Thailand Web Hosting

การป้องกันไวรัสในองค์กร
เรียบเรียงโดย : สัญญา คล่องในวัย
ที่มา : ThaiCERT: Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

ไวรัสคอมพิวเตอร์ หลายๆท่านคงจะทราบดีว่า มหันตภัยร้ายจากไวรัสคอมพิวเตอร์ ต่างๆก่อให้เกิดความเสียหาย ความวุ่นวายในการทำงานได้อย่างไรบ้าง ซึ่งหลายคนก็ตระหนักดีว่ามันมีความร้ายกาจขนาดไหน หรือบางท่านอาจประสบ มาด้วยตัวเองบ้างแล้วก็เป็นได้ หรืออาจเคยได้ยินได้ฟังมาบ้าง บางท่านอาจมีความเข้าใจผิดๆ ทำให้เกิดความกลัวจนเกินเหตุแล้วมาตรการสำหรับการป้องกัน ควรจะเป็นหน้าที่ของใคร ? ผู้ดูแลระบบของเรา หรือผู้ใช้เครื่องที่ต้องดูแลกันเอง แล้วจะเลือกวิธีการใดในการป้องกัน จะใช้ระบบที่เป็นฮาร์ดแวร์ หรือระบบที่ เป็นซอฟต์แวร์ แบบใดให้ความน่าเชื่อถือในการทำงานมากกว่า ก่อนที่เราจะศึกษากันถึงวิธีการในการป้องกัน เราต้องมาทำการศึกษากันถึงพฤติกรรม และลักษณะการทำงานของไวรัส เพื่อให้เข้าใจถึงการทำงานของไวรัส สร้างความเข้าใจที่ถูกต้อง และศึกษาว่าไวรัสมีอยู่กี่กลุ่มกี่ประเภท มีกี่สายพันธุ์ หลังจากนั้นเราจึงมาศึกษาเพื่อหาวิธีป้องกันระบบให้ปลอดภัยจากไวรัสคอมพิวเตอร์ ดังคำกล่าวโบราณที่กล่าวว่า "รู้เขารู้เรา รบร้อยครั้งชนะร้อยครั้ง"

ไวรัสคอมพิวเตอร์คืออะไร
ไวรัสคอมพิวเตอร์ คือ โปรแกรมคอมพิวเตอร์ที่ถูกออกแบบมาให้มีคุณสมบัติ นำตัวเองไปติดปะปนกับโปรแกรมอื่นที่อยู่ในระบบ ซึ่งคอมพิวเตอร์ที่โดนไวรัสเล่นงาน จะเกิดความเสียหายต่อข้อมูลที่อยู่บนดิสก์ หรือฮาร์ดดิสก์ หรือเกิดการทำงานที่ไม่พึงประสงค์เช่น การลบไฟล์ที่เก็บอยู่ในฮาร์ดดิสก์ หรือฟอร์แมตฮาร์ดดิสก์เป็นต้น อย่างไรก็ตามการทำงานของไวรัสโดยส่วนใหญ่ทั่วไปแล้วจะไม่ได้มุ่งเน้นไปที่การทำลาย แต่จะมีการทำงานอย่างง่ายๆ เช่น การขู่หรือการแสดงข้อความเพื่อให้เกิดความกลัว ไวรัสจะทำงานเฉพาะในหน่วยความจำของระบบเท่านั้น และจะอยู่จนกว่าจะมีการปิดเครื่อง เมื่อมีการปิดเครื่องไวรัสก็จะถูกกำจัดออกจากหน่วยความจำด้วยเช่นกัน แต่ไม่ได้หมายความว่าได้กำจัดไวรัสออกจากระบบ เพราะการปิดเครื่องไม่ได้เป็นการกำจัดไวรัสออกจาก ไฟล์,โปรแกรม หรือจากแผ่นดิสก์ ฮาร์ดดิสก์ ที่มีไวรัสแอบแฝงอยู่ เมื่อมีการใช้คอมพิวเตอร์ในครั้งต่อไป ไวรัสก็จะทำงานด้วย และมันก็จะทำการแพร่กระจายไปยังโปรแกรมอื่นๆ ด้วยการทำงานของโปรแกรมไวรัสเอง ไวรัสคอมพิวเตอร์จะมีลักษณะของการแพร่กระจาย และการดำรงค์อยู่ เหมือนกับเชื้อไวรัส

