[Video] NCSA Webinar Series EP.8 – WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย NCSA Webinar Series EP.8 เรื่อง “WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

วิทยากร: Allan Panganting, Senior Technical Solutions Engineer, CDNetworks

Web Application ในปัจจุบันมีการพัฒนาอย่างต่อเนื่องและทวีความซับซ้อนมากขึ้น Web Application สมัยใหม่และสถาปัตยกรรม Microservices ต่างพึ่งพา API เพิ่มขึ้นเรื่อยๆ ผลที่ตามมาคือช่องทางใหม่ๆ ที่แฮ็กเกอร์สามารถใช้โจมตีซึ่งสร้างความท้าทายให้ฝ่าย IT และ Security ขององค์กรเป็นอย่างมาก Web Application Firewall แบบดั้งเดิมไม่เพียงพอต่อการป้องกันภัยคุกคามไซเบอร์อีกต่อไป เข้าฟังการบรรยายนี้เพื่อรู้จักกับ Wep Application and API Protection (WAAP) และการยกระดับ Security Posture ขององค์กรให้แข็งแกร่งยิ่งขึ้น

from:https://www.techtalkthai.com/ncsa-webinar-series-ep-8-by-cdnetworks-video/

Advertisement

[NCSA THNCW 2023] การใช้ AI และ Machine Learning ในโลก Application & Data Security

หลายองค์กรกำลังประสบปัญหาขาดแคลนบุคลากรด้าน Cybersecurity และการตอบสนองภัยคุกคามอย่างทันท่วงที เทคโนโลยีที่ช่วยลดช่องว่างของปัญหานี้ก็คือ AI และ Machine Learning ซึ่ง Imperva ได้พิสูจน์มาแล้วว่า เทคโนโลยีดังกล่าวช่วยสร้างความเข็มแข็งและลดความเสี่ยงจากภัยคุกคามได้แบบเป็นรูปธรรม โดย คุณณัฐพล เทพเฉลิม Country Manager (Thailand), Imperva

ปัจจุบัน ChatGPT กระแสเทคโนโลยี AI เชิงสนทนาที่กำลังถูกพูดถึงและมีการนำมาปรับใช้งานจริงในส่วนงานต่างๆ แล้ว โดยหัวข้อนี้ เราจะมาทำความรู้จักกับบทบาทที่สำคัญของ AI และ ML ซึ่งเป็น Machine Learning ในโลกของ Application & Data Security เพื่อก้าวทันและก้าวนำหน้าภัยคุกคามทางไซเบอร์

คุณณัฐพล ได้ยกตัวอย่างการเข้าไปทดลองใช้งาน ChatGPT ด้วยตนเอง ทำให้เห็นภาพชัดเจนถึงคำตอบที่ได้รับการโต้ตอบกลับมาจากระบบ AI เชิงสนทนา ซึ่งสามารถช่วยประหยัดเวลาให้เราได้จริง

“What imperva can do for me? –  Imperva สามารถช่วยอะไรผมได้บ้าง?” นี่คือสิ่งที่คุณณัฐพล ถาม ChatGPT

และสิ่งที่ ChatGPT โต้ตอบกลับมา เป็นบทความเชิงเรื่องราวที่สามารถนำไปใช้ต่อยอดได้เลย สามารถนำไปใช้ในการสื่อสารกับลูกค้าได้อย่างตรงประเด็นและสะดวกมากขึ้น ซึ่งสิ่งนี้เราเรียกว่า “Language แห่งโลก API”

แล้วในโลกของ Cybersecurity หรือ Application & Data Security เทคโนโลยี AI/ML จะเข้ามามีบทบาทได้อย่างไรบ้าง เป็นความท้าทายที่องค์กรอยากรู้คำตอบมากที่สุด เพราะเรามีเหตุการณ์ความปลอดภัยทางไซเบอร์ในรูปแบบต่างๆ เกิดขึ้นมากมาย ซึ่งกระจัดกระจายอยู่รอบตัวเราโดยที่ไม่มีคู่มือเล่มไหนเข้ามาบอกวิธีจัดการกับมันได้ เปรียบเสมือนกองชิ้นส่วนเลโก้ที่วางกองทับถมกันอยู่ แต่ไม่รู้จะเริ่มต้นหยิบชิ้นไหนขึ้นมาวางต่อกันเพื่อให้กลายเป็นรูปร่างที่สมบูรณ์ได้ จินตนาการเป็นรูปแบบความคิดที่เราอยากให้เป็น ถ้าเราเพิ่มหลักการเรียนรู้เข้าไปด้วย เราจะได้จินตนาการรูปธรรมที่สามารถจับต้องได้จริง นั่นคือ บทบาทของ AL/ML

อะไรคือ บทบาทของ AI และ ML

• ML – เราสามารถใช้ประโยชน์จาก Machine Learning เข้ามาจัดลำดับความสำคัญของสิ่งที่สามารถดำเนินการได้ เพื่อทำให้เราเข้าใจถึงกระบวนการที่จะเข้าไปจัดการมันได้ง่ายขึ้น
• AI – หรือปัญญาประดิษฐ์ สามารถเข้ามาช่วยเสนอแนะข้อมูลเชิงสร้างสรรค์ที่ทำให้เรามองเห็นภาพสิ่งที่จะต้องดำเนินการได้ชัดเจนมากยิ่งขึ้น ซึ่งจะเป็นมากกว่าจินตนาการ

Imperva เราให้บริการและใช้เทคโนโลยี ML มากว่า 20 ปี โดยช่วงเริ่มต้นเราได้ใช้ ML สำหรับการ Leaning Application และจัดการกับ Database แต่ในปัจจุบันเราได้นำ ML มาพัฒนาต่อยอดให้มีขีดความสามารถสูงขึ้น เพื่อนำเสนอข้อมูลให้เป็นเรื่องราวมากขึ้น ทำให้ทราบข้อมูลเชิงลึกว่ากำลังเกิดอะไรขึ้นกับ Application และ Data ของลูกค้าบ้าง

ในปี 2023 องค์กรกำลังเปลี่ยนผ่านไปสู่อะไรบ้าง

• การเปลี่ยนผ่านจาก On-Premises สู่โลกของ Multi-Cloud
  บางองค์กรมีการใช้ Cloud มากกว่าที่เดียว ความท้าทายจึงเกิดคำถามขึ้นมาว่า “แล้วจะบริหารจัดการความปลอดภัยบน Cloud แต่ละที่ได้อย่างไร ให้เป็นมาตรฐานเดียวกัน”

• การเปลี่ยนผ่านจาก Application สู่โลกของ Web/Mobile/APIs
  Web/Mobile/APIs ทั้งสามอย่างมารวมกันเป็น Application นั้นคือปัจจุบัน ซึ่งจากเดิมเราใช้ App Browser หรือ Web App ในการเข้าถึงข้อมูลต่างๆ 

• การเปลี่ยนผ่านจาก Database สู่โลกของ Data Stores
  ปัจจุบัน Database ไม่ได้นิยมใช้งานเป็นฐานข้อมูลหลักเหมือนแต่ก่อนแล้ว ซึ่งถูกเปลี่ยนผ่านมาอยู่ในรูปแบบ Data Stores ที่มีแหล่งข้อมูลหลากหลายรูปแบบมากขึ้นกว่าเดิม (Cloud, Data Lake หรือ Big Data)

ในปี 2023 สำหรับ Security และ Risk Model มีอะไรบ้าง

ความปลอดภัยและความเสี่ยงเป็นการเน้นย้ำถึงแนวโน้มที่โดดเด่นที่หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) และหัวหน้าเจ้าหน้าที่ความเป็นส่วนตัวต้องเผชิญ และให้คำแนะนำที่สำคัญสำหรับการจัดลำดับความสำคัญทั้งภัยคุกคามที่มาจากภายนอกและภายใน เราต้องทราบว่าอะไรคือความเสี่ยงระดับสูงที่สุดขององค์กร Application และ Data เป็นเทรนด์ด้านความเสี่ยงที่ถูกยกให้อยู่ในอันดับแรกๆ ที่องค์กรควรตระหนัก

ภาพด้านบน คือ Security และ Risk Model ที่องค์กรต่างๆ ควรรู้ ทั้ง Public Applications, Public APIs, Private App/APIs และ Data ที่มีโอกาสเผชิญกับคุกคามได้หลากหลายรูปแบบมากที่สุด ผู้ดูแลระบบควรรู้ว่า Applications องค์กรของตนมี APIs อยู่เท่าไหร่บ้าง เพื่อสร้างข้อกำหนดด้านความปลอดภัยทางไซเบอร์ที่สำคัญที่ควรจะแนะนำให้องค์กรเพิ่มหรือยกระดับการปกป้องจากภัยคุกคาม

การโจมตีมีกี่ระดับ

• ระดับ Junior – Bot และ DDoS Attack เป็นเทคนิคการโจมตีแบบ Brute Force ระดับสูงที่อาศัย Botnet หรือเครือข่ายของอุปกรณ์คอมพิวเตอร์ที่ติดมัลแวร์กลายเป็น Zombie และถูกควบคุมตามคำสั่งของแฮ็คเกอร์ โดยปกติแล้วจำนวน Botnet อาจมีได้ถึงหลักหมื่นหรือแสนเครื่องเลยทีเดียว ซึ่งการถล่มเว็บไซต์ถือว่าเป็นเป้าหมายหลักของการโจมตี DDoS Attack
• ระดับ Senior – Zero-day Attack เป็นการโจมตีโดยการหาช่องโหว่ใหม่ๆ ที่ไม่เคยเจอมาก่อน ช่องโหว่ Zero-day ถือว่าค่อนข้างอันตรายมาก เนื่องจากเป็นช่องไหว่ที่ยังไม่มีการอัปเดตแพทช์แก้ไข แฮกเกอร์ที่โจมตีจึงมีโอกาสประสบความสำเร็จสูงมาก
• ระดับ Pro – Client-Side Attack การโจมตีฝั่งไคลเอ็นต์เป็นเรื่องยากที่จะบรรเทาสำหรับองค์กรที่อนุญาตให้เข้าถึงอินเทอร์เน็ตได้
• ระดับ Legend – Reputation Attack เป็นการโจมตีเพื่อหวังทำลายชื่อเสียงโดยตรง

เป้าหมายของการโจมตีสองระดับแรกมุ่งเป้าไปที่ Application ส่วนระดับสูงขึ้นมา Pro และ Legend มักจะมุ่งเป้าหมายไปที่ Data หรือข้อมูลเป็นหลัก ไม่มีนักวิเคราะห์ด้านความปลอดภัยคาดการณ์ได้เลยว่า องค์กรใดจะถูกโจมตีในระดับใดมากที่สุด เพราะไม่มีองค์กรใดเลยที่ไม่มี Application และ Data 

วิสัยทัศน์และเทคโนโลยีของ Imperva ที่ได้รับการพัฒนาอย่างต่อเนื่องโดยใช้แนวคิดในการสร้างแพลตฟอร์มแบบ Full Stack ทั้งการ Protech Infrastructure, Application Performance, Security ระดับ Web/Mobile/API และ Security ระดับ Data/Database ซึ่งถูกผสานการทำงานร่วมกับระบบ AI และ ML เพื่อให้ได้ผลผลิตที่แม่นยำและอัตโนมัติทั้งระดับ Application และ Data 

“AI/ML ในโลก Application & Data Security”
“AI คือการสร้างเครื่องจักรให้มีความชาญฉลาด ส่วน ML คือการสร้างอัลกอริทึมจากข้อมูลที่เรียนรู้มา”

โลกใบแรก คือ “Application Security”

องค์กรต่าง ๆ กำลังเปิดรับสถาปัตยกรรมแบบเนทีฟบนระบบคลาวด์ที่ทันสมัยพร้อมความซับซ้อนที่เพิ่มขึ้นซึ่งผลักดันให้เกิดความต้องการการป้องกันอัตโนมัติ Imperva Application Security ช่วยให้องค์กรต่างๆ ก้าวนำหน้าอาชญากรไซเบอร์ เนื่องจากปัจจุบันเราอาศัยแอปพลิเคชันช่วยขับเคลื่อนการเปลี่ยนแปลงทางดิจิทัล แต่วิธีการรักษาความปลอดภัยแบบดั้งเดิมไม่สามารถตามทันสภาพแวดล้อมแบบไดนามิก มัลติคลาวด์ และไฮบริดได้ จึงมีโอกาสทำให้องค์กรต้องเผชิญกับภัยคุกคามแบบ Zero-day ได้ง่ายมากขึ้น

• Web Application Firewall (WAF)

20 กว่าปีที่ Imperva ได้ทำ Application Firewall (WAF) เพื่อหยุดการโจมตีขั้นสูงบนสภาพแวดล้อมแบบไฮบริดและคลาวด์เนทีฟโดยอัตโนมัติ ทำให้องค์กรสามารถปกป้องแอพพลิเคชันได้ทุกที่ ด้วยค่า False Positive ที่ใกล้เคียงศูนย์เฝ้าระวัง SOC เพื่อให้แน่ใจว่าองค์กรจะได้รับการปกป้องจากการโจมตีที่ถูกค้นพบแบบ Real-time

Web Application Firewall จะช่วยปกป้องธุรกรรมและข้อมูลที่สำคัญจากการถูกคุกคาม ซึ่งสามารถเรียนรู้ได้ทันทีว่ามีการใช้งานทั้งหมดกี่เว็บ มีการใช้งาน URL จำนวนกี่เพจ และการใช้งานอื่นๆ ที่ลึกซึ่ง สามารถเรียนรู้การตรวจจับพฤติกรรมการใช้งาน Web Application ที่ผิดปกติและประเมินได้ด้วยว่าอะไรคือ good business อะไรคือ good behavior เพื่อแยกส่วนที่เหลือออกมาเป็น bad behavior รวมไปถึงพฤติกรรมการ Log-in เข้าสู่ระบบที่ผิดปกติ

3rd Party Script Analysis เป็นส่วนที่โดนโจมตีกันบ่อยที่สุดบนเว็บโฆษณาหรือเว็บพนันออนไลน์ ซึ่ง Virus Firewall ไม่สามารถตรวจจับได้ เนื่องจากมีการหลอกล่อวางกับดักให้เหยื่อหลงกลเข้ามากดลิงก์แปลกปลอมที่ถูกสร้างขึ้นมา ซึ่ง WAF จะทำการวิเคราะห์ Script เหล่านี้ให้ นอกจากนี้ Web Application Firewall ยังมีการทำ API Inventory และ Risk Score ได้ด้วย เพราะเป็นสิ่งที่ทีมรักษาความปลอดภัยต้องการทราบมากที่สุดว่ามี API ใดบ้างที่กำลังมีความเสี่ยง และจะบริหารจัดการมันได้อย่างไร ตัวสุดท้าย คือ DDoS Adaptive Policies ช่วยป้องกันการโจมตีที่ส่งผลให้เป้าหมายไม่ไม่สามารถให้บริการได้ ทำให้มีความสูญเสียจากการดาวน์ไทม์ที่เกิดขึ้น ส่งผลต่อความน่าเชื่อถือ ชื่อเสียง และรายได้ขององค์กร

ทั้ง 5 องค์ประกอบที่อยู่เบื้องหลังการทำ ML คือ WAF Real-time Profiling, Behavior Production Model, Anomaly Login Detection, 3rd Party Script Analysis, API Inventory & Risk Score และ DDoS Adaptive Policies จะส่งข้อมูลที่ถูกคิด วิเคราะห์ แยกแยะว่ามีอะไรเกิดขึ้นบ้าง จัดลำดับความสำคัญของการดำเนินการถัดไปด้วยข้อมูลที่แม่นยำ และสามารถนำข้อมูลเหล้านี้ไปใช้ได้กับทีม SOC, Dev และ Cybersecurity นอกจากนั้น ผู้บริหารยังสามารถเข้าใจบริบทความเสี่ยงทั้งหมดนี้ได้ง่ายดายมากขึ้นด้วย

คุณณัฐพล ได้โชว์ข้อมูลจากสถิติย้อนหลัง 30 วัน จาก 6 เว็บไซต์ ของลูกค้าที่ได้รับการอนุญาตให้นำมาเผยแพร่ได้ โดยมีการโจมตีเกิดขึ้นมากถึง 21,800 กว่าครั้ง โดยหน้าที่ของ Imperva คือ หาความเชื่อมโยง หาความสัมพันธ์ระหว่างกัน แล้วตกผลึกจนเหลือ 678 เหตุการณ์ จากนั้นซอยย่อยลึกลงไปอีกจนเหลือ 4 Critical ที่จะต้องเร่งดำเนินการโดยทันที และอีก 114 Major ที่จะต้องกลับมาดำเนินการต่อ “นี่คือส่งที่ AI ผลิตออกมาและบอกกับเราได้”

องค์กรส่วนใหญ่ไม่รู้เลยว่ามีการใช้ API อยู่บน Web ของตนเอง จะทราบก็ต่อเมื่อระบบทำการ Discover และสามารถบอกได้ว่ามีการโจมตีมาที่ API ถ้าระบบไม่มี Visibility หรือการทำให้มีการมองเห็นได้ ระบบจะไม่สามารถดำเนินการป้องกันตนเองได้เลย การนำ AL/ML สำหรับ API Security จะมีความสำคัญมากพอที่จะช่วยให้เราอุ่นใจได้ เพราะผลผลิตจาก AI สามารถเรียนรู้ข้อมูลที่รับเข้ามาและตอบโต้ได้โดยอัตโนมัติ

AL/ML เข้ามามีบทบาทที่สำคัญอย่างยิ่งในการช่วยวิเคราะห์ภัยคุกคาม บางองค์กรมีมากกว่า 1,000 FQDN ถึงแม้ว่าจะมีทีมงานผู้เชี่ยวชาญด้าน Cybersecurity จำนวนมากแค่ไหนก็ไม่สามารถบอกได้ว่า สิ่งไหนคือ Critical ที่จะต้องให้ความใส่ใจ ณ เดี๋ยวนี้ ตอนนี้ และสิ่งนั้นเป็นเหตุการณ์ที่เกิดขึ้นจากการถูกโจมตีจริงๆ

โลกใบที่สอง คือ “Data Security”

การปกป้องข้อมูลที่ละเอียดอ่อนซึ่งขับเคลื่อนธุรกิจของคุณนั้นต้องการมากกว่าการเข้ารหัสและการสำรองข้อมูล ทีมรักษาความปลอดภัยจำเป็นต้องทราบว่าข้อมูลสำคัญอยู่ที่ไหน ใครเข้าถึง และเมื่อเกิดการละเมิดขึ้นเพื่อดำเนินการทันที ซึ่ง Data หรือข้อมูลนั้น เป็นศูนย์กลางของเศรษฐกิจดิจิทัลในปัจจุบัน และการรักษาความปลอดภัยข้อมูลในระหว่างการปรับใช้ระบบคลาวด์เป็นสิ่งสำคัญในการลดความเสี่ยง

Imperva มอบการรักษาความปลอดภัยข้อมูลแบบรวมศูนย์ในสภาพแวดล้อมระบบคลาวด์แบบดั้งเดิมและแบบสมัยใหม่โดยการตรวจจับ การป้องกัน และการตอบสนองความเสี่ยงโดยอัตโนมัติสำหรับการปฏิบัติตามกฎระเบียบและการดำเนินการด้านความปลอดภัย

