ကြ်န္ေတာ္တို႔ ဆီမွာ ဘယ္သူမွထည့္မေတြးတဲ့ အေၾကာင္းေလးေတြ နည္းနည္းေလာက္ စေၿပာပါရေစ။
ခင္ဗ်ား လုပ္ငန္းရဲ႕ လုံၿခံဳေရး စမ္းသပ္မႈေတြၿပဳလုပ္ရာမွာ ခင္ဗ်ားကုမၸဏီတြင္းမွ စည္းမ်ဥ္းေတြကေတာ့ security testing အေပၚ စီမံေရးပုိင္းမွ မည္သုိ႔ ၿမင္တယ္ဆုိတဲ့အေပၚမွာပဲမူတည္ေပမယ့္၊ ခင္ဗ်ားအေနနဲ႔ ခင္ဗ်ား လုပ္ငန္းႏွင့္သက္ဆုိင္တဲ့ ႏုိင္ငံေတာ္၊ ဗဟုိအစိုးရ၊ အၿပည္ၿပည္ဆုိင္ရာ ဥပေဒ ႏွင့္ ၿပဌာန္းခ်က္ေတြကို ထည့္စဥ္းစားဖုိ႔လုိပါတယ္။
ဥပမာ - Health Insurance Portability and Accountability Act (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH) Act, Gramm-Leach-Bliley Act (GLBA), North American Electric Reliability Corporation (NERC) CIP requirements, and Payment Card Industry Data Security Standard (PCI DSS) မ်ားကဲ့သုိ႔ ၿပဌာန္းခ်က္မ်ား ဗဟုိအစိုးရ ၿပဌာန္းခ်က္မ်ား၊ Canadian Personal Information Protection and Electronic Documents Act (PIPEDA), the European Union Data Protection Directive, and Japan’s Personal Information Protection Act (JPIPA) ကဲ့သုိ႔ အၿပည္ၿပည္ဆုိင္ရာ ဥပေဒမ်ား၊ The Union of Myanmar The State Peace and Development Council The Electronic Transactions Law (http://unpan1.un.org/…/p…/documents/un-dpadm/unpan041197.pdf)၊ TelecommunicationLaw(http://www.dfdl.com/…/Telecommunications_Law_2013____KTD.pdf) မ်ားကဲ့သုိ႔ၿဖစ္ပါတယ္။
ဘာပဲၿဖစ္ၿဖစ္
ေယဘူယ်အေနနဲ႔ ခင္ဗ်ား သိထားသင့္တာက၊ ခင္ဗ်ားစနစ္ေတြလည္း ကမာၻအႏွံ႔က Hacker
ေတြႏွင့္၊ ရံုးထဲက malicious user ေတြရန္က မလြတ္ဘူးဆုိတာပါပဲ။ မ်ားစြာေသာ
အခ်က္အလက္ လံုၿခံဳေရး အားနည္းခ်က္ေတြက အေၿခခံအႏၱရာယ္မရွိ ၾကေပမယ့္၊ မ်ားစြာေသာ
အားနည္းခ်က္ေတြကုိ တစ္ခ်ိန္တည္းမွာ တုိက္ခိုက္ၿခင္းသည္ စနစ္ေတြေပၚမွာ
ဆုိး၀ါးစြာထိခိုက္ေစပါတယ္။ ဥပမာ - Windows OS configuration ရဲ႕ defult
အေၿခအေနတစ္ခု၊ SQL Server ရဲ႕ အားနည္းတဲ့ administrator password သုိ႔မဟုတ္ ၎ကုိ
ၾကိဳးမဲ့ကြန္ယက္ေပၚမွာ ခ်ိတ္ဆက္ထားၿခင္းေ
ခင္ဗ်ားကုိယ္တုိင္အပါအ၀င္
ခင္ဗ်ားပတ္၀န္းက်င္က လုပ္ေဖာ္ကုိင္ဖက္ေတြက social engineering တုိက္ခိုက္မႈ
