ในหัวข้อ “WHY WE ARE NOT BUILDING A DEFENDABLE INTERNET”
จบไปแล้วครับกับงาน Black Hat Asia 2017 งานประชุมด้านความมั่นคงปลอดภัยระดับนานาชาติที่มารินา เบย์ แซนด์ ประเทศสิงคโปร์ ทีมงาน TechTalkThai ได้มีโอกาสมาร่วมงานนี้ เลยจะทยอยสรุปเนื้อหาในแต่ละเซสชันมาให้ได้อ่านกันครับ เริ่มด้วยเรื่องแรกซึ่งเป็นสรุปเซสชัน Keynote ของเมื่อวานนี้โดย Halvar Flake ผู้เชี่ยวชาญด้าน Big Data และ Machine Learning จาก Google ในหัวข้อ “WHY WE ARE NOT BUILDING A DEFENDABLE INTERNET”
Flake ได้บรรยายถึงอุปสรรคสำคัญทางด้าน Security อันเนื่องมาจากสภาพทางด้านเศรษฐศาสตร์ แรงจูงใจทาง IT Security และสาเหตุว่าทำไมแรงจูงใจเหล่านั้นถึงประสบความล้มเหลวในการนำเสนอการรักษาความมั่นคงปลอดภัยในระดับที่องค์กรต้องการ
รูปด้านล่างแสดงให้เห็นถึงผู้ที่มีส่วนได้ส่วนเสียทั้งหมดของการทำให้ระบบมีความมั่นคงปลอดภัย ซึ่งโดยปกติแล้ว CISO จะเป็นผู้บริหารจัดการความเสี่ยงด้าน Security ขององค์กร โดยอาศัยการสนับสนุนจากทีม Security, Vendors และ Cyber Insurance ซึ่ง CISO และทีม Security ขององค์กรจะช่วยกันวิเคราะห์และกลั่นกรองความต้องการด้าน Security ขององค์กรออกมา แล้วร้องขอฟีเจอร์หรือโซลูชันจาก SI และ Vendors ตามความต้องการเหล่านั้น
แต่ในโลกความเป็นจริงแล้ว Flake ระบุว่าไม่ได้เป็นแบบนั้นโดยสิ้นเชิง องค์กรและ CISO มีสิทธิ์มีเสียงน้อยมากในการเรียกร้องฟีเจอร์หรือโซลูชันด้าน Security กลับกลายเป็น Security Vendor และ Cyber Insurrance ที่เป็นผู้ควบคุมตลาดและพยายามเข้ามามีส่วนร่วมในการบริหารจัดการความเสี่ยงขององค์กร
Security Vendor หลายรายจะออกฟีเจอร์และโซลูชันใหม่ๆ โดยอ้างว่าเพราะต้องรับมือกับภัยคุกคามของแฮ็คเกอร์ที่เปลี่ยนแปลงไปเรื่อยๆ ซึ่งจะช่วยลดความเสี่ยงขององค์กรและ CISO ลงได้ ส่งผลให้ตลาดเต็มไปด้วยผลิตภัณฑ์ที่ขึ้นอยู่กับแฮ็คเกอร์ ไม่ใช่ความเสี่ยงขององค์กร และเกิดผลิตภัณฑ์ด้าน Security ประเภทใหม่ๆ มากมาย ผลลัพธ์ที่ตามมาคือ องค์กรต้องตัดสินใจเลือกซื้อผลิตภัณฑ์แต่ละประเภทตามการตลาดและการจัดการของ Security Vendor เพื่ออุดช่องโหว่ของตน
ฝั่ง Cyber Insurance เองก็พร้อมนำเสนอการเยียวยาความสูญเสียอันเนื่องมาจาก Data Breach ค่าใช้จ่ายในการทำ IR และการคลีนระบบให้กลับมาเป็นเหมือนเดิม แต่ Cyber Insurance เหล่านี้กลับไม่มีการเยียวยาเรื่องการเสื่อมเสียชื่อเสียและการสูญเสียทรัพย์สินทางปัญหาขององค์กร
ปัญหาของ Cyber Insurance ในปัจจุบันคือ ความขาดแคลนทางด้านข้อมูลที่จะนำมาวิเคราะห์ความเสี่ยงในปัจจุบัน บางแห่งนำข้อมูลที่เกิดขึ้นในอดีต 6 ปีมาวิเคราะห์ ก่อให้เกิดการรับประกันขึ้นโดยที่ไม่เข้าใจถึงความเสี่ยงขององค์กรอย่างแท้จริง ผลลัพธ์ที่ตามมาคือ องค์กรต้องติดตั้งผลิตภัณฑ์ที่อาจไม่มีประสิทธิผลเพียงพอในการจัดการกับความเสี่ยงตามเงื่อนไขของการรับประกัน และ Cyber Insurance กลายเป็นประเภทหนึ่งของผลิตภัณฑ์ที่ทุกองค์กรจำเป็นต้องเลือกเข้ามาใช้อย่างเลี่ยงไม่ได้
นอกจากนี้ Flake ยังกล่าวถึงการจัดการความเสี่ยงของแอพพลิเคชันอีกว่า ทุกๆ บรรทัดของโค้ดที่คุณใช้รันในระบบโครงข่ายพื้นฐานถือว่าเป็นความเสี่ยงทั้งหมด การลดความซับซ้อนและโค้ดที่มีสิทธิ์สูงในระบบเป็นวิธีเดียวที่เชื่อถือได้ว่าสามารถรับมือกับแฮ็คเกอร์ได้
“90% ของความเสี่ยงบนซอฟต์แวร์อยู่ในโค้ดส่วนที่ให้ประโยชน์เพียงแค่ 10% เท่านั้น” — Flake ได้ข้อสรุปจากประสบการณ์ที่เคยทำงานมา