วันจันทร์ที่ 22 กุมภาพันธ์ พ.ศ. 2553

ประวัติผู้สอน ITM633

ประวัติย่อ พ.อ.รศ.ดร. เศรษฐพงศ์ มะลิสุวรรณ


การศึกษา

• ปริญญาเอกวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม Ph.D. in Electrical Engineerin (Telecommunications)จาก State University System of Florida; Florida Atlantic University, USA

• ปริญญาโทวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม (ระบบสื่อสารเคลื่อนที่) MS in EE(Telecommunications) จาก The George Washington University, USA

• ปริญญาโทวิศวกรรมไฟฟ้า (เครือข่ายสื่อสารคอมพิวเตอร์) MS in EE จาก Georgia Institute of Technology, USA

• ปริญญาตรีวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม (เกียรตินิยมเหรียญทอง) จาก โรงเรียนนายร้อยพระจุลจอมเกล้า (นักเรียนเตรียมทหารรุ่น 26, จปร. รุ่น 37) BS.EE. (Telecommunication Engineering)

• มัธยมปลาย จากโรงเรียนเตรียมอุดมศึกษา เกียรติประวัติด้านการศึกษา
• จบการศึกษาปริญญาตรีวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม อันดับที่ ๑ ด้วยเกียรตินิยมเหรียญทอง

• ได้รับเกียรตินิยมปริญญาเอก Outstanding Academic Achievement จาก Tau Beta Pi Engineering Honor Society และ Phi Kappa Phi Honor Society

• ได้รับทุนวิจัยระดับปริญญาเอกจาก EMI R&D LAB (Collaboration between Florida Atlantic University and Motorola, Inc.) หลักสูตรประกาศนียบัตร

• หลักสูตรการรบร่วมรบผสม (Joint and Combined Warfighting Course), National Defense University, Norfolk ประเทศสหรัฐอเมริกา โดยทุนต่อต้านก่อการร้ายสากล (Counter Terrorism Fellowship Program) กระทรวงกลาโหม สหรัฐอเมริกา

• หลักสูตรการบริหารทรัพยากรเพื่อความมั่นคง (Defense Resourse Management) โดยทุน International Military Education and Training (IMET) program, Naval Postgraduate School ประเทศสหรัฐอเมริกา • หลักสูตร Streamlining Government Through Outsourcing Course โดยทุน International Military Education and Training (IMET) program, Naval Postgraduate School ประเทศสหรัฐอเมริกา

ตำแหน่งและหน้าที่ปัจจุบัน

• ประจำกรมข่าวทหาร กองบัญชาการกองทัพไทย

• กรรมการกำหนดและจัดสรรคลื่นความถี่ใหม่ ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)

• ผู้ช่วยเลขานุการในคณะประสานงานการบริหารคลื่นความถี่เพื่อความมั่นคงของรัฐ ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)

• กองบรรณาธิการ NGN Forum สำนักงานคณะกรรมการกิจการโทรคมนาคมแห่งชาติ

• บรรณาธิการวารสาร International Journal of Telecommunications, Broadcasting, and Innovation Management

• ประธานโครงการศึกษาความเป็นไปได้ในการกำกับดูแลเรื่องการบริหารคลื่นความถี่ด้วยเทคโนโลยี Dynamic Spectrum Allocation เพื่ออุตสาหกรรมโทรคมนาคมไทย ภายใต้การสนับสนุนของ คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)

• อาจารย์พิเศษภาควิชาวิศวกรรมไฟฟ้าและคอมพิวเตอร์ โรงเรียนนายร้อยพระจุลจอมเกล้า

• รองศาสตราจารย์ Business School, TUI University International, USA. (Accredited Internet Distance Learning University)

• รองศาสตราจารย์ American University of London (Internet Distance Learning University)

• กรรมการกำกับมาตรฐานในหลักสูตรวิศวกรรมไฟฟ้าโทรคมนาคม, วิศวกรรมซอฟท์แวร์, เกมส์และมัลติมีเดีย, เทคโนโลยีสารสนเทศ, การจัดการสารสนเทศ ในหลายมหาวิทยาลัย ทั้งของรัฐบาลและเอกชน

• อาจารย์พิเศษในมหาวิทยาลัยหลายแห่ง เช่น จุฬาลงกรณ์มหาวิทยาลัย, มหาวิทยาลัยมหิดล, มหาวิทยาลัยธรรมศาสตร์, มหาวิทยาลัยรามคำแหง, มหาวิทยาลัยนเรศวร, มหาวิทยาลัยขอนแก่น, มหาวิทยาลัยอัสสัมชัญ, มหาวิทยาลัยกรุงเทพ และมหาวิทยาลัยรังสิต

ตำแหน่งและหน้าที่สำคัญในอดีต

• ผู้บังคับหมวด กองพันทหารสื่อสารที่ ๑ รักษาพระองค์

• อาจารย์ภาควิชาวิศวกรรมไฟฟ้าและคอมพิวเตอร์โรงเรียนนายร้อยพระจุลจอมเกล้า

• ผู้พิพากษาสมทบศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง

• ช่วยราชการสำนักงานเสนาธิการประจำเสนาธิการทหารบก

• ปฏิบัติหน้าที่ใน บริษัท กสท โทรคมนาคม จำกัด (มหาชน) ๑. ตำแหน่งผู้เชี่ยวชาญและเลขานุการ ประธานกรรมการฯ ๒. ตำแหน่งกรรมการกำกับดูแล การดำเนินงานและโครงการ

• อนุกรรมการบริหารโปรแกรมเทคโนโลยีเพื่อความมั่นคงศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิว เตอร์แห่งชาติ (NECTEC)

• อนุกรรมาธิการ ทรัพยากรน้ำ ในคณะกรรมาธิการทรัพยากรธรรมชาติและสิ่งแวดล้อมสนช.

• ที่ปรึกษาโครงการดาวเทียมเพื่อความมั่นคงศูนย์พัฒนากิจการอวกาศเพื่อความมั่นคง กระทรวงกลาโหม

• หัวหน้าโครงวิจัย การศึกษาความเป็นไปได้การจัดสร้างพื้นที่ทดสอบความเข้ากันได้ทางแม่เหล็กไฟฟ้าและสอบเทียบสายอากาศ ศูนย์ทดสอบผลิตภัณฑ์ไฟฟ้าและอิเล็กทรอนิกส์ (PTEC) สนับสนุนโครงการโดย สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (NSTDA)

• อนุกรรมการ การประชาสัมพันธ์ สื่อทางอินเทอร์เน็ต ศาลยุติธรรม

• ที่ปรึกษาคณะอนุกรรมาธิการพิจารณาศึกษาหามาตรการในการป้องกันการแพร่ระบาดของเกมส์คอมพิวเตอร์ (ออนไลน์) ในสภาผู้แทนราษฎร

• กรรมการร่างหลักเกณฑ์ใบอนุญาตประกอบกิจการโทรคมนาคมผ่านดาวเทียมสื่อสาร และโครงข่ายสถานีวิทยุคมนาคมภาคพื้นดิน ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)

• คณะทำงานกำหนดคุณลักษณะเฉพาะเครื่องคอมพิวเตอร์และระบบเครือข่าย และกำหนดขอบเขตการจ้างที่ปรึกษาในการออกแบบและพัฒนาระบบงาน สำนักงานตรวจเงินแผ่นดิน

• ที่ปรึกษาในคณะกรรมการเทคโนโลยีสารสนเทศและการสื่อสาร (CIO Board) สำนักงานตรวจเงินแผ่นดิน

• อนุกรรมการปรับปรุงระบบข้อมูลสารสนเทศ สำนักงานตรวจเงินแผ่นดิน

• นักวิจัย Visiting Researcher, Asian Center for Research on Remote Sensing (ACRoRS); Asian Institute of Technology (AIT)

• นักวิจัย Visiting Researcher, FAU EMI R&D LAB, Boca Raton, Florida, USA

• ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัย พัฒนาและวิศวกรรม ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)

• ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัยและพัฒนา กระทรวงกลาโหม

• ผู้ประเมินนักวิจัยดีเด่นประจำปี ของสภาวิจัยแห่งชาติ

• Adjunct Professor, School of Information Technology, Southern Cross University, Australia

• Adjunct Professor, Southern Cross University, Australia (Cooperation with Narasuan University, Thailand)

• Adjunct Professor, University of Canberra, Australia (Cooperation with Narasuan University, Thailand) ผลงานตีพิมพ์ทางวิชาการ

• วารสารวิจัยระดับนานาชาติ ๒๒ ฉบับ

• วารสารการประชุมทางวิชาการระดับชาติและนานาชาติ ๖๓ ฉบับ

วันอาทิตย์ที่ 21 กุมภาพันธ์ พ.ศ. 2553

Femto Cell


Femto Cell
บทนำ

Femto Cell คู่แข่งของ Wireless LAN
ในปัจจุบันนี้แทบทุกแห่ง จะต้องมี Broadband Internet ไว้ให้ใช้งาน และสำหรับ Broadband Internet ที่ใช้งานนั้นก็มักจะมีการติดตั้ง Wi-Fi Router ไว้ใช้งานด้วย ซึ่งเชื่อได้เลยว่ามีเป็นจำนวนไม่น้อยเช่นกัน เนื่องจากในปัจจุบันราคาของ ADSL Wireless Router นั้นไม่สูงมากนัก ราคาเพียงหนึ่งพันกว่าบาทก็พอที่จะหาซื้อมาใช้งานกันได้แล้ว สามารถหาซื้อมาติดตั้ง ใช้งานกันทั้งที่ตามบ้านพักอาศัย และตามสถานประกอบการกัน สะดวกสบาย ต้องการนำเอาเครื่องคอมพิวเตอร์ไปใช้ที่ไหนในบ้านก็ได้ตามใจ คงไม่จำเป็นต้องอธิบายกันมากว่า ชีวิตไร้สายในบ้านของเรากับเครื่องคอมพิวเตอร์ตัวโปรดนั้น มีอะไรๆ ให้ทำกันมากมาย และอีกไม่นานหลังจากนี้เราจะได้ยินชื่อของเทคโนโลยีใหม่ ซึ่งทั่วโลกกำลังให้ความสนใจกันอย่างมาก ที่กำลังพูดถึงนั่นก็คือ Femto Cell เทคโนโลยี Femto Cell นี้ กำลังอยู่ในช่วงของการเตรียมการเพื่อนำไปใช้งานอย่างแพร่หลายในทุกสังคมเมือง แถมยังมีรูปแบบ และลูกเล่นการใช้งานที่มีความหลากหลายแบบอีกด้วย

Femto Cell คืออะไร




เริ่มต้นมาจากสายตาอันยาวไกล ของบรรดาบริษัทผู้ให้บริการเครือข่ายโทรศัพท์มือถือ ซึ่งผนึกกำลังร่วมกับบริษัทผู้วิจัยและพัฒนาอุปกรณ์สถานีฐานโทรศัพท์มือถือ ซึ่งบริษัทดังกล่าวนั้นได้มองเห็นถึงส่วนแบ่งทางการตลาดที่กำลังเติบโตอย่างสวยงาม กับการสื่อสารไร้สายภายในบ้านพักอาศัยและตามอาคารสำนักงาน ซึ่งในปัจจุบันถูกยึดครองพื้นที่โดยโซลูชั่นเพียงหนึ่งเดียว นั่นก็คือ ADSL Broadband ที่ผสมผสานกับอุปกรณ์สื่อสารไร้สายแบบ Wireless LAN หรือ Wi-Fi ที่เรารู้จักกันดีนั่นเอง
บริษัทผู้ให้บริการโทรศัพท์มือถือ ได้มองเห็นว่า ทำไมจะต้องปล่อยให้ประชาชนผู้บริโภค ต้องเสียค่าใช้จ่ายให้กับผู้ประกอบ การอินเทอร์เน็ต หรือ ISP (Internet Service Provider) ซ้ำร้าย บริษัท ISP ต่างๆ เหล่านั้น ก็มีแบบแผนการจัดเก็บค่าบริการที่แสนจะเถรตรง ด้วยการเก็บค่าบริการคงที่เป็นรายเดือน ตัวอย่าง เช่น 590 บาทต่อเดือนสำหรับการเชื่อมต่อ ADSL Broadband ที่ความเร็ว 3 Mbps ซึ่งหากพิจารณาดูแล้วจะพบว่า คงจะไปตำหนิว่าบริษัท ISP ไม่สร้างสรรค์คงจะไม่ถูกต้องเสียทีเดียว ส่วนหนึ่งก็เนื่องมาจาก สงครามการแข่งขันราคาของบรรดา บริษัท ISP ซึ่งเป็นเหมือนกันทั่วโลก ไม่เฉพาะแต่ในประเทศไทยของเราเท่านั้น การแข่งขันตัดราคาระหว่างบริษัท ISP ก็ทำให้รายได้จากค่าบริการ ADSL Broadband ถูกบีบไว้ที่ระดับหนึ่ง ซึ่งก็น่าจะเพียงพอสำหรับเป็นรายได้ของบริษัท ISP ได้ บริษัท ISP รายไหนมีไอเดียดีๆ ก็พยายามปฏิบัติตัวเป็น Content Provider หาบริการเสริมต่างๆ มาต่อยอด เช่น ไม่ว่าจะเป็นรายการ TV ช่องพิเศษที่ไม่ซ้ำกับใครผ่านทางอินเทอร์เน็ต บริการให้ดาวน์โหลดเพลง MP3 ฯลฯ เป็นต้น ซึ่งก็พอที่จะทำให้มองเห็นทิศทางของผู้ให้บริการ ISP แบบนี้ในบ้านเรากันอยู่หลายราย บริษัท ISP รายไหนที่ไม่มีเงินมากพอ ก็อาจเปลี่ยนไปเน้นไปในเรื่องของการขายบริการ Leased Line Broadband ให้กับลูกค้าองค์กร
เมื่อเราพูดถึงการสื่อสารไร้สาย ภายในบ้านหรืออาคารสำนักงานแล้ว เราไม่ได้หมายความจำกัดอยู่แต่เพียงเทคโนโลยี Wi-Fi หรือที่เรามักเรียกกันอีกอย่างหนึ่งว่า IEEE 802.11 สัญญาณคลื่นวิทยุจากเครือข่ายโทรศัพท์มือถือ ก็มีศักยภาพมากเพียงพอที่จะรองรับการ ให้บริการ Broadband Internet ได้ เช่นกัน



อย่างไรก็ตามต้องแจ้งไว้ล่วงหน้าก่อนว่า เรื่องของ Femto Cell นี้ มีแรงผลักดันที่มาจากผู้ให้บริการเครือข่ายโทรศัพท์มือถือที่สร้างเครือข่าย 3G ไว้ใช้งานกันมานานแล้ว ไม่ว่าจะเป็น 3G มาตรฐานยุโรป ซึ่งมีวิวัฒนาการให้เลือกอยู่หลายแบบทั้ง Wideband CDMA, High Speed Packet Access (HSPA) ที่มีความเร็วในการสื่อสารให้เลือกหลายระดับ ความเร็วที่มากที่สุดในตอนปัจจุบันนี้ก็คือ 21 Mbps


หรืออาจจะเป็น 3G จากทางค่ายประเทศสหรัฐอเมริกา ที่ชูธงเทคโนโลยี CDMA2000 สำหรับในประเทศไทยตอนนี้นั้น คงต้องรอกันอีกสักระยะหนึ่ง ก่อนที่ผู้ประกอบการจะได้ใบอนุญาต 3G มาสร้างเครือข่ายกัน แต่อย่างน้อยในระหว่างที่รออยู่ในตอนนี้นั้น ก็มีผู้ให้บริการเครือข่ายบางรายทดลองนำร่อง ใช้เทคโนโลยี HSPA ความถี่ 850 MHz และ 900 MHz มาทดลองใช้งานเพื่อทดสอบตลาดกันอยู่ ส่วนเครือข่าย CDMA2000 ปัจจุบันก็มีการให้บริการกันเรียบร้อยแล้ว ซึ่งเพียงเท่านี้ก็มีโอกาสที่เราจะได้นำเทคโนโลยี Femto Cell มาใช้งานกันในประเทศไทยบ้านเราแล้ว

เทคโนโลยี Femto Cell มีจุดเด่นในการให้บริการอย่างไร?
บริษัทผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ บริษัทต่างๆ เหล่านี้ได้มองเห็นช่องว่างทางการตลาด ตามบ้านที่พักอาศัยและอาคารสำนักงาน ซึ่งแรกเริ่มเดิมทีตกเป็นเป้าหมายหลักสำคัญของบริษัทที่ให้บริการ ISP ทั้งหลาย นอกเหนือจากนี้ ยังมีโซลูชั่น Wi-Fi เป็นเป้าหมายหลัก คราวนี้จะได้กล่าวถึงโซลูชั่น Femto Cell ว่ามีจุดเด่นอย่างไร และทำไมในตอนนี้จึงกลายเป็นประเด็น Talk of the Town กันทั่วโลก
ในความเป็นจริงแล้ว สัญญาณคลื่นวิทยุจากเครือข่ายโทรศัพท์เคลื่อนที่ ในปัจจุบันนี้ก็มีความสามารถในการเจาะทะลุผ่านเข้าไปตามอาคารบ้านเรือนและสถานที่ทำงานทั่วไปอยู่แล้ว หากแต่สัญญาณเหล่านี้มีการกระจายตัวแบบสาธารณะ กล่าวคือใครที่มีความต้องการจับช่องสัญญาณ ไม่ว่าจะจับช่องสัญญาณเพื่อใช้โทรศัพท์ในการพูดคุย หรือจับช่องสัญญาณเพื่อใช้รับส่งข้อมูล ถ้าช่องสัญญาณว่างก็สามารถใช้งานได้ไป ถ้าหากช่องสัญญาณไม่ว่างก็จะต้องมีการรอคิว หรือสรุปง่ายๆ ก็คือ ใครเร็วใครได้ ความต้องการได้รับสิทธิพิเศษ (Privilege) เหนือกว่าคนอื่น ประเภทว่าถ้าฉันต้องการจับสัญญาณและได้ใช้งานต้องได้ใช้นี่เอง คือ จุดเด่นหลักประการหนึ่งของ Femto Cell ถ้าจะพูดไปแล้ว Femto Cell อันที่จริงก็คือ อุปกรณ์สถานีฐาน (Base station) ประเภทหนึ่ง แต่มีขนาดเล็กมากๆ มีขนาดเล็กเท่ากับ Access Point ของ Wi-Fi ที่เห็นกันทั่วๆ ไปในท้องตลาด
ปัจจุบันมีการพัฒนา Femto Cell หลากหลายเทคโนโลยี ทั้งแบบ WCDMA/HSPA (Wideband CDMA/High Speed Packet Access) ซึ่งเป็นเทคโนโลยี 3G ค่ายหลัก และแบบ CDMA2000 ซึ่งก็เป็นเทคโนโลยี 3G อีกประเภทหนึ่ง ไม่เพียงเท่านั้นการพัฒนา Femto Cell ยังขยายไปถึงเทคโนโลยี 4G ในอนาคตอย่าง LTE (Long Term Evolution) อีกด้วย เรียกได้ว่าเป็นเทคโนโลยีที่มีแนวโน้มที่ดีมากในอนาคต





