คลังเก็บป้ายกำกับ: NETWORK_SECURITY

อีกแล้ว! LastPass ประกาศเหตุข้อมูลรั่วไหล พร้อมกับ GoTo

LastPass ได้ประกาศเหตุข้อมูลรั่วไหลเป็นครั้งที่สองแล้วของปี หลังจากครั้งแรกเมื่อเดือนสิงหาคมที่ผ่านมา อย่างไรก็ดียังเป็นเหตุการณ์ที่มีจุดร่วมกับ GoTo ผู้ให้บริการ Remote Access และโซลูชัน Collaboration ในส่วนของ Cloud Storage ที่ทั้งสองแชร์ร่วมกัน

LastPass ชี้ว่าแฮ็กเกอร์ได้อาศัยข้อมูลที่ได้รับจากการแฮ็กครั้งก่อน ทำให้สามารถเข้าถึงข้อมูลของลูกค้าได้แม้บริษัทจะยืนยันว่าข้อมูลยังปลอดภัยเพราะถูกเข้ารหัสไว้ก็ตาม นอกจากนี้ยังรวมไปถึงข้อมูลซอร์สโค้ดและข้อมูลทางเทคนิคเฉพาะของบริษัทด้วย

ในฝั่งของ GoTo เผยถึงเหตุการณ์ว่าพบกิจกรรมแปลกๆในระบบที่ใช้เพื่อการพัฒนารวมถึงส่วน Cloud Storage ที่มีการแชร์กับ LastPass ซึ่งในส่วนหลังนี้เองกระทบกับข้อมูลลูกค้า อย่างไรก็ดีระบบของ GoTo ไม่ได้รับผลกระทบและยังทำงานได้ดี

ปัจจุบันทั้งสองได้รับความช่วยเหลือในการสืบสวนจาก Mandiant แล้วและแจ้งต่อหน่วยงานเจ้าหน้าที่ ตลอดจนผู้ใช้งานเรียบร้อยแล้ว ก็คงต้องมาติดตามกันต่อไปว่าเหตุการณ์จะบานปลายหรือหนักแค่ไหนครับ

ที่มา : https://www.bleepingcomputer.com/news/security/lastpass-says-hackers-accessed-customer-data-in-new-breach/ และ https://www.bleepingcomputer.com/news/security/goto-says-hackers-breached-its-dev-environment-cloud-storage/

from:https://www.techtalkthai.com/lastpass-second-data-breach-2022-x-goto-in-shared-cloud-storage/

รู้จักกับ Hillstone CloudArmour โซลูชันเพื่อการทำ Cloud Workload Protection Platform(CWPP)

สภาพแวดล้อมของ Hybrid และ Multi-cloud ได้เพิ่มความซับซ้อนให้องค์กรอย่างมาก โดยเฉพาะในความหลากหลายที่ Workload เป็นคนละรูปแบบกันเช่น Container ในระบบ On-premise ที่สามารถเคลื่อนย้ายไปบนระบบ Container บนคลาวด์อย่างไร้ขีดจำกัด ยังไม่นับรวมเรื่อง VM หรือ Traditional แบบเดิม ด้วยเหตุนี้เองความน่าหนักใจในเรื่อง Security จึงตามมาเนื่องจากโซลูชันที่เคยใช้งานอยู่ไม่ได้ถูกคิดค้นมาเพื่อรองรับกับโลกใบใหม่นี้

ทำให้ Gartner ได้บัญญัติศัพท์ใหม่ที่เรียกว่า Cloud Workload Protection Platform(CWPP) อ้างถึงผลิตภัณฑ์ด้าน Security ที่เน้น Workload เป็นศูนย์กลาง ให้ผู้ใช้งานสามารถควบคุมและมองเห็นการทำงานได้ไม่ว่า Workload นั้นจะอยู่บน Hybrid หรือ Multi-cloud ที่มีทรัพยากรที่ต่างกันทั้ง Physical Machine, VM, Container และ Serverless กล่าวคือ CWPP ให้องค์กรสามารถแก่องค์กรเพื่อป้องกัน Workload ได้อย่างแท้จริงโดยไม่ยึดกับสภาพแวดล้อม

ในบทความนี้เราจะขอพาทุกท่านไปรู้จักกับโซลูชัน CWPP จากค่าย Hillstone ที่ชื่อ CloudArmour กันครับ

ภัยคุกคามของ Container 

Container ถือเป็นกลยุทธ์ที่องค์กรมักเลือกใช้เพื่อการทำงานของแอปพลิเคชันสมัยใหม่ เพราะสอดคล้องกับการทำ Microservices และตอบโจทย์ความยืดหยุ่นของแอปพลิเคชัน เนื่องจากสามารถเคลื่อนย้ายได้ง่ายผ่านการดูแลของ Orchestrator ให้มีจำนวนเพียงพอต่อการทำงาน หรือพร้อมขยายตัวเพิ่มหากโหลดมากขึ้น แน่นอนว่าเมื่อมีการใช้งานมากขึ้นทั่วโลก ฝ่ายผู้โจมตีเองก็ได้พัฒนาเทคนิคและวิธีการเพื่อตามเข้ามาหาผลประโยชน์ในระบบใหม่เช่นกัน 

โดยที่ Gartner ได้เผยถึงมุมมองในการโจมตีที่อาจเกิดขึ้นได้กับ Container ถึง 11 ช่องทางคือ

1.) ระบบของนักพัฒนาเองอาจถูกแทรกแซงได้เช่น Cloud Storage หรือเครื่องมือโอเพ่นซอร์สที่เลือกใช้ ท้ายที่สุดอาจนำไปสู่เครื่อง Endpoint และเครื่องมือที่ทำงานด้านโค้ด

2.) โค้ดที่เก็บไว้ใน Git Repository เองอาจถูกขโมยหรือแทรกแซง

3.) โค้ดจากที่อื่นที่ล้าสมัยหรือไลบรารีของคนอื่นอาจบนเปื้อนอันตรายมา

4.) แหล่งเก็บอิมเมจก็ไม่น่าไว้ใจเต็มร้อย เพราะอาจมีอิมเมจที่มีช่องโหว่ภายในเพราะถูกแก้ไขมา

5.) แพลตฟอร์มบริหารจัดการที่คอนฟิคไม่ดีหรือให้สิทธิ์นักพัฒนามากเกินก็เสี่ยงต่อภัยคุกคามได้

6.) แน่นอนว่า Container มีการแชร์ System Kernel ใน Host แต่หากกำหนดสิทธิ์ของ Container ไม่ดีพอเป็นไปได้ว่าโค้ดอันตรายอาจจะเข้าควบคุมเครื่อง Host ได้

7.) ความเร็วในการพัฒนาก่อให้เกิดการเปลี่ยนเวอร์ชันบ่อยทั้งอิมเมจและโค้ด หากของเดิมไม่ถูกทำลายทิ้งหรือบริหารจัดการความเสี่ยงย่อมตามมา

8.) รูปแบบของ Microservice มีการปฏิสัมพันธ์ด้วย IP Address เป็นการภายในอยู่แล้ว (East-West) แต่มักมองไม่เห็นว่าเป็นอย่างไร ซึ่งการสื่อสารกันตรงนี้อาจเป็นภัยได้

9.) การสื่อสารข้ามโปรเซส(IPC)ที่ถูกใช้สำหรับสื่อสารระดับ Microservice มักมีกลไกของตนเองซึ่งส่วนนี้อาจมีช่องโหว่ต่อการแก้ไขเปลี่ยนแปลงสาร

10.) แต่ละบริการอาจมีฐานข้อมูลของตน ทำให้บริหารจัดการได้ยาก ยิ่งมีฐานข้อมูลมากความเสี่ยงก็เพิ่มขึ้น

11.) แอปพลิเคชันที่เกิดขึ้นบน Container อาจมีการเปิดบริการระดับเว็บที่นำไปสู่การโจมตีแอปได้

หากพิจารณาให้ดีจะพบว่าการทำงานเหล่านี้สอดคล้องกับกระบวนการพัฒนาซอฟต์แวร์ที่แบ่งออกได้ 3 ขั้นตอนคือ 1.) ขั้นตอนการพัฒนา (Development) 2.) สร้างระบบเพื่อเริ่มต้นใช้งาน (Deployment) และ 3.) การดูแลการทำงานในทุกวัน (Operation) ดังนั้นโซลูชันที่จะป้องกัน Container ได้จะต้องมีฟีเจอร์มากมายเพื่อรับมือภัยคุกคามในแต่ละช่วงเช่น ต้องวิเคราะห์โค้ดและสแกน image ว่าน่าเชื่อถือหรือไม่ความอันตรายหรือไม่ ตลอดจนขณะที่เริ่มรันไปแล้วยังต้องคอยติดตามคอนฟิคหรือการทำงานต่างๆต่อไปด้วย (ตามภาพประกอบด้านล่าง)

