วันอังคารที่ 2 ธันวาคม พ.ศ. 2557

ศูนย์ไซเบอร์กองทัพบก : เขี้ยวเล็บ หรือ เสือกระดาษ

ศูนย์ไซเบอร์กองทัพบก : เขี้ยวเล็บ หรือ เสือกระดาษ
( Army Cyber Center : Abilities or Paper Tiger )
โดย พลตรี ฤทธี  อินทราวุธ
ผู้อำนวยการศูนย์เทคโนโลยีทางทหาร

กองทัพบก โดย พลเอกประยุทธ์ จันทร์โอชา อดีตผู้บัญชาการทหารบก ท่านที่แล้ว ได้มีนโยบายและอนุมัติหลักการให้จัดตั้ง ศูนย์ไซเบอร์กองทัพบก ( Army Cyber Center ) ขึ้นปฏิบัติงานเพื่อพลางตามนโยบายของรัฐบาลที่ผ่านมา และคณะกรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
( National Cyber Security Committee : NCSC ) โดยได้เริ่มทดลองปฏิบัติงาน ตั้งแต่ 1 ตุลาคม 2557  ไปพร้อมๆ กับเหล่าทัพอื่น กองบัญชาการกองทัพไทย และกระทรวงกลาโหม เพื่อเตรียมการรับมือกับภัยคุกคามด้านไซเบอร์ที่กำลังเผชิญอยู่ในยุคปัจจุบัน และมีผลกระทบต่อความมั่นคงของประเทศ รวมถึงผลกระทบด้านความมั่นคงและปลอดภัยไซเบอร์ อันสืบเนื่องมาจากการเปิดเสรีอาเซียนเพื่อเข้าสู่ประชาคมอาเซียน ( ASEAN Community ) ในปี 2558 นั้น
ศูนย์เทคโนโลยีทางทหาร ( ศทท. ) ได้มีการเตรียมความพร้อมในด้านต่างๆ อาทิเช่น การกำหนดแผนที่เชิงความคิด ( Mind map ) การกำหนดแผนที่การทำงาน ( Roadmap ) การจัดทำกรอบความคิดการทำงาน ( Frame work ) การพัฒนาปรับปรุงโครงสร้างการจัดองค์กรใหม่ ( Reorganization ) การพัฒนาปรับปรุงกระบวนการทำงานใหม่เพื่อให้เกิดประสิทธิภาพในการทำงาน  ( Reengineering )   การพัฒนาปรับปรุงสำนักงานและภูมิทัศน์ทั้งภายใน-ภายนอกให้มีความสง่าสวยงาม มีความเป็นสัดส่วนในด้านงานบริการด้านสารสนเทศและงานรักษาความปลอดภัยไซเบอร์ การจัดทำแผนงานโครงการต่างๆ เพื่อรองรับการปฏิบัติงาน การพัฒนาบุคลากรให้มีความรู้ความสามารถในการปฏิบัติงานไซเบอร์ การแต่งตั้งคณะกรรมการพัฒนาการปฏิบัติการไซเบอร์ของกองทัพบก และการดำเนินการทดลองปฏิบัติงานเพื่อรองรับการแปรสภาพเป็น ศูนย์ไซเบอร์กองทัพบก โดยตลอดระยะเวลาการทดลองปฏิบัติงานตามโครงสร้างของศูนย์ไซเบอร์กองทัพบก ที่ผ่านมา 2 เดือน มีความเจริญก้าวหน้ามาตามลำดับ ทั้งๆ ที่ยังไม่ได้รับการสนับสนุนงบประมาณจากกองทัพบก แต่อย่างใด และผลสัมฤทธิ์ที่ปรากฏอย่างเป็นรูปธรรมเห็นได้ชัดเจน อาทิเช่น
1. การกำหนดแผนที่เชิงความคิด ( Mind map ) เป็นผลสืบเนื่องมาจากการประชุม Executive Steering Group ( ESG )  เมื่อเดือน พฤษภาคม 2556 โดยความร่วมมือทางทหาร ระหว่างกองทัพบกไทย และ
กองทัพบกสหรัฐ ทำให้เกิดข้อตกลงกันในการดำเนินการจัดการประชุมแลกเปลี่ยนผู้เชี่ยวชาญด้านไซเบอร์ ไทย  สหรัฐ ( Cyber Security – Subject Master Expert Exchange ( SMEE ) ในห้วงเดือนกุมภาพันธ์ 2557 ขึ้น โดยมี ศูนย์เทคโนโลยีทางทหาร ( ศทท.) รับผิดชอบดำเนินการ และได้มีการจัดทำแผนที่เชิงความคิด ( Mind Map ) ด้านไซเบอร์ของกองทัพบก ประกอบด้วย 4 ด้าน คือ ด้านนโยบาย , ด้านการจัดการความรู้ , ด้านโครงสร้างองค์กร และด้านการปฏิบัติงาน ซึ่งได้มีการกำหนด แผนที่การทำงาน ( Roadmap ) และกรอบความคิดการทำงาน ( Frame work ) ดังมีรายละเอียดตามด้านล่าง
2. การกำหนดแผนที่การทำงาน ( Roadmap )

3. การจัดทำกรอบความคิดในการทำงาน ( Frame work )




4. การพัฒนาปรับปรุงโครงสร้างการจัดองค์กรใหม่ ( Reorganization ) ศูนย์เทคโนโลยีทางทหารได้ดำเนินการปรับปรุงโครงสร้างการจัดองค์กรใหม่ โดยแบ่งกลุ่มงานออกเป็น 2 ส่วน คือ กลุ่มงานไซเบอร์ แบ่งออกเป็น 5 งาน คือ งานธุรการ งานแผนและฝึก งานการรักษาความปลอดภัยไซเบอร์ งานปฏิบัติการไซเบอร์ และงานสนับสนุนการปฏิบัติการข่าวสาร ส่วนกลุ่มงานบริการเทคโนโลยีสารสนเทศ แบ่งออกเป็น 2 งาน คือ งานการพัฒนาระบบ และงานการบริการเครือข่ายสารสนเทศ
