สำหรับงาน Cisco Night Academy ครั้งที่ 3 นี้ก็จัดขึ้นในหัวข้อของ Security Innovation นะครับ โดยเนื้อหาจะแบ่งเป็น 2 ส่วนหลักๆ ได้แก่ การอัพเดตเทรนด์ใหม่ๆ ทางด้าน IT Security ภายในองค์กร และการอัพเดตเทคโนโลยีและมุมมองใหม่ๆ ในการรักษาความปลอดภัย ก็ถือเป็นเรื่องที่ผู้ดูแลระบบทุกคนควรอ่านเอาไว้เป็นแนวทาง ดังนี้ครับ
Cisco Annual Security Report 2015 สรุปแนวโน้มใหม่ๆ ทางด้านการโจมตีและการรักษาความปลอดภัย
ในทุกๆ ปี Cisco จะออกรายงานอัพเดตแนวโน้มทางด้านความปลอดภัยภายใต้ชื่อ Cisco Annual Security Report ซึ่งในปี 2015 ที่ผ่านมาก็มีการออกรายงานโดยมีเนื้อหาที่น่าสนใจดังนี้ครับ
ในรายงานฉบับนี้ Cisco ได้ทำการสำรวจข้อมูลจำนวน 16,000 ล้าน Request ต่อวัน, วิเคราะห์ 500,000 ล้าน Email ต่อวัน, ยับยั้งภัยคุกคามที่เกิดขึ้น 20,000 ล้านครั้งต่อวัน โดยแต่ละวันมี Malware 1,100,000 แบบ และมี 18,500 AMP Query ต่อวัน พร้อมทั้งทำแบบสอบถามจากองค์กรใน 12 ประเทศทั่วโลก และมีผู้ตอบแบบสอบถามรวมมากกว่า 2,400 คน เพื่อสรุปออกมาเป็นเนื้อหาทั้งหมดในรายงานฉบับนี้
การโจมตีแต่ละครั้งมีความรุนแรงและมีรายรับมากขึ้นเรื่อยๆ แคมเปญหนึ่งนั้นเป็น Ransomware ที่สามารถสร้างรายได้มากถึง 34 ล้านเหรียญต่อปี ในขณะเดียวกัน Ransomware ก็กลายเป็นธุรกิจมากขึ้นเรื่อยๆ จนถึงขั้นมีทีม Support คอยสนับสนุนผู้ที่อยากจะจ่ายค่าไถ่เพื่อกู้ไฟล์คืนให้สามารถจ่ายเงินได้ง่ายที่สุดเท่าที่เป็นไปได้ ทางที่ดีที่สุดในการรับมือกับ Ransomware คือการสำรองข้อมูล เพราะการคอยป้องกัน Ransomware และ Zero Day ให้ได้อยู่ตลอดเวลาเพื่อป้องกันการโจมตีให้ได้ทุกครั้งนั้นเป็นเรื่องที่เป็นไปไม่ได้
ทางด้านระบบสำหรับใช้ในการโจมตีนั้นมีความซับซ้อนและทนทานสูงขึ้น มีทั้งระบบ Proxy Server สำหรับใช้ส่งผู้ใช้งานไปยัง Server ที่ถูก Hack มาเพื่อใช้โจมตีต่อ และมีระบบ Monitor เพื่อคอยตรวจสอบแคมเปญการโจมตีอยู่ตลอดเวลา
สำหรับองค์กรในไทยบางองค์กร ถึงแม้ธุรกิจอาจจะเล็กน้อยและดูไม่น่าตกเป็นเป้าหมาย แต่ก็อาจถูกโจมตีเพื่อนำไปใช้โจมตีต่อได้เช่นกัน และปัจจุบันการโจมตีระบบนั้นกลายเป็นความร่วมมือระดับชาติไปแล้ว เช่น เหตุการณ์ SSHPsycho โดยการทำ SSH Brute-force จากประเทศจีนเพื่อเดารหัสผ่านกว่า 300,000 รหัสผ่านบน Server และส่งข้อมูลผลการสแกนและเดารหัสผ่านที่ประสบความสำเร็จกลับไปยัง Server ในประเทศสหรัฐอเมริกา เพื่อใช้โจมตีและฝัง Malware ลงไปบน Server เหล่านั้น