Femto Cell เป็นเรื่องเกี่ยวกับ IT ไปได้อย่างไร ทั้งๆ ที่พิจารณาแล้วน่าจะเป็นเรื่องไกลตัวผู้ใช้งาน น่าจะเป็นหน้าที่ออกแบบติดตั้งของผู้ให้บริการเครือข่ายโทรศัพท์มือถือ มากกว่า หากใครคิดอย่างนี้ถือว่าผิด เพราะแนวคิดของการผลักดัน Femto Cell นั้นมาในรูปแบบเดียวกับ Wi-Fi ครับ ก็คือผู้ใช้งานสามารถหาซื้อ Femto Cell ได้เอง เพียงแต่ต้องทำการลงทะเบียนกับผู้ให้บริการเครือข่ายโทรศัพท์มือถือ อีกทั้งต้องเลือกว่าจะซื้อ Femto Cell ที่เป็นเทคโนโลยีชนิดไหน เช่น WCDMA, HSPA หรือ CDMA2000 เสร็จแล้วก็ต้องเลือกว่าจะใช้งานกับบริษัทผู้ให้บริการเครือข่ายรายใด เพื่อทำการเชื่อมต่อ Femto Cell เข้ากับเครือข่ายโทรศัพท์มือถือของผู้ให้บริการรายนั้น การเชื่อมต่อก็ไม่ซับซ้อน จะว่าไปแล้ว ง่ายตั้งแต่ขั้นตอนของการติดตั้ง โดยสามารถเลือกที่จะติดตั้งในบ้านหรืออาคารสำนักงานของเรา จะแขวน จะวาง หรือจะยึดเพดานแบบ W-Fi ก็ได้ตามสะดวก อุปกรณ์ Femto Cell จะมีอินเทอร์เฟส ซึ่งส่วนใหญ่ทั้งที่เป็นผลิตภัณฑ์ในปัจจุบันและที่จะทำออกมาเป็นรุ่นใหม่ๆ ในอนาคตก็มีการเชื่อมต่อแบบ ADSL หรือ Ethernet LAN เพื่อเชื่อมต่อกับอินเทอร์เน็ตโดยตรง จากนี้ไปการทำ Configuration ทั้งในส่วนของภายในอุปกรณ์ Femto Cell และที่เครือข่ายของผู้ให้บริการโทรศัพท์มือถือ ก็จะเป็นหน้าที่ของบริษัทผู้ให้บริการ เราก็จะมีพื้นที่ให้บริการจากเครือข่ายโทรศัพท์มือถือรายที่เราต้องการในพื้นที่บ้านพักหรือสำนักงานของเรา เรียกว่าเป็น Private mobile hotspot ซึ่งอุปกรณ์ Femto Cell แต่ละรุ่นจะมีลูกเล่นในการให้สิทธิพิเศษเพื่อให้เราใช้งานสัญญาณเหนือกว่า บุคคลอื่นที่มิได้เป็นสมาชิกในองค์กรหรือบ้านพักของเรา ซึ่งลูกเล่นพิเศษเหล่านี้ก็จะขึ้นอยู่กับทางเลือก (option) ของบริษัทผู้ให้บริการเครือข่ายที่เราติดต่อขอใช้ด้วย เช่น กำหนดเลขหมายโทรศัพท์ที่เป็นเบอร์ของคนในบ้านหรือสำนักงานเท่านั้น ที่มีสิทธิ์จับสัญญาณจากสถานีฐาน Femto Cell คนนอกที่หลงเข้ามาจับสัญญาณจะถูกตัดออกไปจับสัญญาณจากสถานีฐานสาธารณะ

กลไกแห่งความสำเร็จทางการตลาดของเทคโนโลยี Femto Cell อยู่ที่ไหน?


Femto Cell มีคุณลักษณะ หรือถูกกำหนดคุณลักษณะให้มีรูปแบบการใช้งานที่ไม่แตกต่างจาก Wi-Fi Access Point นั่นคือ เป็นกล่องอุปกรณ์ขนาดเล็กกะทัดรัด ยึดกับผนัง เพดาน หรือจะวางไว้บนโต๊ะตู้ต่างๆ ได้ตามสะดวก เชื่อมต่อกับเครือข่ายโทรศัพท์เคลื่อนที่โดยผ่านวงจร ADSL หรือผ่านเครือข่าย LAN ภายในองค์กร ซึ่งผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่จะเป็นผู้กำหนดแผนการ Routing หรือการหาเส้นทางเชื่อมต่อไปยังอุปกรณ์เครือข่ายไว้ภายในตัวอุปกรณ์ Femto Cell การกำหนดค่าติดตั้งใช้งานอื่นๆ อีกหลายประเภทก็ขึ้นอยู่กับตัวผู้ให้บริการเครือข่ายเช่นเดียวกัน
ผู้ที่ติดตั้งอุปกรณ์ Femto Cell ไว้ในที่พักอาศัยหรืออาคารสำนักงานของตนเอง นอกจากจะได้รับประโยชน์จากคุณภาพสัญญาณโทรศัพท์เคลื่อนที่ 2G และ 3G ที่เหนือกว่าการใช้งานทั่วไปที่รับสัญญาณวิทยุจากสถานีฐานสาธารณะ และสิทธิพิเศษในการจับช่องสัญญาณโดยส่วนตัวแล้ว อุปกรณ์ Femto Cell ยังมีลูกเล่นเพิ่มเติมอื่นๆ ให้ได้รับประโยชน์ใช้สอยอีก เช่น มีพอร์ตสำหรับต่อ LAN เพิ่มเติม เพื่อให้เชื่อมต่อเข้ากับสัญญาณ IP จากผู้ให้บริการ ADSL ซึ่งไม่จำเป็นต้องเป็นคนเดียวกันกับผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อน ที่ Femto Cell บางรุ่นก็แถมวงจรภาครับส่ง Wi-Fi มาให้ด้วย เบ็ดเสร็จเท่ากับว่าเป็นอุปกรณ์เครือข่ายสื่อสารแบบครบวงจรที่สามารถติดตั้ง ใช้งานในอาคารบ้านเรือนของเราได้เสร็จสรรพ



วิธีการทำตลาด Femto Cell
สำหรับวิธีการทำตลาด Femto Cell นั้น ขึ้นอยู่กับกลยุทธ์ของบริษัทผู้ให้บริการโทรศัพท์เคลื่อนที่ รวมถึงข้อกฎหมายและกติกาของผู้กำกับกิจการโทรคมนาคมและการสื่อสารในแต่ละประเทศ เนื่องจากอุปกรณ์ Femto Cell เข้าข่ายเป็นสถานีฐานโทรศัพท์เคลื่อนที่ประเภทหนึ่ง ผิดกันจากสถานีฐานขนาดใหญ่เพียงว่า Femto Cell มีกำลังส่งที่ต่ำกว่ามากๆ บางประเทศอาจอนุโลมให้อุปกรณ์ชนิดนี้ไม่ต้องเข้าข่ายเป็นอุปกรณ์ที่ต้องผูกพันกับใบอนุญาตให้บริการของผู้ให้บริการเครือข่าย ในกรณีนี้เราจะเห็นการจำหน่าย Femto Cell แบบอิสระ ใครๆ ก็สามารถซื้อหามาใช้ได้ เช่นเดียวกับหาซื้อเครื่องโทรศัพท์มือถือมาใช้งาน จะเลือกเชื่อมต่อ Femto Cell เข้ากับเครือข่ายของผู้ให้บริการโทรศัพท์มือถือรายใด ก็ขึ้นอยู่กับนโยบายและเงื่อนไขของผู้ให้บริการแต่ละรายการทำตลาดในลักษณะแรกนี้ ก็ไม่ต่างจากการทำตลาดอุปกรณ์ Wi-Fi Access Point คือผู้ค้า หรือผู้นำเข้าอุปกรณ์ Femto Cell เองจะเป็นผู้ทำตลาด จัดหาช่องทางการจำหน่าย ทำโปรโมชั่นฯลฯ โดยร่วมมือกับผู้ให้บริการเครือข่ายในการทำแพ็คเกจทางการตลาดร่วมกัน เนื่องจากยังต้องอาศัยการกำหนดค่าสำหรับให้นำอุปกรณ์ Femto Cell มาเชื่อมต่อเข้ากับเครือข่ายโทรศัพท์เคลื่อนที่รายนั้นๆ จัดว่าเป็นการทำตลาดกึ่งเสรี เพราะยังต้องเกี่ยวข้องกับตัวผู้ให้บริการโทรศัพท์เคลื่อนที่อยู่ อย่างไรก็ตาม ต้องถือว่าการทำตลาดในแบบนี้มีผลทำให้เกิดการแข่งขันในแง่ของการพัฒนา ผลิตภัณฑ์ และการแข่งขันด้านราคา ไม่แน่นักว่าจะได้เห็นราคา Femto Cell แบบที่มีลูกเล่นครบ คือ มีทั้ง Wi-Fi และคุณสมบัติที่ไม่แตกต่างจาก ADSL Router ทั่วไป ในราคาต่ำกว่า 10,000 บาท ซึ่งถือว่าคุ้ม เพราะได้ทั้งการเชื่อมต่อกับอินเทอร์เน็ต แถมยังได้สถานีฐานโทรศัพท์เคลื่อนที่ส่วนตัวมาใช้งานภายในบ้านพักหรือาคาร สำนักงานอีก



การทำตลาด Femto Cell อีกรูปแบบหนึ่ง ก็คือตัวผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ เป็นผู้คัดเลือกชนิดและรุ่นของสถานีฐาน Femto Cell พร้อมรับบทในการนำเข้า และนำเสนอขายอุปกรณ์ Femto Cell ให้กับลูกค้าของตนโดยตรง ไม่มีคนกลางใดๆ ทั้งสิ้น วิธีนี้ถือมีข้อดีตรงที่ผู้ให้บริการเครือข่ายมั่นใจได้เต็มร้อยว่าจะมีรายได้จากค่าใช้โทรศัพท์เคลื่อนที่ผ่าน Femto Cell อย่างแน่นอน ยิ่งการแพร่กระจายของ Femto Cell แพร่หลายไปมากเท่าไร บวกกับกระแสความต้องการใช้งานสื่อสารข้อมูลผ่านเครือข่ายโทรศัพท์เคลื่อนที่ เพิ่มมากยิ่งขึ้นเท่าไร รายได้เพิ่มจากตลาดในเซ็กเมนต์นี้ก็ยิ่งตกเป็นของตนเองอย่างไร้ข้อกังขา ดีกว่าจะปล่อยให้การจำหน่าย Femto Cell เป็นแบบเปิดเสรี ซึ่งผู้ซื้อไปใช้งานมีสิทธิเลือกได้ว่าจะนำ Femto Cell ที่ซื้อมาไปต่อเข้ากับเครือข่ายของผู้ให้บริการรายใดก็ได้ตามใจชอบ ฝ่ายผู้บริโภคก็น่าจะได้รับความสะดวกในแง่ที่สามารถลดความวุ่นวาย ในการกำหนดค่าพารามิเตอร์ในการติดตั้งอุปกรณ์ Femto Cell เนื่องจากผู้ให้บริการเครือข่ายเป็นผู้จัดหาและตั้งค่าต่างๆ มาให้เรียบร้อย เพียงแต่อาจรู้สึกว่าถูกมัดมือชก เพราะไม่มีสิทธิเลือกซื้ออุปกรณ์ Femto Cell ได้หลากหลายตามใจชอบ ในแง่ของราคาค่าบริการซึ่งน่าจะอยู่ในรูปของแพ็คเกจโปรโมชั่นคงไม่มีความต่างไปกว่ากรณีของการทำตลาดอุปกรณ์ Femto Cell แบบเสรีมากนัก เนื่องจากราคาของอุปกรณ์ประเภทนี้ไม่สูงมาก การทำโปรโมชั่นการตลาดเพื่อล็อกตัวผู้ใช้บริการให้ใช้งานผ่านเครือข่ายของตนเองเป็นเวลานานพอสมควร ไม่น่าจะทำให้ราคาที่รวมต้นทุนของ Femto Cell สูงมากกว่าในกรณีจำหน่าย Femto Cell แบบเสรีมากนัก
การใช้งาน Femto Cell ในทางปฏิบัตินั้น คงจะมีการให้คำแนะนำเพิ่มเติมจากตัวผู้ให้บริการเครือข่าย โทรศัพท์ เช่น การกำหนดตั้งค่าตัวเครื่องโทรศัพท์เคลื่อนที่เมื่อกลับถึงบ้านและจับใช้งาน Femto Cell เพื่อมิให้เครื่องลูกข่ายโทรศัพท์เคลื่อนที่เกิดความสับสน และแยกแยะการจับสัญญาณใช้งานได้อย่างถูกต้องระหว่างพื้นที่ให้บริการของ Femto Cell และพื้นที่ของสถานีฐานสาธารณะ ยิ่งมีการใช้อุปกรณ์สถานีฐาน Femto Cell ที่อัจฉริยะมากขึ้น ลูกเล่นและการตั้งค่าเพื่อเพิ่มขีดความสามารถและความเป็นส่วนตัวของผู้ใช้บริการก็ยิ่งมีมากขึ้น ถึงขนาดมีความเชื่อว่า Femto Cell จะเข้ามาช่วยลดต้นทุนการสร้างสถานีฐานโทรศัพท์เคลื่อนที่ของผู้ให้บริการ ด้วยการกระตุ้นให้ผู้ใช้ ช่วยลงทุนสร้างสถานีฐานขนาดเล็ก สร้างแล้วก็ใช้บริการกันเอง ถือว่าได้ประโยชน์ด้วยกันทั้งสองฝ่าย อย่างนี้ค่าบริการก็น่าจะจูงใจชวนให้ยิ่งใช้งานกันมากด้วย เพราะเท่ากับว่าเราเป็น Business Partner ช่วยลงทุนสร้างเครือข่ายไปแล้วนั่นเอง เท่าที่ได้กล่าวถึงเรื่องของเทคโนโลยี Femto Cell มาทั้งหมด ก็เพื่อเป็นการเตรียมรับการเปิดตลาด Femto Cell ในประเทศไทยในอนาคตอันใกล้ เรื่องของ Femto Cell มิใช่ว่าจะต้องเกี่ยวข้องกับเทคโนโลยีเครือข่ายโทรศัพท์มือถือ 3G เพียงอย่างเดียว เพราะในตลาดปัจจุบัน มีการพัฒนา Femto Cell สำหรับใช้กับเทคโนโลยี WiMAX และเทคโนโลยี CDMA2000 ซึ่งเป็น 3G อีกค่ายหนึ่ง เนื่องจาก Femto Cell ถือกำเนิดขึ้นใต้แนวคิดเดียวกับเทคโนโลยี Wireless LAN ซึ่งใช้กำลังส่งต่ำมากๆ ดังนั้นแม้ Femto Cell จะมีความเป็นสถานีฐานโทรศัพท์เคลื่อนที่ประเภทหนึ่ง แต่ก็น่าจะได้รับการยกเว้นมาตรการทดสอบ และเงื่อนไขการนำเข้าที่เข้มงวดจากคณะกรรมการกิจการโทรคมนาคมแห่งชาติ(กทช.) ซึ่งจะช่วยให้การทำตลาดเทคโนโลยีชนิดนี้เป็นไปโดยสะดวก

Reference


http://www.thaiinternetwork.com/forum/viewtopic.php?f=38&t=1446
http://www.telecomjournal.net/index.php?option=com_content&task=view&id=2600&Itemid=36
http://www.erakii.org/en/blog/103-telecom/544-what-is-a-femtocell
http://www.blognone.com/topics/femtocell

