การประเมินทรัพย์สินในระบบเครือข่ายช่วยป้องกันภัยคุกคามได้อย่างไร

การประเมินทรัพย์สินจำพวกอุปกรณ์ ฮาร์ดแวร์ ซอฟต์แวร์ เป็นสิ่งที่ควรจะกระทำให้องค์กรอย่างสม่ำเสมอ ซึ่งบางองค์กรกลับมองข้ามและหลายแห่งยกหน้าที่นี้ให้เป็นของทีม IT อย่างไรก็ตามขั้นตอนเหล่านี้มีผลต่อความมั่นคงปลอดภัยด้านไซเบอร์ด้วย วันนี้เราจึงหยิบยกบทความที่กล่าวถึงเหตุผลว่าทำไมการประเมินทรัพย์สินในองค์กรจึงถือเป็นความรับผิดชอบของทีมงานด้านความมั่นคงปลอดภัยไซเบอร์ด้วยเช่นกัน เหมือนที่ซุนวูกล่าวไว้ว่า “รู้เขารู้เรารบร้อยครั้งย่อมชนะร้อยครั้ง“

Credit: dotshock/ShutterStock

การไม่รู้ย่อมผิด

• คุณจะไม่สามารถมองความเสี่ยงขององค์กรในภาพรวมได้หากคุณไม่รู้ว่าคุณว่าคุณมีทรัพย์สินอะไรบ้าง แน่นอนว่าเราไม่สามารถประเมินความเสี่ยงได้ตามความเป็นจริงหากไม่รู้ว่ามีระบบไอทีหรือระบบข้อมูลใดถูกใช้งานอยู่บ้าง
• คุณจะไม่สามารถทราบได้เลยหากระบบของคุณถูกแก้ไขหรือเปลี่ยนแปลงอย่างไม่ถูกต้องหากไม่เคยทราบว่าระบบปกติทำงานอย่างไร แต่ละขั้นตอนมีส่วนไหนทำงานเกี่ยวข้องกันบ้าง ยกตัวอย่างเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้นบ่อยครั้งที่ฝ่ายตั้งรับมักจะไม่ทราบว่าตรงไหนคือส่วนสำคัญของตนที่ต้องปกป้องให้ดีหรือแม้กระทั่งว่าไม่รู้ว่ามีระบบส่วนนั้นอยู่ด้วยจนกระทั่งถูกโจมตี
• ขาดการตื่นตัวเกี่ยวกับระบบตัวเอง โดยที่ข้อมูลขององค์กรอาจจะไม่เป็นไปตามกฏหมายต่างๆ ยกตัวอย่าง เช่น หนึ่งในกฏหมาย GDPR ระบุให้พลเมืองอียูมีสิทธิ์ที่จะเข้าถึงข้อมูลของตนซึ่งประกอบด้วยสิทธิ์ที่จะทราบว่าข้อมูลของตนถูกเก็บ ประมวลผล หรือควบคุมไว้อย่างไรเป็นต้น โดยหากทีมงานด้านความมั่นคงปลอดภัยไซเบอร์ไม่ทราบว่าระบบไหนใช้เก็บข้อมูลอะไรแน่นอนว่าคงไม่สามารถตอบคำถามผู้ใช้งานหรือเจ้าหน้าที่ตรวจสอบได้

