[Black Hat Asia 2017] สรุป Keynote วันที่ 2 เรื่อง “ความจริง 7 ประการด้านความมั่นคงปลอดภัย” โดย Saumil Shah

บทความนี้เป็นสรุปเนื้อหาของเซสชัน Keynote วันที่ 2 ของงานประชุม Black Hat Asia 2017 โดย Saumil Shah ผู้ก่อตั้งและประธานบริษัท Net Square ซึ่งบรรยายในหัวข้อ “THE SEVEN AXIOMS OF SECURITY” เกี่ยวกับความจริง 7 ประการในการพัฒนากลยุทธ์สำหรับการป้องกันเชิงรุก เพื่อรับมือกับภัยคุกคามไซเบอร์ในอนาคต

ยังไงระบบคอมพิวเตอร์ก็มีช่องโหว่

ตั้งแต่ปี 2001 ถึงปี 2017 การป้องกันภัยไซเบอร์มีการพัฒนาและออกแบบโซลูชันใหม่ๆ เพื่อรับมือกับภัยคุกคามมากมาย ไม่ว่าจะเป็น Firewall, IPS, Antivirus, WAF, DLP, Sandbox และอื่นๆ แต่แฮ็คเกอร์เองก็พยายามหาเทคนิคโจมตีใหม่ๆ ที่มีความซับซ้อนเพื่อหลบเลี่ยงระบบป้องกันเหล่านั้นเช่นกัน เช่น RowHammer ซึ่งเป็นการแฮ็คคอมพิวเตอร์ด้วยการลัดวงจร DRAM หรือ StegoSploit ที่ใช้ซ่อนการโค้ดสำหรับโจมตีไว้ในรูปภาพ

“ระบบคอมพิวเตอร์ยังไงก็มีช่องโหว่ เรียกได้ว่า แฮ็คเกอร์ทำตัวเสมือนอยู่ในจักรวาลของนากาโทมิ (Nakatomi Space) ที่ซึ่งสิ่งปลูกสร้างมีสิ่งตกแต่งภายในมากมายเกือบจะนับไม่ถ้วน แต่แฮ็คเกอร์กลับใช้ช่องทางที่เหนือสามัญสำนึกด้านสถาปัตยกรรมในการเดินทะลุผ่านสิ่งเหล่านั้น” — Shah กล่าว

สาเหตุหลักคือยังคงใช้การป้องกันเชิงรับ

Shah ระบุว่า แฮ็คเกอร์สามารถกระทำการโจมตีได้สำเร็จมีสาเหตุใหญ่มาจากการที่องค์กรยังคงใช้การป้องกันเชิงรับ (Reactive Defense) กล่าวคือ องค์กรคอยตามการโจมตีของแฮ็คเกอร์ ไม่ใช่การวางแผนรับมือล่วงหน้า ถึงแม้ว่าช่วงหลังมานี้หลายองค์กรจะเริ่มหันไปป้องกันเชิงรุก (Proactive Defense) อย่างการทำ Bug Bounty Program ก็ตาม แต่การป้องกันแบบนี้ก็มีช่องโหว่อยู่ดี คือการที่บริษัทหรือบุคคลอื่นขอซื้อช่องโหว่ในราคาที่สูงกว่าบริษัทเจ้าของผลิตภัณฑ์ ซึ่งเราไม่สามารถทราบได้ว่าช่องโหว่เหล่านั้นจะถูกนำไปใช้ประโยชน์อะไร

“การป้องกันเชิงรุกอีกแบบคือ Compliance แต่ต้องเข้าใจไว้ว่า Compliance ไม่เท่ากับ Security คำว่า Security หมายถึง การลดความเสี่ยง ซึ่งปัจจุบันนี้อาศัยองค์ประกอบสำคัญ 4 ประการ คือ Rules, Signatures, Updates และ Machine Learning และที่สำคัญคือ การลดความเสี่ยงเป็นหน้าที่ของ CISO” — Shah ระบุ

ความจริง 7 ประการด้านความมั่นคงปลอดภัย

Shah ยังได้กล่าวถึงข้อเท็จจริง 7 ประการเกี่ยวกับความมั่นคงปลอดภัยที่หลายคนอาจจะยังเข้าใจผิดอยู่ ดังนี้