ส่วนการโจมตีระบบผ่านทางช่องโหว่ต่างๆ นั้นก็เติบโตขึ้นเป็นอย่างมาก ไม่ว่าจะเป็นช่องโหว่ฝั่ง Client Browser หรือช่องโหว่ของ Web Server และ Content Management System ก็ตาม โดยมี Exploit Kit หรือชุดของ Software ที่ใช้เจาะช่องโหว่เหล่านี้เพื่อการโจมตีโดยเฉพาะออกมาขาย เพื่อให้ผู้ที่ต้องการจะโจมตีได้ซื้อไปใช้สร้างระบบใหม่ๆ สำหรับการโจมตี
DNS เองก็กลายเป็นอีกเป้าหมายที่ถูกใช้ในการโจมตีมากที่สุดเป้าหมายหนึ่ง เพราะเป็นระบบที่ผู้ดูแลมักไม่ได้ใส่ใจกับมันมากนัก แต่ในความเป็นจริงคือ 91.3% ของ Malware นั้นมีการใช้งาน DNS และ 68% ขององค์กรไม่ได้มีการตรวจสอบความปลอดภัยหรือความถูกต้องในการทำงานของ DNS Server เลย และก็แทบจะไม่มีองค์กรไหนที่มีการเก็บ Log การทำงานของ DNS เลย ซึ่ง DNS ก็ถูกใช้เป็นหนึ่งในวิธีการส่งข้อมูลออกจากองค์กรผ่าน Subdomain ไปยัง Server ประหลาดๆ ได้ โดยองค์กรก็มักจะไม่บล็อค DNS Request ออกไปยังภายนอกองค์กรอยู่แล้ว
Browser Infection เป็นหนึ่งในเป้าหมายในการติด Malware หรือ Virus ต่างๆ มากขึ้นเรื่อยๆ โดยปัจจุบันมีมากกว่า 85% ขององค์กรที่พบการติด Software อันตรายเหล่านี้ในแต่ละเดือน
การเข้ารหัสนั้นก็ถือเป็นอีกหนึ่งเครื่องมือที่เหล่านักโจมตีใช้กัน โดยการเข้ารหัสการโจมตีต่างๆ และการส่งข้อมูลต่างๆ จากภายในองค์กรออกไปยังภายนอก และสามารถตรวจสอบได้ยากมาก ทางออกหนึ่งขององค์กรก็คือระบบ SSL Decryption ซึ่งก็ถือว่ายังเป็นเรื่องใหม่และใหญ่สำหรับหลายๆ องค์กร
สำหรับการสัมภาษณ์เจ้าหน้าที่ต่างๆ นั้น 59% มั่นใจว่าใช้เทคโนโลยีล่าสุดในการปลอดภัย, 51% มั่นใจว่าสามารถตรวจพบช่องโหว่ในระบบเครือข่ายได้ก่อนถูกโจมตี, 54% มั่นใจว่าสามารถป้องกันการโจมตีได้, 45% มั่นใจว่าสามารถจำกัดวงความเสียหายที่เกิดขึ้นหลังจากถูกโจมตีได้, 54% มั่นใจว่าสามารถตรวจพบการโจมตีที่เกิดขึ้นได้ และ 56% ได้มีการทบทวนนโยบายการรักษาความปลอดภัยภายในองค์กรอยู่เป็นประจำ และแทบทุกหัวข้อมีอัตราส่วนที่ลดลงจากปีที่แล้ว
- 92% ของอุปกรณ์ที่ใช้งานอยู่บน Internet มีช่องโหว่
- 31% ใช้อุปกรณ์ที่ End-of-Service ไปแล้ว
- 5% ใช้อุปกรณ์ที่ End-of-Life ไปแล้ว
- 3 อันดับแรกของปัญหาที่สำรวจพบทั้งหมดได้แก่ Budget, Compatibility และ Certification
สำหรับในไทย ปัญหาที่ใหญ่ที่สุดคือเรื่องของคน เพราะแทบทุกบริษัทขาดผู้เชี่ยวชาญทางด้าน Security และมักจะดึงคนจากฝ่ายอื่นๆ เข้ามาเพื่อแก้ไขปัญหาเหล่านี้ และธุรกิจแนว Managed Service ก็เกิดขึ้นมาตอบรับแนวโน้มนี้