แนวโน้มภัยคุกคามด้านไอทีปี 2010

แนวโน้มภัยคุกคามด้านไอทีปี 2010

จากผลการรวบรวมข้อมูลและผลที่น่าจะเป็นไปได้ว่าจะเกิดภัยคุกคามด้านความมั่นคงปลอดภัยทางคอมพิวเตอร์ใน ปี 2010 ซึ่งจะเป็นเอกสารที่แตกต่างจากที่ส่งให้กับสื่อสารมวลชนจากที่อื่นๆ เนื่องจากจะลงรายละเอียดทางเทคนิคเข้าไปด้วยการทำนายภัยคุกคามด้านไอทีใน ครั้งนี้ประกอบไปด้วย 10 หัวข้อหลัก โดยมีรายละเอียดดังนี้
1. แอนตี้ไวรัสไม่เพียงพอสำหรับการป้องกัน
การกำเนิดขึ้นของภัยคุกคามแบบโพลีมอร์ฟิค (Polymorphic code – เป็นโค้ดที่ใช้กลไกโพลีมอร์ฟิค เพื่อเปลี่ยนรูปแบบ ในเวลาเดียวกันก็ยังคงรักษาอัลกอรึทึมเดิมไว้โดยไม่เปลี่ยนแปลง โค้ดดังกล่าวจะเปลี่ยนแปลงทุกครั้งที่มันทำงาน แต่การทำงานของโค้ดทั้งหมดจะไม่เปลี่ยนแปลง ในบางครั้งไวรัสคอมพิวเตอร์ เชลล์โค้ดและหนอนคอมพิวเตอร์ใช้เทคนิคนี้เพื่อซ่อนการมีอยู่ของตัวมัน) และการแพร่กระจายของมัลแวร์ที่มีลักษณะเฉพาะในปี ค.ศ. 2009 ทำให้ธุรกิจนี้ตระหนักได้อย่างรวดเร็วว่าวิธีการดั้งเดิมสำหรับแอนตี้ไวรัส (ทั้งแบบอาศัย signatures และ heuristic/behavioral) ไม่เพียงพอสำหรับการป้องกันภัยคุกคามในทุกวันนี้ โปรแกรมมัลแวร์มีอัตราในการสร้างที่สูงกว่าโปรแกรมทั่วไปที่ไม่มีประสงค์ร้าย ดังนั้นจึงอาศัยเพียงการวิเคราะห์มัลแวร์เพียงอย่างเดียวไม่ได้อีกต่อไป การใช้ข้อมูลจากไฟล์ซอฟท์แวร์ทั้งหมด อย่างเช่นการใช้ “ชื่อเสียง” ของซอฟท์แวร์ (reputation-based security) เพื่อมาประกอบการตัดสินใจ จะเป็นวิธีการหลักในปีค.ศ. 2010
เป็นที่รู้ๆกันอยู่ว่าที่ใดมี "อินเทอร์เน็ต" ที่นั่นย่อมมี "ไวรัส" เพราะเป็นช่องทางแพร่กระจายที่รวดเร็วที่สุด และยังทำเงินได้ไว และง่ายมากขึ้นสำหรับแฮกเกอร์ยุคนี้ ซึ่งว่ากันว่ามากกว่า 90% ของบรรดา มัลแวร์ ที่มีในโลกจะถูกแพร่ผ่านเว็บไซต์ และโซเชียล เน็ตเวิร์คกิ้ง และทะลุทะลวงเข้าสู่ระบบได้ไม่ยากเย็น แม้ว่าจะมีแอนตี้ ไวรัส หรือไฟร์วอลล์ แน่นหนาเพียงใด
ต่อไปนี้ คือข้อมูลจริงจากผลการทำโฟกัส กรุ๊ป ในองค์กรขนาดใหญ่ 130 แห่งทั่วโลกรวมประเทศไทย ของบริษัทซีเคียวริตี้แถวหน้า "เทรนด์ ไมโคร" เมื่อเร็วๆ นี้ พบว่า ทั้งๆ ที่มีเทคโนโลยีด้านความปลอดภัยติดตั้งอยู่แล้ว แต่แทบจะ 100% ของบริษัทเหล่านี้มี "มัลแวร์" ที่ยังแอคทีฟพร้อมทำงานฝังอยู่ในเครื่อง และราว 80% พบว่ามีการดาวน์โหลดเว็บไซต์ที่ มัลแวร์ ติดมาด้วย
นอกจากนี้ยังพบว่า บริษัท 56% มี มัลแวร์ ประเภทที่คอยจ้องโขมยข้อมูลสำคัญๆ คอยเป็นหนามทิ่งแทงองค์กรชนิดที่หาตัวจับได้ยาก โซลูชั่นชั้นเดียวไม่พอ"แอนโธนี อั้ง" ผู้จัดการด้านการตลาดและผลิตภัณฑ์ กลุ่มธุรกิจองค์กร ประจำภูมิภาคเอเชีย แปซิฟิก บริษัท เทรนด์ ไมโคร อิงค์ ยอมรับว่า วิธีการกำจัดไวรัสเดิมๆ เช่น การมีโซลูชั่นความปลอดภัย หรือติดตั้งไฟร์วอลล์ อาจไม่เพียงพอแล้วสำหรับการสกัดไวรัสยุคนี้ เพราะความซับซ้อนและเทคนิคแยบยลเพื่อหลีกเลี่ยงการตรวจจับที่ชาญฉลาดมากขึ้นเรื่อยๆ ขณะที่ความเร็วในการแพร่กระจายก็เพิ่มมากขึ้นเป็นเงาตามตัว โดยคาดการณ์กันว่าปริมาณ มัลแวร์ หรือสิ่งไม่ประสงค์ดีบนเว็บเหล่านี้จะพุ่งทะยานจากปีนี้ 1.1 ล้านชนิด เป็น 150 ล้านชนิด ในอีก 6 ปีข้างหน้า(2558) โดยเฉพาะประเทศที่อัตราการขยายตัวของอินเทอร์เน็ตสูง อย่างเช่น ไทย, มาเลเซีย และเวียดนาม
ทางออกหนึ่งที่เขาแนะคือ การเพิ่มเลเยอร์ความปลอดภัยให้ซับซ้อนมากขึ้น เหมือนๆ กับที่โปรแกรมไม่ประสงค์ดีเหล่านี้ก็ทำตัวซับซ้อนขึ้น โดยล่าสุด เทรนด์ไมโคร ได้เข็นผลงานจากการศึกษาทดลองจากห้องแล็บในจีน ซึ่งเป็นพื้นที่ที่มีการใช้อินเทอร์เน็ตสูงที่สุดในโลก และพบว่าใช้การได้ดีอย่างการเพิ่มฮาร์ดแวร์ตรวจจับ มัลแวร์ "เทรด ดิสคัฟเวอร์ลี แอพไพลแอนซ์"
บทบาทของอุปกรณ์ดังกล่าวจะทำหน้าที่เสมือนเป็น "ซีเคียวริตี้ การ์ด" คอยตรวจจับความเคลื่อนไหวทุกสิ่งอย่างที่ผ่านเข้ามาในเครือข่ายขององค์กร โดยการเปรียบเทียบกับฐานข้อมูลโปรแกรมไม่ประสงค์ดีทุกชนิดที่บริษัทเก็บเป็นดาต้าเบสกลางไว้ ซึ่งเมื่อพบสิ่งต้องสงสัย ระบบจะส่งต่อไปวิเคราะห์อัตโนมัติก่อนสกัดดาวรุ่ง ไม่ให้สิ่งแปลกปลอมผ่านเข้าถึงเครือข่ายอินเทอร์เน็ตได้ โดยกระบวนการทั้งหมดนี้ทำได้ด้วยเวลาเพียงแค่ชั่วพริบตา" แอนโธนีกล่าวว่าเวอร์ชั่นใหม่ห่างไกลไวรัส
อย่างไรก็ตาม ในฟากของผู้ใช้ตามบ้านทั่วไป ก็ยังมีอีกหลายตัวเลือก เพื่อสกัดการแพร่กระจายของโปรแกรมไม่ประสงค์ดี ซึ่งล่าสุด "บิทดีเฟนเดอร์” แนะนำให้รู้จักกับการป้องกันไวรัสใหม่ "บิทดีเฟนเดอร์ เวอร์ชั่น 2010" ที่ใช้ทรัพยากรของเครื่องน้อยลง แต่สามารถทำงานได้เร็วขึ้นกว่าเดิมไม่น้อยกว่า 30% โดยยังคงความสามารถในการป้องกันไวรัสสารพัดชนิดทั้งที่มากับอีเมล, คอมพิวเตอร์ และสื่อมัลติมีเดียต่างๆ รวมทั้งบล็อกเว็บโฆษณาและเว็บไซต์ที่ไม่เหมาะสมได้ดีมากขึ้น
ขณะที่ค่าย "ไซแมนเทค" เกาะกระแสอินเทอร์เน็ตแรงในไทยส่ง "นอร์ตัน อินเทอร์เน็ต ซีเคียวริตี้ 2010" และ "นอร์ตัน แอนตี้ไวรัส 2010" สำหรับลูกค้าทั่วไป เพื่อรับมือกับอาชญากรรมออนไลน์ ที่เพิ่มสูงขึ้นอย่างต่อเนื่อง ใช้เทคโนโลยีควอรัม (Quorum) วิธีการตรวจจับแบบฐานข้อมูลไวรัส และพฤติกรรมการใช้งาน ทำให้สามารถตรวจจับสิ่งแปลกปลอมได้ดียิ่งขึ้น โดยใช้พลังงานน้อยลง พร้อมตั้ง "เอสไอเอส" เป็นตัวแทนจำหน่ายรายใหม่โดยมีเป้าหมายให้ครอบคลุมทั้งประเทศและมีการจัดทำแพ็คเกจสำหรับประเทศไทยโดยเฉพาะ “ประเทศไทยเป็นอันดับที่ 4 ในเอเชียแปซิฟิกและญี่ปุ่น ที่เป็นต้นทางของการก่ออาชญากรรมออนไลน์ ยิ่งตลาดบรอดแบนด์โตขึ้น โอกาสเกิดปัญหาด้านนี้ยิ่งมากขึ้นตามไปด้วย ดังนั้นผู้ใช้ต้องตระหนักมากขึ้น” เอฟเฟนดี้ อิบราฮิม หัวหน้าฝ่ายธุรกิจผู้บริโภคประจำภูมิภาคเอเชียใต้ บริษัท ไซแมนเทคกล่าว

2. โซเชียล เอนจิเนียริ่งเป็นวิธีหลักในการโจมตี (Social Engineering Attack)
ผู้โจมตีมุ่งเป้าไปที่ผู้ใช้ปลายทางและพยายามหลอกล่อให้ผู้ใช้ดาวน์โหลด มัลแวร์หรือขโมยข้อมูลความลับ ความนิยมของการโจมตีแบบนี้มาจากเหตุผลที่ว่าชนิดของระบบปฏิบัติการและเว็บ บราวเซอร์ของในคอมพิวเตอร์ของผู้ใช้ไม่มีความเกี่ยวข้องกับการโจมตี เนื่องจากผู้ใช้เป็นเป้าหมายโดยตรง โดยไม่จำเป็นต้องอาศัยช่องโหว่ในเครื่องคอมพิวเตอร์ โซเชียล เอนจิเนียริ่งเป็นหนึ่งในวิธีการเบื้องต้นอยู่แล้วในปัจจุบัน และคาดว่าความพยายามในการโจมตีโดยใช้เทคนิคจะเพิ่มขึ้นมาอีกในปีค.ศ. 2010
Social Engineering นั้นคือการโจมตีรูปแบบหนึ่งของ computer ที่มีความอันตรายสูงมากเนื่องจากการโจมตีในลักษณะนี้นั้นจะเกิดขึ้นกับตัวบุคคลซึ่งเป็นจุดอ่อนที่สำคัญที่สุดในระบบ computer การโจมตีแบบSocial Engineering ผู้โจมตีไม่มีความจำเป็นที่จะต้องมีความรู้ความชำนาญเกี่ยวกับ computer แต่อย่างใดขอเพียงแค่มีจิตวิทยาในการพูดและการแสดงออกระดับหนึ่งก็สามารถที่จะการทำการโจมตีได้แล้วและการโจมตีในลักษณะนี้นั้นยังสามารถป้องกันได้ยากเป็นอย่างมากเพราะว่ามันเกี่ยวข้องกับตัวบุคคลไม่ใช่ระบบ Computer
ระบบ Computer ส่วนใหญ่นั้น ถึงแม้ว่าจะมีการรักษาความปลอดภัยที่ดีเพียงใด แต่สิ่งหนึ่งที่เราต้องระมัดระวังก็คือ ตัวบุคคล การโจมตีแบบ Social Engineering นี้นั้น มักเป็นการโจมตีที่ผู้ดูแลระบบทั่วไปมักจะคาดไม่ถึงและตกเป็นเหยื่ออยู่เป็นประจำรูปแบบของการโจมตีในลักษณะนี้ได้แก่
2.1 การหลอกถามเอาซึ่งหน้า
เป็นหนึ่งในวิธีการที่ใช้กันเป็นอย่างมาก โดยวิธีการนี้นั้นสามารถทำได้โดยวิธีการต่างๆ ยกตัวอย่าง เช่นการบอกว่าเป็นผู้ที่มีอำนาจหรือมีหน้าที่เกี่ยวข้องกับระบบและต้องการจะเข้าถึงระบบ โดยส่วนใหญ่จะเป็นการสั่งการเข้าไปโดยตรง, การปลอมตัวเป็นผู้หวังดีต้องการจะช่วยเหลือระบบ เช่น การแจ้งว่ามีช่องโหว่, มีการบุกรุกเข้าไปในระบบ และขออำนาจในการเข้าถึงเพื่อช่วยเหลือ เป็นต้น

ตัวอย่าง บทสนทนาแบบหลอกถามเพื่อการเข้าถึงระบบ
Attacker: สวัสดีครับ นี้ผม Viruscom2 มิทราบว่าผมกำลังคุยกับใครอยู่?
Victim : เออคือว่าคุณกำลังคุยอยู่กับเจ้าหน้าที่แผนก Network Technician อยู่ มิทราบว่ามีธุระอะไรหรือ
เปล่า?
Attacker: คือว่าตอนนี้นั้นผมได้รับคำสั่งจากหัวหน้าฝ่ายให้ย้ายมาดูแลเรื่องความปลอดภัยเกี่ยวกับ
Computer ในระบบนี้
Victim : แล้วไม่ทราบว่าต้องการให้ผมช่วยเหลืออะไรหรือไม่?
Attacker: ในตอนนี้นั้นผมยังไม่มี User ที่สามารถเข้าไปดูแลความปลอดภัยภายในระบบเลย ถ้าไม่เป็นการ
รบกวนอะไรมากนักคุณพอจะช่วยจัดหาให้ได้หรือไม่ พอดีผมพึ่งย้ายเข้ามาใหม่นะครับ
Victim : เออ User คือ AAA Password ก็ AAA นะครับลอง Login เข้าไปดู ติดขัดตรงไหน ต้องการ
ข้อมูลอะไรก็บอกได้นะพร้อมที่จะช่วยเหลือ
Attacker: ขอบคุณมากนะครับถ้าไม่ได้คุณคงแย่เลย
Victim : ไม่เป็นไรพร้อมที่จะช่วยเหลือ
และ Attacker ก็สามารถ Access เข้าสู่ระบบได้โดยที่ไม่จำเป็นที่จะไปแหกด่าน firewall หรือ
เผชิญกับการตรวจจับของ IPS

2.2 การค้นหาเอกสาร
วิธีการนี้เป็นวิธีการง่ายๆ แต่สามารถใช้ได้ผลจริง โดยทั่วไปของมนุษย์นั้นมักจะมีการจด Note ไว้ในที่ต่างๆเพื่อเป็นการป้องกันการลืม แต่หารู้ไหมว่านั้นคือการช่วยเหลือผู้ที่ต้องการโจมตีอย่างแท้จริง และในกรณีนี้นั้นยังรวมไปถึงการขโมยเอกสารต่างๆ, การคุ้ยถึงขยะเพื่อหาข้อมูลด้วย
การป้องกัน Social Engineering
อย่างที่เราได้รู้กันไปแล้วนั้นว่า Social Engineering คือการโจมตีในรูปแบบหนึ่งที่มีความอันตรายสูงและสามารถป้องกันได้ยากเพราะการโจมตีในรูปแบบนี้เกิดขึ้นกับตัวบุคคลเพราะเช่นนั้นการที่จะป้องกันการโจมตีในลักษณะนี้นั้นเราต้องเน้นไปที่การฝึกอบรมบุคลาการเป็นหลัก, ให้ความรู้และความเข้าใจในเรื่องของSocial Engineering เพื่อที่จะไม่ตกเป็นเหยื่อของการโจมตีแบบรู้เท่าไม่ถึงการณ์

