ความปลอดภัยของคอมพิวเตอร์

จากวิกิพีเดีย สารานุกรมเสรี
ข้ามไปที่การนำทาง ข้ามไปที่การค้นหา

แม้ว่าการรักษาความปลอดภัยคอมพิวเตอร์ส่วนใหญ่จะเกี่ยวข้องกับมาตรการดิจิทัล เช่น รหัสผ่านอิเล็กทรอนิกส์และการเข้ารหัส มาตรการรักษาความปลอดภัยทางกายภาพ เช่น ล็อคโลหะ ยังคงใช้เพื่อป้องกันการปลอมแปลงโดยไม่ได้รับอนุญาต

ความปลอดภัยของ คอมพิวเตอร์ ความปลอดภัยทางไซเบอร์ ( ความปลอดภัยทางไซเบอร์ ) หรือการรักษาความปลอดภัยเทคโนโลยีสารสนเทศ ( ความ ปลอดภัยไอที ) คือการป้องกันระบบคอมพิวเตอร์และเครือข่ายจากการเปิดเผยข้อมูล การขโมย หรือความเสียหายต่อฮาร์ดแวร์ซอฟต์แวร์หรือข้อมูลอิเล็กทรอนิกส์รวมถึงการหยุดชะงักหรือบริการที่ส่งไปในทางที่ผิด [1]

สาขานี้มีความสำคัญเนื่องจากการพึ่งพาระบบคอมพิวเตอร์อินเทอร์เน็ต [ 2]และ มาตรฐาน เครือข่ายไร้สายเช่นBluetoothและWi-Fiและเนื่องจากการเติบโตของอุปกรณ์ "อัจฉริยะ"รวมถึง สมาร์ โฟนโทรทัศน์และ อุปกรณ์ต่างๆ ที่ประกอบเป็นInternet of Things (IoT) ความปลอดภัยทางไซเบอร์เป็นหนึ่งในความท้าทายที่สำคัญในโลกร่วมสมัย เนื่องจากความซับซ้อนทั้งในแง่ของการใช้ทางการเมืองและเทคโนโลยี เป้าหมายหลักคือเพื่อให้แน่ใจว่าระบบมีความเชื่อถือได้ ความสมบูรณ์ และความเป็นส่วนตัวของข้อมูล [3] [4]

ประวัติ

นับตั้งแต่อินเทอร์เน็ตมาถึงและด้วยการเปลี่ยนแปลงทางดิจิทัลที่เริ่มต้นขึ้นในช่วงไม่กี่ปีที่ผ่านมา แนวคิดเรื่องความปลอดภัยทางไซเบอร์ได้กลายเป็นหัวข้อที่คุ้นเคยทั้งในชีวิตการทำงานและชีวิตส่วนตัวของเรา ความปลอดภัยทางไซเบอร์และภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างต่อเนื่องในช่วง 50 ปีที่ผ่านมาของการเปลี่ยนแปลงทางเทคโนโลยี ในช่วงทศวรรษ 1970 และ 1980 ความปลอดภัยของคอมพิวเตอร์ส่วนใหญ่จำกัดไว้เฉพาะในแวดวงวิชาการ จนกระทั่งมีแนวคิดเกี่ยวกับอินเทอร์เน็ต ซึ่งด้วยการเชื่อมต่อที่เพิ่มขึ้น ไวรัสคอมพิวเตอร์และการบุกรุกเครือข่ายเริ่มมีขึ้น หลังจากการแพร่กระจายของไวรัสในทศวรรษ 1990 ทศวรรษ 2000 ถือเป็นการจัดตั้งสถาบัน

ในที่สุด ตั้งแต่ปี 2010 การโจมตีขนาดใหญ่และกฎระเบียบของรัฐบาลก็เกิดขึ้น

เซสชั่นเดือนเมษายนปี 1967ซึ่งจัดโดยWillis Wareในการประชุม Spring Joint Computer Conferenceและการเผยแพร่Ware Reportในเวลาต่อมา เป็นช่วงเวลาพื้นฐานในประวัติศาสตร์ด้านความปลอดภัยของคอมพิวเตอร์ [5]งานของแวร์อยู่คร่อมจุดตัดของข้อกังวลด้านวัตถุ วัฒนธรรม การเมือง และสังคม [5]

สิ่งพิมพ์NISTปี 1977 [6]ได้แนะนำ "CIA triad" ของ Confidentiality, Integrity และ Availability ให้เป็นวิธีที่ชัดเจนและเรียบง่ายในการอธิบายเป้าหมายการรักษาความปลอดภัยที่สำคัญ [7]ในขณะที่ยังคงมีความเกี่ยวข้อง มีการเสนอกรอบงานที่ซับซ้อนกว่านี้อีกมาก [8] [9]

อย่างไรก็ตาม ในช่วงทศวรรษ 1970 และ 1980 ไม่มีการคุกคามทางคอมพิวเตอร์ที่ร้ายแรง เนื่องจากคอมพิวเตอร์และอินเทอร์เน็ตยังคงพัฒนาอยู่ และสามารถระบุภัยคุกคามด้านความปลอดภัยได้ง่าย ภัยคุกคามส่วนใหญ่มาจากบุคคลภายในที่เป็นอันตรายซึ่งได้รับการเข้าถึงเอกสารและไฟล์ที่มีความละเอียดอ่อนโดยไม่ได้รับอนุญาต แม้ว่ามัลแวร์และการละเมิดเครือข่ายจะเกิดขึ้นในช่วงปีแรกๆ แต่ก็ไม่ได้ใช้เพื่อผลประโยชน์ทางการเงิน อย่างไรก็ตาม ในช่วงครึ่งหลังของปี 1970 บริษัทคอมพิวเตอร์ที่จัดตั้งขึ้น เช่น IBM เริ่มเสนอระบบควบคุมการเข้าออกเชิงพาณิชย์และผลิตภัณฑ์ซอฟต์แวร์รักษาความปลอดภัยคอมพิวเตอร์ [10]

เริ่มต้นด้วยCreeperในปี 1971 Creeper เป็นโปรแกรมคอมพิวเตอร์ทดลองที่เขียนโดย Bob Thomas ที่BBN ถือเป็นเวิร์มคอมพิวเตอร์ตัวแรก

ในปี 1972 ซอฟต์แวร์ต่อต้านไวรัสตัวแรกถูกสร้างขึ้นชื่อReaper มันถูกสร้างขึ้นโดยRay Tomlinsonเพื่อย้ายข้าม ARPANET และลบเวิร์ม Creeper

ระหว่างเดือนกันยายน พ.ศ. 2529 ถึงมิถุนายน 2530 กลุ่มแฮ็กเกอร์ชาวเยอรมันได้ดำเนินการกับคดีจารกรรมทางไซเบอร์ที่มีการบันทึกครั้งแรก กลุ่มนี้เจาะระบบเครือข่ายผู้รับเหมาป้องกันประเทศ มหาวิทยาลัย และฐานทัพทหารของสหรัฐฯ และขายข้อมูลที่รวบรวมไปยัง KGB ของสหภาพโซเวียต กลุ่มนี้นำโดยMarkus Hessซึ่งถูกจับกุมเมื่อวันที่ 29 มิถุนายน พ.ศ. 2530 เขาถูกตัดสินว่ามีความผิดฐานจารกรรม (พร้อมกับผู้สมรู้ร่วมคิดอีกสองคน) เมื่อวันที่ 15 กุมภาพันธ์ พ.ศ. 2533

ในปี 1988 เวิร์ มคอมพิวเตอร์ตัว แรก ที่เรียกว่าเวิร์มมอร์ริสถูกแจกจ่ายผ่านทางอินเทอร์เน็ต ได้รับความสนใจจากสื่อกระแสหลักอย่างมาก

ในปี 1993 Netscapeเริ่มพัฒนาโปรโตคอลSSLไม่นานหลังจากที่ National Center for Supercomputing Applications (NCSA) เปิดตัว Mosaic 1.0 ซึ่งเป็นเว็บเบราว์เซอร์ตัวแรกในปี 1993 Netscape มี SSL เวอร์ชัน 1.0 พร้อมในปี 1994 แต่ไม่เคยเผยแพร่สู่สาธารณะ เนื่องจากช่องโหว่ด้านความปลอดภัยที่ร้ายแรงมากมาย จุดอ่อนเหล่านี้รวมถึงการโจมตีซ้ำและช่องโหว่ที่อนุญาตให้แฮ็กเกอร์แก้ไขการสื่อสารที่ไม่ได้เข้ารหัสที่ส่งโดยผู้ใช้ อย่างไรก็ตาม ในเดือนกุมภาพันธ์ 1995 Netscape ได้เปิดตัวเวอร์ชัน 2.0

กลยุทธ์รุกล้มเหลว

สำนักงานความมั่นคงแห่งชาติ (NSA) มีหน้าที่รับผิดชอบในการปกป้องระบบข้อมูลของสหรัฐฯ และรวบรวมข่าวกรองต่างประเทศ (11)หน้าที่ทั้งสองนี้ขัดแย้งกัน การปกป้องระบบข้อมูลรวมถึงการประเมินซอฟต์แวร์ การระบุข้อบกพร่องด้านความปลอดภัย และการดำเนินการเพื่อแก้ไขข้อบกพร่อง ซึ่งเป็นมาตรการป้องกัน การรวบรวมข่าวกรองรวมถึงการใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยเพื่อดึงข้อมูลซึ่งเป็นการกระทำที่ไม่เหมาะสม การแก้ไขข้อบกพร่องด้านความปลอดภัยทำให้ข้อบกพร่องไม่พร้อมใช้งานสำหรับการใช้ประโยชน์จาก NSA

หน่วยงานวิเคราะห์ซอฟต์แวร์ที่ใช้กันทั่วไปเพื่อค้นหาข้อบกพร่องด้านความปลอดภัย ซึ่งสงวนไว้สำหรับวัตถุประสงค์เชิงรุกกับคู่แข่งในสหรัฐอเมริกา หน่วยงานไม่ค่อยดำเนินการป้องกันโดยการรายงานข้อบกพร่องไปยังผู้ผลิตซอฟต์แวร์เพื่อที่พวกเขาจะได้กำจัดข้อบกพร่องเหล่านั้น (12)

กลยุทธ์เชิงรุกใช้ได้ผลมาระยะหนึ่งแล้ว แต่ในที่สุดประเทศอื่นๆ รวมถึงรัสเซียอิหร่านเกาหลีเหนือและ จีน ก็ได้รับความสามารถในการโจมตีของตนเองและมีแนวโน้มที่จะใช้กลยุทธ์ นี้กับสหรัฐฯ ผู้รับเหมาของ NSA ได้สร้างและขายเครื่องมือโจมตีแบบ "คลิกแล้วยิง" ให้กับหน่วยงานของสหรัฐฯ และพันธมิตรที่ใกล้ชิด แต่ในที่สุดเครื่องมือดังกล่าวก็เข้าถึงฝ่ายตรงข้ามจากต่างประเทศ ในปี 2559 เครื่องมือแฮ็กของ NSA เองถูกแฮ็ก และรัสเซียและเกาหลีเหนือก็ใช้งานเครื่องมือเหล่านี้ พนักงานและผู้รับเหมาของ NSA ได้รับคัดเลือกให้ได้รับเงินเดือนสูงจากฝ่ายตรงข้าม ซึ่งกระตือรือร้นที่จะแข่งขันในสงครามไซเบอร์ (12)

ตัวอย่างเช่น ในปี 2550 สหรัฐอเมริกาและอิสราเอลเริ่มใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยใน ระบบปฏิบัติการ Microsoft Windowsเพื่อโจมตีและสร้างความเสียหายให้กับอุปกรณ์ที่ใช้ในอิหร่านเพื่อปรับแต่งวัสดุนิวเคลียร์ อิหร่านตอบโต้ด้วยการลงทุนอย่างหนักในความสามารถด้านสงครามไซเบอร์ซึ่งพวกเขาเริ่มใช้กับสหรัฐอเมริกา (12)

ช่องโหว่และการโจมตี

จุดอ่อนคือจุดอ่อนในการออกแบบ การนำไปใช้งาน การปฏิบัติการ หรือการควบคุมภายใน ช่องโหว่ส่วนใหญ่ที่ถูกค้นพบได้รับการบันทึกไว้ใน ฐานข้อมูล ช่องโหว่ทั่วไปและการเปิดเผย (CVE) [ อ้างอิงจำเป็น ] ช่องโหว่ ที่ สามารถ ใช้ประโยชน์ ได้คือช่องโหว่ที่มีการโจมตีหรือ " หาประโยชน์"อย่างน้อยหนึ่งครั้ง [13]ช่องโหว่สามารถวิจัย ทำวิศวกรรมย้อนกลับ ค้นหา หรือใช้ประโยชน์จากเครื่องมืออัตโนมัติหรือสคริปต์ที่ปรับแต่งได้ [14] [15]ในการรักษาความปลอดภัยระบบคอมพิวเตอร์ สิ่งสำคัญคือต้องเข้าใจการโจมตีที่สามารถทำได้และภัยคุกคาม เหล่านี้โดยทั่วไปสามารถจำแนกได้เป็นประเภทใดประเภทหนึ่งดังต่อไปนี้:

ประตูหลัง

แบ็คดอร์ในระบบคอมพิวเตอร์ ระบบเข้ารหัสหรืออัลกอริธึมเป็นวิธีลับใด ๆ ในการเลี่ยงการ พิสูจน์ตัว ตน ปกติ หรือการควบคุมความปลอดภัย อาจมีสาเหตุหลายประการ รวมถึงจากการออกแบบดั้งเดิมหรือการกำหนดค่าที่ไม่ดี พวกเขาอาจถูกเพิ่มโดยบุคคลที่ได้รับอนุญาตเพื่ออนุญาตการเข้าถึงที่ถูกต้องตามกฎหมาย หรือโดยผู้โจมตีด้วยเหตุผลที่เป็นอันตราย แต่ไม่คำนึงถึงแรงจูงใจในการดำรงอยู่ของพวกเขา พวกเขาสร้างช่องโหว่ แบ็คดอร์นั้นยากต่อการตรวจจับ และโดยปกติการตรวจจับแบ็คดอร์นั้นมักจะถูกค้นพบโดยบุคคลที่สามารถเข้าถึงซอร์สโค้ดของแอปพลิเคชันหรือมีความรู้อย่างลึกซึ้งเกี่ยวกับระบบปฏิบัติการของคอมพิวเตอร์

การโจมตีแบบปฏิเสธการให้บริการ

การปฏิเสธการโจมตีบริการ (DoS) ได้รับการออกแบบมาเพื่อทำให้เครื่องหรือทรัพยากรเครือข่ายไม่พร้อมใช้งานสำหรับผู้ใช้ที่ต้องการ [16]ผู้โจมตีสามารถปฏิเสธการให้บริการแก่เหยื่อแต่ละราย เช่น โดยจงใจป้อนรหัสผ่านผิดติดต่อกันจนทำให้บัญชีของเหยื่อถูกล็อค หรือพวกเขาอาจใช้งานเครื่องหรือเครือข่ายมากเกินไป และบล็อกผู้ใช้ทั้งหมดในคราวเดียว แม้ว่าการโจมตีเครือข่ายจากที่อยู่ IP เดียว สามารถบล็อกได้โดยการเพิ่มกฎไฟร์วอลล์ใหม่การโจมตีแบบปฏิเสธบริการแบบกระจาย (DDoS) ได้หลายรูปแบบ ซึ่งการโจมตีมาจากจุดจำนวนมาก – และการป้องกันนั้นยากกว่ามาก . การโจมตีดังกล่าวสามารถเกิดขึ้นได้จากคอมพิวเตอร์ซอมบี้ของบ็อตเน็ตหรือจากเทคนิคอื่นๆ ที่เป็นไปได้ รวมทั้งการโจมตีแบบสะท้อนและขยายเสียงซึ่งระบบที่ไร้เดียงสาถูกหลอกให้ส่งการจราจรไปยังเหยื่อ

การโจมตีโดยตรง

ผู้ใช้ที่ไม่ได้รับอนุญาตที่เข้าถึงคอมพิวเตอร์ทางกายภาพมักจะสามารถคัดลอกข้อมูลจากคอมพิวเตอร์ได้โดยตรง พวกเขายังอาจประนีประนอมการรักษาความปลอดภัยโดยทำการปรับเปลี่ยนระบบปฏิบัติการ ติดตั้งเวิร์ มซอฟต์แวร์ คีย์ล็อกเกอร์อุปกรณ์แอบฟังหรือใช้ไมโครโฟนไร้สาย แม้ว่าระบบจะได้รับการปกป้องด้วยมาตรการรักษาความปลอดภัยมาตรฐาน สิ่งเหล่านี้อาจถูกข้ามได้โดยการบูตระบบปฏิบัติการหรือเครื่องมืออื่นจากซีดีรอมหรือสื่อบันทึกที่สามารถบู๊ตได้อื่นๆ การเข้ารหัสดิสก์และTrusted Platform Moduleได้รับการออกแบบมาเพื่อป้องกันการโจมตีเหล่านี้

การดักฟัง

การ แอบฟังเป็นการกระทำของการแอบฟัง "การสนทนา" ของคอมพิวเตอร์ส่วนตัว (การสื่อสาร) แบบลับๆ โดยทั่วไประหว่างโฮสต์บนเครือข่าย ตัวอย่างเช่น FBIและNSAใช้โปรแกรมต่างๆ เช่นCarnivoreและNarusInSightเพื่อดักฟังระบบของผู้ให้บริการอินเทอร์เน็ต แม้แต่เครื่องจักรที่ทำงานเป็นระบบปิด (เช่น ไม่มีการสัมผัสกับโลกภายนอก) ก็สามารถดักฟังได้ผ่านการตรวจสอบการ ส่งสัญญาณ แม่เหล็กไฟฟ้า จางๆ ที่ เกิดจากฮาร์ดแวร์ TEMPESTเป็นข้อกำหนดโดยNSA ที่ อ้างถึงการโจมตีเหล่านี้

การโจมตีแบบเวกเตอร์หลายรูปแบบ

ในปีพ.ศ. 2560 ภัยคุกคามทางไซเบอร์รูปแบบใหม่ของ multi-vector [17] polymorphic [18]ได้รวมการโจมตีหลายประเภทและรูปแบบที่เปลี่ยนไปเพื่อหลีกเลี่ยงการควบคุมความปลอดภัยทางไซเบอร์ขณะแพร่กระจาย

ฟิชชิง

ตัวอย่างอีเมลฟิชชิ่งที่ปลอมแปลงเป็นอีเมล อย่างเป็นทางการ จากธนาคาร (สมมติ) ผู้ส่งพยายามหลอกลวงให้ผู้รับเปิดเผยข้อมูลที่เป็นความลับโดย "ยืนยัน" ที่เว็บไซต์ของฟิชเชอร์ สังเกตการสะกดผิดของคำที่ได้รับและความคลาดเคลื่อนตามที่ได้รับและ ความ คลาดเคลื่อนตามลำดับ แม้ว่าURL ของ หน้าเว็บของธนาคารจะดูเหมือนถูกต้องตามกฎหมาย แต่ไฮเปอร์ลิงก์จะชี้ไปที่หน้าเว็บของฟิชเชอร์

ฟิชชิงคือความพยายามในการรับข้อมูลที่ละเอียดอ่อน เช่น ชื่อผู้ใช้ รหัสผ่าน และรายละเอียดบัตรเครดิตจากผู้ใช้โดยตรงด้วยการหลอกลวงผู้ใช้ [19]ฟิชชิ่งมักดำเนินการโดยการปลอมแปลงอีเมลหรือข้อความโต้ตอบแบบทันทีและมักจะแนะนำให้ผู้ใช้ป้อนรายละเอียดในเว็บไซต์ปลอมซึ่ง "รูปลักษณ์" และ "ความรู้สึก" เกือบจะเหมือนกันกับเว็บไซต์ที่ถูกต้อง เว็บไซต์ปลอมมักขอข้อมูลส่วนบุคคล เช่น รายละเอียดการเข้าสู่ระบบและรหัสผ่าน ข้อมูลนี้สามารถใช้เพื่อเข้าถึงบัญชีจริงของบุคคลบนเว็บไซต์จริงได้ ฟิชชิ่งสามารถจำแนกได้เป็นรูปแบบหนึ่งของวิศวกรรมสังคม. ผู้โจมตีใช้วิธีการที่สร้างสรรค์ในการเข้าถึงบัญชีจริง การหลอกลวงทั่วไปคือการที่ผู้โจมตีจะส่งใบแจ้งหนี้อิเล็กทรอนิกส์ปลอม[20]ให้กับบุคคลที่แสดงว่าเพิ่งซื้อเพลง แอป หรืออื่นๆ และแนะนำให้คลิกลิงก์หากการซื้อไม่ได้รับอนุญาต

การยกระดับสิทธิ์

การเพิ่มระดับสิทธิ์อธิบายสถานการณ์ที่ผู้โจมตีที่มีระดับการเข้าถึงที่จำกัดบางระดับสามารถยกระดับสิทธิ์หรือระดับการเข้าถึงของตนได้โดยไม่ได้รับอนุญาต ตัวอย่างเช่น ผู้ใช้คอมพิวเตอร์มาตรฐานอาจ ใช้ ช่องโหว่ ใน ระบบเพื่อเข้าถึงข้อมูลที่ถูกจำกัด หรือแม้กระทั่งกลายเป็น " รูท" และมีสิทธิ์เข้าถึงระบบได้อย่างเต็มที่

วิศวกรรมย้อนกลับ

วิศวกรรมย้อนกลับเป็นกระบวนการที่วัตถุที่มนุษย์สร้างขึ้นถูกแยกโครงสร้างเพื่อแสดงการออกแบบ รหัส สถาปัตยกรรม หรือเพื่อดึงความรู้ออกจากวัตถุ คล้ายกับการวิจัยทางวิทยาศาสตร์ ความแตกต่างเพียงอย่างเดียวคือการวิจัยทางวิทยาศาสตร์เกี่ยวกับปรากฏการณ์ทางธรรมชาติ [21] : 3 

การโจมตีช่องด้านข้าง

ระบบการคำนวณใดๆ ก็ตามมีผลกระทบต่อสภาพแวดล้อมในบางรูปแบบ ผลกระทบนี้มีต่อสภาพแวดล้อม รวมถึงเกณฑ์ที่หลากหลาย ซึ่งอาจครอบคลุมตั้งแต่การแผ่รังสีแม่เหล็กไฟฟ้า ไปจนถึงผลกระทบตกค้างในเซลล์ RAM ซึ่งทำให้การโจมตีแบบ Cold boot เกิดขึ้นได้ ไปจนถึงข้อผิดพลาดในการใช้งานฮาร์ดแวร์ซึ่งอนุญาตให้เข้าถึงและหรือคาดเดาได้ ของค่าอื่นๆ ที่ปกติแล้วไม่สามารถเข้าถึงได้ ในสถานการณ์การโจมตีแบบช่องสัญญาณด้านข้าง ผู้โจมตีจะรวบรวมข้อมูลดังกล่าวเกี่ยวกับระบบหรือเครือข่ายเพื่อคาดเดาสถานะภายใน และด้วยเหตุนี้จึงสามารถเข้าถึงข้อมูลที่สันนิษฐานโดยเหยื่อได้อย่างปลอดภัย

