[Black Hat Asia 2017] สรุป Keynote วันที่ 2 เรื่อง “ความจริง 7 ประการด้านความมั่นคงปลอดภัย” โดย Saumil Shah

บทความนี้เป็นสรุปเนื้อหาของเซสชัน Keynote วันที่ 2 ของงานประชุม Black Hat Asia 2017 โดย Saumil Shah ผู้ก่อตั้งและประธานบริษัท Net Square ซึ่งบรรยายในหัวข้อ “THE SEVEN AXIOMS OF SECURITY” เกี่ยวกับความจริง 7 ประการในการพัฒนากลยุทธ์สำหรับการป้องกันเชิงรุก เพื่อรับมือกับภัยคุกคามไซเบอร์ในอนาคต

ยังไงระบบคอมพิวเตอร์ก็มีช่องโหว่

ตั้งแต่ปี 2001 ถึงปี 2017 การป้องกันภัยไซเบอร์มีการพัฒนาและออกแบบโซลูชันใหม่ๆ เพื่อรับมือกับภัยคุกคามมากมาย ไม่ว่าจะเป็น Firewall, IPS, Antivirus, WAF, DLP, Sandbox และอื่นๆ แต่แฮ็คเกอร์เองก็พยายามหาเทคนิคโจมตีใหม่ๆ ที่มีความซับซ้อนเพื่อหลบเลี่ยงระบบป้องกันเหล่านั้นเช่นกัน เช่น RowHammer ซึ่งเป็นการแฮ็คคอมพิวเตอร์ด้วยการลัดวงจร DRAM หรือ StegoSploit ที่ใช้ซ่อนการโค้ดสำหรับโจมตีไว้ในรูปภาพ

“ระบบคอมพิวเตอร์ยังไงก็มีช่องโหว่ เรียกได้ว่า แฮ็คเกอร์ทำตัวเสมือนอยู่ในจักรวาลของนากาโทมิ (Nakatomi Space) ที่ซึ่งสิ่งปลูกสร้างมีสิ่งตกแต่งภายในมากมายเกือบจะนับไม่ถ้วน แต่แฮ็คเกอร์กลับใช้ช่องทางที่เหนือสามัญสำนึกด้านสถาปัตยกรรมในการเดินทะลุผ่านสิ่งเหล่านั้น” — Shah กล่าว

สาเหตุหลักคือยังคงใช้การป้องกันเชิงรับ

Shah ระบุว่า แฮ็คเกอร์สามารถกระทำการโจมตีได้สำเร็จมีสาเหตุใหญ่มาจากการที่องค์กรยังคงใช้การป้องกันเชิงรับ (Reactive Defense) กล่าวคือ องค์กรคอยตามการโจมตีของแฮ็คเกอร์ ไม่ใช่การวางแผนรับมือล่วงหน้า ถึงแม้ว่าช่วงหลังมานี้หลายองค์กรจะเริ่มหันไปป้องกันเชิงรุก (Proactive Defense) อย่างการทำ Bug Bounty Program ก็ตาม แต่การป้องกันแบบนี้ก็มีช่องโหว่อยู่ดี คือการที่บริษัทหรือบุคคลอื่นขอซื้อช่องโหว่ในราคาที่สูงกว่าบริษัทเจ้าของผลิตภัณฑ์ ซึ่งเราไม่สามารถทราบได้ว่าช่องโหว่เหล่านั้นจะถูกนำไปใช้ประโยชน์อะไร

“การป้องกันเชิงรุกอีกแบบคือ Compliance แต่ต้องเข้าใจไว้ว่า Compliance ไม่เท่ากับ Security คำว่า Security หมายถึง การลดความเสี่ยง ซึ่งปัจจุบันนี้อาศัยองค์ประกอบสำคัญ 4 ประการ คือ Rules, Signatures, Updates และ Machine Learning และที่สำคัญคือ การลดความเสี่ยงเป็นหน้าที่ของ CISO” — Shah ระบุ

ความจริง 7 ประการด้านความมั่นคงปลอดภัย

Shah ยังได้กล่าวถึงข้อเท็จจริง 7 ประการเกี่ยวกับความมั่นคงปลอดภัยที่หลายคนอาจจะยังเข้าใจผิดอยู่ ดังนี้