5. การพัฒนาปรับปรุงกระบวนการทำงานใหม่ ( Reengineering )   ศูนย์เทคโนโลยีทางทหารได้กำหนดนโยบายการปฏิบัติงานที่มุ่งเน้นผลสัมฤทธิ์ และมีความเป็นรูปธรรม เพื่อให้สอดคล้องกับนโยบาย พลเอก อุดมเดช สีตบุตร ผู้บัญชาการทหารบก ที่กำหนดให้ปี 2558 เป็น " ปีแห่งการปฏิบัติงานของกองทัพบก ที่มุ่งเน้นผลสัมฤทธิ์ และเป็นรูปธรรมในทุกด้าน "
6. การพัฒนาปรับปรุงสำนักงาน ศูนย์เทคโนโลยีทางทหารได้ดำเนินการปรับปรุงที่ตั้งสำนักงานใหม่ให้มีความเป็นสัดส่วนในด้านงานบริการด้านเทคโนโลยีสารสนเทศ และงานรักษาความปลอดภัยไซเบอร์ โดยกำหนดให้งานบริการด้านเทคโนโลยีสารสนเทศ อยู่ในพื้นที่ชั้นใน ( Safety Zone ) ส่วนงานรักษาความปลอดภัยไซเบอร์ อยู่พื้นที่ชั้นนอก เพื่อให้ระบบสารสนเทศมีความมั่งคงปลอดภัยมากยิ่งขึ้นทั้งทางกายภาพและทางเทคนิค
7. การจัดทำแผนงานโครงการต่างๆ  ศูนย์เทคโนโลยีทางทหารได้ดำเนินการจัดทำแผนงานโครงการที่สำคัญต่างๆ เพื่อรองรับการปฏิบัติงานของศูนย์ไซเบอร์กองทัพบก อาทิเช่น
7.1 โครงการปรับปรุงห้องอบรมคอมพิวเตอร์ เป็น ห้องปฏิบัติการไซเบอร์
7.2 โครงการเสริมสร้างความพร้อมรับมือภัยคุกคามทางไซเบอร์
7.3 โครงการระบบสืบค้นข้อมูลข่าวสารจากเครือข่ายสังคมออนไลน์
7.4 โครงการจัดหาอุปกรณ์สำหรับศูนย์เฝ้าระวังและเตือนภัยไซเบอร์
8. การพัฒนาบุคลากรให้มีความรู้ความสามารถในการปฏิบัติงานไซเบอร์
8.1 จัดกำลังพลเข้ารับการอบรมหลักสูตร Vulnerability Assessment and Penetration Testing ณ มหาวิทยาลัยมหิดล ศาลายา จำนวน  ๘ นาย
8.2 จัดกำลังพลเข้ารับการอบรมหลักสูตร Advanced Linux Administration ณ มหาวิทยาลัยมหิดล ศาลายา จำนวน  ๘  นาย
8.3 จัดกำลังพลเข้ารับการอบรมหลักสูตร Web Gateway ณ มหาวิทยาลัยมหิดล ศาลายาจำนวน  ๘  นาย
8.4 จัดกำลังพลเข้าร่วมการสัมมนา Israel HLS 2014 : Israeli Homeland and Cyber Security ณ โรงแรมเรดิสัน บลู พลาซ่า สุขุมวิท ๒๗ กทมฯ
8.5 จัดกำลังพลเข้ารับการอบรมหลักสูตรเชิงปฏิบัติการวิเคราะห์ช่องโหว่ของระบบเครือข่ายไร้สาย และเว็บแอพพลิเคชั่นขององค์กร หลักสูตรของ SIPA
8.6 จัดกำลังพลเข้ารับการฝึกอบรมหลักสูตรผู้บริหารระบบปฏิบัติการ Linux ชั้นสูง (Linux Administration) และหลักสูตรการบริหารจัดการระบบ web gateway (Proxy Server) โดยอาจารย์จากมหาวิทยาลัยมหานคร
8.7 จัดกำลังพลเข้ารับฟังการบรรยายแนะนำผลิตภัณฑ์ของ บริษัท Gold Lock ประเทศอิสราเอล ได้แก่ อุปกรณ์ BlockBox สำหรับการทำ DDOS, อุปกรณ์ค้นหาการดักรับของ mobile เพื่อการเฝ้าระวังการดักรับ และ Intelligent Cyber Security เน้นด้านการดักรับ wifi และการถอดรหัส
8.8 จัดกำลังพลเข้าฟังการบรรยายหัวข้อ APT : Amazing Portection โดย บริษัท อินโพซีเคียวริตี้ คอมซัลแทนต์ จำกัด ณ โรงแรมแกรนด์ เซ็นเตอร์พอยต์ เทอร์มินอล 21 สุขุมวิท กทมฯ
8.9 จัดกำลังพลฟังบรรยายระบบป้องกันการโจมตี DDOS จากบริษัท MFEC  ณ ห้องประชุม ชั้น ๑ ศทท.
8.10 จัดกำลังพลร่วมงานของสำนักงานธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) จำกัด ในงาน “3 Years ETDA Enabling Digital Economy” ณ รอยัลพารากอน ฮอลล์ ศูนย์การค้าสยามพารากอน กทมฯ
8.11 จัดกำลังพลร่วมศึกษาดูงาน เพื่อเตรียมความพร้อมในการจัดตั้งศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัยไซเบอร์ ( Advance Cyber Security Operation Center : ASOC ) ณ ศูนย์ปฏิบัติการพิเศษด้านความปลอดภัยไซเบอร์ของบริษัท EMC Corporation (RSA Advanced Security Operations Center) ประเทศสิงค์โปร์
8.12 ร่วมงานสัมมนา Cyber Security Excellence Conference (C-SEC 2014) หัวข้อ “ Security & Privacy Protection” ณ รร. S31 สุขุมวิท ๓๑
8.13 การบรรยายพิเศษเรื่อง การสร้างความตระหนักในการรักษาความปลอดภัยสารสนเทศของหน่วย โดย รอง ผอ.ศูนย์รักษาความปลอดภัยคอมพิวเตอร์ ทสอ.กห. ให้กับกำลังพล ศทท.
