จากเดิมที่เราเคยคิดว่าการติดตั้งอุปกรณ์ Firewall ภายในระบบจะสามารถป้องกันการรุกรานจากกลุ่มนักเจาะระบบที่จ้องเล่นงานเราอยู่ได้นั้น ไม่เพียงพอสำหรับการใช้งานในปัจจุบันแล้ว เนื่องจากเทคนิคการโจมตีนั้นมีความก้าวหน้าเป็นอย่างมาก ซึ่งนักเจาะระบบเหล่านี้จะอาศัยช่องทางที่เกิดขึ้นจากความต้องการของผู้ใช้งานที่ต้องการติดต่อมายังองค์กรจากภายนอก เป็นช่องโหว่สำหรับใช้ในการโจมตีเราเอง เช่น การเรียกใช้งานเว็บไซต์ ผ่านพอร์ต 80 (HTTP), การแลกเปลี่ยนไฟล์ข้อมูลผ่านพอร์ต 21 (FTP) หากเราทำการปิดกั้นช่องทางเหล่านี้บนอุปกรณ์ Firewall หมายความว่า ผู้ใช้งานก็จะ “ไม่สามารถ” ติดต่อมายังองค์กรได้ จึงเป็นสาเหตุที่ทำให้ผู้ดูแลระบบไม่สามารถปิดช่องทางเหล่านี้ได้ ทำให้เหล่านักเจาะระบบหันมาสนใจช่องโหว่ที่เกิดจากช่องทางเหล่านี้ และ นำมาใช้ในการโจมตีระบบแทน

นอกจากการโจมตีเข้ามาตามช่องทางต่างๆ ที่ถูกเปิดไว้แล้ว ระบบปฎิบัติการ(OS) ก็เป็นอีกช่องโหว่ที่บรรดาเหล่านักเจาะระบบชื่นชอบ และ พยายามหาช่วงโหว่ที่เกิดขึ้นใหม่ๆ ทุกวัน โดยผู้ผลิตระบบปฎิบัติการเองก็จะมีการ Update Patch อยู่เป็นประจำเพื่อทำการอุดช่องโหว่ต่างๆ แต่อาจจะไม่เพียงพอ เนื่องจากระบบมีความเสี่ยงที่จะโดนโจมตีไปแล้ว ก่อนที่ผู้ผลิตระบบปฎิบัติการจะออก Patch มาเพื่อป้องกันได้ทัน

Intrusion Prevention System - IPS

เนื่องจากรูปแบบของการโจมตี และ การก่อการร้ายในโลกอินเตอร์เน็ตนั้น มีระดับความร้ายแรงที่แตกต่างกันออกไป การโจมตีบางชนิดไม่ได้สร้างความเสียหายอะไร แต่ต้องการก่อกวนระบบ และ สร้างความรำคาญให้กับผู้ใช้งานเท่านั้น ผิดกับการโจมตีบางประเภทที่ต้องการมุ่งร้ายกับระบบภายในโดยตรงเช่น การโจมตีในรูปแบบ Denial of Service (DoS) ที่มุ่งทำลายเครื่องแม่ข่ายที่มีการเปิดให้บริการกับผู้ใช้งานทั่วไป โดยการจำลองผู้ใช้งานจำนวนมากขึ้นมา และ พยายามเข้าระบบพร้อมๆกัน ซึ่งรูปแบบดังกล่าวอาจเกิดจากการที่เครื่องคอมพิวเตอร์จำนวนมาก ถูกทำให้ติดไวรัสแบบตั้งเวลา เมื่อถึงเวลาที่กำหนดก็จะทำการส่งข้อมูลโจมตีไปยังเครื่องแม่ข่ายเครื่องใดเครื่องหนึ่ง พร้อมๆกัน ในเวลาเดียวกัน จนทำให้เครื่องแม่ข่ายไม่สามารถให้บริการต่อไปได้อีก
 หากเครื่องแม่ข่ายข้างต้นที่เป็นเป้าหมายของการโจมตี เป็นเครื่องแม่ข่ายที่มีความสำคัญกับการดำเนินธุรกิจแล้ว มูลค่าความเสียหายที่เกิดขึ้นอาจไม่สามารถประมาณเป็นตัวเงินได้ ซึ่งอุปกรณ์ IPS จะเข้ามามีส่วนสำคัญในการป้องกันเหตุการณ์ดังกล่าว โดยอุปกรณ์ IPS จะเข้ามาทำงานเสริมกับอุปกรณ์ Firewall ในการตรวจสอบข้อมูลที่ผ่านเข้ามาภายในองค์กรแล้วว่า เป็นข้อมูลที่ถูกต้อง หรือ เป็นข้อมูลที่ต้องสงสัยว่าอาจเป็นข้อมูลที่นักเจาะระบบใช้เพื่อพยายามโจมตีเข้ามาในระบบผ่านช่องทางที่ถูกเปิดไว้ หากใช่ก็จะทำการจัดการข้อมูลดังกล่าวออกไปจากระบบ