3. ผู้ขายซอฟท์แวร์ประเภท “rogue security software” จะเพิ่มความพยายามมากขึ้น
ในปีค.ศ 2010 คาดว่าจะมีความพยายามของผู้แพร่กระจาย rogue security software (มัลแวร์ที่พยายามลวงให้ผู้ใช้จ่ายเงินสำหรับผลิตภัณฑ์ปลอม) เพิ่มไปอีกระดับ แม้แต่กระทั่งการโจมตีคอมพิวเตอร์ของผู้ใช้ เพื่อทำให้ใช้การไม่ได้และเรียกค่าไถ่ จากนั้นผู้ขายซอฟท์แวร์เปลี่ยนชื่อซอฟท์แวร์แอนตี้ไวรัสแจกฟรีที่สามารถ ดาวน์โหลดได้ทั่วไป ที่ผู้ใช้เข้าใจว่าจำเป็นต้องจ่ายเงินซื้อ เพื่อมาเสนอขายให้กับผู้ใช้ที่ไม่รู้ข้อเท็จจริง
ฟอร์ติเน็ต ผู้บุกเบิกและผู้ให้บริการชั้นนำด้านโซลูชั่นการบริหารจัดการป้องกันภัยแบบ เบ็ดเสร็จ หรือที่เรียกว่า ยูทีเอ็ม (UTM - Unified Threat Management) เผยรายงาน 10 อันดับภัยคุกคามที่มีอัตราความเสี่ยงมากที่สุด สำหรับสองเดือนที่ฟอร์ติเน็ตได้เฝ้าระวังอย่างต่อเนื่องนี้พบว่า แอพพลิเคชั่นรักษาความปลอดภัยปลอมที่มาพร้อมมัลแวร์ หรือ Rogue Security Software ได้รุกรานเครือข่ายไซเบอร์สเปซในระดับที่เข้มข้นรุนแรงขึ้น โดยคิดเป็น 61.5% ของภัยคุกคามไซเบอร์ทั้งหมดที่เกิดขึ้นภายในเดือนกันยายน โดยเฉพาะในระหว่างวันที่ 9 ถึง 15 กันยายนที่ผ่านมาที่ ‘W32/Inject.GZW!tr.bdr’ ซึ่งเป็นโทรจันที่รุกรานความปลอดภัยของระบบและแพร่กระจายตัวได้สูงสุดได้ กระจายตัวเผยแพร่ ไปทั่วในระดับที่นักวิจัยของฟอร์ติเน็ตไม่เคยพบมาก่อน มีเพียงการโจมตีเครือข่ายจนเกิดภาวะคอขวดที่ชื่อว่า สตอร์ม (Storm) ในเดือนมกราคม/กุมภาพันธ์ พ.ศ. 2550 เท่านั้นที่แพร่กระจายในปริมาณใกล้เคียงกับ W32/Inject.GZW!tr.bdr ในเดือนที่ผ่านมา
ไม่ใช่เรื่องน่าแปลกประหลาดใจแต่ประการใดที่มัลแวร์ประเภทนี้จะอยู่ในสี่ อันดับแรกของรายการ 10 อันดับภัยร้ายสูงสุดในโลกไซเบอร์ และยังส่งให้ภัยร้ายที่มาในรูปของระบบรักษาความปลอดภัย หรือ Rogue Security ก้าวสู่อันดับหนึ่งในบรรดาภัยคุกคามประเภทมัลแวร์ทั้งหลายตลอดทั้งเดือน จากรายงานที่มีการเผยแพร่เมื่อเดือนล่าสุดพบว่า AntiVirus XP 2008 (55.5%) และ XP Security Center (6%) เป็นแอพพลิเคชั่นรักษาความปลอดภัยปลอมพร้อมมัลแวร์ที่ส่งผลร้ายมากที่สุดในเดือนกันยายน
"เมื่อเราตรวจพบสิ่งผิดปกติที่เกิดขึ้น ในกรณีนี้คือแอพพลิเคชั่นรักษาความปลอดภัยปลอม ชี้ให้เห็นว่าภัยคุกคามกำลังทำงานและอาชญากรรมไซเบอร์ก็กำลังออกโจมตีอย่างรวดเร็ว โดยใช้สถานการณ์นี้ให้เป็นประโยชน์อย่างสูงสุด ไม่เพียงเท่านั้น มันยังทำให้เรารู้ว่า องค์กรที่ก่ออาชญากรรมเหล่านี้มีทรัพยากรพร้อมพรั่งใน ระดับไหน" มร.ดีเรค แมนคีย์ นักวิจัยด้านระบบรักษาความปลอดภัยของฟอร์ติเน็ตกล่าว "เพื่อให้รอดพ้นจากกับดักเหล่านี้ ผู้บริโภคควรมั่นใจว่าแหล่งที่มาของแอพพลิเคชั่นรักษาความปลอดภัยที่คุณได้มานั้นถูกต้องตามกฎหมาย ผู้บริโภคไม่ควรไว้ใจข้อความที่หน้าตาเหมือนข้อความจากระบบที่บอกว่าได้พบ สิ่งผิดปกตินับร้อยตัวในเครื่องของคุณและให้ทำตามขั้นตอนที่ปรากฏเพื่อสั่งซื้อและลบล้างสิ่งผิดปกติดังกล่าว" ทีมงานวิจัยระบบรักษาความปลอดภัยระดับโลกฟอร์ติการ์ดของฟอร์ติเน็ต (FortiGuard Global Security Research Team) ได้จัดทำรายงานดังกล่าว โดยอ้างอิงจากความสามารถในการป้องกันภัยอัจฉริยะแบบ มัลติเทร็ธของฟอร์ติเกท (FortiGate) ซึ่งปฏิบัติหน้าที่อยู่ทั่วทุกจุดของโลก โดยลูกค้าที่เป็นสมาชิกของฟอร์ติการ์ดได้รับการคุ้มกันจากภัยคุกคามต่างๆ ที่ปรากฏในรายงาน ฉบับนี้ด้วย
มัลแวร์ประเภทอื่นๆ ที่กำลังเป็นที่จับตาในช่วงระยะเวลานี้ประกอบด้วย Virut.A เป็นไวรัสที่ติดมากับไฟล์ประเภท .exe หรือไฟล์ปฏิบัติการ ยังคงเป็นไวรัสที่ ก่อผลร้ายอย่างรุนแรง อยู่ในอันดับที่ 7 และพุ่งไปอยู่ในห้าอันดับแรกเป็นครั้งแรกภายใน เจ็ดเดือน Goldun.AXT เป็นโทรจันประเภทจดจำการพิมพ์ (keylogger) มีอัตราการแพร่กระจายและรุนแรงเป็นอันดับที่ 6 Crypt.MV ส่วนหนึ่งของไวรัสตระกูล Pushdo อยู่ในอันดับที่ 10 เมื่อเปรียบเทียบกับตำแหน่งของ 100 อันดับแรกที่มีการเปลี่ยนแปลงในเดือนสิงหาคมอันดับต่อไปนี้คือ ภัยคุกคามแบบตามรายชื่อ (Individual threats) 10 อันดับแรก และภัยคุกคามแบบตามรายกลุ่ม (Threat families) 5 อันดับแรกประจำเดือนกันยายน ซึ่งมีมัลแวร์ประเภทใหม่ๆ ปรากฎให้เห็นหลังจากที่มีการตรวจพบ
10 อันดับแรกของภัยคุกคามแบบตามรายชื่อ (Individual Threats)


5 อันดับแรกของภัยคุกคามแบบตามรายกลุ่ม (Families Threats)



สามารถอ่านรายงานประจำเดือนกันยายนฉบับสมบูรณ์ได้ที่http://www.fortiguardcenter.com/reports/roundup_sep_2008.html
สำหรับศูนย์บริการสมาชิกฟอร์ติการ์ดสามารถดูรายละเอียดได้ที่ http://www.fortinet.com/products/fortiguard.html


4. การโจมตีผลการค้นหาเสิร์ชเอนจิ้น (SEO Poisoning attack)
SEO (Search Engine Optimization) ถือว่ามีทั้ง ข้อดี และ ข้อเสีย ในตัวเอง หากใช้ถูกทางก็สามารถสร้างรายได้จาก SEO ได้ แต่บางครั้งเราจะพบว่า SEO เป็นช่องทางในการหลอกหลวงโดยการเกาะกะแสสังคมที่เกิดขึ้นได้เช่นกัน การโจมตีที่เรียกว่า SEO poisoning attack หรือ Black hat SEO attack เกิดขึ้นเมื่อแฮกเกอร์โจมตีผลการค้นหาจากเสิร์ชเอนจิ้นเพื่อทำให้ลิงค์ของ พวกเขาอยู่สูงกว่าผลการค้นหาทั่วไป เมื่อผู้ใช้ค้นหาคำค้นที่เกี่ยวข้อง ลิงค์ที่มีมัลแวร์จะปรากฏใกล้กับตำแหน่งสูงสุดของผลการค้นหา ทำให้เกิดจำนวนคลิกไปยังเว็บมุ่งร้ายที่มากขึ้นกว่าเดิมมาก ในปีค.ศ. 2008 ผู้โจมตีใช้เทคนิคนี้เพื่อเพิ่มผลการค้นหาที่มุ่งร้ายจากการค้นหาทุกอย่าง ที่เกี่ยวกับ “MTV VMA awards” และ “Google Wave invites” ไปจนถึง “iPhone SMS features” และ “US Labour Day sales” การโจมตีนี้ประสบความสำเร็จ เพราะทันทีที่การรณรงค์ที่มุ่งร้ายนี้ถูกจับได้และลบออกจากผลการค้นหา ผู้โจมตีก็จะเปลี่ยนเส้นทางของบอทเน็ตไปยังคำค้นใหม่ที่เหมาะสมกับเวลา การรณรงค์ที่ไม่หยุดยั้งนี้ดูเหมือนจะเพิ่มขึ้นในปีค.ศ. 2010 และอาจทำให้เกิดปัญหาด้านความเชื่อถือในผลการค้นหาของผู้ใช้บริการ ถ้าผู้ให้บริการยังไม่เปลี่ยนวิธีการบันทึกและแสดงลิงค์
การโจมตีรูปแบบนี้ ผู้โจมตีจะส่งหัวข้อยอดนิยมเข้าไปในเว็บค้นหา หรือ Search Engine เช่น ชื่อดาราดังที่ตกเป็นข่าว, ไข้หวัดใหญ่ 2009 เป็นต้น เมื่อมีผู้คลิกเปิดดูเว็บไซต์ ไซต์นั้นกลับกลายเป็นเว็บไซต์มุ่งร้าย ส่งผลให้คอมพิวเตอร์ที่ใช้งานถูกควบคุม หรือนำผู้ใช้ไปยังผลิตภัณฑ์ที่ลวงว่าเป็นซอฟต์แวร์แอนตี้ไวรัส (rogue antivirus products) ด้วยเหตุนี้จึงควรคำนึงถึงชื่อเสียงและความน่าเชื่อถือของเว็บไซต์ที่แสดงผล โดยเว็บค้นหา ก่อนเข้าเยี่ยมชม ผลิตภัณฑ์ประเภท “Rogue Security Product” เป็นมัลแวร์ที่ล่อลวงให้ผู้ใช้งาน จ่ายเงินซื้อผลิตภัณฑ์ปลอม ตัวอย่างเช่น “File Fix Professional” ที่ผู้เขียนซอฟต์แวร์นี้ไม่ได้ผลักดันซอฟท์แวร์เอง แต่ทำโดยผู้เป็นเจ้าของบอทเน็ต โดย "File Fix Pro" จะ “เข้ารหัส” ไฟล์บางไฟล์ในโฟลเดอร์ "My Documents" แล้วแสดงข้อความบ่งบอกความผิดพลาดที่ดูสมจริง บอกว่าระบบวินโดวส์แนะนำให้ดาวน์โหลดเครื่องมือพิเศษเพื่อแก้ไขไฟล์ โดยให้ผู้ใช้คลิกดาวน์โหลด "File Fix Pro" เพื่อ “ซ่อม” ไฟล์ดังกล่าว แต่แท้จริงแล้วเป็นเพียงการ “ถอดรหัส” ให้สามารถใช้งานได้ตามปกติ หากผู้ใช้ยอมจ่ายเงินจำนวนหนึ่งสำหรับผลิตภัณฑ์นี้
วิธีนี้เป็นกลยุทธ์ที่แยบยลในการหลอก ผู้ใช้ ซึ่งไม่รู้ว่าไฟล์ของตน “ถูกจับเป็นตัวประกัน” และการซื้อซอฟต์แวร์นี้เป็นเพียงการจ่ายค่าประกันตัวในการกู้คืนไฟล์เท่า นั้น ซึ่งผู้ขายซอฟต์แวร์ดังกล่าวไม่ได้ทำสิ่งผิดกฎหมายแต่อย่างใด

5. โปรแกรมเสริมสำหรับเครือข่ายสังคมจะถูกใช้เพื่อการหลอกลวง
ด้วยความนิยมของไซต์เครือข่ายสังคมที่มีการเติบโตอย่างคาดไม่ถึง คาดว่าจะมีความพยายามในการหลอกลวงผู้ใช้เพิ่มขึ้น เช่นเดียวกันกับเจ้าของเว็บไซต์เหล่านี้ จะพยายามสร้างมาตรการในการแก้ไขภัยคุกคามเหล่านี้ด้วย เนื่องจากสิ่งเหล่านี้เกิดขึ้น และเว็บไซต์เหล่านี้ได้ยอมให้นักพัฒนาสามารถเข้าถึงเอพีไอ (APIs) ผู้โจมตีจะพยายามโจมตีช่องโหว่ในแอพพลิเคชั่นเสริมสำหรับผู้ใช้เครือข่ายสังคม เหมือนกับที่เราเห็นผู้โจมตีมุ่งเป้าการโจมตีไปที่ปลั๊กอินเนื่องจากเว็บบราวเซอร์ปลอดภัยมากขึ้น
จุดอ่อนด้านความปลอดภัยของเว็บเครือข่ายทางสังคม (Social Networking Web) ซึ่งเป็นที่นิยม เช่น Hi5, Facebook, Myspace สำหรับการจู่โจมเว็บไซต์ประเภทนี้ จะจู่โจมทางโปรแกรมที่ผู้ใช้ติดตั้งไว้ในหน้าโพรไฟล์ของตัวเอง เว็บประเภทนี้นอกจากจะให้ผู้ใช้เข้าไปสร้างข้อมูลเกี่ยวกับตัวเองแล้ว ยังมีโปรแกรมที่น่าสนใจให้ผู้ใช้เลือกไปติดตั้งเป็นของประดับให้หน้าโพรไฟล์ของตัวเองให้น่าสนใจอีกด้วย ซึ่งนักวิจัยจาก Foundation for Research and Technology จากประเทศกรีซ ชื่อว่า Andreas Makridakis ได้พัฒนาโปรแกรมในกลุ่ม Photo of the Day ของ facebook เพื่อทดลองแนวคิดของการจู่โจมดังกล่าว โดยโปรแกรมนี้เรียกว่า facebot โปรแกรมดังกล่าวจะเป็นโปรแกรมที่แสดงรูปภาพจากเว็บไซต์ของ National Geographic แต่ในขณะเดียวกันมันจะส่งคำสั่งขนาด 600 กิโลไบต์ ไปขอรูปภาพจากเว็บไซต์ซึ่งเป็นเป้าหมาย ทุกครั้งที่มีการคลิกรูปภาพ ซึ่งในการทดลองนี้ เขาได้ตั้งให้โปรแกรมจู่โจมเว็บไซต์เป้าหมายที่เขาสร้างขึ้นมาเอง และที่น่าสนใจก็คือ เขาบอกว่าเขาไม่จำเป็นต้องหลอกลวง หรือทำโฆษณาอะไรมากมาย ให้ใครติดตั้งโปรแกรมนี้ เพียงแต่เขาเอาไปโพสต์ไว้ และเชื้อเชิญนิดหน่อยว่าให้ผู้ใช้ลองคลิกที่รูป และให้ชวนเพื่อนมาใช้โปรแกรม ก็มีคนนำไปติดตั้งไว้ในโพรไฟล์ของตัวเอง ซึ่งเท่าที่ตรวจสอบดู พบว่ามีคนนำเข้าไปติดไว้แล้วประมาณ 664 คน (นั่นหมายความว่า โปรแกรมนี้ยังอยู่บน facebook แต่ก็มีคนทราบและโพสต์บอกไว้แล้ว) ซึ่งก็หมายความว่าถ้าเป็นอย่างนี้ ก็จะอาจมีการจู่โจมเว็บไซต์เป้าหมายจาก คอมพิวเตอร์ได้จากคอมพิวเตอร์เป็นร้อยๆ เครื่องได้พร้อมๆ กัน ซึ่งถ้าหากเป็นโปรแกรมที่มุ่งร้ายและมีการหลอกลวงหรือเชื้อเชิญให้คนติดตั้งไปใช้เยอะๆ จะเกิดอะไรขึ้น ซึ่งก็จะเห็นได้ว่าผู้คนที่โหลดโปรแกรมมาติดตั้งไว้ก็จะกลายเป็นผู้สมรู้ร่วมคิดในการทำให้เว็บล่มไปโดยไม่รู้ตัว นี่เป็นผลกระทบกับเว็บของคนอื่น สำหรับผลกระทบกับเจ้าของโพรไฟล์ ก็มีการทดลองเขียนโปรแกรมที่สามารถล็อกเอาต์ผู้ใช้ออกจากโพรไฟล์ของตัวเองหรือให้ส่งคำเชิญเพื่อนไปโดยเจ้าของโพรไฟล์ไม่รู้เรื่อง ซึ่งโปรแกรมทดลองดังกล่าวอาจดูไม่อันตรายอะไรมาก แต่มันก็แสดงให้เห็นว่า ผู้ไม่ประสงค์ดีสามารถเขียนโปรแกรมร้ายกาจอื่น ๆ โดยใช้ช่องทางเดียวกันนี้ได้ ทางป้องกันมีทางเดียว คือต้องให้ทางเว็บเครือข่ายสังคม ป้องกันไม่ให้โปรแกรมที่เขียนขึ้นมาไปติดต่อกับเว็บอื่นๆ ที่ไม่ใช่ส่วนหนึ่งของเว็บเครือข่ายสังคม และหมั่นตรวจสอบโปรแกรมใหม่ๆ ที่เขียนขึ้นมาสำหรับเว็บเครือข่ายสังคมดังกล่าว

6. วินโดวส์ 7 จะตกเป็นเป้าหมายการผู้โจมตี
ไมโครซอฟท์ได้ออกซอฟท์แวร์แก้ไขตัวแรกสำหรับระบบปฏิบัติการใหม่แล้ว ตราบใดที่มนุษย์เป็นผู้โปรแกรมโค้ดคอมพิวเตอร์ ก็ยังจะมีช่องโหว่ในโค้ดนั้น ไม่ว่าจะมีการทดสอบก่อนการวางตลาดของซอฟท์แวร์อย่างละเอียดเพียงใด ถ้าโค้ดนั้นมีความซับซ้อนมาก ยิ่งทำให้เป็นไปได้ที่จะมีช่องโหว่ที่ยังไม่ค้นพบระบบ ปฏิบัติการใหม่ของไมโครซอฟท์ก็ไม่มีข้อยกเว้น และเนื่องจากวินโดวส์ 7 ได้ออกวางตลาดและใช้งานแล้ว ผู้โจมตีจะสามารถค้นพบวิธีโจมตีผู้ใช้งานอย่างไม่ต้องสงสัยเลย
นาย Laurent Gaffie แฮคเกอร์รายหนึ่งอ้างว่า พบช่องโหว่ที่สามารถโจมตี Windows 7 และ Windows Vista ผ่านทางอินเทอร์เน็ตได้ โดยได้มีการพัฒนาโค้ด เพื่อพิสูจน์แนวคิดข้างต้นเรียบร้อยแล้ว พร้อมทั้งเผยแพร่โค้ดโดยละเอียดไว้แล้วในบล็อกของเขาอีกด้วย เขาอ้างว่า เขาพบวิธีโจมตีระบบปฏิบัติการรุ่นใหม่ล่าสุดที่กำลังจะออกมาอย่าง Windows 7 รวมถึงโอเอสรุ่นปัจจุบันอย่าง Vista ผ่านทางอินเทอร์เน็ต โดยระบบจะแสดงหน้าจอน้ำเงินมรณะ (Blue Screen Of Death) ขึ้นมาอย่างไรก็ตาม ไมโครซอฟท์กล่าวว่า ทางบริษัทมั่นใจ Windows 7 ไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว อีกทั้งยังไม่ได้รับรายงานใดๆ จากลูกค้าว่า โดนโจมตีจากช่องโหว่ที่พบนี้


Gaffie ตอบกลับทันทีว่า ช่องโหว่ดังกล่าวไม่สามารถใช้งานได้ตลอดเวลา แต่มันมีอยู่จริง “กรณีของ Windows 7 เป็นเรื่องที่น่าขัน เพราะผู้ใช้ส่วนใหญ่ที่โพสต์ข้อความในบล็อกของผมประมาณ 50% บอกว่า มัน (โค้ด) เวิร์ก ในขณะที่อีก 50% บอกว่า มันไม่เวิร์ก ผมเดาว่า มันอาจจะเกิดจากการที่บางเวอร์ชันไม่ได้ใช้ไดรเวอร์ตัวเดียวกัน” ช่องโหว่ที่ว่านี้ยังอาจจะนำไปสู่การพัฒนารูปแบบการโจมตีแบบ DDoS ได้อีกด้วย