Hillstone CloudArmour

จะเห็นได้ว่าโซลูชัน CWPP จะต้องสามารถรับมือกับ Workload ได้ทุกรูปแบบเนื่องจากคลาวด์มีองค์ประกอบเกี่ยวพันมากมาย ในแนวคิดของ CloudArmour จะมีการแบ่งการควบคุมออกเป็นสองรูปแบบคือ Host และ Container เพราะคุณสมบัติต่างกัน ซึ่งองค์ประกอบที่จะพิจารณาจาก Host คือ OS, NIC และ Apps ต่างกันองค์ประกอบของ Container ที่พิจารณาจาก Image/Respository, Apps, Service/Ingress และ Cluster สำหรับฟีเจอร์เด่นของ CloudArmour มีดังนี้

1.) Visibility 

มีแดชบอร์ดกลางสำหรับแสดงสถิติและข้อมูลเชิงวิเคราะห์ในภาพรวมที่อัปเดตแบบเรียลไทม์ เช่น ช่องโหว่ ภัยคุกคามกับอิมเมจและแอป สภานภาพของสภาวะแวดล้อม เป็นต้น

2.) Vulnerability Scan

ค้นหาช่องโหว่ของ Container อย่างอัตโนมัติทั้งที่รันอยู่ในโหนดของ Kubernetes หรือที่ถูกเก็บไว้ใน Respository ซึ่งหาก image ถูกอัปเดตใหม่โซลูชันก็จะทำการสแกนให้ด้วย และยังสามารถสั่งป้องกันไม่ให้ Container ที่มีช่องโหว่ถูกรันขึ้น ในมุมของ Host โซลูชันสามารถสแกนช่องโหว่ในระดับ OS, Kernel และ Software Package (APK, RPM หรือแพ็กเกจที่ถูกเรียกติดตั้งบ่อยในโปรแกรมยอดนิยมเช่น Nginx, Python และอื่นๆ) หากพบช่องโหว่จะแจ้งเตือนทันที

3.) Security Compliance Check

สามารถตรวจสอบส่วนประกอบต่างๆว่าเป็นไปตามข้อแนะนำหรือไม่เช่น Kubernetes, Docker, Linux, Container Application Runtime และ Docker Image เป็นต้น

4.) Micro-segmentation

สามารถช่วยแยกส่วนองค์ประกอบภาพในได้อย่างเด็ดขาด ในระดับ East-West และ North-South พร้อมค้นหา Dependency ของแอปพลิเคชันเพื่อสร้าง Policy ให้อัตโนมัติเพื่อบังคับใช้ โดยในการสร้าง Policy จะมีระบบช่วยแนะนำ (Smart Policy Assistant) ให้ทำได้อย่างเหมาะสมและปิดกั้นมากที่สุดตอบโจทย์ Zero-trust

5.) Intrusion Detection and Prevention by Behavior

CloudArmour ได้นำ Machine Learning เข้ามาเรียนรู้พฤติกรรมของ Host และ Container โดยพิจารณาจาก Syscall, Files, Networks และอื่นๆ ในช่วง Runtime ประกอบกับข้อมูลจาก Threat Intelligence ผสมผสานสู่การกำหนด Rule ที่สามารถยับยั้งภัยคุกคามได้อย่างเฉพาะตัว 

อันที่จริงแล้ว CloudArmour ยังมีความสามารถที่น่าสนใจอื่นๆอีกมากมายเช่น

  • แบ่งระดับการทำงานของแอดมินได้ถึง 3 ระดับคือ administrator, operator และ auditor
  • สามารถค้นหา นำออก เรียกดู Log ของระบบและคอนฟิคได้
  • มีระบบแจ้งเตือนอีเวนต์ที่สำคัญ
  • ควบคุมการปิดเปิดบริการของ micro-segmentation ได้ในระดับโหนดหรือแอป
  • สามารถทำ Global Default Policy ในการทำ micro-segmentation
  • จัดทำ Blacklist หรือ Whitelist ในการมอนิเตอร์บริการของ Host ขณะ Runtime  พร้อมตอบสนองได้ 4 รูปแบบคือ แจ้งเตือน บล็อก หยุด หรือเพิกเฉยต่อพฤติกรรม
  • การสแกนสามารถตั้งตารางหรือเลือกคัดกรองการสแกนเฉพาะ image เวอร์ชันล่าสุดได้
  • สามารถค้นหาข้อมูลทรัพยากรใน Container Cluster หรือ Host ได้อัตโนมัติ พร้อมอัปเดตข้อมูลสม่ำเสมอ
  • สร้างการบริหารจัดการทรัพย์สินแบบ Multi-tenant ได้ 
  • แสดงความสัมพันธ์ระหว่าง POD, Application และ บริการ รวมถึงความสัมพันธ์ระดับแอปของ Host

เรียนรู้เพิ่มเติมเกี่ยวกับ CWPP จาก Hillstone ได้ที่  https://www.hillstonenet.com/products/cloud-protection/hillstone-cloudarmour

สำหรับผู้ที่สนใจเกี่ยวกับโซลูชัน Cybersecurity ใดๆของ Hillstone Networks สามารถติดต่อกับทีมงานได้ผ่านทาง https://www.hillstonenet.com/more/engage/contact/ ซึ่งจะมีทีมงานติดต่อท่านกลับไป

ที่มา :

  1. https://www.csoonline.com/article/3659868/cwpp-how-to-secure-cloud-native-applications-built-with-containers.html
  2. https://www.gartner.com/reviews/market/cloud-workload-protection-platforms
  3. https://www.techtarget.com/searchsecurity/tip/Cloud-workload-protection-platform-security-benefits-features

from:https://www.techtalkthai.com/hillstone-cloudarmour-cloud-workload-protection-platform/

Women: Thailand Cyber Top Talent 2022 เปิดรับสมัครเข้าแข่งขันแล้ว

การแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์สำหรับ “ผู้หญิง” ครั้งแรกของประเทศไทย – Woman Thailand Cyber Top Talent 2022 จัดโดย สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ร่วมกับ Huawei โดยมุ่งหวังให้นักเรียน นิสิต นักศึกษา และประชาชนทั่วไป ที่เป็นผู้หญิงหรือมีเพศสภาพเป็นหญิง ได้เรียนรู้ เพิ่มทักษะ และพัฒนาประสบการณ์ เพื่อให้เป็นบุคลากรที่มีความรู้ความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ และเป็นการสร้างศักยภาพบุคลากรไซเบอร์ในระดับองค์กรหรือทั่วไป และส่งเสริมให้ผู้หญิงทุกคนมีสิทธิ และใช้สิทธิในการแสดงออกถึงศักยภาพของตนได้อย่างเต็มที่

รายละเอียดการแข่งขัน

ระดับการแข่งขัน: แบ่งเป็น 2 ระดับ คือ นักเรียนนักศึกษาและบุคคลทั่วไป
คุณสมบัติ: เป็นผู้หญิงหรือเพศสภาพเป็นหญิง สัญชาติไทย
การรับสมัคร: เป็นทีม ทีมละไม่เกิน 2 คน
การแข่งขัน: แบ่งเป็น 2 รอบ คือ รอบคัดเลือกแบบ Online และรอบชิงชนะเลิศแบบ On-site
ปิดรับสมัคร: 10 ธันวาคม 2022
รายละเอียด: https://ctf.in.th/womenctf2022/

** ผู้สมัครเข้าร่วมการแข่งขันมีสิทธิ์เข้าอบรมพัฒนาทักษะด้านไซเบอร์ทั้งทางด้าน Defensive (Blue Team) และ Offensive (Red Team) ผ่านระบบ Online วันที่ 11 ธันวาคม 2022

รูปแบบและกติการการแข่งขัน

  • รอบคัดเลือกแบบ Online วันที่ 11 ธันวาคม 2022
  • รอบชิงชนะเลิศแบบ On-site วันที่ 18 ธันวาคม 2022 เวลา 9:00 – 17:00 น.
  • แข่ง Capture the Flag ในรูปแบบ Jeopardy คือ ผู้เข้าแข่งขันสามารถเลือกโจทย์ในหัวข้อใดทำก่อนก็ได้ คะแนนของโจทย์แต่ละหัวข้อจะไม่เท่ากัน ขึ้นอยู่กับระดับความยากง่ายของโจทย์ โดยมี 2 หัวข้อ คือ Blue Team และ Red Team

