วันอังคารที่ 11 พฤศจิกายน พ.ศ. 2557

ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง

ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง
( Advanced Security Operations Center )
โดย พลตรี ฤทธี  อินทราวุธ
ผู้อำนวยการศูนย์เทคโนโลยีทางทหาร

ยุคสารสนเทศ หรือยุคไซเบอร์ในปัจจุบันนี้ หากจะกล่าวถึง การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ หรือ การรักษาความมั่นคงปลอดภัยด้านไซเบอร์ คงจะหนีไม่พ้นที่จะกล่าวถึง ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยด้าน
สารสนเทศ ( Internet Security Operations Center ; ISOC ) หรือ ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ ( Cyber Security Operations Center ; CSOC ) ซึ่งศูนย์ฯ ดังกล่าว ถือเป็นสิ่งสำคัญและมีความจำเป็นอย่างยิ่ง สำหรับการปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ เนื่องจากภัยคุกคามด้านไซเบอร์นับวันจะยิ่งทวีความสำคัญ ทั้งทางด้านการใช้เป็นอาวุธสำหรับการโจมตีองค์กรทั่วไป โดยเฉพาะการปฏิบัติการทางทหาร ซึ่งได้ถูกกำหนดเป็นอาณาเขตทางการทหาร ที่เรียกกันว่าไซเบอร์โดเมน ( Cyber Domain ) หรือ โดเมนที่ 5
การป้องกันการโจมตีด้านไซเบอร์ขององค์กรในยุคแรกๆ จะเน้นไปที่ระบบกำแพงป้องกันไซเบอร์ หรือที่เรียกกันว่า กำแพงป้องกันไฟ (  Fire wall ) เพื่อใช้เป็นอุปกรณ์สกัดกั้นการบุกรุก หรือการโจมตีของพวกนักเจาะระบบ ( Hacker / Cracker ) ที่มักอาศัยช่องโหว่หรือจุดอ่อนต่างๆ ที่มีอยู่ในอุปกรณ์ หรือระบบสารสนเทศ ( Vulnerability )  เช่น ระบบปฏิบัติการ ซอฟต์แวร์แอปพลิเคชั่น หรือแม้แต่กระทั่งค่าติดตั้ง ( Configuration ) ต่างๆ ของอุปกรณ์ในเครื่องคอมพิวเตอร์ หรือระบบเครือข่าย ซึ่งช่องโหว่ หรือจุดอ่อนของระบบเหล่านี้ อาจจะส่งผลกระทบทำให้ระบบทำงานขัดข้องได้เอง หรือถูกผู้ไม่ประสงค์ดีใช้เป็น ช่องทางในการโจมตีระบบได้ นอกจากนี้ยังเสริมด้วยระบบอุปกรณ์สำหรับตรวจหาการบุกรุก ( Intrusion Detection System ; IDS ) และระบบป้องกันการบุกรุก ( Intrusion Prevention System ; IPS ) แค่นี้ก็ถือว่าเพียงพอต่อการรับมือแล้ว เนื่องจากภัยคุกคามในยุคก่อนๆ ยังไม่มีความหลากหลาย ซับซ้อน และมีความแตกต่าง เช่นในยุคปัจจุบันนี้ ซึ่งเป็น ยุคเครือข่ายสังคม ( Social Network ) หรือ ยุคสังคมออนไลน์ ( Social Media )
ปัจจุบันภัยคุกคามด้านไซเบอร์ มีความหลากหลายรูปแบบ ทั้งภัยที่มาจากคนใน ( Insider ) และภัยที่มาจากคนนอก ( Outsider ) การโจมตีมีทั้งที่กำหนดเป็นเป้าหมายเฉพาะ ( Targeting ) และไม่กำหนดเป้าหมาย ( Non - Targeting ) กล่าวคือ โจมตีแบบหว่านแห โยนหินถามทางไปเรื่อย จนกว่าจะพบเป้าหมายที่สำคัญและคุ้มค่าต่อการโจมตี บางรูปแบบเป็นการฝังตัวเป็นสายลับ ( Spy ) หรือทำประตูลับหรือประตูหลัง ( Back door )  เปิดทิ้งไว้คอยปฏิบัติการล้วงความลับขององค์กร หรือข้อมูลที่มีความสำคัญ บางรูปแบบสามารถหายตัวหรือล่องหน ( Stealthy ) ยากต่อการตรวจจับได้ บางประเภทมีการแฝงตัว ฝังตัวมาอยู่ในระบบขององค์กรเป็นเวลานานแสนนานไม่รู้ว่าเมื่อไหร่ จนกว่าจะถึงเวลาปฏิบัติการโจมตีที่ได้กำหนดไว้ ( Logic bomb ) จึงจะเริ่มออกฤทธิ์ออกเดชตั้งแต่ ระดับรบกวนการทำงานแบบชิวๆ ไปจนถึงการทำให้ระบบล่มหรือปิดระบบ ( Shutdown ) ไปเลย   บางรูปแบบใช้เป็นพาหะเพื่อแพร่กระจายการโจมตีไปยังที่ต่างๆ และบางประเภทใช้เป็นฐานการโจมตีแทนตัวการจริง ( BotNet ) จะเห็นได้ว่าลักษณะและรูปแบบการโจมตีในยุคปัจจุบัน ยิ่งทวีความเข้มข้นมากขึ้น ซับซ้อนซ่อนเงื่อน และมีจำนวนหลากหลาย มากมายจนแทบจะตลอดเวลาทุกวินาที