สำหรับการกระตุ้นให้ผู้ใช้งานตื่นตัวด้านความปลอดภัย มีดังนี้
- 90% ขององค์กรเริ่มมีการทำ Security Awareness and Training
- 66% ขององค์กรมีการเขียนนโยบายการรักษาความปลอดภัยแบบเป็นทางการ
- 52% ขององค์กรมีการจ้าง Outsource มาทำการ Audit และ Consult
- 42% ขององค์กรมีการจ้าง Outsource มาทำ Incident Response
- 39% ขององค์กรมีการใช้ระบบ Threat Intelligence
ซึ่งทั้ง 5 ข้อนี้ก็เป็นสิ่งที่แนะนำให้ทุกองค์กรทำด้วยเช่นกัน
ในมุมการโจมตีและการรับมือนั้น สถิติคือผู้ตรวจจับที่ใช้เทคโนโลยีของ Cisco ใช้เวลาในการตรวจพบการโจมตีสำเร็จได้ภายในเวลา 35.5 ชั่วโมงเมื่อเดือนมิถุนายนปี 2015 ในขณะที่เวลาเฉลี่ยในปัจจุบันลดเหลือเพียง 17.5 ชั่วโมงเท่านั้น โดยในไทยมีเว็บบริษัทหลายแห่งที่ถูกโจมตีและฝัง Malware เอาไว้เพื่อใช้ในการโจมตีต่อเนื่องต่อไป ซึ่งเหล่าบริษัททั้งหลายก็ไม่ได้คาดคิดว่าเว็บจะถูกโจมตี เพราะไม่มีผลกระทบใดๆ กว่าจะรู้ตัว Domain Name ก็ติด Black List ไปแล้ว
Exploit Kit หรือชุด Software สำหรับเจาะระบบต่างๆ ด้วยช่องโหว่นั้นถือเป็นอีกสิ่งที่ผู้ดูแลระบบต้องทำความรู้จักกันเอาไว้ให้ดี ตัวอย่างหนึ่งคือ Angler Exploit Kit ที่เป็น Exploit Kit ที่มีการอัพเดตอยู่ตลอดและหวังผลสำเร็จได้เกินกว่า 50% ที่ผู้โจมตีมักใช้ในการเริ่มต้นโจมตีผู้ใช้งาน ซึ่งเหล่าผู้โจมตีก็สามารถซื้อหา Angler Exploit Kit มาใช้โจมตีผู้ใช้งานนับล้านๆ คนได้อย่างง่ายดาย ดังนั้นเรื่องราวเหล่านี้จึงไม่ใช่เรื่องไกลตัวอีกต่อไป
SSL of Online Banking ที่ผ่านมามีการทดสอบในไทยว่ามีหลายๆ ธนาคารที่มี SSL Security Test ไม่ปลอดภัย เพราะเปิดให้มีการเข้ารหัสที่อ่อนแอและหลากหลายรูปแบบเกินไปจนมีความเสี่ยง ซึ่งจริงๆ ถ้าหากผู้ใช้งานไม่ได้หลงไปใช้การเข้ารหัสที่อ่อนแอก็ไม่มีปัญหา และทางธนาคารก็อาจเปิดช่องส่วนนั้นเอาไว้เพื่อให้ผู้ใช้งานที่ใช้ Browser เก่าๆ ยังคงเข้าถึงบริการเหล่านี้ได้ แต่การแก้ไขให้ปลอดภัยอยู่ตลอดก็จะดีที่สุด ในขณะที่อุปกรณ์ SSL VPN เองก็มีช่องโหว่เรื่องการเข้ารหัสที่ไม่ปลอดภัยเช่นกัน จึงควรจะต้องทำการปรับปรุงให้ปลอดภัย การเข้ารหัสให้ปลอดภัยกลายเป็นอีกหนึ่งประเด็นที่สำคัญที่ทุกคนควรตื่นตัวกันแล้ว
Threat Centric Security Model มุมมองใหม่ต่อการรักษาความปลอดภัย และการเตรียมตัวรับมือเมื่อถูกโจมตีได้สำเร็จ
Cisco มองว่าปัจจุบันการรักษาความปลอดภัยของเครือข่ายองค์กรนั้น ต้องปรับตัวตามการโจมตีให้ทันให้มากที่สุด และแนวคิดนี้ก็เป็นต้นกำเนิดของ Threat Centric Security Model ใน Cisco ซึ่งมี Cycle ดังนี้