อย่างไรก็ตาม ทาง Internet Storm Center (ISC) ได้ยืนยันว่า ช่องโหว่ดังกล่าวสามารถใช้งานได้จริง นอกจากนี้ ข้อความคอมเมนต์ที่ปรากฎในบล็อกของ Gaffie ก็ระบุตรงกัน โดยผลลัพธ์ของการโจมตีจะทำให้คอมพิวเตอร์ของเหยื่อเกิดอาการที่เรียกว่า จอน้ำเงินมรณะ (BSOD) ลักษณะคือ โอเอสจะแสดงหน้าจอสีน้ำเงินพร้อมแสดงบรรทัดของโค้ดการทำงานในส่วนที่ผิดพลาด จนล่ม ผู้ที่เข้ามาคอมเมนต์ในไซต์ยังเชื่อว่า โค้ดที่พัฒนาขึ้นมานั้นสามารถนำไปปรับแต่ง เพื่อเจาะเข้าไปควบคุมการทำงานบนคอมพิวเตอร์ของเหยื่อได้โดยสมบูรณ์ได้อย่าง ง่ายดาย

Gaffie อธิบายว่า ช่องโหว่ที่พบจะอยู่ในโพรโตคอลของการทำงานที่เรียกว่า System Message Block (SMB) Version 2 ซึ่งพบใน Windows Vista, Windows 7 และ Windows Server 2008 ส่วนระบบปฏิบัติการเวอร์ชันก่อนหน้านี้อย่าง Windows XP และ Windows 200 จะใช้ SMB1 จึงไม่ได้รับผลกระทบจากช่องโหว่ที่ว่านี้ ในส่วนของ SMB มันเป็นโพรโตคอลหนึ่งสำหรับการทำงานบนเครือข่ายที่ทำให้ Windows สามารถแชร์ไฟล์ ไดเร็กทอรี และอุปกรณ์ต่างๆ ให้ใช้งานร่วมกันได้ ซึ่ง SMB2 เป็นเวอร์ชันอัพเดตของโพรโตคอล SMB1 เพื่อลดความจำเป็นที่ต้องมีการตรวจสอบกลับไปกลับมาระหว่างเครื่องไคลเอ็นต์ และเซิร์ฟเว่อร์หลายรอบ

7. บอทเน็ตแบบฟาสฟลักซ์จะมีจำนวนเพิ่มขึ้น (Botnet Fast Flux)
ฟาสฟลักซ์ (fast flux) เป็นเทคนิคที่ใช้โดยบอทเน็ตบางประเภทเช่น สตอร์มบอทเน็ต (Storm botnet) เพื่อซ่อนไซต์ฟิชชิ่งและเว็บไซต์มุ่งร้ายที่อยู่เบื้องหลังเครือข่ายของ โฮสต์ที่ถูกบุกรุก ที่ทำตัวเป็นพร็อกซี่ (proxies) ที่เปลี่ยนแปลงตลอดเวลา โดยการใช้เครือข่ายเพียร์ทูเพียร์ (peer-to-peer) คำสั่งและการควบคุมแบบกระจาย โหลดบาลานซิ่ง (load balancing) และการเปลี่ยนเส้นทางของพร็อกซี (proxy redirection) ทำให้ยากในการติดตามที่อยู่ทางภูมิศาสตร์ดั้งเดิมของบอทเน็ต เนื่องจากมาตรการตอบโต้เพื่อลดประสิทธิภาพของบอทเน็ตแบบดั้งเดิมของธุรกิจ ด้านความปลอดภัย ทำให้คาดได้ว่าจะมีการใช้เทคนิคนี้เพื่อการโจมตีมากขึ้น
FastFlux : เป็น เทคนิคทาง DNS ที่ใช้โดย Botnet เพื่อซ่อนเว็บไซต์ที่ทำหน้าที่ให้บริการ Phisihing และมัลแวร์ ที่อยู่เบื้องหลังเครือข่ายของโฮสต์ที่ถูกบุกรุกทำตัวเป็น Proxy ที่มีการเปลี่ยนแปลงตลอดเวลา รวมถึงเครือข่ายแบบ Peer-to-Peer รวมกันหลายเครือข่าย ใช้เทคนิคต่างๆ ได้แก่ การใช้คำสั่งและการควบคุมแบบกระจาย (Distributed) การใช้ Load Balancing และการเปลี่ยนเส้นทาง proxy เพื่อทำให้การเครือข่ายมัลแวร์ยากต่อการถูกตรวจพบและการป้องกัน Storm Worm เป็นหนึ่งในมัลแวร์ที่ใช้เทคนิคเหล่านี้ผู้ใช้อินเทอร์เน็ตอาจพบการใช้ fast flux ในการโจมตี phishing ที่มีเชื่อมโยงกับกลุ่มอาชญากร รวมถึงการโจมตี MySpace ด้วยในปี 2008 นี้
ในปี 2008 อาจมีอาชีพใหม่ ในการค้าขาย กองทัพ botnet ในตลาดอินเตอร์เน็ทก็เป็นได้ ทั้งนี้กองทัพ botnet อาจจะมีมากในประเทศที่พึ่งมีการเชื่อมต่ออินเตอร์เน็ท และระบบเครือข่ายใหม่ๆ ที่ยังขาดการป้องกันภัยที่ดี อีกทั้งจะมีจำนวนมากขึ้นสำหรับประเทศที่ยังไม่มีกฎหมายเอาผิดกับผู้ใช้ botnet ซึ่งผลที่เกิดจากการโจมตีของ Botnet ไม่ใช่แค่เพียงการส่ง Spam , DDoS/DoS , Virus/worm อีกต่อไป แต่เป็นภัยคุกคามอื่น ที่คาดไม่ถึงว่าจะเกิดขึ้นก็เป็นไปได้



8. บริการย่อลิงค์ให้สั้นจะกลายเป็นเครื่องมือสำหรับฟิชชิ่ง (Short URL Phishing)
ทุกวันนี้มีผู้ใช้บริการที่เรียกว่า Miniblog เป็นจำนวนมาก ที่ประสบความสำเร็จคือ twitter เนื่องจาก twitter มีการส่งข้อความที่จำกัดตัวอักษรจึงเป็นเหตุให้ หากทำ Link URL ในข้อความจำเป็นต้องอาศัยบริการ short URL ขึ้น ดังนั้นในปี 2010 การใช้ short URL ในการสื่อสารจะมีปริมาณมากขึ้น และเนื่องจากผู้ใช้มักไม่รู้ว่าลิงค์ยูอาร์แอล (URL) ที่ย่อให้สั้นแล้วนั้นจะพาไปที่ไหน ผู้โจมตีฟิชชิ่ง (Phishing) จึงสามารถซ่อนลิงค์ที่ผู้ใช้ที่ระมัดระวังเรื่องความปลอดภัยและคิดก่อนคลิก ดังนั้นจึงมีแนวโน้มที่จะใช้วิธีนี้เพื่อแพร่กระจายแอพพลิเคชั่นหลอกลวง ซึ่งจะมีจำนวนมากกว่าเดิม นอกจากนี้ยังมีความพยายามที่จะหลีกเลี่ยงระบบกลั่นกรองสแปม โดยคาดว่าผู้ส่งสแปมจะใช้บริการย่อลิงค์ให้สั้นเพื่อใช้ในกระทำที่มุ่งร้าย ควรหาบริการ Short URL ที่สามารถตรวจสอบภัยคุกคามได้ เช่น http://sran.org/ ที่ให้บริการตรวจหาฟิชชิ่ง (Phishing) และภัยคุกคามจาก URL ต้นฉบับได้ เป็นต้น นักวิจัย SRAN Technology ได้คิดค้นการสร้าง Short URL Services สำหรับนัก tweet และ Social network ให้สามารถใช้ short URL ที่มีความปลอดภัยสูง โดยการตรวจ Link URL ให้ว่ามีการแฝงไปด้วยภัยคุกคามและเป็นเว็บไซต์ที่หลอกลวงหรือไม่ได้สำเร็จแล้ว


ภาพหน้าจอ SRAN short URL Protect Your Link Service


คุณสมบัติ Short URL protect your Link ได้แก่
1. ช่วยให้จำ Link URL ได้สะดวกขึ้น ไม่ต้องจำ Link ที่ยาวๆ ลดพื้นที่ในการพิมพ์ข้อความใน twitter หรือพวก social network program

ภาพการสร้าง Short URL เมื่อเราต้องการทำให้ URL ที่เราส่ง message บอกคนอื่นให้มีขนาดอักษรในการส่งสั้นลง


2. ตรวจสอบภัยคุกคาม URL Link ที่ต้องการส่งให้เพื่อนหรือคู่สนทนา หรือแสดงข้อมูลข่าวสารผ่านอินเตอร์เน็ต ได้แก่ URL phishing / malware / spam โดยถ้าเป็น URL Link ที่ไม่ปลอดภัยจะขึ้นข้อความเตือนว่า “Unsafe” โดยตรวจจากฐานข้อมูล Google safe browsing


ภาพเมื่อ Link URL นั้นมีความเสี่ยงภัยคุกคามเช่น เป็น Link Malware / Phishing / Spam

3. ทำให้ URL ที่ท่านส่งนั้นมีขนาดความยาวชื่อสั้นลง และสามารถพิมพ์ลงในระบบ social network ได้
4. ตรวจดู Log พฤติกรรมโดยบอกถึงสถิติผู้ที่ดู Link ที่เราสร้างขึ้นได้ ทำให้เราทราบถึงผู้ที่เปิด Link ของเราว่ามาจากไหนและได้แหล่งข่าวนั้นมาจากที่ใดได้อีกด้วย

ยกตัวอย่าง คนเข้า Link http://sran.org/q เป็น short URL โดยที่ URL เต็มคือ http://www.gbtech.co.th/th/product/sran-light



ซึ่งจะทำให้เราทราบถึงข้อมูล Bot ที่ทำการสืบค้นข้อมูลจาก Link ที่เราส่งข้อมูลไปได้ ซึ่งทำให้เราจัดทำสถิติว่า Link URL ของเราได้ว่ามีความนิยมจาก แหล่ง IP Address / Location / Bot ที่ใช้ทำ searching ค่ายไหนที่สนใจ Link เราอยู่ นับว่าเป็น Short URL ที่สามารถตรวจสอบภัยคุกคามที่แฝงมากับ URL ได้เป็นรายแรกของประเทศไทย และทำให้คอ twitter / Facebook หรืออื่นๆ ได้มีความมั่นใจกับการส่งข้อมูลข่าวสารได้มากขึ้น ว่าไม่มีภัยแอบแฝงอยู่

9. มัลแวร์ที่ออกแบบมาเพื่อทำงานเฉพาะด้าน
ได้มีการค้นพบมัลแวร์ที่ออกแบบมาเพื่อทำงานเฉพาะด้านใน ค.ศ 2009 ที่มีเป้าหมายการโจมตีระบบเอทีเอ็ม บ่งให้เห็นถึงระดับความรู้ข้อมูลภายในเกี่ยวกับการทำงานและช่องโหว่ที่โจมตีได้ คาดว่าแนวโน้มนี้ยังดำเนินต่อไปในปี ค.ศ. 2010 รวมถึงความเป็นไปได้ของมัลแวร์ที่โจมตีระบบลงคะแนนอิเล็กทรอนิกส์ (electronic voting systems) ทั้งแบบที่ใช้ในการเลือกตั้งทางการเมืองและการโหวตผ่านเครือข่ายโทรศัพท์ สาธารณะที่เชื่อมต่อกับรายการเรียลลิตี้โชว์และการแข่งขันต่าง ๆ
- มัลแวร์สำหรับแม็คและอุปกรณ์พกพาจะมีจำนวนเพิ่มขึ้น
จำนวนของการโจมตีที่ออกแบบมาเพื่อระบบปฏิบัติการหรือแพลตฟอร์มเจาะจง มีความสัมพันธ์โดยตรงกับส่วนแบ่งทางการตลาดของแพลตฟอร์มนั้น ๆ เนื่องจากผู้สร้างมัลแวร์ต้องการรายได้ที่มากที่สุด ในปีค.ศ. 2009 สังเกตเห็นได้ว่าแม็คและสมาร์ทโฟนตกเป็นเป้าหมายการโจมตีมากขึ้น ตัวอย่างเช่น บอทเน็ต “Sexy Space” ที่โจมตีระบบปฏิบัติการซิมเบียนและโทรจัน “OSX.lservice” โจมตีแม็ค เนื่องจากแม็คและสมาร์ทโฟนจะมีความนิยมเพิ่มขึ้นในปี ค.ศ. 2010 ดังนั้นจะมีผู้โจมตีที่อุทิศเวลาเพื่อสร้างมัลแวร์ที่โจมตีอุปกรณ์เหล่านี้ มากขึ้น

10. การปรับตัวของผู้ส่งสแปม
ตั้งแต่ ค.ศ. 2007 สแปมมีจำนวนเพิ่มขึ้นเฉลี่ยร้อยละ 15 ถึงแม้ว่าจำนวนอีเมลสแปมจะไม่เพิ่มขึ้นในระยะยาว แต่เป็นที่แน่ชัดว่าผู้ส่งสแปมยังไม่ยอมเลิกราง่าย ๆ ตราบใดที่ยังมีเหตุจูงใจทางการเงินอยู่ จำนวนของ สแปมยังคงผันผวนในปี ค.ศ. 2010 เนื่องจากผู้ส่งสแปมยังต้องปรับตัวให้เข้ากับความซับซ้อนของซอฟท์แวร์รักษา ความปลอดภัย การแทรกแซงของของผู้ให้บริการอินเทอร์เน็ตและหน่วยงานรัฐบาลที่มีความรับผิด ชอบทั่วโลก
- สแปมใน Instant messaging จะมากขึ้นกว่าทุกปี
เนื่องจากอาชญากรอินเทอร์เน็ตค้นพบวิธีใหม่ในการเอาชนะเทคโนโลยี CAPTCHA การโจมตีโปรแกรมประเภท instant messenger (IM) จะได้รับความนิยมมากขึ้น ภัยคุกคามไอเอ็มจะประกอบด้วยข้อความสแปมที่ผู้รับไม่ต้องการและมีลิงค์มุ่ง ร้าย โดยเฉพาะการโจมตีที่มุ่งเป้าที่การขโมยแอคเคาท์ไอเอ็ม ก่อนสิ้นปี ค.ศ. 2010 คาดว่า 1 ใน 12 ลิงค์จะเป็นลิงค์ไปยังโดเมนที่มีมัลแวร์อยู่ ในกลางปี ค.ศ. 2009ระดับดังกล่าวจะอยู่ที่ 1 ใน 87 ลิงค์
- เทคโนโลยี CAPTCHA จะพัฒนามากขึ้น
เนื่องจากผู้ส่งสแปมมีความยากลำบากในการเอาชนะระบบ CAPTCHA ผ่านวิธีอัตโนมัติมากขึ้น จึงทำให้ผู้ส่งสแปมใช้คนจริง ๆ เพื่อสร้างแอคเคาท์ใหม่ เพื่อใช้ในการส่งสแปม ดังนั้นจึงมีความพยายามในการเอาชนะเทคโนโลยีที่พัฒนาแล้ว คาดการณ์ว่าจะมีการจ้างคนเพื่อสร้างแอคเคาท์เหล่านี้ ซึ่งจะได้รับค่าจ้างน้อยกว่าร้อยละ 10 ของค่าตอบแทนที่ผู้ส่งสแปมได้รับ โดยคิดราคาอยู่ที่ 30-40 เหรียญสหรัฐต่อ 1,000 แอคเคาท์

บทสรุป
หลังจากที่ได้ทราบถึงภัยคุกคามที่เกิดขึ้นทั้งในปีค.ศ. 2009 และแนวโน้มที่จะเกิดขึ้นแล้ว เราไม่จำเป็นต้องตื่นตระหนกแต่ประการใด ธุรกิจด้านการรักษาความปลอดภัยยังคงมีความแข็งแกร่งในการรับมือกับภัยคุกคาม เหล่านี้ เนื่องจากการสร้างสรรค์สิ่งใหม่ ๆ การตระหนักของภัยคุกคามที่มีเพิ่มขึ้น การแข่งขันกันระหว่างผู้ขายเอง ทำให้เกิดภาพในอนาคตในทางที่ดี อย่างไรก็ตามแล้วการสร้าง “Security Awareness” สำหรับทุกคนที่เกี่ยวข้องยังเป็นส่วนสำคัญที่ไม่ควรมองข้าม

Reference

วันพฤหัสบดีที่ 18 กุมภาพันธ์ พ.ศ. 2553

GRC (Governance, Risk and Compliance)


GRC (Governance, Risk and Compliance)