ดังนั้น การรับมือภัยไซเบอร์ในยุคปัจจุบัน จึงจำเป็นจะต้องพัฒนารูปแบบให้มีความคล่องตัว เช่นเดียวกับ การปฏิบัติการตั้งรับในการยุทธ์ทางทหารในยุคสงครามตามแบบโบราณ ที่มักจะนิยมการตั้งรับแบบยึดพื้นที่ คือ การป้องกันและทำลายฝ่ายข้าศึกตรงหน้าแนวตั้งรับ ไม่ยอมให้ฝ่ายข้าศึกรุกล้ำเข้ามาในพื้นที่ของตน แต่ในยุคต่อมาได้มีการปรับเปลี่ยนกลยุทธ์การตั้งรับ เป็นการตั้งรับแบบคล่องตัว กล่าวคือ ยอมเปิดพื้นที่บางส่วนให้ฝ่ายข้าศึกรุกล้ำเข้ามาในพื้นที่สังหาร ( Killing Zone ) แล้วทำการโจมตีในพื้นที่ที่ฝ่ายเรากำหนดไว้ และมีความได้เปรียบต่อฝ่ายข้าศึก ซึ่งหลักการนี้ได้ถูกนำมาประยุกต์ใช้ในวงการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ ของ EMC และ RSA ซึ่งเป็นบริษัทชั้นนำในด้านนี้ โดย ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง ของ RSA ( RSA Advanced Security Operations Center ) ที่ตั้งอยู่ที่ Boston USA และ Singapore จะเน้นให้ความสำคัญในด้าน การลดเวลาในการตรวจจับ ( Decrease Drill Time ) และเพิ่มความเร็วในการตอบสนองให้ทันเวลา ( Speed Response Time ) ซึ่ง EMC และ RSA ได้ให้ความเห็นว่า ปัจจุบันการรับรู้การถูกโจมตีขององค์กร โดยเฉพาะคนในองค์กรไม่ค่อยจะรู้ตัว ส่วนใหญ่มักจะได้ข่าวสารมาจากหน่วยงานภายนอก ( Third Parties ) แจ้งเตือนให้ทราบ กว่า 80 % และการเปรียบเทียบการโจมตีสูงมักจะมีความถี่สูง แต่เวลาการ
ตอบสนองมักช้ากว่าจะไม่ทันกัน โดยองค์กรส่วนใหญ่ในปัจจุบันจะให้ความสำคัญกับระบบป้องกันถึง 80 % การเฝ้าระวัง 15 % และการตอบสนอง เพียง 5 % ซึ่งหลักการรักษาความมั่นคงปลอดภัยไซเบอร์ที่ชาญฉลาด ควรจะให้ความสำคัญทั้ง 3 ด้านอย่างเท่าเทียมกัน คือ การป้องกัน ( Prevention ) 33 % การเฝ้าระวัง ( Monitoring ) 33 % และการตอบสนอง ( Response )  33 % และในปัจจุบันนี้ ระบบการเก็บไฟล์ Log ประมาณ 1% ที่ช่วยในการตรวจสอบการโจมตี แต่ 85% ข่าวสารมักได้มาจากหน่วยงานภายนอกที่ช่วยกันตรวจสอบและรายงาน ดังนั้นจึงควรเน้นแชร์ข้อมูลจากองค์กรภายนอก หรือจากในหลายๆ ประเทศ และหน่วยงานต่างๆ เพียงแต่การแชร์ต้องพิจารณาเรื่องความไว้วางใจด้วย เพราะระดับทักษะ และประสบการณ์ ด้านความปลอดภัยแต่ละองค์กรมีความแตกต่างกัน
EMC และ RSA ได้ให้ทัศนะว่า ในยุคปัจจุบัน การโดนลักลอบบุกรุก ( Hack / Crack ) หรือการโจมตีด้วย DDoS หรือ BotNet  ไม่ใช่เป็นสิ่งที่น่าละอาย แต่ที่น่าละอาย คือ หน่วยงานภายนอกมาแจ้งว่าหน่วยเราถูกบุกรุก ( Hack / Crack ) โดยเฉพาะการเปลี่ยนแปลงหน้าเว็บไซต์ขององค์กร ดังนั้น เราจึงต้องระมัดระวัง ดูแล และช่วยเหลือตัวเองก่อน แล้วค่อยร่วมกับหน่วยงานอื่นๆ กระบวนการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ เปรียบเสมือน การตรวจรักษาสุขภาพร่างกายมนุษย์ ( Cyber Security VS Healthy Medical ) กล่าวคือ เราต้องรีบรู้ตัวก่อนว่ามีอาการอย่างไร ( Monitoring )  แล้วจึงค่อยวิเคราะห์ค้นสาเหตุว่าเกิดจากอะไร ( Analysis )  และมีแนวโน้มว่าจะป่วยเป็นโรคอะไร ถึงจะก้าวไปสู่ขั้นตอนการให้ยาเพื่อรักษา ( Response )  
หลายท่านคงเคยจิตนาการภาพของ ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ( Cyber Security Operations Center ; CSOC ) ขององค์กรชั้นนำต่างๆ ว่าควรจะมีรูปโฉมหน้าตาอลังการงานสร้าง และมีอุปกรณ์เครื่องไม้
เครื่องมือที่ทันสมัยไฮเทคอัดแน่นเต็มไปหมดทุกตารางนิ้ว ทำนองเดียวกับภาพของศูนย์ควบคุมบังคับบัญชาและสั่งการทางทหาร ( C4I )  และระบบอุปกรณ์เครื่องมือทุกอย่างจะเป็นระบบอัตโนมัติไปหมด สามารถใช้เจ้าหน้าที่ควบคุมเพียงไม่กี่คน ทำงานแบบทศกรรณ อะไรทำนองนั้น ซึ่งเป็นภาพที่แย่มากๆ ในสายตาของความเป็นจริง เพราะระบบอุปกรณ์
เครื่องไม้ เครื่องมือที่ทันสมัยเพียงใด ก็ยังต้องอาศัยหัวคิด และมันสมองของมนุษย์เป็นหลักในการวินิจฉัย กระบวนการวิเคราะห์ และการตัดสินใจ และคนเพียงไม่กี่คน ไม่เพียงพอต่อการรับมือกับภัยคุกคามด้านไซเบอร์ที่มีความหลากหลายรูปแบบ จำนวนปริมาณการโจมตีที่มีความต่อเนื่องตลอดเวลามากมายมหาศาลเกินกว่าจะรับมือได้ทัน ดังนั้นการรับมือที่ชาญฉลาด จึงต้องมีการกำหนดพื้นที่  ( Zoning ) เพื่อเป็นกับดัก ( Tap )  ปล่อยให้มีการรุกล้ำเข้ามาในระบบจะได้มีความสะดวกในการเฝ้าระวังและการควบคุม สำหรับภาพศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ดังกล่าวข้างต้น มักจะส่งผลดีในเชิงจิตวิทยาในด้านภาพลักษณ์ขององค์กร และผลทางด้านการขอสนับสนุนงบประมาณ เพื่อให้เกิดความน่าเชื่อถือในระบบการทำงานทั่วไป
ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง ( Advanced Security Operations Center ; ASOC ) ที่ Boston USA และ Singapore จะมีรูปลักษณะแบบธรรมดามากๆ มีเพียงอุปกรณ์เครื่องไม้เครื่องมือไม่กี่ชิ้น ที่สามารถ

