[Black Hat Asia 2017] สรุปเซสชัน Keynote วันแรกของงาน Black Hat Asia 2017 โดย Halvar Flake

ในหัวข้อ “WHY WE ARE NOT BUILDING A DEFENDABLE INTERNET”

จบไปแล้วครับกับงาน Black Hat Asia 2017 งานประชุมด้านความมั่นคงปลอดภัยระดับนานาชาติที่มารินา เบย์ แซนด์ ประเทศสิงคโปร์ ทีมงาน TechTalkThai ได้มีโอกาสมาร่วมงานนี้ เลยจะทยอยสรุปเนื้อหาในแต่ละเซสชันมาให้ได้อ่านกันครับ เริ่มด้วยเรื่องแรกซึ่งเป็นสรุปเซสชัน Keynote ของเมื่อวานนี้โดย Halvar Flake ผู้เชี่ยวชาญด้าน Big Data และ Machine Learning จาก Google ในหัวข้อ “WHY WE ARE NOT BUILDING A DEFENDABLE INTERNET”

Flake ได้บรรยายถึงอุปสรรคสำคัญทางด้าน Security อันเนื่องมาจากสภาพทางด้านเศรษฐศาสตร์ แรงจูงใจทาง IT Security และสาเหตุว่าทำไมแรงจูงใจเหล่านั้นถึงประสบความล้มเหลวในการนำเสนอการรักษาความมั่นคงปลอดภัยในระดับที่องค์กรต้องการ

รูปด้านล่างแสดงให้เห็นถึงผู้ที่มีส่วนได้ส่วนเสียทั้งหมดของการทำให้ระบบมีความมั่นคงปลอดภัย ซึ่งโดยปกติแล้ว CISO จะเป็นผู้บริหารจัดการความเสี่ยงด้าน Security ขององค์กร โดยอาศัยการสนับสนุนจากทีม Security, Vendors และ Cyber Insurance ซึ่ง CISO และทีม Security ขององค์กรจะช่วยกันวิเคราะห์และกลั่นกรองความต้องการด้าน Security ขององค์กรออกมา แล้วร้องขอฟีเจอร์หรือโซลูชันจาก SI และ Vendors ตามความต้องการเหล่านั้น

แต่ในโลกความเป็นจริงแล้ว Flake ระบุว่าไม่ได้เป็นแบบนั้นโดยสิ้นเชิง องค์กรและ CISO มีสิทธิ์มีเสียงน้อยมากในการเรียกร้องฟีเจอร์หรือโซลูชันด้าน Security กลับกลายเป็น Security Vendor และ Cyber Insurrance ที่เป็นผู้ควบคุมตลาดและพยายามเข้ามามีส่วนร่วมในการบริหารจัดการความเสี่ยงขององค์กร

Security Vendor หลายรายจะออกฟีเจอร์และโซลูชันใหม่ๆ โดยอ้างว่าเพราะต้องรับมือกับภัยคุกคามของแฮ็คเกอร์ที่เปลี่ยนแปลงไปเรื่อยๆ ซึ่งจะช่วยลดความเสี่ยงขององค์กรและ CISO ลงได้ ส่งผลให้ตลาดเต็มไปด้วยผลิตภัณฑ์ที่ขึ้นอยู่กับแฮ็คเกอร์ ไม่ใช่ความเสี่ยงขององค์กร และเกิดผลิตภัณฑ์ด้าน Security ประเภทใหม่ๆ มากมาย ผลลัพธ์ที่ตามมาคือ องค์กรต้องตัดสินใจเลือกซื้อผลิตภัณฑ์แต่ละประเภทตามการตลาดและการจัดการของ Security Vendor เพื่ออุดช่องโหว่ของตน

ฝั่ง Cyber Insurance เองก็พร้อมนำเสนอการเยียวยาความสูญเสียอันเนื่องมาจาก Data Breach ค่าใช้จ่ายในการทำ IR และการคลีนระบบให้กลับมาเป็นเหมือนเดิม แต่ Cyber Insurance เหล่านี้กลับไม่มีการเยียวยาเรื่องการเสื่อมเสียชื่อเสียและการสูญเสียทรัพย์สินทางปัญหาขององค์กร

ปัญหาของ Cyber Insurance ในปัจจุบันคือ ความขาดแคลนทางด้านข้อมูลที่จะนำมาวิเคราะห์ความเสี่ยงในปัจจุบัน บางแห่งนำข้อมูลที่เกิดขึ้นในอดีต 6 ปีมาวิเคราะห์ ก่อให้เกิดการรับประกันขึ้นโดยที่ไม่เข้าใจถึงความเสี่ยงขององค์กรอย่างแท้จริง ผลลัพธ์ที่ตามมาคือ องค์กรต้องติดตั้งผลิตภัณฑ์ที่อาจไม่มีประสิทธิผลเพียงพอในการจัดการกับความเสี่ยงตามเงื่อนไขของการรับประกัน และ Cyber Insurance กลายเป็นประเภทหนึ่งของผลิตภัณฑ์ที่ทุกองค์กรจำเป็นต้องเลือกเข้ามาใช้อย่างเลี่ยงไม่ได้

นอกจากนี้ Flake ยังกล่าวถึงการจัดการความเสี่ยงของแอพพลิเคชันอีกว่า ทุกๆ บรรทัดของโค้ดที่คุณใช้รันในระบบโครงข่ายพื้นฐานถือว่าเป็นความเสี่ยงทั้งหมด การลดความซับซ้อนและโค้ดที่มีสิทธิ์สูงในระบบเป็นวิธีเดียวที่เชื่อถือได้ว่าสามารถรับมือกับแฮ็คเกอร์ได้

“90% ของความเสี่ยงบนซอฟต์แวร์อยู่ในโค้ดส่วนที่ให้ประโยชน์เพียงแค่ 10% เท่านั้น” — Flake ได้ข้อสรุปจากประสบการณ์ที่เคยทำงานมา



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CovertBand Attack: แกะตำแหน่งของผู้ใช้จากลำโพงและไมโครโฟน

นักวิจัยจาก University of Washington ประสบความสำเร็จในการแกะตำแหน่งการเคลื่อนที่ของผู้ใช้โดยใช้ลำโพงและไมโครโฟนที่มากับอุปกรณ์คอมพิวเตอร์ สมาร์โฟน แท็บเล็ต รวมไปถึงอุปกรณ์อิเล็กทรอนิกส์อื่นๆ ผ่านทางการส่งคลื่นเสียงความถี่สูงคล้ายคลื่นโซนาร์จากเสียงเพลงและวิดีโอ โดยเรียกการโจมตีนี้ว่า CovertBand

Joomla! 3.7.5 ออกแล้ว แก้บั๊กระหว่างติดตั้งเพิ่มเติม

Joomla! ประกาศออกรุ่น 3.7.5 ออกมาแล้วอย่างเป็นทางการ โดยแก้บั๊กให้กับการอัปเดตด้านความมั่นคงปลอดภัยที่เพิ่มเติมเข้ามาให้กับ 3.7.4 เป็นหลัก