
หนึ่งในคำถามยอดฮิตสำหรับทีม Network Security คือ “เราจะลดความเสี่ยงด้านความมั่นคงปลอดภัยลงได้อย่างไร?” ไม่ว่าจะเป็นธุรกิจ SMB หรือองค์กรขนาดใหญ่ ทุกระบบเครือข่ายต่างมีจุดอ่อนด้วยกันทั้งสิ้น แต่เราจะทราบได้อย่างไรว่าตรงไหนคือจุดอ่อนสำคัญที่ต้องแก้ไขอย่างเร่งด่วนก่อนที่แฮ็กเกอร์จะค้นพบ Keysight Technologies ผู้ขับเคลื่อนการเชื่อมต่อและความมั่นคงปลอดภัยเชิงนวัตกรรมให้แก่ลูกค้า ได้ออกมาแนะนำ 3 กลยุทธ์ในการค้นหาช่องโหว่ ตรวจจับการบุกรุกโจมตี และลดความเสี่ยงด้านความมั่นคงปลอดภัยบนระบบเครือข่าย ดังนี้

1. ลดการบุกรุกโจมตีที่จะเข้ามาในระบบเครือข่ายให้ได้มากที่สุด
กลยุทธ์แรก คือ การป้องกันการบุกรุกโจมตีเข้ามาในระบบเครือข่ายให้มากที่สุดเท่าที่จะทำได้ ด้วยการวางสถาปัตยกรรมด้านความมั่นคงปลอดภัยให้แข็งแกร่ง หรืออธิบายง่ายๆ คือ หาโซลูชันพวก IPS, WAF, TLS Decryption ไปวางขวางด้านหลัง Firewall เพื่อตรวจสอบ Packet ข้อมูลที่วิ่งเข้ามาว่ามีมัลแวร์ แรนซัมแวร์ หรือภัยคุกคามอื่นๆ บุกรุกเข้ามาหรือไม่ เครื่องมือเหล่านี้สามารถช่วยบล็อกภัยคุกคามได้สูงสุดถึง 90% โดยประมาณ ยิ่งเราขจัดภัยคุกคามตรงจุดนี้ออกไปได้มากเท่าไหร่ ยิ่งช่วยลดภาระในการค้นหาและจัดการกับภัยคุกคามที่หลุดรอดเข้ามาได้มากเท่านั้น
หนึ่งในคำแนะนำที่สำคัญ คือ การเพิ่ม Bypass Switch และ Network Packet Broker (NPB) อย่าง Keysight Vision ONE เข้าไปหลัง Firewall แล้วให้เครื่องมือด้านความมั่นคงปลอดภัยต่างๆ เช่น IPS หรือ WAF แยกออกมาอยู่ต่อจาก Bypass Switch และ Keysight Vision ONE แทน โดย Keysight Vision ONE จะทำหน้าที่ถอดรหัส SSL โดยใช้ฟีเจอร์ SecureStack ที่มีในตัวเอง (สำหรับข้อมูลที่ถูกเข้ารหัส) จากนั้นส่งข้อมูล (ที่ถูกถอดรหัสแล้ว) ต่อไปให้เครื่องมือด้านความมั่นคงปลอดภัยอื่นๆ เพื่อวิเคราะห์หาภัยคุกคามต่อ หลังจากที่เครื่องมือเหล่านั้นจัดการกับภัยคุกคามเสร็จเรียบร้อย ก็จะส่งข้อมูล “ที่ดี” กลับมายัง Keysight Vision ONE เพื่อเข้ารหัส SSL ตามเดิม ก่อนที่จะส่งไปยังภายในระบบเครือข่ายต่อไป ในขณะที่ Bypass Switch มีไว้เพื่อกรณีที่ NPB หรือเครื่องมือด้านความมั่นคงปลอดภัยมีปัญหา จะได้บายพาสข้ามเครื่องมือเหล่านั้น แล้วส่งข้อมูลตรงเข้าไปยังภายในระบบเครือข่ายเลย เพื่อไม่ให้การดำเนินธุรกิจหยุดชะงัก หรือจะบล็อกทราฟฟิกทั้งหมดไปเลยก็ได้ถ้าเครือข่ายนั้นๆ เคร่งครัดเรื่องความมั่นคงปลอดภัยเป็นพิเศษ