วิศวกรรมสังคม

วิศวกรรมสังคมในบริบทของการรักษาความปลอดภัยคอมพิวเตอร์ มีจุดมุ่งหมายเพื่อโน้มน้าวให้ผู้ใช้เปิดเผยความลับ เช่น รหัสผ่าน หมายเลขบัตร ฯลฯ หรือให้สิทธิ์การเข้าถึงทางกายภาพ เช่น การแอบอ้างเป็นผู้บริหารระดับสูง ธนาคาร ผู้รับเหมา หรือลูกค้า [22]โดยทั่วไปเกี่ยวข้องกับการหาประโยชน์จากความไว้วางใจของประชาชน และอาศัยอคติทางปัญญา ของพวก เขา การหลอกลวงทั่วไปเกี่ยวข้องกับอีเมลที่ส่งถึงเจ้าหน้าที่แผนกบัญชีและการเงิน ปลอมตัวเป็น CEO และขอให้ดำเนินการอย่างเร่งด่วน ในต้นปี 2559 FBIรายงานว่ากลโกง " อีเมลธุรกิจประนีประนอม " (BEC) ดังกล่าวทำให้ธุรกิจในสหรัฐฯ เสียค่าใช้จ่ายมากกว่า 2 พันล้านดอลลาร์ในเวลาประมาณ 2 ปี [23]

ในเดือนพฤษภาคม 2559 ทีม NBA ของ Milwaukee Bucks ตกเป็นเหยื่อของการหลอกลวงทางไซเบอร์ประเภทนี้ โดยมีผู้กระทำผิดแอบอ้างเป็นประธานของทีมPeter Feigin ส่งผลให้มีการส่งมอบ แบบฟอร์มภาษีW-2ประจำปี 2558 ของพนักงานทุกคนในทีม [24]

การปลอมแปลง

การปลอมแปลงเป็นการกระทำที่ปลอมแปลงเป็นนิติบุคคลที่ถูกต้องผ่านการปลอมแปลงข้อมูล (เช่นที่อยู่ IPหรือชื่อผู้ใช้) เพื่อเข้าถึงข้อมูลหรือทรัพยากรที่ไม่ได้รับอนุญาต [25] [26]การปลอมแปลงมีหลายประเภท ได้แก่:

การปลอมแปลง

การปลอมแปลงจะอธิบายการดัดแปลงหรือแก้ไขข้อมูลที่เป็นอันตราย ตัวอย่างการโจมตี ที่เรียกว่าEvil Maidและบริการรักษาความปลอดภัยที่ เพิ่มความสามารถใน การเฝ้าระวังในเราเตอร์ (28)

มัลแวร์

ซอฟต์แวร์ที่เป็นอันตราย ( มัลแวร์ ) ที่ติดตั้งบนคอมพิวเตอร์สามารถรั่วไหลข้อมูลใดๆ เช่น ข้อมูลส่วนบุคคล ข้อมูลทางธุรกิจ และรหัสผ่าน สามารถให้การควบคุมระบบแก่ผู้โจมตี และสามารถทำลายหรือลบข้อมูลอย่างถาวร [29]

วัฒนธรรมการรักษาความปลอดภัยของข้อมูล

พฤติกรรมของพนักงานอาจมีผลกระทบอย่างมากต่อความปลอดภัยของข้อมูลในองค์กร แนวคิดทางวัฒนธรรมสามารถช่วยให้ส่วนต่างๆ ขององค์กรทำงานได้อย่างมีประสิทธิผลหรือขัดต่อประสิทธิผลต่อการรักษาความปลอดภัยข้อมูลภายในองค์กร วัฒนธรรมการรักษาความปลอดภัยของข้อมูลคือ "...รูปแบบพฤติกรรมทั้งหมดในองค์กรที่มีส่วนช่วยในการปกป้องข้อมูลทุกประเภท" [30]

Andersson and Reimers (2014) พบว่าพนักงานมักไม่มองว่าตนเองเป็นส่วนหนึ่งของความพยายามในการรักษาความปลอดภัยข้อมูลขององค์กร และมักดำเนินการที่ขัดขวางการเปลี่ยนแปลงขององค์กร [31]อันที่จริง รายงาน Verizon Data Breach Investigations Report ปี 2020 ซึ่งตรวจสอบการละเมิดความปลอดภัย 3,950 รายการ พบว่า 30% ของเหตุการณ์ความปลอดภัยทางไซเบอร์เกี่ยวข้องกับผู้กระทำภายในบริษัท [32]การวิจัยแสดงให้เห็นว่าวัฒนธรรมการรักษาความปลอดภัยของข้อมูลจำเป็นต้องได้รับการปรับปรุงอย่างต่อเนื่อง ใน "วัฒนธรรมการรักษาความปลอดภัยข้อมูลจากการวิเคราะห์สู่การเปลี่ยนแปลง" ผู้เขียนให้ความเห็นว่า "มันเป็นกระบวนการที่ไม่สิ้นสุด วงจรของการประเมินและการเปลี่ยนแปลงหรือการบำรุงรักษา" ในการจัดการวัฒนธรรมการรักษาความปลอดภัยของข้อมูล ควรมีห้าขั้นตอน: การประเมินล่วงหน้า กลยุทธ์ การวางแผน การวางแผนปฏิบัติการ การนำไปปฏิบัติ และหลังการประเมิน[33]

  • การประเมินล่วงหน้า: เพื่อระบุความตระหนักในความปลอดภัยของข้อมูลภายในพนักงานและเพื่อวิเคราะห์นโยบายความปลอดภัยปัจจุบัน
  • การวางแผนเชิงกลยุทธ์: ในการจัดทำโปรแกรมการรับรู้ที่ดีขึ้น จำเป็นต้องกำหนดเป้าหมายที่ชัดเจน การรวมทีมผู้เชี่ยวชาญที่มีทักษะจะช่วยให้บรรลุเป้าหมายได้
  • การวางแผนปฏิบัติการ: วัฒนธรรมการรักษาความปลอดภัยที่ดีสามารถสร้างขึ้นได้จากการสื่อสารภายใน การจัดการซื้อ ความตระหนักด้านความปลอดภัย และโปรแกรมการฝึกอบรม [33]
  • การนำไปใช้: สี่ขั้นตอนควรใช้เพื่อนำวัฒนธรรมการรักษาความปลอดภัยของข้อมูลไปใช้ พวกเขาคือ:
  1. ความมุ่งมั่นของผู้บริหาร
  2. การสื่อสารกับสมาชิกในองค์กร
  3. หลักสูตรสำหรับสมาชิกในองค์กรทุกคน
  4. ความมุ่งมั่นของพนักงาน[33]
  • หลังการประเมิน: เพื่อประเมินความสำเร็จของการวางแผนและการดำเนินการ และเพื่อระบุประเด็นที่น่ากังวลที่ยังไม่ได้แก้ไข

ระบบที่มีความเสี่ยง

การเติบโตของจำนวนระบบคอมพิวเตอร์และการพึ่งพาที่เพิ่มขึ้นโดยบุคคล ธุรกิจ อุตสาหกรรม และรัฐบาล หมายความว่ามีจำนวนระบบที่มีความเสี่ยงเพิ่มขึ้น

ระบบการเงิน

ระบบคอมพิวเตอร์ของหน่วยงานกำกับดูแลด้านการเงินและสถาบันการเงิน เช่นสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์แห่งสหรัฐอเมริกา SWIFT ธนาคารเพื่อการลงทุน และธนาคารพาณิชย์เป็นเป้าหมายการแฮ็กที่โดดเด่นสำหรับอาชญากรไซเบอร์ที่สนใจในการจัดการตลาดและแสวงหาผลกำไรที่ผิดกฎหมาย [34]เว็บไซต์และแอพที่รับหรือจัดเก็บหมายเลขบัตรเครดิตบัญชีนายหน้า และ ข้อมูล บัญชีธนาคารก็เป็นเป้าหมายการแฮ็กที่โดดเด่นเช่นกัน เนื่องจากมีโอกาสได้รับผลกำไรทางการเงินทันทีจากการโอนเงิน การซื้อ หรือการขายข้อมูลในตลาดมืด . [35]ระบบการชำระเงินภายในร้านและตู้เอทีเอ็มยังถูกดัดแปลงเพื่อรวบรวมข้อมูลบัญชีลูกค้าและ PIN

สาธารณูปโภคและอุปกรณ์อุตสาหกรรม

คอมพิวเตอร์ควบคุมการทำงานในสาธารณูปโภคมากมาย รวมถึงการประสานงานของโทรคมนาคม โครงข่ายไฟฟ้าโรงไฟฟ้านิวเคลียร์และการเปิดและปิดวาล์วในเครือข่ายน้ำและก๊าซ อินเทอร์เน็ตเป็นเวกเตอร์การโจมตีที่เป็นไปได้สำหรับเครื่องดังกล่าว หากเชื่อมต่อ แต่ เวิร์ม Stuxnetแสดงให้เห็นว่าแม้แต่อุปกรณ์ที่ควบคุมโดยคอมพิวเตอร์ที่ไม่ได้เชื่อมต่อกับอินเทอร์เน็ตก็มีความเสี่ยง ในปี 2014 ทีมComputer Emergency Readinessซึ่งเป็นหน่วยงานหนึ่งของDepartment of Homeland Securityได้ตรวจสอบ 79 เหตุการณ์การแฮ็กที่บริษัทพลังงาน (36)

การบิน

อุตสาหกรรม การบินพึ่งพาระบบที่ซับซ้อนหลายชุดซึ่งสามารถโจมตีได้ [37]ไฟฟ้าดับอย่างง่ายที่สนามบินแห่งหนึ่งสามารถทำให้เกิดผลกระทบทั่วโลก[38]ระบบส่วนใหญ่อาศัยการส่งสัญญาณวิทยุที่อาจหยุดชะงัก[39]และการควบคุมเครื่องบินเหนือมหาสมุทรนั้นอันตรายอย่างยิ่งเนื่องจากการเฝ้าระวังเรดาร์ขยายเพียง 175 ถึง 225 ไมล์นอกชายฝั่ง [40]นอกจากนี้ยังมีศักยภาพสำหรับการโจมตีจากภายในเครื่องบิน [41]

ในยุโรป ด้วย ( Pan-European Network Service ) [42]และ NewPENS, [43]และในสหรัฐอเมริกาที่มีโปรแกรม NextGen [44] ผู้ให้บริการระบบนำทางทางอากาศกำลังสร้างเครือข่ายเฉพาะของตนเอง

ผลที่ตามมาของการโจมตีที่ประสบความสำเร็จมีตั้งแต่การสูญเสียการรักษาความลับไปจนถึงการสูญเสียความสมบูรณ์ของระบบ การปิด การควบคุมการจราจรทางอากาศ การสูญเสียเครื่องบิน และแม้กระทั่งการเสียชีวิต

อุปกรณ์สำหรับผู้บริโภค

คอมพิวเตอร์เดสก์ท็อปและแล็ปท็อปมักมีเป้าหมายเพื่อรวบรวมรหัสผ่านหรือข้อมูลบัญชีการเงิน หรือเพื่อสร้างบ็อตเน็ตเพื่อโจมตีเป้าหมายอื่น สมาร์ทโฟน คอมพิวเตอร์แท็ บเล็ต สมา ร์ทวอทช์และอุปกรณ์มือถือ อื่นๆ เช่น อุปกรณ์ตรวจ วัดตนเองเช่นเครื่องติดตามกิจกรรมมีเซ็นเซอร์ เช่น กล้อง ไมโครโฟน เครื่องรับ GPS เข็มทิศ และมาตรความเร่งที่อาจนำไปใช้ประโยชน์ และอาจรวบรวมข้อมูลส่วนบุคคล รวมถึงข้อมูลด้านสุขภาพที่ละเอียดอ่อน . เครือข่าย WiFi, Bluetooth และโทรศัพท์มือถือในอุปกรณ์เหล่านี้สามารถใช้เป็นเวกเตอร์โจมตีได้ และเซ็นเซอร์อาจถูกเปิดใช้งานจากระยะไกลหลังจากการละเมิดสำเร็จ[45]

จำนวน อุปกรณ์ อัตโนมัติในบ้าน ที่เพิ่มขึ้น เช่นNest thermostatก็เป็นเป้าหมายที่เป็นไปได้เช่นกัน [45]

บริษัทขนาดใหญ่

บริษัทขนาดใหญ่เป็นเป้าหมายร่วมกัน ในหลายกรณี การโจมตีมุ่งเป้าไปที่ผลประโยชน์ทางการเงินผ่านการขโมยข้อมูลประจำตัวและเกี่ยวข้องกับการละเมิดข้อมูล ตัวอย่าง ได้แก่ การสูญเสียรายละเอียดบัตรเครดิตของลูกค้านับล้านโดยHome Depot , [46] Staples , [47] Target Corporation , [48]และการละเมิดEquifaxครั้ง ล่าสุด [49]

เวชระเบียนได้รับการกำหนดเป้าหมายโดยทั่วไปเพื่อระบุการโจรกรรม การฉ้อโกงประกันสุขภาพ และการแอบอ้างผู้ป่วยเพื่อขอรับยาที่ต้องสั่งโดยแพทย์เพื่อจุดประสงค์ด้านสันทนาการหรือการขายต่อ [50]แม้ว่าภัยคุกคามทางไซเบอร์ยังคงเพิ่มขึ้นอย่างต่อเนื่อง แต่ 62% ขององค์กรทั้งหมดไม่ได้เพิ่มการฝึกอบรมด้านความปลอดภัยสำหรับธุรกิจของตนในปี 2558 [51]

ไม่ใช่การโจมตีทั้งหมดที่มีแรงจูงใจทางการเงิน อย่างไรก็ตาม บริษัทรักษาความปลอดภัยHBGary Federalประสบกับการโจมตีที่รุนแรงหลายครั้งในปี 2011 จากกลุ่มแฮ็ กทิวิสต์ Anonymousในการตอบโต้สำหรับ CEO ของบริษัทที่อ้างว่าได้แทรกซึมกลุ่มของพวกเขา[52] [53]และSony Picturesถูกแฮ็ก ปี 2014โดยมีแรงจูงใจสองประการที่ชัดเจนในการทำให้บริษัทอับอายผ่านการรั่วไหลของข้อมูลและทำให้บริษัทพิการด้วยการเช็ดเวิร์กสเตชันและเซิร์ฟเวอร์ [54] [55]

รถยนต์

ยานพาหนะมีการใช้คอมพิวเตอร์มากขึ้น ด้วยเวลาของเครื่องยนต์ระบบควบคุมความเร็วอัตโนมัติเบรกป้องกันล้อล็อกเข็มขัดนิรภัย เข็มขัดนิรภัย ล็อคประตูถุงลมนิรภัยและระบบช่วยเหลือผู้ขับขี่ขั้นสูงในหลายๆ รุ่น นอกจากนี้รถยนต์ที่เชื่อมต่ออาจใช้ WiFi และ Bluetooth เพื่อสื่อสารกับอุปกรณ์ผู้บริโภคบนเครื่องบินและเครือข่ายโทรศัพท์มือถือ [56] รถยนต์ที่ขับเคลื่อนด้วยตัวเองคาดว่าจะซับซ้อนยิ่งขึ้น ระบบทั้งหมดเหล่านี้มีความเสี่ยงด้านความปลอดภัย และปัญหาดังกล่าวได้รับความสนใจอย่างกว้างขวาง [57] [58] [59]

ตัวอย่างง่ายๆ ของความเสี่ยง ได้แก่คอมแพคดิสก์ ที่เป็นอันตราย ซึ่งถูกใช้เป็นเวกเตอร์โจมตี[60]และไมโครโฟนในรถที่ใช้ในการดักฟัง อย่างไรก็ตาม หากเข้าถึง เครือข่ายพื้นที่ควบคุมภายในของรถยนต์ได้อันตรายจะยิ่งมากขึ้น[56] – และในการทดสอบที่เผยแพร่อย่างกว้างขวางในปี 2015 แฮกเกอร์ได้ขโมยรถจากระยะไกล 10 ไมล์ไปขับมันเข้าไปในคูน้ำ [61] [62]

ผู้ผลิตต่างตอบโต้ในหลาย ๆ ด้าน โดย ในปี 2559 เทสลาได้ผลักดันการแก้ไขปัญหาด้านความปลอดภัย "ทางอากาศ" ในระบบคอมพิวเตอร์ของรถยนต์ของตน [63]ในส่วนของยานยนต์ไร้คนขับ ในเดือนกันยายน พ.ศ. 2559 กระทรวงคมนาคมของสหรัฐอเมริกาได้ประกาศมาตรฐานความปลอดภัยเบื้องต้นบางประการ และเรียกร้องให้รัฐต่างๆ จัดทำนโยบายที่เหมือนกัน [64] [65]

รัฐบาล

ระบบคอมพิวเตอร์ ของรัฐบาลและกองทัพมักถูกโจมตีโดยนักเคลื่อนไหว[66] [67] [68]และมหาอำนาจจากต่างประเทศ [69] [70] [71] [72]โครงสร้างพื้นฐานของรัฐบาลท้องถิ่นและระดับภูมิภาค เช่น การควบคุม สัญญาณไฟจราจรการสื่อสารของตำรวจและหน่วยข่าวกรองบันทึกบุคลากร ประวัตินักเรียน[73]และระบบการเงินก็เป็นเป้าหมายที่เป็นไปได้เช่นกัน คอมพิวเตอร์ส่วนใหญ่ หนังสือเดินทาง และ บัตรประจำตัว ของทาง ราชการที่ควบคุมการเข้าถึงสิ่งอำนวยความสะดวกที่ใช้RFIDอาจเสี่ยงต่อการ โคลน

Internet of Things และช่องโหว่ทางกายภาพ

Internet of Things (IoT) คือเครือข่ายของวัตถุทางกายภาพ เช่น อุปกรณ์ ยานพาหนะ และอาคารที่ฝังอยู่กับอุปกรณ์อิเล็กทรอนิกส์ซอฟต์แวร์เซ็นเซอร์และการ เชื่อม ต่อเครือข่ายที่ช่วยให้พวกเขาสามารถรวบรวมและแลกเปลี่ยนข้อมูลได้ [74]มีข้อกังวลว่าสิ่งนี้กำลังได้รับการพัฒนาโดยไม่ได้พิจารณาถึงความท้าทายด้านความปลอดภัยที่เกี่ยวข้องอย่างเหมาะสม [75] [76]

ในขณะที่ IoT สร้างโอกาสในการรวมโลกทางกายภาพเข้ากับระบบที่ใช้คอมพิวเตอร์ได้โดยตรง[77] [78] ยังให้โอกาสในการใช้ในทางที่ผิด โดยเฉพาะอย่างยิ่ง เนื่องจาก Internet of Things แพร่กระจายอย่างกว้างขวาง การโจมตีทางไซเบอร์จึงมีแนวโน้มที่จะกลายเป็นภัยคุกคามทางกายภาพ (แทนที่จะเป็นแบบเสมือน) ที่เพิ่มมากขึ้น [79]หากล็อคประตูหน้าเชื่อมต่อกับอินเทอร์เน็ตและสามารถล็อค/ปลดล็อคจากโทรศัพท์ได้ อาชญากรสามารถเข้าไปในบ้านได้ด้วยการกดปุ่มจากโทรศัพท์ที่ถูกขโมยหรือถูกแฮ็ก ผู้คนอาจสูญเสียมากกว่าหมายเลขบัตรเครดิตในโลกที่ควบคุมโดยอุปกรณ์ที่เปิดใช้งาน IoT โจรยังใช้วิธีอิเล็กทรอนิกส์เพื่อหลีกเลี่ยงการล็อกประตูโรงแรมที่ไม่เชื่อมต่ออินเทอร์เน็ต [80]

การโจมตีที่กำหนดเป้าหมายโครงสร้างพื้นฐานทางกายภาพและ/หรือชีวิตมนุษย์ บางครั้งเรียกว่าการโจมตีทางจลนศาสตร์ทางไซเบอร์ เนื่องจากอุปกรณ์และเครื่องใช้ IoT ได้รับสกุลเงิน การโจมตีทางไซเบอร์สามารถกลายเป็นที่แพร่หลายและสร้างความเสียหายอย่างมาก

ระบบการแพทย์

อุปกรณ์ทางการแพทย์ถูกโจมตีสำเร็จหรือมีการแสดงให้เห็นจุดอ่อนที่อาจถึงตายได้ ซึ่งรวมถึงอุปกรณ์วินิจฉัยในโรงพยาบาล[81]และอุปกรณ์ฝังรวมทั้งเครื่องกระตุ้นหัวใจ[82]และปั๊มอินซูลิน [83]มีรายงานจำนวนมากเกี่ยวกับโรงพยาบาลและองค์กรโรงพยาบาลที่ถูกแฮ็ก รวมถึงการโจมตีของแรนซัมแวร์[ 84] [85] [86] [87] การใช้ ประโยชน์จากWindows XP , [88] [89]ไวรัส, [90] [91]และการละเมิดข้อมูลของข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในเซิร์ฟเวอร์ของโรงพยาบาล [92] [85][93] [94]เมื่อวันที่ 28 ธันวาคม พ.ศ. 2559สำนักงานคณะกรรมการอาหารและยาแห่งสหรัฐอเมริกาได้ออกคำแนะนำว่าผู้ผลิตอุปกรณ์ ทางการแพทย์ ควรรักษาความปลอดภัยของอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตอย่างไร แต่ไม่มีโครงสร้างสำหรับการบังคับใช้ [95] [96]

ภาคพลังงาน

ในระบบการสร้างแบบกระจายความเสี่ยงของการโจมตีทางไซเบอร์นั้นเป็นเรื่อง จริงตามDaily Energy Insider การโจมตีอาจทำให้สูญเสียพลังงานในพื้นที่ขนาดใหญ่เป็นเวลานาน และการโจมตีดังกล่าวอาจมีผลร้ายแรงพอๆ กับภัยธรรมชาติ District of Columbia กำลังพิจารณาที่จะสร้างหน่วยงาน Distributed Energy Resources (DER) ภายในเมือง โดยมีเป้าหมายเพื่อให้ลูกค้าได้รับข้อมูลเชิงลึกเกี่ยวกับการใช้พลังงานของตนเองมากขึ้น และให้Pepcoซึ่งเป็นสาธารณูปโภคด้านไฟฟ้า มีโอกาสประเมินความต้องการพลังงานได้ดีขึ้น . อย่างไรก็ตาม ข้อเสนอของ DC จะ "อนุญาตให้ผู้ค้าที่เป็นบุคคลที่สามสร้างจุดกระจายพลังงานจำนวนมาก ซึ่งอาจสร้างโอกาสมากขึ้นสำหรับผู้โจมตีทางไซเบอร์ในการคุกคามกริดไฟฟ้า" [97]