กลุ่มของไวรัส
กลุ่มของไวรัสมีการจัดแบ่งกลุ่มออกได้เป็นหลายกลุ่ม และกลุ่มหนึ่งที่น่าสนใจเป็นกลุ่มที่เกิดขึ้นใหม่ ได้แก่กลุ่มของไวรัสที่เรียกว่า "มาโคร ไวรัส" ซึ่งจะทำงานและแพร่กระจายไปกับไฟล์ข้อมูลประเภทเอกสารต่างๆ ถูกค้นพบครั้งแรกในไฟล์เอกสารของโปรแกรมไมโครซอฟท์เวิร์ด และต่อมาพบในเอ็กเซล และเพาเวอร์พ้อยท์ด้วย ซึ่งปัจจุบันโปรแกรมสำหรับตรวจสอบและค้นหาไวรัส หลายๆตัว สามารถที่จะทำงานกับไฟล์เอกสารที่มีส่วนขยายเช่น .DOT ,.DOC เหล่านี้ได้ และ ปัจจุบันมีการจัดกลุ่มของไวรัสตามลักษณะการทำงานได้ดังนี้

• Common Viruses : เป็นไวรัสทั่วๆไปไม่หวังผลในการทำลาย เน้นการทำให้เกิดความกลัวและสร้างความรำคาญง่ายต่อการตรวจสอบและกำจัด
  
• Program Viruses : ไวรัสที่สามารถแพร่กระจายได้เมื่อมีการเรียกใช้โปรแกรมที่มีไวรัสอยู่ให้ทำงาน และจะกระจายไปสู่โปรแกรมอื่นอย่างรวดเร็ว
  
• Boot Viruses : ไวรัสทีสามารถแฝงตัวเอง และแพร่กระจายในส่วนพื้นที่เฉพาะของดิสก์ หรือฮาร์ดดิสก์ คือในส่วนของ Boot Record หรือ Master Boot Record เช่น ไวรัส Stone เป็นต้น
  
• Stealth Viruses : ไวรัสที่มีความสามารถในการหลบซ่อนปิดบังซ่อนเร้นตัวเองจากการตรวจสอบได้ ทำให้ยากแก่การตรวจสอบ และกำจัด
  
• Polymorphic Viruses : เป็นไวรัสที่มีลักษณะการทำงานหลายรูปแบบในตัวเอง มีรูปแบบที่แตกต่างกันในการแพร่กระจายแต่ละครั้ง ทำให้ยากแก่การตรวจจับ
  
• Multipartite Viruses : ไวรัสแบบผสม ที่รวมเอาการทำงานของไวรัสหลายๆแบบไว้ด้วยกัน สามารถแพร่กระจายได้ทั้งในไฟล์ และโปรแกรม
  
• Macro Viruses : มาโครไวรัส เป็นไวรัสที่เกิดขึ้นใหม่ โดยถูกสร้างขึ้นมาจากภาษามาโครของเวิร์ด (คือ Word Basics) และจะแพร่กระจายกับไฟล์เอกสารของเวิร์ด เอ็กเซลล์ หรือ เพาเวอร์พ้อยท์ เช่น ไวรัสที่ชื่อ WM.CAP เป็นต้น
  
  

ไวรัสสามารถสร้างความเสียหายได้ในระดับใด
ไวรัสคอมพิวเตอร์สามารถติดไปกับโปรแกรมต่างๆที่สามารถทำงานได้ เช่นเวิร์ดโปรแซส
ซิ่ง สเปรตชีต หรือ โปรแกรมระบบปฏิบัติการ ไวรัส สามารถติดไปกับส่วนต่างๆ ของดิสก์ หรือส่วนที่เฉพาะเจาะจงของระบบดิสก์ได้ เช่น Boot Record ได้ซึ่งมันจะถูกเรียกให้ทำงานทันทีที่มีการนำแผ่นดิสก์ที่มีไวรัสไปใช้งาน หรือมีการบูตระบบให้ทำงาน และจะเริ่มกระบวนการแพร่กระจาย แต่ไวรัสคอมพิวเตอร์ จะไม่สามารถสร้างความเสียหายให้เกิดขึ้นกับระบบที่เป็นฮาร์ดแวร์ได้ เช่นจอภาพ หรือคีย์บอร์ด แต่บางครั้งการทำงานของไวรัสทำให้เราเข้าใจผิดพลาด ว่าระบบฮาร์ดแวร์มีปัญหา ที่เป็นเช่นนั้นเพราะว่าไวรัสเข้าไปทำการควบคุมโปรแกรมที่ทำหน้าที่ควบคุมการทำงานของจอภาพ และคีย์บอร์ด เช่นการทำให้เกิดตัวอักษรแปลกๆ หรือตัวอักษรร่วงหล่นจากจอภาพ และไวรัสจะไม่สามารถทำให้ดิสก์เสียหายได้ เพียงแต่จะอาศัยอยู่ในดิสก์เท่านั้น และยังสามารถติดกับไฟล์ได้หลายๆประเภทและมันจะทำให้เกิดความผิดพลาดในการทำงานกับโปรแกรมหรือข้อมูลนั้นๆ เท่านั้น

