยวกับการโจมตีครั้งใหญ่ด้วย<br />
เทคนิคดังกล่าว โดยมีเป้าหมายเป็นระบบของ<br />
Spamhaus ซึ่งเป็นหน่วยงานไม่แสวงผลกำไร<br />
ที่มีภารกิจในการแก้ไขปัญหาสแปม ถึงแม้ว่า<br />
การโจมตีวิธีนี้จะไม่ได้ส่งผลกระทบร้ายแรงต่อ<br />
Open DNS Resolver โดยตรง แต่ถ้า Open<br />
DNS Resolver เหล่านี้ได้รับการตั้งค่าให้เหมาะ<br />
สมแล้ว ก็จะมีส่วนช่วยให้ระดับความรุนแรง<br />
ของการโจมตีด้วยเทคนิคดังกล่าวในภาพรวม<br />
ลดลงไปได้ อย่างไรก็ตาม นอกจากโพรโทคอล<br />
DNS แล้ว ก็ยังมีโพรโทคอลอื่น ๆ ที่อาจนำมา<br />
ใช้ในการโจมตีในลักษณะเดียวกันได้ เช่น NTP<br />
และ SNMP ซึ่งมักเป็นโพรโทคอลที่ทำงานอยู่<br />
บนโพรโทคอล UDP<br />
ในส่วนของสถิติภัยคุกคามประเภท Open<br />
DNS Resolver นั้น พบว่าได้รับแจ้งเฉลี่ยเกือบ<br />
60,000 หมายเลขไอพีต่อวันซึ่งเป็นตัวเลขที่<br />
ใกล้เคียงกับสถิติของ Botnet และในวันที่<br />
ได้รับรายงานมากที่สุดพบว่า มีจำนวนสูงถึง<br />
260,000 หมายเลขไอพี จากการตรวจสอบ<br />
กลุ่มหมายเลขไอพีตัวอย่างนั้น พบว่ามีทั้ง<br />
หมายเลขไอพีของเครื่องแม่ข่าย และเราเตอร์<br />
สำหรับองค์กรไปจนถึงเราเตอร์ที่ใช้ตามบ้าน<br />
ซึ่งสาเหตุที่ทำให้พบ Open DNS Resolver<br />
บนอุปกรณ์หลากหลายชนิด ในปริมาณมาก<br />
เช่นนี้ สันนิษฐานว่าอาจเกิดจากทั้งการตั้งค่า<br />
ระบบโดยผู้ดูแล รวมถึงการตั้งค่ามาตรฐานจาก<br />
ผู้ผลิตที่ไม่รัดกุมพอ อย่างไรก็ตาม การตรวจ<br />
สอบหมายเลขไอพีที่ได้รับรายงานทั้งหมดเพื่อ<br />
ประเมินสัดส่วนของ Open DNS Resolver<br />
จำแนกตามประเภทของอุปกรณ์นั้น ยังทำได้<br />
ยาก เนื่องจากยังไม่มีเครื่องมืออัตโนมัติที่<br />
สามารถตรวจสอบ และจำแนกประเภทของ<br />
อุปกรณ์ได้อย่างแม่นยำ อีกทั้งข้อมูล Open<br />
DNS Resolver ที่ไทยเซิร์ตได้รับแจ้งนั้นจะ<br />
ย้อนหลังไปประมาณ 1-2 วัน และหมายเลข<br />
ไอพีที ่ได้รับแจ้งส่วนหนึ่ง ก็เป็นหมายเลข<br />
ไอพีประเภท Dynamic ทำให้หมายเลขไอพี<br />
หนึ่ง ๆ ณ เวลาที่ทำการตรวจสอบนั้น อาจ<br />
เป็นของอุปกรณ์คนละตัวกับเมื่อเวลาที่ได้รับ<br />
แจ้งข้อมูล ดังนั้น ไทยเซิร์ตจึงได้พัฒนาระบบ<br />
สำหรับตรวจสอบอุปกรณ์ที่เป็น Open DNS<br />
Resolver ในประเทศไทยขึ้นมาเอง และคาด<br />
ว่าในอนาคตจะสามารถพัฒนาเครื่องมือ เพื่อ<br />
ตรวจสอบและรวบรวมข้อมูลรายละเอียดของ<br />
อุปกรณ์เหล่านี้ได้อย่างมีประสิทธิภาพมากยิ่งขึ้น<br />
ไทยเซิร์ตได้พัฒนาระบบ<br />
สำหรับตรวจสอบอุปกรณ์<br />
ที่เป็น Open DNS<br />
Resolver ในประเทศไทย<br />
ขึ้นมาเอง และคาดว่าใน<br />
อนาคตจะสามารถพัฒนา<br />
เครื่องมือเพื่อตรวจสอบและ<br />
รวบรวมข้อมูลรายละเอียด<br />
ของอุปกรณ์เหล่านี้ได้อย่างมี<br />
ประสิทธิภาพมากยิ่งขึ้น
52<br />
3.1.1.3 Web Attack ในการเปรียบเทียบการบุกรุก เว็บไซต์<br />
แบบต่าง ๆ นับตามหมายเลขไอพีที่ไม่ซ้ำ<br />
15k<br />
12.5k<br />
10k<br />
7.5k<br />
5k<br />
2.5k<br />
0k<br />
Malware URL Web Defacement Phishing<br />
จำนวน URL ที่ไมซ้ำ<br />
จำนวนหมายเลขไอพีที่ไมซ้ำ<br />
กราฟที่ 6 เปรียบเทียบการบุกรุกเว็บไซต์แบบต่าง ๆ<br />
กัน ซึ่งแสดงให้เห็นถึง จำนวนเครื่องแม่ข่าย<br />
ที่ถูกเจาะระบบนั้น พบว่าการบุกรุกประเภท<br />
Web Defacement เกิดขึ้นมากที่สุดถึง 1,430<br />
หมายเลข ส่วนการบุกรุกประเภท Malware<br />
URL และ Phishing มีจำนวนที่ใกล้เคียง<br />
กันคือ 874 และ 746 หมายเลขตามลำดับ<br />
ในขณะที่การเปรียบเทียบการบุกรุกเว็บไซต์ที่<br />
แยกตาม URL ที่ไม่ซ้ำกัน เพื่อพิจารณาในมุม<br />
ของการนำเว็บไซต์ไปโจมตีผู้อื่นนั้น พบว่าการ<br />
บุกรุกประเภท Malware URL จะเกิดขึ้นมาก<br />
ที่สุด ด้วยจำนวน URL ที่มีการใช้เพื่อเผยแพร่<br />
มัลแวร์ถึง 11,917 รายการ มากกว่าการบุกรุก<br />
ประเภท Phishing กว่า 3 เท่า อย่างไรก็ตาม<br />
ภัยคุกคามประเภท Phishing ก็ส่งผลกระทบ<br />
ที่รุนแรงไม่น้อยไปกว่าการบุกรุกแบบอื่น ๆ<br />
เนื่องจากเป็นภัยคุกคามที่สร้างความเสียหายต่อ<br />
ประชาชนทั่วไปและธุรกิจขององค์กรโดยตรง<br />
นอกจากนี้ สิ่งที่น่าสนใจอีกประเด็นหนึ่ง<br />
คือสัดส่วนของจำนวน URL ต่อหมายเลขไอพี<br />
ซึ่งแสดงถึงความหนาแน่นของปริมาณการนำ<br />
เว็บไซต์ไปใช้ในการโจมตีผู้อื่นต่อหมายเลขไอพี<br />
ตัวเดียว โดยการบุกรุกประเภท Malware URL<br />
นี้มีสัดส่วนในปริมาณสูงสุดถึง 13.6 URL ต่อ<br />
หมายเลขไอพี ในขณะที่ Phishing มีสัดส่วน<br />
น้อยกว่า Malware URL กว่าครึ่งหนึ่ง
53<br />
Unknown (IP address): 7.6%<br />
(Other): 5.6%<br />
.net: 4.2%<br />
.co.th: 6.7%<br />
.ac.th: 16.7%<br />
.go.th: 21.5%<br />
.ac.th: 8.2%<br />
.co.th: 16.0%<br />
.com: 53.3%<br />
.go.th: 5.2%<br />
.com: 45.3%<br />
(Other): 9.8%<br />
(Other): 6.1%<br />
.com: 34.9%<br />
.net: 11.4%<br />
.ac.th: 5.2%<br />
กราฟที่ 7 เปรียบเทียบการโจมตีเว็บไซต์แบบต่าง ๆ โดยจำแนกตามประเภทของเว็บไซต์<br />
Unknown<br />
(IP address): 25.1%<br />
.go.th: 17.2%<br />
Malware URL<br />
Web defacement<br />
Phishing<br />
เมื่อเปรียบเทียบการโจมตีเว็บไซต์ แบบ<br />
ต่าง ๆ โดยจำแนกตามประเภทของเว็บไซต์<br />
แล้ว พบว่าเว็บไซต์ของหน่วยงานภาคเอกชน<br />
(.com) ได้รับผลกระทบ เป็นอันดับหนึ่งใน<br />
การโจมตีทุกประเภท ในขณะที่เว็บไซต์ของ<br />
หน่วยงานภาครัฐ (go.th) ได้รับผลกระทบจาก<br />
Malware URL กับ Web Defacement สูงเป็น<br />
อันดับที่ 2 และอยู่ในอันดับที่ 5 ของการโจมตี<br />
ประเภท Phishing และเมื่อพิจารณาจำนวน<br />
เว็บไซต์ภายใต้โดเมน .com และ .co.th ที่ได้<br />
รับผลกระทบจากการโจมตีประเภท Phishing<br />
พบว่ามีสัดส่วนที่สูงเกือบ 70% ส่วนเว็บไซต์<br />
ของหน่วยงานด้านการศึกษา (.ac.th) นั้น พบ<br />
การโจมตีประเภท Web Defacement จำนวน<br />
มากที่สุดเมื่อเปรียบเทียบกับประเภทอื่น ๆ<br />
เว็บไซต์ของหน่วยงาน<br />
ภาคเอกชน (.com)<br />
ได้รับผลกระทบเป็น<br />
อันดับหนึ่งในการโจมตีทุก<br />
ประเภท ในขณะที่เว็บไซต์<br />
ของหน่วยงานภาครัฐ<br />
(go.th) ได้รับผลกระทบจาก<br />
Malware URL กับ Web<br />
Defacement สูงเป็น<br />
อันดับที่ 2 และอยู่ในอันดับ<br />
ที่ 5 ของการโจมตีประเภท<br />
Phishing
54<br />
203.172.205.22<br />
obec.go.th<br />
phichit.net<br />
kasettoday.com<br />
winnerwideworld.com<br />
ppdho.com<br />
thaigoodview.com<br />
winnerwideworld.co.th<br />
dmf.go.th<br />
watpa-pathomchai.com<br />
ใน 10 อันดับแรกของ โดเมนเนม ที่มีรายงาน Malware URL สูง<br />
ที่สุดเมื่อนับตามจำนวน URL ที่ไม่ซ้ำนั้น พบว่ามีเว็บไซต์ของหน่วยงาน<br />
ภาครัฐติดอยู่ในอันดับต้น ๆ หลายแห่ง ยกตัวอย่างเช่นเว็บไซต์สำนักงาน<br />
เขตพื้นที่การศึกษาประถมศึกษาเพชรบุรี เขต 2 (203.172.205.22) ที่<br />
ได้รับจำนวนรายงานสูงที่สุดกว่า 2,593 รายการ คิดเป็นสัดส่วนถึง 22%<br />
ของรายงานทั้งหมดใน 10 อันดับแรก ในขณะที่เว็บไซต์ภายใต้โดเมน<br />
obec.go.th ซึ่งส่วนใหญ่เป็นเว็บไซต์ของสำนักงานเขตพื ้นที่การศึกษา<br />
นั้นมีจำนวนรายงานกว่า 1,501 รายการ และเว็บไซต์ phichit.net ของ<br />
สำนักงานเขตพื้นที่การศึกษาพิจิตร เขต 1 มีจำนวนรายงานถึง 1,092<br />
รายการ ซึ่งสาเหตุที่ทำให้เว็บไซต์ของหน่วยงานภาครัฐติดอยู่ใน 10 อันดับ<br />
แรกหลายแห่งนั้น อาจเกิดจากการที่ผู้ดูแลเว็บไซต์ไม่ได้แก้ไขช่องโหว่เมื่อ<br />
ได้รับคำแจ้งเตือน หรือแก้ไขด้วยการลบเฉพาะไฟล์มัลแวร์ แต่ไม่ได้แก้ไข<br />
ช่องโหว่ของเว็บไซต์ ทำให้ผู้ไม่หวังดีสามารถย้อนกลับมาโจมตีผ่านทาง<br />
ช่องโหว่เดิม ส่งผลให้ได้รับแจ้งรายงานของเว็บไซต์เดิม ๆ อยู่หลายครั้ง<br />
0 500 1000 1500 2000 2500 3000<br />
กราฟที่ 8 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Malware URL สูงที่สุด
55<br />
brm3.go.th<br />
ru.ac.th<br />
cad.go.th<br />
moph.go.th<br />
pkn2.go.th<br />
swu.ac.th<br />
doae.go.th<br />
kku.ac.th<br />
psu.ac.th<br />
เมื่อพิจารณา โดเมนเนม ที่มีจำนวนรายงาน URL ของการ<br />
โจมตีประเภท Web Defacement สูงสุด 10 อันดับแรก จะพบ<br />
ว่าเป็นเว็บไซต์ของหน่วยงานภาครัฐ และภาคการศึกษาอย่าง<br />
ละครึ่ง โดยอันดับหนึ่งเป็นเว็บไซต์สำนักงานเขตพื้นที่การศึกษา<br />
ประถมศึกษาบุรีรัมย์ เขต 3 (brm3.go.th) รองลงมาคือเว็บไซต์<br />
ของมหาวิทยาลัยรามคำแหง (ru.ac.th) และกรมตรวจบัญชี<br />
สหกรณ์ (cad.go.th) ตามลำดับ นอกจากนี้ยังพบหน่วยงานสำคัญ<br />
อย่างเช่น สำนักงานปลัดกระทรวงสาธารณสุข (ru.ac.th) และ<br />
กรมส่งเสริมการเกษตร (doae.go.th) อยู่ในรายการด้วย ทั ้งนี้<br />
ผู้ไม่หวังดีที่โจมตีเว็บไซต์แทบทั้งหมด เป็นกลุ่มแฮกเกอร์จาก<br />
ต่างประเทศที่มีจุดมุ่งหมายในการสร้างชื่อเสียงให้กับตนเอง โดยไม่<br />
ได้มีเป้าหมายจะโจมตีเว็บไซต์แห่งใดแห่งหนึ่งอย่างเฉพาะเจาะจง<br />
แต่เน้นไปที่จำนวนเว็บไซต์ที่สามารถเจาะระบบได้<br />
ku.ac.th<br />
0 20 40 60 80 100 120 140 160<br />
กราฟที่ 9 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Web Defacement สูงที่สุด
56<br />
ajstar.co.th<br />
phayathai-police.com<br />
worldpump-wpm.com<br />
เมื่อพิจารณา โดเมนเนม ที่มีจำนวนรายงาน URL ของการโจมตีประเภท Phishing สูงสุด<br />
10 อันดับแรกจะพบว่า เกือบทั้งหมดเป็นเว็บไซต์ของหน่วยงานภาคเอกชน ยกเว้นเว็บไซต์ของ<br />
สถานีตำรวจนครบาลพญาไท (phayathai-police.com) และเว็บไซต์งานทะเบียนและวัดผล<br />
โรงเรียนกรุงเทพคริสเตียนวิทยาลัย (61.19.58.247)<br />
gnetmobile.com<br />
61.19.58.247<br />
cancluster.com<br />
mywater.in.th<br />
idtecresume.com<br />
DOMAIN<br />
baanaree.net<br />
gpadtablet.com<br />
0 50 100 150 200 250 300 350 400<br />
กราฟที่ 10 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Phishing สูงที่สุด<br />
NAME
57<br />
3.1.1.4 Spam, Brute Force และ<br />
Scanning<br />
ภัยคุกคามประเภท Spam ที่ไทยเซิร์ต<br />
ได้รับแจ้งในปี 2556 เมื่อนับจำนวนรายงาน<br />
ตามหมายเลขไอพีที่ไม่ซ้ำแล้ว พบว่าได้รับ<br />
แจ้งเฉลี่ยต่อวันเกือบ 8,000 หมายเลขไอพี<br />
อย่างไรก็ตาม ไทยเซิร์ตได้รับแจ้งข้อมูลประเภท<br />
Spam ครั้งสุดท้ายในช่วงเดือนกันยายน 2556<br />
ส่วนภัยคุกคามประเภท Brute Force ที่ได้รับ<br />
แจ้งนั้น พบว่าวันที่ได้รับรายงานมากที่สุดเมื่อ<br />
นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำมีจำนวน<br />
21 หมายเลขไอพี โดยรายงานทั้งหมดเป็นการ<br />
โจมตีบริการ SSH ของเครื่องเป้าหมาย<br />
กราฟที่ 11 10 อันดับแรกของหมายเลขพอร์ตที่ถูกสแกนสูงสุด นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
4899/tcp: 58.4%<br />
3389/tcp: 22.1%<br />
22/tcp: 8.8%<br />
445/tcp: 4.1%<br />
23/tcp: 1.9%<br />
80/tcp: 1.5%<br />
5900/tcp: 0.7%<br />
1433/tcp: 0.3%<br />
139/tcp: 0.3%<br />
25/tcp: 0.3%<br />
(Other): 1.6%<br />
<br />
<br />
<br />
<br />
<br />
ภัยคุกคามประเภท Spam<br />
ที่ไทยเซิร์ตได้รับแจ้งใน<br />
ปี 2556 เฉลี่ยต่อวันเกือบ <br />
8,000<br />
หมายเลขไอพี
58<br />
หมายเลขพอร์ต<br />
4899/tcp<br />
3389/tcp<br />
22/tcp<br />
445/tcp<br />
23/tcp<br />
80/tcp<br />
5900/tcp<br />
1433/tcp<br />
139/tcp<br />
25/tcp<br />
รายละเอียด<br />
Attacks on Radmin remote<br />
administration tool<br />
Attacks on RDP<br />
Attacks on SSH<br />
Attacks on Windows RPC<br />
Attacks on Telnet<br />
Attacks on web applications<br />
Attacks on VNC<br />
Attacks on MS SQL<br />
Attacks on NetBIOS<br />
Attacks on SMTP<br />
สำหรับภัยคุกคามประเภท Scanning ซึ่ง<br />
เครื่องคอมพิวเตอร์ในประเทศไทยเป็นผู้ทำการ<br />
สแกนหมายเลขพอร์ตของเครื่องคอมพิวเตอร์<br />
ในต่างประเทศนั้น พบว่า 3 อันดับแรกของ<br />
หมายเลขพอร์ตที่ตกเป็นเป้าหมายในการสแกน<br />
สูงที่สุด ได้แก่ 4899/tcp (Radmin), 3389/<br />
tcp (RDP) และ 22/tcp (SSH) เป็นหมายเลข<br />
พอร์ตของบริการควบคุมดูแลระบบจากระยะ<br />
ไกล (Remote Administration) ทั้งสิ้น รวม<br />
กันเกือบ 90%<br />
ภัยคุกคามประเภท<br />
Scanning หมายเลข<br />
พอร์ตที่ตกเป็นเป้าหมาย<br />
ในการสแกนสูงที่สุด ได้แก่<br />
Remote Administration<br />
ทั้งสิ้น รวมกันเกือบ <br />
90%<br />
ตารางที่ 2 คำอธิบายของหมายเลขพอร์ตที่ถูกสแกน
59<br />
3.1.2 สถิติภัยคุกคามที่ได้รับการ<br />
ประสานเพื่อรับมือและจัดการโดย<br />
ไทยเซิร์ต<br />
นอกจากการรับรายงานผ่านระบบอัตโนมัติ<br />
แล้ว ไทยเซิร์ตยังรับแจ้งเหตุภัยคุกคามผ่านทาง<br />
โทรศัพท์และอีเมลโดยตรง ซึ่งจะมีเจ้าหน้าที่<br />
ผู้ประสานงานรับมือและจัดการภัยคุกคามโดย<br />
เฉพาะ โดยในปี พ.ศ. 2556 ไทยเซิร์ตได้เริ่ม<br />
นำรายงานประเภทการบุกรุกหรือเจาะระบบ<br />
ได้สำเร็จ (Intrusions) ที่ได้รับแจ้งจากระบบ<br />
อัตโนมัติ มาวิเคราะห์และประสานงานไปยัง<br />
ผู้ที่เกี่ยวข้องเพื่อแก้ไขเหตุภัยคุกคามที่เกิดขึ้น<br />
3500<br />
3000<br />
2500<br />
2000<br />
1500<br />
1000<br />
500<br />
0<br />
2547 2548 2549 2550 2551 2552 2553 2554 2555 2556<br />
จากสถิติเหตุภัยคุกคาม ที่ไทยเซิร์ตได้<br />
รับแจ้งโดยตรงในปี 2556 พบว่า ไทยเซิร์ต<br />
ได้รับแจ้งภัยคุกคามทั้งหมด 1,745 รายการ<br />
เพิ่มขึ้นจากปีที่แล้วประมาณ 2 เท่าเมื่อเทียบ<br />
กับปีก่อนหน้าที่ได้รับแจ้งภัยคุกคามทั้งหมด<br />
792 รายการ และมีแนวโน้มว่าจำนวนเหตุภัย<br />
คุกคามที่ได้รับแจ้งจะเพิ่มขึ้นทุกปี<br />
กราฟที่ 12 จำนวนเหตุภัยคุกคามที่ไทยเซิร์ตดำเนินการระหว่างปี 2547 - 2556
60<br />
กราฟที่ 13 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556<br />
Fraud: 39.8%<br />
Intrusions: 36.2%<br />
Intrusion attempts: 18.1%<br />
Malicious code: 4.1%<br />
Abusive content: 0.7%<br />
Availability: 0.6%<br />
Information gathering: 0.5%<br />
เมื่อพิจารณาเฉพาะเหตุภัยคุกคาม ที่ได้<br />
รับแจ้งในปี 2556 จะพบว่า ภัยคุกคามที่ได้<br />
รับแจ้งมากที่สุดยังคงเหมือนกับปีที่แล้ว คือ<br />
ประเภท Fraud กว่า 40% หรือคิดเป็นจำนวน<br />
694 รายการ เพิ่มขึ้นจากปีที่แล้ว 160 รายการ<br />
รองลงมาคือ Intrusions ด้วยสัดส่วน 36%<br />
หรือคิดเป็นจำนวน 631 รายการ จะเห็นได้<br />
ว่า รายงานภัยคุกคามส่วนใหญ่เป็นเรื่องของ<br />
การเจาะระบบเว็บไซต์ เห็นได้จากภัยคุกคาม<br />
ประเภท Fraud ซึ่งเป็นการโจมตีในรูปแบบ<br />
ของ Phishing และ Intrusions ซึ่งเป็นการ<br />
โจมตีในรูปแบบ Web Defacement รวมกัน<br />
แล้วคิดเป็นสัดส่วนสูงถึง 76% ของรายงานที่<br />
ได้รับทั้งหมด<br />
ภัยคุกคามที่ได้รับแจ้งในปี<br />
2556 การโจมตีในรูปแบบ<br />
Web Defacement <br />
รวมกันแล้วคิดเป็น<br />
สัดส่วนสูงถึง<br />
76% <br />
ของรายงานที่ได้รับทั้งหมด
61<br />
1000<br />
800<br />
Abusive content<br />
Availability<br />
Fraud<br />
Information gathering<br />
Intrusion attempts<br />
Intrusions<br />
Malicious code<br />
600<br />
400<br />
200<br />
0<br />
ThaiCERT<br />
United<br />
States<br />
Brazil Australia Canada Denmark Malaysia Thailand Japan Spain<br />
ผู้แจ้ง สัดส่วน ผู้เสียหาย สัดส่วน ผู้โจมตี สัดส่วน<br />
ในประเทศ 257 37.03% 14 2.02% 674 97.54%<br />
ต่างประเทศ 457 62.97% 677 97.55% 15 2.17%<br />
ระบุไม่ได้ 0 0% 3 0.43% 2 0.29%<br />
กราฟที่ 14 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 จำแนกตามประเทศของผู้แจ้ง ตารางที่ 3 ข้อมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud จำแนกตามผู้เกี่ยวข้องและแหล่งที่มาของผู้เกี่ยวข้อง<br />
ในขณะเดียวกัน เมื่อจำแนกรายงานภัยคุกคามที่ไทยเซิร์ตได้รับตามประเทศของผู้แจ้งแล้ว<br />
พบว่า สหรัฐอเมริกาเป็นประเทศที่แจ้งรายงานโดยรวมมากที่สุด ซึ่งส่วนใหญ่เป็นรายงาน<br />
ที่เกี่ยวข้องกับภัยคุกคามประเภท Fraud รองลงมาเป็นประเทศบราซิลและออสเตรเลียที่<br />
ได้รับรายงานส่วนใหญ่เกี่ยวกับภัยคุกคามประเภท Intrusion Attempts ส่วนแท่งกราฟ<br />
ของ ไทยเซิร์ตนั้น เป็นจำนวนรายงานภัยคุกคามที่ไทยเซิร์ตแจ้งออกไปยังหน่วยงานที่เกี่ยวข้อง<br />
เมื่อพิจารณาสถิติที่จำแนกรายงานเหตุภัยคุกคามประเภท Fraud ตามประเภทของ<br />
ผู้เกี่ยวข้องและแหล่งที่มาของผู้เกี่ยวข้อง โดยผู้โจมตีคือเว็บไซต์ที่มีหน้าเว็บหลอกลวง และ<br />
ผู้เสียหายคือหน่วยงานที่ถูกแอบอ้างชื่อในการสร้างหน้าเว็บปลอมแล้ว จะพบว่ามีลักษณะ<br />
เหมือนกับปีที่ผ่านมา นั่นคือ ผู้แจ้งเหตุและผู้เสียหายส่วนใหญ่จะอยู่ในต่างประเทศ และ<br />
ผู้โจมตีส่วนใหญ่จะอยู่ภายในประเทศ
62<br />