- Visibility มองเห็นว่ากำลังเกิดอะไรขึ้นภายในระบบ IT และการเชื่อมต่อทั้งหมด
- Intelligence เข้าใจข้อมูลเหล่านั้น และมีข่าวกรองหรือข้อมูลภายนอกเพียงพอให้ทำความเข้าใจกับข้อมูลภายในที่มีอยู่ให้ได้
- Control สามารถควบคุมภัยคุกคามและความเสียหายที่เกิดขึ้นได้
- Remediate ซ่อมแซมระบบให้กลับมาทำงานได้อย่างปกติและปลอดภัย
Operational Efficiency หรือการรักษาความปลอดภัยของระบบเครือข่ายภายในองค์กรให้เกิดความสูญเสียกับธุรกิจองค์กรน้อยที่สุด โดยผลของการโจมตีจะแบ่งออกเป็นสองแบบ ได้แก่ ช่วงที่ยังยับยั้งการโจมตีได้และมีความเสียหายต่ำ เช่น ช่วงที่การโจมตีกำลังอยู่ในช่วงเก็บข้อมูล กับช่วงที่ไม่สามารถควบคุมความเสียหายและยับยั้งการโจมตีไม่ทันแล้ว เช่น การเกิด Data Breach ออกสู่สาธารณะ เป็นต้น
เวลาที่ใช้ในการตรวจพบการโจมตีให้ได้เรียกว่า Mean Time to Know (MTTK) ซึ่งเป็นโจทย์ของทุกๆ องค์กรที่ต้องทำค่า MTTK ให้ได้ก่อนจะถึงเวลาที่องค์กรไม่สามารถแก้ไขภัยคุกคามที่เกิดขึ้นได้ และลดเวลาของ MTTK ลงให้ต่ำที่สุดเท่าที่จะเป็นไปได้ ทั้งนี้เพื่อให้ค่า MTTK ต่ำที่สุด Cisco จึงได้ทำการผสานข้อมูลและขั้นตอนทั้งก่อนการตรวจพบการโจมตี (Before), ระหว่างที่การโจมตีเกิดขึ้น (During) และหลังการโจมตีเสร็จสิ้น (After) เข้าไปให้กลายเป็นระบบเดียวกันให้ได้เพื่อลดความเสี่ยงลงให้ต่ำที่สุด
ในขั้นตอน After นี้ถือเป็นขั้นตอนที่ยากที่สุด และเป็นปัญหาที่กำลังประสบกันอยู่ทั่วโลก เพราะไม่ว่าระบบจะป้องกันหรือเฝ้าระวังยังไงก็ตาม สุดท้ายระบบก็จะต้องถูกโจมตีสำเร็จอยู่ดี เพราะช่องทางในการโจมตีมีเพิ่มขึ้นหลากหลายมากทั้ง Mobile, Virtual และ Cloud ที่เกิดขึ้นมา และองค์กรส่วนใหญ่ก็ไม่ได้มีแนวทางในการรับมือกับกรณีเหล่านี้อย่างชัดเจนนัก
สำหรับการรับมือกับ Before ใน Cisco มีแนวคิดของ Network-as-a-Sensor เพื่อให้ภายในระบบเครือข่ายสามารถทำการตรวจจับ Traffic ทั้งหมดได้เลยโดยไม่ต้องปล่อยให้การตรวจจับออกไปอยู่ที่ Firewall ทำให้การตรวจพบการโจมตีนั้นเกิดได้อย่างรวดเร็วยิ่งขึ้น และครอบคลุมการโจมตีกันเองภายในเครือข่ายที่ไม่ผ่าน Firewall ได้อีกด้วย
แนวคิดถัดมาก็คือ Network-as-an-Enforcer ให้ระบบเครือข่ายทำการกักกันและยับยั้งการโจมตีที่เกิดขึ้นได้ด้วยตัวเองเลย ทำให้ลดความเสี่ยงที่จะเกิดความเสียหายต่างๆ ได้มากขึ้นด้วยอีกทาง