มาตรการการป้องกัน
ในการป้องกันไวรัสไม่ให้สร้างความเสียหายให้แก่ระบบ ควรจะเลือกใช้วิธีใดในการป้องกันการเลือกใช้ ฮาร์ดแวร์ หรือซอฟต์แวร์ อย่างไหนมีประสิทธิภาพในการป้องกันมากกว่ากัน ซึ่งควรจะมาทำการ พิจารณากันว่า ในองค์กรควรจะเลือกวิธีการใด ในการป้องกันองค์กรให้ปลอดภัยจากไวรัส

เลือกใช้ฮาร์ดแวร์ หากมีการเลือกใช้ฮาร์ดแวร์ในการป้องกันไวรัส แน่นอนที่สุดหากมีการใช้ฮาร์ดแวร์ก็ต้องมีการใช้การ์ดที่ทำหน้าที่ตรวจสอบ และป้องกัน ที่สำคัญที่สุดนอกจากการทำงานของการ์ดแล้ว การที่การ์ดจะรู้จักไวรัสตัวใหม่ๆ การวิเคราะห์โปรแกรมต้องสงสัย และการ์ดให้ความคุ้มครองได้ในระดับไหน แล้วความเข้ากันได้กับระบบฮาร์ดแวร์ของระบบคอมพิวเตอร์ และระบบปฏิบัติการ หรือโปรแกรมที่ใช้งานมีการสนับสนุนการทำงานที่เพียงพอหรือไม่ เช่นการซัพพอร์ททางด้านเทคนิค การให้ข้อมูลข่าวสารใหม่ๆของไวรัส การอัพเกรดความสามารถของการ์ด ราคาของการ์ดที่จะนำมาใช้ เหมาะสมกับความสามารถของการ์ดหรือไม่ ถ้ามองถึงในด้านการทำงานแล้วอุปกรณ์ที่เป็นฮาร์ดแวร์ และทำงานในลักษณะที่เกี่ยวข้องกับความปลอดภัย มักจะมีโปรแกรมควบคุม และจัดการ การทำงานมาด้วยเสมอ ก็คือโปรแกรมไดรเวอร์ และต้องมีโปรแกรมทำงาน โปรแกรมช่วยเหลือ โปรแกรมยูทิลิตี้ ซึ่งยังคงเป็นการใช้ซอฟต์แวร์ควบคุมการทำงานของฮาร์ดแวร์อยู่ดี