8.14 ร่วมประชุมหารือแนวทางการปฏิบัติงานเชิงบูรณาการร่วมกัน ระหว่างหน่วยงานด้านสงครามไซเบอร์ของกองทัพไทย ณ ห้องประชุม สนผ.ยก.ทหาร ชั้น ๕ บก.ทท.
8.15 จัดผู้แทนหน่วยร่วมอภิปรายโครงการ Bangkok International Student Conference 2014 ในหัวข้อ “Human Cyber and Secured-life” ณ มหาวิทยาลัยธรรมศาสตร์  
                                         8.16 การฝึกอบรมกำลังพลของ ศูนย์ไซเบอร์กองทัพบก ได้แก่
                                                            -    การฝึกอบรมด้านความรู้เบื้องต้นในงานด้านปฏิบัติการข่าวสาร
                                                            -    การฝึกอบรม พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
                                                            -    การฝึกอบรมเทคนิคการลาดตระเวน และรวบรวมข่าวสารทางไซเบอร์
                                                            -    การฝึกอบรมเทคนิคการวิเคราะห์ข่าวสารสำคัญทางไซเบอร์
                                                            -    การฝึกอบรมเทคนิคการจัดทำสื่อผสมสำหรับการตอบโต้
                                                            -    การฝึกอบรมความตระหนัก และจริยธรรมในงานด้านปฏิบัติการข่าวสาร
                                                            -    การฝึกอบรมการใช้เครื่องมือปฏิบัติการข่าวสาร
                                                            -    การฝึกอบรมเทคนิคการเผยแพร่ข้อมูลข่าวสาร
                                                            -    การฝึกอบรมเทคนิคการตอบโต้ข่าวสาร
                                                            -    การฝึกอบรมเทคนิคการจัดทำสื่อผสมสำหรับการตอบโต
                                                            -    การฝึกอบรม “ความรู้พื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์
                                         8.17 การจัดทำโครงการอบรมหลักสูตร “Cyber Warfare Engineering Foundation” สำหรับกำลังพลของกองทัพบก
                                         8.18 การจัดทำโครงการอบรมชุดนิเทศไซเบอร์เคลื่อนที่ พื้นที่ ๔ กองทัพภาค
                                         8.19 การจัดทำโครงการ Cyber Security Contest Workshop เพื่อรองรับการจัดการแข่งขัน Army Cyber Security Contest 2015
8.20 การขออนุมัติการเข้าฝึกอบรมหลักสูตร Essential Knowledge for information system auditor จำนวน ๒ นาย เพื่อให้เตรียมความพร้อมด้าน IT Audit
8.21 เตรียมการเปิดหลักสูตร การอบรมสำหรับนายทหาร รปภ.ไซเบอร์ ระดับกองพัน
9. การแต่งตั้งคณะกรรมการพัฒนาการปฏิบัติการไซเบอร์ของกองทัพบก ศูนย์เทคโนโลยีทางทหารจัดการประชุมคณะกรรมการพัฒนาการปฏิบัติด้านไซเบอร์ของ ทบ. ครั้งที่ ๑ ณ ห้องประชุม ศทท. ชั้น ๒ โดยมี ผอ.ศทท. / ประธานกรรมการฯ เป็นประธาน
10. การดำเนินการทดลองปฏิบัติงาน
10.1 การทดสอบช่องโหว่ระบบสารสนเทศของ ศทท. (Vulnerability Assessment : VA )
10.2 การทดลองติดตั้งและทดสอบการใช้งานอุปกรณ์ Application Firewall สำหรับวิเคราะห์ข้อมูลภายในเครือข่าย บก.ทบ.                            
10.3 การทดลองติดตั้งอุปกรณ์ทดสอบระบบ ( POC : Proof of Concept ) การตรวจจับมัลแวร์ (Malware Detection) ภายใน ศทท.                                   
10.4 การประเมิน Self assessment จำนวน ๖ Module คือCyber security Health Check (CHC) , Rick Management Health Check (RMHC) , Information Security Management System Health Check , Critical Security Controls Health Check (CSCHC) , National Cyber security Workforce Framework Health และ Service Management System Health Check (SMSHC)
10.5 การทดสอบการใช้โปรแกรม DEFT ด้าน Hack, Malware, DDoS
10.6 การติดตั้งเครื่องคอมพิวเตอร์พร้อมระบบปฏิบัติการ Kali (Linux) พร้อมสำหรับการฝึกฝนทักษะการทดสอบระบบ ( System Penetration )
10.7 การพัฒนาเว็บไซต์เพื่อให้ข้อมูลข่าวสารด้านการรักษาความปลอดภัยไซเบอร์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ ชื่อเว็บไซต์ http://plan.rta.mi.th/armycert
10.8 การปฏิบัติการข่าวสารเชิงรับ สนับสนุน สง.ผบ.ทบ., สลก.ทบ./ศปส.ทบ.,  กพ.ทบ., ยก.ทบ., กร.ทบ., ศปป.๕ กอ.รมน., คณะทำงาน IO ทบ.(คสช.), คตส.คสช. และ ศมบ.กห.
10.9 การปฏิบัติการข่าวสารเชิงรุก สนับสนุน สง.ผบ.ทบ., สลก.ทบ./ศปส.ทบ.,   ยก.ทบ., คณะทำงาน IO ทบ. (คสช.) และ ศมบ.กห.                                   