เชื่องโยงระบบและข้อมูลต่างๆ เข้าไว้ด้วยกัน จะใช้จอมอนิเตอร์ใหญ่เพียงไม่กี่หน้าจอในการดึงข้อมูลที่สำคัญๆ ก็สามารถเฝ้าระวัง ค้นหา ตรวจสอบ วิเคราะห์ และดำเนินการตอบสนองได้อย่างรวดเร็วทันท่วงที กระบวนการในการรองรับการปฏิบัติงาน จะเน้นต่อเนื่องตลอดเวลา การเฝ้าระวังจะเป็นระบบ 7/24 หรือที่เรียกกันว่าแบบ 7 – Eleven โดยเจ้าหน้าที่ควรจะต้องปฏิบัติงาน 10 คน หมุนเวียนเป็น 3 ผลัด สำหรับเจ้าหน้าที่ในทีมตอบสนองต่อเหตุการณ์ ในห้อง SOC ที่
สำคัญจะมี  Tier1 และ Tier2 ซึ่งเป็นส่วนเฝ้าระวังภัยคุกคาม ( MonitoringThreat Intelligence Analyst เป็นส่วนวิเคราะห์ข่าวกรองด้านภัยคุกคาม Analysis & Tools Support Analyst เป็นส่วนวิเคราะห์การสนับสนุนเครื่องมือในการวิเคราะห์ และ SOC Manager เป็นส่วนบริหารจัดการ ซึ่งมีหน้าที่บริหารจัดการศูนย์ฯ และประสานกับคนภายนอก ดังมีรายละเอียด ดังนี้
1. เจ้าหน้าที่เฝ้าระวัง ( Monitor ) และการวิเคราะห์เหตุการณ์ที่เกิดขึ้น อย่างน้อยควรมีเจ้าหน้าที่ 2 ส่วน ที่เรียกว่า Tier1 Analyst และ Tier2 Analyst สำหรับเจ้าหน้าที่ในส่วนนี้จะเน้นการเฝ้าระวังและแจ้งเตือนเหตุการณ์ที่ผิดปกติต่างๆ ในเบื้องต้น   
2. เจ้าหน้าที่วิเคราะห์ภัยคุกคาม ( Threat Intelligence Analyst ) และ เจ้าหน้าที่สนับสนุนการวิเคราะห์ และเครื่องมือวิเคราะห์ (  Analysis & Tools Support Analyst)  เจ้าหน้าที่ในส่วนนี้จะได้รับรายงานการเฝ้าระวัง จาก Tier1 และ 2 มาตรวจสอบและวิเคราะห์ในเชิงลึกถึงภัยคุกคามที่เกิดขึ้นอย่างแท้จริง 
3. ผู้บริหารศูนย์เฝ้าระวัง ( SOC Manager ) มีหน้าที่สั่งการแก้ไขปัญหาที่เกิดขึ้น อาจจะเป็นการแจ้งเตือนในองค์กร หรือการประสานกับคนภายนอก หรือหน่วยงานภายนอก เพื่อแก้ไขปัญหาที่เกิดขึ้น 
การปฏิบัติการด้านความปลอดภัยและตอบสนองเหตุการณ์เบื้องต้น การเพิ่ม ย้าย และเปลี่ยนแปลง ในปัญหาที่เกิดขึ้น เช่น การเพิ่มกฎของ Firewall ขึ้น , การย้าย Port , การเปลี่ยนแปลง Configuration ต่างๆ เป็นต้น  นอกจากนั้นควรจะมีการเปลี่ยนรหัสผ่านในเครื่องที่เกิดปัญหา การออกหนังสือรับรองความปลอดภัยหลังจากแก้ไขปัญหาแล้ว การตรวจสอบอุปกรณ์ต่างๆ ให้ใช้งานได้ตามปกติ การปรับปรุงค่าพื้นฐานอยู่สม่ำเสมอ ( Configurations ) การควบคุมการเข้าถึงสิทธิ์ ( Acquisition ) และตลอดจนการควบคุมการปฏิบัติการป้องกันต่างๆ ให้เป็นไปตามระเบียบความปลอดภัย
ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง ( Advanced Security Operations Center ; ASOC ) ของ EMC และ RSA ที่ Boston USA และ Singapore มีมุมมอง ( Visibility ) ที่ชัดเจนของ RSA Solution ที่นำมาใช้
ประกอบด้วย PLEN ( Packets , Logs, Endpoints, Netflow ) โดยเน้นการจับวิเคราะห์ข้อมูลใน Packet ต่างๆ ให้ได้โดยตรง การวิเคราะห์ข้อมูลการจราจรทางคอมพิวเตอร์ ( Logs )  ในส่วนเครื่องผู้ใช้งานต่างๆ ( Endpoints) มีให้เลือกแบบลง Agent หรืออาจจะ Deploy Agent ในภายหลังเมื่อต้องการตรวจสอบ เพื่อประหยัด License นอกจากนั้น การควบคุมเครือข่ายต่างๆ ( Netflow )  ได้ทั้งหมด ซึ่งจะช่วยในการสอบสวนลงในข้อมูลที่เกิดขึ้นได้ 
RSA Solution ดังกล่าว จะมีความเข้าใจในทุกๆ เรื่อง ทั้งด้านการวิเคราะห์ เทียบเคียงจนถึงจุดสิ้นสุด การสอบสวนเหตุการณ์ที่เกิดขึ้น สามารถทำงานได้รวดเร็วในด้านการปฏิบัติ การสอบสวนที่เป็นอันหนึ่งอันเดียวกัน และมีการบูรณาการร่วมกัน
RSA Security Analytics ประกอบด้วย 3 ด้าน คือ ด้าน Visibility ด้าน Analysis และด้าน Action  เฉพาะด้าน Visibility จะมี  RSA ECAT สำหรับควบคุมระบบฯ  และ RSA Security Operation Management  ใช้สำหรับการวัด KPI ของระบบในภาพรวม  ระบบ CMDB ( Configuration Management Database ) เป็นฐานข้อมูลหลักในการบันทึกค่า Configuration ต่างๆ เพื่อการกู้คืนระบบ  สำหรับข้อมูลต่างๆ ที่นำมาวิเคราะห์ หรือรวบรวมมาจาก Source ต่างๆ จะถูกเก็บไว้ด้วยระบบ Big data warehouse ซึ่งช่วยได้ในด้านข้อมูล การวิเคราะห์ข้อมูล เป็นเทคโนโลยีที่มีความทันสมัย ก้าวไกล และเป็นการตอบสนองต่อการบริการที่เน้นด้านป้องกันทาง Cyber ขั้นสูง ( Advance Cyber Defense Services )
ดังนั้น จุดเริ่มต้นของการทำงานของหน่วยงานด้านไซเบอร์ ควรจะเริ่มต้นด้วย การจัดตั้งทีมสำหรับการตอบสนองต่อเหตุการณ์  ( Cyber Emergency Response Team ; CERT ) ซึ่งเป็นทีมที่มีการเตรียมความพร้อมอยู่ตลอดเวลา มีการตอบสนองอย่างรวดเร็ว และมีความยืดหยุ่นในการปฏิบัติงาน สิ่งสำคัญของทีม คือ การให้การฝึกศึกษาอย่างต่อเนื่องยั่งยืน เพื่อก้าวเข้าสู่การป้องกันทาง Cyber ในชั้นสูงต่อไป สำหรับแนวทางการแก้ปัญหา ( Solution )  และเทคโนโลยี ( Technology ) ที่จะพิจารณานำมาใช้ในองค์กร จะต้องมีประสิทธิภาพ มีความเหมาะสม และสามารถรองรับภัยคุกคามในอนาคตได้