ข้อดีอีกประการของการมี Bypass Switch และ NPB แยกออกมาต่างหาก คือ ทั้งตัว Bypass Switch, NPB และเครื่องมือด้านความมั่นคงปลอดภัยต่างๆ จะอยู่ภายนอกระบบเครือข่าย เราสามารถเพิ่ม ลด หรือแทนที่เครื่องมือเหล่านั้นได้โดยไม่ต้องกังวลว่าระบบเครือข่ายจะเกิด Downtime ต่างจากการใช้เครื่องมือที่มีความสามารถในการบายพาส แม้จะบายพาสทราฟฟิกเมื่อเครื่องมือมีปัญหาได้ แต่ก็ไม่สามารถนำเครื่องมือออก หรือแทนที่เครื่องมือใหม่โดยไม่เกิด Downtime ได้ ในส่วนของ NPB เอง ก็ทำหน้าที่เป็น Load Balance สำหรับกระจายข้อมูลไปตรวจสอบที่เครื่องมือต่างๆ ได้ ขจัดปัญหา Single Point of Failure ที่สำคัญคือ NPB อย่าง Keysight Vision ONE ที่สามารถถอดรหัส SSL ได้ ยังช่วยลดภาระและเวลาในการถอดรหัสข้อมูลลงได้อีกด้วย เป็นที่ทราบกันดีว่า ถ้าเครื่องมือด้านความมั่นคงปลอดภัยต้องถอดรหัส SSL ด้วย จะกินทรัพยากรเครื่องและเปลืองประสิทธิภาพมากเพียงใด
2. ค้นหาและจัดการกับการบุกรุกโจมตีที่พบบนระบบเครือข่ายให้เร็วที่สุด
กลยุทธ์ที่ 2 คือ การค้นหาการบุกรุกโจมตีบนระบบเครือข่ายและจัดการให้ได้โดยเร็วที่สุด ยิ่งเราสามารถค้นหาต้นตอของปัญหาได้เร็วเท่าไหร่ ระบบเครือข่ายก็ย่ิงได้รับความเสียหายน้อยลงเท่านั้น จากการศึกษาของ Ponemon Institure ในปี 2021 พบว่า ต้องใช้เวลาโดยเฉลี่ยนานถึง 287 วันในการระบุและกักกันเหตุ Data Breach ด้วยเวลานานขนาดนี้ แฮ็กเกอร์สามารถค้นหาสิ่งที่ตัวเองต้องการและขโมยออกไปได้ไม่ยาก
แม้กลยุทธ์แรกจะดีแค่ไหน ก็ไม่สามารถป้องกันภัยคุกคามไม่ให้บุกรุกเข้ามาได้ 100% สิ่งที่เราต้องทำต่อจากนั้นคือการไล่ล่าภัยคุกคามที่หลุดรอดเข้ามาให้เจอ เพื่อให้การไล่ล่าภัยคุกคามมีประสิทธิภาพ การมองเห็นความเคลื่อนไหวทั้งหมดบนระบบเครือข่ายจึงมีความสำคัญ ถ้ามองเห็นได้ไม่ครอบคลุมย่อมทำให้พลาดการตรวจพบบางอย่างได้ นี่คือสาเหตุว่าทำไมจึงต้องวางระบบ Network Tap ณ จุดสำคัญต่างๆ บนระบบเครือข่ายเพื่อรวบรวมและกลั่นกรองข้อมูล เพื่อให้เครื่องมือด้านความมั่นคงปลอดภัย เช่น IDS, DLP, SIEM และอื่นๆ ได้รับข้อมูลที่ถูกต้อง ครบถ้วน ในเวลาที่เหมาะสม ซึ่งจะช่วยให้เครื่องมือเหล่านั้นสามารถตรวจจับสิ่งผิดปกติหรือกิจกรรมที่ต้องสงสัยได้อย่างมีประสิทธิภาพ
หนึ่งข้อควรระวัง คือ NPB ทั่วไปอาจโยน Packet ทิ้งได้ในบางกรณี เนื่องจาก CPU ประมวลผลข้อมูลไม่ทัน ส่งผลให้เราอาจพลาดการตรวจพบภัยคุกคามสูงถึง 60% ทางที่ดี คือ ควรมองหา NPB ที่ใช้ชิป FPGA ซึ่งมีประสิทธิภาพดีกว่าในการประมวลผลแทน อย่างโซลูชัน NPB จาก Keysight ที่ถูกออกแบบมาให้ทรงพลังเพียงพอในการประมวลผลระบบเครือข่ายตั้งแต่ระดับ 10G ไปจนถึง 100G ทำให้มั่นใจว่าเครื่องมือ Threat Hunting และ SIEM จะสามารถรับข้อมูลเพื่อค้นหาภัยคุกคามเชิงรุกได้อย่างครอบคลุม