ชิงเงินรางวัลรวมกว่า 200,000 บาท

from:https://www.techtalkthai.com/women-thailand-cyber-top-talent-2022/

[Video Webinar] Re-image SOC to Transform to the Digital World by Palo Alto Networks

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Palo Alto Networks Webinar เรื่อง “Re-image SOC to Transform to the Digital World” เพื่อยกระดับการจัดการศูนย์ SOC ให้มีประสิทธิภาพในยุค Digital Transformation ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

ผู้บรรยาย: คุณนนทนะ อนุเคราะห์ดิลก Cortex Regional Sales Manager จาก Palo Alto Networks

ความท้าทายของ SOC ในปัจจุบัน คือ การรับข้อมูลจากเครื่องมือด้านความมั่นคงปลอดภัยที่หลากหลาย และมากเกินไป ทั้งยังทำงานแยกขาดจากกัน ส่งผลให้ทีมผู้เชี่ยวชาญต้องใช้ความพยายามเป็นอย่างมากในการวิเคราะห์และตอบสนองต่อเหตุการณ์ที่เกิดขึ้น ซึ่งนำไปสู่การสุญเสียเวลาและอาจพลาดเหตุการณ์บางอย่างที่สำคัญไป ในขณะเดียวกัน ทีมผู้เชี่ยวชาญเหล่านั้นก็พยายามที่จะสร้างความง่ายในการจัดการและเชื่อมโยงข้อมูลเข้าหากัน เพื่อให้สามารถตรวจจับเหตุไม่พึงประสงค์ได้อย่างแม่นยำ ภาระที่เพิ่มขึ้นนี้ส่งผลให้เกิดความอ่อนล้าของทีมงาน การตรวจสอบที่ช้า และความเหนื่อยหน่ายในการทำงานเดิมๆ ซ้ำๆ เมื่อความต้องการ SOC เปลี่ยนแปลงไป การออกแบบก็ต้องถูกปรับเปลี่ยนให้ทันกับความต้องการ

เข้าร่วม Webinar นี้เพื่อรู้จักกับ Cortex XSIAM (eXtend Security Intelligence & Automation Management) แพลตฟอร์ม SOC อัตโนมัติของ Palo Alto Networks ที่เปลี่ยนแปลงพื้นฐานวิธีการใช้ข้อมูล การวิเคราะห์ และการทำงานอย่างอัตโนมัติทั่วทั้งองค์กร ซึ่งจะช่วยยกระดับการจัดการ SOC ให้มีประสิทธิภาพและพร้อมเผชิญกับความท้าทายในยุค Digital Transformation ได้ดียิ่งขึ้น

หัวข้อการบรรยายประกอบด้วย

  • ปัญหาของ SOC ในปัจจุบัน
  • Cortex XIAM – แนะนำโซลูชันเพื่อยกระดับการรักษาความมั่นคงปลอดภัยของ SOC
  • ร่วมตอบแบบสอบถามลุ้นรางวัล
  • Wrap up and Q&A – สรุปและตอบข้อสงสัย

from:https://www.techtalkthai.com/palo-alto-networks-webinar-re-image-soc-to-transform-to-the-digital-world-video/

ควบคุมทุกการเข้าถึงอย่างมั่นใจด้วย Hillstone ZTNA

ภาวะแพร่ระบาดของไวรัสโคโรน่าทำให้องค์กรต่างตื่นตัวเข้าสู่การทำ Digital Transformation(DX) โดยมีแนวทางหลักๆ 2 ปัจจัยที่เกิดขึ้นคือ 1. ขยายระบบเข้าสู่คลาวด์ 2. กระจายการทำงานสู่นอกองค์กร และทั้งสองได้นำไปสู่การปรับปรุงโครงสร้างของเครือข่ายและความมั่นคงปลอดภัย ทำให้องค์กรมีความต้องการรูปแบบใหม่คือบริการด้านความมั่นคงปลอดภัยที่พร้อมใช้งานได้ทันที ทุกสถานที่

อนึ่งคอนเซปต์ของ Zero Trust ได้กระตุ้นให้องค์กรต่างหันเหสู่แนวทางการป้องกันที่ไม่ไว้ใจใครไม่ว่าจะภายในหรือนอกก็ตาม ทุกอุปกรณ์ ผู้ใช้ หรือการเข้าถึงจะต้องถูกอนุญาตตามบริบทอย่างเหมาะสม จึงเป็นที่มาของ ZTNA โดยถือกำเนิดขึ้นเพื่อปิดช่องว่างของการเข้าถึงแบบเดิม ในบทความนี้ท่านจะได้เรียนรู้แนวคิดของโซลูชัน Hillstone ZTNA กันครับ

Zero Trust คืออะไร?

Zero Trust เป็นศัพท์ที่ถูกนิยามโดย The U.S. National Institute of Standards and Technology (NIST) โดยไอเดียคือคอนเซปต์ของไม่เชื่อสิ่งใด เพราะจากเดิมเรามักให้ความเชื่อถือกับองค์ประกอบที่อยู่ในองค์กร แต่เข้มงวดเป็นพิเศษเฉพาะการเข้าถึงจากภายนอก อย่างไรก็ดีเมื่อการทำงานจากทางไกลกลายเป็นเรื่องธรรมดา ทำให้ VPN ถูกใช้มากขึ้นจนเกินกำลัง ทั้งยังไม่ได้ถูกออกแบบมาให้รองรับกับความท้าทายทั้งด้านสภาพแวดล้อมของ Hybrid, Multi-cloud หรือความหลากหลายของอุปกรณ์

กล่าวได้ว่า Zero Trust เป็นเพียงแนวคิดที่ให้ไอเดียแบบองค์รวม ที่เกิดจากการประกอบรวมกันของโซลูชันหลายด้าน แต่หนึ่งในจุดเริ่มต้นที่ทุกองค์กรพึงมีก็คือช่องทางการเข้าใช้งาน และเมื่อ VPN ยังไม่ดีเพียงพอก็ทำให้ ZTNA (Zero Trust Network Access) นั้นถือกำเนิดขึ้น

ประโยชน์ของ ZTNA ที่เหนือกว่า VPN 

VPN เคยเป็นเทคโนโลยีที่ได้รับการยอมรับว่าช่วยปกป้องการเข้าถึงได้ดีที่สุดในยุคสมัยหนึ่ง โดยผู้ใช้งาน VPN จะได้รับการปฏิบัติเสมือนว่าเข้าไปอยู่ในออฟฟิศจริง ทั้งนี้ Credentials และ IP คือสิ่งที่ถูกใช้เพื่อพิสูจน์ตัวตนและให้สิทธิ์ในการเข้าถึง เคราะห์ร้ายที่ Credential กลับเป็นเรื่องถูกเร่ขายจากการที่องค์กรหรือผู้ให้บริการถูกแฮ็กเสียเอง ไม่นับรวมการถูกโจมตีที่เราไม่สามารถวางใจใครได้ เพราะพนักงานคนใดคนหนึ่งอาจมุ่งร้ายองค์กรหรือถูกฝังตัวเข้ามาอย่างไม่รู้ตัวเลย หากพิจารณาในมุมนี้จะเห็นว่า VPN ยังมีจุดอ่อนที่ไม่สามารถวางใจได้ แม้กระทั่งการขยายตัวของโซลูชันก็ทำได้ไม่ดีพอ

ในขณะเดียวกัน ZTNA ได้มองการเข้าถึงที่ละเอียดกว่า โดยปฏิบัติต่อผู้ใช้หรือเครื่องอุปกรณ์ไม่เท่ากัน เช่น บุคคลที่ใช้ Credential เดียวกันแต่ล็อกอินใช้งานคนละอุปกรณ์อาจมีความสามารถในการเข้าถึงไม่เท่ากัน โดยเมื่อผู้ใช้เข้าสู่ระบบด้วยเครื่องที่ไม่ปลอดภัยอาจจะสามารถเข้าถึงระบบทั่วไปได้แต่ไม่สามารถเข้าถึงแอปสำคัญได้ เป็นต้น ZTNA ยังครอบคลุมในบริบทของการเชื่อมต่อและปัจจัยอื่นด้วย ทำให้สามารถบังคับใช้ Policy ที่ละเอียดและเหมาะสมกับแต่ละกรณีการใช้งานได้อย่างแท้จริง สอดคล้องกับข้อบังคับขององค์กรโดยเฉพาะอุตสาหกรรมที่มีข้อกำหนดสูงเช่น ธนาคาร โรงงาน หรือธุรกิจสำคัญ ด้วยเหตุนี้เอง ZTNA จึงไม่ได้ยึดติดกับความน่าเชื่อถือของบุคคลหรืออุปกรณ์ว่าเป็นขององค์กรหรือไม่ พนักงานสามารถเลือกใช้อุปกรณ์ของตนได้อิสระแต่ทุกการใช้งานจะถูกกำกับดูแลเสมอ