ผู้แจ้ง สัดส่วน ผู้เสียหาย สัดส่วน ผู้โจมตี สัดส่วน<br />
บุคคล 1 0.14% 0 0% 0 0%<br />
เซิร์ต (CERT)/<br />
หน่วยงานด้านความ<br />
มั่นคง<br />
ปลอดภัยคอมพิวเตอร์<br />
486 70.03% 0 0% 0 0%<br />
ผู้ให้บริการ<br />
อินเทอร์เน็ต<br />
31 4.47% 0 0% 0 0%<br />
บริษัท/ธุรกิจ/เอกชน 176 25.36% 637 91.79% 607 87.64%<br />
สถาบันการศึกษา 0 0% 1 0.14% 46 6.63%<br />
หน่วยงานของรัฐ 0 0% 0 0% 24 3.46%<br />
อื่น ๆ 0 0% 56 8.07% 17 2.45%<br />
ตารางที่ 4 ข้อมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud จำแนกตามผู้เกี่ยวข้องและประเภทหน่วยงาน<br />
ในขณะที่สถิติของเหตุภัยคุกคามประเภท<br />
Fraud เมื่อจำแนกตามผู้เกี่ยวข้องและประเภท<br />
หน่วยงานนั้น พบว่าผู้โจมตีส่วนใหญ่เป็น<br />
เว็บไซต์ของหน่วยงานประเภทบริษัท/ธุรกิจ/<br />
เอกชน ซึ่งเกิดจากผู้ไม่หวังดี เจาะระบบ<br />
เว็บไซต์เพื่อวางหน้าเว็บปลอมแปลง ที่แอบ<br />
อ้าง ชื่อของหน่วยงานอื่น ๆ แสดงให้เห็นว่ามี<br />
เว็บไซต์ของหน่วยงานเหล่านี้ จำนวนไม่น้อย<br />
ที่ยังขาด การดูแลรักษาความมั่นคงปลอดภัย<br />
ที่ดีพอ ผู้เสียหายโดย ส่วนใหญ่ก็ยังคงเป็น<br />
หน่วยงานประเภทบริษัท/ ธุรกิจ/ เอกชน เช่น<br />
เดียวกัน โดยเฉพาะธนาคารและสถาบันการ<br />
เงินต่าง ๆ เนื่องจากผู้ไม่หวังดีมักทำหน้าเว็บ<br />
ปลอมแปลงเลียนแบบเว็บไซต์ของหน่วยงาน<br />
เหล่านี้ เพื่อหลอกลวงเอาข้อมูลส่วนบุคคล<br />
จากผู้ที่ตกเป็นเหยื่อ ไปใช้ในการทำธุรกรรม<br />
ออนไลน์แทน<br />
ภัยคุกคามประเภท Fraud<br />
ผู้เสียหายโดยส่วนใหญ่<br />
เป็นหน่วยงานประเภท<br />
บริษัท/ธุรกิจ/เอกชน โดย<br />
เฉพาะธนาคารและสถาบัน<br />
การเงินต่าง ๆ เนื่องจาก<br />
ผู้ไม่หวังดีมักทำหน้าเว็บ<br />
ปลอมแปลงเลียนแบบเว็บไซต์<br />
ของหน่วยงานเหล่านี้ <br />
เพื่อหลอกลวงเอาข้อมูล<br />
ส่วนบุคคลจากผู้ที่ตกเป็น<br />
เหยื่อไปใช้ในการทำธุรกรรม<br />
ออนไลน์แทน
63<br />
นอกจากนี้ยังพบว่า 19% ของเว็บไซต์ที่ได้รับแจ้งเหตุภัยคุกคามประเภท Fraud และ<br />
Intrusions เคยได้รับแจ้งซ้ำ และเมื่อนำเว็บไซต์ที่เคยได้รับแจ้งซ้ำมาจำแนกตามประเภท<br />
ของเว็บไซต์แล้ว จะพบว่า 41% เป็นเว็บไซต์ของหน่วยงานภาคการศึกษา (.ac.th) รองลง<br />
มาคือเว็บไซต์ของหน่วยงานภาคธุรกิจ (.com) และเว็บไซต์ของหน่วยงานภาครัฐ (.go.th)<br />
ด้วยสัดส่วนที่เท่ากันคือ 23% ซึ่งสาเหตุที่ได้รับการแจ้งซ้ำนั้นอาจเป็นเพราะผู้ดูแลเว็บไซต์<br />
แก้ไขปัญหาเฉพาะหน้าด้วยการลบหน้าเว็บที่มีปัญหา แต่ไม่ได้แก้ไขช่องโหว่ของเว็บไซต์ซึ่ง<br />
เป็นต้นเหตุแท้จริง ทำให้ผู้ไม่หวังดีสามารถกลับมาโจมตีโดยใช้ช่องโหว่เดิมได้อีก หรือหาก<br />
เป็นระบบที่ไม่ได้มีการดูแลรักษาความมั่นคงปลอดภัยที่ดีพอ ผู้ไม่หวังดีก็มีโอกาสที่จะค้นหา<br />
ช่องโหว่อื่นที่ใช้ในการโจมตีได้โดยง่ายเช่นกัน<br />
.ac.th: 73 (41.0%)<br />
.go.th: 41 (23.0%)<br />
.com: 41 (23.0%)<br />
.co.th: 16 (9.0%)<br />
(Other): 7 (3.9%)<br />
กราฟที่ 15 สัดส่วนโดเมนที่ได้ถูกแจ้งซ้ำภัยคุกคามประเภท Fraud และ Intrusion โดยจำแนกตามประเภทของเว็บไซต์
64<br />
400k<br />
200k<br />
100k<br />
40k<br />
20k<br />
10k<br />
4k<br />
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec<br />
Zbot<br />
Citadel<br />
ZeroAccess<br />
กราฟที่ 16 จำนวนรายงานมัลแวร์ที่ได้รับแจ้งจาก Microsoft ในแต่ละเดือนในปี 2556 นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
นอกเหนือจาก การรับแจ้งผ่านช่อง<br />
ทางระบบอัตโนมัติ และทางอีเมลข้าง<br />
ต้นแล้ว ไทยเซิร์ตยังได้ร่วมมือกับบริษัท<br />
Microsoft ในการเป็นศูนย์กลาง ประสาน<br />
งานกับหน่วยงานต่าง ๆ ในประเทศเพื่อ<br />
จัดการกับมัลแวร์ Zbot, Citadel และ<br />
ZeroAccess โดยไทยเซิร์ตได้รับแจ้งหมายเลข<br />
ไอพีในประเทศไทยของ เครื่องคอมพิวเตอร์<br />
ที่ติดมัลแวร์ Zbot ตั้งแต่เดือนกุมภาพันธ์ถึง<br />
กรกฎาคม มัลแวร์ Citadel ตั้งแต่เดือนสิงหาคม<br />
ถึงพฤศจิกายน และ ZeroAccess ตั้งแต่เดือน<br />
ธันวาคมเป็นต้นมา โดยหลังจากที่ไทยเซิร์ตได้<br />
แจ้งเตือนข้อมูลดังกล่าวผ่านทางระบบบริการ<br />
แจ้งข้อมูลภัยคุกคามให้กับผู้ให้บริการเครือข่าย<br />
อินเทอร์เน็ตอัตโนมัติ พบว่าจำนวนหมายเลข<br />
ไอพีที่ได้รับแจ้งมีแนวโน้มที่ลดลง<br />
3.2 ภัยคุกคามที่เป็นกรณีศึกษาที่<br />
ไทยเซิร์ตเข้าไปดเนินการ<br />
ไทยเซิร์ต ให้บริการรับมือและจัดการกับ<br />
ภัยคุกคามกับหน่วยงานของรัฐ และเอกชน<br />
ในขอบเขตการดำเนินงาน ครอบคลุมระบบ<br />
เครือข่ายอินเทอร์เน็ตภายในประเทศไทย และ<br />
ระบบคอมพิวเตอร์ ภายใต้โดเมนเนมของ<br />
ประเทศไทย (.th) ในปี 2556 ไทยเซิร์ต<br />
ได้รับแจ้งหรือตรวจพบภัยคุกคาม และเข้าไป<br />
แก้ไขและระงับเหตุภัยคุกคามที่เกิดขึ้นร่วมกับ<br />
หน่วยงานที่เกี่ยวข้อง ซึ่งสรุปเป็นกรณีศึกษา<br />
ที่น่าสนใจหลายกรณี เช่น การโจมตีเว็บไซต์<br />
ของหน่วยงานสำคัญ การโจมตีผู้ใช้งานระบบ<br />
E-Banking ของธนาคารไทย และการตรวจพบ<br />
ช่องโหว่ของแอปพลิเคชันแชทซึ่งมีผู้ใช้งานใน<br />
ประเทศไทยเป็นจำนวนมาก เป็นต้น
65<br />
3.2.1 กรณีพบการโจมตีเว็บไซต์ที่ใช้<br />
ระบบบริหารจัดการเว็บไซต์ CMS<br />
ของไทย<br />
ในเดือนพฤษภาคม 2556 ไทยเซิร์ต<br />
ได้รับแจ้งกรณีการโจมตีเว็บไซต์ในลักษณะการ<br />
เปลี่ยนแปลงหน้าเว็บไซต์ (Web Defacement)<br />
จำนวนมากถึง 37 เว็บไซต์ เมื่อเปิดเข้าไป<br />
ตรวจสอบเว็บไซต์ดังกล่าว พบว่ามีการแทรก<br />
ข้อความในลักษณะเดียวกันบนหน้าเว็บไซต์ว่า<br />
“THIS SITE HACKED BY Z4R4THUSTR4”<br />
เว็บไซต์ที่ได้รับผลกระทบทั้งหมดเป็นเว็บไซต์<br />
ขององค์การบริหารส่วนตำบลกลุ่มหนึ่ง ที่ใช้<br />
งานระบบบริหารจัดการเว็บไซต์ (Content<br />
Management System - CMS) ชนิดเดียวกัน<br />
เมื่อไทยเซิร์ตใช้ Search Engine เช่น Google.<br />
com ค้นหาข้อมูลเพิ่มเติมก็พบว่ามีเว็บไซต์อื่น<br />
ที่ใช้งาน CMS เช่นเดียวกันนี้อีกจำนวนหนึ่ง<br />
ที่มิได้อยู่ในรายการที่ได้รับแจ้งและได้มีการ<br />
เปลี่ยนแปลงหน้าเว็บไซต์เช่นกัน นอกจากนี้<br />
เมื่อตรวจสอบข้อมูลในเว็บไซต์ของผู้พัฒนา<br />
CMS ดังกล่าว พบว่ามีเว็บไซต์ของหน่วยงาน<br />
ของรัฐอีกมากกว่า 600 เว็บไซต์ที่ใช้งาน CMS<br />
นี้อยู่และมีโอกาสที่จะถูกโจมตีได้<br />
ไทยเซิร์ต ทำการประสานงานไปยังผู้พัฒนา<br />
CMS ดังกล่าว เพื่อแจ้งแนวทางการดำเนินการ<br />
ควบคุมและป้องกันปัญหาที่อาจขยายวงกว้าง<br />
ไปยังเว็บไซต์อื่นที่ใช้งาน CMS ตัวเดียวกันนี้<br />
รวมถึง ได้รับการร้องขอให้ช่วยดำเนินการ<br />
วิเคราะห์ผลกระทบ และช่องโหว่ที่แฮกเกอร์<br />
ใช้ในการโจมตี โดยจากการวิเคราะห์เบื้องต้น<br />
ด้วยข้อมูลบันทึกการเข้าใช้งานเว็บไซต์ (Web<br />
Access Log) ที่ได้รับ พบว่ามีข้อมูลการล็อกอิน<br />
ที่ผิดปกติในสิทธิของผู้ดูแลระบบในทุกเว็บไซต์<br />
ด้วยบัญชีผู้ใช้งานที่เป็นค่าเริ่มต้นของระบบ ซึ่ง<br />
มีแหล่งที่มาตรวจสอบแล้วมาจากต่างประเทศ<br />
และพบรูปแบบการโจมตีเพื่อเข้าถึงฐานข้อมูล<br />
ของเว็บไซต์ รวมถึงเมื่อทำการตรวจสอบช่อง<br />
โหว่ของเว็บไซต์ CMS ดังกล่าว พบช่องโหว่<br />
รุนแรงที่แฮกเกอร์สามารถใช้โจมตีสามารถ<br />
เข้าถึงฐานข้อมูลของเว็บไซต์ได้ทันที<br />
ผลลัพธ์ของการโจมตีจะทำให้แฮกเกอร์ได้<br />
ข้อมูลทั้งหมดที่อยู่ในฐานข้อมูลรวมถึงข้อมูลการ<br />
ล็อกอินที่เป็นบัญชีผู้ใช้งานตั้งต้นของระบบ ซึ่ง<br />
สมมุติฐานและหลักฐานที่มี ทำให้พิจารณาได้ว่า<br />
แฮกเกอร์โจมตีระบบจนได้ข้อมูลการล็อกอิน ที่<br />
เป็นบัญชีผู้ใช้งานตั้งต้นของระบบ จากนั้นจึงเริ่ม<br />
ค้นหาเว็บไซต์ที่ใช้งาน CMS ด้วยรูปแบบบาง<br />
ส่วนและทำการล็อกอินเข้าสู่ระบบ<br />
เพื่อควบคุมเว็บไซต์ต่อไป ซึ่งกรณี<br />
การโจมตีที่พบในครั้งนี้ สามารถ<br />
สรุปได้ว่าปัญหาที่เกิดขึ้นเพราะ<br />
ความหละหลวมในกระบวนการ<br />
บริหารจัดการเว็บไซต์ ในส่วนที่<br />
พบว่าผู้ดูแลไม่ทำการลบบัญชีผู้<br />
ใช้งานที่เป็นค่าตั้งต้นของระบบ<br />
ออก และเกิดจากปัญหาในการ<br />
พัฒนาระบบที่มีไม่มีความมั่นคง<br />
ปลอดภัย ทำให้แฮกเกอร์สามารถ<br />
โจมตี และใช้เป็นควบคุมเว็บไซต์ที่เกี่ยวข้อง<br />
ทั้งหมดได้อย่างง่ายดาย<br />
ไทยเซิร์ต ได้จัดทำเอกสารรายงานการ<br />
ตรวจสอบช่องโหว่พร้อมกับข้อเสนอแนะจาก<br />
เหตุการณ์ที่เกิดขึ้น แจ้งให้ผู้ดูแลระบบและ<br />
ผู้เกี่ยวข้อง เพื่อให้มีแนวทางในการแก้ไขปัญหา<br />
และสามารถรับมือเหตุภัยคุกคามที่จะเกิดขึ้น<br />
ในอนาคตอย่างทันท่วงที<br />
รูปที่ 2 ตัวอย่างเว็บไซต์ที่ถูกโจมตี Web Defacement
66<br />
3.2.2 กรณีแอปพลิเคชันธนาคาร<br />
ออนไลน์ปลอมในระบบปฏิบัติการ<br />
แอนดรอยด์<br />
ในเดือนกุมภาพันธ์ 2556 ได้มีข่าวการ<br />
แพร่ระบาดของ SMS หลอกลวงที่มีเนื้อหาเชิญ<br />
ชวนให้ผู้ใช้งานที่ได้รับ SMS ดังกล่าว ทำการ<br />
ดาวน์โหลดแอปพลิเคชันธนาคารออนไลน์<br />
ซึ่งในภายหลังไทยเซิร์ตตรวจพบแอปพลิเค<br />
ชันปลอมหรือที่เรียกว่าแอปพลิเคชันมัลแวร์<br />
ในช่วงเวลาเดียวกันจำนวน 2 แอปพลิเคชัน<br />
ไทยเซิร์ต ได้ทำการดาวน์โหลด<br />
แอปพลิเคชันมัลแวร์ ดังกล่าวมาตรวจสอบ<br />
และพบว่ามีความพยายามหลอกลวง ผู้ใช้งาน<br />
ในหลายขั้น ตั้งแต่ลิงก์ที่ให้ดาวโหลดไฟล์ที่<br />
มีลักษณะคล้ายกับชื่อเว็บไซต์ ของธนาคาร<br />
นั้น ๆ จริง และเมื่อทำการวิเคราะห์ลึกลงไป<br />
รูปที่ 3 ตัวอย่างแอปพลิเคชันปลอมที่ปรากฏ<br />
ชื่อธนาคารกสิกรไทย<br />
ถึงโครงสร้างทำงาน ของแอปพลิเคชันมัลแวร์<br />
ทั้ง 2 นี้ก็ พบว่ามัลแวร์มีความสามารถ และ<br />
ฟังก์ชันการท ำงานลักษณะเดียวกันทุกประการ<br />
ต่างกันแค่การตั้งค่าชื่อ และรูปของธนาคาร<br />
ที่ใช้ในแอปพลิเคชัน เท่านั้น มัลแวร์มีความ<br />
สามารถ ในการแจ้งข้อมูลการติดมัลแวร์กลับไปยัง<br />
แฮกเกอร์โดยจะส่ง SMS พร้อมรายละเอียดของ<br />
ชื่อเครื่องที่ติดมัลแวร์กลับไปยังหมายเลข<br />
โทรศัพท์หนึ่งในต่างประเทศในครั้งแรกที่ติ<br />
ดมัลแวร์ ฟังก์ชันหลักของมัลแวร์เป็นการขโมย<br />
ข้อมูล SMS จากเครื่องโทรศัพท์ที่ติดมัลแวร์<br />
นั้น สันนิษฐานได้ว่า จุดประสงค์ของการเผย<br />
แพร่มัลแวร์ดังกล่าว เพื่อใช้ในการขโมยข้อมูล<br />
OTP (One-TimePassword) ที่จะส่งผ่าน<br />
ทาง SMS ให้ผู้ใช้งานเมื่อมีการร้องขอการทำ<br />
ธุรกรรมทางการเงิน<br />
จุดประสงค์ของการ<br />
เผยแพร่มัลแวร์ดังกล่าว <br />
เพื่อใช้ในการขโมยข้อมูล OTP<br />
(One-Time Password)<br />
ที่จะส่งผ่านทาง SMS ให้<br />
ผู้ใช้งานเมื่อมีการร้องขอ<br />
การทำธุรกรรมทางการเงิน
67<br />
รูปที่ 5 พฤติกรรมของการส่ง SMS ที่ตรวจสอบได้<br />
รูปที่ 4 โครงสร้างของไฟล์ภายในแอปพลิเคชันปลอม<br />
ไทยเซิร์ตได้ตรวจสอบรวบรวมข้อมูลที่<br />
เกี่ยวข้องทั้งหมด เพื่อหาแนวทางป้องกันมิ<br />
ให้ปัญหาภัยคุกคามนี้ขยายวงกว้าง รวมถึง<br />
วิเคราะห์การทำงานของแอปพลิเคชันดังกล่าว<br />
อย่างละเอียด และเผยแพร่บทความแจ้งเตือน<br />
ภัยคุกคามบนเว็บไซต์ไทยเซิร์ต พร้อมทั้งได้มี<br />
การประสานงานกับธนาคารที่เกี่ยวข้อง เพื่อ<br />
แจ้งสถานการณ์ของปัญหาที่เกิดขึ้น รวมถึงมี<br />
การแจ้งแนวทางการรับมือกับปัญหาภัยคุกคาม<br />
ดังกล่าวให้กับหน่วยงานที่เกี่ยวข้องทราบต่อไป
68<br />
3.2.3 กรณีเว็บไซต์สนักข่าว<br />
หลายแห่งในประเทศไทยถูกเจาะ<br />
ฝังโทรจันที่หลอกให้ดาวน์โหลด<br />
แอนตี้ไวรัสปลอม<br />
ในเดือนมิถุนายน 2556 ไทยเซิร์ตได้รับ<br />
แจ้งจากหน่วยงานในเครือข่าย ว่าพบความผิด<br />
ปกติบนหน้าเว็บไซต์ของสำนักข่าวแห่งหนึ่งใน<br />
ประเทศไทย โดยผู้ใช้งานจะได้รับแจ้งเตือนผ่าน<br />
โปรแกรมเว็บเบราว์เซอร์ว่าเว็บไซต์เหล่านี้มีการ<br />
ตรวจพบการเผยแพร่โปรแกรมไม่พึงประสงค์<br />
หรือที่เรียกว่ามัลแวร์ ซึ่งเมื่อมีการตรวจสอบ<br />
สถิติการเข้าใช้งานเว็บไซต์เหล่านี้จากบริการ<br />
บนนเทอร์เน็ต เช่น จากเว็บไซต์ Truehits.<br />
net พบว่าเว็บไซต์เหล่านี้ได้รับความนิยมสูง<br />
มีอัตราผู้เข้าชมต่อวันหลายหมื่นครั้ง ซึ่งเป็น<br />
ไปได้สูงที่จะตกเป็นเป้าหมายในการโจมตีและ<br />
ใช้เป็นฐานในการเผยแพร่มัลแวร์ ซึ่งในอีกนัย<br />
หนึ่งแสดงว่าผู้ใช้งานกลุ่มใหญ่ที่กำลังตกอยู่ใน<br />
ความเสี่ยงที่จะติดมัลแวร์ได้<br />
ไทยเซิร์ต ทำการวิเคราะห์การทำงาน<br />
ของเว็บไซต์ดังกล่าว สามารถพิสูจน์ยืนยันได้<br />
ว่าเว็บไซต์เหล่านี้มีการทำงานในลักษณะของ<br />
การเผยแพร่มัลแวร์อยู่จริง โดยรูปแบบของการ<br />
ติดมัลแวร์จากเว็บไซต์ซึ่งส่งผลกระทบกับผู้ใช้<br />
งานระบบปฏิบัติการ Windows ที่มีการใช้<br />
งานโปรแกรมเสริมบางตัว ซึ่งโปรแกรมเสริม<br />
ดังกล่าว เป็นโปรแกรมในเวอร์ชันที่มีช่องโหว่<br />
รวมถึง ไทยเซิร์ตยังวิเคราะห์พฤติกรรมการ<br />
ทำงานของมัลแวร์ตัวดังกล่าว และพบว่ามัลแวร์<br />
มีความสามารถในการดาวน์โหลดมัลแวร์อื่น ๆ<br />
มาติดตั้ง และมีฟังก์ชันในการขโมยข้อมูล รวม<br />
ถึงสามารถผนวกการทำงานเข้าไปกับโปรแกรม<br />
เว็บเบราว์เซอร์ เพื่อสั่งการให้เว็บเบราว์เซอร์<br />
แสดงผลหน้าเว็บไซต์ตามที่ต้องการได้ ในกรณี<br />
นี้มัลแวร์ได้รับการตั้งค่าให้ทำการเปลี่ยนแปลง<br />
หน้าเว็บไซต์ของ ธนาคารออนไลน์หลายแห่ง<br />
ในประเทศไทย โดยมีการเพิ่มข้อความเชิญ<br />
ชวนและหลอกลวงให้ผู้ใช้งานดาวน์โหลดและ<br />
ติดตั้งโปรแกรมแอนตี้ไวรัสปลอมบนโทรศัพท์<br />
มือถือ ซึ่งโปรแกรมแอนตี้ไวรัสปลอมดังกล่าว<br />
จะลักลอบขโมยข้อมูล OTP สำหรับการเข้าใช้<br />
งานระบบทำธนาคารออนไลน์ต่อไป<br />
รูปที่ 6 การดาวน์โหลด Java Applet ไม่พึงประสงค์
69<br />
ในกรณีนี้มัลแวร์ได้รับการ<br />
ตั้งค่าให้ทำการเปลี่ยนแปลงหน้า<br />
เว็บไซต์ของธนาคารออนไลน์<br />
หลายแห่งในประเทศไทย โดยมี<br />
การเพิ่มข้อความเชิญชวนและ<br />
หลอกลวงให้ผู้ใช้งานดาวน์โหลด<br />
และติดตั้งโปรแกรมแอนตี้ไวรัส<br />
ปลอมบนโทรศัพท์มือถือ ซึ่ง<br />
โปรแกรมแอนตี้ไวรัสปลอม<br />
ดังกล่าวจะลักลอบขโมยข้อมูล<br />
OTP สำหรับการเข้าใช้งานระบบ<br />
ทำธนาคารออนไลน์ต่อไป ทั้งนี้ จากการประเมินสาเหตุของปัญหา<br />
ที่พบ อาจพิจารณาได้ว่ามีส่วนประกอบของ<br />
ปัญหาหลายส่วน ทั้งส่วนที่เกิดจากเว็บไซต์ของ<br />
สำนักข่าวมีช่องโหว่ ทำให้แฮกเกอร์สามารถเข้า<br />
ควบคุมเว็บไซต์และใช้เป็นแหล่งเผยแพร่มัลแวร์<br />
ได้ และส่วนที่เป็นผลกระทบต่อเนื่องจากผู้ใช้<br />
รูปที่ 7 เว็บไซต์ของธนาคารที่ถูกเพิ่มเนื้อหาเข้าไปโดยโปรแกรมไม่พึงประสงค์<br />
งานไม่มีการอัปเดตโปรแกรมเสริมที่ใช้งาน เมื่อผู้<br />
ใช้งานมีการเปิดเว็บไซต์ดังกล่าว จึงทำให้มัลแวร์<br />
สามารถติดตั้งตัวเองลงในระบบคอมพิวเตอร์<br />
ได้ทันที จากสถานการณ์ดังกล่าว ไทยเซิร์ต<br />
ได้ทำการประสานงานและแจ้งรายละเอียด<br />
ทั้งหมดที่พบ เกี่ยวกับการเผยแพร่มัลแวร์ให้<br />
กับสำนักข่าวดังกล่าว พร้อมกันนี้ยังมีการ<br />
ประสานกับผู้ให้บริการโทรศัพท์มือถือเพื่อ<br />
ระงับการส่ง SMS ไปยังหมายเลขต่างประเทศ<br />
ปลายทางที่ถูกพบบนแอปพลิเคชันแอนตี้<br />
ไวรัสปลอมของผู้ไม่หวังดี และประสานกับ<br />
ผู้ให้บริการจดทะเบียน Domain ของต่าง<br />
ประเทศเพื่อระงับการใช้งาน โดเมนเนม<br />
ที่เกี่ยวข้องกับการโจมตีทั้งหมด และจัดทำ<br />
บทความแจ้งเตือน เผยแพร่บนเว็บไซต์ของ<br />
ไทยเซิร์ต และแนะนำวิธีการตรวจสอบและ<br />
แก้ไขปัญหาที่เกี่ยวข้องในทันที
70<br />
3.2.4 กรณีไทยเซิร์ตพบช่องโหว่ของ<br />
แอปพลิเคชัน LINE สามารถดักรับ<br />
ข้อมูลบนเครือข่าย LAN/WiFi<br />
ในเดือนพฤศจิกายน 2556 ทีมวิจัยของ<br />
ไทยเซิร์ต ได้ทำการตรวจวิเคราะห์การทำงาน<br />
ของแอปพลิเคชัน LINE ซึ่งเป็นแอปพลิเคชัน<br />
ประเภทการสื่อสารที่มีการใช้งานกันอย่างแพร่<br />
หลายในประเทศไทย โดยพบว่าแอปพลิเคชัน<br />
LINE ที่ทำงานบนระบบปฏิบัติการ Windows<br />
รูปที่ 8 แสดงการจำลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ผู้ใช้งานแอปพลิเคชัน<br />
LINE บนระบบปฏิบัติการ Windows เมื่อมีการส่งข้อความ<br />
(ยกเว้น Windows 8) และ Mac OS นั้น มี<br />
ช่องโหว่ทำให้แฮกเกอร์สามารถดักรับและอ่าน<br />
ข้อมูลการสนทนาที่ส่งผ่านเครือข่าย LAN/<br />
WiFi ได้ทันที ถึงแม้ว่าแอปพลิเคชัน LINE ใน<br />
เวอร์ชันที่ใช้งาน จะมีฟังก์ชันเข้ารหัสลับแล้ว<br />
ก็ตาม ทั้งนี้ช่องโหว่ดังกล่าวยังทำให้แฮกเกอร์<br />
สามารถเปลี่ยนแปลงข้อมูลที่รับส่งระหว่างผู้ใช้<br />
งานระหว่างทางได้อีกด้วย ปัญหาของช่องโหว่<br />
อยู่ที่ฝั่งแอปพลิเคชัน LINE ซึ่งไม่มีการตรวจ<br />
สอบความถูกต้อง ของการเชื่อมต่อกับเครื่อง<br />
ให้บริการ ว่ามีการดักรับข้อความอยู่ระหว่าง<br />
ทางหรือไม่ เป็นผลให้แฮกเกอร์สามารถโจมตี<br />
ผู้ใช้งานด้วยการดักรับข้อมูลบนเครือข่ายและ<br />
ใช้เทคนิคการโจมตีบางประเภทเพื่อถอดรหัส<br />
ลับข้อความได้ และสืบเนื่องจากช่องโหว่<br />
ดังกล่าวยังไม่เคยมีการพบ หรือเผยแพร่ที ่ใด<br />
