โดน Hack หรือล่มเอง?

ใน 2 วันที่ผ่านมาก็ได้มีข่าวและกระแสต่างๆ รวมถึงตัวหน่วยงาน กกต. เองก็ได้ออกมาประกาศว่าตนเอง โดน Hack ? ซึ่งก็ได้เกิดคำถามขึ้นมากมายว่า โดน Hack จริงหรือไม่ ? แล้วเราจะรู้ได้อย่างไรว่าโดน Hack ? จริงๆแล้วคำตอบนั้นมีหลายวิธีมากครับ แต่วิธีที่ชัดเจนและตรงประเด็นที่สุดก็คือ การตรวจสอบจาก Log นั่นเอง เพราะ Log ก็เปรียบเสมือนข้อมูล Record เหตุการณ์ที่เกิดขึ้นในระบบคอมพิวเตอร์ คล้ายๆกับกล้องวงจรปิดในชีวิตจริง

แต่ปัญหาคือเราจะค้นหา Log ที่เป็นการ Hack ได้อย่างไร ? และเราจะสามารถใช้ Log ในการตรวจจับการโจมตีที่เกิดขึ้น ณ ขณะนั้นได้หรือไม่ ?​

ในกรณีนี้เอาตามที่ กกต. แถลงว่า “ข้อมูลที่ปรากฎออกมามีข้อผิดพลาดหลายส่วน เป็นความผิดพลาดจากตัวบุคคล กรอกข้อมูลผิด ป้อนข้อมูลผิด และระบบล่มถึง 3 ครั้งจากการเข้าโจมตีของ Hacker” แสดงว่าที่โดน Hack น่าจะเป็นเรื่องระบบล่ม หรือการโจมตีจำพวก Denial of Service ต่างๆ ซึ่งการโจมตีประเภทนี้ใช้ Log ในการ Detect การโจมตีและแก้ไขปัญหา หรือ Tracking ย้อนหลังได้ง่ายมากครับ

ทำยังไง?

สมมุติว่า กกต. ใช้ Server ตัวหนึ่งทำเป็น Web Service ให้แก่สื่อมวลชนต่างๆมา Call API เพื่อดึงข้อมูลไปแสดงผล ในช่วงเวลาปกติปริมาณ Event Per Sec หรือจำนวนบรรทัดของ Log ที่ถูกเขียนจะเป็นปริมาณคงที่ แต่หากโดนยิง DDos ปริมาณ Event Per Sec จะพุ่งในระดับที่คนละเรื่องกับการใช้งานปกติอย่างเห็นได้ชัด ซึ่งเราจะเห็นพฤติกรรมแบบนี้ได้ทั้งจาก Log Web Application, Web Server หรืออุปกรณ์ Network เช่น Firewall

ซึ่งหากเป็นกรณีที่เรามีระบบตรวจจับอยู่แล้วและเห็นกราฟวิ่งขึ้นแบบในภาพ สิ่งที่ควรทำคือการตรวจสอบว่า Event Pec Sec ที่พุ่งขึ้นนั้นเกิดจากอะไร อย่างกรณีของ กกต. ถ้าเรามีการเก็บ List IP Address ของสื่อมวลชนต่างๆ ที่จะมาขอดึง API อยู่แล้วก็ง่ายมากครับ เราสามารถใช้ Log ในการ List IP Address ที่มาขอเชื่อมต่อกับระบบเพื่อขอดึงข้อมูล โดยอาจใช้การ Visualization อย่าง Sankey Chart ในการมองเส้นทางของ Connection

เท่านี้ก็เห็นได้ชัดแล้วครับว่า IP ใดมาขอดึงข้อมูลและมาขอจำนวนกี่ครั้ง ใครขอมาก-ขอน้อย และใครที่ไม่ใช่สื่อมวลชนที่ได้รับอนุญาต แล้วเราก็ทำการ Block IP ที่สร้างปัญหาให้ระบบไปด้วยอุปกรณ์จำพวก Firewall ก็เรียบร้อย

แต่ถ้าหากว่าหมายเลข IP ทั้งหมดเป็นของสื่อมวลชนที่ได้รับอนุญาตให้ดึงข้อมูลจาก กกต. โดยถูกต้องแล้ว ก็คงต้องยอมรับครับว่า นี่ไม่ใช่การ Hack หรือการโจมตีใดๆ แต่เป็นการจัดเตรียมระบบที่ไม่สามารถรองรับการใช้งานจริงได้แต่แรก…

Related products

Purichaya Narongpan

จบจาก Stamford International University (Hua Hin Campus) คณะ International Business Management – Bilingual Program ปัจจุบันทำงานด้าน Digital Marketing อยู่ที่ Ragnar Corporation อีกทั้งสนใจเรื่อง Cyber Security, Compliance และ Technology ต่าง ๆ จึงเขียนบทความเพื่อศึกษาหาข้อมูล และทำความเข้าใจเกี่ยวกับเรื่องนี้

Similar tags

Pakawadee Chanhom

สัมมนาออนไลน์สำหรับองค์กรที่ต้องทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)

งานสัมมนาออนไลน์สำหรับองค์กรทั้งภาครัฐและเอกชนที่ต้องการจะปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล แต่มีเวลาและทรัพยากรจำกัดในการทำ

Read more...
Purichaya Narongpan

ใครเหมาะสมที่จะเป็น DPO?

สวัสดีครับ ในบทความนี้เราจะมาเรียนรู้กันว่า DPO คืออะไร หน้าที่ความรับผิดชอบคืออะไร คุณสมบัติของคนที่จะเข้ามารับตำแหน่ง Data Protection Officer

Read more...
Pakawadee Chanhom

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

แม้แต่ลูกเสือที่เตรียมพร้อมขนาดไหน หากขาดความรู้ด้าน Cyber security ไปก็ข้อมูลลูกค้ารั่วไหลหากไม่เตรียมตัว

Read more...