ความก้าวหน้าของการดำเนินการทดลองปฏิบัติงานของศูนย์เทคโนโลยีทางทหาร เพื่อรองรับการแปรสภาพเป็น ศูนย์ไซเบอร์กองทัพบก ดังที่กล่าวมาแล้ว ช่วงระยะเวลาสั้นๆ เพียง 2 เดือนที่ผ่านมา ถือเป็นหลักประกันความสำเร็จและยืนยันความพร้อมของกองทัพบก ในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ( Cyber Security ) ตามนโยบายของกองทัพบก ซึ่งได้กำหนดแนวทางการปฏิบัติการด้านไซเบอร์ของกองทัพบก ออกเป็น 3 ขั้น คือ
ขั้นที่ 1. การจัดการทรัพยากรเพื่อการปฏิบัติการด้านไซเบอร์ ( พ.ศ. 2557-2558 )  โดยบริหารจัดการทรัพยากรที่มีอยู่ โดยเฉพาะกำลังพล ให้สามารถดำเนินการด้านไซเบอร์ตั้งแต่ปัจจุบัน เช่น การจัดตั้งคณะทำงานปฏิบัติการด้านไซเบอร์ การจัดตั้งหน่วยไซเบอร์ของกองทัพบก และการมอบหมายหน้าที่ในการปฏิบัติการไซเบอร์ให้แก่หน่วยด้านเทคโนโลยีสารสนเทศ หรือหน่วยทหารสื่อสาร ( กรณีที่ไม่มีหน่วยด้านเทคโนโลยีสารสนเทศอยู่ในอัตรา ) รับผิดชอบการปฏิบัติการด้านไซเบอร์ในระดับหน่วย การกำหนดสายงานการปฏิบัติด้านไซเบอร์ของกองทัพบก และการดำเนินการตรวจสอบและประเมินความเสี่ยงด้านเครือข่ายของ กองทัพบก
ขั้นที่ 2. การเสริมสร้างขีดความสามารถในการรักษาความมั่นคงปลอดภัยไซเบอร์ มาตรการเชิงรับ ( พ.ศ. 2559-2561 )  โดยการพัฒนาปรับปรุงระบบเครือข่ายให้มีความปลอดภัย  การตรวจสอบทางเทคนิคและประเมินความเสี่ยงระบบเครือข่าย การกำหนดมาตรฐานการเชื่อมต่อเครือข่ายและการรักษาความมั่นคงปลอดภัยไซเบอร์ และการพัฒนาขีดความสามารถของบุคลากรให้ก้าวทันต่อเทคโนโลยีด้านการรักษาความปลอดภัยเครือข่าย เพื่อให้หน่วยงานในกองทัพบกมีขีดความสามารถด้านรักษาความมั่นคงปลอดภัยไซเบอร์ ( Cyber Security ) ได้สอดคล้องกับภัยคุกคามดังกล่าว
ขั้นที่ 3 . การเสริมสร้างขีดความสามารถการปฏิบัติการไซเบอร์ มาตรการเชิงรุก ( พ.ศ. 2562-2564 )  โดยการพัฒนาขีดความสามารถเชิงรุก เพื่อให้มีความพร้อมในการปฏิบัติการกรณีจำเป็น โดยการตรวจสอบขีดความสามารถเชิงรุกของกำลังพล ควบคู่กับการตรวจสอบทางเทคนิคและประเมินความเสี่ยงระบบเครือข่าย การจัดตั้งเครือข่ายพันธมิตรด้านไซเบอร์กับองค์กร/บุคลากรภายนอกกองทัพบก การจัดกิจกรรมต่างๆ ร่วมกัน รวมถึงการบูรณาการขีดความสามารถของกองทัพบกและเครือข่ายพันธมิตร เพื่อให้กองทัพบกมีความพร้อมและสามารถปฏิบัติการไซเบอร์ ( Cyber Operations ) ได้ในสถานการณ์อันจำเป็น
จากผลการดำเนินการที่ผ่านมา พอจะเห็นได้ว่าทิศทางความเจริญก้าวหน้า ตลอดจนความพร้อมขององค์กรและบุคลากรของ ศูนย์ไซเบอร์ของกองทัพบก ถือได้ว่ามีการพัฒนาความก้าวหน้าได้รวดเร็วกว่ากรอบระยะเวลาของแนวทางการปฏิบัติการด้านไซเบอร์ที่กองทัพบกกำหนดไว้ก่อนหน้านี้ ทั้งๆ ที่ยังไม่ได้รับการสนับสนุนงบประมาณจากกองทัพบกแต่อย่างใด เพียงแต่อาศัยช่องทางการแสวงหาความร่วมมือจากหน่วยงาน สถาบันการศึกษา และองค์กรภาคเอกชน ในการทดสอบ ทดลองอุปกรณ์เครื่องมือ เครื่องใช้ต่างๆ ในหน่วยทดสอบ ( Test Sites ) เพื่อพัฒนาความรู้ ทักษะ และประสบการณ์ให้กับกำลังพลในขั้นต้น ก็พอจะมองเห็นได้ว่า ศูนย์ไซเบอร์กองทัพบก ในอนาคตอันใกล้นี้ จะเป็น “ เขี้ยวเล็บ ” ที่มีความสำคัญของกองทัพบกไม่แพ้อาวุธยุทโธปกรณ์ทางทหารอื่นๆ  และหากกองทัพบกเล็งเห็นประโยชน์ ความสำคัญ และความจำเป็นในการสนับสนุนงบประมาณในการดำเนินการตามแผนงานโครงการที่ได้กำหนดไว้ ศูนย์ไซเบอร์ของกองทัพบก ก็จะเป็นเครื่องมือปฏิบัติการทางทหาร