อ่านรายละเอียดเพิ่มเติมเกี่ยวกับความสำคัญของการมองเห็นความเคลื่อนไหวบนระบบเครือข่ายได้อย่างไร้จุดบอดได้ที่นี่ [PDF]
3. ทดสอบมาตรการป้องกันเป็นประจำ เพื่อให้มั่นใจสามารถตรวจจับและป้องกันภัยคุกคามได้จริง
กลยุทธ์ที่ 3 คือ การทดสอบมาตรการป้องกันเพื่อให้มั่นใจว่ามาตรการต่างๆ สามารถทำงานได้อย่างที่ควรจะเป็น ซึ่งในยุคดิจิทัล ระบบเครือข่ายอาจเปลี่ยนแปลงได้อย่างรวดเร็วเพื่อให้สอดคล้องกับความต้องการเชิงธุรกิจ การทดสอบจึงควรกระทำเป็นประจำ ไม่ว่าจะเป็นเรื่องการใช้งานร่วมกันได้ระหว่างผลิตภัณฑ์เก่าและใหม่ เฟิร์มแวร์ใหม่อัปเดตอย่างถูกต้องหรือไม่ หรือ Rate Limit ที่ทำไว้ยังคงใช้งานได้ดีเมื่ออัปเกรดระบบเครือข่ายสู่ IPv6 เป็นต้น กรณีที่เลวร้ายที่สุด คือ บางคนอาจเปลี่ยนแปลงอะไรบางอย่างบนระบบเครือข่ายแล้วไม่แจ้งให้ทีมรักษาความมั่นคงปลอดภัยทราบ ซึ่งอาจนำไปสู่ช่องโหว่ให้แฮ็กเกอร์เข้ามาโจมตีได้
Breach and Attack Simulation (BAS) เป็นเครื่องมือที่ถูกออกแบบมาเพื่อตอบโจทย์ตรงจุดนี้ โดยสามารถตรวจสอบการทำงานของมาตรการป้องกันผ่านการโจมตีด้วยภัยคุกคามจริงๆ ที่ค้นพบในปัจจุบัน เช่น DDoS แบบต่างๆ , WannaCry, Eternal Blue, Not Petya หรือ Ryuk เป็นต้น นอกจากนี้ BAS ยังช่วยตรวจสอบการอัปเดตแพตช์ด้านความมั่นคงปลอดภัยบนอุปกรณ์ต่างๆ ว่าเป็นไปอย่างถูกต้องหรือไม่ รวมไปถึงช่วยยืนยันว่าการแก้ไขปัญหาต่างๆ ทำงานได้อย่างที่ควรจะเป็น ซึ่งทั้งหมดนี้ จะเป็นการทดสอบเพื่อยืนยันให้แน่ใจว่ามาตรการทุกอย่างทำงานอย่างถูกต้อง โดยไม่ทำอันตรายใดๆ ต่อระบบเครือข่ายหรือข้อมูลภายใน
รายละเอียดเพิ่มเติม
- Keysight Network Visibility: https://www.keysight.com/us/en/solutions/network-visibility.html
- Keysight Threat Simulator: https://www.keysight.com/us/en/products/network-security/breach-defense/threat-simulator.html
ผู้ที่สนใจโซลูชัน Bypass Switch, Network Packet Broker, Network Tap และ Breach and Attack Simulation ของ Keysight สามารถสอบถามรายละเอียดเพิ่มเติมได้ที่
Regional Sales Manager – Thailand, Keysight Technologies
คุณธัญญพัทธ์ รัตน์อุดมโยธิน
อีเมล: Thanyaphat.Ratudomyothin@non.keysight.com
โทร: 081-833-6348
Product Manager, Pacific Tech
คุณปารเมษฐ์ กีรติชัยฤทธิ์นารา
อีเมล: paramet.k@pacifictech.com.sg
โทร: 094-542-6594