การประเมินช่องโหว่ ช่องทางที่ถูกใช้โจมตี (กล้องวงจรปิด)

การประเมินช่องโหว่  ช่องทางที่ถูกใช้โจมตี

                    ช่องทางที่ถูกใช้โจมตีรวมถึงช่องโหว่ด้านกายภาพด้วย  ความอันตรายของช่องโหว่มีหลายระดับขึ้นอยู่กับความเสียหายหรือความรุนแรงที่เกิดขึ้นกับระบบที่ถูกโจมตีผ่านช่องทางนั้น   

ความอันตรายของช่องโหว่ยังขึ้นอยู่กับความยากง่าย  หรือระดับความชำนาญทางด้านเทคนิคของผู้โจมตีที่จะใช้ประโยชน์จากช่องโหว่นั้น 

และเมื่อทำสำเร็จผู้บุกรุกสามารถควบคุมระบบได้ทั้งหมดช่องโหว่ประเภทนี้จัดว่ามีความอันตรายในระดับสูง  ในทางตรงข้ามถ้าเป็นช่องโหว่ประเภทที่ต้อง

ใช้ความชำนาญสูงและใช้ทรัพยากรจำนวนมากในการเจาะระบบและทำได้สำเร็จแต่ได้ข้อมูลที่ไม่ถือว่าสำคัญมากนัก  

ช่องโหว่ประเภทนี้ก็ถือได้ว่ามีความอันตรายในระดับต่ำ  ช่องโหว่ไม่ได้มีแต่เฉพาะกับระบบคอมพิวเตอร์และเครือข่ายเท่านั้น

แต่รวมถึงทางด้านกายภาพ  พนักงาน  และข้อมูลหรือทรัพย์สินที่ไม่ได้อยู่ในรูปแบบอิเล็กทรอนิกส์ด้วย  ช่องโหว่ขององค์กรสามารถแบ่งออกเป็นประเภทต่าง  ๆ  ได้แก่

- ช่องโหว่ทางนโยบาย       เกิดจากการบริหารจัดการ  ส่วนใหญ่เกิดจากการขาดกฎระเบียบ  หรือกฎหมายบังคับ  หรือห้ามการกระทำอย่างใดอย่างหนึ่ง

- ช่องโหว่เกี่ยวกับคน     เกิดจากการปฏิบัติหน้าที่ของพนักงาน  จนเป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถใช้ประโยชน์ได้

- ช่องโหว่ทางเทคนิค       เกิดจากข้อผิดพลาดของการเขียนโปรแกรม  หรือการกำหนดค่าคอนฟิกที่ไม่สมบูรณ์หรือปลอดภัย

- ช่องโหว่ทางกายภาพ     เกิดจากการป้องกันและรักษาความปลอดภัยทางกายภาพ  เช่นการควบคุมการเข้าออกของสถานที่  เป็นต้น

 

สินค้าแนะนำ :   รั้วไฟฟ้ากันขโมย   กล้องวงจรปิด   สัญญาณกันขโมยไร้สาย

การประเมินโอกาสที่จะเกิด

                       เหตุการณ์ภัยคุกคามโอกาสที่จะเกิดและมีผลต่อความมั่นคงปลอดภัยของทรัพย์สินจากการพิจารณาสถิติที่เกิดขึ้นในอดีตและแนวโน้มในปัจจุบันรวมถึงอนาคต   

มาตรการควบคุมและการป้องกันไม่ให้เกิดเหตุการณ์นั้น รวมทั้งการประเมินฝ่ายตรงข้ามว่ามีแรงจูงใจมากน้อยแค่ไหนที่จะเข้ามาทำให้เกิดเหตุการณ์ด้านความมั่นคง  

โอกาสที่จะเกิดขึ้นสามารถกำหนดได้  2  แบบคือ  แบบเชิงปริมาณ  จะกำหนดเป็นตัวเลขหรือร้อยละ    และแบบเชิงคุณภาพ  จะนิยมกำหนดเป็นระดับ  สูงมาก  สูง  ปานกลาง  น้อย  เป็นต้น