แล้วการเลือกใช้ซอฟต์แวร์เพื่อป้องกันไวรัสที่มีอยู่ในปัจจุบันมีความปลอดภัยในระดับไหน ความน่าเชื่อถือเป็นอย่างไร ซึ่งโปรแกรมประเภทที่ว่าในปัจจุบันมีหลายรูปแบบให้เลือกใช้เพื่อความเหมาะสมขององค์กรหรือหน่วยงานขนาดต่างๆ และเหมาะสมกับระบบปฏิบัติการหลายๆแบบให้เลือกใช้ ความเข้ากันได้ของการทำงานมีสูงกว่าระบบฮาร์ดแวร์ แล้วจะเลือกใช้ตัวไหนดี สำหรับโปรแกรมป้องกันไวรัสที่โดดเด่น และรู้จักกันอย่างแพร่หลายในหมู่นักเล่นคอมพิวเตอร์ เช่น โปรแกรมที่ชื่อ SCAN จากค่าย McAfee สแกนมีความสามารถในการตรวจสอบไฟล์ข้อมูลประเภทต่างๆ และตัวโปรแกรมมีขนาดเล็ก การทำงานมีทั้งการทำงานตามปกติ การตรวจจับลักษณะการทำงานของไฟล์ต้องสงสัย การทำงานในหลายได้ในหลายระบบปฏิบัติการเช่น Dos Windows 3.X Window95 Window NT และความสามารถในการตรวจสอบไฟล์ที่มาจากระบบเน็ตเวิร์ค หรืออินเตอร์เน็ต ที่เรียกว่า WebScan การอัพเดตฐานข้อมูลของไวรัส (Virus Signature) และการรู้จักไวรัสตัวใหม่ๆ ซึ่งตรงนี้อาจเป็นจุดอ่อนของโปรแกรมตัวนี้ก็ได้เพราะมีการเปลี่ยนแปลงรุ่นของโปรแกรมที่เร็วมาก และการอัพเดตฐานข้อมูล ผู้ใช้ต้องดำเนินการดาวน์โหลดโปรแกรมรุ่นใหม่และทำการติดตั้งเองทั้งหมด ซึ่งถ้าผู้ใช้แต่ละคนไม่หมั่นทำการอัพเดตซึ่งปกติจะทำเดือนละครั้งก็จะเป็นจุดที่ไวรัสจะเข้าโจมตีได้เช่นกัน

โปรแกรมตัวต่อไปที่นิยมไม่แพ้กัน และมีชื่อเสียงคุ้นเคยกันมานานก็คือโปรแกรมตระกูล Norton Anti Virus จากค่าย Symantec โปรแกรมตัวนี้มีจุดเด่นที่เป็นจุดเข็ง และเป็นหัวใจในการทำงานหลายประการเช่น การจัดการกระบวนการทำงานในรูปแบบอัตโนมัติ การค้นหาไวรัสตามเวลาที่ได้ตั้งเอาไว้ การอัพเดตฐานข้อมูลไวรัสที่สามารถทำได้โดยอัตโนมัติด้วยการคลิกเม้าท์เพียงปุ่มเดียว โปรแกรมจะทำการติดต่อกับเครื่อง Server ของบริษัทเพื่อทำการอัพเดตข้อมูลให้ เรียกว่าการทำ "Live - Up-date" ซึ่งผู้ใช้ไม่ต้องทำการดาวน์โหลดข้อมูลด้วยตัวเองและรอการทำงานจนเสร็จ และติดตั้งโปรแกรมอีกครั้งหนึ่ง การทำ Live - Up-date สามารถทำได้ตลอดเวลาเช่นตอนเที่ยงก่อนทานข้าวก็ทำเอาไว้โปรแกรมจะทำการติดตั้งโดยอัตโนมัติ เมื่อกลับจากทานข้าวก็ทำการบูตระบบ ให้โปรแกรมฐานข้อมูลไวรัสตัวใหม่ทำงานก็เสร็จกระบวนการ ซึ่งฐานข้อมูลจะมีการปรับปรุงทุกๆ 15 -30 วัน นอกจากนี้การตรวจจับไฟล์ที่ต้องสงสัย การทำงานหลังฉากก็มีประสิทธิภาพในการทำงานสูง การแจ้งเตือนทำได้ชัดเจน รวดเร็ว มีข้อเสียคือโปรแกรมตรวจจับมีขนาดในหน่วยความจำที่ค่อนข้างใหญ่สำหรับเครื่องที่หน่วยความจำน้อย

นอกจากนี้ยังมีโปรแกรมที่เราไม่ค่อยรู้จักได้แก่ Dr.Solomon's PC-Cillin Cheyenen เป็นต้น สำหรับหน่วยงานหรือองค์กรขนาดใหญ่ที่มีระบบ Server ใช้งาน โปรแกรมสำหรับระบบที่ว่านี้โปรแกรมที่น่าสนใจก็มี Cheyenne Inoculan ซึ่งเหมาะกับการทำงานกับระบบเน็ตเวิร์คที่เป็น Windows NT และ Windows Client มีความสามารถตรวจจับไวรัสที่ติดมากับจดหมายอิเล็กทรอนิกส์ได้และมีการจัดการที่เกี่ยวข้องกับความปลอดภัยของระบบที่ค่อนข้างดี เช่นการที่อนุญาติให้ผู้ดูแลระบบสามารถที่จะตรวจสอบเครื่องที่ต้องสงสัยว่ามีไวรัสที่อยู่ภายในระบบได้ อีกโปรแกรมที่น่าสนใจสำหรับองค์กรขนาดใหญ่ก็คือ LDVP 5.0 หรือ LanDesk Virus Protect ของบริษัทอินเทลซึ่งมีความสามารถในการทำงานที่ไม่ขึ้นกับระบบปฏิบัติการ มีการจัดการที่ดีและจะมีความสามารถสูงขึ้นหากมีการทำงานร่วมกับโปรแกรมจัดการระบบ ที่ชื่อ LanDesk Manager จากบริษัทเดียวกัน