ผลกระทบของการละเมิดความปลอดภัย

ความเสียหายทางการเงินที่ร้ายแรงเกิดจากการละเมิดความปลอดภัยแต่เนื่องจากไม่มีรูปแบบมาตรฐานสำหรับการประเมินค่าใช้จ่ายของเหตุการณ์ ข้อมูลที่มีอยู่เพียงอย่างเดียวคือข้อมูลที่องค์กรที่เกี่ยวข้องเปิดเผยต่อสาธารณะ “บริษัทที่ปรึกษาด้านความปลอดภัยคอมพิวเตอร์หลายแห่งสร้างค่าประมาณของการสูญเสียทั่วโลกทั้งหมดอันเนื่องมาจาก การโจมตีของ ไวรัสและเวิ ร์ม และการกระทำทางดิจิทัลที่ไม่เป็นมิตรโดยทั่วไป ประมาณการการสูญเสียในปี 2546 โดยบริษัทเหล่านี้มีตั้งแต่ 13 พันล้านดอลลาร์ (เวิร์มและไวรัสเท่านั้น) ถึง 226 พันล้านดอลลาร์ (สำหรับทุกรูปแบบ ของการโจมตีแอบแฝง) ความน่าเชื่อถือของการประมาณการเหล่านี้มักถูกท้าทาย วิธีการพื้นฐานนั้นโดยทั่วไปแล้วเป็นเรื่องเล็กน้อย" [98]

อย่างไรก็ตาม การประมาณการอย่างสมเหตุสมผลของต้นทุนทางการเงินของการละเมิดความปลอดภัยสามารถช่วยให้องค์กรตัดสินใจลงทุนอย่างมีเหตุผลได้ จากแบบจำลองคลาสสิกของGordon-Loebที่วิเคราะห์ระดับการลงทุนที่เหมาะสมที่สุดในการรักษาความปลอดภัยของข้อมูล เราสามารถสรุปได้ว่าจำนวนเงินที่บริษัทใช้จ่ายเพื่อปกป้องข้อมูลโดยทั่วไปควรเป็นเพียงเศษเสี้ยวของการสูญเสียที่คาดหวัง (กล่าวคือมูลค่าที่คาดว่าจะได้รับจากการสูญเสีย จากการ ละเมิดความปลอดภัยทางไซเบอร์/ข้อมูล) [99]

แรงจูงใจของผู้โจมตี

เช่นเดียวกับการรักษาความปลอดภัยทางกายภาพแรงจูงใจในการละเมิดความปลอดภัยของคอมพิวเตอร์นั้นแตกต่างกันไปตามผู้โจมตี บางคนเป็นผู้แสวงหาความตื่นเต้นหรือป่าเถื่อนบางคนเป็นนักเคลื่อนไหว บางคนเป็นอาชญากรที่แสวงหาผลประโยชน์ทางการเงิน ขณะนี้ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐกลายเป็นเรื่องธรรมดาและมีทรัพยากรที่ดี แต่เริ่มต้นด้วยมือสมัครเล่นเช่นMarkus Hessที่แฮ็คสำหรับKGBตามที่ Clifford Stoll เล่าใน The Cuckoo 's Egg

นอกจากนี้ แรงจูงใจของผู้โจมตีล่าสุดสามารถสืบย้อนไปถึงองค์กรหัวรุนแรงที่แสวงหาผลประโยชน์ทางการเมืองหรือขัดขวางวาระทางสังคม [100]การเติบโตของอินเทอร์เน็ต เทคโนโลยีมือถือ และอุปกรณ์คอมพิวเตอร์ราคาถูก ได้นำไปสู่ความสามารถที่เพิ่มขึ้น แต่ยังรวมถึงความเสี่ยงต่อสภาพแวดล้อมที่ถือว่ามีความสำคัญต่อการดำเนินงาน สภาพแวดล้อมเป้าหมายที่สำคัญทั้งหมดมีความเสี่ยงที่จะถูกประนีประนอม และสิ่งนี้นำไปสู่การศึกษาเชิงรุกเกี่ยวกับวิธีการโยกย้ายความเสี่ยงโดยคำนึงถึงแรงจูงใจของผู้ดำเนินการประเภทนี้ มีความแตกต่างที่ชัดเจนหลายประการระหว่างแรงจูงใจของแฮ็กเกอร์และของตัว แสดง ระดับประเทศที่พยายามโจมตีตามความชอบในอุดมคติ [11]

ส่วนมาตรฐานของการสร้างแบบจำลองภัยคุกคามสำหรับระบบใดระบบหนึ่งคือการระบุว่าสิ่งใดที่อาจกระตุ้นให้เกิดการโจมตีระบบนั้น และใครบ้างที่อาจมีแรงจูงใจที่จะฝ่าฝืน ระดับและรายละเอียดของข้อควรระวังจะแตกต่างกันไปขึ้นอยู่กับระบบที่จะรักษาความปลอดภัย คอมพิวเตอร์ส่วนบุคคลที่บ้านธนาคารและเครือข่ายทางการทหารเผชิญกับภัยคุกคามที่แตกต่างกันมาก แม้ว่าเทคโนโลยีพื้นฐานที่ใช้งานจะคล้ายกันก็ตาม [102]

การป้องกันคอมพิวเตอร์ (มาตรการ)

ในการรักษาความปลอดภัยคอมพิวเตอร์ มาตรการตอบโต้คือการกระทำ อุปกรณ์ ขั้นตอนหรือเทคนิคที่ลดภัยคุกคามจุดอ่อนหรือการโจมตีโดยการกำจัดหรือป้องกัน โดยการลดอันตรายที่อาจเกิดขึ้น หรือโดยการค้นพบและรายงานเพื่อดำเนินการแก้ไข สามารถนำ [103] [104] [105]

มาตรการรับมือทั่วไปบางประการระบุไว้ในส่วนต่อไปนี้:

ความปลอดภัยโดยการออกแบบ

การรักษาความปลอดภัยโดยการออกแบบหรือการรักษาความปลอดภัยอีกทางหนึ่งโดยการออกแบบ หมายความว่าซอฟต์แวร์ได้รับการออกแบบมาตั้งแต่ต้นเพื่อความปลอดภัย ในกรณีนี้ การรักษาความปลอดภัยถือเป็นคุณสมบัติหลัก

เทคนิคบางอย่างในแนวทางนี้รวมถึง:

  • หลักการของสิทธิพิเศษน้อยที่สุดโดยที่แต่ละส่วนของระบบมีเฉพาะสิทธิ์ที่จำเป็นสำหรับการทำงานเท่านั้น ด้วยวิธีนี้ แม้ว่าผู้โจมตีจะเข้าถึงส่วนนั้นได้ พวกเขามีสิทธิ์เข้าถึงทั้งระบบอย่างจำกัด
  • ทฤษฎีบทอัตโนมัติพิสูจน์ความถูกต้องของระบบย่อยซอฟต์แวร์ที่สำคัญ
  • การ ตรวจสอบโค้ดและการทดสอบหน่วยแนวทางในการทำให้โมดูลมีความปลอดภัยมากขึ้นในกรณีที่ไม่สามารถพิสูจน์ความถูกต้องอย่างเป็นทางการได้
  • การป้องกันในเชิงลึกโดยที่การออกแบบนั้นจำเป็นต้องละเมิดระบบย่อยมากกว่าหนึ่งระบบเพื่อประนีประนอมความสมบูรณ์ของระบบและข้อมูลที่เก็บไว้
  • การตั้งค่าความปลอดภัยเริ่มต้น และการออกแบบให้ "ล้มเหลวในการรักษาความปลอดภัย" แทนที่จะเป็น "ล้มเหลวไม่ปลอดภัย" (ดูการไม่ปลอดภัยสำหรับสิ่งที่เทียบเท่าในวิศวกรรมความปลอดภัย ) ตามหลักการแล้ว ระบบความปลอดภัยควรต้องมีการตัดสินใจโดยเจตนา มีสติสัมปชัญญะ มีความรู้ และเป็นอิสระจากหน่วยงานที่ถูกต้องตามกฎหมาย เพื่อทำให้ระบบไม่ปลอดภัย
  • ร่องรอยการตรวจสอบติดตามกิจกรรมของระบบเพื่อให้เมื่อมีการละเมิดความปลอดภัย กลไกและขอบเขตของการละเมิดสามารถกำหนดได้ การจัดเก็บเส้นทางการตรวจสอบจากระยะไกล โดยสามารถต่อท้ายได้เท่านั้น สามารถป้องกันไม่ให้ผู้บุกรุกปิดบังรอยทางของตน
  • การเปิดเผยช่องโหว่ทั้งหมดโดยสมบูรณ์ เพื่อให้แน่ใจว่า " หน้าต่างของช่องโหว่ " จะถูกเก็บไว้ให้สั้นที่สุดเมื่อพบจุดบกพร่อง

สถาปัตยกรรมความปลอดภัย

องค์กร Open Security Architecture กำหนดสถาปัตยกรรมความปลอดภัยไอทีว่าเป็น " สิ่งประดิษฐ์ การออกแบบ ที่อธิบายว่าการควบคุมความปลอดภัย (มาตรการรักษาความปลอดภัย) มีการวางตำแหน่งอย่างไร และเกี่ยวข้องกับสถาปัตยกรรมเทคโนโลยีสารสนเทศ โดยรวม อย่างไร การควบคุมเหล่านี้มีจุดประสงค์เพื่อรักษาแอตทริบิวต์คุณภาพของระบบ: บริการการรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน ความรับผิดชอบ และการรับประกัน " [16]

Techopedia กำหนดสถาปัตยกรรมความปลอดภัยเป็น "การออกแบบความปลอดภัยแบบรวมศูนย์ที่จัดการกับความจำเป็นและความเสี่ยงที่อาจเกิดขึ้นที่เกี่ยวข้องกับสถานการณ์หรือสภาพแวดล้อมบางอย่าง นอกจากนี้ยังระบุเวลาและตำแหน่งที่จะใช้การควบคุมความปลอดภัย กระบวนการออกแบบโดยทั่วไปสามารถทำซ้ำได้" คุณลักษณะสำคัญของสถาปัตยกรรมความปลอดภัยคือ: [107]

  • ความสัมพันธ์ขององค์ประกอบต่างๆ และการพึ่งพาซึ่งกันและกัน
  • การกำหนดการควบคุมตามการประเมินความเสี่ยง แนวปฏิบัติที่ดี การเงิน และประเด็นทางกฎหมาย
  • มาตรฐานการควบคุม

การปฏิบัติตามสถาปัตยกรรมความปลอดภัยเป็นพื้นฐานที่เหมาะสมในการจัดการปัญหาทางธุรกิจ ไอที และความปลอดภัยในองค์กรอย่างเป็นระบบ

มาตรการรักษาความปลอดภัย

สถานะของ "ความปลอดภัย" ของคอมพิวเตอร์เป็นแนวคิดในอุดมคติ ซึ่งได้มาจากการใช้สามกระบวนการ ได้แก่ การป้องกัน การตรวจจับ และการตอบสนอง กระบวนการเหล่านี้ขึ้นอยู่กับนโยบายและส่วนประกอบต่างๆ ของระบบ ซึ่งรวมถึงสิ่งต่อไปนี้:

ปัจจุบัน ความปลอดภัยของคอมพิวเตอร์ประกอบด้วยมาตรการ "ป้องกัน" เป็นหลัก เช่นไฟร์วอลล์หรือ ขั้น ตอนการออก ไฟร์วอลล์สามารถกำหนดเป็นวิธีการกรองข้อมูลเครือข่ายระหว่างโฮสต์หรือเครือข่ายกับเครือข่ายอื่น เช่นอินเทอร์เน็ตและสามารถนำไปใช้เป็นซอฟต์แวร์ที่ทำงานบนเครื่อง โดยเชื่อมต่อกับสแต็กเครือข่าย (หรือในกรณีของ ระบบปฏิบัติการที่ใช้ UNIXส่วนใหญ่เช่นLinux สร้างขึ้นใน เคอร์เนลระบบปฏิบัติการ) เพื่อให้การกรองและการบล็อกตามเวลาจริง การใช้งานอีกประการหนึ่งเรียกว่า "ไฟร์วอลล์ทางกายภาพ" ซึ่งประกอบด้วยการรับส่งข้อมูลเครือข่ายที่กรองด้วยเครื่องแยกต่างหาก ไฟร์วอลล์เป็นเรื่องปกติในเครื่องที่เชื่อมต่อกับอินเทอร์เน็ตอย่าง ถาวร

บางองค์กรกำลังเปลี่ยนไป ใช้แพลตฟอร์ม ข้อมูลขนาดใหญ่เช่นApache Hadoopเพื่อขยายการเข้าถึงข้อมูลและการเรียนรู้ของเครื่องเพื่อตรวจจับภัยคุกคามขั้นสูงที่คงอยู่อย่างต่อเนื่อง [108]

อย่างไรก็ตาม มีองค์กรเพียงไม่กี่แห่งที่ดูแลระบบคอมพิวเตอร์ด้วยระบบการตรวจจับที่มีประสิทธิภาพ และยังมีเพียงไม่กี่องค์กรเท่านั้นที่มีกลไกการตอบสนองที่เป็นระเบียบ ผลที่ได้ ดังที่ Reuters ชี้ให้เห็น: "บริษัทต่างๆ รายงานเป็นครั้งแรกว่าพวกเขาสูญเสียมากขึ้นจากการขโมยข้อมูลทางอิเล็กทรอนิกส์ มากกว่าการขโมยทรัพย์สินทางกายภาพ" [109]อุปสรรคหลักในการกำจัดอาชญากรรมทางอินเทอร์เน็ต อย่างมีประสิทธิภาพ นั้น สืบเนื่องมาจากการพึ่งพาไฟร์วอลล์และระบบ "ตรวจจับ" อัตโนมัติอื่นๆ มากเกินไป ท ว่ามันเป็นการรวบรวมหลักฐานพื้นฐานโดยใช้อุปกรณ์ดักจับแพ็กเก็ตที่ทำให้อาชญากรถูกคุมขัง [ ต้องการการอ้างอิง ]

เพื่อให้มั่นใจในความปลอดภัยที่เพียงพอ การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของเครือข่าย ซึ่งรู้จักกันดีในชื่อ CIA triad จะต้องได้รับการปกป้องและถือเป็นรากฐานของการรักษาความปลอดภัยข้อมูล [110]เพื่อให้บรรลุวัตถุประสงค์ดังกล่าว ควรใช้มาตรการรักษาความปลอดภัยด้านการบริหาร กายภาพ และทางเทคนิค จำนวนความปลอดภัยที่ให้กับสินทรัพย์สามารถกำหนดได้เมื่อทราบมูลค่าเท่านั้น [111]

การจัดการช่องโหว่

การจัดการช่องโหว่คือวงจรของการระบุ แก้ไข หรือบรรเทาช่องโหว่ [ 112]โดยเฉพาะในซอฟต์แวร์และเฟิร์มแวร์ การจัดการช่องโหว่เป็นส่วนสำคัญในการรักษาความปลอดภัยคอมพิวเตอร์และ ความปลอดภัย ของ เครือข่าย

สามารถค้นพบช่องโหว่ได้ด้วยเครื่องสแกนช่องโหว่ซึ่งจะวิเคราะห์ระบบคอมพิวเตอร์เพื่อค้นหาช่องโหว่ที่ทราบ[113]เช่นพอร์ตเปิดการกำหนดค่าซอฟต์แวร์ที่ไม่ปลอดภัย และความไวต่อมัลแวร์ เพื่อให้เครื่องมือเหล่านี้มีประสิทธิภาพ เครื่องมือเหล่านี้ต้องได้รับการอัปเดตทุกครั้งที่มีการอัปเดตใหม่จากผู้ขาย โดยปกติ การอัปเดตเหล่านี้จะสแกนหาช่องโหว่ใหม่ที่เพิ่งเปิดตัวไปเมื่อเร็วๆ นี้

นอกเหนือจากการสแกนหาช่องโหว่แล้ว องค์กรจำนวนมากยังทำสัญญากับผู้ตรวจสอบความปลอดภัยภายนอกเพื่อทำการทดสอบการเจาะระบบกับระบบของตนเป็นประจำเพื่อระบุช่องโหว่ ในบางภาคส่วน นี่เป็นข้อกำหนดตามสัญญา [14]

การลดจุดอ่อน

แม้ว่าการตรวจสอบความถูกต้องของระบบคอมพิวเตอร์อย่างเป็นทางการจะเป็นไปได้[115] [116]ยังไม่พบเห็นได้ทั่วไป ระบบปฏิบัติการที่ได้รับการตรวจสอบอย่างเป็นทางการ ได้แก่seL4 , [117]และPikeOSของSYSGO [118] [119] – แต่สิ่งเหล่านี้คิดเป็นเปอร์เซ็นต์เพียงเล็กน้อยของตลาด

การรับรองความถูกต้องด้วย สองปัจจัยคือวิธีการลดการเข้าถึงระบบหรือข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต มันต้องการ "สิ่งที่คุณรู้"; รหัสผ่านหรือ PIN และ "สิ่งที่คุณมี"; การ์ด ดองเกิล โทรศัพท์มือถือ หรือฮาร์ดแวร์อื่นๆ สิ่งนี้จะเพิ่มความปลอดภัยเนื่องจากบุคคลที่ไม่ได้รับอนุญาตต้องการทั้งสองสิ่งนี้เพื่อเข้าถึง

วิศวกรรมสังคมและการโจมตีทางคอมพิวเตอร์โดยตรง (ทางกายภาพ) สามารถป้องกันได้โดยวิธีที่ไม่ใช่คอมพิวเตอร์เท่านั้น ซึ่งอาจบังคับได้ยากเมื่อเทียบกับความละเอียดอ่อนของข้อมูล การฝึกอบรมมักเกี่ยวข้องเพื่อช่วยลดความเสี่ยงนี้ แต่แม้ในสภาพแวดล้อมที่มีระเบียบวินัยสูง (เช่น องค์กรทางทหาร) การโจมตีทางวิศวกรรมทางสังคมยังคงเป็นเรื่องยากที่จะคาดการณ์และป้องกันได้

การฉีดวัคซีน ซึ่งมาจากทฤษฎีการฉีดวัคซีน พยายามที่จะป้องกันวิศวกรรมสังคมและกลอุบายหรือกับดักหลอกลวงอื่นๆ โดยปลูกฝังการต่อต้านการพยายามชักชวนผ่านการสัมผัสกับความพยายามที่คล้ายกันหรือที่เกี่ยวข้อง [120]

เป็นไปได้ที่จะลดโอกาสของผู้โจมตีโดยทำให้ระบบทันสมัยอยู่เสมอด้วยแพตช์ความปลอดภัยและการอัปเดต โดยใช้เครื่องสแกนความปลอดภัย[ ต้องการคำจำกัดความ ]และ/หรือจ้างผู้ที่มีความเชี่ยวชาญด้านความปลอดภัย แม้ว่าสิ่งเหล่านี้จะไม่รับประกันการป้องกันการโจมตีก็ตาม ผลกระทบของข้อมูลสูญหาย/เสียหายสามารถลดลงได้ด้วยการสำรองและประกันอย่าง ระมัดระวัง

กลไกการป้องกันฮาร์ดแวร์

แม้ว่าฮาร์ดแวร์อาจเป็นสาเหตุของความไม่ปลอดภัย เช่น ช่องโหว่ของไมโครชิปที่นำมาใช้อย่างประสงค์ร้ายในระหว่างกระบวนการผลิต[121] [122]ความปลอดภัยของคอมพิวเตอร์ที่ใช้ฮาร์ดแวร์หรือแบบช่วยเหลือก็เป็นทางเลือกแทนการรักษาความปลอดภัยคอมพิวเตอร์เฉพาะซอฟต์แวร์ การใช้อุปกรณ์และวิธีการต่างๆ เช่นดองเกิโมดูลแพลตฟอร์มที่เชื่อถือได้กรณีที่ทราบการบุกรุก การล็อกไดรฟ์ การปิดใช้งานพอร์ต USB และการเข้าถึงที่ใช้มือถืออาจได้รับการพิจารณาว่ามีความปลอดภัยมากขึ้นเนื่องจากการเข้าถึงทางกายภาพ (หรือการเข้าถึงแบ็คดอ ร์ที่ซับซ้อน ) จำเป็น ประนีประนอม แต่ละรายการมีรายละเอียดเพิ่มเติมด้านล่าง

  • โดยทั่วไปแล้ว ดองเกิ ล USB จะใช้ในรูปแบบการอนุญาตให้ใช้ซอฟต์แวร์เพื่อปลดล็อกความสามารถของซอฟต์แวร์แต่ยังสามารถมองว่าเป็นวิธีการป้องกันการเข้าถึงคอมพิวเตอร์หรือซอฟต์แวร์ของอุปกรณ์อื่นๆ โดยไม่ได้รับอนุญาต ดองเกิลหรือคีย์จะสร้างอุโมงค์เข้ารหัสที่ปลอดภัยระหว่างแอปพลิเคชันซอฟต์แวร์กับคีย์ หลักการคือรูปแบบการเข้ารหัสบนดองเกิล เช่นมาตรฐานการเข้ารหัสขั้นสูง (AES) ให้มาตรการรักษาความปลอดภัยที่แข็งแกร่งขึ้น เนื่องจากเป็นการแฮ็กและจำลองดองเกิลได้ยากกว่าการคัดลอกซอฟต์แวร์ดั้งเดิมไปยังเครื่องอื่นและใช้งาน แอปพลิเคชั่นความปลอดภัยอีกตัวสำหรับดองเกิลคือใช้เพื่อเข้าถึงเนื้อหาบนเว็บ เช่น ซอฟต์แวร์คลาวด์หรือเครือข่ายส่วนตัวเสมือน (VPN) [123]นอกจากนี้ ยังสามารถกำหนดค่าดองเกิล USB เพื่อล็อคหรือปลดล็อกคอมพิวเตอร์ [124]
  • โมดูลแพลตฟอร์มที่เชื่อถือได้ (TPM) รักษาความปลอดภัยอุปกรณ์โดยการรวมความสามารถในการเข้ารหัสเข้ากับอุปกรณ์ที่เข้าถึง ผ่านการใช้ไมโครโปรเซสเซอร์ หรือที่เรียกว่าคอมพิวเตอร์บนชิป TPM ที่ใช้ร่วมกับซอฟต์แวร์ฝั่งเซิร์ฟเวอร์มีวิธีการตรวจจับและรับรองความถูกต้องของอุปกรณ์ฮาร์ดแวร์ ป้องกันการเข้าถึงเครือข่ายและข้อมูลที่ไม่ได้รับอนุญาต [125]
  • การตรวจจับการบุกรุกเคสคอมพิวเตอร์หมายถึงอุปกรณ์ โดยทั่วไปแล้วจะเป็นสวิตช์ปุ่มกด ซึ่งจะตรวจจับเมื่อเคสคอมพิวเตอร์ถูกเปิด เฟิร์มแวร์หรือ BIOS ได้รับการตั้งโปรแกรมให้แสดงการแจ้งเตือนแก่ผู้ปฏิบัติงานเมื่อคอมพิวเตอร์เปิดเครื่องในครั้งต่อไป
  • ล็อคไดรฟ์เป็นเครื่องมือซอฟต์แวร์หลักในการเข้ารหัสฮาร์ดไดรฟ์ ทำให้ไม่สามารถเข้าถึงโจรได้ [126]มีเครื่องมือสำหรับเข้ารหัสไดรฟ์ภายนอกโดยเฉพาะเช่นกัน [127]
  • การปิดใช้งานพอร์ต USB เป็นตัวเลือกการรักษาความปลอดภัยสำหรับการป้องกันการเข้าถึงคอมพิวเตอร์ที่ไม่ได้รับอนุญาตและเป็นอันตราย ดองเกิล USB ที่ติดไวรัสที่เชื่อมต่อกับเครือข่ายจากคอมพิวเตอร์ภายในไฟร์วอลล์ได้รับการพิจารณาโดย Network World ว่าเป็นภัยคุกคามฮาร์ดแวร์ที่พบบ่อยที่สุดที่เครือข่ายคอมพิวเตอร์เผชิญ
  • การยกเลิกการเชื่อมต่อหรือปิดใช้งานอุปกรณ์ต่อพ่วง (เช่น กล้อง, GPS, ที่เก็บข้อมูลแบบถอดได้ ฯลฯ) ที่ไม่ได้ใช้งาน [128]
  • อุปกรณ์การเข้าถึงที่เปิดใช้งานมือถือกำลังได้รับความนิยมเพิ่มขึ้นเนื่องจากลักษณะที่แพร่หลายของโทรศัพท์มือถือ ความสามารถในตัว เช่นบลูทูธลูทูธพลังงานต่ำ (LE) การสื่อสารระยะใกล้ (NFC) บนอุปกรณ์ที่ไม่ใช่ iOS และ การตรวจสอบ ไบโอเมตริกซ์เช่น เครื่องอ่านลายนิ้วมือ ตลอดจน ซอฟต์แวร์เครื่องอ่าน โค้ด QR ที่ออกแบบมาสำหรับอุปกรณ์เคลื่อนที่ วิธีใหม่ที่ปลอดภัยสำหรับโทรศัพท์มือถือในการเชื่อมต่อกับระบบควบคุมการเข้าออก ระบบควบคุมเหล่านี้ช่วยให้คอมพิวเตอร์มีความปลอดภัย และยังสามารถใช้ควบคุมการเข้าถึงอาคารที่ปลอดภัยได้อีกด้วย [129]