ขอขอบคุณ EMC และ RSA ที่กรุณาให้การต้อนรับ คณะเจ้าหน้าที่ ศูนย์เทคโนโลยีทางทหารจาก กองทัพบก โดยจัดการบรรยายสรุปจากผู้เชี่ยวชาญ และนำชมการสาธิตการปฏิบัติงานของ ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง (Advanced Security Operations Center ; ASOC )  ที่สิงคโปร์ ระหว่าง 6 – 7 พฤศจิกายน 2557 มา ณ ที่นี้

วันพฤหัสบดีที่ 6 พฤศจิกายน พ.ศ. 2557

โลกไซเบอร์ : โดเมนใหม่ของการรักษาความปลอดภัยในศตวรรษที่ 21

โลกไซเบอร์ : โดเมนใหม่ของการรักษาความปลอดภัยในศตวรรษที่ 21
( Cyberspace : A New Domain of Security in 21st Century )
พลตรี ฤทธี  อินทราวุธ
ผู้อำนวยการศูนย์เทคโนโลยีทางทหาร

ศูนย์เทคโนโลยีทางทหาร ได้รับเกียรติเชิญเข้าร่วมอภิปรายในการสัมมนา โครงการ Bangkok International Student Conference 2014 ของ หลักสูตรควบรัฐศาสตร์บัณฑิต และรัฐศาสตร์มหาบัณฑิต คณะรัฐศาสตร์ มหาวิทยาลัยธรรมศาสตร์ เมื่อ 1 พฤศจิกายน 2557 โดยมี พันโท อนิวรรต เหมนิธิ เป็นผู้แทนนำเสนอการอภิปราย และพันตรี หญิง สหฐยา ชวนไชยสิทธิ์ เป็นผู้เรียบเรียบ ภาคภาษาอังกฤษ

1.              กล่าวนำ
1.1 โลกไซเบอร์ ( Cyberspace ) ในศตวรรษที่ 21 คืออะไร ?
โลกไซเบอร์ หรือ ไซเบอร์สเปซ คือ พื้นที่ที่ไม่มีเส้นแบ่ง เสมือนกับจักรวาล เครือข่ายของข้อมูลสารสนเทศเพื่อการสื่อสารมากมายเชื่อมต่อกันผ่านระบบอินเตอร์เน็ต โดยถูกพัฒนาอย่างต่อเนื่อง และมีผู้ใช้งานหลากหลายประเภท ทั้งผู้ใช้งานทั่วไป และผู้ใช้งานที่มีจุดประสงค์ร้ายที่เข้าไปในระบบดังกล่าวตลอดเวลา  สำหรับผู้ใช้งานทั่วไป คงไม่มีปัญหาใดๆ แต่สำหรับผู้ใช้งานที่มีจุดประสงค์ร้าย ก็อาจลักลอบเข้ามาในระบบ และนำข้อมูลสำคัญขององค์กร หรือบุคคลไปได้ ซึ่งข้อมูลดังกล่าว พวกเขาอาจนำไปขายหรือต่อรองเพื่ออำนาจ หรือผลประโยชน์ ดังนั้นการรักษาความปลอดภัยด้านไซเบอร์จึงจำเป็นต้องได้รับการยกระดับให้มีความก้าวหน้าเพื่อรับมือกับภัยคุกคามและอาชญากรรม
1.2       ประเด็นร่วมสมัยเกี่ยวกับไซเบอร์และการรักษาความปลอดภัย สื่อสังคม อินเตอร์เน็ต คืออะไร ?
ไซเบอร์และการรักษาความปลอดภัย ในสื่อสังคมและอินเตอร์เน็ต ล้วนใช้ข้อมูลขนาดใหญ่ เนื่องจากข้อมูลขนาดใหญ่มีความถี่สูง ( จากมีผู้คนมากมายเข้าสู่ระบบในเวลาเดียวกัน ) และการแพร่กระจายสูง ( จากความหลากหลายของระบบปฏิบัติการ การเข้าสู่ระบบจากสถานที่ต่างๆกัน และการใช้โครงสร้างข้อมูลหลายชนิด ) ประเด็นก็คือ เราจะประมวลผลข้อมูลขนาดใหญ่เหล่านี้เข้าสู่ระบบสารสนเทศอย่างไร

2.              การรักษาความปลอดภัยด้านการเงินในโลกไซเบอร์
2.1       ภัยคุกคามใหม่ๆที่เกิดขึ้นหลังการเปิดตัวของการทำธุรกรรมออนไลน์ คืออะไร ?
-                          การหลอกลวงทางอินเตอร์เน็ตเป็นหนึ่งในเทคนิคทางสังคมออนไลน์ที่ใช้ในการหลอกลวงผู้ใช้ และแสวงหาผลประโยชน์จากจุดด้อยของเทคโนโลยีด้านความปลอดภัยของเว็บไซต์ปัจจุบัน  เทคนิคดังกล่าวจะพยายามแสวงหาข้อมูลสำคัญต่างๆ เช่น ชื่อผู้ใช้ รหัส และรายละเอียดข้อมูลเครดิต
-                          โปรแกรมไม่พึงประสงค์ ( Malware ) ด้านการเงิน มุ่งเป้าไปที่ข้อมูลด้านการเงินส่วนบุคคล เช่น ระบบสารสนเทศ รหัส หนังสือรับรองทางการเงิน หรือรายละเอียดด้านการเงินอื่นๆ ยกตัวอย่างของ โปรแกรมไม่พึงประสงค์ ( Malware )  ด้านการเงิน ที่เป็นอันตรายเมื่อ สิงหาคม 2557 อาทิเช่น
o   Zbot / Zeus botnet
o   Zeus Gameover
o   CryptoLocker
o   Clickjacking
o   Keylogger
2.2 มาตรการที่เราใช้ในการรับมือกับภัยคุกคามเหล่านี้ คืออะไร ?
เราต้องให้ความรู้กับผู้คน และขอร้องให้พวกเขาถ่ายทอดความรู้เหล่านั้นต่อให้กับครอบครัว นอกจากนั้น พวกเราจะต้องทำให้ผู้คนรู้และเข้าใจ เพื่อความฉลาดในการตัดสินใจ หรือนำไปใช้ในเชิงสร้างสรรค์ได้ด้วยตนเอง
2.3 รัฐบาลสนับสนุนอะไร ในการรับมือกับภัยคุกคาม
รัฐบาล โดย กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ได้จัดตั้ง ศูนย์ปฏิบัติการรักษาความปลอดภัยทางอินเตอร์เน็ต และเพิ่งจะยกระดับหน่วยดังกล่าวขึ้นเป็น ศูนย์ปฏิบัติการรักษาความปลอดภัยด้านไซเบอร์ เพื่อปกป้องและตรวจสอบภัยคุกคามทางไซเบอร์

