การปลอมตัว
การทำให้อีกฝ่ายหนึ่งเข้าใจว่าตัวเองเป็นอีกคนหนึ่ง เป็นการหลอกให้คู่สนทนาเชื่อว่าตนกำลังสนทนากับฝ่ายที่ต้องการสนทนาจริง ๆ เช่นผู้ใช้ต้องการที่จะล็อกอินเข้าสู่ระบบผ่านทางอินเทอร์เน็ตเมื่อมีการหลอกให้ล็อกอินเข้าอีกระบบหนึ่ง ซึ่งผู้ใช้คนนั้นเข้าใจว่าเป็นระบบที่ตนเองต้องการล็อกอินจริง ๆ หรือผู้ใช้ต้องการที่จะอ่านไฟล์แต่ผู้บุกรุกได้จัดการให้ผู้ใช้อ่านอีกไฟล์หนึ่งแทน
การโจมตีแบบนี้อาจเป็นแบบข้อมูลไม่ได้ถูกเปลี่ยนแปลง แต่ส่วนใหญ่จะเป็นแบบข้อมูลที่มีการเปลี่ยนแปลง การรักษาความถูกต้องโดยการใช้กล้องวงจรปิดการตรวจสอบตัวตนจะเป็นวิธีที่ใช้สำหรับป้องกันการโจมตีประเภทนี้ได้
การปฏิเสธการให้บริการ
การขัดขวางไม่ให้เข้าถึงข้อมูลได้การโจมตีแบบนี้ส่วนใหญ่จะเกิดที่เครื่องเซิร์ฟเวอร์ การขัดขวางไม่ให้เซิร์ฟเวอร์ใช้รีซอร์สที่จำเป็นสำหรับการให้บริการ หรืออาจเกิดที่ปลายทาง โดยการขัดขวางช่องทางสื่อสารไปยังเซิร์ฟเวอร์หรืออาจเกิดในระหว่างทาง
การโจมตีแบบนี้อาจเป็นแบบข้อมูลไม่ได้ถูกเปลี่ยนแปลง แต่ส่วนใหญ่จะเป็นแบบข้อมูลที่มีการเปลี่ยนแปลง การรักษาความถูกต้องโดยการใช้กล้องวงจรปิดการตรวจสอบตัวตนจะเป็นวิธีที่ใช้สำหรับป้องกันการโจมตีประเภทนี้ได้
การปฏิเสธการให้บริการ
การขัดขวางไม่ให้เข้าถึงข้อมูลได้การโจมตีแบบนี้ส่วนใหญ่จะเกิดที่เครื่องเซิร์ฟเวอร์ การขัดขวางไม่ให้เซิร์ฟเวอร์ใช้รีซอร์สที่จำเป็นสำหรับการให้บริการ หรืออาจเกิดที่ปลายทาง โดยการขัดขวางช่องทางสื่อสารไปยังเซิร์ฟเวอร์หรืออาจเกิดในระหว่างทาง
โดยการละทิ้งแพ็กเก็ตข้อมูลที่รับส่งระหว่างเซิร์ฟเวอร์ การรักษาความพร้อมใช้งานเป็นวิธีที่ใช้ป้องกันการโจมตีแบบนี้ได้ การโจมตีแบบปฏิเสธการให้บริการหรือการหน่วงเวลาอาจเป็นการโจมตีระบบโดยตรง หรืออาจเกิดปัญหาที่ไม่เกี่ยวข้องกับระบบการรักษาความปลอดภัยก็ได้
การปฏิเสธแหล่งที่มา
การไม่ยอมรับเกี่ยวกับข้อมูลที่ส่งหรือสร้างแล้วส่งไปให้ผู้รับ เช่น การเปิดขายสินค้าผ่านทางเว็บไซต์และเมื่อมีลูกค้าสั่งซื้อสินค้าออนไลน์และเมื่อทางผู้ขายได้รับการสั่งซื้อแล้วส่งสินค้าให้กับลูกค้าและเมื่อลูกค้าได้รับสินค้าแล้วแต่ปฏิเสธที่จะจ่ายเงิน
การปฏิเสธแหล่งที่มา
การไม่ยอมรับเกี่ยวกับข้อมูลที่ส่งหรือสร้างแล้วส่งไปให้ผู้รับ เช่น การเปิดขายสินค้าผ่านทางเว็บไซต์และเมื่อมีลูกค้าสั่งซื้อสินค้าออนไลน์และเมื่อทางผู้ขายได้รับการสั่งซื้อแล้วส่งสินค้าให้กับลูกค้าและเมื่อลูกค้าได้รับสินค้าแล้วแต่ปฏิเสธที่จะจ่ายเงิน
โดยปฏิเสธว่าไม่ได้สั่งสินค้าลูกค้าได้ปฏิเสธแหล่งที่มาของข้อมูลนั้น ถ้าบริษัทไม่สามารถพิสูจน์ได้ว่าการสั่งซื้อนั้นมาจากลูกค้าคนดังกล่าว การโจมตีก็สำเร็จการรักษาความถูกต้องเป็นวิธีที่ใช้ป้องกันการโจมตีแบบนี้ได้
ผู้รับที่ได้รับข้อมูลแล้วแต่ปฏิเสธว่าไม่ไดรับ เช่น ลูกค้าได้มีการสั่งซื้อสินค้าที่มีราคาแพงและทางร้านขอให้ลูกค้าจ่ายเงินก่อนและเมื่อลูกค้าจ่ายเงินแล้วทางร้านจึงจะส่งสินค้าให้เมื่อลูกค้าได้รับสินค้าแล้วก็ทำเป็นว่าไม่ได้รับสินค้าและขอให้ทางผู้ขายส่งสินค้ามาให้ใหม่