ขั้นตอนเพื่อสร้างรายการทรัพย์สินในองค์กร

1. สื่อสารกับคนในองค์กรให้เห็นถึงความสำคัญของการจัดทำรายการทรัพย์สินให้ล่าสุดเสมอ โดยอาจจะกำหนดเป็นนโยบายด้านความมั่นคงปลอดภัยเพื่อให้ทราบว่าข้อมูลสำคัญถูกเก็บไว้ที่ไหนและมีระบบใดในเครือข่ายเพื่อทำหน้าที่ป้องกันความเสี่ยงที่อาจจะเกิดขึ้นกับลูกค้าและคู่ค้าให้อยู่ในระดับที่สามารถยอมรับได้และไม่มีผลกระทบกับการใช้งาน อีกทั้งกำหนดให้เจ้าของระบบในองค์กรคอยอัปเดตรายการทรัพย์สินของตนให้ทันสมัย นอกจากนี้เจ้าของระบบควรจะทราบในแต่ละส่วนว่ามีความสำคัญอย่างไรและใช้ข้อมูลอะไร
2. มีการติดตามการใช้ข้อมูลอย่างเข้มงวด เช่น ใช้เครื่องมือพวก DLP เป็นต้น เนื่องจากการติดตามทรัพย์สินในเทคโนโลยีปัจจุบันนั้นเป็นไปได้ยากเพราะมีทรัพยากรมากมาย เช่น Cloud หรือ Virtualization ถูกรวมเข้ามาด้วย มีคำกล่าวอันโด่งดังจากผู้มีวิสัยทัศน์อย่าง Kevin Kelly กล่าวว่า “ระบบอินเตอร์เน็ตคือเครื่องจักรที่ทำหน้าที่เพื่อการคัดลอกข้อมูล” อย่างไรก็ตามมันก็ยังไม่เพียงพอ เราจึงควรเพิ่มกระบวนการทำงานด้วยตนเองประกอบด้วยการเก็บข้อมูลจากเจ้าของข้อมูล ตรวจสอบเอกสารที่เกี่ยวข้องกับระบบ หรือทดสอบการตั้งค่าของระบบ
3. ตรวจสอบการตั้งค่าในระบบที่เป็นกุญแจสำคัญขององค์กรถึงสถานที่เก็บข้อมูลและกระบวนการรับส่งข้อมูล เช่น ระบบอย่าง Domain Controller, เซิร์ฟเวอร์ที่ใช้พิสูจน์ตัวตน, เซิร์ฟเวอร์อีเมล, ระบบสำหรับประมวลผลการเงิน, เซิร์ฟเวอร์ที่เก็บข้อมูลเกี่ยวกับการซื้อขาย, เซิร์ฟเวอร์ที่ใช้แชร์ไฟล์ และส่วนอื่นๆ ที่สามารถเชื่อมต่อกับอินเทอร์เน็ตได้หรือติดต่อกับ Third-party
4. การจ้างผู้ตรวจสอบด้านความมั่นคงปลอดภัยจากภายนอกที่มีความเชี่ยวชาญมาตรวจสอบหลังจากเราตรวจด้วยตัวเองไปแล้วซึ่งอาจจะพบจุดอ่อนที่เรามองข้ามไปได้

ที่มา : https://f5.com/labs/articles/cisotociso/trends/to-protect-your-network-you-must-first-know-your-network และ https://www.helpnetsecurity.com/2017/12/01/strong-security-starts/

from:https://www.techtalkthai.com/know-yourself-before-defense-your-enemy/

ข้อแนะนำเพื่อใช้งานคอมพิวเตอร์หรือมือถืออย่างมั่นคงปลอดภัย

หากเราเคยได้ยินเรื่องของ Wannacry Ransomware หรือ การแฮ็กบัญชีใช้งานต่างๆ รวมถึงการใช้งานเว็บไซต์ปลอม สำหรับเราแล้วในวงการไอทีอาจจะคุ้นเคยกันดีและพอตระหนักรู้ถึงภัยอยู่บ้าง แต่หากเราต้องการแนะนำให้คนรอบตัวใช้งานมือถือหรือคอมพิวเตอร์ได้อย่างมั่นคงปลอดภัย หัวข้อนี้เราจึงได้เลือกสรุปข้อแนะนำจาก Cloudflare มาให้ผู้อ่านได้ติดตามกัน

 

Credit: ShutterStock.com

การป้องกันภัยคุกคามเบื้องต้น

ปีที่ผ่านมามี Ransomware ระบาดหนักมากและหลายแห่งยังคาดว่าปีหน้าก็จะยังพบภัยคุกคามรูปแบบนี้ต่อไป ดังนั้นสิ่งที่จะแนะนำเบื้องต้นผู้ใช้ควรทำดังนี้

• ใช้ Anti-virus ที่มีฐานข้อมูลตรวจจับ Ransomware ได้
•  อย่าใช้ซอฟต์แวร์ที่ไม่มีแพตซ์ด้านความมั่นคงปลอดภัยหรือล้าหลังไปแล้ว อย่างเช่น Windows XP ซึ่งไม่มีการออกแพตซ์อัปเดตด้านความมั่นคงปลอดภัยแล้ว
• ทำการสำรองข้อมูลไฟล์ที่สำคัญไว้อย่างสม่ำเสมอ
• อัปเดตแพตซ์ใหม่ล่าสุดให้กับซอฟต์แวร์ที่ใช้งาน