นอกจากนี้เองหากเทียบกับ VPN จะเป็นการพิสูจน์ตัวตนในครั้งแรก จากนั้นจะได้รับความไว้วางใจให้ใช้งานต่อไปในเครือข่าย มองเห็นและเข้าถึงทรัพยากรได้อิสระ แต่ในขณะที่ ZTNA จะพิจารณาจากตัวแปรต่างๆ ถึงผ่านการพิสูจน์ตัวตนได้ก็เริ่มต้นด้วยน้อยที่สุด จึงตอบโจทย์ในเชิงของคุณภาพการควบคุมด้วย แต่หากเป็น VPN จะกำหนดได้เพียงแค่ใอนุญาตหรือปฏิเสธเท่านั้น โดย ZTNA มีกลไกในการป้องกันที่อนุญาตผู้ใช้งานให้มองเห็นได้แค่ทรัพยากรที่ตนสมควรได้รับ มองไม่เห็นส่วนอื่นที่ไม่เกี่ยวข้อง

ZTNA มักมีการใช้งานอยู่ใน 2 รูปแบบคือ

1.) Endpoint-initiated หรือการติดตั้ง Agent หรือ Client ไว้ในเครื่องปลายทางเพื่อสื่อสารกับตัวควบคุม ทั้งนี้มีองค์ประกอบหลัก 3 ส่วนคือ Agent, Gateway และ Controller

2.) Service-initiated หรือ Clientless ซึ่งใช้ซอฟต์แวร์ระหว่างเครื่องปลายทางและแอปพลิเคชันมาดูแลการเชื่อมต่อ หากการร้องขอผ่านการพิสูจน์ตัวตนแล้ว Broker proxy จะป้องกันไม่ให้มีการเข้าถึงตรงมาจากเครื่องปลายทาง 

สถาปัตยกรรมของ Hillstone ZTNA

Hillstone ZTNA เกี่ยวข้องกับ 5 องค์ประกอบดังนี้

1.) ZTNA gateway – อาศัยความสามารถของ Next-gen Firewall เพื่อทำหน้าที่เป็น Broker ของการเชื่อมต่อ

2.) ZTNA Endpoint– เป็นโปรแกรม Agent นำไปติดตั้งที่เครื่องของผู้ใช้งาน เพื่อทำหน้าที่ติดตามสถานภาพการทำงานของปลายทาง

3.) Enterprise Identity Server – เป็นระบบ Directory เดิมขององค์กรที่มีอยู่เดิม โดยสามารถเชื่อมต่อเข้ามากับ ZTNA เพื่อนำข้อมูลมาใช้ในการพิจารณาบริบทการเข้าถึง

4.) Application– ฝั่งทรัพยากรปลายทางที่ต้องถูกเข้าถึงโดยผู้ใช้ ซึ่งตรงนี้เองต้องมีการกำหนด Policy เพื่อกำกับว่าผู้ใช้หรืออุปกรณ์ใดสามารถเข้าถึงแอปใดได้บ้าง

5.) ZTNA Manager – กรณีที่มี NGFW กระจัดกระจายอยู่หลายแห่ง Hillstone Security Management คือโซลูชันที่จะช่วยให้ผู้ใช้สามารถควบคุมทุกการเข้าถึงได้จากศูนย์กลาง

ฟีเจอร์ที่โดดเด่นของ Hillstone ZTNA

1.) รองรับการทำ AAA (Authentication, Authorization, Auditing)ได้หลายรูปแบบเช่น RADIUS, TACACS+, Active Directory, LDAP และการใช้ Multi-factors Authentication(MFA)

2.) พิจารณาการเข้าถึงของ Endpoint ได้หลายปัจจัยว่าเป็นไปตามข้อกำหนดขององค์กรหรือไม่ โดยสามารถติดตามสถานะของ OS, OS patch, MAC Address, Antivirus, DLP, Device Identity, Browser Patch, Time และ Location ซึ่งด้วยคุณสมบัติเหล่านี้ทำให้องค์กรสามารถกำหนด Policy ได้อย่างรัดกุม

3.) Single Packet Authentication (SPA) เป็นเทคนิคอีกระดับที่จะทำให้การเชื่อมต่อมีความมั่นคงปลอดภัยมากขึ้น โดยไอเดียคือจะมีการส่งแพ็กเกจ SPA ซึ่งถูกสร้างจากกลไกการเข้ารหัสที่มีเพียงผู้ใช้ตัวจริงเท่านั้นถึงจะสร้างแพ็กเกจได้ หากตรวจสอบแล้วถูกต้องถึงจะมีการสื่อสารกันต่อไป ใช้ Rule ที่กำหนดและเปิดพอร์ต แต่หากแพ็กเกจ SPA ไม่ถูกต้องตั้งแต่แรก ขั้นตอนอื่นๆก็จะไม่เกิดขึ้น ด้วยเหตุนี้เองจึงสามารถป้องกันการสำรวจเก็บข้อมูลของคนร้ายได้ ลดพื้นผิวการโจมตีจากอินเทอร์เน็ต การทำ TLS DoS หรือจำกัดความเสียหาย ซึ่ง Hillstone เตรียมนำกลไกนี้เข้ามาใช้ในอนาคต

จะเห็นได้ว่าการที่จะทำให้ Zero Trust ของท่านเริ่มต้นขึ้นได้ ต้องมั่นใจในการเข้าถึงตั้งแต่ต้นทางไม่ว่ามาจากภายในหรือภายนอก ทุกการเข้าถึงต้องถูกกำกับดูแล ซึ่ง Hillstone ZTNA พร้อมในทุกสถานการณ์การใช้งาน

  • Mobile User – ช่วยจำกัดการเข้าถึงของพนักงานเช่น ระหว่างท่องเที่ยวพนักงานฝ่ายการเงินจะเข้าถึงอีเมลได้แต่ไม่สามารถเข้าถึงระบบการเงินได้จากทางไกลเป็นต้น
  • Government Agency & Regulate Industries – ตัวแทนภาครัฐหรือภาคอุตสาหกรรมมักถูกครอบด้วยนโยบายหรือกฏระเบียบอย่างเข้มข้น ซึ่งเป็นไปไม่ได้เลยหากปราศจากความสามารถของ ZTNA หรืออาจต้องมีโซลูชันหลายตัวทำงานร่วมกัน แต่ด้วยความสามารถจาก Hillstone ZTNA ท่านจะสามารถติดตามได้ว่าการเข้าถึงนี้มาจากที่บ้าน ผ่านระบบบริการสาธารณะ หรือสถานที่ที่ตกเป็นเป้าโจมตีได้ง่ายหรือเงื่อนไขของความพร้อมด้านอุปกรณ์เป็นต้น
  • Remote Employee – องค์กรสามารถตรวจสอบเครื่องที่พนักงานนำมาใช้ได้ว่าแพตช์ล่าสุดหรือไม่ ระบบ Antivirus พร้อมมากแค่ไหน ซึ่งเป็นการป้องกันคัดกรองคุณภาพของอุปกรณ์เบื้องต้นว่าจะบล็อก หรืออนุญาตเข้าถึงแค่บางส่วน
  • Service Providers– กรณีที่เป็นผู้ให้บริการลูกค้าในธุรกิจที่ไม่มีไอทีเป็นของตัวเอง เป็นโอกาสอันดีที่ท่านสามารถนำเสนอโซลูชันนี้เพิ่มเติมให้การเข้าถึงของพนักงานจากที่ต่างๆถูกกำกับดูโดยนโยบายของบริษัท ซึ่งมักเป็นบ่อเกิดของการโจมตีอยู่บ่อยครั้ง 

เรียนรู้เพิ่มเติมเกี่ยวกับ Micro-segmentation ได้ที่

สำหรับผู้ที่สนใจเกี่ยวกับโซลูชัน Cybersecurity ใดๆของ Hillstone Networks สามารถติดต่อกับทีมงานได้ผ่านทาง https://www.hillstonenet.com/more/engage/contact/ ซึ่งจะมีทีมงานติดต่อท่านกลับไป

from:https://www.techtalkthai.com/secure-your-access-with-hillstone-ztna/

“ฟอร์ติเน็ตจับมือมหาวิทยาลัยศรีปทุม” เพื่อลดช่องว่างด้านทักษะ เพื่อต่อสู้ภัยไซเบอร์ของบุคลากรไทย [Guest Post]