ถ้าเปรียบระบบเครือข่ายเป็นองค์กรหนึ่งๆ อุปกรณ์ Firewall จะเปรียบเหมือนเครื่องรูดบัตร บุคคลที่มีบัตรผ่านเท่านั้นที่จะสามารถเดินเข้ามาในองค์กรของเราได้ แต่ถ้าไม่มีบัตรก็จะถูกกักกันไว้ด้านนอก และ อุปกรณ์ IPS จะเปรียบเหมือน “ยาม” ที่คอยเดินตรวจตราในบริษัทของเรา ซึ่งจะคอยสอดส่องคนที่เข้ามาองค์กรของเราว่ามีพฤติกรรมไม่ดี หรือพกอาวุธเข้ามาหรือไม่ หากตรวจพบจะทำการแจ้งให้ส่วนกลางทราบ และ กำจัดออกไปจากองค์กร

การเลือกใช้งานอุปกรณ์ IPS

การป้องกันภัยคุกคามของอุปกรณ์ IPS นั้นมีหลายชนิด แตกต่างกันไปตามรูปแบบการตรวจสอบ เช่น ใช้รูปแบบการป้องกันตนเองเพื่อเปรียบเทียบว่าในระบบมีรูปแบบนั้นๆ เกิดขึ้นหรือไม่ (Signature Based IPS) หรือ ตรวจสอบพฤติกรรมผู้ใช้งานว่ามีการทำงานที่ผิดปกติหรือไม่ (Behavior Based IPS) ซึ่งอุปกรณ์ IPS บางชนิดก็มีการทำงานแค่อย่างใดอย่างหนึ่ง บางชนิดก็มีคุณสมบัติในการทำงานได้ทั้ง 2 แบบ

• หากอุปกรณ์ดังกล่าวใช้รูปแบบการป้องกันตนเอง (Signature) บริษัทผู้ผลิตจะต้องมีทีมงานวิจัยที่น่าเชื่อถือ ในการตรวจสอบ, เสาะหา รูปแบบภัยคุกคามใหม่ๆ รวมถึง ช่องโหว่ที่เกิดขึ้นในปัจจุบันได้อย่างทันเวลา และ ครอบคลุม เนื่องจากช่องโหว่ที่พบบางแห่งอาจเกิดขึ้นในวงจำกัดเท่านั้นก่อนจะเริ่มสร้างความเสียหายในบริเวณที่กว้างขึ้น
  
  
• หากอุปกรณ์ดังกล่าวใช้การตรวจสอบลักษณะพฤติกรรมที่ผิดปกติ (Behavior) อุปกรณ์ดังกล่าวต้องมีความสามารถในการรู้จักรูปแบบการโจมตีระบบในเบื้องต้นเช่น Denial of Service (DoS), Virus, Malware, Spyware เป็นต้น ซึ่งการโจมตีบางชนิดอาจดูเหมือนการทำงานตามปกติ แต่มีปริมาณ หรือ ความถี่ที่ผิดปกติ นอกจากนี้อุปกรณ์ IPS บางชนิด ยังสามารถเก็บสถิติต่างๆ ที่เกิดขึ้นมาเพื่อใช้ในการวิเคราะห์ และ สร้างรูปแบบการป้องกันตนเองขึ้นมาได้ ซึ่งการทำงานดังกล่าวจะช่วยให้ระบบเครือข่ายสามารถปัองกันตัวเองจากการโจมตีที่เป็นรูปแบบใหม่ๆ ที่ยังไม่เป็นที่รู้จักได้ทันเวลาก่อนที่จะสร้างความเสียหายให้กับระบบ