รู้จัก GRC

"GRC" ซึ่งย่อมาจาก "Governance Risk and Compliance" แนวคิด "GRC" นั้นเป็นแนวคิดใหม่ที่รวมองค์ประกอบ 3 องค์ประกอบเข้าด้วยกัน ได้แก่ องค์ประกอบที่ 1 "Governance" , องค์ประกอบที่ 2 "Risk Management" และ องค์ประกอบที่ 3 "Regulatory Compliance" การกำหนดนิยามของคำว่า "GRC" นั้น มาจาก นิยามของทั้งสามองค์ประกอบ ได้แก่
"Governance" หมายถึง นโยบาย วัฒนธรรมองค์กร กระบวนการขั้นตอนการปฏิบัติงาน ที่ถูกกำหนดออกมาอย่างชัดเจนในการบริหารจัดการและกำกับดูแลองค์กรโดยผู้ บริหารระดับสูงเพื่อการบริหารองค์กรที่โปร่งใส ตรวจสอบได้ คำที่เราได้ยินกันบ่อยๆ ได้แก่ คำว่า "Corporate Governance" จะรวมถึงความสัมพันธ์และบทบาทของทุกคนในองค์กรไม่ใช่เฉพาะผู้บริหารอย่างเดียว ตลอดจนกำหนดเป้าหมายหลักที่เน้นเรื่องความโปร่งใสในการบริหารจัดการของผู้ บริหารระดับสูงในองค์กร
"Risk Management" หมายถึง การบริหารจัดการความเสี่ยงที่มีเป้าหมายในการลดผลกระทบจากความเสี่ยงที่อาจ มีโอกาสเกิดขึ้นได้ในองค์กร หากไม่มีการบริหารจัดการความเสี่ยงที่ดีพอ
"Compliance" หมายถึง การปฏิบัติตามกฎระเบียบข้อบังคับ และกฎหมาย ตลอดจนการปฏิบัติตามนโยบายด้านสารสนเทศและความปลอดภัยขององค์กรอย่างถูกต้องได้ตามมาตรฐาน ยกตัวอย่าง เช่น การปฏิบัติตามประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมอิเล็คทรอนิกส์โดยคณะกรรมการธุรกรรมอิเล็คทรอนิกส์และการจัดทำแผนเพื่อรองรับพระราชบัญญัติ และพระราชกฤษฎีกาด้านความปลอดภัยทางอิเล็กทรอนิกส์
แนวคิด "GRC" นั้น นอกจากจะทำให้องค์กรแสดงถึงความเป็น "Good Governance" แล้ว ยังทำให้องค์กรเกิดความสามารถในการแข่งขัน (Competitive Advantage) ในระยะยาวอีกด้วย เป็นการเสริมภาพลักษณ์ที่ดีให้กับองค์กร ตลอดจนคณะผู้บริหารระดับสูง รวมทั้งการสร้างจิตสำนึกในการปฏิบัติงานที่ดีให้กับพนักงานทุกคน ส่งผลให้ลูกค้าเกิดความเชื่อถือและความมั่นใจในการใช้บริการต่าง ๆ ขององค์กร ซึ่งเป็นแนวคิดที่ไม่ได้แตกต่างจากแนวคิดยอดนิยม คือ Balanced Scorecard (BSC) ที่มีองค์ประกอบทั้ง 4 ด้าน ได้แก่ Customer Perspective, Financial Perspective, Internal Perspective และ Learning and Growth Perspective
จะเห็นได้ว่า แนวคิด "GRC" นั้น ถือเป็นทิศทางใหม่สำหรับผู้บริหารระดับสูงขององค์กรที่ไม่ใช่เฉพาะผู้บริหาร ระบบสารสนเทศ หรือ CIO เท่านั้น แต่เป็นทิศทางของผู้บริหารในระดับ C Level ทั้งหมด ไม่ว่าจะเป็นการเริ่มจาก CEO ตลอดจน CFO, CTO และ CIO จำเป็นต้องร่วมแรงร่วมใจกันในการผลักดันแนวคิด "GRC" ให้กลายเป็นผลงานในเชิงปฏิบัติ ซึ่งภาวะผู้นำ หรือ "Leadership" เป็นปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จ เนื่องจากการปฏิบัติที่จะส่งผลเป็นรูปธรรมนั้นจำเป็นต้องใช้งบประมาณดังที่ ได้กล่าวมาแล้ว และ ยังต้องใช้บุคลากรที่ได้รับมอบหมายให้ทำตามแนวคิด "GRC" โดยเฉพาะถึงจะเกิดผลสำเร็จได้ รวมทั้งอาจต้องมีการจัดจ้างที่ปรึกษาหรือผู้เชี่ยวชาญเฉพาะทางมาคอยเป็นพี่ เลี้ยงและให้แนวทางปฏิบัติจาก Standard และ Best Practice ต่าง ๆ ได้อย่างถูกต้อง ดังนั้น ผู้บริหารระดับสูงจึงจำเป็นที่จะต้องมีภาวะผู้นำดังกล่าวอย่างยิ่ง เพื่อให้ได้ตามเป้าหมายตามแนวคิด "GRC" ในที่สุด
แนวคิดของ “GRC” นั้น มาจากความหมายของคำหลาย ๆ คำ ได้แก่ “Corporate Governance”, “IT Governance”, “Financial Risk”, “Strategic Risk”, “Operational Risk”, “IT Risk”, “Corporative Compliance”, “Employment / Labor Compliance”, “Privacy Compliance” รวมถึงกฎหมายต่างๆ ในสหรัฐอเมริกา เช่น SOX (Sarbanes-Oxley Compliance) หรือ กฎระเบียบข้อบังคับ Basel II ที่ถูกกำหนดขึ้นโดยธนาคารเพื่อการชำระบัญชีระหว่างประเทศ (BIS) ตลอดจน มาตรฐาน PCI DSS (Payment Card Industry, Data Security Standard) ซึ่งเป็นมาตรฐานที่บังคับใช้กับกลุ่มบริษัทที่ให้บริการบัตรเครดิต เช่น VISA, MASTER เป็นต้น
ในปัจจุบัน กระแส “Governance” และ “Compliance” กำลังมาแรงทั่วโลกรวมถึงในประเทศไทยด้วย เพราะเรามีทั้งกฎหมายธุรกรรมอิเล็กทรอนิกส์ และ กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ที่ประกาศออกมาบังคับใช้กันแล้ว การที่ผู้บริหารองค์กรยังไม่ได้ให้ความสำคัญกับเรื่องทั้ง 2 เรื่องนี้ กลายเป็นความเสี่ยง (Risk) ที่มีโอกาสเกิดขึ้นกับองค์กรอย่างหลีกเลี่ยงไม่ได้ ยกตัวอย่างบริษัทที่ประสบปัญหาในสหรัฐอเมริกา เช่น บริษัท ENRON และ บริษัท WORLDCOM ก็ล้วนมีปัญหาเรื่องความไม่โปร่งใสและการไม่ปฏิบัติตามข้อกฎหมายต่าง ๆ จนเป็นเหตุให้บริษัทต้องล้มละลายในที่สุด
การบรรลุเป้าหมาย “Good Governance” นั้น ต้องเริ่มจาก ผู้บริหารระดับสูงสุดเป็นคนแรก ตลอดจนเป็นความรับผิดชอบหลักของคณะกรรมการบริหาร (Board of Director) ถ้าหากผู้บริหารระดับสูงไม่ใส่ใจเท่าที่ควรจะเป็น คำว่า “Good Governance” ก็คงจะเกิดขึ้นไม่ได้อย่างแน่นอน การจะได้มาซึ่ง “Good Governance” ต้องมีการบริหารความเสี่ยง (Risk Management) และการบริหารเกี่ยวกับการปฏิบัติตามกฎระเบียบและข้อกฎหมายต่าง ๆ (Compliance Management) ควบคู่กันไป ดังนั้น เราจะเห็นว่า “Governance”, “Risk” และ “Compliance” มีความสัมพันธ์ และมีความเกี่ยวข้องกัน แนวคิด “GRC” นั้น ต้องการที่จะนำองค์ประกอบทั้ง 3 มาปฏิบัติร่วมกันในรูปแบบของการทำงานเป็นทีม มีการ “share” ข้อมูลซึ่งกันและกัน มีการเปิดกว้างทางความคิดที่จะปรับปรุงองค์กรจากข้อมูลและแนวทางจากผู้บริหารของหลาย ๆ ฝ่าย
ในปัจจุบันการบริหารจัดการความปลอดภัยระบบสารสนเทศ (IT Security Management) นั้น ใช้แนวทางที่เรียกว่า “Holistic Risk Management” หมายถึง “การบริหารความเสี่ยงในภาพรวม” ในขณะที่ปัจจัยด้านกฎระเบียบ ข้อกฎหมายต่างๆ ถูกนำเข้ามาพิจารณาด้วยในโครงการที่เกี่ยวข้องกับความปลอดภัยระบบสารสนเทศในปัจจุบัน จะเห็นว่าแนวทาง “Regulatory Compliance” นั้น กลายเป็นเรื่องที่สำคัญที่มีผลกระทบต่อโครงสร้างพื้นฐานระบบสารสนเทศ (IT Infrastructure) ขององค์กรอย่างหลีกเลี่ยงไม่ได้

Top Driver of IT Security Investment
Source: Ernest and Young, Global Information Security Survey


รูปที่ 1

จากข้อมูลในรูปที่ 1 จะเห็นว่าเรื่อง “Regulatory Compliance” เป็น “Top Driver” สำหรับการลงทุนด้านความปลอดภัยระบบสารสนเทศ และพบว่าองค์กรส่วนใหญ่ใช้งบประมาณ 7-10% ของงบประมาณระบบสารสนเทศทั้งหมดไปกับเรื่อง IT Policy และ IT Compliance ขณะที่การใช้งบประมาณด้าน IT Security มีตัวเลขอยู่ที่ 4-6% ของงบประมาณระบบสารสนเทศโดยรวม ซึ่งพบว่าน้อยมากและไม่เพียงพอต่อการปฏิบัติตามแนวทาง Regulatory Compliance ข้อมูลจาก Merrill Lynch CISO Survey พบว่า 62% ของ CISO คาดหวังงบประมาณด้าน IT Security ว่าควรเพิ่มขึ้น ขณะที่ CISO 34% สรุปว่างบประมาณเพียงพอแล้ว และ 4% บอกว่าควรลดงบประมาณลง

Security Spending Survey

Source: Goldman Sacks


รูปที่ 2

จากข้อมูลในรูปที่ 2 การใช้จ่ายเกี่ยวกับ Software ด้าน Compliance / Risk Management มีแนวโน้มที่จะเพิ่มขึ้นประมาณ 10-15% ขณะที่ การ Outsource เรื่องการจัดเก็บ LOG ของระบบตามกฎหมายต่าง ๆ ไปยัง MSSP มีแนวโน้มที่จะเพิ่มขึ้นประมาณ 10-15% เช่นกัน

Causes of Compliance Deficiencies
Source: ITPolicyCompliance.com


รูปที่ 3

จากข้อมูลในรูปที่ 3 จะสังเกตุได้ว่า ปัญหาและอุปสรรคของการปฏิบัติตามหลักการ Regulatory นั้น อันดับหนึ่งคือ เรื่องงานเอกสาร (Documentation) และอันดับที่ 2 ถึง 8 นั้นเกี่ยวข้องกับเรื่อง IT Security ที่ยังไม่ได้ปฏิบัติตาม Standard หรือ Best Practice เช่น ISO/IEC 27001, ITIL หรือ ISO/IEC 20000 ตลอดจนมาตรฐาน CobiT 4.1 เป็นต้น กระบวนการของแนวคิด “GRC” นั้นประกอบด้วย 10 กระบวนการที่ต้องการผู้บริหารมารับผิดชอบอย่างเป็นทางการดังตาราง “GRC” Component Definition ข้างล่าง
กระบวนการของแนวคิด “GRC” นั้นประกอบด้วย 10 กระบวนการที่ต้องการผู้บริหารมารับผิดชอบอย่างเป็นทางการดังตาราง “GRC” Component Definition ข้างล่าง

GRC Component Definition Table

แนวคิด “GRC” นั้น นอกจากจะทำให้องค์กรแสดงถึงความเป็น “Good Governance” แล้ว ยังทำให้องค์กรเกิดความสามารถในการแข่งขัน (Competitive Advantage) ในระยะยาวอีกด้วย เป็นการเสริมภาพลักษณ์ที่ดีให้กับองค์กร ตลอดจนคณะผู้บริหารระดับสูง รวมทั้งการสร้างจิตสำนึกในการปฏิบัติงานที่ดีให้กับพนักงานทุกคน ส่งผลให้ลูกค้าเกิดความเชื่อถือและความมั่นใจในการใช้บริการต่าง ๆ ขององค์กร ซึ่งเป็นแนวคิดที่ไม่ได้แตกต่างจากแนวคิดยอดนิยม คือ Balanced Scorecard (BSC) ที่มีองค์ประกอบทั้ง 4 ด้าน ได้แก่ Customer Perspective, Financial Perspective, Internal Perspective และ Learning and Growth Perspective
กล่าวโดยสรุปจะเห็นได้ว่า แนวคิด “GRC” นั้น ถือเป็นทิศทางใหม่สำหรับผู้บริหารระดับสูงขององค์กรที่ไม่ใช่เฉพาะผู้บริหารระบบสารสนเทศ หรือ CIO เท่านั้น แต่เป็นทิศทางของผู้บริหารในระดับ C Level ทั้งหมด ไม่ว่าจะเป็นการเริ่มจาก CEO ตลอดจน CFO, CTO และ CIO จำเป็นต้องร่วมแรงร่วมใจกันในการผลักดันแนวคิด “GRC” ให้กลายเป็นผลงานในเชิงปฏิบัติ ซึ่งภาวะผู้นำ หรือ “Leadership” เป็นปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จ เนื่องจากการปฏิบัติที่จะส่งผลเป็นรูปธรรมนั้นจำเป็นต้องใช้งบประมาณดังที่ได้กล่าวมาแล้ว และ ยังต้องใช้บุคลากรที่ได้รับมอบหมายให้ทำตามแนวคิด “GRC” โดยเฉพาะถึงจะเกิดผลสำเร็จได้ รวมทั้งอาจต้องมีการจัดจ้างที่ปรึกษาหรือผู้เชี่ยวชาญเฉพาะทางมาคอยเป็นพี่เลี้ยงและให้แนวทางปฏิบัติจาก Standard และ Best Practice ต่าง ๆ ได้อย่างถูกต้อง ดังนั้น ผู้บริหารระดับสูงจึงจำเป็นที่จะต้องมีภาวะผู้นำดังกล่าวอย่างยิ่ง เพื่อให้ได้ตามเป้าหมายตามแนวคิด “GRC” ในที่สุด

SUMMARY

1. แนวคิด “GRC”
– ทำให้องค์กรแสดงถึงความเป็น “Good Governance”
– ทำให้องค์กรเกิดความสามารถในการแข่งขัน (Competitive Advantage) ในระยะยาว
– เสริมภาพลักษณ์ที่ดีให้กับองค์กร ตลอดจนคณะผู้บริหารระดับสูง
– สร้างจิตสำานึกในการปฏิบัติงานที่ดีให้กับพนักงานทุกคน
– ส่งผลให้ลูกค้าเกิดความเชื่อถือ และมีความมั่นใจในการใช้บริการต่างๆ ขององค์กร

2. เป็นทิศทางใหม่สำหรับผู้บริหารระดับสูงขององค์กร
– ไม่จำกัดเฉพาะผู้บริหารระบบสารสนเทศ หรือ CIO เท่านัน้
– เป็นทิศทางของผู้บริหารในระดับ C Level ทั้งหมด จำเป็นต้องร่วมแรงร่วมใจกันในการผลักดันแนวคิด “GRC” ให้เป็นผลงานในเชิงปฏิบัติ

3. ภาวะผู้นำ หรือ “Leadership” เป็นปัจจัยสำคัญ
– งบประมาณ
– ต้องมีบุคลากรที่ได้รับมอบหมายให้ทำตามแนวคิด “GRC” โดยเฉพาะ
– ควรจัดจ้างที่ปรึกษา หรือผู้เชี่ยวชาญเฉพาะเพื่อให้คำแนะนำ และให้แนวทางปฏิบัติจาก Standard และ Best Practice ต่างๆ ได้อย่างถูกต้อง


REFERENCE

- http://www.tlaa.org/seminar/20090522-COBIT/02-1030-1105.pdf
- ทิศทางใหม่สำหรับผู้บริหารระบบสารสนเทศวันนี้และอนาคต,
http://www.acisonline.net/
-http://www.uih.co.th/mss_article/January%202008%20-The%20New%20Trend%20-%20GRC.pdf

วันเสาร์ที่ 10 ตุลาคม พ.ศ. 2552

เทคโนโลยี Web 3.0

เทคโนโลยี Web 3.0

· บทนำ
ในยุคปัจจุบัน ซึ่งเป็นยุคของสื่อดิจิตอล โลกอินเทอร์เน็ตเป็นเครื่องมือสำคัญในการประยุกต์ใช้งานไอที เพราะอินเทอร์เน็ตช่วยให้ทำให้เข้าถึงข้อมูลข่าวสารรอบโลกได้อย่างรวดเร็ว ช่วยให้ติดต่อกับคนหรือหน่วยงานภายในและนอกประเทศได้ภายในพริบตา ผู้บริโภคได้ให้นิยามของสื่อใหม่ต่างๆในวันนี้ว่า ดิจิตอลคอนเท็นต์ ซึ่งมีหลากหลายรูปแบบที่ผู้บริโภคสามารถเข้าถึง (View, Create, Copy, Share, Etc.) ได้ทุกที่ ทุกเวลา ด้วยอุปกรณ์ใดๆ ที่เชื่อมต่ออินเทอร์เน็ตได้ ก้าวต่อไปของสื่อใหม่จะเป็นการเชื่อมโยงและผสมผสานระหว่างดิจิตอลคอนเท็นต์เหล่านั้นเข้าด้วยกันที่เรียกว่า Mash Up อันเป็นพื้นฐานของเว็บ 3.0 ที่ได้รับการพัฒนาให้มีความฉลาดรู้ หรือ มี AI สามารถค้นหา และคาดเดาความต้องการของผู้บริโภคแต่ละคนได้ อุปกรณ์ไอที Gadget ต่างๆ ไม่ว่าจะเป็นNotebook, Netbook, Smart Phone, MID (Mobile Internet Device), Digital Photo frame, e-book หรือแม้แต่อุปกรณ์เครื่องใช้ไฟฟ้าภายในบ้าน (Digital home appliance) จะได้รับการพัฒนาให้มีความฉลาดในการทำงานมากขึ้น ทั้งขนาด คุณสมบัติการทำงาน และราคา ดังนั้นจึงจำเป็นอย่างยิ่ง ที่เราจะต้องทำความรู้จักกับที่มา วิวัฒนาการ ลักษณะการทำงานใหม่ๆ ของ Web 3.0 ให้เข้าใจตรงกัน

· ยุคของเว็บไซต์
จากเนื้อหาบางส่วนของ Blog spotting ในแมกกาซีน Business Week Onlineได้กล่าวถึงลักษณะเด่นของเว็บแต่ละยุคไว้ดังต่อไปนี้
Web 1.0 = Read only, static data with simple markup
Web 2.0 = Read/Write, dynamic data through web services
Web 3.0 = Read/Write/Relate, data with structured metadata + managed identity
“Some people say that web 2.0 is the network as a OS. By the time of web 3.0 we should have the web behaving more like a single application with many features then an OS with many apps. Posted by: Addi at October 25, 2006 07:05 PM”