“เปิดโอกาสให้บุคลากรไทยเข้าถึงหลักสูตรความรู้ด้านความปลอดภัยไซเบอร์ระดับโลกล่าสุดของฟอร์ติเน็ต เพื่อปั้นผู้เชี่ยวชาญมืออาชีพรุ่นเน็กซ์เจนเนอเรชั่น”

ฟอร์ติเน็ต ผู้นำระดับโลกด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์แบบอัตโนมัติและครบวงจร ได้ลงนามในบันทึกความเข้าใจ (MOU) กับมหาวิทยาลัยศรีปทุม เพื่อจัดหลักสูตรการฝึกอบรมและออกประกาศนียบัตรด้านความปลอดภัยทางไซเบอร์อันเป็นที่ยอมรับในอุตสาหกรรมระดับโลกให้นักศึกษาของไทย ความร่วมมือครั้งสำคัญนี้จะช่วยให้นักศึกษาของมหาวิทยาลัยศรีปทุมเพิ่มทักษะด้านการรักษาความปลอดภัยไซเบอร์ที่ตรงกับความต้องการขององค์กรในประเทศไทยจากหลักสูตรที่ได้รับรางวัลของฟอร์ติเน็ต เพื่อเตรียมให้นักศึกษาพร้อมเป็นผู้เชี่ยวชาญ ลดช่องว่างด้านทักษะ ช่วยสร้างโลกดิจิทัลของไทยให้ปลอดภัย

ด้วยข้อตกลงนี้ มหาวิทยาลัยศรีปทุมได้รับการแต่งตั้งให้เป็นพันธมิตรทางวิชาการ นับเป็นสถาบันการศึกษาล่าสุดที่เข้าร่วมโครงการ Academic Partner Program ของสถาบันอบรมฟอร์ติเน็ต (Fortinet Training Institute) ซึ่งเป็นสถาบันที่มุ่งมั่นทำงานร่วมกับสถาบันการศึกษาทั่วโลกในการสร้างแพลทฟอร์มแห่งการเรียนรู้เพื่อลดช่องว่างด้านความมั่นคงปลอดภัยทางไซเบอร์  ในฐานะพันธมิตรทางวิชาการที่ได้รับอนุญาตแล้วนี้ มหาวิทยาลัยศรีปทุมจะเสนอหลักสูตรการฝึกอบรม Network Security Expert (NSE) ที่ได้รับรางวัลจากหลายสถาบันทั่วโลกของฟอร์ติเน็ตและหลักสูตรสำหรับประกาศนียบัตร สอนที่วิทยาลัยนานาชาติและคณะเทคโนโลยีสารสนเทศ โดยคาดว่าจะมีนักศึกษาประมาณ 150 คนได้รับประโยชน์จากการศึกษาในหลักสูตรเหล่านี้ในการอบรมครั้งแรก และมีสิทธิ์จะเข้าเรียนต่อในระดับ NSE 4 พร้อมมีโอกาสในการได้รับการฝึกอบรมเพิ่มเติมอีกต่อไป

ทั้งนี้ อาจารย์ผู้สอนจะได้ใบประกาศการรับรองจากฟอร์ติเน็ต และจะเปิดหลักสูตรการฝึกอบรมวิชาต่าง ๆ และหลักสูตรที่เปิดเพื่อสอบรับประกาศนียบัตรในรูปแบบผสมผสานทั้งที่เป็นหลักสูตรที่เรียนรู้ด้วยตนเองและนำโดยผู้สอนในชั้นเรียนและห้องปฏิบัติการ รวมทั้งมีการฝึกหัดและลงมือปฏิบัติเพื่อให้ได้รับประสบการณ์จริง โดยคาดว่าหลักสูตรที่มีเนื้อหาเข้มข้นและเป็นเชิงลึกเหล่านี้จะช่วยผลิตบัณฑิตที่มีคุณสมบัติสูงพร้อมกับทักษะด้านการจัดการกับความปลอดภัยไซเบอร์ เพื่อช่วยปกป้องเครือข่ายที่ตนเองดูแลจากภัยคุกคามที่มาจากทางไซเบอร์ทั่วโลกและเสริมสร้างโลกดิจิทัลของประเทศไทยให้ปลอดภัย

ภัคธภา ฉัตรโกเมศ ผู้จัดการประจำประเทศไทย ฟอร์ติเน็ต กล่าวว่า “จากรายงานการวิจัยทั่วโลก Fortinet 2022 Cybersecurity Skills Gap แสดงให้เห็นว่า 91% ขององค์กรในประเทศไทยที่ตอบแบบสอบถามนั้นได้ยอมรับว่าตนเองประสบปัญหาในการรักษาพนักงานที่มีความเชี่ยวชาญด้านความปลอดภัยไว้ และ 87% ระบุว่าขาดแคลนผู้เชี่ยวชาญในงานด้านการรักษาความปลอดภัย โดยเฉพาะอย่างยิ่งสำหรับสิ่งแวดล้อมแบบคลาวด์และในการปฏิบัติงานด้านความปลอดภัยไซเบอร์ต่าง ๆ ทั้งนี้ ฟอร์ติเน็ตมีความมุ่งมั่นที่จะช่วยลดช่องว่างเหล่านี้ และเห็นว่าความร่วมมือมหาวิทยาลัยศรีปทุมในครั้งนี้เป็นก้าวที่สำคัญ ในการขยายโอกาสที่จะรับความรู้ใหม่ ๆ และพัฒนาความเป็นมืออาชีพให้แก่ผู้ที่มีความสนใจในการรักษาความปลอดภัยไซเบอร์ และช่วยให้ประเทศไทยมีสถาปัตยกรรมทางดิจิทัลที่ปลอดภัย”

ในส่วนของ ดร.รัชนีพร พุคยาภรณ์ พุกกะมาน อธิการบดี มหาวิทยาลัยศรีปทุมกล่าวว่า “มหาวิทยาลัยศรีปทุมเป็นมหาวิทยาลัยชั้นนำสำหรับคนรุ่นใหม่ของประเทศไทย เรามุ่งมั่นที่จะมอบความรู้ด้านเทคโนโลยีที่ใช้ปฏิบัติจริงล่าสุดที่ธุรกิจสมัยใหม่ต้องการให้กับนักศึกษาของเรา ทั้งนี้  ความร่วมมือกับผู้นำระดับโลกด้านการรักษาความปลอดภัยไซเบอร์ครั้งนี้จะช่วยให้นักศึกษาของเราเข้าถึงการฝึกอบรมความปลอดภัยทางไซเบอร์ในระดับสูง สร้างผู้เชี่ยวชาญด้านไอทีที่มีทักษะสูงและเพิ่มโอกาสในการทำงานในระยะยาว จากหลักสูตรการฝึกอบรมด้านเทคนิคที่ได้รับรางวัลของฟอร์ติเน็ต นักเรียนของเราจะได้รับประกาศนียบัตรซึ่งเป็นการรับรองของอุตสาหกรรมในระดับโลกอันมีค่า ยิ่งไปกว่านั้น เรารู้สึกยินดีเป็นอย่างยิ่งที่ได้ตอกย้ำความมุ่งมั่นของเราต่ออนาคตของการเปลี่ยนแปลงทางดิจิทัลของประเทศไทย”