Imperva ไม่ได้มีเพียงแค่ส่วนงานหน้าบ้านและหลังบ้านที่ดูแลด้านการขายและด้านเทคนิคเท่านั้น เรายังมีตำแหน่งงานที่เรียกว่า

1. Data Scientist นักวิทยาศาสตร์ด้านการวิเคราะห์ข้อมูล เพื่อมาทำงานอยู่ใน LAB โดยมีบทบาทสำคัญในการคิดอัลกอริทึมว่า Machine Leaning ในโลกของ Data Security สามารถทำอะไรได้บ้าง ระบบควรจะเรียนรู้พฤติกรรมอะไรได้บ้าง Log-in ผิดพลาดทั้งหมดกี่ครั้ง โหลดข้อมูลออกไปมากน้อยขนาดไหน เวลาและความถี่ในการใช้งาน

2. Data Activity Monitoring/DBF กิจกรรมความเคลื่อนไหวทั้งหมดที่เกี่ยวข้องกับข้อมูล ใครทำอะไรที่ไหนอย่างไรและเมื่อไหร่แบบ Real-time ด้วย ML (Machine Leaning)

3. Data Risk Analytics ระบบที่ดีจะต้องสามารถทำ Auto Detect และ Flag-Up กิจกรรมที่ไม่เคยเกิดขึ้นมาก่อนได้ ไม่ว่าข้อมูลจะถูกจัดเก็บไว้ที่ใดก็ตาม

บทบาทของ AL และ ML สำหรับ Data Security มีอะไรบ้าง

• Identify Unknown Threats หาภัยคุกคามที่เราไม่รู้
• Illuminate Stealthy Threats ให้ความกระจ่างสำหรับสิ่งที่ผิดปกติหรือส่อถึงพฤติกรรมภัยคุกคาม
• Uncover suspicious/non-compliant practices เปิดเผยพฤติกรรมที่มีความเสี่ยงหรือไม่เป็นไปตามข้อกำหนด

AL/ML สำหรับ Data Security ในชีวิตจริง จะต้องสามารถช่วยลดความเสี่ยงได้โดยอัตโนมัติ ด้วยการใช้แนวปฏิบัติด้านความปลอดภัยที่ดีที่สุดในระดับเดียวกันในโครงสร้างพื้นฐานระดับองค์กร เพื่อส่งมอบความยืดหยุ่น การปกป้อง และการรับประกันทรัพย์สินที่สำคัญในทุกสภาพแวดล้อม

ทำไมต้องตอนนี้ ทำไมต้อง Imperva

ถ้าอยากทราบว่าทำไมเราต้องมาพูดถึง AI และ ML สำหรับ Application & Data Security ในช่วงนี้ด้วย จากตัวเลขค่าสถิติที่ผ่านมาของทั้ง 4 ประการต่อไปจากนี้จะเป็นคำตอบให้องค์กรกลับมาตระหนักรู้และพร้อมปรับแนวทางปฏิบัติจริง เพื่อก้าวเข้าสู่ยุค Digital Transformation ได้อย่างยั่งยืนและปลอดภัย

• 35% คือ ค่าเฉลี่ยของ bad bot traffic สำหรับในประเทศไทย เป็นค่าสิ้นเปลืองที่ก่อให้เกิดต้นทุนเพิ่มขึ้นซึ่งองค์กรต่างๆ กำลังเผชิญอยู่โดยไม่รู้ตัว 100% ของ Data Transfer ที่ถูกใช้ไป จะเป็น bad bot มากถึง 35% ตัวเลขนี้ถือว่าสูงมาก ถ้าเราสามารถลด bad bot ได้มากเท่าไหร่ เราก็จะสามารถลดค่าใช้จ่ายสิ้นเปลืองได้มากตามไปด้วยเช่นกัน
• 70% คือ ข้อมูลสำคัญที่ถูกเปิดเผย ความเป็นส่วนตัวของระบบเป็นสิ่งสำคัญ ไม่มีใครอยากเปิดผ้าม่านให้ใครก็ได้มองเข้ามาในห้องนอนของเรา เมื่อใดที่บุคคลภายนอกสามารถมองเห็นข้อมูลองค์ประกอบภายในบ้านของเราได้ง่ายมากเท่าไหร่ นั่นคือจุดเริ่มต้นของความเสี่ยงที่อาจจะถูกคุกคามจากผู้ไม่หวังดีได้อย่างง่ายดาย
• 90% ไม่ทราบพฤติกรรมที่มีความสุ่มเสี่ยงในการเข้าถึงข้อมูล นั่นหมายถึง ระบบขององค์กรที่ไม่มีความสามารถในการมองเห็น (Visibility) จึงไม่แปลกที่ระบบไม่สามารถป้องกันตัวเองจากภัยคุกคามได้เลย
• 100% ที่ Website / API ถูกโจมตี หลายองค์กรกำลังถูกโจมตีโดยไม่รู้ตัว คุณณัฐพล แชร์ประสบการณ์ว่า จากประสบการณ์ที่ทำงานมา ยังไม่เคยเห็นเว็บไซต์ไหนที่ไม่เคยถูกโจมตี เพราะ Visibility ที่มองไม่เห็น

จากตัวเลขเหล่านี้ ทำให้องค์กรตระหนักรู้และให้ความสำคัญกับ Web / API และ Data อย่างจริงจังมากขึ้น ก่อนที่จะไม่มีโอกาสได้ป้องกันมันอีก เราไม่สามารถสร้าง Time-Machine เพื่อย้อนเวลากลับไปปกป้องข้อมูลของเราได้ หลังจากถูกโจมตีเราจะทำให้เสมือนว่าไม่เคยมีอะไรเกิดขึ้นเลยไม่ได้ แต่เราสามารถทำให้มันไม่ถูกโจมตีในปัจจุบันได้ ด้วยการก้าวข้ามคำว่า “มันใช้งานยาก มันไม่มีผู้เชี่ยวชาญมาช่วยดูแล” แล้วหันกลับมาพึ่งพาเทคโนโลยี AI และ ML ให้มากขึ้น

คุณณัฐพล ได้กล่าวสรุปส่งท้ายว่า

“สิ่งที่ Imperva ทำนั้น ไม่ได้นำเสนอในรูปแบบ Feature Function อีกต่อไปImperva ไม่ได้เป็นเพียงแค่ Vender ที่นำเสนอ Web Application Firewall เท่านั้นแต่อยากให้จำภาพของ Imperva ในฐานะ Provider และ Partnerที่ใส่ใจในการทำ Protect Infrastructure และ Public Information Performance ให้มีความเสถียรภาพมากขึ้นImperva ให้ความสำคัญกับ Application Security ที่ทำให้ Web Application Firewall กลายเป็นจิ๊กซอตัวหนึ่ง”

ที่ไหนมี Data ที่นั่นย่อมมี Application, ที่ไหนมี Application ที่นั่นย่อมมี Web และ API
และเมื่อมี Data, Web API ที่นั่นย่อมมี Infrastructure

from:https://www.techtalkthai.com/ncsa-thncw-2023-ai-ml-in-app-data-security-by-imperva/

[NCSA THNCW 2023] State of Web Security ปี 2022 และวิธีเสริมแกร่งการรักษาความมั่นคงปลอดภัยไซเบอร์ให้แก่ธุรกิจของคุณ

สถานการณ์ของการโจมตีเว็บแอปพลิเคชันยังคงดำเนินต่อไปพร้อมกับทำสถิติใหม่อย่างไม่หยุดยั้ง ซึ่งจะเห็นได้ว่าในแต่ปีความถี่ของการโจมตีจะเพิ่มขึ้นเรื่อยๆ ยกตัวอย่างเช่นการโจมตีประเภท DDoS Attack ทำลายสถิติเก่าในทุกปีด้วยตัวเลขที่น่าตกใจ ในมุมของแอปพลิเคชันเองก็มีการพัฒนาอย่างสม่ำเสมอ ตลอดจนการใช้งาน API เพื่อสื่อสารกันหลังบ้าน ด้วยเหตุนี้เองผู้พัฒนาเว็ปแอปพลิเคชันจึงต้องรับศึกรอบด้าน ทำให้โซลูชันเดิมอย่าง Web Application Firewall (WAF) จึงไม่ใช่แนวรับที่ดีที่สุดอีกต่อไป 

ในงานมหกรรมนิทรรศกาลด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติที่จัดขึ้นระหว่างวันที่ 17-18 กุมภาพันธ์ที่ผ่านมา ทาง CDNetworks จึงได้มาแชร์ไอเดียของโซลูชัน WAAP ที่ตอบโจทย์การป้องกันเว็บแอปพลิเคชันในปัจจุบัน

เกี่ยวกับ CDNetworks

CDNetworks เริ่มต้นก่อตั้งกิจการในปีค.ศ. 2000 โดยธุรกิจหลักก็คือการให้บริการ Content Delivery Network หรือ CDN ด้วยเหตุนี้การมีโครงสร้างพื้นฐานจำนวนมากและครอบคลุมการให้บริการจึงเป็นเรื่องสำคัญต่อธุรกิจ โดยปัจจุบัน CDNetworks มีเซิร์ฟเวอร์มากกว่า 200,000 ตัว ภายในจุดเชื่อมต่อมากกว่า 2,800 แห่งใน 70 ประเทศ ซึ่งประเทศไทยเป็นหนึ่งในโครงสร้างสำคัญนั้น และยังมีสำนักงานในประเทศไทยอีกด้วย

จากหน้าที่ต้องการกระจายคอนเท้นต์ของธุรกิจจำนวนมาก ทำให้ CDNetworks สามารถต่อยอดบริการทั้งในแง่ของการประมวลผล การปรับปรุงประสิทธิภาพในการให้บริกา จนถึงโซลูชันด้านความมั่นคงปลอดภัยทางไซเบอร์ที่จะกล่าวถึงในส่วนถัดไปของเนื้อหาด้วยเช่นกัน

แนวโน้มการโจมตีเว็ปแอปพลิเคชัน

อย่างที่ทราบดีแล้วว่า CDNetworks เป็นธรุกิจกึ่งกลางระหว่างลูกค้าและผู้ใช้บริการจากภายนอก ทำให้โครงข่ายของตนได้พบเห็นกับการโจมตีมากมายตลอดปี ซึ่งมีการจัดทำเป็นรายงานเกี่ยวกับการโจมตีในภาคส่วนของเว็บแอปพลิเคชันโดยมีข้อสรุปดังนี้

1. การโจมตีในมุมของ DDoS Attack สามารถวิเคราะห์ได้ 2 ระดับชั้นโดยเลเยอร์ระดับเครือข่าย (Network layer) ในปี 2022 มีจำนวนครั้งของการโจมตีสูงขึ้นถึง 161% เทียบกับปี 2021 ในขณะที่การโจมตีระดับแอปพลิเคชันมีจำนวนมากกว่า 1,000 ครั้งต่อวัน ทั้งนี้อุตสาหกรรมเกมเป็นเป้าหมายอันดับหนึ่งของเหตุการณ์ระดับ Network โดยมีสัดส่วนกว่า 70% แน่นอนว่าอาจเพราะมีรายได้จากการแข่งขันและคู่แข่งทางธุรกิจสูง อีกด้านหนึ่งธุรกิจซอฟต์แวร์และวีดีโอรั้งอันดับหนึ่งและสองในระดับแอปพลิเคชันที่ 30% และ 28% ตามลำดับ
2. การโจมตีเว็บแอปพลิเคชันเกิดขึ้นผ่านช่องทางโปรโตคอลหลักอย่าง HTTP ราว 59% ของปริมาณทั้งหมดและหนึ่งในอุตสาหกรรมที่มีคุณค่าสูงในตัวเองอย่าง Financial ก็ครองอันดับหนึ่งของเป้าหมายยอดนิยม แต่ที่สนใจคืออุตสาหกรรมการผลิตที่ใครหลายคนอาจมองข้ามเริ่มมีบทบาทที่ก้าวขึ้นมารั้งอันดับสาม
3. การโจมตีต่อ API สูงขึ้นมากกว่าปี 2021 ถึง 168% ทั้งนี้ผู้รับผิดชอบปฏิบัติการกว่า 87% ก็คือบอทนั่นเอง โดยอีคอมเมิร์ซเป็นธุรกิจที่ถูกโจมตีสูงเกือบ 90% ในทางนี้อาจเพราะว่ามีการ Integrate กับระบบ 3rd Party ระบบโฆษณา และคู่ค้าทางธุรกิจจำนวนมาก

รู้จักกับ WAAP

คุณสมบัติของเว็บแอปพลิเคชันในวงจรของการพัฒนาในปัจจุบันนั้นกล่าวได้ว่าไม่มีที่สิ้นสุดไม่หยุดนิ่ง หากพิจารณาบริบทของ Agile ที่พร้อมนำเสนอฟีเจอร์ใหม่อยู่เรื่อยๆ อีกทั้งการใช้งาน API ที่ในอดีต Web Application Firewall (WAF) ไม่ได้ถูกออกแบบมาให้ตอบโจทย์ความท้าทายเหล่านี้ ทำให้มีการนำเสนอโซลูชันใหม่ที่เรียกว่า Web Application and API Protection หรือ WAAP นั่นเอง

แน่นอนว่า WAAP สนใจการปกป้องเลเยอร์แอปพลิเคชันเหมือนกับ WAF ดังนั้นจึงมีการปกป้องในช่องทางการให้บริการปกติของเว็บที่ Firewall จำต้องปล่อยผ่าน และ WAAP ยังถูกออกแบบมาให้มีหน้าที่เฉพาะมากกว่า IDS/IPS เช่นกัน อย่างการรองรับทราฟฟิคเข้ารหัส TLS ได้เป็นต้น แต่ WAAP ไม่ได้พึ่งพาเพียงแค่ Signature-based

ฟีเจอร์หลักที่ผู้ให้บริการ WAAP มักนำเสนอเป็นตัวหลักของโซลูชันประกอบด้วย WAF, API Protection, Bot Migation และ DDoS Protection ซึ่งในส่วนของบอทมีการปรับปรุงความสามารถในจำแนกบอทที่ดีและคัดกรองบอทที่ไม่ดีออกไปด้วยความแม่นยำสูง

ความแตกต่างระหว่างหน้าที่ของ WAF แบบเดิมๆก็คือ WAAP มีการใช้ AI และการวิเคราะห์พฤติกรรมที่เป็นแกนหลักของการทำงาน ทำให้ปรับตัวกับการเปลี่ยนแปลงของเว็บแอปพลิเคชันได้อย่างทันท่วงที รวมถึงเทคโนโลยีด้านเว็บที่อาจเพิ่มขึ้นอย่าง HTTP 2.0 และ JSON ที่เคยเปลี่ยนผ่านมาเมื่อครั้งอดีต ในขณะที่ WAF แบบเดิมแม้จะมีเฟสการเรียนรู้แต่สุดท้ายแล้วก็ต้องมีการปรับจูนไม่น้อยทำให้การทำงานกับการเปลี่ยนแปลงทำได้ยากกว่า อีกทั้ง WAAP ยังมีความสามารถเจาะจงไปกับ API อีกด้วยนั่นจึงทำให้ WAAP จึงเป็นทางเลือกสำหรับอนาคตของเว็บแอปพลิเคชัน

CDNetworks ได้นำเสนอ WAAP ที่ครอบคลุมฟีเจอร์หลักข้างต้นในโมเดลของ SaaS ซึ่งมีความยืดหยุ่นสูงต่อการใช้งาน ไม่ต้องมีการติดตั้ง Agent และคล่องตัวต่อการทำงานในลักษณะของ Multi-cloud ซึ่งเป็นเรื่องปกติสำหรับองค์กรในปัจจุบัน และด้วยโครงสร้างพื้นฐานที่แข็งแกร่ง ตลอดจนบริการที่ครบเครื่องทำให้ CDNetworks มีลูกค้าที่ไว้ใจใช้บริการมากกว่า 3,000 รายทั่วโลก ท่านใดสนใจบริการของ CDNetworks สามารถเข้าชมได้ที่  cdnetworks.com และติดตามเราบน LinkedIn

from:https://www.techtalkthai.com/ncsa-thncw-2023-state-of-web-security-by-cdnetworks/

[NCSA THNCW 2023] To Prevent Last Line of Defense / Edge to Cloud Security โดย HPE

หลายปีที่ผ่านมาเราอาจจะเคยได้ยินหัวข้อที่พูดถึงเรื่องทำนองว่า Edge นั้นสำคัญกว่าที่เคย แต่นับวันประเด็นนี้เริ่มซับซ้อนมากขึ้นทุกที จากหลายความท้าทายที่ก่อตัวทับถมกันจนเกิดเป็นช่องว่างที่ยากจะแก้ไขหากไร้การวางแผนไว้ก่อน อย่างไรก็ดีนอกจากการป้องกันที่ระดับขอบเขตของเครือข่ายแล้ว สุดท้ายผู้ปฏิบัติงานในสายไอทีโดยเฉพาะผู้มีหน้าที่ด้านความมั่นคงปลอดภัยคงเข้าใจดีว่าไม่มีอะไรที่ 100% ดังนั้นคำถามคือแนวป้องกันสุดท้ายขององค์กรควรอยู่ที่ใด 

ในงานมหกรรมนิทรรศกาลด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติที่ได้จัดขึ้นระหว่างวันที่ 17-18 กุมภาพันธ์ที่ผ่านมา HPE จึงได้มาให้ความรู้กับผู้ฟังในความท้าทายของ Edge และแนวป้องกันสุดท้าย พร้อมกับไอเดียในการวางแผนรับมือ ทั้งนี้สำหรับใครที่อาจจะพลาดช่วงหัวข้อนี้ไปก็สามารถติดตามบทความสรุปจากทางทีมงาน TechTalkThai ที่ได้หยิบยกประเด็นสำคัญมาให้ได้อัปเดตกันอีกครั้ง

Edge to Cloud Security

สถานการณ์ของวิธีการทำงานและสภาพแวดล้อมต่างๆได้ยกระดับให้ความมั่นคงปลอดภัยที่ระดับ Edge กลายเป็นเรื่องจำเป็นและสำคัญอย่างยิ่ง ปัจจัยแรกคือหากเราพิจารณาถึงการไปคลาวด์ท่านอาจจะพบว่ามีการใช้งานคลาวด์ขององค์กรแฝงอยู่มากมาย ไม่ใช่แค่เซิร์ฟเวอร์ที่ย้ายไปบนนั้นแต่ยังรวมถึง SaaS เช่น Dropbox, Microsoft 365, Google Cloud และอื่นๆ 

ปัจจัยที่สองคือ IoT ซึ่งประเด็นหลักคืออุปกรณ์จำพวกนี้มีทรัพยากรต่ำ ไม่มีระบบปฏิบัติการที่รองรับการทำงานขั้นสูงโดยเฉพาะงานด้านความมั่นคงปลอกภัย สาเหตุมาจากวัตถุประสงค์ที่ต้องคล่องตัว ราคาถูก และใช้พลังงานให้น้อยที่สุด ซึ่งอุปกรณ์ที่สังเกตได้ง่ายในองค์กรเช่น ปริ้นเตอร์ voIP กล้องวงจรปิด ยังไม่นับรวมเซนเซอร์จำนวนมหาศาลที่ท่านอาจมองข้ามไป