  1. การป้องกันไม่ใช่การลดความเสี่ยงลง – การป้องกันคือการรับมือกับเหตุการณ์ผิดปกติที่เกิดขึ้น ไม่ใช่การลดผลกระทบหรือความน่าจะเป็นของความเสี่ยงลง ซึ่งการป้องกันนี้เป็นหน้าที่หลักของ CISO ในขณะที่ Compliance ควรเป็นหน้าที่ของ CCO (Chief Compliance Officer) แทน
  2. Intelligence เกิดจากการเก็บข้อมูลทุกอย่าง – Security Data Warehouse เป็นจุดเริ่มต้นของการป้องกันภัยคุกคามเชิงรุก จำไว้เสมอว่าข้อมูลในอดีตจะมีความสำคัญเพิ่มขึ้นแบบทวีคูณเมื่อเวลาผ่านไป ข้อมูลเหล่านี้สามารถบอกทุกสิ่งที่องค์กรต้องการ ตราบเท่าที่องค์กรพร้อมที่จะสังเกตการณ์หรือวิเคราะห์ข้อมูลเหล่านั้น
  3. กฎการแฮ็คของชโรดิงเจอร์ – ระบบจะอยู่ในสถานะทั้งมั่นคงปลอดภัยและถูกแฮ็คไปพร้อมๆ กันจนกว่าจะมีการทดสอบ ซึ่งองค์กรจำเป็นต้องทดสอบโดยยึดหลักความจริง คือ ใช้ Red Team ในการเจาะระบบ นอกจากนี้ ควรวางแผนความมั่นคงปลอดภัยตั้งแต่การออกแบบ (Secure Design) ทดสอบบนระบบจริง ไม่ใช่แค่ UAT และไม่อ้างว่าระบบอื่นๆ อยู่นอกเหนือขอบเขต
  4. ถ้าชี้วัดไม่ได้ ก็ไม่ต้องใช้ – ระบบป้องกันที่ดีต้องมีเมทริกซ์สำหรับชี้วัดประสิทธิผลของการทำงานได้อย่างชัดเจน เพื่อนำไปวิเคราะห์และพัฒนามาตรการควบคุมขององค์กรให้ดียิ่งขึ้น รวมไปถึง CISO สามารถนำเมทริกซ์ดังกล่าวไปคุยกับบอร์ดบริหารเพื่อวางแผนปรับปรุงระบบรักษาความมั่นคงปลอดภัยได้อีกด้วย
  5. ไม่มีความพอดีสำหรับผู้ใช้ – ผู้ใช้ถือว่าเป็นจุดอ่อนสำคัญที่สุดสำหรับองค์กร จึงควรมีการจัดอบรม Security Awareness เป็นประจำ และเตรียมเนื้อหาให้เหมาะสมกับแต่ละกลุ่มผู้ใช้ โดยกลุ่มที่ควรให้ความสำคัญมากที่สุดคือผู้ใช้ที่พอมีความรู้และมีความตระหนักด้านความมั่นคงปลอดภัยอยู่บ้าง และพร้อมปรับตัวเองให้รับมือกับภัยคุกคามไซเบอร์ได้

    “Phishing ที่มีประสิทธิภาพเจ๋งๆ มีค่ามากกว่าการโจมตีแบบ Zero-day เสียอีก” — Shah กล่าว
  6. การป้องกันที่ดีที่สุดคือการป้องกันอย่างสร้างสรรค์ – การป้องกันอย่างสร้างสรรค์คือการป้องกันแบบที่ไม่มีใครคาดคิดมาก่อน การป้องกันรูปแบบนี้ช่วยให้สามารถดักจับภัยคุกคามได้เป็นอย่างดี ไม่ว่าจะเป็นการทำ Honeypot หรือการใช้เทคโนโลยี Deception เป็นต้น
  7. ทำให้การป้องกันเป็นสิ่งที่จับต้องและชี้วัดได้ – องค์กรควรมีกระบวนการด้านความมั่นคงปลอดภัยที่ชัดเจน เช่น ISO 27001 เพื่อเพิ่มศักยภาพของผู้ใช้ ลดระยะเวลาในการตอบสนองต่อภัยคุกคาม และดึงดูดผู้ที่มีความสามารถทางด้าน Info Sec เข้ามาในองค์กร ที่สำคัญคือกระบวนการและมาตรการควบคุมทุกอย่างจะต้องชี้วัดประสิทธิผลได้


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CovertBand Attack: แกะตำแหน่งของผู้ใช้จากลำโพงและไมโครโฟน

นักวิจัยจาก University of Washington ประสบความสำเร็จในการแกะตำแหน่งการเคลื่อนที่ของผู้ใช้โดยใช้ลำโพงและไมโครโฟนที่มากับอุปกรณ์คอมพิวเตอร์ สมาร์โฟน แท็บเล็ต รวมไปถึงอุปกรณ์อิเล็กทรอนิกส์อื่นๆ ผ่านทางการส่งคลื่นเสียงความถี่สูงคล้ายคลื่นโซนาร์จากเสียงเพลงและวิดีโอ โดยเรียกการโจมตีนี้ว่า CovertBand

Joomla! 3.7.5 ออกแล้ว แก้บั๊กระหว่างติดตั้งเพิ่มเติม

Joomla! ประกาศออกรุ่น 3.7.5 ออกมาแล้วอย่างเป็นทางการ โดยแก้บั๊กให้กับการอัปเดตด้านความมั่นคงปลอดภัยที่เพิ่มเติมเข้ามาให้กับ 3.7.4 เป็นหลัก