การประเมินผลกระทบ

การตรวจสอบธุรกิจว่ามีความเสียหายที่เกิดกับธุรกิจมากน้อยแค่ไหนโดยทั่วไปมักสอบถามพนักงาน   ถ้าข้อมูลขององค์กรถูกขโมยไปให้องค์กรประเมินค่าความเสียหายออกมา  

อาจอยู่ในรูปแบบของจำนวนเงิน  ความเชื่อถือ  การเสียโอกาสทางธุรกิจ  เมื่อตรวจประเมินดูการไหลของข้อมูลภายในองค์กร 

และตรวจสอบว่าแต่ละจุดที่ข้อมูลผ่านมีการดูแลและให้ความสำคัญมากน้อยแค่ไหนกับข้อมูล   ในระหว่างที่ประเมินควรตรวจสอบให้รู้ว่าระบบใด 

หรือส่วนไหนของเครือข่ายที่มีความสำคัญต่องานหรือธุรกิจขององค์กร  เป็นต้น

การคำนวณระดับความเสี่ยง

ทีมประเมินต้องวิเคราะห์ข้อมูลที่ได้รวบรวมมาจากส่วนต่าง  ๆ  อีกครั้งในการตรวจสอบไม่สามารถประเมินได้จากข้อมูลเพียงแหล่งเดียว  ทีมงานตรวจต้องวิเคราะห์ทุก  ๆ  

จุดอ่อนหรือช่องโหว่ขององค์กรโดยรวมที่จะเป็นภัยต่อองค์กร  บางจุดอ่อนหรือช่องโหว่อาจถูกป้องกันการใช้ประโยชน์โดยระบบควบคุมอื่นก็ได้  

และเมื่อทีมงานได้ทำการวิเคราะห์ข้อมูลแล้วต้องสามารถนำเสนอหรือรายงานภัยต่าง  ๆ  และข้อแนะนำในการป้องกัน

โดยการเสนอลำดับอันตรายจากมากไปหาน้อยและภัยแต่ละอย่างควรต้องมีข้อแนะนำในการป้องกันด้วยกล้องวงจรปิด   การประเมินสถานภาพในขั้นตอนสุดท้าย  

การพัฒนานโยบายและแผนเกี่ยวกับการรักษาความปลอดภัยส่วนองค์กรนั้นก็ต้องมีการประเมินอีกครั้งว่าจากการประเมินนั้นใกล้เคียงกับความจริงมากน้อยแค่ไหน  และจะดำเนินให้ดีที่สุดอย่างไร

อาจต้องใช้ทรัพยากรบางส่วน  องค์กรจะต้องเข้าใจแผนที่ออกมาอาจไม่ใช่เพื่อป้องกันภัยที่ร้ายแรงที่สุดก็ได้  อาจมีปัจจัยอื่นที่ทำให้ไม่สามารถทำได้  

ในการคำนวณความเสี่ยงสามารถทำได้โดยการคำนวณจากมูลค่าทรัพย์สินและโอกาสที่จะเกิดขึ้นรวมถึงผลกระทบที่ตามมา  

ถ้าเป็นความเสี่ยงเชิงปริมาณก็จะได้ตัวเลขที่แสดงเป็นจำนวนเงิน  ถ้าเป็นเชิงคุณภาพก็จะระบุถึงระดับความเสี่ยง 

ส่วนผลที่ได้จากการประเมินความเสี่ยง   ระดับความเสี่ยงขององค์กรคำนวณจากความเสียหายและโอกาสที่จะเกิดขึ้น  ความเสี่ยงรูปแบบ  ๆ  

ที่อาจก่อให้เกิดผลเสียหายต่อข้อมูลและระบบ  เพื่อนำความเสี่ยงที่เกินระดับที่องค์กรสามารถยอมรับได้ไปดำเนินการควบคุมและแก้ไขความเสี่ยงในขั้นตอนต่อไป