ปัจจัยสุดท้าย คือการทำงานจากที่ใดก็ได้ ซึ่งได้รับการยอมรับอย่างกว้างขวางจนกลายเป็นวิถีปฏิบัติที่เกิดขึ้นเป็นปกติแล้ว ทั้งนี้ความท้าทายสำคัญคือจะทำอย่างไรให้องค์กรของท่านสามารถบังคับหรือควบคุมการทำงานเหล่านี้ให้เป็นไปอย่างมั่นใจ เฉกเช่นเดียวกับระบบการทำงานที่เคยอยู่เพียงแค่ในองค์กร ซึ่งแน่นอนว่าอาจจะมองได้ถึงการติดตั้งการป้องกันระดับ Endpoint  แต่เชื่อได้แค่ไหนว่าทุกอุปกรณ์นั้นปลอดภัย โดยเฉพาะอุปกรณ์ส่วนตัวที่นำมาใช้ทำงาน ด้วยเหตุนี้เอง Edge ที่มีความเข้มแข็งด้านความมั่นคงปลอดภัยจึงมีความสำคัญอย่างยิ่ง

Framework ของการทำ Zero Trust มีอยู่หลายขั้นตอน แต่หนึ่งในเสาหลักสำคัญก็คือสิ่งที่เรียกว่า Zero Trust Network Access (ZTNA) โดยจุดเริ่มแรกก็คือองค์กรจำเป็นที่จะต้อง ‘มองเห็น’ สิ่งที่มีอยู่ในองค์กรเสียก่อน การพิสูจน์ตัวตนจึงตามมา พร้อมกับกำหนดมาตรการเข้าถึงอย่างตรงบทบาทหน้าที่ ซึ่ง HPE Aruba มีโซลูชันที่ช่วยตอบโจทย์การทำ ZTNA ได้อย่างครบเครื่อง

ณ จุดแรกโซลูชันของ Aruba นั้นสามารถแยกแยะได้ว่าผู้ใช้ หรืออุปกรณ์ที่เข้ามานั้นเป็นอะไร โดยเฉพาะกลุ่มของ IoT ที่ต้องตอบคำถามสำคัญคืออุปกรณ์นั้นเป็นอุปกรณ์อะไร ยี่ห้อไหน จากนั้นก็จะอาศัยความสามารถในการพิสูจน์ตัวตนผ่าน Clearpath หรือ CloudAuth และจากประเด็นของ IoT ที่ไม่มีความสามารถเหมือนอุปกรณ์อื่น ทำให้ภาระสำคัญตกมาอยู่ที่ตัว Edge ที่ต้องมองเห็นและรับรู้ได้ว่าสิ่งที่เชื่อมต่อคือ IoT เพื่อการกำหนด Policy ได้อย่างเหมาะสมต่อไป ไม่เพียงเท่านั้นการทำ Policy ที่ดีต่อ User Experience คือไม่ว่าผู้ใช้จะอยู่สถานที่ใด ผ่านเครือข่าย LAN หรือ Wireless ก็ควรต้องได้รับ Policy เดียวกัน

ประสิทธิภาพของการทำงานเป็นหัวใจสำคัญที่พลาดไม่ได้ โดยเฉพาะรูปแบบที่ผู้คนวิ่งผ่านอินเทอร์เน็ตไปหาจุดหมายปลายทางไม่ว่า จะเป็นเซิร์ฟเวอร์บนคลาวด์ เซิร์ฟเวอร์ภายในองค์กร หรือสาขาที่ต้องไปออกไปหาศูนย์ใหม่ ทั้งหมดนี้สามารถตอบโจทย์ได้ผ่านโซลูชัน Aruba SD-WAN ที่รองรับการเข้ารหัสการเชื่อมต่อ การันตีคุณภาพของบริการ และรู้จักกับบริการ SaaS ต่างๆในท้องตลาด ตลอดจนความสามารถในการ Integrate ตัวเองเพื่อทำงานร่วมกับอุปกรณ์ค่ายอื่นตอบสนองการทำงานแบบอัตโนมัติ

To Prevent Last Line of Defense

ประเด็นของแนวป้องกันระดับองค์กรคงไม่ได้อยู่ที่เพียง Edge หรืออุปกรณ์รอบนอกเพียงอย่างเดียว เนื่องจากสุดท้ายแล้วการที่ไม่มีอะไรปลอดภัย 100% กลายเป็นการบ้านที่ผู้ดูแลระบบในทุกองค์กรต้องมาตีโจทย์ว่าอะไรคือแนวป้องกันสุดท้ายที่ท่านควรจะมี ซึ่งคำตอบเหล่านี้ก็ย้อนกลับมาที่จุดเดียวนั่นก็คือ ‘ข้อมูล’

จุดสำคัญที่ทำให้ธุรกิจเสียหายได้อย่างมากก็คือข้อมูลนั่นเอง โดยเฉพาะหากเรามองไปถึงปัญหาเรื่องแรนซัมแวร์ ที่คนร้ายไม่เพียงแค่เข้ารหัสข้อมูลที่ใช้อยู่เท่านั้น แต่ยังมองไปถึงข้อมูลสำรองด้วยเช่นกัน และที่น่ากังวลก็คือท่านสามารถบริหารจัดการข้อมูลเหล่านี้ได้ดีแค่ไหน เพราะหากพูดถึงความท้าทายมักมีนัยยะซ่อนอยู่ 2 เรื่องคือ ท่านจะทราบได้อย่างไรว่าภายใต้กองข้อมูลมหาศาลนั้นข้อมูลที่เก็บเอาไว้สำคัญจริงหรือไม่ ประกอบกับข้อมูลเหล่านี้กระจายกันอยู่ที่ใดบ้าง ซึ่งองค์กรมักมีการใช้โซลูชันประกอบกันหลายตัวเพื่อแก้ปัญหาแต่ก็อาจนำไปสู่ปัญหาเรื่องการทำงานร่วมกันต่อไป

HPE Cohesity คือโซลูชันที่นำเสนอแนวทางการจัดการความท้าทายด้านข้อมูลอย่างครบวงจร ไม่ว่าจะเป็นเรื่องของการปกป้องข้อมูล ความมั่นคงปลอดภัย การเคลื่อนย้ายข้อมูลไปยังสถานที่ต่างๆ พร้อมจำกัดการเข้าถึง และสุดท้ายคือการสกัดคุณค่าอันแท้จริงออกมาว่าข้อมูลมีความถูกต้องหรือมีคุณค่าอะไรแฝงอยู่ และนั่นคือการป้องกันด่านสุดท้ายที่ทุกองค์กรควรต้องมีการวางแผนรับมือครับ

from:https://www.techtalkthai.com/ncsa-thncw-2023-data-edge-cloud-security-by-hpe/

[NCSA THNCW 2023] Zero Trust Security สำหรับ Hybrid Workforce โดย M.Tech

หัวใจสำคัญ 5 ประการ ในการรักษาความมั่นคงปลอดภัย หรือ Zero Trust Security เพื่อตั้งรับการโจมตีจากภัยคุกคามที่อาจจะเปลี่ยนไปในอนาคต รวมไปถึงรูปแบบการทำงานใหม่ๆ ในยุคยุคไฮบริดปัจจุบัน โดย คุณกฤษณา เขมากรณ์ Country Manager M-Solutions Technology (Thailand)

การป้องกันทางไซเบอร์ต้องการความเร็วและความว่องไวที่สูงกว่าเพื่อแซงหน้าศัตรู เพิ่มความยืดหยุ่น สร้างความสามารถในการตอบสนองเพื่อกู้คืนทันที ในขณะเดียวกันก็เพิ่มเวลาและค่าใช้จ่ายอย่างมากให้กับศัตรูเหล่านี้ ปัจจุบันมีมาตรฐาน Zero Trust หลากหลายมาตรฐาน เช่น จาก NIST, NSA และ DoD แต่องค์กรจะนำ Zero Trust ไปปรับใช้งานแบบค่อยเป็นค่อยไปเพื่อเพิ่มขีดความสามารถของ Zero Trust ได้อย่างไร นี่คือความท้าทายที่องค์กรต่างๆ จะต้องประเมิน

การทำงานนอกสถานที่กลายเป็นเรื่องปกติไปแล้ว เราจะรักษาความปลอดภัยให้กับพนักงานและตำแหน่งที่อยู่ห่างไกลของเราได้อย่างไรในขณะที่ยังคงรักษาประสิทธิภาพเครือข่ายที่มั่นคง

• การวิจัยพบว่า 46% ของธุรกิจทั่วโลกเผชิญกับปัญหาความปลอดภัยทางไซเบอร์อย่างน้อยหนึ่งครั้งตั้งแต่เปลี่ยนมาใช้รูปแบบการทำงานระยะไกลในช่วงล็อกดาวน์โควิด-19
• 71% ของผู้นำทางธุรกิจถามว่าเชื่อว่าการเปลี่ยนไปใช้การทำงานจากระยะไกล 100% ในช่วงวิกฤต COVID-19 ได้เพิ่มโอกาสในการเจาะระบบทางไซเบอร์
• ประมาณ 74% ของธุรกิจมีแผนที่จะกันพนักงานออกจากสำนักงานอย่างถาวรมากขึ้นหลังการระบาดใหญ่

เมื่อมีการเข้าถึง นั่นคือ โอกาสของช่องโหว่

รูปแบบการโจมตีมีการพัฒนาและซับซ้อนมากขึ้นอย่างต่อเนื่องสำหรับภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นจากสองปีที่ผ่านมา เมื่อใดที่มีการเข้าถึงในรูปแบบออนไลน์ นั่นคือการเปิดโอกาสของช่องโหว่ให้ภัยคุกคามโจมตีระบบเราได้เช่นกัน ปัจจุบันเทคโนโลยีด้านการรักษาความั่นคงปลอดภัยมีการพัฒนาประสิทธิภาพสูงมากขึ้นอย่างต่อเนื่อง แต่อาจจะยังไม่เพียงพอสำหรับการรับมือกับกลอุบายที่แสนแยบยล การปรับกลยุทธเพื่อสร้างการมองเห็น การวิเคราะห์ และการตอบสนอง จะทำให้เราก้าวนำหน้าภัยคุกคามได้อย่างมีประสิทธิภาพมากที่สุด

ช่องโหว่มาจากอะไรได้บ้าง

• 30% มาจาก Web-based Attacks การโจมตีบนเว็บแอปพลิเคชัน ทำให้เกิดข้อกังวลด้านความปลอดภัยหลายประการซึ่งเกิดจากการใช้ช่องโหว่ในการเข้ารหัสเพื่อเข้าถึงเซิร์ฟเวอร์หรือฐานข้อมูลที่ละเอียดอ่อนได้โดยตรงและเปิดเผยต่อสาธารณะ ซึ่งเรียกว่าการโจมตีเว็บแอปพลิเคชัน ฐานข้อมูลเหล่านี้จำนวนมากมีข้อมูลที่มีค่า (เช่น ข้อมูลส่วนบุคคลและรายละเอียดทางการเงิน) ทำให้เป็นเป้าหมายของการโจมตีบ่อยครั้ง ซึ่งจะเห็นว่าอาชญากรสามารถเข้าถึงข้อมูลที่อยู่ในฐานข้อมูลได้อย่างรวดเร็วผ่านกรรมวิธีต่างๆ ไม่ว่าจะด้วยด้วยความโชคดี ความประมาทเลินเล่อ หรือความผิดพลาดของมนุษย์ ที่ทำให้เกิดช่องโหว่ในเว็บแอปพลิเคชัน เราจึงควรตระหนักรู้ตระหนักคิดที่จะระวังรอบด้าน
• 42% มาจาก Targeted Cyber Attacks การโจมตีทางไซเบอร์แบบกำหนดเป้าหมาย ไม่ว่าจะเป็นการใช้ประโยชน์จากช่องโหว่ของเป้าหมายโดยตรง หรือการโจมตีแบบฟิชชิ่ง ล้วนแต่หวังในข้อมูลที่สำคัญของเป้าหมาย
• 58% มาจาก Mobile Malware Families เทคโนโลยีต่างๆ ที่มีปฏิสัมพันธ์กับอุปกรณ์ชนิดพกพาล้วนแต่เป็นพาหะที่มีประสิทธิภาพสูงของการติดไวรัสและการแพร่กระจายต่อ
• 125% มาจาก Social Media Phishing Sites การโจมตีผ่านแพลตฟอร์มโซเชียลมีเดียต่างๆ เช่น Facebook, Instagram, Twitter หรืออื่นๆ เพื่อการขโมยข้อมูลส่วนบุคคลหรือเข้าควบคุมบัญชีโซเชียลมีเดียของผู้ใช้งาน

ทำไมองค์กรต่างๆ มองหา Zero Trust?

เพราะทุกวันนี้ไม่สามารถไว้วางใจอะไรได้อีก ความเสี่ยงแฝงตัวอยู่รอบตัวเรามากขึ้นทุกวัน ภัยคุกคามมีพัฒนาความรอบจัดเพื่อความสำเร็จในการเข้าถึงตัวเป้าหมาย กับคำว่า ฉันยังไม่เคยโดนโจมตีเลยสักครั้งอาจจะไม่ใช่เสมอไป ไม่รู้ตัวว่าโดนเข้าแล้ว กับ การอยู่รอดปลอดภัยดี ไม่มีอะไรมาชี้วัดได้ แต่การสร้างการมองเห็นเป็นวิธีที่สามารถปกป้องสินทรัพย์ของคุณได้ดีที่สุด เพราะเราจะไม่สามารถวิเคราะห์หรือตอบสนองในสิ่งที่เรามองไม่เห็นได้เลย

• 42% ของผู้ตอบแบบสอบถามจากรายงานการสำรวจทั่วโลกระบุว่าพวกเขามีแผนที่จะใช้กลยุทธ์การไม่ไว้วางใจ (ที่มาของข้อมูล https://hostingtribunal.com/blog/cloud-adoption-statistics/#gref) สอดคล้องกับกลยุทธ์ของ Zero Trust “อย่าไว้ใจ ตรวจสอบเสมอ”
• 94% ขององค์กรใช้บริการคลาวด์อยู่แล้ว (ที่มาของข้อมูล https://www.statista.com/statistics/1228254/zero-trust-it-model-adoption/) เมื่อเราขึ้นไปอยู่บน Cloud สิ่งที่เปลี่ยนไปจากเดิม คือ ไม่สามารถมองเห็นอุปกรณ์ Networking แล้วเราจะจัดการความท้าทายใหม่รูปแบบนี้ให้มีความมั่นคงปลอดภัยได้อย่างไร
• พนักงานที่ทำงานนอกสถานที่จะมีจำนวนถึง 60% ของแรงงานทั้งหมดในสหรัฐอเมริกาภายในปี 2024 ถึงวันนี้หรืออนาคตจะไม่มีโควิดอีกแล้ว ในอเมริกาก็ยังมองว่ายังจำเป็นที่จะต้องทำงานในรูปแบบ Workforce ทุกอย่างเปลี่ยนไปสู่ยุค Digital Transformation นี่คือสิ่งที่เราจะต้องตื่นตัวเพื่อความยั่งยืนรอบด้านโดยเฉพาะเรื่องความมั่นคงปลอดภัยในโลกไซเบอร์

Zero Trust Security Model คืออะไร

Zero Trust คือ แนวคิดการลดความเสี่ยงสำหรับองค์กรธุรกิจที่สำคัญที่สุด ซึ่งเป็นมากกว่าเทคโนโลยี Zero Trust เป็นเฟรมเวิร์กสำหรับการรักษาความปลอดภัยองค์กรในโลกคลาวด์และสมาร์ทโฟนที่ยืนยันว่าไม่มีผู้ใช้หรือแอปพลิเคชันใดคู่ควรที่จะเชื่อถือได้เลย แม้ว่าอุปกรณ์นั้นจะเชื่อมต่อกับเครือข่ายที่ได้รับอนุญาตสิทธิ์ระดับองค์กร หรือแม้ว่าอุปกรณ์เหล่านั้นจะผ่านการยืนยันก่อนหน้านี้แล้วก็ตาม “อย่าไว้ใจ ตรวจสอบเสมอ” (never trust, always verify)

Zero Trust Maturity Model คืออะไร

มีสามขั้นตอนที่ใช้ในการระบุความเป็น Maturity ใน Zero Trust Architecture ของคุณ ได้แก่ แบบดั้งเดิม (Traditional), ขั้นสูง (Advanced) และเหมาะสมที่สุด (Optimal)

• แบบดั้งเดิม (Traditional) ที่แยกย่อยออกเป็นเสาหลักเหล่านี้ มีการกำหนดค่าแบบแมนนวลสำหรับแอตทริบิวต์ การตอบสนองต่อเหตุการณ์แบบแมนนวล และการปรับใช้การลดขนาดแบบแมนนวล
• แบบขั้นสูง (Advanced) จะมีการปรับใช้ให้มัการมองเห็นแบบรวมศูนย์ การควบคุมตัวตนแบบรวมศูนย์ การตอบสนองต่อเหตุการณ์บางอย่างที่กำหนดไว้ล่วงหน้า และการเปลี่ยนแปลงสิทธิ์ขั้นต่ำบางอย่างตามการประเมินท่าทาง
• และประสิทธิภาพสูงสุดคือขั้นตอนที่เหมาะสมที่สุด (Optimal) องค์กรมีการกำหนดแอตทริบิวต์โดยอัตโนมัติให้กับสินทรัพย์และทรัพยากร นโยบายแบบไดนามิกตามทริกเกอร์อัตโนมัติ/ที่สังเกตได้ สินทรัพย์มีการขึ้นต่อกันที่แจกแจงตัวเองสำหรับการเข้าถึงสิทธิ์ขั้นต่ำแบบไดนามิก การมองเห็นแบบรวมศูนย์พร้อมฟังก์ชัน historian สำหรับการจดจำสถานะในช่วงเวลาต่างๆ

หัวใจสำคัญ 5 ประการ ในการรักษาความมั่นคงปลอดภัย หรือ Zero Trust Security

หัวใจสำคัญ ที่ 1 คือ “Identity”

Identity แบบดั้งเดิม

การรักษาความปลอดภัยทางไซเบอร์แบบดั้งเดิมจะตรวจสอบตัวตนโดยใช้รหัสผ่านหรือการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับการประเมินความเสี่ยง องค์กรต่างๆ มีการจำกัดความเสี่ยงด้านข้อมูลประจำตัวและจะแบ่งกลุ่มกิจกรรมของผู้ใช้ด้วยแอตทริบิวต์พื้นฐานและแบบคงที่ด้วยตนเองหรือแบบแมนนวล

Identity ขั้นสูง

การรักษาความปลอดภัยทางไซเบอร์ขั้นสูงใน Zero Trust องค์กรต่างๆ ได้ปรับเปลี่ยนไปสู่ระบบอัตโนมัติและการตรวจสอบข้อมูลประจำตัวแบบหลายรายการและ MFA ผ่าน single passwords นอกจากนี้ยังมีการตรวจสอบสภาพแวดล้อมบนคลาวด์พร้อมกับระบบภายในองค์กร ปรับใช้การวิเคราะห์อย่างง่ายและกฎแบบคงที่ซึ่งจะเป็นตัวกำหนดการประเมินความเสี่ยง การเพิกถอนการเข้าถึงโดยอัตโนมัติตามนโยบาย และไม่มีบัญชีที่ใช้ร่วมกันโดยเด็ดขาด