บทสรุป
ระบบไหนที่จะเหมาะสำหรับการใช้ในองค์กร ? โดยความคิดเห็นของผู้เขียนแล้ว แต่ละระบบก็มีจุดเด่นและจุดด้อยที่แตกต่างกัน หากเป็นองค์กรที่มีขนาดค่อนข่างใหญ่ มีการใช้ระบบปฏิบัติการหลายๆตัวแล้ว ทางเลือกที่ดีน่าจะเป็นการเลือกใช้ซอฟท์แวร์ป้องกันที่สามารถจัดการระบบ มีความสามารถในการทำงานกับระบบเน็ตเวิร์คได้ และการใช้โปรแกรมที่ถูกต้องตามกฏหมายก็ยังเป็นการประหยัดงบประมาณมากกว่าการใช้ระบบที่เป็นฮาร์ดแวร์ เพราะระบบที่เป็นฮาร์ดแวร์ใช้ได้กับเครื่องใดเครื่องหนึ่งเท่านั้น ต้องมีการถอดประกอบเครื่องและติดตั้งโปรแกรมควบคุมจึงสามารถทำงานได้ นอกจากนี้ในปัจจุบันก็ยังไม่สนับสนุนการทำงานร่วมกับระบบเน็ตเวิร์คด้วยถึงแม้จะมีการติดตั้งที่ตัว Server ก็ตามการทำงานก็ยังไม่เด่นนัก ในด้านความเข้ากันได้กับระบบปฏิบัติการ สำหรับเครื่องที่ทำงานเป็น Stand alone ในสำนักงานการใช้โปรแกรมจำพวก Scan หรือ Norton Anti Virus ก็ดูจะมีประสิทธิภาพมากกว่า เมื่อเทียบกันทั้งในด้านราคา และความง่ายในการใช้งาน และสำหรับเครื่องที่มีอยู่ในปัจจุบันการใช้งาน Norton Anti Virus ก็น่าจะเป็นทางเลือกที่ดีกว่าและไม่น่าจะเป็นปัญหากับเรื่องหน่วยความจำในปัจจุบัน

การเลือกใช้การป้องกันไวรัสในรูปแบบใดต้องมีการคำนึงถึงความพร้อม และองค์ประกอบในหลายๆด้านขององค์กร เช่นศักยภาพความสามารถขององค์กร การสร้างความรู้ความเข้าใจให้กับบุคลากรในองค์กร การเสริมสร้างความรับผิดชอบ และความมีวินัยในการใช้คอมพิวเตอร์ แม้จะมีมาตรการในการป้องกันไวรัสในองค์กรที่ดีเพียงใด ถ้าหากบุคลากรที่ใช้เครื่องคอมพิวเตอร์ไม่มีวินัยในการใช้เครื่องคอมพิวเตอร์ ไม่มีการตรวจสอบแผ่นดิสก์ข้อมูลที่นำมาจากแหล่งอื่นก่อนการใช้งาน ถึงจะมีโปรแกรม หรือฮาร์ดแวร์ป้องกันที่ดีเพียงใดก็ไม่สามารถที่จะป้องกันได้ ดังเช่น "นโปเลียนนักรบผู้แก่งกล้า ก็ยังพ่ายรัก ฉันใด ผู้ใช้คอมพิวเตอร์ที่ไร้วินัย ก็พ่ายไวรัสฉันนั้น"

หมายเหตุ
ข้อเขียนในบทความนี้เป็นความคิดเห็นและประสบการณ์ของผู้เขียน บุคคลอื่นไม่จำเป็นต้องมีความคิดเห็นเหมือนผู้เขียน