การแต่งตั้งพันธมิตรทางวิชาการครั้งนี้เกิดขึ้นจากความพยายามของฟอร์ติเน็ตในการแก้ไขปัญหาช่องว่างทักษะทางไซเบอร์ผ่านการฝึกอบรมและการศึกษาโดยสถาบันฝึกอบรมของฟอร์ติเน็ตและโครงการพันธมิตรทางวิชาการ ในขณะนี้ พันธมิตรทางวิชาการที่ได้รับอนุญาตแล้วมีมากกว่า 500 แห่งทั่วโลกในกว่า 96 ประเทศ สถาบันฝึกอบรมของฟอร์ติเน็ตยังคงทำงานร่วมกับสถาบันการศึกษาทั่วโลกเพื่อช่วยพัฒนาผู้เชี่ยวชาญในโลกไซเบอร์แห่งอนาคต สถาบันทั่วโลกที่เข้าร่วมโครงการ Academic Partner Program  ทั้งนี้  ฟอร์ติเน็ตได้มอบประกาศนียบัตร NSE ไปแล้วถึง 1 ล้านใบ อันเป็นแนวทางที่ช่วยปิดช่องว่างของทักษะทางไซเบอร์ทั่วโลก นอกเหนือจากการบรรลุถึงวัตถุประสงค์ครั้งสำคัญนี้แล้ว ฟอร์ติเน็ตยังคงเดินหน้าสร้างความแข็งแกร่งของหลักสูตรการฝึกอบรมและหลักสูตรประกาศนียบัตรทั่วโลกต่อไป ด้วยการเพิ่มหลักสูตรใหม่ ๆ ในด้านความปลอดภัยทางไซเบอร์ที่จำเป็นต่อสถานการณ์ภัยคุกคามในกรณีต่าง ๆ จับมือกับพันธมิตรด้านการฝึกอบรมรายใหม่ รวมถึงเปิดโอกาสให้กลุ่มที่มีศักยภาพแต่ขาดโอกาสได้สามารถเข้าถึงการฝึกอบรมและความรู้ทางไซเบอร์ให้มากขึ้นอีกด้วย

from:https://www.techtalkthai.com/fortinet-x-sripathum-to-reduce-the-skill-gap/

สรุปเทรนด์ Cybersecurity ปี 2022 – ผู้บริหาร Cyber Elite ชี้ Cyber Risk Management จะมาแรงในปีหน้า

หลังจาก พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เริ่มบังคับใช้อย่างเป็นทางการ หน่วยงานกำกับดูแลที่เกี่ยวข้องต่างเริ่มผลักดันการรักษาความมั่นคงปลอดภัยไซเบอร์มากขึ้น เพื่อให้องค์กรธุรกิจในไทยพร้อมรับมือกับภัยคุกคามไซเบอร์ในยุค Digital Transformation บทความนี้ทีมงาน TechTalkThai ได้มีโอกาสสัมภาษณ์ ดร. ศุภกร กังพิศดาร กรรมการผู้จัดการ Cyber Elite เกี่ยวกับเทรนด์ด้าน Cybersecurity ในปี 2022 และสิ่งที่จะเกิดขึ้นในปีถัดไป พร้อมคำแนะนำสำหรับองค์กรธุรกิจ

การโจมตีไซเบอร์ยังคงมากขึ้นอย่างต่อเนื่อง แต่หลายองค์กรธุรกิจเริ่มตระหนักแล้ว

ดร. ศุภกร กล่าวว่า ตลอดปี 2022 ที่ผ่านมา การโจมตีไซเบอร์ยังคงเพิ่มขึ้นอย่างต่อเนื่อง มีลูกค้าที่เป็นองค์กรธุรกิจไทยนับ 10 รายที่เข้ามาขอให้ทาง Cyber Elite ช่วยรับมือและจัดการกับปัญหาที่เกิดขึ้นอย่างเร่งด่วน ไม่ว่าจะเป็น Malware, Ransomware, Fraud, Phishing โดยเฉพาะอย่างยิ่ง Business Email Compromise (BEC) ที่พบมากเป็นพิเศษในหลากหลายธุรกิจ นอกจากนี้ Cyber Elite ยังค้นพบอีกว่า อาชญากรไซเบอร์เริ่มพุ่งเป้าโจมตีเหล่าผู้บริหารระดับสูงมากขึ้น โดยใช้การโจมตีแบบ Spear Phishing หรือการโจมตีช่องโหว่ของอุปกรณ์ต่างๆ

เพื่อรับมือกับภัยคุกคามไซเบอร์เหล่านี้ การเปลี่ยนแปลงที่เห็นได้ชัดในวงการ Cybersecurity ไทย คือ หน่วยงานกำกับดูแลต่างๆ เริ่มผลักดันด้าน Cybersecurity มากขึ้น ส่งผลให้องค์กรธุรกิจไทย โดยเฉพาะองค์กรภายใต้การกำกับดูแลและ CII เริ่มมีความตระหนักด้าน Cybersecurity มากขึ้นตาม และเริ่มมีการพัฒนา Cybersecurity Baseline ขึ้นมาเป็นแนวทางขั้นต่ำในการรักษาความมั่นคงปลอดภัยขององค์กร รวมถึงมีการนำ NIST Cybersecurity Framework และแนวคิด Secure SDLC และ Secure by Design มาใช้มากขึ้น อย่างไรก็ตาม สิ่งที่หลายองค์กรยังคงขาดอยู่ คือ การทำ Cyber Risk Management อย่างมีประสิทธิภาพ

Cyber Risk Management จะเป็นเทรนด์ใหม่ในปี 2023

สำหรับองค์กรธุรกิจในไทยที่ต่างเริ่มมีความตระหนักด้าน Cybersecurity กันแล้ว ขั้นตอนถัดไปคือการทำ Cyber Risk Management ให้มีประสิทธิภาพ เพื่อยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรไปอีกมิติหนึ่ง ซึ่ง Cyber Elite คาดการณ์ว่าจะเป็นเทรนด์ที่มาแรงที่สุดในปี 2023

“จากการพูดคุยกับหลากหลายองค์กรธุรกิจ เราพบว่าผู้บริหารอยากเห็นแบบเรียลไทม์เลยว่า สถานะด้านไซเบอร์ขององค์กรเป็นอย่างไร ตรงไหนมีความเสี่ยง และเป็นความเสี่ยงแบบสีแดง สีเหลือง หรือสีเขียว แสดงเป็นหน้าแดชบอร์ดแบบเข้าใจง่ายๆ ” — ดร. ศุภกร กล่าว

นอกจากนี้ สิ่งที่เราจะได้เห็นมากขึ้นในปี 2023 คือ การพัฒนาด้าน Cloud Security ขององค์กร ซึ่งเป็นผลพวงจากการทำ Cloud Transformation ในช่วง COVID-19 รวมถึงการวางโมเดล Zero Trust Security ที่จะเป็นรูปเป็นร่างมากขึ้น และการขยายขอบเขตการรักษาความมั่นคงปลอดภัยไปสู่ Vendor/Supplier ไม่ให้ถูกใช้เป็นช่องทางให้อาชญากรไซเบอร์โจมตีเข้ามาในองค์กร หรือที่เรียกว่า Supply Chain Attacks

การยกระดับ Cybersecurity ขององค์กรต้องอาศัยความร่วมมือจากทุกภาคส่วน โดยเฉพาะเหล่าผู้บริหาร

สำหรับความท้าทายด้าน Cybersecurity ขององค์กรธุรกิจในปัจจุบัน ดร. ศุภกร ระบุว่า แม้หลายองค์กรจะมีความตระหนักแล้ว แต่ส่วนใหญ่ยังไม่รู้ว่าควรจะเริ่มต้นการวางมาตรการด้าน Cybersecurity อย่างไร และควรทำถึงจุดไหน ที่สำคัญคือยังขาด Cybersecurity Program ซึ่งเป็นกิจกรรมด้าน Cybersecurity ที่ควรกระทำตลอดทั้งปี เพื่อยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ให้ขององค์กรให้ดีขึ้นอย่างต่อเนื่อง นอกจากนี้ การกำกับดูแลที่ดี ต้องระลึกไว้เสมอว่าผู้ดำเนินการกับผู้ตรวจทาน ต้องไม่เป็นบุคคลเดียวกัน เพื่อไม่ให้เกิดเรื่องผลประโยชน์ทับซ้อน และควรสอบทานด้านความมั่นคงปลอดภัยสม่ำเสมอ

“องค์กรควรจะสำรวจตัวเองบ่อยๆ จะได้เกิดความตระหนักรู้ โดยเริ่มจากการค้นหาสินทรัพย์ขององค์กรก่อนว่า เราจะต้องปกป้องอะไร แล้วเอาแนวทางปฏิบัติของกฎหมาย เช่น พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาเป็น Baseline ในการวางมาตรการด้าน Cybersecurity นอกจากนี้ ควรทำ Cybersecurity Maturity Assessment อย่างน้อยปีล่ะครั้ง เพื่อให้ทราบว่าขณะนี้เราอยู่จุดไหน และจุดหมายด้าน Cybersecurity ที่เราจะไปเป็นอย่างไร” — ดร. ศุภกร ให้คำแนะนำแก่องค์กรในการดำเนินการด้าน Cybersecurity