Identity ที่เหมาะสมที่สุด

องค์กรต่างๆ ได้มาถึงสถานะของการตรวจสอบข้อมูลประจำตัวอย่างต่อเนื่อง ไม่ใช่แค่เมื่อได้รับอนุญาตในตอนแรกเท่านั้น ใช้รูปแบบการวิเคราะห์พฤติกรรมของผู้ใช้แบบเรียลไทม์ ด้วยอัลกอริทึมจากเครื่องมือการเรียนรู้เพื่อระบุความเสี่ยงและมอบการป้องกันอย่างต่อเนื่อง นอกจากนี้ยังมีการปรับใช้การรวมศูนย์การมองเห็นของผู้ใช้ด้วยแอตทริบิวต์ที่มีแม่นยำสูง ซึ่งสามารถการวิเคราะห์พฤติกรรมผู้ใช้ได้ตลอดเวลา

หัวใจสำคัญ ที่ 2 คือ “Device”

Device แบบดั้งเดิม

สำหรับแนวทางปฏิบัติด้านความปลอดภัยในโลกไซเบอร์แบบดั้งเดิมนั้น องค์กรต่างๆ มีข้อจำกัดในการมองเห็นอุปกรณ์ที่ปฏิบัติตามข้อกำหนดและบังคับ ซึ่งยังให้รูปแบบการซื้ออุปกรณ์ไอทีและสร้างเงื่อนไขด้านความปลอดภัยด้วยตนเอง การเลิกใช้อุปกรณ์จำเป็นต้องได้รับการดูแลสุขอนามัยอย่างเข้มงวดเพื่อยกเลิกการเข้าถึงและข้อมูลที่ยังเหลืออยู่

Device ขั้นสูง

Zero Trust ขั้นสูงจะก้าวไปสู่ระบบอัตโนมัติและการตรวจสอบอย่างต่อเนื่อง สำหรับการจัดการสินทรัพย์ ระบุช่องโหว่และแพตช์สินทรัพย์ และการตรวจนับสินค้าคงคลังของอุปกรณ์กับรายการที่ได้รับการอนุมัติโดยจะคัดแยกชิ้นส่วนประกอบที่ไม่เป็นไปตามข้อกำหนด มีการจัดเตรียมอุปกรณ์โดยใช้วิธีการอัตโนมัติและทำซ้ำได้ รองรับฟังก์ชันความปลอดภัยที่ทันสมัยในฮาร์ดแวร์ตั้งแต่ตั้งต้น

Device ที่เหมาะสมที่สุด

Zero Trust ที่เหมาะสมที่สุดจะตรวจสอบความปลอดภัยอุปกรณ์อย่างต่อเนื่องมากขึ้น ทุกการเข้าถึงข้อมูลจะต้องพิจารณาการวิเคราะห์ความเสี่ยงตามเวลาจริงสำหรับอุปกรณ์นั้นๆ โดยจะผสานรวมการจัดการสินทรัพย์และความเสี่ยงในทุกสภาพแวดล้อมขององค์กร รวมถึงระบบคลาวด์และรูปแบบการทำงานจากระยะไกล ด้วยการประเมินพฤติกรรมของอุปกรณ์อย่างต่อเนื่อง (การตรวจจับและตอบสนองปลายทางหรือ EDR) นอกจากนี้ยังอนุญาตให้เข้าถึงและใช้งานข้อมูลโดยไม่ต้องมีสำเนาข้อความซึ่งช่วยลดความเสี่ยงให้กับซัพพลายเชนของสินทรัพย์ได้อย่างมีประสิทธิภาพ

หัวใจสำคัญ ที่ 3 คือ “Network / Environment”

Network / Environment แบบดั้งเดิม

ระบบเครือข่ายและระบบนิเวศต่างๆ แบบดั้งเดิม ยังคงใช้การป้องกันภัยคุกคามเป็นหลักจากภัยคุกคามที่รู้จักและการกรองการรับส่งข้อมูลแบบคงที่ การเข้ารหัสการรับส่งข้อมูลภายในขั้นต่ำอย่างชัดเจน รวมถึงนโยบายแบบแมนนวลเพื่อระบุเครือข่าย อุปกรณ์ และบริการที่ถูกระงับ ด้วยการค้นพบและการแก้ไขด้วยตนเอง

Network / Environment ขั้นสูง

การวิเคราะห์ขั้นพื้นฐานเพื่อค้นหาภัยคุกคามในเชิงรุก ในระดับสูงจะใช้การเข้ารหัสการรับส่งข้อมูลทั้งหมดไปยังแอปพลิเคชันภายในซึ่งรวมไปถึงการรับส่งข้อมูลภายนอกในบางส่วนด้วย โดยทำงานผ่านเซ็นเซอร์ในรูปแบบต่างๆ ที่หลากหลายเพื่อระบุตำแหน่งการแจ้งเตือนและทริกเกอร์

Network / Environment ที่เหมาะสมที่สุด

Zero Trust ที่เหมาะสมสำหรับ Network / Environment จะรวมการป้องกันภัยคุกคามโดยใช้การเรียนรู้แมชชีนเลินนิ่งเข้ามาช่วยให้มีการมองเห็น การวิเคราะห์ และการตอบสนอง มีรูปแบบการกรองรูปแบบการรับส่งข้อมูลทั้งหมดไปยังตำแหน่งภายในและภายนอกด้วยการเข้ารหัส โดยใช้การวิเคราะห์ผ่านเซ็นเซอร์แบบหลายประเภทเพื่อระบุตำแหน่งการแจ้งเตือนและทริกเกอร์แบบอัตโนมัติ

หัวใจสำคัญ ที่ 4 คือ “Application Workload”

Application Workload แบบดั้งเดิม

องค์กรต่างๆ มีนโยบายแบบดั้งเดิมและดำเนินการบังคับใช้ด้วยตนเองหรือแมนนวลสำหรับ software development, software asset management, security tests and evaluations (ST&E) และ tracking software dependencies

Application Workload ขั้นสูง

องค์กรที่อยู่ในขั้นสูงมีการปรับใช้ Zero Trust เพื่อขีดความสามารถเข้าถึงแอปพลิเคชันที่อาศัยการรับรองความถูกต้องแบบรวมศูนย์ การให้สิทธิ์ การเฝ้าติดตาม และแอตทริบิวต์ แอปพลิเคชันระบบคลาวด์ทั้งหมดรวมไปถึงแอปพลิเคชันภายในองค์กรบางส่วนสามารถเข้าถึงได้โดยตรงโดยผู้ใช้ทางอินเทอร์เน็ต โดยที่แอปพลิเคชันอื่นๆ ทั้งหมดสามารถเข้าถึงได้ผ่านทาง VPN โดยรวมการทดสอบความปลอดภัยของแอปพลิเคชันเข้ากับกระบวนการพัฒนาและปรับใช้แอปพลิเคชัน รวมถึงการใช้วิธีการทดสอบแบบไดนามิก

Application Workload ที่เหมาะสมที่สุด

Zero Trust ที่เหมาะสมที่สุดสำหรับปริมาณงานของแอปพลิเคชันช่วยให้สามารถเข้าถึงแอปพลิเคชันได้อย่างต่อเนื่องมากขึ้น โดยพิจารณาจากการวิเคราะห์ความเสี่ยงแบบเรียลไทม์ ซึ่งรวมถึงการผสานรวมการป้องกันภัยคุกคามเข้ากับเวิร์กโฟลว์ของแอปพลิเคชันที่มีความแน่นหนา พร้อมด้วยการวิเคราะห์เพื่อให้การป้องกันที่เข้าใจและคำนึงถึงพฤติกรรมของแอปพลิเคชัน ผู้ใช้สามารถเข้าถึงแอปพลิเคชันทั้งหมดได้โดยตรงผ่านทางอินเทอร์เน็ต มีการรวมการทดสอบความปลอดภัยของแอปพลิเคชันตลอดกระบวนการพัฒนาและการปรับใช้แบบไดนามิกด้วยเซ็นเซอร์และระบบภายนอก มีการปรับให้เข้ากับการเปลี่ยนแปลงสภาพแวดล้อมอย่างต่อเนื่องเพื่อความปลอดภัยและเพิ่มประสิทธิภาพการทำงาน

หัวใจสำคัญ ที่ 5 คือ “Data”

Data แบบดั้งเดิม

แบบดั้งเดิม องค์กรใช้วิธีการควบคุมการเข้าถึงข้อมูลแบบคงที่ และเก็บข้อมูลในที่จัดเก็บข้อมูลภายในองค์กรเป็นหลักและที่ที่พวกเขาจะถูกถอดรหัสเมื่อไม่มีการใช้งาน การจัดประเภทข้อมูลและการอนุญาตการเข้าถึงข้อมูลส่วนใหญ่ถูกกำหนดโดยการตัดสินใจแบบกระจายหรือแมนนวล

Data ขั้นสูง

องค์กรต่างๆ จะเก็บข้อมูลสินค้าคงคลังด้วยตนเองเป็นหลัก โดยมีการติดตามอัตโนมัติบางกรณี การเข้าถึงข้อมูลถูกควบคุมโดยใช้การควบคุมสิทธิ์ขั้นต่ำที่พิจารณาถึงการยืนยันตัวตน ความเสี่ยงของอุปกรณ์ และคุณลักษณะอื่นๆ องค์กรจะจัดเก็บข้อมูลในระบบคลาวด์หรือสภาพแวดล้อมระยะไกลที่ซึ่งเข้ารหัสไว้เมื่อไม่มีการใช้งาน การปกป้องข้อมูลถูกบังคับใช้ผ่านการควบคุมทางเทคนิคเป็นส่วนใหญ่และการควบคุมดูแลระบบบางอย่างเท่านั้น

Data ที่เหมาะสมที่สุด

ข้อมูลจะถูกจัดเก็บอย่างต่อเนื่องโดยการติดแท็กและการติดตามที่มีประสิทธิภาพ เพิ่มการจัดหมวดหมู่ด้วยโมเดลแมชชีนเลิร์นนิง การเข้าถึงข้อมูลเป็นแบบไดนามิก ข้อมูลทั้งหมดที่เหลือจะถูกเข้ารหัสและบันทึกและวิเคราะห์เหตุการณ์การเข้าถึงทั้งหมดสำหรับพฤติกรรมที่น่าสงสัย และดำเนินการวิเคราะห์ข้อมูลที่เข้ารหัส องค์กรจะบังคับใช้การควบคุมการเข้าถึงที่เข้มงวดโดยอัตโนมัติสำหรับข้อมูลที่มีมูลค่าสูงทั้งหมดรวมถึงการสำรองข้อมูล ในขณะเดียวกัน การปกป้องข้อมูลที่จำเป็นตามนโยบายจะถูกบังคับใช้โดยอัตโนมัติ สำหรับการจัดหมวดหมู่ข้อมูลและการอนุญาตการเข้าถึงข้อมูลถูกกำหนดโดยใช้วิธีการแบบครบวงจรที่ผสานรวมข้อมูล โดยไม่ขึ้นกับแหล่งที่มา

สร้างรากฐานให้กับ Zero Trust

เมื่อเราเข้าใจว่าหัวใจสำคัญ 5 ประการ ในการรักษาความมั่นคงปลอดภัย หรือ Zero Trust Security มีอะไรบ้าง สิ่งที่จะต้องดำเนินการต่อคือการสร้างรากฐานทั้ง 3 ให้กับ Zero Trust

1. สร้างฐานแรก คือ Visibility and Analytics ทุกสิ่งทุกอย่างจะต้องทำให้มองเห็นได้ และวิเคราะห์ความเคลื่อนไหวหรือพฤติกรรมต่างๆ ได้
2. สร้างฐานที่สอง คือ Automation and Orchestration ทำให้เป็นอัตโนมัติ โดยอัตโนมัติ และทำงานผสานร่วมกันได้อย่างลงตัวและมีประสิทธิภาพ สนับสนุนการเชื่อมต่อเทคโนโลยีด้านการรักษาความปลอดภัยที่ความแตกต่างกันเข้ามาไว้ด้วยกันบนเทคนิคด้านต่างๆ เพื่อการดูแลด้านความปลอดภัยทางไซเบอร์สามารถรับรู้และตอบสนองได้อย่างทันท่วงทีและมีประสิทธิภาพ
3. สร้างฐานที่สาม คือ Governance การกำกับดูแลกิจการเพื่อสร้างความมั่นใจในการบริหารจัดการภายใต้ความเสี่ยงที่ยอมรับได้ ขับเคลื่อนด้วยประสิทธิภาพและข้อมูล มีแนวทางความเสี่ยงแบบแบ่งชั้น และความเชื่อมโยงกับความเสี่ยงด้านปฏิบัติการ

เมื่อเราได้หัวใจสำคัญทั้ง 5 และรากฐานทั้ง 3 ประการแล้ว เราสามารถสร้างการปรับใช้ Zero Trust ได้อย่างมีกลยุทธมากขึ้น เพื่อตอบโจทย์ความน่าเชื่อถือให้กับธุรกิจ ด้วยการรักษาความมั่นคงปลอดภัยทางไซเบอร์ เพื่อตั้งรับการโจมตีจากภัยคุกคามที่อาจจะเปลี่ยนไปในอนาคต และก้าวเข้าสู่ยุค Digital Transformationได้อย่างยั่งยืน

Top 10 Security Best Practices โดย Check Point

คุณกฤษณา ได้เสริมข้อมูลเกี่ยวกับเทรนด์ 10 แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด เพื่อความตระหนักรู้ในการปกป้องตนเองไม่ให้ตกเป็นเป้าของการโจมตีจากภัยคุกคามทางไซเบอร์ โดยอันดับต้นๆ เกี่ยวกับรหัสผ่านแบบทั่วไปซึ่งเป็นรหัสผ่านที่ไม่ค่อยจะดีหรือเหมาะสมมากนัก ถ้าพูดถึงการป้องกันความปลอดภัย รหัสผ่านเป็นอะไรวิธีพื้นฐานที่ถูกนำมาใช้ และถ้าเราย้อนไปดูสถิติการตั้งรหัสผ่าน รหัสง่ายๆ ถูกเลือกใช้มากที่สุด นั่นหมายถึงช่องโหว่ด่านแรกที่จะถูกจู่โจมได้ง่ายที่สุดเช่นกัน

บทสรุป

คุณกฤษณา กล่าวสรุปปิดท้ายว่า “ไม่ว่าคุณกำลังมองหาหรือกำลังปรับใช้ Zero Trust อยู่ คุณสามารถมองเห็นมันได้หรือยัง คุณสามารถวิเคราะห์มันได้หรือเปล่า เพราะเครื่องมือที่ทันสมัยเพียงอย่างเดียวอาจจะยังไม่เพียงพอ การรักษาความปลอดภัยที่ดีที่สุด จะต้องอาศัยคนและกระบวนการเข้ามาช่วย เพื่อให้คุณมี Secure your cyber, Secure your future”

from:https://www.techtalkthai.com/ncsa-thncw-2023-zero-trust-security-by-m-tech/

[NCSA THNCW 2023] แนวทางการจัดทำกลยุทธ์ด้าน Zero Trust สำหรับผู้บริหารระดับสูง

แนวคิดเกี่ยวกับ Zero Trust ถูกพูดถึงอย่างมากมายตลอด 2 – 3 ปีที่ผ่านมา หลายองค์กรพยายามศึกษา ทำความเข้าใจ เพื่อที่จะได้ดำเนินการตามแนวทางได้อย่างถูกต้อง การกำหนดกลยุทธ์ด้าน Zero Trust สำหรับองค์กรจึงเป็นสิ่งที่สำคัญที่ผู้บริหารด้าน IT จำเป็นต้องเข้าใจและดำเนินการได้อย่างเหมาะสม กลยุทธ์ที่สร้างขึ้นมาควรครอบคลุมตั้งแต่การกำหนดสถาปัตยกรรมด้าน Zero Trust การสร้าง Cybersecurity Program และการสร้างมาตรการควบคุมด้านความมั่นคงปลอดภัยที่สอดคล้องกับแนวคิดนี้ แนวคิด Zero Trust สามารถนำไปประยุกต์ใช้ได้ทั้งระบบ IT/OT ประโยชน์ที่องค์กรได้รับคือการยกระดับความมั่นคงปลอดภัย การปรับปรุงกระบวนการทางธุรกิจ รวมทั้งการลดต้นทุนการดำเนินการด้านการรักษาความมั่นคงปลอดภัย

ภายในงาน Thailand National Cyber Week 2023 ที่จัดขึ้นเมื่อวันที่ 17 – 18 กุมภาพันธ์ 2023 ที่ผ่านมา ซึ่งเป็นการจัดงานด้านความมั่นคงปลอดภัยทางไซเบอร์ครั้งแรกในประเทศไทย หนึ่งในหัวข้อที่ถูกนำขึ้นมาบรรยายมากที่สุดเป็นอันดับต้นๆ คือ Zero Trust ซึ่งในบทความนี้ได้สรุปสาระสำคัญของการเสวนากลุ่มย่อย – แนวทางการจัดทำกลยุทธ์ด้าน Zero Trust สำหรับผู้บริหารระดับสูง โดย ดร. ศุภกร กังพิศดาร Managing Director – Cyber Elite และ Mr. Heng Mok – CISO Zscaler ที่นำข้อมูลที่เป็นประโยชน์สำหรับธุรกิจระดับองค์กรที่ต้องการสร้าง Zero Trust ให้ง่ายขึ้น

Threat Landscape

รูปแบบภัยคุกคามของ Cybersecurity วิธีการโจมตีแบบไหนที่ใช้เยอะที่สุด ซึ่งอาจเกิดจากบุคลากร อุปกรณ์ทั้งภายในและภายนอกองค์กร ด้วยความตั้งใจหรือไม่ตั้งใจก็ตาม เพื่อให้องค์กรได้ปรับกลยุทธ์รับมือกับภัยความเสี่ยงที่อยู่บนความไม่แน่นอนได้ทันท่วงทีที่มาจาก Externally Facing Assets, Supply Chain, Remote Workers, Authentication Infrastructure และ Unpatched (On-prem / Cloud) ซึ่งที่กล่าวมาคือสิ่งที่ธุรกิจต่างๆ จะต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่ยากจะคาดเดา

• 91% ของการโจมตีไม่ได้สร้างการแจ้งเตือนความปลอดภัยด้วยซ้ำ
• 68% ของการโจมตีไม่ใช่มัลแวร์ เพราะการโจมตีขั้นสูงเป็นฝีมือของมนุษย์
• 45% ของการแจ้งเตือนเป็นผลบวกลวง (false positives)