  1. การป้องกันไม่ใช่การลดความเสี่ยงลง – การป้องกันคือการรับมือกับเหตุการณ์ผิดปกติที่เกิดขึ้น ไม่ใช่การลดผลกระทบหรือความน่าจะเป็นของความเสี่ยงลง ซึ่งการป้องกันนี้เป็นหน้าที่หลักของ CISO ในขณะที่ Compliance ควรเป็นหน้าที่ของ CCO (Chief Compliance Officer) แทน
  2. Intelligence เกิดจากการเก็บข้อมูลทุกอย่าง – Security Data Warehouse เป็นจุดเริ่มต้นของการป้องกันภัยคุกคามเชิงรุก จำไว้เสมอว่าข้อมูลในอดีตจะมีความสำคัญเพิ่มขึ้นแบบทวีคูณเมื่อเวลาผ่านไป ข้อมูลเหล่านี้สามารถบอกทุกสิ่งที่องค์กรต้องการ ตราบเท่าที่องค์กรพร้อมที่จะสังเกตการณ์หรือวิเคราะห์ข้อมูลเหล่านั้น
  3. กฎการแฮ็คของชโรดิงเจอร์ – ระบบจะอยู่ในสถานะทั้งมั่นคงปลอดภัยและถูกแฮ็คไปพร้อมๆ กันจนกว่าจะมีการทดสอบ ซึ่งองค์กรจำเป็นต้องทดสอบโดยยึดหลักความจริง คือ ใช้ Red Team ในการเจาะระบบ นอกจากนี้ ควรวางแผนความมั่นคงปลอดภัยตั้งแต่การออกแบบ (Secure Design) ทดสอบบนระบบจริง ไม่ใช่แค่ UAT และไม่อ้างว่าระบบอื่นๆ อยู่นอกเหนือขอบเขต
  4. ถ้าชี้วัดไม่ได้ ก็ไม่ต้องใช้ – ระบบป้องกันที่ดีต้องมีเมทริกซ์สำหรับชี้วัดประสิทธิผลของการทำงานได้อย่างชัดเจน เพื่อนำไปวิเคราะห์และพัฒนามาตรการควบคุมขององค์กรให้ดียิ่งขึ้น รวมไปถึง CISO สามารถนำเมทริกซ์ดังกล่าวไปคุยกับบอร์ดบริหารเพื่อวางแผนปรับปรุงระบบรักษาความมั่นคงปลอดภัยได้อีกด้วย
  5. ไม่มีความพอดีสำหรับผู้ใช้ – ผู้ใช้ถือว่าเป็นจุดอ่อนสำคัญที่สุดสำหรับองค์กร จึงควรมีการจัดอบรม Security Awareness เป็นประจำ และเตรียมเนื้อหาให้เหมาะสมกับแต่ละกลุ่มผู้ใช้ โดยกลุ่มที่ควรให้ความสำคัญมากที่สุดคือผู้ใช้ที่พอมีความรู้และมีความตระหนักด้านความมั่นคงปลอดภัยอยู่บ้าง และพร้อมปรับตัวเองให้รับมือกับภัยคุกคามไซเบอร์ได้

    “Phishing ที่มีประสิทธิภาพเจ๋งๆ มีค่ามากกว่าการโจมตีแบบ Zero-day เสียอีก” — Shah กล่าว
  6. การป้องกันที่ดีที่สุดคือการป้องกันอย่างสร้างสรรค์ – การป้องกันอย่างสร้างสรรค์คือการป้องกันแบบที่ไม่มีใครคาดคิดมาก่อน การป้องกันรูปแบบนี้ช่วยให้สามารถดักจับภัยคุกคามได้เป็นอย่างดี ไม่ว่าจะเป็นการทำ Honeypot หรือการใช้เทคโนโลยี Deception เป็นต้น
  7. ทำให้การป้องกันเป็นสิ่งที่จับต้องและชี้วัดได้ – องค์กรควรมีกระบวนการด้านความมั่นคงปลอดภัยที่ชัดเจน เช่น ISO 27001 เพื่อเพิ่มศักยภาพของผู้ใช้ ลดระยะเวลาในการตอบสนองต่อภัยคุกคาม และดึงดูดผู้ที่มีความสามารถทางด้าน Info Sec เข้ามาในองค์กร ที่สำคัญคือกระบวนการและมาตรการควบคุมทุกอย่างจะต้องชี้วัดประสิทธิผลได้


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ PDF Reader บน Google Chrome อีกครั้ง เสี่ยงถูกโจมตีด้วย Code Execution

นักวิจัยจาก Talos ทีม Threat Intelligence ของ Cisco ค้นพบช่องโหว่ off-by-one read/write บน PDFium ซึ่งเป็น PDF Reader …

Google Chrome เตรียมเพิ่ม Permission สำหรับหยุดการขุดเหมืองเงินดิจิทัลผ่านเบราเซอร์

ทีมวิศวกรของ Google Chrome กำลังเตรียมหารือกันเพื่อเพิ่ม Permission ใหม่ลงไปในเว็บเบราเซอร์สำหรับควบคุมการขโมยทรัพยากรจากเครื่องผู้ใช้เพื่อแอบขุดเหมืองเงินดิจิทัลโดยไม่ได้รับอนุญาต หลังพบว่าการขุดเหมืองเงินดิจิทัลบนเว็บเบราเซอร์กำลังเป็นกระแสมากขึ้นเรื่อยๆ

ปิดโหมดสีเทา