ที่มีความสำคัญยิ่งในยุคปัจจุบัน เช่นเดียวกับ นานาอารยประเทศที่ให้ความสำคัญต่อการปฏิบัติการทางทหารในโดเมนที่ 5 ( Cyber Domain ) ที่จะเสริมเขี้ยวเล็บให้กับกองทัพบกและประเทศชาติให้มีความพร้อมในการรับมือกับภัยคุกคามด้านไซเบอร์ แต่หากกองทัพบก โดยเฉพาะหน่วยงานที่เกี่ยวข้อง ให้ความสำคัญไปในทิศทางตรงกันข้าม ก็เป็นที่น่าเสียดาย และเสียโอกาส ในมุมมองวิสัยทัศน์อันกว้างไกลและเจตนารมณ์ของอดีตผู้บังคับบัญชา ตลอดจนความพยายามทุ่มเทเสียสละในการที่จะพัฒนาให้กองทัพบกมี ศูนย์ไซเบอร์ของกองทัพ ก็จะเป็นการสูญเปล่า เช่นเดียวกับบทเรียนที่ผิดพลาดในอดีต เมื่อปี 2541 กว่า 15 ปีที่ผ่านมา ของการจัดตั้งหน่วย ศูนย์เทคโนโลยีทางทหาร นับเป็นบทพิสูจน์ความล้มเหลวที่สำคัญ และไม่ควรจะเกิดการซ้ำรอยเดิมในยุคปัจจุบัน ทั้งๆ ที่ศูนย์ไซเบอร์ของกองทัพบกมีความพร้อมในการที่จะเดินไปข้างหน้าได้อย่างมีประสิทธิภาพ ประสิทธิผล และมีความสง่างาม และหากหน่วยที่เกี่ยวข้องยังคงจะปล่อยให้ ศูนย์ไซเบอร์ของกองทัพบก เดินไปตามลำพังด้วยตนเอง ขาดการสนับสนุนและการส่งกำลังบำรุงที่เหมาะสม ในอนาคตก็คงเชื่อได้ว่า ศูนย์ไซเบอร์ของกองทัพบก คงไม่ต่างอะไรกับ “ เสือกระดาษ ”
-------------------------------

แหล่งอ้างอิงข้อมูล
1. ฤทธี อินทราวุธ พล.ต., 1 ตุลาคม 2557, ศูนย์ไซเบอร์กองทัพบก ( Army Cyber Center )แหล่งที่มา http://rittee1834.blogspot.com/2014/10/army-cyber-center.html, 2 ธันวาคม 2557.
2ฤทธี อินทราวุธ พ.อ., 1 สิงหาคม 2557, การรักษาความมั่นคงปลอดภัยด้านไซเบอร์ ความท้าทายของกองทัพบก ( Cyber Security : A Challenge of Army )แหล่งที่มา :  http://rittee1834.blogspot.com/2014/08/cyber-security-challenge-of-army.html, 2  ธันวาคม 2557.
3. ฤทธี อินทราวุธ พ.อ., 15 กรกฏาคม 2557, กองทัพบกเปิดแคมเปญลุยด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ( RTA Cyber Security kick off )แหล่งที่มา : http://rittee1834.blogspot.com/2014/07/rta-cyber-security-kick-off.html, 2 ธันวาคม 2557.

วันอังคารที่ 11 พฤศจิกายน พ.ศ. 2557

ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง

ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง
( Advanced Security Operations Center )
โดย พลตรี ฤทธี  อินทราวุธ
ผู้อำนวยการศูนย์เทคโนโลยีทางทหาร

ยุคสารสนเทศ หรือยุคไซเบอร์ในปัจจุบันนี้ หากจะกล่าวถึง การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ หรือ การรักษาความมั่นคงปลอดภัยด้านไซเบอร์ คงจะหนีไม่พ้นที่จะกล่าวถึง ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยด้าน
สารสนเทศ ( Internet Security Operations Center ; ISOC ) หรือ ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ ( Cyber Security Operations Center ; CSOC ) ซึ่งศูนย์ฯ ดังกล่าว ถือเป็นสิ่งสำคัญและมีความจำเป็นอย่างยิ่ง สำหรับการปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ เนื่องจากภัยคุกคามด้านไซเบอร์นับวันจะยิ่งทวีความสำคัญ ทั้งทางด้านการใช้เป็นอาวุธสำหรับการโจมตีองค์กรทั่วไป โดยเฉพาะการปฏิบัติการทางทหาร ซึ่งได้ถูกกำหนดเป็นอาณาเขตทางการทหาร ที่เรียกกันว่าไซเบอร์โดเมน ( Cyber Domain ) หรือ โดเมนที่ 5
การป้องกันการโจมตีด้านไซเบอร์ขององค์กรในยุคแรกๆ จะเน้นไปที่ระบบกำแพงป้องกันไซเบอร์ หรือที่เรียกกันว่า กำแพงป้องกันไฟ (  Fire wall ) เพื่อใช้เป็นอุปกรณ์สกัดกั้นการบุกรุก หรือการโจมตีของพวกนักเจาะระบบ ( Hacker / Cracker ) ที่มักอาศัยช่องโหว่หรือจุดอ่อนต่างๆ ที่มีอยู่ในอุปกรณ์ หรือระบบสารสนเทศ ( Vulnerability )  เช่น ระบบปฏิบัติการ ซอฟต์แวร์แอปพลิเคชั่น หรือแม้แต่กระทั่งค่าติดตั้ง ( Configuration ) ต่างๆ ของอุปกรณ์ในเครื่องคอมพิวเตอร์ หรือระบบเครือข่าย ซึ่งช่องโหว่ หรือจุดอ่อนของระบบเหล่านี้ อาจจะส่งผลกระทบทำให้ระบบทำงานขัดข้องได้เอง หรือถูกผู้ไม่ประสงค์ดีใช้เป็น ช่องทางในการโจมตีระบบได้ นอกจากนี้ยังเสริมด้วยระบบอุปกรณ์สำหรับตรวจหาการบุกรุก ( Intrusion Detection System ; IDS ) และระบบป้องกันการบุกรุก ( Intrusion Prevention System ; IPS ) แค่นี้ก็ถือว่าเพียงพอต่อการรับมือแล้ว เนื่องจากภัยคุกคามในยุคก่อนๆ ยังไม่มีความหลากหลาย ซับซ้อน และมีความแตกต่าง เช่นในยุคปัจจุบันนี้ ซึ่งเป็น ยุคเครือข่ายสังคม ( Social Network ) หรือ ยุคสังคมออนไลน์ ( Social Media )