Zero Trust คืออะไร

Zero Trust คือ แนวคิดการลดความเสี่ยงสำหรับองค์กรธุรกิจที่สำคัญที่สุด ซึ่งเป็นมากกว่าเทคโนโลยี Zero Trust เป็นเฟรมเวิร์กสำหรับการรักษาความปลอดภัยองค์กรในโลกคลาวด์และมือถือที่ยืนยันว่าไม่มีผู้ใช้หรือแอปพลิเคชันใดคู่ควรที่จะเชื่อถือได้เลย แม้ว่าอุปกรณ์ใดจะเชื่อมต่อกับเครือข่ายที่ได้รับอนุญาตสิทธิ์ระดับองค์กร หรือแม้ว่าอุปกรณ์เหล่านั้นจะผ่านการยืนยันก่อนหน้านี้แล้วก็ตาม “อย่าไว้ใจ ตรวจสอบเสมอ” (never trust, always verify) เพราะฉะนั้น Transformative Re-imaging คือวิธีที่ธุรกิจระดับองค์กรจะสามารถจัดการความปลอดภัยทางไซเบอร์เพื่อให้สอดคล้องกับวิธีการทำธุรกิจของคุณได้

ประโยชน์ของ Zero Trust

Zero Trust สามารถยกระดับความมั่นคงปลอดภัย การปรับปรุงกระบวนการทางธุรกิจ รวมทั้งการลดต้นทุนการดำเนินการด้านการรักษาความมั่นคงปลอดภัยได้ ซึ่ง Zero Trust ที่สมบูรณ์แบบจะต้องสามารถระบุตัวตนของผู้ใช้และอุปกรณ์ได้อย่างชัดเจน ระบุสิทธิ์การเข้าถึงที่เหมาะสม และมีความเสี่ยงลดลงในทุกมิติ

บริบทด้านธุรกิจและการรักษาความปลอดภัย

ความท้าทาย และปัญหาต่างๆ ที่เกิดขึ้นกับภาคธุรกิจ ที่ผ่านมาพบว่าแนวคิดเรื่องการทำ Cybersecurity อาจจะไม่ตอบโจทย์ความท้าทายของธุรกิจได้อีกต่อไป เรามักจะพูดถึงการทำ Security บนระบบ Network Infrastructure แบบเดิมๆ แต่ถ้าเราต้องการแนวความคิดใหม่ๆ สิ่งสำคัญที่ควรคำนึง คือ บางครั้งเราไม่สามารถเติมเต็มประสิทธิภาพของ Cybersecurity ลงไปบน Infrastructure แบบเดิมๆ ได้อีกต่อไป เพราะฉะนั้นจึงได้เกิดแนวคิดที่เรียกว่า Zero Trust ขึ้นมา

แนวคิดการรักษาความปลอดภัยแบบ Zero trust คือ “อย่าไว้ใจ ตรวจสอบเสมอ” ซึ่งหมายความว่าอุปกรณ์ใด บุคคลใดจะเข้าถึงแหล่งข้อมูลจะต้องผ่านการตรวจสอบเสมอ แม้ว่าอุปกรณ์นั้นๆ จะเคยผ่านการเชื่อมต่อกับเครือข่ายที่ได้รับอนุญาตมาก่อนแล้วก็ตาม การสร้างการมองเห็นสามารถปลดล็อกความไม่ไว้ใจเหล่านี้ออกไปจากองค์กรได้ดีที่สุด เราจะไม่สามารถบริหารจัดการในสิ่งที่มองไม่เห็นได้เลย นี่คือสิ่งแรกที่องค์กรควรเริ่มต้นและทำให้เกิดขึ้นในระบบนิเวศทั้งภายในและภายนอกองค์กร เพื่อต่อยอดกระบวนการวิเคราะห์ระดับภัยคุกคามได้อย่างแม่นยำ

การนำ Zero Trust มาปรับใช้ – ไม่ใช่แนวทางเดียวที่เหมาะกับทุกวิถีทาง และย่างก้าวการเดินทางขององค์กรแต่ละแห่งอาจแตกต่างกันไปโดยพิจารณาจากลำดับความสำคัญของธุรกิจ ความซับซ้อน ภูมิทัศน์ของเทคโนโลยี และข้อกำหนดด้านกฎระเบียบต่างๆ หลายองค์กรมองหาอุปกรณ์ด้านการรักษาความปลอดภัยเข้ามาเสริมศักยภาพให้กับธุรกิจมีความน่าเชื่อถือเป็นสำคัญ แต่ถ้าเราซื้ออุปกรณ์ที่ทันสมัยที่สุดเข้ามาปรับใช้โดยที่เรายังไม่ทราบระบบนิเวศทั้งหมดขององค์กรเลย ก็ไม่ต่างกับการหลับตายิงธนู นอกจากจะมองไม่เห็นเป้าหมาย เรายังไม่มีโอกาสได้กำหนดกลยุทธทิศทางการปล่อยลูกศรให้มุ่งสู่เป้าหมายได้สำเร็จเลย

Zero Trust Architecture

Zero Trust Architecture เป็นสถาปัตยกรรมความปลอดภัยที่สร้างขึ้นเพื่อกระชับพื้นจากการโจมตีของเครือข่าย ป้องกันทุกความเคลื่อนไหวรอบด้าน และลดความเสี่ยงจากการละเมิดข้อมูล โดยยึดหลักการที่สำคัญของ Zero Trust Security Model เพื่อเชื่อมต่ออุปกรณ์และผู้ใช้ทั้งหมดด้วยวิธีที่ปลอดภัยที่สุด

การทำ Zero Trust ให้สำเร็จ – เราจะต้องกลับมามองที่ตัวของเราเป็นอันดับตั้งต้นก่อน ว่ารากฐานของการทำ Cybersecurity ของเรานั้นมีครบหรือยัง อาทิเช่น เรื่องของ Asset, Data, Application และ System Management สิ่งเหล่านี้เป็นเรื่องพื้นฐานที่จำเป็นต้องตระหนักรู้ที่มาที่ไปทั้งหมด “ถ้าเราไม่รู้ว่าสินทรัพย์ของเรานั้นอยู่ที่ใด นั่นหมายความว่าเราจะไม่สามารถปกป้องมันได้อย่างแน่นอน” นอกจากนี้เราจะต้องเข้าใจกระบวนการทางธุรกิจที่กำลังดำเนินอยู่เพื่อให้สามารถประเมินความเสี่ยงในทุกระดับได้อย่างเหมาะสม ไม่ว่าสิทธ์การเข้าถึงระบบ การบันทึกเก็บข้อมูลการใช้งานทั้งขาเข้าและขาออก รวมไปถึงการจัดการข้อมูล Workload แบบ On-Prem หรือ On-Cloud ซึ่งจะต้องมีการป้องกันที่แตกต่างกันด้วยเช่นกัน

อีกมุมความคิดที่หลายคนเข้าใจว่า ถ้าต้องการความปลอดภัยกับระบบเดิมที่เป็นแบบ On-Prem ให้นำขึ้นไปอยู่บนระบบ Cloud ซึ่งแท้จริงแล้วเป็นแนวคิดที่ไม่ถูกต้อง เนื่องจากบน Cloud นั่นมีความท้าทายที่แตกต่างกันออกไปอีกมากมายที่องค์กรต่างๆ จะต้องทำความเข้าใจและจัดการ Workload on Cloud ให้มีวิธีการจัดการความเสี่ยงให้มีความปลอดภัยระดับสูง

สรุปรากฐานของการทำ Zero Trust ทั้ง 3 ข้อ

เป้าหมาย เพื่อยกระดับองค์กรสู่ความมั่นคงปลอดภัย องค์กรจะต้องทำความเข้าใจว่า :

1. ทำความเข้าใจภาพรวมองค์ประกอบภายในองค์กร เช่น สินทรัพย์ ข้อมูล แอปพลิเคชัน และการจัดการระบบทั้งหมด รวมไปถึงกระบวนการทางธุรกิจทั้งหมดและสิทธิ์และการจัดการการเข้าถึงระบบทั้งหมด
2. ทำความเข้าใจการจัดการการรักษาความปลอดภัยทั้งทางเข้าและทางออกในระบบขององค์กร
3. ทำความเข้าใจการจัดการการเชื่อมต่อข้อมูล Workload ระหว่างกันขององค์กร

Zero Trust Architecture M & A Use Case (การควบรวมกิจการ)

Work from Anywhere ในช่วง 2 ปีที่ผ่านมา พฤติกรรมใหม่ๆ ได้รับการหล่อหลอมโดยพนักงานที่ทำงานอย่างยืดหยุ่นและทำงานจากที่ใดก็ได้จนกลายเป็นเรื่องปกติซึ่งผลผลิตทางธุกิจไม่ได้ลดลง ซึ่งมีโอกาสในการเติบโตและการขยายตลาดใหม่มากขึ้น แต่อย่างไรก็ตาม ความยืดหยุ่นในยุคดิจทัลทำให้องค์กรต่างๆ ตกเป็นเป้าของการโจมตีในโลกไซเบอร์ได้ง่ายดายมากขึ้นเช่นกัน จากข้อมูลวิจัยระบุว่า

• 73% องค์กรเผชิญกับประสบปัญหาการผสานรวมเทคโนโลยี (ที่มา: Bain & Company)
• 15-20% ค่าใช้จ่ายโดยรวมมาจากงานด้าน IT (ที่มา: Beloitte)
• การโจมตีทางไซเบอร์เพิ่มขึ้น 100 เท่าระหว่างการควบรวมกิจการ (ที่มา: McKinsey Insights)

Zero Trust Exchange มีฟีเจอร์และโซลูชันที่รองรับกระบวนการควบรวมกิจการมีความมั่นคงปลอดภัยอย่างทันท่วงที รวมถึงสนับสนุนการทำงานของนักพัฒนาซอฟต์แวร์ให้ง่ายและปลอดภัยมากยิ่งขึ้น ด้วยวิธีการใหม่ในการสร้างการเชื่อมต่อที่รวดเร็ว ปลอดภัย และทำให้พนักงานขององค์กรสามารถทำงานจากที่ใดก็ได้โดยใช้อินเตอร์เน็ตเสมือนเป็นเครือข่ายองค์กร Zero Trust Exchange จาก Zscaler ทำงานอยู่บนศูนย์ข้อมูล 150 แห่งทั่วโลกเพื่อให้มั่นใจว่าศูนย์ข้อมูลอยู่ใกล้กับผู้ใช้งาน และอยู่ร่วมกับผู้ให้บริการ cloud และแอปพลิเคชั่นอย่างเช่น Microsoft 365 และ AWS เพื่อสร้างเส้นทางที่สั้นสุดระหว่างผู้ใช้งานกับปลายทางเพื่อให้ได้มาซึ่งทั้งความปลอดภัยและประสบการณ์ทำงานที่ยอดเยี่ยมสำหรับผู้ใช้งาน

ข้อดีของ Zero Trust Exchange จาก Zschaler

• ลดค่าใช้จ่ายและความซับซ้อนทางด้านไอที – สามารถบริหารจัดการได้ง่าย และทำงานได้โดยไม่ต้องมี VPN หรือไฟร์วอลที่ซับซ้อน
• ให้ประสบการณ์ทำงานที่ดีกับผู้ใช้ – สามารถบริหารและปรับปรุงประสิทธิภาพการเชื่อมต่อไป Cloud Application อย่างชาญฉลาด
• ลดพื้นที่การโจมตีทางอินเตอร์เน็ต – แอปพลิเคชันอยู่หลัง exchange ป้องกันการค้นหาและตกเป็นเป้าการโจมตี
• ป้องกัน Lateral Movement ของภัยคุกคาม – สามารถเชื่อมต่อผู้ใช้ไปยังแอปพลิเคชันโดยตรง ไม่สร้างการเชื่อมต่อระดับเครือข่าย เป็นการแยกภัยคุกคามออกไป

ความสามารถหลักของ Zero Trust Exchang จาก Zscaler

• ทำงานปลอดภัยได้จากทุกที่ – พนักงานสามารถทำงานอย่างปลอดภัยและไร้รอยต่อจากทุกที่ โดยไม่ต้องกังวลเรื่องเครือข่ายหรือการเชื่อมต่อแบบ VPN
• สร้างประสบการณ์การใช้งานที่ดีให้กับผู้ใช้งาน – ด้วยการให้ผู้ดูแลระบบรับทราบถึงประสบการณ์การใช้งานของผู้ใช้ทั้งหมดในทุกแอปพลิเคชัน Zero Trust ทำให้ผู้ดูแลระบบสามารถส่งมอบประสบการณ์การทำงานที่ดีให้กับผู้ใช้ได้อย่างต่อเนื่อง
• ป้องกันภัยคุกคามทางไซเบอร์ – สามารถแกะรหัส SSl เพื่อตรวจสอบป้องกันภัยคุกคามทางไซเบอร์ ทั้งผู้ใช้งาน ระบบงานบน Cloud เครื่องแม่ข่าย และแอปพลิเคชัน SaaS
• เชื่อมต่อผู้ใช้งานและสาขาได้อย่างง่ายดาย – เปลี่ยนจากเครือข่าย hub and spoke แบบเดิม ให้สาขาซึ่งเคยใช้ MPLS ราคาแพง หรือผู้ใช้ที่ต้องเชื่อมต่อด้วย VPN สามารถเชื่อมต่อผ่านอินเตอร์เน็ตไปยังปลายทางได้อย่างปลอดภัย ไม่ว่าจะเชื่อมต่อจากที่ใดก็ตาม
• ไม่มี attack surface – ผู้ไม่ประสงคฺดีไม่สามารถโจมตีสิ่งที่มองไม่เห็นได้ สถาปัตยกรรมของ Zscaler ซ่อนตัวตนของระบบงานไว้ เป็นการลบ attack vector ซึ่งมีในระบบอื่นๆ ออก ป้องกันการตกเป็นเป้าหมายของการโจมตี
• รักษาความปลอดภัยการเชื่อมต่อของ Cloud – เชื่อมต่อจาก Cloud สู่ Cloud อย่างปลอดภัยด้วย Zero Trust และ Machine Learning แทนการใช้ Site-to-Site VPN รูปแบบดั้งเดิมระหว่าง Cloud ที่มีปัญหา Lateral Movement
• ป้องกันการรั่วไหลของข้อมมูล – ตรวจสอบข้อมูลที่ไหลผ่าน ไม่ว่าจะเข้ารหัสหรือไม่ ให้แน่ใจว่า SaaS หรือแอปพลิเคชันบน Public Cloud มีความปลอดภัยให้การป้องกันและการมองเห็นที่ต้องการ

การสื่อสารด้าน Zero Trust กับระดับผู้บริหารองค์กร

การทำความเข้าใจในบริบทให้กระจ่างกับสิ่งที่เกี่ยวข้องกับคณะกรรมการและอุตสาหกรรม เพื่อศึกษาความเสี่ยงที่อาจจะตกเป็นเป้าการโจมตี สู่การกำกับดูแลให้องค์กรมีความมั่นคงปลอดภัยด้วยการปรับใช้ Zero Trust

Education (ด้านการศึกษา) – สร้างความตระหนักรู้และการสนับสนุน ไซเบอร์ถูกมองว่าเป็นตัวขับเคลื่อนธุรกิจ เทคโนโลยี และพันธมิตรที่น่าเชื่อถือ

• Zero Trust Architecture คืออะไร และเพิ่มมูลค่าให้กับธุรกิจได้อย่างไร?
• ความเชื่อมโยงระหว่างเหตุการณ์ที่เกี่ยวข้องกับสื่อและช่องโหว่ และสถาปัตยกรรมมีมูลค่าเพิ่มอย่างไร?
• ย้อนดูว่าสถาปัตยกรรมช่วยลดความเสี่ยงผ่านการป้องกันเหตุการณ์ทางไซเบอร์เฉพาะขององค์กรได้อย่างไร?

Governance (การกำกับดูแลกิจการ) – สร้างความมั่นใจในการบริหารจัดการภายใต้ความเสี่ยงที่ยอมรับได้ ขับเคลื่อนด้วยประสิทธิภาพและข้อมูล

• แนวทางความเสี่ยงแบบแบ่งชั้น และความเชื่อมโยงกับความเสี่ยงด้านปฏิบัติการ
• อะไรคือตัวชี้วัดที่สำคัญที่สนับสนุนสถาปัตยกรรมแบบ Zero trust?
• อะไรคือตัวชี้วัดเกี่ยวกับประสิทธิผลการควบคุม
• สิ่งนี้จะส่งผลต่อการเติบโตทางไซเบอร์ การปฏิบัติตามข้อกำหนด และข้อบังคับด้านกฎระเบียบได้อย่างไร
• การบริหารระดับของความเสี่ยงที่ยอมรับได้ (คณะกรรมการหรือผู้บริหารควรกำหนดยุทธศาสตร์ขององค์กรที่สอดคล้องกับความเสี่ยงที่ยอมรับได้)

บทสรุป

การปรับใช้ Zero Trust ส่งผลกระทบโดยตรงต่อผู้ใช้ ทำให้ทีมไซเบอร์ได้รับโอกาสในการเป็นพันธมิตรที่ยอดเยี่ยมเพื่อนำไปสู่การปรับปรุงประสบการณ์ของพวกเขา การสื่อสารให้ระดับผู้บริหารองค์กรตระหนักรู้ความสำคัญของการปกป้องสินทรัพย์และข้อมูลทางธุรกิจจากการโจมตีทางไซเบอร์ บางองค์กรไม่เคยให้ความสำคัญเพราะไม่เคยสัมผัสประสบการณ์การถูกคุกคามมาก่อน แต่ในความเป็นจริงคุณอาจจะถูกโจมตีโดยที่คุณไม่รู้ตัวเลยเป็นได้

การวางกรอบ Zero Trust เป็นกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์เพื่อลดความเสี่ยงทางธุรกิจเป็นวิธีที่จำเป็นในการทำให้ผู้บริหารระดับสูงขององค์กรสังเกตเห็นประโยชน์และความสำคัญ CISO มักเผชิญกับปัญหาในการสื่อสารกับผู้บริหารระดับสูงและคณะกรรมการบริหารในภาษาที่พวกเขาสามารถเข้าใจได้ การอธิบายภาษาด้านเทคนิคให้เป็นภาษาทางธุรกิจที่ระดับผู้บริหารคุ้นเคยเป็นเรื่องไม่ง่าย แต่เมื่อใดที่ผู้บริหารระดับสูงตระหนักได้ว่า  “คุณจะไม่สามารถกู้คืนข้อมูลกลับมาได้และคุณไม่สามารถย้อนเวลากลับไปแก้ไขมันได้อีก เพื่อให้เสมือนว่าการโจมตีครั้งนั้นไม่เคยเกิดขึ้นมาก่อน”  ด้วยการเข้าถึงทรัพยากรทั้งหมดได้อย่างปลอดภัยไม่ว่าจะอยู่ที่ใด การควบคุมการเข้าถึงอยู่บนพื้นฐาน “จำเป็นต้องรู้” และมีการบังคับใช้อย่างเคร่งครัด การรับส่งข้อมูลทั้งหมดได้รับการตรวจสอบและบันทึก เครือข่ายได้รับการออกแบบจากภายในสู่ภายนอกและได้รับการตรวจสอบทุกอย่างเพราะ “ไม่เคยไว้วางใจอะไรได้เลย”