3.              สงครามไซเบอร์ ( Cyber Walfare )
3.1       อะไรคือ ภัยคุกคามต่อการรักษาความปลอดภัยของชาติหลังเกิดไซเบอร์สเปซ
ผู้เขียนขอแบ่งภัยคุกคาม ออกเป็น 3 กลุ่มใหญ่ ๆ ดังนี้
กลุ่มที่ 1 ภัยคุกคามแบบเดิมๆ เช่น worms, Trajan horses, viruses, spywares, botnets, social engineering และอื่นๆ
กลุ่มที่ 2 ภัยคุกคามแบบใหม่ อาทิเช่น
1)                                        Zero day threats
2)                                        Advanced persistent threats
3)                                        Polymorphic threats
4)                                        Blended threat เช่น Nimda, CodeRed และ Conficker
กลุ่มที่ 3 ภัยคุกคามต่อความมั่นคงของประเทศ ที่มีจุดประสงค์เพื่อรบกวน สร้างความเสียหายหรือทำลายระบบโครงสร้างพื้นฐานของประเทศ เช่น
1)                                      ระบบไฟฟ้า  เช่น ไฟฟ้า ประปา พลังงาน
2)                                      ระบบขนส่ง เช่น ระบบสัญญาณจราจร ระบบขนส่ง
3)                                      ระบบการติดต่อสื่อสาร เช่น ระบบการให้บริการติดต่อสื่อสารทางไกลจากกลุ่มผู้ให้บริการ อาทิ AIS DTAC TRUE โครงสร้างพื้นฐานด้านอินเตอร์เน็ต อาทิ 3BB  TOT CAT TRUE เว็บไซต์หรือผู้ให้บริการเว็บไซต์
4)                                      ระบบการเงิน  เช่น ระบบ ATM การให้บริการด้านการเงินผ่านอินเตอร์เน็ต การทำธุรกรรมทางธนาคารผ่านอินเตอร์เน็ต บริการบัตรเครดิต และการแลกเปลี่ยน-ซื้อขายหุ้น
3.2 ภัยคุกคามที่เกี่ยวข้องกับเราในตอนนี้ ต่างจากภัยคุกคามจากประเทศอื่นๆอย่างไร ?
ผู้เขียนคิดว่าภัยคุกคามที่เรากำลังพบอยู่ตอนนี้ มีจุดประสงค์เพื่อเงินมากกว่าผลประโยชน์ อาจเป็นเพราะกฎหมายที่ไม่ซับซ้อน หรือระบบการรักษาความปลอดภัย เทคโนโลยีในการป้องกันการให้บริการทางธนาคารอยู่ในระดับกลางหากเทียบกับอีกหลายประเทศในโลก
3.3 ภัยคุกคามสร้างผลกระทบต่อสาธารณชนอย่างไร ?
ส่วนใหญ่ ผู้ใช้จะได้รับผลกระทบจากการถูกทำลายข้อมูลเนื่องจากข้อมูลส่วนตัวของผู้ใช้รั่วไปยังผู้ใช้ที่มีจุดประสงค์ร้าย นอกจากนั้นยังได้รับผลกระทบจาก Botnet เนื่องจากผู้ใช้จะไม่ทราบว่าพวกเขาถูกหน่วยงานของรัฐจับตา
3.4 มาตรการต่อต้านการโจมตีด้านไซเบอร์ คืออะไร ?
- ปฏิบัติการด้านข้อมูลข่าวสาร
- การศึกษารหัสสัญญาณ
- การควบคุมการเข้าสู่ระบบ เช่น ความสำคัญก่อน-หลัง การพิสูจน์ตัวตน

4. การเตือนภัย ความเป็นส่วนตัว
4.1 ในฐานะชาวเน็ต มาตรการด้านความปลอดภัยกระทบต่อความเป็นส่วนตัวอะไรบ้าง ?
มาตรการเตือนภัยจะจำกัดความเป็นส่วนตัวบางส่วนของผู้ใช้ ดังนั้น หากเราเป็นผู้ใช้ทั่วไปที่เข้าใจการใช้งานด้านไซเบอร์ มาตรการเตือนภัยเหล่านั้นอาจไม่ส่งผล ขอเน้นในเรื่องการตระหนักรู้เนื่องจากในบางกรณี การส่งต่อข้อความ หรือภาพลามกอนาจาร หากผู้ใช้ไม่ทราบกฎหมายเกี่ยวกับการใช้งาน มันอาจกลายเป็นการละเมิดสิทธิ์ และเป็นการกระทำที่ผิดต่อกฎหมายไปโดยไม่เจตนาได้
4.2 การตอบสนองต่อมาตรการเตือนภัยของรัฐบาล
ผู้เขียนคิดว่าอาจจะทำอะไรไม่ได้เท่าที่ควรในตอนนี้ อย่างไรก็ตาม ผู้เขียนสนับสนุนการป้องกันข้อมูลส่วนตัวบนสื่อสังคมออนไลน์ ดังนั้นเรื่องดังกล่าวจะได้รับความเห็นชอบในเร็ววัน และกฎหมายจะต้องปกป้องความเป็นส่วนตัวของประชาชน