ระบบปฏิบัติการที่ปลอดภัย

การใช้คำว่า "ความปลอดภัยของคอมพิวเตอร์" อย่างหนึ่งหมายถึงเทคโนโลยีที่ใช้ในการติดตั้งระบบปฏิบัติการที่ปลอดภัย ในช่วงทศวรรษ 1980 กระทรวงกลาโหมสหรัฐ (DoD) ใช้มาตรฐาน"Orange Book" [130]แต่มาตรฐานสากลในปัจจุบัน ISO/IEC 15408 " Common Criteria " ได้กำหนด ระดับการประกันการประเมินที่เข้มงวดยิ่งขึ้นจำนวนหนึ่งขึ้นเรื่อยระบบปฏิบัติการทั่วไปหลายระบบตรงตามมาตรฐาน EAL4 ว่า "ได้รับการออกแบบ ทดสอบและตรวจทานอย่างมีระเบียบวิธี" แต่การตรวจสอบอย่างเป็นทางการที่จำเป็นสำหรับระดับสูงสุดหมายความว่าระบบเหล่านี้ไม่ธรรมดา ตัวอย่างของ EAL6 ("Semiformally Verified Design and Tested"ซึ่งใช้ในแอร์บัส A380 [131] และเครื่องบินไอพ่นทางทหารหลายลำ [132]

การเข้ารหัสที่ปลอดภัย

ในด้านวิศวกรรมซอฟต์แวร์การเข้ารหัสที่ปลอดภัยมีจุดมุ่งหมายเพื่อป้องกันการแนะนำช่องโหว่ด้านความปลอดภัยโดยไม่ได้ตั้งใจ นอกจากนี้ยังสามารถสร้างซอฟต์แวร์ที่ออกแบบใหม่ทั้งหมดเพื่อความปลอดภัย ระบบดังกล่าวมี " ความปลอดภัยจากการออกแบบ " นอกเหนือจากนี้การตรวจสอบอย่างเป็นทางการมีจุดมุ่งหมายเพื่อพิสูจน์ความถูกต้องของอัลกอริธึมที่อยู่ภายใต้ระบบ [133] สำคัญสำหรับโปรโตคอลการเข้ารหัสเช่น

ความสามารถและรายการควบคุมการเข้าถึง

ภายในระบบคอมพิวเตอร์โมเดลความปลอดภัยหลักสองแบบ ที่ สามารถบังคับใช้การแยกสิทธิ์ ได้แก่รายการควบคุมการเข้าถึง (ACL) และการควบคุมการเข้าถึงตามบทบาท (RBAC)

รายการควบคุมการเข้าถึง ( ACL) ในส่วนที่เกี่ยวกับระบบไฟล์ของคอมพิวเตอร์ คือรายการของสิทธิ์ที่เกี่ยวข้องกับอ็อบเจ็กต์ ACL ระบุผู้ใช้หรือกระบวนการของระบบที่ได้รับสิทธิ์ในการเข้าถึงออบเจ็กต์ เช่นเดียวกับการดำเนินการใดที่ได้รับอนุญาตบนอ็อบเจ็กต์ที่กำหนด

การควบคุมการเข้าถึงตามบทบาทเป็นแนวทางในการจำกัดการเข้าถึงระบบให้กับผู้ใช้ที่ได้รับอนุญาต[134] [135] [136] ใช้โดยองค์กรส่วนใหญ่ที่มีพนักงานมากกว่า 500 คน[137]และสามารถใช้การควบคุมการเข้าถึงที่บังคับ (MAC) หรือการควบคุมการเข้าถึงตามดุลยพินิจ (DAC)

แนวทางเพิ่มเติม การรักษาความปลอดภัยตามความสามารถส่วนใหญ่จำกัดเฉพาะระบบปฏิบัติการการวิจัย อย่างไรก็ตาม ความสามารถสามารถนำไปใช้ในระดับภาษาได้เช่นกัน ซึ่งนำไปสู่รูปแบบการเขียนโปรแกรมที่เป็นการปรับปรุงการออกแบบเชิงวัตถุมาตรฐานโดยพื้นฐาน โครงการโอเพ่นซอร์สในพื้นที่คือภาษา E

การฝึกอบรมด้านความปลอดภัยของผู้ใช้ปลายทาง

ผู้ใช้ปลายทางได้รับการยอมรับอย่างกว้างขวางว่าเป็นลิงก์ที่อ่อนแอที่สุดในห่วงโซ่การรักษาความปลอดภัย[138]และคาดว่ามากกว่า 90% ของเหตุการณ์ด้านความปลอดภัยและการละเมิดเกี่ยวข้องกับความผิดพลาดของมนุษย์ [139] [140]รูปแบบข้อผิดพลาดและการตัดสินที่ผิดพลาดที่บันทึกไว้โดยทั่วไป ได้แก่ การจัดการรหัสผ่านที่ไม่ดี การส่งอีเมลที่มีข้อมูลที่ละเอียดอ่อนและไฟล์แนบไปยังผู้รับที่ไม่ถูกต้อง การไม่สามารถรับรู้ URL ที่ทำให้เข้าใจผิด และระบุเว็บไซต์ปลอมและไฟล์แนบอีเมลที่เป็นอันตราย ข้อผิดพลาดทั่วไปที่ผู้ใช้ทำคือการบันทึก ID ผู้ใช้/รหัสผ่านในเบราว์เซอร์เพื่อให้ลงชื่อเข้าใช้เว็บไซต์ธนาคารได้ง่ายขึ้น นี่เป็นของขวัญสำหรับผู้โจมตีที่ได้รับการเข้าถึงเครื่องด้วยวิธีการบางอย่าง ความเสี่ยงอาจบรรเทาลงได้ด้วยการใช้การรับรองความถูกต้องด้วยสองปัจจัย [141]

เนื่องจากองค์ประกอบของมนุษย์ของความเสี่ยงในโลกไซเบอร์มีความเกี่ยวข้องอย่างยิ่งในการพิจารณาความเสี่ยงในโลกไซเบอร์[142]ที่องค์กรกำลังเผชิญอยู่ การฝึกอบรมการรับรู้ด้านความปลอดภัยในทุกระดับ ไม่เพียงแต่ให้การปฏิบัติตามกฎระเบียบและข้อบังคับของอุตสาหกรรมอย่างเป็นทางการเท่านั้น แต่ยังถือว่าจำเป็น[143]ใน ลดความเสี่ยงทางไซเบอร์และปกป้องบุคคลและบริษัทจากภัยคุกคามทางไซเบอร์ส่วนใหญ่

การมุ่งเน้นที่ผู้ใช้ปลายทางแสดงถึงการเปลี่ยนแปลงทางวัฒนธรรมที่ลึกซึ้งสำหรับผู้ปฏิบัติงานด้านความปลอดภัยหลายคน ซึ่งเคยเข้าถึงการรักษาความปลอดภัยทางไซเบอร์จากมุมมองทางเทคนิคเท่านั้น และดำเนินไปตามแนวทางที่แนะนำโดยศูนย์ความปลอดภัยหลัก[144]เพื่อพัฒนาวัฒนธรรมของการตระหนักรู้ในโลกไซเบอร์ภายใน องค์กร โดยตระหนักว่าผู้ใช้ที่ตระหนักถึงความปลอดภัยให้แนวป้องกันที่สำคัญต่อการโจมตีทางไซเบอร์

สุขอนามัยแบบดิจิทัล

ที่เกี่ยวข้องกับการฝึกอบรมผู้ใช้ปลายทางสุขอนามัยดิจิทัลหรือ สุข อนามัยในโลกไซเบอร์เป็นหลักการพื้นฐานที่เกี่ยวข้องกับความปลอดภัยของข้อมูลและเมื่อเปรียบเทียบกับสุขอนามัยส่วนบุคคลเทียบเท่ากับการกำหนดมาตรการตามปกติง่ายๆ เพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ข้อสันนิษฐานคือแนวทางปฏิบัติด้านสุขอนามัยทางไซเบอร์ที่ดีสามารถให้การปกป้องอีกชั้นหนึ่งแก่ผู้ใช้เครือข่าย ซึ่งช่วยลดความเสี่ยงที่โหนดที่มีช่องโหว่หนึ่งโหนดจะถูกใช้เพื่อเมาต์โจมตีหรือประนีประนอมกับโหนดหรือเครือข่ายอื่น โดยเฉพาะอย่างยิ่งจากการโจมตีทางไซเบอร์ทั่วไป [145]สุขอนามัยทางไซเบอร์ไม่ควรถูกเข้าใจผิดว่าเป็นการป้องกันทางไซเบอร์เชิงรุกซึ่งเป็นศัพท์ทางการทหาร [146]

ในทางตรงกันข้ามกับการป้องกันภัยคุกคามที่ใช้เทคโนโลยีล้วนๆ สุขอนามัยในโลกไซเบอร์ส่วนใหญ่เกี่ยวข้องกับมาตรการที่เป็นกิจวัตรซึ่งง่ายต่อการนำไปใช้ในทางเทคนิค และส่วนใหญ่ขึ้นอยู่กับระเบียบวินัย[147]หรือการศึกษา [148]ถือได้ว่าเป็นรายการนามธรรมของเคล็ดลับหรือมาตรการที่ได้รับการพิสูจน์แล้วว่ามีผลดีต่อการรักษาความปลอดภัยดิจิทัลส่วนบุคคลและ/หรือส่วนรวม ด้วยเหตุนี้ มาตรการเหล่านี้จึงสามารถทำได้โดยคนธรรมดา ไม่ใช่แค่ผู้เชี่ยวชาญด้านความปลอดภัยเท่านั้น

สุขอนามัยทางไซเบอร์เกี่ยวข้องกับสุขอนามัยส่วนบุคคล เนื่องจากไวรัสคอมพิวเตอร์เกี่ยวข้องกับไวรัสชีวภาพ (หรือเชื้อโรค) อย่างไรก็ตาม ในขณะที่คำว่าไวรัสคอมพิวเตอร์ได้รับการประกาศเกียรติคุณเกือบจะพร้อมๆ กับการสร้างไวรัสคอมพิวเตอร์ตัวแรกที่ใช้งานได้[149]คำว่าสุขอนามัยทางไซเบอร์เป็นคำประดิษฐ์ที่ประดิษฐ์ขึ้นในภายหลัง บางทีอาจถึงปลายปี 2000 [150]โดยVint Cerfผู้บุกเบิกอินเทอร์เน็ต มันได้รับการรับรองโดยรัฐสภา[151]และวุฒิสภาของสหรัฐอเมริกา[152]เอบีไอ[153]สถาบันของสหภาพยุโรป[145]และประมุขแห่งรัฐ [146]

การตอบสนองต่อการละเมิด

การตอบสนองต่อความพยายามในการละเมิดความปลอดภัยมักจะเป็นเรื่องยากมากด้วยเหตุผลหลายประการ รวมถึง:

  • การระบุผู้โจมตีเป็นเรื่องยาก เนื่องจากอาจดำเนินการผ่านพร็อกซี บัญชีเรียกผ่านสายโทรศัพท์แบบไม่ระบุชื่อชั่วคราว การเชื่อมต่อไร้สาย และกระบวนการปกปิดตัวตนอื่นๆ ซึ่งทำให้การติดตามย้อนกลับทำได้ยาก และมักตั้งอยู่ในเขตอำนาจศาลอื่น หากฝ่าฝืนการรักษาความปลอดภัยได้สำเร็จ พวกเขามักจะได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบเพียงพอที่จะช่วยให้ลบบันทึกเพื่อปกปิดร่องรอยของตนได้
  • จำนวนครั้งของการพยายามโจมตี โดยมากโดยเครื่องสแกนช่องโหว่ อัตโนมัติ และเวิร์มคอมพิวเตอร์ นั้นมีขนาดใหญ่มากจนองค์กรไม่สามารถใช้เวลาไล่ตามแต่ละอย่างได้
  • เจ้าหน้าที่บังคับใช้กฎหมายมักขาดทักษะ ความสนใจ หรืองบประมาณในการไล่ตามผู้โจมตี นอกจากนี้ การระบุผู้โจมตีผ่านเครือข่ายอาจต้องใช้บันทึกจากจุดต่างๆ ในเครือข่ายและในหลายประเทศ ซึ่งอาจเป็นเรื่องยากหรือใช้เวลานานในการรับ

เมื่อการโจมตีสำเร็จและเกิดการละเมิด ปัจจุบันเขตอำนาจศาลหลายแห่งมีกฎหมายการแจ้งเตือนการละเมิดความปลอดภัยบังคับ

ประเภทของความปลอดภัยและความเป็นส่วนตัว

การวางแผนรับมือเหตุการณ์

การตอบสนองต่อเหตุการณ์เป็นวิธีที่มีการจัดการเพื่อจัดการและจัดการผลที่ตามมาของเหตุการณ์ด้านความปลอดภัยของคอมพิวเตอร์หรือการประนีประนอมโดยมีเป้าหมายในการป้องกันการละเมิดหรือขัดขวางการโจมตีทางไซเบอร์ เหตุการณ์ที่ไม่ได้ระบุและจัดการในขณะที่มีการบุกรุกมักจะส่งต่อไปยังเหตุการณ์ที่สร้างความเสียหายมากกว่า เช่น การละเมิดข้อมูลหรือความล้มเหลวของระบบ ผลลัพธ์ที่ตั้งใจไว้ของแผนการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของคอมพิวเตอร์คือการจำกัดเหตุการณ์นั้น จำกัดความเสียหาย และช่วยเหลือการกู้คืนให้กับธุรกิจตามปกติ การตอบสนองต่อการประนีประนอมอย่างรวดเร็วสามารถบรรเทาช่องโหว่ที่ถูกโจมตี กู้คืนบริการและกระบวนการ และลดการสูญเสียให้เหลือน้อยที่สุด [154] การวางแผนรับมือเหตุการณ์ช่วยให้องค์กรสร้างชุดแนวทางปฏิบัติที่ดีที่สุดเพื่อหยุดการบุกรุกก่อนที่จะสร้างความเสียหาย แผนการตอบสนองต่อเหตุการณ์โดยทั่วไปประกอบด้วยชุดคำสั่งที่เป็นลายลักษณ์อักษรซึ่งระบุถึงการตอบสนองขององค์กรต่อการโจมตีทางไซเบอร์ หากไม่มีแผนงานที่จัดทำเป็นเอกสาร องค์กรอาจไม่ประสบความสำเร็จในการตรวจจับการบุกรุกหรือการประนีประนอม และผู้มีส่วนได้ส่วนเสียอาจไม่เข้าใจบทบาท กระบวนการ และขั้นตอนปฏิบัติของตนในระหว่างการยกระดับ ทำให้การตอบสนองและการแก้ปัญหาขององค์กรช้าลง

มีองค์ประกอบหลักสี่ประการของแผนตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของคอมพิวเตอร์:

  1. การเตรียมการ: การเตรียมผู้มีส่วนได้ส่วนเสียเกี่ยวกับขั้นตอนการจัดการเหตุการณ์ด้านความปลอดภัยของคอมพิวเตอร์หรือการประนีประนอม
  2. การตรวจจับและวิเคราะห์: ระบุและตรวจสอบกิจกรรมที่น่าสงสัยเพื่อยืนยันเหตุการณ์ด้านความปลอดภัย จัดลำดับความสำคัญของการตอบสนองตามผลกระทบและประสานงานการแจ้งเตือนเหตุการณ์
  3. การกักกัน การกำจัด และการกู้คืน: การแยกระบบที่ได้รับผลกระทบเพื่อป้องกันการเพิ่มระดับและจำกัดผลกระทบ ระบุแหล่งกำเนิดของเหตุการณ์ การลบมัลแวร์ ระบบที่ได้รับผลกระทบ และผู้กระทำความผิดออกจากสภาพแวดล้อม และกู้คืนระบบและข้อมูลเมื่อภัยคุกคามไม่เหลืออยู่อีกต่อไป
  4. กิจกรรมหลังเหตุการณ์: การวิเคราะห์ชันสูตรพลิกศพของเหตุการณ์ สาเหตุ และการตอบสนองขององค์กรโดยมีเจตนาที่จะปรับปรุงแผนเผชิญเหตุและความพยายามในการเผชิญเหตุในอนาคต [155]

การโจมตีและการละเมิดที่โดดเด่น

ตัวอย่างของการละเมิดความปลอดภัยของคอมพิวเตอร์ประเภทต่างๆ แสดงไว้ด้านล่าง

Robert Morris และเวิร์มคอมพิวเตอร์ตัวแรก

ในปี 1988 มีคอมพิวเตอร์ 60,000 เครื่องเชื่อมต่อกับอินเทอร์เน็ต ส่วนใหญ่เป็นเมนเฟรม มินิคอมพิวเตอร์ และเวิร์คสเตชั่นระดับมืออาชีพ เมื่อวันที่ 2 พฤศจิกายน พ.ศ. 2531 หลายคนเริ่มชะลอตัวลง เนื่องจากพวกเขากำลังเรียกใช้โค้ดที่เป็นอันตรายซึ่งต้องการเวลาของตัวประมวลผลและแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่น ซึ่งเป็นอินเทอร์เน็ตตัวแรก " เวิร์มคอมพิวเตอร์ " [16] ซอฟต์แวร์นี้สืบย้อนไปถึง Robert Tappan Morrisนักศึกษาระดับบัณฑิตศึกษาวัย 23 ปีของCornell Universityผู้ซึ่งกล่าวว่า "เขาต้องการนับจำนวนเครื่องที่เชื่อมต่อกับอินเทอร์เน็ต" [16]

ห้องปฏิบัติการโรม

ในปี 1994 มีการบุกรุกมากกว่าร้อยครั้งโดยเครื่องกะเทาะที่ไม่ระบุชื่อในห้องทดลองโรมซึ่งเป็นศูนย์บัญชาการหลักและศูนย์วิจัยของกองทัพอากาศสหรัฐฯ การใช้ม้าโทรจันแฮกเกอร์สามารถเข้าถึงระบบเครือข่ายของกรุงโรมได้ไม่จำกัด และลบร่องรอยของกิจกรรมของพวกเขา ผู้บุกรุกสามารถรับไฟล์ที่เป็นความลับได้ เช่น ข้อมูลระบบสั่งงานทางอากาศ และยังสามารถเจาะเครือข่ายที่เชื่อมต่อของ ศูนย์การบินอวกาศก็อดดาร์ดของ องค์การการบินและอวกาศแห่งชาติฐานทัพอากาศไรท์-แพตเตอร์สัน ผู้รับเหมาด้านการป้องกันบางส่วน และเอกชนอื่นๆ องค์กรภาคส่วน โดยวางตัวเป็นผู้ใช้ศูนย์โรมที่เชื่อถือได้ [157]

รายละเอียดบัตรเครดิตของลูกค้า TJX

ในต้นปี 2550 บริษัทเครื่องแต่งกายและเครื่องใช้ในบ้านของอเมริกาTJXประกาศว่าตนตกเป็นเหยื่อของการบุกรุกระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต[158]และแฮกเกอร์ได้เข้าถึงระบบที่จัดเก็บข้อมูลในบัตรเครดิต บัตรเดบิตเช็คและธุรกรรมการคืนสินค้า. [159]

การโจมตี Stuxnet

ในปี 2010 เวิร์มคอมพิวเตอร์ที่รู้จักกันในชื่อStuxnet ได้ทำลาย เครื่องหมุนเหวี่ยงนิวเคลียร์ของอิหร่านเกือบหนึ่งในห้า [160]ทำได้โดยขัดขวางตัวควบคุมลอจิกเชิงโปรแกรม อุตสาหกรรม (PLC) ในการโจมตีแบบกำหนดเป้าหมาย โดยทั่วไปเชื่อกันว่าสิ่งนี้เกิดขึ้นโดยอิสราเอลและสหรัฐอเมริกาเพื่อขัดขวางโครงการนิวเคลียร์ของอิหร่าน[161] [162] [163] [164] – แม้ว่าทั้งคู่จะไม่ยอมรับเรื่องนี้อย่างเปิดเผยก็ตาม

การเปิดเผยการเฝ้าระวังทั่วโลก

ในช่วงต้นปี 2013 เอกสารที่เอ็ดเวิร์ด สโนว์เดน จัดเตรียมให้ ได้รับการตีพิมพ์โดยเดอะวอชิงตันโพสต์และเดอะการ์เดียน[165] [166]เผยให้เห็นการ เฝ้าระวัง NSAทั่วโลกในวงกว้าง นอกจากนี้ยังมีข้อบ่งชี้ว่า NSA อาจใส่แบ็คดอร์ใน มาตรฐาน NISTสำหรับการเข้ารหัส [167]มาตรฐานนี้ถูกถอนออกในภายหลังเนื่องจากการวิพากษ์วิจารณ์อย่างกว้างขวาง [168]นอกจากนี้ NSA ยังเปิดเผยว่าได้แตะลิงก์ระหว่างศูนย์ข้อมูลของGoogle [169]

การละเมิดเป้าหมายและโฮมดีโป

แฮ็กเกอร์ชาวยูเครนที่รู้จักกันในชื่อRescatorบุกเข้าไปใน คอมพิวเตอร์ของ Target Corporationในปี 2013 โดยขโมยบัตรเครดิตไปประมาณ 40 ล้านใบ[170]และจากนั้นก็ ใช้คอมพิวเตอร์ของ Home Depotในปี 2014 โดยขโมยหมายเลขบัตรเครดิตระหว่าง 53 ถึง 56 ล้านหมายเลข [171]คำเตือนถูกส่งไปที่ทั้งสองบริษัท แต่เพิกเฉย; เชื่อว่าการ ละเมิดความปลอดภัยทางกายภาพโดยใช้เครื่องชำระเงินด้วยตนเองมีบทบาทอย่างมาก “มัลแวร์ที่ใช้นั้นไม่ซับซ้อนและไม่น่าสนใจอย่างยิ่ง” จิม วอลเตอร์ ผู้อำนวยการฝ่ายปฏิบัติการข่าวกรองภัยคุกคามของบริษัทเทคโนโลยีความปลอดภัย McAfee กล่าว ซึ่งหมายความว่าซอฟต์แวร์แอนตี้ไวรัส ที่มีอยู่สามารถหยุดการโจรกรรมได้อย่างง่ายดายให้ผู้ดูแลระบบตอบสนองต่อคำเตือน ขนาดของโจรกรรมได้รับความสนใจอย่างมากจากหน่วยงานของรัฐและรัฐบาลกลางของสหรัฐอเมริกา และการสอบสวนยังดำเนินอยู่