ดร. ศุภกร กังพิศดาร และ Mr. Heng Mok ได้กล่าวสรุปทิ้งท้ายร่วมกันไว้ว่า

“การเริ่มต้นปรับใช้ Zero Trust ควรเริ่มต้นจากการศึกษาข้อมูลให้เข้าใจอย่างถ่องแท้ก่อน ปัจจุบันมีเอกสารให้สืบค้นได้ง่ายดาย เช่น NIST Cybersecurity Framework (CSF) ซึ่งเป็นแกนหลักของ พรบ. ไซเบอร์ และเอกสาร SP 800-207 ซึ่งแนะนำโมเดลการวางระบบรักษาความมั่นคงปลอดภัยพื้นฐานและ Use Cases ช่วยให้ทุกองค์กรสามารถออกแบบ Zero Trust Architectures ได้อย่างมีประสิทธิภาพและยกระดับ Security Posture ให้แก่ระบบ IT เมื่อศึกษาข้อมูลจนเข้าใจครบถ้วน เราต้องกลับมาดู Architecture ขององค์กร เพราะสิ่งเดิมที่เคยปรับใช้งานด้าน Cybersecurity อาจสามารถนำมาต่อยอดการเริ่มต้นทำ Zero Trust โดยที่ไม่ต้องเริ่มจากศูนย์ก็ได้ และสุดท้ายควรคำนึงถึงผลประกอบการธุรกิจ (Business Outcome) ที่สะท้อนว่าความเป็นจริงขององค์การว่าสิ่งที่เราออกแบบไปนั้น สามารถตอบโจทย์ธุรกิจได้ดีมากน้อยขนาดไหน”

from:https://www.techtalkthai.com/ncsa-thncw-2023-zero-trust-by-cyber-elite/

[NCSA THNCW 2023] The Future of Cybersecurity – Risk & Resilience โดย CyberGenics

เมื่อเทคโนโลยีก้าวหน้าและเข้ามามีบทบาทมากขึ้นต่อการดำเนินการของธุรกิจและภาครัฐ ความซับซ้อนและหลากหลายของการโจมตีทางไซเบอร์ก็เพิ่มมากขึ้นเป็นเงาตามตัว องค์กรจึงต้องมีการทบกวนและพัฒนาการรักษาความปลอดภัยทางไซเบอร์อย่างต่อเนื่องเพื่อควบคุมความเสี่ยง

เซสชัน “The Future of Cybersecurity – Risk & Resilience” โดยคุณธนพล ประเสริฐไพฑูรย์ ผู้ชำนาญการด้าน Cybersecurity จาก CyberGenics ในงาน Thailand National Cyber Week 2023 เมื่อวันที่ 17 – 18 กุมภาพันธ์ 2023 ที่ผ่านมาพาเราไปรู้จักกับภัยคุกคามและความเสี่ยงที่อาจเกิดขึ้นในอนาคต พร้อมแนะนำแนวทางว่าองค์กรต้องเตรียมความพร้อมอย่างไรเพื่อรับมือกับภัยคุกคามเหล่านี้ได้อย่างมีประสิทธิภาพและกลับมาดำเนินการต่อได้อย่างรวดเร็ว

จากอดีตสู่อนาคต การดำเนินงานและสภาพแวดล้อมที่เปลี่ยนไปกระตุ้นให้องค์กรต้องเปลี่ยนตาม

ในช่วงปีที่ผ่านมามีความเปลี่ยนแปลงในโลกเกิดขึ้นมากมาย ทั้งในแง่ของลักษณะการดำเนินการและสภาพแวดล้อมขององค์กร หลังผ่านวิกฤตโรคระบาด เราได้เห็นการเติบโตของการใช้งานคลาวด์ในองค์กร การใช้เทคโนโลยีเพิ่มมากขึ้นในหลายอุตสาหกรรม เช่น อุตสาหกรรมการผลิตในรูปแบบของ Smart Manufacturing การเปลี่ยนเข้าสู่ยุคการทำงานแบบ Hybrid Work เพิ่มขึ้นกว่า 60% และสงครามไซเบอร์ที่ส่งผลกระทบต่อผู้คนมากมาย ในกรณีของสงครามรัสเซีย-ยูเครน และการโจมตีที่มีเป้าหมายเป็นระบบสาธารณูปโภค

สิ่งเหล่านี้ล้วนชี้ให้เราเห็นถึงความเสี่ยงที่องค์กรมีเพิ่มมากขึ้นต่อการโจมตีทางไซเบอร์ ซึ่งสามารถสร้างความเสียหายให้กับองค์กรและประชาชนผู้ใช้บริการได้อย่างมหาศาล คุณธนพลได้ยกตัวอย่างสถิติภัยคุกคามทางไซเบอร์ล่าสุดที่น่าจับตามอง เช่น

• มีการโจมตีทางไซเบอร์ถึงร้อยละ 43 ที่มีกลุ่มเป้าหมายเป็น SMEs แปลว่า Cybersecurity นั้นไม่ใช่เพียงเรื่องของบริษัทใหญ่อีกต่อไป
• กลุ่มอุตสาหกรรม Healthcare ถูกโจมตีมากขึ้น ซึ่งระบบทางการแพทย์นั้นเต็มไปด้วยข้อมูลละเอียดอ่อน และหากตกอยู่ในมือผู้ไม่ประสงค์ดีก็ไม่สามารถเปลี่ยนแปลงข้อมูลได้
• มีการ Phishing ทางอีเมลสูงถึง 94%
• กรณีการโจมตีบริการหรือแอป 3rd Party Application มีมากขึ้น เมื่อระบบขององค์กรขึ้นอยู่กับระบบเหล่านี้ก็พลอยได้รับความเสียหายไปด้วย

จะเห็นได้ชัดว่าภัยคุกคามทางไซเบอร์นั้นมีความรุนแรงและความถี่มากขึ้นทุกวัน และไม่ว่าองค์กรใดก็สามารถเป็นเหยื่อได้ นอกจากจะต้องป้องกันให้การโจมตีไม่เกิดขึ้นแล้ว ในกรณีที่ถูกโจมตีจริงก็ต้องวางแผนให้องค์กรสามารถกลับมาดำเนินการได้อย่างรวดเร็ว หรือมี Reselience นั่นเอง 

“เหมือนตุ๊กตาล้มลุก ที่ถ้าโดนทำให้ล้มก็ต้องลุกขึ้นมาได้เร็ว” 

ทำอย่างไรให้องค์กรเข้มแข็งและยืดหยุ่นพอที่จะรับมือกับการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพ

คำถามถัดมาคือองค์กรจะเตรียมรับมือกับภัยคุกคามได้อย่างไร คุณธนพลอธิบายว่าองค์กรควรมีเป้าหมายในการสร้างความปลอดภัยทางไซเบอร์ทั้งหมด 3 ข้อด้วยกัน คือ

1. ป้องกันอย่างเต็มที่ไม่ให้เกิดเหตุไม่พึงประสงค์ขึ้น
2. หากเกิดเหตุโจมตีต้องสามารถกลับมาดำเนินการได้อย่างรวดเร็ว
3. มีการพัฒนาระบบป้องกันภัยคุกคามอย่างต่อเนื่อง รู้เท่าทันการโจมตีรูปแบบใหม่ๆ

ซึ่งทั้ง 3 ข้อนี้องค์กรสามารถเลือกใช้ผลิตภัณฑ์ โซลูชัน หรือ Framework ด้านความปลอดภัยที่มีอยู่มากมายได้ตามความเหมาะสม โดยในเซสชัน คุณธนพลได้แนะนำกรอบความคิด 3 ขั้นตอนเบื้องต้นให้องค์กรลองไปปรับใช้กัน ได้แก่

1. Identify

ขั้นแรกของการสร้างความปลอดภัยให้กับองค์กรคือการทำความรู้จักกับระบบและความเสี่ยงขององค์กรให้ดีเสียก่อน ซึ่งรวมไปถึงระบบของ 3rd Party ภายนอกที่องค์กรใช้งานอยู่ด้วย

• ประเมินระบบว่ามีความเสี่ยงที่จุดใด และองค์กรมีความสามารถในการรักษาความปลอดภัยเพียงใด
• จัดทำระบบกลางหรือ Dashboard ที่คอยตรวจตาการทำงานของทุกระบบขององค์กรมารวมไว้ด้วยกัน เพื่อให้ง่ายต่อการค้นหา ตรวจจับ และตระหนักถึงช่องว่างที่ผู้ไม่ประสงค์ดีอาจใช้เข้ามาสร้างความเสียหาย
• รู้จักแอปหรือบริการจากภายนอกที่ใช้งานอยู่ให้ถ่องแท้ และอาจตั้งมาตรฐานด้านความปลอดภัยขึ้นเป็นเกณฑ์ในการพิจารณาเลือกใช้ 3rd Party Service เพื่อคัดกรองด้านความปลอดภัยให้ดียิ่งขึ้น 
• สำหรับองค์กรที่มีการใช้อุปกรณ์จำนวนมากในเครือข่าย IoT องค์กรก็ต้องทำความเข้าใจกับการรักษาความปลอดภัยของอุปกรณ์และเครือข่ายที่ใช้งานอยู่
• ต้องไม่ลืมประเมินความเสี่ยงโดยคิดถึงปัจจัยบุคลากรในองค์กร โดยเฉพาะอย่างยิ่งในองค์กรที่เคยทำงานในระบบปิด(ที่ไม่ได้เชื่อมต่อกับภายนอก)และไม่ได้สัมผัสกับเทคโนโลยีดิจิทัลมากมาก่อน 

2. Protect

ขั้นตอนถัดมา คือการสร้างระบบรักษาความปลอดภัยที่ทุกคนในองค์กรสามารถใช้งานได้โดยสอดคล้องกับลักษณะการดำเนินงานของแต่ละฝ่ายในองค์กร สร้างบุคลากรที่มีความรู้ความเข้าใจด้านความปลอดภัยไซเบอร์ และต้องไม่ลืมคำนึงว่าขั้นตอนด้านความปลอดภัยที่เพิ่มเข้ามา ไม่ควรจะยาก หรือเป็นภาระต่อผู้ใช้งานมากเกินไป

• สร้างระบบรักษาความปลอดภัยกลาง เนื่องจากในอนาคตองค์กรจะมีการใช้งานระบบเพิ่มขึ้นเรื่อยๆ ระบบที่แยกออกไปมากมายหมายถึงความเสี่ยงที่เพิ่มขึ้น การตรวจสอบและควบคุมที่ยากขึ้นตาม
• สร้าง User Experience ที่ดีสำหรับกลไกการรักษาความปลอดภัย และกรณีการใช้งานโดยละเอียด เช่น เมื่อมีคนลาออกจากองค์กร ทีม HR สามารถปิดการเข้าถึงข้อมูลได้ทันที ไม่ต้องรอประสานงานกับทางทีม IT ซึ่งเวลาที่รอนี้ก็หมายถึงความเสี่ยงที่เพิ่มขึ้นเช่นกัน
• ดูแลความปลอดภัยและกำหนดเกณฑ์สำหรับอุปกรณ์ที่เชื่อมต่อเข้ากับระบบงานเพื่อรองรับ Hybrid Work อย่างราบรื่นและปลอดภัย
• วางแผนในการจัดการ Priviledge Account ที่มีสิทธิ์มากในการเข้าถึงระบบและข้อมูลทั้งในระบบขององค์กรและ 3rd Party ภายนอก มีการแจ้งเตือนเข้าใช้งาน หรือสร้างบัญชีแบบใช้แล้วทิ้ง (Just-in-time Account) ในการใช้งานชั่วคราว
• เสริมความแข็งแกร่งในการรักษาความปลอดภัยของข้อมูล ทั้งข้อมูลที่มีการจัดเก็บ ส่งข้ามระบบ หรือข้อมูลที่มีการใช้งานอยู่
• วางแผนรักษาความปลอดภัยในการใช้ระบบทุกระดับ และรีวิวระบบการรักษาความปลอดภัยทั้งหมดอย่างต่อเนื่อง เพื่อความมั่นใจว่าทุกอย่างสามารถทำงานร่วมกันได้อย่างราบรื่น ไม่ขัดกัน และไม่ซ้ำซ้อน
• เร่งสร้างความรู้ให้กับสมาชิกภายในองค์กรอย่างทั่วถึง จัดเทรนนิ่งด้านความปลอดภัย มีมาตรฐานและแนวทางปฏิบัติที่ชัดเจน และตรงตามเนื้อหางานจริง เพื่อสร้าง Mindset ด้านความปลอดภัยไซเบอร์

องค์กรต้องเร่งสร้างวัฒนธรรมและการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ โดยส่งเสริมควบคู่ไปกับกลไกการรักษาความปลอดภัยที่ครอบคลุม 

3. Detect & Respond & Recover 

ขั้นตอนที่ 3 คือการเตรียมกลไกสำหรับการตรวจจับและรับมือในกรณีที่เกิดการโจมตีขึ้น ซึ่งองค์กรจะต้องพัฒนาแนวทางอย่างสม่ำเสมอ นำความผิดพลาดมาวิเคราะห์เพื่อสร้างแนวทางความปลอดภัยใหม่ที่เข้มแข็งกว่าเดิม พร้อมรับมือกับการโจมตีรูปแบบใหม่ๆในอนาคต

• สร้าง Visibility ภายในองค์กรเพื่อการตรวจสอบปัญหาได้อย่างรวดเร็ว และมีการเชื่อมต่อกับระบบความปลอดภัยกลางเพื่อเฝ้าระวังภัยคุกคามต่อไป
• ติดตามข่าวสารถด้านภัยคุกคามและอัพเดทระบบให้เท่าทันอยู่เสมอ 
• ใช้เทคโนโลยี Automation เข้ามาช่วยในการจัดการกับภัยคุกคามที่รู้จักดีแบบอัตโนมัติ
• มีแผนสำหรับ Worst Case ที่อาจเกิดขึ้นอยู่เสมอ โดยต้องตรวจสอบตลอดเวลาว่าแผนที่จัดไว้สามารถใช้งานได้จริง มีการสำรองข้อมูลอย่างต่อเนื่องเพื่อป้องกันข้อมูลสูญหาย
• โฟกัสที่คุณภาพของการตรวจจับภัยคุกคามว่าต้อง Detect ได้อย่างรวดเร็วและแม่นยำ
• จัดลำดับความสำคัญของภัยคุกคามประเภทต่างๆ เพื่อในการรับมือจริงจะได้ควบคุมความเสี่ยงอย่างมีประสิทธิภาพ
• เตรียมความพร้อมให้กับสมาชิกภายในองค์กรในกรณีเกิดเหตุโจมตี อาจมีการซ้อมรับมือภัยคุกคาม และนำผลลัพธ์จากการซ้อมไปปรับปรุงขั้นตอนรักษาความปลอดภัย โดยต้องมีการซ้อมแบบ End-to-end เพื่อให้มั่นใจว่าระบบรักษาความปลอดภัยสามารถทำงานได้จริงด้วย 
• * ปรับแผนการรักษาความปลอดภัยอยู่เสมอ และรีวิวทุกครั้งที่มีระบบเข้ามาเพิ่มเติม

ระบบรักษาความปลอดภัยต้องโตทันความซับซ้อนของภัยคุกคามและสถานการณ์ที่เปลี่ยนไป

จนถึงตอนนี้ ท่านผู้อ่านคงพอจะเห็นภาพของการรักษาความปลอดภัยในปัจจุบันที่ต้องมีการเตรียมความพร้อม อัพเดท และเปลี่ยนแปลงได้อย่างยืดหยุ่นตามสถานการณ์และการโจมตีที่นับวันมีแต่จะซับซ้อนมากขึ้น ก่อนจบเซสชัน คุณธนพลได้ฝากสรุปส่งท้าย 6 ข้อที่องค์กรควรทำเพื่อให้ระบบงานแข็งแกร่ง รับมือกับภัยคุกคามได้อย่างมีประสิทธิภาพ เป็นได้อย่างตุ๊กตาล้มลุก

1. ประเมิน Asset ภายในองค์กรและความสามารถในการรักษาความปลอดภัยให้รอบคอบ หากมีส่วนใดที่ขาดให้เร่งแก้ไข
2. พัฒนาระบบ Identity และ Access ให้จัดการง่าย ควบคุมได้จากส่วนกลาง และต้องไม่ลืมถึง User Experience ในการใช้งานของสมาชิกทุกคนในองค์กร
3. พัฒนาระบบรักษาความปลอดภัยให้มีหลายชั้น เพื่อลดความเสียหายต่อเนื่องในกรณีถูกโจมตี
4. อัพเดทแผนการรักษาความปลอดภัยอย่างสม่ำเสมอ จัดการทดสอบ ประเมิน และนำความรู้ที่ได้มาพัฒนาต่อเพื่อการรับมือที่เข้มแข็งขึ้น
5. พิจารณาลงทุนในเทคโนโลยีต่างๆ เช่น Automation หรือเทคโนโลยีสำหรับตรวจสอบเพิ่มเติม เพื่อลดข้อผิดพลาด เพิ่มความเร็วและประสิทธิภาพในการรับมือกับภัยคุกคาม
6. ประเมินความเสี่ยง และพัฒนาการรักษาความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง ทั้งในแง่ของบุคลากร ขั้นตอน และเทคโนโลยีที่เลือกใช้งาน

รับชมเซสชัน “The Future of Cybersecurity – Risk & Resilience” ย้อนหลังได้ที่นี่

from:https://www.techtalkthai.com/ncsa-thncw-2023-risk-and-resilience-by-cybergenics/

[NCSA THNCW 2023] พัฒนา Threat Model ด้วยตัวคุณเอง โดย E-C.O.P. (Thailand)

ในยุคที่ภัยคุกคามทางไซเบอร์นั้นหลากหลายและซับซ้อน องค์กรทั่วโลกต่างก็มองหาแนวทางที่ชัดเจนในการปกป้องระบบของตนจากผู้ไม่หวังดี และ Threat Modelling คือหนึ่งแนวคิดที่ตอบโจทย์นั้น ในงาน Thailand National Cyber Week 2023 ที่ผ่านมาคุณณัฐพงศ์ สุระเรืองชัย – Principle Technical Consultant E-C.O.P. (Thailand) ได้ให้เกียรติมาให้ความรู้ในหัวข้อ “พัฒนา Threat Model ด้วยตัวคุณเอง” ซึ่งอธิบายวิธีการทำ Threat Model ที่องค์กรสามารถเริ่มต้นทำได้เลยในวันนี้  Threat Model คืออะไร? เริ่มต้นทำอย่างไร? และทำแล้วองค์กรจะได้ประโยชน์อะไรบ้าง เราสรุปเซสชันของคุณณัฐพงศ์มาให้อ่านแล้วในบทความนี้

Threat Model คืออะไร

Threat Modelling หรือการทำ Threat Model นั้น คือแม่แบบโครงสร้างระบบ ข้อมูล และสภาพแวดล้อมของระบบภายในองค์กรในมุมมองของการรักษาความปลอดภัย ผลลัพธ์ที่ได้คือโมเดลที่จะช่วยให้องค์กรสามารถมองเห็นถึงความเสี่ยงที่อาจเข้ามา วิธีการป้องกัน และฟื้นฟูระบบจากภัยคุกคาม โดย Threat Model นั้นมักจะมีข้อมูลดังนี้