มาก่อน จึงไม่พบรายงานความเสียหายที่เกิด<br />
ขึ้นจากช่องโหว่ดังกล่าวบนแหล่งข้อมูลบน<br />
อินเทอร์เน็ตหรือจากแหล่งข่าวใด<br />
รูปที่ 9 แสดงหน้าต่างแจ้งเตือนการอัปเดต
71<br />
ไทยเซิร์ต ได้รวบรวมข้อมูลและประสาน<br />
งานแจ้งปัญหาเกี่ยวกับช่องโหว่ไปยังผู้พัฒนา<br />
แอปพลิเคชัน LINE ในประเทศญี่ปุ่น ซึ่ง<br />
ภายหลังได้มีการแก้ไขปัญหาช่องโหว่ และ<br />
เผยแพร่อัปเดตของแอปพลิเคชัน LINE<br />
ดังกล่าวเป็นที่เรียบร้อยแล้ว อย่างไรก็ตาม<br />
ผู้ใช้งานจำเป็นต้องดาวน์โหลด และอัปเดต<br />
แอปพลิเคชัน LINE ด้วยตนเอง โดยไทยเซิร์ต<br />
ได้จัดทำบทความวิเคราะห์และเผยแพร่ให้ผู้ใช้<br />
งานได้รับทราบถึงสถานการณ์ของปัญหา รวมถึง<br />
วิธีการอัปเดตแอปพลิเคชัน LINE และปัจจุบัน<br />
หน่วยงาน MITRE ซึ่งทำงานดูแลเกี่ยวกับการ<br />
ขึ้นทะเบียนข้อมูลช่องโหว่ หรือที่รู้จักบริการที่<br />
อยู่ในความดูแลเกี่ยวกับฐานข้อมูลช่องโหว่ชื่อ<br />
ว่า CVE ได้ทำการออกหมายเลขอ้างอิงกำกับ<br />
สำหรับกรณีช่องโหว่ดังกล่าว รวมถึงอ้างอิง<br />
รายละเอียดเพิ่มเติมกลับมายังบทความบน<br />
เว็บไซต์ไทยเซิร์ตอีกด้วย<br />
ไทยเซิร์ต ได้รวบรวมข้อมูล<br />
และประสานงานแจ้งปัญหา<br />
เกี่ยวกับช่องโหว่ไปยัง<br />
ผู้พัฒนาแอปพลิเคชัน LINE<br />
ในประเทศญี่ปุ่น ซึ่งภายหลัง<br />
ได้มีการแก้ไขปัญหาช่องโหว่<br />
และเผยแพร่อัปเดตของ<br />
แอปพลิเคชัน LINE ดังกล่าว<br />
เป็นที่เรียบร้อยแล้ว
72<br />
3.2.5 กรณี Web Defacement<br />
หน่วยงานสคัญในประเทศ<br />
จากสถานการณ์ภัยคุกคามประเภท Web<br />
Defacement ที่ไทยเซิร์ตทำการรวบรวมในปี<br />
2556 พบว่าการโจมตีที่เกิดขึ้นส่วนใหญ่อยู่ใน<br />
หน่วยงานของรัฐ (go.th) เป็นจำนวนสูงสุด<br />
1,929 รายการ (คิดเป็นร้อยละ 44.6) รองลง<br />
มาเป็นสถาบันการศึกษา (ac.th) มีจำนวน<br />
1,515 รายการ (คิดเป็นร้อยละ 35) โดย<br />
เมื่อพิจารณาสถิติการโจมตีในลักษณะ Web<br />
Defacement ที่เกิดขึ้นในหน่วยงานของรัฐ<br />
เทียบกับประเทศต่าง ๆ ในภูมิภาคอาเซียน<br />
แล้ว พบว่าประเทศไทยติดอยู่ในอันดับแรก<br />
ของการถูกโจมตีในลักษณะนี้<br />
จากสถานการณ์ดังกล่าวมีความสอดคล้อง<br />
กับกรณีที่ไทยเซิร์ตได้รับแจ้งเหตุกรณี Web<br />
Defacement ที่อยู่ในหน่วยงานของรัฐ<br />
ที่มีความสำคัญหลายแห่ง เช่น เว็บไซต์<br />
กระทรวงศึกษาธิการ เว็บไซต์สำนักนายก<br />
รัฐมนตรี เว็บไซต์กระทรวงวัฒนธรรม เว็บไซต์<br />
คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์<br />
เป็นต้น ส่วนใหญ่พบว่า เป็นการโจมตีโดยมี<br />
จุดประสงค์ ที่คล้ายคลึงกันสองประการคือ<br />
1) ต้องการประกาศตนว่าตนนั้นมีความสามารถ<br />
ที่จะโจมตีและเข้าควบคุมระบบใด ๆ ก็ได้สำเร็จ<br />
หรือ 2) สร้างสถานการณ์ให้เกิดความเข้าใจผิด<br />
และมีจุดประสงค์เพื่อต้องการให้หน่วยงาน<br />
นั้น ๆ เกิดความเสื่อมเสียชื่อเสียงและหมด<br />
ความน่าเชื่อถือไปด้วย ซึ่งหลายครั้งที่ไทยเซิร์ต<br />
ได้รับการประสานโดยตรงจากหน่วยงานที่ถูก<br />
โจมตี ซึ่งมักจะมาในรูปแบบของการขอให้<br />
ทำการวิเคราะห์การโจมตีที่เกิดขึ้น การตรวจ<br />
สอบปัญหาช่องโหว่ของระบบ รวมถึงขอให้ช่วย<br />
นำเสนอแนวทางการแก้ไขปัญหาโจมตีที่เกิดขึ้น<br />
Thailand (.go.th): 50.8%<br />
Indonesia (.go.id): 30.6%<br />
Malaysia (.gov.my): 6.4%<br />
Vietnam (.gov.vn): 6.0%<br />
Philippines (.gov.ph): 5.3%<br />
Brunei (.gov.bn): 0.4%<br />
Myanmar (.gov.mm): 0.3%<br />
Cambodia (.gov.kh): 0.2%<br />
Laos (.gov.la): < 0.1%<br />
Singapore (.gov.sg): < 0.1%<br />
กราฟที่ 17 สถิติภัยคุกคามประเภท Web Defacement จำแนกเฉพาะหน่วยงานของรัฐในภูมิภาคอาเซียนในปี 2556
73<br />
ให้กับหน่วยงาน ซึ่งจากการวิเคราะห์แนวโน้ม<br />
การโจมตีในกลุ่มหน่วยงานที่มีความสำคัญนี้<br />
พบลักษณะที่น่าสนใจหลายประการ ตัวอย่าง<br />
เช่น การโจมตีที่เกิดขึ้นกับเว็บแอปพลิเคชัน<br />
ที่มีช่องโหว่เป็นหลัก ในระหว่างการโจมตีมี<br />
ความพยายามใช้เทคนิคซ่อนตัวเพื่อป้องกัน<br />
การตรวจสอบแหล่งที่มา มีการเว้นระยะการ<br />
โจมตีออกเป็นช่วง ๆ เพื่อให้ยากแก่การตรวจ<br />
สอบ มีการพยายามขโมยข้อมูลสำคัญออกจาก<br />
ฐานข้อมูลของระบบ เช่น ข้อมูลบัญชีผู้ใช้งาน<br />
รหัสผ่าน เป็นต้น รวมถึงพบการเปิดช่องทางที่<br />
จะทำให้แฮกเกอร์สามารถกลับเข้ามาควบคุม<br />
ระบบซ้ำได้อีก (Backdoor)<br />
.go.th: 1,929 (44.6%)<br />
.ac.th: 1515 (35.0%)<br />
.co.th: 602 (13.9%)<br />
.in.th: 216 (5.0%)<br />
.or.th: 56 (1.3%)<br />
.mi.th: 6 (0.1%)<br />
กราฟที่ 18 สถิติภัยคุกคามประเภท Web Defacement ปี 2556 จำแนกตามประเภทหน่วยงาน (เฉพาะ .th)<br />
ไทยเซิร์ต ได้รับแจ้งเหตุกรณี Web Defacement ที่อยู่<br />
ในหน่วยงานของรัฐที่มีความสำคัญหลายแห่ง ซึ่งจากที่พบ<br />
ส่วนใหญ่เป็นการโจมตีโดยมีจุดประสงค์ที่คล้ายคลึงกัน<br />
สองประการคือ 1) ต้องการประกาศตนว่าตนนั้นมีความ<br />
สามารถที่จะโจมตีและเข้าควบคุมระบบใด ๆ ก็ได้สำเร็จ หรือ<br />
2) สร้างสถานการณ์ให้เกิดความเข้าใจผิด และมีจุดประสงค์<br />
และมีจุดประสงค์เพื่อต้องการให้หน่วยงานนั้น ๆ เกิดความ<br />
เสื่อมเสียชื่อเสียงและหมดความน่าเชื่อถือไปด้วย
74<br />
รูปที่ 10 ตัวอย่างการโจมตีในลักษณะ Web Defacement กับเว็บไซต์ของกระทรวงศึกษาธิการ<br />
จากสถานการณ์ Web Defacement ที่<br />
เกิดขึ้นมาตลอดปี 2556 ทำให้สามารถสรุป<br />
ภาพรวมของปัญหาได้ว่า ปัญหาส่วนใหญ่ที่พบ<br />
เกิดจากการที่หน่วยงานยังขาดความตระหนัก<br />
เกี่ยวกับการรักษาความมั่นคงปลอดภัยด้าน<br />
สารสนเทศ การขาดกระบวนการรับมือเหตุภัย<br />
คุกคาม รองลงมาคือส่วนผู้ดูแลรับผิดชอบของ<br />
หน่วยงานขาดความรู้ความเข้าใจเกี่ยวกับการ<br />
ทำงานของระบบที่อยู่ในความรับผิดชอบ ซึ่ง<br />
มักจะส่งผลกระทบโดยตรงต่อการแก้ไขปัญหา<br />
จากที่ผ่านมามีหน่วยงานเป็นจำนวนมากที่ได้<br />
รับแจ้งเหตุภัยคุกคามจากไทยเซิร์ต ว่าระบบ<br />
ของหน่วยงานนั้น ๆ ถูกโจมตีและถูกควบคุม<br />
แต่หน่วยงานไม่สามารถดำเนินการแก้ไขปัญหา<br />
ใด ๆ ได้ และมักแสดงเหตุผลที่สอดคล้องกัน<br />
ว่าหน่วยงานจัดหาโปรแกรมหรือมีการจ้างผู้<br />
พัฒนาจากภายนอก เพื่อมาพัฒนาระบบเป็น<br />
เวลานานแล้ว และปัจจุบันไม่มีทีมงานที่จะ<br />
สามารถแก้ไขปัญหาดังกล่าวได้ ซึ่งในอีกนัย<br />
หนึ่งเท่ากับเว็บไซต์เหล่านี้กำลังเตรียมพร้อม<br />
ที่จะถูกโจมตีซ้ำแล้วซ้ำอีก หรือกำลังเตรียม<br />
ที่จะใช้เป็นเครื่องมือสำหรับโจมตีผู้อื่นได้ใน<br />
ทันที โดย ไทยเซิร์ต สพธอ. ได้เล็งเห็นความ<br />
สำคัญของปัญหาในส่วนนี้เป็นอย่างมาก จึง<br />
ได้ร่วมกันจัดทำร่างมาตรฐานด้านความมั่นคง<br />
ปลอดภัยเกี่ยวกับการพัฒนาเว็บแอปพลิเคชัน<br />
มีเนื้อหาครอบคลุมการพัฒนาเว็บแอปพลิเคชัน<br />
การดูแล/บริหารเว็บแอปพลิเคชัน รวมถึงการ<br />
เผยแพร่บทความสำคัญเกี่ยวกับการรับมือภัย<br />
คุกคามที่เกี่ยวข้อง
75<br />
3.2.6 กรณีการตรวจพิสูจน์<br />
พยานหลักฐานเครื่อง BitTorrent<br />
Server<br />
ในปี 2556 ศูนย์ดิจิทัลฟอเรนสิกส์ (Digital<br />
Forensics Center) ของไทยเซิร์ต ได้รับคำ<br />
ร้องขอจากหน่วยงานรักษากฎหมายแห่งหนึ่งให้<br />
ช่วยตรวจสอบวิเคราะห์ความสัมพันธ์ ระหว่าง<br />
เครื่อง BitTorrent Server กับไฟล์ .torrent<br />
จำนวนหนึ่งที่ระบุว่าได้ดาวน์โหลดมาจากเครื่อง<br />
Server ข้างต้น และไฟล์ .torrent เหล่านี้<br />
สามารถใช้ดาวน์โหลดเพลงที่ละเมิดลิขสิทธิ์ได้<br />
และหน่วยงานรักษากฎหมายต้องการให้ศูนย์<br />
ดิจิทัลฟอเรนสิกส์ยืนยันว่าไฟล์ .torrent ที่อ้าง<br />
ถึง ดาวน์โหลดมาจาก BitTorrent Server ดัง<br />
กล่าว และสามารถใช้ในการดาวน์โหลดเพลง<br />
ละเมิดลิขสิทธิ์ได้จริง<br />
พยานหลักฐานที่ศูนย์ดิจิทัลฟอเรนสิกส์<br />
ได้รับมา ประกอบด้วย<br />
• เครื่อง BitTorrent Server ที่เปิด<br />
ให้บริการเว็บไซต์ BitTorrent<br />
• ไฟล์ .torrent จานวนหนึ่งที่ระบุว่า<br />
ได้ดาวน์โหลดมาจากเว็บไซต์<br />
ดังกล่าว<br />
• ภาพ Screenshot หน้าเว็บไซต์<br />
BitTorrent ที่บันทึกมาจากหน้าจอ<br />
ของ Browser ก่อนที่จะดาวน์โหลด<br />
ไฟล์ .torrent<br />
• ตัวอย่างไฟล์เพลง/ภาพยนตร์<br />
ที่ระบุว่าดาวน์โหลดได้จากไฟล์<br />
.torrent<br />
จากการตรวจสอบไฟล์ .torrent ที่ได้รับ<br />
มา กับไฟล์ .torrent ที่พบในเครื่อง BitTorrent<br />
Server พบว่ามีขนาดและเนื้อหาบางส่วนใน<br />
ไฟล์ที่แตกต่างกัน ศูนย์ดิจิทัลฟอเรนสิกส์จึง<br />
ได้ทำการตรวจสอบเพิ่มเติมโดยการวิเคราะห์<br />
ข้อมูลในไฟล์ทั้งสองโดยละเอียด พบว่าส่วนที่<br />
แตกต่างกันนั้นคือ ส่วนของข้อมูลอ้างอิงที่จะ<br />
เพิ่มเข้าไปเมื่อไฟล์ .torrent มีการนำไปใช้<br />
งาน ซึ่งเป็นรูปแบบการทำงานปกติของระบบ<br />
BitTorrent โดยเมื่อทดลองตัดข้อมูลในส่วนที่<br />
เพิ่มนี้ออกก็พบว่ามีข้อมูลตรงกับไฟล์ .torrent<br />
ที่อยู่ในเครื่อง BitTorrent Server ทุกประการ<br />
จึงสรุปได้ว่าไฟล์ .torrent ที่นำมาตรวจพิสูจน์<br />
เป็นไฟล์ดาวน์โหลดมาจากเว็บไซต์ BitTorrent<br />
Server ที่ได้รับการอ้างถึงจริง<br />
ในการตรวจพิสูจน์ว่าไฟล์ .torrent ที่ได้รับ<br />
มา สามารถนำไปสู่การดาวน์โหลดเพลงละเมิด<br />
ลิขสิทธิ์ได้หรือไม่นั้น ศูนย์ดิจิทัลฟอเรนสิกส์ได้<br />
ตรวจสอบข้อมูลของไฟล์ .torrent ที่ได้รับมา<br />
ตรวจสอบ ก็พบว่ามีการระบุชื่อไฟล์ .mp3 รวม<br />
ถึงขนาดของไฟล์ .mp3 เอาไว้ในไฟล์ .torrent<br />
อย่างชัดเจน และตรงกับข้อมูลของไฟล์เพลง<br />
ละเมิดลิขสิทธิ์ ที่ระบุว่าสามารถดาวน์โหลด<br />
ได้โดยใช้ไฟล์ .torrent ดังกล่าว จึงสรุปได้<br />
ว่า ไฟล์ .torrent ที่อยู่ในเครื่อง BitTorrent<br />
Server และที่ผู้เสียหายดาวน์โหลดมาจาก<br />
เว็บไซต์ดังกล่าว สามารถใช้ดาวน์โหลดเพลง<br />
ละเมิดลิขสิทธิ์ได้จริง<br />
ศูนย์ดิจิทัลฟอเรนสิกส์ได้สรุปข้อมูลและ<br />
ส่งผลการตรวจพิสูจน์ไปยังหน่วยงานที่ร้องขอ<br />
เพื่อใช้ในการดำเนินคดีตามกฎหมายต่อไป<br />
จากการตรวจพิสูจน์พยานหลักฐานในกรณีนี้<br />
ทำให้ศูนย์ดิจิทัลฟอเรนสิกส์มีประสบการณ์<br />
ในการตรวจวิเคราะห์ข้อมูลในไฟล์ .torrent<br />
และสามารถตรวจวิเคราะห์ข้อมูลในเครื่อง<br />
BitTorrent Server เพื่อหาข้อมูลที่เกี่ยวข้อง<br />
กับการดาวน์โหลดหรือแลกเปลี่ยนไฟล์ที่อาจ<br />
เกี่ยวข้องกับการละเมิดลิขสิทธิ์ได้ในอนาคต
76<br />
บทที่ 4.<br />
การพัฒนาศักยภาพในการรับมือภัยคุกคามไซเบอร์
77<br />
4.1 ประชุม อบรม<br />
สัมมนา และกิจกรรม<br />
อื่น ๆ<br />
การพัฒนาศักยภาพบุคลากรให้พร้อม<br />
รับมือภัยคุกคามไซเบอร์เป็นภารกิจที่ไทยเซิร์ต<br />
ให้ความสำคัญและสนับสนุนอย่างต่อเนื่อง เช่น<br />
การพัฒนาขีดความสามารถของเจ้าหน้าที่ไอที<br />
หน่วยงานรัฐ การส่งผู้แทนเข้าร่วมการประชุม<br />
สัมมนาในระดับนานาชาติในนามประเทศไทย<br />
การอาสาเป็นเจ้าภาพเพื่อพัฒนาบุคลากร ทั้งนี้<br />
ไทยเซิร์ต ได้ส่งผู้แทนเข้าร่วมการประชุมทาง<br />
ด้านความมั่นคงปลอดภัยในกรอบความร่วม<br />
มือระหว่างประเทศ ซึ่งครอบคลุมทั้งในระดับ<br />
ปฏิบัติการ ผู้บริหารระดับกรม และรัฐมนตรี<br />
ดังต่อไปนี้
78<br />
4.1.1 ประชุมและสัมมนาที่ไทยเซิร์ต<br />
เข้าร่วม<br />
APCERT Annual<br />
General Meeting &<br />
Conference 2013<br />
การประชุมคณะ<br />
กรรมการความมั่นคง<br />
ปลอดภัยไซเบอร์แห่งชาติ<br />
ครั้งที่ 1<br />
ไทยเซิร์ต ให้การสนับสนุนข้อมูลเชิง<br />
เทคนิคแก่ฝ่ายเลขานุการคณะกรรมการความ<br />
มั่นคงปลอดภัยไซเบอร์แห่งชาติ ในการจัดการ<br />
ประชุมคณะกรรมการฯ ครั้งที่ 1/2556 เมื่อวัน<br />
ที่ 11 มิถุนายน 2556 ซึ่งมีนายกรัฐมนตรีเป็น<br />
ประธาน ในฐานะที่ไทยเซิร์ต เป็นกลไกหลักของ<br />
ประเทศไทยด้านความมั่นคงปลอดภัยของสังคม<br />
ออนไลน์และเป็นศูนย์กลางในการประสานความ<br />
ร่วมมือกับเครือข่าย CERT ทั่วโลก นอกจากนี้<br />
ไทยเซิร์ต ยังได้เสนอรูปแบบขั้นตอนการแจ้ง<br />
และรับมือเหตุภัยคุกคาม ที่กระทบต่อความ<br />
มั่นคงปลอดภัยทางด้านสารสนเทศจำนวน 4<br />
ขั้นตอนที่ได้นำมาจากหลักเกณฑ์ตามกฎหมาย<br />
และประสบการณ์ต่าง ๆ เช่น จากการดำเนิน<br />
งานของ CERT ทั่วโลก ประกอบด้วยขั้นตอน 1)<br />
การรับแจ้งเหตุ 2) การวิเคราะห์และประเมิน<br />
ผลเบื้องต้น 3) การรายงานเหตุภัยคุกคามต่อ<br />
ระดับนโยบาย 4) การยืนยันผลวิเคราะห์และ<br />
การติดตามผล ซึ่งที่ประชุมคณะกรรมการฯ ได้<br />
เห็นชอบตามที่เสนอ<br />
Asia Pacific Computer Emergency<br />
Response Team หรือ APCERT เป็นเครือ<br />
ข่ายหน่วยงาน CERT ระดับประเทศในภูมิภาค<br />
เอเชีย-แปซิฟิก ซึ่งไทยเซิร์ตก็เป็นหนึ่งในสิบ<br />
หน่วยงานที่ร่วมกันก่อตั้ง APCERT เมื่อปี<br />
2546 สำหรับการประชุมของสมาชิก APCERT<br />
ประจำปี 2556 นี้จัดขึ้นที่เมืองบริสเบน ประเทศ<br />
ออสเตรเลียในเดือนมีนาคม 2556 โดยมี<br />
ผู้แทนจากหน่วยงาน CERT ของแต่ละประเทศ<br />
รวมถึง ไทยเซิร์ต เข้าร่วมประชุมเพื่อนำเสนอ<br />
เหตุภัยคุกคามในภาพรวมที่แต่ละหน่วยงาน<br />
ได้พบและประสานงานเพื่อแก้ไขตลอดปีที่<br />
ผ่านมา รวมถึงแนวทางปฏิบัติและเครื่องมือ
79<br />
ต่าง ๆ ที่มีประโยชน์ต่อการพัฒนาการรับมือ<br />
ภัยคุกคามอย่างมีประสิทธิภาพ นอกจากนี้<br />
ยังมีผู้แทนจากหน่วยงานภาครัฐ ภาคเอกชน<br />
และองค์กรอิสระ เช่น APNIC, Microsoft<br />
และ Australian Federal Police เข้าร่วม<br />
บรรยาย แลกเปลี่ยนความรู้ ความคิดเห็น<br />
และประสบการณ์ ในหัวข้อที่เกี่ยวข้องกับ<br />
วิวัฒนาการของภัยคุกคามด้านสารสนเทศ<br />
ตั้งแต่สิ่งที่พบในอดีต จนถึงแนวโน้มที่จะเกิด<br />
ขึ้นในอนาคต เพื่อเตรียมความพร้อมและ<br />
พัฒนาศักยภาพในการเฝ้าระวัง และรับมือ<br />
เหตุภัยคุกคาม<br />
The 47 th and 48 th<br />
Meetings of the<br />
Telecommunications<br />
and Information Wroking<br />
Group (APEC TEL 47 &<br />
APEC TEL 48)<br />
ไทยเซิร์ต ได้รับมอบหมายให้ปฏิบัติหน้าที่<br />
ในนาม สพธอ. เดินทางพร้อมกับคณะผู้แทน<br />
ประเทศไทย เข้าร่วมการประชุมคณะทำงาน<br />
เอเปคด้านโทรคมนาคมและสารสนเทศ (APEC<br />
Telecommunications and Information<br />
Working Group หรือ APEC TEL WG) ครั้งที่<br />
47 ที่อินโดนีเซีย เมื่อเดือนเมษายน 2556 และ<br />
ครั้งที่ 48 ที่สหรัฐอเมริกา เมื่อเดือนกันยายน<br />
2556 โดยได้รับมอบหมายจากกระทรวง<br />
เทคโนโลยีสารสนเทศและการสื่อสาร ให้<br />
รับผิดชอบการประชุมกลุ่มย่อย Security<br />
and Prosperity Steering Group (SPSG)<br />
และปฏิบัติหน้าที่รองประธาน SPSG ในฐานะ<br />
ตัวแทนประเทศไทยโดยมีวาระครองตำแหน่ง<br />
เป็นเวลา 2 ปี ผู้แทนไทยเซิร์ตได้ร่วมเป็น<br />
วิทยากรบรรยาย Cybercrime Experts Group<br />
การเข้าร่วมแสดงความคิดเห็นในการประชุม<br />
เชิงปฏิบัติการ Security of Mobile Device<br />
Workshop และ Comparing Approach to<br />
Botnet Prevention, Identification and<br />
Mitigation Workshop เป็นต้น<br />
The 2 nd ASEAN Network<br />
Security Action Council<br />
(ANSAC)<br />
การประชุม ASEAN Network Security<br />
Action Council หรือ ANSAC เมื่อวันที่ 19<br />
สิงหาคม 2556 ที่เมืองมานาโด ประเทศ<br />
อินโดนีเซีย เป็นอีกเวทีการประชุมที่ทีม CERT<br />
ของภูมิภาคอาเซียนได้มีโอกาสร่วมแสดงความ<br />
คิดเห็นและเผยแพร่บทบาทของ CERT ในการ<br />
ช่วยปกป้องรักษาความมั่นคงปลอดภัยของ<br />
ระบบเครือข่ายของภูมิภาคอาเซียนร่วมกัน<br />
ในการประชุม The 2 nd ANSAC นี้ ผู้แทน<br />
ไทยเซิร์ต ได้นเสนอข้อเสนอโครงการใหม่<br />
“Common Incident Handling and<br />
Escalation Framework” เพื่อผลักดันความ<br />
ริเริ่มสองส่วนในอาเซียน คือ (1) การสำรวจข้อ<br />
จำกัดทางกฎหมาย ระเบียบปฏิบัติในการให้<br />
ความร่วมมือกันในการรับมือภัยคุกคามใน<br />
ระดับประเทศหรือภูมิภาค (2) การกำหนด<br />
แนวปฏิบัติร่วมกันในการรับมือภัยคุกคามและ<br />
การยกระดับการรับมือภัยคุกคาม เพื่อใช้เป็น<br />
แนวทางสำหรับการรับมือภัยคุกคามร่วมกัน<br />
ของอาเซียน รวมถึงเป็นแนวทางในการพัฒนา<br />
แนวปฏิบัติในการรับมือภัยคุกคามสารสนเทศ<br />
สำหรับประเทศที่ยังไม่มี เพื่อพัฒนากรอบการ<br />
ทำงานร่วมกันระหว่างหน่วยงานในอาเซียนใน<br />
การรับมือกับเหตุการณ์ภัยคุกคามที่อาจส่งผลก<br />
ระทบข้ามพรมแดน ซึ่งที่ประชุม ANSAC มีมติ<br />
ให้สำรวจข้อจำกัดทางกฏหมายและระเบียบการ
80<br />
ปฏิบัติในกลุ่มประเทศอาเซียนที่ชัดเจน ก่อนนำ<br />
ข้อเสนอโครงการเข้ารับการพิจารณาในครั้งต่อไป<br />
ทั้งนี้หากโครงการได้รับความเห็นชอบก็จำะเป็นโอกาส<br />
ให้ไทยเซิร์ตได้พัฒนากรอบนโยบาย Common<br />
Incident Handling and Escalation สหรับ<br />
ใช้ร่วมกันในภูมิภาคอาเซียนต่อไป<br />
The 5 th China Network<br />