เพื่อจัดการความท้าทายเหล่านี้ ดร. ศุภกร มองว่าหน่วยงานกำกับดูแล เช่น สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) หรือสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ควรเข้ามามีส่วนร่วมในการสนับสนุนและสร้างแรงจูงใจให้กับองค์กร เช่น การจัดโครงการบางอย่างขึ้นมาแล้วให้องค์กรเข้าร่วม ถ้าองค์กรใดดำเนินการด้าน Cybersecurity/Privacy ผ่านเกณฑ์ก็จะได้รับรางวัลหรือสิทธิพิเศษบางอย่าง หรืออีกวิธีที่น่าสนใจ คือ คัดเลือกองค์กรที่มีศักยภาพขึ้นมา แล้วผลักดันให้เป็นผู้นำด้าน Cybersecurity เมื่อองค์กรนั้นๆ ประสบความสำเร็จ องค์กรคู่แข่งก็จะเร่งดำเนินการตามๆ กันมาเพื่อไม่ให้สูญเสียความสามารถในการแข่งขัน

“Cybersecurity เป็นเรื่องของทุกคนในองค์กร โดยเฉพาะระดับผู้บริหาร Cyber Elite พยายามที่จะสร้างคอนเน็กชันระหว่างเหล่าผู้บริหารให้มาแชร์ประสบการณ์ระหว่างกัน พัฒนาทัศนคติ และปรับกรอบความคิดด้าน Cybersecurity ให้ทันสมัยอยู่เสมอ เพื่อให้เกิดการดำเนินการจากบนลงล่าง นโยบายจากผู้บริหารสู่ผู้ปฏิบัติงาน ซึ่งจะทำให้การดำเนินการด้าน Cybersecurity มีประสิทธิภาพเป็นอย่างมาก” — ดร. ศุภกร กล่าวถึงบทบาทของ Cyber Elite ในการผลักดันด้าน Cybersecurity

Cyber Elite พร้อมนำทางด้าน Cybersecurity และก้าวเดินไปพร้อมกับทุกองค์กรธุรกิจ

เมื่อโลกเข้าสู่ยุคดิจิทัล เครื่องมือและกระบวนการด้าน Cybersecurity เริ่มเข้ามามีบทบาทสำคัญ เพื่อให้มั่นใจว่าระบบงานและบริการออนไลน์ขององค์กรพร้อมใช้งานได้ตลอดเวลา Cyber Elite ภายใต้กลุ่มเบญจจินดาจึงถูกก่อตั้งขึ้นเพื่อให้บริการด้าน Cybersecurity แบบ End-to-end ครอบคลุมทั้งการ Consult, Build และ Operate ครบวงจร เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรเป็นเรื่องง่าย ยกเรื่อง Cybersecurity ทั้งหมดมาให้ Cyber Elite ดูแล ลดภาระของฝ่าย IT และช่วยให้องค์กรสามารถโฟกัสกับการดำเนินธุรกิจที่ตนถนัดได้อย่างเต็มที่

“Cyber Elite ไม่ใช่แค่ผู้ให้บริการโซลูชัน ที่ซื้อมา ขายไป แล้วจบ แต่เราจะเข้าไปนำทางให้แก่ลูกค้า พร้อมร่วมสร้าง Journey ด้าน Cybersecurity ไปด้วยกัน ตั้งแต่การให้คำปรึกษา วิเคราะห์ความต้องการ สิ่งที่ยังขาด วางโครงสร้าง ปรับแต่งระบบและกระบวนให้เข้ากับสภาพแวดล้อมขององค์กร ไปจนถึงการดูแลและเฝ้าระวังในอนาคต เป็นบริการ Managed Security Services แบบครบวงจร ซึ่งปัจจุบันมีเรามีลูกค้าองค์กรธุรกิจที่ไว้วางใจใช้บริการแล้วมากกว่า 50 ราย” — ดร.​ ศุภกร กล่าวถึงบริการจาก Cyber Elite

จากการเป็นบริษัทภายใต้กลุ่มเบญจจินดา ทำให้ Cyber Elite สามารถทำงานร่วมกับบริษัทอื่นๆ ในเครือ เช่น UIH, Cloud HM, Brainergy เพื่อส่งมอบบริการโครงสร้างพื้นฐาน ระบบคลาวด์ โซลูชันดิจิทัล และการรักษาความมั่นคงปลอดภัยให้ลูกค้าได้อย่างบูรณาการ ช่วยให้ลูกค้าสามารถทำ Digital Transformation ได้แบบครบวงจร

มุ่งมั่นสู่การเป็นผู้นำด้าน Cybersecurity Tech ของไทย

Cyber Elite สืบทอดความเชี่ยวชาญและประสบการณ์ด้านความมั่นคงปลอดภัยไซเบอร์จากกลุ่มเบญจจินดามานานกว่า 60 ปี มีทีมผู้เชี่ยวชาญที่ผ่านการอบรมและได้รับใบรับรองระดับสากลมากมาย อาทิ CISSP, CSSLP, CISA, CISM, CDPSE, CDPO, GIAC, GWAPT, ECSA, CEH, CASP+, CySA+ และอื่นๆ นอกจากนี้ ยังมีหน่วยงานวิจัยและพัฒนาผลิตภัณฑ์ด้านไซเบอร์ (Cyber Research & Development) เป็นของตัวเอง โดยทำงานร่วมกับหน่วยงานในกลุ่มเบญจจินดาเพื่อวิจัยและพัฒนาโซลูชันด้าน Cybersecurity สำหรับองค์กรธุรกิจในไทย เช่น

  • Log U: บริการจัดเก็บ Log ตาม พ.ร.บ. คอมพิวเตอร์ฯ พร้อมเทคโนโลยี AI สำหรับค้นหาช่องโหว่ วิเคราะห์พฤติกรรมต้องสงสัย และตรวจสอบการละเมิดข้อกำหนดของ ISO 27001
  • Threat Intelligence Platform: บริการ Threat Intelligence ที่รวบรวมข้อมูลภัยคุกคามไซเบอร์จากหลากหลาย Threat Feeds รวมถึงจากลูกค้าที่ Cyber Elite ดูแล เพื่อนำมาสร้างเป็นฐานข้อมูลภัยคุกคามอัจฉริยะสำหรับองค์กรธุรกิจไทยโดยเฉพาะ สามารถทำงานร่วมกับบริการอื่นๆ ของ Cyber Elite ได้อย่างไร้รอยต่อ
  • Cyber Risk Management Platform: แพลตฟอร์มการบริหารจัดการความเสี่ยงด้านไซเบอร์โดยยึดตาม NIST Risk Management Framework ช่วยให้ผู้บริหารทราบถึงสถานะด้านไซเบอร์ขององค์กรและความเสี่ยงต่างๆ ณ ปัจจุบันได้แบบเรียลไทม์

** Log U พร้อมให้บริการแก่องค์กรธุรกิจไทยแล้ว ส่วน Threat Intelligence Platform จะเริ่มให้บริการในปี 2023 ที่จะถึงนี้

“ปัจจุบันในไทยมีเทคโนโลยีอุบัติใหม่มากมาย ทั้ง FinTech, MarTech หรือ HRTech แต่ยังไม่มีเทคโนโลยีด้าน Cybersecurity ที่เป็นรูปแบบร่าง Cyber Elite ต้องการมีบทบาทหลักในการขับเคลื่อนอุตสาหกรรม Cybersecurity Tech ระดับประเทศ จึงได้ก่อตั้งหน่วยงาน Cyber R&D ขึ้น เพื่อตอบโจทย์ความต้องการของธุรกิจไทย และสามารถกระจายบริการไปสู่ประเทศเพื่อนบ้านอย่างอาเซียนได้ โดยเราตั้งเป้าเป็นอันดับหนึ่งของ Cybersecurity Tech ในไทยภายใน 5 ปี และเป็นหนึ่งในผู้นำของภูมิภาคภายใน 10 ปี” — ดร. ศุภกร กล่าวปิดท้าย

ร่วมสร้างเส้นทางด้าน Cybersecurity และก้าวเดินไปพร้อมกับ Cyber Elite ติดต่อ

Email: mkt@cyberelite.co
LINE: @cyberelite
Tel: 094-480-4838
Website: https://www.cyberelite.co
LinkedIn: https://bit.ly/36M3T7J
Youtube: https://bit.ly/3sCqOen
Podcast: Cyber Elite รอบรู้ รู้ทันในโลกไซเบอร์ผ่าน Spotify, Google Podcast, Castbox, Soundcloud, Anchor Podcast

from:https://www.techtalkthai.com/2022-cybersecurity-trends-by-cyber-elite/

Aruba Networks ออกแพทช์ 13 ช่องโหว่สำหรับ EdgeConnect

เวอร์ชันแพทช์ของซอฟต์แวร์ประกอบด้วย ECOS 9.2.2.0, 9.1.4.0, 9.0.8.0 และ ECOS 8.3.8.0 ขึ้นไป