Web 1.0 - เว็บไซต์ในยุคนี้จะเป็นการนำเสนอข้อมูลต่างๆ ของผู้ให้บริการเว็บไซต์ เผยแพร่แก่บุคคลทั่วไปที่สนใจ โดยเนื้อหาจะมีลักษณะเช่นเดียวกับหนังสือ คือ ผู้สนใจเข้ามาอ่านข้อมูลต่างๆ ได้เพียงอย่างเดียว ไม่มีส่วนร่วมในการนำเสนอหรือมีส่วนร่วมค่อนข้างน้อย
Web 2.0 - ในยุคนี้ ผู้ใช้งานอินเตอร์เน็ตสามารถสร้างเนื้อหา และนำเสนอข้อมูลต่างๆ มีการแบ่งปันความรู้ซึ่งกันและกัน อย่างเช่น เว็บสารานุกรมออนไลน์ Wikipedia ได้ทำให้ความรู้ถูกต่อยอดไปอยู่ตลอดเวลา ข้อมูลทุกอย่างได้มาจากการเติมแต่งอย่างไม่มีที่สิ้นสุด เกิดจากการคานอำนาจของข้อมูลของแต่ละบุคคล ทำให้ข้อมูลนั้นถูกต้องมากที่สุด และจะถูกมากขึ้น เมื่อเรื่องนั้นถูกขัดเกลามาเป็นเวลายาวนาน หรือการแชร์ไฟล์มัลติมีเดียใน Youtube เป็นต้น นอกจากนี้ผู้สนใจเข้าเยี่ยมชมเว็บไซต์ หรือบุคคลทั่วไปยังสามารถเพิ่มเติมข้อมูล หรือสารสนเทศต่างๆ เพื่อให้เว็บไซต์มีความสมบูรณ์และมีข้อมูลที่ถูกต้องที่สุด
Web 3.0 - เป็นการเพิ่มแนวความคิดในการจัดการข้อมูลซึ่งเพิ่มจำนวนขึ้นอย่างมากมายมหาศาลจากผลพ่วงของเว็บในยุค Web 2.0 ทำให้เว็บต่างๆ ต้องมีระบบบริหารจัดการเว็บให้ดีขึ้น ง่ายขึ้น ด้วยรูปแบบ metadata ซึ่งก็คือ การนำข้อมูลมาบอกรายละเอียดของข้อมูล หรือ data about data โดยระบบเว็บจะจัดการค้นหาข้อมูลให้เราเองหรืออาจกล่าวโดยสรุปง่ายๆ ว่า


Web 1.0 = อ่านอย่างเดียว, ข้อมูลที่หยุดนิ่งอยู่กับที่ด้วยการใช้ Markup แบบง่ายๆ
Web 2.0 = อ่าน/เขียน, ข้อมูลที่มีการเคลื่อนไหว รวมทั้งการบริการทางเว็บ (\Web Services)
Web 3.0 = อ่าน/เขียน/ความเกี่ยวข้อง, ข้อมูลที่อยู่ในรูปแบบของ Metadata หรือข้อมูลที่มีการบอกรายละเอียดของข้อมูลอีกที




รูปที่ 1 ลักษณะของ Web 1.0 และ Web 2.0


รูปที่ 2 ลักษณะของ Web 3.0



· ความหมายของ Web 3.0
เป็นการนำแนวคิดของ Web 2.0 มาทำให้ Web นั้นสามารถจัดการข้อมูลจำนวนมากๆ ได้ดียิ่งขึ้น ซึ่งทุกวันนี้ผู้ใช้ทั่วไปที่เป็นผู้สร้างเนื้อหา ได้เพิ่มจำนวนมากขึ้น เช่น การเขียน Blog, การแชร์รูปภาพและไฟล์มัลติมีเดียต่างๆ ทำให้ข้อมูลมีจำนวนมหาศาล ด้วยเหตุนี้ จึงจำเป็นต้องมีความสามารถในการจัดการข้อมูลดังกล่าวอย่างหลีกเลี่ยงไม่ได้ โดยเอาข้อมูลเหล่านั้นมาจัดการให้อยู่ในรูปแบบ Metadata หรือ ข้อมูลที่บอกรายละเอียดของข้อมูล (Data about data) ทำให้เว็บกลายเป็น Semantic Web หรือเว็บที่ใช้ Metadata มาอธิบายสิ่งต่างๆ บนเว็บ ซึ่งในตอนนี้จะเห็นกันทั่วไปในรูปของ Tag นั่นเอง ถ้าจะกล่าวอีกนัยหนึ่ง Semantic Web คือ การรวมควบรวมกันของฐานข้อมูลแบบอัตโนมัติโดยใช้การคาดเดา และหลักทางคณิตศาสตร์เข้ามาช่วย ซึ่งผลลัพธ์ของ Application ที่สร้างขึ้นบน Semantic Web จะถูกส่งไปยังอินเทอร์เน็ต และส่งต่อไปยัง Web Browser เช่น Internet Explorer, Fire Fox เป็นต้น โดยเว็บเบราเซอร์ อาจจะถูกฝังตัวอยู่ในอุปกรณ์ต่างๆ เช่น โทรศัพท์มือถือ ตู้เย็นโทรทัศน์หรือเครื่องคอมพิวเตอร์ ซึ่งอุปกรณ์ที่ถูกฝังเว็บเบราเซอร์ไว้ในตัวนั้นส่วนใหญ่จะสามารถเชื่อมต่อเข้าสู่อินเทอร์เน็ตได้




รูปที่ 3 ตัวอย่างของ Web 2.0 Wikipedia

รูปที่ 4 โครงสร้างของ Web 3.0 (Semantic Web)


ส่วน Tag คือ คำสั้นๆ หลายๆ คำ ที่เป็นหัวใจของเนื้อหา ทำให้สามารถเข้าถึงเนื้อหาอื่นๆ หรือข้อมูลที่เกี่ยวข้องอื่นๆ ได้ง่ายขึ้น แต่แทนที่ผู้ผลิตเนื้อหาจะต้องใส่ Tag เอง ตัวเว็บจะทำหน้าที่ประมวลผลข้อมูลและวิเคราะห์ข้อมูลเหล่านั้น จากนั้นจะขึ้น Tags ให้ตามความเหมาะสมแทนโดยข้อมูลแต่ละ Tag จะมีความสัมพันธ์กับอีก Tag หนึ่งโดยปริยาย เช่น ข้อมูลเกี่ยวกับบริษัท Apple ก็จะมี Tag ที่เกี่ยวกับ Computer, iPod, iMac … และ Tag ที่มีเนื้อหา Computer ก็มี Tag ที่เชื่อมโยงกับ Tag ที่มีเนื้อหาด้าน Electronic โดย จะเชื่อมโยงแบบนี้ไปเรื่อยๆ ทำให้ข้อมูลมีการเชื่อมโยงกัน อินเทอร์เน็ตกลายเป็นฐานข้อมูลความรู้ขนาดใหญ่ ที่ข้อมูลทุกอย่างถูกเชื่อมต่อกันอย่างเป็นระบบมากขึ้น
แม้ว่าเว็บไซต์ใหญ่ๆ อย่าง Google, Amazon.com และ eBay ต่างก็ให้ความสนใจที่จะปรับเปลี่ยนไปใช้ Web 3.0 นอกจากนั้นก็ยังมีเว็บไซต์อีกมากที่จะปรับเปลี่ยนไปใช้ด้วยเช่นกัน เช่น WebEx, WebSideStory, NetSuite, Jamcracker, Rearden Commerce และ Salesforce.com รวมไปทั้ง Youtube, Flickr, MySpace หรือ del.icio.us เว็บไซต์ที่เป็น Web 3.0 ไม่ได้มีไว้ใช้งานเฉพาะเพื่อการช้อปปิ้ง ความบันเทิง หรือการค้นหาข้อมูลเท่านั้น แต่ยังสามารถสร้างแอพพลิเคชั่นสำหรับการทำธุรกิจในรูปแบบใหม่ได้ด้วย อีกทั้งยังจะเป็นการสร้างผู้เล่นหน้าใหม่ๆ ในวงการออนไลน์ รวมทั้งยังสร้างผู้นำหน้าใหม่ ที่จะมามีอิทธิพลในอุตสาหกรรมออนไลน์ต่อไป

· ความสามารถของ Web 3.0 ในแง่มุมต่างๆ
API Services - การบริการ API (Application Programming Interface) ถือเป็นบริการขั้นพื้นฐาน อีกทั้งยังเป็นการบริการที่ได้เพิ่มพลังให้กับ Web 2.0 เเละจะเป็นเอนจิ้นให้กับ Web 3.0 ต่อไป ดังที่จะเห็นได้จากบริการค้นหาของ Google และ AdWords API, Amazon’s Affiliate APIs, RSS Feeds ที่ดูเหมือนจะเป็นขุมพลังของการดึงข้อมูลอย่างไม่มีวันจบ เว็บไซต์หลักอย่าง Google และ Amazon ถือว่ามีส่วนสำคัญอย่างมากกับผู้ประกอบการรายย่อย ซึ่ง Web 3.0 จะ มาช่วยเพิ่มความสามารถใน การบริการให้มีความสมบูรณ์มากขึ้น อีกทั้งยังจะทำให้มีผู้ประกอบอื่นๆ ปรากฏตัวขึ้นมาเพิ่มขึ้น เพื่อแย่งชิงผลประโยชน์และกำไร จากผู้ให้บริการทางออนไลน์รายใหญ่ๆ ซึ่งผู้เล่นหน้าใหม่ๆ เหล่านี้ อาจจะเบียดให้ผู้เล่นรายเก่าตกชั้นไปเลยก็ได้
Aggregation Services - หรือบริการแบบรวมเป็นกลุ่ม โดยบริการ Aggregation ถือ เป็นบริการขั้นกลาง เป็นตัวกลางที่เอาข้อยุ่งยากในเรื่องของการสร้างความเชื่อมโยง และความสัมพันธ์ของแต่ละบริการที่อยู่ในกลุ่ม หรือในประเภทเดียวกัน เช่น ระบบฐานข้อมูล ออกจากการบริการ API ที่เป็นบริการในขั้นพื้นฐาน โดยจับเอาบริการมารวมกันให้เกิดประโยชน์มากขึ้น ตัวอย่างที่เห็นกันในปัจจุบันนี้ ได้แก่ RSS ที่ จะมีการดึงข้อมูลในหัวข้อที่ผู้ใช้สนใจ ข้อมูลที่มีความเกี่ยวข้องกันจากเว็บอื่นๆ หรือข้อมูลใหม่ๆ ภายในเว็บไซต์ของตัวเองที่เกี่ยวข้องกับที่ผู้ใช้สนใจมาแสดงให้เห็น ทำให้เกิดความเชื่อมโยงของข้อมูลไปเรื่อยๆ และ เว็บเซอร์วิส ที่ให้บริการในรูปแบบของ Marketplaces หรือตลาดนัดออนไลน์ โดยฐานข้อมูลที่อยู่ในแต่ละ Marketplace จะถูกเชื่อมโยงกันทั้งหมด เพื่อเพิ่มโอกาสในการค้นพบสินค้าที่มีอยู่ในตลาด เช่น ถ้าคุณกำลังค้นหาเครื่องเล่น MP3 ก็จะมีข้อมูลทั้งเครื่องเล่น MP3 อุปกรณ์อิเล็กทรอนิกส์อื่นๆ ที่รองรับการใช้ไฟล์ MP3 ขึ้นมาด้วย ไม่ได้มีแค่ข้อมูลเกี่ยวกับเครื่องเล่น MP3 เพียงอย่างเดียว เป็นต้น
Application Services - เป็นบริการในระดับสูงสุด และเป็นบริการที่เชื่อได้ว่ามีขนาดใหญ่มากที่สุดอีกด้วย มีการใช้งานมาอย่างยาวนาน ซึ่งบริการในรูปแบบนี้จะไม่เหมือนกับ Application ที่เป็นที่รู้จัก และใช้งานกันมาแล้วอย่าง CRM หรือ ERP แต่จะเป็น Application ที่ ผสมผสานกันขึ้นมาใหม่ เป็นการนำการใช้งานจากหลายบริการ มาช่วยให้บรรลุวัตถุประสงค์ได้ ยืดหยุ่นมากขึ้น สามารถใช้แนวทางศึกษาของตัวเองเพื่อสร้าง Application ใหม่ๆ ขึ้นมา เช่น การนำเอาบริการด้านความบันเทิง มารวมกับบริการด้านการซื้อขายสินค้า ซึ่งก็จะทำให้คุณสามารถเลือกดูสินค้าได้ด้วยภาพแบบ 3 มิติ ซึ่งก็จะมีความสมจริงมากขึ้น รวมทั้งยังมีข้อมูลที่เกี่ยวข้องกับที่คุณต้องการมาแสดงให้เห็นแบบอัตโนมัติ ทำให้ไม่ต้องเสียเวลาค้นหาข้อมูลใหม่อีกด้วยถือเป็นช่วงเวลาที่การค้นพบ Application ใหม่ๆ จะเริ่มต้นขึ้น และยังเป็น Application ที่ไม่เคยเกิดขึ้นมาก่อน โดยมีพื้นฐานการคิดค้น และพัฒนามาจากคุณลักษณะของ Web 3.0 จนเกิดเป็น Web 3.0 Application ขึ้นมา
Serviced Clients - การบริการลูกค้า ถือเป็นภารกิจหลักสำหรับ Web 3.0 ซึ่งผู้ใช้ทุกคนต่างก็คาดหวังที่จะใช้ประโยชน์ และบริหารจัดการกับบริการที่อยู่บน Web 3.0 ให้เกิดประโยชน์สูงสุด ซึ่งสาเหตุที่ต้องเรียกว่า การบริการลูกค้า นั่นเป็นเพราะว่า ลูกค้าหรือผู้ใช้ โดยพื้นฐานต่างใช้ Web Browser หรือ เทคโนโลยีของวินโดวส์ด้วยกันทั้งนั้น ซึ่งก็คงไม่แปลกที่ทุกคนต่างต้องการที่จะทราบถึงบทบาทของไมโครซอฟท์ที่จะมา ให้บริการในรูปแบบของ Web 3.0 ด้วยเช่นกัน และเป็นไปได้ว่า ไมโครซอฟท์ จะทำให้ผู้คนบนโลกอินเทอร์เน็ตใกล้ชิดกันได้มากขึ้น สัมผัสกันได้ง่ายขึ้นด้วยการใช้ Web 3.0
ความสามารถของ Web 3.0 มีอยู่อย่างมากมาย ขึ้นอยู่กับมุมมอง และการนำไปใช้ ซึ่งอาจกล่าวได้ว่า Web 2.0 คือ เครือข่ายของระบบปฏิบัติการ แต่ Web 3.0 จะปฏิบัติตัวเหมือนกับเป็น Application เพียง Application เดียว ที่มีคุณลักษณะหลากหลาย โดยมีหลายๆ ระบบปฏิบัติการอยู่ในนั้น การมาของ Web 3.0 ได้ สร้างสนามแข่งขันที่ยิ่งใหญ่ให้กับนักพัฒนา ไม่ว่าจะเป็น นักพัฒนาเกม ที่จะต้องทำให้ผู้เล่นหลายๆ คน สามารถเล่นเกมจากออนไลน์ได้ในเวลาเดียว ด้วยการแบ่งปันสภาวะแวดล้อมที่เป็นอยู่ในแบบ Real-time สามารถสื่อสารกันได้แบบ Real-time มากยิ่งขึ้น ทั้งนี้ก็เพื่อให้ผู้เล่นได้รู้สึกสนุก และรู้สึกเล่นเกมได้สมจริงยิ่งกว่าเดิม สุดท้ายแล้ว ไม่ว่าจะเป็น Web เวอร์ชั่นไหนก็ตาม แต่ Web ก็ยังเป็น ทุกเรื่องที่เกี่ยวข้องกับการสื่อสาร อยู่นั่นเอง
Web 3.0 ถือ ว่าเป็นเทรนด์ใหม่ของอินเทอร์เน็ตที่กำลังจะมาถึงในเวลาอันใกล้นี้ ด้วยคุณลักษณะเด่นในการจัดการข้อมูลได้จำนวนมาก เรียกได้ว่าเป็น “The Intelligent Web” หรือว่าเว็บอัจฉริยะ
Web 3.0 ถูกสร้างขึ้นมาเนื่องจากปริมาณของข้อมูลใน Web 2.0 มีขนาดใหญ่มากขึ้น เว็บจึงต้องมีระบบในการจัดเก็บข้อมูลต่างๆ ในรูปแบบ Metadata ที่หมายถึงข้อมูลที่บอกรายละเอียดของข้อมูล (Data about data) โดย เว็บจะเป็นผู้ประมวลผลข้อมูลและวิเคราะห์ข้อมูลเหล่านั้นให้เราเอง ทำให้เกิดความเชื่อมโยงของข้อมูลถึงกันด้วยข้อมูลที่เกี่ยวข้องแบบอัตโนมัติ ดังนั้นจึงทำให้เนื้อหานั้นๆ ถูกเชื่อมโยงอย่างมีระเบียบมากขึ้นเหมือนระบบฐานข้อมูลขนาดใหญ่
ประโยชน์จากการใช้ Web 3.0 นั้น มี 2 ส่วน คือ ด้านเจ้าของเว็บ ที่จะช่วยลดภาระในการจัดเก็บหรือเชื่อมโยงเนื้อหาบนเว็บที่มีขนาดใหญ่ และด้านผู้เข้าเยี่ยมชมเว็บ ซึ่งจะมีส่วนช่วยให้เข้าถึงเนื้อหาหรือข้อมูลที่เกี่ยวข้องได้ง่ายขึ้น ดังนั้น Web 3.0 น่าจะเรียกได้ว่าเป็นการต่อยอดและเป็นการจัดระเบียบของ Web 2.0 มากกว่าการเปลี่ยนรูปแบบใหม่ทั้งหมด และในแง่ของคนที่ทำเว็บหากต้องการปรับไปใช้ Web 3.0 คงต้องศึกษารูปแบบการพัฒนาใหม่มีการปรับระบบหลังบ้านเพื่อรองรับระบบใหม่นี้