Security Seminar<br />
การสัมมนา China-Asean Network<br />
Security Seminar จัดขึ้นเป็นประจำทุกปี<br />
โดย CNCERT/CC ซึ่งเป็นหน่วยงาน CERT<br />
ของสาธารณรัฐประชาชนจีน โดยมีจุดประสงค์<br />
เพื่อสร้างเครือข่ายความร่วมมือ และแลก<br />
เปลี่ยนข้อมูลข่าวสารด้านความมั่นคงปลอดภัย<br />
สารสนเทศ ระหว่างประเทศจีนและประเทศ<br />
ในอาเซียน การสัมมนาครั้งนี้จัดขึ้นเป็นครั้งที่<br />
5 โดยมีหน่วยงาน CERT จาก 7 ประเทศใน<br />
อาเซียนเข้าร่วม นอกจากหน่วยงานต่าง ๆ จะ<br />
ได้มีโอกาสแลกเปลี่ยนข้อมูลและความรู้ซึ่งกัน<br />
และกันแล้ว CNCERT/CC ยังได้จัดวิทยากร<br />
ที่มีความรู้ความสามารถ ในด้านความมั่นคง<br />
ปลอดภัยสารสนเทศ มาบรรยายให้ความรู้แก่<br />
ผู้เข้าร่วมงานอีกด้วย<br />
The Underground<br />
Economy 2013 (UE13)<br />
งานสัมมนาวิชาการ The Underground<br />
Economy 2013 (UE13) ได้รับการสนับสนุน<br />
จากหน่วยงานตำรวจสากล Interpol และ<br />
Team Cymru ซึ่งเป็นหน่วยงานวิจัยด้าน<br />
ความมั่นคงปลอดภัยไซเบอร์ที่ไม่แสวงหาผล<br />
กำไร ที่มีชื่อเสียงและเป็นที่รู้จักทั่วโลก โดย<br />
จัดขึ้นเป็นประจำทุกปี ที่สำนักงานใหญ่ของ<br />
Interpol ที่เมือง Lyon สาธารณรัฐฝรั่งเศส<br />
เพื่อพัฒนาทักษะและความรู้ทางด้านความ<br />
มั่นคงปลอดภัยไซเบอร์ และการตรวจพิสูจน์<br />
พยานหลักฐานดิจิทัลในระดับสากลให้กลุ่มผู้<br />
เชี่ยวชาญในสายยุติธรรมและผู้ที่เกี่ยวข้องใน<br />
ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์<br />
ของประเทศ ไทยเซิร์ตได้รับคัดเลือกให้เป็น<br />
ผู้แทนเข้าร่วมสัมมนาวิชาการ UE13 ซึ่งเป็น<br />
ประโยชน์ต่อการดำเนินภารกิจของไทยเซิร์ต<br />
ในด้านการพัฒนาองค์ความรู้ในเชิงวิชาการ<br />
เทคนิคชั้นสูงเกี่ยวกับการรักษาความมั่นคง<br />
ปลอดภัยไซเบอร์ อีกทั้งยังเป็นการสร้างเครือ<br />
ข่ายกับกลุ่มผู้เชี่ยวชาญในสายยุติธรรมในระดับ<br />
นานาชาติ เพื่อแลกเปลี่ยนประสบการณ์ใน<br />
การรับมือภัยคุกคามฯ โดยเฉพาะภัยคุกคาม<br />
รูปแบบใหม่ ๆ ที่มีแนวโน้มส่งผลกระทบและ<br />
ความเสียหายต่อเศรษฐกิจและความเชื่อมั่น<br />
ในการทำธุรกรรมอิเล็กทรอนิกส์ของประเทศ<br />
ACID (ASEAN CERT<br />
Incident Drill)<br />
ASEAN CERT Incident Drill หรือ<br />
ACID เป็นการซักซ้อมรับมือภัยคุกคามทาง<br />
สารสนเทศ ระหว่างหน่วยงาน CERT ของประเทศ<br />
ในภูมิภาคเอเชีย-แปซิฟิกที่จำัดขึ้นเป็นประจำทุกปี<br />
เพื่อเตรียมความพร้อมในการรับมือเหตุภัย<br />
คุกคามในสถานการณ์จริง และเป็นการสร้าง<br />
เครือข่ายของหน่วยงาน CERT ในภูมิภาคให้<br />
มีความแข็งแกร่ง โดยในปี 2556 ที่ผ่านมา<br />
ไทยเซิร์ต และผู้แทนจากหน่วยงาน CERT อื่น ๆ<br />
รวมทั้งสิ้นกว่า 14 หน่วยงาน เข้าร่วมการซักซ้อม<br />
ที่จัดขึ้นโดย SingCERT ประเทศสิงคโปร์ ภายใต้<br />
สถานการณ์จำลองที่เกี่ยวข้องกับเหตุการณ์การ<br />
โจมตีเว็บไซต์และการเผยแพร่มัลแวร์ ซึ่งจะต้อง<br />
อาศัยความรู้และทักษะในเชิงเทคนิค ไม่ว่าจะ<br />
เป็นการวิเคราะห์ล็อกของระบบ การวิเคราะห์<br />
พฤติกรรมของมัลแวร์ รวมถึงการประสานงาน
81<br />
ไปยังผู้ที่เกี่ยวข้องเพื่อขอข้อมูลเพิ่มเติม และ<br />
แจ้งรายละเอียดของเหตุภัยคุกคาม เพื่อให้<br />
ผู้ที่เกี่ยวข้องดำเนินการแก้ไขปัญหา<br />
Black Hat USA<br />
2013 & DEFCON 21<br />
Conferences<br />
Black Hat USA 2013 และ DEFCON<br />
21 Conference เป็นงานประชุมประจำปีด้าน<br />
ความมั่นคงปลอดภัยไซเบอร์ ที่มีเหล่าบรรดา<br />
ผู้เชี่ยวชาญด้าน Computer Security ทั่วโลก<br />
มารวมตัวกัน เพื่อแลกเปลี่ยนความรู้และรับ<br />
ฟังการบรรยายในหัวข้อต่าง ๆ ที่เป็นประเด็น<br />
เด่นที่น่าสนใจเกี่ยวกับความมั่นคงปลอดภัย<br />
ไซเบอร์ โดยทั้งสองงานจัดขึ้นต่อเนื่องกันในช่วง<br />
เดือนสิงหาคม 2556 ที่ลาสเวกัส สหรัฐอเมริกา<br />
และเป็นอีกครั้งที่ไทยเซิร์ต ได้มีโอกาสส่ง<br />
ผู้แทนเข้าร่วมงานดังกล่าว เพื่อเพิ่มพูนความรู้<br />
ทางด้านความมั่นคงปลอดภัยไซเบอร์ในระดับ<br />
ผู้เชี่ยวชาญ โดยเฉพาะข้อมูลภัยคุกคามรูปแบบ<br />
ใหม่ ๆ และนำความรู้ที่ได้กลับมาถ่ายทอดให้<br />
กับทีมงานและผู้ที่เกี่ยวข้องได้รับทราบ เพื่อให้<br />
เกิดประโยชน์ต่อการดำเนินงานของไทยเซิร์ต<br />
ในการพัฒนาองค์ความรู้ในเชิงวิชาการเทคนิค<br />
ชั้นสูงเกี่ยวกับการรักษาความมั่นคงปลอดภัย<br />
ไซเบอร์<br />
14 th ASEAN<br />
Telecommunications<br />
and IT Senior<br />
Officials Meeting:<br />
(ASEAN TELSOM)<br />
และ 13 th ASEAN<br />
Telecommunications<br />
and IT Ministers<br />
Meeting: (ASEAN<br />
TELMIN)<br />
ไทยเซิร์ต ได้มีโอกาสติดตามผู้บริหารระดับ<br />
สูงของกระทรวงเทคโนโลยีสารสนเทศและ<br />
การสื่อสาร เข้าร่วมการประชุมและสนับสนุน<br />
ข้อมูลทางเทคนิคให้แก่ท่านรัฐมนตรีและปลัด<br />
กระทรวงฯ ในการประชุม ASEAN TELSOM<br />
และ TELMIN ซึ่งเป็นเวทีการประชุมระหว่าง<br />
รัฐมนตรีของอาเซียน (TELMIN) และผู้บริหาร<br />
ระดับสูงของอาเซียน (TELSOM) ที่รับผิดชอบ<br />
ด้าน Telecommunication และ IT จัดขึ้นใน<br />
เดือนพฤศจิกายน 2556 ที่สิงคโปร์ โดยผู้แทน<br />
ไทยเซิร์ต ได้รายงานผลการดเนินโครงการใน<br />
ความรับผิดชอบของ สพธอ. ได้แก่ โครงการ<br />
Intra-ASEAN Secure Transactions<br />
Framework ให้ที่ประชุมได้รับทราบ<br />
ซึ่งโครงการนี้เป็นกิจกรรมหนึ่งที่มีความสำคัญ<br />
ภายใต้แผนแม่บทไอซีทีอาเซียน 2015 (ASEAN<br />
ICT Masterplan 2015) ซึ่งจะช่วยให้การทำ<br />
ธุรกรรมทางอิเล็กทรอนิกส์ระหว่างประเทศ<br />
อาเซียนมีความมั่นคงปลอดภัย
82<br />
4.1.2 ศึกษาดูงาน<br />
การศึกษาดูงานศูนย์<br />
ปฏิบัติการด้านความมั่นคง<br />
ปลอดภัยสารสนเทศของ<br />
ประเทศเกาหลี ณ Korea<br />
Internet & Security<br />
Agency (KISA) และ<br />
Korea Post Information<br />
Center (KPIC)<br />
ภารกิจหลักที่สำคัญหนึ่งของไทยเซิร์ต<br />
คือการเฝ้าระวังสถานการณ์ และประสาน<br />
งานแก้ไขร่วมกับหน่วยงานที่เกี่ยวข้อง ใน<br />
กรณีที่เกิดเหตุภัยคุกคาม ไทยเซิร์ตจึงได้<br />
วางแผนการสร้างศูนย์ปฏิบัติการด้านความมั่นคง<br />
ปลอดภัยสารสนเทศ (Security Operation Center<br />
หรือ SOC) ขึ้น ณ สนักงานแห่งใหม่ของ สพธอ.<br />
เพื่อรองรับและขยายขีดความสามารถในการ<br />
ปฏิบัติงานดังกล่าวในอนาคต อย่างไรก็ตาม<br />
ปัจจุบันในประเทศไทย ยังไม่มีศูนย์ปฏิบัติ<br />
การด้านความมั่นคงปลอดภัยสารสนเทศที่มี<br />
ความทันสมัย และมีระบบบริหารจัดการที่มี<br />
มาตรฐานทัดเทียมกับประเทศชั้นนำในต่าง<br />
ประเทศ ดังนั้น กรรมการบริหาร ที่ปรึกษา<br />
ผู้อำนวยการ สพธอ. รวมถึงเจ้าหน้าที่ของ<br />
ไทยเซิร์ต จึงได้เดินทางไปเยี่ยมชมศูนย์ปฏิบัติ<br />
การฯ ของ Korea Internet & Security<br />
Agency หรือ KISA และ Korea Post<br />
Information Center หรือ KPIC ณ ประเทศ<br />
เกาหลีใต้ เพื่อศึกษา และเรียนรู้หลักแนวคิดใน<br />
การพัฒนา โครงสร้างของศูนย์ปฏิบัติการฯ ทั้ง<br />
ในด้านกายภาพและการบริหารจัดการ แล้วนำ<br />
ข้อมูลที่ได้มาศึกษาค้นคว้าเพิ่มเติม เพื่อนำมา<br />
ปรับใช้กับการสร้างศูนย์ปฏิบัติการ SOC ของ<br />
ไทยเซิร์ต ต่อไป<br />
สังเกตการณ์การซักซ้อม<br />
รับมือภัยคุกคามทางไซเบอร์<br />
Cyber Offensive and<br />
Defensive Exercise<br />
(CODE) Program ประเทศ<br />
ไต้หวัน<br />
ไทยเซิร์ต ได้รับเชิญเป็นแขกกิตติมศักดิ์<br />
เข้าร่วมสังเกตการณ์ การซักซ้อมรับมือภัย<br />
คุกคาม Cyber Offensive and Defensive<br />
Exercise (CODE) Program ระหว่างวันที่
83<br />
2-5 ธันวาคม 2556 ร่วมกับผู้สังเกตการณ์<br />
จากมาเลเซีย สาธารณรัฐสโลวัก และ<br />
สหรัฐอเมริกา ผู้แทนไทยเซิร์ตมีโอกาสได้สังเกต<br />
การซักซ้อมและเตรียมความพร้อมต่อภัยคุกคาม<br />
ทางไซเบอร์ทั้ง Red Team และ Blue Team<br />
ของหน่วยงานภาครัฐครั้งใหญ่ของประเทศไต้หวัน<br />
มีการทดสอบทั้งแบบ Table Top และ Live-<br />
Action Exercie และยังได้มีโอกาสเยี่ยมดูงาน<br />
หน่วยงานที่สำคัญ เช่น National Information<br />
and Communication Security Taskforce<br />
(NICS), The Investigation Bureau of the<br />
Ministry of Justice, The Fiscal Information<br />
Agency, Ministry of Finance, National<br />
Police Agency และ Criminal Investigation<br />
Bureau ทำให้ไทยเซิร์ตได้เก็บเกี่ยวความรู้<br />
และประสบการณ์หลาย ๆ ด้านจากมุมมอง<br />
ของหน่วยงานด้านความมั่นคง ปลอดภัยของ<br />
ประเทศไต้หวัน ซึ่งสามารถนำมาเป็นตัวอย่าง<br />
ในการประยุกต์ใช้ปรับปรุงแนวปฏิบัติภายใน<br />
ของไทยเซิร์ตให้ดีและสมบูรณ์ยิ่งขึ้น<br />
4.1.3 กิจกรรมที่ไทยเซิร์ตเป็นเจ้าภาพ<br />
เจ้าภาพจัดการประชุม 25 th<br />
Annual FIRST Conference<br />
ในปี 2556 ไทยเซิร์ต ได้รับเกียรติให้<br />
เป็นเจ้าภาพร่วมจัดงานสัมมนาและประชุม<br />
ประจำปีของ Forum of Incident Response<br />
and Security Teams หรือ FIRST ครั้ง<br />
ที่ 25 (25 th Annual FIRST Conference<br />
2013) ในระหว่างวันที ่ 16 – 21 มิถุนายน<br />
2556 ณ โรงแรมคอนราด กรุงเทพมหานคร<br />
โดยนายกรัฐมนตรี ในฐานะที่เป็นประธาน<br />
คณะกรรมการความมั่นคง ปลอดภัยไซเบอร์<br />
แห่งชาติ ได้เดินทางมาเป็นประธานเปิดงาน<br />
การประชุมในครั้งนี้ ถือเป็นเวทีสำคัญด้าน<br />
การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย<br />
มีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์<br />
มากกว่า 500 คนจำาก CERT ในระดับประเทศทุก<br />
ภูมิภาคทั่วโลกมากกว่า 300 องค์กรเข้าร่วมงาน<br />
เพื่อแลกเปลี่ยนความรู้ ความคิดเห็น แนว<br />
โน้มภัยคุกคามรูปแบบใหม่ ๆ และการพัฒนา<br />
ระบบการรักษาความมั่นคงปลอดภัยในระดับ<br />
สากล รวมถึง การนำเสนอข้อมูลเชิงวิชาการ<br />
และเครื่องมือสารสนเทศ ซึ่งจะเป็นประโยชน์<br />
ในการนำมาปรับปรุง และพัฒนาการดำเนิน<br />
งานของ CERT ให้สอดคล้องกับแนวทางใน<br />
ระดับสากลมากขึ้น นอกจากนี้ ยังเป็นการสร้าง<br />
เครือข่ายและกระชับความสัมพันธ์ระหว่างผู้<br />
ปฏิบัติงานของ CERT รวมถึงสร้างโอกาสให้<br />
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์<br />
ของประเทศไทยได้พบปะหารือกับผู้เชี่ยวชาญ<br />
ในระดับนานาชาติเพื่อแลกเปลี่ยนประสบการณ์<br />
การจัดงานประชุมในครั้งนี้ ส่งผลให้ไทยเซิร์ต<br />
เป็นที่รู้จักในเวทีนานาชาติ และมีความราบรื่นใน<br />
การประสานงานรับมือภัยคุกคามมากขึ้น อีก<br />
ทั้งยังเป็นการช่วยกระตุ้นให้คนไทยตระหนักถึง<br />
ความสำคัญของ Cybersecurity และเป็นการ<br />
แสดงศักยภาพของประเทศในการจัดการประชุม<br />
ระดับนานาชาติ สร้างภาพลักษณ์ที่ดีให้กับ<br />
ประเทศไทย รวมทั้งเป็นการกระตุ้นเศรษฐกิจ<br />
ในระดับท้องถิ่นของประเทศอีกทางหนึ่งด้วย
84<br />
เจ้าภาพการซักซ้อมรับมือ<br />
ภัยคุกคามของหน่วยงาน<br />
ภาครัฐและภาคธนาคาร<br />
ประจำปี 2556<br />
การซักซ้อมรับมือภัยคุกคามหรือ Cyber<br />
Drill เป็นการเตรียมความพร้อมให้กับหน่วยงาน<br />
ในการรับมือภัยคุกคามที่อาจเกิดขึ้นภายใน<br />
หน่วยงาน และช่วยให้หน่วยงานรับทราบถึง<br />
กระบวนการในการรับมือที่เหมาะสม โดยผู้<br />
เข้าร่วมจะต้องวิเคราะห์เหตุภัยคุกคาม และ<br />
ประสานงานไปยังหน่วยงานที่เกี่ยวข้องภาย<br />
ใต้สถานการณ์จำลองที่กำหนดขึ้นในปี 2556<br />
ไทยเซิร์ต ได้จำัดการซักซ้อมรับมือภัยคุกคาม<br />
2 ครั้ง ร่วมกับหน่วยงานของรัฐ 26<br />
หน่วยงาน และกลุ่มธนาคาร 16 แห่ง<br />
ซึ่งในปีนี้ได้จำลองเหตุภัยคุกคามที่เกี่ยวข้องกับ<br />
การเผยแพร่มัลแวร์บนเว็บไซต์ ซึ่งมีทั้งมัลแวร์<br />
ที่ทำงานบนระบบปฏิบัติการ Windows และ<br />
Android ผู้เข้าร่วมได้รับการฝึกให้วิเคราะห์หา<br />
ต้นเหตุสถานการณ์ภัยคุกคามจากหลักฐานที่<br />
ตรวจพบภายในอุปกรณ์เครือข่าย เซิร์ฟเวอร์<br />
และเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ ที่ทีม<br />
ไทยเซิร์ตจำลองขึ้นมา รวมถึงวิเคราะห์<br />
พฤติกรรมการทำงานของมัลแวร์ เพื่อรวบรวม<br />
ข้อมูลในการประสานงาน แจ้งเหตุไปยัง<br />
หน่วยงานที่เกี่ยวข้อง ให้ดำเนินการแก้ไขต่อ<br />
ไป ทั้งนี้คาดหวังว่าหน่วยงานที่เข้าร่วมซักซ้อม<br />
รับมือภัยคุกคามจะสามารถนำความรู้ที่ได้รับ<br />
ไปเผยแพร่ต่อไปในหน่วยงานของตนเอง เพื่อ<br />
ให้หน่วยงานรัฐและธนาคารอันเป็นโครงสร้าง<br />
พื้นฐานสำคัญของประเทศมีความเข้มแข็ง และ<br />
มั่นคงปลอดภัย<br />
เจ้าภาพจัดการฝึกอบรม<br />
และสอบวัดระดับเพื่อพัฒนา<br />
มาตรฐานการรับรอง<br />
บุคลากรด้านความมั่นคง<br />
ปลอดภัยระบบสารสนเทศ<br />
ของประเทศไทย<br />
ในเดือนพฤษภาคม 2556 ไทยเซิร์ต ได้<br />
ร่วมมือกับ Thailand Information Security<br />
Association หรือ TISA ซึ่งเป็นสมาคมของกลุ่ม<br />
นักวิชาชีพด้านความมั่นคงปลอดภัยสารสนเทศ<br />
ในประเทศไทย จัดการฝึกอบรมและสอบวัด<br />
ระดับด้านความมั่นคงปลอดภัยสารสนเทศ รุ่น<br />
ที่ 1 โดยมีวัตถุประสงค์เพื่อกำหนดและพัฒนา<br />
มาตรฐานการรับรองสมรรถนะของบุคลากรด้าน<br />
ความมั่นคงปลอดภัยสารสนเทศภายในประเทศ<br />
ผู้ที่สอบผ่านจะได้ใบรับรอง Information<br />
Security Expert Certification หรือ iSEC<br />
โดยแบ่งออกเป็น 2 กลุ่ม ได้แก่ ผู้เชี่ยวชาญ<br />
ด้านความมั่นคงปลอดภัยสารสนเทศ ด้านการ<br />
บริหารจัดการ (iSEC-M) และผู้เชี่ยวชาญด้าน<br />
ความมั่นคงปลอดภัยสารสนเทศ ด้านเทคนิค<br />
(iSEC-T) และในแต่ละกลุ่มยังแบ่งออกเป็น<br />
3 ระดับ ซึ ่งใบรับรอง iSEC ในแต่ละระดับ<br />
จะมีเกณฑ์ในการเทียบกับใบรับรองสากล<br />
จากต่างประเทศ เช่น CISSP, CISA, CISM,<br />
GSEC และ Security+ ผลการจัดกิจกรรมนี้มี<br />
ผู้เข้าร่วมการฝึกอบรมและสอบวัดระดับจำนวน<br />
124 คน จำากหน่วยงานภาครัฐ ภาคเอกชน และ<br />
บุคคลทั่วไป มีผู้ที่สอบผ่านได้ใบรับรอง iSEC-M<br />
จำนวน 11 คน และ iSEC-T จำนวน 9 คน
85<br />
เจ้าภาพจัดการประชุม<br />
The 3 rd ASEAN-Japan<br />
Information Security<br />
Policy Workshop<br />
ไทยเซิร์ต ในนามประเทศไทยเป็น<br />
เจ้าภาพจัดการประชุม ASEAN-Japan<br />
Information Security Workshop 2013<br />
ระหว่างวันที่ 7-8 กุมภาพันธ์ 2556 ที่<br />
กรุงเทพฯ ร่วมกับกระทรวงสารสนเทศและ<br />
การสื่อสาร (Ministry of Information and<br />
Communication - MIC) ประเทศญี่ปุ่น เพื่อ<br />
สร้างความร่วมมือด้านความมั่นคงปลอดภัย<br />
ระหว่างประเทศในภูมิภาคอาเซียนและประเทศญี่ปุ่น<br />
และเป็นเวทีให้ผู้เชี่ยวชาญด้านการรักษาความมั่นคง<br />
ปลอดภัยในประเทศอาเซียน และญี่ปุ่นได้แลกเปลี่ยน<br />
ความคิดเห็นและประสบการณ์ และเปิดโอกาสใน<br />
การสร้างความความร่วมมือระหว่างประเทศ<br />
เพื่อสร้างความร่วมมือในการรับมือภัยคุกคาม<br />
นอกจากนี้ ไทยเซิร์ต และ MIC ยังใช้โอกาสนี้<br />
ร่วมลงนามบันทึกข้อตกลงความร่วมมือ<br />
โครงการ Proactive Response<br />
Against Cyber-Attacks Through<br />
International Collaborative Exchange<br />
หรือที่เรียกสั้น ๆ ว่า โครงการ PRACTICE<br />
ซึ่งเป็นความร่วมมือทางเทคนิค ในการเก็บ<br />
รวบรวมข้อมูลจราจรคอมพิวเตอร์ และแลก<br />
เปลี่ยนข้อมูลผลการวิเคราะห์ข้อมูลจราจร<br />
คอมพิวเตอร์ ที่อาจเป็นภัยคุกคามต่อระบบ<br />
เครือข่าย รวมทั้งการวิเคราะห์แนวโน้มและ<br />
วิธีการรับมือภัยคุกคามด้านสารสนเทศอย่างมี<br />
ประสิทธิภาพ และการพัฒนาเทคนิคการป้องกัน<br />
ภัยคุกคามด้านสารสนเทศในเชิงรุกร่วมกัน<br />
เจ้าภาพร่วมกับ OWASP<br />
จัดงาน ETDA and<br />
OWASP: Open Web<br />
and Application<br />
Security Day<br />
ในเดือนกรกฎาคม 2556 ไทยเซิร์ตได้<br />
ร่วมมือกับ Open Web Application Security<br />
Project หรือ OWASP ซึ่งเป็นหน่วยงานไม่<br />
แสวงผลกำไร ที่มีภารกิจหลักในการส่งเสริม<br />
และพัฒนาความรู้ด้านความมั่นคงปลอดภัย<br />
ของเว็บไซต์ ร่วมกันจัดการอบรมเชิงปฏิบัติ<br />
การการพัฒนา Secure Web Application<br />
ให้กับนักพัฒนาและผู้ดูแลเว็บไซต์ไทย โดยได้<br />
รับเกียรติจากกรรมการบริหารของ OWASP<br />
London Chapter เป็นวิทยากรมาบรรยาย<br />
มุ่งเน้นหัวข้อการเรียนรู้ช่องโหว่และเทคนิคการ<br />
โจำมตีเว็บไซต์ที่พบเห็นในปัจำจำุบัน ดังที่รวบรวม<br />
ไว้ใน OWASP Top 10 เช่น Injection,<br />
Broken Authentication and Session<br />
Management และ Cross-site Scripting<br />
รวมถึงเทคนิคในการพัฒนาเว็บไซต์ให้มีความ<br />
มั่นคงปลอดภัย ซึ่งจะเป็นการส่งเสริมให้นัก<br />
พัฒนาและผู้ดูแลเว็บไซต์ของไทย มีความรู้และ<br />
ทักษะในด้านการรักษาความมั่นคงปลอดภัย<br />
ของเว็บไซต์ ส่งผลให้เกิดเหตุภัยคุกคามที่<br />
เกี่ยวข้องกับเว็บไซต์ลดน้อยลงในอนาคต<br />
ซึ่งกิจกรรมครั้งนี้ได้รับความสนใจ ทั้งจาก<br />