ผู้รับที่ได้รับข้อมูลแล้วแต่ปฏิเสธว่าไม่ไดรับ เช่น ลูกค้าได้มีการสั่งซื้อสินค้าที่มีราคาแพงและทางร้านขอให้ลูกค้าจ่ายเงินก่อนและเมื่อลูกค้าจ่ายเงินแล้วทางร้านจึงจะส่งสินค้าให้เมื่อลูกค้าได้รับสินค้าแล้วก็ทำเป็นว่าไม่ได้รับสินค้าและขอให้ทางผู้ขายส่งสินค้ามาให้ใหม่
ถ้าผู้ขายไม่สามารถพิสูจน์ได้ว่าลูกค้าได้รับสินค้าแล้ว ถือว่าการโจมตีแบบปฏิเสธการได้รับก็สำเร็จ การรักษาความถูกต้อง และการรักษาความพร้อมใช้ จะเป็นสิ่งที่ใช้ป้องกันการโจมตีแบบนี้ได้
สินค้าแนะนำระบบรักษาความปลอดภัย : กล้องวงจรปิด รั้วไฟฟ้า สัญญาณกันขโมย
การหน่วงเวลา
การยับยั้งข้อมูลไม่ให้ส่งถึงตามเวลาที่ควรจะเป็นหรือตามที่กำหนด ในการส่งข้อความหรือข้อมูลนั้นต้องใช้เวลาในการส่ง ถ้าผู้บุกรุกสามารถหน่วงเวลาให้ข้อมูลถึงปลายทางมากกว่าเวลา t แล้ว แสดงว่าการโจมตีแบบหน่วงเวลาเป็นผลสำเร็จ
การโจมตีแบบนี้ผู้บุกรุกต้องสามารถควบคุมระบบบางส่วนได้ เช่น เซิร์ฟเวอร์หรือเครือข่าย เป็นต้น เมื่อเซิร์ฟเวอร์หลักไม่สามารถให้บริการได้ เซิร์ฟเวอร์สำรองก็จะทำหน้าที่แทนทันที
ดังนั้นผู้บุกรุกสามารถเจาะเข้าระบบและสามารถควบคุมเซิร์ฟเวอร์สำรองได้ และผู้ใช้พยายามที่จะล็อกอินเข้าเซิร์ฟเวอร์หลัก ผู้บุกรุกพยายามหน่วงเวลาไว้จนทำให้ผู้ใช้เข้าใจว่าเซิร์ฟเวอร์หลักไม่สามารถให้บริการได้ในขณะนั้น
ดังนั้นผู้บุกรุกสามารถเจาะเข้าระบบและสามารถควบคุมเซิร์ฟเวอร์สำรองได้ และผู้ใช้พยายามที่จะล็อกอินเข้าเซิร์ฟเวอร์หลัก ผู้บุกรุกพยายามหน่วงเวลาไว้จนทำให้ผู้ใช้เข้าใจว่าเซิร์ฟเวอร์หลักไม่สามารถให้บริการได้ในขณะนั้น
จึงเปลี่ยนไปล็อกอินเข้าเซิร์ฟเวอร์สำรอง ซึ่งผู้บุกรุกได้ควบคุมไว้ ทำให้การโจมตีแบบหน่วงเวลาก็เป็นผลสำเร็จ การรักษาความพร้อมใช้งานจะเป็นวิธีที่ใช้ป้องกันการโจมตีแบบนี้ได้
วิศวกรรมสังคม
เป็นปฏิบัติการทางจิตวิทยาเป็นวิธีที่ง่ายที่สุดในการโจมตี ไม่จำเป็นที่ต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์มากนัก ส่วนใหญ่จะใช้ได้ผลดี
การโจมตีแบบวิศวกรรมสังคมจะเกี่ยวกับการหลอกให้บางคนหลงกลเพื่อเข้าถึงระบบ เช่น การหลอกให้ส่งข้อมูลที่สำคัญให้ การหลอกถามรหัสผ่าน
การโจมตีประเภทนี้ไม่จำเป็นต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์ หรือการเจาะระบบ วิศวกรรมสังคมเป็นจุดอ่อนที่ป้องกันยากเพราะเกี่ยวข้องกับคน
ซึ่งส่วนใหญ่จะใช้โทรศัพท์เพื่อถามข้อมูลโดยอ้างว่าตนเป็นผู้ได้รับอนุญาตหรือเป็นผู้มีอำนาจ การป้องกันวิศวกรรมสังคมสามารถทำได้สองทาง
ซึ่งส่วนใหญ่จะใช้โทรศัพท์เพื่อถามข้อมูลโดยอ้างว่าตนเป็นผู้ได้รับอนุญาตหรือเป็นผู้มีอำนาจ การป้องกันวิศวกรรมสังคมสามารถทำได้สองทาง
วิธีแรกโดยการทำให้องค์กรมีขั้นตอนการปฏิบัติที่เข้มงวดเกี่ยวกับการบอกรหัสให้คนอื่นทราบ และอีกวิธีโดยการจัดให้มีการอบรมพนักงานเกี่ยวกับนโยบายและการบังคับให้เป็นไปตามนโยบายการรักษาความปลอดภัย
ไม่มีความคิดเห็น:
แสดงความคิดเห็น