ส่วน During ก็ใช้ Next Generation Firewall และ Next Generation IPS ที่รองรับทั้ง Physical, Virtualization และ Cloud Service พร้อมๆ กันให้องค์กรต่างๆ ได้เลือกใช้ตามต้องการ ซึ่งเดี๋ยวนี้ระบบเหล่านี้ก็รองรับการวิเคราะห์ข้อมูล DNS ได้ด้วย พร้อมเสริมความปลอดภัยด้วย OpenDNS ในการเข้าใช้งาน DNS ที่มีความปลอดภัยสูงได้
นอกจากนี้ Cisco ยังมีระบบ Web Security และ Email Security ช่วยตรวจสอบความปลอดภัยให้กับการใช้งาน Web และ Email พร้อมให้ใช้งานได้ทั้งภายในและภายนอกองค์กร ผ่าน Appliance และ Cloud Service ได้อย่างครอบคลุม
สำหรับช่วง After ใน OpenDNS ก็จะทำการตรวจสอบและวิเคราะห์ข้อมูล DNS เพื่อตรวจหาการโจมตีที่กำลังเกิดขึ้นภายในระบบเครือข่ายด้วยเทคโนโลยี Big Data Analytics ที่วิเคราะห์หาความสัมพันธ์ของการเรียกใช้ Domain ต่างๆ และเกิดเป็น Pattern ของการโจมตีได้
Advanced Malware Protection ที่มีการติดตามและวิเคราะห์การทำงานและการกระจายตัวของแต่ละ File ภายในองค์กรเพื่อตรวจสอบแนวโน้มและเหตุการณ์ต่างๆ ที่เกิดขึ้นก็เป็นอีกช่องทางที่จะทำให้องค์กรทราบได้ทันทีที่การโจมตีเริ่มเกิดขึ้นและมีข้อมูลมากพอที่จะรับมือกับการโจมตีเหล่านี้ได้
Cognitive Threat Analysis ก็เป็นอีกเทคโนโลยีการวิเคราะห์การเข้าใช้งานเว็บไซต์ของผู้ใช้งานของ Cisco ผ่านข้อมูล Log เพื่อดูว่ามีการแอบเปิดเว็บอะไรที่อันตรายโดยฝีมือของ Malware อย่างไรบ้าง และวิเคราะห์หาพฤติกรรมแปลกปลอมที่เกิดขึ้นในองค์กรด้วยความสามารถของระบบ Cloud
Rapid Threat Containment เป็นระบบสำหรับการยับยั้งภัยคุกคามให้ถูกจำกัดวงให้เล็กที่สุดเท่าที่จะเป็นไปได้ภายในองค์กร ด้วยการใช้ Cisco ISE มาประยุกต์เพื่อ Block เครื่องที่ทำการโจมตีเครื่องอื่นได้ที่ระดับของ Port ได้อย่างปลอดภัย
แนะนำเทคโนโลยี Cisco Active Threat Analytics
Cisco Active Threat Analytics เป็น Platform สำหรับการตรวจจับและวิเคราะห์การโจมตีของ Cisco เองประกอบไปด้วย
- Full Packet Capture
- AMP
- Sourcefire
- NetFlow
- Security Intelligence
- ThreatGrid
- Big Data Analytics
- Security Expert
- SOC
แนวโน้มถัดไปของการรักษาความปลอดภัยคือเรื่องของบริการ ที่จะช่วยเพิ่มความยืดหยุ่นให้กับองค์กรต่างๆ และสร้างทางเลือกในการเปลี่ยนผู้ให้บริการเพื่อค้นหาผู้ให้บริการที่เหมาะสมได้อย่างรวดเร็ว และคุ้มค่าต่อค่าใช้จ่ายขององค์กร โดย Cisco เองนั้นก็กำลังพยายามสร้างบริการรูปแบบต่างๆ มานำเสนอให้กับองค์กรต่างๆ ในประเทศไทยด้วยเช่นกัน