การละเมิดข้อมูลสำนักงานบริหารงานบุคคล

ในเดือนเมษายน 2015 สำนักงานบริหารงานบุคคล พบว่าถูกแฮ็กมานานกว่าหนึ่งปีก่อนหน้านี้ในการละเมิดข้อมูล ส่งผลให้มีการขโมยข้อมูลบุคลากรประมาณ 21.5 ล้านคนที่สำนักงานจัดการ [172]สำนักงานการจัดการบุคลากรแฮ็คได้รับการอธิบายโดยเจ้าหน้าที่ของรัฐบาลกลางว่าเป็นหนึ่งในการละเมิดข้อมูลของรัฐบาลที่ใหญ่ที่สุดในประวัติศาสตร์ของสหรัฐอเมริกา [173]ข้อมูลที่กำหนดเป้าหมายในการละเมิดนั้นรวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้เช่นหมายเลขประกันสังคมชื่อ วันเดือนปีเกิด ที่อยู่ และลายนิ้วมือของพนักงานรัฐบาลในปัจจุบันและอดีต ตลอดจนผู้ใดก็ตามที่ได้รับการตรวจสอบภูมิหลังของรัฐบาล [174][175]เชื่อกันว่าแฮ็คนี้ถูกแฮ็กโดยแฮ็กเกอร์ชาวจีน [176]

แอชลีย์ เมดิสัน ฝ่าฝืน

ในเดือนกรกฎาคม 2015 กลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ "The Impact Team" ประสบความสำเร็จในการละเมิดเว็บไซต์ความสัมพันธ์นอกใจ Ashley Madison ซึ่งสร้างโดย Avid Life Media กลุ่มอ้างว่าพวกเขาไม่ได้เอาเฉพาะข้อมูลบริษัทแต่ข้อมูลผู้ใช้ด้วย หลังจากการฝ่าฝืน The Impact Team ได้ทิ้งอีเมลจาก CEO ของบริษัท เพื่อพิสูจน์ประเด็นของพวกเขา และขู่ว่าจะทิ้งข้อมูลลูกค้าเว้นแต่เว็บไซต์จะถูกถอดออกอย่างถาวร" [177]เมื่อ Avid Life Media ไม่ได้ทำให้ไซต์ออฟไลน์ กลุ่มก็ปล่อย ไฟล์บีบอัดอีก 2 ไฟล์ คือ 9.7GB 1 ไฟล์ และไฟล์ 20GB ไฟล์ที่สอง หลังจากการดัมพ์ข้อมูลครั้งที่สอง Noel Biderman CEO ของ Avid Life Media ลาออก แต่เว็บไซต์ยังคงใช้งานได้

โคโลเนียลไปป์ไลน์แรนซัมแวร์โจมตี

ในเดือนมิถุนายน พ.ศ. 2564 การโจมตีทางไซเบอร์ได้ทำลายท่อส่งเชื้อเพลิงที่ใหญ่ที่สุดในสหรัฐอเมริกา และนำไปสู่การขาดแคลนทั่วทั้งชายฝั่งตะวันออก [178]

ประเด็นทางกฎหมายและระเบียบข้อบังคับทั่วโลก

ประเด็นทางกฎหมายระหว่างประเทศของการโจมตีทางไซเบอร์นั้นซับซ้อนโดยธรรมชาติ ไม่มีฐานสากลแห่งกฎเกณฑ์ทั่วไปที่จะตัดสิน และในที่สุดก็ลงโทษอาชญากรไซเบอร์และอาชญากรไซเบอร์ - และที่ซึ่งบริษัทรักษาความปลอดภัยหรือหน่วยงานค้นหาตัวอาชญากรไซเบอร์ที่อยู่เบื้องหลังการสร้างมัลแวร์หรือรูปแบบการโจมตีทางไซเบอร์ โดยเฉพาะ ซึ่งบ่อยครั้งหน่วยงานในท้องถิ่นไม่สามารถดำเนินการได้ การกระทำเนื่องจากขาดกฎหมายที่จะดำเนินคดี [179] [180]การพิสูจน์การระบุแหล่งที่มาของอาชญากรรมในโลกไซเบอร์และการโจมตีทางอินเทอร์เน็ตก็เป็นปัญหาสำคัญสำหรับหน่วยงานบังคับใช้กฎหมายทั้งหมด " ไวรัสคอมพิวเตอร์เปลี่ยนจากประเทศหนึ่งไปอีกประเทศหนึ่ง จากเขตอำนาจศาลหนึ่งไปยังอีกเขตหนึ่ง – เคลื่อนที่ไปทั่วโลก โดยใช้ข้อเท็จจริงที่ว่าเราไม่มีความสามารถในการปฏิบัติการของตำรวจทั่วโลกเช่นนี้ ดังนั้นอินเทอร์เน็ตก็เหมือนกับว่ามีคน [ได้] ให้ตั๋วเครื่องบินฟรีแก่อาชญากรออนไลน์ทุกคนในโลก" [179]การใช้เทคนิคต่างๆ เช่นDNS แบบไดนามิกลักซ์ที่รวดเร็วและเซิร์ฟเวอร์กันกระสุนเพิ่มความยากในการสอบสวนและการบังคับใช้ .

บทบาทของรัฐบาล

บทบาทของรัฐบาลคือการออกกฎระเบียบเพื่อบังคับบริษัทและองค์กรต่างๆ ให้ปกป้องระบบ โครงสร้างพื้นฐาน และข้อมูลจากการโจมตีทางไซเบอร์ต่างๆ แต่ยังปกป้องโครงสร้างพื้นฐานของประเทศของตน เช่นโครงข่ายไฟฟ้า แห่ง ชาติ [181]

บทบาทการกำกับดูแลของรัฐบาลในโลกไซเบอร์นั้นซับซ้อน สำหรับบางคน ไซเบอร์สเปซถูกมองว่าเป็นพื้นที่เสมือนที่ยังคงปราศจากการแทรกแซงของรัฐบาล ดังจะเห็นได้จากการอภิปรายเกี่ยวกับบล็อคเชนและbitcoin แบบเสรีนิยมในปัจจุบัน [182]

เจ้าหน้าที่ของรัฐและผู้เชี่ยวชาญหลายคนคิดว่ารัฐบาลควรดำเนินการมากกว่านี้ และมีความจำเป็นอย่างยิ่งที่จะต้องปรับปรุงกฎระเบียบ สาเหตุหลักมาจากความล้มเหลวของภาคเอกชนในการแก้ไขปัญหาความปลอดภัยทางไซเบอร์อย่างมีประสิทธิภาพ R. Clarkeกล่าวในระหว่างการอภิปรายที่RSA Security Conferenceในซานฟรานซิสโกเขาเชื่อว่า "อุตสาหกรรมจะตอบสนองก็ต่อเมื่อคุณข่มขู่กฎระเบียบเท่านั้น หากอุตสาหกรรมไม่ตอบสนอง (ต่อภัยคุกคาม) คุณต้องปฏิบัติตาม" [183]ในทางกลับกัน ผู้บริหารจากภาคเอกชนเห็นพ้องต้องกันว่าการปรับปรุงเป็นสิ่งจำเป็น แต่คิดว่าการแทรกแซงของรัฐบาลจะส่งผลต่อความสามารถในการสร้างสรรค์สิ่งใหม่ ๆ อย่างมีประสิทธิภาพ Daniel R. McCarthy วิเคราะห์ความเป็นหุ้นส่วนระหว่างภาครัฐและเอกชนในการรักษาความปลอดภัยทางไซเบอร์และสะท้อนถึงบทบาทของความปลอดภัยทางไซเบอร์ในรัฐธรรมนูญในวงกว้างของระเบียบทางการเมือง [184]

เมื่อวันที่ 22 พฤษภาคม 2020 คณะมนตรีความมั่นคงแห่งสหประชาชาติได้จัดการประชุมอย่างไม่เป็นทางการครั้งที่สองเกี่ยวกับความปลอดภัยทางไซเบอร์เพื่อมุ่งเน้นไปที่ความท้าทายทางไซเบอร์เพื่อสันติภาพระหว่างประเทศ ตามที่เลขาธิการสหประชาชาติAntónio Guterresเทคโนโลยีใหม่ ๆ มักถูกใช้เพื่อละเมิดสิทธิ [185]

การดำเนินการระหว่างประเทศ

มีทีมและองค์กรต่างๆ มากมาย รวมถึง:

  • Forum of Incident Response and Security Teams (FIRST) เป็นสมาคมระดับโลกของ CSIRT [186] US -CERT , AT&T , Apple , Cisco , McAfee , Microsoftล้วนเป็นสมาชิกของทีมนานาชาตินี้ [187]
  • สภายุโรปช่วยปกป้องสังคมทั่วโลกจากการคุกคามของอาชญากรรมทางอินเทอร์เน็ตผ่านอนุสัญญาว่าด้วยอาชญากรรมทางอินเทอร์เน็ต [188]
  • วัตถุประสงค์ของ Messaging Anti-Abuse Working Group (MAAWG) คือการนำอุตสาหกรรมการรับส่งข้อความมาทำงานร่วมกันและเพื่อจัดการกับรูปแบบต่าง ๆ ของการส่งข้อความที่ไม่เหมาะสม เช่น สแปม ไวรัส การโจมตีแบบปฏิเสธการให้บริการ และการใช้ประโยชน์จากข้อความอื่น ๆ . [189] France Telecom , Facebook , AT&T , Apple , Cisco , Sprintเป็นสมาชิกบางส่วนของ MAAWG [190]
  • ENISA: European Network and Information Security Agency (ENISA) เป็นหน่วยงานของสหภาพยุโรปโดยมีวัตถุประสงค์เพื่อปรับปรุงความปลอดภัยของเครือข่ายและข้อมูลในสหภาพยุโรป

ยุโรป

เมื่อวันที่ 14 เมษายน พ.ศ. 2559 รัฐสภาและคณะมนตรีแห่งสหภาพยุโรปได้ประกาศใช้ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR) (EU) 2016/679 GDPR ซึ่งมีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2018 เป็นต้นไป ให้การปกป้องข้อมูลและความเป็นส่วนตัวสำหรับทุกคนในสหภาพยุโรป (EU) และเขตเศรษฐกิจยุโรป (EEA) GDPR กำหนดให้กระบวนการทางธุรกิจที่จัดการข้อมูลส่วนบุคคลถูกสร้างขึ้นด้วยการปกป้องข้อมูลตามการออกแบบและโดยค่าเริ่มต้น GDPR ยังกำหนดให้บางองค์กรแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

ปฏิบัติการระดับชาติ

ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์

ประเทศส่วนใหญ่มีทีมรับมือเหตุฉุกเฉินด้วยคอมพิวเตอร์ของตนเองเพื่อปกป้องความปลอดภัยของเครือข่าย

แคนาดา

ตั้งแต่ปี 2010 แคนาดามีกลยุทธ์ด้านความปลอดภัยทางไซเบอร์ [191] [192]เอกสารนี้ทำหน้าที่เป็นเอกสารประกอบกับแผนยุทธศาสตร์และปฏิบัติการแห่งชาติเพื่อโครงสร้างพื้นฐานที่สำคัญ [193]กลยุทธ์นี้มีสามเสาหลัก: การรักษาความปลอดภัยระบบของรัฐบาล การรักษาความปลอดภัยระบบไซเบอร์ส่วนตัวที่สำคัญ และการช่วยเหลือชาวแคนาดาให้ปลอดภัยทางออนไลน์ [192] [193]นอกจากนี้ยังมีกรอบการจัดการเหตุการณ์ทางไซเบอร์เพื่อให้การตอบสนองที่ประสานกันในกรณีที่เกิดเหตุการณ์ทางไซเบอร์ [194] [195]

ศูนย์ตอบสนองเหตุการณ์ทางไซเบอร์ของแคนาดา (CCIRC) มีหน้าที่รับผิดชอบในการบรรเทาและตอบสนองต่อภัยคุกคามต่อโครงสร้างพื้นฐานและระบบไซเบอร์ที่สำคัญของแคนาดา ให้การสนับสนุนเพื่อบรรเทาภัยคุกคามทางไซเบอร์ การสนับสนุนทางเทคนิคเพื่อตอบสนองและกู้คืนจากการโจมตีทางไซเบอร์ที่เป็นเป้าหมาย และจัดเตรียมเครื่องมือออนไลน์สำหรับสมาชิกของภาคโครงสร้างพื้นฐานที่สำคัญของแคนาดา [196]มันโพสต์กระดานข่าวความปลอดภัยทางไซเบอร์เป็นประจำ[197]และดำเนินการเครื่องมือการรายงานออนไลน์ที่บุคคลและองค์กรสามารถรายงานเหตุการณ์ทางไซเบอร์ได้ (198]

เพื่อแจ้งให้ประชาชนทั่วไปทราบเกี่ยวกับวิธีการป้องกันตนเองทางออนไลน์ Public Safety Canada ได้ร่วมมือกับ STOP.THINK.CONNECT ซึ่งเป็นกลุ่มพันธมิตรที่ไม่แสวงหาผลกำไร ภาคเอกชน และหน่วยงานภาครัฐ[19]และเปิดตัวโครงการ Cyber ​​Security Cooperation Program [20] [21]พวกเขายังเปิดพอร์ทัล GetCyberSafe สำหรับพลเมืองแคนาดาและเดือนการรับรู้ความปลอดภัยทางไซเบอร์ในช่วงเดือนตุลาคม [22]

ความปลอดภัยสาธารณะของแคนาดาตั้งเป้าที่จะเริ่มการประเมินกลยุทธ์ความปลอดภัยทางไซเบอร์ของแคนาดาในต้นปี 2558 [193]

ประเทศจีน

กลุ่มผู้นำกลางด้านความปลอดภัยทางอินเทอร์เน็ตและการให้ข้อมูล ของ จีน( จีน :中央网络安全和信息化领导小组) ก่อตั้งขึ้นเมื่อวันที่ 27 กุมภาพันธ์ 2014 กลุ่มเล็กชั้นนำ (LSG) ของพรรคคอมมิวนิสต์จีนนี้นำโดยเลขาธิการ Xi Jinpingตนเองและมีเจ้าหน้าที่ร่วมกับผู้มีอำนาจตัดสินใจของพรรคและรัฐที่เกี่ยวข้อง LSG ถูกสร้างขึ้นเพื่อเอาชนะนโยบายที่ไม่ต่อเนื่องกันและความรับผิดชอบที่ทับซ้อนกันซึ่งเป็นลักษณะเฉพาะของกลไกการตัดสินใจในโลกไซเบอร์ในอดีตของจีน LSG กำกับดูแลการกำหนดนโยบายในด้านเศรษฐกิจ การเมือง วัฒนธรรม สังคม และการทหาร เนื่องจากเกี่ยวข้องกับการรักษาความปลอดภัยเครือข่ายและกลยุทธ์ด้านไอที LSG นี้ยังประสานงานการริเริ่มนโยบายที่สำคัญในเวทีระหว่างประเทศที่ส่งเสริมบรรทัดฐานและมาตรฐานที่รัฐบาลจีน ชื่นชอบ และเน้นหลักการของอธิปไตยของชาติในโลกไซเบอร์ (203]

เยอรมนี

กรุงเบอร์ลินเริ่มโครงการริเริ่มการป้องกันทางไซเบอร์แห่งชาติ: เมื่อวันที่ 16 มิถุนายน 2554 รัฐมนตรีว่าการกระทรวงมหาดไทยของเยอรมนี ได้เปิด NCAZ (ศูนย์ป้องกันภัยไซเบอร์แห่งชาติ ) แห่งใหม่ของเยอรมนีอย่างเป็นทางการ ซึ่งตั้งอยู่ในเมืองบอนน์ NCAZร่วมมือกันอย่างใกล้ชิดกับ BSI (Federal Office for Information Security) Bundesamt für Sicherheit in der Informationstechnik , BKA (Federal Police Organisation) Bundeskriminalamt (Deutschland) , BND (Federal Intelligence Service) Bundesnachrichtendienst , MAD (Military Intelligence Service)และองค์กรระดับชาติอื่น ๆ ในเยอรมนีที่ดูแลด้านความมั่นคงของชาติ ตามที่รัฐมนตรีกล่าว ภารกิจหลักขององค์กรใหม่ที่ก่อตั้งขึ้นเมื่อวันที่ 23 กุมภาพันธ์ 2011 คือการตรวจจับและป้องกันการโจมตีโครงสร้างพื้นฐานของประเทศและเหตุการณ์ที่กล่าวถึงเช่นStuxnet เยอรมนียังได้ก่อตั้งสถาบันวิจัยด้านความปลอดภัยไอทีที่ใหญ่ที่สุดในยุโรป ซึ่งก็คือศูนย์การวิจัยด้านความปลอดภัยและความเป็นส่วนตัว (CRISP) ในเมืองดาร์มสตัดท์

อินเดีย

บทบัญญัติบางประการสำหรับการรักษาความปลอดภัยทางไซเบอร์ได้รวมอยู่ในกฎที่อยู่ภายใต้พระราชบัญญัติเทคโนโลยีสารสนเทศ พ.ศ. 2543 [204]

นโยบาย ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ. 2556เป็นกรอบนโยบายโดยกระทรวงอิเล็กทรอนิกส์และเทคโนโลยีสารสนเทศ (MeitY) ซึ่งมีวัตถุประสงค์เพื่อปกป้องโครงสร้างพื้นฐานของรัฐและเอกชนจากการโจมตีทางไซเบอร์ และปกป้องข้อมูล "เช่น ข้อมูลส่วนบุคคล (ของผู้ใช้เว็บ) การเงิน และ ข้อมูลธนาคารและข้อมูลอธิปไตย". CERT- Inเป็นหน่วยงานหลักที่คอยตรวจสอบภัยคุกคามทางไซเบอร์ในประเทศ ตำแหน่งผู้ประสานงานความมั่นคงทางไซเบอร์แห่งชาติยังถูกสร้างขึ้นในสำนักนายกรัฐมนตรี (ป.ป.ช. )

พระราชบัญญัติบริษัทอินเดีย พ.ศ. 2556 ยังได้แนะนำกฎหมายไซเบอร์และภาระผูกพันด้านความปลอดภัยทางไซเบอร์ในส่วนของกรรมการชาวอินเดีย บทบัญญัติบางประการสำหรับการรักษาความปลอดภัยทางไซเบอร์ได้รวมอยู่ในกฎที่อยู่ภายใต้การปรับปรุงพระราชบัญญัติเทคโนโลยีสารสนเทศ พ.ศ. 2543 ในปี พ.ศ. 2556 [205]

เกาหลีใต้

หลังการโจมตีทางไซเบอร์ในช่วงครึ่งแรกของปี 2556 เมื่อรัฐบาล สื่อข่าว สถานีโทรทัศน์ และเว็บไซต์ธนาคารถูกบุกรุก รัฐบาลแห่งชาติให้คำมั่นที่จะฝึกอบรมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ใหม่ 5,000 คนภายในปี 2560 รัฐบาลเกาหลีใต้ตำหนิฝ่ายเหนือสำหรับสิ่งเหล่านี้ การโจมตี เช่นเดียวกับเหตุการณ์ที่เกิดขึ้นในปี 2552, 2554, [206]และ 2555 แต่เปียงยางปฏิเสธข้อกล่าวหา [207]

สหรัฐอเมริกา

กฎหมาย

1986 18 USC  § 1030 , Computer Fraud and Abuse Actเป็นกฎหมายที่สำคัญ ห้ามมิให้เข้าถึงโดยไม่ได้รับอนุญาตหรือสร้างความเสียหายให้กับ "คอมพิวเตอร์ที่มีการป้องกัน" ตามที่กำหนดไว้ใน18 USC  § 1030(e)(2 ) แม้ว่าจะมีการเสนอมาตรการอื่น ๆ มากมาย[208] [209] - ไม่มีใครประสบความสำเร็จ

ในปี 2013 ได้ มีการลงนาม คำสั่งผู้บริหาร 13636 Improving Critical Infrastructure Cybersecurityซึ่งกระตุ้นให้มีการสร้างNIST Cybersecurity Framework

เพื่อตอบสนองต่อการโจมตีของแรนซัมแวร์ Colonial Pipeline [210]ประธานาธิบดีโจ ไบเดนลงนามคำสั่งผู้บริหารที่ 14028 [211]เมื่อวันที่ 12 พฤษภาคม พ.ศ. 2564 เพื่อเพิ่มมาตรฐานความปลอดภัยซอฟต์แวร์สำหรับการขายให้กับรัฐบาล การตรวจจับและความปลอดภัยในระบบที่มีอยู่ให้เข้มงวดยิ่งขึ้น ปรับปรุงการแบ่งปันข้อมูลและ ฝึกอบรม จัดตั้งคณะกรรมการตรวจสอบความปลอดภัยทางไซเบอร์ และปรับปรุงการตอบสนองต่อเหตุการณ์

บริการทดสอบมาตรฐานของรัฐบาล

General Services Administration (GSA) มี[ เมื่อไร? ]กำหนดมาตรฐานบริการ "การทดสอบการรุก" เป็นบริการสนับสนุนที่ได้รับการตรวจสอบล่วงหน้า เพื่อจัดการกับช่องโหว่ที่อาจเกิดขึ้นอย่างรวดเร็ว และหยุดปฏิปักษ์ก่อนที่จะส่งผลกระทบต่อรัฐบาลกลาง มลรัฐ และรัฐบาลท้องถิ่นของสหรัฐฯ บริการเหล่านี้มักเรียกว่าบริการความปลอดภัยทางไซเบอร์ที่ปรับเปลี่ยนได้สูง (HACS)

เอเจนซี่

Department of Homeland Securityมีแผนกเฉพาะที่รับผิดชอบระบบการตอบสนอง โปรแกรม การจัดการความเสี่ยงและข้อกำหนดสำหรับการรักษาความปลอดภัยทางไซเบอร์ในสหรัฐอเมริกาที่เรียกว่าNational Cyber ​​Security Division [212] [213]แผนกนี้เป็นที่ตั้งของการดำเนินงานของ US-CERT และระบบเตือนภัยทางไซเบอร์แห่งชาติ [213]ศูนย์บูรณาการความปลอดภัยทางไซเบอร์และการสื่อสารแห่งชาติรวบรวมองค์กรภาครัฐที่รับผิดชอบในการปกป้องเครือข่ายคอมพิวเตอร์และโครงสร้างพื้นฐานเครือข่าย [214]