การบริการจัดการรหัสผ่าน

• อย่าใช้รหัสผ่านเดียวกันกับทุกเว็บไซต์
• โปรแกรมจัดการรหัสผ่านอย่าง LastPass หรือ 1Password ซึ่งใช้หลักการว่ามันจะสุ่มสร้างรหัสผ่านสำหรับแต่ละไซต์และบริหารจัดการรหัสเหล่านั้นในกระเป๋าที่ถูกเข้ารหัสไว้โดยรหัสผ่านหลักอีกทีหนึ่ง เช่น หากเราตั้งรหัสว่า ‘password’ มันอาจจะกลายเป็น ‘p4$$w0rd’ หรือใช้รหัสผ่านยาวๆ ‘At Christmas my dog stole 2 pairs of Doc Martens shoes!’ อาจะกลายเป็น ‘ACmds2poDMs!’ ซึ่งหากเว็บไซต์ถูกแฮ็กแล้วรหัสเรารั่วไหลออกไปก็ยังปลอดภัยมากกว่ารหัสธรรมดาๆ
• อย่าใช้คำสำคัญหรือข้อมูลส่วนตัวในรหัสผ่าน
• พยายามใช้สัญลักษณ์หรือตัวเลขในรหัสผ่าน

สร้างความมั่นคงปลอดภัยแบบหลายลำดับ

ปกติแล้วในด้านการพิสูจน์ตัวตนสามารถทำได้โดย 3 อย่างคือ สิ่งที่คุณรู้ สิ่งที่คุณเป็น และสิ่งที่คุณมี การใช้รหัสผ่านอยู่ในสิ่งที่คุณรู้ การใช้ Biometric คือยืนยันสิ่งที่คุณเป็น โดยสิ่งที่จะแนะนำเพิ่มนอกจากการใช้รหัสผ่านคือ Two-factor Authentication หรือสิ่งที่คุณมี ซึ่งอาจจะใช้ บริการจาก turnon2fa.com ที่รองรับกับ Social Media ธนาคารหรือเว็บซื้อของต่างๆ

ตรวจสอบที่มาของเว็บไซต์

• สังเกตรูปกุญแจสีเขียวที่ Address Bar ด้านบนหรือ Https:// เว็บไซต์เพราะมันเข้ารหัสช่วยป้องกันการดับจับข้อมูลระหว่างการรับส่ง
• ตรวจสอบว่าชื่อไซต์นั้นถูกหรือไม่ ซึ่งบ่อยครั้งเราจะพบเว็บปลอมถูกตั้งขึ้นมาเพื่อหลอกล่อผู้ใช้งาน
• อย่าเชื่อลิ้งทุกอย่างที่มากับอีเมลแม้ว่าอีเมลนั้นจะมีข้อมูลเกี่ยวกับคุณบ้างต้องเช็คให้แน่ใจก่อนว่าผู้ส่งตั้งใจส่งมาจริง

ที่มา : https://blog.cloudflare.com/cyber-security-advice-for-your-parents/

from:https://www.techtalkthai.com/tip-for-secure-using-computer-and-mobile/

พฤติกรรมที่ขาดความมั่นคงปลอดภัยเป็นเหมือนโรคร้ายต่อองค์กร

ผลสำรวจจาก Preempt ผู้ให้บริการด้านความมั่นคงปลอดภัยและผู้เชี่ยวชาญระบบเครือข่ายที่เข้าไปสำรวจพนักงานระดับบริหารกว่า 200 คนในองค์กรที่มีลูกจ้างมากกว่า 1 พันคน พบว่าลูกจ้างมีสิทธิ์ในการเข้าถึงมากกว่าที่ควรจะเป็น โดยประมาณ 25% มีความพยายามที่จะเข้าถึงข้อมูลมากกว่าสิทธิ์ที่สมควรได้ในที่ทำงานและ 60% ในจำนวนนี้สามารถทำได้สำเร็จ