หน่วยงานภาครัฐและรัฐวิสาหกิจเข้าร่วมงาน<br />
ในครั้งนี้เป็นจำนวนมาก
86<br />
เจ้าภาพร่วมกับ EC-Council<br />
จัดการอบรมหลักสูตร<br />
Certified Ethical Hacker<br />
ภายหลังลงนามในบันทึกข้อตกลงความ<br />
ร่วมมือระหว่าง ไทยเซิร์ต และ EC-Council<br />
ซึ่งมีวัตถุประสงค์เพื่อส่งเสริม และพัฒนา<br />
ทักษะด้านความมั่นคงปลอดภัยสารสนเทศ<br />
ของบุคลากรภายในประเทศ สองหน่วยงาน<br />
ก็ได้ร่วมกันเป็นเจ้าภาพ จำัดการฝึกอบรมใน<br />
หลักสูตร Certified Ethical Hacker หรือ<br />
CEH ในเดือนสิงหาคม 2556 โดยได้รับเกียรติ<br />
จำากผู้เชี่ยวชาญของ EC-Council เป็นวิทยากร<br />
ฝึกอบรมกับผู้แทนจากหน่วยงานภาครัฐหลาย<br />
แห่ง เช่น กระทรวงเทคโนโลยีสารสนเทศและ<br />
การสื่อสาร กรมสอบสวนคดีพิเศษ กองทัพ<br />
เรือ กองทัพอากาศ กระทรวงสาธารณสุข<br />
และธนาคารแห่งประเทศไทย ซึ่งผลการจัด<br />
อบรมในครั้งนี้ก็ประสบผลสำเร็จ จากจำนวน<br />
ผู้ที่เข้ารับการฝึกอบรมรวมทั้งสิ้น 20 คน มี<br />
ผู้ที่สามารถสอบผ่านและได้ประกาศนียบัตร<br />
CEH จำนวน 18 คน<br />
เจ้าภาพร่วมกับ JPCERT<br />
ฝึกอบรมด้านความมั่นคง<br />
ปลอดภัยสารสนเทศให้กับ<br />
LaoCERT<br />
สืบเนื่องจากการลงนามในบันทึกข้อ<br />
ตกลงความร่วมมือด้านการพัฒนาทักษะและ<br />
ศักยภาพของบุคลากร ระหว่าง ไทยเซิร์ต<br />
และ LaoCERT ในเดือนกรกฎาคม 2556<br />
เพื่อประสานงานรับมือ และแก้ไขปัญหาเหตุ<br />
ภัยคุกคาม วิศวกรของไทยเซิร์ตได้รับเชิญให้<br />
เป็นวิทยากรร่วมกับเจ้าหน้าที่ของ JPCERT/<br />
CC ประเทศญี่ปุ่น ในการอบรมภายใต้หัวข้อ<br />
Basic Understanding of CSIRT and<br />
Incident Response Training ณ สปป. ลาว<br />
ในเดือนตุลาคม 2556 โดยเจ้าหน้าที่ของ<br />
ไทยเซิร์ต ได้เป็นผู้บรรยายในหัวข้อหลักการ<br />
และความรู้พื้นฐานของการรักษาความมั่นคง<br />
ปลอดภัยสารสนเทศ รวมถึงเป็นผู้อบรมเชิง<br />
ปฏิบัติการในการติดตั้งและใช้งานระบบบันทึก<br />
และติดตามการแจ้งเหตุภัยคุกคาม
ITU Telecom World<br />
2013<br />
ผู้อนวยการ สพธอ. ได้รับเชิญให้เข้าร่วม<br />
บรรยายและอภิปรายในหัวข้อ “Mobile Security<br />
Challenge and Policy in ASEAN” ในงานประชุม<br />
สัมมนาระดับโลก ITU Telecom World 2013<br />
87<br />
กรุงเทพ ซึ่งเป็นงานประชุมประจำปีของ<br />
สหภาพโทรคมนาคมระหว่างประเทศ หรือ<br />
International Telecommunication Union<br />
ที่มีผู ้สนใจเข้าร่วมงานทั้งคนไทยและต่างชาติ<br />
กว่า 20,000 คน จากกว่า 700 องค์กร 193<br />
ประเทศ เนื ้อหาสรุปของการอภิปรายโดย<br />
ผู้อำนวยการ สพธอ. นั้น ได้คาดการณ์<br />
ถึงแนวโน้มของการใช้งาน โทรศัพท์มือถือ<br />
และบริการสื่อสังคม ออนไลน์ที่เพิ่มขึ้นใน<br />
ประเทศไทย รูปแบบภัยคุกคามที่เคยเกิดขึ้น<br />
และส่งผลกระทบต่อผู้ใช้งานสมาร์ตโฟน และ<br />
ภารกิจของ ไทยเซิร์ต สพธอ. ในด้านการรักษา<br />
ความมั ่นคงปลอดภัยทางไซเบอร์ ซึ่งถือเป็น<br />
กลไกหนึ่งที่สำคัญหนึ่ง ในการเฝ้าระวังและ<br />
สร้างภูมิคุ้มกันให้กับสังคมออนไลน์ของประเทศ<br />
vent
88<br />
4.2 ประกาศนียบัตร<br />
วิชาชีพด้านความมั่นคง<br />
ปลอดภัยไซเบอร์<br />
บุคลากรไทยเซิร์ตได้รับประกาศนียบัตร<br />
วิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ที่ได้<br />
รับการยอมรับในระดับสากลในสาขาต่าง ๆ<br />
เฉพาะในปี 2556 รวมทั้งสิ้น 25 ใบ<br />
ตารางที่ 5<br />
ประกาศนียบัตรวิชาชีพด้านความมั่นคง<br />
ปลอดภัยไซเบอร์ที่บุคลากร ThaiCERT ได้รับ<br />
สาขา ประกาศนียบัตร สถาบัน จำนวน<br />
Security<br />
Administration<br />
Forensics<br />
Management<br />
Audit<br />
GIAC Security Essentials (GSEC)<br />
1<br />
GIAC Certified Intrusion Analyst (GCIA)<br />
Global Information Assurance<br />
Certification (GIAC)<br />
1<br />
GIAC Penetration Tester (GPEN) 1<br />
Security+ CompTIA 8<br />
Certified Ethical Hacker (CEH) EC-Council 1<br />
GIAC Certified Forensic Examiner (GCFE)<br />
Global Information Assurance<br />
Certification (GIAC)<br />
AccessData Certified Examiner<br />
2<br />
AccessData<br />
AccessData Mobile Examiner 2<br />
EnCase Certified Examiner (EnCE) Guidance Software 1<br />
Certified Forensic Computer Examiner (CFCE)<br />
Certified Information Systems Security<br />
Professional (CISSP)<br />
ISMS Lead Auditor<br />
International Association<br />
of Computer Investigative<br />
Specialists (IACIS)<br />
International Information<br />
Systems Security Certification<br />
Consortium (ISC)²<br />
International Register of<br />
Certificated Auditors (IRCA)<br />
2<br />
1<br />
3<br />
2
89<br />
GIAC Security Essentials (GSEC)<br />
เป็นประกาศนียบัตร สำหรับผู้เชี่ยวชาญด้าน<br />
ความมั่นคงปลอดภัยที่ครอบคลุมเนื้อ หาที่<br />
หลากหลาย ผู้ได้รับประกาศนียบัตรต้องมี<br />
ความรู้ความเข้าใจในด้านความมั่นคงปลอดภัย<br />
สารสนเทศและพร้อมจะนำไปใช้ปฏิบัติงานใน<br />
หน่วยงานได้จริง<br />
ระบบเครือข่ายเป้าหมายเพื่อค้นหาช่องโหว่<br />
ของระบบ โดยมีเนื ้อหาครอบคลุมไปถึงการ<br />
ทดสอบเจาะระบบ (Penetration Testing)<br />
ข้อกฎหมายเกี่ยวกับการ ทดสอบเจาะระบบ<br />
และการดำเนินการ ทดสอบเจาะระบบอย่าง<br />
เหมาะสม รวมถึงเทคนิคต่าง ๆ ในการทดสอบ<br />
เจาะระบบ<br />
Certified Ethical Hacker (CEH)<br />
เป็นประกาศนียบัตรสำหรับผู้เชี่ยวชาญในการ<br />
ทดสอบเจาะระบบซึ่งออกโดย EC-Council<br />
โดยเนื้อหา ครอบคลุมถึงเรื่องช่องโหว่ของ<br />
ระบบ เทคนิคการโจมตี และเครื่องมือในการ<br />
เจาะระบบที่รวบรวมมาจากชุมชนนักวิจัยด้าน<br />
ความมั่นคงปลอดภัย<br />
AccessData Certified Examiner<br />
(ACE) เป็นประกาศนียบัตรจากบริษัท<br />
AccessData เพื่อรับรองว่า ผู้เชี่ยวชาญมี<br />
ความรู้พื้นฐาน เรื่องการตรวจพิสูจน์พยาน<br />
หลักฐานดิจิทัล และมีความชำนาญในการใช้<br />
งานโปรแกรม Forensic Toolkit (FTK) ของ<br />
AccessData ในการตรวจพิสูจน์หลักฐาน<br />
GIAC Certified Intrusion Analyst<br />
(GCIA) เป็นประกาศนียบัตรสำหรับผู้เชี่ยวชาญ<br />
ที่มีความรู้ และทักษะความสามารถในการติด<br />
ตั้ง ปรับแต่ง และเฝ้าติดตามระบบตรวจหาการ<br />
บุกรุก ที่สามารถนำข้อมูลจราจรของระบบ<br />
เครือข่ายมาแปลความหมายและวิเคราะห์ได้<br />
อย่างมีประสิทธิภาพ<br />
GIAC Penetration Tester (GPEN)<br />
เป็นประกาศนียบัตรสำหรับผู้เชี่ยวชาญด้าน<br />
ความมั่นคงปลอดภัยที่มีหน้าที่ในการประเมิน<br />
Security+ เป็นประกาศนียบัตรด้านความ<br />
มั่นคงปลอดภัยจาก CompTIA ที่พัฒนาขึ้นมา<br />
ในปี พ.ศ. 2545 เพื่อทดสอบพื้นฐานความรู้ทาง<br />
ด้านความมั่นคงปลอดภัยของระบบเครือข่าย<br />
การใช้เครื ่องมือ และขั้นตอนการดำเนินงาน<br />
เพื่อตอบสนองต่อเหตุการณ์ด้านความมั่นคง<br />
ปลอดภัย รวมไปถึงหัวข้อเชิงธุรกิจอย่างเช่น<br />
การบริหารความเสี่ยงและการรับมือภัยคุกคาม<br />
ทางสารสนเทศ<br />
GIAC Certified Forensic Examiner<br />
(GCFE) เป็นประกาศนียบัตรสำหรับผู้เชี่ยวชาญ<br />
ที่มีความรู้ความเข้าใจในการวิเคราะห์พิสูจน์<br />
หลักฐานทางคอมพิวเตอร์ โดยจะเน้นทักษะ<br />
สำคัญในการรวบรวมและวิเคราะห์ข้อมูลจาก<br />
คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows<br />
รวมไปถึงการจัดทำรายงาน การค้นหาและ<br />
จัดเก็บหลักฐาน การตรวจค้นหลักฐานทาง<br />
เบราว์เซอร์ และการติดตามร่องรอยการทำงาน<br />
ของผู้ใช้กับแอปพลิเคชันในระบบปฏิบัติการ<br />
Windows<br />
AccessData Mobile Examiner<br />
(AME) เป็นประกาศนียบัตรจากบริษัท<br />
AccessData เพื่อรับรองว่า ผู้เชี่ยวชาญมี<br />
ความสามารถในการใช้งานโปรแกรม Mobile<br />
Phone Examiner Plus (MEP+) และมีความ<br />
รู้ความเข้าใจในกระบวนการทำงานของระบบ<br />
โทรศัพท์มือถือและเทคโนโลยีต่าง ๆ ที่เกี่ยวข้อง<br />
สำหรับพิสูจน์พยานหลักฐานดิจิทัล
90<br />
EnCase Certified Examiner (EnCE)<br />
เป็นประกาศนียบัตรเพื่อรับรองว่า ผู้เชี่ยวชาญมี<br />
ความสามารถในการใช้งานซอฟต์แวร์ EnCase<br />
ของบริษัท Guidance Software ในการตรวจ<br />
พิสูจน์พยานหลักฐานทางดิจิทัล<br />
Certified Forensic Computer<br />
Examiner (CFCE) เป็นประกาศนียบัตรเพื่อ<br />
รับรองว่า ผู้เชี่ยวชาญมีความสามารถหลาก<br />
หลายในด้านการตรวจพิสูจน์พยานหลักฐานทาง<br />
ดิจิทัลหรือคอมพิวเตอร์ ที่ใช้ระบบปฏิบัติการ<br />
Windows ซึ่งใบรับรองนี้ออกให้โดยหน่วยงาน<br />
International Association of Computer<br />
Investigative Specialists (IACIS)<br />
Certified Information Systems<br />
Security Professional (CISSP) เป็น<br />
ประกาศนียบัตรด้านการบริหารความมั่นคง<br />
ปลอดภัยที่ได้รับการยอมรับทั่วโลก โดยมีหน่วย<br />
งาน International Information Systems<br />
Security Certification Consortium หรือ<br />
ที่เรียกว่า (ISC)² เป็นผู้รับผิดชอบ และจัดเป็น<br />
ประกาศนียบัตรด้านความมั่นคงปลอดภัยฉบับ<br />
แรกที่ได้รับการรับรองตามมาตรฐาน ANSI ISO/<br />
IEC 17024:2003 นอกจากนี้แล้ว ยังได้รับการ<br />
รับรองจากกระทรวงกลาโหมแห่งสหรัฐอเมริกา<br />
ในด้าน Information Assurance Technical<br />
(IAT) และ Managerial (IAM)<br />
ISMS Lead Auditor เป็นประกาศนียบัตร<br />
ที่หน่วยงาน IRCA ออกให้กับผู้เชี่ยวชาญ<br />
ด้านความมั่นคงปลอดภัยสารสนเทศที่ผ่านการ<br />
ทดสอบ ซึ่งจะต้องมีความรู้และทักษะที่จำเป็น<br />
ในการตรวจสอบ และประเมินระบบบริหาร<br />
จัดการความมั่นคงปลอดภัยสารสนเทศของ<br />
องค์กร ว่าสอดคล้องและเป็นไปตามมาตรฐาน<br />
ISO 27001 หรือไม่<br />
4.3 ข้อตกลงความ<br />
ร่วมมือกับหน่วยงาน<br />
ทั้งในและต่างประเทศ<br />
เนื่องด้วย หนึ่งในแผนยุทธศาสตร์ของ<br />
สพธอ. ปี 2555-2558 ต้องการส่งเสริมและ<br />
สนับสนุนการเพิ่มทักษะ ด้านความมั่นคง<br />
ปลอดภัยสารสนเทศ ให้แก่ผู้ประกอบการ ภาค<br />
รัฐ ประชาชน และสนับสนุนการพัฒนากําลัง<br />
คนระดับวิชาชีพให้เพียงพอกับความต้องการ<br />
ของประเทศ ดังนั้น ไทยเซิร์ต ซึ่งอยู่ภายใต้การ<br />
กํากับของ สพธอ. จึงได้มุ่งเน้นการพัฒนาความ<br />
รู้และทักษะด้านความมั่นคงปลอดภัยและการ<br />
ตรวจพิสูจน์หลักฐานทางดิจิทัล โดยเริ่มต้นจาก<br />
บุคลากรของไทยเซิร์ต ด้วยการส่งเสริมให้ได้รับ<br />
ความรู้ และสอบประกาศนียบัตรวิชาชีพด้าน<br />
ความมั่นคงปลอดภัยไซเบอร์ในระดับสากล รวม<br />
ถึงการจัดฝึกอบรมให้กับบุคคลจากหน่วยงาน<br />
ในหลายภาคส่วน ซึ่งเป็นผลสืบเนื่องมาจากการ<br />
ลงนามข้อตกลงความร่วมมือ (Memorandum<br />
of Understanding: MoU) กับหน่วยงาน<br />
ทั้งภายในและต่างประเทศ เพื ่อเสริมสร้าง<br />
ความแข็งแกร่งด้านความมั่นคงปลอดภัยทาง<br />
สารสนเทศ ตลอดจนพัฒนาและยกระดับ<br />
ความสามารถของผู้เชี่ยวชาญในประเทศ ส่ง<br />
เสริมและสนับสนุนความร่วมมือในการป้องกัน<br />
และแก้ไขปัญหาภัยคุกคามทางสารสนเทศ<br />
ซึ่งจําเป็นต้องใช้ทรัพยากรบุคคลที่มีคุณภาพ<br />
ข้อมูลข่าวสารที่พร้อมและทันเหตุการณ์ รวม<br />
ทั้งการประสานงานกันระหว่างหน่วยงาน โดย<br />
ในปี 2555 ได้ลงนามบันทึกข้อตกลงความ<br />
ร่วมมือกับ JPCERT/CC (Japan Computer<br />
Emergency Response Team Coordination<br />
Center), APWG (Anti-Phishing Working<br />
Group) และ Team Cymru และในปี 2556<br />
ไทยเซิร์ต ได้ขยายเครือข่ายความร่วมมือกับ<br />
หน่วยงาน ดังต่อไปนี้
91<br />
MIC (Ministry of<br />
Internal Affairs and<br />
Communications),<br />
Japan<br />
สืบเนื่องจากการหารือทวิภาคี ระหว่าง<br />
ประเทศไทยและญี่ปุ่น ซึ่งรัฐมนตรีว่าการ<br />
กระทรวงไอซีทีของไทย ได้ตอบรับเข้าร่วม<br />
โครงการ Proactive Response Against<br />
Cyber-attacks Through International<br />
Collaborative Exchange หรือ PRACTICE<br />
ในระหว่างการประชุมรัฐมนตรีเอเปคด้าน<br />
โทรคมนาคมและอุตสาหกรรมสารสนเทศ ครั้ง<br />
ที่ 9 ณ นครเซนต์ปีเตอร์สเบิร์ก สหพันธรัฐ<br />
รัสเซีย สพธอ. ในฐานะที่เป็นตัวแทนของฝ่าย<br />
ไทย จึงได้ลงนามในบันทึกข้อตกลงความร่วม<br />
มือกับ Information and Communication<br />
Bureau, Ministry of Internal Affairs<br />
and Communications of Japan โดย<br />
โครงการดังกล่าวมีวัตถุประสงค์หลัก คือ<br />
การเก็บรวบรวมและวิจำัยข้อมูลภัยคุกคาม เพื่อ<br />
นไปพัฒนาวิธีการป้องกันและรับมือการโจำมตี<br />
Dixie State College<br />
of Utah’s Southwest<br />
Regional Computer<br />
Crime Institute<br />
(SWRCCI)<br />
สืบเนื่องจากการลงนามบันทึกข้อตกลง<br />
ความร่วมมือด้านดิจิทัลฟอเรนสิกส์ เมื่อต้น<br />
ปี 2556 ไทยเซิร์ต ได้จัดกิจกรรมเพื่อรับการ<br />
ถ่ายทอด เทคนิคดิจิทัลฟอเรนสิกส์ขั้นสูง<br />
จากสถาบัน Computer Crime Insitute<br />
ของ Dixie State University ในรัฐยูทาห์<br />
สหรัฐอเมริกา โดยส่งบุคลากรจำนวน 3 คน<br />
เข้ารับการอบรมหลักสูตรการตรวจพิสูจน์พยาน<br />
หลักฐานในโทรศัพท์เคลื่อนที่ (Mobile Phone<br />
Forensics) และศึกษาดูงานการสอนหลัก<br />
สูตรดิจิทัลฟอเรนสิกส์ในมหาวิทยาลัย Dixie<br />
State University และเยี่ยมชมห้องปฏิบัติ<br />
การของสถาบัน Computer Crime Institute<br />
ด้วยความสัมพันธ์อันดีกับ Computer Crime<br />
Institute ทำให้ได้มีโอกาสได้เข้าเยี่ยมชมห้อง<br />
ปฏิบัติการดิจำิทัลฟอเรนสิกส์ระดับชั้นนเป็นกรณี<br />
พิเศษ ได้แก่ Intermountain West Regional<br />
Computer Forensics Laboratory ซึ่งเป็น<br />
หนึ่งในห้องปฏิบัติการดิจำิทัลฟอเรนสิกส์กลางของ<br />
รัฐบาลสหรัฐอเมริกา และห้องปฏิบัติการดิจิทัล<br />
ฟอเรนสิกส์ของบริษัท American Express<br />
ทำให้ได้เก็บเกี่ยวความรู้ที่เป็นประโยชน์ต่อ<br />
การพัฒนาประเทศไทยต่อไป
92<br />
EC-Council<br />
ด้วยหนึ่งในภารกิจหลักของไทยเซิร์ต ที่เป็น<br />
ผู้ส่งเสริมและพัฒนาบุคลากรภายในประเทศ ให้<br />
มีความรู้และความเชี่ยวชาญด้านการรักษาความ<br />
มั่นคงปลอดภัย ไทยเซิร์ตจึงได้ลงนามในบันทึก<br />
ข้อตกลงความร่วมมือร่วมกับ EC-Council<br />
หนึ่งในสถาบันอบรมด้านความมั่นคงปลอดภัย<br />
สารสนเทศที่มีชื่อเสียงในระดับสากล เพื่อ<br />
จำัดฝึกอบรม และสอบรับรองประกาศนียบัตร<br />
ด้านความมั่นคงปลอดภัยให้กับเจำ้าหน้าที่<br />
ของหน่วยงานภาครัฐโดยไม่คิดค่าใช้จำ่าย<br />
นอกจากนี้ สพธอ. หน่วยงานต้นสังกัดของ<br />
ไทยเซิร์ต ยังได้รับเลือกให้เป็น Authorized<br />
EC-Council Training Center หรือศูนย์จัด<br />
ฝึกอบรมหลักสูตรของ EC-Council ที่ได้การ<br />
รับรองในประเทศไทยอีกด้วย<br />
LaoCERT<br />
LaoCERT ในฐานะที่เป็นหน่วยงานใน<br />
สาธารณรัฐประชาธิป ไตยประชาชนลาว<br />
ที่มีภารกิจหลักเดียวกัน ไทยเซิร์ต ได้ตระหนัก<br />
ถึงความสำคัญที่จะสร้าง ความร่วมมือกับ<br />
LaoCERT ในการพัฒนาศักยภาพของบุคลากร<br />
ให้มีความรู้ และความเชี่ยวชาญในการประสาน<br />
งานและรับมือเหตุภัยคุกคามด้านสารสนเทศ เพื่อ<br />
เสริมสร้างความแข็งแกร่งใน การดูแลรักษาความ<br />
มั่นคงปลอดภัย ของประเทศในภูมิภาคอาเซียน<br />
จึงได้เกิดการลงนามในบันทึก ข้อตกลงความ<br />
ร่วมมือระหว่าง ไทยเซิร์ต และ LaoCERT<br />
ขึ้น โดยในปีที่ผ่านมา วิศวกรของไทยเซิร์ต ได้<br />
เดินทางไปบรรยายใน การอบรมให้กับเจ้าหน้าที่<br />
ของ LaoCERT ร่วมกับผู้แทนจาก JPCERT/<br />
CC ประเทศญี่ปุ่น<br />
สำนักงานตำรวจแห่งชาติ<br />
เนื่องจากสถานการณ์เหตุภัยคุกคามด้าน<br />
สารสนเทศที่เกิดขึ้น สามารถส่งผลกระทบ<br />
ต่อความสงบสุขในสังคมและความมั่นคงของ<br />
ประเทศ ไทยเซิร์ตเห็นถึงความสำคัญของ<br />
การพัฒนาศักยภาพบุคลากร เทคนิคด้าน<br />
การรักษาความมั่นคงปลอดภัย รวมถึงการ<br />
พัฒนามาตรฐาน ด้านการตรวจพิสูจน์พยาน<br />
หลักฐานดิจิทัล ซึ่งเป็นหนึ่งในส่วนงานหลัก<br />
ของไทยเซิร์ต จึงได้ลงนามบันทึกข้อตกลง<br />
ความร่วมมือกับสำนักงานตำรวจแห่งชาติ เพื่อ<br />
ส่งเสริม และผลักดันให้หน่วยงานและ<br />
บุคลากรที่เกี่ยวข้อง มีความสามารถในการ<br />
รับมือ ป้องกัน และแก้ไขเหตุภัยคุกคามที่ส่ง<br />
ผลกระทบต่อความสงบสุขของสังคมและประเทศ<br />
จากการบันทึกข้อตกลงความร่วมมือที่เกิดขึ้น<br />
จะทำให้เกิดการถ่ายทอดความรู้ แลกเปลี่ยน<br />
ข้อมูลทางวิชาการระหว่างหน่วยงาน รวมถึง<br />
การจัดฝึกอบรม และสัมมนาด้านความมั่นคง
93<br />
ปลอดภัย โดยเฉพาะการตรวจพิสูจน์พยาน<br />
หลักฐานดิจิทัล ซึ่งทั้งสองฝ่ายจะมีการประชุม<br />
หารือร่วมกันเพื่อติดตามความคืบหน้า รวมถึง<br />
การจัดทำและปรับปรุงการดำเนินงานภายใต้<br />
ข้อตกลงความร่วมมือดังกล่าว<br />
SANS Institute<br />
ไทยเซิร์ต ได้ลงนามในบันทึกข้อตกลงความ<br />