• คำอธิบายถึง Asset ต่างๆในองค์กร
• ข้อมูลของสิ่งที่ทำให้ระบบทำงานต่อไปได้ ซึ่งสามารถถูกตรวจสอบ หรืออาจเปลี่ยนแปลงไปเมื่อการโจมตีมีรูปแบบที่หลากหลายหรือซับซ้อนยิ่งขึ้น
• ลักษณะของภัยคุกคามที่อาจเกิดขึ้นกับระบบ 
• วิธีรับมือการโจมตีรูปแบบต่างๆ
• วิธีการทดสอบโมเดลและภัยคุกคามว่าหากเกิดเหตุขึ้นจะสามารถรักษาความปลอดภัยได้จริง

เป้าหมายของการสร้าง Threat Model คือการสร้าง Visibility ด้านความปลอดภัยให้กับทั้งระบบ เพื่อวางแผนเตรียมการรับมือกับการโจมตี วิเคราะห์ความเสี่ยง และพัฒนาการรักษาความปลอดภัยให้แข็งแกร่งยิ่งขึ้น โดย Threat Model จะต้องช่วยองค์กรตอบ 4 คำถามหลัก คือ

1. เราทำงานอย่างไร
2. เหตุไม่ดีจะเกิดขึ้นได้อย่างไร
3. หากเกิดเหตุไม่ดีขึ้น จะแก้ไขอย่างไร
4. การแก้ไขนั้นทำได้ดีหรือไม่

เริ่มต้นทำ Threat Model อย่างไรให้มีประสิทธิภาพ 

ในมุมมองของ Security นั้น เราอาจเริ่มมองระบบจากสามเหลี่ยม CIA ซึ่งเป็นหัวใจของการรักษาความปลอดภัยระบบ ได้แก่ 

• C – Confidentiality สิ่งที่เป็นความลับควรถูกเก็บรักษาอย่างดี เข้าถึงได้จากคนที่ควรเข้าถึงเท่านั้น
• I – Integrity ระบบและข้อมูลนั้นมีความถูกต้อง ทำงานได้ตามเป้าหมาย และไม่มีการปลอมแปลง
• A – Availability สามารถเข้าใช้งานระบบหรือ Asset ได้ตามที่ตั้งใจ ไม่ล่ม และมีความเสถียร  

ทั้ง 3 ส่วนนี้เป็นสิ่งที่องค์กรจะต้องปกป้องจากภัยคุกคามภายนอก ซึ่งอาจมีมาในรูปแบบต่างๆ ณ จุดต่างๆภายในระบบ หากองค์กรสามารถปกป้องระบบให้มีทั้ง 3 สิ่งนี้ได้อย่างครบถ้วน จึงถือว่าระบบนั้นมีความปลอดภัยทางไซเบอร์

ในการรักษาความปลอดภัยของระบบนั้น คุณณัฐพงศ์กล่าวว่า Framework จะเข้ามามีบทบาทช่วยนำทางองค์กรให้เดินไปในกรอบที่ถูกต้อง ไม่ตกหล่นประเด็นที่สำคัญ และจัดการกับปัญหาได้อย่างเป็นระบบ ซึ่งในการทำ Threat Model ก็เช่นกัน องค์กรจะต้องพิจารณาข้อมูลและปัจจัยแวดล้อมในหลายด้าน ซึ่งในปัจจุบันก็มี Framework หรือกรอบความคิดจำนวนมากให้องค์กรเลือกปรับใช้งานตามความเหมาะสม โดยในเบื้องต้น คุณณัฐพงศ์แนะนำให้องค์กรเริ่มจาก 4 ขั้นตอนหลัก ได้แก่

1. Identify ว่ามี Asset อะไรในระบบบ้าง

ขั้นตอนแรกของการเตรียมตัว คือการรู้จักตัวเองให้ดีที่สุด โดยองค์กรจะต้องสำรวจและวาดแผนผังออกมาว่าภายในองค์กรนั้นมีสิ่ง (Asset) ใดที่องค์กรจะต้องรักษาความปลอดภัยบ้าง โดย Asset นั้นก็มีทั้ง Primary Asset ซึ่งเป็นของที่องค์กรใช้งานโดยตรง, Supporting Asset ที่เป็นระบบหรือบริการที่ซัพพอร์ตการทำงานของ Primary Asset และข้อมูลที่มีการใช้งานและไหลเวียนอยู่ในระบบ 

2. Review Architecture ของระบบภายในองค์กร

เมื่อองค์กรทราบแล้วว่ามีสิ่งใดที่ต้องปกป้องบ้าง ขั้นตอนถัดมาคือการทำความเข้าใจกับความสัมพันธ์ของสิ่งเหล่านั้นว่าทำงานร่วมกันอย่างไร หรือก็คือการตรวจสอบโครงสร้างของระบบนั่นเอง โดยโครงสร้างนั้นประกอบไปด้วยความสัมพันธ์ระหว่าง Asset และสิทธิ์ในการเข้าถึงและเชื่อมต่อกับ Asset นั้นๆ เช่น Asset A เชื่อมต่อกับ Asset ใด มีการส่งข้อมูลไปที่ใด พึ่งพา Asset อื่นในการทำงานหรือไม่ และใครหรือ Asset ใดสามารถเข้าถึงการทำงานและข้อมูลจาก Asset A ได้บ้าง

ผลลัพธ์ที่ได้ในขั้นตอนนี้อาจออกมาในรูปแบบของ Context Diagram หรือ Data Flow Diagram ที่อธิบายการทำงานและการไหลเวียนของข้อมูล ซึ่งจะช่วยให้องค์กรมีภาพที่ชัดเจนในการวางแผนรักษาความปลอดภัยโดยรวม  

Context Diagram จะช่วยให้องค์กรสามารถมองภาพของระบบและการติดต่อสื่อสารได้อย่างชัดเจน

3. Identify Threat

ถัดมาคือขั้นตอนของการพิจารณาว่าจากโครงสร้างของระบบที่เป็นอยู่ จะถูกโจมตีและสร้างความเสียหายได้ที่จุดใด ด้วยวิธีการใดบ้าง ซึ่งในปัจจุบันก็มี Framework มากมายที่ใช้ในการหาภัยคุกคามและความเสี่ยงที่อาจเกิดขึ้น โดยองค์กรสามารถเลือกใช้ได้ตามความเหมาะสมต่อลักษณะงานและระบบที่มีอยู่ และอาจเลือกใช้หลาย Framework เพื่อความครบถ้วนในการรักษาความปลอดภัย

ในเซสชันนี้ คุณณัฐพงศ์ได้ยกตัวอย่าง Framework ที่น่าสนใจขึ้นมาชิ้นหนึ่ง ได้แก่ STRIDE Framework ซึ่งประกอบไปด้วย

• S – Spoofing การเจาะเข้ามาในระบบผ่านช่องทางต่างๆ
• T – Tampering การเปลี่ยนหรือปลอมแปลงข้อมูลให้เกิดความเสียหาย
• R – Repudiation การที่ระบบไม่สามารถตรวจสอบได้ว่า Action ในระบบถูกกระทำโดยใคร ทำให้เกิดความเสี่ยงต่อข้อมูลหรือความถูกต้องในการทำงาน
• I – Information Disclosure การเปิดเผยข้อมูลที่ควรเป็นความลับ
• D – Denial of Service การทำให้ระบบล่มหรือใช้งานไม่ได้
• E – Elevation of Privilege การเปลี่ยนแปลงสิทธิ์ในการเข้าใช้งานให้สูงกว่าที่ควรจะเป็น

จาก STRIDE ทั้ง 6 ข้อ องค์กรจะได้แนวทางในการคิดถึงวิธีต่างๆที่การโจมตีสามารถเกิดขึ้นได้กับระบบ ซึ่งจะทำให้ระบบสูญเสีย Confidentiality, Integrity, หรือ Availability ไป 

ตัวอย่างของการใช้ STRIDE Framework เพื่อวิเคราะห์ความเสี่ยงของที่อยู่อาศัย

4. Document Threats & Vulnerabilities (และหาแนวทางในการแก้ไข)

มาถึงขั้นตอนสุดท้ายซึ่งเป็นขั้นตอนที่องค์กรจะต้องคิดถึงแนวทางการป้องกันและแก้ไขปัญหาหากมีการโจมตีเกิดขึ้นจริง ซึ่งในขั้นตอนนี้ก็เช่นกันที่มีกรอบความคิดให้องค์กรเลือกใช้มากมาย โดยองค์กรต้องเน้นไปที่การวางแผนป้องกันระบบให้ครบถ้วน สามารถใช้งานได้จริง และมีแผนสำรองในกรณีที่เกิดเหตุไม่คาดคิดขึ้นมา

หนึ่ง Framework ที่คุณณัฐพงศ์ยกตัวอย่างคือ Attack Tree Framework ซึ่งเป็นการตั้งต้นจากเป้าหมายของการโจมตี จากนั้นจึงแตกยอดลงลึกไปว่าหากผู้โจมตีอยากบรรลุเป้าหมายนี้จะใช้วิธีใดในการโจมตี เมื่อแจกแจงออกมาได้แล้วองค์กรก็จะสามารถวางแผนรับมือในกรณีต่างๆได้อย่างถูกต้องและครบถ้วน เช่น ในการขโมย Username และ Password ผู้โจมตีอาจใช้การสุ่มหาแบบ Brute Force หรือการแอบดักฟังในขั้นตอนการล็อคอินของพนักงาน เมื่อองค์กรทราบถึงความเสี่ยงนี้แล้วก็จะเข้าใจว่าต้องเพิ่มความแข็งแกร่งของรหัสผ่านให้มากขึ้น มีการ Authorization เพิ่มเติม และเข้ารหัสให้การติดต่อสื่อสารกับตัวระบบนั่นเอง

อีกส่วนหนึ่งที่จำเป็นไม่แพ้กันคือแผนในการแก้ไขปัญหาและควบคุมความเสี่ยงเมื่อมีการโจมตีขึ้นอย่างรัดกุม องค์กรต้องสามารถดำเนินการแก้ไขและให้บริการต่อได้อย่างรวดเร็วหลังเกิดภัยคุกคาม รวมไปถึงเรียนรู้จากภัยคุกคามเพื่อพัฒนาการรักษาความปลอดภัยที่เข้มแข็งกว่าเดิม

องค์กรได้อะไรจากการทำ Threat Model

ดังที่ได้กล่าวไปข้างต้นแล้วว่าการสร้าง Threat Model นั้นจะช่วยให้องค์กรมีภาพที่ชัดเจนยิ่งขึ้นถึงความเสี่ยงและวิธีการรับมือจากภัยคุกคาม คุณณัฐพงศ์ได้สรุปประโยชน์ของ Threat Model มาไว้สั้นๆ 4 ข้อ ได้แก่

1. มีความเข้าใจระบบและอุปกรณ์ทั้งหมดภายในองค์กร
2. มีเข้าใจในการเดินทางและช่องทางติดต่อสื่อสารของระบบและข้อมูล
3. เห็นภาพอย่างชัดเจนว่าการโจมตีจะเกิดขึ้นที่จุดใดและอย่างไรได้บ้าง
4. วางแผนป้องกันภัยคุกคามได้ถูกต้องและครอบคลุมทุกๆ Asset ภายในองค์กร

รับชมเซสชัน “พัฒนา Threat Model ด้วยตัวคุณเอง” โดยคุณณัฐพงศ์ สุระเรืองชัย – Principle Technical Consultant E-C.O.P. (Thailand) ได้ที่

from:https://www.techtalkthai.com/ncsa-thncw-2023-threat-modeling-by-e-cop/

[NCSA THNCW 2023] NIST Cybersecurity Framework in Practice โดย Huawei

หลังจากการแพร่ระบาดของไวรัส COVID-19 ทั่วโลกได้ส่งผลให้องค์กรล้วนดำเนินการ Digital Transformation กันอย่างเร่งรีบ ความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) อาจจะเป็นสิ่งที่หลายองค์กรให้คำสำคัญกับเรื่องนี้น้อยกว่าที่ควรจะเป็น สิ่งนี้อาจส่งผลให้องค์กรธุรกิจมีความเสี่ยงต่อการเกิดภัยคุกคามได้ในหลากหลายรูปแบบจนอาจเกิดความเสียหายให้กับองค์กรได้อย่างมหาศาล

เหตุนี้เอง สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐอเมริกา (National Institute of Standards and Technology) หรือที่รู้จักกันในนาม NIST จึงได้กำหนดเฟรมเวิร์ก (Framework) ในด้านความมั่นคงปลอดภัยออกมาเป็น “NIST Cybersecurity Framework” เพื่อให้เป็นมาตรฐานและแนวทางปฏิบัติสำหรับทุกองค์กรธุรกิจในการลดความเสี่ยงจากเหตุการณ์โจมตีทางไซเบอร์ที่อาจเกิดขึ้นได้ทุกเมื่อ ซึ่งภายใน NIST Cybersecurity Framework นั้นมีกรอบแนวคิดอะไรบ้าง และ Huawei Cloud ผู้ให้บริการ Cloud ชั้นนำระดับโลกนั้นช่วยสนับสนุนในเรื่องนี้อย่างไร บทความนี้มีคำตอบ

ความท้าทายของ Cybersecurity ในโลกดิจิทัล

ในช่วงไม่กี่ปีที่ผ่านได้มีวิวัฒนาการมากมายในหลาย ๆ ด้านทั่วโลก จนทำให้การใช้ชีวิตในปัจจุบันและในโลกดิจิทัลนั้นเปลี่ยนแปลงไปอย่างสิ้นเชิง ไม่ว่าจะเป็น

• ความก้าวหน้าทางเทคโนโลยี ด้วยเทรนด์ Digital Transformation ได้ส่งผลให้สถาปัตยกรรมของโครงสร้างพื้นฐาน (Infrastructure) มีความซับซ้อนมากขึ้นเรื่อย เช่น การใช้งาน Cloud หรือ SaaS 
• Work From Anywhere การทำงานในหลังยุค COVID-19 ที่ไม่จำเป็นต้องเข้าไปที่ออฟฟิศอีกต่อไป โดยอาจทำงานจากที่บ้านหรือร้านกาแฟผ่านการรีโมท (Remote) เข้าไปที่เครือข่ายองค์กรมากขึ้น
• Bring Your Own Device (BYOD) การใช้เครื่องอุปกรณ์ส่วนตัวของพนักงานในการทำงานมากขึ้น สืบเนื่องมาจากเทรนด์ Hybrid Work หรือ Work From Home 
• Phishing และแก๊งคอลเซ็นเตอร์ การหลอกลวงเพื่อเอาข้อมูลส่วนบุคคลด้วยจิตวิทยาเพื่อนำไปใช้โจมตีในขั้นตอนถัด ๆ ไป ซึ่งมีความรุนแรงมากขึ้นเรื่อย ๆ 

การขาดแคลนบุคลากรและงบประมาณ คนทำงานด้าน Cybersecurity ที่มีจำนวนน้อย เนื่องจากต้องมีความรู้ทั้งเรื่อง Security และ Application อย่างครอบคลุม

สิ่งที่เกิดขึ้นได้ทำให้ทั้งโลกมีความท้าทายในการรักษา Cybersecurity มากขึ้นเรื่อย ๆ ด้วยช่องโหว่รูปแบบใหม่ ที่เกิดขึ้นมาอย่างรวดเร็ว ทุกองค์กรจึงจำเป็นต้องมีแนวทางปฏิบัติที่เหมาะสมสำหรับเรื่อง Cybersecurity เพื่อปกป้องระบบ บริการ และข้อมูลอันเป็นสินทรัพย์ขององค์กรไม่ให้ถูกโจมตีหรือรั่วไหลออกไป พร้อมทั้งเสริมความรู้ให้กับบุคคลากรให้รู้เท่าทันอย่างต่อเนื่อง ซึ่งหนึ่งในมาตรฐานอันเป็นที่ยอมรับกันทั่วโลก นั่นคือ NIST Cybersecurity Framework

NIST Cybersecurity Framework แนวทางปฏิบัติยอดนิยมระดับโลก

“NIST Cybersecurity Framework” คือเฟรมเวิร์กที่กำหนดแนวทางปฏิบัติ (Pratices) เป็นมาตรฐานด้าน Cybersecurity ที่แนะนำให้กับทุกองค์กร ซึ่งเป็นเฟรมเวิร์กที่ออกโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐอเมริกา (National Institute of Standards and Technology) หรือ NIST โดยเฟรมเวิร์กนี้ได้เริ่มต้นใช้งานในสหรัฐอเมริกามาตั้งแต่ปี 2014 ในเวอร์ชัน 1.0 ก่อนที่จะเริ่มกลายเป็นที่นิยมระดับโลกในเวลาต่อมา ซึ่งปัจจุบัน NIST Cybersecurity Framework เวอร์ชันล่าสุดคือเวอร์ชัน 1.1 ที่เผยแพร่ออกมาเมื่อ 16 เมษายน 2018

เป้าหมายของ NIST Cybersecurity Framework คือต้องการให้องค์กรสามารถตอบสนองต่อภัยคุกคามที่อาจเกิดได้อย่างรวดเร็ว และสร้างความยืดหยุ่น (Resilience) ให้กับองค์กรได้ดีขึ้น ไม่ว่าองค์กรจะมีขนาดเล็กกลางหรือว่าใหญ่ก็ล้วนสามารถดำเนินการตาม NIST Cybersecurity Framework ได้ทั้งสิ้น และที่สำคัญคือ “ต้องทำอย่างต่อเนื่อง” ไม่ใช่การทำครั้งเดียวแล้วจบ เพราะเรื่องของ Cybersecurity เป็นสิ่งที่ต้องดำเนินการอย่างไม่มีที่สิ้นสุดตามวิวัฒนาการของโลกที่เปลี่ยนแปลงไป

5 ฟังก์ชันแกนหลักใน NIST Cybersecurity Framework

แม้ว่า NIST Cybersecurity Framework จะเปลี่ยนเป็นเวอร์ชัน 1.1 แล้ว แต่ฟังก์ชันแกนหลักก็ยังคงเป็น 5 ด้านนี้ ได้แก่