ปัจจุบันภัยคุกคามด้านไซเบอร์ มีความหลากหลายรูปแบบ ทั้งภัยที่มาจากคนใน ( Insider ) และภัยที่มาจากคนนอก ( Outsider ) การโจมตีมีทั้งที่กำหนดเป็นเป้าหมายเฉพาะ ( Targeting ) และไม่กำหนดเป้าหมาย ( Non - Targeting ) กล่าวคือ โจมตีแบบหว่านแห โยนหินถามทางไปเรื่อย จนกว่าจะพบเป้าหมายที่สำคัญและคุ้มค่าต่อการโจมตี บางรูปแบบเป็นการฝังตัวเป็นสายลับ ( Spy ) หรือทำประตูลับหรือประตูหลัง ( Back door )  เปิดทิ้งไว้คอยปฏิบัติการล้วงความลับขององค์กร หรือข้อมูลที่มีความสำคัญ บางรูปแบบสามารถหายตัวหรือล่องหน ( Stealthy ) ยากต่อการตรวจจับได้ บางประเภทมีการแฝงตัว ฝังตัวมาอยู่ในระบบขององค์กรเป็นเวลานานแสนนานไม่รู้ว่าเมื่อไหร่ จนกว่าจะถึงเวลาปฏิบัติการโจมตีที่ได้กำหนดไว้ ( Logic bomb ) จึงจะเริ่มออกฤทธิ์ออกเดชตั้งแต่ ระดับรบกวนการทำงานแบบชิวๆ ไปจนถึงการทำให้ระบบล่มหรือปิดระบบ ( Shutdown ) ไปเลย   บางรูปแบบใช้เป็นพาหะเพื่อแพร่กระจายการโจมตีไปยังที่ต่างๆ และบางประเภทใช้เป็นฐานการโจมตีแทนตัวการจริง ( BotNet ) จะเห็นได้ว่าลักษณะและรูปแบบการโจมตีในยุคปัจจุบัน ยิ่งทวีความเข้มข้นมากขึ้น ซับซ้อนซ่อนเงื่อน และมีจำนวนหลากหลาย มากมายจนแทบจะตลอดเวลาทุกวินาที
ดังนั้น การรับมือภัยไซเบอร์ในยุคปัจจุบัน จึงจำเป็นจะต้องพัฒนารูปแบบให้มีความคล่องตัว เช่นเดียวกับ การปฏิบัติการตั้งรับในการยุทธ์ทางทหารในยุคสงครามตามแบบโบราณ ที่มักจะนิยมการตั้งรับแบบยึดพื้นที่ คือ การป้องกันและทำลายฝ่ายข้าศึกตรงหน้าแนวตั้งรับ ไม่ยอมให้ฝ่ายข้าศึกรุกล้ำเข้ามาในพื้นที่ของตน แต่ในยุคต่อมาได้มีการปรับเปลี่ยนกลยุทธ์การตั้งรับ เป็นการตั้งรับแบบคล่องตัว กล่าวคือ ยอมเปิดพื้นที่บางส่วนให้ฝ่ายข้าศึกรุกล้ำเข้ามาในพื้นที่สังหาร ( Killing Zone ) แล้วทำการโจมตีในพื้นที่ที่ฝ่ายเรากำหนดไว้ และมีความได้เปรียบต่อฝ่ายข้าศึก ซึ่งหลักการนี้ได้ถูกนำมาประยุกต์ใช้ในวงการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ ของ EMC และ RSA ซึ่งเป็นบริษัทชั้นนำในด้านนี้ โดย ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง ของ RSA ( RSA Advanced Security Operations Center ) ที่ตั้งอยู่ที่ Boston USA และ Singapore จะเน้นให้ความสำคัญในด้าน การลดเวลาในการตรวจจับ ( Decrease Drill Time ) และเพิ่มความเร็วในการตอบสนองให้ทันเวลา ( Speed Response Time ) ซึ่ง EMC และ RSA ได้ให้ความเห็นว่า ปัจจุบันการรับรู้การถูกโจมตีขององค์กร โดยเฉพาะคนในองค์กรไม่ค่อยจะรู้ตัว ส่วนใหญ่มักจะได้ข่าวสารมาจากหน่วยงานภายนอก ( Third Parties ) แจ้งเตือนให้ทราบ กว่า 80 % และการเปรียบเทียบการโจมตีสูงมักจะมีความถี่สูง แต่เวลาการ
ตอบสนองมักช้ากว่าจะไม่ทันกัน โดยองค์กรส่วนใหญ่ในปัจจุบันจะให้ความสำคัญกับระบบป้องกันถึง 80 % การเฝ้าระวัง 15 % และการตอบสนอง เพียง 5 % ซึ่งหลักการรักษาความมั่นคงปลอดภัยไซเบอร์ที่ชาญฉลาด ควรจะให้ความสำคัญทั้ง 3 ด้านอย่างเท่าเทียมกัน คือ การป้องกัน ( Prevention ) 33 % การเฝ้าระวัง ( Monitoring ) 33 % และการตอบสนอง ( Response )  33 % และในปัจจุบันนี้ ระบบการเก็บไฟล์ Log ประมาณ 1% ที่ช่วยในการตรวจสอบการโจมตี แต่ 85% ข่าวสารมักได้มาจากหน่วยงานภายนอกที่ช่วยกันตรวจสอบและรายงาน ดังนั้นจึงควรเน้นแชร์ข้อมูลจากองค์กรภายนอก หรือจากในหลายๆ ประเทศ และหน่วยงานต่างๆ เพียงแต่การแชร์ต้องพิจารณาเรื่องความไว้วางใจด้วย เพราะระดับทักษะ และประสบการณ์ ด้านความปลอดภัยแต่ละองค์กรมีความแตกต่างกัน