ร่วมมือกับ SANS Institute ซึ่งเป็นสถาบัน<br />
ฝึกอบรม และวิจัยด้านความมั่นคงปลอดภัย<br />
สารสนเทศระดับนานาชาติ เพื่อส่งเสริมการ<br />
พัฒนาบุคลากร ด้านความมั่นคงปลอดภัย<br />
ให้ทัดเทียมกับประเทศอื่น ๆ ในภูมิภาค<br />
เดียวกัน ซึ่งจุดเด่นของหลักสูตร SANS นั้น<br />
เป็นหลักสูตรที่ได้รับการยอมรับในระดับสากล<br />
เนื่องจาก เป็นหลักสูตรที่มุ่งเน้น การให้ความรู้<br />
ในเชิงเทคนิค และพัฒนาทักษะของผู้เข้ารับ<br />
การอบรม ให้มีความรู้และความสามารถใน<br />
การลงมือปฏิบัติทำงานจริง ทั้งนี้ ผลจากการ<br />
ลงนามบันทึก ข้อตกลงความร่วมมือดังกล่าว<br />
ส่งผลให้เกิดการจำัดอบรมในหลักสูตร Hacker<br />
Techniques, Exploits & Incident Handling<br />
และสอบประกาศนียบัตร GIAC Certified Incident<br />
Handler หรือ GCIH ขึ้นในประเทศไทยในปี 2557<br />
โดยมีผู้ที่สนใจ ทั้งจากหน่วยงานภาครัฐและ<br />
เอกชนเข้าร่วมการอบรมดังกล่าว
94<br />
บทที่ 5.<br />
รายงาน CERTs ของประเทศสมาชิกอาเซียน+3
95<br />
จากรายงานประจําปี 2012 ของ APCERT ซึ่งรายงานสถานะปัจจุบันและสถิติภัยคุกคามที่ได้รับจากหน่วยงาน CERT ในประเทศต่าง ๆ พบว่า APCERT ได้ระบุจํานวนสมาชิกของกลุ่ม<br />
ประเทศของเครือข่ายความร่วมมือในภูมิภาคเอเชียแปซิฟิกทั้งสิ้น 30 หน่วยงานจาก 20 เขตเศรษฐกิจ โดยในจํานวนนี้เป็นหน่วยงาน CERT ที่รับมือและแก้ไขภัยคุกคามจากประเทศใน<br />
อาเซียน+3 ทั้งสิ้น 11 หน่วยงานจาก 11 เขตเศรษฐกิจ ยกเว้น LaoCERT จากประเทศลาว และ CamCERT จากประเทศกัมพูชา ที่ยังไม่ได้เป็นสมาชิกของ APCERT<br />
ตารางที่ 6 ข้อมูลของหน่วยงาน CERT ระดับประเทศในอาเซียน+3<br />
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง<br />
Brunei Computer<br />
Emergency Response<br />
Team (BruCERT)<br />
บรูไน หมายเลขโทรศัพท์: (+67)32-458-001<br />
อีเมล: cert@brucert.org.bn<br />
PGP Key<br />
หมายเลขของกุญแจ (Key ID): 0x2C5D7296<br />
ประเภทของกุญแจ (Key Type): DSA<br />
วันหมดอายุ (Expires): -<br />
ขนาดความยาว (Key size): 1024<br />
Fingerprint: 9D6C 609D 70B5 7FE0 BA8E B0CB 8856 C2A7 EA1E B592
96<br />
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง<br />
National Computer<br />
network Emergency<br />
Response technical Team<br />
/ Coordination Center of<br />
China People’s Republic<br />
of China (CNCERT/CC)<br />
จีน หมายเลขโทรศัพท์: (+86)108-299-1000<br />
อีเมล: cncert@cert.org.cn<br />
PGP Key<br />
หมายเลขของกุญแจ (Key ID): 0x0C96458D<br />
ประเภทของกุญแจ (Key Type): DSA<br />
วันหมดอายุ (Expires): -<br />
ขนาดความยาว (Key size): 1024<br />
Fingerprint: 5DE6 1B6F 23C3 EEDD AD8D 5B94 5D19 2284 0C96 458D<br />
Indonesia Security Incident<br />
Response Team on Internet<br />
Infrastructure Coordination<br />
Center (ID-SIRTII/CC)<br />
อินโดนีเซีย หมายเลขโทรศัพท์: (+62)21-3192-5551<br />
อีเมล: incident@idsirtii.or.id
97<br />
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง<br />
Japan Computer<br />
Emergency Response<br />
Team / Coordination<br />
Center (JPCERT / CC)<br />
ญี่ปุ่น หมายเลขโทรศัพท์: (+81)33-518-2178<br />
อีเมล: info@jpcert.or.jp<br />
PGP Key<br />
หมายเลขของกุญแจ (Key ID): 0x69ECE048<br />
ประเภทของกุญแจ (Key Type): RSA<br />
วันหมดอายุ (Expires): -<br />
ขนาดความยาว (Key size): 2048<br />
Fingerprint: FC89 53BB DC65 BD97 4BDA D1BD 317D 97A4 69EC E048<br />
Korea Internet Security<br />
Center (KrCERT/CC)<br />
เกาหลีใต้ หมายเลขโทรศัพท์: (+82)24-055-424<br />
อีเมล: first-team@krcert.or.kr<br />
PGP Key<br />
หมายเลขของกุญแจ (Key ID): 0x854702E3<br />
ประเภทของกุญแจ (Key Type): RSA<br />
วันหมดอายุ (Expires): -<br />
ขนาดความยาว (Key size): 2048<br />
Fingerprint: FEC3 8E77 1430 5DA5 A39E 2ABE 215C A784 8547 02E
98<br />
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง<br />
Lao Computer Emergency<br />
Response Team (LaoCERT)<br />
ลาว หมายเลขโทรศัพท์: (+85)62-125-4150<br />
อีเมล: report@laocert.gov.la<br />
PGP Key<br />
หมายเลขของกุญแจ (Key ID): 0xEA1EB592<br />
ประเภทของกุญแจ (Key Type): RSA<br />
วันหมดอายุ (Expires): 11 มิ.ย. 2560<br />
ขนาดความยาว (Key size): 2048<br />
Fingerprint: 9D6C 609D 70B5 7FE0 BA8E B0CB 8856 C2A7 EA1E B592<br />
Malaysian Computer<br />
Emergency Response<br />
Team (MyCERT)<br />
มาเลเซีย หมายเลขโทรศัพท์: (+60)19-266-5850<br />
อีเมล: mycert@mycert.org.my<br />
PGP Key<br />
หมายเลขของกุญแจ (Key ID): 0x82B6ED71<br />
ประเภทของกุญแจ (Key Type): DSA<br />
วันหมดอายุ (Expires): -<br />
ขนาดความยาว (Key size): 1024<br />
Fingerprint: 57CD C689 1B0E 0835 3BBD AF97 D010 0570 82B6 ED71
99<br />
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง<br />
National Cambodia<br />
Computer Emergency<br />
Response Team (CamCERT)<br />
Philippine Computer<br />
Emergency Response<br />
Team (PHCERT)<br />
Singapore Computer<br />
Emergency Response<br />
Team (SingCERT)<br />
กัมพูชา หมายเลขโทรศัพท์: (+85)59-233-5536<br />
อีเมล: incident@camcert.gov.kh<br />
ฟิลิปปินส์ หมายเลขโทรศัพท์: -<br />
อีเมล: assistance@phcert.org<br />
สิงคโปร์ หมายเลขโทรศัพท์: (+65)62-110-911<br />
อีเมล: cert@singcert.org.sg<br />
PGP Key<br />
หมายเลขของกุญแจ (Key ID): 0x8BC26BE9<br />
ประเภทของกุญแจ (Key Type): RSA<br />
วันหมดอายุ (Expires): -<br />
ขนาดความยาว (Key size): 1024<br />
Fingerprint: AC79 09BD 3E7A 9F73 D664 FCC3 1409 24A0
100<br />
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง<br />
Thailand Computer<br />
Emergency Response<br />
Team (ThaiCERT)<br />
Vietnam Computer<br />
Emergency Response<br />
Team (VNCERT)<br />
Myanmar Computer<br />
Emergency Response<br />
Team (mmCERT)<br />
ไทย หมายเลขโทรศัพท์: (+66) 2-123-1212<br />
อีเมล: report@thaicert.or.th<br />
PGP Key<br />
หมายเลขของกุญแจ (Key ID): 0xF2CB3EE1<br />
ประเภทของกุญแจ (Key Type): RSA<br />
วันหมดอายุ (Expires): 2015-06-25<br />
ขนาดความยาว (Key size): 2048<br />
Fingerprint: 29B3 2C79 FB4A D4D7 E71A 71ED 5FFE F781 F2CB 3EE1<br />
เวียดนาม หมายเลขโทรศัพท์: (+84) 93-442-4009<br />
อีเมล: ir@vncert.vn<br />
PGP Key<br />
หมายเลขของกุญแจ (Key ID): 0x1F2AD964<br />
ประเภทของกุญแจ (Key Type): RSA<br />
วันหมดอายุ (Expires): -<br />
ขนาดความยาว (Key size): 2048<br />
Fingerprint: 8A8E CCC4 7E0E BDAD 8A88 63B2 C9BC 60A5 1F2A D964<br />
พม่า หมายเลขโทรศัพท์: (+95)650-891, (+92) 656-685<br />
อีเมล: infoteam@mmcert.org.mm<br />
PGP Key<br />
หมายเลขของกุญแจ (Key ID): 0x47F84281<br />
ประเภทของกุญแจ (Key Type): RSA<br />
วันหมดอายุ (Expires):<br />
ขนาดความยาว (Key size): 2048<br />
Fingerprint: 34CD 3F92 6A41 01A7 6AFA A43F 08E5 371A 47F8 4281
101<br />
100k<br />
10k<br />
1k<br />
100<br />
BruCERT<br />
ID-SIRTII<br />
MyCERT<br />
ThaiCERT<br />
VNCERT<br />
CNCERT/CC<br />
JPCERT/CC<br />
KrCERT/CC<br />
เมื่อวิเคราะห์สถานการณ์ด้านภัยคุกคามในแถบภูมิภาคอาเซียน+3 จากสถิติ<br />
จำนวนรายงานภัยคุกคามด้านสารสนเทศที่หน่วยงาน CERT ได้รับแจ้ง จะเห็นได้ว่าใน<br />
ปี 2555 หน่วยงาน CERT ของประเทศที่มีปริมาณการใช้ ICT สูงอย่างประเทศเกาหลีใต้<br />
(KrCERT/CC) ประเทศจีน (CNCERT/CC) ประเทศญี่ปุ่น (JPCERT/CC) และประเทศ<br />
มาเลเซีย (MyCERT) ยังคงรับแจ้งในปริมาณที่สูงมากกว่า 10,000 รายงาน โดยมีจุดที่<br />
น่าสังเกตคือ KrCERT/CC ได้รับรายงานมากกว่าประเทศอื่น ๆ อย่างเห็นได้ชัด โดยได้<br />
รับแจ้งกว่า 60,000 รายงาน มากกว่าจำนวนรายงานของ CNCERT/CC ซึ่งอยู่ในอันดับ<br />
ที่ 2 ถึง 3.5 เท่า ในขณะที่หน่วยงาน CERT ของประเทศเวียดนาม (VNCERT) ประเทศ<br />
บรูไน (BruCERT) ประเทศอินโดนีเซีย (ID-SIRTII) และประเทศไทย (ThaiCERT) ได้รับ<br />
แจ้งน้อยกว่า 3,000 รายการ<br />
10<br />
2550 2551 2552 2553 2554 2555<br />
กราฟที่ 19 จำนวนรายงานภัยคุกคามด้านสารสนเทศที่หน่วยงาน CERT ของประเทศในอาเซียน+3<br />
ได้รับแจ้งระหว่างปี 2550-2555<br />
เมื่อเปรียบเทียบกับจำนวนภัยคุกคามเมื่อปี 2554 จะพบว่าประเทศส่วนใหญ่ได้<br />
รับรายงานภัยคุกคามเพิ่มขึ้น โดยเฉพาะ VNCERT, JPCERT/CC และ KrCERT/CC ที่<br />
ได้รับแจ้งเพิ่มขึ้น 3.5 เท่า, 2.2 เท่าและ 1.8 เท่าตามลำดับ ในขณะที่ MyCERT และ<br />
BruCERT ได้รับรายงานลดลง 34.4% และ 34.5% ตามลำดับ ส่วนกรณี ID-SIRTII ได้<br />
รับแจ้งลดลงอย่างมากถึง 97.6% สาเหตุอาจมาจากการเปลี่ยนแปลงช่องทางการรับ<br />
แจ้ง โดยเริ่มรับแจ้งภัยคุกคามผ่านช่องทางสาธารณะในปี 2555 ในขณะที่ปีก่อนหน้า<br />
รับแจ้งผ่านช่องทางอื่น
102<br />
100<br />
80<br />
60<br />
สัดสวน (รอยละ)<br />
40<br />
20<br />
0<br />
BruCERT ID-SIRTII MyCERT ThaiCERT VNCERT CNCERT/CC JPCERT/CC KrCERT/CC<br />
Abusive Content<br />
Fraud<br />
Information Gathering/Intrusion Attempts<br />
Intrusions<br />
Malicious Code<br />
Other<br />
กราฟที่ 20 สัดส่วนของภัยคุกคามแต่ละประเภทที่ถูกแจ้งไปยังหน่วยงาน CERT ของแต่ละประเทศในกลุ่มอาเซียน+3 ในปี 2554 และ 2555<br />
เมื่อแบ่งประเภทของภัยคุกคามที่ถูกแจ้งเป็น 6 ประเภทหลักตามกราฟที่ 20 โดยชุดกราฟ<br />
แท่งซ้ายของแต่ละประเทศเป็นข้อมูลของปี 2554 และชุดกราฟแท่งขวาของแต่ละประเทศ<br />
เป็นข้อมูลของปี 2555 จะเห็นว่าประเภทภัยคุกคามที่ได้รับแจ้งสูงสุดในแต่ประเทศยังคงมี<br />
ลักษณะคล้ายกับปี 2554 โดย BruCERT และ KrCERT/CC รับรายงานภัยคุกคามประเภท<br />
Malicious Code มากที่สุด ในขณะที่ ไทยเซิร์ต, VNCERT, CNCERT/CC ยังคงได้รับรายงาน<br />
ประเภท Fraud มากที่สุด อย่างไรก็ตาม มีรายงานภัยคุกคามบางประเภทได้รับแจ้งลดลงมาก<br />
ในปี 2555 เมื่อเทียบกับปี 2554 เช่น กรณีที่เกือบทุกหน่วยงาน CERT ยกเว้น BruCERT ได้<br />
รับแจ้งภัยคุกคามประเภท Information Gathering ลดลง โดยเฉพาะ CNCERT/CC ที่ได้รับ<br />
แจ้งเพียงแค่ 0.1% และ ID-SIRTII, MyCERT, CNCERT/CC, KrCERT/CC ที่ไม่ได้รับแจ้งใน<br />
ปี 2555 เลย หรือกรณีไทยเซิร์ตที่แทบจะไม่ได้รับแจ้งภัยคุกคามประเภท Abusive Content<br />
(0.4%) เมื่อเทียบกับปี 2554 (11.9%) ในขณะที่ภัยคุกคามบางประเภทได้รับแจ้งเพิ่มขึ้นอย่าง<br />
ชัดเจนในหลายประเทศ เช่น กรณีภัยคุกคามประเภท Intrusions ที่ ID–SIRTII, KrCERT/CC,<br />
MyCERT ได้รับแจ้งเพิ่มขึ้นเป็น 30%, 32.1% และ 43.3% ตามลำดับ หรือกรณีที่ภัยคุกคาม<br />
ประเภท Malicious Code ที่ VNCERT ได้รับแจ้งเพิ่มเป็น 32.8% โดยพบว่าเกิดจากการ<br />
ระบาดของมัลแวร์ที่ฝังในไฟล์เอกสารแนบ
103
104<br />
บทที่ 6.<br />
ความท้าทายในบทบาท NATIONAL CERT
105<br />
ด้วยสถานการณ์ความพร้อมของ<br />
ประเทศไทยเกี่ยวกับการรับมือกับภาวะภัย<br />
คุกคามด้านสารสนเทศที่ยังมีข้อจำกัดในหลาย<br />
ด้าน ในขณะที่ความซับซ้อนของภัยคุกคาม<br />
ที่เกิดขึ้นมีความแปลกใหม่ตลอดเวลา เช่น<br />
เหตุการณ์การค้นพบช่องโหว่ในโปรแกรม<br />
Java บนระบบปฏิบัติการ Windows ใน<br />
ช่วงต้นปี 2556 ที่ทำให้แฮกเกอร์สามารถ<br />
ลักลอบติดตั้งมัลแวร์หรือสั่งให้ประมวลผลคำ<br />
สั่งอันตรายจากระยะไกลได้ (Remote Code<br />
Execution) บนเครื่องผู้ใช้งานที่เข้าชมเว็บไซต์<br />
ที่ถูกฝังโค้ดอันตรายไว้ ซึ่งสามารถสร้างความ<br />
เสียหายให้กับผู้ให้บริการและผู้ใช้บริการเป็น<br />
จำนวนมากหากมีการนำช่องโหว่นี้ไปใช้โจมตี<br />
ประกอบกับจากรายงานสถิติจากหลายแหล่ง<br />
ที่ได้ระบุว่าประเทศไทยมีความเสี่ยงสูงเป็น<br />
อันดับต้น ๆ ด้านความมั่นคงปลอดภัย<br />
เช่น สถาบันนานาชาติในการจัดอันดับ<br />
ความสามารถในการแข่งขันของประเทศ<br />
สมาชิก หรือ International Institute for<br />
Management Development (IMD) ได้<br />
ประเมินปัจจัยด้านความมั่นคงปลอดภัย<br />
ไซเบอร์ขององค์กรในแต่ละประเทศ<br />
สมาชิกซึ่งส่งผลต่อการแข่งขันของประเทศ<br />
ในรายงาน “World Competitiveness<br />
Rankings” ประจำปี 2013 โดยได้จัด<br />
อันดับด้านความมั่นคงปลอดภัยไซเบอร์<br />
ของประเทศไทยอยู่ในลำดับที่ 48 จาก<br />
ประเทศสมาชิก 60 ประเทศ และอยู่ใน<br />
ลำดับที่ 4 ของประเทศสมาชิกอาเซียน<br />
เป็นรองประเทศมาเลเซีย ประเทศสิงคโปร์<br />
และประเทศอินโดนีเซีย รูปที่ 11 อันดับความสามารถในการแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์ในรายงาน<br />
World Competitiveness Rankings 2013 ของ IMD
106<br />
นอกจากนี้คณะทำงานต่อต้านภัยคุกคาม<br />
ประเภท Phishing (Anti-Phishing Working<br />
Group - APWG) ได้รายงานว่า เว็บไซต์ที่อยู่<br />
ภายใต้โดเมนของประเทศไทยมีสัดส่วนของ<br />
จำนวนเว็บไซต์ที่ถูกเจาะระบบเพื่อใช้เป็น<br />
ฐานสำหรับหลอกลวงในลักษณะ Phishing<br />
เมื่อเทียบกับจำนวนโดเมนที่จดทะเบียนไว้<br />
ทั้งหมดของประเทศสูงที่สุดเป็นอันดับต้น ๆ<br />
ซึ่งตัวอย่างทั้งสองนี้สะท้อนว่าประเทศไทย<br />
กำลังอยู่ในภาวะที่น่าเป็นห่วงและมีความ<br />
เสี่ยงสูง ดังนั้นการป้องกันรักษาความมั่นคง<br />
ปลอดภัยและการต่อต้านภัยคุกคามอย่างทัน<br />
ท่วงที จึงเป็นมาตรการที่สำคัญและจำเป็น<br />
สำหรับระงับเหตุก่อนที่จะเกิดความเสียหาย<br />
ขึ้นในวงกว้าง การทำงานในลักษณะเรียกว่า<br />
ทีมประสานการรักษาความมั่นคงปลอดภัย<br />
ระบบคอมพิวเตอร์ (Computer Emergency<br />
Response Team - CERT) ซึ่งในประเทศไทย<br />
นั้นไทยเซิร์ตได้รับการยอมรับให้เป็นตัวแทน<br />
ของประเทศทำหน้าที่เป็นศูนย์กลางประสาน<br />
งานกับหน่วยงานอื่น ๆ ทั้งในประเทศและ<br />
เครือข่าย CERT ที่มีอยู่ทั่วโลก ดังนั้น CERT<br />
จึงนับได้ว่าเป็นกลไกที่สำคัญในการต่อสู้กับ<br />
ภัยคุกคามไซเบอร์ที่สามารถส่งผลกระทบต่อ<br />
ทุกประเทศทั่วโลกที่เชื่อมโยงและเข้าถึงได้ใน<br />
โลกอินเทอร์เน็ต ซึ่ง CERT ของแต่ละประเทศ<br />
ต้องพัฒนาแนวปฏิบัติในการระงับเหตุภัย<br />
คุกคามที่เกิดขึ้นให้เร็วที่สุดและลดความเสีย<br />
หายให้เกิดขึ้นน้อยที่สุด โดยอาศัยมาตรการ<br />
ระบบ เครื่องมือ รวมถึงบุคลากรผู้เชี่ยวชาญ<br />
ที่มีความพร้อมที่จะให้บริการได้ทันทีที่ได้รับ<br />
แจ้งเหตุการณ์ภัยคุกคาม<br />
ที่ผ่านมาไทยเซิร์ตมีบทบาทในการพัฒนา<br />
และบริหารจัดการระบบแจ้งเตือนเมื่อได้รับ<br />
แจ้งภัยคุกคามที่เร่งด่วนและมีความสำคัญ<br />
ได้แก่ การรับมือและแก้ไขการหลอกลวงทาง<br />
เว็บไซต์ธนาคาร (Phishing) และการวิเคราะห์<br />
โปรแกรมไม่พึงประสงค์ (Malware) รวมถึง<br />
การพัฒนาทรัพยากรบุคคลที่มีความเชี่ยวชาญ<br />
เฉพาะด้าน ที่ได้รับการอบรมและสอบผ่าน<br />
ใบรับรองสากลและผลักดันการสร้างความ<br />
ร่วมมือกับหน่วยงานนานาชาติและหน่วย<br />
งานระดับประเทศ รวมทั ้งจัดฝึกอบรมและ<br />
สัมมนาให้แก่ผู้บริหารและ บุคลากรผู้ปฏิบัติ<br />
งานด้านความมั่นคงปลอดภัยสารสนเทศทั้ง<br />
ภาครัฐและเอกชนของประเทศไทย ให้มีความ<br />
พร้อมและตระหนักถึงภัยคุกคามไซเบอร์และ<br />
มาตรการป้องกันที่จำเป็นต้องเรียนรู้ โดย
107<br />
เฉพาะหน่วยงานรัฐที่เป็นหน่วยงานโครงสร้าง<br />
พื้นฐานสำคัญของประเทศและหน่วยงานด้าน<br />
การเงินที่จำเป็นต้องเปิดให้บริการตลอด 24<br />
ชั่วโมงอย่างมั่นคงปลอดภัย เพื่อสร้างความ<br />
เชื่อมั่นให้แก่ประชาชนในการทำธุรกรรม<br />
ทางอิเล็กทรอนิกส์ และรักษาภาพลักษณ์ของ<br />
ประเทศในสายตาต่างชาติในระยะยาวอีกด้วย<br />
ในปี 2555 ไทยเซิร์ตได้กำหนดมาตรฐานของ<br />
การให้บริการรับมือและจัดการเหตุภัยคุกคาม<br />
ด้านสารสนเทศที่ได้รับแจ้งภายใน 2 วันทำการ<br />
(Service Level Agreement - SLA) มีการ<br />
พัฒนาระบบสารสนเทศเพื่อเพิ่มประสิทธิภาพ<br />
การ ให้บริการรับมือและแก้ไขภัยคุกคามใน<br />
ระดับประเทศและไทยเซิร์ตให้ความสำคัญ<br />
ในการพัฒนาทักษะบุคลากรในเชิงเทคนิคให้<br />
มีความเชี่ยวชาญในการวิเคราะห์ภัยคุกคาม<br />
ในรูปแบบใหม่ที่มีความซับซ้อนและอาจส่ง<br />
ผลกระทบกับระบบสารสนเทศสำคัญของ<br />
ประเทศ และที่สำคัญที่สุดคือการขยายความ<br />
ร่วมมือกับหน่วยงาน CERT ต่างประเทศเพิ่ม<br />
มากขึ้น โดยเฉพาะกลุ่มประเทศปลายทางที่<br />
ตรวจพบว่ามักจะใช้ประเทศไทยเป็นฐานใน<br />
การกระทำความผิด<br />
ในภารกิจเชิงนโยบาย ไทยเซิร์ตเป็นกำลัง<br />
สำคัญที่ช่วยให้การสนับสนุนทางเทคนิคแก่<br />
ผู้อำนวยการ สพธอ. ในการปฏิบัติหน้าที่<br />
เลขานุการคณะกรรมการความมั่นคงปลอดภัย<br />