Aruba Networks ได้ออกประกาศคำแนะนำตัวกันชนสำหรับผลิตภัณฑ์ EdgeConnect Enterprise ซึ่งรวมถึงช่องโหว่ที่สามารถใช้ประโยชน์ได้สำหรับ Remote Code Execution (RCE) และอื่นๆ
 
ใน 13 ช่องโหว่ มีอยู่ 8 รายการได้รับการจัดอันดับความรุนแรงระดับ “สูง”
  • CVE-2022-37919 – เป็นช่องโหว่ที่ผ่านการใช้งาน API
  • จำนวน 7 รายการ : CVE-2022-37920, CVE-2022-37921, CVE-2022-37922, CVE-2022-37923, CVE-2022-37924, CVE-2022-43541 และ CVE-2022-43542 – เป็นช่องโหว่ Command-Line Interface เปิดโอกาสให้คนร้ายที่ล็อกอินเข้ามาแล้วสามารถรันคำสั่งใดๆ ได้ผ่าน Command Line ซึ่งนำไปสู่การแฮ็กหรือแทรกแซงระบบต่อไป
ความรุนแรงระดับ “ปานกลาง” อีก 4 รายการ
  • CVE-2022-44533, CVE-2022-37925 และ CVE-2022-37926 เป็นช่องโหว่ภายใน web-based management interface ของ Aruba EdgeConnect Enterprise ที่อาจทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบสิทธิ์และล็อกอินเข้าใช้งาน web management ได้
  • CVE-2022-43518 เป็นช่องโหว่ Path traversal
ช่องโหว่เหล่านี้ถูกค้นพบโดย Bill Marquette, Daniel Jensen และ Erik De Jong ซึ่งรายงานผ่าน Bug Bounty Program ของ Aruba Networks
 

from:https://www.techtalkthai.com/aruba-networks-releases-13-patches-for-edgeconnect-vulnerabilities/

Google จัดทำ YARA Rule ตรวจจับการถูกโจมตีด้วย Cobalt Strike

ทีมงาน Google Cloud Threat Intelligence ได้เปิดโอเพ่นซอร์ส YARA Rule ที่สามารถตรวจจับการใช้งาน Cobalt Strike ซึ่งเป็นอีกหนึ่งเครื่องมือที่ได้รับความนิยมในหมู่แฮ็กเกอร์ นอกจากนี้ยังมีข้อมูล IoC ใน VirusTotal ด้วย

Cobalt Strike คือเครื่องมือสำหรับการทดสอบเจาะระบบซึ่งพัฒนาขึ้นตั้งแต่ปี 2012 แต่บริษัทผู้พัฒนาก็ได้พยายามคัดกรองผู้ใช้โดยซอฟต์แวร์เป็นแบบเพื่อการค้าเท่านั้น อย่างไรก็ดีในกลุ่มแฮ็กเกอร์มักจะมีการเผยแพร่เวอร์ชันที่ถูกแคร็กมาได้ ซึ่งความแตกต่างคือเวอร์ชันมักจะตามหลังของถูกกฏหมาย ด้วยเหตุนี้เองการรู้ถึงเวอร์ชันของซอฟต์แวร์จึงมีความหมายสำคัญที่พอจะแยกแยะได้ว่าการใช้งานนั้นเป็นการโจมตีหรือไม่ 

และด้วยความสำคัญดังกล่าวทีมงาน Googleได้รวบรวมข้อมูลมาประมวลเป็น YARA Rule เปิดเป็นโอเพ่นซอร์สให้ฝ่ายป้องกันสามารถที่จะตรวจจับการทำงานของ Cobalt Strike ได้ดีขึ้นพร้อมเพิ่มฐานความรู้นี้ให้กับ VirusTotal อีกด้วย

ที่มา : https://www.bleepingcomputer.com/news/security/google-releases-165-yara-rules-to-detect-cobalt-strike-attacks/

from:https://www.techtalkthai.com/google-open-sources-its-yara-rule-for-cobalt-strike-detection/

Palo Alto Networks เปิดตัว PAN-OS 11.0 ‘Nova”

Palo Alto Networks ได้ประกาศเปิดตัวระบบปฏิบัติการุร่นใหม่ล่าสุดของตนในเวอร์ชัน 11.0 โดยมีโค้ดว่า Nova ซึ่งมีการอัปเกรตหลายประการ

Palo Alto Networks ชี้ว่าภัยคุกคามสมัยใหม่มี 2 ปัจจัยที่น่าสนใจคือ 1.) ความง่ายในการโจมตีเช่น บริการ as a Service หรือใช้เครื่องมือปกติในท้องตลาดช่วยอย่าง Metaspliot, Cobalt Strike และ Silver 2.) คือปริมาณเพิ่มขึ้นเห็นได้จากจำนวนของช่องโหว่ Zero-day ที่เพิ่มขึ้นกว่า 100% ต่อปี อีกทั้งมัลแวร์เองยังมีเทคนิดในการหลบเลี่ยงขั้นสูงเพื่อตรวจสอบสภาพแวดล้อมและสร้างกิจกรรมในหน่วยความจำเท่านั้น ด้วยเหตุนี้เองฝ่ายรับมือจึงต้องมีหนทางใหม่ในการรับมือกับความยากซับซ้อนและปริมาณการโจมตีที่เพิ่มขึ้น

PAN-OS 10.2 ‘Nebula’ คือสิ่งที่ Palo Alto Networks ได้ออกแบบมาให้รองรับกับแนวโน้มของภัยคุกคามใหม่ได้อย่างเท่าทัน โดยมีความโดดเด่นดังนี้

1.) Zero-days 

  • Advanced Wildfire – บริการ Cloud Sandbox ได้มีการใช้เทคนิคเฉพาะมากมายร่วมกันตรวจจับวิเคราะห์พฤติกรรมในหน่วยความจำ โดยเพิ่มประสิทธิภาพการตรวจจับการหลบหลีกของมัลแวร์ได้ถึง 26% เทียบกับวิธีการเดิม นอกจากนี้ด้วยการขยายบริการบนคลาวด์ขึ้นมากกว่า 10 แห่งทั่วโลกทำให้สามารถรับการวิเคราะห์ข้อมูลลูกค้ากว่า 85,000 รายหรือราว 80 ล้านไฟล์ต่อวัน
  • Advance Threat Prevention – เป็นบริการตรวจจับผ่านคลาวด์ที่สามารถหยุดยั้ง Zero-day Injection ได้ถึง 60% เทียบกับ IPS เดิม โดยต่อยอดมากจากความสามารถ inline deep learning ที่เข้ามาตอน PAN-OS 10.2 ที่ทำให้เรียนรู้พฤติกรรมของการใช้งานและทราบถึงการโจมตีได้ในระดับเรียลไทม์

2.) Simplified ans Consistent 

เพื่อให้ตอบโจทย์อย่างครอบคลุม Palo Alto ได้ผสานพลังของ Web Proxy เข้ามาใน Next-gen Firewall ให้แพลตฟอร์มเดียวกันนี้ทำงานได้มากขึ้นไม่ว่าจะเป็นการปกป้องระดับแคมปัสหรือสาขา  อีกหนึ่งความสามารถหลังการผสาน NGFW และ SASE คือได้เรื่องของ CASB และ SaaS Security Posture Management เข้ามาด้วย โดยสามารถตรวจสอบการตั้งค่าผิดพลาดของ SaaS ได้มากกว่า 60 รายการ 

3.) Cyber Posture

AIOps for NGFW ถูกประกาศออกมาเมื่อช่วงต้นปีที่ผ่านมาโดยวัตถุประสงค์คือพยายามลดการตั้งค่าผิดพลาด ทั้งนี้แต่ละเดือนมีข้อมูลหลั่งไหลมาจาก Firewall กว่า 50,000 ตัวซึ่งมีข้อผิดพลาดที่พบกว่า 24,000 รายการ ซึ่ง AIOps ใน Nova จะเก่งมากขึ้นกว่าเดิมโดยสามารถช่วยดูแลการละเมิดข้อปฏิบัติพื้นฐานที่แนะนำได้ (Best Practice) และยังทำการฟื้นฟูแก้ไข policy ที่ไม่ดีพอได้ก่อนการเปลี่ยนแปลง

ที่มา :  https://www.paloaltonetworks.com/blog/2022/11/stop-zero-day-malware-with-nova/

from:https://www.techtalkthai.com/palo-alto-networks-lauches-pan-os-11-0-nova/