EMC และ RSA ได้ให้ทัศนะว่า ในยุคปัจจุบัน การโดนลักลอบบุกรุก ( Hack / Crack ) หรือการโจมตีด้วย DDoS หรือ BotNet  ไม่ใช่เป็นสิ่งที่น่าละอาย แต่ที่น่าละอาย คือ หน่วยงานภายนอกมาแจ้งว่าหน่วยเราถูกบุกรุก ( Hack / Crack ) โดยเฉพาะการเปลี่ยนแปลงหน้าเว็บไซต์ขององค์กร ดังนั้น เราจึงต้องระมัดระวัง ดูแล และช่วยเหลือตัวเองก่อน แล้วค่อยร่วมกับหน่วยงานอื่นๆ กระบวนการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ เปรียบเสมือน การตรวจรักษาสุขภาพร่างกายมนุษย์ ( Cyber Security VS Healthy Medical ) กล่าวคือ เราต้องรีบรู้ตัวก่อนว่ามีอาการอย่างไร ( Monitoring )  แล้วจึงค่อยวิเคราะห์ค้นสาเหตุว่าเกิดจากอะไร ( Analysis )  และมีแนวโน้มว่าจะป่วยเป็นโรคอะไร ถึงจะก้าวไปสู่ขั้นตอนการให้ยาเพื่อรักษา ( Response )  
หลายท่านคงเคยจิตนาการภาพของ ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ( Cyber Security Operations Center ; CSOC ) ขององค์กรชั้นนำต่างๆ ว่าควรจะมีรูปโฉมหน้าตาอลังการงานสร้าง และมีอุปกรณ์เครื่องไม้
เครื่องมือที่ทันสมัยไฮเทคอัดแน่นเต็มไปหมดทุกตารางนิ้ว ทำนองเดียวกับภาพของศูนย์ควบคุมบังคับบัญชาและสั่งการทางทหาร ( C4I )  และระบบอุปกรณ์เครื่องมือทุกอย่างจะเป็นระบบอัตโนมัติไปหมด สามารถใช้เจ้าหน้าที่ควบคุมเพียงไม่กี่คน ทำงานแบบทศกรรณ อะไรทำนองนั้น ซึ่งเป็นภาพที่แย่มากๆ ในสายตาของความเป็นจริง เพราะระบบอุปกรณ์
เครื่องไม้ เครื่องมือที่ทันสมัยเพียงใด ก็ยังต้องอาศัยหัวคิด และมันสมองของมนุษย์เป็นหลักในการวินิจฉัย กระบวนการวิเคราะห์ และการตัดสินใจ และคนเพียงไม่กี่คน ไม่เพียงพอต่อการรับมือกับภัยคุกคามด้านไซเบอร์ที่มีความหลากหลายรูปแบบ จำนวนปริมาณการโจมตีที่มีความต่อเนื่องตลอดเวลามากมายมหาศาลเกินกว่าจะรับมือได้ทัน ดังนั้นการรับมือที่ชาญฉลาด จึงต้องมีการกำหนดพื้นที่  ( Zoning ) เพื่อเป็นกับดัก ( Tap )  ปล่อยให้มีการรุกล้ำเข้ามาในระบบจะได้มีความสะดวกในการเฝ้าระวังและการควบคุม สำหรับภาพศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ดังกล่าวข้างต้น มักจะส่งผลดีในเชิงจิตวิทยาในด้านภาพลักษณ์ขององค์กร และผลทางด้านการขอสนับสนุนงบประมาณ เพื่อให้เกิดความน่าเชื่อถือในระบบการทำงานทั่วไป
ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง ( Advanced Security Operations Center ; ASOC ) ที่ Boston USA และ Singapore จะมีรูปลักษณะแบบธรรมดามากๆ มีเพียงอุปกรณ์เครื่องไม้เครื่องมือไม่กี่ชิ้น ที่สามารถ

เชื่องโยงระบบและข้อมูลต่างๆ เข้าไว้ด้วยกัน จะใช้จอมอนิเตอร์ใหญ่เพียงไม่กี่หน้าจอในการดึงข้อมูลที่สำคัญๆ ก็สามารถเฝ้าระวัง ค้นหา ตรวจสอบ วิเคราะห์ และดำเนินการตอบสนองได้อย่างรวดเร็วทันท่วงที กระบวนการในการรองรับการปฏิบัติงาน จะเน้นต่อเนื่องตลอดเวลา การเฝ้าระวังจะเป็นระบบ 7/24 หรือที่เรียกกันว่าแบบ 7 – Eleven โดยเจ้าหน้าที่ควรจะต้องปฏิบัติงาน 10 คน หมุนเวียนเป็น 3 ผลัด สำหรับเจ้าหน้าที่ในทีมตอบสนองต่อเหตุการณ์ ในห้อง SOC ที่
สำคัญจะมี  Tier1 และ Tier2 ซึ่งเป็นส่วนเฝ้าระวังภัยคุกคาม ( MonitoringThreat Intelligence Analyst เป็นส่วนวิเคราะห์ข่าวกรองด้านภัยคุกคาม Analysis & Tools Support Analyst เป็นส่วนวิเคราะห์การสนับสนุนเครื่องมือในการวิเคราะห์ และ SOC Manager เป็นส่วนบริหารจัดการ ซึ่งมีหน้าที่บริหารจัดการศูนย์ฯ และประสานกับคนภายนอก ดังมีรายละเอียด ดังนี้
1. เจ้าหน้าที่เฝ้าระวัง ( Monitor ) และการวิเคราะห์เหตุการณ์ที่เกิดขึ้น อย่างน้อยควรมีเจ้าหน้าที่ 2 ส่วน ที่เรียกว่า Tier1 Analyst และ Tier2 Analyst สำหรับเจ้าหน้าที่ในส่วนนี้จะเน้นการเฝ้าระวังและแจ้งเตือนเหตุการณ์ที่ผิดปกติต่างๆ ในเบื้องต้น   