ลำดับความสำคัญที่สามของสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) คือ: "ปกป้องสหรัฐอเมริกาจากการโจมตีทางไซเบอร์และอาชญากรรมทางเทคโนโลยีขั้นสูง" [215]และพวกเขาพร้อมกับNational White Collar Crime Center (NW3C) และสำนักความช่วยเหลือด้านความยุติธรรม (BJA) เป็นส่วนหนึ่งของคณะทำงานเฉพาะกิจหลายหน่วยงาน นั่นคือศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ตหรือที่เรียกว่า IC3 [216]

นอกจากหน้าที่เฉพาะของตนเองแล้ว FBI ยังมีส่วนร่วมกับองค์กรไม่แสวงหาผลกำไรเช่นInfraGard [217] [218]

แผนกอาชญากรรมทางคอมพิวเตอร์และทรัพย์สินทางปัญญา (CCIPS) ดำเนินงานในแผนกคดีอาญาของกระทรวงยุติธรรมของสหรัฐอเมริกา CCIPS มีหน้าที่สืบสวนอาชญากรรมทางคอมพิวเตอร์และอาชญากรรมทางทรัพย์สินทางปัญญาและมีความเชี่ยวชาญในการค้นหาและยึดหลักฐานดิจิทัลในคอมพิวเตอร์และเครือข่าย [219]ในปี 2560 CCIPS ได้เผยแพร่กรอบงานสำหรับโปรแกรมการเปิดเผยช่องโหว่สำหรับระบบออนไลน์ เพื่อช่วยองค์กร "อธิบายการเปิดเผยช่องโหว่ที่ได้รับอนุญาตและการดำเนินการค้นพบได้อย่างชัดเจน ซึ่งจะช่วยลดโอกาสที่กิจกรรมที่อธิบายไว้ดังกล่าวจะส่งผลให้เกิดการละเมิดกฎหมายทางแพ่งหรือทางอาญาภายใต้คอมพิวเตอร์ พระราชบัญญัติการฉ้อโกงและการละเมิด (18 USC § 1030)" [220]

United States Cyber ​​Command หรือ ที่เรียกว่า USCYBERCOM "มีพันธกิจในการกำกับ ประสาน และประสานงานการวางแผนและปฏิบัติการด้านไซเบอร์สเปซ เพื่อปกป้องและพัฒนาผลประโยชน์ของชาติโดยร่วมมือกับพันธมิตรในประเทศและต่างประเทศ" [221]มันไม่มีบทบาทในการปกป้องเครือข่ายพลเรือน [222] [223]

บทบาทของคณะกรรมการกลางกำกับดูแลกิจการสื่อสารแห่ง สหรัฐอเมริกา (US Federal Communications Commission ) ในการรักษาความปลอดภัยทางไซเบอร์คือการเสริมสร้างการป้องกันโครงสร้างพื้นฐานด้านการสื่อสารที่สำคัญ เพื่อช่วยในการรักษาความน่าเชื่อถือของเครือข่ายระหว่างเกิดภัยพิบัติ เพื่อช่วยในการกู้คืนอย่างรวดเร็วหลังจากนั้น และเพื่อให้แน่ใจว่าผู้เผชิญเหตุครั้งแรกสามารถเข้าถึงบริการสื่อสารที่มีประสิทธิภาพ . [224]

สำนักงาน คณะกรรมการอาหารและยาได้ออกคำแนะนำสำหรับอุปกรณ์ทางการแพทย์[225]และสำนักงานความปลอดภัยการจราจรบนทางหลวงแห่งชาติ[226]เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ของยานยนต์ หลังจากถูกวิพากษ์วิจารณ์จากสำนักงานความรับผิดชอบ ของ รัฐบาล[227]และหลังจากประสบความสำเร็จในการโจมตีสนามบินและอ้างว่าโจมตีเครื่องบินการบริหารการบินแห่งชาติได้ทุ่มเทเงินทุนเพื่อรักษาความปลอดภัยระบบบนเครื่องบินของผู้ผลิตเอกชน และระบบ การระบุและการรายงานการสื่อสาร ของอากาศยาน [228]ยังมีความกังวลเกี่ยวกับระบบขนส่งทางอากาศ แห่งอนาคตอีกด้วย. [229]

ทีมงานเตรียมความพร้อมฉุกเฉินคอมพิวเตอร์

" ทีมรับมือเหตุฉุกเฉินของคอมพิวเตอร์ " เป็นชื่อที่มอบให้กับกลุ่มผู้เชี่ยวชาญที่จัดการเหตุการณ์ด้านความปลอดภัยของคอมพิวเตอร์ ในสหรัฐอเมริกา มีองค์กรที่แตกต่างกันสองแห่ง แม้ว่าจะทำงานร่วมกันอย่างใกล้ชิด

สงครามสมัยใหม่

มีความกังวลเพิ่มขึ้นว่าไซเบอร์สเปซจะกลายเป็นโรงละครแห่งสงครามต่อไป ดัง ที่ Mark Clayton จากThe Christian Science Monitorเขียนไว้ในบทความปี 2015 เรื่อง "The New Cyber ​​Arms Race":

ในอนาคต สงครามจะไม่เพียงแค่ต่อสู้กับทหารด้วยปืนหรือเครื่องบินที่ทิ้งระเบิด พวกเขายังจะต่อสู้ด้วยการคลิกเมาส์ในอีกครึ่งโลกที่ปล่อยโปรแกรมคอมพิวเตอร์ที่มีอาวุธอย่างระมัดระวัง ซึ่งจะทำลายหรือทำลายอุตสาหกรรมที่สำคัญ เช่น สาธารณูปโภค การคมนาคมขนส่ง การสื่อสาร และพลังงาน การโจมตีดังกล่าวอาจทำให้เครือข่ายทางทหารปิดการทำงานที่ควบคุมการเคลื่อนไหวของกองทหาร เส้นทางของเครื่องบินขับไล่ไอพ่น การบังคับบัญชาและการควบคุมเรือรบ [231]

สิ่งนี้นำไปสู่ข้อกำหนดใหม่ เช่นสงครามไซเบอร์และ การ ก่อการร้ายทางอินเทอร์เน็ต United States Cyber ​​Command ถูกสร้างขึ้นใน ปี2009 [232]และอีกหลายประเทศก็มีกองกำลังที่คล้ายกัน

มีเสียงวิจารณ์บางส่วนที่ตั้งคำถามว่าการรักษาความปลอดภัยทางไซเบอร์เป็นภัยคุกคามที่มีนัยสำคัญพอๆ กับที่เป็นจริงหรือไม่ [233] [234] [235]

อาชีพ

การรักษาความปลอดภัยทางไซเบอร์เป็นสาขาไอที ที่เติบโตอย่างรวดเร็วซึ่ง เกี่ยวข้องกับการลดความเสี่ยงขององค์กรจากการถูกแฮ็กหรือการรั่วไหลของข้อมูล [236]จากการวิจัยของ Enterprise Strategy Group 46% ระบุว่าพวกเขามี "ปัญหาการขาดแคลน" ด้านทักษะการรักษาความปลอดภัยทางไซเบอร์ในปี 2559 เพิ่มขึ้นจาก 28% ในปี 2558 [237]องค์กรการค้า ภาครัฐ และเอกชนทั้งหมด จ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ความต้องการพนักงานรักษาความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นเร็วที่สุดนั้นอยู่ในอุตสาหกรรมที่จัดการปริมาณข้อมูลผู้บริโภคที่เพิ่มขึ้น เช่น การเงิน การดูแลสุขภาพ และการค้าปลีก [238]อย่างไรก็ตาม การใช้คำว่า "ความมั่นคงปลอดภัยทางไซเบอร์" เป็นที่แพร่หลายมากขึ้นในรายละเอียดงานของรัฐบาล [239]

ตำแหน่งงานและคำอธิบายด้านความปลอดภัยทางไซเบอร์โดยทั่วไป ได้แก่: [240]

นักวิเคราะห์ความปลอดภัย

วิเคราะห์และประเมินช่องโหว่ในโครงสร้างพื้นฐาน (ซอฟต์แวร์ ฮาร์ดแวร์ เครือข่าย) ตรวจสอบโดยใช้เครื่องมือที่มีอยู่และมาตรการแก้ไขเพื่อแก้ไขจุดอ่อนที่ตรวจพบ และแนะนำโซลูชันและแนวทางปฏิบัติที่ดีที่สุด วิเคราะห์และประเมินความเสียหายต่อข้อมูล/โครงสร้างพื้นฐานอันเป็นผลมาจากเหตุการณ์ด้านความปลอดภัย ตรวจสอบเครื่องมือและกระบวนการกู้คืนที่มีอยู่ และแนะนำวิธีแก้ปัญหา การทดสอบการปฏิบัติตามนโยบายและขั้นตอนความปลอดภัย อาจช่วยในการสร้าง ใช้งาน หรือจัดการโซลูชั่นด้านความปลอดภัย

วิศวกรรักษาความปลอดภัย

ดำเนินการตรวจสอบความปลอดภัย ความปลอดภัยและการวิเคราะห์ข้อมูล/บันทึก และการวิเคราะห์ทางนิติวิทยาศาสตร์ เพื่อตรวจจับเหตุการณ์ด้านความปลอดภัย และติดตั้งการตอบสนองต่อเหตุการณ์ ตรวจสอบและใช้เทคโนโลยีและกระบวนการใหม่ๆ เพื่อเพิ่มขีดความสามารถด้านความปลอดภัยและดำเนินการปรับปรุง อาจตรวจสอบโค้ดหรือดำเนินการตามวิธีวิศวกรรมความปลอดภัย อื่นๆ

สถาปนิกด้านความปลอดภัย

ออกแบบระบบรักษาความปลอดภัยหรือส่วนประกอบหลักของระบบรักษาความปลอดภัย และอาจเป็นผู้นำทีมออกแบบความปลอดภัยในการสร้างระบบรักษาความปลอดภัยใหม่ [241]

เจ้าหน้าที่รักษาความปลอดภัย

ติดตั้งและจัดการระบบรักษาความปลอดภัยทั่วทั้งองค์กร ตำแหน่งนี้อาจรวมถึงการทำงานบางอย่างของนักวิเคราะห์ความปลอดภัยในองค์กรขนาดเล็ก [242]

หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO)

ตำแหน่งผู้บริหารระดับสูงที่รับผิดชอบแผนก/เจ้าหน้าที่รักษาความปลอดภัยข้อมูลทั้งหมด ตำแหน่งอาจรวมถึงงานด้านเทคนิคที่ลงมือปฏิบัติ [243]

หัวหน้าเจ้าหน้าที่รักษาความปลอดภัย (CSO)

ตำแหน่งผู้บริหารระดับสูงที่รับผิดชอบแผนก/พนักงานรักษาความปลอดภัยทั้งหมด ตอนนี้ถือว่าจำเป็นต้องมีตำแหน่งใหม่เมื่อความเสี่ยงด้านความปลอดภัยเพิ่มขึ้น

เจ้าหน้าที่คุ้มครองข้อมูล (อ.ส.ค.)

DPO มีหน้าที่ตรวจสอบการปฏิบัติตามกฎหมาย GDPR ของสหราชอาณาจักรและกฎหมายคุ้มครองข้อมูลอื่นๆ นโยบายการปกป้องข้อมูลของเรา การเพิ่มความตระหนักรู้ การฝึกอบรม และการตรวจสอบ [244] [245]

ที่ปรึกษาด้านความปลอดภัย/ผู้เชี่ยวชาญ/ข่าวกรอง

ชื่อแบบกว้าง ๆ ที่ครอบคลุมบทบาทหรือชื่ออื่นใดหรือทั้งหมดที่ได้รับมอบหมายให้ปกป้องคอมพิวเตอร์ เครือข่าย ซอฟต์แวร์ ข้อมูลหรือระบบสารสนเทศจากไวรัส เวิร์ม สปายแวร์ มัลแวร์ การตรวจจับการบุกรุก การเข้าถึงโดยไม่ได้รับอนุญาต การโจมตีแบบปฏิเสธบริการ และ รายการการโจมตีที่เพิ่มขึ้นเรื่อย ๆ โดยแฮ็กเกอร์ที่ทำหน้าที่เป็นบุคคลหรือเป็นส่วนหนึ่งขององค์กรอาชญากรรมหรือรัฐบาลต่างประเทศ

นอกจากนี้ยังมีโปรแกรมนักศึกษาสำหรับผู้ที่สนใจเริ่มต้นอาชีพด้านความปลอดภัยในโลกไซเบอร์ [246] [247]ในขณะเดียวกัน ตัวเลือกที่ยืดหยุ่นและมีประสิทธิภาพสำหรับ มืออาชีพด้านการ รักษาความปลอดภัยข้อมูลทุกระดับประสบการณ์ในการศึกษาต่อคือการฝึกอบรมด้านความปลอดภัยออนไลน์ รวมถึงเว็บคาสต์ [248] [249]นอกจากนี้ยังมีหลักสูตรที่ผ่านการรับรองมากมาย [250]

ในสหราชอาณาจักร ฟอรัมความปลอดภัยทางไซเบอร์ระดับประเทศที่เรียกว่าUK Cyber ​​Security Forumได้รับการจัดตั้งขึ้นโดยได้รับการสนับสนุนจากกลยุทธ์ความปลอดภัยทางไซเบอร์ของรัฐบาล[251]เพื่อส่งเสริมการเริ่มต้นและนวัตกรรมและเพื่อจัดการกับช่องว่างทักษะ[252] ที่ ระบุ โดยรัฐบาลสหราชอาณาจักร

ในสิงคโปร์Cyber ​​Security Agencyได้ออก Singapore Operational Technology (OT) Cybersecurity Competency Framework (OTCCF) กรอบนี้กำหนดบทบาทความปลอดภัยทางไซเบอร์ที่เกิดขึ้นใหม่ในเทคโนโลยีการปฏิบัติงาน OTCCF ได้รับการรับรองโดยInfocomm Media Development Authority (IMDA) โดยจะสรุปตำแหน่งงานด้านความปลอดภัยทางไซเบอร์ของ OT ต่างๆ ตลอดจนทักษะทางเทคนิคและความสามารถหลักที่จำเป็น นอกจากนี้ยังแสดงให้เห็นเส้นทางอาชีพที่มีอยู่มากมาย รวมถึงโอกาสในการก้าวหน้าในแนวดิ่งและด้านข้าง [253]

ศัพท์เฉพาะ

คำศัพท์ต่อไปนี้ที่ใช้เกี่ยวกับความปลอดภัยของคอมพิวเตอร์ได้อธิบายไว้ด้านล่าง:

  • การ อนุญาตการเข้าถึงจำกัดการเข้าถึงคอมพิวเตอร์ให้กับกลุ่มผู้ใช้ผ่านการใช้ระบบการตรวจสอบสิทธิ์ ระบบเหล่านี้สามารถปกป้องคอมพิวเตอร์ทั้งเครื่องได้ เช่น ผ่าน หน้าจอ เข้าสู่ระบบ แบบโต้ตอบ หรือบริการส่วนบุคคล เช่นเซิร์ฟเวอร์FTP มีหลายวิธีในการระบุและรับรองความถูกต้องของผู้ใช้ เช่นรหัสผ่านบัตรประจำตัว สมา ร์ทการ์ดและระบบไบโอเมตริกซ์
  • ซอฟต์แวร์ป้องกันไวรัสประกอบด้วยโปรแกรมคอมพิวเตอร์ที่พยายามระบุ ขัดขวาง และกำจัดไวรัสคอมพิวเตอร์และซอฟต์แวร์ที่เป็นอันตรายอื่นๆ ( มัลแวร์ )
  • แอปพลิเคชันเป็นโค้ด ที่เรียกใช้ งานได้ ดังนั้นแนวทางปฏิบัติทั่วไปคือการไม่อนุญาตให้ผู้ใช้ติดตั้งโปรแกรมได้ เพื่อติดตั้งเฉพาะสิ่งที่เป็นที่รู้จัก และเพื่อลดพื้นผิวการโจมตีโดยการติดตั้งให้น้อยที่สุด โดยทั่วไปแล้วจะเรียกใช้โดยมีสิทธิ์น้อยที่สุดโดยมีกระบวนการที่แข็งแกร่งในการระบุ ทดสอบ และติดตั้ง แพต ช์ความปลอดภัยหรือการอัปเดตที่ออกสำหรับพวกเขา
  • เทคนิคการ พิสูจน์ตัวตนสามารถใช้เพื่อให้แน่ใจว่าปลายทางการสื่อสารคือสิ่งที่พวกเขากล่าวว่าเป็น
  • สามารถใช้ การพิสูจน์ทฤษฎีบทอัตโนมัติและเครื่องมือตรวจสอบอื่น ๆ เพื่อให้อัลกอริทึมและรหัสที่สำคัญที่ใช้ในระบบรักษาความปลอดภัยได้รับการพิสูจน์ทางคณิตศาสตร์ว่าตรงตามข้อกำหนด
  • ข้อมูลสำรองคือสำเนาอย่างน้อยหนึ่งชุดที่เก็บไฟล์คอมพิวเตอร์ที่สำคัญ โดยปกติ สำเนาหลายชุดจะถูกเก็บไว้ที่สถานที่ต่างกัน ดังนั้นหากสำเนาถูกขโมยหรือเสียหาย สำเนาอื่นๆ จะยังคงอยู่
  • สามารถ ใช้เทคนิคความสามารถ และรายการควบคุมการเข้าถึงเพื่อให้แน่ใจว่ามีการแยกสิทธิ์และการควบคุมการเข้าถึงที่จำเป็น ความสามารถเทียบกับ ACLกล่าวถึงการใช้งาน
  • เทคนิค ห่วงโซ่ความไว้วางใจสามารถใช้เพื่อพยายามทำให้แน่ใจว่าซอฟต์แวร์ที่โหลดทั้งหมดได้รับการรับรองว่าเป็นของแท้โดยผู้ออกแบบระบบ
  • การ รักษาความลับคือการไม่เปิดเผยข้อมูล ยกเว้นกับผู้มีอำนาจอื่น [254]
  • เทคนิคการ เข้ารหัสสามารถใช้เพื่อปกป้องข้อมูลที่อยู่ระหว่างการส่งผ่านระหว่างระบบ ลดความน่าจะเป็นที่การแลกเปลี่ยนข้อมูลระหว่างระบบสามารถสกัดกั้นหรือแก้ไขได้
  • สงครามไซเบอร์เป็นความขัดแย้งทางอินเทอร์เน็ตที่เกี่ยวข้องกับการโจมตีที่มีแรงจูงใจทางการเมืองต่อระบบข้อมูลและสารสนเทศ การโจมตีดังกล่าวสามารถปิดการใช้งานเว็บไซต์และเครือข่ายอย่างเป็นทางการ ขัดขวางหรือปิดใช้งานบริการที่จำเป็น ขโมยหรือแก้ไขข้อมูลที่เป็นความลับ และทำให้ระบบการเงินเสียหาย
  • ความสมบูรณ์ของข้อมูลคือความถูกต้องและความสม่ำเสมอของข้อมูลที่จัดเก็บ โดยบ่งชี้ว่าไม่มีการเปลี่ยนแปลงใดๆ ในข้อมูลระหว่างการอัปเดตบันทึกข้อมูลสองครั้ง [255]
เทคนิคการ เข้ารหัสลับเกี่ยวข้องกับการแปลงข้อมูล การรบกวนข้อมูล ดังนั้นจึงไม่สามารถอ่านได้ในระหว่างการส่ง ผู้รับที่ต้องการสามารถถอดรหัสข้อความได้ ตามหลักการแล้วผู้ดักฟังไม่สามารถทำได้
  • การ เข้ารหัสใช้เพื่อปกป้องความลับของข้อความ การ เข้ารหัส ที่ ปลอดภัย ด้วยการ เข้ารหัส ได้ รับการออกแบบมาเพื่อให้ความพยายามในทางปฏิบัติในการทำลายมันเป็นไปไม่ได้ รหัสสมมาตรคีย์เหมาะสำหรับการเข้ารหัสจำนวนมากโดยใช้คีย์ที่ใช้ร่วมกันและการเข้ารหัสคีย์สาธารณะโดยใช้ใบรับรองดิจิทัลสามารถให้โซลูชันที่ใช้งานได้จริงสำหรับปัญหาในการสื่อสารอย่างปลอดภัยเมื่อไม่มีการแชร์คีย์ล่วงหน้า
  • ซอฟต์แวร์ รักษาความปลอดภัยปลายทางช่วยเครือข่ายในการป้องกันการติดเชื้อมัลแวร์และการโจรกรรมข้อมูลที่จุดเข้าใช้งานเครือข่าย ซึ่งทำให้อุปกรณ์ที่อาจติดไวรัสมีช่องโหว่ เช่น แล็ปท็อป อุปกรณ์พกพา และไดรฟ์ USB [256]
  • ไฟร์วอลล์ทำหน้าที่เป็นระบบเฝ้าประตูระหว่างเครือข่าย อนุญาตเฉพาะการรับส่งข้อมูลที่ตรงกับกฎที่กำหนดไว้เท่านั้น มักจะมีการบันทึก โดยละเอียด และอาจรวมถึงคุณสมบัติการตรวจจับการ บุกรุก และ การ ป้องกัน การบุกรุก พวกมันเกือบจะเป็นสากลระหว่างเครือข่ายท้องถิ่น ของบริษัท และอินเทอร์เน็ต แต่ยังสามารถใช้ภายในเพื่อกำหนดกฎการรับส่งข้อมูลระหว่างเครือข่ายหากมีการกำหนดค่าการแบ่งส่วนเครือข่าย
  • แฮ็กเกอร์คือบุคคลที่พยายามฝ่าฝืนการป้องกันและหาประโยชน์จากจุดอ่อนในระบบคอมพิวเตอร์หรือเครือข่าย
  • หม้อน้ำผึ้งคือคอมพิวเตอร์ที่ตั้งใจปล่อยให้แครกเกอร์โจมตี สามารถใช้จับแครกเกอร์และระบุเทคนิคได้
  • ระบบตรวจจับการบุกรุกเป็นอุปกรณ์หรือแอปพลิเคชันซอฟต์แวร์ที่ตรวจสอบเครือข่ายหรือระบบเพื่อหากิจกรรมที่เป็นอันตรายหรือการละเมิดนโยบาย
  • ไมโครเคอร์เนลเป็นแนวทางในการออกแบบระบบปฏิบัติการซึ่งมีจำนวนโค้ดขั้นต่ำที่ใกล้เคียงที่สุดเท่านั้นที่ทำงานในระดับสิทธิพิเศษสูงสุด และรันองค์ประกอบอื่นๆ ของระบบปฏิบัติการ เช่น ไดรเวอร์อุปกรณ์ สแต็คโปรโตคอล และระบบไฟล์ ในที่ปลอดภัยกว่า น้อยกว่าพื้นที่ผู้ใช้ที่มีสิทธิพิเศษ
  • ปิง. แอปพลิเคชัน "ping" มาตรฐานสามารถใช้เพื่อทดสอบว่ามีการใช้ที่อยู่ IP หรือไม่ หากเป็นเช่นนั้น ผู้โจมตีอาจลองสแกนพอร์ตเพื่อตรวจสอบว่าบริการใดถูกเปิดเผย
  • การสแกนพอร์ตจะใช้เพื่อตรวจสอบที่อยู่ IP สำหรับพอร์ตที่เปิดอยู่เพื่อระบุบริการเครือข่ายและแอปพลิเคชันที่สามารถเข้าถึงได้
  • ตัวบันทึกคีย์คือสปายแวร์ที่ดักจับและจัดเก็บการกดแป้นแต่ละครั้งที่ผู้ใช้พิมพ์บนแป้นพิมพ์ของคอมพิวเตอร์อย่างเงียบๆ
  • วิศวกรรมสังคมคือการใช้การหลอกลวงเพื่อจัดการกับบุคคลให้ละเมิดความปลอดภัย
  • Logic Bombsเป็นมัลแวร์ประเภทหนึ่งที่เพิ่มลงในโปรแกรมที่ถูกต้องตามกฎหมายซึ่งอยู่เฉยๆ จนกว่าจะถูกทริกเกอร์โดยเหตุการณ์เฉพาะ
  • การรักษาความปลอดภัยเป็นศูนย์หมายความว่าไม่มีใครเชื่อถือโดยค่าเริ่มต้นจากภายในหรือภายนอกเครือข่าย และจำเป็นต้องมีการตรวจสอบจากทุกคนที่พยายามเข้าถึงทรัพยากรบนเครือข่าย