5. เสรีภาพด้านพลเรือน เสรีภาพในการแสดงออก
5.1 อะไรคือปัญหาเกี่ยวกับกฎหมายด้านไซเบอร์สเปซที่รัฐบาลบังคับใช้ ในประเด็นของเสรีภาพในการแสดงออก
ผู้เขียนคิดว่าไม่มีปัญหาสำหรับผู้ใช้โดยทั่วไป หากพวกเขาไม่ตั้งใจจะกระทำการใดที่ละเมิดต่อ สิทธิส่วนบุคคล ต่อกฎหมาย และโดยเฉพาะอย่างยิ่งต่อสถาบันพระมหากษัตริย์
5.2 อะไรคือ ข้อดีของไซเบอร์สเปซและสื่อสังคมในการปลุกกระแสการเคลื่อนไหวทางสังคม และการตั้งประเด็นทางการเมือง
ผู้เขียนคิดว่ารัฐบาลเปิดโอกาสและสามารถรับฟังความคิดเห็นที่แท้จริง และได้รับข้อมูลข่าวสารโดยตรงจากประชาชนทุกระดับที่เข้าสู่ระบบสารสนเทศ เพื่อปลุกกระแสการเคลื่อนไหวทางสังคม หรือประเด็นทางการเมืองในทางที่สร้างสรรค์ เพื่อการพัฒนาประเทศ โดยไม่สร้างความแตกแยกในสังคม
5.3 ในฐานะชาวเน็ต รัฐบาลควรทำอะไร ?
ผู้เขียนคิดว่า รัฐบาลควรให้ความรู้ และสร้างความเข้าใจเกี่ยวกับการปลุกกระแสความเคลื่อนไหวทางสังคม เพื่อพวกเขาจะได้ไม่ละเมิดกฎหมายโดยไม่ตั้งใจ
5.4 รัฐบาลควรสร้างสมดุลระหว่างการรักษาความมั่นคงของชาติ และเสรีภาพด้านพลเรือนและเสรีภาพในการแสดงออกอย่างไร ?
รัฐบาลไม่สามารถสร้างสมดุลของทั้ง 3 ด้านได้ ผู้เขียนคิดว่ามันขึ้นกับแต่ละประเทศ ที่จะออกมาตรการและกฎหมายมารองรับ

6. ความมั่นคงแห่งชาติ
จนถึงขณะนี้ ยังไม่มีกฎหมายอย่างเต็มรูปแบบในการควบคุม หรือจัดการสาระในอินเตอร์เน็ต ผู้เขียนคิดว่าสิ่งแรก พวกเขาควรสนับสนุนการสกัดกั้นข้อมูลดังกล่าวอย่างถูกกฎหมาย เพื่อเป็นเครื่องมือของรัฐบาลในการบริหารข้อมูลบนอินเตอร์เน็ตภายในประเทศ ดังนั้นหน่วยงานต่างๆของรัฐบาลจะต้องร่วมกันวางกรอบกฎหมายที่ชัดเจน เมื่อไหร่ก็ตามที่ความเป็นเอกภาพเกิดขึ้น รัฐบาลจะมีศักยภาพอย่างเต็มที่ที่จะร่วมมือกับภาคเอกชน ดังนั้นเมื่อพวกเราเข้าสู่การเป็นประชาคมโลก พวกเราก็จะทำงานร่วมกับองค์การระหว่างประเทศด้วยความมั่นใจ 

Cyberspace : A New Domain of Security in 21st Century
Major General RITTEE INTRAVUDH
Director of Military Technology Center, RTA.
1. Introductory
      1.1 What is the broad picture of cyberspace in the 21st century?
                          Cyberspace is an area that has no boundaries like the virtual universe. There are many information communication networks connected by internet system. They are continuously developed and have many types of users ( general users and malicious users ) access the system all the time. There is no problem for general users, but malicious users might break through and get other people’s/organization’s sensitive data. They might sell it for money or bargain for power/benefit. So, cyber security needs to be elevated to advance the threats/crimes.

      1.2 What are the contemporary issues regarding the cyber and security / social media / internet?
                         Cyber and security, social media and internet are all using big data. Since big data has high frequency ( lots of people access in the same time ) and high diffusion ( various operating systems, access from many locations, use many kinds of data structure ), the issue is how to process all of these big data to information.