2. เจ้าหน้าที่วิเคราะห์ภัยคุกคาม ( Threat Intelligence Analyst ) และ เจ้าหน้าที่สนับสนุนการวิเคราะห์ และเครื่องมือวิเคราะห์ (  Analysis & Tools Support Analyst)  เจ้าหน้าที่ในส่วนนี้จะได้รับรายงานการเฝ้าระวัง จาก Tier1 และ 2 มาตรวจสอบและวิเคราะห์ในเชิงลึกถึงภัยคุกคามที่เกิดขึ้นอย่างแท้จริง 
3. ผู้บริหารศูนย์เฝ้าระวัง ( SOC Manager ) มีหน้าที่สั่งการแก้ไขปัญหาที่เกิดขึ้น อาจจะเป็นการแจ้งเตือนในองค์กร หรือการประสานกับคนภายนอก หรือหน่วยงานภายนอก เพื่อแก้ไขปัญหาที่เกิดขึ้น 
การปฏิบัติการด้านความปลอดภัยและตอบสนองเหตุการณ์เบื้องต้น การเพิ่ม ย้าย และเปลี่ยนแปลง ในปัญหาที่เกิดขึ้น เช่น การเพิ่มกฎของ Firewall ขึ้น , การย้าย Port , การเปลี่ยนแปลง Configuration ต่างๆ เป็นต้น  นอกจากนั้นควรจะมีการเปลี่ยนรหัสผ่านในเครื่องที่เกิดปัญหา การออกหนังสือรับรองความปลอดภัยหลังจากแก้ไขปัญหาแล้ว การตรวจสอบอุปกรณ์ต่างๆ ให้ใช้งานได้ตามปกติ การปรับปรุงค่าพื้นฐานอยู่สม่ำเสมอ ( Configurations ) การควบคุมการเข้าถึงสิทธิ์ ( Acquisition ) และตลอดจนการควบคุมการปฏิบัติการป้องกันต่างๆ ให้เป็นไปตามระเบียบความปลอดภัย
ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง ( Advanced Security Operations Center ; ASOC ) ของ EMC และ RSA ที่ Boston USA และ Singapore มีมุมมอง ( Visibility ) ที่ชัดเจนของ RSA Solution ที่นำมาใช้
ประกอบด้วย PLEN ( Packets , Logs, Endpoints, Netflow ) โดยเน้นการจับวิเคราะห์ข้อมูลใน Packet ต่างๆ ให้ได้โดยตรง การวิเคราะห์ข้อมูลการจราจรทางคอมพิวเตอร์ ( Logs )  ในส่วนเครื่องผู้ใช้งานต่างๆ ( Endpoints) มีให้เลือกแบบลง Agent หรืออาจจะ Deploy Agent ในภายหลังเมื่อต้องการตรวจสอบ เพื่อประหยัด License นอกจากนั้น การควบคุมเครือข่ายต่างๆ ( Netflow )  ได้ทั้งหมด ซึ่งจะช่วยในการสอบสวนลงในข้อมูลที่เกิดขึ้นได้ 
RSA Solution ดังกล่าว จะมีความเข้าใจในทุกๆ เรื่อง ทั้งด้านการวิเคราะห์ เทียบเคียงจนถึงจุดสิ้นสุด การสอบสวนเหตุการณ์ที่เกิดขึ้น สามารถทำงานได้รวดเร็วในด้านการปฏิบัติ การสอบสวนที่เป็นอันหนึ่งอันเดียวกัน และมีการบูรณาการร่วมกัน
RSA Security Analytics ประกอบด้วย 3 ด้าน คือ ด้าน Visibility ด้าน Analysis และด้าน Action  เฉพาะด้าน Visibility จะมี  RSA ECAT สำหรับควบคุมระบบฯ  และ RSA Security Operation Management  ใช้สำหรับการวัด KPI ของระบบในภาพรวม  ระบบ CMDB ( Configuration Management Database ) เป็นฐานข้อมูลหลักในการบันทึกค่า Configuration ต่างๆ เพื่อการกู้คืนระบบ  สำหรับข้อมูลต่างๆ ที่นำมาวิเคราะห์ หรือรวบรวมมาจาก Source ต่างๆ จะถูกเก็บไว้ด้วยระบบ Big data warehouse ซึ่งช่วยได้ในด้านข้อมูล การวิเคราะห์ข้อมูล เป็นเทคโนโลยีที่มีความทันสมัย ก้าวไกล และเป็นการตอบสนองต่อการบริการที่เน้นด้านป้องกันทาง Cyber ขั้นสูง ( Advance Cyber Defense Services )
ดังนั้น จุดเริ่มต้นของการทำงานของหน่วยงานด้านไซเบอร์ ควรจะเริ่มต้นด้วย การจัดตั้งทีมสำหรับการตอบสนองต่อเหตุการณ์  ( Cyber Emergency Response Team ; CERT ) ซึ่งเป็นทีมที่มีการเตรียมความพร้อมอยู่ตลอดเวลา มีการตอบสนองอย่างรวดเร็ว และมีความยืดหยุ่นในการปฏิบัติงาน สิ่งสำคัญของทีม คือ การให้การฝึกศึกษาอย่างต่อเนื่องยั่งยืน เพื่อก้าวเข้าสู่การป้องกันทาง Cyber ในชั้นสูงต่อไป สำหรับแนวทางการแก้ปัญหา ( Solution )  และเทคโนโลยี ( Technology ) ที่จะพิจารณานำมาใช้ในองค์กร จะต้องมีประสิทธิภาพ มีความเหมาะสม และสามารถรองรับภัยคุกคามในอนาคตได้

ขอขอบคุณ EMC และ RSA ที่กรุณาให้การต้อนรับ คณะเจ้าหน้าที่ ศูนย์เทคโนโลยีทางทหารจาก กองทัพบก โดยจัดการบรรยายสรุปจากผู้เชี่ยวชาญ และนำชมการสาธิตการปฏิบัติงานของ ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง (Advanced Security Operations Center ; ASOC )  ที่สิงคโปร์ ระหว่าง 6 – 7 พฤศจิกายน 2557 มา ณ ที่นี้