นักวิชาการที่มีชื่อเสียง

ดูเพิ่มเติม

อ้างอิง

  1. ชัทซ์ ดาเนียล; แบชรุส, ราบีห์; วอลล์, จูลี่ (2017). "มุ่งสู่คำจำกัดความของการรักษาความปลอดภัยทางไซเบอร์ที่เป็นตัวแทนมากขึ้น" . วารสารนิติดิจิทัล ความปลอดภัย และกฎหมาย 12 (2). ISSN  1558-7215 .
  2. ^ "Reliance คาถา end of road for ICT amateurs" , 7 พฤษภาคม 2013, The Australian
  3. เคียนปูร์, มาซาเฮอร์; โควาลสกี้, สจ๊วต; Øverby, ฮารัลด์ (2021). "การทำความเข้าใจเศรษฐศาสตร์ความปลอดภัยทางไซเบอร์อย่างเป็นระบบ: การสำรวจ" . ความยั่งยืน 13 (24): 13677. ดอย : 10.3390/su132413677 .
  4. สตีเวนส์, ทิม (11 มิถุนายน 2018). "ความปลอดภัยทางไซเบอร์ระดับโลก: ทิศทางใหม่ในทฤษฎีและวิธีการ" (PDF ) การเมืองและการปกครอง . 6 (2): 1-4. ดอย : 10.17645/pag.v6i2.1569 .
  5. ^ a b Misa, Thomas J. (2016). "วาทกรรมความปลอดภัยคอมพิวเตอร์ที่ RAND, SDC และ NSA (1958-1970)" . พงศาวดาร IEEE ของประวัติศาสตร์คอมพิวเตอร์ 38 (4): 12–25. ดอย : 10.1109/MAHC.2016.48 . S2CID 17609542 . 
  6. ↑ AJ Neumann, N. Statland และ RD Webb (1977) "เครื่องมือและเทคนิคการตรวจสอบหลังการประมวลผล" (PDF) . กระทรวงพาณิชย์สหรัฐ สำนักงานมาตรฐานแห่งชาติ หน้า 11-3–111-4
  7. ^ เออร์วิน ลุค (5 เมษายน 2018) "วิธีที่ NIST สามารถปกป้อง CIA Triad รวมถึง 'I' - ความซื่อสัตย์" ที่มักถูกมองข้าม สืบค้นเมื่อ16 มกราคม 2021 .
  8. ^ Perrin, ชาด (30 มิถุนายน 2551). "กลุ่มซีไอเอ" . สืบค้นเมื่อ31 พฤษภาคม 2555 .
  9. ^ สโตนเบิร์นเนอร์ จี.; เฮย์เดน, C.; Feringa, A. (2004). "หลักวิศวกรรมเพื่อความปลอดภัยของเทคโนโลยีสารสนเทศ" (PDF) . csrc.nist.gov. ดอย : 10.6028/NIST.SP.800-27rA . {{cite journal}}: Cite journal requires |journal= (help)
  10. ^ Yost, Jeffrey R. (เมษายน 2015). "ต้นกำเนิดและประวัติศาสตร์ช่วงต้นของอุตสาหกรรมผลิตภัณฑ์ซอฟต์แวร์รักษาความปลอดภัยคอมพิวเตอร์" . พงศาวดาร IEEE ของประวัติศาสตร์คอมพิวเตอร์ 37 (2): 46–58. ดอย : 10.1109/MAHC.2015.21 . ISSN 1934-1547 . S2CID 18929482 .  
  11. เอลเลน นากาชิมะ (26 มกราคม 2551) "คำสั่งพุ่มไม้ขยายการตรวจสอบเครือข่าย: หน่วยข่าวกรองเพื่อติดตามการบุกรุก " เดอะวอชิงตันโพสต์. สืบค้นเมื่อ8 กุมภาพันธ์ 2021 .
  12. ↑ a b c Nicole Perlroth (7 กุมภาพันธ์ พ.ศ. 2564) "สหรัฐฯ แพ้แฮ็กเกอร์อย่างไร" . เดอะนิวยอร์กไทม์ส . เก็บ ถาวรจากต้นฉบับเมื่อ 28 ธันวาคม 2564 สืบค้นเมื่อ9 กุมภาพันธ์ 2021 .
  13. ^ "ความท้าทายด้านความปลอดภัยคอมพิวเตอร์และมือถือ" . Researchgate.net . 3 ธันวาคม 2558 เก็บถาวรจากต้นฉบับเมื่อ 12 ตุลาคม 2559 . สืบค้นเมื่อ4 สิงหาคม 2559 .
  14. ^ "กิทรา" .
  15. ^ "Syzbot: Google คอยดักฟังเคอร์เนล Linux อย่างต่อเนื่อง "
  16. ^ "การปฏิเสธการให้บริการแบบกระจาย" . csa.gov.sg _ เก็บถาวรจากต้นฉบับเมื่อ 6 สิงหาคม 2016 . สืบค้นเมื่อ12 พฤศจิกายน 2557 .
  17. ^ "การโจมตีแบบ Multi-Vector ต้องการการป้องกันแบบ Multi-Vector " การแจ้ง เตือนMSSP 24 กรกฎาคม 2561.
  18. มิลล์แมน, เรนี (15 ธันวาคม 2017). "มัลแวร์ polymorphic ใหม่ หลบเลี่ยงเครื่องสแกน AV ถึงสามในสี่ " นิตยสาร SC สหราชอาณาจักร
  19. ^ "การระบุความพยายามในการฟิชชิ่ง" . กรณี. เก็บถาวรจากต้นฉบับเมื่อ 13 กันยายน 2558 . สืบค้นเมื่อ4 กรกฎาคม 2559 .
  20. ^ "ฟิชเชอร์ส่งใบแจ้งหนี้ปลอม" . ข้อมูล ผู้บริโภค 23 กุมภาพันธ์ 2561 . สืบค้นเมื่อ17 กุมภาพันธ์ 2020 .
  21. ^ ไอแลม, เอลแดด (2005). การย้อนกลับ: ความลับของวิศวกรรมย้อนกลับ จอห์น ไวลีย์ แอนด์ ซันส์. ISBN 978-0-7645-7481-8.
  22. อาร์กอส เซร์คิโอ. "วิศวกรรมสังคม" (PDF) . เก็บถาวร(PDF)จากต้นฉบับเมื่อ 3 ธันวาคม 2556
  23. ^ Scannell, Kara (24 กุมภาพันธ์ 2559). "การหลอกลวงทางอีเมลของ CEO มีค่าใช้จ่าย 2 พันล้านดอลลาร์ " ไฟแนน เชียลไทม์ . ฉบับที่ 25 กุมภาพันธ์ 2559 เก็บถาวรจากต้นฉบับเมื่อ 23 มิถุนายน 2559 . สืบค้นเมื่อ7 พฤษภาคม 2559 .
  24. ^ "บัคส์รั่วข้อมูลภาษีของผู้เล่น พนักงาน อันเป็นผลมาจากอีเมลหลอกลวง" . ข่าวที่เกี่ยวข้อง. 20 พ.ค. 2559. เก็บข้อมูลจากต้นฉบับเมื่อ 20 พ.ค. 2559 . สืบค้นเมื่อ20 พฤษภาคม 2559 .
  25. ^ "การปลอมแปลงคืออะไร? – คำจำกัดความจาก Techopedia" . เก็บถาวรจากต้นฉบับเมื่อ 30 มิถุนายน 2559
  26. ^ บัตเตอร์ฟิลด์ แอนดรูว์; กอนดี, เจอราร์ด เอเคมเบ, สหพันธ์. (21 มกราคม 2559). การปลอมแปลง อ็อกซ์ฟอร์ดอ้างอิง สำนักพิมพ์มหาวิทยาลัยอ็อกซ์ฟอร์ด. ดอย : 10.1093/เอเคอร์/9780199688975.001.0001 . ISBN 9780199688975. สืบค้นเมื่อ8 ตุลาคม 2017 .
  27. มาร์เซล เซบาสเตียน; นิกสัน, มาร์ค; ลี, สแตน, สหพันธ์. (2014). คู่มือการต่อต้านการปลอมแปลงด้วยไบโอเมตริกซ์: ไบโอเมตริกที่เชื่อถือได้ภายใต้การโจมตีด้วย การปลอมแปลง ความก้าวหน้าทางคอมพิวเตอร์วิทัศน์และการจดจำรูปแบบ ลอนดอน: สปริงเกอร์. ดอย : 10.1007/978-1-4471-6524-8 . ISBN 978-1-4471-6524-8. ISSN  2191-6594 ​​. LCCN  2014942635 . S2CID  27594864 .
  28. ^ กัลลาเกอร์, ฌอน (14 พฤษภาคม 2014). "รูปภาพของโรงงาน "อัปเกรด" ของ NSA แสดงว่าเราเตอร์ของ Cisco ได้รับการฝัง " อาส เทคนิค . เก็บถาวรจากต้นฉบับเมื่อ 4 สิงหาคม 2014 . สืบค้นเมื่อ3 สิงหาคม 2014 .
  29. ^ Bendovschi, Andreea (2015). "การโจมตีทางไซเบอร์ – แนวโน้ม รูปแบบ และมาตรการรับมือด้านความปลอดภัย " Procedia เศรษฐศาสตร์และการเงิน 28 : 24–31. ดอย : 10.1016/S2212-5671(15)01077-1 .
  30. ^ Lim, Joo S. และคณะ "การสำรวจความสัมพันธ์ระหว่างวัฒนธรรมองค์กรและวัฒนธรรมความมั่นคงของข้อมูล" การประชุมการจัดการความปลอดภัยของข้อมูลของออสเตรเลีย
  31. ^ K. Reimers, D. Andersson (2017) การรักษาความปลอดภัยเครือข่ายหลังการศึกษาระดับมัธยมศึกษาตอนปลาย: ความท้าทายของผู้ใช้ปลายทาง และการพัฒนาภัยคุกคาม , ICERI2017 Proceedings, pp. 1787-1796.
  32. ^ "รายงานการตรวจสอบการละเมิดข้อมูลของ Verizon ปี 2020" (PDF ) เวริ ซอน .
  33. อรรถเป็น c ชเลียนเกอร์ โธมัส; ทอยเฟล, สเตฟานี (2003). "วัฒนธรรมความมั่นคงสารสนเทศ-จากการวิเคราะห์สู่การเปลี่ยนแปลง" วารสารคอมพิวเตอร์แอฟริกาใต้ . 31 : 46–52.
  34. ^ Lin, Tom CW (3 กรกฎาคม 2017). "การจัดการตลาดใหม่". วารสารกฎหมายเอมอรี . 66 : 1253. SSRN 2996896 . 
  35. ^ หลิน, ทอม ซีดับเบิลยู (2016). "อาวุธสงครามการเงิน". ทบทวน กฎหมายมินนิโซตา SSRN 2765010 . 
  36. ^ Pagliery, Jose (18 พฤศจิกายน 2014). "แฮกเกอร์โจมตีโครงข่ายพลังงานสหรัฐ 79 ครั้งในปีนี้ " เงินซีเอ็นเอ็น . เครือข่ายข่าวเคเบิล เก็บข้อมูลจากต้นฉบับเมื่อ 18 กุมภาพันธ์ 2015 . สืบค้นเมื่อ16 เมษายน 2558 .
  37. PG Neumann, "Computer Security in Aviation" นำเสนอในการประชุมระหว่างประเทศว่าด้วยความปลอดภัยและความมั่นคงในการบินในศตวรรษที่ 21, White House Commission on Safety and Security, 1997
  38. เจ. เซลแลน, ความมั่นคงด้านการบิน. Hauppauge, NY: Nova Science, 2003, หน้า 65–70
  39. ^ "ช่องโหว่ของระบบการควบคุมการจราจรทางอากาศสามารถทำให้เกิดท้องฟ้าที่ไม่เป็นมิตร [Black Hat] - SecurityWeek.Com " เก็บข้อมูลจากต้นฉบับเมื่อ 8 กุมภาพันธ์ 2015.
  40. ^ "แฮ็กเกอร์บอกว่าเขาสามารถเจาะระบบเครื่องบินได้โดยใช้ Wi-Fi บนเครื่องบิน " เอ็นพีอา ร์. org 4 สิงหาคม 2557 เก็บถาวรจากต้นฉบับเมื่อ 8 กุมภาพันธ์ 2558
  41. ^ จิม ฟิงเคิล (4 สิงหาคม 2557). “แฮ็กเกอร์บอกให้โชว์เครื่องบินโดยสารเสี่ยงโดนโจมตีทางไซเบอร์” . สำนักข่าวรอยเตอร์ เก็บจากต้นฉบับเมื่อ 13 ตุลาคม 2558
  42. ^ "บริการเครือข่ายแพน-ยุโรป (PENS) - Eurocontrol.int" . เก็บจากต้นฉบับเมื่อ 12 ธันวาคม 2559
  43. ^ "บริการจากส่วนกลาง: NewPENS ก้าวไปข้างหน้า - Eurocontrol.int " 17 มกราคม 2559 เก็บถาวรจากต้นฉบับเมื่อ 19 มีนาคม 2560
  44. ^ "การสื่อสารข้อมูล NextGen" . เอฟเอเอ เก็บถาวรจากต้นฉบับเมื่อ 13 มีนาคม 2558 . สืบค้นเมื่อ15 มิถุนายน 2560 .
  45. อรรถเป็น "นาฬิกาหรือเทอร์โมสตัทของคุณเป็นสายลับหรือไม่ บริษัทรักษาความปลอดภัยทางไซเบอร์กำลังดำเนินการอยู่ " เอ็นพีอา ร์. org 6 สิงหาคม 2557 เก็บถาวรจากต้นฉบับเมื่อ 11 กุมภาพันธ์ 2558
  46. เมลวิน แบ็คแมน (18 กันยายน 2014). โฮมดีโป โดนแฮ็คการ์ด 56 ล้านใบ ซีเอ็นเอ็นมันนี่ เก็บจากต้นฉบับเมื่อ 18 ธันวาคม 2014
  47. ^ "ลวดเย็บกระดาษ: การละเมิดอาจส่งผลกระทบต่อบัตร ของลูกค้า 1.16 ล้านใบ" ฟอร์จูน . คอม 19 ธันวาคม 2557. เก็บข้อมูลจากต้นฉบับเมื่อ 21 ธันวาคม 2557 . สืบค้นเมื่อ21 ธันวาคม 2557 .
  48. ^ เจ้าหน้าที่ CNNMoney (19 ธันวาคม 2556). "เป้าหมาย: บัตรเครดิต 40 ล้าน ถูกบุกรุก" . ซีเอ็นเอ็น . เก็บถาวรจากต้นฉบับเมื่อ 1 ธันวาคม 2017 . สืบค้นเมื่อ29 พฤศจิกายน 2560 .
  49. คาวลีย์, สเตซี่ (2 ตุลาคม 2017). "มีคนอีก 2.5 ล้านคนที่อาจถูกเปิดเผยในการละเมิด Equifax " เดอะนิวยอร์กไทม์ส . เก็บถาวรจากต้นฉบับเมื่อ 1 ธันวาคม 2017 . สืบค้นเมื่อ29 พฤศจิกายน 2560 .
  50. ^ จิม ฟิงเคิล (23 เมษายน 2557). "พิเศษ: FBI เตือนภาคการดูแลสุขภาพเสี่ยงต่อการโจมตีทางไซเบอร์ " สำนักข่าวรอยเตอร์ เก็บถาวรจากต้นฉบับเมื่อ 4 มิถุนายน 2559 . สืบค้นเมื่อ23 พฤษภาคม 2559 .
  51. ^ ซีล ธารา (6 พฤศจิกายน 2558). "การขาดการฝึกอบรมด้านความปลอดภัยของพนักงานทำให้เกิดภัยพิบัติต่อธุรกิจในสหรัฐฯ" . นิตยสารอิน โฟเซฟตี้ เก็บถาวรจากต้นฉบับเมื่อ 9 พฤศจิกายน 2017 . สืบค้นเมื่อ8 พฤศจิกายน 2560 .
  52. ^ ไบรท์ ปีเตอร์ (15 กุมภาพันธ์ 2554). "Anonymous speaks: เรื่องในของแฮ็ค HBGary" . Arstechnica.com เก็บถาวรจากต้นฉบับเมื่อ 27 มีนาคม 2554 . สืบค้นเมื่อ29 มีนาคม 2011 .
  53. แอนเดอร์สัน, เนท (9 กุมภาพันธ์ 2554). "ชายคนหนึ่งติดตามผู้ไม่ประสงค์ออกนามได้อย่างไร - และจ่ายราคาหนัก" . Arstechnica.com เก็บถาวรจากต้นฉบับเมื่อ 29 มีนาคม 2554 . สืบค้นเมื่อ29 มีนาคม 2011 .
  54. ↑ Pailery , Jose (24 ธันวาคม 2014). "สิ่งที่ทำให้ Sony แฮ็ค: สิ่งที่เรารู้ตอนนี้" . เงินซีเอ็นเอ็น . เก็บถาวรจากต้นฉบับเมื่อ 4 มกราคม 2015 . สืบค้นเมื่อ4 มกราคม 2558 .
  55. ^ เจมส์ คุก (16 ธันวาคม 2557). "แฮกเกอร์ Sony มีเอกสารมากกว่า 100 เทราไบต์ เผยแพร่เพียง 200 กิกะไบต์จนถึงตอนนี้ " ธุรกิจภายใน . เก็บถาวรจากต้นฉบับเมื่อ 17 ธันวาคม 2557 . สืบค้นเมื่อ18 ธันวาคม 2557 .
  56. อรรถa b ทิโมธี บี. ลี (18 มกราคม 2015). "ด่านต่อไปของการแฮ็ก: รถของคุณ" . วอกซ์ . เก็บถาวรจากต้นฉบับเมื่อ 17 มีนาคม 2017
  57. ^ การติดตามและการแฮ็ก: ช่องว่างด้านความปลอดภัยและความเป็นส่วนตัวทำให้ไดรเวอร์ของอเมริกาตกอยู่ในความเสี่ยง(PDF) (รายงาน) 6 กุมภาพันธ์ 2558 เก็บถาวร(PDF)จากต้นฉบับเมื่อ 9 พฤศจิกายน 2559 . สืบค้นเมื่อ4 พฤศจิกายน 2559 .
  58. ^ เจ้าหน้าที่ สอท. "ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ : ต้องใช้ 'งานสำคัญ' ให้บริษัทดำเนินการเรื่องนี้อย่างจริงจัง" . เอโอแอล. คอม เก็บถาวรจากต้นฉบับเมื่อ 20 มกราคม 2017 . สืบค้นเมื่อ22 มกราคม 2017 .
  59. ^ "ปัญหารถไร้คนขับ ใครเป็นคนคุมรหัส" . เดอะการ์เดียน . 23 ธันวาคม 2558 เก็บถาวรจากต้นฉบับเมื่อ 16 มีนาคม 2560 . สืบค้นเมื่อ22 มกราคม 2017 .
  60. สตีเฟน เช็คโกเวย์; เดมอน แมคคอย; ไบรอัน คันทอร์ ; แดนนี่ แอนเดอร์สัน; โฮวาฟ ชาชาม; สเตฟาน ซาเวจ ; คาร์ล คอชเชอร์; อเล็กซี่ เชสคิส; ฟรานซิสกา โรสเนอร์; ทาดาโยชิ โคโนะ (2011). การวิเคราะห์เชิงทดลองที่ครอบคลุมของพื้นผิวการโจมตีด้วยยานยนต์ (PDF ) ก.ล.ต.'11 การดำเนินการของการประชุม USENIX ครั้งที่ 20 ด้านความปลอดภัย เบิร์กลีย์ แคลิฟอร์เนีย สหรัฐอเมริกา: USENIX Association หน้า 6. เก็บถาวร(PDF)จากต้นฉบับ เมื่อวันที่ 21 กุมภาพันธ์ 2558
  61. ^ กรีนเบิร์ก, แอนดี้ (21 กรกฎาคม 2558). "แฮกเกอร์ฆ่ารถจี๊ปบนทางหลวงจากระยะไกล - มีฉันอยู่ในนั้น " แบบ มีสาย เก็บถาวรจากต้นฉบับเมื่อ 19 มกราคม 2017 . สืบค้นเมื่อ22 มกราคม 2017 .
  62. ^ "แฮกเกอร์ยึดรถ ขับมันทิ้ง" . อิสระ . 22 กรกฎาคม 2558 เก็บถาวรจากต้นฉบับเมื่อ 2 กุมภาพันธ์ 2560 . สืบค้นเมื่อ22 มกราคม 2017 .
  63. ^ Staff, Our Foreign (21 กันยายน 2559). "Tesla แก้ไขข้อผิดพลาดของซอฟต์แวร์ที่อนุญาตให้แฮ็กเกอร์ชาวจีนควบคุมรถจากระยะไกลได้ " โทรเลข . เก็บถาวรจากต้นฉบับเมื่อ 2 กุมภาพันธ์ 2017 . สืบค้นเมื่อ22 มกราคม 2017 .
  64. คัง, เซซิเลีย (19 กันยายน 2016). "รถยนต์ไร้คนขับได้พันธมิตรที่แข็งแกร่ง: รัฐบาล" . เดอะนิวยอร์กไทม์ส . เก็บถาวรจากต้นฉบับเมื่อ 14 กุมภาพันธ์ 2017 . สืบค้นเมื่อ22 มกราคม 2017 .
  65. ^ "นโยบายยานยนต์ของรัฐบาลกลาง" (PDF ) เก็บถาวร(PDF)จากต้นฉบับเมื่อ 21 มกราคม 2017 . สืบค้นเมื่อ22 มกราคม 2017 .
  66. ^ "โปรไฟล์ Gary McKinnon: 'แฮ็กเกอร์' ออทิสติกที่เริ่มเขียนโปรแกรมคอมพิวเตอร์ตอนอายุ 14 " เดลี่เทเลกราฟ . ลอนดอน. 23 มกราคม 2552 เก็บถาวรจากต้นฉบับเมื่อ 2 มิถุนายน 2553
  67. ^ "การพิจารณาคดีส่งผู้ร้ายข้ามแดน Gary McKinnon ครบกำหนดภายใน 16 ตุลาคม " ข่าวบีบีซี 6 กันยายน 2555. เก็บถาวรจากต้นฉบับเมื่อ 6 กันยายน 2555 . สืบค้นเมื่อ25 กันยายน 2555 .
  68. ^ ฝ่ายกฎหมาย (30 กรกฎาคม 2551). "สภาขุนนาง – รัฐบาล Mckinnon V แห่งสหรัฐอเมริกาและอีกประเทศหนึ่ง" . Publications.parliament.uk. เก็บถาวรจากต้นฉบับเมื่อ 7 มีนาคม 2552 . สืบค้นเมื่อ30 มกราคม 2010 . 15. … ถูกกล่าวหาว่ามีมูลค่ารวมกว่า $700,000
  69. "NSA Accessed Mexican President's Email" เก็บถาวรเมื่อ 6 พฤศจิกายน 2015 ที่ Wayback Machine , 20 ตุลาคม 2013, Jens Glüsing, Laura Poitras, Marcel Rosenbach และ Holger Stark, spiegel.de
  70. ^ แซนเดอร์ส, แซม (4 มิถุนายน 2558). "การละเมิดข้อมูลจำนวนมากทำให้บันทึกของพนักงานของรัฐบาลกลาง 4 ล้านคนตกอยู่ในความเสี่ยง " เอ็นพีอาร์ เก็บถาวรจากต้นฉบับเมื่อ 5 มิถุนายน 2558 . สืบค้นเมื่อ5 มิถุนายน 2558 .
  71. ^ ลิปตัก, เควิน (4 มิถุนายน 2558). "รัฐบาลสหรัฐฯ ถูกแฮ็ก เฟดคิดว่าจีนคือต้นเหตุ " ซีเอ็นเอ็น . เก็บถาวรจากต้นฉบับเมื่อ 6 มิถุนายน 2558 . สืบค้นเมื่อ5 มิถุนายน 2558 .