ไซเบอร์แห่งชาติ (National Cybersecurity<br />
Committee – NCSC) ที่จัดตั้งขึ้นในปี พ.ศ.<br />
2555 ซึ่งนายกรัฐมนตรีทำหน้าที่ประธาน มี<br />
ผู้บริหารสูงสุดของหน่วยงานสำคัญที่มีภารกิจ<br />
ในการปกป้องและรักษาความมั่นคงปลอดภัย<br />
ไซเบอร์ของประเทศร่วมเป็นกรรมการ ซึ่งผล<br />
งานสำคัญ ได้แก่ การจัดทำร่างกรอบนโยบาย<br />
เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์<br />
แห่งชาติ ซึ่งขณะนี้อยู่ระหว่างการรับฟังความ<br />
เห็นหน่วยงานที่เกี่ยวข้องเพิ่มเติมก่อนที่จะนำ<br />
เสนอคณะรัฐมนตรีพิจารณา และการจัดทำขั้น<br />
ตอนการแจ้ง/รับมือเหตุภัยคุกคามที่กระทบ<br />
ต่อความมั่นคงปลอดภัยทางด้านสารสนเทศ<br />
เมื่อเกิดเหตุภัยคุกคาม ซึ ่งทั้งสองส่วนนี้คณะ<br />
กรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ<br />
ได้ให้ความเห็นชอบในหลักการแล้ว<br />
เว็บไซต์ของหน่วยงาน<br />
ภาคเอกชน (.com) ได้รับ<br />
ผลกระทบเป็นอันดับหนึ่ง<br />
ในการโจมตีทุกประเภท ใน<br />
ขณะที่เว็บไซต์ของหน่วยงาน<br />
ภาครัฐ (go.th) ได้รับผล<br />
กระทบจาก Malware<br />
URL กับ Web<br />
Defacement สูงเป็น<br />
อันดับที่ 2 และอยู่ในอันดับ<br />
ที่ 5 ของการโจมตีประเภท<br />
Phishing
108<br />
สำหรับแผนการดำเนินงานต่อไปใน<br />
อนาคตนั้น ไทยเซิร์ตจะยกระดับการทำงาน<br />
จากหน่วยงานที่ให้การสนับสนุนทางเทคนิค<br />
แก่หน่วยงานอื่นอยู่เบื้องหลัง ไปสู่การทำงาน<br />
ระดับประเทศเพื่อเฝ้าระวังภาพรวมการรักษา<br />
ความมั่นคงปลอดภัยของประเทศในบทบาท<br />
ของ National CERT ซึ่งจะเป็นการพัฒนา<br />
ในเชิงรุกเพื่อรับผิดชอบภารกิจในระดับ<br />
ประเทศอย่างเต็มตัว และสนับสนุนการดำเนิน<br />
การตามนโยบายของรัฐบาลในการรักษา<br />
ความมั่นคงปลอดภัยไซเบอร์ของประเทศ<br />
ทั้งนี้มีเป้าหมายหลักที่สำคัญจะ<br />
เตรียมดำเนินการต่อไป ดังนี้<br />
1 การผลักดันไทยเซิร์ตให้ท<br />
หน้าที่เป็น Cybersecurity<br />
Center of Command ใน<br />
บทบาทของ National CERT<br />
ที่จะต้องมีการวางโครงสร้างการบริหารจัดการ<br />
และบูรณาการนโยบายการรักษาความมั่นคง<br />
ปลอดภัยไซเบอร์ของประเทศ การจัดทำ<br />
นโยบายระดับชาติเพื่อรับมือ ป้องกัน และลด<br />
ความเสี่ยงอันเกิดจากสถานการณ์ภัยคุกคาม<br />
ไซเบอร์ที่อาจจะเกิดขึ้นได้ทุกเมื่อ รวมถึงการ<br />
กำหนดแนวทางและมาตรการเกี่ยวกับการ<br />
รักษาความมั่นคงปลอดภัยไซเบอร์ที่สอดรับ<br />
กับกรอบนโยบายที่คณะกรรมการความมั่นคง<br />
ปลอดภัยไซเบอร์แห่งชาติกำหนด และผลัก<br />
ดันการดำเนินงานตามกรอบนโยบายดังกล่าว<br />
2 การพัฒนาขั้นตอน<br />
การแจ้ง/รับมือเหตุ<br />
ภัยคุกคามที่กระทบต่อ<br />
ความมั่นคงปลอดภัยทาง<br />
ด้านสารสนเทศแห่งชาติ<br />
(National Incident Response Flow –<br />
National IR Flow) ระหว่างหน่วยงานที่<br />
เกี่ยวข้อง ซึ่งประกอบด้วย 4 ขั้นตอนหลัก ได้แก่<br />
1) กระบวนการรับมือเมื่อตรวจพบเหตุการณ์<br />
2) การวิเคราะห์และประเมินผลเบื ้องต้น<br />
3) การรายงานเหตุภัยคุกคามตามลำดับ<br />
ชั้นจนถึงระดับนโยบาย<br />
4) การยืนยันผลวิเคราะห์และการติดตามผล<br />
ทั้งนี้เพื่อให้มีการส่งต่อข้อมูลสำคัญไป<br />
ยังทุกหน่วยงานที่เกี่ยวข้องและเชื่อมโยงการ<br />
ทำงานระหว่างกันทั้งระบบ และรวมถึงการผลัก<br />
ดันให้ National IR Flow นี้ได้รับการยอมรับ<br />
ทั่วกันและเพื่อนำไปสู่การปฏิบัติอย่างจริงจัง<br />
3 การพัฒนาศักยภาพด้าน<br />
การรักษาความมั่นคง<br />
ปลอดภัยไซเบอร์ของหน่วยงาน<br />
สคัญ เช่น กลุ่มธนาคาร กลุ่มโครงสร้าง<br />
พื้นฐานสำคัญ และหน่วยงานด้านความมั่นคง<br />
ด้วยการผลักดันในการจัดตั้ง Sector-based<br />
CERT ให้มีความเข้มแข็ง เพื่อประสานความ<br />
ร่วมมือระหว่างไทยเซิร์ตและหน่วยงานสำคัญใน<br />
การรับมือและจัดการภัยคุกคาม รวมถึงพัฒนา<br />
ให้เป็นเครือข่ายสำหรับการแลกเปลี่ยนข้อมูล<br />
ภัยคุกคามสำคัญที่เกิดขึ้นและส่งผลกระ<br />
ทบกับหน่วยงานในประเทศ
4<br />
การจัดทแผนความต่อ<br />
เนื่องทางธุรกิจแห่งชาติ<br />
หรือ National Business Continuity Plan<br />
(NBCP) เพื่อเป็นกลไกในการรักษาสภาพพร้อม<br />
ใช้ของธุรกิจ (Availability) ของประเทศ ซึ่งเป็น<br />
องค์ประกอบสำคัญของความมั่นคงปลอดภัย<br />
สารสนเทศ และผลักดันให้เกิดการพัฒนาและ<br />
ใช้งาน BCP ในทุกภาคส่วน ไม่ว่าจะเป็น<br />
หน่วยงานภาครัฐหรือ<br />
ภาคเอกชนอย่าง<br />
เป็นรูปธรรม<br />
109<br />
5 การสร้างความพร้อม<br />
ในการรับมือภัยคุกคาม<br />
ไซเบอร์ ทั้งผู้เชี่ยวชาญและเครื่องมือให้<br />
ทัดเทียมกับประเทศในภูมิภาคอาเซียน และมี<br />
ระบบฐานข้อมูลและวิธีการแลกเปลี่ยนข้อมูล<br />
ภัยคุกคามไซเบอร์ที่เกิดขึ้นในประเทศไทยกับ<br />
ผู้ให้บริการอินเทอร์เน็ตในประเทศทุกราย ที่<br />
สามารถนำไปใช้ประโยชน์ในการป้องกันหรือ<br />
ระงับเหตุ ผลกระทบ และจำกัดความเสียหายที่<br />
อาจจะเกิดขึ้นได้ทันท่วงทีก่อนที่จะขยายวงกว้าง<br />
6 การเพิ่มขีดความสามารถ<br />
และความหลากหลายของ<br />
ระบบการรับมือภัยคุกคาม<br />
ตลอดจนสภาพพร้อมใช้ของระบบที่สำคัญ<br />
ของประเทศ ที่สอดรับกับความต้องการของ<br />
หน่วยงาน โดยเฉพาะหน่วยงานที่จัดอยู่ใน<br />
กลุ่มโครงสร้างพื้นฐานสำคัญของประเทศ<br />
(Critical Infrastructure) ซึ่งมีผลเกี่ยวเนื่อง<br />
สำคัญต่อความมั่นคงหรือความสงบเรียบร้อย<br />
ของประเทศ หรือต่อสาธารณชน โดยจะเน้น<br />
ให้ความสำคัญกับระบบการตรวจสอบและเฝ้า<br />
ระวังเว็บไซต์ หน่วยงานสำคัญของประเทศ การ<br />
พัฒนาระบบป้องกัน Distributed Denial of<br />
Service หรือ DDoS รวมถึงการพัฒนาระบบ<br />
วิเคราะห์วิจัยและทดสอบภัยคุกคามไซเบอร์<br />
ในห้องปฏิบัติการ<br />
GOAL
110<br />
ภาคผนวก<br />
ภาคผนวก ก การจัดประเภทของเหตุภัยคุกคามด้านสารสนเทศ<br />
ตารางที่ 7 ประเภทของภัยคุกคามที่ได้รับแจำ้งผ่านระบบอัตโนมัติ<br />
Botnet ภัยคุกคามด้านสารสนเทศที่เกิดกับกลุ่มของเครื่องคอมพิวเตอร์ที่มีโปรแกรมไม่พึงประสงค์ติดตั้งอยู่ ซึ่งโปรแกรมไม่พึงประสงค์นี้จะทำการรับคำสั่งจาก<br />
ผู้ควบคุมผ่านเครือข่ายอินเทอร์เน็ต โดยอาจเป็นคำสั่งที่ให้ทำการโจมตีระบบเครือข่าย ส่งสแปม หรือโจรกรรมข้อมูลในเครื่องคอมพิวเตอร์นั้น เป็นต้น<br />
Open DNS Resolver ภัยคุกคามด้านสารสนเทศที่เกิดจากการตั้งค่าของเครื่องให้บริการ DNS อย่างไม่เหมาะสม อาจถูกใช้เป็นส่วนหนึ่งในการโจมตีระบบต่าง ๆ ในลักษณะ<br />
DDoS ได้<br />
Spam ภัยคุกคามด้านสารสนเทศที่เกิดจากผู้ไม่หวังดีทำการส่งจดหมายอิเล็กทรอนิกส์ออกไปยังผู้รับจำนวนมาก โดยผู้ที่ได้รับจดหมายอิเล็กทรอนิกส์เหล่านั้น<br />
ไม่ได้มีความประสงค์ที่จะได้รับข้อมูลนั้นมาก่อน ส่วนมากเป็นการโฆษณาสินค้าและบริการ ทำให้เกิดความเดือดร้อนรำคาญแก่ผู้รับ<br />
Scanning ภัยคุกคามด้านสารสนเทศที่เกิดจากการที่ผู้ไม่หวังดี ทำการตรวจสอบข้อมูลเบื้องต้นของระบบปฏิบัติการหรือบริการบนเครื่องแม่ข่าย โดยใช้วิธีส่ง<br />
ข้อมูลไปสู่ระบบที่เป็นเป้าหมายผ่านระบบเครือข่าย แล้วรวบรวมผลลัพธ์จากการตอบสนองจากระบบที่เป็นเป้าหมายนั้น ข้อมูลที่ได้จากการสแกนมัก<br />
จะใช้เป็นข้อมูลในการเจาะหรือบุกรุกเข้าระบบต่อไป
111<br />
Open Proxy Server<br />
ภัยคุกคามด้านสารสนเทศที่เกิดจากการตั้งค่าบริการ Web Proxy ไม่เหมาะสม โดยยินยอมให้ผู้ใช้งานทั่วไปเรียกใช้งานเพื่อเข้าถึงบริการเว็บในเครือข่าย<br />
อินเทอร์เน็ตได้โดยไม่มีระบบยืนยันตัวตน (Authentication) ซึ่งอาจทำให้ผู้ไม่หวังดีใช้เป็นช่องทางในการกระทำความผิดหรือใช้โจมตีระบบอื่น ๆ ได้<br />
Web Defacement ภัยคุกคามด้านสารสนเทศที่เกิดจากการเจาะระบบได้สำเร็จ แล้วทำการเปลี่ยนแปลงข้อมูลบนหน้าเว็บไซต์ โดยมีจุดประสงค์ของการกระทำเพื่อสร้าง<br />
ความอับอาย ทำให้หน่วยงานเจ้าของเว็บไซต์ หรือผู้เกี่ยวข้องเสื่อมเสียชื่อเสียง<br />
Malware URL ภัยคุกคามด้านสารสนเทศที่เกิดจากเว็บไซต์ที่ใช้เพื่อเผยแพร่ Malware ส่วนมากจะเกิดจากการที่ผู้ไม่หวังดีบุกรุกเข้าไปยังเว็บไซต์ของผู้อื่นและใช้<br />
พื้นที่ของเว็บไซต์นั้นในการเผยแพร่ Malware และหลอกลวงให้ผู้อื่นเข้าถึงหรือดาวน์โหลด Malware นี้<br />
Phishing ภัยคุกคามด้านสารสนเทศในลักษณะการฉ้อฉล ฉ้อโกง หรือหลอกลวงเพื่อผลประโยชน์ ส่วนใหญ่มีวัตถุประสงค์ในการขโมยข้อมูลสำคัญของผู้ใช้งาน<br />
เช่น บัญชีผู้ใช้ รหัสผ่าน หรือข้อมูลสำคัญทางธุรกรรมอิเล็กทรอนิกส์ เป็นต้น ผู้โจมตีใช้วิธีการล่อลวงให้ผู้ใช้งานเข้าถึงบริการที่ทำปลอมขึ้นและทำให้ผู้<br />
ใช้งานเข้าใจผิดว่ากำลังใช้งานกับระบบของผู้ให้บริการจริงอยู่<br />
Brute Force ภัยคุกคามด้านสารสนเทศในลักษณะการโจมตีหรือเจาะระบบเป้าหมายด้วยวิธีการสุ่มข้อมูลตามอัลกอริทึมที่ผู้โจมตีคิดค้น เพื่อให้ได้ข้อมูลสำคัญหรือ<br />
ข้อมูลลับของระบบเป้าหมาย เช่น การสุ่มบัญชีชื่อผู้ใช้งานและรหัสผ่านเพื่อเข้าสู่ระบบ<br />
DDoS ภัยคุกคามด้านสารสนเทศในลักษณะการโจมตีสภาพความพร้อมใช้งานของระบบ โดยมีลักษณะการโจมตีมาจากหลายที่โดยแต่ละที่โจมตีเป้าหมาย<br />
เดียวกันภายในช่วงเวลาเดียวกัน เพื่อทำให้บริการต่าง ๆ ของระบบไม่สามารถให้บริการได้ตามปกติ มีผลกระทบตั้งแต่เกิดความล่าช้าในการตอบสนอง<br />
ของบริการจนกระทั่งระบบไม่สามารถให้บริการต่อไปได้
112<br />
ตารางที่ 8 คอธิบายประเภทของภัยคุกคามแบบต่าง ๆ<br />
ประเภท<br />
เนื้อหาที่เป็นภัย<br />
(Abusive Content)<br />
โปรแกรมไม่พึง<br />
ประสงค์<br />
(Malicious Code)<br />
ความพยายาม<br />
รวบรวมข้อมูลของ<br />
ระบบ (Information<br />
Gathering)<br />
คำอธิบาย<br />
ภัยคุกคามด้านสารสนเทศ ที่เกิดจากการใช้/เผยแพร่ข้อมูลที่ไม่เป็นจริงหรือไม่เหมาะสม (Abusive Content) เพื่อทำลายความน่าเชื่อถือ เพื่อก่อให้เกิด<br />
ความไม่สงบ หรือข้อมูลที่ไม่ถูกต้องตามกฎหมาย เช่น ลามก อนาจาร หมิ่นประมาท และรวมถึงการโฆษณาขายสินค้าต่าง ๆ ทางอีเมลที่ผู้รับไม่ได้มีความ<br />
ประสงค์จะรับข้อมูลโฆษณานั้น ๆ (Spam)<br />
ภัยคุกคามด้านสารสนเทศ ที่เกิดจากโปรแกรมหรือชุดคำสั่งที่พัฒนาขึ้นด้วยความประสงค์ร้าย (Malicious Code) เพื่อทำให้เกิดความขัดข้องหรือเสีย<br />
หายกับระบบที่โปรแกรมหรือซอฟต์แวร์ไม่พึงประสงค์นี้ติดตั้งอยู่ โดยปกติโปรแกรมหรือซอฟต์แวร์ไม่พึงประสงค์ประเภทนี้ต้องอาศัยผู้ใช้งานเป็นผู้เปิด<br />
ก่อน จึงจะสามารถติดตั้งตัวเองหรือทำงานได้ เช่น Virus, Worm, Trojan หรือ Spyware ต่าง ๆ<br />
ภัยคุกคามด้านสารสนเทศ ที่เกิดจากความพยายามของผู้ไม่หวังดีในการรวบรวมข้อมูลจุดอ่อนของระบบ (Scanning) ด้วยการเรียกใช้บริการต่าง ๆ ที่<br />
อาจจะเปิดไว้บนระบบ เช่น ข้อมูลเกี่ยวกับระบบปฏิบัติการ ระบบซอฟต์แวร์ที่ติดตั้งหรือใช้งาน ข้อมูลบัญชีชื่อผู้ใช้งาน (User Account) ที่มีอยู่บนระบบ<br />
เป็นต้น รวมถึงการเก็บรวบรวมหรือตรวจสอบข้อมูลจราจรบนระบบเครือข่าย (Sniffing) และการล่อลวงหรือใช้เล่ห์กลต่าง ๆ เพื่อให้ผู้ใช้งานเปิดเผย<br />
ข้อมูลที่มีความสำคัญของระบบ (Social Engineering)
113<br />
ความพยายาม<br />
จะบุกรุกเข้า<br />
ระบบ (Intrusion<br />
Attempts)<br />
การบุกรุกหรือเจาะ<br />
ระบบได้สำเร็จ<br />
(Intrusions)<br />
การโจมตีสภาพความ<br />
พร้อมใช้งานของ<br />
ระบบ (Availability)<br />
ฉ้อโกงหรือหลอก<br />
ลวงเพื่อผลประโยชน์<br />
(Fraud)<br />
ภัยคุกคามด้านสารสนเทศที่เกิดจากความพยายามจะบุกรุก/เจาะเข้าระบบ (Intrusions Attempts) ผ่านจุดอ่อนหรือช่องโหว่ที่เป็นที่รู้จักในสาธารณะ<br />
(CVE- Common Vulnerabilities and Exposures) หรือผ่านจุดอ่อนหรือช่องโหว่ใหม่ที่ยังไม่เคยพบมาก่อน เพื่อให้ได้เข้าครอบครองหรือทำให้เกิด<br />
ความขัดข้องกับบริการต่าง ๆ ของระบบ รวมถึงความพยายามจะบุกรุก/เจาะระบบผ่านช่องทางการตรวจสอบบัญชีชื่อผู้ใช้งานและรหัสผ่าน (Login)<br />
ด้วยวิธีการสุ่ม/เดาข้อมูล หรือทดสอบรหัสผ่านทุกค่า (Brute Force)<br />
ภัยคุกคามด้านสารสนเทศที่เกิดกับระบบที่ถูกบุกรุก/เจาะเข้าระบบได้สำเร็จ (Intrusions) และระบบถูกครอบครองโดยผู้ที่ไม่ได้รับอนุญาต<br />
ภัยคุกคามด้านสารสนเทศที่เกิดจากการโจมตีสภาพความพร้อมใช้งานของระบบ เพื่อทำให้บริการต่าง ๆ ของระบบไม่สามารถให้บริการได้ตามปกติ มี<br />
ผลกระทบตั้งแต่เกิดความล่าช้าในการตอบสนองของบริการจนกระทั่งระบบไม่สามารถให้บริการต่อไปได้ อาจจะเกิดจากการโจมตีที่บริการของระบบ<br />
โดยตรง เช่น การโจมตีประเภท DoS (Denial of Service) แบบต่าง ๆ หรือการโจมตีโครงสร้างพื้นฐานที่สนับสนุนการให้บริการของระบบ เช่น อาคาร<br />
สถานที่ ระบบไฟฟ้า ระบบปรับอากาศ<br />
ภัยคุกคามด้านสารสนเทศที่เกิดจากการฉ้อฉล ฉ้อโกง หรือการหลอกลวงเพื่อผลประโยชน์ (Fraud) สามารถเกิดได้ในหลายลักษณะ เช่น การลักลอบ<br />
ใช้งานระบบหรือทรัพยากรทางสารสนเทศที่ไม่ได้รับอนุญาตเพื่อแสวงหาผลประโยชน์ของตนเอง หรือการขายสินค้าหรือซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
114<br />
ภาคผนวก ข อภิธานศัพท์และคำย่อ<br />
ตารางที่ 9 อภิธานศัพท์และคย่อ<br />
คำศัพท์<br />
ความหมาย<br />
Port Scanning การตรวจสอบข้อมูลเบื้องต้นของระบบปฏิบัติการหรือบริการบนเครื่องแม่ข่าย โดยการส่งข้อมูลไปสู่ระบบที่เป็นเป้าหมายแล้วรวบรวมผลการ<br />
ตอบสนอง ข้อมูลที่ได้จากการสแกนมักถูกใช้เป็นข้อมูลในการเจาะหรือบุกรุกเข้าระบบต่อไป<br />
Social Engineering เทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อเปิดเผยข้อมูล เช่น การโทรศัพท์โดยแอบอ้างเป็นบุคคลอื่นเพื่อหลอกให้เปิด<br />
เผยรหัสผ่าน<br />
Trojan มัลแวร์ที่อยู่ในรูปของโปรแกรมทั่วไป แต่มีจุดประสงค์แอบแฝงเพื่อทำอันตรายต่อระบบ เช่น ขโมยข้อมูลบัญชีผู้ใช้ เป็นต้น โปรแกรมที่เป็นโทรจัน<br />
นั้นจะหลอกล่อให้ผู้ใช้คิดว่าตัวมันเองปลอดภัย และให้ผู้ใช้เป็นคนนำโปรแกรมเข้ามาติดตั้งอยู่ในระบบเอง<br />
Worm มัลแวร์ที่สามารถแพร่กระจายไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่ายหรือข้ามเครือข่ายโดยไม่ผ่านการใช้งานของผู้ใช้
115<br />
คำศัพท์<br />
ความหมาย<br />
Malware URL การเผยแพร่โปรแกรมไม่พึงประสงค์ผ่านเครื่องแม่ข่าย โดยโปรแกรมไม่พึงประสงค์จะทำงานเมื่อผู้ใช้เปิดเข้าไปใน URL ที่เป็นที่อยู่ของโปรแกรม<br />
ไม่พึงประสงค์ มีผลทำให้เบราว์เซอร์ถูกควบคุมการทำงานให้เป็นไปตามความต้องการของผู้เขียนมัลแวร์ เช่น ขโมยข้อมูล แสดงหน้าต่างโฆษณา<br />
หรือดาวน์โหลดโปรแกรมไม่พึงประสงค์อื่น ๆ ตามมา เป็นต้น<br />
Domain Name ชื่อที่ตั้งขึ้นเพื่อใช้แทนการเรียกหมายเลขไอพี (IP Address) เพื่อให้เป็นที่รู้จักและจดจำได้ง่ายขึ้น<br />
Vulnerability<br />
Assessment<br />
กระบวนการตรวจสอบหาช่องโหว่ของระบบสารสนเทศที่อาจเป็นจุดอ่อนให้ผู้ไม่หวังเจาะระบบเข้ามาได้ และประเมินความสำคัญและผลกระทบ<br />
ของช่องโหว่นั้น<br />
Penetration Testing ขั้นตอนถัดจากการตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ โดยทำการบุกรุกเจาะระบบสารสนเทศจริงโดยอาศัยวิธีการทางเทคนิค,<br />
การหลอกลวงแบบโซเชียลเอนจิเนียริง หรือแม้กระทั่งบุกรุกทางกายภาพเข้าไปขโมยข้อมูลก็ถือเป็นการทดสอบเจาะระบบ
116<br />
คำศัพท์<br />
ความหมาย<br />
Digital Forensics การเก็บหลักฐาน การค้นหา การวิเคราะห์ และการนำเสนอหลักฐานทางดิจิทัลที่อยู่ในอุปกรณ์คอมพิวเตอร์และอิเล็กทรอนิกส์ เช่น ไฟล์ที่อยู่ใน<br />
คอมพิวเตอร์ อุปกรณ์อิเล็กทรอนิกส์ โทรศัพท์มือถือ รวมถึงหลักฐานดิจิทัลที่สร้างจากระบบคอมพิวเตอร์ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้<br />
ระบุผู้กระทำผิดและใช้เป็นหลักฐานในการดำเนินคดีได้<br />
Computer Security<br />
Incident Response<br />
Team (CSIRT)<br />
One Time Password<br />
(OTP)<br />
หน่วยงานที่มีหน้าที่ประสานงานและจัดการภัยคุกคามที่เกิดกับระบบสารสนเทศในขอบเขตเครือข่ายที่กำหนด เช่น ซีเซิร์ตระดับองค์กรที่จัดการ<br />
ภัยคุกคามระบบสารสนเทศภายในองค์กร หรือ ซีเซิร์ตระดับประเทศที่สามารถประสานงานไปยังซีเซิร์ตในระดับประเทศด้วยกันหรือหน่วยงาน<br />
ที่เกี่ยวข้องเพื่อจัดการภัยคุกคามทางสารสนเทศ<br />
รหัสผ่านที่สามารถใช้ได้เพียงครั้งเดียวในการเข้าสู่ระบบ ซึ่งมีความแตกต่างจากรหัสผ่านทั่วไป (Static Password) คือสามารถป้องกันภัยคุกคาม<br />
เกี่ยวกับการกรอกรหัสผ่านซ้ำ (Replay Attack) กล่าวคือ หากผู้ประสงค์ร้ายทำการจดจำรหัสผ่านเดิมที่ผู้ใช้งานเคยเข้าสู่ระบบ เพื่อจะนำกลับมา<br />
ใช้ซ้ำ จะไม่สามารถกระทำได้เนื่องจากรหัสผ่านจะมีการเปลี่ยนไปในแต่ละครั้งที่เข้าสู่ระบบ แต่อย่างไรก็ตามการใช้งานรหัสผ่าน OTP มีข้อเสียคือ<br />
ผู้ใช้งานอาจจดจำรหัสผ่านดังกล่าวได้ยาก ดังนั้นจึงมักพบเห็นการใช้รหัสผ่านแบบ OTP ร่วมกับเทคโนโลยีอื่น ทั้งนี้ เทคโนโลยีที่ใช้ในการสร้างรหัส<br />
ผ่านแบบ OTP ได้แก่ การคำนวณจากเวลา การคำนวณจากรหัสผ่านเดิม หรือค่าสุ่มอื่น ๆ เป็นต้น
117<br />
คำศัพท์<br />
Content Management<br />
System (CMS)<br />