ၿပဳလုပ္ႏုိင္ရန္ အေကာင္းဆံုး အားနည္းခ်က္ေတြပါပဲ။ အခ်ိဳ႕ hacking ေတြမွာ၊
ရုပ္ပုိင္းဆုိင္ရာ တုိက္ခိုက္မႈေတြပါ၀င္ရပါတယ္၊ အေဆာက္အဦးထဲခုိး၀င္ ၿခင္း၊ laptop
ခုိးၿခင္း၊ ဖုန္းခုိးၿခင္း ႏွင့္ အမိႈက္ပံုးရွာေဖြၿခင္း (dumpster diving),
ေနာက္မွ ခုိးၾကည့္ၿခင္း (shoulder surfing), ခုိးနားေထာင္ၿခင္း (eavesdropping)
စတာေတြက ရုပ္ပုိင္းဆုိင္ရာတုိက္ခုိက္မႈေတြၿဖစ္ပါတယ္။ တုိက္ခုိက္ၿခင္းမ်ားကို
ခဲြၿခားၾကည့္ရင္ -
Network
Infrastructure attacks – network မ်ားစြာကို အင္တာနက္မွတဆင့္ ၀င္ေရာက္ရန္
ၿဖစ္ႏုိင္တာေၾကာင့္ network infrastructure တုိက္ခုိက္ၿခင္းေတြ
လြယ္ကူစြာၿဖစ္ေပၚေစပါတယ္။ ဥပမာ တခ်ိဳ႕မွာ -
- Firewall
တစ္ခုေနာက္မွ လံုၿခံဳမႈမရွိတဲ့ wireless access point ကုိ ခ်ိတ္ဆက္ၿခင္း- TCP/IP ႏွင့္ Net Bios ကဲ့သုိ႔ network protocol မ်ားမွာရွိတတ္တဲ့ အားနည္းခ်က္ကုိ တုိက္ခုိက္ၿခင္း
- Network တစ္ခုကုိ request packet မ်ားစြာပုိ႔၍ flooding လုပ္ၿခင္း၊ DoS (denial of service) တုိက္ခုိက္ၿခင္း
- Network segment တစ္ခုအေပၚမွာ network analyzer တစ္ခု တပ္ဆင္၍ ၎ကုိၿဖတ္သြားတမွ် packet ေတြကုိ ေစာင့္ ၾကည့္ဖမ္းယူၿခင္းမ်ား ၿဖစ္ပါတယ္။
Operating system (OS) attacks ေတြကို ဆုိးသြမ္းသူေတြပိုၾကိဳက္ၾကပါတယ္။ ဘာေၾကာင့္လည္းဆုိရင္ ကြန္ပ်ဴတာတုိင္းမွာ OS ရွိၿပီး၊ OS ေတြအတြက္ လူသိမ်ားတဲ့ တုိက္ခိုက္မႈေတြရွိတာေၾကာင့္ပါ။ ဥပမာ တခ်ိဳ႕မွာ -
-လြဲမွားေနတဲ့ Patch ေတြကုိ တုိက္ခုိက္ၿခင္း
-Built-in ပါတဲ့ authentication စနစ္ကုိ တုိက္ခုိက္ၿခင္း
-Password ေတြေၿပာင္းၿခင္း၊ ဖ်က္ၿခင္းမ်ား ၿဖစ္ပါတယ္။
Application ႏွင့္ အၿခား အထူးၿပဳ app ေတြကုိ တုိက္ခုိက္ၿခင္းက - Hacker ေတြအမ်ားဆံုး သံုးတဲ့ နည္းလမ္းေတြပါ။ အီးေမးလ္ ဆာဗာ ေဆာ့ဖ္၀ဲေတြႏွင့္ web application ေတြ ကဲ့သုိ႔ ပရိုဂရမ္ေတြ အမ်ားအားၿဖင့္ တုိက္ခုိက္ခံရပါတယ္။ ဥပမာ တခ်ိဳ႕မွာ -
- Hypertext Transfer Protocol (HTTP) and Simple Mail Transfer Protocol (SMTP)၊ firewall အမ်ားစုက ဒီလုိ service ေတြကုိ အ၀င္အထြက္ ခြင့္ၿပဳထားၾကလုိ႔ပါ။
- Voice over Internet Protocol (VoIP)
- Database system စသည္ ၿဖစ္ပါတယ္
Post a Comment