• Identify การสร้างความเข้าใจในองค์กรว่ามีสินทรัพย์ (Asset) หรือกระบวนการ (Process) อะไรอยู่บ้าง พร้อมทั้งจัดลำดับความสำคัญตามลำดับความเสี่ยง เพื่อให้มีรายละเอียดครบถ้วนว่าองค์กรจะต้องปกป้องอะไรบ้าง อยู่ที่ไหน และอะไรสำคัญที่สุด เช่น การสร้างระบบ Asset Management การทำ Governance และ Risk Management
• Protect การสร้างระบบที่ช่วยปกป้อง Asset หรือ Process เหล่านั้นให้มีประสิทธิภาพอย่างเพียงพอและเหมาะสม ซึ่งองค์กรต้องเตรียมระบบให้พร้อมใช้งานเพื่อปกป้องระบบองค์กรอยู่เสมอ เช่น การปรับใช้ระบบ Access Control, Identity Management 
• Detect การสร้างแนวทางการตรวจจับเหตุการณ์ภัยคุกคามที่เกิดขึ้นในองค์กรได้อย่างรวดเร็ว แม้ว่าจะมีระบบใช้งานแล้วแต่ความสามารถในการระบุ (Identify) เหตุการณ์ที่เกิดขึ้นว่าเป็นภัยคุกคามจริง ๆ ได้อย่างฉับไวคือสิ่งที่ต้องให้ความสำคัญ เพื่อรับมือกับสิ่งที่เกิดขึ้นได้อย่างรวดเร็ว
• Respond การสร้างแนวทางแผนการตอบสนองต่อแต่ละการโจมตีได้อย่างฉับไว นอกจากองค์กรจะต้องสามารถกระชับพื้นที่ (Contain) ความเสียหายให้เกิดขึ้นน้อยที่สุดเท่าที่จะทำได้แล้ว ยังต้องเตรียมการสื่อสารต่อสิ่งที่เกิดขึ้นไว้แล้วล่วงหน้า และแนวทางในการบรรเทาต่อสิ่งที่เกิดขึ้นอย่างรวดเร็วและแก้ไขได้ทันที
• Recover การสร้างแนวทางหรือแผนการกู้คืนสิ่งต่าง ๆ หลังจากถูกภัยคุกคามโจมตี เพื่อทำให้ทุกอย่างกลับมาสู่สถานการณ์ปกติให้ได้เร็วที่สุด พร้อมทั้งการสื่อสารหลังจากแก้ไขปัญหาต่าง ๆ เสร็จสิ้น

นอกจากนี้ ในแต่ละด้านของ NIST Cybersecurity Framework นั้นจะมีรายละเอียดแยกย่อยเป็น Category และ Subcategory โดยมีทั้งหมดรวม 108 ข้อที่ NIST กำหนดไว้เป็นมาตรฐานแนวทางปฏิบัติ ซึ่งคุณสุรชัย ฉัตรเฉลิมพันธุ์ Country Cyber Security & Privacy Officer แห่ง Huawei Technologies (Thailand) เน้นย้ำชัดเจนว่าเฟรมเวิร์กนี้เป็นการ “ช่วยจัดการความเสี่ยงเท่านั้น และองค์กรไม่จำเป็นต้องทำทุกข้อครบทั้งหมด” โดยจะขึ้นอยู่กับระดับความเสี่ยงที่องค์กรประเมินไว้ และเลือกปฏิบัติได้ตามความเหมาะสมซึ่งถ้าองค์กรเสี่ยงมากก็อาจทำมากข้อหน่อย เป็นต้น

Huawei Cloud ครอบคลุมทั้ง 5 ด้านใน NIST

สำหรับองค์กรที่ต้องการดำเนินตาม NIST Cybersecurity Framework ได้อย่างรวดเร็ว ภายใน Huawei Cloud ผู้ให้บริการแพลตฟอร์ม Cloud ระดับโลกนั้นได้ดำเนินการ (Comply) ตามทั้ง 5 ด้านของเฟรมเวิร์กเป็นที่เรียบร้อยแล้ว โดยในแต่ละด้าน Huawei Cloud จะมีระบบสนับสนุน เช่น ระบบ Web Application Firewall (WAF) ที่เหนือกว่า Firewall ทั่วไปช่วยป้องกันการโจมตีใน Layer 7 ได้ ระบบ Situation Awareness (SA) ตรวจสอบเหตุการณ์ที่เข้ามาให้อัตโนมัติ หรือระบบ Data Encryption Workshop (DEW) ที่จัดการเข้ารหัสข้อมูลในฐานข้อมูล เป็นต้น ซึ่งระบบต่าง ๆ ได้สนับสนุนให้องค์กรมี Security ที่มั่นใจมากกว่าเดิม อีกทั้ง Huawei Cloud ยังได้รับใบรับรอง (Certification) จากหน่วยงานต่าง ๆ ทั่วโลกมากมาย ดังนั้น ผู้ที่ใช้งานมั่นใจในเรื่อง Cybersecurity ของ Huawei Cloud ได้เลย

บทส่งท้าย

“ผมเชื่อว่าบริษัททั่วโลกมีอยู่ 2 แบบ คือบริษัทที่โดนแฮ็กกับบริษัทที่ยังไม่โดนแฮ็ก” คุณสุรชัยกล่าว “ยังไงก็โดนแฮ็กแน่นอน แต่จะทำอย่างไรที่จะทำให้องค์กรเกิดสภาวะ Cyber Resilience เสมือนตุ๊กตาล้มลุก ที่จะสามารถกลับมาสู่สภาวะปกติให้ได้เร็วที่สุด” ดังนั้น ทุกองค์กรจึงควรพิจารณาปรับใช้แนวทางปฏิบัติ NIST Cybersecurity Framework เพื่อเสริมสร้างความยืดหยุ่นและทำให้มั่นใจในเรื่อง Cybersecurty ขององค์กรได้มากขึ้น เพื่อเตรียมความพร้อม รับมือกับความเสี่ยงที่อาจเกิดขึ้นได้ทุกที่ทุกเวลา

สำหรับผู้ที่สนใจเซสชัน “NIST Cybersecurity Framework in Practice” บรรยายโดยคุณสุรชัย ฉัตรเฉลิมพันธุ์ Country Cyber Security & Privacy Officer แห่ง Huawei Technologies (Thailand) จากงาน Thailand National Cyber Week 2023 สามารถฟังย้อนหลังได้ที่นี่

from:https://www.techtalkthai.com/ncsa-thncw-2023-nist-csf-by-huawei/

[NCSA THNCW 2023] ปิดช่องโหว่ด้านความมั่นคงปลอดภัยและปกป้องการรับส่งข้อมูลของคุณได้แบบ 100% โดย Cloudflare

ความมั่นคงปลอดภัย (Security) ในโลกดิจิทัลถือเป็นที่ทุกธุรกิจทุกอุตสาหกรรมต้องพบเจอ การปกป้องระบบต่าง ๆ ที่ใช้งานอยู่รวมทั้งเรื่องการรับส่งข้อมูลระหว่างกันให้มีความปลอดภัยมากที่สุดเท่าที่จะทำได้นั้นคือสิ่งที่ทุกองค์กรจำเป็นต้องพิจารณา ซึ่งทุกวันนี้รูปแบบการโจมตีที่ยังคงพบเจออยู่ตลอดคือ “Denial of Service (DoS)” ที่มุ่งหวังทำให้ระบบของเป้าหมายไม่สามารถให้บริการต่อได้หรือหยุดทำงานลงไป ซึ่งผลเสียจะเกิดขึ้นกับผู้ให้บริการอย่างมหาศาลหากโจมตีได้สำเร็จ รวมทั้งอาจกระทบต่อไปยังจุดอื่นเป็นทอด ๆ ได้ด้วย

เพื่อให้การทำงานและบริการในยุคปัจจุบันที่ซับซ้อนนั้นสามารถดำเนินต่อไปได้อย่างไหลลื่นทั้งห่วงโซ่อุปทาน Cloudflare ผู้ให้บริการโซลูชัน Content Delivery Network (CDN) และการป้องกันการโจมตี Distributed Denial of Service (DDoS) ชั้นนำของโลก คือหนึ่งในกุญแจสำคัญของอุตสาหกรรมที่พิสูจน์ตัวเองมาเป็นระยะเวลาอย่างยาวนานที่พร้อมสนับสนุนการปิดช่องโหว่เรื่อง Security ในการรับส่งข้อมูลได้อย่างดีที่สุด เรื่องราวของ Cloudflare นั้นเข้าไปช่วยปกป้องการโจมตีได้อย่างไร ติดตามได้ในบทความนี้

ความท้าทายในเรื่อง Security โลกดิจิทัล

โลกดิจิทัลที่เปลี่ยนแปลงไปอย่างรวดเร็วจนถึงยุคปัจจุบัน บริการต่าง ๆ ได้เปลี่ยนแปลงรูปแบบไปอย่างรวดเร็ว ตั้งแต่เว็บไซต์ที่เกิดขึ้นมากมาย มาจนถึงยุคของแอปพลิเคชันบนโทรศัพท์สมาร์ตโฟน เรื่อยมาจนถึงยุคของ Cloud และการทำงานแบบ Hybrid Work จนกำเนิดเป็นบริการ Software-as-a-Service (SaaS) มหาศาลที่เรียกใช้งานกันไปมาอย่างซับซ้อน

สิ่งที่เกิดขึ้นส่งผลให้เรื่อง Security จำต้องเร่งวิวัฒนาการขึ้นมาอย่างรวดเร็วเช่นกัน พื้นผิวการโจมตี (Attack Surface) แบบใหม่ ๆ เกิดขึ้นมาในหลากหลายจุด จนส่งผลให้ทุกองค์กรต้องสนใจและใส่ใจในเรื่อง Security กันในทุก ๆ จุดที่เชื่อมโยงข้อมูลกัน ซึ่งสิ่งนี้ไม่ใช่หน้าที่ของระดับผู้บริหารระดับ C-Level เพียงเท่านั้นแล้ว หากแต่เป็นเรื่องของคนในองค์กรทุกคน

อย่างไรก็ดี การจัดการเรื่อง Security ภายในองค์กรนั้นยังคงความท้าทายในด้านอื่น ๆ อีก ทั้งเรื่องค่าใช้จ่าย ค่าบริการต่าง ๆ การจัดซื้อจัดหาอุปกรณ์ที่เหมาะสม หรือแม้กระทั่งกระบวนการที่ต้องจัดการเพื่อให้มีรู้เท่าทัน และทำให้มีความปลอดภัยมากที่สุดเท่าที่จะเป็นไปได้ภายในงบประมาณที่ประหยัดที่สุด เพื่อทำให้องค์กรยังคงมีรายได้เพียงพอต่อการทำธุรกิจที่อยู่ในช่วงวิกฤตเศรษฐกิจที่เกิดขึ้นได้ต่อไป

รูปแบบการโจมตีอันหลากหลาย

หลังจากที่โลกเข้าสู่ยุค Digital Transformation รูปแบบภัยคุกคามได้พัฒนาการมาอย่างหลากหลายรูปแบบ หนึ่งในตัวอย่างที่ชัดเจนคือเว็บไซต์ต่าง ๆ เช่น เว็บ e-Commerce ที่ให้บริการนั้นมีโอกาสถูกโจมตีได้ในทุกช่องกรอกข้อมูล อาทิ การโจมตีด้วย SQL Injection, Cross-Site Scripting หรือ Password Guessing หรือแม้แต่การทำ Social Engineering ที่มีการสร้างเว็บไซต์ปลอมเพื่อหลอกให้เหยื่อหลงเชื่อและขโมยข้อมูลส่วนบุคคลไปใช้โจมตีในขั้นตอนต่อไปที่มีความรุนแรงมากขึ้น

สิ่งที่เกิดขึ้นได้การสร้างบริการใด ๆ บนโลกดิจิทัลนั้นต้องมีความทนทานต่อภัยคุกคามได้ในแทบทุกรูปแบบ เว็บไซต์ที่เห็นและให้บริการกันในปัจจุบันนั้นจึงมีความซับซ้อนมากกว่าที่คนทั่วไปมองเห็น เพราะนอกจากทุกช่องกรอกข้อมูลที่ต้องมีการป้องกันการโจมตีในรูปแบบต่าง ๆ ไว้แล้ว ยังมีระบบส่วนอื่น ๆ ที่อยู่เบื้องหลัง (Backend) ที่มีการเชื่อมโยงกันผ่าน Application Programming Interface (API) ด้วย  ซึ่งคุณณัฐพันธ์ เรืองรังษีรัตน์ Regional Account Manager แห่ง Cloudflare เผยข้อมูลชัดเจนว่าปัจจุบันการรับส่งข้อมูลในอินเทอร์เน็ตได้เป็นรูปแบบ API ไปแล้วถึง 49.3% 

เหตุนี้เอง “OWASP” องค์กรไม่แสวงหาผลกำไรที่ให้ความรู้ เครื่องมือ และอื่น ๆ อีกมากมายในเรื่อง Security อย่างต่อเนื่อง จึงได้มีการจัดลำดับความเสี่ยงในด้าน Security บนเว็บหรือ OWASP Top 10 Web Application Security Risks รวมทั้งในส่วนของ API หรือ OWASP Top 10 API Security ก็มีจัดลำดับไว้แล้วด้วยเช่นกัน  เพื่อเป็นแนวทางให้ทุกองค์กรสามารถมาเรียนรู้และปิดช่องโหว่ให้ได้มากที่สุด สิ่งนี้ ยิ่งเป็นตัวเน้นย้ำให้เห็นว่าปัจจุบันช่องโหว่และรูปแบบการโจมตีนั้นไม่ได้มีแค่เฉพาะบนเว็บไซต์เท่านั้นแล้ว

DDoS ภัยคุกคามที่ส่งผลกระทบต่อการให้บริการธุรกิจบนโลกออนไลน์

นอกจากการโจมตีที่กล่าวมาข้างต้นแล้ว “DDoS” คืออีกรูปแบบการโจมตียอดนิยมในโลกดิจิทัลที่เหนือกว่าลักษณะ DoS ตรงที่เป็นการใช้หลายเครื่องหลายระบบมาโจมตีระบบที่ต้องการพร้อม ๆ กัน เพื่อมุ่งหวังให้ระบบที่ให้บริการไม่สามารถทำงานต่อได้อย่างรวดเร็วหรือล่มเร็วขึ้น อาทิ การยิงคำร้อง (Request) เพื่อขอเข้าใช้งานเว็บไซต์หรือ API ที่ให้บริการพร้อมกันจากหลาย ๆ ที่ 

ปัจจุบันการโจมตี DDoS นั้นมีขนาดที่ใหญ่ขึ้นเรื่อย ๆ มาอย่างต่อเนื่อง โดยการโจมตีที่ใหญ่ที่สุดในโลกเมื่อช่วงไตรมาสที่ 3 ปีที่ผ่านมานั้นเกิดขึ้นที่เครื่องเซิร์ฟเวอร์ของทาง Minecraft ซึ่งเกิดขึ้นสูงสุดถึง 2.5 Tbps หากแต่โชคดีตรงที่เครื่องดังกล่าวได้ใช้บริการของ Cloudflare อยู่ จึงสามารถรับมือกับการโจมตีครั้งนี้ให้ผ่านพ้นไปได้อย่างราบรื่น

ล่าสุดเมื่อช่วงกุมภาพันธ์ 2023 ที่ผ่านมานี้เอง Cloudflare สามารถปกป้องภัยคุกคามการโจมตีแบบ DDoS ทุบสถิติใหม่ได้สำเร็จอีกครั้ง โดยสามารถยังยั้งการโจมตี HTTP DDoS ไปยังลูกค้าที่ใช้บริการกับ Cloudflare อยู่จากผู้ไม่ประสงค์ดีด้วยสถิติใหม่สูงสุดถึง 71 ล้านคำร้องต่อวินาที (Request Per second : RPS) ดังนั้น ชัดเจนเลยว่าถ้าหากไม่มีระบบที่สามารถป้องกันการโจมตีในรูปแบบนี้ที่ดีพอและเหมาะสม ก็จะส่งผลทำให้บริการขององค์กรบนโลกออนไลน์นั้นได้รับผลกระทบและก่อให้เกิดความเสียหายได้ในที่สุด 

โซลูชัน Cloudflare เสริมความป้องกันให้องค์กร

Cloudflare มีให้บริการโซลูชันในหลากหลายรูปแบบ เช่น โซลูชันที่ช่วยสนับสนุนการทำงานในรูปแบบใหม่หรือ Hybrid Work โซลูชันการทำให้เว็บไซต์เข้าถึงได้รวดเร็วยิ่งขึ้นหรือ CDN การปกป้องเครือข่ายเน็ตเวิร์กให้มี Security สูงขึ้น ระบบที่ช่วยปกป้องการโจมตีทางไซเบอร์ในหลากหลายรูปแบบ เช่น Web Application Firewall (WAF) รวมไปถึงระบบป้องกันการโจมตีแบบ DDoS ภัยคุกคามยอดนิยมที่ยังคงเกิดขึ้นอย่างต่อเนื่องด้วยเช่นกัน

โซลูชันทั้งหมดของ Cloudflare นั้นได้มัดรวมกันไว้อยู่บน “Cloudflare Platform” ที่มีความพร้อมให้บริการทั่วโลก โดย Cloudflare ได้กระจายฮาร์ดแวร์ไปตามหัวเมืองต่าง ๆ แล้วกว่า 275 เมือง ซึ่งในประเทศไทยได้มีผู้ให้บริการอินเทอร์เน็ต (Internet Service Provider : ISP) ที่มีฮาร์ดแวร์ของ Cloudflare วางไว้ถึง 6 แห่ง สิ่งนี้คือหนึ่งในจุดเด่นที่สำคัญของ Cloudflare ที่สามารถช่วยป้องกันการโจมตีจากจุดที่ใกล้ที่สุดได้อย่างมีประสิทธิภาพ 

นอกจากนี้ Cloudflare ยังกล้ารับประกัน Service Level Agreements (SLA) ถึง 100% Uptime อีกด้วย ซึ่งด้วยตัวเองที่ให้บริการอยู่ปัจจุบันในผู้ใช้งานเวอร์ชันฟรีอยู่ถึง 4 ล้านบัญชี และมีลูกค้ากว่า 156,000 เจ้าที่ใช้บริการแบบชำระเงินนั้น บอกได้เลยว่า Cloudflare คือหนึ่งในบริการที่องค์กรแทบทุกแห่งล้วนพิจารณาใช้งาน เพื่อเสริมในเรื่อง Security ให้แข็งแกร่งขึ้น และทำให้การรับส่งข้อมูลมีความมั่นใจมากขึ้นนั่นเอง

ติดต่อ Cloudflare เสริมความมั่นคงปลอดภัยได้ทันที

“Business ทำด้วยความเร็ว แต่ Security ก็ทิ้งไม่ได้เช่นกัน” ดังนั้น แม้ว่าในโลกความเป็นจริงคำว่าป้องกันได้ 100% นั้นอาจจะไม่มีอยู่จริง แต่การปกป้องให้ระบบมี Security ที่ดีที่สุดในระดับที่ใกล้เคียงระดับ 100% นั้นคือสิ่งที่ทุกองค์กรควรพึงปฏิบัติและทุกคนจะต้องร่วมมือกัน ซึ่ง Cloudflare คือหนึ่งในส่วนสำคัญที่จะช่วยเสริมองค์กรในเรื่อง Security ทำให้การรับส่งข้อมูลได้ปลอดภัยมากขึ้น และสามารถจัดการกับภัยคุกคาม DDoS ยอดนิยมได้อย่างราบรื่น ส่งผลให้ธุรกิจสามารถเดินหน้าต่อไปได้อย่างไร้รอยต่อ (Seamless) อย่างมั่นใจ

สำหรับผู้ที่สนใจเซสชัน “ปิดช่องโหว่ด้านความมั่นคงปลอดภัยและปกป้องการรับส่งข้อมูลของคุณได้แบบ 100%” บรรยายโดยคุณณัฐพันธ์ เรืองรังษีรัตน์ Regional Account Manager แห่ง Cloudflare จากงาน Thailand National Cyber Week 2023 สามารถฟังย้อนหลังได้ที่นี่

from:https://www.techtalkthai.com/ncsa-thncw-2023-close-security-gaps-by-cloudflare/