[BHAsia 2019] Tenable แนะนำ Predictive Prioritization ช่วยประเมินความเสี่ยงองค์กร

ภายในงานประชุม Black Hat Asia 2019 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา Richard Bussiere, Technical Director ประจำ APAC ของ Tenable ระบุ การประเมินความเสี่ยงโดยใช้คะแนนจาก CVSS อาจไม่ดีเพียงพอ แนะนำเทคนิค Predictive Prioritization ซึ่งปรับคะแนนความเสี่ยงตามเหตุการณ์ที่เกิดขึ้นจริงในปัจจุบัน

การประเมินความเสี่ยงเป็นหนึ่งในกระบวนการที่สำคัญที่สุดด้านการบริหารจัดการความมั่นคงปลอดภัย โดยพื้นฐานนั้นความเสี่ยง (Risk) จะถูกประเมินจากภัยคุกคาม (Threat) ช่องโหว่ (Vulnerablity) และผลลัพธ์ที่ตามมา (Consequence) จากสถิติของ Ponemon ระบุว่า 48% ขององค์กรยังคงใช้กระบวนการแบบ Manual ในการตอบสนองต่อภัยคุกคามส่งผลให้ดำเนินการตอบสนองได้ช้า ในขณะที่มีเพียง 39% ที่นำ Threat Intelligence เข้ามาช่วยจัดอันดับความสำคัญของสินทรัพย์ที่จำเป็นต้องคุ้มครอง และมีเพียง 29% ที่ระบุว่าองค์กรของตนมีความสามารถในการติดตามการโจมตีบนช่องทางต่างๆ เช่น Cloud, Containers, IoT และ OT ขององค์กรอย่างเพียงพอ

Bussiere ระบุว่า หลายองค์กรนำคะแนน CVSS มาใช้เพื่อระบุความรุนแรงของช่องโหว่ในกระบวนการประเมินความเสี่ยง ซึ่งฟังดูแล้วก็เป็นเรื่องที่เหมาะสม อย่างไรก็ตาม ในปี 2018 ที่ผ่านมา มีช่องโหว่ที่มีคะแนน CVSS ระดับ Critical และ High มีปริมาณมากถึง 59% จึงเป็นเรื่องยากที่เราจะระบุถึงความสำคัญจริงๆ ของช่องโหว่เหล่านั้น ที่น่าตกใจคือ ปริมาณช่องโหว่และช่องโหว่ที่มีโค้ดโจมตีเผยแพร่ออกสู่สาธารณะมีแนวโน้มเพิ่งมากขึ้นในแต่ละปี อย่างในปี 2018 เองก็มีจำนวนช่องโหว่ใหม่ปริมาณมากถึง 16,500 ช่องโหว่ ซึ่ง 1,500 ช่องโหว่ในนั้นมีโค้ดโจมตี (Exploits) ให้นำไปทดลองใช้ได้ฟรี

ถึงแม้ว่าหลายองค์กรจะประเมินความเสี่ยงจากภัยคุกคาม (Threat) ช่องโหว่ (Vulnerablity) และธุรกิจที่ได้รับผลกระทบ (Business) เพื่อลดจำนวนช่องโหว่ที่องค์กรจำเป็นต้องรับ แต่ช่องโหว่เหล่านั้นก็ยังคงมีจำนวนมหาศาลอยู่ดี Tenable จึงได้นำเสนอเทคนิค Predictive Prioritization ซึ่งผสานรวม Research Insights, Threat Intelligence และ Vulnerability Score เพื่อช่วยจัดอันดับความสำคัญของช่องโหว่ โดยจะพิจารณาคะแนนจาก 7 คุณสมบัติ คือ Past Threat Pattern, CVSS, NVD, Past Hostility, Vulnerable Software, Exploit Code และ Past Threat Source ซึ่งจะทำการประเมินและอัปเดตทุกวันตามเหตุการณ์ที่เปลี่ยนไป เช่น เมื่อมีการค้นพบช่องโหว่ อาจมีการให้คะแนนตาม CVE คือ 6 คะแนน เมื่อมีโค้ด Exploit ถูกเผยแพร่สู่สาธารณะคะแนนจะเพิ่มขึ้นเป็น 8 คะแนน และเมื่อมีรายงานโจมตีเกิดขึ้นคะแนนกลายเป็น 10 คะแนน เป็นต้น เหล่านี้ส่งผลให้การประเมินความเสี่ยงของช่องโหว่มีความแม่นยำมากขึ้น ช่วยจัดอันดับความสำคัญของช่องโหว่ที่จำเป็นต้องรับมือก่อน และลดภาระของผู้ดูแลระบบรักษาความมั่นคงปลอดภัยลง

จากการปรับคะแนนของช่องโหว่ด้วยวิธีนี้ Bussiere ระบุว่าสามารถลดจำนวนช่องโหว่ที่ต้องจัดการจริงๆ ลงได้สูงสุดถึง 97%


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Black Hat Asia 2023] ทำลายห่วงโซ่: มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์

ยินดีต้อนรับสู่มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์ หัวข้อนี้ถูกนำเสนอโดยนักวิจัยด้านความปลอดภัยชื่อ Yakir Kadkoda และ Ilay Goldman จาก Aqua Security ซึ่งมีประสบการณ์มากมายในงานด้าน Red Team พวกเขาให้ข้อมูลเชิงลึกอันมีค่าเกี่ยวกับช่องโหว่ที่แฝงตัวอยู่ในช่วงการพัฒนาซอฟต์แวร์ ที่เผยถึงความเสี่ยงที่องค์กรต้องเผชิญในการรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์

[Black Hat Asia 2023] สรุป Keynote วันที่ 1 เรื่อง “เตรียมตัวสำหรับการเดินทางอันยาวนานเพื่อความปลอดภัยของข้อมูล”

ข้อมูลถือเป็นปัจจัยที่ 5 ของการผลิต และความปลอดภัยของข้อมูล (Data Security) ก็ได้รับการจัดอันดับให้มีความสำคัญสูงสุดโดยรัฐบาลทั่วโลก ในประเทศจีน กฎหมายที่เกี่ยวข้องกับความปลอดภัยข้อมูล เช่น “กฎหมายความปลอดภัยของข้อมูล” และ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ได้รับการประกาศใช้และมีผลบังคับใช้ในปี 2565 …