ความหมาย<br />
ระบบซอฟต์แวร์คอมพิวเตอร์ที่ใช้เพื่อจัดระเบียบเอกสารหรือเนื้อหาสาระ โดยส่วนมากนำมาช่วยในการสร้างและบริหารเว็บไซต์แบบสำเร็จรูป โดย<br />
ในการใช้งาน CMS นั้นผู้ใช้งานแทบไม่ต้องมีความรู้ในด้านการเขียนโปรแกรม ก็สามารถสร้างเว็บไซต์ได้<br />
Corporate เครือข่ายที่ให้บริการอินเทอร์เน็ตกับหน่วยงาน หรือองค์กรที่มีหมายเลขไอพี (IP Adrdress) คงที่ โดยทั่วไปจะมีระบบเครือข่ายและสารสนเทศ<br />
ภายในจำนวนมาก และมีผู้ดูแลระบบประจำหน่วยงาน<br />
Broadband เครือข่ายที่ให้บริการอินเทอร์เน็ตกับผู้ใช้ทั่วไป มีการระบุหมายเลขไอพี (IP Address) กับเครื่องที่เป็นลักษณะไดนามิกไอพี (Dynamic IP) ซึ่ง<br />
หมายเลขไอพี (IP Address) จะเปลี่ยนแปลงไปได้ตามเงื่อนไขที่ผู้ให้บริการกำหนด ผู้ใช้เครือข่ายแบบนี้ส่วนมากจะเป็นผู้ใช้บริการตามบ้าน หรือ<br />
สำนักงานขนาดเล็กที่มีผู้ใช้บริการจำนวนน้อย
118<br />
ภัยคุกคามในเครือข่าย<br />
ตารางที่ 10 จำนวนหมายเลขไอพีของเครือข่าย (AS number ที่ได้รับแจำ้งเหตุภัยคุกคาม) ที่ได้รับแจำ้งรายงานภัยคุกคามสูง<br />
ที่สุด นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ผู้ให้บริการอินเทอร์เน็ต AS Number จำนวนหมายเลขไอพี<br />
จำนวนรายงานเหตุภัยคุกคาม<br />
นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
TOT<br />
True Internet<br />
9737<br />
23969<br />
38040<br />
56120<br />
7470<br />
9287<br />
17552<br />
1,355,520 1,045,917<br />
2,249,472 749,732<br />
Triple T Broadband 45758 1,069,056 720,117<br />
Jastel Network<br />
45629<br />
55423<br />
1,094,656 686,283
119<br />
ผู้ให้บริการอินเทอร์เน็ต AS Number จำนวนหมายเลขไอพี<br />
จำนวนรายงานเหตุภัยคุกคาม<br />
นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
CAT Telecom<br />
Super Broadband Network<br />
(SBN)<br />
4651<br />
9931<br />
18252<br />
131089<br />
131090<br />
38444<br />
45430<br />
45458<br />
308,224 66,953<br />
207,616 60,441<br />
Real Move 132061 65,536 36,758<br />
Advanced Wireless Network<br />
(AWN)<br />
131445 102,400 31,256<br />
DTAC<br />
17724<br />
24378<br />
266,240 25,720<br />
TT&T 55465 403,456 14,363
120<br />
BOTNET<br />
ตารางที่ 11 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจำนวนรายงานประเภท Botnet สูงที่สุด<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556)<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
TOT<br />
True Internet<br />
AS9737: 82.77%<br />
AS23969: 28.07%<br />
AS38040: 0.01%<br />
AS56120: 0.55%<br />
AS7470: 1.03%<br />
AS9287: 0.57%<br />
AS17552: 44.42%<br />
1,027,199 978,427 900,415 149,699<br />
713,584 649,075 606,270 55,372<br />
Triple T Broadband AS45758: 63.71% 681,065 371,909 564,295 55,237<br />
Jastel Network<br />
AS45629: 59.50%<br />
AS55423: 0.34%<br />
637,276 549,705 290,074 4,756
121<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556)<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
CAT Telecom<br />
Super Broadband<br />
Network (SBN)<br />
AS9931: 2.30%<br />
AS18252: 0.22%<br />
AS131089: 97.79%<br />
AS131090: 65.52%<br />
AS38444: 26.77%<br />
AS45430: 3.85%<br />
AS45458: 14.73%<br />
63,216 59,448 50,880 232<br />
48,842 25,624 32,759 8,584<br />
Real Move AS132061: 56.09% 36,758 36,723 17,197 -<br />
Advanced Wireless<br />
Network (AWN)<br />
AS131445: 30.52% 31,256 31,256 - -<br />
DTAC<br />
AS17724: 0.39%<br />
AS24378: 9.63%<br />
25,502 24,721 13,904 8,414<br />
TT&T AS55465: 3.14% 12,670 9,637 4,770 27
122<br />
OPEN DNS RESOLVER<br />
ตารางที่ 12 สถิติประเภท Open DNS Resolver นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก<br />
จำแนกตามผู้ให้บริการเครือข่าย<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556)<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
TOT<br />
True Internet<br />
Jastel Network<br />
AS9737: 58.46%<br />
AS23969: 3.27%<br />
AS38040: 0.01%<br />
AS56120: < 0.01%<br />
AS7470: 0.29%<br />
AS9287: 0.73%<br />
AS17552: 41.27%<br />
AS45629: 14.57%<br />
AS55423: 0.21%<br />
725,003 721,958 19,763 16,381<br />
659,843 659,227 147,458 107,309<br />
156,106 156,104 6 858<br />
Triple T Broadband AS45758: 9.13% 97,622 87,355 11,757 11,245
123<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556)<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
CAT Telecom<br />
AS4651: 0.01%<br />
AS9931: 0.83%<br />
AS18252: 0.02%<br />
AS131089: 3.97%<br />
AS131090: 59.67%<br />
54,671 54,530 611 940<br />
Advanced Datanetwork<br />
Communications (ADC)<br />
AS17565: 12.11% 4,154 4,0.57 245 280<br />
CS Loxinfo<br />
AS4750: 0.83%<br />
AS7568: 0.10%<br />
AS9891: 1.66%<br />
AS45537: 11.33%<br />
3,809 3,665 672 966<br />
KSC AS7693: 0.83% 2,177 2,151 197 282<br />
Ministry of Education AS23974: 1.26% 1,446 1,328 527 752<br />
TT&T AS55465: 0.33% 1,315 1,314 3 13
SCANNING<br />
ตารางที่ 13 สถิติประเภท Scanning นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก<br />
จำแนกตามผู้ให้บริการเครือข่าย<br />
124<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556)<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
True Internet<br />
AS7470: 0.02%<br />
AS9287: 0.11%<br />
AS17552: 0.31%<br />
5,045 3,218 1,881 1,847<br />
Triple T Broadband AS45758: 0.42% 4,514 2,676 1,890 1,321<br />
TOT<br />
Jastel Network<br />
AS9737: 0.29%<br />
AS23969: 0.13%<br />
AS38040: 0.01%<br />
AS56120: 0.01%<br />
AS45629: 0.24%<br />
AS55423: 0.01%<br />
3,678 2,305 1,474 1,640<br />
2,535 2,533 - 70
125<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556)<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
CAT Telecom<br />
CS Loxinfo<br />
AS9931: 0.12%<br />
AS18252: 0.02%<br />
AS131089: 0.07%<br />
AS4750: 0.02%<br />
AS9891: 0.22%<br />
240 161 114 94<br />
160 117 63 111<br />
Ministry of Education AS23974: 0.10% 112 63 55 34<br />
UniNet<br />
AS4621: 0.06%<br />
AS38589: 0.07%<br />
81 48 38 36<br />
BB Broadband AS38794: 0.11% 52 32 23 25<br />
DTAC AS24378: 0.02% 42 28 14 9
SPAM<br />
ตารางที่ 14 สถิติประเภท Spam นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก<br />
จำแนกตามผู้ให้บริการเครือข่าย<br />
126<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556)<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
TOT<br />
AS9737: 41.99%<br />
AS23969: 18.22%<br />
AS56120: 0.39%<br />
532,718 38,180 516,982 399,539<br />
Triple T Broadband AS45758: 12.69% 135,675 8,211 130,351 53,170<br />
True Internet<br />
Super Broadband<br />
Network (SBN)<br />
AS7470: 0.22%<br />
AS9287: 0.17%<br />
AS17552: 7.50%<br />
AS38444: 12.85%<br />
AS45430: 6.12%<br />
AS45458: 6.29%<br />
121,076 7,544 115,830 100,637<br />
23,248 7,912 22,199 43,005
127<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556)<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
DTAC<br />
Jastel Network<br />
AS17724: 0.07%<br />
AS24378: 5.38%<br />
AS45629: 0.77%<br />
AS55423: 0.05%<br />
14,245 7,715 13,673 21,742<br />
8,228 8,211 16 2,717<br />
Advanced Datanetwork<br />
Communications (ADC)<br />
AS17565: 11.20% 3,842 365 3,659 3,786<br />
UniNet<br />
AS4621: 2.70%<br />
AS38589: 0.26%<br />
AS56277: 0.78%<br />
3,453 1,572 3,016 2,353<br />
PROEN AS23884: 7.23% 3,368 9 3,364 66<br />
CAT Telecom<br />
AS9931: 1.03%<br />
AS18252: 0.15%<br />
2,054 1,165 1,312 1,312
128<br />
OPEN PROXY SERVER<br />
ตารางที่ 15 10 สถิติประเภท Open Proxy Server นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด<br />
10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556)<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
Triple T Broadband AS45758: 0.52% 5,587 2,866 2,927 2,857<br />
Jastel Network AS45629: 0.32% 3,461 2,860 642 4<br />
CAT Telecom<br />
TOT<br />
True Internet<br />
AS9931: 0.02%<br />
AS131090: 1.98%<br />
AS9737: 0.11%<br />
AS23969: 0.02%<br />
AS7470: 0.01%<br />
AS9287: 0.01%<br />
AS17552: 0.02%<br />
1,790 545 1,362 21<br />
1,382 953 618 448<br />
293 78 216 193
129<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556)<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
Super Broadband Network<br />
(SBN)<br />
AS38444: < 0.01%<br />
AS45458: 0.30%<br />
85 7 80 19<br />
Ministry of Education AS23974: 0.04% 50 38 19 19<br />
UniNet AS4621: 0.02% 30 22 15 9<br />
CS Loxinfo<br />
AS4750: < 0.01%<br />
AS9891: 0.03%<br />
16 9 8 3<br />
Chiang Mai University AS17479: 0.29% 9 9 - 2
130<br />
MALWARE URL<br />
ตารางที่ 16 สถิติประเภท Malware URL นับตามจำนวนURL และหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด<br />
10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำต่อจำนวนหมายเลข<br />
ไอพีของแต่ละ AS Number<br />
(2556)<br />
จำนวนรายงานที่<br />
ได้รับ<br />
จำนวน URL ที่<br />
ไม่ซ้ำ<br />
จำนวนหมายเลข<br />
ไอพีที่ไม่ซ้ำ<br />
จำนวนรายงานที่ได้รับ<br />
/ จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ<br />
CAT Telecom AS9931: 0.15% 16,732 4,170 307 54.5<br />
Ministry of Education AS23974: 0.05% 12,807 2,853 54 237.2<br />
CS Loxinfo<br />
AS4750: < 0.01%<br />
AS9891: 0.35%<br />
10,157 2,812 133 76.4<br />
Sripatum University AS46079: 0.23% 1,218 383 3 406.0<br />
Metrabyte AS56067: 0.46% 1,159 420 42 27.6
131<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำต่อจำนวนหมายเลข<br />
ไอพีของแต่ละ AS Number<br />
(2556)<br />
จำนวนรายงานที่<br />
ได้รับ<br />
จำนวน URL ที่<br />
ไม่ซ้ำ<br />
จำนวนหมายเลข<br />
ไอพีที่ไม่ซ้ำ<br />
จำนวนรายงานที่ได้รับ<br />
/ จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ<br />
ISP Thailand AS7654: 0.06% 759 237 23 33.0<br />
INET AS4618: 0.02% 589 232 50 11.8<br />
KSC AS7693: < 0.01% 406 79 10 40.6<br />
True Internet<br />
AS7470: < 0.01%<br />
AS9287: 0.03%<br />
AS17552: < 0.01%<br />
398 54 17 23.4<br />
UniNet AS4621: 0.02% 262 69 28 9.4
132<br />
WEB DEFACEMENT<br />
ตารางที่ 17 สถิติประเภท Web Defacement นับตามจำนวน URL และหมายเลขไอพีที่ไม่ซ้ำ<br />
ที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำต่อจำนวนหมายเลข<br />
ไอพีของแต่ละ AS Number<br />
(2556)<br />
จำนวนรายงานที่<br />
ได้รับ<br />
จำนวน URL<br />
ที่ไม่ซ้ำ<br />
จำนวนหมายเลข<br />
ไอพีที่ไม่ซ้ำ<br />
จำนวนรายงานที่ได้รับ<br />
/ จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ<br />
CAT Telecom<br />
AS4651: 0.04%<br />
AS9931: 0.20%<br />
AS131090: 0.01%<br />
3,451 3,367 419 8.2<br />
Metrabyte AS56067: 0.66% 1,390 1,383 61 22.8<br />
CS Loxinfo<br />
AS4750: 0.01%<br />
AS9891: 0.47%<br />
AS45537: 2.34%<br />
915 905 195 4.7<br />
INET AS4618: 0.03% 676 675 77 8.8<br />
Pacnet Internet AS4765: 0.04% 461 430 32 14.4
133<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำต่อจำนวนหมายเลข<br />
ไอพีของแต่ละ AS Number<br />
(2556)<br />
จำนวนรายงานที่<br />
ได้รับ<br />
จำนวน URL<br />
ที่ไม่ซ้ำ<br />
จำนวนหมายเลข<br />
ไอพีที่ไม่ซ้ำ<br />
จำนวนรายงานที่ได้รับ<br />
/ จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ<br />
UniNet<br />
AS4621: 0.06%<br />
AS38589: 0.26%<br />
369 364 75 4.9<br />
Ministry of Education AS23974: 0.08% 305 283 89 3.4<br />
ISP Thailand AS7654: 0.07% 139 138 26 5.3<br />
POP-IDC AS131447: 0.78% 117 117 18 6.5<br />
Netway Communication AS18362: 0.27% 98 98 11 8.9
134<br />
PHISHING<br />
ตารางที่ 18 สถิติประเภท Phishing ที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
CAT Telecom AS4651: 0.08%<br />
AS9931: 0.09%<br />
AS131090: 0.01%<br />
199 119 108 96<br />
TOT AS9737: 0.01% 110 100 45 6<br />
CS Loxinfo AS4750: < 0.01%<br />
AS9891: 0.26%<br />
AS45537: 0.39%<br />
98 62 51 37<br />
Ministry of Education AS23974: 0.04% 44 25 19 11<br />
Metrabyte AS56067: 0.41% 38 30 22 19
135<br />
ผู้ให้บริการอินเทอร์เน็ต<br />
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ต่อจำนวนหมายเลขไอพีของแต่ละ<br />
AS Number (2556)<br />
จำนวนหมายเลขไอพี<br />
ที่ไม่ซ้ำ (2556<br />
จำนวนหมายเลขไอพีที่ไม่ซ้ำ<br />
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555<br />
INET AS4618: 0.02% 35 22 20 15<br />
UniNet AS4621: 0.02% 28 15 16 5<br />
True Internet AS7470: < 0.01%<br />
AS9287: 0.02%<br />
AS17552: < 0.01%<br />
16 10 8 7<br />
ISP Thailand AS7654: 0.04% 15 10 6 9<br />
Siamdata Communication AS56309: 0.49% 15 9 7 2<br />
PROEN AS23884: 0.03% 13 7 9 6<br />
หมายเหตุ: จำนวนรายงานภัยคุกคามที่ได้รับแจ้งในปี 2556 มีจำนวนเพิ่มขึ้นจากปี 2555 เป็นจำนวนมาก เนื่องจาก ไทยเซิร์ต ได้ขยายเครือข่ายความร่วมมือและเพิ่มแหล่งข้อมูลภัยคุกคามเพิ่มขึ้น
ภาคผนวก ง รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA iSEC<br />
CERTIFICATE<br />
ตารางที่ 19 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA iSEC-M<br />
ลำดับที่ ชื่อ-นามสกุล หน่วยงาน ประเภท<br />
1 สมลักษณ์ กิติวัฒนบำรุง บ.จันวาณิชย์ จำกัด iSEC-M<br />
2 จิรพัฒน์ สุมานนท์ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) iSEC-M<br />
3 จิรชาติ วงศ์ทอง โรงพยาบาลศิครินทร์ iSEC-M<br />
4 ทนงศักดิ์ กิจโรณี การไฟฟ้าส่วนภูมิภาค iSEC-M<br />
5 กรรกร จักรกริชกูล สถาบันคุ้มครองเงินฝาก iSEC-M<br />
6 วิจารณ์ ชัยโรจน์ ธนาคารอาคารสงเคราะห์ iSEC-M<br />
7 เฉลิมพร ช่วยรักษา การไฟฟ้าส่วนภูมิภาค iSEC-M<br />
8 จิตสถา ธาตวากร การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย iSEC-M<br />
9 สุภชัย พันธ์โกศล ส่วนตัว iSEC-M<br />
10 ปรัชญา พรนิมิตกุล ธนาคารกรุงเทพ จำกัด (มหาชน) iSEC-M<br />
11 วริศรา นาคประสงค์ การไฟฟ้านครหลวง iSEC-M<br />
136
137<br />
ISEC-T<br />
ตารางที่ 20 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA<br />
ลำดับที่ ชื่อ-นามสกุล หน่วยงาน ประเภท<br />
1 ผศ.ดร.ศุภกร กังพิศดาร คณะวิทยาการและเทคโนโลยีสารสนเทศ<br />
มหาวิทยาลัยเทคโนโลยีมหานคร<br />
2 อนุชา เกษมวัฒนากุล สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) iSEC-T<br />
3 กมล สินสวนแตง Progress Software iSEC-T<br />
4 ภาสกร ถายะพิงค์ VeriFone (Thailand) Co., Ltd. iSEC-T<br />
5 ธนัท ทองอุทัยศรี NSTDA Academy iSEC-T<br />
6 วชิรา เทพศิริ การไฟฟ้าส่วนภูมิภาค iSEC-T<br />
7 ธนา พงษ์กิตติหล้า การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย iSEC-T<br />
8 สุณัฏฐา จันทร์วัฒนะ บริษัท ทีโอที จำกัด (มหาชน) iSEC-T<br />
9 พ.ต. พิศุทธิ์ ม่วงสมัย กรมยุทธการทหาร กองบัญชาการกองทัพไทย iSEC-T<br />
iSEC-T
138<br />
คณะผู้จัดทำ<br />
ชัยชนะ มิตรพันธ์<br />
ผู้ช่วยผู้อ นวยการ สพธอ.<br />
สรณันท์ จิวะสุรัตน์<br />
ผู้อ นวยการ ส นักความมั่นคงปลอดภัย<br />
ธงชัย แสงศิริ<br />
รองผู้อ นวยการ ส นักความมั่นคงปลอดภัย<br />
สุรางคณา วายุภาพ<br />
ผู้อำนวยการ สพธอ.<br />
ฝ่ายจัดทำ เนื้อหา<br />
ฝ่ายศิลป์และพิสูจน์อักษร<br />
ฝ่ายประสานงาน<br />
สุรางคณา วายุภาพ<br />
ชัยชนะ มิตรพันธ<br />
สรณันท์ จิวะสุรัตน<br />
ธงชัย แสงศิริ<br />
พรพรหม ประภากิตติกุล<br />
ธงชัย ศิลปวรางกูร,<br />
ณัฐโชติ ตุสิตานนท์<br />
และทีมไทยเซิร์ต<br />
ณัฐพงศ์ วรพิวุฒิ<br />
นภดล อุษณบุญศิริ<br />
ณัฐนัย รวดเร็ว<br />
ทศพร โขมพัตร<br />
นิโรจน์ พิกุลทอง<br />
รจนา ล้ำ เลิศ<br />
โชติกา สินโน<br />
พรรวดี โควินทเศรษฐ
140