  72. ฌอน กัลลาเกอร์. "การเข้ารหัส "ไม่ได้ช่วยอะไร" ที่ OPM เจ้าหน้าที่ DHSกล่าว เก็บถาวรจากต้นฉบับเมื่อ 24 มิถุนายน 2560
  73. เดวิส มิเชล อาร์. (19 ตุลาคม 2558). "โรงเรียนเรียนรู้บทเรียนจากการละเมิดความปลอดภัย" . สัปดาห์การศึกษา . เก็บถาวรจากต้นฉบับเมื่อ 10 มิถุนายน 2559 . สืบค้นเมื่อ23 พฤษภาคม 2559 .
  74. ^ "โครงการมาตรฐานสากลทางอินเทอร์เน็ตของสรรพสิ่ง " ไอทียู เก็บถาวรจากต้นฉบับเมื่อ 26 มิถุนายน 2558 . สืบค้นเมื่อ26 มิถุนายน 2558 .
  75. ^ ซิงห์ จาทินเดอร์; Pasquier, โทมัส; เบคอน ฌอง; โค ฮาจุน; อายเออร์, เดวิด (2015). "ข้อควรพิจารณาด้านความปลอดภัยบนคลาวด์ 20 ข้อสำหรับการสนับสนุนอินเทอร์เน็ตของสรรพสิ่ง" . วารสารอินเทอร์เน็ตของสรรพสิ่ง IEEE 3 (3): 269–284. ดอย : 10.1109/JIOT.2015.2460333 . S2CID 4732406 . 
  76. คริส เคลียร์ฟิลด์. "ทำไม FTC ถึงควบคุม Internet Of Things ไม่ได้" . ฟอร์บส์ . เก็บถาวรจากต้นฉบับเมื่อ 27 มิถุนายน 2558 . สืบค้นเมื่อ26 มิถุนายน 2558 .
  77. ^ "อินเทอร์เน็ตของสรรพสิ่ง: นิยายวิทยาศาสตร์หรือข้อเท็จจริงทางธุรกิจ?" (PDF) . รีวิวธุรกิจฮาร์วาร์ด. สืบค้นเมื่อ4 พฤศจิกายน 2559 .
  78. โอวิดิอู แวร์เมซาน; ปีเตอร์ ฟรายส์. "Internet of Things: Converging Technologies for Smart Environment และ Integrated Ecosystems" (PDF ) สำนักพิมพ์แม่น้ำ. เก็บถาวร(PDF)จากต้นฉบับเมื่อ 12 ตุลาคม 2559 . สืบค้นเมื่อ4 พฤศจิกายน 2559 .
  79. ^ Christopher Clearfield "Rethinking Security for the Internet of Things" บล็อก Harvard Business Review, 26 มิถุนายน 2013 เก็บถาวร 20 กันยายน 2013 ที่ Wayback Machine /
  80. ^ "หัวขโมยห้องพักในโรงแรมใช้ประโยชน์จากข้อบกพร่องที่สำคัญในล็อคประตูอิเล็กทรอนิกส์" . อาส เทคนิค . 26 พฤศจิกายน 2555. เก็บถาวรจากต้นฉบับเมื่อ 14 พฤษภาคม 2559 . สืบค้นเมื่อ23 พฤษภาคม 2559 .
  81. ^ "เครื่องมือแพทย์ในโรงพยาบาลที่ใช้เป็นอาวุธในการโจมตีทางไซเบอร์ " การอ่าน ที่มืด 6 สิงหาคม 2558. เก็บถาวรจากต้นฉบับเมื่อ 29 พฤษภาคม 2559 . สืบค้นเมื่อ23 พฤษภาคม 2559 .
  82. เจเรมี เคิร์ก (17 ตุลาคม 2555). “แฮ็กเครื่องกระตุ้นหัวใจ ส่งแรงสั่นสะเทือนถึง 830 โวลต์” . โลก คอมพิวเตอร์ . เก็บถาวรจากต้นฉบับเมื่อ 4 มิถุนายน 2559 . สืบค้นเมื่อ23 พฤษภาคม 2559 .
  83. ^ ข่าว, Kaiser Health (17 พฤศจิกายน 2014). "เครื่องกระตุ้นหัวใจของคุณจะโดนแฮ็กได้อย่างไร" . สัตว์เดรัจฉาน . เก็บถาวรจากต้นฉบับเมื่อ 20 พฤษภาคม 2559 . สืบค้นเมื่อ23 พฤษภาคม 2559 .
  84. ^ ลีตารู, คาเลฟ. "แฮ็คโรงพยาบาลและจับตัวประกัน: ความปลอดภัยทางไซเบอร์ในปี 2559" . ฟอร์บส์ . เก็บถาวรจากต้นฉบับเมื่อ 29 ธันวาคม 2559 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  85. อรรถเป็น "ไซเบอร์-แองกริฟฟ์: Krankenhäuser rücken ins Visier der Hacker" . เวิร์ทชาฟท์ วอช. เก็บถาวรจากต้นฉบับเมื่อ 29 ธันวาคม 2559 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  86. ^ "โรงพยาบาลถูกโจมตีโดย ransomware – นี่คือเหตุผล " ธุรกิจภายใน . เก็บถาวรจากต้นฉบับเมื่อ 29 ธันวาคม 2559 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  87. ^ "โรงพยาบาล MedStar ฟื้นตัวหลังจากแฮ็ ค'Ransomware'" ข่าวเอ็นบีซี . เก็บถาวรจากต้นฉบับเมื่อ 29 ธันวาคม 2559 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  88. ^ เปาลี, ดาร์เรน. "โรงพยาบาลในสหรัฐฯ ถูกแฮ็กด้วยช่องโหว่ในสมัยโบราณ" . ทะเบียน . เก็บจากต้นฉบับเมื่อ 16 พฤศจิกายน 2559 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  89. ^ เปาลี, ดาร์เรน. “Zombie OS เล็ดลอดผ่านโรงพยาบาล Royal Melbourne แพร่ไวรัส” . ทะเบียน . เก็บถาวรจากต้นฉบับเมื่อ 29 ธันวาคม 2559 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  90. ^ "ระบบคอมพิวเตอร์ของโรงพยาบาลลินคอล์นเชียร์ที่ถูกแฮ็ก 'สำรอง'" . BBC News . 2 พฤศจิกายน 2559. สืบค้นจากต้นฉบับเมื่อ 29 ธันวาคม 2559 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  91. ^ "การดำเนินการของลินคอล์นเชียร์ถูกยกเลิกหลังจากการโจมตีเครือข่าย " ข่าวบีบีซี 31 ตุลาคม 2559 เก็บถาวรจากต้นฉบับเมื่อ 29 ธันวาคม 2559 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  92. ^ "Legion cyber-attack: Next dump is sansad.nic.in, กล่าวแฮกเกอร์ " อินเดียน เอกซ์เพรส . 12 ธันวาคม 2559 เก็บถาวรจากต้นฉบับเมื่อ 29 ธันวาคม 2559 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  93. "อดีตผู้ป่วยในโรงพยาบาลจิตเวชนิวแฮมป์เชียร์ที่ถูกกล่าวหาว่าละเมิดข้อมูล " ซีบีเอส บอสตัน 27 ธันวาคม 2559 เก็บถาวรจากต้นฉบับเมื่อ 29 กันยายน 2560 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  94. ^ "โรงพยาบาลเท็กซัสถูกแฮ็ก ส่งผลกระทบต่อประวัติผู้ป่วยเกือบ 30,000 ราย " ข่าวไอทีการดูแลสุขภาพ 4 พฤศจิกายน 2559 เก็บถาวรจากต้นฉบับเมื่อ 29 ธันวาคม 2559 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  95. เบกเกอร์, ราเชล (27 ธันวาคม 2559). "แนวทางความปลอดภัยทางไซเบอร์ใหม่สำหรับอุปกรณ์การแพทย์รับมือกับภัยคุกคามที่กำลังพัฒนา" . เดอะเวิร์จ เก็บถาวรจากต้นฉบับเมื่อ 28 ธันวาคม 2559 . สืบค้นเมื่อ29 ธันวาคม 2559 .
  96. ^ "การจัดการความปลอดภัยทางไซเบอร์ในอุปกรณ์การแพทย์หลังการขาย" (PDF ) สำนักงานคณะกรรมการอาหารและยา . 28 ธันวาคม 2559 เก็บถาวร(PDF) จาก ต้นฉบับเมื่อ 29 ธันวาคม 2559 สืบค้นเมื่อ29 ธันวาคม 2559 .
  97. ^ Brandt, Jaclyn (18 มิถุนายน 2018). "ข้อเสนอพลังงานแบบกระจายของ DC ทำให้เกิดความกังวลเกี่ยวกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้น " พลังงานภายในรายวัน สืบค้นเมื่อ4 กรกฎาคม 2018 .
  98. ^ Cashell, B. , Jackson, WD, Jickling, M. , & Webel, B. (2004) ผลกระทบทางเศรษฐกิจจากการโจมตีทางไซเบอร์ ฝ่ายบริการวิจัยรัฐสภา ฝ่ายรัฐบาล และการเงิน วอชิงตัน ดี.ซี.: หอสมุดรัฐสภา.
  99. กอร์ดอน ลอว์เรนซ์; Loeb, มาร์ติน (พฤศจิกายน 2545) "เศรษฐศาสตร์การลงทุนความมั่นคงสารสนเทศ". ธุรกรรม ACM เกี่ยวกับข้อมูลและความปลอดภัยของระบบ 5 (4): 438–457. ดอย : 10.1145/581271.581274 . S2CID 1500788 . 
  100. ^ ฮั่น เฉิน; Dongre, Rituja (2014). "ถาม-ตอบ อะไรเป็นแรงจูงใจให้ผู้โจมตีทางไซเบอร์" . ทบทวน การจัดการนวัตกรรมเทคโนโลยี 4 (10): 40–42. ดอย : 10.22215/timreview/838 . ISSN 1927-0321 . 
  101. เชอร์มิก สตีเวน; Freilich, โจชัว; Holt, Thomas (เมษายน 2017). "สำรวจวัฒนธรรมย่อยของผู้โจมตีทางไซเบอร์ที่มีแรงจูงใจทางอุดมการณ์" วารสารยุติธรรมทางอาญาร่วมสมัย . 33 (3): 212–233. ดอย : 10.1177/1043986217699100 . S2CID 152277480 . 
  102. แอนเดอร์สัน, รอสส์ (2020). วิศวกรรมความปลอดภัย : คู่มือการสร้างระบบกระจายที่เชื่อถือได้ (ฉบับที่สาม) อินเดียแนโพลิส IN ISBN 978-1-119-64281-7. โอซีซี1224516855  .
  103. ^ RFC 2828อภิธานศัพท์ความปลอดภัยทางอินเทอร์เน็ต 
  104. ^ CNSS Instruction No. 4009 Archived 27 February 2012 at the Wayback Machineลงวันที่ 26 เมษายน 2010
  105. ^ "อภิธานศัพท์ InfosecToday" (PDF ) เก็บถาวร(PDF)จากต้นฉบับเมื่อ 20 พฤศจิกายน 2014
  106. ^ คำจำกัดความ: IT Security Architecture Archived 15 มีนาคม 2014 ที่Wayback Machine SecurityArchitecture.org ม.ค. 2549
  107. ^ แจนเซ่น, คอรี. "สถาปัตยกรรมความปลอดภัย" . เทคโคเปีย . Janalta Interactive Inc. เก็บถาวรจากต้นฉบับเมื่อ 3 ตุลาคม2014 สืบค้นเมื่อ9 ตุลาคม 2557 .
  108. วูดดี้, อเล็กซ์ (9 พฤษภาคม 2559). "ทำไม ONI จึงเป็นความหวังที่ดีที่สุดของเราในการรักษาความปลอดภัยทางไซเบอร์ในตอนนี้ " เก็บถาวรจากต้นฉบับเมื่อ 20 สิงหาคม 2016 . สืบค้นเมื่อ13 กรกฎาคม 2559 .
  109. ^ "บริษัทสูญเสียอิเล็กทรอนิกส์มากกว่าการขโมยทางกายภาพ" . สำนักข่าวรอยเตอร์ 18 ตุลาคม 2553 เก็บถาวรจากต้นฉบับเมื่อ 25 กันยายน 2558
  110. วอล์คโคว์สกี้, เด็บบี้ (9 กรกฎาคม 2019). “ CIA Triad คืออะไร” . F5 แล็บ สืบค้นเมื่อ25 กุมภาพันธ์ 2020 .
  111. ^ "การรู้คุณค่าของสินทรัพย์ข้อมูลมีความสำคัญต่อการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ | SecurityWeek.Com " www.securityweek.com ครับ สืบค้นเมื่อ25 กุมภาพันธ์ 2020 .
  112. ^ Foreman, P: Vulnerability Management , หน้า 1 Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5 
  113. ^ Academy, Cisco Networking (17 มิถุนายน 2018). คู่มือคู่หูปฏิบัติการความปลอดภัยทางไซเบอร์ของ CCNA ซิสโก้ เพรส ISBN 978-0-13-516624-6.
  114. อลัน คาลเดอร์และเกเรนต์ วิลเลียมส์ (2014) PCI DSS: คู่มือฉบับพกพา ฉบับที่ 3 ISBN 978-1-84928-554-4. ช่องโหว่ของเครือข่ายจะสแกนอย่างน้อยทุกไตรมาสและหลังจากการเปลี่ยนแปลงที่สำคัญในเครือข่าย
  115. ^ แฮร์ริสัน เจ. (2003). "การตรวจสอบอย่างเป็นทางการที่ Intel" การประชุมวิชาการเชิงตรรกะ IEEE ประจำปีครั้งที่ 18 ในสาขาวิทยาการคอมพิวเตอร์ พ.ศ. 2546 . น. 45–54. ดอย : 10.1109/LICS.2003.1210044 . ISBN 978-0-7695-1884-8. S2CID  44585546 .
  116. อุมรีการ์, เซิร์กซิส ดี.; พิชญ์มณี, วิชัย (1983). "การตรวจสอบอย่างเป็นทางการของการออกแบบฮาร์ดแวร์แบบเรียลไทม์" . ดำเนินการ DAC '83 ของการประชุม Design Automation Conference ครั้งที่ 20 สำนักพิมพ์ IEEE น. 221–7. ISBN 978-0-8186-0026-5.
  117. ^ "ข้อมูลจำเพาะอย่างเป็นทางการที่เป็นนามธรรมของ seL4/ARMv6 API" (PDF ) เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 21 พฤษภาคม 2558 . สืบค้นเมื่อ19 พฤษภาคม 2558 .
  118. ↑ Christoph Baumann, Bernhard Beckert, Holger Blasum และส่วนผสมของ Thorsten Bormerแห่งความถูกต้องของระบบปฏิบัติการ? บทเรียนจากการตรวจสอบอย่างเป็นทางการของ PikeOS ที่เก็บถาวร 19 กรกฎาคม 2011 ที่เครื่อง Wayback
  119. ^ "Getting it Right" ถูก เก็บถาวร 4 พฤษภาคม 2013 ที่ Wayback Machineโดย Jack Ganssle
  120. ^ Treglia, J. , & Delia, M. (2017). การฉีดวัคซีนความปลอดภัยทางไซเบอร์ นำเสนอที่ NYS Cyber ​​Security Conference, Empire State Plaza Convention Center, ออลบานี, นิวยอร์ก, 3-4 มิถุนายน
  121. วิลลาเซนอร์, จอห์น (2010). "แฮ็กเกอร์ในฮาร์ดแวร์ของคุณ: ภัยคุกคามด้านความปลอดภัยครั้งต่อไป" นักวิทยาศาสตร์อเมริกัน . 303 (2): 82–88. รหัส: 2010SciAm.303b..82V . ดอย : 10.1038/scientificamerican0810-82 . PMID 20684377 . 
  122. วักส์มัน, อดัม; Sethumadhavan, Simha (2010), "Tamper Evident Microprocessors" (PDF) , Proceedings of the IEEE Symposium on Security and Privacy , Oakland, California, archived from the original (PDF) on 21 กันยายน 2013 , ดึงข้อมูล27 สิงหาคม 2019
  123. ^ "การรับรองความถูกต้องโดยใช้โทเค็น " เซฟเน็ต.คอม เก็บถาวรจากต้นฉบับเมื่อ 20 มีนาคม 2557 . สืบค้นเมื่อ20 มีนาคม 2557 .
  124. ^ "ล็อกและปกป้องพีซีที่ใช้ Windows ของคุณ " วินโดวส์คลับ.com 10 กุมภาพันธ์ 2553. เก็บข้อมูลจากต้นฉบับเมื่อ 20 มีนาคม 2557 . สืบค้นเมื่อ20 มีนาคม 2557 .
  125. ^ เจมส์ กรีน (2012). "เทคโนโลยีการดำเนินการที่เชื่อถือได้ของ Intel: เอกสารไวท์เปเปอร์" (PDF ) อินเทล คอร์ปอเรชั่น. เก็บถาวร(PDF)จากต้นฉบับ เมื่อวันที่ 11 มิถุนายน 2557 . สืบค้นเมื่อ18 ธันวาคม 2556 .
  126. ^ "SafeNet ProtectDrive 8.4" . สมอ. 4 ตุลาคม 2551. เก็บถาวรจากต้นฉบับเมื่อ 20 มีนาคม 2557 . สืบค้นเมื่อ20 มีนาคม 2557 .
  127. ^ "ฮาร์ดไดรฟ์ที่ปลอดภัย: ล็อกข้อมูลของคุณ " PCMag.com 11 พฤษภาคม 2552 เก็บถาวรจากต้นฉบับเมื่อ 21 มิถุนายน 2560
  128. สุพยา, มุรูเกียห์ ป.; สการ์โฟน, คาเรน (2013). "แนวทางการจัดการความปลอดภัยของอุปกรณ์พกพาในองค์กร" . สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ . สิ่งพิมพ์พิเศษ (NIST SP) เกเธอร์สเบิร์ก, แมรี่แลนด์ ดอย : 10.6028/NIST.SP.800-124r1 .
  129. ^ "ลืมรหัส ใช้โทรศัพท์ของคุณเป็นข้อมูลประจำตัว" . เครือข่ายธุรกิจฟ็อกซ์ . 4 พฤศจิกายน 2556. เก็บถาวรจากต้นฉบับเมื่อ 20 มีนาคม 2557 . สืบค้นเมื่อ20 มีนาคม 2557 .
  130. ^ ลิปเนอร์, สตีฟ (2015). "การกำเนิดและความตายของหนังสือสีส้ม". พงศาวดาร IEEE ของประวัติศาสตร์คอมพิวเตอร์ 37 (2): 19–31. ดอย : 10.1109/MAHC.2015.27 . S2CID 16625319 . 
  131. เคลลี แจ็กสัน ฮิกกินส์ (18 พฤศจิกายน 2551) "ระบบปฏิบัติการที่ปลอดภัยได้รับการจัดอันดับ NSA สูงสุด ไปในเชิงพาณิชย์ " การอ่านที่มืด เก็บถาวรจากต้นฉบับเมื่อ 3 ธันวาคม 2556 . สืบค้นเมื่อ1 ธันวาคม 2556 .
  132. ^ "กระดานหรือเบื่อ Lockheed Martin เข้าสู่ COTS hardware biz " นิตยสาร VITA เทคโนโลยี 10 ธันวาคม 2553. เก็บข้อมูลจากต้นฉบับเมื่อ 2 พฤษภาคม 2555 . สืบค้นเมื่อ9 มีนาคม 2555 .
  133. Sanghavi, Alok (21 พฤษภาคม 2010). "อะไรคือการตรวจสอบอย่างเป็นทางการ?". อีอี ไทม์ส _เอเชีย
  134. เฟอร์ไรโอโล, DF & คูห์น, DR (ตุลาคม 1992) "การควบคุมการเข้าถึงตามบทบาท" (PDF ) การประชุมวิชาการรักษาความปลอดภัยคอมพิวเตอร์แห่งชาติ ครั้งที่ 15 : 554–563.
  135. ^ Sandhu, R., Coyne, EJ, Feinstein, HL and Youman, CE (สิงหาคม 2539) "แบบจำลองการควบคุมการเข้าถึงตามบทบาท" (PDF ) คอมพิวเตอร์อีอีอี . 29 (2): 38–47. CiteSeerX 10.1.1.50.7649 . ดอย : 10.1109/2.485845 .  {{cite journal}}: CS1 maint: multiple names: authors list (link)
  136. ^ อาเบรอู, วิลมาร์; Santin, Altair O.; วีเอกัส, เอดูอาร์โด เค.; STIHLER, ไมคอน (2017). โมเดลการเปิดใช้งานตามบทบาทหลายโดเมน (PDF ) ICC 2017 2017 การประชุมนานาชาติ IEEE ด้านการสื่อสาร สำนักพิมพ์ IEEE หน้า 1–6. ดอย : 10.1109/ICC.2017.7997247 . ISBN  978-1-4673-8999-0. S2CID  6185138 .
  137. เอซี โอคอนเนอร์ & อาร์เจ ลูมิส (มีนาคม 2545) การวิเคราะห์ทางเศรษฐศาสตร์ของการควบคุมการเข้าถึงตามบทบาท (PDF ) สถาบันวิจัยสามเหลี่ยม. หน้า 145.
  138. ^ "ผลการศึกษาพิสูจน์อีกครั้งว่าผู้ใช้เป็นจุดอ่อนที่สุดในห่วงโซ่ความปลอดภัย " คสช. ออนไลน์ . 22 มกราคม 2557 . สืบค้นเมื่อ8 ตุลาคม 2018 .
  139. ^ "บทบาทของความผิดพลาดของมนุษย์ในการโจมตีด้านความปลอดภัยที่ประสบความสำเร็จ