[Black Hat Asia 2017] สรุปเซสชัน Keynote วันแรกของงาน Black Hat Asia 2017 โดย Halvar Flake

ในหัวข้อ “WHY WE ARE NOT BUILDING A DEFENDABLE INTERNET”

จบไปแล้วครับกับงาน Black Hat Asia 2017 งานประชุมด้านความมั่นคงปลอดภัยระดับนานาชาติที่มารินา เบย์ แซนด์ ประเทศสิงคโปร์ ทีมงาน TechTalkThai ได้มีโอกาสมาร่วมงานนี้ เลยจะทยอยสรุปเนื้อหาในแต่ละเซสชันมาให้ได้อ่านกันครับ เริ่มด้วยเรื่องแรกซึ่งเป็นสรุปเซสชัน Keynote ของเมื่อวานนี้โดย Halvar Flake ผู้เชี่ยวชาญด้าน Big Data และ Machine Learning จาก Google ในหัวข้อ “WHY WE ARE NOT BUILDING A DEFENDABLE INTERNET”

Flake ได้บรรยายถึงอุปสรรคสำคัญทางด้าน Security อันเนื่องมาจากสภาพทางด้านเศรษฐศาสตร์ แรงจูงใจทาง IT Security และสาเหตุว่าทำไมแรงจูงใจเหล่านั้นถึงประสบความล้มเหลวในการนำเสนอการรักษาความมั่นคงปลอดภัยในระดับที่องค์กรต้องการ

รูปด้านล่างแสดงให้เห็นถึงผู้ที่มีส่วนได้ส่วนเสียทั้งหมดของการทำให้ระบบมีความมั่นคงปลอดภัย ซึ่งโดยปกติแล้ว CISO จะเป็นผู้บริหารจัดการความเสี่ยงด้าน Security ขององค์กร โดยอาศัยการสนับสนุนจากทีม Security, Vendors และ Cyber Insurance ซึ่ง CISO และทีม Security ขององค์กรจะช่วยกันวิเคราะห์และกลั่นกรองความต้องการด้าน Security ขององค์กรออกมา แล้วร้องขอฟีเจอร์หรือโซลูชันจาก SI และ Vendors ตามความต้องการเหล่านั้น

แต่ในโลกความเป็นจริงแล้ว Flake ระบุว่าไม่ได้เป็นแบบนั้นโดยสิ้นเชิง องค์กรและ CISO มีสิทธิ์มีเสียงน้อยมากในการเรียกร้องฟีเจอร์หรือโซลูชันด้าน Security กลับกลายเป็น Security Vendor และ Cyber Insurrance ที่เป็นผู้ควบคุมตลาดและพยายามเข้ามามีส่วนร่วมในการบริหารจัดการความเสี่ยงขององค์กร

Security Vendor หลายรายจะออกฟีเจอร์และโซลูชันใหม่ๆ โดยอ้างว่าเพราะต้องรับมือกับภัยคุกคามของแฮ็คเกอร์ที่เปลี่ยนแปลงไปเรื่อยๆ ซึ่งจะช่วยลดความเสี่ยงขององค์กรและ CISO ลงได้ ส่งผลให้ตลาดเต็มไปด้วยผลิตภัณฑ์ที่ขึ้นอยู่กับแฮ็คเกอร์ ไม่ใช่ความเสี่ยงขององค์กร และเกิดผลิตภัณฑ์ด้าน Security ประเภทใหม่ๆ มากมาย ผลลัพธ์ที่ตามมาคือ องค์กรต้องตัดสินใจเลือกซื้อผลิตภัณฑ์แต่ละประเภทตามการตลาดและการจัดการของ Security Vendor เพื่ออุดช่องโหว่ของตน

ฝั่ง Cyber Insurance เองก็พร้อมนำเสนอการเยียวยาความสูญเสียอันเนื่องมาจาก Data Breach ค่าใช้จ่ายในการทำ IR และการคลีนระบบให้กลับมาเป็นเหมือนเดิม แต่ Cyber Insurance เหล่านี้กลับไม่มีการเยียวยาเรื่องการเสื่อมเสียชื่อเสียและการสูญเสียทรัพย์สินทางปัญหาขององค์กร

ปัญหาของ Cyber Insurance ในปัจจุบันคือ ความขาดแคลนทางด้านข้อมูลที่จะนำมาวิเคราะห์ความเสี่ยงในปัจจุบัน บางแห่งนำข้อมูลที่เกิดขึ้นในอดีต 6 ปีมาวิเคราะห์ ก่อให้เกิดการรับประกันขึ้นโดยที่ไม่เข้าใจถึงความเสี่ยงขององค์กรอย่างแท้จริง ผลลัพธ์ที่ตามมาคือ องค์กรต้องติดตั้งผลิตภัณฑ์ที่อาจไม่มีประสิทธิผลเพียงพอในการจัดการกับความเสี่ยงตามเงื่อนไขของการรับประกัน และ Cyber Insurance กลายเป็นประเภทหนึ่งของผลิตภัณฑ์ที่ทุกองค์กรจำเป็นต้องเลือกเข้ามาใช้อย่างเลี่ยงไม่ได้

นอกจากนี้ Flake ยังกล่าวถึงการจัดการความเสี่ยงของแอพพลิเคชันอีกว่า ทุกๆ บรรทัดของโค้ดที่คุณใช้รันในระบบโครงข่ายพื้นฐานถือว่าเป็นความเสี่ยงทั้งหมด การลดความซับซ้อนและโค้ดที่มีสิทธิ์สูงในระบบเป็นวิธีเดียวที่เชื่อถือได้ว่าสามารถรับมือกับแฮ็คเกอร์ได้

“90% ของความเสี่ยงบนซอฟต์แวร์อยู่ในโค้ดส่วนที่ให้ประโยชน์เพียงแค่ 10% เท่านั้น” — Flake ได้ข้อสรุปจากประสบการณ์ที่เคยทำงานมา

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

GoDaddy ถูก FTC สั่งปรับปรุงระบบความปลอดภัย หลังพบข้อบกพร่องร้ายแรงตั้งแต่ปี 2018

FTC เปิดเผยว่า GoDaddy ไม่ได้ใช้มาตรการรักษาความปลอดภัยขั้นพื้นฐานมาตั้งแต่ปี 2018 รวมถึงไม่มีระบบ SIEM และ MFA ส่งผลให้เกิดการรั่วไหลของข้อมูลหลายครั้ง

แฮ็กเกอร์หน้าใหม่ ใจดีแจกฟรี FortiGate VPN Credential ของ 15,000 อุปกรณ์

Belsen Group กลุ่มแฮ็กเกอร์ที่เพิ่งปรากฏชื่อขึ้นในสื่อต่างๆ กำลังเรียกร้องความสนใจด้วยการแจกฟรีไฟล์ข้อมูลของ FortiGate ราว 15,000 อุปกรณ์ใน Dark Web ที่ภายในประกอบด้วย IP Address, VPN Credential …