2. Financial Security in Cyberspace
      2.1 What are some of the new threats emerged after the existence of online transaction  ( e-banking / e-commerce )?
·       Phishing is one of social engineering techniques used to deceive users and exploits the poor usability of current web security technologies. It attempt to acquire sensitive information such as usernames, passwords, and credit card details.
·       Financial malware targets private financial data, such as system information, passwords, banking credentials or other financial details. These are examples of some dangerous financial malware ( August 2014 ):-
                                      - Zbot/Zeus botnet infects Windows users and tries to retrieve confidential information from the infected computers. Once it is installed, it tries to download configuration files and updates from the internet. In other words, it is a Trojan.
                                      - Zeus Gameover is a variant of the Zeus family which relies upon a peer-to-peer botnet infrastructure. The network configuration removes the need for a centralized Command and Control server, including a Domain Generation Algorithm  ( DGA ) which peers in the botnet can act as independent Command and Control servers and are able to download commands or configuration files between them,  at last sending the stolen data to the malicious servers.
                                      - CryptoLocker is the well-known ransomware which encrypts system files and demands a ransom in exchange for the decryption key
·       Clickjacking is a malicious technique of tricking a web user into clicking on something different from what the user perceives they are click on, thus potentially revealing confidential information or taking control of their computer while clicking on seemingly harmless web pages.
·       Keylogger is a tool that captures and records a user’s keystrokes. Even though it is kind of traditional method, but many malicious users still use it.
                         ( For skimmer, since it is used with ATM, I think it is not for online transaction. )

      2.2 What are the measures we have in dealing with these threats?
                          We give knowledge to our people and ask them to convey it to their family. Furthermore, we provide them awareness and understanding, so they can make wiser decisions or put it to productive use by themselves.

      2.3 What is the support from the government in dealing with these threats?
                          Government by ministry of Information and communication technology ( MICT ) established Internet Security Operation Center ( ISOC ) and recently upgraded to Cyber Security Operation Center ( CSOC ) to prevent and detect cyber threats.

3. Cyber Warfare
      3.1 What are some of threats to national security after the emergence of cyberspace?
                         I would like to divide the threats into three groups.
                         1) Traditional threats i.e. Worms, Trojan horses, viruses, spywares, botnets, social engineering, etc.
                          2) New-generation threats
                                      - Zero-day threats are cyber attack on publicly unknown operating system or application vulnerability. They can go undetected for long periods ( usually several months but sometimes a couple of years ).
                                      - Advanced persistent threats ( APTs ) are sophisticated network attacks in which an unauthorized person gain access to a network and stays undetected for a long period of time to steal data ( rather than to cause damage to the network ). So, APTs often target organizations in sectors with high-value information such as government agencies, credit card processors, and the financial services industry.
                                      - Polymorphic threats are cyber attacks that constantly changes and can occur in a variety of ways such as filename changes and compression ( file size ).

                                      - Blended threats, such as Nimda, CodeRed, and Conficker, are the attacks that combine elements of multiple types of malware and usually employ multiple attack vectors to increase the security of damage and the speed of contagion. Blended threats typically include multiple means of propagation, exploitation of operating system and/or application vulnerabilities, and the intent to cause harm to network hosts.
                         3) National security threats that aim to disturb, damage, or destroy national infrastructures, for example:-
                                      - Power systems ( electricity authority, water supply, petroleum authority )
                                      - Transportation systems ( traffic light systems, logistic systems )
                                      - Communication systems ( telecommunication service systems from providers i.e. AIS, DTAC, TRUE; internet infrastructure i.e. 3BB, TOT, CAT, TRUE; web sites/web services )
                                      - Financial systems ( ATM systems, internet financial services, internet banking, credit card services, stock exchanges ).

      3.2 The threats that we are dealing at the moment, how does it differ from threats in other parts of the world?
                         I think the threats that we are dealing with are aim to get money more than benefit. It might be because we have uncomplicated regulations or medium-level security systems/technologies to safeguard banking services compared to many countries in other parts of the world.

      3.3 How do these threats affect the general public?
                         Mostly, the users are affected in data breach because their personal data leak to malicious users. They are also affected by botnet since they are unknowingly targeted by state agencies.

      3.4 What are the measures against cyber attacks?
                         - Information Operation
                         - Cryptography
                         - Access Control i.e. priority, authentication

4. Surveillance ( Privacy )
      4.1 As a netizen, what do you think is the impact of such measures on privacy?
                         The surveillance measures will limit just some parts of people’s privacy. So, if they are just general users that have cyber awareness, there is no problem at all.     I emphasize in awareness because in some case, such as forwarding pornography, if users do not aware of regulation, they might unintentionally violate.
      4.2 What is your reaction towards the government’s surveillance?
                         I can do nothing right now. However, I can support Data Privacy Protection Act via social media so that this act will be approved soon, and people’s privacy will be protected by law.

5. Civil Liberty ( Freedom of Expression )
      5.1 What are the problems with the current regulation in cyberspace enforced by the government in terms of freedom of expression?
                         I think there is no problem for general public, unless they intent to violate against the monarchy.
      5.2 What are the benefits of the cyberspace and social media in initiating social movement and setting political agenda?
                         I think the government can get real opinions and information directly from all levels of people to process into information for initiating social movement and setting political agenda.
      5.3 As a netizen, what do you think the government should do?
                         I think the government should provide knowledge and awareness to general public so that they will not violate unintentionally.
      5.4 How does the government balance the national security and civil liberties and the freedom of expression?
                         It cannot balance all three sides. I think it depends on context of the nation to build measures and regulations.

6. National Security
                   Until now, we still do not have full law enforcement to control/manage the internet contents. I think first of all we should support to have at least Lawful Interception to be the government’s tool to manage the internet data streaming within the country. Thus, the government agencies must have integration to set a clear frame of law as such. Whenever unity occurs, the government will have full ability to collaborate with private sector. Also, when we join the ASEAN Economic Community      ( AEC ), we will be working with international organizations with confident.

---------------------------------------