Credit: bikeriderlondon/ShutterStock

นี่เป็นเรื่องที่น่าตกใจเป็นอย่างยิ่งโดยเฉพาะทีม IT Security ควรจะให้ความสนใจเรื่องการเข้าถึงข้อมูลและทรัพยากรเกินขอบเขตเป็นเรื่องหลัก รายงานยังได้ระบุว่า “ข้อมูลที่ถูกเปิดเผยนั้นสามารถทำให้บริษัทและพนักงานมีความเสี่ยงที่อาจจะทำให้การดำเนินงานของธุรกิจและความน่าเชื่อถือขององค์กรเสียหายได้ ดังนั้นในธุรกิจควรจะประเมินปัจจัยความเสี่ยงจากลูกจ้างที่สามารถเปลี่ยนแปลงได้ตลอดช่วงเวลาการจ้างงาน เช่นกันสำหรับ IT Security ผลสำรวจนี้ชี้ไปถึงว่าทีมควรทำความเข้าใจให้มากขึ้นถึงวิธีการประเมินความเสี่ยงและความน่าเชื่อถือต่อพนักงาน”

สถิติที่น่าสนใจของพฤติกรรมที่มีความมั่นคงปลอดภัยต่ำมีดังนี้

• 1 ใน 3 ของลูกจ้างยอมรับว่าทำผิดกฎหรือทำงานบางอย่างให้เสร็จโดยไม่ได้แก้ปัญหาอย่างถาวรและในจำนวนนี้มากกว่า 10% ปฏิบัติเป็นประจำหรือเป็นครั้งคราว
• 41% ของลูกจ้างใช้รหัสผ่านของที่ทำงานเหมือนกับรหัสผ่านของบัญชีส่วนตัว
• 20% ของลูกจ้างตระหนักถึงรหัสผ่านว่าอาจจะถูกแทรกแทรงได้จากภาวะการรั่วไหลของข้อมูล
• 56% บอกว่าพวกเขาจะเปลี่ยนรหัสผ่านบัญชีที่มีการรั่วไหลเท่านั้น
• มากกว่า 1 ใน 3 จะไม่รู้เรื่องอะไรเลยหากชื่อหรือรหัสผ่านบัญชีรั่วไหนสู่สาธรณะ
• เมื่อถามถึงการให้คะแนนตัวเองถึงเรื่อง IT Security เทียบกับคนอื่นๆ ในองค์กรว่าเป็นอย่างไร พบว่า 41% บอกว่าพวกเขาอยู่ในกลุ่ม 25% แรก อีก 50% ให้คะแนนตัวเองว่าอยู่ในกลุ่ม 25 – 75% มีเพียง 9% เท่านั้นที่ยอมรับว่าตัวเองมีพฤติกรรมต่ำกว่าค่าเฉลี่ย

ผลลัพธ์ที่เกิดขึ้นสะท้อนให้เห็นว่าผู้คนไม่สนใจและไม่มีวิธีการที่จะทราบได้เลยว่าชื่อและรหัสผ่านถูกแทรกแซงแล้วจากเหตุการณ์การข้อมูลรั่วไหล ถ้าลูกจ้างเอาชื่อและรหัสที่รั่วไหลไปใช้ องค์กรก็จะตกอยู่ในความเสี่ยงโดยทันทีจากแฮ็กเกอร์ที่ได้รหัสนี้ไปและรหัสผ่านที่อ่อนแอก็ยังทำให้องค์กรตกอยู่บนความเสี่ยงเช่นเดียวกัน Preemt ยังกล่าวอีกว่า “ผลลัพธ์ที่สำรวจมานั้นแสดงอย่างชัดเจนว่าลูกจ้างไม่เข้าใจพฤติกรรมในที่ทำงานและทำให้องค์กรตัวเองตกอยู่ในความเสี่ยง” นอกจากนี้การที่มีความมั่นใจมากเกินไปอาจนำไปสู่ความเสี่ยงอย่างมหาศาล เมื่อลูกจ้างไม่เข้าใจว่าพฤติกรรมหรือนิสัยนั้นเป็นความเสี่ยงพวกเขาย่อมไม่เปลี่ยนแปลง การสร้างความเข้าใจเกี่ยวกับการระบุตัวตน พฤติกรรม และความเสี่ยง จะช่วยให้ IT สามารถควบคุมและป้องกันภัยคุกคาม เช่น บังคับใช้นโยบาย ทำการเข้าถึงให้มีความมั่นคงปลอดภัย และหาช่องทางที่จะลดความเสี่ยงได้

ที่มา : https://www.infosecurity-magazine.com/news/poor-security-habits-plague-large/

from:https://www.techtalkthai.com/lack-of-security-habit-effect-to-company/