· จุดเด่นของ Web 3.0
จุดเด่นของ Web 3.0 คือ ความสามารถในการจัดการกับข้อมูลที่มีความสลับซับซ้อนได้ โดยเฉพาะเมื่อเนื้อหามีความหลากหลายมากขึ้น มีการแบ่งหมวดหมู่ต่างๆ มากขึ้น ซึ่ง Web 3.0 จะช่วยวิเคราะห์ข้อมูลให้เห็นภาพชัดเจน รวมถึงลิงก์ข้อมูลที่เกี่ยวข้องมาไว้ด้วยกันเป็นกลุ่มเป็นก้อน ช่วยเพิ่มโอกาสให้มีคนเข้าชมหน้าเว็บของเราหรือเนื้อหาของเราได้มากขึ้น เป็นการเพิ่มจำนวนผู้เข้าชมเว็บ ขณะเดียวกันก็จะทำให้เข้าถึงความต้องการแต่ละบุคคลได้มากขึ้น ทำให้สามารถเข้าถึงกลุ่มเป้าหมายได้ดียิ่งขึ้น นอกจากการจัดการข้อมูลที่มีประสิทธิภาพแล้ว ยังสามารถโฆษณาบนหน้าเว็บไซต์ให้มีความน่าสนใจมากขึ้นเนื่องจาก Web 3.0 มีปริมาณความจุที่สามารถรองรับข้อมูลได้มากกว่าเดิม มีพื้นที่เพียงพอสำหรับการทำกิจกรรมต่างๆ บนเว็บ
ตัวอย่างที่เห็นได้ง่ายและดีเยี่ยมในการใช้ Web 3.0 เพื่อสร้างความสะดวกให้กับลูกค้าคือ Apple.com รูปสินค้าที่เสนอขายบนเว็บไซต์ของ Apple ทุกรูป จะเห็นข้อความสั้นๆ ปรากฏขึ้นเพื่ออธิบายสินค้าเพียงแค่ชี้เม้าท์ ไม่จำเป็นต้อง click และรอดาวน์โหลดอีกกว่านาทีจึงจะทราบข้อมูลของสินค้าตัวนั้น หรือแม้แต่แคตตาล็อกออนไลน์ของ Amazon ก็เริ่มนำกลยุทธ์นี้มาใช้เพื่อเรียกลูกค้า


รูปที่ 5 Apple.com ตัวอย่างของการใช้ web 3.0 ในการนำเสนอขายสินค้าบนเวบไซส์



· เทคโนโลยีที่คาดว่าจะนำไปใช้ใน Web 3.0
1. Artificial Intelligence (AI) คือ เครื่องมือที่จะเข้ามาช่วยคาดเดาพฤติกรรมของมนุษย์ ช่วยวิเคราะห์ความต้องการของมนุษย์ ซึ่งการคิดค้นเครื่องมือต่างๆ ขึ้นมามีวัตถุประสงค์เพื่อเข้ามาช่วยในการทำงานอย่างอัตโนมัติ
2. Automated Reasoning คือ การสร้างระบบคอมพิวเตอร์ให้มีการประมวลผลด้วยความชาญฉลาด สมเหตุสมผลอย่างอัตโนมัติ โดยใช้ตรรกะ และหลักการทางคณิตศาสตร์เข้ามาช่วยวิเคราะห์ และประมวลผล
3. Cognitive Architecture ถือเป็นแผนงานสำหรับ Intelligent Agents ด้วยการนำเสนอระบบประมวลผลคอมพิวเตอร์ที่มีการทำงานเหมือนกัน มีรากฐานมาจากที่เดียวกัน โดยอาจจะสร้างเครื่องมือในโลกเสมือนขึ้นมาให้ใช้งานได้เหมือนกับการทำงานในโลกของความเป็นจริง เช่น การสร้างสมองกล (Computer) ขึ้นให้ใช้งานเหมือนกับสมองของคน (Brain) จริงๆ
4. Composite Applications เป็น Application ที่สร้างขึ้นมาจากการผสมผสานบริการ หรือ Application ที่ หลากหลายเข้าไว้ด้วยกัน โดยเป็นบริการที่มาจากแหล่งต่างๆ ที่อาจจะเป็นบริการแบบเดียวกัน หรือต่างกันก็ได้ แต่เมื่อรวมกันแล้วจะสร้างประโยชน์ และประสิทธิภาพในการใช้งานให้เพิ่มมากขึ้น
5. Distributed Computing คือ การใช้คอมพิวเตอร์ตั้งแต่ 2 เครื่อง ขึ้นไปที่สามารถสื่อสารถึงกันได้บนเครือข่ายเข้ามาช่วยกันประมวลผล โดยวิธีการประมวลผลของคอมพิวเตอร์จะใช้ส่วนที่แตกต่างกันของโปรแกรมเข้ามา ช่วยประมวลผลในการทำงาน ซึ่งอินเทอร์เน็ต ถือเป็นระบบเครือข่ายอย่างหนึ่ง และยังมีขนาดใหญ่ที่สุดในโลกอีกด้วย
6. Human-based genetic algorithms คือ กระบวนการที่อนุญาตให้มนุษย์สามารถสร้างโซลูชั่น หรือนวัตกรรมใหม่ๆ ขึ้นมาได้เอง ซึ่งทำให้มนุษย์สามารถเชื่อมโยงกันตั้งแต่แรกเริ่ม, สามารถเปลี่ยนแปลง และเกี่ยวพันถึงกันได้ โดยการเชื่อมโยงกันสามารถทำได้หลายรูปแบบ แล้วแต่ความต้องการ
7. Knowledge Representation เป็นวิธีการในโปรแกรมระบบที่ใช้การเข้ารหัสและเก็บความรู้ไว้ในฐานความรู้
8. Ontology Language หรือ OWL ย่อมาจาก Web Ontology Language คือภาษาที่ใช้อธิบายถึงข้อมูลในเว็บไซต์ในเชิงความสัมพันธ์ระหว่างสิ่งต่างๆ โดยดูจากความหมายของสิ่งนั้นๆ ซึ่งถือว่า OWL เป็นภาษากลางในการกำหนด metadata ให้กับเว็บไซต์แต่ละแห่ง ทำให้เพิ่มประสิทธิภาพในการค้นหาข้อมูลในอินเทอร์เน็ตได้มีประสิทธิภาพมากขึ้น
9. Scalable Vector Graphics (SVG) เป็นฟอร์แมต XML ที่นิยามวัตถุในภาพวาดด้วย point, path และ shape พื้นฐาน โดยมีสี, ฟอนต์, ความกว้างของ stroke ฯลฯ เป็นสไตล์ของวัตถุ จุดประสงค์ของ SVG คือเป็นมาตรฐานที่ใช้ได้กว้างขวางในหลากหลายโปรแกรม




รูปที่ 6 Scalable vector graphics


10. Semantic Web เป็น เว็บที่สามารถเชื่อมโยงเครือข่ายของข้อมูลที่อยู่บนหน้าจอของเว็บไซต์ช่วย ให้คอมพิวเตอร์สามารถค้นหาข้อมูลอย่างมีประสิทธิภาพมากขึ้น และยังสามารถสร้างความสัมพันธ์ใหม่ให้กับข้อมูลที่มาจากแหล่งข้อมูลที่มาจาก แหล่งข้อมูลที่ต่างกัน ซึ่งจะก่อให้เกิดเป็นฐานข้อมูลที่ถูกเชื่อมโยงกันทั่วโลก
11. Semantic Wiki สามารถ ให้ข้อมูลเฉพาะคำที่เราต้องการได้ ด้วยการใช้การอธิบายข้อมูลซ้อนข้อมูลอีกที รวมทั้งให้ข้อมูลที่เกี่ยวข้องกับคำที่เราต้องการ โดยข้อมูลที่นำมาอธิบายอาจจะมาจากเว็บอื่นๆ ไม่ได้มาจากฐานข้อมูลของเว็บนั้นเพียงอย่างเดียว
12. Software Agent เป็น โปรแกรมที่มีความสามารถในการกระทำ หรือเป็นตัวแทนในระบบอัตโนมัติต่างๆ อย่างมีเหตุผลเพื่อบรรลุเป้าหมายที่ได้ตั้งไว้ เช่น เอเจนต์ในระบบขับรถอัตโนมัติ ที่มีเป้าหมายว่าต้องไปถึงเป้าหมายในระยะทางที่สั้นที่สุด ต้องเลือกเส้นทางที่ไปยังเป้าหมายที่สั้นที่สุดที่เป็นไปได้ จึงจะเรียกได้ว่า เอเจนต์กระทำอย่างมีเหตุผล อีกตัวอย่างเช่น เอเจนต์ในเกมหมากรุก ที่มีเป้าหมายว่าต้องเอาชนะคู่ต่อสู้ ก็ต้องเลือกเดินหมากที่จะทำให้คู่ต่อสู้แพ้ให้ได้
หลังจากที่แนวคิดของ Web 2.0 ใช้ได้ผลอย่างจริงจังกับการเกิดบล็อกขึ้นมากมายหลาย 10 ล้านบล็อกและเกิดเว็บใหญ่ๆ ที่มี User's Content Driven อีกหลายแห่ง วันนี้จึงมีการหยิบยกทฤษฎีของ Web 3.0 มาพูดคุยกันบ้างแล้ว จากการที่ Web 2.0 จะ มีข้อมูลมากมายมหาศาลอย่างที่โลกนี้ไม่เคยพบมาก่อน ก็จะต้องมีการจัดการข้อมูลที่ดี ยุติธรรม และเป็นระเบียบเรียบร้อย จึงเกิดเป็นแนวคิดหลักของทฤษฎี Web 3.0 ขึ้น

· Update question about Web 3.0
Web 3.0 คล้ายกับอะไร
ตอบ : บางครั้ง Web 3.0 จะถูกเรียกว่า Semantic Web หรือ เว็บที่มีการควบรวมกันของฐานข้อมูลแบบอัตโนมัติ เพื่อช่วยให้ผู้ใช้เข้าถึงข้อมูลได้ตรงกับความต้องการมากขึ้น ยกตัวอย่าง เช่น เมื่อเราต้องการทราบตารางตรวจของทันตแพทย์ที่อยู่ใกล้บ้านในระยะทาง 5 กิโลเมตร ว่ามีคลินิกไหนบ้าง และมีตารางตรวจวัน และเวลาไหน เพียงแค่ใส่ข้อมูลที่ต้องการว่า “คลินิกทันตกรรม เวลาตรวจ ระยะทาง 5 กิโลเมตร” ลง ไป เว็บไซต์จะทำการประมวลผลและสามารถให้คำตอบอย่างตรงจุด โดยข้อมูลจะทำการนำเสนอออกมาอย่างเป็นระเบียบ ทำให้ได้ข้อมูลที่ตรงกับความต้องการภายในเวลารวดเร็ว ไม่เสียเวลาในการนั่งคัดกรองข้อมูลเหมือนปัจจุบัน

ทำไมต้อง Web 3.0
ตอบ : หลังจากที่แนวคิดของ Web 2.0 ใช้ได้ผลอย่างจริงจังกับการเกิดบล็อกขึ้นมากมายหลาย 10 ล้านบล็อกและเกิดเว็บใหญ่ๆ ที่มี User's Content Driven อีกหลายแห่ง จึงมีการหยิบยกทฤษฎีของ Web 3.0 มาพูดคุยกันบ้างแล้ว จากการที่ Web 2.0 จะ มีข้อมูลมากมายมหาศาลอย่างที่โลกนี้ไม่เคยพบมาก่อน ก็จะต้องมีการจัดการข้อมูลที่ดี ยุติธรรม และเป็นระเบียบเรียบร้อย จึงเกิดเป็นแนวคิดหลักของทฤษฎี Web 3.0 ขึ้น โดย ทฤษฎี Web 3.0 จะแปรเปลี่ยนไปเป็นแนวคิดที่จะนำมาใช้ออกแบบเว็บไซต์ในรูปแบบใหม่กัน ยกตัวอย่างเช่น ปัจจุบันเราค้นหาข้อมูลและพบว่า search engine เป็น เพียงแค่การหาข้อมูลที่มีคำที่เราใช้ค้นขึ้นมาโชว์เป็นหน้าเว็บเพจทั้งหมด โดยบางทีหน้าเว็บเพจนั้นอาจไม่เกี่ยวข้องกับข้อมูลที่เราต้องการ เว็บไซต์ที่ใช้ทฤษฎี Web 3.0 จะ ช่วยให้เว็บไซต์สามารถจัดการคอนเทนท์ที่กระจัดกระจายให้เป็นระเบียบมากยิ่ง ขึ้น จากปัญหาที่เราค้นหาข้อมูลและพบว่าได้ข้อมูลเกินกว่าความต้องการ หรือข้อมูลที่ได้มาต้องมีการคัดกรองทุกครั้งก่อนเลือกใช้ก็จะหมดไป เพราะ Web 3.0 จะช่วยให้เว็บไซต์ทำงานได้อย่างฉลาดขึ้น สามารถคิดต่อยอดจากความต้องการของผู้ใช้ได้ และทำให้เว็บไซต์มีประโยชน์ต่อผู้ใช้มากขึ้น Web 3.0 นำไปใช้ประโยชน์ด้านไหนได้บ้าง
ตอบ : รูปแบบของ Web 3.0 จะส่งผลให้ Web Service มี ประสิทธิภาพในการทำงานมากยิ่งขึ้น สามารถดึงเอาข้อมูลที่ตรงกับความต้องการของผู้ใช้มากที่สุด และผู้ใช้ไม่ต้องเสียเวลาในการคัดกรองข้อมูลโดยการเข้าไปดูแต่ละหน้าเว็บเพจ ยกตัวอย่างเช่น Amazon ที่ได้พัฒนาเว็บโดยเอาเทคโนโลยีของ Web 3.0 เข้า มาช่วยในการให้บริการดูข้อมูลหนังสือบนเว็บไซต์ได้ง่ายขึ้น โดยไม่ต้องเปิดเข้าไปหน้าเฉพาะของสินค้านั้น ก็สามารถทราบข้อมูลของสินค้านั้นได้เพียงแค่นำเมาส์ไปชี้ที่ชื่อสินค้า เป็นต้น นอกจากนี้ Web 3.0 หากนำมาเป็นส่วนหนึ่งในการใช้เพื่อการเรียนรู้บนอินเทอร์เน็ต (E-learning) ก็ได้ด้วย นั่นคือ การผสมผสานของเทคโนโลยี Semantic Markup และ Web Service เข้าด้วยกัน หรือเราเรียกว่า Semantic Web ซึ่งเป็นเว็บไซต์ที่ใช้การทำงานของการจัดรูปแบบข้อมูลให้อยู่ในรูปของ Metadata ซึ่งหมายถึง ข้อมูลหนึ่งสามารถจะบอกรายละเอียดของอีกข้อมูลได้ และประมวลผลหาคำอธิบายเฉพาะ (Managed Identity) ของ ข้อมูลได้ ซึ่งจะทำให้ผู้ใช้ได้ค้นหาและเจอองค์ความรู้ใหม่ๆ ที่ได้ถูกปิดเอาไว้ เกิดการเรียนรู้ผ่านทางอินเทอร์เน็ตที่มีประสิทธิภาพเพิ่มมากขึ้นจากการ ศึกษาจากข้อมูล


Blog พร้อมใช้ Web 3.0 หรือยัง
ตอบ : Web 3.0 จะทำให้ Web Service ทำงานได้มีประสิทธิภาพเพิ่มมากยิ่งขึ้น ฉลาดมากขึ้น จากแต่ก่อนเราอ่านข้อมูลบนเว็บที่มีเฉพาะข้อความ แต่ในอนาคตเว็บไซต์ที่เป็น Web 3.0 จะทำให้หน้าตาและการทำงานเว็บไซต์แปลกและมหัศจรรย์ขึ้นอย่างมาก รวมถึงเว็บบล็อกด้วย Web 3.0 จะ ช่วยให้ข้อมูลต่างๆ ที่อยู่บนเว็บบล็อกในแต่ละแห่งรวบรวมและบริหารจัดการข้อมูลอย่างมี ประสิทธิภาพมากยิ่งขึ้น ทำให้สามารถหาเว็บบล็อกที่เขียนเรื่องที่เราต้องการอ่านได้ง่ายขึ้นโดยไม่ ต้องค้นหาทีละเว็บบล็อก การเปลี่ยนแปลงของเว็บไซต์ครั้งใหญ่นี้ มี 2 ทางเลือกให้แก่บล็อกที่จะเลือกใช้ อย่างแรก คือ ทำเว็บบล็อกโดยใช้ API (Application Programming Interface) เป็นตัวจัดการระหว่างเว็บไซต์และผู้ใช้ในทางที่ต้องการทั้งหมด หรือแต่ละเว็บบล็อกเปิดเผยบางส่วนของ API เพื่อให้มีการเชื่อมโยงกันของแต่ละบล็อกง่ายขึ้น


Web 3.0 มีผลต่อบล็อกเกอร์อย่างไร
ตอบ : ปัญหาใหญ่ของบล็อกเกอร์ที่จะเจอกับ Web 3.0 นั่น คือ การอาจเจอข้อหาละเมิดลิขสิทธิ์ของบทความที่นำมาลงในเว็บบล็อก หากมีการนำไปเผยแพร่ในสื่ออื่นโดยไม่ได้รับอนุญาต เพราะการทำงานของ Web 3.0 จะดึงข้อมูลที่เกี่ยวข้องจำนวนมากมาแสดงจนในบางครั้งอาจไม่ทราบว่าบทความนี้แท้จริงเป็นของผู้เขียนคนไหน แต่ข้อดีคือ คุณสามารถใช้ Blog เข้ามาช่วยในการทำตลาดได้มากขึ้น ทำให้เป็นที่รู้จัก และเรียกคนเข้ามาที่ Blog ของ คุณได้รวดเร็วมากขึ้น เพราะข้อมูลทั้งหมดที่คุณมีอยู่ จะถูกเชื่อมโยงไว้กับฐานข้อมูลที่มีอยู่ในโลกอินเทอร์เน็ตทั้งหมด ไม่ได้อยู่แบบโดดเดี่ยวอีกต่อไป ซึ่งจะเป็นการเพิ่มโอกาสให้คนทั้งโลกคลิกเข้ามาหาคุณได้มากขึ้น ถูกค้นพบได้ง่ายขึ้น

Reference

· http://www.ecommerce-magazine.com/
· http://lab.tosdn.com/?p=63
· http://www.computers.co.th/blog/?p=7
·http://www.ecommercemagazine.com/index.php?option=com_content&task=view&id=876&Itemid=58
· http://www.thaicyberpoint.com/ford/blog/id/301/
· http://www.webdesign.co.th/article/web3-0.html
· คุณสุมาลี ศาลาสุข , Web 3.0 วิวัฒนาการแห่งการสร้างเวบไซส์ , ศูนย์เทคโนโลยีอิเลกทรอนิกส์และคอมพิวเตอร์ (เนคเทค)